アクセス制御連携システム及びアクセス制御連携方法
【課題】複数のシステム間のアクセス制御を連携させる場合において、あるシステムにおける認証情報の更新に伴う情報更新作業の手間を軽減するとともに、更新のタイムラグを小さくすることを目的とする。
【解決手段】アクセス制御連携システム1は、第1ロールに基づきアクセス制御を行うシステムA100と、第1ロールとは異なる第2ロールに基づきアクセス制御を行うシステムB200と、各システムを連携させる中央認証機関300とを備える。システムA100に所属するユーザがシステムB200が提供するサービスへアクセスする場合、ユーザはシステムA100へログインする。その後、システムA100からシステムB200へユーザIDが送信される。また、中央認証機関300はシステムA100からユーザの第1ロールを取得し、第2ロールへ変換する。システムB200では中央認証機関300が変換した第2ロールに基づきアクセス制御が行われる。
【解決手段】アクセス制御連携システム1は、第1ロールに基づきアクセス制御を行うシステムA100と、第1ロールとは異なる第2ロールに基づきアクセス制御を行うシステムB200と、各システムを連携させる中央認証機関300とを備える。システムA100に所属するユーザがシステムB200が提供するサービスへアクセスする場合、ユーザはシステムA100へログインする。その後、システムA100からシステムB200へユーザIDが送信される。また、中央認証機関300はシステムA100からユーザの第1ロールを取得し、第2ロールへ変換する。システムB200では中央認証機関300が変換した第2ロールに基づきアクセス制御が行われる。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、異なるアクセス制御方式でアクセス制御を行う複数のシステム間において、アクセス制御を連携させる技術に関する。
【背景技術】
【0002】
現在、多様な情報サービスが提供されており、それらのサービスを連携することにより、サービスの質の向上や新たなサービスの創造が期待されている。
異なるシステム間で安全に情報サービスを連携する場合、共通のアカウント及びアクセス権限が必要である。しかし、異なるシステム間でアカウント及びアクセス権限を共通化することは、IDの割り振りが困難であることや、管理保守コストが高いことから現実的ではない。そこで、既に各システムで管理されているユーザのID及びアクセス権限を用いて認証を行い、連携を図るID連携及びアクセス権限制御が必要である。
【0003】
特許文献1には、認証代行サーバが認証代行サーバ用のIDと、各システム識別情報及びそのシステム用のIDとの対応付けを行い、認証代行サーバで認証を行うことにより、複数のシステム間でID連携を実現する方法についての記載がある。しかし、特許文献1には、アクセス権限の制御については記載されていない。
【0004】
特許文献2には、ユーザが所属するシステムではなく、サービスを提供するシステム側で全てのユーザを認証し、認証したユーザに対して開示対象データのアクセス権限を設定することについての記載がある。この方法では、設定したアクセス権限に基づきアクセス制御を行う。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特許公開2007−299303号公報
【特許文献2】特許公開2009−237671号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
特許文献2に記載された方法では、各システムが全てのユーザの認証及びアクセス権限制御を行う。そのため、各システムが連携する全てのシステムの認証情報(属性やロール等)を保持する必要がある。したがって、連携するシステムが増加するに従い、保持する情報が増加し、管理に負担が掛かる。また、あるシステムが認証情報を更新すると、全てのシステムが管理情報を見直さなければならず、大変な手間がかかるとともに、更新のタイムラグが発生する。
この発明は、複数のシステム間のアクセス制御を連携させる場合において、あるシステムにおける認証情報の更新に伴う保持情報変更作業の手間を軽減するとともに、更新のタイムラグを小さくすることを目的とする。
【課題を解決するための手段】
【0007】
この発明に係るアクセス制御連携システムは、
第1権限情報に基づきサービスへのアクセス制御を行う第1システムと、前記第1権限情報とは異なる第2権限情報に基づきサービスへのアクセス制御を行う第2システムと、前記第1システムと前記第2システムとを連携させる連携システムとを備えるアクセス制御連携システムであり、
前記第1システムは、
処理装置によりユーザの認証を行うユーザ認証部と、
前記ユーザ認証部が認証したユーザを示すユーザIDと、前記第2システムが提供する所定のサービスを示すサービスIDとを含むサービス要求を前記第2システムへ通信装置を介して送信して、前記ユーザに前記第2システムが提供する前記サービスへのアクセス許可を要求するサービス要求送信部とを備え、
前記連携システムは、
前記第1権限情報と前記第2権限情報との対応関係を示す権限対応情報を記憶装置に記憶する権限対応情報記憶部と、
前記第1システムにおける前記ユーザの権限を示す第1権限情報を前記第1システムから通信装置を介して取得する権限取得部と、
前記権限対応情報記憶部が記憶した権限対応情報から、前記権限取得部が取得した第1権限情報に対応する第2権限情報を処理装置により検索する権限検索部とを備え、
前記第2システムは、
前記権限検索部が検索した第2権限情報に基づき、前記第1システムの前記サービス要求送信部が送信したいサービス要求に含まれるサービスIDが示すサービスへ、前記サービス要求に含まれるユーザIDが示すユーザのアクセスが許可されると判定される場合に、前記ユーザに前記サービスへのアクセスを処理装置により許可するアクセス許可部
を備えることを特徴とする。
【発明の効果】
【0008】
この発明に係るアクセス制御連携システムは、サービスを提供する各システム(第1システムと第2システム)は、自システムに所属するユーザの認証情報のみを保持していればよい。したがって、あるシステムが認証情報を更新した場合に、サービスを提供する他のシステムは認証情報の更新をする必要がない。
【図面の簡単な説明】
【0009】
【図1】実施の形態1に係るアクセス制御連携システム1の機能ブロック図。
【図2】ID管理テーブル150,250が記憶する認証情報の一例を示す図。
【図3】図2とは異なる認証情報の一例を示す図。
【図4】コンテンツテーブル140,240が記憶する制御情報の一例を示す図。
【図5】ロールマッピングテーブル330が記憶する権限対応情報の一例を示す図。
【図6】図5とは異なる権限対応情報の一例を示す図。
【図7】実施の形態1に係るアクセス制御連携システム1の処理の流れを示すフローチャート。
【図8】実施の形態2に係るアクセス制御連携システム1の機能ブロック図。
【図9】ロールサービスマッピングテーブル340が記憶したサービス対応情報の一例を示す図。
【図10】図9とは異なるサービス対応情報の一例を示す図。
【図11】実施の形態2に係るアクセス制御連携システム1の処理の流れを示すフローチャート。
【図12】各サーバのハードウェア構成の一例を示す図。
【発明を実施するための形態】
【0010】
以下、図に基づき、この発明の実施の形態について説明する。
なお、以下の説明において、処理装置は後述するCPU911等である。記憶装置は後述するROM913、RAM914、磁気ディスク920あるいはCPU911が有するキャッシュメモリやレジスタ等である。入力装置は後述するキーボード902、通信ボード915等である。通信装置は、後述する通信ボード915等である。つまり、処理装置、記憶装置、入力装置、通信装置はハードウェアである。
【0011】
実施の形態1.
図1は、実施の形態1に係るアクセス制御連携システム1の機能ブロック図である。
アクセス制御連携システム1は、サービスを提供する複数のシステム(ここでは、システムA100とシステムB200)と、複数のシステムのアクセス制御を連携させる中央認証機関300(連携システム)とを備える。
サービスを提供する各システムの間、及び、サービスを提供する各システムと中央認証機関300との間は、ネットワークで接続されている。
【0012】
システムA100とシステムB200とは、同じ構成である。システムA100とシステムB200とは、それぞれ、連携サーバ110,210、APPサーバ120,220、認証サーバ130,230、コンテンツテーブル140,240、ID管理テーブル150,250を備える。
連携サーバ110,210は、サービスを提供するシステム間の連携を図るためのサーバである。連携サーバ110,210は、サービス要求送信部111,211、ロール送信部112,212(権限要求送信部)を備える。
APPサーバ120,220は、ユーザへサービスを提供するサーバである。APPサーバ120,220は、サービス提供部121,221(アクセス許可部)を備える。
認証サーバ130,230は、ユーザを認証するサーバである。認証サーバ130,230は、ユーザ認証部131,231を備える。
コンテンツテーブル140,240は、APPサーバ120,220がサービスの提供するか否かを決定する基準となる制御情報を記憶した記憶装置である。
ID管理テーブル150,250は、自システムに所属するユーザのユーザIDやロール等を認証情報として記憶した記憶装置である。
【0013】
中央認証機関300は、連携サーバ310、ロール変換サーバ320、ロールマッピングテーブル330(権限対応情報記憶部)を備える。
連携サーバ310は、サービスを提供するシステム間の連携を図るためのサーバである。連携サーバ310は、ロール取得部311(権限取得部)、ロール転送部312(権限送信部)を備える。
ロール変換サーバ320は、あるシステム(例えば、システムA100)におけるユーザの権限を示すロール(権限情報)を、他のシステム(例えば、システムB200)におけるロールへ変換するサーバである。ロール変換サーバ320は、ロール変換部321(権限検索部)を備える。
ロールマッピングテーブル330は、サービスを提供する各システムにおけるロールの対応関係を権限対応情報として記憶した記憶装置である。
【0014】
なお、上記説明では、システムA100、システムB200、中央認証機関300は、複数のサーバで構成されるとした。しかし、システムA100、システムB200、中央認証機関300は、単一のサーバで構成されていてもよい。
【0015】
図2は、ID管理テーブル150,250が記憶する認証情報の一例を示す図である。図2(A)は、システムA100のID管理テーブル150が記憶する認証情報の例を示す。図2(B)は、システムB200のID管理テーブル250が記憶する認証情報の例を示す。
認証情報には、ユーザID、パスワード、名前、住所、ロールが含まれる。
図2(A)に示す認証情報は、システムA100における認証情報であるため、認証情報にはシステムA100に所属するユーザに関する情報のみ記憶されている。また、図2(A)に示す認証情報に含まれるロールは、システムA100におけるアクセス権限を示す第1ロール(第1権限情報)である。
同様に、図2(B)に示す認証情報は、システムB200における認証情報であるため、認証情報にはシステムB200に所属するユーザに関する情報のみ記憶されている。また、図2(B)に示す認証情報に含まれるロールは、システムB200におけるアクセス権限を示す第2ロール(第2権限情報)である。
【0016】
図3は、図2とは異なる認証情報の一例を示す図である。図3では、図2(A)に対応する認証情報を示す。
図3に示す認証情報は、図2に示す認証情報に含まれる情報に加え、公開用IDを含む。公開用IDは、そのシステムに所属するユーザを識別可能なIDであって、他のシステムへ公開するためのIDである。システム内で使用しているユーザIDを他のシステムへ公開したくない場合には認証情報を図3に示すような構成とし、他システムへユーザIDを公開する必要がある場合には、ユーザIDに代えて公開用IDを公開すればよい。
【0017】
図4は、コンテンツテーブル140,240が記憶する制御情報の一例を示す図である。なお、図4では、コンテンツテーブル240が記憶する制御情報の一例を示す。つまり、図4では、システムB200で管理される制御情報の一例を示す。
制御情報は、サービスIDとロールとを含み、そのシステムで提供するサービス毎に、そのサービスへのアクセスを許可するロールが記憶される。図4では、コンテンツテーブル240が記憶する制御情報であるため、制御情報は、システムB200が提供するサービスのサービスIDと、システムB200におけるアクセス権限を示す第2ロールとを含む。
例えば、あるサービスへ複数の第2ロールに対してアクセスを許可する場合、そのサービスに対応させてアクセスを許可する第2ロールを全て記憶してもよいし、アクセスを許可する第2ロールのうち最も権限の弱い(最下位の)第2ロールのみを記憶してもよい。なお、アクセスを許可する第2ロールのうち最も権限の弱い第2ロールのみを記憶する場合、権限の強い(上位の)第2ロールは、権限の弱い(下位)の第2ロールがアクセスできるサービスへはアクセスできるものとする。
【0018】
図5は、ロールマッピングテーブル330が記憶する権限対応情報の一例を示す図である。
権限対応情報は、各システム間のロールの対応関係を示す情報である。つまり、システムA100における各第1ロールと、システムB200における各第2ロールとが対応付けられた情報である。
【0019】
図6は、図5とは異なる権限対応情報の一例を示す図である。
図6に示す権限対応情報は、各システムにおける各ロールと、共通のロールとが対応付けられた情報である。
連携するシステムが多くなった場合、各システム間のロールの対応関係を記憶すると、記憶しなければならない情報量が多くなってしまう。そこで、図6に示すように、共通のロールとの各システムのロールとの間の対応関係を記憶することで、記憶しなければならない情報量を減らすことができる。
【0020】
図1と図7とに基づき、システムA100及びシステムB200と、中央認証機関300との機能及び動作について説明する。
図7は、実施の形態1に係るアクセス制御連携システム1の処理の流れを示すフローチャートである。
なお、ここでは、システムA100(第1システム)に所属するユーザが、システムB200(第2システム)が提供するサービスへアクセスする場合を例として説明する。
【0021】
(S101)
システムA100に所属するユーザがシステムA100へログインする。例えば、ユーザは、端末からユーザID及びパスワードを入力して、システムA100へログインする。
すると、認証サーバ130のユーザ認証部131は、ID管理テーブル150に記憶された認証情報と、入力されたユーザID及びパスワードとに基づき、ユーザを処理装置により認証する。
【0022】
(S102)
ユーザは、アクセスしたいサービスを指定する。例えば、ユーザは、端末からアクセスしたサービスのサービスIDを入力することで、サービスを指定する。
指定されたサービスがシステムA100で提供するサービスである場合には、APPサーバ120のサービス提供部121が、コンテンツテーブル140に記憶された制御情報に基づき、指定されたサービスへのユーザのアクセスを許可するか否かを処理装置により判定する。そして、アクセスを許可すると判定した場合、サービス提供部121はユーザへサービスを処理装置により提供する。
ここで、指定されたサービスへのユーザのアクセスを許可するか否かを判定する場合、まず、サービス提供部121は、ID管理テーブル150に記憶された認証情報から、そのユーザについての第1ロールを取得する。また、サービス提供部121は、コンテンツテーブル140に記憶された制御情報から、指定されたサービスへのアクセスを許可する第1ロールを取得する。そして、サービス提供部121は、ID管理テーブル150から取得した第1ロールと、コンテンツテーブル140から取得した第1ロールとを比較することで、そのユーザへ指定されたサービスへのアクセスを許可するか否かを判定できる。
なお、ここでは、ユーザは、システムA100が提供するサービスではなく、システムB200が提供するサービスを指定したとする。この場合、サービス提供部121は、ユーザIDと、指定されたサービスを示すサービスIDとを連携サーバ110のサービス要求送信部111へ送信する。
【0023】
(S103)
連携サーバ110のサービス要求送信部111は、受信したユーザID及びサービスIDと、システムA100を示すシステムID(A)とを含むサービス要求をシステムB200へ通信装置を介して送信する。これにより、サービス要求送信部111は、送信したサービスIDが示すサービスを送信したユーザIDが示すユーザへ提供することをシステムB200に要求する。
【0024】
(S104)
システムB200ではサービス要求を受信すると、連携サーバ210のロール送信部212が、サービス要求に含まれるユーザID及びシステムID(A)と、システムB200を示すシステムID(B)とを含む権限要求を中央認証機関300へ通信装置を介して送信する。これにより、ロール送信部212は、ユーザIDが示すユーザの第2ロールを送信することを中央認証機関300に要求する。
【0025】
(S105)
中央認証機関300では権限要求を受信すると、連携サーバ310のロール取得部311が、権限要求に含まれるユーザIDを含む権限要求をシステムA100へ通信装置を介して送信する。この際、送信先のシステムは、権限要求に含まれるシステムID(A)から特定される。これにより、連携サーバ310は、送信したユーザIDが示すユーザのシステムA100における第1ロールを送信することをシステムA100に要求する。
【0026】
(S106)
システムA100では権限要求を受信すると、連携サーバ110のロール送信部112が、権限要求に含まれるユーザIDが示すユーザの第1ロールをID管理テーブル150から取得する。そして、ロール送信部112は、取得した第1ロールを中央認証機関300へ通信装置を介して送信する。
【0027】
(S107)
中央認証機関300では第1ロールを受信すると、ロール変換サーバ320のロール変換部321が、ロールマッピングテーブル330が記憶した権限対応情報に基づき、取得したシステムA100における第1ロールに対応するシステムB200における第2ロールを処理装置により検索する。つまり、ロール変換部321は、システムA100における第1ロールを、システムB200における第2ロールへ変換する。この際、どのシステムにおけるロールへ変換すればよいかは、権限要求に含まれるシステムID(B)から特定される。
【0028】
(S108)
連携サーバ310のロール転送部312は、ロール変換部321が変換したシステムB200における第2ロールを通信装置を介してシステムB200へ送信する。この際、送信先のシステムは、権限要求に含まれるシステムID(B)から特定される。
【0029】
(S109)
連携サーバ210のロール送信部212は、システムB200における第2ロールを受信すると、受信した第2ロールとサービス要求に含まれるサービスIDとをAPPサーバ220へ送信する。
APPサーバ220のサービス提供部221は、受信した第2ロールと、コンテンツテーブル240に記憶された制御情報とに基づき、受信したサービスIDが示すサービスへのユーザのアクセスを許可するか否かを処理装置により判定する。そして、アクセスを許可すると判定した場合、サービス提供部221はユーザへサービスを処理装置により提供する。なお、アクセスを許可するか否かの判定方法は、(S102)で説明した方法と同様である。
【0030】
なお、システムB200が一旦取得したユーザIDと、システムB200における第2ロールとは、セッション情報としてシステムB200で管理される。そのため、セッションが切れるまで、ユーザは直接システムB200が提供するサービスへアクセスすることができる。
【0031】
以上のように、実施の形態1に係るアクセス制御連携システム1では、ユーザ認証は、そのユーザが所属するシステムで実施される。また、アクセス制御はサービスを提供するシステム側で実施されるものの、中央認証機関300によりロール変換が行われるため、各システムは自システムで使用するロールに基づきアクセス制御を行うことができる。そのため、サービスを提供する各システムは、自システムに所属するユーザの認証情報のみ管理すればよい。したがって、連携するシステムが増加しても、管理する認証情報の量は増加しない。
また、あるシステムのロールが更新された場合、中央認証機関300におけるロールマッピングテーブル330で記憶された権限対応情報を更新するだけで、全てのシステムに対してロールの更新が反映される。したがって、ロールの更新の手間が少なく、更新のタイムラグも小さい。
【0032】
実施の形態2.
実施の形態2では、実施の形態1とは異なる流れでアクセス制御を連携する方法について説明する。
【0033】
図8は、実施の形態2に係るアクセス制御連携システム1の機能ブロック図である。
実施の形態2に係るアクセス制御連携システム1は、実施の形態1に係るアクセス制御連携システム1と同様に、サービスを提供するシステムA100及びシステムB200と、複数のシステムのアクセス制御を連携させる中央認証機関300とを備える。
【0034】
システムA100とシステムB200とは、同じ構成である。システムA100とシステムB200とは、実施の形態1と同様に、それぞれ、連携サーバ110,210、APPサーバ120,220、認証サーバ130,230、コンテンツテーブル140,240、ID管理テーブル150,250を備える。
連携サーバ110,210は、実施の形態1と同様に、サービスを提供するシステム間の連携を図るためのサーバである。しかし、連携サーバ110,210が備える機能は、実施の形態1とは異なり、サービス要求送信部111,211、認証要求・結果送信部113,213、サービス取得部114,214を備える。
APPサーバ120,220と認証サーバ130,230とは実施の形態1と同様の機能構成であり、コンテンツテーブル140,240、ID管理テーブル150,250は実施の形態1と同様である。
【0035】
中央認証機関300は、実施の形態1に係る中央認証機関300が備える連携サーバ310、ロール変換サーバ320、ロールマッピングテーブル330に加え、ロールサービスマッピングテーブル340を備える。
連携サーバ310は、実施の形態1と同様に、サービスを提供するシステム間の連携を図るためのサーバである。しかし、連携サーバ310は、実施の形態1と異なり、認証確認部313、サービス一覧送信部314を備える。
ロール変換サーバ320は、ロール変換部321、サービス検索部322を備える。
ロールマッピングテーブル330は実施の形態1と同様である。
ロールサービスマッピングテーブル340は、各システムのロールと、そのロールでアクセスが許可されるサービスとの対応関係をサービス対応情報として記憶した記憶装置である。
【0036】
図9は、ロールサービスマッピングテーブル340が記憶したサービス対応情報の一例を示す図である。
サービス対応情報は、各システムのロールと、そのロールでアクセスが許可されるサービスのサービスIDとが対応付けられた情報である。
【0037】
図10は、図9とは異なるサービス対応情報の一例を示す図である。
図10に示すサービス対応情報は、図6に示した共通のロールと、その共通のロールでアクセスが許可されるサービスのサービスIDとが対応付けられた情報である。
ロールマッピングテーブル330が記憶する権限対応情報として、図6に示す各システムのロールと、共通のロールとが対応付けられた情報が記憶されている場合には、サービス対応情報として図10に示す情報を記憶してもよい。
【0038】
システムA100及びシステムB200と、中央認証機関300との機能及び動作について説明する。
図11は、実施の形態2に係るアクセス制御連携システム1の処理の流れを示すフローチャートである。
なお、ここでは、システムA100(第1システム)に所属するユーザが、システムB200(第2システム)が提供するサービスへアクセスする場合を例として説明する。また、ここでは、ロールサービスマッピングテーブル340は、サービス対応情報として、図9に示す各システムのロールと、そのロールでアクセスが許可されるサービスのサービスIDとが対応付けられた情報を記憶しているものとする。
【0039】
(S201)は、(S101)と同様である。
【0040】
(S202)
ユーザは、アクセス可能なサービスの一覧情報の取得を要求する。例えば、ユーザは、端末から一覧情報の取得要求を示すボタンを押下することで、一覧情報の取得を要求する。
すると、APPサーバ120のサービス提供部121は、ログインしたユーザの第1ロールをID管理テーブル150から取得して、連携サーバ110のサービス取得部114へ送信する。
【0041】
(S203)
連携サーバ110のサービス取得部114は、サービス提供部121が送信した第1ロールと、システムA100を示すシステムID(A)とを含む一覧要求を中央認証機関300へ通信装置を介して送信する。これにより、サービス取得部114は、ログインしたユーザがアクセスを許可されるサービスの一覧情報の送信を中央認証機関300へ要求する。
【0042】
(S204)
中央認証機関300では一覧要求を受信すると、ロール変換サーバ320のロール変換部321がロールマッピングテーブル330が記憶した権限対応情報に基づき、受信した一覧要求に含まれるシステムA100における第1ロールに対応するシステムB200における第2ロールを処理装置により検索する。つまり、ロール変換部321は、システムA100における第1ロールを、システムB200における第2ロールへ変換する。
なお、ここでは、サービスを提供するシステムがシステムA100とシステムB200とのみであるため、取得したシステムA100における第1ロールをシステムB200における第2ロールへのみ変換する。しかし、他にもサービスを提供するシステムが存在する場合には、ロール変換部321は、システムA100における第1ロールを他のシステムにおけるロールへも変換する。
【0043】
(S205)
ロール変換サーバ320のサービス検索部322は、受信した一覧要求に含まれるシステムA100における第1ロールでアクセスが許可されるサービスと、ロール変換部321が変換したシステムB200における第2ロールでアクセスが許可されるサービスとを、ロールサービスマッピングテーブル340から処理装置により検索する。
なお、(S204)でロール変換部321が第1ロールを他のシステムにおけるロールへも変換している場合には、サービス検索部322は、他のシステムにおけるロールでアクセスが許可されるサービスも検索する。
これにより、ユーザがアクセス可能なサービスの一覧情報を取得する。
【0044】
(S206)
連携サーバ310のサービス一覧送信部314は、ロール変換部321が取得した一覧情報を通信装置を介してシステムA100へ送信する。この際、送信先のシステムは、権限要求に含まれるシステムID(A)から特定される。
【0045】
(S207)
システムA100では一覧情報を受信すると、APPサーバ120のサービス提供部121が一覧情報を表示装置に表示する等して、ユーザへ一覧情報を提供する。そして、サービス提供部121は、ユーザに端末を用いて、一覧情報に含まれるサービスからアクセスしたいサービスを指定(入力)させる。
指定されたサービスがシステムA100で提供するサービスである場合には、APPサーバ120のサービス提供部121が、ユーザへサービスを処理装置により提供する。
なお、ここでは、ユーザは、システムA100が提供するサービスではなく、システムB200が提供するサービスを指定したとする。この場合、サービス提供部121は、ユーザIDと、指定されたサービスを示すサービスIDとを連携サーバ110のサービス要求送信部111へ送信する。
【0046】
(S208)
連携サーバ110のサービス要求送信部111は、受信したユーザID及びサービスIDと、システムA100を示すシステムID(A)とを含むサービス要求をシステムB200へ通信装置を介して送信する。これにより、サービス要求送信部111は、送信したサービスIDが示すサービスを送信したユーザIDが示すユーザへ提供することをシステムB200に要求する。
【0047】
(S209)
システムB200ではサービス要求を受信すると、連携サーバ210の認証要求・結果送信部213が、サービス要求に含まれるユーザID及びシステムID(A)と、システムB200を示すシステムID(B)とを含む確認要求を中央認証機関300へ通信装置を介して送信する。これにより、認証要求・結果送信部213は、ユーザIDが示すユーザがシステムA100に所属すること及びシステムA100で認証されたユーザであることの確認を中央認証機関300に要求する。
【0048】
(S210)
中央認証機関300では確認要求を受信すると、連携サーバ310の認証確認部313が、確認要求に含まれるユーザIDを含む確認要求をシステムA100へ通信装置を介して送信する。この際、送信先のシステムは、確認要求に含まれるシステムID(A)から特定される。これにより、連携サーバ310は、送信したユーザIDが示すユーザがシステムA100に所属すること及びシステムA100で認証されたユーザであることの確認をシステムA100に要求する。
【0049】
(S211)
システムA100では確認要求を受信すると、連携サーバ110の認証要求・結果送信部113が、認証要求に含まれるユーザIDを認証サーバ130のユーザ認証部131へ送信して、ユーザIDが示すユーザが所属すること及び認証されたユーザであることを処理装置により確認する。
なお、ユーザ認証部131は、ID管理テーブル150からユーザIDを検索することにより、ユーザが所属しているか否かを判定できる。また、例えば、ID管理テーブル150が記憶する認証情報に、現在ログイン中であるか否かを示すフラグ情報を持たせ、(S201)でログインした際、及びログアウトする際にそのフラグ情報を設定する。これにより、ユーザ認証部131は、ID管理テーブル150を確認することで、現在認証されたユーザであるか否かを判定できる。
【0050】
(S212)
認証要求・結果送信部113は、ユーザIDが示すユーザが所属するか否か、及び、認証されたユーザであるか否かを示す結果情報を中央認証機関300へ通信装置を介して送信する。
【0051】
(S213)
中央認証機関300では結果情報を受信すると、連携サーバ310の認証確認部313が、受信した結果情報をシステムB200へ通信装置を介して送信する。この際、送信先のシステムは、確認要求に含まれるシステムID(B)から特定される。
【0052】
(S214)
システムB200では結果情報を受信すると、連携サーバ210の認証要求・結果送信部213は、ユーザがシステムA100に所属すること及びシステムA100で認証されたユーザであることを結果情報が示すか否かを処理装置により判定する。ユーザがシステムA100に所属すること及びシステムA100で認証されたユーザであると示す場合、認証要求・結果送信部213は、サービス要求に含まれるユーザID及びサービスIDをAPPサーバ220のサービス提供部221へ送信する。
【0053】
(S215)
APPサーバ220のサービス提供部221は、ユーザID及びサービスIDを受信すると、コンテンツテーブル240に基づく判定をすることなく、アクセスを許可すると判定する。そして、サービス提供部221は、ユーザへサービスを処理装置により提供する。
【0054】
なお、一旦ログインしたことと、中央認証機関300から取得した一覧情報とは、セッション情報としてシステムA100で管理される。そのため、ユーザが再びシステムB200が提供するサービスへアクセスする場合、セッションが切れるまで、(S201)から(S206)までの処理を省略して、(S207)におけるアクセスしたいサービスを指定する処理から実行すればよい。
【0055】
以上のように、実施の形態2に係るアクセス制御連携システム1では、ユーザ認証は、そのユーザが所属するシステムで実施される。また、アクセス制御もユーザが所属するシステム側で実施される。そのため、サービスを提供する各システムは、自システムに所属するユーザの認証情報のみ管理すればよい。したがって、連携するシステムが増加しても、管理する認証情報の量は増加しない。
また、実施の形態1と同様に、あるシステムのロールが更新された場合、中央認証機関300におけるロールマッピングテーブル330で記憶された権限対応情報を更新するだけで、全てのシステムに対してロールの更新が反映される。したがって、ロールの更新の手間が少なく、更新のタイムラグも小さい。
【0056】
なお、ロールマッピングテーブル330が権限対応情報として、図6に示す各システムのロールと、共通のロールとが対応付けられた情報を記憶するとともに、ロールサービスマッピングテーブル340がサービス対応情報として、図10に示す共通のロールと、その共通のロールでアクセスが許可されるサービスのサービスIDとが対応付けられた情報を記憶している場合がある。
この場合、(S204)では、ロール変換サーバ320のロール変換部321は、ロールマッピングテーブル330が記憶した権限対応情報に基づき、受信したロール(第1ロール)を共通のロールへ変換する。また、(S205)では、サービス検索部322は、(S204)で変換された共通のロールでアクセスで許可されるサービスを検索する。これにより、ユーザがアクセス可能なサービスの一覧情報を取得することができる。
【0057】
次に、上記実施の形態におけるアクセス制御連携システム1が備える各サーバのハードウェア構成について説明する。
図12は、各サーバのハードウェア構成の一例を示す図である。
図12に示すように、各サーバは、プログラムを実行するCPU911(Central・Processing・Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU911は、バス912を介してROM913、RAM914、LCD901(Liquid Crystal Display)、キーボード902(K/B)、通信ボード915、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置920(固定ディスク装置)の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。磁気ディスク装置920は、所定の固定ディスクインタフェースを介して接続される。
【0058】
ROM913、磁気ディスク装置920は、不揮発性メモリの一例である。RAM914は、揮発性メモリの一例である。ROM913とRAM914と磁気ディスク装置920とは、記憶装置(メモリ)の一例である。また、キーボード902、通信ボード915は、入力装置の一例である。また、通信ボード915は、通信装置(ネットワークインタフェース)の一例である。さらに、LCD901は、表示装置の一例である。
【0059】
磁気ディスク装置920又はROM913などには、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
【0060】
プログラム群923には、上記の説明において「サービス要求送信部111,212」、「ロール送信部112,212」、「認証要求・結果送信部113,213」、「サービス取得部114,214」、「サービス提供部121,221」、「ユーザ認証部131,231」、「ロール取得部311」、「ロール転送部312」、「認証確認部313」、「サービス一覧送信部314」、「ロール変換部321」、「サービス検索部322」、等として説明した機能を実行するソフトウェアやプログラムやその他のプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
ファイル群924には、上記の説明において「認証情報」、「制御情報」、「権限対応情報」、「サービス対応情報」等の情報やデータや信号値や変数値やパラメータが、「ファイル」や「データベース」の各項目として記憶される。「ファイル」や「データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPU911の動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPU911の動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
【0061】
また、上記の説明におけるフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、その他光ディスク等の記録媒体やICチップに記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体や電波によりオンライン伝送される。
また、上記の説明において「〜部」として説明するものは、「〜回路」、「〜装置」、「〜機器」、「〜手段」、「〜機能」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。また、「〜装置」として説明するものは、「〜回路」、「〜機器」、「〜手段」、「〜機能」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。さらに、「〜処理」として説明するものは「〜ステップ」であっても構わない。すなわち、「〜部」として説明するものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、ROM913等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、上記で述べた「〜部」としてコンピュータ等を機能させるものである。あるいは、上記で述べた「〜部」の手順や方法をコンピュータ等に実行させるものである。
【符号の説明】
【0062】
1 アクセス制御連携システム、100 システムA、200 システムB、110,210 連携サーバ、111,211 サービス要求送信部、112,212 ロール送信部、113,213 認証要求・結果送信部、114,214 サービス取得部、120,220 APPサーバ、121,221 サービス提供部、130,230 認証サーバ、131,231 ユーザ認証部、140,240 コンテンツテーブル、150,250 ID管理テーブル、300 中央認証機関、310 連携サーバ、311 ロール取得部、312 ロール転送部、313 認証確認部、314 サービス一覧送信部、320 ロール変換サーバ、321 ロール変換部、322 サービス検索部、330 ロールマッピングテーブル、340 ロールサービスマッピングテーブル。
【技術分野】
【0001】
この発明は、異なるアクセス制御方式でアクセス制御を行う複数のシステム間において、アクセス制御を連携させる技術に関する。
【背景技術】
【0002】
現在、多様な情報サービスが提供されており、それらのサービスを連携することにより、サービスの質の向上や新たなサービスの創造が期待されている。
異なるシステム間で安全に情報サービスを連携する場合、共通のアカウント及びアクセス権限が必要である。しかし、異なるシステム間でアカウント及びアクセス権限を共通化することは、IDの割り振りが困難であることや、管理保守コストが高いことから現実的ではない。そこで、既に各システムで管理されているユーザのID及びアクセス権限を用いて認証を行い、連携を図るID連携及びアクセス権限制御が必要である。
【0003】
特許文献1には、認証代行サーバが認証代行サーバ用のIDと、各システム識別情報及びそのシステム用のIDとの対応付けを行い、認証代行サーバで認証を行うことにより、複数のシステム間でID連携を実現する方法についての記載がある。しかし、特許文献1には、アクセス権限の制御については記載されていない。
【0004】
特許文献2には、ユーザが所属するシステムではなく、サービスを提供するシステム側で全てのユーザを認証し、認証したユーザに対して開示対象データのアクセス権限を設定することについての記載がある。この方法では、設定したアクセス権限に基づきアクセス制御を行う。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特許公開2007−299303号公報
【特許文献2】特許公開2009−237671号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
特許文献2に記載された方法では、各システムが全てのユーザの認証及びアクセス権限制御を行う。そのため、各システムが連携する全てのシステムの認証情報(属性やロール等)を保持する必要がある。したがって、連携するシステムが増加するに従い、保持する情報が増加し、管理に負担が掛かる。また、あるシステムが認証情報を更新すると、全てのシステムが管理情報を見直さなければならず、大変な手間がかかるとともに、更新のタイムラグが発生する。
この発明は、複数のシステム間のアクセス制御を連携させる場合において、あるシステムにおける認証情報の更新に伴う保持情報変更作業の手間を軽減するとともに、更新のタイムラグを小さくすることを目的とする。
【課題を解決するための手段】
【0007】
この発明に係るアクセス制御連携システムは、
第1権限情報に基づきサービスへのアクセス制御を行う第1システムと、前記第1権限情報とは異なる第2権限情報に基づきサービスへのアクセス制御を行う第2システムと、前記第1システムと前記第2システムとを連携させる連携システムとを備えるアクセス制御連携システムであり、
前記第1システムは、
処理装置によりユーザの認証を行うユーザ認証部と、
前記ユーザ認証部が認証したユーザを示すユーザIDと、前記第2システムが提供する所定のサービスを示すサービスIDとを含むサービス要求を前記第2システムへ通信装置を介して送信して、前記ユーザに前記第2システムが提供する前記サービスへのアクセス許可を要求するサービス要求送信部とを備え、
前記連携システムは、
前記第1権限情報と前記第2権限情報との対応関係を示す権限対応情報を記憶装置に記憶する権限対応情報記憶部と、
前記第1システムにおける前記ユーザの権限を示す第1権限情報を前記第1システムから通信装置を介して取得する権限取得部と、
前記権限対応情報記憶部が記憶した権限対応情報から、前記権限取得部が取得した第1権限情報に対応する第2権限情報を処理装置により検索する権限検索部とを備え、
前記第2システムは、
前記権限検索部が検索した第2権限情報に基づき、前記第1システムの前記サービス要求送信部が送信したいサービス要求に含まれるサービスIDが示すサービスへ、前記サービス要求に含まれるユーザIDが示すユーザのアクセスが許可されると判定される場合に、前記ユーザに前記サービスへのアクセスを処理装置により許可するアクセス許可部
を備えることを特徴とする。
【発明の効果】
【0008】
この発明に係るアクセス制御連携システムは、サービスを提供する各システム(第1システムと第2システム)は、自システムに所属するユーザの認証情報のみを保持していればよい。したがって、あるシステムが認証情報を更新した場合に、サービスを提供する他のシステムは認証情報の更新をする必要がない。
【図面の簡単な説明】
【0009】
【図1】実施の形態1に係るアクセス制御連携システム1の機能ブロック図。
【図2】ID管理テーブル150,250が記憶する認証情報の一例を示す図。
【図3】図2とは異なる認証情報の一例を示す図。
【図4】コンテンツテーブル140,240が記憶する制御情報の一例を示す図。
【図5】ロールマッピングテーブル330が記憶する権限対応情報の一例を示す図。
【図6】図5とは異なる権限対応情報の一例を示す図。
【図7】実施の形態1に係るアクセス制御連携システム1の処理の流れを示すフローチャート。
【図8】実施の形態2に係るアクセス制御連携システム1の機能ブロック図。
【図9】ロールサービスマッピングテーブル340が記憶したサービス対応情報の一例を示す図。
【図10】図9とは異なるサービス対応情報の一例を示す図。
【図11】実施の形態2に係るアクセス制御連携システム1の処理の流れを示すフローチャート。
【図12】各サーバのハードウェア構成の一例を示す図。
【発明を実施するための形態】
【0010】
以下、図に基づき、この発明の実施の形態について説明する。
なお、以下の説明において、処理装置は後述するCPU911等である。記憶装置は後述するROM913、RAM914、磁気ディスク920あるいはCPU911が有するキャッシュメモリやレジスタ等である。入力装置は後述するキーボード902、通信ボード915等である。通信装置は、後述する通信ボード915等である。つまり、処理装置、記憶装置、入力装置、通信装置はハードウェアである。
【0011】
実施の形態1.
図1は、実施の形態1に係るアクセス制御連携システム1の機能ブロック図である。
アクセス制御連携システム1は、サービスを提供する複数のシステム(ここでは、システムA100とシステムB200)と、複数のシステムのアクセス制御を連携させる中央認証機関300(連携システム)とを備える。
サービスを提供する各システムの間、及び、サービスを提供する各システムと中央認証機関300との間は、ネットワークで接続されている。
【0012】
システムA100とシステムB200とは、同じ構成である。システムA100とシステムB200とは、それぞれ、連携サーバ110,210、APPサーバ120,220、認証サーバ130,230、コンテンツテーブル140,240、ID管理テーブル150,250を備える。
連携サーバ110,210は、サービスを提供するシステム間の連携を図るためのサーバである。連携サーバ110,210は、サービス要求送信部111,211、ロール送信部112,212(権限要求送信部)を備える。
APPサーバ120,220は、ユーザへサービスを提供するサーバである。APPサーバ120,220は、サービス提供部121,221(アクセス許可部)を備える。
認証サーバ130,230は、ユーザを認証するサーバである。認証サーバ130,230は、ユーザ認証部131,231を備える。
コンテンツテーブル140,240は、APPサーバ120,220がサービスの提供するか否かを決定する基準となる制御情報を記憶した記憶装置である。
ID管理テーブル150,250は、自システムに所属するユーザのユーザIDやロール等を認証情報として記憶した記憶装置である。
【0013】
中央認証機関300は、連携サーバ310、ロール変換サーバ320、ロールマッピングテーブル330(権限対応情報記憶部)を備える。
連携サーバ310は、サービスを提供するシステム間の連携を図るためのサーバである。連携サーバ310は、ロール取得部311(権限取得部)、ロール転送部312(権限送信部)を備える。
ロール変換サーバ320は、あるシステム(例えば、システムA100)におけるユーザの権限を示すロール(権限情報)を、他のシステム(例えば、システムB200)におけるロールへ変換するサーバである。ロール変換サーバ320は、ロール変換部321(権限検索部)を備える。
ロールマッピングテーブル330は、サービスを提供する各システムにおけるロールの対応関係を権限対応情報として記憶した記憶装置である。
【0014】
なお、上記説明では、システムA100、システムB200、中央認証機関300は、複数のサーバで構成されるとした。しかし、システムA100、システムB200、中央認証機関300は、単一のサーバで構成されていてもよい。
【0015】
図2は、ID管理テーブル150,250が記憶する認証情報の一例を示す図である。図2(A)は、システムA100のID管理テーブル150が記憶する認証情報の例を示す。図2(B)は、システムB200のID管理テーブル250が記憶する認証情報の例を示す。
認証情報には、ユーザID、パスワード、名前、住所、ロールが含まれる。
図2(A)に示す認証情報は、システムA100における認証情報であるため、認証情報にはシステムA100に所属するユーザに関する情報のみ記憶されている。また、図2(A)に示す認証情報に含まれるロールは、システムA100におけるアクセス権限を示す第1ロール(第1権限情報)である。
同様に、図2(B)に示す認証情報は、システムB200における認証情報であるため、認証情報にはシステムB200に所属するユーザに関する情報のみ記憶されている。また、図2(B)に示す認証情報に含まれるロールは、システムB200におけるアクセス権限を示す第2ロール(第2権限情報)である。
【0016】
図3は、図2とは異なる認証情報の一例を示す図である。図3では、図2(A)に対応する認証情報を示す。
図3に示す認証情報は、図2に示す認証情報に含まれる情報に加え、公開用IDを含む。公開用IDは、そのシステムに所属するユーザを識別可能なIDであって、他のシステムへ公開するためのIDである。システム内で使用しているユーザIDを他のシステムへ公開したくない場合には認証情報を図3に示すような構成とし、他システムへユーザIDを公開する必要がある場合には、ユーザIDに代えて公開用IDを公開すればよい。
【0017】
図4は、コンテンツテーブル140,240が記憶する制御情報の一例を示す図である。なお、図4では、コンテンツテーブル240が記憶する制御情報の一例を示す。つまり、図4では、システムB200で管理される制御情報の一例を示す。
制御情報は、サービスIDとロールとを含み、そのシステムで提供するサービス毎に、そのサービスへのアクセスを許可するロールが記憶される。図4では、コンテンツテーブル240が記憶する制御情報であるため、制御情報は、システムB200が提供するサービスのサービスIDと、システムB200におけるアクセス権限を示す第2ロールとを含む。
例えば、あるサービスへ複数の第2ロールに対してアクセスを許可する場合、そのサービスに対応させてアクセスを許可する第2ロールを全て記憶してもよいし、アクセスを許可する第2ロールのうち最も権限の弱い(最下位の)第2ロールのみを記憶してもよい。なお、アクセスを許可する第2ロールのうち最も権限の弱い第2ロールのみを記憶する場合、権限の強い(上位の)第2ロールは、権限の弱い(下位)の第2ロールがアクセスできるサービスへはアクセスできるものとする。
【0018】
図5は、ロールマッピングテーブル330が記憶する権限対応情報の一例を示す図である。
権限対応情報は、各システム間のロールの対応関係を示す情報である。つまり、システムA100における各第1ロールと、システムB200における各第2ロールとが対応付けられた情報である。
【0019】
図6は、図5とは異なる権限対応情報の一例を示す図である。
図6に示す権限対応情報は、各システムにおける各ロールと、共通のロールとが対応付けられた情報である。
連携するシステムが多くなった場合、各システム間のロールの対応関係を記憶すると、記憶しなければならない情報量が多くなってしまう。そこで、図6に示すように、共通のロールとの各システムのロールとの間の対応関係を記憶することで、記憶しなければならない情報量を減らすことができる。
【0020】
図1と図7とに基づき、システムA100及びシステムB200と、中央認証機関300との機能及び動作について説明する。
図7は、実施の形態1に係るアクセス制御連携システム1の処理の流れを示すフローチャートである。
なお、ここでは、システムA100(第1システム)に所属するユーザが、システムB200(第2システム)が提供するサービスへアクセスする場合を例として説明する。
【0021】
(S101)
システムA100に所属するユーザがシステムA100へログインする。例えば、ユーザは、端末からユーザID及びパスワードを入力して、システムA100へログインする。
すると、認証サーバ130のユーザ認証部131は、ID管理テーブル150に記憶された認証情報と、入力されたユーザID及びパスワードとに基づき、ユーザを処理装置により認証する。
【0022】
(S102)
ユーザは、アクセスしたいサービスを指定する。例えば、ユーザは、端末からアクセスしたサービスのサービスIDを入力することで、サービスを指定する。
指定されたサービスがシステムA100で提供するサービスである場合には、APPサーバ120のサービス提供部121が、コンテンツテーブル140に記憶された制御情報に基づき、指定されたサービスへのユーザのアクセスを許可するか否かを処理装置により判定する。そして、アクセスを許可すると判定した場合、サービス提供部121はユーザへサービスを処理装置により提供する。
ここで、指定されたサービスへのユーザのアクセスを許可するか否かを判定する場合、まず、サービス提供部121は、ID管理テーブル150に記憶された認証情報から、そのユーザについての第1ロールを取得する。また、サービス提供部121は、コンテンツテーブル140に記憶された制御情報から、指定されたサービスへのアクセスを許可する第1ロールを取得する。そして、サービス提供部121は、ID管理テーブル150から取得した第1ロールと、コンテンツテーブル140から取得した第1ロールとを比較することで、そのユーザへ指定されたサービスへのアクセスを許可するか否かを判定できる。
なお、ここでは、ユーザは、システムA100が提供するサービスではなく、システムB200が提供するサービスを指定したとする。この場合、サービス提供部121は、ユーザIDと、指定されたサービスを示すサービスIDとを連携サーバ110のサービス要求送信部111へ送信する。
【0023】
(S103)
連携サーバ110のサービス要求送信部111は、受信したユーザID及びサービスIDと、システムA100を示すシステムID(A)とを含むサービス要求をシステムB200へ通信装置を介して送信する。これにより、サービス要求送信部111は、送信したサービスIDが示すサービスを送信したユーザIDが示すユーザへ提供することをシステムB200に要求する。
【0024】
(S104)
システムB200ではサービス要求を受信すると、連携サーバ210のロール送信部212が、サービス要求に含まれるユーザID及びシステムID(A)と、システムB200を示すシステムID(B)とを含む権限要求を中央認証機関300へ通信装置を介して送信する。これにより、ロール送信部212は、ユーザIDが示すユーザの第2ロールを送信することを中央認証機関300に要求する。
【0025】
(S105)
中央認証機関300では権限要求を受信すると、連携サーバ310のロール取得部311が、権限要求に含まれるユーザIDを含む権限要求をシステムA100へ通信装置を介して送信する。この際、送信先のシステムは、権限要求に含まれるシステムID(A)から特定される。これにより、連携サーバ310は、送信したユーザIDが示すユーザのシステムA100における第1ロールを送信することをシステムA100に要求する。
【0026】
(S106)
システムA100では権限要求を受信すると、連携サーバ110のロール送信部112が、権限要求に含まれるユーザIDが示すユーザの第1ロールをID管理テーブル150から取得する。そして、ロール送信部112は、取得した第1ロールを中央認証機関300へ通信装置を介して送信する。
【0027】
(S107)
中央認証機関300では第1ロールを受信すると、ロール変換サーバ320のロール変換部321が、ロールマッピングテーブル330が記憶した権限対応情報に基づき、取得したシステムA100における第1ロールに対応するシステムB200における第2ロールを処理装置により検索する。つまり、ロール変換部321は、システムA100における第1ロールを、システムB200における第2ロールへ変換する。この際、どのシステムにおけるロールへ変換すればよいかは、権限要求に含まれるシステムID(B)から特定される。
【0028】
(S108)
連携サーバ310のロール転送部312は、ロール変換部321が変換したシステムB200における第2ロールを通信装置を介してシステムB200へ送信する。この際、送信先のシステムは、権限要求に含まれるシステムID(B)から特定される。
【0029】
(S109)
連携サーバ210のロール送信部212は、システムB200における第2ロールを受信すると、受信した第2ロールとサービス要求に含まれるサービスIDとをAPPサーバ220へ送信する。
APPサーバ220のサービス提供部221は、受信した第2ロールと、コンテンツテーブル240に記憶された制御情報とに基づき、受信したサービスIDが示すサービスへのユーザのアクセスを許可するか否かを処理装置により判定する。そして、アクセスを許可すると判定した場合、サービス提供部221はユーザへサービスを処理装置により提供する。なお、アクセスを許可するか否かの判定方法は、(S102)で説明した方法と同様である。
【0030】
なお、システムB200が一旦取得したユーザIDと、システムB200における第2ロールとは、セッション情報としてシステムB200で管理される。そのため、セッションが切れるまで、ユーザは直接システムB200が提供するサービスへアクセスすることができる。
【0031】
以上のように、実施の形態1に係るアクセス制御連携システム1では、ユーザ認証は、そのユーザが所属するシステムで実施される。また、アクセス制御はサービスを提供するシステム側で実施されるものの、中央認証機関300によりロール変換が行われるため、各システムは自システムで使用するロールに基づきアクセス制御を行うことができる。そのため、サービスを提供する各システムは、自システムに所属するユーザの認証情報のみ管理すればよい。したがって、連携するシステムが増加しても、管理する認証情報の量は増加しない。
また、あるシステムのロールが更新された場合、中央認証機関300におけるロールマッピングテーブル330で記憶された権限対応情報を更新するだけで、全てのシステムに対してロールの更新が反映される。したがって、ロールの更新の手間が少なく、更新のタイムラグも小さい。
【0032】
実施の形態2.
実施の形態2では、実施の形態1とは異なる流れでアクセス制御を連携する方法について説明する。
【0033】
図8は、実施の形態2に係るアクセス制御連携システム1の機能ブロック図である。
実施の形態2に係るアクセス制御連携システム1は、実施の形態1に係るアクセス制御連携システム1と同様に、サービスを提供するシステムA100及びシステムB200と、複数のシステムのアクセス制御を連携させる中央認証機関300とを備える。
【0034】
システムA100とシステムB200とは、同じ構成である。システムA100とシステムB200とは、実施の形態1と同様に、それぞれ、連携サーバ110,210、APPサーバ120,220、認証サーバ130,230、コンテンツテーブル140,240、ID管理テーブル150,250を備える。
連携サーバ110,210は、実施の形態1と同様に、サービスを提供するシステム間の連携を図るためのサーバである。しかし、連携サーバ110,210が備える機能は、実施の形態1とは異なり、サービス要求送信部111,211、認証要求・結果送信部113,213、サービス取得部114,214を備える。
APPサーバ120,220と認証サーバ130,230とは実施の形態1と同様の機能構成であり、コンテンツテーブル140,240、ID管理テーブル150,250は実施の形態1と同様である。
【0035】
中央認証機関300は、実施の形態1に係る中央認証機関300が備える連携サーバ310、ロール変換サーバ320、ロールマッピングテーブル330に加え、ロールサービスマッピングテーブル340を備える。
連携サーバ310は、実施の形態1と同様に、サービスを提供するシステム間の連携を図るためのサーバである。しかし、連携サーバ310は、実施の形態1と異なり、認証確認部313、サービス一覧送信部314を備える。
ロール変換サーバ320は、ロール変換部321、サービス検索部322を備える。
ロールマッピングテーブル330は実施の形態1と同様である。
ロールサービスマッピングテーブル340は、各システムのロールと、そのロールでアクセスが許可されるサービスとの対応関係をサービス対応情報として記憶した記憶装置である。
【0036】
図9は、ロールサービスマッピングテーブル340が記憶したサービス対応情報の一例を示す図である。
サービス対応情報は、各システムのロールと、そのロールでアクセスが許可されるサービスのサービスIDとが対応付けられた情報である。
【0037】
図10は、図9とは異なるサービス対応情報の一例を示す図である。
図10に示すサービス対応情報は、図6に示した共通のロールと、その共通のロールでアクセスが許可されるサービスのサービスIDとが対応付けられた情報である。
ロールマッピングテーブル330が記憶する権限対応情報として、図6に示す各システムのロールと、共通のロールとが対応付けられた情報が記憶されている場合には、サービス対応情報として図10に示す情報を記憶してもよい。
【0038】
システムA100及びシステムB200と、中央認証機関300との機能及び動作について説明する。
図11は、実施の形態2に係るアクセス制御連携システム1の処理の流れを示すフローチャートである。
なお、ここでは、システムA100(第1システム)に所属するユーザが、システムB200(第2システム)が提供するサービスへアクセスする場合を例として説明する。また、ここでは、ロールサービスマッピングテーブル340は、サービス対応情報として、図9に示す各システムのロールと、そのロールでアクセスが許可されるサービスのサービスIDとが対応付けられた情報を記憶しているものとする。
【0039】
(S201)は、(S101)と同様である。
【0040】
(S202)
ユーザは、アクセス可能なサービスの一覧情報の取得を要求する。例えば、ユーザは、端末から一覧情報の取得要求を示すボタンを押下することで、一覧情報の取得を要求する。
すると、APPサーバ120のサービス提供部121は、ログインしたユーザの第1ロールをID管理テーブル150から取得して、連携サーバ110のサービス取得部114へ送信する。
【0041】
(S203)
連携サーバ110のサービス取得部114は、サービス提供部121が送信した第1ロールと、システムA100を示すシステムID(A)とを含む一覧要求を中央認証機関300へ通信装置を介して送信する。これにより、サービス取得部114は、ログインしたユーザがアクセスを許可されるサービスの一覧情報の送信を中央認証機関300へ要求する。
【0042】
(S204)
中央認証機関300では一覧要求を受信すると、ロール変換サーバ320のロール変換部321がロールマッピングテーブル330が記憶した権限対応情報に基づき、受信した一覧要求に含まれるシステムA100における第1ロールに対応するシステムB200における第2ロールを処理装置により検索する。つまり、ロール変換部321は、システムA100における第1ロールを、システムB200における第2ロールへ変換する。
なお、ここでは、サービスを提供するシステムがシステムA100とシステムB200とのみであるため、取得したシステムA100における第1ロールをシステムB200における第2ロールへのみ変換する。しかし、他にもサービスを提供するシステムが存在する場合には、ロール変換部321は、システムA100における第1ロールを他のシステムにおけるロールへも変換する。
【0043】
(S205)
ロール変換サーバ320のサービス検索部322は、受信した一覧要求に含まれるシステムA100における第1ロールでアクセスが許可されるサービスと、ロール変換部321が変換したシステムB200における第2ロールでアクセスが許可されるサービスとを、ロールサービスマッピングテーブル340から処理装置により検索する。
なお、(S204)でロール変換部321が第1ロールを他のシステムにおけるロールへも変換している場合には、サービス検索部322は、他のシステムにおけるロールでアクセスが許可されるサービスも検索する。
これにより、ユーザがアクセス可能なサービスの一覧情報を取得する。
【0044】
(S206)
連携サーバ310のサービス一覧送信部314は、ロール変換部321が取得した一覧情報を通信装置を介してシステムA100へ送信する。この際、送信先のシステムは、権限要求に含まれるシステムID(A)から特定される。
【0045】
(S207)
システムA100では一覧情報を受信すると、APPサーバ120のサービス提供部121が一覧情報を表示装置に表示する等して、ユーザへ一覧情報を提供する。そして、サービス提供部121は、ユーザに端末を用いて、一覧情報に含まれるサービスからアクセスしたいサービスを指定(入力)させる。
指定されたサービスがシステムA100で提供するサービスである場合には、APPサーバ120のサービス提供部121が、ユーザへサービスを処理装置により提供する。
なお、ここでは、ユーザは、システムA100が提供するサービスではなく、システムB200が提供するサービスを指定したとする。この場合、サービス提供部121は、ユーザIDと、指定されたサービスを示すサービスIDとを連携サーバ110のサービス要求送信部111へ送信する。
【0046】
(S208)
連携サーバ110のサービス要求送信部111は、受信したユーザID及びサービスIDと、システムA100を示すシステムID(A)とを含むサービス要求をシステムB200へ通信装置を介して送信する。これにより、サービス要求送信部111は、送信したサービスIDが示すサービスを送信したユーザIDが示すユーザへ提供することをシステムB200に要求する。
【0047】
(S209)
システムB200ではサービス要求を受信すると、連携サーバ210の認証要求・結果送信部213が、サービス要求に含まれるユーザID及びシステムID(A)と、システムB200を示すシステムID(B)とを含む確認要求を中央認証機関300へ通信装置を介して送信する。これにより、認証要求・結果送信部213は、ユーザIDが示すユーザがシステムA100に所属すること及びシステムA100で認証されたユーザであることの確認を中央認証機関300に要求する。
【0048】
(S210)
中央認証機関300では確認要求を受信すると、連携サーバ310の認証確認部313が、確認要求に含まれるユーザIDを含む確認要求をシステムA100へ通信装置を介して送信する。この際、送信先のシステムは、確認要求に含まれるシステムID(A)から特定される。これにより、連携サーバ310は、送信したユーザIDが示すユーザがシステムA100に所属すること及びシステムA100で認証されたユーザであることの確認をシステムA100に要求する。
【0049】
(S211)
システムA100では確認要求を受信すると、連携サーバ110の認証要求・結果送信部113が、認証要求に含まれるユーザIDを認証サーバ130のユーザ認証部131へ送信して、ユーザIDが示すユーザが所属すること及び認証されたユーザであることを処理装置により確認する。
なお、ユーザ認証部131は、ID管理テーブル150からユーザIDを検索することにより、ユーザが所属しているか否かを判定できる。また、例えば、ID管理テーブル150が記憶する認証情報に、現在ログイン中であるか否かを示すフラグ情報を持たせ、(S201)でログインした際、及びログアウトする際にそのフラグ情報を設定する。これにより、ユーザ認証部131は、ID管理テーブル150を確認することで、現在認証されたユーザであるか否かを判定できる。
【0050】
(S212)
認証要求・結果送信部113は、ユーザIDが示すユーザが所属するか否か、及び、認証されたユーザであるか否かを示す結果情報を中央認証機関300へ通信装置を介して送信する。
【0051】
(S213)
中央認証機関300では結果情報を受信すると、連携サーバ310の認証確認部313が、受信した結果情報をシステムB200へ通信装置を介して送信する。この際、送信先のシステムは、確認要求に含まれるシステムID(B)から特定される。
【0052】
(S214)
システムB200では結果情報を受信すると、連携サーバ210の認証要求・結果送信部213は、ユーザがシステムA100に所属すること及びシステムA100で認証されたユーザであることを結果情報が示すか否かを処理装置により判定する。ユーザがシステムA100に所属すること及びシステムA100で認証されたユーザであると示す場合、認証要求・結果送信部213は、サービス要求に含まれるユーザID及びサービスIDをAPPサーバ220のサービス提供部221へ送信する。
【0053】
(S215)
APPサーバ220のサービス提供部221は、ユーザID及びサービスIDを受信すると、コンテンツテーブル240に基づく判定をすることなく、アクセスを許可すると判定する。そして、サービス提供部221は、ユーザへサービスを処理装置により提供する。
【0054】
なお、一旦ログインしたことと、中央認証機関300から取得した一覧情報とは、セッション情報としてシステムA100で管理される。そのため、ユーザが再びシステムB200が提供するサービスへアクセスする場合、セッションが切れるまで、(S201)から(S206)までの処理を省略して、(S207)におけるアクセスしたいサービスを指定する処理から実行すればよい。
【0055】
以上のように、実施の形態2に係るアクセス制御連携システム1では、ユーザ認証は、そのユーザが所属するシステムで実施される。また、アクセス制御もユーザが所属するシステム側で実施される。そのため、サービスを提供する各システムは、自システムに所属するユーザの認証情報のみ管理すればよい。したがって、連携するシステムが増加しても、管理する認証情報の量は増加しない。
また、実施の形態1と同様に、あるシステムのロールが更新された場合、中央認証機関300におけるロールマッピングテーブル330で記憶された権限対応情報を更新するだけで、全てのシステムに対してロールの更新が反映される。したがって、ロールの更新の手間が少なく、更新のタイムラグも小さい。
【0056】
なお、ロールマッピングテーブル330が権限対応情報として、図6に示す各システムのロールと、共通のロールとが対応付けられた情報を記憶するとともに、ロールサービスマッピングテーブル340がサービス対応情報として、図10に示す共通のロールと、その共通のロールでアクセスが許可されるサービスのサービスIDとが対応付けられた情報を記憶している場合がある。
この場合、(S204)では、ロール変換サーバ320のロール変換部321は、ロールマッピングテーブル330が記憶した権限対応情報に基づき、受信したロール(第1ロール)を共通のロールへ変換する。また、(S205)では、サービス検索部322は、(S204)で変換された共通のロールでアクセスで許可されるサービスを検索する。これにより、ユーザがアクセス可能なサービスの一覧情報を取得することができる。
【0057】
次に、上記実施の形態におけるアクセス制御連携システム1が備える各サーバのハードウェア構成について説明する。
図12は、各サーバのハードウェア構成の一例を示す図である。
図12に示すように、各サーバは、プログラムを実行するCPU911(Central・Processing・Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU911は、バス912を介してROM913、RAM914、LCD901(Liquid Crystal Display)、キーボード902(K/B)、通信ボード915、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置920(固定ディスク装置)の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。磁気ディスク装置920は、所定の固定ディスクインタフェースを介して接続される。
【0058】
ROM913、磁気ディスク装置920は、不揮発性メモリの一例である。RAM914は、揮発性メモリの一例である。ROM913とRAM914と磁気ディスク装置920とは、記憶装置(メモリ)の一例である。また、キーボード902、通信ボード915は、入力装置の一例である。また、通信ボード915は、通信装置(ネットワークインタフェース)の一例である。さらに、LCD901は、表示装置の一例である。
【0059】
磁気ディスク装置920又はROM913などには、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
【0060】
プログラム群923には、上記の説明において「サービス要求送信部111,212」、「ロール送信部112,212」、「認証要求・結果送信部113,213」、「サービス取得部114,214」、「サービス提供部121,221」、「ユーザ認証部131,231」、「ロール取得部311」、「ロール転送部312」、「認証確認部313」、「サービス一覧送信部314」、「ロール変換部321」、「サービス検索部322」、等として説明した機能を実行するソフトウェアやプログラムやその他のプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
ファイル群924には、上記の説明において「認証情報」、「制御情報」、「権限対応情報」、「サービス対応情報」等の情報やデータや信号値や変数値やパラメータが、「ファイル」や「データベース」の各項目として記憶される。「ファイル」や「データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPU911の動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPU911の動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
【0061】
また、上記の説明におけるフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、その他光ディスク等の記録媒体やICチップに記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体や電波によりオンライン伝送される。
また、上記の説明において「〜部」として説明するものは、「〜回路」、「〜装置」、「〜機器」、「〜手段」、「〜機能」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。また、「〜装置」として説明するものは、「〜回路」、「〜機器」、「〜手段」、「〜機能」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。さらに、「〜処理」として説明するものは「〜ステップ」であっても構わない。すなわち、「〜部」として説明するものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、ROM913等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、上記で述べた「〜部」としてコンピュータ等を機能させるものである。あるいは、上記で述べた「〜部」の手順や方法をコンピュータ等に実行させるものである。
【符号の説明】
【0062】
1 アクセス制御連携システム、100 システムA、200 システムB、110,210 連携サーバ、111,211 サービス要求送信部、112,212 ロール送信部、113,213 認証要求・結果送信部、114,214 サービス取得部、120,220 APPサーバ、121,221 サービス提供部、130,230 認証サーバ、131,231 ユーザ認証部、140,240 コンテンツテーブル、150,250 ID管理テーブル、300 中央認証機関、310 連携サーバ、311 ロール取得部、312 ロール転送部、313 認証確認部、314 サービス一覧送信部、320 ロール変換サーバ、321 ロール変換部、322 サービス検索部、330 ロールマッピングテーブル、340 ロールサービスマッピングテーブル。
【特許請求の範囲】
【請求項1】
第1権限情報に基づきサービスへのアクセス制御を行う第1システムと、前記第1権限情報とは異なる第2権限情報に基づきサービスへのアクセス制御を行う第2システムと、前記第1システムと前記第2システムとを連携させる連携システムとを備えるアクセス制御連携システムであり、
前記第1システムは、
処理装置によりユーザの認証を行うユーザ認証部と、
前記ユーザ認証部が認証したユーザを示すユーザIDと、前記第2システムが提供する所定のサービスを示すサービスIDとを含むサービス要求を前記第2システムへ通信装置を介して送信して、前記ユーザに前記第2システムが提供する前記サービスへのアクセス許可を要求するサービス要求送信部とを備え、
前記連携システムは、
前記第1権限情報と前記第2権限情報との対応関係を示す権限対応情報を記憶装置に記憶する権限対応情報記憶部と、
前記第1システムにおける前記ユーザの権限を示す第1権限情報を前記第1システムから通信装置を介して取得する権限取得部と、
前記権限対応情報記憶部が記憶した権限対応情報から、前記権限取得部が取得した第1権限情報に対応する第2権限情報を処理装置により検索する権限検索部とを備え、
前記第2システムは、
前記権限検索部が検索した第2権限情報に基づき、前記第1システムの前記サービス要求送信部が送信したサービス要求に含まれるサービスIDが示すサービスへ、前記サービス要求に含まれるユーザIDが示すユーザのアクセスが許可されると判定される場合に、前記ユーザに前記サービスへのアクセスを処理装置により許可するアクセス許可部
を備えることを特徴とするアクセス制御連携システム。
【請求項2】
前記第2システムは、さらに、
前記サービス要求を受信した場合、受信したサービス要求に含まれるユーザIDを含む権限要求を前記連携システムへ通信装置を介して送信して、前記ユーザの権限を示す権限情報の送信を要求する権限要求送信部を備え、
前記連携システムの前記権限取得部は、前記権限要求送信部が送信した権限要求を受信した場合、受信した権限要求に含まれるユーザIDが示すユーザの第1権限情報を前記第1システムから取得し、
前記連携システムの前記権限検索部は、前記権限取得部が取得した第1権限情報に対応する第2権限情報を検索し、
前記連携システムは、さらに、
前記権限検索部が検索した第2権限情報を前記第2システムへ通信装置を介して送信する権限送信部を備え、
前記第2システムの前記アクセス許可部は、前記連携システムの前記権限送信部が送信した第2権限情報に基づき、受信したサービス要求に含まれるサービスIDが示すサービスへ、受信したサービス要求に含まれるユーザIDが示すユーザのアクセスが許可されるか否かを判定して、前記サービスへ前記ユーザのアクセスが許可されると判定した場合、前記ユーザに前記サービスへのアクセスを許可する
ことを特徴とする請求項1に記載のアクセス制御連携システム。
【請求項3】
前記第1システムは、さらに、
前記ユーザ認証部がユーザを認証した場合、認証したユーザの権限を示す第1権限情報を前記連携システムへ通信装置を介して送信する権限送信部を備え、
前記連携システムの前記権限取得部は、前記権限送信部が送信した第1権限情報を取得し、
前記連携システムの前記権限検索部は、前記権限取得部が取得した第1権限情報に対応する第2権限情報を検索し、
前記連携システムは、さらに、
第2権限情報と、その第2権限情報が示す権限でアクセスが許されるサービスとの対応関係を示すサービス対応情報を記憶装置に記憶するサービス対応情報記憶部と、
前記サービス対応情報記憶部が記憶したサービス対応情報に基づき、前記権限検索部が検索した第2権限情報でアクセスが許されるサービスの一覧情報を取得するサービス一覧取得部と、
前記サービス一覧取得部が取得した一覧情報を前記第1システムへ送信する一覧送信部とを備え、
前記第1システムは、さらに、
前記一覧送信部が送信した一覧情報に含まれるサービスから、提供を受けたいサービスを入力装置により入力するサービス入力部を備え、
前記第1システムのサービス要求送信部は、前記ユーザIDと、前記サービス入力部が入力したサービスを示すサービスIDとを含むサービス要求を前記第2システムへ送信し、
前記第2システムの前記アクセス許可部は、前記第1システムの前記サービス要求送信部が送信したサービス要求を受信した場合、受信したサービス要求に含まれるサービスIDが示すサービスへ、受信したサービス要求に含まれるユーザIDが示すユーザIDが示すユーザのアクセスが許可されると判定して、前記ユーザに前記サービスへのアクセスを許可する
ことを特徴とする請求項1に記載のアクセス制御連携システム。
【請求項4】
前記第2システムは、さらに、
前記サービス要求に含まれるユーザIDを含む確認要求を前記連携システムへ通信装置を介して送信して、前記ユーザIDが示すユーザが前記第1システムの前記ユーザ認証部が認証した認証済ユーザであることの確認を要求する確認要求送信部を備え、
前記連携システムは、さらに、
前記確認要求送信部が送信した確認要求に含まれるユーザIDを前記第1システムへ送信して、前記ユーザIDが示すユーザが前記認証済ユーザであることを処理装置により確認する認証確認部を備え、
前記第2システムの前記アクセス許可部は、前記連携システムの前記認証確認部が認証済ユーザであることを確認した場合、前記ユーザに前記サービスへのアクセスを許可する
ことを特徴とする請求項3に記載のアクセス制御連携システム。
【請求項5】
第1権限情報に基づきサービスへのアクセス制御を行う第1システムと、前記第1権限情報とは異なる第2権限情報に基づきサービスへのアクセス制御を行う第2システムとのアクセス制御を連携させるアクセス制御連携方法であり、
前記第1システムが、ユーザの認証を行うユーザ認証工程と、
前記第1システムが、前記ユーザ認証工程で認証したユーザを示すユーザIDと、前記第2システムが提供する所定のサービスを示すサービスIDとを含むサービス要求を前記第2システムへ送信して、前記ユーザに前記第2システムが提供する前記サービスへのアクセス許可を要求するサービス要求送信工程と、
前記第1システムと前記第2システムとを連携させる連携システムが、前記第1権限情報を前記第1システムから取得する権限取得工程と、
前記連携システムが、予め記憶装置に記憶した前記第1権限情報と前記第2権限情報との対応関係を示す権限対応情報から、前記権限取得工程で取得した第1権限情報に対応する第2権限情報を検索する権限検索工程と、
前記第2システムが、前記権限検索工程で検索した第2権限情報に基づき、前記サービス要求送信工程で送信したサービス要求に含まれるサービスIDが示すサービスへ、前記サービス要求に含まれるユーザIDが示すユーザのアクセスが許可されると判定される場合に、前記ユーザに前記サービスへのアクセスを許可するアクセス許可工程と
を備えることを特徴とするアクセス制御連携方法。
【請求項1】
第1権限情報に基づきサービスへのアクセス制御を行う第1システムと、前記第1権限情報とは異なる第2権限情報に基づきサービスへのアクセス制御を行う第2システムと、前記第1システムと前記第2システムとを連携させる連携システムとを備えるアクセス制御連携システムであり、
前記第1システムは、
処理装置によりユーザの認証を行うユーザ認証部と、
前記ユーザ認証部が認証したユーザを示すユーザIDと、前記第2システムが提供する所定のサービスを示すサービスIDとを含むサービス要求を前記第2システムへ通信装置を介して送信して、前記ユーザに前記第2システムが提供する前記サービスへのアクセス許可を要求するサービス要求送信部とを備え、
前記連携システムは、
前記第1権限情報と前記第2権限情報との対応関係を示す権限対応情報を記憶装置に記憶する権限対応情報記憶部と、
前記第1システムにおける前記ユーザの権限を示す第1権限情報を前記第1システムから通信装置を介して取得する権限取得部と、
前記権限対応情報記憶部が記憶した権限対応情報から、前記権限取得部が取得した第1権限情報に対応する第2権限情報を処理装置により検索する権限検索部とを備え、
前記第2システムは、
前記権限検索部が検索した第2権限情報に基づき、前記第1システムの前記サービス要求送信部が送信したサービス要求に含まれるサービスIDが示すサービスへ、前記サービス要求に含まれるユーザIDが示すユーザのアクセスが許可されると判定される場合に、前記ユーザに前記サービスへのアクセスを処理装置により許可するアクセス許可部
を備えることを特徴とするアクセス制御連携システム。
【請求項2】
前記第2システムは、さらに、
前記サービス要求を受信した場合、受信したサービス要求に含まれるユーザIDを含む権限要求を前記連携システムへ通信装置を介して送信して、前記ユーザの権限を示す権限情報の送信を要求する権限要求送信部を備え、
前記連携システムの前記権限取得部は、前記権限要求送信部が送信した権限要求を受信した場合、受信した権限要求に含まれるユーザIDが示すユーザの第1権限情報を前記第1システムから取得し、
前記連携システムの前記権限検索部は、前記権限取得部が取得した第1権限情報に対応する第2権限情報を検索し、
前記連携システムは、さらに、
前記権限検索部が検索した第2権限情報を前記第2システムへ通信装置を介して送信する権限送信部を備え、
前記第2システムの前記アクセス許可部は、前記連携システムの前記権限送信部が送信した第2権限情報に基づき、受信したサービス要求に含まれるサービスIDが示すサービスへ、受信したサービス要求に含まれるユーザIDが示すユーザのアクセスが許可されるか否かを判定して、前記サービスへ前記ユーザのアクセスが許可されると判定した場合、前記ユーザに前記サービスへのアクセスを許可する
ことを特徴とする請求項1に記載のアクセス制御連携システム。
【請求項3】
前記第1システムは、さらに、
前記ユーザ認証部がユーザを認証した場合、認証したユーザの権限を示す第1権限情報を前記連携システムへ通信装置を介して送信する権限送信部を備え、
前記連携システムの前記権限取得部は、前記権限送信部が送信した第1権限情報を取得し、
前記連携システムの前記権限検索部は、前記権限取得部が取得した第1権限情報に対応する第2権限情報を検索し、
前記連携システムは、さらに、
第2権限情報と、その第2権限情報が示す権限でアクセスが許されるサービスとの対応関係を示すサービス対応情報を記憶装置に記憶するサービス対応情報記憶部と、
前記サービス対応情報記憶部が記憶したサービス対応情報に基づき、前記権限検索部が検索した第2権限情報でアクセスが許されるサービスの一覧情報を取得するサービス一覧取得部と、
前記サービス一覧取得部が取得した一覧情報を前記第1システムへ送信する一覧送信部とを備え、
前記第1システムは、さらに、
前記一覧送信部が送信した一覧情報に含まれるサービスから、提供を受けたいサービスを入力装置により入力するサービス入力部を備え、
前記第1システムのサービス要求送信部は、前記ユーザIDと、前記サービス入力部が入力したサービスを示すサービスIDとを含むサービス要求を前記第2システムへ送信し、
前記第2システムの前記アクセス許可部は、前記第1システムの前記サービス要求送信部が送信したサービス要求を受信した場合、受信したサービス要求に含まれるサービスIDが示すサービスへ、受信したサービス要求に含まれるユーザIDが示すユーザIDが示すユーザのアクセスが許可されると判定して、前記ユーザに前記サービスへのアクセスを許可する
ことを特徴とする請求項1に記載のアクセス制御連携システム。
【請求項4】
前記第2システムは、さらに、
前記サービス要求に含まれるユーザIDを含む確認要求を前記連携システムへ通信装置を介して送信して、前記ユーザIDが示すユーザが前記第1システムの前記ユーザ認証部が認証した認証済ユーザであることの確認を要求する確認要求送信部を備え、
前記連携システムは、さらに、
前記確認要求送信部が送信した確認要求に含まれるユーザIDを前記第1システムへ送信して、前記ユーザIDが示すユーザが前記認証済ユーザであることを処理装置により確認する認証確認部を備え、
前記第2システムの前記アクセス許可部は、前記連携システムの前記認証確認部が認証済ユーザであることを確認した場合、前記ユーザに前記サービスへのアクセスを許可する
ことを特徴とする請求項3に記載のアクセス制御連携システム。
【請求項5】
第1権限情報に基づきサービスへのアクセス制御を行う第1システムと、前記第1権限情報とは異なる第2権限情報に基づきサービスへのアクセス制御を行う第2システムとのアクセス制御を連携させるアクセス制御連携方法であり、
前記第1システムが、ユーザの認証を行うユーザ認証工程と、
前記第1システムが、前記ユーザ認証工程で認証したユーザを示すユーザIDと、前記第2システムが提供する所定のサービスを示すサービスIDとを含むサービス要求を前記第2システムへ送信して、前記ユーザに前記第2システムが提供する前記サービスへのアクセス許可を要求するサービス要求送信工程と、
前記第1システムと前記第2システムとを連携させる連携システムが、前記第1権限情報を前記第1システムから取得する権限取得工程と、
前記連携システムが、予め記憶装置に記憶した前記第1権限情報と前記第2権限情報との対応関係を示す権限対応情報から、前記権限取得工程で取得した第1権限情報に対応する第2権限情報を検索する権限検索工程と、
前記第2システムが、前記権限検索工程で検索した第2権限情報に基づき、前記サービス要求送信工程で送信したサービス要求に含まれるサービスIDが示すサービスへ、前記サービス要求に含まれるユーザIDが示すユーザのアクセスが許可されると判定される場合に、前記ユーザに前記サービスへのアクセスを許可するアクセス許可工程と
を備えることを特徴とするアクセス制御連携方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2011−175402(P2011−175402A)
【公開日】平成23年9月8日(2011.9.8)
【国際特許分類】
【出願番号】特願2010−38243(P2010−38243)
【出願日】平成22年2月24日(2010.2.24)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
【公開日】平成23年9月8日(2011.9.8)
【国際特許分類】
【出願日】平成22年2月24日(2010.2.24)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
[ Back to top ]