Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7546797B2 - Privilege Management System - Google Patents
[go: Go Back, main page]

JP7546797B2 - Privilege Management System - Google Patents

Privilege Management System Download PDF

Info

Publication number
JP7546797B2
JP7546797B2 JP2023578325A JP2023578325A JP7546797B2 JP 7546797 B2 JP7546797 B2 JP 7546797B2 JP 2023578325 A JP2023578325 A JP 2023578325A JP 2023578325 A JP2023578325 A JP 2023578325A JP 7546797 B2 JP7546797 B2 JP 7546797B2
Authority
JP
Japan
Prior art keywords
information
user
authority
branch
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2023578325A
Other languages
Japanese (ja)
Other versions
JPWO2023148952A1 (en
JPWO2023148952A5 (en
Inventor
智子 富田
拓也 新村
常大 細田
善宏 堂岸
敢 江間
守真 横田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Building Solutions Corp
Original Assignee
Mitsubishi Electric Building Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Building Solutions Corp filed Critical Mitsubishi Electric Building Solutions Corp
Publication of JPWO2023148952A1 publication Critical patent/JPWO2023148952A1/ja
Publication of JPWO2023148952A5 publication Critical patent/JPWO2023148952A5/ja
Application granted granted Critical
Publication of JP7546797B2 publication Critical patent/JP7546797B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、権限管理システム、特に複数のシステムにおけるユーザ権限の一括管理に関する。 The present invention relates to a rights management system, in particular to centralized management of user rights in multiple systems.

大規模な企業では、例えば、報告書作成、設備情報や作業管理などの業務毎に業務システムを形成し、複数の支社から所望する業務システムを利用できるように企業システムを構築する場合がある。 In large companies, for example, business systems may be created for each task, such as report creation, equipment information, or work management, and corporate systems may be constructed so that the desired business system can be used from multiple branch offices.

いずれかの支社に所属する従業員等(以下、「ユーザ」)は、支社に設置のPC等の端末から、業務で利用する業務システムにログインし、付与された権限範囲内で当該業務システムが提供する機能を利用する。 Employees and others (hereinafter referred to as "users") belonging to any of the branch offices log in to the business system they use in their work from a terminal such as a PC installed at the branch office and use the functions provided by the business system within the scope of the authority granted to them.

このように、ユーザに対してアクセス権限、すなわち業務システムが提供する各機能の利用権限をユーザ毎に設定してシステムを運用する際、システム導入時には、業務システム毎に全ユーザに対して各機能に対するアクセス権限を設定する必要がある。 In this way, when operating a system by setting access rights for each user, i.e., the right to use each function provided by the business system, when introducing the system, it is necessary to set access rights for each function for all users in each business system.

特開2020-052759号公報JP 2020-052759 A 特開2014-182708号公報JP 2014-182708 A 特開2010-170208号公報JP 2010-170208 A 特開2015-087930号公報JP 2015-087930 A 特開2019-087019号公報JP 2019-087019 A 特開2021-022201号公報JP 2021-022201 A

しかしながら、システム全体の規模が大きくなるほど、例えば業務システムの数やユーザ数が多いほど、アクセス権限の設定に要する負荷が多大となってくる。また、システム導入後のアクセス権限の設定変更にも大きな作業負荷を要してくる。However, the larger the overall system size, for example the greater the number of business systems or users, the greater the load required to set access permissions. In addition, changing the access permission settings after the system is installed also requires a large workload.

本発明は、複数の業務システムを複数の支社のユーザが利用する場合において、各業務システムにおける各ユーザの権限情報の管理を容易に行えるようにすることを目的とする。 The present invention aims to make it easy to manage the authority information of each user in each business system when multiple business systems are used by users from multiple branch offices.

本発明に係る権限管理システムは、いずれかの支社に所属する複数のユーザにより共有される業務システムからのユーザに対する権限設定に関する問合せに応じて、前記業務システムに対して当該ユーザに固有の個人権限情報が設定されている場合、当該個人権限情報を当該ユーザに設定すべきアクセス権限として返答し、当該ユーザに前記個人権限情報が設定されていない場合、前記支社毎に予め設定されているアクセス権限に関するデフォルト情報を当該ユーザに設定すべきアクセス権限として返答する権限情報提供手段を有し、前記個人権限情報は、当該ユーザが所属する支社とそれ以外の支社とに分けて権限設定に関する情報が保持管理されることを特徴とする。 The authority management system of the present invention has an authority information providing means for responding to an inquiry regarding authority settings for a user from a business system shared by multiple users belonging to one of the branches, by returning the personal authority information as the access authority to be set for the user if personal authority information specific to the user has been set in the business system, and by returning default information regarding the access authority that is preset for each branch as the access authority to be set for the user if the personal authority information has not been set for the user, and is characterized in that the personal authority information is stored and managed with information regarding authority settings separately for the branch to which the user belongs and other branches .

本発明によれば、複数の業務システムを複数の支社のユーザが利用する場合において、各業務システムにおける各ユーザの権限情報の管理を容易に行うことができる。 According to the present invention, when multiple business systems are used by users from multiple branch offices, it is possible to easily manage the authority information of each user in each business system.

本実施の形態における企業システムの概略的な全体構成図である。1 is a schematic overall configuration diagram of an enterprise system according to an embodiment of the present invention; 本実施の形態における権限管理システムを示すブロック構成図である。1 is a block diagram showing a configuration of an authority management system according to an embodiment of the present invention; 本実施の形態におけるデフォルト情報のデータ構成例を示す図である。11 is a diagram showing an example of a data configuration of default information in the present embodiment. FIG. 本実施の形態における個人権限情報のデータ構成例を示す図である。11 is a diagram showing an example of a data structure of personal authority information in the present embodiment. FIG. 本実施の形態におけるユーザ権限設定処理を示すフローチャートである。10 is a flowchart showing a user authority setting process according to the present embodiment.

以下、図面に基づいて、本発明の好適な実施の形態について説明する。 Below, a preferred embodiment of the present invention is described based on the drawings.

図1は、本実施の形態における企業システムの概略的な全体構成図である。図1には、複数の支社サーバ1と、複数の業務システム2と、権限管理システム3と、が示されている。支社サーバ1と業務システム2、業務システム2と権限管理システム3は、図示しないネットワークを介して相互に通信可能である。 Figure 1 is a schematic diagram of the overall configuration of an enterprise system in this embodiment. Figure 1 shows multiple branch office servers 1, multiple business systems 2, and a rights management system 3. The branch office servers 1 and the business systems 2, and the business systems 2 and the rights management system 3 can communicate with each other via a network not shown.

支社サーバ1は、企業の支社毎に設けられるサーバコンピュータである。図1では、「支社サーバ1」,「支社サーバ2」,「支社サーバ3」と抽象化して図示しているが、支社サーバ1は、例えば北海道、東北、東京、横浜などと地区毎の拠点に設けられる。企業は、複数の拠点に支社を設けると共に本社も設けているが、本実施の形態では、本社や支社、更に協力会社に設置のサーバも含めて「支社サーバ」と総称する。また、各支社には,上記支社サーバ1を含む社内システムが構築され、各社内システムには、支社サーバ1の他に当該支社のユーザが使用するPC等の情報処理装置やネットワーク機器が含まれるが、図1では、支社サーバ1のみを図示している。 The branch office server 1 is a server computer provided for each branch office of a company. In FIG. 1, the servers are abstracted as "branch office server 1," "branch office server 2," and "branch office server 3," but the branch office server 1 is provided at each base in each region, for example, Hokkaido, Tohoku, Tokyo, Yokohama, etc. A company has branches at multiple bases as well as a head office, but in this embodiment, the servers provided at the head office, branches, and even cooperating companies are collectively referred to as "branch office servers." In addition, an in-house system including the branch office server 1 is constructed in each branch office, and in addition to the branch office server 1, each in-house system includes information processing devices such as PCs and network devices used by users of the branch office, but FIG. 1 only illustrates the branch office server 1.

業務システム2は、企業において行う業務毎に設けられるコンピュータシステムである。図1では、「業務システムA」、「業務システムB」、「業務システムC」と抽象化して図示しているが、業務システム2は、例えば報告書作成、設備情報や作業管理などの業務毎に設けられる。 Business system 2 is a computer system provided for each business carried out by a company. In Figure 1, business systems are illustrated abstractly as "Business System A," "Business System B," and "Business System C," but business system 2 is provided for each business, such as report creation, facility information, and work management.

いずれかの支社に所属するユーザは、業務を遂行する際に、該当する業務システム2にログインし、ログインした業務システム2が提供する機能を使用する。本実施の形態の場合、ユーザは、何の制限もなく業務システム2が提供する全ての機能を利用できるわけではなく、仮にログインできたとしても、設定されている権限情報によって利用可能な機能が制限されている。なお、本実施の形態において、機能に「アクセス可」あるいは「アクセスが許可される」というのは、当該機能を利用できることと同義であり、その一方、機能に「アクセス不可」あるいは「アクセスが許可されない」というのは、当該機能を利用できないことと同義である。 When a user belonging to one of the branch offices performs work, the user logs into the corresponding business system 2 and uses functions provided by the business system 2 to which the user has logged in. In this embodiment, the user cannot use all functions provided by the business system 2 without any restrictions; even if the user is able to log in, the functions that can be used are limited by the permission information that has been set. In this embodiment, "accessible" or "access permitted" to a function is synonymous with being able to use the function, whereas "inaccessible" or "access not permitted" to a function is synonymous with not being able to use the function.

権限管理システム3は、各ユーザの各業務システム2に対するアクセス権限を一括して管理するシステムである。本実施の形態における権限管理システム3のハードウェア構成は、汎用的なサーバコンピュータで実現可能である。すなわち、権限管理システム3は、CPU、ROM、RAM、記憶手段としてのハードディスクドライブ、通信手段として設けられたネットワークインタフェースを内部バスに接続して構成される。また、本実施の形態の場合、アクセス権限の設定のために、マウスやキーボード等の入力手段及びディスプレイ等の表示手段を含むユーザインタフェースを備えている。The rights management system 3 is a system that collectively manages the access rights of each user to each business system 2. The hardware configuration of the rights management system 3 in this embodiment can be realized by a general-purpose server computer. That is, the rights management system 3 is configured by connecting a CPU, ROM, RAM, a hard disk drive as a storage means, and a network interface provided as a communication means to an internal bus. In addition, in this embodiment, a user interface including input means such as a mouse and keyboard and display means such as a display is provided for setting access rights.

図2は、本実施の形態における権限管理システム3を示すブロック構成図である。本実施の形態における権限管理システム3は、権限情報設定部31、情報管理部32、ユーザ権限情報提供部33及び記憶部34を有している。なお、本実施の形態の説明に用いない構成要素は、図から省略している。 Figure 2 is a block diagram showing the authority management system 3 in this embodiment. The authority management system 3 in this embodiment has an authority information setting unit 31, an information management unit 32, a user authority information providing unit 33, and a memory unit 34. Note that components not used in the explanation of this embodiment are omitted from the figure.

権限情報設定部31は、管理者による設定操作に応じて、記憶部34に記憶されるデフォルト情報及び個人権限情報の設定を行う。情報管理部32は、管理者による設定操作に応じて、記憶部34に記憶される各種情報の追加、更新、削除等情報の管理を行う。ユーザ権限情報提供部33は、いずれかの業務システム2からのユーザに対する権限設定に関する問合せに応じて、当該ユーザの個人権限情報が設定されている場合にはその個人権限情報を、当該ユーザの個人権限情報が設定されていない場合にはデフォルト情報を、返答することによって、当該ユーザに設定すべきアクセス権限を問合せ元の業務システム2に提供する。The authority information setting unit 31 sets default information and personal authority information stored in the memory unit 34 in response to setting operations by the administrator. The information management unit 32 manages information such as addition, update, and deletion of various information stored in the memory unit 34 in response to setting operations by the administrator. The user authority information providing unit 33, in response to an inquiry about authority settings for a user from any business system 2, responds with personal authority information if the user's personal authority information is set, or with default information if the user's personal authority information is not set, thereby providing the access authority to be set for the user to the business system 2 that originated the inquiry.

記憶部34には、デフォルト情報、個人権限情報、業務システム管理情報及びユーザマスタ情報が記憶される。 The memory unit 34 stores default information, personal authority information, business system management information and user master information.

図3は、本実施の形態におけるデフォルト情報のデータ構成例を示す図である。デフォルト情報には、初期値としての権限情報が業務システム2毎に分類されて設定される。本実施の形態における業務システム2は、ユーザに対して1又は複数の機能を提供するので、「権限情報」というのは、ユーザが業務システム2あるいは業務システム2が提供する各機能について、アクセスができるか否かに関する設定情報である。本実施の形態においては、権限情報を機能毎に設定している。デフォルト情報には、その権限情報を、ユーザの所属先となる支社毎に設定している。すなわち、各ユーザが所属する支社が特定されることによって、当該ユーザに設定すべきアクセス権限が特定される。図3では、アクセスの可と不可を“○” 、“×”の記号で示している。 Figure 3 is a diagram showing an example of the data configuration of default information in this embodiment. In the default information, authority information as an initial value is classified and set for each business system 2. Since the business system 2 in this embodiment provides one or more functions to the user, the "authority information" is setting information regarding whether the user can access the business system 2 or each function provided by the business system 2. In this embodiment, the authority information is set for each function. In the default information, the authority information is set for each branch to which the user belongs. In other words, the access authority to be set for each user is specified by identifying the branch to which each user belongs. In Figure 3, whether access is possible or not is indicated by the symbols "○" and "×".

ちなみに、ユーザに設定すべきアクセス権限は、個人権限情報又はデフォルト情報に設定されている権限情報によって特定される。従って、本実施の形態では、「アクセス権限」と「権限情報」を同様な用語として用いている。Incidentally, the access rights to be set for a user are specified by the rights information set in the personal rights information or default information. Therefore, in this embodiment, "access rights" and "rights information" are used as similar terms.

なお、本実施の形態では、図3に例示するように、機能の1つとして“TOP画面起動”が存在するが、“TOP画面起動”という機能は、業務システム2が業務を遂行する際にログインしたユーザに最初に提供するトップ画面を起動する機能である。そして、その他の機能は、トップ画面に表示される所定のボタン等が選択されて起動されるよう機能の関係が設定されている。従って、“TOP画面起動”機能へのアクセスが不可の場合には、その業務システム2における他の機能もアクセスできないことになる。このように、“TOP画面起動”機能へのアクセスができないためにアクセスできない機能に対しては、図3では“-”を対応付けて示している。In this embodiment, as shown in FIG. 3, one of the functions is "Launch TOP screen", which is a function that launches the top screen that is first provided to a logged-in user when the business system 2 performs business. The other functions are set up so that they are launched when a specific button or the like displayed on the top screen is selected. Therefore, if access to the "Launch TOP screen" function is not possible, other functions in the business system 2 will also not be accessible. In this way, functions that cannot be accessed because access to the "Launch TOP screen" function is not possible are shown in FIG. 3 associated with a "-".

例えば、報告書作成システムという業務システム2があるとする。報告書作成システムは、“TOP画面起動”機能の他に、保守用の情報登録機能や修理用の情報登録機能、また報告書のダウンロード機能等を提供する。このような機能毎に、支社のユーザが当該機能にアクセスできる(“○”)か、あるいはできない(“×” 又は“-”)かがデフォルト情報として設定される。For example, suppose there is a business system 2 called a report creation system. In addition to the "TOP screen launch" function, the report creation system provides a maintenance information registration function, a repair information registration function, a report download function, etc. For each such function, default information is set as to whether branch office users can access the function ("○") or cannot access the function ("×" or "-").

図4は、本実施の形態における個人権限情報のデータ構成例を示す図である。デフォルト情報は、全ユーザに共有される情報であって、企業システム全体において1つのみである。これに対し、個人権限情報は、デフォルト情報の設定通りにアクセス権限を付与しないユーザに対して設定される。個人権限情報は、マンナンバに、当該個人に設定されている権限情報が対応付けして構成される。図4では、マンナンバ“ABC1234”から特定されるユーザAの個人権限情報を例示しているが、個人権限情報は、権限管理システム3又は当該ユーザが所属する支社(以下、「自支社」ともいう)の管理者等により、必要により個人毎に設定される、 Figure 4 is a diagram showing an example of the data configuration of personal authority information in this embodiment. The default information is information shared by all users, and there is only one in the entire enterprise system. In contrast, the personal authority information is set for users who are not granted access authority according to the settings in the default information. The personal authority information is configured by associating a man number with the authority information set for that individual. Figure 4 shows an example of personal authority information for user A identified from man number "ABC1234", but the personal authority information can be set for each individual as necessary by the authority management system 3 or the administrator of the branch office to which the user belongs (hereinafter also referred to as "own branch office").

デフォルト情報のデータ構成と比較すれば明らかなように、個人権限情報では、デフォルト情報と同様に業務システム毎機能毎に、更に支社毎に、当該ユーザにおけるアクセスの可否を示す権限情報が設定される。通常であれば、あるユーザに対して、自支社に対してデフォルト情報で設定されているアクセス権限が設定される。また、自支社以外の支社に関する情報に対しては、当該機能を用いてアクセスすることはできない。ただ、例外的に自支社以外の情報に当該機能を利用してアクセスを許可したい場合がある。また、自支社であってもアクセスを許可しないようにしたい場合も想定しうる。図4では、上記の通り支社Bに所属するユーザAの個人権限情報が例示されているが、デフォルト情報と比較すれば明らかなように、ユーザAは、業務システムBが提供する機能3にアクセスができない一方、業務システムCが提供する機能を利用する際には、支社Dに関する情報に関してもアクセスができるように個人権限情報に設定されている。 As is clear when compared with the data structure of the default information, in the personal authority information, authority information indicating whether or not a user can access is set for each business system and function, and further for each branch, as in the default information. Normally, the access authority set in the default information for a certain user is set for the branch. In addition, the function cannot be used to access information about branches other than the user's own branch. However, there are exceptional cases where it is desired to allow access to information other than the branch using the function. It is also possible to imagine cases where access is not allowed even for the branch. In FIG. 4, as described above, the personal authority information of user A belonging to branch B is illustrated, but as is clear when compared with the default information, the personal authority information is set so that user A cannot access function 3 provided by business system B, but can also access information about branch D when using a function provided by business system C.

ところで、個人権限情報は、ユーザ個人に対して設定された権限設定に関する情報であるが、図2に示すようにユーザ権限情報とユーザ自支社権限情報に分けて管理される。ユーザ権限情報には、ユーザ自支社権限情報に該当する情報を除き、前述したユーザ毎に設定される個人権限情報が含まれる。一方、ユーザ自支社権限情報には、個人権限情報のうち自支社に関する情報(ユーザAにおいては、支社Bに該当する権限情報)が選択されて設定される。 Personal authority information is information related to the authority settings set for individual users, and is managed separately as user authority information and user's own branch authority information, as shown in Figure 2. User authority information includes the personal authority information set for each user described above, excluding information corresponding to user's own branch authority information. On the other hand, information related to the own branch from the personal authority information (authority information corresponding to branch B for user A) is selected and set as user's own branch authority information.

仮に、ユーザAが支社Cに転属されたとする。この場合、ユーザAにとって自支社は支社Cになり、支社Bは自支社でなくなる。通常、個人権限情報は、支社Bに所属しているときに設定されているため、その設定をそのまま引き継ぐことは必ずしも好ましくなく、転属により無効とするのが好ましいと考えられる。ただ、自支社以外の支社に対する設定とは異なり、自支社に関する設定はそのまま引き継ぎたい場合もある。そこで、本実施の形態では、このような場合を想定して、個人権限情報のうち自支社に関する情報を、自支社以外の支社の情報と分けて保持管理するようにした。つまり、自支社であった支社Bに対する設定を、新たに自支社となった支社Cに適用する。 Suppose user A is transferred to branch C. In this case, for user A, his/her own branch becomes branch C, and branch B is no longer his/her own branch. Since personal authority information is usually set when the user belongs to branch B, it is not necessarily desirable to inherit the settings as they are, and it is considered preferable to invalidate them upon the transfer. However, unlike the settings for branches other than his/her own branch, there are cases where the user wishes to inherit the settings for his/her own branch as they are. Therefore, in this embodiment, assuming such a case, the information about his/her own branch among the personal authority information is stored and managed separately from the information about branches other than his/her own branch. In other words, the settings for branch B, which was his/her own branch, are applied to branch C, which has become his/her own branch.

例えば、ユーザAの転属後に、ユーザAに対して個人権限情報を改めて設定する場合、権限情報設定部31は、管理者による指示に応じて、ユーザ自支社権限情報に記憶されている支社Bに対する情報の設定内容を支社Cに反映させるだけで、自支社に対する設定を改めて行わずにすむ。そして、支社Bは、自支社以外の支社になるので、管理者により設定されない限り、自支社以外の支社(支社A等)と同様にアクセス不可に設定変更されることになる。For example, when personal authority information is to be set again for user A after the user A is transferred, the authority information setting unit 31, in response to an instruction from the administrator, simply reflects the setting contents of the information for branch B stored in the user's own branch authority information to branch C, without having to set the information for the own branch again. Since branch B is a branch other than the own branch, the setting will be changed to inaccessible just like branches other than the own branch (branch A, etc.) unless otherwise set by the administrator.

業務システム管理情報は、本実施の形態における企業システムに含まれる業務システム2を管理するための情報である。業務システム管理情報は、各業務システム2の識別情報に、当該業務システム2が提供する機能に関する情報が対応付けして生成される。The business system management information is information for managing the business systems 2 included in the enterprise system in this embodiment. The business system management information is generated by associating the identification information of each business system 2 with information regarding the functions provided by the business system 2.

ユーザマスタ情報は、企業システムのユーザに関する情報を含む。ユーザマスタ情報は、各ユーザを個別に識別する識別情報としてのマンナンバに、ユーザID及びパスワードを含む認証情報、当該ユーザの当該企業における立場を示す所属、職務等の情報が対応付けして生成される。企業によっては、人事情報を人事情報管理サーバ等にて別途管理している場合があるが、本実施の形態では、その人事情報をコピーしてユーザマスタ情報として権限管理システム3に持たせるようにした。ユーザマスタ情報は、人事情報が更新されることによって、その都度最新の情報に更新する必要がある。ただ、ユーザマスタ情報を内部に持たずに、最新の人事情報を人事情報管理サーバに必要なタイミングで、その都度、参照するようにしてもよい。 User master information includes information about users of the corporate system. User master information is generated by associating a man number, which serves as identification information that individually identifies each user, with authentication information including a user ID and password, and information such as affiliation and job title that indicates the user's position within the company. Some companies manage personnel information separately in a personnel information management server, etc., but in this embodiment, this personnel information is copied and stored in the authority management system 3 as user master information. The user master information needs to be updated with the latest information each time the personnel information is updated. However, it is also possible not to store the user master information internally, and to have the personnel information management server refer to the latest personnel information each time it is needed.

権限管理システム3における各構成要素31~33は、権限管理システム3を形成するコンピュータと、コンピュータに搭載されたCPUで動作するプログラムとの協調動作により実現される。また、記憶部34は、権限管理システム3に搭載されたHDDにて実現される。あるいは、RAM又は外部にある記憶手段をネットワーク経由で利用してもよい。 Each of the components 31 to 33 in the rights management system 3 is realized by the cooperative operation of the computer that forms the rights management system 3 and a program that runs on a CPU mounted on the computer. The storage unit 34 is realized by a HDD mounted on the rights management system 3. Alternatively, RAM or an external storage means may be used via a network.

また、本実施の形態で用いるプログラムは、通信手段により提供することはもちろん、CD-ROMやUSBメモリ等のコンピュータ読み取り可能な記録媒体に格納して提供することも可能である。通信手段や記録媒体から提供されたプログラムはコンピュータにインストールされ、コンピュータのCPUがプログラムを順次実行することで各種処理が実現される。 The programs used in this embodiment can be provided not only by communication means, but also by storing them on a computer-readable recording medium such as a CD-ROM or USB memory. The programs provided from the communication means or recording medium are installed on a computer, and the various processes are realized by the computer's CPU sequentially executing the programs.

次に、本実施の形態における動作について説明する。Next, we will explain the operation of this embodiment.

前述したように、企業システムの運用を開始する前に、管理者によってデフォルト情報及び必要なユーザに対して個人権限情報が権限管理システム3に設定されている必要がある。ここでは、すでに設定されているものとして説明を続ける。本実施の形態では、権限管理システム3が各ユーザのアクセス権限を一括管理しており、業務システム2は、各ユーザのアクセス権限を単独で特定することはできない。そのため、ユーザが業務システム2の利用を開始する際に、利用が開始される業務システム2は、権限管理システム3に問い合わせることによって、そのユーザに対してどのようなアクセス権限が設定されているのかを取得し、取得した範囲内で機能を利用させることになる。以下、本実施の形態において、ユーザに対するアクセス権限の設定について、図5に示すフローチャートを用いて説明する。As mentioned above, before starting operation of the enterprise system, the administrator must set default information and personal authority information for necessary users in the authority management system 3. Here, the explanation will continue assuming that this has already been set. In this embodiment, the authority management system 3 collectively manages the access authority of each user, and the business system 2 cannot identify the access authority of each user independently. Therefore, when a user starts using the business system 2, the business system 2 that is being used queries the authority management system 3 to obtain what access authority has been set for that user, and allows the user to use functions within the obtained range. Below, the setting of access authority for a user in this embodiment will be explained using the flowchart shown in FIG. 5.

ユーザが、例えば支社内のPCから、遂行したい業務に対応する業務システム2に認証情報を指定してログインする。なお、ここでは、既存の方法にて認証を行い、ユーザの認証に成功したものとして説明を続ける。業務システム2は、 認証情報に含まれているログインID(「ユーザID」と同じ)を指定して、ユーザに対する権限設定に関する問合せを権限管理システム3に行う。 A user logs in to the business system 2 corresponding to the business they wish to perform, for example from a PC in a branch office, by specifying authentication information. Note that, for the purposes of this explanation, authentication is performed using an existing method, and the explanation will continue assuming that the user has been successfully authenticated. The business system 2 specifies the login ID (same as the "user ID") included in the authentication information and makes an inquiry to the authority management system 3 regarding the authority settings for the user.

権限管理システム3におけるユーザ権限情報提供部33は、業務システム2からの問合せを受け付ける(ステップ110)。続いて、ユーザ権限情報提供部33は、問合せに指定されているユーザIDに基づきユーザマスタ情報を検索することによってマンナンバ及び当該ユーザの立場(所属する支社及び職務)を取得する(ステップ120)。そして、個人権限情報には、マンナンバが紐付いているので、ユーザ権限情報提供部33は、取得したマンナンバに紐付く個人権限情報が設定されているかどうかを確認する。The user authority information providing unit 33 in the authority management system 3 receives an inquiry from the business system 2 (step 110). Next, the user authority information providing unit 33 obtains the man number and the position of the user (branch and job) by searching the user master information based on the user ID specified in the inquiry (step 120). Then, since the man number is linked to the personal authority information, the user authority information providing unit 33 checks whether the personal authority information linked to the obtained man number has been set.

ここで、当該ユーザに紐付く個人権限情報が設定されている場合(ステップ130でY)、ユーザ権限情報提供部33は、その個人権限情報を取得し(ステップ140)、当該ユーザに設定すべきアクセス権限として返答する(ステップ150)。Here, if personal authority information associated with the user has been set (Y in step 130), the user authority information providing unit 33 acquires the personal authority information (step 140) and responds as the access authority to be set for the user (step 150).

一方、当該ユーザに紐付く個人権限情報が設定されていない場合(ステップ130でY)、ユーザ権限情報提供部33は、デフォルト情報に設定されている当該ユーザが所属する支社の権限情報を取得し(ステップ160)、当該ユーザに設定すべきアクセス権限として返答する(ステップ150)。On the other hand, if personal authority information associated with the user has not been set (Y in step 130), the user authority information providing unit 33 obtains the authority information of the branch office to which the user belongs, which is set in the default information (step 160), and responds with this as the access authority to be set for the user (step 150).

なお、業務システム2に返答する情報は、問合せ元の業務システム2に対応する権限情報に限定してもよい。 In addition, the information sent back to the business system 2 may be limited to the authority information corresponding to the business system 2 that originated the inquiry.

業務システム2は、権限管理システム3から返答されてきた権限情報に従って、ログインしたユーザに対するアクセスを制御する。すなわち、業務システム2は、権限情報に従ってユーザが利用可能な機能を判断する。The business system 2 controls access to the logged-in user according to the authority information returned from the authority management system 3. In other words, the business system 2 determines the functions available to the user according to the authority information.

本実施の形態によれば、以上のようにして、各業務システム2は、ログインしたユーザに対するアクセス権限を、ユーザ権限情報提供部33に問い合わせることによって取得する。本実施の形態では、権限管理システム3を設けて、各業務システム2が行うべきユーザの権限情報を一括管理するようにしたので、各業務システム2における各ユーザの権限情報の管理を容易に行うことができる。また、ユーザの転属等に伴う権限情報の設定変更にも迅速かつ柔軟に対応することができる。更に、企業システムに業務システム2を追加する場合でも、前述したデフォルト情報に当該業務システム2に関する情報を追加するだけで、企業システムを早期に運用開始することができる。 According to this embodiment, as described above, each business system 2 obtains the access authority for the logged-in user by inquiring of the user authority information providing unit 33. In this embodiment, the authority management system 3 is provided to centrally manage the authority information of users to be handled by each business system 2, so that the authority information of each user in each business system 2 can be easily managed. In addition, it is possible to quickly and flexibly respond to changes in the authority information settings due to user transfers, etc. Furthermore, even when a business system 2 is added to an enterprise system, the enterprise system can be put into operation early by simply adding information about the business system 2 to the default information described above.

また、本実施の形態においては、ユーザが所属する支社に応じて当該ユーザに対するアクセス権限をデフォルト情報として設定したが、例えば、所属するユーザの職務等によって支社を細分化して支社毎職務毎、すなわち前述した立場毎に権限情報を設定するようにしてもよい。 In addition, in this embodiment, the access rights for a user are set as default information according to the branch to which the user belongs, but, for example, the branches may be subdivided according to the job duties of the users to which they belong, and the permission information may be set for each branch and job, i.e., for each position as mentioned above.

また、本実施の形態においては、業務システム2が提供する機能のアクセスの可否を支社単位に設定するようにした。更に、所定の規則に従って支社をグループ分けしてアクセスの制御ができるようにしてもよい。In addition, in this embodiment, the access permission of the functions provided by the business system 2 is set on a branch office basis. Furthermore, the branch offices may be divided into groups according to predetermined rules so that access can be controlled.

例えば、各支社は、拠点の場所に応じて複数の支社エリア(北海道同地区、東北地区、横浜地区等)に分けられていて、各支社は、当該支社が属する支社エリア内の、他の支社が管理する顧客の情報をアクセスできるように権限情報をデフォルト情報に設定してもよい。この場合、支社と支社エリアとの対応関係を示す情報が必要になる。For example, each branch office is divided into multiple branch office areas (Hokkaido area, Tohoku area, Yokohama area, etc.) depending on the location of the base, and each branch office may set the authority information to default information so that it can access customer information managed by other branches within the branch office area to which it belongs. In this case, information indicating the correspondence between branches and branch office areas is required.

1 支社サーバ、2 業務システム、3 権限管理システム、31 権限情報設定部、32 情報管理部、33 ユーザ権限情報提供部、34 記憶部。
REFERENCE SIGNS LIST 1 Branch server, 2 Business system, 3 Rights management system, 31 Rights information setting section, 32 Information management section, 33 User rights information providing section, 34 Storage section.

Claims (1)

いずれかの支社に所属する複数のユーザにより共有される業務システムからのユーザに対する権限設定に関する問合せに応じて、前記業務システムに対して当該ユーザに固有の個人権限情報が設定されている場合、当該個人権限情報を当該ユーザに設定すべきアクセス権限として返答し、当該ユーザに前記個人権限情報が設定されていない場合、前記支社毎に予め設定されているアクセス権限に関するデフォルト情報を当該ユーザに設定すべきアクセス権限として返答する権限情報提供手段を有し、
前記個人権限情報は、当該ユーザが所属する支社とそれ以外の支社とに分けて権限設定に関する情報が保持管理されることを特徴とする権限管理システム。
an authority information providing means for responding to an inquiry about authority setting for a user from a business system shared by a plurality of users belonging to any one of the branch offices, when individual authority information specific to the user is set for the business system, by replying with the individual authority information as an access authority to be set for the user, and when the individual authority information is not set for the user, by replying with default information about the access authority preset for each of the branch offices as the access authority to be set for the user,
The authority management system is characterized in that the personal authority information is stored and managed separately for the branch office to which the user belongs and information regarding authority settings for other branches .
JP2023578325A 2022-02-07 2022-02-07 Privilege Management System Active JP7546797B2 (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2022/004598 WO2023148952A1 (en) 2022-02-07 2022-02-07 Authority management system

Publications (3)

Publication Number Publication Date
JPWO2023148952A1 JPWO2023148952A1 (en) 2023-08-10
JPWO2023148952A5 JPWO2023148952A5 (en) 2024-08-29
JP7546797B2 true JP7546797B2 (en) 2024-09-06

Family

ID=87551985

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2023578325A Active JP7546797B2 (en) 2022-02-07 2022-02-07 Privilege Management System

Country Status (2)

Country Link
JP (1) JP7546797B2 (en)
WO (1) WO2023148952A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117273479B (en) * 2023-08-21 2024-12-24 杭州微宏科技有限公司 Group data management system, method and storage medium

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001005727A (en) 1999-06-22 2001-01-12 Kyocera Communication Systems Co Ltd Access management device
JP2006331120A (en) 2005-05-26 2006-12-07 Konica Minolta Business Technologies Inc Information processor, management method therefor and computer program

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001005727A (en) 1999-06-22 2001-01-12 Kyocera Communication Systems Co Ltd Access management device
JP2006331120A (en) 2005-05-26 2006-12-07 Konica Minolta Business Technologies Inc Information processor, management method therefor and computer program

Also Published As

Publication number Publication date
JPWO2023148952A1 (en) 2023-08-10
WO2023148952A1 (en) 2023-08-10

Similar Documents

Publication Publication Date Title
US11368403B2 (en) Access management tags
CN108280367B (en) Data operation authority management methods, devices, computing equipment and storage media
US7219234B1 (en) System and method for managing access rights and privileges in a data processing system
EP3734932B1 (en) Implicitly linking access policies using group names
US11778539B2 (en) Role-based access control system
US8312515B2 (en) Method of role creation
US20100241668A1 (en) Local Computer Account Management at Domain Level
US20030101200A1 (en) Distributed file sharing system and a file access control method of efficiently searching for access rights
JP4959282B2 (en) Application operation control system and application operation control method
JP2016507839A (en) Using free-form metadata for access control
US20210360038A1 (en) Machine policy configuration for managed devices
US12242600B2 (en) Abnormally permissive role definition detection systems
CN101960439A (en) Client environment creation system, client environment creation method, client environment creation program, and storage medium
JP7457270B2 (en) Device management equipment and programs
JP7546797B2 (en) Privilege Management System
US20200233907A1 (en) Location-based file recommendations for managed devices
US20130238673A1 (en) Information processing apparatus, image file creation method, and storage medium
US12218906B1 (en) Centralized technology access control
JP2019016146A (en) Job sharing permission device, job sharing permission method, and job sharing permission program
JP5090809B2 (en) Management server, management method, program, and recording medium
US11468184B2 (en) Data protection system, data protection method, and recording medium
JP2005107984A (en) User authentication system
JPH113264A (en) File protection method by setting file user priority
JP7579110B2 (en) Employee information security setting device, employee information security setting method, and employee information security setting program
US20130061331A1 (en) Assigning Access Rights in Enterprise Digital Rights Management Systems

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240627

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240627

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20240627

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240730

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240827

R150 Certificate of patent or registration of utility model

Ref document number: 7546797

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150