JP4932291B2 - アクセス権制御システム - Google Patents
アクセス権制御システム Download PDFInfo
- Publication number
- JP4932291B2 JP4932291B2 JP2006078396A JP2006078396A JP4932291B2 JP 4932291 B2 JP4932291 B2 JP 4932291B2 JP 2006078396 A JP2006078396 A JP 2006078396A JP 2006078396 A JP2006078396 A JP 2006078396A JP 4932291 B2 JP4932291 B2 JP 4932291B2
- Authority
- JP
- Japan
- Prior art keywords
- group
- organization
- hierarchy
- access
- directory service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 230000008520 organization Effects 0.000 claims description 102
- 238000004891 communication Methods 0.000 claims description 2
- 238000013461 design Methods 0.000 description 59
- 238000000034 method Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 9
- 238000012545 processing Methods 0.000 description 5
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000007115 recruitment Effects 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
この問題を解決する手段として、ユーザ情報やネットワーク上にある資源を一元管理するディレクトリサービスが普及しつつある。また、ディレクトリサービスにアクセスするプロトコルもLDAP(Lightweight Directory Access Protocol)という規格になっている。
図14は、ACLの設定例である。ディレクトリサービス1401には、Aグループ1402とBグループ1405とを登録している。Aグループ1402には、Cユーザ1403とDユーザ1404を追加しており、Bグループ1405には、Eユーザ1406とFユーザ1407を追加している。このとき、フォルダ1408にはAグループに対して、「読み込み」のアクセス権を指定している。これにより、フォルダ1408を参照できるユーザをCユーザ1403とDユーザ1404のみに制限できる(例えば、特許文献1参照)。
図1は企業の組織階層の例である。図1に示すように、組織階層の最上位に会社101があり、その組織には社長111が所属している。会社101の下には、設計部102と営業部105があり、それぞれの組織には、A部長112とB部長117が所属している。さらに設計部102の下には、設計部第1グループ103と設計部第2グループ104があり、それぞれの組織には、C課長113、D社員114と、E課長115、F社員116が所属している。
企業では、人事異動や組織改変、退職や新人の採用等によって、組織に所属するユーザの情報や組織階層が頻繁に変更される。そのため、組織の変更に同期してファイルやフォルダに設定したACLを変更する必要がある。図3の例では、設計部の部長が異動した場合、ACLを変更する必要がある。
ディレクトリサービスデータベースを備えたディレクトリサーバと、LDAPを用いて前記ディレクトリサーバと通信する管理サーバとを備えたアクセス権制御システムであって、
前記管理サーバが、
下位組織が上位組織に所属する階層として構成される組織階層に含まれる最下層の組織ごとに、上位組織に対応するグループが下位組織に対応するグループに所属する階層として構成されるグループ階層を作成し、当該グループ階層を前記ディレクトリサーバのディレクトリサービスデータベースに登録するグループ階層登録手段と、
フォルダおよび/またはファイルに対する前記グループ階層に含まれる各グループのアクセス権を指定するアクセスコントロールリストを設定するアクセスコントロールリスト設定手段と、
前記ディレクトリサーバのディレクトリサービスデータベースに登録されているグループ階層と、前記アクセスコントロールリスト設定手段によって設定されたアクセスコントロールリストとに基づいて前記フォルダおよび/またはファイルへのアクセス権を制御するアクセス権制御手段と、
を備えることを特徴とする。
図4は、本発明の実施形態の一例を示すシステム構成図である。図4に示すように、このアクセス権制御システム400は、ディレクトリサービスデータベース(ディレクトリサービスDB)405を備えたディレクトリサーバ403と、このディレクトリサーバ403に対してアクセスする管理サーバ401を備えている。
また、ディレクトリサーバ403は、ディレクトリサービス部404を備えている。
図5に示すように、組織階層定義画面501は、組織階層を表示するツリービュー502と、組織階層で選択している組織505に属するユーザとグループを表示するリストビュー503とを備えている。リストビュー503の表示内容は、ツリービュー502で選択している組織に応じて変わる。図5の例では、ツリービュー502で設計部504を選択しているため、リストビュー503には、設計部504の下位組織である設計部第1グループ506と、設計部504に所属しているA部長507とを表示している。
図6に示すように、組織階層定義画面601では、会社602の下位組織として、設計部603が定義されている。さらに、設計部603には下位組織として、設計部第1グループ604が定義されている。
グループ607に含まれるグループとして、設計部608を定義し、さらに、会社609を設計部608に含まれるグループとして定義する。これにより、上位組織が下位組織に含まれるグループ階層となるため、下位組織を表すグループのACLを設定するだけで、上位組織に属するユーザもアクセス可能となる。
図7と図8に示した例では設計部第2グループのmember属性に、設計部に対応するグループを追加することになる。
つづいて最上位の組織、つまり会社(803および806)をツリービューに表示する(ステップ1002)。会社(803および806)の下位の組織を表示する処理(ステップ1003)は、図11に示すフローチャートに示す再帰的な処理となる。
以降の処理は、memberOf属性のグループ数を繰り返す(ステップ1103)。
まず、memberOf属性のグループを対象となるグループの下位組織として表示する(ステップ1104)。図8の例では、設計部(802および805)を会社(803および806)の下位組織として表示する。
つまり、設計部(802および805)のmemberOf属性を取得する(ステップ1101)。
設計部(802および805)は設計部第1グループ801および設計部第2グループ804に所属しているため、次のステップへ進む。
さらに、設計部第1グループ801および設計部第2グループ804を対象グループとして、再帰的に処理を繰り返すが、それぞれのグループはどのグループにも所属していない、つまり、memberOf属性がないため、表示処理は終了する。
以上のステップにより、ディレクトリサービスに格納されたグループ階層から組織階層をツリー表示する。
図12には、図1に示した組織階層とは逆向きのグループ階層が構成されている。例えば、設計部(1202および1205)は、設計部第1グループ1201と設計部第2グループ1204に所属するグループになっている。また、会社(1203、1206および1208)は、設計部(1202および1205)と営業部1207の所属するグループになっている。
(1)GUIを用いて組織階層を定義することで、組織階層と逆向きのグループ階層をディレクトリサービスデータベースに登録することができる。
(2)前項(1)で登録したグループをファイルやフォルダのACLに設定することで、上位組織に属するユーザを自動的にアクセス可能とすることができる。また、組織改変時には、ディレクトリサービス側でグループに所属するユーザを変更するだけで良く、ファイルやフォルダのACLを再設定する必要はない。
102,212,504,603,608,704,802,805,1202,1205
設計部
103,222,506,604,607,801,1201 設計部第1グループ
104,223,804,1204 設計部第2グループ
105,213,702,1207 営業部
111,211 社長
112,221,507 A部長
113,231 C課長
114,232 D社員
115,233 E課長
116,234 F社員
224 B部長
301,1301 フォルダ
302,303,304,1302 アクセス権(読み込み)
400 アクセス権制御システム
401 管理サーバ
402 組織階層定義部
403 ディレクトリサーバ
404 ディレクトリサービス部
405 ディレクトリサービスデータベース(ディレクトリサービスDB)
411 組織階層定義画面表示部
412 GUI入力部
413 ディレクトリサービス登録部
501,601,701 組織階層定義画面
502 ツリービュー
503,703 リストビュー
505 組織
606 ディレクトリサービス
Claims (3)
- ディレクトリサービスデータベースを備えたディレクトリサーバと、LDAPを用いて前記ディレクトリサーバと通信する管理サーバとを備えたアクセス権制御システムであって、
前記管理サーバが、
下位組織が上位組織に所属する階層として構成される組織階層に含まれる最下層の組織ごとに、上位組織に対応するグループが下位組織に対応するグループに所属する階層として構成されるグループ階層を作成し、当該グループ階層を前記ディレクトリサーバのディレクトリサービスデータベースに登録するグループ階層登録手段と、
フォルダおよび/またはファイルに対する前記グループ階層に含まれる各グループのアクセス権を指定するアクセスコントロールリストを設定するアクセスコントロールリスト設定手段と、
前記ディレクトリサーバのディレクトリサービスデータベースに登録されているグループ階層と、前記アクセスコントロールリスト設定手段によって設定されたアクセスコントロールリストとに基づいて前記フォルダおよび/またはファイルへのアクセス権を制御するアクセス権制御手段と、
を備えることを特徴とするアクセス権制御システム。 - 前記グループ階層登録手段が、上位組織に対応するグループを下位組織に対応するグループのmember属性に追加することによって前記グループ階層を作成することを特徴とする請求項1に記載のアクセス権制御システム。
- 前記ディレクトリサーバのディレクトリサービスデータベースに登録されている各グループ階層に含まれる最下位のグループを取得して当該最下位のグループに対応する最上位の組織を表示し、表示したグループにmemberOF属性がなくなるまで、表示したグループのmemberOF属性が示す下位組織を当該表示したグループの下位組織として追加して表示することを繰り返すことによって、前記組織階層をツリー表示するツリー表示手段を備えることを特徴とする請求項1または2に記載のアクセス権制御システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006078396A JP4932291B2 (ja) | 2006-03-22 | 2006-03-22 | アクセス権制御システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006078396A JP4932291B2 (ja) | 2006-03-22 | 2006-03-22 | アクセス権制御システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007257127A JP2007257127A (ja) | 2007-10-04 |
JP4932291B2 true JP4932291B2 (ja) | 2012-05-16 |
Family
ID=38631344
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006078396A Expired - Fee Related JP4932291B2 (ja) | 2006-03-22 | 2006-03-22 | アクセス権制御システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4932291B2 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4865507B2 (ja) * | 2006-11-01 | 2012-02-01 | 株式会社日立ソリューションズ | 管理権限設定システム |
JP6205675B2 (ja) * | 2014-12-10 | 2017-10-04 | 高崎 将紘 | 労務財産情報管理装置、方法、及びコンピュータプログラム |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000259479A (ja) * | 1999-03-08 | 2000-09-22 | Nec Corp | ディレクトリサービスの実現方法 |
JP2002042147A (ja) * | 2000-07-21 | 2002-02-08 | Casio Comput Co Ltd | データ管理装置及び記憶媒体 |
JP2003280990A (ja) * | 2002-03-22 | 2003-10-03 | Ricoh Co Ltd | 文書処理装置及び文書を管理するためのコンピュータプログラム |
US7251822B2 (en) * | 2003-10-23 | 2007-07-31 | Microsoft Corporation | System and methods providing enhanced security model |
US20050182726A1 (en) * | 2004-02-17 | 2005-08-18 | Avocent Corporation | Network virtual computing devices and framework |
JP4599919B2 (ja) * | 2004-07-12 | 2010-12-15 | 富士ゼロックス株式会社 | データ管理用コンピュータプログラムならびにデータ管理装置および方法 |
-
2006
- 2006-03-22 JP JP2006078396A patent/JP4932291B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2007257127A (ja) | 2007-10-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10754932B2 (en) | Centralized consent management | |
US8296200B2 (en) | Collaborative financial close portal | |
EP2414955B1 (en) | Extending collaboration capabilities to external data | |
JP5700730B2 (ja) | データベース・アプリケーションの集中制御のための方法、システム、およびコンピュータ・プログラム | |
US8812439B2 (en) | Folder structure and authorization mirroring from enterprise resource planning systems to document management systems | |
US7630974B2 (en) | Multi-language support for enterprise identity and access management | |
US20080235249A1 (en) | Hierarchy global management system and user interface | |
US20110179110A1 (en) | Metadata-configurable systems and methods for network services | |
KR20110076891A (ko) | 엔티티의 조직 정보에의 액세스를 관리하는 기법 | |
US20020062449A1 (en) | System and method for application-level security | |
US20070043716A1 (en) | Methods, systems and computer program products for changing objects in a directory system | |
AU2002216658A1 (en) | System and method for application-level security | |
US9137253B2 (en) | Visually representing and managing access control of resources | |
US7890394B2 (en) | Secure access to transaction based information | |
JP2008210376A (ja) | 組織階層定義システム、グループ階層の構成方法、及び組織階層の表示方法 | |
JP4932291B2 (ja) | アクセス権制御システム | |
JP2008052337A (ja) | デジタルデータファイル多属性評価分類操作管理プログラム | |
JP4865507B2 (ja) | 管理権限設定システム | |
US12001421B2 (en) | Issue tracking systems and methods for a configurable project hierarchy | |
JP2009110241A (ja) | 電子ファイル管理装置 | |
US20130339261A1 (en) | Computer product, information providing method, and information providing apparatus | |
WO2013171968A1 (ja) | 上映管理装置および上映管理方法 | |
Duarte et al. | Security Overview | |
JP2015230492A (ja) | 権限管理システム | |
Majekodunmi et al. | Administering Users in ProcessMaker |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080627 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110412 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110610 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120214 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120215 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150224 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |