リソース提供システム、アクセス制御プログラム及びアクセス制御方法
【課題】リソースを利用するユーザの個人情報をリソースを提供する装置に開示せず、かつ、当該装置におけるユーザ管理負担を低減する。
【解決手段】リソースを格納するリソース提供装置19と、リソース提供装置19に格納されているリソースに対してアクセスするアクセス用クライアント21と、アクセス用クライアント21を利用するユーザのリソースへのアクセス可能範囲を登録するユーザ登録部32、及アクセス用クライアント21からリソースへアクセスする際にアクセス用クライアント21を利用するユーザの認証を行うユーザ認証部31を有する管理装置39と、を備える。
【解決手段】リソースを格納するリソース提供装置19と、リソース提供装置19に格納されているリソースに対してアクセスするアクセス用クライアント21と、アクセス用クライアント21を利用するユーザのリソースへのアクセス可能範囲を登録するユーザ登録部32、及アクセス用クライアント21からリソースへアクセスする際にアクセス用クライアント21を利用するユーザの認証を行うユーザ認証部31を有する管理装置39と、を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本件は、リソース提供システム、アクセス制御プログラム及びアクセス制御方法に関する。
【背景技術】
【0002】
クラウドなどのネットワークサービスシステムにおいて、会社間で共同作業(協業)を行うには、協業で提供するリソース(=共有リソース)の利用方法について詳細な取決めが必要となる。この取決めには、リソースを提携先のどの部門の誰が利用するのかなどの取決めが含まれる。なお、リソースには、データやプログラムなどが含まれ、例えばツールのソースコード、バイナリコード、アプリケーションプログラムに基づくweb画面(画面表示を行わせるためのデータなど)などが含まれる。
【0003】
また、例えば1つの会社(A社とする)のリソースを別の会社(B社)が共有するような場合、A社は、リソースの共有に必要なすべての機能を用意しなければならない。
【0004】
なお、上記のような技術に関し、特許文献1、2のような技術が開示されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2000−330847号公報
【特許文献2】特開2004−171255号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、上記特許文献1、2のような技術を用いても、上述したA社(リソース提供者)がB社のユーザを管理する必要があるため、A社の管理負担及び管理コストが大きくなるおそれがある。また、部署の異動などのたびにB社はA社に対してユーザの変更依頼をする必要がある。また、B社の個々の従業員の情報がA社に知られてしまうおそれもある。
【0007】
そこで本件は上記の課題に鑑みてなされたものであり、リソースを利用するユーザの個人情報をリソースを提供する装置(第1の装置)に開示せず、かつ、第1の装置におけるユーザ管理負担を低減することが可能なリソース提供システムを提供することを目的とする。また、リソースを利用するユーザの個人情報をリソースを提供する装置(第1の装置)に開示せず、かつ、第1の装置におけるユーザ管理負担を低減することが可能なアクセス制御プログラム及びアクセス制御方法を提供することを目的とする。
【課題を解決するための手段】
【0008】
本明細書に記載のリソース提供システムは、リソースを格納する第1の装置、前記第1の装置に格納されているリソースに対してアクセスする第2の装置、並びに、前記第2の装置を利用するユーザの前記リソースへのアクセス可能範囲を登録する登録部、及び前記第2の装置から前記リソースへアクセスする際に前記第2の装置を利用するユーザの認証を行う認証部を有する第3の装置、を備えるリソース提供システムである。
【0009】
本明細書に記載のアクセス制御プログラムは、リソースを格納する第1の装置と、前記第1の装置に格納されているリソースに対してアクセスする第2の装置と、に接続された第3の装置のコンピュータに実行させるアクセス制御プログラムであって、前記第2の装置を利用するユーザの前記リソースへのアクセス可能範囲を登録し、前記第2の装置から前記リソースへアクセスする際に前記第2の装置を利用するユーザの認証を行う処理を、前記コンピュータに実行させるアクセス制御プログラムである。
【0010】
本明細書に記載のアクセス制御方法は、リソースを格納する第1の装置と、前記第1の装置に格納されているリソースに対してアクセスする第2の装置と、に接続された第3の装置のコンピュータに実行させるアクセス制御方法であって、前記第2の装置を利用するユーザの前記リソースへのアクセス可能範囲を登録する工程と、前記第2の装置から前記リソースへアクセスする際に前記第2の装置を利用するユーザの認証を行う工程と、を前記コンピュータに実行させるアクセス制御方法である。
【発明の効果】
【0011】
本明細書に記載のリソース提供システムは、リソースを利用するユーザの個人情報をリソースを提供する装置(第1の装置)に開示せず、かつ、第1の装置におけるユーザ管理負担を低減することができるという効果を奏する。また、本明細書に記載のアクセス制御プログラム及びアクセス制御方法は、リソースを利用するユーザの個人情報をリソースを提供する装置(第1の装置)に開示せず、かつ、第1の装置におけるユーザ管理負担を低減することができるという効果を奏する。
【図面の簡単な説明】
【0012】
【図1】一実施形態に係るリソース提供システムの構成を概略的に示す図である。
【図2】一実施形態に係るリソース提供システムに含まれる各者が有する装置を示す図である。
【図3】図3(a)は、リソース提供装置のハードウェア構成を示す図であり、図3(b)は、管理装置のハードウェア構成を示す図である。
【図4】図2の装置の機能ブロック図である。
【図5】図5(a)は、リソース−グループテーブルを示す図であり、図5(b)は、アクセスログを示す図である。
【図6】図6(a)は、グループ−ユーザテーブルを示す図であり、図6(b)は、ユーザ情報テーブルを示す図である。
【図7】図7(a)は、認証ログを示す図であり、図7(b)は、ユーザ変更ログを示す図である。
【図8】ユーザ−リソースアクセスログを示す図である。
【図9】リソース登録に関する処理において機能する部分を太線にて示す図である。
【図10】リソースの新規登録処理を示すフローチャートである。
【図11】リソースのグループ変更処理を示すフローチャートである。
【図12】リソースの削除処理を示すフローチャートである。
【図13】グループ登録処理において機能する部分を太線にて示す図である。
【図14】グループの新規登録処理を示すフローチャートである。
【図15】グループが操作できるリソースの変更処理を示すフローチャートである。
【図16】グループの削除処理を示すフローチャートである。
【図17】ユーザ登録に関する処理において機能する部分を太線にて示す図である。
【図18】ユーザの新規登録処理を示すフローチャートである。
【図19】ユーザのグループ変更処理を示すフローチャートである。
【図20】ユーザの削除処理を示すフローチャートである。
【図21】ユーザ認証に関する処理において機能する部分を太線にて示す図である。
【図22】ユーザ認証処理を示すフローチャートである。
【図23】リソースの利用に関する処理において機能する部分を太線にて示す図である。
【図24】リソースの利用処理を示すフローチャートである。
【図25】リソースの利用状況の一般チェックに関する処理において機能する部分を太線にて示す図である。
【図26】リソース利用状況の一般チェック処理を示すフローチャートである。
【図27】ログ統合に関する処理において機能する部分を太線にて示す図である。
【図28】ログ統合処理を示すフローチャートである。
【発明を実施するための形態】
【0013】
以下、一実施形態について、図1〜図28に基づいて詳細に説明する。図1には、リソース提供システム100の構成が概略的に示されている。
【0014】
図1に示すようにリソース提供システム100は、リソース提供者(ここでは、A社とする)10が有する装置と、リソース利用者(B社とする)が有する装置と、仲介者(C社とする)が有する装置と、を備える。これら、各会社の装置は、それぞれインターネット等のネットワーク80に接続されている。
【0015】
リソース提供者(A社)10は、図2に示すように、リソース提供用クライアント11と、第1の装置としてのリソース提供装置19と、を有する。リソース利用者(B社)20は、第2の装置としてのアクセス用クライアント21と、ユーザ管理用クライアント22と、を有する。また、仲介者(C社)は、第3の装置としての管理装置39を有する。
【0016】
リソース提供用クライアント11は、リソース提供装置19に対してユーザが操作を行うためのユーザインタフェースの役割を持つ装置である。このリソース提供用クライアント11には、表示部(ディスプレイ)やキーボードやマウスなどの入力装置が設けられている。リソース提供装置19は、リソースを格納しており、B社のアクセス用クライアント21に対して、リソースを提供する。
【0017】
図3(a)には、リソース提供装置19のハードウェア構成が示されている。図3(a)に示すように、リソース提供装置19は、CPU90、ROM92、RAM94、記憶部(ここではHDD(Hard Disk Drive))96、及び可搬型記憶媒体用ドライブ99等を備えており、各部は、バス98に接続されている。リソース提供装置19では、ROM92又はHDD96に格納されているプログラム、あるいはドライブ99が読み取った可搬型記憶媒体91に記憶されているプログラムを、CPU90が実行することにより、図4の各部の機能が実現される。
また、記憶部96や可搬記憶媒体91には、各種のテーブル、データベース、ログ等のデータを記憶することができる。
【0018】
図4に示すように、リソース提供装置19は、リソース登録部12、グループ登録部13、アクセス制御部14、及びログ統合部15として機能する。また、リソース提供装置19のHDD96(図3(a)参照)には、リソースDB16、リソース−グループテーブル17、及びアクセスログ18が格納されている。なお、本明細書及び図面中では、「データベース」を適宜「DB」と表記する。
【0019】
リソース登録部12は、リソース提供用クライアント11からの指示(要求)に基づいて、リソースをリソースDB16に新規登録・削除したり、リソースと当該リソースを利用可能なグループとの対応付けを行ったりする。すなわち、各ユーザのアクセス可能範囲を登録する。ここで、リソースは、データ、ツールのソース、バイナリ、アプリケーションのweb画面などを含んでいる。
【0020】
グループ登録部13は、リソースを利用可能なグループの新規登録・削除、及びリソースとの対応付けを行う。アクセス制御部14は、リソースに対するアクセス用クライアント21からのアクセス要求の制御や、アクセスログの出力を行う。ログ統合部15は、各種ログの取得及び統合を行う。なお、統合は、監査時に行われるものとし、ログ統合部15は、当該統合されたログから、更に、必要なデータを作成する。
【0021】
リソースDB16は、リソースを、リソースIDと関連付けて記憶する。リソース−グループテーブル17は、図5(a)に示すようなデータ構造を有する。具体的には、リソース−グループテーブル17は、リソースIDと、当該リソースIDのリソースを利用可能なグループIDとを関連付けて記憶する。
【0022】
アクセスログ18は、リソースに対するアクセス状況を記録するログである。具体的には、図5(b)に示すように、アクセス日時、セッションID、グループID,リソースID、及び操作の項目を有する。操作の項目には、Login、Read、Write、Executeなどが入力される。
【0023】
図2に戻り、B社が有するアクセス用クライアント21は、管理装置39のユーザ認証部31(後述)に対してユーザが操作を行うためのユーザインタフェースの役割を持つ装置であるとともに、リソース提供装置19に格納されているリソースを利用するための端末である。なお、アクセス用クライアント21は複数存在していてもよい。また、1又は複数のアクセス用クライアント21のユーザは複数存在しているものとする。
【0024】
ユーザ管理用クライアント22は、管理装置39のユーザ登録部32(後述)に対してユーザが操作を行うためのユーザインタフェースの役割を持つ装置である。このユーザ管理用クライアント22には、表示部(ディスプレイ)やキーボードやマウスなどの入力装置が設けられている。なお、ユーザ管理用クライアント22は、複数存在していてもよい。また、アクセス用クライアントと同一装置とすることも可能である。
【0025】
C社が有する管理装置39は、図3(b)に示すようなハードウェア構成を有している。この図3(b)に示すように、管理装置39は、CPU190、ROM192、RAM194、記憶部(ここではHDD(Hard Disk Drive))196、及び可搬型記憶媒体用ドライブ199等を備えており、各部は、バス198に接続されている。管理装置39では、ROM192又はHDD196に格納されているプログラム、あるいはドライブ199が読み取った可搬型記憶媒体191に記憶されているプログラムを、CPU190が実行することにより、図4の各部の機能が実現される。
また、記憶部196や可搬型記憶媒体191には、各種のテーブル、データベース、ログ等のデータを記憶することができる。
【0026】
図4に示すように、管理装置39は、認証部としてのユーザ認証部31及び登録部としてのユーザ登録部32として機能する。また、リソース提供装置19のHDD196(図3(b)参照)には、グループ−ユーザテーブル33、ユーザ情報テーブル34、認証ログ35、ユーザ変更ログ36が格納されている。
【0027】
ユーザ認証部31は、アクセス用クライアント21において入力されるユーザ情報を用いて、ユーザの認証を行ったり、認証ログ35を生成したりする。ユーザ登録部32は、ユーザ管理用クライアント22からの指示に基づいて、ユーザの新規登録・削除、グループとの対応付けを行うとともに、ユーザ変更ログ36を生成する。
【0028】
グループ−ユーザテーブル33は、図6(a)に示すように、グループIDと、当該グループIDのグループに属するユーザのユーザIDとを格納する。ユーザ情報テーブル34は、図6(b)に示すように、各ユーザの情報(ユーザID,パスワード、従業員番号、グループID)を格納する。
【0029】
認証ログ35は、図7(a)に示すように、認証日時と、認証を行ったユーザのユーザIDと、認証ができたか否かを示す認証可否と、セッションIDと、を記録する。ユーザ変更ログ36は、ユーザやグループの追加又は削除があった場合の、変更日時と、ユーザIDと、グループIDと、操作(Add(追加)又はDelete(削除))と、を記録する。
【0030】
図8は、図5(a)のアクセスログ18、図7(a)の認証ログ35、図7(b)のユーザ変更ログ36を、ログ統合部15が統合したログ(ユーザ−リソースアクセスログ)である。
【0031】
次に、図9〜図28に基づいて、上記各装置における処理について詳細に説明する。
【0032】
A リソース登録に関する処理
リソース登録に関する処理は、図9のリソース提供用クライアント11、リソース登録部12、及びリソース−グループテーブル17(図9において太線で表示)が関与する処理である。リソース登録に関する処理としては、リソースの新規登録、リソースのグループ変更、リソースの削除、の3つの処理がある。以下、各処理について説明する。
【0033】
(リソースの新規登録)
図10は、リソースの新規登録の処理を示すフローチャートである。この図10に示すように、リソースの新規登録の処理では、まずステップS10において、リソース登録部12が、リソース提供用クライアント11からのリソース新規登録要求を受信する。
【0034】
次いで、ステップS12では、リソース登録部12が、リソース−グループテーブル17にリソースを登録する。次いで、ステップS14では、リソース登録部12が、リソースに対応付けるグループ候補を、リソース提供用クライアント11の表示部(ディスプレイ)に表示する。なお、リソース提供用クライアント11の利用者は、リソース提供用クライアント11上でグループ候補の中からリソースに対応付けるグループを指定する。
【0035】
次いで、ステップS16では、リソース登録部12が、リソース提供用クライアント11上において指示されたグループを、リソースに対応付けてリソース−グループテーブル17に登録する。以上のような処理を経ることで、図5(a)のようなリソース−グループテーブル17に新たなリソースの登録が完了する。
【0036】
(リソースのグループ変更)
次に、リソースのグループ変更の処理について説明する。図11は、リソースのグループ変更の処理を示すフローチャートである。この図11に示すように、リソースのグループ変更の処理では、ステップS20において、リソース登録部12が、リソース提供用クライアント11から、リソースにアクセス可能なグループの変更要求を受信する。
【0037】
次いで、ステップS22では、リソース登録部12が、対応付けるグループ候補をリソース提供用クライアント11の表示部に表示する。なお、リソース提供用クライアント11の利用者は、リソース提供用クライアント11上でグループ候補の中からリソースに対応付けるグループを指定する。
【0038】
次いで、ステップS24では、リソース登録部12が、リソース提供用クライアント11上で指示された変更操作を、リソース−グループテーブル17に反映させる。以上の処理によりリソース−グループテーブル17のリソースのグループ変更が完了する。
【0039】
(リソースの削除)
次に、リソースの削除の処理について説明する。図12は、リソースの削除の処理を示すフローチャートである。図12に示すように、リソースの削除処理では、まず、ステップS30において、リソース登録部12が、リソース提供用クライアント11からのリソース削除要求を受信する。
【0040】
次いで、ステップS32では、リソース登録部12が、削除要求が出されたリソースに対応付けられているグループをリソース提供用クライアント11の表示部に表示し、本当に削除するか否かの確認を行う。なお、リソース提供用クライアント11の利用者は、リソース提供用クライアント11上で削除するグループを指定する。
【0041】
そして、ステップS34では、リソース登録部12が、ステップS32の確認の結果、指定されたリソースをリソース−グループテーブル17から削除する。以上の処理によりリソース−グループテーブル17のリソース削除が完了する。
【0042】
B グループ登録に関する処理
グループ登録に関する処理は、図13のリソース提供用クライアント11、グループ登録部13、リソース−グループテーブル17、及びグループ−ユーザテーブル33(図13において太線で表示)が関与する処理である。グループ登録に関する処理としては、グループの新規登録、グループが操作できるリソースの変更、グループの削除、の3つの処理がある。以下、各処理について説明する。
【0043】
(グループの新規登録)
図14は、グループの新規登録の処理を示すフローチャートである。この図14に示すように、グループの新規登録の処理では、ステップS40において、グループ登録部13が、リソース提供用クライアント11からのグループ新規登録要求を受信する。次いで、ステップS42では、リソース−グループテーブル17にグループを登録する。次いで、ステップS44では、管理装置39のグループ−ユーザテーブル33にグループを登録する。
【0044】
次いで、ステップS46では、グループ登録部13が、対応付けるリソース候補をリソース提供用クライアント11の表示部に表示する。なお、リソース提供用クライアント11の利用者は、リソース提供用クライアント11上でグループに対応付けるリソースを指定する。
【0045】
そして、ステップS48では、グループ登録部13が、リソース提供用クライアント11上で指示されたリソースをグループに対応付け、リソース−グループテーブル17に登録する。以上の処理によりリソース−グループテーブル17へのグループの新規登録が完了する。
【0046】
(グループが操作できるリソースの変更)
図15は、グループが操作できるリソースの変更処理を示すフローチャートである。この図15の処理では、まず、ステップS50において、グループ登録部13が、リソース提供用クライアント11から、グループがアクセス可能なリソースの変更要求を受信する。
【0047】
次いで、ステップS52では、グループ登録部13が、グループに対応付けるリソース候補を、リソース提供用クライアント11の表示部に表示する。なお、リソース提供用クライアント11の利用者は、リソース提供用クライアント11上でグループに対応付ける新たなリソースを指定する。
【0048】
そして、ステップS54では、グループ登録部13が、リソース提供用クライアント11上において指示された変更操作をリソース−グループテーブル17に反映する。以上の処理により、リソース−グループテーブル17におけるグループが操作できるリソースの変更処理が完了する。
【0049】
(グループの削除)
図16は、グループの削除処理を示すフローチャートである。図16に示すように、グループの削除処理では、まずステップS60において、グループ登録部13が、リソース提供用クライアント11からのグループ削除要求を受信する。
【0050】
次いで、ステップS62では、グループ登録部13が、グループに対応付けられているリソースを、リソース提供用クライアント11の表示部に表示し、本当に削除するか否かを確認する。なお、リソース提供用クライアント11の利用者は、リソース提供用クライアント11上で削除するグループを指定する。
【0051】
次いで、ステップS64では、グループ登録部13が、リソース提供用クライアント11において指定されたグループをリソース−グループテーブル17から削除する。また、
ステップS66では、グループ登録部13が、指定されたグループを、グループ−ユーザテーブルから削除する。以上の処理により、リソース−グループテーブル17におけるグループの削除処理が完了する。
【0052】
C ユーザ登録に関する処理
ユーザ登録に関する処理は、図17のユーザ管理用クライアント22、ユーザ登録部32、グループ−ユーザテーブル33、ユーザ情報テーブル34(図17において太線で表示)が関与する処理である。ユーザ登録に関する処理としては、ユーザの新規登録、ユーザのグループ変更、ユーザの削除、の3つの処理がある。以下、各処理について説明する。
【0053】
(ユーザの新規登録)
図18は、ユーザの新規登録処理を示すフローチャートである。この図18の処理では、ステップS70において、ユーザ登録部32が、ユーザ管理用クライアント22からユーザ新規登録要求を受信する。次いで、ステップS71では、ユーザ登録部32が、ユーザID、パスワード、従業員番号などのユーザ情報をユーザ情報テーブル34に登録する。
【0054】
次いで、ステップS72では、ユーザ登録部32が、登録操作をユーザ変更ログに記録する。次いで、ステップS73では、ユーザ登録部32が、ユーザに対応付けるグループ候補を、ユーザ管理用クライアント22の表示部(ディスプレイ)に表示する。なお、ユーザ管理用クライアント22の利用者は、ユーザ管理用クライアント22上でグループ候補の中からユーザに対応付けるグループを指定する。
【0055】
次いで、ステップS74では、ユーザ登録部32が、ユーザ管理用クライアント22上において指定されたグループを、ユーザと対応づけてユーザ情報テーブル34とグループ−ユーザテーブル33に登録する。そして、ステップS75では、ユーザ登録部32が、対応づけ結果を図7(b)のユーザ変更ログ36に記録する。以上によりユーザの新規登録処理が完了する。
【0056】
(ユーザのグループ変更)
図19は、ユーザのグループ変更処理を示すフローチャートである。この図19の処理では、ステップS80において、ユーザ登録部32が、ユーザ管理用クライアント22から、ユーザの所属グループ変更(削除含む)要求を受信する。次いで、ステップS82では、ユーザ登録部32が、対応付けるグループ候補をユーザ管理用クライアント22の表示部に表示する。なお、ユーザ管理用クライアント22の利用者は、ユーザ管理用クライアント22上でユーザに新たに対応付けるグループを指定する。
【0057】
次いで、ステップS84では、ユーザ登録部32が、ユーザ管理用クライアント22上において指定された変更を、ユーザ情報テーブル34とグループ−ユーザテーブル33に反映させる。そして、ステップS86では、ユーザ登録部32が、変更操作を、ユーザ変更ログ36に記録する。以上のようにして、ユーザのグループ変更処理が完了する。
【0058】
(ユーザの削除)
図20は、ユーザの削除処理を示すフローチャートである。この図20の処理では、ステップS90において、ユーザ登録部32が、ユーザ管理用クライアント22からのユーザ削除要求を受信する。
【0059】
次いで、ステップS92では、ユーザ登録部32が、ユーザに対応付けられているグループをユーザ管理用クライアント22の表示部に表示し、本当に削除するか否かを確認する。なお、ユーザ管理用クライアント22の利用者は、ユーザ管理用クライアント22上で削除するユーザを指定する。
【0060】
次いで、ステップS94では、ユーザ登録部32が、ユーザ管理用クライアント22上で指定されたユーザを、ユーザ情報テーブル34とグループ−ユーザテーブル33とから削除する。そして、ステップS96では、ユーザ登録部32は、変更操作をユーザ変更ログ36に記録する。以上のようにしてユーザの削除処理が完了する。なお、ステップS92において削除するユーザが指定されない場合には、ステップS94、S96は行われずに、図20の全処理が終了する。
【0061】
D ユーザ認証に関する処理
ユーザ認証に関する処理は、図21のアクセス用クライアント21、ユーザ認証部31、アクセス制御部14、グループ−ユーザテーブル33、認証ログ35、アクセスログ18(図21において太線で表示)が関与する処理である。ユーザ認証に関する処理は、図22のフローチャートに沿って実行される。
【0062】
図22のステップS100では、ユーザ認証部31が、アクセス用クライアント21からのユーザ認証要求を受信する。次いで、ステップS101では、ユーザ認証部31が、アクセス用クライアント21からの認証情報をユーザ情報テーブル34と照合する。次いで、ステップS101では、ユーザ認証部31が、照合できたか否かを判断する。ここでの判断が肯定された場合には、ステップS103に移行する。
【0063】
ステップS103に移行すると、ユーザ認証部31は、アクセス用クライアント21に対して、認証トークンとしてのセッションIDを発行する。次いで、ステップS104では、ユーザ認証部31は、認証が成功したことを、認証ログ35の認証可否の項目に記録する。
【0064】
次いで、ステップS105では、ユーザ認証部31は、認証成功のメッセージとともに、セッションIDとユーザに割当て済みのすべてのグループIDをアクセス用クライアント21に返信する。
【0065】
そして、ステップS106では、ユーザ認証部31が、セッションIDとグループIDをアクセス制御部14にも送信し、ステップS107では、アクセス制御部14が、セッションIDとグループIDをアクセスログ18に記録する。
【0066】
一方、ステップS101の照合ができず、ステップS102の判断が否定された場合には、ステップS108に移行する。ステップS108では、ユーザ認証部31が、認証を失敗したことを認証ログ35の認証可否の項目に記録する。そして、ステップS109では、認証失敗のメッセージを、アクセス用クライアント21に返信する。以上のようにしてユーザの認証処理が完了する。
【0067】
E リソースの利用に関する処理
ユーザ認証に関する処理は、図23のアクセス用クライアント21、アクセス制御部14、リソースDB16、リソース−グループテーブル、及びアクセスログ18(図23において太線で表示)が関与する処理である。ユーザ認証に関する処理は、図24のフローチャートに沿って実行される。
【0068】
図24の処理では、ステップS110において、アクセス用クライアント21が、セッションIDとグループIDをアクセス制御部14に送信すると、ステップS111では、アクセス制御部14が、セッションIDが有効か否かをアクセスログ18を用いて確認する。
【0069】
次いで、ステップS112では、アクセス制御部14が、有効か否かを判断する。ここでの判断が肯定された場合には、ステップS113に移行する。ステップS113では、アクセス制御部14が、リソース−グループテーブル17を参照し、アクセス可能なリソース一覧をアクセス用クライアント21の表示部に対して表示する。なお、アクセス用クライアント21の利用者は、アクセス用クライアント21上でリソース一覧からリソースを指定する。
【0070】
次いで、ステップS114では、アクセス用クライアント21から送信されるリソースのアクセス要求を、アクセス制御部14が受信すると、アクセス制御部14は、アクセス制御結果をアクセス用クライアント21に送信する。そして、ステップS115では、アクセス制御部14は、アクセス用クライアント21による操作をアクセスログ18に記録して、図24の全処理を終了する。一方、ステップS112の判断が否定された場合には、セッションIDが無効であるので、ステップS115において、アクセス制御部14が、操作(ログイン失敗)をアクセスログ18に記録して、図24の全処理を終了する。
【0071】
F リソース利用状況の一般チェックに関する処理
リソース利用状況の一般チェックに関する処理は、図25のリソース提供用クライアント11、ログ統合部15、アクセスログ18(図25において太線で表示)が関与する処理である。リソース利用状況の一般チェックに関する処理は、図26のフローチャートに沿って実行される。
【0072】
図26の処理では、まず、ステップS120において、ログ統合部15が、リソース提供用クライアント11からの一般チェック要求を受信する。次いで、ステップS122では、ログ統合部15が、アクセスログ18を取得し、リソース提供用クライアント11に返信する。リソース提供用クライアント11においては、返信されたアクセスログ18を表示する。これにより、A社の社員は、リソース利用状況の一般チェックを行うことができる。
【0073】
なお、監査のとき、あるいは、一般チェックによりリソースの利用状況に疑義が生じた場合には、以下に説明するログ統合処理を実行する。
【0074】
G ログ統合に関する処理
ログ統合に関する処理は、図27のリソース提供用クライアント11、ログ統合部15、アクセスログ18、認証ログ35、ユーザ変更ログ36、及びユーザ情報テーブル34(図27において太線で表示)が関与する処理である。ログ統合に関する処理は、図28のフローチャートに沿って実行される。
【0075】
図28の処理では、まず、ステップS130において、ログ統合部15が、リソース提供用クライアント11からのログ統合要求を受信する。次いで、ステップS132では、ログ統合部15が、アクセスログ18、及び認証ログ35を取得し、各ログをマージして、図8に示すユーザ−リソースアクセスログを作成する。
【0076】
次いで、ステップS134では、ログ統合部15が、ユーザ変更ログ36とユーザ情報テーブル34を取得する。そして、ステップS136では、ログ統合部15が、ステップS132で作成したユーザ−リソースアクセスログ(図8)と、ステップS134で取得したユーザ変更ログ36及びユーザ情報テーブル34をリソース提供用クライアント11に返信する。
【0077】
これにより、リソース提供用クライアント11の利用者は、監査などにおいて、上記ログやテーブルを利用することが可能である。ここで、本実施形態では、監査を行わない間は、認証ログ35、ユーザ変更ログ36、及びユーザ情報テーブル34は、仲介者(C社)の管理装置39で管理されている。したがって、A社は、これらのログやテーブルを常時管理することがないため、A社の管理負担は軽減していることになる。
【0078】
以上、詳細に説明したように、本実施形態によると、リソースを格納するリソース提供装置19と、リソース提供装置19に格納されているリソースに対してアクセスするアクセス用クライアント21と、アクセス用クライアント21を利用するユーザのリソースへのアクセス可能範囲を登録するユーザ登録部32、及びアクセス用クライアント21からリソースへアクセスする際にアクセス用クライアント21を利用するユーザの認証を行うユーザ認証部31を有する管理装置39と、を備えているので、リソースを利用するユーザの個人情報(ユーザIDやグループメンバーの情報など)をリソース提供装置19に開示することなく、アクセス用クライアント21からリソース提供装置19にアクセスすることが可能となる。このように、アクセス用クライアント21を有するB社は、リソースを提供するA社に対し、ユーザの個人情報を開示しなくてもよい(秘匿化できる)ので、リソース提供装置の使い勝手がよくなる。また、A社のリソース提供装置19は、リソースを利用するユーザの管理をC社の管理装置39に任せることができるので、A社(リソース提供装置19)におけるユーザ管理負担を低減することができる
【0079】
また、本実施形態では、管理装置39が、ユーザ登録部32で行われた登録に関するログ(ユーザ変更ログ36、ユーザ情報テーブル34)と、ユーザ認証部31で行われた認証に関するログ(認証ログ35)と、を保持しており、リソース提供装置19が、アクセス用クライアント21からのアクセスに関するログ(アクセスログ18)を保持するととともに、登録に関するログ(36,34)及び認証に関するログ(35)を管理装置39から取得して、当該取得したログと前記アクセスに関するログ(18)とを統合するログ統合部15を有している。これにより、ログ統合部15は、例えば、平常時(一般チェック時)においては、アクセスログ18のみを用いて、グループID単位でアクセスに関するチェックを行うことができるとともに、監査対応などの緊急時においては、C社の管理装置39と連携して、統合したユーザ単位の詳細なログを生成することができる。これにより、平常時における、リソース提供装置19のログ管理の負担を軽減することができるとともに、監査時には、従来と同等のログを用いた監査が可能となる。
【0080】
また、本実施形態では、監査装置39のユーザ認証部31は、認証を行ったユーザに対して認証トークン(ユーザIDとパスワード)を発行し、アクセス用クライアント21は、当該認証トークンを用いて、リソース提供装置19のリソースにアクセスするので、管理装置39によるアクセス用クライアント21のアクセス管理を簡易に行うことができる。
【0081】
なお、上記実施形態では、ログをリソース提供装置19及び管理装置39において保持する場合について説明したが、これに限られるものではない。ログの全てを、リソース提供装置19又は管理装置39で保持するようにしてもよい。
【0082】
なお、上記実施形態では、B社のアクセス用クライアント21と、ユーザ管理用クライアント22とが、別々の装置である場合について説明したが、これに限らず、1つの装置であってもよい。また、A社のリソース提供用クライアント11と、リソース提供装置19は、同一の装置であってもよい。
【0083】
なお、上記の処理機能は、コンピュータによって実現することができる。その場合、処理装置が有すべき機能の処理内容を記述したプログラムが提供される。そのプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。
【0084】
プログラムを流通させる場合には、例えば、そのプログラムが記録されたDVD(Digital Versatile Disc)、CD−ROM(Compact Disc Read Only Memory)などの可搬型記録媒体の形態で販売される。また、プログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することもできる。
【0085】
プログラムを実行するコンピュータは、例えば、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、自己の記憶装置に格納する。そして、コンピュータは、自己の記憶装置からプログラムを読み取り、プログラムに従った処理を実行する。なお、コンピュータは、可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することもできる。また、コンピュータは、サーバコンピュータからプログラムが転送されるごとに、逐次、受け取ったプログラムに従った処理を実行することもできる。
【0086】
上述した実施形態は本発明の好適な実施の例である。但し、これに限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々変形実施可能である。
【0087】
なお、以上の説明に関して更に以下の付記を開示する。
(付記1) リソースを格納する第1の装置、前記第1の装置に格納されているリソースに対してアクセスする第2の装置、並びに、前記第2の装置を利用するユーザの前記リソースへのアクセス可能範囲を登録する登録部、及び前記第2の装置から前記リソースへアクセスする際に前記第2の装置を利用するユーザの認証を行う認証部を有する第3の装置を備えるリソース提供システム。
(付記2) 前記第3の装置は、前記登録部で行われた登録に関するログと、前記認証部で行われた認証に関するログと、を保持し、前記第1の装置は、前記第2の装置からのアクセスに関するログを保持するとともに、前記登録に関するログ及び前記認証に関するログを前記第3の装置から取得して、当該取得したログと前記アクセスに関するログとを統合するログ統合部を有することを特徴とする付記1に記載のリソース提供システム。
(付記3) 前記アクセスに関するログは、ユーザを1又は複数含むグループごとのログであり、前記ログ統合部が統合したログは、ユーザごとのログであることを特徴とする付記2に記載のリソース提供システム。
(付記4) 前記第1の装置は、通常においては、前記アクセスに関するログを用いて、リソースの利用状況をチェックし、監査時においては、前記ログ統合部が統合したログを用いて、リソースの利用状況をチェックすることを特徴とする付記2又は3に記載のリソース提供システム。
(付記5) 前記第3の装置の前記認証部は、前記認証を行ったユーザが利用する前記第2の装置に対して認証トークンを発行し、前記第2の装置は、前記認証トークンを用いて、前記第1の装置のリソースにアクセスすることを特徴とする付記1〜4のいずれかに記載のリソース提供システム。
(付記6) リソースを格納する第1の装置と、前記第1の装置に格納されているリソースに対してアクセスする第2の装置と、に接続された第3の装置のコンピュータに実行させるアクセス制御プログラムであって、
前記第2の装置を利用するユーザの前記リソースへのアクセス可能範囲を登録し、
前記第2の装置から前記リソースへアクセスする際に前記第2の装置を利用するユーザの認証を行う処理を、前記コンピュータに実行させることを特徴とするアクセス制御プログラム。
(付記7) 前記認証を行ったユーザが利用する前記第2の装置に対し、前記第1の装置のリソースにアクセスするための認証トークンを発行する処理を前記コンピュータに実行させることを特徴とする付記6に記載のアクセス制御プログラム。
(付記8) リソースを格納する第1の装置と、前記第1の装置に格納されているリソースに対してアクセスする第2の装置と、に接続された第3の装置のコンピュータに実行させるアクセス制御方法であって、
前記第2の装置を利用するユーザの前記リソースへのアクセス可能範囲を登録する工程と、
前記第2の装置から前記リソースへアクセスする際に前記第2の装置を利用するユーザの認証を行う工程と、を前記コンピュータに実行させることを特徴とするアクセス制御方法。
(付記9) 前記認証を行ったユーザが利用する前記第2の装置に対し、前記第1の装置のリソースにアクセスするための認証トークンを発行する工程を前記コンピュータに更に実行させることを特徴とする付記8に記載のアクセス制御方法。
【符号の説明】
【0088】
15 ログ統合部
19 リソース提供装置(第1の装置)
21 アクセス用クライアント(第2の装置)
31 ユーザ認証部(認証部)
32 ユーザ登録部(登録部)
39 管理装置(第3の装置)
【技術分野】
【0001】
本件は、リソース提供システム、アクセス制御プログラム及びアクセス制御方法に関する。
【背景技術】
【0002】
クラウドなどのネットワークサービスシステムにおいて、会社間で共同作業(協業)を行うには、協業で提供するリソース(=共有リソース)の利用方法について詳細な取決めが必要となる。この取決めには、リソースを提携先のどの部門の誰が利用するのかなどの取決めが含まれる。なお、リソースには、データやプログラムなどが含まれ、例えばツールのソースコード、バイナリコード、アプリケーションプログラムに基づくweb画面(画面表示を行わせるためのデータなど)などが含まれる。
【0003】
また、例えば1つの会社(A社とする)のリソースを別の会社(B社)が共有するような場合、A社は、リソースの共有に必要なすべての機能を用意しなければならない。
【0004】
なお、上記のような技術に関し、特許文献1、2のような技術が開示されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2000−330847号公報
【特許文献2】特開2004−171255号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、上記特許文献1、2のような技術を用いても、上述したA社(リソース提供者)がB社のユーザを管理する必要があるため、A社の管理負担及び管理コストが大きくなるおそれがある。また、部署の異動などのたびにB社はA社に対してユーザの変更依頼をする必要がある。また、B社の個々の従業員の情報がA社に知られてしまうおそれもある。
【0007】
そこで本件は上記の課題に鑑みてなされたものであり、リソースを利用するユーザの個人情報をリソースを提供する装置(第1の装置)に開示せず、かつ、第1の装置におけるユーザ管理負担を低減することが可能なリソース提供システムを提供することを目的とする。また、リソースを利用するユーザの個人情報をリソースを提供する装置(第1の装置)に開示せず、かつ、第1の装置におけるユーザ管理負担を低減することが可能なアクセス制御プログラム及びアクセス制御方法を提供することを目的とする。
【課題を解決するための手段】
【0008】
本明細書に記載のリソース提供システムは、リソースを格納する第1の装置、前記第1の装置に格納されているリソースに対してアクセスする第2の装置、並びに、前記第2の装置を利用するユーザの前記リソースへのアクセス可能範囲を登録する登録部、及び前記第2の装置から前記リソースへアクセスする際に前記第2の装置を利用するユーザの認証を行う認証部を有する第3の装置、を備えるリソース提供システムである。
【0009】
本明細書に記載のアクセス制御プログラムは、リソースを格納する第1の装置と、前記第1の装置に格納されているリソースに対してアクセスする第2の装置と、に接続された第3の装置のコンピュータに実行させるアクセス制御プログラムであって、前記第2の装置を利用するユーザの前記リソースへのアクセス可能範囲を登録し、前記第2の装置から前記リソースへアクセスする際に前記第2の装置を利用するユーザの認証を行う処理を、前記コンピュータに実行させるアクセス制御プログラムである。
【0010】
本明細書に記載のアクセス制御方法は、リソースを格納する第1の装置と、前記第1の装置に格納されているリソースに対してアクセスする第2の装置と、に接続された第3の装置のコンピュータに実行させるアクセス制御方法であって、前記第2の装置を利用するユーザの前記リソースへのアクセス可能範囲を登録する工程と、前記第2の装置から前記リソースへアクセスする際に前記第2の装置を利用するユーザの認証を行う工程と、を前記コンピュータに実行させるアクセス制御方法である。
【発明の効果】
【0011】
本明細書に記載のリソース提供システムは、リソースを利用するユーザの個人情報をリソースを提供する装置(第1の装置)に開示せず、かつ、第1の装置におけるユーザ管理負担を低減することができるという効果を奏する。また、本明細書に記載のアクセス制御プログラム及びアクセス制御方法は、リソースを利用するユーザの個人情報をリソースを提供する装置(第1の装置)に開示せず、かつ、第1の装置におけるユーザ管理負担を低減することができるという効果を奏する。
【図面の簡単な説明】
【0012】
【図1】一実施形態に係るリソース提供システムの構成を概略的に示す図である。
【図2】一実施形態に係るリソース提供システムに含まれる各者が有する装置を示す図である。
【図3】図3(a)は、リソース提供装置のハードウェア構成を示す図であり、図3(b)は、管理装置のハードウェア構成を示す図である。
【図4】図2の装置の機能ブロック図である。
【図5】図5(a)は、リソース−グループテーブルを示す図であり、図5(b)は、アクセスログを示す図である。
【図6】図6(a)は、グループ−ユーザテーブルを示す図であり、図6(b)は、ユーザ情報テーブルを示す図である。
【図7】図7(a)は、認証ログを示す図であり、図7(b)は、ユーザ変更ログを示す図である。
【図8】ユーザ−リソースアクセスログを示す図である。
【図9】リソース登録に関する処理において機能する部分を太線にて示す図である。
【図10】リソースの新規登録処理を示すフローチャートである。
【図11】リソースのグループ変更処理を示すフローチャートである。
【図12】リソースの削除処理を示すフローチャートである。
【図13】グループ登録処理において機能する部分を太線にて示す図である。
【図14】グループの新規登録処理を示すフローチャートである。
【図15】グループが操作できるリソースの変更処理を示すフローチャートである。
【図16】グループの削除処理を示すフローチャートである。
【図17】ユーザ登録に関する処理において機能する部分を太線にて示す図である。
【図18】ユーザの新規登録処理を示すフローチャートである。
【図19】ユーザのグループ変更処理を示すフローチャートである。
【図20】ユーザの削除処理を示すフローチャートである。
【図21】ユーザ認証に関する処理において機能する部分を太線にて示す図である。
【図22】ユーザ認証処理を示すフローチャートである。
【図23】リソースの利用に関する処理において機能する部分を太線にて示す図である。
【図24】リソースの利用処理を示すフローチャートである。
【図25】リソースの利用状況の一般チェックに関する処理において機能する部分を太線にて示す図である。
【図26】リソース利用状況の一般チェック処理を示すフローチャートである。
【図27】ログ統合に関する処理において機能する部分を太線にて示す図である。
【図28】ログ統合処理を示すフローチャートである。
【発明を実施するための形態】
【0013】
以下、一実施形態について、図1〜図28に基づいて詳細に説明する。図1には、リソース提供システム100の構成が概略的に示されている。
【0014】
図1に示すようにリソース提供システム100は、リソース提供者(ここでは、A社とする)10が有する装置と、リソース利用者(B社とする)が有する装置と、仲介者(C社とする)が有する装置と、を備える。これら、各会社の装置は、それぞれインターネット等のネットワーク80に接続されている。
【0015】
リソース提供者(A社)10は、図2に示すように、リソース提供用クライアント11と、第1の装置としてのリソース提供装置19と、を有する。リソース利用者(B社)20は、第2の装置としてのアクセス用クライアント21と、ユーザ管理用クライアント22と、を有する。また、仲介者(C社)は、第3の装置としての管理装置39を有する。
【0016】
リソース提供用クライアント11は、リソース提供装置19に対してユーザが操作を行うためのユーザインタフェースの役割を持つ装置である。このリソース提供用クライアント11には、表示部(ディスプレイ)やキーボードやマウスなどの入力装置が設けられている。リソース提供装置19は、リソースを格納しており、B社のアクセス用クライアント21に対して、リソースを提供する。
【0017】
図3(a)には、リソース提供装置19のハードウェア構成が示されている。図3(a)に示すように、リソース提供装置19は、CPU90、ROM92、RAM94、記憶部(ここではHDD(Hard Disk Drive))96、及び可搬型記憶媒体用ドライブ99等を備えており、各部は、バス98に接続されている。リソース提供装置19では、ROM92又はHDD96に格納されているプログラム、あるいはドライブ99が読み取った可搬型記憶媒体91に記憶されているプログラムを、CPU90が実行することにより、図4の各部の機能が実現される。
また、記憶部96や可搬記憶媒体91には、各種のテーブル、データベース、ログ等のデータを記憶することができる。
【0018】
図4に示すように、リソース提供装置19は、リソース登録部12、グループ登録部13、アクセス制御部14、及びログ統合部15として機能する。また、リソース提供装置19のHDD96(図3(a)参照)には、リソースDB16、リソース−グループテーブル17、及びアクセスログ18が格納されている。なお、本明細書及び図面中では、「データベース」を適宜「DB」と表記する。
【0019】
リソース登録部12は、リソース提供用クライアント11からの指示(要求)に基づいて、リソースをリソースDB16に新規登録・削除したり、リソースと当該リソースを利用可能なグループとの対応付けを行ったりする。すなわち、各ユーザのアクセス可能範囲を登録する。ここで、リソースは、データ、ツールのソース、バイナリ、アプリケーションのweb画面などを含んでいる。
【0020】
グループ登録部13は、リソースを利用可能なグループの新規登録・削除、及びリソースとの対応付けを行う。アクセス制御部14は、リソースに対するアクセス用クライアント21からのアクセス要求の制御や、アクセスログの出力を行う。ログ統合部15は、各種ログの取得及び統合を行う。なお、統合は、監査時に行われるものとし、ログ統合部15は、当該統合されたログから、更に、必要なデータを作成する。
【0021】
リソースDB16は、リソースを、リソースIDと関連付けて記憶する。リソース−グループテーブル17は、図5(a)に示すようなデータ構造を有する。具体的には、リソース−グループテーブル17は、リソースIDと、当該リソースIDのリソースを利用可能なグループIDとを関連付けて記憶する。
【0022】
アクセスログ18は、リソースに対するアクセス状況を記録するログである。具体的には、図5(b)に示すように、アクセス日時、セッションID、グループID,リソースID、及び操作の項目を有する。操作の項目には、Login、Read、Write、Executeなどが入力される。
【0023】
図2に戻り、B社が有するアクセス用クライアント21は、管理装置39のユーザ認証部31(後述)に対してユーザが操作を行うためのユーザインタフェースの役割を持つ装置であるとともに、リソース提供装置19に格納されているリソースを利用するための端末である。なお、アクセス用クライアント21は複数存在していてもよい。また、1又は複数のアクセス用クライアント21のユーザは複数存在しているものとする。
【0024】
ユーザ管理用クライアント22は、管理装置39のユーザ登録部32(後述)に対してユーザが操作を行うためのユーザインタフェースの役割を持つ装置である。このユーザ管理用クライアント22には、表示部(ディスプレイ)やキーボードやマウスなどの入力装置が設けられている。なお、ユーザ管理用クライアント22は、複数存在していてもよい。また、アクセス用クライアントと同一装置とすることも可能である。
【0025】
C社が有する管理装置39は、図3(b)に示すようなハードウェア構成を有している。この図3(b)に示すように、管理装置39は、CPU190、ROM192、RAM194、記憶部(ここではHDD(Hard Disk Drive))196、及び可搬型記憶媒体用ドライブ199等を備えており、各部は、バス198に接続されている。管理装置39では、ROM192又はHDD196に格納されているプログラム、あるいはドライブ199が読み取った可搬型記憶媒体191に記憶されているプログラムを、CPU190が実行することにより、図4の各部の機能が実現される。
また、記憶部196や可搬型記憶媒体191には、各種のテーブル、データベース、ログ等のデータを記憶することができる。
【0026】
図4に示すように、管理装置39は、認証部としてのユーザ認証部31及び登録部としてのユーザ登録部32として機能する。また、リソース提供装置19のHDD196(図3(b)参照)には、グループ−ユーザテーブル33、ユーザ情報テーブル34、認証ログ35、ユーザ変更ログ36が格納されている。
【0027】
ユーザ認証部31は、アクセス用クライアント21において入力されるユーザ情報を用いて、ユーザの認証を行ったり、認証ログ35を生成したりする。ユーザ登録部32は、ユーザ管理用クライアント22からの指示に基づいて、ユーザの新規登録・削除、グループとの対応付けを行うとともに、ユーザ変更ログ36を生成する。
【0028】
グループ−ユーザテーブル33は、図6(a)に示すように、グループIDと、当該グループIDのグループに属するユーザのユーザIDとを格納する。ユーザ情報テーブル34は、図6(b)に示すように、各ユーザの情報(ユーザID,パスワード、従業員番号、グループID)を格納する。
【0029】
認証ログ35は、図7(a)に示すように、認証日時と、認証を行ったユーザのユーザIDと、認証ができたか否かを示す認証可否と、セッションIDと、を記録する。ユーザ変更ログ36は、ユーザやグループの追加又は削除があった場合の、変更日時と、ユーザIDと、グループIDと、操作(Add(追加)又はDelete(削除))と、を記録する。
【0030】
図8は、図5(a)のアクセスログ18、図7(a)の認証ログ35、図7(b)のユーザ変更ログ36を、ログ統合部15が統合したログ(ユーザ−リソースアクセスログ)である。
【0031】
次に、図9〜図28に基づいて、上記各装置における処理について詳細に説明する。
【0032】
A リソース登録に関する処理
リソース登録に関する処理は、図9のリソース提供用クライアント11、リソース登録部12、及びリソース−グループテーブル17(図9において太線で表示)が関与する処理である。リソース登録に関する処理としては、リソースの新規登録、リソースのグループ変更、リソースの削除、の3つの処理がある。以下、各処理について説明する。
【0033】
(リソースの新規登録)
図10は、リソースの新規登録の処理を示すフローチャートである。この図10に示すように、リソースの新規登録の処理では、まずステップS10において、リソース登録部12が、リソース提供用クライアント11からのリソース新規登録要求を受信する。
【0034】
次いで、ステップS12では、リソース登録部12が、リソース−グループテーブル17にリソースを登録する。次いで、ステップS14では、リソース登録部12が、リソースに対応付けるグループ候補を、リソース提供用クライアント11の表示部(ディスプレイ)に表示する。なお、リソース提供用クライアント11の利用者は、リソース提供用クライアント11上でグループ候補の中からリソースに対応付けるグループを指定する。
【0035】
次いで、ステップS16では、リソース登録部12が、リソース提供用クライアント11上において指示されたグループを、リソースに対応付けてリソース−グループテーブル17に登録する。以上のような処理を経ることで、図5(a)のようなリソース−グループテーブル17に新たなリソースの登録が完了する。
【0036】
(リソースのグループ変更)
次に、リソースのグループ変更の処理について説明する。図11は、リソースのグループ変更の処理を示すフローチャートである。この図11に示すように、リソースのグループ変更の処理では、ステップS20において、リソース登録部12が、リソース提供用クライアント11から、リソースにアクセス可能なグループの変更要求を受信する。
【0037】
次いで、ステップS22では、リソース登録部12が、対応付けるグループ候補をリソース提供用クライアント11の表示部に表示する。なお、リソース提供用クライアント11の利用者は、リソース提供用クライアント11上でグループ候補の中からリソースに対応付けるグループを指定する。
【0038】
次いで、ステップS24では、リソース登録部12が、リソース提供用クライアント11上で指示された変更操作を、リソース−グループテーブル17に反映させる。以上の処理によりリソース−グループテーブル17のリソースのグループ変更が完了する。
【0039】
(リソースの削除)
次に、リソースの削除の処理について説明する。図12は、リソースの削除の処理を示すフローチャートである。図12に示すように、リソースの削除処理では、まず、ステップS30において、リソース登録部12が、リソース提供用クライアント11からのリソース削除要求を受信する。
【0040】
次いで、ステップS32では、リソース登録部12が、削除要求が出されたリソースに対応付けられているグループをリソース提供用クライアント11の表示部に表示し、本当に削除するか否かの確認を行う。なお、リソース提供用クライアント11の利用者は、リソース提供用クライアント11上で削除するグループを指定する。
【0041】
そして、ステップS34では、リソース登録部12が、ステップS32の確認の結果、指定されたリソースをリソース−グループテーブル17から削除する。以上の処理によりリソース−グループテーブル17のリソース削除が完了する。
【0042】
B グループ登録に関する処理
グループ登録に関する処理は、図13のリソース提供用クライアント11、グループ登録部13、リソース−グループテーブル17、及びグループ−ユーザテーブル33(図13において太線で表示)が関与する処理である。グループ登録に関する処理としては、グループの新規登録、グループが操作できるリソースの変更、グループの削除、の3つの処理がある。以下、各処理について説明する。
【0043】
(グループの新規登録)
図14は、グループの新規登録の処理を示すフローチャートである。この図14に示すように、グループの新規登録の処理では、ステップS40において、グループ登録部13が、リソース提供用クライアント11からのグループ新規登録要求を受信する。次いで、ステップS42では、リソース−グループテーブル17にグループを登録する。次いで、ステップS44では、管理装置39のグループ−ユーザテーブル33にグループを登録する。
【0044】
次いで、ステップS46では、グループ登録部13が、対応付けるリソース候補をリソース提供用クライアント11の表示部に表示する。なお、リソース提供用クライアント11の利用者は、リソース提供用クライアント11上でグループに対応付けるリソースを指定する。
【0045】
そして、ステップS48では、グループ登録部13が、リソース提供用クライアント11上で指示されたリソースをグループに対応付け、リソース−グループテーブル17に登録する。以上の処理によりリソース−グループテーブル17へのグループの新規登録が完了する。
【0046】
(グループが操作できるリソースの変更)
図15は、グループが操作できるリソースの変更処理を示すフローチャートである。この図15の処理では、まず、ステップS50において、グループ登録部13が、リソース提供用クライアント11から、グループがアクセス可能なリソースの変更要求を受信する。
【0047】
次いで、ステップS52では、グループ登録部13が、グループに対応付けるリソース候補を、リソース提供用クライアント11の表示部に表示する。なお、リソース提供用クライアント11の利用者は、リソース提供用クライアント11上でグループに対応付ける新たなリソースを指定する。
【0048】
そして、ステップS54では、グループ登録部13が、リソース提供用クライアント11上において指示された変更操作をリソース−グループテーブル17に反映する。以上の処理により、リソース−グループテーブル17におけるグループが操作できるリソースの変更処理が完了する。
【0049】
(グループの削除)
図16は、グループの削除処理を示すフローチャートである。図16に示すように、グループの削除処理では、まずステップS60において、グループ登録部13が、リソース提供用クライアント11からのグループ削除要求を受信する。
【0050】
次いで、ステップS62では、グループ登録部13が、グループに対応付けられているリソースを、リソース提供用クライアント11の表示部に表示し、本当に削除するか否かを確認する。なお、リソース提供用クライアント11の利用者は、リソース提供用クライアント11上で削除するグループを指定する。
【0051】
次いで、ステップS64では、グループ登録部13が、リソース提供用クライアント11において指定されたグループをリソース−グループテーブル17から削除する。また、
ステップS66では、グループ登録部13が、指定されたグループを、グループ−ユーザテーブルから削除する。以上の処理により、リソース−グループテーブル17におけるグループの削除処理が完了する。
【0052】
C ユーザ登録に関する処理
ユーザ登録に関する処理は、図17のユーザ管理用クライアント22、ユーザ登録部32、グループ−ユーザテーブル33、ユーザ情報テーブル34(図17において太線で表示)が関与する処理である。ユーザ登録に関する処理としては、ユーザの新規登録、ユーザのグループ変更、ユーザの削除、の3つの処理がある。以下、各処理について説明する。
【0053】
(ユーザの新規登録)
図18は、ユーザの新規登録処理を示すフローチャートである。この図18の処理では、ステップS70において、ユーザ登録部32が、ユーザ管理用クライアント22からユーザ新規登録要求を受信する。次いで、ステップS71では、ユーザ登録部32が、ユーザID、パスワード、従業員番号などのユーザ情報をユーザ情報テーブル34に登録する。
【0054】
次いで、ステップS72では、ユーザ登録部32が、登録操作をユーザ変更ログに記録する。次いで、ステップS73では、ユーザ登録部32が、ユーザに対応付けるグループ候補を、ユーザ管理用クライアント22の表示部(ディスプレイ)に表示する。なお、ユーザ管理用クライアント22の利用者は、ユーザ管理用クライアント22上でグループ候補の中からユーザに対応付けるグループを指定する。
【0055】
次いで、ステップS74では、ユーザ登録部32が、ユーザ管理用クライアント22上において指定されたグループを、ユーザと対応づけてユーザ情報テーブル34とグループ−ユーザテーブル33に登録する。そして、ステップS75では、ユーザ登録部32が、対応づけ結果を図7(b)のユーザ変更ログ36に記録する。以上によりユーザの新規登録処理が完了する。
【0056】
(ユーザのグループ変更)
図19は、ユーザのグループ変更処理を示すフローチャートである。この図19の処理では、ステップS80において、ユーザ登録部32が、ユーザ管理用クライアント22から、ユーザの所属グループ変更(削除含む)要求を受信する。次いで、ステップS82では、ユーザ登録部32が、対応付けるグループ候補をユーザ管理用クライアント22の表示部に表示する。なお、ユーザ管理用クライアント22の利用者は、ユーザ管理用クライアント22上でユーザに新たに対応付けるグループを指定する。
【0057】
次いで、ステップS84では、ユーザ登録部32が、ユーザ管理用クライアント22上において指定された変更を、ユーザ情報テーブル34とグループ−ユーザテーブル33に反映させる。そして、ステップS86では、ユーザ登録部32が、変更操作を、ユーザ変更ログ36に記録する。以上のようにして、ユーザのグループ変更処理が完了する。
【0058】
(ユーザの削除)
図20は、ユーザの削除処理を示すフローチャートである。この図20の処理では、ステップS90において、ユーザ登録部32が、ユーザ管理用クライアント22からのユーザ削除要求を受信する。
【0059】
次いで、ステップS92では、ユーザ登録部32が、ユーザに対応付けられているグループをユーザ管理用クライアント22の表示部に表示し、本当に削除するか否かを確認する。なお、ユーザ管理用クライアント22の利用者は、ユーザ管理用クライアント22上で削除するユーザを指定する。
【0060】
次いで、ステップS94では、ユーザ登録部32が、ユーザ管理用クライアント22上で指定されたユーザを、ユーザ情報テーブル34とグループ−ユーザテーブル33とから削除する。そして、ステップS96では、ユーザ登録部32は、変更操作をユーザ変更ログ36に記録する。以上のようにしてユーザの削除処理が完了する。なお、ステップS92において削除するユーザが指定されない場合には、ステップS94、S96は行われずに、図20の全処理が終了する。
【0061】
D ユーザ認証に関する処理
ユーザ認証に関する処理は、図21のアクセス用クライアント21、ユーザ認証部31、アクセス制御部14、グループ−ユーザテーブル33、認証ログ35、アクセスログ18(図21において太線で表示)が関与する処理である。ユーザ認証に関する処理は、図22のフローチャートに沿って実行される。
【0062】
図22のステップS100では、ユーザ認証部31が、アクセス用クライアント21からのユーザ認証要求を受信する。次いで、ステップS101では、ユーザ認証部31が、アクセス用クライアント21からの認証情報をユーザ情報テーブル34と照合する。次いで、ステップS101では、ユーザ認証部31が、照合できたか否かを判断する。ここでの判断が肯定された場合には、ステップS103に移行する。
【0063】
ステップS103に移行すると、ユーザ認証部31は、アクセス用クライアント21に対して、認証トークンとしてのセッションIDを発行する。次いで、ステップS104では、ユーザ認証部31は、認証が成功したことを、認証ログ35の認証可否の項目に記録する。
【0064】
次いで、ステップS105では、ユーザ認証部31は、認証成功のメッセージとともに、セッションIDとユーザに割当て済みのすべてのグループIDをアクセス用クライアント21に返信する。
【0065】
そして、ステップS106では、ユーザ認証部31が、セッションIDとグループIDをアクセス制御部14にも送信し、ステップS107では、アクセス制御部14が、セッションIDとグループIDをアクセスログ18に記録する。
【0066】
一方、ステップS101の照合ができず、ステップS102の判断が否定された場合には、ステップS108に移行する。ステップS108では、ユーザ認証部31が、認証を失敗したことを認証ログ35の認証可否の項目に記録する。そして、ステップS109では、認証失敗のメッセージを、アクセス用クライアント21に返信する。以上のようにしてユーザの認証処理が完了する。
【0067】
E リソースの利用に関する処理
ユーザ認証に関する処理は、図23のアクセス用クライアント21、アクセス制御部14、リソースDB16、リソース−グループテーブル、及びアクセスログ18(図23において太線で表示)が関与する処理である。ユーザ認証に関する処理は、図24のフローチャートに沿って実行される。
【0068】
図24の処理では、ステップS110において、アクセス用クライアント21が、セッションIDとグループIDをアクセス制御部14に送信すると、ステップS111では、アクセス制御部14が、セッションIDが有効か否かをアクセスログ18を用いて確認する。
【0069】
次いで、ステップS112では、アクセス制御部14が、有効か否かを判断する。ここでの判断が肯定された場合には、ステップS113に移行する。ステップS113では、アクセス制御部14が、リソース−グループテーブル17を参照し、アクセス可能なリソース一覧をアクセス用クライアント21の表示部に対して表示する。なお、アクセス用クライアント21の利用者は、アクセス用クライアント21上でリソース一覧からリソースを指定する。
【0070】
次いで、ステップS114では、アクセス用クライアント21から送信されるリソースのアクセス要求を、アクセス制御部14が受信すると、アクセス制御部14は、アクセス制御結果をアクセス用クライアント21に送信する。そして、ステップS115では、アクセス制御部14は、アクセス用クライアント21による操作をアクセスログ18に記録して、図24の全処理を終了する。一方、ステップS112の判断が否定された場合には、セッションIDが無効であるので、ステップS115において、アクセス制御部14が、操作(ログイン失敗)をアクセスログ18に記録して、図24の全処理を終了する。
【0071】
F リソース利用状況の一般チェックに関する処理
リソース利用状況の一般チェックに関する処理は、図25のリソース提供用クライアント11、ログ統合部15、アクセスログ18(図25において太線で表示)が関与する処理である。リソース利用状況の一般チェックに関する処理は、図26のフローチャートに沿って実行される。
【0072】
図26の処理では、まず、ステップS120において、ログ統合部15が、リソース提供用クライアント11からの一般チェック要求を受信する。次いで、ステップS122では、ログ統合部15が、アクセスログ18を取得し、リソース提供用クライアント11に返信する。リソース提供用クライアント11においては、返信されたアクセスログ18を表示する。これにより、A社の社員は、リソース利用状況の一般チェックを行うことができる。
【0073】
なお、監査のとき、あるいは、一般チェックによりリソースの利用状況に疑義が生じた場合には、以下に説明するログ統合処理を実行する。
【0074】
G ログ統合に関する処理
ログ統合に関する処理は、図27のリソース提供用クライアント11、ログ統合部15、アクセスログ18、認証ログ35、ユーザ変更ログ36、及びユーザ情報テーブル34(図27において太線で表示)が関与する処理である。ログ統合に関する処理は、図28のフローチャートに沿って実行される。
【0075】
図28の処理では、まず、ステップS130において、ログ統合部15が、リソース提供用クライアント11からのログ統合要求を受信する。次いで、ステップS132では、ログ統合部15が、アクセスログ18、及び認証ログ35を取得し、各ログをマージして、図8に示すユーザ−リソースアクセスログを作成する。
【0076】
次いで、ステップS134では、ログ統合部15が、ユーザ変更ログ36とユーザ情報テーブル34を取得する。そして、ステップS136では、ログ統合部15が、ステップS132で作成したユーザ−リソースアクセスログ(図8)と、ステップS134で取得したユーザ変更ログ36及びユーザ情報テーブル34をリソース提供用クライアント11に返信する。
【0077】
これにより、リソース提供用クライアント11の利用者は、監査などにおいて、上記ログやテーブルを利用することが可能である。ここで、本実施形態では、監査を行わない間は、認証ログ35、ユーザ変更ログ36、及びユーザ情報テーブル34は、仲介者(C社)の管理装置39で管理されている。したがって、A社は、これらのログやテーブルを常時管理することがないため、A社の管理負担は軽減していることになる。
【0078】
以上、詳細に説明したように、本実施形態によると、リソースを格納するリソース提供装置19と、リソース提供装置19に格納されているリソースに対してアクセスするアクセス用クライアント21と、アクセス用クライアント21を利用するユーザのリソースへのアクセス可能範囲を登録するユーザ登録部32、及びアクセス用クライアント21からリソースへアクセスする際にアクセス用クライアント21を利用するユーザの認証を行うユーザ認証部31を有する管理装置39と、を備えているので、リソースを利用するユーザの個人情報(ユーザIDやグループメンバーの情報など)をリソース提供装置19に開示することなく、アクセス用クライアント21からリソース提供装置19にアクセスすることが可能となる。このように、アクセス用クライアント21を有するB社は、リソースを提供するA社に対し、ユーザの個人情報を開示しなくてもよい(秘匿化できる)ので、リソース提供装置の使い勝手がよくなる。また、A社のリソース提供装置19は、リソースを利用するユーザの管理をC社の管理装置39に任せることができるので、A社(リソース提供装置19)におけるユーザ管理負担を低減することができる
【0079】
また、本実施形態では、管理装置39が、ユーザ登録部32で行われた登録に関するログ(ユーザ変更ログ36、ユーザ情報テーブル34)と、ユーザ認証部31で行われた認証に関するログ(認証ログ35)と、を保持しており、リソース提供装置19が、アクセス用クライアント21からのアクセスに関するログ(アクセスログ18)を保持するととともに、登録に関するログ(36,34)及び認証に関するログ(35)を管理装置39から取得して、当該取得したログと前記アクセスに関するログ(18)とを統合するログ統合部15を有している。これにより、ログ統合部15は、例えば、平常時(一般チェック時)においては、アクセスログ18のみを用いて、グループID単位でアクセスに関するチェックを行うことができるとともに、監査対応などの緊急時においては、C社の管理装置39と連携して、統合したユーザ単位の詳細なログを生成することができる。これにより、平常時における、リソース提供装置19のログ管理の負担を軽減することができるとともに、監査時には、従来と同等のログを用いた監査が可能となる。
【0080】
また、本実施形態では、監査装置39のユーザ認証部31は、認証を行ったユーザに対して認証トークン(ユーザIDとパスワード)を発行し、アクセス用クライアント21は、当該認証トークンを用いて、リソース提供装置19のリソースにアクセスするので、管理装置39によるアクセス用クライアント21のアクセス管理を簡易に行うことができる。
【0081】
なお、上記実施形態では、ログをリソース提供装置19及び管理装置39において保持する場合について説明したが、これに限られるものではない。ログの全てを、リソース提供装置19又は管理装置39で保持するようにしてもよい。
【0082】
なお、上記実施形態では、B社のアクセス用クライアント21と、ユーザ管理用クライアント22とが、別々の装置である場合について説明したが、これに限らず、1つの装置であってもよい。また、A社のリソース提供用クライアント11と、リソース提供装置19は、同一の装置であってもよい。
【0083】
なお、上記の処理機能は、コンピュータによって実現することができる。その場合、処理装置が有すべき機能の処理内容を記述したプログラムが提供される。そのプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。
【0084】
プログラムを流通させる場合には、例えば、そのプログラムが記録されたDVD(Digital Versatile Disc)、CD−ROM(Compact Disc Read Only Memory)などの可搬型記録媒体の形態で販売される。また、プログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することもできる。
【0085】
プログラムを実行するコンピュータは、例えば、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、自己の記憶装置に格納する。そして、コンピュータは、自己の記憶装置からプログラムを読み取り、プログラムに従った処理を実行する。なお、コンピュータは、可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することもできる。また、コンピュータは、サーバコンピュータからプログラムが転送されるごとに、逐次、受け取ったプログラムに従った処理を実行することもできる。
【0086】
上述した実施形態は本発明の好適な実施の例である。但し、これに限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々変形実施可能である。
【0087】
なお、以上の説明に関して更に以下の付記を開示する。
(付記1) リソースを格納する第1の装置、前記第1の装置に格納されているリソースに対してアクセスする第2の装置、並びに、前記第2の装置を利用するユーザの前記リソースへのアクセス可能範囲を登録する登録部、及び前記第2の装置から前記リソースへアクセスする際に前記第2の装置を利用するユーザの認証を行う認証部を有する第3の装置を備えるリソース提供システム。
(付記2) 前記第3の装置は、前記登録部で行われた登録に関するログと、前記認証部で行われた認証に関するログと、を保持し、前記第1の装置は、前記第2の装置からのアクセスに関するログを保持するとともに、前記登録に関するログ及び前記認証に関するログを前記第3の装置から取得して、当該取得したログと前記アクセスに関するログとを統合するログ統合部を有することを特徴とする付記1に記載のリソース提供システム。
(付記3) 前記アクセスに関するログは、ユーザを1又は複数含むグループごとのログであり、前記ログ統合部が統合したログは、ユーザごとのログであることを特徴とする付記2に記載のリソース提供システム。
(付記4) 前記第1の装置は、通常においては、前記アクセスに関するログを用いて、リソースの利用状況をチェックし、監査時においては、前記ログ統合部が統合したログを用いて、リソースの利用状況をチェックすることを特徴とする付記2又は3に記載のリソース提供システム。
(付記5) 前記第3の装置の前記認証部は、前記認証を行ったユーザが利用する前記第2の装置に対して認証トークンを発行し、前記第2の装置は、前記認証トークンを用いて、前記第1の装置のリソースにアクセスすることを特徴とする付記1〜4のいずれかに記載のリソース提供システム。
(付記6) リソースを格納する第1の装置と、前記第1の装置に格納されているリソースに対してアクセスする第2の装置と、に接続された第3の装置のコンピュータに実行させるアクセス制御プログラムであって、
前記第2の装置を利用するユーザの前記リソースへのアクセス可能範囲を登録し、
前記第2の装置から前記リソースへアクセスする際に前記第2の装置を利用するユーザの認証を行う処理を、前記コンピュータに実行させることを特徴とするアクセス制御プログラム。
(付記7) 前記認証を行ったユーザが利用する前記第2の装置に対し、前記第1の装置のリソースにアクセスするための認証トークンを発行する処理を前記コンピュータに実行させることを特徴とする付記6に記載のアクセス制御プログラム。
(付記8) リソースを格納する第1の装置と、前記第1の装置に格納されているリソースに対してアクセスする第2の装置と、に接続された第3の装置のコンピュータに実行させるアクセス制御方法であって、
前記第2の装置を利用するユーザの前記リソースへのアクセス可能範囲を登録する工程と、
前記第2の装置から前記リソースへアクセスする際に前記第2の装置を利用するユーザの認証を行う工程と、を前記コンピュータに実行させることを特徴とするアクセス制御方法。
(付記9) 前記認証を行ったユーザが利用する前記第2の装置に対し、前記第1の装置のリソースにアクセスするための認証トークンを発行する工程を前記コンピュータに更に実行させることを特徴とする付記8に記載のアクセス制御方法。
【符号の説明】
【0088】
15 ログ統合部
19 リソース提供装置(第1の装置)
21 アクセス用クライアント(第2の装置)
31 ユーザ認証部(認証部)
32 ユーザ登録部(登録部)
39 管理装置(第3の装置)
【特許請求の範囲】
【請求項1】
リソースを格納する第1の装置、
前記第1の装置に格納されているリソースに対してアクセスする第2の装置、並びに、
前記第2の装置を利用するユーザの前記リソースへのアクセス可能範囲を登録する登録部、及び前記第2の装置から前記リソースへアクセスする際に前記第2の装置を利用するユーザの認証を行う認証部を有する第3の装置、を備えるリソース提供システム。
【請求項2】
前記第3の装置は、前記登録部で行われた登録に関するログと、前記認証部で行われた認証に関するログと、を保持し、
前記第1の装置は、前記第2の装置からのアクセスに関するログを保持するとともに、前記登録に関するログ及び前記認証に関するログを前記第3の装置から取得して、当該取得したログと前記アクセスに関するログとを統合するログ統合部を有することを特徴とする請求項1に記載のリソース提供システム。
【請求項3】
前記第3の装置の前記認証部は、前記認証を行ったユーザに対して認証トークンを発行し、
前記第2の装置は、前記認証トークンを用いて、前記第1の装置のリソースにアクセスすることを特徴とする請求項1又は2に記載のリソース提供システム。
【請求項4】
リソースを格納する第1の装置と、前記第1の装置に格納されているリソースに対してアクセスする第2の装置と、に接続された第3の装置のコンピュータに実行させるアクセス制御プログラムであって、
前記第2の装置を利用するユーザの前記リソースへのアクセス可能範囲を登録し、
前記第2の装置から前記リソースへアクセスする際に前記第2の装置を利用するユーザの認証を行う処理を、前記コンピュータに実行させることを特徴とするアクセス制御プログラム。
【請求項5】
リソースを格納する第1の装置と、前記第1の装置に格納されているリソースに対してアクセスする第2の装置と、に接続された第3の装置のコンピュータに実行させるアクセス制御方法であって、
前記第2の装置を利用するユーザの前記リソースへのアクセス可能範囲を登録する工程と、
前記第2の装置から前記リソースへアクセスする際に前記第2の装置を利用するユーザの認証を行う工程と、を前記コンピュータに実行させることを特徴とするアクセス制御方法。
【請求項1】
リソースを格納する第1の装置、
前記第1の装置に格納されているリソースに対してアクセスする第2の装置、並びに、
前記第2の装置を利用するユーザの前記リソースへのアクセス可能範囲を登録する登録部、及び前記第2の装置から前記リソースへアクセスする際に前記第2の装置を利用するユーザの認証を行う認証部を有する第3の装置、を備えるリソース提供システム。
【請求項2】
前記第3の装置は、前記登録部で行われた登録に関するログと、前記認証部で行われた認証に関するログと、を保持し、
前記第1の装置は、前記第2の装置からのアクセスに関するログを保持するとともに、前記登録に関するログ及び前記認証に関するログを前記第3の装置から取得して、当該取得したログと前記アクセスに関するログとを統合するログ統合部を有することを特徴とする請求項1に記載のリソース提供システム。
【請求項3】
前記第3の装置の前記認証部は、前記認証を行ったユーザに対して認証トークンを発行し、
前記第2の装置は、前記認証トークンを用いて、前記第1の装置のリソースにアクセスすることを特徴とする請求項1又は2に記載のリソース提供システム。
【請求項4】
リソースを格納する第1の装置と、前記第1の装置に格納されているリソースに対してアクセスする第2の装置と、に接続された第3の装置のコンピュータに実行させるアクセス制御プログラムであって、
前記第2の装置を利用するユーザの前記リソースへのアクセス可能範囲を登録し、
前記第2の装置から前記リソースへアクセスする際に前記第2の装置を利用するユーザの認証を行う処理を、前記コンピュータに実行させることを特徴とするアクセス制御プログラム。
【請求項5】
リソースを格納する第1の装置と、前記第1の装置に格納されているリソースに対してアクセスする第2の装置と、に接続された第3の装置のコンピュータに実行させるアクセス制御方法であって、
前記第2の装置を利用するユーザの前記リソースへのアクセス可能範囲を登録する工程と、
前記第2の装置から前記リソースへアクセスする際に前記第2の装置を利用するユーザの認証を行う工程と、を前記コンピュータに実行させることを特徴とするアクセス制御方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【公開番号】特開2012−137995(P2012−137995A)
【公開日】平成24年7月19日(2012.7.19)
【国際特許分類】
【出願番号】特願2010−290779(P2010−290779)
【出願日】平成22年12月27日(2010.12.27)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
【公開日】平成24年7月19日(2012.7.19)
【国際特許分類】
【出願日】平成22年12月27日(2010.12.27)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
[ Back to top ]