Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6716655B2 - Information processing system, information processing method, and program - Google Patents
[go: Go Back, main page]

JP6716655B2 - Information processing system, information processing method, and program - Google Patents

Information processing system, information processing method, and program Download PDF

Info

Publication number
JP6716655B2
JP6716655B2 JP2018181831A JP2018181831A JP6716655B2 JP 6716655 B2 JP6716655 B2 JP 6716655B2 JP 2018181831 A JP2018181831 A JP 2018181831A JP 2018181831 A JP2018181831 A JP 2018181831A JP 6716655 B2 JP6716655 B2 JP 6716655B2
Authority
JP
Japan
Prior art keywords
authority
user
information
role
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018181831A
Other languages
Japanese (ja)
Other versions
JP2020052759A (en
Inventor
義文 植木
義文 植木
直毅 安藤
直毅 安藤
英樹 浦田
英樹 浦田
幸三 大塚
幸三 大塚
敏弘 丹
敏弘 丹
Original Assignee
株式会社アクシオ
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社アクシオ filed Critical 株式会社アクシオ
Priority to JP2018181831A priority Critical patent/JP6716655B2/en
Publication of JP2020052759A publication Critical patent/JP2020052759A/en
Application granted granted Critical
Publication of JP6716655B2 publication Critical patent/JP6716655B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、情報処理システム、情報処理方法及びプログラムに関し、特に、複数のシステムに対してユーザーのシステム権限情報を付与する技術に関する。 The present invention relates to an information processing system, an information processing method, and a program, and more particularly to a technique for giving system authority information of a user to a plurality of systems.

近年、多くの企業において社内ネットワークが構築され、個々のPCで複数の業務システムやサービス(以下、単に「システム」と称する)を利用できるようになっている。ネットワーク上のシステムの利用に際しては、情報セキュリティの観点から、ユーザーごとにシステム利用情報(ユーザーID及びパスワード等の認証情報を含む、アカウント情報とも呼ばれる)が設定されるとともに、適切なシステム権限情報(アクセス権限及び利用権限を含む)が設定される。最近では、システムごとに設定されるユーザーのシステム利用情報及びシステム権限情報を一括して管理する情報処理システム(以下、「ID管理システム」と称する)の導入が進められている。ID管理システムでは、例えば、ユーザーの属性(例えば、社員区分(正社員/派遣社員)や所属部署)に基づいてシステムごとに権限情報が設定され、ユーザーのシステム利用情報に対応付けられる(例えば、特許文献1)。 In recent years, many companies have built in-house networks, and individual PCs can use a plurality of business systems and services (hereinafter, simply referred to as “system”). When using the system on the network, from the viewpoint of information security, system usage information (also called account information including authentication information such as user ID and password) is set for each user, and appropriate system authority information ( (Including access authority and usage authority) is set. Recently, an information processing system (hereinafter, referred to as “ID management system”) that collectively manages system usage information and system authority information of a user set for each system has been introduced. In the ID management system, for example, authority information is set for each system based on a user's attribute (for example, employee classification (regular employee/temporary employee) or department), and is associated with the user's system usage information (for example, patent Reference 1).

特許第5509941号公報Japanese Patent No. 5509941

しかしながら、特許文献1等に開示されている従来のID管理システムでは、ユーザーが利用できるシステムのリストのみを内包したロールをユーザーごとに個別に割り当て、割り当てられたロールに内包されているシステムに対して当該ユーザーのシステム利用情報を付与する仕組みを備えているにすぎない。そのため、ユーザーの属性に応じて一般的な業務システムが備えている権限情報まで自動的に付与しようとすると、各システムと連携するための処理プログラム(例えば、権限情報の生成プログラム)を、それぞれのシステムの仕様に合わせて個別に開発しなければならず、開発時間及び工数が増大する虞があり、システム導入時の障壁となっている。 However, in the conventional ID management system disclosed in Patent Document 1 or the like, a role including only a list of systems available to the user is individually assigned to each user, and a system included in the assigned role is assigned to each role. It is only provided with a mechanism for giving the system usage information of the user. Therefore, if you try to automatically grant authority information that a general business system has according to the user's attributes, you need to add a processing program (for example, authority information generation program) to cooperate with each system. It has to be individually developed according to the system specifications, which may increase the development time and man-hours, which is a barrier to system introduction.

本発明の目的は、システムの仕様に関わらず、システムごとに設定されるユーザーごとのシステム権限情報をユーザーの属性に応じて自動的に払い出すことを共通の処理で生成し、付与することができる情報処理システム、情報処理方法及びプログラムを提供することである。 It is an object of the present invention to automatically generate a system privilege information for each user, which is set for each system, according to the attribute of the user, regardless of the system specifications, by a common process. It is to provide an information processing system, an information processing method, and a program that can be performed.

本発明に係る情報処理システムは、
ネットワークを介して接続された複数のシステムに対して、当該複数のシステムを利用するユーザーのシステム権限情報を前記システムごとに設定する情報処理システムであって、
前記ユーザーのユーザー属性を含むユーザー情報を取得するユーザー情報取得部と、
前記ユーザーに対して、前記ユーザー属性に予め関連付けられた権限ロールを付与する権限ロール付与部と、
付与された前記権限ロールに予め関連付けられた前記システムごとのシステム権限情報を、前記権限ロールが付与された前記ユーザーのシステム権限情報として設定する権限設定部と、を備え
前記権限設定部は、前記ユーザーに対して複数の前記権限ロールが付与されることにより、前記システムにおいて同種のシステム権限情報が複数該当することになった場合、予め定められた優先順に従って、当該ユーザーのシステム権限情報を設定する
The information processing system according to the present invention is
An information processing system for setting system authority information of a user who uses the plurality of systems for each of the plurality of systems connected via a network,
A user information acquisition unit for acquiring user information including user attributes of the user,
To the user, a privilege role assigning unit that grants a privilege role previously associated with the user attribute,
A system authority information for each system that is associated in advance with the granted authority role, and an authority setting unit that sets as the system authority information of the user to which the authority role is granted ,
The authority setting unit, when a plurality of the authority roles are given to the user, resulting in a plurality of system authority information of the same type in the system, according to a predetermined priority order, Set the user's system privilege information .

本発明に係る情報処理方法は、
ネットワークを介して接続された複数のシステムに対して、当該複数のシステムを利用するユーザーのシステム権限情報を前記システムごとに設定する情報処理方法であって、
前記ユーザーのユーザー属性を含むユーザー情報を取得する工程と、
前記ユーザーに対して、前記ユーザー属性に予め関連付けられた権限ロールを付与する工程と、
付与された前記権限ロールに予め関連付けられた前記システムごとのシステム権限情報を、前記権限ロールが付与された前記ユーザーのシステム権限情報として設定する工程と、を備え
前記第3工程では、前記ユーザーに対して複数の前記権限ロールが付与されることにより、前記システムにおいて同種のシステム権限情報が複数該当することになった場合、予め定められた優先順に従って、当該ユーザーのシステム権限情報を設定する
The information processing method according to the present invention is
An information processing method for setting system authority information of a user who uses the plurality of systems for each of the plurality of systems connected via a network,
Obtaining user information including user attributes of the user,
Granting to the user an authorization role pre-associated with the user attribute;
Setting the system authority information for each system previously associated with the granted authority role as system authority information of the user to which the authority role is granted ,
In the third step, when a plurality of the authority roles are given to the user, so that a plurality of system authority information of the same type in the system is applicable, according to a predetermined priority order, Set the user's system privilege information .

本発明に係るプログラムは、
ネットワークを介して接続された複数のシステムに対して、当該複数のシステムを利用するユーザーのシステム権限情報を前記システムごとに設定するコンピューターに、
前記ユーザーのユーザー属性を含むユーザー情報を取得する処理と、
前記ユーザーに対して、前記ユーザー属性に予め関連付けられた権限ロールを付与する処理と、
付与された前記権限ロールに予め関連付けられた前記システムごとのシステム権限情報を、前記権限ロールが付与された前記ユーザーのシステム権限情報として設定する処理と、を実行させ
第3処理では、前記ユーザーに対して複数の前記権限ロールが付与されることにより、前記システムにおいて同種のシステム権限情報が複数該当することになった場合、予め定められた優先順に従って、当該ユーザーのシステム権限情報を設定する
The program according to the present invention is
For a plurality of systems connected via a network, a computer that sets the system authority information of the user who uses the plurality of systems for each system,
A process of obtaining user information including a user attribute of the user,
A process of granting to the user an authorization role pre-associated with the user attribute;
System authority information for each system previously associated with the granted authority role is set as system authority information of the user to which the authority role is granted , and
In the third processing, when a plurality of the authority roles are given to the user, and thus a plurality of system authority information of the same type in the system is applicable, the user is assigned according to a predetermined priority order. Set the system privilege information of .

本発明によれば、システムの仕様に関わらず、システムごとに設定されるユーザーのシステム権限情報を共通の処理で生成し、付与することができる。 According to the present invention, it is possible to generate and give user system authority information set for each system by a common process regardless of the system specifications.

図1は、実施の形態に係るID管理システムを適用した社内ネットワークの概略構成を示す図である。FIG. 1 is a diagram showing a schematic configuration of an in-house network to which the ID management system according to the embodiment is applied. 図2は、ID管理システムを利用してシステム権限情報を設定する際のデータの流れを示す図である。FIG. 2 is a diagram showing a data flow when setting the system authority information using the ID management system. 図3は、ID管理システムのハードウェア構成を示す図である。FIG. 3 is a diagram showing a hardware configuration of the ID management system. 図4は、権限設定処理の一例を示すフローチャートである。FIG. 4 is a flowchart showing an example of the authority setting process. 図5は、ユーザー情報のデータ構成を示す図である。FIG. 5 is a diagram showing a data structure of user information. 図6は、権限ロールとユーザー属性の対応関係の一例を示す図である。FIG. 6 is a diagram showing an example of a correspondence relationship between authority roles and user attributes. 図7は、権限ロールと権限セットの対応関係の一例を示す図である。FIG. 7 is a diagram showing an example of a correspondence relationship between authority roles and authority sets. 図8は、権限セットと権限情報の対応関係の一例を示す図である。FIG. 8 is a diagram showing an example of a correspondence relationship between authority sets and authority information. 図9は、システムごとに設定されたユーザーの権限情報の一例を示す図である。FIG. 9 is a diagram showing an example of user authority information set for each system.

以下、本発明の実施の形態を、図面を参照して詳細に説明する。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.

図1は、本発明の一実施の形態に係るID管理システム1を適用した社内ネットワークシステムSの概略構成を示す図である。
図1に示すように、社内ネットワークシステムSは、ID管理システム1、業務システム2、及びクライアント端末3を備える。ID管理システム1、業務システム2、及びクライアント端末3は、例えば、汎用のPCで構成され、社内LAN等の通信ネットワークを介して、相互に通信可能に接続される。また、社内ネットワークシステムSは、人事システム4を備え、ID管理システム1は、人事システム4から社員のユーザー情報を含む源泉データ(例えば、CSVデータ)を入手することができる。
FIG. 1 is a diagram showing a schematic configuration of an in-house network system S to which an ID management system 1 according to an embodiment of the present invention is applied.
As shown in FIG. 1, the in-house network system S includes an ID management system 1, a business system 2, and a client terminal 3. The ID management system 1, the business system 2, and the client terminal 3 are composed of, for example, a general-purpose PC, and are communicably connected to each other via a communication network such as an in-house LAN. Further, the in-house network system S includes the personnel system 4, and the ID management system 1 can obtain source data (eg, CSV data) including employee user information from the personnel system 4.

業務システム2は、クラインアント端末3からの利用要求に対して、各種のサービスを提供するシステムである。本実施の形態では、業務システム2として、例えば、交通費清算等のワークフローを提供するAシステム21、文書管理を行うBシステム22、在庫管理を行うCシステム23、会計処理を行うDシステム24、スケジューラーを提供するNシステム25等を備えている。 The business system 2 is a system that provides various services in response to a usage request from the client terminal 3. In the present embodiment, as the business system 2, for example, an A system 21 that provides a workflow such as transportation expense settlement, a B system 22 that manages documents, a C system 23 that manages inventory, and a D system 24 that performs accounting processing, The system includes an N system 25 that provides a scheduler.

クライアント端末3は、通常の業務に使用されるPCであり、例えば、ノートPC31、スマートフォン等の携帯端末32、及びデスクトップPC33等を含む。 The client terminal 3 is a PC used for normal business, and includes, for example, a notebook PC 31, a mobile terminal 32 such as a smartphone, and a desktop PC 33.

クライアント端末3は、業務システム2のログイン画面において、認証情報(例えば、ユーザーID及びパスワード)を入力して利用要求を行うことにより、業務システム2のサービスを利用可能となる。業務システム2では、ユーザー属性に基づいて、ユーザーごとにシステム権限情報(アクセス権限及び利用権限を含む、以下、単に「権限情報」と称する)が設定されており、利用できるサービスが制限されている。ユーザー属性は、例えば、所属部署、役職、及び社員区分(正社員又は派遣社員)を含む。 The client terminal 3 can use the service of the business system 2 by inputting authentication information (for example, user ID and password) on the login screen of the business system 2 to make a usage request. In the business system 2, system authority information (including access authority and usage authority, hereinafter simply referred to as “authority information”) is set for each user based on user attributes, and available services are limited. .. The user attributes include, for example, a department, a post, and an employee classification (regular employee or temporary employee).

ID管理システム1は、業務システム2にログインするための認証情報を一括して管理するとともに、システム21〜25ごとにユーザーの権限情報を設定する。具体的には、図2に示すように、ID管理システム1は、人事システム4から源泉データ(人事情報の一例)を入手し、源泉データに含まれるユーザー情報に基づいて、システム21〜25ごとの権限データDa〜Dnを生成し、各システム21〜25に付与する。権限データDa〜Dnは、各システム21〜25において、ユーザーのシステム利用情報(アカウント情報)に対応づけて管理される。 The ID management system 1 collectively manages the authentication information for logging in to the business system 2, and sets the authority information of the user for each of the systems 21 to 25. Specifically, as shown in FIG. 2, the ID management system 1 obtains source data (an example of personnel information) from the personnel system 4, and based on the user information included in the source data, each of the systems 21 to 25. Authority data Da to Dn is generated and given to each system 21 to 25. The authority data Da to Dn are managed in each of the systems 21 to 25 in association with the system usage information (account information) of the user.

本実施の形態では、ID管理システム1が、システム21〜25ごとの権限データDa〜Dnを、システム21〜25の仕様に関わらず、共通の処理により生成し、設定できる点が特徴的である。以下に、ID管理システム1によるシステム権限情報の設定について、詳細に説明する。 The present embodiment is characterized in that the ID management system 1 can generate and set the authority data Da to Dn for each of the systems 21 to 25 by a common process regardless of the specifications of the systems 21 to 25. .. The setting of the system authority information by the ID management system 1 will be described in detail below.

図3は、ID管理システム1のハードウェア構成を示す図である。
図3に示すように、ID管理システム1は、演算/制御装置としてのCPU(Central Processing Unit)11、主記憶装置としてのRAM(Random Access Memory)12及びROM(Read Only Memory)13、記憶部14、表示部15、操作入力部16、ネットワークI/F17、及び外部機器I/F18等を有する。各ユニット12〜18は、システムバス19を介してCPU11に接続される。
FIG. 3 is a diagram showing a hardware configuration of the ID management system 1.
As shown in FIG. 3, the ID management system 1 includes a CPU (Central Processing Unit) 11 as an arithmetic/control device, a RAM (Random Access Memory) 12 and a ROM (Read Only Memory) 13 as main storage devices, and a storage unit. 14, a display unit 15, an operation input unit 16, a network I/F 17, an external device I/F 18, and the like. Each of the units 12 to 18 is connected to the CPU 11 via the system bus 19.

ROM13には、例えば、BIOS(Basic Input/Output System)、ファームウェア等の基本プログラムや、基本的な設定データが記憶される。CPU11は、記憶部14から処理内容に応じたプログラムを読み出してRAM12に展開し、展開したプログラムを実行することにより、各種機能を実現する。本実施の形態では、CPU11は、記憶部14に記憶されている権限設定プログラム144を実行することにより、ユーザー情報取得部、権限ロール付与部、及び権限設定部として機能する。これらの機能の詳細については、図4のフローチャートに従って後述する。 The ROM 13 stores, for example, basic programs such as a BIOS (Basic Input/Output System) and firmware, and basic setting data. The CPU 11 realizes various functions by reading a program corresponding to the processing content from the storage unit 14, loading the loaded program in the RAM 12, and executing the loaded program. In the present embodiment, the CPU 11 functions as a user information acquisition unit, a privilege role granting unit, and a privilege setting unit by executing the privilege setting program 144 stored in the storage unit 14. Details of these functions will be described later according to the flowchart of FIG.

記憶部14は、例えば、不揮発性の半導体メモリ(いわゆるフラッシュメモリ)やハードディスクドライブ等の補助記憶装置である。記憶部14は、CD(Compact Disc)、DVD(Digital Versatile Disc)、BD(Blu-ray Disc、「Blu-ray」は登録商標)等の光ディスク、MO(Magneto-Optical disk)等の光磁気ディスクを駆動して情報を読み書きするディスクドライブであってもよい。 The storage unit 14 is, for example, an auxiliary storage device such as a nonvolatile semiconductor memory (so-called flash memory) or a hard disk drive. The storage unit 14 is an optical disc such as a CD (Compact Disc), a DVD (Digital Versatile Disc), a BD (Blu-ray Disc, "Blu-ray" is a registered trademark), and a magneto-optical disc such as an MO (Magneto-Optical disk). It may be a disk drive that drives the disk to read and write information.

本実施の形態では、記憶部14は、権限設定プログラム144とともに、権限設定処理において参照される権限ルール部141、権限ロール部142、及び権限セット部143のデータを記憶する。
権限ルール部141は、ユーザー属性に基づいて権限ロールを特定し、割り当てるためのデータであり、ユーザー属性に基づいて定義された権限ルールに対して権限ロールが関連付けられている。権限ロール部142は、権限ロールに対応する権限セットを特定し、割り当てるためのデータであり、権限ロールに対して権限セットが関連付けられている。権限セット部143は、権限セットに対応する権限情報を特定し、割り当てるためのデータであり、権限セットに対して権限情報が関連付けられている。
権限ルール部141、権限ロール部142及び権限セット部143のデータは、ユーザー(システム管理者等)によって、適宜追加、変更又は削除することができる。
In the present embodiment, the storage unit 14 stores, together with the authority setting program 144, the data of the authority rule unit 141, the authority roll unit 142, and the authority set unit 143 which are referred to in the authority setting process.
The authority rule unit 141 is data for identifying and assigning the authority role based on the user attribute, and the authority role is associated with the authority rule defined based on the user attribute. The authority role unit 142 is data for identifying and assigning the authority set corresponding to the authority role, and the authority set is associated with the authority role. The authority set unit 143 is data for identifying and assigning authority information corresponding to the authority set, and the authority information is associated with the authority set.
The data of the authority rule unit 141, the authority role unit 142, and the authority set unit 143 can be appropriately added, changed, or deleted by the user (system administrator or the like).

表示部15は、例えば、液晶ディスプレイ、有機ELディスプレイ、CRTディスプレイ等で構成される。表示部15は、CPU11の指示に従って、画面表示を行う。 The display unit 15 is composed of, for example, a liquid crystal display, an organic EL display, a CRT display, or the like. The display unit 15 displays a screen according to an instruction from the CPU 11.

操作入力部16は、テンキー、スタートキー等の各種操作キー、及びマウス等のポインティングデバイスを備え、ユーザーによる各種入力操作を受け付けて、操作信号をCPU11に出力する。ユーザーは、操作入力部16を操作して、権限設定プログラム144の実行や、設定データ(権限ルール部141、権限ロール部142及び権限セット部143)の変更等を行うことができる。
なお、表示部15及び操作入力部16は、例えば、タッチパネル付きのフラットパネルディスプレイにより、一体的に設けられてもよい。
The operation input unit 16 includes various operation keys such as a numeric keypad and a start key, and a pointing device such as a mouse, receives various input operations by the user, and outputs operation signals to the CPU 11. The user can operate the operation input unit 16 to execute the authority setting program 144, change the setting data (the authority rule unit 141, the authority roll unit 142, and the authority setting unit 143).
The display unit 15 and the operation input unit 16 may be integrally provided by, for example, a flat panel display with a touch panel.

ネットワークI/F17は、有線/無線LAN(Local Area Network)等の通信ネットワークを介して外部機器と通信を行うためのインターフェースである。CPU11は、ネットワークI/F17を介して、ネットワークに接続された外部機器(例えば、業務システム2)との間で、各種情報の送受信を行う。 The network I/F 17 is an interface for communicating with an external device via a communication network such as a wired/wireless LAN (Local Area Network). The CPU 11 transmits/receives various information to/from an external device (for example, the business system 2) connected to the network via the network I/F 17.

外部機器I/F18は、USB(Universal Serial Bus)等の通信バスを介して外部機器を接続するためのインターフェースである。CPU11は、外部機器I/Fに接続された外部機器との間で、各種情報の送受信を行う。 The external device I/F 18 is an interface for connecting an external device via a communication bus such as a USB (Universal Serial Bus). The CPU 11 transmits/receives various information to/from an external device connected to the external device I/F.

図4は、ID管理システム1で実行される権限設定処理の一例を示すフローチャートである。この処理は、例えば、定期的に、又はユーザー(システム管理者)の操作に基づいて、CPU11が記憶部14に格納されている権限設定プログラム144を実行することにより実現される。 FIG. 4 is a flowchart showing an example of authority setting processing executed by the ID management system 1. This processing is realized by the CPU 11 executing the authority setting program 144 stored in the storage unit 14 periodically or based on the operation of the user (system administrator), for example.

図4のステップS11において、CPU11は、人事システム4から人事情報(例えば、源泉データ)を入手し、ユーザー情報を抽出して取得する(ユーザー情報取得部としての処理)。取得されるユーザー情報は、図5に示すように、社員ID、氏名、及びユーザー属性を含む。本実施の形態では、ユーザー属性として、所属部署、役職及び社員区分を利用している。人事システム4と連携して、人事情報からユーザー情報を取得することで、異動や退職などに伴うユーザー属性の変更を、を容易に反映させることができる。 In step S11 of FIG. 4, the CPU 11 obtains personnel information (for example, source data) from the personnel system 4 and extracts and acquires user information (processing as a user information acquisition unit). As shown in FIG. 5, the acquired user information includes an employee ID, a name, and a user attribute. In the present embodiment, the department, post, and employee classification are used as user attributes. By acquiring the user information from the personnel information in cooperation with the personnel system 4, it is possible to easily reflect a change in the user attribute due to a change or retirement.

ステップS12において、CPU11は、権限ルール部141から権限ルール情報を取得する(権限ロール付与部としての処理)。権限ルール部141には、図6に示すように、ユーザー属性に基づいて定義された権限ルールに対して権限ロールが関連付けられている。具体的には、権限ルールは、「所属部署」、「役職」及び「社員区分」という複数の属性情報の組合せによって定義される。図6に示す権限ルールでは、ユーザー属性に基づいて権限を付与する条件(以下、「許可条件」と称する)が定義されている。なお、権限ルールでは、ユーザー属性に基づいて権限を付与しない条件(以下、「除外条件」と称する)が定義されてもよい。例えば、許可条件に「経理部」を指定し、除外条件に「課長」を指定した権限ルールに従うと、経理部に所属する課長以外のユーザーを、当該権限ルールに該当するユーザーとして抽出することができる。 In step S12, the CPU 11 acquires the authority rule information from the authority rule unit 141 (processing as an authority role giving unit). In the authority rule unit 141, as shown in FIG. 6, the authority role is associated with the authority rule defined based on the user attribute. Specifically, the authority rule is defined by a combination of a plurality of attribute information such as "belonging department", "position" and "employee classification". In the authority rule shown in FIG. 6, a condition for granting an authority based on a user attribute (hereinafter, referred to as “permission condition”) is defined. It should be noted that the authority rule may define a condition (hereinafter, referred to as “exclusion condition”) that the authority is not granted based on the user attribute. For example, if you follow the authority rule that "accounting department" is specified as the permission condition and "section manager" is specified as the exclusion condition, users other than the section manager who belong to the accounting department can be extracted as users corresponding to the authority rule. it can.

ステップS13において、ステップS11で取得したユーザー情報に含まれるユーザー属性と、ステップS12で取得した権限ルール情報に基づいて、それぞれの権限ルールに該当するユーザーを抽出し、当該ユーザーに権限ロールを付与する(権限ロール付与部としての処理)。ステップS13の処理は、ステップS12で取得した全ての権限ルールに対して行われる。 In step S13, a user corresponding to each authority rule is extracted based on the user attribute included in the user information acquired in step S11 and the authority rule information acquired in step S12, and the authority role is given to the user. (Processing as Authority Role Granting Unit). The process of step S13 is performed for all the authority rules acquired in step S12.

図5、図6に従うと、「正社員」という権限ルールに該当するユーザーとして、社員区分が「正社員」である、鈴木一郎(社員ID:A001)と、鈴木三郎(社員ID:A003)が抽出され、当該ユーザーに「正社員ロール」という権限ロールが付与される。また、「経理部(正社員)」という権限ルールに該当するユーザーとして、所属部署が「経理部」、社員区分が「正社員」である、鈴木三郎(社員ID:A003)が抽出され、当該ユーザーに「経理部(正社員)ロール」という権限ロールが付与される。また、「経理部(その他)」という権限ルールに該当するユーザーとして、所属部署が「経理部」、社員区分が「正社員以外」(すなわち、派遣社員)である、鈴木四郎(社員ID:A004)が抽出され、当該ユーザーに「経理部(その他)ロール」という権限ロールが付与される。また、「課長のみ」という権限ルールに該当するユーザーとして、役職が「課長」である鈴木三郎(社員ID:A003)が抽出され、当該ユーザーに「課長ロール」という権限ロールが付与される。鈴木三郎に対しては、「正社員ロール」、「経理部(正社員)ロール」、及び「課長ロール」の3つの権限ロールが付与されることになる。 According to FIG. 5 and FIG. 6, Ichiro Suzuki (employee ID: A001) and Saburo Suzuki (employee ID: A003) whose employee classification is “regular employee” are extracted as users who correspond to the authority rule of “regular employee”. , The user is given an authority role called "regular employee role". In addition, Saburo Suzuki (employee ID: A003) whose department is "Accounting Department" and employee classification is "Regular Employee" is extracted as a user who corresponds to the authority rule of "Accounting Department (regular employee)", and is assigned to the user. An authority role called "accounting department (regular employee) role" is granted. In addition, as a user who corresponds to the authority rule of "accounting department (other)", the department to which the department belongs is "accounting department" and the employee classification is "non-regular employees" (that is, temporary staff) Shiro Suzuki (Employee ID: A004) Is extracted, and the user is given an authority role of “accounting department (other) role”. Further, Saburo Suzuki (employee ID: A003) whose title is “section manager” is extracted as a user who corresponds to the authority rule “only section manager”, and the authority role “section manager role” is given to the user. Three authorized roles, "regular employee role", "accounting department (regular employee) role", and "section manager role" will be granted to Saburo Suzuki.

ステップS14において、CPU11は、ステップS13で全ユーザーに対して付与された権限ロールを、ユーザーごとに取得する(権限ロール付与部としての処理)。1のユーザーに対して複数の権限ロールが付与された場合は、すべての権限ロールが取得される。 In step S14, the CPU 11 acquires, for each user, the authority role granted to all users in step S13 (processing as an authority role granting unit). When multiple authority roles are given to one user, all authority roles are acquired.

ステップS15において、CPU11は、権限ロール部142を参照して、権限ロールに対応する権限セットを割り当てる(権限設定部としての処理)。権限ロール部142には、図7に示すように、権限ロールに対して権限セットが関連付けられている。 In step S15, the CPU 11 refers to the authority role unit 142 and assigns an authority set corresponding to the authority role (processing as an authority setting unit). In the authority role unit 142, as shown in FIG. 7, an authority set is associated with an authority role.

図7に従うと、「正社員ロール」という権限ロールには、「Aシステム(正社員)」、「Bシステム(正社員)」、「Cシステム(正社員)」という権限セットが割り当てられる。「経理部(正社員)ロール」という権限ロールには、「Dシステム(経理部(正社員))」という権限セットが割り当てられる。「経理部(その他)ロール」という権限ロールには、「Dシステム(経理部(その他))」という権限セットが割り当てられる。「課長ロール」という権限ロールには、「Aシステム(承認者)」という権限セットが割り当てられる。 According to FIG. 7, the authority set “regular employee role” is assigned the authority sets “A system (regular employee)”, “B system (regular employee)”, and “C system (regular employee)”. An authority set of "D system (accounting department (regular employee))" is assigned to the authority role of "accounting department (regular employee) role". The authority set “D system (accounting department (other))” is assigned to the authority role “accounting department (other)”. The authority set “A system (approver)” is assigned to the authority role “section manager role”.

ステップS16において、CPU11は、権限セット部143を参照して、権限セットを展開する(権限設定部としての処理)。権限セット部143には、図8に示すように、権限セットに対して権限情報が関連付けられている。 In step S16, the CPU 11 refers to the authority set unit 143 and expands the authority set (processing as an authority setting unit). As shown in FIG. 8, in the authority set unit 143, authority information is associated with the authority set.

具体的には、「Aシステム(正社員)」という権限セットには、「申請権限」、「参照権限」という権限情報が関連付けられている。「Bシステム(正社員)」という権限セットには、「変更権限」という権限情報が関連付けられている。「Cシステム(正社員)」という権限セットには、「入力権限」、「自部門参照権限」という権限情報が関連付けられている。「Dシステム(経理部(正社員))」という権限セットには、「決済権限」という権限情報が関連付けられている。「Dシステム(経理部(その他))」という権限セットには、「入力権限」という権限情報が関連付けられている。「Aシステム(承認者)」という権限セットには、「承認権限」という権限情報が関連付けられている。また、各権限情報には、権限カテゴリコードが関連付けられており、さらに権限カテゴリコードが同一の権限情報には、優先順位が登録されている。 Specifically, the authority set “A system (regular employee)” is associated with authority information “application authority” and “reference authority”. The authority information “change authority” is associated with the authority set “B system (regular employee)”. The authority information “input authority” and “own department reference authority” are associated with the authority set “C system (regular employee)”. The authority information “payment authority” is associated with the authority set “D system (accounting department (regular employee))”. The authority information “input authority” is associated with the authority set “D system (accounting department (other))”. The authority information “approval authority” is associated with the authority set “A system (approver)”. Further, each authority information is associated with an authority category code, and the authority information having the same authority category code is registered with the priority order.

本実施の形態では、ステップS14において権限ルールごとに該当するユーザーが抽出され、抽出されたユーザーに対して当該権限ルールに関連付けられた権限ロールが付与される。そのため、鈴木三郎のように、複数の権限ロールが付与される場合もある。この場合、同一のシステムにおいて、同種の権限情報が重複して設定されうる場合がある。本実施の形態では、このように同種の権限情報が設定されうる場合、予め設定された優先順位に従って、上位の権限情報が設定されるようになっている。 In the present embodiment, the user corresponding to each authority rule is extracted in step S14, and the extracted user is given the authority role associated with the authority rule. Therefore, like Saburo Suzuki, a plurality of authority roles may be given. In this case, the same type of authority information may be set redundantly in the same system. In the present embodiment, when the same kind of authority information can be set in this way, the higher order authority information is set in accordance with a preset priority order.

ここで、「同種の権限」とは、上位権限に下位権限が包括されている場合の、上位権限と下位権限のことであり、同一システム内で権限カテゴリコード(図8参照)が同一である権限を指す。例えば、図8において、Aシステムの権限情報である「承認権限」と「申請権限」は権限カテゴリコードが「A−01」で同じであり、Dシステムの権限情報である「決裁権限」と「入力権限」は権限カテゴリコードが「D−01」で同じである。したがって、これらの権限は、上位権限と下位権限の関係にある同種の権限となる。また、同種の権限としては、「編集権限」と「閲覧権限」等も挙げられる。 Here, the “same type of authority” is a higher level authority and a lower level authority when the higher level authority includes the lower level authority, and the authority category code (see FIG. 8) is the same in the same system. Refers to authority. For example, in FIG. 8, “approval authority” and “application authority” which are the authority information of the A system have the same authority category code of “A-01”, and “approval authority” and “authorization authority” which are the authority information of the D system. The “input authority” has the same authority category code as “D-01”. Therefore, these authorities are the same type of authority, which has a relationship of higher authority and lower authority. Further, as the same type of authority, “editing authority”, “viewing authority”, and the like can be cited.

すなわち、ステップS17において、CPU11は、同一の権限カテゴリ内で重複する同種の権限情報があるか否かを判定する(権限設定部としての処理)。重複する同種の権限情報がある場合で、かつ、優先順位が登録されている場合(ステップS17で“YES”)、ステップS18の処理に移行する。重複する同種の権限情報がない場合、または、重複する同種の権限情報があっても、優先順位が登録されていない場合(ステップS17で“NO”)、ステップS19の処理に移行する。
例えば、鈴木三郎のAシステム21の権限情報については、「正社員ロール」と「課長ロール」という権限ロールが付与された結果、「正社員ロール」に関連付けられた「申請権限」と「課長ロール」に関連付けられた「承認権限」という同種の権限情報が重複することになる。
That is, in step S17, the CPU 11 determines whether or not the same type of authority information is duplicated in the same authority category (processing as an authority setting unit). When the same type of authority information is duplicated and the priority order is registered (“YES” in step S17), the process proceeds to step S18. If there is no overlapping same kind of authority information, or if there is overlapping same kind of authority information but the priority order is not registered (“NO” in step S17), the process proceeds to step S19.
For example, regarding the authority information of Saburo Suzuki's A system 21, as a result of the authority roles “regular employee role” and “section manager role” being given, “application authority” and “section manager role” associated with the “regular employee role” The same type of authority information called “approval authority” is duplicated.

ステップS18において、CPU11は、権限セット部143を参照して、ステップS16で展開された同種の権限情報のうち優先順位の高い権限情報をシステム権限情報として設定する(権限設定部としての処理)。 In step S18, the CPU 11 refers to the authority setting unit 143 and sets authority information having a higher priority among the authority information of the same type expanded in step S16 as system authority information (processing as an authority setting unit).

また、ステップS19において、CPU11は、ステップS16で展開された権限情報をシステム権限情報として設定する(権限設定部としての処理)。なお、重複する同種の権限情報があっても優先順位が登録されていない場合は、展開された全ての権限情報がシステム権限情報として設定される。 In step S19, the CPU 11 sets the authority information expanded in step S16 as system authority information (processing as an authority setting unit). In addition, even if there is the same type of authority information that overlaps, if the priority order is not registered, all the expanded authority information is set as the system authority information.

ステップS20において、CPU11は、すべてのユーザーに対して、ステップS14〜S19の処理が終了したか判定する。すべてのユーザーに対する処理が終了した場合(ステップS20で“YES”)、ステップS21の処理に移行する。すべてのユーザーに対する処理が終了していない場合(ステップS20で“NO”)、ステップS14の処理に移行する。 In step S20, the CPU 11 determines whether or not the processes of steps S14 to S19 have been completed for all users. When the process for all users is completed (“YES” in step S20), the process proceeds to step S21. When the process for all users is not completed (“NO” in step S20), the process proceeds to step S14.

ステップS21において、CPU11は、設定されたシステム権限情報を含む権限データDa〜Dnを、各システム21〜25に対して送信する(図2参照)。権限データDa〜Dnは、各システム21〜25において解析され、ユーザーのシステム利用情報に対応づけてシステム権限情報が管理される。
以上のようにして、ユーザーごとに各システム21〜25のシステム権限情報が設定される。
In step S21, the CPU 11 transmits authority data Da to Dn including the set system authority information to each system 21 to 25 (see FIG. 2). The authority data Da to Dn are analyzed in each of the systems 21 to 25, and the system authority information is managed in association with the system usage information of the user.
As described above, the system authority information of each system 21 to 25 is set for each user.

なお、ID管理システム1において、権限設定処理と並行して、各システム21〜25におけるユーザーごとのシステム利用情報を生成する処理が実施され、各システム21〜25に対して、システム権限情報とともにシステム利用情報が送信されるようにしてもよい。 In addition, in the ID management system 1, a process of generating system usage information for each user in each of the systems 21 to 25 is performed in parallel with the authority setting process, and the system authorization information is transmitted to each of the systems 21 to 25 together with the system authorization information. The usage information may be transmitted.

上記の権限設定処理の結果、図9に示すように、ユーザーごとにシステム権限情報が設定される。
すなわち、鈴木一郎(社員ID:001)は、総務部所属の正社員であり、権限ルール「正社員」に該当するので、「正社員ロール」が付与される(図6参照)。当該権限ロールには、「Aシステム(正社員)」、「Bシステム(正社員)」、「Cシステム(正社員)」の3つの権限セットが関連付けられている(図7参照)。
図8の権限セット部143を参照すると、権限セット「Aシステム(正社員)」には、Aシステムの「申請権限」及び「参照権限」という権限情報が、権限セット「Bシステム(正社員)」には、Bシステムの「変更権限」という権限情報が、権限セット「Cシステム(正社員)」には、Cシステムの「入力権限」及び「自部門参照権限」という権限情報が関連付けられている。
したがって、鈴木一郎(社員ID:001)のAシステム21の権限データDaには「申請権限」及び「参照権限」が設定され、Bシステム22の権限データDbには「変更権限」が設定され、Cシステム23の権限データDcには「入力権限」及び「自部門参照権限」が設定される(図9参照)。
As a result of the above authority setting processing, as shown in FIG. 9, system authority information is set for each user.
That is, since Ichiro Suzuki (employee ID: 001) is a regular employee who belongs to the general affairs department and corresponds to the authority rule “regular employee”, the “regular employee role” is granted (see FIG. 6). The authority role is associated with three authority sets of “A system (regular employee)”, “B system (regular employee)”, and “C system (regular employee)” (see FIG. 7).
Referring to the authority set unit 143 of FIG. 8, in the authority set “A system (regular employee)”, authority information such as “application authority” and “reference authority” of the A system is stored in the authority set “B system (regular employee)”. Is associated with the authority information of “change authority” of the B system, and the authority information of “input authority” and “own department reference authority” of the C system is associated with the authority set “C system (regular employee)”.
Therefore, “application authority” and “reference authority” are set in the authority data Da of the A system 21 of Ichiro Suzuki (employee ID: 001), and “change authority” is set in the authority data Db of the B system 22, “Input authority” and “own department reference authority” are set in the authority data Dc of the C system 23 (see FIG. 9).

また、鈴木二郎(社員ID:002)は、総務部所属の派遣社員であり、該当する権限ルールはないので、権限ロールは付与されない(図6参照)。したがって、鈴木二郎(社員ID:002)については、いずれのシステム21〜25に対しても権限情報は設定されない。つまり、鈴木二郎は、業務システム2を利用することはできない。 Further, since Jiro Suzuki (employee ID: 002) is a temporary employee who belongs to the general affairs department and has no corresponding authority rule, no authority role is given (see FIG. 6). Therefore, with regard to Jiro Suzuki (employee ID: 002), authority information is not set for any of the systems 21 to 25. That is, Jiro Suzuki cannot use the business system 2.

また、鈴木三郎(社員ID:003)は、経理部所属の正社員の課長であり、権限ルール「正社員」、「経理部(正社員)」、「課長のみ」に該当するので、「正社員ロール」、「経理部(正社員)ロール」、「課長ロール」の3つの権限ロールが付与される(図6参照)。「正社員ロール」には「Aシステム(正社員)」、「Bシステム(正社員)」、「Cシステム(正社員)」の3つの権限セットが関連付けられている(図7参照)。「経理部(正社員)ロール」には「Dシステム(経理部(正社員))」という権限セットが関連付けられている(図7参照)。「課長ロール」には「Aシステム(承認者)」という権限セットが関連付けられている(図7参照)。
図8の権限セット部143を参照すると、権限セット「Aシステム(正社員)」には、Aシステムの「申請権限」及び「参照権限」という権限情報が、権限セット「Bシステム(正社員)」には、Bシステムの「変更権限」という権限情報が、権限セット「Cシステム(正社員)」には、Cシステムの「入力権限」及び「自部門参照権限」という権限情報が関連付けられている。また、権限セット「Dシステム(経理部(正社員))」には、Dシステムの「決済権限」という権限情報が関連付けられている。また、権限セット「Aシステム(承認者)」には、Aシステムの「承認権限」という権限情報が関連付けられている。
ここで、Aシステム21について、「申請権限」と「承認権限」は、同一システム内で同一の権限カテゴリに属する同種の権限情報に相当するので、優先順位が上位の権限である「承認権限」が設定される。
したがって、鈴木三郎(社員ID:003)のAシステム21の権限データDaには「承認権限」及び「参照権限」が設定され、Bシステム22の権限データDbには「変更権限」が設定され、Cシステム23の権限データDcには「入力権限」及び「自部門参照権限」が設定され、Dシステム24の権限データDdには「決済権限」が設定される(図9参照)。
In addition, Saburo Suzuki (employee ID: 003) is the section manager of a regular employee who belongs to the accounting department and corresponds to the authority rules “regular employee”, “accounting department (regular employee)”, and “section manager only”. Three authorization roles are given: "accounting department (regular employee) role" and "section manager role" (see FIG. 6). The "regular employee role" is associated with three privilege sets of "A system (regular employee)", "B system (regular employee)", and "C system (regular employee)" (see FIG. 7). The "Accounting department (regular employee) role" is associated with a privilege set of "D system (accounting department (regular employee))" (see FIG. 7). An authority set of "A system (approver)" is associated with the "manager role" (see FIG. 7).
Referring to the authority set unit 143 of FIG. 8, in the authority set “A system (regular employee)”, authority information such as “application authority” and “reference authority” of the A system is stored in the authority set “B system (regular employee)”. Is associated with the authority information of “change authority” of the B system, and the authority information of “input authority” and “own department reference authority” of the C system is associated with the authority set “C system (regular employee)”. In addition, authority information “payment authority” of the D system is associated with the authority set “D system (accounting department (regular employee))”. Further, authority information “approval authority” of the A system is associated with the authority set “A system (approver)”.
Here, in the A system 21, the “application authority” and the “approval authority” correspond to the same type of authority information belonging to the same authority category in the same system, and thus the “approval authority” having a higher priority. Is set.
Therefore, "approval authority" and "reference authority" are set in the authority data Da of the A system 21 of Saburo Suzuki (employee ID: 003), and "change authority" is set in the authority data Db of the B system 22. “Input authority” and “own department reference authority” are set in the authority data Dc of the C system 23, and “settlement authority” is set in the authority data Dd of the D system 24 (see FIG. 9).

また、鈴木四郎(社員ID:004)は、経理部所属の派遣社員であり、権限ルール「経理部(その他)」に該当するので、「経理部(その他)ロール」が付与される(図6参照)。当該権限ロールには、「Dシステム(経理部(その他))」という権限セットが関連付けられている(図7参照)。
図8の権限セット部143を参照すると、権限セット「Dシステム(経理部(その他))」には、Dシステムの「入力権限」が関連付けられている。
したがって、鈴木四郎(社員ID:004)のDシステム24の権限データDdには「入力権限」が設定される(図9参照)。
Further, Shiro Suzuki (employee ID: 004) is a temporary employee who belongs to the accounting department and corresponds to the authority rule “accounting department (other)”, and thus is given the “accounting department (other) role” (FIG. 6). reference). The authority role is associated with an authority set of “D system (accounting department (other))” (see FIG. 7).
Referring to the authority set unit 143 in FIG. 8, the authority set “D system (accounting unit (other))” is associated with the “input authority” of the D system.
Therefore, "input authority" is set in the authority data Dd of the D system 24 of Shiro Suzuki (employee ID: 004) (see FIG. 9).

このように、本実施の形態に係るID管理システム1(情報処理システム)は、ネットワークを介して接続された業務システム2(複数のシステム)に対して、当該業務システム2を利用するユーザーのシステム権限情報を業務システム2ごとに設定する情報処理システムであって、ユーザーのユーザー属性を含むユーザー情報を取得するユーザー情報取得部(CPU11)と、ユーザーに対して、ユーザー属性に予め関連付けられた権限ロールを付与する権限ロール付与部(CPU11)と、付与された権限ロールに予め関連付けられた業務システム2ごとのシステム権限情報を、権限ロールが付与されたユーザーのシステム権限情報として設定する権限設定部(CPU11)と、を備える。 Thus, the ID management system 1 (information processing system) according to the present embodiment is a system of a user who uses the business system 2 with respect to the business system 2 (a plurality of systems) connected via the network. An information processing system that sets authority information for each business system 2, a user information acquisition unit (CPU 11) that acquires user information including a user attribute of a user, and authority associated with the user attribute in advance for the user. An authority role granting unit (CPU 11) that grants a role, and an authority setting unit that sets system authority information for each business system 2 associated in advance with the granted authority role as system authority information of the user who is granted the authority role. (CPU 11).

また、実施の形態に係る権限付与方法は、
ネットワークを介して接続された業務システム2(複数のシステム)に対して、当該業務システム2を利用するユーザーのシステム権限情報を業務システム2ごとに設定する情報処理方法であって、ユーザーのユーザー属性を含むユーザー情報を取得する工程(図4のステップS11)と、ユーザーに対して、ユーザー属性に予め関連付けられた権限ロールを付与する工程(図4のステップS12、S13)と、付与された権限ロールに予め関連付けられた業務システム2ごとのシステム権限情報を、権限ロールが付与されたユーザーのシステム権限情報として設定する工程と、を備える。
Further, the authorization method according to the embodiment is
An information processing method for setting system authority information of a user who uses the business system 2 for each business system 2 to the business system 2 (a plurality of systems) connected via a network, the user attribute of the user (Step S11 in FIG. 4) for obtaining user information, and a step (steps S12, S13 in FIG. 4) for giving a user an authority role previously associated with the user attribute, and the granted authority And a step of setting system authority information for each business system 2 that is associated with a role in advance as system authority information of a user who is granted the authority role.

また、実施の形態に係る権限情報設定プログラム144は、ネットワークを介して接続された業務システム2(複数のシステム)に対して、当該業務システム2を利用するユーザーのシステム権限情報を業務システム2ごとに設定するCPU11(コンピューター)に、ユーザーのユーザー属性を含むユーザー情報を取得する処理(図4のステップS11)と、ユーザーに対して、ユーザー属性に予め関連付けられた権限ロールを付与する処理(図4のステップS12、S13)と、付与された権限ロールに予め関連付けられたシステムごとのシステム権限情報を、権限ロールが付与されたユーザーのシステム権限情報として設定する処理(図4のステップS14〜S19)と、を実行させる。
この権限付与プログラム144は、例えば、当該プログラムが格納されたコンピューター読取可能な可搬型記憶媒体(光ディスク、光磁気ディスク、及びメモリカードを含む)を介して提供される。また例えば、このプログラムは、当該プログラムを保有するサーバーから、ネットワークを介してダウンロードにより提供することもできる。
Further, the authority information setting program 144 according to the embodiment, for the business system 2 (a plurality of systems) connected via the network, obtains the system authority information of the user who uses the business system 2 for each business system 2. The CPU 11 (computer) to be set to the step of acquiring user information including the user attribute of the user (step S11 in FIG. 4) and the step of giving the user an authority role pre-associated with the user attribute (FIG. 4 of steps S12 and S13) and a process of setting system authority information for each system associated in advance with the granted authority role as system authority information of the user to whom the authority role is granted (steps S14 to S19 in FIG. 4). ), and execute.
The authorization program 144 is provided, for example, via a computer-readable portable storage medium (including an optical disc, a magneto-optical disc, and a memory card) in which the program is stored. Further, for example, this program can be provided by download from a server having the program via a network.

実施の形態に係るID管理システム1、権限設定方法及び権限設定プログラム144によれば、ユーザー属性に基づいて定義された権限ルールに該当するユーザーに対して、当該権限ルールに関連付けられた権限ロールが付与され、その権限ロールに関連付けられた権限情報が設定されるので、業務システム2の仕様に関わらず、業務システム2ごとに設定されるユーザーのシステム権限情報を共通の処理で生成し、付与することができる。
これにより、異動や退職等によるユーザー又はユーザー属性の変更や、業務システム2の変更にも、例えば、権限ルール部141、権限ロール部142及び権限セット部143のデータ内容を変更するだけで柔軟に対応できるので、権限設定対象者の可視化やセキュリティ対策を強化することができるとともに、短納期かつ低コストで導入することができる。
According to the ID management system 1, the authority setting method, and the authority setting program 144 according to the embodiment, the authority role associated with the authority rule is assigned to the user corresponding to the authority rule defined based on the user attribute. Since the privilege information that is granted and associated with the privilege role is set, system privilege information of the user that is set for each business system 2 is generated and granted by common processing regardless of the specifications of the business system 2. be able to.
As a result, even if the user or user attribute is changed due to transfer or retirement, or the business system 2 is changed, for example, the data contents of the authority rule unit 141, the authority roll unit 142, and the authority set unit 143 can be flexibly changed. Since it is possible to deal with this, it is possible to enhance the visualization of the person to whom the authority is set and the security measures, and to introduce it with a short delivery time and low cost.

具体的には、新たに業務システムを追加する場合には、権限セット部143、権限ロール部142、及び権限ルール部141に、当該システムに係る情報を登録するだけで、処理プログラムを開発することなくシステム追加に対応することができる。 Specifically, when a new business system is added, a processing program can be developed simply by registering information related to the system in the authority set section 143, the authority roll section 142, and the authority rule section 141. It is possible to deal with system addition without using it.

また例えば、ユーザーに人事異動(入社、所属異動、出向、昇格・降格、退職等)が発生した場合には、権限ルール部141の情報に従い、旧ユーザー属性によるシステム権限情報の削除、及び新ユーザー属性によるシステム権限情報の付与が連動して行われることにより、特定の時点におけるユーザー属性に基づいた適正な権限が担保できる。 In addition, for example, when a user undergoes personnel changes (hiring, affiliation transfer, secondment, promotion/relegation, retirement, etc.), according to the information of the authority rule section 141, deletion of system authority information by the old user attribute and new user Since the system authority information is assigned in accordance with the attributes, proper authority based on the user attributes at a specific time can be secured.

また例えば、定義された権限ルール部141、権限ロール部142、または権限セット部143を確認するだけで、誰にどのようなシステム権限情報が付与されるか可視化されるため、権限の一元管理が可能となり、適切な時期に、適切な人に、適切なシステム権限情報を付与することが可能となり、セキュリティの向上に資することができる。 Further, for example, by simply checking the defined authority rule section 141, authority roll section 142, or authority set section 143, it is possible to visualize who is given what type of system authority information, and thus centralized management of authority. It becomes possible, and appropriate system authority information can be given to an appropriate person at an appropriate time, which can contribute to improvement of security.

以上、本発明者によってなされた発明を実施の形態に基づいて具体的に説明したが、本発明は上記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で変更可能である。 The invention made by the present inventor has been specifically described above based on the embodiments, but the present invention is not limited to the above embodiments and can be modified without departing from the scope of the invention.

例えば、実施の形態では、ユーザーごとに付与された権限ロールに対して権限セットが関連付けられ(権限ロール部142)、権限セットに対してシステム権限情報が関連付けられている(権限セット部143)が、これは、権限ロールに対してシステム権限情報が関連付けられていることに他ならない。すなわち、権限ロール部142は、権限セット部143を包含するデータ構成を有し、権限ロールに対してシステム権限情報が直接的に関連付けられていてもよい。 For example, in the embodiment, the permission set is associated with the permission role given to each user (the permission role unit 142), and the system permission information is associated with the permission set (the permission set unit 143). This is nothing but the fact that system privilege information is associated with a privilege role. That is, the authority role unit 142 may have a data structure including the authority set unit 143, and the system authority information may be directly associated with the authority role.

今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は上記した説明ではなくて特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。 The embodiments disclosed this time are to be considered as illustrative in all points and not restrictive. The scope of the present invention is shown not by the above description but by the claims, and is intended to include meanings equivalent to the claims and all modifications within the scope.

S 社内ネットワークシステム
1 ID管理システム(情報処理システム)
11 CPU(ユーザー情報取得部、権限ロール付与部、権限設定部)
12 RAM
13 ROM
14 記憶部
15 表示部
16 操作入力部
17 ネットワークI/F
18 外部機器I/F
141 権限ルール部
142 権限ロール部
143 権限セット部
144 権限設定プログラム
2 業務システム
S In-house network system 1 ID management system (information processing system)
11 CPU (user information acquisition unit, authority role grant unit, authority setting unit)
12 RAM
13 ROM
14 storage unit 15 display unit 16 operation input unit 17 network I/F
18 External equipment I/F
141 authority rule section 142 authority roll section 143 authority set section 144 authority setting program 2 business system

Claims (7)

ネットワークを介して接続された複数のシステムに対して、当該複数のシステムを利用するユーザーのシステム権限情報を前記システムごとに設定する情報処理システムであって、
前記ユーザーのユーザー属性を含むユーザー情報を取得するユーザー情報取得部と、
前記ユーザーに対して、前記ユーザー属性に予め関連付けられた権限ロールを付与する権限ロール付与部と、
付与された前記権限ロールに予め関連付けられた前記システムごとのシステム権限情報を、前記権限ロールが付与された前記ユーザーのシステム権限情報として設定する権限設定部と、
を備え
前記権限設定部は、前記ユーザーに対して複数の前記権限ロールが付与されることにより、前記システムにおいて同種のシステム権限情報が複数該当することになった場合、予め定められた優先順に従って、当該ユーザーのシステム権限情報を設定する
情報処理システム。
An information processing system for setting system authority information of a user who uses the plurality of systems for each of the plurality of systems connected via a network,
A user information acquisition unit for acquiring user information including user attributes of the user,
To the user, a privilege role assigning unit that grants a privilege role previously associated with the user attribute,
An authority setting unit that sets system authority information for each system previously associated with the granted authority role as system authority information of the user to which the authority role is granted,
Equipped with
The authority setting unit, when a plurality of the authority roles are given to the user, resulting in a plurality of system authority information of the same type in the system, according to a predetermined priority order, Set the user's system privilege information ,
Information processing system.
前記ユーザー属性に基づいて定義された権限ルールに対して前記権限ロールが関連付けられた権限ルール部を備え、
前記権限ロール付与部は、前記権限ルール部を参照して、前記ユーザーに対して前記権限ロールを付与する、請求項1に記載の情報処理システム。
A privilege rule section in which the privilege role is associated with a privilege rule defined based on the user attribute,
The information processing system according to claim 1, wherein the authority role granting section grants the authority role to the user with reference to the authority rule section.
前記権限ロールに対して権限セットが関連付けられた権限ロール部と、前記権限セットに対して前記システム権限情報が関連付けられた権限セット部と、を備え、
前記権限設定部は、前記権限ロール部及び前記権限セット部を参照して、前記システム権限情報を設定する、請求項1又は2に記載の情報処理システム。
An authority role unit in which an authority set is associated with the authority role, and an authority set unit in which the system authority information is associated with the authority set,
The information processing system according to claim 1, wherein the authority setting unit sets the system authority information with reference to the authority roll unit and the authority set unit.
前記ユーザー属性は、複数の属性情報を含み、
前記権限ロールは、前記複数の属性情報の組合せによって定義されている、請求項1からのいずれか一項に記載の情報処理システム。
The user attribute includes a plurality of attribute information,
The information processing system according to any one of claims 1 to 3 , wherein the authority role is defined by a combination of the plurality of pieces of attribute information.
前記ユーザー情報取得部は、前記ネットワークに接続されている人事システムから前記ユーザー情報を取得する、請求項1からのいずれか一項に記載の情報処理システム。 The user information acquiring unit acquires the user information from the personnel system connected to the network, the information processing system according to any one of claims 1 to 4. ネットワークを介して接続された複数のシステムに対して、当該複数のシステムを利用するユーザーのシステム権限情報を前記システムごとに設定する情報処理方法であって、
前記ユーザーのユーザー属性を含むユーザー情報を取得する第1工程と、
前記ユーザーに対して、前記ユーザー属性に予め関連付けられた権限ロールを付与する第2工程と、
付与された前記権限ロールに予め関連付けられた前記システムごとのシステム権限情報を、前記権限ロールが付与された前記ユーザーのシステム権限情報として設定する第3工程と、
を備え
前記第3工程では、前記ユーザーに対して複数の前記権限ロールが付与されることにより、前記システムにおいて同種のシステム権限情報が複数該当することになった場合、予め定められた優先順に従って、当該ユーザーのシステム権限情報を設定する
情報処理方法。
An information processing method for setting system authority information of a user who uses the plurality of systems for each of the plurality of systems connected via a network,
A first step of obtaining user information including user attributes of the user;
A second step of granting to the user an authorization role pre-associated with the user attribute;
A third step of setting system authority information for each system previously associated with the granted authority role as system authority information of the user who is granted the authority role;
Equipped with
In the third step, when a plurality of the authority roles are given to the user, so that a plurality of system authority information of the same type in the system is applicable, according to a predetermined priority order, Set the user's system privilege information ,
Information processing method.
ネットワークを介して接続された複数のシステムに対して、当該複数のシステムを利用するユーザーのシステム権限情報を前記システムごとに設定するコンピューターに、
前記ユーザーのユーザー属性を含むユーザー情報を取得する第1処理と、
前記ユーザーに対して、前記ユーザー属性に予め関連付けられた権限ロールを付与する第2処理と、
付与された前記権限ロールに予め関連付けられた前記システムごとのシステム権限情報を、前記権限ロールが付与された前記ユーザーのシステム権限情報として設定する第3処理と、
を実行させ
第3処理では、前記ユーザーに対して複数の前記権限ロールが付与されることにより、前記システムにおいて同種のシステム権限情報が複数該当することになった場合、予め定められた優先順に従って、当該ユーザーのシステム権限情報を設定する
プログラム。
For a plurality of systems connected via a network, a computer that sets the system authority information of the user who uses the plurality of systems for each system,
A first process for obtaining user information including a user attribute of the user,
A second process of granting to the user an authorization role pre-associated with the user attribute;
A third process of setting system authority information for each system previously associated with the granted authority role as system authority information of the user to which the authority role is granted;
Was executed,
In the third processing, when a plurality of the authority roles are given to the user, and thus a plurality of system authority information of the same type in the system is applicable, the user is assigned according to a predetermined priority order. System permission information of
program.
JP2018181831A 2018-09-27 2018-09-27 Information processing system, information processing method, and program Active JP6716655B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018181831A JP6716655B2 (en) 2018-09-27 2018-09-27 Information processing system, information processing method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018181831A JP6716655B2 (en) 2018-09-27 2018-09-27 Information processing system, information processing method, and program

Publications (2)

Publication Number Publication Date
JP2020052759A JP2020052759A (en) 2020-04-02
JP6716655B2 true JP6716655B2 (en) 2020-07-01

Family

ID=69997244

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018181831A Active JP6716655B2 (en) 2018-09-27 2018-09-27 Information processing system, information processing method, and program

Country Status (1)

Country Link
JP (1) JP6716655B2 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US12445564B2 (en) 2022-09-13 2025-10-14 Toshiba Tec Kabushiki Kaisha Role management system, role management device, and multifunction printer
JP7256919B1 (en) * 2022-09-20 2023-04-12 株式会社アクシオ Privilege management system for business systems

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4348236B2 (en) * 2004-06-04 2009-10-21 株式会社日立製作所 Community inheritance method
JP4617325B2 (en) * 2007-02-26 2011-01-26 みずほ情報総研株式会社 Information management system and user information management method
JP5159571B2 (en) * 2008-11-13 2013-03-06 三菱電機株式会社 ACCESS CONTROL DEVICE, ACCESS CONTROL DEVICE ACCESS CONTROL METHOD, AND ACCESS CONTROL PROGRAM
JP5409435B2 (en) * 2010-02-24 2014-02-05 三菱電機株式会社 Access control linkage system and access control linkage method
JP5533089B2 (en) * 2010-03-17 2014-06-25 富士通株式会社 Access control system, policy generation method, and access authority management server device
JP2014071559A (en) * 2012-09-28 2014-04-21 Mitsubishi Electric Corp Information processor and program

Also Published As

Publication number Publication date
JP2020052759A (en) 2020-04-02

Similar Documents

Publication Publication Date Title
US11416636B2 (en) Data processing consent management systems and related methods
US12609938B2 (en) Consent conversion optimization systems and related methods
US10762236B2 (en) Data processing user interface monitoring systems and related methods
US11030274B2 (en) Data processing user interface monitoring systems and related methods
US10726158B2 (en) Consent receipt management and automated process blocking systems and related methods
US10713387B2 (en) Consent conversion optimization systems and related methods
US20190123895A1 (en) Methods and apparatus for verifying a user transaction
US9659154B2 (en) Information processing system, information processing apparatus, method of administrating license, and program
JP2018128810A (en) Authentication device and program
KR102213465B1 (en) Apparatus and method for managing information security
US20140122349A1 (en) System, information management method, and information processing apparatus
JP2014170522A (en) Information process system, information process device, license management method and program
US12335268B2 (en) Scenario-based access control
US11847182B2 (en) Data processing consent capture systems and related methods
WO2019028405A1 (en) Data processing systems for the identification and deletion of personal data in computer systems
JP6716655B2 (en) Information processing system, information processing method, and program
JP2020042538A (en) Information processing device and program
CN105229662B (en) Access control device and access control method
CN116957254A (en) Enterprise resource allocation processing method and device, electronic equipment and storage medium
JP7818685B2 (en) Data governance system and data management method for data governance system
Tuztas Where identity governance really belongs
Head Workflow Technology—Knowledge in Motion
CN119513043A (en) A file management system and file category authority control system
Croitoru Legal Considerations
Lee et al. Development of a user management module for Internet TV systems

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190517

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20190621

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20191105

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200312

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200317

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200424

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200602

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200610

R150 Certificate of patent or registration of utility model

Ref document number: 6716655

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250