JP6540063B2 - Communication information control apparatus, relay system, communication information control method, and communication information control program - Google Patents

Communication information control apparatus, relay system, communication information control method, and communication information control program Download PDF

Info

Publication number
JP6540063B2
JP6540063B2 JP2015021341A JP2015021341A JP6540063B2 JP 6540063 B2 JP6540063 B2 JP 6540063B2 JP 2015021341 A JP2015021341 A JP 2015021341A JP 2015021341 A JP2015021341 A JP 2015021341A JP 6540063 B2 JP6540063 B2 JP 6540063B2
Authority
JP
Japan
Prior art keywords
tenant
request
transmission source
correspondence table
identification address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015021341A
Other languages
Japanese (ja)
Other versions
JP2016144186A (en
Inventor
晃慶 丸山
晃慶 丸山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2015021341A priority Critical patent/JP6540063B2/en
Publication of JP2016144186A publication Critical patent/JP2016144186A/en
Application granted granted Critical
Publication of JP6540063B2 publication Critical patent/JP6540063B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、マルチテナントサービスを提供するサーバおよびクライアントの間で送受信される情報を制御する技術に関する。   The present invention relates to technology for controlling information transmitted and received between a server providing a multi-tenant service and a client.

情報処理システムにおいて、サービスを顧客(テナント)毎にカスタマイズして使用できるように提供するマルチテナントサービスが知られている。マルチテナントサービスを利用する際には、利用者IDおよびテナントIDによる認証が必要となることが多い。利用者にとっては、サービス要求時に、利用者IDに加えて、テナントIDの入力が必要となるのは利便性の面で問題がある。したがって、サービス要求時には、テナントIDを意識して指定する必要がないことが望ましい。そこで、利用者に意識させることなくクライアントからサーバにテナントIDを通知する方法として、テナント毎にログイン用URL(Uniform Resource Locator)を分ける方法が知られている。この場合、各テナントの利用者は、それぞれのテナント用ログインURLにアクセスして認証要求を行う。しかし、この方法では、あるテナントのログイン用URLの文字列から、他のテナントのログイン用URLが推測される場合がある。この場合、他のテナントのログイン用URLに対して、想定されないアクセスを受ける可能性があるという問題があった。   In an information processing system, a multi-tenant service is known which provides services so that they can be customized and used for each customer (tenant). When using multi-tenant services, authentication by user ID and tenant ID is often required. For the user, there is a problem in convenience that it is necessary to input the tenant ID in addition to the user ID at the time of service request. Therefore, it is desirable not to need to be consciously specified when specifying service when requesting service. Therefore, as a method of notifying the server of the tenant ID from the client without making the user aware, there is known a method of dividing a login URL (Uniform Resource Locator) for each tenant. In this case, the user of each tenant accesses the respective tenant login URL to make an authentication request. However, in this method, the login URL of another tenant may be inferred from the login URL string of a certain tenant. In this case, there is a problem that there is the possibility of receiving unexpected access to login URLs for other tenants.

また、利用者に意識させることなくクライアントからサーバにテナントIDを通知する別の方法として、テナント毎に、識別アドレスやポート番号を分ける方法が知られている。この場合、各テナントの利用者は、それぞれのテナントに対応する識別アドレスやポート番号にアクセスする。しかしながら、1つの情報処理システムで提供可能な識別アドレス数には限りがある。したがって、この方法では、テナント数の増大に対応することが難しいという問題があった。また、クライアント側から外部ネットワークに向けた通信を制限しているケースがある。このようなケースでは、クライアント側において、well-knownポート以外のポートに対する通信を許可するには、特別な設定作業が必要となる場合があるという問題があった。   Also, as another method of notifying the server of the tenant ID from the client without making the user aware, there is known a method of dividing the identification address and the port number for each tenant. In this case, the user of each tenant accesses the identification address and port number corresponding to each tenant. However, the number of identification addresses that can be provided by one information processing system is limited. Therefore, with this method, there is a problem that it is difficult to cope with the increase in the number of tenants. There are also cases in which communication from the client side to the external network is restricted. In such a case, there is a problem that a special setting operation may be required to allow communication with ports other than the well-known port on the client side.

これらの問題に関連する技術が、特許文献1に記載されている。この関連技術は、マルチテナントサービスを提供するサーバとクライアントとの間に、中継装置を設ける。中継装置は、中継装置のクライアント側インタフェースを特定する情報とテナントIDとの対応関係をあらかじめ記憶しておく。これにより、中継装置は、サーバに対するリクエストを受信すると、受信したクライアント側インタフェースを特定する情報に基づいて、リクエストのテナントIDを識別する。そして、中継装置は、サーバとの間でテナントIDを指定したコネクションを生成し、そのコネクションを利用してリクエストをサーバに送信する。   Techniques related to these problems are described in Patent Document 1. This related art provides a relay device between a server providing a multi-tenant service and a client. The relay device stores in advance the correspondence between the information for identifying the client-side interface of the relay device and the tenant ID. Thus, when the relay device receives the request for the server, the relay device identifies the tenant ID of the request based on the received information identifying the client-side interface. Then, the relay device generates a connection specifying the tenant ID with the server, and transmits the request to the server using the connection.

また、このような問題に関連する他の技術が、特許文献2に記載されている。この関連技術では、ウェブサーバは、利用者IDまたはクライアント情報と、テナントIDとを対応付けて記憶しておく。そして、ウェブサーバは、クライアントから受信した処理要求に関連付けられた利用者IDまたはクライアント情報に基づいて、テナントIDを求める。そして、ウェブサーバは、求めたテナントIDに対応するデータ領域に対する処理を、データベースサーバに対して要求する。   Another technique related to such a problem is described in Patent Document 2. In this related art, the web server stores the user ID or the client information and the tenant ID in association with each other. Then, the web server obtains the tenant ID based on the user ID or the client information associated with the processing request received from the client. Then, the web server requests the database server to process the data area corresponding to the obtained tenant ID.

特開2010−219845号公報Unexamined-Japanese-Patent No. 2010-219845 特許第5200721号Patent No. 5200721

しかしながら、上述の関連技術には、以下の課題がある。   However, the related art described above has the following problems.

特許文献1に記載された関連技術は、中継装置のクライアント側インタフェースとテナントIDとの対応関係を、あらかじめ記憶しておく必要がある。また、特許文献2に記載された関連技術は、クライアント情報または利用者IDとテナントIDとの対応関係を、あらかじめ記憶しておく必要がある。このため、これらの関連技術は、新規テナントの利用申請時や、既存テナントに利用環境の変更が発生した際に、テナントIDとの対応関係を記憶したテーブルを更新する必要が生じるという問題がある。   The related art described in Patent Document 1 needs to store in advance the correspondence between the client-side interface of the relay apparatus and the tenant ID. Further, in the related technology described in Patent Document 2, it is necessary to store in advance the correspondence between client information or user ID and tenant ID. Therefore, these related technologies have a problem that it is necessary to update the table storing the correspondence with the tenant ID when applying for use of a new tenant or when there is a change in usage environment in an existing tenant .

さらに、特許文献2に記載された関連技術において、クライアント情報とテナントIDとを対応付けておく場合、利用が想定されるクライアント端末をあらかじめ全て把握して対応関係を記憶する作業が必要であり、事前の作業コストがかかる。また、クライアント端末の増減が発生した場合にも、その都度、対応関係テーブルを更新する必要があり、作業コストがかかる。また、利用者IDとテナントIDとを対応付けておく場合、利用者数の増大に伴いテーブル容量が増大し、テーブル保存のためのマシンコストやテーブル検索時の検索コストが大きくなるという問題がある。   Furthermore, in the related art described in Patent Document 2, when associating client information and tenant ID, it is necessary to grasp in advance all the client terminals that are supposed to be used and store the correspondence. There is an advance cost of work. Also, even when the number of client terminals increases or decreases, the correspondence relationship table needs to be updated each time, which increases the operation cost. Moreover, when the user ID and the tenant ID are associated, there is a problem that the table capacity increases as the number of users increases, and the machine cost for storing the table and the search cost at the time of the table search become large. .

本発明は、上述の課題を解決するためになされたものである。すなわち、本発明は、運用コスト、マシンコスト、検索コストを低減しながら、利用者に意識させることなく、テナントIDをサーバに通知する技術を提供することを目的とする。   The present invention has been made to solve the above-mentioned problems. That is, an object of the present invention is to provide a technique for notifying a server of a tenant ID without making the user conscious while reducing the operation cost, the machine cost, and the search cost.

本発明の通信情報制御装置は、テナント毎に登録された利用者に対してマルチテナントサービスを提供するサーバおよび前記マルチテナントサービスを利用するクライアント間で送受信される情報を制御する通信情報制御装置であって、前記クライアントから前記サーバへ送信される前記マルチテナントサービスに対する認証要求を表すリクエストを取得する通信情報取得部と、前記リクエストの送信元の識別アドレスがテナントID対応テーブルに含まれない場合、前記サーバにおける前記マルチテナントサービスの管理情報を参照することにより、前記リクエストから抽出される利用者情報に対応するテナントIDを特定し、特定したテナントIDおよび前記送信元の識別アドレスを対応付けて前記テナントID対応テーブルに登録するテナントID登録部と、前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDを特定するテナントID特定部と、前記テナントID登録部または前記テナントID特定部によって特定されたテナントIDを前記リクエストに含めて、前記マルチテナントサービスに対するリクエストとして出力する通信情報出力部と、を備える。   A communication information control apparatus according to the present invention is a communication information control apparatus for controlling a server that provides a multitenant service to a user registered for each tenant and information transmitted and received between clients using the multitenant service. If the communication information acquisition unit for acquiring a request representing an authentication request for the multi-tenant service transmitted from the client to the server and the identification address of the transmission source of the request are not included in the tenant ID correspondence table, The tenant ID corresponding to the user information extracted from the request is specified by referring to the management information of the multi-tenant service in the server, and the specified tenant ID and the identification address of the transmission source are correlated to each other. Register in the tenant ID correspondence table A tenant ID registration unit, and a tenant ID specification unit for specifying a tenant ID associated with the transmission source identification address in the tenant ID correspondence table, when the transmission source identification address is included in the tenant ID correspondence table; A communication information output unit that includes the tenant ID specified by the tenant ID registration unit or the tenant ID specification unit in the request and outputs the request as a request for the multi-tenant service.

また、本発明の中継システムは、上述の通信情報制御装置と、前記クライアントから前記マルチテナントサービスに対する認証要求を表すリクエストを受信すると、該リクエストを前記通信情報制御装置に転送することにより、前記通信情報制御装置から前記テナントIDを含むリクエストを受信し、受信したリクエストを前記サーバに送信する通信経路制御システムと、を備える。   Further, the relay system according to the present invention may perform the communication by transferring the request to the communication information control device when the communication information control device described above receives the request representing the authentication request for the multi-tenant service from the client. A communication path control system that receives a request including the tenant ID from the information control device and transmits the received request to the server.

また、本発明の通信情報制御方法は、テナント毎に登録された利用者に対してマルチテナントサービスを提供するサーバおよび前記マルチテナントサービスを利用するクライアント間で送受信される情報を制御する通信情報制御方法であって、前記クライアントから前記サーバへ送信される前記マルチテナントサービスに対する認証要求を表すリクエストを取得すると、前記リクエストの送信元の識別アドレスがテナントID対応テーブルに含まれない場合、前記サーバにおける前記マルチテナントサービスの管理情報を参照することにより、前記リクエストから抽出される利用者情報に対応するテナントIDを特定し、特定したテナントIDおよび前記送信元の識別アドレスを対応付けて前記テナントID対応テーブルに登録し、前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応づけられたテナントIDを特定し、特定したテナントIDを前記リクエストに含めて、前記マルチテナントサービスに対するリクエストとして出力する。   Further, according to the communication information control method of the present invention, communication information control for controlling information transmitted and received between a server for providing multi-tenant service to a user registered for each tenant and a client using the multi-tenant service In the method, when a request representing an authentication request for the multi-tenant service transmitted from the client to the server is acquired, if the identification address of the transmission source of the request is not included in the tenant ID correspondence table, The tenant ID corresponding to the user information extracted from the request is specified by referring to the management information of the multi-tenant service, and the specified tenant ID and the identification address of the transmission source are correlated to correspond to the tenant ID Register in the table and send If the tenant ID correspondence table includes the identification address of the tenant ID, the tenant ID corresponding to the identification address of the transmission source is specified in the tenant ID correspondence table, and the specified tenant ID is included in the request, Output as a request for tenant service.

また、本発明の通信情報制御プログラムは、テナント毎に登録された利用者に対してマルチテナントサービスを提供するサーバおよび前記マルチテナントサービスを利用するクライアント間で送受信される情報を制御する通信情報制御装置に、前記クライアントから前記サーバへ送信される前記マルチテナントサービスに対する認証要求を表すリクエストを取得する通信情報取得ステップと、前記リクエストの送信元の識別アドレスがテナントID対応テーブルに含まれない場合、前記サーバにおける前記マルチテナントサービスの管理情報を参照することにより、前記リクエストから抽出される利用者情報に対応するテナントIDを特定し、特定したテナントIDおよび前記送信元の識別アドレスを対応付けて前記テナントID対応テーブルに登録するテナントID登録ステップと、前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応づけられたテナントIDを特定するテナントID特定ステップと、前記テナントID登録ステップまたは前記テナントID特定ステップにおいて特定されたテナントIDを前記リクエストに含めて、前記マルチテナントサービスに対するリクエストとして出力する通信情報出力ステップと、を実行させる。   Further, the communication information control program of the present invention controls communication information to be transmitted and received between a server that provides a multitenant service to a user registered for each tenant and a client that uses the multitenant service. A communication information acquisition step of acquiring a request representing an authentication request for the multi-tenant service transmitted from the client to the server, and the identification address of the transmission source of the request is not included in the tenant ID correspondence table; The tenant ID corresponding to the user information extracted from the request is specified by referring to the management information of the multi-tenant service in the server, and the specified tenant ID and the identification address of the transmission source are correlated to each other. Table for tenant ID correspondence Tenant ID registration step to register in the tenant ID address table that identifies the tenant ID associated with the identification address of the transmission source in the tenant ID correspondence table when the identification address of the transmission source is included in the tenant ID correspondence table A specifying step and a communication information output step of outputting the request as the request for the multi-tenant service by including the tenant ID specified in the tenant ID registration step or the tenant ID specifying step in the request are executed.

本発明は、運用コスト、マシンコスト、検索コストを低減しながら、利用者に意識させることなく、テナントIDをサーバに通知する技術を提供することができる。   The present invention can provide a technology for notifying the server of the tenant ID without making the user aware while reducing the operation cost, the machine cost and the search cost.

本発明の第1の実施の形態としての通信情報制御装置の機能ブロック図である。It is a functional block diagram of a communication information control device as a 1st embodiment of the present invention. 本発明の第1の実施の形態としての通信情報制御装置のハードウェア構成の一例を示す図である。It is a figure which shows an example of the hardware constitutions of the communication information control apparatus as the 1st Embodiment of this invention. 本発明の第1の実施の形態としての通信情報制御装置の動作を説明するフローチャートである。It is a flowchart explaining operation | movement of the communication information control apparatus as the 1st Embodiment of this invention. 本発明の第2の実施の形態としての中継システムの構成を示すブロック図である。It is a block diagram which shows the structure of the relay system as a 2nd Embodiment of this invention. 本発明の第2の実施の形態におけるマルチテナントサービスの管理情報の一例を示す図である。It is a figure which shows an example of the management information of the multi-tenant service in the 2nd Embodiment of this invention. 本発明の第2の実施の形態としての中継システムの機能ブロック図である。It is a functional block diagram of the relay system as a 2nd embodiment of the present invention. 本発明の第2の実施の形態におけるテナントID対応テーブルに格納される情報の一例を示す図である。It is a figure which shows an example of the information stored in the tenant ID corresponding | compatible table in the 2nd Embodiment of this invention. 本発明の第2の実施の形態における失敗回数記録テーブルに格納される情報の一例を示す図である。It is a figure which shows an example of the information stored in failure frequency recording table in the 2nd Embodiment of this invention. 本発明の第2の実施の形態としての中継システムの動作の概略を説明するアクティビティ図である。FIG. 7 is an activity diagram for explaining the outline of the operation of a relay system according to a second embodiment of the present invention. 本発明の第2の実施の形態としての通信情報制御装置の動作の概略を説明するフローチャートである。It is a flowchart explaining the outline of operation | movement of the communication information control apparatus as the 2nd Embodiment of this invention. 本発明の第2の実施の形態としての通信情報制御装置のテナントID登録動作を説明するフローチャートである。It is a flowchart explaining tenant ID registration operation of a communication information control device as a 2nd embodiment of the present invention.

以下、本発明の実施の形態について、図面を参照して詳細に説明する。   Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.

(第1の実施の形態)
本発明の第1の実施の形態としての通信情報制御装置10の機能ブロック構成を図1に示す。図1において、通信情報制御装置10は、通信情報取得部11と、テナントID登録部12と、テナントID特定部13と、通信情報出力部14とを含む。 First Embodiment
A functional block configuration of the communication information control apparatus 10 according to the first embodiment of the present invention is shown in FIG. In FIG. 1, the communication information control device 10 includes a communication information acquisition unit 11, a tenant ID registration unit 12, a tenant ID identification unit 13, and a communication information output unit 14.

通信情報制御装置10は、サーバ80およびクライアント90間で送受信される情報を制御する装置である。   The communication information control apparatus 10 is an apparatus for controlling information transmitted and received between the server 80 and the client 90.

サーバ80は、マルチテナントサービスを提供する装置である。マルチテナントサービスとは、テナント毎に登録された利用者に対して提供されるサービスをいうものとする。また、サーバ80によって提供されるマルチテナントサービスを利用するには、利用者情報およびテナントIDによる認証が必要であるものとする。利用者情報とは、登録された利用者を表す情報である。例えば、利用者情報は、利用者を識別する利用者IDを含む。さらに、利用者情報は、利用者IDに対応付けて登録されたパスワードを含んでいてもよい。テナントIDとは、利用者の属するテナントを識別する情報である。サーバ80は、テナントID毎に登録された利用者情報を、管理情報として記憶している。なお、サーバ80では、異なるテナントであっても、同一の利用者情報が登録されないよう運用されるものとする。   The server 80 is an apparatus that provides a multi-tenant service. The multi-tenant service refers to a service provided to a user registered for each tenant. In addition, in order to use the multi-tenant service provided by the server 80, authentication with user information and tenant ID is required. The user information is information representing a registered user. For example, the user information includes a user ID identifying the user. Furthermore, the user information may include a password registered in association with the user ID. The tenant ID is information for identifying the tenant to which the user belongs. The server 80 stores user information registered for each tenant ID as management information. Note that the server 80 is operated so that the same user information is not registered even if the tenants are different.

クライアント90は、サーバ80によって提供されるマルチテナントサービスを利用する装置である。クライアント90は、マルチテナントサービスに対する認証要求を表すリクエストを、サーバ80に送信する。クライアント90から送信されるリクエストには、登録された利用者を表す利用者情報が含まれるが、テナントIDは含まれないものとする。   The client 90 is a device that uses the multi-tenant service provided by the server 80. The client 90 transmits to the server 80 a request representing an authentication request for the multi-tenant service. The request transmitted from the client 90 includes user information representing the registered user but does not include the tenant ID.

ここで、通信情報制御装置10は、図2に示すようなハードウェア要素によって構成可能である。図2において、通信情報制御装置10は、CPU(Central Processing Unit)1001、メモリ1002、出力装置1003、入力装置1004、および、ネットワークインタフェース1005を含む。メモリ1002は、RAM(Random Access Memory)、ROM(Read Only Memory)、補助記憶装置(ハードディスク等)等によって構成される。出力装置1003は、ディスプレイ装置やプリンタ等のように、情報を出力する装置によって構成される。入力装置1004は、キーボードやマウス等のように、ユーザ操作の入力を受け付ける装置によって構成される。ネットワークインタフェース1005は、インターネット、LAN(Local Area Network)、公衆回線網、無線通信網またはこれらの組合せ等によって構成されるネットワークに接続するインタフェースである。この場合、通信情報制御装置10の各機能ブロックは、メモリ1002に格納されるコンピュータ・プログラムを読み込んで実行するとともに各部を制御するCPU1001によって構成される。なお、通信情報制御装置10およびその各機能ブロックのハードウェア構成は、上述の構成に限定されない。   Here, the communication information control apparatus 10 can be configured by hardware elements as shown in FIG. In FIG. 2, the communication information control device 10 includes a central processing unit (CPU) 1001, a memory 1002, an output device 1003, an input device 1004, and a network interface 1005. The memory 1002 is configured by a random access memory (RAM), a read only memory (ROM), an auxiliary storage device (such as a hard disk), and the like. The output device 1003 is configured by a device that outputs information, such as a display device or a printer. The input device 1004 is configured by a device such as a keyboard and a mouse that receives an input of a user operation. The network interface 1005 is an interface connected to a network configured by the Internet, a local area network (LAN), a public network, a wireless communication network, a combination thereof, or the like. In this case, each functional block of the communication information control apparatus 10 is configured by the CPU 1001 that reads and executes a computer program stored in the memory 1002 and controls each unit. Note that the hardware configuration of the communication information control apparatus 10 and each functional block thereof is not limited to the above-described configuration.

通信情報取得部11は、クライアント90からサーバ80へ送信されるリクエストを取得する。また、通信情報取得部11は、取得したリクエストから、その送信元の識別アドレスを特定する。また、通信情報取得部11は、取得したリクエストから、利用者情報を抽出する。リクエストから抽出されるこれらの情報は、後述のテナントID登録部12またはテナントID特定部13によって用いられる。例えば、リクエストがIP(Internet Protocol)パケットであることを想定する。この場合、送信元の識別アドレスとしては、IPパケットに含まれる送信元IPアドレスが適用される。また、利用者情報は、IPパケットのデータ部分に含まれている。   The communication information acquisition unit 11 acquires a request transmitted from the client 90 to the server 80. Further, the communication information acquisition unit 11 specifies the identification address of the transmission source from the acquired request. Also, the communication information acquisition unit 11 extracts user information from the acquired request. These pieces of information extracted from the request are used by the tenant ID registration unit 12 or the tenant ID identification unit 13 described later. For example, it is assumed that the request is an IP (Internet Protocol) packet. In this case, the transmission source IP address included in the IP packet is applied as the transmission source identification address. Also, user information is included in the data portion of the IP packet.

テナントID登録部12は、リクエストの送信元の識別アドレスがテナントID対応テーブルに含まれない場合に機能するよう構成される。この場合、テナントID登録部12は、送信元の識別アドレスと、利用者情報に対応するテナントIDとを対応付けて、テナントID対応テーブルに登録する。   The tenant ID registration unit 12 is configured to function when the identification address of the transmission source of the request is not included in the tenant ID correspondence table. In this case, the tenant ID registration unit 12 registers the identification address of the transmission source in the tenant ID correspondence table in association with the tenant ID corresponding to the user information.

具体的には、テナントID登録部12は、サーバ80におけるマルチテナントサービスの管理情報を参照することにより、リクエストから抽出された利用者情報に対応するテナントIDを特定する。例えば、テナントID登録部12は、特権アカウントを用いてマルチテナントサービスにアクセスすることにより、管理情報を参照可能となっていてもよい。そして、テナントID登録部12は、特定したテナントIDおよび送信元の識別アドレスを対応付けて、テナントID対応テーブルに登録すればよい。   Specifically, the tenant ID registration unit 12 specifies the tenant ID corresponding to the user information extracted from the request by referring to the management information of the multi-tenant service in the server 80. For example, the tenant ID registration unit 12 may be able to refer to the management information by accessing the multi-tenant service using a privileged account. Then, the tenant ID registration unit 12 may register the specified tenant ID and the identification address of the transmission source in the tenant ID correspondence table in association with each other.

テナントID特定部13は、送信元の識別アドレスがテナントID対応テーブルに含まれる場合に機能するよう構成される。この場合、テナントID特定部13は、テナントID対応テーブルにおいて送信元の識別アドレスに対応付けられたテナントIDを特定する。   The tenant ID specification unit 13 is configured to function when the identification address of the transmission source is included in the tenant ID correspondence table. In this case, the tenant ID identification unit 13 identifies the tenant ID associated with the identification address of the transmission source in the tenant ID correspondence table.

通信情報出力部14は、テナントID登録部12またはテナントID特定部13によって特定されたテナントIDをリクエストに含めて、マルチテナントサービスに対するリクエストとして出力する。   The communication information output unit 14 includes the tenant ID specified by the tenant ID registration unit 12 or the tenant ID specification unit 13 in the request, and outputs it as a request for the multi-tenant service.

以上のように構成された通信情報制御装置10の動作について、図3を参照して説明する。   The operation of the communication information control apparatus 10 configured as described above will be described with reference to FIG.

まず、通信情報取得部11は、クライアント90からサーバ80へ送信される、マルチテナントサービスに対する認証要求を表すリクエストを取得する(ステップS1)。   First, the communication information acquisition unit 11 acquires a request, which is transmitted from the client 90 to the server 80 and represents an authentication request for the multi-tenant service (step S1).

次に、通信情報取得部11は、取得したリクエストから、送信元の識別アドレスおよび利用者情報を抽出する(ステップS2)。   Next, the communication information acquisition unit 11 extracts the identification address of the transmission source and the user information from the acquired request (step S2).

次に、テナントID登録部12は、リクエストの送信元の識別アドレスがテナントID対応テーブルに含まれるか否かを判断する(ステップS3)。   Next, the tenant ID registration unit 12 determines whether the identification address of the transmission source of the request is included in the tenant ID correspondence table (step S3).

ここで、送信元の識別アドレスがテナントID対応テーブルに含まれない場合、テナントID登録部12は、サーバ80におけるマルチテナントサービスの管理情報を参照することにより、利用者情報に対応するテナントIDを特定する(ステップS4)。   Here, when the identification address of the transmission source is not included in the tenant ID correspondence table, the tenant ID registration unit 12 refers to the management information of the multi-tenant service in the server 80 to obtain the tenant ID corresponding to the user information. It identifies (step S4).

そして、テナントID登録部12は、送信元の識別アドレスと、特定したテナントIDとを対応付けて、テナントID対応テーブルに登録する(ステップS5)。   Then, the tenant ID registration unit 12 registers the identification address of the transmission source and the specified tenant ID in the tenant ID correspondence table in association with each other (step S5).

一方、送信元の識別アドレスがテナントID対応テーブルに含まれる場合、テナントID特定部13は、テナントID対応テーブルにおいて送信元の識別アドレスに対応付けられたテナントIDを特定する(ステップS6)。   On the other hand, when the identification address of the transmission source is included in the tenant ID correspondence table, the tenant ID identification unit 13 identifies the tenant ID associated with the identification address of the transmission source in the tenant ID correspondence table (step S6).

次に、通信情報出力部14は、ステップS4またはS6で特定されたテナントIDをリクエストに含めて、マルチテナントサービスに対するリクエストとして出力する(ステップS7)。   Next, the communication information output unit 14 includes the tenant ID specified in step S4 or S6 in the request and outputs it as a request for the multi-tenant service (step S7).

以上で、通信情報制御装置10は、動作を終了する。   Thus, the communication information control device 10 ends the operation.

次に、本発明の第1の実施の形態の効果について述べる。   Next, the effects of the first embodiment of the present invention will be described.

本発明の第1の実施の形態としての通信情報制御装置は、運用コスト、マシンコスト、検索コストを低減しながら、利用者に意識させることなく、テナントIDをサーバに通知することができる。   The communication information control apparatus as the first embodiment of the present invention can notify the server of the tenant ID without making the user conscious, while reducing the operation cost, the machine cost and the search cost.

その理由について説明する。本実施の形態では、通信情報取得部が、クライアントからサーバへ送信される、マルチテナントサービスに対する認証要求を表すリクエストを取得する。リクエストには、利用者情報が含まれ、テナントIDが含まれていない。そして、リクエストの送信元の識別アドレスがテナントID対応テーブルに含まれない場合、テナントID登録部が、リクエストに含まれる利用者情報に対応するテナントIDを、マルチテナントサービスの管理情報にアクセスすることにより特定する。そして、テナントID登録部が、特定したテナントIDを、送信元の識別アドレスに対応付けて、テナントID対応テーブルに登録する。また、リクエストの送信元の識別アドレスが、テナントID対応テーブルに含まれる場合には、テナントID特定部が、テナントID対応テーブルにおいて送信元の識別アドレスに対応付けられたテナントIDを特定する。そして、通信情報出力部が、このようにして特定したテナントIDをリクエストに含めて出力するからである。   The reason is explained. In the present embodiment, the communication information acquisition unit acquires a request, which is transmitted from the client to the server, and which represents an authentication request for the multi-tenant service. The request includes user information and does not include the tenant ID. Then, when the identification address of the request transmission source is not included in the tenant ID correspondence table, the tenant ID registration unit accesses the tenant ID corresponding to the user information included in the request to the management information of the multi-tenant service. Identify by Then, the tenant ID registration unit registers the specified tenant ID in the tenant ID correspondence table in association with the identification address of the transmission source. In addition, when the identification address of the transmission source of the request is included in the tenant ID correspondence table, the tenant ID identification unit identifies the tenant ID associated with the identification address of the transmission source in the tenant ID correspondence table. Then, the communication information output unit outputs the request including the specified tenant ID in this way.

このように、本実施の形態は、クライアントからサーバへ送信されるリクエストを中継する際に、テナントIDを特定してリクエストに含める。これにより、本実施の形態は、クライアントから送出された時点では、利用者情報が含まれテナントIDが含まれていないリクエストに、適切なテナントIDを含めてサーバに送信することができる。その結果、クライアントにおいて、利用者は、リクエストに含めるための利用者情報を入力するだけでよく、テナントIDを入力する必要がない。したがって、利用者は、テナントIDを意識することなく、マルチテナントサービスを利用することができる。   As described above, according to this embodiment, when relaying a request transmitted from the client to the server, the tenant ID is specified and included in the request. By this means, according to the present embodiment, it is possible to transmit to the server the request including the user information and the tenant ID not including the appropriate tenant ID at the time of being sent from the client. As a result, in the client, the user only needs to input the user information to be included in the request, and does not need to input the tenant ID. Therefore, the user can use the multi-tenant service without being aware of the tenant ID.

また、このように、本実施の形態は、リクエストの送信元の識別アドレスに対して適切なテナントIDを特定することにより、テナントID対応テーブルを自動生成することができる。このため、本実施の形態は、テナントID対応テーブルを事前に作成しておく必要がなく、運用コストを抑えることができる。   Also, as described above, according to the present embodiment, the tenant ID correspondence table can be automatically generated by specifying the tenant ID appropriate for the identification address of the transmission source of the request. Therefore, in the present embodiment, there is no need to create the tenant ID correspondence table in advance, and the operation cost can be suppressed.

また、一般的に、同じテナントに属する利用者からのリクエストの送信元の識別アドレスは、ゲートウェイ等のアドレスになることが想定される。この場合、本実施の形態におけるテナントID対応テーブルは、テナントによって用いられるゲートウェイ等の識別アドレス毎に、そのテナントIDを記憶すればよい。このため、テナントID対応テーブルは、利用者情報毎にテナントIDを記憶する場合に比べて、より小さい容量となる。このため、本実施の形態は、テナントID対応テーブルを保存するための領域を大量に必要とせず、マシンコストを抑えることができる。また、本実施の形態は、送信元の識別アドレスを検索するテナントID対応テーブルがより小容量であるため、検索コストを抑えることができる。   Also, in general, it is assumed that an identification address of a transmission source of a request from a user belonging to the same tenant will be an address such as a gateway. In this case, the tenant ID correspondence table in the present embodiment may store the tenant ID for each identification address such as a gateway used by the tenant. Therefore, the tenant ID correspondence table has a smaller capacity than the case where the tenant ID is stored for each user information. Therefore, the present embodiment can reduce the machine cost without requiring a large amount of area for storing the tenant ID correspondence table. Further, in the present embodiment, since the tenant ID correspondence table for searching for the identification address of the transmission source has a smaller capacity, the search cost can be suppressed.

(第2の実施の形態)
次に、本発明の第2の実施の形態について図面を参照して詳細に説明する。なお、本実施の形態の説明において参照する各図面において、本発明の第1の実施の形態と同一の構成および同様に動作するステップには同一の符号を付して本実施の形態における詳細な説明を省略する。 Second Embodiment
Next, a second embodiment of the present invention will be described in detail with reference to the drawings. In the drawings to which reference is made in the description of the present embodiment, steps having the same configuration and operation as those of the first embodiment of the present invention will be assigned the same reference numerals and detailed description in the present embodiment. I omit explanation.

まず、本発明の第2の実施の形態としての中継システム2の構成を図4に示す。図4において、中継システム2は、通信情報制御装置20と、通信経路制御システム30とを含む。中継システム2は、サーバ81およびクライアント91間で送受信される情報を中継するシステムである。   First, FIG. 4 shows the configuration of a relay system 2 according to a second embodiment of the present invention. In FIG. 4, the relay system 2 includes a communication information control device 20 and a communication path control system 30. The relay system 2 is a system that relays information transmitted and received between the server 81 and the client 91.

サーバ81は、マルチテナントサービスとして、マルチテナント型のディレクトリサービスを提供する装置である。例えば、ディレクトリサービスは、LDAP(Lightweight Directory Access Protocol)ディレクトリサービスであってもよい。以降、本実施の形態では、サーバ81は、マルチテナント型のLDAPディレクトリサービスを提供するものとして説明を行う。LDAPディレクトリサービスにおいては、テナントID毎に、利用者情報として利用者IDおよびパスワードが登録される。また、LDAPディレクトリサービスを利用するには、利用者ID、パスワード、および、テナントIDによる認証が必要であるものとする。以降、LDAPディレクトリサービスに対する認証要求を表す情報を、LDAPリクエストとも記載する。なお、本実施の形態において、LDAPディレクトリサービスでは、異なるテナントであっても、利用者IDおよびパスワードの組合せが同一の利用者情報は、登録されないよう運用されるものとする。   The server 81 is an apparatus that provides a multi-tenant type directory service as a multi-tenant service. For example, the directory service may be a Lightweight Directory Access Protocol (LDAP) directory service. Hereinafter, in the present embodiment, the server 81 will be described as providing a multi-tenant type LDAP directory service. In the LDAP directory service, a user ID and a password are registered as user information for each tenant ID. Also, in order to use the LDAP directory service, authentication by user ID, password, and tenant ID is required. Hereinafter, information representing an authentication request for the LDAP directory service will also be described as an LDAP request. In the present embodiment, in the LDAP directory service, even for different tenants, it is assumed that the user information in which the combination of the user ID and the password is the same is not registered.

また、サーバ81は、テナント毎にLDAPディレクトリツリーを分けて管理している。LDAPディレクトリツリーの一例を図5に示す。例えば、図5では、テナントID「C」を持つテナントについて、利用者IDとしてtanaka、sato、suzukiが登録されている。このようにLDAPディレクトリツリーは、テナント毎の利用者情報を含んでいる。また、このようなLDAPディレクトリツリーに特権アカウントでアクセスすることにより、利用者IDに対応するパスワード(不図示)も参照可能となっている。LDAPディレクトリツリーは、本発明の管理情報の一実施形態に相当する。   In addition, the server 81 divides and manages the LDAP directory tree for each tenant. An example of an LDAP directory tree is shown in FIG. For example, in FIG. 5, tanaka, sato, and suzuki are registered as user IDs for the tenant having the tenant ID “C”. Thus, the LDAP directory tree contains user information for each tenant. Also, by accessing such an LDAP directory tree with a privileged account, it is also possible to refer to a password (not shown) corresponding to the user ID. The LDAP directory tree corresponds to an embodiment of the management information of the present invention.

クライアント91は、サーバ81のLDAPディレクトリサービスを利用する装置である。クライアント91は、LDAPリクエストをサーバ81に送信する。クライアント91から送信されるLDAPリクエストには、利用者IDおよびパスワードが含まれるが、テナントIDは含まれないものとする。   The client 91 is a device that uses the LDAP directory service of the server 81. The client 91 sends an LDAP request to the server 81. The LDAP request transmitted from the client 91 includes the user ID and the password but does not include the tenant ID.

通信経路制御システム30は、サーバ81およびクライアント91間の通信経路を制御するシステムである。通信経路制御システム30は、クライアント91からLDAPリクエストを受信すると、該LDAPリクエストを通信情報制御装置20に転送する。そして、通信経路制御システム30は、テナントIDが付加されたLDAPリクエストを通信情報制御装置20から受信し、受信したリクエストをサーバ81に送信する。   The communication path control system 30 is a system that controls a communication path between the server 81 and the client 91. When the communication path control system 30 receives an LDAP request from the client 91, the communication path control system 30 transfers the LDAP request to the communication information control apparatus 20. Then, the communication path control system 30 receives, from the communication information control apparatus 20, the LDAP request to which the tenant ID is added, and transmits the received request to the server 81.

例えば、通信経路制御システム30は、SDN(Software-Defined Network)によって構成されていてもよい。SDNは、通信機器の制御機能とデータ転送機能とを分離し、ソフトウェアによってネットワークの構成や設定を変更する技術である。この場合、通信経路制御システム30は、例えば、図6に示すように、SDNコントローラ31、第1のSDNスイッチ32、および、第2のSDNスイッチ33を含んで構成可能である。これらの各装置は、それぞれ、例えば、CPU、メモリおよびネットワークインタフェースを備えたコンピュータ装置によって構成可能である。この場合、各装置のメモリには、各装置をそれぞれ本発明のSDNコントローラまたはSDNスイッチとして機能させるコンピュータ・プログラムが格納される。そして、各装置のCPUは、メモリに記憶されたコンピュータ・プログラムを実行して各部を制御することにより機能する。なお、通信経路制御システム30の構成は、図6に示す構成に限定されない。   For example, the communication path control system 30 may be configured by a software-defined network (SDN). The SDN is a technology for separating the control function and the data transfer function of the communication device, and changing the configuration and setting of the network by software. In this case, for example, as shown in FIG. 6, the communication path control system 30 can be configured to include the SDN controller 31, the first SDN switch 32, and the second SDN switch 33. Each of these devices can be configured by, for example, a computer device provided with a CPU, a memory, and a network interface. In this case, the memory of each device stores a computer program that causes each device to function as the SDN controller or SDN switch of the present invention. The CPU of each device functions by executing a computer program stored in the memory to control each part. The configuration of the communication path control system 30 is not limited to the configuration shown in FIG.

第1のSDNスイッチ32は、通信パケットを受信すると、自装置に設定されたフローエントリに基づいてその通信パケットを転送する。詳細には、第1のSDNスイッチ32は、通信パケットがLDAPリクエストであれば、その通信パケットをSDNコントローラ31に転送する。また、第1のSDNスイッチ32は、通信パケットが認証失敗情報であれば、その通信パケットをクライアント91に返却する。また、第1のSDNスイッチ32は、通信パケットがLDAPリクエストでなく認証失敗情報でもない場合、フローエントリで定められた他の処理や、SDNにおけるスイッチとしての通常処理を行う。   When receiving the communication packet, the first SDN switch 32 transfers the communication packet based on the flow entry set in the own device. Specifically, if the communication packet is an LDAP request, the first SDN switch 32 transfers the communication packet to the SDN controller 31. Also, if the communication packet is authentication failure information, the first SDN switch 32 returns the communication packet to the client 91. When the communication packet is neither an LDAP request nor authentication failure information, the first SDN switch 32 performs other processing defined in the flow entry or normal processing as a switch in SDN.

SDNコントローラ31は、転送された通信パケットの経路を算出し、適切な経路に向けて送信する。詳細には、SDNコントローラ31は、通信パケットがLDAPリクエストであれば、その通信パケットを、通信情報制御装置20に転送する。このLDAPリクエストには、利用者IDとパスワードは含まれているが、テナントIDは含まれていない。また、SDNコントローラ31は、通信パケットがLDAPリクエストでない場合、SDNにおけるコントローラとして他の処理を行う。   The SDN controller 31 calculates the path of the transferred communication packet, and transmits it toward an appropriate path. Specifically, if the communication packet is an LDAP request, the SDN controller 31 transfers the communication packet to the communication information control apparatus 20. This LDAP request contains the user ID and password but does not contain the tenant ID. Also, when the communication packet is not an LDAP request, the SDN controller 31 performs other processing as a controller in the SDN.

また、SDNコントローラ31は、通信情報制御装置20からLDAPリクエストを返却された場合、返却されたLDAPリクエストを第2のSDNスイッチ33に転送する。このLDAPリクエストには、利用者IDとパスワードに加えて、テナントIDが含まれている。また、SDNコントローラ31は、通信情報制御装置20から認証失敗情報を返却された場合、認証失敗情報を、第1のSDNスイッチ32に返却する。   When the SDN controller 31 returns an LDAP request from the communication information control device 20, the SDN controller 31 transfers the returned LDAP request to the second SDN switch 33. This LDAP request contains the tenant ID in addition to the user ID and password. When the authentication failure information is returned from the communication information control device 20, the SDN controller 31 returns the authentication failure information to the first SDN switch 32.

第2のSDNスイッチ33は、通信パケットを受信すると、自装置に設定されたフローエントリに基づいてその通信パケットを転送する。詳細には、第2のSDNスイッチ33は、通信パケットがLDAPリクエストであれば、その通信パケットをサーバ81に転送する。また、第2のSDNスイッチ33は、通信パケットがLDAPリクエストでない場合、フローエントリで定められた他の処理や、SDNにおけるスイッチとしての通常処理を行う。   When the second SDN switch 33 receives the communication packet, it transfers the communication packet based on the flow entry set in the own device. Specifically, if the communication packet is an LDAP request, the second SDN switch 33 transfers the communication packet to the server 81. In addition, when the communication packet is not an LDAP request, the second SDN switch 33 performs other processing defined in the flow entry or normal processing as a switch in the SDN.

次に、通信情報制御装置20の機能について説明する。通信情報制御装置20は、通信経路制御システム30からLDAPリクエストが転送されると、転送されたLDAPリクエストにテナントIDを含めて、通信経路制御システム30に返却する。あるいは、通信情報制御装置20は、認証失敗情報を通信経路制御システム30に返却する場合もある。   Next, the function of the communication information control device 20 will be described. When the LDAP request is transferred from the communication path control system 30, the communication information control apparatus 20 includes the tenant ID in the transferred LDAP request and returns it to the communication path control system 30. Alternatively, the communication information control apparatus 20 may return authentication failure information to the communication path control system 30.

ここで、図6において、通信情報制御装置20は、通信情報取得部21と、テナントID登録部22と、テナントID特定部23と、通信情報出力部24とを含む。なお、通信情報制御装置20およびその各機能ブロックは、図2を参照して説明した本発明の第1の実施の形態と同一のハードウェア要素によって構成可能である。ただし、通信情報制御装置20およびその機能ブロックのハードウェア構成は、上述の構成に限定されない。   Here, in FIG. 6, the communication information control device 20 includes a communication information acquisition unit 21, a tenant ID registration unit 22, a tenant ID identification unit 23, and a communication information output unit 24. The communication information control device 20 and each functional block thereof can be configured by the same hardware element as that of the first embodiment of the present invention described with reference to FIG. However, the hardware configuration of the communication information control device 20 and its functional blocks is not limited to the above-described configuration.

通信情報取得部21は、通信経路制御システム30からLDAPリクエストを受信する。LDAPリクエストは、例えば、第1のSDNスイッチ32から転送される。このLDAPリクエストは、前述のように、クライアント91からサーバ81へのLDAPディレクトリサービスに対する認証要求を表している。   The communication information acquisition unit 21 receives an LDAP request from the communication path control system 30. The LDAP request is forwarded from, for example, the first SDN switch 32. This LDAP request represents an authentication request for the LDAP directory service from the client 91 to the server 81 as described above.

また、通信情報取得部21は、LDAPリクエストの送信元IPアドレスを特定する。また、通信情報取得部21は、LDAPリクエストから、利用者IDおよびパスワードを抽出する。   Also, the communication information acquisition unit 21 specifies the transmission source IP address of the LDAP request. Also, the communication information acquisition unit 21 extracts the user ID and the password from the LDAP request.

テナントID登録部22は、テナントID対応テーブルにLDAPリクエストの送信元のIPアドレスが含まれていない場合に機能するよう構成される。この場合、具体的には、テナントID登録部22は、サーバ81のLDAPディレクトリサービスに特権アカウントでアクセスする。これにより、テナントID登録部22は、LDAPディレクトリツリーから、該当する利用者IDおよびパスワードに対応するテナントIDを検索する。LDAPディレクトリツリーを検索した結果、該当するテナントIDを特定できた場合、テナントID登録部22は、LDAPリクエストの送信元IPアドレスと、特定したテナントIDとを対応付けて、テナントID対応テーブルに新規エントリとして登録する。   The tenant ID registration unit 22 is configured to function when the tenant ID correspondence table does not include the IP address of the transmission source of the LDAP request. In this case, specifically, the tenant ID registration unit 22 accesses the LDAP directory service of the server 81 with a privileged account. Thereby, the tenant ID registration unit 22 searches the LDAP directory tree for the tenant ID corresponding to the corresponding user ID and password. As a result of searching the LDAP directory tree, when the corresponding tenant ID can be specified, the tenant ID registration unit 22 associates the transmission source IP address of the LDAP request with the specified tenant ID, and the tenant ID correspondence table is newly added to the tenant ID correspondence table. Register as an entry.

ここで、テナントID対応テーブルの一例を図7に示す。例えば、図7の1行目は、送信元IPアドレス「アドレス1」に、テナントID「A」が対応付けられていることを表している。   Here, an example of the tenant ID correspondence table is shown in FIG. For example, the first line in FIG. 7 indicates that the tenant ID “A” is associated with the transmission source IP address “address 1”.

また、テナントID登録部22は、後述の失敗回数が所定条件を満たした場合にも機能するよう構成される。この場合も、テナントID登録部22は、LDAPディレクトリサービスに特権アカウントでアクセスすることにより、該当する利用者IDおよびパスワードに対応するテナントIDを検索する。該当するテナントIDを特定できた場合、テナントID登録部22は、今回特定したテナントIDを用いて、テナントID対応テーブルを更新する。具体的には、テナントID登録部22は、既にテナントID対応テーブルに登録されている送信元IPアドレスに対応付けられていたテナントIDを、今回特定したテナントIDに更新すればよい。そして、テナントID登録部22は、今回特定したテナントIDを、通信情報出力部24に通知する。   The tenant ID registration unit 22 is also configured to function even when the number of failures described later satisfies a predetermined condition. Also in this case, the tenant ID registration unit 22 searches the tenant ID corresponding to the corresponding user ID and password by accessing the LDAP directory service with a privileged account. When the corresponding tenant ID can be specified, the tenant ID registration unit 22 updates the tenant ID correspondence table using the specified tenant ID. Specifically, the tenant ID registration unit 22 may update the tenant ID associated with the transmission source IP address already registered in the tenant ID correspondence table to the tenant ID identified this time. Then, the tenant ID registration unit 22 notifies the communication information output unit 24 of the tenant ID identified this time.

なお、LDAPディレクトリツリーを検索しても該当するテナントIDを特定できなかった場合、テナントID登録部22は、テナントIDを決定できない旨を、通信情報出力部24に通知する。   If the corresponding tenant ID can not be identified even by searching the LDAP directory tree, the tenant ID registration unit 22 notifies the communication information output unit 24 that the tenant ID can not be determined.

テナントID特定部23は、テナントID対応テーブルにLDAPリクエストの送信元のIPアドレスが含まれている場合に機能するよう構成される。この場合、具体的には、テナントID特定部23は、テナントID対応テーブルに含まれる送信元IPアドレスに対応付けられたテナントIDを取得する。例えば、送信元のIPアドレスが「アドレス1」である場合、図7に示したテナントID対応テーブルによれば、テナントID「A」が取得される。   The tenant ID specification unit 23 is configured to function when the tenant ID correspondence table includes the IP address of the transmission source of the LDAP request. In this case, specifically, the tenant ID specification unit 23 acquires the tenant ID associated with the transmission source IP address included in the tenant ID correspondence table. For example, when the IP address of the transmission source is “address 1”, according to the tenant ID correspondence table shown in FIG. 7, the tenant ID “A” is acquired.

ここで、本発明の第1の実施の形態では、このようにしてテナントID対応テーブルから取得されたテナントIDが、このLDAPリクエストに対応するテナントIDとして特定されていた。本実施の形態では、テナントID対応テーブルから取得されたテナントIDが、さらに次のような条件を満たした場合に、このLDAPリクエストに対応するテナントIDとして特定される。   Here, in the first embodiment of the present invention, the tenant ID thus acquired from the tenant ID correspondence table is specified as the tenant ID corresponding to the LDAP request. In the present embodiment, when the tenant ID acquired from the tenant ID correspondence table further satisfies the following conditions, it is specified as the tenant ID corresponding to the LDAP request.

具体的には、テナントID特定部23は、テナントID対応テーブルから取得したテナントIDと、LDAPリクエストから抽出された利用者情報との対応関係が正しいか否かを判断する。この判断処理は、サーバ81のLDAPディレクトリサービスに特権アカウントでアクセスすることにより行われる。つまり、テナントID特定部23は、LDAPディレクトリサービスに特権アカウントでアクセスすることにより、該当するテナントIDの配下に、該当する利用者情報が登録されているか否かを確認すればよい。なお、このとき、テナントID特定部23は、該当するテナントIDの配下に該当する利用者IDが存在すれば、パスワードを照合せずに、テナントIDと利用者情報との対応関係が正しいと判断してもよい。この場合、パスワードの認証は、LDAPディレクトリサービスによって行われることになる。そして、テナントID特定部23は、対応関係が正しいと判断した場合に、このテナントIDを通信情報出力部24に通知する。   Specifically, the tenant ID specification unit 23 determines whether the correspondence between the tenant ID acquired from the tenant ID correspondence table and the user information extracted from the LDAP request is correct. This determination process is performed by accessing the LDAP directory service of the server 81 with a privileged account. That is, the tenant ID identification unit 23 may check whether the corresponding user information is registered under the corresponding tenant ID by accessing the LDAP directory service with a privileged account. At this time, if there is a corresponding user ID under the corresponding tenant ID, the tenant ID specifying unit 23 determines that the correspondence between the tenant ID and the user information is correct without checking the password. You may In this case, password authentication will be performed by the LDAP directory service. Then, when determining that the correspondence relationship is correct, the tenant ID specifying unit 23 notifies the communication information output unit 24 of the tenant ID.

例えば、送信元IPアドレスが「アドレス2」である場合、図7に示したテナントIDから、「C」が取得されることになる。また、LDAPリクエストから、利用者ID「sato」およびパスワード「satopw」が抽出されているとする。この場合、テナントID特定部23は、LDAPディレクトリサービスに特権アカウントでアクセスし、図5に示した管理情報を参照する。そして、テナントID特定部23は、テナントID「C」配下に利用者ID「sato」があるので、このテナントIDおよび利用者情報の対応関係は正しいとして、テナントID「c」を通信情報出力部24に通知すればよい。   For example, when the transmission source IP address is "address 2", "C" is acquired from the tenant ID shown in FIG. Also, it is assumed that the user ID "sato" and the password "satopw" are extracted from the LDAP request. In this case, the tenant ID identification unit 23 accesses the LDAP directory service with a privileged account, and refers to the management information shown in FIG. Then, since the tenant ID specifying unit 23 has the user ID "sato" under the tenant ID "C", the tenant ID "c" is used as the communication information output unit, assuming that the correspondence between the tenant ID and the user information is correct. It is sufficient to notify 24.

また、テナントID特定部23は、対応関係が正しくないと判断した場合に、テナントIDを決定できない旨を、通信情報出力部24に通知する。このとき、テナントID特定部23は、対応関係が正しくないと判断した回数(失敗回数)を、該当するテナントIDおよび利用者情報の組合せ毎にカウントしてもよい。例えば、テナントID特定部23は、失敗回数記録テーブルに、テナントIDおよび利用者情報の組合せ毎の失敗回数を記録してもよい。そして、失敗回数が所定条件を満たした場合、テナントID特定部23は、前述のテナントID登録部22を呼び出す。所定条件とは、閾値を超えることであってもよい。また、失敗回数が所定条件を満たした場合、テナントID特定部23は、そのテナントIDおよび利用者情報の組合せについての失敗回数を0にリセットする。   Further, when determining that the correspondence relationship is not correct, the tenant ID identification unit 23 notifies the communication information output unit 24 that the tenant ID can not be determined. At this time, the tenant ID identification unit 23 may count the number of times (the number of failures) in which it is determined that the correspondence relationship is not correct, for each combination of the corresponding tenant ID and the user information. For example, the tenant ID specification unit 23 may record the number of failures for each combination of the tenant ID and the user information in the number of failures recording table. Then, if the number of failures satisfies the predetermined condition, the tenant ID identification unit 23 calls the above-described tenant ID registration unit 22. The predetermined condition may be that the threshold is exceeded. Also, if the number of failures satisfies the predetermined condition, the tenant ID identification unit 23 resets the number of failures for the combination of the tenant ID and the user information to zero.

ただし、テナントID特定部23は、上述の失敗回数を、次のような場合にカウントするようにしてもよい。具体的には、テナントID特定部23は、テナントID対応テーブルから取得されたテナントIDと利用者情報との対応関係が正しくないと判断した場合に、さらに、この利用者情報との対応関係が正しい他のテナントIDがあるか否かを判断する。この判断処理は、サーバ81のLDAPディレクトリサービスに特権アカウントでアクセスすることにより行われる。そして、テナントID特定部23は、そのような他のテナントIDがあると判断した場合に、失敗回数をカウントアップするようにしてもよい。この場合の失敗回数は、テナントID対応テーブルから取得されたテナントIDおよび利用者情報の組合せについて記録される。   However, the tenant ID specification unit 23 may count the number of failures described above in the following case. Specifically, when the tenant ID specifying unit 23 determines that the correspondence between the tenant ID acquired from the tenant ID correspondence table and the user information is not correct, the correspondence with the user information is further Determine whether there is a correct other tenant ID. This determination process is performed by accessing the LDAP directory service of the server 81 with a privileged account. Then, if it is determined that there is such another tenant ID, the tenant ID specifying unit 23 may count up the number of failures. The number of failures in this case is recorded for the combination of the tenant ID and the user information acquired from the tenant ID correspondence table.

例えば、送信元のIPアドレスが「アドレス2」である場合、図7に示したテナントIDから、「C」が取得されることになる。また、LDAPリクエストから、利用者ID「yamada」およびパスワード「yamadapw」が抽出されているとする。この場合、テナントID特定部23は、LDAPディレクトリサービスに特権アカウントでアクセスし、図5に示したLDAPディレクトリツリーを検索する。そして、テナントID特定部23は、テナントID「C」配下に利用者ID「yamada」がないので、このテナントIDおよび利用者情報の対応関係は正しくないと判断する。そして、この場合、テナントID特定部23は、利用者ID「yamada」およびパスワード「yamadapw」を配下に持つ他のテナントIDがあるか否かを、LDAPディレクトリツリーを検索することにより判断する。図7のLDAPディレクトリによると、テナントID「A」の配下に、利用者ID「yamada」がある。また、そのパスワードが「yamadapw」であったとする。つまり、この利用者IDおよびパスワードとの対応関係が正しい他のテナントID「A」が存在することになる。そこで、テナントID特定部23は、テナントID対応テーブルから取得されたテナントID「C」および利用者ID「yamada」の組合せについて、失敗回数記録テーブルに記録された失敗回数に、1を加算して更新すればよい。失敗回数記録テーブルの一例を図8に示す。例えば、図8の2行目は、テナントID「C」とユーザID「yamada」の組合せについて、失敗回数として1が記録されている。   For example, when the IP address of the transmission source is "address 2", "C" is acquired from the tenant ID shown in FIG. Also, it is assumed that the user ID "yamada" and the password "yamadapw" are extracted from the LDAP request. In this case, the tenant ID identification unit 23 accesses the LDAP directory service with a privileged account, and searches the LDAP directory tree shown in FIG. Then, since there is no user ID “yamada” under the tenant ID “C”, the tenant ID identification unit 23 determines that the correspondence between the tenant ID and the user information is not correct. Then, in this case, the tenant ID specification unit 23 determines whether there is another tenant ID having the user ID “yamada” and the password “yamadapw” under control by searching the LDAP directory tree. According to the LDAP directory of FIG. 7, there is a user ID "yamada" under the tenant ID "A". Also assume that the password is "yamadapw". That is, there is another tenant ID “A” whose correspondence relationship with the user ID and password is correct. Therefore, the tenant ID specification unit 23 adds 1 to the number of failures recorded in the failure count recording table for the combination of the tenant ID “C” and the user ID “yamada” acquired from the tenant ID correspondence table. You can update it. An example of the failure frequency recording table is shown in FIG. For example, in the second line of FIG. 8, 1 is recorded as the number of failures for the combination of the tenant ID “C” and the user ID “yamada”.

通信情報出力部24は、テナントID登録部22またはテナントID特定部23からテナントIDを通知されると、LDAPパケットにそのテナントIDを含めて、通信経路制御システム30に返却する。具体的には、通信情報出力部24は、テナントIDを含めたLDAPパケットを、前述のSDNコントローラ31に返却すればよい。   When notified of the tenant ID from the tenant ID registration unit 22 or the tenant ID identification unit 23, the communication information output unit 24 includes the tenant ID in the LDAP packet and returns it to the communication path control system 30. Specifically, the communication information output unit 24 may return an LDAP packet including the tenant ID to the SDN controller 31 described above.

また、通信情報出力部24は、テナントID登録部22またはテナントID特定部23からテナントIDを特定できない旨を通知されると、認証失敗情報を生成し、通信経路制御システム30に返却する。具体的には、通信情報出力部24は、認証失敗情報を、前述のSDNコントローラ31に返却すればよい。   Further, when notified that the tenant ID can not be specified from the tenant ID registration unit 22 or the tenant ID specification unit 23, the communication information output unit 24 generates authentication failure information and returns it to the communication path control system 30. Specifically, the communication information output unit 24 may return authentication failure information to the SDN controller 31 described above.

以上のように構成された中継システム2の動作について、図面を参照して説明する。   The operation of relay system 2 configured as described above will be described with reference to the drawings.

まず、中継システム2の動作の概略を図9に示す。   First, an outline of the operation of the relay system 2 is shown in FIG.

図9において、まず、第1のSDNスイッチ32は、受信した通信パケットが、クライアント91からのLDAPリクエストであるか否かを判断する(ステップA1)。   In FIG. 9, first, the first SDN switch 32 determines whether the received communication packet is an LDAP request from the client 91 (step A1).

ここで、LDAPリクエストでない場合、第1のSDNスイッチ32は、自装置に定められたフローエントリにしたがって他の処理を行う(ステップA2)。   Here, if it is not an LDAP request, the first SDN switch 32 performs other processing according to the flow entry defined for the own device (step A2).

一方、LDAPリクエストである場合、第1のSDNスイッチ32は、この通信パケットをSDNコントローラ31に転送する(ステップA3)。   On the other hand, if it is an LDAP request, the first SDN switch 32 transfers this communication packet to the SDN controller 31 (step A3).

次に、SDNコントローラ31は、転送された通信パケットが、LDAPリクエストであるか否かを判断する(ステップB1)。   Next, the SDN controller 31 determines whether the transferred communication packet is an LDAP request (step B1).

ここで、LDAPリクエストでない場合、SDNコントローラ31は、SDNコントローラとして定められた他の処理を行う(ステップB2)。   Here, if it is not an LDAP request, the SDN controller 31 performs another process defined as the SDN controller (step B2).

一方、LDAPリクエストである場合、SDNコントローラ31は、この通信パケットを通信情報制御装置20に転送する(ステップB3)。   On the other hand, if it is an LDAP request, the SDN controller 31 transfers this communication packet to the communication information control apparatus 20 (step B3).

次に、通信情報制御装置20は、LDAPリクエストが転送されると、転送されたLDAPリクエストにテナントIDを含める処理を行う(ステップD1)。そして、その結果、通信情報制御装置20は、テナントIDを含めたLDAPリクエストまたは認証失敗情報を、SDNコントローラ31に返却する。このステップの詳細については後述する。   Next, when the LDAP request is transferred, the communication information control device 20 performs processing for including the tenant ID in the transferred LDAP request (step D1). Then, as a result, the communication information control apparatus 20 returns, to the SDN controller 31, an LDAP request including the tenant ID or authentication failure information. Details of this step will be described later.

次に、SDNコントローラ31は、返却された通信パケットが、LDAPリクエストであるか認証失敗情報であるかを判断する(ステップB4)。   Next, the SDN controller 31 determines whether the returned communication packet is an LDAP request or authentication failure information (step B4).

ここで、返却された通信パケットがLDAPリクエストである場合、SDNコントローラ31は、この通信パケットを、第2のSDNスイッチ33に転送する(ステップB5)。   Here, if the communication packet returned is an LDAP request, the SDN controller 31 transfers this communication packet to the second SDN switch 33 (step B5).

そして、第2のSDNスイッチ33は、転送されたLDAPリクエストをサーバ81に送信する(ステップC1)。   Then, the second SDN switch 33 transmits the transferred LDAP request to the server 81 (step C1).

一方、ステップB4で、返却された通信パケットが認証失敗情報であった場合、SDNコントローラ31は、この通信パケットを、第1のSDNスイッチ32に返却する(ステップB6)。   On the other hand, if the returned communication packet is authentication failure information in step B4, the SDN controller 31 returns the communication packet to the first SDN switch 32 (step B6).

次に、第1のSDNスイッチ32は、返却された認証失敗情報を、クライアント91に送信する(ステップA4)。   Next, the first SDN switch 32 transmits the returned authentication failure information to the client 91 (step A4).

以上で、中継システム2の動作の概略の説明を終了する。   This is the end of the general description of the operation of the relay system 2.

次に、ステップD1における通信情報制御装置20の処理の詳細を、図10〜図11に示す。   Next, details of processing of the communication information control device 20 in step D1 are shown in FIGS.

図10において、まず、通信情報取得部21は、SDNコントローラ31から、LDAPリクエストを受信する(ステップD11)。   In FIG. 10, first, the communication information acquisition unit 21 receives an LDAP request from the SDN controller 31 (step D11).

次に、通信情報取得部21は、LDAPリクエストの送信元IPアドレスを特定する。また、通信情報取得部21は、LDAPリクエストから利用者IDおよびパスワードを抽出する(ステップD12)。   Next, the communication information acquisition unit 21 specifies the transmission source IP address of the LDAP request. Further, the communication information acquisition unit 21 extracts the user ID and the password from the LDAP request (step D12).

次に、テナントID登録部22は、LDAPリクエストの送信元IPアドレスが、テナントID対応テーブルに含まれているか否かを判断する(ステップD13)。   Next, the tenant ID registration unit 22 determines whether the transmission source IP address of the LDAP request is included in the tenant ID correspondence table (step D13).

ここで、送信元IPアドレスがテナントID対応テーブルに含まれていない場合、テナントID登録部22は、テナントID登録処理を行う(ステップD22)。このステップの詳細については後述する。   Here, when the transmission source IP address is not included in the tenant ID correspondence table, the tenant ID registration unit 22 performs a tenant ID registration process (step D22). Details of this step will be described later.

一方、送信元IPアドレスがテナントID対応テーブルに含まれている場合、テナントID特定部23は、テナントID対応テーブルにおいて送信元IPアドレスに対応付けられたテナントIDを取得する(ステップD14)。   On the other hand, when the transmission source IP address is included in the tenant ID correspondence table, the tenant ID specification unit 23 acquires the tenant ID associated with the transmission source IP address in the tenant ID correspondence table (step D14).

次に、テナントID特定部23は、LDAPディレクトリサービスに特権アカウントでアクセスする。そして、テナントID特定部23は、ステップD14で取得されたテナントIDと、ステップD12で抽出された利用者情報との対応関係が正しいか否かを判断する(ステップD15)。   Next, the tenant ID identification unit 23 accesses the LDAP directory service with a privileged account. Then, the tenant ID identification unit 23 determines whether the correspondence between the tenant ID acquired in step D14 and the user information extracted in step D12 is correct (step D15).

具体的には、前述のように、テナントID特定部23は、LDAPディレクトリツリーにおいて、ステップD14で取得されたテナントIDが管理されているディレクトリ配下に、ステップD12で抽出された利用者IDが存在するか否かを検索すればよい。   Specifically, as described above, the tenant ID specifying unit 23 displays the user ID extracted in step D12 under the directory in which the tenant ID acquired in step D14 is managed in the LDAP directory tree. It is sufficient to search whether or not to.

ここで、対象のテナントIDおよび利用者情報の対応関係が正しい場合、テナントID特定部23は、対象のテナントIDを通信情報出力部24に通知する。そして、通信情報出力部24は、ステップD11で受信されたLDAPリクエストに、通知されたテナントIDを含めて、SDNコントローラ31に対して返却する(ステップD16)。   Here, when the correspondence between the target tenant ID and the user information is correct, the tenant ID identification unit 23 notifies the communication information output unit 24 of the target tenant ID. Then, the communication information output unit 24 includes the notified tenant ID in the LDAP request received in step D11, and returns it to the SDN controller 31 (step D16).

一方、対象のテナントIDおよび利用者情報の対応関係が正しくない場合、テナントID特定部23は、ステップD12で抽出された利用者情報に対応する他のテナントIDがあるか否かを判断する(ステップD17)。   On the other hand, when the correspondence between the target tenant ID and the user information is not correct, the tenant ID identifying unit 23 determines whether there is another tenant ID corresponding to the user information extracted in step D12 ( Step D17).

具体的には、前述のように、テナントID特定部23は、LDAPディレクトリサービスに特権アカウントでアクセスする。そして、テナントID特定部23は、LDAPディレクトリツリーにおいて、該当する利用者IDおよびパスワードに一致する情報を配下に持つテナントIDを検索すればよい。   Specifically, as described above, the tenant ID identification unit 23 accesses the LDAP directory service with a privileged account. Then, the tenant ID specification unit 23 may search for a tenant ID having information matching the corresponding user ID and password in the LDAP directory tree.

ここで、そのような他のテナントIDが存在しない場合、テナントID特定部23は、テナントIDを特定できない旨を、通信情報出力部24に通知する。そして、通信情報出力部24は、認証失敗情報を生成し、SDNコントローラ31に対して返却する(ステップD18)。   Here, when such another tenant ID does not exist, the tenant ID specifying unit 23 notifies the communication information output unit 24 that the tenant ID can not be specified. Then, the communication information output unit 24 generates authentication failure information and returns it to the SDN controller 31 (step D18).

一方、そのような他のテナントIDが存在する場合、テナントID特定部23は、対象のテナントIDおよび利用者情報の組合せについて記録された失敗回数が、所定条件を満たしているか否かを判断する(ステップD19)。   On the other hand, when there is such another tenant ID, the tenant ID identifying unit 23 determines whether or not the number of failures recorded for the combination of the target tenant ID and the user information satisfies a predetermined condition. (Step D19).

具体的には、前述のように、テナントID特定部23は、失敗回数記録テーブルを参照し、該当する失敗回数が閾値を超えたか否かを判断すればよい。   Specifically, as described above, the tenant ID specification unit 23 may refer to the failure count recording table to determine whether the corresponding failure count exceeds a threshold.

ここで、失敗回数が所定条件を満たしていない場合、テナントID特定部23は、対象のテナントIDおよび利用者情報の組合せについて失敗回数を加算する(ステップD20)。   Here, if the number of failures does not satisfy the predetermined condition, the tenant ID identifying unit 23 adds the number of failures for the combination of the target tenant ID and the user information (step D20).

具体的には、前述のように、テナントID特定部23は、失敗回数記録テーブルにおいて対象のテナントIDおよび利用者の組合せについて記録された失敗回数に、1を加算して更新すればよい。   Specifically, as described above, the tenant ID specification unit 23 may add 1 to the number of failures recorded for the combination of the target tenant ID and the user in the number-of-failures recording table and update it.

そして、テナントID特定部23および通信情報出力部24は、ステップD18を実行し、認証失敗情報をSDNコントローラ31に対して返却する。   Then, the tenant ID specification unit 23 and the communication information output unit 24 execute step D18 and return authentication failure information to the SDN controller 31.

一方、ステップD19において、失敗回数が所定条件を満たしている場合、テナントID特定部23は、対象のテナントIDおよび利用者情報の組合せについて記録された失敗回数を0にリセットする(ステップD21)。   On the other hand, when the number of failures satisfies the predetermined condition in step D19, the tenant ID identifying unit 23 resets the number of failures recorded for the combination of the target tenant ID and the user information to 0 (step D21).

そして、テナントID特定部23は、テナントID登録処理を実行する(ステップD22)。   Then, the tenant ID identification unit 23 executes a tenant ID registration process (step D22).

次に、ステップD22におけるテナントID登録処理の詳細を図11に示す。   Next, the details of the tenant ID registration process in step D22 are shown in FIG.

図11において、まず、テナントID登録部22は、ステップD12でLDAPリクエストから抽出された利用者IDおよびパスワードについて、対応するテナントIDを特定する(ステップD31)。   In FIG. 11, first, the tenant ID registration unit 22 specifies the corresponding tenant ID for the user ID and password extracted from the LDAP request in step D12 (step D31).

具体的には、前述のように、テナントID登録部22は、サーバ81のLDAPディレクトリサービスに特権アカウントでアクセスする。そして、テナントID登録部22は、該当する利用者IDおよびパスワードを配下に持つテナントIDを検索すればよい。   Specifically, as described above, the tenant ID registration unit 22 accesses the LDAP directory service of the server 81 with a privileged account. Then, the tenant ID registration unit 22 may search for a tenant ID having the corresponding user ID and password under control.

ここで、検索の結果、対象の利用者IDおよびパスワードに対応するテナントIDを特定できない場合について説明する(ステップD32でNo)。   Here, the case where the tenant ID corresponding to the target user ID and password can not be specified as a result of the search will be described (No in step D32).

この場合、テナントID登録部22は、テナントIDを特定できない旨を、通信情報出力部24に通知する。そして、通信情報出力部24は、認証失敗情報を生成し、SDNコントローラ31に返却する(ステップD33)。   In this case, the tenant ID registration unit 22 notifies the communication information output unit 24 that the tenant ID can not be identified. Then, the communication information output unit 24 generates authentication failure information and returns it to the SDN controller 31 (step D33).

一方、検索の結果、対象の利用者IDおよびパスワードに対応するテナントIDを特定できた場合について説明する(ステップD32でYes)。   On the other hand, the case where the tenant ID corresponding to the target user ID and password can be specified as a result of the search will be described (Yes in step D32).

この場合、テナントID登録部22は、送信元IPアドレスおよび特定したテナントIDを対応付けて、テナントID対応テーブルに登録する(ステップD34)。   In this case, the tenant ID registration unit 22 registers the transmission source IP address and the specified tenant ID in association with each other in the tenant ID correspondence table (step D34).

このとき、ステップD13でNoと判断されて呼び出されたテナントID登録処理であれば、テナントID登録部22は、テナントID対応テーブルに新規エントリとして、該当する送信元IPアドレスおよびテナントIDを登録すればよい。また、ステップD19でYesと判断されて呼び出されたテナントID登録処理であれば、テナントID登録部22は、登録済みの送信元IPアドレスに対応づけられていたテナントIDを、今回特定したテナントIDに更新すればよい。   At this time, if it is the tenant ID registration processing that is determined to be No in step D13 and is called, the tenant ID registration unit 22 registers the corresponding transmission source IP address and tenant ID as a new entry in the tenant ID correspondence table. Just do it. In addition, if it is the tenant ID registration processing that is determined to be Yes in step D19 and is called, the tenant ID registration unit 22 determines the tenant ID that has been associated this time with the registered transmission source IP address. You can update to.

次に、テナントID登録部22は、特定したテナントIDを、通信情報出力部24に通知する。そして、通信情報出力部24は、LDAPリクエストにテナントIDを含めて、SDNコントローラ31に返却する(ステップD35)。   Next, the tenant ID registration unit 22 notifies the communication information output unit 24 of the specified tenant ID. Then, the communication information output unit 24 includes the tenant ID in the LDAP request and returns it to the SDN controller 31 (step D35).

以上で、通信情報制御装置20は、テナントID登録動作を終了する。   Thus, the communication information control device 20 ends the tenant ID registration operation.

次に、本発明の第2の実施の形態の効果について述べる。   Next, the effects of the second embodiment of the present invention will be described.

本発明の第2の実施の形態としての中継システムは、運用コスト、マシンコスト、検索コストを低減しながら、利用者に意識させることなく、より適切なテナントIDをサーバに通知することができる。   The relay system as the second embodiment of the present invention can notify the server of a more appropriate tenant ID without making the user aware, while reducing the operation cost, the machine cost and the search cost.

その理由について説明する。本実施の形態では、通信情報取得部によってリクエストが取得されると、テナントID登録部が、リクエストから抽出された利用者情報に対応するテナントIDを特定する。このテナントIDの特定処理は、マルチテナントサービスの管理情報に特権アカウントでアクセスすることにより行われる。そして、テナントID登録部が、送信元IPアドレスおよびテナントIDの対応関係をテナントID対応テーブルに登録する。そして、リクエストの送信元IPアドレスがテナントID対応テーブルに含まれる場合に、テナントID特定部が、送信元IPアドレスに対応付けられたテナントIDと、リクエストから抽出された利用者情報との対応関係が正しいか否かを確認する。この確認処理は、マルチテナントサービスの管理情報に特権アカウントでアクセスすることにより行われる。そして、対応関係が正しいことが確認された場合に、通信情報出力部が、そのテナントIDをリクエストに含めて返却するからである。   The reason is explained. In the present embodiment, when a request is acquired by the communication information acquisition unit, the tenant ID registration unit identifies a tenant ID corresponding to the user information extracted from the request. The specification process of the tenant ID is performed by accessing the management information of the multi-tenant service with a privileged account. Then, the tenant ID registration unit registers the correspondence between the transmission source IP address and the tenant ID in the tenant ID correspondence table. Then, when the transmission source IP address of the request is included in the tenant ID correspondence table, the tenant ID specification unit corresponds the correspondence between the tenant ID corresponding to the transmission source IP address and the user information extracted from the request. Make sure that is correct. This confirmation process is performed by accessing multi-tenant service management information with a privileged account. Then, when it is confirmed that the correspondence relationship is correct, the communication information output unit includes the tenant ID in the request and returns it.

また、さらに、本実施の形態は、テナントID対応テーブルに含まれる送信元IPアドレスに対応付けられたテナントIDおよびリクエストから抽出された利用者情報の対応関係が正しくない場合に、次のように動作するよう構成される。すなわち、テナントID特定部が、その利用者情報に対応する他のテナントIDがあるか否かを確認する。この確認処理は、マルチテナントサービスの管理情報に特権アカウントでアクセスすることにより行われる。そして、他のテナントIDがある場合、テナントID特定部は、送信元IPアドレスに対応付けられたテナントIDおよび利用者情報の組合せに対応付けて、失敗回数を記録する。そして、失敗回数が所定条件を満たした場合に、テナントID登録部が、リクエストから抽出された利用者情報に対応するテナントIDを改めて特定する。そして、テナントID登録部が、改めて特定したテナントIDを用いて、テナントID対応テーブルにおいて送信元IPアドレスに対応付けられた情報を更新するからである。テナントIDを改めて特定する処理は、マルチテナントサービスの管理情報に特権アカウントでアクセスすることにより行われる。また、そのような他のテナントIDがない場合、または、失敗回数が所定条件を満たさない場合は、通信情報出力部は、認証失敗情報を、SDNコントローラに返却する。   Furthermore, in the present embodiment, when the correspondence between the tenant ID associated with the transmission source IP address included in the tenant ID correspondence table and the user information extracted from the request is not correct, as follows: Configured to work. That is, the tenant ID identification unit checks whether there is another tenant ID corresponding to the user information. This confirmation process is performed by accessing multi-tenant service management information with a privileged account. Then, when there is another tenant ID, the tenant ID identification unit records the number of failures in association with the combination of the tenant ID and the user information associated with the transmission source IP address. Then, if the number of failures satisfies the predetermined condition, the tenant ID registration unit again specifies the tenant ID corresponding to the user information extracted from the request. Then, the tenant ID registration unit updates the information associated with the transmission source IP address in the tenant ID correspondence table using the tenant ID identified again. The process of specifying the tenant ID again is performed by accessing the management information of the multi-tenant service with a privileged account. If there is no such other tenant ID, or if the number of failures does not satisfy the predetermined condition, the communication information output unit returns authentication failure information to the SDN controller.

これにより、本実施の形態は、次の2つのケースを区別して、より適切なテナントIDを特定することができる。   In this way, the present embodiment can identify the more appropriate tenant ID by distinguishing the following two cases.

1つ目のケースは、対象のテナントIDの利用者が、リクエストに含める利用者情報の入力を間違えたケースである。つまり、本実施の形態は、他のテナントIDがない、または、失敗回数が所定条件を満たさない(閾値を超えない)場合は、この1つ目のケースであるとみなす。そして、この場合、本実施の形態は、認証失敗情報を返却することにより、利用者に正しい利用者情報の入力を促すことになる。その結果、本実施の形態は、次回のリクエストについて、その送信元IPアドレスに対応付けられたテナントIDおよび利用者情報との対応関係が正しいと判断し、正しい利用者情報を含むリクエストに適切なテナントIDを含めてサーバに送信する可能性を高める。   The first case is a case where the user of the target tenant ID fails to input the user information included in the request. That is, in the present embodiment, when there is no other tenant ID or the number of failures does not satisfy the predetermined condition (does not exceed the threshold), it is considered as the first case. Then, in this case, the present embodiment urges the user to input correct user information by returning authentication failure information. As a result, the present embodiment determines that the correspondence between the tenant ID and the user information associated with the transmission source IP address is correct for the next request, and is appropriate for the request including the correct user information. Increase the possibility of sending to the server including the tenant ID.

2つ目のケースは、利用者環境の変更等の理由により、ある送信元IPアドレスが、以前にはテナントAの利用者からのリクエストの送信元であったが、テナントBの利用者からのリクエストの送信元に変更されたような場合である。この場合、リクエストから抽出される利用者情報は、テナントID対応テーブルにおいてリクエストの送信元IPアドレスに対応付けられたテナントIDとは異なるテナントIDに対応することになる。つまり、本実施の形態は、他のテナントIDがあり、失敗回数が所定条件を満たす場合、他のテナントIDの利用者が、変更になった送信元から正しい利用者情報を何度も入力してリクエストを送信している可能性が高いとみなす。そして、この場合、本実施の形態は、テナントID登録処理を行って、その送信元IPアドレスに対応するテナントIDを、利用者環境の変更に対応した新たなテナントIDに更新することができる。   In the second case, a source IP address was previously the source of a request from the tenant A user due to a change in the user environment, etc., but the tenant B user It is a case where it has been changed to the request sender. In this case, the user information extracted from the request corresponds to the tenant ID different from the tenant ID associated with the transmission source IP address of the request in the tenant ID correspondence table. That is, in the present embodiment, when there is another tenant ID and the number of failures satisfies a predetermined condition, the user of the other tenant ID inputs correct user information many times from the changed transmission source. It is highly likely that you are sending a request. Then, in this case, in the present embodiment, the tenant ID registration process can be performed to update the tenant ID corresponding to the transmission source IP address to a new tenant ID corresponding to the change of the user environment.

このようにして、本実施の形態は、利用者に、テナントIDを意識させることなく、マルチテナントサービスを利用させることが可能である。また、本実施の形態は、送信元の識別アドレスに基づいてテナントIDを特定するよう構成されるため、各テナントが属する組織のゲートウェイの外からの認証要求に対しても対応することができる。その結果、利用者は、自テナントのゲートウェイの外からモバイル端末を用いる場合でも、テナントIDを意識することなくマルチテナントサービスを利用可能である。   Thus, in the present embodiment, it is possible to make the user use the multi-tenant service without making the tenant ID conscious. Further, since the present embodiment is configured to specify the tenant ID based on the identification address of the transmission source, it is possible to cope with an authentication request from outside the gateway of the organization to which each tenant belongs. As a result, the user can use the multi-tenant service without being aware of the tenant ID even when using the mobile terminal from outside the gateway of the own tenant.

また、本実施の形態は、クライアントの利用環境変化に応じて、テナントID対応テーブルを更新する。そのため、本実施の形態は、クライアントの利用環境変化に伴う、マルチテナントサービス事業者への利用変更申請を不要にし、運用コストを低減する。   Further, in the present embodiment, the tenant ID correspondence table is updated according to the change in the use environment of the client. Therefore, in the present embodiment, the application change application to the multi-tenant service provider accompanying the change in the use environment of the client becomes unnecessary, and the operation cost is reduced.

また、本実施の形態は、マルチテナントサービス事業者側にとって、顧客の利用環境を別途管理する必要が無い。また、クライアント側の送信元アドレスは、顧客のゲートウェイのアドレスとなるケースが多い。このため、本実施の形態では、利用者数が増大しても、テナントID対応テーブルを保存するためのメモリ量が増大することはない。したがって、本実施の形態は、利用者数増加の影響を受けることなく、低リソースで実現可能となり、マシンコストを増大させない。また、本実施の形態は、利用者数増加の影響を受けることなく、テナントID対応テーブルに対する検索コストを増大させない。   Further, in the present embodiment, it is not necessary for the multi-tenant service provider side to separately manage the usage environment of the customer. In addition, the source address on the client side is often the address of the customer's gateway. Therefore, in the present embodiment, even if the number of users increases, the amount of memory for storing the tenant ID correspondence table does not increase. Therefore, the present embodiment can be realized with low resources without being affected by the increase in the number of users, and does not increase the machine cost. Also, the present embodiment does not increase the search cost for the tenant ID correspondence table without being affected by the increase in the number of users.

なお、本実施の形態において、通信情報制御装置は、SDNコントローラの機能として実現されてもよい。   In the present embodiment, the communication information control apparatus may be realized as a function of the SDN controller.

また、本実施の形態において、テナントID特定部は、テナントID対応テーブルから取得したテナントIDおよびリクエストから抽出された利用者情報の対応関係が正しいか否かを確認する処理として、図10〜図11に示した処理を行う例を説明した。これに限らず、テナントID特定部は、その他の手法を用いて、テナントIDおよびリクエストから抽出された利用者情報の対応関係が正しいか否かを確認してもよい。   Also, in the present embodiment, the tenant ID specification unit checks whether the correspondence between the tenant ID acquired from the tenant ID correspondence table and the user information extracted from the request is correct as shown in FIG. The example which performs the process shown to 11 was demonstrated. Not limited to this, the tenant ID specification unit may use another method to check whether the correspondence between the tenant ID and the user information extracted from the request is correct.

また、本実施の形態において、テナントID特定部は、利用者が誤った利用者情報を入力している場合と、利用者環境に変更のあった他のテナントIDの利用者が正しい利用者情報を入力している場合とを判別するため、失敗回数を記録する例を説明した。これに限らず、テナントID特定部は、その他の判断基準を用いて、これらのケースを判別してもよい。   Also, in the present embodiment, the tenant ID specification unit is a case where the user has input wrong user information, and the user information of the user of another tenant ID whose user environment has been changed is correct. An example of recording the number of failures has been described in order to determine that the user has input. Not limited to this, the tenant ID specification unit may determine these cases using other determination criteria.

また、本実施の形態において、マルチテナントサービスの一例として、マルチテナント型のLDAPディレクトリサービスを想定して説明した。これに限らず、本実施の形態は、他のマルチテナントサービスにも適用可能である。例えば、本実施の形態は、マルチテナントサービスとして、一般的なDBMS(Database Management System)を利用したマルチテナント型アプリケーションサービスを適用した場合にも実施可能である。   Further, in the present embodiment, a multi-tenant type LDAP directory service has been described as an example of the multi-tenant service. The present embodiment is not limited to this, and is applicable to other multi-tenant services. For example, the present embodiment can also be implemented when a multi-tenant application service using a general DBMS (Database Management System) is applied as the multi-tenant service.

また、本実施の形態において、通信経路制御システムが、SDNによって構成される例について説明した。ただし、通信経路制御システムの構成はこれに限られない。通信経路制御システムは、マルチテナントサービスに対する認証要求を表すクライアントからのリクエストを通信情報制御装置に転送し、通信情報制御装置から出力されるリクエストをサーバに転送するよう通信経路を制御するシステムであればよい。   Further, in the present embodiment, the example in which the communication path control system is configured by the SDN has been described. However, the configuration of the communication path control system is not limited to this. The communication path control system is a system that controls a communication path to transfer a request from a client representing an authentication request for multi-tenant service to the communication information control device and transfer a request output from the communication information control device to the server. Just do it.

また、本実施の形態において、テナントID登録部は、失敗回数が所定条件を満たしたことを契機に動作する場合、テナントID対応テーブルにおいて送信元IPアドレスに対応付けられたテナントIDを新たなテナントIDで更新する例を中心に説明した。これに限らず、本実施の形態において、テナントID登録部は、失敗回数が所定条件を満たしたことを契機に動作する場合、テナントID対応テーブルに、送信元IPアドレスおよび新たに特定したテナントIDを対応付けた情報を追加してもよい。この場合、テナントID特定部は、テナントID対応テーブルから、送信元IPアドレスに対応する複数のテナントIDを取得するケースが出てくる。このような場合、テナントID特定部は、リクエストから抽出された利用者情報を配下に持つテナントIDを特定すればよい。   In the present embodiment, when the tenant ID registration unit operates when the failure count satisfies the predetermined condition, the tenant ID associated with the transmission source IP address in the tenant ID correspondence table is a new tenant. The example has been described focusing on updating with the ID. Not limited to this, in the present embodiment, the tenant ID registration unit operates when the failure count satisfies the predetermined condition, the transmission source IP address and the newly identified tenant ID in the tenant ID correspondence table. You may add the information which matched the. In this case, there is a case where the tenant ID specification unit acquires a plurality of tenant IDs corresponding to the transmission source IP address from the tenant ID correspondence table. In such a case, the tenant ID identification unit may identify the tenant ID that has the user information subordinately extracted from the request.

また、上述した本発明の各実施の形態において、マルチテナントサービスでは、異なるテナントであっても同一の利用者情報が登録されないよう運用されるものとして説明した。これに限らず、各実施の形態は、異なるテナントであれば同一の利用者情報が登録される場合にも対応可能である。この場合、通信情報出力部は、テナントIDをクライアントに問い合わせる情報を返却してもよい。   Further, in each of the embodiments of the present invention described above, it has been described that the multi-tenant service is operated such that the same user information is not registered even for different tenants. Not only this but each embodiment can cope with the case where different tenants are registered with the same user information. In this case, the communication information output unit may return information for inquiring the client about the tenant ID.

また、上述した本発明の各実施の形態は、マルチテナントサービスの管理情報において利用者情報が所定のアルゴリズムで暗号化されている場合にも対応可能である。この場合、テナントID登録部およびテナントID特定部は、リクエストから抽出された利用者情報を、同一のアルゴリズムで暗号化した上で管理情報を検索すればよい。   In addition, each embodiment of the present invention described above can cope with the case where user information is encrypted by a predetermined algorithm in the management information of the multi-tenant service. In this case, the tenant ID registration unit and the tenant ID identification unit may search for management information after encrypting the user information extracted from the request with the same algorithm.

また、上述した本発明の各実施の形態において、通信情報制御装置の各機能ブロックが、記憶装置またはROMに記憶されたコンピュータ・プログラムを実行するCPUによって実現される例を中心に説明した。これに限らず、各機能ブロックの一部、全部、または、それらの組み合わせが専用のハードウェアにより実現されていてもよい。   Also, in each of the embodiments of the present invention described above, an example has been described focusing on an example where each functional block of the communication information control apparatus is realized by a CPU that executes a computer program stored in a storage device or a ROM. The present invention is not limited to this, and some, all, or a combination of each functional block may be realized by dedicated hardware.

また、上述した本発明の各実施の形態において、通信情報制御装置の機能ブロックは、複数の装置に分散されて実現されてもよい。   Further, in each embodiment of the present invention described above, the functional blocks of the communication information control apparatus may be realized by being distributed to a plurality of apparatuses.

また、上述した本発明の各実施の形態において、各フローチャートを参照して説明した通信情報制御装置の動作を、本発明のコンピュータ・プログラムとしてコンピュータの記憶装置(記憶媒体)に格納しておく。そして、係るコンピュータ・プログラムを当該CPUが読み出して実行するようにしてもよい。そして、このような場合において、本発明は、係るコンピュータ・プログラムのコードあるいは記憶媒体によって構成される。   In each embodiment of the present invention described above, the operation of the communication information control apparatus described with reference to the flowcharts is stored as a computer program of the present invention in a storage device (storage medium) of a computer. Then, the CPU may read out and execute the computer program. And, in such a case, the present invention is constituted by such computer program code or storage medium.

また、上述した各実施の形態は、適宜組み合わせて実施されることが可能である。   Moreover, each embodiment mentioned above can be implemented combining suitably.

また、本発明は、上述した各実施の形態に限定されず、様々な態様で実施されることが可能である。   Furthermore, the present invention is not limited to the above-described embodiments, and can be implemented in various aspects.

10、20 通信情報制御装置
11、21 通信情報取得部
12、22 テナントID登録部
13、23 テナントID特定部
14、24 通信情報出力部
2 中継システム
30 通信経路制御システム
31 SDNコントローラ
32 第1のSDNスイッチ
33 第2のSDNスイッチ
80、81 サーバ
90、91 クライアント
1001 CPU
1002 メモリ
1003 出力装置
1004 入力装置
1005 ネットワークインタフェース 10, 20 communication information control unit 11, 21 communication information acquisition unit 12, 22 tenant ID registration unit 13, 23 tenant ID identification unit 14, 24 communication information output unit 2 relay system 30 communication route control system 31 SDN controller 32 first SDN switch 33 second SDN switch 80, 81 server 90, 91 client 1001 CPU
1002 memory 1003 output device 1004 input device 1005 network interface

Claims (9)

テナント毎に登録された利用者に対してマルチテナントサービスを提供するサーバおよび前記マルチテナントサービスを利用するクライアント間で送受信される情報を制御する通信情報制御装置であって、
前記クライアントから前記サーバへ送信される前記マルチテナントサービスに対する認証要求を表すリクエストを取得する通信情報取得部と、
前記リクエストの送信元の識別アドレスがテナントID対応テーブルに含まれない場合、前記サーバにおける前記マルチテナントサービスの管理情報を参照することにより、前記リクエストから抽出される利用者情報に対応するテナントIDを特定し、特定したテナントIDおよび前記送信元の識別アドレスを対応付けて前記テナントID対応テーブルに登録するテナントID登録部と、
前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDを特定するテナントID特定部と、
前記テナントID登録部または前記テナントID特定部によって特定されたテナントIDを前記リクエストに含めて、前記マルチテナントサービスに対するリクエストとして出力する通信情報出力部と、
を備え
前記テナントID特定部は、前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDと前記利用者情報との対応関係が正しいか否かを、前記管理情報を参照することにより判断し、正しいと判断した場合に、該テナントIDを特定し、
前記テナントID特定部によって、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDと前記利用者情報との対応関係が正しくないと判断された場合に、前記通信情報出力部は、前記送信元に対する返却用の認証失敗情報を出力する
通信情報制御装置。 A server for providing multi-tenant services to users registered for each tenant, and a communication information control apparatus for controlling information transmitted and received between clients using the multi-tenant services,
A communication information acquisition unit for acquiring a request representing an authentication request for the multi-tenant service transmitted from the client to the server;
When the identification address of the transmission source of the request is not included in the tenant ID correspondence table, the tenant ID corresponding to the user information extracted from the request is referred to by referring to the management information of the multi-tenant service in the server. A tenant ID registration unit for specifying and registering the specified tenant ID and the identification address of the transmission source in association with the tenant ID correspondence table;
A tenant ID specification unit that specifies a tenant ID associated with the identification address of the transmission source in the tenant ID correspondence table, when the identification address of the transmission source is included in the tenant ID correspondence table;
A communication information output unit that includes the tenant ID specified by the tenant ID registration unit or the tenant ID specification unit in the request and outputs the request as a request for the multi-tenant service;
Equipped with
The tenant ID specification unit, when the identification address of the transmission source is included in the tenant ID correspondence table, the tenant ID associated with the identification address of the transmission source in the tenant ID correspondence table, and the user information Whether or not the correspondence relationship is correct is determined by referring to the management information, and when it is determined that it is correct, the tenant ID is specified,
The communication information output unit when the tenant ID identification unit determines that the correspondence between the tenant ID associated with the identification address of the transmission source in the tenant ID correspondence table and the user information is not correct. A communication information control apparatus for outputting authentication failure information for return to the transmission source . テナント毎に登録された利用者に対してマルチテナントサービスを提供するサーバおよび前記マルチテナントサービスを利用するクライアント間で送受信される情報を制御する通信情報制御装置であって、
前記クライアントから前記サーバへ送信される前記マルチテナントサービスに対する認証要求を表すリクエストを取得する通信情報取得部と、
前記リクエストの送信元の識別アドレスがテナントID対応テーブルに含まれない場合、前記サーバにおける前記マルチテナントサービスの管理情報を参照することにより、前記リクエストから抽出される利用者情報に対応するテナントIDを特定し、特定したテナントIDおよび前記送信元の識別アドレスを対応付けて前記テナントID対応テーブルに登録するテナントID登録部と、
前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDを特定するテナントID特定部と、
前記テナントID登録部または前記テナントID特定部によって特定されたテナントIDを前記リクエストに含めて、前記マルチテナントサービスに対するリクエストとして出力する通信情報出力部と、
を備え、
前記テナントID特定部は、前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDと前記利用者情報との対応関係が正しいか否かを、前記管理情報を参照することにより判断し、正しいと判断した場合に、該テナントIDを特定し、
前記テナントID特定部によって、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDと前記利用者情報との対応関係が正しくないと判断された場合に、前記テナントID登録部は、前記管理情報を参照することにより前記利用者情報に対応するテナントIDを特定し、特定したテナントIDを用いて前記テナントID対応テーブルを更新する
通信情報制御装置。 A server for providing multi-tenant services to users registered for each tenant, and a communication information control apparatus for controlling information transmitted and received between clients using the multi-tenant services,
A communication information acquisition unit for acquiring a request representing an authentication request for the multi-tenant service transmitted from the client to the server;
When the identification address of the transmission source of the request is not included in the tenant ID correspondence table, the tenant ID corresponding to the user information extracted from the request is referred to by referring to the management information of the multi-tenant service in the server. A tenant ID registration unit for specifying and registering the specified tenant ID and the identification address of the transmission source in association with the tenant ID correspondence table;
A tenant ID specification unit that specifies a tenant ID associated with the identification address of the transmission source in the tenant ID correspondence table, when the identification address of the transmission source is included in the tenant ID correspondence table;
A communication information output unit that includes the tenant ID specified by the tenant ID registration unit or the tenant ID specification unit in the request and outputs the request as a request for the multi-tenant service;
Equipped with
The tenant ID specification unit, when the identification address of the transmission source is included in the tenant ID correspondence table, the tenant ID associated with the identification address of the transmission source in the tenant ID correspondence table, and the user information Whether or not the correspondence relationship is correct is determined by referring to the management information, and when it is determined that it is correct, the tenant ID is specified,
The tenant ID registration unit when the tenant ID identification unit determines that the correspondence between the tenant ID associated with the identification address of the transmission source in the tenant ID correspondence table and the user information is not correct. The communication information control apparatus identifies a tenant ID corresponding to the user information by referring to the management information, and updates the tenant ID correspondence table using the identified tenant ID. 前記テナントID特定部は、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDと前記利用者情報との対応関係が正しくないと判断した失敗回数を、該テナントIDおよび該利用者情報の組合せ毎に記録し、
前記テナントID登録部は、前記失敗回数が所定条件を満たした場合に、前記管理情報を参照することにより前記利用者情報に対応するテナントIDを特定し、特定したテナントIDを用いて前記テナントID対応テーブルを更新することを特徴とする請求項に記載の通信情報制御装置。 The tenant ID specification unit determines the number of failures determined that the correspondence between the tenant ID associated with the identification address of the transmission source and the user information in the tenant ID correspondence table is not correct, the tenant ID and the number of failures. Record each combination of user information,
The tenant ID registration unit identifies the tenant ID corresponding to the user information by referring to the management information when the number of failures satisfies a predetermined condition, and uses the identified tenant ID to identify the tenant ID The communication information control apparatus according to claim 2 , characterized in that the correspondence table is updated. 前記テナントID特定部は、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDと前記利用者情報との対応関係が正しくないと判断した場合に、前記利用者情報との対応関係が正しい他のテナントIDがあるか否かを、前記管理情報を参照することにより判断し、他のテナントIDがあると判断した場合に、前記失敗回数を記録することを特徴とする請求項に記載の通信情報制御装置。 When the tenant ID identifying unit determines that the correspondence between the tenant ID associated with the identification address of the transmission source in the tenant ID correspondence table and the user information is not correct, It is determined whether or not there is another tenant ID whose correspondence is correct by referring to the management information, and when it is determined that there is another tenant ID, the number of failures is recorded. The communication information control device according to Item 3 . 請求項1から請求項のいずれか1項に記載の通信情報制御装置と、
前記クライアントから前記マルチテナントサービスに対する認証要求を表すリクエストを受信すると、該リクエストを前記通信情報制御装置に転送することにより、前記通信情報制御装置から前記テナントIDを含むリクエストを受信し、受信したリクエストを前記サーバに送信する通信経路制御システムと、
を備えた中継システム。 The communication information control apparatus according to any one of claims 1 to 4 .
When a request representing an authentication request for the multi-tenant service is received from the client, the request is transferred to the communication information control device to receive the request including the tenant ID from the communication information control device, and the received request A communication path control system that transmits to the server;
Relay system equipped with テナント毎に登録された利用者に対してマルチテナントサービスを提供するサーバおよび前記マルチテナントサービスを利用するクライアント間で送受信される情報を制御する通信情報制御方法であって、
前記クライアントから前記サーバへ送信される前記マルチテナントサービスに対する認証要求を表すリクエストを取得すると、
前記リクエストの送信元の識別アドレスがテナントID対応テーブルに含まれない場合、前記サーバにおける前記マルチテナントサービスの管理情報を参照することにより、前記リクエストから抽出される利用者情報に対応するテナントIDを特定し、特定したテナントIDおよび前記送信元の識別アドレスを対応付けて前記テナントID対応テーブルに
登録し、
前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応づけられたテナントIDを特定し、
特定したテナントIDを前記リクエストに含めて、前記マルチテナントサービスに対するリクエストとして出力し、
前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDと前記利用者情報との対応関係が正しいか否かを、前記管理情報を参照することにより判断し、正しいと判断した場合に、該テナントIDを特定し、
前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDと前記利用者情報との対応関係が正しくないと判断された場合に、前記送信元に対する返却用の認証失敗情報を出力する
通信情報制御方法。 A communication information control method for controlling a server for providing multi-tenant service to a user registered for each tenant and information transmitted and received between clients using the multi-tenant service,
When acquiring a request representing an authentication request for the multi-tenant service sent from the client to the server,
When the identification address of the transmission source of the request is not included in the tenant ID correspondence table, the tenant ID corresponding to the user information extracted from the request is referred to by referring to the management information of the multi-tenant service in the server. Identifying and associating the identified tenant ID with the identification address of the transmission source in the tenant ID correspondence table,
When the identification address of the transmission source is included in the tenant ID correspondence table, the tenant ID corresponding table is identified with the tenant ID in the tenant ID correspondence table,
The specified tenant ID is included in the request, and output as a request for the multi-tenant service ,
When the identification address of the transmission source is included in the tenant ID correspondence table, whether the correspondence between the tenant ID associated with the identification address of the transmission source and the user information is correct in the tenant ID correspondence table Is determined by referring to the management information, and if it is determined that the tenant ID is correct,
The authentication failure information for return to the transmission source is output when it is determined that the correspondence between the tenant ID associated with the identification address of the transmission source and the user information is not correct in the tenant ID correspondence table. communication information control method for. テナント毎に登録された利用者に対してマルチテナントサービスを提供するサーバおよび前記マルチテナントサービスを利用するクライアント間で送受信される情報を制御する通信情報制御方法であって、  A communication information control method for controlling a server for providing multi-tenant service to a user registered for each tenant and information transmitted and received between clients using the multi-tenant service,
前記クライアントから前記サーバへ送信される前記マルチテナントサービスに対する認証要求を表すリクエストを取得すると、  When acquiring a request representing an authentication request for the multi-tenant service sent from the client to the server,
前記リクエストの送信元の識別アドレスがテナントID対応テーブルに含まれない場合、前記サーバにおける前記マルチテナントサービスの管理情報を参照することにより、前記リクエストから抽出される利用者情報に対応するテナントIDを特定し、特定したテナントIDおよび前記送信元の識別アドレスを対応付けて前記テナントID対応テーブルに  When the identification address of the transmission source of the request is not included in the tenant ID correspondence table, the tenant ID corresponding to the user information extracted from the request is referred to by referring to the management information of the multi-tenant service in the server. In the tenant ID correspondence table, the specified tenant ID and the identification address of the transmission source are correlated and specified
登録し、Register,
前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応づけられたテナントIDを特定し、  When the identification address of the transmission source is included in the tenant ID correspondence table, the tenant ID corresponding table is identified with the tenant ID in the tenant ID correspondence table,
特定したテナントIDを前記リクエストに含めて、前記マルチテナントサービスに対するリクエストとして出力し、  The specified tenant ID is included in the request, and output as a request for the multi-tenant service,
前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDと前記利用者情報との対応関係が正しいか否かを、前記管理情報を参照することにより判断し、正しいと判断した場合に、該テナントIDを特定し、  When the identification address of the transmission source is included in the tenant ID correspondence table, whether the correspondence between the tenant ID associated with the identification address of the transmission source and the user information is correct in the tenant ID correspondence table Is determined by referring to the management information, and if it is determined that the tenant ID is correct,
前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDと前記利用者情報との対応関係が正しくないと判断された場合に、前記管理情報を参照することにより前記利用者情報に対応するテナントIDを特定し、特定したテナントIDを用いて前記テナントID対応テーブルを更新する  The user information is referred to by referring to the management information when it is determined in the tenant ID correspondence table that the correspondence between the tenant ID associated with the identification address of the transmission source and the user information is not correct. Identify the tenant ID corresponding to, and update the tenant ID correspondence table using the identified tenant ID
通信情報制御方法。  Communication information control method. テナント毎に登録された利用者に対してマルチテナントサービスを提供するサーバおよび前記マルチテナントサービスを利用するクライアント間で送受信される情報を制御する通信情報制御装置に、
前記クライアントから前記サーバへ送信される前記マルチテナントサービスに対する認証要求を表すリクエストを取得する通信情報取得ステップと、
前記リクエストの送信元の識別アドレスがテナントID対応テーブルに含まれない場合、前記サーバにおける前記マルチテナントサービスの管理情報を参照することにより、前記リクエストから抽出される利用者情報に対応するテナントIDを特定し、特定したテナントIDおよび前記送信元の識別アドレスを対応付けて前記テナントID対応テーブルに登録するテナントID登録ステップと、
前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応づけられたテナントIDを特定するテナントID特定ステップと、
前記テナントID登録ステップまたは前記テナントID特定ステップにおいて特定されたテナントIDを前記リクエストに含めて、前記マルチテナントサービスに対するリクエストとして出力する通信情報出力ステップと、を実行させ
前記テナントID特定ステップにおいて、前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDと前記利用者情報との対応関係が正しいか否かを、前記管理情報を参照することにより判断し、正しいと判断した場合に、該テナントIDを特定し、
前記テナントID特定ステップにおいて、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDと前記利用者情報との対応関係が正しくないと判断された場合に、前記送信元に対する返却用の認証失敗情報を出力する
通信情報制御プログラム。 A server for providing multi-tenant service to a user registered for each tenant and a communication information control apparatus for controlling information transmitted and received between clients using the multi-tenant service
A communication information acquisition step of acquiring a request representing an authentication request for the multi-tenant service transmitted from the client to the server;
When the identification address of the transmission source of the request is not included in the tenant ID correspondence table, the tenant ID corresponding to the user information extracted from the request is referred to by referring to the management information of the multi-tenant service in the server. A tenant ID registration step of specifying and registering the specified tenant ID and the identification address of the transmission source in association with the tenant ID correspondence table;
A tenant ID specifying step of specifying a tenant ID associated with the identification address of the transmission source in the tenant ID correspondence table, when the identification address of the transmission source is included in the tenant ID correspondence table;
Execute the communication information output step of including the tenant ID identified in the tenant ID registration step or the tenant ID identification step in the request and outputting the request as a request for the multi-tenant service ;
In the tenant ID specifying step, when the identification address of the transmission source is included in the tenant ID correspondence table, the tenant ID associated with the identification address of the transmission source in the tenant ID correspondence table and the user information Whether or not the correspondence relationship is correct is determined by referring to the management information, and when it is determined that it is correct, the tenant ID is specified,
When it is determined in the tenant ID identification step that the correspondence between the tenant ID associated with the identification address of the transmission source and the user information is not correct in the tenant ID correspondence table, return to the transmission source Communication control program that outputs authentication failure information for テナント毎に登録された利用者に対してマルチテナントサービスを提供するサーバおよび前記マルチテナントサービスを利用するクライアント間で送受信される情報を制御する通信情報制御装置に、  A server for providing multi-tenant service to a user registered for each tenant and a communication information control apparatus for controlling information transmitted and received between clients using the multi-tenant service
前記クライアントから前記サーバへ送信される前記マルチテナントサービスに対する認証要求を表すリクエストを取得する通信情報取得ステップと、  A communication information acquisition step of acquiring a request representing an authentication request for the multi-tenant service transmitted from the client to the server;
前記リクエストの送信元の識別アドレスがテナントID対応テーブルに含まれない場合、前記サーバにおける前記マルチテナントサービスの管理情報を参照することにより、前記リクエストから抽出される利用者情報に対応するテナントIDを特定し、特定したテナントIDおよび前記送信元の識別アドレスを対応付けて前記テナントID対応テーブルに登録するテナントID登録ステップと、  When the identification address of the transmission source of the request is not included in the tenant ID correspondence table, the tenant ID corresponding to the user information extracted from the request is referred to by referring to the management information of the multi-tenant service in the server. A tenant ID registration step of specifying and registering the specified tenant ID and the identification address of the transmission source in association with the tenant ID correspondence table;
前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応づけられたテナントIDを特定するテナントID特定ステップと、  A tenant ID specifying step of specifying a tenant ID associated with the identification address of the transmission source in the tenant ID correspondence table, when the identification address of the transmission source is included in the tenant ID correspondence table;
前記テナントID登録ステップまたは前記テナントID特定ステップにおいて特定されたテナントIDを前記リクエストに含めて、前記マルチテナントサービスに対するリクエストとして出力する通信情報出力ステップと、を実行させ、  Execute the communication information output step of including the tenant ID identified in the tenant ID registration step or the tenant ID identification step in the request and outputting the request as a request for the multi-tenant service;
前記テナントID特定ステップにおいて、前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDと前記利用者情報との対応関係が正しいか否かを、前記管理情報を参照することにより判断し、正しいと判断した場合に、該テナントIDを特定し、  In the tenant ID specifying step, when the identification address of the transmission source is included in the tenant ID correspondence table, the tenant ID associated with the identification address of the transmission source in the tenant ID correspondence table and the user information Whether or not the correspondence relationship is correct is determined by referring to the management information, and when it is determined that it is correct, the tenant ID is specified,
前記テナントID特定ステップにおいて、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDと前記利用者情報との対応関係が正しくないと判断された場合に、前記管理情報を参照することにより前記利用者情報に対応するテナントIDを特定し、特定したテナントIDを用いて前記テナントID対応テーブルを更新する  When it is determined in the tenant ID identification step that the correspondence between the tenant ID associated with the identification address of the transmission source in the tenant ID correspondence table and the user information is not correct, the management information is referred to. Identify the tenant ID corresponding to the user information, and update the tenant ID correspondence table using the identified tenant ID
通信情報制御プログラム。  Communication information control program.
JP2015021341A 2015-02-05 2015-02-05 Communication information control apparatus, relay system, communication information control method, and communication information control program Active JP6540063B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015021341A JP6540063B2 (en) 2015-02-05 2015-02-05 Communication information control apparatus, relay system, communication information control method, and communication information control program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015021341A JP6540063B2 (en) 2015-02-05 2015-02-05 Communication information control apparatus, relay system, communication information control method, and communication information control program

Publications (2)

Publication Number Publication Date
JP2016144186A JP2016144186A (en) 2016-08-08
JP6540063B2 true JP6540063B2 (en) 2019-07-10

Family

ID=56570938

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015021341A Active JP6540063B2 (en) 2015-02-05 2015-02-05 Communication information control apparatus, relay system, communication information control method, and communication information control program

Country Status (1)

Country Link
JP (1) JP6540063B2 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6419143B2 (en) * 2016-12-20 2018-11-07 株式会社ミロク情報サービス Common program, database management apparatus, and database management method
JP6624251B1 (en) 2018-07-31 2019-12-25 横河電機株式会社 Interface modules, network devices, and network systems
JP7322619B2 (en) * 2019-09-13 2023-08-08 株式会社リコー COMPUTER SYSTEM, LOGIN SCREEN DISPLAY METHOD, PROGRAM
JP7396205B2 (en) 2020-06-02 2023-12-12 コニカミノルタ株式会社 Medical information storage program and medical information storage management device

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5132378B2 (en) * 2008-03-21 2013-01-30 日本電信電話株式会社 Service management method and service management system
JP5239966B2 (en) * 2009-03-17 2013-07-17 富士通株式会社 Relay device, tenant management program

Also Published As

Publication number Publication date
JP2016144186A (en) 2016-08-08

Similar Documents

Publication Publication Date Title
US10374955B2 (en) Managing network computing components utilizing request routing
CN107690800B (en) Managing dynamic IP address allocation
US20180205697A1 (en) Managing content delivery network service providers by a content broker
US20220046088A1 (en) Systems and methods for distributing partial data to subnetworks
KR101379864B1 (en) Request routing using network computing components
US8533293B1 (en) Client side cache management
US11218437B2 (en) Method for network traffic forwarding, request sending, and communication acceleration, forwarding server and node server
US20080184354A1 (en) Single sign-on system, information terminal device, single sign-on server, single sign-on utilization method, storage medium, and data signal
JP2004266568A (en) Name resolution server and packet transfer apparatus
JP6540063B2 (en) Communication information control apparatus, relay system, communication information control method, and communication information control program
JP2014048900A (en) Computer system, and packet transfer method
Xie et al. Supporting seamless virtual machine migration via named data networking in cloud data center
KR20140007363A (en) Site-aware distributed file system access from outside enterprise network
JPWO2013190737A1 (en) Server system, server, server control method, and server control program
US20200287974A1 (en) System and method for switching between publish/subscribe services
US20130262637A1 (en) Dns proxy service for multi-core platforms
US11057470B2 (en) Communication device and communication method for processing meta data
JP4013967B2 (en) Name resolution server and packet transfer device
WO2015145953A1 (en) Communication terminal, communication method, and program-containing storage medium
JP4965683B2 (en) Retransmission determination apparatus, retransmission determination method, retransmission determination program, and retransmission determination system
JP6522490B2 (en) Network system, control device, and program
AU2023203129B2 (en) Systems and methods for distributing partial data to subnetworks
JP2006003962A (en) Network storage system
CN110958182B (en) Communication method and related equipment
JP2007166659A (en) Name resolution server and packet transfer apparatus

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180115

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20181126

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181204

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190130

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190514

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190527

R150 Certificate of patent or registration of utility model

Ref document number: 6540063

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150