JP5667219B2 - 仮想化環境におけるタスクベースのアクセス制御 - Google Patents
仮想化環境におけるタスクベースのアクセス制御 Download PDFInfo
- Publication number
- JP5667219B2 JP5667219B2 JP2012557133A JP2012557133A JP5667219B2 JP 5667219 B2 JP5667219 B2 JP 5667219B2 JP 2012557133 A JP2012557133 A JP 2012557133A JP 2012557133 A JP2012557133 A JP 2012557133A JP 5667219 B2 JP5667219 B2 JP 5667219B2
- Authority
- JP
- Japan
- Prior art keywords
- task
- objects
- encapsulated
- computer
- delegate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000000694 effects Effects 0.000 claims description 76
- 238000000034 method Methods 0.000 claims description 54
- 238000013475 authorization Methods 0.000 claims description 9
- 230000008569 process Effects 0.000 claims description 9
- 230000007246 mechanism Effects 0.000 claims description 5
- 238000005538 encapsulation Methods 0.000 claims description 4
- 230000009471 action Effects 0.000 claims description 3
- 230000008859 change Effects 0.000 claims description 2
- 239000002775 capsule Substances 0.000 claims 1
- 238000010367 cloning Methods 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 16
- 238000005516 engineering process Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 238000007726 management method Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 3
- 239000011159 matrix material Substances 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 102100034761 Cilia- and flagella-associated protein 418 Human genes 0.000 description 1
- 101100439214 Homo sapiens CFAP418 gene Proteins 0.000 description 1
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 238000013515 script Methods 0.000 description 1
- 239000000344 soap Substances 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2145—Inheriting rights or properties, e.g., propagation of permissions or restrictions within a hierarchy
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Bioethics (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Stored Programmes (AREA)
- User Interface Of Digital Computer (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
[0001]本開示は、タスクベースのアクセス制御を生成して管理するための方法、技術、及びシステムに関するものであり、そして、例えば、プロキシ・タスク・オブジェクトを用いて仮想化環境におけるタスクベースのアクセス制御を生成して管理するための方法、技術、及びシステムに関する。
[0002]既存の仮想化環境におけるアクセス制御を規定する許可モデルは、オブジェクト中心である。特に、各オブジェクトは、それを操作するために必要とされるそれと対応付けられた特権を有する。デレゲート・ユーザ(例えば、システム管理責任者から適当な許可を得たユーザ)がオブジェクトへのアクセスを得るために、ユーザは適当なセットの特権(オブジェクトがそのオブジェクトに関して何らかの動作をとるために期待するものにマッチするもの)を与えられる必要がある。これらの特権は、特定の時間に特定のユーザが、ユーザが実行することを望む動作を実行するためにアクセス権を有するかどうかを決定するために、仮想化環境によって使用される。いくつかの仮想化システムで、そして他のコンピューティング環境で、この種の特権(例えば、アクセス権など)は「ロール(roles)」にグループ化され、そしてユーザは、彼又は彼女がインフラストラクチャの中で実行することをおそらく必要とするアクティビティに基づいて、ロールを割り付けられる(例えば、指定される、認可される、割り当てられる、指図されるなど)。ロールは、デレゲート・ユーザが時間とともに実行する必要があり得る多くのいろいろなアクティビティを含む、大きいセットの特権を一緒にグループ化する傾向がある。例えば、システム管理責任者ロールで演じるユーザは、ソフトウェア・テスタ・ロールで演じるユーザとは異なるアクティビティを実行する必要があり得る。
[0003]例えば、開発中の彼らのソフトウェアのための試験環境として仮想マシンを使用する多くの従業員を有する会社で、特定の試験のために構成されたデータセンター内の特定の仮想マシンの電源をオンオフするために、各ユーザにアクセスできることが望ましいことがある。仮想マシンの電源をオンするには一組の特権を必要とすることがあるが、仮想マシンを別のホストに動かすような異なるタスクは別の組の特権を必要とすることがある。仮想マシンの移動がデータセンターの管理のあるアスペクトに関係するユーザにしばしば確保されるので、仮想マシンの電源をオンする能力を有するあらゆるユーザがまた、彼又は彼女の仮想マシンをインフラストラクチャ内の異なるホストに動かす能力を与えられることは、多くのこの種の場合において必要でないか、またはずっと望ましい。従って、頻繁に、特に非常に大きいデータセンターで、システム管理責任者は、誰が仮想化インフラストラクチャ内の何にアクセスするか、そして、厳密に、それらのデレゲート・ユーザがインフラストラクチャのさまざまな部分に対して何をすることができるか規定する必要がある。率先してアクセスを適切に許可するために、それらは、従って、さまざまなユーザが、データセンター内で管理されるオブジェクト(本明細書において、管理インベントリイ・オブジェクトと称されることがある)に関してどんなロールを演ずるかについて事前に予測しなければならない。そのタスクを実行するのに多くのいろいろな表面上無関係な特権が必要であるかも知れないので、そのタスクを実行するためにユーザに必要な特権のフルセットを識別することは困難なことがある。加えて、いくつかの仮想化環境では、許可は複雑な継承構造規則により伝播され、従って特定のユーザがどんな許可を与えられたかを管理責任者がいつでも正確に理解することは困難であり得る。
[0004]図1A〜1Iは、ロールベースのパラダイムに従って仮想化インフラストラクチャの許可を管理するための既存のユーザ・インタフェースの画面表示の実施例である。これらの表示は、vSphere(商標)と呼ばれているVMware・データセンター仮想化管理製品から生成した。図1Aは、ロール(Role)101が特権102a〜102dから成ることを示し、ロール101は、インベントリイ・オブジェクト・フォルダ121(例えば、データセンター・インベントリイの管理対象オブジェクト)からのオブジェクト122a〜122dと対応付けられ、ロール101はユーザ112a〜112dと対応付けられ、アクティブ・デリクトリイ・グループ(Active Directory Group)111に格納されるように、ここで例示され、そしてインベントリイ・オブジェクト・フォルダ(Inventory Object Folder)121はまた、アクティブ・デリクトリイ・グループ111のユーザ112a〜112dと対応付けられる。3つの要素、1つ以上のロール101、オブジェクト・フォルダ121、及びユーザ111のグループの全ては、特定のユーザがインフラストラクチャでどのオブジェクトを処理することが可能かについて規定するために用いられる。各要素はまた、それ自体の専用ユーザ・インタフェースと対応付けられ、ロール101はロール・インタフェース100により管理され、インベントリイ・オブジェクト・フォルダ121は、ユーザ・インタフェース120により管理され、そしてユーザ(及びユーザのグループ)111はインタフェース110により管理される。
[0005]ユーザにアクセスを許可するために、このシステムの下で、管理責任者は、既存のロールをユーザに割り当てるか、または新しいロールを規定する。図1Bは、ユーザ・インタフェース100の使用を例示し、ここでは、「VMs Only」と呼ばれる新しいロールを規定するために、vSphereクライアント・ウィンドウ130にダイアログ131として示されている。ここで「VM」は仮想マシンを指す。図1Bに示すように、管理責任者は、特権のいずれか、例えば、仮想アプリケーションの電源をオンするためのvAppカテゴリ132内の特権「電源オン(Power ON)」133を選択する。所望の特権の全てを選択した後に、新規なロール「VM Only」134は、それがやがては特定のユーザに割り当てられる必要があるので、まだ使用されていないとして図1Cのロール・ウインドウに現れる(出力テキスト135)。
[0006]管理責任者は、ここで、ユーザ・インタフェース120(図1A)を用いてロールをどのオブジェクトと対応付けるかを決定する必要がある。図1Dは、管理責任者が、新しいロールが割り当てられるデータセンター「ボビーのVM(Bobby’s VM)」(フォルダ)のオブジェクトを選択したことを示している。オブジェクト「ボビーのVM」に既に割り当てられたロールの現在のセットは、許可(Permission)タブ142の下に示されている。新しく開発されたロール「VM Only」を加えるために、管理責任者は、追加許可(Add Permission)メニュー143又は他のユーザ・インタフェース(UI)制御によって割り当て許可ダイアログを提示する。割り当て許可(Assign Permissions)ダイアログ150によって、図1Eに示すように、管理責任者は、新しく定義済みのロール153をロールメニュー152から選択できる。管理責任者はまた、オブジェクト定義階層の更なる下のオブジェクトが同様にこの役割を継承するかどうかをUI制御154を用いて示すことができる。例えば、UI制御154が選択されたので、ボビーのフォルダのすべての仮想マシン(VM)はこのロール割り当てを継承できる。管理責任者がされる(例えば「OK」ボタン155を押すことによって、)ことを管理責任者が示すときに、管理責任者は、新しいロールを割り当てられるユーザ及び/又はグループを選択できる。
[0007]図1Fは、ロール割り当てのためのユーザの選択のためのプロセスの実施例を示す。別のユーザ選択ダイアログ160(例えば、図1AのUI 110)において、管理責任者は、ボビー(アイコン161)が彼に割り当てられた新しいロールを有することを選ぶ。一旦この全サイクルが完了する(新しいロールを規定し、オブジェクトに割り当て、ユーザ/グループに割り当てる)と、管理責任者は、図1Gに示すように、割当て許可ダイアログ150のフィールド171で、新しいロール「VMs Only」がボビーに割り当てられたということ、そしてどんな許可がそのロールでボビーが利用できるかという表示172を知ることができる。管理責任者は、図1Hに示されるインベントリイUIを使用して、新しい許可182がオブジェクト・ボビーのVMに関してボビー181に割り当てられたことを検査できる。図1Iに示すように、管理責任者がここでシステムにおいて規定されるロールに注目するときに、管理責任者は、新しいロール134を、そしてそれがどこで誰に割り当てられたかを見ることができる(記述191)。
[0008]都合の悪いことに、ボビーに彼の新しく割り当てられた許可を実際に試用するよう求めずに、管理責任者には、ボビーの新しいロールが意図されるように働くかどうかについてほとんど認識がない。ボビーが新しい仮想マシンを加えようとして、それが予想通り作動しない(例えば、彼はエラー・メッセージを受信する)場合は、管理責任者は、より多くの特権を加え、及び/又はそれらをいろいろなインベントリイ・オブジェクトに割り当てるために、グルグルとボビーが成功するまで、再びダイアログを数回繰り返さなければならない。更に、インフラストラクチャ全体のロールの伝播及び固有の性質の複雑な構造のため、どのロールがボビーに実際にアクセスできるか決定することは困難である場合がある。
[0021]本願明細書に記載されている実施形態は、特に仮想化環境に適用されるように、タスクベースのアクセス制御のための強化されたコンピュータ及びネットワーク・ベースの方法、システム、並びに技術を提供する。例示の実施形態はタスクベースのアクセス制御システム(「TBACS」)を提供し、それによって、システム管理責任者及び他のこの種のユーザは、彼らが許可したいと望むタスクに基づいて、そしてユーザが誰であるか(即ち、ユーザがどのロールを割り当てられたか)に基づかないで、特権をデレゲート・ユーザに割り当てることができる。システムの管理責任者によって、デレゲート・ユーザがあるアクティビティを実行することが可能になるときに、これによって彼らは目的を持って的確になる。要約すると、これらの技術は、彼らがタスク(例えば、1つ以上のアクティビティ)を達成するために作用できるオブジェクトとともに特権をカプセル化して、その結果、デレゲート・ユーザは、仮想化インフラストラクチャの特定の部分に向けられた特権・オブジェクトの対を割り当てられる。これらのカプセル化は1つ以上のタスクを達成するためのプロキシを表すので、それらはこの説明では「プロキシ・タスク・オブジェクト」と称される。加えて、プロキシ・タスク・オブジェクトは、人間のユーザ(デレゲート・ユーザは、物理的人間又は仮想若しくはオートメーション化したユーザであり得る)への実際の割当てなしにオートメーション化した方法で実行されることができる。プロキシ・タスク・オブジェクトは、システムの他のオブジェクトと同様に、クローンを作られ、移動され、共有されることなどができる。加えて、特定のデレゲート・ユーザが休暇であるとき、それらは例えば「オンローン(on loan)」に置くことができる。また、それらは、デレゲート・ユーザに割り当てられた後に、一時的に使用可能または使用不能になる場合がある。タスクが典型的に何度も実行されるので、一旦管理責任者がこれらの特権・オブジェクト対のカプセル化を「デバッグする」と、管理責任者は、デレゲート・ユーザが、所望の、既に試験されたタスクを達成するために、十分な、そしておそらく必要なだけの特権を有することを確信できる。また、TBACSパラダイムは、システム・セキュリティ・モデルへの根本的な変更を必要としないように、既存のロールベースの許可システムをオーバーレイすることができる。
[0022]本願明細書において記載されている技術、方法、及びシステムが仮想化インフラストラクチャ及び環境と関連して説明されているけれども、これらの技術はまた、様々な他の環境において許可を与える(例えば、割り付ける、割り当てる、出す、提供するなど)ために有用であり得る。
[0023]図2は、アクティビティ、及び例示のタスクベースのアクセス制御システムにより構築されたプロキシ・タスク・オブジェクト(例えば、vBot)の表示のブロック図の例である。タスクベースのパラダイムに従って、特権201〜204はアクティビティ200を規定する。特権がアクティビティ(例えば、タスク、目標、目的など)にグループ化されるので、いくつかの実施形態で、さもなければロール(例えば、図1Aのロール101を参照)にグループ化されるかもしれないより少ないアクティビティのために必要とされる特権があり得る。これによって、管理責任者は手元の真のタスクに合わせて特権を調整できる。一旦アクティビティが規定されると、プロキシ・タスク・オブジェクトは生成される(例えば、オーサリングされる、発生する、クローンを作られるなど)ことができて、1人のユーザ又はユーザのグループへの割当ての準備ができる(即ち、展開される)。
[0024]プロキシ・タスク・オブジェクト220は、アクティビティ200により規定されるアクティビティ「VMを生成する(Create VM)」のためのプロキシ・タスク・オブジェクトの例である。1つの例示の実施形態において、オブジェクト220のようなプロキシ・タスク・オブジェクトは「vBots」(仮想化ロボット)と呼ばれて、本願明細書で用いられる用語は置き換え可能である。まず最初に、オブジェクト220のようなプロキシ・タスク・オブジェクトは、特権201〜204を特定のオブジェクト(即ち、仮想化インフラストラクチャの管理オブジェクト・インベントリイのオブジェクト)に変化(例えば、連結する、割り当てる、対応付ける、結び付けるなど)せずに生成される。特権は、特定のオブジェクト・タイプに適用できるとして生成されうるが、必ずしも特定の名前付きのオブジェクトに変化されるというわけではない。この種の状態において、プロキシ・タスク・オブジェクトが、いろいろなドアのキーを生成することに類似している、その「タイプ」のプロキシ・タスク・オブジェクトを生成するためにマスターキーとして使用されることができるので、それは「プロトタイプ」と呼ばれることがある。
[0025]図2において、プロキシ・タスク・オブジェクト220(vBot)は、1つのアクティビティ(VMアクティビティ200を生成する)のための特権201〜204を含む。各アクティビティ200の各特権201〜204は、それに作用できるオブジェクト、ここでは仮想化インフラストラクチャからのオブジェクトを表すオブジェクト210〜212に分割される。いくつかの実施形態では、プロキシ・タスク・オブジェクトは、例えば、警報、データセンター、データストア、分散仮想ポート・グループ、分散仮想スイッチ、拡張、フォルダ、グローバル、ホスト共通情報モード、ホスト構成、ホスト・インベントリイ、ホスト局所操作、ホスト・プロフィール、ネットワーク、パフォーマンス、許可、資源、予定のタスク、セッション、タスク、仮想アプリケーション、仮想マシン構成、仮想マシン相互作用、仮想マシン・インベントリイ、仮想マシン状態などを含む、仮想化インフラストラクチャにおける様々なオブジェクト、実体、制御、又はプロセスに束縛されことがあり得る。注目すべきは、1つ以上の特権、ここでは特権203及び204は、同じオブジェクト212と対応付けられることが可能である。1つの実施形態において、各特権は1つのオブジェクトだけに束縛される。他の実施形態は1対多数の関係をサポートすることができる。一旦プロキシ・タスク・オブジェクト220が特定のオブジェクトに分割されるその特権の全てを有すると、それは展開されて、従ってデレゲート・ユーザ230に割り当てられることができる。
[0026]図3は、例示のタスクベースのアクセス制御システムの構成要素のブロック図の例である。図3のタスクベースのアクセス制御システムは、図2に示されるプロキシ・タスク・オブジェクトを生成して管理するために用いることができる。一実施形態において、タスクベースのアクセス制御システム300は、プロキシ・タスク・オブジェクトを用いることによりアクセス制御許可を生成して管理するために連動する1つ以上の機能的な構成要素/モジュールを備える。これらの構成要素は、ソフトウェア若しくはハードウェア又は両方の組合せで実施することができる。図3に示すように、タスクベースのアクセス制御システム300は、通信チャネル315を通じて通信するクライアント側サポート310及びサーバー側サポート320を備える。等価な非クライアント・サーバー(例えば、単一のコンピュータ・システム)実装も用いることができる。サーバー側サポートは、1つ以上のプロキシ・タスク・オブジェクト・オーサリング・エンジン321、1つ以上のプロキシ・タスク・オブジェクト展開エンジン322、及び1つ以上のプロキシ・タスク・オブジェクト割当てインタフェース323(それは許可データ・リポジトリ324と対話し、そして仮想化実施形態において、例えば、管理オブジェクト・インベントリイに関する情報を格納できる、仮想化インフラストラクチャ・データ・リポジトリ330と対話する)を備える。クライアント側サポート310は、オーサリング・ユーザ・インタフェース311、展開ユーザ・インタフェース312、及び割り当てインタフェース313を備える。ユーザ・インタフェース310〜313の各々は、TBACSサーバー側サポート320のその対応付けられたエンジンに対応する。多くのいろいろなユーザ・インタフェースは組み込まれることができて、そのいくつかの実施例は下の図9A〜9Jを参照して説明される。
[0027]プロキシ・タスク・オブジェクト・オーサリング・エンジン321及び対応付けられたオーサリング・ユーザ・インタフェース311は、それらと対応付けられた1つ以上の特権を有するアクティビティを有するプロキシ・タスク・オブジェクト・プロトタイプ(例えば、vBotプロトタイプ)を生成する役割を果たす。まず最初に生成されるときに、特権は特定のタイプのオブジェクトと対応付けられることが可能であるが、それらはまだ展開可能な形ではなく、即ち、それぞれの特権と対応付けられた特定のインベントリイ管理オブジェクトに束縛されていることがある。プロキシ・タスク・オブジェクト・プロトタイプは、スクラッチから生成されて、クローンを作られて、既存のプロキシ・タスク・オブジェクト又はプロキシ・タスク・オブジェクト・プロトタイプなどから編集されることができる。
[0028]プロキシ・タスク・オブジェクト展開エンジン322及び対応付けられた展開ユーザ・インタフェース312は、プロキシ・タスク・オブジェクトの各アクティビティの各特権のオブジェクト・タイプ参照を管理オブジェクト・インベントリイの特定のオブジェクトに分割する役割を果たす。各特権が分割される(即ち、割り当てられたオブジェクトと対応付けられる)ときに、プロキシ・タスク・オブジェクトは、ユーザに割り当てられるプロキシ・タスク・オブジェクトとして割当てに対して解除可能である。仮想化環境コンテキスト外の実施形態において、他のオブジェクト(管理オブジェクト・インベントリイからのオブジェクト以外のもの)は、同様にプロキシ・タスク・オブジェクトに束縛されることがある。
[0029]プロキシ・タスク・オブジェクト割当てインタフェース323及び対応付けられた割当てユーザ・インタフェース313は、プロキシ・タスク・オブジェクト(その特権・オブジェクト対結合とともに)がユーザに割り当てられることが可能である役割を果たす。上記のように、プロキシ・タスク・オブジェクトは、ユーザが実行することを望むタスクに基づいて1つ以上のユーザ又はユーザのグループに割り当てられることが可能である。
[0030]図4は、タスクベースのアクセス制御を生成して管理するプロセス例のオーバービューのフロー図の例である。図3に示されるタスクベースのアクセス制御システムの構成要素は、図4の論理を実施するために用いることができる。ブロック401〜405は、生成されて管理される各プロキシ・タスク・オブジェクトに対して実行される。ブロック401において、管理責任者(又は等価な人またはオートメーション化したデレゲート)は、指定された特権を有するアクティビティを有するプロキシ・タスク・オブジェクトをオーサリングする。オーサシップは、図5、6、及び7に関して更に説明される。ブロック403において、管理責任者は、各アクティビティの特権ごとに受け入れられるオブジェクトを指定することによって、プロキシ・タスク・オブジェクトを展開する。展開は図8に関して更に説明される。ブロック405において、管理責任者は、展開されたプロキシ・タスク・オブジェクトを1つ以上のデレゲート・ユーザに割り当てる。割当ては図9A〜9Jに関して更に説明される。一旦プロキシ・タスク・オブジェクトが展開されて割り当てられると、ブロック405からブロック403への点線により示すように、管理責任者は要望通りプロキシ・タスク・オブジェクトを任意に移動させ、及び/又は再設定できる。ブロック407において、処理する追加のプロキシ・タスク・オブジェクトがあるかどうかが決定されて、そうである場合は、論理はブロック401に戻って、追加のプロキシ・タスク・オブジェクトを処理し、さもなければ終了する。
[0031]図5は、例示のタスクベースのアクセス制御システムによるプロキシ・タスク・オブジェクトをオーサリングするための論理例のフロー図の例である。ブロック501において、管理責任者(或いは等価な人又はオートメーション化したデレゲート)は、所望のアクティビティごとに1つ以上の特権を決定する。特権は、既存のリスト、例えば、図6で下に記載するテーブル、管理責任者の「ノウハウ」、他のガイドなどから決定できる。ブロック503において、管理責任者は、オブジェクトを(例えば、標準オブジェクト指向プログラミング・コマンド、宣言言語などを用いて)生成して、各特権をオブジェクトのタイプに割り当てる。例えば、特定の特権はホストマシンに、他はデータ・リポジトリなどに適用できるだけである。一旦生成されると、ブロック505において、プロキシ・タスク・オブジェクトはシステムに格納される。
[0032]上記のように、プロキシ・タスク・オブジェクトをオーサリングする際の第1ステップのうちの1つは、所望のタスクのための適当な特権を決定することである。図6は、例示の仮想化環境で共通タスクを実行するための特権をリストしているテーブルからの抜粋である。この実施例の抜粋は、VMware社、「vSphere Basic System Administration Guide for vCenter Server 4.0、ESX 4.0、ESXI 4.0」、CA 2010、part EN―000105―06の第18章のテーブルからであり、それは内容全体を参照によって本願明細書に取り込まれたものとする。テーブル600は、いくつかの共通タスク、例えば、「仮想マシンを生成する(Create a virtual machine)」タスク601及び「テンプレートから仮想マシンを展開する(Deploy a virtual machine from a template)」タスク602を記載している。この種のタスクごとに、テーブルは必要な特権、例えば特権621〜624をリストする。これらの特権は、正しい特権が生成されて、それからインフラストラクチャ内の適当なオブジェクトに束縛される(例えば、分割される、割り当てられるなど)ことを確認するために、一種のチェックリストとして用いることができる。
[0033]図7は、プロトタイプ・プロキシ・タスク・オブジェクト例(例えば、vBotプロトタイプ)の表示のブロック図の例である。示される例において、プロキシ・タスク・オブジェクト700は、3つのアクティビティ、即ち、テンプレートからVMを展開する(Deploy VM From Template)−アクティビティ701、ゲストOSをインストールする(Install Guest OS)−アクティビティ710、及びVMを生成する(Create VM)−アクティビティ720を含む。これらのアクティビティ並びにそれらのそれぞれの特権702〜705、712〜715、及び722〜725は、例えば、図6に示されるテーブル、等価な専門知識、実験、第三者又は他の外部入力などからの入力に基づいて決定された。特権がインフラストラクチャ・インベントリイの実際のオブジェクトにまだ分割されないので、プロキシ・タスク・オブジェクトは「プロトタイプ」ステージにおいて考慮されて、このタイプのプロキシ・タスク・オブジェクトを生成するために用いるか、または割り当て可能なプロキシ・タスク・オブジェクトを生成するために分割されることができる。
[0034]図4のブロック403に関して述べたように、一旦生成されると、プロキシ・タスク・オブジェクトは、各特権を特権により示されるタイプのオブジェクトと対応付けることにより展開されることができる。(特権は特定のオブジェクト・タイプと対応するとみなされうる。)図8は、展開されたプロキシ・タスク・オブジェクト(例えば、vBot)の表示のブロック図の例である。図8において、図7のアクティビティ701、710、及び720はアクティビティ801、802、及び803として示され、それらのそれぞれの特権は対応するオブジェクトに束縛される。例えば、特権810はリンク820を介してオブジェクト830と対応付けられ、そして特権811はリンク821を介してオブジェクト831と対応付けられる。別の実施例(そこでは単一のオブジェクトが2つの異なる特権に参照されるか、または対応付けられる)として、アクティビティ803の場合は、特権840はリンク850を介してオブジェクト860と対応付けられ、そして特権841はリンク851を介してオブジェクト860と対応付けられる。
[0035]図4のブロック405に関して述べたように、展開されたプロキシ・タスク・オブジェクトは、1つ以上のデレゲート(物理的、仮想、又はオートメーション化した)ユーザに割り当てられることが可能である。この種の割当ての実施例は、下記のvBotsのための例示のユーザ・インタフェースの部分を参照して説明される。
[0036]図9A〜9Jは、例示のタスクベースのアクセス制御システムに従って仮想化環境内でプロキシ・タスク・オブジェクトを生成し、展開して、割り当てるためのユーザ・インタフェースの画面表示の例である。図9Aは、vBots−プロキシ・タスク・オブジェクトの実施例を生成し、展開して、割り当てるための強化された仮想化環境データセンター管理ツールを示している。インタフェース表示900において、ユーザ、おそらく管理責任者または等価物は、どんなvBotsが生成され、展開され、及び/又は割り当てられたかについて見るために、インフラストラクチャの領域、ここではホスト及びクラスタ901を選択した。特定のインフラストラクチャ・オブジェクトが選択されるときに、例えば、ホスト905、パネル910は割り当てが利用できる(展開された)vBotsを表示する。ここで、展開されたvBots 911は、仮想マシンを生成するために用いることができるFactoryBot 912、及び仮想マシンの性能を検査するために用いることができるInspectorBot 914を含む。このインタフェースはまた、FactoryBot 912が一般に3つのユーザ及び/又はグループ913:jdoe、Prom_ESS、VIAdminに割り当てられることを示す。更に、FactoryBot 912が選択されたので、ユーザ・インタフェース900は、そのvBotのためのプロトタイプ915(それで付加的なこの種のvBotsが容易に生成されることを可能にする)及びそのvBotを用いて利用可能なアクティビティ916のリストを示す。「点灯(light up)」アイコン917は、このvBotを急速に可能にしたり、不能にするために用いることができる(例えば、可能のために緑で、そして不能のために赤で示される)。図9Bに示すように、ソートUI制御917によって、管理責任者が表示をアクティビティ表示918に変えることができる。
[0037]図9AのFactoryBotのためのプロトタイプ915の選択によって、管理責任者が新しいFactoryBotをオーサリングする(例えば、生成する、発生させるなど)ことができる。図9Cは、アイコン921及び名前922を有する新しいFactoryBot 920を例示する。vBotのために規定される3つのアクティビティは、表示923の右側に示され、仮想マシン924を生成し、テンプレート926から仮想マシンを展開し、そしてゲスト・オペレーティングシステムを仮想マシン928にインストールする。加えて、各アクティビティは、その対応する(割り当てられない)特権により表示される。例えば、仮想マシン生成(Create Virtual Machine)アクティビティ924は4つの特権925を備える。アイコンは、各特権に割り当てられる必要があるインフラストラクチャ・オブジェクトのタイプを示す。このように、一種の「タイプ・チェック」がインタフェースにより提供される。
[0038]vBotを展開するために、この特定のインタフェースによって、管理責任者が、対応付けるために、特権をオブジェクトに結び付けるために、直接操作を用いて特権を特権からインフラストラクチャ階層内のオブジェクト表示までドラッグする(例えば、マウスのような入力装置をドラッグする)ことができる。図9Dにおいて、カーソル933は、特権(ホストに対応するリソース・プール936に対するリソース割当て仮想マシンとして記載される)をインフラストラクチャ内の935により示される実際のホストに結び付けるために、同じタイプ935のオブジェクトにドラッグ(934)されて示されている。チェックマーク、例えば、アクティビティ931の特権上のチェックマーク932は、特権がインベントリイ・オブジェクトに正しく割り当てられたことを示す。注目すべきは、いくつかの実施形態において、特定の特権が同じオブジェクトに(例えば、同じ宛先ホストに)当てはまるように、それらはリンクされることができる。即ち、vBot内のいくつかのアクティビティは、関係があるようにリンクされることができる。即ち、同じオブジェクトに適用できる。このような場合には、インタフェースは、リンクされたオブジェクトの同じオブジェクトへの結合を自動的に更新できる。
[0039]一旦展開されると、vBotsは1つ以上のユーザ又はユーザのグループに割り当てられることが可能である。図9E〜9Jはこのプロセスを示す。特に、図9Eで、生成された新しいFactoryBot 945をグループVC Users 942に割り当てることが望ましい。表示940によって、グループVC Users 942は管理責任者により選択された。このユーザ942に割り当てられた現在割り当てられているvBotsが、割り当てられたvBotリスト943に示される。このリストがアクティビティによって(ソートUI制御を呼び出すことによって)その代わりに構成されるときに、VC Dev FactoryBot実体945はアクティビティのうちの少なくとも2つの中で見られる。
[0040]図9Fに示すように、表示950において、管理責任者は新しいFactoryBot 951を選択した。そしてその詳細はタブ952を使用して示すことができる。図9Gに示すように、表示960において、管理責任者は、vBotがどこで展開された(どのオブジェクトで)かについて見るために「ゾーン」タブ961を選択した。図9Hに示す表示970において、管理責任者は、そのvBotのための(3)アクティビティのリスト971を見るためにアクティビティ・タブを選択した。
[0041]図9Iに示す表示980において、管理責任者のカーソル982は、新しい展開されたvBotに対応するアイコン981をグループVC Users 984のために割り当てられたvBotsリスト983にドラッグするとして示されている。最後に、図9Jに示す表示990において、新しいvBot 991の表示は、VC Usersに割り当てられたvBotsのリストに示される。新しいvBotの割当てはここで完了している。
[0042]図10A〜10Bは、仮想化インフラストラクチャと対話するためにプロキシ・タスク・オブジェクトを開始するためのユーザ・インタフェースの実施例である。図10Aに示すように、各プロキシ・タスク・オブジェクトは、1組のカプセル化されたタスクを実行するための、それ自体のインタフェースを有することができる。インタフェース1000は、さまざまなインフラストラクチャ・オブジェクト、例えば、ホストマシン「ssen―esx.enng.vmware.com.」の位置により構成された「vBots」(プロキシ・タスク・オブジェクト)アイコンのリストを示す。vBot、例えば、FactoryBot 1001を選択すると、右側に、ユーザ・インタフェースは、「FactoryBot」プロキシ・タスク・オブジェクト1003と対応付けられたアクティビティ(仮想マシンを生成し、テンプレートから仮想マシンを展開して、ゲストOSをマシンにインストールする)を示す。このリストはソートされることができて、それ故、ユーザ・インタフェースは、ソート・ユーザ・インタフェース制御1005及び1007を選択することにより変更される。
[0043]図10Bにおいて、プロキシ・タスク・オブジェクトのリストが、ソート・ボタン1015を使用してアクティビティ及びソート・ボタン1017を使用して名前によってソートされるときに、アクティビティ1011のリストは、対応するvBots(例えば、FactoryBot 1012)及びvBotが割り当てられたオブジェクト(例えば、オブジェクト1013)で表示される。右側1014の表示は、現在、左側の選択と関連する情報−ここでは管理オブジェクト・インベントリイからのインフラストラクチャ・オブジェクトを示している。他のユーザ・インタフェースは同様に組み込むことができる。
[0044]本願明細書に記載されている例示の実施形態は、仮想化環境における許可をデレゲートするために用いられるタスクベースのアクセス制御システムを実施するために、アプリケーション、ツール、データ構造、及び他のサポートを提供する。記載されている技術の他の実施形態は、非仮想コンピュータ・システム環境における許可をデレゲートすることを含む、他の目的のために使うことができる。以下の説明では、データ・フォーマット及びコード・シーケンスなどのような、多数の具体的な詳細が、記載されている技術の完全な理解を提供するために述べられる。また、記載されている実施形態は、本願明細書に記載されている具体的な詳細のいくつかなしで、又は他の具体的な詳細、例えば、コード・フローの順序付け、いろいろなコード・フローなどに関する変更により実践することができる。このように、記載されている技術及び/又は機能の範囲は、いかなる特定のルーチンに関して記載されたステップの特定の順序、選択、又は分解によっても制限されない。また、特定の用語が本願明細書において主に使われるけれども、他の用語は、等価な実施形態及び実施例を得るために取り換えられて用いることができる。加えて、用語は、明確に言及されることができるか又は言及されることができない代替のスペリングを有することができて、用語のすべてのこの種のバリエーションが含まれることを意図する。
[0045]図11は、本願明細書に記載されているタスクベースのアクセス制御システムの実施形態を実践するために用いることができるコンピュータ・システムの実施例のブロック図の例である。適切に指示された汎用又は専用のコンピュータ・システムがTBACSを実施するために用いることができることに注意されたい。更に、TBACSは、本願明細書に記載されている機能を達成するために、ソフトウェア、ハードウェア、ファームウェア、又はある組合せで実施できる。
[0046]コンピュータ・システム1100は、1つ以上のサーバー及び/又はクライアント・コンピュータ・システムを備えていてもよく、分散位置にわたることができる。図示するように、コンピュータ・システム1100は、タスクベースのアクセス制御を実行するために用いることができる1組の構成要素を示す。これらの構成要素のいくつかは、1つ以上のサーバーシステムに全体的に又は部分的にあることができて、いくつかは、1つ以上のクライアント・コンピュータ・システムに全体的に又は部分的にあることができ、そしていくつかは、サーバー及びクライアント部の両方を全体的に又は部分的に有することができる。例えば、エンジン1111、1112、及び1113のためのクライアント側ユーザ・インタフェース構成要素は、サーバー側エンジンに加えて動作できる。加えて、示される各ブロックは、特定の実施形態に見合った1つ以上のこの種のブロックを表すことができるか、又は他のブロックと結合されることができる。更に、タスクベースのアクセス制御システム1110のさまざまなブロックは、1つ以上のマシンに物理的にあることができて、それは互いに通信するために標準(例えば、TCP/IP)又は所有権を主張できるプロセス間通信機構を使用する。
[0047]図の実施形態では、コンピュータ・システム1100は、1つ以上のコンピュータ・メモリ(「メモリ」)1101、表示1102、1つ以上の中央演算処理装置(「CPU」)1103、入力/出力装置1104(例えば、キーボード、マウス、CRT、又は液晶ディスプレイなど)、他のコンピュータ可読媒体1105、及び1つ以上のネットワーク接続1106を備える。TBACS 1110は、メモリ1101にあることが示される。他の実施形態において、内容の若干の部分、TBACS1110の構成要素のいくつか又は全ては、他のコンピュータ可読媒体1105に格納され、及び/又はそれを通じて送信されることができる。タスクベースのアクセス制御システム1110の構成要素は、好ましくは、本願明細書に記載されているように、1つ以上のCPU1103で実行して、プロキシ・タスク・オブジェクト(例えば、vBots)の生成及び使用を管理する。他のコード又はプログラム1130及び潜在的に他のデータ・リポジトリ、例えばデータ・リポジトリ1106はまた、メモリ1101にあり、そして好ましくは1つ以上のCPU1103で実行する。注目すべきは、図11の構成要素の1つ以上は、いかなる特定の実施にも存在しなくてもよい。例えば、他のソフトウェアに埋め込まれるいくつかの実施形態は、ユーザ入力又は表示のための手段を提供しなくてもよい。
[0048]典型的な実施形態では、TBACS 1110は、1つ以上のプロキシ・タスク・オブジェクト・オーサリング・エンジン1111、1つ以上のプロキシ・タスク・オブジェクト展開エンジン1112、及び1つ以上のプロキシ・タスク・オブジェクト割り当てインタフェース1113を含む。上述の通り、プロキシ・タスク・オブジェクト・オーサリング・エンジン1111は、それらと対応付けられた1つ以上の特権を有するアクテイィビィティを有するオブジェクトを構築する役割を果たす。オーサリングされるときに、特権は特定のタイプのオブジェクトと対応付けられてもよいが、それらは展開可能な形ではまだなくてもよく、特定のインベントリイ管理オブジェクトはそれぞれの特権と対応付けられる。
[0049]プロキシ・タスク・オブジェクト展開エンジン1112は、オブジェクトの各アクティビティの各特権のオブジェクト・タイプ参照を管理オブジェクト・インベントリイの特定のオブジェクトに分割する役割を果たす。各特権が分割される(即ち、割り当てられた管理インベントリイ・オブジェクトと対応付けられる)ときに、プロキシ・タスク・オブジェクトは、デレゲート・ユーザに割り当てられるプロキシ・タスク・オブジェクトとして割り当てるために解放可能である。
[0050]プロキシ・タスク・オブジェクト割り当てインタフェース1113は、プロキシ・タスク・オブジェクト(その特権・オブジェクト対結合とともに)がユーザに割り当てられることを可能にする役割を果たす。上記のように、プロキシ・タスク・オブジェクトは、ユーザが実行することを望むタスクに基いて1つ以上のユーザ又はユーザのグループに割り当てられ得る。
[0051]少なくともいくつかの実施形態で、オーサリング・エンジン1111はTBACS外に設けられて、1つ以上のネットワーク1150を通じて潜在的に利用できる。他の、及び/又はいろいろなモジュールを実施することができる。加えて、TBACSは、ネットワーク1150を経由して、アプリケーション又はクライアント・コード1155、例えば、ウェブ・ブラウザ、オートメーション・コード、他の仮想化アプリケーションなどと対話することができて、それは、タスクベースのアクセス制御システム1110により生成されたオブジェクト、例えば、特定のプロキシ・タスク・オブジェクトで実行されるように特に設計された1つ以上のプロキシ・タスク・オブジェクト・ユーザ・インタフェース1160、及び/又は許可(セキュリティ)データ・リポジトリ1115において使用する情報の提供者のような、1つ以上の第三者のプロキシ・タスク・オブジェクト・プロバイダー1165を使用する。また、注目すべきは、仮想化インフラストラクチャ・データ・リポジトリ1116は、例えば1つ以上のネットワーク1150を通じてアクセス可能である知識ベースで、同様にTBACS外に設けられてもよい。
[0052]例示の実施形態において、TBACS 1110の構成要素/モジュールは、オブジェクト指向技術、分散技術などを含む標準プログラミング技術を使用して実施される。本技術分野で公知のプログラミング言語の範囲は、オブジェクト指向(例えば、Java(登録商標)、C++、C#、スモールトークなど)、機能(例えば、ML、Lisp、Schemeなど)、手続き形(例えば、C、パスカル、エイダ、Modulaなど)、スクリプト(例えば、Perl、Ruby、パイソン、JavaScript(登録商標)、VBScriptなど)、宣言(例えば、SQL、Prologなど)などを含むが、これに限定されるものではない、さまざまなプログラミング言語パラダイムの代表的な実施態様を含む、この種の例示の実施形態を実施するために用いることができる。
[0053]上記の実施形態は、周知であるか所有権を主張できる同期又は非同期クライアント・サーバー・コンピューティング技術を使用することもできる。しかしながら、さまざまな構成要素は、例えば、単一のCPUコンピュータ・システムでの実行可能な走行として、同様によりモリシックなプログラミング技法を使用して実施されるか、又は代わりとして、1つ以上のCPUをそれぞれ備えている1つ以上のコンピュータ・システムで動作する、マルチプログラミング、マルチスレッディング、クライアント・サーバー、又はピア・ツー・ピアを含むが、これに限定されるものではない、さまざまな本技術分野で公知の構成技術を用いて分解される。いくつかの実施形態は、並行して非同期で実行して、メッセージ・パッシング技術を用いて通信するとして例示される、等価な同期実施形態はまたTBACS実施によってサポートされる。また、他のステップはルーチンごとに実施されることができて、いろいろな順序で、そしていろいろなルーチンで、それでもタスクベースのアクセス制御システムの機能を達成する。
[0054]加えて、タスクベースのアクセス制御システム1110の一部として格納されるデータに対するアプリケーション・プログラミング・インタフェース1117は(例えば、データ・リポジトリ1115及び1116において、)、標準手段によって、例えば、C、C++、C#、及びJava API、ファイル、データベース、又は他のデータ・リポジトリにアクセスするためのライブラリによって、XMLのようなスクリプト言語によって、或いはウェブサーバー、FTPサーバー、又は記憶データへのアクセスを与える他のタイプのサーバーによって利用できる。データ・リポジトリ1115及び1116は、1つ以上のデータベース・システム、ファイルシステム、又はこの種の情報を格納するためのその他の本技術分野で公知の方法、又は、分散コンピューティング技術を用いる実施を含む、上記のいかなる組合せとしても実施されうる。
[0055]また、例示のTBACS 1110は、複数の、更に異質なコンピュータ・システム及びネットワークを備える分散環境において実施され得る。例えば、一実施形態において、プロキシ・タスク・オブジェクト・オーサリング・エンジン1111、プロキシ・タスク・オブジェクト展開エンジン1112、及び許可データ・リポジトリ1115は全て物理的に異なるコンピュータ・システムに設置される。別の実施形態では、TBACS 1110のさまざまなモジュールは、別々のサーバー・マシンのホストとして各々働き、そしてデータ・リポジトリ1115及び1116に格納されたテーブルから離れて設置されうる。また、モジュールの1つ以上は、例えば、ロード・バランシング、信頼性、又はセキュリティの理由のために、それ自体分散されるか、プールされるか、又はグループ化されうる。プログラム及びデータのいろいろな構成及び位置は、本願明細書に記載されている技術とともに使用するために考察される。様々な分散コンピューティング技術は、TCP/IPソケット、RPC、RMI、HTTP、ウェブサービス(XML―RPC、JAX―RPC、SOAPなど)などを含むがこれに限らず、分散された方法で例示の実施形態の構成要素を実施するのに適している。他の変形は可能である。また、他の機能は各構成要素/モジュールにより提供されることができるか、又は、既存の機能はいろいろな方法で構成要素/モジュールに分散され、それでもTBACSの機能を達成できる。
[0056]更に、いくつかの実施形態において、TBACSの構成要素の一部又は全部は、例えば、1つ以上の特定用途向け集積回路(ASIC)、標準集積回路、コントローラ(例えば、適切な命令を実行し、そしてマイクロコントローラ及び/又は組込形コントローラを含むことによって)、フィールド・プログラマブル・ゲート・アレイ(FPGA)、結合プログラム可能論理回路(CPLD)などを含むがこれに限らず、ファームウェア及び/又はハードウェアで少なくとも部分的に、他の方法で実施されるか、又は設けられることができる。システム構成要素及び/又はデータ構造の一部又は全部は、コンピュータ可読媒体(例えば、ハードディスク、メモリ、ネットワーク、或いは適切なドライブによって、又は適切な接続を介して読み出される携帯型媒体物)に格納されうる(例えば、実行可能であるか他のマシン読み取り可読ソフトウェア命令又は構造データとして)。構成要素及び/又はデータ構造の一部又は全部は有形の記憶媒体に格納されうる。システム構成要素及びデータ構造の一部又は全部は、無線ベース及び有線/ケーブル・ベースの媒体を含む媒体1105のような、様々なコンピュータ可読の伝送媒体で生成データ信号(例えば、搬送波或いは他のアナログ又はデジタル伝達信号の一部として)によって、非一時的方法で送信されることもできて、様々な形(例えば、単一又は多重化アナログ信号の一部として、或いは複数の個別デジタル・パケット又はフレームとして)をとりうる。この種のコンピュータ・プログラム製品は、他の実施形態で他の形をとることもできる。従って、この開示の実施形態は、他のコンピュータ・システム構成によって実践できる。
[0057]上記のように、例示のタスクベースのアクセス制御システムは、ロールベースのシステム、又は他のオブジェクト中心のシステムにおいてオーバーレイとして実施できる。特に、既存のシステムをオーバーレイすることは、他の方法に従って既に格納されたデータに対するインタフェースとしてタスクベースのアクセス制御システムを実施することによって可能にすることができる。
[0058]図12は、タスクベースのアクセス制御情報を既存のアクセス制御データ構造にオーバーレイするためのデータ構造例のブロック図の例である。例えば、図12に示すように、プロキシ・タスク・オブジェクトのためのデータ構造1201は、既存のアクセス制御データ構造1210のフィールドに「リンクした」(またはマップされた)フィールドで示される。
[0059]既存のアクセス制御データ構造1210は少なくとも二次元を含む(オブジェクト1211は縦列として示され、そして特権1212は横列として示される)。割り当てられるとき、オブジェクトと特権の交差であると理解される各セルは、その特定のオブジェクトのためにその特定の特権を割り当てられた1つ以上のユーザ(又はグループ、又は他の名称)の指示により配置される。例えば、セル1213は、ユーザU2及びU3がオブジェクト1211と特権1212の交差の位置により示された許可を有することを示す。ここで示されるように、オブジェクト・特権の組合せごとにセルがある。いくつかのシステムにおいて、アクセス制御情報は貧弱なデータ技術を用いて格納されうる。
[0060]プロキシ・タスク・オブジェクト(例えば、vBot)データ構造1201は、アクティビティ(即ち、特権のグループ)がどのようにオブジェクトに束縛されて、ユーザに割り当てられているかを格納する。例えば、図12に示すように、vBot 1201は、仮想化インフラストラクチャに、さまざまな管理インベントリイ・オブジェクト、例えばオブジェクト1206及び1207)に束縛された(3つの異なる)アクティビティを含む。各アクティビティは一群の特権として格納される。例えば、破線の楕円線でマークして示されるアクティビティ1205は、オブジェクト1206に束縛されて、特権1202及び特権1204を含むグループである。オブジェクト1207に束縛されたアクティビティ(マークされていない)は、特権1202及び1203を含むグループである。このように、データ構造1201は、プロキシ・タスク・オブジェクト内でオーサリングされたアクティビティの全てに存在する特権の全ての結合を格納する(横列1202〜1204として示される)。プロキシ・タスク・オブジェクトが最初にオーサリングされるときに、それはアクティビティごとに「縦列」を有するアクティビティ(特権のグループ)から成るだけであることがある。プロキシ・タスク・オブジェクトが展開されるときに、アクティビティはオブジェクトに束縛されて格納される。(縦列は、各オブジェクトに対して複製されるか、又は、いくつかの実施形態において、複数のオブジェクトで共有できる)。ユーザへ割り当てる前に、各「セル」(各アクティビティの各特権)は、抽象的なユーザ(例えば、「?」または「x」により表される)に割り当てられると考えられる。プロキシ・タスク・オブジェクトがユーザに割り当てられるときに、特権・オブジェクトの交差を示している「セル」は特定のユーザ(例えば、ユーザU1)に割り当てられて、データを有する各プロキシ・タスク・オブジェクト・セルが既存のアクセス制御データ構造1210の下にあるセル(オブジェクト・特権の組合せ)にマップされることができるように、データ構造は適切に変えられる。
[0061]本願明細書に記載されているようなタスクベースのアクセス制御メカニズムはまた、図12に示される以外のアクセス制御情報を格納する技術にオーバーレイされうる。また、横列及び縦列を有するテーブルとして示されるけれども、例えば、マトリックス、スパース・マトリックス構造、リンクリスト、ハッシュテーブル、アレイ、他のオブジェクトなどを含む、いかなる等価又は代替のデータ構造も用いられることが可能であるものと理解される。
[0062]この明細書で参照される、及び/又はアプリケーション・データ・シートにリストした上記の米国特許、米国特許出願公開、米国特許出願、外国の特許、外国の特許出願及び非特許刊行物(2010年3月8日に出願された「vBOTS:アクセス制御の実施形態」という名称の特許文献1を含むがこれに限らず)の全てを参照によって本願明細書に引用したものとする。
[0063]上記のことからいうまでもなく、特定の実施形態が例証のために本願明細書で説明されたけれども、さまざまな変更態様は本開示の精神及び範囲から逸脱せずに行われうる。例えば、本願明細書において述べられたタスクベースのアクセス制御を実行する方法、システム、及び技術は、仮想化アーキテクチャ以外の他のアーキテクチャに適用できる。また、本願明細書において述べられた方法及びシステムは、いろいろなプロトコル、通信メディア(光学、無線、ケーブルなど)、及び装置(例えば、無線ハンドセット、電子手帳、携帯情報機器、携帯用の電子メール・マシン、ゲーム機、ポケットベル、GPSレシーバのようなナビゲーション装置など)に適用できる。
Claims (27)
- コンピュータベースの仮想化環境により管理されたインベントリイ・オブジェクトにおいて複数のアクティビティを実行するために、1つ以上のデレゲート・ユーザへのタスクベースのアクセスを与えるための前記コンピュータベースの仮想化環境におけるコンピュータ実施方法であって、
前記コンピュータベースの仮想化環境におけるコンピュータ・システムの制御下で、
前記コンピュータベースの仮想化環境により管理されたインベントリイ・オブジェクトにおいて前記複数のアクティビティを実行するために、1つ以上のプロキシ・タスク・オブジェクトを生成するステップであって、各プロキシ・タスク・オブジェクトは、前記インベントリイ・オブジェクトの1つ以上と対応付けられた1つ以上の指定された特権によって、少なくとも1つのアクティビティを表し、その結果、各プロキシ・タスク・オブジェクトの各アクティビティの各指定された特権が、前記1つ以上のインベントリイ・オブジェクトの指定された1つと対応付けられるステップと、
前記生成された1つ以上のプロキシ・タスク・オブジェクトを前記コンピュータベースの仮想化環境のメモリに格納するステップと、
1つ以上の所望のアクティビティの参照によって、カプセル化されたタスク・バンドルとしての1つ以上のデレゲート・ユーザに対する前記生成されて格納された1つ以上のプロキシ・タスク・オブジェクトのうちの少なくとも1つの割当てを容易にし、その結果、前記1つ以上のデレゲート・ユーザは、前記コンピュータベースの仮想化環境の制御下で、前記1つ以上の対応付けられた指定されたインベントリイ・オブジェクトにおいて、前記カプセル化されたタスク・バンドルの前記少なくとも1つのプロキシ・タスク・オブジェクトによって表わされた前記少なくとも1つのアクティビティを実行することが、自動的に許可されるステップと、
を含み、前記プロキシ・タスク・オブジェクトの生成及び割当てが、既存のロールベースのアクセス許可メカニズムに加えて実施される方法。 - 前記カプセル化されたタスク・バンドルが第1のデレゲート・ユーザに割り当てられ、そして単一のユーザ・インタフェース・アクションにおいて、前記第1のデレゲート・ユーザが、前記カプセル化されたタスク・バンドルによって表わされた前記少なくとも1つのアクティビティをもはや自動的に実行することができないように、前記割り当てられた第1のデレゲート・ユーザからの前記カプセル化されたタスク・バンドルの一時的な不能化を容易にするステップを更に含む請求項1記載の方法。
- 前記第1のデレゲート・ユーザが前記カプセル化されたタスク・バンドルにより表された前記少なくとも1つのアクティビティを実行することが再び自動的に可能であるように、前記割り当てられた第1のデレゲート・ユーザから前記カプセル化されたタスク・バンドルの前記一時的な不能化を再可能にするステップを更に含む請求項2記載の方法。
- 前記カプセル化されたタスク・バンドルが第1のデレゲート・ユーザに割り当てられ、そして前記カプセル化されたタスク・バンドルを第2のデレゲート・ユーザと共有するのを容易にするステップを更に含む請求項1記載の方法。
- 前記共有がクローニング又はレンディングを含む請求項4記載の方法。
- 前記カプセル化されたタスク・バンドルが第1のデレゲート・ユーザに割り当てられ、そして前記カプセル化されたタスク・バンドルが前記第1のデレゲート・ユーザに割り当てられる時間の長さを制限するのを容易にするステップを更に含む請求項1記載の方法。
- 前記カプセル化されたタスク・バンドルが第1のデレゲート・ユーザに割り当てられ、そして更に前記仮想化環境により管理された異なる別の1つ以上のインベントリイ・オブジェクトを参照するために、前記カプセル化されたタスク・バンドルの前記少なくとも1つのプロキシ・タスク・オブジェクトに対応付けられた前記1つ以上のインベントリイ・オブジェクトを変更し、その結果、第1のデレゲート・ユーザが、前記第1のデレゲート・ユーザに対する前記カプセル化されたタスク・バンドルの割当てを変更せずに、前記異なる別の1つ以上のインベントリイ・オブジェクトへのアクセスを自動的に与えられるステップを含む請求項1記載の方法。
- 対応付けられた専用ユーザ・インタフェースを有するプロキシ・タスク・オブジェクトがカプセル化されたタスク・オブジェクトとして1つ以上のデレゲート・ユーザに割り当てられるとき、そして前記1つ以上のデレゲート・ユーザが前記専用ユーザ・インタフェースと対応付けられた前記割り当てられたカプセル化されたタスク・オブジェクトの実行を開始するときに、前記専用ユーザ・インタフェースが実行されるように、前記プロキシ・タスク・オブジェクトの1つ以上と対応付けられた前記専用ユーザ・インタフェースを提供するステップを更に含む請求項1記載の方法。
- オートメーション化されたカプセル化されたタスク・バンドルとして1つ以上のデレゲート・ユーザのためのプロキシに対する前記生成されて格納された1つ以上のプロキシ・タスク・オブジェクトのうちの少なくとも1つの割当てを容易にし、その結果、前記コンピュータベースの仮想化環境の制御下で、前記カプセル化されたタスク・バンドルの前記少なくとも1つのプロキシ・タスク・オブジェクトにより表された前記少なくとも1つのアクティビティが、前記1つ以上の対応付けられ指定されたインベントリイ・オブジェクトにおいて、1つ以上のデレゲート・ユーザのための前記プロキシによって、オートメーション化された方法で自動的に実行されるステップを更に含む請求項1記載の方法。
- 前記割当てを容易にする前記ステップが、直接操作ユーザ・インタフェース技法を使用して実行される請求項1記載の方法。
- 前記仮想化環境のシステム管理責任者が、割り当てられたカプセル化バンドルの観察によりデレゲート・ユーザによって許可されたアクティビティを発見できる請求項1記載の方法。
- 前記仮想化環境により管理された前記インベントリイ・オブジェクトが、フォルダ、仮想マシン、資源プール、クラスタ、ホスト、ネットワーク、及び/又はデータストアの1つ以上を備える請求項1記載の方法。
- 前記仮想化環境により管理された前記インベントリイ・オブジェクトが、実体、オブジェクト、制御、及び/又はプロセスの1つ以上を備える請求項1記載の方法。
- コンピュータプロセッサで実行されるときに、
仮想化環境により管理されたインベントリイ・オブジェクトにおいて複数のアクティビティを行うための許可を定めるための複数のカプセル化されたタスク・オブジェクトを生成するステップであって、各カプセル化されたタスク・オブジェクトは、複数のアクティビティを表す複数の指定された特権を含み、各指定された特権は前記インベントリイ・オブジェクトの指定された1つと対応付けられたステップと、
前記生成された複数のカプセル化されたタスク・オブジェクトをコンピュータ・メモリに格納するステップと、
ロールに関係なく、前記格納されてカプセル化されたタスク・オブジェクトを複数のデレゲート・ユーザに割り当て、その結果、前記複数のデレゲート・ユーザは、コンピュータベースの仮想化環境の制御下で、前記カプセル化されたタスク・オブジェクトの各々の前記複数のアクティビティと対応付けられた前記1つ以上の対応付けられて指定されたインベントリイ・オブジェクトにおいて、前記カプセル化されたタスク・オブジェクトの各々によって表わされた前記複数のアクティビティを実行することを自動的に許可されるステップと、
を含み、前記カプセル化されたタスク・オブジェクトの生成及び割当てが、既存のロールベースのアクセス許可メカニズムに加えて実施される方法を実行することによって、前記仮想化環境により管理された前記インベントリイ・オブジェクトにおいて、前記複数のアクティビティを実行するために1つ以上のデレゲート・ユーザへのタスクベースのアクセスを与えるコンテンツを含むコンピュータ可読記憶媒体。 - 前記記憶媒体がコンピュータ・システムのメモリであり、そして前記コンテンツが、実行されるときに、前記コンピュータプロセッサに前記方法を実行させる命令である請求項14記載のコンピュータ可読記憶媒体。
- 前記方法を実行するために前記既存のロールベースのアクセス許可メカニズムの呼出しを実行させている請求項14記載のコンピュータ可読記憶媒体。
- 前記方法が、前記複数のカプセル化されたタスク・オブジェクトを前記複数のデレゲートされたユーザに割り当てるために、グラフィカル・ユーザ・インタフェースを提供するステップを更に含む請求項14記載のコンピュータ可読記憶媒体。
- 前記複数のカプセル化されたタスク・オブジェクトの1つ以上の前記複数のアクティビティの1つ以上が、専用ユーザ・インタフェースと対応付けられ、そこにおいて、前記対応付けられたアクティビティが開始するときに、前記専用ユーザ・インタフェースは呼び出される請求項14記載のコンピュータ可読記憶媒体。
- 前記方法が、前記複数のカプセル化されたタスク・オブジェクトの1つへのデレゲートされたユーザのアクセスを一時的に不能及び/又は可能にするステップを更に含む請求項14記載のコンピュータ可読記憶媒体。
- 前記方法が、前記複数のカプセル化されたタスク・オブジェクトの前記1つが割り当てられた以外のデレゲート・ユーザを有する前記複数のカプセル化されたタスク・オブジェクトの1つをテンプレートとして共有し、クローンを作り、及び/又は使用するステップを更に含む請求項14記載のコンピュータ可読記憶媒体。
- 前記仮想化環境により管理される前記インベントリイ・オブジェクトが、フォルダ、仮想マシン、資源プール、クラスタ、ホスト、ネットワーク、及び/又はデータストアの1つ以上から成る請求項14記載のコンピュータ可読記憶媒体。
- 前記仮想化環境により管理された前記インベントリイ・オブジェクトが、実体、オブジェクト、制御、及び/又はプロセスの1つ以上を備える請求項14記載のコンピュータ可読記憶媒体。
- コンピュータプロセッサで実行されるときに、
特権をアクティビティにグループ化するために入力を受け取り、前記グループ化された特権を必要とするタスクが1つ以上の管理オブジェクトで実行されうるように、前記アクティビティを1つ以上の管理オブジェクトとバンドルし、そして前記バンドルされたアクティビティを1つ以上のデレゲート・ユーザに割り当てて、前記1つ以上のデレゲート・ユーザが前記1つ以上の管理オブジェクトで前記タスクを実行することを可能にする、コンピュータ作動のユーザ・インタフェースを有する管理オブジェクトにロール・ユーザ対を割り当てる既存のオブジェクト中心の許可モデルをオーバーレイすることによって、仮想化環境により管理されている複数のオブジェクトへのタスクベースのアクセスを容易にするステップを含む方法を実行することによって、前記仮想化環境により管理されている前記オブジェクトにおいて前記複数のタスクを実行するために1つ以上のデレゲート・ユーザへのタスクベースのアクセスを与えるコンテンツを含むコンピュータ可読記憶媒体。 - 前記オーバーレイするステップが、前記バンドルされたアクティビティをカプセル化されたオブジェクトに格納するステップを更に含む請求項23記載のコンピュータ可読記憶媒体。
- 前記カプセル化されたオブジェクトがvBotである請求項24記載のコンピュータ可読記憶媒体。
- デレゲート・ユーザに代わってタスクを自動的に実行するために、前記カプセル化されたオブジェクトを呼び出すステップを更に含む請求項23記載のコンピュータ可読記憶媒体。
- 前記記憶媒体がコンピュータ・システムのメモリであり、そして前記コンテンツが、実行されるときに、前記コンピュータプロセッサに前記方法を実行させる命令である請求項23記載のコンピュータ可読記憶媒体。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US31148210P | 2010-03-08 | 2010-03-08 | |
| US61/311,482 | 2010-03-08 | ||
| PCT/US2011/027266 WO2011112464A1 (en) | 2010-03-08 | 2011-03-04 | Task-based access control in a virtualization environment |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013522726A JP2013522726A (ja) | 2013-06-13 |
| JP5667219B2 true JP5667219B2 (ja) | 2015-02-12 |
Family
ID=44532422
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012557133A Active JP5667219B2 (ja) | 2010-03-08 | 2011-03-04 | 仮想化環境におけるタスクベースのアクセス制御 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8595824B2 (ja) |
| EP (1) | EP2545448B1 (ja) |
| JP (1) | JP5667219B2 (ja) |
| AU (1) | AU2011224641B2 (ja) |
| WO (1) | WO2011112464A1 (ja) |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9665839B2 (en) | 2001-01-11 | 2017-05-30 | The Marlin Company | Networked electronic media distribution system |
| US9088576B2 (en) | 2001-01-11 | 2015-07-21 | The Marlin Company | Electronic media creation and distribution |
| US9959522B2 (en) * | 2012-01-17 | 2018-05-01 | The Marlin Company | System and method for controlling the distribution of electronic media |
| US20130290954A1 (en) * | 2012-04-30 | 2013-10-31 | Chia-Chu Sun Dorland | Service provider-hosted virtual machine instantiation by hoster user for use by end users |
| US9003493B2 (en) | 2012-06-26 | 2015-04-07 | International Business Machines Corporation | Automatic authorization of users and configuration of software development environment |
| US20140006075A1 (en) * | 2012-06-28 | 2014-01-02 | Sap Ag | Assigning a Consultant to an Enterprise System |
| US9363270B2 (en) * | 2012-06-29 | 2016-06-07 | Vce Company, Llc | Personas in application lifecycle management |
| US10447737B2 (en) * | 2012-07-03 | 2019-10-15 | Salesforce.Com, Inc. | Delegating administration rights using application containers |
| US9178886B2 (en) * | 2012-08-29 | 2015-11-03 | Red Hat Israel, Ltd. | Flattening permission trees in a virtualization environment |
| US10528385B2 (en) | 2012-12-13 | 2020-01-07 | Microsoft Technology Licensing, Llc | Task completion through inter-application communication |
| US10771586B1 (en) * | 2013-04-01 | 2020-09-08 | Amazon Technologies, Inc. | Custom access controls |
| US9208310B2 (en) * | 2013-06-26 | 2015-12-08 | Cognizant Technology Solutions India Pvt. Ltd. | System and method for securely managing enterprise related applications and data on portable communication devices |
| CN103440440A (zh) * | 2013-08-27 | 2013-12-11 | 浙江大学城市学院 | 一种增强JavaScript函数封装性的方法 |
| US20150324589A1 (en) | 2014-05-09 | 2015-11-12 | General Electric Company | System and method for controlled device access |
| US9477519B2 (en) | 2014-09-18 | 2016-10-25 | Robert D. Pedersen | Distributed activity control systems and methods |
| EP3110100B1 (en) * | 2015-06-24 | 2019-04-10 | Tata Consultancy Services Limited | System and method for managing virtual environments in an infrastructure |
| US10096261B1 (en) * | 2015-08-05 | 2018-10-09 | The Mathworks, Inc. | Multi-module file encapsulation for computer-based coursework |
| US9913116B2 (en) | 2016-02-24 | 2018-03-06 | Robert D. Pedersen | Multicast expert system information dissemination system and method |
| US10162973B2 (en) | 2016-06-28 | 2018-12-25 | International Business Machines Corporation | Dynamically provisioning virtual machines |
| US9919648B1 (en) | 2016-09-27 | 2018-03-20 | Robert D. Pedersen | Motor vehicle artificial intelligence expert system dangerous driving warning and control system and method |
| US20180130007A1 (en) * | 2016-11-06 | 2018-05-10 | Microsoft Technology Licensing, Llc | Efficiency enhancements in task management applications |
| US10288439B2 (en) | 2017-02-22 | 2019-05-14 | Robert D. Pedersen | Systems and methods using artificial intelligence for routing electric vehicles |
| CN107506902A (zh) * | 2017-07-31 | 2017-12-22 | 成都牵牛草信息技术有限公司 | 管理系统中事务处理的管理方法 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE69427347T2 (de) * | 1994-08-15 | 2001-10-31 | International Business Machines Corp., Armonk | Verfahren und System zur verbesserten Zugriffssteuerung auf Basis der Rollen in verteilten und zentralisierten Rechnersystemen |
| DE19954358A1 (de) * | 1999-01-07 | 2000-07-20 | Hewlett Packard Co | Benutzerrollenzugriffssteuerung |
| US6886100B2 (en) * | 2001-05-15 | 2005-04-26 | Hewlett-Packard Development Company, L.P. | Disabling tool execution via roles |
| JP2003323305A (ja) * | 2002-05-01 | 2003-11-14 | Nippon Telegr & Teleph Corp <Ntt> | プログラム実行制御装置、プログラム実行制御方法、プログラム実行制御プログラム及びそのプログラムを記録した記録媒体 |
| US7660829B2 (en) * | 2003-05-30 | 2010-02-09 | Microsoft Corporation | System and method for delegating file system operations |
| US7496761B2 (en) * | 2004-09-29 | 2009-02-24 | Microsoft Corporation | Method and system for batch task creation and execution |
| US8027861B2 (en) * | 2006-06-05 | 2011-09-27 | Lee Page Brintle | Systems and methods for shared task management |
| US20090234788A1 (en) * | 2007-03-31 | 2009-09-17 | Mitchell Kwok | Practical Time Machine Using Dynamic Efficient Virtual And Real Robots |
| US7996893B2 (en) * | 2007-06-11 | 2011-08-09 | International Business Machines Corporation | Determining roles for automated tasks in a role-based access control environment |
| US20090083087A1 (en) * | 2007-09-20 | 2009-03-26 | Christian Wolter | Modeling of task-based constraints and automated policy derivation |
| US20090249338A1 (en) * | 2008-03-28 | 2009-10-01 | Beg Ajmal M M | Method and system to modify task in a workflow system |
| US9213566B2 (en) * | 2008-11-26 | 2015-12-15 | Red Hat, Inc. | Implementing security in process-based virtualization |
-
2011
- 2011-03-04 JP JP2012557133A patent/JP5667219B2/ja active Active
- 2011-03-04 US US13/041,150 patent/US8595824B2/en active Active
- 2011-03-04 AU AU2011224641A patent/AU2011224641B2/en active Active
- 2011-03-04 EP EP11753845.4A patent/EP2545448B1/en active Active
- 2011-03-04 WO PCT/US2011/027266 patent/WO2011112464A1/en active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| EP2545448A1 (en) | 2013-01-16 |
| US8595824B2 (en) | 2013-11-26 |
| AU2011224641B2 (en) | 2014-10-09 |
| EP2545448B1 (en) | 2019-09-11 |
| JP2013522726A (ja) | 2013-06-13 |
| AU2011224641A1 (en) | 2012-11-01 |
| US20110219433A1 (en) | 2011-09-08 |
| WO2011112464A1 (en) | 2011-09-15 |
| EP2545448A4 (en) | 2014-08-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5667219B2 (ja) | 仮想化環境におけるタスクベースのアクセス制御 | |
| US11240344B2 (en) | Integration of remote software applications into a workflow | |
| Wang et al. | Towards enabling cyberinfrastructure as a service in clouds | |
| Kacsuk | Science gateways for distributed computing infrastructures | |
| Ábrahám et al. | Zephyrus2: on the fly deployment optimization using SMT and CP technologies | |
| US11625141B2 (en) | User interface generation with machine learning | |
| US10956131B2 (en) | Separation of user interface logic from user interface presentation by using a protocol | |
| Fehling et al. | Flexible process-based applications in hybrid clouds | |
| Church et al. | Exposing HPC and sequential applications as services through the development and deployment of a SaaS cloud | |
| Svaton et al. | HPC-as-a-Service via HEAppE Platform | |
| Sayfan | Mastering Kubernetes: Level up your container orchestration skills with Kubernetes to build, run, secure, and observe large-scale distributed apps | |
| Glick et al. | Jupyter notebooks and user-friendly HPC access | |
| Baier et al. | Getting Started with Kubernetes: Extend your containerization strategy by orchestrating and managing large-scale container deployments | |
| Fabiyi et al. | Investigating a Science Gateway for an Agent-Based Simulation Application Using REPAST | |
| Chine | Open science in the cloud: towards a universal platform for scientific and statistical computing | |
| Chawla et al. | Azure kubernetes service | |
| Watson et al. | Scalable control and monitoring of supercomputer applications using an integrated tool framework | |
| Elango et al. | An ontology-based architecture for an adaptable cloud storage broker | |
| Carrasco et al. | Runtime migration of applications in a trans-cloud environment | |
| Carrasco et al. | Component migration in a trans-cloud environment | |
| Beach et al. | Amazon Machine Images | |
| Freeman | Building Serverless Microservices in Python: A complete guide to building, testing, and deploying microservices using serverless computing on AWS | |
| Mariano et al. | Crescoware: A Container-Based Gateway for HPC and AI Applications in the ENEAGRID Infrastructure | |
| Pahwa et al. | Accessing biodiversity resources in computational environments from workflow applications | |
| Ramos Apolinario et al. | Container management with Windows Admin Center |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140124 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140204 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20140418 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20140425 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140602 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20141209 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20141211 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5667219 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |