JP6716655B2 - Information processing system, information processing method, and program - Google Patents
Information processing system, information processing method, and program Download PDFInfo
- Publication number
- JP6716655B2 JP6716655B2 JP2018181831A JP2018181831A JP6716655B2 JP 6716655 B2 JP6716655 B2 JP 6716655B2 JP 2018181831 A JP2018181831 A JP 2018181831A JP 2018181831 A JP2018181831 A JP 2018181831A JP 6716655 B2 JP6716655 B2 JP 6716655B2
- Authority
- JP
- Japan
- Prior art keywords
- authority
- user
- information
- role
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本発明は、情報処理システム、情報処理方法及びプログラムに関し、特に、複数のシステムに対してユーザーのシステム権限情報を付与する技術に関する。 The present invention relates to an information processing system, an information processing method, and a program, and more particularly to a technique for giving system authority information of a user to a plurality of systems.
近年、多くの企業において社内ネットワークが構築され、個々のPCで複数の業務システムやサービス(以下、単に「システム」と称する)を利用できるようになっている。ネットワーク上のシステムの利用に際しては、情報セキュリティの観点から、ユーザーごとにシステム利用情報(ユーザーID及びパスワード等の認証情報を含む、アカウント情報とも呼ばれる)が設定されるとともに、適切なシステム権限情報(アクセス権限及び利用権限を含む)が設定される。最近では、システムごとに設定されるユーザーのシステム利用情報及びシステム権限情報を一括して管理する情報処理システム(以下、「ID管理システム」と称する)の導入が進められている。ID管理システムでは、例えば、ユーザーの属性(例えば、社員区分(正社員/派遣社員)や所属部署)に基づいてシステムごとに権限情報が設定され、ユーザーのシステム利用情報に対応付けられる(例えば、特許文献1)。 In recent years, many companies have built in-house networks, and individual PCs can use a plurality of business systems and services (hereinafter, simply referred to as “system”). When using the system on the network, from the viewpoint of information security, system usage information (also called account information including authentication information such as user ID and password) is set for each user, and appropriate system authority information ( (Including access authority and usage authority) is set. Recently, an information processing system (hereinafter, referred to as “ID management system”) that collectively manages system usage information and system authority information of a user set for each system has been introduced. In the ID management system, for example, authority information is set for each system based on a user's attribute (for example, employee classification (regular employee/temporary employee) or department), and is associated with the user's system usage information (for example, patent Reference 1).
しかしながら、特許文献1等に開示されている従来のID管理システムでは、ユーザーが利用できるシステムのリストのみを内包したロールをユーザーごとに個別に割り当て、割り当てられたロールに内包されているシステムに対して当該ユーザーのシステム利用情報を付与する仕組みを備えているにすぎない。そのため、ユーザーの属性に応じて一般的な業務システムが備えている権限情報まで自動的に付与しようとすると、各システムと連携するための処理プログラム(例えば、権限情報の生成プログラム)を、それぞれのシステムの仕様に合わせて個別に開発しなければならず、開発時間及び工数が増大する虞があり、システム導入時の障壁となっている。
However, in the conventional ID management system disclosed in
本発明の目的は、システムの仕様に関わらず、システムごとに設定されるユーザーごとのシステム権限情報をユーザーの属性に応じて自動的に払い出すことを共通の処理で生成し、付与することができる情報処理システム、情報処理方法及びプログラムを提供することである。 It is an object of the present invention to automatically generate a system privilege information for each user, which is set for each system, according to the attribute of the user, regardless of the system specifications, by a common process. It is to provide an information processing system, an information processing method, and a program that can be performed.
本発明に係る情報処理システムは、
ネットワークを介して接続された複数のシステムに対して、当該複数のシステムを利用するユーザーのシステム権限情報を前記システムごとに設定する情報処理システムであって、
前記ユーザーのユーザー属性を含むユーザー情報を取得するユーザー情報取得部と、
前記ユーザーに対して、前記ユーザー属性に予め関連付けられた権限ロールを付与する権限ロール付与部と、
付与された前記権限ロールに予め関連付けられた前記システムごとのシステム権限情報を、前記権限ロールが付与された前記ユーザーのシステム権限情報として設定する権限設定部と、を備え、
前記権限設定部は、前記ユーザーに対して複数の前記権限ロールが付与されることにより、前記システムにおいて同種のシステム権限情報が複数該当することになった場合、予め定められた優先順に従って、当該ユーザーのシステム権限情報を設定する。
The information processing system according to the present invention is
An information processing system for setting system authority information of a user who uses the plurality of systems for each of the plurality of systems connected via a network,
A user information acquisition unit for acquiring user information including user attributes of the user,
To the user, a privilege role assigning unit that grants a privilege role previously associated with the user attribute,
A system authority information for each system that is associated in advance with the granted authority role, and an authority setting unit that sets as the system authority information of the user to which the authority role is granted ,
The authority setting unit, when a plurality of the authority roles are given to the user, resulting in a plurality of system authority information of the same type in the system, according to a predetermined priority order, Set the user's system privilege information .
本発明に係る情報処理方法は、
ネットワークを介して接続された複数のシステムに対して、当該複数のシステムを利用するユーザーのシステム権限情報を前記システムごとに設定する情報処理方法であって、
前記ユーザーのユーザー属性を含むユーザー情報を取得する工程と、
前記ユーザーに対して、前記ユーザー属性に予め関連付けられた権限ロールを付与する工程と、
付与された前記権限ロールに予め関連付けられた前記システムごとのシステム権限情報を、前記権限ロールが付与された前記ユーザーのシステム権限情報として設定する工程と、を備え、
前記第3工程では、前記ユーザーに対して複数の前記権限ロールが付与されることにより、前記システムにおいて同種のシステム権限情報が複数該当することになった場合、予め定められた優先順に従って、当該ユーザーのシステム権限情報を設定する。
The information processing method according to the present invention is
An information processing method for setting system authority information of a user who uses the plurality of systems for each of the plurality of systems connected via a network,
Obtaining user information including user attributes of the user,
Granting to the user an authorization role pre-associated with the user attribute;
Setting the system authority information for each system previously associated with the granted authority role as system authority information of the user to which the authority role is granted ,
In the third step, when a plurality of the authority roles are given to the user, so that a plurality of system authority information of the same type in the system is applicable, according to a predetermined priority order, Set the user's system privilege information .
本発明に係るプログラムは、
ネットワークを介して接続された複数のシステムに対して、当該複数のシステムを利用するユーザーのシステム権限情報を前記システムごとに設定するコンピューターに、
前記ユーザーのユーザー属性を含むユーザー情報を取得する処理と、
前記ユーザーに対して、前記ユーザー属性に予め関連付けられた権限ロールを付与する処理と、
付与された前記権限ロールに予め関連付けられた前記システムごとのシステム権限情報を、前記権限ロールが付与された前記ユーザーのシステム権限情報として設定する処理と、を実行させ、
第3処理では、前記ユーザーに対して複数の前記権限ロールが付与されることにより、前記システムにおいて同種のシステム権限情報が複数該当することになった場合、予め定められた優先順に従って、当該ユーザーのシステム権限情報を設定する。
The program according to the present invention is
For a plurality of systems connected via a network, a computer that sets the system authority information of the user who uses the plurality of systems for each system,
A process of obtaining user information including a user attribute of the user,
A process of granting to the user an authorization role pre-associated with the user attribute;
System authority information for each system previously associated with the granted authority role is set as system authority information of the user to which the authority role is granted , and
In the third processing, when a plurality of the authority roles are given to the user, and thus a plurality of system authority information of the same type in the system is applicable, the user is assigned according to a predetermined priority order. Set the system privilege information of .
本発明によれば、システムの仕様に関わらず、システムごとに設定されるユーザーのシステム権限情報を共通の処理で生成し、付与することができる。 According to the present invention, it is possible to generate and give user system authority information set for each system by a common process regardless of the system specifications.
以下、本発明の実施の形態を、図面を参照して詳細に説明する。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.
図1は、本発明の一実施の形態に係るID管理システム1を適用した社内ネットワークシステムSの概略構成を示す図である。
図1に示すように、社内ネットワークシステムSは、ID管理システム1、業務システム2、及びクライアント端末3を備える。ID管理システム1、業務システム2、及びクライアント端末3は、例えば、汎用のPCで構成され、社内LAN等の通信ネットワークを介して、相互に通信可能に接続される。また、社内ネットワークシステムSは、人事システム4を備え、ID管理システム1は、人事システム4から社員のユーザー情報を含む源泉データ(例えば、CSVデータ)を入手することができる。
FIG. 1 is a diagram showing a schematic configuration of an in-house network system S to which an
As shown in FIG. 1, the in-house network system S includes an
業務システム2は、クラインアント端末3からの利用要求に対して、各種のサービスを提供するシステムである。本実施の形態では、業務システム2として、例えば、交通費清算等のワークフローを提供するAシステム21、文書管理を行うBシステム22、在庫管理を行うCシステム23、会計処理を行うDシステム24、スケジューラーを提供するNシステム25等を備えている。
The
クライアント端末3は、通常の業務に使用されるPCであり、例えば、ノートPC31、スマートフォン等の携帯端末32、及びデスクトップPC33等を含む。
The
クライアント端末3は、業務システム2のログイン画面において、認証情報(例えば、ユーザーID及びパスワード)を入力して利用要求を行うことにより、業務システム2のサービスを利用可能となる。業務システム2では、ユーザー属性に基づいて、ユーザーごとにシステム権限情報(アクセス権限及び利用権限を含む、以下、単に「権限情報」と称する)が設定されており、利用できるサービスが制限されている。ユーザー属性は、例えば、所属部署、役職、及び社員区分(正社員又は派遣社員)を含む。
The
ID管理システム1は、業務システム2にログインするための認証情報を一括して管理するとともに、システム21〜25ごとにユーザーの権限情報を設定する。具体的には、図2に示すように、ID管理システム1は、人事システム4から源泉データ(人事情報の一例)を入手し、源泉データに含まれるユーザー情報に基づいて、システム21〜25ごとの権限データDa〜Dnを生成し、各システム21〜25に付与する。権限データDa〜Dnは、各システム21〜25において、ユーザーのシステム利用情報(アカウント情報)に対応づけて管理される。
The
本実施の形態では、ID管理システム1が、システム21〜25ごとの権限データDa〜Dnを、システム21〜25の仕様に関わらず、共通の処理により生成し、設定できる点が特徴的である。以下に、ID管理システム1によるシステム権限情報の設定について、詳細に説明する。
The present embodiment is characterized in that the
図3は、ID管理システム1のハードウェア構成を示す図である。
図3に示すように、ID管理システム1は、演算/制御装置としてのCPU(Central Processing Unit)11、主記憶装置としてのRAM(Random Access Memory)12及びROM(Read Only Memory)13、記憶部14、表示部15、操作入力部16、ネットワークI/F17、及び外部機器I/F18等を有する。各ユニット12〜18は、システムバス19を介してCPU11に接続される。
FIG. 3 is a diagram showing a hardware configuration of the
As shown in FIG. 3, the
ROM13には、例えば、BIOS(Basic Input/Output System)、ファームウェア等の基本プログラムや、基本的な設定データが記憶される。CPU11は、記憶部14から処理内容に応じたプログラムを読み出してRAM12に展開し、展開したプログラムを実行することにより、各種機能を実現する。本実施の形態では、CPU11は、記憶部14に記憶されている権限設定プログラム144を実行することにより、ユーザー情報取得部、権限ロール付与部、及び権限設定部として機能する。これらの機能の詳細については、図4のフローチャートに従って後述する。
The
記憶部14は、例えば、不揮発性の半導体メモリ(いわゆるフラッシュメモリ)やハードディスクドライブ等の補助記憶装置である。記憶部14は、CD(Compact Disc)、DVD(Digital Versatile Disc)、BD(Blu-ray Disc、「Blu-ray」は登録商標)等の光ディスク、MO(Magneto-Optical disk)等の光磁気ディスクを駆動して情報を読み書きするディスクドライブであってもよい。
The
本実施の形態では、記憶部14は、権限設定プログラム144とともに、権限設定処理において参照される権限ルール部141、権限ロール部142、及び権限セット部143のデータを記憶する。
権限ルール部141は、ユーザー属性に基づいて権限ロールを特定し、割り当てるためのデータであり、ユーザー属性に基づいて定義された権限ルールに対して権限ロールが関連付けられている。権限ロール部142は、権限ロールに対応する権限セットを特定し、割り当てるためのデータであり、権限ロールに対して権限セットが関連付けられている。権限セット部143は、権限セットに対応する権限情報を特定し、割り当てるためのデータであり、権限セットに対して権限情報が関連付けられている。
権限ルール部141、権限ロール部142及び権限セット部143のデータは、ユーザー(システム管理者等)によって、適宜追加、変更又は削除することができる。
In the present embodiment, the
The
The data of the
表示部15は、例えば、液晶ディスプレイ、有機ELディスプレイ、CRTディスプレイ等で構成される。表示部15は、CPU11の指示に従って、画面表示を行う。
The
操作入力部16は、テンキー、スタートキー等の各種操作キー、及びマウス等のポインティングデバイスを備え、ユーザーによる各種入力操作を受け付けて、操作信号をCPU11に出力する。ユーザーは、操作入力部16を操作して、権限設定プログラム144の実行や、設定データ(権限ルール部141、権限ロール部142及び権限セット部143)の変更等を行うことができる。
なお、表示部15及び操作入力部16は、例えば、タッチパネル付きのフラットパネルディスプレイにより、一体的に設けられてもよい。
The
The
ネットワークI/F17は、有線/無線LAN(Local Area Network)等の通信ネットワークを介して外部機器と通信を行うためのインターフェースである。CPU11は、ネットワークI/F17を介して、ネットワークに接続された外部機器(例えば、業務システム2)との間で、各種情報の送受信を行う。
The network I/
外部機器I/F18は、USB(Universal Serial Bus)等の通信バスを介して外部機器を接続するためのインターフェースである。CPU11は、外部機器I/Fに接続された外部機器との間で、各種情報の送受信を行う。
The external device I/
図4は、ID管理システム1で実行される権限設定処理の一例を示すフローチャートである。この処理は、例えば、定期的に、又はユーザー(システム管理者)の操作に基づいて、CPU11が記憶部14に格納されている権限設定プログラム144を実行することにより実現される。
FIG. 4 is a flowchart showing an example of authority setting processing executed by the
図4のステップS11において、CPU11は、人事システム4から人事情報(例えば、源泉データ)を入手し、ユーザー情報を抽出して取得する(ユーザー情報取得部としての処理)。取得されるユーザー情報は、図5に示すように、社員ID、氏名、及びユーザー属性を含む。本実施の形態では、ユーザー属性として、所属部署、役職及び社員区分を利用している。人事システム4と連携して、人事情報からユーザー情報を取得することで、異動や退職などに伴うユーザー属性の変更を、を容易に反映させることができる。
In step S11 of FIG. 4, the
ステップS12において、CPU11は、権限ルール部141から権限ルール情報を取得する(権限ロール付与部としての処理)。権限ルール部141には、図6に示すように、ユーザー属性に基づいて定義された権限ルールに対して権限ロールが関連付けられている。具体的には、権限ルールは、「所属部署」、「役職」及び「社員区分」という複数の属性情報の組合せによって定義される。図6に示す権限ルールでは、ユーザー属性に基づいて権限を付与する条件(以下、「許可条件」と称する)が定義されている。なお、権限ルールでは、ユーザー属性に基づいて権限を付与しない条件(以下、「除外条件」と称する)が定義されてもよい。例えば、許可条件に「経理部」を指定し、除外条件に「課長」を指定した権限ルールに従うと、経理部に所属する課長以外のユーザーを、当該権限ルールに該当するユーザーとして抽出することができる。
In step S12, the
ステップS13において、ステップS11で取得したユーザー情報に含まれるユーザー属性と、ステップS12で取得した権限ルール情報に基づいて、それぞれの権限ルールに該当するユーザーを抽出し、当該ユーザーに権限ロールを付与する(権限ロール付与部としての処理)。ステップS13の処理は、ステップS12で取得した全ての権限ルールに対して行われる。 In step S13, a user corresponding to each authority rule is extracted based on the user attribute included in the user information acquired in step S11 and the authority rule information acquired in step S12, and the authority role is given to the user. (Processing as Authority Role Granting Unit). The process of step S13 is performed for all the authority rules acquired in step S12.
図5、図6に従うと、「正社員」という権限ルールに該当するユーザーとして、社員区分が「正社員」である、鈴木一郎(社員ID:A001)と、鈴木三郎(社員ID:A003)が抽出され、当該ユーザーに「正社員ロール」という権限ロールが付与される。また、「経理部(正社員)」という権限ルールに該当するユーザーとして、所属部署が「経理部」、社員区分が「正社員」である、鈴木三郎(社員ID:A003)が抽出され、当該ユーザーに「経理部(正社員)ロール」という権限ロールが付与される。また、「経理部(その他)」という権限ルールに該当するユーザーとして、所属部署が「経理部」、社員区分が「正社員以外」(すなわち、派遣社員)である、鈴木四郎(社員ID:A004)が抽出され、当該ユーザーに「経理部(その他)ロール」という権限ロールが付与される。また、「課長のみ」という権限ルールに該当するユーザーとして、役職が「課長」である鈴木三郎(社員ID:A003)が抽出され、当該ユーザーに「課長ロール」という権限ロールが付与される。鈴木三郎に対しては、「正社員ロール」、「経理部(正社員)ロール」、及び「課長ロール」の3つの権限ロールが付与されることになる。 According to FIG. 5 and FIG. 6, Ichiro Suzuki (employee ID: A001) and Saburo Suzuki (employee ID: A003) whose employee classification is “regular employee” are extracted as users who correspond to the authority rule of “regular employee”. , The user is given an authority role called "regular employee role". In addition, Saburo Suzuki (employee ID: A003) whose department is "Accounting Department" and employee classification is "Regular Employee" is extracted as a user who corresponds to the authority rule of "Accounting Department (regular employee)", and is assigned to the user. An authority role called "accounting department (regular employee) role" is granted. In addition, as a user who corresponds to the authority rule of "accounting department (other)", the department to which the department belongs is "accounting department" and the employee classification is "non-regular employees" (that is, temporary staff) Shiro Suzuki (Employee ID: A004) Is extracted, and the user is given an authority role of “accounting department (other) role”. Further, Saburo Suzuki (employee ID: A003) whose title is “section manager” is extracted as a user who corresponds to the authority rule “only section manager”, and the authority role “section manager role” is given to the user. Three authorized roles, "regular employee role", "accounting department (regular employee) role", and "section manager role" will be granted to Saburo Suzuki.
ステップS14において、CPU11は、ステップS13で全ユーザーに対して付与された権限ロールを、ユーザーごとに取得する(権限ロール付与部としての処理)。1のユーザーに対して複数の権限ロールが付与された場合は、すべての権限ロールが取得される。
In step S14, the
ステップS15において、CPU11は、権限ロール部142を参照して、権限ロールに対応する権限セットを割り当てる(権限設定部としての処理)。権限ロール部142には、図7に示すように、権限ロールに対して権限セットが関連付けられている。
In step S15, the
図7に従うと、「正社員ロール」という権限ロールには、「Aシステム(正社員)」、「Bシステム(正社員)」、「Cシステム(正社員)」という権限セットが割り当てられる。「経理部(正社員)ロール」という権限ロールには、「Dシステム(経理部(正社員))」という権限セットが割り当てられる。「経理部(その他)ロール」という権限ロールには、「Dシステム(経理部(その他))」という権限セットが割り当てられる。「課長ロール」という権限ロールには、「Aシステム(承認者)」という権限セットが割り当てられる。 According to FIG. 7, the authority set “regular employee role” is assigned the authority sets “A system (regular employee)”, “B system (regular employee)”, and “C system (regular employee)”. An authority set of "D system (accounting department (regular employee))" is assigned to the authority role of "accounting department (regular employee) role". The authority set “D system (accounting department (other))” is assigned to the authority role “accounting department (other)”. The authority set “A system (approver)” is assigned to the authority role “section manager role”.
ステップS16において、CPU11は、権限セット部143を参照して、権限セットを展開する(権限設定部としての処理)。権限セット部143には、図8に示すように、権限セットに対して権限情報が関連付けられている。
In step S16, the
具体的には、「Aシステム(正社員)」という権限セットには、「申請権限」、「参照権限」という権限情報が関連付けられている。「Bシステム(正社員)」という権限セットには、「変更権限」という権限情報が関連付けられている。「Cシステム(正社員)」という権限セットには、「入力権限」、「自部門参照権限」という権限情報が関連付けられている。「Dシステム(経理部(正社員))」という権限セットには、「決済権限」という権限情報が関連付けられている。「Dシステム(経理部(その他))」という権限セットには、「入力権限」という権限情報が関連付けられている。「Aシステム(承認者)」という権限セットには、「承認権限」という権限情報が関連付けられている。また、各権限情報には、権限カテゴリコードが関連付けられており、さらに権限カテゴリコードが同一の権限情報には、優先順位が登録されている。 Specifically, the authority set “A system (regular employee)” is associated with authority information “application authority” and “reference authority”. The authority information “change authority” is associated with the authority set “B system (regular employee)”. The authority information “input authority” and “own department reference authority” are associated with the authority set “C system (regular employee)”. The authority information “payment authority” is associated with the authority set “D system (accounting department (regular employee))”. The authority information “input authority” is associated with the authority set “D system (accounting department (other))”. The authority information “approval authority” is associated with the authority set “A system (approver)”. Further, each authority information is associated with an authority category code, and the authority information having the same authority category code is registered with the priority order.
本実施の形態では、ステップS14において権限ルールごとに該当するユーザーが抽出され、抽出されたユーザーに対して当該権限ルールに関連付けられた権限ロールが付与される。そのため、鈴木三郎のように、複数の権限ロールが付与される場合もある。この場合、同一のシステムにおいて、同種の権限情報が重複して設定されうる場合がある。本実施の形態では、このように同種の権限情報が設定されうる場合、予め設定された優先順位に従って、上位の権限情報が設定されるようになっている。 In the present embodiment, the user corresponding to each authority rule is extracted in step S14, and the extracted user is given the authority role associated with the authority rule. Therefore, like Saburo Suzuki, a plurality of authority roles may be given. In this case, the same type of authority information may be set redundantly in the same system. In the present embodiment, when the same kind of authority information can be set in this way, the higher order authority information is set in accordance with a preset priority order.
ここで、「同種の権限」とは、上位権限に下位権限が包括されている場合の、上位権限と下位権限のことであり、同一システム内で権限カテゴリコード(図8参照)が同一である権限を指す。例えば、図8において、Aシステムの権限情報である「承認権限」と「申請権限」は権限カテゴリコードが「A−01」で同じであり、Dシステムの権限情報である「決裁権限」と「入力権限」は権限カテゴリコードが「D−01」で同じである。したがって、これらの権限は、上位権限と下位権限の関係にある同種の権限となる。また、同種の権限としては、「編集権限」と「閲覧権限」等も挙げられる。 Here, the “same type of authority” is a higher level authority and a lower level authority when the higher level authority includes the lower level authority, and the authority category code (see FIG. 8) is the same in the same system. Refers to authority. For example, in FIG. 8, “approval authority” and “application authority” which are the authority information of the A system have the same authority category code of “A-01”, and “approval authority” and “authorization authority” which are the authority information of the D system. The “input authority” has the same authority category code as “D-01”. Therefore, these authorities are the same type of authority, which has a relationship of higher authority and lower authority. Further, as the same type of authority, “editing authority”, “viewing authority”, and the like can be cited.
すなわち、ステップS17において、CPU11は、同一の権限カテゴリ内で重複する同種の権限情報があるか否かを判定する(権限設定部としての処理)。重複する同種の権限情報がある場合で、かつ、優先順位が登録されている場合(ステップS17で“YES”)、ステップS18の処理に移行する。重複する同種の権限情報がない場合、または、重複する同種の権限情報があっても、優先順位が登録されていない場合(ステップS17で“NO”)、ステップS19の処理に移行する。
例えば、鈴木三郎のAシステム21の権限情報については、「正社員ロール」と「課長ロール」という権限ロールが付与された結果、「正社員ロール」に関連付けられた「申請権限」と「課長ロール」に関連付けられた「承認権限」という同種の権限情報が重複することになる。
That is, in step S17, the
For example, regarding the authority information of Saburo Suzuki's
ステップS18において、CPU11は、権限セット部143を参照して、ステップS16で展開された同種の権限情報のうち優先順位の高い権限情報をシステム権限情報として設定する(権限設定部としての処理)。
In step S18, the
また、ステップS19において、CPU11は、ステップS16で展開された権限情報をシステム権限情報として設定する(権限設定部としての処理)。なお、重複する同種の権限情報があっても優先順位が登録されていない場合は、展開された全ての権限情報がシステム権限情報として設定される。
In step S19, the
ステップS20において、CPU11は、すべてのユーザーに対して、ステップS14〜S19の処理が終了したか判定する。すべてのユーザーに対する処理が終了した場合(ステップS20で“YES”)、ステップS21の処理に移行する。すべてのユーザーに対する処理が終了していない場合(ステップS20で“NO”)、ステップS14の処理に移行する。
In step S20, the
ステップS21において、CPU11は、設定されたシステム権限情報を含む権限データDa〜Dnを、各システム21〜25に対して送信する(図2参照)。権限データDa〜Dnは、各システム21〜25において解析され、ユーザーのシステム利用情報に対応づけてシステム権限情報が管理される。
以上のようにして、ユーザーごとに各システム21〜25のシステム権限情報が設定される。
In step S21, the
As described above, the system authority information of each
なお、ID管理システム1において、権限設定処理と並行して、各システム21〜25におけるユーザーごとのシステム利用情報を生成する処理が実施され、各システム21〜25に対して、システム権限情報とともにシステム利用情報が送信されるようにしてもよい。
In addition, in the
上記の権限設定処理の結果、図9に示すように、ユーザーごとにシステム権限情報が設定される。
すなわち、鈴木一郎(社員ID:001)は、総務部所属の正社員であり、権限ルール「正社員」に該当するので、「正社員ロール」が付与される(図6参照)。当該権限ロールには、「Aシステム(正社員)」、「Bシステム(正社員)」、「Cシステム(正社員)」の3つの権限セットが関連付けられている(図7参照)。
図8の権限セット部143を参照すると、権限セット「Aシステム(正社員)」には、Aシステムの「申請権限」及び「参照権限」という権限情報が、権限セット「Bシステム(正社員)」には、Bシステムの「変更権限」という権限情報が、権限セット「Cシステム(正社員)」には、Cシステムの「入力権限」及び「自部門参照権限」という権限情報が関連付けられている。
したがって、鈴木一郎(社員ID:001)のAシステム21の権限データDaには「申請権限」及び「参照権限」が設定され、Bシステム22の権限データDbには「変更権限」が設定され、Cシステム23の権限データDcには「入力権限」及び「自部門参照権限」が設定される(図9参照)。
As a result of the above authority setting processing, as shown in FIG. 9, system authority information is set for each user.
That is, since Ichiro Suzuki (employee ID: 001) is a regular employee who belongs to the general affairs department and corresponds to the authority rule “regular employee”, the “regular employee role” is granted (see FIG. 6). The authority role is associated with three authority sets of “A system (regular employee)”, “B system (regular employee)”, and “C system (regular employee)” (see FIG. 7).
Referring to the authority set
Therefore, “application authority” and “reference authority” are set in the authority data Da of the
また、鈴木二郎(社員ID:002)は、総務部所属の派遣社員であり、該当する権限ルールはないので、権限ロールは付与されない(図6参照)。したがって、鈴木二郎(社員ID:002)については、いずれのシステム21〜25に対しても権限情報は設定されない。つまり、鈴木二郎は、業務システム2を利用することはできない。
Further, since Jiro Suzuki (employee ID: 002) is a temporary employee who belongs to the general affairs department and has no corresponding authority rule, no authority role is given (see FIG. 6). Therefore, with regard to Jiro Suzuki (employee ID: 002), authority information is not set for any of the
また、鈴木三郎(社員ID:003)は、経理部所属の正社員の課長であり、権限ルール「正社員」、「経理部(正社員)」、「課長のみ」に該当するので、「正社員ロール」、「経理部(正社員)ロール」、「課長ロール」の3つの権限ロールが付与される(図6参照)。「正社員ロール」には「Aシステム(正社員)」、「Bシステム(正社員)」、「Cシステム(正社員)」の3つの権限セットが関連付けられている(図7参照)。「経理部(正社員)ロール」には「Dシステム(経理部(正社員))」という権限セットが関連付けられている(図7参照)。「課長ロール」には「Aシステム(承認者)」という権限セットが関連付けられている(図7参照)。
図8の権限セット部143を参照すると、権限セット「Aシステム(正社員)」には、Aシステムの「申請権限」及び「参照権限」という権限情報が、権限セット「Bシステム(正社員)」には、Bシステムの「変更権限」という権限情報が、権限セット「Cシステム(正社員)」には、Cシステムの「入力権限」及び「自部門参照権限」という権限情報が関連付けられている。また、権限セット「Dシステム(経理部(正社員))」には、Dシステムの「決済権限」という権限情報が関連付けられている。また、権限セット「Aシステム(承認者)」には、Aシステムの「承認権限」という権限情報が関連付けられている。
ここで、Aシステム21について、「申請権限」と「承認権限」は、同一システム内で同一の権限カテゴリに属する同種の権限情報に相当するので、優先順位が上位の権限である「承認権限」が設定される。
したがって、鈴木三郎(社員ID:003)のAシステム21の権限データDaには「承認権限」及び「参照権限」が設定され、Bシステム22の権限データDbには「変更権限」が設定され、Cシステム23の権限データDcには「入力権限」及び「自部門参照権限」が設定され、Dシステム24の権限データDdには「決済権限」が設定される(図9参照)。
In addition, Saburo Suzuki (employee ID: 003) is the section manager of a regular employee who belongs to the accounting department and corresponds to the authority rules “regular employee”, “accounting department (regular employee)”, and “section manager only”. Three authorization roles are given: "accounting department (regular employee) role" and "section manager role" (see FIG. 6). The "regular employee role" is associated with three privilege sets of "A system (regular employee)", "B system (regular employee)", and "C system (regular employee)" (see FIG. 7). The "Accounting department (regular employee) role" is associated with a privilege set of "D system (accounting department (regular employee))" (see FIG. 7). An authority set of "A system (approver)" is associated with the "manager role" (see FIG. 7).
Referring to the authority set
Here, in the
Therefore, "approval authority" and "reference authority" are set in the authority data Da of the
また、鈴木四郎(社員ID:004)は、経理部所属の派遣社員であり、権限ルール「経理部(その他)」に該当するので、「経理部(その他)ロール」が付与される(図6参照)。当該権限ロールには、「Dシステム(経理部(その他))」という権限セットが関連付けられている(図7参照)。
図8の権限セット部143を参照すると、権限セット「Dシステム(経理部(その他))」には、Dシステムの「入力権限」が関連付けられている。
したがって、鈴木四郎(社員ID:004)のDシステム24の権限データDdには「入力権限」が設定される(図9参照)。
Further, Shiro Suzuki (employee ID: 004) is a temporary employee who belongs to the accounting department and corresponds to the authority rule “accounting department (other)”, and thus is given the “accounting department (other) role” (FIG. 6). reference). The authority role is associated with an authority set of “D system (accounting department (other))” (see FIG. 7).
Referring to the authority set
Therefore, "input authority" is set in the authority data Dd of the
このように、本実施の形態に係るID管理システム1(情報処理システム)は、ネットワークを介して接続された業務システム2(複数のシステム)に対して、当該業務システム2を利用するユーザーのシステム権限情報を業務システム2ごとに設定する情報処理システムであって、ユーザーのユーザー属性を含むユーザー情報を取得するユーザー情報取得部(CPU11)と、ユーザーに対して、ユーザー属性に予め関連付けられた権限ロールを付与する権限ロール付与部(CPU11)と、付与された権限ロールに予め関連付けられた業務システム2ごとのシステム権限情報を、権限ロールが付与されたユーザーのシステム権限情報として設定する権限設定部(CPU11)と、を備える。
Thus, the ID management system 1 (information processing system) according to the present embodiment is a system of a user who uses the
また、実施の形態に係る権限付与方法は、
ネットワークを介して接続された業務システム2(複数のシステム)に対して、当該業務システム2を利用するユーザーのシステム権限情報を業務システム2ごとに設定する情報処理方法であって、ユーザーのユーザー属性を含むユーザー情報を取得する工程(図4のステップS11)と、ユーザーに対して、ユーザー属性に予め関連付けられた権限ロールを付与する工程(図4のステップS12、S13)と、付与された権限ロールに予め関連付けられた業務システム2ごとのシステム権限情報を、権限ロールが付与されたユーザーのシステム権限情報として設定する工程と、を備える。
Further, the authorization method according to the embodiment is
An information processing method for setting system authority information of a user who uses the
また、実施の形態に係る権限情報設定プログラム144は、ネットワークを介して接続された業務システム2(複数のシステム)に対して、当該業務システム2を利用するユーザーのシステム権限情報を業務システム2ごとに設定するCPU11(コンピューター)に、ユーザーのユーザー属性を含むユーザー情報を取得する処理(図4のステップS11)と、ユーザーに対して、ユーザー属性に予め関連付けられた権限ロールを付与する処理(図4のステップS12、S13)と、付与された権限ロールに予め関連付けられたシステムごとのシステム権限情報を、権限ロールが付与されたユーザーのシステム権限情報として設定する処理(図4のステップS14〜S19)と、を実行させる。
この権限付与プログラム144は、例えば、当該プログラムが格納されたコンピューター読取可能な可搬型記憶媒体(光ディスク、光磁気ディスク、及びメモリカードを含む)を介して提供される。また例えば、このプログラムは、当該プログラムを保有するサーバーから、ネットワークを介してダウンロードにより提供することもできる。
Further, the authority
The
実施の形態に係るID管理システム1、権限設定方法及び権限設定プログラム144によれば、ユーザー属性に基づいて定義された権限ルールに該当するユーザーに対して、当該権限ルールに関連付けられた権限ロールが付与され、その権限ロールに関連付けられた権限情報が設定されるので、業務システム2の仕様に関わらず、業務システム2ごとに設定されるユーザーのシステム権限情報を共通の処理で生成し、付与することができる。
これにより、異動や退職等によるユーザー又はユーザー属性の変更や、業務システム2の変更にも、例えば、権限ルール部141、権限ロール部142及び権限セット部143のデータ内容を変更するだけで柔軟に対応できるので、権限設定対象者の可視化やセキュリティ対策を強化することができるとともに、短納期かつ低コストで導入することができる。
According to the
As a result, even if the user or user attribute is changed due to transfer or retirement, or the
具体的には、新たに業務システムを追加する場合には、権限セット部143、権限ロール部142、及び権限ルール部141に、当該システムに係る情報を登録するだけで、処理プログラムを開発することなくシステム追加に対応することができる。
Specifically, when a new business system is added, a processing program can be developed simply by registering information related to the system in the authority set
また例えば、ユーザーに人事異動(入社、所属異動、出向、昇格・降格、退職等)が発生した場合には、権限ルール部141の情報に従い、旧ユーザー属性によるシステム権限情報の削除、及び新ユーザー属性によるシステム権限情報の付与が連動して行われることにより、特定の時点におけるユーザー属性に基づいた適正な権限が担保できる。
In addition, for example, when a user undergoes personnel changes (hiring, affiliation transfer, secondment, promotion/relegation, retirement, etc.), according to the information of the
また例えば、定義された権限ルール部141、権限ロール部142、または権限セット部143を確認するだけで、誰にどのようなシステム権限情報が付与されるか可視化されるため、権限の一元管理が可能となり、適切な時期に、適切な人に、適切なシステム権限情報を付与することが可能となり、セキュリティの向上に資することができる。
Further, for example, by simply checking the defined
以上、本発明者によってなされた発明を実施の形態に基づいて具体的に説明したが、本発明は上記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で変更可能である。 The invention made by the present inventor has been specifically described above based on the embodiments, but the present invention is not limited to the above embodiments and can be modified without departing from the scope of the invention.
例えば、実施の形態では、ユーザーごとに付与された権限ロールに対して権限セットが関連付けられ(権限ロール部142)、権限セットに対してシステム権限情報が関連付けられている(権限セット部143)が、これは、権限ロールに対してシステム権限情報が関連付けられていることに他ならない。すなわち、権限ロール部142は、権限セット部143を包含するデータ構成を有し、権限ロールに対してシステム権限情報が直接的に関連付けられていてもよい。
For example, in the embodiment, the permission set is associated with the permission role given to each user (the permission role unit 142), and the system permission information is associated with the permission set (the permission set unit 143). This is nothing but the fact that system privilege information is associated with a privilege role. That is, the
今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は上記した説明ではなくて特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。 The embodiments disclosed this time are to be considered as illustrative in all points and not restrictive. The scope of the present invention is shown not by the above description but by the claims, and is intended to include meanings equivalent to the claims and all modifications within the scope.
S 社内ネットワークシステム
1 ID管理システム(情報処理システム)
11 CPU(ユーザー情報取得部、権限ロール付与部、権限設定部)
12 RAM
13 ROM
14 記憶部
15 表示部
16 操作入力部
17 ネットワークI/F
18 外部機器I/F
141 権限ルール部
142 権限ロール部
143 権限セット部
144 権限設定プログラム
2 業務システム
S In-
11 CPU (user information acquisition unit, authority role grant unit, authority setting unit)
12 RAM
13 ROM
14
18 External equipment I/F
141
Claims (7)
前記ユーザーのユーザー属性を含むユーザー情報を取得するユーザー情報取得部と、
前記ユーザーに対して、前記ユーザー属性に予め関連付けられた権限ロールを付与する権限ロール付与部と、
付与された前記権限ロールに予め関連付けられた前記システムごとのシステム権限情報を、前記権限ロールが付与された前記ユーザーのシステム権限情報として設定する権限設定部と、
を備え、
前記権限設定部は、前記ユーザーに対して複数の前記権限ロールが付与されることにより、前記システムにおいて同種のシステム権限情報が複数該当することになった場合、予め定められた優先順に従って、当該ユーザーのシステム権限情報を設定する、
情報処理システム。 An information processing system for setting system authority information of a user who uses the plurality of systems for each of the plurality of systems connected via a network,
A user information acquisition unit for acquiring user information including user attributes of the user,
To the user, a privilege role assigning unit that grants a privilege role previously associated with the user attribute,
An authority setting unit that sets system authority information for each system previously associated with the granted authority role as system authority information of the user to which the authority role is granted,
Equipped with
The authority setting unit, when a plurality of the authority roles are given to the user, resulting in a plurality of system authority information of the same type in the system, according to a predetermined priority order, Set the user's system privilege information ,
Information processing system.
前記権限ロール付与部は、前記権限ルール部を参照して、前記ユーザーに対して前記権限ロールを付与する、請求項1に記載の情報処理システム。 A privilege rule section in which the privilege role is associated with a privilege rule defined based on the user attribute,
The information processing system according to claim 1, wherein the authority role granting section grants the authority role to the user with reference to the authority rule section.
前記権限設定部は、前記権限ロール部及び前記権限セット部を参照して、前記システム権限情報を設定する、請求項1又は2に記載の情報処理システム。 An authority role unit in which an authority set is associated with the authority role, and an authority set unit in which the system authority information is associated with the authority set,
The information processing system according to claim 1, wherein the authority setting unit sets the system authority information with reference to the authority roll unit and the authority set unit.
前記権限ロールは、前記複数の属性情報の組合せによって定義されている、請求項1から3のいずれか一項に記載の情報処理システム。 The user attribute includes a plurality of attribute information,
The information processing system according to any one of claims 1 to 3 , wherein the authority role is defined by a combination of the plurality of pieces of attribute information.
前記ユーザーのユーザー属性を含むユーザー情報を取得する第1工程と、
前記ユーザーに対して、前記ユーザー属性に予め関連付けられた権限ロールを付与する第2工程と、
付与された前記権限ロールに予め関連付けられた前記システムごとのシステム権限情報を、前記権限ロールが付与された前記ユーザーのシステム権限情報として設定する第3工程と、
を備え、
前記第3工程では、前記ユーザーに対して複数の前記権限ロールが付与されることにより、前記システムにおいて同種のシステム権限情報が複数該当することになった場合、予め定められた優先順に従って、当該ユーザーのシステム権限情報を設定する、
情報処理方法。 An information processing method for setting system authority information of a user who uses the plurality of systems for each of the plurality of systems connected via a network,
A first step of obtaining user information including user attributes of the user;
A second step of granting to the user an authorization role pre-associated with the user attribute;
A third step of setting system authority information for each system previously associated with the granted authority role as system authority information of the user who is granted the authority role;
Equipped with
In the third step, when a plurality of the authority roles are given to the user, so that a plurality of system authority information of the same type in the system is applicable, according to a predetermined priority order, Set the user's system privilege information ,
Information processing method.
前記ユーザーのユーザー属性を含むユーザー情報を取得する第1処理と、
前記ユーザーに対して、前記ユーザー属性に予め関連付けられた権限ロールを付与する第2処理と、
付与された前記権限ロールに予め関連付けられた前記システムごとのシステム権限情報を、前記権限ロールが付与された前記ユーザーのシステム権限情報として設定する第3処理と、
を実行させ、
第3処理では、前記ユーザーに対して複数の前記権限ロールが付与されることにより、前記システムにおいて同種のシステム権限情報が複数該当することになった場合、予め定められた優先順に従って、当該ユーザーのシステム権限情報を設定する、
プログラム。 For a plurality of systems connected via a network, a computer that sets the system authority information of the user who uses the plurality of systems for each system,
A first process for obtaining user information including a user attribute of the user,
A second process of granting to the user an authorization role pre-associated with the user attribute;
A third process of setting system authority information for each system previously associated with the granted authority role as system authority information of the user to which the authority role is granted;
Was executed,
In the third processing, when a plurality of the authority roles are given to the user, and thus a plurality of system authority information of the same type in the system is applicable, the user is assigned according to a predetermined priority order. System permission information of
program.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018181831A JP6716655B2 (en) | 2018-09-27 | 2018-09-27 | Information processing system, information processing method, and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018181831A JP6716655B2 (en) | 2018-09-27 | 2018-09-27 | Information processing system, information processing method, and program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020052759A JP2020052759A (en) | 2020-04-02 |
| JP6716655B2 true JP6716655B2 (en) | 2020-07-01 |
Family
ID=69997244
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018181831A Active JP6716655B2 (en) | 2018-09-27 | 2018-09-27 | Information processing system, information processing method, and program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6716655B2 (en) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US12445564B2 (en) | 2022-09-13 | 2025-10-14 | Toshiba Tec Kabushiki Kaisha | Role management system, role management device, and multifunction printer |
| JP7256919B1 (en) * | 2022-09-20 | 2023-04-12 | 株式会社アクシオ | Privilege management system for business systems |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4348236B2 (en) * | 2004-06-04 | 2009-10-21 | 株式会社日立製作所 | Community inheritance method |
| JP4617325B2 (en) * | 2007-02-26 | 2011-01-26 | みずほ情報総研株式会社 | Information management system and user information management method |
| JP5159571B2 (en) * | 2008-11-13 | 2013-03-06 | 三菱電機株式会社 | ACCESS CONTROL DEVICE, ACCESS CONTROL DEVICE ACCESS CONTROL METHOD, AND ACCESS CONTROL PROGRAM |
| JP5409435B2 (en) * | 2010-02-24 | 2014-02-05 | 三菱電機株式会社 | Access control linkage system and access control linkage method |
| JP5533089B2 (en) * | 2010-03-17 | 2014-06-25 | 富士通株式会社 | Access control system, policy generation method, and access authority management server device |
| JP2014071559A (en) * | 2012-09-28 | 2014-04-21 | Mitsubishi Electric Corp | Information processor and program |
-
2018
- 2018-09-27 JP JP2018181831A patent/JP6716655B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2020052759A (en) | 2020-04-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11416636B2 (en) | Data processing consent management systems and related methods | |
| US12609938B2 (en) | Consent conversion optimization systems and related methods | |
| US10762236B2 (en) | Data processing user interface monitoring systems and related methods | |
| US11030274B2 (en) | Data processing user interface monitoring systems and related methods | |
| US10726158B2 (en) | Consent receipt management and automated process blocking systems and related methods | |
| US10713387B2 (en) | Consent conversion optimization systems and related methods | |
| US20190123895A1 (en) | Methods and apparatus for verifying a user transaction | |
| US9659154B2 (en) | Information processing system, information processing apparatus, method of administrating license, and program | |
| JP2018128810A (en) | Authentication device and program | |
| KR102213465B1 (en) | Apparatus and method for managing information security | |
| US20140122349A1 (en) | System, information management method, and information processing apparatus | |
| JP2014170522A (en) | Information process system, information process device, license management method and program | |
| US12335268B2 (en) | Scenario-based access control | |
| US11847182B2 (en) | Data processing consent capture systems and related methods | |
| WO2019028405A1 (en) | Data processing systems for the identification and deletion of personal data in computer systems | |
| JP6716655B2 (en) | Information processing system, information processing method, and program | |
| JP2020042538A (en) | Information processing device and program | |
| CN105229662B (en) | Access control device and access control method | |
| CN116957254A (en) | Enterprise resource allocation processing method and device, electronic equipment and storage medium | |
| JP7818685B2 (en) | Data governance system and data management method for data governance system | |
| Tuztas | Where identity governance really belongs | |
| Head | Workflow Technology—Knowledge in Motion | |
| CN119513043A (en) | A file management system and file category authority control system | |
| Croitoru | Legal Considerations | |
| Lee et al. | Development of a user management module for Internet TV systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190517 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20190621 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20191105 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200312 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200317 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200424 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200602 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200610 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6716655 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |