JP4865507B2 - 管理権限設定システム - Google Patents
管理権限設定システム Download PDFInfo
- Publication number
- JP4865507B2 JP4865507B2 JP2006297787A JP2006297787A JP4865507B2 JP 4865507 B2 JP4865507 B2 JP 4865507B2 JP 2006297787 A JP2006297787 A JP 2006297787A JP 2006297787 A JP2006297787 A JP 2006297787A JP 4865507 B2 JP4865507 B2 JP 4865507B2
- Authority
- JP
- Japan
- Prior art keywords
- group
- organization
- hierarchy
- management
- management authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、管理権限設定システムに関し、特に、ユーザやネットワーク資源の管理を一括化するディレクトリサービスを利用した管理権限設定システムに関する。
コンピュータシステムの発達に伴い、多種多様なシステムやファイルを共有するファイルサーバ等が数多く構築され、複数のユーザが、システムやファイルにアクセスすることが簡単にできるようになっている。従来、これらの資源を利用するユーザ情報に関しては、システム毎に個別に管理されてきたが、ユーザ情報が分散されることにより管理が煩雑になるという問題があった。
そこで、この問題を解決する手段として、ユーザやネットワーク資源の管理を一括化するディレクトリサービスが普及しつつある。ディレクトリサービスを利用して、ユーザのネットワーク資産に対するアクセス権限を一括して管理することにより、ユーザはネットワーク内のいずれのシステムに対しても、一貫した権限の元でアクセスを行うことができる。
図1は、上記のようなディレクトリサービスでのユーザ管理例を示す図である。ディレクトリサービス101には、例えば、グループA102とグループB103とが登録されている。グループA102には、ユーザC104、ユーザD105が登録されており、グループB103には、ユーザE106、ユーザF107が登録されている。
ここで、フォルダ108にAグループに対する「読込み」権限を設定することにより、フォルダ108に対するユーザC104、ユーザD105の読込みを許可し(丸印で示される)、ユーザE106、ユーザF107からの読込みを抑止することができる(×印で示される)。
尚、アクセス権限に関連する技術文献としては、下記の特許文献が挙げられる。
特開2005−338935号公報
特開平8−50559号公報
特開2002−342352号公報
企業内のユーザ管理を、ディレクトリサービスを用いて管理するケースを考える。図2は、企業の組織階層をディレクトリサービスにより表現した例を示す図である。図2では、部202には部長A205が所属しており、課203に課長B206が所属しており、ユニット204には社員C207と社員D208とが所属している。また、ディレクトリサービス201には、ディレクトリサービス201のユーザ情報を管理するための管理権限(アドミン権限)を有する管理者209が存在する。
ここで、社員の異動などにより、ディレクトリサービス上のユーザ情報への変更が発生した場合を考える。図3は、ディレクトリサービス301上において、ユニット304に社員C、社員Dに加えて、社員E310が追加された場合のユーザ情報の追加可否を示した図である。
組織上、ユニット304は、部302及び課303の配下にあるため、部長A305又は課長B306により、社員E310のユニット304への追加作業を実行できることが望ましい。しかしながら、部長A305、課長B306も、ディレクトリサービス301上では一般ユーザとして扱われるため、ユニット304への変更作業の権限を有していない。ユニット304に対する変更処理を行うには、管理者309と同様の管理権限を取得する必要があるが、管理権限を持つと、ユニット304だけでなく、課303及び部302を含む広範囲のグループに対する変更権限を持たせてしまうことになるため、特定の管理者であるアドミニストレータ309以外には極力権限も設定するべきではない。従って、例えば、社員の所属変更メールアドレスの変更など、ディレクトリサービスで管理している情報の変更作業にあたっては、大小関わらず、全て管理権限を有する管理者309が実行する必要があり、管理者309は、各部署において発生する各種ユーザ情報の変更要求に対応しなければならず、作業負荷が増大し、また、各部署でもユーザ管理に対する柔軟な対応がとりにくくなることに起因する、セキュリティレベル向上に対する制約又はセキュリティレベルの低下を招く恐れがある。
一方、ネットワーク資源に対するACL(Access Control list)の設定に関しては、社員の所属変更が発生した場合にも、ネットワーク資源に設定されたACLの再設定を必要としない組織階層定義システムが提案されている。図4は、その一例を示す図である。企業の組織階層401には、一般的には、部403、課404、ユニット405、という組織がある。各組織をディレクトリサービス402に示すような組織階層とは逆向きのグループ階層、ユニット406、課407、部408のツリーとし、ディレクトリサービス402に示されたグループをネットワーク資源に対するACLに設定することにより、グループ内の所属変更によるACLの再設定の必要を無くし、かつ、下位グループがアクセス権限を持つ資源に対しては、上位グループに所属するユーザもアクセス権限を持つことを可能としている。しかしながら、この方式においても、実際の作業として、ディレクトリサービス上のユーザ/グループの変更作業が必要となり、管理権限を持つ管理者が作業を実施する必要があるという点は同じである。
ところで、ユーザ/グループの管理権限を委譲するための手法として、組織単位(OU)がある。OUに対しては、管理者以外のユーザ/グループに対して、そのOU下のユーザ/グループの管理権限を委譲することができる。
しかしながら、OUは、ACLに設定することができないため、組織階層のグループを単にOUに変更した場合には、ネットワーク資源に対するアクセス権をユーザ個別に指定することとなり、部署毎に階層管理を行う意義がなくなってしまう。また、OUの管理者として、上位組織に所属しているユーザを意識して個別に設定しなければならない。また、組織階層を遡る上位階層のユーザそれぞれにも管理権限を設定したい場合に、組織階層を意識した管理権限の委譲が必要となり、所属変更の際にはOUの管理権限の設定も変更する必要が生じる。
本発明の目的は、ディレクトリサービスを利用して組織構造を考慮したユーザ管理を行う場合に、所属変更が発生した際にもネットワーク資源に対するACLを変更することなく、また、OUに対する管理者権限の変更も必要としないユーザ管理システムを提供することにある。また、下位組織ユーザ/グループの管理権限を、上位組織のユーザに委譲することを可能とすることを目的とする。
本発明の一観点によれば、ディレクトリサービスデータベースを備えたディレクトリサーバと、該ディレクトリサーバと通信する管理サーバと、を有する管理権限設定システムであって、前記管理サーバは、組織階層を定義する際に、前記ディレクトリサービスデータベースに、前記組織階層に対応した組織単位(OU)であって管理権限を設定可能な階層の組織単位と該OUに所属するグループとの組みが、ユーザ操作又は自動的に生成されることを特徴とする管理権限設定システムが提供される。尚、ディレクトリサーバと管理サーバとの間の通信プロトコルとしては、一般的にLDAP(Lightweight Directory Access Protocol)が利用される。
上記システムにおいては、ユーザ情報を管理するための管理権限(アドミン権限)を例えば階層単位で付与できるようにするために、組織単位OUとグループとを対応付けした。
OUに対しては、管理者以外のユーザ/グループに対して、そのOU下のユーザ/グループの管理権限を委譲することができる。前記組み単位で、権限を付与するかどうかを決めるので、任意のOUに対して権限を付与できる。
さらに、前記組織階層と逆向きのグループ階層を前記ディレクトリサービスデータベースに登録する手段を有することが好ましい。
本発明の他の観点によれば、ディレクトリサービスデータベースを備えたディレクトリサーバと、該ディレクトリサーバとLDAP等の通信プロトコルによって通信する管理サーバと、を有する管理権限設定システムにおける管理権限設定方法であって、組織階層を定義するステップであって、グループ/ユーザ情報をディレクトリサービスに登録するステップと、組織階層を表示するツリービューを表示画面に表示させるステップと、ツリービューに表示されている組織のいずれかを選択するステップと、選択した組織に所属する下位組織を定義する際に、定義された組織毎に、組織階層に対応した組織単位(OU)の階層とOUに所属するグループとを、組みで作成するステップと、前記組織単位で権限を設定するステップと、を有することを特徴とする管理権限設定方法が提供される。
前記ツリービュー表示を行った際に、該ツリービュー表示のうちの1つの組織を選択し、リストビューに選択した組織に属するユニットが表示された状態で、ユニットの追加を行うと、ユニットのOUとユニットのグループとの組が新たに作成され、選択した組織のOUの下にその上位の組織のグループを作成するステップと、該上位のグループに、下位のOUのACLを与えるステップと、下位のグループのメンバに上位のグループを追加するステップと、を有することが好ましい。
以上の処理により、部のグループは課のグループのメンバとして登録されるため、部から課に対して管理権限を設定できるようになる。
本発明によれば、以下のような効果を得ることができる。
(1)組織のユーザ/グループの管理を、管理権限を持つ管理者だけでなく、組織階層を遡る上位階層のユーザも実施することができる。
(2)上位階層のユーザに所属変更が発生した場合も、OUに対する管理者権限の変更が必要なく、ディレクトリサービス上での変更作業終了後速やかに下位組織に対するユーザ/グループの管理作業を開始することができる。
(1)組織のユーザ/グループの管理を、管理権限を持つ管理者だけでなく、組織階層を遡る上位階層のユーザも実施することができる。
(2)上位階層のユーザに所属変更が発生した場合も、OUに対する管理者権限の変更が必要なく、ディレクトリサービス上での変更作業終了後速やかに下位組織に対するユーザ/グループの管理作業を開始することができる。
以下、本発明の一実施の形態による管理権限付与システムについて、図面を参照しながら説明を行う。
図5は、本発明の一実施の形態による管理権限設定システムの一構成例を示す図である。図5に示す組織階層定義システムは、ディレクトリサービスデータベース505と、ディレクトリサービス部504を備えたディレクトリサーバ502と、このディレクトリサーバ502に対してLDAP等の通信プロトコルによって通信する管理サーバ501と、を有して構成される。また、管理サーバ501は、組織階層をGUIで定義する組織階層定義部503を備えている。
図6は、図5に示す組織階層定義部503における組織階層の具体的な定義例としての表示例を示す図である。図6に示す組織階層定義画面601において、GUIにより組織階層を定義することにより、組織階層に対応したグループ/ユーザ情報をディレクトリサービスに登録することができる。図6に示す組織階層定義画面601は、組織階層を表示するツリービュー部602と、ツリービュー部602で選択した組織に所属するユーザ、グループを表示するリストビュー部603とにより構成されている。図6に示す表示例においては、ツリービュー部602において課604を選択た状態を示しており、これに応じて、リストビュー部603に、選択された課604に所属する課長605と第1ユニット606とが表示されている。図示はしていないが、この状態では、例えば、ユーザの操作に基づいて、課長605に加えて対応する組織単位(OU)が課長というグループと対応関係を持って登録されるように構成されている。
例えば、組織変更に応じて、設計者がGUIにより新たなユニット(第2ユニット607)をリストビュー部603に追加したとする。すると、第2ユニット607とそれと対応付けされているOUとが、自動的に、或いは、ユーザの任意の選択操作により作成される。OUが付されているということは、管理権限を付与することができることを意味するため、部、課、ユニットなどのグループ毎に、任意にOUを付加して組とすることで、任意のグループに対して管理権限を付与できる状態とすることができる。
図7は、図6に示した組織階層例に対する、ディレクトリサービスの設定例を示す図である。図7に示す設定例701では、組織毎にディレクトリサービスにはOU702・703・704・708とグループ705・706・707・709とが設定された組711・712・713・714が設定されている。図7においては、OU702・703・704・708のACLとして、上位組織グループに、すなわち、第1ユニットOU704、第2ユニットOU708に対して、1階層上位の課グループ706が管理権限を持たせており(破線の矢印参照)、課OU703に対して、1階層上位の部グループ705が管理権限を持っている破線の矢印参照)。このような構成により、部グループ705に所属するユーザは、課OU703に所属するユーザ/グループの管理を実施することが出来る。また、課グループ706に所属するユーザは、ユニットOU704に所属するユーザ/グループの管理を実施することができるという利点がある。
但し、図7に示す例では、部グループ705はユニットOU704に対する管理権限を持たないため、ユニットOU704に所属するユーザ/グループの管理は実施できない。
そこで、各OUに対するグループを、組織階層とは逆向きのグループ階層化する。図8は、図7のグループの階層を示した図である。図8においては、部グループ807は、課グループ806のメンバとして登録されている。これにより、部グループ807は、課グループ806が持つユニットOU802のユーザ/グループの管理権限を継承することができる。また、図8のように、これらのOUに所属したグループに対してユーザを登録しておくことにより、グループ内のユーザ変更による速やかな下位組織に対するユーザ/グループの管理作業開始が実現できるという利点がある。
図9は、組織階層定義部の処理の概略を示すフローチャート図である。図10は、上述のようなユニットの追加に伴う処理の流れを示すフローチャート図である。
図9に示すように、処理が開始され、ステップS901において、組織階層を表示するツリービューを表示画面に表示させる。ステップS902において、ツリービューに表示されている組織のいずれかを選択する。ステップS903において、選択した組織に新規組織を登録する。ステップS904において、ツリービューで選択した組織に所属するユーザ(例えば課長)とユニットとがツリービューに表示される。
図10に示すように、ステップS903による新規組織の登録を行う際、例えば、ステップS1001において、ツリービュー表示のうちの課を選択した状態で、リストビューにユニットを追加する。ステップS1002において、ユニット追加に伴い、ユニットのOUが作成される。ステップS1003において、ユニットのグループを作成し、ユニットのOUに所属させる。ステップS1004において、ユニットのOUのACLとして、課のグループに管理権限を設定する。ステップS1005において、ユニットのグループのメンバに、課のグループを追加する。ユニット追加以前の課追加の際にも同様の処理を実施しておくことにより、部のグループは課のグループのメンバとして登録されているため、部のグループにはユニットの管理権限を持つ課のグループの権限が継承され、ユニットから課及び部に対して管理権限を委譲できるようになる。
以上に説明したように、本実施の形態による管理権限設定システムにおいては、(1)上位階層のユーザに所属変更が発生した場合も、OUに対する管理者権限の変更が必要なく、ディレクトリサービス上での変更作業終了後に速やかに下位組織に対するユーザ/グループの管理作業を開始することができる。(2)組織のユーザ/グループの管理を、管理権限を持つ管理者だけでなく、組織階層を遡る上位階層のユーザも実施させることができるという利点がある。従って、多くの組織であって頻繁に組織変更がなされる場合であっても、1人の管理者のみに負担をかけなくて良く、管理権限の付与に関する設定を詳細かつ容易に行うことができる。
尚、本発明は、本実施の形態による各ステップをコンピュータにより実行可能なプログラムの形態であっても良い。
本発明は、組織における管理権限付与システムとして利用可能である。
Claims (4)
- ディレクトリサービスデータベースを備えたディレクトリサーバと、該ディレクトリサーバと通信する管理サーバと、を有し、ディレクトリサービスのユーザ情報を管理するための管理権限を設定する管理権限設定システムであって、
前記管理サーバは、組織階層を定義する際に、前記ディレクトリサービスデータベースに、前記組織階層に対応した組織単位(OU)であって、前記管理権限を設定可能な階層の組織単位と該OUに所属するグループとの組みが、ユーザ操作により又は自動的に生成されることを特徴とする管理権限設定システム。 - さらに、前記組織階層と逆向きのグループ階層を前記ディレクトリサービスデータベースに登録する手段を有することを特徴とする請求項1に記載の管理権限設定システム。
- ディレクトリサービスデータベースを備えたディレクトリサーバと、該ディレクトリサーバと通信する管理サーバと、を有し、ディレクトリサービスのユーザ情報を管理するための管理権限を設定する管理権限設定システムにおける管理権限設定方法であって、
前記管理サーバが、
組織階層を定義するステップであって、グループ/ユーザ情報をディレクトリサービスに登録するステップと、組織階層を表示するツリービューを表示画面に表示させるステップと、ツリービューに表示されている組織のいずれかを選択するステップと、
選択した組織に所属する下位組織を定義する際に、定義された組織毎に、組織階層に対応した組織単位(OU)の階層とOUに所属するグループとを組みで作成するステップと、
前記組織単位で前記管理権限を設定するステップと、
を有する管理権限設定方法をコンピュータに実行させるためのプログラム。 - さらに、
前記管理サーバが、
前記ツリービュー表示をさせた際に、該ツリービュー表示のうちの1つの組織を選択し、リストビューに選択した組織に属するユニットが表示された状態で、ユニットの追加を行うと、ユニットのOUとユニットのグループとの組が新たに作成され、選択した組織のOUの下にその上位の組織のグループを作成するステップと、
該上位のグループに、下位のOUのACLを与えるステップと、下位のグループのメンバに上位のグループを追加するステップと、を有する管理権限設定方法をコンピュータに実行させるための請求項3に記載のプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006297787A JP4865507B2 (ja) | 2006-11-01 | 2006-11-01 | 管理権限設定システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006297787A JP4865507B2 (ja) | 2006-11-01 | 2006-11-01 | 管理権限設定システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008117052A JP2008117052A (ja) | 2008-05-22 |
| JP4865507B2 true JP4865507B2 (ja) | 2012-02-01 |
Family
ID=39502929
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006297787A Expired - Fee Related JP4865507B2 (ja) | 2006-11-01 | 2006-11-01 | 管理権限設定システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4865507B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7236337B2 (ja) | 2019-06-19 | 2023-03-09 | 三菱重工業株式会社 | 複合材翼及び複合材翼の成形方法 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104346439B (zh) * | 2014-10-10 | 2018-10-19 | 秦元 | 圈层体系构建方法及装置 |
| KR101697301B1 (ko) * | 2016-08-29 | 2017-01-17 | 주식회사 넷앤드 | Dbms에 대한 보안을 강화하는 방법 및 시스템 |
| CN113496037A (zh) * | 2020-03-19 | 2021-10-12 | 腾讯科技(深圳)有限公司 | 一种组织架构权限设置方法、装置、设备及存储介质 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0594389A (ja) * | 1991-10-03 | 1993-04-16 | Nec Corp | デイレクトリシステム安全保護方式 |
| JP3576008B2 (ja) * | 1998-10-09 | 2004-10-13 | 株式会社東芝 | アクセス制御設定システム及び記憶媒体 |
| JP2001117803A (ja) * | 1999-10-15 | 2001-04-27 | Hitachi Ltd | アクセス権判定方法および装置およびアクセス権判定プログラムを記録したコンピュータ読み取り可能な記録媒体 |
| JP2002116944A (ja) * | 2000-10-11 | 2002-04-19 | Hitachi Ltd | メンバシップ管理方法 |
| JP2003280990A (ja) * | 2002-03-22 | 2003-10-03 | Ricoh Co Ltd | 文書処理装置及び文書を管理するためのコンピュータプログラム |
| JP4556636B2 (ja) * | 2004-11-19 | 2010-10-06 | 日本電気株式会社 | 動的組織管理システム、動的組織管理方法、動的組織管理装置および動的組織管理プログラム |
| JP4932291B2 (ja) * | 2006-03-22 | 2012-05-16 | 株式会社日立ソリューションズ | アクセス権制御システム |
-
2006
- 2006-11-01 JP JP2006297787A patent/JP4865507B2/ja not_active Expired - Fee Related
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7236337B2 (ja) | 2019-06-19 | 2023-03-09 | 三菱重工業株式会社 | 複合材翼及び複合材翼の成形方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2008117052A (ja) | 2008-05-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9727744B2 (en) | Automatic folder access management | |
| US9172621B1 (en) | Unified account metadata management | |
| US9047462B2 (en) | Computer account management system and realizing method thereof | |
| CA2732839C (en) | Techniques to manage access to organizational information of an entity | |
| US20050060572A1 (en) | System and method for managing access entitlements in a computing network | |
| AU2002216658C1 (en) | System and method for application-level security | |
| AU2002216658A1 (en) | System and method for application-level security | |
| JP2010538365A (ja) | 転送可能な制限付きセキュリティトークン | |
| JP2010500652A (ja) | 信用管理システムおよび方法 | |
| JP2005503596A (ja) | リソース共有システムと方法 | |
| JP4865507B2 (ja) | 管理権限設定システム | |
| CN112702348A (zh) | 一种系统权限管理方法及装置 | |
| WO2002067173A9 (en) | A hierarchy model | |
| WO2020258694A1 (zh) | 一种域名管理方法及系统 | |
| JP4932291B2 (ja) | アクセス権制御システム | |
| JP2007272387A (ja) | ファイルアクセス権限設定システム | |
| JP7399364B1 (ja) | 情報管理制御装置、情報管理制御システム、情報管理制御方法、および、プログラム | |
| CN115001729B (zh) | 用户权限管控方法、装置、设备及介质 | |
| JP2017098763A (ja) | 管理サーバーおよび管理方法 | |
| Kotrba | Remote Service Errors and Permissions | |
| AU2002245006B2 (en) | A hierarchy model | |
| Huawei Technologies Co., Ltd. | Database Security Fundamentals | |
| Wesselius et al. | Permissions and Access Control | |
| JPWO2013171968A1 (ja) | 上映管理装置および上映管理方法 | |
| Scholtz et al. | Systematic composition of web-based applications with focus on security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090702 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110810 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110823 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111021 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111108 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111110 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141118 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |