Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7452366B2 - Access control device, access control method and access control program - Google Patents
[go: Go Back, main page]

JP7452366B2 - Access control device, access control method and access control program - Google Patents

Access control device, access control method and access control program Download PDF

Info

Publication number
JP7452366B2
JP7452366B2 JP2020169255A JP2020169255A JP7452366B2 JP 7452366 B2 JP7452366 B2 JP 7452366B2 JP 2020169255 A JP2020169255 A JP 2020169255A JP 2020169255 A JP2020169255 A JP 2020169255A JP 7452366 B2 JP7452366 B2 JP 7452366B2
Authority
JP
Japan
Prior art keywords
access
access control
user
attribute information
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020169255A
Other languages
Japanese (ja)
Other versions
JP2022061322A (en
Inventor
潤 大桃
浩希 木村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2020169255A priority Critical patent/JP7452366B2/en
Publication of JP2022061322A publication Critical patent/JP2022061322A/en
Application granted granted Critical
Publication of JP7452366B2 publication Critical patent/JP7452366B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)

Description

本発明は、アクセス制御技術に関する。 The present invention relates to access control technology.

一度のユーザ認証で複数のサービスへのアクセスを認可する機能、いわゆるSSO(Single Sign-On)が知られている。例えば、SSOでは、LDAP(Lightweight Directory Access Protocol)等に対応するディレクトリサービスを提供するLDAPサーバから取得されるユーザの属性情報を用いて、サービスに対するアクセス可否やアクセスレベルなどの制御が実現される。 A so-called SSO (Single Sign-On), which is a function that authorizes access to multiple services with a single user authentication, is known. For example, in SSO, control of access to services, access level, etc. is achieved using user attribute information obtained from an LDAP server that provides a directory service compatible with LDAP (Lightweight Directory Access Protocol) or the like.

上記のディレクトリサービスでは、ユーザの職制の変更などに伴ってディレクトリ情報が高頻度で更新され得る。このような更新を反映してアクセス制御を行う側面から、サービスに対するユーザアクセスが行われる度にディレクトリサービスへのアクセスが行われる。 In the above directory service, directory information may be updated frequently as a user's job title changes. In order to perform access control reflecting such updates, the directory service is accessed every time a user accesses the service.

特開2005-62556号公報Japanese Patent Application Publication No. 2005-62556 特開平8-287095号公報Japanese Patent Application Publication No. 8-287095 特開2003-281021号公報JP2003-281021A

しかしながら、上記のLDAPサーバでは、ユーザアクセスが行われる度にディレクトリサービスへのアクセスが行われるので、LDAPサーバの負荷が増大する側面がある。 However, in the above LDAP server, the directory service is accessed every time a user accesses, so the load on the LDAP server increases.

なお、上記の課題は、LDAPサーバ等のディレクトリサービスにより属性情報が提供される場合だけではなく、ユーザの属性情報を提供するサービス全般で同様に生じる課題である。 Note that the above problem occurs not only when attribute information is provided by a directory service such as an LDAP server, but also occurs in all services that provide user attribute information.

1つの側面では、本発明は、ユーザの属性情報を提供するサーバの負荷を低減できるアクセス制御装置、アクセス制御方法及びアクセス制御プログラムを提供することを目的とする。 In one aspect, the present invention aims to provide an access control device, an access control method, and an access control program that can reduce the load on a server that provides user attribute information.

1つの案では、アクセス制御装置は、複数のユーザの属性情報群を記憶するサーバから、アクセス頻度が閾値を超えるグループに属するユーザの属性情報を所定の周期で取得する取得部と、前記アクセス頻度が前記閾値を超えるグループに属する第1のユーザのユーザ端末からサービスに対するアクセスを受け付けた場合、前記取得部により取得される属性情報のうち前記第1のユーザの属性情報に基づいてアクセス制御を実行し、前記アクセス頻度が前記閾値を超えないグループに属する第2のユーザのユーザ端末から前記サービスに対するアクセスを受け付けた場合、前記サーバに記憶された前記第2のユーザの属性情報に基づいてアクセス制御を実行するアクセス制御部とを有する。 In one proposal, the access control device includes an acquisition unit that acquires attribute information of users belonging to a group whose access frequency exceeds a threshold value from a server that stores attribute information groups of a plurality of users at a predetermined period; If an access to the service is received from a user terminal of a first user belonging to a group whose value exceeds the threshold, access control is performed based on the attribute information of the first user among the attribute information acquired by the acquisition unit. If an access to the service is received from a user terminal of a second user belonging to a group whose access frequency does not exceed the threshold, access control is performed based on attribute information of the second user stored in the server. and an access control unit that executes.

ユーザの属性情報を提供するサーバの負荷を低減できる。 The load on the server that provides user attribute information can be reduced.

図1は、実施例1に係るシステム構成例を示す図である。FIG. 1 is a diagram showing an example of a system configuration according to a first embodiment. 図2は、ディレクトリ情報ツリーの一例を示す図である。FIG. 2 is a diagram showing an example of a directory information tree. 図3は、実施例1に係るサーバ装置の機能的構成の一例を示す図である。FIG. 3 is a diagram illustrating an example of the functional configuration of the server device according to the first embodiment. 図4は、取得先情報の遷移例を示す図である。FIG. 4 is a diagram showing an example of transition of acquisition source information. 図5は、定期取得時の動作例を示す図である。FIG. 5 is a diagram illustrating an example of operation during periodic acquisition. 図6は、定期取得時の動作例を示す図である。FIG. 6 is a diagram illustrating an example of operation during periodic acquisition. 図7は、アクセス制御時の動作例を示す図である。FIG. 7 is a diagram showing an example of operation during access control. 図8は、アクセス制御時の動作例を示す図である。FIG. 8 is a diagram showing an example of operation during access control. 図9は、実施例1に係る定期取得処理の手順を示すシーケンス図である。FIG. 9 is a sequence diagram showing the procedure of periodic acquisition processing according to the first embodiment. 図10は、実施例1に係る定期取得処理の手順を示すフローチャートである。FIG. 10 is a flowchart showing the procedure of periodic acquisition processing according to the first embodiment. 図11は、実施例1に係るアクセス制御処理の手順を示すシーケンス図である。FIG. 11 is a sequence diagram showing the procedure of access control processing according to the first embodiment. 図12は、実施例1に係るアクセス制御処理の手順を示すフローチャートである。FIG. 12 is a flowchart showing the procedure of access control processing according to the first embodiment. 図13は、コンピュータのハードウェア構成例を示す図である。FIG. 13 is a diagram showing an example of the hardware configuration of a computer.

以下に添付図面を参照して本願に係るアクセス制御装置、アクセス制御方法及びアクセス制御プログラムについて説明する。なお、この実施例は開示の技術を限定するものではない。そして、各実施例は、処理内容を矛盾させない範囲で適宜組み合わせることが可能である。 DESCRIPTION OF THE PREFERRED EMBODIMENTS An access control device, an access control method, and an access control program according to the present application will be described below with reference to the accompanying drawings. Note that this example does not limit the disclosed technology. Each of the embodiments can be combined as appropriate within a range that does not conflict with the processing contents.

[システム構成]
図1は、実施例1に係るシステム構成例を示す図である。図1には、本実施例に係るアクセス制御機能が適用される情報システムの一例として、シングルサインオンサービスを導入する企業情報システム1を例に挙げるが、任意の情報システムであってよい。さらに、図1には、本実施例に係るアクセス制御機能がエージェント方式のシングルサインオンサービスで提供される例を挙げるが、リバースプロキシ方式などの他の方法で提供されることとしてもよい。
[System configuration]
FIG. 1 is a diagram showing an example of a system configuration according to a first embodiment. Although FIG. 1 shows a corporate information system 1 that introduces a single sign-on service as an example of an information system to which the access control function according to the present embodiment is applied, any information system may be used. Furthermore, although FIG. 1 shows an example in which the access control function according to the present embodiment is provided by an agent-based single sign-on service, it may be provided by other methods such as a reverse proxy method.

図1に示すように、企業情報システム1には、サーバ装置10-1~10-Nと、ユーザ端末20A~20Mと、管理者端末30と、LDAPサーバ40とが含まれ得る。以下、サーバ装置10-1~10-Nの個体の区別が不要である場合に「サーバ装置10」と記載し、ユーザ端末20A~20Mの個体の区別が不要である場合に「ユーザ端末20」と記載する場合がある。 As shown in FIG. 1, the corporate information system 1 may include server devices 10-1 to 10-N, user terminals 20A to 20M, an administrator terminal 30, and an LDAP server 40. Hereinafter, when there is no need to distinguish between the server devices 10-1 to 10-N, it will be referred to as "server device 10", and when there is no need to distinguish between the user terminals 20A to 20M, it will be referred to as "user terminal 20". It may be written as

サーバ装置10、ユーザ端末20、管理者端末30及びLDAPサーバ40は、ネットワークNWを介して通信可能に接続される。例えば、ネットワークNWは、有線または無線を問わず、インターネット、LAN(Local Area Network)やVPN(Virtual Private Network)などの任意の種類の通信網であってよい。 The server device 10, user terminal 20, administrator terminal 30, and LDAP server 40 are communicably connected via the network NW. For example, the network NW may be any type of communication network, such as the Internet, a LAN (Local Area Network), or a VPN (Virtual Private Network), regardless of whether it is wired or wireless.

サーバ装置10は、任意のサービス、例えば業務サービスなどのWebサービスを提供するコンピュータの一例である。このようなサーバ装置10の例として、Webサーバやアプリケーションサーバ、データベースサーバなどが挙げられる。 The server device 10 is an example of a computer that provides arbitrary services, for example, web services such as business services. Examples of such a server device 10 include a web server, an application server, a database server, and the like.

図1に示すように、サーバ装置10-1~10-Nは、サービス実行部13-1~13-Nと、認可proxy実行部15-1~15-Nとを含み得る。サービス実行部13-1~13-Nは、Webサービスに対応する処理を実行する。認可proxy実行部15-1~15-Nは、認可コントローラ50により設定される認可ポリシーにしたがってWebサービスに対するユーザアクセスの認可、いわゆるアクセス制御を行う。以下、サービス実行部13-1~13-Nの個体の区別が不要である場合に「サービス実行部13」と記載すると共に、認可proxy実行部15-1~15-Nの個体の区別が不要である場合に「認可proxy実行部15」と記載する場合がある。 As shown in FIG. 1, the server devices 10-1 to 10-N may include service execution units 13-1 to 13-N and authorization proxy execution units 15-1 to 15-N. The service execution units 13-1 to 13-N execute processes corresponding to Web services. The authorization proxy execution units 15-1 to 15-N authorize user access to the Web service, so-called access control, in accordance with the authorization policy set by the authorization controller 50. Hereinafter, when there is no need to distinguish between the service execution units 13-1 to 13-N, it will be referred to as "service execution unit 13", and there is no need to distinguish between the authorization proxy execution units 15-1 to 15-N. In this case, it may be written as "authorization proxy execution unit 15".

あくまで一例として、図1には、1つのサーバ装置10につき1つのWebサービスが提供される例を挙げたが、図示の例に限定されない。例えば、サーバ装置10は、Webサービスの並列化および冗長化を実現する側面から、VM(Virtual Machine)やコンテナなどのホスト上で同種または異種の複数のWebサービスに対応する処理を実行する複数のプロセスを動作させることもできる。この場合、サーバ装置10には、複数のサービス実行部13と、複数のサービス実行部13の各々に対応するエージェントとして配置される複数の認可proxy実行部15とが含まれ得る。 As an example, FIG. 1 shows an example in which one Web service is provided for one server device 10, but the present invention is not limited to the illustrated example. For example, from the aspect of realizing parallelization and redundancy of Web services, the server device 10 has multiple servers that execute processes corresponding to multiple Web services of the same type or different types on a host such as a VM (Virtual Machine) or a container. You can also run processes. In this case, the server device 10 may include a plurality of service execution units 13 and a plurality of authorization proxy execution units 15 arranged as agents corresponding to each of the plurality of service execution units 13.

ユーザ端末20は、企業情報システム1のエンドユーザにより使用される端末装置である。例えば、ユーザ端末20は、サーバ装置10により提供されるWebサービスを利用できる環境、例えばWebクライアントの一例であるブラウザが動作できる環境を有する。以下、ユーザ端末20からネットワークNW上に存在するリソースへ行われるアクセスのことを「ユーザアクセス」と記載する場合がある。 The user terminal 20 is a terminal device used by an end user of the corporate information system 1. For example, the user terminal 20 has an environment in which the web service provided by the server device 10 can be used, for example, an environment in which a browser, which is an example of a web client, can operate. Hereinafter, access performed from the user terminal 20 to resources existing on the network NW may be referred to as "user access."

管理者端末30は、シングルサインオンサービスのユーザの一例に対応する企業情報システム1の管理者により使用される端末装置である。ここで言う「管理者」には、企業情報システム1のシステム管理者やセキュリティ管理者、サーバ装置10の運営者などといった企業情報システム1の管理者全般が含まれてよい。 The administrator terminal 30 is a terminal device used by an administrator of the corporate information system 1 corresponding to an example of a user of the single sign-on service. The "administrator" here may include all administrators of the corporate information system 1, such as a system administrator, a security administrator, an operator of the server device 10, and the like of the corporate information system 1.

LDAPサーバ40は、LDAPに対応するディレクトリサービスを提供するコンピュータの一例に対応する。例えば、上記のディレクトリサービスには、人や組織などのオブジェクトに関するエントリの集合がツリー構造で表現されたディレクトリ情報ツリーを格納するディレクトリ情報ベースが用いられる。 The LDAP server 40 corresponds to an example of a computer that provides a directory service compatible with LDAP. For example, the above directory service uses a directory information base that stores a directory information tree in which a collection of entries related to objects such as people and organizations is expressed in a tree structure.

図2は、ディレクトリ情報ツリーの一例を示す図である。図2に示すように、ディレクトリ情報ツリーのオブジェクトには、属性および属性値が含まれる。例えば、ディレクトリ情報ツリーのオブジェクトの登録、更新または削除などの編集は、エンドユーザの職制情報にしたがって管理者端末30から受け付けることができる。ここで、図2に示す“dc”はドメイン名を指し、“ou”は組織を指し、“cn”は個人を指す。図2に示すディレクトリ情報ツリーの例で言えば、FJという企業には、営業、開発、総務および経理の4つの組織が含まれることをコンピュータが認識できる。このうち、営業には、1gおよび2gの2つ組織が含まれると共に、Xという個人が含まれることをコンピュータが認識できる。さらに、営業の1gという組織には、A、BおよびCという3人の個人が含まれることをコンピュータが認識できる。また、開発には、1gおよび2gの2つ組織が含まれ、さらに、1gには、DおよびEという2人の個人が含まれることをコンピュータが認識できる。また、総務には、1gおよび2gという2つの組織が含まれると共に、経理には、1gおよび2gの2つの組織が含まれると共にYという個人がことをコンピュータが認識できる。 FIG. 2 is a diagram showing an example of a directory information tree. As shown in FIG. 2, objects in the directory information tree include attributes and attribute values. For example, editing such as registration, update, or deletion of objects in the directory information tree can be accepted from the administrator terminal 30 according to the end user's job title information. Here, "dc" shown in FIG. 2 refers to a domain name, "ou" refers to an organization, and "cn" refers to an individual. In the example of the directory information tree shown in FIG. 2, the computer can recognize that the company FJ includes four organizations: sales, development, general affairs, and accounting. Of these, the computer can recognize that sales includes two organizations, 1g and 2g, as well as an individual named X. Furthermore, the computer can recognize that the sales organization 1g includes three individuals, A, B, and C. Furthermore, the computer can recognize that development includes two organizations, 1g and 2g, and that 1g includes two individuals, D and E. Furthermore, the computer can recognize that the general affairs section includes two organizations, 1g and 2g, and that the accounting section includes two organizations, 1g and 2g, and that there is an individual named Y.

以上のように、図1では、サーバ装置10およびLDAPサーバ40が企業情報システム1内に設置されるオンプレミス環境を例示したが、これに限定されない。例えば、サーバ装置10およびLDAPサーバ40が有する機能の一部または全部は、クラウド環境でクラウドサービスとして提供されることとしてもよい。 As described above, although FIG. 1 illustrates an on-premise environment in which the server device 10 and the LDAP server 40 are installed within the corporate information system 1, the present invention is not limited to this. For example, some or all of the functions of the server device 10 and the LDAP server 40 may be provided as cloud services in a cloud environment.

さらに、図1に示す認可コントローラ50を通じて、認可proxyの制御機能がクラウドサービスとして提供される。1つの側面として、認可コントローラ50は、エンドユーザのアクセス権限の設定を受け付けるGUI(Graphical User Interface)やCLI(Command Line Interface)などのユーザインタフェイスを管理者端末30へ提供する。例えば、エンドユーザには、エンドユーザの組織内における仕事や役割を表すロールが設定される。このようなロールごとにサービスやデータなどのリソースに対するアクセス可否やアクセスレベルなどのアクセス権限が割り当てられる。これらロールおよびアクセス権限が対応付けられた認可ポリシー情報が認可proxy実行部15へ配信される。他の側面として、認可コントローラ50には、各サーバ装置10の認可proxy実行部15からリソースに対するアクセスログを収集することもできる。 Further, through the authorization controller 50 shown in FIG. 1, the authorization proxy control function is provided as a cloud service. As one aspect, the authorization controller 50 provides the administrator terminal 30 with a user interface such as a GUI (Graphical User Interface) or a CLI (Command Line Interface) that accepts end user access authority settings. For example, an end user is assigned a role that represents the end user's job or role within an organization. Access privileges such as permission to access resources such as services and data and access levels are assigned to each role. Authorization policy information in which these roles and access privileges are associated is distributed to the authorization proxy execution unit 15. As another aspect, the authorization controller 50 can also collect access logs for resources from the authorization proxy execution unit 15 of each server device 10.

なお、図1には、認可コントローラ50により認可proxy実行部15-1~15-Nが制御される例を挙げるが、図示の例に限定されない。例えば、認可proxy実行部15-1~15-Nのうち1つまたは所定数の認可proxy実行部15が他の認可proxy実行部15の制御機能を有することとしてもよい。この場合、認可コントローラ50が必ずしも含まれずともよい。 Although FIG. 1 shows an example in which the authorization controller 50 controls the authorization proxy execution units 15-1 to 15-N, the present invention is not limited to the illustrated example. For example, one or a predetermined number of authorization proxy execution units 15 among the authorization proxy execution units 15-1 to 15-N may have a control function for other authorization proxy execution units 15. In this case, the authorization controller 50 may not necessarily be included.

[サーバ装置10の構成]
次に、本実施例に係るサーバ装置10の機能的構成について説明する。図3は、実施例1に係るサーバ装置10の機能的構成の一例を示すブロック図である。図3には、サーバ装置10が有する機能に対応するブロックが模式化されている。図3に示すように、サーバ装置10は、認証部11と、サービス実行部13と、認可proxy実行部15とを有する。なお、サーバ装置10は、図3に示す機能部以外にも既知のコンピュータが有する各種の機能部、例えば入出力インタフェイスや通信インタフェイスなどに対応する機能が含まれることを妨げない。
[Configuration of server device 10]
Next, the functional configuration of the server device 10 according to this embodiment will be explained. FIG. 3 is a block diagram showing an example of the functional configuration of the server device 10 according to the first embodiment. FIG. 3 schematically shows blocks corresponding to functions that the server device 10 has. As shown in FIG. 3, the server device 10 includes an authentication section 11, a service execution section 13, and an authorization proxy execution section 15. It should be noted that the server device 10 may include, in addition to the functional units shown in FIG. 3, various functional units included in known computers, such as functions corresponding to input/output interfaces, communication interfaces, and the like.

認証部11、サービス実行部13および認可proxy実行部15などの機能部は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などのハードウェアプロセッサにより仮想的に実現される。例えば、プロセッサは、図示しないストレージ、例えばHDD(Hard Disk Drive)、光ディスクやSSD(Solid State Drive)などから各種のプログラムを読み出す。このようなプログラムには、OS(Operating System)の他、Webサービスを実現するWebアプリケーションや上記のアクセス制御機能を実現するアクセス制御プログラムなどが含まれ得る。 Functional units such as the authentication unit 11, the service execution unit 13, and the authorization proxy execution unit 15 are virtually realized by a hardware processor such as a CPU (Central Processing Unit) or an MPU (Micro Processing Unit). For example, the processor reads various programs from a storage (not shown), such as an HDD (Hard Disk Drive), an optical disk, or an SSD (Solid State Drive). Such programs may include, in addition to the OS (Operating System), a web application that implements a web service, an access control program that implements the above-mentioned access control function, and the like.

例えば、プロセッサは、上記のWebアプリケーションを実行することにより、RAM(Random Access Memory)等のメモリ上に認証部11やサービス実行部13に対応するプロセスを展開する。このように、上記のWebアプリケーションが実行される結果、上記のサービス実行部33がプロセスとして仮想的に実現される。また、プロセッサは、上記のアクセス制御プログラムを実行することにより、RAM等のメモリ上に認可proxy実行部15に対応するプロセスを展開する。このように、上記のアクセス制御プログラムが実行される結果、認可proxy実行部15がプロセスとして仮想的に実現される。なお、ここでは、プロセッサの一例として、CPUやMPUを例示したが、汎用型および特化型を問わず、任意のプロセッサにより上記の機能部が実現されることとしてもかまわない。この他、上記の機能部または機能部の一部は、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などのハードワイヤードロジックによって実現されることとしてもかまわない。 For example, by executing the above Web application, the processor deploys processes corresponding to the authentication unit 11 and the service execution unit 13 on a memory such as a RAM (Random Access Memory). In this way, as a result of executing the above-mentioned Web application, the above-mentioned service execution unit 33 is virtually realized as a process. In addition, the processor deploys a process corresponding to the authorization proxy execution unit 15 on a memory such as a RAM by executing the above-mentioned access control program. In this way, as a result of executing the above access control program, the authorization proxy execution unit 15 is virtually realized as a process. Note that although a CPU or an MPU is illustrated here as an example of a processor, the above-mentioned functional unit may be realized by any processor, regardless of whether it is a general-purpose type or a specialized type. In addition, the above-mentioned functional unit or part of the functional unit may be realized by hard-wired logic such as an ASIC (Application Specific Integrated Circuit) or an FPGA (Field Programmable Gate Array).

認証部11は、ユーザ認証を実行する処理部である。一実施形態として、認証部11は、ユーザ端末20からサインインのリクエストを受け付けた場合、ユーザ端末20から受け付けたユーザIDおよびパスワードを含む認証リクエストを図示しないSSOサーバへ送信する。この認証リクエストに応答して、SSOサーバでは、LDAP上のアカウントを用いてユーザ認証が実行される。この結果、認証の成功時には、認証トークン、例えばLDAPのユーザ名などが発行される。 The authentication unit 11 is a processing unit that performs user authentication. As one embodiment, when the authentication unit 11 receives a sign-in request from the user terminal 20, it transmits the authentication request including the user ID and password received from the user terminal 20 to an SSO server (not shown). In response to this authentication request, the SSO server performs user authentication using the account on LDAP. As a result, when authentication is successful, an authentication token, such as an LDAP user name, is issued.

サービス実行部13は、Webサービスに対応する処理を実行する処理部である。一実施形態として、サービス実行部13は、ユーザ端末20から認可proxy実行部15を介してユーザアクセス、例えばHTTP(HyperText Transfer Protocol)リクエストを受け付けると、HTTPリクエストで要求された処理を実行する。その後、サービス実行部13は、HTTPレスポンスを認可proxy実行部15を介してユーザ端末20へ送信する。 The service execution unit 13 is a processing unit that executes processing corresponding to a web service. In one embodiment, when the service execution unit 13 receives a user access, for example, an HTTP (HyperText Transfer Protocol) request, from the user terminal 20 via the authorization proxy execution unit 15, the service execution unit 13 executes the process requested by the HTTP request. Thereafter, the service execution unit 13 transmits the HTTP response to the user terminal 20 via the authorization proxy execution unit 15.

認可proxy実行部15は、認可proxy、すなわち上記のアクセス制御プログラムを実行する処理部である。図3に示すように、認可proxy実行部15は、算出部15Aと、生成部15Bと、取得部15Cと、受付部15Dと、アクセス制御部15Eとを有する。 The authorization proxy execution unit 15 is an authorization proxy, that is, a processing unit that executes the above access control program. As shown in FIG. 3, the authorization proxy execution unit 15 includes a calculation unit 15A, a generation unit 15B, an acquisition unit 15C, a reception unit 15D, and an access control unit 15E.

算出部15Aは、アクセス頻度を算出する処理部である。一実施形態として、算出部15Aは、組織単位の属性情報の定期取得が実行される場合、処理を起動することができる。すなわち、本実施例では、LDAPサーバ40の負荷を低減する側面から、アクセス頻度が閾値以上である組織に属するエンドユーザの属性情報をユーザアクセスが行われる度にLDAPサーバ40から取得することが抑制される。その代わりに、本実施例では、所定の周期、例えば数時間につき1回の頻度に抑えて、アクセス頻度が閾値を超える組織に属するエンドユーザの属性情報がLDAPサーバ40から取得される。このような定期取得が実行されるタイミングで、算出部15Aは、ディレクトリ情報ツリーが分割される分割範囲、例えばルートエントリの直下に位置するエントリに対応する組織ごとに当該組織のアクセス頻度および閾値Thを算出する。 The calculation unit 15A is a processing unit that calculates the access frequency. As one embodiment, the calculation unit 15A can start processing when periodic acquisition of attribute information of an organizational unit is performed. That is, in this embodiment, in order to reduce the load on the LDAP server 40, acquisition of attribute information of end users belonging to organizations whose access frequency is equal to or higher than a threshold value is suppressed from being obtained from the LDAP server 40 every time a user accesses the organization. be done. Instead, in this embodiment, attribute information of end users belonging to organizations whose access frequency exceeds a threshold value is acquired from the LDAP server 40 at a predetermined period, for example, once every few hours. At the timing when such periodic acquisition is executed, the calculation unit 15A calculates the access frequency and threshold Th of each organization corresponding to the division range in which the directory information tree is divided, for example, the entry located directly under the root entry. Calculate.

1つの側面として、算出部15Aは、アクセスログ14Aを参照して、組織のアクセス頻度を算出する。アクセスログ14Aは、サービス実行部13-1~13-Nの各々のサービスに対するアクセスのログである。例えば、アクセスログ14Aは、サービス実行部13-1~13-Nの各々のサービスに対するアクセスが認可proxy実行部15-1~15-Nから認可コントローラ50へ収集されたことにより生成される。あくまで一例として、図2に示す例で言えば、ディレクトリ情報ツリーは、ルートエントリの直下に位置する営業、開発、総務および経理の4つの組織へ分割される。この場合、算出部15Aは、営業、開発、総務および経理の4つの組織ごとに当該組織がアクセス元であるアクセス数を集計した上で単位時間、例えば1日から1か月程度あたりのアクセス数をアクセス頻度として計算する。このとき、直近のアクセスの状況を重視する側面から、アクセス数を集計する期間をアクセス頻度の算出が行われる時点から所定の期間以内のアクセスに絞り込んでもよいし、アクセス頻度の算出が行われる時点に近づくに連れて大きい重みを付与することもできる。なお、ここでは、定期取得時にアクセス頻度が算出される例を挙げたが、認可proxy実行部15-1~15-Nでアクセスが検出される度にアクセス数を集計してアクセス頻度を算出することもできる。 As one aspect, the calculation unit 15A calculates the access frequency of the organization by referring to the access log 14A. The access log 14A is a log of access to each service by the service execution units 13-1 to 13-N. For example, the access log 14A is generated when accesses to the services of the service execution units 13-1 to 13-N are collected from the authorization proxy execution units 15-1 to 15-N to the authorization controller 50. As an example, in the example shown in FIG. 2, the directory information tree is divided into four organizations: sales, development, general affairs, and accounting located directly under the root entry. In this case, the calculation unit 15A aggregates the number of accesses from each of the four organizations, sales, development, general affairs, and accounting, and calculates the number of accesses per unit time, for example, from one day to one month. is calculated as the access frequency. At this time, in order to emphasize the most recent access situation, the period for aggregating the number of accesses may be narrowed down to accesses within a predetermined period from the time when the access frequency is calculated, or the time when the access frequency is calculated. It is also possible to give a larger weight as the value approaches . Note that here, an example is given in which the access frequency is calculated at the time of regular acquisition, but the access frequency is calculated by totaling the number of accesses each time an access is detected by the authorization proxy execution units 15-1 to 15-N. You can also do that.

他の側面として、算出部15Aは、アクセス頻度と比較する閾値Thを算出する。あくまで一例として、算出部15Aは、単位時間あたりのアクセスをすべて個別に属性情報を取得したときの総データサイズが定期取得で組織内の全ユーザの属性情報を一括で取得するデータサイズと同等になる値を閾値Thとして算出する。このような閾値Thは、一例として、次式で動的に算出できる。 As another aspect, the calculation unit 15A calculates a threshold Th to be compared with the access frequency. As just an example, the calculation unit 15A calculates that the total data size when acquiring attribute information individually for all accesses per unit time is equivalent to the data size when acquiring attribute information of all users in the organization at once through periodic acquisition. The value is calculated as the threshold Th. Such a threshold Th can be dynamically calculated using the following equation, for example.

閾値Th=(保存済み組織内データサイズ×アクセスカウント単位時間÷LDAPからの定期取得間隔)÷(保存済み組織内データサイズ÷組織の所属人数)
=アクセスカウント単位時間×組織の所属人数÷LDAPからの定期取得間隔
Threshold Th = (Saved internal data size x Access count unit time ÷ Periodic acquisition interval from LDAP) ÷ (Saved internal data size ÷ Number of people belonging to the organization)
= Access count unit time x Number of members of the organization ÷ Periodic acquisition interval from LDAP

生成部15Bは、ディレクトリ情報ツリーの分割範囲に対応する組織ごとに当該組織に属するユーザの属性情報の取得先が設定された取得先情報14Bを生成する処理部である。以下、ユーザの属性情報の取得先のことを「ユーザ属性取得先」と略記する場合がある。一実施形態として、生成部15Bは、ディレクトリ情報ツリーのルートエントリの直下に位置するエントリに対応する組織ごとに、当該組織のアクセス頻度が閾値Thを超えるか否かを判定する。このとき、生成部15Bは、アクセス頻度が閾値Thを超える組織のユーザ属性取得先を“proxy”に設定する一方で、アクセス頻度が閾値Th以下である組織のユーザ属性取得先を“LDAP”に設定する。このようにして組織ごとに当該組織のユーザ属性取得先が設定された取得先情報14Bが生成される。 The generation unit 15B is a processing unit that generates acquisition source information 14B in which the acquisition source of attribute information of users belonging to the organization is set for each organization corresponding to the division range of the directory information tree. Hereinafter, the acquisition source of user attribute information may be abbreviated as "user attribute acquisition source." In one embodiment, the generation unit 15B determines, for each organization corresponding to an entry located immediately below the root entry of the directory information tree, whether the access frequency of the organization exceeds the threshold Th. At this time, the generation unit 15B sets the user attribute acquisition source of the organization whose access frequency exceeds the threshold Th to "proxy", and sets the user attribute acquisition source of the organization whose access frequency is less than or equal to the threshold Th to "LDAP". Set. In this way, acquisition source information 14B is generated for each organization, in which the user attribute acquisition source of the organization is set.

図4は、取得先情報14Bの遷移例を示す図である。図4には、初回の時点T0、2回目の時点T1、3回目の時点T2および4回目の時点T3の取得先情報14B0~14B3が示されている。図4に示すように、初回の時点T0では、アクセス頻度の実測値がない。このため、全ての組織のアクセス頻度の初期値が閾値Thを超える「高」に設定されるので、全ての組織のユーザ属性取得先は“proxy”に設定される。続いて、2回目の時点T1では、4つの組織のうち営業、総務および経理の3つの組織のアクセス頻度が閾値Th営業、閾値Th総務および閾値Th経理を超える一方で開発のアクセス頻度が閾値Th開発以下となる。この場合、開発のユーザ属性取得先が“proxy”から“LDAP”へ変更される。その後、3回目の時点T2では、経理のアクセス頻度が低下し、閾値Th経理以下となる。これに伴って、経理のユーザ属性取得先が“proxy”から“LDAP”へ変更される。続いて、4回目の時点T3では、経理のアクセス頻度が上昇し、閾値Th経理を超える。これに伴って、経理のユーザ属性取得先が“LDAP”から“proxy”へ変更される。このように、アクセス頻度の推移に追従して組織のユーザ属性取得先を動的に変更できる。 FIG. 4 is a diagram showing an example of transition of the acquisition source information 14B. FIG. 4 shows acquisition source information 14B0 to 14B3 for the first time T0, the second time T1, the third time T2, and the fourth time T3. As shown in FIG. 4, at the first time point T0, there is no actually measured value of access frequency. Therefore, since the initial value of the access frequency of all organizations is set to "high" exceeding the threshold Th, the user attribute acquisition source of all organizations is set to "proxy". Subsequently, at the second time point T1, the access frequency of three of the four organizations, sales, general affairs, and accounting, exceeds the threshold Th sales , threshold Th general affairs , and threshold Th accounting , while the access frequency of development exceeds the threshold Th. Below development . In this case, the user attribute acquisition source for development is changed from "proxy" to "LDAP". Thereafter, at the third time point T2, the access frequency for accounting decreases and becomes equal to or less than the threshold value Th for accounting. Along with this, the user attribute acquisition destination for accounting is changed from "proxy" to "LDAP". Subsequently, at the fourth time point T3, the access frequency for accounting increases and exceeds the threshold Th accounting . Along with this, the user attribute acquisition source for accounting is changed from "LDAP" to "proxy". In this way, the organization's user attribute acquisition source can be dynamically changed in accordance with changes in access frequency.

取得部15Cは、LDAPサーバ40から組織単位の属性情報を所定の周期で取得する定期取得を実行する処理部である。一実施形態として、取得部15Cは、前回の定期取得が行われてから一定の周期が経過した場合、ディレクトリ情報ツリーの分割範囲に対応する組織ごとに当該組織のユーザ属性取得先を取得先情報14Bから参照する。その上で、取得部15Cは、ユーザ属性取得先が“proxy”である組織ごとに当該組織に属するユーザの属性情報をLDAPサーバ40から取得する。 The acquisition unit 15C is a processing unit that performs regular acquisition to acquire attribute information of an organizational unit from the LDAP server 40 at a predetermined period. In one embodiment, when a certain period has passed since the previous periodic acquisition was performed, the acquisition unit 15C determines the user attribute acquisition source of the organization for each organization corresponding to the division range of the directory information tree. Reference is made from 14B. Then, the acquisition unit 15C acquires from the LDAP server 40 attribute information of users belonging to each organization whose user attribute acquisition destination is "proxy".

図5及び図6は、定期取得時の動作例を示す図である。図5には、図4に示す取得先情報14B0を参照して定期取得が行われる例が示される一方で、図6には、図4に示す取得先情報14B1を参照して定期取得が行われる例が示されている。 5 and 6 are diagrams illustrating an example of operation during periodic acquisition. FIG. 5 shows an example in which periodic acquisition is performed with reference to the acquisition source information 14B0 shown in FIG. 4, while FIG. 6 shows an example in which periodic acquisition is performed with reference to the acquisition source information 14B1 shown in FIG. An example is shown below.

図5に示すように、算出部15Aは、ディレクトリ情報ツリーの分割範囲に対応する営業、開発、総務および経路の4つの組織ごとにアクセス頻度および閾値Thを算出する(ステップS11)。続いて、生成部15Bは、ステップS11で算出されたアクセス頻度が閾値Thを超えるか否かに応じて組織ごとに当該組織のユーザ属性取得先が対応付けられた取得先情報14B0を生成する(ステップS12)。続いて、取得部15Cは、取得先情報14B0に設定されたユーザ属性取得先を参照する(ステップS13)。ここで、図5に示す取得先情報14B0には、営業、開発、総務および経理の全ての組織のユーザ属性取得先に“proxy”が設定されている。このため、取得部15Cは、ルートエントリ直下の全てのou以下のエントリをLDAPサーバ40にリクエストする(ステップS14)。この結果、ディレクトリ情報ベース、すなわちDIB(Directory Information Base)41Aから全組織のユーザの属性情報が取得される(ステップS15)。その後、取得部15Cは、ステップS15で取得された全組織のユーザの属性情報を認可proxy実行部15が参照可能な記憶領域へ保存する(ステップS16)。以下、認可proxy実行部15が参照可能な記憶領域のことを「認可proxy記憶領域」と略記する場合がある。これら一連の定期取得により、属性情報14C0が得られる。 As shown in FIG. 5, the calculation unit 15A calculates the access frequency and threshold Th for each of the four organizations, sales, development, general affairs, and routes, corresponding to the division range of the directory information tree (step S11). Next, the generation unit 15B generates acquisition source information 14B0 in which the user attribute acquisition source of the organization is associated with each organization depending on whether the access frequency calculated in step S11 exceeds the threshold Th ( Step S12). Subsequently, the acquisition unit 15C refers to the user attribute acquisition destination set in the acquisition destination information 14B0 (step S13). Here, in the acquisition source information 14B0 shown in FIG. 5, "proxy" is set as the user attribute acquisition source for all organizations such as sales, development, general affairs, and accounting. Therefore, the acquisition unit 15C requests the LDAP server 40 for all the entries below ou directly under the root entry (step S14). As a result, attribute information of users of all organizations is acquired from the directory information base, ie, DIB (Directory Information Base) 41A (step S15). Thereafter, the acquisition unit 15C stores the attribute information of users of all organizations acquired in step S15 in a storage area that can be referenced by the authorization proxy execution unit 15 (step S16). Hereinafter, the storage area that can be referenced by the authorization proxy execution unit 15 may be abbreviated as "authorization proxy storage area." Through this series of periodic acquisitions, attribute information 14C0 is obtained.

また、図6に示すように、算出部15Aは、ディレクトリ情報ツリーの分割範囲に対応する営業、開発、総務および経路の4つの組織ごとにアクセス頻度および閾値Thを算出する(ステップS21)。続いて、生成部15Bは、ステップS21で算出されたアクセス頻度が閾値Thを超えるか否かに応じて組織ごとに当該組織のユーザ属性取得先が対応付けられた取得先情報14B1を生成する(ステップS22)。続いて、取得部15Cは、取得先情報14B1に設定されたユーザ属性取得先を参照する(ステップS23)。ここで、図6に示す取得先情報14B1によれば、営業、総務および経理のユーザ属性取得先に“proxy”が設定されている一方で、開発のユーザ属性取得先に“LDAP”が設定されている。この場合、取得部15Cは、“ou=eigyou”以下のエントリと、“ou=soumu”以下のエントリと、“ou=keiri”以下のエントリとをLDAPサーバ40にリクエストする(ステップS24)。この結果、DIB41Aから営業、総務および経理のユーザの属性情報が取得される(ステップS25)。その後、取得部15Cは、ステップS25で取得された営業、総務および経理のユーザの属性情報を認可proxy実行部15が参照可能な記憶領域へ保存する(ステップS26)。これら一連の定期取得により、属性情報14C1が得られる。 Further, as shown in FIG. 6, the calculation unit 15A calculates the access frequency and threshold Th for each of the four organizations, sales, development, general affairs, and routes corresponding to the division range of the directory information tree (step S21). Next, the generation unit 15B generates acquisition source information 14B1 in which the user attribute acquisition source of the organization is associated with each organization depending on whether the access frequency calculated in step S21 exceeds the threshold Th ( Step S22). Subsequently, the acquisition unit 15C refers to the user attribute acquisition destination set in the acquisition destination information 14B1 (step S23). Here, according to the acquisition source information 14B1 shown in FIG. 6, "proxy" is set as the user attribute acquisition source for sales, general affairs, and accounting, while "LDAP" is set as the user attribute acquisition source for development. ing. In this case, the acquisition unit 15C requests the LDAP server 40 for the entries below "ou=eigyou", the entries below "ou=soumu", and the entries below "ou=keiri" (step S24). As a result, attribute information of sales, general affairs, and accounting users is acquired from the DIB 41A (step S25). After that, the acquisition unit 15C stores the attribute information of the sales, general affairs, and accounting users acquired in step S25 in a storage area that can be referenced by the authorization proxy execution unit 15 (step S26). The attribute information 14C1 is obtained through a series of these periodic acquisitions.

図3の説明に戻り、受付部15Dは、ユーザ端末20からのユーザアクセスを受け付ける処理部である。一実施形態として、受付部15Dは、ユーザ端末20からHTTPリクエストのメッセージを受け付ける。この際、受付部15Dは、HTTPリクエストのメッセージのヘッダから当該ヘッダに付与された認証トークン、例えばLDAPのユーザ名を抽出する。 Returning to the explanation of FIG. 3, the reception unit 15D is a processing unit that accepts user access from the user terminal 20. In one embodiment, the receiving unit 15D receives an HTTP request message from the user terminal 20. At this time, the receiving unit 15D extracts an authentication token, such as an LDAP user name, added to the header of the HTTP request message.

アクセス制御部15Eは、ユーザアクセスを制御する処理部である。一実施形態として、アクセス制御部15Eは、認可proxy記憶領域に保存された全ユーザの属性情報のうちLDAPのユーザ名に対応するユーザの属性情報を取得する。続いて、アクセス制御部15Eは、取得先情報14Bに含まれるユーザ属性取得先のうち、認可proxy記憶領域から取得されたユーザの属性情報から識別されるユーザの所属組織に対応するユーザ属性取得先を参照する。このとき、ユーザ属性取得先が“LDAP”である場合、アクセス制御部15Eは、LDAPサーバ40からLDAPのユーザ名に対応するユーザの属性情報を取得する。その上で、アクセス制御部15Eは、認可ポリシー情報14Dに含まれるアクセス権限のうちLDAPサーバ40から取得されたユーザの属性情報のロールに対応付けられたアクセス権限に基づいてアクセス可否およびアクセスレベルを制御する。一方、ユーザ属性取得先が“proxy”である場合、アクセス制御部15Eは、認可ポリシー情報14Dに含まれるアクセス権限のうち認可proxy記憶領域から取得されたユーザの属性情報のロールに対応付けられたアクセス権限に基づいてアクセス可否およびアクセスレベルを制御する。 The access control unit 15E is a processing unit that controls user access. In one embodiment, the access control unit 15E acquires the attribute information of the user corresponding to the LDAP user name from among the attribute information of all users stored in the authorization proxy storage area. Next, the access control unit 15E selects a user attribute acquisition source corresponding to the organization to which the user belongs, which is identified from the user attribute information acquired from the authorization proxy storage area, among the user attribute acquisition sources included in the acquisition source information 14B. See. At this time, if the user attribute acquisition source is "LDAP", the access control unit 15E acquires user attribute information corresponding to the LDAP user name from the LDAP server 40. Then, the access control unit 15E determines whether or not access is possible and the access level based on the access authority associated with the role of the user attribute information acquired from the LDAP server 40 among the access authority included in the authorization policy information 14D. Control. On the other hand, when the user attribute acquisition source is "proxy", the access control unit 15E determines which of the access rights included in the authorization policy information 14D is associated with the role of the user attribute information acquired from the authorization proxy storage area. Control access permissions and access levels based on access privileges.

図7及び図8は、アクセス制御時の動作例を示す図である。図7には、図4に示す取得先情報14B0を参照してアクセス制御が行われる例が示される一方で、図8には、図4に示す取得先情報14B1を参照してアクセス制御が行われる例が示されている。さらには、図7には、図2に示すディレクトリ情報ツリーのうち営業の1gに所属するAが使用するユーザ端末20Aからユーザアクセスを受け付ける例が示されている。一方、図8には、図2に示すディレクトリ情報ツリーのうち開発の1gに所属するEが使用するユーザ端末20Eからユーザアクセスを受け付ける例が示されている。 7 and 8 are diagrams illustrating an example of operation during access control. 7 shows an example in which access control is performed with reference to the acquisition source information 14B0 shown in FIG. 4, while FIG. 8 shows an example in which access control is performed with reference to the acquisition source information 14B1 shown in FIG. An example is shown below. Furthermore, FIG. 7 shows an example in which a user access is accepted from the user terminal 20A used by A, who belongs to the sales department 1g in the directory information tree shown in FIG. On the other hand, FIG. 8 shows an example in which a user access is accepted from a user terminal 20E used by E, who belongs to development group 1g in the directory information tree shown in FIG.

図7に示すように、受付部15Dは、ユーザ端末20Aからユーザアクセス受け付ける(ステップS31)。すると、受付部15Dは、ステップS31で受け付けたHTTPリクエストのメッセージのヘッダから当該ヘッダに付与されたLDAPのユーザ名“A”を抽出する(ステップS32)。そして、アクセス制御部15Eは、認可proxy記憶領域に保存された全ユーザの属性情報14C0のうちLDAPのユーザ名“A”に対応するLDAP識別名“cn=A,ou=1g,ou=eigyo,dc=FJ,dc=com”を取得する(ステップS33)。続いて、アクセス制御部15Eは、取得先情報14B0のユーザ属性取得先のうち、ステップS33で認可proxy記憶領域から取得されたLDAP識別名から識別されるユーザの所属組織“営業”に対応するユーザ属性取得先“proxy”を参照する(ステップS34)。その後、アクセス制御部15Eは、認可ポリシー情報14D0に含まれるアクセス権限のうちステップS33で認可proxy記憶領域から取得されたLDAP識別名のロールに対応付けられたアクセス権限に基づいてアクセス可否およびアクセスレベルを制御する(ステップS35及びステップS36)。 As shown in FIG. 7, the receiving unit 15D receives a user access from the user terminal 20A (step S31). Then, the receiving unit 15D extracts the LDAP user name "A" given to the header of the HTTP request message received in step S31 (step S32). Then, the access control unit 15E selects the LDAP identification name "cn=A, ou=1g, ou=eigyo," which corresponds to the LDAP user name "A" among the attribute information 14C0 of all users stored in the authorized proxy storage area. dc=FJ, dc=com” (step S33). Next, the access control unit 15E selects a user who corresponds to the organization "sales" of the user identified from the LDAP identification name acquired from the authorized proxy storage area in step S33 among the user attribute acquisition sources of the acquisition source information 14B0. The attribute acquisition destination "proxy" is referred to (step S34). Thereafter, the access control unit 15E determines whether or not access is possible and the access level based on the access authority associated with the role of the LDAP identification name acquired from the authorization proxy storage area in step S33 among the access authority included in the authorization policy information 14D0. (step S35 and step S36).

また、図8に示すように、受付部15Dは、ユーザ端末20Eからユーザアクセス受け付ける(ステップS41)。すると、受付部15Dは、ステップS41で受け付けたHTTPリクエストのメッセージのヘッダから当該ヘッダに付与されたLDAPのユーザ名“E”を抽出する(ステップS42)。そして、アクセス制御部15Eは、認可proxy記憶領域に保存された全ユーザの属性情報14C1のうちLDAPのユーザ名“E”に対応するLDAP識別名“cn=E,ou=1g,ou=kaihatsu,dc=FJ,dc=com”を取得する(ステップS43)。続いて、アクセス制御部15Eは、取得先情報14B1のユーザ属性取得先のうち、ステップS43で認可proxy記憶領域から取得されたLDAP識別名から識別されるユーザの所属組織“開発”に対応するユーザ属性取得先“LDAP”を参照する(ステップS44)。その後、アクセス制御部15Eは、LDAPサーバ40からLDAPのユーザ名“E”に対応するLDAP識別名“cn=E,ou=1g,ou=kaihatsu,dc=FJ,dc=com”を取得する(ステップS45)。そして、アクセス制御部15Eは、属性情報14C1のうち、ステップS45で取得されたLDAPのユーザ名“E”のLDAP識別名を上書き更新する(ステップS46)。その上で、アクセス制御部15Eは、認可ポリシー情報14D0に含まれるアクセス権限のうちステップS45でLDAPサーバ40から取得されたLDAP識別名のロールに対応付けられたアクセス権限に基づいてアクセス可否およびアクセスレベルを制御する(ステップS47及びステップS48)。 Further, as shown in FIG. 8, the reception unit 15D receives user access from the user terminal 20E (step S41). Then, the receiving unit 15D extracts the LDAP user name "E" given to the header of the HTTP request message received in step S41 (step S42). Then, the access control unit 15E selects the LDAP identification name "cn=E, ou=1g, ou=kaihatsu," corresponding to the LDAP user name "E" from among the attribute information 14C1 of all users stored in the authorized proxy storage area. dc=FJ, dc=com” (step S43). Next, the access control unit 15E selects a user who corresponds to the organization "development" of the user identified from the LDAP identification name acquired from the authorized proxy storage area in step S43 among the user attribute acquisition sources of the acquisition source information 14B1. The attribute acquisition destination "LDAP" is referred to (step S44). Thereafter, the access control unit 15E obtains the LDAP identification name "cn=E, ou=1g, ou=kaihatsu, dc=FJ, dc=com" corresponding to the LDAP user name "E" from the LDAP server 40 ( Step S45). Then, the access control unit 15E overwrites and updates the LDAP identification name of the LDAP user name "E" acquired in step S45 in the attribute information 14C1 (step S46). Then, the access control unit 15E determines whether or not access is possible based on the access authority associated with the role of the LDAP identification name acquired from the LDAP server 40 in step S45 among the access authority included in the authorization policy information 14D0. The level is controlled (step S47 and step S48).

[処理の流れ]
次に、本実施例に係るサーバ装置10の処理の流れについて説明する。図9は、実施例1に係る定期取得処理の手順を示すシーケンス図である。図9に示すように、定期取得の周期が設定されたタイマにより割込みが掛けられる(ステップS100)。すると、取得部15Cは、データ取得範囲を取得する(ステップS110)。
[Processing flow]
Next, the flow of processing of the server device 10 according to this embodiment will be explained. FIG. 9 is a sequence diagram showing the procedure of periodic acquisition processing according to the first embodiment. As shown in FIG. 9, an interrupt is generated by a timer set with a regular acquisition cycle (step S100). Then, the acquisition unit 15C acquires the data acquisition range (step S110).

続いて、取得部15Cは、ステップS110で取得されたデータ取得範囲に基づいてデータ取得要求をLDAPサーバ40へ送信する(ステップS120)。これに応答して、LDAPサーバ40は、ステップS120でデータ取得要求が行われたデータ取得範囲に対応する属性情報を認可proxy実行部15へ送信する。その後、取得部15Cは、ステップS130で受信された属性情報を認可proxy記憶領域に保存する(ステップS130)。 Subsequently, the acquisition unit 15C transmits a data acquisition request to the LDAP server 40 based on the data acquisition range acquired in step S110 (step S120). In response, the LDAP server 40 transmits attribute information corresponding to the data acquisition range for which the data acquisition request was made in step S120 to the authorization proxy execution unit 15. After that, the acquisition unit 15C stores the attribute information received in step S130 in the authorization proxy storage area (step S130).

図9に示すステップS110からステップS130までの認可proxy実行部15の処理についてそのロジックの詳細を図10に示す。図10は、実施例1に係る定期取得処理の手順を示すフローチャートである。 FIG. 10 shows the details of the logic of the processing of the authorization proxy execution unit 15 from step S110 to step S130 shown in FIG. 9. FIG. 10 is a flowchart showing the procedure of periodic acquisition processing according to the first embodiment.

図10に示すように、算出部15Aは、ディレクトリ情報ツリーが分割される分割範囲、例えばルートエントリの直下に位置するエントリに対応する組織ごとに当該組織のアクセス頻度および閾値Thを算出する(ステップS301及びステップS302)。 As shown in FIG. 10, the calculation unit 15A calculates the access frequency and threshold Th for each organization corresponding to the division range into which the directory information tree is divided, for example, an entry located directly below the root entry (step S301 and step S302).

続いて、生成部15Bは、組織ごとに当該組織のアクセス頻度が閾値Thを超えるか否かに応じてユーザ属性取得先“proxy”または“LDAP”が設定された取得先情報14Bを生成する(ステップS303)。そして、取得部15Cは、ステップS303で生成された取得先情報14Bに含まれる組織のうち1つを選択する(ステップS304)。 Next, the generation unit 15B generates acquisition source information 14B in which the user attribute acquisition destination "proxy" or "LDAP" is set for each organization depending on whether the access frequency of the organization exceeds the threshold Th ( Step S303). The acquisition unit 15C then selects one of the organizations included in the acquisition destination information 14B generated in step S303 (step S304).

このとき、ステップS304で選択された組織に対応するユーザ属性取得先が“proxy”である場合(ステップS305Yes)、取得部15Cは、ステップS304で選択された組織に対応するユーザの属性情報をLDAPサーバ40から取得する(ステップS306)。そして、取得部15Cは、ステップS306で取得された属性情報を認可proxy記憶領域に保存する(ステップS307)。 At this time, if the user attribute acquisition destination corresponding to the organization selected in step S304 is "proxy" (step S305 Yes), the acquisition unit 15C acquires the user attribute information corresponding to the organization selected in step S304 using LDAP. It is acquired from the server 40 (step S306). The acquisition unit 15C then stores the attribute information acquired in step S306 in the authorization proxy storage area (step S307).

一方、ステップS304で選択された組織に対応するユーザ属性取得先が“LDAP”である場合(ステップS305No)、ステップS306およびステップS307の処理をスキップしてステップS308の処理へ移行する。 On the other hand, if the user attribute acquisition source corresponding to the organization selected in step S304 is "LDAP" (No in step S305), the process skips steps S306 and S307 and moves to the process in step S308.

そして、取得先情報14Bに含まれる全ての組織が選択されるまで(ステップS308No)、取得部15Cは、ステップS304からステップS307までの処理を繰り返す。その後、取得先情報14Bに含まれる全ての組織が選択された場合(ステップS308Yes)、処理を終了する。 Then, the acquisition unit 15C repeats the processes from step S304 to step S307 until all the organizations included in the acquisition source information 14B are selected (No in step S308). After that, if all the organizations included in the acquisition source information 14B are selected (step S308 Yes), the process ends.

図11は、実施例1に係るアクセス制御処理の手順を示すシーケンス図である。図11に示すように、ユーザ端末20からメッセージを受信すると(ステップS410)、アクセス制御部15Eは、属性情報を認可proxyの保存データから参照する(ステップS420)。続いて、アクセス制御部15Eは、属性情報の取得先を識別する(ステップS430)。 FIG. 11 is a sequence diagram showing the procedure of access control processing according to the first embodiment. As shown in FIG. 11, upon receiving a message from the user terminal 20 (step S410), the access control unit 15E refers to the attribute information from the stored data of the authorization proxy (step S420). Subsequently, the access control unit 15E identifies the acquisition source of the attribute information (step S430).

このとき、属性情報の取得先が“LDAP”である場合、属性情報取得要求(ユーザ名)をLDAPサーバ40に送信する(ステップS440)。これに応答して、LDAPサーバ40は、ステップS440で属性情報取得要求が行われたユーザ名に対応する属性情報を認可proxy実行部15へ送信する。一方、属性情報の取得先が“proxy”である場合、ステップS440の処理はスキップされる。 At this time, if the attribute information acquisition destination is "LDAP", an attribute information acquisition request (user name) is sent to the LDAP server 40 (step S440). In response, the LDAP server 40 transmits attribute information corresponding to the user name for which the attribute information acquisition request was made in step S440 to the authorization proxy execution unit 15. On the other hand, if the attribute information acquisition source is "proxy", the process of step S440 is skipped.

その後、アクセス制御部15Eは、ステップS420またはステップS440で取得された属性情報を用いて、ユーザ端末20からのアクセスの可否を判定する(ステップS450)。このとき、アクセス可能と判定された場合、アクセス制御部15Eは、ステップS410でユーザ端末20から受信されたメッセージをサービス実行部13へ転送する(ステップS460)。 Thereafter, the access control unit 15E uses the attribute information acquired in step S420 or step S440 to determine whether access from the user terminal 20 is possible (step S450). At this time, if it is determined that access is possible, the access control unit 15E transfers the message received from the user terminal 20 in step S410 to the service execution unit 13 (step S460).

図11に示すステップS410からステップS460までの認可proxy実行部15の処理についてそのロジックの詳細を図12に示す。図12は、実施例1に係るアクセス制御処理の手順を示すフローチャートである。 FIG. 12 shows the details of the logic of the processing of the authorization proxy execution unit 15 from step S410 to step S460 shown in FIG. 11. FIG. 12 is a flowchart showing the procedure of access control processing according to the first embodiment.

図12に示すように、ユーザ端末20からのユーザアクセスが受付部15Dにより受け付けられると(ステップS501)、アクセス制御部15Eは、認可proxy記憶領域に保存された全ユーザの属性情報のうちLDAPのユーザ名に対応するユーザの属性情報を取得する(ステップS502)。また、アクセス制御部15Eは、ステップS501のユーザアクセスに関する履歴を認可コントローラ50へ通知してアクセスログの更新を依頼する(ステップS503)。 As shown in FIG. 12, when a user access from the user terminal 20 is accepted by the reception unit 15D (step S501), the access control unit 15E selects the LDAP information from among all user attribute information stored in the authorization proxy storage area. Attribute information of the user corresponding to the user name is acquired (step S502). Furthermore, the access control unit 15E notifies the authorization controller 50 of the history regarding the user access in step S501 and requests the authorization controller 50 to update the access log (step S503).

また、アクセス制御部15Eは、取得先情報14Bに含まれるユーザ属性取得先のうち、認可proxy記憶領域から取得されたユーザの属性情報から識別されるユーザの所属組織に対応するユーザ属性取得先を参照する(ステップS504)。 Furthermore, the access control unit 15E selects a user attribute acquisition source corresponding to the organization to which the user belongs, which is identified from the user attribute information acquired from the authorization proxy storage area, among the user attribute acquisition sources included in the acquisition source information 14B. Reference is made (step S504).

このとき、ユーザ属性取得先が“LDAP”である場合(ステップS505Yes)アクセス制御部15Eは、LDAPサーバ40からLDAPのユーザ名に対応するユーザの属性情報を取得する(ステップS506)。 At this time, if the user attribute acquisition source is "LDAP" (step S505 Yes), the access control unit 15E acquires the user attribute information corresponding to the LDAP user name from the LDAP server 40 (step S506).

その上で、アクセス制御部15Eは、認可ポリシー情報14Dに含まれるアクセス権限のうちステップS506でLDAPサーバ40から取得されたユーザの属性情報のロールに対応付けられたアクセス権限に基づいてアクセス可否を判定する(ステップS507およびステップS508)。 Then, the access control unit 15E determines whether or not access is possible based on the access authority associated with the role of the user attribute information acquired from the LDAP server 40 in step S506 among the access authority included in the authorization policy information 14D. Determination is made (step S507 and step S508).

一方、ユーザ属性取得先が“proxy”である場合(ステップS505No)、アクセス制御部15Eは、認可ポリシー情報14Dに含まれるアクセス権限のうちステップS502で認可proxy記憶領域から取得されたユーザの属性情報のロールに対応付けられたアクセス権限に基づいてアクセス可否を判定する(ステップS507およびステップS508)。 On the other hand, when the user attribute acquisition source is "proxy" (step S505 No), the access control unit 15E stores the user attribute information acquired from the authorization proxy storage area in step S502 among the access authority included in the authorization policy information 14D. Access permission is determined based on the access authority associated with the role (step S507 and step S508).

その後、アクセス制御部15Eは、ステップS508におけるアクセスの判定結果に基づいてステップS501でユーザ端末20から受け付けたユーザアクセスを制御し(ステップS509)、処理を終了する。 Thereafter, the access control unit 15E controls the user access received from the user terminal 20 in step S501 based on the access determination result in step S508 (step S509), and ends the process.

[効果の一側面]
上述してきたように、本実施例に係る認可proxy実行部15は、アクセス頻度が閾値を超える組織のユーザであるか否かに応じてアクセス制御に用いる属性情報の参照先をLDAPまたは事前キャッシュの何れとするかを切り替える。例えば、アクセス頻度が閾値を超える組織のユーザからのアクセス受付時には、事前キャッシュの属性情報をアクセス制御に用いる一方で、アクセス頻度が閾値以下である組織のユーザからのアクセス受付時には、LDAPの属性情報をアクセス制御に用いる。したがって、本実施例に係る認可proxy実行部15によれば、LDAPサーバの負荷の低減を実現できる。
[One aspect of the effect]
As described above, the authorization proxy execution unit 15 according to this embodiment sets the reference destination of attribute information used for access control to LDAP or pre-cache depending on whether the user belongs to an organization whose access frequency exceeds a threshold value. Switch between the two. For example, when accepting access from a user in an organization whose access frequency exceeds a threshold, pre-cached attribute information is used for access control, while when accepting access from a user in an organization whose access frequency is below the threshold, LDAP attribute information is used for access control. is used for access control. Therefore, according to the authorization proxy execution unit 15 according to this embodiment, it is possible to reduce the load on the LDAP server.

さて、これまで開示の装置に関する実施例について説明したが、本発明は上述した実施例以外にも、種々の異なる形態にて実施されてよいものである。そこで、以下では、本発明に含まれる他の実施例を説明する。 Now, the embodiments related to the disclosed apparatus have been described so far, but the present invention may be implemented in various different forms in addition to the embodiments described above. Therefore, other embodiments included in the present invention will be described below.

[分散および統合]
また、図示した各装置の各構成要素は、必ずしも物理的に図示の如く構成されておらずともよい。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、認可proxy実行部15に含まれる機能部の一部をサーバ装置10の外部装置としてネットワーク経由で接続するようにしてもよい。また、認可proxy実行部15に含まれる機能部の一部を別の装置がそれぞれ有し、ネットワーク接続されて協働することで、上記の認可proxy実行部15の機能を実現するようにしてもよい。
[Distribution and integration]
Further, each component of each illustrated device does not necessarily have to be physically configured as illustrated. In other words, the specific form of distributing and integrating each device is not limited to what is shown in the diagram, and all or part of the devices can be functionally or physically distributed or integrated in arbitrary units depending on various loads and usage conditions. Can be integrated and configured. For example, some of the functional units included in the authorization proxy execution unit 15 may be connected as external devices to the server device 10 via a network. Furthermore, the functions of the authorization proxy execution unit 15 may be realized by having different devices each having a part of the functional units included in the authorization proxy execution unit 15 and being connected to a network and working together. good.

[アクセス制御プログラム]
また、上記の実施例で説明した各種の処理は、予め用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。そこで、以下では、図13を用いて、実施例1及び実施例2と同様の機能を有するアクセス制御プログラムを実行するコンピュータの一例について説明する。
[Access control program]
Moreover, the various processes described in the above embodiments can be realized by executing a program prepared in advance on a computer such as a personal computer or a workstation. Therefore, an example of a computer that executes an access control program having the same functions as those in the first and second embodiments will be described below with reference to FIG. 13.

図13は、コンピュータのハードウェア構成例を示す図である。図13に示すように、コンピュータ100は、操作部110aと、スピーカ110bと、カメラ110cと、ディスプレイ120と、通信部130とを有する。さらに、このコンピュータ100は、CPU150と、ROM160と、HDD170と、RAM180とを有する。これら110~180の各部はバス140を介して接続される。 FIG. 13 is a diagram showing an example of the hardware configuration of a computer. As shown in FIG. 13, the computer 100 includes an operation section 110a, a speaker 110b, a camera 110c, a display 120, and a communication section 130. Furthermore, this computer 100 has a CPU 150, a ROM 160, an HDD 170, and a RAM 180. Each of these units 110 to 180 is connected via a bus 140.

HDD170には、図13に示すように、上記の実施例1で示した認可proxy実行部15と同様の機能を発揮するアクセス制御プログラム170aが記憶される。このアクセス制御プログラム170aは、図3に示した認可proxy実行部15の各構成要素と同様、統合又は分離してもかまわない。すなわち、HDD170には、必ずしも上記の実施例1で示した全てのデータが格納されずともよく、処理に用いるデータがHDD170に格納されればよい。 As shown in FIG. 13, the HDD 170 stores an access control program 170a that performs the same function as the authorization proxy execution unit 15 shown in the first embodiment. This access control program 170a may be integrated or separated similarly to each component of the authorization proxy execution unit 15 shown in FIG. That is, the HDD 170 does not necessarily need to store all the data shown in the first embodiment, and it is sufficient that the data used for processing is stored in the HDD 170.

このような環境の下、CPU150は、HDD170からアクセス制御プログラム170aを読み出した上でRAM180へ展開する。この結果、アクセス制御プログラム170aは、図13に示すように、アクセス制御プロセス180aとして機能する。このアクセス制御プロセス180aは、RAM180が有する記憶領域のうちアクセス制御プロセス180aに割り当てられた領域にHDD170から読み出した各種データを展開し、この展開した各種データを用いて各種の処理を実行する。例えば、アクセス制御プロセス180aが実行する処理の一例として、図9~図12に示す処理などが含まれる。なお、CPU150では、必ずしも上記の実施例1で示した全ての処理部が動作せずともよく、実行対象とする処理に対応する処理部が仮想的に実現されればよい。 Under such an environment, the CPU 150 reads the access control program 170a from the HDD 170 and expands it to the RAM 180. As a result, the access control program 170a functions as an access control process 180a, as shown in FIG. The access control process 180a expands various data read from the HDD 170 into an area allocated to the access control process 180a among the storage areas of the RAM 180, and executes various processes using the expanded various data. For example, examples of the processing executed by the access control process 180a include the processing shown in FIGS. 9 to 12. Note that the CPU 150 does not necessarily need to operate all of the processing units shown in the first embodiment, as long as the processing unit corresponding to the process to be executed is virtually realized.

なお、上記のアクセス制御プログラム170aは、必ずしも最初からHDD170やROM160に記憶されておらずともかまわない。例えば、コンピュータ100に挿入されるフレキシブルディスク、いわゆるFD、CD-ROM、DVDディスク、光磁気ディスク、ICカードなどの「可搬用の物理媒体」にアクセス制御プログラム170aを記憶させる。そして、コンピュータ100がこれらの可搬用の物理媒体からアクセス制御プログラム170aを取得して実行するようにしてもよい。また、公衆回線、インターネット、LAN、WANなどを介してコンピュータ100に接続される他のコンピュータまたはサーバ装置などにアクセス制御プログラム170aを記憶させておき、コンピュータ100がこれらからアクセス制御プログラム170aを取得して実行するようにしてもよい。 Note that the access control program 170a described above does not necessarily have to be stored in the HDD 170 or ROM 160 from the beginning. For example, the access control program 170a is stored in a "portable physical medium" such as a flexible disk, so-called FD, CD-ROM, DVD disk, magneto-optical disk, or IC card, which is inserted into the computer 100. Then, the computer 100 may acquire the access control program 170a from these portable physical media and execute it. Alternatively, the access control program 170a may be stored in another computer or server device connected to the computer 100 via a public line, the Internet, LAN, WAN, etc., and the computer 100 may acquire the access control program 170a from these. It may also be executed by

以上の実施例を含む実施形態に関し、さらに以下の付記を開示する。 Regarding the embodiments including the above examples, the following additional notes are further disclosed.

(付記1)複数のユーザの属性情報群を記憶するサーバから、アクセス頻度が閾値を超えるグループに属するユーザの属性情報を所定の周期で取得する取得部と、
前記アクセス頻度が前記閾値を超えるグループに属する第1のユーザのユーザ端末からサービスに対するアクセスを受け付けた場合、前記取得部により取得される属性情報のうち前記第1のユーザの属性情報に基づいてアクセス制御を実行し、前記アクセス頻度が前記閾値を超えないグループに属する第2のユーザのユーザ端末から前記サービスに対するアクセスを受け付けた場合、前記サーバに記憶された前記第2のユーザの属性情報に基づいてアクセス制御を実行するアクセス制御部と
を有することを特徴とするアクセス制御装置。
(Additional Note 1) An acquisition unit that acquires attribute information of users belonging to a group whose access frequency exceeds a threshold value from a server that stores attribute information groups of a plurality of users at a predetermined period;
When access to the service is received from a user terminal of a first user belonging to a group whose access frequency exceeds the threshold, access is performed based on the attribute information of the first user among the attribute information acquired by the acquisition unit. When the control is executed and an access to the service is accepted from a user terminal of a second user belonging to a group whose access frequency does not exceed the threshold, based on the attribute information of the second user stored in the server. An access control device comprising: an access control section that executes access control using the following methods.

(付記2)前記サーバは、LDAPに対応するディレクトリサービスを提供するLDAPサーバであることを特徴とする付記1に記載のアクセス制御装置。 (Supplementary note 2) The access control device according to supplementary note 1, wherein the server is an LDAP server that provides a directory service compatible with LDAP.

(付記3)前記グループは、前記LDAPサーバに記憶されたディレクトリ情報ツリーのルートエントリの直下に位置するエントリに対応する組織であることを特徴とする付記2に記載のアクセス制御装置。 (Supplementary note 3) The access control device according to supplementary note 2, wherein the group is an organization corresponding to an entry located directly below a root entry of a directory information tree stored in the LDAP server.

(付記4)前記所定の周期が経過した場合、前記アクセス頻度と比較する閾値を算出する算出部をさらに有することを特徴とする付記1に記載のアクセス制御装置。 (Supplementary note 4) The access control device according to supplementary note 1, further comprising a calculation unit that calculates a threshold value to be compared with the access frequency when the predetermined period has elapsed.

(付記5)前記算出部は、前記アクセス頻度で前記サーバから属性情報を取得したときの総データサイズが前記取得部により前記グループ内の全ユーザの属性情報が一括で取得されるデータサイズと同等になる閾値を算出することを特徴とする付記4に記載のアクセス制御装置。 (Additional note 5) The calculation unit calculates that the total data size when acquiring attribute information from the server at the access frequency is equal to the data size when attribute information of all users in the group is acquired by the acquisition unit at once. The access control device according to appendix 4, characterized in that the access control device calculates a threshold value that becomes .

(付記6)複数のユーザの属性情報群を記憶するサーバから、アクセス頻度が閾値を超えるグループに属するユーザの属性情報を所定の周期で取得し、
前記アクセス頻度が前記閾値を超えるグループに属する第1のユーザのユーザ端末からサービスに対するアクセスを受け付けた場合、前記取得する処理で取得される属性情報のうち前記第1のユーザの属性情報に基づいてアクセス制御を実行し、前記アクセス頻度が前記閾値を超えないグループに属する第2のユーザのユーザ端末から前記サービスに対するアクセスを受け付けた場合、前記サーバに記憶された前記第2のユーザの属性情報に基づいてアクセス制御を実行する、
処理をコンピュータが実行することを特徴とするアクセス制御方法。
(Additional Note 6) Attribute information of users belonging to a group whose access frequency exceeds a threshold is acquired at a predetermined period from a server that stores attribute information groups of multiple users,
When an access to the service is received from a user terminal of a first user belonging to a group whose access frequency exceeds the threshold, based on the attribute information of the first user among the attribute information acquired in the acquisition process. When access control is executed and an access to the service is accepted from a user terminal of a second user belonging to a group whose access frequency does not exceed the threshold, the attribute information of the second user stored in the server is perform access control based on
An access control method characterized in that processing is executed by a computer.

(付記7)前記サーバは、LDAPに対応するディレクトリサービスを提供するLDAPサーバであることを特徴とする付記6に記載のアクセス制御方法。 (Additional Note 7) The access control method according to Additional Note 6, wherein the server is an LDAP server that provides a directory service compatible with LDAP.

(付記8)前記グループは、前記LDAPサーバに記憶されたディレクトリ情報ツリーのルートエントリの直下に位置するエントリに対応する組織であることを特徴とする付記7に記載のアクセス制御方法。 (Additional Note 8) The access control method according to Additional Note 7, wherein the group is an organization corresponding to an entry located directly below a root entry of a directory information tree stored in the LDAP server.

(付記9)前記所定の周期が経過した場合、前記アクセス頻度と比較する閾値を算出する処理をさらに前記コンピュータが実行することを特徴とする付記6に記載のアクセス制御方法。 (Supplementary note 9) The access control method according to supplementary note 6, wherein the computer further executes a process of calculating a threshold value to be compared with the access frequency when the predetermined period has elapsed.

(付記10)前記算出する処理は、前記アクセス頻度で前記サーバから属性情報を取得したときの総データサイズが前記取得部により前記グループ内の全ユーザの属性情報が一括で取得されるデータサイズと同等になる閾値を算出することを特徴とする付記9に記載ののアクセス制御方法。 (Additional note 10) The calculation process is performed such that the total data size when attribute information is acquired from the server at the access frequency is the data size when attribute information of all users in the group is acquired by the acquisition unit at once. The access control method according to appendix 9, characterized in that an equal threshold value is calculated.

(付記11)複数のユーザの属性情報群を記憶するサーバから、アクセス頻度が閾値を超えるグループに属するユーザの属性情報を所定の周期で取得し、
前記アクセス頻度が前記閾値を超えるグループに属する第1のユーザのユーザ端末からサービスに対するアクセスを受け付けた場合、前記取得する処理で取得される属性情報のうち前記第1のユーザの属性情報に基づいてアクセス制御を実行し、前記アクセス頻度が前記閾値を超えないグループに属する第2のユーザのユーザ端末から前記サービスに対するアクセスを受け付けた場合、前記サーバに記憶された前記第2のユーザの属性情報に基づいてアクセス制御を実行する、
処理をコンピュータに実行させることを特徴とするアクセス制御プログラム。
(Additional Note 11) Attribute information of users belonging to a group whose access frequency exceeds a threshold is acquired at a predetermined period from a server that stores attribute information groups of a plurality of users,
When an access to the service is received from a user terminal of a first user belonging to a group whose access frequency exceeds the threshold, based on the attribute information of the first user among the attribute information acquired in the acquisition process. When access control is executed and an access to the service is accepted from a user terminal of a second user belonging to a group whose access frequency does not exceed the threshold, the attribute information of the second user stored in the server is perform access control based on
An access control program that causes a computer to execute processing.

(付記12)前記サーバは、LDAPに対応するディレクトリサービスを提供するLDAPサーバであることを特徴とする付記11に記載のアクセス制御プログラム。 (Supplementary note 12) The access control program according to supplementary note 11, wherein the server is an LDAP server that provides a directory service compatible with LDAP.

(付記13)前記グループは、前記LDAPサーバに記憶されたディレクトリ情報ツリーのルートエントリの直下に位置するエントリに対応する組織であることを特徴とする付記12に記載のアクセス制御プログラム。 (Supplementary note 13) The access control program according to supplementary note 12, wherein the group is an organization corresponding to an entry located immediately below a root entry of a directory information tree stored in the LDAP server.

(付記14)前記所定の周期が経過した場合、前記アクセス頻度と比較する閾値を算出する処理をさらに前記コンピュータに実行させることを特徴とする付記11に記載のアクセス制御プログラム。 (Supplementary note 14) The access control program according to supplementary note 11, further causing the computer to execute a process of calculating a threshold value to be compared with the access frequency when the predetermined period has elapsed.

(付記15)前記算出する処理は、前記アクセス頻度で前記サーバから属性情報を取得したときの総データサイズが前記取得部により前記グループ内の全ユーザの属性情報が一括で取得されるデータサイズと同等になる閾値を算出することを特徴とする付記14に記載のアクセス制御プログラム。 (Additional Note 15) The calculation process is performed such that the total data size when attribute information is acquired from the server at the access frequency is the data size when attribute information of all users in the group is acquired by the acquisition unit at once. The access control program according to appendix 14, characterized in that the access control program calculates the threshold values that are equivalent.

1 企業情報システム
10 サーバ装置
11 認証部
13 サービス実行部
15 認可proxy実行部
15A 算出部
15B 生成部
15C 取得部
15D 受付部
15E アクセス制御部
20 ユーザ端末
30 管理者端末
40 LDAPサーバ
50 認可コントローラ
1 Corporate information system 10 Server device 11 Authentication unit 13 Service execution unit 15 Authorization proxy execution unit 15A Calculation unit 15B Generation unit 15C Acquisition unit 15D Reception unit 15E Access control unit 20 User terminal 30 Administrator terminal 40 LDAP server 50 Authorization controller

Claims (7)

複数のユーザの属性情報群を記憶するサーバから、アクセス頻度が閾値を超えるグループに属するユーザの属性情報を所定の周期で取得する取得部と、
前記アクセス頻度が前記閾値を超えるグループに属する第1のユーザのユーザ端末からサービスに対するアクセスを受け付けた場合、前記取得部により取得される属性情報のうち前記第1のユーザの属性情報に基づいてアクセス制御を実行し、前記アクセス頻度が前記閾値を超えないグループに属する第2のユーザのユーザ端末から前記サービスに対するアクセスを受け付けた場合、前記サーバに記憶された前記第2のユーザの属性情報に基づいてアクセス制御を実行するアクセス制御部と
を有することを特徴とするアクセス制御装置。
an acquisition unit that acquires attribute information of users belonging to a group whose access frequency exceeds a threshold value at a predetermined period from a server that stores attribute information groups of a plurality of users;
When access to the service is received from a user terminal of a first user belonging to a group whose access frequency exceeds the threshold, access is performed based on the attribute information of the first user among the attribute information acquired by the acquisition unit. When the control is executed and an access to the service is accepted from a user terminal of a second user belonging to a group whose access frequency does not exceed the threshold, based on the attribute information of the second user stored in the server. An access control device comprising: an access control section that executes access control using the following methods.
前記サーバは、LDAPに対応するディレクトリサービスを提供するLDAPサーバであることを特徴とする請求項1に記載のアクセス制御装置。 The access control device according to claim 1, wherein the server is an LDAP server that provides a directory service compatible with LDAP. 前記グループは、前記LDAPサーバに記憶されたディレクトリ情報ツリーのルートエントリの直下に位置するエントリに対応する組織であることを特徴とする請求項2に記載のアクセス制御装置。 3. The access control device according to claim 2, wherein the group is an organization corresponding to an entry located directly below a root entry of a directory information tree stored in the LDAP server. 前記所定の周期が経過した場合、前記アクセス頻度と比較する閾値を算出する算出部をさらに有することを特徴とする請求項1または請求項2に記載のアクセス制御装置。 3. The access control device according to claim 1, further comprising a calculation unit that calculates a threshold value to be compared with the access frequency when the predetermined period has elapsed. 前記算出部は、前記アクセス頻度で前記サーバから属性情報を取得したときの総データサイズが前記取得部により前記グループ内の全ユーザの属性情報が一括で取得されるデータサイズと同等になる閾値を算出することを特徴とする請求項4に記載のアクセス制御装置。 The calculation unit determines a threshold value at which the total data size when attribute information is acquired from the server at the access frequency is equal to the data size when attribute information of all users in the group is acquired by the acquisition unit at once. The access control device according to claim 4, characterized in that the access control device calculates. 複数のユーザの属性情報群を記憶するサーバから、アクセス頻度が閾値を超えるグループに属するユーザの属性情報を所定の周期で取得し、
前記アクセス頻度が前記閾値を超えるグループに属する第1のユーザのユーザ端末からサービスに対するアクセスを受け付けた場合、前記取得する処理で取得される属性情報のうち前記第1のユーザの属性情報に基づいてアクセス制御を実行し、前記アクセス頻度が前記閾値を超えないグループに属する第2のユーザのユーザ端末から前記サービスに対するアクセスを受け付けた場合、前記サーバに記憶された前記第2のユーザの属性情報に基づいてアクセス制御を実行する、
処理をコンピュータが実行することを特徴とするアクセス制御方法。
Attribute information of users belonging to a group whose access frequency exceeds a threshold is acquired at a predetermined period from a server that stores attribute information groups of multiple users,
When an access to the service is received from a user terminal of a first user belonging to a group whose access frequency exceeds the threshold, based on the attribute information of the first user among the attribute information acquired in the acquisition process. When access control is executed and an access to the service is accepted from a user terminal of a second user belonging to a group whose access frequency does not exceed the threshold, the attribute information of the second user stored in the server is perform access control based on
An access control method characterized in that processing is executed by a computer.
複数のユーザの属性情報群を記憶するサーバから、アクセス頻度が閾値を超えるグループに属するユーザの属性情報を所定の周期で取得し、
前記アクセス頻度が前記閾値を超えるグループに属する第1のユーザのユーザ端末からサービスに対するアクセスを受け付けた場合、前記取得する処理で取得される属性情報のうち前記第1のユーザの属性情報に基づいてアクセス制御を実行し、前記アクセス頻度が前記閾値を超えないグループに属する第2のユーザのユーザ端末から前記サービスに対するアクセスを受け付けた場合、前記サーバに記憶された前記第2のユーザの属性情報に基づいてアクセス制御を実行する、
処理をコンピュータに実行させることを特徴とするアクセス制御プログラム。
Attribute information of users belonging to a group whose access frequency exceeds a threshold is acquired at a predetermined period from a server that stores attribute information groups of multiple users,
When an access to the service is received from a user terminal of a first user belonging to a group whose access frequency exceeds the threshold, based on the attribute information of the first user among the attribute information acquired in the acquisition process. When access control is executed and an access to the service is accepted from a user terminal of a second user belonging to a group whose access frequency does not exceed the threshold, the attribute information of the second user stored in the server is perform access control based on
An access control program that causes a computer to execute processing.
JP2020169255A 2020-10-06 2020-10-06 Access control device, access control method and access control program Active JP7452366B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2020169255A JP7452366B2 (en) 2020-10-06 2020-10-06 Access control device, access control method and access control program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020169255A JP7452366B2 (en) 2020-10-06 2020-10-06 Access control device, access control method and access control program

Publications (2)

Publication Number Publication Date
JP2022061322A JP2022061322A (en) 2022-04-18
JP7452366B2 true JP7452366B2 (en) 2024-03-19

Family

ID=81206661

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020169255A Active JP7452366B2 (en) 2020-10-06 2020-10-06 Access control device, access control method and access control program

Country Status (1)

Country Link
JP (1) JP7452366B2 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000035912A (en) 1998-05-13 2000-02-02 Hitachi Ltd Directory server
JP2005142848A (en) 2003-11-06 2005-06-02 Toshiba Corp Wireless LAN system, communication control method thereof, and access point
JP2009116496A (en) 2007-11-05 2009-05-28 Hitachi Ltd Directory server device, directory server program, directory service system, and directory service management method
JP2011123610A (en) 2009-12-09 2011-06-23 Canon Inc System and method for managing document, and program

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001005727A (en) * 1999-06-22 2001-01-12 Kyocera Communication Systems Co Ltd Access management device

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000035912A (en) 1998-05-13 2000-02-02 Hitachi Ltd Directory server
JP2005142848A (en) 2003-11-06 2005-06-02 Toshiba Corp Wireless LAN system, communication control method thereof, and access point
JP2009116496A (en) 2007-11-05 2009-05-28 Hitachi Ltd Directory server device, directory server program, directory service system, and directory service management method
JP2011123610A (en) 2009-12-09 2011-06-23 Canon Inc System and method for managing document, and program

Also Published As

Publication number Publication date
JP2022061322A (en) 2022-04-18

Similar Documents

Publication Publication Date Title
US11522701B2 (en) Generating and managing a composite identity token for multi-service use
US8341249B2 (en) Synchronizing configuration information among multiple clients
CN101297272B (en) Method and system for virtualized health monitoring of resources
US20130097680A1 (en) High-density multi-tenant distributed cache as a service
CN110032842B (en) Method and system for simultaneously supporting single sign-on and third party sign-on
US10567492B1 (en) Methods for load balancing in a federated identity environment and devices thereof
WO2008115947A1 (en) Management layer method and apparatus for dynamic assignment of remote computer resources
JP2005512211A (en) Filtering technology that manages access to Internet sites or other software applications
US8387130B2 (en) Authenticated service virtualization
WO2021159276A1 (en) Systems and methods for expedited access to applications
CN105991596B (en) An access control method and system
CN119135375B (en) A data access method and device based on software-defined boundaries
US11895227B1 (en) Distributed key management system with a key lookup service
US20150215314A1 (en) Methods for facilitating improved user authentication using persistent data and devices thereof
JP4875781B1 (en) Distributed data storage system
JP3961112B2 (en) Packet communication control system and packet communication control device
JP2005501335A (en) Method and system for distributing the load of computer resources among computers
JP7452366B2 (en) Access control device, access control method and access control program
JP5187981B2 (en) Apparatus, method and computer program for allocating network resources
EP3373551B1 (en) Access control in a computer system
JP6127622B2 (en) DNS server device, network device, and communication system
JP5733387B2 (en) Management device, management program, and management method
JP2019192089A (en) Information processing system, information processing method, and program
Jiang et al. Design and implementation of an improved cloud storage system
JP7639441B2 (en) Information processing system, management device, information processing device, server, and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230707

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20240131

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240206

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240219

R150 Certificate of patent or registration of utility model

Ref document number: 7452366

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350