JP4757687B2 - 認証認可サーバ、認証認可システム、認証認可方法及び認証認可プログラム - Google Patents
認証認可サーバ、認証認可システム、認証認可方法及び認証認可プログラム Download PDFInfo
- Publication number
- JP4757687B2 JP4757687B2 JP2006096289A JP2006096289A JP4757687B2 JP 4757687 B2 JP4757687 B2 JP 4757687B2 JP 2006096289 A JP2006096289 A JP 2006096289A JP 2006096289 A JP2006096289 A JP 2006096289A JP 4757687 B2 JP4757687 B2 JP 4757687B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- user
- attribute information
- information
- authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
また、分散した拠点において拠点毎にアクセス制御を行う装置を置くことにより、ローカル拠点だけではなく分散拠点からのアクセスに対してアクセス制御を行い、一定の操作権限を与えるものがある。
また、特開2000−148737号公報では、ネットワークを介して分散管理された各電子文書に対して、関与者情報等を含んだコミュニケーション情報を持たせる。そして、分散管理されたコミュニケーション情報同士をリンクで関連付ける。このコミュニケーション情報を用いることにより、ローカルのユーザのみならず、他の場所のユーザに対してもアクセス制御できる。
また、企業を跨って職務を有する場合に、ある企業の認証認可サーバから他企業のシステムに接続可能する場合、各企業の認証リポジトリにおいて他社のユーザ属性情報を管理する必要がある。つまり、この場合には、ユーザ属性情報の二重管理が必要となり、セキュリティレベルの低下、運用負荷の増加が発生するという課題がある。
本発明は、例えば、1つの認証認可システムの認証により、複数の企業のシステムへのアクセス制御を行うことを目的とする。また、本発明は、例えば、複数の企業(グループ)に跨って職務(権限)を有し、1つの認証認可サーバから複数の企業のシステムへアクセスする場合にも、ユーザ属性情報を一元管理することを目的とする。
を備えることを特徴とする。
図1において、認証認可システム1000は、CRT(Cathode Ray Tube)表示装置901、キーボード(K/B)902、マウス903、コンパクトディスク装置(CDD)905、データベース908、システムユニット909、サーバA917、サーバB918を備え、これらはケーブルで接続されている。
さらに、認証認可システム1000は、ローカルエリアネットワーク(LAN)942、ゲートウェイ941を介してインターネット940に接続されている。また、認証認可システム1000は、インターネット940を介して外部サーバ916等と接続されている。
ここで、サーバA917は、後述する認証認可サーバ100の一例である。また、サーバB918や外部サーバ916は、後述するWeb系業務などを提供する業務サーバの一例である。さらに、データベース908は、認証リポジトリ、ACLDB(Access Control List Data Base)の一例である。また、CRT表示装置901は表示装置986の一例である。
図2において、認証認可サーバ100は、コンピュータであり、プログラムを実行するCPU(Central Processing Unit)911を備えている。CPU911は、バス912を介してROM(Read Only Memory)913、RAM(Random Access Memory)914、通信ボード915、CRT表示装置901、K/B902、マウス903、FDD(Flexible Disc)904、CDD905、磁気ディスク装置920と接続されている。
RAM914は、揮発性メモリの一例である。ROM913、磁気ディスク装置920は、不揮発性メモリの一例である。これらは、記憶装置984の一例である。
通信ボード915は、LAN942等に接続されている。
また、K/B902、マウス903等は、入力装置982の一例である。
また、CPU911は、処理装置980の一例である。
また、通信ボード915は、通信装置988の一例である。
磁気ディスク装置920には、オペレーティングシステム(OS)921、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923は、CPU911、OS921、ウィンドウシステム922により実行される。
ファイル群924には、以下に述べる実施の形態の説明において、「〜判定」として説明するものが、「〜ファイル」として記憶されている。
また、以下に述べる実施の形態の説明において説明するフローチャートの矢印の部分は主としてデータの入出力を示し、そのデータの入出力のためにデータは、磁気ディスク装置920、FD、光ディスク、CD、MD(ミニディスク)、DVD(Digital Versatile Disk)等のその他の記録媒体に記録される。あるいは、信号線やその他の伝送媒体により伝送される。
次に、実施の形態1について説明する。実施の形態1では、1度の認証のみで複数の企業のシステムへのアクセス制御を行う認証認可システム1000について説明する。
認証認可システム1000は、認証認可サーバ1、認証リポジトリA2a、認証リポジトリB2b、ACLDB3を備える。ここで、認証リポジトリA2aは企業Aに割当てられた認証リポジトリであり、認証リポジトリB2bは企業Bに割当てられた認証リポジトリである。
認証認可システム1000は、クライアント4から企業Aや企業Bの各業務サーバへアクセスがあった場合、認証リポジトリA2aと認証リポジトリB2b、ACLDB3の情報を使用してアクセス制御を行う。
図4において、認証認可システム1000は、上記と同様に、認証認可サーバ1、認証リポジトリA2a、認証リポジトリB2b、ACLDB3を備える。また、認証認可サーバ1は、企業Aの業務サーバA−1、業務サーバA−2と、企業Bの業務サーバB−1、業務サーバB−2と接続されている。
認証認可サーバ1は、識別情報受信部10、認証リポジトリ検索部20、ユーザ属性情報取得部30、リンク情報取得部40、権限情報取得部50、認証認可処理部60、認証判定部90、処理装置980、記憶装置984、通信装置988を備える。また、ユーザ属性情報取得部30は、第1ユーザ属性情報取得部32、第2ユーザ属性情報取得部34を備える。
一方、ユーザAが企業Bの業務サーバB−1にアクセスするとする(S19)。すると、ユーザAの現在の主職務は(企業A、総務、課長)であるため、主職務と一致するACLDB3のアクセス制御リスト3−1の権限情報はない(S21で不一致)。次に、ユーザAの副職務の有無をチェックするが(S22)、ユーザAには副職務が存在する(S22であり)。そして、ユーザAの副職務は(企業B、経理、担当)であるため、ACLDB3のアクセス制御リスト3−1のACL−B2と一致し(S23で一致)、権限は「読み」のみ可能となる(S24)。
一方、ユーザAが、企業Bの業務サーバB−2にアクセスすると、ユーザAの主職務と一致するACLDB3のアクセス制御リスト3−1の権限情報はなく、またユーザAの副職務と一致するACLDB3のアクセス制御リスト3−1の権限情報はないため、権限はなく、アクセス不可をクライアントに通知する(S26)。
また、権限情報取得部50は、企業Aのサーバへのクライアント4からのアクセスに対しては、主職務(第1レベルの一例)に割当てられたACLを認証リポジトリA2aから取得したユーザ属性情報に基づき取得し、認証認可処理部60は、権限情報取得部50が取得したACL(第1権限情報の一例)に基づきアクセス制御を行う。一方、権限情報取得部50は、企業Bのサーバへのクライアント4からのアクセスに対しては、副職務(第2レベルの一例)に割当てられたACLを認証リポジトリB2bから取得したユーザ属性情報に基づき取得し、認証認可処理部60は、権限情報取得部50が取得したACL(第2権限情報の一例)に基づきアクセス制御を行う。
まず、ユーザによりクライアント4からWebブラウザなどを使用して、認証認可サーバ1にアクセスされる(S1)。認証前の場合、クライアント4の表示装置にログイン画面6が表示される(S4)。ユーザAが、ログイン画面にてユーザID、パスワード、企業コードを入力し、SUBMITボタンを押下すると(S5)、認証認可サーバ1に入力した情報が送信される。ここでは、ユーザはユーザIDとして「ユーザA’」、企業コードとして「B」を入力したとする。
一方企業Bの業務サーバB−1にアクセスすると、ユーザAの主職務は(企業B、経理、担当)であるため、ACLDB3のアクセス制御リスト3−1のACL−B1にしたがい、権限は「読み書き」可能となる。
また、ユーザAが、企業Aの業務サーバA−2にアクセスすると、ユーザAの主職務と一致するACLDB3のアクセス制御リスト3−1の権限情報はなく、またユーザAの副職務と一致するACLDB3のアクセス制御リスト3−1の権限情報はないため、権限はなく、アクセス不可をクライアントに通知する。
一方企業Bの業務サーバB−2にアクセスすると、ユーザAの主職務は(企業B、経理、担当)であるため、ACLDB3のアクセス制御リスト3−1のACL−B3にしたがい、権限は「読み」のみ可能となる。
次に実施の形態2について説明する。実施の形態1では、認証認可サーバ1が単一であるときの認証認可方式を示した。実施の形態2では、認証認可サーバ1が複数ある場合の認証及びアクセス制御を行う認証認可システム1000について説明する。
図8において、認証認可システム1000は、認証認可サーバA1a、認証認可サーバB1b、認証リポジトリA2a、認証リポジトリB2b、ACLDB−A3a、ACLDB−B3bを備える。また、認証認可サーバA1aは、企業A(第1グループの一例)の業務サーバA−1、業務サーバA−2と接続されている。さらに、認証認可サーバB1bは、企業B(第2グループの一例)の業務サーバB−1、業務サーバB−2と接続されている。
認証認可サーバA1aは、識別情報受信部10、認証リポジトリ検索部20、ユーザ属性情報取得部30、リンク情報取得部40、第1権限情報取得部52、第1認証認可処理部62、認証判定部90、処理装置980A、記憶装置984A、通信装置988Aを備える。また、ユーザ属性情報取得部30は、第1ユーザ属性情報取得部32、第2ユーザ属性情報取得部34を備える。
認証認可サーバB1bは、第2権限情報取得部54、第2認証認可処理部64、処理装置980B、記憶装置984B、通信装置988Bを備える。
ここで、認証認可サーバA1aによって作成された認証情報は、例えばクライアントが記憶する。そして、クライアントが同じドメインにある認証認可サーバB1bにアクセスする場合、クライアントから認証認可サーバB1bへ認証情報が送信され、認証認可サーバB1bは、(S2)の処理において認証済と判断される。つまり、同じドメイン内の認証認可サーバ1が作成した認証情報を他の認証認可サーバ1でも信頼する。
一方、ユーザAが認証認可サーバB1b経由で、企業Bの業務サーバB−1にアクセスするとする(S19)。すると、ユーザAの現在の主職務は(企業A、総務、課長)であるため、主職務と一致するACLDB−B3bのアクセス制御リスト3b−1の権限情報はない(S21で不一致)。次に、ユーザAの副職務の有無をチェックするが(S22)、ユーザAには副職務が存在する(S22であり)。そして、ユーザAの副職務は(企業B、経理、担当)であるため、ACLDB−B3bのアクセス制御リスト3b−1のACL−B2一致し(S23で一致)、権限は「読み」のみ可能となる(S24)。
一方、ユーザAが、認証認可サーバB1b経由で、企業Bの業務サーバB−2にアクセスすると、ユーザAの主職務と一致するACLDB−B3bのアクセス制御リスト3b−1の権限情報はなく、またユーザAの副職務と一致するACLDB−B3bのアクセス制御リスト3b−1の権限情報はないため、権限はなく、アクセス不可をクライアントに通知する(S26)。
また、第1権限情報取得部52は、企業Aのサーバへのクライアント4からのアクセスに対しては、企業Aに割当てられたACLDB−A(第1ACLDBの一例)から主職務(第1レベルの一例)に割当てられたACLを認証リポジトリA2aから取得したユーザ属性情報に基づき取得し、第1認証認可処理部62は、第1権限情報取得部52が取得したACL(第1権限情報の一例)に基づきアクセス制御を行う。一方、第2権限情報取得部54は、企業Bのサーバへのクライアント4からのアクセスに対しては、企業Bに割当てられたACLDB−B(第2ACLDBの一例)から副職務(第2レベルの一例)に割当てられたACLを認証リポジトリB2bから取得したユーザ属性情報に基づき取得し、第2認証認可処理部624は、第2権限情報取得部54が取得したACL(第2権限情報の一例)に基づきアクセス制御を行う。
次に実施の形態3について説明する。実施の形態1では、認証認可サーバ1が各業務サーバへの要求を中継するリバースプロキシ方式であるときの認証認可方式を示した。実施の形態3では、認証認可サーバ1が各業務サーバのエージェントから要求を受けるエージェント方式である場合の認証及びアクセス制御について説明する。
実施の形態3にかかる認証認可システム1000は、クライアントから認証認可サーバ1へのアクセスを各業務サーバ経由で受ける。その他は、実施の形態1と同様である。
次に、認証認可サーバ1の識別情報受信部10は、認証認可エージェント7が送信したユーザID、パスワード、企業コードを、通信装置988を介して受信する(S7−1:識別情報受信ステップ)。ここでは、ユーザは業務サーバA−1へアクセスしたものとする。したがって、最初にアクセスした業務サーバが業務サーバA−1のため、企業コードは「A」となる。(S8)から(S16)までは、実施の形態1と同様である。認証認可サーバ1が作成した認証情報は、例えばクライアントが記憶する。そして、クライアントが同じドメインにある他の業務サーバへアクセスする場合、クライアントから業務サーバに送信され、認証認可エージェント7は、(S2)の処理において認証済みと判断する。つまり、同じドメイン内の業務サーバから送信された情報に基づいて作成された認証情報を他の業務サーバでも信頼する。
次に実施の形態4について説明する。実施の形態3では、認証認可サーバ1がエージェント方式かつ認証認可サーバ1が単一である場合の認証認可方式を示した。実施の形態4では、認証認可サーバ1がエージェント方式かつ認証認可サーバ1が複数台である場合の認証及びアクセス制御について説明する。
また、実施の形態4における認証処理及び認可処理は実施の形態2および実施の形態3を組み合わせた処理となる。つまり、認証処理については、図9に示す実施の形態2にかかる認証処理の(S2)、(S3)、(S6)を、図12に示す実施の形態3にかかる認証処理の(S2−1)、(S3−1)、(S6−1)に置き換える。また、(S6−1)の次に、(S28)と(S29)とを実行する。また、認可処理については、図13に示す実施の形態3の認可処理と同様である。
次に実施の形態5について説明する。上述した実施の形態では、利用ユーザが現在の職務を意識して業務システムを利用する場合の認証認可方式を示した。実施の形態5では、利用ユーザが現在の職務を意識しないで業務システムを利用する場合の認証及びアクセス制御について説明する。
実施の形態5にかかる認証認可サーバ1は、経路取得部72、経路判定部74、グループ識別情報取得部76を備える。また、ユーザ属性情報取得部30は、第1ユーザ属性情報取得部32、第2ユーザ属性情報取得部34、第3ユーザ属性情報取得部38を備える。また、第2ユーザ属性情報取得部は、リンク先ユーザ属性情報取得部35、リンク元ユーザ属性情報取得部36を備える。その他は、実施の形態1と同様である。
また、権限情報取得部50は、リンク元の企業のサーバへのクライアント4からのアクセスに対しては、ACLDB3から、主職務(第1レベルの一例)に割当てられたACLをアクセス経路から判定された企業に割当てられた認証リポジトリから取得したユーザ属性情報に基づき取得し、認証認可処理部60は、権限情報取得部50が取得したACL(第3権限情報の一例)に基づきアクセス制御を行う。一方、権限情報取得部50は、リンク元の企業以外の企業のサーバへのクライアント4からのアクセスに対しては、副職務(第2レベルの一例)に割当てられたACLを各認証リポジトリから取得したユーザ属性情報に基づき取得し、認証認可処理部60は、権限情報取得部50が取得したACL(第1権限情報及び第2権限情報の一例)に基づきアクセス制御を行う。
また、権限情報取得部50は、アクセス経路から判定された企業のサーバへのクライアント4からのアクセスに対しては、主職務(第1レベルの一例)に割当てられたACLをアクセス経路から判定された企業に割当てられた認証リポジトリから取得したユーザ属性情報に基づき取得し、認証認可処理部60は、権限情報取得部50が取得したACL(第1権限情報の一例)に基づきアクセス制御を行う。一方、権限情報取得部50は、アクセス経路から判定された企業以外の企業のサーバへのクライアント4からのアクセスに対しては、副職務(第2レベルの一例)に割当てられたACLを各認証リポジトリから取得したユーザ属性情報に基づき取得し、認証認可処理部60は、権限情報取得部50が取得したACL(第2権限情報の一例)に基づきアクセス制御を行う。
次に実施の形態6について説明する。実施の形態5では、単一の認証認可サーバ1、かつ、利用ユーザが現在の職務を意識しないで業務システムを利用する場合の認証認可方式を示した。実施の形態6では、認証認可サーバ1が複数台、かつ、利用ユーザが現在の職務を意識しないで業務システムを利用する場合の場合の認証及びアクセス制御について説明する。
実施の形態6における認証処理及び認可処理は実施の形態2および実施の形態5を組み合わせた処理となる。つまり、認証処理については、図18に示す実施の形態5にかかる認証処理の(S8−2)を、図9に示す実施の形態2にかかる認証処理の(S8−1)に置き換える。また、認可処理については、図19に示す実施の形態5の認可処理と同様である。
Claims (12)
- 属性情報と、リンクする認証リポジトリを示すリンク情報とを含むユーザ毎に割当てられたユーザ属性情報を記憶装置に記憶する複数の認証リポジトリから、所定の認証リポジトリを処理装置により検索する認証リポジトリ検索部と、
上記認証リポジトリ検索部が検索した認証リポジトリである第1認証リポジトリから所定のユーザのユーザ属性情報を取得して記憶装置に記憶する第1ユーザ属性情報取得部と、
上記第1ユーザ属性情報取得部が取得したユーザ属性情報からリンク情報を取得して記憶装置に記憶するリンク情報取得部と、
上記リンク情報取得部が取得したリンク情報が示す認証リポジトリである第2認証リポジトリから上記ユーザのユーザ属性情報を取得して記憶装置に記憶する第2ユーザ属性情報取得部と、
上記第1認証リポジトリが割当てられたグループである第1グループのサーバへの上記ユーザによるユーザ端末からのアクセスに対して、上記第1ユーザ属性情報取得部が取得したユーザ属性情報に基づき処理装置によりアクセス制御を行い、上記第2認証リポジトリが割当てられたグループである第2グループのサーバへの上記ユーザによるユーザ端末からのアクセスに対して、上記第2ユーザ属性情報取得部が取得したユーザ属性情報に基づき処理装置によりアクセス制御を行う認証認可処理部と
を備えることを特徴とする認証認可サーバ。 - 上記認証認可サーバは、さらに、
権限レベル毎にアクセス権限情報を記憶するACLDB(Access Control List Data Base)により記憶された権限レベルが第1レベルのアクセス権限情報から上記第1ユーザ属性情報取得部が取得したユーザ属性情報に含まれる属性情報に基づきアクセス権限情報を第1権限情報として取得し、上記ACLDBにより記憶された権限レベルが第2レベルのアクセス権限情報から上記第2ユーザ属性情報取得部が取得したユーザ属性情報に含まれる属性情報に基づきアクセス権限情報を第2権限情報として取得して記憶装置に記憶する権限情報取得部を備え、
上記認証認可処理部は、上記第1グループのサーバへの上記ユーザによるユーザ端末からのアクセスに対して、上記権限情報取得部が取得した第1権限情報に基づいてアクセス制御を行い、上記第2グループのサーバへの上記ユーザによるユーザ端末からのアクセスに対して、上記権限情報取得部が取得した第2権限情報に基づいてアクセス制御を行う
ことを特徴とする請求項1記載の認証認可サーバ。 - 上記認証リポジトリ検索部は、属性情報と、リンク先認証リポジトリとリンク元認証リポジトリとを示すリンク情報とを含むユーザ毎に割当てられたユーザ属性情報を記憶する複数の認証リポジトリから、所定の認証リポジトリを検索し、
上記第2ユーザ属性情報取得部は、上記リンク情報取得部が取得したリンク情報が示すリンク先認証リポジトリから上記ユーザのユーザ属性情報を取得するリンク先ユーザ情報取得部と、上記リンク情報が示すリンク元認証リポジトリから上記ユーザのユーザ属性情報を取得するリンク元ユーザ情報取得部とを備え、
上記認証認可サーバは、さらに、
権限レベル毎にアクセス権限情報を記憶するACLDB(Access Control List Data Base)により記憶された権限レベルが第2レベルのアクセス権限情報から、上記第1ユーザ属性情報取得部が取得したユーザ属性情報に含まれる属性情報に基づきアクセス権限情報を第1権限情報として取得し、上記ACLDBにより記憶された権限レベルが第2レベルのアクセス権限情報から上記リンク先ユーザ属性情報取得部が取得したユーザ属性情報に含まれる属性情報に基づきアクセス権限情報を第2権限情報として取得し、上記ACLDBにより記憶された権限レベルが第1レベルのアクセス権限情報から上記リンク元ユーザ属性情報取得部が取得したユーザ属性情報に含まれる属性情報に基づきアクセス権限情報を第3権限情報として取得する権限情報取得部を備え、
上記認証認可処理部は、上記第1グループのサーバへの上記ユーザによるユーザ端末からのアクセスに対して、上記権限情報取得部が取得した第1権限情報に基づいてアクセス制御を行い、上記リンク先認証リポジトリが割当てられたリンク先グループのサーバへの上記ユーザによるユーザ端末からのアクセスに対して、上記権限情報取得部が取得した第2権限情報に基づいてアクセス制御を行い、上記リンク元認証リポジトリが割当てられたリンク元グループのサーバへの上記ユーザによるユーザ端末からのアクセスに対して、上記権限情報取得部が取得した第3権限情報に基づいてアクセス制御を行う
ことを特徴とする請求項1記載の認証認可サーバ。 - 上記認証認可サーバは、さらに、
ユーザを識別するユーザ識別情報とグループを識別するグループ識別情報とを、通信装置を介して受信する識別情報受信部を備え、
上記認証リポジトリ検索部は、上記識別情報受信部が受信したグループ識別情報によって識別されるグループに割当てられた認証リポジトリを上記所定の認証リポジトリとして検索し、
上記第1ユーザ属性情報取得部は、上記認証リポジトリ検索部が検索した第1認証リポジトリから、上記識別情報受信部が受信したユーザ識別情報によって識別されるユーザを所定のユーザとしてユーザ属性情報を取得する
ことを特徴とする請求項1記載の認証認可サーバ。 - 上記識別情報受信部は、ユーザによりユーザ端末からアクセスされた上記グループのサーバからユーザ識別情報とグループ識別情報とを受信する
ことを特徴とする請求項4記載の認証認可サーバ。 - 上記認証認可サーバは、さらに、
ユーザによりユーザ端末からサーバへアクセスされた場合、上記ユーザを識別するユーザ識別情報を通信装置を介して受信する識別情報受信部を備え、
上記認証リポジトリ検索部は、上記ユーザ端末によりアクセスされたサーバが属するグループに割当てられた認証リポジトリを上記所定の認証リポジトリとして検索し、
上記第1ユーザ属性情報取得部は、上記認証リポジトリ検索部が検索した第1認証リポジトリから、上記識別情報受信部が受信したユーザ識別情報によって識別されるユーザを所定のユーザとしてユーザ属性情報を取得する
ことを特徴とする請求項1記載の認証認可サーバ。 - 上記認証認可サーバは、さらに、
上記ユーザ端末から上記サーバへアクセスした経路を示すユーザ経路情報を取得して記憶装置に記憶する経路取得部と、
ユーザ毎に、サーバへのアクセスの経路情報と上記経路情報に割当てられたグループを識別するグループ識別情報とを記憶するアクセス経路マッピングDB(Data Base)を検索して、上記経路取得部が取得したユーザ経路情報が上記ユーザに割当てられた経路情報として存在するか否かを処理装置により判定する経路判定部と、
上記ユーザが上記サーバへアクセスした経路が存在すると上記経路判定部が判定した場合、上記経路情報に割当てられたグループ識別情報を取得して記憶装置に記憶するグループ識別情報取得部とを備え、
上記認証リポジトリ検索部は、上記グループ識別情報取得部が取得したグループ識別情報により識別されるグループである第3グループに割当てられた第3認証リポジトリを検索し、
上記認証認可サーバは、さらに、
上記認証リポジトリ検索部が検索した第3認証リポジトリから上記ユーザのユーザ属性情報を取得して記憶装置に記憶する第3ユーザ属性情報取得部と、
権限レベル毎にアクセス権限情報を記憶するACLDB(Access Control List Data Base)により記憶された権限レベルが第1レベルのアクセス権限情報から、第3ユーザ属性情報取得部が取得したユーザ属性情報に含まれる属性情報に基づきアクセス権限情報を第1権限情報として取得して記憶装置に記憶する権限情報取得部と、
上記認証認可処理部は、上記第3グループのサーバへの上記ユーザによるユーザ端末からのアクセスに対して、上記権限情報取得部が取得した第1権限情報に基づいてアクセス制御を行う
ことを特徴とする請求項6記載の認証認可サーバ。 - 上記権限情報取得部は、ACLDBにより記憶された権限レベルが第2レベルのアクセス権限情報から、上記第3認証リポジトリを除いた他の認証リポジトリから取得したユーザ属性情報に含まれる属性情報に基づきアクセス権限情報を第2権限情報として取得し、
上記認証認可処理部は、上記第3グループ以外のグループのサーバへの上記ユーザによるユーザ端末からのアクセスに対して、上記権限情報取得部が取得した第2権限情報に基づいてアクセス制御を行う
ことを特徴とする請求項7記載の認証認可サーバ。 - 複数のグループの各グループに割当てられたサーバへのアクセス制御を行う認証認可システムにおいて、
上記複数のグループの1つのグループである第1グループに割当てられた第1認証リポジトリと、
上記第1グループに割当てられたサーバへのアクセス制御を行う第1認証認可サーバと、
上記第1認証認可サーバにより特定される第2認証リポジトリと、
上記第2認証リポジトリが割当てられた第2グループに割当てられたサーバへのアクセス制御を行う第2認証認可サーバとを備え、
上記第1認証リポジトリは、
属性情報と、リンクする認証リポジトリを示すリンク情報とを含むユーザ毎に割当てられたユーザ属性情報を記憶装置に記憶するユーザ属性情報記憶部を備え、
上記第1認証認可サーバは、
ユーザを識別するユーザ識別情報を通信装置を介して受信する識別情報受信部と、
上記第1認証リポジトリから上記識別情報受信部が受信したユーザ識別情報によって識別されるユーザのユーザ属性情報を取得する第1ユーザ属性情報取得部と、
上記第1ユーザ属性情報取得部が取得したユーザ属性情報からリンク情報を取得して記憶装置に記憶するリンク情報取得部と、
上記リンク情報取得部が取得したリンク情報が示す認証リポジトリを上記第2認証リポジトリとして特定し、上記第2認証リポジトリから上記リンク情報が示すユーザのユーザ属性情報を取得して記憶装置に記憶する第2ユーザ属性情報取得部と、
上記第1グループのサーバへの上記ユーザによるユーザ端末からのアクセスに対して、上記第1ユーザ属性情報取得部が取得したユーザ属性情報に基づき処理装置によりアクセス制御を行う第1認証認可処理部とを備え、
上記第2認証認可サーバは、
上記第2グループのサーバへの上記ユーザによるユーザ端末からのアクセスに対して、上記第2ユーザ属性情報取得部が取得したユーザ属性情報に基づき処理装置によりアクセス制御を行う第2認証認可処理部を備える
ことを特徴とする認証認可システム。 - 上記認証認可システムは、さらに、
第1グループに割当てられ、権限レベル毎にアクセス権限情報を記憶する第1ACLDB(Access Control List Data Base)と、
第2グループに割当てられ、権限レベル毎にアクセス権限情報を記憶する第2ACLDBを備え、
上記第1認証認可サーバは、さらに、
上記第1ACLDBにより記憶された権限レベルが第1レベルのアクセス権限情報から上記第1ユーザ属性情報取得部が取得したユーザ属性情報に含まれる属性情報に基づきアクセス権限情報を第1権限情報として取得する第1権限情報取得部を備え、
上記第2認証認可サーバは、さらに、
上記第2ACLDBにより記憶された権限レベルが第2レベルのアクセス権限情報から上記第2ユーザ属性情報取得部が取得したユーザ属性情報に含まれる属性情報に基づきアクセス権限情報を第2権限情報として取得して記憶装置に記憶する第2権限情報取得部を備え、
上記第1認証認可処理部は、上記第1グループのサーバへの上記ユーザによるユーザ端末からのアクセスに対して、上記権限情報取得部が取得した第1権限情報に基づいてアクセス制御を行い、
上記第2認証認可処理部は、上記第2グループのサーバへの上記ユーザによるユーザ端末からのアクセスに対して、上記権限情報取得部が取得した第2権限情報に基づいてアクセス制御を行う
ことを特徴とする請求項9記載の認証認可システム。 - 認証認可サーバの認証認可方法において、
属性情報と、リンクする認証リポジトリを示すリンク情報とを含むユーザ毎に割当てられたユーザ属性情報を記憶装置に記憶する複数の認証リポジトリから、所定の認証リポジトリを認証リポジトリ検索部が処理装置により検索する認証リポジトリ検索ステップと、
上記認証リポジトリ検索ステップで検索した認証リポジトリである第1認証リポジトリから所定のユーザのユーザ属性情報を取得して第1ユーザ属性情報取得部が記憶装置に記憶する第1ユーザ属性情報取得ステップと、
上記第1ユーザ属性情報取得ステップで取得したユーザ属性情報からリンク情報を取得してリンク情報取得部が記憶装置に記憶するリンク情報取得ステップと、
上記リンク情報取得ステップで取得したリンク情報が示す認証リポジトリである第2認証リポジトリから上記ユーザのユーザ属性情報を取得して第2ユーザ属性情報取得部が記憶装置に記憶する第2ユーザ属性情報取得ステップと、
上記第1認証リポジトリが割当てられたグループである第1グループのサーバへの上記ユーザによるユーザ端末からのアクセスに対して、上記第1ユーザ属性情報取得ステップで取得したユーザ属性情報に基づき認証認可処理部が処理装置によりアクセス制御を行い、上記第2認証リポジトリが割当てられたグループである第2グループのサーバへの上記ユーザによるユーザ端末からのアクセスに対して、上記第2ユーザ属性情報取得ステップで取得したユーザ属性情報に基づき認証認可処理部が処理装置によりアクセス制御を行う認証認可処理ステップと
を備えることを特徴とする認証認可方法。 - 認証認可サーバの認証認可プログラムにおいて、
属性情報と、リンクする認証リポジトリを示すリンク情報とを含むユーザ毎に割当てられたユーザ属性情報を記憶装置に記憶する複数の認証リポジトリから、所定の認証リポジトリを処理装置により検索する認証リポジトリ検索処理と、
上記認証リポジトリ検索処理で検索した認証リポジトリである第1認証リポジトリから所定のユーザのユーザ属性情報を取得して記憶装置に記憶する第1ユーザ属性情報取得処理と、
上記第1ユーザ属性情報取得処理で取得したユーザ属性情報からリンク情報を取得して記憶装置に記憶するリンク情報取得処理と、
上記リンク情報取得処理で取得したリンク情報が示す認証リポジトリである第2認証リポジトリから上記ユーザのユーザ属性情報を取得して記憶装置に記憶する第2ユーザ属性情報取得処理と、
上記第1認証リポジトリが割当てられたグループである第1グループのサーバへの上記ユーザによるユーザ端末からのアクセスに対して、上記第1ユーザ属性情報取得処理で取得したユーザ属性情報に基づき処理装置によりアクセス制御を行い、上記第2認証リポジトリが割当てられたグループである第2グループのサーバへの上記ユーザによるユーザ端末からのアクセスに対して、上記第2ユーザ属性情報取得処理で取得したユーザ属性情報に基づき処理装置によりアクセス制御を行う認証認可処理処理と
をコンピュータに実行させることを特徴とする認証認可プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006096289A JP4757687B2 (ja) | 2006-03-31 | 2006-03-31 | 認証認可サーバ、認証認可システム、認証認可方法及び認証認可プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006096289A JP4757687B2 (ja) | 2006-03-31 | 2006-03-31 | 認証認可サーバ、認証認可システム、認証認可方法及び認証認可プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007272492A JP2007272492A (ja) | 2007-10-18 |
JP4757687B2 true JP4757687B2 (ja) | 2011-08-24 |
Family
ID=38675243
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006096289A Expired - Fee Related JP4757687B2 (ja) | 2006-03-31 | 2006-03-31 | 認証認可サーバ、認証認可システム、認証認可方法及び認証認可プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4757687B2 (ja) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5208613B2 (ja) * | 2008-08-05 | 2013-06-12 | 株式会社野村総合研究所 | サーバシステム |
JP5744656B2 (ja) * | 2011-07-15 | 2015-07-08 | キヤノン株式会社 | シングルサインオンを提供するシステムおよびその制御方法、サービス提供装置、中継装置、並びにプログラム |
JP6098169B2 (ja) * | 2012-02-01 | 2017-03-22 | 株式会社リコー | 情報処理システム、情報処理装置、プログラム及び認証方法 |
US9325632B2 (en) * | 2013-03-15 | 2016-04-26 | International Business Machines Corporation | Multi-tenancy support for enterprise social business computing |
US10481781B2 (en) | 2016-12-30 | 2019-11-19 | Dropbox, Inc. | Presence, access, and seen state for local copies of shared content items |
CN113222542B (zh) * | 2021-04-26 | 2023-12-22 | 胡金钱 | 企号企码管理方法及企号企码管理终端装置 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000122910A (ja) * | 1998-10-20 | 2000-04-28 | Dainippon Printing Co Ltd | データベースシステム、及びそのためのアクセス管理装置 |
JP3695180B2 (ja) * | 1998-11-13 | 2005-09-14 | 富士ゼロックス株式会社 | 分散電子文書のアクセスコントロールシステム及び分散電子文書のアクセスコントロール方法 |
JP2001092782A (ja) * | 1999-09-20 | 2001-04-06 | Oki Electric Ind Co Ltd | 情報ネットワーク |
JP2003203145A (ja) * | 2002-01-04 | 2003-07-18 | Sumitomo Trust & Banking Co Ltd | 人事管理支援システムおよび方法 |
-
2006
- 2006-03-31 JP JP2006096289A patent/JP4757687B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2007272492A (ja) | 2007-10-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7231661B1 (en) | Authorization services with external authentication | |
US7249369B2 (en) | Post data processing | |
US8635679B2 (en) | Networked identity framework | |
US7194764B2 (en) | User authentication | |
US7080077B2 (en) | Localized access | |
US7464162B2 (en) | Systems and methods for testing whether access to a resource is authorized based on access information | |
US9154493B2 (en) | Managing multiple logins from a single browser | |
US9038170B2 (en) | Logging access system events | |
US7124203B2 (en) | Selective cache flushing in identity and access management systems | |
US8204999B2 (en) | Query string processing | |
US7134137B2 (en) | Providing data to applications from an access system | |
US6357010B1 (en) | System and method for controlling access to documents stored on an internal network | |
JP4757687B2 (ja) | 認証認可サーバ、認証認可システム、認証認可方法及び認証認可プログラム | |
US7562113B2 (en) | Method and system for automatically creating and storing shortcuts to web sites/pages | |
US20160255090A1 (en) | Method and system for securely updating a website | |
US11425132B2 (en) | Cross-domain authentication in a multi-entity database system | |
JP2004046460A (ja) | ファイル管理システムにおけるアクセス制御方式 | |
US11381545B2 (en) | Multi-layer navigation based security certificate checking | |
JP5026130B2 (ja) | メール管理方法およびメール管理システム並びにメール管理プログラム | |
Catrinescu et al. | Hybrid Scenarios |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080810 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110525 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110531 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110601 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4757687 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140610 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313117 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |