情報管理装置および方法
【課題】管理対象の識別情報に他の情報処理システムのユーザの識別情報を容易に取込んで管理することができる情報管理装置および方法を提供する。
【解決手段】識別情報を管理する情報管理装置400に、第1の定義情報に含まれる役割情報に基づいて、利用者に対応付けられた第1の情報処理システムにおける識別情報を含む第1の管理情報を生成する管理情報生成部420と、第1の管理情報と、第1の情報処理システムと異なる第2の情報処理システムで使用される利用者の識別情報を含む第2の管理情報と、の不整合を検出する不整合検出部430と、第1の定義情報において、役割情報と、第2の情報処理システムまたは利用者と、の関係を変更することにより不整合を是正する1または2以上の不整合是正案を作成する不整合是正案作成部440と、不整合是正案を実行して不整合を是正する不整合是正案実行部450と、を備える。
【解決手段】識別情報を管理する情報管理装置400に、第1の定義情報に含まれる役割情報に基づいて、利用者に対応付けられた第1の情報処理システムにおける識別情報を含む第1の管理情報を生成する管理情報生成部420と、第1の管理情報と、第1の情報処理システムと異なる第2の情報処理システムで使用される利用者の識別情報を含む第2の管理情報と、の不整合を検出する不整合検出部430と、第1の定義情報において、役割情報と、第2の情報処理システムまたは利用者と、の関係を変更することにより不整合を是正する1または2以上の不整合是正案を作成する不整合是正案作成部440と、不整合是正案を実行して不整合を是正する不整合是正案実行部450と、を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、複数の情報を管理する情報管理装置および方法に関する。
【背景技術】
【0002】
従来、複数の業務システムで使用されるアカウントやIdentityと称する特徴を示す情報などを管理するための情報管理装置が知られている。情報管理装置は、ユーザに割当てる、業務システムのアカウントを管理し、各業務システムにアカウントの情報を提供する。これをアカウントプロビジョニング(account provisioning)という。業務システムでは、提供されたアカウントの情報を基にアカウントが作成される。
【0003】
ロールベース(role base)を利用してアカウントプロビジョニングを行なう情報管理装置では、複数のロール(”ROLE”)が定義され、各ロールに対して1または2以上の業務システムが対応付けられる。そして、ロールに対してユーザが割当てられる。これらの関係は、情報管理装置に定義情報として記憶される。
【0004】
例えば、「経理部」ロールを定義し、経理部のユーザがアカウントを持つ必要がある業務システムを「経理部」ロールに対応付ける。そして、経理部に所属するユーザに「経理部」ロールを割当てる。その結果、人事異動により所属が変わった場合でも、ユーザの「経理部」ロールに対する割当てを変更するだけで、アカウントの変更をすることができる。すなわち、個々の業務システムを意識することなく人事異動に合わせたアカウントの変更が可能となる。このように、ロールベースを利用すると、アカウントの管理が容易になる。
【0005】
図1に、定義情報を説明する図を示す。図1に示すように、定義情報100には、ロール1からロール4が定義されている。そして、ロール1に対して業務システム1、ロール2に対して業務システム1および2、ロール3に対して業務システム3および4、そして、ロール4に対して業務システム4が対応付けられている。また、ロール1に対してユーザAおよびC、ロール2に対してユーザBおよびE、ロール3に対してユーザB、CおよびD、ロール4に対してユーザFが割当てられている。
【0006】
情報管理装置は、定義情報100に基づいて、情報管理装置に登録されているユーザ毎のアカウントを管理するアカウント管理情報を生成する。
図2に、アカウント管理情報を説明する図を示す。図2に示すように、アカウント管理情報200には、ユーザ毎に、業務システムで使用するアカウントが定義されている。例えば、ユーザAには、業務システム1で使用するアカウントAが定義されている。
【0007】
上述のように、ユーザに割当てる、業務システムのアカウントは、ロールを介して定義されることになる。そして、情報管理装置は、アカウント管理情報にしたがって、アカウントプロビジョニングを行なう。
【0008】
上記技術に関連して、IDとパスワードのユーザ認証システムと公開鍵証明書のユーザ認証システムとが共存する環境で、ID管理と証明書管理とを同時に行い、ID管理で本来解決すべきユーザやシステム管理者の作業を効率化するユーザ情報管理システムが知られている。
【0009】
また、クロスアプリケーション機能またはローカル監視、報告、または予防などのリアルタイム機能を使用可能にするCBBA(Computer Base Business Application)管理システムが知られている。
【先行技術文献】
【特許文献】
【0010】
【特許文献1】特開2008−234451号公報
【特許文献2】国際公開WO2006/127676号パンフレット
【発明の概要】
【発明が解決しようとする課題】
【0011】
ロールベースを用いてアカウントプロビジョニングを行なう情報管理装置は、定義情報100にしたがって、情報管理装置に登録されているユーザにロールが割り当てられると、アカウント管理情報200を作成する。各業務システムでは、情報管理装置が提供するアカウント管理情報200を基にアカウントが作成される。
【0012】
その結果、ユーザは、割り当てられたロールに応じて適切な業務システムのみにアカウントを持つことができる。言い換えると、情報管理装置は、ユーザに割り当てられたロールとユーザが持つアカウントの整合性が保たれるように、業務システムのアカウントを管理する。
【0013】
一方、情報管理装置で管理していない既存の業務システムのアカウントを情報管理装置で管理するには、既存の業務システムのアカウントの情報を情報管理装置に取り込んで、ユーザと関連付ける必要がある。以下、既存の業務システムのアカウントを「既存アカウント」という。
【0014】
図3に示すように、単にアカウント管理情報200に既存アカウント301の情報を追加したアカウント管理情報300は、ロールの割当てから決まるアカウント管理情報200との整合性が崩れてしまう。すなわち、既存アカウント301をアカウント管理情報200に取り込むとロールとアカウントの整合性が崩れてしまうという問題がある。
【0015】
そのため、ID管理者は、既存アカウント301をアカウント管理情報200に取り込んだ後に別途ロールの設定など定義情報100を変更して整合性を回復させる必要があった。例えば、情報管理装置に追加する業務システムを、既存のロールまたは新たに作成したロールに対応付けるとともに、対応付けたロールをユーザに割り当てるなどして、ロールの割当てから決まるアカウント管理情報200に既存アカウント301を含める必要があった。
【0016】
本情報管理装置が解決しようとする課題は、アカウント管理をおこなう情報管理装置において、管理対象の識別情報に他の情報処理システムのユーザの識別情報を容易に取込んで管理することができる情報管理装置および方法を提供することである。
【課題を解決するための手段】
【0017】
本情報管理装置の1つの観点によれば、本情報管理装置は、1または2以上の情報処理システムで使用される利用者の識別情報を管理する情報管理装置において、以下の構成要素を備える。
【0018】
定義情報記憶部は、任意の役割を定義した役割情報と、前記役割情報に対応付けられた第1の情報処理システムと、前記役割情報に割当てられた前記利用者と、を含む第1の定義情報を記憶する記憶手段である。
【0019】
管理情報生成部は、前記定義情報記憶部から前記第1の定義情報を読み出し、前記第1の定義情報に含まれる前記役割情報に基づいて、前記利用者に対応付けられた前記第1の情報処理システムにおける前記識別情報を含む第1の管理情報を生成する。
【0020】
不整合検出部は、前記第1の管理情報と、前記第1の情報処理システムと異なる第2の情報処理システムで使用される利用者の識別情報を含む第2の管理情報と、の不整合を検出する。
【0021】
不整合是正案作成部は、前記第1の定義情報において、前記役割情報と、前記第2の情報処理システムまたは前記利用者と、の関係を変更することにより前記不整合を是正する1または2以上の不整合是正案を作成する。
【0022】
不整合是正案実行部は、前記不整合是正案を実行して前記不整合を是正する。
【発明の効果】
【0023】
本情報管理装置によると、管理対象の識別情報に他のシステムのユーザの識別情報を容易に取込んで管理することができる情報管理装置および方法を提供することができる。
【図面の簡単な説明】
【0024】
【図1】定義情報を説明する図である。
【図2】アカウント管理情報を説明する図である。
【図3】アカウント管理情報に既存アカウントを取込む場合の例を説明する図である。
【図4】第1の実施例に係る情報管理装置を説明する図である。
【図5】第2の実施例に係る情報管理装置を使用する情報処理システムの構成例を示す図である。
【図6】第2の実施例に係る定義情報を説明する図である。
【図7】第2の実施例に係るアカウント管理情報を説明する図である。
【図8】第2の実施例に係る既存の業務システムを説明する図である。
【図9】第2の実施例に係る更新定義情報を説明する図である。
【図10】第2の実施例に係る情報管理装置の処理の概要を示すフローチャートである。
【図11】第2の実施例に係る更新アカウント情報の例を示す図である。
【図12】第2の実施例に係る不整合是正案の候補リストを作成する処理(ステップS1005)のフローチャートである。
【図13】第2の実施例に係る不整合アカウントを持つユーザに割当てられているロールを選択する処理(ステップS1202)を示すフローチャートである。
【図14】第2の実施例に係る既存の業務システムに対応しているロールを選択する処理(ステップS1204)を示すフローチャートである。
【図15】第2の実施例に係る情報管理装置が作成する候補リストの表示例を示す図である。
【図16】第2の実施例に係る情報管理装置の具体的な構成例を示す図である。
【発明を実施するための形態】
【0025】
以下、本実施形態の一例について、図4〜図16に基づいて説明する。
【実施例1】
【0026】
図4は、第1の実施例に係る情報管理装置400を説明する図である。
図4に示す情報管理装置400は、定義情報記憶部410と、管理情報生成部420と、不整合検出部430と、不整合是正案作成部440と、不整合是正案実行部450と、を備える情報処理装置である。情報管理装置400は、第1の情報処理システム1〜nそれぞれとネットワークまたは専用線などを介して通信可能に接続されている。また、情報管理装置400は、第2の情報処理システムともネットワークまたは専用線などを介して通信可能に接続することができる。
【0027】
第1の情報処理システム1〜nは、利用者の識別情報が情報管理装置400によって管理されている情報処理システムである。また、第2の情報処理システムは、利用者の識別情報が情報管理装置400によって管理されていない情報処理システムである。なお、図4には、第2の情報処理システムを1つだけ示しているが複数あってもよい。
【0028】
第1の情報処理システム1〜nは、それぞれ所定の業務などを遂行する情報処理装置である。各第1の情報処理システム1〜nは、1または2以上の情報処理装置を含むことができる。同様に、第2の業務システムは、所定の業務などを遂行する情報処理装置である。第2の業務システムは、1または2以上の情報処理装置を含むことができる。
【0029】
定義情報記憶部410は、任意の役割を定義した役割情報と、役割情報に対応付けられた第1の情報処理システム1〜nと、役割情報に割当てられた利用者と、を含む第1の定義情報411を記憶する記憶装置である。
【0030】
管理情報生成部420は、定義情報記憶部410から第1の定義情報411を読み出し、第1の定義情報411に含まれる役割情報に基づいて、利用者に対応付けられた第1の情報処理システム1〜nにおける識別情報を含む第1の管理情報421を生成する。
【0031】
不整合検出部430は、第1の管理情報421と、第1の情報処理システム1〜nと異なる第2の情報処理システムで使用される利用者の識別情報を含む第2の管理情報460と、の不整合を検出する。なお、第2の管理情報460は、利用者等によって入力装置を介して入力される。
【0032】
ここで、不整合検出部430は、第2の管理情報460に登録されている識別情報が第1の管理情報421に登録されている識別情報に全て含まれている場合に、第1の管理情報411と第2の管理情報460とが整合していると判断することができる。この場合、不整合検出部430は、第2の管理情報460に登録されている識別情報に、第1の管理情報421に登録されている識別情報と異なる識別情報を検出すると不整合と判断することができる。
【0033】
不整合是正案作成部440は、第1の定義情報411に関して、役割情報と、第2の情報処理システムまたは利用者と、の関係を変更することにより不整合を是正する1または2以上の不整合是正案441を作成する。情報管理装置400は、不整合是正案441をディスプレイ等の表示装置に出力して利用者等に選択を促すことができる。
【0034】
不整合是正案実行部450は、例えば、利用者等が入力装置を介して指定した不整合是正案を実行して不整合を是正する。
上述のように、不整合検出部430が検出した第1の管理情報421と第2の管理情報460との不整合について、不整合是正案作成部440は、不整合是正案441を作成する。利用者等は、不整合是正案441の中から必要な不整合是正案を選択して不整合是正案実行部450に実行させることにより、第1の定義情報411を変更し、第1の管理情報421と第2の管理情報460との不整合を是正することができる。
【0035】
その結果、管理情報生成部420は、第1の定義情報411に含まれる役割情報に基づいて、第1の情報処理システム1〜nにおける識別情報と、第2の情報処理システムにおける識別情報と、を含む第1の管理情報421を生成することが可能となる。すなわち、情報管理装置400は、第1の定義情報411を用いて、第1の情報処理システム1〜nの識別情報と第2の情報処理システムの識別情報とを全て管理することが可能となる。
【0036】
以上のように、情報管理装置400は、第2の情報処理システムのような管理対象外の情報処理システムを容易に管理対象に取込んで管理することができる効果を奏する。
【実施例2】
【0037】
図5は、本実施例に係る情報管理装置501を使用する情報処理システム500の構成例を示す図である。
図5に示す情報処理システム500は、業務システム1〜4と、情報管理装置501と、を備える。業務システム1〜4と、情報管理装置501と、はネットワークまたは専用線などで通信可能に接続されている。
【0038】
業務システム1は、所定のアプリケーションを実行することにより業務を遂行する情報処理装置である。業務システム1には、1または2以上の情報処理装置を含むことができる。また、業務システム1は、業務システム1を利用するユーザが使用するアカウントを管理するアカウント情報を備える。図5では、業務システム1が、アカウントA、B、CおよびEが登録されたアカウント情報を備える場合を示している。
【0039】
同様に、業務システム2〜4は、所定のアプリケーションを実行することにより業務を遂行する情報処理装置である。業務システム2〜4には、それぞれ1または2以上の情報処理装置を含むことができる。また、業務システム2〜4は、それぞれアカウント情報を備える。
【0040】
情報管理装置501は、ロールベースを利用してアカウントプロビジョニングを行なう情報処理装置である。
情報管理装置501は、業務システム1〜4の少なくとも1つを利用するユーザと業務システムとの関係をロールを用いて定義する定義情報502を備える。そして、情報管理装置501は、定義情報502にしたがって、ユーザのアカウントを含むアカウント管理情報503を生成し保持する。また、情報管理装置501は、アカウント管理情報503に登録されているアカウントのうち各業務システムに必要なアカウントの情報を、業務システム1〜4それぞれに配信する。このとき配信されるアカウントの情報を「アカウント配信情報」という。
【0041】
業務システム1〜4では、情報管理装置501から配信されたアカウント配信情報にしたがって、アカウント情報が作成される。このとき、各業務システム1〜4の管理者が、手動でアカウント配信情報にしたがってアカウント情報を作成してもよい。また、例えば、情報管理装置501が、アカウント配信情報の配信時に業務システム1〜4が提供するコマンド等を実行することで、各業務システム1〜4にアカウント情報を作成してもよい。
【0042】
なお、図5では、業務システムが4つある場合を例示したが、情報管理装置501が管理可能な業務システムの数を限定する趣旨ではない。業務システムは1つであってもよいし、5つ以上あってもよい。また、業務システム1〜4のアカウント情報に記載されているアカウントA〜Fは、単なる例示であることは当然である。
【0043】
図6は、本実施例に係る定義情報502を説明する図である。
図6に示す定義情報502は、ユーザ情報と、ロール情報と、業務システム情報と、を備える。これらユーザ情報、ロール情報、および業務システム情報は、Identityと称する特徴を示す情報の一例である。
【0044】
ユーザ情報は、業務システム1〜4のうち少なくとも1つの業務システムを使用するユーザを定義する情報を含む。また、ユーザ情報は、ユーザに割当てるロールを定義する情報を含む。例えば、ユーザが持つ後述の組織内の役割に対応するロールに、ユーザを割当てることができる。
【0045】
図6には、ユーザA、ユーザB、ユーザC、ユーザD、ユーザEおよびユーザFを含むユーザ情報の例を示している。そして、ユーザAにはロール1が、ユーザBにはロール2および3が、ユーザCにはロール1および3が、ユーザDにはロール3が、ユーザEにはロール2が、ユーザFにはロール4が、それぞれ割当てられているユーザ情報の例を示している。
【0046】
ロール情報は、ロールを定義する情報を含む。例えば、所属部署や役職など組織内の役割に対応するロールを定義することができる。また、ロール情報は、ロールに対応付ける業務システムを定義する情報を含む。例えば、ロールに対応する組織内の役割を遂行するために必要な業務システムを、ロールに対応付けることができる。
【0047】
図6には、ロール1、ロール2、ロール3およびロール4を含むロール情報の例を示している。そして、ロール1には業務システム1が、ロール2には業務システム1および2が、ロール3には業務システム3および4が、ロール4には業務システム4が、それぞれ対応付けられているロール情報の例を示している。
【0048】
業務システム情報は、任意の業務を遂行するために必要な処理を行なう業務システムに関する情報を含む。業務システムに関する情報には、業務システムを識別するための識別情報、例えば業務名などや、業務システムを特定するための情報、例えばIPアドレスなどを含めることができる。
【0049】
図6には、業務システム1、業務システム2、業務システム3および業務システム4を含む業務システム情報の例を示している。
【0050】
図7は、本実施例に係るアカウント管理情報503を説明する図である。
図7に示すアカウント管理情報503は、ユーザ毎に、業務システムのアカウントを備える。アカウント管理情報503は、情報管理装置501が定義情報502にしたがって生成する情報である。
【0051】
例えば、図6に示した定義情報502では、業務システム1と対応付けられたロール1がユーザAに割当てられている、という関係がある。この関係から、情報管理装置501は、ユーザAに関して、業務システム1のアカウントAを生成する。
【0052】
同様に、図6に示した定義情報502では、業務システム1および2と対応付けられたロール2と、業務システム3および4と対応付けられたロール3と、がユーザAに割当てられている、という関係がある。この関係から、情報管理装置501は、ユーザBに関して、業務システム1〜4のアカウントBを生成する。なお、業務システム毎に異なるアカウントを生成してもよいのは当然である。
【0053】
その他、ユーザC〜Fについても、ユーザAやBと同様の方法で、アカウントを生成することができる。
ここで、ユーザに割当てるアカウント、例えば、ユーザAに割当てるアカウントAやユーザBに割当てるアカウントBなどは、情報管理装置501に予め登録しておいてもよいし、任意の文字列を用いて自動生成してもよい。
【0054】
本実施例では、情報管理装置501が管理・保守する定義情報502に、情報管理装置501が管理していない既存の業務システム5を取込む場合の処理について以下に説明する。
【0055】
図8は、本実施例に係る既存の業務システム5を説明する図である。
図8に示す業務システム5は、所定のアプリケーションを実行することにより業務を遂行する情報処理装置である。業務システム5は、図5に示した業務システム1〜4と同様に、アカウント情報を備える。
【0056】
業務システム5のアカウント情報800には、ユーザAが使用するアカウントA、ユーザBが使用するアカウントB、ユーザCが使用するアカウントCおよびユーザEが使用するアカウントEが登録されている。ただし、図8に示す業務システム5のアカウント情報は例示であって、図8に示す内容に限定する趣旨ではない。以下、既存の業務システム5に備わるアカウント情報を「既存アカウント情報800」という。
【0057】
図9は、本実施例に係る更新定義情報900を説明する図である。
図9に示す更新定義情報900は、図6に示した定義情報502に変更を加えた定義情報である。図9には、ロール情報の一部と業務システム情報の一部に変更を加えた場合の例を示している。
【0058】
具体的には、ロール情報に関して、ロール1および4に業務システム5を対応付ける変更が行なわれている。また、業務システム情報には、業務システム5を追加する変更が行なわれている。なお、図9に示す更新定義情報900は、定義情報502を変更する一例を示すものであって、これに限定する趣旨ではない。
【0059】
図10は、本実施例に係る情報管理装置501の処理の概要を示すフローチャートである。
ステップS1001において、情報管理装置501は、情報管理装置501に備わる入力装置を介して入力される既存アカウント情報800を取得する。また、情報管理装置501は、必要に応じて情報管理装置501に備わる入力装置を介して入力される更新定義情報900を取得する。
【0060】
なお、更新定義情報900の入力は必須ではない。したがって、更新定義情報900が入力されない場合、情報管理装置501は、既に作成してある定義情報502を更新定義情報900として用いることができる。
【0061】
ステップS1002において、情報管理装置501は、更新定義情報900から新たなアカウント情報を生成する。このとき生成されるアカウント情報を「更新アカウント情報1100」という。図11に、更新アカウント情報1100の例を示す。図11に示す更新アカウント情報1100は、図9に示した更新定義情報900からアカウント情報を生成した場合の例を示している。
【0062】
例えば、更新定義情報900は、ユーザAおよびCに割当てられたロール1に業務システム5を対応付ける変更が行なわれている。そのため、変更アカウント情報1100のユーザAには、業務システム5のアカウントAが追加され、更新アカウント情報1100のユーザCには、業務システム5のアカウントCが追加されている。
【0063】
また、更新定義情報900は、ユーザFに割当てられたロール4に業務システム5を対応付ける変更が行なわれている。そのため、更新アカウント情報1100のユーザFには、業務システム5のアカウントFが追加されている。
【0064】
ステップS1003において、情報管理装置501は、既存アカウント情報800と更新アカウント情報1100とを比較する。そして、情報管理装置501は、既存アカウント情報800と更新アカウント情報1100との不整合を検出する。
【0065】
既存アカウント情報800に登録された全てのアカウントが更新アカウント情報1100に含まれる場合、情報管理装置501は、既存アカウント情報800と更新アカウント情報1100が整合すると判断する。
【0066】
そして、既存アカウント情報800に登録されたアカウントの一部または全部のアカウントが更新アカウント情報1100に含まれない場合、情報管理装置501は、既存アカウント情報800と更新アカウント情報1100が不整合である判断する。以下、既存アカウント情報800に登録されているアカウントのうち、更新アカウント情報1100に含まれないアカウントを「不整合アカウント」という。
【0067】
例えば、更新アカウント情報1100を参照すると、ユーザBのアカウントに、業務システム5のアカウントBが含まれていない。同様に、ユーザEのアカウントに、業務システム5のアカウントEが含まれていない。
【0068】
この場合、既存アカウント情報800に登録されたアカウントの一部が更新アカウント情報1100に含まれないので、情報管理装置501は、不整合を検出する。このとき、情報管理装置501は、不整合アカウントとして、業務システム5のアカウントBおよびEを検出する。
【0069】
ステップS1004において、情報管理装置501は、ステップS1003の処理で検出した不整合アカウントのうちから1つを選択し、選択した不整合アカウントについて不整合を是正する不整合是正案の候補リストを作成する。そして、ステップS1005において、情報管理装置501は、作成した不整合是正案の候補リストをディスプレイ等の表示装置に出力する。その後、情報管理装置501は、ユーザからの指示待ちの状態となる。
【0070】
ステップS1006において、情報管理装置501が備える入力装置を介して、ユーザからの指示を検出すると、情報管理装置501は、処理をステップS1007に移行する。そして、ステップS1007において、情報管理装置501は、ステップS1006で指示された不整合是正案を実行する。
【0071】
ステップS1008において、情報管理装置501は、ステップS1007における不整合是正案の実行により、定義情報502のロール情報に変更があったか否かを判別する。そして、定義情報502のロール情報に変更があったと判断すると(ステップS1008 YES)、情報管理装置501は処理をステップS1002に移行する。定義情報502のロール情報に変更はない判断すると(ステップS1008 NO)、情報管理装置501は、ステップS1003で検出した全ての不整合アカウントについてステップS1004〜S1008の処理を実施したか否かを判別する(ステップS1009)。
【0072】
ステップS1004〜S1008の処理を実行していない不整合アカウントがある場合(ステップS1009 NO)、情報管理装置501は、処理をステップS1004に移行する。また、全ての不整合アカウントに対してステップS1004〜S1008の処理を実施した場合(ステップS1009 YES)、情報管理装置501は、処理をステップS1010に移行する。
【0073】
ステップS1010において、情報管理装置501は、ステップS1002〜S1009の処理によって不整合が是正された定義情報にしたがって、新たなアカウント情報を生成する。そして、情報管理装置501は、業務システム毎に、必要なアカウントを含むアカウント配信情報を生成して配信する。
【0074】
ただし、ユーザが後述する「既存の業務システムから不整合アカウントを削除する処理」を選択した場合、情報管理装置501は、アカウント配信情報の配信に代えて、既存の業務システムに対して、不整合アカウントを削除する旨の指示を行なうことができる。
【0075】
図12は、本実施例に係る不整合是正案の候補リストを作成する処理(ステップS1005)のフローチャートである。
ステップS1201において、情報管理装置501は、不整合是正案を格納する候補リストを作成し、何も登録されていない状態に候補リストを初期化する。なお、候補リストは、1または2以上の不整合是正案を格納する一定サイズの記憶領域についての情報を意味するが、リスト構造などを用いて実現してもよい。
【0076】
ステップS1202において、情報管理装置501は、更新定義情報900を参照し、「ステップS1004で選択した不整合アカウントを持つユーザに割当てられているロール」を1つ選択する。そして、ステップS1203において、情報管理装置501は、「ステップS1202で選択したロールに、既存の業務システムを対応付ける処理」を候補リストに追加する。
【0077】
同様に、ステップS1202およびS1203の処理は、「ステップS1004で選択した不整合アカウントを持つユーザに割当てられているロール」の全てに対して行うことができる。その結果、例えば、図15の候補リストの1.や2.に示す処理がステップS1202およびS1203によって候補リストに追加される。
【0078】
ステップS1204において、情報管理装置501は、更新定義情報900を参照し、「既存の業務システムに対応しているロール」を1つ選択する。そして、ステップS1205において、情報管理装置501は、「ステップS1204で選択したロールを、不整合アカウントを持つユーザに割当てる処理」を候補リストに追加する。
【0079】
同様に、ステップS1204およびS1205の処理は、「既存の業務システムに対応しているロール」の全てに対して行うことができる。その結果、例えば、図15の候補リストの3.や4.に示す処理がステップS1204およびS1205によって候補リストに追加される。
【0080】
なお、ステップS1204およびS1205の処理は、更新定義情報900に「既存の業務システムに対応しているロール」が存在する場合にだけ実行することができる。したがって、例えば、ステップS1001において、既存アカウント情報800のみが入力された場合、ステップS1204およびS1205の処理はスキップされる。ただし、その後の処理(ステップS1007)で、定義情報502のロール情報が変更されて「既存の業務システムに対応しているロール」が存在するようになれば、ステップS1204およびS1205は実行される。
【0081】
ステップS1206において、情報管理装置501は、「新規のロールを追加し、新規のロールに既存の業務システムを対応付け、不整合アカウントを持つユーザに新規のロールを割当てる処理」を候補リストに追加する。例えば、図15の候補リストの5.に示す処理がステップS1206によって候補リストに追加される。
【0082】
ステップS1207において、情報管理装置501は、「既存の業務システムから不整合アカウントを削除する処理」を候補リストに追加する。例えば、図15の候補リストの6.に示す処理がステップS1207によって候補リストに追加される。
【0083】
以上の処理が終了すると、情報管理装置501は、候補リストを作成する処理を終了する(ステップS1208)。
図13は、本実施例に係る「不整合アカウントを持つユーザに割当てられているロール」を選択する処理(ステップS1202)を示すフローチャートである。
【0084】
ステップS1301において、情報管理装置501は、ステップS1003の処理により検出された不整合アカウントを持つユーザをリストアップする。例えば、図8に示した既存アカウント情報800と図9に示した更新定義情報900を使用した場合、ステップS1003の処理で不整合と検出されたアカウントBのユーザBとアカウントEのユーザEとがリストアップされる。
【0085】
ステップS1302において、情報管理装置501は、「不整合アカウントを持つユーザに割当てられているロール」毎に、「不整合アカウントを持つユーザに割当てられているロール」を割当てられているユーザのうち、ステップS1301でリストアップしたユーザの数をカウントする。
【0086】
例えば、図9に示した更新定義情報900を参照すると、「ユーザBに割当てられているロール2」を割当てられているユーザのうち、ステップS1301でリストアップしたユーザはユーザBとユーザEの2つである。また、「ユーザBに割当てられているロール3」を割当てられているユーザのうち、ステップS1301でリストアップしたユーザはユーザBの1つである。
【0087】
ステップS1303において、情報管理装置501は、ステップS1302でカウントしたカウント値の大きい順に、「不整合アカウントを持つユーザに割当てられているロール」をソートする。そして、情報管理装置501は、カウント値の最も大きいロールを1つ選択する(ステップS1304)。
以上の処理が終了すると、情報管理装置501は、不整合アカウントを持つユーザに割当てられているロールを選択する処理を終了する(ステップS1305)。
【0088】
図14は、本実施例に係る「既存の業務システムに対応しているロール」を選択する処理(ステップS1204)を示すフローチャートである。
ステップS1401において、情報管理装置501は、既存アカウント情報800から不整合アカウントを除くアカウントを持つユーザをリストアップする。例えば、図8に示した既存アカウント情報800と図9に示した更新定義情報900を使用した場合、ステップS1003の処理で不整合と検出されたアカウント以外のアカウントAおよびCそれぞれのユーザAおよびCがリストアップされる。
【0089】
ステップS1402において、情報管理装置501は、「既存の業務システムに対応しているロール」毎に、「既存の業務システムに対応しているロール」を割当てられているユーザのうち、ステップS1401でリストアップしたユーザの数をカウントする。
【0090】
例えば、図9に示した更新定義情報900を参照すると、「業務システム5に対応しているロール1」を割当てているユーザのうち、ステップS1401でリストアップしたユーザはユーザAとユーザCの2つである。また、「業務システム5に対応しているロール4」を割当てているユーザのうち、ステップS1401でリストアップしたユーザは0である。
【0091】
ステップS1403において、情報管理装置501は、ステップS1403でカウントしたカウント値の大きい順に、「既存の業務システムに対応しているロール」をソートする。そして、情報管理装置501は、カウント値の最も大きいロールを1つ選択する(ステップS1404)。
【0092】
以上の処理が終了すると、情報管理装置501は、既存の業務システムに対応しているロールを選択する処理を終了する(ステップS1405)。
【0093】
図15は、本実施例に係る情報管理装置501が作成する候補リストの表示例を示す図である。
図15では、図9に示したように、業務システム5を定義情報502の業務システム情報に追加し、ロール1とロール4に業務システム5を対応付ける変更をロール情報に対して行なった場合に情報管理装置501が作成する候補リストの表示例を示している。
【0094】
図16は、本実施例に係る情報管理装置501の具体的な構成例を示す図である。
図16に示す情報管理装置501は、CPU1601、メモリ1602、入力装置1603、出力装置1604、外部記録装置1605、媒体駆動装置1606および、ネットワーク接続装置1608を備える。そして、各装置はバスに接続されて相互にデータの受け渡しを行なうことが可能となっている。
【0095】
CPU1601は、周辺機器や各種ソフトウェアを実行する他に本実施例に係る情報管理を実現するプログラムを実行する装置である。
メモリ1602は、プログラムを実行するためにデータ等を記憶する装置である。メモリ1602には、例えば、RAM(Random Access Memory)などの揮発メモリを使用することができる。
【0096】
入力装置1603は、外部から情報管理装置501にデータを入力する装置である。入力装置1603には、例えば、キーボードやマウスなどを使用することができる。
出力装置1604は、データ等を表示装置に出力する装置である。なお、出力装置1604には、ディスプレイ装置などの表示装置も含むことができる。
【0097】
外部記録装置1605は、情報管理装置501が動作するために必要なプログラムやデータの他に本実施例に係る情報管理を実現するプログラムを記録する装置である。外部記憶装置1605には、例えば、磁気ディスク記憶装置などの不揮発性メモリを使用することができる。
【0098】
媒体駆動装置1606は、メモリ1602や外部記録装置1605のデータを可搬記録媒体1607、例えば、フロッピイディスクやMOディスク、CD−RやDVD−Rなどに出力し、可搬記録媒体1607からプログラムやデータ等を読み出す装置である。
ネットワーク接続装置1608は、ネットワーク1609に接続する装置である。
【0099】
なお、図16に示す構成は、情報管理装置501の構成の一例を示すものである。したがって、情報管理装置501の構成を図16に示す構成に限定する趣旨ではない。図16に示す装置から不要となるものは省略してもよいし、必要となる装置を新たに追加してもよい。
【0100】
上述のように、情報管理装置501は、更新アカウント情報1100と既存アカウント情報800との不整合について、不整合是正案の候補リストを作成し(ステップS1004)、不整合是正案の候補リストを表示する(ステップS1005)。そして、情報管理装置501は、ユーザが指示する不整合是正案を実行することにより、定義情報502を変更し、更新アカウント情報1100と既存アカウント情報800との不整合を是正する(ステップS1007)。
【0101】
その結果、情報管理装置501は、定義情報502のロール情報に基づいて、もともと管理対象であった業務システム1〜4におけるアカウントと、新たに管理対象に追加した業務システム5におけるアカウントと、を含むアカウント管理情報を生成することが可能となる。すなわち、情報管理装置501は、定義情報502を用いて、業務システム1〜5のアカウントを全て管理することが可能となる。
【0102】
以上のように、情報管理装置501は、容易に、既存のシステム、例えば、業務システム5で使用するアカウントを新たに管理対象に取込んで管理することができる効果を奏する。
【0103】
また、情報管理装置501は、更新アカウント情報1100と既存アカウント情報800との不整合を是正するように、定義情報502を変更する。そのため、アカウントの管理者が、不整合に気付かず、例えば、本来アカウントを持つべきでないユーザにアカウントを持たせ続けるといったリスクを回避することができる。
【0104】
また、アカウントの管理者は、情報管理装置501が作成する不整合是正案の候補リストから不整合是正案を選択することで、更新アカウント情報1100と既存アカウント情報800との不整合を是正することができる。これにより、アカウントの管理者のアカウント管理の負担を軽減することができる。
【0105】
また、アカウントの管理者は、必要に応じて、情報管理装置501が作成する不整合是正案の候補リストから、ロールを定義する不整合是正案を選択することができる。そのため、ロールの管理が容易となる効果を奏する。
【0106】
以上の実施例を含む実施形態に関し、さらに以下の付記を開示する。
(付記1)
1または2以上の情報処理システムで使用される利用者の識別情報を管理する情報管理装置において、
任意の役割を定義した役割情報と、前記役割情報に対応付けられた第1の情報処理システムと、前記役割情報に割当てられた前記利用者と、を含む第1の定義情報を記憶する定義情報記憶部と、
前記定義情報記憶部から前記第1の定義情報を読み出し、前記第1の定義情報に含まれる前記役割情報に基づいて、前記利用者に対応付けられた前記第1の情報処理システムにおける前記識別情報を含む第1の管理情報を生成する管理情報生成部と、
前記第1の管理情報と、前記第1の情報処理システムと異なる第2の情報処理システムで使用される利用者の識別情報を含む第2の管理情報と、の不整合を検出する不整合検出部と、
前記第1の定義情報において、前記役割情報と、前記第2の情報処理システムまたは前記利用者と、の関係を変更することにより前記不整合を是正する1または2以上の不整合是正案を作成する不整合是正案作成部と、
前記不整合是正案を実行して前記不整合を是正する不整合是正案実行部と、
を備える情報管理装置。
(付記2)
前記管理情報生成部は、利用者からの指示にしたがって、前記役割情報に対して前記第2の情報処理システムとの対応付けを追加した第2の定義情報に基づいて、前記利用者に対応付けられた前記第1または第2の情報処理システムにおける前記識別情報を含む第3の管理情報を生成し、
前記不整合検出部は、前記第2の管理情報と前記第3の管理情報との不整合を検出する、付記1に記載の情報管理装置。
(付記3)
前記不整合是正案作成部は、前記不整合検出部が検出した不整合識別情報に対応付けられた前記利用者に割当てられた前記役割情報に対して、前記第2の情報処理システムを対応付ける不整合是正案を作成する、付記1に記載の情報管理装置。
(付記4)
前記不整合是正案作成部は、前記不整合検出部が検出した不整合識別情報に対応付けられた前記利用者に割当てられた前記役割情報が複数ある場合には、不整合識別情報に対応付けられた前記利用者に最も多く割当てられている前記役割情報から順に、前記新たな情報処理システムを対応付ける不整合是正案を作成する、付記3に記載の情報管理装置。
(付記5)
前記不整合是正案作成部は、前記不整合検出部が検出した不整合識別情報に対応付けられた前記利用者に対して、前記第2の情報処理システムに対応付けられた前記役割情報を割当てる不整合是正案を作成する、付記1に記載の情報管理装置。
(付記6)
前記不整合是正案作成部は、前記第2の情報処理システムに対応付けられた前記役割情報が複数ある場合には、前記不整合検出部が検出した不整合識別情報以外の識別情報に対応付けられた前記利用者に最も多く割当てられている前記役割情報を、前記不整合検出部が検出した不整合識別情報に対応付けられた前記利用者に対して割当てる不整合是正案を作成する、付記5に記載の情報管理装置。
(付記7)
前記不整合是正案作成部は、前記第1の管理情報に、新たな役割情報を追加し、前記新たな役割情報に前記第2の情報処理システムを対応付けるとともに、前記新たな役割情報に前記不整合検出部が検出した不整合識別情報に対応付けられた前記利用者を割当てる不整合是正案を作成する、付記1に記載の情報管理装置。
(付記8)
前記不整合是正案作成部は、前記第2の情報処理システムに備わる前記第2の管理情報から、前記不整合検出部が検出した不整合識別情報を削除する不整合是正案を作成する、付記1に記載の情報管理装置。
(付記9)
前記不整合是正案作成部は、
前記不整合検出部が検出した不整合識別情報に対応付けられた前記利用者に割当てられた前記役割情報に対して、前記第2の情報処理システムを対応付ける不整合是正案と、
前記不整合検出部が検出した不整合識別情報に対応付けられた前記利用者に対して、前記第2の情報処理システムに対応付けられた前記役割情報を割当てる不整合是正案と、
前記第1の管理情報に、新たな役割情報を追加し、前記新たな役割情報に前記第2の情報処理システムを対応付けるとともに、前記新たな役割情報に前記不整合検出部が検出した不整合識別情報に対応付けられた前記利用者を割当てる不整合是正案と、
前記第2の情報処理システムに備わる前記第2の管理情報から、前記不整合検出部が検出した不整合識別情報を削除する不整合是正案と、
のうち少なくとも1つを作成する、付記1に記載の情報管理装置。(
(付記10)
1または2以上の情報処理システムで使用される利用者の識別情報を管理する方法において、
任意の役割を定義した役割情報と、前記役割情報に対応付けられた第1の情報処理システムと、前記役割情報に割当てられた前記利用者と、を含む第1の定義情報を記憶する定義情報記憶部から前記第1の定義情報を読み出し、前記第1の定義情報に含まれる前記役割情報に基づいて、前記利用者に対応付けられた前記第1の情報処理システムにおける前記識別情報を含む第1の管理情報を生成する管理情報生成処理と、
前記第1の管理情報と、前記第1の情報処理システムと異なる第2の情報処理システムで使用される利用者の識別情報を含む第2の管理情報と、の不整合を検出する不整合検出処理と、
前記第1の定義情報において、前記役割情報と、前記第2の情報処理システムまたは前記利用者と、の関係を変更することにより前記不整合を是正する1または2以上の不整合是正案を作成する不整合是正案作成処理と、
前記不整合是正案を実行して前記不整合を是正する不整合是正案実行処理と、
を行う方法。
(付記11)
前記管理情報生成処理は、利用者からの指示にしたがって、前記役割情報に対して前記第2の情報処理システムとの対応付けを追加した第2の定義情報に基づいて、前記利用者に対応付けられた前記第1または第2の情報処理システムにおける前記識別情報を含む第3の管理情報を生成し、
前記不整合検出処理は、前記第2の管理情報と前記第3の管理情報との不整合を検出する、付記10に記載の方法。
(付記12)
前記不整合是正案作成処理は、前記不整合検出処理で検出した不整合識別情報に対応付けられた前記利用者に割当てられた前記役割情報に対して、前記第2の情報処理システムを対応付ける不整合是正案を作成する、付記10に記載の方法。
(付記13)
前記不整合是正案作成処理は、前記不整合検出処理で検出した不整合識別情報に対応付けられた前記利用者に対して、前記第2の情報処理システムに対応付けられた前記役割情報を割当てる不整合是正案を作成する、付記10に記載の方法。
(付記14)
前記不整合是正案作成処理は、前記第1の管理情報に、新たな役割情報を追加し、前記新たな役割情報に前記第2の情報処理システムを対応付けるとともに、前記新たな役割情報に前記不整合検出処理で検出した不整合識別情報に対応付けられた前記利用者を割当てる不整合是正案を作成する、付記10に記載の方法。
(付記15)
前記不整合是正案作成処理は、前記第2の情報処理システムに備わる前記第2の管理情報から、前記不整合検出処理で検出した不整合識別情報を削除する不整合是正案を作成する、付記10に記載の方法。
(付記16)
前記不整合是正案作成処理は、
前記不整合検出処理で検出した不整合識別情報に対応付けられた前記利用者に割当てられた前記役割情報に対して、前記第2の情報処理システムを対応付ける不整合是正案と、
前記不整合検出処理で検出した不整合識別情報に対応付けられた前記利用者に対して、前記第2の情報処理システムに対応付けられた前記役割情報を割当てる不整合是正案と、
前記第1の管理情報に、新たな役割情報を追加し、前記新たな役割情報に前記第2の情報処理システムを対応付けるとともに、前記新たな役割情報に前記不整合検出処理で検出した不整合識別情報に対応付けられた前記利用者を割当てる不整合是正案と、
前記第2の情報処理システムに備わる前記第2の管理情報から、前記不整合検出処理で検出した不整合識別情報を削除する不整合是正案と、
のうち少なくとも1つを作成する、付記10に記載の方法。
【符号の説明】
【0107】
400 情報管理装置
410 第1の定義情報記憶部
420 管理情報生成部
430 不整合検出部
440 不整合是正案作成部
450 不整合是正案実行部
460 第2の管理情報
501 情報管理装置
502 定義情報
503 アカウント管理情報
【技術分野】
【0001】
本発明は、複数の情報を管理する情報管理装置および方法に関する。
【背景技術】
【0002】
従来、複数の業務システムで使用されるアカウントやIdentityと称する特徴を示す情報などを管理するための情報管理装置が知られている。情報管理装置は、ユーザに割当てる、業務システムのアカウントを管理し、各業務システムにアカウントの情報を提供する。これをアカウントプロビジョニング(account provisioning)という。業務システムでは、提供されたアカウントの情報を基にアカウントが作成される。
【0003】
ロールベース(role base)を利用してアカウントプロビジョニングを行なう情報管理装置では、複数のロール(”ROLE”)が定義され、各ロールに対して1または2以上の業務システムが対応付けられる。そして、ロールに対してユーザが割当てられる。これらの関係は、情報管理装置に定義情報として記憶される。
【0004】
例えば、「経理部」ロールを定義し、経理部のユーザがアカウントを持つ必要がある業務システムを「経理部」ロールに対応付ける。そして、経理部に所属するユーザに「経理部」ロールを割当てる。その結果、人事異動により所属が変わった場合でも、ユーザの「経理部」ロールに対する割当てを変更するだけで、アカウントの変更をすることができる。すなわち、個々の業務システムを意識することなく人事異動に合わせたアカウントの変更が可能となる。このように、ロールベースを利用すると、アカウントの管理が容易になる。
【0005】
図1に、定義情報を説明する図を示す。図1に示すように、定義情報100には、ロール1からロール4が定義されている。そして、ロール1に対して業務システム1、ロール2に対して業務システム1および2、ロール3に対して業務システム3および4、そして、ロール4に対して業務システム4が対応付けられている。また、ロール1に対してユーザAおよびC、ロール2に対してユーザBおよびE、ロール3に対してユーザB、CおよびD、ロール4に対してユーザFが割当てられている。
【0006】
情報管理装置は、定義情報100に基づいて、情報管理装置に登録されているユーザ毎のアカウントを管理するアカウント管理情報を生成する。
図2に、アカウント管理情報を説明する図を示す。図2に示すように、アカウント管理情報200には、ユーザ毎に、業務システムで使用するアカウントが定義されている。例えば、ユーザAには、業務システム1で使用するアカウントAが定義されている。
【0007】
上述のように、ユーザに割当てる、業務システムのアカウントは、ロールを介して定義されることになる。そして、情報管理装置は、アカウント管理情報にしたがって、アカウントプロビジョニングを行なう。
【0008】
上記技術に関連して、IDとパスワードのユーザ認証システムと公開鍵証明書のユーザ認証システムとが共存する環境で、ID管理と証明書管理とを同時に行い、ID管理で本来解決すべきユーザやシステム管理者の作業を効率化するユーザ情報管理システムが知られている。
【0009】
また、クロスアプリケーション機能またはローカル監視、報告、または予防などのリアルタイム機能を使用可能にするCBBA(Computer Base Business Application)管理システムが知られている。
【先行技術文献】
【特許文献】
【0010】
【特許文献1】特開2008−234451号公報
【特許文献2】国際公開WO2006/127676号パンフレット
【発明の概要】
【発明が解決しようとする課題】
【0011】
ロールベースを用いてアカウントプロビジョニングを行なう情報管理装置は、定義情報100にしたがって、情報管理装置に登録されているユーザにロールが割り当てられると、アカウント管理情報200を作成する。各業務システムでは、情報管理装置が提供するアカウント管理情報200を基にアカウントが作成される。
【0012】
その結果、ユーザは、割り当てられたロールに応じて適切な業務システムのみにアカウントを持つことができる。言い換えると、情報管理装置は、ユーザに割り当てられたロールとユーザが持つアカウントの整合性が保たれるように、業務システムのアカウントを管理する。
【0013】
一方、情報管理装置で管理していない既存の業務システムのアカウントを情報管理装置で管理するには、既存の業務システムのアカウントの情報を情報管理装置に取り込んで、ユーザと関連付ける必要がある。以下、既存の業務システムのアカウントを「既存アカウント」という。
【0014】
図3に示すように、単にアカウント管理情報200に既存アカウント301の情報を追加したアカウント管理情報300は、ロールの割当てから決まるアカウント管理情報200との整合性が崩れてしまう。すなわち、既存アカウント301をアカウント管理情報200に取り込むとロールとアカウントの整合性が崩れてしまうという問題がある。
【0015】
そのため、ID管理者は、既存アカウント301をアカウント管理情報200に取り込んだ後に別途ロールの設定など定義情報100を変更して整合性を回復させる必要があった。例えば、情報管理装置に追加する業務システムを、既存のロールまたは新たに作成したロールに対応付けるとともに、対応付けたロールをユーザに割り当てるなどして、ロールの割当てから決まるアカウント管理情報200に既存アカウント301を含める必要があった。
【0016】
本情報管理装置が解決しようとする課題は、アカウント管理をおこなう情報管理装置において、管理対象の識別情報に他の情報処理システムのユーザの識別情報を容易に取込んで管理することができる情報管理装置および方法を提供することである。
【課題を解決するための手段】
【0017】
本情報管理装置の1つの観点によれば、本情報管理装置は、1または2以上の情報処理システムで使用される利用者の識別情報を管理する情報管理装置において、以下の構成要素を備える。
【0018】
定義情報記憶部は、任意の役割を定義した役割情報と、前記役割情報に対応付けられた第1の情報処理システムと、前記役割情報に割当てられた前記利用者と、を含む第1の定義情報を記憶する記憶手段である。
【0019】
管理情報生成部は、前記定義情報記憶部から前記第1の定義情報を読み出し、前記第1の定義情報に含まれる前記役割情報に基づいて、前記利用者に対応付けられた前記第1の情報処理システムにおける前記識別情報を含む第1の管理情報を生成する。
【0020】
不整合検出部は、前記第1の管理情報と、前記第1の情報処理システムと異なる第2の情報処理システムで使用される利用者の識別情報を含む第2の管理情報と、の不整合を検出する。
【0021】
不整合是正案作成部は、前記第1の定義情報において、前記役割情報と、前記第2の情報処理システムまたは前記利用者と、の関係を変更することにより前記不整合を是正する1または2以上の不整合是正案を作成する。
【0022】
不整合是正案実行部は、前記不整合是正案を実行して前記不整合を是正する。
【発明の効果】
【0023】
本情報管理装置によると、管理対象の識別情報に他のシステムのユーザの識別情報を容易に取込んで管理することができる情報管理装置および方法を提供することができる。
【図面の簡単な説明】
【0024】
【図1】定義情報を説明する図である。
【図2】アカウント管理情報を説明する図である。
【図3】アカウント管理情報に既存アカウントを取込む場合の例を説明する図である。
【図4】第1の実施例に係る情報管理装置を説明する図である。
【図5】第2の実施例に係る情報管理装置を使用する情報処理システムの構成例を示す図である。
【図6】第2の実施例に係る定義情報を説明する図である。
【図7】第2の実施例に係るアカウント管理情報を説明する図である。
【図8】第2の実施例に係る既存の業務システムを説明する図である。
【図9】第2の実施例に係る更新定義情報を説明する図である。
【図10】第2の実施例に係る情報管理装置の処理の概要を示すフローチャートである。
【図11】第2の実施例に係る更新アカウント情報の例を示す図である。
【図12】第2の実施例に係る不整合是正案の候補リストを作成する処理(ステップS1005)のフローチャートである。
【図13】第2の実施例に係る不整合アカウントを持つユーザに割当てられているロールを選択する処理(ステップS1202)を示すフローチャートである。
【図14】第2の実施例に係る既存の業務システムに対応しているロールを選択する処理(ステップS1204)を示すフローチャートである。
【図15】第2の実施例に係る情報管理装置が作成する候補リストの表示例を示す図である。
【図16】第2の実施例に係る情報管理装置の具体的な構成例を示す図である。
【発明を実施するための形態】
【0025】
以下、本実施形態の一例について、図4〜図16に基づいて説明する。
【実施例1】
【0026】
図4は、第1の実施例に係る情報管理装置400を説明する図である。
図4に示す情報管理装置400は、定義情報記憶部410と、管理情報生成部420と、不整合検出部430と、不整合是正案作成部440と、不整合是正案実行部450と、を備える情報処理装置である。情報管理装置400は、第1の情報処理システム1〜nそれぞれとネットワークまたは専用線などを介して通信可能に接続されている。また、情報管理装置400は、第2の情報処理システムともネットワークまたは専用線などを介して通信可能に接続することができる。
【0027】
第1の情報処理システム1〜nは、利用者の識別情報が情報管理装置400によって管理されている情報処理システムである。また、第2の情報処理システムは、利用者の識別情報が情報管理装置400によって管理されていない情報処理システムである。なお、図4には、第2の情報処理システムを1つだけ示しているが複数あってもよい。
【0028】
第1の情報処理システム1〜nは、それぞれ所定の業務などを遂行する情報処理装置である。各第1の情報処理システム1〜nは、1または2以上の情報処理装置を含むことができる。同様に、第2の業務システムは、所定の業務などを遂行する情報処理装置である。第2の業務システムは、1または2以上の情報処理装置を含むことができる。
【0029】
定義情報記憶部410は、任意の役割を定義した役割情報と、役割情報に対応付けられた第1の情報処理システム1〜nと、役割情報に割当てられた利用者と、を含む第1の定義情報411を記憶する記憶装置である。
【0030】
管理情報生成部420は、定義情報記憶部410から第1の定義情報411を読み出し、第1の定義情報411に含まれる役割情報に基づいて、利用者に対応付けられた第1の情報処理システム1〜nにおける識別情報を含む第1の管理情報421を生成する。
【0031】
不整合検出部430は、第1の管理情報421と、第1の情報処理システム1〜nと異なる第2の情報処理システムで使用される利用者の識別情報を含む第2の管理情報460と、の不整合を検出する。なお、第2の管理情報460は、利用者等によって入力装置を介して入力される。
【0032】
ここで、不整合検出部430は、第2の管理情報460に登録されている識別情報が第1の管理情報421に登録されている識別情報に全て含まれている場合に、第1の管理情報411と第2の管理情報460とが整合していると判断することができる。この場合、不整合検出部430は、第2の管理情報460に登録されている識別情報に、第1の管理情報421に登録されている識別情報と異なる識別情報を検出すると不整合と判断することができる。
【0033】
不整合是正案作成部440は、第1の定義情報411に関して、役割情報と、第2の情報処理システムまたは利用者と、の関係を変更することにより不整合を是正する1または2以上の不整合是正案441を作成する。情報管理装置400は、不整合是正案441をディスプレイ等の表示装置に出力して利用者等に選択を促すことができる。
【0034】
不整合是正案実行部450は、例えば、利用者等が入力装置を介して指定した不整合是正案を実行して不整合を是正する。
上述のように、不整合検出部430が検出した第1の管理情報421と第2の管理情報460との不整合について、不整合是正案作成部440は、不整合是正案441を作成する。利用者等は、不整合是正案441の中から必要な不整合是正案を選択して不整合是正案実行部450に実行させることにより、第1の定義情報411を変更し、第1の管理情報421と第2の管理情報460との不整合を是正することができる。
【0035】
その結果、管理情報生成部420は、第1の定義情報411に含まれる役割情報に基づいて、第1の情報処理システム1〜nにおける識別情報と、第2の情報処理システムにおける識別情報と、を含む第1の管理情報421を生成することが可能となる。すなわち、情報管理装置400は、第1の定義情報411を用いて、第1の情報処理システム1〜nの識別情報と第2の情報処理システムの識別情報とを全て管理することが可能となる。
【0036】
以上のように、情報管理装置400は、第2の情報処理システムのような管理対象外の情報処理システムを容易に管理対象に取込んで管理することができる効果を奏する。
【実施例2】
【0037】
図5は、本実施例に係る情報管理装置501を使用する情報処理システム500の構成例を示す図である。
図5に示す情報処理システム500は、業務システム1〜4と、情報管理装置501と、を備える。業務システム1〜4と、情報管理装置501と、はネットワークまたは専用線などで通信可能に接続されている。
【0038】
業務システム1は、所定のアプリケーションを実行することにより業務を遂行する情報処理装置である。業務システム1には、1または2以上の情報処理装置を含むことができる。また、業務システム1は、業務システム1を利用するユーザが使用するアカウントを管理するアカウント情報を備える。図5では、業務システム1が、アカウントA、B、CおよびEが登録されたアカウント情報を備える場合を示している。
【0039】
同様に、業務システム2〜4は、所定のアプリケーションを実行することにより業務を遂行する情報処理装置である。業務システム2〜4には、それぞれ1または2以上の情報処理装置を含むことができる。また、業務システム2〜4は、それぞれアカウント情報を備える。
【0040】
情報管理装置501は、ロールベースを利用してアカウントプロビジョニングを行なう情報処理装置である。
情報管理装置501は、業務システム1〜4の少なくとも1つを利用するユーザと業務システムとの関係をロールを用いて定義する定義情報502を備える。そして、情報管理装置501は、定義情報502にしたがって、ユーザのアカウントを含むアカウント管理情報503を生成し保持する。また、情報管理装置501は、アカウント管理情報503に登録されているアカウントのうち各業務システムに必要なアカウントの情報を、業務システム1〜4それぞれに配信する。このとき配信されるアカウントの情報を「アカウント配信情報」という。
【0041】
業務システム1〜4では、情報管理装置501から配信されたアカウント配信情報にしたがって、アカウント情報が作成される。このとき、各業務システム1〜4の管理者が、手動でアカウント配信情報にしたがってアカウント情報を作成してもよい。また、例えば、情報管理装置501が、アカウント配信情報の配信時に業務システム1〜4が提供するコマンド等を実行することで、各業務システム1〜4にアカウント情報を作成してもよい。
【0042】
なお、図5では、業務システムが4つある場合を例示したが、情報管理装置501が管理可能な業務システムの数を限定する趣旨ではない。業務システムは1つであってもよいし、5つ以上あってもよい。また、業務システム1〜4のアカウント情報に記載されているアカウントA〜Fは、単なる例示であることは当然である。
【0043】
図6は、本実施例に係る定義情報502を説明する図である。
図6に示す定義情報502は、ユーザ情報と、ロール情報と、業務システム情報と、を備える。これらユーザ情報、ロール情報、および業務システム情報は、Identityと称する特徴を示す情報の一例である。
【0044】
ユーザ情報は、業務システム1〜4のうち少なくとも1つの業務システムを使用するユーザを定義する情報を含む。また、ユーザ情報は、ユーザに割当てるロールを定義する情報を含む。例えば、ユーザが持つ後述の組織内の役割に対応するロールに、ユーザを割当てることができる。
【0045】
図6には、ユーザA、ユーザB、ユーザC、ユーザD、ユーザEおよびユーザFを含むユーザ情報の例を示している。そして、ユーザAにはロール1が、ユーザBにはロール2および3が、ユーザCにはロール1および3が、ユーザDにはロール3が、ユーザEにはロール2が、ユーザFにはロール4が、それぞれ割当てられているユーザ情報の例を示している。
【0046】
ロール情報は、ロールを定義する情報を含む。例えば、所属部署や役職など組織内の役割に対応するロールを定義することができる。また、ロール情報は、ロールに対応付ける業務システムを定義する情報を含む。例えば、ロールに対応する組織内の役割を遂行するために必要な業務システムを、ロールに対応付けることができる。
【0047】
図6には、ロール1、ロール2、ロール3およびロール4を含むロール情報の例を示している。そして、ロール1には業務システム1が、ロール2には業務システム1および2が、ロール3には業務システム3および4が、ロール4には業務システム4が、それぞれ対応付けられているロール情報の例を示している。
【0048】
業務システム情報は、任意の業務を遂行するために必要な処理を行なう業務システムに関する情報を含む。業務システムに関する情報には、業務システムを識別するための識別情報、例えば業務名などや、業務システムを特定するための情報、例えばIPアドレスなどを含めることができる。
【0049】
図6には、業務システム1、業務システム2、業務システム3および業務システム4を含む業務システム情報の例を示している。
【0050】
図7は、本実施例に係るアカウント管理情報503を説明する図である。
図7に示すアカウント管理情報503は、ユーザ毎に、業務システムのアカウントを備える。アカウント管理情報503は、情報管理装置501が定義情報502にしたがって生成する情報である。
【0051】
例えば、図6に示した定義情報502では、業務システム1と対応付けられたロール1がユーザAに割当てられている、という関係がある。この関係から、情報管理装置501は、ユーザAに関して、業務システム1のアカウントAを生成する。
【0052】
同様に、図6に示した定義情報502では、業務システム1および2と対応付けられたロール2と、業務システム3および4と対応付けられたロール3と、がユーザAに割当てられている、という関係がある。この関係から、情報管理装置501は、ユーザBに関して、業務システム1〜4のアカウントBを生成する。なお、業務システム毎に異なるアカウントを生成してもよいのは当然である。
【0053】
その他、ユーザC〜Fについても、ユーザAやBと同様の方法で、アカウントを生成することができる。
ここで、ユーザに割当てるアカウント、例えば、ユーザAに割当てるアカウントAやユーザBに割当てるアカウントBなどは、情報管理装置501に予め登録しておいてもよいし、任意の文字列を用いて自動生成してもよい。
【0054】
本実施例では、情報管理装置501が管理・保守する定義情報502に、情報管理装置501が管理していない既存の業務システム5を取込む場合の処理について以下に説明する。
【0055】
図8は、本実施例に係る既存の業務システム5を説明する図である。
図8に示す業務システム5は、所定のアプリケーションを実行することにより業務を遂行する情報処理装置である。業務システム5は、図5に示した業務システム1〜4と同様に、アカウント情報を備える。
【0056】
業務システム5のアカウント情報800には、ユーザAが使用するアカウントA、ユーザBが使用するアカウントB、ユーザCが使用するアカウントCおよびユーザEが使用するアカウントEが登録されている。ただし、図8に示す業務システム5のアカウント情報は例示であって、図8に示す内容に限定する趣旨ではない。以下、既存の業務システム5に備わるアカウント情報を「既存アカウント情報800」という。
【0057】
図9は、本実施例に係る更新定義情報900を説明する図である。
図9に示す更新定義情報900は、図6に示した定義情報502に変更を加えた定義情報である。図9には、ロール情報の一部と業務システム情報の一部に変更を加えた場合の例を示している。
【0058】
具体的には、ロール情報に関して、ロール1および4に業務システム5を対応付ける変更が行なわれている。また、業務システム情報には、業務システム5を追加する変更が行なわれている。なお、図9に示す更新定義情報900は、定義情報502を変更する一例を示すものであって、これに限定する趣旨ではない。
【0059】
図10は、本実施例に係る情報管理装置501の処理の概要を示すフローチャートである。
ステップS1001において、情報管理装置501は、情報管理装置501に備わる入力装置を介して入力される既存アカウント情報800を取得する。また、情報管理装置501は、必要に応じて情報管理装置501に備わる入力装置を介して入力される更新定義情報900を取得する。
【0060】
なお、更新定義情報900の入力は必須ではない。したがって、更新定義情報900が入力されない場合、情報管理装置501は、既に作成してある定義情報502を更新定義情報900として用いることができる。
【0061】
ステップS1002において、情報管理装置501は、更新定義情報900から新たなアカウント情報を生成する。このとき生成されるアカウント情報を「更新アカウント情報1100」という。図11に、更新アカウント情報1100の例を示す。図11に示す更新アカウント情報1100は、図9に示した更新定義情報900からアカウント情報を生成した場合の例を示している。
【0062】
例えば、更新定義情報900は、ユーザAおよびCに割当てられたロール1に業務システム5を対応付ける変更が行なわれている。そのため、変更アカウント情報1100のユーザAには、業務システム5のアカウントAが追加され、更新アカウント情報1100のユーザCには、業務システム5のアカウントCが追加されている。
【0063】
また、更新定義情報900は、ユーザFに割当てられたロール4に業務システム5を対応付ける変更が行なわれている。そのため、更新アカウント情報1100のユーザFには、業務システム5のアカウントFが追加されている。
【0064】
ステップS1003において、情報管理装置501は、既存アカウント情報800と更新アカウント情報1100とを比較する。そして、情報管理装置501は、既存アカウント情報800と更新アカウント情報1100との不整合を検出する。
【0065】
既存アカウント情報800に登録された全てのアカウントが更新アカウント情報1100に含まれる場合、情報管理装置501は、既存アカウント情報800と更新アカウント情報1100が整合すると判断する。
【0066】
そして、既存アカウント情報800に登録されたアカウントの一部または全部のアカウントが更新アカウント情報1100に含まれない場合、情報管理装置501は、既存アカウント情報800と更新アカウント情報1100が不整合である判断する。以下、既存アカウント情報800に登録されているアカウントのうち、更新アカウント情報1100に含まれないアカウントを「不整合アカウント」という。
【0067】
例えば、更新アカウント情報1100を参照すると、ユーザBのアカウントに、業務システム5のアカウントBが含まれていない。同様に、ユーザEのアカウントに、業務システム5のアカウントEが含まれていない。
【0068】
この場合、既存アカウント情報800に登録されたアカウントの一部が更新アカウント情報1100に含まれないので、情報管理装置501は、不整合を検出する。このとき、情報管理装置501は、不整合アカウントとして、業務システム5のアカウントBおよびEを検出する。
【0069】
ステップS1004において、情報管理装置501は、ステップS1003の処理で検出した不整合アカウントのうちから1つを選択し、選択した不整合アカウントについて不整合を是正する不整合是正案の候補リストを作成する。そして、ステップS1005において、情報管理装置501は、作成した不整合是正案の候補リストをディスプレイ等の表示装置に出力する。その後、情報管理装置501は、ユーザからの指示待ちの状態となる。
【0070】
ステップS1006において、情報管理装置501が備える入力装置を介して、ユーザからの指示を検出すると、情報管理装置501は、処理をステップS1007に移行する。そして、ステップS1007において、情報管理装置501は、ステップS1006で指示された不整合是正案を実行する。
【0071】
ステップS1008において、情報管理装置501は、ステップS1007における不整合是正案の実行により、定義情報502のロール情報に変更があったか否かを判別する。そして、定義情報502のロール情報に変更があったと判断すると(ステップS1008 YES)、情報管理装置501は処理をステップS1002に移行する。定義情報502のロール情報に変更はない判断すると(ステップS1008 NO)、情報管理装置501は、ステップS1003で検出した全ての不整合アカウントについてステップS1004〜S1008の処理を実施したか否かを判別する(ステップS1009)。
【0072】
ステップS1004〜S1008の処理を実行していない不整合アカウントがある場合(ステップS1009 NO)、情報管理装置501は、処理をステップS1004に移行する。また、全ての不整合アカウントに対してステップS1004〜S1008の処理を実施した場合(ステップS1009 YES)、情報管理装置501は、処理をステップS1010に移行する。
【0073】
ステップS1010において、情報管理装置501は、ステップS1002〜S1009の処理によって不整合が是正された定義情報にしたがって、新たなアカウント情報を生成する。そして、情報管理装置501は、業務システム毎に、必要なアカウントを含むアカウント配信情報を生成して配信する。
【0074】
ただし、ユーザが後述する「既存の業務システムから不整合アカウントを削除する処理」を選択した場合、情報管理装置501は、アカウント配信情報の配信に代えて、既存の業務システムに対して、不整合アカウントを削除する旨の指示を行なうことができる。
【0075】
図12は、本実施例に係る不整合是正案の候補リストを作成する処理(ステップS1005)のフローチャートである。
ステップS1201において、情報管理装置501は、不整合是正案を格納する候補リストを作成し、何も登録されていない状態に候補リストを初期化する。なお、候補リストは、1または2以上の不整合是正案を格納する一定サイズの記憶領域についての情報を意味するが、リスト構造などを用いて実現してもよい。
【0076】
ステップS1202において、情報管理装置501は、更新定義情報900を参照し、「ステップS1004で選択した不整合アカウントを持つユーザに割当てられているロール」を1つ選択する。そして、ステップS1203において、情報管理装置501は、「ステップS1202で選択したロールに、既存の業務システムを対応付ける処理」を候補リストに追加する。
【0077】
同様に、ステップS1202およびS1203の処理は、「ステップS1004で選択した不整合アカウントを持つユーザに割当てられているロール」の全てに対して行うことができる。その結果、例えば、図15の候補リストの1.や2.に示す処理がステップS1202およびS1203によって候補リストに追加される。
【0078】
ステップS1204において、情報管理装置501は、更新定義情報900を参照し、「既存の業務システムに対応しているロール」を1つ選択する。そして、ステップS1205において、情報管理装置501は、「ステップS1204で選択したロールを、不整合アカウントを持つユーザに割当てる処理」を候補リストに追加する。
【0079】
同様に、ステップS1204およびS1205の処理は、「既存の業務システムに対応しているロール」の全てに対して行うことができる。その結果、例えば、図15の候補リストの3.や4.に示す処理がステップS1204およびS1205によって候補リストに追加される。
【0080】
なお、ステップS1204およびS1205の処理は、更新定義情報900に「既存の業務システムに対応しているロール」が存在する場合にだけ実行することができる。したがって、例えば、ステップS1001において、既存アカウント情報800のみが入力された場合、ステップS1204およびS1205の処理はスキップされる。ただし、その後の処理(ステップS1007)で、定義情報502のロール情報が変更されて「既存の業務システムに対応しているロール」が存在するようになれば、ステップS1204およびS1205は実行される。
【0081】
ステップS1206において、情報管理装置501は、「新規のロールを追加し、新規のロールに既存の業務システムを対応付け、不整合アカウントを持つユーザに新規のロールを割当てる処理」を候補リストに追加する。例えば、図15の候補リストの5.に示す処理がステップS1206によって候補リストに追加される。
【0082】
ステップS1207において、情報管理装置501は、「既存の業務システムから不整合アカウントを削除する処理」を候補リストに追加する。例えば、図15の候補リストの6.に示す処理がステップS1207によって候補リストに追加される。
【0083】
以上の処理が終了すると、情報管理装置501は、候補リストを作成する処理を終了する(ステップS1208)。
図13は、本実施例に係る「不整合アカウントを持つユーザに割当てられているロール」を選択する処理(ステップS1202)を示すフローチャートである。
【0084】
ステップS1301において、情報管理装置501は、ステップS1003の処理により検出された不整合アカウントを持つユーザをリストアップする。例えば、図8に示した既存アカウント情報800と図9に示した更新定義情報900を使用した場合、ステップS1003の処理で不整合と検出されたアカウントBのユーザBとアカウントEのユーザEとがリストアップされる。
【0085】
ステップS1302において、情報管理装置501は、「不整合アカウントを持つユーザに割当てられているロール」毎に、「不整合アカウントを持つユーザに割当てられているロール」を割当てられているユーザのうち、ステップS1301でリストアップしたユーザの数をカウントする。
【0086】
例えば、図9に示した更新定義情報900を参照すると、「ユーザBに割当てられているロール2」を割当てられているユーザのうち、ステップS1301でリストアップしたユーザはユーザBとユーザEの2つである。また、「ユーザBに割当てられているロール3」を割当てられているユーザのうち、ステップS1301でリストアップしたユーザはユーザBの1つである。
【0087】
ステップS1303において、情報管理装置501は、ステップS1302でカウントしたカウント値の大きい順に、「不整合アカウントを持つユーザに割当てられているロール」をソートする。そして、情報管理装置501は、カウント値の最も大きいロールを1つ選択する(ステップS1304)。
以上の処理が終了すると、情報管理装置501は、不整合アカウントを持つユーザに割当てられているロールを選択する処理を終了する(ステップS1305)。
【0088】
図14は、本実施例に係る「既存の業務システムに対応しているロール」を選択する処理(ステップS1204)を示すフローチャートである。
ステップS1401において、情報管理装置501は、既存アカウント情報800から不整合アカウントを除くアカウントを持つユーザをリストアップする。例えば、図8に示した既存アカウント情報800と図9に示した更新定義情報900を使用した場合、ステップS1003の処理で不整合と検出されたアカウント以外のアカウントAおよびCそれぞれのユーザAおよびCがリストアップされる。
【0089】
ステップS1402において、情報管理装置501は、「既存の業務システムに対応しているロール」毎に、「既存の業務システムに対応しているロール」を割当てられているユーザのうち、ステップS1401でリストアップしたユーザの数をカウントする。
【0090】
例えば、図9に示した更新定義情報900を参照すると、「業務システム5に対応しているロール1」を割当てているユーザのうち、ステップS1401でリストアップしたユーザはユーザAとユーザCの2つである。また、「業務システム5に対応しているロール4」を割当てているユーザのうち、ステップS1401でリストアップしたユーザは0である。
【0091】
ステップS1403において、情報管理装置501は、ステップS1403でカウントしたカウント値の大きい順に、「既存の業務システムに対応しているロール」をソートする。そして、情報管理装置501は、カウント値の最も大きいロールを1つ選択する(ステップS1404)。
【0092】
以上の処理が終了すると、情報管理装置501は、既存の業務システムに対応しているロールを選択する処理を終了する(ステップS1405)。
【0093】
図15は、本実施例に係る情報管理装置501が作成する候補リストの表示例を示す図である。
図15では、図9に示したように、業務システム5を定義情報502の業務システム情報に追加し、ロール1とロール4に業務システム5を対応付ける変更をロール情報に対して行なった場合に情報管理装置501が作成する候補リストの表示例を示している。
【0094】
図16は、本実施例に係る情報管理装置501の具体的な構成例を示す図である。
図16に示す情報管理装置501は、CPU1601、メモリ1602、入力装置1603、出力装置1604、外部記録装置1605、媒体駆動装置1606および、ネットワーク接続装置1608を備える。そして、各装置はバスに接続されて相互にデータの受け渡しを行なうことが可能となっている。
【0095】
CPU1601は、周辺機器や各種ソフトウェアを実行する他に本実施例に係る情報管理を実現するプログラムを実行する装置である。
メモリ1602は、プログラムを実行するためにデータ等を記憶する装置である。メモリ1602には、例えば、RAM(Random Access Memory)などの揮発メモリを使用することができる。
【0096】
入力装置1603は、外部から情報管理装置501にデータを入力する装置である。入力装置1603には、例えば、キーボードやマウスなどを使用することができる。
出力装置1604は、データ等を表示装置に出力する装置である。なお、出力装置1604には、ディスプレイ装置などの表示装置も含むことができる。
【0097】
外部記録装置1605は、情報管理装置501が動作するために必要なプログラムやデータの他に本実施例に係る情報管理を実現するプログラムを記録する装置である。外部記憶装置1605には、例えば、磁気ディスク記憶装置などの不揮発性メモリを使用することができる。
【0098】
媒体駆動装置1606は、メモリ1602や外部記録装置1605のデータを可搬記録媒体1607、例えば、フロッピイディスクやMOディスク、CD−RやDVD−Rなどに出力し、可搬記録媒体1607からプログラムやデータ等を読み出す装置である。
ネットワーク接続装置1608は、ネットワーク1609に接続する装置である。
【0099】
なお、図16に示す構成は、情報管理装置501の構成の一例を示すものである。したがって、情報管理装置501の構成を図16に示す構成に限定する趣旨ではない。図16に示す装置から不要となるものは省略してもよいし、必要となる装置を新たに追加してもよい。
【0100】
上述のように、情報管理装置501は、更新アカウント情報1100と既存アカウント情報800との不整合について、不整合是正案の候補リストを作成し(ステップS1004)、不整合是正案の候補リストを表示する(ステップS1005)。そして、情報管理装置501は、ユーザが指示する不整合是正案を実行することにより、定義情報502を変更し、更新アカウント情報1100と既存アカウント情報800との不整合を是正する(ステップS1007)。
【0101】
その結果、情報管理装置501は、定義情報502のロール情報に基づいて、もともと管理対象であった業務システム1〜4におけるアカウントと、新たに管理対象に追加した業務システム5におけるアカウントと、を含むアカウント管理情報を生成することが可能となる。すなわち、情報管理装置501は、定義情報502を用いて、業務システム1〜5のアカウントを全て管理することが可能となる。
【0102】
以上のように、情報管理装置501は、容易に、既存のシステム、例えば、業務システム5で使用するアカウントを新たに管理対象に取込んで管理することができる効果を奏する。
【0103】
また、情報管理装置501は、更新アカウント情報1100と既存アカウント情報800との不整合を是正するように、定義情報502を変更する。そのため、アカウントの管理者が、不整合に気付かず、例えば、本来アカウントを持つべきでないユーザにアカウントを持たせ続けるといったリスクを回避することができる。
【0104】
また、アカウントの管理者は、情報管理装置501が作成する不整合是正案の候補リストから不整合是正案を選択することで、更新アカウント情報1100と既存アカウント情報800との不整合を是正することができる。これにより、アカウントの管理者のアカウント管理の負担を軽減することができる。
【0105】
また、アカウントの管理者は、必要に応じて、情報管理装置501が作成する不整合是正案の候補リストから、ロールを定義する不整合是正案を選択することができる。そのため、ロールの管理が容易となる効果を奏する。
【0106】
以上の実施例を含む実施形態に関し、さらに以下の付記を開示する。
(付記1)
1または2以上の情報処理システムで使用される利用者の識別情報を管理する情報管理装置において、
任意の役割を定義した役割情報と、前記役割情報に対応付けられた第1の情報処理システムと、前記役割情報に割当てられた前記利用者と、を含む第1の定義情報を記憶する定義情報記憶部と、
前記定義情報記憶部から前記第1の定義情報を読み出し、前記第1の定義情報に含まれる前記役割情報に基づいて、前記利用者に対応付けられた前記第1の情報処理システムにおける前記識別情報を含む第1の管理情報を生成する管理情報生成部と、
前記第1の管理情報と、前記第1の情報処理システムと異なる第2の情報処理システムで使用される利用者の識別情報を含む第2の管理情報と、の不整合を検出する不整合検出部と、
前記第1の定義情報において、前記役割情報と、前記第2の情報処理システムまたは前記利用者と、の関係を変更することにより前記不整合を是正する1または2以上の不整合是正案を作成する不整合是正案作成部と、
前記不整合是正案を実行して前記不整合を是正する不整合是正案実行部と、
を備える情報管理装置。
(付記2)
前記管理情報生成部は、利用者からの指示にしたがって、前記役割情報に対して前記第2の情報処理システムとの対応付けを追加した第2の定義情報に基づいて、前記利用者に対応付けられた前記第1または第2の情報処理システムにおける前記識別情報を含む第3の管理情報を生成し、
前記不整合検出部は、前記第2の管理情報と前記第3の管理情報との不整合を検出する、付記1に記載の情報管理装置。
(付記3)
前記不整合是正案作成部は、前記不整合検出部が検出した不整合識別情報に対応付けられた前記利用者に割当てられた前記役割情報に対して、前記第2の情報処理システムを対応付ける不整合是正案を作成する、付記1に記載の情報管理装置。
(付記4)
前記不整合是正案作成部は、前記不整合検出部が検出した不整合識別情報に対応付けられた前記利用者に割当てられた前記役割情報が複数ある場合には、不整合識別情報に対応付けられた前記利用者に最も多く割当てられている前記役割情報から順に、前記新たな情報処理システムを対応付ける不整合是正案を作成する、付記3に記載の情報管理装置。
(付記5)
前記不整合是正案作成部は、前記不整合検出部が検出した不整合識別情報に対応付けられた前記利用者に対して、前記第2の情報処理システムに対応付けられた前記役割情報を割当てる不整合是正案を作成する、付記1に記載の情報管理装置。
(付記6)
前記不整合是正案作成部は、前記第2の情報処理システムに対応付けられた前記役割情報が複数ある場合には、前記不整合検出部が検出した不整合識別情報以外の識別情報に対応付けられた前記利用者に最も多く割当てられている前記役割情報を、前記不整合検出部が検出した不整合識別情報に対応付けられた前記利用者に対して割当てる不整合是正案を作成する、付記5に記載の情報管理装置。
(付記7)
前記不整合是正案作成部は、前記第1の管理情報に、新たな役割情報を追加し、前記新たな役割情報に前記第2の情報処理システムを対応付けるとともに、前記新たな役割情報に前記不整合検出部が検出した不整合識別情報に対応付けられた前記利用者を割当てる不整合是正案を作成する、付記1に記載の情報管理装置。
(付記8)
前記不整合是正案作成部は、前記第2の情報処理システムに備わる前記第2の管理情報から、前記不整合検出部が検出した不整合識別情報を削除する不整合是正案を作成する、付記1に記載の情報管理装置。
(付記9)
前記不整合是正案作成部は、
前記不整合検出部が検出した不整合識別情報に対応付けられた前記利用者に割当てられた前記役割情報に対して、前記第2の情報処理システムを対応付ける不整合是正案と、
前記不整合検出部が検出した不整合識別情報に対応付けられた前記利用者に対して、前記第2の情報処理システムに対応付けられた前記役割情報を割当てる不整合是正案と、
前記第1の管理情報に、新たな役割情報を追加し、前記新たな役割情報に前記第2の情報処理システムを対応付けるとともに、前記新たな役割情報に前記不整合検出部が検出した不整合識別情報に対応付けられた前記利用者を割当てる不整合是正案と、
前記第2の情報処理システムに備わる前記第2の管理情報から、前記不整合検出部が検出した不整合識別情報を削除する不整合是正案と、
のうち少なくとも1つを作成する、付記1に記載の情報管理装置。(
(付記10)
1または2以上の情報処理システムで使用される利用者の識別情報を管理する方法において、
任意の役割を定義した役割情報と、前記役割情報に対応付けられた第1の情報処理システムと、前記役割情報に割当てられた前記利用者と、を含む第1の定義情報を記憶する定義情報記憶部から前記第1の定義情報を読み出し、前記第1の定義情報に含まれる前記役割情報に基づいて、前記利用者に対応付けられた前記第1の情報処理システムにおける前記識別情報を含む第1の管理情報を生成する管理情報生成処理と、
前記第1の管理情報と、前記第1の情報処理システムと異なる第2の情報処理システムで使用される利用者の識別情報を含む第2の管理情報と、の不整合を検出する不整合検出処理と、
前記第1の定義情報において、前記役割情報と、前記第2の情報処理システムまたは前記利用者と、の関係を変更することにより前記不整合を是正する1または2以上の不整合是正案を作成する不整合是正案作成処理と、
前記不整合是正案を実行して前記不整合を是正する不整合是正案実行処理と、
を行う方法。
(付記11)
前記管理情報生成処理は、利用者からの指示にしたがって、前記役割情報に対して前記第2の情報処理システムとの対応付けを追加した第2の定義情報に基づいて、前記利用者に対応付けられた前記第1または第2の情報処理システムにおける前記識別情報を含む第3の管理情報を生成し、
前記不整合検出処理は、前記第2の管理情報と前記第3の管理情報との不整合を検出する、付記10に記載の方法。
(付記12)
前記不整合是正案作成処理は、前記不整合検出処理で検出した不整合識別情報に対応付けられた前記利用者に割当てられた前記役割情報に対して、前記第2の情報処理システムを対応付ける不整合是正案を作成する、付記10に記載の方法。
(付記13)
前記不整合是正案作成処理は、前記不整合検出処理で検出した不整合識別情報に対応付けられた前記利用者に対して、前記第2の情報処理システムに対応付けられた前記役割情報を割当てる不整合是正案を作成する、付記10に記載の方法。
(付記14)
前記不整合是正案作成処理は、前記第1の管理情報に、新たな役割情報を追加し、前記新たな役割情報に前記第2の情報処理システムを対応付けるとともに、前記新たな役割情報に前記不整合検出処理で検出した不整合識別情報に対応付けられた前記利用者を割当てる不整合是正案を作成する、付記10に記載の方法。
(付記15)
前記不整合是正案作成処理は、前記第2の情報処理システムに備わる前記第2の管理情報から、前記不整合検出処理で検出した不整合識別情報を削除する不整合是正案を作成する、付記10に記載の方法。
(付記16)
前記不整合是正案作成処理は、
前記不整合検出処理で検出した不整合識別情報に対応付けられた前記利用者に割当てられた前記役割情報に対して、前記第2の情報処理システムを対応付ける不整合是正案と、
前記不整合検出処理で検出した不整合識別情報に対応付けられた前記利用者に対して、前記第2の情報処理システムに対応付けられた前記役割情報を割当てる不整合是正案と、
前記第1の管理情報に、新たな役割情報を追加し、前記新たな役割情報に前記第2の情報処理システムを対応付けるとともに、前記新たな役割情報に前記不整合検出処理で検出した不整合識別情報に対応付けられた前記利用者を割当てる不整合是正案と、
前記第2の情報処理システムに備わる前記第2の管理情報から、前記不整合検出処理で検出した不整合識別情報を削除する不整合是正案と、
のうち少なくとも1つを作成する、付記10に記載の方法。
【符号の説明】
【0107】
400 情報管理装置
410 第1の定義情報記憶部
420 管理情報生成部
430 不整合検出部
440 不整合是正案作成部
450 不整合是正案実行部
460 第2の管理情報
501 情報管理装置
502 定義情報
503 アカウント管理情報
【特許請求の範囲】
【請求項1】
1または2以上の情報処理システムで使用される利用者の識別情報を管理する情報管理装置において、
任意の役割を定義した役割情報と、前記役割情報に対応付けられた第1の情報処理システムと、前記役割情報に割当てられた前記利用者と、を含む第1の定義情報を記憶する定義情報記憶部と、
前記定義情報記憶部から前記第1の定義情報を読み出し、前記第1の定義情報に含まれる前記役割情報に基づいて、前記利用者に対応付けられた前記第1の情報処理システムにおける前記識別情報を含む第1の管理情報を生成する管理情報生成部と、
前記第1の管理情報と、前記第1の情報処理システムと異なる第2の情報処理システムで使用される利用者の識別情報を含む第2の管理情報と、の不整合を検出する不整合検出部と、
前記第1の定義情報において、前記役割情報と、前記第2の情報処理システムまたは前記利用者と、の関係を変更することにより前記不整合を是正する1または2以上の不整合是正案を作成する不整合是正案作成部と、
前記不整合是正案を実行して前記不整合を是正する不整合是正案実行部と、
を備える情報管理装置。
【請求項2】
前記不整合是正案作成部は、前記不整合検出部が検出した不整合識別情報に対応付けられた前記利用者に割当てられた前記役割情報に対して、前記第2の情報処理システムを対応付ける不整合是正案を作成する、請求項1に記載の情報管理装置。
【請求項3】
前記不整合是正案作成部は、前記不整合検出部が検出した不整合識別情報に対応付けられた前記利用者に対して、前記第2の情報処理システムに対応付けられた前記役割情報を割当てる不整合是正案を作成する、請求項1に記載の情報管理装置。
【請求項4】
前記不整合是正案作成部は、前記第1の管理情報に、新たな役割情報を追加し、前記新たな役割情報に前記第2の情報処理システムを対応付けるとともに、前記新たな役割情報に前記不整合検出部が検出した不整合識別情報に対応付けられた前記利用者を割当てる不整合是正案を作成する、請求項1に記載の情報管理装置。
【請求項5】
1または2以上の情報処理システムで使用される利用者の識別情報を管理する方法において、
任意の役割を定義した役割情報と、前記役割情報に対応付けられた第1の情報処理システムと、前記役割情報に割当てられた前記利用者と、を含む第1の定義情報を記憶する定義情報記憶部から前記第1の定義情報を読み出し、前記第1の定義情報に含まれる前記役割情報に基づいて、前記利用者に対応付けられた前記第1の情報処理システムにおける前記識別情報を含む第1の管理情報を生成する管理情報生成処理と、
前記第1の管理情報と、前記第1の情報処理システムと異なる第2の情報処理システムで使用される利用者の識別情報を含む第2の管理情報と、の不整合を検出する不整合検出処理と、
前記第1の定義情報において、前記役割情報と、前記第2の情報処理システムまたは前記利用者と、の関係を変更することにより前記不整合を是正する1または2以上の不整合是正案を作成する不整合是正案作成処理と、
前記不整合是正案を実行して前記不整合を是正する不整合是正案実行処理と、
を行う方法。
【請求項1】
1または2以上の情報処理システムで使用される利用者の識別情報を管理する情報管理装置において、
任意の役割を定義した役割情報と、前記役割情報に対応付けられた第1の情報処理システムと、前記役割情報に割当てられた前記利用者と、を含む第1の定義情報を記憶する定義情報記憶部と、
前記定義情報記憶部から前記第1の定義情報を読み出し、前記第1の定義情報に含まれる前記役割情報に基づいて、前記利用者に対応付けられた前記第1の情報処理システムにおける前記識別情報を含む第1の管理情報を生成する管理情報生成部と、
前記第1の管理情報と、前記第1の情報処理システムと異なる第2の情報処理システムで使用される利用者の識別情報を含む第2の管理情報と、の不整合を検出する不整合検出部と、
前記第1の定義情報において、前記役割情報と、前記第2の情報処理システムまたは前記利用者と、の関係を変更することにより前記不整合を是正する1または2以上の不整合是正案を作成する不整合是正案作成部と、
前記不整合是正案を実行して前記不整合を是正する不整合是正案実行部と、
を備える情報管理装置。
【請求項2】
前記不整合是正案作成部は、前記不整合検出部が検出した不整合識別情報に対応付けられた前記利用者に割当てられた前記役割情報に対して、前記第2の情報処理システムを対応付ける不整合是正案を作成する、請求項1に記載の情報管理装置。
【請求項3】
前記不整合是正案作成部は、前記不整合検出部が検出した不整合識別情報に対応付けられた前記利用者に対して、前記第2の情報処理システムに対応付けられた前記役割情報を割当てる不整合是正案を作成する、請求項1に記載の情報管理装置。
【請求項4】
前記不整合是正案作成部は、前記第1の管理情報に、新たな役割情報を追加し、前記新たな役割情報に前記第2の情報処理システムを対応付けるとともに、前記新たな役割情報に前記不整合検出部が検出した不整合識別情報に対応付けられた前記利用者を割当てる不整合是正案を作成する、請求項1に記載の情報管理装置。
【請求項5】
1または2以上の情報処理システムで使用される利用者の識別情報を管理する方法において、
任意の役割を定義した役割情報と、前記役割情報に対応付けられた第1の情報処理システムと、前記役割情報に割当てられた前記利用者と、を含む第1の定義情報を記憶する定義情報記憶部から前記第1の定義情報を読み出し、前記第1の定義情報に含まれる前記役割情報に基づいて、前記利用者に対応付けられた前記第1の情報処理システムにおける前記識別情報を含む第1の管理情報を生成する管理情報生成処理と、
前記第1の管理情報と、前記第1の情報処理システムと異なる第2の情報処理システムで使用される利用者の識別情報を含む第2の管理情報と、の不整合を検出する不整合検出処理と、
前記第1の定義情報において、前記役割情報と、前記第2の情報処理システムまたは前記利用者と、の関係を変更することにより前記不整合を是正する1または2以上の不整合是正案を作成する不整合是正案作成処理と、
前記不整合是正案を実行して前記不整合を是正する不整合是正案実行処理と、
を行う方法。
【図1】
【図2】
【図4】
【図5】
【図6】
【図7】
【図8】
【図10】
【図12】
【図13】
【図14】
【図15】
【図16】
【図3】
【図9】
【図11】
【図2】
【図4】
【図5】
【図6】
【図7】
【図8】
【図10】
【図12】
【図13】
【図14】
【図15】
【図16】
【図3】
【図9】
【図11】
【公開番号】特開2011−186891(P2011−186891A)
【公開日】平成23年9月22日(2011.9.22)
【国際特許分類】
【出願番号】特願2010−52914(P2010−52914)
【出願日】平成22年3月10日(2010.3.10)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成19年度、経済産業省、「セキュア・プラットフォームプロジェクト」委託研究、産業技術力強化法第19条の適用を受ける特許出願
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
【公開日】平成23年9月22日(2011.9.22)
【国際特許分類】
【出願日】平成22年3月10日(2010.3.10)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成19年度、経済産業省、「セキュア・プラットフォームプロジェクト」委託研究、産業技術力強化法第19条の適用を受ける特許出願
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
[ Back to top ]