JPH0887454A - 分散および集中コンピュータ・システムにおける拡張役割ベース・アクセス制御の方法およびシステム - Google Patents
分散および集中コンピュータ・システムにおける拡張役割ベース・アクセス制御の方法およびシステムInfo
- Publication number
- JPH0887454A JPH0887454A JP7196706A JP19670695A JPH0887454A JP H0887454 A JPH0887454 A JP H0887454A JP 7196706 A JP7196706 A JP 7196706A JP 19670695 A JP19670695 A JP 19670695A JP H0887454 A JPH0887454 A JP H0887454A
- Authority
- JP
- Japan
- Prior art keywords
- role
- subject
- resource set
- access
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2145—Inheriting rights or properties, e.g., propagation of permissions or restrictions within a hierarchy
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99931—Database or file accessing
- Y10S707/99939—Privileged access
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99941—Database schema or data structure
- Y10S707/99944—Object-oriented database structure
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99941—Database schema or data structure
- Y10S707/99944—Object-oriented database structure
- Y10S707/99945—Object-oriented database structure processing
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
(57)【要約】
【目的】 コンピュータ・システムにおいてアクセス権
の登録、許可、および制御を行う方法およびシステムを
提供する。 【構成】 本発明の、オブジェクトに対するサブジェク
トのアクセス権を制御する方法は、役割またはグループ
に相当する役割インスタンスにインスタンス化すること
ができる、パラメータ化された役割タイプを用いる。必
要なパラメータはコンピュータ・システムのサブジェク
トが提供する。さらに、本発明の方法は、相対資源セッ
トを提供し、役割タイプのインスタンス化に用いるのと
同一のパラメータ値を使って、それが具体的資源セット
および個別資源にインスタンス化される。 【効果】 コンピュータ・システムにおいてアクセス権
の登録、許可、および制御を行う方法およびシステムが
提供できることとなった。
の登録、許可、および制御を行う方法およびシステムを
提供する。 【構成】 本発明の、オブジェクトに対するサブジェク
トのアクセス権を制御する方法は、役割またはグループ
に相当する役割インスタンスにインスタンス化すること
ができる、パラメータ化された役割タイプを用いる。必
要なパラメータはコンピュータ・システムのサブジェク
トが提供する。さらに、本発明の方法は、相対資源セッ
トを提供し、役割タイプのインスタンス化に用いるのと
同一のパラメータ値を使って、それが具体的資源セット
および個別資源にインスタンス化される。 【効果】 コンピュータ・システムにおいてアクセス権
の登録、許可、および制御を行う方法およびシステムが
提供できることとなった。
Description
【0001】
【産業上の利用分野】本発明は、分散および集中コンピ
ュータ・システムにおける役割ベースのアクセス制御方
法およびセキュリティ・システムに関する。具体的に
は、本発明はコンピュータ・システムにおけるオブジェ
クトに対するサブジェクトのアクセス権を、役割へのサ
ブジェクトの所属に基づいて前記アクセス権を制御する
ことによって制御する方法に関する。さらに、本発明
は、ユーザ、グループ、および各オブジェクトに対する
アクセス権を提供する各オブジェクトにおけるアクセス
制御リストを含むコンピュータ・システムにおいて、オ
ブジェクトに対するサブジェクトのアクセス権の登録、
許可、および制御を行うシステムに関する。
ュータ・システムにおける役割ベースのアクセス制御方
法およびセキュリティ・システムに関する。具体的に
は、本発明はコンピュータ・システムにおけるオブジェ
クトに対するサブジェクトのアクセス権を、役割へのサ
ブジェクトの所属に基づいて前記アクセス権を制御する
ことによって制御する方法に関する。さらに、本発明
は、ユーザ、グループ、および各オブジェクトに対する
アクセス権を提供する各オブジェクトにおけるアクセス
制御リストを含むコンピュータ・システムにおいて、オ
ブジェクトに対するサブジェクトのアクセス権の登録、
許可、および制御を行うシステムに関する。
【0002】
【従来の技術】コンピュータ・システムでは、そのコン
ピュータを使用する企業または組織のセキュリティ上の
必要のために、データに対するユーザのアクセスを制御
しなければならない。このようなアクセスの制御は、コ
ンピュータ・システム内のデータにユーザがアクセスす
ることを許可するかどうかおよびどのようにアクセスで
きるかを定義する、アクセス権を用いて行われる。この
アクセス制御は、コンピュータ・システムのオペレーテ
ィング・システムに組み込まれているかまたは追加され
るセキュリティ・システムによって実行される。このセ
キュリティ・システムは、アクセス権を制御するための
特定の方法を実行する。
ピュータを使用する企業または組織のセキュリティ上の
必要のために、データに対するユーザのアクセスを制御
しなければならない。このようなアクセスの制御は、コ
ンピュータ・システム内のデータにユーザがアクセスす
ることを許可するかどうかおよびどのようにアクセスで
きるかを定義する、アクセス権を用いて行われる。この
アクセス制御は、コンピュータ・システムのオペレーテ
ィング・システムに組み込まれているかまたは追加され
るセキュリティ・システムによって実行される。このセ
キュリティ・システムは、アクセス権を制御するための
特定の方法を実行する。
【0003】ほとんどの導入済みコンピュータ・システ
ムでは、アクセス権はシステム管理者によって、それぞ
れのデータに対して、より一般的にはそれぞれのオブジ
ェクトに対して、個々のユーザまたはユーザ・グループ
ごとに明示的に許可または拒否される。当該オブジェク
トに対するすべてのユーザのすべてのアクセス権が、当
該オブジェクトのアクセス制御リスト(ACL)を形成
する。コンピュータ・システムの動作中にユーザから、
より一般的にはサブジェクトから当該オブジェクトに対
するアクセス要求が発生すると、セキュリティ・システ
ムは各オブジェクトのアクセス制御リストを調べて、そ
のサブジェクトが要求する方法で当該オブジェクトにア
クセスできるかどうかを決定する。このような広く導入
されているセキュリティ・システムでは、アクセス権の
いわゆる「オブジェクト単位の検討」を行うことができ
る。つまりコンピュータ・システムのすべてのサブジェ
クトの、それぞれのオブジェクトに対するアクセス権の
種類を決定することができる。
ムでは、アクセス権はシステム管理者によって、それぞ
れのデータに対して、より一般的にはそれぞれのオブジ
ェクトに対して、個々のユーザまたはユーザ・グループ
ごとに明示的に許可または拒否される。当該オブジェク
トに対するすべてのユーザのすべてのアクセス権が、当
該オブジェクトのアクセス制御リスト(ACL)を形成
する。コンピュータ・システムの動作中にユーザから、
より一般的にはサブジェクトから当該オブジェクトに対
するアクセス要求が発生すると、セキュリティ・システ
ムは各オブジェクトのアクセス制御リストを調べて、そ
のサブジェクトが要求する方法で当該オブジェクトにア
クセスできるかどうかを決定する。このような広く導入
されているセキュリティ・システムでは、アクセス権の
いわゆる「オブジェクト単位の検討」を行うことができ
る。つまりコンピュータ・システムのすべてのサブジェ
クトの、それぞれのオブジェクトに対するアクセス権の
種類を決定することができる。
【0004】システム管理者が各ユーザに個別のアクセ
ス権を提供し、コンピュータ・システムにおける高度の
データ・セキュリティと保全性を実現することはきわめ
て不便であるため、役割ベース・アクセス制御(RBA
C)方法が開発された。この方法では、役割とは主とし
て、当該企業または組織で用いられる最低レベルの細分
性におけるジョブの定義である。この役割ベース・アク
セス制御システムでは、システム管理者は役割に対する
アクセス権を許可または拒否するだけで済み、様々なサ
ブジェクトをその役割のもとにグループ化するだけでよ
い。
ス権を提供し、コンピュータ・システムにおける高度の
データ・セキュリティと保全性を実現することはきわめ
て不便であるため、役割ベース・アクセス制御(RBA
C)方法が開発された。この方法では、役割とは主とし
て、当該企業または組織で用いられる最低レベルの細分
性におけるジョブの定義である。この役割ベース・アク
セス制御システムでは、システム管理者は役割に対する
アクセス権を許可または拒否するだけで済み、様々なサ
ブジェクトをその役割のもとにグループ化するだけでよ
い。
【0005】C.E.ランドヴェール(Landwehr)編「Data
base Security:Status and Prospects」、Elservier Sc
ience Publishers B.V.、1988年刊の209〜222に所載の
F.H.ロチョフスキー(Lochovsky)の論文「Role-Based
Security in Data Base Management Systems」では、デ
ータベース管理システム用のセキュリティ機構を指定す
る際の役割とオブジェクトの使用について論じられてい
る。ユーザが特定の役割を演ずることができるというア
イディアを用い、それらの役割を使用して許可が指定さ
れている。
base Security:Status and Prospects」、Elservier Sc
ience Publishers B.V.、1988年刊の209〜222に所載の
F.H.ロチョフスキー(Lochovsky)の論文「Role-Based
Security in Data Base Management Systems」では、デ
ータベース管理システム用のセキュリティ機構を指定す
る際の役割とオブジェクトの使用について論じられてい
る。ユーザが特定の役割を演ずることができるというア
イディアを用い、それらの役割を使用して許可が指定さ
れている。
【0006】Proceedings of IEEE Symposium on Secur
ity and Privacy、オークランド、1990年刊の116〜132
ページに所載のR.W.ボードウィン(Baldwin)の発表「N
amingand Grouping Privileges to Simplify Security
Management in Large Data Bases」では、データベース
・オブジェクトの分野の大規模セキュリティ・システム
におけるアクセス権の許可および制御について記載され
ている。
ity and Privacy、オークランド、1990年刊の116〜132
ページに所載のR.W.ボードウィン(Baldwin)の発表「N
amingand Grouping Privileges to Simplify Security
Management in Large Data Bases」では、データベース
・オブジェクトの分野の大規模セキュリティ・システム
におけるアクセス権の許可および制御について記載され
ている。
【0007】Proceedings of the 5th National Comput
er Security Conference、1992年10月の554〜563ページ
に所載のD.フェライオロ(Ferraiolo)らの発表「Role-
Based Access Controls」は、本発明に最も近い従来の
技術であるとみなすことができるが、役割ベース・アク
セス制御方法について詳細に述べている。アクセス制御
の決定は、個々のユーザが組織の一員として負う役割に
基づくことが多い。役割は、ユーザまたは1組のユーザ
が組織の関係内で行うことができる1組のトランザクシ
ョンを規定する。役割ベースのアクセス制御は、個人と
アクセス権との関係の命名と記述を行う手段を提供し、
多くの商業および公共組織の安全処理の必要を満たす方
法を提供する。
er Security Conference、1992年10月の554〜563ページ
に所載のD.フェライオロ(Ferraiolo)らの発表「Role-
Based Access Controls」は、本発明に最も近い従来の
技術であるとみなすことができるが、役割ベース・アク
セス制御方法について詳細に述べている。アクセス制御
の決定は、個々のユーザが組織の一員として負う役割に
基づくことが多い。役割は、ユーザまたは1組のユーザ
が組織の関係内で行うことができる1組のトランザクシ
ョンを規定する。役割ベースのアクセス制御は、個人と
アクセス権との関係の命名と記述を行う手段を提供し、
多くの商業および公共組織の安全処理の必要を満たす方
法を提供する。
【0008】既存の役割ベース・アクセス制御方法から
知られる、コンピュータ・システムにおけるアクセス権
を制御する方法については、組織内の多数の類似しては
いるが同一ではない職務に多数の役割が必要となること
が欠点である。役割がこのように多いことにより、コン
ピュータ・システムにおけるセキュリティ・システム用
の必要記憶量が大きくなる。さらに、役割が多いことに
より、セキュリティ・システムの計算要件が高くなると
いう欠点もある。この両面から、セキュリティ・システ
ムの運用コストが高くなる。さらに、役割が多いことに
より、セキュリティ・システムの管理がきわめて困難に
なるという欠点がある。ある人の職務は変わらないが、
場所やプロジェクトが変わる場合、システム管理者は新
たな役割を作成しなければならない。これによって、コ
ストが高くなるばかりか、システム・セキュリティが低
下する。さらに、役割は、企業の様々な組織単位内でそ
の役割を負うユーザが持つすべてのアクセスおよびオブ
ジェクトの組合せを含むため、その役割には、その役割
の職能に必要な最低の特権が含まれるとは限らない。つ
まり、「最低特権原則」違反である。しかし、アクセス
およびオブジェクトのコンテキストに基づいて様々な役
割を定義することはある種の設計では可能かもしれない
が、そのようにしてアクセス細分性の欠如を緩和しよう
とすると、管理機構はこれらの役割を一貫性ある管理、
たとえば更新などが可能になるように関係付けなければ
ならなくなる。現在、このような機構はない。
知られる、コンピュータ・システムにおけるアクセス権
を制御する方法については、組織内の多数の類似しては
いるが同一ではない職務に多数の役割が必要となること
が欠点である。役割がこのように多いことにより、コン
ピュータ・システムにおけるセキュリティ・システム用
の必要記憶量が大きくなる。さらに、役割が多いことに
より、セキュリティ・システムの計算要件が高くなると
いう欠点もある。この両面から、セキュリティ・システ
ムの運用コストが高くなる。さらに、役割が多いことに
より、セキュリティ・システムの管理がきわめて困難に
なるという欠点がある。ある人の職務は変わらないが、
場所やプロジェクトが変わる場合、システム管理者は新
たな役割を作成しなければならない。これによって、コ
ストが高くなるばかりか、システム・セキュリティが低
下する。さらに、役割は、企業の様々な組織単位内でそ
の役割を負うユーザが持つすべてのアクセスおよびオブ
ジェクトの組合せを含むため、その役割には、その役割
の職能に必要な最低の特権が含まれるとは限らない。つ
まり、「最低特権原則」違反である。しかし、アクセス
およびオブジェクトのコンテキストに基づいて様々な役
割を定義することはある種の設計では可能かもしれない
が、そのようにしてアクセス細分性の欠如を緩和しよう
とすると、管理機構はこれらの役割を一貫性ある管理、
たとえば更新などが可能になるように関係付けなければ
ならなくなる。現在、このような機構はない。
【0009】アクセス制御システムに関しては、既存の
役割ベースのアクセス制御システムは、アクセス制御リ
ストの存在に基づく導入済みコンピュータ・システムの
既存のセキュリティ機構を用いないという欠点がある。
したがって、既存のコンピュータ・システム上で、新し
いセキュリティ機構を、さらには新しいセキュリティ・
システムさえも実施しなければならない。これにより、
追加のハードウェアおよびソフトウェアの開発が必要と
なりそれに伴ってコストが高くなる。これは、分散また
は大規模集中コンピュータ・システムでは一層不利であ
る。1991年刊のオープンソフトウェア・ファウンデ
ーション(OSF)による「Introduction
to OSF DCE」に記載されているような分散
システムのための既存の標準アクセス制御機構は、超大
規模分散システムへの拡張が可能である。現在のとこ
ろ、大規模分散システムに対応して拡張可能な役割ベー
ス・アクセス制御方法は存在しない。
役割ベースのアクセス制御システムは、アクセス制御リ
ストの存在に基づく導入済みコンピュータ・システムの
既存のセキュリティ機構を用いないという欠点がある。
したがって、既存のコンピュータ・システム上で、新し
いセキュリティ機構を、さらには新しいセキュリティ・
システムさえも実施しなければならない。これにより、
追加のハードウェアおよびソフトウェアの開発が必要と
なりそれに伴ってコストが高くなる。これは、分散また
は大規模集中コンピュータ・システムでは一層不利であ
る。1991年刊のオープンソフトウェア・ファウンデ
ーション(OSF)による「Introduction
to OSF DCE」に記載されているような分散
システムのための既存の標準アクセス制御機構は、超大
規模分散システムへの拡張が可能である。現在のとこ
ろ、大規模分散システムに対応して拡張可能な役割ベー
ス・アクセス制御方法は存在しない。
【0010】
【発明が解決しようとする課題】本発明の目的は、超大
規模分散コンピュータ・システムに対応して拡張可能で
あって、セキュリティ・システムのための記憶域および
計算パフォーマンスが少なくて済む、アクセス権制御の
方法を提供することである。さらに、本発明の目的は、
「最低特権原則」に必ずしも違反せず、それと同時にシ
ステム管理にとってより柔軟性が高くて便利な、役割ベ
ースのアクセス権制御方法を提供することである。
規模分散コンピュータ・システムに対応して拡張可能で
あって、セキュリティ・システムのための記憶域および
計算パフォーマンスが少なくて済む、アクセス権制御の
方法を提供することである。さらに、本発明の目的は、
「最低特権原則」に必ずしも違反せず、それと同時にシ
ステム管理にとってより柔軟性が高くて便利な、役割ベ
ースのアクセス権制御方法を提供することである。
【0011】本発明の目的は、アクセス権の許可および
制御を行うシステムに関して、アクセス制御リストに基
づく導入済みコンピュータ・システムのセキュリティ・
システムを使用することができるシステムを提供するこ
とである。
制御を行うシステムに関して、アクセス制御リストに基
づく導入済みコンピュータ・システムのセキュリティ・
システムを使用することができるシステムを提供するこ
とである。
【0012】
【課題を解決するための手段】本発明の目的は、独立請
求項1および13に記載の特徴によって達成される。本
発明のその他の調整は、対応する従属請求項で開示され
ている。
求項1および13に記載の特徴によって達成される。本
発明のその他の調整は、対応する従属請求項で開示され
ている。
【0013】本発明では、コンピュータ・システムにお
けるアクセス権の登録、許可、および制御の方法および
システムを開示する。コンピュータ・システムにおける
オブジェクトに対するサブジェクトのアクセス権を制御
する本発明の方法は、従来の技術から周知の役割と同等
の役割インスタンスにインスタンス化することができる
パラメータ化された役割タイプを用いる。必要なパラメ
ータは、コンピュータ・システムのサブジェクトが提供
できる。コンピュータ・システムは、サブジェクトの職
務または組織単位への所属からパラメータを導き出すこ
とができる。さらに、本発明の方法は、役割タイプのイ
ンスタント化に用いるのと同じパラメータ値を用いるこ
とによって具体的な資源セットおよび個々の資源にイン
スタンス化される、相対資源セットを提供する。
けるアクセス権の登録、許可、および制御の方法および
システムを開示する。コンピュータ・システムにおける
オブジェクトに対するサブジェクトのアクセス権を制御
する本発明の方法は、従来の技術から周知の役割と同等
の役割インスタンスにインスタンス化することができる
パラメータ化された役割タイプを用いる。必要なパラメ
ータは、コンピュータ・システムのサブジェクトが提供
できる。コンピュータ・システムは、サブジェクトの職
務または組織単位への所属からパラメータを導き出すこ
とができる。さらに、本発明の方法は、役割タイプのイ
ンスタント化に用いるのと同じパラメータ値を用いるこ
とによって具体的な資源セットおよび個々の資源にイン
スタンス化される、相対資源セットを提供する。
【0014】本発明で開示するアクセス権の許可および
制御のための本発明のシステムは、コンピュータ・シス
テムのオブジェクトに対するサブジェクトのアクセス権
を、サブジェクト単位で提供する権限リストを含む。さ
らに、本発明のシステムは、権限リストからアクセス制
御リストを導き出す手段を含む。その際、システムは各
オブジェクトに対するサブジェクトのアクセス権をオブ
ジェクト単位で提供する。本発明の方法では、サブジェ
クトとはコンピュータ・システム内でのアクセス権を保
有する、考えられるあらゆるタイプの保有者であり、た
とえば、人間、職務、役割インスタンス、ユーザ、およ
びトランザクションなどである。さらに、オブジェクト
とは、コンピュータ・システム内においてアクセス権を
定義することができる考えられるあらゆるタイプの資源
であり、たとえばファイル、ディスク、表示装置、プリ
ンタ、スキャナ、およびトランザクションなどである。
制御のための本発明のシステムは、コンピュータ・シス
テムのオブジェクトに対するサブジェクトのアクセス権
を、サブジェクト単位で提供する権限リストを含む。さ
らに、本発明のシステムは、権限リストからアクセス制
御リストを導き出す手段を含む。その際、システムは各
オブジェクトに対するサブジェクトのアクセス権をオブ
ジェクト単位で提供する。本発明の方法では、サブジェ
クトとはコンピュータ・システム内でのアクセス権を保
有する、考えられるあらゆるタイプの保有者であり、た
とえば、人間、職務、役割インスタンス、ユーザ、およ
びトランザクションなどである。さらに、オブジェクト
とは、コンピュータ・システム内においてアクセス権を
定義することができる考えられるあらゆるタイプの資源
であり、たとえばファイル、ディスク、表示装置、プリ
ンタ、スキャナ、およびトランザクションなどである。
【0015】独立請求項1に記載されている本発明によ
って、従来技術の前述の欠点が取り除かれる。役割イン
スタンスにインスタンス化することができる役割タイプ
を提供するアクセス権制御方法によって、きわめて柔軟
性の高いコンピュータ・システム用セキュリティ・シス
テムを設計できるようになる。わずかな数の役割タイプ
を定義するだけで済むため、コンピュータ・システム内
でセキュリティ・システムのために提供しなければなら
ないコンピュータ資源が少ないという利点がある。さら
に、数の少ない役割タイプの定義によって管理活動が少
なくなるので手間が少なくて済み、その結果、誤りや混
乱の可能性と確率が限定されるため、システム・セキュ
リティが向上するという利点がある。さらに、適切なパ
ラメータ値を提供することにより、役割タイプの役割イ
ンスタンスを「最低特権原則」が満たされるような方法
で制限することができるという利点がある。さらに、役
割タイプのインスタンス化による役割インスタンスの自
動生成によって、コンピュータ・システムのセキュリテ
ィが向上し、コンピュータ・システム内のデータ保全性
が向上する。
って、従来技術の前述の欠点が取り除かれる。役割イン
スタンスにインスタンス化することができる役割タイプ
を提供するアクセス権制御方法によって、きわめて柔軟
性の高いコンピュータ・システム用セキュリティ・シス
テムを設計できるようになる。わずかな数の役割タイプ
を定義するだけで済むため、コンピュータ・システム内
でセキュリティ・システムのために提供しなければなら
ないコンピュータ資源が少ないという利点がある。さら
に、数の少ない役割タイプの定義によって管理活動が少
なくなるので手間が少なくて済み、その結果、誤りや混
乱の可能性と確率が限定されるため、システム・セキュ
リティが向上するという利点がある。さらに、適切なパ
ラメータ値を提供することにより、役割タイプの役割イ
ンスタンスを「最低特権原則」が満たされるような方法
で制限することができるという利点がある。さらに、役
割タイプのインスタンス化による役割インスタンスの自
動生成によって、コンピュータ・システムのセキュリテ
ィが向上し、コンピュータ・システム内のデータ保全性
が向上する。
【0016】役割タイプは、職務タスクのセットを権能
の共通総称セットと組み合わせる。役割タイプは、職務
タスクのセットを実行するのに必要なアクセス権、オブ
ジェクト、およびトランザクションのタイプを定義する
ためのテンプレートと見ることができる。
の共通総称セットと組み合わせる。役割タイプは、職務
タスクのセットを実行するのに必要なアクセス権、オブ
ジェクト、およびトランザクションのタイプを定義する
ためのテンプレートと見ることができる。
【0017】他方、役割インスタンスは、企業の特定の
組織単位内の役割タイプと結びついた具体的な特定の権
能のセットを定義する。組織単位は、事業部、部、計
画、プロジェクト、ワークフロー・プロセス、またはそ
れらの組合せとすることができる。
組織単位内の役割タイプと結びついた具体的な特定の権
能のセットを定義する。組織単位は、事業部、部、計
画、プロジェクト、ワークフロー・プロセス、またはそ
れらの組合せとすることができる。
【0018】請求項2に記載されている本発明の1つの
実施例では、役割タイプがパラメータ化され、役割イン
スタンスが少なくとも1つのパラメータ値を用いて生成
される。パラメータ化された役割タイプの使用によっ
て、セキュリティ・システムの柔軟性が大きくなり、管
理活動が減る。さらに、パラメータ化された役割タイプ
を使用するとセキュリティ・システムに必要なコンピュ
ータ資源が少なくて済む。
実施例では、役割タイプがパラメータ化され、役割イン
スタンスが少なくとも1つのパラメータ値を用いて生成
される。パラメータ化された役割タイプの使用によっ
て、セキュリティ・システムの柔軟性が大きくなり、管
理活動が減る。さらに、パラメータ化された役割タイプ
を使用するとセキュリティ・システムに必要なコンピュ
ータ資源が少なくて済む。
【0019】請求項3に記載されている本発明の他の実
施例では、コンピュータ・システムのオブジェクトは具
体的な資源セットを形成する。このような具体的資源セ
ットの形成は、資源すなわちオブジェクトの機能グルー
プをより少ない計算労力とより少ない管理オーバーヘッ
ドで扱うことができるため、有利である。
施例では、コンピュータ・システムのオブジェクトは具
体的な資源セットを形成する。このような具体的資源セ
ットの形成は、資源すなわちオブジェクトの機能グルー
プをより少ない計算労力とより少ない管理オーバーヘッ
ドで扱うことができるため、有利である。
【0020】請求項4で述べている本発明の実施例で
は、本発明の方法により、パラメータ化された相対資源
セットから具体的資源セットを自動的に導出することが
できる。これにより、セキュリティ・システムの柔軟性
が向上し、管理の手間が少なくなる。さらに、セキュリ
ティ・システムに必要なコンピュータ資源が少なくて済
む。
は、本発明の方法により、パラメータ化された相対資源
セットから具体的資源セットを自動的に導出することが
できる。これにより、セキュリティ・システムの柔軟性
が向上し、管理の手間が少なくなる。さらに、セキュリ
ティ・システムに必要なコンピュータ資源が少なくて済
む。
【0021】請求項5に記載されている本発明の他の実
施例では、本発明の方法は、パラメータ化された役割タ
イプまたはパラメータ化された相対資源セットを、コン
ピュータ・システムのサブジェクトがインスタンス化す
るためのパラメータ値を提供する。これは、役割タイプ
からの役割インスタンスの導出または相対資源セットか
らの具体的資源の導出を完全に自動化することができ、
管理の手間が不要であるという利点がある。これによっ
て、誤りや混乱の可能性と確率が限定され、したがって
システム・セキュリティが向上する。
施例では、本発明の方法は、パラメータ化された役割タ
イプまたはパラメータ化された相対資源セットを、コン
ピュータ・システムのサブジェクトがインスタンス化す
るためのパラメータ値を提供する。これは、役割タイプ
からの役割インスタンスの導出または相対資源セットか
らの具体的資源の導出を完全に自動化することができ、
管理の手間が不要であるという利点がある。これによっ
て、誤りや混乱の可能性と確率が限定され、したがって
システム・セキュリティが向上する。
【0022】請求項6に記載されている本発明の他の実
施例では、パラメータ値が職務別または組織単位別に提
供される。これは、コンピュータ・システムのユーザで
ある個人が職務または組織単位を変えたときにきわめて
少ない管理活動しか必要としない、きわめて柔軟性の高
いセキュリティ・システムを提供するという利点があ
る。これは手間が少なくて済むため、誤りや混乱の可能
性と確率が限定され、したがってシステム・セキュリテ
ィが向上する。
施例では、パラメータ値が職務別または組織単位別に提
供される。これは、コンピュータ・システムのユーザで
ある個人が職務または組織単位を変えたときにきわめて
少ない管理活動しか必要としない、きわめて柔軟性の高
いセキュリティ・システムを提供するという利点があ
る。これは手間が少なくて済むため、誤りや混乱の可能
性と確率が限定され、したがってシステム・セキュリテ
ィが向上する。
【0023】請求項7に記載されている本発明の他の実
施例では、職務が少なくとも1つの役割タイプと結合さ
れる。これは、当該職務で役割タイプをインスタンス化
するのに必要なすべてのパラメータを提供することによ
って、当該役割タイプに関連する役割インスタンスを導
出することができるという利点がある。これによって、
管理活動なしで役割インスタンスの導出が自動化され、
手間が少なくて済み、誤りおよび混乱の可能性と確率が
限定され、システム・セキュリティが向上する。
施例では、職務が少なくとも1つの役割タイプと結合さ
れる。これは、当該職務で役割タイプをインスタンス化
するのに必要なすべてのパラメータを提供することによ
って、当該役割タイプに関連する役割インスタンスを導
出することができるという利点がある。これによって、
管理活動なしで役割インスタンスの導出が自動化され、
手間が少なくて済み、誤りおよび混乱の可能性と確率が
限定され、システム・セキュリティが向上する。
【0024】請求項8に記載されている本発明の他のス
テップでは、パラメータ化された相対資源セットが役割
タイプと関連づけられる。これは、役割タイプのために
提供されるのと同じパラメータによって具体的資源セッ
トおよびオブジェクトの自動導出ができるため有利であ
る。これによって、管理活動なしの具体的資源セットの
自動導出が可能になり、したがって手間が少なくて済
み、誤りや混乱の可能性と確率が限定され、システム・
セキュリティが向上する。
テップでは、パラメータ化された相対資源セットが役割
タイプと関連づけられる。これは、役割タイプのために
提供されるのと同じパラメータによって具体的資源セッ
トおよびオブジェクトの自動導出ができるため有利であ
る。これによって、管理活動なしの具体的資源セットの
自動導出が可能になり、したがって手間が少なくて済
み、誤りや混乱の可能性と確率が限定され、システム・
セキュリティが向上する。
【0025】請求項9に記載されている本発明の他のス
テップでは、本発明は役割インスタンスと具体的資源セ
ットおよびオブジェクトを導出する構成ステップを行
う。この自動構成ステップは各管理活動とともに実行さ
れ、実際の有効な役割インスタンスと具体的資源セット
およびオブジェクトを随時提供する。これによって、セ
キュリティ・システムの効率が保証され、コンピュータ
・システム内のデータのセキュリティと保全性が保証さ
れるため、有利である。
テップでは、本発明は役割インスタンスと具体的資源セ
ットおよびオブジェクトを導出する構成ステップを行
う。この自動構成ステップは各管理活動とともに実行さ
れ、実際の有効な役割インスタンスと具体的資源セット
およびオブジェクトを随時提供する。これによって、セ
キュリティ・システムの効率が保証され、コンピュータ
・システム内のデータのセキュリティと保全性が保証さ
れるため、有利である。
【0026】請求項10に記載されている本発明の他の
実施例では、本発明の方法は役割タイプに関連する権限
リスト・タイプを指定し、役割インスタンスに関連する
権限リストを導出する自動構成ステップを実行する。権
限リストは、役割タイプをインスタンス化するのと同じ
パラメータを用いて、権限リスト・タイプからインスタ
ンス化される。これらの権限リストはコンピュータ・シ
ステム内のオブジェクトに対する役割インスタンスのア
クセス権を提供する。コンピュータ・システムのセキュ
リティ・システム内に権限リストを設けると、コンピュ
ータ・システム内の考えられるすべてのオブジェクトに
対するすべてのサブジェクトのアクセス権の自動検査が
可能になり、管理活動が不要であり、手間が少なくて済
み、誤りや混乱の可能性と確率が限定され、システム・
セキュリティが向上するという利点がある。
実施例では、本発明の方法は役割タイプに関連する権限
リスト・タイプを指定し、役割インスタンスに関連する
権限リストを導出する自動構成ステップを実行する。権
限リストは、役割タイプをインスタンス化するのと同じ
パラメータを用いて、権限リスト・タイプからインスタ
ンス化される。これらの権限リストはコンピュータ・シ
ステム内のオブジェクトに対する役割インスタンスのア
クセス権を提供する。コンピュータ・システムのセキュ
リティ・システム内に権限リストを設けると、コンピュ
ータ・システム内の考えられるすべてのオブジェクトに
対するすべてのサブジェクトのアクセス権の自動検査が
可能になり、管理活動が不要であり、手間が少なくて済
み、誤りや混乱の可能性と確率が限定され、システム・
セキュリティが向上するという利点がある。
【0027】請求項11に記載されている本発明の他の
実施例では、本発明の方法は具体的資源セットおよびオ
ブジェクトに関連するアクセス制御リストを生成または
修正する。これは、従来の技術から周知の多くの導入済
みコンピュータ・システムで使用されているセキュリテ
ィ・システムを、これらのシステムに必要なすべての情
報とともにサポートするという利点がある。したがっ
て、本発明の方法は、難しい修正や費用のかかる新しい
セキュリティ・システムを実施せずに、既存のセキュリ
ティ・システムに容易に適用することができる。大規模
分散環境用の拡張可能な既存のセキュリティ・システム
の場合、この方法は役割ベース・アクセス制御機能の拡
張性も保証する。
実施例では、本発明の方法は具体的資源セットおよびオ
ブジェクトに関連するアクセス制御リストを生成または
修正する。これは、従来の技術から周知の多くの導入済
みコンピュータ・システムで使用されているセキュリテ
ィ・システムを、これらのシステムに必要なすべての情
報とともにサポートするという利点がある。したがっ
て、本発明の方法は、難しい修正や費用のかかる新しい
セキュリティ・システムを実施せずに、既存のセキュリ
ティ・システムに容易に適用することができる。大規模
分散環境用の拡張可能な既存のセキュリティ・システム
の場合、この方法は役割ベース・アクセス制御機能の拡
張性も保証する。
【0028】請求項12に記載の本発明の他の実施例で
は、役割タイプが階層的に編成される。これは、関係を
包含することにより役割タイプが編成できるという利点
がある。したがって、第1の役割タイプが第2の役割タ
イプを包含する場合、第1の役割タイプのインスタンス
に使用できるアクセス権のセットには、第2の役割タイ
プの対応するインスタンスに使用できるアクセス権が含
まれる。これにより、わずかな管理の手間だけで、きわ
めて簡単にアクセス権を制御することができる。さら
に、役割タイプの階層編成はセキュリティ・システムの
コンピュータ資源が少なくて済む。
は、役割タイプが階層的に編成される。これは、関係を
包含することにより役割タイプが編成できるという利点
がある。したがって、第1の役割タイプが第2の役割タ
イプを包含する場合、第1の役割タイプのインスタンス
に使用できるアクセス権のセットには、第2の役割タイ
プの対応するインスタンスに使用できるアクセス権が含
まれる。これにより、わずかな管理の手間だけで、きわ
めて簡単にアクセス権を制御することができる。さら
に、役割タイプの階層編成はセキュリティ・システムの
コンピュータ資源が少なくて済む。
【0029】従属請求項13に記載されているアクセス
権の許可および制御のためのコンピュータ・システムに
関する本発明では、従来の技術の前述の欠点が取り除か
れる。この実施例で提示される登録、許可および制御シ
ステムは、オブジェクトにおけるアクセス制御リストだ
けでなくサブジェクトにおける権限リストも提供される
という利点がある。これによって、考えられるすべての
オブジェクトに対するサブジェクトのアクセス権を迅速
に調べることができ、セキュリティ・システムのための
コンピュータ資源はわずかで済む。さらに、特定のオブ
ジェクトに対する考えられるすべてのサブジェクトのす
べてのアクセス権を迅速に調べることができ、セキュリ
ティ・システムのための資源がわずかで済む。さらに、
オブジェクトにおけるアクセス制御リストとサブジェク
トにおける権限リストとを含むシステムは、導入済みコ
ンピュータ・システムのオペレーティング・システムに
変更や新たな実施を加えずに、現場に導入済みのすべて
のコンピュータ・システムに適用することができるとい
う利点がある。さらに、アクセス制御リストと権限リス
トが同時に存在することにより、コンピュータ・システ
ム内のデータのセキュリティと保全性が高くなる。これ
は、大規模分散コンピュータ・システムの場合はさらに
有利である。
権の許可および制御のためのコンピュータ・システムに
関する本発明では、従来の技術の前述の欠点が取り除か
れる。この実施例で提示される登録、許可および制御シ
ステムは、オブジェクトにおけるアクセス制御リストだ
けでなくサブジェクトにおける権限リストも提供される
という利点がある。これによって、考えられるすべての
オブジェクトに対するサブジェクトのアクセス権を迅速
に調べることができ、セキュリティ・システムのための
コンピュータ資源はわずかで済む。さらに、特定のオブ
ジェクトに対する考えられるすべてのサブジェクトのす
べてのアクセス権を迅速に調べることができ、セキュリ
ティ・システムのための資源がわずかで済む。さらに、
オブジェクトにおけるアクセス制御リストとサブジェク
トにおける権限リストとを含むシステムは、導入済みコ
ンピュータ・システムのオペレーティング・システムに
変更や新たな実施を加えずに、現場に導入済みのすべて
のコンピュータ・システムに適用することができるとい
う利点がある。さらに、アクセス制御リストと権限リス
トが同時に存在することにより、コンピュータ・システ
ム内のデータのセキュリティと保全性が高くなる。これ
は、大規模分散コンピュータ・システムの場合はさらに
有利である。
【0030】請求項14に記載されている本発明の他の
実施例では、本発明のシステムは、サブジェクトにおけ
る権限リストからオブジェクトのアクセス制御リストを
導き出す手段を含む。この手段の存在は、導入済みコン
ピュータ・システムの多くのセキュリティ・システムが
必要とするアクセス制御リストを自動的に導出すること
ができるという利点がある。したがって、本発明のシス
テムは、導入済みコンピュータ・システムのセキュリテ
ィ・システムにいかなる修正も加えることなく、既存の
コンピュータ・システムに容易に適用することができ
る。さらに、この手段はアクセス制御リストを自動的に
導き出すため、コンピュータ・システム内のデータのセ
キュリティと保全性を保証することができるという利点
がある。さらに、既存のセキュリティ・システムの基盤
アクセス制御機構を使用して動作時にアクセス制御検査
が行われるため、本発明のシステムはパフォーマンスを
低下させず、基盤システムと同程度にまで拡張可能であ
る。
実施例では、本発明のシステムは、サブジェクトにおけ
る権限リストからオブジェクトのアクセス制御リストを
導き出す手段を含む。この手段の存在は、導入済みコン
ピュータ・システムの多くのセキュリティ・システムが
必要とするアクセス制御リストを自動的に導出すること
ができるという利点がある。したがって、本発明のシス
テムは、導入済みコンピュータ・システムのセキュリテ
ィ・システムにいかなる修正も加えることなく、既存の
コンピュータ・システムに容易に適用することができ
る。さらに、この手段はアクセス制御リストを自動的に
導き出すため、コンピュータ・システム内のデータのセ
キュリティと保全性を保証することができるという利点
がある。さらに、既存のセキュリティ・システムの基盤
アクセス制御機構を使用して動作時にアクセス制御検査
が行われるため、本発明のシステムはパフォーマンスを
低下させず、基盤システムと同程度にまで拡張可能であ
る。
【0031】請求項15に記載されている本発明の他の
実施例では、本発明のシステムは、セキュリティ・シス
テムの構成ステップ時にアクセス制御リストを導き出す
手段を含む。この構成ステップは、各管理処理ととも
に、あるいはその後に実行することができる。この手段
には、アクセス制御リストが各管理処理とともに実現さ
れ、したがってコンピュータ・システム内の高いデータ
・セキュリティと保全性が保証されるという利点があ
る。さらにこの手段はセキュリティ・システム用の少な
いコンピュータ資源でデータ・セキュリティと保全性を
保証し、手間が少なくて済むため、誤りや混乱の可能性
と確率が限定され、システム・セキュリティが向上する
という利点がある。
実施例では、本発明のシステムは、セキュリティ・シス
テムの構成ステップ時にアクセス制御リストを導き出す
手段を含む。この構成ステップは、各管理処理ととも
に、あるいはその後に実行することができる。この手段
には、アクセス制御リストが各管理処理とともに実現さ
れ、したがってコンピュータ・システム内の高いデータ
・セキュリティと保全性が保証されるという利点があ
る。さらにこの手段はセキュリティ・システム用の少な
いコンピュータ資源でデータ・セキュリティと保全性を
保証し、手間が少なくて済むため、誤りや混乱の可能性
と確率が限定され、システム・セキュリティが向上する
という利点がある。
【0032】請求項16に記載されている他の実施例で
は、本発明のシステムは役割ベース・アクセス制御シス
テムから権限リストを導き出す手段を含む。この手段の
存在により、従来の技術から周知の多くの現場に導入済
みのコンピュータ・システムのセキュリティ・システム
に、役割ベース・アクセス制御システムを適用すること
ができる。本発明のシステムによって、役割ベース・ア
クセス制御システムを、導入済みセキュリティ・システ
ムに修正したり新たな実施を行ったりしなくても適用す
ることができる。したがって、役割ベース・アクセス制
御システムを既存のコンピュータ・システムに低コスト
で提供することができ、コンピュータ・システム内のデ
ータの高いセキュリティと保全性が得られる。
は、本発明のシステムは役割ベース・アクセス制御シス
テムから権限リストを導き出す手段を含む。この手段の
存在により、従来の技術から周知の多くの現場に導入済
みのコンピュータ・システムのセキュリティ・システム
に、役割ベース・アクセス制御システムを適用すること
ができる。本発明のシステムによって、役割ベース・ア
クセス制御システムを、導入済みセキュリティ・システ
ムに修正したり新たな実施を行ったりしなくても適用す
ることができる。したがって、役割ベース・アクセス制
御システムを既存のコンピュータ・システムに低コスト
で提供することができ、コンピュータ・システム内のデ
ータの高いセキュリティと保全性が得られる。
【0033】請求項17に記載されている本発明の他の
実施例では、本発明のシステムは権限リストからユーザ
・アカウントの導出と生成を行う手段を含む。これは、
サブジェクトの権限リスト上にあるホスト・オブジェク
トであるすべてのコンピュータ・システム上のユーザ・
アカウントの自動導出および生成を行うことができると
いう利点がある。これは手間が少なくて済み、誤りや混
乱の可能性および確率が限定され、したがってシステム
・セキュリティが向上する。
実施例では、本発明のシステムは権限リストからユーザ
・アカウントの導出と生成を行う手段を含む。これは、
サブジェクトの権限リスト上にあるホスト・オブジェク
トであるすべてのコンピュータ・システム上のユーザ・
アカウントの自動導出および生成を行うことができると
いう利点がある。これは手間が少なくて済み、誤りや混
乱の可能性および確率が限定され、したがってシステム
・セキュリティが向上する。
【0034】
【実施例】コンピュータ・システム内のオブジェクトに
対するサブジェクトのアクセス権を制御する詳細な好ま
しい方法と、本発明によるアクセス権の許可および制御
のためのシステムの好ましい実施例を、添付図を参照し
ながら説明する。
対するサブジェクトのアクセス権を制御する詳細な好ま
しい方法と、本発明によるアクセス権の許可および制御
のためのシステムの好ましい実施例を、添付図を参照し
ながら説明する。
【0035】図1に、アクセス権を制御する方法の概要
を示す。1組のサブジェクト1がアクセス権の保有者と
して定義され、1組の役割タイプ2に関連づけられる。
役割タイプ2は、1組の役割インスタンス3にインスタ
ンス化され、したがってサブジェクト1を役割インスタ
ンス3に関連づける。複数のサブジェクト1は1つの役
割タイプ2と関連づけることができる。また、サブジェ
クト1は複数の役割タイプ2と関連づけることができ
る。役割タイプ2を役割インスタンス3にインスタンス
化すると、役割インスタンス3とコンピュータ・システ
ムのオブジェクト4の間の関連が決まる。様々なサブジ
ェクトによって様々なパラメータ値が提供されるため、
通常は1つの役割タイプに複数のインスタンスができ
る。
を示す。1組のサブジェクト1がアクセス権の保有者と
して定義され、1組の役割タイプ2に関連づけられる。
役割タイプ2は、1組の役割インスタンス3にインスタ
ンス化され、したがってサブジェクト1を役割インスタ
ンス3に関連づける。複数のサブジェクト1は1つの役
割タイプ2と関連づけることができる。また、サブジェ
クト1は複数の役割タイプ2と関連づけることができ
る。役割タイプ2を役割インスタンス3にインスタンス
化すると、役割インスタンス3とコンピュータ・システ
ムのオブジェクト4の間の関連が決まる。様々なサブジ
ェクトによって様々なパラメータ値が提供されるため、
通常は1つの役割タイプに複数のインスタンスができ
る。
【0036】図2に、役割タイプのインスタンス化の方
法の概要を示す。企業コンピュータ・システムのユーザ
である個人5は、割り当てられた職務6を果たす従業員
である。各職務6には1組の職能タスクが関連づけられ
ている。したがって、職務6はタスクを企業組織階層内
のユーザに関連づける。各タスクは1組の権限を必要と
する。この権限は、当該タスクを行うのに必要な1組の
オブジェクト4に対する1組の特定のアクセス権と見る
ことができる。したがって、各職務6は最終的にユーザ
を、1組のオブジェクト4に対する特定のアクセス権に
関連づける。したがって、セキュリティ管理者はこれら
の権利、オブジェクト、およびトランザクションを、企
業組織の職務と関連づけなければならない。これを可能
にするためには、役割タイプと役割インスタンスの概念
を定義しなければならない。
法の概要を示す。企業コンピュータ・システムのユーザ
である個人5は、割り当てられた職務6を果たす従業員
である。各職務6には1組の職能タスクが関連づけられ
ている。したがって、職務6はタスクを企業組織階層内
のユーザに関連づける。各タスクは1組の権限を必要と
する。この権限は、当該タスクを行うのに必要な1組の
オブジェクト4に対する1組の特定のアクセス権と見る
ことができる。したがって、各職務6は最終的にユーザ
を、1組のオブジェクト4に対する特定のアクセス権に
関連づける。したがって、セキュリティ管理者はこれら
の権利、オブジェクト、およびトランザクションを、企
業組織の職務と関連づけなければならない。これを可能
にするためには、役割タイプと役割インスタンスの概念
を定義しなければならない。
【0037】図3に、職務6、役割タイプ2、および役
割インスタンス3の作成を示す。この図は、マトリック
スの左側にたとえば組織単位7および職務6などの組織
構造を示し、最上部に1組の役割タイプ2を示してい
る。マトリックスの欄内の「X」は、それに対応する役
割タイプ2の役割インスタンス3が職務6に割り当てら
れていることを示す。役割タイプ2をインスタンス化す
るのに必要なパラメータ値は、個々の職務6またはそれ
より上位のレベルの組織単位の属性から導き出される。
これらの属性の値によって、職務6に役割インスタンス
3を介して割り当てられる実際の権限が決まる。職務6
は、欄の陰影付きフィールドで示されるように、同じ役
割インスタンス3を共用することができる。
割インスタンス3の作成を示す。この図は、マトリック
スの左側にたとえば組織単位7および職務6などの組織
構造を示し、最上部に1組の役割タイプ2を示してい
る。マトリックスの欄内の「X」は、それに対応する役
割タイプ2の役割インスタンス3が職務6に割り当てら
れていることを示す。役割タイプ2をインスタンス化す
るのに必要なパラメータ値は、個々の職務6またはそれ
より上位のレベルの組織単位の属性から導き出される。
これらの属性の値によって、職務6に役割インスタンス
3を介して割り当てられる実際の権限が決まる。職務6
は、欄の陰影付きフィールドで示されるように、同じ役
割インスタンス3を共用することができる。
【0038】職務6は、職務6をどの程度細分化する意
図であるかに応じて、1つまたは複数の役割インスタン
ス3に関連づけられる。これらの役割インスタンス3
は、様々な役割タイプ2から導き出される。たとえば、
「個人融資」の「スタッフ・メンバー2」という職務に
関連づけられる役割インスタンスは3つあり、1つは
「融資専門家」という役割タイプ、1つは「顧客相談
係」、もう1つは「銀行員」という役割タイプから導き
出される。
図であるかに応じて、1つまたは複数の役割インスタン
ス3に関連づけられる。これらの役割インスタンス3
は、様々な役割タイプ2から導き出される。たとえば、
「個人融資」の「スタッフ・メンバー2」という職務に
関連づけられる役割インスタンスは3つあり、1つは
「融資専門家」という役割タイプ、1つは「顧客相談
係」、もう1つは「銀行員」という役割タイプから導き
出される。
【0039】マトリックス内の網かけした欄で示されて
いる通り、「個人融資」部の「スタッフ・メンバー1」
と「スタッフ・メンバー2」のように類似した職務は、
同じ役割インスタンスに割り当てられることが多い。こ
れは、役割タイプのインスタンス化に関連する属性がい
ずれも、職務間で異なることがないためである。しか
し、異なる組織単位7内の異なる職務6または類似した
職務6は、役割タイプのインスタンス化のために異なる
属性値を提供するため、通常同一の役割タイプ2の異な
る役割インスタンス3に関連づけられる。上記の例で
は、役割タイプ「融資専門家」は、「物件査定」部の
「チーム・リーダー」職および「スタッフ・メンバー
1」職という2つの異なる職務に結び付けられる2つの
異なるインスタンスにインスタンス化される。
いる通り、「個人融資」部の「スタッフ・メンバー1」
と「スタッフ・メンバー2」のように類似した職務は、
同じ役割インスタンスに割り当てられることが多い。こ
れは、役割タイプのインスタンス化に関連する属性がい
ずれも、職務間で異なることがないためである。しか
し、異なる組織単位7内の異なる職務6または類似した
職務6は、役割タイプのインスタンス化のために異なる
属性値を提供するため、通常同一の役割タイプ2の異な
る役割インスタンス3に関連づけられる。上記の例で
は、役割タイプ「融資専門家」は、「物件査定」部の
「チーム・リーダー」職および「スタッフ・メンバー
1」職という2つの異なる職務に結び付けられる2つの
異なるインスタンスにインスタンス化される。
【0040】作業分担は、1つの職務6を複数の個人5
に割り当てることによってモデル化することができる。
一方、1人の人5に複数の職務6を割り当てることもで
きる。たとえば、ある部の「スタッフ・メンバー」職に
就いている個人5が、おそらくは一時的に、「部長」の
役割を果たすことができる。当然、義務の分離という理
由から、ある職務6への割り当てによって別のある職務
6への割り当てが排除されることがある。たとえば、
「セキュリティ管理者」という職務6に就いている個人
5を、「監査人」という職務6に割り当てることはでき
ない。そうしないと、「セキュリティ管理者」の活動の
責任が失われてしまうことになるためである。
に割り当てることによってモデル化することができる。
一方、1人の人5に複数の職務6を割り当てることもで
きる。たとえば、ある部の「スタッフ・メンバー」職に
就いている個人5が、おそらくは一時的に、「部長」の
役割を果たすことができる。当然、義務の分離という理
由から、ある職務6への割り当てによって別のある職務
6への割り当てが排除されることがある。たとえば、
「セキュリティ管理者」という職務6に就いている個人
5を、「監査人」という職務6に割り当てることはでき
ない。そうしないと、「セキュリティ管理者」の活動の
責任が失われてしまうことになるためである。
【0041】図4に、役割タイプのインスタンス化方法
の例を、特に図3の枠で囲んだマトリックス・セル15
の役割インスタンスについてさらに詳細に示す。役割イ
ンスタンス3は、役割タイプ2によって定義された相対
権限を、オブジェクト4、および組織単位7または職務
6に固有のアクセス権と結合する。これを行うために、
まず、各組織単位および各および各職務6について1組
の属性を、役割タイプ・インスタンス化に関連するもの
として宣言しなければならない。これらの属性は、公示
されたと言われる。これはたとえば、部の識別名、部組
織単位の場所属性、または職務6のプロジェクト識別名
属性などである。次に、いわゆる相対資源セット8を定
義し、役割タイプ2に関連づけることができる。相対資
源セット8は、企業で公示されているパラメータの中か
ら、インスタンス化しようとするパラメータを指定す
る。たとえば次のように、各場所で使用できるプリンタ
を列挙することによって、「プリンタ」(printL
ocation)という相対資源セットを定義すること
ができる。 プリンタ(ベープリンゲン): ={p2160,p2
240,...} プリンタ(ハイデルベルク): ={prt01,pr
t02,...}
の例を、特に図3の枠で囲んだマトリックス・セル15
の役割インスタンスについてさらに詳細に示す。役割イ
ンスタンス3は、役割タイプ2によって定義された相対
権限を、オブジェクト4、および組織単位7または職務
6に固有のアクセス権と結合する。これを行うために、
まず、各組織単位および各および各職務6について1組
の属性を、役割タイプ・インスタンス化に関連するもの
として宣言しなければならない。これらの属性は、公示
されたと言われる。これはたとえば、部の識別名、部組
織単位の場所属性、または職務6のプロジェクト識別名
属性などである。次に、いわゆる相対資源セット8を定
義し、役割タイプ2に関連づけることができる。相対資
源セット8は、企業で公示されているパラメータの中か
ら、インスタンス化しようとするパラメータを指定す
る。たとえば次のように、各場所で使用できるプリンタ
を列挙することによって、「プリンタ」(printL
ocation)という相対資源セットを定義すること
ができる。 プリンタ(ベープリンゲン): ={p2160,p2
240,...} プリンタ(ハイデルベルク): ={prt01,pr
t02,...}
【0042】この「printLocation」パラ
メータは、部の公示された「場所」属性を参照するもの
として宣言される。
メータは、部の公示された「場所」属性を参照するもの
として宣言される。
【0043】したがって、ある組織単位7に所属する職
務6が、パラメータ化された相対資源セット8に関連づ
けられた役割タイプ2と組み合わされると、当該職務6
の公示された属性の値を使用してパラメータをインスタ
ンス化することによって実際の資源を決定することがで
きる。図4の例で、 1. 個人融資がハイデルベルクにあり、 2. 相対資源セット8「プリンタ(printLoc
ation)」が、「使用」許可を持つ役割タイプ2
「銀行員」に関連づけられており、 3. 「個人融資」部の「スタッフ・メンバー1」に役
割タイプ2「銀行員」が割り当てられている場合、 「スタッフ・メンバー1」はプリンタ「prt01,p
rt02,...」の「使用」アクセス権を持つことに
なる。
務6が、パラメータ化された相対資源セット8に関連づ
けられた役割タイプ2と組み合わされると、当該職務6
の公示された属性の値を使用してパラメータをインスタ
ンス化することによって実際の資源を決定することがで
きる。図4の例で、 1. 個人融資がハイデルベルクにあり、 2. 相対資源セット8「プリンタ(printLoc
ation)」が、「使用」許可を持つ役割タイプ2
「銀行員」に関連づけられており、 3. 「個人融資」部の「スタッフ・メンバー1」に役
割タイプ2「銀行員」が割り当てられている場合、 「スタッフ・メンバー1」はプリンタ「prt01,p
rt02,...」の「使用」アクセス権を持つことに
なる。
【0044】この場合、新しい役割インスタンス3を作
成しなければならないかどうかは、同じパラメータを使
って「銀行員」役割タイプ2がすでにインスタンス化さ
れているかどうかによって決まる。すでにインスタンス
化されていれば、「スタッフ・メンバー1」には既存の
役割インスタンス3「銀行員(...、ハイデルベル
ク、...)が割り当てられるだけである。
成しなければならないかどうかは、同じパラメータを使
って「銀行員」役割タイプ2がすでにインスタンス化さ
れているかどうかによって決まる。すでにインスタンス
化されていれば、「スタッフ・メンバー1」には既存の
役割インスタンス3「銀行員(...、ハイデルベル
ク、...)が割り当てられるだけである。
【0045】図5に、本発明の方法の役割タイプの階層
を示す。役割タイプの指定によって取り込まれるアクセ
ス制御方針セマンティクスは、業務活動および企業の管
理を行うのに必要な総称アクセス権、資源、およびトラ
ンザクションの機能区分化および包含を反映する。この
区分化および包含は、企業のユーザの職務6および組織
のコンテキストすなわち組織単位7からは独立したデー
タ・アクセスおよびアプリケーション・アクセス関係を
カバーすることを意図したものである。役割インスタン
ス3および職務6によって取り込まれるアクセス制御セ
マンティクスは、必要知識方針や義務分離方針などの企
業の方針によって組織単位7に課せられた制約を反映す
る。
を示す。役割タイプの指定によって取り込まれるアクセ
ス制御方針セマンティクスは、業務活動および企業の管
理を行うのに必要な総称アクセス権、資源、およびトラ
ンザクションの機能区分化および包含を反映する。この
区分化および包含は、企業のユーザの職務6および組織
のコンテキストすなわち組織単位7からは独立したデー
タ・アクセスおよびアプリケーション・アクセス関係を
カバーすることを意図したものである。役割インスタン
ス3および職務6によって取り込まれるアクセス制御セ
マンティクスは、必要知識方針や義務分離方針などの企
業の方針によって組織単位7に課せられた制約を反映す
る。
【0046】役割タイプ2は、1組の総称パラメータ依
存資源およびそれに関連する許可またはアクセス権とし
て定義される。特別な場合にはどのパラメータにも依存
しない具体的資源も含まれることがある。役割タイプ2
は「包含された」関係によって階層的に編成することが
できる。第1の役割タイプ16が第2の役割タイプ17
を含む場合、第1の役割タイプ16のインスタンス18
にとって使用可能なアクセス権の集合には、第2の役割
タイプ17の対応するインスタンス19にとって使用可
能なアクセス権が含まれる。この文脈における「対応す
る」という表現は、両方の役割タイプ16、17が同じ
パラメータ値を用いてインスタンス化されているという
意味である。包含する役割タイプ16は少なくとも、包
含される役割タイプ17のパラメータを持っていなけれ
ばならず、それ以上のパラメータを持っていてもよい。
存資源およびそれに関連する許可またはアクセス権とし
て定義される。特別な場合にはどのパラメータにも依存
しない具体的資源も含まれることがある。役割タイプ2
は「包含された」関係によって階層的に編成することが
できる。第1の役割タイプ16が第2の役割タイプ17
を含む場合、第1の役割タイプ16のインスタンス18
にとって使用可能なアクセス権の集合には、第2の役割
タイプ17の対応するインスタンス19にとって使用可
能なアクセス権が含まれる。この文脈における「対応す
る」という表現は、両方の役割タイプ16、17が同じ
パラメータ値を用いてインスタンス化されているという
意味である。包含する役割タイプ16は少なくとも、包
含される役割タイプ17のパラメータを持っていなけれ
ばならず、それ以上のパラメータを持っていてもよい。
【0047】役割タイプの階層は、数学用語で言うラテ
ィス構造を定義する。自明のこととしてラティスの最上
部はすべてのオブジェクト4に対するすべてのタイプの
アクセス権を含むことができ、最下部はそれぞれの空集
合を含むことができる。当然、非自明の最上部および最
下部を持つラティスを定義することができる。システム
内の役割タイプのラティスをインスタンス化する場合、
ラティスの最上部と最下部は、どの特定の役割インスタ
ンス3および職務6にも使用する必要がない。
ィス構造を定義する。自明のこととしてラティスの最上
部はすべてのオブジェクト4に対するすべてのタイプの
アクセス権を含むことができ、最下部はそれぞれの空集
合を含むことができる。当然、非自明の最上部および最
下部を持つラティスを定義することができる。システム
内の役割タイプのラティスをインスタンス化する場合、
ラティスの最上部と最下部は、どの特定の役割インスタ
ンス3および職務6にも使用する必要がない。
【0048】職務6の総称権能の集合およびそれから導
出される役割タイプ2が、 1. 包含される関係による階層として構築することが
でき、 2. それほど頻繁には変化しない ということが、役割タイプ階層という概念に至る暗黙の
仮定条件である。
出される役割タイプ2が、 1. 包含される関係による階層として構築することが
でき、 2. それほど頻繁には変化しない ということが、役割タイプ階層という概念に至る暗黙の
仮定条件である。
【0049】企業のアクセス制御方針は企業組織内に構
築された階層的関係および職能を反映するように定義さ
れることが多いため、第1の仮定条件は現実的であると
思われる。企業によって定義される職能は企業の業務の
特性に基づいているために安定していることから、第2
の仮定条件も現実的であると思われる。職能の定義はそ
れほど頻繁には変わらないため、職務6に必要なオブジ
ェクト4に対するアクセス権の集合は、あまり頻繁には
変化しないと予想される。どちらの仮定条件もラティス
への新しい役割タイプ2の追加を妨げたり、企業への新
しい役割インスタンス3および職務6の追加を妨げたり
しないということが重要である。
築された階層的関係および職能を反映するように定義さ
れることが多いため、第1の仮定条件は現実的であると
思われる。企業によって定義される職能は企業の業務の
特性に基づいているために安定していることから、第2
の仮定条件も現実的であると思われる。職能の定義はそ
れほど頻繁には変わらないため、職務6に必要なオブジ
ェクト4に対するアクセス権の集合は、あまり頻繁には
変化しないと予想される。どちらの仮定条件もラティス
への新しい役割タイプ2の追加を妨げたり、企業への新
しい役割インスタンス3および職務6の追加を妨げたり
しないということが重要である。
【0050】図6に、本発明のアクセス制御方法におけ
る役割タイプ階層の例を示す。この例は、図3で用いら
れれている役割タイプ2の階層を示している。この例で
は、「第二線管理職」および「第一線管理職」のアクセ
ス権は、「秘書」のアクセス権を包含し、「秘書」のア
クセス権は「タイピスト」のアクセス権を包含する。す
べての役割タイプは、「銀行員」という役割タイプを包
含する。したがって、「銀行員」は、それに対応する権
能が他のどの役割タイプへの所属によってもカバーされ
るため、図3のマトリックスから取り除くことができ
る。同じ理由で、「物件査定」部の「チーム・リーダ
ー」役割タイプは「融資専門家」の役割を包含するた
め、「物件査定部」の「チーム・リーダ」に「融資専門
家」の役割を明示的に割り当てる必要はない。
る役割タイプ階層の例を示す。この例は、図3で用いら
れれている役割タイプ2の階層を示している。この例で
は、「第二線管理職」および「第一線管理職」のアクセ
ス権は、「秘書」のアクセス権を包含し、「秘書」のア
クセス権は「タイピスト」のアクセス権を包含する。す
べての役割タイプは、「銀行員」という役割タイプを包
含する。したがって、「銀行員」は、それに対応する権
能が他のどの役割タイプへの所属によってもカバーされ
るため、図3のマトリックスから取り除くことができ
る。同じ理由で、「物件査定」部の「チーム・リーダ
ー」役割タイプは「融資専門家」の役割を包含するた
め、「物件査定部」の「チーム・リーダ」に「融資専門
家」の役割を明示的に割り当てる必要はない。
【0051】図7に、パラメータ化された相対資源セッ
ト8から具体的資源セット9および個別資源10をイン
スタンス化する様子を示す。パラメータ化された相対資
源セット8は、パラメータ化された役割タイプ2に関連
づけられる。たとえば企業の職務6や組織単位7などコ
ンピュータ・システム内のサブジェクト6、7によって
提供されたパラメータ値を用いてパラメータ化された相
対的資源セット8から、具体的資源セット9が導き出さ
れる。個別資源10は、具体的資源セット9にグループ
化される。たとえば、考えられる1つのパラメータ化さ
れた相対資源セット8は、「printlocatio
n」というパラメータによる「プリンタ」という資源セ
ットである。場所パラメータ、たとえばハイデルベルク
という場所を提供することによって、相対資源セット8
が、ハイデルベルクという場所のすべてのプリンタを含
む具体的資源セット9にインスタンス化される。ハイデ
ルベルクという場所のこれらのプリンタは、個別資源1
0を表す。
ト8から具体的資源セット9および個別資源10をイン
スタンス化する様子を示す。パラメータ化された相対資
源セット8は、パラメータ化された役割タイプ2に関連
づけられる。たとえば企業の職務6や組織単位7などコ
ンピュータ・システム内のサブジェクト6、7によって
提供されたパラメータ値を用いてパラメータ化された相
対的資源セット8から、具体的資源セット9が導き出さ
れる。個別資源10は、具体的資源セット9にグループ
化される。たとえば、考えられる1つのパラメータ化さ
れた相対資源セット8は、「printlocatio
n」というパラメータによる「プリンタ」という資源セ
ットである。場所パラメータ、たとえばハイデルベルク
という場所を提供することによって、相対資源セット8
が、ハイデルベルクという場所のすべてのプリンタを含
む具体的資源セット9にインスタンス化される。ハイデ
ルベルクという場所のこれらのプリンタは、個別資源1
0を表す。
【0052】図8に、組織レベル20とシステム・レベ
ル21のアクセス権を制御する方法の概要を示す。シス
テム・レベル21では個人5がユーザ22として表され
ており、1人の個人5が複数のユーザ識別名を持つこと
ができることが示されている。この識別名は役割情報か
ら導き出すことができ、アクセス権を導き出す(自動許
可)のと同じようにして自動的に生成(自動登録)する
ことができる。さらに、組織レベル20上の役割インス
タンス3はシステム・レベル21上のグループ23によ
って表される。さらに、具体的資源セット9はシステム
・レベル21の個別資源10によって表される。
ル21のアクセス権を制御する方法の概要を示す。シス
テム・レベル21では個人5がユーザ22として表され
ており、1人の個人5が複数のユーザ識別名を持つこと
ができることが示されている。この識別名は役割情報か
ら導き出すことができ、アクセス権を導き出す(自動許
可)のと同じようにして自動的に生成(自動登録)する
ことができる。さらに、組織レベル20上の役割インス
タンス3はシステム・レベル21上のグループ23によ
って表される。さらに、具体的資源セット9はシステム
・レベル21の個別資源10によって表される。
【0053】図9に、本発明で開示するアクセス権の許
可および制御のためのシステムの好ましい実施例を示
す。コンピュータ・システムのサブジェクト1に関連づ
けられコンピュータ・システムのオブジェクト4に対す
る各サブジェクト1のアクセス権を含む権限リスト30
を、適切な手段32によって導き出されて、コンピュー
タ・システムのオブジェクト4に関連づけられ各オブジ
ェクト4に対するコンピュータ・システムのサブジェク
ト1のアクセス権を含むアクセス制御リスト31にする
ことができる様子が示されている。導出手段32は、ハ
ードウェアまたはソフトウェアによって実施することが
できる。さらに、既存のアクセス制御リスト31から権
限リスト30を導き出すこともできる。
可および制御のためのシステムの好ましい実施例を示
す。コンピュータ・システムのサブジェクト1に関連づ
けられコンピュータ・システムのオブジェクト4に対す
る各サブジェクト1のアクセス権を含む権限リスト30
を、適切な手段32によって導き出されて、コンピュー
タ・システムのオブジェクト4に関連づけられ各オブジ
ェクト4に対するコンピュータ・システムのサブジェク
ト1のアクセス権を含むアクセス制御リスト31にする
ことができる様子が示されている。導出手段32は、ハ
ードウェアまたはソフトウェアによって実施することが
できる。さらに、既存のアクセス制御リスト31から権
限リスト30を導き出すこともできる。
【0054】図10に、アクセス権の許可および制御の
ために本発明のシステムを使用してオブジェクト単位の
検討40を行うことができる様子を示す。この例では、
アクセス権は実行許可「X」、読取り許可「R」、また
は書込み許可「W」とすることができる。本発明の制御
システムは、コンピュータ・システムのオブジェクト4
に関連するアクセス制御リスト31を提供するので、各
オブジェクト4に対するコンピュータ・システム内のグ
ループ23のすべてのアクセス権を決定するために、こ
れらのアクセス制御リスト31を検討することができ
る。グループ23は、インスタンス、すなわちパラメー
タ化された役割タイプ2の役割インスタンス3を表現し
たものである。役割タイプ2は、職務6によって提供さ
れる少なくとも1つのパラメータ値によってインスタン
ス化される。この職務6に割り当てられる個人5は、少
なくとも1つのユーザ識別名を持つ。
ために本発明のシステムを使用してオブジェクト単位の
検討40を行うことができる様子を示す。この例では、
アクセス権は実行許可「X」、読取り許可「R」、また
は書込み許可「W」とすることができる。本発明の制御
システムは、コンピュータ・システムのオブジェクト4
に関連するアクセス制御リスト31を提供するので、各
オブジェクト4に対するコンピュータ・システム内のグ
ループ23のすべてのアクセス権を決定するために、こ
れらのアクセス制御リスト31を検討することができ
る。グループ23は、インスタンス、すなわちパラメー
タ化された役割タイプ2の役割インスタンス3を表現し
たものである。役割タイプ2は、職務6によって提供さ
れる少なくとも1つのパラメータ値によってインスタン
ス化される。この職務6に割り当てられる個人5は、少
なくとも1つのユーザ識別名を持つ。
【0055】図10に示すように、本発明で開示するア
クセス権の許可および制御を行う本発明のシステムによ
って、サブジェクト単位検討41を実行することができ
る。個人5が割り当てられる職務6は役割と関連づけら
れる。この役割には、コンピュータ・システムのオブジ
ェクト4に対するその役割のアクセス権が割り当てられ
る。本発明のシステムは、各役割のためのこれらのアク
セス権が入った権限リスト30を含む。さらに、このシ
ステムは権限リスト30から新しいアクセス制御リスト
31を生成したり、既存のアクセス制御リストを修正し
たりする導出手段32を含む。
クセス権の許可および制御を行う本発明のシステムによ
って、サブジェクト単位検討41を実行することができ
る。個人5が割り当てられる職務6は役割と関連づけら
れる。この役割には、コンピュータ・システムのオブジ
ェクト4に対するその役割のアクセス権が割り当てられ
る。本発明のシステムは、各役割のためのこれらのアク
セス権が入った権限リスト30を含む。さらに、このシ
ステムは権限リスト30から新しいアクセス制御リスト
31を生成したり、既存のアクセス制御リストを修正し
たりする導出手段32を含む。
【0056】まとめとして、本発明の構成に関して以下
の事項を開示する。
の事項を開示する。
【0057】(1)サブジェクト1が少なくとも1つの
役割に関連づけられていることを特徴とする、コンピュ
ータ・システム内の少なくとも1つのオブジェクト4に
対する少なくとも1つのサブジェクト1のアクセス権を
制御する方法であって、前記サブジェクト1の前記役割
への所属に応じて前記アクセス権を制御するステップを
含み、役割タイプ2が提供され、前記役割が役割インス
タンス3として表現されることを特徴とし、前記方法が
前記役割タイプ2を前記役割インスタンス3にインスタ
ンス化するステップである前記役割タイプ2から前記役
割インスタンス3を導き出す事前ステップをさらに含む
方法。 (2)少なくとも1つのパラメータ値が提供され、前記
役割タイプ2がパラメータ化された役割タイプ2である
ことを特徴とする方法であって、前記パラメータ化され
た役割タイプ2が前記パラメータ値を用いてインスタン
ス化されるステップをさらに含む、上記(1)に記載の
方法。 (3)少なくとも1つの具体的資源セット9が提供され
ることを特徴とする方法であって、前記具体的資源セッ
ト9のうちの少なくとも1つの具体的資源セットの要素
として前記オブジェクト4を提供するステップをさらに
含む、上記(1)または(2)に記載の方法。 (4)少なくとも1つのパラメータ値が提供され、少な
くとも1つのパラメータ化された相対資源セット8が提
供されることを特徴とする方法であって、前記パラメー
タ値を用いて、前記パラメータ化された相対資源セット
8を前記具体的資源セット9にインスタンス化するステ
ップである前記パラメータ値を用いて、前記パラメータ
化された相対資源セット8から前記具体的資源セット9
を導き出すステップをさらに含む、上記(3)に記載の
方法。 (5)前記サブジェクト1が前記パラメータ値を提供す
るステップをさらに含む、上記(2)ないし(4)のい
ずれかに記載の方法。 (6)前記サブジェクト1の組織の組織単位7内の職務
6が提供されることを特徴とする方法であって、前記職
務6または前記組織単位7が前記パラメータ値を提供す
るステップをさらに含む、上記(5)に記載の方法。 (7)前記職務6を前記役割タイプ2のうちの少なくと
も1つと組み合わせるステップをさらに含む、上記
(6)に記載の方法。 (8)前記パラメータ化された相対資源セット8のうち
の少なくとも1つを前記役割タイプ2と関連させるステ
ップをさらに含む、上記(4)ないし(7)のいずれか
に記載の方法。 (9)前記役割インスタンス3を導き出し、前記具体的
資源セット9およびオブジェクト4を導き出す構成ステ
ップを実行するステップをさらに含む、上記(3)ない
し(8)のいずれかに記載の方法。 (10)前記役割タイプ2に関連する権限リスト・タイ
プを指定するステップと、前記権限リスト30が前記役
割インスタンス3の前記オブジェクト4に対する前記ア
クセス権を提供する、前記権限リスト・タイプから対応
する役割インスタンス3に関連する権限リスト30を導
き出す構成ステップを行うステップをさらに含む、上記
(3)ないし(9)のいずれかに記載の方法。 (11)前記アクセス制御リスト31が前記サブジェク
ト1の前記オブジェクト4に対する前記アクセス権を提
供する、前記具体的資源セット9およびオブジェクト4
に関連するアクセス制御リスト31を生成または修正す
るステップをさらに含む、上記(9)または(10)に
記載の方法。 (12)前記役割タイプ2が階層的に編成されているこ
とを特徴とする、上記(1)ないし(11)のいずれか
に記載の方法。 (13)少なくとも1つのサブジェクト1の少なくとも
1つのオブジェクト4に対するアクセス権を登録、許
可、および制御するコンピュータ・システムであって、
前記システムが各オブジェクト4においてアクセス制御
リスト31を含み、前記アクセス制御リスト31が前記
サブジェクト1の前記オブジェクト4に対するアクセス
権を提供し、前記システムが前記サブジェクト1に関連
する権限リスト30をさらに含む、前記権限リスト30
が前記サブジェクト1の前記オブジェクト4に対するア
クセス権を提供することを特徴とする、コンピュータ・
システム。 (14)前記サブジェクト1に関連する前記権限リスト
30から、前記オブジェクト(4)における前記アクセ
ス制御リスト31を導出32する手段をさらに含む、上
記(13)に記載の方法。 (15)前記システムの構成ステップ時に前記アクセス
制御リスト31を導出32する手段をさらに含む、上記
(13)または(14)に記載の方法。 (16)役割ベース・アクセス制御システムから、前記
権限リスト30を導出32する手段をさらに含む、上記
(13)ないし(15)のいずれかに記載のシステム。 (17)前記権限リスト30から、特に前記権限リスト
30のオブジェクト4の場所から必要なユーザ・アカウ
ントの導出および生成を行う手段をさらに含む、上記
(13)ないし(16)のいずれかに記載のシステム。
役割に関連づけられていることを特徴とする、コンピュ
ータ・システム内の少なくとも1つのオブジェクト4に
対する少なくとも1つのサブジェクト1のアクセス権を
制御する方法であって、前記サブジェクト1の前記役割
への所属に応じて前記アクセス権を制御するステップを
含み、役割タイプ2が提供され、前記役割が役割インス
タンス3として表現されることを特徴とし、前記方法が
前記役割タイプ2を前記役割インスタンス3にインスタ
ンス化するステップである前記役割タイプ2から前記役
割インスタンス3を導き出す事前ステップをさらに含む
方法。 (2)少なくとも1つのパラメータ値が提供され、前記
役割タイプ2がパラメータ化された役割タイプ2である
ことを特徴とする方法であって、前記パラメータ化され
た役割タイプ2が前記パラメータ値を用いてインスタン
ス化されるステップをさらに含む、上記(1)に記載の
方法。 (3)少なくとも1つの具体的資源セット9が提供され
ることを特徴とする方法であって、前記具体的資源セッ
ト9のうちの少なくとも1つの具体的資源セットの要素
として前記オブジェクト4を提供するステップをさらに
含む、上記(1)または(2)に記載の方法。 (4)少なくとも1つのパラメータ値が提供され、少な
くとも1つのパラメータ化された相対資源セット8が提
供されることを特徴とする方法であって、前記パラメー
タ値を用いて、前記パラメータ化された相対資源セット
8を前記具体的資源セット9にインスタンス化するステ
ップである前記パラメータ値を用いて、前記パラメータ
化された相対資源セット8から前記具体的資源セット9
を導き出すステップをさらに含む、上記(3)に記載の
方法。 (5)前記サブジェクト1が前記パラメータ値を提供す
るステップをさらに含む、上記(2)ないし(4)のい
ずれかに記載の方法。 (6)前記サブジェクト1の組織の組織単位7内の職務
6が提供されることを特徴とする方法であって、前記職
務6または前記組織単位7が前記パラメータ値を提供す
るステップをさらに含む、上記(5)に記載の方法。 (7)前記職務6を前記役割タイプ2のうちの少なくと
も1つと組み合わせるステップをさらに含む、上記
(6)に記載の方法。 (8)前記パラメータ化された相対資源セット8のうち
の少なくとも1つを前記役割タイプ2と関連させるステ
ップをさらに含む、上記(4)ないし(7)のいずれか
に記載の方法。 (9)前記役割インスタンス3を導き出し、前記具体的
資源セット9およびオブジェクト4を導き出す構成ステ
ップを実行するステップをさらに含む、上記(3)ない
し(8)のいずれかに記載の方法。 (10)前記役割タイプ2に関連する権限リスト・タイ
プを指定するステップと、前記権限リスト30が前記役
割インスタンス3の前記オブジェクト4に対する前記ア
クセス権を提供する、前記権限リスト・タイプから対応
する役割インスタンス3に関連する権限リスト30を導
き出す構成ステップを行うステップをさらに含む、上記
(3)ないし(9)のいずれかに記載の方法。 (11)前記アクセス制御リスト31が前記サブジェク
ト1の前記オブジェクト4に対する前記アクセス権を提
供する、前記具体的資源セット9およびオブジェクト4
に関連するアクセス制御リスト31を生成または修正す
るステップをさらに含む、上記(9)または(10)に
記載の方法。 (12)前記役割タイプ2が階層的に編成されているこ
とを特徴とする、上記(1)ないし(11)のいずれか
に記載の方法。 (13)少なくとも1つのサブジェクト1の少なくとも
1つのオブジェクト4に対するアクセス権を登録、許
可、および制御するコンピュータ・システムであって、
前記システムが各オブジェクト4においてアクセス制御
リスト31を含み、前記アクセス制御リスト31が前記
サブジェクト1の前記オブジェクト4に対するアクセス
権を提供し、前記システムが前記サブジェクト1に関連
する権限リスト30をさらに含む、前記権限リスト30
が前記サブジェクト1の前記オブジェクト4に対するア
クセス権を提供することを特徴とする、コンピュータ・
システム。 (14)前記サブジェクト1に関連する前記権限リスト
30から、前記オブジェクト(4)における前記アクセ
ス制御リスト31を導出32する手段をさらに含む、上
記(13)に記載の方法。 (15)前記システムの構成ステップ時に前記アクセス
制御リスト31を導出32する手段をさらに含む、上記
(13)または(14)に記載の方法。 (16)役割ベース・アクセス制御システムから、前記
権限リスト30を導出32する手段をさらに含む、上記
(13)ないし(15)のいずれかに記載のシステム。 (17)前記権限リスト30から、特に前記権限リスト
30のオブジェクト4の場所から必要なユーザ・アカウ
ントの導出および生成を行う手段をさらに含む、上記
(13)ないし(16)のいずれかに記載のシステム。
【0058】
【発明の効果】上述のとおり、本願発明によって、コン
ピュータ・システムにおいてアクセス権の登録、許可、
および制御を行う方法およびシステムが提供されること
となった。
ピュータ・システムにおいてアクセス権の登録、許可、
および制御を行う方法およびシステムが提供されること
となった。
【図1】アクセス権を制御する方法の概要を示す図であ
る。
る。
【図2】役割タイプのインスタンス化の概要を示す図で
ある。
ある。
【図3】役割タイプのインスタンス化の例を示す図であ
る。
る。
【図4】図3の役割タイプのインスタンス化の例をより
詳細に示す図である。
詳細に示す図である。
【図5】本発明の方法の役割タイプの階層の態様を示す
図である。
図である。
【図6】銀行業務分野のための役割タイプ階層の例を示
す図である。
す図である。
【図7】資源セット定義の方法を示す図である。
【図8】システム・レベルでの組織単位に対するアクセ
ス権を制御する方法の概要を示す図である。
ス権を制御する方法の概要を示す図である。
【図9】アクセス権の許可および制御のためのシステム
の概要を示す図である。
の概要を示す図である。
【図10】本発明のシステムによって提供されるオブジ
ェクト単位検討およびサブジェクト単位検討の可能性を
示す図である。
ェクト単位検討およびサブジェクト単位検討の可能性を
示す図である。
3 役割インスタンス 16 役割タイプ 17 役割タイプ 18 役割タイプ16のインスタンス 30 権限リスト 40 オブジェクト単位検討 41 サブジェクト単位検討
───────────────────────────────────────────────────── フロントページの続き (72)発明者 ビクター・グライゴー アメリカ合衆国20815 メリーランド州チ ェビー・チェイス ブルックサイド・ドラ イブ 6009 (72)発明者 クルストフ・リンゲンフェルダー ドイツ ディー−69190 ヴァルドルフ ダンヘッカーシュトラーセ 44 (72)発明者 スヴェン・ローレンツ ドイツ ディー−70180 シュツットガル ト レーマーシュトラーセ 65
Claims (17)
- 【請求項1】サブジェクト1が少なくとも1つの役割に
関連づけられていることを特徴とする、コンピュータ・
システム内の少なくとも1つのオブジェクト4に対する
少なくとも1つのサブジェクト1のアクセス権を制御す
る方法であって、 前記サブジェクト1の前記役割への所属に応じて前記ア
クセス権を制御するステップを含み、 役割タイプ2が提供され、前記役割が役割インスタンス
3として表現されることを特徴とし、前記方法が前記役
割タイプ2を前記役割インスタンス3にインスタンス化
するステップである前記役割タイプ2から前記役割イン
スタンス3を導き出す事前ステップをさらに含む方法。 - 【請求項2】少なくとも1つのパラメータ値が提供さ
れ、前記役割タイプ2がパラメータ化された役割タイプ
2であることを特徴とする方法であって、 前記パラメータ化された役割タイプ2が前記パラメータ
値を用いてインスタンス化されるステップをさらに含
む、請求項1に記載の方法。 - 【請求項3】少なくとも1つの具体的資源セット9が提
供されることを特徴とする方法であって、 前記具体的資源セット9のうちの少なくとも1つの具体
的資源セットの要素として前記オブジェクト4を提供す
るステップをさらに含む、請求項1または2に記載の方
法。 - 【請求項4】少なくとも1つのパラメータ値が提供さ
れ、少なくとも1つのパラメータ化された相対資源セッ
ト8が提供されることを特徴とする方法であって、 前記パラメータ値を用いて、前記パラメータ化された相
対資源セット8を前記具体的資源セット9にインスタン
ス化するステップである前記パラメータ値を用いて、前
記パラメータ化された相対資源セット8から前記具体的
資源セット9を導き出すステップをさらに含む、請求項
3に記載の方法。 - 【請求項5】前記サブジェクト1が前記パラメータ値を
提供するステップをさらに含む、請求項2ないし4のい
ずれかに記載の方法。 - 【請求項6】前記サブジェクト1の組織の組織単位7内
の職務6が提供されることを特徴とする方法であって、 前記職務6または前記組織単位7が前記パラメータ値を
提供するステップをさらに含む、請求項5に記載の方
法。 - 【請求項7】前記職務6を前記役割タイプ2のうちの少
なくとも1つと組み合わせるステップをさらに含む、請
求項6に記載の方法。 - 【請求項8】前記パラメータ化された相対資源セット8
のうちの少なくとも1つを前記役割タイプ2と関連させ
るステップをさらに含む、請求項4ないし7のいずれか
に記載の方法。 - 【請求項9】前記役割インスタンス3を導き出し、前記
具体的資源セット9およびオブジェクト4を導き出す構
成ステップを実行するステップをさらに含む、請求項3
ないし8のいずれかに記載の方法。 - 【請求項10】前記役割タイプ2に関連する権限リスト
・タイプを指定するステップと、 前記権限リスト30が前記役割インスタンス3の前記オ
ブジェクト4に対する前記アクセス権を提供する、前記
権限リスト・タイプから対応する役割インスタンス3に
関連する権限リスト30を導き出す構成ステップを行う
ステップをさらに含む、請求項3ないし9のいずれかに
記載の方法。 - 【請求項11】前記アクセス制御リスト31が前記サブ
ジェクト1の前記オブジェクト4に対する前記アクセス
権を提供する、前記具体的資源セット9およびオブジェ
クト4に関連するアクセス制御リスト31を生成または
修正するステップをさらに含む、請求項9または10に
記載の方法。 - 【請求項12】前記役割タイプ2が階層的に編成されて
いることを特徴とする、請求項1ないし11のいずれか
に記載の方法。 - 【請求項13】少なくとも1つのサブジェクト1の少な
くとも1つのオブジェクト4に対するアクセス権を登
録、許可、および制御するコンピュータ・システムであ
って、 前記システムが各オブジェクト4においてアクセス制御
リスト31を含み、前記アクセス制御リスト31が前記
サブジェクト1の前記オブジェクト4に対するアクセス
権を提供し、 前記システムが前記サブジェクト1に関連する権限リス
ト30をさらに含む、前記権限リスト30が前記サブジ
ェクト1の前記オブジェクト4に対するアクセス権を提
供することを特徴とする、コンピュータ・システム。 - 【請求項14】前記サブジェクト1に関連する前記権限
リスト30から、前記オブジェクト(4)における前記
アクセス制御リスト31を導出32する手段をさらに含
む、請求項13に記載の方法。 - 【請求項15】前記システムの構成ステップ時に前記ア
クセス制御リスト31を導出32する手段をさらに含
む、請求項13または14に記載の方法。 - 【請求項16】役割ベース・アクセス制御システムか
ら、前記権限リスト30を導出32する手段をさらに含
む、請求項13ないし15のいずれかに記載のシステ
ム。 - 【請求項17】前記権限リスト30から、特に前記権限
リスト30のオブジェクト4の場所から必要なユーザ・
アカウントの導出および生成を行う手段をさらに含む、
請求項13ないし16のいずれかに記載のシステム。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE94112649.2 | 1994-08-15 | ||
EP94112649A EP0697662B1 (en) | 1994-08-15 | 1994-08-15 | Method and system for advanced role-based access control in distributed and centralized computer systems |
Publications (2)
Publication Number | Publication Date |
---|---|
JPH0887454A true JPH0887454A (ja) | 1996-04-02 |
JP3074638B2 JP3074638B2 (ja) | 2000-08-07 |
Family
ID=8216196
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP07196706A Expired - Fee Related JP3074638B2 (ja) | 1994-08-15 | 1995-08-01 | アクセス制御方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US5911143A (ja) |
EP (1) | EP0697662B1 (ja) |
JP (1) | JP3074638B2 (ja) |
CA (1) | CA2154020C (ja) |
DE (1) | DE69427347T2 (ja) |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004341896A (ja) * | 2003-05-16 | 2004-12-02 | Nippon Telegr & Teleph Corp <Ntt> | 属性承認装置、属性承認リソース管理装置、および属性承認装置監査統計サーバ |
JP2007004549A (ja) * | 2005-06-24 | 2007-01-11 | Nippon Telegr & Teleph Corp <Ntt> | アクセス制御方法 |
EP0848334A4 (en) * | 1996-07-01 | 2007-08-29 | Fujitsu Ltd | METHOD AND DEVICE FOR MANAGING THE USE OF SHARED RESOURCES BY SEVERAL GROUPS |
JP2009509227A (ja) * | 2005-09-16 | 2009-03-05 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | 暗号化による役割ベースのアクセス制御 |
JP2009110401A (ja) * | 2007-10-31 | 2009-05-21 | Hitachi Ltd | ファイル共有システム及びファイル共有方法 |
JP2009541861A (ja) * | 2006-06-22 | 2009-11-26 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | 医療用アドホックボディセンサネットワークのための先進的アクセス制御 |
JP2009544076A (ja) * | 2006-07-11 | 2009-12-10 | エフエムアール エルエルシー | マルチカスタマーコンピューティング環境におけるロールベースのアクセス |
EP2159729A1 (en) | 2008-08-27 | 2010-03-03 | Fujitsu Limited | Access controlling system, access controlling method, and recording medium having access controlling program recorded thereon |
JP2011186891A (ja) * | 2010-03-10 | 2011-09-22 | Fujitsu Ltd | 情報管理装置および方法 |
US8429463B2 (en) | 2008-09-30 | 2013-04-23 | Fujitsu Limited | Log management method and apparatus, information processing apparatus with log management apparatus and storage medium |
JP2013522726A (ja) * | 2010-03-08 | 2013-06-13 | ヴイエムウェア インク | 仮想化環境におけるタスクベースのアクセス制御 |
JP2014059886A (ja) * | 2002-11-12 | 2014-04-03 | E M D Millipore Corp | 機器アクセス制御システム |
JP2014512628A (ja) * | 2011-04-30 | 2014-05-22 | ヴイエムウェア インコーポレイテッド | コンピュータリソースのエンタイトルメントおよびプロビジョニングのためのグループの動的管理 |
JP2020508523A (ja) * | 2017-02-27 | 2020-03-19 | イヴァンティ,インコーポレイテッド | ロールベースコンピュータセキュリティ構成のシステム及び方法 |
Families Citing this family (308)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10361802B1 (en) | 1999-02-01 | 2019-07-23 | Blanding Hovenweep, Llc | Adaptive pattern recognition based control system and method |
US6055637A (en) * | 1996-09-27 | 2000-04-25 | Electronic Data Systems Corporation | System and method for accessing enterprise-wide resources by presenting to the resource a temporary credential |
US6023765A (en) * | 1996-12-06 | 2000-02-08 | The United States Of America As Represented By The Secretary Of Commerce | Implementation of role-based access control in multi-level secure systems |
US6006193A (en) * | 1996-12-18 | 1999-12-21 | Gibson; Kenneth U. | Computer executable workflow control system |
US6408336B1 (en) * | 1997-03-10 | 2002-06-18 | David S. Schneider | Distributed administration of access to information |
US8914410B2 (en) * | 1999-02-16 | 2014-12-16 | Sonicwall, Inc. | Query interface to policy server |
US7580919B1 (en) | 1997-03-10 | 2009-08-25 | Sonicwall, Inc. | Query interface to policy server |
US7272625B1 (en) | 1997-03-10 | 2007-09-18 | Sonicwall, Inc. | Generalized policy server |
US7821926B2 (en) | 1997-03-10 | 2010-10-26 | Sonicwall, Inc. | Generalized policy server |
JP3731980B2 (ja) * | 1997-08-20 | 2006-01-05 | 富士通株式会社 | コンピュータネットワークシステム及び携帯型コンピュータ |
WO1999017209A1 (en) * | 1997-09-30 | 1999-04-08 | Softline Inc. | Method and apparatus for managing security in a database system |
US6005571A (en) * | 1997-09-30 | 1999-12-21 | Softline, Inc. | Graphical user interface for managing security in a database system |
US6202066B1 (en) * | 1997-11-19 | 2001-03-13 | The United States Of America As Represented By The Secretary Of Commerce | Implementation of role/group permission association using object access type |
US6044466A (en) * | 1997-11-25 | 2000-03-28 | International Business Machines Corp. | Flexible and dynamic derivation of permissions |
US6088679A (en) * | 1997-12-01 | 2000-07-11 | The United States Of America As Represented By The Secretary Of Commerce | Workflow management employing role-based access control |
US6357010B1 (en) | 1998-02-17 | 2002-03-12 | Secure Computing Corporation | System and method for controlling access to documents stored on an internal network |
US6901426B1 (en) * | 1998-05-08 | 2005-05-31 | E-Talk Corporation | System and method for providing access privileges for users in a performance evaluation system |
US6161051A (en) * | 1998-05-08 | 2000-12-12 | Rockwell Technologies, Llc | System, method and article of manufacture for utilizing external models for enterprise wide control |
US6449643B1 (en) * | 1998-05-14 | 2002-09-10 | Nortel Networks Limited | Access control with just-in-time resource discovery |
US6279111B1 (en) * | 1998-06-12 | 2001-08-21 | Microsoft Corporation | Security model using restricted tokens |
US6308273B1 (en) | 1998-06-12 | 2001-10-23 | Microsoft Corporation | Method and system of security location discrimination |
US6505300B2 (en) | 1998-06-12 | 2003-01-07 | Microsoft Corporation | Method and system for secure running of untrusted content |
US6308274B1 (en) | 1998-06-12 | 2001-10-23 | Microsoft Corporation | Least privilege via restricted tokens |
AU4568299A (en) * | 1998-06-15 | 2000-01-05 | Dmw Worldwide, Inc. | Method and apparatus for assessing the security of a computer system |
US6453353B1 (en) * | 1998-07-10 | 2002-09-17 | Entrust, Inc. | Role-based navigation of information resources |
SE9802846L (sv) * | 1998-08-25 | 2000-02-26 | Netch Technologies Ab | Datoriserat informationssystem |
JP3576008B2 (ja) * | 1998-10-09 | 2004-10-13 | 株式会社東芝 | アクセス制御設定システム及び記憶媒体 |
AU1343800A (en) * | 1998-11-05 | 2000-05-22 | Neuvis, Inc. | Method for controlling access to information |
US7107268B1 (en) * | 1998-11-12 | 2006-09-12 | Printable Technologies, Inc. | Centralized system and method for managing enterprise operations |
US6381579B1 (en) * | 1998-12-23 | 2002-04-30 | International Business Machines Corporation | System and method to provide secure navigation to resources on the internet |
US20010039594A1 (en) * | 1999-02-03 | 2001-11-08 | Park Britt H. | Method for enforcing workflow processes for website development and maintenance |
US7353194B1 (en) | 1999-03-02 | 2008-04-01 | Alticor Investments, Inc. | System and method for managing recurring orders in a computer network |
CA2683191A1 (en) | 1999-03-02 | 2000-09-08 | Amway Corp. | Electronic commerce transactions within a marketing system |
GB9912494D0 (en) * | 1999-05-28 | 1999-07-28 | Hewlett Packard Co | Configuring computer systems |
JP2001005614A (ja) * | 1999-06-25 | 2001-01-12 | Hitachi Ltd | ディスク装置およびサーバ装置 |
AU7107700A (en) * | 1999-08-31 | 2001-03-26 | Accenture Llp | A system, method and article of manufacture for business logic services patternsin a netcentric environment |
GB2353875A (en) * | 1999-09-04 | 2001-03-07 | Hewlett Packard Co | Computer access control system. |
US6556950B1 (en) * | 1999-09-30 | 2003-04-29 | Rockwell Automation Technologies, Inc. | Diagnostic method and apparatus for use with enterprise control |
US6993456B2 (en) * | 1999-09-30 | 2006-01-31 | Rockwell Automation Technologies, Inc. | Mechanical-electrical template based method and apparatus |
US7010580B1 (en) * | 1999-10-08 | 2006-03-07 | Agile Software Corp. | Method and apparatus for exchanging data in a platform independent manner |
FR2801120B1 (fr) * | 1999-11-16 | 2002-12-13 | France Telecom | Procede et systeme de gestion d'acces a des informations |
WO2001041039A2 (en) * | 1999-12-02 | 2001-06-07 | Secure Computing Corporation | Security management system in an heterogenous network environment |
FR2802319B1 (fr) * | 1999-12-10 | 2004-10-01 | Gemplus Card Int | Controle d'acces par capacites pour des applications notamment cooperantes dans une carte a puce |
FR2802674B1 (fr) * | 1999-12-21 | 2004-08-27 | Bull Sa | Dispositif et procede de controle d'acces a des ressources |
US7010530B2 (en) * | 2000-01-06 | 2006-03-07 | George P. Johnson Company | Event management system |
AU782518B2 (en) * | 2000-01-07 | 2005-08-04 | International Business Machines Corporation | A method for inter-enterprise role-based authorization |
US7328233B2 (en) * | 2000-01-19 | 2008-02-05 | Corybant, Inc. | Method and apparatus for implementing an active information model |
US20050086244A1 (en) * | 2000-02-01 | 2005-04-21 | Paul Morinville | Matrixed organization apparatus |
US7251666B2 (en) * | 2000-02-01 | 2007-07-31 | Internet Business Information Group | Signature loop authorizing method and apparatus |
JP4012664B2 (ja) * | 2000-04-11 | 2007-11-21 | 株式会社リコー | 記録媒体及びそのアクセス制御方法 |
US20020026592A1 (en) * | 2000-06-16 | 2002-02-28 | Vdg, Inc. | Method for automatic permission management in role-based access control systems |
EP1308854A4 (en) * | 2000-07-07 | 2010-01-13 | Sharp Kk | INFORMATION PROVISION DEVICE |
US6691112B1 (en) | 2000-08-01 | 2004-02-10 | Darren Michael Siegal | Method for indexing and managing a searchable community of non-HTML information |
JP2002063167A (ja) * | 2000-08-16 | 2002-02-28 | Fuji Xerox Co Ltd | オブジェクト管理方法および装置 |
EP1211588B1 (de) * | 2000-12-04 | 2005-09-21 | Siemens Aktiengesellschaft | Verfahren zum Nutzen einer Datenverarbeitungsanlage abhängig von einer Berechtigung, zugehörige Datenverarbeitungsanlage und zugehöriges Programm |
US20020103773A1 (en) * | 2000-12-29 | 2002-08-01 | Gil Ben-Dov | Online system and method to purchase gases |
US7013332B2 (en) * | 2001-01-09 | 2006-03-14 | Microsoft Corporation | Distributed policy model for access control |
US6947989B2 (en) * | 2001-01-29 | 2005-09-20 | International Business Machines Corporation | System and method for provisioning resources to users based on policies, roles, organizational information, and attributes |
US6985955B2 (en) * | 2001-01-29 | 2006-01-10 | International Business Machines Corporation | System and method for provisioning resources to users based on roles, organizational information, attributes and third-party information or authorizations |
US7302634B2 (en) | 2001-03-14 | 2007-11-27 | Microsoft Corporation | Schema-based services for identity-based data access |
US7284271B2 (en) * | 2001-03-14 | 2007-10-16 | Microsoft Corporation | Authorizing a requesting entity to operate upon data structures |
US7024662B2 (en) | 2001-03-14 | 2006-04-04 | Microsoft Corporation | Executing dynamically assigned functions while providing services |
US20020133535A1 (en) * | 2001-03-14 | 2002-09-19 | Microsoft Corporation | Identity-centric data access |
US7539747B2 (en) | 2001-03-14 | 2009-05-26 | Microsoft Corporation | Schema-based context service |
US7181017B1 (en) | 2001-03-23 | 2007-02-20 | David Felsher | System and method for secure three-party communications |
DE60101725T2 (de) * | 2001-04-03 | 2004-10-14 | Beta Systems Software Ag | Automatische Bildung der Rollen zum rollenbasierten Zugriffskontrollsystem |
US20020184535A1 (en) * | 2001-05-30 | 2002-12-05 | Farah Moaven | Method and system for accessing a resource in a computing system |
US7392546B2 (en) | 2001-06-11 | 2008-06-24 | Bea Systems, Inc. | System and method for server security and entitlement processing |
US20020199123A1 (en) * | 2001-06-22 | 2002-12-26 | Wonderware Corporation | Security architecture for a process control platform executing applications |
US7197764B2 (en) * | 2001-06-29 | 2007-03-27 | Bea Systems Inc. | System for and methods of administration of access control to numerous resources and objects |
US7130852B2 (en) * | 2001-07-27 | 2006-10-31 | Silicon Valley Bank | Internal security system for a relational database system |
US7124192B2 (en) * | 2001-08-30 | 2006-10-17 | International Business Machines Corporation | Role-permission model for security policy administration and enforcement |
US20030046344A1 (en) * | 2001-08-31 | 2003-03-06 | International Business Machines Corp. | Method and system for controlling and securing teleconference sessions |
EP1298515A3 (de) * | 2001-09-26 | 2004-02-04 | Siemens Aktiengesellschaft | Verfahren zur Steuerung des Zugriffs auf Ressourcen eines Datenverarbeitungssystems |
US7212987B2 (en) * | 2001-10-23 | 2007-05-01 | International Business Machines Corporation | System and method for planning a design project, coordinating project resources and tools and monitoring project progress |
WO2003036548A1 (en) * | 2001-10-24 | 2003-05-01 | Bea Systems, Inc. | System and method for portal page layout |
JP2003223363A (ja) * | 2001-11-21 | 2003-08-08 | Ricoh Co Ltd | 文書処理装置 |
EP1333386A1 (en) | 2002-01-08 | 2003-08-06 | Sap Ag | Providing web page for executing tasks by user, with data object |
AU2003208940A1 (en) * | 2002-01-30 | 2003-09-02 | Core Sdi, Inc. | Framework for maintaining information security in computer networks |
US7177863B2 (en) * | 2002-04-26 | 2007-02-13 | International Business Machines Corporation | System and method for determining internal parameters of a data clustering program |
US20030221012A1 (en) * | 2002-05-22 | 2003-11-27 | International Business Machines Corporation | Resource manager system and method for access control to physical resources in an application hosting environment |
US6950825B2 (en) * | 2002-05-30 | 2005-09-27 | International Business Machines Corporation | Fine grained role-based access to system resources |
CN1464401B (zh) * | 2002-06-28 | 2010-05-26 | 国际商业机器公司 | 使用影子对象进行核准控制的面向对象系统和方法 |
US9886309B2 (en) | 2002-06-28 | 2018-02-06 | Microsoft Technology Licensing, Llc | Identity-based distributed computing for device resources |
US8375113B2 (en) * | 2002-07-11 | 2013-02-12 | Oracle International Corporation | Employing wrapper profiles |
US7219234B1 (en) | 2002-07-24 | 2007-05-15 | Unisys Corporation | System and method for managing access rights and privileges in a data processing system |
US20110119353A1 (en) * | 2002-08-06 | 2011-05-19 | Tsao Sheng Tai Ted | Method and Apparatus for information exchange over a web based environment |
DE10243774A1 (de) * | 2002-09-20 | 2004-03-25 | Siemens Ag | Verfahren und Vorrichtung zur Steuerung von Zugriffen auf Daten |
US7546633B2 (en) * | 2002-10-25 | 2009-06-09 | Microsoft Corporation | Role-based authorization management framework |
US7257834B1 (en) * | 2002-10-31 | 2007-08-14 | Sprint Communications Company L.P. | Security framework data scheme |
US20040098594A1 (en) * | 2002-11-14 | 2004-05-20 | Fleming Richard Hugh | System and method for creating role-based access profiles |
KR100468859B1 (ko) * | 2002-12-05 | 2005-01-29 | 삼성전자주식회사 | 일체형 잉크젯 프린트헤드 및 그 제조방법 |
US7533157B2 (en) * | 2002-12-24 | 2009-05-12 | International Business Machines Corporation | Method for delegation of administrative operations in user enrollment tasks |
US9818136B1 (en) | 2003-02-05 | 2017-11-14 | Steven M. Hoffberg | System and method for determining contingent relevance |
US7591000B2 (en) | 2003-02-14 | 2009-09-15 | Oracle International Corporation | System and method for hierarchical role-based entitlements |
US7653930B2 (en) * | 2003-02-14 | 2010-01-26 | Bea Systems, Inc. | Method for role and resource policy management optimization |
US6917975B2 (en) * | 2003-02-14 | 2005-07-12 | Bea Systems, Inc. | Method for role and resource policy management |
US8831966B2 (en) * | 2003-02-14 | 2014-09-09 | Oracle International Corporation | Method for delegated administration |
US20050160007A1 (en) * | 2003-02-25 | 2005-07-21 | Fujitsu Limited | Subscription-based sales system, terminal device, management device, server and program |
US20040230679A1 (en) * | 2003-02-28 | 2004-11-18 | Bales Christopher E. | Systems and methods for portal and web server administration |
US7568217B1 (en) * | 2003-03-20 | 2009-07-28 | Cisco Technology, Inc. | Method and apparatus for using a role based access control system on a network |
US7885847B2 (en) * | 2003-05-07 | 2011-02-08 | Sap Ag | End user oriented workflow approach including structured processing of ad hoc workflows with a collaborative process engine |
CN102129530B (zh) * | 2003-05-27 | 2015-08-19 | 新思科技有限公司 | 访问保护的电子系统及访问控制方法 |
US7343628B2 (en) * | 2003-05-28 | 2008-03-11 | Sap Ag | Authorization data model |
DE10324189A1 (de) * | 2003-05-28 | 2004-12-16 | Robert Bosch Gmbh | Verfahren zur Steuerung des Zugriffs auf eine Ressource einer Applikation in einer Datenverarbeitungseinrichtung |
TW200426619A (en) * | 2003-05-28 | 2004-12-01 | Hon Hai Prec Ind Co Ltd | System and method for controlling database authorization |
US8161288B2 (en) | 2003-05-28 | 2012-04-17 | Belarc, Inc. | Secure user access subsystem for use in a computer information database system |
US7680797B1 (en) * | 2003-07-25 | 2010-03-16 | Verizon Data Services Llc | Methods and systems for providing a data access layer |
US8645547B1 (en) | 2003-07-25 | 2014-02-04 | Verizon Data Services Llc | Methods and systems for providing a messaging service |
US7308704B2 (en) | 2003-08-18 | 2007-12-11 | Sap Ag | Data structure for access control |
US7350237B2 (en) | 2003-08-18 | 2008-03-25 | Sap Ag | Managing access control information |
US7827595B2 (en) | 2003-08-28 | 2010-11-02 | Microsoft Corporation | Delegated administration of a hosted resource |
US20050060572A1 (en) * | 2003-09-02 | 2005-03-17 | Trulogica, Inc. | System and method for managing access entitlements in a computing network |
US7530112B2 (en) | 2003-09-10 | 2009-05-05 | Cisco Technology, Inc. | Method and apparatus for providing network security using role-based access control |
DE10345323A1 (de) * | 2003-09-30 | 2005-08-18 | Zf Friedrichshafen Ag | Verfahren zur Verwaltung und/oder Administration von Zugangsberechtigungen in einem Netzwerk |
US7299493B1 (en) | 2003-09-30 | 2007-11-20 | Novell, Inc. | Techniques for dynamically establishing and managing authentication and trust relationships |
US7836490B2 (en) | 2003-10-29 | 2010-11-16 | Cisco Technology, Inc. | Method and apparatus for providing network security using security labeling |
US7702693B1 (en) * | 2003-10-30 | 2010-04-20 | Cisco Technology, Inc. | Role-based access control enforced by filesystem of an operating system |
US7921299B1 (en) | 2003-12-05 | 2011-04-05 | Microsoft Corporation | Partner sandboxing in a shared multi-tenant billing system |
US7546640B2 (en) * | 2003-12-10 | 2009-06-09 | International Business Machines Corporation | Fine-grained authorization by authorization table associated with a resource |
US7203697B2 (en) * | 2003-12-10 | 2007-04-10 | International Business Machines Corporation | Fine-grained authorization using mbeans |
US20050132054A1 (en) * | 2003-12-10 | 2005-06-16 | International Business Machines Corporation | Fine-grained authorization by traversing generational relationships |
US8423394B2 (en) * | 2003-12-12 | 2013-04-16 | International Business Machines Corporation | Method for tracking the status of a workflow using weblogs |
US8140691B2 (en) * | 2003-12-12 | 2012-03-20 | International Business Machines Corporation | Role-based views access to a workflow weblog |
US8417682B2 (en) * | 2003-12-12 | 2013-04-09 | International Business Machines Corporation | Visualization of attributes of workflow weblogs |
US7284000B2 (en) * | 2003-12-19 | 2007-10-16 | International Business Machines Corporation | Automatic policy generation based on role entitlements and identity attributes |
WO2005064429A1 (en) * | 2003-12-23 | 2005-07-14 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and device for taking an access control policy decision |
US20090119755A1 (en) * | 2004-02-04 | 2009-05-07 | Kodimer Marianne L | System and method for role based access control of a document processing device |
US7478421B2 (en) * | 2004-02-04 | 2009-01-13 | Toshiba Corporation | System and method for role based access control of a document processing device |
US7661141B2 (en) * | 2004-02-11 | 2010-02-09 | Microsoft Corporation | Systems and methods that optimize row level database security |
US7711750B1 (en) | 2004-02-11 | 2010-05-04 | Microsoft Corporation | Systems and methods that specify row level database security |
US20050289003A1 (en) * | 2004-02-20 | 2005-12-29 | Thompson R M | System and method for direct marketing |
US7640429B2 (en) * | 2004-02-26 | 2009-12-29 | The Boeing Company | Cryptographically enforced, multiple-role, policy-enabled object dissemination control mechanism |
SE528169C2 (sv) * | 2004-03-03 | 2006-09-19 | Volvo Lastvagnar Ab | Metod för åtkomsthantering på Internet-portaler |
US8478668B2 (en) * | 2004-03-12 | 2013-07-02 | Sybase, Inc. | Hierarchical entitlement system with integrated inheritance and limit checks |
US7797239B2 (en) * | 2004-03-12 | 2010-09-14 | Sybase, Inc. | Hierarchical entitlement system with integrated inheritance and limit checks |
EP1738258A4 (en) | 2004-03-13 | 2009-10-28 | Cluster Resources Inc | SYSTEM AND METHOD IMPLEMENTING OBJECT TRIGGERS |
US8782654B2 (en) | 2004-03-13 | 2014-07-15 | Adaptive Computing Enterprises, Inc. | Co-allocating a reservation spanning different compute resources types |
US7200595B2 (en) * | 2004-03-29 | 2007-04-03 | Microsoft Corporation | Systems and methods for fine grained access control of data stored in relational databases |
US7774601B2 (en) * | 2004-04-06 | 2010-08-10 | Bea Systems, Inc. | Method for delegated administration |
JP4676782B2 (ja) * | 2004-04-28 | 2011-04-27 | 株式会社リコー | 情報処理装置、操作許可データ生成方法、操作許可データ生成許否判定方法、操作許可データ生成プログラム、操作許否データ生成許否判定プログラム及び記録媒体 |
WO2005114539A2 (en) * | 2004-05-20 | 2005-12-01 | Computer Associates Think, Inc. | Systems and methods for excluding user specified applications |
US20070266388A1 (en) | 2004-06-18 | 2007-11-15 | Cluster Resources, Inc. | System and method for providing advanced reservations in a compute environment |
US7599937B2 (en) * | 2004-06-28 | 2009-10-06 | Microsoft Corporation | Systems and methods for fine grained access control of data stored in relational databases |
US20060031495A1 (en) * | 2004-06-29 | 2006-02-09 | Xerox Corporation | Fault tolerant e-mail feature for digital repository |
US7882544B2 (en) * | 2004-07-12 | 2011-02-01 | International Business Machines Corporation | Inherited role-based access control system, method and program product |
US8347203B1 (en) | 2004-07-23 | 2013-01-01 | Verizon Data Services Llc | Methods and systems for defining a form navigational structure |
US8285856B1 (en) | 2004-07-23 | 2012-10-09 | Verizon Data Services Llc | Methods and systems for integrating a messaging service with an application |
WO2007001328A2 (en) * | 2004-07-29 | 2007-01-04 | Infoassure, Inc. | Information-centric security |
US8176490B1 (en) | 2004-08-20 | 2012-05-08 | Adaptive Computing Enterprises, Inc. | System and method of interfacing a workload manager and scheduler with an identity manager |
US8271527B2 (en) * | 2004-08-26 | 2012-09-18 | Illinois Institute Of Technology | Refined permission constraints using internal and external data extraction in a role-based access control system |
US8078216B2 (en) * | 2004-10-13 | 2011-12-13 | Intel Corporation | Wireless device content information theft protection system |
US7669244B2 (en) | 2004-10-21 | 2010-02-23 | Cisco Technology, Inc. | Method and system for generating user group permission lists |
CA2827035A1 (en) | 2004-11-08 | 2006-05-18 | Adaptive Computing Enterprises, Inc. | System and method of providing system jobs within a compute environment |
US7877796B2 (en) | 2004-11-16 | 2011-01-25 | Cisco Technology, Inc. | Method and apparatus for best effort propagation of security group information |
US7721323B2 (en) | 2004-11-23 | 2010-05-18 | Cisco Technology, Inc. | Method and system for including network security information in a frame |
US7886145B2 (en) | 2004-11-23 | 2011-02-08 | Cisco Technology, Inc. | Method and system for including security information with a packet |
US7827402B2 (en) | 2004-12-01 | 2010-11-02 | Cisco Technology, Inc. | Method and apparatus for ingress filtering using security group information |
US7761905B2 (en) | 2004-12-17 | 2010-07-20 | International Business Machines Corporation | Method and system for assigning access rights in a computer system |
US7607164B2 (en) * | 2004-12-23 | 2009-10-20 | Microsoft Corporation | Systems and processes for managing policy change in a distributed enterprise |
US20060155716A1 (en) * | 2004-12-23 | 2006-07-13 | Microsoft Corporation | Schema change governance for identity store |
US20060143126A1 (en) * | 2004-12-23 | 2006-06-29 | Microsoft Corporation | Systems and processes for self-healing an identity store |
US7529931B2 (en) * | 2004-12-23 | 2009-05-05 | Microsoft Corporation | Managing elevated rights on a network |
US8191135B2 (en) * | 2005-01-20 | 2012-05-29 | International Business Machines Corporation | Secured web based access of failed flows in an integration server |
US8245280B2 (en) * | 2005-02-11 | 2012-08-14 | Samsung Electronics Co., Ltd. | System and method for user access control to content in a network |
US20060200489A1 (en) * | 2005-03-03 | 2006-09-07 | Microsoft Corporation | Company modeling |
US7900152B2 (en) * | 2005-03-03 | 2011-03-01 | Microsoft Corporation | Adaptable user interface for business software |
US9075657B2 (en) | 2005-04-07 | 2015-07-07 | Adaptive Computing Enterprises, Inc. | On-demand access to compute resources |
US8863143B2 (en) | 2006-03-16 | 2014-10-14 | Adaptive Computing Enterprises, Inc. | System and method for managing a hybrid compute environment |
US9225663B2 (en) | 2005-03-16 | 2015-12-29 | Adaptive Computing Enterprises, Inc. | System and method providing a virtual private cluster |
EP2360587B1 (en) * | 2005-03-16 | 2017-10-04 | III Holdings 12, LLC | Automatic workload transfer to an on-demand center |
US9231886B2 (en) | 2005-03-16 | 2016-01-05 | Adaptive Computing Enterprises, Inc. | Simple integration of an on-demand compute environment |
US20060218394A1 (en) * | 2005-03-28 | 2006-09-28 | Yang Dung C | Organizational role-based controlled access management system |
US8631476B2 (en) | 2005-03-31 | 2014-01-14 | Sap Ag | Data processing system including explicit and generic grants of action authorization |
US7774827B2 (en) * | 2005-06-06 | 2010-08-10 | Novell, Inc. | Techniques for providing role-based security with instance-level granularity |
US7730523B1 (en) * | 2005-06-17 | 2010-06-01 | Oracle America, Inc. | Role-based access using combinatorial inheritance and randomized conjugates in an internet hosted environment |
US20060288402A1 (en) * | 2005-06-20 | 2006-12-21 | Nokia Corporation | Security component for dynamic properties framework |
US7895651B2 (en) | 2005-07-29 | 2011-02-22 | Bit 9, Inc. | Content tracking in a network security system |
US8984636B2 (en) | 2005-07-29 | 2015-03-17 | Bit9, Inc. | Content extractor and analysis system |
US8272058B2 (en) | 2005-07-29 | 2012-09-18 | Bit 9, Inc. | Centralized timed analysis in a network security system |
US9063921B1 (en) | 2005-08-10 | 2015-06-23 | Printable Technologies, Inc. | System and method for distributed design of a variable data publication |
US7953734B2 (en) | 2005-09-26 | 2011-05-31 | Oracle International Corporation | System and method for providing SPI extensions for content management system |
US7483893B2 (en) | 2005-09-26 | 2009-01-27 | Bae Systems, Inc. | System and method for lightweight loading for managing content |
US7917537B2 (en) | 2005-09-26 | 2011-03-29 | Oracle International Corporation | System and method for providing link property types for content management |
US7818344B2 (en) | 2005-09-26 | 2010-10-19 | Bea Systems, Inc. | System and method for providing nested types for content management |
US7752205B2 (en) * | 2005-09-26 | 2010-07-06 | Bea Systems, Inc. | Method and system for interacting with a virtual content repository |
US8874477B2 (en) | 2005-10-04 | 2014-10-28 | Steven Mark Hoffberg | Multifactorial optimization system and method |
US20070156680A1 (en) * | 2005-12-21 | 2007-07-05 | Microsoft Corporation | Disconnected authoring of business definitions |
US8566113B2 (en) * | 2006-02-07 | 2013-10-22 | International Business Machines Corporation | Methods, systems and computer program products for providing a level of anonymity to patient records/information |
US7730095B2 (en) * | 2006-03-01 | 2010-06-01 | Microsoft Corporation | Controlling transactions in accordance with role based security |
US8452961B2 (en) * | 2006-03-07 | 2013-05-28 | Samsung Electronics Co., Ltd. | Method and system for authentication between electronic devices with minimal user intervention |
US20070214497A1 (en) * | 2006-03-10 | 2007-09-13 | Axalto Inc. | System and method for providing a hierarchical role-based access control |
US8261181B2 (en) | 2006-03-30 | 2012-09-04 | Microsoft Corporation | Multidimensional metrics-based annotation |
US7984066B1 (en) * | 2006-03-30 | 2011-07-19 | Emc Corporation | Mandatory access control list for managed content |
US8190992B2 (en) | 2006-04-21 | 2012-05-29 | Microsoft Corporation | Grouping and display of logically defined reports |
US8126750B2 (en) * | 2006-04-27 | 2012-02-28 | Microsoft Corporation | Consolidating data source queries for multidimensional scorecards |
US8381306B2 (en) * | 2006-05-30 | 2013-02-19 | Microsoft Corporation | Translating role-based access control policy to resource authorization policy |
US7933925B2 (en) * | 2006-06-01 | 2011-04-26 | International Business Machines Corporation | System and method for role based analysis and access control |
US20070288487A1 (en) * | 2006-06-08 | 2007-12-13 | Samsung Electronics Co., Ltd. | Method and system for access control to consumer electronics devices in a network |
US7827275B2 (en) * | 2006-06-08 | 2010-11-02 | Samsung Electronics Co., Ltd. | Method and system for remotely accessing devices in a network |
US7519599B2 (en) * | 2006-06-12 | 2009-04-14 | International Business Machines Corporation | System and method for scalable distribution of semantic web updates |
US20070288389A1 (en) * | 2006-06-12 | 2007-12-13 | Vaughan Michael J | Version Compliance System |
US20070294302A1 (en) | 2006-06-19 | 2007-12-20 | Cerner Innovation, Inc. | Defining privileges in association with the automated configuration, implementation and/or maintenance of a healthcare information system |
US20080005115A1 (en) * | 2006-06-30 | 2008-01-03 | International Business Machines Corporation | Methods and apparatus for scoped role-based access control |
US9455990B2 (en) * | 2006-07-21 | 2016-09-27 | International Business Machines Corporation | System and method for role based access control in a content management system |
US7685123B1 (en) * | 2006-08-30 | 2010-03-23 | Network Appliance, Inc. | Method and system for controlling access to dynamically specified resources |
US8601539B1 (en) | 2006-09-06 | 2013-12-03 | Dell Software Inc. | Systems and methods for managing user permissions |
US8463852B2 (en) | 2006-10-06 | 2013-06-11 | Oracle International Corporation | Groupware portlets for integrating a portal with groupware systems |
US8402514B1 (en) | 2006-11-17 | 2013-03-19 | Network Appliance, Inc. | Hierarchy-aware role-based access control |
US20080120302A1 (en) * | 2006-11-17 | 2008-05-22 | Thompson Timothy J | Resource level role based access control for storage management |
DE102006054284A1 (de) | 2006-11-17 | 2008-05-21 | Deutsche Telekom Ag | Verfahren und System für ein Erreichbarkeitsmanagement |
US7712127B1 (en) | 2006-11-17 | 2010-05-04 | Network Appliance, Inc. | Method and system of access control based on a constraint controlling role assumption |
DE102006055864A1 (de) | 2006-11-22 | 2008-05-29 | Deutsche Telekom Ag | Verfahren zur Dialoganpassung und Dialogsystem zur Durchführung |
US9009777B2 (en) * | 2006-11-30 | 2015-04-14 | International Business Machines Corporation | Automatic role activation |
US8032558B2 (en) * | 2007-01-10 | 2011-10-04 | Novell, Inc. | Role policy management |
US20080172414A1 (en) * | 2007-01-17 | 2008-07-17 | Microsoft Corporation | Business Objects as a Service |
US20080172629A1 (en) * | 2007-01-17 | 2008-07-17 | Microsoft Corporation | Geometric Performance Metric Data Rendering |
US9058307B2 (en) * | 2007-01-26 | 2015-06-16 | Microsoft Technology Licensing, Llc | Presentation generation using scorecard elements |
US8321805B2 (en) * | 2007-01-30 | 2012-11-27 | Microsoft Corporation | Service architecture based metric views |
US20080189632A1 (en) * | 2007-02-02 | 2008-08-07 | Microsoft Corporation | Severity Assessment For Performance Metrics Using Quantitative Model |
US8495663B2 (en) | 2007-02-02 | 2013-07-23 | Microsoft Corporation | Real time collaboration using embedded data visualizations |
US8156516B2 (en) * | 2007-03-29 | 2012-04-10 | Emc Corporation | Virtualized federated role provisioning |
US8904391B2 (en) * | 2007-04-23 | 2014-12-02 | International Business Machines Corporation | Policy-based access control approach to staff activities of a business process |
US20090006113A1 (en) * | 2007-06-29 | 2009-01-01 | Brian Robertson | Method for Structuring and Controlling an Organization |
US8032935B2 (en) * | 2007-06-29 | 2011-10-04 | Microsoft Corporation | Security synchronization services |
US7904476B1 (en) | 2007-07-30 | 2011-03-08 | Hewlett-Packard Develpment Company, L.P. | Computer-implemented method for compressing representation of binary relation |
US9405921B1 (en) | 2007-07-31 | 2016-08-02 | Hewlett Packard Enterprise Development Lp | Computer-implemented method for role discovery in access control systems |
US7840708B2 (en) | 2007-08-13 | 2010-11-23 | Cisco Technology, Inc. | Method and system for the assignment of security group information using a proxy |
US8041773B2 (en) | 2007-09-24 | 2011-10-18 | The Research Foundation Of State University Of New York | Automatic clustering for self-organizing grids |
US9471801B2 (en) * | 2007-11-29 | 2016-10-18 | Oracle International Corporation | Method and apparatus to support privileges at multiple levels of authentication using a constraining ACL |
US20090182607A1 (en) * | 2008-01-16 | 2009-07-16 | Morinville Paul V | Approver Identification Using Multiple Hierarchical Role Structures |
US20090222879A1 (en) * | 2008-03-03 | 2009-09-03 | Microsoft Corporation | Super policy in information protection systems |
US20110238430A1 (en) * | 2008-04-23 | 2011-09-29 | ProvidedPath Software, inc. | Organization Optimization System and Method of Use Thereof |
US8645423B2 (en) | 2008-05-02 | 2014-02-04 | Oracle International Corporation | Method of partitioning a database |
US8316453B2 (en) * | 2008-06-27 | 2012-11-20 | Bank Of America Corporation | Dynamic community generator |
US8646027B2 (en) * | 2008-06-27 | 2014-02-04 | Microsoft Corporation | Workflow based authorization for content access |
US8196195B2 (en) * | 2008-07-11 | 2012-06-05 | International Business Machines Corporation | Role-based privilege management |
US20100306089A1 (en) * | 2008-08-01 | 2010-12-02 | Hantz Group, Inc. | Single or multi-company business accounting system and method for same including vendor account maintenance |
US8762233B2 (en) * | 2008-08-01 | 2014-06-24 | Hantz Software, Llc | Single or multi-company business accounting system and method for same including account number maintenance |
US8055560B2 (en) * | 2008-08-01 | 2011-11-08 | Hantz Group, Inc. | Multi-company business accounting system and method for same including account payable |
US20100138272A1 (en) * | 2008-12-01 | 2010-06-03 | Guy Jonathan James Rackham | System and method for determining a threshold of decomposition for enabling incremental development of persistent and reusable business components and control structures in an asset based component business model architecture |
US8234693B2 (en) * | 2008-12-05 | 2012-07-31 | Raytheon Company | Secure document management |
US20100155321A1 (en) * | 2008-12-23 | 2010-06-24 | Sasur Timothy M | Filter assembly |
US8032403B2 (en) * | 2008-12-31 | 2011-10-04 | International Business Machines Corporation | Method and system for assigning staff as a service in a service network within a component business model architecture |
US9477671B2 (en) * | 2009-05-27 | 2016-10-25 | Oracle International Corporation | System and method for implementing effective date constraints in a role hierarchy |
US8402266B2 (en) * | 2009-06-01 | 2013-03-19 | Microsoft Corporation | Extensible role-based access control model for services |
US20100313276A1 (en) * | 2009-06-05 | 2010-12-09 | Microsoft Corporation | Web-Based Client for Creating and Accessing Protected Content |
US8717596B2 (en) | 2009-09-30 | 2014-05-06 | Printable Technologies Inc. | Systems and methods for providing variable data printing (VDP) using dynamic font downgrading |
US8495730B2 (en) * | 2009-10-12 | 2013-07-23 | International Business Machines Corporation | Dynamically constructed capability for enforcing object access order |
US10877695B2 (en) | 2009-10-30 | 2020-12-29 | Iii Holdings 2, Llc | Memcached server functionality in a cluster of data processing nodes |
US11720290B2 (en) | 2009-10-30 | 2023-08-08 | Iii Holdings 2, Llc | Memcached server functionality in a cluster of data processing nodes |
US20110202384A1 (en) * | 2010-02-17 | 2011-08-18 | Rabstejnek Wayne S | Enterprise Rendering Platform |
US8725767B1 (en) * | 2010-03-31 | 2014-05-13 | Emc Corporation | Multi-dimensional object model for storage management |
US8789205B2 (en) * | 2010-04-21 | 2014-07-22 | Microsoft Corporation | Role-based graphical user interfaces |
US8639827B1 (en) | 2010-04-23 | 2014-01-28 | Dell Software Inc. | Self-service systems and methods for granting access to resources |
US8832774B2 (en) * | 2010-06-23 | 2014-09-09 | Exelis Inc. | Dynamic management of role membership |
US9563751B1 (en) | 2010-10-13 | 2017-02-07 | The Boeing Company | License utilization management system service suite |
EP2585961A1 (en) * | 2010-10-25 | 2013-05-01 | Hitachi, Ltd. | Storage apparatus and management method thereof |
US8528099B2 (en) * | 2011-01-27 | 2013-09-03 | Oracle International Corporation | Policy based management of content rights in enterprise/cross enterprise collaboration |
US20120240194A1 (en) * | 2011-03-18 | 2012-09-20 | eClaris Software, Inc. | Systems and Methods for Controlling Access to Electronic Data |
US9105009B2 (en) | 2011-03-21 | 2015-08-11 | Microsoft Technology Licensing, Llc | Email-based automated recovery action in a hosted environment |
EP2700255B1 (en) | 2011-04-18 | 2018-02-21 | Hewlett-Packard Development Company, L.P. | Access control |
US8689298B2 (en) * | 2011-05-31 | 2014-04-01 | Red Hat, Inc. | Resource-centric authorization schemes |
WO2013016514A1 (en) * | 2011-07-26 | 2013-01-31 | Mine Safety Appliances Company | Incident management and monitoring systems and methods |
US8756509B2 (en) * | 2011-07-27 | 2014-06-17 | International Business Machines Corporation | Visually representing and managing access control of resources |
US20130060659A1 (en) * | 2011-09-02 | 2013-03-07 | Oracle International Corporation | System and method for splitting collaboration on event metrics for a supplier to respond to based on functional role |
US8839257B2 (en) | 2011-11-22 | 2014-09-16 | Microsoft Corporation | Superseding of recovery actions based on aggregation of requests for automated sequencing and cancellation |
CN102611699A (zh) * | 2012-02-22 | 2012-07-25 | 浪潮(北京)电子信息产业有限公司 | 一种云操作系统中访问控制的方法和系统 |
US9460303B2 (en) | 2012-03-06 | 2016-10-04 | Microsoft Technology Licensing, Llc | Operating large scale systems and cloud services with zero-standing elevated permissions |
KR101401794B1 (ko) * | 2012-06-29 | 2014-06-27 | 인텔렉추얼디스커버리 주식회사 | 데이터 공유 제공 방법 및 장치 |
US9253113B2 (en) | 2012-09-07 | 2016-02-02 | Oracle International Corporation | Customizable model for throttling and prioritizing orders in a cloud environment |
US9467355B2 (en) | 2012-09-07 | 2016-10-11 | Oracle International Corporation | Service association model |
US9621435B2 (en) | 2012-09-07 | 2017-04-11 | Oracle International Corporation | Declarative and extensible model for provisioning of cloud based services |
US9838370B2 (en) | 2012-09-07 | 2017-12-05 | Oracle International Corporation | Business attribute driven sizing algorithms |
US9792338B2 (en) | 2012-09-07 | 2017-10-17 | Oracle International Corporation | Role assignments in a cloud infrastructure |
US9542400B2 (en) | 2012-09-07 | 2017-01-10 | Oracle International Corporation | Service archive support |
US10521746B2 (en) | 2012-09-07 | 2019-12-31 | Oracle International Corporation | Recovery workflow for processing subscription orders in a computing infrastructure system |
US10148530B2 (en) | 2012-09-07 | 2018-12-04 | Oracle International Corporation | Rule based subscription cloning |
US9667470B2 (en) | 2012-09-07 | 2017-05-30 | Oracle International Corporation | Failure handling in the execution flow of provisioning operations in a cloud environment |
US9679264B2 (en) | 2012-11-06 | 2017-06-13 | Oracle International Corporation | Role discovery using privilege cluster analysis |
US8881249B2 (en) | 2012-12-12 | 2014-11-04 | Microsoft Corporation | Scalable and automated secret management |
US9608958B2 (en) | 2013-03-12 | 2017-03-28 | Oracle International Corporation | Lightweight directory access protocol (LDAP) join search mechanism |
US9977771B2 (en) | 2013-03-14 | 2018-05-22 | Pti Marketing Technologies Inc. | System and method for printable document viewer optimization |
US9614851B1 (en) * | 2014-02-27 | 2017-04-04 | Open Invention Network Llc | Security management application providing proxy for administrative privileges |
FR3019348A1 (fr) * | 2014-03-28 | 2015-10-02 | Evidian | Procede de gestion d'un controle d'acces a un service |
US10521601B2 (en) | 2014-04-30 | 2019-12-31 | Sailpoint Technologies, Israel Ltd. | System and method for data governance |
WO2015198109A1 (en) * | 2014-06-27 | 2015-12-30 | Ubs Ag | System and method for managing application access rights of project roles to maintain security of client identifying data |
US10164901B2 (en) | 2014-08-22 | 2018-12-25 | Oracle International Corporation | Intelligent data center selection |
CN104717206B (zh) * | 2015-02-04 | 2018-01-05 | 中国科学院信息工程研究所 | 一种物联网资源访问权限控制方法及系统 |
US9762585B2 (en) | 2015-03-19 | 2017-09-12 | Microsoft Technology Licensing, Llc | Tenant lockbox |
US20160292445A1 (en) | 2015-03-31 | 2016-10-06 | Secude Ag | Context-based data classification |
US10931682B2 (en) | 2015-06-30 | 2021-02-23 | Microsoft Technology Licensing, Llc | Privileged identity management |
US9591489B2 (en) | 2015-07-09 | 2017-03-07 | International Business Machines Corporation | Controlling application access to applications and resources via graphical representation and manipulation |
US20170154296A1 (en) * | 2015-12-01 | 2017-06-01 | International Business Machines Corporation | Prioritizing contextual information system, method, and recording medium |
EP3196798A1 (en) | 2016-01-19 | 2017-07-26 | Secude AG | Context-sensitive copy and paste block |
CN107330307A (zh) * | 2017-07-16 | 2017-11-07 | 成都牵牛草信息技术有限公司 | 一种表单数据操作权限授权方法 |
JP6930496B2 (ja) * | 2018-05-24 | 2021-09-01 | 日本電信電話株式会社 | 設定装置、設定方法及び設定プログラム |
US11165776B2 (en) | 2018-08-28 | 2021-11-02 | International Business Machines Corporation | Methods and systems for managing access to computing system resources |
CN109872119A (zh) * | 2019-01-17 | 2019-06-11 | 平安科技(深圳)有限公司 | 项目信息管理方法、装置、计算机设备和存储介质 |
EP3699799A1 (en) * | 2019-02-22 | 2020-08-26 | Siemens Aktiengesellschaft | Method for granting access to objects in a computerized system, computer program product, and field device |
US11343251B2 (en) * | 2019-05-30 | 2022-05-24 | Saudi Arabian Oil Company | Secure authorization provisioning using variant profiles |
US11755760B2 (en) * | 2019-10-18 | 2023-09-12 | Asg Technologies Group, Inc. | Systems and methods for secure policies-based information governance |
US11240168B2 (en) | 2020-01-06 | 2022-02-01 | International Business Machines Corporation | System and method to exchange identity governance data across multiple identity repositories |
US11461677B2 (en) | 2020-03-10 | 2022-10-04 | Sailpoint Technologies, Inc. | Systems and methods for data correlation and artifact matching in identity management artificial intelligence systems |
US20220114265A1 (en) * | 2020-10-08 | 2022-04-14 | Google Llc | Unified viewing of roles and permissions in a computer data processing system |
US11308186B1 (en) | 2021-03-19 | 2022-04-19 | Sailpoint Technologies, Inc. | Systems and methods for data correlation and artifact matching in identity management artificial intelligence systems |
CN113612802B (zh) * | 2021-10-08 | 2022-02-18 | 苏州浪潮智能科技有限公司 | 一种访问控制方法、装置、设备及可读存储介质 |
US11907229B2 (en) * | 2022-03-31 | 2024-02-20 | Gm Cruise Holdings Llc | System and method for platform-independent access bindings |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4941175A (en) * | 1989-02-24 | 1990-07-10 | International Business Machines Corporation | Tamper-resistant method for authorizing access to data between a host and a predetermined number of attached workstations |
US5113442A (en) * | 1989-03-06 | 1992-05-12 | Lachman Associates, Inc. | Method and apparatus for providing access control in a secure operating system |
US5187790A (en) * | 1989-06-29 | 1993-02-16 | Digital Equipment Corporation | Server impersonation of client processes in an object based computer operating system |
US5469556A (en) * | 1989-12-12 | 1995-11-21 | Harris Corporation | Resource access security system for controlling access to resources of a data processing system |
US5191522A (en) * | 1990-01-18 | 1993-03-02 | Itt Corporation | Integrated group insurance information processing and reporting system based upon an enterprise-wide data structure |
EP0449242A3 (en) * | 1990-03-28 | 1992-10-28 | National Semiconductor Corporation | Method and structure for providing computer security and virus prevention |
US5414844A (en) * | 1990-05-24 | 1995-05-09 | International Business Machines Corporation | Method and system for controlling public access to a plurality of data objects within a data processing system |
US5315657A (en) * | 1990-09-28 | 1994-05-24 | Digital Equipment Corporation | Compound principals in access control lists |
US5414852A (en) * | 1992-10-30 | 1995-05-09 | International Business Machines Corporation | Method for protecting data in a computer system |
US5450593A (en) * | 1992-12-18 | 1995-09-12 | International Business Machines Corp. | Method and system for controlling access to objects in a data processing system based on temporal constraints |
US5446903A (en) * | 1993-05-04 | 1995-08-29 | International Business Machines Corporation | Method and apparatus for controlling access to data elements in a data processing system based on status of an industrial process by mapping user's security categories and industrial process steps |
US5564016A (en) * | 1993-12-17 | 1996-10-08 | International Business Machines Corporation | Method for controlling access to a computer resource based on a timing policy |
-
1994
- 1994-08-15 DE DE69427347T patent/DE69427347T2/de not_active Expired - Lifetime
- 1994-08-15 EP EP94112649A patent/EP0697662B1/en not_active Expired - Lifetime
-
1995
- 1995-07-17 CA CA002154020A patent/CA2154020C/en not_active Expired - Fee Related
- 1995-08-01 JP JP07196706A patent/JP3074638B2/ja not_active Expired - Fee Related
- 1995-08-14 US US08/514,710 patent/US5911143A/en not_active Expired - Lifetime
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0848334A4 (en) * | 1996-07-01 | 2007-08-29 | Fujitsu Ltd | METHOD AND DEVICE FOR MANAGING THE USE OF SHARED RESOURCES BY SEVERAL GROUPS |
JP2014059886A (ja) * | 2002-11-12 | 2014-04-03 | E M D Millipore Corp | 機器アクセス制御システム |
JP2004341896A (ja) * | 2003-05-16 | 2004-12-02 | Nippon Telegr & Teleph Corp <Ntt> | 属性承認装置、属性承認リソース管理装置、および属性承認装置監査統計サーバ |
JP2007004549A (ja) * | 2005-06-24 | 2007-01-11 | Nippon Telegr & Teleph Corp <Ntt> | アクセス制御方法 |
JP2009509227A (ja) * | 2005-09-16 | 2009-03-05 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | 暗号化による役割ベースのアクセス制御 |
US8424062B2 (en) | 2006-06-22 | 2013-04-16 | Koninklijke Philips Electronics N.V. | Advanced access control for medical ad hoc body sensor networks |
JP2009541861A (ja) * | 2006-06-22 | 2009-11-26 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | 医療用アドホックボディセンサネットワークのための先進的アクセス制御 |
JP2009544076A (ja) * | 2006-07-11 | 2009-12-10 | エフエムアール エルエルシー | マルチカスタマーコンピューティング環境におけるロールベースのアクセス |
JP2009110401A (ja) * | 2007-10-31 | 2009-05-21 | Hitachi Ltd | ファイル共有システム及びファイル共有方法 |
EP2159729A1 (en) | 2008-08-27 | 2010-03-03 | Fujitsu Limited | Access controlling system, access controlling method, and recording medium having access controlling program recorded thereon |
US8429463B2 (en) | 2008-09-30 | 2013-04-23 | Fujitsu Limited | Log management method and apparatus, information processing apparatus with log management apparatus and storage medium |
JP2013522726A (ja) * | 2010-03-08 | 2013-06-13 | ヴイエムウェア インク | 仮想化環境におけるタスクベースのアクセス制御 |
JP2011186891A (ja) * | 2010-03-10 | 2011-09-22 | Fujitsu Ltd | 情報管理装置および方法 |
JP2014512628A (ja) * | 2011-04-30 | 2014-05-22 | ヴイエムウェア インコーポレイテッド | コンピュータリソースのエンタイトルメントおよびプロビジョニングのためのグループの動的管理 |
US20150156139A1 (en) * | 2011-04-30 | 2015-06-04 | Vmware, Inc. | Dynamic Management Of Groups For Entitlement And Provisioning Of Computer Resources |
US9491116B2 (en) | 2011-04-30 | 2016-11-08 | Vmware, Inc. | Dynamic management of groups for entitlement and provisioning of computer resources |
JP2020508523A (ja) * | 2017-02-27 | 2020-03-19 | イヴァンティ,インコーポレイテッド | ロールベースコンピュータセキュリティ構成のシステム及び方法 |
Also Published As
Publication number | Publication date |
---|---|
CA2154020C (en) | 2001-10-16 |
JP3074638B2 (ja) | 2000-08-07 |
DE69427347D1 (de) | 2001-07-05 |
DE69427347T2 (de) | 2001-10-31 |
CA2154020A1 (en) | 1996-02-16 |
US5911143A (en) | 1999-06-08 |
EP0697662B1 (en) | 2001-05-30 |
EP0697662A1 (en) | 1996-02-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JPH0887454A (ja) | 分散および集中コンピュータ・システムにおける拡張役割ベース・アクセス制御の方法およびシステム | |
Baldwin | Naming and Grouping Privileges to Simplify Security Management in Large Databases. | |
Tari et al. | A role-based access control for intranet security | |
JP4550056B2 (ja) | データ・アクセス制御機能を実現する方法、システム、およびプログラム・ストレージ・デバイス | |
US6023765A (en) | Implementation of role-based access control in multi-level secure systems | |
Sandhu et al. | The NIST model for role-based access control: towards a unified standard | |
Fernandez et al. | A pattern language for security models | |
US7155720B2 (en) | Dynamic task assignment in workflows | |
US6574736B1 (en) | Composable roles | |
Kern et al. | An administration concept for the enterprise role-based access control model | |
US20020083059A1 (en) | Workflow access control | |
US5204812A (en) | User access of multiple documents based on document relationship classification | |
JP2002288399A (ja) | セキュアワークフローシステムおよびその方法 | |
Long et al. | Racac: An approach toward rbac and abac combining access control | |
CN117932628A (zh) | 一种基于rbac的财务信息系统授权管理方法 | |
Graubart et al. | A Preliminary Neval Surveillance OBMS Sacurity | |
Hitchens et al. | Design and specification of role based access control policies | |
CN115378635B (zh) | 一种基于角色的系统间跨域访问控制方法及平台 | |
JP4495915B2 (ja) | データ管理方法、メモリ装置、およびサーバ | |
Lunt | Security in database systems: A research perspective | |
Abdallah et al. | Formal Z specifications of several flat role-based access control models | |
Lunt et al. | The SeaView Secure Database System: A Progress Report. | |
Steinke | Design aspects of access control in a knowledge base system | |
Boulahia-Cuppens et al. | Multiview model for object-oriented database | |
Steinke | A task-based approach to implementing computer security |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
LAPS | Cancellation because of no payment of annual fees |