JP4932291B2 - Access right control system - Google Patents

Access right control system Download PDF

Info

Publication number
JP4932291B2
JP4932291B2 JP2006078396A JP2006078396A JP4932291B2 JP 4932291 B2 JP4932291 B2 JP 4932291B2 JP 2006078396 A JP2006078396 A JP 2006078396A JP 2006078396 A JP2006078396 A JP 2006078396A JP 4932291 B2 JP4932291 B2 JP 4932291B2
Authority
JP
Japan
Prior art keywords
group
organization
hierarchy
access
directory service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006078396A
Other languages
Japanese (ja)
Other versions
JP2007257127A (en
Inventor
将彦 眞野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Solutions Ltd
Original Assignee
Hitachi Solutions Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Solutions Ltd filed Critical Hitachi Solutions Ltd
Priority to JP2006078396A priority Critical patent/JP4932291B2/en
Publication of JP2007257127A publication Critical patent/JP2007257127A/en
Application granted granted Critical
Publication of JP4932291B2 publication Critical patent/JP4932291B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、企業内のユーザ情報やネットワーク上にある資源を一元管理するディレクトリサービスを利用したシステムに関するものである。   The present invention relates to a system using a directory service that centrally manages user information in a company and resources on a network.

近年企業内には、人事システム、経理システムなどアプリケーションや、ファイルを共有するためのファイルサーバが数多く構築されている。従来、これらのアプリケーションやファイルサーバを利用するユーザの情報は個別に管理されてきたが、管理が煩雑であるという問題があった。
この問題を解決する手段として、ユーザ情報やネットワーク上にある資源を一元管理するディレクトリサービスが普及しつつある。また、ディレクトリサービスにアクセスするプロトコルもLDAP(Lightweight Directory Access Protocol)という規格になっている。 In recent years, many applications such as personnel systems and accounting systems and file servers for sharing files have been built in the enterprise. Conventionally, information on users who use these applications and file servers has been individually managed, but there is a problem that management is complicated.
As a means for solving this problem, a directory service for centrally managing user information and resources on a network is becoming widespread. A protocol for accessing the directory service is also a standard called LDAP (Lightweight Directory Access Protocol).

また、ファイルサーバのフォルダやファイルへのアクセス権を制御する場合、フォルダやファイルに対してACL(Access Control List)を設定する。ACLには、ディレクトリサービスで管理されているユーザやグループに対して、どのような操作を許可するかを指定する。
図14は、ACLの設定例である。ディレクトリサービス1401には、Aグループ1402とBグループ1405とを登録している。Aグループ1402には、Cユーザ1403とDユーザ1404を追加しており、Bグループ1405には、Eユーザ1406とFユーザ1407を追加している。このとき、フォルダ1408にはAグループに対して、「読み込み」のアクセス権を指定している。これにより、フォルダ1408を参照できるユーザをCユーザ1403とDユーザ1404のみに制限できる(例えば、特許文献1参照)。 Also, when controlling access rights to a folder or file on the file server, an ACL (Access Control List) is set for the folder or file. The ACL specifies what operations are permitted for users and groups managed by the directory service.
FIG. 14 shows an ACL setting example. In the directory service 1401, an A group 1402 and a B group 1405 are registered. C user 1403 and D user 1404 are added to A group 1402, and E user 1406 and F user 1407 are added to B group 1405. At this time, the “read” access right is designated for the folder A 1408 for the A group. Thereby, users who can refer to the folder 1408 can be limited to only the C user 1403 and the D user 1404 (see, for example, Patent Document 1).

特開2005−338935号公報(段落番号0008〜0010、図1、図2)Japanese Patent Laying-Open No. 2005-338935 (paragraph numbers 0008 to 0010, FIGS. 1 and 2)

ACLを設定して、企業内のファイルサーバに対するアクセス権を制御するケースを考える。
図1は企業の組織階層の例である。図1に示すように、組織階層の最上位に会社101があり、その組織には社長111が所属している。会社101の下には、設計部102と営業部105があり、それぞれの組織には、A部長112とB部長117が所属している。さらに設計部102の下には、設計部第1グループ103と設計部第2グループ104があり、それぞれの組織には、C課長113、D社員114と、E課長115、F社員116が所属している。 Consider a case where ACL is set to control access rights to a file server in a company.
FIG. 1 shows an example of an organization hierarchy of a company. As shown in FIG. 1, a company 101 is at the top of the organization hierarchy, and a president 111 belongs to the organization. Under the company 101, there are a design department 102 and a sales department 105, and an A department manager 112 and a B department manager 117 belong to each organization. Further, under the design department 102, there are a design department first group 103 and a design department second group 104, each of which includes a section manager 113, a staff D 114, a section manager E 115, and a staff F 116. ing.

図2は、図1に示した組織階層をディレクトリサービスのグループとユーザで表した図である。図2に示すように、図1で示した組織はディレクトリサービス上のグループとして表現される。また、組織の階層はグループの階層で表現することができる。これによると、グループ階層の最上位には会社201がある。   FIG. 2 is a diagram showing the organizational hierarchy shown in FIG. 1 by directory service groups and users. As shown in FIG. 2, the organization shown in FIG. 1 is expressed as a group on the directory service. The organization hierarchy can be expressed as a group hierarchy. According to this, there is a company 201 at the top of the group hierarchy.

一方、ACLの設定について考えると、企業内のリソースという特性から、下位の組織が管理するファイルやフォルダに対して、上位の組織に所属する人がアクセスできるようにしたい場合が多い。具体的には、図1の設計部第1グループ103が管理するファイルやフォルダに対しては、A部長112や社長111が読み込みのためのアクセスをできるようにしたい場合である。また、書き込みのためのアクセスに設定することもできる。   On the other hand, considering ACL settings, there are many cases where it is desired that a person belonging to a higher organization can access files and folders managed by a lower organization because of the characteristics of resources in the company. Specifically, this is a case where the department manager A 112 or the president 111 wants to be able to access the files and folders managed by the design department first group 103 in FIG. 1 for reading. It is also possible to set access for writing.

これを実現するためには、図3に示すようなACLを設定する。図3は、アクセス権をフォルダやファイルに対して設定するACLを示し、上位組織に属するユーザもアクセスできるように設定したACLを示した図である。つまり、図3に示すように、フォルダ301に対して、設計部第1グループのアクセス権304、A部長のアクセス権303、社長のアクセス権302の3つのアクセス権を指定する必要がある。   In order to realize this, an ACL as shown in FIG. 3 is set. FIG. 3 is a diagram showing an ACL for setting access rights for folders and files, and an ACL set so that users belonging to a higher organization can also access. That is, as shown in FIG. 3, it is necessary to specify three access rights for the folder 301: the design department first group access right 304, the manager A access right 303, and the president access right 302.

この指定方法には従来2つの問題点があった。一つは、ACLを設定するときに、組織階層を意識して、上位組織に所属しているユーザを個別に指定しなければならないことである。図3の例では、上位組織に所属しているユーザを意識して、A部長のアクセス権303と、社長のアクセス権302を個別にACLに設定しなければならない。   There have been two problems with this designation method. One is that when setting an ACL, it is necessary to individually designate users belonging to a higher organization in consideration of the organizational hierarchy. In the example of FIG. 3, the access right 303 for the manager A and the access right 302 for the president must be individually set to ACL in consideration of the users belonging to the upper organization.

もう一つは、組織の変更に同期して、ファイルサーバなどのリソースに設定したACLを変更しなければならないことである。
企業では、人事異動や組織改変、退職や新人の採用等によって、組織に所属するユーザの情報や組織階層が頻繁に変更される。そのため、組織の変更に同期してファイルやフォルダに設定したACLを変更する必要がある。図3の例では、設計部の部長が異動した場合、ACLを変更する必要がある。 The other is that the ACL set for a resource such as a file server must be changed in synchronization with the change of the organization.
In a company, the information and organizational hierarchy of users belonging to an organization are frequently changed due to personnel changes, organizational changes, retirement, recruitment of new employees, and the like. Therefore, it is necessary to change the ACL set for the file or folder in synchronization with the change of the organization. In the example of FIG. 3, the ACL needs to be changed when the general manager of the design section changes.

このように、ファイルやフォルダに設定したACLを組織の変更に同期させることは、ファイルの数が多い場合、非常に煩雑な作業となる。このため、ACLの変更漏れが発生したり、実際の組織とファイルに対するアクセス権が一致しない状態がたびたび発生したりしてしまう。   As described above, synchronizing ACLs set for files and folders with organizational changes is a very complicated task when the number of files is large. For this reason, an ACL change omission occurs, or a state in which the access right to the actual organization and the file does not match often occurs.

本発明は、前記問題を解決するために創案されたものであり、企業内のファイルサーバに対するアクセス権をACLで制御する場合に、上位組織に属するユーザをアクセス可能とし、かつ、組織改変時のACL変更が不要となるグループ階層をディレクトリサービスデータベースに登録するアクセス権制御システムを提供することを課題とする。 The present invention was devised to solve the above problem, and when the access right to the file server in the enterprise is controlled by the ACL, the user belonging to the higher organization can be accessed, and at the time of the organization change It is an object of the present invention to provide an access right control system that registers a group hierarchy in which an ACL change is unnecessary in a directory service database.

上記課題を達成するために、本発明に係るアクセス権制御システムは、
ィレクトリサービスデータベースを備えたディレクトリサーバと、LDAPを用いて前記ディレクトリサーバと通信する管理サーバとを備えたアクセス権制御システムであって、
前記管理サーバが、
下位組織が上位組織に所属する階層として構成される組織階層に含まれる最下層の組織ごとに、上位組織に対応するグループが下位組織に対応するグループに所属する階層として構成されるグループ階層を作成し、当該グループ階層を前記ディレクトリサーバのディレクトリサービスデータベースに登録するグループ階層登録手段と、
フォルダおよび/またはファイルに対する前記グループ階層に含まれる各グループのアクセス権を指定するアクセスコントロールリストを設定するアクセスコントロールリスト設定手段と、
前記ディレクトリサーバのディレクトリサービスデータベースに登録されているグループ階層と、前記アクセスコントロールリスト設定手段によって設定されたアクセスコントロールリストとに基づいて前記フォルダおよび/またはファイルへのアクセス権を制御するアクセス権制御手段と、
を備えることを特徴とする。 In order to achieve the above object, an access right control system according to the present invention includes:
And directory server with a de I directory service database, an access right control system including a management server in communication with the directory server using the LDAP,
The management server is
For each lower-level organization included in the organizational hierarchy that is configured as a hierarchy in which the lower organization belongs to the upper organization, a group hierarchy that is configured as a hierarchy in which the group corresponding to the upper organization belongs to the group corresponding to the lower organization is created. Group hierarchy registration means for registering the group hierarchy in the directory service database of the directory server ;
Access control list setting means for setting an access control list for specifying the access rights of each group included in the group hierarchy with respect to folders and / or files;
Access right control means for controlling access rights to the folder and / or file based on the group hierarchy registered in the directory service database of the directory server and the access control list set by the access control list setting means When,
It comprising: a.

本発明によれば、企業内のファイルサーバに対するアクセス権を制御する場合に、上位組織に属するユーザをアクセス可能とし、かつ、組織改変時のACL変更が不要となるグループ階層をディレクトリサービスデータベースに登録することができ、組織階層と逆向きに構成されたグループ階層を再帰的に処理してツリー表示することができる。 According to the present invention, when controlling the access to the file server companies Gonai, a user belonging to the upper tissue accessible, and, a group hierarchy ACL change during tissue modification is not required in the directory service database It is possible to register and to display a tree by recursively processing a group hierarchy configured in the opposite direction to the organization hierarchy.

以下、本発明を適用したアクセス権制御システムの一実施の形態について、図面を参照して詳細に説明する。
図4は、本発明の実施形態の一例を示すシステム構成図である。図4に示すように、このアクセス権制御システム400は、ディレクトリサービスデータベース(ディレクトリサービスDB)405を備えたディレクトリサーバ403と、このディレクトリサーバ403に対してアクセスする管理サーバ401を備えている。 Hereinafter, an embodiment of an access right control system to which the present invention is applied will be described in detail with reference to the drawings.
FIG. 4 is a system configuration diagram showing an example of an embodiment of the present invention. As shown in FIG. 4, the access right control system 400 includes a directory server 403 including a directory service database (directory service DB) 405 and a management server 401 that accesses the directory server 403.

また、管理サーバ401は、ディレクトリサーバ403に対してLDAPでアクセスし、組織階層をGUI(Graphical User Interface)で定義する組織階層定義部402を備えている。組織階層定義部402は、組織階層定義画面表示部411、GUI入力部412、及びディレクトリサービス登録部413を備えている。
また、ディレクトリサーバ403は、ディレクトリサービス部404を備えている。 In addition, the management server 401 includes an organization hierarchy definition unit 402 that accesses the directory server 403 using LDAP and defines an organization hierarchy using a GUI (Graphical User Interface). The organization hierarchy definition unit 402 includes an organization hierarchy definition screen display unit 411, a GUI input unit 412, and a directory service registration unit 413.
In addition, the directory server 403 includes a directory service unit 404.

図5は、図4に示した組織階層定義部402の組織階層定義画面表示部411が表示する組織階層定義画面501の具体例である。組織階層定義画面501は、GUI入力部412を介して組織階層を定義することで、組織階層に対応したグループ階層を、ディレクトリサービス登録部413を介してディレクトリサービスに登録する画面である。
図5に示すように、組織階層定義画面501は、組織階層を表示するツリービュー502と、組織階層で選択している組織505に属するユーザとグループを表示するリストビュー503とを備えている。リストビュー503の表示内容は、ツリービュー502で選択している組織に応じて変わる。図5の例では、ツリービュー502で設計部504を選択しているため、リストビュー503には、設計部504の下位組織である設計部第1グループ506と、設計部504に所属しているA部長507とを表示している。 FIG. 5 is a specific example of the organization hierarchy definition screen 501 displayed by the organization hierarchy definition screen display unit 411 of the organization hierarchy definition unit 402 shown in FIG. The organization hierarchy definition screen 501 is a screen for registering a group hierarchy corresponding to the organization hierarchy in the directory service via the directory service registration unit 413 by defining the organization hierarchy via the GUI input unit 412.
As shown in FIG. 5, the organization hierarchy definition screen 501 includes a tree view 502 that displays an organization hierarchy, and a list view 503 that displays users and groups belonging to the organization 505 selected in the organization hierarchy. The display content of the list view 503 changes according to the organization selected in the tree view 502. In the example of FIG. 5, since the design unit 504 is selected in the tree view 502, the list view 503 belongs to the design unit first group 506, which is a subordinate organization of the design unit 504, and the design unit 504. A section manager 507 is displayed.

図6は、組織階層定義画面に表示される組織階層と、ディレクトリサービス部404に定義されるグループ階層の関係を示した図である。
図6に示すように、組織階層定義画面601では、会社602の下位組織として、設計部603が定義されている。さらに、設計部603には下位組織として、設計部第1グループ604が定義されている。 FIG. 6 is a diagram showing the relationship between the organization hierarchy displayed on the organization hierarchy definition screen and the group hierarchy defined in the directory service unit 404.
As shown in FIG. 6, in the organization hierarchy definition screen 601, a design unit 603 is defined as a subordinate organization of the company 602. Further, the design unit 603 defines a design unit first group 604 as a subordinate organization.

このとき本システム(アクセス権制御システム400)のディレクトリサービス登録部413では、ディレクトリサービス606に、管理サーバ401における組織階層と逆向きのグループ階層を定義する。つまり、設計部第1
グループ607に含まれるグループとして、設計部608を定義し、さらに、会社609を設計部608に含まれるグループとして定義する。これにより、上位組織が下位組織に含まれるグループ階層となるため、下位組織を表すグループのACLを設定するだけで、上位組織に属するユーザもアクセス可能となる。 At this time, the directory service registration unit 413 of this system ( access right control system 400) defines a group hierarchy opposite to the organizational hierarchy in the management server 401 in the directory service 606. In other words, the design department first
The design unit 608 is defined as a group included in the group 607, and the company 609 is defined as a group included in the design unit 608. As a result, since the upper organization is a group hierarchy included in the lower organization, it is possible to access users belonging to the upper organization only by setting the ACL of the group representing the lower organization.

図7は、組織階層に設計部第2グループを追加した後の組織階層定義画面を示した図である。図7に示すように、組織階層定義画面701では、ツリービュー702に示す設計部704の下位組織である、設計部第1グループと設計部第2グループ、さらに、設計部704に所属しているA部長をリストビュー703に表示している。   FIG. 7 is a diagram showing the organization hierarchy definition screen after adding the design unit second group to the organization hierarchy. As shown in FIG. 7, the organization hierarchy definition screen 701 belongs to the design unit first group, the design unit second group, and the design unit 704, which are subordinate organizations of the design unit 704 shown in the tree view 702. The manager A is displayed in the list view 703.

図8は、組織階層に設計部第2グループを追加した後のディレクトリサービス上のグループ階層を示した図である。図8に示すように、図6と比較すると、新たに設計部第2グループ804が追加され、さらに、設計部805が設計部第2グループ804に含まれるグループとして定義されている。なお、この図8では、設計部802と設計部805、会社803と会社806は同じオブジェクトを指している。このとき、設計部(802、805)と会社(803、806)の階層関係は変わらないので、会社806も間接的に設計部第2グループ804に含まれるグループになっている。   FIG. 8 is a diagram showing the group hierarchy on the directory service after adding the design unit second group to the organization hierarchy. As shown in FIG. 8, compared with FIG. 6, the design unit second group 804 is newly added, and the design unit 805 is further defined as a group included in the design unit second group 804. In FIG. 8, the design unit 802 and the design unit 805, and the company 803 and the company 806 indicate the same object. At this time, since the hierarchical relationship between the design departments (802, 805) and the company (803, 806) does not change, the company 806 is also indirectly included in the design department second group 804.

図9は、組織階層定義システムにおいて、組織を新規に作成する処理の概要を示すフローチャートである。組織階層定義画面で組織を新規に作成すると、図9に示すように、まず、組織に一対一で対応するグループをディレクトリサービス上に作成する(ステップ901)。図7と図8に示した例では設計部第2グループに対応するグループをディレクトリサービス上に作成することになる。   FIG. 9 is a flowchart showing an overview of processing for creating a new organization in the organization hierarchy definition system. When a new organization is created on the organization hierarchy definition screen, as shown in FIG. 9, first, a group corresponding to the organization is created on the directory service (step 901). In the example shown in FIGS. 7 and 8, a group corresponding to the second design group is created on the directory service.

次に、作成する組織の上位組織に対応するグループを取得する(ステップ902)。図7と図8に示した例では設計部第2グループの上位組織である設計部に対応するグループがそれにあたる。   Next, a group corresponding to the organization above the organization to be created is acquired (step 902). In the example shown in FIG. 7 and FIG. 8, the group corresponding to the design department which is a higher organization of the design department second group corresponds to this.

次に、組織の階層関係をグループの階層関係として定義する。具体的には、上位組織に対応するグループを、新規に作成するグループのmember属性に追加する(ステップ903)。member属性とは、ディレクトリサービス上のあるグループに所属するオブジェクトを示す属性であるが、本システム(アクセス権制御システム400)では、組織階層と逆向きのグループ階層を作成するため、member属性は、ある組織の上位組織を表していることになる。
図7と図8に示した例では設計部第2グループのmember属性に、設計部に対応するグループを追加することになる。 Next, the organizational hierarchical relationship is defined as a group hierarchical relationship. Specifically, a group corresponding to the higher organization is added to the member attribute of the newly created group (step 903). The member attribute is an attribute indicating an object belonging to a certain group on the directory service. In this system ( access right control system 400), a group hierarchy opposite to the organization hierarchy is created. It represents the upper organization of a certain organization.
In the example shown in FIG. 7 and FIG. 8, a group corresponding to the design unit is added to the member attribute of the design unit second group.

図10はディレクトリサービスに格納されたグループ階層から組織階層をツリー表示する処理の概要を示すフローチャートである。図10に示すように、はじめに最上位の組織に対応するグループを取得する(ステップ1001)。図8に示した例では、会社(803および806)がそれにあたる。
つづいて最上位の組織、つまり会社(803および806)をツリービューに表示する(ステップ1002)。会社(803および806)の下位の組織を表示する処理(ステップ1003)は、図11に示すフローチャートに示す再帰的な処理となる。 FIG. 10 is a flowchart showing an outline of processing for displaying an organization hierarchy from a group hierarchy stored in a directory service as a tree. As shown in FIG. 10, first, a group corresponding to the highest organization is acquired (step 1001). In the example shown in FIG. 8, companies (803 and 806) correspond to this.
Subsequently, the highest-level organization, that is, companies (803 and 806) are displayed in the tree view (step 1002). The process (step 1003) for displaying the organization under the company (803 and 806) is a recursive process shown in the flowchart shown in FIG.

図11は下位の組織階層を再帰的に表示する処理の概要を示すフローチャートである。図11に示すように、まず、対象となるグループのmemberOf属性を取得する(ステップ1101)。MemberOf属性とは、ディレクトリサービス上のあるオブジェクトが所属するグループを示す属性であるが、本システムで作成したグループ階層は、組織階層と逆向きのツリーになっているため(図6参照)、memberOf属性は、ある組織の下位組織を表していることになる。   FIG. 11 is a flowchart showing an outline of processing for recursively displaying lower organization hierarchies. As shown in FIG. 11, first, the memberOf attribute of the target group is acquired (step 1101). The MemberOf attribute is an attribute indicating a group to which an object on the directory service belongs. However, since the group hierarchy created by this system is a tree opposite to the organization hierarchy (see FIG. 6), memberOf The attribute represents a subordinate organization of a certain organization.

次に、対象となるグループのmemberOf属性があるかどうかを判定する(ステップ1102)。図8の例では、会社(803および806)が所属するグループ、つまり設計部(802および805)が取得されているため、次のステップへ進む。
以降の処理は、memberOf属性のグループ数を繰り返す(ステップ1103)。
まず、memberOf属性のグループを対象となるグループの下位組織として表示する(ステップ1104)。図8の例では、設計部(802および805)を会社(803および806)の下位組織として表示する。 Next, it is determined whether there is a memberOf attribute of the target group (step 1102). In the example of FIG. 8, since the group to which the company (803 and 806) belongs, that is, the design unit (802 and 805) is acquired, the process proceeds to the next step.
In the subsequent processing, the number of groups of the memberOf attribute is repeated (step 1103).
First, the memberOf attribute group is displayed as a subordinate organization of the target group (step 1104). In the example of FIG. 8, the design departments (802 and 805) are displayed as subordinate organizations of the company (803 and 806).

次に、設計部(802および805)を対象グループとして、再帰的に処理を繰り返す。
つまり、設計部(802および805)のmemberOf属性を取得する(ステップ1101)。
設計部(802および805)は設計部第1グループ801および設計部第2グループ804に所属しているため、次のステップへ進む。 Next, the process is recursively repeated with the design units (802 and 805) as the target group.
That is, the memberOf attribute of the design unit (802 and 805) is acquired (step 1101).
Since the design units (802 and 805) belong to the design unit first group 801 and the design unit second group 804, the process proceeds to the next step.

memberOf属性のグループを対象となるグループの下位組織として表示する(ステップ1104)。つまり、設計部第1グループ801および設計部第2グループ804を設計部(802および805)の下位組織として表示する。
さらに、設計部第1グループ801および設計部第2グループ804を対象グループとして、再帰的に処理を繰り返すが、それぞれのグループはどのグループにも所属していない、つまり、memberOf属性がないため、表示処理は終了する。
以上のステップにより、ディレクトリサービスに格納されたグループ階層から組織階層をツリー表示する。 The group of the memberOf attribute is displayed as a subordinate organization of the target group (step 1104). That is, the design unit first group 801 and the design unit second group 804 are displayed as subordinate organizations of the design unit (802 and 805).
Furthermore, the design unit first group 801 and the design unit second group 804 are used as target groups, and the process is recursively repeated, but each group does not belong to any group, that is, there is no memberOf attribute. The process ends.
Through the above steps, the organization hierarchy is displayed as a tree from the group hierarchy stored in the directory service.

図12は、本システムで図1に示した組織階層を定義した時の、ディレクトリサービス上に登録されているグループとユーザを示した図である。
図12には、図1に示した組織階層とは逆向きのグループ階層が構成されている。例えば、設計部(1202および1205)は、設計部第1グループ1201と設計部第2グループ1204に所属するグループになっている。また、会社(1203、1206および1208)は、設計部(1202および1205)と営業部1207の所属するグループになっている。 FIG. 12 is a diagram showing groups and users registered on the directory service when the organizational hierarchy shown in FIG. 1 is defined in this system.
In FIG. 12, a group hierarchy opposite to the organizational hierarchy shown in FIG. 1 is configured. For example, the design units (1202 and 1205) are groups belonging to the design unit first group 1201 and the design unit second group 1204. The companies (1203, 1206, and 1208) are in a group to which the design department (1202 and 1205) and the sales department 1207 belong.

図13は、図12に示したグループを利用してACLを設定した例である。図13に示すように、この例では、設計部第1グループに対して、「読み込み」のアクセス権1302を指定している。このようにACLを設定した場合、社長、A部長、C課長、D社員の4人がアクセスできるフォルダ1301となる。すなわち、ACLを設定する際には、上位の組織階層を意識する必要はない。また、設計部の部長が変わった場合にも、ディレクトリサービス側で、設計部に所属するユーザを変更するだけで良く、フォルダに設定されたACLを変更する必要はない。   FIG. 13 shows an example in which an ACL is set using the group shown in FIG. As shown in FIG. 13, in this example, the “read” access right 1302 is designated for the design group first group. When the ACL is set in this way, the folder 1301 can be accessed by four people: the president, the department manager A, the section manager C, and the employee D. That is, when setting the ACL, it is not necessary to be aware of the upper organizational hierarchy. Also, when the manager of the design department changes, it is only necessary to change the user belonging to the design department on the directory service side, and it is not necessary to change the ACL set in the folder.

以上のように、本実施の形態のアクセス権制御システム400によれば、次のような効果がある。
(1)GUIを用いて組織階層を定義することで、組織階層と逆向きのグループ階層をディレクトリサービスデータベースに登録することができる。
(2)前項(1)で登録したグループをファイルやフォルダのACLに設定することで、上位組織に属するユーザを自動的にアクセス可能とすることができる。また、組織改変時には、ディレクトリサービス側でグループに所属するユーザを変更するだけで良く、ファイルやフォルダのACLを再設定する必要はない。 As described above, the access right control system 400 according to the present embodiment has the following effects.
(1) By defining an organizational hierarchy using a GUI, a group hierarchy opposite to the organizational hierarchy can be registered in the directory service database.
(2) By setting the group registered in (1) in the ACL of the file or folder, users belonging to the higher organization can be automatically accessed. Further, when the organization is changed, it is only necessary to change the user belonging to the group on the directory service side, and it is not necessary to reset the ACL of the file or folder.

以上、好ましい実施の形態について説明したが、本発明は前記実施の形態に限定されるものではなく、本発明の要旨を逸脱することのない範囲内において適宜の変更が可能なものである。例えば、ディレクトリサービスにアクセスするプロトコルをLDAPとしたが、他のプロトコルであっても構わない。また、GUIを用いて組織階層を定義するとしたが、他のインターフェースであっても構わない。   The preferred embodiments have been described above. However, the present invention is not limited to the above-described embodiments, and appropriate modifications can be made without departing from the scope of the present invention. For example, although the protocol for accessing the directory service is LDAP, other protocols may be used. In addition, the organizational hierarchy is defined using the GUI, but other interfaces may be used.

組織階層の例を示した図である。It is the figure which showed the example of the organization hierarchy. 組織階層の例をディレクトリサービスのグループとユーザで表した図である。It is the figure which represented the example of the organization hierarchy by the group and user of the directory service. 上位組織に属するユーザもアクセスできるように設定したACLの例を示した図である。It is the figure which showed the example of ACL set so that the user which belongs to a high-order organization could also access. 本発明の一実施の形態を示すシステム構成図である。1 is a system configuration diagram showing an embodiment of the present invention. 組織階層定義部の例を示した図である。It is the figure which showed the example of the organization hierarchy definition part. 組織階層とグループ階層の関係を示した図である。It is the figure which showed the relationship between an organization hierarchy and a group hierarchy. 組織階層に設計部第2グループを追加した後の組織階層定義画面を示した図である。It is the figure which showed the organization hierarchy definition screen after adding a design part 2nd group to an organization hierarchy. 組織階層に設計部第2グループを追加した後のディレクトリサービス上のグループ階層を示した図である。It is the figure which showed the group hierarchy on the directory service after adding a design part 2nd group to an organization hierarchy. 組織を新規に作成する処理の概要を示すフローチャートである。It is a flowchart which shows the outline | summary of the process which creates a structure | tissue newly. 組織階層を表示する処理の概要を示すフローチャートである。It is a flowchart which shows the outline | summary of the process which displays an organization hierarchy. 下位の組織階層を再帰的に表示する処理の概要を示すフローチャートである。It is a flowchart which shows the outline | summary of the process which displays a lower organization hierarchy recursively. 図1に示した組織階層を定義した場合に作成されるグループとユーザを示した図である。FIG. 2 is a diagram showing groups and users created when the organizational hierarchy shown in FIG. 1 is defined. 本システムで作成したグループをACLに設定した例を示した図である。It is the figure which showed the example which set the group created with this system to ACL. 従来例に係るACLの設定例を示した図である。It is the figure which showed the example of a setting of ACL which concerns on a prior art example.

符号の説明Explanation of symbols

101,201,602,609,803,806,1203,1206,1208 会社
102,212,504,603,608,704,802,805,1202,1205
設計部
103,222,506,604,607,801,1201 設計部第1グループ
104,223,804,1204 設計部第2グループ
105,213,702,1207 営業部
111,211 社長
112,221,507 A部長
113,231 C課長
114,232 D社員
115,233 E課長
116,234 F社員
224 B部長
301,1301 フォルダ
302,303,304,1302 アクセス権(読み込み)
400 アクセス権制御システム
401 管理サーバ
402 組織階層定義部
403 ディレクトリサーバ
404 ディレクトリサービス部
405 ディレクトリサービスデータベース(ディレクトリサービスDB)
411 組織階層定義画面表示部
412 GUI入力部
413 ディレクトリサービス登録部
501,601,701 組織階層定義画面
502 ツリービュー
503,703 リストビュー
505 組織
606 ディレクトリサービス 101, 201, 602, 609, 803, 806, 1203, 1206, 1208 Company 102, 212, 504, 603, 608, 704, 802, 805, 1202, 1205
Design Department 103, 222, 506, 604, 607, 801, 1201 Design Department First Group 104, 223, 804, 1204 Design Department Second Group 105, 213, 702, 1207 Sales Department 111, 211 President 112, 221, 507 A department manager 113, 231 C manager 114, 232 D employee 115, 233 E manager 116, 234 F employee 224 B manager 301, 1301 Folder 302, 303, 304, 1302 Access right (read)
400 access right control system 401 management server 402 organization hierarchy definition unit 403 directory server 404 directory service unit 405 directory service database (directory service DB)
411 Organization hierarchy definition screen display unit 412 GUI input unit 413 Directory service registration unit 501, 601, 701 Organization hierarchy definition screen 502 Tree view 503, 703 List view 505 Organization 606 Directory service

Claims (3)

ディレクトリサービスデータベースを備えたディレクトリサーバと、LDAPを用いて前記ディレクトリサーバと通信する管理サーバとを備えたアクセス権制御システムであって、
前記管理サーバ
下位組織が上位組織に所属する階層として構成される組織階層に含まれる最下層の組織ごとに、上位組織に対応するグループが下位組織に対応するグループに所属する階層として構成されるグループ階層を作成し、当該グループ階層を前記ディレクトリサーバのディレクトリサービスデータベースに登録するグループ階層登録手段と、
フォルダおよび/またはファイルに対する前記グループ階層に含まれる各グループのアクセス権を指定するアクセスコントロールリストを設定するアクセスコントロールリスト設定手段と、
前記ディレクトリサーバのディレクトリサービスデータベースに登録されているグループ階層と、前記アクセスコントロールリスト設定手段によって設定されたアクセスコントロールリストとに基づいて前記フォルダおよび/またはファイルへのアクセス権を制御するアクセス権制御手段と、
を備えることを特徴とするアクセス権制御システム。 And directory server with a directory service database, an access right control system including a management server in communication with the directory server using the L DAP,
The management server is
For each lower-level organization included in the organizational hierarchy that is configured as a hierarchy in which the lower organization belongs to the upper organization, a group hierarchy that is configured as a hierarchy in which the group corresponding to the upper organization belongs to the group corresponding to the lower organization is created. Group hierarchy registration means for registering the group hierarchy in the directory service database of the directory server ;
Access control list setting means for setting an access control list for specifying the access rights of each group included in the group hierarchy with respect to folders and / or files;
Access right control means for controlling access rights to the folder and / or file based on the group hierarchy registered in the directory service database of the directory server and the access control list set by the access control list setting means When,
Access control systems that comprising: a. 前記グループ階層登録手段が、上位組織に対応するグループを下位組織に対応するグループのmember属性に追加することによって前記グループ階層を作成することを特徴とする請求項1に記載のアクセス権制御システム。2. The access right control system according to claim 1, wherein the group hierarchy registration unit creates the group hierarchy by adding a group corresponding to a higher organization to a member attribute of a group corresponding to a lower organization. 前記ディレクトリサーバのディレクトリサービスデータベースに登録されている各グループ階層に含まれる最下位のグループを取得して当該最下位のグループに対応する最上位の組織を表示し、表示したグループにmemberOF属性がなくなるまで、表示したグループのmemberOF属性が示す下位組織を当該表示したグループの下位組織として追加して表示することを繰り返すことによって、前記組織階層をツリー表示するツリー表示手段を備えることを特徴とする請求項1または2に記載のアクセス権制御システム。The lowest group included in each group hierarchy registered in the directory service database of the directory server is acquired, the highest organization corresponding to the lowest group is displayed, and the memberOF attribute disappears in the displayed group. And further comprising: a tree display means for displaying the organization hierarchy as a tree by repeatedly adding and displaying the subordinate organization indicated by the memberOF attribute of the displayed group as a subordinate organization of the displayed group. Item 3. The access right control system according to Item 1 or 2.
JP2006078396A 2006-03-22 2006-03-22 Access right control system Expired - Fee Related JP4932291B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006078396A JP4932291B2 (en) 2006-03-22 2006-03-22 Access right control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006078396A JP4932291B2 (en) 2006-03-22 2006-03-22 Access right control system

Publications (2)

Publication Number Publication Date
JP2007257127A JP2007257127A (en) 2007-10-04
JP4932291B2 true JP4932291B2 (en) 2012-05-16

Family

ID=38631344

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006078396A Expired - Fee Related JP4932291B2 (en) 2006-03-22 2006-03-22 Access right control system

Country Status (1)

Country Link
JP (1) JP4932291B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4865507B2 (en) * 2006-11-01 2012-02-01 株式会社日立ソリューションズ Management authority setting system
JP6205675B2 (en) * 2014-12-10 2017-10-04 高崎 将紘 Labor property information management apparatus, method, and computer program

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000259479A (en) * 1999-03-08 2000-09-22 Nec Corp Method for realizing directory service
JP2002042147A (en) * 2000-07-21 2002-02-08 Casio Comput Co Ltd Data management device and storage medium
JP2003280990A (en) * 2002-03-22 2003-10-03 Ricoh Co Ltd Document processing device and computer program for managing document
US7251822B2 (en) * 2003-10-23 2007-07-31 Microsoft Corporation System and methods providing enhanced security model
US20050182726A1 (en) * 2004-02-17 2005-08-18 Avocent Corporation Network virtual computing devices and framework
JP4599919B2 (en) * 2004-07-12 2010-12-15 富士ゼロックス株式会社 Data management computer program and data management apparatus and method

Also Published As

Publication number Publication date
JP2007257127A (en) 2007-10-04

Similar Documents

Publication Publication Date Title
US10754932B2 (en) Centralized consent management
US8296200B2 (en) Collaborative financial close portal
JP5700730B2 (en) Method, system, and computer program for centralized control of database applications
US7630974B2 (en) Multi-language support for enterprise identity and access management
US20120246115A1 (en) Folder structure and authorization mirroring from enterprise resource planning systems to document management systems
US20080235249A1 (en) Hierarchy global management system and user interface
KR20110076891A (en) Techniques to manage access to organizational information of an entity
US20020062449A1 (en) System and method for application-level security
WO2011091163A1 (en) Metadata-configurable systems and methods for network services
US20070043716A1 (en) Methods, systems and computer program products for changing objects in a directory system
AU2002216658A1 (en) System and method for application-level security
US20160004868A1 (en) Visual display of risk-identifying metadata for identity management access requests
US9137253B2 (en) Visually representing and managing access control of resources
US7890394B2 (en) Secure access to transaction based information
JP2008210376A (en) Organization hierarchy definition system, group hierarchy composition method, and organization hierarchy display method
JP4932291B2 (en) Access right control system
JP4865507B2 (en) Management authority setting system
JP2009110241A (en) Electronic file management device
JP2008052337A (en) Digital data file multi-attribute evaluation classification operation management program
US20130339261A1 (en) Computer product, information providing method, and information providing apparatus
US11238030B2 (en) Issue tracking systems and methods for a configurable project hierarchy
WO2013171968A1 (en) Screening management device and screening management method
Duarte et al. Security Overview
JP2015230492A (en) Authority management system
Majekodunmi et al. Administering Users in ProcessMaker

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080627

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110412

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110610

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120214

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120215

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150224

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees