JP5409435B2 - アクセス制御連携システム及びアクセス制御連携方法 - Google Patents
アクセス制御連携システム及びアクセス制御連携方法 Download PDFInfo
- Publication number
- JP5409435B2 JP5409435B2 JP2010038243A JP2010038243A JP5409435B2 JP 5409435 B2 JP5409435 B2 JP 5409435B2 JP 2010038243 A JP2010038243 A JP 2010038243A JP 2010038243 A JP2010038243 A JP 2010038243A JP 5409435 B2 JP5409435 B2 JP 5409435B2
- Authority
- JP
- Japan
- Prior art keywords
- authority
- service
- user
- unit
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
異なるシステム間で安全に情報サービスを連携する場合、共通のアカウント及びアクセス権限が必要である。しかし、異なるシステム間でアカウント及びアクセス権限を共通化することは、IDの割り振りが困難であることや、管理保守コストが高いことから現実的ではない。そこで、既に各システムで管理されているユーザのID及びアクセス権限を用いて認証を行い、連携を図るID連携及びアクセス権限制御が必要である。
この発明は、複数のシステム間のアクセス制御を連携させる場合において、あるシステムにおける認証情報の更新に伴う保持情報変更作業の手間を軽減するとともに、更新のタイムラグを小さくすることを目的とする。
第1権限情報に基づきサービスへのアクセス制御を行う第1システムと、前記第1権限情報とは異なる第2権限情報に基づきサービスへのアクセス制御を行う第2システムと、前記第1システムと前記第2システムとを連携させる連携システムとを備えるアクセス制御連携システムであり、
前記第1システムは、
処理装置によりユーザの認証を行うユーザ認証部と、
前記ユーザ認証部が認証したユーザを示すユーザIDと、前記第2システムが提供する所定のサービスを示すサービスIDとを含むサービス要求を前記第2システムへ通信装置を介して送信して、前記ユーザに前記第2システムが提供する前記サービスへのアクセス許可を要求するサービス要求送信部とを備え、
前記連携システムは、
前記第1権限情報と前記第2権限情報との対応関係を示す権限対応情報を記憶装置に記憶する権限対応情報記憶部と、
前記第1システムにおける前記ユーザの権限を示す第1権限情報を前記第1システムから通信装置を介して取得する権限取得部と、
前記権限対応情報記憶部が記憶した権限対応情報から、前記権限取得部が取得した第1権限情報に対応する第2権限情報を処理装置により検索する権限検索部とを備え、
前記第2システムは、
前記権限検索部が検索した第2権限情報に基づき、前記第1システムの前記サービス要求送信部が送信したいサービス要求に含まれるサービスIDが示すサービスへ、前記サービス要求に含まれるユーザIDが示すユーザのアクセスが許可されると判定される場合に、前記ユーザに前記サービスへのアクセスを処理装置により許可するアクセス許可部
を備えることを特徴とする。
なお、以下の説明において、処理装置は後述するCPU911等である。記憶装置は後述するROM913、RAM914、磁気ディスク920あるいはCPU911が有するキャッシュメモリやレジスタ等である。入力装置は後述するキーボード902、通信ボード915等である。通信装置は、後述する通信ボード915等である。つまり、処理装置、記憶装置、入力装置、通信装置はハードウェアである。
図1は、実施の形態1に係るアクセス制御連携システム1の機能ブロック図である。
アクセス制御連携システム1は、サービスを提供する複数のシステム(ここでは、システムA100とシステムB200)と、複数のシステムのアクセス制御を連携させる中央認証機関300(連携システム)とを備える。
サービスを提供する各システムの間、及び、サービスを提供する各システムと中央認証機関300との間は、ネットワークで接続されている。
連携サーバ110,210は、サービスを提供するシステム間の連携を図るためのサーバである。連携サーバ110,210は、サービス要求送信部111,211、ロール送信部112,212(権限要求送信部)を備える。
APPサーバ120,220は、ユーザへサービスを提供するサーバである。APPサーバ120,220は、サービス提供部121,221(アクセス許可部)を備える。
認証サーバ130,230は、ユーザを認証するサーバである。認証サーバ130,230は、ユーザ認証部131,231を備える。
コンテンツテーブル140,240は、APPサーバ120,220がサービスの提供するか否かを決定する基準となる制御情報を記憶した記憶装置である。
ID管理テーブル150,250は、自システムに所属するユーザのユーザIDやロール等を認証情報として記憶した記憶装置である。
連携サーバ310は、サービスを提供するシステム間の連携を図るためのサーバである。連携サーバ310は、ロール取得部311(権限取得部)、ロール転送部312(権限送信部)を備える。
ロール変換サーバ320は、あるシステム(例えば、システムA100)におけるユーザの権限を示すロール(権限情報)を、他のシステム(例えば、システムB200)におけるロールへ変換するサーバである。ロール変換サーバ320は、ロール変換部321(権限検索部)を備える。
ロールマッピングテーブル330は、サービスを提供する各システムにおけるロールの対応関係を権限対応情報として記憶した記憶装置である。
認証情報には、ユーザID、パスワード、名前、住所、ロールが含まれる。
図2(A)に示す認証情報は、システムA100における認証情報であるため、認証情報にはシステムA100に所属するユーザに関する情報のみ記憶されている。また、図2(A)に示す認証情報に含まれるロールは、システムA100におけるアクセス権限を示す第1ロール(第1権限情報)である。
同様に、図2(B)に示す認証情報は、システムB200における認証情報であるため、認証情報にはシステムB200に所属するユーザに関する情報のみ記憶されている。また、図2(B)に示す認証情報に含まれるロールは、システムB200におけるアクセス権限を示す第2ロール(第2権限情報)である。
図3に示す認証情報は、図2に示す認証情報に含まれる情報に加え、公開用IDを含む。公開用IDは、そのシステムに所属するユーザを識別可能なIDであって、他のシステムへ公開するためのIDである。システム内で使用しているユーザIDを他のシステムへ公開したくない場合には認証情報を図3に示すような構成とし、他システムへユーザIDを公開する必要がある場合には、ユーザIDに代えて公開用IDを公開すればよい。
制御情報は、サービスIDとロールとを含み、そのシステムで提供するサービス毎に、そのサービスへのアクセスを許可するロールが記憶される。図4では、コンテンツテーブル240が記憶する制御情報であるため、制御情報は、システムB200が提供するサービスのサービスIDと、システムB200におけるアクセス権限を示す第2ロールとを含む。
例えば、あるサービスへ複数の第2ロールに対してアクセスを許可する場合、そのサービスに対応させてアクセスを許可する第2ロールを全て記憶してもよいし、アクセスを許可する第2ロールのうち最も権限の弱い(最下位の)第2ロールのみを記憶してもよい。なお、アクセスを許可する第2ロールのうち最も権限の弱い第2ロールのみを記憶する場合、権限の強い(上位の)第2ロールは、権限の弱い(下位)の第2ロールがアクセスできるサービスへはアクセスできるものとする。
権限対応情報は、各システム間のロールの対応関係を示す情報である。つまり、システムA100における各第1ロールと、システムB200における各第2ロールとが対応付けられた情報である。
図6に示す権限対応情報は、各システムにおける各ロールと、共通のロールとが対応付けられた情報である。
連携するシステムが多くなった場合、各システム間のロールの対応関係を記憶すると、記憶しなければならない情報量が多くなってしまう。そこで、図6に示すように、共通のロールとの各システムのロールとの間の対応関係を記憶することで、記憶しなければならない情報量を減らすことができる。
図7は、実施の形態1に係るアクセス制御連携システム1の処理の流れを示すフローチャートである。
なお、ここでは、システムA100(第1システム)に所属するユーザが、システムB200(第2システム)が提供するサービスへアクセスする場合を例として説明する。
システムA100に所属するユーザがシステムA100へログインする。例えば、ユーザは、端末からユーザID及びパスワードを入力して、システムA100へログインする。
すると、認証サーバ130のユーザ認証部131は、ID管理テーブル150に記憶された認証情報と、入力されたユーザID及びパスワードとに基づき、ユーザを処理装置により認証する。
ユーザは、アクセスしたいサービスを指定する。例えば、ユーザは、端末からアクセスしたサービスのサービスIDを入力することで、サービスを指定する。
指定されたサービスがシステムA100で提供するサービスである場合には、APPサーバ120のサービス提供部121が、コンテンツテーブル140に記憶された制御情報に基づき、指定されたサービスへのユーザのアクセスを許可するか否かを処理装置により判定する。そして、アクセスを許可すると判定した場合、サービス提供部121はユーザへサービスを処理装置により提供する。
ここで、指定されたサービスへのユーザのアクセスを許可するか否かを判定する場合、まず、サービス提供部121は、ID管理テーブル150に記憶された認証情報から、そのユーザについての第1ロールを取得する。また、サービス提供部121は、コンテンツテーブル140に記憶された制御情報から、指定されたサービスへのアクセスを許可する第1ロールを取得する。そして、サービス提供部121は、ID管理テーブル150から取得した第1ロールと、コンテンツテーブル140から取得した第1ロールとを比較することで、そのユーザへ指定されたサービスへのアクセスを許可するか否かを判定できる。
なお、ここでは、ユーザは、システムA100が提供するサービスではなく、システムB200が提供するサービスを指定したとする。この場合、サービス提供部121は、ユーザIDと、指定されたサービスを示すサービスIDとを連携サーバ110のサービス要求送信部111へ送信する。
連携サーバ110のサービス要求送信部111は、受信したユーザID及びサービスIDと、システムA100を示すシステムID(A)とを含むサービス要求をシステムB200へ通信装置を介して送信する。これにより、サービス要求送信部111は、送信したサービスIDが示すサービスを送信したユーザIDが示すユーザへ提供することをシステムB200に要求する。
システムB200ではサービス要求を受信すると、連携サーバ210のロール送信部212が、サービス要求に含まれるユーザID及びシステムID(A)と、システムB200を示すシステムID(B)とを含む権限要求を中央認証機関300へ通信装置を介して送信する。これにより、ロール送信部212は、ユーザIDが示すユーザの第2ロールを送信することを中央認証機関300に要求する。
中央認証機関300では権限要求を受信すると、連携サーバ310のロール取得部311が、権限要求に含まれるユーザIDを含む権限要求をシステムA100へ通信装置を介して送信する。この際、送信先のシステムは、権限要求に含まれるシステムID(A)から特定される。これにより、連携サーバ310は、送信したユーザIDが示すユーザのシステムA100における第1ロールを送信することをシステムA100に要求する。
システムA100では権限要求を受信すると、連携サーバ110のロール送信部112が、権限要求に含まれるユーザIDが示すユーザの第1ロールをID管理テーブル150から取得する。そして、ロール送信部112は、取得した第1ロールを中央認証機関300へ通信装置を介して送信する。
中央認証機関300では第1ロールを受信すると、ロール変換サーバ320のロール変換部321が、ロールマッピングテーブル330が記憶した権限対応情報に基づき、取得したシステムA100における第1ロールに対応するシステムB200における第2ロールを処理装置により検索する。つまり、ロール変換部321は、システムA100における第1ロールを、システムB200における第2ロールへ変換する。この際、どのシステムにおけるロールへ変換すればよいかは、権限要求に含まれるシステムID(B)から特定される。
連携サーバ310のロール転送部312は、ロール変換部321が変換したシステムB200における第2ロールを通信装置を介してシステムB200へ送信する。この際、送信先のシステムは、権限要求に含まれるシステムID(B)から特定される。
連携サーバ210のロール送信部212は、システムB200における第2ロールを受信すると、受信した第2ロールとサービス要求に含まれるサービスIDとをAPPサーバ220へ送信する。
APPサーバ220のサービス提供部221は、受信した第2ロールと、コンテンツテーブル240に記憶された制御情報とに基づき、受信したサービスIDが示すサービスへのユーザのアクセスを許可するか否かを処理装置により判定する。そして、アクセスを許可すると判定した場合、サービス提供部221はユーザへサービスを処理装置により提供する。なお、アクセスを許可するか否かの判定方法は、(S102)で説明した方法と同様である。
また、あるシステムのロールが更新された場合、中央認証機関300におけるロールマッピングテーブル330で記憶された権限対応情報を更新するだけで、全てのシステムに対してロールの更新が反映される。したがって、ロールの更新の手間が少なく、更新のタイムラグも小さい。
実施の形態2では、実施の形態1とは異なる流れでアクセス制御を連携する方法について説明する。
実施の形態2に係るアクセス制御連携システム1は、実施の形態1に係るアクセス制御連携システム1と同様に、サービスを提供するシステムA100及びシステムB200と、複数のシステムのアクセス制御を連携させる中央認証機関300とを備える。
連携サーバ110,210は、実施の形態1と同様に、サービスを提供するシステム間の連携を図るためのサーバである。しかし、連携サーバ110,210が備える機能は、実施の形態1とは異なり、サービス要求送信部111,211、認証要求・結果送信部113,213、サービス取得部114,214を備える。
APPサーバ120,220と認証サーバ130,230とは実施の形態1と同様の機能構成であり、コンテンツテーブル140,240、ID管理テーブル150,250は実施の形態1と同様である。
連携サーバ310は、実施の形態1と同様に、サービスを提供するシステム間の連携を図るためのサーバである。しかし、連携サーバ310は、実施の形態1と異なり、認証確認部313、サービス一覧送信部314を備える。
ロール変換サーバ320は、ロール変換部321、サービス検索部322を備える。
ロールマッピングテーブル330は実施の形態1と同様である。
ロールサービスマッピングテーブル340は、各システムのロールと、そのロールでアクセスが許可されるサービスとの対応関係をサービス対応情報として記憶した記憶装置である。
サービス対応情報は、各システムのロールと、そのロールでアクセスが許可されるサービスのサービスIDとが対応付けられた情報である。
図10に示すサービス対応情報は、図6に示した共通のロールと、その共通のロールでアクセスが許可されるサービスのサービスIDとが対応付けられた情報である。
ロールマッピングテーブル330が記憶する権限対応情報として、図6に示す各システムのロールと、共通のロールとが対応付けられた情報が記憶されている場合には、サービス対応情報として図10に示す情報を記憶してもよい。
図11は、実施の形態2に係るアクセス制御連携システム1の処理の流れを示すフローチャートである。
なお、ここでは、システムA100(第1システム)に所属するユーザが、システムB200(第2システム)が提供するサービスへアクセスする場合を例として説明する。また、ここでは、ロールサービスマッピングテーブル340は、サービス対応情報として、図9に示す各システムのロールと、そのロールでアクセスが許可されるサービスのサービスIDとが対応付けられた情報を記憶しているものとする。
ユーザは、アクセス可能なサービスの一覧情報の取得を要求する。例えば、ユーザは、端末から一覧情報の取得要求を示すボタンを押下することで、一覧情報の取得を要求する。
すると、APPサーバ120のサービス提供部121は、ログインしたユーザの第1ロールをID管理テーブル150から取得して、連携サーバ110のサービス取得部114へ送信する。
連携サーバ110のサービス取得部114は、サービス提供部121が送信した第1ロールと、システムA100を示すシステムID(A)とを含む一覧要求を中央認証機関300へ通信装置を介して送信する。これにより、サービス取得部114は、ログインしたユーザがアクセスを許可されるサービスの一覧情報の送信を中央認証機関300へ要求する。
中央認証機関300では一覧要求を受信すると、ロール変換サーバ320のロール変換部321がロールマッピングテーブル330が記憶した権限対応情報に基づき、受信した一覧要求に含まれるシステムA100における第1ロールに対応するシステムB200における第2ロールを処理装置により検索する。つまり、ロール変換部321は、システムA100における第1ロールを、システムB200における第2ロールへ変換する。
なお、ここでは、サービスを提供するシステムがシステムA100とシステムB200とのみであるため、取得したシステムA100における第1ロールをシステムB200における第2ロールへのみ変換する。しかし、他にもサービスを提供するシステムが存在する場合には、ロール変換部321は、システムA100における第1ロールを他のシステムにおけるロールへも変換する。
ロール変換サーバ320のサービス検索部322は、受信した一覧要求に含まれるシステムA100における第1ロールでアクセスが許可されるサービスと、ロール変換部321が変換したシステムB200における第2ロールでアクセスが許可されるサービスとを、ロールサービスマッピングテーブル340から処理装置により検索する。
なお、(S204)でロール変換部321が第1ロールを他のシステムにおけるロールへも変換している場合には、サービス検索部322は、他のシステムにおけるロールでアクセスが許可されるサービスも検索する。
これにより、ユーザがアクセス可能なサービスの一覧情報を取得する。
連携サーバ310のサービス一覧送信部314は、ロール変換部321が取得した一覧情報を通信装置を介してシステムA100へ送信する。この際、送信先のシステムは、権限要求に含まれるシステムID(A)から特定される。
システムA100では一覧情報を受信すると、APPサーバ120のサービス提供部121が一覧情報を表示装置に表示する等して、ユーザへ一覧情報を提供する。そして、サービス提供部121は、ユーザに端末を用いて、一覧情報に含まれるサービスからアクセスしたいサービスを指定(入力)させる。
指定されたサービスがシステムA100で提供するサービスである場合には、APPサーバ120のサービス提供部121が、ユーザへサービスを処理装置により提供する。
なお、ここでは、ユーザは、システムA100が提供するサービスではなく、システムB200が提供するサービスを指定したとする。この場合、サービス提供部121は、ユーザIDと、指定されたサービスを示すサービスIDとを連携サーバ110のサービス要求送信部111へ送信する。
連携サーバ110のサービス要求送信部111は、受信したユーザID及びサービスIDと、システムA100を示すシステムID(A)とを含むサービス要求をシステムB200へ通信装置を介して送信する。これにより、サービス要求送信部111は、送信したサービスIDが示すサービスを送信したユーザIDが示すユーザへ提供することをシステムB200に要求する。
システムB200ではサービス要求を受信すると、連携サーバ210の認証要求・結果送信部213が、サービス要求に含まれるユーザID及びシステムID(A)と、システムB200を示すシステムID(B)とを含む確認要求を中央認証機関300へ通信装置を介して送信する。これにより、認証要求・結果送信部213は、ユーザIDが示すユーザがシステムA100に所属すること及びシステムA100で認証されたユーザであることの確認を中央認証機関300に要求する。
中央認証機関300では確認要求を受信すると、連携サーバ310の認証確認部313が、確認要求に含まれるユーザIDを含む確認要求をシステムA100へ通信装置を介して送信する。この際、送信先のシステムは、確認要求に含まれるシステムID(A)から特定される。これにより、連携サーバ310は、送信したユーザIDが示すユーザがシステムA100に所属すること及びシステムA100で認証されたユーザであることの確認をシステムA100に要求する。
システムA100では確認要求を受信すると、連携サーバ110の認証要求・結果送信部113が、認証要求に含まれるユーザIDを認証サーバ130のユーザ認証部131へ送信して、ユーザIDが示すユーザが所属すること及び認証されたユーザであることを処理装置により確認する。
なお、ユーザ認証部131は、ID管理テーブル150からユーザIDを検索することにより、ユーザが所属しているか否かを判定できる。また、例えば、ID管理テーブル150が記憶する認証情報に、現在ログイン中であるか否かを示すフラグ情報を持たせ、(S201)でログインした際、及びログアウトする際にそのフラグ情報を設定する。これにより、ユーザ認証部131は、ID管理テーブル150を確認することで、現在認証されたユーザであるか否かを判定できる。
認証要求・結果送信部113は、ユーザIDが示すユーザが所属するか否か、及び、認証されたユーザであるか否かを示す結果情報を中央認証機関300へ通信装置を介して送信する。
中央認証機関300では結果情報を受信すると、連携サーバ310の認証確認部313が、受信した結果情報をシステムB200へ通信装置を介して送信する。この際、送信先のシステムは、確認要求に含まれるシステムID(B)から特定される。
システムB200では結果情報を受信すると、連携サーバ210の認証要求・結果送信部213は、ユーザがシステムA100に所属すること及びシステムA100で認証されたユーザであることを結果情報が示すか否かを処理装置により判定する。ユーザがシステムA100に所属すること及びシステムA100で認証されたユーザであると示す場合、認証要求・結果送信部213は、サービス要求に含まれるユーザID及びサービスIDをAPPサーバ220のサービス提供部221へ送信する。
APPサーバ220のサービス提供部221は、ユーザID及びサービスIDを受信すると、コンテンツテーブル240に基づく判定をすることなく、アクセスを許可すると判定する。そして、サービス提供部221は、ユーザへサービスを処理装置により提供する。
また、実施の形態1と同様に、あるシステムのロールが更新された場合、中央認証機関300におけるロールマッピングテーブル330で記憶された権限対応情報を更新するだけで、全てのシステムに対してロールの更新が反映される。したがって、ロールの更新の手間が少なく、更新のタイムラグも小さい。
この場合、(S204)では、ロール変換サーバ320のロール変換部321は、ロールマッピングテーブル330が記憶した権限対応情報に基づき、受信したロール(第1ロール)を共通のロールへ変換する。また、(S205)では、サービス検索部322は、(S204)で変換された共通のロールでアクセスで許可されるサービスを検索する。これにより、ユーザがアクセス可能なサービスの一覧情報を取得することができる。
図12は、各サーバのハードウェア構成の一例を示す図である。
図12に示すように、各サーバは、プログラムを実行するCPU911(Central・Processing・Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU911は、バス912を介してROM913、RAM914、LCD901(Liquid Crystal Display)、キーボード902(K/B)、通信ボード915、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置920(固定ディスク装置)の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。磁気ディスク装置920は、所定の固定ディスクインタフェースを介して接続される。
ファイル群924には、上記の説明において「認証情報」、「制御情報」、「権限対応情報」、「サービス対応情報」等の情報やデータや信号値や変数値やパラメータが、「ファイル」や「データベース」の各項目として記憶される。「ファイル」や「データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPU911の動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPU911の動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
また、上記の説明において「〜部」として説明するものは、「〜回路」、「〜装置」、「〜機器」、「〜手段」、「〜機能」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。また、「〜装置」として説明するものは、「〜回路」、「〜機器」、「〜手段」、「〜機能」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。さらに、「〜処理」として説明するものは「〜ステップ」であっても構わない。すなわち、「〜部」として説明するものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、ROM913等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、上記で述べた「〜部」としてコンピュータ等を機能させるものである。あるいは、上記で述べた「〜部」の手順や方法をコンピュータ等に実行させるものである。
Claims (5)
- 第1権限情報に基づきサービスへのアクセス制御を行う第1システムと、前記第1権限情報とは異なる第2権限情報に基づきサービスへのアクセス制御を行う第2システムと、前記第1システムと前記第2システムとを連携させる連携システムとを備えるアクセス制御連携システムであり、
前記第1システムは、
処理装置によりユーザの認証を行うユーザ認証部と、
前記ユーザ認証部が認証したユーザを示すユーザIDと、前記第2システムが提供する所定のサービスを示すサービスIDとを含むサービス要求を前記第2システムへ通信装置を介して送信して、前記ユーザに前記第2システムが提供する前記サービスへのアクセス許可を要求するサービス要求送信部とを備え、
前記連携システムは、
前記第1権限情報と前記第2権限情報との対応関係を示す権限対応情報を記憶装置に記憶する権限対応情報記憶部と、
前記第1システムにおける前記ユーザの権限を示す第1権限情報を前記第1システムから通信装置を介して取得する権限取得部と、
前記権限対応情報記憶部が記憶した権限対応情報から、前記権限取得部が取得した第1権限情報に対応する第2権限情報を処理装置により検索する権限検索部とを備え、
前記第2システムは、
前記権限検索部が検索した第2権限情報に基づき、前記第1システムの前記サービス要求送信部が送信したサービス要求に含まれるサービスIDが示すサービスへ、前記サービス要求に含まれるユーザIDが示すユーザのアクセスが許可されると判定される場合に、前記ユーザに前記サービスへのアクセスを処理装置により許可するアクセス許可部
を備えることを特徴とするアクセス制御連携システム。 - 前記第2システムは、さらに、
前記サービス要求を受信した場合、受信したサービス要求に含まれるユーザIDを含む権限要求を前記連携システムへ通信装置を介して送信して、前記ユーザの権限を示す権限情報の送信を要求する権限要求送信部を備え、
前記連携システムの前記権限取得部は、前記権限要求送信部が送信した権限要求を受信した場合、受信した権限要求に含まれるユーザIDが示すユーザの第1権限情報を前記第1システムから取得し、
前記連携システムの前記権限検索部は、前記権限取得部が取得した第1権限情報に対応する第2権限情報を検索し、
前記連携システムは、さらに、
前記権限検索部が検索した第2権限情報を前記第2システムへ通信装置を介して送信する権限送信部を備え、
前記第2システムの前記アクセス許可部は、前記連携システムの前記権限送信部が送信した第2権限情報に基づき、受信したサービス要求に含まれるサービスIDが示すサービスへ、受信したサービス要求に含まれるユーザIDが示すユーザのアクセスが許可されるか否かを判定して、前記サービスへ前記ユーザのアクセスが許可されると判定した場合、前記ユーザに前記サービスへのアクセスを許可する
ことを特徴とする請求項1に記載のアクセス制御連携システム。 - 前記第1システムは、さらに、
前記ユーザ認証部がユーザを認証した場合、認証したユーザの権限を示す第1権限情報を前記連携システムへ通信装置を介して送信する権限送信部を備え、
前記連携システムの前記権限取得部は、前記権限送信部が送信した第1権限情報を取得し、
前記連携システムの前記権限検索部は、前記権限取得部が取得した第1権限情報に対応する第2権限情報を検索し、
前記連携システムは、さらに、
第2権限情報と、その第2権限情報が示す権限でアクセスが許されるサービスとの対応関係を示すサービス対応情報を記憶装置に記憶するサービス対応情報記憶部と、
前記サービス対応情報記憶部が記憶したサービス対応情報に基づき、前記権限検索部が検索した第2権限情報でアクセスが許されるサービスの一覧情報を取得するサービス一覧取得部と、
前記サービス一覧取得部が取得した一覧情報を前記第1システムへ送信する一覧送信部とを備え、
前記第1システムは、さらに、
前記一覧送信部が送信した一覧情報に含まれるサービスから、提供を受けたいサービスを入力装置により入力するサービス入力部を備え、
前記第1システムのサービス要求送信部は、前記ユーザIDと、前記サービス入力部が入力したサービスを示すサービスIDとを含むサービス要求を前記第2システムへ送信し、
前記第2システムの前記アクセス許可部は、前記第1システムの前記サービス要求送信部が送信したサービス要求を受信した場合、受信したサービス要求に含まれるサービスIDが示すサービスへ、受信したサービス要求に含まれるユーザIDが示すユーザIDが示すユーザのアクセスが許可されると判定して、前記ユーザに前記サービスへのアクセスを許可する
ことを特徴とする請求項1に記載のアクセス制御連携システム。 - 前記第2システムは、さらに、
前記サービス要求に含まれるユーザIDを含む確認要求を前記連携システムへ通信装置を介して送信して、前記ユーザIDが示すユーザが前記第1システムの前記ユーザ認証部が認証した認証済ユーザであることの確認を要求する確認要求送信部を備え、
前記連携システムは、さらに、
前記確認要求送信部が送信した確認要求に含まれるユーザIDを前記第1システムへ送信して、前記ユーザIDが示すユーザが前記認証済ユーザであることを処理装置により確認する認証確認部を備え、
前記第2システムの前記アクセス許可部は、前記連携システムの前記認証確認部が認証済ユーザであることを確認した場合、前記ユーザに前記サービスへのアクセスを許可する
ことを特徴とする請求項3に記載のアクセス制御連携システム。 - 第1権限情報に基づきサービスへのアクセス制御を行う第1システムと、前記第1権限情報とは異なる第2権限情報に基づきサービスへのアクセス制御を行う第2システムとのアクセス制御を連携させるアクセス制御連携方法であり、
前記第1システムが、ユーザの認証を行うユーザ認証工程と、
前記第1システムが、前記ユーザ認証工程で認証したユーザを示すユーザIDと、前記第2システムが提供する所定のサービスを示すサービスIDとを含むサービス要求を前記第2システムへ送信して、前記ユーザに前記第2システムが提供する前記サービスへのアクセス許可を要求するサービス要求送信工程と、
前記第1システムと前記第2システムとを連携させる連携システムが、前記第1権限情報を前記第1システムから取得する権限取得工程と、
前記連携システムが、予め記憶装置に記憶した前記第1権限情報と前記第2権限情報との対応関係を示す権限対応情報から、前記権限取得工程で取得した第1権限情報に対応する第2権限情報を検索する権限検索工程と、
前記第2システムが、前記権限検索工程で検索した第2権限情報に基づき、前記サービス要求送信工程で送信したサービス要求に含まれるサービスIDが示すサービスへ、前記サービス要求に含まれるユーザIDが示すユーザのアクセスが許可されると判定される場合に、前記ユーザに前記サービスへのアクセスを許可するアクセス許可工程と
を備えることを特徴とするアクセス制御連携方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010038243A JP5409435B2 (ja) | 2010-02-24 | 2010-02-24 | アクセス制御連携システム及びアクセス制御連携方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010038243A JP5409435B2 (ja) | 2010-02-24 | 2010-02-24 | アクセス制御連携システム及びアクセス制御連携方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011175402A JP2011175402A (ja) | 2011-09-08 |
JP5409435B2 true JP5409435B2 (ja) | 2014-02-05 |
Family
ID=44688208
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010038243A Expired - Fee Related JP5409435B2 (ja) | 2010-02-24 | 2010-02-24 | アクセス制御連携システム及びアクセス制御連携方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5409435B2 (ja) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2013042306A1 (ja) * | 2011-09-20 | 2013-03-28 | 日本電気株式会社 | 認証システム、認証サーバ、認証方法および認証用プログラム |
KR20130031570A (ko) * | 2011-09-21 | 2013-03-29 | 삼성전자주식회사 | 기기에 대한 정보 제공 방법 및 장치, 서비스 방법 및 장치와 컴퓨터로 읽을 수 있는 기록 매체 |
JP5799855B2 (ja) * | 2012-03-02 | 2015-10-28 | 富士通株式会社 | サービス提供方法、プログラム、および情報処理装置 |
JP5858878B2 (ja) * | 2012-07-06 | 2016-02-10 | 三菱電機株式会社 | 認証システムおよび認証方法 |
CN106302334B (zh) * | 2015-05-22 | 2020-06-12 | 中兴通讯股份有限公司 | 访问角色获取方法、装置及*** |
JP6897155B2 (ja) * | 2017-02-27 | 2021-06-30 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置及び情報処理プログラム |
JP6716655B2 (ja) * | 2018-09-27 | 2020-07-01 | 株式会社アクシオ | 情報処理システム、情報処理方法及びプログラム |
JP7505316B2 (ja) | 2020-08-03 | 2024-06-25 | 株式会社リコー | 情報処理装置、情報処理システム、情報処理方法、およびプログラム |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH09293052A (ja) * | 1996-04-26 | 1997-11-11 | Nec Corp | 複数ネットワーク間の権限管理方法およびシステム |
JP2002324053A (ja) * | 2001-04-24 | 2002-11-08 | Nec Corp | 利用権限管理システム、利用権限管理方法および利用権限管理プログラム |
JP4899461B2 (ja) * | 2005-12-15 | 2012-03-21 | 富士ゼロックス株式会社 | 利用制限管理装置、方法、プログラム及びシステム |
JP4314267B2 (ja) * | 2006-11-30 | 2009-08-12 | キヤノン株式会社 | アクセス制御装置およびアクセス制御方法及び印刷システム |
JP4617325B2 (ja) * | 2007-02-26 | 2011-01-26 | みずほ情報総研株式会社 | 情報管理システム及びユーザ情報の管理方法 |
US8650275B2 (en) * | 2008-04-17 | 2014-02-11 | Nec Corporation | Requester-side distributed ID management device, provider-side distributed ID management device, distributed ID management system, and provider-side distributed ID management method |
-
2010
- 2010-02-24 JP JP2010038243A patent/JP5409435B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2011175402A (ja) | 2011-09-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5409435B2 (ja) | アクセス制御連携システム及びアクセス制御連携方法 | |
US11153296B2 (en) | Privacy-aware ID gateway | |
US20080289019A1 (en) | Framework for automated dissemination of security metadata for distributed trust establishment | |
KR20030091237A (ko) | 이메일 주소와 하드웨어 정보를 이용한 사용자 인증방법 | |
US10116449B2 (en) | Generation device, terminal device, generation method, non-transitory computer readable storage medium, and authentication processing system | |
JP5452374B2 (ja) | 認証装置、認証方法及び認証プログラム | |
JP2008015733A (ja) | ログ管理計算機 | |
JP2023115056A (ja) | デバイス管理装置及びプログラム | |
US20200076793A1 (en) | Management device, management system, and non-transitory computer readable medium | |
KR20020035820A (ko) | 휴대용 저장매체를 이용한 종합자산관리 방법 | |
JP3137173B2 (ja) | 認証情報管理装置 | |
US9027107B2 (en) | Information processing system, control method thereof, and storage medium thereof | |
JP5252721B2 (ja) | 情報提供サーバ | |
US20090192993A1 (en) | Method and system for setting domain name and network device thereof | |
JP6848275B2 (ja) | プログラム、認証システム及び認証連携システム | |
JP5079054B2 (ja) | コンテンツサーバ及びアクセス制御システム | |
JP7158867B2 (ja) | 測定システム | |
JP2008197919A (ja) | 処理形態切替装置 | |
JP2016042327A (ja) | 情報処理システム及び認証方法 | |
JP7396205B2 (ja) | 医療情報保管プログラム及び医療情報保管管理装置 | |
JP5123728B2 (ja) | 情報提供装置および情報提供システム | |
CN110619071B (zh) | 一种帐号的访问安全监测和处理方法及装置 | |
JP2022169904A (ja) | 認証システム、認証方法及び中央管理装置 | |
KR100458919B1 (ko) | 인터넷 접속 장치 관리 시스템과 그 방법 및 인터넷 접속장치로의 데이터 전송 방법 | |
KR20030037473A (ko) | 인터넷을 통한 통합 계정 조회 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120914 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130930 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131008 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131105 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5409435 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |