JP7213838B2 - 承認支援装置、認証システム、承認支援方法及び承認支援プログラム - Google Patents
承認支援装置、認証システム、承認支援方法及び承認支援プログラム Download PDFInfo
- Publication number
- JP7213838B2 JP7213838B2 JP2020034102A JP2020034102A JP7213838B2 JP 7213838 B2 JP7213838 B2 JP 7213838B2 JP 2020034102 A JP2020034102 A JP 2020034102A JP 2020034102 A JP2020034102 A JP 2020034102A JP 7213838 B2 JP7213838 B2 JP 7213838B2
- Authority
- JP
- Japan
- Prior art keywords
- range
- approval
- authority
- user
- numerical
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
・組織を木構造の人のデータとして保持し、
・木構造の一部を特権グループとして保持し、
・権限毎に、木構造の人を特定の階層まで辿る承認経路と、特権グループによる承認の要否とを組み合わせた承認フローを一つ以上保持し、
・権限の要求時に、指定した承認フローを辿る全ての人の承認を得る、
ことにより、権限を付与している。
そして、承認フローを確認しなければ、これまでにどのような確認がなされてきたのかを把握できない。これまでの確認事項を把握できない状態で承認を行うには、承認者が全項目を確認しなければならないため、承認業務の分担を目指す認証システムの価値が低減してしまう。さらに、承認者は、自分が最終承認者である場合には、承認直後に権限が付与されてしまうため、必要な確認が全て行われてきたことを把握する必要がある。
本発明は、承認フローの各段階において、承認者が確認事項の範囲を視覚的に容易に把握できる承認支援装置、認証システム、承認支援方法及び承認支援プログラムを提供することを目的とする。
本実施形態の認証システムは、実行する機能に必要な権限、及び各ユーザが有する権限の範囲を数値範囲により管理し、承認者が承認を行う際に、既に承認された範囲と、これから承認する範囲とを示すプログレスバーを表示する。
また、6階層の組織において、緊急扱いで上がってきた自分の下で1度しか承認されていない承認依頼は、2階層の組織から上がってきた承認依頼に表示されるプログレスバーと同じ範囲が塗りつぶされることになるが、実際には異なる注意を払わなければならないことが多い。
認証システム1は、1又は複数の情報処理装置(コンピュータ)により構成され、権限管理部100と、権限付与部200と、表示制御部300とを備える。
数値範囲は、例えば、2つの数値により表現され、範囲の大きさにより権限の大きさが表現される。
具体的には、表示制御部300は、例えば、図形としてのプログレスバーの長さで数値範囲を示すが、図形はこれには限られない。例えば、円グラフの面積等で数値範囲が示されてもよい。
プログレスバーは、全体数値範囲のうち、一つ又は複数の数値範囲を表示するためのユーザインタフェースであり、例えば、横長の長方形、あるいは端部に円形の意匠、グラデーション等が施された図形が用いられる。
数値範囲の和は、権限付与部200により計算されたものが第2取得部320に提供されてもよいが、第2取得部320が承認者毎の数値範囲に基づいて和を計算してもよい。
また、第3取得部330は、ユーザの権限の範囲としての数値範囲に含まれ、このユーザが通常の承認操作により付与する権限の範囲を示す基本承認範囲をさらに取得してもよい。
具体的には、例えば、承認支援装置としての承認者の端末がプログレスバーの画像を生成して画面表示する。あるいは、承認者の端末が承認支援装置の提示部340から表示データを受信して画面表示してもよい。
認証システム1では複数の承認フローは区別されず、承認者は、必要とする権限の範囲をプログレスバーの長さにより視覚的に把握できる。例えば、承認者は、現時点までに承認を行った他の承認者によりどのような確認が行われたかを、プログレスバー上の「既に承認された範囲」により視覚的に把握できる。また、「これから承認する範囲」がプログレスバーの右端まで達しているか否かにより、最終承認であるか否かが判断できる。
プログレスバーは、その長さにより「必要な承認の量」が示され、この全体の長さが「既に承認された範囲」A、「これから承認する範囲」B及び「残存承認範囲」Cに色分けされる。
また、「既に承認された範囲」と「これから承認する範囲」との位置関係により、例えば、(b1)では次に自分が承認すること、(b2)では他の承認後に自分が承認することが分かる。
また、「これから承認する範囲」の長さと「残存承認範囲」の長さとの関係により、例えば、(c1)と(c2)とを比較すると、(c2)の方がより多くの注意を払う必要があることが分かる。さらに、(c3)では、最終承認者としての注意が必要となる。
これにより、承認者は、例えば、全ての承認可能な案件の中から「これから承認する範囲」に基づいて、同一の注意を払えばよい案件群、及び通常と異なる特殊な承認が必要な案件を視認できる。さらに、「これから承認する範囲」の長さ等によりソートを行うことにより、さらに視認性の向上が期待できる。
ここでは、権限データに示す承認権限と基本承認範囲とを持つ承認者に対して提示される承認案件の一覧を例示している。
具体的には、案件5,12,6がこれに該当し、基本承認範囲を承認する案件が最優先で表示される。
具体的には、案件3,1がこれに該当し、基本承認範囲を超えて、既に承認された範囲に連続した範囲を承認可能な案件が優先して表示される。
具体的には、案件6がこれに該当し、例えば、背景色が区別されて表示される。
このとき、例えば、社長の権限を用いて即時に承認を完了させたい案件等、特定の種類の案件を探し出すことが可能となる。また、既に承認された範囲とこれから承認する範囲とが離れているような案件を前もって承認しておくといった利用も可能となる。
このとき、選択部350は、前述の基本承認範囲を承認範囲の初期値としてよい。
この例では、全体承認範囲が0~1であり、既に承認された範囲が0~0.4である。
ここで、これから承認者が承認できる範囲は、承認者の権限に対応する数値範囲のうち未承認の範囲0.4~0.9である。
また、承認範囲の始点から終点までがドラッグ等により指定されてもよい。あるいは、デフォルトの承認範囲である基本承認範囲の始点又は終点を、承認可能範囲の中でドラッグ等により移動することにより、承認範囲が指定されてもよい。
図6は、第1実装例におけるサービス提供システム1Aの構成を示す図である。
このとき、ユーザAの権限がAPIを実行するには不足する場合、例えば、他のユーザBの承認が必要である場合、ユーザAは、ユーザBに対して承認要求を行い、ユーザBは、認証装置10からユーザBの権限に相当する承認トークンを取得してユーザAに送信する。
そして、ユーザAは、認可トークン及び承認トークンを伴ってサービス提供装置20が提供するAPIを実行する。
従来のトークンは、
{id:“A”,scope:“canSendMail”}+署名
のように、スコープに文字列が設定されたものである。
これに対して、本実装例では、完全な実行権限を持たないユーザAには、0~1の全数値範囲のうちの一部の数値範囲(例えば、0~0.5)が権限として設定され、認可トークンは、
{id:“A”,scope:[“canSendMail”,0,0.5]}+署名
のように、2つの数値(0,0.5)がスコープに付与された形式となる。
{id:“B”,scope:[“canSendMail”,0.5,1]}+署名
のように残りの権限(数値範囲0.5~1)を有している場合、まず、ユーザAが実行案データ{メールデータ}をユーザBに送信し、ユーザBは、自分が有する認可トークンから実行対象(plan)を制限した、
{id:“B”,scope:[“canSendMail”,0.5,1],plan:{メールデータ}}+署名
のような承認トークンを認証装置10から取得する。
認証装置10は、サーバ装置等の情報処理装置(コンピュータ)であり、制御部11及び記憶部12の他、各種データの入出力デバイス及び通信デバイス等を備える。
また、各機能を実行するために必要な権限データとして、機能毎にスコープの文字列と数値範囲とが同様に記憶される。
・係長の権限を持つユーザは、メールを送信できる。
・社員の権限を持つユーザは、メールの送信内容について係長の承認がある場合にのみ、メールを送信できる。
・全ての社員又は係長は、自らを差出人とするメールしか送信できない。
という条件に対しては、次のように権限設定される。
・メールを送信するAPIに対して、[“canSendMail”,[0.5,1]]
・係長Bに対して、[“canSendMail”,0,1]
・社員Aに対して、[“canSendMail”,0,0.5]
権限データに含まれる2つの数値は、数値範囲を示すものであり、例えば、数値範囲の始点及び終点であってよいが、これには限られず、始点と範囲の大きさ、あるいは終点と範囲の大きさ等であってもよい。以下、2つの数値は、範囲の始点及び終点であるものとして説明する。例えば、0.1と0.5が与えられた場合、0.1~0.5の数値範囲を示す。
認証の方式は、例えば、パスワード認証、共通鍵認証、2段階認証、生体認証、OpenID Connectによる代理認証、他の認証システムから発行されたトークンによる認証等が適用可能であるが、これらには限られない。
{
id:“A”,
scope:[“canSendMail”,[0,0.5]]
},signature //認証装置10の署名
認証の方式は、認可トークン発行部112と同様の手法が適用可能であり、さらに、認可トークン発行部112により発行された認可トークンによる認証であってもよい。
{api:“sendmail”,from:“A”,title:“hello”,content:“hello world”} //実行案データ
[“canSendMail”,[0,0.5]] //権限データ
{
id:“B”,
scope:[“canSendMail”,[0,1]]
},signature //認証装置10の署名
であり、実行案データが提示されることで発行される承認トークンは、例えば、
{
id:“B”,
scope:[“canSendMail”,[0,1]]
plan:{api:“sendmail”,from:“A”,title:“hello”,content:“hello world”}
},signature //認証装置10の署名
と記述される。
・トークンのデータ中に権限データを含む。
・トークンの発行時に、データベース等により権限データと紐付け管理される。
本実装例では、トークンのデータ中に権限データを含むものとしている。
また、認可トークン及び承認トークンは、例えば次のような検証方法により、認証装置10により発行されたものであることが検証可能である。
・電子署名による検証
・トークンをデータベースと照合することによる検証
・トークンのハッシュ値をデータベースと照合することによる検証
・上記のいずれかを行うAPIを用いた検証
サービス提供装置20は、サーバ装置等の情報処理装置(コンピュータ)であり、制御部21及び記憶部22の他、各種データの入出力デバイス及び通信デバイス等を備える。
なお、所定の範囲とは、前述のように、機能(API)毎に権限データに設定された数値範囲(例えば、0~1)である。
このようなトークン群の数値範囲の足し合わせが機能(API)の権限データに設定された数値範囲を包含する場合、機能の利用が許可される。
この例では、社員Aが係長Bの承認を得てメールを送信するためのAPIを利用する場合を説明する。
ステップS3において、社員Aは、実行案データX及び権限データA1を、係長B(端末)に対して送信する。
ステップS5において、係長Bは、認証装置10から、実行案データX、及び係長Bに対して設定されている権限データB1に紐づいた承認トークンを取得する。
ステップS6において、係長Bは、承認トークンを社員Aに対して送信する。
この例では、ユーザAが複数のユーザU1~Unの承認を得て対象のAPIを利用する場合を説明する。
ステップS22において、ユーザAは、対象のAPIの実行に必要な実行案データXを生成する。
なお、ユーザU1~Unへのデータ送信は、一斉であってもよいが、ユーザAは、一部のユーザUxに先に送信し、後述の承認トークンが返却されるのを待って、返却された1つ以上の承認トークンと共に、権限データKd及び実行案データXを他のユーザUyへ送信してもよい。
ステップS25において、ユーザU1~Unは、それぞれが取得した承認トークンK1~KnをユーザAに対して送信する。
ステップS28において、サービス提供装置20は、付与された認可トークンK及び全ての承認トークンK1~Knの正当性を検証し、結果を確認する。
ステップS30において、サービス提供装置20は、付与された全ての承認トークンK1~Knに紐づけられた実行案データXを全て取得する。
この確認方法は、例えば、次の(1)~(3)のいずれかによる。
なお、電文の一部を利用する場合、電文のどの部分を実行案データXとして利用するのか(例えば、HTTPの場合におけるHTTP Requestデータ等)を、API毎又は全体として予め決めておくものとする。
なお、エンコードの方法は予め決めておくものとする。また、引数の一部を利用する場合、どの引数を確認対象とするのか(例えば、HTTPの場合におけるPATH、ヘッダ、QueryString、POSTDATA等)をAPI毎又は全体として予め決めておくものとする。このとき、実行案データXに指定する引数として、正規表現、ワイルドカード、数値範囲等を利用できるように予め決めておくことにより、サービス提供装置20は、指定された値と等しいことを確認する代わりに、正規表現、ワイルドカード、数値範囲等による照合を行ってもよい。
なお、サービス提供装置20は、他のシステムの権限管理と併用する場合、このステップにおいては、実行可と判断する代わりに、予めスコープに設定された範囲において実行可とし、他の権限の確認結果と合わせて実行可否を判断してもよい。
第1実装例では、承認者である第2のユーザに対して承認トークンが発行され、APIを実行する第1のユーザに提供された。これに対して、第2実装例では、認証装置10から第1のユーザに対して、直接、承認トークンが発行される。
なお、本実装例において、第1実装例と同様の構成については同一の符号を付し、説明を省略又は簡略化する。
認証装置10の制御部11は、権限管理部111と、認可トークン発行部112と、承認トークン発行部113aと、ユーザ決定部114とを備える。
第1実装例と比較して、承認トークン発行部113aが変更され、ユーザ決定部114が追加されている。
このとき、ユーザ決定部114は、例えば、条件を満たすために必要な最小限の数の第2のユーザを決定してもよいし、同一の数値範囲を承認可能な複数の第2のユーザを重複して決定してもよい。
また、ユーザ決定部14は、第1のユーザからの指定により第2のユーザを決定してもよい。
この例では、第1実装例(図9)と同様に、社員Aが係長Bの承認を得てメールを送信するためのAPIを利用する場合を説明する。
ステップS43において、社員Aは、実行案データX及び権限データA1を、認証装置10に対して送信する。
ステップS47において、係長Bは、認証装置10に対して、実行案データXを承認したことを通知する。
以降、サービス提供装置20は、第1実装例と同様の処理(ステップS8~S11)を行い、メール送信の機能を実行する。
例えば、1つのトークンを受け付ける既存の構成と互換性を持たせる場合、複数のトークンを配列として持つトークンがユーザからサービス提供装置20へ送信される構成であってもよい。この場合、トークンの配列が認証装置10に渡されて展開された後、認証装置10がスコープの数値範囲を確認して結果をサービス提供装置20に返信する。
100 権限管理部
200 権限付与部
300 表示制御部(承認支援装置)
310 第1取得部
320 第2取得部
330 第3取得部
340 提示部
350 選択部
Claims (12)
- 機能の実行に必要な権限の範囲を示す全体数値範囲を取得する第1取得部と、
1又は複数のユーザの承認操作に応じて既に承認された権限それぞれに対応する数値範囲の和を取得する第2取得部と、
ユーザ毎に設定された、当該ユーザの権限の範囲を示す数値範囲を取得する第3取得部と、
承認操作が行われる際に、前記全体数値範囲に対して、既に承認された権限に対応する数値範囲の和、及び当該承認操作を行うユーザの権限に対応する数値範囲を、相対的な割合を視認可能な図形により提示する提示部と、を備える承認支援装置。 - 前記提示部は、前記図形としてのプログレスバーの長さで数値範囲を示す請求項1に記載の承認支援装置。
- 前記提示部は、前記図形としての円グラフの面積で数値範囲を示す請求項1に記載の承認支援装置。
- 前記提示部は、承認を要する複数の機能について、前記図形を一覧表示させる請求項1から請求項3のいずれかに記載の承認支援装置。
- 前記第3取得部は、前記ユーザの権限の範囲としての数値範囲に含まれ、当該ユーザが通常の承認操作により付与する権限の範囲を示す基本承認範囲をさらに取得し、
前記提示部は、前記複数の機能のうち、前記基本承認範囲が前記数値範囲の和に連続する範囲を含む機能を優先して一覧表示させる請求項4に記載の承認支援装置。 - 前記提示部は、前記複数の機能のうち、前記ユーザの権限の範囲としての数値範囲が前記数値範囲の和に連続する範囲を含む機能を優先して一覧表示させる請求項4又は請求項5に記載の承認支援装置。
- 前記提示部は、前記複数の機能のうち、前記ユーザの権限の範囲としての数値範囲を足し合わせることで前記全体数値範囲を充足する機能を強調して表示させる請求項4から請求項6のいずれかに記載の承認支援装置。
- 前記ユーザの権限の範囲としての数値範囲のうち、いずれの範囲を承認するかを示す承認範囲の選択を受け付ける選択部を備える請求項1から請求項7のいずれかに記載の承認支援装置。
- 前記第3取得部は、前記ユーザの権限の範囲としての数値範囲に含まれ、当該ユーザが通常の承認操作により付与する権限の範囲を示す基本承認範囲をさらに取得し、
前記選択部は、前記基本承認範囲を前記承認範囲の初期値とする請求項8に記載の承認支援装置。 - ユーザ毎に、当該ユーザの権限の範囲を示す数値範囲が設定された権限データを管理する権限管理部と、
機能の実行に必要な権限の範囲を示す全体数値範囲に対して、1又は複数のユーザの承認操作に応じて、当該1又は複数のユーザそれぞれの権限に対応する数値範囲の和が前記全体数値範囲を充足した場合に、当該機能の実行権限を付与する権限付与部と、
前記承認操作の際に、前記全体数値範囲に対して、既に承認された権限に対応する数値範囲の和、及び当該承認操作を行うユーザの権限に対応する数値範囲を、相対的な割合を視認可能な図形により表示させる表示制御部と、を備える認証システム。 - 機能の実行に必要な権限の範囲を示す全体数値範囲を取得する第1取得ステップと、
1又は複数のユーザの承認操作に応じて既に承認された権限それぞれに対応する数値範囲の和を取得する第2取得ステップと、
ユーザ毎に設定された、当該ユーザの権限の範囲を示す数値範囲を取得する第3取得ステップと、
承認操作が行われる際に、前記全体数値範囲に対して、既に承認された権限に対応する数値範囲の和、及び当該承認操作を行うユーザの権限に対応する数値範囲を、相対的な割合を視認可能な図形データにより提示する提示ステップと、をコンピュータが実行する承認支援方法。 - 請求項1から請求項9のいずれかに記載の承認支援装置としてコンピュータを機能させるための承認支援プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020034102A JP7213838B2 (ja) | 2020-02-28 | 2020-02-28 | 承認支援装置、認証システム、承認支援方法及び承認支援プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020034102A JP7213838B2 (ja) | 2020-02-28 | 2020-02-28 | 承認支援装置、認証システム、承認支援方法及び承認支援プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2021135953A JP2021135953A (ja) | 2021-09-13 |
JP7213838B2 true JP7213838B2 (ja) | 2023-01-27 |
Family
ID=77661592
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020034102A Active JP7213838B2 (ja) | 2020-02-28 | 2020-02-28 | 承認支援装置、認証システム、承認支援方法及び承認支援プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7213838B2 (ja) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002109457A (ja) | 2000-09-22 | 2002-04-12 | Microsoft Corp | グラフィカルユーザインターフェース、それを使用する文書承認システムおよび方法 |
JP2002230241A (ja) | 2001-01-31 | 2002-08-16 | Shinko Securities Co Ltd | 人事管理システム、人事管理方法、及び記録媒体 |
JP2017182329A (ja) | 2016-03-29 | 2017-10-05 | 株式会社Nttドコモ | 情報処理装置、情報処理方法及びプログラム |
-
2020
- 2020-02-28 JP JP2020034102A patent/JP7213838B2/ja active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002109457A (ja) | 2000-09-22 | 2002-04-12 | Microsoft Corp | グラフィカルユーザインターフェース、それを使用する文書承認システムおよび方法 |
JP2002230241A (ja) | 2001-01-31 | 2002-08-16 | Shinko Securities Co Ltd | 人事管理システム、人事管理方法、及び記録媒体 |
JP2017182329A (ja) | 2016-03-29 | 2017-10-05 | 株式会社Nttドコモ | 情報処理装置、情報処理方法及びプログラム |
Also Published As
Publication number | Publication date |
---|---|
JP2021135953A (ja) | 2021-09-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10706168B2 (en) | Rights-based system | |
US7222107B2 (en) | Method for inter-enterprise role-based authorization | |
US8296821B2 (en) | System, server, and program for access right management | |
US7912971B1 (en) | System and method for user-centric authorization to access user-specific information | |
US8353018B2 (en) | Automatic local listing owner authentication system | |
US9203650B2 (en) | Information management system | |
JP5078257B2 (ja) | 属性情報提供サーバ、属性情報提供方法、およびプログラム | |
US8632003B2 (en) | Multiple persona information cards | |
US8914854B2 (en) | User credential verification indication in a virtual universe | |
US20050027713A1 (en) | Administrative reset of multiple passwords | |
JP5422753B1 (ja) | ポリシ管理システム、idプロバイダシステム及びポリシ評価装置 | |
KR20040093055A (ko) | 사용자 인증 방법 및 사용자 인증 시스템 | |
US20020062322A1 (en) | System for the automated carrying out of transactions by means of active identity management | |
Forget et al. | Choose your own authentication | |
JP2005503596A (ja) | リソース共有システムと方法 | |
JP2001118009A (ja) | 電子帳票の取得方法、電子帳票システム、電子帳票を取得するプログラムを格納した記憶媒体 | |
JP2010186250A (ja) | 分散情報アクセスシステム、分散情報アクセス方法及びプログラム | |
EP1209577A1 (en) | Web page browsing limiting method and server system | |
JP7213838B2 (ja) | 承認支援装置、認証システム、承認支援方法及び承認支援プログラム | |
JP6305005B2 (ja) | 認証サーバーシステム、制御方法、そのプログラム | |
JP2006004314A (ja) | 信用確立方法と信用に基づいたサービス制御システム | |
JP7179791B2 (ja) | サービス提供システム、認証装置、サービス提供装置、サービス提供方法、認証プログラム及びサービス提供プログラム | |
JP2023017196A (ja) | 認証装置および認証方法 | |
US20120240210A1 (en) | Service access control | |
US20130333047A1 (en) | Electronic communication security systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220208 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20221025 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20221108 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20221202 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20221220 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230117 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7213838 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |