JP5799765B2 - System, information processing apparatus, information processing method, and program - Google Patents
System, information processing apparatus, information processing method, and program Download PDFInfo
- Publication number
- JP5799765B2 JP5799765B2 JP2011250658A JP2011250658A JP5799765B2 JP 5799765 B2 JP5799765 B2 JP 5799765B2 JP 2011250658 A JP2011250658 A JP 2011250658A JP 2011250658 A JP2011250658 A JP 2011250658A JP 5799765 B2 JP5799765 B2 JP 5799765B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- forest
- user
- server device
- approval
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、システム、情報処理装置、情報処理方法およびプログラムに関する。 The present invention relates to a system, an information processing apparatus, an information processing method, and a program.
従来、管理者権限を有するユーザーが、情報資源に対する他のユーザーのアクセス権限を設定する技術が知られている。例えば特許文献1では、管理者権限を有するユーザー(U1)が、第1サーバ装置(図5の502)に格納された情報資源(ここでは「対象オブジェクト」)に対する他のユーザー(U2)のアクセス権限を設定する場合は、ユーザー(U1)が、第1サーバ装置との間に信頼関係が結ばれた第1クライアント装置(図5の506)に対して、他のユーザー(U2)に関する識別子と、対象オブジェクトに対するアクセス権限とを入力したことを契機として、第1サーバ装置は、他のユーザー(U2)が使用する第2クライアント装置との間に信頼関係が結ばれた第2サーバ装置(図5の504)から、他のユーザー(U2)に関する固有のPUID(ペアワイズ固有ID)を取得する。そして、第1サーバ装置は、そのPUIDをセキュリティ識別子(SID)に変換し、そのSIDで識別されるユーザー(U2)の対象オブジェクトに対するアクセス権限を定義したアクセス制御エントリ(ACE)を作成する。これにより、ユーザー(U2)は、対象オブジェクトにアクセスすることが可能になる。 2. Description of the Related Art Conventionally, a technique in which a user having administrator authority sets access authority of another user to an information resource is known. For example, in Patent Document 1, a user (U1) having administrator authority accesses another user (U2) to an information resource (here, “target object”) stored in the first server device (502 in FIG. 5). When the authority is set, the user (U1) makes an identifier related to the other user (U2) to the first client device (506 in FIG. 5) in which the trust relationship is established with the first server device. The first server device is connected to the second client device used by the other user (U2) with the input of the access authority for the target object as a trigger (FIG. 2). 5 504), a unique PUID (pairwise unique ID) related to the other user (U2) is acquired. Then, the first server device converts the PUID into a security identifier (SID), and creates an access control entry (ACE) that defines the access authority for the target object of the user (U2) identified by the SID. As a result, the user (U2) can access the target object.
しかしながら、特許文献1に開示された技術では、上述の第1クライアント装置にログインして他のユーザー(U2)に関する識別子と、対象オブジェクトに対するアクセス権限とを入力することができるのは、管理者権限を有するユーザー(U1)に限られる。すなわち、特定のユーザーに強大な管理者権限を与える必要があるうえ、管理者権限を与えられたユーザーの作業負担が増大するという問題がある。 However, in the technique disclosed in Patent Document 1, an administrator authority can log in to the first client device and input an identifier related to another user (U2) and an access authority for the target object. It is limited to the user (U1) who has That is, there is a problem that it is necessary to give a strong administrator authority to a specific user, and the work load of the user who is given the administrator authority increases.
本発明は、上記に鑑みてなされたものであって、ユーザーに強大な管理者権限を与えることなく、簡易に、情報資源に対するアクセス権限を設定可能なシステム、情報処理装置、情報処理方法およびプログラムを提供することを目的とする。 The present invention has been made in view of the above, and a system, an information processing apparatus, an information processing method, and a program capable of easily setting an access authority to an information resource without giving a powerful administrator authority to a user The purpose is to provide.
上述した課題を解決し、目的を達成するために、本発明のシステムは、情報を共有する単位を示す第1フォレストを管理する第1サーバ装置と、前記第1フォレストとは異なる単位を示す第2フォレストを管理する第2サーバ装置とを備えたシステムであって、前記第1サーバ装置は、前記第1フォレスト内に格納される情報資源を特定する特定情報と、当該情報資源を利用可能なユーザーを示すユーザー情報とを含む承認情報を外部装置から受信する第1受信部と、前記承認情報に含まれる前記ユーザー情報が示す前記ユーザーを前記第1フォレスト内で識別する第1識別情報を取得する第1取得部と、前記第1識別情報と、前記承認情報に含まれる前記特定情報で特定される前記情報資源に対するアクセス権限とが対応付けられた第1アクセス制御情報を作成する第1作成部と、前記第1識別情報を前記第2サーバ装置へ送信する送信部と、を備え、前記第2サーバ装置は、前記承認情報を前記外部装置から受信する第2受信部と、前記第1識別情報を前記第1サーバ装置から受信する第3受信部と、前記承認情報に含まれる前記ユーザー情報が示す前記ユーザーを前記第2フォレスト内で識別する第2識別情報を取得する第2取得部と、前記第2識別情報と、前記第1識別情報と、前記承認情報に含まれる前記特定情報で特定される前記情報資源に対するアクセス権限とが対応付けられた第2アクセス制御情報を作成する第2作成部と、を備える。 In order to solve the above-described problems and achieve the object, the system of the present invention includes a first server device that manages a first forest indicating a unit for sharing information, and a first unit that indicates a unit different from the first forest. A second server device that manages two forests, wherein the first server device can use specific information for identifying information resources stored in the first forest and use the information resources A first receiving unit that receives approval information including user information indicating a user from an external device, and first identification information that identifies the user indicated by the user information included in the approval information in the first forest A first acquisition unit that associates the first identification information, the access right for the information resource specified by the specific information included in the approval information, A first creation unit that creates access control information and a transmission unit that transmits the first identification information to the second server device, wherein the second server device receives the approval information from the external device. A second receiving unit, a third receiving unit for receiving the first identification information from the first server device, and a second for identifying the user indicated by the user information included in the approval information in the second forest. A second acquisition unit that acquires identification information, the second identification information, the first identification information, and an access right for the information resource specified by the specific information included in the approval information are associated with each other. A second creation unit for creating second access control information.
また、本発明の情報処理装置は、外部装置、および、情報を共有する単位を示す第1フォレストを管理するサーバ装置の各々と接続され、前記第1フォレストとは異なる単位を示す第2フォレストを管理する情報処理装置であって、前記第1フォレスト内に格納される情報資源を特定する特定情報と、当該情報資源を利用可能なユーザーを示すユーザー情報とを含む承認情報を前記外部装置から受信する第4受信部と、前記承認情報に含まれる前記ユーザー情報が示す前記ユーザーを前記第2フォレスト内で識別する第2識別情報を取得する取得部と、前記承認情報に含まれる前記ユーザー情報が示す前記ユーザーを前記第1フォレスト内で識別する第1識別情報を前記サーバ装置から受信する第5受信部と、前記第2識別情報と、前記第1識別情報と、前記承認情報に含まれる前記特定情報で特定される前記情報資源に対するアクセス権限とが対応付けられたアクセス制御情報を作成する作成部と、を備える。 The information processing apparatus of the present invention is connected to each of an external device and a server device that manages a first forest indicating a unit for sharing information, and includes a second forest indicating a unit different from the first forest. An information processing apparatus to be managed, which receives from the external device approval information including identification information for identifying an information resource stored in the first forest and user information indicating a user who can use the information resource A receiving unit for acquiring second identification information for identifying the user indicated by the user information included in the approval information in the second forest, and the user information included in the approval information. A fifth receiving unit for receiving first identification information for identifying the user in the first forest from the server device, the second identification information, and the first Comprising a separate information, and a creation section to create an access control information and the access rights associated to said information resource specified by the specific information contained in the authorization information.
また、本発明の情報処理方法は、外部装置、および、情報を共有する単位を示す第1フォレストを管理するサーバ装置の各々と接続され、前記第1フォレストとは異なる単位を示す第2フォレストを管理する情報処理装置が実行する情報処理方法であって、前記第1フォレスト内に格納される情報資源を特定する特定情報と、当該情報資源を利用可能なユーザーを示すユーザー情報とを含む承認情報を前記外部装置から受信する第1ステップと、前記承認情報に含まれる前記ユーザー情報が示す前記ユーザーを前記第2フォレスト内で識別する第2識別情報を取得する第2ステップと、前記承認情報に含まれる前記ユーザー情報が示す前記ユーザーを前記第1フォレスト内で識別する第1識別情報を前記サーバ装置から受信する第3ステップと、前記第2識別情報と、前記第1識別情報と、前記承認情報に含まれる前記特定情報で特定される前記情報資源に対するアクセス権限とが対応付けられたアクセス制御リストを作成する第4ステップと、を備える。 The information processing method of the present invention is connected to each of an external device and a server device that manages a first forest indicating a unit for sharing information, and includes a second forest indicating a unit different from the first forest. An information processing method executed by an information processing apparatus to be managed, including approval information including identification information for specifying an information resource stored in the first forest and user information indicating a user who can use the information resource From the external device, a second step of acquiring second identification information for identifying the user indicated by the user information included in the approval information in the second forest, and the approval information A third step of receiving, from the server device, first identification information for identifying the user indicated by the included user information in the first forest; A fourth step of creating an access control list in which the second identification information, the first identification information, and the access authority for the information resource specified by the specific information included in the approval information are associated with each other; .
さらに、本発明のプログラムは、外部装置、および、情報を共有する単位を示す第1フォレストを管理するサーバ装置の各々と接続され、前記第1フォレストとは異なる単位を示す第2フォレストを管理する情報処理装置に実行させるためのプログラムであって、前記第1フォレスト内に格納される情報資源を特定する特定情報と、当該情報資源を利用可能なユーザーを示すユーザー情報とを含む承認情報を前記外部装置から受信する第1ステップと、前記承認情報に含まれる前記ユーザー情報が示す前記ユーザーを前記第2フォレスト内で識別する第2識別情報を取得する第2ステップと、前記承認情報に含まれる前記ユーザー情報が示す前記ユーザーを前記第1フォレスト内で識別する第1識別情報を前記サーバ装置から受信する第3ステップと、前記第2識別情報と、前記第1識別情報と、前記承認情報に含まれる前記特定情報で特定される前記情報資源に対するアクセス権限とが対応付けられたアクセス制御リストを作成する第4ステップと、を備える。 Furthermore, the program of the present invention is connected to each of an external device and a server device that manages a first forest indicating a unit that shares information, and manages a second forest that indicates a unit different from the first forest. A program for causing an information processing apparatus to execute the authorization information including specific information for identifying an information resource stored in the first forest and user information indicating a user who can use the information resource. A first step of receiving from an external device; a second step of acquiring second identification information for identifying the user indicated by the user information included in the approval information in the second forest; and included in the approval information A third process for receiving, from the server device, first identification information for identifying the user indicated by the user information in the first forest. A first access control list in which the access authority for the information resource specified by the specific information included in the approval information is associated with the first identification information, the first identification information, and the first identification information. 4 steps.
本発明によれば、ユーザーに強大な管理者権限を与えることなく、簡易に、情報資源に対するアクセス権限を設定可能なシステム、情報処理装置、情報処理方法およびプログラムを提供することができるという有利な効果を奏する。 Advantageous Effects of Invention According to the present invention, it is possible to provide a system, an information processing apparatus, an information processing method, and a program capable of easily setting access authority to an information resource without giving a powerful administrator authority to a user. There is an effect.
以下、添付図面を参照しながら、本発明に係るシステム、情報処理装置、情報処理方法およびプログラムの実施の形態を詳細に説明する。 Hereinafter, embodiments of a system, an information processing apparatus, an information processing method, and a program according to the present invention will be described in detail with reference to the accompanying drawings.
図1は、本実施形態のシステム100の概略構成例を示す図である。図1に示すように、システム100は、フォレストB(第1フォレスト)を管理する第1サーバ装置10と、フォレストBとは別のフォレストA(第2フォレスト)を管理する第2サーバ装置20とを含んで構成される。「フォレスト」とは、情報を共有する単位(例えば組織の単位)を示す。本実施形態では、「フォレストBはフォレストAを信頼する」という信頼関係が設定されている。「信頼関係」とは、2つのフォレストの間で確立されるネットワークセキュリティ上の関係を示すものである。また、第1サーバ装置10および第2サーバ装置20の各々は、ドメインコントローラとして機能する。なお、以下では、フォレストが2つの場合を例に挙げて説明するが、これに限らず、フォレストの数は2以上であればよく、その数は任意に変更可能である。
FIG. 1 is a diagram illustrating a schematic configuration example of a
第1サーバ装置10および第2サーバ装置20の各々は、外部システム200に含まれる第3サーバ装置30と接続される。図1に示すように、外部システム200は、第3サーバ装置30と、第3サーバ装置30と接続される複数の端末装置40とを含んで構成される。各端末装置40は、電子メール・掲示板・データベース・スケジュール管理などの機能を実現可能な専用のクライアントソフト(この例ではLotus Notes)を利用して第3サーバ装置30に対してアクセスする。
Each of
例えば端末装置40を使用するユーザーが、フォレストBに格納されるべき情報資源(リソース)を新たに作成した場合(既存のリソースを修正した場合でもよい)、当該ユーザーは、新たに作成したリソースを利用可能なユーザー(あるいはグループ)を決定し、その決定したユーザーの当該リソースに対するアクセス権限を定義したアクセス制御情報(例えばアクセス制御エントリあるいはアクセス制御リスト)を設定する。そして、当該ユーザーは、Lotus Notesを利用して、作成または設定を行った各種情報の承認申請を行う。当該承認申請が承認された場合は、第3サーバ装置30は、承認内容を示す承認情報を第1サーバ装置10および第2サーバ装置20の各々へ送信する。ここでは、新たにフォレストBに格納されるリソースを特定する特定情報と、当該リソースを利用可能なユーザーを示すユーザー情報(例えばログインID)とが少なくとも承認情報に含まれる。
For example, when a user who uses the
図2は、第1サーバ装置10の機能構成例を示すブロック図である。図2に示すように、第1サーバ装置10は、第1受信部11と、第1取得部12と、第1作成部13と、送信部14とを備える。第1受信部11は、上述の承認情報を第3サーバ装置30から受信する。第1取得部12は、承認情報に含まれるユーザー情報が示すユーザー(あるいはグループ)をフォレストB内で識別する第1セキュリティ識別子(第1識別情報)を取得する。ユーザー情報と、第1セキュリティ識別子との対応関係は予めフォレストB内で定められている。この例では、ユーザー情報と、第1セキュリティ識別子とが対応付けられたテーブルがフォレストB内のデータベース(不図示)に格納されており、第1取得部12は、第1受信部11で受信された承認情報に含まれるユーザー情報に対応する第1セキュリティ識別子を当該データベースから取得する。
FIG. 2 is a block diagram illustrating a functional configuration example of the
第1作成部13は、第1セキュリティ識別子と、承認情報に含まれる特定情報で特定されるリソースに対するアクセス権限とが対応付けられた第1アクセス制御情報を作成する。第1アクセス制御情報とは、第1セキュリティ識別子で識別されるユーザーの、対象リソース(特定情報で特定されるリソース)に対するアクセス権限を定義する情報であると捉えることができる。図3は、第1アクセス制御情報の一例を示す図である。図3の例では、第1アクセス制御情報は、ユーザー情報(この例ではユーザーのログインID)と、第1セキュリティ識別子と、特定情報と、アクセス権限とが対応付けられている。
The
再び図2に戻って説明を続ける。送信部14は、第1取得部12で取得された第1セキュリティ識別子を第2サーバ装置20へ送信する。本実施形態では、送信部14は、第1取得部12で取得された第1セキュリティ識別子と、当該第1セキュリティ識別子に対応するユーザー情報とを含むsIDHistory情報を第2サーバ装置20へ送信する。
なお、第1サーバ装置10は、承認情報に含まれる特定情報で特定されるリソースをフォレストB内のデータベース(不図示)に登録する機能も有する。本実施形態では、第1サーバ装置10は、新たにフォレストBに格納されるリソースを特定する特定情報を第1受信部11で受信した場合、第3サーバ装置30に対して、当該リソースを要求する。そして、その要求の応答として受信したリソース(端末装置40で作成されたリソース)をフォレストB内のデータベースに登録する。なお、これに限らず、例えば第1サーバ装置10は、承認情報に含まれる特定情報で特定されるリソースを作成する機能を有していてもよい。
Returning to FIG. 2 again, the description will be continued. The
The
図4は、第2サーバ装置20の機能構成例を示すブロック図である。図4に示すように、第2サーバ装置20は、第2受信部21と、第3受信部22と、第2取得部23と、第2作成部24と、第3取得部25とを備える。第2受信部11は、上述の承認情報を第3サーバ装置30から受信する。第3受信部22は、第1セキュリティ識別子を第1サーバ装置10から受信する。本実施形態では、第3受信部22は、前述のsIDHistory情報を第1サーバ装置10から受信する。
FIG. 4 is a block diagram illustrating a functional configuration example of the
第2取得部23は、承認情報に含まれるユーザー情報が示すユーザー(あるいはグループ)をフォレストA内で識別する第2セキュリティ識別子(第2識別情報)を取得する。ユーザー情報と、第2セキュリティ識別子との対応関係は予めフォレストA内で定められている。この例では、ユーザー情報と、第2セキュリティ識別子とが対応付けられたテーブルがフォレストA内のデータベース(不図示)に格納されており、第2取得部23は、第2受信部21で受信された承認情報に含まれるユーザー情報に対応する第2セキュリティ識別子を当該データベースから取得する。
The
第2作成部24は、第2セキュリティ識別子と、第1セキュリティ識別子と、承認情報に含まれる特定情報で特定されるリソースに対するアクセス権限とが対応付けられた第2アクセス制御情報を作成する。第2アクセス制御情報とは、第1セキュリティ識別子または第2セキュリティ識別子で識別されるユーザーの、対象リソース(特定情報で特定されるリソース)に対するアクセス権限を定義する情報であると捉えることができる。図5は、第2アクセス制御情報の一例を示す図である。図5の例では、第2アクセス制御情報は、ユーザー情報と、第2セキュリティ識別子と、第1セキュリティ識別子と、特定情報と、アクセス権限とが対応付けられている。
The
再び図4に戻って説明を続ける。第3取得部25は、管理者権限を有するシステムアカウント(システムID)を取得する。本実施形態では、上述の第2アクセス制御情報の作成が実行される条件は、第3取得部25がシステムアカウントを取得することである。また、本実施形態では、第3取得部25は、第2受信部21で受信された承認情報に含まれるユーザー情報に対応する第1セキュリティ識別子が第3受信部22で受信されたことを契機として、システムアカウントを取得する。
Returning to FIG. 4 again, the description will be continued. The
いま、端末装置40を使用するユーザーが、フォレストBに格納されるべきリソースを新たに作成した場合を想定する。図6は、この場合における外部システム200の動作例を示すフローチャートである。図7は、この場合における第1サーバ装置10の動作例を示すフローチャートである。図8は、この場合における第2サーバ装置20の動作例を示すフローチャートである。
Assume that a user who uses the
まず、図6を参照しながら、外部システム200の動作例を具体的に説明する。図6に示すように、まず、端末装置40は、ユーザーの操作に応じて、フォレストBに格納されるべきリソースを作成する(ステップS1)。次に、端末装置40は、ユーザーの操作に応じて、ステップS1で作成したリソースを利用可能なユーザーを示すユーザー情報を作成する(ステップS2)。次に、端末装置40は、ユーザーの操作に応じて、ステップS2で作成されたユーザー情報が示すユーザーの、ステップS1で作成されたリソースに対するアクセス権限を定義するアクセス制御情報を作成する(ステップS3)。次に、端末装置40は、ユーザーの操作に応じて、ステップS1〜ステップS3で作成した各種情報の承認を申請する承認申請処理を実行する(ステップS4)。そして、承認が得られた場合(ステップS5の結果:YES)は、第3サーバ装置30は、第1サーバ装置10および第2サーバ装置20の各々に対して承認情報を送信する(ステップS6)。
First, an operation example of the
次に、図7を参照しながら、第1サーバ装置10の動作例を具体的に説明する。まず第1受信部11で承認情報を受信した場合(ステップS10の結果:YES)、第1サーバ装置10は、その受信した承認情報に含まれる特定情報で特定されるリソースを、フォレストB内のデータベース(不図示)に登録する(ステップS11)。次に、第1サーバ装置10は、ステップS10で受信した承認情報に含まれるユーザー情報を参照して、ステップS11で登録したリソースを利用可能なユーザーを決定する(ステップS12)。次に、第1サーバ装置10(第1取得部12)は、ステップS12で決定したユーザー(承認情報に含まれるユーザー情報が示すユーザー)をフォレストB内で識別する第1セキュリティ識別子を取得する(ステップS13)。次に、第1サーバ装置10(第1作成部13)は、ステップS13で取得した第1セキュリティ識別子と、ステップS10で受信した承認情報に含まれる特定情報で特定されるリソースに対するアクセス権限とが対応付けられた第1アクセス制御情報を作成する(ステップS14)。次に、第1サーバ装置10(送信部14)は、ステップS13で取得した第1セキュリティ識別子と、対応するユーザー情報(ステップS10で受信した承認情報に含まれるユーザー情報)とを含むsIDHistory情報を第2サーバ装置20へ送信する(ステップS15)。
Next, an example of the operation of the
次に、図8を参照しながら、第2サーバ装置20の動作例を具体的に説明する。まず第2受信部21で承認情報を受信した場合(ステップS21の結果:YES)、第2サーバ装置20は、その承認情報に含まれるユーザー情報を参照して、その承認情報に含まれる特定情報で特定されるリソースを利用可能なユーザーを決定する(ステップS22)。次に、第2サーバ装置10(第2取得部23)は、ステップS22で決定したユーザー(承認情報に含まれるユーザー情報が示すユーザー)をフォレストA内で識別する第2セキュリティ識別子を取得する(ステップS23)。
Next, an example of the operation of the
次に、第2サーバ装置20は、上述のステップS21で受信した承認情報に含まれるユーザー情報に対応する第1セキュリティ識別子を第1サーバ装置10から受信したか否かを判断する(ステップS24)。本実施形態では、第1サーバ装置10からのsIDHistory情報を第3受信部22で受信した場合、第2サーバ装置20は、その受信したsIDHistory情報に含まれるユーザー情報と、上述のステップS21で受信した承認情報に含まれるユーザー情報とが一致しているか否かを判断する。そして、両者が一致している場合は、上述のステップS21で受信した承認情報に含まれるユーザー情報に対応する第1セキュリティ識別子を受信したと判断する。
Next, the
上述のステップS24において、上述のステップS21で受信した承認情報に含まれるユーザー情報に対応する第1セキュリティ識別子を受信したと判断した場合(ステップS24の結果:YES)、第2サーバ装置20(第3取得部25)は、管理者権限を有するシステムアカウントを取得する(ステップS25)。次に、第2作成部24は、ステップ23で取得した第2セキュリティ識別子と、ステップS24で受信した第1セキュリティ識別子と、ステップS21で受信した承認情報に含まれる特定情報で特定されるリソースに対するアクセス権限とが対応付けられた第2アクセス制御情報を作成する(ステップS26)。これにより、新たに作成されたリソースの利用が許可されるユーザーがフォレストAにログインした場合、当該ユーザーのログインID(ユーザー情報)には、第2セキュリティ識別子と第1セキュリティ識別子とが関連付けられるので、当該ユーザーは、第1セキュリティ識別子でアクセスが許可されるフォレストB内のリソースにアクセスすることもできる。
If it is determined in step S24 that the first security identifier corresponding to the user information included in the approval information received in step S21 is received (YES in step S24), the second server device 20 (second 3 acquisition unit 25) acquires a system account having administrator authority (step S25). Next, the
以上に説明したように、本実施形態では、信頼されるフォレストAにおいて、外部システム200(第3サーバ装置30)から送信される承認情報をトリガーとして、第2セキュリティ識別子と、第1セキュリティ識別子と、当該承認情報に含まれる特定情報で特定されるリソースに対するアクセス権限とが対応付けられた第2アクセス制御情報が自動的に作成される。すなわち、本実施形態によれば、ユーザーは、Notesデータベース(第3サーバ装置30)へアクセスする権限さえ持っていればよく、ユーザーに強大な管理者権限(例えばドメインコントローラである第2サーバ装置20の管理権限等)を与える必要は無い。また、本実施形態によれば、第1セキュリティ識別子と第2セキュリティ識別子との関連付け(第2アクセス制御情報の作成)は自動的に行われるので、ユーザーの負担も軽減されるうえ、待ち時間が殆どなくなるという利点もある。
As described above, in the present embodiment, in the trusted forest A, with the approval information transmitted from the external system 200 (third server device 30) as a trigger, the second security identifier, the first security identifier, The second access control information in which the access authority for the resource specified by the specific information included in the approval information is associated is automatically created. That is, according to the present embodiment, the user only needs to have the authority to access the Notes database (third server device 30), and the administrator authority (for example, the
なお、上述した実施形態の第1サーバ装置10または第2サーバ装置20で実行される各種プログラムは、インストール可能な形式または実行可能な形式のファイルでCD−ROM、フレキシブルディスク(FD)、CD−R、DVD(Digital Versatile Disk)、USB(Universal Serial Bus)等のコンピュータで読み取り可能な記録媒体に記録して提供するように構成してもよいし、インターネット等のネットワーク経由で提供または配布するように構成してもよい。また、各種プログラムを、ROM等に予め組み込んで提供するように構成してもよい。
The various programs executed by the
本実施形態の第2サーバ装置20(情報処理装置)で実行されるプログラムは、上述した各部(第2受信部21、第3受信部22、第2取得部23、第2作成部24、第3取得部25)を含むモジュール構成となっており、実際のハードウェアとしてはCPU(プロセッサ)が上記記憶媒体からプログラムを読み出して実行することにより上記各部が主記憶装置上にロードされ、第2受信部21、第3受信部22、第2取得部23、第2作成部24、第3取得部25が主記憶装置上に生成されるようになっている。なお、上述の各部のうちの少なくとも1つをハードウェアで実現することも可能である。
The program executed by the second server device 20 (information processing device) of the present embodiment includes the above-described units (second receiving
また、本実施形態の第1サーバ装置10で実行されるプログラムは、上述した各部(第1受信部11、第1取得部12、第1作成部13、送信部14)を含むモジュール構成となっており、実際のハードウェアとしてはCPU(プロセッサ)が上記記憶媒体からプログラムを読み出して実行することにより上記各部が主記憶装置上にロードされ、第1受信部11、第1取得部12、第1作成部13、送信部14が主記憶装置上に生成されるようになっている。なお、上述の各部のうちの少なくとも1つをハードウェアで実現することも可能である。
In addition, the program executed by the
以上、本発明に係る実施形態について説明したが、本発明は上述の実施形態に限定されるものではなく、本発明の要旨を逸脱しない範囲内で種々の変形が可能である。なお、上述の第2サーバ装置20は、請求項4に係る「情報処理装置」の一例であり、第2受信部21は請求項4の「第4受信部」に対応し、第3受信部22は請求項4の「第5受信部」に対応し、第2取得部23は請求項4の「取得部」に対応し、第2作成部24は請求項4の「作成部」に対応する。また、上述の第2アクセス制御情報は、請求項4の「アクセス制御情報」に対応する。
As mentioned above, although embodiment which concerns on this invention was described, this invention is not limited to the above-mentioned embodiment, A various deformation | transformation is possible within the range which does not deviate from the summary of this invention. The
10 サーバ装置
11 第1受信部
12 第1取得部
13 第1作成部
14 送信部
20 サーバ装置
21 第2受信部
22 第3受信部
23 第2取得部
24 第2作成部
25 第3取得部
30 サーバ装置
40 端末装置
100 システム
200 外部システム
DESCRIPTION OF
Claims (5)
前記第1サーバ装置は、
前記第1フォレスト内に格納される情報資源を特定する特定情報と、当該情報資源を利用可能なユーザーを示すユーザー情報とを含む承認情報を外部装置から受信する第1受信部と、
前記承認情報に含まれる前記ユーザー情報が示す前記ユーザーを前記第1フォレスト内で識別する第1識別情報を取得する第1取得部と、
前記第1識別情報と、前記承認情報に含まれる前記特定情報で特定される前記情報資源に対するアクセス権限とが対応付けられた第1アクセス制御情報を作成する第1作成部と、
前記第1識別情報を前記第2サーバ装置へ送信する送信部と、を備え、
前記第2サーバ装置は、
前記承認情報を前記外部装置から受信する第2受信部と、
前記第1識別情報を前記第1サーバ装置から受信する第3受信部と、
前記承認情報に含まれる前記ユーザー情報が示す前記ユーザーを前記第2フォレスト内で識別する第2識別情報を取得する第2取得部と、
前記第2識別情報と、前記第1識別情報と、前記承認情報に含まれる前記特定情報で特定される前記情報資源に対するアクセス権限とが対応付けられた第2アクセス制御情報を作成する第2作成部と、を備える、
システム。 A system comprising: a first server device that manages a first forest that indicates a unit that shares information; and a second server device that manages a second forest that indicates a unit different from the first forest,
The first server device
A first receiving unit for receiving approval information including identification information for specifying an information resource stored in the first forest and user information indicating a user who can use the information resource from an external device;
A first acquisition unit for acquiring first identification information for identifying the user indicated by the user information included in the approval information in the first forest;
A first creation unit that creates first access control information in which the first identification information is associated with an access right to the information resource specified by the specific information included in the approval information;
A transmission unit for transmitting the first identification information to the second server device,
The second server device is
A second receiving unit for receiving the approval information from the external device;
A third receiver for receiving the first identification information from the first server device;
A second acquisition unit for acquiring second identification information for identifying the user indicated by the user information included in the approval information in the second forest;
Second creation for creating second access control information in which the second identification information, the first identification information, and the access authority for the information resource specified by the specific information included in the approval information are associated with each other And comprising
system.
管理者権限を有するシステムアカウントを取得する第3取得部をさらに備え、
前記第2アクセス制御情報の作成が実行される条件は、前記第3取得部が前記システムアカウントを取得することである、
請求項1のシステム。 The second server device is
A third acquisition unit for acquiring a system account having administrator authority;
The condition under which the creation of the second access control information is executed is that the third acquisition unit acquires the system account.
The system of claim 1.
前記第1フォレスト内に格納される情報資源を特定する特定情報と、当該情報資源を利用可能なユーザーを示すユーザー情報とを含む承認情報を前記外部装置から受信する第4受信部と、
前記承認情報に含まれる前記ユーザー情報が示す前記ユーザーを前記第2フォレスト内で識別する第2識別情報を取得する取得部と、
前記承認情報に含まれる前記ユーザー情報が示す前記ユーザーを前記第1フォレスト内で識別する第1識別情報を前記サーバ装置から受信する第5受信部と、
前記第2識別情報と、前記第1識別情報と、前記承認情報に含まれる前記特定情報で特定される前記情報資源に対するアクセス権限とが対応付けられたアクセス制御情報を作成する作成部と、を備える、
情報処理装置。 An information processing apparatus that is connected to each of an external apparatus and a server apparatus that manages a first forest indicating a unit that shares information, and that manages a second forest indicating a unit different from the first forest,
A fourth receiving unit for receiving approval information including identification information for identifying information resources stored in the first forest and user information indicating a user who can use the information resources from the external device;
An acquisition unit for acquiring second identification information for identifying the user indicated by the user information included in the approval information in the second forest;
A fifth receiving unit for receiving, from the server device, first identification information for identifying the user indicated by the user information included in the approval information in the first forest;
A creation unit that creates access control information in which the second identification information, the first identification information, and an access right for the information resource specified by the specific information included in the approval information are associated with each other; Prepare
Information processing device.
前記第1フォレスト内に格納される情報資源を特定する特定情報と、当該情報資源を利用可能なユーザーを示すユーザー情報とを含む承認情報を前記外部装置から受信する第1ステップと、
前記承認情報に含まれる前記ユーザー情報が示す前記ユーザーを前記第2フォレスト内で識別する第2識別情報を取得する第2ステップと、
前記承認情報に含まれる前記ユーザー情報が示す前記ユーザーを前記第1フォレスト内で識別する第1識別情報を前記サーバ装置から受信する第3ステップと、
前記第2識別情報と、前記第1識別情報と、前記承認情報に含まれる前記特定情報で特定される前記情報資源に対するアクセス権限とが対応付けられたアクセス制御リストを作成する第4ステップと、を備える、
情報処理方法。 Information processing executed by an information processing apparatus connected to an external apparatus and a server apparatus that manages a first forest indicating a unit that shares information, and that manages a second forest indicating a unit different from the first forest A method,
A first step of receiving, from the external device, approval information including identification information for specifying an information resource stored in the first forest and user information indicating a user who can use the information resource;
A second step of acquiring second identification information for identifying the user indicated by the user information included in the approval information in the second forest;
A third step of receiving, from the server device, first identification information for identifying the user indicated by the user information included in the approval information in the first forest;
A fourth step of creating an access control list in which the second identification information, the first identification information, and an access right for the information resource specified by the specific information included in the approval information are associated with each other; Comprising
Information processing method.
前記第1フォレスト内に格納される情報資源を特定する特定情報と、当該情報資源を利用可能なユーザーを示すユーザー情報とを含む承認情報を前記外部装置から受信する第1ステップと、
前記承認情報に含まれる前記ユーザー情報が示す前記ユーザーを前記第2フォレスト内で識別する第2識別情報を取得する第2ステップと、
前記承認情報に含まれる前記ユーザー情報が示す前記ユーザーを前記第1フォレスト内で識別する第1識別情報を前記サーバ装置から受信する第3ステップと、
前記第2識別情報と、前記第1識別情報と、前記承認情報に含まれる前記特定情報で特定される前記情報資源に対するアクセス権限とが対応付けられたアクセス制御リストを作成する第4ステップと、を備える、
プログラム。 An information processing apparatus that is connected to an external device and a server device that manages a first forest indicating a unit that shares information and that manages a second forest that indicates a unit different from the first forest. A program,
A first step of receiving, from the external device, approval information including identification information for specifying an information resource stored in the first forest and user information indicating a user who can use the information resource;
A second step of acquiring second identification information for identifying the user indicated by the user information included in the approval information in the second forest;
A third step of receiving, from the server device, first identification information for identifying the user indicated by the user information included in the approval information in the first forest;
A fourth step of creating an access control list in which the second identification information, the first identification information, and an access right for the information resource specified by the specific information included in the approval information are associated with each other; Comprising
program.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011250658A JP5799765B2 (en) | 2011-11-16 | 2011-11-16 | System, information processing apparatus, information processing method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011250658A JP5799765B2 (en) | 2011-11-16 | 2011-11-16 | System, information processing apparatus, information processing method, and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013105423A JP2013105423A (en) | 2013-05-30 |
JP5799765B2 true JP5799765B2 (en) | 2015-10-28 |
Family
ID=48624885
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011250658A Expired - Fee Related JP5799765B2 (en) | 2011-11-16 | 2011-11-16 | System, information processing apparatus, information processing method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5799765B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7215342B2 (en) * | 2019-06-06 | 2023-01-31 | 富士通株式会社 | COMMUNICATION PROGRAM, COMMUNICATION METHOD, AND COMMUNICATION DEVICE |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003058423A (en) * | 2001-08-17 | 2003-02-28 | Japan Telecom Co Ltd | Method, system, and program for access control |
US20050015674A1 (en) * | 2003-07-01 | 2005-01-20 | International Business Machines Corporation | Method, apparatus, and program for converting, administering, and maintaining access control lists between differing filesystem types |
JP4552739B2 (en) * | 2005-04-18 | 2010-09-29 | ソニー株式会社 | CONFERENCE SYSTEM AND TERMINAL DEVICE |
JP2008097214A (en) * | 2006-10-10 | 2008-04-24 | Hitachi Ltd | Access right management method, management computer, and management program |
JP2010097510A (en) * | 2008-10-17 | 2010-04-30 | Dainippon Printing Co Ltd | Remote access management system and method |
-
2011
- 2011-11-16 JP JP2011250658A patent/JP5799765B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2013105423A (en) | 2013-05-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9553858B2 (en) | Hardware-based credential distribution | |
US9608972B2 (en) | Service providing system and data providing method that convert a process target data into output data with a data format that a service receiving apparatus is able to output | |
US10135803B2 (en) | Dynamic identity switching | |
US9158913B2 (en) | Managing virtual machines using owner digital signatures | |
JP4588755B2 (en) | Environmental management station terminal, evaluation value processing method, evaluation value processing program, network provider terminal, service request processing method, service request processing program, service provider terminal, service provision processing method, service provision processing program, service use Terminal and processing program for receiving service provision | |
US11275865B2 (en) | Privacy friendly decentralized ledger based identity management system and methods | |
JP2014534515A5 (en) | ||
CN106992859B (en) | Bastion machine private key management method and device | |
CN106302606A (en) | A kind of across application access method and device | |
GB2609359A (en) | Privacy centric data security in cloud environment | |
JP2006526219A (en) | Method and apparatus for providing secure firmware storage and service access | |
US20110307696A1 (en) | Monitor portal, monitor system, terminal and computer readable medium thereof | |
JP2017523508A (en) | Secure integrated cloud storage | |
JP4375778B2 (en) | DIGITAL DATA INSTALLATION SYSTEM, DIGITAL DATA INSTALLATION METHOD, PROGRAM, AND RECORDING MEDIUM CONTAINING THE PROGRAM | |
JP2012033042A (en) | Single sign-on system and single sign-on method | |
JP5799765B2 (en) | System, information processing apparatus, information processing method, and program | |
CN107276966B (en) | Control method and login system of distributed system | |
JP5383923B1 (en) | Information processing apparatus, information processing system, information processing method, and program | |
JP2009169490A (en) | User attribute information management program, user attribute information confirmation program, user attribute information management device, user attribute information confirmation device, and user attribute information management system | |
JP2010205021A (en) | License management system, license management method and license management program | |
JP5735687B1 (en) | Program, method, and system for warning login | |
US20100287600A1 (en) | Assigning User Requests of Different Types or Protocols to a User by Trust Association Interceptors | |
JP2021002717A (en) | Certificate issuing device, verification device, communication apparatus, certificate issuing system, certificate issuing method, and program | |
JP5447005B2 (en) | Information processing apparatus and information processing system | |
JP4988035B2 (en) | Information control apparatus and information control program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20141020 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150625 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150728 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150810 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 5799765 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
LAPS | Cancellation because of no payment of annual fees |