アクセス制御装置およびアクセス制御プログラム
【課題】制御対象の形式を限定せずにアクセス制御を可能とすることである。
【解決手段】実施形態のアクセス制御装置は階層構造とみなされるアクセスパスおよびアクセスパスに対するアクセス権限を格納するアクセス権限テーブルと、優先ルールおよびデフォルト権限を格納するアクセスポリシーテーブルとを記憶するアクセス制御情報記憶部と、アクセスパスとユーザ属性情報とを受信し、アクセスポリシーテーブルから優先ルールおよびデフォルト権限情報を抽出し、受信したアクセスパスとユーザ属性情報と抽出された優先ルールに基づいてアクセス権限テーブルからアクセス権限を検索し、適合するアクセスパスに対して設定されたアクセス権限を採用し、採用されたアクセス権限に基づいてアクセス制御対象へのアクセスを制御するアクセス制御部とを備える。
【解決手段】実施形態のアクセス制御装置は階層構造とみなされるアクセスパスおよびアクセスパスに対するアクセス権限を格納するアクセス権限テーブルと、優先ルールおよびデフォルト権限を格納するアクセスポリシーテーブルとを記憶するアクセス制御情報記憶部と、アクセスパスとユーザ属性情報とを受信し、アクセスポリシーテーブルから優先ルールおよびデフォルト権限情報を抽出し、受信したアクセスパスとユーザ属性情報と抽出された優先ルールに基づいてアクセス権限テーブルからアクセス権限を検索し、適合するアクセスパスに対して設定されたアクセス権限を採用し、採用されたアクセス権限に基づいてアクセス制御対象へのアクセスを制御するアクセス制御部とを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明の実施形態は、アクセス制御装置およびアクセス制御プログラムに関する。
【背景技術】
【0002】
近年、例えば企業等における業務処理を支援するための業務アプリケーションを当該企業に所属するユーザ(社員または職員等)に対して提供する業務システムがある。企業に所属するユーザは、業務を行う際に利用対象の業務アプリケーションを有する業務サーバにアクセスすることで業務アプリケーションを利用することができる。
【0003】
業務サーバには企業情報や個人情報などの様々な機密情報が含まれており、全てのユーザが無制限に、業務サーバが有する業務アプリケーションまたは業務データにアクセスできることは好ましくない。このため、ユーザが所属する企業内における組織、役職、または個人等のロールに応じて、業務アプリケーションまたは業務データに対するアクセス権限を設定することで業務サーバが有する業務アプリケーションまたは業務データに対するユーザのアクセスを制御する技術がある。
【0004】
アクセス権限設定の従来技術としては、例えば予め階層構造を有しているデータの各階層に対してアクセス権限を設定することでアクセス制御を行う技術がある。しかしながらこの技術では、アクセス制御対象のデータは階層構造である必要があるためデータの構造が制限される。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2005−182355号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明が解決しようとする課題は制御対象の形式を限定せずにアクセス制御を可能とすることである。
【課題を解決するための手段】
【0007】
実施形態のアクセス制御装置は、アクセス制御対象に辿り着くまでの経路を示す、階層構造とみなされるアクセスパス、および前記アクセスパスに対して設定されたアクセス権限を格納するアクセス権限テーブルと、アクセス制御対象ごと、アクセス制御対象の属するグループごと、もしくはユーザ属性情報ごとに設定される、優先ルールおよびデフォルト権限を格納するアクセスポリシーテーブルとを記憶するアクセス制御情報記憶部と、 前記アクセスパスと前記ユーザ属性情報とを受信し、受信した前記アクセスパス、または前記ユーザ属性情報に基づいて前記アクセスポリシーテーブルから前記優先ルールおよび前記デフォルト権限情報を抽出し、受信した前記アクセスパス、前記ユーザ属性情報、および抽出された前記優先ルールに基づいて前記アクセス権限テーブルからアクセス権限を検索し、検索した結果適合するアクセスパスがある場合、前記アクセス制御対象にアクセス要求するユーザのアクセス権限として該アクセスパスに対して設定された前記アクセス権限を採用し、検索した結果適合するアクセス権限情報が無い場合、前記ユーザのアクセス権限として抽出された前記デフォルト権限を採用するアクセス権限判定部と、採用された前記ユーザのアクセス権限に基づいて前記アクセス制御対象へのアクセスを制御するアクセス制御部と、を備えることが特徴である。
【図面の簡単な説明】
【0008】
【図1】第1の実施形態に係るアクセス制御装置を備える業務システムの全体構成の一例を示す図。
【図2】第1の実施形態に係るアクセス制御装置のハードウェア構成の一例を示す図。
【図3】第1の実施形態に係るアクセス制御装置のアクセスポリシーテーブルの一例を示す図。
【図4】第1の実施形態に係るアクセス制御装置のアクセス権限テーブルの一例を示す図。
【図5】第1の実施形態に係る業務システムにおいてクライアント端末1から業務サーバ4にアクセスが行われる際の処理の一例を示すフローチャート。
【図6】第1の実施形態に係るアクセス制御装置のアクセス権限判定処理の一例を示すフローチャート。
【図7】第2の実施形態に係るアクセス制御装置を備える業務システムの全体構成の一例を示す図。
【図8】第2の実施形態に係るアクセス制御装置の業務データテーブルの一例を示す図。
【図9】第2の実施形態に係るアクセス制御装置のアクセスパス設定処理の一例を示すフローチャート。
【発明を実施するための形態】
【0009】
(第1の実施形態)
以下、本実施形態について図面を参照して説明する。図1は本実施形態のアクセス制御装置3を用いた業務システムの一実施形態を示すブロック図である。図1に示されるように、本実施形態に係る業務システムはクライアント端末1と、認証装置2と、アクセス制御装置3と、業務サーバ4とから構成されており、ユーザがクライアント端末1から業務サーバ4にアクセスする際に実行されるプログラムや読み込み(参照)/書き込み(更新)されるデータや使用されるハードウェア資源(例えば、コンピュータ)へのアクセス可否やアクセス種類(読込可、書込不可など)などのアクセス権限をアクセス制御装置が判定する。
【0010】
以下、アクセスとはプログラムの実行やデータの読み込み/書き込みやハードウェア資源の使用などを意味するものとする。
【0011】
業務サーバ4はクライアント端末1とアクセス制御装置3とに接続され、業務に用いられるソフトウェアである業務アプリケーション41と、後述するアクセス制御部31から受信したデータに基づいて各業務アプリケーション41を制御する業務アプリケーション制御部42とを備える。
【0012】
クライアント端末1は認証装置2とアクセス制御装置3と業務サーバ4とに接続され、アクセス制御装置3を介して業務サーバ4を利用する端末であり、入力を行う入力部11と、業務サーバ4から送信されたデータを出力するための出力部12有する。出力部12とは例えば表示部であり、本実施形態のアクセス制御対象である業務アプリケーション42を利用するための画面が表示される。なお、本実施形態ではクライアント端末1を1つとしているが複数で構成することも可能である。また、業務システムはネットワークを介して構成されても良い。
【0013】
認証装置2はクライアント端末1とアクセス制御装置3とに接続され、認証部21と認証データベース(DB)22とを備える。認証DB22にはユーザIDとそのユーザIDに対応したパスワードとが格納された認証情報テーブルが記憶されている。認証装置2は入力部11から入力された情報(ユーザIDとパスワード)と認証DB22に記憶された認証情報テーブルとに基づいて、この業務システムにユーザがログインできるか否かを決定する認証処理を行う。すなわち、ユーザが本人であるかどうかやユーザが業務システムにアクセスする権限を持つかを確認する。
【0014】
この認証処理があらかじめ行われユーザが確認された状態で、アクセス制御装置3にクライアント端末1から後述するロールや組織名などのユーザ属性情報とアクセス制御対象のアクセスパスとを含むアクセス権限判定情報が入力され、入力されたアクセス権限判定情報に基づいてアクセス制御装置3によりアクセス権限判定処理が行われる。アクセスパスとはアクセス対象に対して設定されるパスであり、アクセス制御対象に辿り着くまでの経路を示す。本実施形態のアクセスパスは、スラッシュ(/)、バックスラッシュ(\)、コンマ(,)、スペース( )などの区切り文字を含んで構成され、区切り文字で区切られた各文字列や項目は階層構造であるとみなされる。アクセスパスの一例としてはURLが挙げられる。なお、アクセス権限判定処理については後述する。
【0015】
アクセス制御装置3は、アクセス権限判定部30、アクセス制御部31、およびアクセス制御情報記憶部32を備えており、クライアント端末1と認証装置2と業務サーバ4とに接続される。アクセス制御装置3は、クライアント端末1から入力されるアクセス権限判定情報に基づいて業務サーバ4の業務アプリケーション41へのアクセス制御を行う。
【0016】
アクセス権限判定部30は、入力されたアクセス権限判定情報に基づいてアクセス制御情報記憶部32を参照し、アクセス制御対象の業務アプリケーション41へのアクセス権限を判定するアクセス権限判定処理を行う。アクセス制御部31は、アクセス権限判定部30の判定結果に基づいて、クライアント端末1から業務サーバ4へのアクセスを制御する。アクセス制御情報記憶部32は、アクセスポリシー情報を保存するためのアクセスポリシーテーブル33と、アクセス権限情報を保存するためのアクセス権限テーブル34とを有する。アクセスポリシー情報とアクセス権限情報については後述する。
【0017】
ここで、図2を用いてアクセス制御装置3のハードウェア構成について説明する。図2に示すようにアクセス制御装置3は、ホストインタフェース(HOST I/F)部311、CPU312、プログラムメモリ313、メモリ314、ROM315、ハードディスクドライブインタフェース(HDD I/F)317、およびドライブデバイス(例えばHDD)318から構成される。
【0018】
HOST I/F部311はクライアント端末1と接続するためのインタフェースであり、HDD I/F部317はドライブデバイス318と接続するためのインタフェースである。CPU312は、ROM315からメモリ314にコピー(ロード)されたプログラム316を実行することによってアクセス制御装置3内の他の要素の制御及び各種の処理を行う。
【0019】
メモリ314は、アクセス制御装置3のローカルメモリとして用いられる。メモリ314は、ROM315に格納されているプログラム316がCPU312による実行のためにコピーされる領域及びCPU312の各種処理でのワーク領域を提供する。
【0020】
ROM315は、プログラム316を予め格納する不揮発性メモリである。ROM315に変えて、フラッシュROMのような書き換え可能な不揮発性メモリを用いても構わない。ドライブデバイス318は記憶媒体であり、アクセス制御情報記憶部32として機能する。なお、ドライブデバイス318は複数でもよい。また、論理ディスクによって構成してもよい。
【0021】
次に図3、および図4を参照して、アクセス制御情報記憶部32が格納するアクセスポリシーテーブル33と、アクセス権限テーブル34とについて説明する。
【0022】
図3に示すようにアクセスポリシーテーブル33は、「アプリケーション名」330と、「優先ルール」331と、「デフォルト権限」332と、「組織」333と、「ロール」334の項目を格納するテーブルである。
【0023】
組織333は、ユーザが所属する組織名を示し、例えばユーザの属する事業部「社内システム管理部」、「企画部」、「第1営業部」、「第2営業部」である。図3では一例として企画部を示している。ロール334は、業務サーバ4を利用するユーザの職務上の機能(役割)を示す情報であり、例えば役職や雇用形態に基づいて設定される。本実施形態ではロール334の一例として、組織の管理者を「管理者」、各システムにおける業務の担当者を「担当者」、その他のユーザを「一般」とし、図4では管理者を示している。
【0024】
アプリケーション名330は、業務サーバ4が有する各業務アプリケーション41の名前を示す。ここでは一例として「契約書閲覧アプリケーション」、「社内組織変更アプリケーション」、「給与管理アプリケーション」、「発注アプリケーション」を示している。
【0025】
優先ルール331は、後述するアクセス権限判定処理において図4に示すアクセス権限テーブル34のアクセスパス340を検索する際の検索順序を示す。例えば「上位優先/下位優先」と設定され、「上位優先」と設定すると入力されたアクセスパスの上位階層から、アクセス権限テーブル34のアクセスパス340を検索し、最初に適合したアクセスパス340のアクセス権限を採用する。「下位優先」と設定すると下位の階層から検索し、最初に適合したアクセスパス340のアクセス権限341を採用する。
【0026】
デフォルト権限332は、後述するアクセス権限テーブル34に設定されていないアクセスパスに対するアクセス権限を示す。このデフォルト権限332を設定することにより、全ての業務アプリケーション41に対するアクセスパスとそのアクセス可否(アクセス権限)とをあらかじめアクセス権限テーブル34に登録する必要がなくなる。このため、例えばデフォルアクセス権限334を禁止にし、アクセス権限が許可と設定されるアクセスパスのみをアクセス権限テーブルに登録する、又はその逆で、デフォルトアクセス権限を許可にし、アクセス権限が禁止と設定されるアクセスパスのみをアクセス権限テーブルに登録するなど、アクセス権限テーブル34に格納するデータ量を少なくすることが可能である。これにより、後述するアクセス権限判定処理を効率化することが可能となる。
【0027】
本実施形態の優先ルール331とデフォルト権限332とは組織333とロール331ごとに作成される。なお、優先ルール331とデフォルト権限332とは各組織に属するユーザ単位で作成されてもよい。また、優先ルール331とデフォルト権限332とは異なる単位で設定することも可能である。
【0028】
図4に示すようにアクセス権限テーブル34は、アクセス制御対象のアクセスパス340と、アクセスパス340に対して設定されたアクセス権限(アクセス可否:許可/禁止)341とを格納するテーブルである。アクセス制御対象のアクセスパスとアクセス権限とをアクセス権限情報とする。なお、このアクセス権限テーブル34はアプリケーション名330ごとに作成されている。
【0029】
ここで、アクセスパスについて説明する。アクセスパスとは例えばURLであり、アクセス制御対象の各業務アプリケーション41に対してあらかじめ設定され、業務アプリケーション41を特定するために用いられる。
【0030】
一例として「/appliA/subappliA/function/subfunction/screen」というアクセスパスを挙げる。このアクセスパスは区切り文字として「/」が用いられており、「/[アプリケーション名]/[サブアプリケーション名]/[機能名]/[サブ機能名]/[画面名]」というように区切り文字によって区切られた項目はそれぞれ特定の意味を持っている。また、区切られた項目はアクセス対象への経路を階層的に示している。なお、本実施形態のアクセスパスを構成する項目にはアクセス対象であるシステムの名称が含まれる。
【0031】
本実施形態のアクセス権限はこのアクセスパスに対して設定され、設定されたアクセス権限は、アクセスパスと共にアクセス権限テーブル34に格納されている。
【0032】
図5を参照して、本実施形態のアクセス制御装置3のアクセス処理について説明する。図5は、本実施形態の業務システムにおいてクライアント端末1から業務サーバ4の業務アプリケーション41にアクセスする際の動作の一例を示すフローチャートである。
【0033】
まず、クライアント端末1の入力部11から利用者のユーザID、パスワードを含む認証情報が入力され、認証装置2に送信される(ステップS11)。送信されたユーザIDと、パスワードとに基づいて、認証装置2の認証部21が認証処理を行う(ステップS12)。すなわち、送信されたユーザIDに基づいて、認証データベース(DB)に記憶された認証データテーブルのユーザIDを検索して、一致するユーザIDのパスワードと送信されたパスワードとを照合し、ユーザの認証を行う。認証処理で認証されなかった場合(ステップS12がNo)、処理が終了する。この際にエラー画面をクライアント端末1の出力部12に表示しても良い。
【0034】
認証処理で認証された場合(ステップS12がYes)、クライアント端末1においてアクセス制御対象の「アクセスパス」、ユーザの「ロール」、およびユーザの属する「組織」を含むアクセス権限判定情報が入力可能となる。
【0035】
続いて入力部11によってアクセス権限判定情報が入力される(ステップS13)。本実施形態で入力されるアクセスパスは「/appliA/subappliA/function」であり、ユーザ属性情報である組織名およびロールは「企画部・管理者」および「第1営業部・担当者」であるとする。入力されたアクセス権限判定情報はアクセス制御装置3のアクセス権限判定部30に送信され、アクセス権限判定部30によりアクセス権限判定処理が行われる(ステップS14)。なお、ユーザ属性情報である組織名、およびロールは、認証処理で認証された場合に認証DB22から抽出され、アクセス権限判定部30に送信されるようにしてもよい。この場合、認証DB22にあらかじめユーザIDと対応したユーザ属性情報を格納する必要がある。
【0036】
ここで、図6を用いて図5のステップS14におけるアクセス権限判定処理について説明する。
【0037】
まず、アクセス権限判定部30が上述したロール、組織名、およびアクセスパスを含むアクセス権限判定情報を受信する(ステップS21)。次に、アクセス権限判定部30は受信したアクセス権限判定情報に基づいてアクセスポリシーテーブル33を検索する(ステップS22)。具体的には、アクセス権限判定部30は受信したアクセス権限判定情報の組織名、ロール、およびアクセスパスの階層構造の最上位の「アプリケーション名」に基づいてアクセスポリシーテーブル33を検索する。検索した結果、一致するアクセスポリシー情報の優先ルールとデフォルト権限とを抽出する(ステップS23)。すなわち、入力されたアクセスパスに含まれる「appliA(契約書閲覧アプリケーション)」というアプリケーション名に基づいて優先ルール331を抽出し、「企画部」という組織と「管理者」というロールとに基づいてデフォルト権限332を抽出する。
【0038】
ここで、図3に示されるアクセスポリシーテーブル33において抽出される優先ルール331は「下位優先」であり、デフォルト権限332は「許可」である。
【0039】
続いて、アクセス権限判定部30は受信したアクセスパスに含まれるアプリケーション名に基づいてアクセス制御情報記憶部32のアクセス権限テーブル34を検索し、アプリケーション名330が一致するアクセス権限テーブル34を抽出する(ステップS24)。具体的には本実施形態のアクセス制御対象の業務アプリケーション41は「appliA(契約書閲覧アプリケーション)」であるため、図4に示す契約書閲覧アプリケーションにおけるアクセス権限テーブル34が抽出される。
【0040】
続いてアクセス権限判定部30は、ステップS21で入力されたアクセスパスと組織とロールとが一致するアクセス権限情報がステップS24で抽出されたアクセスパス権限テーブル34にあるか否かを優先ルール331に基づいて順次検索する(ステップS25)。本実施形態では優先ルール331は「下位優先」であるため、抽出されたアクセス権限テーブル34の下位から順次検索を行う。検索の結果、適合するアクセス権限情報が抽出された場合(ステップS26がYes)、抽出されたアクセス権限341をアクセス権限として採用する(ステップS27)。本実施形態では、図4に示したアクセスパス340に「/appliA/subappliA/function」が格納されているため、適合するアクセス権限情報が抽出され、アクセス権限として「許可」が採用される。
【0041】
適合するアクセスパス340が抽出されない場合(ステップS26がNo)、アクセス権限として、ステップS23で抽出されたデフォルト権限334が採用される(ステップS28)。ステップS27もしくはステップS28で採用されたアクセス権限と入力されたアクセスパスとがアクセス制御部31に送信され(ステップS29)、アクセス権限判定処理が終了する。すなわち、本実施形態ではステップS29で「/appliA/subappliA/function」というアクセスパスと、「許可」というアクセス権限とがアクセス制御部31に送信される。
【0042】
続いて、図5のステップS15に戻る。アクセス制御部31はステップS29において受信したアクセス権限とアクセスパスとを業務サーバ4の業務アプリケーション制御部42に送信する(ステップS15)。送信されたアクセス権限が「許可」である場合(ステップS16がYes)、業務アプリケーション制御部42はアクセス制御対象の業務アプリケーション41をクライアント端末1の出力部12に出力し(ステップS17)、処理が終了する。本実施形態では、アクセス制御部31に送信されたアクセス権限が禁止である場合(ステップS16がNo)、業務アプリケーション制御部42はアクセス禁止であることを示す画面クライアント端末1の出力部12に出力し(ステップS18)、処理が終了する。
【0043】
以上のように本実施形態によれば、アクセス制御対象の業務アプリケーションに対するアクセスパスを区切り文字によって階層構造とみなし、これらのアクセスパスに対してアクセス権限を設定することにより、各業務アプリケーションに対するアクセス制御を実現できる。これにより、アクセス制御対象の形式を限定せずにアクセス制御を行うことが可能となる。
【0044】
また、デフォルト権限を設定することにより全てのアクセスパスに対してアクセス権限を設定する必要が無いため、アクセス権限の設定を効率化することができる。また、優先ルールを設定することにより局所的なアクセス制御を可能とする。
【0045】
なお、認証装置2によるユーザ認証は毎回行わず、最初の認証処理によって業務サーバ4に認証情報が保持されることも可能である。すなわち、アクセス権限判定情報として、ユーザIDを用いることも可能である。また、アクセス権限判定情報は組織とアクセスパスとしてもよいし、ユーザIDと組織とアクセスパスとしても良く、さまざまな組み合わせが考えられる。アクセス権限判定情報の設定により詳細なアクセス制御を行うことも可能である。
【0046】
また、ユーザ属性情報はユーザIDを含めてもよい。すなわち、ロール、組織名をユーザIDごとに設定することも可能である。また、ユーザ属性情報はロール、組織、ユーザIDのうちの少なくとも一つが含まれる。また、例えば下位階層のアクセスパスが設定されたアクセス制御対象にアクセスが集中するような業務システムでは、優先ルール331を下位優先と設定するとアクセス処理を効率化できる。
【0047】
また、アクセス権限テーブルにおいてアクセスパスに対するアクセス権限をユーザ属性情報ごとに設定することで、より詳細なアクセス制御を実現することも可能である。
【0048】
この場合、兼務などによってユーザが複数のユーザ属性情報を有する場合には複数のアクセス権限が抽出される。すなわち、ユーザ属性情報に基づくアクセス権限の一つは「許可」であり、もう一つのユーザ属性情報に基づくアクセス権限は「禁止」であるといった矛盾が生じる場合がある。このとき、例えば優先ルールを「上位優先」と設定している場合、アクセス権限テーブルから順次抽出されたアクセス権限のうち、上位のアクセス権限が採用される。このように、優先ルールによって複数のアクセス権限が抽出された場合にも対応ができる。なお、この場合あらかじめアクセス権限テーブルの製作者やユーザなどによってユーザの属性情報について上位/下位が設定されている。
【0049】
(第2の実施形態)
本発明の第2の実施形態の業務システムの機能構成について、図7乃至図9を用いて説明する。図7に示すように本実施形態の業務システムは、クライアント端末1と、認証装置2と、アクセス制御装置3と、業務サーバ4と、アクセスパス設定装置5とから構成される。なお、第1の実施形態と同一の構成には同一の符号を付し、説明は省略する。
【0050】
本実施形態の業務サーバ4は、業務データテーブル45が記憶される業務データ記憶部44と業務データ制御部43とを備える。
【0051】
業務データ制御部43は、アクセス制御部31から送信されたデータに基づいて業務データ記憶部44の業務データテーブル45から対象の業務データを抽出してクライアント端末1に送信する機能を有する。
【0052】
アクセスパス設定装置5は、業務サーバ4とクライアント端末1とに接続され、業務サーバ4の業務データ記憶部44に記憶された業務データテーブル45の編集を行う。業務データテーブル45の編集は、例えば受信した業務データの登録、更新、この業務データに対応するアクセスパスの設定、登録、更新などである。
【0053】
また、アクセスパス設定装置5はアクセスパス設定部50と、アクセスパス設定ルール記憶部51とを備える。アクセスパス設定ルール記憶部51はアクセスパス設定のためのアクセスパス設定ルールを業務データの種類ごとに記憶している。
【0054】
アクセスパス設定ルールとは例えば、「アクセスパス設定対象の業務データの項目ごとに区切り文字を挿入して文字列を作成する」といったアクセスパス設定対象に自動的にアクセスパスを作成するためのルールである。
【0055】
アクセスパス設定部50は上述したアクセスパス設定ルールを用いて、受信した業務データに対してアクセスパスを設定する。
【0056】
図8に業務データテーブル45の一例を示す。図8に示すように業務データテーブル45は、業務データ450と業務データ450に対して設定されたアクセスパス460とが対応づいて格納される。
【0057】
業務データ450は、顧客との契約を管理するための情報である契約管理情報であり、業務データ名451、契約管理番号452、契約名453、顧客名454、契約担当部署455、契約担当者456という項目から構成される。
【0058】
アクセスパス460は各業務データ450に対応してアクセスパス設定装置5のアクセスパス設定部50により設定される。アクセスパス設定部50によるアクセスパス設定処理について図9を用いて説明する。
【0059】
まず、アクセスパス設定装置5に業務データ450が入力される(ステップS31)。なお、業務データ450はクライアント端末1の入力部11から入力されてもよいし、外部の入力装置から入力されてもよい。
【0060】
続いて、アクセスパス設定装置5は入力された業務データの種類を判別する(ステップS32)。具体的には、業務データ450を構成する項目のうちの業務データ名451を抽出する。なお、業務データの種類とは各業務データが属するグループであり、業務データ名ごとでも良いし、各業務データが使用される業務アプリケーションごとでも良い。
【0061】
抽出された業務データ名451に基づき、アクセスパス設定ルールをアクセスパス設定ルール記憶部51から抽出する(ステップS33)。本実施形態では、契約管理情報に対するアクセスパス設定ルールは、「/[契約担当部署]/[契約担当者]/[契約名]」であるとする。このように、本実施形態のアクセスパス設定ルール記憶部51に記憶されたアクセスパス設定ルールは業務データの種類ごとに業務データを構成する各項目が区切り文字によって区切られている。第1の実施形態と同様に、アクセスパスの区切り文字によって区切られた項目は階層構造であるとみなされる。
【0062】
アクセスパス設定ルール記憶部51からアクセスパス設定ルールが抽出される場合(ステップS33がYes)、抽出されたアクセスパス設定ルールを用いて、対象の業務データにアクセスパスが設定される(ステップS34)。すなわち、アクセスパス設定ルールの各項目に基づいて対象の業務データテーブルの項目を検索し、該当する項目を業務データテーブルから抽出して、アクセスパスを設定する。ステップS34で設定されたアクセスパスと業務データとを業務データテーブル45に登録して(ステップS35)、アクセスパス設定処理を終了する。
【0063】
アクセスパス設定ルール記憶部51からアクセスパス設定ルールが抽出されない場合(ステップS33がNo)、新規にアクセスパス設定ルールを作成する画面をクライアント端末1に表示し、ユーザが入力したアクセスパス設定ルールをアクセスパス設定ルール記憶部51に登録する(ステップS36)。その後ステップS34に戻り、処理を行う。
【0064】
本実施形態のアクセスポリシーテーブル33に、業務データの種類ごとに優先ルール、およびデフォル権限が格納されている。デフォルト権限はユーザ属性情報ごとに設定されており、本実施形態のユーザ属性情報は組織名、ロール、ユーザIDであるとする。
【0065】
本実施形態のアクセス権限テーブル34に、これらのようなアクセス制御対象の各業務データに対して設定されたアクセスパスに対するユーザ属性情報ごとのアクセス権限が、格納されている。
【0066】
本実施形態の業務システムは、上述したアクセスパス設定処理によってアクセスパスが設定されたアクセス制御対象の業務データに対してアクセス処理を行う。
【0067】
本実施形態の業務システムは、上述したアクセスパス設定処理によって業務サーバ4が有する各業務データに対してアクセスパスが設定される。このように、本実施形態のアクセス制御装置は各データ単位でのアクセスパスの設定を可能とする。
【0068】
これにより、データ単位でのアクセス権限を設定することが可能となるため、より詳細なアクセス制御を可能とする。例えば同じ業務アプリケーションにアクセスする場合でも、ロールや組織や個人ごとにアプリケーション上で利用するデータが異なるように制御することが可能となる。
【0069】
以上のように本発明のいくつかの実施形態を説明したが、これらの実施形態は例として提示したものであり発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これらの実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。
【0070】
例えば、認証装置2を構成要素からはずすことや、外部の認証装置で認証されたクライアント端末1から入力が行われるとすることが可能である。また、アクセスポリシーテーブルの項目は上述の実施形態で例示したものだけでなく、さまざまな組み合わせが考えられる。
【0071】
なお、アクセスパスの設定は業務データが業務データテーブルに記憶されるたびに行うようにしても良い。また、一定量の業務データが業務データ記憶部44に記憶された場合に行うようにしても良いし、一定時間ごと、もしくはある特定のタイミングに業務データ記憶部44に記憶されているアクセスパスが設定されていない業務データを抽出して行うようにしてもよい。
【0072】
また、アクセスポリシーテーブルは、さまざまな組み合わせでの設定が可能であり、例えば組織とアプリ名ごとに設定することも可能である。また、ユーザIDごとに設定することも可能である。
【0073】
また、アクセスパス設定部50、およびアクセスパス設定ルール記憶部51はアクセス制御装置3が備えるようにすることも可能である。
【符号の説明】
【0074】
1…クライアント端末、2…認可装置、3…アクセス制御装置、4…業務サーバ、5…アクセスパス設定装置、30…アクセス権限判定部、31…アクセス制御部、32…アクセス制御情報記憶部、50…アクセスパス設定部、51…アクセスパスルール記憶部
【技術分野】
【0001】
本発明の実施形態は、アクセス制御装置およびアクセス制御プログラムに関する。
【背景技術】
【0002】
近年、例えば企業等における業務処理を支援するための業務アプリケーションを当該企業に所属するユーザ(社員または職員等)に対して提供する業務システムがある。企業に所属するユーザは、業務を行う際に利用対象の業務アプリケーションを有する業務サーバにアクセスすることで業務アプリケーションを利用することができる。
【0003】
業務サーバには企業情報や個人情報などの様々な機密情報が含まれており、全てのユーザが無制限に、業務サーバが有する業務アプリケーションまたは業務データにアクセスできることは好ましくない。このため、ユーザが所属する企業内における組織、役職、または個人等のロールに応じて、業務アプリケーションまたは業務データに対するアクセス権限を設定することで業務サーバが有する業務アプリケーションまたは業務データに対するユーザのアクセスを制御する技術がある。
【0004】
アクセス権限設定の従来技術としては、例えば予め階層構造を有しているデータの各階層に対してアクセス権限を設定することでアクセス制御を行う技術がある。しかしながらこの技術では、アクセス制御対象のデータは階層構造である必要があるためデータの構造が制限される。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2005−182355号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明が解決しようとする課題は制御対象の形式を限定せずにアクセス制御を可能とすることである。
【課題を解決するための手段】
【0007】
実施形態のアクセス制御装置は、アクセス制御対象に辿り着くまでの経路を示す、階層構造とみなされるアクセスパス、および前記アクセスパスに対して設定されたアクセス権限を格納するアクセス権限テーブルと、アクセス制御対象ごと、アクセス制御対象の属するグループごと、もしくはユーザ属性情報ごとに設定される、優先ルールおよびデフォルト権限を格納するアクセスポリシーテーブルとを記憶するアクセス制御情報記憶部と、 前記アクセスパスと前記ユーザ属性情報とを受信し、受信した前記アクセスパス、または前記ユーザ属性情報に基づいて前記アクセスポリシーテーブルから前記優先ルールおよび前記デフォルト権限情報を抽出し、受信した前記アクセスパス、前記ユーザ属性情報、および抽出された前記優先ルールに基づいて前記アクセス権限テーブルからアクセス権限を検索し、検索した結果適合するアクセスパスがある場合、前記アクセス制御対象にアクセス要求するユーザのアクセス権限として該アクセスパスに対して設定された前記アクセス権限を採用し、検索した結果適合するアクセス権限情報が無い場合、前記ユーザのアクセス権限として抽出された前記デフォルト権限を採用するアクセス権限判定部と、採用された前記ユーザのアクセス権限に基づいて前記アクセス制御対象へのアクセスを制御するアクセス制御部と、を備えることが特徴である。
【図面の簡単な説明】
【0008】
【図1】第1の実施形態に係るアクセス制御装置を備える業務システムの全体構成の一例を示す図。
【図2】第1の実施形態に係るアクセス制御装置のハードウェア構成の一例を示す図。
【図3】第1の実施形態に係るアクセス制御装置のアクセスポリシーテーブルの一例を示す図。
【図4】第1の実施形態に係るアクセス制御装置のアクセス権限テーブルの一例を示す図。
【図5】第1の実施形態に係る業務システムにおいてクライアント端末1から業務サーバ4にアクセスが行われる際の処理の一例を示すフローチャート。
【図6】第1の実施形態に係るアクセス制御装置のアクセス権限判定処理の一例を示すフローチャート。
【図7】第2の実施形態に係るアクセス制御装置を備える業務システムの全体構成の一例を示す図。
【図8】第2の実施形態に係るアクセス制御装置の業務データテーブルの一例を示す図。
【図9】第2の実施形態に係るアクセス制御装置のアクセスパス設定処理の一例を示すフローチャート。
【発明を実施するための形態】
【0009】
(第1の実施形態)
以下、本実施形態について図面を参照して説明する。図1は本実施形態のアクセス制御装置3を用いた業務システムの一実施形態を示すブロック図である。図1に示されるように、本実施形態に係る業務システムはクライアント端末1と、認証装置2と、アクセス制御装置3と、業務サーバ4とから構成されており、ユーザがクライアント端末1から業務サーバ4にアクセスする際に実行されるプログラムや読み込み(参照)/書き込み(更新)されるデータや使用されるハードウェア資源(例えば、コンピュータ)へのアクセス可否やアクセス種類(読込可、書込不可など)などのアクセス権限をアクセス制御装置が判定する。
【0010】
以下、アクセスとはプログラムの実行やデータの読み込み/書き込みやハードウェア資源の使用などを意味するものとする。
【0011】
業務サーバ4はクライアント端末1とアクセス制御装置3とに接続され、業務に用いられるソフトウェアである業務アプリケーション41と、後述するアクセス制御部31から受信したデータに基づいて各業務アプリケーション41を制御する業務アプリケーション制御部42とを備える。
【0012】
クライアント端末1は認証装置2とアクセス制御装置3と業務サーバ4とに接続され、アクセス制御装置3を介して業務サーバ4を利用する端末であり、入力を行う入力部11と、業務サーバ4から送信されたデータを出力するための出力部12有する。出力部12とは例えば表示部であり、本実施形態のアクセス制御対象である業務アプリケーション42を利用するための画面が表示される。なお、本実施形態ではクライアント端末1を1つとしているが複数で構成することも可能である。また、業務システムはネットワークを介して構成されても良い。
【0013】
認証装置2はクライアント端末1とアクセス制御装置3とに接続され、認証部21と認証データベース(DB)22とを備える。認証DB22にはユーザIDとそのユーザIDに対応したパスワードとが格納された認証情報テーブルが記憶されている。認証装置2は入力部11から入力された情報(ユーザIDとパスワード)と認証DB22に記憶された認証情報テーブルとに基づいて、この業務システムにユーザがログインできるか否かを決定する認証処理を行う。すなわち、ユーザが本人であるかどうかやユーザが業務システムにアクセスする権限を持つかを確認する。
【0014】
この認証処理があらかじめ行われユーザが確認された状態で、アクセス制御装置3にクライアント端末1から後述するロールや組織名などのユーザ属性情報とアクセス制御対象のアクセスパスとを含むアクセス権限判定情報が入力され、入力されたアクセス権限判定情報に基づいてアクセス制御装置3によりアクセス権限判定処理が行われる。アクセスパスとはアクセス対象に対して設定されるパスであり、アクセス制御対象に辿り着くまでの経路を示す。本実施形態のアクセスパスは、スラッシュ(/)、バックスラッシュ(\)、コンマ(,)、スペース( )などの区切り文字を含んで構成され、区切り文字で区切られた各文字列や項目は階層構造であるとみなされる。アクセスパスの一例としてはURLが挙げられる。なお、アクセス権限判定処理については後述する。
【0015】
アクセス制御装置3は、アクセス権限判定部30、アクセス制御部31、およびアクセス制御情報記憶部32を備えており、クライアント端末1と認証装置2と業務サーバ4とに接続される。アクセス制御装置3は、クライアント端末1から入力されるアクセス権限判定情報に基づいて業務サーバ4の業務アプリケーション41へのアクセス制御を行う。
【0016】
アクセス権限判定部30は、入力されたアクセス権限判定情報に基づいてアクセス制御情報記憶部32を参照し、アクセス制御対象の業務アプリケーション41へのアクセス権限を判定するアクセス権限判定処理を行う。アクセス制御部31は、アクセス権限判定部30の判定結果に基づいて、クライアント端末1から業務サーバ4へのアクセスを制御する。アクセス制御情報記憶部32は、アクセスポリシー情報を保存するためのアクセスポリシーテーブル33と、アクセス権限情報を保存するためのアクセス権限テーブル34とを有する。アクセスポリシー情報とアクセス権限情報については後述する。
【0017】
ここで、図2を用いてアクセス制御装置3のハードウェア構成について説明する。図2に示すようにアクセス制御装置3は、ホストインタフェース(HOST I/F)部311、CPU312、プログラムメモリ313、メモリ314、ROM315、ハードディスクドライブインタフェース(HDD I/F)317、およびドライブデバイス(例えばHDD)318から構成される。
【0018】
HOST I/F部311はクライアント端末1と接続するためのインタフェースであり、HDD I/F部317はドライブデバイス318と接続するためのインタフェースである。CPU312は、ROM315からメモリ314にコピー(ロード)されたプログラム316を実行することによってアクセス制御装置3内の他の要素の制御及び各種の処理を行う。
【0019】
メモリ314は、アクセス制御装置3のローカルメモリとして用いられる。メモリ314は、ROM315に格納されているプログラム316がCPU312による実行のためにコピーされる領域及びCPU312の各種処理でのワーク領域を提供する。
【0020】
ROM315は、プログラム316を予め格納する不揮発性メモリである。ROM315に変えて、フラッシュROMのような書き換え可能な不揮発性メモリを用いても構わない。ドライブデバイス318は記憶媒体であり、アクセス制御情報記憶部32として機能する。なお、ドライブデバイス318は複数でもよい。また、論理ディスクによって構成してもよい。
【0021】
次に図3、および図4を参照して、アクセス制御情報記憶部32が格納するアクセスポリシーテーブル33と、アクセス権限テーブル34とについて説明する。
【0022】
図3に示すようにアクセスポリシーテーブル33は、「アプリケーション名」330と、「優先ルール」331と、「デフォルト権限」332と、「組織」333と、「ロール」334の項目を格納するテーブルである。
【0023】
組織333は、ユーザが所属する組織名を示し、例えばユーザの属する事業部「社内システム管理部」、「企画部」、「第1営業部」、「第2営業部」である。図3では一例として企画部を示している。ロール334は、業務サーバ4を利用するユーザの職務上の機能(役割)を示す情報であり、例えば役職や雇用形態に基づいて設定される。本実施形態ではロール334の一例として、組織の管理者を「管理者」、各システムにおける業務の担当者を「担当者」、その他のユーザを「一般」とし、図4では管理者を示している。
【0024】
アプリケーション名330は、業務サーバ4が有する各業務アプリケーション41の名前を示す。ここでは一例として「契約書閲覧アプリケーション」、「社内組織変更アプリケーション」、「給与管理アプリケーション」、「発注アプリケーション」を示している。
【0025】
優先ルール331は、後述するアクセス権限判定処理において図4に示すアクセス権限テーブル34のアクセスパス340を検索する際の検索順序を示す。例えば「上位優先/下位優先」と設定され、「上位優先」と設定すると入力されたアクセスパスの上位階層から、アクセス権限テーブル34のアクセスパス340を検索し、最初に適合したアクセスパス340のアクセス権限を採用する。「下位優先」と設定すると下位の階層から検索し、最初に適合したアクセスパス340のアクセス権限341を採用する。
【0026】
デフォルト権限332は、後述するアクセス権限テーブル34に設定されていないアクセスパスに対するアクセス権限を示す。このデフォルト権限332を設定することにより、全ての業務アプリケーション41に対するアクセスパスとそのアクセス可否(アクセス権限)とをあらかじめアクセス権限テーブル34に登録する必要がなくなる。このため、例えばデフォルアクセス権限334を禁止にし、アクセス権限が許可と設定されるアクセスパスのみをアクセス権限テーブルに登録する、又はその逆で、デフォルトアクセス権限を許可にし、アクセス権限が禁止と設定されるアクセスパスのみをアクセス権限テーブルに登録するなど、アクセス権限テーブル34に格納するデータ量を少なくすることが可能である。これにより、後述するアクセス権限判定処理を効率化することが可能となる。
【0027】
本実施形態の優先ルール331とデフォルト権限332とは組織333とロール331ごとに作成される。なお、優先ルール331とデフォルト権限332とは各組織に属するユーザ単位で作成されてもよい。また、優先ルール331とデフォルト権限332とは異なる単位で設定することも可能である。
【0028】
図4に示すようにアクセス権限テーブル34は、アクセス制御対象のアクセスパス340と、アクセスパス340に対して設定されたアクセス権限(アクセス可否:許可/禁止)341とを格納するテーブルである。アクセス制御対象のアクセスパスとアクセス権限とをアクセス権限情報とする。なお、このアクセス権限テーブル34はアプリケーション名330ごとに作成されている。
【0029】
ここで、アクセスパスについて説明する。アクセスパスとは例えばURLであり、アクセス制御対象の各業務アプリケーション41に対してあらかじめ設定され、業務アプリケーション41を特定するために用いられる。
【0030】
一例として「/appliA/subappliA/function/subfunction/screen」というアクセスパスを挙げる。このアクセスパスは区切り文字として「/」が用いられており、「/[アプリケーション名]/[サブアプリケーション名]/[機能名]/[サブ機能名]/[画面名]」というように区切り文字によって区切られた項目はそれぞれ特定の意味を持っている。また、区切られた項目はアクセス対象への経路を階層的に示している。なお、本実施形態のアクセスパスを構成する項目にはアクセス対象であるシステムの名称が含まれる。
【0031】
本実施形態のアクセス権限はこのアクセスパスに対して設定され、設定されたアクセス権限は、アクセスパスと共にアクセス権限テーブル34に格納されている。
【0032】
図5を参照して、本実施形態のアクセス制御装置3のアクセス処理について説明する。図5は、本実施形態の業務システムにおいてクライアント端末1から業務サーバ4の業務アプリケーション41にアクセスする際の動作の一例を示すフローチャートである。
【0033】
まず、クライアント端末1の入力部11から利用者のユーザID、パスワードを含む認証情報が入力され、認証装置2に送信される(ステップS11)。送信されたユーザIDと、パスワードとに基づいて、認証装置2の認証部21が認証処理を行う(ステップS12)。すなわち、送信されたユーザIDに基づいて、認証データベース(DB)に記憶された認証データテーブルのユーザIDを検索して、一致するユーザIDのパスワードと送信されたパスワードとを照合し、ユーザの認証を行う。認証処理で認証されなかった場合(ステップS12がNo)、処理が終了する。この際にエラー画面をクライアント端末1の出力部12に表示しても良い。
【0034】
認証処理で認証された場合(ステップS12がYes)、クライアント端末1においてアクセス制御対象の「アクセスパス」、ユーザの「ロール」、およびユーザの属する「組織」を含むアクセス権限判定情報が入力可能となる。
【0035】
続いて入力部11によってアクセス権限判定情報が入力される(ステップS13)。本実施形態で入力されるアクセスパスは「/appliA/subappliA/function」であり、ユーザ属性情報である組織名およびロールは「企画部・管理者」および「第1営業部・担当者」であるとする。入力されたアクセス権限判定情報はアクセス制御装置3のアクセス権限判定部30に送信され、アクセス権限判定部30によりアクセス権限判定処理が行われる(ステップS14)。なお、ユーザ属性情報である組織名、およびロールは、認証処理で認証された場合に認証DB22から抽出され、アクセス権限判定部30に送信されるようにしてもよい。この場合、認証DB22にあらかじめユーザIDと対応したユーザ属性情報を格納する必要がある。
【0036】
ここで、図6を用いて図5のステップS14におけるアクセス権限判定処理について説明する。
【0037】
まず、アクセス権限判定部30が上述したロール、組織名、およびアクセスパスを含むアクセス権限判定情報を受信する(ステップS21)。次に、アクセス権限判定部30は受信したアクセス権限判定情報に基づいてアクセスポリシーテーブル33を検索する(ステップS22)。具体的には、アクセス権限判定部30は受信したアクセス権限判定情報の組織名、ロール、およびアクセスパスの階層構造の最上位の「アプリケーション名」に基づいてアクセスポリシーテーブル33を検索する。検索した結果、一致するアクセスポリシー情報の優先ルールとデフォルト権限とを抽出する(ステップS23)。すなわち、入力されたアクセスパスに含まれる「appliA(契約書閲覧アプリケーション)」というアプリケーション名に基づいて優先ルール331を抽出し、「企画部」という組織と「管理者」というロールとに基づいてデフォルト権限332を抽出する。
【0038】
ここで、図3に示されるアクセスポリシーテーブル33において抽出される優先ルール331は「下位優先」であり、デフォルト権限332は「許可」である。
【0039】
続いて、アクセス権限判定部30は受信したアクセスパスに含まれるアプリケーション名に基づいてアクセス制御情報記憶部32のアクセス権限テーブル34を検索し、アプリケーション名330が一致するアクセス権限テーブル34を抽出する(ステップS24)。具体的には本実施形態のアクセス制御対象の業務アプリケーション41は「appliA(契約書閲覧アプリケーション)」であるため、図4に示す契約書閲覧アプリケーションにおけるアクセス権限テーブル34が抽出される。
【0040】
続いてアクセス権限判定部30は、ステップS21で入力されたアクセスパスと組織とロールとが一致するアクセス権限情報がステップS24で抽出されたアクセスパス権限テーブル34にあるか否かを優先ルール331に基づいて順次検索する(ステップS25)。本実施形態では優先ルール331は「下位優先」であるため、抽出されたアクセス権限テーブル34の下位から順次検索を行う。検索の結果、適合するアクセス権限情報が抽出された場合(ステップS26がYes)、抽出されたアクセス権限341をアクセス権限として採用する(ステップS27)。本実施形態では、図4に示したアクセスパス340に「/appliA/subappliA/function」が格納されているため、適合するアクセス権限情報が抽出され、アクセス権限として「許可」が採用される。
【0041】
適合するアクセスパス340が抽出されない場合(ステップS26がNo)、アクセス権限として、ステップS23で抽出されたデフォルト権限334が採用される(ステップS28)。ステップS27もしくはステップS28で採用されたアクセス権限と入力されたアクセスパスとがアクセス制御部31に送信され(ステップS29)、アクセス権限判定処理が終了する。すなわち、本実施形態ではステップS29で「/appliA/subappliA/function」というアクセスパスと、「許可」というアクセス権限とがアクセス制御部31に送信される。
【0042】
続いて、図5のステップS15に戻る。アクセス制御部31はステップS29において受信したアクセス権限とアクセスパスとを業務サーバ4の業務アプリケーション制御部42に送信する(ステップS15)。送信されたアクセス権限が「許可」である場合(ステップS16がYes)、業務アプリケーション制御部42はアクセス制御対象の業務アプリケーション41をクライアント端末1の出力部12に出力し(ステップS17)、処理が終了する。本実施形態では、アクセス制御部31に送信されたアクセス権限が禁止である場合(ステップS16がNo)、業務アプリケーション制御部42はアクセス禁止であることを示す画面クライアント端末1の出力部12に出力し(ステップS18)、処理が終了する。
【0043】
以上のように本実施形態によれば、アクセス制御対象の業務アプリケーションに対するアクセスパスを区切り文字によって階層構造とみなし、これらのアクセスパスに対してアクセス権限を設定することにより、各業務アプリケーションに対するアクセス制御を実現できる。これにより、アクセス制御対象の形式を限定せずにアクセス制御を行うことが可能となる。
【0044】
また、デフォルト権限を設定することにより全てのアクセスパスに対してアクセス権限を設定する必要が無いため、アクセス権限の設定を効率化することができる。また、優先ルールを設定することにより局所的なアクセス制御を可能とする。
【0045】
なお、認証装置2によるユーザ認証は毎回行わず、最初の認証処理によって業務サーバ4に認証情報が保持されることも可能である。すなわち、アクセス権限判定情報として、ユーザIDを用いることも可能である。また、アクセス権限判定情報は組織とアクセスパスとしてもよいし、ユーザIDと組織とアクセスパスとしても良く、さまざまな組み合わせが考えられる。アクセス権限判定情報の設定により詳細なアクセス制御を行うことも可能である。
【0046】
また、ユーザ属性情報はユーザIDを含めてもよい。すなわち、ロール、組織名をユーザIDごとに設定することも可能である。また、ユーザ属性情報はロール、組織、ユーザIDのうちの少なくとも一つが含まれる。また、例えば下位階層のアクセスパスが設定されたアクセス制御対象にアクセスが集中するような業務システムでは、優先ルール331を下位優先と設定するとアクセス処理を効率化できる。
【0047】
また、アクセス権限テーブルにおいてアクセスパスに対するアクセス権限をユーザ属性情報ごとに設定することで、より詳細なアクセス制御を実現することも可能である。
【0048】
この場合、兼務などによってユーザが複数のユーザ属性情報を有する場合には複数のアクセス権限が抽出される。すなわち、ユーザ属性情報に基づくアクセス権限の一つは「許可」であり、もう一つのユーザ属性情報に基づくアクセス権限は「禁止」であるといった矛盾が生じる場合がある。このとき、例えば優先ルールを「上位優先」と設定している場合、アクセス権限テーブルから順次抽出されたアクセス権限のうち、上位のアクセス権限が採用される。このように、優先ルールによって複数のアクセス権限が抽出された場合にも対応ができる。なお、この場合あらかじめアクセス権限テーブルの製作者やユーザなどによってユーザの属性情報について上位/下位が設定されている。
【0049】
(第2の実施形態)
本発明の第2の実施形態の業務システムの機能構成について、図7乃至図9を用いて説明する。図7に示すように本実施形態の業務システムは、クライアント端末1と、認証装置2と、アクセス制御装置3と、業務サーバ4と、アクセスパス設定装置5とから構成される。なお、第1の実施形態と同一の構成には同一の符号を付し、説明は省略する。
【0050】
本実施形態の業務サーバ4は、業務データテーブル45が記憶される業務データ記憶部44と業務データ制御部43とを備える。
【0051】
業務データ制御部43は、アクセス制御部31から送信されたデータに基づいて業務データ記憶部44の業務データテーブル45から対象の業務データを抽出してクライアント端末1に送信する機能を有する。
【0052】
アクセスパス設定装置5は、業務サーバ4とクライアント端末1とに接続され、業務サーバ4の業務データ記憶部44に記憶された業務データテーブル45の編集を行う。業務データテーブル45の編集は、例えば受信した業務データの登録、更新、この業務データに対応するアクセスパスの設定、登録、更新などである。
【0053】
また、アクセスパス設定装置5はアクセスパス設定部50と、アクセスパス設定ルール記憶部51とを備える。アクセスパス設定ルール記憶部51はアクセスパス設定のためのアクセスパス設定ルールを業務データの種類ごとに記憶している。
【0054】
アクセスパス設定ルールとは例えば、「アクセスパス設定対象の業務データの項目ごとに区切り文字を挿入して文字列を作成する」といったアクセスパス設定対象に自動的にアクセスパスを作成するためのルールである。
【0055】
アクセスパス設定部50は上述したアクセスパス設定ルールを用いて、受信した業務データに対してアクセスパスを設定する。
【0056】
図8に業務データテーブル45の一例を示す。図8に示すように業務データテーブル45は、業務データ450と業務データ450に対して設定されたアクセスパス460とが対応づいて格納される。
【0057】
業務データ450は、顧客との契約を管理するための情報である契約管理情報であり、業務データ名451、契約管理番号452、契約名453、顧客名454、契約担当部署455、契約担当者456という項目から構成される。
【0058】
アクセスパス460は各業務データ450に対応してアクセスパス設定装置5のアクセスパス設定部50により設定される。アクセスパス設定部50によるアクセスパス設定処理について図9を用いて説明する。
【0059】
まず、アクセスパス設定装置5に業務データ450が入力される(ステップS31)。なお、業務データ450はクライアント端末1の入力部11から入力されてもよいし、外部の入力装置から入力されてもよい。
【0060】
続いて、アクセスパス設定装置5は入力された業務データの種類を判別する(ステップS32)。具体的には、業務データ450を構成する項目のうちの業務データ名451を抽出する。なお、業務データの種類とは各業務データが属するグループであり、業務データ名ごとでも良いし、各業務データが使用される業務アプリケーションごとでも良い。
【0061】
抽出された業務データ名451に基づき、アクセスパス設定ルールをアクセスパス設定ルール記憶部51から抽出する(ステップS33)。本実施形態では、契約管理情報に対するアクセスパス設定ルールは、「/[契約担当部署]/[契約担当者]/[契約名]」であるとする。このように、本実施形態のアクセスパス設定ルール記憶部51に記憶されたアクセスパス設定ルールは業務データの種類ごとに業務データを構成する各項目が区切り文字によって区切られている。第1の実施形態と同様に、アクセスパスの区切り文字によって区切られた項目は階層構造であるとみなされる。
【0062】
アクセスパス設定ルール記憶部51からアクセスパス設定ルールが抽出される場合(ステップS33がYes)、抽出されたアクセスパス設定ルールを用いて、対象の業務データにアクセスパスが設定される(ステップS34)。すなわち、アクセスパス設定ルールの各項目に基づいて対象の業務データテーブルの項目を検索し、該当する項目を業務データテーブルから抽出して、アクセスパスを設定する。ステップS34で設定されたアクセスパスと業務データとを業務データテーブル45に登録して(ステップS35)、アクセスパス設定処理を終了する。
【0063】
アクセスパス設定ルール記憶部51からアクセスパス設定ルールが抽出されない場合(ステップS33がNo)、新規にアクセスパス設定ルールを作成する画面をクライアント端末1に表示し、ユーザが入力したアクセスパス設定ルールをアクセスパス設定ルール記憶部51に登録する(ステップS36)。その後ステップS34に戻り、処理を行う。
【0064】
本実施形態のアクセスポリシーテーブル33に、業務データの種類ごとに優先ルール、およびデフォル権限が格納されている。デフォルト権限はユーザ属性情報ごとに設定されており、本実施形態のユーザ属性情報は組織名、ロール、ユーザIDであるとする。
【0065】
本実施形態のアクセス権限テーブル34に、これらのようなアクセス制御対象の各業務データに対して設定されたアクセスパスに対するユーザ属性情報ごとのアクセス権限が、格納されている。
【0066】
本実施形態の業務システムは、上述したアクセスパス設定処理によってアクセスパスが設定されたアクセス制御対象の業務データに対してアクセス処理を行う。
【0067】
本実施形態の業務システムは、上述したアクセスパス設定処理によって業務サーバ4が有する各業務データに対してアクセスパスが設定される。このように、本実施形態のアクセス制御装置は各データ単位でのアクセスパスの設定を可能とする。
【0068】
これにより、データ単位でのアクセス権限を設定することが可能となるため、より詳細なアクセス制御を可能とする。例えば同じ業務アプリケーションにアクセスする場合でも、ロールや組織や個人ごとにアプリケーション上で利用するデータが異なるように制御することが可能となる。
【0069】
以上のように本発明のいくつかの実施形態を説明したが、これらの実施形態は例として提示したものであり発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これらの実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。
【0070】
例えば、認証装置2を構成要素からはずすことや、外部の認証装置で認証されたクライアント端末1から入力が行われるとすることが可能である。また、アクセスポリシーテーブルの項目は上述の実施形態で例示したものだけでなく、さまざまな組み合わせが考えられる。
【0071】
なお、アクセスパスの設定は業務データが業務データテーブルに記憶されるたびに行うようにしても良い。また、一定量の業務データが業務データ記憶部44に記憶された場合に行うようにしても良いし、一定時間ごと、もしくはある特定のタイミングに業務データ記憶部44に記憶されているアクセスパスが設定されていない業務データを抽出して行うようにしてもよい。
【0072】
また、アクセスポリシーテーブルは、さまざまな組み合わせでの設定が可能であり、例えば組織とアプリ名ごとに設定することも可能である。また、ユーザIDごとに設定することも可能である。
【0073】
また、アクセスパス設定部50、およびアクセスパス設定ルール記憶部51はアクセス制御装置3が備えるようにすることも可能である。
【符号の説明】
【0074】
1…クライアント端末、2…認可装置、3…アクセス制御装置、4…業務サーバ、5…アクセスパス設定装置、30…アクセス権限判定部、31…アクセス制御部、32…アクセス制御情報記憶部、50…アクセスパス設定部、51…アクセスパスルール記憶部
【特許請求の範囲】
【請求項1】
アクセス制御対象に辿り着くまでの経路を示す、階層構造とみなされるアクセスパス、および前記アクセスパスに対して設定されたアクセス権限を格納するアクセス権限テーブルと、アクセス制御対象ごと、アクセス制御対象の属するグループごと、もしくはユーザ属性情報ごとに設定される、優先ルールおよびデフォルト権限を格納するアクセスポリシーテーブルとを記憶するアクセス制御情報記憶部と、
前記アクセスパスと前記ユーザ属性情報とを受信し、
受信した前記アクセスパス、または前記ユーザ属性情報に基づいて前記アクセスポリシーテーブルから前記優先ルールおよび前記デフォルト権限情報を抽出し、
受信した前記アクセスパス、前記ユーザ属性情報、および抽出された前記優先ルールに基づいて前記アクセス権限テーブルからアクセス権限を検索し、
検索した結果適合するアクセスパスがある場合、前記アクセス制御対象にアクセス要求するユーザのアクセス権限として該アクセスパスに対して設定された前記アクセス権限を採用し、
検索した結果適合するアクセス権限情報が無い場合、前記ユーザのアクセス権限として抽出された前記デフォルト権限を採用するアクセス権限判定部と、
採用された前記ユーザのアクセス権限に基づいて前記アクセス制御対象へのアクセスを制御するアクセス制御部と、を備えることを特徴とするアクセス制御装置。
【請求項2】
前記アクセス制御部は、判定された前記アクセス権限が「許可」である場合に前記アクセス制御対象に前記アクセスパスを送信することを特徴とする請求項1に記載のアクセス制御装置。
【請求項3】
前記ユーザ属性情報は前記アクセス制御対象にアクセス要求するユーザの、属する組織、役職、ユーザIDのうちの少なくとも一つを含むことを特徴とする請求項1乃至請求項2の何れか1項に記載のアクセス制御装置。
【請求項4】
前記優先ルールは「下位優先」であることを特徴とする請求項1乃至請求項3の何れか1項に記載のアクセス制御装置。
【請求項5】
さらにアクセスパス設定部とアクセスパス設定ルール記憶部を備え、
前記アクセスパス設定部は、前記アクセスパス設定ルール記憶部に記憶されたアクセスパス設定ルールを用いて、アクセス制御対象の業務データにアクセスパスを設定することを特徴とする請求項1乃至請求項4の何れか1項に記載のアクセス制御装置。
【請求項6】
アクセス制御対象を有するサーバと、前記サーバにアクセスするクライアント端末とに接続され、アクセス制御対象に辿り着くまでの経路を示す階層構造とみなされるアクセスパス、および前記アクセスパスに対して設定されたアクセス権限を格納するアクセス権限テーブルと、アクセス制御対象ごと、アクセス制御対象の属するグループごと、もしくはユーザ属性情報ごとに設定される、優先ルールおよびデフォルト権限を格納するアクセスポリシーテーブルとを記憶するアクセス制御情報記憶部を備え、前記クライアント端末から入力される、前記アクセスパスを用いて前記サーバへのアクセスを制御するアクセス制御装置のアクセス制御プログラムであって、
コンピュータに、
前記アクセスパスと前記ユーザ属性情報とを受信する機能と、受信した前記アクセスパスまたは前記ユーザ属性情報に基づいて前記アクセスポリシーテーブルから前記優先ルールおよび前記デフォルト権限情報を抽出する機能と、受信した前記アクセスパス、前記ユーザ属性情報、および抽出された前記優先ルールに基づいて前記アクセス権限テーブルからアクセス権限を検索する機能と、検索した結果適合するアクセスパスがある場合、前記アクセス制御対象にアクセス要求するユーザのアクセス権限として該アクセスパスに対して設定された前記アクセス権限を採用する機能と、検索した結果適合するアクセス権限情報が無い場合、前記ユーザのアクセス権限として抽出された前記デフォルト権限を採用する機能と、採用された前記ユーザのアクセス権限に基づいて前記アクセス制御対象へのアクセスを制御する機能と、を実行させるためのアクセス制御プログラム。
【請求項1】
アクセス制御対象に辿り着くまでの経路を示す、階層構造とみなされるアクセスパス、および前記アクセスパスに対して設定されたアクセス権限を格納するアクセス権限テーブルと、アクセス制御対象ごと、アクセス制御対象の属するグループごと、もしくはユーザ属性情報ごとに設定される、優先ルールおよびデフォルト権限を格納するアクセスポリシーテーブルとを記憶するアクセス制御情報記憶部と、
前記アクセスパスと前記ユーザ属性情報とを受信し、
受信した前記アクセスパス、または前記ユーザ属性情報に基づいて前記アクセスポリシーテーブルから前記優先ルールおよび前記デフォルト権限情報を抽出し、
受信した前記アクセスパス、前記ユーザ属性情報、および抽出された前記優先ルールに基づいて前記アクセス権限テーブルからアクセス権限を検索し、
検索した結果適合するアクセスパスがある場合、前記アクセス制御対象にアクセス要求するユーザのアクセス権限として該アクセスパスに対して設定された前記アクセス権限を採用し、
検索した結果適合するアクセス権限情報が無い場合、前記ユーザのアクセス権限として抽出された前記デフォルト権限を採用するアクセス権限判定部と、
採用された前記ユーザのアクセス権限に基づいて前記アクセス制御対象へのアクセスを制御するアクセス制御部と、を備えることを特徴とするアクセス制御装置。
【請求項2】
前記アクセス制御部は、判定された前記アクセス権限が「許可」である場合に前記アクセス制御対象に前記アクセスパスを送信することを特徴とする請求項1に記載のアクセス制御装置。
【請求項3】
前記ユーザ属性情報は前記アクセス制御対象にアクセス要求するユーザの、属する組織、役職、ユーザIDのうちの少なくとも一つを含むことを特徴とする請求項1乃至請求項2の何れか1項に記載のアクセス制御装置。
【請求項4】
前記優先ルールは「下位優先」であることを特徴とする請求項1乃至請求項3の何れか1項に記載のアクセス制御装置。
【請求項5】
さらにアクセスパス設定部とアクセスパス設定ルール記憶部を備え、
前記アクセスパス設定部は、前記アクセスパス設定ルール記憶部に記憶されたアクセスパス設定ルールを用いて、アクセス制御対象の業務データにアクセスパスを設定することを特徴とする請求項1乃至請求項4の何れか1項に記載のアクセス制御装置。
【請求項6】
アクセス制御対象を有するサーバと、前記サーバにアクセスするクライアント端末とに接続され、アクセス制御対象に辿り着くまでの経路を示す階層構造とみなされるアクセスパス、および前記アクセスパスに対して設定されたアクセス権限を格納するアクセス権限テーブルと、アクセス制御対象ごと、アクセス制御対象の属するグループごと、もしくはユーザ属性情報ごとに設定される、優先ルールおよびデフォルト権限を格納するアクセスポリシーテーブルとを記憶するアクセス制御情報記憶部を備え、前記クライアント端末から入力される、前記アクセスパスを用いて前記サーバへのアクセスを制御するアクセス制御装置のアクセス制御プログラムであって、
コンピュータに、
前記アクセスパスと前記ユーザ属性情報とを受信する機能と、受信した前記アクセスパスまたは前記ユーザ属性情報に基づいて前記アクセスポリシーテーブルから前記優先ルールおよび前記デフォルト権限情報を抽出する機能と、受信した前記アクセスパス、前記ユーザ属性情報、および抽出された前記優先ルールに基づいて前記アクセス権限テーブルからアクセス権限を検索する機能と、検索した結果適合するアクセスパスがある場合、前記アクセス制御対象にアクセス要求するユーザのアクセス権限として該アクセスパスに対して設定された前記アクセス権限を採用する機能と、検索した結果適合するアクセス権限情報が無い場合、前記ユーザのアクセス権限として抽出された前記デフォルト権限を採用する機能と、採用された前記ユーザのアクセス権限に基づいて前記アクセス制御対象へのアクセスを制御する機能と、を実行させるためのアクセス制御プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2012−59148(P2012−59148A)
【公開日】平成24年3月22日(2012.3.22)
【国際特許分類】
【出願番号】特願2010−203612(P2010−203612)
【出願日】平成22年9月10日(2010.9.10)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(301063496)東芝ソリューション株式会社 (1,478)
【Fターム(参考)】
【公開日】平成24年3月22日(2012.3.22)
【国際特許分類】
【出願日】平成22年9月10日(2010.9.10)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(301063496)東芝ソリューション株式会社 (1,478)
【Fターム(参考)】
[ Back to top ]