JPH1131132A - 認証/権限制御システム - Google Patents
認証/権限制御システムInfo
- Publication number
- JPH1131132A JPH1131132A JP9202488A JP20248897A JPH1131132A JP H1131132 A JPH1131132 A JP H1131132A JP 9202488 A JP9202488 A JP 9202488A JP 20248897 A JP20248897 A JP 20248897A JP H1131132 A JPH1131132 A JP H1131132A
- Authority
- JP
- Japan
- Prior art keywords
- user
- information
- authentication
- external
- internal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
(57)【要約】
【課題】 大量のユーザを抱える情報提供サービスシス
テムの認証/権限処理の効率化を図る。 【解決手段】 認証/権限制御システムは,広域分散さ
れた外部ユーザ10の外部ユーザ情報を登録管理する外
部ユーザ管理部22と,アクセス権限に応じた内部ユー
ザ情報を登録管理する内部ユーザ管理部31と,外部ユ
ーザ情報と内部ユーザ情報の写像を作成する権限写像部
24と,情報資源を格納する記憶装置32と,情報取得
要求を受けて権限写像部で外部ユーザを内部ユーザに変
換しそのアクセス権限に応じて記憶装置から情報資源を
取得し提供する情報提供部21とを備えており,大量の
外部ユーザを少数の内部ユーザに変換して処理を行うの
で,大量の外部ユーザがアクセスしてきた場合でも,シ
ステム内部の処理を効率化することができる。
テムの認証/権限処理の効率化を図る。 【解決手段】 認証/権限制御システムは,広域分散さ
れた外部ユーザ10の外部ユーザ情報を登録管理する外
部ユーザ管理部22と,アクセス権限に応じた内部ユー
ザ情報を登録管理する内部ユーザ管理部31と,外部ユ
ーザ情報と内部ユーザ情報の写像を作成する権限写像部
24と,情報資源を格納する記憶装置32と,情報取得
要求を受けて権限写像部で外部ユーザを内部ユーザに変
換しそのアクセス権限に応じて記憶装置から情報資源を
取得し提供する情報提供部21とを備えており,大量の
外部ユーザを少数の内部ユーザに変換して処理を行うの
で,大量の外部ユーザがアクセスしてきた場合でも,シ
ステム内部の処理を効率化することができる。
Description
【0001】
【発明の属する技術分野】本発明は,認証/権限制御シ
ステムに係り,特に,インターネット上に広域分散され
た端末装置からのログインに対する認証を行うことによ
り,情報提供サーバ上の操作権限の制御を行う認証/権
限制御システムに関するものである。
ステムに係り,特に,インターネット上に広域分散され
た端末装置からのログインに対する認証を行うことによ
り,情報提供サーバ上の操作権限の制御を行う認証/権
限制御システムに関するものである。
【0002】
【従来の技術】従来,インターネット上に広域分散され
た任意の端末装置からユーザが所望の情報提供サーバに
ログインして,その情報提供サーバ内に格納された情報
資源を取得したり,その情報資源に変更を加えたりする
際には,ユーザが端末装置側から情報提供サーバ側にユ
ーザ名やパスワードなどの認証情報を送信し,その認証
情報に基づいて情報提供サーバ側がそのユーザのアクセ
ス権限を評価し,ユーザは情報提供サーバに許可された
範囲内で情報提供サーバの情報資源に対して所定のアク
セスを行っていた。
た任意の端末装置からユーザが所望の情報提供サーバに
ログインして,その情報提供サーバ内に格納された情報
資源を取得したり,その情報資源に変更を加えたりする
際には,ユーザが端末装置側から情報提供サーバ側にユ
ーザ名やパスワードなどの認証情報を送信し,その認証
情報に基づいて情報提供サーバ側がそのユーザのアクセ
ス権限を評価し,ユーザは情報提供サーバに許可された
範囲内で情報提供サーバの情報資源に対して所定のアク
セスを行っていた。
【0003】図6に,従来の認証/権限制御システムの
概略構成を示す。図示のように,認証/権限制御システ
ムは,広域分散された端末装置101−1,101−
2,…101−nと,これらの端末装置と一般電話回線
などで接続された情報提供サーバ110とから構成され
ている。
概略構成を示す。図示のように,認証/権限制御システ
ムは,広域分散された端末装置101−1,101−
2,…101−nと,これらの端末装置と一般電話回線
などで接続された情報提供サーバ110とから構成され
ている。
【0004】端末装置(ユーザ)101は,情報提供サ
ーバ110にログインし,ユーザが所望する情報資源を
取得したり,情報提供サーバ110上での所定のプログ
ラム実行を要求するための装置である。情報提供サーバ
110は,単一の装置ではなく,情報提供部111,権
限制御部112,ユーザ管理部113及び二次記憶装置
114から構成されている。なお,各構成要素は,必ず
しも単一の装置内に存在する必要はなく,それぞれ別の
装置として構成し,所定のデータ伝送装置で相互接続す
ることも可能である。
ーバ110にログインし,ユーザが所望する情報資源を
取得したり,情報提供サーバ110上での所定のプログ
ラム実行を要求するための装置である。情報提供サーバ
110は,単一の装置ではなく,情報提供部111,権
限制御部112,ユーザ管理部113及び二次記憶装置
114から構成されている。なお,各構成要素は,必ず
しも単一の装置内に存在する必要はなく,それぞれ別の
装置として構成し,所定のデータ伝送装置で相互接続す
ることも可能である。
【0005】まず,情報提供部111は,任意の端末装
置101を利用してのユーザからのログイン要求や情報
取得要求を受け付ける装置である。権限制御部112
は,ユーザからのログイン要求に対して各ユーザ毎に許
可されたアクセス権限を調査し,許可された情報資源に
対してのみアクセスを可能とする装置である。ユーザ管
理部113は,ユーザ管理情報,すなわち各ユーザに関
する情報,認証用の情報(例えば,ユーザ名,パスワー
ド等),権限情報(どの情報資源及びプログラムに対し
てアクセス可能かを記述した情報)などを登録して管理
する装置である。さらに,二次記憶装置114は,情報
提供サーバがユーザに提供する情報資源やプログラムを
格納する記憶装置である。
置101を利用してのユーザからのログイン要求や情報
取得要求を受け付ける装置である。権限制御部112
は,ユーザからのログイン要求に対して各ユーザ毎に許
可されたアクセス権限を調査し,許可された情報資源に
対してのみアクセスを可能とする装置である。ユーザ管
理部113は,ユーザ管理情報,すなわち各ユーザに関
する情報,認証用の情報(例えば,ユーザ名,パスワー
ド等),権限情報(どの情報資源及びプログラムに対し
てアクセス可能かを記述した情報)などを登録して管理
する装置である。さらに,二次記憶装置114は,情報
提供サーバがユーザに提供する情報資源やプログラムを
格納する記憶装置である。
【0006】次に,上記のような認証/権限制御システ
ムにおいて,ユーザが端末装置101から情報提供サー
バ110にアクセスし,目的の情報を取得するまでの動
作について説明する。
ムにおいて,ユーザが端末装置101から情報提供サー
バ110にアクセスし,目的の情報を取得するまでの動
作について説明する。
【0007】(1)サーバログイン ユーザは,自己の端末装置101からユーザ名やパスワ
ードなどに代表される認証に必要な情報を,アクセスし
たい情報提供サーバ110に送信してログインを行う。
ードなどに代表される認証に必要な情報を,アクセスし
たい情報提供サーバ110に送信してログインを行う。
【0008】(2)認証要求 ユーザからのログインを受けて,情報提供サーバ110
の情報提供部111は,ユーザから送信された認証情報
を権限制御部112に送り,その認証を依頼する。
の情報提供部111は,ユーザから送信された認証情報
を権限制御部112に送り,その認証を依頼する。
【0009】(3)認証実行 権限制御部112は,送られた認証情報に基づいて,ユ
ーザ管理部113にアクセスし,認証に必要なユーザ管
理情報の取得を行い,ログインしてきたユーザが正規ユ
ーザであるか否かを確認し,その結果を情報提供部11
1に戻す。
ーザ管理部113にアクセスし,認証に必要なユーザ管
理情報の取得を行い,ログインしてきたユーザが正規ユ
ーザであるか否かを確認し,その結果を情報提供部11
1に戻す。
【0010】(4)認証完了 情報提供部111は,権限制御部112から送られてき
た認証結果を受け取り,その結果をユーザの端末装置1
10に返送する。
た認証結果を受け取り,その結果をユーザの端末装置1
10に返送する。
【0011】(5)情報要求 ユーザは端末装置110において,アクセスが許可され
たかどうかを確認し,アクセスが許可された場合には,
取得したい情報資源を情報提供部111に対して要求す
る。
たかどうかを確認し,アクセスが許可された場合には,
取得したい情報資源を情報提供部111に対して要求す
る。
【0012】(6)認可要求 情報提供部111は,ユーザの端末装置111からの情
報取得要求を受け取り,その情報要求の内容を権限制御
部112に送信する。
報取得要求を受け取り,その情報要求の内容を権限制御
部112に送信する。
【0013】(7)認可検証実行 権限制御部112は情報要求の内容を受け取り,ユーザ
管理部113に再びアクセスし,そこに格納されている
ユーザ管理情報から,情報要求元のユーザがその情報資
源を取得する権限を有するかどうか検証する。そして,
ユーザが必要な権限を有していると判断した場合には,
ユーザ要求してきた情報資源を二次記憶装置114から
取得して,その情報資源を情報提供部111に提供す
る。
管理部113に再びアクセスし,そこに格納されている
ユーザ管理情報から,情報要求元のユーザがその情報資
源を取得する権限を有するかどうか検証する。そして,
ユーザが必要な権限を有していると判断した場合には,
ユーザ要求してきた情報資源を二次記憶装置114から
取得して,その情報資源を情報提供部111に提供す
る。
【0014】(8)情報提供 情報提供部111は,権限制御部112からユーザが要
求した情報資源を受け取り,ユーザ端末110に送信し
て,一連の処理を終了する。
求した情報資源を受け取り,ユーザ端末110に送信し
て,一連の処理を終了する。
【0015】
【発明が解決しようとする課題】上記のように構成され
た従来の認証/権限制御方法では,ユーザの情報提供サ
ーバへのアクセス権限は,ログイン時と情報要求時と少
なくとも2回の検証を受ける必要があるため,大量のユ
ーザを抱える情報提供サーバでは,ピーク時に権限制御
部の処理能力が飽和し,ユーザへの情報提供速度が低下
するという問題があった。
た従来の認証/権限制御方法では,ユーザの情報提供サ
ーバへのアクセス権限は,ログイン時と情報要求時と少
なくとも2回の検証を受ける必要があるため,大量のユ
ーザを抱える情報提供サーバでは,ピーク時に権限制御
部の処理能力が飽和し,ユーザへの情報提供速度が低下
するという問題があった。
【0016】また,大量のユーザへの情報提供速度を上
げようとすれば,記憶装置の大容量化及び権限制御部な
どの演算装置の高速化や装置の多重化が避けられず,コ
スト増につながるという問題があった。
げようとすれば,記憶装置の大容量化及び権限制御部な
どの演算装置の高速化や装置の多重化が避けられず,コ
スト増につながるという問題があった。
【0017】さらに,情報提供サーバのコア部分へのア
クセス権限を有するスーパーユーザが情報提供サーバに
アクセスしようとした場合であっても,一般ユーザと同
様の手順を踏まなければならないため,効率が悪く,特
に緊急にメンテナンスが必要な場合には問題であった。
クセス権限を有するスーパーユーザが情報提供サーバに
アクセスしようとした場合であっても,一般ユーザと同
様の手順を踏まなければならないため,効率が悪く,特
に緊急にメンテナンスが必要な場合には問題であった。
【0018】本発明は,上記のような従来の認証/権限
制御装置がかかえる問題点に鑑みて成されたものであ
り,大量のユーザを抱える情報提供サーバであっても,
ユーザの認証/権限情報を効率よく管理することによ
り,必要な情報資源を各ユーザに効率的に提供すること
が可能な,新規かつ改良された認証/権限制御システム
を提供することを目的としている。
制御装置がかかえる問題点に鑑みて成されたものであ
り,大量のユーザを抱える情報提供サーバであっても,
ユーザの認証/権限情報を効率よく管理することによ
り,必要な情報資源を各ユーザに効率的に提供すること
が可能な,新規かつ改良された認証/権限制御システム
を提供することを目的としている。
【0019】さらに本発明の別の目的は,従来のシステ
ムのユーザ管理情報資源をそのまま利用し,また新たに
必要となる設備を最小限に抑えて,大量のユーザへの情
報提供システムを構築することが可能な,新規かつ改良
された認証/権限制御システムを提供することである。
ムのユーザ管理情報資源をそのまま利用し,また新たに
必要となる設備を最小限に抑えて,大量のユーザへの情
報提供システムを構築することが可能な,新規かつ改良
された認証/権限制御システムを提供することである。
【0020】さらにまた本発明の別の目的は,情報提供
サーバへのアクセス権限のレベルに柔軟に対応し,例え
ばスーパーユーザが一般ユーザよりもアクセスし易い環
境を整えることにより,メンテナンス作業などを容易に
行うことが可能な,新規かつ改良された認証/権限制御
システムを提供することである。
サーバへのアクセス権限のレベルに柔軟に対応し,例え
ばスーパーユーザが一般ユーザよりもアクセスし易い環
境を整えることにより,メンテナンス作業などを容易に
行うことが可能な,新規かつ改良された認証/権限制御
システムを提供することである。
【0021】
【課題を解決するための手段】上記課題を解決するため
に,本発明によれば,例えばインターネット上で広域分
散された端末からの外部ユーザのアクセスに対して認証
を行うことにより情報提供サーバ上での操作権限を制御
する認証/権限制御システムが提供される。そして,こ
の認証/権限制御システムは,請求項1によれば,外部
ユーザに関する外部ユーザ情報を個別に登録し管理する
外部ユーザ管理部と,アクセス権限に応じて内部で予め
定義づけらる内部ユーザに関する内部ユーザ情報を登録
し管理する内部ユーザ管理部と,外部ユーザ情報と内部
ユーザ情報との写像を作成する権限写像部と,外部ユー
ザに提供される情報資源を格納する記憶装置と,外部ユ
ーザからの情報取得要求を受けて権限写像部においてそ
の外部ユーザを対応する内部ユーザに変換し変換された
内部ユーザのアクセス権限に応じて記憶装置から情報資
源を取得してその情報資源を外部ユーザに提供する情報
提供部とを備えたことを特徴としている。
に,本発明によれば,例えばインターネット上で広域分
散された端末からの外部ユーザのアクセスに対して認証
を行うことにより情報提供サーバ上での操作権限を制御
する認証/権限制御システムが提供される。そして,こ
の認証/権限制御システムは,請求項1によれば,外部
ユーザに関する外部ユーザ情報を個別に登録し管理する
外部ユーザ管理部と,アクセス権限に応じて内部で予め
定義づけらる内部ユーザに関する内部ユーザ情報を登録
し管理する内部ユーザ管理部と,外部ユーザ情報と内部
ユーザ情報との写像を作成する権限写像部と,外部ユー
ザに提供される情報資源を格納する記憶装置と,外部ユ
ーザからの情報取得要求を受けて権限写像部においてそ
の外部ユーザを対応する内部ユーザに変換し変換された
内部ユーザのアクセス権限に応じて記憶装置から情報資
源を取得してその情報資源を外部ユーザに提供する情報
提供部とを備えたことを特徴としている。
【0022】かかる構成によれば,大量の外部ユーザを
少数の内部ユーザに変換して処理を行うので,大量の外
部ユーザがアクセスしてきた場合でも,システム内部の
処理を効率化することができ,情報提供速度を向上させ
ることができる。また,一旦,外部ユーザが内部ユーザ
に変換されれば,情報提供サーバ内では,その内部ユー
ザのアクセス権限に応じた処理が行われるので,外部ユ
ーザ側にはログイン時の一次認証のみですべての処理が
行われているように映り,ユーザインタフェースに優れ
た情報提供サービスシステムを提供することができる。
さらにまた,一般ユーザからのアクセスとスーパーユー
ザからのアクセスとを区別して管理することが可能とな
るので,システムのメンテナンス時などの効率化を図る
ことができる。
少数の内部ユーザに変換して処理を行うので,大量の外
部ユーザがアクセスしてきた場合でも,システム内部の
処理を効率化することができ,情報提供速度を向上させ
ることができる。また,一旦,外部ユーザが内部ユーザ
に変換されれば,情報提供サーバ内では,その内部ユー
ザのアクセス権限に応じた処理が行われるので,外部ユ
ーザ側にはログイン時の一次認証のみですべての処理が
行われているように映り,ユーザインタフェースに優れ
た情報提供サービスシステムを提供することができる。
さらにまた,一般ユーザからのアクセスとスーパーユー
ザからのアクセスとを区別して管理することが可能とな
るので,システムのメンテナンス時などの効率化を図る
ことができる。
【0023】上記認証/権限制御システムにおいては,
請求項2に記載のように,内部ユーザを,情報資源に対
するアクセス権限に応じて段階的に作成すれば,大量の
外部ユーザを少数の内部ユーザに効率的に変換すること
ができる。
請求項2に記載のように,内部ユーザを,情報資源に対
するアクセス権限に応じて段階的に作成すれば,大量の
外部ユーザを少数の内部ユーザに効率的に変換すること
ができる。
【0024】上記認証/権限制御システムにおいて,請
求項3に記載のように,外部ユーザの情報取得要求に応
じてそのつど新規の内部ユーザを動的に作成し,権限写
像において,その外部ユーザと新規の内部ユーザとの写
像を作成し,情報提供部により,その新規の内部ユーザ
のアクセス権限に応じて記憶装置から情報資源を取得し
て,その情報資源を外部ユーザに提供するように構成し
ても良い。
求項3に記載のように,外部ユーザの情報取得要求に応
じてそのつど新規の内部ユーザを動的に作成し,権限写
像において,その外部ユーザと新規の内部ユーザとの写
像を作成し,情報提供部により,その新規の内部ユーザ
のアクセス権限に応じて記憶装置から情報資源を取得し
て,その情報資源を外部ユーザに提供するように構成し
ても良い。
【0025】あるいはまた,上記認証/権限制御システ
ムにおいて,請求項4に記載のように,新規の外部ユー
ザに関する外部ユーザ情報の登録時に,その外部ユーザ
の変換先の内部ユーザも登録し管理することにより,外
部ユーザのアクセス時に自動的に予め登録された内部ユ
ーザに変換するように構成しても良い。
ムにおいて,請求項4に記載のように,新規の外部ユー
ザに関する外部ユーザ情報の登録時に,その外部ユーザ
の変換先の内部ユーザも登録し管理することにより,外
部ユーザのアクセス時に自動的に予め登録された内部ユ
ーザに変換するように構成しても良い。
【0026】さらに,上記認証/権限制御システムにお
いて,請求項5に記載のように,外部ユーザのログイン
時に,外部ユーザ管理部で管理される外部ユーザ情報を
参照して,外部ユーザのログインの一次認証を行う外部
ユーザ認証部をさらに設け,その外部ユーザ認証部にお
いて大量の外部ユーザの一次認証を高速に処理すること
が可能となり,内部システムへの負担を軽減することが
可能となり,さらに高速の情報提供サービスシステムを
構築することができる。
いて,請求項5に記載のように,外部ユーザのログイン
時に,外部ユーザ管理部で管理される外部ユーザ情報を
参照して,外部ユーザのログインの一次認証を行う外部
ユーザ認証部をさらに設け,その外部ユーザ認証部にお
いて大量の外部ユーザの一次認証を高速に処理すること
が可能となり,内部システムへの負担を軽減することが
可能となり,さらに高速の情報提供サービスシステムを
構築することができる。
【0027】
【発明の実施の形態】以下に,添付図面を参照しなが
ら,本発明にかかる認証/権限制御システムの好適な実
施形態について詳細に説明することにする。
ら,本発明にかかる認証/権限制御システムの好適な実
施形態について詳細に説明することにする。
【0028】(第1の実施形態)まず図1を参照しなが
ら,本発明の第1の実施形態にかかる認証/権限制御シ
ステムの概略構成について説明すると,この認証/権限
制御システムは,例えばインターネット上で,広域分散
された端末装置10−1,10−2,…10−nと,こ
れらの端末と一般電話回線などで接続された情報提供サ
ーバ15とから構成されている。
ら,本発明の第1の実施形態にかかる認証/権限制御シ
ステムの概略構成について説明すると,この認証/権限
制御システムは,例えばインターネット上で,広域分散
された端末装置10−1,10−2,…10−nと,こ
れらの端末と一般電話回線などで接続された情報提供サ
ーバ15とから構成されている。
【0029】端末装置10は,例えば通信機能付きのパ
ーソナルコンピュータや携帯端末のように,情報提供サ
ーバ15にログインし,ユーザが所望する情報を取得し
たり,情報提供サーバ15上での所定のプログラム実行
を要求するための装置である。情報提供サーバ15は,
本実施の形態によれば,外部情報提供サーバ20と内部
情報提供サーバ30とから構成されている。
ーソナルコンピュータや携帯端末のように,情報提供サ
ーバ15にログインし,ユーザが所望する情報を取得し
たり,情報提供サーバ15上での所定のプログラム実行
を要求するための装置である。情報提供サーバ15は,
本実施の形態によれば,外部情報提供サーバ20と内部
情報提供サーバ30とから構成されている。
【0030】まず,外部情報提供サーバ20は,広域分
散された端末10からアクセスされるサーバであり,外
部に公開されているものである。具体的には,外部情報
提供サーバ20は,情報提供部21,外部ユーザ認証部
22,外部ユーザ管理部23及び権限写像部24から構
成されている。なお,各構成要素は,必ずしも単一の装
置内に存在する必要はなく,それぞれ別の装置として構
成し,所定のデータ伝送装置で相互接続することも可能
である。
散された端末10からアクセスされるサーバであり,外
部に公開されているものである。具体的には,外部情報
提供サーバ20は,情報提供部21,外部ユーザ認証部
22,外部ユーザ管理部23及び権限写像部24から構
成されている。なお,各構成要素は,必ずしも単一の装
置内に存在する必要はなく,それぞれ別の装置として構
成し,所定のデータ伝送装置で相互接続することも可能
である。
【0031】情報提供部21は,外部ユーザがインター
ネット上に存在する任意の端末装置10を利用して送っ
てきた,ログイン要求や情報取得要求を受け付ける装置
である。外部ユーザ管理部23は,外部ユーザに関する
情報を登録し管理する装置であり,そこには外部ユーザ
管理情報,すなわち各外部ユーザに関する個人情報,ロ
グイン時の一次認証用の情報(例えば,ユーザ名,パス
ワード等),権限情報(どの情報及びプログラムに対し
てアクセス可能かを記述した情報)などが格納されて管
理される。外部ユーザ認証部22は,外部ユーザからの
ログイン要求に対して,外部ユーザ管理部23において
各外部ユーザ毎に管理されている外部ユーザ情報を参照
して,ログインしてきた外部ユーザが正規ユーザか否か
の一次認証を行う装置である。さらに,権限写像部24
は,外部ユーザ管理部23において登録管理される外部
ユーザ情報と後述する内部ユーザ管理部31において登
録管理される内部ユーザ情報との写像を作成する装置で
ある。
ネット上に存在する任意の端末装置10を利用して送っ
てきた,ログイン要求や情報取得要求を受け付ける装置
である。外部ユーザ管理部23は,外部ユーザに関する
情報を登録し管理する装置であり,そこには外部ユーザ
管理情報,すなわち各外部ユーザに関する個人情報,ロ
グイン時の一次認証用の情報(例えば,ユーザ名,パス
ワード等),権限情報(どの情報及びプログラムに対し
てアクセス可能かを記述した情報)などが格納されて管
理される。外部ユーザ認証部22は,外部ユーザからの
ログイン要求に対して,外部ユーザ管理部23において
各外部ユーザ毎に管理されている外部ユーザ情報を参照
して,ログインしてきた外部ユーザが正規ユーザか否か
の一次認証を行う装置である。さらに,権限写像部24
は,外部ユーザ管理部23において登録管理される外部
ユーザ情報と後述する内部ユーザ管理部31において登
録管理される内部ユーザ情報との写像を作成する装置で
ある。
【0032】次に,内部情報提供サーバ30は,既存の
社内の情報システム内で独自システムによって管理され
ている情報提供サーバであり,本格的なユーザ管理やア
クセス権の管理が可能なシステムから構築されている。
具体的には,内部情報提供サーバ30は,段階的なアク
セス権限に応じて内部で予め定義づけられる内部ユーザ
に関する内部ユーザ情報を登録し管理する内部ユーザ管
理部31と,ログインしてきた正規の外部ユーザに対し
てそのアクセス権限に応じて提供される,各種コンテン
ツやプログラムなどの情報資源が格納されたハードディ
スクなどの大容量記憶装置から成る二次記憶装置32と
から主に構成されている。
社内の情報システム内で独自システムによって管理され
ている情報提供サーバであり,本格的なユーザ管理やア
クセス権の管理が可能なシステムから構築されている。
具体的には,内部情報提供サーバ30は,段階的なアク
セス権限に応じて内部で予め定義づけられる内部ユーザ
に関する内部ユーザ情報を登録し管理する内部ユーザ管
理部31と,ログインしてきた正規の外部ユーザに対し
てそのアクセス権限に応じて提供される,各種コンテン
ツやプログラムなどの情報資源が格納されたハードディ
スクなどの大容量記憶装置から成る二次記憶装置32と
から主に構成されている。
【0033】本発明の第1の実施形態にかかる認証/権
限制御システムは,上記のように構成されている。次に
図2を参照しながら,この認証/権限制御システムの動
作について説明するが,その前に,本発明の理解を容易
にするために,本発明の基本的コンセプトについて説明
する。
限制御システムは,上記のように構成されている。次に
図2を参照しながら,この認証/権限制御システムの動
作について説明するが,その前に,本発明の理解を容易
にするために,本発明の基本的コンセプトについて説明
する。
【0034】昨今,インターネット上には様々な情報提
供サービスが存在しており,各ユーザ(端末装置)は所
望の情報提供サーバにアクセスして,そのアクセス権限
に応じた情報資源を取得している。また,情報提供サー
バ側では,ユーザのログインを受けると,そのユーザの
ログインを認証するとともにアクセス権限を調査し,許
可されたアクセス権限に応じた情報をユーザに提供して
いる。しかも,かかる認証/権限処理は各ユーザ(端末
装置)ごとに個別に行う必要があるため,大量のユーザ
(端末装置)を抱える場合には,情報提供サーバ側で認
証/権限処理を実時間で処理できず,サービスの質が低
下するという深刻な問題を抱えていた。
供サービスが存在しており,各ユーザ(端末装置)は所
望の情報提供サーバにアクセスして,そのアクセス権限
に応じた情報資源を取得している。また,情報提供サー
バ側では,ユーザのログインを受けると,そのユーザの
ログインを認証するとともにアクセス権限を調査し,許
可されたアクセス権限に応じた情報をユーザに提供して
いる。しかも,かかる認証/権限処理は各ユーザ(端末
装置)ごとに個別に行う必要があるため,大量のユーザ
(端末装置)を抱える場合には,情報提供サーバ側で認
証/権限処理を実時間で処理できず,サービスの質が低
下するという深刻な問題を抱えていた。
【0035】しかしながら,発明者の知見によれば,大
量のユーザ(端末装置)が存在していたとしても,各ユ
ーザ(端末装置)ごとに権限制御が異なることは希であ
り,大多数の一般ユーザ(端末装置)に対しては同一の
権限制御を行えば十分である。仮に各ユーザごとに異な
る権限制御可能であっても,管理コストの面から大多数
の一般ユーザ(端末装置)に対しては同一の権限制御を
行っているのが実状である。
量のユーザ(端末装置)が存在していたとしても,各ユ
ーザ(端末装置)ごとに権限制御が異なることは希であ
り,大多数の一般ユーザ(端末装置)に対しては同一の
権限制御を行えば十分である。仮に各ユーザごとに異な
る権限制御可能であっても,管理コストの面から大多数
の一般ユーザ(端末装置)に対しては同一の権限制御を
行っているのが実状である。
【0036】本発明は,インターネットを利用した情報
提供サービスが有する上記特質に鑑みて成されたもので
あり,大量の外部ユーザを権限写像部24において必要
最低限の数の内部ユーザに変換することにより,どんな
に大量の外部ユーザが存在していても,少数の内部ユー
ザが内部情報提供サーバ30にアクセスするという擬似
的アクセス環境を作り出すことにより,認証/権限処理
の効率化を図ることをその要旨としている。なお,外部
ユーザを内部ユーザに変換する写像については,その写
像規則を任意に設定することが可能であり,例えば,ア
クセス権限の段階(例えば,外部ユーザには,外部に解
放されているコンテンツを利用するだけの一般ユーザ
や,内部のシステムプログラムの変更まで許可されたス
ーパーユーザなど各種段階のユーザが損z内する。)に
応じた数の内部ユーザを作成することが可能である。
提供サービスが有する上記特質に鑑みて成されたもので
あり,大量の外部ユーザを権限写像部24において必要
最低限の数の内部ユーザに変換することにより,どんな
に大量の外部ユーザが存在していても,少数の内部ユー
ザが内部情報提供サーバ30にアクセスするという擬似
的アクセス環境を作り出すことにより,認証/権限処理
の効率化を図ることをその要旨としている。なお,外部
ユーザを内部ユーザに変換する写像については,その写
像規則を任意に設定することが可能であり,例えば,ア
クセス権限の段階(例えば,外部ユーザには,外部に解
放されているコンテンツを利用するだけの一般ユーザ
や,内部のシステムプログラムの変更まで許可されたス
ーパーユーザなど各種段階のユーザが損z内する。)に
応じた数の内部ユーザを作成することが可能である。
【0037】上記のような本願発明の基本コンセプトを
念頭において,図2を参照しながら,この認証/権限制
御システムの動作について説明する。まず,外部ユーザ
は,インターネット上の端末装置10を用いて,必要な
情報資源名(r01)と外部ユーザのユーザ名(u0
1)とパスワード(p01)を情報提供部21に送信し
て,情報提供サーバ15の外部情報提供サーバ20にロ
グインする(ステップS101)。
念頭において,図2を参照しながら,この認証/権限制
御システムの動作について説明する。まず,外部ユーザ
は,インターネット上の端末装置10を用いて,必要な
情報資源名(r01)と外部ユーザのユーザ名(u0
1)とパスワード(p01)を情報提供部21に送信し
て,情報提供サーバ15の外部情報提供サーバ20にロ
グインする(ステップS101)。
【0038】かかる外部ユーザのログインを受けて,外
部情報提供サーバ20の情報提供部21は,ログインし
てきた外部ユーザのユーザ名(u01)とパスワード
(p01)を外部ユーザ認証部22に転送し,ユーザ認
証を委託する(ステップS102)。
部情報提供サーバ20の情報提供部21は,ログインし
てきた外部ユーザのユーザ名(u01)とパスワード
(p01)を外部ユーザ認証部22に転送し,ユーザ認
証を委託する(ステップS102)。
【0039】外部ユーザ認証部22は,外部ユーザ管理
部23において管理される外部ユーザ情報を参照して,
ログインしてきた外部ユーザが正規ユーザかどうかの認
証を行う(ステップS103)。外部ユーザ認証部22
は,その認証が否定的である場合にはNG信号を情報提
供部21に戻して,ログインしてきた外部ユーザのアク
セスを拒否する(ステップS104)。これに対して,
外部ユーザ認証部22は,その認証が肯定的である場合
にはOK信号を情報提供部21に戻す。
部23において管理される外部ユーザ情報を参照して,
ログインしてきた外部ユーザが正規ユーザかどうかの認
証を行う(ステップS103)。外部ユーザ認証部22
は,その認証が否定的である場合にはNG信号を情報提
供部21に戻して,ログインしてきた外部ユーザのアク
セスを拒否する(ステップS104)。これに対して,
外部ユーザ認証部22は,その認証が肯定的である場合
にはOK信号を情報提供部21に戻す。
【0040】情報提供部21は,OK信号を受けて,権
限写像部24に認証を受けた外部ユーザを内部ユーザに
変換するように委託する。権限写像部24は,図3に示
すようなユーザ対応表に基づいて,認証された外部ユー
ザに対応する内部ユーザに変換し,その内部ユーザ名
(u02)及び内部ユーザパスワード(p02)を情報
提供部21に戻す(ステップS105)。なお,本実施
の形態においては,外部ユーザの登録時に,図3に示す
ように,その外部ユーザのアクセス権限に応じた変換先
の内部ユーザに関する情報,すなわちその内部ユーザ名
(u02)及び内部ユーザパスワード(p02)につい
ても,外部ユーザ名(u01)と関連づけられて登録さ
れているものとする。
限写像部24に認証を受けた外部ユーザを内部ユーザに
変換するように委託する。権限写像部24は,図3に示
すようなユーザ対応表に基づいて,認証された外部ユー
ザに対応する内部ユーザに変換し,その内部ユーザ名
(u02)及び内部ユーザパスワード(p02)を情報
提供部21に戻す(ステップS105)。なお,本実施
の形態においては,外部ユーザの登録時に,図3に示す
ように,その外部ユーザのアクセス権限に応じた変換先
の内部ユーザに関する情報,すなわちその内部ユーザ名
(u02)及び内部ユーザパスワード(p02)につい
ても,外部ユーザ名(u01)と関連づけられて登録さ
れているものとする。
【0041】情報提供部21は,外部ユーザから変換さ
れた内部ユーザの内部ユーザ名(u02)及び内部ユー
ザパスワード(p02)により内部情報提供サーバ30
の内部ユーザ管理部31に再ログインする。かかる再ロ
グイン処理は,通常は,外部ユーザには隠蔽される。も
ちろん,必要に応じて(例えば,外部ユーザがスーパー
ユーザである場合),外部ユーザに透明になるように構
成しても良い。
れた内部ユーザの内部ユーザ名(u02)及び内部ユー
ザパスワード(p02)により内部情報提供サーバ30
の内部ユーザ管理部31に再ログインする。かかる再ロ
グイン処理は,通常は,外部ユーザには隠蔽される。も
ちろん,必要に応じて(例えば,外部ユーザがスーパー
ユーザである場合),外部ユーザに透明になるように構
成しても良い。
【0042】内部ユーザによるログインを受けると,内
部ユーザ管理部31は,その内部ユーザの内部ユーザ名
(u02)及び内部ユーザパスワード(p02)が内部
情報サーバ30にログイン可能なものであるかどうかを
判定する(ステップS106)。そして,そのログイン
が認められないものである場合には,NG信号を情報提
供部21に戻して,ログインしてきた外部ユーザのアク
セスを拒否する(ステップS107)。これに対して,
内部ユーザ管理部31は,そのログインが認められるも
のである場合には,OK信号を情報提供部21に戻す。
部ユーザ管理部31は,その内部ユーザの内部ユーザ名
(u02)及び内部ユーザパスワード(p02)が内部
情報サーバ30にログイン可能なものであるかどうかを
判定する(ステップS106)。そして,そのログイン
が認められないものである場合には,NG信号を情報提
供部21に戻して,ログインしてきた外部ユーザのアク
セスを拒否する(ステップS107)。これに対して,
内部ユーザ管理部31は,そのログインが認められるも
のである場合には,OK信号を情報提供部21に戻す。
【0043】情報提供部21は,OK信号を受けて,内
部ユーザ管理部31に外部ユーザ(ただし,現在は内部
ユーザに変換されている。)から要求された情報資源名
(r01)を内部ユーザ管理部31に送る。内部ユーザ
管理部31は,ログインしてきた内部ユーザがその情報
資源(r01)にアクセス権限があるかどうかを判断す
る(ステップS108)。そして,その内部ユーザがそ
の情報資源(r01)に対するアクセス権限が無い場合
には,その旨を情報提供部21に戻すとともに,内部情
報サーバ30からログオフし,外部ユーザからのアクセ
スを拒否する(ステップS109)。これに対して,そ
の内部ユーザがその情報資源(r01)に対するアクセ
ス権限を有している場合には,その情報資源(r01)
から取得して,情報提供部21に送った後,内部情報サ
ーバ30からログオフする(ステップS110)。
部ユーザ管理部31に外部ユーザ(ただし,現在は内部
ユーザに変換されている。)から要求された情報資源名
(r01)を内部ユーザ管理部31に送る。内部ユーザ
管理部31は,ログインしてきた内部ユーザがその情報
資源(r01)にアクセス権限があるかどうかを判断す
る(ステップS108)。そして,その内部ユーザがそ
の情報資源(r01)に対するアクセス権限が無い場合
には,その旨を情報提供部21に戻すとともに,内部情
報サーバ30からログオフし,外部ユーザからのアクセ
スを拒否する(ステップS109)。これに対して,そ
の内部ユーザがその情報資源(r01)に対するアクセ
ス権限を有している場合には,その情報資源(r01)
から取得して,情報提供部21に送った後,内部情報サ
ーバ30からログオフする(ステップS110)。
【0044】情報提供部21は,以上のような認証/権
限処理の結果,要求された情報資源を取得できた場合に
は,ログインしてきた外部ユーザに対して,その情報資
源を戻し,一連の処理を終了する(ステップS11
1)。
限処理の結果,要求された情報資源を取得できた場合に
は,ログインしてきた外部ユーザに対して,その情報資
源を戻し,一連の処理を終了する(ステップS11
1)。
【0045】以上説明したように,本発明の第1の実施
形態にかかる認証/権限制御システムにおいては,外部
ユーザがログインしてくるごとに外部情報提供サーバ2
0において動的に内部ユーザが作成され,その内部ユー
ザに認められるアクセス権限に応じて内部情報提供サー
バ30から必要な情報資源を取得できるように構成した
ので,大量の外部ユーザが少数の内部ユーザに変換さ
れ,アクセス権限の段階に応じた効率的な情報資源に対
するアクセスが可能となり,高速の情報提供サービスシ
ステムを構築することができる。
形態にかかる認証/権限制御システムにおいては,外部
ユーザがログインしてくるごとに外部情報提供サーバ2
0において動的に内部ユーザが作成され,その内部ユー
ザに認められるアクセス権限に応じて内部情報提供サー
バ30から必要な情報資源を取得できるように構成した
ので,大量の外部ユーザが少数の内部ユーザに変換さ
れ,アクセス権限の段階に応じた効率的な情報資源に対
するアクセスが可能となり,高速の情報提供サービスシ
ステムを構築することができる。
【0046】また,一旦,外部ユーザが内部ユーザに変
換されれば,内部情報提供サーバ内では,その内部ユー
ザのアクセス権限に応じた処理のみが行われるので,外
部ユーザ側にはログイン時の一次認証のみですべての処
理が行われているように映り,ユーザインタフェースに
優れた情報提供サービスシステムを構築できる。
換されれば,内部情報提供サーバ内では,その内部ユー
ザのアクセス権限に応じた処理のみが行われるので,外
部ユーザ側にはログイン時の一次認証のみですべての処
理が行われているように映り,ユーザインタフェースに
優れた情報提供サービスシステムを構築できる。
【0047】(第2の実施形態)次に,図4を参照しな
がら,本発明の第2の実施形態にかかる認証/権限制御
システムについて詳細に説明する。なお,この第2の実
施形態にかかる認証/権限制御システムの基本的構成に
ついては,図1に関連して説明した第1の実施形態にか
かる認証/権限制御システムの構成と実質的に同一なの
で,実質的に同一な機能構成要素については,同一の参
照番号を付することにより重複説明を省略する。
がら,本発明の第2の実施形態にかかる認証/権限制御
システムについて詳細に説明する。なお,この第2の実
施形態にかかる認証/権限制御システムの基本的構成に
ついては,図1に関連して説明した第1の実施形態にか
かる認証/権限制御システムの構成と実質的に同一なの
で,実質的に同一な機能構成要素については,同一の参
照番号を付することにより重複説明を省略する。
【0048】この第2の実施形態に特徴的な点は,外部
ユーザの登録時にその外部ユーザに対応する内部ユーザ
についての登録をも行っていた第1の実施形態の場合と
異なり,外部ユーザがログインして来るたびに,動的に
新規の内部ユーザを作成する点である。
ユーザの登録時にその外部ユーザに対応する内部ユーザ
についての登録をも行っていた第1の実施形態の場合と
異なり,外部ユーザがログインして来るたびに,動的に
新規の内部ユーザを作成する点である。
【0049】以下,図4を参照しながら,第2の実施形
態にかかる認証/権限制御システムの動作について説明
する。まず,外部ユーザは,インターネット上の端末装
置10を用いて,必要な情報資源名(r01)と外部ユ
ーザのユーザ名(u01)とパスワード(p01)を情
報提供部21に送信して,情報提供サーバ15の外部情
報提供サーバ20にログインする(ステップS20
1)。
態にかかる認証/権限制御システムの動作について説明
する。まず,外部ユーザは,インターネット上の端末装
置10を用いて,必要な情報資源名(r01)と外部ユ
ーザのユーザ名(u01)とパスワード(p01)を情
報提供部21に送信して,情報提供サーバ15の外部情
報提供サーバ20にログインする(ステップS20
1)。
【0050】かかる外部ユーザのログインを受けて,外
部情報提供サーバ20の情報提供部21は,ログインし
てきた外部ユーザのユーザ名(u01)とパスワード
(p01)を外部ユーザ認証部22に転送し,ユーザ認
証を委託する(ステップS202)。
部情報提供サーバ20の情報提供部21は,ログインし
てきた外部ユーザのユーザ名(u01)とパスワード
(p01)を外部ユーザ認証部22に転送し,ユーザ認
証を委託する(ステップS202)。
【0051】外部ユーザ認証部22は,外部ユーザ管理
部23において管理される外部ユーザ情報を参照して,
ログインしてきた外部ユーザが正規ユーザかどうかの認
証を行う(ステップS203)。外部ユーザ認証部22
は,その認証が否定的である場合にはNG信号を情報提
供部21に戻して,ログインしてきた外部ユーザのアク
セスを拒否する(ステップS204)。これに対して,
外部ユーザ認証部22は,その認証が肯定的である場合
にはOK信号を情報提供部21に戻す。
部23において管理される外部ユーザ情報を参照して,
ログインしてきた外部ユーザが正規ユーザかどうかの認
証を行う(ステップS203)。外部ユーザ認証部22
は,その認証が否定的である場合にはNG信号を情報提
供部21に戻して,ログインしてきた外部ユーザのアク
セスを拒否する(ステップS204)。これに対して,
外部ユーザ認証部22は,その認証が肯定的である場合
にはOK信号を情報提供部21に戻す。
【0052】情報提供部21は,OK信号を受けて,権
限写像部24に認証を受けた外部ユーザを内部ユーザに
変換するように委託する。権限写像部24は,図5に示
すようなユーザ対応表に基づいて,認証された外部ユー
ザ名(u01)から,その外部ユーザ名(u01)に対
応する内部ユーザ名(u02)及び内部ユーザパスワー
ド(p02)を取得する(ステップS205)。さら
に,権限写像部24は,内部情報提供サーバ30に再ロ
グインするための新規の内部ユーザを動的に作成し,そ
の内部ユーザ名(u02),内部ユーザパスワード(p
02)及び内部ユーザアクセス権(a02)を情報提供
部21に戻す(ステップS206)。なお,本実施の形
態においては,内部ユーザは,外部ユーザのログオンの
たびに動的に作成される。したがって,先の実施形態の
場合とは異なり,外部情報管理部23において,各外部
ユーザに対応する内部ユーザを登録し管理する必要がな
いので,外部情報管理部23におけるデータ処理をより
高速化することができる。
限写像部24に認証を受けた外部ユーザを内部ユーザに
変換するように委託する。権限写像部24は,図5に示
すようなユーザ対応表に基づいて,認証された外部ユー
ザ名(u01)から,その外部ユーザ名(u01)に対
応する内部ユーザ名(u02)及び内部ユーザパスワー
ド(p02)を取得する(ステップS205)。さら
に,権限写像部24は,内部情報提供サーバ30に再ロ
グインするための新規の内部ユーザを動的に作成し,そ
の内部ユーザ名(u02),内部ユーザパスワード(p
02)及び内部ユーザアクセス権(a02)を情報提供
部21に戻す(ステップS206)。なお,本実施の形
態においては,内部ユーザは,外部ユーザのログオンの
たびに動的に作成される。したがって,先の実施形態の
場合とは異なり,外部情報管理部23において,各外部
ユーザに対応する内部ユーザを登録し管理する必要がな
いので,外部情報管理部23におけるデータ処理をより
高速化することができる。
【0053】ここで,ステップS206において,新規
の内部ユーザの作成に失敗した場合には,その旨を情報
提供部21に戻して,その外部ユーザのアクセスを拒否
する(ステップS207)。これに対して,ステップS
206において,新規の内部ユーザの作成に成功した場
合には,情報提供部21は,内部情報提供サーバ30の
内部ユーザ管理部31に対して,新規に作成された内部
ユーザ名(u02)で再ログインする(ステップS20
8)。この再ログイン処理は,先の実施形態と同様に,
外部ユーザに隠蔽するように構成しても良いし,外部ユ
ーザに透明になるように構成しても良い。
の内部ユーザの作成に失敗した場合には,その旨を情報
提供部21に戻して,その外部ユーザのアクセスを拒否
する(ステップS207)。これに対して,ステップS
206において,新規の内部ユーザの作成に成功した場
合には,情報提供部21は,内部情報提供サーバ30の
内部ユーザ管理部31に対して,新規に作成された内部
ユーザ名(u02)で再ログインする(ステップS20
8)。この再ログイン処理は,先の実施形態と同様に,
外部ユーザに隠蔽するように構成しても良いし,外部ユ
ーザに透明になるように構成しても良い。
【0054】新規に作成された内部ユーザによるログイ
ンを受けると,内部ユーザ管理部31は,その内部ユー
ザのアクセス権限(a02)が内部情報サーバ30にロ
グイン可能なものであるかどうかを判定する(ステップ
S208)。そして,そのログインが認められないもの
である場合には,NG信号を情報提供部21に戻して,
ログインしてきた外部ユーザのアクセスを拒否するとと
もに,その内部ユーザ名(u02)を消去する(ステッ
プS209)。これに対して,内部ユーザ管理部31
は,そのログインが認められるものである場合には,O
K信号を情報提供部21に戻す。
ンを受けると,内部ユーザ管理部31は,その内部ユー
ザのアクセス権限(a02)が内部情報サーバ30にロ
グイン可能なものであるかどうかを判定する(ステップ
S208)。そして,そのログインが認められないもの
である場合には,NG信号を情報提供部21に戻して,
ログインしてきた外部ユーザのアクセスを拒否するとと
もに,その内部ユーザ名(u02)を消去する(ステッ
プS209)。これに対して,内部ユーザ管理部31
は,そのログインが認められるものである場合には,O
K信号を情報提供部21に戻す。
【0055】情報提供部21は,OK信号を受けて,内
部ユーザ管理部31に外部ユーザ(ただし,現在は新規
の内部ユーザに変換されている。)から要求された情報
資源名(r01)を内部ユーザ管理部31に送る。内部
ユーザ管理部31は,ログインしてきた内部ユーザがそ
の情報資源(r01)にアクセス権限があるかどうかを
判断する(ステップS210)。そして,その内部ユー
ザがその情報資源(r01)に対するアクセス権限が無
い場合には,その旨を情報提供部21に戻すとともに,
内部情報サーバ30からログオフし,その内部ユーザ名
(u02)を消去するとともに,外部ユーザからのアク
セスを拒否する(ステップS211)。これに対して,
その内部ユーザがその情報資源(r01)に対するアク
セス権限を有している場合には,その情報資源(r0
1)から取得して,情報提供部21に送った後,内部情
報サーバ30からログオフし,不要となった内部ユーザ
名(u02)を消去する(ステップS212)。
部ユーザ管理部31に外部ユーザ(ただし,現在は新規
の内部ユーザに変換されている。)から要求された情報
資源名(r01)を内部ユーザ管理部31に送る。内部
ユーザ管理部31は,ログインしてきた内部ユーザがそ
の情報資源(r01)にアクセス権限があるかどうかを
判断する(ステップS210)。そして,その内部ユー
ザがその情報資源(r01)に対するアクセス権限が無
い場合には,その旨を情報提供部21に戻すとともに,
内部情報サーバ30からログオフし,その内部ユーザ名
(u02)を消去するとともに,外部ユーザからのアク
セスを拒否する(ステップS211)。これに対して,
その内部ユーザがその情報資源(r01)に対するアク
セス権限を有している場合には,その情報資源(r0
1)から取得して,情報提供部21に送った後,内部情
報サーバ30からログオフし,不要となった内部ユーザ
名(u02)を消去する(ステップS212)。
【0056】情報提供部21は,以上のような認証/権
限処理の結果,要求された情報資源を取得できた場合に
は,ログインしてきた外部ユーザに対して,その情報資
源を戻し,一連の処理を終了する(ステップS21
3)。
限処理の結果,要求された情報資源を取得できた場合に
は,ログインしてきた外部ユーザに対して,その情報資
源を戻し,一連の処理を終了する(ステップS21
3)。
【0057】以上説明したように,本発明の第2の実施
形態にかかる認証/権限制御システムにおいては,先の
第1の実施形態にかかる認証/権限制御システムと同様
の効果を奏することが可能となるとともに,外部ユーザ
のログインのたびに動的に内部ユーザを作成し,不要と
なった内部ユーザを削除するので,外部ユーザ管理部2
3における登録データ量を大幅に削減することが可能と
なり,処理の高速化を図ることができる。
形態にかかる認証/権限制御システムにおいては,先の
第1の実施形態にかかる認証/権限制御システムと同様
の効果を奏することが可能となるとともに,外部ユーザ
のログインのたびに動的に内部ユーザを作成し,不要と
なった内部ユーザを削除するので,外部ユーザ管理部2
3における登録データ量を大幅に削減することが可能と
なり,処理の高速化を図ることができる。
【0058】以上,添付図面を参照しながら本発明にか
かる認証/権限制御システムの好適な実施形態について
説明したが,本発明はかかる例に限定されない。当業者
であれば,特許請求の範囲に記載された技術的思想の範
疇内において,各種の変更例又は修正例に想到し得るこ
とは明らかであり,それらについても当然に本発明の技
術的範囲に属するものと了解される。
かる認証/権限制御システムの好適な実施形態について
説明したが,本発明はかかる例に限定されない。当業者
であれば,特許請求の範囲に記載された技術的思想の範
疇内において,各種の変更例又は修正例に想到し得るこ
とは明らかであり,それらについても当然に本発明の技
術的範囲に属するものと了解される。
【0059】
【発明の効果】本発明によれば,大量の外部ユーザを少
数の内部ユーザに変換して処理を行うので,大量の外部
ユーザがアクセスしてきた場合でも,システム内部的に
は少数の内部ユーザがログインする擬似的環境で認証/
権限制御を行うので,内部的な処理の効率化を図ること
が可能となり,情報提供速度を向上させることができ
る。
数の内部ユーザに変換して処理を行うので,大量の外部
ユーザがアクセスしてきた場合でも,システム内部的に
は少数の内部ユーザがログインする擬似的環境で認証/
権限制御を行うので,内部的な処理の効率化を図ること
が可能となり,情報提供速度を向上させることができ
る。
【0060】また,一旦,外部ユーザが内部ユーザに変
換されれば,情報提供サーバ内では,その内部ユーザの
アクセス権限に応じた処理が行われるので,外部ユーザ
側にはログイン時の一次認証のみですべての処理が行わ
れているように映り,外部ユーザはストレスを感ぜずに
情報提供サービスシステムを利用することができる。
換されれば,情報提供サーバ内では,その内部ユーザの
アクセス権限に応じた処理が行われるので,外部ユーザ
側にはログイン時の一次認証のみですべての処理が行わ
れているように映り,外部ユーザはストレスを感ぜずに
情報提供サービスシステムを利用することができる。
【0061】さらにまた,本発明によれば,一般ユーザ
からのアクセスとスーパーユーザからのアクセスとを区
別して管理することが可能となるので,システムのメン
テナンス時などの効率化を図ることができる。
からのアクセスとスーパーユーザからのアクセスとを区
別して管理することが可能となるので,システムのメン
テナンス時などの効率化を図ることができる。
【図1】本発明にかかる認証/権限制御システムの概略
的な構成を示すブロック図である。
的な構成を示すブロック図である。
【図2】本発明の第1の実施形態にかかる認証/権限制
御システムの概略的動作を示すフローチャートである。
御システムの概略的動作を示すフローチャートである。
【図3】本発明の第1の実施形態にかかる認証/権限制
御システムにおいて参照される外部ユーザと内部ユーザ
との写像関係を示す説明図である。
御システムにおいて参照される外部ユーザと内部ユーザ
との写像関係を示す説明図である。
【図4】本発明の第2の実施形態にかかる認証/権限制
御システムの概略的動作を示すフローチャートである。
御システムの概略的動作を示すフローチャートである。
【図5】本発明の第2の実施形態にかかる認証/権限制
御システムにおいて参照される外部ユーザと内部ユーザ
との写像関係を示す説明図である。
御システムにおいて参照される外部ユーザと内部ユーザ
との写像関係を示す説明図である。
【図6】従来の認証/権限制御システムの概略的な構成
を示すブロック図である。
を示すブロック図である。
10 端末装置(外部ユーザ) 15 情報提供サーバ 20 外部情報提供サーバ 21 情報提供部 22 外部ユーザ認証部 23 外部ユーザ管理部 24 権限写像部 30 内部情報提供サーバ 31 内部ユーザ管理部 32 二次記憶装置
Claims (5)
- 【請求項1】 広域分散された端末からの外部ユーザの
アクセスに対して認証を行うことにより情報提供サーバ
上での操作権限を制御する認証/権限制御システムであ
って:外部ユーザに関する外部ユーザ情報を個別に登録
し管理する外部ユーザ管理部と;アクセス権限に応じて
内部で予め定義づけらる内部ユーザに関する内部ユーザ
情報を登録し管理する内部ユーザ管理部と;前記外部ユ
ーザ情報と前記内部ユーザ情報との写像を作成する権限
写像部と;外部ユーザに提供される情報資源を格納する
記憶装置と;外部ユーザからの情報取得要求を受けて,
前記権限写像部においてその外部ユーザを対応する内部
ユーザに変換し,変換された内部ユーザのアクセス権限
に応じて,前記記憶装置から情報資源を取得して,その
情報資源を前記外部ユーザに提供する情報提供部と;を
備えたことを特徴とする,認証/権限制御システム。 - 【請求項2】 前記内部ユーザは,前記情報資源に対す
るアクセス権限に応じて段階的に作成されることを特徴
とする,請求項1に記載の認証/権限制御システム。 - 【請求項3】 外部ユーザの情報取得要求に応じて新規
の内部ユーザが動的に作成され,前記権限写像は前記外
部ユーザと前記新規の内部ユーザとの写像を作成し,前
記情報提供部は前記新規の内部ユーザのアクセス権限に
応じて前記記憶装置から情報を取得してその情報を前記
外部ユーザに提供することを特徴とする,請求項1また
は2に記載の認証/権限制御システム。 - 【請求項4】 新規の外部ユーザに関する外部ユーザ情
報の登録時に,その外部ユーザの変換先の内部ユーザも
登録され管理されることを特徴とする,請求項1または
2に記載の認証/権限制御システム。 - 【請求項5】 外部ユーザのログイン時に,前記外部ユ
ーザ管理部で管理される前記外部ユーザ情報を参照し
て,外部ユーザのログインの一次認証を行う外部ユーザ
認証部をさらに備えたことを特徴とする,請求項1,
2,3または4のいずれかに記載の認証/権限制御シス
テム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP20248897A JP3545573B2 (ja) | 1997-07-11 | 1997-07-11 | 認証/権限制御システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP20248897A JP3545573B2 (ja) | 1997-07-11 | 1997-07-11 | 認証/権限制御システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH1131132A true JPH1131132A (ja) | 1999-02-02 |
| JP3545573B2 JP3545573B2 (ja) | 2004-07-21 |
Family
ID=16458340
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP20248897A Expired - Fee Related JP3545573B2 (ja) | 1997-07-11 | 1997-07-11 | 認証/権限制御システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3545573B2 (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005309898A (ja) * | 2004-04-23 | 2005-11-04 | Fuji Xerox Co Ltd | 画像処理装置、画像処理装置管理プログラム、画像処理装置管理方法、情報処理装置 |
| US7072969B2 (en) | 2001-09-14 | 2006-07-04 | Fujitsu Limited | Information processing system |
| JP2010237898A (ja) * | 2009-03-31 | 2010-10-21 | Hitachi Software Eng Co Ltd | ログイン処理装置、ログイン処理方法及びプログラム |
| WO2012132012A1 (ja) | 2011-03-31 | 2012-10-04 | 富士通株式会社 | 管理装置、管理プログラムおよび管理方法 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5046816B2 (ja) | 2007-09-13 | 2012-10-10 | 株式会社リコー | 画像処理装置,セッション管理方法及びセッション管理プログラム |
-
1997
- 1997-07-11 JP JP20248897A patent/JP3545573B2/ja not_active Expired - Fee Related
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7072969B2 (en) | 2001-09-14 | 2006-07-04 | Fujitsu Limited | Information processing system |
| JP2005309898A (ja) * | 2004-04-23 | 2005-11-04 | Fuji Xerox Co Ltd | 画像処理装置、画像処理装置管理プログラム、画像処理装置管理方法、情報処理装置 |
| JP4613512B2 (ja) * | 2004-04-23 | 2011-01-19 | 富士ゼロックス株式会社 | 画像処理装置、画像処理装置管理プログラム、画像処理装置管理方法、情報処理装置 |
| JP2010237898A (ja) * | 2009-03-31 | 2010-10-21 | Hitachi Software Eng Co Ltd | ログイン処理装置、ログイン処理方法及びプログラム |
| WO2012132012A1 (ja) | 2011-03-31 | 2012-10-04 | 富士通株式会社 | 管理装置、管理プログラムおよび管理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3545573B2 (ja) | 2004-07-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112637214B (zh) | 资源访问方法、装置及电子设备 | |
| JP3497342B2 (ja) | クライアント・サーバシステム、サーバ、クライアント処理方法及びサーバ処理方法 | |
| JP4298969B2 (ja) | 認証信用証明書の委任の有効範囲を制御するための方法とシステム | |
| US6199166B1 (en) | System and method for enabling and controlling anonymous file transfer protocol communications | |
| US6851113B2 (en) | Secure shell protocol access control | |
| KR101496329B1 (ko) | 네트워크의 디바이스 보안 등급 조절 방법 및 장치 | |
| RU2337399C2 (ru) | Контекст устойчивой авторизации на основе внешней аутентификации | |
| US6519647B1 (en) | Methods and apparatus for synchronizing access control in a web server | |
| CN111416822B (zh) | 访问控制的方法、电子设备和存储介质 | |
| US7353542B2 (en) | Storage system, computer system, and method of authorizing an initiator in the storage system or the computer system | |
| US20130283354A1 (en) | Selective cross-realm authentication | |
| US20090089862A1 (en) | Cross domain delegation by a storage virtualization system | |
| EP2321760B1 (en) | Representing security identities using claims | |
| EP0992873A2 (en) | Access-right setting system and storage medium | |
| JP2004512594A (ja) | インターネットサイトに対するアクセス制御方法 | |
| CA2647997A1 (en) | Identity and access management framework | |
| JP2728033B2 (ja) | コンピュータネットワークにおけるセキュリティ方式 | |
| CN102571873B (zh) | 一种分布式系统中的双向安全审计方法及装置 | |
| CN109413080B (zh) | 一种跨域动态权限控制方法及系统 | |
| CN109886675A (zh) | 基于区块链的资源访问令牌的分发和资源使用监控方法 | |
| US8271785B1 (en) | Synthesized root privileges | |
| US20090254982A1 (en) | Methods, programs and a system of providing remote access | |
| JP4558402B2 (ja) | サービスの中断なしにセキュリティ境界を横断するプリンシパルの移動 | |
| JP5177505B2 (ja) | シングルサインオンによるグループ内サービス認可方法と、その方法を用いたグループ内サービス提供システムと、それを構成する各サーバ | |
| JP3545573B2 (ja) | 認証/権限制御システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20040205 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20040406 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20040408 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080416 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090416 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100416 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100416 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110416 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110416 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130416 Year of fee payment: 9 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140416 Year of fee payment: 10 |
|
| LAPS | Cancellation because of no payment of annual fees |