Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6540063B2 - 通信情報制御装置、中継システム、通信情報制御方法、および、通信情報制御プログラム - Google Patents
[go: Go Back, main page]

JP6540063B2 - 通信情報制御装置、中継システム、通信情報制御方法、および、通信情報制御プログラム - Google Patents

通信情報制御装置、中継システム、通信情報制御方法、および、通信情報制御プログラム Download PDF

Info

Publication number
JP6540063B2
JP6540063B2 JP2015021341A JP2015021341A JP6540063B2 JP 6540063 B2 JP6540063 B2 JP 6540063B2 JP 2015021341 A JP2015021341 A JP 2015021341A JP 2015021341 A JP2015021341 A JP 2015021341A JP 6540063 B2 JP6540063 B2 JP 6540063B2
Authority
JP
Japan
Prior art keywords
tenant
request
transmission source
correspondence table
identification address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2015021341A
Other languages
English (en)
Other versions
JP2016144186A (ja
Inventor
晃慶 丸山
晃慶 丸山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2015021341A priority Critical patent/JP6540063B2/ja
Publication of JP2016144186A publication Critical patent/JP2016144186A/ja
Application granted granted Critical
Publication of JP6540063B2 publication Critical patent/JP6540063B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)

Description

本発明は、マルチテナントサービスを提供するサーバおよびクライアントの間で送受信される情報を制御する技術に関する。
情報処理システムにおいて、サービスを顧客(テナント)毎にカスタマイズして使用できるように提供するマルチテナントサービスが知られている。マルチテナントサービスを利用する際には、利用者IDおよびテナントIDによる認証が必要となることが多い。利用者にとっては、サービス要求時に、利用者IDに加えて、テナントIDの入力が必要となるのは利便性の面で問題がある。したがって、サービス要求時には、テナントIDを意識して指定する必要がないことが望ましい。そこで、利用者に意識させることなくクライアントからサーバにテナントIDを通知する方法として、テナント毎にログイン用URL(Uniform Resource Locator)を分ける方法が知られている。この場合、各テナントの利用者は、それぞれのテナント用ログインURLにアクセスして認証要求を行う。しかし、この方法では、あるテナントのログイン用URLの文字列から、他のテナントのログイン用URLが推測される場合がある。この場合、他のテナントのログイン用URLに対して、想定されないアクセスを受ける可能性があるという問題があった。
また、利用者に意識させることなくクライアントからサーバにテナントIDを通知する別の方法として、テナント毎に、識別アドレスやポート番号を分ける方法が知られている。この場合、各テナントの利用者は、それぞれのテナントに対応する識別アドレスやポート番号にアクセスする。しかしながら、1つの情報処理システムで提供可能な識別アドレス数には限りがある。したがって、この方法では、テナント数の増大に対応することが難しいという問題があった。また、クライアント側から外部ネットワークに向けた通信を制限しているケースがある。このようなケースでは、クライアント側において、well-knownポート以外のポートに対する通信を許可するには、特別な設定作業が必要となる場合があるという問題があった。
これらの問題に関連する技術が、特許文献1に記載されている。この関連技術は、マルチテナントサービスを提供するサーバとクライアントとの間に、中継装置を設ける。中継装置は、中継装置のクライアント側インタフェースを特定する情報とテナントIDとの対応関係をあらかじめ記憶しておく。これにより、中継装置は、サーバに対するリクエストを受信すると、受信したクライアント側インタフェースを特定する情報に基づいて、リクエストのテナントIDを識別する。そして、中継装置は、サーバとの間でテナントIDを指定したコネクションを生成し、そのコネクションを利用してリクエストをサーバに送信する。
また、このような問題に関連する他の技術が、特許文献2に記載されている。この関連技術では、ウェブサーバは、利用者IDまたはクライアント情報と、テナントIDとを対応付けて記憶しておく。そして、ウェブサーバは、クライアントから受信した処理要求に関連付けられた利用者IDまたはクライアント情報に基づいて、テナントIDを求める。そして、ウェブサーバは、求めたテナントIDに対応するデータ領域に対する処理を、データベースサーバに対して要求する。
特開2010−219845号公報 特許第5200721号
しかしながら、上述の関連技術には、以下の課題がある。
特許文献1に記載された関連技術は、中継装置のクライアント側インタフェースとテナントIDとの対応関係を、あらかじめ記憶しておく必要がある。また、特許文献2に記載された関連技術は、クライアント情報または利用者IDとテナントIDとの対応関係を、あらかじめ記憶しておく必要がある。このため、これらの関連技術は、新規テナントの利用申請時や、既存テナントに利用環境の変更が発生した際に、テナントIDとの対応関係を記憶したテーブルを更新する必要が生じるという問題がある。
さらに、特許文献2に記載された関連技術において、クライアント情報とテナントIDとを対応付けておく場合、利用が想定されるクライアント端末をあらかじめ全て把握して対応関係を記憶する作業が必要であり、事前の作業コストがかかる。また、クライアント端末の増減が発生した場合にも、その都度、対応関係テーブルを更新する必要があり、作業コストがかかる。また、利用者IDとテナントIDとを対応付けておく場合、利用者数の増大に伴いテーブル容量が増大し、テーブル保存のためのマシンコストやテーブル検索時の検索コストが大きくなるという問題がある。
本発明は、上述の課題を解決するためになされたものである。すなわち、本発明は、運用コスト、マシンコスト、検索コストを低減しながら、利用者に意識させることなく、テナントIDをサーバに通知する技術を提供することを目的とする。
本発明の通信情報制御装置は、テナント毎に登録された利用者に対してマルチテナントサービスを提供するサーバおよび前記マルチテナントサービスを利用するクライアント間で送受信される情報を制御する通信情報制御装置であって、前記クライアントから前記サーバへ送信される前記マルチテナントサービスに対する認証要求を表すリクエストを取得する通信情報取得部と、前記リクエストの送信元の識別アドレスがテナントID対応テーブルに含まれない場合、前記サーバにおける前記マルチテナントサービスの管理情報を参照することにより、前記リクエストから抽出される利用者情報に対応するテナントIDを特定し、特定したテナントIDおよび前記送信元の識別アドレスを対応付けて前記テナントID対応テーブルに登録するテナントID登録部と、前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDを特定するテナントID特定部と、前記テナントID登録部または前記テナントID特定部によって特定されたテナントIDを前記リクエストに含めて、前記マルチテナントサービスに対するリクエストとして出力する通信情報出力部と、を備える。
また、本発明の中継システムは、上述の通信情報制御装置と、前記クライアントから前記マルチテナントサービスに対する認証要求を表すリクエストを受信すると、該リクエストを前記通信情報制御装置に転送することにより、前記通信情報制御装置から前記テナントIDを含むリクエストを受信し、受信したリクエストを前記サーバに送信する通信経路制御システムと、を備える。
また、本発明の通信情報制御方法は、テナント毎に登録された利用者に対してマルチテナントサービスを提供するサーバおよび前記マルチテナントサービスを利用するクライアント間で送受信される情報を制御する通信情報制御方法であって、前記クライアントから前記サーバへ送信される前記マルチテナントサービスに対する認証要求を表すリクエストを取得すると、前記リクエストの送信元の識別アドレスがテナントID対応テーブルに含まれない場合、前記サーバにおける前記マルチテナントサービスの管理情報を参照することにより、前記リクエストから抽出される利用者情報に対応するテナントIDを特定し、特定したテナントIDおよび前記送信元の識別アドレスを対応付けて前記テナントID対応テーブルに登録し、前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応づけられたテナントIDを特定し、特定したテナントIDを前記リクエストに含めて、前記マルチテナントサービスに対するリクエストとして出力する。
また、本発明の通信情報制御プログラムは、テナント毎に登録された利用者に対してマルチテナントサービスを提供するサーバおよび前記マルチテナントサービスを利用するクライアント間で送受信される情報を制御する通信情報制御装置に、前記クライアントから前記サーバへ送信される前記マルチテナントサービスに対する認証要求を表すリクエストを取得する通信情報取得ステップと、前記リクエストの送信元の識別アドレスがテナントID対応テーブルに含まれない場合、前記サーバにおける前記マルチテナントサービスの管理情報を参照することにより、前記リクエストから抽出される利用者情報に対応するテナントIDを特定し、特定したテナントIDおよび前記送信元の識別アドレスを対応付けて前記テナントID対応テーブルに登録するテナントID登録ステップと、前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応づけられたテナントIDを特定するテナントID特定ステップと、前記テナントID登録ステップまたは前記テナントID特定ステップにおいて特定されたテナントIDを前記リクエストに含めて、前記マルチテナントサービスに対するリクエストとして出力する通信情報出力ステップと、を実行させる。
本発明は、運用コスト、マシンコスト、検索コストを低減しながら、利用者に意識させることなく、テナントIDをサーバに通知する技術を提供することができる。
本発明の第1の実施の形態としての通信情報制御装置の機能ブロック図である。 本発明の第1の実施の形態としての通信情報制御装置のハードウェア構成の一例を示す図である。 本発明の第1の実施の形態としての通信情報制御装置の動作を説明するフローチャートである。 本発明の第2の実施の形態としての中継システムの構成を示すブロック図である。 本発明の第2の実施の形態におけるマルチテナントサービスの管理情報の一例を示す図である。 本発明の第2の実施の形態としての中継システムの機能ブロック図である。 本発明の第2の実施の形態におけるテナントID対応テーブルに格納される情報の一例を示す図である。 本発明の第2の実施の形態における失敗回数記録テーブルに格納される情報の一例を示す図である。 本発明の第2の実施の形態としての中継システムの動作の概略を説明するアクティビティ図である。 本発明の第2の実施の形態としての通信情報制御装置の動作の概略を説明するフローチャートである。 本発明の第2の実施の形態としての通信情報制御装置のテナントID登録動作を説明するフローチャートである。
以下、本発明の実施の形態について、図面を参照して詳細に説明する。
(第1の実施の形態)
本発明の第1の実施の形態としての通信情報制御装置10の機能ブロック構成を図1に示す。図1において、通信情報制御装置10は、通信情報取得部11と、テナントID登録部12と、テナントID特定部13と、通信情報出力部14とを含む。
通信情報制御装置10は、サーバ80およびクライアント90間で送受信される情報を制御する装置である。
サーバ80は、マルチテナントサービスを提供する装置である。マルチテナントサービスとは、テナント毎に登録された利用者に対して提供されるサービスをいうものとする。また、サーバ80によって提供されるマルチテナントサービスを利用するには、利用者情報およびテナントIDによる認証が必要であるものとする。利用者情報とは、登録された利用者を表す情報である。例えば、利用者情報は、利用者を識別する利用者IDを含む。さらに、利用者情報は、利用者IDに対応付けて登録されたパスワードを含んでいてもよい。テナントIDとは、利用者の属するテナントを識別する情報である。サーバ80は、テナントID毎に登録された利用者情報を、管理情報として記憶している。なお、サーバ80では、異なるテナントであっても、同一の利用者情報が登録されないよう運用されるものとする。
クライアント90は、サーバ80によって提供されるマルチテナントサービスを利用する装置である。クライアント90は、マルチテナントサービスに対する認証要求を表すリクエストを、サーバ80に送信する。クライアント90から送信されるリクエストには、登録された利用者を表す利用者情報が含まれるが、テナントIDは含まれないものとする。
ここで、通信情報制御装置10は、図2に示すようなハードウェア要素によって構成可能である。図2において、通信情報制御装置10は、CPU(Central Processing Unit)1001、メモリ1002、出力装置1003、入力装置1004、および、ネットワークインタフェース1005を含む。メモリ1002は、RAM(Random Access Memory)、ROM(Read Only Memory)、補助記憶装置(ハードディスク等)等によって構成される。出力装置1003は、ディスプレイ装置やプリンタ等のように、情報を出力する装置によって構成される。入力装置1004は、キーボードやマウス等のように、ユーザ操作の入力を受け付ける装置によって構成される。ネットワークインタフェース1005は、インターネット、LAN(Local Area Network)、公衆回線網、無線通信網またはこれらの組合せ等によって構成されるネットワークに接続するインタフェースである。この場合、通信情報制御装置10の各機能ブロックは、メモリ1002に格納されるコンピュータ・プログラムを読み込んで実行するとともに各部を制御するCPU1001によって構成される。なお、通信情報制御装置10およびその各機能ブロックのハードウェア構成は、上述の構成に限定されない。
通信情報取得部11は、クライアント90からサーバ80へ送信されるリクエストを取得する。また、通信情報取得部11は、取得したリクエストから、その送信元の識別アドレスを特定する。また、通信情報取得部11は、取得したリクエストから、利用者情報を抽出する。リクエストから抽出されるこれらの情報は、後述のテナントID登録部12またはテナントID特定部13によって用いられる。例えば、リクエストがIP(Internet Protocol)パケットであることを想定する。この場合、送信元の識別アドレスとしては、IPパケットに含まれる送信元IPアドレスが適用される。また、利用者情報は、IPパケットのデータ部分に含まれている。
テナントID登録部12は、リクエストの送信元の識別アドレスがテナントID対応テーブルに含まれない場合に機能するよう構成される。この場合、テナントID登録部12は、送信元の識別アドレスと、利用者情報に対応するテナントIDとを対応付けて、テナントID対応テーブルに登録する。
具体的には、テナントID登録部12は、サーバ80におけるマルチテナントサービスの管理情報を参照することにより、リクエストから抽出された利用者情報に対応するテナントIDを特定する。例えば、テナントID登録部12は、特権アカウントを用いてマルチテナントサービスにアクセスすることにより、管理情報を参照可能となっていてもよい。そして、テナントID登録部12は、特定したテナントIDおよび送信元の識別アドレスを対応付けて、テナントID対応テーブルに登録すればよい。
テナントID特定部13は、送信元の識別アドレスがテナントID対応テーブルに含まれる場合に機能するよう構成される。この場合、テナントID特定部13は、テナントID対応テーブルにおいて送信元の識別アドレスに対応付けられたテナントIDを特定する。
通信情報出力部14は、テナントID登録部12またはテナントID特定部13によって特定されたテナントIDをリクエストに含めて、マルチテナントサービスに対するリクエストとして出力する。
以上のように構成された通信情報制御装置10の動作について、図3を参照して説明する。
まず、通信情報取得部11は、クライアント90からサーバ80へ送信される、マルチテナントサービスに対する認証要求を表すリクエストを取得する(ステップS1)。
次に、通信情報取得部11は、取得したリクエストから、送信元の識別アドレスおよび利用者情報を抽出する(ステップS2)。
次に、テナントID登録部12は、リクエストの送信元の識別アドレスがテナントID対応テーブルに含まれるか否かを判断する(ステップS3)。
ここで、送信元の識別アドレスがテナントID対応テーブルに含まれない場合、テナントID登録部12は、サーバ80におけるマルチテナントサービスの管理情報を参照することにより、利用者情報に対応するテナントIDを特定する(ステップS4)。
そして、テナントID登録部12は、送信元の識別アドレスと、特定したテナントIDとを対応付けて、テナントID対応テーブルに登録する(ステップS5)。
一方、送信元の識別アドレスがテナントID対応テーブルに含まれる場合、テナントID特定部13は、テナントID対応テーブルにおいて送信元の識別アドレスに対応付けられたテナントIDを特定する(ステップS6)。
次に、通信情報出力部14は、ステップS4またはS6で特定されたテナントIDをリクエストに含めて、マルチテナントサービスに対するリクエストとして出力する(ステップS7)。
以上で、通信情報制御装置10は、動作を終了する。
次に、本発明の第1の実施の形態の効果について述べる。
本発明の第1の実施の形態としての通信情報制御装置は、運用コスト、マシンコスト、検索コストを低減しながら、利用者に意識させることなく、テナントIDをサーバに通知することができる。
その理由について説明する。本実施の形態では、通信情報取得部が、クライアントからサーバへ送信される、マルチテナントサービスに対する認証要求を表すリクエストを取得する。リクエストには、利用者情報が含まれ、テナントIDが含まれていない。そして、リクエストの送信元の識別アドレスがテナントID対応テーブルに含まれない場合、テナントID登録部が、リクエストに含まれる利用者情報に対応するテナントIDを、マルチテナントサービスの管理情報にアクセスすることにより特定する。そして、テナントID登録部が、特定したテナントIDを、送信元の識別アドレスに対応付けて、テナントID対応テーブルに登録する。また、リクエストの送信元の識別アドレスが、テナントID対応テーブルに含まれる場合には、テナントID特定部が、テナントID対応テーブルにおいて送信元の識別アドレスに対応付けられたテナントIDを特定する。そして、通信情報出力部が、このようにして特定したテナントIDをリクエストに含めて出力するからである。
このように、本実施の形態は、クライアントからサーバへ送信されるリクエストを中継する際に、テナントIDを特定してリクエストに含める。これにより、本実施の形態は、クライアントから送出された時点では、利用者情報が含まれテナントIDが含まれていないリクエストに、適切なテナントIDを含めてサーバに送信することができる。その結果、クライアントにおいて、利用者は、リクエストに含めるための利用者情報を入力するだけでよく、テナントIDを入力する必要がない。したがって、利用者は、テナントIDを意識することなく、マルチテナントサービスを利用することができる。
また、このように、本実施の形態は、リクエストの送信元の識別アドレスに対して適切なテナントIDを特定することにより、テナントID対応テーブルを自動生成することができる。このため、本実施の形態は、テナントID対応テーブルを事前に作成しておく必要がなく、運用コストを抑えることができる。
また、一般的に、同じテナントに属する利用者からのリクエストの送信元の識別アドレスは、ゲートウェイ等のアドレスになることが想定される。この場合、本実施の形態におけるテナントID対応テーブルは、テナントによって用いられるゲートウェイ等の識別アドレス毎に、そのテナントIDを記憶すればよい。このため、テナントID対応テーブルは、利用者情報毎にテナントIDを記憶する場合に比べて、より小さい容量となる。このため、本実施の形態は、テナントID対応テーブルを保存するための領域を大量に必要とせず、マシンコストを抑えることができる。また、本実施の形態は、送信元の識別アドレスを検索するテナントID対応テーブルがより小容量であるため、検索コストを抑えることができる。
(第2の実施の形態)
次に、本発明の第2の実施の形態について図面を参照して詳細に説明する。なお、本実施の形態の説明において参照する各図面において、本発明の第1の実施の形態と同一の構成および同様に動作するステップには同一の符号を付して本実施の形態における詳細な説明を省略する。
まず、本発明の第2の実施の形態としての中継システム2の構成を図4に示す。図4において、中継システム2は、通信情報制御装置20と、通信経路制御システム30とを含む。中継システム2は、サーバ81およびクライアント91間で送受信される情報を中継するシステムである。
サーバ81は、マルチテナントサービスとして、マルチテナント型のディレクトリサービスを提供する装置である。例えば、ディレクトリサービスは、LDAP(Lightweight Directory Access Protocol)ディレクトリサービスであってもよい。以降、本実施の形態では、サーバ81は、マルチテナント型のLDAPディレクトリサービスを提供するものとして説明を行う。LDAPディレクトリサービスにおいては、テナントID毎に、利用者情報として利用者IDおよびパスワードが登録される。また、LDAPディレクトリサービスを利用するには、利用者ID、パスワード、および、テナントIDによる認証が必要であるものとする。以降、LDAPディレクトリサービスに対する認証要求を表す情報を、LDAPリクエストとも記載する。なお、本実施の形態において、LDAPディレクトリサービスでは、異なるテナントであっても、利用者IDおよびパスワードの組合せが同一の利用者情報は、登録されないよう運用されるものとする。
また、サーバ81は、テナント毎にLDAPディレクトリツリーを分けて管理している。LDAPディレクトリツリーの一例を図5に示す。例えば、図5では、テナントID「C」を持つテナントについて、利用者IDとしてtanaka、sato、suzukiが登録されている。このようにLDAPディレクトリツリーは、テナント毎の利用者情報を含んでいる。また、このようなLDAPディレクトリツリーに特権アカウントでアクセスすることにより、利用者IDに対応するパスワード(不図示)も参照可能となっている。LDAPディレクトリツリーは、本発明の管理情報の一実施形態に相当する。
クライアント91は、サーバ81のLDAPディレクトリサービスを利用する装置である。クライアント91は、LDAPリクエストをサーバ81に送信する。クライアント91から送信されるLDAPリクエストには、利用者IDおよびパスワードが含まれるが、テナントIDは含まれないものとする。
通信経路制御システム30は、サーバ81およびクライアント91間の通信経路を制御するシステムである。通信経路制御システム30は、クライアント91からLDAPリクエストを受信すると、該LDAPリクエストを通信情報制御装置20に転送する。そして、通信経路制御システム30は、テナントIDが付加されたLDAPリクエストを通信情報制御装置20から受信し、受信したリクエストをサーバ81に送信する。
例えば、通信経路制御システム30は、SDN(Software-Defined Network)によって構成されていてもよい。SDNは、通信機器の制御機能とデータ転送機能とを分離し、ソフトウェアによってネットワークの構成や設定を変更する技術である。この場合、通信経路制御システム30は、例えば、図6に示すように、SDNコントローラ31、第1のSDNスイッチ32、および、第2のSDNスイッチ33を含んで構成可能である。これらの各装置は、それぞれ、例えば、CPU、メモリおよびネットワークインタフェースを備えたコンピュータ装置によって構成可能である。この場合、各装置のメモリには、各装置をそれぞれ本発明のSDNコントローラまたはSDNスイッチとして機能させるコンピュータ・プログラムが格納される。そして、各装置のCPUは、メモリに記憶されたコンピュータ・プログラムを実行して各部を制御することにより機能する。なお、通信経路制御システム30の構成は、図6に示す構成に限定されない。
第1のSDNスイッチ32は、通信パケットを受信すると、自装置に設定されたフローエントリに基づいてその通信パケットを転送する。詳細には、第1のSDNスイッチ32は、通信パケットがLDAPリクエストであれば、その通信パケットをSDNコントローラ31に転送する。また、第1のSDNスイッチ32は、通信パケットが認証失敗情報であれば、その通信パケットをクライアント91に返却する。また、第1のSDNスイッチ32は、通信パケットがLDAPリクエストでなく認証失敗情報でもない場合、フローエントリで定められた他の処理や、SDNにおけるスイッチとしての通常処理を行う。
SDNコントローラ31は、転送された通信パケットの経路を算出し、適切な経路に向けて送信する。詳細には、SDNコントローラ31は、通信パケットがLDAPリクエストであれば、その通信パケットを、通信情報制御装置20に転送する。このLDAPリクエストには、利用者IDとパスワードは含まれているが、テナントIDは含まれていない。また、SDNコントローラ31は、通信パケットがLDAPリクエストでない場合、SDNにおけるコントローラとして他の処理を行う。
また、SDNコントローラ31は、通信情報制御装置20からLDAPリクエストを返却された場合、返却されたLDAPリクエストを第2のSDNスイッチ33に転送する。このLDAPリクエストには、利用者IDとパスワードに加えて、テナントIDが含まれている。また、SDNコントローラ31は、通信情報制御装置20から認証失敗情報を返却された場合、認証失敗情報を、第1のSDNスイッチ32に返却する。
第2のSDNスイッチ33は、通信パケットを受信すると、自装置に設定されたフローエントリに基づいてその通信パケットを転送する。詳細には、第2のSDNスイッチ33は、通信パケットがLDAPリクエストであれば、その通信パケットをサーバ81に転送する。また、第2のSDNスイッチ33は、通信パケットがLDAPリクエストでない場合、フローエントリで定められた他の処理や、SDNにおけるスイッチとしての通常処理を行う。
次に、通信情報制御装置20の機能について説明する。通信情報制御装置20は、通信経路制御システム30からLDAPリクエストが転送されると、転送されたLDAPリクエストにテナントIDを含めて、通信経路制御システム30に返却する。あるいは、通信情報制御装置20は、認証失敗情報を通信経路制御システム30に返却する場合もある。
ここで、図6において、通信情報制御装置20は、通信情報取得部21と、テナントID登録部22と、テナントID特定部23と、通信情報出力部24とを含む。なお、通信情報制御装置20およびその各機能ブロックは、図2を参照して説明した本発明の第1の実施の形態と同一のハードウェア要素によって構成可能である。ただし、通信情報制御装置20およびその機能ブロックのハードウェア構成は、上述の構成に限定されない。
通信情報取得部21は、通信経路制御システム30からLDAPリクエストを受信する。LDAPリクエストは、例えば、第1のSDNスイッチ32から転送される。このLDAPリクエストは、前述のように、クライアント91からサーバ81へのLDAPディレクトリサービスに対する認証要求を表している。
また、通信情報取得部21は、LDAPリクエストの送信元IPアドレスを特定する。また、通信情報取得部21は、LDAPリクエストから、利用者IDおよびパスワードを抽出する。
テナントID登録部22は、テナントID対応テーブルにLDAPリクエストの送信元のIPアドレスが含まれていない場合に機能するよう構成される。この場合、具体的には、テナントID登録部22は、サーバ81のLDAPディレクトリサービスに特権アカウントでアクセスする。これにより、テナントID登録部22は、LDAPディレクトリツリーから、該当する利用者IDおよびパスワードに対応するテナントIDを検索する。LDAPディレクトリツリーを検索した結果、該当するテナントIDを特定できた場合、テナントID登録部22は、LDAPリクエストの送信元IPアドレスと、特定したテナントIDとを対応付けて、テナントID対応テーブルに新規エントリとして登録する。
ここで、テナントID対応テーブルの一例を図7に示す。例えば、図7の1行目は、送信元IPアドレス「アドレス1」に、テナントID「A」が対応付けられていることを表している。
また、テナントID登録部22は、後述の失敗回数が所定条件を満たした場合にも機能するよう構成される。この場合も、テナントID登録部22は、LDAPディレクトリサービスに特権アカウントでアクセスすることにより、該当する利用者IDおよびパスワードに対応するテナントIDを検索する。該当するテナントIDを特定できた場合、テナントID登録部22は、今回特定したテナントIDを用いて、テナントID対応テーブルを更新する。具体的には、テナントID登録部22は、既にテナントID対応テーブルに登録されている送信元IPアドレスに対応付けられていたテナントIDを、今回特定したテナントIDに更新すればよい。そして、テナントID登録部22は、今回特定したテナントIDを、通信情報出力部24に通知する。
なお、LDAPディレクトリツリーを検索しても該当するテナントIDを特定できなかった場合、テナントID登録部22は、テナントIDを決定できない旨を、通信情報出力部24に通知する。
テナントID特定部23は、テナントID対応テーブルにLDAPリクエストの送信元のIPアドレスが含まれている場合に機能するよう構成される。この場合、具体的には、テナントID特定部23は、テナントID対応テーブルに含まれる送信元IPアドレスに対応付けられたテナントIDを取得する。例えば、送信元のIPアドレスが「アドレス1」である場合、図7に示したテナントID対応テーブルによれば、テナントID「A」が取得される。
ここで、本発明の第1の実施の形態では、このようにしてテナントID対応テーブルから取得されたテナントIDが、このLDAPリクエストに対応するテナントIDとして特定されていた。本実施の形態では、テナントID対応テーブルから取得されたテナントIDが、さらに次のような条件を満たした場合に、このLDAPリクエストに対応するテナントIDとして特定される。
具体的には、テナントID特定部23は、テナントID対応テーブルから取得したテナントIDと、LDAPリクエストから抽出された利用者情報との対応関係が正しいか否かを判断する。この判断処理は、サーバ81のLDAPディレクトリサービスに特権アカウントでアクセスすることにより行われる。つまり、テナントID特定部23は、LDAPディレクトリサービスに特権アカウントでアクセスすることにより、該当するテナントIDの配下に、該当する利用者情報が登録されているか否かを確認すればよい。なお、このとき、テナントID特定部23は、該当するテナントIDの配下に該当する利用者IDが存在すれば、パスワードを照合せずに、テナントIDと利用者情報との対応関係が正しいと判断してもよい。この場合、パスワードの認証は、LDAPディレクトリサービスによって行われることになる。そして、テナントID特定部23は、対応関係が正しいと判断した場合に、このテナントIDを通信情報出力部24に通知する。
例えば、送信元IPアドレスが「アドレス2」である場合、図7に示したテナントIDから、「C」が取得されることになる。また、LDAPリクエストから、利用者ID「sato」およびパスワード「satopw」が抽出されているとする。この場合、テナントID特定部23は、LDAPディレクトリサービスに特権アカウントでアクセスし、図5に示した管理情報を参照する。そして、テナントID特定部23は、テナントID「C」配下に利用者ID「sato」があるので、このテナントIDおよび利用者情報の対応関係は正しいとして、テナントID「c」を通信情報出力部24に通知すればよい。
また、テナントID特定部23は、対応関係が正しくないと判断した場合に、テナントIDを決定できない旨を、通信情報出力部24に通知する。このとき、テナントID特定部23は、対応関係が正しくないと判断した回数(失敗回数)を、該当するテナントIDおよび利用者情報の組合せ毎にカウントしてもよい。例えば、テナントID特定部23は、失敗回数記録テーブルに、テナントIDおよび利用者情報の組合せ毎の失敗回数を記録してもよい。そして、失敗回数が所定条件を満たした場合、テナントID特定部23は、前述のテナントID登録部22を呼び出す。所定条件とは、閾値を超えることであってもよい。また、失敗回数が所定条件を満たした場合、テナントID特定部23は、そのテナントIDおよび利用者情報の組合せについての失敗回数を0にリセットする。
ただし、テナントID特定部23は、上述の失敗回数を、次のような場合にカウントするようにしてもよい。具体的には、テナントID特定部23は、テナントID対応テーブルから取得されたテナントIDと利用者情報との対応関係が正しくないと判断した場合に、さらに、この利用者情報との対応関係が正しい他のテナントIDがあるか否かを判断する。この判断処理は、サーバ81のLDAPディレクトリサービスに特権アカウントでアクセスすることにより行われる。そして、テナントID特定部23は、そのような他のテナントIDがあると判断した場合に、失敗回数をカウントアップするようにしてもよい。この場合の失敗回数は、テナントID対応テーブルから取得されたテナントIDおよび利用者情報の組合せについて記録される。
例えば、送信元のIPアドレスが「アドレス2」である場合、図7に示したテナントIDから、「C」が取得されることになる。また、LDAPリクエストから、利用者ID「yamada」およびパスワード「yamadapw」が抽出されているとする。この場合、テナントID特定部23は、LDAPディレクトリサービスに特権アカウントでアクセスし、図5に示したLDAPディレクトリツリーを検索する。そして、テナントID特定部23は、テナントID「C」配下に利用者ID「yamada」がないので、このテナントIDおよび利用者情報の対応関係は正しくないと判断する。そして、この場合、テナントID特定部23は、利用者ID「yamada」およびパスワード「yamadapw」を配下に持つ他のテナントIDがあるか否かを、LDAPディレクトリツリーを検索することにより判断する。図7のLDAPディレクトリによると、テナントID「A」の配下に、利用者ID「yamada」がある。また、そのパスワードが「yamadapw」であったとする。つまり、この利用者IDおよびパスワードとの対応関係が正しい他のテナントID「A」が存在することになる。そこで、テナントID特定部23は、テナントID対応テーブルから取得されたテナントID「C」および利用者ID「yamada」の組合せについて、失敗回数記録テーブルに記録された失敗回数に、1を加算して更新すればよい。失敗回数記録テーブルの一例を図8に示す。例えば、図8の2行目は、テナントID「C」とユーザID「yamada」の組合せについて、失敗回数として1が記録されている。
通信情報出力部24は、テナントID登録部22またはテナントID特定部23からテナントIDを通知されると、LDAPパケットにそのテナントIDを含めて、通信経路制御システム30に返却する。具体的には、通信情報出力部24は、テナントIDを含めたLDAPパケットを、前述のSDNコントローラ31に返却すればよい。
また、通信情報出力部24は、テナントID登録部22またはテナントID特定部23からテナントIDを特定できない旨を通知されると、認証失敗情報を生成し、通信経路制御システム30に返却する。具体的には、通信情報出力部24は、認証失敗情報を、前述のSDNコントローラ31に返却すればよい。
以上のように構成された中継システム2の動作について、図面を参照して説明する。
まず、中継システム2の動作の概略を図9に示す。
図9において、まず、第1のSDNスイッチ32は、受信した通信パケットが、クライアント91からのLDAPリクエストであるか否かを判断する(ステップA1)。
ここで、LDAPリクエストでない場合、第1のSDNスイッチ32は、自装置に定められたフローエントリにしたがって他の処理を行う(ステップA2)。
一方、LDAPリクエストである場合、第1のSDNスイッチ32は、この通信パケットをSDNコントローラ31に転送する(ステップA3)。
次に、SDNコントローラ31は、転送された通信パケットが、LDAPリクエストであるか否かを判断する(ステップB1)。
ここで、LDAPリクエストでない場合、SDNコントローラ31は、SDNコントローラとして定められた他の処理を行う(ステップB2)。
一方、LDAPリクエストである場合、SDNコントローラ31は、この通信パケットを通信情報制御装置20に転送する(ステップB3)。
次に、通信情報制御装置20は、LDAPリクエストが転送されると、転送されたLDAPリクエストにテナントIDを含める処理を行う(ステップD1)。そして、その結果、通信情報制御装置20は、テナントIDを含めたLDAPリクエストまたは認証失敗情報を、SDNコントローラ31に返却する。このステップの詳細については後述する。
次に、SDNコントローラ31は、返却された通信パケットが、LDAPリクエストであるか認証失敗情報であるかを判断する(ステップB4)。
ここで、返却された通信パケットがLDAPリクエストである場合、SDNコントローラ31は、この通信パケットを、第2のSDNスイッチ33に転送する(ステップB5)。
そして、第2のSDNスイッチ33は、転送されたLDAPリクエストをサーバ81に送信する(ステップC1)。
一方、ステップB4で、返却された通信パケットが認証失敗情報であった場合、SDNコントローラ31は、この通信パケットを、第1のSDNスイッチ32に返却する(ステップB6)。
次に、第1のSDNスイッチ32は、返却された認証失敗情報を、クライアント91に送信する(ステップA4)。
以上で、中継システム2の動作の概略の説明を終了する。
次に、ステップD1における通信情報制御装置20の処理の詳細を、図10〜図11に示す。
図10において、まず、通信情報取得部21は、SDNコントローラ31から、LDAPリクエストを受信する(ステップD11)。
次に、通信情報取得部21は、LDAPリクエストの送信元IPアドレスを特定する。また、通信情報取得部21は、LDAPリクエストから利用者IDおよびパスワードを抽出する(ステップD12)。
次に、テナントID登録部22は、LDAPリクエストの送信元IPアドレスが、テナントID対応テーブルに含まれているか否かを判断する(ステップD13)。
ここで、送信元IPアドレスがテナントID対応テーブルに含まれていない場合、テナントID登録部22は、テナントID登録処理を行う(ステップD22)。このステップの詳細については後述する。
一方、送信元IPアドレスがテナントID対応テーブルに含まれている場合、テナントID特定部23は、テナントID対応テーブルにおいて送信元IPアドレスに対応付けられたテナントIDを取得する(ステップD14)。
次に、テナントID特定部23は、LDAPディレクトリサービスに特権アカウントでアクセスする。そして、テナントID特定部23は、ステップD14で取得されたテナントIDと、ステップD12で抽出された利用者情報との対応関係が正しいか否かを判断する(ステップD15)。
具体的には、前述のように、テナントID特定部23は、LDAPディレクトリツリーにおいて、ステップD14で取得されたテナントIDが管理されているディレクトリ配下に、ステップD12で抽出された利用者IDが存在するか否かを検索すればよい。
ここで、対象のテナントIDおよび利用者情報の対応関係が正しい場合、テナントID特定部23は、対象のテナントIDを通信情報出力部24に通知する。そして、通信情報出力部24は、ステップD11で受信されたLDAPリクエストに、通知されたテナントIDを含めて、SDNコントローラ31に対して返却する(ステップD16)。
一方、対象のテナントIDおよび利用者情報の対応関係が正しくない場合、テナントID特定部23は、ステップD12で抽出された利用者情報に対応する他のテナントIDがあるか否かを判断する(ステップD17)。
具体的には、前述のように、テナントID特定部23は、LDAPディレクトリサービスに特権アカウントでアクセスする。そして、テナントID特定部23は、LDAPディレクトリツリーにおいて、該当する利用者IDおよびパスワードに一致する情報を配下に持つテナントIDを検索すればよい。
ここで、そのような他のテナントIDが存在しない場合、テナントID特定部23は、テナントIDを特定できない旨を、通信情報出力部24に通知する。そして、通信情報出力部24は、認証失敗情報を生成し、SDNコントローラ31に対して返却する(ステップD18)。
一方、そのような他のテナントIDが存在する場合、テナントID特定部23は、対象のテナントIDおよび利用者情報の組合せについて記録された失敗回数が、所定条件を満たしているか否かを判断する(ステップD19)。
具体的には、前述のように、テナントID特定部23は、失敗回数記録テーブルを参照し、該当する失敗回数が閾値を超えたか否かを判断すればよい。
ここで、失敗回数が所定条件を満たしていない場合、テナントID特定部23は、対象のテナントIDおよび利用者情報の組合せについて失敗回数を加算する(ステップD20)。
具体的には、前述のように、テナントID特定部23は、失敗回数記録テーブルにおいて対象のテナントIDおよび利用者の組合せについて記録された失敗回数に、1を加算して更新すればよい。
そして、テナントID特定部23および通信情報出力部24は、ステップD18を実行し、認証失敗情報をSDNコントローラ31に対して返却する。
一方、ステップD19において、失敗回数が所定条件を満たしている場合、テナントID特定部23は、対象のテナントIDおよび利用者情報の組合せについて記録された失敗回数を0にリセットする(ステップD21)。
そして、テナントID特定部23は、テナントID登録処理を実行する(ステップD22)。
次に、ステップD22におけるテナントID登録処理の詳細を図11に示す。
図11において、まず、テナントID登録部22は、ステップD12でLDAPリクエストから抽出された利用者IDおよびパスワードについて、対応するテナントIDを特定する(ステップD31)。
具体的には、前述のように、テナントID登録部22は、サーバ81のLDAPディレクトリサービスに特権アカウントでアクセスする。そして、テナントID登録部22は、該当する利用者IDおよびパスワードを配下に持つテナントIDを検索すればよい。
ここで、検索の結果、対象の利用者IDおよびパスワードに対応するテナントIDを特定できない場合について説明する(ステップD32でNo)。
この場合、テナントID登録部22は、テナントIDを特定できない旨を、通信情報出力部24に通知する。そして、通信情報出力部24は、認証失敗情報を生成し、SDNコントローラ31に返却する(ステップD33)。
一方、検索の結果、対象の利用者IDおよびパスワードに対応するテナントIDを特定できた場合について説明する(ステップD32でYes)。
この場合、テナントID登録部22は、送信元IPアドレスおよび特定したテナントIDを対応付けて、テナントID対応テーブルに登録する(ステップD34)。
このとき、ステップD13でNoと判断されて呼び出されたテナントID登録処理であれば、テナントID登録部22は、テナントID対応テーブルに新規エントリとして、該当する送信元IPアドレスおよびテナントIDを登録すればよい。また、ステップD19でYesと判断されて呼び出されたテナントID登録処理であれば、テナントID登録部22は、登録済みの送信元IPアドレスに対応づけられていたテナントIDを、今回特定したテナントIDに更新すればよい。
次に、テナントID登録部22は、特定したテナントIDを、通信情報出力部24に通知する。そして、通信情報出力部24は、LDAPリクエストにテナントIDを含めて、SDNコントローラ31に返却する(ステップD35)。
以上で、通信情報制御装置20は、テナントID登録動作を終了する。
次に、本発明の第2の実施の形態の効果について述べる。
本発明の第2の実施の形態としての中継システムは、運用コスト、マシンコスト、検索コストを低減しながら、利用者に意識させることなく、より適切なテナントIDをサーバに通知することができる。
その理由について説明する。本実施の形態では、通信情報取得部によってリクエストが取得されると、テナントID登録部が、リクエストから抽出された利用者情報に対応するテナントIDを特定する。このテナントIDの特定処理は、マルチテナントサービスの管理情報に特権アカウントでアクセスすることにより行われる。そして、テナントID登録部が、送信元IPアドレスおよびテナントIDの対応関係をテナントID対応テーブルに登録する。そして、リクエストの送信元IPアドレスがテナントID対応テーブルに含まれる場合に、テナントID特定部が、送信元IPアドレスに対応付けられたテナントIDと、リクエストから抽出された利用者情報との対応関係が正しいか否かを確認する。この確認処理は、マルチテナントサービスの管理情報に特権アカウントでアクセスすることにより行われる。そして、対応関係が正しいことが確認された場合に、通信情報出力部が、そのテナントIDをリクエストに含めて返却するからである。
また、さらに、本実施の形態は、テナントID対応テーブルに含まれる送信元IPアドレスに対応付けられたテナントIDおよびリクエストから抽出された利用者情報の対応関係が正しくない場合に、次のように動作するよう構成される。すなわち、テナントID特定部が、その利用者情報に対応する他のテナントIDがあるか否かを確認する。この確認処理は、マルチテナントサービスの管理情報に特権アカウントでアクセスすることにより行われる。そして、他のテナントIDがある場合、テナントID特定部は、送信元IPアドレスに対応付けられたテナントIDおよび利用者情報の組合せに対応付けて、失敗回数を記録する。そして、失敗回数が所定条件を満たした場合に、テナントID登録部が、リクエストから抽出された利用者情報に対応するテナントIDを改めて特定する。そして、テナントID登録部が、改めて特定したテナントIDを用いて、テナントID対応テーブルにおいて送信元IPアドレスに対応付けられた情報を更新するからである。テナントIDを改めて特定する処理は、マルチテナントサービスの管理情報に特権アカウントでアクセスすることにより行われる。また、そのような他のテナントIDがない場合、または、失敗回数が所定条件を満たさない場合は、通信情報出力部は、認証失敗情報を、SDNコントローラに返却する。
これにより、本実施の形態は、次の2つのケースを区別して、より適切なテナントIDを特定することができる。
1つ目のケースは、対象のテナントIDの利用者が、リクエストに含める利用者情報の入力を間違えたケースである。つまり、本実施の形態は、他のテナントIDがない、または、失敗回数が所定条件を満たさない(閾値を超えない)場合は、この1つ目のケースであるとみなす。そして、この場合、本実施の形態は、認証失敗情報を返却することにより、利用者に正しい利用者情報の入力を促すことになる。その結果、本実施の形態は、次回のリクエストについて、その送信元IPアドレスに対応付けられたテナントIDおよび利用者情報との対応関係が正しいと判断し、正しい利用者情報を含むリクエストに適切なテナントIDを含めてサーバに送信する可能性を高める。
2つ目のケースは、利用者環境の変更等の理由により、ある送信元IPアドレスが、以前にはテナントAの利用者からのリクエストの送信元であったが、テナントBの利用者からのリクエストの送信元に変更されたような場合である。この場合、リクエストから抽出される利用者情報は、テナントID対応テーブルにおいてリクエストの送信元IPアドレスに対応付けられたテナントIDとは異なるテナントIDに対応することになる。つまり、本実施の形態は、他のテナントIDがあり、失敗回数が所定条件を満たす場合、他のテナントIDの利用者が、変更になった送信元から正しい利用者情報を何度も入力してリクエストを送信している可能性が高いとみなす。そして、この場合、本実施の形態は、テナントID登録処理を行って、その送信元IPアドレスに対応するテナントIDを、利用者環境の変更に対応した新たなテナントIDに更新することができる。
このようにして、本実施の形態は、利用者に、テナントIDを意識させることなく、マルチテナントサービスを利用させることが可能である。また、本実施の形態は、送信元の識別アドレスに基づいてテナントIDを特定するよう構成されるため、各テナントが属する組織のゲートウェイの外からの認証要求に対しても対応することができる。その結果、利用者は、自テナントのゲートウェイの外からモバイル端末を用いる場合でも、テナントIDを意識することなくマルチテナントサービスを利用可能である。
また、本実施の形態は、クライアントの利用環境変化に応じて、テナントID対応テーブルを更新する。そのため、本実施の形態は、クライアントの利用環境変化に伴う、マルチテナントサービス事業者への利用変更申請を不要にし、運用コストを低減する。
また、本実施の形態は、マルチテナントサービス事業者側にとって、顧客の利用環境を別途管理する必要が無い。また、クライアント側の送信元アドレスは、顧客のゲートウェイのアドレスとなるケースが多い。このため、本実施の形態では、利用者数が増大しても、テナントID対応テーブルを保存するためのメモリ量が増大することはない。したがって、本実施の形態は、利用者数増加の影響を受けることなく、低リソースで実現可能となり、マシンコストを増大させない。また、本実施の形態は、利用者数増加の影響を受けることなく、テナントID対応テーブルに対する検索コストを増大させない。
なお、本実施の形態において、通信情報制御装置は、SDNコントローラの機能として実現されてもよい。
また、本実施の形態において、テナントID特定部は、テナントID対応テーブルから取得したテナントIDおよびリクエストから抽出された利用者情報の対応関係が正しいか否かを確認する処理として、図10〜図11に示した処理を行う例を説明した。これに限らず、テナントID特定部は、その他の手法を用いて、テナントIDおよびリクエストから抽出された利用者情報の対応関係が正しいか否かを確認してもよい。
また、本実施の形態において、テナントID特定部は、利用者が誤った利用者情報を入力している場合と、利用者環境に変更のあった他のテナントIDの利用者が正しい利用者情報を入力している場合とを判別するため、失敗回数を記録する例を説明した。これに限らず、テナントID特定部は、その他の判断基準を用いて、これらのケースを判別してもよい。
また、本実施の形態において、マルチテナントサービスの一例として、マルチテナント型のLDAPディレクトリサービスを想定して説明した。これに限らず、本実施の形態は、他のマルチテナントサービスにも適用可能である。例えば、本実施の形態は、マルチテナントサービスとして、一般的なDBMS(Database Management System)を利用したマルチテナント型アプリケーションサービスを適用した場合にも実施可能である。
また、本実施の形態において、通信経路制御システムが、SDNによって構成される例について説明した。ただし、通信経路制御システムの構成はこれに限られない。通信経路制御システムは、マルチテナントサービスに対する認証要求を表すクライアントからのリクエストを通信情報制御装置に転送し、通信情報制御装置から出力されるリクエストをサーバに転送するよう通信経路を制御するシステムであればよい。
また、本実施の形態において、テナントID登録部は、失敗回数が所定条件を満たしたことを契機に動作する場合、テナントID対応テーブルにおいて送信元IPアドレスに対応付けられたテナントIDを新たなテナントIDで更新する例を中心に説明した。これに限らず、本実施の形態において、テナントID登録部は、失敗回数が所定条件を満たしたことを契機に動作する場合、テナントID対応テーブルに、送信元IPアドレスおよび新たに特定したテナントIDを対応付けた情報を追加してもよい。この場合、テナントID特定部は、テナントID対応テーブルから、送信元IPアドレスに対応する複数のテナントIDを取得するケースが出てくる。このような場合、テナントID特定部は、リクエストから抽出された利用者情報を配下に持つテナントIDを特定すればよい。
また、上述した本発明の各実施の形態において、マルチテナントサービスでは、異なるテナントであっても同一の利用者情報が登録されないよう運用されるものとして説明した。これに限らず、各実施の形態は、異なるテナントであれば同一の利用者情報が登録される場合にも対応可能である。この場合、通信情報出力部は、テナントIDをクライアントに問い合わせる情報を返却してもよい。
また、上述した本発明の各実施の形態は、マルチテナントサービスの管理情報において利用者情報が所定のアルゴリズムで暗号化されている場合にも対応可能である。この場合、テナントID登録部およびテナントID特定部は、リクエストから抽出された利用者情報を、同一のアルゴリズムで暗号化した上で管理情報を検索すればよい。
また、上述した本発明の各実施の形態において、通信情報制御装置の各機能ブロックが、記憶装置またはROMに記憶されたコンピュータ・プログラムを実行するCPUによって実現される例を中心に説明した。これに限らず、各機能ブロックの一部、全部、または、それらの組み合わせが専用のハードウェアにより実現されていてもよい。
また、上述した本発明の各実施の形態において、通信情報制御装置の機能ブロックは、複数の装置に分散されて実現されてもよい。
また、上述した本発明の各実施の形態において、各フローチャートを参照して説明した通信情報制御装置の動作を、本発明のコンピュータ・プログラムとしてコンピュータの記憶装置(記憶媒体)に格納しておく。そして、係るコンピュータ・プログラムを当該CPUが読み出して実行するようにしてもよい。そして、このような場合において、本発明は、係るコンピュータ・プログラムのコードあるいは記憶媒体によって構成される。
また、上述した各実施の形態は、適宜組み合わせて実施されることが可能である。
また、本発明は、上述した各実施の形態に限定されず、様々な態様で実施されることが可能である。
10、20 通信情報制御装置
11、21 通信情報取得部
12、22 テナントID登録部
13、23 テナントID特定部
14、24 通信情報出力部
2 中継システム
30 通信経路制御システム
31 SDNコントローラ
32 第1のSDNスイッチ
33 第2のSDNスイッチ
80、81 サーバ
90、91 クライアント
1001 CPU
1002 メモリ
1003 出力装置
1004 入力装置
1005 ネットワークインタフェース

Claims (9)

  1. テナント毎に登録された利用者に対してマルチテナントサービスを提供するサーバおよび前記マルチテナントサービスを利用するクライアント間で送受信される情報を制御する通信情報制御装置であって、
    前記クライアントから前記サーバへ送信される前記マルチテナントサービスに対する認証要求を表すリクエストを取得する通信情報取得部と、
    前記リクエストの送信元の識別アドレスがテナントID対応テーブルに含まれない場合、前記サーバにおける前記マルチテナントサービスの管理情報を参照することにより、前記リクエストから抽出される利用者情報に対応するテナントIDを特定し、特定したテナントIDおよび前記送信元の識別アドレスを対応付けて前記テナントID対応テーブルに登録するテナントID登録部と、
    前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDを特定するテナントID特定部と、
    前記テナントID登録部または前記テナントID特定部によって特定されたテナントIDを前記リクエストに含めて、前記マルチテナントサービスに対するリクエストとして出力する通信情報出力部と、
    を備え
    前記テナントID特定部は、前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDと前記利用者情報との対応関係が正しいか否かを、前記管理情報を参照することにより判断し、正しいと判断した場合に、該テナントIDを特定し、
    前記テナントID特定部によって、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDと前記利用者情報との対応関係が正しくないと判断された場合に、前記通信情報出力部は、前記送信元に対する返却用の認証失敗情報を出力する
    通信情報制御装置。
  2. テナント毎に登録された利用者に対してマルチテナントサービスを提供するサーバおよび前記マルチテナントサービスを利用するクライアント間で送受信される情報を制御する通信情報制御装置であって、
    前記クライアントから前記サーバへ送信される前記マルチテナントサービスに対する認証要求を表すリクエストを取得する通信情報取得部と、
    前記リクエストの送信元の識別アドレスがテナントID対応テーブルに含まれない場合、前記サーバにおける前記マルチテナントサービスの管理情報を参照することにより、前記リクエストから抽出される利用者情報に対応するテナントIDを特定し、特定したテナントIDおよび前記送信元の識別アドレスを対応付けて前記テナントID対応テーブルに登録するテナントID登録部と、
    前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDを特定するテナントID特定部と、
    前記テナントID登録部または前記テナントID特定部によって特定されたテナントIDを前記リクエストに含めて、前記マルチテナントサービスに対するリクエストとして出力する通信情報出力部と、
    を備え、
    前記テナントID特定部は、前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDと前記利用者情報との対応関係が正しいか否かを、前記管理情報を参照することにより判断し、正しいと判断した場合に、該テナントIDを特定し、
    前記テナントID特定部によって、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDと前記利用者情報との対応関係が正しくないと判断された場合に、前記テナントID登録部は、前記管理情報を参照することにより前記利用者情報に対応するテナントIDを特定し、特定したテナントIDを用いて前記テナントID対応テーブルを更新する
    通信情報制御装置。
  3. 前記テナントID特定部は、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDと前記利用者情報との対応関係が正しくないと判断した失敗回数を、該テナントIDおよび該利用者情報の組合せ毎に記録し、
    前記テナントID登録部は、前記失敗回数が所定条件を満たした場合に、前記管理情報を参照することにより前記利用者情報に対応するテナントIDを特定し、特定したテナントIDを用いて前記テナントID対応テーブルを更新することを特徴とする請求項に記載の通信情報制御装置。
  4. 前記テナントID特定部は、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDと前記利用者情報との対応関係が正しくないと判断した場合に、前記利用者情報との対応関係が正しい他のテナントIDがあるか否かを、前記管理情報を参照することにより判断し、他のテナントIDがあると判断した場合に、前記失敗回数を記録することを特徴とする請求項に記載の通信情報制御装置。
  5. 請求項1から請求項のいずれか1項に記載の通信情報制御装置と、
    前記クライアントから前記マルチテナントサービスに対する認証要求を表すリクエストを受信すると、該リクエストを前記通信情報制御装置に転送することにより、前記通信情報制御装置から前記テナントIDを含むリクエストを受信し、受信したリクエストを前記サーバに送信する通信経路制御システムと、
    を備えた中継システム。
  6. テナント毎に登録された利用者に対してマルチテナントサービスを提供するサーバおよび前記マルチテナントサービスを利用するクライアント間で送受信される情報を制御する通信情報制御方法であって、
    前記クライアントから前記サーバへ送信される前記マルチテナントサービスに対する認証要求を表すリクエストを取得すると、
    前記リクエストの送信元の識別アドレスがテナントID対応テーブルに含まれない場合、前記サーバにおける前記マルチテナントサービスの管理情報を参照することにより、前記リクエストから抽出される利用者情報に対応するテナントIDを特定し、特定したテナントIDおよび前記送信元の識別アドレスを対応付けて前記テナントID対応テーブルに
    登録し、
    前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応づけられたテナントIDを特定し、
    特定したテナントIDを前記リクエストに含めて、前記マルチテナントサービスに対するリクエストとして出力し、
    前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDと前記利用者情報との対応関係が正しいか否かを、前記管理情報を参照することにより判断し、正しいと判断した場合に、該テナントIDを特定し、
    前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDと前記利用者情報との対応関係が正しくないと判断された場合に、前記送信元に対する返却用の認証失敗情報を出力する
    通信情報制御方法。
  7. テナント毎に登録された利用者に対してマルチテナントサービスを提供するサーバおよび前記マルチテナントサービスを利用するクライアント間で送受信される情報を制御する通信情報制御方法であって、
    前記クライアントから前記サーバへ送信される前記マルチテナントサービスに対する認証要求を表すリクエストを取得すると、
    前記リクエストの送信元の識別アドレスがテナントID対応テーブルに含まれない場合、前記サーバにおける前記マルチテナントサービスの管理情報を参照することにより、前記リクエストから抽出される利用者情報に対応するテナントIDを特定し、特定したテナントIDおよび前記送信元の識別アドレスを対応付けて前記テナントID対応テーブルに
    登録し、
    前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応づけられたテナントIDを特定し、
    特定したテナントIDを前記リクエストに含めて、前記マルチテナントサービスに対するリクエストとして出力し、
    前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDと前記利用者情報との対応関係が正しいか否かを、前記管理情報を参照することにより判断し、正しいと判断した場合に、該テナントIDを特定し、
    前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDと前記利用者情報との対応関係が正しくないと判断された場合に、前記管理情報を参照することにより前記利用者情報に対応するテナントIDを特定し、特定したテナントIDを用いて前記テナントID対応テーブルを更新する
    通信情報制御方法。
  8. テナント毎に登録された利用者に対してマルチテナントサービスを提供するサーバおよび前記マルチテナントサービスを利用するクライアント間で送受信される情報を制御する通信情報制御装置に、
    前記クライアントから前記サーバへ送信される前記マルチテナントサービスに対する認証要求を表すリクエストを取得する通信情報取得ステップと、
    前記リクエストの送信元の識別アドレスがテナントID対応テーブルに含まれない場合、前記サーバにおける前記マルチテナントサービスの管理情報を参照することにより、前記リクエストから抽出される利用者情報に対応するテナントIDを特定し、特定したテナントIDおよび前記送信元の識別アドレスを対応付けて前記テナントID対応テーブルに登録するテナントID登録ステップと、
    前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応づけられたテナントIDを特定するテナントID特定ステップと、
    前記テナントID登録ステップまたは前記テナントID特定ステップにおいて特定されたテナントIDを前記リクエストに含めて、前記マルチテナントサービスに対するリクエストとして出力する通信情報出力ステップと、を実行させ
    前記テナントID特定ステップにおいて、前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDと前記利用者情報との対応関係が正しいか否かを、前記管理情報を参照することにより判断し、正しいと判断した場合に、該テナントIDを特定し、
    前記テナントID特定ステップにおいて、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDと前記利用者情報との対応関係が正しくないと判断された場合に、前記送信元に対する返却用の認証失敗情報を出力する
    通信情報制御プログラム。
  9. テナント毎に登録された利用者に対してマルチテナントサービスを提供するサーバおよび前記マルチテナントサービスを利用するクライアント間で送受信される情報を制御する通信情報制御装置に、
    前記クライアントから前記サーバへ送信される前記マルチテナントサービスに対する認証要求を表すリクエストを取得する通信情報取得ステップと、
    前記リクエストの送信元の識別アドレスがテナントID対応テーブルに含まれない場合、前記サーバにおける前記マルチテナントサービスの管理情報を参照することにより、前記リクエストから抽出される利用者情報に対応するテナントIDを特定し、特定したテナントIDおよび前記送信元の識別アドレスを対応付けて前記テナントID対応テーブルに登録するテナントID登録ステップと、
    前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応づけられたテナントIDを特定するテナントID特定ステップと、
    前記テナントID登録ステップまたは前記テナントID特定ステップにおいて特定されたテナントIDを前記リクエストに含めて、前記マルチテナントサービスに対するリクエストとして出力する通信情報出力ステップと、を実行させ、
    前記テナントID特定ステップにおいて、前記送信元の識別アドレスが前記テナントID対応テーブルに含まれる場合、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDと前記利用者情報との対応関係が正しいか否かを、前記管理情報を参照することにより判断し、正しいと判断した場合に、該テナントIDを特定し、
    前記テナントID特定ステップにおいて、前記テナントID対応テーブルにおいて前記送信元の識別アドレスに対応付けられたテナントIDと前記利用者情報との対応関係が正しくないと判断された場合に、前記管理情報を参照することにより前記利用者情報に対応するテナントIDを特定し、特定したテナントIDを用いて前記テナントID対応テーブルを更新する
    通信情報制御プログラム。
JP2015021341A 2015-02-05 2015-02-05 通信情報制御装置、中継システム、通信情報制御方法、および、通信情報制御プログラム Expired - Fee Related JP6540063B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015021341A JP6540063B2 (ja) 2015-02-05 2015-02-05 通信情報制御装置、中継システム、通信情報制御方法、および、通信情報制御プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015021341A JP6540063B2 (ja) 2015-02-05 2015-02-05 通信情報制御装置、中継システム、通信情報制御方法、および、通信情報制御プログラム

Publications (2)

Publication Number Publication Date
JP2016144186A JP2016144186A (ja) 2016-08-08
JP6540063B2 true JP6540063B2 (ja) 2019-07-10

Family

ID=56570938

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015021341A Expired - Fee Related JP6540063B2 (ja) 2015-02-05 2015-02-05 通信情報制御装置、中継システム、通信情報制御方法、および、通信情報制御プログラム

Country Status (1)

Country Link
JP (1) JP6540063B2 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6419143B2 (ja) * 2016-12-20 2018-11-07 株式会社ミロク情報サービス 共通プログラム、データベース管理装置、及びデータベース管理方法
JP6624251B1 (ja) * 2018-07-31 2019-12-25 横河電機株式会社 インターフェイスモジュール、ネットワークデバイス、およびネットワークシステム
JP7322619B2 (ja) * 2019-09-13 2023-08-08 株式会社リコー コンピュータシステム、ログイン画面表示方法、プログラム
JP7396205B2 (ja) * 2020-06-02 2023-12-12 コニカミノルタ株式会社 医療情報保管プログラム及び医療情報保管管理装置
CN112596857B (zh) * 2020-12-25 2024-06-21 北京知因智慧科技有限公司 一种SaaS多租户数据隔离的方法、装置、设备及介质

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5132378B2 (ja) * 2008-03-21 2013-01-30 日本電信電話株式会社 サービス管理方法及びサービス管理システム
JP5239966B2 (ja) * 2009-03-17 2013-07-17 富士通株式会社 中継装置、テナント管理プログラム

Also Published As

Publication number Publication date
JP2016144186A (ja) 2016-08-08

Similar Documents

Publication Publication Date Title
US10374955B2 (en) Managing network computing components utilizing request routing
US20240340340A1 (en) Systems and methods for distributing partial data to subnetworks
CN107690800B (zh) 管理动态ip地址分配
KR101379864B1 (ko) 네트워크 연산 요소들을 이용한 요청 라우팅
US8533293B1 (en) Client side cache management
US11218437B2 (en) Method for network traffic forwarding, request sending, and communication acceleration, forwarding server and node server
US20180205697A1 (en) Managing content delivery network service providers by a content broker
US20080184354A1 (en) Single sign-on system, information terminal device, single sign-on server, single sign-on utilization method, storage medium, and data signal
JP6540063B2 (ja) 通信情報制御装置、中継システム、通信情報制御方法、および、通信情報制御プログラム
CN103986741A (zh) 云数据系统、云数据中心及其资源管理方法
JP5865277B2 (ja) 認証スイッチまたはネットワークシステム
US20200287974A1 (en) System and method for switching between publish/subscribe services
JP2014048900A (ja) 計算機システム及びパケット転送方法
JPWO2013190737A1 (ja) サーバシステム、サーバ、サーバ制御方法、及び、サーバ制御プログラム
Xie et al. Supporting seamless virtual machine migration via named data networking in cloud data center
KR20140007363A (ko) 기업 네트워크 외부로부터의 사이트-인식 분산형 파일 시스템 액세스
US10581923B2 (en) System and method for configuration of a connected device connection
CN101345628A (zh) 源节点选择方法
US20130262637A1 (en) Dns proxy service for multi-core platforms
CN108377245A (zh) 一种网络接入请求的优化认证方法及系统
JP4269343B2 (ja) 名前解決サーバおよびパケット転送装置
JP4965683B2 (ja) 再送判定装置、再送判定方法、再送判定プログラム、及び再送判定システム
WO2015145953A1 (ja) 通信端末、通信方法及びプログラムを格納する記憶媒体
AU2023203129B2 (en) Systems and methods for distributing partial data to subnetworks
JP6522490B2 (ja) ネットワークシステム、制御装置、及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180115

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20181126

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181204

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190130

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190514

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190527

R150 Certificate of patent or registration of utility model

Ref document number: 6540063

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees