层级定义管理部(012)存储层级间的顺序。组织信息管理部(013)存储按照每个层级的组合来示出层级要素的对的信息。任务分配管理部(011)存储允许访问的条件与特定的层级要素对应的信息。处理受理部(005)输入请求由用户向资源进行访问的操作请求。F‑RBAC部(006)反复以下的动作,判别与上述用户对应的层级要素,根据层级间的顺序,从组织信息管理部(013)的信息中提取与所判别的层级要素成对的上一级的层级的层级要素,并提取与所提取的层级要素成对的上一级的层级的层级要素,对照所判别的层级要素以及所提取的层级要素与利用任务分配管理部(011)定义的层级要素,判定是否允许访问。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及采用层级构造的访问控制。
技术介绍
作为用于实现云服务或SaaS (Software as a Service:软件即服务)的基础技术,具有由多个企业(租户)共用一个应用程序(以下,称为应用)的“多租户管理技术”。作为多租户管理技术的目的,可举出由于多个企业共享应用,削减了硬件(H/W)资源以及软件(S/W)资源,削减成本。在现有技术中,可通过使用户的属性与访问权限对应来进行灵活的访问权限设定(例如专利文献I)。在专利文献I中,通过“用户信息表”来管理租户/部门等的属性,而不仅仅是用户,通过“访问权限分配表”,按照进行访问控制的权限来管理具有哪种属性的用户能够利用应用。现有技术文献专利文献专利文献1:日本特开2012-69087号公报
技术实现思路
专利技术要解决的课题在多租户应用程序中,不仅能新开发系统,有时为了削减开发成本,还能够最大限度地有效利用以往由单一租户利用的应用而供多个租户利用。另外,有时为了扩大服务范围,原本由某大厦利用的应用程序也可以被其它大厦或属于其它大厦的租户利用。S卩,属于大厦的某租户也入住了其它大厦,有时需要跨过大厦对租户设定访问控制。因此,需要从大厦、租户、公司内的总务部、营业部等组织这样的顺序的层级构造,在某一时刻变更为租户、大厦、组织这样的层级构造。在专利文献I中,不仅没有提到历史管理,而且也没有提到组织层级构造。假设在以专利文献I的技术为基础来实现上述要求时,如果组织层级构造变更,则需要全部重新评价在组织层级构造变更的时刻所设定的访问权限分配。本专利技术的主要目的是解决这样的课题,其主要目的是即使在变更了层级构造的定义的情况下,也能将伴随于变更的数据修改作业的作业量限定为最小限度。解决问题的手段本专利技术的访问控制装置的特征是,具备:层级顺序信息存储部,其存储表示由多个层级构成的层级构造中的层级间的顺序的层级顺序信息;层级要素信息存储部,其存储层级要素信息,该层级要素信息按照层级的每个组合来表示属于不同的两个层级的相互关联的层级要素的对,该层级要素是构成层级的要素;访问允许条件信息存储部,其存储访问允许条件信息,该访问允许条件信息与特定的层级要素对应地示出访问允许条件,该访问允许条件是允许向被限制访问的访问限制资源进行访问的条件;访问请求接收部,其接收来自与任意的层级要素对应的用户的访问请求,该访问请求用于请求对访问限制资源进行访问;层级要素提取部,其反复以下动作直到到达特定的层级为止:判别与所述用户对应的层级要素,并且根据所述层级顺序信息所示的层级间的顺序,从所述层级要素信息中提取与所判别的层级要素成对的上一级的层级的层级要素或下一级的层级的层级要素,从所述层级要素信息中提取与所提取的层级要素成对的上一级的层级的层级要素或下一级的层级的层级要素;以及访问是否允许判定部,其对照由所述层级要素提取部判别的层级要素以及所提取的层级要素与所述访问允许条件所示的所述特定的层级要素,针对所述访问请求判定是否允许对所述访问限制资源进行访问。专利技术效果在本专利技术中,存储表示层级间的顺序的层级顺序信息,另外,存储按照每个层级的组合示出属于不同的两个层级的相互关联的层级要素的对的层级要素信息,在出现访问请求的时刻,以与进行访问请求的用户对应的层级要素为起点,根据层级顺序信息和层级要素信息来构建层级构造。这样,在本专利技术中,仅定义了层级间的上下关系而没有定义层级要素间的上下关系,所以,即使在层级构造发生变更的情况下,只要对层级顺序信息进行修改即可,可将修改作业的作业量限定为最小限度。【附图说明】图1是示出实施方式I的系统结构例的图。图2是示出实施方式I的访问控制装置的结构例的图。图3是示出实施方式I的操作请求的结构例的图。图4是示出由实施方式I的用户信息管理部管理的用户信息的例子的图。图5是示出由实施方式I的访问权限管理部管理的访问权限信息的例子的图。图6是示出由实施方式I的任务分配管理部管理的任务分配信息的例子的图。图7是示出由实施方式I的层级定义管理部管理的层级定义信息的例子的图。图8是示出由实施方式I的组织信息管理部管理的信息的例子的图。图9是示出实施方式I的业务逻辑部的结构例的图。图10是示出实施方式I的业务逻辑信息管理部的结构例的图。图11是示出实施方式I的处理受理部的动作例的流程图。图12是示出实施方式I的F-RBAC部的动作例的流程图。图13是示出实施方式I的业务逻辑部的动作例的流程图。图14是示出实施方式I的层级构造变更请求的例子的图。图15是示出实施方式I的F-RBAC部的动作例的流程图。图16是示出由实施方式I的层级定义管理部管理的层级顺序变更后的层级定义信息的例子的图。图17是示出由实施方式2的层级定义管理部管理的层级定义信息的例子的图。图18是示出实施方式2的业务逻辑信息管理部的结构例的图。图19是示出实施方式I的用户、所属组织、所属大厦与所属租户的关系的图。图20是示出实施方式I的访问控制装置的硬件结构例的图。【具体实施方式】实施方式1.在本实施方式中说明以下这样的结构:为了各种使用者能够共享同一应用,而高效地管理多租户型应用中的对数据的访问权或应用的利用权(以下,称为访问权限)。更具体地说,在本实施方式中说明了即使在变更层级构造的定义的情况下也能将伴随于变更的数据修改作业的作业量限定为最小限度的结构。另外,在本实施方式中,说明将所保存的操作历史的信息限定为最小限度的结构。在企业等中,需要根据内部统制的关系来管理针对应用操作的操作历史,并实施历史的跟踪。因此,需要再现过去时刻的层级构造。在专利文献I的技术中,作为操作历史必需保存的数据也变得庞大,但根据本实施方式,可使所保存的操作历史的信息成为最小限度。图1示出本实施方式的系统结构例。在图1中,终端001、终端002是在利用服务的租户企业中配置的终端装置,假定为个人计算机、移动终端等。在终端001、终端002内安装有Web浏览器001a、002a。此外,操作终端001、002的用户假定为其它租户企业的从业员。另外,还可以在同一租户企业内设置多个终端,或者由3个租户企业以上利用同一应用。终端000是管理图1所示的系统的系统管理者、运用者所利用的终端装置,假定为个人计算机、移动终端等。在终端000内安装有Web浏览器000a。网络003是在终端001、002利用访问控制装置004时采用的通信路径,可以是互联网以及 LAN (Local Area Network:局域网)。访问控制装置004判定是否允许对被限制访问的访问限制资源进行访问。此外,以下将仅对属于特定组织的用户、具有特定属性的用户允许访问的业务逻辑(应用)用作访问限制资源的例子。访问控制装置004如图2所示具备:处理受理部005、灵活的基于任务的访问控制部(Flexible Role-based Access Control 部;以下称为 F-RBAC 部)006、业务逻辑部 007、业务逻辑信息管理部008、用户信息管理部009、访问权限管理部010、任务分配管理部011、层级定义管理部012、组织信息管理部013。在访问控制装置004中,处理受理部005接收从终端001、002发出的请求,并实施后述的处理。处理受理部005例如从终端00本文档来自技高网...
【技术保护点】
一种访问控制装置,其特征在于,该访问控制装置具备:层级顺序信息存储部,其存储表示由多个层级构成的层级构造中的层级间的顺序的层级顺序信息;层级要素信息存储部,其存储层级要素信息,该层级要素信息按照层级的每个组合来表示属于不同的两个层级的相互关联的层级要素的对,该层级要素是构成层级的要素;访问允许条件信息存储部,其存储访问允许条件信息,该访问允许条件信息与特定的层级要素对应地示出访问允许条件,该访问允许条件是允许向被限制访问的访问限制资源进行访问的条件;访问请求接收部,其接收来自与任意的层级要素对应的用户的访问请求,该访问请求用于请求对访问限制资源进行访问;层级要素提取部,其反复以下动作直到到达特定的层级为止:判别与所述用户对应的层级要素,并且根据所述层级顺序信息所示的层级间的顺序,从所述层级要素信息中提取与所判别的层级要素成对的上一级的层级的层级要素或下一级的层级的层级要素,从所述层级要素信息中提取与所提取的层级要素成对的上一级的层级的层级要素或下一级的层级的层级要素;以及访问是否允许判定部,其对照由所述层级要素提取部判别的层级要素以及所提取的层级要素与所述访问允许条件所示的所述特定的层级要素,针对所述访问请求判定是否允许对所述访问限制资源进行访问。...
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:小杉优,佐藤雅之,枫仁志,山足光义,
申请(专利权)人:三菱电机株式会社,
类型:发明
国别省市:日本;JP
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。