JP2013235338A - ストレージサービスシステム - Google Patents
ストレージサービスシステム Download PDFInfo
- Publication number
- JP2013235338A JP2013235338A JP2012106075A JP2012106075A JP2013235338A JP 2013235338 A JP2013235338 A JP 2013235338A JP 2012106075 A JP2012106075 A JP 2012106075A JP 2012106075 A JP2012106075 A JP 2012106075A JP 2013235338 A JP2013235338 A JP 2013235338A
- Authority
- JP
- Japan
- Prior art keywords
- account
- access
- client device
- storage
- setting
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【課題】アカウントの管理が容易なストレージサービスシステムを提供する。
【解決手段】ライセンスコントローラ120は、各アカウントのアクセス権の設定が記憶される認証情報データベース121を有し、ストレージシステム110に外部のクライアントデバイス200からアクセスの開始を示す信号を受信し、前記信号に含まれる認証情報を確認して、有効なアカウントのアクセスであることを確認し、前記信号に含まれるデバイスIDを確認して、確認されたアカウントの有効なクライアントデバイスのアクセスであることを確認することにより、アクセスの正当性を認証する。管理コンソール100は、管理者端末210に、各アカウントのアクセス権の設定を変更するためのインタフェースを提供し、前記インタフェースにより変更を指示された前記アクセス権の設定について、設定の変更を実行する。
【選択図】図2
【解決手段】ライセンスコントローラ120は、各アカウントのアクセス権の設定が記憶される認証情報データベース121を有し、ストレージシステム110に外部のクライアントデバイス200からアクセスの開始を示す信号を受信し、前記信号に含まれる認証情報を確認して、有効なアカウントのアクセスであることを確認し、前記信号に含まれるデバイスIDを確認して、確認されたアカウントの有効なクライアントデバイスのアクセスであることを確認することにより、アクセスの正当性を認証する。管理コンソール100は、管理者端末210に、各アカウントのアクセス権の設定を変更するためのインタフェースを提供し、前記インタフェースにより変更を指示された前記アクセス権の設定について、設定の変更を実行する。
【選択図】図2
Description
本発明は、ストレージサービスシステムに関し、特に、ストレージシステムのアカウント管理技術に関する。
複数台のコンピュータからなるコンピュータシステムを、ストレージシステムとして機能させる技術が従来知られている。ストレージシステムにおいては、利用するユーザごと、或いは、利用するグループごとにアカウントを持ち、各アカウントに利用可能なディスク領域の大きさ(クォータ)が割り当てられている場合がある。
近時、ストレージシステムの機能を多機能化させる技術が開発されつつあり、そのような多機能化したストレージシステムにおいては、単なるファイルサーバの管理のように、アカウントの有効/無効を切り替えたり、クォータ容量を増減させたりするだけの管理では、充分でなく、また適切でもない。
従来のアカウント管理技術の例としては、例えば、特許文献1のような技術がある。特許文献1では、あるアカウントのコンピュータリソースや情報へのアクセス権(許可権限)、ログ取得の是非、アカウントの有効期限などの情報をまとめて、「ポリシー」と呼び、アカウントと対応付けている。
また、特許文献2には、クライアント端末からの認証データ発行要求の正当性を確認するために、GPS(Global Positioning System)を搭載した端末を利用することが記載されている。
しかしながら、特許文献1、2に記載の従来技術では、アカウント数が膨大に増加した場合に管理者の負担が増大するという問題がある。多機能化されたストレージシステムにおいては、アカウント数が膨大に増加した場合であっても可用性が低下しない、スケーラビリティが確保されているストレージシステムが望まれる。
本発明は、上記実情に鑑みてなされたものであって、アカウントの管理が容易なストレージサービスシステムを提供することを目的とする。
上記目的を達成するために本発明は、Webサービスとして利用可能に提供されるストレージシステムと、前記ストレージシステムを利用する各アカウントのアクセス権を制御するライセンスコントローラと、前記各アカウントのアクセス権の設定を変更する管理コンソールと、を含むストレージサービスシステムであって、前記ライセンスコントローラは、前記各アカウントのアクセス権の設定が記憶される認証情報データベースと、前記ストレージシステムに外部のクライアントデバイスからアクセスの開始を示す信号を受信するログイン受付部と、前記信号に含まれる認証情報を確認して、有効なアカウントのアクセスであることを確認するアカウント確認部と、前記信号に含まれるデバイス識別子を確認して、確認されたアカウントの有効なクライアントデバイスのアクセスであることを確認するデバイスID確認部と、を有し、アクセスの正当性を認証し、前記管理コンソールは、前記管理コンソールに接続した管理者端末に、前記各アカウントのアクセス権の設定を変更するためのインタフェースを提供するインタフェース提供手段と、前記インタフェースにより変更を指示された前記アクセス権の設定について、設定の変更を実行する実行手段と、を有することを特徴とするストレージサービスシステムを提供する。
本発明によれば、アカウントの管理が容易なストレージサービスシステムを提供することが可能となる。
以下、本発明を実施するための形態について、添付図面を参照しながら説明する。
[システム構成]
図1を参照すると、本実施形態は、管理コンソール100と、ストレージシステム110と、ライセンスコントローラ120と、を含み、これらの協働により、クライアントデバイス200に提供されるストレージサービス1である。管理コンソール100は、管理者端末210により制御される。
図1を参照すると、本実施形態は、管理コンソール100と、ストレージシステム110と、ライセンスコントローラ120と、を含み、これらの協働により、クライアントデバイス200に提供されるストレージサービス1である。管理コンソール100は、管理者端末210により制御される。
本実施形態に係るストレージシステム110は、ネットワーク全体の中においてはウェブサービスとしてストレージへのアクセスを提供するように構成される。ストレージシステム110は、いわゆる「クラウド」と呼ばれるパブリックなネットワーク(典型的には、例えばインターネット)を含むネットワーク上に置かれる。
クライアントデバイス200は、携帯端末やパーソナルコンピュータを含む種々のものを用いることができる。携帯端末としては、限定するものではないが、米国アップルコンピュータ社が提供するオペレーティングシステム(以下、「OS」)、iOSを搭載する携帯電話端末やパッド型端末、また、米国グーグル社が提供するOS、Android(登録商標)を搭載する携帯端末を用いることができる。
ストレージシステム110は、より詳細には、各クライアントデバイス200上で動作するアプリケーションソフトウェア201と通信する。このアプリケーションソフトウェア201は、各OSに対応する、いわゆるネイティブアプリケーションである。
ストレージシステム110とクライアントデバイス200上のアプリケーションソフトウェア201とのプログラム同士の対話は、RESTベースインターフェイスによって実現される。本実施形態において、RESTベースインターフェイスでは、各ウェブサービスコールが、外部状態情報を参照することなくそのコールを処理するために必要なすべての情報を含む。
また、本実施形態において、RESTベースインターフェイスでは、ウェブサービスが、指定された動作および1以上のクエリパラメータを含むURL(「Uniform Resource Locator」)などのURI(Uniform Resource Identifier))として指定されたウェブサービス呼出し要求に応答して、HTTP(「HyperText Transport Protocol」)を使用するXML(「eXtensible Markup Language」)フォーマットでデータを返す。
図2に、ライセンスコントローラ120の詳細な機能構成を示す。ライセンスコントローラ120は、図2に示すような構成を有し、クライアントデバイス200からストレージサービス1に接続してきたアクセスの正当性を認証する。ライセンスコントローラ120は、認証情報データベース121と、ログイン受付部122と、ユーザIDパスワード確認部123と、デバイスID確認部124と、セッション開始部125とを備える。
認証情報データベース121には、各アカウントのアクセス権の設定が記憶される。ログイン受付部122は、ストレージシステム110に外部のクライアントデバイス200からアクセスの開始を示す信号を受信する機能を備える。具体的には、HTTPないしHTTPSプロトコルによって伝送される信号である。
信号には認証情報が含まれる。認証情報の種類としては、ユーザID、パスワード、デバイスIDを少なくとも含むことが好ましい。また、好ましくは、ログインし接続しようとしているユーザアカウントが所属する所属先(企業)のID(企業ID)も含むことが好ましい。
ユーザIDパスワード確認部123は、信号に含まれる認証情報を確認して、認証情報データベース121を参照し、有効なアカウントのアクセスであることを確認する。デバイスID確認部124は、信号に含まれるデバイスIDを確認して、認証情報データベース121を参照し、確認されたアカウントの有効なクライアントデバイスのアクセスであることを確認する。
ここで、デバイスIDとは、クライアントデバイス200を特定・識別するためのデバイス識別子である。デバイスIDは、クライアントデバイス200で動くアプリケーションソフトウェア201によって生成される。生成のタイミングは、例えば、アプリケーションソフトウェア201のインストール時や、ユーザが望んだ任意のタイミング(デバイスID再設定)である。デバイスIDは、ストレージサービス1においてユニークな値となるように、例えば、生成時刻やMACアドレスやCPU固有の値などに基づいて生成される。
さらに、デバイスIDには、クライアントデバイス200の種類を識別可能な文字列を含むとよい。クライアントデバイス200には、前述のように、携帯端末やパーソナルコンピュータを含む種々のものを用いることができるが、例えば、特定の会社の携帯電話端末であれば、デバイスIDの文字列の冒頭4文字を「0001」など、その特定の会社の携帯電話端末であることが人間にとっても識別可能な文字列にする。この工夫によれば、システム設計の手間が省けるというメリットがある。
セッション開始部125は、ユーザIDパスワード確認部123により有効なアカウントであることが確認され、デバイスID確認部124により有効なデバイスであることが確認されたログイン要求にのみ、ストレージシステム110を利用させる通信を継続する処理を行う。
アカウントの有効/無効、デバイスの有効/無効は、管理コンソール100により設定可能である。以下、管理コンソール100による認証情報の設定処理について説明する。
図3に、管理コンソール100の詳細な機能構成を示す。管理コンソール100は、ストレージサービス1の利用者ないし利用グループのアカウントを管理するためのアカウント管理サーバである。以下では、説明の便宜のため、利用者ないし利用グループを同等のものとして「アカウント」と呼ぶ。管理コンソール100は、ライセンスコントローラ120に記憶される設定を変更して、各アカウントによるストレージシステム110へのアクセスの許可/不許可を制御することによって、アカウント管理を行う。
図3に示すように、管理コンソール100は、ユーザインタフェース提供手段101と管理操作実行手段102を備える。ユーザインタフェース提供手段101は、管理者端末201に、ユーザインタフェースを提供するものである。限定するものではないが、ウェブサーバソフトウェアなどにより実現可能な手段である。管理者端末210からのパラメータの入力も入力フォーム等によって受け付ける。
ユーザインタフェース提供手段101に入力されたパラメータに応じた管理操作を、管理操作実行手段102が実行する。例えば、入力パラメータが示す内容が、ストレージ容量の割り当ての増加であるとすると、管理操作実行手段102は、ストレージシステム110に所定のコマンドを送信し、ストレージ容量の増加を行う。また、ライセンス数の増加であるとすると、管理操作実行手段102は、ライセンスコントローラ120に所定のコマンドを送信し、ライセンスを増やす(アカウントを作成する)と同時に、ストレージシステム110にも所定のコマンドを送信し、作成したアカウントに対応する階層的な位置に記憶領域を作成する。
各アカウントごとのアクセス権の設定は、ライセンスコントローラ120に記憶されている(認証情報データベース121)。管理操作実行手段102は、記憶されている設定を書き換えることで管理操作を実行してもよい。
また、本実施形態においては、上述のアクセス権は、ストレージシステム110の利用権(ライセンス)、利用可能な容量(ストレージ容量)、付加機能の利用権の内、少なくとも1つ以上であることが好ましい。付加機能の利用権とは、各アカウントに付加的に提供される各種機能を利用する権利である。付加機能の例としては、ストレージサービス1と連動したカメラ機能、カレンダー機能、共有フォルダ機能などがある。
図4に、図3のユーザインタフェース提供手段101により管理者端末210に提供されるユーザインタフェースの例を示す。図4に示す例では、具体的には、ユーザインタフェースはウェブページの形態で管理者に提供される。
図4は、管理コンソール100が管理者端末210に表示可能に提供するユーザインタフェースの一例を示すものであり、管理コンソール100を介してライセンスコントローラ120やストレージシステム110を操作するためのユーザインタフェースである。図4に示す例は、ウェブページの形態である。管理コンソール100のユーザインタフェースとなるウェブページは、好ましくは、入力フォームを備え、管理コンソール100にあらかじめ設定されたパラメータや、管理者が望んだ任意のパラメータを入力することができる。
図4において、上段の第1ペインには、ログイン時は管理者IDや管理者名が表示され、ログアウト操作をするためのリンクも表示される。ログアウト操作をするためのリンクをクリックすると、図2のユーザインタフェースからログアウト操作を示すパラメータが管理コンソール100に入力され、管理コンソール100がログアウト処理を行う。
下段左列の第2ペインには、ログインしている管理者が管理を許可されているアカウントのアクセス権を設定するためのページへのリンクが表示される。図4では、上から順に、「PAL管理」「VAR管理」「企業管理」「部署管理」という「PAL層」「VAR層」「企業層」「部署層」の4層それぞれに対する管理操作が実行可能なページへのリンクが表示されている例が示されている。本例は最上層の「PAL層」の管理者権限を持つ管理者がログインしている例が示されている。
なお、“VAR”は、“Value Added Reseller”の頭文字であり「再販業者」を意味する。
下段右列の第3ペインには、第2ペインで選択した管理対象アカウントに対する管理操作が可能な入力フォーム等が表示される。図4では、「部署管理」を選択した場合における、その部署の詳細設定を行う画面が表示されている。デバイス認証の要否を問う選択肢が用意されており、「要」とした場合は、アカウントがログインする際に有効なデバイスであるか否かを確認するステップが行われる(図2を参照して説明したもの)。また、その部署にログインを許可する最大のデバイス数もこの画面で設定可能である。
図5に、あるアカウントに許可するクライアントデバイス200を追加する画面の表示例を示す。図示のように、アカウントにはアクセスを許可するクライアントデバイス200のデバイスIDが許可されている台数分だけ紐付けられている。管理者により任意のデバイスIDが追加されることによって、アカウントに許可されたデバイスIDが紐付けれ、当該デバイスIDを持ったクライアントデバイス200はストレージサービス1にログインしデータアクセスすることが可能になる。
上述した本実施形態によると、ストレージサービス1を利用する際に、デバイスIDによるデバイス認証を行い、許可されたデバイスIDによるデータアクセスのみ許可することができるようになる。また、本実施形態は、許可するアカウント、許可するクライアントデバイス200については、管理者端末201に対して直感的に操作ができるユーザインタフェースを提供する。したがって、本実施形態によれば、アカウントの管理が容易になる。
1 ストレージサービス
100 管理コンソール
101 ユーザインタフェース提供手段
102 管理操作実行手段
110 ストレージシステム
120 ライセンスコントローラ
121 認証情報データベース
122 ログイン受付部
123 ユーザIDパスワード確認部
124 デバイスID確認部
125 セッション開始部
200 クライアントデバイス
201 アプリケーションソフトウェア
210 管理者端末
100 管理コンソール
101 ユーザインタフェース提供手段
102 管理操作実行手段
110 ストレージシステム
120 ライセンスコントローラ
121 認証情報データベース
122 ログイン受付部
123 ユーザIDパスワード確認部
124 デバイスID確認部
125 セッション開始部
200 クライアントデバイス
201 アプリケーションソフトウェア
210 管理者端末
Claims (4)
- Webサービスとして利用可能に提供されるストレージシステムと、
前記ストレージシステムを利用する各アカウントのアクセス権を制御するライセンスコントローラと、
前記各アカウントのアクセス権の設定を変更する管理コンソールと、を含むストレージサービスシステムであって、
前記ライセンスコントローラは、
前記各アカウントのアクセス権の設定が記憶される認証情報データベースと、
前記ストレージシステムに外部のクライアントデバイスからアクセスの開始を示す信号を受信するログイン受付部と、
前記信号に含まれる認証情報を確認して、有効なアカウントのアクセスであることを確認するアカウント確認部と、
前記信号に含まれるデバイス識別子を確認して、確認されたアカウントの有効なクライアントデバイスのアクセスであることを確認するデバイスID確認部と、
を有し、アクセスの正当性を認証し、
前記管理コンソールは、
前記管理コンソールに接続した管理者端末に、前記各アカウントのアクセス権の設定を変更するためのインタフェースを提供するインタフェース提供手段と、
前記インタフェースにより変更を指示された前記アクセス権の設定について、設定の変更を実行する実行手段と、
を有することを特徴とするストレージサービスシステム。 - 前記インタフェースは、あるアカウントについて、前記ストレージシステムへのアクセスを許可するクライアントデバイスのデバイス識別子を入力する入力フォームを有することを特徴とする請求項1記載のストレージサービスシステム。
- 前記クライアントデバイスは、前記ストレージシステムにアクセスするためのアプリケーションソフトウェアがローカルにインストールされており、前記アプリケーションソフトウェアが前記ストレージサービスシステムにおいてユニークな値をデバイス識別子として生成することを特徴とする請求項1又は2記載のストレージサービスシステム。
- 前記ユニークな値に前記クライアントデバイスの種類を識別可能な文字列を含むことを特徴とする請求項3記載のストレージサービスシステム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012106075A JP2013235338A (ja) | 2012-05-07 | 2012-05-07 | ストレージサービスシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012106075A JP2013235338A (ja) | 2012-05-07 | 2012-05-07 | ストレージサービスシステム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2013235338A true JP2013235338A (ja) | 2013-11-21 |
Family
ID=49761434
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012106075A Pending JP2013235338A (ja) | 2012-05-07 | 2012-05-07 | ストレージサービスシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2013235338A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113037682A (zh) * | 2019-12-09 | 2021-06-25 | 西安诺瓦星云科技股份有限公司 | 加密通信方法、加密通信装置及加密通信*** |
| JP7513584B2 (ja) | 2020-12-18 | 2024-07-09 | キンドリル・インク | 方法、コンピュータプログラム製品、およびシステム(共有認証クレデンシャルの管理) |
-
2012
- 2012-05-07 JP JP2012106075A patent/JP2013235338A/ja active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113037682A (zh) * | 2019-12-09 | 2021-06-25 | 西安诺瓦星云科技股份有限公司 | 加密通信方法、加密通信装置及加密通信*** |
| JP7513584B2 (ja) | 2020-12-18 | 2024-07-09 | キンドリル・インク | 方法、コンピュータプログラム製品、およびシステム(共有認証クレデンシャルの管理) |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109417557B (zh) | 认证访问托管应用的客户端的方法、***和计算机可读介质 | |
| JP6677496B2 (ja) | 認証連携システム及び認証連携方法、認可サーバー、アプリケーションサーバー及びプログラム | |
| JP6662766B2 (ja) | フォームフィルプロキシアプリケーションによるウェブベースシングルサインオン | |
| US9021570B2 (en) | System, control method therefor, service providing apparatus, relay apparatus and computer-readable medium | |
| US9699170B2 (en) | Bundled authorization requests | |
| US10263994B2 (en) | Authorized delegation of permissions | |
| US8627409B2 (en) | Framework for automated dissemination of security metadata for distributed trust establishment | |
| JP5968077B2 (ja) | 情報処理装置、その制御方法、プログラム、及び画像処理装置 | |
| JP5743786B2 (ja) | サーバー装置、情報処理方法及びプログラム | |
| JP6248641B2 (ja) | 情報処理システム及び認証方法 | |
| EP3047626A1 (en) | Multiple resource servers with single, flexible, pluggable oauth server and oauth-protected restful oauth consent management service, and mobile application single sign on oauth service | |
| CN107690792A (zh) | 未经管理的移动设备的单点登录 | |
| JP5988699B2 (ja) | 連携システム、その連携方法、情報処理システム、およびそのプログラム。 | |
| JP2014092823A (ja) | システム及びサービス提供装置 | |
| US8966570B1 (en) | Entity to authorize delegation of permissions | |
| US10205717B1 (en) | Virtual machine logon federation | |
| WO2015042349A1 (en) | Multiple resource servers with single, flexible, pluggable oauth server and oauth-protected restful oauth consent management service, and mobile application single sign on oauth service | |
| JP2014153805A (ja) | 情報処理システム、情報処理装置、認証方法及びプログラム | |
| US9027107B2 (en) | Information processing system, control method thereof, and storage medium thereof | |
| US9350724B2 (en) | Authentication server system for performing control of notifications during service use, control method, and storage medium | |
| JP2013235338A (ja) | ストレージサービスシステム | |
| US10735399B2 (en) | System, service providing apparatus, control method for system, and storage medium | |
| US9565174B2 (en) | Information processing server system, control method, and program | |
| JP2015118459A (ja) | 画像形成装置、情報端末、サーバ装置、データ処理システム、画像形成装置の通信方法、情報端末の通信方法、サーバ装置の通信方法、及びプログラム | |
| JP2013235337A (ja) | ストレージサービスシステム |