認証情報を変更するためコンピュータ・システム、並びにその方法及びコンピュータ・プログラム
【課題】変更されたパスワードを配布すべきハードウェア又はソフトウェアを自動的に特定する。
【解決手段】第1の構成要素に第2の構成要素が接続するために、前記第1の構成要素についての認証情報(第1の認証情報)と前記第2の構成要素から前記第1の構成要素に送信される認証情報(第2の認証情報)とのマッチングをして認証することを要求する環境において、構成要素の少なくとも1つの所定の属性及び該構成要素と他の構成要素との関係を格納するリポジトリと、上記第1の認証情報の変更要求に応じて、上記関係に基づいて、該第1の認証情報の変更によって影響を受ける第2の構成要素を特定する特定部と、上記特定された第2の構成要素から送信される第2の認証情報の変更を指示する指示部とを含む。
【解決手段】第1の構成要素に第2の構成要素が接続するために、前記第1の構成要素についての認証情報(第1の認証情報)と前記第2の構成要素から前記第1の構成要素に送信される認証情報(第2の認証情報)とのマッチングをして認証することを要求する環境において、構成要素の少なくとも1つの所定の属性及び該構成要素と他の構成要素との関係を格納するリポジトリと、上記第1の認証情報の変更要求に応じて、上記関係に基づいて、該第1の認証情報の変更によって影響を受ける第2の構成要素を特定する特定部と、上記特定された第2の構成要素から送信される第2の認証情報の変更を指示する指示部とを含む。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証情報を変更するためのコンピュータ・システム、並びにその方法及びコンピュータ・プログラムに関する。
【背景技術】
【0002】
近年、頻繁に起きる企業買収、合併、事業部再編成、又は企業提携などにより、システムが管理すべきユーザ・アイデンティティ(以下、ID)の数が増加しつつある。また、契約社員の臨時採用、又は社員の出向若しくは転籍などにより、ID又はパスワードなどの認証情報の変更が増加しつつある。このような経営環境の下で、管理すべきユーザIDの数が増加するにつれて、組織的、施策的、地理的に分散管理を行うことは、至難の業となってきている。
【0003】
ID管理は、1人のユーザが複数のシステムを使用し又は管理する場合に、該ユーザ用のユーザID及びパスワードを複数のシステムに配布する手法である。ID管理のための製品例は、インターナショナル・ビジネス・マシーンズ・コーポレーション(以下、IBM)から販売されているTivoli(商標) Identity Manager(以下、TIM)である。TIMは、複数のシステムに分散するユーザID及びパスワードの情報を集約し、統合管理するとともに、プロビジョニング機能によって、ユーザID、及びユーザ属性のライフ・サイクル管理、すなわち登録から変更、失効までの一連のプロセス管理を自動的に処理するソリューションである。TIMは、例えば人事異動の場面において、ID管理者がGUI上で異動対象者を新組織に移動するだけで、組織情報の変更と、あらかじめ設定されていたポリシーをもとにユーザIDの変更、削除処理、又はアクセス権限の設定変更などを自動的に行うことが可能である。
【0004】
下記特許文献1は、利用者ID及びパスワードが登録された各システムに設けられた利用者管理ファイルのパスワードの更新方法を記載する(請求項1)。該更新方法では、1つのシステムの利用者管理ファイルに登録されたパスワードの変更要求があったときに、利用者管理ファイルに登録されているパスワードの更新を行うとともに、該更新したパスワードの利用者IDに合致する利用者IDについての他のシステムの利用者管理ファイルに登録されているパスワードの更新を行う。
【0005】
下記特許文献2は、ネットワークに接続された複数のシステムの情報を管理する情報管理装置を記載する(請求項1)。該情報管理装置では、利用者や管理者からの登録・変更・削除などの指示があったときに自動的に該当する全てのシステム(サーバ)のネットワーク情報やユーザ情報を、同期を取って反映する構成を採用する(第0068段落)。従って、特許文献2では、全てのシステムに変更の指示をする。
【0006】
下記特許文献3は、ネットワークに接続されたシステム(サーバ)を検索して情報の送信の必要なシステム(サーバ)を自動収集する情報管理装置を記載する(第0014段落)。該情報管理装置では、複数のシステム(サーバ)がネットワーク接続されて全体として1つのシステムを構成などする場合に、利用者や管理者からの登録・変更・削除などの指示があったときに自動的に該当する全てのシステム(サーバ)のネットワーク情報やユーザ情報を、同期を取って反映する。従って、特許文献3では、全てのシステムに変更の指示をする。
【0007】
ところで、ITIL(Information Technology Infrastructure Library)(英国政府の商標)とは、ITサービスマネジメントを実現するためのベストプラクティス(最も良い事例)を集めたものである。ITILの中心は、サービスサポート及びサービスデリバリーである。サービスサポートの1つとして構成管理がある。構成管理とは、ITサービスマネジメントの管理対象である構成要素(configuration item、構成アイテムともいう、以下CIと略す場合がある)を認識し、構成要素についての情報を維持及び更新し、確認し、並びに監査を行うプロセスである。構成要素は、構成管理の対象となる資源(リソース)である。構成要素は、ハードウェア及びソフトウェアを含むシステム資源だけでなく、ITサービスの提供に必要な設備、ITサービスの運営に関する規程書、作業手順書及び構成図などのドキュメント類、ハードウェア又はソフトウェアの保守作業などのサービス、プロセス、並びに人的資源なども含む。ITILのフレームワークでは、構成要素を管理するために、構成管理データベース(Configuration Management Database、以下CMDBと略す場合がある)というデータベースを用いて一元的に管理することが推奨されている。CMDBは、構成要素の少なくとも1つの所定の属性及び他の構成要素との関係を記録するデータベースである。CMDBを実装することで備わる最も重要な能力は、構成要素についての情報を自動的に発見する能力(ディスカバリ、自動検出ともいう)及び自動的に更新する能力(トラッキングともいう)である。CMDBでは、構成要素についての情報をCMDBに正確に反映させることが重要である。
【0008】
IBMは、CMDBの構築を支援し且つCMDBを基盤に運用プロセスを制御するソフトとして、「Tivoli Change and Configuration Management Database」(以下Tivoli CCMDB)を提供している。Tivoli CCMDBにおけるディスカバリ及びトラッキングの詳細は、IBM Redbooks Deployment Guide Series: IBM Tivoli Change and Configuration Management Database Configuration Discovery and Tracking v1.1、第41〜64頁、2006年11月を参照されたい。Tivoli CCMDBでは、運用管理ソフトが、ディスカバリ及びトラッキングを実行するように実装されている。
【0009】
Tivoli(商標) CCMDBでは、分散ネットワーク環境上の構成要素であるサーバ、クライアント、オペレーティング・システム(OS)、ミドルウェア(Web/AP/DBMS/LDAPなど)、パッケージ・ソフト、管理ツール、ネットワーク機器及びストレージ機器など300種類を識別し、さらに各構成要素についての情報、例えばコンピュータの構成についての情報、各コンピュータ上で動作するアプリケーション・ソフトウェアについての情報、各コンピュータに接続されているネットワーク接続ストレージ(NAS)などの構成情報、ネットワークに直接接続されているストレージエリアネットワーク(SAN)などの構成情報を自動的に発見し及び更新することができる。各構成要素についての情報の収集方法は管理対象によっても異なるが、基本的にはCMDBを管理するコンピュータ・システムがSSH(Secure SHell)などを用いて管理用のリモート・インタフェースに定期的にアクセスし、OS上の設定ファイル又は構成情報を読み取ったり、或いはCMDBを管理するコンピュータ・システムが設定確認コマンドを実行したりする。そのため、管理対象である構成要素にエージェント・プログラムを導入する必要はない。上記の様式にて発見され且つ更新された情報は、IBMが提唱する構成管理データベース用のデータ・モデル「Common Data Model」(以下CDM)に基づいて、2006年の時点において、31種類のセクション(Computer System、Database、Application、Processなどのカテゴリ)、636種類のクラス(データ・モデルの基本単位、1つ又は複数のセクションに属する)、2609種類の属性(データの属性情報、1つのクラスに属する)、7種類のインタフェース(使用頻度の高い属性のグループ、複数のセクションに属する)、57種類の関係(リレーションシップ)、及び49種類のデータタイプ(データの種別)に整理される。CDMの詳細は、IBM REDPAPER (DRAFT version) IBM Tivoli Common Data Model: Guide to Best Practices(IBM Form Number REDP-4389-00)、第2〜7頁、2007年11月を参照されたい。各構成要素及び該構成要素と他の構成要素との関係についての情報は、GUIの表示ツール、例えばTADDM(Tivoli(商標)Application Dependency Discovery Manager)コンソールに渡される。そして、各構成要素及び該構成要素と他の構成要素との関係が、個々のブロック及び該ブロック間のリンクを用いて視覚的に表示装置上に表示される。
【先行技術文献】
【特許文献】
【0010】
【特許文献1】特開平5−189288号公報
【特許文献2】特開2000−194630号公報
【特許文献3】特開2004−54941号公報
【非特許文献】
【0011】
【非特許文献1】IBM Redbooks Deployment Guide Series: IBM Tivoli Change and Configuration Management Database Configuration Discovery and Tracking v1.1、第41〜64頁、2006年11月
【非特許文献2】IBM RED PAPER (DRAFT version) IBM Tivoli Common Data Model: Guide to Best Practices(IBM Form Number REDP-4389-00)、第2〜7頁、2007年11月
【発明の概要】
【発明が解決しようとする課題】
【0012】
データベース(DB)サーバ・システム、メールサーバ・システムなどのサーバ・システムのアカウントの認証情報は、クライアント・システムからの接続に使用される。該認証情報を変更する場合、サーバ・システムの認証情報が変更されたことによって、クライアント・システムがサーバ・システムに接続出来ず、接続エラーになる可能性がある。そのために、サーバ・システムに接続するクライアント・システムが使用している認証情報も変更しなければならない。しかし、クライアント・システムの数が増大するにつれて、変更作業は膨大となる。よって、ID管理において、認証情報の変更に対応して、該変更されたパスワードを配布すべきハードウェア又はソフトウェアを自動的に特定することが要求されている。
【課題を解決するための手段】
【0013】
本発明は、第1の構成要素に第2の構成要素が接続するために、前記第1の構成要素についての認証情報(第1の認証情報)と前記第2の構成要素から前記第1の構成要素に送信される認証情報(第2の認証情報)とのマッチングをして認証することを要求する環境において、該第2の認証情報を変更するためのコンピュータ・システムを提供する。該コンピュータ・システムは、
構成要素の少なくとも1つの所定の属性及び該構成要素と他の構成要素との関係を格納するリポジトリであって、上記属性及び関係の少なくとも1は、構成要素についての情報を検出するディスカバリによって更新されうる、上記リポジトリと、
上記第1の認証情報の変更要求に応じて、上記関係に基づいて、該第1の認証情報の変更によって影響を受ける第2の構成要素を特定する特定部と、
上記特定された第2の構成要素から送信される第2の認証情報の変更を指示する指示部と
を含む。
【0014】
以下に、本発明の上記コンピュータ・システムにおいて使用されている語を説明する。
・「第1の構成要素」は、例えばサーバが該当しうる。サーバは認証をする側であり、認証におけるクライアント−サーバのサーバを意味する。「第1の構成要素」は、例えば別のシステムからの認証要求に対して認証をするアプリケーション・ソフトウェア、又は該アプリケーション・ソフトウェアが稼働するシステムが該当しうる。「第1の構成要素」は、例えば、第2の構成要素に対して、該第1の構成要素に接続するために認証情報を要求する。第1の構成要素は、例えば、DBサーバ・システム、メールサーバ・システム、DBアプリケーション・ソフトウェア又はメール・アプリケーション・ソフトウェアが該当しうるがこれらに限定されない。「第1の構成要素」は、例えば、第2の構成要素からの接続要求に対して、認証情報を送信するように命令するコマンドを第2の構成要素に対して送信する。
・「第2の構成要素」は、例えばクライアントが該当しうる。クライアントは認証を要求して認証を受ける側であり、認証におけるクライアント−サーバのクライアントを意味する。「第2の構成要素」は、例えば別のシステムに対して認証を要求するアプリケーション・ソフトウェア、又は該アプリケーション・ソフトウェアが稼働するシステムが該当しうる。「第2の構成要素」は、例えば、第1の構成要素に接続する際に第1の構成要素から要求された認証情報を第1の構成要素に対して送信する。
・「第1の構成要素」と「第2の構成要素」との組み合わせは、例えば下記のものが考えられるがこれらに限定されない。
第1の構成要素 第2の構成要素
・サーバ・システム ・クライアント・システム
・サーバ・システム ・クライアント・システムの
アプリケーション・ソフトウェア
・サーバ・システムの ・クライアント・システム
アプリケーション・ソフトウェア
・サーバ・システムの ・クライアント・システムの
アプリケーション・ソフトウェア アプリケーション・ソフトウェア
なお、「第1の構成要素」及び「第2の構成要素」が、例えば、同一システム内の2つのアプリケーション・ソフトウェアであってもよい。この場合、一方のアプリケーション・ソフトウェアがクライアントしての機能を果たし、他方のアプリケーション・ソフトウェアがサーバとしての機能を果たす。
・「認証情報」は、例えば、ID、パスワード若しくはデジタル証明書、又はそれらの組み合わせが該当しうるがこれらに限定されない。認証情報は、第2の構成要素が第1の構成要素に接続するために、第2の構成要素から第1の構成要素に送信される。そして、第1の構成要素に格納されている第2の構成要素についての認証情報と、第2の構成要素から第1の構成要素に送信された認証情報とがマッチング(合致)することによって、第1の構成要素は、第2の構成要素が第1の構成要素に接続することを許す。
【0015】
本発明はまた、第1の構成要素に第2の構成要素が接続するために、前記第1の構成要素についての認証情報(第1の認証情報)と前記第2の構成要素から前記第1の構成要素に送信される認証情報(第2の認証情報)とのマッチングをして認証することを要求する環境において、該第2の認証情報を変更するための方法を提供する。該方法は、コンピュータ・システムに下記ステップを実行させるステップを含む。該ステップは、
構成要素の少なくとも1つの所定の属性及び該構成要素と他の構成要素との関係をリポジトリに格納するステップであって、上記属性及び関係の少なくとも1は、構成要素についての情報を検出するディスカバリによって更新されうる、上記格納するステップと、
上記第1の認証情報の変更要求に応じて、上記関係に基づいて、該第1の認証情報の変更によって影響を受ける第2の構成要素を特定するステップと、
上記特定された第2の構成要素から送信される第2の認証情報の変更を指示するステップと
を含む。
【0016】
本発明の1つの実施形態では、上記指示するステップが、上記第1の認証情報の変更を指示するステップをさらに含む。
【0017】
本発明の1つの実施形態では、上記特定するステップが、上記属性に基づいて、上記特定された第2の構成要素及び第1の構成要素の少なくとも1の運用スケジュールを特定する。
【0018】
本発明の1つの実施形態では、上記特定するステップが、上記特定された第2の構成要素及び上記第1の構成要素の各運用スケジュール、又はジョブ・スケジュール・システムによって管理されている第2の構成要素及び上記第1の構成要素の各運用スケジュールに基づいて、第1の認証情報、又は上記第2及び上記第1の認証情報の変更が可能な時期を決定する。
【0019】
本発明の1つの実施形態では、上記指示するステップが、上記決定された時期において、上記第2の構成要素を停止し、該第2の認証情報の変更を指示する。
【0020】
本発明の1つの実施形態では、上記指示部が、上記第2の認証情報の変更に応じて、上記第1の認証情報の変更をさらに指示する。
【0021】
本発明の1つの実施形態では、上記特定するステップが、上記特定された第2の構成要素及び上記第1の構成要素の各運用スケジュール、又はジョブ・スケジュール・システムによって管理されている第2の構成要素及び上記第1の構成要素の各運用スケジュールに基づいて、上記第1の認証情報、又は上記第2及び上記第1の認証情報の変更が可能な時期をユーザが決定することを許す。
【0022】
本発明の1つの実施形態では、上記指示するステップが、上記決定された時期において、上記第2の構成要素を停止し、該第2の認証情報の変更を指示する。
【0023】
上記指示するステップ、上記第2の認証情報の変更に応じて、上記第1の認証情報の変更をさらに指示する。
【0024】
本発明の1つの実施形態では、上記特定するステップが、上記第1の認証情報の変更要求に応じて、該変更要求内の上記第1の構成要素を特定する情報を用いて、上記リポジトリ内に格納された該第1の構成要素についての属性又は関係データを特定する。
【0025】
本発明の1つの実施形態では、上記関係が、上記第1の認証情報と上記第2の認証情報との間の関係を含む。
【0026】
本発明の1つの実施形態では、上記特定するステップが、上記第1の認証情報と上記第2の認証情報との間の関係に基づいて、上記第2の構成要素を特定するステップを含む。
【0027】
本発明の1つの実施形態では、上記特定するステップが、上記運用スケジュール・ファイル又は上記運用スケジュールの属性に基づいて、上記特定された第2の構成要素及び上記第1の構成要素の少なくとも1の運用スケジュールを特定するステップを含む。
【0028】
本発明の1つの実施形態では、上記特定するステップが、上記第1の構成要素についての関係に基づいて、上記第2の構成要素を特定するステップをさらに含む。
【0029】
本発明の1つの実施形態では、上記特定するステップが、上記第2の構成要素についての属性に基づいて、上記運用スケジュールを特定するステップをさらに含む。
【0030】
本発明はさらに、第1の構成要素に第2の構成要素が接続するために、前記第1の構成要素についての認証情報(以下、第1の認証情報)と前記第2の構成要素から前記第1の構成要素に送信される認証情報(以下、第2の認証情報)とのマッチングをして認証することを要求する環境において、該第2の認証情報を変更する方法を提供する。該方法は、コンピュータ・システムに下記ステップを実行させるステップを含む。該ステップは、
構成要素の少なくとも1つの所定の属性及び該構成要素と他の構成要素との関係をリポジトリに格納するステップであって、上記属性及び関係の少なくとも1は、構成要素についての情報を検出するディスカバリによって更新されうる、上記格納するステップと、
上記第1の認証情報の変更要求に応じて、上記関係に基づいて、該第1の認証情報の変更によって影響を受ける第2の構成要素を特定するステップと、
上記属性に基づいて、上記特定された第2の構成要素及び第1の構成要素の運用スケジュールを特定するステップと、
上記特定された第2の構成要素及び上記第1の構成要素の各運用スケジュールに基づいて、上記第2及び上記第1の認証情報の変更が可能な時期を決定するステップと、
上記決定された時期において、上記特定された第2の構成要素から送信される第2の認証情報の変更を指示するステップと、
上記第1の認証情報の変更を指示するステップと
を含む。
【0031】
本発明はさらに、第1の構成要素に第2の構成要素が接続するために、前記第1の構成要素についての認証情報(以下、第1の認証情報)と前記第2の構成要素から前記第1の構成要素に送信される認証情報(以下、第2の認証情報)とのマッチングをして認証することを要求する環境において、該第2の認証情報を変更するためのコンピュータ・プログラムを提供する。該コンピュータ・プログラムは、コンピュータ・システムに、上記のいずれか1つに記載の方法の各ステップを実行させる。
【発明の効果】
【0032】
本発明の実施形態によれば、サーバ・システムに接続するための認証情報の変更要求に応じて、該サーバ・システムに接続するクライアント・システムを特定するとともに、該特定されたクライアント・システムから送信される認証情報を変更することが可能である。
【図面の簡単な説明】
【0033】
【図1A】従来技術であるID管理システムの例を示す。
【図1B】図1AのID管理システムにおける、認証情報の変更に伴う接続失敗の例を示す。
【図2A】CIを管理するための、CMDBを含むコンピュータ・システムの例を示す。
【図2B】CI、CIインスタンス、及び関係(usedBy)インスタンスの作成を示す。
【図2C】データ・モデル、ディスカバリ・インスタンス、CIインスタンス、及び関係モデルを示す。
【図3A】CMDBにおける構成管理のためのツールの概要を示す。
【図3B】CMDBにおける構成情報管理の画面例を示す。
【図4A】本発明の実施形態である、CMDBを使用した認証情報を変更するためのシステム全体の例を示す。
【図4B】図4Aに記載の認証情報を変更するためのシステムが有する機能を図示する機能ブロック図である。
【図4C】図4A及び図4Bに示す各システムのコンピュータ・ハードウェアのブロック図を示す。
【図5A】本発明の実施形態である、クライアント・システムとサーバ・システムとのCMDB上の関係「AuthenticatedBy」及び「Authenticates」を示す。
【図5B】図5Aの関係「AuthenticatedBy」を含む、クライアント・システムについてのCIインスタンス、データ・モデル及び関係モデルの例を示す。
【図5C】図5Aの関係「Authenticates」を含む、サーバ・システムについてのCIインスタンス、データ・モデル及び関係モデルの例を示す。
【図5D】図5Cの関係モデル「Authenticates」及びその関係インスタンスの例を示す。
【図6A】本発明の実施形態である、CMDBにおける認証の依存関係のディスカバリに使用されるセンサーを示す。
【図6B】図6Aで説明したセンサーを用いた認証関係のディスカバリ方法を示す。
【図6C】図6Bの認証関係のディスカバリ方法で使用されるシグネチャー及びナレッジの概念図を示す。
【図7A】本発明の実施形態の第1のシナリオである、認証方法の変更のためのシステム構成及びそれに関連付けられたデータを示す。
【図7B】図7Aで示すアプリケーション・ソフトウェアA1のCIインスタンス、データ・モデル及び関係モデルの例を示す。
【図7C】図7Aにおける認証情報の変更のために使用されるナレッジを示す。
【図7D】図7Aで説明した本発明の実施形態の第1のシナリオである、認証情報の変更処理のフローチャートを示す。
【図8A】本発明の実施形態の第2のシナリオである、認証情報の変更処理が施されるシステムの適用例を示す。
【図8B】図8Aで説明した認証情報の関係の検索結果から作成される処理フローを示す。
【図8C】図8Aで示すサーバ・システムSのCIインスタンス、データ・モデル及び関係モデルの例を示す。
【図8D】図8Aで説明した本発明の実施形態の第2のシナリオである、認証情報の変更処理のフローチャートを示す。
【図9A】本発明の実施形態の第3のシナリオである、サーバ・システムSがバッチジョブでも使用される場合の認証情報の変更処理が施されるシステムの適用例を示す。
【図9B】図9Aで説明した本発明の実施形態の第3のシナリオである、サーバ・システムについてのCIインスタンス、データ・モデル及び関係モデルを示す。
【図9C】図9Aで説明した本発明の実施形態の第3のシナリオである、認証情報の変更処理のフローチャートを示す。
【発明を実施するための形態】
【0034】
以下に、本発明の実施するための形態におけるCMDBに関する用語を下記に説明する。
・リポジトリ
リポジトリは、少なくとも1つの1組のデータを格納する。該1組のデータは、構成要素の少なくとも1つの所定の属性及び他の構成要素との関係を示すデータである。該1組のデータは例えば、ハードウェア構成要素又はソフトウェア構成要素を含む構成要素の少なくとも1つの所定の属性及び該構成要素と他の構成要素との関係を示すデータを含む。上記リポジトリは例えば、CMDBである。構成要素、及び該構成要素と他の構成要素との関係は例えば、静的な(static)データのインスタンス又はJava(サン・マイクロシステムズの商標)のクラスのインスタンスで実装されうる。上記リポジトリは、該1組のデータを保持するものであれば特に限定されないが、好ましい実施形態の1つはCMDBを記録するCMDB記録部である。
・構成要素(CI)
CIは、ITサービスマネジメントの対象範囲に属する構成要素に対応するデータであり、ITサービスマネジメントにおける管理対象の基本単位である。CIは例えば、ハードウェア及びソフトウェアを含むシステム資源、ITサービスの提供に必要な設備、ITサービスの運営に関する規程書、作業手順書及び構成図などのドキュメント類、ハードウェア又はソフトウェアの保守作業などのサービス、プロセス、並びに人的資源などを含む。今後も様々なタイプのCIが、CMDBで管理されるようになる。また、各CIはデータ・モデルのインスタンスとしてCMDB上で表現される。
・構成管理データベース(CMDB)
CMDBは、情報システムの全コンポーネントに関する情報の統合された保管・管理を行うデータベースである。CMDBは、各CIの少なくとも1つの所定の属性及び他のCIとの関係を記録する。CMDBは組織がコンポーネント間の関係を理解することを支援し、その構成を管理できるようにする。CMDBはITILフレームワークの構成管理プロセスの中核となっている。CMDBは、概念的にはデータベースであるが、物理的にはデータベース・システム、表計算ソフトのスプレッドシートの形態を取りうる。CMDBを利用することによって、管理者はCI間の関係を理解することが容易になる。
・構成要素インスタンス(CIインスタンス)
CIインスタンスは、CIに対応するデータである。各CIインスタンスは、データ・モデルのインスタンスとしてCMDB上で表現される。インスタンスの例は、静的なデータのインスタンス又はJava(サン・マイクロシステムズの商標)のクラスのインスタンスである。実装されたJavaのクラスのインスタンスは、例えばJava Data Objects(JDO)と呼ばれる、Javaのクラスのインスタンスを永続化してハードディスクに保存する仕組みにより、CMDB内に格納される。よって、コンピュータ・システムの電源を一旦切っても、作成されたJavaのクラスのインスタンスが消失することはなく、次に電源を投入したときに、記憶装置、例えばハードディスクから読み出され、メイン・メモリ上に展開されて、Javaのプログラムによって変更或いは削除可能なJavaのクラスのインスタンスとなる。以下では、CIがインスタンスとしてCMDB内に実装されるとして、説明を進める場合がある。
・データ・モデル
データ・モデルは、CIを定義するためのスキーマであり、管理されるCIとそれらCI間の関係の一貫した定義を提供する情報モデルである。具体的には、データ・モデルは、CIの所定の属性及び他のCI(製造装置、プロセスなど)との関係を定義する。データ・モデルの例として、IBMが提唱する構成管理データベース用のデータ・モデル「CDM」がある。CDMの実装は例えば、Unified Modeling Language(UML)に基づいて行われる。
・属性(Attributes)
属性は、CIを管理するに際して、個々のCIを特定し、CIを説明する。属性として、下記のものを挙げることができるがこれらに限定されない。CIの名前(CIの一般名称、例えばサーバ、クライアント、ファイアウォール)、製品番号(ID)(CIのある特定の実体を個別に識別するための番号であり、製造番号、シリアル番号など)、カテゴリ(CIの分類、例えばハードウェア、ソフトウェア、ドキュメント)、タイプ(カテゴリでの分類をさらに詳述したCIの説明)、型番(供給者の命名したCIのモデル番号)、保証期間(CIの供給者による保証期間)、バージョン番号(CIのバージョン番号)、ロケーション(CIが存在する場所、例えばPCの設置場所、ソフトウェアの書庫、媒体の保管場所、サービスを提供しているサイト)、所有責任者(CIの管理責任者の名前)、責任開始日(所有責任者が、該CIの責任者となった日付)、供給者(CIの開発元又は提供元)、ライセンス(ライセンス番号、ライセンス数など)、提供日(CIが組織に提供された日付)、受入日(CIが組織に受け入れられた日付)、使用開始日(CIが使用開始された日付)、CIのステータス(現在のステータス、例えば稼働中、テスト中、故障中、或いは将来のステータス、例えば予定されているCIのステータス)、CIインスタンスのステータス(CIインスタンスの有効又は無効)。今後もITサービスマネジメントで必要となる属性が、引き続き定義されていく。
・関係(Relation)
関係は、CI間の関係を表す。関係は、CIと同様にデータ・モデルで定義されうる。関係の例として、Common Data Modelでは、assigns、canConnect、canUse、connectAt、connects、controls、deployedOn、Located、Managed、Owned、provides、runAt、uses、usedByが挙げられる。今後もITサービスマネジメントで必要となる関係が、引き続き定義されていく。なお、本発明の実施形態では、クライアント・システムとサーバ・システムの認証情報との依存関係を示す「AuthenticatedBy」及び「Authenticates」が用いられる。
【0035】
以下、図面に従って、従来技術のID管理システム(図1A〜図1B)、CMDBの基礎概念(図2A〜図2C)及びCMDBにおける構成管理(図3A〜図3B)、並びに本発明の実施形態におけるシステム及び方法(図4A以降)を順に説明する。なお、本発明の実施形態におけるシステム及び方法ではCMDBを利用するので、図2A〜図3BではCMDBの基礎概念及びCMDBの構成管理を説明する。
本実施形態は、本発明の好適な態様を説明するためのものであり、本発明の範囲をここで示すものに限定する意図はないことを理解されたい。また、以下の図を通して、特に断らない限り、同一符号は、同一の対象を指す。
【0036】
図1Aは、従来技術であるID管理システムの例を示す。
クライアント・システム(101)は、サーバ・システム(102)とネットワーク、例えばイントラネット又はインターネットを介して接続することができる。
クライアント・システム(101)上には、例えばWebSphere Application Server(以下、WAS)上で稼働するアプリケーション・ソフトウェアがインストールされている。
以下、クライアント・システムという場合、クライアント・システムだけでなく、クライアント・システム上で稼働するアプリケーション・ソフトウェアを指す場合がある。
サーバ・システム(102)上には、例えば、DBアプリケーション・ソフトウェア又はメール・サーバ・アプリケーション・ソフトウェアがインストールされている。
以下、サーバ・システムという場合、サーバ・システムだけでなく、サーバ・システム上で稼働するアプリケーション・ソフトウェアを指す場合がある。
クライアント・システム(101)は、サーバ・システム(102)に接続するために、ID及びパスワードなどの認証情報をサーバ・システム(102)に送信する(111)。
サーバ・システム(102)は、クライアント・システム(101)がサーバ・システム(102)に接続することを許すために、クライアント・システム(101)から送信されたID及びパスワードなどの認証情報の検証を行う。
サーバ・システム(102)は、上記認証が確認されることに応じて、クライアント・システム(101)にデータを提供し、若しくはデータを更新することを許し、又はクライアント・システム(101)がデータを参照することを許す(112)。
これによって、クライアント・システム(101)は、サーバ・システム(102)に対してアクセスして、サーバ・システム(102)からデータを取得し、若しくはサーバ・システム(102)にデータを提供し、又はサーバ・システム(102)のデータを参照することが可能になる。
ID管理システム(103)は、サーバ・システム(102)で使用されるID及びパスワードを管理している。ID管理システム(103)はまた、クライアント・システム(101)に対して、ID及びパスワードを配布することが可能である(114)。
【0037】
図1Bは、図1AのID管理システムにおける、認証情報の変更に伴う接続失敗の例を示す。
ステップ121では、クライアント・システム(101)は、サーバ・システム(102)に対して認証情報を送付し、接続を要求する。認証情報は、例えば、サーバ・システム(102)にアクセスするためのID、パスワード若しくはデジタル証明書、又はそれらの組み合わせである。
ステップ122では、サーバ・システム(102)は、クライアント・システム(101)から送信された認証情報を検証する。サーバ・システム(102)は、該認証情報が確認されることに応じて、クライアント・システム(101)と、サーバ・システム(102)との間で接続を確立する。1つの実施形態として、例えば、DB接続では、クライアント・システム(101)上のアプリケーション・ソフトウェアはサーバ・システム(102)上のDBアプリケーション・ソフトウェアとの間で複数の接続をプールして保持し、接続するようにしてもよい。
ステップ123では、ID管理システム(103)は、サーバ・システム(102)に格納されている認証情報を変更する。認証情報の変更は、例えば、パスワードの変更である。パスワードが変更された時点では、クライアント・システム(101)と、サーバ・システム(102)との間で接続が確立されているので、クライアント・システム(101)上で接続エラーは直ちに発生しない。例えば、上記DB接続では、クライアント・システム(101)はサーバ・システム(102)との間で複数の接続ルートをプールして保持しているので、パスワードを変更した時点では接続にエラーが発生しない。よって、サーバ・システム(102)の認証情報が変更された時点で、管理者が、クライアント・システム(101)上のアプリケーション・ソフトウェアに対する影響の有無を確認できるとは限らない。
ステップ124では、クライアント・システム(101)が再起動されることによって(クライアント・システム(101)上のアプリケーション・ソフトウェアの場合、該アプリケーション・ソフトウェアが再実行されることによって)、クライアント・システム(101)はサーバ・システム(102)に対して認証情報を再送付して、接続を要求する。しかし、サーバ・システム(102)上の認証情報は変更されているので、クライアント・システム(101)と、サーバ・システム(102)との間での接続が確立されない(接続失敗)。
ステップ125では、上記接続が確立されないために、クライアント・システム(101)上に、接続失敗のメッセージが出される。或いは、クライアント・システム(101)が、その動作を停止する。
【0038】
図2A〜図2Cは、本発明の実施形態におけるシステム及び方法で使用するCMDBの基礎概念を示す。
【0039】
図2Aは、CIを管理するための、CMDBを含むコンピュータ・システム(200)の例を示す。
図2Aは、CIの例として、構成要素A及び構成要素Bを記載する。構成要素A及びBそれぞれは、ソフトウェア構成要素、ハードウェア構成要素のいずれであってもよい。ソフトウェア構成要素は、例えば、DB2(商標)、WebSphere(商標)、Notes Domino(商標)、Linux、Tomcat、Apacheであるがこれらに限定されない。ハードウェア構成要素は、例えばクライアント・コンピュータ又はサーバ・コンピュータであるがこれらに限定されない。
コンピュータ・システム(200)は、ディスカバリ部(201)、CI同定部(202)、CIインスタンス作成部(203)、属性及び関係更新部(204)及びCMDB(205)を含む。ディスカバリ部、CI同定部、CIインスタンス作成部、属性及び関係更新部及びCMDBは、単独のコンピュータ上に実装されていてもよく、或いは複数のコンピュータ上に分散して実装されていてもよい。コンピュータ・システム(200)はさらに、ディスカバリ・テーブル(206)、モデル・テーブル(207)及び関係テーブル(208)を含む。これらテーブルは、単独のコンピュータ上に実装されていてもよく、或いは複数のコンピュータ上に分散して実装されていてもよい。
【0040】
また、図2Aは、TADDMコンソールの画面(209)の例を示す。該画面は、CI及びCI間の関係を示す。なお、該画面に表示されているCI及びCI間の関係は一例であり、コンピュータ・システム(200)の管理対象であるCI及びCI間の関係全てを表示しているものではない。
コンピュータ・システム(200)は、それ自身の管理対象である構成要素を管理する。コンピュータ・システム(200)の管理対象は、該コンピュータ・システム(200)がディスカバリしうる対象の構成要素、ディスカバリの対象ではない場合であっても手動で情報を入力して管理しうる構成要素、又はそれらの組み合わせである。
【0041】
ディスカバリ部(201)は、CMDBの管理対象であるCIについての情報の検出を実行する(ディスカバーともいう)。該CIの一部が、TADDMコンソールの画面(209)に表示されている。コンピュータ・システム(200)は、複数のディスカバリ部(201)を有していてもよい。好ましくは、管理対象は、ネットワークを介して、コンピュータ・システムに接続されている。ネットワークは、有線接続であるか無線接続であるかを問わない。コンピュータ・システムの管理者は、検出の対象を任意に設定しうる。検出の範囲は例えば、ドメイン名、IPアドレス、MACアドレス、機器の識別子若しくはデータベース名又はこれらの組み合わせにより指定することができる。管理対象であるCIが例えばハードウェア又はソフトウェアである場合、該機ハードウェア又はソフトウェアについての情報が夫々検出される。検出された情報は、新たなCIについての情報、又は既存のCIの更新された属性若しくは関係の値でありうる。新たなCIとは、ディスカバリ部(201)によって検出され、CMDB(205)内に登録されていないCIである。既存のCIとは、該CIのインスタンスがCMDB(205)内に既に登録されているCIである。ディスカバリ部(201)は、CIについての情報を、ディスカバリ・テーブル(206)内に格納されたディスカバリ・インスタンス(例えばA−Discovery)(図2C、212)に従い検出する。どのディスカバリ・インスタンスを使用するかは、データ・モデル(図2C、211)内のディスカバリ方法に指定されていてもよい。ディスカバリ部(201)は、検出した、CIについての情報をCI同定部(202)に渡す。
【0042】
CI同定部(202)は、上記CIについての情報をディスカバリ部(201)から受け取り、そして検出結果の処理を行う。CI同定部(202)は、上記CIについての情報が、新しいCIについての情報か、又は既存のCIの更新された属性若しくは関係の値かどうかを、CMDB(205)を参照して判定する。該判定は例えば、CMDBに格納されたCIのインスタンス名を、上記CIについての情報と比較して行われうる。上記CIについての情報が新しいCIに関するものであることに応じて、CI同定部(202)は、該情報をCIインスタンス作成部(203)に渡す。一方、上記CIについての情報が既存のCIの更新された属性若しくは関係の値であることに応じて、CI同定部(202)は、該情報を属性及び関係更新部(204)に渡す。
【0043】
2つのCIインスタンス間の関係の作成は、例えば、構成要素Aと構成要素Bとの間に関係があると判明していて、構成要素A及びBそれぞれのCIインスタンスを同定することによって行われる。
【0044】
CIインスタンス作成部(203)は、モデル・テーブル(207)に格納されたデータ・モデル(図2C、211)、及び関係テーブル(208)に格納された関係モデル(図2C、214)に従い、CIについての情報から、該CIの所定の属性及び他のCIとの関係を示す1組のデータを作成する。該1組のデータは例えば、静的なデータのインスタンス又はJava(サン・マイクロシステムズの商標)のクラスのインスタンスで実装されうる。該1組のデータの例が、CIインスタンスである。CIインスタンスの例を図2C(213)に示す。上記1組のデータは、CMDB(205)内に格納される。なお、1組のデータは、CIインスタンス内に属性及び関係を有していてもよく(図2C、213を参照)、或いはCIインスタンス内に属性を有し、それとは別に関係インスタンスとして別々にCMDB(205)内に格納されていてもよい。後者の場合、CIインスタンスは、関連する関係インスタンスを特定するためのリンク付けを有する。
【0045】
属性及び関係更新部(204)は、ディスカバリ部(201)とともにトラッキングを実現する。属性及び関係更新部(204)は、CIの更新された属性若しくは関係の値を、CMDB内に格納された該CIのCIインスタンスに反映する。すなわち、該CIのCIインスタンスの属性或いは関係の値を更新する。該更新は、該値をディスカバリ部(201)によって検出されたCIについての情報と置き換えることによって行われる。該置き換えは、CIインスタンスの属性或いは関係の値の全てをディスカバリ部(201)によって検出されたCIについての情報と置き換えてもよく、或いは異なる値のみを置き換えてもよい。
【0046】
CMDB(205)は、CIのCIインスタンス(図2C、213)を格納する。
【0047】
ディスカバリ・テーブル(206)は、ディスカバリ・インスタンス(図2C、212)を格納する。ディスカバリ・インスタンス(212)は、ディスカバリ部(201)によってCIについての情報が検出される際に使用される。ディスカバリ・インスタンス(212)は例えば、静的なデータのインスタンス又はJava(サン・マイクロシステムズの商標)のクラスのインスタンスで実装されうる。ディスカバリ・インスタンス(212)は、ディスカバリ・ポリシーとも呼ばれる。ディスカバリ・インスタンス(212)は、ディスカバリ部(201)が検索する範囲、すなわちCIの検索範囲である収集対象(スコープ)、収集する属性、及び収集する関係を含む。収集対象は例えば、サブネットIPアドレス、IPアドレスの範囲、個々のIPアドレス、MACアドレス、機器の識別子、ホストネーム若しくはデータベース名又はそれらの組み合わせを用いて指定されうる。別の態様として、収集対象を、コンピュータ・システム(200)にネットワークを介して接続されたスケジュール管理データベース(図示せず)としてもよい。スケジュール管理データベースには例えば、機器を使用するプロセス管理に関するデータが格納されている。さらに別の態様として、収集対象を、バッチ処理定義ファイルを格納するデータベース(図示せず)としてもよい。収集対象がバッチ処理定義ファイルを格納するデータベースの場合、ディスカバリ部(201)は、バッチ処理定義ファイルの中身を読み込むことにより検出を行う。バッチ処理定義ファイルには、例えば機器をどの順に使用するかのデータが格納されている。
【0048】
モデル・テーブル(207)は、データ・モデル(図2C、211)を格納する。データ・モデル(211)は、CIインスタンス作成部(203)によって該CIの所定の属性及び他のCIとの関係を示す1組のデータが作成される際に使用される。
【0049】
関係テーブル(208)は、関係モデル(図2B、214)を格納する。関係モデル(214)は、CIインスタンス作成部(203)によって該CIの所定の属性及び他のCIとの関係を示す1組のデータが作成される際に使用される。
【0050】
図2Aでは、ディスカバリ部(201)が、コンピュータ・システム(200)とネットワークを介して接続された管理対象であるCIに関する情報を検出し、構成要素A、及び構成要素B並びにそれら構成要素の関係についての情報を検出したことを示す。次に、CI同定部(202)は、該検出した情報が新しいCIについてのものかについてCMDB(205)を参照して判断する。該判断に応じて、CIインスタンス作成部(203)は、構成要素AのCIインスタンス及び構成要素BのCIインスタンス、並びにそれら構成要素の関係(usedBy)のインスタンスを作成する。CIインスタンス作成部(203)は、該作成した各インスタンスをCMDB(205)内に格納する。図2Aでは、構成要素BのCIインスタンスが、構成要素AのCIインスタンスとusedByの関係にあることを示す。
ディスカバリ部(201)は、検出したCIについての情報をもとに、データ・モデル(図2C、211)に従って、CI及びそれらCI間の関係を作成し、CMDB(205)に登録する。CMDB(205)は、CIの属性及び他のCIとの関係を格納する。従って、システム管理者は、CMDB(205)を用いて、CI間のリアルな依存関係を抽出することが可能である。
【0051】
構成要素は、ハードウェア構成要素又はソフトウェア構成要素を含み、その組み合わせは任意である。
【0052】
図2Bは、CI、CIインスタンス、及び関係(usedBy)インスタンスの作成を示す。
構成要素AのCIインスタンスは、ディスカバリ部(図2A、201)によって検出された構成要素Aについての情報から、構成要素Aのデータ・モデルを用いてCIインスタンス作成部(図2A、203)によって作成される。同様に、構成要素BのCIインスタンスは、ディスカバリ部(201)によって検出された構成要素Bについての情報から、構成要素Bのデータ・モデルを用いてCIインスタンス作成部(203)によって作成される。構成要素A及び構成要素Bの各データ・モデルは、モデル・テーブル(図2A、207)に格納されている。CI同士の関係、すなわち構成要素Aと構成要素Bとの関係(usedBy)のインスタンスは、ディスカバリ部(201)によって検出された構成要素Aについての情報から、関係モデルに従いCIインスタンス作成部(103)によって作成される。関係モデルは、関係テーブル(図2A、208)に格納されている。
また、構成要素が例えば構成要素B1、B2及びB3である場合、構成要素B1、B2及びB3についての各情報が構成要素Bのデータ・モデルを使用してインスタンス化されて、構成要素B1のCIインスタンス、構成要素B2のCIインスタンス、構成要素B3のCIインスタンスが夫々作成される。構成要素B1、B2及びB3の各CIインスタンスもまた、CMDB(図2A、205)内に格納される。
【0053】
図2Cは、モデル・テーブル(図2A、207)内に格納されたデータ・モデル(211)、ディスカバリ・テーブル(図2A、206)内に格納されたディスカバリ・インスタンス(212)、CMDB(図2A、205)内に格納された(構成要素Aの)CIインスタンス(213)、及び関係テーブル(図2A、208)内に格納された関係モデル(214)を示す。
【0054】
データ・モデル(211)は、CIを定義するためのスキーマである。データ・モデル(211)は例えば、どのCIのモデルかを示す「モデル名」、モデル名に指定されたCIが有する属性を示す「モデル属性」及びモデル名に指定されたCIと他のCIがとりうる「関係」の各記述を含む。データ・モデル(211)はまた、モデル名に指定されたCIを検出するためのディスカバリ・インスタンスを特定する「ディスカバリ方法」の記述を含んでもよい。ディスカバリ方法は、ディスカバリ・インスタンス名で特定されうる。図2Cの場合、A-Discoveryである。モデル属性は、例えばIBMが提唱する構成管理データベース用のデータ・モデル「CDM」に規定された属性に従い規定されるが、これらに限定されない。CDMでは、2006年の時点において、2609種類の属性が規定されている。CMDBの管理者は、データ・モデル(211)における属性を任意に指定しうる。関係は、例えば上記CDMに規定された関係に従い規定されるが、これらに限定されない。CDMでは、2006年の時点において、57種類の関係が規定されている。
【0055】
ディスカバリ・インスタンス(212)は、ディスカバリ・インスタンスの「名前」、ディスカバリ部(図2A、201)によって収集する管理対象(CI)の「収集対象(スコープ)」、ディスカバリ部(201)によって収集する管理対象(CI)の「収集する属性」及び「収集する関係」、並びに該ディスカバリ・インスタンスがアクティブであるか或いはインアクティブであるかを示す「ステータス」の各記述を含む。ディスカバリ方法は、通常、ディスカバリを行うセンサーがディスカバリ手段及びディスカバリによって得られる情報から作成すべきCI及び関係を把握している。ディスカバリ部(201)は、例えば、ディスカバリ・インスタンス(212)を使用して、ディスカバリを行う。ディスカバリによって、CIインスタンス及び関係がそれぞれ作成され、又は、CIインスタンス若しくは関係が更新されうる。ディスカバリを行うセンサーが、ディスカバリした情報を使用して作成すべきCI又は関係を知っている場合、データ・モデル(211)の定義に、ディスカバリ方法の記述は不要である。一方、ディスカバリを行うセンサーがない場合、データ・モデル(211)の定義に、ディスカバリ方法の記述を設けてディスカバリを行ってもよい。
【0056】
CIインスタンス(213)は、該インスタンスがどのCIのものであるかを特定するための「インスタンス名」、該インスタンスが、どのデータ・モデルを使用して作成されたかを示す「モデル名」、データ・モデルによって特定された各属性の「属性値」、データ・モデルによって特定された各「関係」の記述(値)、インスタンスがアクティブであるか或いはインアクティブであるかを示す「ステータス」、及び該CIインスタンスが作成された「作成日時」の各記述を含む。CIインスタンスは好ましくは、CIインスタンスに特有のCIインスタンス識別子をさらに含む。CIインスタンス識別子は、当該CIインスタンスを他のCIインスタンスと区別できるものであれば特に限定されないが、例えばホストネーム、シリアルナンバー若しくは一定の値である他の属性の組み合わせを使用しうる。図2CのCIインスタンス(213)は、構成要素AのCIインスタンスであること;データ・モデルAを使用してインスタンス化されたこと;属性としてS、T及びUを含み、これらが夫々値を有すること;関係として、Mによって使用されること(usedBy:M)、Eに接続されること(connectAt:E)、及びHで実行すること(runAt:H);CIインスタンスがアクティブであること、並びに該CIインスタンスの作成日時のデータを示す。
【0057】
関係モデル(214)は、データ・モデル(211)によって特定される関係を定義するためのスキーマである。関係モデル(214)は、usedByなどの「関係名」、該関係の対象となるデータ・モデルを特定するための「対象となるデータ・モデル」、該関係の「説明」の各記述を含む。
【0058】
図3A〜図3Bは、本発明の実施形態におけるシステム及び方法で使用するCMDBにおける構成管理の例を示す。
【0059】
図3Aは、CMDBにおける構成管理のためのツールの概要を示す。
構成管理のためのツール(301)は、構成要素についての情報(以下、単に構成情報という場合がある)を自動収集する機能(ディスカバリ)、構成情報をグラフィカルに表示する機能(トポロジー)及び変更履歴、構成比較などの分析を行う機能(アナリティクス)を有する。例えば、TADDMサーバは、情報システムについての構成情報を、ssh、SNMP、WMIなどを使用して取得する。上記構成情報は例えば、各情報システムのオペレーティング・システムの種類又はその構成、アプリケーション・ソフトウェアの種類又はその構成値である。TADDMサーバは、取得した情報を、CMDB(305)内にCIインスタンスとして格納する。TADDMサーバは、CMDB(305)に格納したCIインスタンス基づいて、管理者のコンピュータに構成情報、及び変更履歴情報を送る。管理者のコンピュータは、該情報を用いて、構成情報の表示及び変更履歴の表示を行う。
【0060】
図3Bは、CMDBにおける構成情報管理の画面例を示す。
構成情報管理の画面(309)は、GUIで表示される。該表示は、例えばTADDMを用いて行われる。図3Bでは、構成要素は、アプリケーション・ソフトウェアである。アプリケーション・ソフトウェア間の関係は、実線で示されている。なお、該画面上で表示されているアプリケーション・ソフトウェア名(各社の商標)は、例示である。
【0061】
図4A〜図4Cは、本発明の実施形態である、認証情報を変更するためのシステム及び該システム内の構成要素の例を示す。
【0062】
図4Aは、本発明の実施形態である、CMDBを使用した認証情報を変更するためのシステム全体の例を示す。
管理者(401)は、ID管理システム(402)に対して、サーバ・システム(409)上の認証情報の変更を要求する。
ID管理システム(402)は、変更同期システム(403)に対して、認証情報の変更によって影響を受けるクライアント・システム(408)の特定を要求する。
変更同期システム(403)は、CMDB(404)内のCIインスタンスの属性若しくは関係、又はそれらの組み合わせを使用して、認証情報の変更によって影響を受けるクライアント・システム(408)の特定を行う。クライアント・システム(408)とサーバ・システム(409)の認証情報との依存関係は、クライアント・システム(408)のCIインスタンスにおいては関係「AuthenticatedBy」で示され、サーバ・システム(409)のCIインスタンスにおいては関係「Authenticates」で示される。変更同期システム(403)は、ID管理システム(402)の拡張として、ID管理システム(402)内に実装されてもよい。CIインスタンスの属性及び関係は、ディスカバリ部(405)を使用して収集される。また、CIインスタンスの属性及び関係は、属性・関係更新部(204)を使用して更新される。
CMDB(404)は、CIインスタンスの属性及び関係を格納する。CMDB(404)はまた、構成要素の関係として、システム間の認証情報、例えばパスワードの依存関係を有する。該依存関係は、ディスカバリによって自動的に収集されてもよく又は管理者によって手動的に入力されてもよい。クライアント・システム(408)とサーバ・システム(409)の認証情報との依存関係は、クライアント・システム(408)のCIインスタンスでは関係「AuthenticatedBy」で示され、サーバ・システム(409)のCIインスタンスでは関係「Authenticates」で示される。図4Aでは、CMDBが、アプリケーション・ソフトウェア(APPL1〜3)及びデータベース(DB)システムそれぞれのCIインスタンス及び関係を格納していることを示す。
ディスカバリ部(405)は、CMDBの管理対象であるCI、例えばクライアント・システム(408)及び該クライアント・システム(408)上で稼働しているアプリケーション、並びにサーバ・システム(409)及び該サーバ・システム(409)上で稼働しているアプリケーションについての情報を検出する。ディスカバリ部(405)はまた、スケジューリング・システム(406)についての情報を検出してもよい。
スケジューリング・システム(406)は、クライアント・システム(408)のジョブの運用スケジュールを管理する。運用スケジュールは、例えば、「クライアントシステム(408)のサービス提供時間は、月曜日8時から金曜日21時まで」である。なお、運用スケジュールは、クライアント・システム(408)のCIインスタンスの属性として、CMDB(404)内に格納されていてもよい。よって、スケジューリング・システム(406)は、認証情報を変更するためのシステムにおいて、任意の構成要素である。
ID管理システム(402)は、スケジューリング・システム(406)において管理されている運用スケジュールから、又はCMDB(404)内に格納されたクライアント・システム(408)のCIインスタンスの属性から、認証情報の変更可能な時間帯を管理者(401)に提示する。
管理者(401)は、上記提示された時間帯を参照し、認証情報の変更時期を決定することができる。認証情報の変更時期は、例えば、次回に変更可能な時間帯であること、又は認証情報が漏洩したためにサービス中断を生じてでも至急変更することを含む。管理者(401)は、上記決定された変更時期をID管理システム(402)に対して入力する。
ID管理システム(402)は、上記決定された変更時期を変更同期システム(403)に通知する。
変更同期システム(403)は、上記通知された変更時期に基づいて、認証情報の変更要求を作成して、プロビジョニング・システム(407)に該作成した変更要求を渡す。
プロビジョニング・システム(407)は、上記変更要求に記述された変更時期において、クライアント・システム(408)上のアプリケーション・ソフトウェアを停止し、クライアント・システム(408)上に格納された認証情報を上記変更要求に記述された認証情報に変更する。クライアント・システム(408)上のアプリケーション・ソフトウェアの停止は、例えば、アプリケーション・ソフトウェアの終了を含む。なお、プロビジョニング・システム(407)の代わりに、ID管理システム(402)が、クライアント・システム(408)上に格納された認証情報を上記変更要求に記述された認証情報に変更してもよい。
プロビジョニング・システム(407)はまた、クライアント・システム(408)上に格納された認証情報を変更した後に、サーバ・システム(409)上に格納された認証情報を変更する。なお、プロビジョニング・システム(407)の代わりに、ID管理システム(402)が、サーバ・システム(409)上に格納された認証情報を変更してもよい。
プロビジョニング・システム(407)は、クライアント・システム(408)の認証情報の変更後に、クライアント・システム(408)を再起動し、又はクライアント・システム(408)上の停止したアプリケーション・ソフトウェアを再実行する。
クライアント・システム(408)は、サーバ・システム(409)に対して変更された認証情報を送付し、接続を要求する。
【0063】
図4Bは、図4Aに記載の認証情報を変更するためのシステムが有する機能を図示する機能ブロック図である。
図4Aに記載の認証情報を変更するためのシステム(411)は、認証情報の変更の指示を可能にするために、リポジトリ(412)、特定部(413)及び指示部(414)を含む。リポジトリ(412)は、図4Aに示すCMDB(404)によって実現される。特定部(413)は、図4Aに示す変更同期システム(403)によって実現される。指示部(414)は、図4Aに示すID管理システム(402)によって実現される。ディスカバリ部(415)は、図4Aに示すディスカバリ部(405)と同じである。
上記システム(411)は、サーバ・システム(40
9)又は該サーバ・システム(409)上で稼働するアプリケーション・ソフトウェア(以下、第1の構成要素)にクライアント・システム(408)又は該クライアント・システム(408)上で稼働するアプリケーション・ソフトウェア(以下、第2の構成要素)が接続するために、第1の構成要素についての認証情報(第1の認証情報)と第2の構成要素から第1の構成要素に送信される認証情報(第2の認証情報)とのマッチングをして認証することを要求する環境に配置される。
リポジトリ(412)は、上記システム(411)がアクセス可能な記録媒体内に用意される。アクセス可能な記録媒体は、例えば、上記システム(411)に外部接続された記録媒体、又は上記システム(411)にネットワークを介して接続された記録媒体を含む。リポジトリは(412)、構成要素のCIインスタンス及び関係インスタンスを格納する。CIインスタンス及び関係インスタンスは、ディスカバリ部(415)によるディスカバリによって更新されうる。各インスタンスの更新は、例えば、認証情報の変更をする直前に行われることが好ましい。
特定部(413)は、第1の構成要素についての認証情報(第1の認証情報)の変更要求に応じて、CMDB内の関係に基づいて、該第1の認証情報の変更によって影響を受ける第2の構成要素を特定する。第2の構成要素の特定は、例えば、第1の認証情報と第2の認証情報との間の関係インスタンスに基づいて行われる。または、第2の構成要素の特定は、例えば、第1の構成要素についての関係インスタンスに基づいて行われる。
特定部(413)はまた、CMDB内のCIインスタンスの属性に基づいて、特定された第2の構成要素(例えば、クライアント・システム)及び第1の構成要素(例えば、サーバ・システム)の少なくとも1の運用スケジュールを特定する。特定部(413)は、特定された第2の構成要素及び第1の構成要素の各運用スケジュール、又はジョブ・スケジュール・システムによって管理されている第2の構成要素及び第1の構成要素の各運用スケジュールに基づいて、第1の認証情報、又は第2及び第1の認証情報の変更が可能な時期を決定する。
特定部(413)はまた、特定された第2の構成要素及び第1の構成要素の各運用スケジュール、又はジョブ・スケジュール・システムによって管理されている第2の構成要素及び第1の構成要素の各運用スケジュールに基づいて、第1の認証情報、又は第2の及び第1の認証情報の変更が可能な時期をユーザが決定することを許す。
指示部(414)は、特定部(413)によって特定された第2の構成要素から送信される認証情報(第2の認証情報)の変更を指示する。該変更の指示は、特定部(413)によって決定された時期において行われる。指示部(414)はまた、上記第1の認証情報の変更をさらに指示する。
【0064】
図4Cは、図4A及び図4Bに示す各システムのコンピュータ・ハードウェアのブロック図を示す。
本発明の実施形態に係るコンピュータ・システム(421)は、CPU(422)とメイン・メモリ(423)と含み、これらはバス(424)に接続されている。CPU(422)は好ましくは、32ビット又は64ビットのアーキテクチャに基づくものであり、例えば、インテル社のXeon(商標)シリーズ、Core(商標)シリーズ、Atom(商標)シリーズ、Pentium(商標)シリーズ、Celeron(商標)シリーズ、AMD社のPhenom(商標)シリーズ、Athlon(商標)シリーズ、Turion(商標)シリーズ及びSempron(商標)などを使用することができる。バス(424)には、ディスプレイ・コントローラ(425)を介して、LCDモニタなどのディスプレイ(426)が接続される。ディスプレイ(426)は、そのコンピュータ・システム(421)上で動作中のソフトウェアについての情報を、適当なグラフィック・インタフェースで表示するために使用される。バス(424)にはまた、IDE又はSATAコントローラ(427)を介して、ハードディスク又はシリコン・ディスク(428)と、CD−ROM、DVD又はBlu−rayドライブ(429)が接続されている。CD−ROM、DVD又はBDドライブ(429)は、必要に応じて、CD−ROM、DVD−ROM又はBDからプログラムをハードディスク又はシリコン・ディスク(428)に導入するために使用される。バス(424)にはさらに、キーボード・マウスコントローラ(430)を介して、或いはUSBコントローラ(図示せず)を介して、キーボード(431)及びマウス(432)が接続されている。
【0065】
ハードディスク又はシリコン・ディスク(428)には、オペレーティング・システム、J2EEなどのJava処理環境を提供するプログラム、CMDBのための運用管理プログラム、その他のプログラム及びデータが、メイン・メモリ(423)にロード可能に記憶されている。運用管理プログラムは好ましくは、インターナショナル・ビジネス・マシーンズ・コーポレーションから提供されるTADDMを含む。
【0066】
通信インタフェース(434)は、例えばイーサネット(商標)プロトコルに従うものであり、通信コントローラ(433)を介してバス(424)に接続される。通信インタフェース(434)は、コンピュータ・システム(421)及び通信回線(435)を物理的に接続する役割を担い、コンピュータ・システム(421)のオペレーティング・システムの通信機能のTCP/IP通信プロトコルに対して、ネットワーク・インタフェース層を提供する。通信回線は、有線LAN環境、或いは例えばIEEE802.11a/b/g/nなどの無線LAN接続規格に基づく無線LAN環境であってもよい。
【0067】
なお、コンピュータ等のハードウェアを接続するためのネットワーク接続装置として使用できるものとして、上記のネットワーク・スイッチ以外に、これで尽きている訳ではないが、ルータ、ハードウェア管理コンソール等がある。要するに、ネットワーク運用管理用プログラムが導入されているコンピュータからの、所定のコマンドによる問い合わせに対して、それに接続されているコンピュータのIPアドレス、MACアドレスなどの構成情報を返すことができる機能を持つものである。ネットワーク・スイッチ及びルータは、アドレス解決プロトコル(ARP)のための、それに接続されているコンピュータのIPアドレス及び、それに対応するMACアドレスの対のリストを含むARPテーブルを含み、所定のコマンドによる問い合わせに対して、ARPテーブルの内容を返す機能を持つ。ハードウェア管理コンソールは、ARPテーブルよりもさらに詳しい、コンピュータの構成情報を返すことができる。
【0068】
コンピュータには、上述したハードウェア管理コンソールが接続されている。これは、コンピュータで、LPAR(仮想論理区画)により一台のコンピュータを複数の区画に論理分割し、その各々の区画で、VMwareにより、Windows(商標)、Linux(商標)などの異なるOSを走らせるようにする機能を有するものである。ハードウェア管理コンソールにシステム的に問い合わせすることにより、LPAR・VMwareで動作しているコンピュータの個々の論理区画での情報を、詳細に得ることができる。
【0069】
図5A〜図5Dは、本発明の実施態様において使用され且つCMDB内に格納される構成要素間の関係、並びに該関係を含むデータ・モデル、CIインスタンス及び関係モデルを示す。
【0070】
図5Aは、本発明の実施形態である、クライアント・システムとサーバ・システムとのCMDB上の関係「AuthenticatedBy」及び「Authenticates」を示す。
I.クライアント・システム(501)のCIインスタンスの関係は、サーバ・システム(502)との関係「AuthenticatedBy」を含む。
II.サーバ・システム(504)のCIインスタンスの関係は、クライアント・システム(503)との関係「Authenticates」を含む。
【0071】
図5Bは、図5Aの関係「AuthenticatedBy」を含む、クライアント・システムについてのCIインスタンス、データ・モデル及び関係モデルの例を示す。
データ・モデル(421)は、認証情報が例えばパスワードである場合、パスワードの変更についての属性「PasswordChangeInformation」を含む。属性「PasswordChangeInformation」は、クライアント・システムがサーバ・システムに接続する際に提示するパスワードの変更についての属性である。データ・モデル(411)はまた、関係「AuthenticatedBy」を含む。関係「AuthenticatedBy」は、クライアント・システムがサーバ・システムに対して認証を要求することを示す関係を示す。
CIインスタンス(423)は、認証情報が例えばパスワードである場合、属性「PasswordChangeInformation」についての属性値「Knowledgeファイル名」を含む。属性値「Knowledge」は、ナレッジ(Knowledge)の中の認証情報の変更方法へのポインタである。ナレッジについては、図6Bを参照されたい。
関係モデル(414)は、関係「AuthenticatedBy」を定義する。関係モデル(414)はまた、対象となるデータ・モデルがA、C及びDであることを定義する。
図5Bでは、CIインスタンス自体が関係を含む。CIインスタンス自体が関係を含んでいてもよいが、図5Dに示すように、CIインスタンスとは別個に、関係の数だけ、関係インスタンスが作成されてもよい。
【0072】
図5Cは、図5Aの関係「Authenticates」を含む、サーバ・システムについてのCIインスタンス、データ・モデル及び関係モデルの例を示す。
データ・モデル(431)は、認証情報が例えばパスワードである場合、パスワードの変更についての属性「PasswordChangeInformation」を含む。属性「PasswordChangeInformation」は、サーバ・システムについてのパスワードの変更についての属性である。データ・モデル(431)はまた、関係「Authenticates」を含む。関係「Authenticates」は、クライアント・システムに対して、認証の許可を行うことを示す関係を示す。
CIインスタンス(433)は、認証情報が例えばパスワードである場合、属性「PasswordChangeInformation」についての属性値「Knowledgeファイル名」を含む。属性値「Knowledge」は、ナレッジ(Knowledge)の中の認証情報の変更方法へのポインタである。ナレッジについては、図6Bを参照されたい。
関係モデル(434)は、関係「Authenticates」を定義する。関係モデル(434)はまた、対象となるデータ・モデルがBであることを定義する。
図5Cでは、CIインスタンス自体が関係を含む。CIインスタンス自体が関係を含んでいてもよいが、図5Dに示すように、CIインスタンスとは別個に、関係の数だけ、関係インスタンスが作成されてもよい。
【0073】
図5Dは、図5Cの関係モデル「Authenticates」及びその関係インスタンスの例を示す。
関係モデル(441)は、関係「Authenticates」についてのモデルである。なお、関係インスタンスを使用する場合、基点と宛先とを入れ替えることで逆方向の関係を表現することが可能であるので、1つの関係モデル及び関係インスタンスを用いて両方向の関係を示すことが可能である。
関係モデル(441)は、「Authenticates」の関係の「基点となるモデル」及び「宛先となるモデル」の各定義を含む。関係モデル「Authenticates」の基点となるモデルは認証されるサーバ・システムについてのデータ・モデルであり、宛先となるモデルは認証するクライアント・システムについてのデータ・モデルである。
また、関係モデル(441)はまた、関係が、1対1の関係であるのか、1対多の関係であるのか、多対1の関係であるのか、又は多対多の関係であるのかを示すために、基点側及び宛先側の各数に関する定義を含む。
関係インスタンス(443)はまた、どのような関係であるのかを示す「関係モデル名」、関係の基点と宛先となる各CIインスタンスを示す値を持つ。順方向の関係モデル名と逆方向の関係モデル名は1対1に対応するので、インスタンスでは順方向のモデル名のみを持つようにすることが望ましい。
【0074】
図6A〜6Cは、本発明の実施態様である、認証関係のディスカバリを行うために使用される方法、並びに該方法において使用されるセンサー、ナレッジ及びシグネチャーを示す。
【0075】
図6Aは、本発明の実施形態である、CMDBにおける認証の依存関係のディスカバリに使用されるセンサーを示す。
アプリケーション・サーバ・システムC(601)上には、アプリケーション・ソフトウェアA(602)がインストールされ、稼働している。
アプリケーション・ソフトウェアA(602)は、サーバ・システムS(603)に接続するために、ID及びパスワードなどの認証情報をサーバ・システムS(603)に送信する。
サーバ・システムS(603)は、アプリケーション・ソフトウェアA(602)からの認証情報の検証要求に応じて、アプリケーション・ソフトウェアA(602)から送信された認証情報を検証する。
認証の依存関係のセンサー(604)は、ナレッジ(図6Cを参照)に基づいてアプリケーション・ソフトウェアA(602)のプロパティファイルを取得し、そのキーからDB名を取得する。
【0076】
図6Bは、図6Aで説明したセンサーを用いた認証関係のディスカバリ方法を示す。
アプリケーション・ソフトウェアの認証方法のナレッジ(Knowledge)を定義しておくことにより、アプリケーション・ソフトウェアとサーバ・システムの認証情報の依存関係を自動的に発見することが可能である。
ディスカバリの処理は、3つのステップを含む。
ステップ611.アプリケーション・サーバ・システムC(601)及びサーバ・システムS(603)のディスカバリ。なお、このステップは、既知のディスカバリ技術を用いて当業者が適宜実施できるので、ここでは詳細は述べない。
ステップ612.アプリケーション・ソフトウェアA(602)のディスカバリ。なお、このステップは、既知のディスカバリ技術を用いて当業者が適宜実施できるので、ここでは詳細は述べない。
ステップ613.本発明の実施態様に従うナレッジ適用による認証の関係のディスカバリ。
ステップ3におけるディスカバリに必要になるナレッジは、あるアプリケーション・ソフトウェアがどのようなサーバ・システムに認証を行うか、及びサーバ・システムの名はどこに記録されているかという情報である。
【0077】
ステップ611
ディスカバリ技術によって、アプリケーション・サーバ・システムC(601)及びサーバ・システムS(603)の存在が検出されて、アプリケーション・サーバ・システムC(601)及びサーバ・システムS(603)の各CIのインスタンスがCMDB内に登録される。同様に、ディスカバリ技術によって、ネットワーク接続の状況からアプリケーション・サーバ・システムC(601)とサーバ・システムS(603)とが関係していることが検出されて、その関係がまたCMDB内に登録される。ディスカバリ技術は、例えば、IBM Tivoli Application Dependency Discovery Manager(商標)に実装されている技術が用いられる。
ステップ612
次に、アプリケーション・サーバ・システムC(601)が導入されているシステムに対してシグネチャー(signature)を使用したインベントリを行う。シグネチャーによるインストールされたアプリケーション・ソフトウェアのインベントリは、例えばIBM Tivoli Provisioning Manager(商標)V5のソフトウェア インベントリ(Software Inventory)機能として実装されている。アプリケーション・ソフトウェアのインベントリ処理によって、アプリケーション・ソフトウェアA(602)が検出される。ここで、アプリケーション・ソフトウェアA(602)のCIインスタンスが作成され、さらに稼働しているアプリケーション・サーバ・システムC(601)とアプリケーション・ソフトウェアA(602)との関係がCMDB内に登録される。アプリケーション・サーバ・システムC(601)とアプリケーション・ソフトウェアA(602)との関係は、例えば、「C has A」である。
ステップ613
次に、認証関係のナレッジを検出されたアプリケーション・ソフトウェアA(602)に適用すると、認証の依存関係のセンサー(604)が、ナレッジに基づいてアプリケーション・ソフトウェアA(602)のプロパティファイルbbbを取得し、そのキーaaaからDB名を取得することができる。認証の依存関係のセンサー(604)が、取得したDB名がサーバ・システムS(603)上に存在することを確認することにより、アプリケーション・ソフトウェアA(602)がサーバ・システムS(603)に対して認証を行うという関係インスタンスをCMDB内に登録することが可能である。該関係インスタンスは、例えば、「S authenticates A」である。
【0078】
図6Cは、図6Bの認証関係のディスカバリ方法で使用されるシグネチャー及びナレッジの概念図を示す。
1.シグネチャー(621)は、例えば、アプリケーション・ソフトウェア名、及びシグネチャーを含む。
シグネチャー(622)は、シグネチャーを使用したインベントリで使用するシグネチャーの例である。
上段の製品Aについてのシグネチャー(622)は、ベンダーIBMが提供する製品Aがインストールされているかどうかが、サーバzzzzにディレクトリyyyyが存在し、その下にファイルxxxxが存在するかどうかによって判定可能であることを示している。
下段の製品Bについてのシグネチャー(623)は、ベンダーYYが提供する製品Bがインストールされているかどうかが、レジストリwww\YYキーが存在し、その下にタイプDWORDの値vvvが存在するかどうかによって判定可能であることを示している。
2.ナレッジ(621)は、例えば、アプリケーション・ソフトウェア名、対認証、認証方法、及び認証ターゲットを含む。認証ターゲットは、認証情報、例えばパスワードの変更に必要な情報である。
製品Aについてのナレッジ(625)は、最初のレコード(対認証)において、ベンダーIBMが提供する製品AがDBサーバに対して認証を行うこと、次のレコード(認証方法)において、該DBに対する認証をパスワードを使用して行うこと、及び最後のレコード(認証ターゲット)において、プロパティファイルbbbを取得してその中のDB名キーaaaの値を読み取ることによって認証を行うDB名を判定できることを示している。
製品Bについてのナレッジ(626)は、最初のレコード(対認証)において、ベンダーYYが提供する製品BがDBサーバに対して認証を行うこと、次のレコード(認証方法)において、該DBに対する認証をパスワードを使用して行うこと、及び最後のレコード(認証ターゲット)において、レジストリに記録されているDB名を判定できることを示している。
【0079】
図7Aは、本発明の実施形態の第1のシナリオである、認証方法の変更のためのシステム構成及びそれに関連付けられたデータを示す。
クライアント・システム(701)は、アプリケーション・ソフトウェアA1を実行する。アプリケーション・ソフトウェアA1は、サーバ・システムS(702)にあるデータを使用するために、サーバ・システムS(702)に対して認証情報を送付する。
クライアント・システム(701)のサーバ・システムS(502)に対する認証関係は、上記図5A及び図5Bの説明において述べたように、アプリケーション・ソフトウェアA1のCIについての関係「AuthenticatedBy」によってCMDB内に定義される。
アプリケーション・ソフトウェアA1は、例えば、在庫管理システムといった稼働単位のアプリケーション・ソフトウェアである。アプリケーション・ソフトウェアA1が例えばベンダー:IBMの製品:Aという製品を用いて実現されている場合(703)、アプリケーション・ソフトウェアA1のCIインスタンスは、アプリケーション・ソフトウェアA1は製品Aを用いて実現されているという関係を含む。該関係は、例えば、「runsAt」、「runsOn」によって定義される。該関係は、例えば、認証情報の変更のために、WASを停止すること、又は起動することの手順において用いられる。
アプリケーション・ソフトウェアA1のCIインスタンスは、アプリケーション・ソフトウェアA1の起動に要する時間(スタートアップ)及びアプリケーション・ソフトウェアA1の終了に要する時間(シャットダウン)を属性として有してもよい。下記図7Bでは、属性「スタートアップ」の属性値は「20分」であり、属性「シャットダウン」の属性値は「10分」である。これら属性値は、例えば、管理者によって手動で入力されてもよい。
稼働時間テーブル(705)は、認証情報の変更可能な時間帯の自動的な検索を行うために用いられる。稼働時間テーブル(705)は、例えば、各曜日の稼働時間についてのデータを含む。
【0080】
図7Bは、図7Aで示すアプリケーション・ソフトウェアA1のCIインスタンス、データ・モデル及び関係モデルの例を示す。
データ・モデル(711)は、図5Bのデータ・モデル(421)のモデル属性にある属性に加えて、「StartUp」及び「ShutDown」を含む。属性「StartUp」は、アプリケーション・ソフトウェアA1の起動に要する時間(スタートアップ)を定義する。属性「ShutDown」は、アプリケーション・ソフトウェアA1の終了に要する時間(シャットダウン)を定義する。
CIインスタンス(713)は、図5BのCIインスタンス(423)の属性値に加えて、「StartUp」及び「ShutDown」の各属性値を含む。CIインスタンス(713)では、アプリケーション・ソフトウェアA1の属性「StartUp」の属性値は20分であり、及びアプリケーション・ソフトウェアA1の属性「ShutDown」の属性値は10分である。
【0081】
図7Cは、図7Aにおける認証情報の変更のために使用されるナレッジを示す。
ナレッジ(Knowledge)は、サーバ・システムの認証情報の変更に同期して、クライアント・システムの認証情報を変更するために使用される。
ナレッジは、例えば、アプリケーション・ソフトウェア情報、認証方法、アプリケーションの停止が必要かどうか、アプリケーション・ソフトウェアの停止処理方法及び起動処理方法、認証情報の変更に要する所要時間、並びに認証情報(例えばパスワード)の変更方法を記録する。図7Cでは、ナレッジは、便宜的に表(721)及び表(722)と分かれて示されているが、通常は1つの表でありうる。
「アプリケーション情報」は、アプリケーション・ソフトウェアの名前及び該アプリケーション・ソフトウェアを提供するベンダー名を含む。
「認証方法」は、クライアント・システムがサーバ・システムとの接続に用いる認証方法を定義する。認証方法は、例えば、パスワード又はデジタル証明書である。
アプリケーションの停止が必要?」は、クライアント・システム側の認証情報の変更において、アプリケーション・ソフトウェアの停止が必要であるかどうかを示し、アプリケーションの停止が不要である場合には、停止処理方法及び起動処理方法を記述する必要がない。「アプリケーションの停止が必要かどうかは、例えば、Yes又はNoで示される。
「アプリケーション・ソフトウェアの停止処理方法は、認証情報を変更する前に該アプリケーション・ソフトウェアを停止する方法を記述する。なお、停止する方法は、自動的に、半自動的に又は手動で行われうる。停止する方法の記述には、自動的に行われる部分のみが記載されていてもよい。
「アプリケーション・ソフトウェアの起動処理方法」は、認証情報を変更した後に該アプリケーション・ソフトウェアを起動する方法を記述する。なお、起動する方法は、自動的に、半自動的に又は手動で行われうる。起動する方法の記述には、自動的に行われる部分のみが記載されていてもよい。
「認証情報の変更に要する所要時間」は、変更可能時間帯の自動検索を行うために、クライアント側のパスワードの変更所要時間を記述する。クライアント・システムの認証情報の変更所要時間が必要な理由は、上記アプリケーションの終了、起動の所要時間、認証情報の変更所要時間を合計してクライアント・システム側の変更にかかる時間を求めて、サービス提供時間帯へ影響しない時間を検索するためである。
ナレッジは、CMDB(図4A、404)内にメタデータとして、又は変更同期システム(図4A、403)内にナレッジとして格納されうる。ナレッジは、CMDB(404)内にメタデータとして格納される場合、クライアント・システムについてのCIインスタンスの属性において、ナレッジ中の特定の箇所(例えば、IBMの製品Aに関するナレッジ)へのポインタが示される。ナレッジのメタデータは、クライアント・システムについてのCIインスタンスのサブCIインスタンスとしてCMDB(404)内に用意されてもよい。
ナレッジは、一般的なアプリケーション・ソフトウェアについては、アプリケーション・ソフトウェアの提供者、例えばIBMによって提供されうる。アプリケーション・ソフトウェアの提供者は、ナレッジに加えて、アプリケーション・ソフトウェアの停止処理方法及び起動処理方法、並びに認証情報の変更方法及び認証情報の変更方法のデータを、ユーザが可読しうる形式の操作手順としてだけではなく、運用自動化製品、例えばIBMのTivoli Provisioning Manager(商標)で使用可能な形式において提供してもよい。
一般的なアプリケーション・ソフトウェアを用いずに独自に開発したアプリケーション・ソフトウェア(自社開発品)については、該独自のアプリケーション・ソフトウェアの開発者がナレッジを管理者に提供することが必要である。
なお、サーバ・システムの認証情報の変更は、例えば、既存のTIMを使用しても実現可能である。
【0082】
図7Dは、図7Aで説明した本発明の実施形態の第1のシナリオである、認証情報の変更処理のフローチャートを示す。
ステップ731では、管理者(401)が、ID管理システム(402)にサーバ・システムS(702)に対するパスワード変更を要求する。
ステップ732では、パスワードの変更の要求に応じて、ディスカバリ部(図2A、201)が、ディスカバリをするようにしてもよい。ディスカバリによって、構成要素の属性又は関係が更新されうる。
ステップ733では、変更同期システム(403)は、ID管理システム(402)からの情報の中でサーバ・システムS(702)のCIインスタンスを特定する。結果として、サーバ・システムS(702)が特定される。
ステップ734では、サーバ・システムS(802)のCIインスタンス間の関係を用いて、クライアント・システム又はクライアント・システム上のアプリケーション・ソフトウェアを特定する。
ステップ735では、変更同期システム(403)が認証情報の変更を実施するスケジュールを特定する。該スケジュールは、アプリケーション・ソフトウェアA1の稼働時間テーブル(705)を参照し、稼働時間以外の時間であって、アプリケーション・ソフトウェアA1の起動に要する時間(スタートアップ)及びその終了に要する時間(シャットダウン)を考慮して、上記稼働時間以外の時間内から選択される。
ステップ736では、プロビジョニング・システム(407)は、上記特定されたスケジュールに従い、クライアント・システム又はクライアント・システム上のアプリケーション・ソフトウェアの認証情報を変更する。
ステップ737では、プロビジョニング・システム(407)は、上記特定されたスケジュールに従いサーバ・システム又はサーバ・システム上のアプリケーション・ソフトウェアの認証情報を変更する。
なお、ステップ736とステップ737は、ステップ737及びステップ736の順に行われてもよく、又は同時に行われてもよい。
ステップ738では、クライアント・システムの起動又はクライアント・システム上のアプリケーション・ソフトウェアの起動が行われる。
【0083】
図8Aは、本発明の実施形態の第2のシナリオである、認証情報の変更処理が施されるシステムの適用例を示す。
図8Aの801〜805は、図7Aの701〜705にそれぞれ対応する。
管理者(図4、401)が、ID管理システム(図4、402)にサーバ・システムS(802)に対するパスワード変更を要求した場合について述べる。
変更同期システム(図4、403)は、ID管理システム(402)からの情報の中でサーバ・システムS(802)のCIインスタンスを特定できる属性、例えばホスト名(S)を用いて、CMDB(図4、404)内のサーバ・システムS(802)についてのCIインスタンスを特定する。変更同期システム(403)はさらに、CMDB(404)内でサーバ・システムS(802)と関係「Authenticates」で関係付けられたCIインスタンスを検索する。図8Aの例では、検索結果として、CMDB(404)から、アプリケーション・ソフトウェアA1(801)及びアプリケーション・ソフトウェアA2(806)が特定される。
【0084】
図8Bは、図8Aで説明した認証情報の関係の検索結果から作成される処理フローを示す。
変更同期システム(403)は、関係「Authenticates」の検索結果から、図8Bに示す処理フローを内部的に作成し、認証情報の変更に要する全体の所要時間を計算する。
ここで、サーバ・システムS(又はサーバ・システム上で稼働するアプリケーション、以下同じ)(802)の認証情報の変更に要する時間が、5分であるとする(815を参照)。
プロビジョニング・システム(407)がアプリケーション・ソフトウェアA1及びA2に対する処理を同時並行で実施可能である場合、認証情報の変更に要する時間は、アプリケーション・ソフトウェアA1について75(50+5+20)分であり(811、812、815及び816を参照)、アプリケーション・ソフトウェアA2について60(35+5+20)分である(813、814、815及び817を参照)。
プロビジョニング・システム(図4、406)がアプリケーション・ソフトウェアA1及びA2に対する処理を同時並行で実施可能でない場合は、認証情報の変更に要する時間は、130(50+35+5+20+20)である(811、812、813、814、815、816及び817を参照)。
以下では、アプリケーション・ソフトウェアA1及びA2に対する処理が同時並行で実施可能である場合を例として説明する。
変更同期システム(403)は、認証情報の変更に要する時間である75分(アプリケーション・ソフトウェアA1)及び60分(アプリケーション・ソフトウェアA2)の全体が、アプリケーション・ソフトウェアA1の稼働時間(805)及びアプリケーション・ソフトウェアA2の稼働時間(809)以外の共通の時間帯に収まる範囲を検索する。変更同期システム(403)は、検索の結果、アプリケーション・ソフトウェアA1については金曜日午後9時から月曜日午前6時45分までの間に変更処理が開始可能であることと判定し、アプリケーション・ソフトウェアA1については土曜日午後3時から月曜日午前6時までの間に変更処理が開始可能であると判定する。変更同期システム(403)は、上記可能と判断した結果から、土曜日午後3時から月曜日午前6時45分までの間に、アプリケーション・ソフトウェアA1及びA2、並びにサーバ・システムS(802)の認証情報の変更処理を開始可能であると判定する。該判定によって、アプリケーション・ソフトウェアA1の稼働時間(805)及びアプリケーション・ソフトウェアA2の稼働時間(809)以外の共通の時間帯を判定可能である。
該判定の結果は、管理者(401)の表示装置上に表示される。
また、該判定の結果は、変更同期システム(403)内に保存されるか、或いは、アプリケーション・ソフトウェアA1のCIインスタンス及びアプリケーション・ソフトウェアA2のCIインスタンス、並びにサーバ・システムS(802)のCIインスタンスの各属性値として、CMDB内に格納されてもよい。
変更同期システム(403)は、以下のステップを含む変更要求を作成する。変更同期システム(403)は、プロビジョニング・システム(407)に、以下に示す一連の認証情報の変更要求が、該認証情報の変更の開始すべき時間とともに渡される。変更システムは、変更管理プロセスによって変更要求が承認された後に、該変更要求をプロビジョニング・システム(407)に渡すようにしてもよい。変更管理プロセスとは、ITILに従い実施されるプロセスである。変更管理プロセスは、例えば、変更管理プロセス管理サーバ(図示せず)によって変更要求の承認プロセスが実施される。承認は、変更マネージャー(ヒトである)及び変更諮問委員会が承認を行う。
1. アプリケーション・ソフトウェアA1及びA2の停止
2. アプリケーション・ソフトウェアA1及びA2の認証情報の変更
3. サーバ・システムSの認証情報の変更
4. アプリケーション・ソフトウェアA1及びA2の起動
なお、アプリケーション・ソフトウェアA1及びA2に対する処理が同時並行で実施可能でない場合は、以下に示す一連の認証情報の変更要求が、該認証情報の変更の開始すべき時間とともに渡される。
1. アプリケーション・ソフトウェアA1の停止
2. アプリケーション・ソフトウェアA2の停止
3. アプリケーション・ソフトウェアA1の認証情報の変更
4. アプリケーション・ソフトウェアA2の認証情報の変更
5. サーバ・システムSの認証情報の変更
6. アプリケーション・ソフトウェアA1の起動
7. アプリケーション・ソフトウェアA2の起動
【0085】
なお、図8Bは、アプリケーション・ソフトウェアA1及びA2の各認証情報の変更後に、サーバ・システムS(802)の認証情報を変更する処理フローを示しているが、サーバ・システムS(802)の認証情報を変更後に、アプリケーション・ソフトウェアA1及びA2の各認証情報を変更してもよい。なお、エラーを起こさずに、アプリケーション・ソフトウェアA1及びA2を停止しないでサーバ・システムS(802)の認証情報を変更できるのは、アプリケーション・ソフトウェアA1及びA2がサーバ・システムS(802)との接続プールを有する場合である。この場合、変更同期システム(403)は、プロビジョニング・システム(407)に、以下示す一連の認証情報の変更要求が、該認証情報の変更の開始すべき時間とともに渡される。変更システムは、変更管理プロセスによって変更要求が承認された後に、該変更要求をプロビジョニング・システム(407)に渡すようにしてもよい。
アプリケーション・ソフトウェアA1及びA2に対する処理が同時並行で実施可能である場合
1. サーバ・システムSの認証情報の変更
2. アプリケーション・ソフトウェアA1及びA2の停止
3. アプリケーション・ソフトウェアA1及びA2の認証情報の変更
4. アプリケーション・ソフトウェアA1及びA2の起動
アプリケーション・ソフトウェアA1及びA2に対する処理が同時並行で実施可能でない場合
1. サーバ・システムSの認証情報の変更
2. アプリケーション・ソフトウェアA1の停止
3. アプリケーション・ソフトウェアA2の停止
4. アプリケーション・ソフトウェアA1の認証情報の変更
5. アプリケーション・ソフトウェアA2の認証情報の変更
6. アプリケーション・ソフトウェアA1の起動
7. アプリケーション・ソフトウェアA2の起動
【0086】
図8Cは、図8Aで示すサーバ・システムSのCIインスタンス、データ・モデル及び関係モデルの例を示す。
データ・モデル(821)は、図5Cのデータ・モデル(431)のモデルに対応する。
CIインスタンス(823)は、図5CのCIインスタンス(433)に対応する。CIインスタンス(823)の属性「Authenticates」は、属性値として、アプリケーション・ソフトウェアA1を認証することを示す「A1」及びアプリケーション・ソフトウェアA2を認証することを示す「A2」を有する。
関係モデル(824)は、図5Cの関係モデル(432)に対応する。
【0087】
図8Dは、図8Aで説明した本発明の実施形態の第2のシナリオである、認証情報の変更処理のフローチャートを示す。
ステップ831では、管理者(401)が、ID管理システム(402)にサーバ・システムS(802)に対するパスワード変更を要求する。
ステップ832では、パスワードの変更の要求に応じて、ディスカバリ部(図2A、201)が、ディスカバリをするようにしてもよい。ディスカバリによって、構成要素の属性又は関係が更新されうる。
ステップ823では、変更同期システム(403)は、ID管理システム(402)からの情報の中でサーバ・システムS(802)のCIインスタンスを特定する。結果として、サーバ・システムS(802)が特定される。
ステップ834では、サーバ・システムS(802)のCIインスタンス間の関係を用いて、クライアント・システム上のアプリケーション・ソフトウェアA1及びA2を特定する。
ステップ835では、変更同期システム(403)が認証情報の変更を実施するスケジュールを特定する。
ステップ836では、プロビジョニング・システム(407)は、上記特定されたスケジュールに従い、クライアント・システム又はクライアント・システム上のアプリケーション・ソフトウェアの認証情報を変更する。
ステップ837では、プロビジョニング・システム(407)は、上記特定されたスケジュールに従いサーバ・システム又はサーバ・システム上のアプリケーション・ソフトウェアの認証情報を変更する。
なお、ステップ836とステップ837は、ステップ837及びステップ836の順に行われてもよく、又は同時に行われてもよい。
ステップ838では、クライアント・システムの起動又はクライアント・システム上のアプリケーション・ソフトウェアの起動が行われる。
【0088】
図9Aは、本発明の実施形態の第3のシナリオである、サーバ・システムSがバッチジョブでも使用される場合の認証情報の変更処理が施されるシステムの適用例を示す。
図9Aの901〜909は、図8Aの801〜809にそれぞれ対応する。
サーバ・システムS(902)がバッチジョブにおいても使用される場合、ジョブのスケジューリング・システム(910)にジョブのスケジュールを記録するとともに、バッチジョブからサーバ・システムS(902)への関係、例えば「Uses」を格納しておく。該関係「Uses」は、CMDB内のジョブのCIインスタンスの属性として記録されてもよい。該関係は、実行予定のジョブの中からサーバ・システムS(902)を使用するバッチジョブの検出、認証情報の変更が必要となるバッチジョブの検出、及び認証情報の変更可能な時間帯からジョブの実行時間帯の除外のために使用されうる。
サーバ・システムS(902)がバッチジョブで使用されていない場合、図7Dの説明において述べたように、土曜日午後3時から月曜日午前6時45分までの間に、アプリケーション・ソフトウェアA1及びA2、並びにサーバ・システムSの認証情報の変更処理を開始可能であることが管理者に提示される。
なお、例えば、バッチジョブがCMDBと連携していない場合、又はバッチジョブのスケジュールが他のシステムと連携していない場合では、管理者がバッチジョブを考慮して図7Dの共通の時間帯の判定結果に基づいて、認証情報の変更の実行タイミングを指示することが可能である。
【0089】
図9Bは、図9Aで説明した本発明の実施形態の第3のシナリオである、サーバ・システムについてのCIインスタンス、データ・モデル及び関係モデルを示す。
データ・モデル(911)は、図5Cのデータ・モデル(431)に対応する。データ・モデル(911)はさらに、バッチジョブについての属性「BatchJobInformation」を含む。
CIインスタンス(913)は、図5CのCIインスタンス(433)に対応する。CIインスタンス(913)はさらに、属性「BatchJobInformation」についての属性値「バッチ・ジョブ・ファイル名」を含む。
【0090】
図9Cは、図9Aで説明した本発明の実施形態の第3のシナリオである、認証情報の変更処理のフローチャートを示す。
ステップ921では、管理者(401)が、ID管理システム(402)にサーバ・システムS(902)に対するパスワード変更を要求する。
ステップ922では、パスワードの変更の要求に応じて、ディスカバリ部(図2A、201)が、ディスカバリをするようにしてもよい。ディスカバリによって、構成要素の属性又は関係が更新されうる。
ステップ923では、変更同期システム(403)は、ID管理システム(402)からの情報の中でサーバ・システムS(902)のCIインスタンスを特定する。結果として、サーバ・システムS(902)が特定される。
ステップ924では、サーバ・システムS(902)のCIインスタンス間の関係を用いて、クライアント・システム上のアプリケーション・ソフトウェアA1及びA2を特定する。
ステップ925では、変更同期システム(403)が認証情報の変更を実施するスケジュールを特定する。該変更のために、スケジューリング・システム(910)に記録されたジョブのスケジュールが使用される。
ステップ926では、プロビジョニング・システム(407)は、上記特定されたスケジュールに従い、クライアント・システム又はクライアント・システム上のアプリケーション・ソフトウェアの認証情報を変更する。
ステップ927では、プロビジョニング・システム(407)は、上記特定されたスケジュールに従いサーバ・システム又はサーバ・システム上のアプリケーション・ソフトウェアの認証情報を変更する。
なお、ステップ926とステップ927は、ステップ927及びステップ926の順に行われてもよく、又は同時に行われてもよい。
ステップ928では、クライアント・システムの起動又はクライアント・システム上のアプリケーション・ソフトウェアの起動が行われる。
【0091】
以上、実施形態に基づき本発明を説明してきたが、本実施形態に記載されている内容は、本発明の一例であり、当業者なら、本発明の技術的範囲を逸脱することなく、様々な変形例に想到できることが、明らかであろう。例えば、CMDBとそれに格納されたCIではなく、別の形式のデータベースとCIの形式を用いることもできる。また、Java以外に、C++、C#など、ネットワーク管理機能を持つAPIを呼び出すことのできる任意のコンピュータ開発環境を用いることができる。
【技術分野】
【0001】
本発明は、認証情報を変更するためのコンピュータ・システム、並びにその方法及びコンピュータ・プログラムに関する。
【背景技術】
【0002】
近年、頻繁に起きる企業買収、合併、事業部再編成、又は企業提携などにより、システムが管理すべきユーザ・アイデンティティ(以下、ID)の数が増加しつつある。また、契約社員の臨時採用、又は社員の出向若しくは転籍などにより、ID又はパスワードなどの認証情報の変更が増加しつつある。このような経営環境の下で、管理すべきユーザIDの数が増加するにつれて、組織的、施策的、地理的に分散管理を行うことは、至難の業となってきている。
【0003】
ID管理は、1人のユーザが複数のシステムを使用し又は管理する場合に、該ユーザ用のユーザID及びパスワードを複数のシステムに配布する手法である。ID管理のための製品例は、インターナショナル・ビジネス・マシーンズ・コーポレーション(以下、IBM)から販売されているTivoli(商標) Identity Manager(以下、TIM)である。TIMは、複数のシステムに分散するユーザID及びパスワードの情報を集約し、統合管理するとともに、プロビジョニング機能によって、ユーザID、及びユーザ属性のライフ・サイクル管理、すなわち登録から変更、失効までの一連のプロセス管理を自動的に処理するソリューションである。TIMは、例えば人事異動の場面において、ID管理者がGUI上で異動対象者を新組織に移動するだけで、組織情報の変更と、あらかじめ設定されていたポリシーをもとにユーザIDの変更、削除処理、又はアクセス権限の設定変更などを自動的に行うことが可能である。
【0004】
下記特許文献1は、利用者ID及びパスワードが登録された各システムに設けられた利用者管理ファイルのパスワードの更新方法を記載する(請求項1)。該更新方法では、1つのシステムの利用者管理ファイルに登録されたパスワードの変更要求があったときに、利用者管理ファイルに登録されているパスワードの更新を行うとともに、該更新したパスワードの利用者IDに合致する利用者IDについての他のシステムの利用者管理ファイルに登録されているパスワードの更新を行う。
【0005】
下記特許文献2は、ネットワークに接続された複数のシステムの情報を管理する情報管理装置を記載する(請求項1)。該情報管理装置では、利用者や管理者からの登録・変更・削除などの指示があったときに自動的に該当する全てのシステム(サーバ)のネットワーク情報やユーザ情報を、同期を取って反映する構成を採用する(第0068段落)。従って、特許文献2では、全てのシステムに変更の指示をする。
【0006】
下記特許文献3は、ネットワークに接続されたシステム(サーバ)を検索して情報の送信の必要なシステム(サーバ)を自動収集する情報管理装置を記載する(第0014段落)。該情報管理装置では、複数のシステム(サーバ)がネットワーク接続されて全体として1つのシステムを構成などする場合に、利用者や管理者からの登録・変更・削除などの指示があったときに自動的に該当する全てのシステム(サーバ)のネットワーク情報やユーザ情報を、同期を取って反映する。従って、特許文献3では、全てのシステムに変更の指示をする。
【0007】
ところで、ITIL(Information Technology Infrastructure Library)(英国政府の商標)とは、ITサービスマネジメントを実現するためのベストプラクティス(最も良い事例)を集めたものである。ITILの中心は、サービスサポート及びサービスデリバリーである。サービスサポートの1つとして構成管理がある。構成管理とは、ITサービスマネジメントの管理対象である構成要素(configuration item、構成アイテムともいう、以下CIと略す場合がある)を認識し、構成要素についての情報を維持及び更新し、確認し、並びに監査を行うプロセスである。構成要素は、構成管理の対象となる資源(リソース)である。構成要素は、ハードウェア及びソフトウェアを含むシステム資源だけでなく、ITサービスの提供に必要な設備、ITサービスの運営に関する規程書、作業手順書及び構成図などのドキュメント類、ハードウェア又はソフトウェアの保守作業などのサービス、プロセス、並びに人的資源なども含む。ITILのフレームワークでは、構成要素を管理するために、構成管理データベース(Configuration Management Database、以下CMDBと略す場合がある)というデータベースを用いて一元的に管理することが推奨されている。CMDBは、構成要素の少なくとも1つの所定の属性及び他の構成要素との関係を記録するデータベースである。CMDBを実装することで備わる最も重要な能力は、構成要素についての情報を自動的に発見する能力(ディスカバリ、自動検出ともいう)及び自動的に更新する能力(トラッキングともいう)である。CMDBでは、構成要素についての情報をCMDBに正確に反映させることが重要である。
【0008】
IBMは、CMDBの構築を支援し且つCMDBを基盤に運用プロセスを制御するソフトとして、「Tivoli Change and Configuration Management Database」(以下Tivoli CCMDB)を提供している。Tivoli CCMDBにおけるディスカバリ及びトラッキングの詳細は、IBM Redbooks Deployment Guide Series: IBM Tivoli Change and Configuration Management Database Configuration Discovery and Tracking v1.1、第41〜64頁、2006年11月を参照されたい。Tivoli CCMDBでは、運用管理ソフトが、ディスカバリ及びトラッキングを実行するように実装されている。
【0009】
Tivoli(商標) CCMDBでは、分散ネットワーク環境上の構成要素であるサーバ、クライアント、オペレーティング・システム(OS)、ミドルウェア(Web/AP/DBMS/LDAPなど)、パッケージ・ソフト、管理ツール、ネットワーク機器及びストレージ機器など300種類を識別し、さらに各構成要素についての情報、例えばコンピュータの構成についての情報、各コンピュータ上で動作するアプリケーション・ソフトウェアについての情報、各コンピュータに接続されているネットワーク接続ストレージ(NAS)などの構成情報、ネットワークに直接接続されているストレージエリアネットワーク(SAN)などの構成情報を自動的に発見し及び更新することができる。各構成要素についての情報の収集方法は管理対象によっても異なるが、基本的にはCMDBを管理するコンピュータ・システムがSSH(Secure SHell)などを用いて管理用のリモート・インタフェースに定期的にアクセスし、OS上の設定ファイル又は構成情報を読み取ったり、或いはCMDBを管理するコンピュータ・システムが設定確認コマンドを実行したりする。そのため、管理対象である構成要素にエージェント・プログラムを導入する必要はない。上記の様式にて発見され且つ更新された情報は、IBMが提唱する構成管理データベース用のデータ・モデル「Common Data Model」(以下CDM)に基づいて、2006年の時点において、31種類のセクション(Computer System、Database、Application、Processなどのカテゴリ)、636種類のクラス(データ・モデルの基本単位、1つ又は複数のセクションに属する)、2609種類の属性(データの属性情報、1つのクラスに属する)、7種類のインタフェース(使用頻度の高い属性のグループ、複数のセクションに属する)、57種類の関係(リレーションシップ)、及び49種類のデータタイプ(データの種別)に整理される。CDMの詳細は、IBM REDPAPER (DRAFT version) IBM Tivoli Common Data Model: Guide to Best Practices(IBM Form Number REDP-4389-00)、第2〜7頁、2007年11月を参照されたい。各構成要素及び該構成要素と他の構成要素との関係についての情報は、GUIの表示ツール、例えばTADDM(Tivoli(商標)Application Dependency Discovery Manager)コンソールに渡される。そして、各構成要素及び該構成要素と他の構成要素との関係が、個々のブロック及び該ブロック間のリンクを用いて視覚的に表示装置上に表示される。
【先行技術文献】
【特許文献】
【0010】
【特許文献1】特開平5−189288号公報
【特許文献2】特開2000−194630号公報
【特許文献3】特開2004−54941号公報
【非特許文献】
【0011】
【非特許文献1】IBM Redbooks Deployment Guide Series: IBM Tivoli Change and Configuration Management Database Configuration Discovery and Tracking v1.1、第41〜64頁、2006年11月
【非特許文献2】IBM RED PAPER (DRAFT version) IBM Tivoli Common Data Model: Guide to Best Practices(IBM Form Number REDP-4389-00)、第2〜7頁、2007年11月
【発明の概要】
【発明が解決しようとする課題】
【0012】
データベース(DB)サーバ・システム、メールサーバ・システムなどのサーバ・システムのアカウントの認証情報は、クライアント・システムからの接続に使用される。該認証情報を変更する場合、サーバ・システムの認証情報が変更されたことによって、クライアント・システムがサーバ・システムに接続出来ず、接続エラーになる可能性がある。そのために、サーバ・システムに接続するクライアント・システムが使用している認証情報も変更しなければならない。しかし、クライアント・システムの数が増大するにつれて、変更作業は膨大となる。よって、ID管理において、認証情報の変更に対応して、該変更されたパスワードを配布すべきハードウェア又はソフトウェアを自動的に特定することが要求されている。
【課題を解決するための手段】
【0013】
本発明は、第1の構成要素に第2の構成要素が接続するために、前記第1の構成要素についての認証情報(第1の認証情報)と前記第2の構成要素から前記第1の構成要素に送信される認証情報(第2の認証情報)とのマッチングをして認証することを要求する環境において、該第2の認証情報を変更するためのコンピュータ・システムを提供する。該コンピュータ・システムは、
構成要素の少なくとも1つの所定の属性及び該構成要素と他の構成要素との関係を格納するリポジトリであって、上記属性及び関係の少なくとも1は、構成要素についての情報を検出するディスカバリによって更新されうる、上記リポジトリと、
上記第1の認証情報の変更要求に応じて、上記関係に基づいて、該第1の認証情報の変更によって影響を受ける第2の構成要素を特定する特定部と、
上記特定された第2の構成要素から送信される第2の認証情報の変更を指示する指示部と
を含む。
【0014】
以下に、本発明の上記コンピュータ・システムにおいて使用されている語を説明する。
・「第1の構成要素」は、例えばサーバが該当しうる。サーバは認証をする側であり、認証におけるクライアント−サーバのサーバを意味する。「第1の構成要素」は、例えば別のシステムからの認証要求に対して認証をするアプリケーション・ソフトウェア、又は該アプリケーション・ソフトウェアが稼働するシステムが該当しうる。「第1の構成要素」は、例えば、第2の構成要素に対して、該第1の構成要素に接続するために認証情報を要求する。第1の構成要素は、例えば、DBサーバ・システム、メールサーバ・システム、DBアプリケーション・ソフトウェア又はメール・アプリケーション・ソフトウェアが該当しうるがこれらに限定されない。「第1の構成要素」は、例えば、第2の構成要素からの接続要求に対して、認証情報を送信するように命令するコマンドを第2の構成要素に対して送信する。
・「第2の構成要素」は、例えばクライアントが該当しうる。クライアントは認証を要求して認証を受ける側であり、認証におけるクライアント−サーバのクライアントを意味する。「第2の構成要素」は、例えば別のシステムに対して認証を要求するアプリケーション・ソフトウェア、又は該アプリケーション・ソフトウェアが稼働するシステムが該当しうる。「第2の構成要素」は、例えば、第1の構成要素に接続する際に第1の構成要素から要求された認証情報を第1の構成要素に対して送信する。
・「第1の構成要素」と「第2の構成要素」との組み合わせは、例えば下記のものが考えられるがこれらに限定されない。
第1の構成要素 第2の構成要素
・サーバ・システム ・クライアント・システム
・サーバ・システム ・クライアント・システムの
アプリケーション・ソフトウェア
・サーバ・システムの ・クライアント・システム
アプリケーション・ソフトウェア
・サーバ・システムの ・クライアント・システムの
アプリケーション・ソフトウェア アプリケーション・ソフトウェア
なお、「第1の構成要素」及び「第2の構成要素」が、例えば、同一システム内の2つのアプリケーション・ソフトウェアであってもよい。この場合、一方のアプリケーション・ソフトウェアがクライアントしての機能を果たし、他方のアプリケーション・ソフトウェアがサーバとしての機能を果たす。
・「認証情報」は、例えば、ID、パスワード若しくはデジタル証明書、又はそれらの組み合わせが該当しうるがこれらに限定されない。認証情報は、第2の構成要素が第1の構成要素に接続するために、第2の構成要素から第1の構成要素に送信される。そして、第1の構成要素に格納されている第2の構成要素についての認証情報と、第2の構成要素から第1の構成要素に送信された認証情報とがマッチング(合致)することによって、第1の構成要素は、第2の構成要素が第1の構成要素に接続することを許す。
【0015】
本発明はまた、第1の構成要素に第2の構成要素が接続するために、前記第1の構成要素についての認証情報(第1の認証情報)と前記第2の構成要素から前記第1の構成要素に送信される認証情報(第2の認証情報)とのマッチングをして認証することを要求する環境において、該第2の認証情報を変更するための方法を提供する。該方法は、コンピュータ・システムに下記ステップを実行させるステップを含む。該ステップは、
構成要素の少なくとも1つの所定の属性及び該構成要素と他の構成要素との関係をリポジトリに格納するステップであって、上記属性及び関係の少なくとも1は、構成要素についての情報を検出するディスカバリによって更新されうる、上記格納するステップと、
上記第1の認証情報の変更要求に応じて、上記関係に基づいて、該第1の認証情報の変更によって影響を受ける第2の構成要素を特定するステップと、
上記特定された第2の構成要素から送信される第2の認証情報の変更を指示するステップと
を含む。
【0016】
本発明の1つの実施形態では、上記指示するステップが、上記第1の認証情報の変更を指示するステップをさらに含む。
【0017】
本発明の1つの実施形態では、上記特定するステップが、上記属性に基づいて、上記特定された第2の構成要素及び第1の構成要素の少なくとも1の運用スケジュールを特定する。
【0018】
本発明の1つの実施形態では、上記特定するステップが、上記特定された第2の構成要素及び上記第1の構成要素の各運用スケジュール、又はジョブ・スケジュール・システムによって管理されている第2の構成要素及び上記第1の構成要素の各運用スケジュールに基づいて、第1の認証情報、又は上記第2及び上記第1の認証情報の変更が可能な時期を決定する。
【0019】
本発明の1つの実施形態では、上記指示するステップが、上記決定された時期において、上記第2の構成要素を停止し、該第2の認証情報の変更を指示する。
【0020】
本発明の1つの実施形態では、上記指示部が、上記第2の認証情報の変更に応じて、上記第1の認証情報の変更をさらに指示する。
【0021】
本発明の1つの実施形態では、上記特定するステップが、上記特定された第2の構成要素及び上記第1の構成要素の各運用スケジュール、又はジョブ・スケジュール・システムによって管理されている第2の構成要素及び上記第1の構成要素の各運用スケジュールに基づいて、上記第1の認証情報、又は上記第2及び上記第1の認証情報の変更が可能な時期をユーザが決定することを許す。
【0022】
本発明の1つの実施形態では、上記指示するステップが、上記決定された時期において、上記第2の構成要素を停止し、該第2の認証情報の変更を指示する。
【0023】
上記指示するステップ、上記第2の認証情報の変更に応じて、上記第1の認証情報の変更をさらに指示する。
【0024】
本発明の1つの実施形態では、上記特定するステップが、上記第1の認証情報の変更要求に応じて、該変更要求内の上記第1の構成要素を特定する情報を用いて、上記リポジトリ内に格納された該第1の構成要素についての属性又は関係データを特定する。
【0025】
本発明の1つの実施形態では、上記関係が、上記第1の認証情報と上記第2の認証情報との間の関係を含む。
【0026】
本発明の1つの実施形態では、上記特定するステップが、上記第1の認証情報と上記第2の認証情報との間の関係に基づいて、上記第2の構成要素を特定するステップを含む。
【0027】
本発明の1つの実施形態では、上記特定するステップが、上記運用スケジュール・ファイル又は上記運用スケジュールの属性に基づいて、上記特定された第2の構成要素及び上記第1の構成要素の少なくとも1の運用スケジュールを特定するステップを含む。
【0028】
本発明の1つの実施形態では、上記特定するステップが、上記第1の構成要素についての関係に基づいて、上記第2の構成要素を特定するステップをさらに含む。
【0029】
本発明の1つの実施形態では、上記特定するステップが、上記第2の構成要素についての属性に基づいて、上記運用スケジュールを特定するステップをさらに含む。
【0030】
本発明はさらに、第1の構成要素に第2の構成要素が接続するために、前記第1の構成要素についての認証情報(以下、第1の認証情報)と前記第2の構成要素から前記第1の構成要素に送信される認証情報(以下、第2の認証情報)とのマッチングをして認証することを要求する環境において、該第2の認証情報を変更する方法を提供する。該方法は、コンピュータ・システムに下記ステップを実行させるステップを含む。該ステップは、
構成要素の少なくとも1つの所定の属性及び該構成要素と他の構成要素との関係をリポジトリに格納するステップであって、上記属性及び関係の少なくとも1は、構成要素についての情報を検出するディスカバリによって更新されうる、上記格納するステップと、
上記第1の認証情報の変更要求に応じて、上記関係に基づいて、該第1の認証情報の変更によって影響を受ける第2の構成要素を特定するステップと、
上記属性に基づいて、上記特定された第2の構成要素及び第1の構成要素の運用スケジュールを特定するステップと、
上記特定された第2の構成要素及び上記第1の構成要素の各運用スケジュールに基づいて、上記第2及び上記第1の認証情報の変更が可能な時期を決定するステップと、
上記決定された時期において、上記特定された第2の構成要素から送信される第2の認証情報の変更を指示するステップと、
上記第1の認証情報の変更を指示するステップと
を含む。
【0031】
本発明はさらに、第1の構成要素に第2の構成要素が接続するために、前記第1の構成要素についての認証情報(以下、第1の認証情報)と前記第2の構成要素から前記第1の構成要素に送信される認証情報(以下、第2の認証情報)とのマッチングをして認証することを要求する環境において、該第2の認証情報を変更するためのコンピュータ・プログラムを提供する。該コンピュータ・プログラムは、コンピュータ・システムに、上記のいずれか1つに記載の方法の各ステップを実行させる。
【発明の効果】
【0032】
本発明の実施形態によれば、サーバ・システムに接続するための認証情報の変更要求に応じて、該サーバ・システムに接続するクライアント・システムを特定するとともに、該特定されたクライアント・システムから送信される認証情報を変更することが可能である。
【図面の簡単な説明】
【0033】
【図1A】従来技術であるID管理システムの例を示す。
【図1B】図1AのID管理システムにおける、認証情報の変更に伴う接続失敗の例を示す。
【図2A】CIを管理するための、CMDBを含むコンピュータ・システムの例を示す。
【図2B】CI、CIインスタンス、及び関係(usedBy)インスタンスの作成を示す。
【図2C】データ・モデル、ディスカバリ・インスタンス、CIインスタンス、及び関係モデルを示す。
【図3A】CMDBにおける構成管理のためのツールの概要を示す。
【図3B】CMDBにおける構成情報管理の画面例を示す。
【図4A】本発明の実施形態である、CMDBを使用した認証情報を変更するためのシステム全体の例を示す。
【図4B】図4Aに記載の認証情報を変更するためのシステムが有する機能を図示する機能ブロック図である。
【図4C】図4A及び図4Bに示す各システムのコンピュータ・ハードウェアのブロック図を示す。
【図5A】本発明の実施形態である、クライアント・システムとサーバ・システムとのCMDB上の関係「AuthenticatedBy」及び「Authenticates」を示す。
【図5B】図5Aの関係「AuthenticatedBy」を含む、クライアント・システムについてのCIインスタンス、データ・モデル及び関係モデルの例を示す。
【図5C】図5Aの関係「Authenticates」を含む、サーバ・システムについてのCIインスタンス、データ・モデル及び関係モデルの例を示す。
【図5D】図5Cの関係モデル「Authenticates」及びその関係インスタンスの例を示す。
【図6A】本発明の実施形態である、CMDBにおける認証の依存関係のディスカバリに使用されるセンサーを示す。
【図6B】図6Aで説明したセンサーを用いた認証関係のディスカバリ方法を示す。
【図6C】図6Bの認証関係のディスカバリ方法で使用されるシグネチャー及びナレッジの概念図を示す。
【図7A】本発明の実施形態の第1のシナリオである、認証方法の変更のためのシステム構成及びそれに関連付けられたデータを示す。
【図7B】図7Aで示すアプリケーション・ソフトウェアA1のCIインスタンス、データ・モデル及び関係モデルの例を示す。
【図7C】図7Aにおける認証情報の変更のために使用されるナレッジを示す。
【図7D】図7Aで説明した本発明の実施形態の第1のシナリオである、認証情報の変更処理のフローチャートを示す。
【図8A】本発明の実施形態の第2のシナリオである、認証情報の変更処理が施されるシステムの適用例を示す。
【図8B】図8Aで説明した認証情報の関係の検索結果から作成される処理フローを示す。
【図8C】図8Aで示すサーバ・システムSのCIインスタンス、データ・モデル及び関係モデルの例を示す。
【図8D】図8Aで説明した本発明の実施形態の第2のシナリオである、認証情報の変更処理のフローチャートを示す。
【図9A】本発明の実施形態の第3のシナリオである、サーバ・システムSがバッチジョブでも使用される場合の認証情報の変更処理が施されるシステムの適用例を示す。
【図9B】図9Aで説明した本発明の実施形態の第3のシナリオである、サーバ・システムについてのCIインスタンス、データ・モデル及び関係モデルを示す。
【図9C】図9Aで説明した本発明の実施形態の第3のシナリオである、認証情報の変更処理のフローチャートを示す。
【発明を実施するための形態】
【0034】
以下に、本発明の実施するための形態におけるCMDBに関する用語を下記に説明する。
・リポジトリ
リポジトリは、少なくとも1つの1組のデータを格納する。該1組のデータは、構成要素の少なくとも1つの所定の属性及び他の構成要素との関係を示すデータである。該1組のデータは例えば、ハードウェア構成要素又はソフトウェア構成要素を含む構成要素の少なくとも1つの所定の属性及び該構成要素と他の構成要素との関係を示すデータを含む。上記リポジトリは例えば、CMDBである。構成要素、及び該構成要素と他の構成要素との関係は例えば、静的な(static)データのインスタンス又はJava(サン・マイクロシステムズの商標)のクラスのインスタンスで実装されうる。上記リポジトリは、該1組のデータを保持するものであれば特に限定されないが、好ましい実施形態の1つはCMDBを記録するCMDB記録部である。
・構成要素(CI)
CIは、ITサービスマネジメントの対象範囲に属する構成要素に対応するデータであり、ITサービスマネジメントにおける管理対象の基本単位である。CIは例えば、ハードウェア及びソフトウェアを含むシステム資源、ITサービスの提供に必要な設備、ITサービスの運営に関する規程書、作業手順書及び構成図などのドキュメント類、ハードウェア又はソフトウェアの保守作業などのサービス、プロセス、並びに人的資源などを含む。今後も様々なタイプのCIが、CMDBで管理されるようになる。また、各CIはデータ・モデルのインスタンスとしてCMDB上で表現される。
・構成管理データベース(CMDB)
CMDBは、情報システムの全コンポーネントに関する情報の統合された保管・管理を行うデータベースである。CMDBは、各CIの少なくとも1つの所定の属性及び他のCIとの関係を記録する。CMDBは組織がコンポーネント間の関係を理解することを支援し、その構成を管理できるようにする。CMDBはITILフレームワークの構成管理プロセスの中核となっている。CMDBは、概念的にはデータベースであるが、物理的にはデータベース・システム、表計算ソフトのスプレッドシートの形態を取りうる。CMDBを利用することによって、管理者はCI間の関係を理解することが容易になる。
・構成要素インスタンス(CIインスタンス)
CIインスタンスは、CIに対応するデータである。各CIインスタンスは、データ・モデルのインスタンスとしてCMDB上で表現される。インスタンスの例は、静的なデータのインスタンス又はJava(サン・マイクロシステムズの商標)のクラスのインスタンスである。実装されたJavaのクラスのインスタンスは、例えばJava Data Objects(JDO)と呼ばれる、Javaのクラスのインスタンスを永続化してハードディスクに保存する仕組みにより、CMDB内に格納される。よって、コンピュータ・システムの電源を一旦切っても、作成されたJavaのクラスのインスタンスが消失することはなく、次に電源を投入したときに、記憶装置、例えばハードディスクから読み出され、メイン・メモリ上に展開されて、Javaのプログラムによって変更或いは削除可能なJavaのクラスのインスタンスとなる。以下では、CIがインスタンスとしてCMDB内に実装されるとして、説明を進める場合がある。
・データ・モデル
データ・モデルは、CIを定義するためのスキーマであり、管理されるCIとそれらCI間の関係の一貫した定義を提供する情報モデルである。具体的には、データ・モデルは、CIの所定の属性及び他のCI(製造装置、プロセスなど)との関係を定義する。データ・モデルの例として、IBMが提唱する構成管理データベース用のデータ・モデル「CDM」がある。CDMの実装は例えば、Unified Modeling Language(UML)に基づいて行われる。
・属性(Attributes)
属性は、CIを管理するに際して、個々のCIを特定し、CIを説明する。属性として、下記のものを挙げることができるがこれらに限定されない。CIの名前(CIの一般名称、例えばサーバ、クライアント、ファイアウォール)、製品番号(ID)(CIのある特定の実体を個別に識別するための番号であり、製造番号、シリアル番号など)、カテゴリ(CIの分類、例えばハードウェア、ソフトウェア、ドキュメント)、タイプ(カテゴリでの分類をさらに詳述したCIの説明)、型番(供給者の命名したCIのモデル番号)、保証期間(CIの供給者による保証期間)、バージョン番号(CIのバージョン番号)、ロケーション(CIが存在する場所、例えばPCの設置場所、ソフトウェアの書庫、媒体の保管場所、サービスを提供しているサイト)、所有責任者(CIの管理責任者の名前)、責任開始日(所有責任者が、該CIの責任者となった日付)、供給者(CIの開発元又は提供元)、ライセンス(ライセンス番号、ライセンス数など)、提供日(CIが組織に提供された日付)、受入日(CIが組織に受け入れられた日付)、使用開始日(CIが使用開始された日付)、CIのステータス(現在のステータス、例えば稼働中、テスト中、故障中、或いは将来のステータス、例えば予定されているCIのステータス)、CIインスタンスのステータス(CIインスタンスの有効又は無効)。今後もITサービスマネジメントで必要となる属性が、引き続き定義されていく。
・関係(Relation)
関係は、CI間の関係を表す。関係は、CIと同様にデータ・モデルで定義されうる。関係の例として、Common Data Modelでは、assigns、canConnect、canUse、connectAt、connects、controls、deployedOn、Located、Managed、Owned、provides、runAt、uses、usedByが挙げられる。今後もITサービスマネジメントで必要となる関係が、引き続き定義されていく。なお、本発明の実施形態では、クライアント・システムとサーバ・システムの認証情報との依存関係を示す「AuthenticatedBy」及び「Authenticates」が用いられる。
【0035】
以下、図面に従って、従来技術のID管理システム(図1A〜図1B)、CMDBの基礎概念(図2A〜図2C)及びCMDBにおける構成管理(図3A〜図3B)、並びに本発明の実施形態におけるシステム及び方法(図4A以降)を順に説明する。なお、本発明の実施形態におけるシステム及び方法ではCMDBを利用するので、図2A〜図3BではCMDBの基礎概念及びCMDBの構成管理を説明する。
本実施形態は、本発明の好適な態様を説明するためのものであり、本発明の範囲をここで示すものに限定する意図はないことを理解されたい。また、以下の図を通して、特に断らない限り、同一符号は、同一の対象を指す。
【0036】
図1Aは、従来技術であるID管理システムの例を示す。
クライアント・システム(101)は、サーバ・システム(102)とネットワーク、例えばイントラネット又はインターネットを介して接続することができる。
クライアント・システム(101)上には、例えばWebSphere Application Server(以下、WAS)上で稼働するアプリケーション・ソフトウェアがインストールされている。
以下、クライアント・システムという場合、クライアント・システムだけでなく、クライアント・システム上で稼働するアプリケーション・ソフトウェアを指す場合がある。
サーバ・システム(102)上には、例えば、DBアプリケーション・ソフトウェア又はメール・サーバ・アプリケーション・ソフトウェアがインストールされている。
以下、サーバ・システムという場合、サーバ・システムだけでなく、サーバ・システム上で稼働するアプリケーション・ソフトウェアを指す場合がある。
クライアント・システム(101)は、サーバ・システム(102)に接続するために、ID及びパスワードなどの認証情報をサーバ・システム(102)に送信する(111)。
サーバ・システム(102)は、クライアント・システム(101)がサーバ・システム(102)に接続することを許すために、クライアント・システム(101)から送信されたID及びパスワードなどの認証情報の検証を行う。
サーバ・システム(102)は、上記認証が確認されることに応じて、クライアント・システム(101)にデータを提供し、若しくはデータを更新することを許し、又はクライアント・システム(101)がデータを参照することを許す(112)。
これによって、クライアント・システム(101)は、サーバ・システム(102)に対してアクセスして、サーバ・システム(102)からデータを取得し、若しくはサーバ・システム(102)にデータを提供し、又はサーバ・システム(102)のデータを参照することが可能になる。
ID管理システム(103)は、サーバ・システム(102)で使用されるID及びパスワードを管理している。ID管理システム(103)はまた、クライアント・システム(101)に対して、ID及びパスワードを配布することが可能である(114)。
【0037】
図1Bは、図1AのID管理システムにおける、認証情報の変更に伴う接続失敗の例を示す。
ステップ121では、クライアント・システム(101)は、サーバ・システム(102)に対して認証情報を送付し、接続を要求する。認証情報は、例えば、サーバ・システム(102)にアクセスするためのID、パスワード若しくはデジタル証明書、又はそれらの組み合わせである。
ステップ122では、サーバ・システム(102)は、クライアント・システム(101)から送信された認証情報を検証する。サーバ・システム(102)は、該認証情報が確認されることに応じて、クライアント・システム(101)と、サーバ・システム(102)との間で接続を確立する。1つの実施形態として、例えば、DB接続では、クライアント・システム(101)上のアプリケーション・ソフトウェアはサーバ・システム(102)上のDBアプリケーション・ソフトウェアとの間で複数の接続をプールして保持し、接続するようにしてもよい。
ステップ123では、ID管理システム(103)は、サーバ・システム(102)に格納されている認証情報を変更する。認証情報の変更は、例えば、パスワードの変更である。パスワードが変更された時点では、クライアント・システム(101)と、サーバ・システム(102)との間で接続が確立されているので、クライアント・システム(101)上で接続エラーは直ちに発生しない。例えば、上記DB接続では、クライアント・システム(101)はサーバ・システム(102)との間で複数の接続ルートをプールして保持しているので、パスワードを変更した時点では接続にエラーが発生しない。よって、サーバ・システム(102)の認証情報が変更された時点で、管理者が、クライアント・システム(101)上のアプリケーション・ソフトウェアに対する影響の有無を確認できるとは限らない。
ステップ124では、クライアント・システム(101)が再起動されることによって(クライアント・システム(101)上のアプリケーション・ソフトウェアの場合、該アプリケーション・ソフトウェアが再実行されることによって)、クライアント・システム(101)はサーバ・システム(102)に対して認証情報を再送付して、接続を要求する。しかし、サーバ・システム(102)上の認証情報は変更されているので、クライアント・システム(101)と、サーバ・システム(102)との間での接続が確立されない(接続失敗)。
ステップ125では、上記接続が確立されないために、クライアント・システム(101)上に、接続失敗のメッセージが出される。或いは、クライアント・システム(101)が、その動作を停止する。
【0038】
図2A〜図2Cは、本発明の実施形態におけるシステム及び方法で使用するCMDBの基礎概念を示す。
【0039】
図2Aは、CIを管理するための、CMDBを含むコンピュータ・システム(200)の例を示す。
図2Aは、CIの例として、構成要素A及び構成要素Bを記載する。構成要素A及びBそれぞれは、ソフトウェア構成要素、ハードウェア構成要素のいずれであってもよい。ソフトウェア構成要素は、例えば、DB2(商標)、WebSphere(商標)、Notes Domino(商標)、Linux、Tomcat、Apacheであるがこれらに限定されない。ハードウェア構成要素は、例えばクライアント・コンピュータ又はサーバ・コンピュータであるがこれらに限定されない。
コンピュータ・システム(200)は、ディスカバリ部(201)、CI同定部(202)、CIインスタンス作成部(203)、属性及び関係更新部(204)及びCMDB(205)を含む。ディスカバリ部、CI同定部、CIインスタンス作成部、属性及び関係更新部及びCMDBは、単独のコンピュータ上に実装されていてもよく、或いは複数のコンピュータ上に分散して実装されていてもよい。コンピュータ・システム(200)はさらに、ディスカバリ・テーブル(206)、モデル・テーブル(207)及び関係テーブル(208)を含む。これらテーブルは、単独のコンピュータ上に実装されていてもよく、或いは複数のコンピュータ上に分散して実装されていてもよい。
【0040】
また、図2Aは、TADDMコンソールの画面(209)の例を示す。該画面は、CI及びCI間の関係を示す。なお、該画面に表示されているCI及びCI間の関係は一例であり、コンピュータ・システム(200)の管理対象であるCI及びCI間の関係全てを表示しているものではない。
コンピュータ・システム(200)は、それ自身の管理対象である構成要素を管理する。コンピュータ・システム(200)の管理対象は、該コンピュータ・システム(200)がディスカバリしうる対象の構成要素、ディスカバリの対象ではない場合であっても手動で情報を入力して管理しうる構成要素、又はそれらの組み合わせである。
【0041】
ディスカバリ部(201)は、CMDBの管理対象であるCIについての情報の検出を実行する(ディスカバーともいう)。該CIの一部が、TADDMコンソールの画面(209)に表示されている。コンピュータ・システム(200)は、複数のディスカバリ部(201)を有していてもよい。好ましくは、管理対象は、ネットワークを介して、コンピュータ・システムに接続されている。ネットワークは、有線接続であるか無線接続であるかを問わない。コンピュータ・システムの管理者は、検出の対象を任意に設定しうる。検出の範囲は例えば、ドメイン名、IPアドレス、MACアドレス、機器の識別子若しくはデータベース名又はこれらの組み合わせにより指定することができる。管理対象であるCIが例えばハードウェア又はソフトウェアである場合、該機ハードウェア又はソフトウェアについての情報が夫々検出される。検出された情報は、新たなCIについての情報、又は既存のCIの更新された属性若しくは関係の値でありうる。新たなCIとは、ディスカバリ部(201)によって検出され、CMDB(205)内に登録されていないCIである。既存のCIとは、該CIのインスタンスがCMDB(205)内に既に登録されているCIである。ディスカバリ部(201)は、CIについての情報を、ディスカバリ・テーブル(206)内に格納されたディスカバリ・インスタンス(例えばA−Discovery)(図2C、212)に従い検出する。どのディスカバリ・インスタンスを使用するかは、データ・モデル(図2C、211)内のディスカバリ方法に指定されていてもよい。ディスカバリ部(201)は、検出した、CIについての情報をCI同定部(202)に渡す。
【0042】
CI同定部(202)は、上記CIについての情報をディスカバリ部(201)から受け取り、そして検出結果の処理を行う。CI同定部(202)は、上記CIについての情報が、新しいCIについての情報か、又は既存のCIの更新された属性若しくは関係の値かどうかを、CMDB(205)を参照して判定する。該判定は例えば、CMDBに格納されたCIのインスタンス名を、上記CIについての情報と比較して行われうる。上記CIについての情報が新しいCIに関するものであることに応じて、CI同定部(202)は、該情報をCIインスタンス作成部(203)に渡す。一方、上記CIについての情報が既存のCIの更新された属性若しくは関係の値であることに応じて、CI同定部(202)は、該情報を属性及び関係更新部(204)に渡す。
【0043】
2つのCIインスタンス間の関係の作成は、例えば、構成要素Aと構成要素Bとの間に関係があると判明していて、構成要素A及びBそれぞれのCIインスタンスを同定することによって行われる。
【0044】
CIインスタンス作成部(203)は、モデル・テーブル(207)に格納されたデータ・モデル(図2C、211)、及び関係テーブル(208)に格納された関係モデル(図2C、214)に従い、CIについての情報から、該CIの所定の属性及び他のCIとの関係を示す1組のデータを作成する。該1組のデータは例えば、静的なデータのインスタンス又はJava(サン・マイクロシステムズの商標)のクラスのインスタンスで実装されうる。該1組のデータの例が、CIインスタンスである。CIインスタンスの例を図2C(213)に示す。上記1組のデータは、CMDB(205)内に格納される。なお、1組のデータは、CIインスタンス内に属性及び関係を有していてもよく(図2C、213を参照)、或いはCIインスタンス内に属性を有し、それとは別に関係インスタンスとして別々にCMDB(205)内に格納されていてもよい。後者の場合、CIインスタンスは、関連する関係インスタンスを特定するためのリンク付けを有する。
【0045】
属性及び関係更新部(204)は、ディスカバリ部(201)とともにトラッキングを実現する。属性及び関係更新部(204)は、CIの更新された属性若しくは関係の値を、CMDB内に格納された該CIのCIインスタンスに反映する。すなわち、該CIのCIインスタンスの属性或いは関係の値を更新する。該更新は、該値をディスカバリ部(201)によって検出されたCIについての情報と置き換えることによって行われる。該置き換えは、CIインスタンスの属性或いは関係の値の全てをディスカバリ部(201)によって検出されたCIについての情報と置き換えてもよく、或いは異なる値のみを置き換えてもよい。
【0046】
CMDB(205)は、CIのCIインスタンス(図2C、213)を格納する。
【0047】
ディスカバリ・テーブル(206)は、ディスカバリ・インスタンス(図2C、212)を格納する。ディスカバリ・インスタンス(212)は、ディスカバリ部(201)によってCIについての情報が検出される際に使用される。ディスカバリ・インスタンス(212)は例えば、静的なデータのインスタンス又はJava(サン・マイクロシステムズの商標)のクラスのインスタンスで実装されうる。ディスカバリ・インスタンス(212)は、ディスカバリ・ポリシーとも呼ばれる。ディスカバリ・インスタンス(212)は、ディスカバリ部(201)が検索する範囲、すなわちCIの検索範囲である収集対象(スコープ)、収集する属性、及び収集する関係を含む。収集対象は例えば、サブネットIPアドレス、IPアドレスの範囲、個々のIPアドレス、MACアドレス、機器の識別子、ホストネーム若しくはデータベース名又はそれらの組み合わせを用いて指定されうる。別の態様として、収集対象を、コンピュータ・システム(200)にネットワークを介して接続されたスケジュール管理データベース(図示せず)としてもよい。スケジュール管理データベースには例えば、機器を使用するプロセス管理に関するデータが格納されている。さらに別の態様として、収集対象を、バッチ処理定義ファイルを格納するデータベース(図示せず)としてもよい。収集対象がバッチ処理定義ファイルを格納するデータベースの場合、ディスカバリ部(201)は、バッチ処理定義ファイルの中身を読み込むことにより検出を行う。バッチ処理定義ファイルには、例えば機器をどの順に使用するかのデータが格納されている。
【0048】
モデル・テーブル(207)は、データ・モデル(図2C、211)を格納する。データ・モデル(211)は、CIインスタンス作成部(203)によって該CIの所定の属性及び他のCIとの関係を示す1組のデータが作成される際に使用される。
【0049】
関係テーブル(208)は、関係モデル(図2B、214)を格納する。関係モデル(214)は、CIインスタンス作成部(203)によって該CIの所定の属性及び他のCIとの関係を示す1組のデータが作成される際に使用される。
【0050】
図2Aでは、ディスカバリ部(201)が、コンピュータ・システム(200)とネットワークを介して接続された管理対象であるCIに関する情報を検出し、構成要素A、及び構成要素B並びにそれら構成要素の関係についての情報を検出したことを示す。次に、CI同定部(202)は、該検出した情報が新しいCIについてのものかについてCMDB(205)を参照して判断する。該判断に応じて、CIインスタンス作成部(203)は、構成要素AのCIインスタンス及び構成要素BのCIインスタンス、並びにそれら構成要素の関係(usedBy)のインスタンスを作成する。CIインスタンス作成部(203)は、該作成した各インスタンスをCMDB(205)内に格納する。図2Aでは、構成要素BのCIインスタンスが、構成要素AのCIインスタンスとusedByの関係にあることを示す。
ディスカバリ部(201)は、検出したCIについての情報をもとに、データ・モデル(図2C、211)に従って、CI及びそれらCI間の関係を作成し、CMDB(205)に登録する。CMDB(205)は、CIの属性及び他のCIとの関係を格納する。従って、システム管理者は、CMDB(205)を用いて、CI間のリアルな依存関係を抽出することが可能である。
【0051】
構成要素は、ハードウェア構成要素又はソフトウェア構成要素を含み、その組み合わせは任意である。
【0052】
図2Bは、CI、CIインスタンス、及び関係(usedBy)インスタンスの作成を示す。
構成要素AのCIインスタンスは、ディスカバリ部(図2A、201)によって検出された構成要素Aについての情報から、構成要素Aのデータ・モデルを用いてCIインスタンス作成部(図2A、203)によって作成される。同様に、構成要素BのCIインスタンスは、ディスカバリ部(201)によって検出された構成要素Bについての情報から、構成要素Bのデータ・モデルを用いてCIインスタンス作成部(203)によって作成される。構成要素A及び構成要素Bの各データ・モデルは、モデル・テーブル(図2A、207)に格納されている。CI同士の関係、すなわち構成要素Aと構成要素Bとの関係(usedBy)のインスタンスは、ディスカバリ部(201)によって検出された構成要素Aについての情報から、関係モデルに従いCIインスタンス作成部(103)によって作成される。関係モデルは、関係テーブル(図2A、208)に格納されている。
また、構成要素が例えば構成要素B1、B2及びB3である場合、構成要素B1、B2及びB3についての各情報が構成要素Bのデータ・モデルを使用してインスタンス化されて、構成要素B1のCIインスタンス、構成要素B2のCIインスタンス、構成要素B3のCIインスタンスが夫々作成される。構成要素B1、B2及びB3の各CIインスタンスもまた、CMDB(図2A、205)内に格納される。
【0053】
図2Cは、モデル・テーブル(図2A、207)内に格納されたデータ・モデル(211)、ディスカバリ・テーブル(図2A、206)内に格納されたディスカバリ・インスタンス(212)、CMDB(図2A、205)内に格納された(構成要素Aの)CIインスタンス(213)、及び関係テーブル(図2A、208)内に格納された関係モデル(214)を示す。
【0054】
データ・モデル(211)は、CIを定義するためのスキーマである。データ・モデル(211)は例えば、どのCIのモデルかを示す「モデル名」、モデル名に指定されたCIが有する属性を示す「モデル属性」及びモデル名に指定されたCIと他のCIがとりうる「関係」の各記述を含む。データ・モデル(211)はまた、モデル名に指定されたCIを検出するためのディスカバリ・インスタンスを特定する「ディスカバリ方法」の記述を含んでもよい。ディスカバリ方法は、ディスカバリ・インスタンス名で特定されうる。図2Cの場合、A-Discoveryである。モデル属性は、例えばIBMが提唱する構成管理データベース用のデータ・モデル「CDM」に規定された属性に従い規定されるが、これらに限定されない。CDMでは、2006年の時点において、2609種類の属性が規定されている。CMDBの管理者は、データ・モデル(211)における属性を任意に指定しうる。関係は、例えば上記CDMに規定された関係に従い規定されるが、これらに限定されない。CDMでは、2006年の時点において、57種類の関係が規定されている。
【0055】
ディスカバリ・インスタンス(212)は、ディスカバリ・インスタンスの「名前」、ディスカバリ部(図2A、201)によって収集する管理対象(CI)の「収集対象(スコープ)」、ディスカバリ部(201)によって収集する管理対象(CI)の「収集する属性」及び「収集する関係」、並びに該ディスカバリ・インスタンスがアクティブであるか或いはインアクティブであるかを示す「ステータス」の各記述を含む。ディスカバリ方法は、通常、ディスカバリを行うセンサーがディスカバリ手段及びディスカバリによって得られる情報から作成すべきCI及び関係を把握している。ディスカバリ部(201)は、例えば、ディスカバリ・インスタンス(212)を使用して、ディスカバリを行う。ディスカバリによって、CIインスタンス及び関係がそれぞれ作成され、又は、CIインスタンス若しくは関係が更新されうる。ディスカバリを行うセンサーが、ディスカバリした情報を使用して作成すべきCI又は関係を知っている場合、データ・モデル(211)の定義に、ディスカバリ方法の記述は不要である。一方、ディスカバリを行うセンサーがない場合、データ・モデル(211)の定義に、ディスカバリ方法の記述を設けてディスカバリを行ってもよい。
【0056】
CIインスタンス(213)は、該インスタンスがどのCIのものであるかを特定するための「インスタンス名」、該インスタンスが、どのデータ・モデルを使用して作成されたかを示す「モデル名」、データ・モデルによって特定された各属性の「属性値」、データ・モデルによって特定された各「関係」の記述(値)、インスタンスがアクティブであるか或いはインアクティブであるかを示す「ステータス」、及び該CIインスタンスが作成された「作成日時」の各記述を含む。CIインスタンスは好ましくは、CIインスタンスに特有のCIインスタンス識別子をさらに含む。CIインスタンス識別子は、当該CIインスタンスを他のCIインスタンスと区別できるものであれば特に限定されないが、例えばホストネーム、シリアルナンバー若しくは一定の値である他の属性の組み合わせを使用しうる。図2CのCIインスタンス(213)は、構成要素AのCIインスタンスであること;データ・モデルAを使用してインスタンス化されたこと;属性としてS、T及びUを含み、これらが夫々値を有すること;関係として、Mによって使用されること(usedBy:M)、Eに接続されること(connectAt:E)、及びHで実行すること(runAt:H);CIインスタンスがアクティブであること、並びに該CIインスタンスの作成日時のデータを示す。
【0057】
関係モデル(214)は、データ・モデル(211)によって特定される関係を定義するためのスキーマである。関係モデル(214)は、usedByなどの「関係名」、該関係の対象となるデータ・モデルを特定するための「対象となるデータ・モデル」、該関係の「説明」の各記述を含む。
【0058】
図3A〜図3Bは、本発明の実施形態におけるシステム及び方法で使用するCMDBにおける構成管理の例を示す。
【0059】
図3Aは、CMDBにおける構成管理のためのツールの概要を示す。
構成管理のためのツール(301)は、構成要素についての情報(以下、単に構成情報という場合がある)を自動収集する機能(ディスカバリ)、構成情報をグラフィカルに表示する機能(トポロジー)及び変更履歴、構成比較などの分析を行う機能(アナリティクス)を有する。例えば、TADDMサーバは、情報システムについての構成情報を、ssh、SNMP、WMIなどを使用して取得する。上記構成情報は例えば、各情報システムのオペレーティング・システムの種類又はその構成、アプリケーション・ソフトウェアの種類又はその構成値である。TADDMサーバは、取得した情報を、CMDB(305)内にCIインスタンスとして格納する。TADDMサーバは、CMDB(305)に格納したCIインスタンス基づいて、管理者のコンピュータに構成情報、及び変更履歴情報を送る。管理者のコンピュータは、該情報を用いて、構成情報の表示及び変更履歴の表示を行う。
【0060】
図3Bは、CMDBにおける構成情報管理の画面例を示す。
構成情報管理の画面(309)は、GUIで表示される。該表示は、例えばTADDMを用いて行われる。図3Bでは、構成要素は、アプリケーション・ソフトウェアである。アプリケーション・ソフトウェア間の関係は、実線で示されている。なお、該画面上で表示されているアプリケーション・ソフトウェア名(各社の商標)は、例示である。
【0061】
図4A〜図4Cは、本発明の実施形態である、認証情報を変更するためのシステム及び該システム内の構成要素の例を示す。
【0062】
図4Aは、本発明の実施形態である、CMDBを使用した認証情報を変更するためのシステム全体の例を示す。
管理者(401)は、ID管理システム(402)に対して、サーバ・システム(409)上の認証情報の変更を要求する。
ID管理システム(402)は、変更同期システム(403)に対して、認証情報の変更によって影響を受けるクライアント・システム(408)の特定を要求する。
変更同期システム(403)は、CMDB(404)内のCIインスタンスの属性若しくは関係、又はそれらの組み合わせを使用して、認証情報の変更によって影響を受けるクライアント・システム(408)の特定を行う。クライアント・システム(408)とサーバ・システム(409)の認証情報との依存関係は、クライアント・システム(408)のCIインスタンスにおいては関係「AuthenticatedBy」で示され、サーバ・システム(409)のCIインスタンスにおいては関係「Authenticates」で示される。変更同期システム(403)は、ID管理システム(402)の拡張として、ID管理システム(402)内に実装されてもよい。CIインスタンスの属性及び関係は、ディスカバリ部(405)を使用して収集される。また、CIインスタンスの属性及び関係は、属性・関係更新部(204)を使用して更新される。
CMDB(404)は、CIインスタンスの属性及び関係を格納する。CMDB(404)はまた、構成要素の関係として、システム間の認証情報、例えばパスワードの依存関係を有する。該依存関係は、ディスカバリによって自動的に収集されてもよく又は管理者によって手動的に入力されてもよい。クライアント・システム(408)とサーバ・システム(409)の認証情報との依存関係は、クライアント・システム(408)のCIインスタンスでは関係「AuthenticatedBy」で示され、サーバ・システム(409)のCIインスタンスでは関係「Authenticates」で示される。図4Aでは、CMDBが、アプリケーション・ソフトウェア(APPL1〜3)及びデータベース(DB)システムそれぞれのCIインスタンス及び関係を格納していることを示す。
ディスカバリ部(405)は、CMDBの管理対象であるCI、例えばクライアント・システム(408)及び該クライアント・システム(408)上で稼働しているアプリケーション、並びにサーバ・システム(409)及び該サーバ・システム(409)上で稼働しているアプリケーションについての情報を検出する。ディスカバリ部(405)はまた、スケジューリング・システム(406)についての情報を検出してもよい。
スケジューリング・システム(406)は、クライアント・システム(408)のジョブの運用スケジュールを管理する。運用スケジュールは、例えば、「クライアントシステム(408)のサービス提供時間は、月曜日8時から金曜日21時まで」である。なお、運用スケジュールは、クライアント・システム(408)のCIインスタンスの属性として、CMDB(404)内に格納されていてもよい。よって、スケジューリング・システム(406)は、認証情報を変更するためのシステムにおいて、任意の構成要素である。
ID管理システム(402)は、スケジューリング・システム(406)において管理されている運用スケジュールから、又はCMDB(404)内に格納されたクライアント・システム(408)のCIインスタンスの属性から、認証情報の変更可能な時間帯を管理者(401)に提示する。
管理者(401)は、上記提示された時間帯を参照し、認証情報の変更時期を決定することができる。認証情報の変更時期は、例えば、次回に変更可能な時間帯であること、又は認証情報が漏洩したためにサービス中断を生じてでも至急変更することを含む。管理者(401)は、上記決定された変更時期をID管理システム(402)に対して入力する。
ID管理システム(402)は、上記決定された変更時期を変更同期システム(403)に通知する。
変更同期システム(403)は、上記通知された変更時期に基づいて、認証情報の変更要求を作成して、プロビジョニング・システム(407)に該作成した変更要求を渡す。
プロビジョニング・システム(407)は、上記変更要求に記述された変更時期において、クライアント・システム(408)上のアプリケーション・ソフトウェアを停止し、クライアント・システム(408)上に格納された認証情報を上記変更要求に記述された認証情報に変更する。クライアント・システム(408)上のアプリケーション・ソフトウェアの停止は、例えば、アプリケーション・ソフトウェアの終了を含む。なお、プロビジョニング・システム(407)の代わりに、ID管理システム(402)が、クライアント・システム(408)上に格納された認証情報を上記変更要求に記述された認証情報に変更してもよい。
プロビジョニング・システム(407)はまた、クライアント・システム(408)上に格納された認証情報を変更した後に、サーバ・システム(409)上に格納された認証情報を変更する。なお、プロビジョニング・システム(407)の代わりに、ID管理システム(402)が、サーバ・システム(409)上に格納された認証情報を変更してもよい。
プロビジョニング・システム(407)は、クライアント・システム(408)の認証情報の変更後に、クライアント・システム(408)を再起動し、又はクライアント・システム(408)上の停止したアプリケーション・ソフトウェアを再実行する。
クライアント・システム(408)は、サーバ・システム(409)に対して変更された認証情報を送付し、接続を要求する。
【0063】
図4Bは、図4Aに記載の認証情報を変更するためのシステムが有する機能を図示する機能ブロック図である。
図4Aに記載の認証情報を変更するためのシステム(411)は、認証情報の変更の指示を可能にするために、リポジトリ(412)、特定部(413)及び指示部(414)を含む。リポジトリ(412)は、図4Aに示すCMDB(404)によって実現される。特定部(413)は、図4Aに示す変更同期システム(403)によって実現される。指示部(414)は、図4Aに示すID管理システム(402)によって実現される。ディスカバリ部(415)は、図4Aに示すディスカバリ部(405)と同じである。
上記システム(411)は、サーバ・システム(40
9)又は該サーバ・システム(409)上で稼働するアプリケーション・ソフトウェア(以下、第1の構成要素)にクライアント・システム(408)又は該クライアント・システム(408)上で稼働するアプリケーション・ソフトウェア(以下、第2の構成要素)が接続するために、第1の構成要素についての認証情報(第1の認証情報)と第2の構成要素から第1の構成要素に送信される認証情報(第2の認証情報)とのマッチングをして認証することを要求する環境に配置される。
リポジトリ(412)は、上記システム(411)がアクセス可能な記録媒体内に用意される。アクセス可能な記録媒体は、例えば、上記システム(411)に外部接続された記録媒体、又は上記システム(411)にネットワークを介して接続された記録媒体を含む。リポジトリは(412)、構成要素のCIインスタンス及び関係インスタンスを格納する。CIインスタンス及び関係インスタンスは、ディスカバリ部(415)によるディスカバリによって更新されうる。各インスタンスの更新は、例えば、認証情報の変更をする直前に行われることが好ましい。
特定部(413)は、第1の構成要素についての認証情報(第1の認証情報)の変更要求に応じて、CMDB内の関係に基づいて、該第1の認証情報の変更によって影響を受ける第2の構成要素を特定する。第2の構成要素の特定は、例えば、第1の認証情報と第2の認証情報との間の関係インスタンスに基づいて行われる。または、第2の構成要素の特定は、例えば、第1の構成要素についての関係インスタンスに基づいて行われる。
特定部(413)はまた、CMDB内のCIインスタンスの属性に基づいて、特定された第2の構成要素(例えば、クライアント・システム)及び第1の構成要素(例えば、サーバ・システム)の少なくとも1の運用スケジュールを特定する。特定部(413)は、特定された第2の構成要素及び第1の構成要素の各運用スケジュール、又はジョブ・スケジュール・システムによって管理されている第2の構成要素及び第1の構成要素の各運用スケジュールに基づいて、第1の認証情報、又は第2及び第1の認証情報の変更が可能な時期を決定する。
特定部(413)はまた、特定された第2の構成要素及び第1の構成要素の各運用スケジュール、又はジョブ・スケジュール・システムによって管理されている第2の構成要素及び第1の構成要素の各運用スケジュールに基づいて、第1の認証情報、又は第2の及び第1の認証情報の変更が可能な時期をユーザが決定することを許す。
指示部(414)は、特定部(413)によって特定された第2の構成要素から送信される認証情報(第2の認証情報)の変更を指示する。該変更の指示は、特定部(413)によって決定された時期において行われる。指示部(414)はまた、上記第1の認証情報の変更をさらに指示する。
【0064】
図4Cは、図4A及び図4Bに示す各システムのコンピュータ・ハードウェアのブロック図を示す。
本発明の実施形態に係るコンピュータ・システム(421)は、CPU(422)とメイン・メモリ(423)と含み、これらはバス(424)に接続されている。CPU(422)は好ましくは、32ビット又は64ビットのアーキテクチャに基づくものであり、例えば、インテル社のXeon(商標)シリーズ、Core(商標)シリーズ、Atom(商標)シリーズ、Pentium(商標)シリーズ、Celeron(商標)シリーズ、AMD社のPhenom(商標)シリーズ、Athlon(商標)シリーズ、Turion(商標)シリーズ及びSempron(商標)などを使用することができる。バス(424)には、ディスプレイ・コントローラ(425)を介して、LCDモニタなどのディスプレイ(426)が接続される。ディスプレイ(426)は、そのコンピュータ・システム(421)上で動作中のソフトウェアについての情報を、適当なグラフィック・インタフェースで表示するために使用される。バス(424)にはまた、IDE又はSATAコントローラ(427)を介して、ハードディスク又はシリコン・ディスク(428)と、CD−ROM、DVD又はBlu−rayドライブ(429)が接続されている。CD−ROM、DVD又はBDドライブ(429)は、必要に応じて、CD−ROM、DVD−ROM又はBDからプログラムをハードディスク又はシリコン・ディスク(428)に導入するために使用される。バス(424)にはさらに、キーボード・マウスコントローラ(430)を介して、或いはUSBコントローラ(図示せず)を介して、キーボード(431)及びマウス(432)が接続されている。
【0065】
ハードディスク又はシリコン・ディスク(428)には、オペレーティング・システム、J2EEなどのJava処理環境を提供するプログラム、CMDBのための運用管理プログラム、その他のプログラム及びデータが、メイン・メモリ(423)にロード可能に記憶されている。運用管理プログラムは好ましくは、インターナショナル・ビジネス・マシーンズ・コーポレーションから提供されるTADDMを含む。
【0066】
通信インタフェース(434)は、例えばイーサネット(商標)プロトコルに従うものであり、通信コントローラ(433)を介してバス(424)に接続される。通信インタフェース(434)は、コンピュータ・システム(421)及び通信回線(435)を物理的に接続する役割を担い、コンピュータ・システム(421)のオペレーティング・システムの通信機能のTCP/IP通信プロトコルに対して、ネットワーク・インタフェース層を提供する。通信回線は、有線LAN環境、或いは例えばIEEE802.11a/b/g/nなどの無線LAN接続規格に基づく無線LAN環境であってもよい。
【0067】
なお、コンピュータ等のハードウェアを接続するためのネットワーク接続装置として使用できるものとして、上記のネットワーク・スイッチ以外に、これで尽きている訳ではないが、ルータ、ハードウェア管理コンソール等がある。要するに、ネットワーク運用管理用プログラムが導入されているコンピュータからの、所定のコマンドによる問い合わせに対して、それに接続されているコンピュータのIPアドレス、MACアドレスなどの構成情報を返すことができる機能を持つものである。ネットワーク・スイッチ及びルータは、アドレス解決プロトコル(ARP)のための、それに接続されているコンピュータのIPアドレス及び、それに対応するMACアドレスの対のリストを含むARPテーブルを含み、所定のコマンドによる問い合わせに対して、ARPテーブルの内容を返す機能を持つ。ハードウェア管理コンソールは、ARPテーブルよりもさらに詳しい、コンピュータの構成情報を返すことができる。
【0068】
コンピュータには、上述したハードウェア管理コンソールが接続されている。これは、コンピュータで、LPAR(仮想論理区画)により一台のコンピュータを複数の区画に論理分割し、その各々の区画で、VMwareにより、Windows(商標)、Linux(商標)などの異なるOSを走らせるようにする機能を有するものである。ハードウェア管理コンソールにシステム的に問い合わせすることにより、LPAR・VMwareで動作しているコンピュータの個々の論理区画での情報を、詳細に得ることができる。
【0069】
図5A〜図5Dは、本発明の実施態様において使用され且つCMDB内に格納される構成要素間の関係、並びに該関係を含むデータ・モデル、CIインスタンス及び関係モデルを示す。
【0070】
図5Aは、本発明の実施形態である、クライアント・システムとサーバ・システムとのCMDB上の関係「AuthenticatedBy」及び「Authenticates」を示す。
I.クライアント・システム(501)のCIインスタンスの関係は、サーバ・システム(502)との関係「AuthenticatedBy」を含む。
II.サーバ・システム(504)のCIインスタンスの関係は、クライアント・システム(503)との関係「Authenticates」を含む。
【0071】
図5Bは、図5Aの関係「AuthenticatedBy」を含む、クライアント・システムについてのCIインスタンス、データ・モデル及び関係モデルの例を示す。
データ・モデル(421)は、認証情報が例えばパスワードである場合、パスワードの変更についての属性「PasswordChangeInformation」を含む。属性「PasswordChangeInformation」は、クライアント・システムがサーバ・システムに接続する際に提示するパスワードの変更についての属性である。データ・モデル(411)はまた、関係「AuthenticatedBy」を含む。関係「AuthenticatedBy」は、クライアント・システムがサーバ・システムに対して認証を要求することを示す関係を示す。
CIインスタンス(423)は、認証情報が例えばパスワードである場合、属性「PasswordChangeInformation」についての属性値「Knowledgeファイル名」を含む。属性値「Knowledge」は、ナレッジ(Knowledge)の中の認証情報の変更方法へのポインタである。ナレッジについては、図6Bを参照されたい。
関係モデル(414)は、関係「AuthenticatedBy」を定義する。関係モデル(414)はまた、対象となるデータ・モデルがA、C及びDであることを定義する。
図5Bでは、CIインスタンス自体が関係を含む。CIインスタンス自体が関係を含んでいてもよいが、図5Dに示すように、CIインスタンスとは別個に、関係の数だけ、関係インスタンスが作成されてもよい。
【0072】
図5Cは、図5Aの関係「Authenticates」を含む、サーバ・システムについてのCIインスタンス、データ・モデル及び関係モデルの例を示す。
データ・モデル(431)は、認証情報が例えばパスワードである場合、パスワードの変更についての属性「PasswordChangeInformation」を含む。属性「PasswordChangeInformation」は、サーバ・システムについてのパスワードの変更についての属性である。データ・モデル(431)はまた、関係「Authenticates」を含む。関係「Authenticates」は、クライアント・システムに対して、認証の許可を行うことを示す関係を示す。
CIインスタンス(433)は、認証情報が例えばパスワードである場合、属性「PasswordChangeInformation」についての属性値「Knowledgeファイル名」を含む。属性値「Knowledge」は、ナレッジ(Knowledge)の中の認証情報の変更方法へのポインタである。ナレッジについては、図6Bを参照されたい。
関係モデル(434)は、関係「Authenticates」を定義する。関係モデル(434)はまた、対象となるデータ・モデルがBであることを定義する。
図5Cでは、CIインスタンス自体が関係を含む。CIインスタンス自体が関係を含んでいてもよいが、図5Dに示すように、CIインスタンスとは別個に、関係の数だけ、関係インスタンスが作成されてもよい。
【0073】
図5Dは、図5Cの関係モデル「Authenticates」及びその関係インスタンスの例を示す。
関係モデル(441)は、関係「Authenticates」についてのモデルである。なお、関係インスタンスを使用する場合、基点と宛先とを入れ替えることで逆方向の関係を表現することが可能であるので、1つの関係モデル及び関係インスタンスを用いて両方向の関係を示すことが可能である。
関係モデル(441)は、「Authenticates」の関係の「基点となるモデル」及び「宛先となるモデル」の各定義を含む。関係モデル「Authenticates」の基点となるモデルは認証されるサーバ・システムについてのデータ・モデルであり、宛先となるモデルは認証するクライアント・システムについてのデータ・モデルである。
また、関係モデル(441)はまた、関係が、1対1の関係であるのか、1対多の関係であるのか、多対1の関係であるのか、又は多対多の関係であるのかを示すために、基点側及び宛先側の各数に関する定義を含む。
関係インスタンス(443)はまた、どのような関係であるのかを示す「関係モデル名」、関係の基点と宛先となる各CIインスタンスを示す値を持つ。順方向の関係モデル名と逆方向の関係モデル名は1対1に対応するので、インスタンスでは順方向のモデル名のみを持つようにすることが望ましい。
【0074】
図6A〜6Cは、本発明の実施態様である、認証関係のディスカバリを行うために使用される方法、並びに該方法において使用されるセンサー、ナレッジ及びシグネチャーを示す。
【0075】
図6Aは、本発明の実施形態である、CMDBにおける認証の依存関係のディスカバリに使用されるセンサーを示す。
アプリケーション・サーバ・システムC(601)上には、アプリケーション・ソフトウェアA(602)がインストールされ、稼働している。
アプリケーション・ソフトウェアA(602)は、サーバ・システムS(603)に接続するために、ID及びパスワードなどの認証情報をサーバ・システムS(603)に送信する。
サーバ・システムS(603)は、アプリケーション・ソフトウェアA(602)からの認証情報の検証要求に応じて、アプリケーション・ソフトウェアA(602)から送信された認証情報を検証する。
認証の依存関係のセンサー(604)は、ナレッジ(図6Cを参照)に基づいてアプリケーション・ソフトウェアA(602)のプロパティファイルを取得し、そのキーからDB名を取得する。
【0076】
図6Bは、図6Aで説明したセンサーを用いた認証関係のディスカバリ方法を示す。
アプリケーション・ソフトウェアの認証方法のナレッジ(Knowledge)を定義しておくことにより、アプリケーション・ソフトウェアとサーバ・システムの認証情報の依存関係を自動的に発見することが可能である。
ディスカバリの処理は、3つのステップを含む。
ステップ611.アプリケーション・サーバ・システムC(601)及びサーバ・システムS(603)のディスカバリ。なお、このステップは、既知のディスカバリ技術を用いて当業者が適宜実施できるので、ここでは詳細は述べない。
ステップ612.アプリケーション・ソフトウェアA(602)のディスカバリ。なお、このステップは、既知のディスカバリ技術を用いて当業者が適宜実施できるので、ここでは詳細は述べない。
ステップ613.本発明の実施態様に従うナレッジ適用による認証の関係のディスカバリ。
ステップ3におけるディスカバリに必要になるナレッジは、あるアプリケーション・ソフトウェアがどのようなサーバ・システムに認証を行うか、及びサーバ・システムの名はどこに記録されているかという情報である。
【0077】
ステップ611
ディスカバリ技術によって、アプリケーション・サーバ・システムC(601)及びサーバ・システムS(603)の存在が検出されて、アプリケーション・サーバ・システムC(601)及びサーバ・システムS(603)の各CIのインスタンスがCMDB内に登録される。同様に、ディスカバリ技術によって、ネットワーク接続の状況からアプリケーション・サーバ・システムC(601)とサーバ・システムS(603)とが関係していることが検出されて、その関係がまたCMDB内に登録される。ディスカバリ技術は、例えば、IBM Tivoli Application Dependency Discovery Manager(商標)に実装されている技術が用いられる。
ステップ612
次に、アプリケーション・サーバ・システムC(601)が導入されているシステムに対してシグネチャー(signature)を使用したインベントリを行う。シグネチャーによるインストールされたアプリケーション・ソフトウェアのインベントリは、例えばIBM Tivoli Provisioning Manager(商標)V5のソフトウェア インベントリ(Software Inventory)機能として実装されている。アプリケーション・ソフトウェアのインベントリ処理によって、アプリケーション・ソフトウェアA(602)が検出される。ここで、アプリケーション・ソフトウェアA(602)のCIインスタンスが作成され、さらに稼働しているアプリケーション・サーバ・システムC(601)とアプリケーション・ソフトウェアA(602)との関係がCMDB内に登録される。アプリケーション・サーバ・システムC(601)とアプリケーション・ソフトウェアA(602)との関係は、例えば、「C has A」である。
ステップ613
次に、認証関係のナレッジを検出されたアプリケーション・ソフトウェアA(602)に適用すると、認証の依存関係のセンサー(604)が、ナレッジに基づいてアプリケーション・ソフトウェアA(602)のプロパティファイルbbbを取得し、そのキーaaaからDB名を取得することができる。認証の依存関係のセンサー(604)が、取得したDB名がサーバ・システムS(603)上に存在することを確認することにより、アプリケーション・ソフトウェアA(602)がサーバ・システムS(603)に対して認証を行うという関係インスタンスをCMDB内に登録することが可能である。該関係インスタンスは、例えば、「S authenticates A」である。
【0078】
図6Cは、図6Bの認証関係のディスカバリ方法で使用されるシグネチャー及びナレッジの概念図を示す。
1.シグネチャー(621)は、例えば、アプリケーション・ソフトウェア名、及びシグネチャーを含む。
シグネチャー(622)は、シグネチャーを使用したインベントリで使用するシグネチャーの例である。
上段の製品Aについてのシグネチャー(622)は、ベンダーIBMが提供する製品Aがインストールされているかどうかが、サーバzzzzにディレクトリyyyyが存在し、その下にファイルxxxxが存在するかどうかによって判定可能であることを示している。
下段の製品Bについてのシグネチャー(623)は、ベンダーYYが提供する製品Bがインストールされているかどうかが、レジストリwww\YYキーが存在し、その下にタイプDWORDの値vvvが存在するかどうかによって判定可能であることを示している。
2.ナレッジ(621)は、例えば、アプリケーション・ソフトウェア名、対認証、認証方法、及び認証ターゲットを含む。認証ターゲットは、認証情報、例えばパスワードの変更に必要な情報である。
製品Aについてのナレッジ(625)は、最初のレコード(対認証)において、ベンダーIBMが提供する製品AがDBサーバに対して認証を行うこと、次のレコード(認証方法)において、該DBに対する認証をパスワードを使用して行うこと、及び最後のレコード(認証ターゲット)において、プロパティファイルbbbを取得してその中のDB名キーaaaの値を読み取ることによって認証を行うDB名を判定できることを示している。
製品Bについてのナレッジ(626)は、最初のレコード(対認証)において、ベンダーYYが提供する製品BがDBサーバに対して認証を行うこと、次のレコード(認証方法)において、該DBに対する認証をパスワードを使用して行うこと、及び最後のレコード(認証ターゲット)において、レジストリに記録されているDB名を判定できることを示している。
【0079】
図7Aは、本発明の実施形態の第1のシナリオである、認証方法の変更のためのシステム構成及びそれに関連付けられたデータを示す。
クライアント・システム(701)は、アプリケーション・ソフトウェアA1を実行する。アプリケーション・ソフトウェアA1は、サーバ・システムS(702)にあるデータを使用するために、サーバ・システムS(702)に対して認証情報を送付する。
クライアント・システム(701)のサーバ・システムS(502)に対する認証関係は、上記図5A及び図5Bの説明において述べたように、アプリケーション・ソフトウェアA1のCIについての関係「AuthenticatedBy」によってCMDB内に定義される。
アプリケーション・ソフトウェアA1は、例えば、在庫管理システムといった稼働単位のアプリケーション・ソフトウェアである。アプリケーション・ソフトウェアA1が例えばベンダー:IBMの製品:Aという製品を用いて実現されている場合(703)、アプリケーション・ソフトウェアA1のCIインスタンスは、アプリケーション・ソフトウェアA1は製品Aを用いて実現されているという関係を含む。該関係は、例えば、「runsAt」、「runsOn」によって定義される。該関係は、例えば、認証情報の変更のために、WASを停止すること、又は起動することの手順において用いられる。
アプリケーション・ソフトウェアA1のCIインスタンスは、アプリケーション・ソフトウェアA1の起動に要する時間(スタートアップ)及びアプリケーション・ソフトウェアA1の終了に要する時間(シャットダウン)を属性として有してもよい。下記図7Bでは、属性「スタートアップ」の属性値は「20分」であり、属性「シャットダウン」の属性値は「10分」である。これら属性値は、例えば、管理者によって手動で入力されてもよい。
稼働時間テーブル(705)は、認証情報の変更可能な時間帯の自動的な検索を行うために用いられる。稼働時間テーブル(705)は、例えば、各曜日の稼働時間についてのデータを含む。
【0080】
図7Bは、図7Aで示すアプリケーション・ソフトウェアA1のCIインスタンス、データ・モデル及び関係モデルの例を示す。
データ・モデル(711)は、図5Bのデータ・モデル(421)のモデル属性にある属性に加えて、「StartUp」及び「ShutDown」を含む。属性「StartUp」は、アプリケーション・ソフトウェアA1の起動に要する時間(スタートアップ)を定義する。属性「ShutDown」は、アプリケーション・ソフトウェアA1の終了に要する時間(シャットダウン)を定義する。
CIインスタンス(713)は、図5BのCIインスタンス(423)の属性値に加えて、「StartUp」及び「ShutDown」の各属性値を含む。CIインスタンス(713)では、アプリケーション・ソフトウェアA1の属性「StartUp」の属性値は20分であり、及びアプリケーション・ソフトウェアA1の属性「ShutDown」の属性値は10分である。
【0081】
図7Cは、図7Aにおける認証情報の変更のために使用されるナレッジを示す。
ナレッジ(Knowledge)は、サーバ・システムの認証情報の変更に同期して、クライアント・システムの認証情報を変更するために使用される。
ナレッジは、例えば、アプリケーション・ソフトウェア情報、認証方法、アプリケーションの停止が必要かどうか、アプリケーション・ソフトウェアの停止処理方法及び起動処理方法、認証情報の変更に要する所要時間、並びに認証情報(例えばパスワード)の変更方法を記録する。図7Cでは、ナレッジは、便宜的に表(721)及び表(722)と分かれて示されているが、通常は1つの表でありうる。
「アプリケーション情報」は、アプリケーション・ソフトウェアの名前及び該アプリケーション・ソフトウェアを提供するベンダー名を含む。
「認証方法」は、クライアント・システムがサーバ・システムとの接続に用いる認証方法を定義する。認証方法は、例えば、パスワード又はデジタル証明書である。
アプリケーションの停止が必要?」は、クライアント・システム側の認証情報の変更において、アプリケーション・ソフトウェアの停止が必要であるかどうかを示し、アプリケーションの停止が不要である場合には、停止処理方法及び起動処理方法を記述する必要がない。「アプリケーションの停止が必要かどうかは、例えば、Yes又はNoで示される。
「アプリケーション・ソフトウェアの停止処理方法は、認証情報を変更する前に該アプリケーション・ソフトウェアを停止する方法を記述する。なお、停止する方法は、自動的に、半自動的に又は手動で行われうる。停止する方法の記述には、自動的に行われる部分のみが記載されていてもよい。
「アプリケーション・ソフトウェアの起動処理方法」は、認証情報を変更した後に該アプリケーション・ソフトウェアを起動する方法を記述する。なお、起動する方法は、自動的に、半自動的に又は手動で行われうる。起動する方法の記述には、自動的に行われる部分のみが記載されていてもよい。
「認証情報の変更に要する所要時間」は、変更可能時間帯の自動検索を行うために、クライアント側のパスワードの変更所要時間を記述する。クライアント・システムの認証情報の変更所要時間が必要な理由は、上記アプリケーションの終了、起動の所要時間、認証情報の変更所要時間を合計してクライアント・システム側の変更にかかる時間を求めて、サービス提供時間帯へ影響しない時間を検索するためである。
ナレッジは、CMDB(図4A、404)内にメタデータとして、又は変更同期システム(図4A、403)内にナレッジとして格納されうる。ナレッジは、CMDB(404)内にメタデータとして格納される場合、クライアント・システムについてのCIインスタンスの属性において、ナレッジ中の特定の箇所(例えば、IBMの製品Aに関するナレッジ)へのポインタが示される。ナレッジのメタデータは、クライアント・システムについてのCIインスタンスのサブCIインスタンスとしてCMDB(404)内に用意されてもよい。
ナレッジは、一般的なアプリケーション・ソフトウェアについては、アプリケーション・ソフトウェアの提供者、例えばIBMによって提供されうる。アプリケーション・ソフトウェアの提供者は、ナレッジに加えて、アプリケーション・ソフトウェアの停止処理方法及び起動処理方法、並びに認証情報の変更方法及び認証情報の変更方法のデータを、ユーザが可読しうる形式の操作手順としてだけではなく、運用自動化製品、例えばIBMのTivoli Provisioning Manager(商標)で使用可能な形式において提供してもよい。
一般的なアプリケーション・ソフトウェアを用いずに独自に開発したアプリケーション・ソフトウェア(自社開発品)については、該独自のアプリケーション・ソフトウェアの開発者がナレッジを管理者に提供することが必要である。
なお、サーバ・システムの認証情報の変更は、例えば、既存のTIMを使用しても実現可能である。
【0082】
図7Dは、図7Aで説明した本発明の実施形態の第1のシナリオである、認証情報の変更処理のフローチャートを示す。
ステップ731では、管理者(401)が、ID管理システム(402)にサーバ・システムS(702)に対するパスワード変更を要求する。
ステップ732では、パスワードの変更の要求に応じて、ディスカバリ部(図2A、201)が、ディスカバリをするようにしてもよい。ディスカバリによって、構成要素の属性又は関係が更新されうる。
ステップ733では、変更同期システム(403)は、ID管理システム(402)からの情報の中でサーバ・システムS(702)のCIインスタンスを特定する。結果として、サーバ・システムS(702)が特定される。
ステップ734では、サーバ・システムS(802)のCIインスタンス間の関係を用いて、クライアント・システム又はクライアント・システム上のアプリケーション・ソフトウェアを特定する。
ステップ735では、変更同期システム(403)が認証情報の変更を実施するスケジュールを特定する。該スケジュールは、アプリケーション・ソフトウェアA1の稼働時間テーブル(705)を参照し、稼働時間以外の時間であって、アプリケーション・ソフトウェアA1の起動に要する時間(スタートアップ)及びその終了に要する時間(シャットダウン)を考慮して、上記稼働時間以外の時間内から選択される。
ステップ736では、プロビジョニング・システム(407)は、上記特定されたスケジュールに従い、クライアント・システム又はクライアント・システム上のアプリケーション・ソフトウェアの認証情報を変更する。
ステップ737では、プロビジョニング・システム(407)は、上記特定されたスケジュールに従いサーバ・システム又はサーバ・システム上のアプリケーション・ソフトウェアの認証情報を変更する。
なお、ステップ736とステップ737は、ステップ737及びステップ736の順に行われてもよく、又は同時に行われてもよい。
ステップ738では、クライアント・システムの起動又はクライアント・システム上のアプリケーション・ソフトウェアの起動が行われる。
【0083】
図8Aは、本発明の実施形態の第2のシナリオである、認証情報の変更処理が施されるシステムの適用例を示す。
図8Aの801〜805は、図7Aの701〜705にそれぞれ対応する。
管理者(図4、401)が、ID管理システム(図4、402)にサーバ・システムS(802)に対するパスワード変更を要求した場合について述べる。
変更同期システム(図4、403)は、ID管理システム(402)からの情報の中でサーバ・システムS(802)のCIインスタンスを特定できる属性、例えばホスト名(S)を用いて、CMDB(図4、404)内のサーバ・システムS(802)についてのCIインスタンスを特定する。変更同期システム(403)はさらに、CMDB(404)内でサーバ・システムS(802)と関係「Authenticates」で関係付けられたCIインスタンスを検索する。図8Aの例では、検索結果として、CMDB(404)から、アプリケーション・ソフトウェアA1(801)及びアプリケーション・ソフトウェアA2(806)が特定される。
【0084】
図8Bは、図8Aで説明した認証情報の関係の検索結果から作成される処理フローを示す。
変更同期システム(403)は、関係「Authenticates」の検索結果から、図8Bに示す処理フローを内部的に作成し、認証情報の変更に要する全体の所要時間を計算する。
ここで、サーバ・システムS(又はサーバ・システム上で稼働するアプリケーション、以下同じ)(802)の認証情報の変更に要する時間が、5分であるとする(815を参照)。
プロビジョニング・システム(407)がアプリケーション・ソフトウェアA1及びA2に対する処理を同時並行で実施可能である場合、認証情報の変更に要する時間は、アプリケーション・ソフトウェアA1について75(50+5+20)分であり(811、812、815及び816を参照)、アプリケーション・ソフトウェアA2について60(35+5+20)分である(813、814、815及び817を参照)。
プロビジョニング・システム(図4、406)がアプリケーション・ソフトウェアA1及びA2に対する処理を同時並行で実施可能でない場合は、認証情報の変更に要する時間は、130(50+35+5+20+20)である(811、812、813、814、815、816及び817を参照)。
以下では、アプリケーション・ソフトウェアA1及びA2に対する処理が同時並行で実施可能である場合を例として説明する。
変更同期システム(403)は、認証情報の変更に要する時間である75分(アプリケーション・ソフトウェアA1)及び60分(アプリケーション・ソフトウェアA2)の全体が、アプリケーション・ソフトウェアA1の稼働時間(805)及びアプリケーション・ソフトウェアA2の稼働時間(809)以外の共通の時間帯に収まる範囲を検索する。変更同期システム(403)は、検索の結果、アプリケーション・ソフトウェアA1については金曜日午後9時から月曜日午前6時45分までの間に変更処理が開始可能であることと判定し、アプリケーション・ソフトウェアA1については土曜日午後3時から月曜日午前6時までの間に変更処理が開始可能であると判定する。変更同期システム(403)は、上記可能と判断した結果から、土曜日午後3時から月曜日午前6時45分までの間に、アプリケーション・ソフトウェアA1及びA2、並びにサーバ・システムS(802)の認証情報の変更処理を開始可能であると判定する。該判定によって、アプリケーション・ソフトウェアA1の稼働時間(805)及びアプリケーション・ソフトウェアA2の稼働時間(809)以外の共通の時間帯を判定可能である。
該判定の結果は、管理者(401)の表示装置上に表示される。
また、該判定の結果は、変更同期システム(403)内に保存されるか、或いは、アプリケーション・ソフトウェアA1のCIインスタンス及びアプリケーション・ソフトウェアA2のCIインスタンス、並びにサーバ・システムS(802)のCIインスタンスの各属性値として、CMDB内に格納されてもよい。
変更同期システム(403)は、以下のステップを含む変更要求を作成する。変更同期システム(403)は、プロビジョニング・システム(407)に、以下に示す一連の認証情報の変更要求が、該認証情報の変更の開始すべき時間とともに渡される。変更システムは、変更管理プロセスによって変更要求が承認された後に、該変更要求をプロビジョニング・システム(407)に渡すようにしてもよい。変更管理プロセスとは、ITILに従い実施されるプロセスである。変更管理プロセスは、例えば、変更管理プロセス管理サーバ(図示せず)によって変更要求の承認プロセスが実施される。承認は、変更マネージャー(ヒトである)及び変更諮問委員会が承認を行う。
1. アプリケーション・ソフトウェアA1及びA2の停止
2. アプリケーション・ソフトウェアA1及びA2の認証情報の変更
3. サーバ・システムSの認証情報の変更
4. アプリケーション・ソフトウェアA1及びA2の起動
なお、アプリケーション・ソフトウェアA1及びA2に対する処理が同時並行で実施可能でない場合は、以下に示す一連の認証情報の変更要求が、該認証情報の変更の開始すべき時間とともに渡される。
1. アプリケーション・ソフトウェアA1の停止
2. アプリケーション・ソフトウェアA2の停止
3. アプリケーション・ソフトウェアA1の認証情報の変更
4. アプリケーション・ソフトウェアA2の認証情報の変更
5. サーバ・システムSの認証情報の変更
6. アプリケーション・ソフトウェアA1の起動
7. アプリケーション・ソフトウェアA2の起動
【0085】
なお、図8Bは、アプリケーション・ソフトウェアA1及びA2の各認証情報の変更後に、サーバ・システムS(802)の認証情報を変更する処理フローを示しているが、サーバ・システムS(802)の認証情報を変更後に、アプリケーション・ソフトウェアA1及びA2の各認証情報を変更してもよい。なお、エラーを起こさずに、アプリケーション・ソフトウェアA1及びA2を停止しないでサーバ・システムS(802)の認証情報を変更できるのは、アプリケーション・ソフトウェアA1及びA2がサーバ・システムS(802)との接続プールを有する場合である。この場合、変更同期システム(403)は、プロビジョニング・システム(407)に、以下示す一連の認証情報の変更要求が、該認証情報の変更の開始すべき時間とともに渡される。変更システムは、変更管理プロセスによって変更要求が承認された後に、該変更要求をプロビジョニング・システム(407)に渡すようにしてもよい。
アプリケーション・ソフトウェアA1及びA2に対する処理が同時並行で実施可能である場合
1. サーバ・システムSの認証情報の変更
2. アプリケーション・ソフトウェアA1及びA2の停止
3. アプリケーション・ソフトウェアA1及びA2の認証情報の変更
4. アプリケーション・ソフトウェアA1及びA2の起動
アプリケーション・ソフトウェアA1及びA2に対する処理が同時並行で実施可能でない場合
1. サーバ・システムSの認証情報の変更
2. アプリケーション・ソフトウェアA1の停止
3. アプリケーション・ソフトウェアA2の停止
4. アプリケーション・ソフトウェアA1の認証情報の変更
5. アプリケーション・ソフトウェアA2の認証情報の変更
6. アプリケーション・ソフトウェアA1の起動
7. アプリケーション・ソフトウェアA2の起動
【0086】
図8Cは、図8Aで示すサーバ・システムSのCIインスタンス、データ・モデル及び関係モデルの例を示す。
データ・モデル(821)は、図5Cのデータ・モデル(431)のモデルに対応する。
CIインスタンス(823)は、図5CのCIインスタンス(433)に対応する。CIインスタンス(823)の属性「Authenticates」は、属性値として、アプリケーション・ソフトウェアA1を認証することを示す「A1」及びアプリケーション・ソフトウェアA2を認証することを示す「A2」を有する。
関係モデル(824)は、図5Cの関係モデル(432)に対応する。
【0087】
図8Dは、図8Aで説明した本発明の実施形態の第2のシナリオである、認証情報の変更処理のフローチャートを示す。
ステップ831では、管理者(401)が、ID管理システム(402)にサーバ・システムS(802)に対するパスワード変更を要求する。
ステップ832では、パスワードの変更の要求に応じて、ディスカバリ部(図2A、201)が、ディスカバリをするようにしてもよい。ディスカバリによって、構成要素の属性又は関係が更新されうる。
ステップ823では、変更同期システム(403)は、ID管理システム(402)からの情報の中でサーバ・システムS(802)のCIインスタンスを特定する。結果として、サーバ・システムS(802)が特定される。
ステップ834では、サーバ・システムS(802)のCIインスタンス間の関係を用いて、クライアント・システム上のアプリケーション・ソフトウェアA1及びA2を特定する。
ステップ835では、変更同期システム(403)が認証情報の変更を実施するスケジュールを特定する。
ステップ836では、プロビジョニング・システム(407)は、上記特定されたスケジュールに従い、クライアント・システム又はクライアント・システム上のアプリケーション・ソフトウェアの認証情報を変更する。
ステップ837では、プロビジョニング・システム(407)は、上記特定されたスケジュールに従いサーバ・システム又はサーバ・システム上のアプリケーション・ソフトウェアの認証情報を変更する。
なお、ステップ836とステップ837は、ステップ837及びステップ836の順に行われてもよく、又は同時に行われてもよい。
ステップ838では、クライアント・システムの起動又はクライアント・システム上のアプリケーション・ソフトウェアの起動が行われる。
【0088】
図9Aは、本発明の実施形態の第3のシナリオである、サーバ・システムSがバッチジョブでも使用される場合の認証情報の変更処理が施されるシステムの適用例を示す。
図9Aの901〜909は、図8Aの801〜809にそれぞれ対応する。
サーバ・システムS(902)がバッチジョブにおいても使用される場合、ジョブのスケジューリング・システム(910)にジョブのスケジュールを記録するとともに、バッチジョブからサーバ・システムS(902)への関係、例えば「Uses」を格納しておく。該関係「Uses」は、CMDB内のジョブのCIインスタンスの属性として記録されてもよい。該関係は、実行予定のジョブの中からサーバ・システムS(902)を使用するバッチジョブの検出、認証情報の変更が必要となるバッチジョブの検出、及び認証情報の変更可能な時間帯からジョブの実行時間帯の除外のために使用されうる。
サーバ・システムS(902)がバッチジョブで使用されていない場合、図7Dの説明において述べたように、土曜日午後3時から月曜日午前6時45分までの間に、アプリケーション・ソフトウェアA1及びA2、並びにサーバ・システムSの認証情報の変更処理を開始可能であることが管理者に提示される。
なお、例えば、バッチジョブがCMDBと連携していない場合、又はバッチジョブのスケジュールが他のシステムと連携していない場合では、管理者がバッチジョブを考慮して図7Dの共通の時間帯の判定結果に基づいて、認証情報の変更の実行タイミングを指示することが可能である。
【0089】
図9Bは、図9Aで説明した本発明の実施形態の第3のシナリオである、サーバ・システムについてのCIインスタンス、データ・モデル及び関係モデルを示す。
データ・モデル(911)は、図5Cのデータ・モデル(431)に対応する。データ・モデル(911)はさらに、バッチジョブについての属性「BatchJobInformation」を含む。
CIインスタンス(913)は、図5CのCIインスタンス(433)に対応する。CIインスタンス(913)はさらに、属性「BatchJobInformation」についての属性値「バッチ・ジョブ・ファイル名」を含む。
【0090】
図9Cは、図9Aで説明した本発明の実施形態の第3のシナリオである、認証情報の変更処理のフローチャートを示す。
ステップ921では、管理者(401)が、ID管理システム(402)にサーバ・システムS(902)に対するパスワード変更を要求する。
ステップ922では、パスワードの変更の要求に応じて、ディスカバリ部(図2A、201)が、ディスカバリをするようにしてもよい。ディスカバリによって、構成要素の属性又は関係が更新されうる。
ステップ923では、変更同期システム(403)は、ID管理システム(402)からの情報の中でサーバ・システムS(902)のCIインスタンスを特定する。結果として、サーバ・システムS(902)が特定される。
ステップ924では、サーバ・システムS(902)のCIインスタンス間の関係を用いて、クライアント・システム上のアプリケーション・ソフトウェアA1及びA2を特定する。
ステップ925では、変更同期システム(403)が認証情報の変更を実施するスケジュールを特定する。該変更のために、スケジューリング・システム(910)に記録されたジョブのスケジュールが使用される。
ステップ926では、プロビジョニング・システム(407)は、上記特定されたスケジュールに従い、クライアント・システム又はクライアント・システム上のアプリケーション・ソフトウェアの認証情報を変更する。
ステップ927では、プロビジョニング・システム(407)は、上記特定されたスケジュールに従いサーバ・システム又はサーバ・システム上のアプリケーション・ソフトウェアの認証情報を変更する。
なお、ステップ926とステップ927は、ステップ927及びステップ926の順に行われてもよく、又は同時に行われてもよい。
ステップ928では、クライアント・システムの起動又はクライアント・システム上のアプリケーション・ソフトウェアの起動が行われる。
【0091】
以上、実施形態に基づき本発明を説明してきたが、本実施形態に記載されている内容は、本発明の一例であり、当業者なら、本発明の技術的範囲を逸脱することなく、様々な変形例に想到できることが、明らかであろう。例えば、CMDBとそれに格納されたCIではなく、別の形式のデータベースとCIの形式を用いることもできる。また、Java以外に、C++、C#など、ネットワーク管理機能を持つAPIを呼び出すことのできる任意のコンピュータ開発環境を用いることができる。
【特許請求の範囲】
【請求項1】
第1の構成要素に第2の構成要素が接続するために、前記第1の構成要素についての認証情報(以下、第1の認証情報)と前記第2の構成要素から前記第1の構成要素に送信される認証情報(以下、第2の認証情報)とのマッチングをして認証することを要求する環境において、該第2の認証情報を変更するためのコンピュータ・システムであって、
構成要素の少なくとも1つの所定の属性及び該構成要素と他の構成要素との関係を格納するリポジトリであって、前記属性及び関係の少なくとも1は、構成要素についての情報を検出するディスカバリによって更新されうる、前記リポジトリと、
前記第1の認証情報の変更要求に応じて、前記関係に基づいて、該第1の認証情報の変更によって影響を受ける第2の構成要素を特定する特定部と、
前記特定された第2の構成要素から送信される第2の認証情報の変更を指示する指示部と
を含む、前記コンピュータ・システム。
【請求項2】
前記指示部が、前記第1の認証情報の変更をさらに指示する、請求項1に記載のコンピュータ・システム。
【請求項3】
前記特定部が、前記属性に基づいて、前記特定された第2の構成要素及び第1の構成要素の少なくとも1の運用スケジュールを特定する、請求項1に記載のコンピュータ・システム。
【請求項4】
前記特定部が、前記特定された第2の構成要素及び前記第1の構成要素の各運用スケジュール、又はジョブ・スケジュール・システムによって管理されている第2の構成要素及び前記第1の構成要素の各運用スケジュールに基づいて、前記第1の認証情報、又は前記第2及び前記第1の認証情報の変更が可能な時期を決定する、請求項1に記載のコンピュータ・システム。
【請求項5】
前記指示部が、前記決定された時期において、前記第2の構成要素を停止し、該第2の認証情報の変更を指示する、請求項4に記載のコンピュータ・システム。
【請求項6】
前記指示部が、前記第2の認証情報の変更に応じて、前記第1の認証情報の変更をさらに指示する、請求項5に記載のコンピュータ・システム。
【請求項7】
前記特定部が、前記特定された第2の構成要素及び前記第1の構成要素の各運用スケジュール、又はジョブ・スケジュール・システムによって管理されている第2の構成要素及び前記第1の構成要素の各運用スケジュールに基づいて、前記第1の認証情報、又は前記第2及び前記第1の認証情報の変更が可能な時期をユーザが決定することを許す、請求項1に記載のコンピュータ・システム。
【請求項8】
前記指示部が、前記決定された時期において、前記第2の構成要素を停止し、該第2の認証情報の変更を指示する、請求項7に記載のコンピュータ・システム。
【請求項9】
前記指示部が、前記第2の認証情報の変更に応じて、前記第1の認証情報の変更をさらに指示する、請求項8に記載のコンピュータ・システム。
【請求項10】
前記特定部が、前記第1の認証情報の変更要求に応じて、該変更要求内の前記第1の構成要素を特定する情報を用いて、前記リポジトリ内に格納された該第1の構成要素についての属性又は関係データを特定する、請求項1に記載のコンピュータ・システム。
【請求項11】
前記関係が、前記第1の認証情報と前記第2の認証情報との間の関係を含む、請求項1に記載のコンピュータ・システム。
【請求項12】
前記特定部が、前記第1の認証情報と前記第2の認証情報との間の関係に基づいて、前記第2の構成要素を特定する、請求項11に記載のコンピュータ・システム。
【請求項13】
前記属性が、運用スケジュールを定義した運用スケジュール・ファイルへのポインタを含む、又は運用スケジュールについての属性を含む、請求項3に記載のコンピュータ・システム。
【請求項14】
前記特定部が、前記運用スケジュール・ファイル又は前記運用スケジュールの属性に基づいて、前記特定された第2の構成要素及び前記第1の構成要素の少なくとも1の運用スケジュールを特定する、請求項13に記載のコンピュータ・システム。
【請求項15】
前記運用スケジュール・ファイル又は前記運用スケジュールの属性が、アプリケーション・ソフトウェアのサービス提供時間、並びにアプリケーション・ソフトウェアの起動及び停止の所要時間を含む、請求項14に記載のコンピュータ・システム。
【請求項16】
前記運用スケジュール・ファイル又は前記運用スケジュールの属性が、アプリケーション・ソフトウェアの認証方法、前記第1又は前記第2の認証情報の変更方法、パスワードの変更の所要時間をさらに含む、請求項15に記載のコンピュータ・システム。
【請求項17】
前記特定部が、前記第1の構成要素についての関係に基づいて、前記第2の構成要素を特定する、請求項1に記載のコンピュータ・システム。
【請求項18】
前記特定部が、前記第2の構成要素及び前記第1の構成要素についての各属性に基づいて、前記運用スケジュールを特定する、請求項3に記載のコンピュータ・システム。
【請求項19】
前記第1の構成要素及び前記第2の構成要素それぞれが、コンピュータ・システム又はソフトウェアのいずれかである、請求項1に記載のコンピュータ・システム。
【請求項20】
第1の構成要素に第2の構成要素が接続するために、前記第1の構成要素についての認証情報(以下、第1の認証情報)と前記第2の構成要素から前記第1の構成要素に送信される認証情報(以下、第2の認証情報)とのマッチングをして認証することを要求する環境において、該第2の認証情報を変更するための方法であって、
構成要素の少なくとも1つの所定の属性及び該構成要素と他の構成要素との関係をリポジトリに格納するステップであって、前記属性及び関係の少なくとも1は、構成要素についての情報を検出するディスカバリによって更新されうる、前記格納するステップと、
前記第1の認証情報の変更要求に応じて、前記関係に基づいて、該第1の認証情報の変更によって影響を受ける第2の構成要素を特定するステップと、
前記特定された第2の構成要素から送信される第2の認証情報の変更を指示するステップと
を含む、前記方法。
【請求項21】
前記指示するステップが、前記第1の認証情報の変更を指示するステップをさらに含む、請求項20に記載の方法。
【請求項22】
第1の構成要素に第2の構成要素が接続するために、前記第1の構成要素についての認証情報(以下、第1の認証情報)と前記第2の構成要素から前記第1の構成要素に送信される認証情報(以下、第2の認証情報)とのマッチングをして認証することを要求する環境において、該第2の認証情報を変更するための方法であって、
構成要素の少なくとも1つの所定の属性及び該構成要素と他の構成要素との関係をリポジトリに格納するステップであって、前記属性及び関係の少なくとも1は、構成要素についての情報を検出するディスカバリによって更新されうる、前記格納するステップと、
前記第1の認証情報の変更要求に応じて、前記関係に基づいて、該第1の認証情報の変更によって影響を受ける第2の構成要素を特定するステップと、
前記属性に基づいて、前記特定された第2の構成要素及び第1の構成要素の運用スケジュールを特定するステップと、
前記特定された第2の構成要素及び前記第1の構成要素の各運用スケジュールに基づいて、前記第2及び前記第1の認証情報の変更が可能な時期を決定するステップと、
前記決定された時期において、前記特定された第2の構成要素から送信される第2の認証情報の変更を指示するステップと、
前記第1の認証情報の変更を指示するステップと
を含む、前記方法。
【請求項23】
コンピュータ・システムに、請求項20〜22のいずれか一項に記載の方法の各ステップを実行させるコンピュータ・プログラム。
【請求項1】
第1の構成要素に第2の構成要素が接続するために、前記第1の構成要素についての認証情報(以下、第1の認証情報)と前記第2の構成要素から前記第1の構成要素に送信される認証情報(以下、第2の認証情報)とのマッチングをして認証することを要求する環境において、該第2の認証情報を変更するためのコンピュータ・システムであって、
構成要素の少なくとも1つの所定の属性及び該構成要素と他の構成要素との関係を格納するリポジトリであって、前記属性及び関係の少なくとも1は、構成要素についての情報を検出するディスカバリによって更新されうる、前記リポジトリと、
前記第1の認証情報の変更要求に応じて、前記関係に基づいて、該第1の認証情報の変更によって影響を受ける第2の構成要素を特定する特定部と、
前記特定された第2の構成要素から送信される第2の認証情報の変更を指示する指示部と
を含む、前記コンピュータ・システム。
【請求項2】
前記指示部が、前記第1の認証情報の変更をさらに指示する、請求項1に記載のコンピュータ・システム。
【請求項3】
前記特定部が、前記属性に基づいて、前記特定された第2の構成要素及び第1の構成要素の少なくとも1の運用スケジュールを特定する、請求項1に記載のコンピュータ・システム。
【請求項4】
前記特定部が、前記特定された第2の構成要素及び前記第1の構成要素の各運用スケジュール、又はジョブ・スケジュール・システムによって管理されている第2の構成要素及び前記第1の構成要素の各運用スケジュールに基づいて、前記第1の認証情報、又は前記第2及び前記第1の認証情報の変更が可能な時期を決定する、請求項1に記載のコンピュータ・システム。
【請求項5】
前記指示部が、前記決定された時期において、前記第2の構成要素を停止し、該第2の認証情報の変更を指示する、請求項4に記載のコンピュータ・システム。
【請求項6】
前記指示部が、前記第2の認証情報の変更に応じて、前記第1の認証情報の変更をさらに指示する、請求項5に記載のコンピュータ・システム。
【請求項7】
前記特定部が、前記特定された第2の構成要素及び前記第1の構成要素の各運用スケジュール、又はジョブ・スケジュール・システムによって管理されている第2の構成要素及び前記第1の構成要素の各運用スケジュールに基づいて、前記第1の認証情報、又は前記第2及び前記第1の認証情報の変更が可能な時期をユーザが決定することを許す、請求項1に記載のコンピュータ・システム。
【請求項8】
前記指示部が、前記決定された時期において、前記第2の構成要素を停止し、該第2の認証情報の変更を指示する、請求項7に記載のコンピュータ・システム。
【請求項9】
前記指示部が、前記第2の認証情報の変更に応じて、前記第1の認証情報の変更をさらに指示する、請求項8に記載のコンピュータ・システム。
【請求項10】
前記特定部が、前記第1の認証情報の変更要求に応じて、該変更要求内の前記第1の構成要素を特定する情報を用いて、前記リポジトリ内に格納された該第1の構成要素についての属性又は関係データを特定する、請求項1に記載のコンピュータ・システム。
【請求項11】
前記関係が、前記第1の認証情報と前記第2の認証情報との間の関係を含む、請求項1に記載のコンピュータ・システム。
【請求項12】
前記特定部が、前記第1の認証情報と前記第2の認証情報との間の関係に基づいて、前記第2の構成要素を特定する、請求項11に記載のコンピュータ・システム。
【請求項13】
前記属性が、運用スケジュールを定義した運用スケジュール・ファイルへのポインタを含む、又は運用スケジュールについての属性を含む、請求項3に記載のコンピュータ・システム。
【請求項14】
前記特定部が、前記運用スケジュール・ファイル又は前記運用スケジュールの属性に基づいて、前記特定された第2の構成要素及び前記第1の構成要素の少なくとも1の運用スケジュールを特定する、請求項13に記載のコンピュータ・システム。
【請求項15】
前記運用スケジュール・ファイル又は前記運用スケジュールの属性が、アプリケーション・ソフトウェアのサービス提供時間、並びにアプリケーション・ソフトウェアの起動及び停止の所要時間を含む、請求項14に記載のコンピュータ・システム。
【請求項16】
前記運用スケジュール・ファイル又は前記運用スケジュールの属性が、アプリケーション・ソフトウェアの認証方法、前記第1又は前記第2の認証情報の変更方法、パスワードの変更の所要時間をさらに含む、請求項15に記載のコンピュータ・システム。
【請求項17】
前記特定部が、前記第1の構成要素についての関係に基づいて、前記第2の構成要素を特定する、請求項1に記載のコンピュータ・システム。
【請求項18】
前記特定部が、前記第2の構成要素及び前記第1の構成要素についての各属性に基づいて、前記運用スケジュールを特定する、請求項3に記載のコンピュータ・システム。
【請求項19】
前記第1の構成要素及び前記第2の構成要素それぞれが、コンピュータ・システム又はソフトウェアのいずれかである、請求項1に記載のコンピュータ・システム。
【請求項20】
第1の構成要素に第2の構成要素が接続するために、前記第1の構成要素についての認証情報(以下、第1の認証情報)と前記第2の構成要素から前記第1の構成要素に送信される認証情報(以下、第2の認証情報)とのマッチングをして認証することを要求する環境において、該第2の認証情報を変更するための方法であって、
構成要素の少なくとも1つの所定の属性及び該構成要素と他の構成要素との関係をリポジトリに格納するステップであって、前記属性及び関係の少なくとも1は、構成要素についての情報を検出するディスカバリによって更新されうる、前記格納するステップと、
前記第1の認証情報の変更要求に応じて、前記関係に基づいて、該第1の認証情報の変更によって影響を受ける第2の構成要素を特定するステップと、
前記特定された第2の構成要素から送信される第2の認証情報の変更を指示するステップと
を含む、前記方法。
【請求項21】
前記指示するステップが、前記第1の認証情報の変更を指示するステップをさらに含む、請求項20に記載の方法。
【請求項22】
第1の構成要素に第2の構成要素が接続するために、前記第1の構成要素についての認証情報(以下、第1の認証情報)と前記第2の構成要素から前記第1の構成要素に送信される認証情報(以下、第2の認証情報)とのマッチングをして認証することを要求する環境において、該第2の認証情報を変更するための方法であって、
構成要素の少なくとも1つの所定の属性及び該構成要素と他の構成要素との関係をリポジトリに格納するステップであって、前記属性及び関係の少なくとも1は、構成要素についての情報を検出するディスカバリによって更新されうる、前記格納するステップと、
前記第1の認証情報の変更要求に応じて、前記関係に基づいて、該第1の認証情報の変更によって影響を受ける第2の構成要素を特定するステップと、
前記属性に基づいて、前記特定された第2の構成要素及び第1の構成要素の運用スケジュールを特定するステップと、
前記特定された第2の構成要素及び前記第1の構成要素の各運用スケジュールに基づいて、前記第2及び前記第1の認証情報の変更が可能な時期を決定するステップと、
前記決定された時期において、前記特定された第2の構成要素から送信される第2の認証情報の変更を指示するステップと、
前記第1の認証情報の変更を指示するステップと
を含む、前記方法。
【請求項23】
コンピュータ・システムに、請求項20〜22のいずれか一項に記載の方法の各ステップを実行させるコンピュータ・プログラム。
【図1A】
【図1B】
【図2A】
【図2B】
【図2C】
【図3A】
【図3B】
【図4A】
【図4B】
【図4C】
【図5A】
【図5B】
【図5C】
【図5D】
【図6A】
【図6B】
【図6C】
【図7A】
【図7B】
【図7C】
【図7D】
【図8A】
【図8B】
【図8C】
【図8D】
【図9A】
【図9B】
【図9C】
【図1B】
【図2A】
【図2B】
【図2C】
【図3A】
【図3B】
【図4A】
【図4B】
【図4C】
【図5A】
【図5B】
【図5C】
【図5D】
【図6A】
【図6B】
【図6C】
【図7A】
【図7B】
【図7C】
【図7D】
【図8A】
【図8B】
【図8C】
【図8D】
【図9A】
【図9B】
【図9C】
【公開番号】特開2010−186432(P2010−186432A)
【公開日】平成22年8月26日(2010.8.26)
【国際特許分類】
【出願番号】特願2009−31612(P2009−31612)
【出願日】平成21年2月13日(2009.2.13)
【出願人】(390009531)インターナショナル・ビジネス・マシーンズ・コーポレーション (4,084)
【氏名又は名称原語表記】INTERNATIONAL BUSINESS MASCHINES CORPORATION
【復代理人】
【識別番号】100085545
【弁理士】
【氏名又は名称】松井 光夫
【復代理人】
【識別番号】100118599
【弁理士】
【氏名又は名称】村上 博司
【Fターム(参考)】
【公開日】平成22年8月26日(2010.8.26)
【国際特許分類】
【出願日】平成21年2月13日(2009.2.13)
【出願人】(390009531)インターナショナル・ビジネス・マシーンズ・コーポレーション (4,084)
【氏名又は名称原語表記】INTERNATIONAL BUSINESS MASCHINES CORPORATION
【復代理人】
【識別番号】100085545
【弁理士】
【氏名又は名称】松井 光夫
【復代理人】
【識別番号】100118599
【弁理士】
【氏名又は名称】村上 博司
【Fターム(参考)】
[ Back to top ]