情報処理装置及びその代理アクセス権付与方法
【課題】上位権限者が不在の場合にも上位権限者がアクセス不可時という期間限定でアクセスでき、代理権限者情報の漏洩リスクの少ない情報処理装置及びその代理アクセス権付与方法を提供する。
【解決手段】上位権限者と代理人との間の代理アクセス権の付与に関する情報を管理するアクセス権管理テーブル121を作成するアクセス権限管理手段111と、上位権限者が装置にアクセス可能か否かを判断する代理アクセス権判断手段115具備し、代理アクセス権判断手段は、アクセス権管理テーブル121を参照して、代理人に代理アクセス権が付与されている際に上位権限者がアクセス不可の場合のみ期間限定で代理人に代理アクセス権を付与する。
【解決手段】上位権限者と代理人との間の代理アクセス権の付与に関する情報を管理するアクセス権管理テーブル121を作成するアクセス権限管理手段111と、上位権限者が装置にアクセス可能か否かを判断する代理アクセス権判断手段115具備し、代理アクセス権判断手段は、アクセス権管理テーブル121を参照して、代理人に代理アクセス権が付与されている際に上位権限者がアクセス不可の場合のみ期間限定で代理人に代理アクセス権を付与する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、上位権限者に付与されたアクセス権を一時的に代理人に付与する情報処理装置及びその代理アクセス権付与方法に関するものである。
【背景技術】
【0002】
従来、情報処理装置のユーザアクセス権限の付与については、システム管理者によって管理するのが一般的である。システム管理者により付与されるアクセス権限は、ユーザ毎に一意に管理され、システムに対するアクセスの実行可否については、アクセスの際に使用されるユーザ毎のアクセス権限に依存する。
【0003】
システムへのアクセスが必要な状況において、アクセス権限を有するユーザが出張、外出や休暇等で不在の場合等、システムにアクセス可能なユーザが物理的にアクセスできない状態の場合には、他ユーザに対して権限を委譲することにより代行してシステムへのアクセスを行うことが考えられる。
【0004】
所定のファイルやシステム等にアクセスする必要がある場合、代理となるユーザに一時的に権限を委譲させる方法として、例えば、特許文献1に記載された方法がある。特許文献1では、システムに対して使用権限を有さないユーザが一時的に使用権限を有するために、ユーザのIDより権限委譲用のIDを生成し、そのIDを権限委譲用ID管理テーブルと照合して認証を行い、認証された場合には該当システムに対する処理の実行を許可するというものである。
【0005】
また、特許文献2には、管理対象リソースに対するアクセス権限の一時的又は限定的な譲渡を証明する移譲権限証明書(アクセス権限を譲渡したことを証明するデータ)を発行し、この移譲権限証明書を用いて被譲渡クライアントが管理対象リソースにアクセスすることが記載されている。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2008−102614号公報
【特許文献2】特開2002−163235号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
特許文献1、2には、アクセス権限を他のユーザに与えることが記載されているが、システムの権限に応じて制御されるファイル等のオブジェクトへのアクセスの必要が生じた場合、アクセス権保有者が出張や休暇等で不在であると、タイムリーに対象オブジェクトにアクセスできないことがある。
【0008】
また、特許文献1に記載されているように権限委譲するための権限委譲IDを一時的に代理人等に使用させる方法では、少なくとも権限委譲IDを伝達する必要があり、情報漏洩リスクがあるため、不正にアクセス制限されたオブジェクトにアクセスされてしまう恐れがある。
【0009】
本発明の目的は、上位権限者が不在の場合にも上位権限者がアクセス不可時という期間限定でアクセスでき、代理権限者情報の漏洩リスクの少ない情報処理装置及びその代理アクセス権付与方法を提供することにある。
【課題を解決するための手段】
【0010】
本発明に係る情報処理装置は、上位権限者に付与されたアクセス権を予め指定された代理人に一時的に代理アクセス権として付与する情報処理装置であって、前記上位権限者と前記代理人との間の代理アクセス権の付与に関する情報を管理するアクセス権管理テーブルと、前記上位権限者が装置にアクセス可能か否かを判断する判断手段と、前記アクセス権管理テーブルを参照して前記代理人に代理アクセス権が付与されている際に前記判断手段の判断に基づき前記上位権限者がアクセス不可の場合のみ前記代理人に代理アクセス権を付与する付与手段と、を備えたことを特徴とする。
【0011】
本発明に係る代理アクセス権付与方法は、上位権限者に付与されたアクセス権を予め指定された代理人に一時的に代理アクセス権として付与する代理アクセス権付与方法であって、判断手段が、前記上位権限者が装置にアクセス可能か否かを判断するステップと、付与手段が、前記上位権限者と前記代理人との間の代理アクセス権の付与に関する情報を管理するアクセス権管理テーブルを参照して前記代理人に代理アクセス権が付与されている際に前記判断手段の判断に基づき前記上位権限者がアクセス不可の場合のみ前記代理人に代理アクセス権を付与するステップと、を含むことを特徴とする。
【0012】
また、本発明に係るプログラムは、上位権限者に付与されたアクセス権を予め指定された代理人に、一時的に代理アクセス権として付与する情報処理装置としてコンピュータを機能させるためのプログラムであって、前記コンピュータを、前記上位権限者が装置にアクセス可能か否かを判断する判断手段と、前記上位権限者と前記代理人との間の代理アクセス権の付与に関する情報を管理するアクセス権管理テーブルを参照して前記代理人に代理アクセス権が付与されている際に前記判断手段の判断に基づき前記上位権限者がアクセス不可の場合のみ前記代理人に代理アクセス権を付与する付与手段と、して機能させることを特徴とする。
【発明の効果】
【0013】
本発明によれば、アクセス権が付与された上位権限者が不在の場合にも、上位権限者が不在(アクセス不可時)という期間限定で、代理権限者情報の漏洩リスクの少ないアクセス権の一時昇格を行うことが可能となる。
【図面の簡単な説明】
【0014】
【図1】本発明に係る情報処理装置の第1の実施形態を示すブロック図である。
【図2】アクセス権管理テーブルの一例を示す概念図である。
【図3】ログイン情報管理テーブルの一例を示す概念図である。
【図4】本発明に係る情報処理装置の上位権限者不在時の代理人設定処理を示すフローチャートである。
【図5】本発明に係る情報処理装置の上位権限者不在時に代理人が対象オブジェクトへアクセスする際の処理を示すフローチャートである。
【発明を実施するための形態】
【0015】
次に、発明を実施するための形態について図面を参照して詳細に説明する。図1は本発明に係る情報処理装置の一実施形態を示すブロック図である。図1において、情報処理装置140は、CPU110と、各種データを記憶する記憶装置120と、キーボード、タッチパネル等を備えたユーザID入力手段100と、処理結果を表示する処理結果表示手段130とを備えている。
【0016】
ユーザID入力手段には、例えば、ICカードリーダ等も用いることができる。情報処理装置140は予め登録されているユーザIDを有するユーザのみが使用できる。使用に当たってはログインする必要がある。
【0017】
CPU110は、アクセス権限情報の管理を行うアクセス権限管理手段111と、ログイン情報の管理を行うログイン情報管理手段112と、ユーザが情報処理装置140内のデータ等のオブジェクトを操作する場合に処理するオブジェクト処理手段113と、該当オブジェクトにユーザがアクセス可能かを判断するアクセス権判断手段114と、アクセス権がない場合に代理アクセス権でアクセスが可能かを判断する代理アクセス権判断手段115とを備えている。
【0018】
情報処理装置140には外部システム150が接続されている。即ち、ログイン情報管理手段112は、各ユーザが情報処理装置140にアクセス可能な状態にあるか(不在か否か)を判断するためのシステム、例えば、入退場管理システムといった外部システム150と連携している。
【0019】
記憶装置120は、情報処理装置140にログインしているユーザIDを識別するログイン情報管理テーブル122と、ユーザが任意のオブジェクトにアクセスしようとした場合にアクセス可能かを識別するアクセス権管理テーブル121とを備えている。アクセス権管理テーブル121の一例を図2に示す。また、ログイン情報管理テーブル122の一例を図3に示す。
【0020】
なお、アクセス権管理テーブル121は、ファイル等のオブジェクトに対するユーザのアクセス権や代理アクセス権を管理するテーブルである。また、ユーザIDが“A”のユーザをアクセス権が付与された上位権限者とし、ユーザIDが“B”のユーザを上位権限者から代理アクセス権が付与される代理人とする。ユーザIDが“B”のユーザは、例えば、上位権限者の次に権限を有する下位権限者とする。
【0021】
次に、図1、図2、図3及び図4、図5のフローチャートを参照して本実施形態の動作について詳細に説明する。図4は上位権限者不在時の代理人設定処理を示すフローチャートである。始めに、図1、図2及び図4を参照して上位権限者不在時の代理人設定処理について説明する。
【0022】
まず、例えば、ユーザIDが“A”のユーザが、ユーザID入力手段100を使用して情報処理装置140にログインする(図4のS1)。その際、自己のユーザIDを入力する。次いで、ユーザIDが“A”のユーザは、自身が不在時の代理人として、例えば、ユーザIDが“B”のユーザIDを登録する(図4のS2)。
【0023】
これを受けて、アクセス権限管理手段111は、図2に示すようにアクセス権管理テーブル121のユーザIDが“B”の行を参照し、そのユーザIDが“B”の代理アクセス権230を“1”(代理アクセス権があることを示す)に更新する。また、ユーザIDが“B”のアクセス権保有者ID240を元のアクセス権保有者である上位権限者のユーザID“A”に設定する。
【0024】
なお、アクセス権管理テーブル121のアクセス権220には、ユーザIDが“A”に関して“1”(アクセス権があることを示す)が設定され、ユーザIDが“B”に関して“2”(アクセス権がないことを示す)が設定されている。つまり、上位権限者であるユーザIDが“A”のユーザは、あるオブジェクトに対してアクセス権を有し、ユーザIDが“B”のユーザはアクセス権がないことを示す。代理人の設定処理については、代理人の変更の必要性が生じない限り、1回のみ実施すればよく、権限委譲の必要性が生じた局面において別段の操作は必要ない。
【0025】
次に、図1〜図3及び図5を参照して上位権限者不在時に代理人が対象オブジェクトへアクセスする際の処理について説明する。まず、ユーザIDが“B”のユーザ(ユーザIDが“A”のユーザの代理人)がユーザID入力手段100を使用して情報処理装置140にログインする(図5のS10)。その際、ユーザIDが“B”のユーザは自己のユーザIDを入力する。ログイン情報管理手段112は、図3に示すようにログイン情報管理テーブル122のユーザID310が“B”の行のログイン情報320を“ログイン”に更新する。
【0026】
次いで、ユーザIDが“B”のユーザは、アクセス権の無いあるオブジェクト(ファイル等)の表示を試みるものとする(図5のS20)。オブジェクト処理手段113は、この操作を受け付けると、アクセス権判断手段114にそのオブジェクトに対してアクセス可能か問い合わせる。
【0027】
アクセス権判断手段114は、この問い合わせに対して図2に示すアクセス権管理テーブル121を参照し、対象オブジェクトのアクセス権をユーザIDが“B”のユーザが保有しているかを確認する(図5のS30)。この場合、図2に示すようにユーザIDが“B”のユーザのアクセス権は“2”となっており、ユーザIDが“B”のユーザには対象とするオブジェクトへのアクセス権はないため、代理アクセス権判断手段115へ代理アクセス権の有無を問い合わせる。
【0028】
代理アクセス権判断手段115は、この問い合わせに対してアクセス権管理テーブル121のユーザIDが“B”の行を参照し、代理アクセス権の有無を確認する(図5のS50)。その際、図2に示すようにユーザIDが“B”のユーザの代理アクセス権230は“1”となっており、ユーザIDが“B”のユーザは対象オブジェクトに対して代理アクセス権を保有している。また、代理アクセス権判断手段115は、この代理アクセス権を本来保有しているユーザが不在ではなく、情報処理装置140にログインしているかを確認するため、ログイン情報管理テーブル122を参照する。
【0029】
具体的には、図3に示すように対象オブジェクトへのアクセス権の本来の保有者であるユーザIDが“A”のユーザは、情報処理装置140にログインしておらず、不在であるため、ユーザIDが“B”のユーザに対して代理アクセス権により対象オブジェクトへのアクセスを許可すると判断し、オブジェクト処理手段113にアクセス許可を返信する。オブジェクト処理手段113は対象オブジェクトの内容を処理結果表示手段130へ送信し、処理結果表示手段130上に表示する(S40)。S50で代理アクセス権がないと判断された場合にはエラー表示を行う(S60)。
【0030】
次に、代理人が代理アクセスを実行可能な状況、つまり、上位権限者であるユーザIDが“A”のユーザが不在であることを判断する処理について説明する。図3に示すログイン情報管理テーブル122の不在情報320の更新は、ログイン情報管理手段112によって実行する。
【0031】
ログイン情報管理テーブル122の不在情報320を在席と更新するタイミングは、ログイン情報管理手段112が連携する外部システム150、例えば、入退場管理システム等によりユーザのログイン(在席)の通知を受け取ることにより実行する。代理人が代理アクセスを実行可能な条件は、ログイン情報管理テーブル122の上位権限者であるユーザIDが“A”のユーザのログイン情報310が未ログインであり、不在情報320が不在の場合に限るものとする。
【0032】
次に、代理人による代理アクセスが実行可能な条件(上位権限者の状態)を具体的に説明する。上位権限者のログイン状態及び在席状態の組合せを考慮すると、以下に詳述するように代理人による代理アクセスが実行可能な条件は、上位権限者が“未ログイン”であり、且つ、“不在”を条件とする。
【0033】
(1)上位権限者(ユーザIDが“A”のユーザ)が、“ログイン”状態であり、“在席”の場合には、上位権限者が対象オブジェクトに対してアクセス可能な状態であるため、代理アクセス実行可能な条件とはならない。
【0034】
(2)上位権限者が、“未ログイン”状態であり、“在席”の場合には、システム自体にはログインしてはいないが、ログインできる状態にある。例えば、上位権限者がフロア内にはいるがログインはしていないだけであり、対象オブジェクトに対してアクセス可能な状態にあると考えられるため、上位権限者が不在時とは見なせず、代理アクセス実行可能な条件とはならない。
【0035】
(3)上位権限者が、“ログイン”状態であり、“不在”の場合には、“不在”ではあるが、システムに“ログイン”している状態、例えば、外出・出張等によりフロア等にはいないが、別事業所等からリモート接続によりシステムにログインしている場合等、何らかの方法でシステムにログインしている状態であるため、同様に代理アクセス実行可能な条件とはならない。
【0036】
(4)上位権限者が、“未ログイン”状態であり、“不在”の場合には、上位権限者が対象オブジェクトに対してアクセス可能な状態ではないと見なし、代理アクセス実行可能な条件となり得る。つまり、上位権限者が装置にアクセス不可の場合のみ代理アクセス実行可能な条件となる。
【0037】
なお、代理人による代理アクセスが実行可能な条件を“未ログイン”のみとする場合、(2)の場合が考えられ、“不在”のみを条件とする場合、(3)の場合が考えられるため、条件外とする。
【0038】
次に、具体的な実施例を挙げて本発明を説明する。上位権限者不在時の代理人の設定処理を行う場合には、上位権限者がユーザID入力手段100を使用して情報処理装置140にログインし、自身が不在時の代理人のIDを入力することにより代理人の設定を行う。この時、アクセス権限管理手段111はアクセス権管理テーブル121の代理人(図2の例ではユーザIDが“B”のユーザ)の代理アクセス権230を“代理アクセス権あり”を示す“1”に更新する。
【0039】
また、上位権限者不在時に代理人が対象のオブジェクトへアクセスする場合には、まず、代理人がユーザID入力手段100を使用して情報処理装置140にログインする。ログイン情報管理手段112はログイン情報テーブル122の代理人のログイン情報320を“ログイン”に更新する。
【0040】
次に、例えば、代理人が本来アクセス権のないオブジェクト(ファイル等)の表示を実行する場合には、オブジェクト処理手段113がこの操作を受け付けて、アクセス権判断手段114にアクセス可能か否かを確認する。アクセス権判断手段114はアクセス権管理テーブル121を参照し、対象オブジェクトのアクセス権を代理人が保有しているか確認する。この場合、代理人は対象オブジェクトへのアクセス権は無いため、次に代理アクセス権判断手段115は、アクセス権管理テーブル121から代理人の代理アクセス権の有無を確認する。
【0041】
その際、代理人は代理アクセス権を保有しているため、次にこの代理アクセス権を本来保有している上位権限者が不在ではなく、且つ、情報処理装置140にログインしているかを確認するため、ログイン情報管理テーブル122を参照する。この場合、上位権限者は、情報処理装置140にログインしておらず、且つ、不在状態であることが確認できるため、代理人へ代理アクセス権による対象オブジェクトへのアクセスを許可すると判断し、オブジェクト処理手段113にアクセス許可を返信する。オブジェクト処理手段113は、対象オブジェクトの内容を処理結果表示手段130へ通知し、処理結果表示手段130がそれを表示する。
【0042】
このように本実施形態では、アクセス制限されたオブジェクトにアクセス可能な上位権限者が不在の場合にも、上位権限者がアクセス不可時という期間限定で、代理人が必要時に対象オブジェクトにアクセスすることができる。また、代理人の権限昇格条件は、上位権限者のアクセス不可時という期間限定であるため、代理権限情報の漏洩リスクを極力小さくすることが可能となる。
【0043】
また、上位権限者のアクセス不可時は、上位権限者が不在であり、且つ、装置にログインしていないことを条件としているため、上位権限者の外出等に関係なく、上位権限者がアクセス不可であることを正確に判断することができる。更に、代理人の権限昇格可否は上位権限者が不在か否か及びログインしているか否かにより装置内で自動的に判断されるため、権限委譲IDの発行等の操作による代理権限情報の漏洩リスクがなく、安全に代理人へのアクセス権の昇格が可能である。なお、本来アクセス制限を設けるべきオブジェクトへのアクセスは、上位権限者のアクセス不可時以外はシステム管理者により設定された制限内で行われる。
【0044】
なお、上記情報処理装置は、ハードウェア、ソフトウェア又はこれらの組合わせにより実現することができる。ソフトウェアによって実現されるとは、コンピュータがプログラムを読み込んで実行することにより実現されることを意味する。
【0045】
プログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えば、フレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば、光磁気ディスク)、CD−ROM(Read Only Memory)、CD−R、CD−R/W、半導体メモリ(例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(random access memory))を含む。
【0046】
また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。
【0047】
なお、上記実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限らない。
【0048】
(付記1)上位権限者に付与されたアクセス権を予め指定された代理人に一時的に代理アクセス権として付与する情報処理装置であって、
前記上位権限者と前記代理人との間の代理アクセス権の付与に関する情報を管理するアクセス権管理テーブルと、
前記上位権限者が装置にアクセス可能か否かを判断する判断手段と、
前記アクセス権管理テーブルを参照して前記代理人に代理アクセス権が付与されている際に前記判断手段の判断に基づき前記上位権限者がアクセス不可の場合のみ前記代理人に代理アクセス権を付与する付与手段と、
を備えたことを特徴とする情報処理装置。
【0049】
(付記2)前記上位権限者が不在か否かの不在情報を管理する手段と、前記上位権限者が装置にログインしているか否かのログイン情報を管理する手段とを有し、前記判断手段は、前記不在情報及び前記ログイン情報に基づき、前記上位権限者が不在で、且つ、ログインしていない場合のみ前記上位権限者がアクセス不可と判断することを特徴とする付記1に記載の情報処理装置。
【0050】
(付記3)前記情報処理装置は、外部システムと接続され、前記外部システムから各ユーザの前記不在情報が送信され、前記判断手段は、前記外部システムから送信された前記不在情報に基づいて前記上位権限者が不在か否かを判断することを特徴とする付記2に記載の情報処理装置。
【0051】
(付記4)前記外部システムは、各ユーザの入退場を管理する入退場管理システムであることを特徴とする付記3に記載の情報処理装置。
【0052】
(付記5)上位権限者に付与されたアクセス権を予め指定された代理人に一時的に代理アクセス権として付与する代理アクセス権付与方法であって、
判断手段が、前記上位権限者が装置にアクセス可能か否かを判断するステップと、
付与手段が、前記上位権限者と前記代理人との間の代理アクセス権の付与に関する情報を管理するアクセス権管理テーブルを参照して前記代理人に代理アクセス権が付与されている際に前記判断手段の判断に基づき前記上位権限者がアクセス不可の場合のみ前記代理人に代理アクセス権を付与するステップと、
を含むことを特徴とする代理アクセス権付与方法。
【0053】
(付記6)前記上位権限者が不在か否かの不在情報を管理する手段と、前記上位権限者が装置にログインしているか否かのログイン情報を管理する手段とを有し、前記判断ステップでは、前記不在情報及び前記ログイン情報に基づき、前記上位権限者が不在で、且つ、ログインしていない場合のみ前記上位権限者がアクセス不可と判断することを特徴とする付記5に記載の代理アクセス権付与方法。
【0054】
(付記7)前記情報処理装置は、外部システムと接続され、前記外部システムから各ユーザの前記不在情報が送信され、前記判断ステップでは、前記外部システムから送信された前記不在情報に基づいて前記上位権限者が不在か否かを判断することを特徴とする付記6に記載の代理アクセス権付与方法。
【0055】
(付記8)前記外部システムは、各ユーザの入退場を管理する入退場管理システムであることを特徴とする付記7に記載の代理アクセス権付与方法。
【0056】
(付記9)上位権限者に付与されたアクセス権を予め指定された代理人に、一時的に代理アクセス権として付与する情報処理装置としてコンピュータを機能させるためのプログラムであって、
前記コンピュータを、
前記上位権限者が装置にアクセス可能か否かを判断する判断手段と、
前記上位権限者と前記代理人との間の代理アクセス権の付与に関する情報を管理するアクセス権管理テーブルを参照して前記代理人に代理アクセス権が付与されている際に前記判断手段の判断に基づき前記上位権限者がアクセス不可の場合のみ前記代理人に代理アクセス権を付与する付与手段と、
して機能させるためのプログラム。
【0057】
(付記10)更に、前記コンピュータを、前記上位権限者が不在か否かの不在情報を管理する手段と、前記上位権限者が装置にログインしているか否かのログイン情報を管理する手段として機能させ、前記判断手段は、前記不在情報及び前記ログイン情報に基づき、前記上位権限者が不在で、且つ、ログインしていない場合のみ前記上位権限者がアクセス不可と判断することを特徴とする付記9に記載のプログラム。
【0058】
(付記11)前記情報処理装置は、外部システムと接続され、前記外部システムから各ユーザの前記不在情報が送信され、前記判断手段は、前記外部システムから送信された前記不在情報に基づいて前記上位権限者が不在か否かを判断することを特徴とする付記10に記載のプログラム。
【産業上の利用可能性】
【0059】
本発明は、例えば、商用システムにおける業務アプリケーションやファイルサーバのアクセス制御といった用途に適用できる。また、情報漏洩防止のために導入が進んでいるセキュリティプリントで利用されるプリンタ等の出力装置からのデータ取出しといった用途にも適用可能である。
【符号の説明】
【0060】
100 ユーザID入力手段
110 CPU
111 アクセス権限管理手段
112 ログイン情報管理手段
113 オブジェクト処理手段
114 アクセス権判断手段
115 代理アクセス権判断手段
120 記憶装置
121 アクセス権管理テーブル
122 ログイン情報管理テーブル
130 処理結果表示手段
140 情報処理装置
150 外部システム
210 ユーザID
220 アクセス権
230 代理アクセス権
240 代理アクセス権保有者ID
310 ユーザID
320 ログイン情報
330 不在情報
【技術分野】
【0001】
本発明は、上位権限者に付与されたアクセス権を一時的に代理人に付与する情報処理装置及びその代理アクセス権付与方法に関するものである。
【背景技術】
【0002】
従来、情報処理装置のユーザアクセス権限の付与については、システム管理者によって管理するのが一般的である。システム管理者により付与されるアクセス権限は、ユーザ毎に一意に管理され、システムに対するアクセスの実行可否については、アクセスの際に使用されるユーザ毎のアクセス権限に依存する。
【0003】
システムへのアクセスが必要な状況において、アクセス権限を有するユーザが出張、外出や休暇等で不在の場合等、システムにアクセス可能なユーザが物理的にアクセスできない状態の場合には、他ユーザに対して権限を委譲することにより代行してシステムへのアクセスを行うことが考えられる。
【0004】
所定のファイルやシステム等にアクセスする必要がある場合、代理となるユーザに一時的に権限を委譲させる方法として、例えば、特許文献1に記載された方法がある。特許文献1では、システムに対して使用権限を有さないユーザが一時的に使用権限を有するために、ユーザのIDより権限委譲用のIDを生成し、そのIDを権限委譲用ID管理テーブルと照合して認証を行い、認証された場合には該当システムに対する処理の実行を許可するというものである。
【0005】
また、特許文献2には、管理対象リソースに対するアクセス権限の一時的又は限定的な譲渡を証明する移譲権限証明書(アクセス権限を譲渡したことを証明するデータ)を発行し、この移譲権限証明書を用いて被譲渡クライアントが管理対象リソースにアクセスすることが記載されている。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2008−102614号公報
【特許文献2】特開2002−163235号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
特許文献1、2には、アクセス権限を他のユーザに与えることが記載されているが、システムの権限に応じて制御されるファイル等のオブジェクトへのアクセスの必要が生じた場合、アクセス権保有者が出張や休暇等で不在であると、タイムリーに対象オブジェクトにアクセスできないことがある。
【0008】
また、特許文献1に記載されているように権限委譲するための権限委譲IDを一時的に代理人等に使用させる方法では、少なくとも権限委譲IDを伝達する必要があり、情報漏洩リスクがあるため、不正にアクセス制限されたオブジェクトにアクセスされてしまう恐れがある。
【0009】
本発明の目的は、上位権限者が不在の場合にも上位権限者がアクセス不可時という期間限定でアクセスでき、代理権限者情報の漏洩リスクの少ない情報処理装置及びその代理アクセス権付与方法を提供することにある。
【課題を解決するための手段】
【0010】
本発明に係る情報処理装置は、上位権限者に付与されたアクセス権を予め指定された代理人に一時的に代理アクセス権として付与する情報処理装置であって、前記上位権限者と前記代理人との間の代理アクセス権の付与に関する情報を管理するアクセス権管理テーブルと、前記上位権限者が装置にアクセス可能か否かを判断する判断手段と、前記アクセス権管理テーブルを参照して前記代理人に代理アクセス権が付与されている際に前記判断手段の判断に基づき前記上位権限者がアクセス不可の場合のみ前記代理人に代理アクセス権を付与する付与手段と、を備えたことを特徴とする。
【0011】
本発明に係る代理アクセス権付与方法は、上位権限者に付与されたアクセス権を予め指定された代理人に一時的に代理アクセス権として付与する代理アクセス権付与方法であって、判断手段が、前記上位権限者が装置にアクセス可能か否かを判断するステップと、付与手段が、前記上位権限者と前記代理人との間の代理アクセス権の付与に関する情報を管理するアクセス権管理テーブルを参照して前記代理人に代理アクセス権が付与されている際に前記判断手段の判断に基づき前記上位権限者がアクセス不可の場合のみ前記代理人に代理アクセス権を付与するステップと、を含むことを特徴とする。
【0012】
また、本発明に係るプログラムは、上位権限者に付与されたアクセス権を予め指定された代理人に、一時的に代理アクセス権として付与する情報処理装置としてコンピュータを機能させるためのプログラムであって、前記コンピュータを、前記上位権限者が装置にアクセス可能か否かを判断する判断手段と、前記上位権限者と前記代理人との間の代理アクセス権の付与に関する情報を管理するアクセス権管理テーブルを参照して前記代理人に代理アクセス権が付与されている際に前記判断手段の判断に基づき前記上位権限者がアクセス不可の場合のみ前記代理人に代理アクセス権を付与する付与手段と、して機能させることを特徴とする。
【発明の効果】
【0013】
本発明によれば、アクセス権が付与された上位権限者が不在の場合にも、上位権限者が不在(アクセス不可時)という期間限定で、代理権限者情報の漏洩リスクの少ないアクセス権の一時昇格を行うことが可能となる。
【図面の簡単な説明】
【0014】
【図1】本発明に係る情報処理装置の第1の実施形態を示すブロック図である。
【図2】アクセス権管理テーブルの一例を示す概念図である。
【図3】ログイン情報管理テーブルの一例を示す概念図である。
【図4】本発明に係る情報処理装置の上位権限者不在時の代理人設定処理を示すフローチャートである。
【図5】本発明に係る情報処理装置の上位権限者不在時に代理人が対象オブジェクトへアクセスする際の処理を示すフローチャートである。
【発明を実施するための形態】
【0015】
次に、発明を実施するための形態について図面を参照して詳細に説明する。図1は本発明に係る情報処理装置の一実施形態を示すブロック図である。図1において、情報処理装置140は、CPU110と、各種データを記憶する記憶装置120と、キーボード、タッチパネル等を備えたユーザID入力手段100と、処理結果を表示する処理結果表示手段130とを備えている。
【0016】
ユーザID入力手段には、例えば、ICカードリーダ等も用いることができる。情報処理装置140は予め登録されているユーザIDを有するユーザのみが使用できる。使用に当たってはログインする必要がある。
【0017】
CPU110は、アクセス権限情報の管理を行うアクセス権限管理手段111と、ログイン情報の管理を行うログイン情報管理手段112と、ユーザが情報処理装置140内のデータ等のオブジェクトを操作する場合に処理するオブジェクト処理手段113と、該当オブジェクトにユーザがアクセス可能かを判断するアクセス権判断手段114と、アクセス権がない場合に代理アクセス権でアクセスが可能かを判断する代理アクセス権判断手段115とを備えている。
【0018】
情報処理装置140には外部システム150が接続されている。即ち、ログイン情報管理手段112は、各ユーザが情報処理装置140にアクセス可能な状態にあるか(不在か否か)を判断するためのシステム、例えば、入退場管理システムといった外部システム150と連携している。
【0019】
記憶装置120は、情報処理装置140にログインしているユーザIDを識別するログイン情報管理テーブル122と、ユーザが任意のオブジェクトにアクセスしようとした場合にアクセス可能かを識別するアクセス権管理テーブル121とを備えている。アクセス権管理テーブル121の一例を図2に示す。また、ログイン情報管理テーブル122の一例を図3に示す。
【0020】
なお、アクセス権管理テーブル121は、ファイル等のオブジェクトに対するユーザのアクセス権や代理アクセス権を管理するテーブルである。また、ユーザIDが“A”のユーザをアクセス権が付与された上位権限者とし、ユーザIDが“B”のユーザを上位権限者から代理アクセス権が付与される代理人とする。ユーザIDが“B”のユーザは、例えば、上位権限者の次に権限を有する下位権限者とする。
【0021】
次に、図1、図2、図3及び図4、図5のフローチャートを参照して本実施形態の動作について詳細に説明する。図4は上位権限者不在時の代理人設定処理を示すフローチャートである。始めに、図1、図2及び図4を参照して上位権限者不在時の代理人設定処理について説明する。
【0022】
まず、例えば、ユーザIDが“A”のユーザが、ユーザID入力手段100を使用して情報処理装置140にログインする(図4のS1)。その際、自己のユーザIDを入力する。次いで、ユーザIDが“A”のユーザは、自身が不在時の代理人として、例えば、ユーザIDが“B”のユーザIDを登録する(図4のS2)。
【0023】
これを受けて、アクセス権限管理手段111は、図2に示すようにアクセス権管理テーブル121のユーザIDが“B”の行を参照し、そのユーザIDが“B”の代理アクセス権230を“1”(代理アクセス権があることを示す)に更新する。また、ユーザIDが“B”のアクセス権保有者ID240を元のアクセス権保有者である上位権限者のユーザID“A”に設定する。
【0024】
なお、アクセス権管理テーブル121のアクセス権220には、ユーザIDが“A”に関して“1”(アクセス権があることを示す)が設定され、ユーザIDが“B”に関して“2”(アクセス権がないことを示す)が設定されている。つまり、上位権限者であるユーザIDが“A”のユーザは、あるオブジェクトに対してアクセス権を有し、ユーザIDが“B”のユーザはアクセス権がないことを示す。代理人の設定処理については、代理人の変更の必要性が生じない限り、1回のみ実施すればよく、権限委譲の必要性が生じた局面において別段の操作は必要ない。
【0025】
次に、図1〜図3及び図5を参照して上位権限者不在時に代理人が対象オブジェクトへアクセスする際の処理について説明する。まず、ユーザIDが“B”のユーザ(ユーザIDが“A”のユーザの代理人)がユーザID入力手段100を使用して情報処理装置140にログインする(図5のS10)。その際、ユーザIDが“B”のユーザは自己のユーザIDを入力する。ログイン情報管理手段112は、図3に示すようにログイン情報管理テーブル122のユーザID310が“B”の行のログイン情報320を“ログイン”に更新する。
【0026】
次いで、ユーザIDが“B”のユーザは、アクセス権の無いあるオブジェクト(ファイル等)の表示を試みるものとする(図5のS20)。オブジェクト処理手段113は、この操作を受け付けると、アクセス権判断手段114にそのオブジェクトに対してアクセス可能か問い合わせる。
【0027】
アクセス権判断手段114は、この問い合わせに対して図2に示すアクセス権管理テーブル121を参照し、対象オブジェクトのアクセス権をユーザIDが“B”のユーザが保有しているかを確認する(図5のS30)。この場合、図2に示すようにユーザIDが“B”のユーザのアクセス権は“2”となっており、ユーザIDが“B”のユーザには対象とするオブジェクトへのアクセス権はないため、代理アクセス権判断手段115へ代理アクセス権の有無を問い合わせる。
【0028】
代理アクセス権判断手段115は、この問い合わせに対してアクセス権管理テーブル121のユーザIDが“B”の行を参照し、代理アクセス権の有無を確認する(図5のS50)。その際、図2に示すようにユーザIDが“B”のユーザの代理アクセス権230は“1”となっており、ユーザIDが“B”のユーザは対象オブジェクトに対して代理アクセス権を保有している。また、代理アクセス権判断手段115は、この代理アクセス権を本来保有しているユーザが不在ではなく、情報処理装置140にログインしているかを確認するため、ログイン情報管理テーブル122を参照する。
【0029】
具体的には、図3に示すように対象オブジェクトへのアクセス権の本来の保有者であるユーザIDが“A”のユーザは、情報処理装置140にログインしておらず、不在であるため、ユーザIDが“B”のユーザに対して代理アクセス権により対象オブジェクトへのアクセスを許可すると判断し、オブジェクト処理手段113にアクセス許可を返信する。オブジェクト処理手段113は対象オブジェクトの内容を処理結果表示手段130へ送信し、処理結果表示手段130上に表示する(S40)。S50で代理アクセス権がないと判断された場合にはエラー表示を行う(S60)。
【0030】
次に、代理人が代理アクセスを実行可能な状況、つまり、上位権限者であるユーザIDが“A”のユーザが不在であることを判断する処理について説明する。図3に示すログイン情報管理テーブル122の不在情報320の更新は、ログイン情報管理手段112によって実行する。
【0031】
ログイン情報管理テーブル122の不在情報320を在席と更新するタイミングは、ログイン情報管理手段112が連携する外部システム150、例えば、入退場管理システム等によりユーザのログイン(在席)の通知を受け取ることにより実行する。代理人が代理アクセスを実行可能な条件は、ログイン情報管理テーブル122の上位権限者であるユーザIDが“A”のユーザのログイン情報310が未ログインであり、不在情報320が不在の場合に限るものとする。
【0032】
次に、代理人による代理アクセスが実行可能な条件(上位権限者の状態)を具体的に説明する。上位権限者のログイン状態及び在席状態の組合せを考慮すると、以下に詳述するように代理人による代理アクセスが実行可能な条件は、上位権限者が“未ログイン”であり、且つ、“不在”を条件とする。
【0033】
(1)上位権限者(ユーザIDが“A”のユーザ)が、“ログイン”状態であり、“在席”の場合には、上位権限者が対象オブジェクトに対してアクセス可能な状態であるため、代理アクセス実行可能な条件とはならない。
【0034】
(2)上位権限者が、“未ログイン”状態であり、“在席”の場合には、システム自体にはログインしてはいないが、ログインできる状態にある。例えば、上位権限者がフロア内にはいるがログインはしていないだけであり、対象オブジェクトに対してアクセス可能な状態にあると考えられるため、上位権限者が不在時とは見なせず、代理アクセス実行可能な条件とはならない。
【0035】
(3)上位権限者が、“ログイン”状態であり、“不在”の場合には、“不在”ではあるが、システムに“ログイン”している状態、例えば、外出・出張等によりフロア等にはいないが、別事業所等からリモート接続によりシステムにログインしている場合等、何らかの方法でシステムにログインしている状態であるため、同様に代理アクセス実行可能な条件とはならない。
【0036】
(4)上位権限者が、“未ログイン”状態であり、“不在”の場合には、上位権限者が対象オブジェクトに対してアクセス可能な状態ではないと見なし、代理アクセス実行可能な条件となり得る。つまり、上位権限者が装置にアクセス不可の場合のみ代理アクセス実行可能な条件となる。
【0037】
なお、代理人による代理アクセスが実行可能な条件を“未ログイン”のみとする場合、(2)の場合が考えられ、“不在”のみを条件とする場合、(3)の場合が考えられるため、条件外とする。
【0038】
次に、具体的な実施例を挙げて本発明を説明する。上位権限者不在時の代理人の設定処理を行う場合には、上位権限者がユーザID入力手段100を使用して情報処理装置140にログインし、自身が不在時の代理人のIDを入力することにより代理人の設定を行う。この時、アクセス権限管理手段111はアクセス権管理テーブル121の代理人(図2の例ではユーザIDが“B”のユーザ)の代理アクセス権230を“代理アクセス権あり”を示す“1”に更新する。
【0039】
また、上位権限者不在時に代理人が対象のオブジェクトへアクセスする場合には、まず、代理人がユーザID入力手段100を使用して情報処理装置140にログインする。ログイン情報管理手段112はログイン情報テーブル122の代理人のログイン情報320を“ログイン”に更新する。
【0040】
次に、例えば、代理人が本来アクセス権のないオブジェクト(ファイル等)の表示を実行する場合には、オブジェクト処理手段113がこの操作を受け付けて、アクセス権判断手段114にアクセス可能か否かを確認する。アクセス権判断手段114はアクセス権管理テーブル121を参照し、対象オブジェクトのアクセス権を代理人が保有しているか確認する。この場合、代理人は対象オブジェクトへのアクセス権は無いため、次に代理アクセス権判断手段115は、アクセス権管理テーブル121から代理人の代理アクセス権の有無を確認する。
【0041】
その際、代理人は代理アクセス権を保有しているため、次にこの代理アクセス権を本来保有している上位権限者が不在ではなく、且つ、情報処理装置140にログインしているかを確認するため、ログイン情報管理テーブル122を参照する。この場合、上位権限者は、情報処理装置140にログインしておらず、且つ、不在状態であることが確認できるため、代理人へ代理アクセス権による対象オブジェクトへのアクセスを許可すると判断し、オブジェクト処理手段113にアクセス許可を返信する。オブジェクト処理手段113は、対象オブジェクトの内容を処理結果表示手段130へ通知し、処理結果表示手段130がそれを表示する。
【0042】
このように本実施形態では、アクセス制限されたオブジェクトにアクセス可能な上位権限者が不在の場合にも、上位権限者がアクセス不可時という期間限定で、代理人が必要時に対象オブジェクトにアクセスすることができる。また、代理人の権限昇格条件は、上位権限者のアクセス不可時という期間限定であるため、代理権限情報の漏洩リスクを極力小さくすることが可能となる。
【0043】
また、上位権限者のアクセス不可時は、上位権限者が不在であり、且つ、装置にログインしていないことを条件としているため、上位権限者の外出等に関係なく、上位権限者がアクセス不可であることを正確に判断することができる。更に、代理人の権限昇格可否は上位権限者が不在か否か及びログインしているか否かにより装置内で自動的に判断されるため、権限委譲IDの発行等の操作による代理権限情報の漏洩リスクがなく、安全に代理人へのアクセス権の昇格が可能である。なお、本来アクセス制限を設けるべきオブジェクトへのアクセスは、上位権限者のアクセス不可時以外はシステム管理者により設定された制限内で行われる。
【0044】
なお、上記情報処理装置は、ハードウェア、ソフトウェア又はこれらの組合わせにより実現することができる。ソフトウェアによって実現されるとは、コンピュータがプログラムを読み込んで実行することにより実現されることを意味する。
【0045】
プログラムは、様々なタイプの非一時的なコンピュータ可読媒体(non-transitory computer readable medium)を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体(例えば、フレキシブルディスク、磁気テープ、ハードディスクドライブ)、光磁気記録媒体(例えば、光磁気ディスク)、CD−ROM(Read Only Memory)、CD−R、CD−R/W、半導体メモリ(例えば、マスクROM、PROM(Programmable ROM)、EPROM(Erasable PROM)、フラッシュROM、RAM(random access memory))を含む。
【0046】
また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体(transitory computer readable medium)によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。
【0047】
なお、上記実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限らない。
【0048】
(付記1)上位権限者に付与されたアクセス権を予め指定された代理人に一時的に代理アクセス権として付与する情報処理装置であって、
前記上位権限者と前記代理人との間の代理アクセス権の付与に関する情報を管理するアクセス権管理テーブルと、
前記上位権限者が装置にアクセス可能か否かを判断する判断手段と、
前記アクセス権管理テーブルを参照して前記代理人に代理アクセス権が付与されている際に前記判断手段の判断に基づき前記上位権限者がアクセス不可の場合のみ前記代理人に代理アクセス権を付与する付与手段と、
を備えたことを特徴とする情報処理装置。
【0049】
(付記2)前記上位権限者が不在か否かの不在情報を管理する手段と、前記上位権限者が装置にログインしているか否かのログイン情報を管理する手段とを有し、前記判断手段は、前記不在情報及び前記ログイン情報に基づき、前記上位権限者が不在で、且つ、ログインしていない場合のみ前記上位権限者がアクセス不可と判断することを特徴とする付記1に記載の情報処理装置。
【0050】
(付記3)前記情報処理装置は、外部システムと接続され、前記外部システムから各ユーザの前記不在情報が送信され、前記判断手段は、前記外部システムから送信された前記不在情報に基づいて前記上位権限者が不在か否かを判断することを特徴とする付記2に記載の情報処理装置。
【0051】
(付記4)前記外部システムは、各ユーザの入退場を管理する入退場管理システムであることを特徴とする付記3に記載の情報処理装置。
【0052】
(付記5)上位権限者に付与されたアクセス権を予め指定された代理人に一時的に代理アクセス権として付与する代理アクセス権付与方法であって、
判断手段が、前記上位権限者が装置にアクセス可能か否かを判断するステップと、
付与手段が、前記上位権限者と前記代理人との間の代理アクセス権の付与に関する情報を管理するアクセス権管理テーブルを参照して前記代理人に代理アクセス権が付与されている際に前記判断手段の判断に基づき前記上位権限者がアクセス不可の場合のみ前記代理人に代理アクセス権を付与するステップと、
を含むことを特徴とする代理アクセス権付与方法。
【0053】
(付記6)前記上位権限者が不在か否かの不在情報を管理する手段と、前記上位権限者が装置にログインしているか否かのログイン情報を管理する手段とを有し、前記判断ステップでは、前記不在情報及び前記ログイン情報に基づき、前記上位権限者が不在で、且つ、ログインしていない場合のみ前記上位権限者がアクセス不可と判断することを特徴とする付記5に記載の代理アクセス権付与方法。
【0054】
(付記7)前記情報処理装置は、外部システムと接続され、前記外部システムから各ユーザの前記不在情報が送信され、前記判断ステップでは、前記外部システムから送信された前記不在情報に基づいて前記上位権限者が不在か否かを判断することを特徴とする付記6に記載の代理アクセス権付与方法。
【0055】
(付記8)前記外部システムは、各ユーザの入退場を管理する入退場管理システムであることを特徴とする付記7に記載の代理アクセス権付与方法。
【0056】
(付記9)上位権限者に付与されたアクセス権を予め指定された代理人に、一時的に代理アクセス権として付与する情報処理装置としてコンピュータを機能させるためのプログラムであって、
前記コンピュータを、
前記上位権限者が装置にアクセス可能か否かを判断する判断手段と、
前記上位権限者と前記代理人との間の代理アクセス権の付与に関する情報を管理するアクセス権管理テーブルを参照して前記代理人に代理アクセス権が付与されている際に前記判断手段の判断に基づき前記上位権限者がアクセス不可の場合のみ前記代理人に代理アクセス権を付与する付与手段と、
して機能させるためのプログラム。
【0057】
(付記10)更に、前記コンピュータを、前記上位権限者が不在か否かの不在情報を管理する手段と、前記上位権限者が装置にログインしているか否かのログイン情報を管理する手段として機能させ、前記判断手段は、前記不在情報及び前記ログイン情報に基づき、前記上位権限者が不在で、且つ、ログインしていない場合のみ前記上位権限者がアクセス不可と判断することを特徴とする付記9に記載のプログラム。
【0058】
(付記11)前記情報処理装置は、外部システムと接続され、前記外部システムから各ユーザの前記不在情報が送信され、前記判断手段は、前記外部システムから送信された前記不在情報に基づいて前記上位権限者が不在か否かを判断することを特徴とする付記10に記載のプログラム。
【産業上の利用可能性】
【0059】
本発明は、例えば、商用システムにおける業務アプリケーションやファイルサーバのアクセス制御といった用途に適用できる。また、情報漏洩防止のために導入が進んでいるセキュリティプリントで利用されるプリンタ等の出力装置からのデータ取出しといった用途にも適用可能である。
【符号の説明】
【0060】
100 ユーザID入力手段
110 CPU
111 アクセス権限管理手段
112 ログイン情報管理手段
113 オブジェクト処理手段
114 アクセス権判断手段
115 代理アクセス権判断手段
120 記憶装置
121 アクセス権管理テーブル
122 ログイン情報管理テーブル
130 処理結果表示手段
140 情報処理装置
150 外部システム
210 ユーザID
220 アクセス権
230 代理アクセス権
240 代理アクセス権保有者ID
310 ユーザID
320 ログイン情報
330 不在情報
【特許請求の範囲】
【請求項1】
上位権限者に付与されたアクセス権を予め指定された代理人に一時的に代理アクセス権として付与する情報処理装置であって、
前記上位権限者と前記代理人との間の代理アクセス権の付与に関する情報を管理するアクセス権管理テーブルと、
前記上位権限者が装置にアクセス可能か否かを判断する判断手段と、
前記アクセス権管理テーブルを参照して前記代理人に代理アクセス権が付与されている際に前記判断手段の判断に基づき前記上位権限者がアクセス不可の場合のみ前記代理人に代理アクセス権を付与する付与手段と、
を備えたことを特徴とする情報処理装置。
【請求項2】
前記上位権限者が不在か否かの不在情報を管理する手段と、前記上位権限者が装置にログインしているか否かのログイン情報を管理する手段とを有し、前記判断手段は、前記不在情報及び前記ログイン情報に基づき、前記上位権限者が不在で、且つ、ログインしていない場合のみ前記上位権限者がアクセス不可と判断することを特徴とする請求項1に記載の情報処理装置。
【請求項3】
前記情報処理装置は、外部システムと接続され、前記外部システムから各ユーザの前記不在情報が送信され、前記判断手段は、前記外部システムから送信された前記不在情報に基づいて前記上位権限者が不在か否かを判断することを特徴とする請求項2に記載の情報処理装置。
【請求項4】
前記外部システムは、各ユーザの入退場を管理する入退場管理システムであることを特徴とする請求項3に記載の情報処理装置。
【請求項5】
上位権限者に付与されたアクセス権を予め指定された代理人に一時的に代理アクセス権として付与する代理アクセス権付与方法であって、
判断手段が、前記上位権限者が装置にアクセス可能か否かを判断するステップと、
付与手段が、前記上位権限者と前記代理人との間の代理アクセス権の付与に関する情報を管理するアクセス権管理テーブルを参照して前記代理人に代理アクセス権が付与されている際に前記判断手段の判断に基づき前記上位権限者がアクセス不可の場合のみ前記代理人に代理アクセス権を付与するステップと、
を含むことを特徴とする代理アクセス権付与方法。
【請求項6】
上位権限者に付与されたアクセス権を予め指定された代理人に、一時的に代理アクセス権として付与する情報処理装置としてコンピュータを機能させるためのプログラムであって、
前記コンピュータを、
前記上位権限者が装置にアクセス可能か否かを判断する判断手段と、
前記上位権限者と前記代理人との間の代理アクセス権の付与に関する情報を管理するアクセス権管理テーブルを参照して前記代理人に代理アクセス権が付与されている際に前記判断手段の判断に基づき前記上位権限者がアクセス不可の場合のみ前記代理人に代理アクセス権を付与する付与手段と、
して機能させるためのプログラム。
【請求項1】
上位権限者に付与されたアクセス権を予め指定された代理人に一時的に代理アクセス権として付与する情報処理装置であって、
前記上位権限者と前記代理人との間の代理アクセス権の付与に関する情報を管理するアクセス権管理テーブルと、
前記上位権限者が装置にアクセス可能か否かを判断する判断手段と、
前記アクセス権管理テーブルを参照して前記代理人に代理アクセス権が付与されている際に前記判断手段の判断に基づき前記上位権限者がアクセス不可の場合のみ前記代理人に代理アクセス権を付与する付与手段と、
を備えたことを特徴とする情報処理装置。
【請求項2】
前記上位権限者が不在か否かの不在情報を管理する手段と、前記上位権限者が装置にログインしているか否かのログイン情報を管理する手段とを有し、前記判断手段は、前記不在情報及び前記ログイン情報に基づき、前記上位権限者が不在で、且つ、ログインしていない場合のみ前記上位権限者がアクセス不可と判断することを特徴とする請求項1に記載の情報処理装置。
【請求項3】
前記情報処理装置は、外部システムと接続され、前記外部システムから各ユーザの前記不在情報が送信され、前記判断手段は、前記外部システムから送信された前記不在情報に基づいて前記上位権限者が不在か否かを判断することを特徴とする請求項2に記載の情報処理装置。
【請求項4】
前記外部システムは、各ユーザの入退場を管理する入退場管理システムであることを特徴とする請求項3に記載の情報処理装置。
【請求項5】
上位権限者に付与されたアクセス権を予め指定された代理人に一時的に代理アクセス権として付与する代理アクセス権付与方法であって、
判断手段が、前記上位権限者が装置にアクセス可能か否かを判断するステップと、
付与手段が、前記上位権限者と前記代理人との間の代理アクセス権の付与に関する情報を管理するアクセス権管理テーブルを参照して前記代理人に代理アクセス権が付与されている際に前記判断手段の判断に基づき前記上位権限者がアクセス不可の場合のみ前記代理人に代理アクセス権を付与するステップと、
を含むことを特徴とする代理アクセス権付与方法。
【請求項6】
上位権限者に付与されたアクセス権を予め指定された代理人に、一時的に代理アクセス権として付与する情報処理装置としてコンピュータを機能させるためのプログラムであって、
前記コンピュータを、
前記上位権限者が装置にアクセス可能か否かを判断する判断手段と、
前記上位権限者と前記代理人との間の代理アクセス権の付与に関する情報を管理するアクセス権管理テーブルを参照して前記代理人に代理アクセス権が付与されている際に前記判断手段の判断に基づき前記上位権限者がアクセス不可の場合のみ前記代理人に代理アクセス権を付与する付与手段と、
して機能させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2013−33420(P2013−33420A)
【公開日】平成25年2月14日(2013.2.14)
【国際特許分類】
【出願番号】特願2011−169997(P2011−169997)
【出願日】平成23年8月3日(2011.8.3)
【出願人】(303013763)NECエンジニアリング株式会社 (651)
【Fターム(参考)】
【公開日】平成25年2月14日(2013.2.14)
【国際特許分類】
【出願日】平成23年8月3日(2011.8.3)
【出願人】(303013763)NECエンジニアリング株式会社 (651)
【Fターム(参考)】
[ Back to top ]