JP2004158007A - コンピュータアクセス権限 - Google Patents
コンピュータアクセス権限 Download PDFInfo
- Publication number
- JP2004158007A JP2004158007A JP2003366526A JP2003366526A JP2004158007A JP 2004158007 A JP2004158007 A JP 2004158007A JP 2003366526 A JP2003366526 A JP 2003366526A JP 2003366526 A JP2003366526 A JP 2003366526A JP 2004158007 A JP2004158007 A JP 2004158007A
- Authority
- JP
- Japan
- Prior art keywords
- principal
- application program
- permission set
- sub
- product
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/629—Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
【課題】 複数の保護されたオブジェクトに対する許可情報が共通して格納されるのを可能にするシステムおよび方法を提供する。
【解決手段】 本発明の一実施形態によれば、アプリケーションプログラムにおける機能へのアクセスを制御する方法は、アプリケーションプログラム内の少なくとも1つのパーミッションセットを登録することを含む。パーミッションセットは、アプリケーションプログラムの機能カテゴリに関連する複数の特権動作を含む。本方法はさらに、プリンシパルに対してパーミッションセットにおける特権動作のうちの少なくとも1つへの権限を認可する情報を受取ることと、プリンシパルによって開始されると、受取られた情報にしたがって許可された特権動作を実行することと、を含む。
【選択図】 図1
【解決手段】 本発明の一実施形態によれば、アプリケーションプログラムにおける機能へのアクセスを制御する方法は、アプリケーションプログラム内の少なくとも1つのパーミッションセットを登録することを含む。パーミッションセットは、アプリケーションプログラムの機能カテゴリに関連する複数の特権動作を含む。本方法はさらに、プリンシパルに対してパーミッションセットにおける特権動作のうちの少なくとも1つへの権限を認可する情報を受取ることと、プリンシパルによって開始されると、受取られた情報にしたがって許可された特権動作を実行することと、を含む。
【選択図】 図1
Description
本発明は、アプリケーションプログラムにおけるオブジェクトへのアクセスを制御する方法に関する。
多くのコンピュータアプリケーションでは、ある機能に対するアクセスが、許可されたユーザに制限される。これは通常、アクセス制御リストを保護された各オブジェクト(すなわち、機能が権限制約を受ける各オブジェクト)と関連付けることによって達成される。アクセス制御リストは、対応する保護されたオブジェクトにアクセスするよう許可された特定のユーザと、かかるユーザの各々に許可された特定の動作とを定義する。各リストのエントリは通常、<プリンシパル、ビット>の組から構成され、「プリンシパル」は、ユーザまたはグループであり、「ビット」は、この特定の保護されたオブジェクトに関してユーザに許可された動作を識別する。
本出願の発明者によって認識されるように、特に、実行に複数の保護されたオブジェクトに対するアクセスが必要である動作を実行するために、ユーザ権限を認可することが有利である場合、各保護されたオブジェクトに対してアクセス制御リストを作成することは、時に厄介である。
従来技術におけるこれらおよび他の必要を解決するために、本出願の発明者は、複数の保護されたオブジェクトに対する許可情報が共通して格納されるのを可能にするシステムおよび方法の設計に成功した。本発明者はまた、ユーザに対し、アプリケーションプログラムの事前定義された機能カテゴリを通して動作を実行するのを許可することができる、システムおよび方法の開発にも成功した。
本発明の一実施形態によれば、アプリケーションプログラムにおける機能へのアクセスを制御する方法は、アプリケーションプログラム内の少なくとも1つのパーミッションセットを登録することを含む。パーミッションセットは、アプリケーションプログラムの機能カテゴリに関連する複数の特権動作を含む。本方法はさらに、プリンシパルに対してパーミッションセットにおける特権動作のうちの少なくとも1つへの権限を認可する情報を受取ることと、プリンシパルによって開始されると、受取られた情報にしたがって許可された特権動作を実行することと、を含む。
本発明の実施形態の適用性のさらなる範囲は、下に提供する詳細な説明から明らかとなろう。詳細な説明と特定の実施例とは、本発明の例示的な実施形態を示しているが、単に例示の目的のためであり、本発明の範囲を限定するように解釈されるべきではない、ということが理解されなければならない。
本発明は、詳細な説明と添付図面からより完全に理解されるであろう。
本発明は、その機能の一部またはすべてに対するユーザアクセスを管理するいかなるコンピュータシステムまたはアプリケーションにも適用可能である。本発明の例示的な実施形態を、コンピュータネットワークおよびストレージエリアネットワーク(SAN)に関連して下に説明するが、当業者は、本発明の範囲が、そのように限定されず、たとえばスタンドアロンコンピュータデバイスおよびアプリケーションにも適用することができる、ということを認めるであろう。
図1を参照すると、記憶装置14に関連する管理サーバ16を有するコンピュータベースネットワーク10が示されている。一実施形態では、記憶装置14は、図1に示すように管理サーバ16から遠隔に存在する。たとえば、記憶装置14は、管理サーバ16に関連するSANに存在することができる。代替的に、管理サーバ16は、記憶装置14を含むことができる。管理サーバ16は、サーバ機能を実行することができるいかなるコンピュータベース機器であってもよい。たとえば、管理サーバ16は、単一コンピュータであっても、複数のコンピュータに接続されたネットワークサーバであってもよい。管理サーバ16は、好ましくは、情報、データおよびグラフィックスを閲覧するためのモニタ18と、キーボード、タッチスクリーンまたはマウス等のユーザ入力装置20と、データベース22と、を有する。
管理サーバ16は、記憶装置14に格納されたデータを管理するために使用されるアプリケーションプログラム26を含む。たとえば、アプリケーションプログラム26は、SANのストレージおよび資源を管理するために使用されるストレージエリアマネージャ(SAM)アプリケーションであってもよい。アプリケーションプログラム26は、権限・認証(authorization and authentication(A&A))モジュール30と少なくとも1つのサブプロダクト34(たとえば、アドインコンポーネント)と、を有する。A&Aモジュール30は、サブプロダクト34を含むアプリケーションプログラム26によって提供される機能に対するユーザによるアクセスを制御する。
図2は、本発明の一実施形態により、A&Aモジュール30によってデータベース22に格納されるあらゆるデータ構造を示す。A&Aモジュール30は、本明細書では「パーミッションセット」と呼ぶ、アプリケーションプログラム26の1つまたは複数の機能カテゴリに関連する特権動作(すなわち、実行が権限制約を受ける動作)の事前定義されたセットを利用して、アプリケーションの機能に対するアクセスを制御する。
一実施形態では、GeneralPermissionSet(汎用パーミッションセット)と呼ぶ単一パーミッションセットが、サブプロダクト34によってサポートされる特権動作を含むアプリケーションプログラム26全体に対して実施される。GeneralPermissionSetは、データベース22に格納されるApplications(アプリケーション)データ構造104に格納される。GeneralPermissionSetは、2つの広い特権、すなわち、READ(読出し)が可能であることとREAD_WRITE(読出し・書込み)が可能であることとを定義する。前者の特権を有するユーザは、記憶装置14の情報にアクセスすることができるが、記憶装置14内の情報を構成することはできない。後者の特権を有するユーザは、記憶装置14に格納された情報にアクセスすることもそれを構成することも可能である。
GeneralPermissionSetにおいて定義される2つの許可を実施するために、A&Aモジュール30は、データベース22を初期化する。これは、データベース22に存在するAAUsers(AAユーザ)データ構造108とAAUserGroup(AAユーザグループ)データ構造112とを利用して行われる。A&Aモジュール30は、2つのデフォルトユーザグループ、すなわちAdministrators(管理者)グループとGuests(ゲスト)グループとを作成し、それらグループをAAUserGroupデータ構造112に格納する。Administratorsグループに属しているユーザは、アプリケーションプログラム26とアプリケーションプログラム26のすべてのコンポーネント(サブプロダクトを含む)とに関してREAD_WRITE特権を有する。Guestsグループに属しているユーザは、アプリケーションプログラム26とそのあらゆるコンポーネントとに関してREAD特権のみを有する。さらに後述するように、システム10の各ユーザは、少なくとも1つのグループに割当てられ、そのグループに関連する特権をすべて享受する。A&Aモジュール30は、システム10のユーザの名前と各ユーザが割当てられたグループ(複数可)とをデータベーステーブル108に格納する。
最初に、AAUsersデータ構造108は、2つのデフォルトユーザ、すなわちAdministratorグループに属する「Administrator(管理者)」とGuestグループに属する「Guest(ゲスト)」とを含む。これらデフォルトユーザにより、システム管理者は、A&Aモジュール30をそのインストールの後に構成することができる。さらに後述するように、A&Aモジュール30による初期化に続いて、システム管理者は、A&Aモジュール30がアクセス制御リスト(ACL)データ構造116においてエントリを作成するために使用する情報を入力する。たとえば、システム管理者からの入力に基づいて、A&Aモジュール30は、ACL116内に、Administratorグループを含むエントリと、Guestグループを含むエントリと、サブプロダクト34を含むエントリと、を作成する。ACL116にユーザグループとサブプロダクト34とを含むエントリを作成することにより、アプリケーションプロダクト26のコンテキストにおいてAdministratorsグループにREAD_WRITE特権が認可され、アプリケーションプロダクト26のコンテキストにおいてGuestsグループにREAD特権が認可される。
別の実施形態では、A&Aモジュール30は、少なくとも1つのサブプロダクト34が、サブプロダクト34のコンテキストにおいて行使することができる特権動作を定義し実施することができるように適合される。さらに、A&Aモジュール30は、保護されたオブジェクトクラスをサポートするように適合される。保護されたオブジェクトクラスは、保護されたオブジェクトクラスの特定のインスタンスに対して行使することができる動作のセットから構成されるパーミッションセットを定義する。さらに、保護されたオブジェクトクラスは、パーミッションセットにおいて定義される動作の意味論を定義する。
サブプロダクト34が、サブプロダクト34のコンテキストにおいて行使することができる特権動作を定義し実施することが可能である場合、Applicationsデータ構造104は複数のエントリを含むことになる。たとえば、Applicationsデータ構造104は、GeneralPermissionSetとサブプロダクト34に特定のパーミッションセット、たとえばSubProdPermissionSet(サブプロダクトパーミッションセット)とを含む。サブプロダクトパーミッションセットは、データベース22に登録され、サブプロダクトパーミッションセットを識別する状態情報は、サブプロダクト34がインストールされる時に、Applicationsデータベーステーブル104に格納される。インストール中、サブプロダクト34は、A&Aモジュール30を利用して、サブプロダクトパーミッションセットを登録しサブプロダクトパーミッションセット状態情報をApplicationsデータ構造104に格納する。
さらに後述するように、サブプロダクトパーミッションセットの登録に続いて、システム管理者は、A&Aモジュール30がACLデータ構造116にエントリを作成するために使用する情報を入力することができる。たとえば、システム管理者からの入力に基づいて、A&Aモジュール30は、ACL116に、少なくとも1つのプリンシパルに対してサブプロダクトパーミッションセットに含まれる少なくとも1つの特定の特権動作を実行することを許可するエントリを作成してもよい。
図3は、一実施形態においてA&Aモジュール30によって利用されるACL116を示す。ここでは、A&Aモジュール30は、単一データ構造、すなわちACL116を利用して複数の保護されたオブジェクトと各保護されたオブジェクトに対して行使することができる特権動作とを列挙する。より詳細には、ACL116は、ユーザが特定の保護されたオブジェクトに対して行使することができる特定の動作を定義する。ACL116におけるエントリは、保護オブジェクト識別子204と、プリンシパル(すなわち、ユーザまたはユーザのグループ)識別子208と、ビットマスク212と、を含む。保護オブジェクト識別子204は、アクセスが制御されるオブジェクトに対する参照である。たとえば、保護オブジェクト識別子204は、記憶装置14に含まれる相互接続装置等、アプリケーションプログラム26の外部の物理的または論理的資源を表すことができ、あるいは、ファイル、ディレクトリまたはネットワーク接続等、アプリケーションプログラム26内のオブジェクトクラスを表すことができ、あるいは、電子メールサービスまたはイベントエクスポートサービス等、アプリケーションプログラムによって提供されるサービスを表すことができる。
一実施形態では、保護オブジェクト識別子204とプリンシパル識別子208とは、数値コーディングを使用してACL116に入力され、ビットマスク212は、64ビット整数を使用して実施される。しかしながら、システム10によって解釈可能ないかなる適当な識別子方式もしくはコードを採用してもよい。例示の目的のために、図3のエントリを、データコード及びビットマスクとは対照的にアルファテキストで示す。
プリンシパル識別子208は、保護オブジェクト識別子204によって識別される保護されたオブジェクトに対するアクセスが制御されるプリンシパルを表すオブジェクトに対する参照である。プリンシパルは、単一ユーザであってもユーザのグループであってもよい。ビットマスク212は、個々のデータビットが設定されるビットフィールドであって、それらは、プリンシパル識別子208によって識別されるプリンシパルが実行することができる、保護オブジェクト識別子204によって識別される保護されたオブジェクトに対するアクセスを表す。ビットマスク212のビットの意味論的な意味は、保護オブジェクト識別子204によって表されるオブジェクトのクラスまたはカテゴリによって定義される。
単に例示の目的のために、図3は、ACL116をSAMアプリケーションで利用されてもよいように示す。図3に示す1つの例示的なエントリは、ユーザ「ジョー」が、ストレージアレイ「サンタバーバラ・エンジニアリング・ラボ・アレイ」に対し「ストレージユニットを定義」し「バックアップ構成を編集」することを可能にする。
図4は、別の実施形態による、A&Aモジュール30によって利用されるACL116を示す。ここでは、A&Aモジュール30は、少なくとも1つのサブプロダクト34が1つまたは複数のパーミッションセットを登録することができるように適合される。例示の目的のために、図4のエントリを、上述したようにデータコードおよびビットマスクとは対照的にアルファテキストで示す。この実施形態では、A&Aモジュール30は、単一データ構造、すなわちACL116を利用して、サブプロダクト34がプリンシパルに、個々のオブジェクトに焦点が絞られない広いカテゴリ的な特権を認可するのを可能にする。たとえば、保護オブジェクト識別子204は、サブプロダクト34を表すことができ、ビットマスク212において識別される特権動作の実行には、サブプロダクト34および/またはアプリケーションプログラム26内の複数のオブジェクトに対するアクセスが必要である。A&Aモジュール30は、各サブプロダクト34をカテゴライズし、各サブプロダクトはこれらの作成されたカテゴリの各々に対してパーミッションセットを登録し、特権カテゴリをもたらす。たとえば、「Accounting(課金)」サブプロダクト34は、動作「ストレージティア価格を設定」と「ホストにストレージを割当」とを含むパーミッションセットを定義してもよい。動作の各々は、プリンシパル識別子208によって識別されるプリンシパルが、指定された動作「ストレージティア価格を設定」および「ホストにストレージを割当」を実行するために有することが許可されなければならない特権を定義する、特定のビットマスク212に対応する。このように、A&Aモジュール30は、サブプロダクト特権カテゴリを、ACL116において保護オブジェクト識別子204によって識別される保護されたオブジェクトとして、モデル化すなわち表現する。
サブプロダクト34は、特権動作のセットを定義するパーミッションセットを登録する場合、あらゆるビットマスク212を解釈するように適合される、対応するプログラミング状態も登録する。このプログラミング状態は、データベース22に保護されたオブジェクトとして配置される識別子を有する。したがって、ACL116におけるサブプロダクト関連エントリの保護オブジェクト識別子204は、データベース22に格納される、対応するプログラミング状態識別子、すなわち保護されたオブジェクトを指す。プログラミング状態識別子を使用して、ACL116エントリのビットマスク212に意味論的な意味を提供するプログラミング状態が識別される。
図5は、別の実施形態によるACL116を示す。ここでは、A&Aモジュール30は、少なくとも1つのサブプロダクト34がサブプロダクトパーミッションセットを登録するのを可能にするように適合され、さらに、複数の保護されたオブジェクトと各オブジェクトに対して行使することができる特権動作とを列挙するように適合される。したがって、パーミッションセットと保護されたオブジェクトとはともに、同様に処理される。例示の目的のために、図5のエントリを、上述したように、データコードおよびビットマスクとは対照的にアルファテキストで示す。図示するように、ACL116は、特定のサブプロダクト特権化カテゴリを識別する保護オブジェクト識別子204を有するエントリおよび/またはエンジニアリングラボアレイ等の特定のオブジェクトを識別するエントリを含むことができる。特定のオブジェクトに対応するビットマスク212は、アプリケーションプログラム26によって定義される特権動作を識別し、一方サブプロダクトエントリのビットマスク212は、特定のサブプロダクト34のコンテキストで定義される特権を識別する。サブプロダクト特権は、特定のタイプのオブジェクト許可に関して定義されるのではなく、特定のサブプロダクト34のコンテキストで定義される。
より詳細には、各サブプロダクト34は、特定のサブプロダクト34のコンテキストで行使することができる特権動作を指定するパーミッションセットを定義する。パーミッションセットは、オブジェクト許可タイプには分類されないが、特定のサブプロダクト34の意味論に関して定義される。各サブプロダクト34は、A&Aモジュール30を利用してこれらのパーミッションセットを登録し、許可を実施するように適合される。A&Aモジュール30は、各サブプロダクト34によって定義されるパーミッションセットを含む特権化カテゴリを作成し、その後、ACL116において保護されたオブジェクトとして各特権化カテゴリをモデル化する。言換えれば、各サブプロダクト34によって定義されるパーミッションセットは、アクセス可能性を限定しなければならない保護されたオブジェクトとして扱われ、安全にされる。これらの限定の性質は、パーミッションセット内で定義される個々の許可によって確定される。パーミッションセットは、全体として、ACL116において保護されたオブジェクトとしてモデル化されるカテゴリとして表され、それはデータベース22に格納される。この「モデル化された」保護されたオブジェクトに対するアクセスは、特定のサブプロダクト34のコンテキストにおいてプリンシパルによって享受される許可によって確定される。このため、A&Aモジュール30により、ACL116のエントリは、サブプロダクト内の1つまたは複数のオブジェクトに対し誰が何を行うことができるかを定義することができる。また、それは、パーミッションセットが動的に登録され、そこに定義された許可が実施されるのを可能にする。さらに、すべてのサブプロダクトカテゴリおよびオブジェクトクラスに対するアクセス制御情報のすべてが、単一データ構造、すなわちACL116に格納される。
図6は、本発明の一実施形態において実行されるステップの簡易フローチャート500である。最初にA&Aモジュール30がロードされると、ステップ502に示すように、A&Aモジュール30は、複数のユーザグループを作成し、それらユーザグループをAAUserGroupsデータ構造108に格納する。さらに、ステップ504に示すように、A&Aモジュール30は、複数のデフォルトユーザを作成し、デフォルトユーザをAAUserデータ構造108に格納し、各デフォルトユーザをユーザグループの1つに割当てることにより、割当てられたユーザグループに対応するすべての特権を各デフォルトユーザに割当てる。さらに、ステップ506に示すように、A&Aモジュール30は、汎用パーミッションセットをデータベース22に登録し、汎用パーミッションセットを識別する状態情報をApplicationsデータ構造104に格納する。汎用パーミッションセットは、アプリケーションプログラム26全体と、アプリケーションプログラム26に含まれるすべての機能カテゴリ、たとえば、後にロードしてもよい任意のサブプロダクト34とに適用される特権動作を含む。
そして、ステップ508に示すように、A&Aモジュール30は、汎用パーミッションセットからの少なくとも1つの特権動作をユーザグループの各々に割当てることにより、ACL116にエントリを作成する。このため、各エントリの保護オブジェクト識別子204は、Applicationsテーブル104における汎用パーミッションセットを識別する状態情報を含み、プリンシパル識別子208は、AAUserGroupsデータ構造112におけるユーザグループのうちの1つを識別する状態情報を含み、ビットマスク212は、同じエントリのプリンシパル識別子208によって識別されるユーザグループが、アプリケーションプログラム26および/または任意のサブプロダクト34内で実行することが許可される1つまたは複数の特権動作を識別する。
システム管理者が新たなユーザを作成したいと望む場合、ステップ510に示すように、システム管理者は、入出力装置20とモニタ18に表示されるグラフィカルユーザインタフェース(図示せず)とを使用して、新たなユーザの名前およびパスワードを入力し、その新たなユーザをユーザグループのうちの少なくとも1つに割当てる。そして、ステップ512に示すように、A&Aモジュール30は、システム管理者によって入力される情報を使用して、AAUserデータ構造108に、新たなユーザが属するAAUserGroupsデータ構造のユーザグループを指す状態情報を含む新たなエントリを作成する。このため、ステップ514に示すように、新たなユーザがシステム10にログオンすると、A&Aモジュール30は、AAUsersデータ構造108において新たなユーザの名前を見出し、AAUserGroupsデータ構造112から新たなユーザが属する対応するユーザグループを見出す。そして、ステップ516に示すように、A&Aモジュールは、ACL116をチェックすることにより、ACL116において新たなユーザが属するユーザグループに割当てられている特権動作に基づいて、新たなユーザが実行することが許可されている特権動作を確定する。
図7は、本発明の別の実施形態において実行されるステップの簡易フローチャート600である。A&Aモジュール30は、最初にロードされると、ステップ602に示すように、複数のユーザグループを作成し、それらユーザグループをAAUserGroupsデータ構造108に格納する。さらに、ステップ604に示すように、A&Aモジュール30は、複数のデフォルトユーザを作成し、デフォルトユーザをAAUserデータ構造108に格納し、各デフォルトユーザをユーザグループのうちの1つに割当てることにより、各デフォルトユーザに、割当てられたユーザグループに対応する特権のすべてを割当てる。さらに、ステップ606に示すように、A&Aモジュール30は、汎用パーミッションセットをデータベース22に登録し、汎用パーミッションセットを識別する状態情報をApplicationsデータ構造104に格納する。汎用パーミッションセットは、アプリケーションプログラム26のコア機能のみに適用され、単一オブジェクトに対するアクセスを必要とする特権動作を含む。
その後、ステップ608に示すように、少なくとも1つのサブプロダクト34は、A&Aモジュール30を利用してサブプロダクト34に特定のパーミッションセットをデータベース22に登録し、A&Aモジュール30は、サブプロダクトパーミッションセットを識別する状態情報をApplicationsデータ構造104に格納する。サブプロダクトパーミッションセットは、サブプロダクト34のみに適用され複数のオブジェクトに対するアクセスを必要とする、特権動作を含む。
そして、ステップ610に示すように、システム管理者は、入出力装置20とモニタ18に表示されるグラフィカルユーザインタフェース(図示せず)とを使用することによりACLデータ構造116をポピュレートする。ステップ612に示すように、システム管理者は、汎用パーミッションセットからの少なくとも1つの特権動作をユーザグループの各々に割当てる情報を入力する。ステップ614に示すように、A&Aモジュール30は、この情報を使用して、ACL116に、各ユーザグループの少なくとも1つの特権動作メンバが実行することが許可されることを識別する、複数のエントリを作成する。
サブプロダクト関連の特権を割当てるために、ステップ616に示すように、システム管理者は、新たなプリンシパル、すなわち1人または複数のユーザを、新たなプリンシパルの名前およびパスワードを入力することにより作成し、その新たなプリンシパルをユーザグループのうちの少なくとも1つに割当てる。次に、ステップ618に示すように、システム管理者は、サブプロダクトパーミッションセットからの少なくとも1つの特権動作を新たなプリンシパルに割当てる。そして、ステップ620に示すように、A&Aモジュール30は、システム管理者による情報入力を使用して、AAUserデータ構造108に、新たなプリンシパルを識別し新たなプリンシパルが属するAAUserGroupsデータ構造のユーザグループを指す状態情報を含む新たなエントリを作成する。さらに、ステップ622に示すように、A&Aモジュール30は、ACL116に、サブプロダクトパーミッションセットが保護されたオブジェクトとしてモデル化される新たなエントリを作成する。このため、保護オブジェクト識別子204は、サブプロダクトパーミッションセットを識別する状態情報を含む。さらに、新たなエントリのプリンシパル識別子208とビットマスク212とは、それぞれ、プリンシパルを識別する状態情報と、プリンシパルがサブプロダクトのコンテキストにおいて実行することが許可される特権動作とを含む。このため、ステップ624に示すように、新たなプリンシパルがシステム10にログオンすると、A&Aモジュール30は、ACL116におけるプリンシパルに関連するすべてのエントリを確定し、ACL116に示されるようにプリンシパルが実行を許可されるすべての特権動作を可能にする。これらの特権動作は、プリンシパルがユーザグループのメンバとして実行することが許可されている動作であっても、またはプリンシパルがサブプロダクトのコンテキストで実行することが許可されている動作であってもよい。
代替的に、システム管理者は、AAUserGroupsデータ構造112において少なくとも1つのセキュリティグループを作成するための情報を入力し、サブプロダクトパーミッションセットからの少なくとも1つのサブプロダクト特権動作をセキュリティグループに割当てることができる。そして、A&Aモジュール30は、ACL116にエントリを作成する。そこで、プリンシパル識別子208は、セキュリティグループを識別し、保護オブジェクト識別子204は、サブプロダクトパーミッションセットに対応するApplicationsテーブル104におけるエントリを識別し、ビットマスク212は、少なくとも1つのサブプロダクト特権動作を識別する。そして、システム管理者は、新たなプリンシパルをセキュリティグループに割当てる。新たなエントリは、サブプロダクトパーミッションセットに対応する状態情報と、AAUserデータ構造208におけるエントリと、セキュリティグループが実行することが許可される少なくとも1つの特権動作とを含む。このため、新たなプリンシパルがログオンすると、A&Aモジュール30は、プリンシパルに関連するACL116のすべてのエントリを確定し、プリンシパルが個々に実行することが許可されている特権動作のすべてと、プリンシパルが属するセキュリティグループがACL116に示すように実行することが許可されている特権動作のすべてとを可能にする。
このように、各エントリの保護オブジェクト識別子204は、Applicationsテーブル104におけるパーミッションセットを識別する状態情報を含み、プリンシパル識別子208は、AAUserGroupsデータ構造112におけるユーザグループのうちの1つを識別する状態情報を含み、ビットマスク212は、同じエントリのプリンシパル識別子208によって識別されるユーザグループが、アプリケーションプログラム26および/または任意のサブプロダクト34内で実行することが許可される1つまたは複数の特権動作を識別する。
例示的な実施形態の上記説明は、本質的に単に例示的であり、そのため、本発明の実施形態の要旨から逸脱しない変形形態は、本発明の実施形態の範囲内にあるように意図される。かかる変形形態は、本発明の実施形態の精神および範囲から逸脱するものとしてみなされるべきではない。
以下に本発明の実施態様の例を列挙する。
〔実施態様1〕
アプリケーションプログラムにおけるオブジェクトへのアクセスを制御する方法であって、
複数の保護されたオブジェクトに対する権限情報を共通テーブルに格納することを含む方法。
〔実施態様2〕
格納することは、前記複数の保護されたオブジェクトの各々に対し、その保護されたオブジェクトに関してプリンシパルが許可される1つまたは複数の動作を識別する情報を格納することを含む、実施態様1記載の方法。
〔実施態様3〕
格納することは、前記複数の保護されたオブジェクトの各々に対し、その保護されたオブジェクトに関して権限が認可された前記プリンシパルを識別する情報を格納することを含む、実施態様2記載の方法。
〔実施態様4〕
アプリケーションプログラムにおける機能に対するアクセスを制御する方法であって、
前記アプリケーションプログラム内の少なくとも1つのパーミッションセットを登録することであって、該パーミッションセットは、該アプリケーションプログラムの機能カテゴリに関連する複数の特権動作を含む、登録すること、
プリンシパルに対し前記パーミッションセットにおける前記特権動作のうちの少なくとも1つへの権限を認可する情報を受取ること、
前記プリンシパルによって開始されると、前記受取られた情報にしたがって前記特権動作のうちの前記少なくとも1つを実行することと、
を含む方法。
〔実施態様5〕
前記受取られた情報をテーブルに格納することをさらに含む、実施態様4記載の方法。
〔実施態様6〕
前記テーブルは、前記パーミッションセットを識別するための第1のデータフィールドと、前記プリンシパルを識別するための第2のデータフィールドと、前記プリンシパルが許可される前記特権動作のうちの前記少なくとも1つを識別するための第3のデータフィールドと、を含む、実施態様5記載の方法。
〔実施態様7〕
前記特権動作のうちの前記少なくとも1つの実行は、複数のオブジェクトに対するアクセスを必要とする、実施態様4記載の方法。
〔実施態様8〕
前記パーミッションセットは、前記アプリケーションプログラムによってサポートされる実質的にすべての特権動作を含む、実施態様4記載の方法。
〔実施態様9〕
前記パーミッションセットは、前記アプリケーションプログラムのコンポーネントによってサポートされる実質的にすべての特権動作を含む、実施態様4記載の方法。
〔実施態様10〕
前記パーミッションセットは、前記アプリケーションプログラムの複数のアドインコンポーネントによってサポートされる実質的にすべての特権動作を含む、実施態様4記載の方法。
〔実施態様1〕
アプリケーションプログラムにおけるオブジェクトへのアクセスを制御する方法であって、
複数の保護されたオブジェクトに対する権限情報を共通テーブルに格納することを含む方法。
〔実施態様2〕
格納することは、前記複数の保護されたオブジェクトの各々に対し、その保護されたオブジェクトに関してプリンシパルが許可される1つまたは複数の動作を識別する情報を格納することを含む、実施態様1記載の方法。
〔実施態様3〕
格納することは、前記複数の保護されたオブジェクトの各々に対し、その保護されたオブジェクトに関して権限が認可された前記プリンシパルを識別する情報を格納することを含む、実施態様2記載の方法。
〔実施態様4〕
アプリケーションプログラムにおける機能に対するアクセスを制御する方法であって、
前記アプリケーションプログラム内の少なくとも1つのパーミッションセットを登録することであって、該パーミッションセットは、該アプリケーションプログラムの機能カテゴリに関連する複数の特権動作を含む、登録すること、
プリンシパルに対し前記パーミッションセットにおける前記特権動作のうちの少なくとも1つへの権限を認可する情報を受取ること、
前記プリンシパルによって開始されると、前記受取られた情報にしたがって前記特権動作のうちの前記少なくとも1つを実行することと、
を含む方法。
〔実施態様5〕
前記受取られた情報をテーブルに格納することをさらに含む、実施態様4記載の方法。
〔実施態様6〕
前記テーブルは、前記パーミッションセットを識別するための第1のデータフィールドと、前記プリンシパルを識別するための第2のデータフィールドと、前記プリンシパルが許可される前記特権動作のうちの前記少なくとも1つを識別するための第3のデータフィールドと、を含む、実施態様5記載の方法。
〔実施態様7〕
前記特権動作のうちの前記少なくとも1つの実行は、複数のオブジェクトに対するアクセスを必要とする、実施態様4記載の方法。
〔実施態様8〕
前記パーミッションセットは、前記アプリケーションプログラムによってサポートされる実質的にすべての特権動作を含む、実施態様4記載の方法。
〔実施態様9〕
前記パーミッションセットは、前記アプリケーションプログラムのコンポーネントによってサポートされる実質的にすべての特権動作を含む、実施態様4記載の方法。
〔実施態様10〕
前記パーミッションセットは、前記アプリケーションプログラムの複数のアドインコンポーネントによってサポートされる実質的にすべての特権動作を含む、実施態様4記載の方法。
Claims (10)
- アプリケーションプログラムにおけるオブジェクトへのアクセスを制御する方法であって、
複数の保護されたオブジェクトに対する権限情報を共通テーブルに格納することを含む方法。 - 格納することは、前記複数の保護されたオブジェクトの各々に対し、その保護されたオブジェクトに関してプリンシパルが許可される1つまたは複数の動作を識別する情報を格納することを含む、請求項1記載の方法。
- 格納することは、前記複数の保護されたオブジェクトの各々に対し、その保護されたオブジェクトに関して権限が認可された前記プリンシパルを識別する情報を格納することを含む、請求項2記載の方法。
- アプリケーションプログラムにおける機能に対するアクセスを制御する方法であって、
前記アプリケーションプログラム内の少なくとも1つのパーミッションセットを登録することであって、該パーミッションセットは、該アプリケーションプログラムの機能カテゴリに関連する複数の特権動作を含む、登録すること、
プリンシパルに対し前記パーミッションセットにおける前記特権動作のうちの少なくとも1つへの権限を認可する情報を受取ること、
前記プリンシパルによって開始されると、前記受取られた情報にしたがって前記特権動作のうちの前記少なくとも1つを実行することと、
を含む方法。 - 前記受取られた情報をテーブルに格納することをさらに含む、請求項4記載の方法。
- 前記テーブルは、前記パーミッションセットを識別するための第1のデータフィールドと、前記プリンシパルを識別するための第2のデータフィールドと、前記プリンシパルが許可される前記特権動作のうちの前記少なくとも1つを識別するための第3のデータフィールドと、を含む、請求項5記載の方法。
- 前記特権動作のうちの前記少なくとも1つの実行は、複数のオブジェクトに対するアクセスを必要とする、請求項4記載の方法。
- 前記パーミッションセットは、前記アプリケーションプログラムによってサポートされる実質的にすべての特権動作を含む、請求項4記載の方法。
- 前記パーミッションセットは、前記アプリケーションプログラムのコンポーネントによってサポートされる実質的にすべての特権動作を含む、請求項4記載の方法。
- 前記パーミッションセットは、前記アプリケーションプログラムの複数のアドインコンポーネントによってサポートされる実質的にすべての特権動作を含む、請求項4記載の方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/286,720 US20040088563A1 (en) | 2002-11-01 | 2002-11-01 | Computer access authorization |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004158007A true JP2004158007A (ja) | 2004-06-03 |
Family
ID=32175542
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003366526A Withdrawn JP2004158007A (ja) | 2002-11-01 | 2003-10-27 | コンピュータアクセス権限 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20040088563A1 (ja) |
| JP (1) | JP2004158007A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8046163B2 (en) * | 2005-07-27 | 2011-10-25 | The United States Of America As Represented By The Secretary Of The Navy | Interactive pedestrian routing method |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7480798B2 (en) * | 2003-06-05 | 2009-01-20 | International Business Machines Corporation | System and method for representing multiple security groups as a single data object |
| US7299493B1 (en) * | 2003-09-30 | 2007-11-20 | Novell, Inc. | Techniques for dynamically establishing and managing authentication and trust relationships |
| JP4311637B2 (ja) | 2003-10-30 | 2009-08-12 | 株式会社日立製作所 | 記憶制御装置 |
| US7647256B2 (en) * | 2004-01-29 | 2010-01-12 | Novell, Inc. | Techniques for establishing and managing a distributed credential store |
| US7774827B2 (en) * | 2005-06-06 | 2010-08-10 | Novell, Inc. | Techniques for providing role-based security with instance-level granularity |
| US7603708B2 (en) * | 2005-07-13 | 2009-10-13 | Microsoft Corporation | Securing network services using network action control lists |
| CN100388740C (zh) * | 2005-07-29 | 2008-05-14 | 华为技术有限公司 | 一种数据业务***及接入控制方法 |
| US20070039045A1 (en) * | 2005-08-11 | 2007-02-15 | Microsoft Corporation | Dual layered access control list |
| US8887241B2 (en) * | 2006-02-22 | 2014-11-11 | International Business Machines Corporation | Virtual roles |
| US8327456B2 (en) * | 2007-04-13 | 2012-12-04 | Microsoft Corporation | Multiple entity authorization model |
| US8302201B1 (en) * | 2007-09-28 | 2012-10-30 | Emc Corporation | Security and licensing with application aware storage |
| US20090204521A1 (en) * | 2007-12-13 | 2009-08-13 | De Sena Francis E | Method of and system for web-based managing and reporting mortgage transactions |
| US8769704B2 (en) * | 2010-09-10 | 2014-07-01 | Salesforce.Com, Inc. | Method and system for managing and monitoring of a multi-tenant system |
| US8763080B2 (en) | 2011-06-07 | 2014-06-24 | Blackberry Limited | Method and devices for managing permission requests to allow access to a computing resource |
| US8650550B2 (en) | 2011-06-07 | 2014-02-11 | Blackberry Limited | Methods and devices for controlling access to computing resources |
| US9053337B2 (en) | 2011-06-07 | 2015-06-09 | Blackberry Limited | Methods and devices for controlling access to a computing resource by applications executable on a computing device |
| US11973758B2 (en) * | 2016-09-14 | 2024-04-30 | Microsoft Technology Licensing, Llc | Self-serve appliances for cloud services platform |
| CN106527665A (zh) * | 2016-11-11 | 2017-03-22 | 深圳天珑无线科技有限公司 | 一种功耗控制的方法及装置 |
| US11968214B2 (en) * | 2020-03-16 | 2024-04-23 | Microsoft Technology Licensing, Llc | Efficient retrieval and rendering of access-controlled computer resources |
| US11593356B2 (en) | 2020-09-11 | 2023-02-28 | ForgeRock, Inc. | Never stale caching of effective properties |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5941947A (en) * | 1995-08-18 | 1999-08-24 | Microsoft Corporation | System and method for controlling access to data entities in a computer network |
| US5638448A (en) * | 1995-10-24 | 1997-06-10 | Nguyen; Minhtam C. | Network with secure communications sessions |
| EP0880840A4 (en) * | 1996-01-11 | 2002-10-23 | Mrj Inc | DEVICE FOR CONTROLLING ACCESS AND DISTRIBUTION OF DIGITAL PROPERTY |
| US5924094A (en) * | 1996-11-01 | 1999-07-13 | Current Network Technologies Corporation | Independent distributed database system |
| US6272631B1 (en) * | 1997-06-30 | 2001-08-07 | Microsoft Corporation | Protected storage of core data secrets |
| US6014666A (en) * | 1997-10-28 | 2000-01-11 | Microsoft Corporation | Declarative and programmatic access control of component-based server applications using roles |
| US6339826B2 (en) * | 1998-05-05 | 2002-01-15 | International Business Machines Corp. | Client-server system for maintaining a user desktop consistent with server application user access permissions |
| US6658571B1 (en) * | 1999-02-09 | 2003-12-02 | Secure Computing Corporation | Security framework for dynamically wrapping software applications executing in a computing system |
| US6820204B1 (en) * | 1999-03-31 | 2004-11-16 | Nimesh Desai | System and method for selective information exchange |
| US6704873B1 (en) * | 1999-07-30 | 2004-03-09 | Accenture Llp | Secure gateway interconnection in an e-commerce based environment |
| US6523027B1 (en) * | 1999-07-30 | 2003-02-18 | Accenture Llp | Interfacing servers in a Java based e-commerce architecture |
| US7100195B1 (en) * | 1999-07-30 | 2006-08-29 | Accenture Llp | Managing user information on an e-commerce system |
| US6289382B1 (en) * | 1999-08-31 | 2001-09-11 | Andersen Consulting, Llp | System, method and article of manufacture for a globally addressable interface in a communication services patterns environment |
| US6785713B1 (en) * | 2000-05-08 | 2004-08-31 | Citrix Systems, Inc. | Method and apparatus for communicating among a network of servers utilizing a transport mechanism |
| US7089584B1 (en) * | 2000-05-24 | 2006-08-08 | Sun Microsystems, Inc. | Security architecture for integration of enterprise information system with J2EE platform |
| US7185192B1 (en) * | 2000-07-07 | 2007-02-27 | Emc Corporation | Methods and apparatus for controlling access to a resource |
| US6910128B1 (en) * | 2000-11-21 | 2005-06-21 | International Business Machines Corporation | Method and computer program product for processing signed applets |
-
2002
- 2002-11-01 US US10/286,720 patent/US20040088563A1/en not_active Abandoned
-
2003
- 2003-10-27 JP JP2003366526A patent/JP2004158007A/ja not_active Withdrawn
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8046163B2 (en) * | 2005-07-27 | 2011-10-25 | The United States Of America As Represented By The Secretary Of The Navy | Interactive pedestrian routing method |
Also Published As
| Publication number | Publication date |
|---|---|
| US20040088563A1 (en) | 2004-05-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2004158007A (ja) | コンピュータアクセス権限 | |
| US8458337B2 (en) | Methods and apparatus for scoped role-based access control | |
| US7546640B2 (en) | Fine-grained authorization by authorization table associated with a resource | |
| US7930760B2 (en) | Centralized enforcement of name-based computer system security rules | |
| CN102938039B (zh) | 针对应用的选择性文件访问 | |
| US7568217B1 (en) | Method and apparatus for using a role based access control system on a network | |
| JP4907603B2 (ja) | アクセス制御システムおよびアクセス制御方法 | |
| US7380267B2 (en) | Policy setting support tool | |
| CN109889517B (zh) | 数据处理方法、权限数据集创建方法、装置及电子设备 | |
| US7237119B2 (en) | Method, system and computer program for managing user authorization levels | |
| JP4892179B2 (ja) | データ項目のためのゾーンベースのセキュリティ管理 | |
| US8166472B2 (en) | Installation utility system and method | |
| US6678682B1 (en) | Method, system, and software for enterprise access management control | |
| US20070056026A1 (en) | Role-based access control management for multiple heterogeneous application components | |
| US20070022091A1 (en) | Access based file system directory enumeration | |
| CN108351769B (zh) | 作为远程计算服务的仪表板 | |
| JP2005078626A (ja) | ホスティングするリソースの管理の委託 | |
| US20120151552A1 (en) | Domain-based isolation and access control on dynamic objects | |
| CN105373714B (zh) | 一种用户权限控制方法和装置 | |
| CN111062028A (zh) | 权限管理方法及装置、存储介质、电子设备 | |
| CN111651738A (zh) | 基于前后端分离架构的细粒度角色权限统一管理方法及电子装置 | |
| WO2009106176A1 (en) | Dynamic creation of privileges to secure system services | |
| WO2011057876A1 (en) | Network system security management | |
| JP4093811B2 (ja) | ユーザアクセス権制御装置及び方法 | |
| CN106796644B (zh) | 访问控制***及访问控制方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20070109 |