访问控制装置和访问控制方法以及程序的制作方法
【技术领域】
[0001 ] 本发明涉及采用层级构造的访问控制。
【背景技术】
[0002]作为用于实现云服务或SaaS (Software as a Service:软件即服务)的基础技术,具有由多个企业(租户)共用一个应用程序(以下,称为应用)的“多租户管理技术”。
[0003]作为多租户管理技术的目的,可举出由于多个企业共享应用,削减了硬件(H/W)资源以及软件(S/W)资源,削减成本。
[0004]在现有技术中,可通过使用户的属性与访问权限对应来进行灵活的访问权限设定(例如专利文献I)。
[0005]在专利文献I中,通过“用户信息表”来管理租户/部门等的属性,而不仅仅是用户,通过“访问权限分配表”,按照进行访问控制的权限来管理具有哪种属性的用户能够利用应用。
[0006]现有技术文献
[0007]专利文献
[0008]专利文献1:日本特开2012-69087号公报
【发明内容】
[0009]发明要解决的课题
[0010]在多租户应用程序中,不仅能新开发系统,有时为了削减开发成本,还能够最大限度地有效利用以往由单一租户利用的应用而供多个租户利用。
[0011]另外,有时为了扩大服务范围,原本由某大厦利用的应用程序也可以被其它大厦或属于其它大厦的租户利用。
[0012]S卩,属于大厦的某租户也入住了其它大厦,有时需要跨过大厦对租户设定访问控制。
[0013]因此,需要从大厦、租户、公司内的总务部、营业部等组织这样的顺序的层级构造,在某一时刻变更为租户、大厦、组织这样的层级构造。
[0014]在专利文献I中,不仅没有提到历史管理,而且也没有提到组织层级构造。
[0015]假设在以专利文献I的技术为基础来实现上述要求时,如果组织层级构造变更,则需要全部重新评价在组织层级构造变更的时刻所设定的访问权限分配。
[0016]本发明的主要目的是解决这样的课题,其主要目的是即使在变更了层级构造的定义的情况下,也能将伴随于变更的数据修改作业的作业量限定为最小限度。
[0017]解决问题的手段
[0018]本发明的访问控制装置的特征是,具备:层级顺序信息存储部,其存储表示由多个层级构成的层级构造中的层级间的顺序的层级顺序信息;层级要素信息存储部,其存储层级要素信息,该层级要素信息按照层级的每个组合来表示属于不同的两个层级的相互关联的层级要素的对,该层级要素是构成层级的要素;访问允许条件信息存储部,其存储访问允许条件信息,该访问允许条件信息与特定的层级要素对应地示出访问允许条件,该访问允许条件是允许向被限制访问的访问限制资源进行访问的条件;访问请求接收部,其接收来自与任意的层级要素对应的用户的访问请求,该访问请求用于请求对访问限制资源进行访问;层级要素提取部,其反复以下动作直到到达特定的层级为止:判别与所述用户对应的层级要素,并且根据所述层级顺序信息所示的层级间的顺序,从所述层级要素信息中提取与所判别的层级要素成对的上一级的层级的层级要素或下一级的层级的层级要素,从所述层级要素信息中提取与所提取的层级要素成对的上一级的层级的层级要素或下一级的层级的层级要素;以及访问是否允许判定部,其对照由所述层级要素提取部判别的层级要素以及所提取的层级要素与所述访问允许条件所示的所述特定的层级要素,针对所述访问请求判定是否允许对所述访问限制资源进行访问。
[0019]发明效果
[0020]在本发明中,存储表示层级间的顺序的层级顺序信息,另外,存储按照每个层级的组合示出属于不同的两个层级的相互关联的层级要素的对的层级要素信息,在出现访问请求的时刻,以与进行访问请求的用户对应的层级要素为起点,根据层级顺序信息和层级要素信息来构建层级构造。
[0021]这样,在本发明中,仅定义了层级间的上下关系而没有定义层级要素间的上下关系,所以,即使在层级构造发生变更的情况下,只要对层级顺序信息进行修改即可,可将修改作业的作业量限定为最小限度。
【附图说明】
[0022]图1是示出实施方式I的系统结构例的图。
[0023]图2是示出实施方式I的访问控制装置的结构例的图。
[0024]图3是示出实施方式I的操作请求的结构例的图。
[0025]图4是示出由实施方式I的用户信息管理部管理的用户信息的例子的图。
[0026]图5是示出由实施方式I的访问权限管理部管理的访问权限信息的例子的图。
[0027]图6是示出由实施方式I的任务分配管理部管理的任务分配信息的例子的图。
[0028]图7是示出由实施方式I的层级定义管理部管理的层级定义信息的例子的图。
[0029]图8是示出由实施方式I的组织信息管理部管理的信息的例子的图。
[0030]图9是示出实施方式I的业务逻辑部的结构例的图。
[0031]图10是示出实施方式I的业务逻辑信息管理部的结构例的图。
[0032]图11是示出实施方式I的处理受理部的动作例的流程图。
[0033]图12是示出实施方式I的F-RBAC部的动作例的流程图。
[0034]图13是示出实施方式I的业务逻辑部的动作例的流程图。
[0035]图14是示出实施方式I的层级构造变更请求的例子的图。
[0036]图15是示出实施方式I的F-RBAC部的动作例的流程图。
[0037]图16是示出由实施方式I的层级定义管理部管理的层级顺序变更后的层级定义信息的例子的图。
[0038]图17是示出由实施方式2的层级定义管理部管理的层级定义信息的例子的图。
[0039]图18是示出实施方式2的业务逻辑信息管理部的结构例的图。
[0040]图19是示出实施方式I的用户、所属组织、所属大厦与所属租户的关系的图。
[0041]图20是示出实施方式I的访问控制装置的硬件结构例的图。
【具体实施方式】
[0042]实施方式1.
[0043]在本实施方式中说明以下这样的结构:为了各种使用者能够共享同一应用,而高效地管理多租户型应用中的对数据的访问权或应用的利用权(以下,称为访问权限)。
[0044]更具体地说,在本实施方式中说明了即使在变更层级构造的定义的情况下也能将伴随于变更的数据修改作业的作业量限定为最小限度的结构。
[0045]另外,在本实施方式中,说明将所保存的操作历史的信息限定为最小限度的结构。
[0046]在企业等中,需要根据内部统制的关系来管理针对应用操作的操作历史,并实施历史的跟踪。
[0047]因此,需要再现过去时刻的层级构造。
[0048]在专利文献I的技术中,作为操作历史必需保存的数据也变得庞大,但根据本实施方式,可使所保存的操作历史的信息成为最小限度。
[0049]图1示出本实施方式的系统结构例。
[0050]在图1中,终端001、终端002是在利用服务的租户企业中配置的终端装置,假定为个人计算机、移动终端等。
[0051]在终端001、终端002内安装有Web浏览器001a、002a。
[0052]此外,操作终端001、002的用户假定为其它租户企业的从业员。
[0053]另外,还可以在同一租户企业内设置多个终端,或者由3个租户企业以上利用同一应用。
[0054]终端000是管理图1所示的系统的系统管理者、运用者所利用的终端装置,假定为个人计算机、移动终端等。
[0055]在终端000内安装有Web浏览器000a。
[0056]网络003是在终端001、002利用访问控制装置004时采用的通信路径,可以是互联网以及 LAN (Local Area Network:局域网)。
[0057]访问控制装置004判定是否允许对被限制访问的访问限制资源进行访问。
[0058]此外,以下将仅对属于特定组织的用户、具有特定属性的用户允许访问的业务逻辑(应用)用作访问限制资源的例子。
[0059]访问控制装置004如图2所示具备:处理受理部005、灵活的基于任务的访问控制部(Flexible Role-based Access Control 部;以下称为 F-RBAC 部)006、业务逻辑部 007、业务逻辑信息管理部008、用户信息管理部009、访问权限管理部010、任务分配管理部011、层级定义管理部012、组织信息管理部013。
[0060]在访问控制装置004中,处理受理部005接收从终端001、002发出的请求,并实施后述的处理。
[0061]处理受理部005例如从终端001、002接受请求对访问限制资源的访问的请求即操作请求(访问请求)。
[0062]处理受理部005相当于访问请求接收部的例子。
[0063]F-RBAC部006根据终端001、002的请求内容和在访问控制装置004内管理的信息,判定有无访问权限。
[0064]F-RBAC部006相当于层级要素提取部、访问是否允许判定部、层级顺序变更部的例子。
[0065]业务逻辑部007实施就业管理或会计处理这样的业务用处理。
[0066]业务逻辑信息管理部008管理在业务逻辑部007中利用的信息。
[0067]用户信息管理部009管理可进行应用程序操作的用户的信息。
[0068]访问权限管理部010管理业务逻辑的访问权限。
[0069]任务分配管理部011利用访问权限信息与组织信息的对应关系来管理可向业务逻辑进行访问的组织。
[0070]任务分配管理部011相当于访问允许条件信息存储部的例子。
[0071]层级定义管理部012管理在系统中利用的组织层级构造的定义。
[0072]层级定义管理部012相当于层级顺序信息存储部的例子。
[0073]组织信息管理部013管理利用应用程序的组织的信息。
[0074]组织信息管理部013相当于层级要素信息存储部的例子。
[0075]此外,可存在多个图2内的各个要素,并使其具有冗余构造。
[0076]图3的操作请求201是从终端001、002发送的请求内容的一例。
[0077]操作请求201包含操作请求201的发行源的用户的用户ID、密码等认证信息、对业务逻辑部007的操作内容、为了进行通信所需的报头信息。
[0078]此外,在本