JP6540063B2 - Communication information control apparatus, relay system, communication information control method, and communication information control program - Google Patents
Communication information control apparatus, relay system, communication information control method, and communication information control program Download PDFInfo
- Publication number
- JP6540063B2 JP6540063B2 JP2015021341A JP2015021341A JP6540063B2 JP 6540063 B2 JP6540063 B2 JP 6540063B2 JP 2015021341 A JP2015021341 A JP 2015021341A JP 2015021341 A JP2015021341 A JP 2015021341A JP 6540063 B2 JP6540063 B2 JP 6540063B2
- Authority
- JP
- Japan
- Prior art keywords
- tenant
- request
- transmission source
- correspondence table
- identification address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、マルチテナントサービスを提供するサーバおよびクライアントの間で送受信される情報を制御する技術に関する。 The present invention relates to technology for controlling information transmitted and received between a server providing a multi-tenant service and a client.
情報処理システムにおいて、サービスを顧客(テナント)毎にカスタマイズして使用できるように提供するマルチテナントサービスが知られている。マルチテナントサービスを利用する際には、利用者IDおよびテナントIDによる認証が必要となることが多い。利用者にとっては、サービス要求時に、利用者IDに加えて、テナントIDの入力が必要となるのは利便性の面で問題がある。したがって、サービス要求時には、テナントIDを意識して指定する必要がないことが望ましい。そこで、利用者に意識させることなくクライアントからサーバにテナントIDを通知する方法として、テナント毎にログイン用URL(Uniform Resource Locator)を分ける方法が知られている。この場合、各テナントの利用者は、それぞれのテナント用ログインURLにアクセスして認証要求を行う。しかし、この方法では、あるテナントのログイン用URLの文字列から、他のテナントのログイン用URLが推測される場合がある。この場合、他のテナントのログイン用URLに対して、想定されないアクセスを受ける可能性があるという問題があった。 In an information processing system, a multi-tenant service is known which provides services so that they can be customized and used for each customer (tenant). When using multi-tenant services, authentication by user ID and tenant ID is often required. For the user, there is a problem in convenience that it is necessary to input the tenant ID in addition to the user ID at the time of service request. Therefore, it is desirable not to need to be consciously specified when specifying service when requesting service. Therefore, as a method of notifying the server of the tenant ID from the client without making the user aware, there is known a method of dividing a login URL (Uniform Resource Locator) for each tenant. In this case, the user of each tenant accesses the respective tenant login URL to make an authentication request. However, in this method, the login URL of another tenant may be inferred from the login URL string of a certain tenant. In this case, there is a problem that there is the possibility of receiving unexpected access to login URLs for other tenants.
また、利用者に意識させることなくクライアントからサーバにテナントIDを通知する別の方法として、テナント毎に、識別アドレスやポート番号を分ける方法が知られている。この場合、各テナントの利用者は、それぞれのテナントに対応する識別アドレスやポート番号にアクセスする。しかしながら、1つの情報処理システムで提供可能な識別アドレス数には限りがある。したがって、この方法では、テナント数の増大に対応することが難しいという問題があった。また、クライアント側から外部ネットワークに向けた通信を制限しているケースがある。このようなケースでは、クライアント側において、well-knownポート以外のポートに対する通信を許可するには、特別な設定作業が必要となる場合があるという問題があった。 Also, as another method of notifying the server of the tenant ID from the client without making the user aware, there is known a method of dividing the identification address and the port number for each tenant. In this case, the user of each tenant accesses the identification address and port number corresponding to each tenant. However, the number of identification addresses that can be provided by one information processing system is limited. Therefore, with this method, there is a problem that it is difficult to cope with the increase in the number of tenants. There are also cases in which communication from the client side to the external network is restricted. In such a case, there is a problem that a special setting operation may be required to allow communication with ports other than the well-known port on the client side.
これらの問題に関連する技術が、特許文献1に記載されている。この関連技術は、マルチテナントサービスを提供するサーバとクライアントとの間に、中継装置を設ける。中継装置は、中継装置のクライアント側インタフェースを特定する情報とテナントIDとの対応関係をあらかじめ記憶しておく。これにより、中継装置は、サーバに対するリクエストを受信すると、受信したクライアント側インタフェースを特定する情報に基づいて、リクエストのテナントIDを識別する。そして、中継装置は、サーバとの間でテナントIDを指定したコネクションを生成し、そのコネクションを利用してリクエストをサーバに送信する。
Techniques related to these problems are described in
また、このような問題に関連する他の技術が、特許文献2に記載されている。この関連技術では、ウェブサーバは、利用者IDまたはクライアント情報と、テナントIDとを対応付けて記憶しておく。そして、ウェブサーバは、クライアントから受信した処理要求に関連付けられた利用者IDまたはクライアント情報に基づいて、テナントIDを求める。そして、ウェブサーバは、求めたテナントIDに対応するデータ領域に対する処理を、データベースサーバに対して要求する。
Another technique related to such a problem is described in
しかしながら、上述の関連技術には、以下の課題がある。 However, the related art described above has the following problems.
特許文献1に記載された関連技術は、中継装置のクライアント側インタフェースとテナントIDとの対応関係を、あらかじめ記憶しておく必要がある。また、特許文献2に記載された関連技術は、クライアント情報または利用者IDとテナントIDとの対応関係を、あらかじめ記憶しておく必要がある。このため、これらの関連技術は、新規テナントの利用申請時や、既存テナントに利用環境の変更が発生した際に、テナントIDとの対応関係を記憶したテーブルを更新する必要が生じるという問題がある。
The related art described in
さらに、特許文献2に記載された関連技術において、クライアント情報とテナントIDとを対応付けておく場合、利用が想定されるクライアント端末をあらかじめ全て把握して対応関係を記憶する作業が必要であり、事前の作業コストがかかる。また、クライアント端末の増減が発生した場合にも、その都度、対応関係テーブルを更新する必要があり、作業コストがかかる。また、利用者IDとテナントIDとを対応付けておく場合、利用者数の増大に伴いテーブル容量が増大し、テーブル保存のためのマシンコストやテーブル検索時の検索コストが大きくなるという問題がある。
Furthermore, in the related art described in
本発明は、上述の課題を解決するためになされたものである。すなわち、本発明は、運用コスト、マシンコスト、検索コストを低減しながら、利用者に意識させることなく、テナントIDをサーバに通知する技術を提供することを目的とする。 The present invention has been made to solve the above-mentioned problems. That is, an object of the present invention is to provide a technique for notifying a server of a tenant ID without making the user conscious while reducing the operation cost, the machine cost, and the search cost.
本発明の通信情報制御装置は、テナント毎に登録された利用者に対してマルチテナントサービスを提供するサーバおよび前記マルチテナントサービスを利用するクライアント間で送受信される情報を制御する通信情報制御装置であって、前記クライアントから前記サーバへ送信される前記マルチテナントサービスに対する認証要求を表すリクエストを取得する通信情報取得部と、前記リクエストの送信元の識別アドレスがテナントID対応テーブルに含まれない場合、前記サーバにおける前記マルチテナントサービスの管理情報を参照することにより、前記リクエストから抽出される利用者情報に対応するテナントIDを特定し、特定したテナントIDおよび前記送信元の識別アドレスを対応付けて前記テナントID対応テーブルに登録するテナントID登録部と、前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDを特定するテナントID特定部と、前記テナントID登録部または前記テナントID特定部によって特定されたテナントIDを前記リクエストに含めて、前記マルチテナントサービスに対するリクエストとして出力する通信情報出力部と、を備える。 A communication information control apparatus according to the present invention is a communication information control apparatus for controlling a server that provides a multitenant service to a user registered for each tenant and information transmitted and received between clients using the multitenant service. If the communication information acquisition unit for acquiring a request representing an authentication request for the multi-tenant service transmitted from the client to the server and the identification address of the transmission source of the request are not included in the tenant ID correspondence table, The tenant ID corresponding to the user information extracted from the request is specified by referring to the management information of the multi-tenant service in the server, and the specified tenant ID and the identification address of the transmission source are correlated to each other. Register in the tenant ID correspondence table A tenant ID registration unit, and a tenant ID specification unit for specifying a tenant ID associated with the transmission source identification address in the tenant ID correspondence table, when the transmission source identification address is included in the tenant ID correspondence table; A communication information output unit that includes the tenant ID specified by the tenant ID registration unit or the tenant ID specification unit in the request and outputs the request as a request for the multi-tenant service.
また、本発明の中継システムは、上述の通信情報制御装置と、前記クライアントから前記マルチテナントサービスに対する認証要求を表すリクエストを受信すると、該リクエストを前記通信情報制御装置に転送することにより、前記通信情報制御装置から前記テナントIDを含むリクエストを受信し、受信したリクエストを前記サーバに送信する通信経路制御システムと、を備える。 Further, the relay system according to the present invention may perform the communication by transferring the request to the communication information control device when the communication information control device described above receives the request representing the authentication request for the multi-tenant service from the client. A communication path control system that receives a request including the tenant ID from the information control device and transmits the received request to the server.
また、本発明の通信情報制御方法は、テナント毎に登録された利用者に対してマルチテナントサービスを提供するサーバおよび前記マルチテナントサービスを利用するクライアント間で送受信される情報を制御する通信情報制御方法であって、前記クライアントから前記サーバへ送信される前記マルチテナントサービスに対する認証要求を表すリクエストを取得すると、前記リクエストの送信元の識別アドレスがテナントID対応テーブルに含まれない場合、前記サーバにおける前記マルチテナントサービスの管理情報を参照することにより、前記リクエストから抽出される利用者情報に対応するテナントIDを特定し、特定したテナントIDおよび前記送信元の識別アドレスを対応付けて前記テナントID対応テーブルに登録し、前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応づけられたテナントIDを特定し、特定したテナントIDを前記リクエストに含めて、前記マルチテナントサービスに対するリクエストとして出力する。 Further, according to the communication information control method of the present invention, communication information control for controlling information transmitted and received between a server for providing multi-tenant service to a user registered for each tenant and a client using the multi-tenant service In the method, when a request representing an authentication request for the multi-tenant service transmitted from the client to the server is acquired, if the identification address of the transmission source of the request is not included in the tenant ID correspondence table, The tenant ID corresponding to the user information extracted from the request is specified by referring to the management information of the multi-tenant service, and the specified tenant ID and the identification address of the transmission source are correlated to correspond to the tenant ID Register in the table and send If the tenant ID correspondence table includes the identification address of the tenant ID, the tenant ID corresponding to the identification address of the transmission source is specified in the tenant ID correspondence table, and the specified tenant ID is included in the request, Output as a request for tenant service.
また、本発明の通信情報制御プログラムは、テナント毎に登録された利用者に対してマルチテナントサービスを提供するサーバおよび前記マルチテナントサービスを利用するクライアント間で送受信される情報を制御する通信情報制御装置に、前記クライアントから前記サーバへ送信される前記マルチテナントサービスに対する認証要求を表すリクエストを取得する通信情報取得ステップと、前記リクエストの送信元の識別アドレスがテナントID対応テーブルに含まれない場合、前記サーバにおける前記マルチテナントサービスの管理情報を参照することにより、前記リクエストから抽出される利用者情報に対応するテナントIDを特定し、特定したテナントIDおよび前記送信元の識別アドレスを対応付けて前記テナントID対応テーブルに登録するテナントID登録ステップと、前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応づけられたテナントIDを特定するテナントID特定ステップと、前記テナントID登録ステップまたは前記テナントID特定ステップにおいて特定されたテナントIDを前記リクエストに含めて、前記マルチテナントサービスに対するリクエストとして出力する通信情報出力ステップと、を実行させる。 Further, the communication information control program of the present invention controls communication information to be transmitted and received between a server that provides a multitenant service to a user registered for each tenant and a client that uses the multitenant service. A communication information acquisition step of acquiring a request representing an authentication request for the multi-tenant service transmitted from the client to the server, and the identification address of the transmission source of the request is not included in the tenant ID correspondence table; The tenant ID corresponding to the user information extracted from the request is specified by referring to the management information of the multi-tenant service in the server, and the specified tenant ID and the identification address of the transmission source are correlated to each other. Table for tenant ID correspondence Tenant ID registration step to register in the tenant ID address table that identifies the tenant ID associated with the identification address of the transmission source in the tenant ID correspondence table when the identification address of the transmission source is included in the tenant ID correspondence table A specifying step and a communication information output step of outputting the request as the request for the multi-tenant service by including the tenant ID specified in the tenant ID registration step or the tenant ID specifying step in the request are executed.
本発明は、運用コスト、マシンコスト、検索コストを低減しながら、利用者に意識させることなく、テナントIDをサーバに通知する技術を提供することができる。 The present invention can provide a technology for notifying the server of the tenant ID without making the user aware while reducing the operation cost, the machine cost and the search cost.
以下、本発明の実施の形態について、図面を参照して詳細に説明する。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
(第1の実施の形態)
本発明の第1の実施の形態としての通信情報制御装置10の機能ブロック構成を図1に示す。図1において、通信情報制御装置10は、通信情報取得部11と、テナントID登録部12と、テナントID特定部13と、通信情報出力部14とを含む。
First Embodiment
A functional block configuration of the communication
通信情報制御装置10は、サーバ80およびクライアント90間で送受信される情報を制御する装置である。
The communication
サーバ80は、マルチテナントサービスを提供する装置である。マルチテナントサービスとは、テナント毎に登録された利用者に対して提供されるサービスをいうものとする。また、サーバ80によって提供されるマルチテナントサービスを利用するには、利用者情報およびテナントIDによる認証が必要であるものとする。利用者情報とは、登録された利用者を表す情報である。例えば、利用者情報は、利用者を識別する利用者IDを含む。さらに、利用者情報は、利用者IDに対応付けて登録されたパスワードを含んでいてもよい。テナントIDとは、利用者の属するテナントを識別する情報である。サーバ80は、テナントID毎に登録された利用者情報を、管理情報として記憶している。なお、サーバ80では、異なるテナントであっても、同一の利用者情報が登録されないよう運用されるものとする。
The
クライアント90は、サーバ80によって提供されるマルチテナントサービスを利用する装置である。クライアント90は、マルチテナントサービスに対する認証要求を表すリクエストを、サーバ80に送信する。クライアント90から送信されるリクエストには、登録された利用者を表す利用者情報が含まれるが、テナントIDは含まれないものとする。
The
ここで、通信情報制御装置10は、図2に示すようなハードウェア要素によって構成可能である。図2において、通信情報制御装置10は、CPU(Central Processing Unit)1001、メモリ1002、出力装置1003、入力装置1004、および、ネットワークインタフェース1005を含む。メモリ1002は、RAM(Random Access Memory)、ROM(Read Only Memory)、補助記憶装置(ハードディスク等)等によって構成される。出力装置1003は、ディスプレイ装置やプリンタ等のように、情報を出力する装置によって構成される。入力装置1004は、キーボードやマウス等のように、ユーザ操作の入力を受け付ける装置によって構成される。ネットワークインタフェース1005は、インターネット、LAN(Local Area Network)、公衆回線網、無線通信網またはこれらの組合せ等によって構成されるネットワークに接続するインタフェースである。この場合、通信情報制御装置10の各機能ブロックは、メモリ1002に格納されるコンピュータ・プログラムを読み込んで実行するとともに各部を制御するCPU1001によって構成される。なお、通信情報制御装置10およびその各機能ブロックのハードウェア構成は、上述の構成に限定されない。
Here, the communication
通信情報取得部11は、クライアント90からサーバ80へ送信されるリクエストを取得する。また、通信情報取得部11は、取得したリクエストから、その送信元の識別アドレスを特定する。また、通信情報取得部11は、取得したリクエストから、利用者情報を抽出する。リクエストから抽出されるこれらの情報は、後述のテナントID登録部12またはテナントID特定部13によって用いられる。例えば、リクエストがIP(Internet Protocol)パケットであることを想定する。この場合、送信元の識別アドレスとしては、IPパケットに含まれる送信元IPアドレスが適用される。また、利用者情報は、IPパケットのデータ部分に含まれている。
The communication
テナントID登録部12は、リクエストの送信元の識別アドレスがテナントID対応テーブルに含まれない場合に機能するよう構成される。この場合、テナントID登録部12は、送信元の識別アドレスと、利用者情報に対応するテナントIDとを対応付けて、テナントID対応テーブルに登録する。
The tenant
具体的には、テナントID登録部12は、サーバ80におけるマルチテナントサービスの管理情報を参照することにより、リクエストから抽出された利用者情報に対応するテナントIDを特定する。例えば、テナントID登録部12は、特権アカウントを用いてマルチテナントサービスにアクセスすることにより、管理情報を参照可能となっていてもよい。そして、テナントID登録部12は、特定したテナントIDおよび送信元の識別アドレスを対応付けて、テナントID対応テーブルに登録すればよい。
Specifically, the tenant
テナントID特定部13は、送信元の識別アドレスがテナントID対応テーブルに含まれる場合に機能するよう構成される。この場合、テナントID特定部13は、テナントID対応テーブルにおいて送信元の識別アドレスに対応付けられたテナントIDを特定する。
The tenant
通信情報出力部14は、テナントID登録部12またはテナントID特定部13によって特定されたテナントIDをリクエストに含めて、マルチテナントサービスに対するリクエストとして出力する。
The communication
以上のように構成された通信情報制御装置10の動作について、図3を参照して説明する。
The operation of the communication
まず、通信情報取得部11は、クライアント90からサーバ80へ送信される、マルチテナントサービスに対する認証要求を表すリクエストを取得する(ステップS1)。
First, the communication
次に、通信情報取得部11は、取得したリクエストから、送信元の識別アドレスおよび利用者情報を抽出する(ステップS2)。
Next, the communication
次に、テナントID登録部12は、リクエストの送信元の識別アドレスがテナントID対応テーブルに含まれるか否かを判断する(ステップS3)。
Next, the tenant
ここで、送信元の識別アドレスがテナントID対応テーブルに含まれない場合、テナントID登録部12は、サーバ80におけるマルチテナントサービスの管理情報を参照することにより、利用者情報に対応するテナントIDを特定する(ステップS4)。
Here, when the identification address of the transmission source is not included in the tenant ID correspondence table, the tenant
そして、テナントID登録部12は、送信元の識別アドレスと、特定したテナントIDとを対応付けて、テナントID対応テーブルに登録する(ステップS5)。
Then, the tenant
一方、送信元の識別アドレスがテナントID対応テーブルに含まれる場合、テナントID特定部13は、テナントID対応テーブルにおいて送信元の識別アドレスに対応付けられたテナントIDを特定する(ステップS6)。
On the other hand, when the identification address of the transmission source is included in the tenant ID correspondence table, the tenant
次に、通信情報出力部14は、ステップS4またはS6で特定されたテナントIDをリクエストに含めて、マルチテナントサービスに対するリクエストとして出力する(ステップS7)。
Next, the communication
以上で、通信情報制御装置10は、動作を終了する。
Thus, the communication
次に、本発明の第1の実施の形態の効果について述べる。 Next, the effects of the first embodiment of the present invention will be described.
本発明の第1の実施の形態としての通信情報制御装置は、運用コスト、マシンコスト、検索コストを低減しながら、利用者に意識させることなく、テナントIDをサーバに通知することができる。 The communication information control apparatus as the first embodiment of the present invention can notify the server of the tenant ID without making the user conscious, while reducing the operation cost, the machine cost and the search cost.
その理由について説明する。本実施の形態では、通信情報取得部が、クライアントからサーバへ送信される、マルチテナントサービスに対する認証要求を表すリクエストを取得する。リクエストには、利用者情報が含まれ、テナントIDが含まれていない。そして、リクエストの送信元の識別アドレスがテナントID対応テーブルに含まれない場合、テナントID登録部が、リクエストに含まれる利用者情報に対応するテナントIDを、マルチテナントサービスの管理情報にアクセスすることにより特定する。そして、テナントID登録部が、特定したテナントIDを、送信元の識別アドレスに対応付けて、テナントID対応テーブルに登録する。また、リクエストの送信元の識別アドレスが、テナントID対応テーブルに含まれる場合には、テナントID特定部が、テナントID対応テーブルにおいて送信元の識別アドレスに対応付けられたテナントIDを特定する。そして、通信情報出力部が、このようにして特定したテナントIDをリクエストに含めて出力するからである。 The reason is explained. In the present embodiment, the communication information acquisition unit acquires a request, which is transmitted from the client to the server, and which represents an authentication request for the multi-tenant service. The request includes user information and does not include the tenant ID. Then, when the identification address of the request transmission source is not included in the tenant ID correspondence table, the tenant ID registration unit accesses the tenant ID corresponding to the user information included in the request to the management information of the multi-tenant service. Identify by Then, the tenant ID registration unit registers the specified tenant ID in the tenant ID correspondence table in association with the identification address of the transmission source. In addition, when the identification address of the transmission source of the request is included in the tenant ID correspondence table, the tenant ID identification unit identifies the tenant ID associated with the identification address of the transmission source in the tenant ID correspondence table. Then, the communication information output unit outputs the request including the specified tenant ID in this way.
このように、本実施の形態は、クライアントからサーバへ送信されるリクエストを中継する際に、テナントIDを特定してリクエストに含める。これにより、本実施の形態は、クライアントから送出された時点では、利用者情報が含まれテナントIDが含まれていないリクエストに、適切なテナントIDを含めてサーバに送信することができる。その結果、クライアントにおいて、利用者は、リクエストに含めるための利用者情報を入力するだけでよく、テナントIDを入力する必要がない。したがって、利用者は、テナントIDを意識することなく、マルチテナントサービスを利用することができる。 As described above, according to this embodiment, when relaying a request transmitted from the client to the server, the tenant ID is specified and included in the request. By this means, according to the present embodiment, it is possible to transmit to the server the request including the user information and the tenant ID not including the appropriate tenant ID at the time of being sent from the client. As a result, in the client, the user only needs to input the user information to be included in the request, and does not need to input the tenant ID. Therefore, the user can use the multi-tenant service without being aware of the tenant ID.
また、このように、本実施の形態は、リクエストの送信元の識別アドレスに対して適切なテナントIDを特定することにより、テナントID対応テーブルを自動生成することができる。このため、本実施の形態は、テナントID対応テーブルを事前に作成しておく必要がなく、運用コストを抑えることができる。 Also, as described above, according to the present embodiment, the tenant ID correspondence table can be automatically generated by specifying the tenant ID appropriate for the identification address of the transmission source of the request. Therefore, in the present embodiment, there is no need to create the tenant ID correspondence table in advance, and the operation cost can be suppressed.
また、一般的に、同じテナントに属する利用者からのリクエストの送信元の識別アドレスは、ゲートウェイ等のアドレスになることが想定される。この場合、本実施の形態におけるテナントID対応テーブルは、テナントによって用いられるゲートウェイ等の識別アドレス毎に、そのテナントIDを記憶すればよい。このため、テナントID対応テーブルは、利用者情報毎にテナントIDを記憶する場合に比べて、より小さい容量となる。このため、本実施の形態は、テナントID対応テーブルを保存するための領域を大量に必要とせず、マシンコストを抑えることができる。また、本実施の形態は、送信元の識別アドレスを検索するテナントID対応テーブルがより小容量であるため、検索コストを抑えることができる。 Also, in general, it is assumed that an identification address of a transmission source of a request from a user belonging to the same tenant will be an address such as a gateway. In this case, the tenant ID correspondence table in the present embodiment may store the tenant ID for each identification address such as a gateway used by the tenant. Therefore, the tenant ID correspondence table has a smaller capacity than the case where the tenant ID is stored for each user information. Therefore, the present embodiment can reduce the machine cost without requiring a large amount of area for storing the tenant ID correspondence table. Further, in the present embodiment, since the tenant ID correspondence table for searching for the identification address of the transmission source has a smaller capacity, the search cost can be suppressed.
(第2の実施の形態)
次に、本発明の第2の実施の形態について図面を参照して詳細に説明する。なお、本実施の形態の説明において参照する各図面において、本発明の第1の実施の形態と同一の構成および同様に動作するステップには同一の符号を付して本実施の形態における詳細な説明を省略する。
Second Embodiment
Next, a second embodiment of the present invention will be described in detail with reference to the drawings. In the drawings to which reference is made in the description of the present embodiment, steps having the same configuration and operation as those of the first embodiment of the present invention will be assigned the same reference numerals and detailed description in the present embodiment. I omit explanation.
まず、本発明の第2の実施の形態としての中継システム2の構成を図4に示す。図4において、中継システム2は、通信情報制御装置20と、通信経路制御システム30とを含む。中継システム2は、サーバ81およびクライアント91間で送受信される情報を中継するシステムである。
First, FIG. 4 shows the configuration of a
サーバ81は、マルチテナントサービスとして、マルチテナント型のディレクトリサービスを提供する装置である。例えば、ディレクトリサービスは、LDAP(Lightweight Directory Access Protocol)ディレクトリサービスであってもよい。以降、本実施の形態では、サーバ81は、マルチテナント型のLDAPディレクトリサービスを提供するものとして説明を行う。LDAPディレクトリサービスにおいては、テナントID毎に、利用者情報として利用者IDおよびパスワードが登録される。また、LDAPディレクトリサービスを利用するには、利用者ID、パスワード、および、テナントIDによる認証が必要であるものとする。以降、LDAPディレクトリサービスに対する認証要求を表す情報を、LDAPリクエストとも記載する。なお、本実施の形態において、LDAPディレクトリサービスでは、異なるテナントであっても、利用者IDおよびパスワードの組合せが同一の利用者情報は、登録されないよう運用されるものとする。
The
また、サーバ81は、テナント毎にLDAPディレクトリツリーを分けて管理している。LDAPディレクトリツリーの一例を図5に示す。例えば、図5では、テナントID「C」を持つテナントについて、利用者IDとしてtanaka、sato、suzukiが登録されている。このようにLDAPディレクトリツリーは、テナント毎の利用者情報を含んでいる。また、このようなLDAPディレクトリツリーに特権アカウントでアクセスすることにより、利用者IDに対応するパスワード(不図示)も参照可能となっている。LDAPディレクトリツリーは、本発明の管理情報の一実施形態に相当する。
In addition, the
クライアント91は、サーバ81のLDAPディレクトリサービスを利用する装置である。クライアント91は、LDAPリクエストをサーバ81に送信する。クライアント91から送信されるLDAPリクエストには、利用者IDおよびパスワードが含まれるが、テナントIDは含まれないものとする。
The
通信経路制御システム30は、サーバ81およびクライアント91間の通信経路を制御するシステムである。通信経路制御システム30は、クライアント91からLDAPリクエストを受信すると、該LDAPリクエストを通信情報制御装置20に転送する。そして、通信経路制御システム30は、テナントIDが付加されたLDAPリクエストを通信情報制御装置20から受信し、受信したリクエストをサーバ81に送信する。
The communication
例えば、通信経路制御システム30は、SDN(Software-Defined Network)によって構成されていてもよい。SDNは、通信機器の制御機能とデータ転送機能とを分離し、ソフトウェアによってネットワークの構成や設定を変更する技術である。この場合、通信経路制御システム30は、例えば、図6に示すように、SDNコントローラ31、第1のSDNスイッチ32、および、第2のSDNスイッチ33を含んで構成可能である。これらの各装置は、それぞれ、例えば、CPU、メモリおよびネットワークインタフェースを備えたコンピュータ装置によって構成可能である。この場合、各装置のメモリには、各装置をそれぞれ本発明のSDNコントローラまたはSDNスイッチとして機能させるコンピュータ・プログラムが格納される。そして、各装置のCPUは、メモリに記憶されたコンピュータ・プログラムを実行して各部を制御することにより機能する。なお、通信経路制御システム30の構成は、図6に示す構成に限定されない。
For example, the communication
第1のSDNスイッチ32は、通信パケットを受信すると、自装置に設定されたフローエントリに基づいてその通信パケットを転送する。詳細には、第1のSDNスイッチ32は、通信パケットがLDAPリクエストであれば、その通信パケットをSDNコントローラ31に転送する。また、第1のSDNスイッチ32は、通信パケットが認証失敗情報であれば、その通信パケットをクライアント91に返却する。また、第1のSDNスイッチ32は、通信パケットがLDAPリクエストでなく認証失敗情報でもない場合、フローエントリで定められた他の処理や、SDNにおけるスイッチとしての通常処理を行う。
When receiving the communication packet, the
SDNコントローラ31は、転送された通信パケットの経路を算出し、適切な経路に向けて送信する。詳細には、SDNコントローラ31は、通信パケットがLDAPリクエストであれば、その通信パケットを、通信情報制御装置20に転送する。このLDAPリクエストには、利用者IDとパスワードは含まれているが、テナントIDは含まれていない。また、SDNコントローラ31は、通信パケットがLDAPリクエストでない場合、SDNにおけるコントローラとして他の処理を行う。
The SDN controller 31 calculates the path of the transferred communication packet, and transmits it toward an appropriate path. Specifically, if the communication packet is an LDAP request, the SDN controller 31 transfers the communication packet to the communication
また、SDNコントローラ31は、通信情報制御装置20からLDAPリクエストを返却された場合、返却されたLDAPリクエストを第2のSDNスイッチ33に転送する。このLDAPリクエストには、利用者IDとパスワードに加えて、テナントIDが含まれている。また、SDNコントローラ31は、通信情報制御装置20から認証失敗情報を返却された場合、認証失敗情報を、第1のSDNスイッチ32に返却する。
When the SDN controller 31 returns an LDAP request from the communication
第2のSDNスイッチ33は、通信パケットを受信すると、自装置に設定されたフローエントリに基づいてその通信パケットを転送する。詳細には、第2のSDNスイッチ33は、通信パケットがLDAPリクエストであれば、その通信パケットをサーバ81に転送する。また、第2のSDNスイッチ33は、通信パケットがLDAPリクエストでない場合、フローエントリで定められた他の処理や、SDNにおけるスイッチとしての通常処理を行う。
When the
次に、通信情報制御装置20の機能について説明する。通信情報制御装置20は、通信経路制御システム30からLDAPリクエストが転送されると、転送されたLDAPリクエストにテナントIDを含めて、通信経路制御システム30に返却する。あるいは、通信情報制御装置20は、認証失敗情報を通信経路制御システム30に返却する場合もある。
Next, the function of the communication
ここで、図6において、通信情報制御装置20は、通信情報取得部21と、テナントID登録部22と、テナントID特定部23と、通信情報出力部24とを含む。なお、通信情報制御装置20およびその各機能ブロックは、図2を参照して説明した本発明の第1の実施の形態と同一のハードウェア要素によって構成可能である。ただし、通信情報制御装置20およびその機能ブロックのハードウェア構成は、上述の構成に限定されない。
Here, in FIG. 6, the communication
通信情報取得部21は、通信経路制御システム30からLDAPリクエストを受信する。LDAPリクエストは、例えば、第1のSDNスイッチ32から転送される。このLDAPリクエストは、前述のように、クライアント91からサーバ81へのLDAPディレクトリサービスに対する認証要求を表している。
The communication
また、通信情報取得部21は、LDAPリクエストの送信元IPアドレスを特定する。また、通信情報取得部21は、LDAPリクエストから、利用者IDおよびパスワードを抽出する。
Also, the communication
テナントID登録部22は、テナントID対応テーブルにLDAPリクエストの送信元のIPアドレスが含まれていない場合に機能するよう構成される。この場合、具体的には、テナントID登録部22は、サーバ81のLDAPディレクトリサービスに特権アカウントでアクセスする。これにより、テナントID登録部22は、LDAPディレクトリツリーから、該当する利用者IDおよびパスワードに対応するテナントIDを検索する。LDAPディレクトリツリーを検索した結果、該当するテナントIDを特定できた場合、テナントID登録部22は、LDAPリクエストの送信元IPアドレスと、特定したテナントIDとを対応付けて、テナントID対応テーブルに新規エントリとして登録する。
The tenant
ここで、テナントID対応テーブルの一例を図7に示す。例えば、図7の1行目は、送信元IPアドレス「アドレス1」に、テナントID「A」が対応付けられていることを表している。
Here, an example of the tenant ID correspondence table is shown in FIG. For example, the first line in FIG. 7 indicates that the tenant ID “A” is associated with the transmission source IP address “
また、テナントID登録部22は、後述の失敗回数が所定条件を満たした場合にも機能するよう構成される。この場合も、テナントID登録部22は、LDAPディレクトリサービスに特権アカウントでアクセスすることにより、該当する利用者IDおよびパスワードに対応するテナントIDを検索する。該当するテナントIDを特定できた場合、テナントID登録部22は、今回特定したテナントIDを用いて、テナントID対応テーブルを更新する。具体的には、テナントID登録部22は、既にテナントID対応テーブルに登録されている送信元IPアドレスに対応付けられていたテナントIDを、今回特定したテナントIDに更新すればよい。そして、テナントID登録部22は、今回特定したテナントIDを、通信情報出力部24に通知する。
The tenant
なお、LDAPディレクトリツリーを検索しても該当するテナントIDを特定できなかった場合、テナントID登録部22は、テナントIDを決定できない旨を、通信情報出力部24に通知する。
If the corresponding tenant ID can not be identified even by searching the LDAP directory tree, the tenant
テナントID特定部23は、テナントID対応テーブルにLDAPリクエストの送信元のIPアドレスが含まれている場合に機能するよう構成される。この場合、具体的には、テナントID特定部23は、テナントID対応テーブルに含まれる送信元IPアドレスに対応付けられたテナントIDを取得する。例えば、送信元のIPアドレスが「アドレス1」である場合、図7に示したテナントID対応テーブルによれば、テナントID「A」が取得される。
The tenant
ここで、本発明の第1の実施の形態では、このようにしてテナントID対応テーブルから取得されたテナントIDが、このLDAPリクエストに対応するテナントIDとして特定されていた。本実施の形態では、テナントID対応テーブルから取得されたテナントIDが、さらに次のような条件を満たした場合に、このLDAPリクエストに対応するテナントIDとして特定される。 Here, in the first embodiment of the present invention, the tenant ID thus acquired from the tenant ID correspondence table is specified as the tenant ID corresponding to the LDAP request. In the present embodiment, when the tenant ID acquired from the tenant ID correspondence table further satisfies the following conditions, it is specified as the tenant ID corresponding to the LDAP request.
具体的には、テナントID特定部23は、テナントID対応テーブルから取得したテナントIDと、LDAPリクエストから抽出された利用者情報との対応関係が正しいか否かを判断する。この判断処理は、サーバ81のLDAPディレクトリサービスに特権アカウントでアクセスすることにより行われる。つまり、テナントID特定部23は、LDAPディレクトリサービスに特権アカウントでアクセスすることにより、該当するテナントIDの配下に、該当する利用者情報が登録されているか否かを確認すればよい。なお、このとき、テナントID特定部23は、該当するテナントIDの配下に該当する利用者IDが存在すれば、パスワードを照合せずに、テナントIDと利用者情報との対応関係が正しいと判断してもよい。この場合、パスワードの認証は、LDAPディレクトリサービスによって行われることになる。そして、テナントID特定部23は、対応関係が正しいと判断した場合に、このテナントIDを通信情報出力部24に通知する。
Specifically, the tenant
例えば、送信元IPアドレスが「アドレス2」である場合、図7に示したテナントIDから、「C」が取得されることになる。また、LDAPリクエストから、利用者ID「sato」およびパスワード「satopw」が抽出されているとする。この場合、テナントID特定部23は、LDAPディレクトリサービスに特権アカウントでアクセスし、図5に示した管理情報を参照する。そして、テナントID特定部23は、テナントID「C」配下に利用者ID「sato」があるので、このテナントIDおよび利用者情報の対応関係は正しいとして、テナントID「c」を通信情報出力部24に通知すればよい。
For example, when the transmission source IP address is "
また、テナントID特定部23は、対応関係が正しくないと判断した場合に、テナントIDを決定できない旨を、通信情報出力部24に通知する。このとき、テナントID特定部23は、対応関係が正しくないと判断した回数(失敗回数)を、該当するテナントIDおよび利用者情報の組合せ毎にカウントしてもよい。例えば、テナントID特定部23は、失敗回数記録テーブルに、テナントIDおよび利用者情報の組合せ毎の失敗回数を記録してもよい。そして、失敗回数が所定条件を満たした場合、テナントID特定部23は、前述のテナントID登録部22を呼び出す。所定条件とは、閾値を超えることであってもよい。また、失敗回数が所定条件を満たした場合、テナントID特定部23は、そのテナントIDおよび利用者情報の組合せについての失敗回数を0にリセットする。
Further, when determining that the correspondence relationship is not correct, the tenant
ただし、テナントID特定部23は、上述の失敗回数を、次のような場合にカウントするようにしてもよい。具体的には、テナントID特定部23は、テナントID対応テーブルから取得されたテナントIDと利用者情報との対応関係が正しくないと判断した場合に、さらに、この利用者情報との対応関係が正しい他のテナントIDがあるか否かを判断する。この判断処理は、サーバ81のLDAPディレクトリサービスに特権アカウントでアクセスすることにより行われる。そして、テナントID特定部23は、そのような他のテナントIDがあると判断した場合に、失敗回数をカウントアップするようにしてもよい。この場合の失敗回数は、テナントID対応テーブルから取得されたテナントIDおよび利用者情報の組合せについて記録される。
However, the tenant
例えば、送信元のIPアドレスが「アドレス2」である場合、図7に示したテナントIDから、「C」が取得されることになる。また、LDAPリクエストから、利用者ID「yamada」およびパスワード「yamadapw」が抽出されているとする。この場合、テナントID特定部23は、LDAPディレクトリサービスに特権アカウントでアクセスし、図5に示したLDAPディレクトリツリーを検索する。そして、テナントID特定部23は、テナントID「C」配下に利用者ID「yamada」がないので、このテナントIDおよび利用者情報の対応関係は正しくないと判断する。そして、この場合、テナントID特定部23は、利用者ID「yamada」およびパスワード「yamadapw」を配下に持つ他のテナントIDがあるか否かを、LDAPディレクトリツリーを検索することにより判断する。図7のLDAPディレクトリによると、テナントID「A」の配下に、利用者ID「yamada」がある。また、そのパスワードが「yamadapw」であったとする。つまり、この利用者IDおよびパスワードとの対応関係が正しい他のテナントID「A」が存在することになる。そこで、テナントID特定部23は、テナントID対応テーブルから取得されたテナントID「C」および利用者ID「yamada」の組合せについて、失敗回数記録テーブルに記録された失敗回数に、1を加算して更新すればよい。失敗回数記録テーブルの一例を図8に示す。例えば、図8の2行目は、テナントID「C」とユーザID「yamada」の組合せについて、失敗回数として1が記録されている。
For example, when the IP address of the transmission source is "
通信情報出力部24は、テナントID登録部22またはテナントID特定部23からテナントIDを通知されると、LDAPパケットにそのテナントIDを含めて、通信経路制御システム30に返却する。具体的には、通信情報出力部24は、テナントIDを含めたLDAPパケットを、前述のSDNコントローラ31に返却すればよい。
When notified of the tenant ID from the tenant
また、通信情報出力部24は、テナントID登録部22またはテナントID特定部23からテナントIDを特定できない旨を通知されると、認証失敗情報を生成し、通信経路制御システム30に返却する。具体的には、通信情報出力部24は、認証失敗情報を、前述のSDNコントローラ31に返却すればよい。
Further, when notified that the tenant ID can not be specified from the tenant
以上のように構成された中継システム2の動作について、図面を参照して説明する。
The operation of
まず、中継システム2の動作の概略を図9に示す。
First, an outline of the operation of the
図9において、まず、第1のSDNスイッチ32は、受信した通信パケットが、クライアント91からのLDAPリクエストであるか否かを判断する(ステップA1)。
In FIG. 9, first, the
ここで、LDAPリクエストでない場合、第1のSDNスイッチ32は、自装置に定められたフローエントリにしたがって他の処理を行う(ステップA2)。
Here, if it is not an LDAP request, the
一方、LDAPリクエストである場合、第1のSDNスイッチ32は、この通信パケットをSDNコントローラ31に転送する(ステップA3)。
On the other hand, if it is an LDAP request, the
次に、SDNコントローラ31は、転送された通信パケットが、LDAPリクエストであるか否かを判断する(ステップB1)。 Next, the SDN controller 31 determines whether the transferred communication packet is an LDAP request (step B1).
ここで、LDAPリクエストでない場合、SDNコントローラ31は、SDNコントローラとして定められた他の処理を行う(ステップB2)。 Here, if it is not an LDAP request, the SDN controller 31 performs another process defined as the SDN controller (step B2).
一方、LDAPリクエストである場合、SDNコントローラ31は、この通信パケットを通信情報制御装置20に転送する(ステップB3)。 On the other hand, if it is an LDAP request, the SDN controller 31 transfers this communication packet to the communication information control apparatus 20 (step B3).
次に、通信情報制御装置20は、LDAPリクエストが転送されると、転送されたLDAPリクエストにテナントIDを含める処理を行う(ステップD1)。そして、その結果、通信情報制御装置20は、テナントIDを含めたLDAPリクエストまたは認証失敗情報を、SDNコントローラ31に返却する。このステップの詳細については後述する。
Next, when the LDAP request is transferred, the communication
次に、SDNコントローラ31は、返却された通信パケットが、LDAPリクエストであるか認証失敗情報であるかを判断する(ステップB4)。 Next, the SDN controller 31 determines whether the returned communication packet is an LDAP request or authentication failure information (step B4).
ここで、返却された通信パケットがLDAPリクエストである場合、SDNコントローラ31は、この通信パケットを、第2のSDNスイッチ33に転送する(ステップB5)。 Here, if the communication packet returned is an LDAP request, the SDN controller 31 transfers this communication packet to the second SDN switch 33 (step B5).
そして、第2のSDNスイッチ33は、転送されたLDAPリクエストをサーバ81に送信する(ステップC1)。
Then, the
一方、ステップB4で、返却された通信パケットが認証失敗情報であった場合、SDNコントローラ31は、この通信パケットを、第1のSDNスイッチ32に返却する(ステップB6)。 On the other hand, if the returned communication packet is authentication failure information in step B4, the SDN controller 31 returns the communication packet to the first SDN switch 32 (step B6).
次に、第1のSDNスイッチ32は、返却された認証失敗情報を、クライアント91に送信する(ステップA4)。
Next, the
以上で、中継システム2の動作の概略の説明を終了する。
This is the end of the general description of the operation of the
次に、ステップD1における通信情報制御装置20の処理の詳細を、図10〜図11に示す。
Next, details of processing of the communication
図10において、まず、通信情報取得部21は、SDNコントローラ31から、LDAPリクエストを受信する(ステップD11)。
In FIG. 10, first, the communication
次に、通信情報取得部21は、LDAPリクエストの送信元IPアドレスを特定する。また、通信情報取得部21は、LDAPリクエストから利用者IDおよびパスワードを抽出する(ステップD12)。
Next, the communication
次に、テナントID登録部22は、LDAPリクエストの送信元IPアドレスが、テナントID対応テーブルに含まれているか否かを判断する(ステップD13)。
Next, the tenant
ここで、送信元IPアドレスがテナントID対応テーブルに含まれていない場合、テナントID登録部22は、テナントID登録処理を行う(ステップD22)。このステップの詳細については後述する。
Here, when the transmission source IP address is not included in the tenant ID correspondence table, the tenant
一方、送信元IPアドレスがテナントID対応テーブルに含まれている場合、テナントID特定部23は、テナントID対応テーブルにおいて送信元IPアドレスに対応付けられたテナントIDを取得する(ステップD14)。
On the other hand, when the transmission source IP address is included in the tenant ID correspondence table, the tenant
次に、テナントID特定部23は、LDAPディレクトリサービスに特権アカウントでアクセスする。そして、テナントID特定部23は、ステップD14で取得されたテナントIDと、ステップD12で抽出された利用者情報との対応関係が正しいか否かを判断する(ステップD15)。
Next, the tenant
具体的には、前述のように、テナントID特定部23は、LDAPディレクトリツリーにおいて、ステップD14で取得されたテナントIDが管理されているディレクトリ配下に、ステップD12で抽出された利用者IDが存在するか否かを検索すればよい。
Specifically, as described above, the tenant
ここで、対象のテナントIDおよび利用者情報の対応関係が正しい場合、テナントID特定部23は、対象のテナントIDを通信情報出力部24に通知する。そして、通信情報出力部24は、ステップD11で受信されたLDAPリクエストに、通知されたテナントIDを含めて、SDNコントローラ31に対して返却する(ステップD16)。
Here, when the correspondence between the target tenant ID and the user information is correct, the tenant
一方、対象のテナントIDおよび利用者情報の対応関係が正しくない場合、テナントID特定部23は、ステップD12で抽出された利用者情報に対応する他のテナントIDがあるか否かを判断する(ステップD17)。
On the other hand, when the correspondence between the target tenant ID and the user information is not correct, the tenant
具体的には、前述のように、テナントID特定部23は、LDAPディレクトリサービスに特権アカウントでアクセスする。そして、テナントID特定部23は、LDAPディレクトリツリーにおいて、該当する利用者IDおよびパスワードに一致する情報を配下に持つテナントIDを検索すればよい。
Specifically, as described above, the tenant
ここで、そのような他のテナントIDが存在しない場合、テナントID特定部23は、テナントIDを特定できない旨を、通信情報出力部24に通知する。そして、通信情報出力部24は、認証失敗情報を生成し、SDNコントローラ31に対して返却する(ステップD18)。
Here, when such another tenant ID does not exist, the tenant
一方、そのような他のテナントIDが存在する場合、テナントID特定部23は、対象のテナントIDおよび利用者情報の組合せについて記録された失敗回数が、所定条件を満たしているか否かを判断する(ステップD19)。
On the other hand, when there is such another tenant ID, the tenant
具体的には、前述のように、テナントID特定部23は、失敗回数記録テーブルを参照し、該当する失敗回数が閾値を超えたか否かを判断すればよい。
Specifically, as described above, the tenant
ここで、失敗回数が所定条件を満たしていない場合、テナントID特定部23は、対象のテナントIDおよび利用者情報の組合せについて失敗回数を加算する(ステップD20)。
Here, if the number of failures does not satisfy the predetermined condition, the tenant
具体的には、前述のように、テナントID特定部23は、失敗回数記録テーブルにおいて対象のテナントIDおよび利用者の組合せについて記録された失敗回数に、1を加算して更新すればよい。
Specifically, as described above, the tenant
そして、テナントID特定部23および通信情報出力部24は、ステップD18を実行し、認証失敗情報をSDNコントローラ31に対して返却する。
Then, the tenant
一方、ステップD19において、失敗回数が所定条件を満たしている場合、テナントID特定部23は、対象のテナントIDおよび利用者情報の組合せについて記録された失敗回数を0にリセットする(ステップD21)。
On the other hand, when the number of failures satisfies the predetermined condition in step D19, the tenant
そして、テナントID特定部23は、テナントID登録処理を実行する(ステップD22)。
Then, the tenant
次に、ステップD22におけるテナントID登録処理の詳細を図11に示す。 Next, the details of the tenant ID registration process in step D22 are shown in FIG.
図11において、まず、テナントID登録部22は、ステップD12でLDAPリクエストから抽出された利用者IDおよびパスワードについて、対応するテナントIDを特定する(ステップD31)。
In FIG. 11, first, the tenant
具体的には、前述のように、テナントID登録部22は、サーバ81のLDAPディレクトリサービスに特権アカウントでアクセスする。そして、テナントID登録部22は、該当する利用者IDおよびパスワードを配下に持つテナントIDを検索すればよい。
Specifically, as described above, the tenant
ここで、検索の結果、対象の利用者IDおよびパスワードに対応するテナントIDを特定できない場合について説明する(ステップD32でNo)。 Here, the case where the tenant ID corresponding to the target user ID and password can not be specified as a result of the search will be described (No in step D32).
この場合、テナントID登録部22は、テナントIDを特定できない旨を、通信情報出力部24に通知する。そして、通信情報出力部24は、認証失敗情報を生成し、SDNコントローラ31に返却する(ステップD33)。
In this case, the tenant
一方、検索の結果、対象の利用者IDおよびパスワードに対応するテナントIDを特定できた場合について説明する(ステップD32でYes)。 On the other hand, the case where the tenant ID corresponding to the target user ID and password can be specified as a result of the search will be described (Yes in step D32).
この場合、テナントID登録部22は、送信元IPアドレスおよび特定したテナントIDを対応付けて、テナントID対応テーブルに登録する(ステップD34)。
In this case, the tenant
このとき、ステップD13でNoと判断されて呼び出されたテナントID登録処理であれば、テナントID登録部22は、テナントID対応テーブルに新規エントリとして、該当する送信元IPアドレスおよびテナントIDを登録すればよい。また、ステップD19でYesと判断されて呼び出されたテナントID登録処理であれば、テナントID登録部22は、登録済みの送信元IPアドレスに対応づけられていたテナントIDを、今回特定したテナントIDに更新すればよい。
At this time, if it is the tenant ID registration processing that is determined to be No in step D13 and is called, the tenant
次に、テナントID登録部22は、特定したテナントIDを、通信情報出力部24に通知する。そして、通信情報出力部24は、LDAPリクエストにテナントIDを含めて、SDNコントローラ31に返却する(ステップD35)。
Next, the tenant
以上で、通信情報制御装置20は、テナントID登録動作を終了する。
Thus, the communication
次に、本発明の第2の実施の形態の効果について述べる。 Next, the effects of the second embodiment of the present invention will be described.
本発明の第2の実施の形態としての中継システムは、運用コスト、マシンコスト、検索コストを低減しながら、利用者に意識させることなく、より適切なテナントIDをサーバに通知することができる。 The relay system as the second embodiment of the present invention can notify the server of a more appropriate tenant ID without making the user aware, while reducing the operation cost, the machine cost and the search cost.
その理由について説明する。本実施の形態では、通信情報取得部によってリクエストが取得されると、テナントID登録部が、リクエストから抽出された利用者情報に対応するテナントIDを特定する。このテナントIDの特定処理は、マルチテナントサービスの管理情報に特権アカウントでアクセスすることにより行われる。そして、テナントID登録部が、送信元IPアドレスおよびテナントIDの対応関係をテナントID対応テーブルに登録する。そして、リクエストの送信元IPアドレスがテナントID対応テーブルに含まれる場合に、テナントID特定部が、送信元IPアドレスに対応付けられたテナントIDと、リクエストから抽出された利用者情報との対応関係が正しいか否かを確認する。この確認処理は、マルチテナントサービスの管理情報に特権アカウントでアクセスすることにより行われる。そして、対応関係が正しいことが確認された場合に、通信情報出力部が、そのテナントIDをリクエストに含めて返却するからである。 The reason is explained. In the present embodiment, when a request is acquired by the communication information acquisition unit, the tenant ID registration unit identifies a tenant ID corresponding to the user information extracted from the request. The specification process of the tenant ID is performed by accessing the management information of the multi-tenant service with a privileged account. Then, the tenant ID registration unit registers the correspondence between the transmission source IP address and the tenant ID in the tenant ID correspondence table. Then, when the transmission source IP address of the request is included in the tenant ID correspondence table, the tenant ID specification unit corresponds the correspondence between the tenant ID corresponding to the transmission source IP address and the user information extracted from the request. Make sure that is correct. This confirmation process is performed by accessing multi-tenant service management information with a privileged account. Then, when it is confirmed that the correspondence relationship is correct, the communication information output unit includes the tenant ID in the request and returns it.
また、さらに、本実施の形態は、テナントID対応テーブルに含まれる送信元IPアドレスに対応付けられたテナントIDおよびリクエストから抽出された利用者情報の対応関係が正しくない場合に、次のように動作するよう構成される。すなわち、テナントID特定部が、その利用者情報に対応する他のテナントIDがあるか否かを確認する。この確認処理は、マルチテナントサービスの管理情報に特権アカウントでアクセスすることにより行われる。そして、他のテナントIDがある場合、テナントID特定部は、送信元IPアドレスに対応付けられたテナントIDおよび利用者情報の組合せに対応付けて、失敗回数を記録する。そして、失敗回数が所定条件を満たした場合に、テナントID登録部が、リクエストから抽出された利用者情報に対応するテナントIDを改めて特定する。そして、テナントID登録部が、改めて特定したテナントIDを用いて、テナントID対応テーブルにおいて送信元IPアドレスに対応付けられた情報を更新するからである。テナントIDを改めて特定する処理は、マルチテナントサービスの管理情報に特権アカウントでアクセスすることにより行われる。また、そのような他のテナントIDがない場合、または、失敗回数が所定条件を満たさない場合は、通信情報出力部は、認証失敗情報を、SDNコントローラに返却する。 Furthermore, in the present embodiment, when the correspondence between the tenant ID associated with the transmission source IP address included in the tenant ID correspondence table and the user information extracted from the request is not correct, as follows: Configured to work. That is, the tenant ID identification unit checks whether there is another tenant ID corresponding to the user information. This confirmation process is performed by accessing multi-tenant service management information with a privileged account. Then, when there is another tenant ID, the tenant ID identification unit records the number of failures in association with the combination of the tenant ID and the user information associated with the transmission source IP address. Then, if the number of failures satisfies the predetermined condition, the tenant ID registration unit again specifies the tenant ID corresponding to the user information extracted from the request. Then, the tenant ID registration unit updates the information associated with the transmission source IP address in the tenant ID correspondence table using the tenant ID identified again. The process of specifying the tenant ID again is performed by accessing the management information of the multi-tenant service with a privileged account. If there is no such other tenant ID, or if the number of failures does not satisfy the predetermined condition, the communication information output unit returns authentication failure information to the SDN controller.
これにより、本実施の形態は、次の2つのケースを区別して、より適切なテナントIDを特定することができる。 In this way, the present embodiment can identify the more appropriate tenant ID by distinguishing the following two cases.
1つ目のケースは、対象のテナントIDの利用者が、リクエストに含める利用者情報の入力を間違えたケースである。つまり、本実施の形態は、他のテナントIDがない、または、失敗回数が所定条件を満たさない(閾値を超えない)場合は、この1つ目のケースであるとみなす。そして、この場合、本実施の形態は、認証失敗情報を返却することにより、利用者に正しい利用者情報の入力を促すことになる。その結果、本実施の形態は、次回のリクエストについて、その送信元IPアドレスに対応付けられたテナントIDおよび利用者情報との対応関係が正しいと判断し、正しい利用者情報を含むリクエストに適切なテナントIDを含めてサーバに送信する可能性を高める。 The first case is a case where the user of the target tenant ID fails to input the user information included in the request. That is, in the present embodiment, when there is no other tenant ID or the number of failures does not satisfy the predetermined condition (does not exceed the threshold), it is considered as the first case. Then, in this case, the present embodiment urges the user to input correct user information by returning authentication failure information. As a result, the present embodiment determines that the correspondence between the tenant ID and the user information associated with the transmission source IP address is correct for the next request, and is appropriate for the request including the correct user information. Increase the possibility of sending to the server including the tenant ID.
2つ目のケースは、利用者環境の変更等の理由により、ある送信元IPアドレスが、以前にはテナントAの利用者からのリクエストの送信元であったが、テナントBの利用者からのリクエストの送信元に変更されたような場合である。この場合、リクエストから抽出される利用者情報は、テナントID対応テーブルにおいてリクエストの送信元IPアドレスに対応付けられたテナントIDとは異なるテナントIDに対応することになる。つまり、本実施の形態は、他のテナントIDがあり、失敗回数が所定条件を満たす場合、他のテナントIDの利用者が、変更になった送信元から正しい利用者情報を何度も入力してリクエストを送信している可能性が高いとみなす。そして、この場合、本実施の形態は、テナントID登録処理を行って、その送信元IPアドレスに対応するテナントIDを、利用者環境の変更に対応した新たなテナントIDに更新することができる。 In the second case, a source IP address was previously the source of a request from the tenant A user due to a change in the user environment, etc., but the tenant B user It is a case where it has been changed to the request sender. In this case, the user information extracted from the request corresponds to the tenant ID different from the tenant ID associated with the transmission source IP address of the request in the tenant ID correspondence table. That is, in the present embodiment, when there is another tenant ID and the number of failures satisfies a predetermined condition, the user of the other tenant ID inputs correct user information many times from the changed transmission source. It is highly likely that you are sending a request. Then, in this case, in the present embodiment, the tenant ID registration process can be performed to update the tenant ID corresponding to the transmission source IP address to a new tenant ID corresponding to the change of the user environment.
このようにして、本実施の形態は、利用者に、テナントIDを意識させることなく、マルチテナントサービスを利用させることが可能である。また、本実施の形態は、送信元の識別アドレスに基づいてテナントIDを特定するよう構成されるため、各テナントが属する組織のゲートウェイの外からの認証要求に対しても対応することができる。その結果、利用者は、自テナントのゲートウェイの外からモバイル端末を用いる場合でも、テナントIDを意識することなくマルチテナントサービスを利用可能である。 Thus, in the present embodiment, it is possible to make the user use the multi-tenant service without making the tenant ID conscious. Further, since the present embodiment is configured to specify the tenant ID based on the identification address of the transmission source, it is possible to cope with an authentication request from outside the gateway of the organization to which each tenant belongs. As a result, the user can use the multi-tenant service without being aware of the tenant ID even when using the mobile terminal from outside the gateway of the own tenant.
また、本実施の形態は、クライアントの利用環境変化に応じて、テナントID対応テーブルを更新する。そのため、本実施の形態は、クライアントの利用環境変化に伴う、マルチテナントサービス事業者への利用変更申請を不要にし、運用コストを低減する。 Further, in the present embodiment, the tenant ID correspondence table is updated according to the change in the use environment of the client. Therefore, in the present embodiment, the application change application to the multi-tenant service provider accompanying the change in the use environment of the client becomes unnecessary, and the operation cost is reduced.
また、本実施の形態は、マルチテナントサービス事業者側にとって、顧客の利用環境を別途管理する必要が無い。また、クライアント側の送信元アドレスは、顧客のゲートウェイのアドレスとなるケースが多い。このため、本実施の形態では、利用者数が増大しても、テナントID対応テーブルを保存するためのメモリ量が増大することはない。したがって、本実施の形態は、利用者数増加の影響を受けることなく、低リソースで実現可能となり、マシンコストを増大させない。また、本実施の形態は、利用者数増加の影響を受けることなく、テナントID対応テーブルに対する検索コストを増大させない。 Further, in the present embodiment, it is not necessary for the multi-tenant service provider side to separately manage the usage environment of the customer. In addition, the source address on the client side is often the address of the customer's gateway. Therefore, in the present embodiment, even if the number of users increases, the amount of memory for storing the tenant ID correspondence table does not increase. Therefore, the present embodiment can be realized with low resources without being affected by the increase in the number of users, and does not increase the machine cost. Also, the present embodiment does not increase the search cost for the tenant ID correspondence table without being affected by the increase in the number of users.
なお、本実施の形態において、通信情報制御装置は、SDNコントローラの機能として実現されてもよい。 In the present embodiment, the communication information control apparatus may be realized as a function of the SDN controller.
また、本実施の形態において、テナントID特定部は、テナントID対応テーブルから取得したテナントIDおよびリクエストから抽出された利用者情報の対応関係が正しいか否かを確認する処理として、図10〜図11に示した処理を行う例を説明した。これに限らず、テナントID特定部は、その他の手法を用いて、テナントIDおよびリクエストから抽出された利用者情報の対応関係が正しいか否かを確認してもよい。 Also, in the present embodiment, the tenant ID specification unit checks whether the correspondence between the tenant ID acquired from the tenant ID correspondence table and the user information extracted from the request is correct as shown in FIG. The example which performs the process shown to 11 was demonstrated. Not limited to this, the tenant ID specification unit may use another method to check whether the correspondence between the tenant ID and the user information extracted from the request is correct.
また、本実施の形態において、テナントID特定部は、利用者が誤った利用者情報を入力している場合と、利用者環境に変更のあった他のテナントIDの利用者が正しい利用者情報を入力している場合とを判別するため、失敗回数を記録する例を説明した。これに限らず、テナントID特定部は、その他の判断基準を用いて、これらのケースを判別してもよい。 Also, in the present embodiment, the tenant ID specification unit is a case where the user has input wrong user information, and the user information of the user of another tenant ID whose user environment has been changed is correct. An example of recording the number of failures has been described in order to determine that the user has input. Not limited to this, the tenant ID specification unit may determine these cases using other determination criteria.
また、本実施の形態において、マルチテナントサービスの一例として、マルチテナント型のLDAPディレクトリサービスを想定して説明した。これに限らず、本実施の形態は、他のマルチテナントサービスにも適用可能である。例えば、本実施の形態は、マルチテナントサービスとして、一般的なDBMS(Database Management System)を利用したマルチテナント型アプリケーションサービスを適用した場合にも実施可能である。 Further, in the present embodiment, a multi-tenant type LDAP directory service has been described as an example of the multi-tenant service. The present embodiment is not limited to this, and is applicable to other multi-tenant services. For example, the present embodiment can also be implemented when a multi-tenant application service using a general DBMS (Database Management System) is applied as the multi-tenant service.
また、本実施の形態において、通信経路制御システムが、SDNによって構成される例について説明した。ただし、通信経路制御システムの構成はこれに限られない。通信経路制御システムは、マルチテナントサービスに対する認証要求を表すクライアントからのリクエストを通信情報制御装置に転送し、通信情報制御装置から出力されるリクエストをサーバに転送するよう通信経路を制御するシステムであればよい。 Further, in the present embodiment, the example in which the communication path control system is configured by the SDN has been described. However, the configuration of the communication path control system is not limited to this. The communication path control system is a system that controls a communication path to transfer a request from a client representing an authentication request for multi-tenant service to the communication information control device and transfer a request output from the communication information control device to the server. Just do it.
また、本実施の形態において、テナントID登録部は、失敗回数が所定条件を満たしたことを契機に動作する場合、テナントID対応テーブルにおいて送信元IPアドレスに対応付けられたテナントIDを新たなテナントIDで更新する例を中心に説明した。これに限らず、本実施の形態において、テナントID登録部は、失敗回数が所定条件を満たしたことを契機に動作する場合、テナントID対応テーブルに、送信元IPアドレスおよび新たに特定したテナントIDを対応付けた情報を追加してもよい。この場合、テナントID特定部は、テナントID対応テーブルから、送信元IPアドレスに対応する複数のテナントIDを取得するケースが出てくる。このような場合、テナントID特定部は、リクエストから抽出された利用者情報を配下に持つテナントIDを特定すればよい。 In the present embodiment, when the tenant ID registration unit operates when the failure count satisfies the predetermined condition, the tenant ID associated with the transmission source IP address in the tenant ID correspondence table is a new tenant. The example has been described focusing on updating with the ID. Not limited to this, in the present embodiment, the tenant ID registration unit operates when the failure count satisfies the predetermined condition, the transmission source IP address and the newly identified tenant ID in the tenant ID correspondence table. You may add the information which matched the. In this case, there is a case where the tenant ID specification unit acquires a plurality of tenant IDs corresponding to the transmission source IP address from the tenant ID correspondence table. In such a case, the tenant ID identification unit may identify the tenant ID that has the user information subordinately extracted from the request.
また、上述した本発明の各実施の形態において、マルチテナントサービスでは、異なるテナントであっても同一の利用者情報が登録されないよう運用されるものとして説明した。これに限らず、各実施の形態は、異なるテナントであれば同一の利用者情報が登録される場合にも対応可能である。この場合、通信情報出力部は、テナントIDをクライアントに問い合わせる情報を返却してもよい。 Further, in each of the embodiments of the present invention described above, it has been described that the multi-tenant service is operated such that the same user information is not registered even for different tenants. Not only this but each embodiment can cope with the case where different tenants are registered with the same user information. In this case, the communication information output unit may return information for inquiring the client about the tenant ID.
また、上述した本発明の各実施の形態は、マルチテナントサービスの管理情報において利用者情報が所定のアルゴリズムで暗号化されている場合にも対応可能である。この場合、テナントID登録部およびテナントID特定部は、リクエストから抽出された利用者情報を、同一のアルゴリズムで暗号化した上で管理情報を検索すればよい。 In addition, each embodiment of the present invention described above can cope with the case where user information is encrypted by a predetermined algorithm in the management information of the multi-tenant service. In this case, the tenant ID registration unit and the tenant ID identification unit may search for management information after encrypting the user information extracted from the request with the same algorithm.
また、上述した本発明の各実施の形態において、通信情報制御装置の各機能ブロックが、記憶装置またはROMに記憶されたコンピュータ・プログラムを実行するCPUによって実現される例を中心に説明した。これに限らず、各機能ブロックの一部、全部、または、それらの組み合わせが専用のハードウェアにより実現されていてもよい。 Also, in each of the embodiments of the present invention described above, an example has been described focusing on an example where each functional block of the communication information control apparatus is realized by a CPU that executes a computer program stored in a storage device or a ROM. The present invention is not limited to this, and some, all, or a combination of each functional block may be realized by dedicated hardware.
また、上述した本発明の各実施の形態において、通信情報制御装置の機能ブロックは、複数の装置に分散されて実現されてもよい。 Further, in each embodiment of the present invention described above, the functional blocks of the communication information control apparatus may be realized by being distributed to a plurality of apparatuses.
また、上述した本発明の各実施の形態において、各フローチャートを参照して説明した通信情報制御装置の動作を、本発明のコンピュータ・プログラムとしてコンピュータの記憶装置(記憶媒体)に格納しておく。そして、係るコンピュータ・プログラムを当該CPUが読み出して実行するようにしてもよい。そして、このような場合において、本発明は、係るコンピュータ・プログラムのコードあるいは記憶媒体によって構成される。 In each embodiment of the present invention described above, the operation of the communication information control apparatus described with reference to the flowcharts is stored as a computer program of the present invention in a storage device (storage medium) of a computer. Then, the CPU may read out and execute the computer program. And, in such a case, the present invention is constituted by such computer program code or storage medium.
また、上述した各実施の形態は、適宜組み合わせて実施されることが可能である。 Moreover, each embodiment mentioned above can be implemented combining suitably.
また、本発明は、上述した各実施の形態に限定されず、様々な態様で実施されることが可能である。 Furthermore, the present invention is not limited to the above-described embodiments, and can be implemented in various aspects.
10、20 通信情報制御装置
11、21 通信情報取得部
12、22 テナントID登録部
13、23 テナントID特定部
14、24 通信情報出力部
2 中継システム
30 通信経路制御システム
31 SDNコントローラ
32 第1のSDNスイッチ
33 第2のSDNスイッチ
80、81 サーバ
90、91 クライアント
1001 CPU
1002 メモリ
1003 出力装置
1004 入力装置
1005 ネットワークインタフェース
10, 20 communication
1002
Claims (9)
前記クライアントから前記サーバへ送信される前記マルチテナントサービスに対する認証要求を表すリクエストを取得する通信情報取得部と、
前記リクエストの送信元の識別アドレスがテナントID対応テーブルに含まれない場合、前記サーバにおける前記マルチテナントサービスの管理情報を参照することにより、前記リクエストから抽出される利用者情報に対応するテナントIDを特定し、特定したテナントIDおよび前記送信元の識別アドレスを対応付けて前記テナントID対応テーブルに登録するテナントID登録部と、
前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDを特定するテナントID特定部と、
前記テナントID登録部または前記テナントID特定部によって特定されたテナントIDを前記リクエストに含めて、前記マルチテナントサービスに対するリクエストとして出力する通信情報出力部と、
を備え、
前記テナントID特定部は、前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDと前記利用者情報との対応関係が正しいか否かを、前記管理情報を参照することにより判断し、正しいと判断した場合に、該テナントIDを特定し、
前記テナントID特定部によって、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDと前記利用者情報との対応関係が正しくないと判断された場合に、前記通信情報出力部は、前記送信元に対する返却用の認証失敗情報を出力する
通信情報制御装置。 A server for providing multi-tenant services to users registered for each tenant, and a communication information control apparatus for controlling information transmitted and received between clients using the multi-tenant services,
A communication information acquisition unit for acquiring a request representing an authentication request for the multi-tenant service transmitted from the client to the server;
When the identification address of the transmission source of the request is not included in the tenant ID correspondence table, the tenant ID corresponding to the user information extracted from the request is referred to by referring to the management information of the multi-tenant service in the server. A tenant ID registration unit for specifying and registering the specified tenant ID and the identification address of the transmission source in association with the tenant ID correspondence table;
A tenant ID specification unit that specifies a tenant ID associated with the identification address of the transmission source in the tenant ID correspondence table, when the identification address of the transmission source is included in the tenant ID correspondence table;
A communication information output unit that includes the tenant ID specified by the tenant ID registration unit or the tenant ID specification unit in the request and outputs the request as a request for the multi-tenant service;
Equipped with
The tenant ID specification unit, when the identification address of the transmission source is included in the tenant ID correspondence table, the tenant ID associated with the identification address of the transmission source in the tenant ID correspondence table, and the user information Whether or not the correspondence relationship is correct is determined by referring to the management information, and when it is determined that it is correct, the tenant ID is specified,
The communication information output unit when the tenant ID identification unit determines that the correspondence between the tenant ID associated with the identification address of the transmission source in the tenant ID correspondence table and the user information is not correct. A communication information control apparatus for outputting authentication failure information for return to the transmission source .
前記クライアントから前記サーバへ送信される前記マルチテナントサービスに対する認証要求を表すリクエストを取得する通信情報取得部と、
前記リクエストの送信元の識別アドレスがテナントID対応テーブルに含まれない場合、前記サーバにおける前記マルチテナントサービスの管理情報を参照することにより、前記リクエストから抽出される利用者情報に対応するテナントIDを特定し、特定したテナントIDおよび前記送信元の識別アドレスを対応付けて前記テナントID対応テーブルに登録するテナントID登録部と、
前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDを特定するテナントID特定部と、
前記テナントID登録部または前記テナントID特定部によって特定されたテナントIDを前記リクエストに含めて、前記マルチテナントサービスに対するリクエストとして出力する通信情報出力部と、
を備え、
前記テナントID特定部は、前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDと前記利用者情報との対応関係が正しいか否かを、前記管理情報を参照することにより判断し、正しいと判断した場合に、該テナントIDを特定し、
前記テナントID特定部によって、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDと前記利用者情報との対応関係が正しくないと判断された場合に、前記テナントID登録部は、前記管理情報を参照することにより前記利用者情報に対応するテナントIDを特定し、特定したテナントIDを用いて前記テナントID対応テーブルを更新する
通信情報制御装置。 A server for providing multi-tenant services to users registered for each tenant, and a communication information control apparatus for controlling information transmitted and received between clients using the multi-tenant services,
A communication information acquisition unit for acquiring a request representing an authentication request for the multi-tenant service transmitted from the client to the server;
When the identification address of the transmission source of the request is not included in the tenant ID correspondence table, the tenant ID corresponding to the user information extracted from the request is referred to by referring to the management information of the multi-tenant service in the server. A tenant ID registration unit for specifying and registering the specified tenant ID and the identification address of the transmission source in association with the tenant ID correspondence table;
A tenant ID specification unit that specifies a tenant ID associated with the identification address of the transmission source in the tenant ID correspondence table, when the identification address of the transmission source is included in the tenant ID correspondence table;
A communication information output unit that includes the tenant ID specified by the tenant ID registration unit or the tenant ID specification unit in the request and outputs the request as a request for the multi-tenant service;
Equipped with
The tenant ID specification unit, when the identification address of the transmission source is included in the tenant ID correspondence table, the tenant ID associated with the identification address of the transmission source in the tenant ID correspondence table, and the user information Whether or not the correspondence relationship is correct is determined by referring to the management information, and when it is determined that it is correct, the tenant ID is specified,
The tenant ID registration unit when the tenant ID identification unit determines that the correspondence between the tenant ID associated with the identification address of the transmission source in the tenant ID correspondence table and the user information is not correct. The communication information control apparatus identifies a tenant ID corresponding to the user information by referring to the management information, and updates the tenant ID correspondence table using the identified tenant ID.
前記テナントID登録部は、前記失敗回数が所定条件を満たした場合に、前記管理情報を参照することにより前記利用者情報に対応するテナントIDを特定し、特定したテナントIDを用いて前記テナントID対応テーブルを更新することを特徴とする請求項2に記載の通信情報制御装置。 The tenant ID specification unit determines the number of failures determined that the correspondence between the tenant ID associated with the identification address of the transmission source and the user information in the tenant ID correspondence table is not correct, the tenant ID and the number of failures. Record each combination of user information,
The tenant ID registration unit identifies the tenant ID corresponding to the user information by referring to the management information when the number of failures satisfies a predetermined condition, and uses the identified tenant ID to identify the tenant ID The communication information control apparatus according to claim 2 , characterized in that the correspondence table is updated.
前記クライアントから前記マルチテナントサービスに対する認証要求を表すリクエストを受信すると、該リクエストを前記通信情報制御装置に転送することにより、前記通信情報制御装置から前記テナントIDを含むリクエストを受信し、受信したリクエストを前記サーバに送信する通信経路制御システムと、
を備えた中継システム。 The communication information control apparatus according to any one of claims 1 to 4 .
When a request representing an authentication request for the multi-tenant service is received from the client, the request is transferred to the communication information control device to receive the request including the tenant ID from the communication information control device, and the received request A communication path control system that transmits to the server;
Relay system equipped with
前記クライアントから前記サーバへ送信される前記マルチテナントサービスに対する認証要求を表すリクエストを取得すると、
前記リクエストの送信元の識別アドレスがテナントID対応テーブルに含まれない場合、前記サーバにおける前記マルチテナントサービスの管理情報を参照することにより、前記リクエストから抽出される利用者情報に対応するテナントIDを特定し、特定したテナントIDおよび前記送信元の識別アドレスを対応付けて前記テナントID対応テーブルに
登録し、
前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応づけられたテナントIDを特定し、
特定したテナントIDを前記リクエストに含めて、前記マルチテナントサービスに対するリクエストとして出力し、
前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDと前記利用者情報との対応関係が正しいか否かを、前記管理情報を参照することにより判断し、正しいと判断した場合に、該テナントIDを特定し、
前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDと前記利用者情報との対応関係が正しくないと判断された場合に、前記送信元に対する返却用の認証失敗情報を出力する
通信情報制御方法。 A communication information control method for controlling a server for providing multi-tenant service to a user registered for each tenant and information transmitted and received between clients using the multi-tenant service,
When acquiring a request representing an authentication request for the multi-tenant service sent from the client to the server,
When the identification address of the transmission source of the request is not included in the tenant ID correspondence table, the tenant ID corresponding to the user information extracted from the request is referred to by referring to the management information of the multi-tenant service in the server. Identifying and associating the identified tenant ID with the identification address of the transmission source in the tenant ID correspondence table,
When the identification address of the transmission source is included in the tenant ID correspondence table, the tenant ID corresponding table is identified with the tenant ID in the tenant ID correspondence table,
The specified tenant ID is included in the request, and output as a request for the multi-tenant service ,
When the identification address of the transmission source is included in the tenant ID correspondence table, whether the correspondence between the tenant ID associated with the identification address of the transmission source and the user information is correct in the tenant ID correspondence table Is determined by referring to the management information, and if it is determined that the tenant ID is correct,
The authentication failure information for return to the transmission source is output when it is determined that the correspondence between the tenant ID associated with the identification address of the transmission source and the user information is not correct in the tenant ID correspondence table. communication information control method for.
前記クライアントから前記サーバへ送信される前記マルチテナントサービスに対する認証要求を表すリクエストを取得すると、 When acquiring a request representing an authentication request for the multi-tenant service sent from the client to the server,
前記リクエストの送信元の識別アドレスがテナントID対応テーブルに含まれない場合、前記サーバにおける前記マルチテナントサービスの管理情報を参照することにより、前記リクエストから抽出される利用者情報に対応するテナントIDを特定し、特定したテナントIDおよび前記送信元の識別アドレスを対応付けて前記テナントID対応テーブルに When the identification address of the transmission source of the request is not included in the tenant ID correspondence table, the tenant ID corresponding to the user information extracted from the request is referred to by referring to the management information of the multi-tenant service in the server. In the tenant ID correspondence table, the specified tenant ID and the identification address of the transmission source are correlated and specified
登録し、Register,
前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応づけられたテナントIDを特定し、 When the identification address of the transmission source is included in the tenant ID correspondence table, the tenant ID corresponding table is identified with the tenant ID in the tenant ID correspondence table,
特定したテナントIDを前記リクエストに含めて、前記マルチテナントサービスに対するリクエストとして出力し、 The specified tenant ID is included in the request, and output as a request for the multi-tenant service,
前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDと前記利用者情報との対応関係が正しいか否かを、前記管理情報を参照することにより判断し、正しいと判断した場合に、該テナントIDを特定し、 When the identification address of the transmission source is included in the tenant ID correspondence table, whether the correspondence between the tenant ID associated with the identification address of the transmission source and the user information is correct in the tenant ID correspondence table Is determined by referring to the management information, and if it is determined that the tenant ID is correct,
前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDと前記利用者情報との対応関係が正しくないと判断された場合に、前記管理情報を参照することにより前記利用者情報に対応するテナントIDを特定し、特定したテナントIDを用いて前記テナントID対応テーブルを更新する The user information is referred to by referring to the management information when it is determined in the tenant ID correspondence table that the correspondence between the tenant ID associated with the identification address of the transmission source and the user information is not correct. Identify the tenant ID corresponding to, and update the tenant ID correspondence table using the identified tenant ID
通信情報制御方法。 Communication information control method.
前記クライアントから前記サーバへ送信される前記マルチテナントサービスに対する認証要求を表すリクエストを取得する通信情報取得ステップと、
前記リクエストの送信元の識別アドレスがテナントID対応テーブルに含まれない場合、前記サーバにおける前記マルチテナントサービスの管理情報を参照することにより、前記リクエストから抽出される利用者情報に対応するテナントIDを特定し、特定したテナントIDおよび前記送信元の識別アドレスを対応付けて前記テナントID対応テーブルに登録するテナントID登録ステップと、
前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応づけられたテナントIDを特定するテナントID特定ステップと、
前記テナントID登録ステップまたは前記テナントID特定ステップにおいて特定されたテナントIDを前記リクエストに含めて、前記マルチテナントサービスに対するリクエストとして出力する通信情報出力ステップと、を実行させ、
前記テナントID特定ステップにおいて、前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDと前記利用者情報との対応関係が正しいか否かを、前記管理情報を参照することにより判断し、正しいと判断した場合に、該テナントIDを特定し、
前記テナントID特定ステップにおいて、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDと前記利用者情報との対応関係が正しくないと判断された場合に、前記送信元に対する返却用の認証失敗情報を出力する
通信情報制御プログラム。 A server for providing multi-tenant service to a user registered for each tenant and a communication information control apparatus for controlling information transmitted and received between clients using the multi-tenant service
A communication information acquisition step of acquiring a request representing an authentication request for the multi-tenant service transmitted from the client to the server;
When the identification address of the transmission source of the request is not included in the tenant ID correspondence table, the tenant ID corresponding to the user information extracted from the request is referred to by referring to the management information of the multi-tenant service in the server. A tenant ID registration step of specifying and registering the specified tenant ID and the identification address of the transmission source in association with the tenant ID correspondence table;
A tenant ID specifying step of specifying a tenant ID associated with the identification address of the transmission source in the tenant ID correspondence table, when the identification address of the transmission source is included in the tenant ID correspondence table;
Execute the communication information output step of including the tenant ID identified in the tenant ID registration step or the tenant ID identification step in the request and outputting the request as a request for the multi-tenant service ;
In the tenant ID specifying step, when the identification address of the transmission source is included in the tenant ID correspondence table, the tenant ID associated with the identification address of the transmission source in the tenant ID correspondence table and the user information Whether or not the correspondence relationship is correct is determined by referring to the management information, and when it is determined that it is correct, the tenant ID is specified,
When it is determined in the tenant ID identification step that the correspondence between the tenant ID associated with the identification address of the transmission source and the user information is not correct in the tenant ID correspondence table, return to the transmission source Communication control program that outputs authentication failure information for
前記クライアントから前記サーバへ送信される前記マルチテナントサービスに対する認証要求を表すリクエストを取得する通信情報取得ステップと、 A communication information acquisition step of acquiring a request representing an authentication request for the multi-tenant service transmitted from the client to the server;
前記リクエストの送信元の識別アドレスがテナントID対応テーブルに含まれない場合、前記サーバにおける前記マルチテナントサービスの管理情報を参照することにより、前記リクエストから抽出される利用者情報に対応するテナントIDを特定し、特定したテナントIDおよび前記送信元の識別アドレスを対応付けて前記テナントID対応テーブルに登録するテナントID登録ステップと、 When the identification address of the transmission source of the request is not included in the tenant ID correspondence table, the tenant ID corresponding to the user information extracted from the request is referred to by referring to the management information of the multi-tenant service in the server. A tenant ID registration step of specifying and registering the specified tenant ID and the identification address of the transmission source in association with the tenant ID correspondence table;
前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応づけられたテナントIDを特定するテナントID特定ステップと、 A tenant ID specifying step of specifying a tenant ID associated with the identification address of the transmission source in the tenant ID correspondence table, when the identification address of the transmission source is included in the tenant ID correspondence table;
前記テナントID登録ステップまたは前記テナントID特定ステップにおいて特定されたテナントIDを前記リクエストに含めて、前記マルチテナントサービスに対するリクエストとして出力する通信情報出力ステップと、を実行させ、 Execute the communication information output step of including the tenant ID identified in the tenant ID registration step or the tenant ID identification step in the request and outputting the request as a request for the multi-tenant service;
前記テナントID特定ステップにおいて、前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDと前記利用者情報との対応関係が正しいか否かを、前記管理情報を参照することにより判断し、正しいと判断した場合に、該テナントIDを特定し、 In the tenant ID specifying step, when the identification address of the transmission source is included in the tenant ID correspondence table, the tenant ID associated with the identification address of the transmission source in the tenant ID correspondence table and the user information Whether or not the correspondence relationship is correct is determined by referring to the management information, and when it is determined that it is correct, the tenant ID is specified,
前記テナントID特定ステップにおいて、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDと前記利用者情報との対応関係が正しくないと判断された場合に、前記管理情報を参照することにより前記利用者情報に対応するテナントIDを特定し、特定したテナントIDを用いて前記テナントID対応テーブルを更新する When it is determined in the tenant ID identification step that the correspondence between the tenant ID associated with the identification address of the transmission source in the tenant ID correspondence table and the user information is not correct, the management information is referred to. Identify the tenant ID corresponding to the user information, and update the tenant ID correspondence table using the identified tenant ID
通信情報制御プログラム。 Communication information control program.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015021341A JP6540063B2 (en) | 2015-02-05 | 2015-02-05 | Communication information control apparatus, relay system, communication information control method, and communication information control program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015021341A JP6540063B2 (en) | 2015-02-05 | 2015-02-05 | Communication information control apparatus, relay system, communication information control method, and communication information control program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016144186A JP2016144186A (en) | 2016-08-08 |
JP6540063B2 true JP6540063B2 (en) | 2019-07-10 |
Family
ID=56570938
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015021341A Active JP6540063B2 (en) | 2015-02-05 | 2015-02-05 | Communication information control apparatus, relay system, communication information control method, and communication information control program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6540063B2 (en) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6419143B2 (en) * | 2016-12-20 | 2018-11-07 | 株式会社ミロク情報サービス | Common program, database management apparatus, and database management method |
JP6624251B1 (en) | 2018-07-31 | 2019-12-25 | 横河電機株式会社 | Interface modules, network devices, and network systems |
JP7322619B2 (en) * | 2019-09-13 | 2023-08-08 | 株式会社リコー | COMPUTER SYSTEM, LOGIN SCREEN DISPLAY METHOD, PROGRAM |
JP7396205B2 (en) | 2020-06-02 | 2023-12-12 | コニカミノルタ株式会社 | Medical information storage program and medical information storage management device |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5132378B2 (en) * | 2008-03-21 | 2013-01-30 | 日本電信電話株式会社 | Service management method and service management system |
JP5239966B2 (en) * | 2009-03-17 | 2013-07-17 | 富士通株式会社 | Relay device, tenant management program |
-
2015
- 2015-02-05 JP JP2015021341A patent/JP6540063B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2016144186A (en) | 2016-08-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10374955B2 (en) | Managing network computing components utilizing request routing | |
CN107690800B (en) | Managing dynamic IP address allocation | |
US20180205697A1 (en) | Managing content delivery network service providers by a content broker | |
US20220046088A1 (en) | Systems and methods for distributing partial data to subnetworks | |
KR101379864B1 (en) | Request routing using network computing components | |
US8533293B1 (en) | Client side cache management | |
US11218437B2 (en) | Method for network traffic forwarding, request sending, and communication acceleration, forwarding server and node server | |
US20080184354A1 (en) | Single sign-on system, information terminal device, single sign-on server, single sign-on utilization method, storage medium, and data signal | |
JP2004266568A (en) | Name resolution server and packet transfer apparatus | |
JP6540063B2 (en) | Communication information control apparatus, relay system, communication information control method, and communication information control program | |
JP2014048900A (en) | Computer system, and packet transfer method | |
Xie et al. | Supporting seamless virtual machine migration via named data networking in cloud data center | |
KR20140007363A (en) | Site-aware distributed file system access from outside enterprise network | |
JPWO2013190737A1 (en) | Server system, server, server control method, and server control program | |
US20200287974A1 (en) | System and method for switching between publish/subscribe services | |
US20130262637A1 (en) | Dns proxy service for multi-core platforms | |
US11057470B2 (en) | Communication device and communication method for processing meta data | |
JP4013967B2 (en) | Name resolution server and packet transfer device | |
WO2015145953A1 (en) | Communication terminal, communication method, and program-containing storage medium | |
JP4965683B2 (en) | Retransmission determination apparatus, retransmission determination method, retransmission determination program, and retransmission determination system | |
JP6522490B2 (en) | Network system, control device, and program | |
AU2023203129B2 (en) | Systems and methods for distributing partial data to subnetworks | |
JP2006003962A (en) | Network storage system | |
CN110958182B (en) | Communication method and related equipment | |
JP2007166659A (en) | Name resolution server and packet transfer apparatus |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180115 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20181126 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20181204 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190130 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190514 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190527 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6540063 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |