JP5072550B2 - 情報処理装置及び情報処理方法及びプログラム - Google Patents
情報処理装置及び情報処理方法及びプログラム Download PDFInfo
- Publication number
- JP5072550B2 JP5072550B2 JP2007305177A JP2007305177A JP5072550B2 JP 5072550 B2 JP5072550 B2 JP 5072550B2 JP 2007305177 A JP2007305177 A JP 2007305177A JP 2007305177 A JP2007305177 A JP 2007305177A JP 5072550 B2 JP5072550 B2 JP 5072550B2
- Authority
- JP
- Japan
- Prior art keywords
- attribute value
- information
- holding
- attribute
- value information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 230000010365 information processing Effects 0.000 title claims description 14
- 238000003672 processing method Methods 0.000 title claims 2
- 230000008520 organization Effects 0.000 claims description 91
- 230000014759 maintenance of location Effects 0.000 claims description 41
- 238000000034 method Methods 0.000 claims description 33
- 230000000717 retained effect Effects 0.000 claims description 19
- 238000004458 analytical method Methods 0.000 claims description 16
- 238000012545 processing Methods 0.000 claims description 16
- 238000007726 management method Methods 0.000 description 146
- 238000011156 evaluation Methods 0.000 description 49
- 238000010586 diagram Methods 0.000 description 17
- 230000006870 function Effects 0.000 description 17
- 238000004891 communication Methods 0.000 description 7
- 230000001360 synchronised effect Effects 0.000 description 5
- 238000012546 transfer Methods 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000007639 printing Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 239000000872 buffer Substances 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012854 evaluation process Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
この発明は、分散システムのユーザID(Identification)情報および権限情報を整合性をとりながら統合管理するシステムに関するものである。
従来のID管理システムにおけるユーザ情報の同期は、即時の同期または、指定日時の同期のみが可能であり、企業における人事異動にともなうユーザ情報の同期に関しては、新旧どちらかの情報のみを同期するものが一般的である。
この点、例えば、特許文献1の「情報管理システムおよびその権限管理方法」では、所属組織の変更時、旧所属での業務引継ぎが円滑に行えるように、所定の期間、個人の識別情報を所属変更前の組織と所属変更後の組織の両方の組織識別情報に対応づけて登録しておくことにより、両方の組織のおける権限でシステムを使用可能とすることが記載されている。
特開2001−51902号公報
現在、企業内のシステムでは、内部統制の点から企業内のシステムのユーザIDの管理を統合するケースが増加している。
日本の企業では、人事異動発令とともに即異動先の業務のみを行うことよりも一定期間の引継ぎ期間、残務作業期間を設けていることが多い。
この期間は、新旧の部署における権限が必要となる。
日本の企業では、人事異動発令とともに即異動先の業務のみを行うことよりも一定期間の引継ぎ期間、残務作業期間を設けていることが多い。
この期間は、新旧の部署における権限が必要となる。
従来のID管理システムによるユーザ情報同期では、人事異動時に新旧どちらかの権限のみの同期を行う。
そのため、新組織の権限の同期のみが行われると、引継ぎ期間中、残務作業期間中の作業に滞りが発生し、都度特別対応を実施する必要があるとの課題ある。
そのため、新組織の権限の同期のみが行われると、引継ぎ期間中、残務作業期間中の作業に滞りが発生し、都度特別対応を実施する必要があるとの課題ある。
また、特許文献1の技術では、人事異動があった際に人事担当者がユーザ端末を用いてマニュアルで所属変更前の組織の組織識別情報と所属変更後の組織の組織識別情報の両方に対応づけて人事異動のあった従業員の個人識別情報を登録することが必要である。
このため、当該企業で使用するシステムが多い場合は、システムごとの登録が必要であり、登録作業に時間がかかり、人事担当者の負担となるという課題がある。
このため、当該企業で使用するシステムが多い場合は、システムごとの登録が必要であり、登録作業に時間がかかり、人事担当者の負担となるという課題がある。
この発明は上記のような課題を解決することを主な目的の一つとしており、人事異動等により所属組織が変更になった際の新旧両組織での業務を可能とするための登録作業が効率的に行われる技術を提供することを主な目的とする。
本発明に係る情報処理装置は、
組織に所属するユーザの複数種の属性値が示される属性値情報を記憶する属性値情報記憶部と、
前記属性値情報に示される複数種の属性値のうち前記ユーザの所属組織が変更になった後も保持する属性値の種類を保持種類として示す保持種類情報を記憶する保持種類情報記憶部と、
前記ユーザの所属組織の変更を通知する所属組織変更通知を受信し、受信した所属組織変更通知に基づき、所属組織変更後の前記ユーザの属性を判定するとともに、判定した所属組織変更後の前記ユーザの属性に従って所属組織変更後の属性値情報を生成する属性値情報生成部と、
前記属性値情報生成部により生成された所属組織変更後の属性値情報と前記属性値情報記憶部に記憶されている所属組織変更前の属性値情報との差異を属性値ごとに分析する差異分析部と、
前記差異分析部により差異があると判断された属性値が保持種類に該当するか否かを判定し、差異のある属性値が保持種類に該当する場合に、当該属性値を保持属性値として指定する保持属性値指定部と、
前記属性情報記憶部に記憶されている所属組織変更前の属性値情報を、所属組織変更後の属性値情報と保持属性値とに更新する属性値情報更新部とを有することを特徴とする。
組織に所属するユーザの複数種の属性値が示される属性値情報を記憶する属性値情報記憶部と、
前記属性値情報に示される複数種の属性値のうち前記ユーザの所属組織が変更になった後も保持する属性値の種類を保持種類として示す保持種類情報を記憶する保持種類情報記憶部と、
前記ユーザの所属組織の変更を通知する所属組織変更通知を受信し、受信した所属組織変更通知に基づき、所属組織変更後の前記ユーザの属性を判定するとともに、判定した所属組織変更後の前記ユーザの属性に従って所属組織変更後の属性値情報を生成する属性値情報生成部と、
前記属性値情報生成部により生成された所属組織変更後の属性値情報と前記属性値情報記憶部に記憶されている所属組織変更前の属性値情報との差異を属性値ごとに分析する差異分析部と、
前記差異分析部により差異があると判断された属性値が保持種類に該当するか否かを判定し、差異のある属性値が保持種類に該当する場合に、当該属性値を保持属性値として指定する保持属性値指定部と、
前記属性情報記憶部に記憶されている所属組織変更前の属性値情報を、所属組織変更後の属性値情報と保持属性値とに更新する属性値情報更新部とを有することを特徴とする。
本発明によれば、所属変更後も保持する属性値の種類を保持種類として予め定めておき、所属組織変更通知を受信した際に、新旧の属性値情報間で差異のある属性値が保持種類に該当する場合に、所属組織変更後の属性値情報と所属変更前の当該属性値とが自動的に保持され、所属組織が変更になった際の新旧両組織での業務を可能とするための登録作業が効率的に行われる。
実施の形態1.
本実施の形態では、ユーザ情報変更にともなうポリシー評価時に、権限属性に差異が発生した場合、一定期間新旧情報を保持し、エンドユーザが引継ぎ期間中に新旧権限でシステムを利用することができる権限情報の同期技術を説明する。
本実施の形態では、ユーザ情報変更にともなうポリシー評価時に、権限属性に差異が発生した場合、一定期間新旧情報を保持し、エンドユーザが引継ぎ期間中に新旧権限でシステムを利用することができる権限情報の同期技術を説明する。
図1は、本実施の形態に係るID管理システムの構成例を示す図である。
本実施の形態に係るシステムは、ID管理サーバ装置(1)(以下、ID管理サーバともいう)、ID管理リポジトリ(2)、猶予情報リポジトリ(3)、認証形式A用リポジトリ(4−1)、認証形式B用リポジトリ(4−2)からなる。
本実施の形態に係るシステムは、ID管理サーバ装置(1)(以下、ID管理サーバともいう)、ID管理リポジトリ(2)、猶予情報リポジトリ(3)、認証形式A用リポジトリ(4−1)、認証形式B用リポジトリ(4−2)からなる。
本実施の形態では、猶予ポリシーテーブル(3−2)に、引継ぎ業務等に必要な旧組織の属性値の種類を予め保持種類として指定しておき、異動情報(5)が入力された際に、ポリシー評価部(1−2)が新組織での属性値を示す新アカウント情報を生成し、ID管理リポジトリ(2)に格納されている旧組織での属性値を示す旧アカウント情報と新アカウント情報を属性値ごとに比較する。そして、差異のある属性値が存在すれば、猶予評価部(1−3)が、差異のある対象属性値が猶予ポリシーテーブル(3−2)に示されている保持種類に合致するか否かを判断し、保持種類に合致する場合にその属性値の保持期限を指定し、旧情報管理テーブル(3−1)において当該属性値とその保持期限を管理する。
また、ユーザ情報同期部(1−4)が新アカウント情報と保持対象の属性値(保持属性値)とをID管理リポジトリ(2)、認証形式A用リポジトリ(4−1)及び認証形式B用リポジトリ(4−2)に格納し、保持属性値の保持期限が経過したら、ユーザ情報同期部(1−4)がID管理リポジトリ(2)認証形式A用リポジトリ(4−1)及び認証形式B用リポジトリ(4−2)の保持属性値を消去する。
また、ユーザ情報同期部(1−4)が新アカウント情報と保持対象の属性値(保持属性値)とをID管理リポジトリ(2)、認証形式A用リポジトリ(4−1)及び認証形式B用リポジトリ(4−2)に格納し、保持属性値の保持期限が経過したら、ユーザ情報同期部(1−4)がID管理リポジトリ(2)認証形式A用リポジトリ(4−1)及び認証形式B用リポジトリ(4−2)の保持属性値を消去する。
ID管理リポジトリ(2)には、ユーザマスタテーブル(2−1)、アカウントマスタテーブル(認証形式B用)(2−2)、アカウントマスタテーブル(認証形式A用)(2−3)、同期ポリシーテーブル(2−4)が記憶されている。
ID管理リポジトリ(2)は、属性値情報記憶部の例である。
ID管理リポジトリ(2)は、属性値情報記憶部の例である。
ユーザマスタテーブル(2−1)では、図2に示すようにユーザID、部、課、役職が管理されている。
ユーザマスタテーブル(2−1)は、アカウントマスタテーブル(認証形式B用)(2−2)及びアカウントマスタテーブル(認証形式A用)(2−3)の生成の基礎となる。
ユーザマスタテーブル(2−1)は、アカウントマスタテーブル(認証形式B用)(2−2)及びアカウントマスタテーブル(認証形式A用)(2−3)の生成の基礎となる。
アカウントマスタテーブル(認証形式B用)(2−2)では、図6に示すようにユーザID、部、課、権限グループが管理されている。
アカウントマスタテーブル(認証形式A用)(2−3)では、図7に示すようにユーザID、部、課、役職、権限グループが管理されている。
権限グループの値は、ユーザのデータアクセス権限を示すアクセス権限属性値である。アカウントマスタテーブル(認証形式B用)(2−2)及びアカウントマスタテーブル(認証形式A用)では、アクセス権限属性値である権限グループの値とその他の属性値とが管理されている。
アカウントマスタテーブル(認証形式B用)(2−2)は認証形式Bに対応するテーブルであり、アカウントマスタテーブル(認証形式A用)(2−3)は認証形式Aに対応するテーブルである。
アカウントマスタテーブル(認証形式B用)(2−2)及びアカウントマスタテーブル(認証形式A用)(2−3)の各レコードに示される情報及びユーザの所属組織の変更があった際にアカウントマスタテーブル(認証形式B用)(2−2)及びアカウントマスタテーブル(認証形式A用)(2−3)の各レコードと同じ形式で生成される情報をアカウント情報という。
アカウントマスタテーブル(認証形式B用)(2−2)及びアカウントマスタテーブル(認証形式A用)(2−3)に示されるアカウント情報、ユーザの所属組織の変更があった際に生成されるアカウント情報は、組織に所属するユーザ(企業の従業員等)の複数種の属性値を示しており、属性値情報の例である。
アカウントマスタテーブル(認証形式A用)(2−3)では、図7に示すようにユーザID、部、課、役職、権限グループが管理されている。
権限グループの値は、ユーザのデータアクセス権限を示すアクセス権限属性値である。アカウントマスタテーブル(認証形式B用)(2−2)及びアカウントマスタテーブル(認証形式A用)では、アクセス権限属性値である権限グループの値とその他の属性値とが管理されている。
アカウントマスタテーブル(認証形式B用)(2−2)は認証形式Bに対応するテーブルであり、アカウントマスタテーブル(認証形式A用)(2−3)は認証形式Aに対応するテーブルである。
アカウントマスタテーブル(認証形式B用)(2−2)及びアカウントマスタテーブル(認証形式A用)(2−3)の各レコードに示される情報及びユーザの所属組織の変更があった際にアカウントマスタテーブル(認証形式B用)(2−2)及びアカウントマスタテーブル(認証形式A用)(2−3)の各レコードと同じ形式で生成される情報をアカウント情報という。
アカウントマスタテーブル(認証形式B用)(2−2)及びアカウントマスタテーブル(認証形式A用)(2−3)に示されるアカウント情報、ユーザの所属組織の変更があった際に生成されるアカウント情報は、組織に所属するユーザ(企業の従業員等)の複数種の属性値を示しており、属性値情報の例である。
同期ポリシーテーブル(2−4)では、図5に示されるように、ターゲット、属性名、設定ポリシーが管理される。
ターゲットとは、アカウントマスタテーブル(認証形式A用)(2−3)又はアカウントマスタテーブル(認証形式B用)(2−2)であり、ターゲットの欄のAはアカウントマスタテーブル(認証形式A用)(2−3)を表し、Bはアカウントマスタテーブル(認証形式B用)(2−2)を表している(他のテーブルにおいても同様)。
同期ポリシーテーブル(2−4)は、アカウントマスタテーブル(認証形式B用)(2−2)及びアカウントマスタテーブル(認証形式A用)(2−3)に含まれる要素を定義するテーブルであり、ユーザの所属組織の変更があった際に生成されるアカウント情報は、同期ポリシーテーブル(2−4)の定義に従って生成される。
ターゲットとは、アカウントマスタテーブル(認証形式A用)(2−3)又はアカウントマスタテーブル(認証形式B用)(2−2)であり、ターゲットの欄のAはアカウントマスタテーブル(認証形式A用)(2−3)を表し、Bはアカウントマスタテーブル(認証形式B用)(2−2)を表している(他のテーブルにおいても同様)。
同期ポリシーテーブル(2−4)は、アカウントマスタテーブル(認証形式B用)(2−2)及びアカウントマスタテーブル(認証形式A用)(2−3)に含まれる要素を定義するテーブルであり、ユーザの所属組織の変更があった際に生成されるアカウント情報は、同期ポリシーテーブル(2−4)の定義に従って生成される。
猶予情報リポジトリ(3)には、旧情報管理テーブル(3−1)及び猶予ポリシーテーブル(3−2)が記憶されている。
猶予情報リポジトリ(3)は、保持種類情報記憶部の例である。
猶予情報リポジトリ(3)は、保持種類情報記憶部の例である。
旧情報管理テーブル(3−1)では、図3に示されるように、ユーザID、ターゲット、属性名、値、保持期限が管理される。
旧情報管理テーブル(3−1)は、ユーザの所属組織が変更になった後も、所属組織変更前の旧組織での引継ぎ業務を円滑にするために、旧組織のアカウント情報(属性値情報)(以下、旧アカウント情報という)のうちの一部の属性値を一定期間保持するためのテーブルである。
つまり、旧情報管理テーブル(3−1)のユーザIDは、旧アカウント情報の一部の属性値が保持されるユーザを示し、ターゲットは、旧アカウント情報の一部の属性値を保持するのはアカウントマスタテーブル(認証形式B用)(2−2)及びアカウントマスタテーブル(認証形式A用)(2−3)のどちらであるかを示し、属性名は旧アカウント情報のうち値が保持される属性名を示し、値は旧アカウント情報のうち保持される属性値(保持属性値)を示し、保持期限は旧アカウント情報の保持属性値を保持する期間を示す。
旧情報管理テーブル(3−1)は、ユーザの所属組織が変更になった後も、所属組織変更前の旧組織での引継ぎ業務を円滑にするために、旧組織のアカウント情報(属性値情報)(以下、旧アカウント情報という)のうちの一部の属性値を一定期間保持するためのテーブルである。
つまり、旧情報管理テーブル(3−1)のユーザIDは、旧アカウント情報の一部の属性値が保持されるユーザを示し、ターゲットは、旧アカウント情報の一部の属性値を保持するのはアカウントマスタテーブル(認証形式B用)(2−2)及びアカウントマスタテーブル(認証形式A用)(2−3)のどちらであるかを示し、属性名は旧アカウント情報のうち値が保持される属性名を示し、値は旧アカウント情報のうち保持される属性値(保持属性値)を示し、保持期限は旧アカウント情報の保持属性値を保持する期間を示す。
猶予ポリシーテーブル(3−2)では、図4に示されるように、ターゲット、属性名が管理される。
猶予ポリシーテーブル(3−2)は、保持種類情報の例である。
猶予ポリシーテーブル(3−2)は、旧アカウント情報に示される複数種の属性値のうちユーザの所属組織が変更になった後も保持する属性値の種類(属性名)をターゲットごとに示している。ユーザの所属組織が変更になった後も保持する属性値の種類を保持種類という。
猶予ポリシーテーブル(3−2)は、保持種類情報の例である。
猶予ポリシーテーブル(3−2)は、旧アカウント情報に示される複数種の属性値のうちユーザの所属組織が変更になった後も保持する属性値の種類(属性名)をターゲットごとに示している。ユーザの所属組織が変更になった後も保持する属性値の種類を保持種類という。
また、図18及び図19に示すように、ターゲット(認証形式)ごとに異なる保持種類が指定されている猶予ポリシーテーブル(3−2)を用いてもよい。
また、図1及び図4の例では、アクセス権限属性値である権限グループが保持種類として示されているが、引継ぎ業務等に必要な属性値であれば保持種類は他の属性値であってもよく、例えば、図18に示すように、認証形式Aに対して権限グループ以外に役職という属性を保持種類として指定する猶予ポリシーテーブル(3−2)を用いてもよい。
また、図19に示すように、認証形式Aに対して権限グループを保持種類として指定せずに、権限グループ以外の属性を保持種類として指定する猶予ポリシーテーブル(3−2)を用いてもよい。なお、図1及び図5の同期ポリシーテーブル(2−4)、図1及び図7のアカウントマスタテーブル(認証形式A用)(2−3)にはメールアドレスという属性は含まれていないが、メールアドレスという属性を含ませるようにしてもよく、図19は同期ポリシーテーブル(2−4)、アカウントマスタテーブル(認証形式A用)(2−3)にメールアドレスという属性が含まれている場合に対応している。
また、図1及び図4の例では、アクセス権限属性値である権限グループが保持種類として示されているが、引継ぎ業務等に必要な属性値であれば保持種類は他の属性値であってもよく、例えば、図18に示すように、認証形式Aに対して権限グループ以外に役職という属性を保持種類として指定する猶予ポリシーテーブル(3−2)を用いてもよい。
また、図19に示すように、認証形式Aに対して権限グループを保持種類として指定せずに、権限グループ以外の属性を保持種類として指定する猶予ポリシーテーブル(3−2)を用いてもよい。なお、図1及び図5の同期ポリシーテーブル(2−4)、図1及び図7のアカウントマスタテーブル(認証形式A用)(2−3)にはメールアドレスという属性は含まれていないが、メールアドレスという属性を含ませるようにしてもよく、図19は同期ポリシーテーブル(2−4)、アカウントマスタテーブル(認証形式A用)(2−3)にメールアドレスという属性が含まれている場合に対応している。
認証形式A用リポジトリ(4−1)は、図7のアカウントマスタテーブル(認証形式A用)(2−3)と同じテーブル(コピーテーブル)を記憶している。
認証形式B用リポジトリ(4−2)は、図6のアカウントマスタテーブル(認証形式B用)(2−2)と同じテーブル(コピーテーブル)を記憶している。
認証形式A用リポジトリ(4−1)に記憶されているアカウントマスタテーブル(認証形式A用)(2−3)と同じテーブル(コピーテーブル)は認証形式Aによる認証の際に実際に認証されるテーブルであり、同様に、認証形式B用リポジトリ(4−2)に記憶されているアカウントマスタテーブル(認証形式B用)(2−2)と同じテーブル(コピーテーブル)は認証形式Bによる認証の際に実際に認証されるテーブルである。
ID管理リポジトリ2においてアカウントマスタテーブル(認証形式A用)(2−3)及びアカウントマスタテーブル(認証形式B用)(2−2)の更新の際に同期処理により認証形式A用リポジトリ(4−1)及び認証形式B用リポジトリ(4−2)のテーブルも、更新後のアカウントマスタテーブル(認証形式A用)(2−3)及び更新後のアカウントマスタテーブル(認証形式B用)(2−2)と同じ内容に更新される。
認証形式A用リポジトリ(4−1)及び認証形式B用リポジトリ(4−2)は、アカウントマスタテーブル(認証形式A用)(2−3)及びアカウントマスタテーブル(認証形式A用)(2−3)と同じテーブル(コピーテーブル)を記憶しているため、アカウント情報(属性値情報)を記憶しており、属性値情報記憶部の例である。
認証形式B用リポジトリ(4−2)は、図6のアカウントマスタテーブル(認証形式B用)(2−2)と同じテーブル(コピーテーブル)を記憶している。
認証形式A用リポジトリ(4−1)に記憶されているアカウントマスタテーブル(認証形式A用)(2−3)と同じテーブル(コピーテーブル)は認証形式Aによる認証の際に実際に認証されるテーブルであり、同様に、認証形式B用リポジトリ(4−2)に記憶されているアカウントマスタテーブル(認証形式B用)(2−2)と同じテーブル(コピーテーブル)は認証形式Bによる認証の際に実際に認証されるテーブルである。
ID管理リポジトリ2においてアカウントマスタテーブル(認証形式A用)(2−3)及びアカウントマスタテーブル(認証形式B用)(2−2)の更新の際に同期処理により認証形式A用リポジトリ(4−1)及び認証形式B用リポジトリ(4−2)のテーブルも、更新後のアカウントマスタテーブル(認証形式A用)(2−3)及び更新後のアカウントマスタテーブル(認証形式B用)(2−2)と同じ内容に更新される。
認証形式A用リポジトリ(4−1)及び認証形式B用リポジトリ(4−2)は、アカウントマスタテーブル(認証形式A用)(2−3)及びアカウントマスタテーブル(認証形式A用)(2−3)と同じテーブル(コピーテーブル)を記憶しているため、アカウント情報(属性値情報)を記憶しており、属性値情報記憶部の例である。
ID管理サーバ(1)内には、ユーザ情報更新部(1−1)、ポリシー評価部(1−2)、猶予評価部(1−3)、ユーザ情報同期部(1−4)が含まれる。
なお、後述するように、ユーザ情報更新部(1−1)、ポリシー評価部(1−2)、猶予評価部(1−3)、ユーザ情報同期部(1−4)はプログラムとすることができ、ID管理サーバ(1)に搭載されているCPU(Central Processing Unit)が、プログラムを実行することで、以下に示すユーザ情報更新部(1−1)、ポリシー評価部(1−2)、猶予評価部(1−3)、ユーザ情報同期部(1−4)の各機能を実現することができる。
なお、ID管理サーバ装置(1)は、情報処理装置の例である。
なお、後述するように、ユーザ情報更新部(1−1)、ポリシー評価部(1−2)、猶予評価部(1−3)、ユーザ情報同期部(1−4)はプログラムとすることができ、ID管理サーバ(1)に搭載されているCPU(Central Processing Unit)が、プログラムを実行することで、以下に示すユーザ情報更新部(1−1)、ポリシー評価部(1−2)、猶予評価部(1−3)、ユーザ情報同期部(1−4)の各機能を実現することができる。
なお、ID管理サーバ装置(1)は、情報処理装置の例である。
ユーザ情報更新部(1−1)は、ユーザの所属組織の変更を通知する異動情報(5)(所属組織変更通知)を受信し、受信した異動情報(5)に基づき、所属組織変更後のユーザの属性を判定してユーザマスタテーブル(2−1)を更新する。
異動情報(5)は、例えばテキスト形式のファイルとしてID管理サーバ(1)の入力となる。異動情報(5)には、ユーザマスタテーブル(2−1)の項目に合わせて、新組織の部、課、ユーザの新組織における役職が示される。
異動情報(5)は、例えばテキスト形式のファイルとしてID管理サーバ(1)の入力となる。異動情報(5)には、ユーザマスタテーブル(2−1)の項目に合わせて、新組織の部、課、ユーザの新組織における役職が示される。
ポリシー評価部(1−2)は、ユーザ情報更新部(1−1)により更新されたユーザマスタテーブル(2−1)及び同期ポリシーテーブル(2−4)に基づいて、所属組織変更後のユーザの属性に従って所属組織変更後のアカウント情報(以下、新アカウント情報という)を生成する。
また、ポリシー評価部(1−2)は、新アカウント情報とID管理リポジトリ(2)に記憶されている所属組織変更前の旧アカウント情報との差異を属性値ごとに分析する。
また、ポリシー評価部(1−2)は、新アカウント情報とID管理リポジトリ(2)に記憶されている所属組織変更前の旧アカウント情報との差異を属性値ごとに分析する。
ユーザ情報更新部(1−1)とポリシー評価部(1−2)の一部の機能(新アカウント情報の生成)を合わせたものが属性値情報生成部の例となる。
また、ポリシー評価部(1−2)の残りの機能(属性値ごとの差異の分析)が、差異分析部の例となる。
また、ポリシー評価部(1−2)の残りの機能(属性値ごとの差異の分析)が、差異分析部の例となる。
猶予評価部(1−3)は、ポリシー評価部(1−2)により差異があると判断された属性値が保持種類に該当するか否かを猶予ポリシーテーブル(3−2)を参照して判定し、差異のある属性値が保持種類に該当する場合に、当該属性値を保持属性値として指定する。
また、猶予評価部(1−3)は、保持属性値の保持期限も指定する。
猶予評価部(1−3)により指定された保持属性値及び保持期限は旧情報管理テーブル(3−1)で管理される。
猶予評価部(1−3)は、保持属性値指定部の例である。
また、猶予評価部(1−3)は、保持属性値の保持期限も指定する。
猶予評価部(1−3)により指定された保持属性値及び保持期限は旧情報管理テーブル(3−1)で管理される。
猶予評価部(1−3)は、保持属性値指定部の例である。
ユーザ情報同期部(1−4)は、ID管理リポジトリ(2)、認証形式A用リポジトリ(4−1)及び認証形式B用リポジトリ(4−2)に記憶されている旧アカウント情報(所属組織変更前の属性値情報)を、新アカウント情報(所属組織変更後の属性値情報)と保持属性値とに更新する。
また、ユーザ情報同期部(1−4)は、猶予評価部(1−3)により指定された保持期間が経過した際に、保持属性値をID管理リポジトリ(2)、認証形式A用リポジトリ(4−1)及び認証形式B用リポジトリ(4−2)から消去する。
ユーザ情報同期部(1−4)は、属性値情報更新部の例である。
また、ユーザ情報同期部(1−4)は、猶予評価部(1−3)により指定された保持期間が経過した際に、保持属性値をID管理リポジトリ(2)、認証形式A用リポジトリ(4−1)及び認証形式B用リポジトリ(4−2)から消去する。
ユーザ情報同期部(1−4)は、属性値情報更新部の例である。
次に動作について説明する。
図8に実施の形態1におけるID管理サーバ(1)のユーザ情報更新からアカウント情報の同期までのフローチャートを示す。
図8に実施の形態1におけるID管理サーバ(1)のユーザ情報更新からアカウント情報の同期までのフローチャートを示す。
例えば人事部門のコンピュータより送付された異動情報(5)をID管理サーバ(1)のユーザ情報更新部(1−1)が受信する(S1)(属性値情報生成ステップ)。
受信した異動情報(5)を元に、ユーザ情報更新部(1−1)がユーザマスタテーブル(2−1)上の該当ユーザの情報を更新する(S2)(属性値情報生成ステップ)。
次に、ポリシー評価部(1−2)が、同期ポリシーテーブル(2−4)の情報に従い、更新されたユーザ情報から、各ターゲット(認証形式B、認証形式A用)の新アカウント情報を作成する(S3)(属性値情報生成ステップ)。
次に、ポリシー評価部(1−2)が、S3で作成した新アカウント情報(認証形式B、認証形式A用)とアカウントマスタテーブル(認証形式B用)(2−2)及びアカウントマスタテーブル(認証形式A用)(2−3)上の旧アカウント情報と属性値ごとに比較を行う(S4)(差異分析ステップ)。
次に、ポリシー評価部(1−2)は、新旧属性値で差異があるかのチェックをし(S5)(保持属性値指定ステップ)、差異があればS6へ、差異がなければS10へ移行する。
受信した異動情報(5)を元に、ユーザ情報更新部(1−1)がユーザマスタテーブル(2−1)上の該当ユーザの情報を更新する(S2)(属性値情報生成ステップ)。
次に、ポリシー評価部(1−2)が、同期ポリシーテーブル(2−4)の情報に従い、更新されたユーザ情報から、各ターゲット(認証形式B、認証形式A用)の新アカウント情報を作成する(S3)(属性値情報生成ステップ)。
次に、ポリシー評価部(1−2)が、S3で作成した新アカウント情報(認証形式B、認証形式A用)とアカウントマスタテーブル(認証形式B用)(2−2)及びアカウントマスタテーブル(認証形式A用)(2−3)上の旧アカウント情報と属性値ごとに比較を行う(S4)(差異分析ステップ)。
次に、ポリシー評価部(1−2)は、新旧属性値で差異があるかのチェックをし(S5)(保持属性値指定ステップ)、差異があればS6へ、差異がなければS10へ移行する。
S5の判断において、差異があった場合、猶予評価部(1−3)が、猶予ポリシーテーブル(3−2)を参照し(S6)、差異のあった対象属性値の属性名が猶予ポリシーテーブル(3−2)に登録されているかをチェックする(S7)(保持属性値指定ステップ)。
登録されていればS8へ、登録されていなければS10へ移行する。
差異のある対象属性値の属性名が猶予ポリシーテーブル(3−2)に登録されていれば、猶予評価部(1−3)は、旧情報(旧アカウント情報の対象属性値)を旧情報管理テーブル(3−1)に保持期限とともに保管する(S8)(保持属性値指定ステップ)。
次に、猶予評価部(1−3)は、新旧情報をあわせてアカウント情報を再生成する(S9)(保持属性値指定ステップ)。
つまり、猶予評価部(1−3)は、新アカウント情報に旧情報管理テーブル(3−1)に登録した旧アカウント情報の対象属性値(保持属性値)を加えて新たなアカウント情報とする。
次に、ポリシー評価部(1−2)が、新旧属性値の比較が全属性についてチェック完了したかを確認し(S10)(保持属性値指定ステップ)、完了していればS11へ、完了していなければS4へ移行する。
登録されていればS8へ、登録されていなければS10へ移行する。
差異のある対象属性値の属性名が猶予ポリシーテーブル(3−2)に登録されていれば、猶予評価部(1−3)は、旧情報(旧アカウント情報の対象属性値)を旧情報管理テーブル(3−1)に保持期限とともに保管する(S8)(保持属性値指定ステップ)。
次に、猶予評価部(1−3)は、新旧情報をあわせてアカウント情報を再生成する(S9)(保持属性値指定ステップ)。
つまり、猶予評価部(1−3)は、新アカウント情報に旧情報管理テーブル(3−1)に登録した旧アカウント情報の対象属性値(保持属性値)を加えて新たなアカウント情報とする。
次に、ポリシー評価部(1−2)が、新旧属性値の比較が全属性についてチェック完了したかを確認し(S10)(保持属性値指定ステップ)、完了していればS11へ、完了していなければS4へ移行する。
全属性の差異有無のチェックが完了したら、ユーザ情報同期部(1−4)が、S9で再生成されたアカウント情報(新アカウント情報と、旧アカウント情報の全ての対象属性値とが含まれているアカウント情報)をID管理リポジトリ(2)に格納するとともに、同じアカウント情報を各ターゲットのリポジトリ(認証形式A用リポジトリ(4−1)、認証形式B用リポジトリ(4−2))に格納して、アカウント同期を行う(S11)(属性値情報更新ステップ)。
ここで、ユーザA(ユーザID:user01)が部110、課10から部111、課11に異動したときの例を示す。
このとき、user01は異動前は、認証形式Aの権限グループとして、同期ポリシーテーブルの定義により、110、110_10とを持ち、認証形式Bの権限グループとして110をもつこととなる。
異動に伴い、認証形式Aの新権限グループは111、111_11となり、認証形式Bの新権限グループは111となる。
また、猶予ポリシーテーブル(3−2)には「権限グループ」が登録されているため、旧情報管理テーブル(3−1)には旧権限グループをターゲットごとに保管することになる。
つまり、アカウントマスタテーブル(認証形式A用)(2−3)及び認証形式A用リポジトリ(4−1)では、ユーザA(ユーザID:user01)の権限グループとして111、111_11(新権限グループ)と110、110_10(旧権限グループ)が示され、アカウントマスタテーブル(認証形式B用)(2−2)及び認証形式B用リポジトリ(4−2)では、権限グループとして111(新権限グループ)と110(旧権限グループ)が示されることになる(他の属性値では新旧で差異がない)。
このとき、user01は異動前は、認証形式Aの権限グループとして、同期ポリシーテーブルの定義により、110、110_10とを持ち、認証形式Bの権限グループとして110をもつこととなる。
異動に伴い、認証形式Aの新権限グループは111、111_11となり、認証形式Bの新権限グループは111となる。
また、猶予ポリシーテーブル(3−2)には「権限グループ」が登録されているため、旧情報管理テーブル(3−1)には旧権限グループをターゲットごとに保管することになる。
つまり、アカウントマスタテーブル(認証形式A用)(2−3)及び認証形式A用リポジトリ(4−1)では、ユーザA(ユーザID:user01)の権限グループとして111、111_11(新権限グループ)と110、110_10(旧権限グループ)が示され、アカウントマスタテーブル(認証形式B用)(2−2)及び認証形式B用リポジトリ(4−2)では、権限グループとして111(新権限グループ)と110(旧権限グループ)が示されることになる(他の属性値では新旧で差異がない)。
旧情報管理テーブル(3−1)に保管された情報は、ユーザ情報同期部(1−4)が、日次処理にて期限の超えたものを削除する。
削除に伴い、ユーザ情報同期部(1−4)は、同期ポリシー評価を行い、各ターゲットの旧情報の削除も行う。
つまり、ユーザ情報同期部(1−4)は、保持期限が経過した際に、該当するレコードを旧情報管理テーブル(3−1)から消去するとともに、保持期限が経過した保持属性値をアカウントマスタテーブル(認証形式A用)(2−3)及び認証形式A用リポジトリ(4−1)から消去し、アカウントマスタテーブル(認証形式B用)(2−2)及び認証形式B用リポジトリ(4−2)から消去する。
削除に伴い、ユーザ情報同期部(1−4)は、同期ポリシー評価を行い、各ターゲットの旧情報の削除も行う。
つまり、ユーザ情報同期部(1−4)は、保持期限が経過した際に、該当するレコードを旧情報管理テーブル(3−1)から消去するとともに、保持期限が経過した保持属性値をアカウントマスタテーブル(認証形式A用)(2−3)及び認証形式A用リポジトリ(4−1)から消去し、アカウントマスタテーブル(認証形式B用)(2−2)及び認証形式B用リポジトリ(4−2)から消去する。
なお、図18、図19に示す猶予ポリシーテーブル(3−2)を用いる場合は、猶予評価部(1−3)は、認証形式ごとに、新旧アカウント情報で差異のある対象属性値が保持種類に該当するか否かを判定し、差異のある対象属性値が対応する認証形式の保持種類に該当する場合に、当該対象属性値を当該認証形式の保持属性値として指定する。
その他の処理は、上述したものと同様である。
その他の処理は、上述したものと同様である。
以上のように、本実施の形態では、あらかじめ設定しておいたポリシーにより旧情報を一定期間保持することで、ユーザが認証形式A、認証形式Bを使用したときに、旧権限で必要なコンテンツへのアクセスが可能となる。
これにより、引継ぎ業務を円滑に行うことができる。
また、期限の超えた情報を定期的にチェックして削除することで、旧権限をターゲットから削除し、セキュリティホールをなくすことができる。
また、異動情報(5)を受信した際に、人事担当者等のオペレータが介在することなく、ID管理サーバ(1)がユーザマスタテーブル(2−1)を更新し、更新されたユーザマスタテーブル(2−1)を用いて新アカウント情報を生成するとともに、予め設定されている猶予ポリシーテーブル(3−2)に基づいて保持すべき旧アカウント情報の属性値を選択することができるので、人事異動のある者と新旧の組織との対応付け作業の効率化が図れる。
これにより、引継ぎ業務を円滑に行うことができる。
また、期限の超えた情報を定期的にチェックして削除することで、旧権限をターゲットから削除し、セキュリティホールをなくすことができる。
また、異動情報(5)を受信した際に、人事担当者等のオペレータが介在することなく、ID管理サーバ(1)がユーザマスタテーブル(2−1)を更新し、更新されたユーザマスタテーブル(2−1)を用いて新アカウント情報を生成するとともに、予め設定されている猶予ポリシーテーブル(3−2)に基づいて保持すべき旧アカウント情報の属性値を選択することができるので、人事異動のある者と新旧の組織との対応付け作業の効率化が図れる。
また、上記の説明では、猶予ポリシーテーブル(3−2)チェック後、属性ごとにアカウント情報を再作成しているが、全属性のチェック完了後にアカウント情報を再作成する方法でもよい。
また、上記の説明では、権限情報の新旧情報保持について記述しているが、ターゲットが複数値をとりうる属性について実施することも可能である。
また、上記の説明では、権限情報の新旧情報保持について記述しているが、ターゲットが複数値をとりうる属性について実施することも可能である。
以上、本実施の形態では、ID管理リポジトリを保有しているID管理サーバにおいて、ユーザ情報更新部、ポリシー評価部、権限猶予部、ユーザ情報同期部と猶予情報リポジトリを備え、アカウント情報の評価時に、旧情報と新情報とを比較し、一定期間旧情報を保管かつ同期情報に含めるID管理方式およびID管理システムについて説明した。
実施の形態2.
以上の実施の形態1では、猶予ポリシーにおいて、常に旧情報、新情報を同時に管理するものであった。
次に、属性同期ポリシーにて同期を行う情報を属性ごと、ターゲットごとにポリシーを変えることのできる実施の形態を示す。
以上の実施の形態1では、猶予ポリシーにおいて、常に旧情報、新情報を同時に管理するものであった。
次に、属性同期ポリシーにて同期を行う情報を属性ごと、ターゲットごとにポリシーを変えることのできる実施の形態を示す。
図9にシステム構成例を、図10に猶予ポリシーテーブル(3−2)の例を示す。
猶予ポリシーテーブル(3−2)には、ターゲットごとにポリシーを設定できるように同期ポリシーを追加する。
図10の例では、認証形式Aでは、権限グループについて、新アカウント情報の属性値と旧アカウント情報の属性値の両方を保持することとしているが、認証形式Bでは、権限グループについて、旧アカウント情報の属性値のみ保持することとしている。
猶予ポリシーテーブル(3−2)には、ターゲットごとにポリシーを設定できるように同期ポリシーを追加する。
図10の例では、認証形式Aでは、権限グループについて、新アカウント情報の属性値と旧アカウント情報の属性値の両方を保持することとしているが、認証形式Bでは、権限グループについて、旧アカウント情報の属性値のみ保持することとしている。
次に動作について説明する。
図11に、実施の形態2におけるID管理サーバ(1)のユーザ情報更新からアカウント情報の同期までのフローチャートを示す。
図11に、実施の形態2におけるID管理サーバ(1)のユーザ情報更新からアカウント情報の同期までのフローチャートを示す。
S6までは実施の形態1と同様であり、説明を省略する。
S7にて、猶予評価部(1−3)が、猶予ポリシーテーブル(3−2)をチェックし(保持属性値指定ステップ)、対象属性値の属性名が猶予ポリシーテーブル(3−2)に存在すればS13へ、なければS10へ移行する。
S13にて、猶予評価部(1−3)は、猶予ポリシーテーブル(3−2)の同期ポリシーをチェックし、同期ポリシーが「新旧保持」ならばS9へ、「旧のみ」ならばS14へ、「新のみ」ならばS31に移行する(保持属性値指定ステップ)。
S7にて、猶予評価部(1−3)が、猶予ポリシーテーブル(3−2)をチェックし(保持属性値指定ステップ)、対象属性値の属性名が猶予ポリシーテーブル(3−2)に存在すればS13へ、なければS10へ移行する。
S13にて、猶予評価部(1−3)は、猶予ポリシーテーブル(3−2)の同期ポリシーをチェックし、同期ポリシーが「新旧保持」ならばS9へ、「旧のみ」ならばS14へ、「新のみ」ならばS31に移行する(保持属性値指定ステップ)。
S9では、猶予評価部(1−3)が、実施の形態1と同様に新旧情報をあわせてアカウント情報を作成する(保持属性値指定ステップ)。
S14では、猶予評価部(1−3)は、「新情報」で作成されていたアカウント情報を旧情報で再作成を行う(保持属性値指定ステップ)。つまり、その対象属性については、新アカウント情報の対象属性値を破棄し、旧アカウント情報の対象属性値のみを保持するようにする。
一方、S31では、猶予評価部(1−3)は、「新情報」でアカウント情報を再生成する0。つまり、つまり、その対象属性については、旧アカウント情報の対象属性値を破棄し、新アカウント情報の対象属性値のみを保持するようにする。
また、S32において、猶予評価部(1−3)は、S9又はS14の処理が行われた場合は旧情報を削除する削除期限を設定する(保持属性値指定ステップ)。
全属性のチェックが完了したら、実施の形態1と同様に、ユーザ情報同期部(1−4)が、各ターゲットのリポジトリ(認証形式A用リポジトリ(4−1)、認証形式B用リポジトリ(4−2))へアカウント同期を行う(S11)(保持属性値指定ステップ)。
S14では、猶予評価部(1−3)は、「新情報」で作成されていたアカウント情報を旧情報で再作成を行う(保持属性値指定ステップ)。つまり、その対象属性については、新アカウント情報の対象属性値を破棄し、旧アカウント情報の対象属性値のみを保持するようにする。
一方、S31では、猶予評価部(1−3)は、「新情報」でアカウント情報を再生成する0。つまり、つまり、その対象属性については、旧アカウント情報の対象属性値を破棄し、新アカウント情報の対象属性値のみを保持するようにする。
また、S32において、猶予評価部(1−3)は、S9又はS14の処理が行われた場合は旧情報を削除する削除期限を設定する(保持属性値指定ステップ)。
全属性のチェックが完了したら、実施の形態1と同様に、ユーザ情報同期部(1−4)が、各ターゲットのリポジトリ(認証形式A用リポジトリ(4−1)、認証形式B用リポジトリ(4−2))へアカウント同期を行う(S11)(保持属性値指定ステップ)。
以上のように、ターゲット毎に猶予のポリシーを設定することが可能となることで、新旧どちらかしか属性値を保有できないターゲットへの対応も可能となる。
なお、上記の説明では、猶予ポリシーテーブル(3−2)チェック後、属性ごとにアカウント情報を再作成しているが、全属性のチェック完了後にアカウント情報を再作成する方法でもよい。
また、ターゲットによっては、旧情報は別属性に設定しなければならないケースもあるが、猶予ポリシーテーブル(3−2)の同期ポリシーに旧属性値をどの属性に設定するかを記述することにより、アカウント情報作成で、別の属性に旧属性値を設定し、同期を取ることも可能となる。
また、図20に示すように、図18の猶予ポリシーテーブル(3−2)に同期ポリシーを追加した猶予ポリシーテーブル(3−2)を用いてもよいし、図21に示すように、図19の猶予ポリシーテーブル(3−2)に同期ポリシーを追加した猶予ポリシーテーブル(3−2)を用いてもよい。
図21の例では、認証形式Aについて(1)役職に対しては(1)新旧を保持する同期ポリシーが適用され、(2)メールアドレスに対しては(2)新のみを保持する同期ポリシーが適用されることになっており、認証形式ごと、保有種類ごとに同期ポリシーを変えてもよい。
図21の例では、認証形式Aについて(1)役職に対しては(1)新旧を保持する同期ポリシーが適用され、(2)メールアドレスに対しては(2)新のみを保持する同期ポリシーが適用されることになっており、認証形式ごと、保有種類ごとに同期ポリシーを変えてもよい。
以上、本実施の形態では、旧情報の保管・同期を外部条件に応じてアカウントターゲットごとに制御するID管理システムについて説明した。
実施の形態3.
以上の実施の形態1では、すべての処理が同一サーバで行われる構成であった。
次に猶予処理部分を別サーバに配置する実施の形態を示す。
以上の実施の形態1では、すべての処理が同一サーバで行われる構成であった。
次に猶予処理部分を別サーバに配置する実施の形態を示す。
図12は、本実施の形態に係るシステム構成例を示す図である。
実施の形態1の構成に加え、猶予管理サーバ装置(6)(以下、猶予管理サーバともいう)が追加される。
なお、ID管理サーバ装置(1)は第1のサーバ装置の例であり、猶予管理サーバ装置(6)は第2のサーバ装置の例である。
実施の形態1の構成に加え、猶予管理サーバ装置(6)(以下、猶予管理サーバともいう)が追加される。
なお、ID管理サーバ装置(1)は第1のサーバ装置の例であり、猶予管理サーバ装置(6)は第2のサーバ装置の例である。
以下に、実施の形態1との差異を示す。
図12内のID管理サーバ(1)は、ユーザ情報更新部(1−1)、ポリシー評価部(1−2)、ユーザ情報同期部(1−4)を保有している。
図12内のID管理サーバ(1)は、ユーザ情報更新部(1−1)、ポリシー評価部(1−2)、ユーザ情報同期部(1−4)を保有している。
また、ID管理リポジトリ(2)内では、図2に示すようにユーザマスタテーブル(2−1)においてユーザID、部、課、役職が管理され、図6に示すようにアカウントマスタテーブル(認証形式B用)(2−2)においてユーザID、部、課、権限グループが管理され、図7に示すようにアカウントマスタテーブル(認証形式A用)(2−3)においてユーザID、部、課、役職、権限グループが管理され、図5に示されるように同期ポリシーテーブル(2−4)においてターゲット、属性名、設定ポリシーが管理される。
猶予管理サーバ(6)は、猶予評価部(1−3)を保有し、猶予情報リポジトリ(3)では、旧情報管理テーブル(3−1)において図3に示されるようにユーザID、ターゲット、属性名、値、保持期限が管理され、猶予ポリシーテーブル(3−2)において図4に示されるようにターゲット、属性名、同期ポリシーが管理される。
ID管理サーバ(1)から猶予管理サーバ(6)へ送信される情報として、猶予チェック情報(7−1)があり、猶予評価処理の結果として猶予管理サーバ(6)からID管理サーバ(1)へ送信される情報として、猶予チェック結果情報(7−2)がある。
猶予チェック情報(7−1)は、新旧のアカウント情報間で差異のある対象属性値が示される情報であり、ID管理サーバ(1)が猶予管理サーバ(6)に対象属性値の属性名が猶予ポリシーテーブル(3−2)に示されているか否かのチェックを依頼する情報である。猶予チェック情報(7−1)は差異属性値情報の例である。
猶予チェック結果情報(7−2)は、猶予チェック情報(7−1)に示される対象属性値に対するチェックが行われ、猶予管理サーバ(6)により保持対象の属性値(保持属性値)として指定された属性値が示される情報である。猶予チェック結果情報(7−2)は、保持属性値情報の例である。
猶予チェック情報(7−1)は、新旧のアカウント情報間で差異のある対象属性値が示される情報であり、ID管理サーバ(1)が猶予管理サーバ(6)に対象属性値の属性名が猶予ポリシーテーブル(3−2)に示されているか否かのチェックを依頼する情報である。猶予チェック情報(7−1)は差異属性値情報の例である。
猶予チェック結果情報(7−2)は、猶予チェック情報(7−1)に示される対象属性値に対するチェックが行われ、猶予管理サーバ(6)により保持対象の属性値(保持属性値)として指定された属性値が示される情報である。猶予チェック結果情報(7−2)は、保持属性値情報の例である。
次に、図13及び図14を参照して、本実施の形態に係る動作について説明する。
なお、S1〜S16及びS20〜S11の処理はID管理サーバ(1)で行われ、S17〜S19の処理は猶予管理サーバ(6)で行われる。
なお、S1〜S16及びS20〜S11の処理はID管理サーバ(1)で行われ、S17〜S19の処理は猶予管理サーバ(6)で行われる。
S5までは実施の形態1と同様であり、説明を省略する。
S5にて新旧アカウント情報間で属性値に差異がある場合にはS15へ、ない場合はS10へ移行する。
S15では、ポリシー評価部(1−2)が、猶予チェック情報(7−1)に属性名と旧情報(対象属性値)を追加する。
S10にて、ポリシー評価部(1−2)は、全属性チェックが完了したかを確認し、完了していればS16へ、完了していなければS4へ移行する。
全属性チェックが完了している場合には、ポリシー評価部(1−2)は、猶予チェック情報(7−1)を猶予管理サーバ(6)に送信する(S16)。
S5にて新旧アカウント情報間で属性値に差異がある場合にはS15へ、ない場合はS10へ移行する。
S15では、ポリシー評価部(1−2)が、猶予チェック情報(7−1)に属性名と旧情報(対象属性値)を追加する。
S10にて、ポリシー評価部(1−2)は、全属性チェックが完了したかを確認し、完了していればS16へ、完了していなければS4へ移行する。
全属性チェックが完了している場合には、ポリシー評価部(1−2)は、猶予チェック情報(7−1)を猶予管理サーバ(6)に送信する(S16)。
猶予管理サーバ(6)では、猶予評価部(1−3)が、猶予チェック情報(7−1)を受信し(S17)、猶予チェック情報(7−1)にある属性名と対象属性値について猶予ポリシーテーブル(3−2)をチェックする(S6)。
対象属性値の属性名が猶予ポリシーテーブル(3−2)に登録されていればS8へ、登録されていなければS10へ移行する(S7)。
登録されていた場合、猶予評価部(1−3)は、旧情報(対象属性値)を保持期限とともに旧情報管理テーブル(3−1)に保管する(S8)とともに猶予チェック結果情報(7−2)に属性名と対象属性値を追加する(S18)。
S6からS18までを猶予チェック情報(7−1)に載っている属性すべてについて実施した後に、猶予評価部(1−3)は、猶予チェック結果情報(7−2)をID管理サーバ(1)に送信する(S19)。
対象属性値の属性名が猶予ポリシーテーブル(3−2)に登録されていればS8へ、登録されていなければS10へ移行する(S7)。
登録されていた場合、猶予評価部(1−3)は、旧情報(対象属性値)を保持期限とともに旧情報管理テーブル(3−1)に保管する(S8)とともに猶予チェック結果情報(7−2)に属性名と対象属性値を追加する(S18)。
S6からS18までを猶予チェック情報(7−1)に載っている属性すべてについて実施した後に、猶予評価部(1−3)は、猶予チェック結果情報(7−2)をID管理サーバ(1)に送信する(S19)。
ID管理サーバ(1)では、ユーザ情報同期部(1−4)が猶予チェック結果情報(7−2)を受信する(S20)とともに、受信した猶予チェック結果情報(7−2)を元に旧情報、新情報とを合わせて、アカウント情報を再作成する(S21)。
アカウント情報作成後、実施の形態1と同様に、ユーザ情報同期部(1−4)が、各ターゲットのリポジトリ(認証形式A用リポジトリ(4−1)、認証形式B用リポジトリ(4−2))へアカウント同期を行う(S11)。
アカウント情報作成後、実施の形態1と同様に、ユーザ情報同期部(1−4)が、各ターゲットのリポジトリ(認証形式A用リポジトリ(4−1)、認証形式B用リポジトリ(4−2))へアカウント同期を行う(S11)。
以上のようにID管理サーバと猶予管理サーバとを分離することにより、必要に応じてID管理機能と猶予管理機能とを連携させることや、ID管理機能を停止させずに猶予管理機能のメンテナンスが可能となる。
以上、本実施の形態では、権限猶予部、猶予情報リポジトリとを別サーバにて構成するID管理システムについて説明した。
実施の形態4.
以上の実施の形態3では、常に新旧情報をターゲットに同期をとる場合のID管理サーバと猶予管理サーバとを分離した実施の形態であるが、次にターゲットごとに同期ポリシーを制御可能としたID管理サーバと猶予管理サーバとを分離した実施の形態を示す。
以上の実施の形態3では、常に新旧情報をターゲットに同期をとる場合のID管理サーバと猶予管理サーバとを分離した実施の形態であるが、次にターゲットごとに同期ポリシーを制御可能としたID管理サーバと猶予管理サーバとを分離した実施の形態を示す。
図15は、実施の形態4に係るシステム構成例を示す。
実施の形態3の構成図を示す図12との差異についてのみ説明する。
図15では、猶予ポリシーテーブル(3−2)に同期ポリシーカラムをもつ。
つまり、本実施の形態は、実施の形態3で示したシステム構成に実施の形態2で説明した猶予ポリシーテーブルを適用するものである。
実施の形態3の構成図を示す図12との差異についてのみ説明する。
図15では、猶予ポリシーテーブル(3−2)に同期ポリシーカラムをもつ。
つまり、本実施の形態は、実施の形態3で示したシステム構成に実施の形態2で説明した猶予ポリシーテーブルを適用するものである。
実施の形態4におけるフローは実施の形態3が基本となり、猶予評価後に値を設定する部分(図14のS21)が実施の形態2のフロー(図11のS9、S14、S31)となる。
以上のようにID管理機能と猶予管理機能とを分離させたときにも、ターゲット毎に猶予のポリシーを設定することが可能となることで、新旧どちらかしか属性値を保有できないターゲットへの対応も可能となる。
以上、本実施の形態では、権限猶予部、猶予情報リポジトリとを別サーバにて構成するとともに、旧情報の保管・同期を外部条件に応じてアカウントターゲットごとに制御するID管理システムについて説明した。
実施の形態5.
以上の実施の形態3では、ID管理サーバと猶予管理サーバとが1対1であったが、1台の猶予管理サーバにて複数台のID管理サーバの猶予管理を行う実施の形態を示す。
以上の実施の形態3では、ID管理サーバと猶予管理サーバとが1対1であったが、1台の猶予管理サーバにて複数台のID管理サーバの猶予管理を行う実施の形態を示す。
図16は、実施の形態5に係るシステム構成例を示す図である。
実施の形態3の構成図を示す図12との差異についてのみ説明する。
猶予管理サーバ(6)と連携をとるID管理サーバA(1a)とID管理サーバB(1b)とそれぞれのID管理サーバの同期ターゲットである認証形式A用リポジトリA(4−1a)、認証形式B用リポジトリA(4−2a)、認証形式A用リポジトリB(4−1b)、認証形式B用リポジトリB(4−2b)がある。
また、旧情報管理テーブル(3−1)にサーバを特定するためのサーバカラムが追加される。
このように、本実施の形態は、一つの猶予管理サーバ(6)(第2のサーバ装置)が複数のID管理サーバ(1)(第1のサーバ装置)から猶予チェック情報(7−1)を受信し、複数のID管理サーバ(1)(第1のサーバ装置)に猶予チェック結果情報(7−2)を送信する構成となっている。
実施の形態3の構成図を示す図12との差異についてのみ説明する。
猶予管理サーバ(6)と連携をとるID管理サーバA(1a)とID管理サーバB(1b)とそれぞれのID管理サーバの同期ターゲットである認証形式A用リポジトリA(4−1a)、認証形式B用リポジトリA(4−2a)、認証形式A用リポジトリB(4−1b)、認証形式B用リポジトリB(4−2b)がある。
また、旧情報管理テーブル(3−1)にサーバを特定するためのサーバカラムが追加される。
このように、本実施の形態は、一つの猶予管理サーバ(6)(第2のサーバ装置)が複数のID管理サーバ(1)(第1のサーバ装置)から猶予チェック情報(7−1)を受信し、複数のID管理サーバ(1)(第1のサーバ装置)に猶予チェック結果情報(7−2)を送信する構成となっている。
実施の形態5におけるフローは、実施の形態3と基本的に同様となる。旧情報を旧情報管理テーブル(3−1)に登録する際(図14のS8)にサーバ名も登録する部分が異なる。
以上のように、1台の猶予管理サーバで複数台のID管理サーバの猶予管理機能をサポートすることにより、グループ企業のようなID管理はそれぞれ別に行う必要があるが、猶予ポリシーは統一する場合に、猶予管理機能を冗長構成にすることなく、猶予ポリシーの管理コストを下げることができる。
以上、本実施の形態では、1台の猶予管理サーバで、複数台のID管理サーバの猶予管理処理を実施するID管理システムについて説明した。
実施の形態6.
以上の実施の形態5では、常に新旧情報をターゲットに同期をとる場合の1台の猶予管理サーバで複数台のID管理サーバの猶予管理機能をサポートする実施の形態を説明したが、次にターゲットごとに同期ポリシーを制御可能とした1台の猶予管理サーバで複数台のID管理サーバの猶予管理機能をサポートする実施の形態を示す。
以上の実施の形態5では、常に新旧情報をターゲットに同期をとる場合の1台の猶予管理サーバで複数台のID管理サーバの猶予管理機能をサポートする実施の形態を説明したが、次にターゲットごとに同期ポリシーを制御可能とした1台の猶予管理サーバで複数台のID管理サーバの猶予管理機能をサポートする実施の形態を示す。
図17は、実施の形態6に係るシステム構成例を示す。
実施の形態5の構成図を示す図16との差異についてのみ説明する。
図17では、猶予ポリシーテーブル(3−2)に同期ポリシーカラムをもつ。
実施の形態5の構成図を示す図16との差異についてのみ説明する。
図17では、猶予ポリシーテーブル(3−2)に同期ポリシーカラムをもつ。
実施の形態6におけるフローは実施の形態3が基本となり、猶予評価後に値を設定する部分(図15のS21)が実施の形態2のフロー(図11のS9、S14、S31)となる。
以上のように1台の猶予管理サーバで複数台のID管理サーバの猶予機能をサポートするときにも、ターゲット毎に猶予のポリシーを設定することが可能となることで、新旧どちらかしか属性値を保有できないターゲットへの対応も可能となる。
他にも、猶予ポリシーテーブル(3−2)でもサーバ情報を管理することによりサーバごとに猶予ポリシーを変えることも可能となり、ポリシー制御の自由度を広げる効果を得ることができる。
以上、本実施の形態では、1台の猶予管理サーバで、複数台のID管理サーバの猶予管理処理を実施するとともに、旧情報の保管・同期を外部条件に応じてアカウントターゲットごとに制御するID管理システムについて説明した。
最後に、実施の形態1〜6に示したID管理サーバ(1)及び猶予管理サーバ(6)のハードウェア構成例について説明する。
図22は、実施の形態1〜6に示すID管理サーバ(1)及び猶予管理サーバ(6)のハードウェア資源の一例を示す図である。
なお、図22の構成は、あくまでもID管理サーバ(1)及び猶予管理サーバ(6)のハードウェア構成の一例を示すものであり、ID管理サーバ(1)及び猶予管理サーバ(6)のハードウェア構成は図22に記載の構成に限らず、他の構成であってもよい。
図22は、実施の形態1〜6に示すID管理サーバ(1)及び猶予管理サーバ(6)のハードウェア資源の一例を示す図である。
なお、図22の構成は、あくまでもID管理サーバ(1)及び猶予管理サーバ(6)のハードウェア構成の一例を示すものであり、ID管理サーバ(1)及び猶予管理サーバ(6)のハードウェア構成は図22に記載の構成に限らず、他の構成であってもよい。
図22において、ID管理サーバ(1)及び猶予管理サーバ(6)は、プログラムを実行するCPU911(Central Processing Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。
CPU911は、バス912を介して、例えば、ROM(Read Only Memory)913、RAM(Random Access Memory)914、通信ボード915、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。
更に、CPU911は、表示装置901、キーボード902、マウス903、FDD904(Flexible Disk Drive)、コンパクトディスク装置905(CDD)、プリンタ装置906、スキャナ装置907と接続していてもよい。
また、磁気ディスク装置920の代わりに、光ディスク装置、メモリカード(登録商標)読み書き装置などの記憶装置でもよい。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置の一例である。
通信ボード915、キーボード902、マウス903、スキャナ装置907、FDD904などは、入力装置の一例である。
また、通信ボード915、表示装置901、プリンタ装置906などは、出力装置の一例である。
CPU911は、バス912を介して、例えば、ROM(Read Only Memory)913、RAM(Random Access Memory)914、通信ボード915、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。
更に、CPU911は、表示装置901、キーボード902、マウス903、FDD904(Flexible Disk Drive)、コンパクトディスク装置905(CDD)、プリンタ装置906、スキャナ装置907と接続していてもよい。
また、磁気ディスク装置920の代わりに、光ディスク装置、メモリカード(登録商標)読み書き装置などの記憶装置でもよい。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置の一例である。
通信ボード915、キーボード902、マウス903、スキャナ装置907、FDD904などは、入力装置の一例である。
また、通信ボード915、表示装置901、プリンタ装置906などは、出力装置の一例である。
通信ボード915は、ネットワークに接続されている。例えば、通信ボード915は、LAN(ローカルエリアネットワーク)、インターネット、WAN(ワイドエリアネットワーク)などに接続されていても構わない。
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
ROM913には、BIOS(Basic Input Output System)プログラムが格納され、磁気ディスク装置920にはブートプログラムが格納されている。
ID管理サーバ(1)及び猶予管理サーバ(6)の起動時には、ROM913のBIOSプログラム及び磁気ディスク装置920のブートプログラムが実行され、BIOSプログラム及びブートプログラムによりオペレーティングシステム921が起動される。
ID管理サーバ(1)及び猶予管理サーバ(6)の起動時には、ROM913のBIOSプログラム及び磁気ディスク装置920のブートプログラムが実行され、BIOSプログラム及びブートプログラムによりオペレーティングシステム921が起動される。
上記プログラム群923には、実施の形態1〜6の説明において「〜部」として説明している機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
ファイル群924には、実施の形態1〜6の説明において、「〜の判断」、「〜の計算」、「〜の比較」、「〜の評価」、「〜の作成」、「〜の更新」、「〜の設定」、「〜の登録」、「〜の選択」等として説明している処理の結果を示す情報やデータや信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」の各項目として記憶されている。
「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示などのCPUの動作に用いられる。
抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリ、レジスタ、キャッシュメモリ、バッファメモリ等に一時的に記憶される。
また、実施の形態1〜6で説明しているフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示などのCPUの動作に用いられる。
抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリ、レジスタ、キャッシュメモリ、バッファメモリ等に一時的に記憶される。
また、実施の形態1〜6で説明しているフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
また、実施の形態1〜6の説明において「〜部」として説明しているものは、「〜回路」、「〜装置」、「〜機器」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」として説明しているものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、実施の形態1〜6の「〜部」としてコンピュータを機能させるものである。あるいは、実施の形態1〜6の「〜部」の手順や方法をコンピュータに実行させるものである。
このように、実施の形態1〜6に示すID管理サーバ(1)及び猶予管理サーバ(6)は、処理装置たるCPU、記憶装置たるメモリ、磁気ディスク等、入力装置たるキーボード、マウス、通信ボード等、出力装置たる表示装置、通信ボード等を備えるコンピュータであり、上記したように「〜部」として示された機能をこれら処理装置、記憶装置、入力装置、出力装置を用いて実現するものである。
1 ID管理サーバ装置、1−1 ユーザ情報更新部、1−2 ポリシー評価部、1−3 猶予評価部、1−4 ユーザ情報同期部、2 ID管理リポジトリ、3 猶予情報リポジトリ、4−1 認証形式A用リポジトリ、4−2 認証形式B用リポジトリ、5 異動情報、6 猶予管理サーバ装置。
Claims (9)
- 組織に所属するユーザの複数種の属性値が示される属性値情報を記憶する属性値情報記憶部と、
前記属性値情報に示される複数種の属性値のうち前記ユーザの所属組織が変更になった後も保持する属性値の種類を保持種類として示す保持種類情報を記憶する保持種類情報記憶部と、
前記ユーザの所属組織の変更を通知する所属組織変更通知を受信し、受信した所属組織変更通知に基づき、所属組織変更後の前記ユーザの属性を判定するとともに、判定した所属組織変更後の前記ユーザの属性に従って所属組織変更後の属性値情報を生成する属性値情報生成部と、
前記属性値情報生成部により生成された所属組織変更後の属性値情報と前記属性値情報記憶部に記憶されている所属組織変更前の属性値情報との差異を属性値ごとに分析する差異分析部と、
前記差異分析部により差異があると判断された属性値が保持種類に該当するか否かを判定し、差異のある属性値が保持種類に該当する場合に、当該属性値を保持属性値として指定する保持属性値指定部と、
前記属性情報記憶部に記憶されている所属組織変更前の属性値情報を、所属組織変更後の属性値情報と保持属性値とに更新する属性値情報更新部とを有することを特徴とする情報処理装置。 - 前記保持属性値指定部は、
保持属性値を指定するとともに、保持属性値の保持期間を指定し、
前記属性値情報更新部は、
前記保持属性値指定部により指定された保持期間が経過した際に、前記保持属性値を前記属性値情報記憶部から消去することを特徴とする請求項1に記載の情報処理装置。 - 前記属性値情報記憶部は、
前記ユーザのデータアクセス権限を示すアクセス権限属性値とその他の属性値とが示される属性値情報を記憶し、
前記保持種類情報記憶部は、
前記アクセス権限属性値及びその他の属性値の少なくともいずれかを保持種類として示す保持種類情報を記憶することを特徴とする請求項1又は2に記載の情報処理装置。 - 前記属性値情報記憶部は、
複数の認証形式の各々に対応させて複数の属性値情報を記憶しており、
前記保持種類情報記憶部は、
認証形式ごとの保持種類を示す保持種類情報を記憶しており、
前記保持属性値指定部は、
前記差異分析部により差異があると判断された属性値が保持種類に該当するか否かを認証形式ごとに判定し、差異のある属性値がいずれかの認証形式の保持種類に該当する場合に、当該属性値を当該認証形式の保持属性値として指定し、
前記属性値情報更新部は、
認証形式ごとに、前記属性情報記憶部に記憶されている所属組織変更前の属性値情報を、所属組織変更後の属性値情報と前記保持属性値に更新することを特徴とする請求項1〜3のいずれかに記載の情報処理装置。 - 前記属性値情報記憶部は、
複数の認証形式の各々に対応させて複数の属性値情報を記憶しており、
前記保持種類情報記憶部は、
認証形式ごとに、保持種類を示すとともに、保持種類について所属組織変更前の属性値の記憶の要否及び所属組織変更後の属性値の記憶の要否を示す保持種類情報を記憶しており、
前記保持属性値指定部は、
保持種類情報に基づき、認証形式ごとに、保持種類について所属組織変更前の属性値の記憶の要否及び所属組織変更後の属性値の記憶の要否を判定し、
前記属性値情報更新部は、
前記保持属性値指定部における要否判定の結果に基づき、保持種類について所属組織変更前の属性値及び所属組織変更後の属性値の少なくともいずれかを前記属性値情報記憶部に書き込むことを特徴とする請求項1〜3のいずれかに記載の情報処理装置。 - 前記情報処理装置は、
前記属性値情報記憶部と、前記属性値情報生成部と、前記差異分析部と、前記属性値情報更新部とが含まれる第1のサーバ装置と、
前記保持種類情報記憶部と、前記保持属性値指定部とが含まれる第2のサーバ装置とを有し、
前記第1のサーバ装置において、
前記差異分析部は、
差異があると判断した属性値を示す差異属性値情報を前記第2のサーバ装置の前記保持属性値指定部に送信し、
前記属性値情報更新部は、
前記第2のサーバ装置の前記保持属性値指定部から、指定された保持属性値が示される保持属性値情報を受信し、受信した保持属性値情報に基づいて前記属性値情報記憶部の更新を行い、
前記第2のサーバ装置において、
前記保持属性値指定部は、
前記第1のサーバ装置の前記差異分析部から差異属性値情報を受信し、前記差異分析部により差異があると判断された属性値が保持種類に該当するか否かを判定し、差異のある属性値が保持種類に該当する場合に、当該属性値を保持属性値として指定し、指定した保持属性値を示す保持属性値情報を前記第1のサーバ装置の前記属性値情報更新部に送信することを特徴とする請求項1〜5のいずれかに記載の情報処理装置。 - 前記情報処理装置は、
複数の第1のサーバ装置を有し、
前記第2のサーバ装置において、
前記保持属性値指定部は、各々の第1のサーバ装置の差異分析部から差異属性値情報を受信し、各々の第1のサーバ装置の属性値情報更新部に保持属性値情報を送信することを特徴とする請求項6に記載の情報処理装置。 - 組織に所属するユーザの複数種の属性値が示される属性値情報を記憶する属性値情報記憶部と、前記属性値情報に示される複数種の属性値のうち前記ユーザの所属組織が変更になった後も保持する属性値の種類を保持種類として示す保持種類情報を記憶する保持種類情報記憶部とを有するコンピュータが、
前記ユーザの所属組織の変更を通知する所属組織変更通知を受信し、受信した所属組織変更通知に基づき、所属組織変更後の前記ユーザの属性を判定するとともに、判定した所属組織変更後の前記ユーザの属性に従って所属組織変更後の属性値情報を生成する属性値情報生成ステップと、
前記属性値情報生成ステップにより生成された所属組織変更後の属性値情報と前記属性値情報記憶部に記憶されている所属組織変更前の属性値情報との差異を属性値ごとに分析する差異分析ステップと、
前記差異分析ステップにより差異があると判断された属性値が保持種類に該当するか否かを判定し、差異のある属性値が保持種類に該当する場合に、当該属性値を保持属性値として指定する保持属性値指定ステップと、
前記属性情報記憶部に記憶されている所属組織変更前の属性値情報を、所属組織変更後の属性値情報と保持属性値とに更新する属性値情報更新ステップとを有することを特徴とする情報処理方法。 - 組織に所属するユーザの複数種の属性値が示される属性値情報を記憶する属性値情報記憶部と、前記属性値情報に示される複数種の属性値のうち前記ユーザの所属組織が変更になった後も保持する属性値の種類を保持種類として示す保持種類情報を記憶する保持種類情報記憶部とを有するコンピュータに、
前記ユーザの所属組織の変更を通知する所属組織変更通知を受信し、受信した所属組織変更通知に基づき、所属組織変更後の前記ユーザの属性を判定するとともに、判定した所属組織変更後の前記ユーザの属性に従って所属組織変更後の属性値情報を生成する属性値情報生成処理と、
前記属性値情報生成処理により生成された所属組織変更後の属性値情報と前記属性値情報記憶部に記憶されている所属組織変更前の属性値情報との差異を属性値ごとに分析する差異分析処理と、
前記差異分析処理により差異があると判断された属性値が保持種類に該当するか否かを判定し、差異のある属性値が保持種類に該当する場合に、当該属性値を保持属性値として指定する保持属性値指定処理と、
前記属性情報記憶部に記憶されている所属組織変更前の属性値情報を、所属組織変更後の属性値情報と保持属性値とに更新する属性値情報更新処理とを実行させることを特徴とするプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007305177A JP5072550B2 (ja) | 2007-11-27 | 2007-11-27 | 情報処理装置及び情報処理方法及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007305177A JP5072550B2 (ja) | 2007-11-27 | 2007-11-27 | 情報処理装置及び情報処理方法及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009129289A JP2009129289A (ja) | 2009-06-11 |
| JP5072550B2 true JP5072550B2 (ja) | 2012-11-14 |
Family
ID=40820122
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007305177A Expired - Fee Related JP5072550B2 (ja) | 2007-11-27 | 2007-11-27 | 情報処理装置及び情報処理方法及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5072550B2 (ja) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009187341A (ja) * | 2008-02-07 | 2009-08-20 | Fuji Xerox Co Ltd | 情報処理プログラム及び情報処理装置 |
| JP5591166B2 (ja) * | 2011-03-28 | 2014-09-17 | 三菱電機株式会社 | 人事情報出力装置および人事情報出力方法およびプログラム |
| JP5687989B2 (ja) * | 2011-09-29 | 2015-03-25 | 株式会社 日立マネジメントパートナー | アクセス権限管理装置、アクセス権限管理方法及びアクセス権限管理プログラム |
| JP5729283B2 (ja) * | 2011-11-30 | 2015-06-03 | 富士通株式会社 | 管理プログラム、管理装置および管理システム |
| CN104718551B (zh) | 2012-09-26 | 2017-08-25 | 株式会社东芝 | 策略更新系统以及策略更新装置 |
| SG11201502282QA (en) | 2012-09-26 | 2015-05-28 | Toshiba Kk | Policy management system, id provider system, and policy evaluation device |
| JP6205675B2 (ja) * | 2014-12-10 | 2017-10-04 | 高崎 将紘 | 労務財産情報管理装置、方法、及びコンピュータプログラム |
| JP6629610B2 (ja) * | 2016-01-28 | 2020-01-15 | 株式会社ぐるなび | 情報処理装置、情報処理方法及びプログラム |
| JP6374581B2 (ja) * | 2017-08-18 | 2018-08-15 | 高崎 将紘 | 労務財産情報管理装置、方法、及びコンピュータプログラム |
| CN109299613B (zh) * | 2018-09-03 | 2023-07-21 | 中国平安人寿保险股份有限公司 | 数据库分区权限的设置方法和终端设备 |
| JP6749709B2 (ja) * | 2019-06-11 | 2020-09-02 | 高崎 将紘 | 労務財産情報管理装置、方法、及びコンピュータプログラム |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1153429A (ja) * | 1997-08-05 | 1999-02-26 | Casio Comput Co Ltd | 人事ファイル処理装置及び記憶媒体 |
| JP2000181954A (ja) * | 1998-12-11 | 2000-06-30 | Casio Comput Co Ltd | データ処理システム |
| JP3902400B2 (ja) * | 2000-12-20 | 2007-04-04 | 株式会社日立情報システムズ | 電子メールアカウント管理システムと記録媒体 |
| JP2002202956A (ja) * | 2000-12-28 | 2002-07-19 | Daiwa Securities Group Inc | セキュリティ管理システム、セキュリティ管理方法及びセキュリティ管理プログラム |
| JP2004030391A (ja) * | 2002-06-27 | 2004-01-29 | Mitsubishi Electric Corp | 異動届処理装置 |
| JP2004102923A (ja) * | 2002-09-12 | 2004-04-02 | Toshiba Solutions Corp | ワークフロー引継システム及びワークフロー引継方法 |
| JP2008250558A (ja) * | 2007-03-29 | 2008-10-16 | Japan Research Institute Ltd | ワークフロー管理システム、ワークフロー管理方法、検索システム、検索方法、及びプログラム |
-
2007
- 2007-11-27 JP JP2007305177A patent/JP5072550B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2009129289A (ja) | 2009-06-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5072550B2 (ja) | 情報処理装置及び情報処理方法及びプログラム | |
| JP4726545B2 (ja) | データソースを発見して接続するための方法、システムおよび装置 | |
| US8166472B2 (en) | Installation utility system and method | |
| JP2009075655A (ja) | ファイル管理システム、ファイル管理方法、およびファイル管理プログラム | |
| JP2008003847A (ja) | 文書利用管理システム、文書管理サーバ及びそのプログラム | |
| US20120290592A1 (en) | Federated search apparatus, federated search system, and federated search method | |
| US20150142764A1 (en) | Language tag management on international data storage | |
| US20140358868A1 (en) | Life cycle management of metadata | |
| US20130263222A1 (en) | Computer system and security management method | |
| JP2003237914A (ja) | 記憶メディア保管システム及びその運用方法 | |
| JP2012133664A (ja) | 文書管理装置 | |
| US7373393B2 (en) | File system | |
| US8812467B2 (en) | Information processing apparatus and computer readable medium for performing history cancellation processing | |
| US8386503B2 (en) | Method and apparatus for entity removal from a content management solution implementing time-based flagging for certainty in a relational database environment | |
| JP5546486B2 (ja) | 情報処理装置及びプログラム | |
| JP6807239B2 (ja) | タイムスタンプ管理システム、タイムスタンプ管理方法、およびタイムスタンプ管理プログラム | |
| JP6709442B2 (ja) | 資産管理装置、資産管理方法、資産管理プログラム | |
| WO2023129342A1 (en) | Database management engine for a database management system | |
| US11928691B2 (en) | Method and system for managing warranty claims associated with information handling systems | |
| JP2014153746A (ja) | ファイル共有システム及びファイル共有方法 | |
| JP2006127126A (ja) | 知識共有システム及び情報公開制御方法 | |
| JP2006004024A (ja) | ディレクトリサーバに実行させるためのプログラム | |
| JP5783010B2 (ja) | インデックス管理プログラム、インデックス管理装置及び検索システム | |
| TW201403362A (zh) | 在多主控環境中通過以頁面爲基礎之信息追蹤管理大型資料集 | |
| CN116455891B (zh) | 数据网间安全交换系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100924 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120713 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120724 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120821 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5072550 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150831 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |