CN104718551B - 策略更新***以及策略更新装置 - Google Patents

策略更新***以及策略更新装置 Download PDF

Info

Publication number
CN104718551B
CN104718551B CN201280076050.7A CN201280076050A CN104718551B CN 104718551 B CN104718551 B CN 104718551B CN 201280076050 A CN201280076050 A CN 201280076050A CN 104718551 B CN104718551 B CN 104718551B
Authority
CN
China
Prior art keywords
attribute information
user
customer attribute
strategy
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201280076050.7A
Other languages
English (en)
Other versions
CN104718551A (zh
Inventor
合田浩二
西泽实
苗村健二郎
平原诚也
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Toshiba Digital Solutions Corp
Original Assignee
Toshiba Corp
Toshiba Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Solutions Corp filed Critical Toshiba Corp
Publication of CN104718551A publication Critical patent/CN104718551A/zh
Application granted granted Critical
Publication of CN104718551B publication Critical patent/CN104718551B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2117User registration

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明涉及策略更新***以及策略更新装置,策略更新***包括:服务器装置,能够对用户提供多个服务,且具有按每个所述服务至少存储对能够利用各服务的用户进行识别的第一用户ID的存储单元;策略存储装置,存储多个策略,所述策略由记述了至少包含与第一用户ID对应的第二用户ID的多个项目建立了关联的用户属性信息的至少一个条件构成,规定了用户属性信息的值满足所述条件时允许服务的利用的各服务的利用权限;策略更新装置,在用户属性信息被变更时能够更新所存储的各策略;以及用户属性信息存储装置,存储变更后的用户属性信息、以及在变更前的用户属性信息与变更后的用户属性信息之间表示不同值的变更内容、即包括变更前的用户属性信息的值与变更后的用户属性信息的值的每个第二用户ID的变更内容。

Description

策略更新***以及策略更新装置
技术领域
本发明的实施方式涉及策略更新***以及策略更新装置。
背景技术
以社会、经济、生活对在线服务的依赖性增加的情况为背景,对与个人、组织相关的信息进行管理的身份(identity)管理的重要性正在变高。身份管理是指在各种服务、***中,实现与个人、组织有关的信息的安全性和便利性,对从登记到变更、删除为止的身份的存活周期整体进行管理的技术。
这里,身份是在某一状况下确认个人、分组、组织/企业的信息的总体,包括识别符、证书(credentials)、属性。识别符是用于对身份进行识别的信息,相当于账户、职员编号等。证书是用于表示某个信息内容的合法性的信息,有密码等。属性是带有身份特征的信息,包括姓名、住址、生日等。
作为利用了这样的身份管理的技术的代表例,有单点登录(Single Sign-On,以下简称为SSO)。SSO是通过一次的认证手续能够利用多个应用程序、服务的技术。SSO大多用于在一个企业的内部网那样的单域中,使多个应用程序所具备的认证统一的情况。该情况下,SSO一般在HTTP Cookie中包含认证结果,通过在应用程序间共享认证结果的方式来实现。另外,SI(System Integration)供应商、中间件供应商分别独立地制造这样的SSO方式作为访问管理产品。
近年来,要求了超过单域的不同域间(以下也称为跨域)的SSO。作为理由,可举出企业统一或合并、海外发展等灵活化、以及因逐渐兴起的云计算的SaaS(Software as aService)等引起的资源外包。例如,SaaS等在想要使用时能够迅速使用的方面是优点之一。
然而,在实现跨域的SSO的情况下,认证结果的共享产生了很大的麻烦。主要的原因有两点。第一点是由于HTTP Cookie的利用被限定为单域,所以在域间无法利用HTTPCookie来共享认证结果。第二点是由于按每个域采用的访问管理产品的SSO方式在供应商间不同,所以无法简单地引入,需要通过其他途径来采取对策。
为了消除这样的原因,迫切期望SSO的标准化。作为与这样的迫切期望对应的代表性标准技术之一,有非盈利团体OASIS(Organization for the Advancement ofStructured Information Standards)制定的SAML(Security Assertion MarkupLanguage:安全断言标记语言)。
SAML是定义了与认证、许可、属性相关的信息的表现形式、以及收发步骤的规格,被成体系地规定为能够根据目的来采取各种的安装形态。主体的构成是身份提供者(Identity Provider,以下简记为IdP,称为ID提供者)、服务提供者(Service Provider,以下简记为SP,称为服务提供者)、用户这三方,通过服务提供者信任ID提供者发行的认证结果,实现了SSO。
在开始基于SAML的SSO的情况下,一般需要事先针对以下两点进行准备。第一点是在服务提供者与ID提供者之间通过业务、技术面的信息交换、协议形成,来预先构建信赖关系。第二点是一个用户按每个服务提供者具有独立的账户,并事先使这些独立的SP账户和ID提供者的账户关联。如果不是这些信赖关系的构建以及账户的事先关联等事先准备完成了的状态,则无法开始SSO。
在这样的事先准备之后,SSO沿着以下那样的步骤(1)~(6)来实现。这里,对借助Web浏览器的SSO的步骤进行说明。
(1)用户对服务提供者请求提供服务。
(2)服务提供者由于尚未进行用户的认证,所以经由用户侧的Web浏览器向ID提供者发送认证要求。
(3)ID提供者通过某种办法来对用户进行认证,制作认证声明。其中,SAML不规定认证办法而规定将认证声明向服务提供者传递的结构。为了判断服务提供者能否相信认证结果,认证声明包含认证办法的种类、证书如何被制作等信息。
(4)ID提供者将包括制作的认证声明在内的认证结果经由用户侧的Web浏览器回信给服务提供者。
(5)服务提供者基于ID提供者的认证结果来决定可否提供服务。
(6)用户接受服务提供者提供服务。
这样,在基于SAML的SSO中,用户能够仅通过向ID提供者进行一次认证手续而不执行进一步的认证手续地使用多个服务。目前,安装了独立的SSO方式的中间件供应商为了确保跨域的相互运用性,而执行SAML的安装了ID提供者/服务提供者功能的访问管理产品的销售、SAML向安装了服务提供者功能的商用Web服务的导入。
在基于SAML的SSO中,如上述那样需要事先关联以及登记账户。通常,当在企业中利用服务提供者提供的服务时,IS(Information System)部门针对服务提供者进行账户登记以及关联。
IS部门统一进行与属于企业的多数用户对应的大量的事先处理,或者在经过了由用户在任意的定时通过了一系列批准流程的手续之后进行针对该用户的账户登记以及关联。
这里,在前者的进行事先处理的情况下,由于在SSO的过程中不需执行账户登记以及关联,所以与上述的数据处理***无关系。
另一方面,在后者的通过批准流程的情况下,除了用户之外,还需要借助用户所属的每个组织阶层的上司、筹备部门、IS部门等很多的人手,需要大量的工时。并且,由于IS部门不统一进行事先处理,所以产生基于人手的作业,不仅负担大,而且效率、便利性也差。例如,无法发挥SaaS等中的可迅速使用的优点。
因此,在SSO的过程中执行账户登记以及关联的***中,希望具备不借助人手来决定可否利用服务的无缝结构。
因此,有一种如下所述的技术:在SSO的步骤的(2)与(3)之间基于事先定义的与服务利用相关的策略和服务的利用状况评价了服务提供者提供的服务的能否利用之后,通过***执行账户关联以及登记的处理,来使服务提供者提供的服务的从利用申请到SSO的一系列处理自动化。
现有技术文献
专利文献
专利文献1:日本专利第4892093号公报
专利文献2:日本特开2007-323357号公报
非专利文献
非专利文献1:“Assertions and Protocols for the OASIS SecurityAssertion Markup Language(SAML)V2.0”,OASIS Standard,15March2005,http://docs.oasis-open.org/security/saml/v2.0/saml-core-2.0-os.pdf
发明内容
发明要解决的技术问题
以上说明的技术通常没有问题。但是,根据本发明人的研究,如以下所述那样存在改进的余地。
通常,在企业中,如果进行组织变更、***,则作为与用户相关的身份信息的用户属性信息会被更新。与之相伴,需要进行策略的更新作业、***环境的更新作业,一般这些作业经由人手来进行(即,用户进行策略更新作业、***环境更新作业)。
然而,基于人手的作业对用户的负担很大,而且有可能发生作业错误(人为错误)。
用于解决技术问题的手段
本发明想要解决的课题是,提供一种能够不经由人手来实现策略更新作业以及***环境更新作业的策略更新***以及策略更新装置。
实施方式的策略更新***包括:服务器装置,能够对用户提供多个服务,具有按每个所述服务至少存储第一用户ID的存储单元,该第一用户ID对能够利用所述各服务的用户进行识别;策略存储装置,存储多个策略,所述多个策略由记述了用户属性信息的至少一个条件构成,规定了所述用户属性信息的值满足所述条件时允许所述服务的利用的所述各服务的利用权限,所述用户属性信息是与所述用户相关的身份信息,由至少包含与所述第一用户ID对应的第二用户ID在内的多个项目建立关联而成;策略更新装置,在所述用户属性信息被变更时能够更新所述存储的各策略;以及用户属性信息存储装置,存储变更后的用户属性信息以及变更内容,所述变更内容是在变更前的用户属性信息与变更后的用户属性信息之间示出不同值的变更内容,是包括变更前的用户属性信息的值与变更后的用户属性信息的值在内的、每个所述第二用户ID的变更内容。
所述策略更新装置具备检测单元、制作单元、收集单元、评价单元、确定单元、更新单元以及删除单元。
所述检测单元基于所述用户属性信息存储装置中存储的变更内容,来检测所述策略存储装置中存储的各策略中需要修正的修正对象策略。
所述制作单元制作将所述检测到的修正对象策略中记述的用户属性信息的值从所述存储的变更内容内的变更前的用户属性信息的值修正为变更后的用户属性信息的值的修正策略。
所述收集单元从所述用户属性信息存储装置收集包括能够利用由所述服务器装置提供的服务的用户的第二用户ID在内的变更后的用户属性信息作为策略评价用用户属性信息。
所述评价单元基于所述策略存储装置中存储的各策略中的除了所述制作出的修正策略以外的策略、和所述制作出的修正策略,来按每个所述第二用户ID评价所述收集到的策略评价用用户属性信息。
所述确定单元确定示出了所述评价单元的评价结果中的、意思是所述用户属性信息存储装置中存储的变更内容内的变更前的用户属性信息的值满足策略、但所述收集到的策略评价用用户属性信息的值不满足策略以及/或者修正策略的评价结果的第二用户ID。
所述更新单元将所述策略存储装置中存储的各策略中的与所述制作出的修正策略对应的策略更新为该修正策略。
所述删除单元将与所述确定出的第二用户ID对应的第一用户ID从所述服务器装置内的所述存储单元删除。
附图说明
图1是表示一个实施方式涉及的策略更新***的构成例的示意图。
图2是表示该实施方式涉及的用户贮存器中存储的用户相关信息的一个例子的示意图。
图3是表示该实施方式涉及的用户贮存器中存储的用户相关信息的一个例子的示意图。
图4是表示该实施方式涉及的用户贮存器中存储的用户相关信息的一个例子的示意图。
图5是表示该实施方式涉及的用户贮存器中存储的用户相关信息的一个例子的示意图。
图6是表示该实施方式涉及的用户贮存器中存储的用户相关信息的一个例子的示意图。
图7是表示该实施方式涉及的用户贮存器中存储的用户相关信息的一个例子的示意图。
图8是表示该实施方式涉及的用户贮存器中存储的用户相关信息的一个例子的示意图。
图9是表示该实施方式涉及的用户贮存器中存储的用户相关信息的一个例子的示意图。
图10是表示该实施方式涉及的ID存储装置中存储的ID登记信息的一个例子的示意图。
图11是表示该实施方式涉及的ID存储装置中存储的ID登记信息的一个例子的示意图。
图12是表示该实施方式涉及的ID存储装置中存储的ID登记信息的一个例子的示意图。
图13是表示该实施方式涉及的策略存储装置中存储的策略的一个例子的示意图。
图14是表示该实施方式涉及的删除用户暂时存储装置中存储的删除对象用户信息的一个例子的示意图。
图15是表示该实施方式涉及的修正策略制作装置的动作的一个例子的流程图。
图16是表示该实施方式涉及的策略评价用用户属性信息的一个例子的示意图。
图17是表示该实施方式涉及的评价结果信息的一个例子的示意图。
图18是表示该实施方式涉及的删除用户确定装置的动作的一个例子的流程图。
图19是表示该实施方式涉及的用户删除批准装置的动作的一个例子的示意图。
图20是表示该实施方式涉及的修正策略的一个例子的示意图。
具体实施方式
图1是表示一个实施方式涉及的策略更新***的构成例的示意图,图2至图9是表示该实施方式涉及的用户贮存器中存储的用户相关信息的一个例子的示意图,图10至图12是表示该实施方式涉及的ID存储装置中存储的ID登记信息的一个例子的示意图,图13是表示该实施方式涉及的策略存储装置中存储的策略的一个例子的示意图,图14是表示该实施方式涉及的删除用户暂时存储装置中存储的删除对象用户信息的一个例子的示意图,图15是表示该实施方式涉及的修正策略制作装置的动作的一个例子的流程图,图16是表示该实施方式涉及的策略评价用用户属性信息的一个例子的示意图,图17是表示该实施方式涉及的评价结果信息的一个例子的示意图,图18是表示该实施方式涉及的删除用户确定装置的动作的一个例子的流程图,图19是表示该实施方式涉及的用户删除批准装置的动作的一个例子的示意图,图20是表示该实施方式涉及的修正策略的一个例子的示意图。
策略更新***1如图1所示,具备用户贮存器10、云服务器装置20、策略存储装置30以及策略更新装置40。其中,策略更新装置40与用户贮存器10、云服务器装置20以及策略存储装置30能够通过有线或者无线进行通信。
用户贮存器10如图1所示,还具备变更前用户贮存器10A以及变更后用户贮存器10B。
变更前用户贮存器10A如图2至图6所示,是存储变更前的用户相关信息的存储装置。用户相关信息是与属于利用由云服务器装置20提供的SaaS(Software as a Service)、且配置有策略更新装置40的组织的用户相关的信息,具体而言,是用户属性信息、部门信息、科室信息、职务信息以及SaaS信息等信息。此外,用户相关信息并不限定于上述的用户属性信息、部门信息、科室信息、职务信息以及SaaS信息。
用户属性信息是与上述用户相关的身份信息,例如如图2所示,是用户Id(userId)、用户名(username)、部门(dept)Id、科室(sect)Id、职务(post)Id以及邮件地址建立了关联的信息,即,使个人的信息带有特征的信息的集合体。用户Id是用于识别用户的识别信息。部门Id是用于对构成配置有策略更新装置40的组织的部门进行识别的识别信息。科室Id是用于对构成配置有策略更新装置40的组织的科室进行识别的识别信息。职务Id是用于对属于配置有策略更新装置40的组织的用户的职务进行识别的识别信息。
部门信息是与构成配置有策略更新装置40的组织的部门相关的信息,例如如图3所示,是部门Id、部门名称以及删除标志建立了关联的信息。部门名称例如表示总务部、营业部、研究部以及开发部等由部门Id识别的部门的名称。删除标志用于表示包括该删除标志的信息,该情况下,表示部门信息是否是删除对象的信息,表示“真(true)”或者“假(false)”中的任意一方。具体而言,在删除标志表示“真”的情况下,表示包括该删除标志的信息是删除对象的信息,在删除标志表示“假”的情况下,表示包括该删除标志的信息是非删除对象的信息。其中,即使删除标志表示“真”,也不表示包括该删除标志的信息已被删除,删除标志只是表示包括该删除标志的信息是否是删除对象的信息。
科室信息是与构成配置有策略更新装置40的组织的科室相关的信息,例如如图4所示,是科室Id、科室名称以及删除标志建立了关联的信息。科室名称例如表示○○技术科、××技术科以及开发辅助技术科等由科室Id识别的科室的名称。
职务信息是与配置有策略更新装置40的组织中存在的职务相关的信息,例如如图5所示,是职务Id、职务名以及删除标志建立了关联的信息。职务名例如表示部长、科长以及担当等由职务Id识别的职务的名称。
SaaS信息是与配置有策略更新装置40的组织能够利用的SaaS相关的信息,例如如图6所示,是SaaSId、SaaS名以及管理者Id建立了关联的信息。SaaSId是用于对由云服务器装置20提供的SaaS中的配置有策略更新装置40的组织能够利用的SaaS进行识别的识别信息。SaaS名例如表示SaaS1至SaaS3等由SaaSId识别的SaaS的名称。管理者Id是表示在配置有策略更新装置40的组织中,对由建立了关联的SaaSId来识别的SaaS的利用者进行管理的用户的用户Id的信息。
此外,在本实施方式中,在变更前用户贮存器10A中以图2所示那样的形式存储变更前的用户属性信息,但并不局限于此,例如,也可以按照只表示在变更前的用户属性信息与变更后的用户属性信息之间展现不同值的变更内容、即包括变更前的用户属性信息的值和变更后的用户属性信息的值在内的每个用户Id的变更内容的形式来进行存储。
变更后用户贮存器10B如图7至图9所示,是对从变更前用户贮存器10A中存储的用户相关信息变更后的用户相关信息进行存储的存储装置。其中,由于变更后的用户相关信息是与变更前的用户相关信息同样形式的信息,所以这里省略详细的说明。另外,在本实施方式中,设职务信息以及SaaS信息未被变更而未图示变更后的职务信息以及SaaS信息,但可知在其他方式中,与图5以及图6同样的形式的变更后的职务信息以及SaaS信息可以存储于变更后用户贮存器10B。
云服务器装置20是对用户提供多个SaaS的装置。云服务器装置20具备多个ID存储装置20A,这些ID存储装置20A例如是如图10至图12所示,按云服务器装置20能够提供的每个SaaS存储能够利用SaaS的用户的用户Id与用户名建立了关联的ID登记信息的存储装置。在本实施方式中,与SaaS1至SaaS3分别对应的ID存储装置20A设在云服务器装置20内。
此外,在本实施方式中,对用户贮存器10中存储的用户相关信息、该情况下为用户属性信息内的用户Id与各ID存储装置20A中存储的ID登记信息内的用户Id是同样形式的用户Id的情况进行说明,但并不局限于此,如果用户属性信息内的用户Id与ID登记信息内的用户Id建立了对应,则也不必一定是同样形式的用户Id。
策略存储装置30例如是对图13所示那样规定了由云服务器装置20提供的SaaS的现行的利用权限的至少一个条件所构成的策略进行存储的存储装置。更详细而言,策略由使用了用户相关信息的至少一个条件构成,在利用SaaS时被通知的用户相关信息满足该条件的情况下允许、即允许利用SaaS,在不表示允许的情况下拒绝SaaS的利用(禁止型策略)。在图13中,表示与由云服务器装置20提供的3个SaaS、即SaaS1至SaaS3相关的策略的一个例子。例如,与SaaS1相关的策略是在用户相关信息满足“部门Id为dept3、且职务Id为post1或者post2”这一条件的情况下允许利用SaaS1,在除此之外的情况下拒绝SaaS1的利用的策略。其中,策略的记述形式不限定于图13所示的记述形式,例如,可以是使用各种名称(部门名称、科室名称以及职务名等)来进行记述等的任意记述形式。
这里,策略更新装置40如图1所示,具备:修正策略暂时存储装置41、删除用户暂时存储装置42、修正策略制作装置43、删除用户确定装置44、用户删除批准装置45、策略更新装置46以及用户删除装置47。
修正策略暂时存储装置41是暂时存储包括由修正策略制作装置43制作的修正策略的多个策略的存储装置。
删除对象用户暂时存储装置42例如是如图14所示那样暂时存储由删除用户确定装置制作的删除对象用户信息的存储装置。删除对象用户信息是用户Id以及删除对象SaaS建立了关联的信息。
修正策略制作装置43如图1所示,还具备修正对象策略检测部43A、修正策略制作部43B以及修正策略保存部43C。
修正对象策略检测部43A基于变更前用户贮存器10A以及变更后用户贮存器10B中分别存储的用户相关信息、和策略存储装置30中存储的策略,来检测需要修正的策略(以下记作修正对象策略)。具体而言,修正对象策略检测部43A具有以下的各功能(f43A-1)至(f43A-4)。
(f43A-1)是一边参照变更前用户贮存器10A以及变更后用户贮存器10B中存储的用户相关信息,一边将变更前的用户相关信息与变更后的用户相关信息、该情况下将变更前的用户属性信息UB与变更后的用户属性信息UA进行比较,来按每个用户Id检测包括在变更前的用户属性信息UB与变更后的用户属性信息UA中不同的内容、即变更前的值与变更后的值的变更内容的功能。
其中,在如上所述,变更前用户贮存器10A中存储的变更前的用户属性信息是仅表示变更内容的形式的情况下,该(f43-1)的功能被省略。
(f43A-2)是参照变更前用户贮存器10A以及变更后用户贮存器10B中存储的用户相关信息,按每个变更内容来判定通过(f43A-1)的功能检测出的变更内容所含的变更后的值是否仅由变更前的用户相关信息、该情况下仅由变更前的部门信息DB、科室信息SB以及职务信息PB所含的值(Id)构成的功能。
其中,在(f43-1)的功能被省略的情况下,该(f43-2)的功能成为参照变更前用户贮存器10A以及变更后用户贮存器10B中存储的用户相关信息,来按每个变更内容检测变更前用户贮存器10A中存储的变更内容内的变更后的值是否仅由变更前的部门信息DB、科室信息SB以及职务信息PB所含的值(Id)构成的功能。
(f43A-3)是在基于(f43A-2)的功能得到的判定结果表示仅由变更前的用户相关信息构成的情况下,在认为该变更内容不对策略造成影响的基础上,参照策略存储装置30中存储的策略,不将由于该变更内容建立了关联的用户Id识别的变更前的用户相关信息、该情况下不将变更前的用户属性信息UB满足的策略检测为修正对象策略的功能。
(f43A-4)是在基于(f43A-2)的功能得到的判定结果表示否的情况下,在认为该变更内容对策略造成影响的基础上,参照策略存储装置30中存储的策略,将由与该变更内容建立了关联的用户Id识别的变更前的用户相关信息、该情况下将变更前的用户属性信息UB满足的策略检测为修正对象策略的功能。
修正策略制作部43B制作将由修正策略检测部43A检测出的修正对象策略中记述的用户相关信息从检测出的变更内容所含的变更前的值修正为变更后的值的修正策略。
修正策略保存部43C将由修正对象策略检测部43A检测出的修正对象策略以外的策略(即,未被检测为修正对象策略的策略)、和由修正策略制作部43B制作的修正策略写入修正策略暂时存储装置41。
这里,参照图2至图9、图13的示意图、和图15的流程图对如以上那样构成的修正策略制作装置的动作的一个例子进行说明。
首先,修正对象策略检测部43A一边参照变更前用户贮存器10A以及变更后用户贮存器10B中存储的用户相关信息,一边将变更前的用户属性信息UB与变更后的用户属性信息UA进行比较,来按每个用户Id检测在变更前的用户属性信息UB和变更后的用户属性信息UA中表示不同值的变更内容(步骤S1)。
具体而言,修正对象策略检测部43A将user03的“sect1-sect2”、user06的“sect2-sect1”、user08的“dept3,sect3,post2-dept5,sect4,post1”、user09的“dept3,sect3,post3-dept5,sect4,post2”、user10的“dept3,sect3-dept5,sect4”检测为变更内容(以下,按顺序记为变更内容A至E)。其中,这里使用“(用户ID)的「(变更前的值)-(变更后的值)」”的形式表示了变更内容。
接着,修正对象策略检测部43A参照变更前用户贮存器10A以及变更后用户贮存器10B中存储的用户相关信息,来按每个变更内容A至E判定检测出的变更内容A至E所含的变更后的值是否仅由变更前的部门信息DB、科室信息SB以及职务信息PB所含的值(Id)构成(步骤S2)。
具体而言,由于变更内容A以及B的变更后的值是sect2或者sect1,这些sect2或者sect1如图4所示,包含在变更前的科室信息SB,所以变更内容A以及B被修正对象策略检测部43A判定为仅由变更前的用户相关信息(科室信息SB)构成。另外,变更内容C至E的变更后的值包含dept5、sect4,由于这些dept5、sect4如图3以及图4所示,不包含在变更前的部门信息DB以及科室信息SB中,所以变更内容C至E被修正对象策略检测部43A判定为不是仅由变更前的用户相关信息(部门信息DB以及科室信息SB)构成。
在步骤S2的处理的判定结果表示仅由变更前的用户相关信息构成的情况(步骤S2的是)下,修正对象策略检测部43A在认为该变更内容A以及B对策略不造成影响的基础上,参照策略存储装置30中存储的策略,不将由与该变更内容A以及B建立了关联的用户Id“user03”以及“user06”识别的变更前的用户属性信息UB3、UB6满足的策略P1、P2检测为修正对象策略(步骤S3)。
在步骤S2的处理的判定结果表示否的情况(步骤S2的否)下,修正对象策略检测部43A在认为该变更内容C至E对策略造成影响的基础上,参照策略存储装置30中存储的策略,将由与该变更内容C至E建立了关联的用户Id“user08”、“user09”以及“user10”识别的变更前的用户属性信息UB8至UB10满足的策略P3检测为修正对象策略(步骤S4)。
接下来,修正策略制作部44B制作将在步骤S4的处理中检测出的修正对象策略P3所记述的用户属性信息“dept3”以及“sect3”修正为该变更内容C至E所含的变更后的值“dept5”以及“sect4”的修正策略(步骤S5)。
然后,修正策略保存部43C将在步骤S3的处理中未被检测为修正对象策略的策略P1、P2、和在步骤S5的处理中制作的修正策略写入修正策略暂时存储装置41(步骤S6)。
删除用户确定装置44如图1所示,还具备用户属性信息收集部44A、策略评价部44B以及删除用户保存部44C。
用户属性信息收集部44A例如如图16所示那样,收集能够利用由云服务器装置20提供的SaaS的用户的变更后的用户属性信息作为策略评价所需要的信息(以下记作策略评价用用户属性信息)。具体而言,用户属性信息收集部44A具有以下的各功能(f44A-1)以及(f44A-2)。
(f44A-1)是一边参照云服务器装置20内的各ID存储装置20A中存储的ID登记信息,一边从变更后用户贮存器10B收集包括ID登记信息内的用户ID的变更后的用户相关信息、该情况下为变更后的用户属性信息UA作为策略评价用用户属性信息的功能。
(f44A-2)是将通过(f44A-1)的功能收集到的策略评价用用户属性信息写入到未图示的暂时存储器的功能。
策略评价部44B基于修正策略暂时存储装置41中存储的策略以及修正策略,来评价由用户属性信息收集部44A收集到的策略评价用用户属性信息。具体而言,策略评价部44B具有以下的各功能(f44B-1)以及(f44B-2)。
(f44B-1)是基于修正策略暂时存储装置41中存储的策略以及修正策略,来评价由用户属性信息收集部44A收集到的策略评价用用户属性信息、即评价策略评价用用户属性信息是否满足策略以及修正策略的功能。
(f44B-2)是在生成了对通过(f44B-1)的功能获得的评价结果进行表示的评价结果信息之后,将该生成的评价结果信息写入到未图示的暂时存储器的功能。
其中,评价结果信息例如是如图17所示那样用户ID、用户名以及SaaS利用权限建立了关联的信息。SaaS利用权限与云服务器装置20能够对配置有策略更新装置40的组织提供的SaaS对应,这里,表示与SaaS1至SaaS3的利用权限相关的评价结果。具体而言,SaaS利用权限如图17所示,使用“允许”、“拒绝”或者“-”中的任意一个值来表示。“允许”表示策略评价用用户属性信息满足了与该SaaS相关的策略以及/或者修正策略的评价结果。“拒绝”表示变更前的用户属性信息UB满足与该SaaS相关的策略,但策略评价用用户属性信息不满足与该SaaS相关的策略以及/或者修正策略的评价结果。“-”表示变更前的用户属性信息UB与策略评价用用户属性信息都不满足与该SaaS相关的策略以及/或者修正策略的评价结果。
删除用户保存部44C在基于由策略评价部44B生成的评价结果信息,生成了删除对象用户信息之后,将该生成的删除对象用户信息写入到删除对象用户暂时存储装置42。
其中,删除对象用户信息例如是图14所示那样用户ID以及删除对象SaaS建立了关联的信息。删除对象SaaS与云服务器装置20能够对配置有策略更新装置40的组织提供的SaaS对应,这里,涉及与SaaS1至SaaS3对应的各ID存储装置20A中存储的ID登记信息的删除。具体而言,删除对象SaaS如图14所示,使用“○”、“×”以及“-”中的任意一个值来表示。“○”对应于由策略评价部44B生成的评价结果信息内的SaaS利用权限的“拒绝”,被存储在与该SaaS对应的ID存储装置20A,表示包括与该删除对象SaaS建立了关联的用户ID的ID登记信息是删除对象。“×”对应于由策略评价部44B生成的评价结果信息内的SaaS利用权限的“允许”,被存储在与该SaaS对应的ID存储装置20A,表示包括与该删除对象SaaS建立了相关的用户ID的ID登记信息不是删除对象。“-”对应于由策略评价部44B生成的评价结果信息内的SaaS利用权限的“-”,表示在与该SaaS对应的ID存储装置20A中没有存储包括与该删除对象SaaS建立了关联的用户ID的ID登记信息。
这里,参照图7、图10至图12、图14、图17的示意图和图18的流程图来对如以上那样构成的删除用户确定装置的动作的一个例子进行说明。其中,在本动作例中,由修正策略制作装置43执行上述的步骤S1至S6的处理,在修正策略暂时存储装置41中存储有与策略P1、P2和策略P3对应的修正策略。
紧接着步骤S6的处理,用户属性信息收集部44A一边参照云服务器装置20内的各ID存储装置20A中存储的ID登记信息R1至R3,一边从变更后用户贮存器10B收集包括ID登记信息R1至R3内的用户ID的变更后的用户相关信息、该情况下收集变更后的用户属性信息UA1至UA3、UA8至UA10作为策略评价用用户属性信息M(步骤S7)。
接下来,策略评价部44B基于修正策略暂时存储装置41中存储的策略P1、P2以及修正策略,来评价在步骤S7的处理中收集到的策略评价用用户属性信息M、即评价策略评价用用户属性信息M是否满足策略P1、P2以及修正策略(步骤S8)。
接着,策略评价部44B如图17所示,生成对步骤S8的处理的评价结果进行表示的评价结果信息N(步骤S9)。
然后,删除用户保存部44C在基于通过步骤S9的处理生成的评价结果信息N,生成了图14所示那样的删除对象用户信息T之后,将该生成的删除对象用户信息T写入到删除用户暂时存储装置42(步骤S10)。
用户删除批准装置45如图1所示,具备批准委托部45A、删除对象用户删除部45B以及修正策略修正部45C。
关于删除对象用户暂时存储装置42中存储的删除对象用户信息内的删除对象SaaS是表示意思是删除对象的值的SaaS,批准委托部45A针对变更前用户贮存器10A中存储的变更前的用户相关信息、该情况下针对由与该SaaS相关的SaaS信息内的管理者ID识别的用户(的管理者终端),委托从与该SaaS对应的ID存储装置20A删除包括与该删除对象SaaS建立了相关的用户ID的ID登记信息所涉及的批准/驳回。
其中,管理者终端若接收到来自批准委托部45A的委托,则根据用户(管理者)的操作,将包括意思是批准该委托或者驳回该委托的消息和用户ID在内的响应消息发送给用户删除批准装置45。
删除对象用户删除部45B若受理了从管理者终端发送来的包括意思是进行驳回的响应消息的输入,则将受理了该输入的响应消息内的包括用户ID的删除对象用户信息从删除用户暂时存储装置42删除。
修正策略修正部45C以由通过删除对象用户删除部45B受理了输入的响应消息内的用户ID识别的用户能够继续利用删除对象用户信息内的与该用户ID建立了关联的删除对象SaaS是表示意思是删除对象的值的SaaS的方式,制作对与该SaaS相关的策略进行了修正后的修正策略,并将修正策略暂时存储装置41中存储的与该SaaS相关的策略更新(改写)为该制作的修正策略。
这里,参照图6、图10至图12、图20的示意图和图19的流程图,对如以上那样构成的用户删除批准装置的动作的一个例子进行说明。其中,在本动作例中,由修正策略制作装置43执行上述的步骤S1至S6的处理,在修正策略暂时存储装置41中存储有与策略P1、P2和策略P3对应的修正策略,另外,由删除用户确定装置44执行上述的步骤S7至S10的处理,在删除用户暂时存储装置42中存储有图14所示的删除对象用户信息。
接着步骤S10的处理,关于删除对象用户暂时存储装置42中存储的删除对象用户信息T内的删除对象SaaS是表示意思是删除对象的值的SaaS1以及SaaS2,批准委托部45A针对由变更前用户贮存器10A中存储的与该SaaS1以及SaaS2相关的SaaS信息Sa1、Sa2内的管理者ID“user01”以及“user02”识别的用户(的管理者终端),委托将包括与该删除对象SaaS建立了关联的用户ID“user08”以及“user03”的ID登记信息R13、R22从与该SaaS1以及SaaS2对应的各ID存储装置20A删除所涉及的批准/驳回(步骤S11)。
其中,这里管理者终端针对来自批准委托部45A的委托,将意思是驳回包括用户ID“user08”的ID登记信息R13的删除的消息、和意思是批准包括用户ID“user03”的ID登记信息R22的删除的消息作为响应消息发送给删除对象用户删除部45B。
接下来,删除对象用户删除部45B在受理了从管理者终端发送来的响应消息的输入后,执行遵照受理了该输入的响应消息内的消息的处理(步骤S12)。
这里,关于包括意思是将包括用户ID“user08”的ID登记信息R13的删除驳回的消息的响应消息,删除对象用户删除部45B将包括该用户ID“user08”的删除对象用户信息从删除用户暂时存储装置42删除。
另外,关于包括意思是对包括用户ID“user03”的ID登记信息R22的删除进行批准的消息的响应消息,删除对象用户删除部45B将请求删除ID登记信息R22的删除请求消息发送给后述的用户删除装置47。然后,在用户删除装置47中,执行ID登记信息R22的删除。
然后,修正策略修正部45C以由通过删除对象用户删除部45B受理了输入的响应消息内的用户ID“user08”识别的用户能够继续利用删除对象用户信息内的与该用户ID建立了关联的删除对象SaaS是表示意思是删除对象的值的SaaS1的方式,制作对与该SaaS1相关的策略P1进行了修正后的修正策略,并将修正策略暂时存储装置41中存储的与该SaaS1相关的策略P1更新为该制作的修正策略(步骤S13)。
具体而言,修正策略修正部45C参照包括用户ID“user08”的变更后的用户相关信息、该情况下参照用户属性信息UB8,如图20所示那样,追加下述内容的条件:使用了该用户属性信息UB8所含的部门Id和职务Id的“部门Id为dept5、且职务Id为post1”。其中,这里由于策略P1由使用了用户属性信息内的部门Id以及职务Id的条件构成,所以按照追加使用了部门Id和职务Id的条件、即所使用的用户属性信息与构成对应的策略的条件对应的方式,进行条件的追加。
策略更新装置46按照修正策略暂时存储装置41中存储的策略以及修正策略,来更新策略存储装置30中存储的策略。
用户删除装置47若受理了由用户删除批准装置45发送的删除请求消息的输入,则按照受理了该输入的删除请求消息,将云服务器装置20内的ID存储装置20A中存储的ID登记信息删除。
根据以上说明的一个实施方式,能够不借助人手地实现策略更新作业以及***环境更新作业。
此外,上述的各实施方式中记载的方法也可以作为能够使计算机执行的程序,保存到磁盘(软(登记商标)盘、硬盘等)、光盘(CD-ROM、DVD等)、光磁盘(MO)、半导体存储器等存储介质来进行发布。
另外,作为该存储介质,如果是能够存储程序且计算机可读取的存储介质,则其存储形式可以是任意形态。
另外,也可以基于从存储介质安装到计算机的程序的指示,由在计算机上运转的OS(操作***)、数据库管理软件、网络软件等MW(中间件)等执行用于实现上述实施方式的各处理的一部分。
并且,各实施方式中的存储介质并不局限于与计算机独立的介质,也包括下载通过LAN、互联网等传输的程序并存储或者暂时存储的存储介质。
另外,存储介质并不局限于一个,从多个介质执行上述各实施方式中的处理的情况也包含于本发明中的存储介质,介质构成可以是任意的构成。
此外,各实施方式中的计算机也可以是基于存储介质中存储的程序,执行上述各实施方式中的各处理的构成,即是一个个人计算机等构成的装置、多个装置与网络连接的***等任意的构成。
另外,各实施方式中的计算机并不局限于个人计算机,也包括信息处理设备中所含的运算处理装置、微型计算机等,包括能够通过程序来实现本发明的功能的设备、装置。
此外,对本发明的几个实施方式进行了说明,但这些实施方式指示例示,不意图限定发明的范围。这些新的实施方式能够通过其他各种方式来加以实施,在不脱离发明主旨的范围能够进行各种省略、置换、变更。这些实施方式及其变形包含在发明的范围、主旨中,并且,包含于权利要求所记载的发明及其等同的范围。

Claims (4)

1.一种策略更新***,包括:
服务器装置,能够对用户提供多个服务,具有按每个所述服务至少存储第一用户ID的存储单元,该第一用户ID对能够利用所述各服务的用户进行识别;
策略存储装置,存储多个策略,所述多个策略由记述了用户属性信息的至少一个条件构成,规定了所述用户属性信息的值满足所述条件时允许所述服务的利用的所述各服务的利用权限,所述用户属性信息是与所述用户相关的身份信息,由至少包含与所述第一用户ID对应的第二用户ID在内的多个项目建立关联而成;
策略更新装置,在所述用户属性信息被变更时能够更新所述存储的各策略;以及
用户属性信息存储装置,存储变更后的用户属性信息以及变更内容,所述变更内容是在变更前的用户属性信息与变更后的用户属性信息之间示出不同值的变更内容,是包括变更前的用户属性信息的值与变更后的用户属性信息的值在内的、每个所述第二用户ID的变更内容,
该策略更新***的特征在于,
所述策略更新装置具备:
检测单元,基于所述用户属性信息存储装置中存储的变更内容,来检测所述策略存储装置中存储的各策略中的需要修正的修正对象策略和所述修正对象策略以外的策略;
制作单元,制作将所述检测到的修正对象策略中记述的用户属性信息的值从所述存储的变更内容内的变更前的用户属性信息的值修正为变更后的用户属性信息的值的修正策略;
收集单元,从所述用户属性信息存储装置收集包括能够利用由所述服务器装置提供的服务的用户的第二用户ID在内的变更后的用户属性信息作为策略评价用用户属性信息;
评价单元,基于所述策略存储装置中存储的各策略中的除了所述修正对象策略以外的策略、以及所述制作出的修正策略,按每个所述第二用户ID评价所述收集到的策略评价用用户属性信息是否满足所述修正对象策略以外的策略和所述修正策略;
确定单元,基于所述评价单元的评价结果,确定示出了意思是所述用户属性信息存储装置中存储的变更内容内的变更前的用户属性信息的值满足策略、但所述收集到的策略评价用用户属性信息的值不满足策略以及/或者修正策略的评价结果的第二用户ID;
更新单元,将所述策略存储装置中存储的各策略中的与所述制作出的修正策略对应的策略更新为该修正策略;以及
删除单元,将与所述确定出的第二用户ID对应的第一用户ID从所述服务器装置内的所述存储单元删除。
2.根据权利要求1所述的策略更新***,其特征在于,
所述策略更新装置还具备:
委托单元,关于与所述确定出的第二用户ID对应的第一用户ID的删除,对管理者所操作的管理者终端委托批准该第一用户ID的删除,所述管理者管理由所述服务器装置提供的各服务;和
删除执行单元,根据来自所述管理者终端的、针对由所述委托单元委托的批准删除的响应,执行所述第一用户ID的删除。
3.一种策略更新装置,能够与服务器装置、策略存储装置和用户属性信息存储装置连接,
所述服务器装置能够对用户提供多个服务,具有按每个所述服务至少存储第一用户ID的存储单元,该第一用户ID对能够利用所述各服务的用户进行识别,
所述策略存储装置存储多个策略,所述多个策略由记述了用户属性信息的至少一个条件构成,规定了所述用户属性信息的值满足所述条件时允许所述服务的利用的所述各服务的利用权限,所述用户属性信息是与所述用户相关的身份信息,由至少包含与所述第一用户ID对应的第二用户ID在内的多个项目建立关联而成,
所述用户属性信息存储装置在所述用户属性信息被变更的情况下,存储变更后的用户属性信息以及变更内容,所述变更内容是在变更前的用户属性信息与变更后的用户属性信息之间示出不同值的变更内容,是包括变更前的用户属性信息的值与变更后的用户属性信息的值在内的、每个所述第二用户ID的变更内容,
该策略更新装置的特征在于,具备:
检测单元,基于所述用户属性信息存储装置中存储的变更内容,来检测所述策略存储装置中存储的各策略中的需要修正的修正对象策略和所述修正对象策略以外的策略;
制作单元,制作将所述检测到的修正对象策略中记述的用户属性信息的值从所述存储的变更内容内的变更前的用户属性信息的值修正为变更后的用户属性信息的值的修正策略;
收集单元,从所述用户属性信息存储装置收集包括能够利用由所述服务器装置提供的服务的用户的第二用户ID在内的变更后的用户属性信息作为策略评价用用户属性信息;
评价单元,基于所述策略存储装置中存储的各策略中的所述修正对象策略以外的策略、以及所述制作出的修正策略,按每个所述第二用户ID评价所述收集到的策略评价用用户属性信息是否满足所述修正对象策略以外的策略和所述修正策略;
确定单元,基于所述评价单元的评价结果,确定示出了意思是所述用户属性信息存储装置中存储的变更内容内的变更前的用户属性信息的值满足策略、但所述收集到的策略评价用用户属性信息的值不满足策略以及/或者修正策略的评价结果的第二用户ID;
更新单元,将所述策略存储装置中存储的各策略中的与所述制作出的修正策略对应的策略更新为该修正策略;以及
删除单元,将与所述确定出的第二用户ID对应的第一用户ID从所述服务器装置内的所述存储单元删除。
4.根据权利要求3所述的策略更新装置,其特征在于,
所述策略更新装置还具备:
委托单元,关于与所述确定出的第二用户ID对应的第一用户ID的删除,对管理者所操作的管理者终端委托批准该第一用户ID的删除,所述管理者管理由所述服务器装置提供的各服务;和
删除执行单元,根据来自所述管理者终端的、针对由所述委托单元委托的批准删除的响应,执行所述第一用户ID的删除。
CN201280076050.7A 2012-09-26 2012-09-26 策略更新***以及策略更新装置 Active CN104718551B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2012/074768 WO2014049741A1 (ja) 2012-09-26 2012-09-26 ポリシ更新システム及びポリシ更新装置

Publications (2)

Publication Number Publication Date
CN104718551A CN104718551A (zh) 2015-06-17
CN104718551B true CN104718551B (zh) 2017-08-25

Family

ID=49850321

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201280076050.7A Active CN104718551B (zh) 2012-09-26 2012-09-26 策略更新***以及策略更新装置

Country Status (5)

Country Link
US (1) US9600655B2 (zh)
JP (1) JP5362125B1 (zh)
CN (1) CN104718551B (zh)
SG (1) SG11201502307PA (zh)
WO (1) WO2014049741A1 (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3479546B1 (en) * 2016-06-30 2022-08-17 INTEL Corporation Data management microservice in a microservice domain
US10922423B1 (en) * 2018-06-21 2021-02-16 Amazon Technologies, Inc. Request context generator for security policy validation service
US11144620B2 (en) * 2018-06-26 2021-10-12 Counseling and Development, Inc. Systems and methods for establishing connections in a network following secure verification of interested parties
CN115102784B (zh) * 2022-07-21 2023-06-23 武汉联影医疗科技有限公司 权限信息管理方法、装置、计算机设备和存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1574739A (zh) * 2003-04-18 2005-02-02 松下电器产业株式会社 认可权限登录***及认可权限登录方法
CN101288084A (zh) * 2005-10-13 2008-10-15 株式会社Ntt都科摩 便携终端、访问控制管理装置以及访问控制管理方法

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040034659A1 (en) * 2002-08-19 2004-02-19 Steger Kevin J. Automated policy compliance management system
US7284000B2 (en) 2003-12-19 2007-10-16 International Business Machines Corporation Automatic policy generation based on role entitlements and identity attributes
US7606801B2 (en) 2005-06-07 2009-10-20 Varonis Inc. Automatic management of storage access control
US8140362B2 (en) 2005-08-30 2012-03-20 International Business Machines Corporation Automatically processing dynamic business rules in a content management system
US8561146B2 (en) 2006-04-14 2013-10-15 Varonis Systems, Inc. Automatic folder access management
JP2007323357A (ja) 2006-05-31 2007-12-13 Canon Inc 情報処理装置、情報管理システム、情報管理方法、プログラムおよび記憶媒体
JP5072550B2 (ja) * 2007-11-27 2012-11-14 三菱電機株式会社 情報処理装置及び情報処理方法及びプログラム
US8418238B2 (en) * 2008-03-30 2013-04-09 Symplified, Inc. System, method, and apparatus for managing access to resources across a network
US20100153950A1 (en) 2008-12-17 2010-06-17 Vmware, Inc. Policy management to initiate an automated action on a desktop source
JP2010176485A (ja) * 2009-01-30 2010-08-12 Hitachi Electronics Service Co Ltd セキュリティポリシー管理システム及び監視システムを備えたアクセス制御リスト配布システム
JP5546486B2 (ja) * 2010-09-27 2014-07-09 三菱電機インフォメーションテクノロジー株式会社 情報処理装置及びプログラム
JP4892093B1 (ja) 2010-11-09 2012-03-07 株式会社東芝 認証連携システム及びidプロバイダ装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1574739A (zh) * 2003-04-18 2005-02-02 松下电器产业株式会社 认可权限登录***及认可权限登录方法
CN101288084A (zh) * 2005-10-13 2008-10-15 株式会社Ntt都科摩 便携终端、访问控制管理装置以及访问控制管理方法

Also Published As

Publication number Publication date
SG11201502307PA (en) 2015-05-28
JP5362125B1 (ja) 2013-12-11
US20150199506A1 (en) 2015-07-16
US9600655B2 (en) 2017-03-21
WO2014049741A1 (ja) 2014-04-03
JPWO2014049741A1 (ja) 2016-08-22
CN104718551A (zh) 2015-06-17

Similar Documents

Publication Publication Date Title
US10853805B2 (en) Data processing system utilising distributed ledger technology
US8332922B2 (en) Transferable restricted security tokens
CN104685511B (zh) 策略管理***、id提供者***以及策略评价装置
US8955041B2 (en) Authentication collaboration system, ID provider device, and program
Alpár et al. The identity crisis. security, privacy and usability issues in identity management
EP2689372B1 (en) User to user delegation service in a federated identity management environment
CN101911585B (zh) 基于认证输入属性的选择性授权
US9037849B2 (en) System and method for managing network access based on a history of a certificate
CN103109298A (zh) 认证协作***以及id提供商装置
JP2006244473A (ja) 単一ユーザパラダイムにおける複数の識別標識、識別機構、および識別提供者を統合する方法およびシステム
CN104718551B (zh) 策略更新***以及策略更新装置
WO2020145967A1 (en) Access control method
CN112307444A (zh) 角色创建方法、装置、计算机设备及存储介质
JP2006119719A (ja) コンピュータシステム及びユーザ認証方法
Demchenko et al. Policy based access control in dynamic Grid-based collaborative environment
JP4805615B2 (ja) アクセス制御方法
CN111917760A (zh) 一种基于标识解析的网络协同制造跨域融合信任管控方法
Yousefnezhad et al. Authentication and access control for open messaging interface standard
CN114881469A (zh) 一种面向企业职工的绩效考核和管理***及其方法
JP6279643B2 (ja) ログイン管理システム、ログイン管理方法及びログイン管理プログラム
JP2014038501A (ja) 業務統合コンピュータシステム及び業務統合コンピュータシステムのメニュー構築方法
JP5556242B2 (ja) アクセス制御装置及びその制御方法
Gomi User-centric identity governance across domain boundaries
JP5490157B2 (ja) プロファイル生成装置、プロファイル生成方法
Hommel Policy-based integration of user and provider-sided identity management

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant