特許法第30条第2項適用 平成30年7月13日にhttps://www.ntt-tx.co.jp/products/idoperation/news/20180713.htmlにて公開
以下、本発明の実施の形態(以降、「本実施形態」と表す。)について、図面を参照しながら詳細に説明する。本実施形態では、業務システムの複数のアカウントを同時に貸し出すためのワークフローを容易に行うことが可能なアカウント管理システム1について説明する。以降では、アカウントの貸し出し対象となる業務システムを構成するサーバ等のことを「ターゲット」とも表す。ワークフローにより貸し出されるアカウントは、このサーバ等にログインするためのログインID及びパスワードである。
ここで、アカウントには、業務システムの特権IDの他、一般IDも含まれる。一般IDとは、例えば一般権限を有するアカウントのことである。なお、アカウントは特権ID及び一般IDに限られず、例えば、管理者等により設定された種々の権限を有するIDが含まれていても良い。また、特権ID及び一般IDがそれぞれ有する権限についても業務システム等に応じて異なる。
以降では、特権IDや一般ID等の貸し出し対象となるIDをまとめて「アカウント」と表す。また、特権IDであることを表す場合は「特権アカウント」と表し、一般IDであることを表す場合は「一般アカウント」と表す。
<全体構成>
まず、本実施形態に係るアカウント管理システム1の全体構成について、図1を参照しながら説明する。図1は、本実施形態に係るアカウント管理システム1の全体構成の一例を示す図である。
図1に示すように、本実施形態に係るアカウント管理システム1は、アカウント管理装置10と、端末装置20と、ターゲット30とを有する。また、アカウント管理装置10と、端末装置20と、ターゲット30とはネットワークNを介して相互に通信可能に接続されている。ネットワークNは、例えばインターネットや社内LAN(Local Area Network)等の種々のネットワークである。
ターゲット30は、アカウントの貸し出し対象となる業務システムを構成するサーバ等のことである。業務システムとは、企業の業務活動に用いられる種々のコンピュータシステムのことである。なお、業務システムには、基幹システムと呼ばれるコンピュータシステムが含まれていても良い。業務システムとしては、例えば、勘定系システム、会計システム、情報系システム、販売管理システム、生産管理システム、在庫管理システム、経費精算システム、人事管理システム等が挙げられる。
ここで、1つの業務システムは1以上のサーバで構成されている。図1に示す例では、勘定系サーバ1号機等の複数のサーバで勘定系システムが構成されている場合を示している。この場合、勘定系サーバ1号機等がターゲット30である。一方で、会計システムは1つの会計サーバで構成されている。この場合、会計サーバがターゲット30である。なお、業務システムには、サーバ以外に、各種機器(例えばサーバ間を接続する中継装置等)が含まれていても良い。
端末装置20は、ワークフローの申請者、ワークフローの承認者又はアカウントの利用者のいずれかが利用する端末である。端末装置20としては、例えば、PC(パーソナルコンピュータ)、タブレット端末、スマートフォン等の種々の端末を用いることができる。なお、以降では、ワークフローの申請者(以降、「ワークフロー申請者」とも表す。)が利用する端末装置20を「申請者端末装置20」、ワークフローの承認者(以降、「ワークフロー承認者」とも表す。)が利用する端末装置20を「承認者端末装置20」、アカウントの利用者(以降、「アカウント利用者」とも表す。)が利用する端末装置20を「利用者端末装置20」とも表す。
アカウント管理装置10は、ターゲット30のアカウントを管理するコンピュータ又はコンピュータシステムである。アカウント管理装置10は、ワークフロー申請者によって申請されたワークフローがワークフロー承認者により承認されることで、当該ワークフローに指定されたアカウントをアカウント利用者に貸し出すことができる。このとき、ワークフロー申請者は、「申請プリセット」をワークフローに指定することで、複数のアカウント(例えば、十数個から数十個等の大量のアカウント)をワークフローに容易に指定することができる。「申請プリセット」とは、詳細は後述するが、1以上のアカウントが含まれる集合(又は1以上のアカウントを特定可能な情報)のことである。
アカウント利用者は、貸し出されたアカウントを用いて、利用者端末装置20によりターゲット30にアクセスし、例えば保守作業や開発作業等を行うことができるようになる。
ここで、本実施形態に係るアカウント管理装置10は、機能部として、申請処理部110と、貸出処理部120とを有する。これらの機能部は、アカウント管理装置10にインストールされた1以上のプログラムがCPU(Central Processing Unit)に実行させる処理により実現される。
また、本実施形態に係るアカウント管理装置10は、記憶部として、ユーザ情報記憶部210と、ターゲット情報記憶部220と、ワークフロー情報記憶部230と、申請プリセット情報記憶部240とを有する。これらの記憶部は、例えばHDD(Hard Disk Drive)やSSD(Solid State Drive)等の補助記憶装置を用いて実現可能である。
申請処理部110は、申請者端末装置20の操作に応じて、ターゲット30のアカウントを貸し出すためのワークフローの申請処理(以降、「アカウント貸出申請処理」とも表す。)を実行する。
貸出処理部120は、申請処理部110により申請されたワークフローが承認者端末装置20により承認された場合に、当該ワークフローに指定されたアカウントをアカウント利用者に貸し出すための処理(以降、「アカウント貸出処理」とも表す。)を実行する。
ユーザ情報記憶部210は、アカウント管理システム1のユーザ(すなわち、ワークフロー申請者、ワークフロー承認者及びアカウント利用者)に関する情報であるユーザ情報を記憶する。ターゲット情報記憶部220は、ターゲット30に関する情報であるターゲット情報を記憶する。ワークフロー情報記憶部230は、ワークフローに関する情報であるワークフロー情報を記憶する。申請プリセット情報記憶部240は、申請プリセットに関する情報である申請プリセット情報を記憶する。なお、ユーザ情報、ターゲット情報、ワークフロー情報及び申請プリセット情報の詳細については後述する。
<ユーザ情報>
ここで、ユーザ情報記憶部210に記憶されているユーザ情報について、図2を参照しながら説明する。図2は、ユーザ情報の一例を示す図である。
ユーザ情報は、図2(a)に示すユーザグループ情報と、図2(b)に示すユーザ識別情報と、図2(c)に示すユーザ所属グループ情報とで構成される。
図2(a)に示すユーザグループ情報には1以上のレコードが含まれ、これらの各レコードには、ユーザグループIDと、ユーザグループ名とが含まれる。ユーザグループIDは、ユーザグループ情報に含まれる各レコードを識別する識別子である。ユーザグループ名は、当該レコードが表すユーザグループの名称である。ユーザグループとは、1以上のユーザで構成されるグループのことである。
例えば、図2(a)では、ユーザグループID「001」のレコードには、ユーザグループ名「情報システム部申請者」が設定されている。同様に、ユーザグループID「002」のレコードには、ユーザグループ名「情報システム部承認者」が設定されている。同様に、ユーザグループID「003」のレコードには、ユーザグループ名「情報システム部利用者」が設定されている。
ここで、本実施形態では、ユーザグループ名「情報システム部申請者」のユーザグループはワークフロー申請者で構成されるユーザグループ、ユーザグループ名「情報システム部承認者」のユーザグループはワークフロー承認者で構成されるユーザグループ、ユーザグループ名「情報システム部利用者」のユーザグループはアカウント利用者で構成されるユーザグループであるものとする。なお、同一のユーザが複数のユーザグループに属していても良い。
図2(b)に示すユーザ識別情報には1以上のレコードが含まれ、これらの各レコードには、ユーザIDと、ユーザ名とが含まれる。ユーザIDは、ユーザ識別情報に含まれる各レコードを識別する識別子である。ユーザ名は、当該レコードが表すユーザの名称である。
例えば、図2(b)では、ユーザID「001」のレコードには、ユーザ名「品川 太郎」が設定されている。同様に、ユーザID「002」のレコードには、ユーザ名「桜木 花子」が設定される。同様に、ユーザID「003」のレコードには、ユーザ名「川崎 大輔」が設定されている。同様に、ユーザID「004」のレコードには、ユーザ名「横浜 次郎」が設定されている。
図2(c)に示すユーザ所属グループ情報には1以上のレコードが含まれ、これらの各レコードには、ユーザ所属グループIDと、ユーザグループIDと、ユーザIDとが含まれる。ユーザ所属グループIDは、ユーザ所属グループ情報に含まれる各レコードを識別する識別子である。ユーザグループIDは、ユーザグループを識別するユーザグループIDである。ユーザIDは、ユーザを識別するユーザIDである。
例えば、図2(c)では、ユーザ所属グループID「001」のレコードには、ユーザグループID「001」と、ユーザID「001」とが設定されている。同様に、ユーザグループID「002」のレコードには、ユーザグループID「001」と、ユーザID「002」とが設定されている。これは、ユーザグループ名「情報システム部申請者」のユーザグループには、ユーザ名「品川 太郎」のユーザと、ユーザ名「桜木 花子」のユーザとが含まれることを示している。
また、例えば、図2(c)では、ユーザ所属グループID「003」のレコードには、ユーザグループID「002」と、ユーザID「003」とが設定されている。これは、ユーザグループ名「情報システム部承認者」のユーザグループには、ユーザ名「川崎 大輔」のユーザが含まれることを示している。
また、例えば、図2(c)では、ユーザ所属グループID「004」のレコードには、ユーザグループID「003」と、ユーザID「003」とが設定されている。同様に、ユーザ所属グループID「005」のレコードには、ユーザグループID「003」と、ユーザID「004」とが設定されている。これは、ユーザグループ名「情報システム部利用者」のユーザグループには、ユーザ名「川崎 大輔」のユーザと、ユーザ名「横浜 次郎」のユーザとが含まれることを示している。
このように、ユーザ情報は、ユーザグループと、このユーザグループに含まれるユーザとを定義した情報である。このようなユーザ情報は、例えば、アカウント管理装置10の構築時に作成されると共に、人事異動や組織変更等のタイミングで更新又は再作成される。
<ターゲット情報>
次に、ターゲット情報記憶部220に記憶されているターゲット情報について、図3を参照しながら説明する。図3は、ターゲット情報の一例を示す図である。
ターゲット情報は、図3(a)に示すターゲットグループ情報と、図3(b)に示すターゲット識別情報と、図3(c)に示すアカウント管理情報とで構成される。
図3(a)に示すターゲットグループ情報には1以上のレコードが含まれ、これらの各レコードには、ターゲットグループIDと、ターゲットグループ名とが含まれる。ターゲットグループIDは、ターゲットグループ情報に含まれる各レコードを識別する識別子である。ターゲットグループ名は、当該レコードが表すターゲットグループの名称である。ターゲットグループとは、1以上のターゲット30で構成されるグループのことである。
例えば、図3(a)では、ターゲットグループID「001」のレコードには、ターゲットグループ名「勘定系システム」が設定されている。同様に、ターゲットグループID「002」のレコードには、ターゲットグループ名「会計システム」が設定されている。このように、1つのターゲットグループが1つの業務システムを表している。
図3(b)に示すターゲット識別情報には1以上のレコードが含まれ、これらの各レコードには、ターゲットIDと、ターゲット名と、ターゲットグループIDと、ターゲット種別とが含まれる。ターゲットIDは、ターゲット識別情報に含まれる各レコードを識別する識別子である。ターゲット名は、当該レコードが表すターゲット30の名称である。ターゲットグループIDは、当該レコードが表すターゲット30が属するターゲットグループのターゲットグループIDである。ターゲット種別は、当該レコードが表すターゲット30に搭載されたOS(Operating System)の種別である。
例えば、図3(b)では、ターゲットID「001」のレコードには、ターゲット名「勘定系サーバ1号機」と、ターゲットグループID「001」と、ターゲット種別「Windows(登録商標)」とが設定されている。これは、ターゲット名「勘定系サーバ1号機」のターゲット30は勘定系システムを構成するサーバであり、OSとしてWindowsが搭載されていることを示している。
同様に、例えば、図3(b)では、ターゲットID「004」のレコードには、ターゲット名「勘定系サーバ4号機」と、ターゲットグループID「001」と、ターゲット種別「Linux(登録商標)」とが設定されている。これは、ターゲット名「勘定系サーバ4号機」のターゲット30は勘定系システムを構成するサーバであり、OSとしてLinuxが搭載されていることを示している。
なお、ターゲット30に搭載されているOSの種別として、Windows又はLinuxは一例であって、これらに限られない。ターゲット30には任意のOSが搭載されていても良い。
図3(c)に示すアカウント管理情報には1以上のレコードが含まれ、これらの各レコードには、アカウントIDと、アカウント名と、ターゲットIDとが含まれる。アカウントIDは、アカウント管理情報に含まれる各レコードを識別する識別子である。アカウント名は、当該レコードが表すアカウントの名称(すなわち、ログインID)である。ターゲットIDは、当該レコードが表すアカウントでログイン可能なターゲット30のターゲットIDである。
例えば、図3(c)では、アカウントID「001」のレコードには、アカウント名「Administrator」と、ターゲットID「001」とが設定されている。これは、ターゲット名「勘定系サーバ1号機」のターゲット30は、特権アカウントとして、アカウント名「Administrator」のアカウントを有していることを示している。
また、例えば、図3(c)では、アカウントID「002」のレコードには、アカウント名「Operator」と、ターゲットID「001」とが設定されている。これは、ターゲット名「勘定系サーバ1号機」のターゲット30は、一般アカウントとして、アカウント名「Operator」のアカウントを有していることを示している。
同様に、例えば、図3(c)では、アカウントID「007」のレコードには、アカウント名「root」と、ターゲットID「004」とが設定されている。これは、ターゲット名「勘定系サーバ4号機」のターゲット30は、特権アカウントとして、アカウント名「root」のアカウントを有していることを示している。
このように、ターゲット情報には、業務システムと、この業務システムを構成するターゲット30とを定義すると共に、これらのターゲット30が有するアカウントの情報である。このようなターゲット情報は、例えば、業務システムの構築時に作成されると共に、業務システムを構成するターゲット30の変更やターゲット30が有するアカウントの変更等が生じたタイミングで更新又は再作成される。なお、図3(c)に示すアカウント管理情報の各レコードには、上述したターゲットID、ターゲット名、ターゲットグループID及びターゲット種別以外にも、例えば、アカウント名に対応するパスワード等が含まれる。
<ワークフロー情報>
次に、ワークフロー情報記憶部230に記憶されているワークフロー情報について、図4を参照しながら説明する。図4は、ワークフロー情報の一例を示す図である。
ワークフロー情報は、図4(a)に示すワークフロー識別情報と、図4(b)に示すワークフロー対象ユーザグループ情報と、図4(c)に示すワークフロー対象ターゲットグループ情報とで構成される。
図4(a)に示すワークフロー識別情報には1以上のレコードが含まれ、これらの各レコードには、ワークフローIDと、ワークフロー名とが含まれる。ワークフローIDは、ワークフロー識別情報に含まれる各レコードを識別する識別子である。ワークフロー名は、当該レコードが表すワークフローの名称である。
例えば、図4(a)では、ワークフローID「001」のレコードには、ワークフロー名「勘定系ワークフロー」が設定されている。同様に、ワークフローID「002」のレコードには、ワークフロー名「会計ワークフロー」が設定されている。
図4(b)に示すワークフロー対象ユーザグループ情報には1以上のレコードが含まれ、これらの各レコードには、ワークフロー対象ユーザグループIDと、ワークフローIDと、ユーザグループIDと、グループ種別とが含まれる。ワークフロー対象ユーザグループIDは、ワークフロー対象ユーザグループ情報に含まれる各レコードを識別する識別子である。ワークフローIDは、ワークフローを識別するワークフローIDである。ユーザグループIDは、ユーザグループを識別するユーザグループIDである。グループ種別は、当該ユーザグループIDのレコードが表すユーザグループの種別である。
例えば、図4(b)では、ワークフロー対象ユーザグループID「001」のレコードには、ワークフローID「001」と、ユーザグループID「001」と、グループ種別「申請者グループ」とが設定されている。これは、ワークフロー名「勘定系ワークフロー」のワークフローは、グループ名「情報システム部申請者」のユーザグループに属するユーザが申請可能であることを示している。
また、例えば、図4(b)では、ワークフロー対象ユーザグループID「002」のレコードには、ワークフローID「001」と、ユーザグループID「002」と、グループ種別「承認者グループ」とが設定されている。これは、ワークフロー名「勘定系ワークフロー」のワークフローは、グループ名「情報システム部承認者」のユーザグループに属するユーザが承認可能であることを示している。
同様に、例えば、図4(b)では、ワークフロー対象ユーザグループID「003」のレコードには、ワークフローID「001」と、ユーザグループID「003」と、グループ種別「利用者グループ」とが設定されている。これは、ワークフロー名「勘定系ワークフロー」のワークフローに指定されるアカウントの利用者として、グループ名「情報システム部利用者」のユーザグループに属するユーザを指定可能であることを示している。
図4(c)に示すワークフロー対象ターゲットグループ情報には1以上のレコードが含まれ、これらの各レコードには、ワークフロー対象ターゲットグループIDと、ワークフローIDと、ターゲットグループIDとが含まれる。ワークフロー対象ターゲットグループIDは、ワークフロー対象ターゲットグループ情報に含まれる各レコードを識別する識別子である。ワークフローIDは、ワークフローを識別するワークフローIDである。ターゲットグループIDは、ターゲットグループを識別するターゲットグループIDである。
例えば、図4(c)では、ワークフロー対象ターゲットグループID「001」のレコードには、ワークフローID「001」と、ターゲットグループID「001」とが設定されている。これは、ワークフロー名「勘定系ワークフロー」のワークフローは、ターゲットグループ名「勘定系システム」のアカウントの貸し出し申請が可能であることを示している。
また、例えば、図4(c)では、ワークフロー対象ターゲットグループID「002」のレコードには、ワークフローID「002」と、ターゲットグループID「002」とが設定されている。これは、ワークフロー名「会計ワークフロー」のワークフローは、ターゲットグループ名「会計システム」のアカウントの貸し出し申請が可能であることを示している。
このように、ワークフロー情報は、ワークフローを申請可能なユーザグループと、ワークフローを承認可能なユーザグループと、アカウントの利用者として指定可能なユーザグループとを定義すると共に、ワークフローに貸し出し対象のアカウントとして指定可能な業務システムを定義する情報である。このようなワークフロー情報は、例えば、ワークフローの管理者等のユーザによって適宜作成又は更新される。
<申請プリセット情報>
次に、申請プリセット情報記憶部240に記憶されている申請プリセット情報について、図5を参照しながら説明する。図5は、申請プリセット情報の一例を示す図である。
申請プリセット情報は、図5(a)に示す申請プリセット識別情報と、図5(b)に示す申請プリセット詳細情報と、図5(c)に示す申請プリセットターゲット情報とで構成される。
図5(a)に示す申請プリセット識別情報には1以上のレコードが含まれ、これらの各レコードには、申請プリセットIDと、ワークフローIDと、申請プリセット名とが含まれる。申請プリセットIDは、申請プリセット識別情報に含まれる各レコードを識別する識別子である。ワークフローIDは、ワークフローを識別するワークフローIDであり、当該レコードが表す申請プリセットと対応付けられたワークフローを示す。申請プリセット名は、当該レコードが表す申請プリセットの名称である。
例えば、図5(a)では、申請プリセットID「001」のレコードには、ワークフローID「001」と、申請プリセット名「全てのWindowsの特権アカウント」とが設定されている。同様に、図5(a)では、申請プリセットID「002」のレコードには、ワークフローID「001」と、申請プリセット名「1,2,4号機の一般アカウント」とが設定されている。これは、ワークフロー名「勘定系ワークフロー」のワークフローには、申請プリセット名「全てのWindowsの特権アカウント」の申請プリセットと、申請プリセット名「1,2,4号機の一般アカウント」の申請プリセットとの2つの申請プリセットが対応付けられていることを示している。この場合、ワークフロー名「勘定系ワークフロー」のワークフローに対して、一方又は両方の申請プリセットを指定することができる。
図5(b)に示す申請プリセット詳細情報には1以上のレコードが含まれ、これらの各レコードには、申請プリセット詳細IDと、申請プリセットIDと、ターゲット種別と、ターゲット選択フラグと、アカウント名とが含まれる。申請プリセット詳細IDは、申請プリセット詳細情報に含まれる各レコードを識別する識別子である。申請プリセットIDは、申請プリセットを識別する申請プリセットIDである。ターゲット種別は、当該レコードで指定されるターゲット30のターゲット種別(すなわち、当該ターゲット30のOSの種別)である。ターゲット選択フラグは、ターゲット30の指定方法を示すフラグである。アカウント名は、当該ターゲット30のアカウント名である。
例えば、図5(b)では、申請プリセット詳細ID「001」のレコードには、申請プリセットID「001」と、ターゲット種別「Windows」と、ターゲット選択フラグ「全て」と、アカウント名「Administrator」とが設定されている。これは、申請プリセットID「001」の申請プリセットには、該当の業務システム(すなわち、当該申請プリセットに対応付けられているワークフローのターゲットグループ。この場合、「勘定系システム」)を構成するターゲット30のうち、ターゲット種別が「Windows」であるターゲット30の特権アカウント(すなわち、アカウント名「Administrator」のアカウント)が含まれることを示している。
また、例えば、図5(b)では、申請プリセット詳細ID「002」のレコードには、申請プリセットID「002」と、ターゲット種別「Windows」と、ターゲット選択フラグ「ターゲット指定」と、アカウント名「Operator」とが設定されている。これは、申請プリセットID「002」の申請プリセットには、後述する申請プリセットターゲット情報で設定されたターゲット30(ターゲット種別「Windows」)の一般アカウント(すなわち、アカウント名「Operator」のアカウント)が含まれることを示している。
同様に、例えば、図5(b)では、申請プリセット詳細ID「003」のレコードには、申請プリセットID「002」と、ターゲット種別「Linux」と、ターゲット選択フラグ「ターゲット指定」と、アカウント名「Operator」とが設定されている。これは、申請プリセットID「002」の申請プリセットには、後述する申請プリセットターゲット情報で設定されたターゲット30(ターゲット種別「Linux」)の一般アカウント(すなわち、アカウント名「Operator」のアカウント)が含まれることを示している。
図5(c)に示す申請プリセットターゲット情報には1以上のレコードが含まれ、これらの各レコードには、申請プリセットターゲットIDと、申請プリセット詳細IDと、ターゲットIDとが含まれる。申請プリセットターゲットIDは、申請プリセットターゲット情報に含まれる各レコードを識別する識別子である。申請プリセット詳細IDは、申請プリセット詳細情報に含まれるレコードの申請プリセット詳細IDである。ターゲットIDは、ターゲット30のターゲットIDである。
例えば、図5(c)では、申請プリセットターゲットID「001」のレコードには、申請プリセット詳細ID「002」と、ターゲットID「001」とが設定されている。これは、申請プリセット詳細ID「002」に対応する申請プリセット(すなわち、申請プリセットID「002」の申請プリセット)には、ターゲットID「001」の勘定系サーバ1号機の一般アカウントが含まれることを示している。
同様に、例えば、図5(c)では、申請プリセットターゲットID「002」のレコードには、申請プリセット詳細ID「002」と、ターゲットID「002」とが設定されている。これは、申請プリセット詳細ID「002」に対応する申請プリセットには、ターゲットID「002」の勘定系サーバ2号機の一般アカウントが含まれることを示している。
また、例えば、図5(c)では、申請プリセットターゲットID「003」のレコードには、申請プリセット詳細ID「003」と、ターゲットID「004」とが設定されている。これは、申請プリセット詳細ID「003」に対応する申請プリセット(すなわち、申請プリセットID「002」の申請プリセット)には、ターゲットID「004」の勘定系サーバ4号機の一般アカウントが含まれることを示している。
このように、申請プリセット情報は、申請プリセットと対応付けられたワークフローのターゲットグループ(すなわち、業務システム)を構成するサーバのうちの1以上のサーバのアカウントを示す情報である。これにより、ワークフロー申請者は、申請プリセットをワークフローに指定することで、当該申請プリセットに含まれる1以上のアカウントを同時に指定することができるようになる。
ここで、申請プリセット詳細情報のターゲット選択フラグが「ターゲット指定」である場合は、申請プリセットターゲット情報で設定されたターゲット30のアカウントが申請プリセットに固定的に含まれる。すなわち、図5に示す例では、申請プリセット名「1,2,4号機の一般アカウント」の申請プリセットには、勘定系システムを構成する勘定系サーバのうちの「勘定系サーバ1号機」、「勘定系サーバ2号機」及び「勘定系サーバ4号機」の一般アカウントが含まれる。この場合、「勘定系サーバ1号機」、「勘定系サーバ2号機」及び「勘定系サーバ4号機」の一般アカウントがアカウント利用者に貸し出されることになる。
一方で、申請プリセット詳細情報のターゲット選択フラグが「全て」である場合、申請プリセットに含まれるアカウントは動的に変更され得る。すなわち、図5に示す例において、申請プリセット名「全てのWindowsの特権アカウント」の申請プリセットには、勘定系システムを構成する勘定系サーバのうちのOSがWindowsである勘定系サーバの特権アカウントが含まれる。したがって、アカウントの貸し出し時における勘定系システムの構成によって貸し出し対象のアカウントが動的に変更され得る。
例えば、アカウント貸し出し時における勘定系システムが、図3の通り、「勘定系サーバ1号機」、「勘定系サーバ2号機」、「勘定系サーバ3号機」及び「勘定系サーバ4号機」で構成されている場合、アカウント利用者に貸し出されるアカウントは、「勘定系サーバ1号機」、「勘定系サーバ2号機」及び「勘定系サーバ3号機」それぞれの特権アカウントである。これに対して、例えば、アカウント貸し出し時における勘定系システムが、「勘定系サーバ1号機」及び「勘定系サーバ2号機」及び「勘定系サーバ4号機」で構成されている場合(例えば、勘定系サーバ3号機が廃止になった場合)、アカウント利用者に貸し出されるアカウントは、「勘定系サーバ1号機」及び「勘定系サーバ2号機」それぞれの特権アカウントである。一方で、勘定系システムを構成する勘定系サーバが増加した場合は、アカウント利用者に貸し出されるアカウントが増加され得る。
このように、ターゲット選択フラグが「全て」である場合、アカウント貸し出し時の業務システムの構成に応じて、アカウント利用者に貸し出されるアカウントが動的に変更され得る。ただし、このような動的な変更を除外するようにしても良い。すなわち、ターゲット選択フラグが「全て」である場合は、ワークフローの申請時又は承認時における業務システムの構成に応じて、申請プリセットに含まれるアカウントを固定的に決定しても良い。
<アカウント貸出申請処理>
次に、アカウント貸出申請処理の流れについて、図6を参照しながら説明する。図6は、アカウント貸出申請処理の流れの一例を説明するための図である。
まず、申請処理部110は、申請者端末装置20の操作に応じて、当該申請者端末装置20に対して、例えば図7に示すワークフロー選択画面G100を表示させる(ステップS101)。ワークフロー申請者は、例えば、アカウント貸出申請を行うためのWebアプリケーション等における操作によって、図7に示すワークフロー選択画面G100を表示させることができる。
図7に示すワークフロー選択画面G100はワークフローを選択するための画面である。ワークフロー申請者は、図7に示すワークフロー選択画面G100において、ワークフロー選択欄G101から所望のワークフローを選択した上で、選択ボタンG102を押下する。これにより、ワークフローの選択操作が行われる。ここで、ワークフロー選択欄G101には、ワークフロー情報に含まれるワークフロー識別情報のワークフロー名が選択可能に表示される。
申請処理部110は、ワークフロー選択操作が行われると、例えば図8に示すアカウント貸出申請画面G200を当該申請者端末装置20に表示させる(ステップS102)。
図8に示すアカウント貸出申請画面G200は、図7に示すワークフロー選択画面G100で選択されたワークフローによってアカウント貸出申請を行うための画面である。図8に示すアカウント貸出申請画面G200では、ワークフロー申請者のユーザ名が申請者欄G201に表示され、当該ワークフロー申請者により選択されたワークフローのワークフロー名がワークフロー表示欄G202に表示される。この他、申請日時や申請番号等も表示される。
図8に示すアカウント貸出申請画面G200において、ワークフロー申請者は、申請名や利用期間、利用目的、作業内容等を入力すると共に、貸出アカウントを指定して、申請ボタンG203を押下することで、アカウント貸出申請操作を行うことができる。なお、申請名や利用目的、作業内容には、任意の申請名や利用目的、作業内容を入力することができる。利用期間はアカウントが貸し出される期間のことであり、任意の期間を指定することができる。また、ワークフローに添付されるファイル(例えば、アカウント貸出申請に必要な申請書等の電子ファイル)を選択することもできる。
ここで、申請プリセットを指定することで、貸出アカウントを指定する場合、ワークフロー申請者は、「申請プリセットから追加」ボタンG204を押下して、例えば図9に示す申請プリセット選択画面G300を申請者端末装置20に表示させる。
図9に示す申請プリセット選択画面G300は、申請プリセットを選択するための画面である。ワークフロー申請者は、図9に示す申請プリセット選択画面G300において、利用者欄G301から所望の利用者(すなわち、アカウント利用者)を選択すると共に、申請プリセット選択欄G302から申請プリセットを選択した上で、選択ボタンG303を押下する。これにより、申請プリセット及び利用者の選択操作が行われる。ここで、申請プリセット選択欄G302には、申請プリセット情報に含まれる申請プリセット識別情報の申請プリセット名が選択可能に表示される。
なお、図9に示す申請プリセット選択画面G300において、表示条件が指定されても良い。表示条件として「全て」が指定された場合、申請プリセット選択欄G302には、ワークフロー申請者が選択したワークフローに対応付けられた全ての申請プリセットが表示される。一方で、表示条件として「自分のみ」が指定された場合、これらの全ての申請プリセットのうち、当該ワークフロー申請者の作成した申請プリセットのみが表示される。また、表示条件として「共有のみ」が指定された場合、これらの全ての申請プリセットのうち、当該ワークフロー申請者又は他のユーザが作成した申請プリセットであって、「他の申請者と共有する」旨が設定されている申請プリセットのみが表示される。
ワークフロー申請者により申請プリセット及利用者の選択操作が行われた場合、図8に示すアカウント貸出申請画面G200の貸出アカウント表示欄G205には、選択したアカウント利用者及び申請プリセットが「利用者」及び「利用対象」として表示される。図8に示す例では、利用者「川崎 大輔」及び利用対象「1,2,4号機の一般アカウント」と、利用者「横浜 次郎」及び利用対象「全てのWindowsの特権アカウント」とが表示されている場合を示している。これにより、利用者「川崎 大輔」をアカウント利用者とした申請プリセット名「1,2,4号機の一般アカウント」の申請プリセットと、利用者「横浜 次郎」をアカウント利用者とした申請プリセット名「全てのWindowsの特権アカウント」の申請プリセットとを指定したアカウント貸出申請を行なうことができるようになる。
なお、貸出アカウント表示欄G205において、ワークフロー申請者は、例えば、「利用対象」を押下する操作を行うことで、該当の申請プリセットに含まれるアカウントの一覧を表示することができる。例えば、利用対象「1,2,4号機の一般アカウント」を押下する操作を行うことで、申請プリセット名「1,2,4号機の一般アカウント」の申請プリセットに含まれるアカウント(すなわち、この場合、「勘定系1号機サーバ」の一般アカウント、「勘定系2号機サーバ」の一般アカウント及び「勘定系4号機サーバ」の一般アカウント)を表示することができる。
なお、ワークフロー申請者は、「貸出アカウントを追加」ボタンG206を押下することで、申請プリセットを用いずに、アカウント利用者と、貸し出し対象のアカウントとを個別に指定することができる。この場合も指定されたアカウント利用者とアカウントとが貸出アカウント表示欄G205に表示される。
申請処理部110は、アカウント貸出申請操作が行われると、図8に示すアカウント貸出申請画面G200で指定された内容で、ワークフローによるアカウント貸出申請を行う(ステップS103)。すなわち、このワークフローがワークフロー承認者に通知又は送信され、承認者端末装置20で承認可能となる。なお、ワークフロー承認者は、当該ワークフローに対応するワークフロー情報に含まれるワークフロー対象ユーザグループ情報のグループ種別「承認者グループ」に含まれるユーザ(全員又はワークフロー申請者により指定された1以上のユーザ)である。
ここで、申請プリセットを追加や削除等する場合について説明する。申請プリセットを追加や削除等する場合、ワークフロー申請者は、例えば、図8に示すアカウント貸出申請画面G200において、「申請プリセット」ボタンG207を押下する。すると、申請者端末装置20には、例えば図10に示す申請プリセット画面G400が表示される。
図10に示す申請プリセット画面G400には、当該ワークフロー申請者が作成した申請プリセットが一覧表示される一覧表示欄G401が含まれる。この一覧表示欄G401に表示されている申請プリセットを選択(例えば、チェックボックスにチェックを入れる)した上で、削除ボタンG402又は複製ボタンG403を押下することで、ワークフロー申請者は、選択した申請プリセットを削除又は複製することができる。
また、図10に示す申請プリセット画面G400において、ワークフロー申請者は、追加ボタンG404を押下することで、図10に示すワークフロー選択画面G450に遷移させることができる。そして、ワークフロー申請者は、このワークフロー選択画面G450のワークフロー選択欄G451から所望のワークフローを選択した上で、選択ボタンG452を押下することで、図10に示す申請プリセット画面G500に画面遷移させることができる。図10に示す申請プリセット画面G500は、申請プリセットを追加(作成)するための画面である。
図10に示す申請プリセット画面G500には、追加で作成される申請プリセットに対応付けられるワークフローのワークフロー名が表示されている。また、ワークフロー申請者は、図10に示す申請プリセット画面G500において、申請プリセット名や公開種別、アカウント利用設定を指定した上で、追加ボタンG501を押下することで、申請プリセットを追加作成することができる。すなわち、申請処理部110によって申請プリセット情報に含まれる申請プリセット識別情報や申請プリセット詳細情報、申請プリセットターゲット情報等に新たなレコードが追加作成される。なお、公開種別は、上述した表示条件のことであり、表示条件「自分のみ」で申請プリセット表示される「自分に限定する」と、表示条件「共有のみ」で申請プリセットが表示される「他の申請者と共有する」とがある。
ここで、図10に示す申請プリセット画面G500において、ワークフロー申請者は、「アカウント利用設定を追加」ボタンG502を押下することで、例えば図11に示すアカウント利用設定画面G600を表示させることができる。図11に示すアカウント利用設定画面G600は、申請プリセットに含まれるアカウントを追加するための画面である。
図11に示すアカウント利用設定画面G600において、ワークフロー申請者は、ターゲット種別欄G601から所望のターゲット30の種別(すなわち、OSの種別)を選択すると共に、ターゲット欄G602から所望のターゲット30を選択し、アカウント欄G603に所望のアカウントを指定した上で、追加ボタンG604を押下することで、当該申請プリセットに対してアカウントを追加することができる。ここで、ターゲット欄G602には、該当のワークフローに対応付けられているターゲットグループを構成するターゲット30のうち、ターゲット種別欄G601で選択された種別のターゲット30が選択可能に表示される。また、ターゲット欄G602には、「全てのWindows」や「全てのLinux」等、該当のOSの全てのターゲット30を選択するための選択肢が表示されても良い。
なお、このとき、ワークフロー申請者は、例えば、アカウントを用いたアクセス方法をアクセス方法欄G605から選択することができても良い。選択可能なアクセス方法としては、例えば、ワンタイムパスワードを用いたアクセスやシングルサインオンによるアクセス等が挙げられる。
<アカウント貸出処理>
次に、アカウント貸出処理の流れについて、図12を参照しながら説明する。図12は、アカウント貸出処理の流れの一例を説明するための図である。以降では、上記の図6のアカウント貸出申請処理で申請プリセットが指定されて申請されたワークフローがワークフロー承認者により承認されたものとする。なお、アカウントの利用期間が当該ワークフローに指定されている場合には、当該利用期間が到来しているものとする。
まず、貸出処理部120は、当該ワークフローに指定されている申請プリセットのターゲット選択フラグが「全て」であるか否かを判定する(ステップS201)。すなわち、貸出処理部120は、当該申請プリセットに対応する申請プリセット情報を参照して、当該申請プリセット情報に含まれる申請プリセット詳細情報のターゲット選択フラグが「全て」であるか否かを判定する。
ステップS201でターゲット選択フラグが「全て」でないと判定された場合(すなわち、ターゲット選択フラグが「ターゲット指定」である場合)、貸出処理部120は、当該申請プリセットに含まれるアカウントを、当該ワークフローに指定されているアカウント利用者に貸し出す(ステップS202)。すなわち、貸出処理部120は、当該申請プリセットに対応する申請プリセット情報を参照して、当該申請プリセット情報に含まれる申請プリセット詳細情報及び申請プリセットターゲット情報から特定されるターゲット30のアカウントを、当該アカウント利用者に貸し出す。
なお、アカウントの貸し出しは、例えば、アカウント利用者の利用者端末装置20に対して、アカウントが貸し出されたことを示す通知等を送信すれば良い。
一方、ステップS201でターゲット選択フラグが「全て」であると判定された場合、貸出処理部120は、貸し出し対象のアカウントを特定する(ステップS203)。すなわち、まず、貸出処理部120は、ワークフロー情報を参照して、当該ワークフロー情報に含まれるワークフロー対象ターゲットグループ情報のターゲットグループIDのうち、当該申請プリセットに対応するワークフローのターゲットグループIDを特定する。そして、貸出処理部120は、ターゲット情報を参照して、特定したターゲットグループIDのターゲットグループに含まれるターゲット30のアカウントを特定する。このとき特定されるアカウントは、ワークフローに指定されている申請プリセットに応じて、例えば、一般アカウント、特権アカウント、又はその両方のいずれかである。
このように、申請プリセットのターゲット選択フラグが「全て」である場合、アカウントの貸し出し時に、動的にターゲット30及びそのアカウントを特定する。これにより、アカウントが貸し出されるまでの間に業務システムを構成するサーバ等が変更された場合であっても、この変更に応じたアカウントの貸し出しを行うことができるようになる。
次に、貸出処理部120は、上記のステップS203で特定したアカウントを、当該ワークフローに指定されているアカウント利用者に貸し出す(ステップS204)。
なお、本実施形態では、ワークフローがワークフロー承認者により承認され、かつ、アカウントの利用期間が到来した場合に、上記のアカウント貸出処理が開始するものとしたが、これに限られない。例えば、アカウントの利用期間中に、ターゲット選択フラグが「全て」の申請プリセットから特定されるアカウントに変更が生じる場合に、上記のアカウント貸出処理を開始しても良い。ここで、申請プリセットから特定されるアカウントに変更が生じる場合とは、ターゲット30に対して新たにアカウントが追加された場合やターゲット30からアカウントが削除された場合等が該当する。
<まとめ>
以上のように、本実施形態に係るアカウント管理システム1では、ワークフローによってアカウントの貸出申請を行う際に、1つの以上のアカウントの集合である申請プリセットを指定することで、当該貸出申請を行うことができる。これにより、例えば、1回の保守作業や開発作業等で大量のアカウントの貸し出しが必要となる場合であっても、容易にアカウントの貸出申請を行うことができるようになる。また、申請プリセットを指定するだけで複数のアカウントの貸出申請が可能となるため、大量のアカウントの貸出申請が必要な場合であっても、これらのアカウントを漏れなく申請することができるようになる。
本発明は、具体的に開示された上記の実施形態に限定されるものではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。