RU2718970C1 - Information processing device, control method for information processing device, information processing system and computer program - Google Patents
Information processing device, control method for information processing device, information processing system and computer program Download PDFInfo
- Publication number
- RU2718970C1 RU2718970C1 RU2019100022A RU2019100022A RU2718970C1 RU 2718970 C1 RU2718970 C1 RU 2718970C1 RU 2019100022 A RU2019100022 A RU 2019100022A RU 2019100022 A RU2019100022 A RU 2019100022A RU 2718970 C1 RU2718970 C1 RU 2718970C1
- Authority
- RU
- Russia
- Prior art keywords
- client
- access
- server
- storage
- access right
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Abstract
Description
Область техники, к которой относится изобретениеFIELD OF THE INVENTION
[0001] Настоящее изобретение относится к устройству обработки информации, которое выполнено с возможностью осуществления связи с клиентом, осуществляющим доступ к серверу, способу управления для устройства обработки информации, системе обработки информации, и компьютерной программе.[0001] The present invention relates to an information processing device that is configured to communicate with a client accessing a server, a control method for an information processing device, an information processing system, and a computer program.
Предшествующий уровень техникиState of the art
[0002] В последнее время, серверу, предоставляющему услугу, предлагаемую в Интернет, требуется хранить безопасным образом частную информацию, типичными представителями которой является персональная информация и контент пользователя, такой как фотографии и видеофильмы, которые созданы пользователем.[0002] Recently, a server providing a service offered on the Internet needs to securely store private information, the typical representatives of which are personal information and user content, such as photographs and videos created by the user.
[0003] Для исполнения этого требуется установка ограничения права доступа к серверу, предоставляющему услугу, для каждого пользователя (клиентского устройства). Чтобы ограничить права доступа, как правило вводится сервер выдачи права доступа, выдающий право доступа, которое установлено для каждого пользователя. Когда клиент принимает предоставление услуги, клиенту дается право доступа от устройства сервера выдачи права доступа, он осуществляет доступ к устройству сервера, которое предоставляет услугу, и запрашивает предоставление услуги. Когда право доступа является действительным, сервер отвечает на запрос. Протокол для получения права доступа от сервера выдачи права доступа и формат права доступа зависят от способа выдачи права доступа.[0003] To accomplish this, a restriction of access rights to the server providing the service for each user (client device) is required. In order to limit access rights, as a rule, a server for issuing an access right issuing an access right that is set for each user is introduced. When the client accepts the provision of the service, the client is given access rights from the access server issuing server device, it accesses the server device that provides the service, and requests the provision of the service. When the access right is valid, the server responds to the request. The protocol for obtaining access rights from the server issuing access rights and the format of the access rights depend on the method of issuing access rights.
[0004] Примеры стандартной спецификации способа выдачи права доступа включают в себя OAuth 2.0 и OpenID Connect, которое является расширением OAuth 2.0. Эти стандартные спецификации уже используются в разнообразных услугах в Интернет. В протоколе OAuth 2.0, право доступа, которое должно быть выдано, выражается посредством использования строки, именуемой маркером доступа. Маркер доступа ассоциирован со строкой, именуемой область действия, указывающей диапазон разрешения. Кроме того, маркер доступа может быть ассоциирован с разнообразными типами информации, отличной от области действия. Примеры информации, ассоциированной с маркером доступа, включают в себя срок действия маркера доступа и ID издателя (issuer), который выдал маркер доступа. Сервер, который предоставляет услугу на основе спецификации OAuth 2.0, проверяет действительность и диапазон разрешения принятого маркера доступа на основании значений срока действия и области действия маркера доступа, и определяет, является или нет маркер доступа действительным.[0004] Examples of a standard specification of an authorization method include OAuth 2.0 and OpenID Connect, which is an extension of OAuth 2.0. These standard specifications are already used in a variety of Internet services. In OAuth 2.0, the access right to be granted is expressed by using a string called an access token. An access token is associated with a string called a scope indicating a resolution range. In addition, an access token may be associated with various types of information other than the scope. Examples of information associated with an access token include the validity of the access token and the publisher ID (issuer) that issued the access token. A server that provides a service based on the OAuth 2.0 specification verifies the validity and resolution range of the received access token based on the validity period and scope of the access token, and determines whether or not the access token is valid.
[0005] Сервер выдачи права доступа, который не использует стандартную спецификацию, такую как OAuth 2.0, выдает право доступа посредством использования исходной спецификации. Примером сервера, который выдает право доступа посредством использования исходной спецификации является сервер хранения. Когда сервером, к которому должен быть осуществлен доступ, является сервер хранения, сложные процессы, например, в виде наложения ограничения на операции, такие как чтения и записи, и в виде указания конкретного пути к файлу, к которому разрешается осуществить доступ в хранилище, требуется выполнять посредством использования исходной спецификации.[0005] An authorization issuing server that does not use a standard specification, such as OAuth 2.0, issues an authorization by using the original specification. An example of a server that grants access by using the original specification is a storage server. When the server to be accessed is a storage server, complex processes, for example, in the form of imposing restrictions on operations such as read and write, and in the form of specifying a specific path to a file to which access to the storage is allowed, is required perform by using the original specification.
[0006] Сервер хранения часто используется, когда относительно большой объем данных передается между клиентами и серверами. Причиной использования сервера хранения является следующее. Поскольку серверам, отличным от сервера хранения, не требуется осуществлять администрирование передач данных, быстродействие, требуемое для каждого сервера, является низким, достигая сдерживания затрат на работу сервера. Кроме того, может быть осуществлен непосредственный доступ к данным в сервере хранения. Вследствие этого, данные не проходят через серверы отличные от сервера хранения, обеспечивая возможность выполнения сложной обработки над данными.[0006] A storage server is often used when a relatively large amount of data is transferred between clients and servers. The reason for using the storage server is as follows. Since servers other than the storage server do not need to administer data transfers, the speed required for each server is low, achieving cost containment for the server. In addition, data can be directly accessed on the storage server. As a result, data does not pass through servers other than the storage server, providing the ability to perform complex processing on the data.
[0007] В PTL 1, раскрывается методика для установки разрешения доступа к серверу хранения для каждого управляемого пользователем терминала. В частности, разрешенная операция и путь к файлу, для которого может быть выполнена операция, в сервере хранения устанавливаются для каждого ID управляемого пользователем терминала.[0007] In PTL 1, a technique for setting access permission to a storage server for each user-managed terminal is disclosed. In particular, the permitted operation and the path to the file for which the operation can be performed are set for each user-managed terminal ID in the storage server.
[0008] В PTL 2, раскрывается методика карты средства связи, осуществляющей доступ к серверу хранения через сервер ретрансляции. В частности, сервер ретрансляции устанавливает информацию аутентификации сервера хранения и путь директории, к которой разрешен доступ, для каждого ID терминала карты средства связи.[0008] In PTL 2, a communication card technique is disclosed for accessing a storage server through a relay server. In particular, the relay server sets the authentication information of the storage server and the path of the directory to which access is allowed for each communication terminal card ID.
Список цитированияCitation list
Патентная литератураPatent Literature
[0009] PTL 1: Выложенный Японский Патент № 2007-034386[0009] PTL 1: Japanese Patent Laid-Open No. 2007-034386
PTL 2: Выложенный Японский Патент № 2012-079267PTL 2: Japanese Patent Laid-Open No. 2012-079267
Сущность изобретенияSUMMARY OF THE INVENTION
Техническая задачаTechnical challenge
[0010] Как описано выше, использование сервера хранения имеет много преимуществ. Тем не менее, сервер хранения может хранить персональную информацию пользователя и частную информацию. Вследствие этого, необходимо в достаточной мере накладывать на клиента ограничение доступа к серверу хранения.[0010] As described above, using a storage server has many advantages. However, the storage server can store user personal information and private information. As a result of this, it is necessary to impose a restriction on access to the storage server on the client.
[0011] Тем не менее, методика, раскрываемая в PTL 1, устанавливает предварительное условие, на котором осуществляется управление всей системой, посредством использования одного права доступа. Вследствие этого, устанавливается определенное разрешение доступа для сервера хранения для терминалов.[0011] However, the technique disclosed in PTL 1 establishes a precondition on which the entire system is managed by using one access right. As a result, a specific access permission is set for the storage server for the terminals.
[0012] В PTL 2, раскрывается ассоциация, которая устанавливается между информацией аутентификации пользователя терминала для web-сервера и что для сервера хранения. Сходно с PTL 1, устанавливается определенное разрешение доступа для сервера хранения.[0012] In PTL 2, an association is disclosed that is established between terminal user authentication information for a web server and that for a storage server. Similar to PTL 1, a specific access permission is set for the storage server.
[0013] В известном уровне техники, система с несколькими серверами, включая сервер хранения, не в состоянии устанавливать адекватное право доступа к серверу хранения для клиента. Вследствие этого, для клиента может быть установлено чрезмерное разрешение доступа, которое приводит к неспособности обеспечения адекватной защиты данных, хранящихся на сервере хранения.[0013] In the prior art, a system with multiple servers, including a storage server, is not able to establish an adequate access right to a storage server for a client. As a result, excessive access permissions can be set for the client, which leads to the inability to provide adequate protection for the data stored on the storage server.
[0014] Настоящее изобретения было выполнено с учетом примеров известного уровня техники, которые описаны выше, и его цель состоит в установке адекватного права доступа к серверу хранения для клиента в системе с несколькими серверами, включая сервер хранения.[0014] The present invention has been made taking into account the examples of the prior art that are described above, and its purpose is to establish an adequate access right to a storage server for a client in a system with multiple servers, including a storage server.
Решение задачиThe solution of the problem
[0015] Для достижения описанной выше цели, настоящее изобретение предоставляет устройство обработки информации, которое выполнено с возможностью осуществления связи с клиентом. Клиент осуществляет доступ к серверу хранения и первому серверу, который отличается от сервера хранения. Устройство обработки информации включает в себя средство приема, средство генерирования, и средство передачи. Средство приема принимает информацию касательно первого права доступа от клиента. Информация касательно первого права доступа используется клиентом, чтобы осуществлять доступ к первому серверу. Средство генерирования генерирует информацию касательно второго права доступа на основе информации касательно первого права доступа. Информация касательно второго права доступа используется клиентом, чтобы осуществлять доступ к серверу хранения. Средство передачи передает информацию касательно второго права доступа к клиенту.[0015] In order to achieve the above objective, the present invention provides an information processing apparatus that is configured to communicate with a client. The client accesses the storage server and the first server, which is different from the storage server. The information processing device includes receiving means, generating means, and transmission means. The reception means receives information regarding the first access right from the client. Information regarding the first access right is used by the client to access the first server. The generating means generates information regarding the second access right based on information regarding the first access right. The information regarding the second access right is used by the client to access the storage server. The transmission medium transmits information regarding the second right of access to the client.
Преимущественные результаты изобретенияAdvantageous Results of the Invention
[0016] Настоящее изобретения обеспечивает установку адекватного права доступа к серверу хранения для клиента в системе с несколькими серверами, включая сервер хранения.[0016] The present invention provides for the establishment of an adequate access right to a storage server for a client in a multi-server system, including a storage server.
Краткое описание чертежейBrief Description of the Drawings
[0017] [Фиг. 1] Фиг. 1 является схемой, иллюстрирующей конфигурацию системы обработки информации в соответствии с первым вариантом осуществления.[0017] [FIG. 1] FIG. 1 is a diagram illustrating a configuration of an information processing system in accordance with a first embodiment.
[Фиг. 2] Фиг. 2 является схемой, иллюстрирующей конфигурацию аппаратного обеспечения устройства обработки информации в соответствии с первым вариантом осуществления.[FIG. 2] FIG. 2 is a diagram illustrating a hardware configuration of an information processing apparatus according to a first embodiment.
[Фиг. 3] Фиг. 3 является схемой, иллюстрирующей последовательность операций всей системы.[FIG. 3] FIG. 3 is a diagram illustrating a flowchart of an entire system.
[Фиг. 4] Фиг. 4(a)-(c) иллюстрирует примерные таблицы[FIG. 4] FIG. 4 (a) - (c) illustrates example tables
администрирования, удерживаемые сервером 102 аутентификации и авторизации в соответствии с первым вариантом осуществления. administrations held by the authentication and
[Фиг. 5] Фиг. 5 включает в себя схемы, иллюстрирующие конкретный пример запросов получения и их ответов.[FIG. 5] FIG. 5 includes diagrams illustrating a specific example of receiving requests and their responses.
[Фиг. 6] Фиг. 6 является схемой, иллюстрирующей конфигурацию сервера, который выступает посредником права доступа.[FIG. 6] FIG. 6 is a diagram illustrating a configuration of a server that mediates access rights.
[Фиг. 7] Фиг. 7 является схемой, иллюстрирующей таблицу администрирования диапазона доступа к хранилищу.[FIG. 7] FIG. 7 is a diagram illustrating a storage access range administration table.
[Фиг. 8] Фиг. 8 является схемой, иллюстрирующей последовательность операций запроса получения права доступа к хранилищу.[FIG. 8] FIG. 8 is a diagram illustrating a flow of a request for obtaining access to a storage.
[Фиг. 9] Фиг. 9 является схемой, иллюстрирующей примерную информацию маркера авторизации.[FIG. 9] FIG. 9 is a diagram illustrating exemplary authorization token information.
[Фиг. 10] Фиг. 10 является схемой, иллюстрирующей последовательность операций определения диапазона доступа к хранилищу.[FIG. 10] FIG. 10 is a diagram illustrating a flowchart for determining a storage access range.
[Фиг. 11] Фиг. 11 является схемой, иллюстрирующей конфигурацию сервера, который выступает посредником права доступа во втором варианте осуществления.[FIG. 11] FIG. 11 is a diagram illustrating a configuration of a server that mediates access rights in the second embodiment.
[Фиг. 12] Фиг. 12 является схемой, иллюстрирующей таблицу администрирования права доступа к хранилищу в соответствии со вторым вариантом осуществления.[FIG. 12] FIG. 12 is a diagram illustrating a storage access right administration table in accordance with a second embodiment.
[Фиг. 13] Фиг. 13 иллюстрирует последовательность операций запроса получения права доступа к хранилищу в соответствии со вторым вариантом осуществления.[FIG. 13] FIG. 13 illustrates a flowchart of a request for access to a storage in accordance with a second embodiment.
[Фиг. 14] Фиг. 14 является схемой, иллюстрирующей конфигурацию сервера, который выступает посредником права доступа в соответствии со вторым вариантом осуществления.[FIG. 14] FIG. 14 is a diagram illustrating a configuration of a server that mediates access rights in accordance with a second embodiment.
[Фиг. 15] Фиг. 15 иллюстрирует последовательность операций запроса изменения в установках диапазона доступа к хранилищу в соответствии с третьим вариантом осуществления.[FIG. 15] FIG. 15 illustrates a change request flowchart in a storage access range setting in accordance with a third embodiment.
[Фиг. 16] Фиг. 16 является схемой, иллюстрирующей примерный запрос на изменение в установке диапазона доступа к хранилищу в соответствии с третьим вариантом осуществления.[FIG. 16] FIG. 16 is a diagram illustrating an example change request in setting a storage access range in accordance with a third embodiment.
Описание вариантов осуществленияDescription of Embodiments
[0018] Обращаясь к приложенным чертежам, ниже будут подробно описаны варианты осуществления. Конфигурации, указываемые в вариантах осуществления, описываемых ниже, являются лишь примерами. Настоящее изобретение не ограничивается иллюстрируемыми конфигурациями.[0018] Turning to the attached drawings, embodiments will be described in detail below. The configurations indicated in the embodiments described below are merely examples. The present invention is not limited to the illustrated configurations.
[0019] (ПЕРВЫЙ ВАРИАНТ ОСУЩЕСТВЛЕНИЯ)[0019] (FIRST EMBODIMENT)
Посредством использования Фиг. 1, будет описана конфигурация системы обработки информации в соответствии с настоящим вариантом осуществления.By using FIG. 1, a configuration of an information processing system in accordance with the present embodiment will be described.
[0020] Система обработки информации в соответствии с настоящим вариантом осуществления включает в себя клиента 101, сервер 102 аутентификации и авторизации, посреднический сервер 103 права доступа, сервер 104 выдачи права доступа к хранилищу, и сервер 105 хранения.[0020] The information processing system in accordance with the present embodiment includes a
[0021] Клиент 101 выполнен с возможностью осуществления связи с сервером 102 аутентификации и авторизации, посредническим сервером 103 права доступа, и сервером 105 хранения через сеть 106. Сервер 102 аутентификации и авторизации, посреднический сервер 103 права доступа, и сервер 104 выдачи права доступа к хранилищу выполнены с возможностью осуществления связи друг с другом через сеть 106.[0021] The
[0022] Клиент 101 является устройством обработки информации, которое выполняет файловые операции, такие как выгрузку (upload) и загрузку (download) файлов, на сервер 105 хранения. Когда клиент 101 должен выполнить операцию на сервере 105 хранения, клиент 101 сначала получает маркер авторизации от сервера 102 аутентификации и авторизации. Маркер авторизации указывает право доступа или диапазон доступа для сервера, предоставляющего услугу, такого как web-сервер. Клиент 101 получает маркер авторизации, тем самым получая возможность доступа к каждому серверу. После получения маркера авторизации, клиент 101 использует посреднический сервер 103 права доступа, чтобы получить право доступа, которое соответствует маркеру авторизации, к серверу 105 хранения.[0022] The
[0023] Сервер 102 аутентификации и авторизации является сервером, который удерживает данные касательно аутентификации, такие как ID и пароль, и авторизации, и который выдает описанный выше маркер авторизации клиенту 101. В настоящем варианте осуществления, предполагается, что сервер 102 аутентификации и авторизации соответствует протоколу авторизации у OAuth 2.0. Тем не менее, сервер 102 аутентификации и авторизации может соответствовать другому протоколу авторизации, такому как OpenID Connect. Сервер 102 аутентификации и авторизации также включает в себя функцию предоставления информации соответствия маркера авторизации для описанного выше web-сервера. Информация соответствия маркера авторизации является информацией, указывающей срок действия маркера авторизации и область действия разрешения маркера авторизации. Чтобы проверить действительность маркера авторизации, удерживаемого клиентом 101, web-сервер может получить информацию соответствия маркера авторизации от сервера 102 аутентификации и авторизации.[0023] The authentication and
[0024] Посреднический сервер 103 права доступа является сервером, который получает право доступа и диапазон доступа для сервера 105 хранения от сервера 104 выдачи права доступа к хранилищу на основе выданного маркера авторизации. Посреднический сервер 103 права доступа удерживает информацию, указывающую зависимость соответствия между маркером авторизации, выданным сервером 102 аутентификации и авторизации, и правом доступа к серверу 105 хранения.[0024] The
[0025] Сервер 104 выдачи права доступа к хранилищу является сервером администрирования, который выдает и осуществляет администрирование права доступа и диапазона доступа (права доступа к хранилищу) для сервера 105 хранения. Право доступа к хранилищу выдается на основании запроса получения, переданного от посреднического сервера 103 права доступа. Операция, такая как чтение или запись, путь к файлу, для которого разрешена операция, и подобное устанавливаются в диапазоне доступа, который должен быть выдан.[0025] The storage access
[0026] Сервер 105 хранения является сервером, который хранит и осуществляет администрирование данных, таких как файлы. Когда право доступа к хранилищу передается от клиента 101, сервер 105 хранения верифицирует переданное право доступа к хранилищу. В результате верификации, когда право доступа к хранилищу является действительным, сервер 105 хранения разрешает доступ к сохраненному файлу в ответ на запрос от клиента 101.[0026] The
[0027] В настоящем варианте осуществления, предполагается, что HTTP (Протокол Передачи Гипертекста) используется в качестве протокола связи в системе. Тем не менее, может быть использован протокол связи отличный от HTTP. Кроме того, в системе может быть использовано несколько типов протоколов связи.[0027] In the present embodiment, it is assumed that HTTP (Hypertext Transfer Protocol) is used as a communication protocol in the system. However, a communication protocol other than HTTP may be used. In addition, several types of communication protocols can be used in the system.
[0028] На Фиг. 1, предполагается, что присутствует один клиент 101, один сервер 102 аутентификации и авторизации, один посреднический сервер 103 права доступа, и один сервер 104 выдачи права доступа к хранилищу. Тем не менее, количество устройств не обязательно должно быть равно одному. В дополнение, на Фиг. 1, сервер 102 аутентификации и авторизации, посреднический сервер 103 права доступа, и сервер 104 выдачи права доступа к хранилищу являются отдельными серверами. Тем не менее, функции, включенные в эти серверы, могут быть интегрированы в оном сервере. Например, может быть использована конфигурация, в которой функции сервера 102 аутентификации и авторизации и посреднического сервера 103 права доступа включены в один и тот же сервер.[0028] In FIG. 1, it is assumed that there is one
[0029] Посредством использования Фиг. 2, будет описана конфигурация аппаратного обеспечения устройства обработки информации в соответствии с настоящим вариантом осуществления. Устройство обработки информации в соответствии с настоящим вариантом осуществления является клиентом 101, сервером 102 аутентификации и авторизации, посредническим сервером 103 права доступа, сервером 104 выдачи права доступа к хранилищу, или подобным. Как иллюстрируется, устройство обработки информации предусмотрено с CPU 201 (Центральный Блок Обработки), ROM 202 (Постоянная Память), RAM 203 (Память с Произвольным Доступом), и подобным в качестве конфигурации аппаратного обеспечения. Кроме того, устройство обработки информации также предусмотрено с NET I/F 204 (Сетевой Интерфейс), устройством 205 отображения, устройством 206 ввода, шиной 207, и подобным.[0029] By using FIG. 2, the hardware configuration of the information processing apparatus according to the present embodiment will be described. The information processing device in accordance with the present embodiment is a
[0030] CPU 201 является устройством обработки, которое управляет устройствами, соединенными с шиной 207. CPU 201 выполняет разнообразные процессы, описываемые ниже в клиенте 101, сервер 102 аутентификации и авторизации, посредническом сервер 103 права доступа, и сервере 104 выдачи права доступа к хранилищу. ROM 202 является запоминающим носителем информации, который хранит операционную систему, с помощью которой осуществляется базовое управление компьютером, рабочие программы, и подобное. RAM 203 является запоминающим устройством, которое служит в качестве рабочей памяти у CPU 201 и которое хранит сами рабочие программы и данные, необходимые для рабочих программ. CPU 201 сохраняет в RAM 201, разнообразные рабочие программы, хранящиеся в ROM 202, и исполняет разнообразные компьютерные программы.[0030] The
[0031] NET I/F 204 является интерфейсом для управления передачей информации от/к внешнему устройству, соединенному через сеть. Каждый клиент 101, сервер 102 аутентификации и авторизации, посреднический сервер 103 права доступа, и сервер 104 выдачи права доступа к хранилищу принимает/передает данные через NET I/F 204. Устройство 205 отображения является устройством для отображения результата обработки CPU 201, и состоит из жидкокристаллического дисплея, дисплея на органической EL, или подобного.[0031] NET I /
[0032] Устройство 206 ввода является устройством для приема ввода от пользователя физически, и состоит из клавиатуры и мыши, или сенсорной панели. Когда используется дисплей с сенсорной панелью, устройство 205 отображения и устройство 206 ввода являются интегрированными в одном устройстве. Устройство 205 отображения и устройство 206 ввода, которые являются внешними устройствами, могут быть использованы через NET I/F 204. В данном случае, используется конфигурация, в которой устройство 205 отображения и устройство 206 ввода не включены.[0032] The
[0033] Посредством использования Фиг. 3, будет описана конкретная последовательность операций, когда клиент 101 непосредственно осуществляет доступ к серверу 105 хранения в настоящем варианте осуществления. Последовательность операций на Фиг. 3 описывает выгрузку файла в качестве примерного процесса, выполняемого, когда осуществляется доступ к серверу 105 хранения. Даже когда выполняется другая операция, такая как загрузка файла, выполняется последовательность операций сходная с той, что на Фиг. 3.[0033] By using FIG. 3, a specific process will be described when the
[0034] (ЭТАП S301)[0034] (STEP S301)
Этап S301 является этапом, на котором клиент 101 запрашивает сервер 102 аутентификации и авторизации, чтобы получить маркер авторизации и получает маркер авторизации от сервера 102 аутентификации и авторизации. При передаче запроса на получение, информация аутентификации передается к серверу 102 аутентификации и авторизации, который поставляет маркер авторизации в соответствии с информацией аутентификации.Step S301 is a step in which the
[0035] Запрос на получение маркера авторизации и его ответ (маркер авторизации) имеют разный формат и разное значение в зависимости от типа процесса выдачи маркера авторизации. Фиг. 5(a) и 5(b) являются схемами, иллюстрирующими пример запроса на получение маркера авторизации и его ответа.[0035] The request for an authorization token and its response (authorization token) have a different format and different meanings depending on the type of authorization token issuing process. FIG. 5 (a) and 5 (b) are diagrams illustrating an example of a request for an authorization token and its response.
[0036] Фиг. 5(a) иллюстрирует примерный запрос на получение маркера авторизации, основанный на процессе выдачи маркера авторизации в OAuth 2.0 Client Credentials Grant (Предоставление Мандата Клиента). Информация аутентификации, необходимая для выдачи маркера авторизации, добавляется в заголовок Авторизации. В примере на фигуре, Базовая аутентификация используется, чтобы передавать ID клиента и секрет клиента у клиента. Область действия маркера авторизации добавляется в тело запроса. Кроме того, идентификатор типа процесса выдачи маркера авторизации добавляется в качестве grant_type в тело запроса.[0036] FIG. 5 (a) illustrates an exemplary request for an authorization token based on the process of issuing an authorization token in the OAuth 2.0 Client Credentials Grant. The authentication information required to issue an authorization token is added to the Authorization header. In the example in the figure, Basic Authentication is used to convey the client ID and client secret from the client. The scope of the authorization token is added to the request body. In addition, the type identifier of the authorization token issuing process is added as grant_type to the request body.
[0037] На Фиг. 5(a), тип процесса выдачи маркера запроса установлен как Client Credentials Grant. Тем не менее, может быть использован другой тип, отличный от Client Credentials Grant.[0037] In FIG. 5 (a), the type of request token issuing process is set to Client Credentials Grant. However, a different type can be used than the Client Credentials Grant.
[0038] Когда используется поток авторизации отличный от Client Credentials Grant, например, дополнительно требуется информация, которая именуется кодом авторизации, выдаваемым, когда пользователь одобряет выдачу.[0038] When an authorization flow other than the Client Credentials Grant is used, for example, information is additionally required, which is referred to as an authorization code issued when the user approves the issuance.
[0039] Фиг. 5(b) иллюстрирует примерный ответ (маркер авторизации) на запрос на получение маркера авторизации на Фиг. 5(a). Данные access_token (маркер доступа), включенные в тело ответа указывают значение маркера авторизации. Данные token_type (тип маркера), указывают тип маркера авторизации, а данные expires_in (истекает в), указывают оставшееся время до того момента, когда маркер авторизации станет недействительным.[0039] FIG. 5 (b) illustrates an exemplary response (authorization token) to a request for an authorization token in FIG. 5 (a). The access_token data (access token) included in the response body indicates the value of the authorization token. The token_type data (token type) indicates the type of authorization token, and the expires_in data (expires in) indicates the time remaining until the authorization token becomes invalid.
[0040] На Фиг. 5(b), единицей времени в данных expires_in является секунда. Тем не менее, может быть использована единица отличная от секунды. Ответ может включать в себя информацию атрибута отличную от той, что описана выше.[0040] FIG. 5 (b), the unit of time in the expires_in data is the second. However, a unit other than a second may be used. The response may include attribute information other than that described above.
[0041] Когда должен быть выдан маркер авторизации, сервер 102 аутентификации и авторизации использует таблицы администрирования, иллюстрируемые на Фиг. 4(a)-(c). Как иллюстрируется, в таблице 400 администрирования авторизованного клиента на Фиг. 4(a), ID 401 клиента и секрет 402 клиента, которые являются информацией для аутентификации клиента, и область 403 действия записаны так, чтобы быть ассоциированными друг с другом. Вследствие этого, сервер 102 аутентификации и авторизации может обращаться к таблице 400 администрирования клиента с тем, чтобы проверять, является или нет действительным запрос на получение маркера авторизации. Когда информация аутентификации в запросе на получение маркера авторизации совпадает с информацией аутентификации, зарегистрированной в таблице 400 администрирования клиента, сервер 102 аутентификации и авторизации расценивает запрос получения как действительный. Сервер 102 аутентификации и авторизации получает область действия, которая заключается в области действия в запросе на получение маркера авторизации, из области 403 действия, соответствующей информации аутентификации, и генерирует маркер авторизации. Секрет 402 клиента в информации аутентификации может быть зашифрован и сохранен, не в открытом тексте. Когда информация аутентификации состоит из ID пользователя и пароля, сервер 102 аутентификации и авторизации обращается к таблице 500 администрирования пользователя, в которой ID 501 пользователя и пароль 502 записаны таким образом, чтобы быть ассоциированными друг с другом.[0041] When an authorization token is to be issued, the authentication and
[0042] Таблица 400 администрирования включает в себя область 404 действия по умолчанию. Область 404 действия по умолчанию используется, когда запрос на получение маркера авторизации не включает в себя область действия. Т.е., когда область действия не включается в запрос на получение маркера авторизации, маркер авторизации генерируется посредством использования области 404 действия по умолчанию, а не посредством использования области 403 действия. Несколько фрагментов информации области действия может быть указано в области 403 действия и области 404 действия по умолчанию.[0042] The administration table 400 includes a
[0043] Когда сервер 102 аутентификации и авторизации генерирует маркер авторизации, информация касательно сгенерированного маркера авторизации регистрируется в таблице 600 администрирования маркера авторизации. Для каждого маркера 601 авторизации, дата 602 и время истечения, область 603 действия, и ID 604 клиента у авторизованного клиента, который выдал маркер 601 авторизации, записываются в таблицу 600 администрирования маркера авторизации. Маркер 601 авторизации, дата 602 и время истечения которого наступили, может быть удален из таблицы 600 администрирования маркера авторизации. Когда запрос на получение маркера авторизации включает в себя информацию касательно ID 605 пользователя у пользователя, ID 605 пользователя также сохраняется.[0043] When the authentication and
[0044] Запрос на получение маркера авторизации, который описан выше, может включать в себя как информацию аутентификации пользователя, так и информацию аутентификации авторизованного клиента. В качестве альтернативы, информация аутентификации авторизованного клиента и информация аутентификации пользователя могут быть переданы поэтапно. Например, информация аутентификации пользователя передается первой, и, только когда информация аутентификации пользователя является действительной, впоследствии может быть передана информация аутентификации авторизованного клиента.[0044] A request for an authorization token, as described above, may include both user authentication information and authentication information of an authorized client. Alternatively, the authentication information of the authorized client and the authentication information of the user can be transmitted in stages. For example, user authentication information is transmitted first, and only when the user authentication information is valid can authentication information of the authorized client be subsequently transmitted.
[0045] (ЭТАП S302)[0045] (STEP S302)
На этапе S302, клиент 101 передает маркер авторизации, полученный на этапе S301, к посредническому серверу 103 права доступа, и получает право доступа для осуществления доступа к серверу 105 хранения. Последовательность операций, выполняемая посредством посреднического сервера 103 права доступа на данном этапе будет описана ниже.In step S302, the
[0046] (ЭТАП S303)[0046] (STEP S303)
На этапе S303, посреднический сервер 103 права доступа получает право доступа к серверу 105 хранения в соответствии с маркером авторизации, переданным посредством клиента 101, от сервера 104 выдачи права доступа к хранилищу.In step S303, the
[0047] Фиг. 5(c) и 5(d) иллюстрируют конкретный пример запроса на получение права доступа к хранилищу и его ответа. Фиг. 5(c) иллюстрирует примерный запрос на получение права доступа к хранилищу, который передается посредническим сервером 103 права доступа к серверу 104 выдачи права доступа к хранилищу. Строка, включенная в заголовок Authorization (Авторизация) является точно такой же, как та, что включена в маркер авторизации, полученный на этапе S301.[0047] FIG. 5 (c) and 5 (d) illustrate a specific example of a request for access to a repository and its response. FIG. 5 (c) illustrates an exemplary request for access to a repository that is transmitted by an
[0048] Фиг. 5(d) иллюстрирует примерный ответ на запрос получения права доступа к хранилищу на Фиг. 5(c). Право доступа к хранилищу включается в качестве данных storage_credential (мандат хранилища) в ответе. Формат права доступа к хранилищу отличается в зависимости от типа или спецификации сервера 105 хранения. Вследствие этого, атрибут, включенный в данные storage_credential должен быть изменен в соответствии с типом или спецификацией сервера 105 хранения. Например, когда право доступа к серверу 105 хранения устанавливается в качестве сочетания ID и пароля, то ID и пароль включаются в данные storage_credential. Как зарегистрировано в данных истечения на Фиг. 5(d), могут быть установлены дата и время истечения права доступа к хранилищу. На Фиг. 5(c) и 5(d), описанных выше, запрос на получение права доступа к хранилищу и его ответ описываются в формате json, но могут быть описаны в другом формате, таком как XML.[0048] FIG. 5 (d) illustrates an exemplary response to a request for access to storage in FIG. 5 (c). The storage access right is included as storage_credential data (storage credential) in the response. The format of the storage access right differs depending on the type or specification of the
[0049] (ЭТАП S304)[0049] (STEP S304)
На этапе S304, клиент 101 использует право доступа к хранилищу, полученное на этапе S202, чтобы осуществлять доступ к серверу 105 хранения, и выполнять разнообразные файловые операции. Право доступа включает в себя информацию касательно пути файла, в отношении которого разрешен доступ в хранилище сервера 105 хранения. В примере на Фиг. 3, файл выгружается. Когда выгрузка выполняется успешно, ответ, указывающий на то, что выгрузка была выполнена успешно, передается от сервера 105 хранения клиенту 101.In step S304, the
[0050] Посредством использования Фиг. 6, будет описана примерная конфигурация функций посреднического сервера 103 права доступа в соответствии с настоящим вариантом осуществления. Как описано выше, посреднический сервер 103 права доступа передает запрос на получение права доступа к хранилищу серверу 104 выдачи права доступа к хранилищу, и передает его ответ клиенту 101.[0050] By using FIG. 6, an exemplary configuration of the functions of the
[0051] Блок 1101 администрирования права доступа к хранилищу использует блок 1102 получения права доступа к хранилищу, чтобы получать право доступа к хранилищу от сервера 104 выдачи права доступа к хранилищу, на основании маркера авторизации, переданного от клиента 101. Блок 1101 администрирования права доступа к хранилищу, передает право доступа к хранилищу, полученное от сервера 104 выдачи права доступа к хранилищу, к клиенту 101. Блок 1101 администрирования права доступа к хранилищу получает информацию касательно принятого маркера авторизации посредством использования блока 1103 получения информации маркера авторизации. Блок 1101 администрирования права доступа к хранилищу использует блок 1104 определения диапазона доступа к хранилищу, чтобы определять диапазон разрешения права доступа к хранилищу, которое должно быть выдано.[0051] The storage access
[0052] Блок 1106 хранения диапазона доступа к хранилищу хранит информацию установки диапазона доступа к хранилищу. Фиг. 7 иллюстрирует таблицу 1200 администрирования диапазона доступа к хранилищу в соответствии с настоящим вариантом осуществления.[0052] A storage access
[0053] Таблица 1200 администрирования диапазона доступа к хранилищу хранится в блоке 1106 хранения диапазона доступа к хранилищу, и используется, чтобы осуществлять администрирование прав доступа к хранилищу. Как иллюстрируется на фигуре, таблица 1200 администрирования диапазона доступа к хранилищу описывает диапазон разрешения хранения, который соответствует области действия в маркере авторизации. Таблица 1200 администрирования диапазона доступа к хранилищу имеет область 1202 действия ассоциированную с ID 1201 клиента, соответствующим маркеру авторизации. В качестве диапазона доступа к серверу 105 хранения, который соответствует области 1202 действия, ассоциируются операция 1203 и путь 1204 к файлу. Операция 1203 указывает операции для сервера 105 хранения. Имя операции определяется посредством сервера 105 хранения. Например, предполагается что READ (чтение) указывает чтение с сервера 105 хранения, и что WRITE (запись) указывает запись на сервер 105 хранения. Администрирование ассоциация между строкой, которая устанавливается для операции 1203, и операцией для сервера 105 хранения может осуществляться раздельно, и операция 1203 может использовать исходную строку, определенную посредническим сервером 103 права доступа.[0053] A storage access range administration table 1200 is stored in a storage access
[0054] В пути 1204 к файлу, записывается путь к файлу сервера 105 хранения, к которому разрешается доступ. Имя директории и файла сервера 105 хранения могут быть установлены в пути 1204 к файлу. Кроме того, в пути 1204 к файлу, два типа переменных могут быть использованы в качестве значений установки. Один из двух типов переменных указывает информацию, ассоциированную с маркером авторизации, и выражается в формате ${token.attribute_name}. Другой из двух типов переменных указывает информацию, которая может быть указана из любой информации, включенной в запрос на выдачу права доступа к хранилищу, и выражается в формате ${param.parameter_name}. Посредством использования двух типов переменных, путь в сервере 105 хранения может быть установлен посредством использования сочетания информации касательно маркера авторизации, выданного сервером 102 аутентификации и авторизации, и информации, которая может быть установлена, используя любую информацию, полученную в получении права доступа к хранилищу. Например, информация, ассоциированная с маркером авторизации, может быть указана в верхнем фрагменте пути 1204 к файлу, а информация, которая может быть указана из любой информации, включенной в запрос на выдачу права доступа к хранилищу, может быть указана в нижнем фрагменте. В данном способе спецификации, верхний путь сервера 105 хранения, в отношении которого разрешается доступ, определяется на основе информации, администрирование которой осуществляется сервером 102 аутентификации и авторизации. Вследствие этого, пути, доступ к которым осуществляется клиентом, который получает право доступа к хранилищу, могут быть ограничены. Таким образом, возникает ситуация, при которой клиент осуществляет доступ только к путям по конкретному пути. Вследствие этого, право доступа к серверу 105 хранения может быть ограничено минимальным необходимым правом. Кроме того, любое значение, которое может быть указано в подаче запроса, устанавливается в нижний фрагмент пути сервера 105 хранения, обеспечивая тонкое управление путем в соответствии с процессом над конкретной папкой.[0054] At a
[0055] В области 1202 действия, операции 1203, и пути 1204 к файлу, могут быть указаны несколько значений. Форматы двух типов переменных являются лишь примерами. Любой формат может быть использован при условии, что переменные отличаются друг от друга. Таблица 1200 администрирования диапазона доступа к хранилищу имеет срок 1205 действия права доступа к хранилищу. Срок 1205 действия является данными, в которых в секундах выражается период, в течение которого право доступа к хранилищу является действительным, начиная с момента времени, когда выдается право доступа к хранилищу. Срок 1205 действия может быть указан посредством использования единицы отличной от секунды, или может быть указан посредством использования конкретной даты, а не посредством использования периода. Дополнительно может быть указан IP-адрес клиента 101, которому разрешено использовать право доступа к хранилищу. IP-адрес может быть указан посредством формата CIDR (Бесклассовая Меж-доменная Маршрутизация), включая информацию подсети.[0055] In the action area 1202,
[0056] Таблица 1200 администрирования диапазона доступа к хранилищу с ID 1201 клиента может отдельно осуществлять администрирование информации установки для каждого авторизованного клиента. Таким образом, разрешения для сервера 105 хранения, которые отличаются друг от друга, несмотря на то, что значения области 1202 действия являются одинаковыми, могут быть установлен для каждого авторизованного клиента.[0056] A storage access range administration table 1200 with
[0057] Блок 1107 связи принимает запрос на выдачу права доступа к хранилищу через сеть 106 от клиента 101. Когда принимается запрос на выдачу права доступа к хранилищу, блок 1107 связи уведомляет блок 1101 администрирования права доступа к хранилищу. Блок 1107 связи передает ответ на принятый запрос на выдачу права доступа к хранилищу клиенту 101. Блок 1107 связи используется, чтобы осуществлять доступ к серверу 102 аутентификации и авторизации и серверу 104 выдачи права доступа к хранилищу.[0057] The
[0058] Посредством использования Фиг. 8, будет описана последовательность операций, выполняемая блоком 1101 администрирования права доступа к хранилищу, когда принимается запрос на получение права доступа к хранилищу. Ряд процессов на Фиг. 8 являются процессами, которые выполняются после того, как запрос на получение права доступа к хранилищу передается от клиента 101 на этапе S302 на Фиг. 3. Этапы выполняются посредством функций, иллюстрируемых на Фиг. 6. Фактически, этапы достигаются таким образом, что CPU 201 сохраняет, в RAM 203, разнообразные компьютерные программы, хранящиеся в ROM 202, и исполняет разнообразные компьютерные программы.[0058] By using FIG. 8, a flowchart performed by the storage access
[0059] Этап S1301 является этапом, на котором блок 1101 администрирования права доступа к хранилищу принимает запрос на получение права доступа к хранилищу, который передается от блока 1107 связи. Запрос на получение права доступа к хранилищу включает в себя маркер авторизации, выданный сервером 102 аутентификации и авторизации. Пример запроса на получение права доступа к хранилищу иллюстрируется на Фиг. 5(c), как описано выше.[0059] Step S1301 is a step in which a storage access
[0060] Этап S1302 является этапом, на котором блок 1103 получения информации маркера авторизации получает информацию касательно маркера авторизации, включенного в запрос на получение права доступа к хранилищу. Блок 1103 получения информации маркера авторизации передает запрос на получение информации маркера авторизации к серверу 102 аутентификации и авторизации, и получает информацию маркера авторизации в качестве ответа на запрос. Информация маркера авторизации включает в себя срок действия маркера авторизации и диапазон разрешения маркера авторизации. Информация маркера авторизации включает в себя ID клиента у авторизованного клиента, для которого был выдан маркер авторизации, и ID пользователя у пользователя, который имеет разрешенную выдачу маркера авторизации. Запрос на получение информации маркера авторизации включает в себя, по меньшей мере, значение маркера авторизации.[0060] Step S1302 is a step in which the authorization token
[0061] Когда сервер 102 аутентификации и авторизации принимает запрос на получение информации маркера авторизации, сервер 102 аутентификации и авторизации обращается к таблице 600 администрирования маркера авторизации, чтобы проверить, присутствует или нет маркер авторизации, включенный в запрос на получение информации маркера авторизации. Когда целевой маркер авторизации не присутствует в таблице 600 администрирования маркера авторизации, сервер 102 аутентификации и авторизации передает ответ, указывающий на то, что маркер авторизации не присутствует. Даже в случае, когда целевой маркер авторизации присутствует в таблице 600 администрирования маркера авторизации, когда дата 602 и время истечения маркера авторизации подошли, сервер 102 аутентификации и авторизации передает ответ, указывающий на то, что дата и время истечения подошли. В случае, когда целевой маркер авторизации присутствует в таблице 600 администрирования маркера авторизации и когда дата 602 и время истечения не подошли, сервер 102 аутентификации и авторизации передает информацию касательно маркера 601 авторизации, сохраненного в таблице 600 администрирования маркера авторизации. Фиг. 9 иллюстрирует примерную информацию маркера авторизации, предоставляемую посредством сервера 102 аутентификации и авторизации. В случае, где посреднический сервер 103 права доступа имеет функцию проверки даты и времени истечения маркера авторизации, даже когда дата 601 и время истечения маркера авторизации подошли, сервер 102 аутентификации и авторизации может передавать информацию касательно маркера 601 авторизации.[0061] When the authentication and
[0062] Этап S1303 является этапом, на котором определяется, является или нет действительным маркер авторизации, принятый блоком 1101 администрирования права доступа к хранилищу. Если блок 1103 получения информации маркера авторизации нормально получает информацию маркера авторизации от сервера 102 аутентификации и авторизации, определяется, что маркер авторизации является действительным. Если информация маркера авторизации нормально не получается, определяется, что маркер авторизации является недействительным. Случай, при котором информация маркера авторизации не получается нормально является случаем, при котором дата и время истечения маркера авторизации подошли, или случаем, при котором был передан маркер авторизации, который не зарегистрирован, в таблице 600 администрирования маркера авторизации.[0062] Step S1303 is a step in which it is determined whether or not the authorization token received by the storage
[0063] Этап S1304 является этапом, на котором процесс ветвится на основе определения того, является или нет действительным маркер авторизации. Если на этапе S1303 определяется, что маркер авторизации является действительным, процесс переходит к этапу S1305. Если определяется, что маркер авторизации является недействительным, процесс переходит к этапу S1310.[0063] Step S1304 is a step in which the process branches based on determining whether or not the authorization token is valid. If it is determined in step S1303 that the authorization token is valid, the process proceeds to step S1305. If it is determined that the authorization token is invalid, the process proceeds to step S1310.
[0064] Этап S1305 является этапом, на котором блок 1104 определения диапазона доступа к хранилищу определяет диапазон разрешения права доступа к хранилищу, которое должно быть выдано. Подробности процесса на данном этапе будут описаны ниже.[0064] Step S1305 is a step in which the storage access
[0065] Этап S1306 является этапом, на котором блок 1104 определения диапазона доступа к хранилищу определяет, является или нет действительным диапазон разрешения права доступа к хранилищу, который определяется на этапе S1305. Определение, является или нет действительным диапазон разрешения права доступа к хранилищу, выполняется на основании политики диапазона разрешения. Примером политики диапазона разрешения является политика, при которой определяется, что право доступа к хранилищу является недействительным, когда право доступа к хранилищу заключает право доступа к конкретному пути к файлу. Другим является политика, при которой определяется, что право доступа к хранилищу является недействительным, когда переменные, определенные в пути 1204 к файлу в таблице 1200 администрирования диапазона доступа к хранилищу, не были преобразованы. Применение политики диапазона разрешения может быть выполнено для всего посреднического сервера 103 права доступа, или то, должна или нет быть применена политика диапазона разрешения, может быть определено для каждого ID 1201 клиента в таблице 1200 администрирования диапазона доступа к хранилищу. Установка для блока 1104 определения диапазона доступа к хранилищу может быть использована, чтобы переключать режим определения в отношении того, выполняется или нет определение в зависимости от того, является или нет действительным диапазон разрешения права доступа к хранилищу.[0065] Step S1306 is a step in which the storage access
[0066] На данном этапе, если определяется, что право доступа к хранилищу, данное блоком 1104 определения диапазона доступа к хранилищу, является действительным, процесс переходит к этапу S1307. Если определяется, что право доступа к хранилищу, данное блоком 1194 определения диапазона доступа к хранилищу, является недействительным, процесс переходит к этапу S1310, описанному выше.[0066] At this stage, if it is determined that the storage access right given by the storage access
[0067] Этап S1307 является этапом, на котором блок 1102 получения права доступа к хранилищу получает право доступа к хранилищу от сервера 104 выдачи права доступа к хранилищу. Блок 1102 получения права доступа к хранилищу получает право доступа к хранилищу посредством использования функции выдачи права доступа к хранилищу, которая предоставляется для сервера 104 выдачи права доступа к хранилищу. Блок получения права доступа к хранилищу уведомляет блок 1101 администрирования права доступа к хранилищу результатом получения права доступа к хранилищу.[0067] Step S1307 is a step in which a storage access right obtaining
[0068] Этап S1308 является этапом, на котором определяется, является или нет право доступа к хранилищу полученным нормально. Если право доступа к хранилищу является полученным нормально, процесс переходит к этапу S1309. Если право доступа к хранилищу является полученным не нормально, процесс переходит к этапу S1310, описанному выше.[0068] Step S1308 is a step in which it is determined whether or not the storage access right is obtained normally. If the storage access right is obtained normally, the process proceeds to step S1309. If the storage access right is not obtained normally, the process proceeds to step S1310 described above.
[0069] Этап S1309 является этапом, на котором блок 1101 администрирования права доступа к хранилищу передает право доступа к хранилищу, полученное на этапе S1307, клиенту 101.[0069] Step S1309 is a step in which the storage access
[0070] Этап S1310 является этапом, на котором блок 1101 администрирования права доступа к хранилищу передает ответ ошибки клиенту 101. Ответ ошибки, передаваемый на данном этапе, может включать в себя причину ошибки в том, что маркер авторизации является недействительным. Ответ ошибки может включать в себя причину ошибки в том, что диапазон разрешения права доступа к хранилищу является недействительным, или причину ошибки в том, что право доступа к хранилищу не получено от сервера 104 выдачи права доступа к хранилищу. После процесса на этапе S1309 или этапе S1310, процесс в потоке заканчивается.[0070] Step S1310 is a step in which the storage access
[0071] Посредством использования Фиг. 10, будет описана последовательность операций определения права доступа к хранилищу, которая выполняется на этапе S1305, описанном выше. Фактически, этапы достигаются таким образом, что CPU 301 сохраняет, в RAM 203, разнообразные компьютерные программы, хранящиеся в ROM 202, и исполняет разнообразные компьютерные программы.[0071] By using FIG. 10, a flowchart for determining a storage access right that is performed in step S1305 described above will be described. In fact, the steps are achieved in such a way that the CPU 301 stores, in
[0072] Этап S1501 является этапом, на котором информация касательно права доступа к хранилищу получается из таблицы 1200 администрирования диапазона доступа к хранилищу. На данном этапе, на основании ID клиента и области действия, включенных в информацию маркера авторизации, полученную на этапе S1302, получается соответствующая операция 1203, соответствующий путь 1204 к файлу, и соответствующий срок 1205 действия. При получении, обращаются к таблице 1200 администрирования диапазона доступа к хранилищу.[0072] Step S1501 is a step in which information regarding a storage access right is obtained from the storage access range administration table 1200. At this stage, based on the client ID and scope included in the authorization token information obtained in step S1302, the
[0073] Среди фрагментов информации области действия, включенной в маркер авторизации, какая область действия является областью действия, для которой должно быть получено право доступа к хранилищу, может быть указано в запросе на получение права доступа к хранилищу, который передается от клиента 101. В данном случае, среди фрагментов информации области действия, включенной в маркер авторизации, область действия, указанная в запросе на получение права доступа к хранилищу, может быть использована на данном этапе, чтобы получать информацию касательно права доступа к хранилищу из таблицы 1200 администрирования диапазона доступа к хранилищу.[0073] Among the pieces of information of the scope included in the authorization token, which scope is the scope for which the storage access right should be obtained, may be indicated in the request for access to the storage, which is transmitted from
[0074] Этап S1502 является этапом, на котором определяется, присутствуют или нет соответствующий ID 401 клиента и соответствующая область 403 действия в таблице 1200 администрирования диапазона доступа к хранилищу. Если определяется, что соответствующий ID 401 клиента и соответствующая область 403 действия присутствуют, процесс переходит к этапу S1503. Если определяется, что соответствующий ID 401 клиента и соответствующая область 403 действия не присутствуют, процесс переходит к этапу S1506.[0074] Step S1502 is a step in which it is determined whether or not the corresponding client ID 401 and the corresponding action area 403 are present in the storage access range administration table 1200. If it is determined that the corresponding client ID 401 and the corresponding action area 403 are present, the process proceeds to step S1503. If it is determined that the corresponding client ID 401 and the corresponding action area 403 are not present, the process proceeds to step S1506.
[0075] Этап S1503 является этапом, на котором определяется, включены или нет переменные в путь 1204 к файлу, полученный на этапе S1501. Если переменные включены в путь 1204 к файлу, полученный на этапе S1501, процесс переходит к этапу S1504. Если переменные не включены, процесс переходит к этапу S1505.[0075] Step S1503 is a step in which it is determined whether or not the variables are included in the
[0076] Этап S1504 является этапом, на котором переменные замещаются на основании информации маркера авторизации, полученной на этапе S1302. На данном этапе, информация маркера авторизации, соответствующая переменным, включенным в путь 1204 к файлу, используется, чтобы замещать переменные. Будет описан пример в случае, где ID 1201 клиента является Client001 и область 1202 действия является выгрузкой на Фиг. 7, и где получается информация маркера авторизации на Фиг. 9. В данном случае, ${token.client_id}, включенная в путь 1204 к файлу, замещается client001. Это происходит потому, что client001 включено в качестве данных client_id в информацию маркера авторизации на Фиг. 9. Сходным образом, на основании значений, включенных в запрос на получение права доступа к хранилищу, ${param.time} в пути 1204 к файлу замещается 20140930. В дополнение, ${param.name} замещается image001.jpg. Вследствие этого, путь 1204 к файлу, полученный через замещение, соответствует /client001/20140930/image001.jpg.[0076] Step S1504 is a step in which the variables are replaced based on the authorization token information obtained in step S1302. At this stage, the authorization token information corresponding to the variables included in the
[0077] Этап S1505 является этапом, на котором определяется дата и время истечения права доступа к хранилищу. На данном этапе, на основании срока 1205 действия, полученного на этапе S1501, дата и время, когда срок 1205 действия истекает от текущего времени, используются в качестве даты и времени истечения права доступа к хранилищу.[0077] Step S1505 is a step in which the date and time of expiration of the storage access right is determined. At this stage, based on the
[0078] Этап S1506 является этапом, на котором ответ ошибки передается клиенту 101. Ответ ошибки, передаваемый на этапе S1506, может включать в себя причину ошибки в том, что соответствующий ID 401 клиента и соответствующая область 403 действия не присутствуют в таблице 1200 администрирования диапазона доступа к хранилищу. Предполагается, что причина ошибки передается на данном этапе. В качестве альтернативы, установка по умолчанию, которая используется, когда необходимая установка не присутствует, может быть зарегистрирована в таблице 1200 администрирования диапазона доступа к хранилищу. Установка по умолчанию может быть использована в качестве права доступа к хранилищу. После процесса на этапе S1505 или этапе S1506, весь процесс заканчивается.[0078] Step S1506 is a step in which an error response is transmitted to the
[0079] Как описано выше, посреднический сервер 103 права доступа в соответствии с настоящим вариантом осуществления может выступать посредником права доступа к серверу 105 хранения на основании маркера авторизации, выданного сервером 102 аутентификации и авторизации. Через посредничество, сервер 102 аутентификации и авторизации способен управлять диапазоном разрешения права доступа к серверу 105 хранения, выдавать адекватное право доступа к серверу 105 хранения. Кроме того, можно выдавать право доступа к серверу 105 хранения в соответствии с процессом, который должен быть выполнен клиентом 101. Вследствие этого, клиенту 101 предоставляются минимальное необходимое право доступа, и можно избежать предоставления чрезмерного разрешения.[0079] As described above, the
[0080] (ВТОРОЙ ВАРИАНТ ОСУЩЕСТВЛЕНИЯ)[0080] (SECOND EMBODIMENT)
В первом варианте осуществления, указывается пример, в котором посреднический сервер 103 права доступа получает право доступа к хранилищу всякий раз, когда посреднический сервер 103 права доступа принимает запрос на получение права доступа к хранилищу. В настоящем варианте осуществления, посреднический сервер права доступа временно кэширует право доступа к хранилищу. Настоящий вариант осуществления имеет конфигурацию сходную с той, что у первого варианта осуществления. Отличие между настоящим вариантом осуществления и первым вариантом осуществления будет описано ниже.In the first embodiment, an example is indicated in which the
[0081] Фиг. 11 иллюстрирует примерную конфигурацию функций посреднического сервера 103 права доступа в соответствии с настоящим вариантом осуществления. Посреднический сервер 103 права доступа в соответствии с настоящим вариантом осуществления включает в себя блок 1601 хранения права доступа к хранилищу, и временно хранит право доступа к хранилищу, полученное от сервера 104 выдачи права доступа к хранилищу. Блок 1601 хранения права доступа к хранилищу имеет таблицу 1700 администрирования права доступа к хранилищу, иллюстрируемую на Фиг. 12, и хранит право доступа к хранилищу для каждого набора данных, который состоит из авторизованного клиента и области действия, и который используется для полученного права доступа к хранилищу.[0081] FIG. 11 illustrates an exemplary configuration of the functions of an
[0082] Как иллюстрируется, таблица 1700 администрирования права доступа к хранилищу является таблицей для администрирования полученных прав доступа к хранилищу. Таблица 1700 администрирования права доступа к хранилищу имеет область 1702 действия, ассоциированную с ID 1701 клиента, соответствующим маркеру авторизации. В качестве диапазона доступа сервера 105 хранения, который соответствует области 1702 действия, ассоциированы операция 1703 и путь 1704 к файлу. Кроме того, ассоциированы право 1705 доступа к хранилищу и дата 1705 и время истечения для права 1706 доступа к хранилищу. Дата 1705 и время истечения указывают дату и время, когда право 1706 доступа к хранилищу становится недействительным. Право 1705 доступа к хранилищу может быть зашифровано и сохранено, не в открытом тексте. Дата 1705 и время истечения могут быть сохранены посредством использования даты и времени во временной зоне, используемой посредническим сервером 103 права доступа или клиентом 101.[0082] As illustrated, the storage access right administration table 1700 is a table for administering the received storage access rights. The storage access right administration table 1700 has an
[0083] Посредством использования Фиг. 13, будет описана последовательность операций, выполняемая посредством блока 1101 администрирования права доступа к хранилищу, когда принимается запрос на получение права доступа к хранилищу. Процессы на Фиг. 13 большей частью точно такие же, как те, что на Фиг. 8 в соответствии с первым вариантом осуществления. Будут описаны только отличия.[0083] By using FIG. 13, a flowchart performed by the storage access
[0084] Фактически, этапы достигаются таким образом, что CPU 201 сохраняет, в RAM 203, разнообразные компьютерные программы, хранящиеся в ROM 202, и исполняет разнообразные компьютерные программы.[0084] In fact, the steps are achieved so that the
[0085] Этап S1801 является этапом, на котором запрос касательно того, было или нет уже получено право доступа к хранилищу, соответствующее праву доступа к хранилищу, которое должно быть получено, передается блоку 1601 хранения права доступа к хранилищу. Когда передается запрос, блок 1601 хранения права доступа к хранилищу проверяет следующий пункт. Т.е., блок 1601 хранения права доступа к хранилищу проверяет, присутствует или нет право доступа к хранилищу с ID клиента, областью действия, операцией, и путем к файлу, которые совпадают с теми, что у авторизованного клиента права доступа к хранилищу, которое должно быть получено, в таблице 1700 администрирования права доступа к хранилищу. Если такое право доступа присутствует, блок 1601 хранения права доступа к хранилищу проверяет дату и время истечения. Если право доступа к хранилищу не истекло, право доступа к хранилищу расценивается как полученное, и значение права доступа к хранилищу возвращается блоку получения права доступа к хранилищу. Даже в случае, когда право доступа к хранилищу не истекло, только когда определенный период или более остается до того, как настает истечение даты и времени, может быть определено, что право доступа к хранилищу было получено. После описанного выше процесса, если право доступа к хранилищу было получено, процесс переходит к этапу S1309. Если право доступа к хранилищу не было получено, процесс переходит к этапу S1307.[0085] Step S1801 is a step in which a request regarding whether or not a storage access right corresponding to a storage access right to be obtained has already been received is transmitted to the storage access
[0086] Этап S1802 является этапом, на котором блок 1601 хранения права доступа к хранилищу сохраняет полученное право доступа к хранилищу. Полученное право доступа к хранилищу записывается как кэш в таблицу 1700 администрирования права доступа к хранилищу. Когда передается запрос на получение точно такого же права доступа к хранилищу, право доступа к хранилищу может быть получено посредством обращения к таблице 1700 администрирования права доступа к хранилищу.[0086] Step S1802 is a step in which the storage access
[0087] Как описано выше, посредническому серверу права доступа в соответствии с настоящим вариантом осуществления не требуется всякий раз получать право доступа к хранилищу от сервера 104 выдачи права доступа к хранилищу. Следовательно, уменьшается время выполнения процесса на Фиг. 13, позволяя быстро возвращать клиенту ответ на запрос на получение права доступа к хранилищу.[0087] As described above, the proxy server in accordance with the present embodiment is not required to obtain a storage access right from the storage
[0088] (ТРЕТИЙ ВАРИАНТ ОСУЩЕСТВЛЕНИЯ)[0088] (THIRD EMBODIMENT)
Настоящий вариант осуществления описывает процесс, выполняемый, когда посреднический сервер 103 права доступа принимает запрос на изменение в диапазоне доступа к хранилищу.The present embodiment describes a process performed when a
[0089] Фиг. 14 иллюстрирует примерную функциональную конфигурацию посреднического сервера 103 права доступа в соответствии с настоящим вариантом осуществления. Посреднический сервер 103 права доступа в соответствии с настоящим вариантом осуществления включает в себя блок 1401 администрирования диапазона доступа к хранилищу. Блок 1401 администрирования диапазона доступа к хранилищу добавляет, удаляет, и меняет информацию, хранящуюся в информации 1106 установки диапазона доступа к хранилищу. Блок 1107 связи принимает запрос на изменение в диапазоне доступа к хранилищу, и уведомляет блок 1401 администрирования диапазона доступа к хранилищу о принятом запросе на изменение в диапазоне доступа к хранилищу. Блок 1401 администрирования диапазона доступа к хранилищу меняет информацию, хранящуюся в таблице 1200 администрирования диапазона доступа к хранилищу на основании запроса на изменение в диапазоне доступа к хранилищу.[0089] FIG. 14 illustrates an exemplary functional configuration of an
[0090] Фиг. 15 иллюстрирует последовательность операций, выполняемую посредством блока 1401 администрирования диапазона доступа к хранилищу, когда принимается запрос на изменение в диапазоне доступа к хранилищу, в соответствии с настоящим вариантом осуществления.[0090] FIG. 15 illustrates a flowchart performed by the storage access
[0091] Фактически, этапы достигаются таким образом, что CPU 201 сохраняет, в RAM 203, разнообразные компьютерные программы, хранящиеся в ROM 202, и исполняет разнообразные компьютерные программы.[0091] In fact, the steps are achieved so that the
[0092] Этап S1901 является этапом, на котором принимается запрос на изменение в диапазоне доступа к хранилищу, который передается от блока 1107 связи. Запрос на изменение в диапазоне доступа к хранилищу включает в себя маркер авторизации, выданный сервером 102 аутентификации и авторизации, и информацию касательно изменения в диапазоне доступа к хранилищу.[0092] Step S1901 is the step of receiving a change request in a storage access range that is transmitted from the
[0093] Фиг. 16 иллюстрирует примерный запрос на изменение в диапазоне доступа к хранилищу в случае, когда должен быть модифицирован диапазон доступа к хранилищу. Запрос на изменение в диапазоне доступа к хранилищу имеет атрибуты, соответствующие информации, хранящейся в таблице 1200 администрирования диапазона доступа к хранилищу. Запрос на изменение в диапазоне доступа к хранилищу может включать в себя все элементы, хранящиеся в таблице 1200 администрирования диапазона доступа к хранилищу, или может включать в себя только атрибуты, которые необходимо изменить.[0093] FIG. 16 illustrates an example change request in a storage access range in a case where a storage access range is to be modified. The change request in the storage access range has attributes corresponding to the information stored in the storage access range administration table 1200. The change request in the storage access range may include all the items stored in the storage access range administration table 1200, or may include only the attributes that need to be changed.
[0094] Этап S1902 является этапом, на котором получается информация касательно маркера авторизации, включенного в запрос на изменение в диапазоне доступа к хранилищу. Блок 1103 получения информации маркера авторизации передает запрос на получение информации маркера авторизации, к серверу 102 аутентификации и авторизации, и получает информацию маркера авторизации. Запрос на получение информации маркера авторизации включает в себя значение маркера авторизации.[0094] Step S1902 is a step in which information is obtained regarding the authorization token included in the change request in the storage access range. An authorization token
[0095] Этап S1903 является этапом, на котором верифицируется является или нет действительным маркер авторизации, полученный на этапе S1902. Посредством использования результата верификации, на этапе S1904, определяется, является или нет действительным маркер авторизации. Если информация маркера авторизации является не нормально полученной на этапе S1902, определяется, что маркер авторизации является недействительным. Если информация маркера авторизации является нормально полученной, проверяется, совпадает ли ID клиента и область действия авторизованного клиента, включенные в информацию маркера авторизации, с теми, что включены в запрос на изменение в диапазоне доступа к хранилищу. Если сравнение выполняется успешно, определяется, что маркер авторизации является действительным. Если определяется, что маркер авторизации является действительным, процесс переходит к этапу S1905. Если сравнение не выполняется успешно, можно считать, что предпринимается попытка изменения установок авторизованного клиента отличного от авторизованного клиента, который передал запрос на изменение в диапазоне доступа к хранилищу. Вследствие этого, определяется, что маркер авторизации является недействительным. Если определяется, что маркер авторизации является недействительным, процесс переходит к этапу S1906.[0095] Step S1903 is a step in which the authorization token obtained in step S1902 is valid or not valid. By using the verification result, in step S1904, it is determined whether or not the authorization token is valid. If the authorization token information is not normally obtained in step S1902, it is determined that the authorization token is invalid. If the authorization token information is normally received, it is checked whether the client ID and the scope of the authorized client included in the authorization token information coincide with those included in the change request in the range of access to the store. If the comparison is successful, it is determined that the authorization token is valid. If it is determined that the authorization token is valid, the process proceeds to step S1905. If the comparison is not successful, we can assume that an attempt is made to change the settings of the authorized client other than the authorized client, which transmitted the request for change in the range of access to the repository. As a result, it is determined that the authorization token is invalid. If it is determined that the authorization token is invalid, the process proceeds to step S1906.
[0096] Этап S1905 является этапом, на котором информация касательно принятого запроса на изменение в диапазоне доступа к хранилищу используется, чтобы менять информацию для соответствующего авторизованного клиента и соответствующей области действия в таблице 1200 администрирования диапазона доступа к хранилищу. На этапе S1906, ответ ошибки возвращается клиенту 101. После процесса на этапе S1905 или этапе S1906, весь процесс заканчивается.[0096] Step S1905 is a step in which information regarding a received change request in a storage access range is used to change information for a corresponding authorized client and a corresponding scope in the storage access range administration table 1200. In step S1906, the error response is returned to the
[0097] В процессе на Фиг. 15, иллюстрируется пример изменения существующих установок. В дополнение, установка может быть удалена или может быть создана новая установка. Когда установка должна быть удалена, например, глагольная часть в HTTP на Фиг. 16 может быть изменена на DELETE (Удалить). Когда создается новая установка, глагольная часть в HTTP может быть изменена на POST.[0097] In the process of FIG. 15, an example of modifying existing installations is illustrated. In addition, the installation may be deleted or a new installation may be created. When the installation is to be removed, for example, the verb part in HTTP in FIG. 16 can be changed to DELETE. When a new installation is created, the verb part in HTTP can be changed to POST.
Запрос на изменение в диапазоне доступа к хранилищу включает в себя маркер авторизации. Вместо этого, может быть передана информация, указывающая результат аутентификации, используя ID пользователя и пароль. Кроме того, разрешение на изменение диапазона доступа к хранилищу может быть дано только конкретной группе пользователей, к которой принадлежит пользователь.A request for a change in the storage access range includes an authorization token. Instead, information indicating an authentication result may be transmitted using the user ID and password. In addition, permission to change the range of access to the repository can be given only to a specific group of users to which the user belongs.
[0098] Как описано выше, посреднический сервер права доступа в соответствии с настоящим вариантом осуществления позволяет пользователю менять информацию установки диапазона доступа к хранилищу, администрирование которой осуществляется посредством таблицы 1200 администрирования диапазона доступа к хранилищу. Таким образом, установки для права доступа к серверу 105 хранения могут быть изменены при необходимости. Вследствие этого, администрирование права доступа к серверу 105 хранения может быть осуществлено в соответствующем диапазоне.[0098] As described above, the proxy access server in accordance with the present embodiment allows the user to change the storage access range setting information administered by the storage access range administration table 1200. Thus, the settings for access rights to the
[0099] Когда должна быть изменена установка в таблице 1200 администрирования диапазона доступа к хранилищу, проверяется, разрешено ли пользователю менять установку в таблице 1200 администрирования диапазона доступа к хранилищу. Вследствие этого, недействительному пользователю сложно подделать установку в таблице 1200 администрирования диапазона доступа к хранилищу.[0099] When the setting in the storage access range administration table 1200 is to be changed, it is checked whether the user is allowed to change the setting in the storage access range administration table 1200. As a result of this, it is difficult for an invalid user to fake the installation in the table 1200 for administering the range of access to the store.
[0100] (ДРУГИЕ ВАРИАНТЫ ОСУЩЕСТВЛЕНИЯ)[0100] (OTHER EMBODIMENTS)
Настоящее изобретение может быть достигнуто посредством процесса, при котором программа, достигающая одну или более функции описанных выше вариантов осуществления, подается системе или устройству через сеть или запоминающий носитель информации и при котором один или более процессоры в компьютере системы или устройства считывает и исполняет программу. В дополнение, настоящее изобретение может быть достигнуто посредством схемы (например, ASIC), достигающей одну или более функции.The present invention can be achieved by a process in which a program achieving one or more functions of the above embodiments is supplied to a system or device via a network or storage medium and in which one or more processors in a computer of a system or device reads and executes the program. In addition, the present invention can be achieved by a circuit (e.g., ASIC) achieving one or more functions.
[0101] Настоящее изобретение не ограничивается описанными выше вариантами осуществления. Не отступая от сущности и объема настоящего изобретения, могут быть выполнены разнообразные изменения и модификации. Вследствие этого, чтобы проинформировать общественность об объеме настоящего изобретения, прилагается нижеследующая формула изобретения.[0101] The present invention is not limited to the above-described embodiments. Without departing from the essence and scope of the present invention, various changes and modifications can be made. Therefore, in order to inform the public about the scope of the present invention, the following claims are appended.
Список ссылочных обозначенийReference List
[0102] 1102 блок получения права доступа к хранилищу[0102] 1102 block obtaining access rights to the store
1103 блок получения информации маркера авторизации1103 block authorization token information
1104 блок определения диапазона доступа к хранилищу1104 storage access range determination unit
1107 блок связи1107 communication unit
Claims (32)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2019100022A RU2718970C1 (en) | 2019-01-09 | 2019-01-09 | Information processing device, control method for information processing device, information processing system and computer program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2019100022A RU2718970C1 (en) | 2019-01-09 | 2019-01-09 | Information processing device, control method for information processing device, information processing system and computer program |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2017124135A Division RU2678428C2 (en) | 2014-12-09 | 2014-12-09 | Information processing device, management method for information processing device, information processing system and computer program |
Publications (1)
Publication Number | Publication Date |
---|---|
RU2718970C1 true RU2718970C1 (en) | 2020-04-15 |
Family
ID=70277860
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2019100022A RU2718970C1 (en) | 2019-01-09 | 2019-01-09 | Information processing device, control method for information processing device, information processing system and computer program |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2718970C1 (en) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040006693A1 (en) * | 2002-07-08 | 2004-01-08 | Vinod Vasnani | System and method for providing secure communication between computer systems |
RU2400811C2 (en) * | 2004-12-09 | 2010-09-27 | Майкрософт Корпорейшн | System and method for limited user access to network document |
US20120110646A1 (en) * | 2010-10-29 | 2012-05-03 | Kabushiki Kaisha Toshiba | Access authorizing apparatus |
JP2013182302A (en) * | 2012-02-29 | 2013-09-12 | Nec System Technologies Ltd | Network system, authentication cooperation device, authentication cooperation method, and program |
-
2019
- 2019-01-09 RU RU2019100022A patent/RU2718970C1/en active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040006693A1 (en) * | 2002-07-08 | 2004-01-08 | Vinod Vasnani | System and method for providing secure communication between computer systems |
RU2400811C2 (en) * | 2004-12-09 | 2010-09-27 | Майкрософт Корпорейшн | System and method for limited user access to network document |
US20120110646A1 (en) * | 2010-10-29 | 2012-05-03 | Kabushiki Kaisha Toshiba | Access authorizing apparatus |
JP2013182302A (en) * | 2012-02-29 | 2013-09-12 | Nec System Technologies Ltd | Network system, authentication cooperation device, authentication cooperation method, and program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2678428C2 (en) | Information processing device, management method for information processing device, information processing system and computer program | |
US9571494B2 (en) | Authorization server and client apparatus, server cooperative system, and token management method | |
CN106856475B (en) | Authorization server and authentication collaboration system | |
US8341249B2 (en) | Synchronizing configuration information among multiple clients | |
US8627409B2 (en) | Framework for automated dissemination of security metadata for distributed trust establishment | |
US10565402B2 (en) | System and method for serving online synchronized content from a sandbox domain via a temporary address | |
JP6066647B2 (en) | Device apparatus, control method thereof, and program thereof | |
US8082316B2 (en) | Resolving conflicts while synchronizing configuration information among multiple clients | |
CN110138718B (en) | Information processing system and control method thereof | |
US9626137B2 (en) | Image forming apparatus, server device, information processing method, and computer-readable storage medium | |
KR20040049272A (en) | Methods and systems for authentication of a user for sub-locations of a network location | |
US9916308B2 (en) | Information processing system, document managing server, document managing method, and storage medium | |
US20140304324A1 (en) | Content management apparatus, content management method, and program | |
US9027107B2 (en) | Information processing system, control method thereof, and storage medium thereof | |
US20140007197A1 (en) | Delegation within a computing environment | |
Chadwick et al. | The trusted attribute aggregation service (TAAS)-providing an attribute aggregation layer for federated identity management | |
RU2718970C1 (en) | Information processing device, control method for information processing device, information processing system and computer program | |
JP6708719B2 (en) | Information processing apparatus, information processing apparatus control method, information processing system, and computer program | |
JP2016085638A (en) | Server device, terminal device, system, information processing method, and program | |
Hoellrigl et al. | User-controlled automated identity delegation | |
JP2018037025A (en) | Program, authentication system, and authentication cooperative system | |
Baker | OAuth2 | |
JP6128958B2 (en) | Information processing server system, control method, and program | |
WO2023160632A1 (en) | Method for setting cloud service access permissions of enclave instance, and cloud management platform | |
CN112738112B (en) | Access method, device and medium for third-party component based on Ambari |