JP6708719B2 - 情報処理装置、情報処理装置の制御方法、情報処理システム、およびコンピュータプログラム - Google Patents

情報処理装置、情報処理装置の制御方法、情報処理システム、およびコンピュータプログラム Download PDF

Info

Publication number
JP6708719B2
JP6708719B2 JP2018200265A JP2018200265A JP6708719B2 JP 6708719 B2 JP6708719 B2 JP 6708719B2 JP 2018200265 A JP2018200265 A JP 2018200265A JP 2018200265 A JP2018200265 A JP 2018200265A JP 6708719 B2 JP6708719 B2 JP 6708719B2
Authority
JP
Japan
Prior art keywords
information
access right
client
server
storage
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018200265A
Other languages
English (en)
Other versions
JP2019036347A (ja
Inventor
雄 中野
雄 中野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2018200265A priority Critical patent/JP6708719B2/ja
Publication of JP2019036347A publication Critical patent/JP2019036347A/ja
Application granted granted Critical
Publication of JP6708719B2 publication Critical patent/JP6708719B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Description

本発明は、サーバにアクセスするクライアントと通信可能な情報処理装置、情報処理装置の制御方法、情報処理システム、およびコンピュータプログラムに関する。
近年、インターネット上などで展開するサービスを提供するサーバにおいては、ユーザの個人情報やユーザが作成した写真や動画などのコンテンツに代表されるプライベートな情報を安全に保管することが必要不可欠である。
そのために、サービスを提供するサーバに対するアクセス権の制限を、ユーザ(クライアント装置)ごとに設定する必要がある。アクセス権の制限を行うためには、ユーザごとに設定されたアクセス権を発行するアクセス権発行サーバを導入することが一般的である。クライアントは、サービスの提供を受ける場合は、アクセス権発行サーバ装置からアクセス権を付与され、サービスを提供するサーバ装置に対してアクセスして、サービスの提供をリクエストする。サーバは、アクセス権が正当である場合、リクエストに対して応答する。アクセス権発行サーバからアクセス権を取得するためのプロトコルやアクセス権の形式はアクセス権発行方式によって様々である。
アクセス権発行方式の標準仕様として、OAuth2.0やOAuth2.0の拡張であるOpenID Connectなどが挙げられる。これらの標準仕様は、インターネット上における多種多様なサービスにおいてすでに採用されている。OAuth2.0のプロトコルにおいては、発行されるアクセス権はアクセストークンと呼ばれる文字列で表現される。また、アクセストークンには権限の範囲を示すスコープと呼ばれる文字列が関連付けられる。さらに、アクセストークンには、スコープ以外の様々な情報を関連付けることが可能である。アクセストークンに関連付けられる情報としては、アクセストークンの有効期限やアクセストークンを発行した発行者のIDなどがある。OAuth2.0の仕様に基づいてサービスを提供するサーバは、受信したアクセストークンの有効期限やスコープの値に基づいてアクセストークンの有効性や権限の範囲を確認し、アクセストークンが正当か否かを判断する。
一方、OAuth2.0などの標準仕様を採用していないアクセス権発行サーバでは、独自の仕様でアクセス権を発行することになる。独自の仕様でアクセス権を発行することになるサーバとしては、ストレージサーバがある。アクセス先サーバがストレージサーバである場合、読み込みや書き込みなどの操作に対する制限や、アクセス可能なストレージ上の特定のファイルパスを指定するなどの複雑な処理を独自の仕様で行う必要がある。
ストレージサーバは、クライアントとサーバとの間で比較的容量の大きなデータの送受信を行う場合に採用されることが多い。採用の理由としては、ストレージサーバ以外のサーバがデータの送受信の管理を行う必要が無いため、各サーバに求められる性能が低くなり、サーバ運用のコストを抑えることが出来ることが挙げられる。更に、ストレージサーバ内のデータに対してダイレクトにアクセスすることが出来るので、データがストレージサーバ以外の別のサーバを経由することが無く、データに対して複雑な処理が可能になる。
特許文献1には、ユーザが操作する端末ごとにストレージサーバへのアクセス権限を設定するための技術が開示されている。具体的には、ユーザが操作する端末のIDごとに、許可する操作や、操作できるストレージサーバ内のファイルパスを設定するものである。
また、特許文献2には、通信メディアカードが中継サーバを介してストレージサーバへのアクセスを行う技術が開示されている。具体的には、中継サーバが、通信メディアカードの端末IDごとに、ストレージサーバの認証情報及びアクセス可能なディレクトリのパスを設定するものである。
特開2007−034386号公報 特開2012−079267号公報
上記の通り、ストレージサーバの採用には多くの利点があるが、ストレージサーバにはユーザの個人情報やプライベートな情報が保存されることもあるため、ストレージサーバへのアクセス制限をクライアントに対して適切に行う必要がある。
しかしながら、特許文献1に開示されている技術では、システム全体が単一のアクセス権で制御されることを前提としており、端末のストレージサーバに対するアクセス権限は一定になっている。
一方、特許文献2においては、端末ユーザのウェブサーバへの認証情報とストレージサーバへの認証情報との関連付けについて開示されているが、特許文献1と同様に、ストレージサーバに対するアクセス権限は一定になっている。
よって、従来の技術においては、ストレージサーバを含む複数のサーバを有するシステムにおいて、ストレージサーバに対する適切なアクセス権をクライアントに設定することが出来ていなかった。従って、クライアントに対して過剰なアクセス権限が設定されてしまう可能性があり、ストレージサーバ内に格納されたデータを適切に保護することができなかった。
本発明は、上記従来例に鑑みてなされたものであり、ストレージサーバを含む複数のサーバを有するシステムにおいて、クライアントに対してストレージサーバに対する適切なアクセス権を設定することを目的とする。
上記目的を達成するため、本発明は、ストレージサーバと、当該ストレージサーバと異
なり、サービスを提供するウェブサーバとにアクセスするクライアントと通信可能な情報
処理装置であって、前記クライアントから、前記クライアントが前記ウェブサーバにアク
セスし、前記サービスを受けるために用いられるアクセス権の情報を受信する受信手段と
、前記アクセス権の情報に基づき、前記クライアントが前記ストレージサーバにアクセス
するために用いられ、前記アクセス権の情報に関連付けられたディレクトリの情報を生成する生成手段と、前記ディレクトリの情報を前記クライアントに送信する送信手段と、を有することを特徴とする。
本発明によれば、ストレージサーバを含む複数のサーバを有するシステムにおいて、クライアントに対してストレージサーバに対する適切なアクセス権を設定することが出来る。
第1実施形態における情報処理システムの構成を示す図 第1実施形態における情報処理装置のハードウェア構成を示す図 システム全体の処理フローを示す図 第1実施形態における認証認可サーバ102が保持する管理テーブルの例 取得要求および応答の具体的な例を示す図 アクセス権を仲介するサーバの構成を示す図 ストレージアクセス範囲管理テーブルを示す図 ストレージアクセス権取得の要求の処理フローを示す図 認可トークンの情報の例を示す図 ストレージアクセス範囲決定の処理フローを示す図 第2実施形態におけるアクセス権を仲介するサーバの構成を示す図 第2実施形態におけるストレージアクセス権の管理テーブルを示す図 第2実施形態におけるストレージアクセス権の取得要求の処理フロー 第2実施形態におけるアクセス権の仲介サーバの構成を示す図 第3実施形態におけるストレージアクセス範囲の設定変更要求の処理フロー 第3実施形態におけるストレージアクセス範囲の設定の変更要求の例を示す図
以下、添付の図面を参照して、本実施形態について詳細に説明する。なお、以下の実施形態において示す構成は一例に過ぎず、本発明は図示された構成に限定されるものではない。
(第1実施形態)
図1を用いて、本実施形態における情報処理システムの構成について説明する。
本実施形態における情報処理システムは、クライアント101、認証認可サーバ102、アクセス権仲介サーバ103、ストレージアクセス権発行サーバ104、ストレージサーバ105から構成される。
クライアント101は、ネットワーク106を介して、認証認可サーバ102、アクセス権仲介サーバ103、およびストレージサーバ105との通信が可能となっている。また、認証認可サーバ102、アクセス権仲介サーバ103、ストレージアクセス権発行サーバ104同士も、ネットワーク106を介して相互に通信可能になっている。
クライアント101は、ストレージサーバ105に対して、ファイルのアップロードやダウンロード等のファイルに関する操作を行う情報処理装置である。ストレージサーバ105に対して操作を行う際には、まず、クライアント101は、認証認可サーバ102から認可トークンを取得する。認可トークンとは、ウェブサーバなどのサービスを提供するサーバへのアクセス権やアクセス範囲を示すものである。クライアント101は、認可トークンを取得することによって、各サーバにアクセスすることが可能になる。認可トークン取得後、クライアント101は、アクセス権仲介サーバ103を利用して、認可トークンに対応したストレージサーバ105に対するアクセス権を取得する。
認証認可サーバ102は、IDやパスワードなどの認証および認可に関するデータを保持し、クライアント101に対して前述の認可トークンを発行するサーバである。本実施形態では、認証認可サーバ102はOAuth2.0の認可プロトコルに準拠したものを想定しているが、OpenID Connetのような他の認可プロトコルに準拠したものでも良い。認証認可サーバ102は、前述のウェブサーバに対して認可トークンの対応情報を提供する機能も有する。認可トークンの対応情報とは、認可トークンの有効期限や認可トークンの権限の範囲を示す情報である。ウェブサーバは、クライアント101が有する認可トークンの正当性を確認するために、認証認可サーバ102から認可トークンの対応情報を取得することがある。
アクセス権仲介サーバ103は、発行された認可トークンに基づいて、ストレージサーバ105に対するアクセス権およびアクセス範囲をストレージアクセス権発行サーバ104から取得するサーバである。アクセス権仲介サーバ103は、認証認可サーバ102が発行した認可トークンとストレージサーバ105に対するアクセス権の権限の対応関係を示す情報を保持する。
ストレージアクセス権発行サーバ104は、ストレージサーバ105に対するアクセス権およびアクセス範囲(ストレージアクセス権)を発行・管理する管理サーバである。ストレージアクセス権の発行は、アクセス権仲介サーバ103からの取得要求に基づき行われる。発行されるアクセス範囲としては、読み出しや書き込みなどの操作や、操作を許可するファイルパスなどが設定される。
ストレージサーバ105は、ファイルなどのデータの保管及び管理を行うサーバである。ストレージサーバ105は、クライアント101からストレージアクセス権が送信されると、送信されたストレージアクセス権の検証を行う。検証の結果、ストレージアクセス権が正当である場合、クライアント101からの要求に応答して、保管しているファイルへのアクセスを許可する。
尚、本実施形態では、システム内の通信プロトコルとして、HTTP(Hypertext Transfer Protocol)を想定しているが、HTTP以外の通信プロトコルを用いても良い。更に、システム内において複数種類の通信プロトコルを用いても良い。
また、図1では、クライアント101、認証認可サーバ102、アクセス権仲介サーバ103、ストレージアクセス権発行サーバ104はそれぞれ1台ずつとしている。しかしながら、それぞれの台数を1台に限る必要はない。また、図1では、認証認可サーバ102、アクセス権仲介サーバ103、ストレージアクセス権発行サーバ104はそれぞれ別のサーバとしている。しかしながら、これらのサーバが持つ機能をひとつのサーバに統一してもよい。一例として、認証認可サーバ102とアクセス権仲介サーバ103の機能を同一のサーバに持たせる構成としても良い。
次に、図2を用いて、本実施形態における情報処理装置のハードウェア構成を説明する。本実施形態における情報処理装置とは、クライアント101、認証認可サーバ102、アクセス権仲介サーバ103、ストレージアクセス権発行サーバ104などである。図示の通り、CPU(Central Processing Unit)201、ROM(Read Only Memory)202、RAM(Random Access Memory)203などをハードウェア構成として備えている。更に、NET I/F(Netowork Interface)204、表示装置205、入力装置206、バス207なども備えている。
CPU201は、バス207に接続された各装置の制御を行う処理装置である。CPU201は、クライアント101、認証認可サーバ102、アクセス権仲介サーバ103、ストレージアクセス権発行サーバ104において後述の各種処理を実行する。ROM202は、コンピュータの基本制御を行うオペレーティングシステムや動作プログラムなどが格納される記憶媒体である。RAM203は、CPU201のワークメモリとして、動作プログラム自身や動作プログラムに必要なデータが格納される記憶媒体である。CPU201は、ROM202に格納されている各種コンピュータプログラムをRAM203に格納し、各種コンピュータプログラムを実行する。
NET I/F204は、ネットワークを介して接続される外部装置との情報のやり取りを制御するためのインターフェースである。NET I/F204を通して、クライアント101、認証認可サーバ102、アクセス権仲介サーバ103、ストレージアクセス権発行サーバ104それぞれはデータの送受信を行う。表示装置205は、CPU201の処理結果を表示するため装置であり、液晶ディスプレイや有機ELディスプレイなどにより構成される。
入力装置206は、ユーザからの入力を物理的に受け付けるための装置であり、キーボードやマウスまたはタッチパネルにより構成される。なお、タッチパネル搭載のディスプレイの場合は、表示装置205と入力装置206は一体の構成となる。また、NET I/F204を通して外部装置の表示装置205及び入力装置206を利用することが可能であり、その場合は表示装置205及び入力装置206を持たない構成となる。
次に、図3を用いて、本実施形態においてクライアント101がストレージサーバ105にダイレクトにアクセスする際の具体的な処理フローを説明する。図3の処理フローは、ストレージサーバ105にアクセスする際の処理の一例として、ファイルのアップロードを挙げたものである。内、ファイルのダウンロードなどの別の操作を行う場合でもあっても、図3と同様の処理フローとなる。
(ステップS301)
ステップS301は、クライアント101が、認証認可サーバ102に対して認可トークン取得の要求を行い、認証認可サーバ102から認可トークンを取得するステップである。取得の要求の際には、認証認可サーバ102に対して認証情報が送付され、認証認可サーバ102は、認証情報に応じた認可トークンを付与する。
認可トークンの取得要求およびその応答(認可トークン)は、認可トークン発行処理の種類ごとに異なる形式や値となる。図5(a)および図5(b)は、認可トークン取得要求およびその応答の具体的な例を示す図である。
図5(a)は、OAuth2.0におけるClient Credentials Grantの認可トークン発行処理に従った認可トークン取得要求の例になる。Authorizationヘッダには、認可トークンの発行に必要な認証情報が付加されている。図の例では、Basic認証によって、クライアントのクライアントIDとクライアントシークレットが送信されるようになっている。また、認可トークンのスコープがリクエストのボディに付加されている。更に、認可トークン発行処理の種類の識別子が、grant_typeとしてリクエストのボディに付加されている。
尚、図5(a)で認可トークン発行処理の種類は、Client Credentials Grantになっているが、Client Credentials Grant以外を用いても良い。
Client Credentials Grant以外の認可フローを用いる場合には、認可トークンの発行がユーザに承認された際に発行する認可コードと呼ばれる情報などが追加で必要になる。
図5(b)は、図5(a)の認可トークンの取得要求に対する応答(認可トークン)の例である。レスポンスボディに含まれるaccess_tokenが認可トークンの値を示している。また、token_typeは認可トークンの種類を指し、expires_inは認可トークンが無効になるまでの残り時間を指す。
図5(b)では、expires_inの時間単位は秒としているが、秒以外の単位を用いても良い。尚、応答には、上述以外の属性情報を含ませても良い。
認可トークンの発行の際には、認証認可サーバ102は図4に示す管理テーブルを利用する。図示の通り、図4(a)の認可クライアント管理テーブル400には、クライアントを認証するための情報であるクライアントID401及びクライアントシークレット402と、スコープ403とが関連付けられて記録されている。よって、認証認可サーバ102は、クライアント管理テーブル400を参照することによって、認可トークンの取得要求が正当なものであるか否かを確認することが出来る。認証認可サーバ102は、認可トークンの取得要求の認証情報とクライアント管理テーブル400に登録されている認証情報とが一致した場合、取得要求が正当なものであると見なす。そして、認証情報に基づくスコープ403の中から認可トークンの取得要求に含まれるスコープを取得し、認可トークンを生成する。尚、認証情報のクライアントシークレット402は平文ではなく暗号化して保存しても良い。また、認証情報がユーザIDおよびパスワードである場合は、ユーザID501とパスワード502とが関連付けられて記録されているユーザ管理テーブル500を参照する。
一方、管理テーブル400には、デフォルトスコープ404が含まれている。デフォルトスコープ404は、認可トークン取得の要求にスコープが含まれていなかった場合に利用する。すなわち、認可トークン取得の要求にスコープが含まれていなかった場合、スコープ403ではなく、デフォルトスコープ404を使った認可トークンを生成する。スコープ403およびデフォルトスコープ404は複数指定することが可能である。
認証認可サーバ102によって認可トークンが生成されると、生成された認可トークンの情報が認可トークン管理テーブル600に登録される。認可トークン管理テーブル600には、認可トークン601ごとに有効期限602、スコープ603、認可トークン601を発行した認可クライアントのクライアントID604が記録されている。なお、有効期限602を超過した認可トークン601は認可トークン管理テーブル600から削除しても良い。また、認可トークン取得要求にユーザのユーザID605の情報が含まれていた場合は、ユーザID605を合わせて保管する。
上述の認可トークン取得要求はユーザの認証情報との認可クライアントの認証情報の両方を含んでも良い。さらに、認可クライアントの認証情報とユーザの認証情報を段階的に送信しても良い。例えば、ユーザの認証情報を最初に送信し、ユーザの認証情報が正当である場合にのみ認可クライアントの認証情報を続けて送信しても良い。
(ステップS302)
ステップS302では、クライアント101はステップS301で取得した認可トークンをアクセス権仲介サーバ103に送信し、ストレージサーバ105にアクセスするためのアクセス権を取得する。尚、本ステップにおけるアクセス権仲介サーバ103の処理のフローについては後述する。
(ステップS303)
ステップS303では、アクセス権仲介サーバ103はクライアント101が送信した認可トークンに応じたストレージサーバ105のアクセス権をストレージアクセス権発行サーバ104から取得する。
図5(c)および図5(d)は、ストレージアクセス権取得の要求とその応答の具体的な例を示したものである。図5(c)は、アクセス権仲介サーバ103がストレージアクセス権発行サーバ104に送信するストレージアクセス権取得の要求の例である。Authorizationヘッダに含まれる文字列は、ステップS301で取得された認可トークンに含まれる文字列と同じものである。
図5(d)は、図5(c)のストレージアクセス権取得の要求に対する応答の例である。ストレージアクセス権は、storage_credentialとして応答に含まれる。尚、ストレージサーバ105の種類や規格によってストレージアクセス権の形式は異なるため、storage_credentialに含まれる属性はストレージサーバ105の種類や規格に合わせて変更する必要がある。例えば、ストレージサーバ105へのアクセス権がIDとパスワードとの組み合わせで設定される場合は、storage_credentialにはIDとパスワードとが含まれる。また、図5(d)のexpirationに登録されているように、ストレージアクセス権の有効期限を設定しても良い。尚、上記の図5(c)および図5(d)では、ストレージアクセス権取得の要求およびその応答はjson形式で記述されているが、XMLのような他の形式で記述されても良い。
(ステップS304)
ステップS304では、クライアント101はステップS202で取得したストレージアクセス権を用いてストレージサーバ105にアクセスし、各種ファイル操作を行う。当該アクセス権には、ストレージサーバ105のストレージ内のアクセス可能なファイルパス情報などが含まれている。図3の例では、ファイルのアップロードが実行されている。アップロードが成功した場合には、アップロードが成功したことを示すレスポンスがストレージサーバ105からクライアント101に送信される。
次に、図6を用いて、本実施形態におけるアクセス権仲介サーバ103の機能の構成例について説明する。アクセス権仲介サーバ103は、前述の通り、ストレージアクセス権発行サーバ104にストレージアクセス権取得の要求を行い、その応答をクライアント101に送信する。
ストレージアクセス権管理部1101は、クライアント101から送信された認可トークンを基に、ストレージアクセス権取得部1102を用いてストレージアクセス権をストレージアクセス権発行サーバ104から取得する。そして、ストレージアクセス権発行サーバ104から取得したストレージアクセス権をクライアント101に送信する。ストレージアクセス権管理部1101は、受信した認可トークンの情報を認可トークン情報取得部1103によって取得する。また、ストレージアクセス権管理部1101は、ストレージアクセス範囲決定部1104を用いて、発行するストレージアクセス権の権限の範囲を決定する。
ストレージアクセス範囲保管部1106は、ストレージアクセス範囲の設定情報を保管する。図7は、本実施形態におけるストレージアクセス範囲管理テーブル1200である。
ストレージアクセス範囲管理テーブル1200は、ストレージアクセス範囲保管部1106が保持し、ストレージアクセス権の管理を行う。図示の通り、ストレージアクセス範囲管理テーブル1200は、認可トークンのスコープに対応したストレージの権限の範囲を記述したものである。ストレージアクセス範囲管理テーブル1200は、認可トークンに対応するクライアントID1201に関連付けられたスコープ1202を持つ。また、スコープ1202に対応したストレージサーバ105のアクセス範囲として操作1203とファイルパス1204が関連付けられている。操作1203はストレージサーバ105に対する操作を示したものである。操作の名称は、ストレージサーバ105によって定義されている。例えば、READはストレージサーバ105に対する読み込み、WRITEはストレージサーバ105対する書き込みを示すものとする。なお、操作1203に設定する文字列とストレージサーバ105対する操作の対応付けを別途管理し、操作1203をアクセス権仲介サーバ103が定義する独自の文字列としても良い。
ファイルパス1204には、アクセスを許可するストレージサーバ105のファイルパスが記入されている。尚、ファイルパス1204には、ストレージサーバ105のディレクトリやファイル名を設定することが可能である。更に、ファイルパス1204には設定値として2種類の変数を使用できる。2種類の変数の1つ目は、認可トークンに関連付けられた情報を示すものであり、${token.属性名}の形式で表現される。そして、2種類の変数の2つ目は、ストレージアクセス権発行要求に含まれる任意に指定可能な情報を示すものであり、${param.パラメータ名}の形式で表現される。この2種類の変数を用いることにより、認証認可サーバ102が発行した認可トークンの情報とストレージアクセス権取得時に任意に指定可能な情報を組み合わせてストレージサーバ105上のパスを設定できる。例えば、ファイルパス1204の上位部に認可トークンに関連付けられた情報を指定し、下位部にストレージアクセス権発行要求に含まれる任意に指定可能な情報を指定することが可能である。この指定の方法では、アクセスできるストレージサーバ105の上位のパスが認証認可サーバ102によって管理される情報に基づいて決定されるため、ストレージアクセス権を取得するクライアントがアクセスするパスを限定できる。これにより、クライアントが特定のパス以下にしかアクセスできない状況となるため、ストレージサーバ105に対するアクセス権を最低限必要なものに制限できる。さらに、ストレージサーバ105のパスの下位部はリクエスト時に指定可能な任意な値であるため、特定のフォルダ内で処理に応じた細かなパスの制御が可能となる。
なお、スコープ1202及び操作1203及びファイルパス1204は複数の値を指定可能である。また、2種類の変数の形式はあくまで一例であり、それぞれの変数が区別できる形式であれば良い。また、ストレージアクセス範囲管理テーブル1200はストレージアクセス権の有効期限1205を持つ。有効期限1205はストレージアクセス権を発行した時点からのストレージアクセス権が有効である期間を秒の単位で表したものである。なお、有効期限1205は秒以外の単位でも良いし、期間ではなく特定の日付を指定してもよい。また、ストレージアクセス権を利用できるクライアント101のIPアドレスをさらに指定しても良い。なお、IPアドレスはサブネットの情報を含むCIDR(Classless Inter−Domain Routing)形式で指定しても良い。
さらに、ストレージアクセス範囲管理テーブル1200はクライアントID1201を持ち、認可クライアントごとに設定情報を分けて管理することが可能である。これにより、スコープ1202値が同じであっても異なるストレージサーバ105の権限を認可クライアントごとに設定することが可能である。
通信部1107は、クライアント101からネットワーク106を介したストレージアクセス権発行要求を受信する。ストレージアクセス権発行要求を受信した場合はストレージアクセス権管理部1101に通知する。また、通信部1107は、受信したストレージアクセス権発行要求に対する応答をクライアント101に送信する。さらに、通信部1107を用いて認証認可サーバ102やストレージアクセス権発行サーバ104にアクセスする。
図8を用いて、ストレージアクセス権取得の要求を受信した際のストレージアクセス権管理部1101によって行われる処理のフローについて説明する。図8の一連の処理は、図3のステップS302で、クライアント101からストレージアクセス権取得の要求が行われた後の処理になる。各ステップは、図6によって示された各機能で行われるが、実体としては、CPU201が、ROM202に格納されている各種コンピュータプログラムをRAM203に格納し、各種コンピュータプログラムを実行することによって実現される。
ステップS1301は、通信部1107から送信されたストレージアクセス権取得の要求をストレージアクセス権管理部1101が受信するステップである。ストレージアクセス権取得の要求には、認証認可サーバ102が発行した認可トークンが含まれている。ストレージアクセス権取得の要求は、前述の通り、図5(c)のようになる。
ステップS1302は、認可トークン情報取得部1103がストレージアクセス権取得の要求に含まれる認可トークンの情報を取得するステップである。認可トークン情報取得部1103は、認証認可サーバ102に認可トークンの情報の取得要求を送信し、その返信として認可トークンの情報を取得する。認可トークンの情報には、認可トークンの有効期限や認可トークンの権限の範囲が含まれる。また、認可トークンの情報には、認可トークンを発行した認可クライアントのクライアントIDや認可トークンの発行を許可したユーザのユーザIDが含まれる。尚、認可トークンの情報の取得要求には認可トークンの値が少なくとも含まれる。
認証認可サーバ102は、認可トークンの情報の取得要求を受信した場合、認可トークン管理テーブル600を参照して、認可トークンの情報の取得要求に含まれる認可トークンが存在するか否かを確認する。認可トークン管理テーブル600に対象の認可トークンが存在しなかった場合は、認可トークンが存在しない旨の応答を送信する。また、認可トークン管理テーブル600に対象の認可トークンが存在した場合であっても、認可トークンの有効期限602が超過している場合は、有効期限切れを示す応答を送信する。認可トークン管理テーブル600に対象の認可トークンが存在し、かつ、有効期限602内の場合は、認可トークン管理テーブル600に保管されている認可トークン601の情報を送信する。図9は、認証認可サーバ102が提供する認可トークンの情報の例を示したものである。尚、アクセス権仲介サーバ103が認可トークンの有効期限のチェックを行う機能を有している場合、認可トークンの有効期限602が超過している場合であっても、認証認可サーバ102は認可トークン601の情報を送信するようにしても良い。
ステップS1303は、ストレージアクセス権管理部1101が受信した認可トークンが正当か否かの判定を行うステップである。認可トークン情報取得部1103が認証認可サーバ102から認可トークン情報が正常に取得できた場合には認可トークンが正当であると判定する。一方、認可トークン情報が正常に取得できない場合は認可トークンが正当でないと判定する。認可トークン情報が正常に取得できない場合とは、認可トークンの有効期限が切れている場合や認可トークン管理テーブル600に登録されていない認可トークンを送信された場合である。
ステップS1304は、認可トークンが正当ではないか否かの判定に基づき処理を分岐させるステップである。ステップS1303で認可トークンが正当であると判定された場合は、ステップS1305に処理を進める。認可トークンが正当でないと判定された場合、ステップS1310に処理を進める。
ステップS1305は、発行するストレージアクセス権の権限の範囲をストレージアクセス範囲決定部1104が決定するステップである。尚、本ステップの処理内容の詳細については後述する。
ステップS1306は、ストレージアクセス範囲決定部1104が、ステップS1305で決定したストレージアクセス権の権限の範囲が正当かどうかの判定を行うステップである。ストレージアクセス権の権限の範囲が正当かどうかの判定は権限範囲ポリシーに基づいて行われる。権限範囲ポリシーの例として、特定のファイルパスへのアクセス権を持っている場合にストレージアクセス権として正当でないと判断させるものがある。また、ストレージアクセス範囲管理テーブル1200のファイルパス1204に定義された変数が置換されていない場合に、ストレージアクセス権として正当でないと判断させるものもある。なお、権限範囲ポリシーは、アクセス権仲介サーバ103全体に適用するものとしても良いし、ストレージアクセス範囲管理テーブル1200におけるクライアントID1201ごとに適用するものとしても良い。なお、ストレージアクセス権の権限の範囲が正当かどうかの判定を行うか否かを、ストレージアクセス範囲決定部1104に対する設定によって切り替えられるものとしても良い。
本ステップにおいて、ストレージアクセス範囲決定部1104が発行するストレージアクセス権の権限が正当であると判定された場合、ステップS1307に処理を進める。一方、ストレージアクセス範囲決定部1104が発行するストレージアクセス権の権限が正当ではないと判定された場合、前述のステップS1310に処理を進める。
ステップS1307は、ストレージアクセス権取得部1102が、ストレージアクセス権発行サーバ104からストレージアクセス権を取得するステップである。ストレージアクセス権取得部1102は、ストレージアクセス権発行サーバ104が備えるストレージアクセス権の発行機能により、ストレージアクセス権を取得する。ストレージアクセス権取得部はストレージアクセス権の取得結果をストレージアクセス権管理部1101に通知する。
ステップS1308は、ストレージアクセス権が正常に取得できたか否かを判定するステップである。ストレージアクセス権が正常に取得できた場合、ステップS1309に処理を進める。一方、ストレージアクセス権が正常に取得できなかった場合、前述のS1310に処理を進める。
ステップS1309は、ストレージアクセス権管理部1101がクライアント101に対して、ステップS1307で取得されたストレージアクセス権を送信するステップである。
ステップS1310は、ストレージアクセス権管理部1101がクライアント101にエラー応答を送信するステップである。本ステップで送信するエラー応答には、エラーの原因として認可トークンが正当でないことを含めても良い。また、エラーの原因としてストレージアクセス権の権限の範囲が正しくないことや、エラーの原因としてストレージアクセス権発行サーバ104からストレージアクセス権が取得できなかったことを含めても良い。ステップS1309もしくはステップS1310の処理の後、本フローにおける処理は終了する。
次に、図10を用いて、前述のステップS1305にて行われるストレージアクセス権の権限の決定の処理のフローについて説明する。各ステップは、実体としては、CPU201が、ROM202に格納されている各種コンピュータプログラムをRAM203に格納し、各種コンピュータプログラムを実行することによって実現される。
ステップS1501は、ストレージアクセス範囲管理テーブル1200から、ストレージアクセス権の権限に関する情報を取得するステップである。本ステップでは、ステップS1302で取得した認可トークン情報に含まれるクライアントIDとスコープを基に対応する操作1203及びファイルパス1204及び有効期限1205を取得する。取得の際には、ストレージアクセス範囲管理テーブル1200が参照される。
尚、クライアント101から送信されるストレージアクセス権の取得の要求において、認可トークンに含まれるスコープのうち、どのスコープに対してストレージアクセス権を取得するかを指定しても良い。その場合、本ステップにおいて、認可トークンに含まれるスコープの中で、ストレージアクセス権の取得の要求で指定されたスコープを用いてストレージアクセス範囲管理テーブル1200からストレージアクセス権の権限に関する情報を取得しても良い。
ステップS1502は、ストレージアクセス範囲管理テーブル1200に該当するクライアントID401及びスコープ403が存在するか否かを判定するステップである。該当するクライアントID401及びスコープ403が存在すると判定された場合、ステップS1503に処理を進める。一方、存在しないと判定された場合、ステップS1506に処理を進める。
ステップS1503は、ステップS1501で取得したファイルパス1204に変数が含まれているか否かを判定するステップである。ステップS1501で取得したファイルパス1204が変数を含む場合には、ステップS1504に処理を進める。一方、変数を含まないと判定された場合は、ステップS1505に処理を進める。
ステップS1504は、テップS1302で取得した認可トークン情報に基づいて変数を置換するステップである。本ステップでは、ファイルパス1204に含まれる変数に対応する認可トークン情報を使って変数を置換する。図7のクライアントID1201がClient001でスコープ1202がuploadの場合かつ、図9の認可トークン情報が取得された場合を例に取る。この場合、ファイルパス1204に含まれる${token.client_id}はclient001に置換されることになる。これは、図9の認可トークン情報にclient_idとしてclient001が含まれているからである。同様に、ストレージアクセス権取得の要求に含まれる値に基づいて、ファイルパス1204の${param.time}は20140930に置換される。そして、${param.name}はimage001.jpgに置換されることになる。したがって、置換結果のファイルパス1204は、/client001/20140930/image001.jpgとなる。
ステップS1505は、ストレージアクセス権の有効期限を決定するステップである。本ステップでは、ステップS1501で取得した有効期限1205に基づいて、現在時刻から有効期限1205だけ経過した日時をストレージアクセス権の有効期限とする。
ステップS1506は、クライアント101にエラーの応答を送信するステップである。ステップS1506で送信するエラー応答には、エラーの原因としてストレージアクセス範囲管理テーブル1200に該当するクライアントID401及びスコープ403が存在しなかったことを含めても良い。なお、本ステップではエラー応答をするものとしたが、必要な設定が存在しなかった場合に使用するデフォルトの設定をストレージアクセス範囲管理テーブル1200に登録しておき、デフォルトの設定を用いてストレージアクセス権の権限としても良い。ステップS1505もしくはステップS1506の処理の終了後、全体処理を終了させる。
以上のように、本実施形態のアクセス権仲介サーバ103によれば、認証認可サーバ102が発行した認可トークンに基づいたストレージサーバ105のアクセス権の仲介を行うことが出来る。仲介を行うことによって、認証認可サーバ102は、ストレージサーバ105に対するアクセス権の権限の範囲を制御でき、適切な権限を持ったストレージサーバ105のアクセス権の発行が行うことが出来る。更に、クライアント101の処理に応じたストレージサーバ105のアクセス権を発行することも可能なため、クライアント101に必要最低限のアクセス権を与えられ、過剰な権限を与えることを回避できる。
(第2実施形態)
第1実施形態では、アクセス権仲介サーバ103が、ストレージアクセス権取得の要求を受信した際にストレージアクセス権を毎回取得する例を示した。本実施形態では、アクセス権仲介サーバがストレージアクセス権を一時的にキャッシュする。尚、本実施形態は、第1実施形態と同様の構成を含むため、以下では、第1実施形態との差分について説明する。
図11は、本実施形態におけるアクセス権仲介サーバ103の機能の構成例を示したものである。本実施形態におけるアクセス権仲介サーバ103は、ストレージアクセス権保管手段1601を持ち、ストレージアクセス権発行サーバ104から取得したストレージアクセス権を一時的に保管する。ストレージアクセス権保管手段1601は、図12に示すストレージアクセス権管理テーブル1700を持ち、ストレージアアクセス権を取得した認可クライアントやスコープごとにストレージアクセス権を保管する。
図示の通り、ストレージアクセス権管理テーブル1700は、取得したストレージアクセス権の管理を行うためのものである。ストレージアクセス権管理テーブル1700は、認可トークンに対応するクライアントID1701に関連付けられたスコープ1702を持つ。また、スコープ1702に対応したストレージサーバ105のアクセス範囲として操作1703とファイルパス1704が関連付けられている。さらに、ストレージアクセス権1705とその有効期限1705が関連付けられている。有効期限1705はストレージアクセス権1706が無効になる日時を示したものである。尚、ストレージアクセス権1705は平文ではなく暗号化して保存しても良い。また、有効期限1705はアクセス権仲介サーバ103やクライアント101が使用するタイムゾーンに合わせた日時で保存しても良い。
図13を用いて、ストレージアクセス権取得の要求を受信した際のストレージアクセス権管理部1101によって行われる処理のフローについて説明する。図13の処理は、各処理は第1実施形態の図8の処理とほぼ同じであるため、異なる点のみ説明する。
尚、各ステップは、実体としては、CPU201が、ROM202に格納されている各種コンピュータプログラムをRAM203に格納し、各種コンピュータプログラムを実行することによって実現される。
ステップS1801は、取得対象のストレージアクセス権に相当するストレージアクセス権がすでに取得されているかどうかをストレージアクセス権保管手段1601に問い合わせるステップである。問い合わせの際には、ストレージアクセス権保管手段1601は、以下の確認を行う。すなわち、取得対象のストレージアクセス権の認可クライアントのクライアントIDとスコープと操作とファイルパスが一致するストレージアクセス権がストレージアクセス権管理テーブル1700に存在するか否かである。そして、該当のストレージアクセス権が存在した場合は、有効期限の確認を行う。ストレージアクセス権が有効期限内であれば、ストレージアクセス権は取得済みとし、ストレージアクセス権の値をストレージアクセス権取得部に返却する。なお、該当のストレージアクセス権が有効期限内であっても、有効期限が切れるまでに一定以上の期間がある場合のみ取得済みと判断しても良い。上記の処理後、すでに取得されている場合、ステップS1309に処理を進める。一方、すでに取得されていない場合、ステップS1307に処理を進める。
ステップS1802は、取得されたストレージアクセス権をストレージアクセス権保管手段1601で保存するステップである。取得されたストレージアクセス権は、ストレージアクセス権管理テーブル1700にキャッシュとして記録され、同じストレージアクセス権の取得要求があった場合、ストレージアクセス権管理テーブル1700を参照して取得することが可能になる。
以上のように、本実施形態のアクセス権仲介サーバによれば、ストレージアクセス権発行サーバ104からストレージアクセス権を毎回取得する必要が無くなる。これにより、図13の処理完了までの時間が短縮できるため、クライアント101にストレージアクセス権取得の要求に対する応答を高速に返却できることが出来る。
(第3実施形態)
本実施形態では、アクセス権仲介サーバ103がストレージアクセス範囲変更要求を受け付けた際の処理を示すものである。
図14は、本実施形態におけるアクセス権仲介サーバ103の機能構成の例である。本実施形態におけるアクセス権仲介サーバ103は、ストレージアクセス範囲管理部1401を持つ。ストレージアクセス範囲管理部1401は、ストレージアクセス範囲設定情報 1106に格納される情報の追加、削除、更新の処理を行う。通信部1107は、ストレージアクセス範囲変更要求を受信し、受信したストレージアクセス範囲変更要求をストレージアクセス範囲管理部1401に通知する。ストレージアクセス範囲管理部1401は、ストレージアクセス範囲変更要求に基づいてストレージアクセス範囲管理テーブル1200が持つ情報を変更する。
図15は、本実施形態におけるストレージアクセス範囲変更要求を受信した際のストレージアクセス範囲管理部1401によって行われる処理のフローである。
各ステップは、実体としては、CPU201が、ROM202に格納されている各種コンピュータプログラムをRAM203に格納し、各種コンピュータプログラムを実行することによって実現される。
ステップS1901は、通信部1107から送信されたストレージアクセス範囲の変更要求を受信するステップである。ストレージアクセス範囲の変更要求には、認証認可サーバ102が発行した認可トークン及びストレージアクセス範囲の変更内容が含まれている。
図16は、ストレージアクセス範囲の修正を行う場合のストレージアクセス範囲の変更要求の例である。ストレージアクセス範囲の変更要求は、ストレージアクセス範囲管理テーブル1200が持つ情報に対応した属性を持っている。尚、ストレージアクセス範囲の変更要求はストレージアクセス範囲管理テーブル1200が持つ項目の全てを含んでいても良いし、変更が必要な属性のみを含んでもいても良い。
ステップS1902は、ストレージアクセス範囲変更要求に含まれる認可トークンの情報を取得するステップである。認可トークン情報取得部1103は、認証認可サーバ102に認可トークン情報取得要求を送信し、認可トークンの情報を取得する。認可トークン情報取得要求には認可トークンの値を含む。
ステップS1903は、ステップS1902で取得された認可トークンが正当かどうかの検証を行うステップである。検証の結果を受けて、ステップS1904では、認可トークンは正当であるか否かを判定する。ステップS1902において認可トークン情報が正常に取得できなかった場合、認可トークンは正当でないと判定する。また、認可トークン情報が正常に取得できた場合に、認可トークン情報が含む認可クライアントのクライアントIDおよびスコープと、ストレージアクセス範囲変更要求に含まれるクライアントIDおよびスコープが一致するか確認を行う。一致した場合は、認可トークンが正当であると判断する。正当であると判定された場合は、ステップS1905に処理を進める。一方、一致しない場合は、ストレージアクセス範囲変更要求を送信した認可クライアントとは異なる認可クライアントの設定を変更しようとしているとみなせるため、認可トークンは正当でないと判定する。認可トークンが正当でないと判定された場合は、ステップS1906に処理を進める。
ステップS1905は、受信したストレージアクセス範囲変更要求の情報を用いて、ストレージアクセス範囲管理テーブル1200の該当の認可クライアントかつスコープの情報を変更するステップである。ステップS1906は、クライアント101にエラーの応答を返却するである。ステップS1905もしくはステップS1906の処理後、全体処理を終了させる。
なお、図15の処理では既存の設定を更新する例を示したが、設定の削除や新規作成も可能である。設定の削除を行う場合には、例えば、図16のHTTPの動詞部分をDELETEにすれば良く、新規作成の場合には、HTTPの動詞部分をPOSTにすれば良い。
また、ストレージアクセス範囲の変更要求には認可トークンが含まれるものとしたが、代替えとしてユーザIDとパスワードでの認証結果を示す情報を送信しても良い。更に、ユーザが属する特定のユーザグループのみにストレージアクセス範囲の変更ができる権限を与えてもよい。
以上のように、本実施形態のアクセス権仲介サーバによれば、ユーザがストレージアクセス範囲管理テーブル1200にて管理されるストレージアクセス範囲の設定情報を変更できる。これにより、ストレージサーバ105に対するアクセス権の権限の設定を必要に応じて変更できるため、ストレージサーバ105に対するアクセス権の権限を適切な範囲で運用できる。
尚、ストレージアクセス範囲管理テーブル1200の設定の変更の際には、ストレージアクセス範囲管理テーブル1200の設定を変更できるユーザかどうかのチェックを行う。よって、正当でないユーザによるストレージアクセス範囲管理テーブル1200の設定改竄は困難になる。
(その他の実施例)
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサーがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
本発明は上記実施の形態に制限されるものではなく、本発明の精神及び範囲から離脱することなく、様々な変更及び変形が可能である。従って、本発明の範囲を公にするために以下の請求項を添付する。
1102 ストレージアクセス権取得部
1103 認可トークン情報取得部
1104 ストレージアクセス範囲決定部
1107 通信部

Claims (9)

  1. ストレージサーバと、当該ストレージサーバと異なり、サービスを提供するウェブサーバとにアクセスするクライアントと通信可能な情報処理装置であって、
    前記クライアントから、前記クライアントが前記ウェブサーバにアクセスし、前記サービスを受けるために用いられるアクセス権の情報を受信する受信手段と、
    前記アクセス権の情報を受信した後、前記クライアントが前記ストレージサーバにアクセスするために用いられ、前記アクセス権の情報に関連付けられたディレクトリの情報を生成する生成手段と、
    前記ディレクトリの情報を前記クライアントに送信する送信手段と、
    を有することを特徴とする情報処理装置。
  2. 前記アクセス権の情報には、
    前記クライアントのクライアントID、アクセス権の有効期限を示す情報の少なくともいずれか1つが含まれていることを特徴とする請求項1に記載の情報処理装置。
  3. 前記ディレクトリの情報には、
    前記ストレージサーバに対して行うことが可能な操作内容についての情報が含まれていることを特徴とする請求項1もしくは2のいずれか1項に記載の情報処理装置。
  4. 前記生成手段は、前記ストレージサーバに対するアクセス権を管理する管理サーバに前記アクセス権の情報に基づく問い合わせを行い、当該問い合わせに対する応答に基づき前記ディレクトリの情報を生成することを特徴とする請求項1乃至3のいずれか1項に記載の情報処理装置。
  5. 前記アクセス権の情報と前記ディレクトリの情報との対応情報を保持する保持手段を更に有し、
    前記生成手段は、前記対応情報を参照することによって、前記ディレクトリの情報を生成することを特徴とする請求項1乃至4のいずれ1項に記載の情報処理装置。
  6. 前記クライアントから前記ディレクトリの情報を変更する変更要求を受ける第2の受信手段を更に有し、
    前記生成手段は、前記変更要求に基づき前記対応情報を変更して、前記クライアントが前記ストレージサーバにアクセスするために用いられるディレクトリの情報を生成することを特徴とする請求項5に記載の情報処理装置。
  7. ストレージサーバと、
    当該ストレージサーバと異なり、サービスを提供するウェブサーバと、
    前記ストレージサーバと前記ウェブサーバにアクセスするクライアントと、
    前記クライアントと通信可能な情報処理装置とから構成される情報処理システムであって、
    前記情報処理装置は、
    前記クライアントから、前記クライアントが前記ウェブサーバにアクセスし、前記サービスを受けるために用いられるアクセス権の情報を受信する受信手段と、
    前記アクセス権の情報を受信した後、前記クライアントが前記ストレージサーバにアクセスするために用いられ、前記アクセス権の情報に関連付けられたディレクトリの情報を生成する生成手段と、
    前記ディレクトリの情報を前記クライアントに送信する送信手段と、を有することを特徴とする情報処理システム。
  8. ストレージサーバと、当該ストレージサーバと異なり、サービスを提供するウェブサーバとにアクセスするクライアントと通信可能な情報処理装置の制御方法であって、
    受信手段が、前記クライアントから、前記クライアントが前記ウェブサーバにアクセスし、前記サービスを受けるために用いられるアクセス権の情報を受信する受信工程と、
    生成手段が、前記アクセス権の情報を受信した後、前記クライアントが前記ストレージサーバにアクセスするために用いられ、前記アクセス権の情報に関連付けられたディレクトリの情報を生成する生成工程と、
    送信手段が、前記ディレクトリの情報を前記クライアントに送信する送信工程と、を有することを特徴とする制御方法。
  9. コンピュータを、
    ストレージサーバと、当該ストレージサーバと異なり、サービスを提供するウェブサーバとにアクセスするクライアントと通信可能な情報処理装置であって、
    前記クライアントから、前記クライアントが前記ウェブサーバにアクセスし、前記サービスを受けるために用いられるアクセス権の情報を受信する受信手段と、
    前記アクセス権の情報を受信した後、前記クライアントが前記ストレージサーバにアクセスするために用いられ、前記アクセス権の情報に関連付けられたディレクトリの情報を生成する生成手段と、
    前記ディレクトリの情報を前記クライアントに送信する送信手段と、を有することを特徴とする情報処理装置として機能させるためのコンピュータプログラム。
JP2018200265A 2018-10-24 2018-10-24 情報処理装置、情報処理装置の制御方法、情報処理システム、およびコンピュータプログラム Active JP6708719B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018200265A JP6708719B2 (ja) 2018-10-24 2018-10-24 情報処理装置、情報処理装置の制御方法、情報処理システム、およびコンピュータプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018200265A JP6708719B2 (ja) 2018-10-24 2018-10-24 情報処理装置、情報処理装置の制御方法、情報処理システム、およびコンピュータプログラム

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2016563322A Division JP6425738B2 (ja) 2014-12-09 2014-12-09 情報処理装置、情報処理装置の制御方法、情報処理システム、およびコンピュータプログラム

Publications (2)

Publication Number Publication Date
JP2019036347A JP2019036347A (ja) 2019-03-07
JP6708719B2 true JP6708719B2 (ja) 2020-06-10

Family

ID=65637556

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018200265A Active JP6708719B2 (ja) 2018-10-24 2018-10-24 情報処理装置、情報処理装置の制御方法、情報処理システム、およびコンピュータプログラム

Country Status (1)

Country Link
JP (1) JP6708719B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115314326A (zh) * 2022-10-11 2022-11-08 中化现代农业有限公司 一种基于微信小程序实现单点登录的方法和系统

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6718328B1 (en) * 2000-02-28 2004-04-06 Akamai Technologies, Inc. System and method for providing controlled and secured access to network resources
JP2004110335A (ja) * 2002-09-18 2004-04-08 Fuji Electric Systems Co Ltd アクセス制御システム
JP2006128873A (ja) * 2004-10-27 2006-05-18 Matsushita Electric Ind Co Ltd Url認証システム及びurl認証方法
JP4792251B2 (ja) * 2005-07-22 2011-10-12 ソフトバンクテレコム株式会社 ネットワークストレージアクセス用端末及びそれを用いた遠隔データ蓄積システム
JP6044299B2 (ja) * 2012-11-26 2016-12-14 富士通株式会社 データ参照システムおよびアプリケーション認証方法

Also Published As

Publication number Publication date
JP2019036347A (ja) 2019-03-07

Similar Documents

Publication Publication Date Title
JP6425738B2 (ja) 情報処理装置、情報処理装置の制御方法、情報処理システム、およびコンピュータプログラム
KR102219008B1 (ko) 데이터 공유 방법, 클라이언트, 서버, 컴퓨팅 장치 및 저장 매체
US11122028B2 (en) Control method for authentication/authorization server, resource server, and authentication/authorization system
JP4838610B2 (ja) 文書管理装置、文書管理方法、プログラム
US9311469B2 (en) Authorization server system, control method thereof, and non-transitory computer-readable medium
CN110138718B (zh) 信息处理系统及其控制方法
US7912916B2 (en) Resolving conflicts while synchronizing configuration information among multiple clients
JP6066647B2 (ja) デバイス装置、その制御方法、およびそのプログラム
CN106856475B (zh) 授权服务器以及认证协作系统
JP6124687B2 (ja) 画像形成装置、サーバー装置、情報処理方法及びプログラム
US20120089710A1 (en) Synchronizing Configuration Information Among Multiple Clients
US9916308B2 (en) Information processing system, document managing server, document managing method, and storage medium
US20140304324A1 (en) Content management apparatus, content management method, and program
JP2011076377A (ja) 端末装置及び端末装置におけるアクセス制御ポリシー取得方法
JP2018092446A (ja) 認証認可システム及び情報処理装置と認証認可方法とプログラム
JP2005209181A (ja) ファイル管理システム及び管理方法
JP6708719B2 (ja) 情報処理装置、情報処理装置の制御方法、情報処理システム、およびコンピュータプログラム
JP2020030759A (ja) 権限委譲システム、情報処理装置およびその制御方法、並びにプログラム。
JP4879364B2 (ja) 情報処理装置、情報処理方法、及びコンピュータプログラム
JP7129231B2 (ja) 情報処理システム、およびその制御方法
RU2718970C1 (ru) Устройство обработки информации, способ управления для устройства обработки информации, система обработки информации и компьютерная программа
JP2014142732A (ja) 権限委譲システム
JP2019200515A (ja) 情報処理装置、情報処理方法、およびコンピュータプログラム
JP2016057737A (ja) サービス提供システム及びこれに用いる管理サーバー及び管理方法
JP7021550B2 (ja) アクセス管理装置、アクセス管理システム及びプログラム

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181121

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181121

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190828

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190903

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191105

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200421

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200521

R151 Written notification of patent or utility model registration

Ref document number: 6708719

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151