権限設定一時変更システム
【課題】条件に応じてシステム操作者に特定範囲のシステム操作権限を一時的に許可し、条件を満たさなくなった場合、自動的に通条権限に戻す機能を提供する。
【解決手段】システム操作権限管理サーバが、操作者情報と、通常権限設定情報と、一時許可回数及び対象操作範囲を規定した一時権限設定情報とを対応付けてデータベースに記憶する手段と、操作の要求に応じてデータベースを参照し、要求された操作が一時権限設定情報の対象操作範囲に含まれるか否かを判断する手段と、要求された操作が対象操作範囲に含まれる場合は、一時権限設定情報の一時許可回数が零か否かを判断する手段と、一時許可回数が零でない場合に、要求元である操作端末装置の要求する操作を実行させる手段と、要求された操作の実行後、一時許可回数を1回分減算してデータベースを更新する手段と、を備える。
【解決手段】システム操作権限管理サーバが、操作者情報と、通常権限設定情報と、一時許可回数及び対象操作範囲を規定した一時権限設定情報とを対応付けてデータベースに記憶する手段と、操作の要求に応じてデータベースを参照し、要求された操作が一時権限設定情報の対象操作範囲に含まれるか否かを判断する手段と、要求された操作が対象操作範囲に含まれる場合は、一時権限設定情報の一時許可回数が零か否かを判断する手段と、一時許可回数が零でない場合に、要求元である操作端末装置の要求する操作を実行させる手段と、要求された操作の実行後、一時許可回数を1回分減算してデータベースを更新する手段と、を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、システム操作者による対象システムに対する操作可能な範囲を、該対象システムのシステム管理者が予めを指定できるシステムにおいて、特定の操作に対して一時的に権限を変更(許可又は禁止)し、その後自動的に権限設定を戻す(禁止又は許可)する機能に関する。
【背景技術】
【0002】
対象システムの保有する情報資源へのアクセスに関して、システム管理者はシステム操作者に対して予め権限を設定し、システム操作を行う際に対象システムがシステム操作者の権限を確認することにより、許可されている範囲に制限してシステム操作を許容する。このような方式は、システム操作者の情報資源への操作を適正な操作範囲を規定するために、広く導入されている。
斯かるシステムの従来技術の一例としては、下記の特許文献1がある。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2003−167852号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
情報資源に対しアクセス権限を与える場合、従来技術においてはアクセス権限が固定的である。操作者のアクセス権限を管理者が一旦設定した場合、当該操作者のアクセス権の定義は常に同じ定義が利用され、アクセス権を元の状態に戻す場合は、当該定義を管理者が再度変更する手続きをとる必要があった。
【0005】
一方で、所定の条件を満たしている期間は、システム管理者がシステム操作者に一時的に操作権限を変更し、所定の条件を満たさなくなった場合、操作権限も元の定義に戻しておく機能に対する希望があった場合にも、都度システム管理者の定義変更作業が発生し、システム管理者の運用負担を高めていた。ここでの所定の条件とは、(1)システム管理者が予め指定した操作回数の範囲内であること、または(2)システム管理者が予め指定した操作日時期限の範囲内であること、である。
【0006】
本発明の目的は、システム管理者がシステム操作者に所定の条件を満たしている間は特定範囲のシステム操作権限を一時的に割り当てられるようにする機能を提供することと、所定の条件を満たさなくなった場合、自動的に操作権限を元の定義に戻す機能を提供することである。
【課題を解決するための手段】
【0007】
上記目的を達成するために、本発明では、対象システムに対するシステム操作者の通常の操作権限を一時的に変更するための権限設定一時変更システムを実現する。この権限設定一時変更システムは、対象システムにおける認証機能に組み込まれ、システム管理者により管理される。システム管理者は、この権限設定一時変更システムを用いて、システム操作者と対象操作範囲の組合せに対して、一時的に操作を許可する回数若しくは一時的に操作を許可する期限日時、又は一時的に操作を禁止する期限日時を指定する。システム操作者が操作端末装置を介して対象システムに対する操作要求を行った際に、権限設定一時変更システムは、一時権限設定情報を参照し、対象操作範囲において許可された回数内若しくは許可された日時期限内、又は、対象操作範囲において禁止された日時期限内であるか否かを確認する。
【0008】
具体的には、以下の構成を有する。
本発明による権限設定一時変更システムの第一の態様では、複数の操作端末装置から操作可能な対象システムに対する該操作端末装置の操作者の権限設定を管理するためのシステム操作権限管理サーバを有する権限設定一時変更システムにおいて、前記システム操作権限管理サーバが、
(a)前記操作者の操作者情報と、該操作者の通常権限設定情報と、該通常権限設定情報を変更して該操作者による操作を一時的に許可するための一時許可回数及び対象操作範囲を規定した一時権限設定情報とを対応付けてデータベースに記憶する手段と、
(b)前記対象システムに対するいずれかの前記操作端末装置からの所定の操作の要求に応じて、該要求に含まれる操作者情報に基づいて前記データベースを参照し、要求された操作が前記一時権限設定情報の対象操作範囲に含まれるか否かを判断する手段と、
(c)前記要求された操作が前記対象操作範囲に含まれる場合は、前記一時権限設定情報の一時許可回数が零か否かを判断する手段と、
(d)前記一時許可回数が零でない場合に、要求元である前記操作端末装置の要求する操作を実行させる手段と、
(e)前記要求された操作の実行後、前記一時許可回数を1回分減算して前記データベースを更新する手段と、
(f)前記要求された操作が前記対象操作範囲に含まれない場合又は前記一時許可回数が零の場合は前記通常権限設定情報に従って該要求された操作を処理する手段と、を備えたことを特徴とする。
【0009】
本発明による権限設定一時変更システムの第二の態様では、複数の操作端末装置から操作可能な対象システムに対する該操作端末装置の操作者の権限設定を管理するためのシステム操作権限管理サーバを有する権限設定一時変更システムにおいて、前記システム操作権限管理サーバが、
(a)前記操作者の操作者情報と、該操作者の通常権限設定情報と、該通常権限設定情報を変更して該操作者による操作を一時的に許可するための一時許可期限日時及び対象操作範囲を規定した一時権限設定情報とを対応付けてデータベースに記憶する手段と、
(b)前記対象システムに対するいずれかの前記操作端末装置からの所定の操作の要求に応じて、該要求に含まれる操作者情報に基づいて前記データベースを参照し、要求された操作が前記一時権限設定情報の対象操作範囲に含まれるか否かを判断する手段と、
(c)前記要求された操作が前記対象操作範囲に含まれる場合は、前記一時権限設定情報の一時許可期限日時が未来日時であるか否かを判断する手段と、
(d)前記一時許可期限日時が未来日時である場合に、要求元である前記操作端末装置の要求する操作を実行させる手段と、
(e)前記要求された操作が前記対象操作範囲に含まれない場合又は前記一時許可期限日時が未来日時でない場合は前記通常権限設定情報に従って該要求された操作を処理する手段と、を備えたことを特徴とする。
【0010】
本発明による権限設定一時変更システムの第三の態様では、複数の操作端末装置から操作可能な対象システムに対する該操作端末装置の操作者の権限設定を管理するためのシステム操作権限管理サーバを有する権限設定一時変更システムにおいて、前記システム操作権限管理サーバが、
(a)前記操作者の操作者情報と、該操作者の通常権限設定情報と、該通常権限設定情報を変更して該操作者による操作を一時的に禁止するための一時禁止期限日時及び対象操作範囲を規定した一時権限設定情報とを対応付けてデータベースに記憶する手段と、
(b)前記対象システムに対するいずれかの前記操作端末装置からの所定の操作の要求に応じて、該要求に含まれる操作者情報に基づいて前記データベースを参照し、要求された操作が前記一時権限設定情報の対象操作範囲に含まれるか否かを判断する手段と、
(c)前記要求された操作が前記対象操作範囲に含まれる場合は、前記一時権限設定情報の一時禁止期限日時が未来日時であるか否かを判断する手段と、
(d)前記一時禁止期限日時が未来日時である場合に、要求元である前記操作端末装置の要求する操作を拒否する手段と、
(e)前記要求された操作が前記対象操作範囲に含まれない場合又は前記一時禁止期限日時が未来日時でない場合は前記通常権限設定情報に従って該要求された操作を処理する手段と、を備えたことを特徴とする。
【発明の効果】
【0011】
本発明による権限設定一時変更システムを利用することにより、次のような効果がある。
(1)当該操作内容に対する実行権限を持たないシステム操作者に対し、システム管理者が一時的に回数制限を設けた権限を付与することで、システム管理者が意識した回数のみ特例で当該操作を許可する権限設定運用が可能となる。
(2)当該操作内容に対する実行権限を持たないシステム操作者に対し、システム管理者が一時的に操作可能期限日時制限を設けた権限を付与することで、システム管理者が意識した期間のみ特例で当該操作を許可する権限設定運用が可能となる。
(3)当該操作内容に対する実行権限を持つシステム操作者に対し、システム管理者が一時的に操作禁止期限日時制限を設けた権限を付与することで、システム管理者が意識した期間のみ特例で当該操作を禁止する権限設定運用が可能となる。
(4)回数制限定義(許可)を利用した場合、毎回毎回システム管理者が権限定義変更(許可)をする必要がない。また当該回数だけ利用した場合、システム管理者が権限定義変更(禁止)する操作を意識しなくても、自動的に権限が変更(禁止)されるため、定義の戻し忘れが発生しない。
(5)期限設定定義(許可又は禁止)を利用した場合、制限したい期限が来た時にシステム管理者が権限定義変更(禁止又は許可)する操作を意識しなくても、自動的に権限が変更(禁止又は許可)されるため、定義の戻し忘れが発生しない。
【図面の簡単な説明】
【0012】
【図1】本発明によるシステムの実施の形態の一例を示すシステム構成図である。
【図2】一時権限設定情報に含まれる項目である。
【図3】回数制限定義による一時許可設定に対する処理フローチャートである。
【図4】日時制限定義による一時許可設定に対する処理フローチャートである。
【発明を実施するための形態】
【0013】
以下、本発明による権限設定一時変更システムの一実施の形態について説明する。
図1は、本発明の実施の形態の一例を示すシステム構成図である。
システム操作権限管理サーバ(以下、「管理サーバ」と略称する)101と、それにネットワーク接続された複数のシステム操作端末装置(以下、「操作端末装置」と略称する)102とから構成される。システム操作権限管理サーバ101は、認証機能103と、システム操作機能104とを含む各処理機能を有する。さらに、認証機能103に関連する情報を格納したデータベースを備え、データベース内には、操作者情報105と、通常権限設定情報106と、一時権限設定情報107とを保有する。
【0014】
ここで、操作者情報105は、システム操作者(以下、「操作者」と略称する)の固有情報である操作者IDとパスワードを含む。
【0015】
通常権限設定情報106は、恒久的な権限定義の情報であり、操作者IDと、許可又は禁止の設定情報と、許可又は禁止の対象となる操作内容を特定する対象操作範囲とを情報として含む。
【0016】
一時権限設定情報107は、通常権限設定情報106を一時的に変更する場合に定義される。変更する態様により、次の3通りの定義が可能である。
第一の態様は、通常権限設定が禁止であって一時的に回数制限を設けた権限を付与する場合であり、許可対象の操作者IDと、一時許可回数と、対象操作範囲とを情報として含む。この一時許可回数が零でない場合は、対象操作範囲の操作が許可される。一時許可回数は、一時許可を実行する毎に初期設定の値から減算され、最終的に零になる。零になると当該一時権限設定情報は自動的に無効になる、すなわち自動的に通常権限設定に戻ることになる。
第二の態様は、通常権限設定が禁止であって一時的に操作可能期限日時を設けた権限を付与する場合であり、情報として、許可対象の操作者IDと、一時許可期限日時と、対象操作範囲とを情報として含む。この一時権限設定を行った時点から一時許可期限日時まで、対象操作範囲の操作が許可される。一時許可期限日時を経過すると当該一時権限設定情報は自動的に無効になる、すなわち自動的に通常権限設定に戻ることになる。
第三の態様は、通常権限設定が許可であって一時的に操作不可能期限日時を設けた権限を付与する場合であり、禁止対象の操作者IDと、一時禁止期限日時と、対象操作範囲とを情報として含む。この一時権限設定を行った時点から一時禁止期限日時まで、対象操作範囲の操作が禁止される。一時禁止期限日時を経過すると当該一時権限設定情報は自動的に無効になる、すなわち自動的に通常権限設定に戻ることになる。
【0017】
図2は、一時権限設定情報107のテーブル構成例を示す。項目として、「操作者ID」201、「一時許可設定情報(一時許可回数または一時許可期限日時)」202、「対象操作範囲」203が設けられている。このテーブル構成例は、上記第一及び第二の態様に対応している。図2のテーブルに、上記第三の態様の一時権限設定情報を含めてもよいが、第三の態様に対応した別のテーブルを作成してもよい。その場合、項目として「操作者ID」、「一時禁止期限日時」、「対象操作範囲」が設けられる。
【0018】
図1を参照して本システムの機能を説明する。
図1の操作端末装置102から管理サーバ101に対して操作者ID及びパスワードとシステム操作内容とを含むシステム操作要求111を送信する。認証機能103は、このシステム操作要求を受け取ることに応じて、当該要求に含まれる操作者情報に基づいて、データベースの操作者情報105に対して操作者情報照会を行う。操作者IDとパスワードの組み合わせが正しい場合のみ処理を継続する。
【0019】
処理を継続する場合、認証機能103は、データベースの通常権限設定情報106に対して通常権限設定情報照会113の処理を実施するとともに、データベースの一時権限設定情報107に対して一時権限設定情報照会/更新114の照会処理を実施する。続いて、一時権限設定情報107が存在するか否かを判断する。
【0020】
認証機能103は、一時権限設定情報107として一時許可回数又は一時許可期限日時が記憶されている場合は、当該一時権限設定情報107を取得し、その条件を満たすか否かを判断する。すなわち、一時権限設定情報の対象操作範囲に該当するか否か、一時許可回数または一時許可期限日時が該当するか否かを判断する。条件を満たす場合、認証機能103は、システム操作機能104に対してシステム操作機能呼び出し115の処理を実施する。条件を満たさない場合は、通常権限設定情報106に従って、操作拒否の旨を操作端末装置に通知する。
【0021】
あるいは、認証機能103は、一時権限設定情報107として一時禁止期限日時が記憶されている場合は、当該一時権限設定情報107を取得し、その条件を満たすか否かを判断する。すなわち、一時権限設定情報の対象操作範囲に該当するか否か、一時禁止期限日時が該当するか否かを判断する。条件を満たす場合は、一時禁止とし、操作拒否の旨を操作端末装置に通知する。条件を満たさない場合は、通常権限設定情報106に従って、システム操作機能104に対してシステム操作機能呼び出し115の処理を実施する。
【0022】
また、認証機能103は、取得した一時権限設定情報107が一時許可回数の場合は、一時許可によるシステム操作機能呼び出しが正常に実施できた際、一時権限設定情報照会/更新114の更新処理を実行することにより、図2のテーブルの項目である一時許可回数202の回数を1回分減算して更新を行う。
【0023】
図3は、図1のシステム構成における、回数制限定義による一時許可設定に対する処理フローチャートの一例を示す。
回数制限定義による一時許可設定を利用する場合でシステム操作要求が発生した場合、操作者情報取得及び操作要求内容情報取得が実施される(ステップ301)。次に通常権限設定情報を取得する(ステップ302)。さらに、一時権限設定情報を取得する(ステップ303)。次に、ステップ303で取得した一時権限設定情報から、当該操作者に一時権限定義が存在するか否かを確認する(ステップ304)。ステップ304で一時権限定義が存在する場合は、要求された操作が一時権限定義で許可された対象操作範囲か否かを確認する(ステップ305)。ステップ305において、一時権限定義で許可された対象操作範囲でない場合すなわち要求された操作が禁止されている場合、操作できない旨を応答する(ステップ307)。ステップ304で一時権限定義が存在しない場合は、通常権限で操作が許可されているか否かを確認する(ステップ306)。ステップ306で通常権限の操作が許可されていない場合、操作できない旨を応答する(ステップ307)。ステップ306で通常権限の操作が許可されている場合、操作を実施しその結果を応答する処理を行う(ステップ311)。
【0024】
ステップ305において、一時権限定義で許可された対象操作範囲である場合すなわち要求された操作が許可されている場合は、現時点の一時許可回数すなわち残存回数を確認する(ステップ308)。ステップ308で残存回数が零である場合は、ステップ306で通常権限で操作が許可されているか否かを確認する。ステップ306で通常権限の操作が許可されている場合、操作を実施しその結果を応答する処理を行う(ステップ311)。ステップ306で通常権限の操作が許可されていない場合、ステップ307又は311へ進む。ステップ308で残存回数が零でない場合は、操作を実施しその結果を応答する処理を行う(ステップ309)。ステップ309の後、一時許可回数を1回分減算する更新を行う(ステップ310)。
【0025】
図4は、図1のシステム構成における、日時制限定義による一時許可設定に対する処理フローチャートの一例を示す。
日時制限定義による一時許可設定を利用する場合でシステム操作要求が発生した場合、操作者情報取得及び操作要求内容情報取得が実施される(ステップ401)。次に通常権限設定情報を取得する(ステップ402)。さらに、一時権限設定情報を取得する(ステップ403)。次に、ステップ403で取得した一時権限設定情報から、当該操作者に一時権限定義が存在するか否かを確認する(ステップ404)。ステップ404で一時権限定義が存在する場合は、要求された操作が一時権限定義で許可された対象操作範囲か否かを確認する(ステップ405)。ステップ405において、一時権限定義で許可された対象操作範囲でない場合すなわち操作が禁止されている場合、操作できない旨を応答する(ステップ407)。ステップ404で一時権限定義が存在しない場合は、通常権限で操作が許可されているか否かを確認する(ステップ406)。ステップ406で通常権限の操作が許可されていない場合、操作できない旨を応答する(ステップ407)。ステップ406で通常権限の操作が許可されている場合、操作を実施しその結果を応答する処理を行う(ステップ410)。
【0026】
ステップ405において、一時権限定義で許可された対象操作範囲である場合すなわち要求された操作が許可されている場合は、一時許可期限日時が未来日時であるか過去日時であるかを確認する(ステップ408)。ステップ408で未来日時である場合は、操作を実施しその結果を応答する処理を行う(ステップ409)。ステップ408で過去日時である場合は、ステップ406で通常権限で操作が許可されているか否かを確認する。その後は、ステップ407又は410へ進む。
【符号の説明】
【0027】
101:システム操作権限管理サーバ、102:システム操作端末装置、103:認証機能、104:システム操作機能、105:操作者情報、106:通常権限設定情報、107:一時権限設定情報、111:システム操作要求、112:操作者情報照会、113:通常権限設定情報照会、114:一時権限設定情報照会/更新、115:システム操作機能呼び出し、201:操作者ID、202:一時許可設定情報(操作可能回数または操作可能期限日時)、203:定義対象操作範囲、301:システム操作者情報取得/操作要求内容情報取得、302:通常権限設定情報取得、303:一時権限設定情報取得、304:一時権限定義有無の確認、305:一時権限による一時許可設定確認、306:通常権限による一時許可設定確認、307:操作出来ない旨応答、308:一時権限の残存回数確認、309:操作実施/結果応答処理、310:一時権限残存回数更新、311:操作実施/結果応答処理、401:システム操作者情報取得/操作要求内容情報取得、402:通常権限設定情報取得、403:一時権限設定情報取得、404:一時権限定義有無の確認、405:一時権限による一時許可設定確認、406:通常権限による一時許可設定確認、407:操作出来ない旨応答、408:一時権限の未来日確認、409:操作実施/結果応答処理、410:操作実施/結果応答処理。
【技術分野】
【0001】
本発明は、システム操作者による対象システムに対する操作可能な範囲を、該対象システムのシステム管理者が予めを指定できるシステムにおいて、特定の操作に対して一時的に権限を変更(許可又は禁止)し、その後自動的に権限設定を戻す(禁止又は許可)する機能に関する。
【背景技術】
【0002】
対象システムの保有する情報資源へのアクセスに関して、システム管理者はシステム操作者に対して予め権限を設定し、システム操作を行う際に対象システムがシステム操作者の権限を確認することにより、許可されている範囲に制限してシステム操作を許容する。このような方式は、システム操作者の情報資源への操作を適正な操作範囲を規定するために、広く導入されている。
斯かるシステムの従来技術の一例としては、下記の特許文献1がある。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2003−167852号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
情報資源に対しアクセス権限を与える場合、従来技術においてはアクセス権限が固定的である。操作者のアクセス権限を管理者が一旦設定した場合、当該操作者のアクセス権の定義は常に同じ定義が利用され、アクセス権を元の状態に戻す場合は、当該定義を管理者が再度変更する手続きをとる必要があった。
【0005】
一方で、所定の条件を満たしている期間は、システム管理者がシステム操作者に一時的に操作権限を変更し、所定の条件を満たさなくなった場合、操作権限も元の定義に戻しておく機能に対する希望があった場合にも、都度システム管理者の定義変更作業が発生し、システム管理者の運用負担を高めていた。ここでの所定の条件とは、(1)システム管理者が予め指定した操作回数の範囲内であること、または(2)システム管理者が予め指定した操作日時期限の範囲内であること、である。
【0006】
本発明の目的は、システム管理者がシステム操作者に所定の条件を満たしている間は特定範囲のシステム操作権限を一時的に割り当てられるようにする機能を提供することと、所定の条件を満たさなくなった場合、自動的に操作権限を元の定義に戻す機能を提供することである。
【課題を解決するための手段】
【0007】
上記目的を達成するために、本発明では、対象システムに対するシステム操作者の通常の操作権限を一時的に変更するための権限設定一時変更システムを実現する。この権限設定一時変更システムは、対象システムにおける認証機能に組み込まれ、システム管理者により管理される。システム管理者は、この権限設定一時変更システムを用いて、システム操作者と対象操作範囲の組合せに対して、一時的に操作を許可する回数若しくは一時的に操作を許可する期限日時、又は一時的に操作を禁止する期限日時を指定する。システム操作者が操作端末装置を介して対象システムに対する操作要求を行った際に、権限設定一時変更システムは、一時権限設定情報を参照し、対象操作範囲において許可された回数内若しくは許可された日時期限内、又は、対象操作範囲において禁止された日時期限内であるか否かを確認する。
【0008】
具体的には、以下の構成を有する。
本発明による権限設定一時変更システムの第一の態様では、複数の操作端末装置から操作可能な対象システムに対する該操作端末装置の操作者の権限設定を管理するためのシステム操作権限管理サーバを有する権限設定一時変更システムにおいて、前記システム操作権限管理サーバが、
(a)前記操作者の操作者情報と、該操作者の通常権限設定情報と、該通常権限設定情報を変更して該操作者による操作を一時的に許可するための一時許可回数及び対象操作範囲を規定した一時権限設定情報とを対応付けてデータベースに記憶する手段と、
(b)前記対象システムに対するいずれかの前記操作端末装置からの所定の操作の要求に応じて、該要求に含まれる操作者情報に基づいて前記データベースを参照し、要求された操作が前記一時権限設定情報の対象操作範囲に含まれるか否かを判断する手段と、
(c)前記要求された操作が前記対象操作範囲に含まれる場合は、前記一時権限設定情報の一時許可回数が零か否かを判断する手段と、
(d)前記一時許可回数が零でない場合に、要求元である前記操作端末装置の要求する操作を実行させる手段と、
(e)前記要求された操作の実行後、前記一時許可回数を1回分減算して前記データベースを更新する手段と、
(f)前記要求された操作が前記対象操作範囲に含まれない場合又は前記一時許可回数が零の場合は前記通常権限設定情報に従って該要求された操作を処理する手段と、を備えたことを特徴とする。
【0009】
本発明による権限設定一時変更システムの第二の態様では、複数の操作端末装置から操作可能な対象システムに対する該操作端末装置の操作者の権限設定を管理するためのシステム操作権限管理サーバを有する権限設定一時変更システムにおいて、前記システム操作権限管理サーバが、
(a)前記操作者の操作者情報と、該操作者の通常権限設定情報と、該通常権限設定情報を変更して該操作者による操作を一時的に許可するための一時許可期限日時及び対象操作範囲を規定した一時権限設定情報とを対応付けてデータベースに記憶する手段と、
(b)前記対象システムに対するいずれかの前記操作端末装置からの所定の操作の要求に応じて、該要求に含まれる操作者情報に基づいて前記データベースを参照し、要求された操作が前記一時権限設定情報の対象操作範囲に含まれるか否かを判断する手段と、
(c)前記要求された操作が前記対象操作範囲に含まれる場合は、前記一時権限設定情報の一時許可期限日時が未来日時であるか否かを判断する手段と、
(d)前記一時許可期限日時が未来日時である場合に、要求元である前記操作端末装置の要求する操作を実行させる手段と、
(e)前記要求された操作が前記対象操作範囲に含まれない場合又は前記一時許可期限日時が未来日時でない場合は前記通常権限設定情報に従って該要求された操作を処理する手段と、を備えたことを特徴とする。
【0010】
本発明による権限設定一時変更システムの第三の態様では、複数の操作端末装置から操作可能な対象システムに対する該操作端末装置の操作者の権限設定を管理するためのシステム操作権限管理サーバを有する権限設定一時変更システムにおいて、前記システム操作権限管理サーバが、
(a)前記操作者の操作者情報と、該操作者の通常権限設定情報と、該通常権限設定情報を変更して該操作者による操作を一時的に禁止するための一時禁止期限日時及び対象操作範囲を規定した一時権限設定情報とを対応付けてデータベースに記憶する手段と、
(b)前記対象システムに対するいずれかの前記操作端末装置からの所定の操作の要求に応じて、該要求に含まれる操作者情報に基づいて前記データベースを参照し、要求された操作が前記一時権限設定情報の対象操作範囲に含まれるか否かを判断する手段と、
(c)前記要求された操作が前記対象操作範囲に含まれる場合は、前記一時権限設定情報の一時禁止期限日時が未来日時であるか否かを判断する手段と、
(d)前記一時禁止期限日時が未来日時である場合に、要求元である前記操作端末装置の要求する操作を拒否する手段と、
(e)前記要求された操作が前記対象操作範囲に含まれない場合又は前記一時禁止期限日時が未来日時でない場合は前記通常権限設定情報に従って該要求された操作を処理する手段と、を備えたことを特徴とする。
【発明の効果】
【0011】
本発明による権限設定一時変更システムを利用することにより、次のような効果がある。
(1)当該操作内容に対する実行権限を持たないシステム操作者に対し、システム管理者が一時的に回数制限を設けた権限を付与することで、システム管理者が意識した回数のみ特例で当該操作を許可する権限設定運用が可能となる。
(2)当該操作内容に対する実行権限を持たないシステム操作者に対し、システム管理者が一時的に操作可能期限日時制限を設けた権限を付与することで、システム管理者が意識した期間のみ特例で当該操作を許可する権限設定運用が可能となる。
(3)当該操作内容に対する実行権限を持つシステム操作者に対し、システム管理者が一時的に操作禁止期限日時制限を設けた権限を付与することで、システム管理者が意識した期間のみ特例で当該操作を禁止する権限設定運用が可能となる。
(4)回数制限定義(許可)を利用した場合、毎回毎回システム管理者が権限定義変更(許可)をする必要がない。また当該回数だけ利用した場合、システム管理者が権限定義変更(禁止)する操作を意識しなくても、自動的に権限が変更(禁止)されるため、定義の戻し忘れが発生しない。
(5)期限設定定義(許可又は禁止)を利用した場合、制限したい期限が来た時にシステム管理者が権限定義変更(禁止又は許可)する操作を意識しなくても、自動的に権限が変更(禁止又は許可)されるため、定義の戻し忘れが発生しない。
【図面の簡単な説明】
【0012】
【図1】本発明によるシステムの実施の形態の一例を示すシステム構成図である。
【図2】一時権限設定情報に含まれる項目である。
【図3】回数制限定義による一時許可設定に対する処理フローチャートである。
【図4】日時制限定義による一時許可設定に対する処理フローチャートである。
【発明を実施するための形態】
【0013】
以下、本発明による権限設定一時変更システムの一実施の形態について説明する。
図1は、本発明の実施の形態の一例を示すシステム構成図である。
システム操作権限管理サーバ(以下、「管理サーバ」と略称する)101と、それにネットワーク接続された複数のシステム操作端末装置(以下、「操作端末装置」と略称する)102とから構成される。システム操作権限管理サーバ101は、認証機能103と、システム操作機能104とを含む各処理機能を有する。さらに、認証機能103に関連する情報を格納したデータベースを備え、データベース内には、操作者情報105と、通常権限設定情報106と、一時権限設定情報107とを保有する。
【0014】
ここで、操作者情報105は、システム操作者(以下、「操作者」と略称する)の固有情報である操作者IDとパスワードを含む。
【0015】
通常権限設定情報106は、恒久的な権限定義の情報であり、操作者IDと、許可又は禁止の設定情報と、許可又は禁止の対象となる操作内容を特定する対象操作範囲とを情報として含む。
【0016】
一時権限設定情報107は、通常権限設定情報106を一時的に変更する場合に定義される。変更する態様により、次の3通りの定義が可能である。
第一の態様は、通常権限設定が禁止であって一時的に回数制限を設けた権限を付与する場合であり、許可対象の操作者IDと、一時許可回数と、対象操作範囲とを情報として含む。この一時許可回数が零でない場合は、対象操作範囲の操作が許可される。一時許可回数は、一時許可を実行する毎に初期設定の値から減算され、最終的に零になる。零になると当該一時権限設定情報は自動的に無効になる、すなわち自動的に通常権限設定に戻ることになる。
第二の態様は、通常権限設定が禁止であって一時的に操作可能期限日時を設けた権限を付与する場合であり、情報として、許可対象の操作者IDと、一時許可期限日時と、対象操作範囲とを情報として含む。この一時権限設定を行った時点から一時許可期限日時まで、対象操作範囲の操作が許可される。一時許可期限日時を経過すると当該一時権限設定情報は自動的に無効になる、すなわち自動的に通常権限設定に戻ることになる。
第三の態様は、通常権限設定が許可であって一時的に操作不可能期限日時を設けた権限を付与する場合であり、禁止対象の操作者IDと、一時禁止期限日時と、対象操作範囲とを情報として含む。この一時権限設定を行った時点から一時禁止期限日時まで、対象操作範囲の操作が禁止される。一時禁止期限日時を経過すると当該一時権限設定情報は自動的に無効になる、すなわち自動的に通常権限設定に戻ることになる。
【0017】
図2は、一時権限設定情報107のテーブル構成例を示す。項目として、「操作者ID」201、「一時許可設定情報(一時許可回数または一時許可期限日時)」202、「対象操作範囲」203が設けられている。このテーブル構成例は、上記第一及び第二の態様に対応している。図2のテーブルに、上記第三の態様の一時権限設定情報を含めてもよいが、第三の態様に対応した別のテーブルを作成してもよい。その場合、項目として「操作者ID」、「一時禁止期限日時」、「対象操作範囲」が設けられる。
【0018】
図1を参照して本システムの機能を説明する。
図1の操作端末装置102から管理サーバ101に対して操作者ID及びパスワードとシステム操作内容とを含むシステム操作要求111を送信する。認証機能103は、このシステム操作要求を受け取ることに応じて、当該要求に含まれる操作者情報に基づいて、データベースの操作者情報105に対して操作者情報照会を行う。操作者IDとパスワードの組み合わせが正しい場合のみ処理を継続する。
【0019】
処理を継続する場合、認証機能103は、データベースの通常権限設定情報106に対して通常権限設定情報照会113の処理を実施するとともに、データベースの一時権限設定情報107に対して一時権限設定情報照会/更新114の照会処理を実施する。続いて、一時権限設定情報107が存在するか否かを判断する。
【0020】
認証機能103は、一時権限設定情報107として一時許可回数又は一時許可期限日時が記憶されている場合は、当該一時権限設定情報107を取得し、その条件を満たすか否かを判断する。すなわち、一時権限設定情報の対象操作範囲に該当するか否か、一時許可回数または一時許可期限日時が該当するか否かを判断する。条件を満たす場合、認証機能103は、システム操作機能104に対してシステム操作機能呼び出し115の処理を実施する。条件を満たさない場合は、通常権限設定情報106に従って、操作拒否の旨を操作端末装置に通知する。
【0021】
あるいは、認証機能103は、一時権限設定情報107として一時禁止期限日時が記憶されている場合は、当該一時権限設定情報107を取得し、その条件を満たすか否かを判断する。すなわち、一時権限設定情報の対象操作範囲に該当するか否か、一時禁止期限日時が該当するか否かを判断する。条件を満たす場合は、一時禁止とし、操作拒否の旨を操作端末装置に通知する。条件を満たさない場合は、通常権限設定情報106に従って、システム操作機能104に対してシステム操作機能呼び出し115の処理を実施する。
【0022】
また、認証機能103は、取得した一時権限設定情報107が一時許可回数の場合は、一時許可によるシステム操作機能呼び出しが正常に実施できた際、一時権限設定情報照会/更新114の更新処理を実行することにより、図2のテーブルの項目である一時許可回数202の回数を1回分減算して更新を行う。
【0023】
図3は、図1のシステム構成における、回数制限定義による一時許可設定に対する処理フローチャートの一例を示す。
回数制限定義による一時許可設定を利用する場合でシステム操作要求が発生した場合、操作者情報取得及び操作要求内容情報取得が実施される(ステップ301)。次に通常権限設定情報を取得する(ステップ302)。さらに、一時権限設定情報を取得する(ステップ303)。次に、ステップ303で取得した一時権限設定情報から、当該操作者に一時権限定義が存在するか否かを確認する(ステップ304)。ステップ304で一時権限定義が存在する場合は、要求された操作が一時権限定義で許可された対象操作範囲か否かを確認する(ステップ305)。ステップ305において、一時権限定義で許可された対象操作範囲でない場合すなわち要求された操作が禁止されている場合、操作できない旨を応答する(ステップ307)。ステップ304で一時権限定義が存在しない場合は、通常権限で操作が許可されているか否かを確認する(ステップ306)。ステップ306で通常権限の操作が許可されていない場合、操作できない旨を応答する(ステップ307)。ステップ306で通常権限の操作が許可されている場合、操作を実施しその結果を応答する処理を行う(ステップ311)。
【0024】
ステップ305において、一時権限定義で許可された対象操作範囲である場合すなわち要求された操作が許可されている場合は、現時点の一時許可回数すなわち残存回数を確認する(ステップ308)。ステップ308で残存回数が零である場合は、ステップ306で通常権限で操作が許可されているか否かを確認する。ステップ306で通常権限の操作が許可されている場合、操作を実施しその結果を応答する処理を行う(ステップ311)。ステップ306で通常権限の操作が許可されていない場合、ステップ307又は311へ進む。ステップ308で残存回数が零でない場合は、操作を実施しその結果を応答する処理を行う(ステップ309)。ステップ309の後、一時許可回数を1回分減算する更新を行う(ステップ310)。
【0025】
図4は、図1のシステム構成における、日時制限定義による一時許可設定に対する処理フローチャートの一例を示す。
日時制限定義による一時許可設定を利用する場合でシステム操作要求が発生した場合、操作者情報取得及び操作要求内容情報取得が実施される(ステップ401)。次に通常権限設定情報を取得する(ステップ402)。さらに、一時権限設定情報を取得する(ステップ403)。次に、ステップ403で取得した一時権限設定情報から、当該操作者に一時権限定義が存在するか否かを確認する(ステップ404)。ステップ404で一時権限定義が存在する場合は、要求された操作が一時権限定義で許可された対象操作範囲か否かを確認する(ステップ405)。ステップ405において、一時権限定義で許可された対象操作範囲でない場合すなわち操作が禁止されている場合、操作できない旨を応答する(ステップ407)。ステップ404で一時権限定義が存在しない場合は、通常権限で操作が許可されているか否かを確認する(ステップ406)。ステップ406で通常権限の操作が許可されていない場合、操作できない旨を応答する(ステップ407)。ステップ406で通常権限の操作が許可されている場合、操作を実施しその結果を応答する処理を行う(ステップ410)。
【0026】
ステップ405において、一時権限定義で許可された対象操作範囲である場合すなわち要求された操作が許可されている場合は、一時許可期限日時が未来日時であるか過去日時であるかを確認する(ステップ408)。ステップ408で未来日時である場合は、操作を実施しその結果を応答する処理を行う(ステップ409)。ステップ408で過去日時である場合は、ステップ406で通常権限で操作が許可されているか否かを確認する。その後は、ステップ407又は410へ進む。
【符号の説明】
【0027】
101:システム操作権限管理サーバ、102:システム操作端末装置、103:認証機能、104:システム操作機能、105:操作者情報、106:通常権限設定情報、107:一時権限設定情報、111:システム操作要求、112:操作者情報照会、113:通常権限設定情報照会、114:一時権限設定情報照会/更新、115:システム操作機能呼び出し、201:操作者ID、202:一時許可設定情報(操作可能回数または操作可能期限日時)、203:定義対象操作範囲、301:システム操作者情報取得/操作要求内容情報取得、302:通常権限設定情報取得、303:一時権限設定情報取得、304:一時権限定義有無の確認、305:一時権限による一時許可設定確認、306:通常権限による一時許可設定確認、307:操作出来ない旨応答、308:一時権限の残存回数確認、309:操作実施/結果応答処理、310:一時権限残存回数更新、311:操作実施/結果応答処理、401:システム操作者情報取得/操作要求内容情報取得、402:通常権限設定情報取得、403:一時権限設定情報取得、404:一時権限定義有無の確認、405:一時権限による一時許可設定確認、406:通常権限による一時許可設定確認、407:操作出来ない旨応答、408:一時権限の未来日確認、409:操作実施/結果応答処理、410:操作実施/結果応答処理。
【特許請求の範囲】
【請求項1】
複数の操作端末装置から操作可能な対象システムに対する該操作端末装置の操作者の権限設定を管理するためのシステム操作権限管理サーバを有する権限設定一時変更システムにおいて、前記システム操作権限管理サーバが、
(a)前記操作者の操作者情報と、該操作者の通常権限設定情報と、該通常権限設定情報を変更して該操作者による操作を一時的に許可するための一時許可回数及び対象操作範囲を規定した一時権限設定情報とを対応付けてデータベースに記憶する手段と、
(b)前記対象システムに対するいずれかの前記操作端末装置からの所定の操作の要求に応じて、該要求に含まれる操作者情報に基づいて前記データベースを参照し、要求された操作が前記一時権限設定情報の対象操作範囲に含まれるか否かを判断する手段と、
(c)前記要求された操作が前記対象操作範囲に含まれる場合は、前記一時権限設定情報の一時許可回数が零か否かを判断する手段と、
(d)前記一時許可回数が零でない場合に、要求元である前記操作端末装置の要求する操作を実行させる手段と、
(e)前記要求された操作の実行後、前記一時許可回数を1回分減算して前記データベースを更新する手段と、
(f)前記要求された操作が前記対象操作範囲に含まれない場合又は前記一時許可回数が零の場合は前記通常権限設定情報に従って該要求された操作を処理する手段と、を備えたことを特徴とする権限設定一時変更システム。
【請求項2】
複数の操作端末装置から操作可能な対象システムに対する該操作端末装置の操作者の権限設定を管理するためのシステム操作権限管理サーバを有する権限設定一時変更システムにおいて、前記システム操作権限管理サーバが、
(a)前記操作者の操作者情報と、該操作者の通常権限設定情報と、該通常権限設定情報を変更して該操作者による操作を一時的に許可するための一時許可期限日時及び対象操作範囲を規定した一時権限設定情報とを対応付けてデータベースに記憶する手段と、
(b)前記対象システムに対するいずれかの前記操作端末装置からの所定の操作の要求に応じて、該要求に含まれる操作者情報に基づいて前記データベースを参照し、要求された操作が前記一時権限設定情報の対象操作範囲に含まれるか否かを判断する手段と、
(c)前記要求された操作が前記対象操作範囲に含まれる場合は、前記一時権限設定情報の一時許可期限日時が未来日時であるか否かを判断する手段と、
(d)前記一時許可期限日時が未来日時である場合に、要求元である前記操作端末装置の要求する操作を実行させる手段と、
(e)前記要求された操作が前記対象操作範囲に含まれない場合又は前記一時許可期限日時が未来日時でない場合は前記通常権限設定情報に従って該要求された操作を処理する手段と、を備えたことを特徴とする権限設定一時変更システム。
【請求項3】
複数の操作端末装置から操作可能な対象システムに対する該操作端末装置の操作者の権限設定を管理するためのシステム操作権限管理サーバを有する権限設定一時変更システムにおいて、前記システム操作権限管理サーバが、
(a)前記操作者の操作者情報と、該操作者の通常権限設定情報と、該通常権限設定情報を変更して該操作者による操作を一時的に禁止するための一時禁止期限日時及び対象操作範囲を規定した一時権限設定情報とを対応付けてデータベースに記憶する手段と、
(b)前記対象システムに対するいずれかの前記操作端末装置からの所定の操作の要求に応じて、該要求に含まれる操作者情報に基づいて前記データベースを参照し、要求された操作が前記一時権限設定情報の対象操作範囲に含まれるか否かを判断する手段と、
(c)前記要求された操作が前記対象操作範囲に含まれる場合は、前記一時権限設定情報の一時禁止期限日時が未来日時であるか否かを判断する手段と、
(d)前記一時禁止期限日時が未来日時である場合に、要求元である前記操作端末装置の要求する操作を拒否する手段と、
(e)前記要求された操作が前記対象操作範囲に含まれない場合又は前記一時禁止期限日時が未来日時でない場合は前記通常権限設定情報に従って該要求された操作を処理する手段と、を備えたことを特徴とする権限設定一時変更システム。
【請求項1】
複数の操作端末装置から操作可能な対象システムに対する該操作端末装置の操作者の権限設定を管理するためのシステム操作権限管理サーバを有する権限設定一時変更システムにおいて、前記システム操作権限管理サーバが、
(a)前記操作者の操作者情報と、該操作者の通常権限設定情報と、該通常権限設定情報を変更して該操作者による操作を一時的に許可するための一時許可回数及び対象操作範囲を規定した一時権限設定情報とを対応付けてデータベースに記憶する手段と、
(b)前記対象システムに対するいずれかの前記操作端末装置からの所定の操作の要求に応じて、該要求に含まれる操作者情報に基づいて前記データベースを参照し、要求された操作が前記一時権限設定情報の対象操作範囲に含まれるか否かを判断する手段と、
(c)前記要求された操作が前記対象操作範囲に含まれる場合は、前記一時権限設定情報の一時許可回数が零か否かを判断する手段と、
(d)前記一時許可回数が零でない場合に、要求元である前記操作端末装置の要求する操作を実行させる手段と、
(e)前記要求された操作の実行後、前記一時許可回数を1回分減算して前記データベースを更新する手段と、
(f)前記要求された操作が前記対象操作範囲に含まれない場合又は前記一時許可回数が零の場合は前記通常権限設定情報に従って該要求された操作を処理する手段と、を備えたことを特徴とする権限設定一時変更システム。
【請求項2】
複数の操作端末装置から操作可能な対象システムに対する該操作端末装置の操作者の権限設定を管理するためのシステム操作権限管理サーバを有する権限設定一時変更システムにおいて、前記システム操作権限管理サーバが、
(a)前記操作者の操作者情報と、該操作者の通常権限設定情報と、該通常権限設定情報を変更して該操作者による操作を一時的に許可するための一時許可期限日時及び対象操作範囲を規定した一時権限設定情報とを対応付けてデータベースに記憶する手段と、
(b)前記対象システムに対するいずれかの前記操作端末装置からの所定の操作の要求に応じて、該要求に含まれる操作者情報に基づいて前記データベースを参照し、要求された操作が前記一時権限設定情報の対象操作範囲に含まれるか否かを判断する手段と、
(c)前記要求された操作が前記対象操作範囲に含まれる場合は、前記一時権限設定情報の一時許可期限日時が未来日時であるか否かを判断する手段と、
(d)前記一時許可期限日時が未来日時である場合に、要求元である前記操作端末装置の要求する操作を実行させる手段と、
(e)前記要求された操作が前記対象操作範囲に含まれない場合又は前記一時許可期限日時が未来日時でない場合は前記通常権限設定情報に従って該要求された操作を処理する手段と、を備えたことを特徴とする権限設定一時変更システム。
【請求項3】
複数の操作端末装置から操作可能な対象システムに対する該操作端末装置の操作者の権限設定を管理するためのシステム操作権限管理サーバを有する権限設定一時変更システムにおいて、前記システム操作権限管理サーバが、
(a)前記操作者の操作者情報と、該操作者の通常権限設定情報と、該通常権限設定情報を変更して該操作者による操作を一時的に禁止するための一時禁止期限日時及び対象操作範囲を規定した一時権限設定情報とを対応付けてデータベースに記憶する手段と、
(b)前記対象システムに対するいずれかの前記操作端末装置からの所定の操作の要求に応じて、該要求に含まれる操作者情報に基づいて前記データベースを参照し、要求された操作が前記一時権限設定情報の対象操作範囲に含まれるか否かを判断する手段と、
(c)前記要求された操作が前記対象操作範囲に含まれる場合は、前記一時権限設定情報の一時禁止期限日時が未来日時であるか否かを判断する手段と、
(d)前記一時禁止期限日時が未来日時である場合に、要求元である前記操作端末装置の要求する操作を拒否する手段と、
(e)前記要求された操作が前記対象操作範囲に含まれない場合又は前記一時禁止期限日時が未来日時でない場合は前記通常権限設定情報に従って該要求された操作を処理する手段と、を備えたことを特徴とする権限設定一時変更システム。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2011−70289(P2011−70289A)
【公開日】平成23年4月7日(2011.4.7)
【国際特許分類】
【出願番号】特願2009−219003(P2009−219003)
【出願日】平成21年9月24日(2009.9.24)
【出願人】(000233055)株式会社日立ソリューションズ (1,610)
【Fターム(参考)】
【公開日】平成23年4月7日(2011.4.7)
【国際特許分類】
【出願日】平成21年9月24日(2009.9.24)
【出願人】(000233055)株式会社日立ソリューションズ (1,610)
【Fターム(参考)】
[ Back to top ]