アクセス制御方法、アクセス制御システムおよびアクセス権管理サーバ
【課題】既存のWebシステムの改造を行うことなくアクセス権の判定処理を詳細化できるアクセス制御方法、アクセス制御システムおよびアクセス権管理サーバを提供する。
【解決手段】アクセス権管理システム1は、ユーザからのWebシステムAへの転送サービスへのリクエストをユーザ端末2から受信し、リクエストを送信したユーザのアクセス権設定情報をアクセス権設定情報記憶部12から取得して、リクエストを送信したユーザにアクセス権限があるかどうかを判定し、アクセス権がある場合のみサービス対応情報記憶部15から転送先Webシステム、転送先サービス、パラメータ変換ルールを取得し、ルールに従ってパラメータ変換して転送リクエストを組み立て、WebシステムAにリクエストを転送し、WebシステムAから返却されたレスポンスを受信し、ユーザ端末2にレスポンスを返却する。
【解決手段】アクセス権管理システム1は、ユーザからのWebシステムAへの転送サービスへのリクエストをユーザ端末2から受信し、リクエストを送信したユーザのアクセス権設定情報をアクセス権設定情報記憶部12から取得して、リクエストを送信したユーザにアクセス権限があるかどうかを判定し、アクセス権がある場合のみサービス対応情報記憶部15から転送先Webシステム、転送先サービス、パラメータ変換ルールを取得し、ルールに従ってパラメータ変換して転送リクエストを組み立て、WebシステムAにリクエストを転送し、WebシステムAから返却されたレスポンスを受信し、ユーザ端末2にレスポンスを返却する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、サービスを提供するWebシステムへのアクセスを制御するアクセス制御方法、アクセス制御システムおよびアクセス権管理サーバに関する。
【背景技術】
【0002】
従来のWebシステムでは、自身のWebシステムもしくは連携した認可システムでアクセス権の設定情報を保有管理しており、Webシステムにアクセスしてきたユーザがサービスを利用する権限があるかどうかの判定は、自身のWebシステムもしくは連携した認可システムが行っていた。
【0003】
図6は、Webシステムへのアクセスを制御する従来のシステム構成の一例を示す図である。Webシステム31は、掲示板Aに対して内容の書き込みができる掲示版書き込みサービスと、掲示板Aに対して既存の書き込み内容の削除ができる掲示板内容削除サービスと、掲示板Aに対して既存の書き込み内容の参照ができる掲示板内容確認サービスを提供している。また、Webシステム31は、ユーザ毎のアクセス権設定情報を保持するアクセス権設定情報記憶部33を備えている。図7は、アクセス権設定情報記憶部33に保持されるアクセス権設定情報の一例を示す図である。
【0004】
図8は、図6に示すWebシステムの掲示板Aへの追記書き込み時における動作を説明するフロー図である。ユーザXがユーザ端末32を使用してWebシステム31へのログインを行うと(S201)、ユーザ端末32は、Webシステム31へのログインリクエストを行う(S202)。Webシステム31は、ログインリクエストを受信すると、ユーザXを認証し、セッションを保持し(S203)、Webシステム31が提供する、例えば、掲示板書き込みサービス、掲示板内容削除サービス、掲示板内容確認サービスのサービスメニュー情報をユーザ端末32に送信する(S204)。
【0005】
ユーザXにより、例えば、掲示板Aへの書き込み処理リクエストが入力されると(S205)、ユーザ端末32は、Webシステム31の掲示板書き込みサービスへのリクエストを行う(S206)。インプットパラメータは、掲示板Aへの書き込み内容である。Webシステム31は、リクエストを受信すると、ユーザXのアクセス権設定情報をアクセス権設定情報記憶部33から取得し(S207)、リクエスト内容(掲示板Aへの書き込み)と取得したユーザXのアクセス権設定情報(掲示板書き込みサービス:可)からユーザXが掲示板Aへ書き込みができるかを判定する(S208)。この場合、アクセス権有りと判定する。
【0006】
アクセス権有りの場合、リクエストに応じた処理を行う(S209)。この場合、掲示板Aが既に存在していれば、リクエストで受信した書き込み内容を掲示板Aに追記し、追記された掲示板Aの画面情報を生成する。掲示板が存在しなければ書き込み内容の掲示板Aを新規作成し、新規作成された掲示板Aの画面情報を生成する。そして、Webシステム31は、処理結果として、書き込み内容が追記された掲示板Aの画面情報または新規作成された掲示板Aの画面情報をユーザ端末32に送信し(S210)、ユーザ端末32は、掲示板Aの画面情報を表示する(S211)。
アクセス権が無い場合、Webシステム31は、処理結果として、アクセス権なしエラー画面をユーザ端末32に送信し(S212)、ユーザ端末32は、アクセス権なしエラー画面情報を表示する(S213)。
【先行技術文献】
【非特許文献】
【0007】
【非特許文献1】IPA、情報セキュリティ、セキュア・プログラミング講座、Webアプリケーション編、“第2章アクセス制御対策 アクセス認可対策”、情報処理推進機構、[online]、[2010年3月10日検索]インターネット<URL:http://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/102.html>
【発明の概要】
【発明が解決しようとする課題】
【0008】
上述したWebシステムの掲示版書き込みサービスでは、掲示板に対する書き込み内容をインプットパラメータとして受信し、掲示板が既に存在すれば掲示板への追記を行い、掲示板が存在しなければ掲示板を新規作成しており、ユーザに書き込み権限があれば、新規作成と追記のどちらでも行うことが可能な制御をしている。
ここで、Webシステムの掲示板への書き込み権限の判定を、新規作成と追記に分けて管理する必要があるとする。既存技術では、Webシステムに掲示板新規書き込みサービスと掲示板追記書き込みサービスを作成し、既存のアクセス権設定情報を新規書き込みと追記書き込みに分け、アクセス権判定の処理内容を新規作成の書き込みと追記の書き込みに分ける必要があり、大きな改造が必要となる。
【0009】
上述のように、書き込みというアクセス権判定をしているシステムにおいて、判定処理として新規書き込みと追記書き込みに分けて管理するよう処理を変更する場合のように、一度開発してしまったアクセス権判定の処理を詳細化して仕様変更する場合、Webシステムの大きな改造が必要となってしまい、仮にアクセス権の判定方法を変更する改造を実施しても、既に設定されている全てのアクセス権の設定情報を修正しないと変更内容を利用することができないため、ユーザや運用者の負担が大きくなってしまう。
【0010】
本発明は、このような問題点に鑑みてなされたものであり、本発明の目的は、既存のWebシステムの改造を行うことなくアクセス権の判定処理を詳細化できるアクセス制御方法、アクセス制御システムおよびアクセス権管理サーバを提供することにある。
【課題を解決するための手段】
【0011】
上記目的を達成するため、本発明は、ユーザ端末と、サービスを提供するWebシステムと、前記ユーザ端末と前記Webシステムとの間に設置されたアクセス権管理サーバとがネットワーク接続されるシステムのアクセス制御方法であって、前記アクセス権管理サーバの処理手順が、前記ユーザ端末から、ネットワークを経由して前記Webシステムが提供するサービスに対する処理リクエストを受信するステップと、ユーザの識別情報とアクセス権設定情報を保持するアクセス権設定情報記憶部から、前記処理リクエストのリクエスト送信者のユーザ識別情報をキーとして、前記リクエスト送信者のアクセス権設定情報を取得するステップと、取得した前記アクセス権設定情報を参照して前記リクエスト送信者にアクセス権が有るか否かを判定するステップと、前記リクエスト送信者にアクセス権が有る場合、前記処理リクエストの転送先となるWebシステムの情報、該Webシステムが提供するサービスの情報、およびパラメータ変換ルールを保持するサービス対応情報記憶部から、前記転送先Webシステムの情報、前記サービスの情報、および前記パラメータ変換ルールを取得するステップと、前記処理リクエストの内容を、前記パラメータ変換ルールに従って、前記Webシステムが提供する前記サービスに適合するパラメータに変換するステップと、前記パラメータを、前記転送先Webシステムに転送するステップと、該転送先Webシステムから前記処理リクエストに対応する処理結果の情報をネットワークを経由して受信するステップと、前記処理結果の情報を前記ユーザ端末に送信するステップとを含むことを特徴とする。
【0012】
上述した本発明のアクセス制御方法において、前記アクセス権管理サーバの処理手順は、前記リクエスト送信者にアクセス権が無い場合、エラーメッセージの画面情報を生成して当該画面情報を前記ユーザ端末に送信するステップを更に含むことが好ましい。
【0013】
また、本発明は、ユーザ端末と、サービスを提供するWebシステムと、前記ユーザ端末と前記Webシステムとの間に設置されたアクセス権管理サーバとがネットワーク接続されるアクセス制御システムであって、前記アクセス権管理サーバが、前記ユーザ端末から、ネットワークを経由して前記Webシステムが提供するサービスに対する処理リクエストを受信する処理要求受信部と、ユーザの識別情報とアクセス権設定情報を保持するアクセス権設定情報記憶部と、前記アクセス権設定情報記憶部から、前記処理リクエストのリクエスト送信者のユーザ識別情報をキーとして、前記リクエスト送信者のアクセス権設定情報を取得するアクセス権設定情報取得部と、取得した前記アクセス権設定情報を参照して前記リクエスト送信者にアクセス権が有るか否かを判定するアクセス権判定部と、前記処理リクエストの転送先となるWebシステムの情報、該Webシステムが提供するサービスの情報、およびパラメータ変換ルールを保持するサービス対応情報記憶部と、前記リクエスト送信者にアクセス権が有る場合、前記サービス対応情報記憶部から、前記転送先Webシステムの情報、前記サービスの情報、および前記パラメータ変換ルールを取得するサービス対応情報取得部と、前記処理リクエストの内容を、前記パラメータ変換ルールに従って、前記Webシステムが提供する前記サービスに適合するパラメータに変換するパラメータ変換部と、前記パラメータを、前記転送先Webシステムに転送する処理要求転送部と、該転送先Webシステムから前記処理リクエストに対応する処理結果の情報をネットワークを経由して受信する処理結果受信部と、前記処理結果受信部で受信した処理結果の情報を前記ユーザ端末に送信する処理結果送信部とを備えることを特徴とする。
【0014】
上述した本発明のアクセス制御システムにおいて、前記アクセス権管理サーバは、エラーメッセージの画面情報を生成するエラー生成部を更に備え、前記リクエスト送信者にアクセス権が無い場合、前記エラー生成部がエラーメッセージの画面情報を生成し、前記処理結果送信部がエラーメッセージの画面情報を前記ユーザ端末に送信することが好ましい。
【0015】
また、本発明は、ユーザ端末とサービスを提供するWebシステムとの間に設置されるアクセス権管理サーバであって、前記ユーザ端末から、ネットワークを経由して前記Webシステムが提供するサービスに対する処理リクエストを受信する処理要求受信部と、ユーザの識別情報とアクセス権設定情報を保持するアクセス権設定情報記憶部と、前記アクセス権設定情報記憶部から、前記処理リクエストのリクエスト送信者のユーザ識別情報をキーとして、前記リクエスト送信者のアクセス権設定情報を取得するアクセス権設定情報取得部と、取得した前記アクセス権設定情報を参照して前記リクエスト送信者にアクセス権が有るか否かを判定するアクセス権判定部と、前記処理リクエストの転送先となるWebシステムの情報、該Webシステムが提供するサービスの情報、およびパラメータ変換ルールを保持するサービス対応情報記憶部と、前記リクエスト送信者にアクセス権が有る場合、前記サービス対応情報記憶部から、前記転送先Webシステムの情報、前記サービスの情報、および前記パラメータ変換ルールを取得するサービス対応情報取得部と、前記処理リクエストの内容を、前記パラメータ変換ルールに従って、前記Webシステムが提供する前記サービスに適合するパラメータに変換するパラメータ変換部と、前記パラメータを、前記転送先Webシステムに転送する処理要求転送部と、該転送先Webシステムから前記処理リクエストに対応する処理結果の情報をネットワークを経由して受信する処理結果受信部と、前記処理結果受信部で受信した処理結果の情報を前記ユーザ端末に送信する処理結果送信部とを備えることを特徴とする。
【0016】
上述した本発明のアクセス権管理サーバは、エラーメッセージの画面情報を生成するエラー生成部を更に備え、前記リクエスト送信者にアクセス権が無い場合、前記エラー生成部がエラーメッセージの画面情報を生成し、前記処理結果送信部がエラーメッセージの画面情報を前記ユーザ端末に送信することが好ましい。
【0017】
また、本発明は、ユーザ端末とサービスを提供するWebシステムとの間に設置されるアクセス権管理サーバとして構成するコンピュータに、前記ユーザ端末から、ネットワークを経由して前記Webシステムが提供するサービスに対する処理リクエストを受信するステップと、ユーザの識別情報とアクセス権設定情報を保持するアクセス権設定情報記憶部から、前記処理リクエストのリクエスト送信者のユーザ識別情報をキーとして、前記リクエスト送信者のアクセス権設定情報を取得するステップと、取得した前記アクセス権設定情報を参照して前記リクエスト送信者にアクセス権が有るか否かを判定するステップと、前記リクエスト送信者にアクセス権が有る場合、前記処理リクエストの転送先となるWebシステムの情報、該Webシステムが提供するサービスの情報、およびパラメータ変換ルールを保持するサービス対応情報記憶部から、前記転送先Webシステムの情報、前記サービスの情報、および前記パラメータ変換ルールを取得するステップと、前記処理リクエストの内容を、前記パラメータ変換ルールに従って、前記Webシステムが提供する前記サービスに適合するパラメータに変換するステップと、前記パラメータを、前記転送先Webシステムに転送するステップと、該転送先Webシステムから前記処理リクエストに対応する処理結果の情報をネットワークを経由して受信するステップと、前記処理結果の情報を前記ユーザ端末に送信するステップとを実行させるためのプログラムとしての特徴を有する。
【0018】
上述した本発明のプログラムは、前記リクエスト送信者にアクセス権が無い場合、エラーメッセージの画面情報を生成して当該画面情報を前記ユーザ端末に送信するステップを更に含むことが好ましい。
【発明の効果】
【0019】
本発明は、アクセス権管理サーバがアクセス権の判定処理を行うことにより、既存のWebシステムの改造を行うことなくアクセス権の判定処理を詳細化できる。
また、本発明は、アクセス権管理サーバが、アクセス権のないユーザからのリクエストをWebシステムに転送しないので、Webシステムの処理負荷を少なくできる。
【図面の簡単な説明】
【0020】
【図1】本発明のアクセス制御システムの構成を示す図である。
【図2】アクセス権管理サーバの構成を示す図である。
【図3】アクセス権設定情報の一例を示す図である。
【図4】サービス対応情報の一例を示す図である。
【図5】Webシステムの掲示板への追記書き込み時における動作を説明するフロー図である。
【図6】Webシステムへのアクセスを制御する従来のシステム構成の一例を示す図である。
【図7】アクセス権設定情報の一例を示す図である。
【図8】従来のWebシステムの掲示板への追記書き込み時における動作を説明するフロー図である。
【発明を実施するための形態】
【0021】
本発明の実施の形態について図面を参照して説明する。図1は、本発明のアクセス制御システムの構成を示す図である。本発明のアクセス制御システムは、アクセス権管理サーバ1と、ユーザ端末2と、Webシステム3からなる。アクセス権管理サーバ1と、ユーザ端末2と、Webシステム3は、互いにネットワークを介して接続されている。また、アクセス権管理サーバ1には、少なくとの1つのWebシステム3が接続されており、その1つを、以下では、WebシステムAという。
【0022】
アクセス権管理サーバ1は、WebシステムAが提供する掲示版書き込みサービスに、掲示板Aに対しての内容の新規書き込みを転送する掲示板新規書き込み転送サービスと、WebシステムAが提供する掲示版書き込みサービスに、掲示板Aに対しての内容の追記書き込みを転送する掲示板追記書き込み転送サービスと、WebシステムAが提供する掲示版内容削除サービスに、掲示板Aに対しての既存の書き込み内容削除を転送する掲示板内容削除転送サービスと、WebシステムAが提供する掲示版内容確認サービスに、掲示板Aに対しての既存の書き込み内容参照を転送する掲示板内容確認転送サービスを提供する。
また、アクセス権管理サーバ1は、ユーザ毎のアクセス権設定情報を保持するアクセス権設定情報記憶部12と、サービス毎のサービス対応情報を保持するサービス対応情報記憶部15を備えている。
【0023】
WebシステムAは、掲示板Aに対して内容の書き込みができる掲示版書き込みサービスと、掲示板Aに対して既存の書き込み内容の削除ができる掲示板内容削除サービスと、掲示板Aに対して既存の書き込み内容の参照ができる掲示板内容確認サービスを提供している。掲示版書き込みサービスでは、書き込みのリクエストがあったときに掲示板Aが存在しない場合は新規に掲示板Aが作成され、存在する場合は掲示板Aに追記される。
【0024】
図2は、アクセス権管理サーバの構成を示す図である。アクセス権管理サーバ1は、処理要求受信部は11と、アクセス権設定情報記憶部12と、アクセス権設定情報取得部13と、アクセス権判定部14と、サービス対応情報記憶部15と、サービス対応情報取得部16と、パラメータ変換部17と、処理要求転送部18と、処理結果受信部19と、処理結果(エラー)生成部20と、処理結果送信部21とを備える。アクセス権管理サーバ1は、アクセス権管理サーバの各機能を実現する処理内容を記述したプログラムを、当該サーバの記憶部に格納しておき、当該サーバの中央演算処理装置(CPU)によってこのプログラムを読み出して実行させることで実現することができる。
【0025】
処理要求受信部11は、ユーザ端末2からアクセス権管理サーバ1のサービスへの処理リクエスト(WebシステムAに転送する処理リクエスト)をネットワークを経由して受信する。インプットパラメータとして、ユーザ識別情報、サービスへのリクエスト内容を受信する。
アクセス権設定情報記憶部12は、どの識別情報のユーザが、アクセス権管理サーバ1のどのサービスを、利用可/利用不可であるかというレコードを保持している。図3は、アクセス権設定情報記憶部12に保持されるアクセス権設定情報の一例を示す図である。例えば、ユーザXは、WebシステムAへの掲示板追記書き込み転送サービスを利用可としている。
【0026】
アクセス権設定情報取得部13は、アクセス権設定情報記憶部12から、リクエスト送信者のユーザ識別情報をキーとして、送信者のアクセス権設定情報の一覧を取得する。
アクセス権判定部14は、取得したアクセス権設定情報の一覧に、リクエストされたアクセス権管理サーバ1のサービスが存在するか否かを判定し、さらに、アクセス権が有るか否かを判定する。一覧にサービスが存在し、アクセス権が有る場合、サービス対応情報取得部16に処理を引き継ぎ、一覧にサービスが存在しない、もしくはアクセス権が無い場合、処理結果(エラー)生成部20に処理を引き継ぐ。
【0027】
サービス対応情報記憶部15は、アクセス権管理サーバ1のどのサービスが、どのWebシステムの、どのサービスに、どのようなルールでパラメータ変換して転送するか、という情報を保持している。図4は、サービス対応情報記憶部15に保持されるサービス対応情報の一例を示す図である。例えば、WebシステムAへの掲示板追記書き込み転送サービスでは、WebシステムAの掲示板書き込みサービスに、インプットパラメータの書き込み内容(掲示板Aへの追記書き込み内容)をWebシステムAの掲示板書き込みサービスへのパラメータとして設定している。
サービス対応情報取得部16は、サービス対応情報記憶部15から、処理リクエストを転送する転送先Webシステム、転送先サービス、パラメータ変換ルールを取得する。
パラメータ変換部17は、取得したサービス対応情報のパラメータ変換ルールと送信された処理リクエストから、転送するパラメータを組み立てる。
【0028】
処理要求転送部18は、パラメータ変換部17で変換したパラメータを、サービス対応情報取得部16で取得した転送先Webシステムの転送先サービスに転送する。
処理結果受信部19は、転送先Webシステムから返却される処理結果の情報をネットワークを経由して受信する。
処理結果(エラー)生成部20は、アクセス権がないというエラーメッセージの画面情報を生成する。
処理結果送信部21は、処理結果受信部19で受信した処理結果の情報、もしくは、処理結果(エラー)生成部20で生成されたエラーメッセージの情報をユーザ端末2に送信する。
【0029】
図5は、WebシステムAの掲示板Aへの追記書き込み時における動作を説明するフロー図である。ユーザXがユーザ端末2を使用してWebシステムAへのログインを行うと(S101)、ユーザ端末2は、WebシステムAへのログインリクエストを行う(S102)。WebシステムAは、ログインリクエストを受信すると、ユーザXのIDとパスワードによりユーザXを認証し、セッションを保持し(S103)、アクセス権管理サーバ1がWebシステムAへの転送用に提供するサービスメニューの情報、例えば、WebシステムAへの掲示板新規書き込み転送サービス、WebシステムAへの掲示板追記書き込み転送サービス、WebシステムAへの掲示板内容削除転送サービス、WebシステムAへの掲示板内容確認転送サービスのサービスメニュー情報をユーザ端末2に送信する(S104)。
【0030】
ユーザXが、WebシステムAの掲示板書き込みサービスにおいて掲示板Aへの追記書き込みを行うために、ユーザ端末2の画面に表示されたサービスメニューから、WebシステムAに転送する処理リクエストを入力すると(S105)、ユーザ端末2は、アクセス権管理サーバ1のWebシステムAへの掲示板追記書き込み転送サービスへリクエストを行う(S106)。インプットパラメータは、ユーザXの識別情報と掲示板Aへの追記書き込み内容である。アクセス権管理サーバ1の処理要求受信部11が、リクエストを受信すると、アクセス権管理サーバ1のアクセス権設定情報取得部13は、ユーザXの識別情報をキーに、アクセス権設定情報記憶部12からアクセス権設定情報一覧を取得する(S107)。ユーザXは、WebシステムAへの掲示板追記書き込み転送と、WebシステムAへの掲示板内容確認転送が利用可能である。アクセス権判定部14は、リクエストされたWebシステムAへの掲示板追記書き込み転送サービスと、取得したユーザXのアクセス権設定情報から、ユーザXが、WebシステムAへの掲示板追記書き込み転送サービスを実行できるかを判定する(S108)。ユーザXは、WebシステムAへの掲示板追記書き込み転送が利用可であるので、アクセス権有りと判定する。
【0031】
アクセス権有りの場合、サービス対応情報取得部16は、リクエストを受けたサービスをキーに、サービス対応情報記憶部15から転送先Webシステム、転送先のサービス、転送先へのパラメータ変換ルールを取得する(S109)。この場合、リクエストを受けたサービスが、WebシステムAへの掲示板追記書き込み転送サービスなので、受信したパラメータ(掲示板Aへの追記書き込み内容)をパラメータ(掲示板Aへの書き込み内容)に設定してWebシステムAの掲示板書き込みサービスに転送するという情報を取得する。
【0032】
次に、パラメータ変換部17は、取得したサービス対応情報から転送するパラメータを組み立てる(S110)。この場合、リクエストを受けたサービスが、WebシステムAへの掲示板追記書き込み転送サービスなので、受信した掲示板Aへの追記書き込み内容を転送パラメータ(掲示板Aへの書き込み内容)に設定する。次に、処理要求転送部18は、WebシステムAの掲示板書き込みサービスへリクエストを行い(S111)、WebシステムAは、リクエストに応じた処理を行う(S112)。WebシステムAは、追記書き込み内容を掲示板Aに追記し、追記された画面を生成する。そして、WebシステムAは、処理結果として、追記書き込み内容が追記された掲示板Aの画面情報をアクセス権管理サーバ1の処理結果受信部19に送信し(S113)、アクセス権管理サーバ1の処理結果送信部21は、追記書き込み内容が追記された掲示板Aの画面情報をユーザ端末2に送信し(S114)、ユーザ端末2は、追記された掲示板Aの画面情報を表示する(S115)。
【0033】
アクセス権判定(S108)においてアクセス権が無い場合、処理結果(エラー)生成部20は、処理結果として、アクセス権なしのエラーメッセージの画面情報を生成し、理結果送信部21は、エラーメッセージの画面情報をユーザ端末2に送信し(S116)、ユーザ端末2は、アクセス権なしエラー画面を表示する(S117)。
【0034】
上述のように、本発明では、アクセス権管理サーバがアクセス権の判定処理を行うので、既存のWebシステムの改造を行うことなくアクセス権の判定処理を詳細化できる。
また、本発明は、アクセス権管理サーバが、アクセス権のないユーザからのリクエストをWebシステムに転送しないので、Webシステムの処理負荷を少なくできる。
【符号の説明】
【0035】
1 アクセス権管理サーバ
2,32 ユーザ端末
3,31 Webシステム
11 処理要求受信部
12,33 アクセス権設定情報記憶部
13 アクセス権設定情報取得部
14 アクセス権判定部
15 サービス対応情報記憶部
16 サービス対応情報取得部
17 パラメータ変換部
18 処理要求転送部
19 処理結果受信部
20 処理結果(エラー)生成部
21 処理結果送信部
【技術分野】
【0001】
本発明は、サービスを提供するWebシステムへのアクセスを制御するアクセス制御方法、アクセス制御システムおよびアクセス権管理サーバに関する。
【背景技術】
【0002】
従来のWebシステムでは、自身のWebシステムもしくは連携した認可システムでアクセス権の設定情報を保有管理しており、Webシステムにアクセスしてきたユーザがサービスを利用する権限があるかどうかの判定は、自身のWebシステムもしくは連携した認可システムが行っていた。
【0003】
図6は、Webシステムへのアクセスを制御する従来のシステム構成の一例を示す図である。Webシステム31は、掲示板Aに対して内容の書き込みができる掲示版書き込みサービスと、掲示板Aに対して既存の書き込み内容の削除ができる掲示板内容削除サービスと、掲示板Aに対して既存の書き込み内容の参照ができる掲示板内容確認サービスを提供している。また、Webシステム31は、ユーザ毎のアクセス権設定情報を保持するアクセス権設定情報記憶部33を備えている。図7は、アクセス権設定情報記憶部33に保持されるアクセス権設定情報の一例を示す図である。
【0004】
図8は、図6に示すWebシステムの掲示板Aへの追記書き込み時における動作を説明するフロー図である。ユーザXがユーザ端末32を使用してWebシステム31へのログインを行うと(S201)、ユーザ端末32は、Webシステム31へのログインリクエストを行う(S202)。Webシステム31は、ログインリクエストを受信すると、ユーザXを認証し、セッションを保持し(S203)、Webシステム31が提供する、例えば、掲示板書き込みサービス、掲示板内容削除サービス、掲示板内容確認サービスのサービスメニュー情報をユーザ端末32に送信する(S204)。
【0005】
ユーザXにより、例えば、掲示板Aへの書き込み処理リクエストが入力されると(S205)、ユーザ端末32は、Webシステム31の掲示板書き込みサービスへのリクエストを行う(S206)。インプットパラメータは、掲示板Aへの書き込み内容である。Webシステム31は、リクエストを受信すると、ユーザXのアクセス権設定情報をアクセス権設定情報記憶部33から取得し(S207)、リクエスト内容(掲示板Aへの書き込み)と取得したユーザXのアクセス権設定情報(掲示板書き込みサービス:可)からユーザXが掲示板Aへ書き込みができるかを判定する(S208)。この場合、アクセス権有りと判定する。
【0006】
アクセス権有りの場合、リクエストに応じた処理を行う(S209)。この場合、掲示板Aが既に存在していれば、リクエストで受信した書き込み内容を掲示板Aに追記し、追記された掲示板Aの画面情報を生成する。掲示板が存在しなければ書き込み内容の掲示板Aを新規作成し、新規作成された掲示板Aの画面情報を生成する。そして、Webシステム31は、処理結果として、書き込み内容が追記された掲示板Aの画面情報または新規作成された掲示板Aの画面情報をユーザ端末32に送信し(S210)、ユーザ端末32は、掲示板Aの画面情報を表示する(S211)。
アクセス権が無い場合、Webシステム31は、処理結果として、アクセス権なしエラー画面をユーザ端末32に送信し(S212)、ユーザ端末32は、アクセス権なしエラー画面情報を表示する(S213)。
【先行技術文献】
【非特許文献】
【0007】
【非特許文献1】IPA、情報セキュリティ、セキュア・プログラミング講座、Webアプリケーション編、“第2章アクセス制御対策 アクセス認可対策”、情報処理推進機構、[online]、[2010年3月10日検索]インターネット<URL:http://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/102.html>
【発明の概要】
【発明が解決しようとする課題】
【0008】
上述したWebシステムの掲示版書き込みサービスでは、掲示板に対する書き込み内容をインプットパラメータとして受信し、掲示板が既に存在すれば掲示板への追記を行い、掲示板が存在しなければ掲示板を新規作成しており、ユーザに書き込み権限があれば、新規作成と追記のどちらでも行うことが可能な制御をしている。
ここで、Webシステムの掲示板への書き込み権限の判定を、新規作成と追記に分けて管理する必要があるとする。既存技術では、Webシステムに掲示板新規書き込みサービスと掲示板追記書き込みサービスを作成し、既存のアクセス権設定情報を新規書き込みと追記書き込みに分け、アクセス権判定の処理内容を新規作成の書き込みと追記の書き込みに分ける必要があり、大きな改造が必要となる。
【0009】
上述のように、書き込みというアクセス権判定をしているシステムにおいて、判定処理として新規書き込みと追記書き込みに分けて管理するよう処理を変更する場合のように、一度開発してしまったアクセス権判定の処理を詳細化して仕様変更する場合、Webシステムの大きな改造が必要となってしまい、仮にアクセス権の判定方法を変更する改造を実施しても、既に設定されている全てのアクセス権の設定情報を修正しないと変更内容を利用することができないため、ユーザや運用者の負担が大きくなってしまう。
【0010】
本発明は、このような問題点に鑑みてなされたものであり、本発明の目的は、既存のWebシステムの改造を行うことなくアクセス権の判定処理を詳細化できるアクセス制御方法、アクセス制御システムおよびアクセス権管理サーバを提供することにある。
【課題を解決するための手段】
【0011】
上記目的を達成するため、本発明は、ユーザ端末と、サービスを提供するWebシステムと、前記ユーザ端末と前記Webシステムとの間に設置されたアクセス権管理サーバとがネットワーク接続されるシステムのアクセス制御方法であって、前記アクセス権管理サーバの処理手順が、前記ユーザ端末から、ネットワークを経由して前記Webシステムが提供するサービスに対する処理リクエストを受信するステップと、ユーザの識別情報とアクセス権設定情報を保持するアクセス権設定情報記憶部から、前記処理リクエストのリクエスト送信者のユーザ識別情報をキーとして、前記リクエスト送信者のアクセス権設定情報を取得するステップと、取得した前記アクセス権設定情報を参照して前記リクエスト送信者にアクセス権が有るか否かを判定するステップと、前記リクエスト送信者にアクセス権が有る場合、前記処理リクエストの転送先となるWebシステムの情報、該Webシステムが提供するサービスの情報、およびパラメータ変換ルールを保持するサービス対応情報記憶部から、前記転送先Webシステムの情報、前記サービスの情報、および前記パラメータ変換ルールを取得するステップと、前記処理リクエストの内容を、前記パラメータ変換ルールに従って、前記Webシステムが提供する前記サービスに適合するパラメータに変換するステップと、前記パラメータを、前記転送先Webシステムに転送するステップと、該転送先Webシステムから前記処理リクエストに対応する処理結果の情報をネットワークを経由して受信するステップと、前記処理結果の情報を前記ユーザ端末に送信するステップとを含むことを特徴とする。
【0012】
上述した本発明のアクセス制御方法において、前記アクセス権管理サーバの処理手順は、前記リクエスト送信者にアクセス権が無い場合、エラーメッセージの画面情報を生成して当該画面情報を前記ユーザ端末に送信するステップを更に含むことが好ましい。
【0013】
また、本発明は、ユーザ端末と、サービスを提供するWebシステムと、前記ユーザ端末と前記Webシステムとの間に設置されたアクセス権管理サーバとがネットワーク接続されるアクセス制御システムであって、前記アクセス権管理サーバが、前記ユーザ端末から、ネットワークを経由して前記Webシステムが提供するサービスに対する処理リクエストを受信する処理要求受信部と、ユーザの識別情報とアクセス権設定情報を保持するアクセス権設定情報記憶部と、前記アクセス権設定情報記憶部から、前記処理リクエストのリクエスト送信者のユーザ識別情報をキーとして、前記リクエスト送信者のアクセス権設定情報を取得するアクセス権設定情報取得部と、取得した前記アクセス権設定情報を参照して前記リクエスト送信者にアクセス権が有るか否かを判定するアクセス権判定部と、前記処理リクエストの転送先となるWebシステムの情報、該Webシステムが提供するサービスの情報、およびパラメータ変換ルールを保持するサービス対応情報記憶部と、前記リクエスト送信者にアクセス権が有る場合、前記サービス対応情報記憶部から、前記転送先Webシステムの情報、前記サービスの情報、および前記パラメータ変換ルールを取得するサービス対応情報取得部と、前記処理リクエストの内容を、前記パラメータ変換ルールに従って、前記Webシステムが提供する前記サービスに適合するパラメータに変換するパラメータ変換部と、前記パラメータを、前記転送先Webシステムに転送する処理要求転送部と、該転送先Webシステムから前記処理リクエストに対応する処理結果の情報をネットワークを経由して受信する処理結果受信部と、前記処理結果受信部で受信した処理結果の情報を前記ユーザ端末に送信する処理結果送信部とを備えることを特徴とする。
【0014】
上述した本発明のアクセス制御システムにおいて、前記アクセス権管理サーバは、エラーメッセージの画面情報を生成するエラー生成部を更に備え、前記リクエスト送信者にアクセス権が無い場合、前記エラー生成部がエラーメッセージの画面情報を生成し、前記処理結果送信部がエラーメッセージの画面情報を前記ユーザ端末に送信することが好ましい。
【0015】
また、本発明は、ユーザ端末とサービスを提供するWebシステムとの間に設置されるアクセス権管理サーバであって、前記ユーザ端末から、ネットワークを経由して前記Webシステムが提供するサービスに対する処理リクエストを受信する処理要求受信部と、ユーザの識別情報とアクセス権設定情報を保持するアクセス権設定情報記憶部と、前記アクセス権設定情報記憶部から、前記処理リクエストのリクエスト送信者のユーザ識別情報をキーとして、前記リクエスト送信者のアクセス権設定情報を取得するアクセス権設定情報取得部と、取得した前記アクセス権設定情報を参照して前記リクエスト送信者にアクセス権が有るか否かを判定するアクセス権判定部と、前記処理リクエストの転送先となるWebシステムの情報、該Webシステムが提供するサービスの情報、およびパラメータ変換ルールを保持するサービス対応情報記憶部と、前記リクエスト送信者にアクセス権が有る場合、前記サービス対応情報記憶部から、前記転送先Webシステムの情報、前記サービスの情報、および前記パラメータ変換ルールを取得するサービス対応情報取得部と、前記処理リクエストの内容を、前記パラメータ変換ルールに従って、前記Webシステムが提供する前記サービスに適合するパラメータに変換するパラメータ変換部と、前記パラメータを、前記転送先Webシステムに転送する処理要求転送部と、該転送先Webシステムから前記処理リクエストに対応する処理結果の情報をネットワークを経由して受信する処理結果受信部と、前記処理結果受信部で受信した処理結果の情報を前記ユーザ端末に送信する処理結果送信部とを備えることを特徴とする。
【0016】
上述した本発明のアクセス権管理サーバは、エラーメッセージの画面情報を生成するエラー生成部を更に備え、前記リクエスト送信者にアクセス権が無い場合、前記エラー生成部がエラーメッセージの画面情報を生成し、前記処理結果送信部がエラーメッセージの画面情報を前記ユーザ端末に送信することが好ましい。
【0017】
また、本発明は、ユーザ端末とサービスを提供するWebシステムとの間に設置されるアクセス権管理サーバとして構成するコンピュータに、前記ユーザ端末から、ネットワークを経由して前記Webシステムが提供するサービスに対する処理リクエストを受信するステップと、ユーザの識別情報とアクセス権設定情報を保持するアクセス権設定情報記憶部から、前記処理リクエストのリクエスト送信者のユーザ識別情報をキーとして、前記リクエスト送信者のアクセス権設定情報を取得するステップと、取得した前記アクセス権設定情報を参照して前記リクエスト送信者にアクセス権が有るか否かを判定するステップと、前記リクエスト送信者にアクセス権が有る場合、前記処理リクエストの転送先となるWebシステムの情報、該Webシステムが提供するサービスの情報、およびパラメータ変換ルールを保持するサービス対応情報記憶部から、前記転送先Webシステムの情報、前記サービスの情報、および前記パラメータ変換ルールを取得するステップと、前記処理リクエストの内容を、前記パラメータ変換ルールに従って、前記Webシステムが提供する前記サービスに適合するパラメータに変換するステップと、前記パラメータを、前記転送先Webシステムに転送するステップと、該転送先Webシステムから前記処理リクエストに対応する処理結果の情報をネットワークを経由して受信するステップと、前記処理結果の情報を前記ユーザ端末に送信するステップとを実行させるためのプログラムとしての特徴を有する。
【0018】
上述した本発明のプログラムは、前記リクエスト送信者にアクセス権が無い場合、エラーメッセージの画面情報を生成して当該画面情報を前記ユーザ端末に送信するステップを更に含むことが好ましい。
【発明の効果】
【0019】
本発明は、アクセス権管理サーバがアクセス権の判定処理を行うことにより、既存のWebシステムの改造を行うことなくアクセス権の判定処理を詳細化できる。
また、本発明は、アクセス権管理サーバが、アクセス権のないユーザからのリクエストをWebシステムに転送しないので、Webシステムの処理負荷を少なくできる。
【図面の簡単な説明】
【0020】
【図1】本発明のアクセス制御システムの構成を示す図である。
【図2】アクセス権管理サーバの構成を示す図である。
【図3】アクセス権設定情報の一例を示す図である。
【図4】サービス対応情報の一例を示す図である。
【図5】Webシステムの掲示板への追記書き込み時における動作を説明するフロー図である。
【図6】Webシステムへのアクセスを制御する従来のシステム構成の一例を示す図である。
【図7】アクセス権設定情報の一例を示す図である。
【図8】従来のWebシステムの掲示板への追記書き込み時における動作を説明するフロー図である。
【発明を実施するための形態】
【0021】
本発明の実施の形態について図面を参照して説明する。図1は、本発明のアクセス制御システムの構成を示す図である。本発明のアクセス制御システムは、アクセス権管理サーバ1と、ユーザ端末2と、Webシステム3からなる。アクセス権管理サーバ1と、ユーザ端末2と、Webシステム3は、互いにネットワークを介して接続されている。また、アクセス権管理サーバ1には、少なくとの1つのWebシステム3が接続されており、その1つを、以下では、WebシステムAという。
【0022】
アクセス権管理サーバ1は、WebシステムAが提供する掲示版書き込みサービスに、掲示板Aに対しての内容の新規書き込みを転送する掲示板新規書き込み転送サービスと、WebシステムAが提供する掲示版書き込みサービスに、掲示板Aに対しての内容の追記書き込みを転送する掲示板追記書き込み転送サービスと、WebシステムAが提供する掲示版内容削除サービスに、掲示板Aに対しての既存の書き込み内容削除を転送する掲示板内容削除転送サービスと、WebシステムAが提供する掲示版内容確認サービスに、掲示板Aに対しての既存の書き込み内容参照を転送する掲示板内容確認転送サービスを提供する。
また、アクセス権管理サーバ1は、ユーザ毎のアクセス権設定情報を保持するアクセス権設定情報記憶部12と、サービス毎のサービス対応情報を保持するサービス対応情報記憶部15を備えている。
【0023】
WebシステムAは、掲示板Aに対して内容の書き込みができる掲示版書き込みサービスと、掲示板Aに対して既存の書き込み内容の削除ができる掲示板内容削除サービスと、掲示板Aに対して既存の書き込み内容の参照ができる掲示板内容確認サービスを提供している。掲示版書き込みサービスでは、書き込みのリクエストがあったときに掲示板Aが存在しない場合は新規に掲示板Aが作成され、存在する場合は掲示板Aに追記される。
【0024】
図2は、アクセス権管理サーバの構成を示す図である。アクセス権管理サーバ1は、処理要求受信部は11と、アクセス権設定情報記憶部12と、アクセス権設定情報取得部13と、アクセス権判定部14と、サービス対応情報記憶部15と、サービス対応情報取得部16と、パラメータ変換部17と、処理要求転送部18と、処理結果受信部19と、処理結果(エラー)生成部20と、処理結果送信部21とを備える。アクセス権管理サーバ1は、アクセス権管理サーバの各機能を実現する処理内容を記述したプログラムを、当該サーバの記憶部に格納しておき、当該サーバの中央演算処理装置(CPU)によってこのプログラムを読み出して実行させることで実現することができる。
【0025】
処理要求受信部11は、ユーザ端末2からアクセス権管理サーバ1のサービスへの処理リクエスト(WebシステムAに転送する処理リクエスト)をネットワークを経由して受信する。インプットパラメータとして、ユーザ識別情報、サービスへのリクエスト内容を受信する。
アクセス権設定情報記憶部12は、どの識別情報のユーザが、アクセス権管理サーバ1のどのサービスを、利用可/利用不可であるかというレコードを保持している。図3は、アクセス権設定情報記憶部12に保持されるアクセス権設定情報の一例を示す図である。例えば、ユーザXは、WebシステムAへの掲示板追記書き込み転送サービスを利用可としている。
【0026】
アクセス権設定情報取得部13は、アクセス権設定情報記憶部12から、リクエスト送信者のユーザ識別情報をキーとして、送信者のアクセス権設定情報の一覧を取得する。
アクセス権判定部14は、取得したアクセス権設定情報の一覧に、リクエストされたアクセス権管理サーバ1のサービスが存在するか否かを判定し、さらに、アクセス権が有るか否かを判定する。一覧にサービスが存在し、アクセス権が有る場合、サービス対応情報取得部16に処理を引き継ぎ、一覧にサービスが存在しない、もしくはアクセス権が無い場合、処理結果(エラー)生成部20に処理を引き継ぐ。
【0027】
サービス対応情報記憶部15は、アクセス権管理サーバ1のどのサービスが、どのWebシステムの、どのサービスに、どのようなルールでパラメータ変換して転送するか、という情報を保持している。図4は、サービス対応情報記憶部15に保持されるサービス対応情報の一例を示す図である。例えば、WebシステムAへの掲示板追記書き込み転送サービスでは、WebシステムAの掲示板書き込みサービスに、インプットパラメータの書き込み内容(掲示板Aへの追記書き込み内容)をWebシステムAの掲示板書き込みサービスへのパラメータとして設定している。
サービス対応情報取得部16は、サービス対応情報記憶部15から、処理リクエストを転送する転送先Webシステム、転送先サービス、パラメータ変換ルールを取得する。
パラメータ変換部17は、取得したサービス対応情報のパラメータ変換ルールと送信された処理リクエストから、転送するパラメータを組み立てる。
【0028】
処理要求転送部18は、パラメータ変換部17で変換したパラメータを、サービス対応情報取得部16で取得した転送先Webシステムの転送先サービスに転送する。
処理結果受信部19は、転送先Webシステムから返却される処理結果の情報をネットワークを経由して受信する。
処理結果(エラー)生成部20は、アクセス権がないというエラーメッセージの画面情報を生成する。
処理結果送信部21は、処理結果受信部19で受信した処理結果の情報、もしくは、処理結果(エラー)生成部20で生成されたエラーメッセージの情報をユーザ端末2に送信する。
【0029】
図5は、WebシステムAの掲示板Aへの追記書き込み時における動作を説明するフロー図である。ユーザXがユーザ端末2を使用してWebシステムAへのログインを行うと(S101)、ユーザ端末2は、WebシステムAへのログインリクエストを行う(S102)。WebシステムAは、ログインリクエストを受信すると、ユーザXのIDとパスワードによりユーザXを認証し、セッションを保持し(S103)、アクセス権管理サーバ1がWebシステムAへの転送用に提供するサービスメニューの情報、例えば、WebシステムAへの掲示板新規書き込み転送サービス、WebシステムAへの掲示板追記書き込み転送サービス、WebシステムAへの掲示板内容削除転送サービス、WebシステムAへの掲示板内容確認転送サービスのサービスメニュー情報をユーザ端末2に送信する(S104)。
【0030】
ユーザXが、WebシステムAの掲示板書き込みサービスにおいて掲示板Aへの追記書き込みを行うために、ユーザ端末2の画面に表示されたサービスメニューから、WebシステムAに転送する処理リクエストを入力すると(S105)、ユーザ端末2は、アクセス権管理サーバ1のWebシステムAへの掲示板追記書き込み転送サービスへリクエストを行う(S106)。インプットパラメータは、ユーザXの識別情報と掲示板Aへの追記書き込み内容である。アクセス権管理サーバ1の処理要求受信部11が、リクエストを受信すると、アクセス権管理サーバ1のアクセス権設定情報取得部13は、ユーザXの識別情報をキーに、アクセス権設定情報記憶部12からアクセス権設定情報一覧を取得する(S107)。ユーザXは、WebシステムAへの掲示板追記書き込み転送と、WebシステムAへの掲示板内容確認転送が利用可能である。アクセス権判定部14は、リクエストされたWebシステムAへの掲示板追記書き込み転送サービスと、取得したユーザXのアクセス権設定情報から、ユーザXが、WebシステムAへの掲示板追記書き込み転送サービスを実行できるかを判定する(S108)。ユーザXは、WebシステムAへの掲示板追記書き込み転送が利用可であるので、アクセス権有りと判定する。
【0031】
アクセス権有りの場合、サービス対応情報取得部16は、リクエストを受けたサービスをキーに、サービス対応情報記憶部15から転送先Webシステム、転送先のサービス、転送先へのパラメータ変換ルールを取得する(S109)。この場合、リクエストを受けたサービスが、WebシステムAへの掲示板追記書き込み転送サービスなので、受信したパラメータ(掲示板Aへの追記書き込み内容)をパラメータ(掲示板Aへの書き込み内容)に設定してWebシステムAの掲示板書き込みサービスに転送するという情報を取得する。
【0032】
次に、パラメータ変換部17は、取得したサービス対応情報から転送するパラメータを組み立てる(S110)。この場合、リクエストを受けたサービスが、WebシステムAへの掲示板追記書き込み転送サービスなので、受信した掲示板Aへの追記書き込み内容を転送パラメータ(掲示板Aへの書き込み内容)に設定する。次に、処理要求転送部18は、WebシステムAの掲示板書き込みサービスへリクエストを行い(S111)、WebシステムAは、リクエストに応じた処理を行う(S112)。WebシステムAは、追記書き込み内容を掲示板Aに追記し、追記された画面を生成する。そして、WebシステムAは、処理結果として、追記書き込み内容が追記された掲示板Aの画面情報をアクセス権管理サーバ1の処理結果受信部19に送信し(S113)、アクセス権管理サーバ1の処理結果送信部21は、追記書き込み内容が追記された掲示板Aの画面情報をユーザ端末2に送信し(S114)、ユーザ端末2は、追記された掲示板Aの画面情報を表示する(S115)。
【0033】
アクセス権判定(S108)においてアクセス権が無い場合、処理結果(エラー)生成部20は、処理結果として、アクセス権なしのエラーメッセージの画面情報を生成し、理結果送信部21は、エラーメッセージの画面情報をユーザ端末2に送信し(S116)、ユーザ端末2は、アクセス権なしエラー画面を表示する(S117)。
【0034】
上述のように、本発明では、アクセス権管理サーバがアクセス権の判定処理を行うので、既存のWebシステムの改造を行うことなくアクセス権の判定処理を詳細化できる。
また、本発明は、アクセス権管理サーバが、アクセス権のないユーザからのリクエストをWebシステムに転送しないので、Webシステムの処理負荷を少なくできる。
【符号の説明】
【0035】
1 アクセス権管理サーバ
2,32 ユーザ端末
3,31 Webシステム
11 処理要求受信部
12,33 アクセス権設定情報記憶部
13 アクセス権設定情報取得部
14 アクセス権判定部
15 サービス対応情報記憶部
16 サービス対応情報取得部
17 パラメータ変換部
18 処理要求転送部
19 処理結果受信部
20 処理結果(エラー)生成部
21 処理結果送信部
【特許請求の範囲】
【請求項1】
ユーザ端末と、サービスを提供するWebシステムと、前記ユーザ端末と前記Webシステムとの間に設置されたアクセス権管理サーバとがネットワーク接続されるシステムのアクセス制御方法であって、
前記アクセス権管理サーバの処理手順は、
前記ユーザ端末から、ネットワークを経由して前記Webシステムが提供するサービスに対する処理リクエストを受信するステップと、
ユーザの識別情報とアクセス権設定情報を保持するアクセス権設定情報記憶部から、前記処理リクエストのリクエスト送信者のユーザ識別情報をキーとして、前記リクエスト送信者のアクセス権設定情報を取得するステップと、
取得した前記アクセス権設定情報を参照して前記リクエスト送信者にアクセス権が有るか否かを判定するステップと、
前記リクエスト送信者にアクセス権が有る場合、前記処理リクエストの転送先となるWebシステムの情報、該Webシステムが提供するサービスの情報、およびパラメータ変換ルールを保持するサービス対応情報記憶部から、前記転送先Webシステムの情報、前記サービスの情報、および前記パラメータ変換ルールを取得するステップと、
前記処理リクエストの内容を、前記パラメータ変換ルールに従って、前記Webシステムが提供する前記サービスに適合するパラメータに変換するステップと、
前記パラメータを、前記転送先Webシステムに転送するステップと、
該転送先Webシステムから前記処理リクエストに対応する処理結果の情報をネットワークを経由して受信するステップと、
前記処理結果の情報を前記ユーザ端末に送信するステップと、
を含むことを特徴とするアクセス制御方法。
【請求項2】
前記アクセス権管理サーバの処理手順は、
前記リクエスト送信者にアクセス権が無い場合、エラーメッセージの画面情報を生成して当該画面情報を前記ユーザ端末に送信するステップを更に含むことを特徴とする請求項1に記載のアクセス制御方法。
【請求項3】
ユーザ端末と、サービスを提供するWebシステムと、前記ユーザ端末と前記Webシステムとの間に設置されたアクセス権管理サーバとがネットワーク接続されるアクセス制御システムであって、
前記アクセス権管理サーバは、
前記ユーザ端末から、ネットワークを経由して前記Webシステムが提供するサービスに対する処理リクエストを受信する処理要求受信部と、
ユーザの識別情報とアクセス権設定情報を保持するアクセス権設定情報記憶部と、
前記アクセス権設定情報記憶部から、前記処理リクエストのリクエスト送信者のユーザ識別情報をキーとして、前記リクエスト送信者のアクセス権設定情報を取得するアクセス権設定情報取得部と、
取得した前記アクセス権設定情報を参照して前記リクエスト送信者にアクセス権が有るか否かを判定するアクセス権判定部と、
前記処理リクエストの転送先となるWebシステムの情報、該Webシステムが提供するサービスの情報、およびパラメータ変換ルールを保持するサービス対応情報記憶部と、
前記リクエスト送信者にアクセス権が有る場合、前記サービス対応情報記憶部から、前記転送先Webシステムの情報、前記サービスの情報、および前記パラメータ変換ルールを取得するサービス対応情報取得部と、
前記処理リクエストの内容を、前記パラメータ変換ルールに従って、前記Webシステムが提供する前記サービスに適合するパラメータに変換するパラメータ変換部と、
前記パラメータを、前記転送先Webシステムに転送する処理要求転送部と、
該転送先Webシステムから前記処理リクエストに対応する処理結果の情報をネットワークを経由して受信する処理結果受信部と、
前記処理結果受信部で受信した処理結果の情報を前記ユーザ端末に送信する処理結果送信部と、
を備えることを特徴とするアクセス制御システム。
【請求項4】
前記アクセス権管理サーバは、
エラーメッセージの画面情報を生成するエラー生成部を更に備え、
前記リクエスト送信者にアクセス権が無い場合、前記エラー生成部がエラーメッセージの画面情報を生成し、前記処理結果送信部がエラーメッセージの画面情報を前記ユーザ端末に送信することを特徴とする請求項3に記載のアクセス制御システム。
【請求項5】
ユーザ端末とサービスを提供するWebシステムとの間に設置されるアクセス権管理サーバであって、
前記ユーザ端末から、ネットワークを経由して前記Webシステムが提供するサービスに対する処理リクエストを受信する処理要求受信部と、
ユーザの識別情報とアクセス権設定情報を保持するアクセス権設定情報記憶部と、
前記アクセス権設定情報記憶部から、前記処理リクエストのリクエスト送信者のユーザ識別情報をキーとして、前記リクエスト送信者のアクセス権設定情報を取得するアクセス権設定情報取得部と、
取得した前記アクセス権設定情報を参照して前記リクエスト送信者にアクセス権が有るか否かを判定するアクセス権判定部と、
前記処理リクエストの転送先となるWebシステムの情報、該Webシステムが提供するサービスの情報、およびパラメータ変換ルールを保持するサービス対応情報記憶部と、
前記リクエスト送信者にアクセス権が有る場合、前記サービス対応情報記憶部から、前記転送先Webシステムの情報、前記サービスの情報、および前記パラメータ変換ルールを取得するサービス対応情報取得部と、
前記処理リクエストの内容を、前記パラメータ変換ルールに従って、前記Webシステムが提供する前記サービスに適合するパラメータに変換するパラメータ変換部と、
前記パラメータを、前記転送先Webシステムに転送する処理要求転送部と、
該転送先Webシステムから前記処理リクエストに対応する処理結果の情報をネットワークを経由して受信する処理結果受信部と、
前記処理結果受信部で受信した処理結果の情報を前記ユーザ端末に送信する処理結果送信部と、
を備えることを特徴とするアクセス権管理サーバ。
【請求項6】
エラーメッセージの画面情報を生成するエラー生成部を更に備え、
前記リクエスト送信者にアクセス権が無い場合、前記エラー生成部がエラーメッセージの画面情報を生成し、前記処理結果送信部がエラーメッセージの画面情報を前記ユーザ端末に送信することを特徴とする請求項5に記載のアクセス権管理サーバ。
【請求項7】
ユーザ端末とサービスを提供するWebシステムとの間に設置されるアクセス権管理サーバとして構成するコンピュータに、
前記ユーザ端末から、ネットワークを経由して前記Webシステムが提供するサービスに対する処理リクエストを受信するステップと、
ユーザの識別情報とアクセス権設定情報を保持するアクセス権設定情報記憶部から、前記処理リクエストのリクエスト送信者のユーザ識別情報をキーとして、前記リクエスト送信者のアクセス権設定情報を取得するステップと、
取得した前記アクセス権設定情報を参照して前記リクエスト送信者にアクセス権が有るか否かを判定するステップと、
前記リクエスト送信者にアクセス権が有る場合、前記処理リクエストの転送先となるWebシステムの情報、該Webシステムが提供するサービスの情報、およびパラメータ変換ルールを保持するサービス対応情報記憶部から、前記転送先Webシステムの情報、前記サービスの情報、および前記パラメータ変換ルールを取得するステップと、
前記処理リクエストの内容を、前記パラメータ変換ルールに従って、前記Webシステムが提供する前記サービスに適合するパラメータに変換するステップと、
前記パラメータを、前記転送先Webシステムに転送するステップと、
該転送先Webシステムから前記処理リクエストに対応する処理結果の情報をネットワークを経由して受信するステップと、
前記処理結果の情報を前記ユーザ端末に送信するステップと、
を実行させるためのプログラム。
【請求項8】
前記リクエスト送信者にアクセス権が無い場合、エラーメッセージの画面情報を生成して当該画面情報を前記ユーザ端末に送信するステップを更に含むことを特徴とする請求項7に記載のプログラム。
【請求項1】
ユーザ端末と、サービスを提供するWebシステムと、前記ユーザ端末と前記Webシステムとの間に設置されたアクセス権管理サーバとがネットワーク接続されるシステムのアクセス制御方法であって、
前記アクセス権管理サーバの処理手順は、
前記ユーザ端末から、ネットワークを経由して前記Webシステムが提供するサービスに対する処理リクエストを受信するステップと、
ユーザの識別情報とアクセス権設定情報を保持するアクセス権設定情報記憶部から、前記処理リクエストのリクエスト送信者のユーザ識別情報をキーとして、前記リクエスト送信者のアクセス権設定情報を取得するステップと、
取得した前記アクセス権設定情報を参照して前記リクエスト送信者にアクセス権が有るか否かを判定するステップと、
前記リクエスト送信者にアクセス権が有る場合、前記処理リクエストの転送先となるWebシステムの情報、該Webシステムが提供するサービスの情報、およびパラメータ変換ルールを保持するサービス対応情報記憶部から、前記転送先Webシステムの情報、前記サービスの情報、および前記パラメータ変換ルールを取得するステップと、
前記処理リクエストの内容を、前記パラメータ変換ルールに従って、前記Webシステムが提供する前記サービスに適合するパラメータに変換するステップと、
前記パラメータを、前記転送先Webシステムに転送するステップと、
該転送先Webシステムから前記処理リクエストに対応する処理結果の情報をネットワークを経由して受信するステップと、
前記処理結果の情報を前記ユーザ端末に送信するステップと、
を含むことを特徴とするアクセス制御方法。
【請求項2】
前記アクセス権管理サーバの処理手順は、
前記リクエスト送信者にアクセス権が無い場合、エラーメッセージの画面情報を生成して当該画面情報を前記ユーザ端末に送信するステップを更に含むことを特徴とする請求項1に記載のアクセス制御方法。
【請求項3】
ユーザ端末と、サービスを提供するWebシステムと、前記ユーザ端末と前記Webシステムとの間に設置されたアクセス権管理サーバとがネットワーク接続されるアクセス制御システムであって、
前記アクセス権管理サーバは、
前記ユーザ端末から、ネットワークを経由して前記Webシステムが提供するサービスに対する処理リクエストを受信する処理要求受信部と、
ユーザの識別情報とアクセス権設定情報を保持するアクセス権設定情報記憶部と、
前記アクセス権設定情報記憶部から、前記処理リクエストのリクエスト送信者のユーザ識別情報をキーとして、前記リクエスト送信者のアクセス権設定情報を取得するアクセス権設定情報取得部と、
取得した前記アクセス権設定情報を参照して前記リクエスト送信者にアクセス権が有るか否かを判定するアクセス権判定部と、
前記処理リクエストの転送先となるWebシステムの情報、該Webシステムが提供するサービスの情報、およびパラメータ変換ルールを保持するサービス対応情報記憶部と、
前記リクエスト送信者にアクセス権が有る場合、前記サービス対応情報記憶部から、前記転送先Webシステムの情報、前記サービスの情報、および前記パラメータ変換ルールを取得するサービス対応情報取得部と、
前記処理リクエストの内容を、前記パラメータ変換ルールに従って、前記Webシステムが提供する前記サービスに適合するパラメータに変換するパラメータ変換部と、
前記パラメータを、前記転送先Webシステムに転送する処理要求転送部と、
該転送先Webシステムから前記処理リクエストに対応する処理結果の情報をネットワークを経由して受信する処理結果受信部と、
前記処理結果受信部で受信した処理結果の情報を前記ユーザ端末に送信する処理結果送信部と、
を備えることを特徴とするアクセス制御システム。
【請求項4】
前記アクセス権管理サーバは、
エラーメッセージの画面情報を生成するエラー生成部を更に備え、
前記リクエスト送信者にアクセス権が無い場合、前記エラー生成部がエラーメッセージの画面情報を生成し、前記処理結果送信部がエラーメッセージの画面情報を前記ユーザ端末に送信することを特徴とする請求項3に記載のアクセス制御システム。
【請求項5】
ユーザ端末とサービスを提供するWebシステムとの間に設置されるアクセス権管理サーバであって、
前記ユーザ端末から、ネットワークを経由して前記Webシステムが提供するサービスに対する処理リクエストを受信する処理要求受信部と、
ユーザの識別情報とアクセス権設定情報を保持するアクセス権設定情報記憶部と、
前記アクセス権設定情報記憶部から、前記処理リクエストのリクエスト送信者のユーザ識別情報をキーとして、前記リクエスト送信者のアクセス権設定情報を取得するアクセス権設定情報取得部と、
取得した前記アクセス権設定情報を参照して前記リクエスト送信者にアクセス権が有るか否かを判定するアクセス権判定部と、
前記処理リクエストの転送先となるWebシステムの情報、該Webシステムが提供するサービスの情報、およびパラメータ変換ルールを保持するサービス対応情報記憶部と、
前記リクエスト送信者にアクセス権が有る場合、前記サービス対応情報記憶部から、前記転送先Webシステムの情報、前記サービスの情報、および前記パラメータ変換ルールを取得するサービス対応情報取得部と、
前記処理リクエストの内容を、前記パラメータ変換ルールに従って、前記Webシステムが提供する前記サービスに適合するパラメータに変換するパラメータ変換部と、
前記パラメータを、前記転送先Webシステムに転送する処理要求転送部と、
該転送先Webシステムから前記処理リクエストに対応する処理結果の情報をネットワークを経由して受信する処理結果受信部と、
前記処理結果受信部で受信した処理結果の情報を前記ユーザ端末に送信する処理結果送信部と、
を備えることを特徴とするアクセス権管理サーバ。
【請求項6】
エラーメッセージの画面情報を生成するエラー生成部を更に備え、
前記リクエスト送信者にアクセス権が無い場合、前記エラー生成部がエラーメッセージの画面情報を生成し、前記処理結果送信部がエラーメッセージの画面情報を前記ユーザ端末に送信することを特徴とする請求項5に記載のアクセス権管理サーバ。
【請求項7】
ユーザ端末とサービスを提供するWebシステムとの間に設置されるアクセス権管理サーバとして構成するコンピュータに、
前記ユーザ端末から、ネットワークを経由して前記Webシステムが提供するサービスに対する処理リクエストを受信するステップと、
ユーザの識別情報とアクセス権設定情報を保持するアクセス権設定情報記憶部から、前記処理リクエストのリクエスト送信者のユーザ識別情報をキーとして、前記リクエスト送信者のアクセス権設定情報を取得するステップと、
取得した前記アクセス権設定情報を参照して前記リクエスト送信者にアクセス権が有るか否かを判定するステップと、
前記リクエスト送信者にアクセス権が有る場合、前記処理リクエストの転送先となるWebシステムの情報、該Webシステムが提供するサービスの情報、およびパラメータ変換ルールを保持するサービス対応情報記憶部から、前記転送先Webシステムの情報、前記サービスの情報、および前記パラメータ変換ルールを取得するステップと、
前記処理リクエストの内容を、前記パラメータ変換ルールに従って、前記Webシステムが提供する前記サービスに適合するパラメータに変換するステップと、
前記パラメータを、前記転送先Webシステムに転送するステップと、
該転送先Webシステムから前記処理リクエストに対応する処理結果の情報をネットワークを経由して受信するステップと、
前記処理結果の情報を前記ユーザ端末に送信するステップと、
を実行させるためのプログラム。
【請求項8】
前記リクエスト送信者にアクセス権が無い場合、エラーメッセージの画面情報を生成して当該画面情報を前記ユーザ端末に送信するステップを更に含むことを特徴とする請求項7に記載のプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2011−227697(P2011−227697A)
【公開日】平成23年11月10日(2011.11.10)
【国際特許分類】
【出願番号】特願2010−96717(P2010−96717)
【出願日】平成22年4月20日(2010.4.20)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成23年11月10日(2011.11.10)
【国際特許分類】
【出願日】平成22年4月20日(2010.4.20)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]