JP6103069B2 - アプリデータ記憶領域生成方法,アプリデータ記憶領域生成装置,及びアプリデータ記憶領域生成プログラム - Google Patents

アプリデータ記憶領域生成方法,アプリデータ記憶領域生成装置,及びアプリデータ記憶領域生成プログラム Download PDF

Info

Publication number
JP6103069B2
JP6103069B2 JP2015538693A JP2015538693A JP6103069B2 JP 6103069 B2 JP6103069 B2 JP 6103069B2 JP 2015538693 A JP2015538693 A JP 2015538693A JP 2015538693 A JP2015538693 A JP 2015538693A JP 6103069 B2 JP6103069 B2 JP 6103069B2
Authority
JP
Japan
Prior art keywords
storage area
application
data storage
user
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015538693A
Other languages
English (en)
Other versions
JPWO2015045048A1 (ja
Inventor
護 吉無田
護 吉無田
暁生 下野
暁生 下野
直樹 三好
直樹 三好
翔平 水野
翔平 水野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Publication of JPWO2015045048A1 publication Critical patent/JPWO2015045048A1/ja
Application granted granted Critical
Publication of JP6103069B2 publication Critical patent/JP6103069B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/13File access structures, e.g. distributed indices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/18File system types
    • G06F16/185Hierarchical storage management [HSM] systems, e.g. file migration or policies thereof
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/22Indexing; Data structures therefor; Storage structures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2117User registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]

Description

本発明は,アプリデータ記憶領域生成方法,アプリデータ記憶領域生成装置,及びアプリデータ記憶領域生成プログラムに関する。
個人や法人が複数の端末と複数のアプリケーション(以下,アプリと略称する)を利用する場合に,その個人や法人のデータをクラウド上のストレージ領域内に確保した利用者データ記憶領域に集約することが提案されている。
一方,SaaS(Software as a Service)は,ユーザにアプリなどのソフトウエアの機能だけを提供するサービスである。そして,近年において普及してきたHTML5等のウエブアプリは,サーバから端末にアプリをダウンロードする必要はなく,端末のブラウザからサーバにアクセスして実行される。したがって,ウエブアプリの利用は,端末を選ばず,様々な端末から利用することができる。
上記のようなSaaS上でのサービスに,上記の利用者データ記憶部の利用サービスを提供することで,個人や法人が利用する様々なアプリのデータを集約することができる。
特開2011−197849号公報 国際公開第2012/077223号
FUJITSU. 64, 1, p.102-110 (01,2013)
上記の利用者データ記憶領域を利用する場合は,アプリを利用可能にするインストール工程において,そのアプリのデータ記憶領域(以下,アプリデータ記憶領域と称する)が利用者データ記憶領域内に生成(またはインストール)される。その場合,法人などの利用者データ記憶領域内のアプリデータ記憶領域内に生成されたデータのディレクトリ構造内において,そこに含まれるディレクトリやディレクトリ内のファイルにどのアプリ利用者がアクセス権限を有するかを設定する必要がある。
しかしながら,利用者側の管理者は,アプリ利用者のアクセス権限を設定するためには,アプリのデータ領域のディレクトリやファイルを分析する必要があり,アプリ利用者のアクセス権限の設定に多くの工数を必要とし,または,適切にアクセス権限を設定することは困難である。
そこで,1つの側面では,本発明の目的は,アプリのデータ領域へのアクセス権限の設定を容易または正確にしたアプリデータ記憶領域生成方法,アプリデータ記憶領域生成装置,及びアプリデータ記憶領域生成プログラムを提供することにある。
実施の形態の第1の側面は,アプリケーションの利用要求に応答して,複数のユーザアカウントにより共用される利用者データ記憶領域内に,前記アプリケーションのデータを記憶するデータ構造領域を有するアプリデータ記憶領域を生成する工程と,
前記利用者データ記憶領域内に,前記アプリケーションのデータ構造に対するアクセス制御情報が設定された複数のロールを有するロール情報を生成する工程と,
前記ロール情報に含まれる前記複数のロールに対する前記複数のユーザアカウントの関連付けの情報を,前記利用者データ記憶領域内に記憶する工程とがプロセッサにより実行されるアプリデータ記憶領域の生成方法である。
第1の側面によれば,アプリのデータ領域へのアクセス権限の設定を容易または正確に行うことができる。
利用者データ記憶領域とアプリデータ記憶領域について説明する図である。 本実施の形態における利用者データ記憶領域サービスシステムの構成を示す図である。 本実施の形態におけるサーバの構成図である。 サーバ1のプロセッサであるCPUにより実行されるサーバの管理プログラムの機能を示す図である。 アプリデータ記憶領域インストールプログラム40の機能を示す図である。 利用者端末からのアプリXの利用要求からアプリデータ記憶領域がインストール完了するまでの処理手順を示すフローチャート図である。 利用者端末からのアプリXの利用要求からアプリデータ記憶領域がインストール完了するまでの処理手順を示すフローチャート図である。 利用者データ記憶領域の構成を示す図である。 アプリデータ記憶領域定義体ファイルの構成を示す図である。 アプリデータ記憶領域のデータ構造情報の例と,それに基づいて生成されたアプリXデータ記憶領域内のデータ構造領域の例とを示す図である。 アプリデータ記憶領域定義体ファイル50(APLX_DD)のロールデータ51_2の例と,それに基づいて生成されたロールテーブルR_TABLEの例とを示す図である。 複数のアプリデータ記憶領域それぞれに複数のロールroleが定義されている例を示す図である。 アクセス制御情報テーブルAPLX_AATABLEの例を示す図である。 アカウントとロールテーブル内の各ロールとの対応付け処理を説明する図である。 利用者によるアプリデータ記憶領域内のデータへのアクセスのフローチャート図である。
図1は,利用者データ記憶領域とアプリデータ記憶領域について説明する図である。利用者データ記憶領域のサービスを提供するサーバは,そのストレージ領域内に,図1に示される利用者データ記憶領域10を生成する。そして,利用者の端末からアプリ30の利用を要求されると,サーバは,アプリ30の利用を可能にするインストール工程で,その利用者データ記憶領域10内にアプリ30のデータを格納するためのアプリデータ記憶領域20を生成する。その後,利用者がアプリ30にアクセスして実行した結果生成されるデータが,利用者データ記憶領域10内のアプリデータ記憶領域20に格納され,アプリ30の実行中に必要なデータがアプリデータ記憶領域20から読み出される。
図1の例では,アプリデータ記憶領域20は,利用者Aの端末からアプリXを実行する時にアプリXがアクセスするアプリXのデータ記憶領域である。したがって,アプリデータ記憶領域20内には,データ構造領域DATA_Sが生成される。図1の例では,データ構造領域DATA_Sは,ディレクトリ構造である。但し,データ構造領域はリレーショナルデータベース構造など他のデータ構造であってもよい。
利用者データ記憶領域10である利用者Aのデータ記憶領域USERA_DSには,利用者Aが法人の場合,その複数の従業員のアカウントACが設定されている。このアカウントACの従業員は,端末からアプリXにアクセスしてアプリXを実行することで,アプリXデータ記憶領域APLX_D内のデータを参照する。そして,アプリXのデータには,秘密情報が含まれているので,利用者Aの管理者は,各アカウントACに対してアプリXデータ記憶領域APLX_D内のデータ構造領域DATA_Sへのアクセス権に関するアクセス制御情報22を設定することが要求される。図1の例では,アクセス制御情報22の実線矢印はアクセス権を有することを,破線矢印はアクセス権を有しないことをそれぞれ示している。
しかし,アプリXのデータ構造領域DATA_Sは,利用者AのアカウントACの属性にカスタマイズして生成されておらず,一方,利用者Aの管理者は,アプリXのデータ構造領域DATA_Sについて精通していない。したがって,利用者Aの管理者は,アクセス制御情報22を設定するために,データ構造領域DATA_Sのファイル情報を分析したり,アプリXを利用してみてデータ構造領域DATA_Sの実質的な内容を調べたりすることが必要になる。そのため,アクセス制御情報22の設定に多くの工数を要するか,または,適切に設定することができない。
[本実施の形態]
[概略説明]
図2は,本実施の形態における利用者データ記憶領域サービスシステムの構成を示す図である。利用者データ記憶領域のサービスを提供する利用者データ記憶領域管理サーバ1(以下,単にサーバ1と称する)は,図示しないサービス管理プログラムを実行して,インターネットなどのネットワークNETを介して,利用者端末3A,3Bに利用者データ記憶領域のサービスを提供する。
サーバ1からアクセス可能な利用者データ記憶領域サービスシステムのストレージ領域2には,複数の利用者にそれぞれ提供する利用者データ記憶領域10が生成されている。さらに,利用者データ記憶領域サービスシステムのストレージ領域2には,複数の利用者によって利用されるアプリAPLX,APLYを格納するアプリ記憶領域30が生成されている。そして,ストレージ領域2には,利用者がアプリの利用を申請した際に,利用対象のアプリのデータを格納するアプリデータ記憶領域20を生成するインストールプログラム40が格納されている。図2の例では,このアプリデータ記憶領域インストールプログラム40は,API(Application Program Interface)の形態である。
図2の例では,利用者Aは,その端末3Aからサーバ1を介して,ストレージ領域2内に,利用者Aのデータ記憶領域USERA_DSを生成して利用している。利用者Bも同様に利用者Bのデータ記憶領域USERB_DSを生成して利用している。
一方,ストレージ領域2内にはアプリXを格納したアプリX記憶領域30_Xと,アプリYを格納したアプリY記憶領域30_Yとが生成されている。アプリX,Yは,例えばHTML5などのWEBアプリであり,端末3A,3Bのブラウザ上でアクセスされダウンロードされ実行される。
利用者Aは,その端末3Aからサーバ1を経由してアプリX記憶領域30_X内のアプリXにアクセスしアプリXの利用を要求することで,アプリXを利用するサービスを受けることができる。利用者Aの端末3AからのアプリXの利用要求に応答して,アプリX記憶領域30_X内の利用者データ記憶領域設定部32内に,利用者Aのデータ記憶領域USERA_DSのアクセス情報であるURLアドレス「USERA_DS」が設定されると共に,利用者Aデータ記憶領域USERA_DS内にアプリXのデータ記憶領域20(APLX_D)が生成される。
これにより,利用者Aがその端末3AからアプリXにアクセスして実行すると,アプリXは利用者Aデータ記憶領域USERA_DS内のアプリXデータ記憶領域APLX_Dにアクセスして,生成したデータをそこに格納し,参照するデータをそこから読み出す。これにより,利用者Aは,どの端末からアプリXを実行しても,同じ利用者Aデータ記憶領域USERA_DS内のアプリXデータ記憶領域APLX_Dにデータが格納され,またはデータが参照される。
利用者Bも同様にしてアプリXとアプリYを利用可能にしている。その結果,アプリX記憶領域30_XとアプリY記憶領域30_Y内の利用者データ記憶領域設定部32内に,利用者Bのデータ記憶領域USERB_DSのアクセス情報であるURLアドレス「USERB_DS」が設定され,同時に,利用者Bデータ記憶領域USERB_DS内にアプリXのデータ記憶領域20(APLX_D)とアプリYのデータ記憶領域20(APLY_D)とが生成されている。
これにより,利用者Bがその端末3BからアプリXにアクセスして実行すると,アプリXは利用者Bデータ記憶領域USERB_DS内のアプリXデータ記憶領域APLX_Dにアクセスして,生成したデータをそこに格納し,参照するデータをそこから読み出す。同様に,利用者Bがその端末3BからアプリYにアクセスして実行すると,アプリYは利用者Bデータ記憶領域USERB_DS内のアプリXデータ記憶領域APLX_Dにアクセスしてリードライトを実行する。したがって,利用者Bは,アプリXまたはアプリYのいずれかをどの端末から実行しても,同じ利用者Bデータ記憶領域USERB_DS内のアプリXデータ記憶領域APLX_DまたはアプリYデータ記憶領域APLY_Dにデータが格納され,またはデータが参照される。
本実施の形態では,ストレージ領域2内に,アプリを利用可能にするインストール工程で,各利用者データ記憶領域10内にアプリデータ記憶領域20を生成(インストール)するためのアプリデータ記憶領域インストールプログラム40が格納されている。さらに,各アプリ記憶領域30内には,それぞれのアプリデータ記憶領域を生成するために参照されるアプリデータ記憶領域定義体ファイル50(APLX_DD,APLY_DD)が格納されている。
本実施の形態では,このアプリデータ記憶領域定義体ファイル50に,アプリデータ記憶領域内のデータ構造情報と,データ構造へのアクセス制御情報が設定されたロール情報と,データ構造に対する各ロールのアクセス権を規定するアクセス制御情報とが含まれている。ここで,ロールとは,利用者が法人であれば役職や部署及びセクションなどそのアカウント利用者の法人内での役割を示す一般名称であり,利用者が個人であれば例えば仕事用と個人用などのアカウントの役割や家族や友人などの個人社会での役割を示す一般名称である。
以上のように,本実施の形態では,SaaSに関連して,複数のアプリに対するデータ領域を利用者毎に集約する利用者データ記憶領域を提供するサービスにおいて,特に,アプリを利用可能にするアプリのインストール工程でアプリデータ記憶領域を生成する処理が行われる。
図3は,本実施の形態におけるサーバの構成図である。管理サーバ1は,CPU100と,メモリ101と,入出力装置102と,通信装置103と,プログラムやデータが記憶されたHDDやSDDなどのストレージ領域104とを有する。ストレージ領域104内には,利用者データ記憶領域を提供するサービスの管理処理を実行する管理プログラム105と,管理用データ106とが記憶されている。
図4は,サーバ1のプロセッサであるCPUにより実行されるサーバの管理プログラムの機能を示す図である。管理プログラム105がCPU100により実行されることにより,CPU100は,利用者端末からのアプリへのアクセスの制御を行うアクセス制御部105_1を実現する。このアクセス制御部105_1は,利用者端末からのアプリへのアクセスにおいて,利用者データ記憶領域10内に生成されているアプリデータ記憶領域20内のデータへのアクセスを提供する。
管理プログラム105がCPU100により実行されることにより,CPU100は,利用者との契約に基づいて,利用者データ記憶領域システムのストレージ領域104内に利用者データ記憶領域10を生成し,その利用者データ記憶領域10の維持管理を行う利用者データ記憶部管理部105_2を実現する。更に,管理プログラム105がCPU100により実行されることにより,CPU100は,利用者からのアプリの利用要求に応答して,利用者データ記憶領域10内に,そのアプリのデータ記憶領域20を生成し,維持管理するアプリデータ記憶領域管理部105_3を実現する。このアプリデータ記憶領域管理部105_3は,さらにアプリデータ記憶領域インストールプログラム40をCPU100により実行させることにより,上記のアプリデータ記憶領域20を生成する。
更に,管理プログラム105がCPU100により実行されることにより,CPU100は,利用者データ記憶領域10を共用する複数のアカウントの管理を行うアカウント管理部105_4を実現する。この複数のアカウントは,前述のとおり,利用者データ記憶領域10の契約者が法人の場合は,その従業員に割当られるアカウントである。法人の従業員は,このアカウントに基づいて端末からアプリにアクセスして実行し,アプリを介して利用者データ記憶領域10内のアプリデータ記憶領域20にアクセスしてアプリのデータを参照する。また,利用者データ記憶領域10の契約者が個人の場合は,複数のアカウントは,個人の役割,例えば仕事という役割や,プライベートという役割に対応するアカウントであり,更に,家族や友人といった個人生活での他人に対応するアカウントの場合もある。
また,管理プログラム105がCPU100により実行されることにより,CPU100は,アプリ毎に設定されている複数の役割を管理するロール管理部105_5を実現する。アプリ毎に設定されている複数の役割は,それぞれのアプリデータ記憶領域の識別情報に関連付けた役割として,利用者データ記憶領域10内に設定される。したがって,利用者データ記憶領域10内に設定される役割は,「社長」や「一般社員」などの同じ一般名称であっても,アプリデータ記憶領域が異なれば,異なる役割と見なされる。
さらに,管理プログラム105がCPU100により実行されることにより,CPU100は,図5のアプリデータ記憶領域インストールプログラム40により生成されるロールテーブルに含まれる複数のロールに対する複数のユーザアカウントの関連付けの情報を端末から受信し,利用者データ記憶領域に記憶する関連付け情報設定部105_6を有する。
図5は,サーバ1により実行されるアプリデータ記憶領域インストールプログラム40の機能を示す図である。アプリデータ記憶領域インストールプログラム40がCPU100により実行されることにより,CPU100は,アプリデータ記憶領域の名称を利用者端末からの入力に基づいて決定し,アプリデータ記憶領域の定義体ファイルのアクセス情報(パス情報)を利用要求されているアプリのアプリ記憶領域から取得し,必要に応じてインストール権限の認証を行う事前準備処理部40_1を実現する。
更に,アプリデータ記憶領域インストールプログラム40がCPU100により実行されることにより,CPU100は,取得した定義体ファイルのパス情報に基づいて定義体ファイル50をアプリ記憶領域30から取得して利用者データ記憶領域10内に展開するアプリデータ記憶領域定義体ファイルの展開部40_2を実現する。そして,アプリデータ記憶領域インストールプログラム40がCPU100により実行されることにより,CPU100は,アプリデータ記憶領域定義体ファイルに基づいて,アプリデータ記憶領域20を生成するアプリデータ記憶領域生成部40_3と,アプリデータ記憶領域20内にデータ構造領域DATA_Sを生成するデータ構造領域生成部40_4と,利用者データ記憶領域10内にロールテーブルを生成するロールテーブル生成部40_5と,アプリデータ記憶領域20内にアクセス制御情報テーブルを生成するアクセス権テーブル生成部40_6とを実現する。
[アプリとアプリデータ記憶領域のインストール処理]
図6,図7は,利用者端末3A,3BからのアプリXの利用要求からアプリデータ記憶領域がインストール完了するまでの処理手順を示すフローチャート図である。前提として,利用者AまたはBは,既に,ストレージ領域2内に利用者データ記憶領域10を生成済みであり,その利用者の複数の社員に対してアカウントが割り当てられている。
図6に示されるとおり,最初に,利用者がその端末からサーバ1を介してアプリXにアクセスし,アプリXの利用要求を行う(S1,S2)。この利用要求に応答して,図示しないが,管理サーバ1のアクセス制御部105_1は,アプリXに対して利用者登録等のアプリの利用を可能化するための処理を実行する。
そして,利用者端末3は,管理サーバ1のアプリデータ記憶領域管理部105_3を介して利用者データ記憶領域10の利用権限の認証を要求し(S3),利用者データ記憶領域10から認証情報を取得する(S4)。それにより,管理サーバ1のアプリデータ記憶領域管理部105_3は,利用者端末に対して利用者データ記憶領域10の利用権限に基づいてアプリのインストール権限の認証を行う(S5)。この認証により,利用者データ記憶領域10内にアプリXのアプリデータ記憶領域20をインストールすることが承認される。
そして,管理サーバ1のアプリデータ記憶領域管理部105_3からの要求に応答して(S6),利用者端末3が利用者データ記憶領域10のアクセス情報であるURLアドレスを入力すると(S7),管理サーバ1のアプリデータ記憶領域管理部105_3は,利用要求されているアプリXのアプリX記憶領域30内の利用者データ記憶領域設定部32に,その利用者データ記憶領域10のアクセス情報(URLアドレス)を設定する(S8)。これにより,アプリXに,利用要求をしてきた利用者のデータを格納する利用者データ記憶領域10のアクセス先が設定される。
そこで,アプリXのデータ記憶領域20をインストールするアプリデータ領域インストールプログラム(API)40が起動される(S11)。この起動は,利用者端末3からのアプリXデータ記憶領域のインストールの要求(S9)に応答して行われる。または,この起動は,管理サーバ1のアプリデータ記憶領域管理部105_3が,上記のアクセス情報(URLアドレス)の設定後にアプリデータ領域インストールプログラム(API)40を自動的に起動(S10)しても良い。
インストールプログラム(API)40は,利用者端末3にアプリXデータ記憶領域の名称を入力させて(S12),その名称を決定する(S13)。更に,インストールプログラム(API)40は,利用要求されているアプリXが格納されているアプリX記憶領域30にアクセスして,アプリX記憶領域30内に格納されているアプリデータ記憶領域定義体ファイル50のパス情報を取得する(S14)。インストールプログラム40は,利用者からのアプリXの利用要求に応答して,管理サーバ1のアプリデータ記憶領域管理部105_3により直接又は間接的に起動されている。したがって,インストールプログラム40はどのアプリ記憶領域内の定義体ファイルを取得する必要があるかを把握していて,上記の定義体ファイル50のパス情報の取得が可能である。
そして,インストールプログラム(API)40は,利用者端末3に利用者データ記憶領域10を利用する権限を認証する認証情報を入力させ(S15),インストール権限の認証処理を行う(S16)。この認証処理は,既に管理サーバ1のアプリデータ記憶領域管理部105_3により行われているので(S5),省略しても良い。または,前述の処理S5を省略して,インストールプログラム(API)40による認証処理(S16)に代えても良い。
そして,図7に示されるとおり,インストールプログラム(API)40は,アプリXデータ記憶領域20を生成するインストール処理を開始する(S20)。
インストールプログラム40は,上記の取得したパス情報に基づいて,アプリXのアプリデータ記憶領域定義体ファイル50(APLX_DD)を,アプリX記憶領域30_Xから取得し,管理サーバ1に解凍させ(S22),解凍した定義体ファイルAPLX_DDを,利用者データ記憶領域10内に展開して格納する(S23)。
図8は,利用者データ記憶領域の構成を示す図である。図8は,利用者Aのデータ記憶領域USERA_DSの例である。利用者Aデータ記憶領域USERA_DS内には,上記のインストールプログラム40による処理S23で,アプリXのデータ記憶領域定義ファイルAPLX_DDが格納されている。更に,後述するインストール処理により,利用者Aデータ記憶領域USERA_DSには,ロールテーブルR_TABLEと,アプリX用のデータ記憶領域APLX_D(20)とが生成される。
図9は,アプリデータ記憶領域定義体ファイルの構成を示す図である。アプリXのアプリデータ記憶領域定義体ファイル50(APLX_DD)は,メタデータ51と,アプリデータ記憶領域のデータ構造情報52とを有する。メタデータ51には,管理データ51_1と,ロールデータ51_2と,アクセス制御情報データ51_3とが含まれている。
ロールデータ51_2内には,図11に示されるとおり,アプリX内で定義されている全てのロールの情報(role1, role2, role3)が含まれている。アクセス制御情報データ51_3内には,アプリデータ記憶領域のデータ構造の各ディレクトリやファイルに対する各ロールのアクセス権限が含まれている。
そして,管理データ51_1には,定義体ファイルのバージョン情報と,定義体ファイルが対象にしているアプリデータ記憶領域のバージョン情報と,アプリデータ記憶領域名称情報と,アプリ識別情報であるアプリのURLアドレスとが含まれる。この例では,アプリデータ記憶領域の名称は,前述の工程S12,S13で端末から入力された「アプリXデータ」と決定されている。
また,アプリデータ記憶領域のデータ構造情報52には,例えば,ルートディレクトリroot以下のディレクトリの構造情報とファイルが含まれている。また,データ構造がリレーショナルデータベースの場合は,そのデータベース構造が含まれる。
図7に戻り,インストールプログラム40によるアプリXデータ記憶領域の生成処理について更に説明する。インストールプログラム40は,図9のアプリデータ記憶領域定義体ファイル50(APLX_DD)のメタデータ51の管理データ51_1の定義体ファイルバージョンと,アプリデータ記憶領域バージョンとをチェックして,適切な定義体ファイルであることを確認するとともに,利用者データ記憶領域10(USERA_DS)内にアプリXデータ記憶領域APLX_Dが生成(インストール)済みか否かチェックして生成済みでないことを確認する。確認できれば,利用者データ記憶領域10(USERA_DS)内にアプリXデータ記憶領域20(APLX_D)を生成する(S24)。図8には,アプリXデータ記憶領域20(APLX_D)が生成されていることが示されている。いずれかが確認できないと,利用者端末にエラーが返信されてアプリデータ記憶領域の生成を拒絶する。
次に,インストールプログラム40は,図9のアプリデータ記憶領域定義体ファイル50(APLX_DD)のアプリデータ記憶領域のデータ構造情報52に基づいて,アプリXデータ記憶領域20(APLX_D)内にデータ構造領域DATA_Sを生成する(S25)。図8に示されるとおりである。
図10は,アプリデータ記憶領域のデータ構造情報の例と,それに基づいて生成されたアプリXデータ記憶領域内のデータ構造領域の例とを示す図である。図10のデータ構造情報52は,ルートディレクトリroot以下のディレクトリ構造と,ディレクトリに格納されるデータファイルの情報を有する。インストールプログラム40は,このデータ構造情報52に基づいて,アプリXデータ記憶領域20(APLX_D)内にデータ構造領域DATA_Sを生成する。この例では,生成されたデータ構造領域DATA_Sは,ディレクトリdir1,dir1-1,dir2と,ディレクトリdir1-1に格納されたファイルuserdata1-1.jpgと,ディレクトリdir2に格納されたファイルuserdata102.jpgとを有する。
図7に戻り,インストールプログラム40は,図9のアプリデータ記憶領域定義体ファイル50(APLX_DD)のアプリデータ記憶領域のメタデータ51内のロールデータ51_2に基づいて,利用者Aデータ記憶領域10(USERA_DS)内にロールテーブルR_TABLEを生成する(S26)。図8に示されるとおりである。既に,他のアプリのロール情報を有するロールテーブルが生成済みの場合は,そのロールテーブルにアプリXのロール情報を追加する。これにより,管理者は,利用者Aデータ記憶領域10(USERA_DS)を共用して利用する複数のアカウントに対して,アプリ毎のロール情報を対応付けることができる。
図11は,アプリデータ記憶領域定義体ファイル50(APLX_DD)のロールデータ51_2の例と,それに基づいて生成されたロールテーブルR_TABLEの例とを示す図である。アプリAのアプリデータ記憶領域定義体ファイル内のロールデータ51_2は,そのアプリA内のロール情報を有する。図11の例では,3つのロール名role1, role2, role3が含まれている。それに対して,ロールテーブルR_TABLEには,3つのロール名role1, role2, role3と,そのアプリデータ記憶領域名「アプリXデータ」が関連付けられている。その結果,関連付けられたロール名は,X/role1, X/role2, X/role3となっている。このようにアプリデータ記憶領域の識別情報でロール名を関連づけることで,異なるアプリが同じロール名を有していても,利用者データ記憶領域内でユニークなロール名にすることができる。
図11に示されるとおり,ロールテーブルR_TABLEは,アプリデータ記憶領域名で関連付けられたロール名を有するロール情報である。したがって,ロールテーブルR_TABLEは,テーブル形式ではなく,単に関連付けロール名を有するロール情報でも良い。ロールテーブルR_TABLEとロール情報は,実質的に同じである。
図12は,複数のアプリデータ記憶領域それぞれに複数のロールroleが定義されている例を示す図である。図12に示されるように,アプリXデータ記憶領域のロールも,アプリYデータ記憶領域のロールも,「doctor」「staff」「patient」と同じ名称の場合がありうる。その場合,複数のアプリデータ記憶領域に共通に生成されるロールテーブルでは,ロール名に各アプリデータ記憶領域の識別情報を関連付けたロール名にすることで,それぞれのロール名を一意に区別することができる。
図7に戻り,インストールプログラム40は,図9のアプリデータ記憶領域定義体ファイル50(APLX_DD)のアクセス制御情報データ51_3と図11のロールテーブルR_TABLEとに基づいて,アクセス制御情報テーブルAPLX_AATABLEをアプリXデータ記憶領域20(APLX_D)内に生成する(S27)。図8に示されるとおりである。
図13は,アクセス制御情報テーブルAPLX_AATABLEの例を示す図である。この例では,データ構造領域DATA_S内のデータ構造である3つのディレクトリに対する,各ロールのアクセス権限が設定されている。図11のロールテーブルR_TABLEでは,アプリXの3つのロール名role1, role2, role3にアプリデータ記憶領域名「アプリXデータ」が関連付けられていたことに伴い,アクセス制御情報テーブルAPLX_AATABLEでも,アプリXの3つのロール名role1, role2, role3が,アプリデータ記憶領域名「アプリXデータ」の「X」で関連付けられて,ロール名がX/role1, X/role2, X/role3となっている。
アクセス制御情報テーブルAPLX_AATABLEには,各ディレクトリについて各関連付けされたロールがどのようなアクセス権限を有するかが設定されている。例えば,ディレクトリdir1では,ロールX/role1は全てアクセス権限を有し,ロールX/role2,X/role3はアクセス権限を有していない。
なお,アクセス制御情報テーブルは必ずしもテーブルである必要はなく,ディレクトリなどに対して各関連付けロールのアクセス権限を有するアクセス制御情報であればよい。
図7に戻り,インストールプログラム40は,アプリXデータ記憶領域を生成するインストール処理を完了する(S28)。そして,最後に,利用者端末3から利用者の管理者が,複数のアカウントとロールテーブルR_TABLE内の各ロールとの対応付けを行う(S29)。この対応付けは,手動で行われても良く,または対応付けツールを生成した上でそのツールによって行っても良い。
図14は,アカウントとロールテーブル内の各ロールとの関連付け処理を説明する図である。インストールプログラム40によるアプリデータ記憶領域のインストール処理が完了すると,図14に示される管理者による関連付け情報29以外は全て生成が完了している。すなわち,利用者Aデータ記憶領域20内には,ロールテーブルR_TABLEと,アプリXデータ記憶領域20とが生成済みであり,アプリXデータ記憶領域20内には,データ構造領域DATA_Sと,データ構造領域DATA_Sに対するロールテーブル内の各ロールのアクセス権限を規定したアクセス制御情報テーブルAPLX_AATABLEとが生成済みである。そして,利用者Aデータ記憶領域20は,複数のアカウントACによって共用されている。
ロールテーブルR_TABLE内の各ロールは,法人の役職や部署についての一般名称であるか,または各ロールについて法人の役職や部署の説明が付属されている。一方,アカウントACは法人の社員または従業員に対応しているので,管理者は,それぞれのアカウントの法人内での役職や部署の属性情報を知ることができる。したがって,管理者は,各アカウントACを,各アカウントACの法人内での役職や部署の属性情報に最も対応するまたは近似するロールテーブルR_TABLE内のロールに関連付けることを,容易に行うことができる。
そこで,インストールプログラム40によるアプリデータ記憶領域のインストール処理が完了した後に,管理者は,上記の関連付け情報29を設定し,サーバ1は設定された関連付け情報29を利用者データ記憶領域内に記憶する関連付け設定処理S29を実行することで,各アカウントACに対するデータ構造領域内の各ディレクトリやデータベースへのアクセス制御情報の設定を完了することができる。上記の関連付け情報29は,例えば利用者データ記憶領域10内に格納される。
図14の例では,アカウントACのうち,CEOであるアカウント1は社長のロールX/role1に対応付けられ,人事部社員であるアカウント2は経理・人事社員のロールX/role2に対応付けられ,XX部社員であるアカウント3は一般社員のロールX/role3に対応付けられている。
図15は,利用者によるアプリデータ記憶領域内のデータへのアクセスのフローチャート図である。利用者は,利用者端末3のブラウザからサーバ1にアクセスして,ストレージ領域2内のアプリXにアクセスする(S30,S31)。そして,利用者は,利用者端末3からアカウント情報と,パスワードなどの認証情報を入力し,アプリXはそのアカウントを認証する(S33)。認証をパスした後,利用者は,利用者端末3から実行中のアプリXにてアプリXのデータに対するアクセス要求を送信する(S34)。アプリXは,アカウントに対応する利用者データ記憶領域10内のアプリXデータ記憶領域20にアクセスして,アプリXデータ記憶領域20内のアカウントとロールとの関連付け情報29に基づいて,アカウントに対応付けされたロールを特定し,アクセス制御情報テーブルAPLX_AATABLEを参照して,そのアカウントに対応付けられたロールに設定されているアクセス権限に基づいて,データのアクセス要求を許可または拒否する(S35)。許可された場合は,利用者端末3は要求したデータを取得する(S36)。
以上説明したとおり,本実施の形態によれば,利用者がアプリを利用可能にするインストール処理において,そのアプリのアプリデータ記憶領域定義体ファイルに基づいて,利用者データ記憶領域10内にそのアプリのアプリデータ記憶領域20を生成し,更に,利用者データ記憶領域10内にアプリのデータ構造に対するアクセス制御情報が設定された複数のロールを有するロールテーブル(またはロール情報)を生成する。それにより,容易にまたは少ない工数で,利用者データ記憶領域10を共用する複数のアカウントを設定された複数のロールに対応付けることができる。したがって,新たにインストールしたアプリデータ記憶領域に対するアクセス制御情報の設定工数を減らすことができる。
10:利用者データ記憶領域
20:アプリデータ記憶領域
DATA_S:データ構造領域
R_TABLE:ロールテーブル(ロール情報)
APLEX_AATABLE:アクセス制御情報テーブル(アクセス制御情報)
AC:アカウント
29:アカウントとロールとの対応付け情報

Claims (6)

  1. アプリケーションの利用要求に応答して,前記アプリケーションが記憶されているアプリ記憶領域から,前記アプリケーションのデータ構造情報とロールデータとを有するアプリデータ記憶領域定義体ファイルを取得する工程と,
    複数のユーザアカウントにより共用される利用者データ記憶領域内に,前記データ構造情報に基づいて,前記アプリケーションのデータを記憶するデータ構造領域を有するアプリデータ記憶領域を生成する工程と,
    前記利用者データ記憶領域内に,前記ロールデータに基づいて,前記アプリケーションのデータ構造に対するアクセス制御情報が設定された複数のロールを有するアクセス制御情報テーブルを生成する工程と,
    前記アクセス制御情報テーブルに含まれる前記複数のロールに対する前記複数のユーザアカウントの関連付けの情報を,前記利用者データ記憶領域内に記憶する工程と
    がプロセッサにより実行されるアプリデータ記憶領域の生成方法。
  2. 請求項において,
    前記アクセス制御情報テーブル内の複数のロールは,前記アプリデータ記憶領域定義体ファイル内の前記ロールデータに前記アプリデータ記憶領域の識別情報を属性情報として関連付けた,アプリデータ記憶領域識別情報付きロールを有するアプリデータ記憶領域の生成方法。
  3. 請求項において,
    更に,前記アプリケーションの利用要求に応答して,前記利用者データ記憶領域へのアクセス先情報を,前記アプリ記憶領域内に設定する工程を有するアプリデータ記憶領域の生成方法。
  4. 請求項において,
    更に,前記アプリケーションの利用要求に応答して,前記利用者データ記憶領域の認証情報に基づいて認証する工程を有し,
    前記認証に基づいて,前記アプリデータ記憶領域の生成が実行されるアプリデータ記憶領域の生成方法。
  5. アプリケーションの利用要求に応答して,前記アプリケーションが記憶されているアプリ記憶領域から,前記アプリケーションのデータ構造情報とロールデータとを有するアプリデータ記憶領域定義体ファイルを取得する定義体ファイル取得部と,
    複数のユーザアカウントにより共用される利用者データ記憶領域内に,前記データ構造情報に基づいて,前記アプリケーションのデータを記憶するデータ構造領域を有するアプリデータ記憶領域を生成するアプリデータ記憶領域生成部と,
    前記利用者データ記憶領域内に,前記ロールデータに基づいて,前記アプリケーションのデータ構造に対するアクセス制御情報が設定された複数のロールを有するアクセス制御情報テーブルを生成するアクセス制御情報テーブル生成部と,
    前記アクセス制御情報テーブルに含まれる前記複数のロールに対する前記複数のユーザアカウントの関連付けの情報を,前記利用者データ記憶領域に記憶する関連付け情報設定部とを有するアプリデータ記憶領域の生成装置。
  6. アプリケーションのデータを格納するアプリデータ記憶領域を生成するアプリデータ記憶領域生成処理をコンピュータに実行させるアプリデータ記憶領域生成プログラムにおいて,前記アプリデータ記憶領域生成処理は,
    アプリケーションの利用要求に応答して,前記アプリケーションが記憶されているアプリ記憶領域から,前記アプリケーションのデータ構造情報とロールデータとを有するアプリデータ記憶領域定義体ファイルを取得する工程と,
    複数のユーザアカウントにより共用される利用者データ記憶領域内に,前記データ構造情報に基づいて,前記アプリケーションのデータを記憶するデータ構造領域を有するアプリデータ記憶領域を生成する工程と,
    前記利用者データ記憶領域内に,前記ロールデータに基づいて,前記アプリケーションのデータ構造に対するアクセス制御情報が設定された複数のロールを有するアクセス制御情報テーブルを生成する工程と,
    前記アクセス制御情報テーブルに含まれる前記複数のロールに対する前記複数のユーザアカウントの関連付けの情報を,前記利用者データ記憶領域内に記憶する工程とを有するアプリデータ記憶領域生成プログラム。
JP2015538693A 2013-09-26 2013-09-26 アプリデータ記憶領域生成方法,アプリデータ記憶領域生成装置,及びアプリデータ記憶領域生成プログラム Active JP6103069B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2013/075986 WO2015045048A1 (ja) 2013-09-26 2013-09-26 アプリデータ記憶領域生成方法,アプリデータ記憶領域生成装置,及びアプリデータ記憶領域生成プログラム

Publications (2)

Publication Number Publication Date
JPWO2015045048A1 JPWO2015045048A1 (ja) 2017-03-02
JP6103069B2 true JP6103069B2 (ja) 2017-03-29

Family

ID=52742255

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015538693A Active JP6103069B2 (ja) 2013-09-26 2013-09-26 アプリデータ記憶領域生成方法,アプリデータ記憶領域生成装置,及びアプリデータ記憶領域生成プログラム

Country Status (3)

Country Link
US (1) US10102396B2 (ja)
JP (1) JP6103069B2 (ja)
WO (1) WO2015045048A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107239712A (zh) 2016-03-29 2017-10-10 阿里巴巴集团控股有限公司 基于应用程序的用户信息的隐藏方法及装置
CN108092945B (zh) * 2016-11-22 2022-02-22 中兴通讯股份有限公司 访问权限的确定方法和装置、终端

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040025162A1 (en) * 2002-07-31 2004-02-05 Fisk David C. Data storage management system and method
US7546640B2 (en) * 2003-12-10 2009-06-09 International Business Machines Corporation Fine-grained authorization by authorization table associated with a resource
US8613103B2 (en) * 2006-07-07 2013-12-17 Sandisk Technologies Inc. Content control method using versatile control structure
US7874008B2 (en) * 2006-08-29 2011-01-18 International Business Machines Corporation Dynamically configuring extensible role based manageable resources
US7890998B2 (en) * 2007-06-29 2011-02-15 International Business Machines Corporation System and method for selective authentication when acquiring a role
JP2010170208A (ja) * 2009-01-20 2010-08-05 Toshiba Corp 権限管理システム
JP2011128994A (ja) * 2009-12-18 2011-06-30 Canon It Solutions Inc 情報処理装置、情報処理方法、及びコンピュータプログラム
JP5533090B2 (ja) * 2010-03-18 2014-06-25 富士通株式会社 セキュリティ管理システム、セキュリティ管理プログラム、情報処理装置、情報処理方法及び情報処理プログラム
US9355270B2 (en) * 2010-04-28 2016-05-31 Salesforce.Com, Inc. Security configuration systems and methods for portal users in a multi-tenant database environment
JP5821298B2 (ja) 2010-08-23 2015-11-24 株式会社リコー Webサービス提供システム、サーバ装置、方法およびプログラム
US8769704B2 (en) * 2010-09-10 2014-07-01 Salesforce.Com, Inc. Method and system for managing and monitoring of a multi-tenant system
WO2012077223A1 (ja) 2010-12-10 2012-06-14 富士通株式会社 情報処理装置およびプログラム
US8955151B2 (en) * 2011-04-30 2015-02-10 Vmware, Inc. Dynamic management of groups for entitlement and provisioning of computer resources
JP5930847B2 (ja) * 2011-06-29 2016-06-08 キヤノン株式会社 サーバーシステムおよび制御方法およびプログラム
US9178753B2 (en) * 2011-08-31 2015-11-03 Salesforce.Com, Inc. Computer implemented methods and apparatus for providing access to an online social network
WO2013140498A1 (ja) * 2012-03-19 2013-09-26 富士通株式会社 保存領域管理方法及びサーバ装置
US9460474B2 (en) * 2013-05-03 2016-10-04 Salesforce.Com, Inc. Providing access to a private resource in an enterprise social networking system

Also Published As

Publication number Publication date
JPWO2015045048A1 (ja) 2017-03-02
US20160203335A1 (en) 2016-07-14
US10102396B2 (en) 2018-10-16
WO2015045048A1 (ja) 2015-04-02

Similar Documents

Publication Publication Date Title
US10623406B2 (en) Access authentication for cloud-based shared content
US11689604B2 (en) Interfacing with remote content management systems
JP2019012529A (ja) ドキュメント管理及びコラボレーション・システム
US11847239B2 (en) Document-level attribute-based access control
JP5992511B2 (ja) クラウドサービス再接続の自動化
US20140150070A1 (en) Mobile device identify factor for access control policies
US8856907B1 (en) System for and methods of providing single sign-on (SSO) capability in an application publishing and/or document sharing environment
US8826388B2 (en) Mobile device identify factor for access control policies
JP2017033339A (ja) サービス提供システム、情報処理装置、プログラム及びサービス利用情報作成方法
CN105516059A (zh) 一种资源访问控制方法和装置
US9817988B2 (en) System and method to provide document management on a public document system
JP6582841B2 (ja) サービス提供システム、情報処理装置、プログラム及び情報処理システム
JP5445692B2 (ja) 情報処理装置およびプログラム
JP6103069B2 (ja) アプリデータ記憶領域生成方法,アプリデータ記憶領域生成装置,及びアプリデータ記憶領域生成プログラム
TWI528209B (zh) 用於控制對資源之存取之裝置、方法及其電腦程式產品
JP2015026889A (ja) アカウント生成支援プログラム、アカウント生成支援装置、およびアカウント生成支援方法
JP6102296B2 (ja) 情報処理システム、情報処理装置、認証方法及びプログラム
JP6242087B2 (ja) 文書管理サーバ、文書管理方法、コンピュータプログラム
JP5980421B2 (ja) アクセス制御装置及びアクセス制御方法及びプログラム
JP2018502384A (ja) アカウントへのidのバインディングを遅延させる方法
US20240135028A1 (en) System and method of dynamic search result permission checking
JP4780010B2 (ja) データ管理システム及び方法並びにプログラム
JP5714087B2 (ja) データ管理システムおよびデータ管理方法
Lakshmiraghavan et al. Hosting ASP. NET Web API
JP2014215699A (ja) 権限管理装置及びその方法、認証装置、並びにコンピュータ・プログラム

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20161025

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161226

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170131

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170213

R150 Certificate of patent or registration of utility model

Ref document number: 6103069

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150