WO2014188743A1 - Access control device and access control method and program - Google Patents
Access control device and access control method and program Download PDFInfo
- Publication number
- WO2014188743A1 WO2014188743A1 PCT/JP2014/052851 JP2014052851W WO2014188743A1 WO 2014188743 A1 WO2014188743 A1 WO 2014188743A1 JP 2014052851 W JP2014052851 W JP 2014052851W WO 2014188743 A1 WO2014188743 A1 WO 2014188743A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- hierarchy
- access
- information
- hierarchical
- rank
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Abstract
Description
マルチテナント管理技術の目的として、複数企業によるアプリケーション共用によってハードウェア(H/W)リソース及びソフトウェア(S/W)リソースを削減し、コストを削減することが挙げられる。 As a basic technology for realizing a cloud service and SaaS (Software as a Service), there is “multi-tenant management technology” in which one application program (hereinafter referred to as an application) is shared by a plurality of companies (tenants).
The purpose of the multi-tenant management technology is to reduce hardware (H / W) resources and software (S / W) resources by sharing applications among a plurality of companies, thereby reducing costs.
特許文献1では、「ユーザ情報表」で、ユーザだけでなくテナント・部門等の属性を管理しており、「アクセス権限割当表」で、アクセス制御を行う権限ごとに、どのような属性をもつユーザがアプリケーションを利用可能かを管理している。 In the prior art, a flexible access authority can be set by associating a user attribute with an access authority (for example, Patent Document 1).
In Patent Document 1, the “user information table” manages not only users but also attributes such as tenants and departments, and the “access authority assignment table” has what attributes for each authority to perform access control. It manages whether the user can use the application.
また、元々あるビルで利用していたアプリケーションを、サービス範囲を拡大するために他のビルや他のビルに属するテナントも利用可能にすることがある。
つまり、ビルに属しているあるテナントが、別のビルにも入居したため、ビルを跨ってテナントにアクセス制御を設定する必要がある。
そのため、ビル、テナント、会社内の総務部、営業部といった組織という順序の階層構造から、ある時点で、テナント、ビル、組織という階層構造に変更する必要が出てくる。 In multi-tenant applications, not only to develop a new system, but also to make the most effective use of an application that was previously used in a single tenant to reduce development costs, it may be made available in multi-tenancy. .
In addition, an application originally used in a certain building may be made available to other buildings or tenants belonging to other buildings in order to expand the service range.
In other words, since a tenant belonging to a building has moved into another building, it is necessary to set access control for the tenant across the building.
Therefore, it is necessary to change the hierarchical structure of the order of the organization such as the building, tenant, general affairs department, and sales department within the company to the hierarchical structure of the tenant, building, and organization at a certain point in time.
仮に、特許文献1の技術を元に、上記要求を実現しようとする場合、組織階層構造が変更になった場合に、組織階層構造が変更になった時点で設定されているアクセス権限割当を全て見直す必要がある。 In Patent Document 1, there is no mention of history management and no mention of an organizational hierarchical structure.
If the above request is to be realized based on the technology of Patent Document 1, if the organizational hierarchy structure is changed, all access authority assignments set when the organizational hierarchy structure is changed are all It is necessary to review.
複数の階層で構成される階層構造における階層間の順位が示される階層順位情報を記憶する階層順位情報記憶部と、
階層を構成する要素である階層要素の対であって、異なる二つの階層に属する互いに関連する階層要素の対が、階層の組合せごとに示される階層要素情報を記憶する階層要素情報記憶部と、
アクセスが制限されるアクセス制限リソースへのアクセスを許可する条件であるアクセス許可条件が特定の階層要素に対応付けて示されるアクセス許可条件情報を記憶するアクセス許可条件情報記憶部と、
いずれかの階層要素と対応付けられているユーザからの、アクセス制限リソースへのアクセスを要求するアクセス要求を受信するアクセス要求受信部と、
前記ユーザと対応付けられている階層要素を判別するとともに、前記階層順位情報に示される階層間の順位に基づき、判別した階層要素と対になっている一つ上の階層の階層要素又は一つ下の階層の階層要素を前記階層要素情報から抽出し、抽出した階層要素と対になっている一つ上の階層の階層要素又は一つ下の階層の階層要素を前記階層要素情報から抽出する動作を特定の階層に到達するまで繰り返す階層要素抽出部と、
前記階層要素抽出部により判別された階層要素及び抽出された階層要素と前記アクセス許可条件に示される前記特定の階層要素とを照合して、前記アクセス要求に対して前記アクセス制限リソースへのアクセスを許可するか否かを判定するアクセス許否判定部とを有することを特徴とする。 An access control apparatus according to the present invention
A hierarchy rank information storage unit for storing hierarchy rank information indicating ranks between hierarchies in a hierarchical structure composed of a plurality of hierarchies;
A hierarchy element information storage unit that stores a hierarchy element information that is a pair of hierarchy elements that are elements constituting a hierarchy, and a pair of hierarchical elements that belong to two different hierarchies is shown for each combination of hierarchies,
An access permission condition information storage unit that stores access permission condition information in which an access permission condition that is a condition for permitting access to an access restriction resource to which access is restricted is associated with a specific hierarchical element;
An access request receiving unit that receives an access request for requesting access to an access restricted resource from a user associated with any one of the hierarchical elements;
The hierarchy element associated with the user is determined, and based on the rank between the hierarchies indicated in the hierarchy rank information, the hierarchy element or the hierarchy element one level above which is paired with the determined hierarchy element A hierarchical element of a lower hierarchy is extracted from the hierarchical element information, and a hierarchical element of the upper hierarchy or a hierarchical element of a lower hierarchy paired with the extracted hierarchical element is extracted from the hierarchical element information. A hierarchy element extractor that repeats the operation until reaching a specific hierarchy,
By comparing the hierarchy element determined by the hierarchy element extraction unit and the extracted hierarchy element with the specific hierarchy element indicated in the access permission condition, access to the access restricted resource is made in response to the access request. And an access permission / rejection determination unit that determines whether to permit or not.
このように、本発明では、階層間の上下関係が定義されるのみで階層要素間の上下関係は定義されていないので、階層構造に変更があった場合でも階層順位情報の改修ですみ、改修作業の作業量を最小限にとどめることができる。 In the present invention, hierarchical rank information indicating the rank between hierarchies is stored, and a pair of hierarchical elements belonging to two different hierarchies stores hierarchical element information indicated for each combination of hierarchies. When a request is made, a hierarchical structure is constructed based on the hierarchical order information and the hierarchical element information, starting from the hierarchical element associated with the user who made the access request.
As described above, in the present invention, since the hierarchical relationship between hierarchies is only defined, and the hierarchical relationship between hierarchical elements is not defined, even if there is a change in the hierarchical structure, it is only necessary to modify the hierarchy order information. The amount of work can be kept to a minimum.
本実施の形態では、様々な利用者に対し同一アプリケーションを共用可能にするために、マルチテナント型アプリケーションでのデータへのアクセス権やアプリケーションの利用権(以下、アクセス権限)を効率よく管理するための構成を説明する。
より具体的には、本実施の形態では、階層構造の定義が変更された場合にも、変更に伴うデータ改修作業の作業量を最小限にとどめる構成を説明する。 Embodiment 1 FIG.
In this embodiment, in order to enable the same application to be shared by various users, data access rights and application use rights (hereinafter referred to as access rights) in a multi-tenant application are efficiently managed. The structure of will be described.
More specifically, in the present embodiment, a configuration that minimizes the amount of data modification work associated with a change even when the definition of the hierarchical structure is changed will be described.
企業等においては、内部統制の関係から、アプリケーション操作に対する操作履歴を管理し、履歴の追跡を実施する必要がある。
そのため、過去の時刻における階層構造を再現する必要がある。
特許文献1の技術では、操作履歴として保持しなければならないデータも膨大になってしまうが、本実施の形態によれば、保持する操作履歴の情報を最小限にすることができる。 Further, in the present embodiment, a configuration for minimizing information on operation history to be held will be described.
In a company or the like, it is necessary to manage an operation history for application operation and track the history because of internal control.
Therefore, it is necessary to reproduce the hierarchical structure at the past time.
With the technique of Patent Document 1, the amount of data that must be retained as an operation history becomes enormous, but according to the present embodiment, the information of the operation history that is retained can be minimized.
端末001、端末002内にはWebブラウザ001a、002aがインストールされている。
なお、端末001、002を操作するユーザは別のテナント企業の従業員を想定している。
また、同一テナント企業内で複数の端末を設置したり、同一のアプリケーションを3テナント企業以上で利用したりすることも可能である。 In FIG. 1,
It is assumed that the user who operates the
It is also possible to install a plurality of terminals in the same tenant company and use the same application in three or more tenant companies.
端末000内にはWebブラウザ000aがインストールされている。 The terminal 000 is a terminal device used by a system administrator and an operator who manages the system shown in FIG. 1, and is assumed to be a personal computer, a mobile terminal, or the like.
A
なお、以下では、特定の組織に属するユーザ、特定の属性を有するユーザにのみアクセスが許可される業務ロジック(アプリケーション)をアクセス制限リソースの例として用いる。 The
In the following, business logic (application) that allows access only to users belonging to a specific organization and users having specific attributes is used as an example of an access restriction resource.
処理受付部005は、例えば、端末001、002から、アクセス制限リソースへのアクセスを要求するリクエストである操作要求(アクセス要求)を受信する。
処理受付部005は、アクセス要求受信部の例に相当する。 In the
For example, the
The
F-RBAC部006は、階層要素抽出部、アクセス許否判定部、階層順位変更部の例に相当する。 The F-
The F-
ロール割当管理部011は、アクセス許可条件情報記憶部の例に相当する。 The role
The role
階層定義管理部012は、階層順位情報記憶部の例に相当する。 The hierarchy
The hierarchy
組織情報管理部013は、階層要素情報記憶部の例に相当する。 The organization
The organization
操作要求201は、操作要求201の発行元のユーザのユーザID、パスワード等の認証情報、業務ロジック部007への操作内容、通信を行う上で必要なヘッダ情報を含む。
なお、本実施の形態ではHTTP(HyperText Transfer Protocol)形式を利用するものとしているが、プロトコルに関してFTP(File Transfer Protocol)、JMS(Java(登録商標) Message
Service)等であっても上記内容を持たせることが可能であれば代用可能である。 The
The
In this embodiment, the HTTP (HyperText Transfer Protocol) format is used. However, FTP (File Transfer Protocol) and JMS (Java (registered trademark) Message) are used for the protocol.
Service) or the like can be substituted if it is possible to have the above contents.
通信ヘッダ202は、端末001とアクセス制御装置004との間で通信を行う上で必要なヘッダ情報であり、リクエスト送信元、リクエスト送信先の情報を有する。
認証情報203は、リクエスト送信元ユーザの認証情報を示し、例としてユーザのユーザID、パスワードを有する。
操作内容204は、リクエスト送信元ユーザの業務ロジック部007への操作要求内容を示し、例として業務ロジックの種類、操作内容(データの参照、データの更新等)を有する。 The
The
The
The
ユーザ情報301は、アクセス制御装置004を利用するユーザの情報を保持しており、ユーザIDにより各ユーザを一意に識別可能であるものとする。
なお、ユーザ情報301は、ユーザID以外に、ユーザ名称や、ユーザの属する組織の組織ID、ユーザの認証に必要なパスワードを有する。 FIG. 4 shows an example of
The
In addition to the user ID, the
アクセス権限情報401は、アクセス制御装置004で管理する業務ロジック部007の操作権限範囲やアクセス制御装置004自体の操作権限範囲の情報を保持している。
例えば、業務ロジックAに対する操作可否や、アクセス権限の操作可否が操作可能内容として保持されている。
なお、操作可否については参照のみ可能等、一部制限をつけることが可能とする。 FIG. 5 shows an example of the
The
For example, whether or not to operate the business logic A and whether or not the access authority can be operated are stored as operable contents.
It should be noted that some restrictions may be imposed on whether or not the operation is possible, for example, only reference is possible.
ロール割当情報501は、アクセス権限情報401と組織情報との対応関係を管理し、どの組織がその操作を実施することが可能かの情報を保持している。
なお、権限の割当対象は、組織だけでなくビル全体、テナント全体といった設定も可能である。
さらに、組織の配下(指定した組織の子組織以下も該当する場合)や、直下(指定した組織の子組織は含まず)といった指定も可能とする。
なお、ロール割当情報はロール自体の情報と、ロールと組織との対応関係を表す情報に分割することも可能である。
図6に示すように、ロール割当情報501には、アクセス制限リソース(テナントA業務ロジック、ビルA業務ロジック)へのアクセス(操作、参照)を許可する条件であるアクセス許可条件が特定の階層要素(T001配下、B001配下)に対応付けて示さている。
なお、T001とB001は、図8に示すように、それぞれテナントのIDとビルのIDである。
ロール割当情報501は、アクセス許可条件情報の例に相当し、ロール割当管理部011は、前述したように、アクセス許可条件情報記憶部の例に相当する。 FIG. 6 shows an example of
The
Note that the authority assignment target can be set not only for the organization but also for the entire building and the entire tenant.
In addition, it is possible to designate the subordinate organization (when the child organization below the designated organization also applies) or directly below (not including the child organization of the designated organization).
Note that the role assignment information can be divided into information on the role itself and information representing the correspondence between the role and the organization.
As shown in FIG. 6, the
T001 and B001 are a tenant ID and a building ID, respectively, as shown in FIG.
The
階層定義情報601は、アクセス制御装置004を利用するビル、テナント、組織等のエンティティ間の順位、及び階層構造が有効である期間を示す有効期限を有する。
例えば、図7中の階層ID:ST001は、階層構造の頂点にビルを配し、ビルの下にテナント、テナントの下に組織を配する構造を定義している。
なお、図7では、階層の例としてビル、テナント、組織を挙げているが、例えばビルの上位階層に地域というエンティティを定義したり、テナントの下に支社というエンティティを定義したりすることも可能である。
図7に示すように、階層定義情報601には、階層構造における階層間の順位が示されており、階層順位情報の例に相当する。
そして、階層定義管理部012は、階層順位情報記憶部の例に相当する。 FIG. 7 shows the
The
For example, the hierarchy ID: ST001 in FIG. 7 defines a structure in which a building is arranged at the top of the hierarchical structure, a tenant is arranged under the building, and an organization is arranged under the tenant.
In FIG. 7, buildings, tenants, and organizations are listed as examples of hierarchies. For example, it is possible to define an entity called a region in the upper hierarchy of a building or an entity called a branch office under a tenant. It is.
As shown in FIG. 7, the
The hierarchy
組織情報管理部013は、ビル情報701、テナント情報702、組織情報703、ビル・テナント対応情報704、テナント・組織対応情報705、ビル・組織対応情報706を有する。 FIG. 8 shows information managed by the organization
The organization
各ビルは、ビルIDにより識別可能である。
また、ビルID以外にビル名称、ビルの所在地といった属性情報を保持することも可能である。 The
Each building can be identified by a building ID.
In addition to the building ID, attribute information such as a building name and a building location can be held.
各テナントは、テナントIDにより識別可能である。
また、テナントID以外にテナント名称、テナントの契約内容といった属性情報を保持することも可能である。 The
Each tenant can be identified by a tenant ID.
In addition to the tenant ID, it is also possible to hold attribute information such as a tenant name and tenant contract details.
各組織は、組織IDにより識別可能である。
また、組織ID以外に組織名称、組織における責任者(組織長)といった属性情報を保持することも可能である。
なお、組織については部の配下に課が置かれるケースのように組織間での階層構造も考えられるため、組織の上位階層に当たる組織(親組織)についても情報として有する。 The
Each organization can be identified by the organization ID.
In addition to the organization ID, it is also possible to hold attribute information such as the organization name and the person in charge (organization head) in the organization.
In addition, about the organization, since a hierarchical structure between organizations can be considered as in the case where a section is placed under the department, the organization (parent organization) corresponding to the upper hierarchy of the organization is also included as information.
ビル・テナント対応情報704は、ビルID・テナントIDのようにビルとテナントとを一意に特定できる属性を保持している。
また、ビル・テナントの対応関係に有効期限がある場合は、属性として有効期限を保持する。 The building /
The building /
Also, if the building / tenant correspondence has an expiration date, the expiration date is retained as an attribute.
テナント・組織対応情報705は、テナントID・組織IDのようにテナントと組織とを一意に特定できる属性を保持している。
また、テナント・組織の対応関係に有効期限がある場合は、属性として有効期限を保持する。 The tenant /
The tenant /
If the tenant / organization correspondence has an expiration date, the expiration date is stored as an attribute.
ビル・組織対応情報706は、ビルID・組織IDのようにビルと組織とを一意に特定できる属性を保持している。
また、ビル・組織の対応関係に有効期限がある場合は、属性として有効期限を保持する。 The building /
The building /
In addition, when the building / organization correspondence has an expiration date, the expiration date is held as an attribute.
具体的には、ビル階層とテナント階層については、ビル・テナント対応情報704において、ビル階層の階層要素であるB001とテナント階層の階層要素であるT001との対、ビル階層の階層要素であるB001とテナント階層の階層要素であるT002との対が記述されている。
また、テナント階層と組織階層については、テナント・組織対応情報705において、テナント階層の階層要素であるT001と組織階層の階層要素であるORGT001との対、テナント階層の階層要素であるT001と組織階層の階層要素であるORGT002との対等が記述されている。
また、ビル階層と組織階層については、ビル・組織対応情報706において、ビル階層の階層要素であるB001と組織階層の階層要素であるORGT001との対、ビル階層の階層要素であるB001と組織階層の階層要素であるORGT002との対等が記述されている。
ビル・テナント対応情報704、テナント・組織対応情報705、ビル・組織対応情報706は、階層要素情報の例に相当する。
そして、組織情報管理部013は、前述したように、階層要素情報記憶部の例に相当する。 In the building /
Specifically, regarding the building hierarchy and the tenant hierarchy, in the building /
As for the tenant hierarchy and organization hierarchy, in the tenant /
As for the building hierarchy and the organization hierarchy, in the building /
The building /
The organization
業務ロジック部007は内部に業務ロジック部A801、業務ロジック部B802、業務ロジック部C803を有しており、それぞれ担当する業務ロジックが異なる。
例えば、業務ロジック部A801では就業管理、業務ロジック部B802では経理管理、業務ロジック部C803では入退室管理といったように別々の業務を担当する。
なお、業務ロジック部007内にあるロジックの数は任意でありアクセス制御装置004で扱う業務ロジックの増減にあわせて、内部の業務ロジックの数も増減可能とする。 FIG. 9 shows the internal configuration of the
The
For example, the business
The number of logics in the
業務ロジック情報管理部008では、業務ロジックA情報管理部901、業務ロジックB情報管理部902、業務ロジックC情報管理部903を有している。
それぞれ、業務ロジックA情報管理部901は業務ロジック部A801、業務ロジックB情報管理部902は業務ロジック部B802、業務ロジックC情報管理部903は業務ロジック部C803で扱う情報を管理している。
例えば業務ロジックA情報管理部901では就業管理ロジックで利用する社員名簿、勤怠記録、出勤日のカレンダー等を有する。
なお、業務ロジック部007と同様に内部で持つ情報の数も増減可能である。
また、各情報管理部で共通に利用する情報がある場合、共用することも可能である。 FIG. 10 shows the internal configuration of the business logic
The business logic
The business logic A
For example, the business logic A
Note that the number of internal information can be increased or decreased as in the
Further, if there is information that is shared by each information management unit, it can be shared.
なお、以下では、図3に示す操作要求201が受信された場合を例にして説明を進める。
図3では、ユーザID:U001のユーザが端末001を利用して送信した操作要求201であって、業務ロジックA(業務ID:L001)のデータ参照を要求する操作要求201が示されている。
なお、図19に示すように、ユーザAは、組織ID:ORG001の組織に属し、組織ID:ORG001の組織は、テナントID:T001のテナントに属し、テナントID:T001のテナントは、ビルID:B001のビルに属している。
しかしながら、アクセス制御装置004では、図19に示すような階層要素間の上下関係が予め定義した情報は保持しておらず、操作要求201を受信した際に、後述するように、F-RBAC部006が、図7及び図8に示す情報を用いて、階層要素間の上下関係を分析する。 The operation of the
In the following description, the case where the
FIG. 3 shows an
As shown in FIG. 19, the user A belongs to the organization with the organization ID: ORG001, the organization with the organization ID: ORG001 belongs to the tenant with the tenant ID: T001, and the tenant with the tenant ID: T001 has the building ID: It belongs to the building of B001.
However, the
そして、処理受付部005は、業務ロジック部007への操作要求結果を端末001aにレスポンスとして返却する(S104)。 If the result of S102 is operable (YES in S102), the
Then, the
具体的には、F-RBAC部006は以下の手順により検証する。
F-RBAC部006は、ユーザ情報管理部009のレスポンスより、S201で取得したユーザIDを持つユーザが存在するかどうか確認する。
該当するユーザが存在しない場合は認証不可とする。
また、該当するユーザが存在する場合、認証情報203から取得したパスワードが、ユーザ情報管理部009で管理されているパスワードと一致するかどうかを判定する。
パスワードが一致した場合は認証成功、一致しない場合は認証失敗とする。 Next, the F-
Specifically, the F-
The F-
If there is no corresponding user, authentication is not possible.
If there is a corresponding user, it is determined whether the password acquired from the
If the passwords match, authentication succeeds. If they do not match, authentication fails.
F-RBAC部006は、図3の操作内容204であれば、業務ID:L001に基づき、図5の権限ID:A001のレコードと、権限ID:A002のレコードを取得する。 If the authentication is successful in S203 (YES in S203), the F-
The F-
図7の例では、「ビル>テナント>組織」が記述された階層順位の情報を取得する。 Next, the F-
In the example of FIG. 7, hierarchical order information in which “building>tenant> organization” is described is acquired.
図3の操作要求201の場合は、ユーザID:U001であるため、図4から、対象となるユーザAが所属する組織は、組織ID:ORG001の組織である。 The F-
In the case of the
S205で取得した階層順位が「ビル>テナント>組織」であるため、F-RBAC部006は、まず、組織の一つ上の階層であるテナント階層で組織ID:ORG001と対になっている階層要素を探す。
具体的には、F-RBAC部006は、図8のテナント・組織対応情報705を検索して、組織ID:ORG001と対になっているテナントID:T001を抽出する。
次に、F-RBAC部006は、階層順位「ビル>テナント>組織」より、テナントの1つの上の階層であるビル階層でテナントID:T001と対になっている階層要素を探す。
具体的には、F-RBAC部006は、図8のビル・テナント対応情報704を検索して、テナントID:T001と対になっているビルID:B001を抽出する。 Next, the F-
Since the hierarchy order acquired in S205 is “Build>Tenant> Organization”, the F-
Specifically, the F-
Next, the F-
Specifically, the F-
図6の例では、F-RBAC部006は、ロール割当ID:R001のレコードと、ロール割当ID:R002のレコードを取得する。 Next, the F-
In the example of FIG. 6, the F-
なお、組織については上位階層から順に割当があるかどうか確認を行う。 Next, the F-
For organizations, it is checked whether there is an assignment in order from the upper hierarchy.
図3の操作要求201では、データ参照が要求されているため、図6の「ロール名称:ビル業務ロジックA参照のみ可能」に合致し、F-RBAC部006は、処理受付部005に成功のレスポンスを返す。 If the assignment exists in S209, the F-
Since the
なお、以下では、図9の業務ロジック部A801が指定されたものとして動作を説明する。 The
In the following, the operation will be described assuming that the business logic unit A801 in FIG. 9 is designated.
業務ロジック部A801は、S302を実施した結果について業務ロジック部007経由で処理受付部005へレスポンスを返却する(S303)。 The business logic unit A801 performs an operation while referring to and updating information handled by the business logic A
The business
階層構造変更要求1301は、図7の階層定義情報601内の階層順位を変更することを要求するリクエストである。
アクセス制御装置004では、処理受付部005が階層構造変更要求1301を受信し、F-RBAC部006がシステムユーザの認証を実施した後に、F-RBAC部006は階層定義情報601内の階層順位を変更する。
なお、処理受付部005の動作、F-RBAC部006の認証までの動作は前述のS101~S105、S201~S203と同様である。
階層順位の変更後、処理受付部005が端末000に対してレスポンスを返却する。 A system user who manages the
The hierarchy
In the
Note that the operation of the
After the hierarchy order is changed, the
次に、F-RBAC部006は、S401で取得した操作内容1304について、階層定義管理部012へ階層構造定義の変更要求を出す(S402)。
階層定義管理部012は、S402で受け取った要求に沿って、例えば図7の階層定義情報601を図16の階層定義情報602に変更する。
図16では、新たな階層順位として「テナント>ビル>組織」が定義されている。
また、変更前の階層順位「ビル>テナント>組織」は、有効期限とともに階層定義情報602に保持される。
F-RBAC部006は、階層定義管理部012の処理が完了した後に、処理受付部005に対し操作結果を返却する(S403)。 The F-
Next, the F-
The hierarchy
In FIG. 16, “tenant>building> organization” is defined as a new hierarchy order.
Further, the hierarchy order “building>tenant> organization” before the change is held in the
The F-
また、階層構造が有効期限を持つことにより、指定した時刻での階層構造を再現することが可能である。
また、アクセス権限の割当情報の更新が不要となりシステムで管理するデータの変更を最小限にとどめ、かつシステムで保持する過去のログ情報も含めたデータ量を最小限にとどめることができる。 With the above operation, even if the hierarchical structure of the organization managed in the system changes over time, by having a hierarchical structure definition with an expiration date, only the hierarchical structure definition can be matched to the change in the hierarchical structure definition. It is possible to change.
Further, since the hierarchical structure has an expiration date, it is possible to reproduce the hierarchical structure at a specified time.
In addition, it is not necessary to update the allocation information of access authority, so that changes in data managed by the system can be minimized, and the amount of data including past log information held by the system can be minimized.
ロールと、複数の個人及び組織とロールとの対応関係を示すロール割当情報を管理するロール割当管理部と、
組織階層の構造及び階層構造の有効期間を管理する階層定義管理部と、
ロール割当管理部と階層定義部が持つ階層構造定義を元に組織階層構造を解釈しながら上位から順に階層を辿っていき、ロール割当対象とシステムを利用するユーザの所属する組織階層位置とを比較し、システムで管理する情報へのアクセス権限やシステムの利用権限が保持されているかどうかを判定するアクセス制御部を備えたテナントアクセス制御装置、方式、及びプログラムを説明した。 As described above, in the present embodiment,
A role assignment management unit for managing role assignment information indicating the correspondence between roles and a plurality of individuals and organizations and roles;
A hierarchy definition management unit that manages the structure of the organization hierarchy and the validity period of the hierarchy structure;
Based on the hierarchical structure definition of the role assignment management part and the hierarchy definition part, the hierarchy is traced in order from the top while interpreting the organizational hierarchical structure, and the role assignment target is compared with the organizational hierarchy position to which the user who uses the system belongs. The tenant access control apparatus, method, and program provided with an access control unit that determines whether access authority to the information managed by the system or use authority of the system is held have been described.
組織の階層構造を任意時刻に変更する際に、階層構造の有効期限を変更することで、システム内の階層構造の変更を実現するアクセス制御部を備えたテナントアクセス制御装置、方式、及びプログラムを説明した。 In the present embodiment,
When changing the hierarchical structure of an organization at an arbitrary time, a tenant access control device, method, and program provided with an access control unit that realizes the change of the hierarchical structure in the system by changing the expiration date of the hierarchical structure explained.
システム内のアプリケーションごとのアクセス可否を管理するアクセス権限管理部を備え、
個人がシステム内のアプリケーションを利用する際に、アクセス権限管理部のアクセス可否の情報を元にアクセス可否を判断するアクセス制御部を備えた、テナントアクセス制御装置、方式、及びプログラムを説明した。 In the present embodiment,
It has an access authority management unit that manages access permission for each application in the system,
The tenant access control apparatus, method, and program provided with an access control unit that determines whether or not access is possible based on information on whether or not an access authority management unit can access when an individual uses an application in the system have been described.
本実施の形態では、実施の形態1との相違点を述べる。
以下で説明している以外の動作、構成は、実施の形態1と同じである。 Embodiment 2. FIG.
In the present embodiment, differences from the first embodiment will be described.
Operations and configurations other than those described below are the same as those in the first embodiment.
図17の階層定義情報610では、図7の階層定義情報601と比較して、属性として業務IDのように業務ロジックに対応する情報が付加されている。
本実施の形態では、図17に示すように、業務ロジックごとに階層構造を変更できるようにしている。
つまり、本実施の形態に係る階層定義情報610では、業務ロジック(アクセス制限リソース)ごとに、階層順位が定義されている。 FIG. 17 shows the
In the
In this embodiment, as shown in FIG. 17, the hierarchical structure can be changed for each business logic.
That is, in the
図10と異なり、図18では、業務ロジックごとに業務IDを割り振っている。
ユーザが端末を用いて業務ロジックの操作要求201を送信した場合に、図12のS205において、階層順位を取得する際に、F-RBAC部006は、操作要求201中から業務IDを取得し、取得した業務IDに対応する階層順位を取得し、取得した階層順位を、以後のアクセス権限有無の判定に用いる。 FIG. 18 shows a
Unlike FIG. 10, in FIG. 18, a business ID is assigned to each business logic.
When the user transmits a business
このため、様々なアプリケーションを一つのシステムに集約しつつ、共通のロジックが利用できるため、集約度が高くなる効果が得られる。 With such a configuration, the same effect as in the first embodiment can be obtained, and at the same time, the hierarchical structure definition used for each application can be switched.
For this reason, since a common logic can be utilized while consolidating various applications into one system, an effect of increasing the degree of aggregation can be obtained.
システム内のアプリケーションごとの組織の階層構造を持つ階層定義管理部を備え、
個人がシステム内のアプリケーションを利用する際に階層定義管理部によりアプリケーションごとに組織階層構造を切り替えてアクセス可否を判断するアクセス制御部を備えたテナントアクセス制御装置、方式、及びプログラムを説明した。 As described above, in the present embodiment,
It has a hierarchy definition manager with an organizational hierarchy for each application in the system,
A tenant access control apparatus, method, and program provided with an access control unit that switches the organizational hierarchy structure for each application by the hierarchy definition management unit when an individual uses an application in the system and determines whether access is possible have been described.
アクセス制御装置004はコンピュータであり、アクセス制御装置004の各要素をプログラムで実現することができる。
アクセス制御装置004のハードウェア構成としては、バスに、演算装置1901、外部記憶装置1902、主記憶装置1903、通信装置1904、入出力装置1905が接続されている。 Finally, a hardware configuration example of the
The
As a hardware configuration of the
外部記憶装置1902は、例えばROM(Read Only Memory)やフラッシュメモリ、ハードディスク装置である。
主記憶装置1903は、RAM(Random Access Memory)である。
図2に示した「~管理部」は、外部記憶装置1902又は主記憶装置1903により実現される。
通信装置1904は、処理受付部005の物理層に対応する。
入出力装置1905は、例えばマウス、キーボード、ディスプレイ装置等である。 The
The
The
The “˜management unit” illustrated in FIG. 2 is realized by the
The
The input /
プログラムは、図2に示す「~部」(但し、「~管理部」を除く。以下も同様)として説明している機能を実現するプログラムである。
更に、外部記憶装置1902にはオペレーティングシステム(OS)も記憶されており、OSの少なくとも一部が主記憶装置1903にロードされ、演算装置1901はOSを実行しながら、図1に示す「~部」の機能を実現するプログラムを実行する。
また、実施の形態1及び2の説明において、「~の判断」、「~の判定」、「~の判別」、「~の抽出」、「~の照合」、「~の取得」、「~の設定」、「~の登録」、「~の選択」、「~の生成」、「~の受信」、「~の出力」等として説明している処理の結果を示す情報やデータや信号値や変数値が主記憶装置1903にファイルとして記憶されている。
また、暗号鍵・復号鍵や乱数値やパラメータが、主記憶装置1903にファイルとして記憶されてもよい。 The program is normally stored in the
The program is a program that realizes the functions described as “˜unit” (excluding “˜management unit”, the same applies hereinafter) shown in FIG.
Further, an operating system (OS) is also stored in the
In the description of the first and second embodiments, “determining”, “determining”, “determining”, “extracting”, “collating”, “acquiring”, “ Information, data, and signal values that indicate the results of the processing described as "Settings", "Registering", "Selecting", "Generating", "Receiving", "Outputting", etc. And variable values are stored in the
Also, the encryption key / decryption key, random number value, and parameter may be stored in the
Claims (8)
- 複数の階層で構成される階層構造における階層間の順位が示される階層順位情報を記憶する階層順位情報記憶部と、
階層を構成する要素である階層要素の対であって、異なる二つの階層に属する互いに関連する階層要素の対が、階層の組合せごとに示される階層要素情報を記憶する階層要素情報記憶部と、
アクセスが制限されるアクセス制限リソースへのアクセスを許可する条件であるアクセス許可条件が特定の階層要素に対応付けて示されるアクセス許可条件情報を記憶するアクセス許可条件情報記憶部と、
いずれかの階層要素と対応付けられているユーザからの、アクセス制限リソースへのアクセスを要求するアクセス要求を受信するアクセス要求受信部と、
前記ユーザと対応付けられている階層要素を判別するとともに、前記階層順位情報に示される階層間の順位に基づき、判別した階層要素と対になっている一つ上の階層の階層要素又は一つ下の階層の階層要素を前記階層要素情報から抽出し、抽出した階層要素と対になっている一つ上の階層の階層要素又は一つ下の階層の階層要素を前記階層要素情報から抽出する動作を特定の階層に到達するまで繰り返す階層要素抽出部と、
前記階層要素抽出部により判別された階層要素及び抽出された階層要素と前記アクセス許可条件に示される前記特定の階層要素とを照合して、前記アクセス要求に対して前記アクセス制限リソースへのアクセスを許可するか否かを判定するアクセス許否判定部とを有することを特徴とするアクセス制御装置。 A hierarchy rank information storage unit for storing hierarchy rank information indicating ranks between hierarchies in a hierarchical structure composed of a plurality of hierarchies;
A hierarchy element information storage unit that stores a hierarchy element information that is a pair of hierarchy elements that are elements constituting a hierarchy, and a pair of hierarchical elements that belong to two different hierarchies is shown for each combination of hierarchies,
An access permission condition information storage unit that stores access permission condition information in which an access permission condition that is a condition for permitting access to an access restriction resource to which access is restricted is associated with a specific hierarchical element;
An access request receiving unit that receives an access request for requesting access to an access restricted resource from a user associated with any one of the hierarchical elements;
The hierarchy element associated with the user is determined, and based on the rank between the hierarchies indicated in the hierarchy rank information, the hierarchy element or the hierarchy element one level above which is paired with the determined hierarchy element A hierarchical element of a lower hierarchy is extracted from the hierarchical element information, and a hierarchical element of the upper hierarchy or a hierarchical element of a lower hierarchy paired with the extracted hierarchical element is extracted from the hierarchical element information. A hierarchy element extractor that repeats the operation until reaching a specific hierarchy,
By comparing the hierarchy element determined by the hierarchy element extraction unit and the extracted hierarchy element with the specific hierarchy element indicated in the access permission condition, access to the access restricted resource is made in response to the access request. An access control apparatus comprising: an access permission / rejection determination unit that determines whether to permit or not. - 前記階層要素情報記憶部は、
異なる二つの階層に属する上下関係にある階層要素の対が、いずれの階層要素が上位でいずれの階層要素が下位であるかの定義を含まずに、階層の組合せごとに示される階層要素情報を記憶していることを特徴とする請求項1に記載のアクセス制御装置。 The hierarchical element information storage unit
Hierarchical element information shown for each combination of hierarchies without including the definition of which hierarchy element is higher and which hierarchy element is lower. The access control apparatus according to claim 1, wherein the access control apparatus is stored. - 前記アクセス制御装置は、更に、
前記階層順位情報の階層間の順位を変更する階層順位変更部を有し、
前記アクセス許否判定部は、
前記階層順位変更部により前記階層順位情報の階層間の順位が変更された後に受信されたアクセス要求に対しては、変更後の階層間の順位に基づき、階層要素を抽出することを特徴とする請求項1に記載のアクセス制御装置。 The access control device further includes:
A hierarchy rank changing section for changing the rank between the hierarchy rank information;
The access permission / rejection determination unit
For the access request received after the rank between the hierarchies in the hierarchy rank information is changed by the hierarchy rank changing unit, the hierarchy element is extracted based on the rank between the hierarchies after the change. The access control apparatus according to claim 1. - 前記階層順位変更部は、
前記階層順位情報の階層間の順位を変更する場合に、変更前の階層間の順位を、有効期限とともに前記階層順位情報記憶部に保持させておくことを特徴とする請求項3に記載のアクセス制御装置。 The hierarchy order changing unit
4. The access according to claim 3, wherein, when the rank between the hierarchies of the hierarchy rank information is changed, the rank between the hierarchies before the change is held in the hierarchy rank information storage unit together with an expiration date. Control device. - 前記アクセス許可条件情報記憶部は、
アクセス許可条件が特定のユーザに対応付けて示されるアクセス許可条件情報を記憶し、
前記アクセス許否判定部は、
前記アクセス要求の送信元のユーザが、前記アクセス許可条件情報に示される前記特定のユーザに該当するか否かを判断して、前記アクセス要求に対して前記アクセス制限リソースへのアクセスを許可するか否かを判定することを特徴とする請求項1に記載のアクセス制御装置。 The access permission condition information storage unit
Storing access permission condition information in which an access permission condition is shown in association with a specific user;
The access permission / rejection determination unit
Whether the access request source user determines whether or not the specific user indicated in the access permission condition information corresponds to permit access to the access restricted resource in response to the access request The access control apparatus according to claim 1, wherein it is determined whether or not. - 前記アクセス制御装置は、
複数のアクセス制限リソースについてのアクセス制御を行っており、
前記階層順位情報記憶部は、
各アクセス制限リソースに対して、階層順位情報を記憶しており、
前記アクセス要求受信部は、
いずれかのアクセス制限リソースへのアクセスを要求するアクセス要求を受信し、
前記アクセス許否判定部は、
前記アクセス要求でアクセスが要求されているアクセス制限リソースに対する階層順位情報に示される階層間の順位に基づき、階層要素を抽出することを特徴とする請求項1に記載のアクセス制御装置。 The access control device
We perform access control for multiple access restricted resources.
The hierarchical order information storage unit
For each access restriction resource, the hierarchy order information is stored,
The access request receiver is
Receive an access request requesting access to one of the restricted access resources,
The access permission / rejection determination unit
The access control apparatus according to claim 1, wherein a hierarchy element is extracted based on a rank between hierarchies indicated in hierarchy rank information for an access restricted resource to which access is requested by the access request. - 複数の階層で構成される階層構造における階層間の順位が示される階層順位情報を、コンピュータが記憶領域から読み出し、
階層を構成する要素である階層要素の対であって、異なる二つの階層に属する互いに関連する階層要素の対が、階層の組合せごとに示される階層要素情報を、前記コンピュータが前記記憶領域から読み出し、
アクセスが制限されるアクセス制限リソースへのアクセスを許可する条件であるアクセス許可条件が特定の階層要素に対応付けて示されるアクセス許可条件情報を、前記コンピュータが前記記憶領域から読み出し、
いずれかの階層要素と対応付けられているユーザからの、アクセス制限リソースへのアクセスを要求するアクセス要求を前記コンピュータが受信し、
前記コンピュータが、前記ユーザと対応付けられている階層要素を判別するとともに、前記階層順位情報に示される階層間の順位に基づき、判別した階層要素と対になっている一つ上の階層の階層要素又は一つ下の階層の階層要素を前記階層要素情報から抽出し、抽出した階層要素と対になっている一つ上の階層の階層要素又は一つ下の階層の階層要素を前記階層要素情報から抽出する動作を特定の階層に到達するまで繰り返し、
前記コンピュータが、判別された階層要素及び抽出された階層要素と前記アクセス許可条件に示される前記特定の階層要素とを照合して、前記アクセス要求に対して前記アクセス制限リソースへのアクセスを許可するか否かを判定することを特徴とするアクセス制御方法。 Hierarchical rank information indicating the rank between hierarchies in a hierarchical structure composed of a plurality of hierarchies is read by the computer from the storage area,
The computer reads out from the storage area hierarchical element information, which is a pair of hierarchical elements that are elements constituting a hierarchy and each pair of hierarchical elements belonging to two different hierarchies is shown for each combination of hierarchies. ,
The computer reads from the storage area access permission condition information in which an access permission condition, which is a condition for permitting access to an access restriction resource to which access is restricted, is associated with a specific hierarchical element,
The computer receives an access request for requesting access to an access restriction resource from a user associated with any hierarchical element,
The computer determines a hierarchical element associated with the user, and based on the rank between the hierarchies indicated in the hierarchical rank information, the hierarchy of the hierarchy one level higher than the determined hierarchical element An element or a hierarchical element in the lower hierarchy is extracted from the hierarchical element information, and the hierarchical element in the upper hierarchy or the hierarchical element in the lower hierarchy that is paired with the extracted hierarchical element is the hierarchical element. Repeat the process of extracting from the information until it reaches a specific level,
The computer compares the determined hierarchical element and the extracted hierarchical element with the specific hierarchical element indicated in the access permission condition, and permits access to the access restricted resource in response to the access request. An access control method characterized by determining whether or not. - 複数の階層で構成される階層構造における階層間の順位が示される階層順位情報を、記憶領域から読み出す階層順位情報読み出し処理と、
階層を構成する要素である階層要素の対であって、異なる二つの階層に属する互いに関連する階層要素の対が、階層の組合せごとに示される階層要素情報を、前記記憶領域から読み出す階層要素情報読み出し処理と、
アクセスが制限されるアクセス制限リソースへのアクセスを許可する条件であるアクセス許可条件が特定の階層要素に対応付けて示されるアクセス許可条件情報を、前記記憶領域から読み出すアクセス許可条件情報読み出し処理と、
いずれかの階層要素と対応付けられているユーザからの、アクセス制限リソースへのアクセスを要求するアクセス要求を受信するアクセス要求受信処理と、
前記ユーザと対応付けられている階層要素を判別するとともに、前記階層順位情報に示される階層間の順位に基づき、判別した階層要素と対になっている一つ上の階層の階層要素又は一つ下の階層の階層要素を前記階層要素情報から抽出し、抽出した階層要素と対になっている一つ上の階層の階層要素又は一つ下の階層の階層要素を前記階層要素情報から抽出する動作を特定の階層に到達するまで繰り返す階層要素抽出処理と、
前記階層要素抽出処理により判別された階層要素及び抽出された階層要素と前記アクセス許可条件に示される前記特定の階層要素とを照合して、前記アクセス要求に対して前記アクセス制限リソースへのアクセスを許可するか否かを判定するアクセス許否判定処理とをコンピュータに実行させることを特徴とするプログラム。 Hierarchy order information reading processing for reading out hierarchy order information indicating the rank between hierarchies in a hierarchical structure composed of a plurality of hierarchies from the storage area;
Hierarchical element information for reading out from the storage area hierarchical element information that is a pair of hierarchical elements that are elements constituting a hierarchy, and each pair of hierarchical elements belonging to two different hierarchies is indicated for each combination of hierarchies Read processing;
An access permission condition information read process for reading access permission condition information, which is a condition for permitting access to an access restricted resource to which access is restricted, associated with a specific hierarchical element, from the storage area; and
An access request receiving process for receiving an access request for requesting access to an access restricted resource from a user associated with any one of the hierarchical elements;
The hierarchy element associated with the user is determined, and based on the rank between the hierarchies indicated in the hierarchy rank information, the hierarchy element or the hierarchy element one level above which is paired with the determined hierarchy element A hierarchical element of a lower hierarchy is extracted from the hierarchical element information, and a hierarchical element of the upper hierarchy or a hierarchical element of a lower hierarchy paired with the extracted hierarchical element is extracted from the hierarchical element information. Hierarchical element extraction processing that repeats the operation until reaching a specific hierarchy,
By comparing the hierarchical element determined by the hierarchical element extraction process and the extracted hierarchical element with the specific hierarchical element indicated in the access permission condition, access to the access restricted resource is made in response to the access request. A program for causing a computer to execute an access permission determination process for determining whether to permit or not.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015518114A JP5980421B2 (en) | 2013-05-23 | 2014-02-07 | Access control apparatus, access control method and program |
CN201480029654.5A CN105229662B (en) | 2013-05-23 | 2014-02-07 | Access control apparatus and access control method |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013108925 | 2013-05-23 | ||
JP2013-108925 | 2013-05-23 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2014188743A1 true WO2014188743A1 (en) | 2014-11-27 |
Family
ID=51933310
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/JP2014/052851 WO2014188743A1 (en) | 2013-05-23 | 2014-02-07 | Access control device and access control method and program |
Country Status (3)
Country | Link |
---|---|
JP (1) | JP5980421B2 (en) |
CN (1) | CN105229662B (en) |
WO (1) | WO2014188743A1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019225097A1 (en) * | 2018-05-24 | 2019-11-28 | 清水建設株式会社 | Facility usage status notification system, facility usage status notification method, and program |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111988173B (en) * | 2020-08-19 | 2023-09-12 | 北京安瑞志远科技有限公司 | Tenant management platform and tenant management method based on multi-layer father-son structure tenant |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007172154A (en) * | 2005-12-20 | 2007-07-05 | Mitsubishi Space Software Kk | Access control device, access control method and access control program |
JP2008210376A (en) * | 2007-02-01 | 2008-09-11 | Hitachi Software Eng Co Ltd | Organization hierarchy definition system, group hierarchy composition method, and organization hierarchy display method |
JP2011076569A (en) * | 2009-10-02 | 2011-04-14 | Ariel Networks Co Ltd | Access right management device and access right management program |
US20110213789A1 (en) * | 2010-02-26 | 2011-09-01 | Salesforce.Com, Inc. | System, method and computer program product for determining an amount of access to data, based on a role |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3956149B2 (en) * | 2005-12-19 | 2007-08-08 | インターナショナル・ビジネス・マシーンズ・コーポレーション | Resource content access control method, system, and program |
WO2011162750A1 (en) * | 2010-06-23 | 2011-12-29 | Hewlett-Packard Development Company, L.P. | Authorization control |
-
2014
- 2014-02-07 CN CN201480029654.5A patent/CN105229662B/en not_active Expired - Fee Related
- 2014-02-07 WO PCT/JP2014/052851 patent/WO2014188743A1/en active Application Filing
- 2014-02-07 JP JP2015518114A patent/JP5980421B2/en not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007172154A (en) * | 2005-12-20 | 2007-07-05 | Mitsubishi Space Software Kk | Access control device, access control method and access control program |
JP2008210376A (en) * | 2007-02-01 | 2008-09-11 | Hitachi Software Eng Co Ltd | Organization hierarchy definition system, group hierarchy composition method, and organization hierarchy display method |
JP2011076569A (en) * | 2009-10-02 | 2011-04-14 | Ariel Networks Co Ltd | Access right management device and access right management program |
US20110213789A1 (en) * | 2010-02-26 | 2011-09-01 | Salesforce.Com, Inc. | System, method and computer program product for determining an amount of access to data, based on a role |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019225097A1 (en) * | 2018-05-24 | 2019-11-28 | 清水建設株式会社 | Facility usage status notification system, facility usage status notification method, and program |
JP2019204350A (en) * | 2018-05-24 | 2019-11-28 | 清水建設株式会社 | Facility usage status disclosure system, facility usage status disclosure method, and program |
JP7107745B2 (en) | 2018-05-24 | 2022-07-27 | 清水建設株式会社 | Facility usage disclosure system, facility usage disclosure method and program |
Also Published As
Publication number | Publication date |
---|---|
CN105229662A (en) | 2016-01-06 |
JP5980421B2 (en) | 2016-08-31 |
JPWO2014188743A1 (en) | 2017-02-23 |
CN105229662B (en) | 2018-02-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11750609B2 (en) | Dynamic computing resource access authorization | |
US10855790B2 (en) | Servicing asset requests via proxy | |
CA2998685C (en) | Transmission of tags and policies with data objects | |
Ananthakrishnan et al. | Globus platform‐as‐a‐service for collaborative science applications | |
CN115335827B (en) | Method and apparatus for implementing role-based access control clustering machine learning model execution module | |
JP2020526820A (en) | Systems and methods for managing the public software component ecosystem with a blockchain | |
JP5623271B2 (en) | Information processing apparatus, authority management method, program, and recording medium | |
CN108351771B (en) | Maintaining control over restricted data during deployment to a cloud computing environment | |
Chard et al. | Globus Nexus: A platform-as-a-service provider of research identity, profile, and group management | |
US20220058285A1 (en) | Systems and methods for computer-implemented data trusts | |
EP2715971B1 (en) | Automating cloud service reconnections | |
JP2015046153A (en) | Service providing system, data providing method and program | |
US11539707B2 (en) | Dynamic security policy consolidation | |
EP3669296B1 (en) | Compliance boundaries for multi-tenant cloud environment | |
KR102295593B1 (en) | Automatically generating certification documents | |
Jin et al. | Role and attribute based collaborative administration of intra-tenant cloud iaas | |
JP5991386B2 (en) | Network system | |
US20220046002A1 (en) | System and method for authentication as a service | |
US20170235924A1 (en) | System and Network for Controlling Content and Accessibility | |
CN114595467A (en) | Multi-stage protection for data center objects | |
JP5980421B2 (en) | Access control apparatus, access control method and program | |
WO2014100223A1 (en) | Quantifying risk based on relationships and applying protections based on business rules | |
US11233787B2 (en) | Automated on call and ad hoc access to restricted resources | |
JP6927282B2 (en) | Information processing equipment, terminal equipment, programs and information processing systems | |
JP2022526019A (en) | Management of user attribute information in managed multi-tenant services |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
WWE | Wipo information: entry into national phase |
Ref document number: 201480029654.5 Country of ref document: CN |
|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 14800483 Country of ref document: EP Kind code of ref document: A1 |
|
ENP | Entry into the national phase |
Ref document number: 2015518114 Country of ref document: JP Kind code of ref document: A |
|
WWE | Wipo information: entry into national phase |
Ref document number: IDP00201507441 Country of ref document: ID |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
122 | Ep: pct application non-entry in european phase |
Ref document number: 14800483 Country of ref document: EP Kind code of ref document: A1 |