[go: up one dir, main page]

JP2009245268A - 業務管理システム - Google Patents

業務管理システム Download PDF

Info

Publication number
JP2009245268A
JP2009245268A JP2008092498A JP2008092498A JP2009245268A JP 2009245268 A JP2009245268 A JP 2009245268A JP 2008092498 A JP2008092498 A JP 2008092498A JP 2008092498 A JP2008092498 A JP 2008092498A JP 2009245268 A JP2009245268 A JP 2009245268A
Authority
JP
Japan
Prior art keywords
business
user
information
server
authority information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2008092498A
Other languages
English (en)
Inventor
Shigeyuki Nemoto
繁幸 根本
Satoshi Yashiro
聡 屋代
Masaru Kobayashi
賢 小林
Chiharu Ishino
ちはる 石野
Hiroki Matsui
浩樹 松井
Yasuki Honda
泰樹 本田
Hideaki Nishimoto
英昭 西本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2008092498A priority Critical patent/JP2009245268A/ja
Priority to SG200901099-2A priority patent/SG155839A1/en
Priority to CA002654481A priority patent/CA2654481A1/en
Priority to CN200910007535.0A priority patent/CN101552775A/zh
Priority to EP09002324A priority patent/EP2107493A1/en
Priority to US12/388,664 priority patent/US20090249461A1/en
Publication of JP2009245268A publication Critical patent/JP2009245268A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

【課題】業務サーバに対する利用者の権限が変更される場合でも、利用者が業務サーバに再度ログインすることなく利用者が業務サーバの業務機能を継続して利用できるようにした業務管理技術を提供する。
【解決手段】利用者端末1からのアクセスを受けた業務サーバ2が、管理サーバ3に認証判定要求を行った際に、利用者情報管理サーバ3は利用者の将来予定されている権限を判定する。管理サーバ3は利用者の認証の時点での権限情報だけでなく、将来予定されている権限情報を含む判定結果を生成し、それを業務サーバ2に送る。業務サーバ2は、現在業務に対する利用者権限の有効期間が満了した際に、予定された利用者権限情報に基づいて新たな業務を利用者端末に提供する。
【選択図】図2

Description

本発明は、業務サーバから利用者端末に提供される業務を管理するためのシステムや方法に関するものである。
従来から、ユーザである利用者が利用者端末を介してネットワークにアクセスして業務サーバによって提供される業務を利用するネットワークシステムが広く存在する。この種のネットワークシステムとして、下記非特許文献1にあるように、業務サーバとは別の利用者情報管理サーバが利用者端末を使用する利用者の権限に関する情報(以下、「利用者情報」という)を利用して利用者の認証を行い、業務サーバが利用者にその権限に見合った業務を提供するというものがある。
OASIS Security Assertion Markup Language (SAML) 2.0(Document identifier: saml-core-2.0-osなど)
利用者情報管理サーバは、利用者から業務サーバにログインした時点で利用者から供給された利用者情報をもとに利用者の認証を行い、さらに、許可された利用者が業務サーバ機能を利用できる権限を判定してこれを業務サーバに通知する。
利用者の権限が変更されることが予定されていると、許可された認証は、利用者の権限が変更される時刻まで有効であるに過ぎない。利用者が現在の権限で利用している業務機能に続けて変更された権限の業務を利用する際には、利用者は業務サーバに再度ロングインしなければならない。これは利用者が利用できる業務機能が拡大するような権限の変更であっても同様であった。
そこで、利用者情報管理サーバが、業務サーバの利用者に権限業務が変更される予定を報知する、いわゆるプッシュ型の対策が考えられる。この方式では、利用者情報管理サーバが、業務サーバのIPアドレスを認識している必要があることや、業務サーバのセキュリティ機能が利用者情報管理サーバからの報知を拒絶するおそれもあり、有効な対策として機能しないままとなっていた。
このように利用者が業務サーバの業務機能を利用する際での利用者の認証や権限を管理サーバで管理する方式では、利用者の権限の変更に伴い業務効率が低下することを防げないという問題があった。
本発明は、業務サーバに対する利用者の権限が変更される場合でも、利用者が業務サーバに再度ログインすることなく利用者が業務サーバの業務機能を継続して利用できるようにした業務管理技術を提供することを目的とするものである。
この目的を達成するために、本発明に係る業務管理は、利用者の認証時に、利用者が将来業務機能を利用する権限を認めて、利用者が再度業務サーバにログインして認証をやり直す作業を省いて利用者が将来業務を現在利用している業務に続けて利用できるようにしたものである。
本発明によれば、業務サーバに対する利用者の権限が変更される場合でも、利用者が業務サーバに再度ログインすることなく利用者が業務サーバの業務機能を継続して利用できるようにした業務管理を実現することができる。
次に本発明の実施形態を図面に基づいて説明する。なお、以下に説明する実施形態によって本発明が限定されるものではない。
(第1の実施の形態)
この第1の実施形態は、利用者の業務権限がある時点から拡大される業務管理システムの一例である。この業務管理システムは、ネットワークに利用者端末、業務サーバ、及び利用者情報管理サーバが接続された構成を備えている。
図1に、利用者端末、業務サーバ、および利用者情報管理サーバに共通するコンピュータのハードウエアブロックを説明する。そして、図2に業務管理システムの詳細なブロック構成を説明する。図2に示すシステムは、LANなどのネットワークに接続された利用者端末11nを利用者が使用して業務サーバ21にアクセスする際に、利用者情報管理サーバ3が利用者の認証を行い、そして利用者に認められる業務権限を判定するためのものである。
図1に示されるように、利用者端末11n、業務サーバ21、および利用者情報管理サーバ3を実現するコンピュータシステムは、演算装置100と、メモリ102と、ハードディスク等の外部記憶装置104と、ネットワーク9を介して他装置と通信を行うための通信装置106と、キーボードやボタン等の入力装置108と、モニタ等の出力装置110と、これら各装置間のデータ送受を行うインタフェース(又はバス)112とを備えている。演算装置100はメモリ102にロードされた所定のプログラムを実行することにより、利用者端末、業務サーバ、又は利用者情報管理サーバとして処理を実現する。
図2にあるように、利用者が入力操作を行う複数の利用者端末11〜1n、利用者に業務機能を提供する業務サーバ21、利用者情報を管理し利用者の業務利用権限を認証するための判定の処理を行う利用者情報管理サーバ3がネットワーク9に接続されている。なお、ネットワークとしてはLANに限らず、IPネットワークやSANなどでもよい。
利用者端末11nは、利用者からの認証情報4の入力を受け付ける認証情報受付機能111n、ネットワーク上の他のサーバと通信する通信機能121nを備えている。これら機能は電子回路またはプログラムによって実現される。プログラムはメモリに記録され、演算装置100がプログラムを参照して各機能を実現する。これは以下に示すその他の機能についても同様である。利用者からの認証情報4としては、パスワード、電子証明書、もしくは生体情報などがあるが特に限定されるものでない。
業務サーバ21は、利用者端末から認証情報4を受付け、業務機能221へ連携するための制御を行う認証連携機能211と、利用者に対して業務アプリケーションを提供する業務機能221とを備えている。業務機能221は部分的業務機能2211〜22X1の集合である。各部分的業務はそれぞれ異なる業務機能を実現する。
業務サーバ21は、WebサーバとしてHTTP通信を行うものであるがそれに限定はされない。なお、複数の業務サーバ21が共通の認証連携機能2を利用するタイプであってもよい。
利用者情報管理サーバ3は、業務サーバ21からの認証判定要求5を受付け、利用者情報機能32を参照し、認証結果6を作成する認証管理機能31と、利用者の識別情報、認証情報、および権限に関する情報をテーブルとして纏め利用者情報321をメモリに保存し、それを参照させるための利用者情報記録機能32を備えている。また、利用者情報管理サーバは、認証結果6の標準的な有効期間を標準有効期間322としてテーブルに保持している。
図3には、利用者情報記録機能32において管理される利用者情報321が登録された利用者情報テーブルの一例が示されている。このテーブルには、利用者を識別するID、認証情報、利用できる業務機能を示した権限情報、権限情報の有効期間が登録されている。このテーブルには、利用者IDごとに複数の権限情報を登録可能であり、そして各権限情報に異なる有効期間を設定することも可能である。したがって、テーブルには将来の業務権限を登録することができる。
なお、利用者情報テーブルには、利用者単位だけではなく利用者の権限の種類や内容毎に認証情報を定めたり、あるいは複数の権限を纏めた単位や複数の利用者からなるグループ毎に認証情報を定めてもよい。
次に、図2のネットワークシステムの動作を、ID00001の利用者が図3に示すように、業務サーバ21の機能を利用している最中に、利用者の権限が変更される場合を例にして、図4のタイミングチャートを用いて説明する。先ず、利用者が利用者端末1の通信機能12を利用し、業務サーバ21にアクセスする(ステップ4101、ステップ4201)。
利用者権限を判定・特定等する上で利用者を認証する必要があるため、業務サーバ21は認証連携機能211を利用して利用者端末1に認証情報4を要求する(ステップ4202、ステップ4102)。利用者端末1は、利用者から利用者IDとパスワード等の認証情報4を利用者から受付け(ステップ4103)、識別情報及び認証情報4を業務サーバ21に送付付する(ステップ4104)。
業務サーバ21は、認証連携機能211を利用し、認証情報4を受付け(ステップ4203)、利用者IDと認証情報4とを含む認証判定要求5を利用者情報管理サーバ3に送付する(ステップ4204)。利用者情報管理サーバ3は、認証管理機能31を利用し、認証判定要求を受付ける(ステップ4301)。
ステップ4301では、利用者情報管理サーバ3は、認証管理機能31が利用者情報記録機能32内の利用者情報321を参照し、利用者IDに対して、受け付けた認証情報と利用者情報321内の認証情報が一致するかの判定(第一の処理)を行う。
利用者情報管理サーバ3が認証情報の一致を判定した後、NTPサーバ等から入手した現在時刻と利用者情報記録機能32内の利用者IDに対する権限情報とその有効期間とを比較し、現在時刻が有効期間に該当する権限を判定し、現在情報認証結果を生成する第二の処理を行う(ステップ4302)。認証結果には、権限情報とこの権限情報の有効期間に関する情報が含まれている。
利用者情報管理サーバ3は現在情報認証結果の有効期間として、標準有効期間322を設定するが、標準有効期間322内に権限情報の有効期間が終了する場合は権限の有効期間の方を優先する。
利用者情報管理サーバ3は、権限の有効期間が優先された場合、現在認証結果以外に、予定情報認証結果を生成する。利用者情報管理サーバ3は、現在時刻から、現在時刻に標準有効期間322を加算した時刻の間に、有効期間が重なる将来の権限情報を特定し、その将来の権限情報とその有効期間とを含む予定情報認証結果を生成する。将来の権限の有効期間の終了時刻はテーブルにある元の時刻よりも標準有効期間の方が優先される。
なお、利用者情報管理サーバに標準有効期間について責任を持たすため、通常、標準有効期間経過後に予定権限情報があっても、予定情報認証結果は生成しないが、参考情報として予定情報を業務サーバに渡してもよい。
第一の処理において、利用者端末に入力された認証情報が、図3のテーブルに登録された認証情報と異なる場合は、利用者情報管理サーバ3は認証が失敗であることの認証結果を生成する。
第二の処理において、現在時刻に有効期間が該当する権限情報が無い場合は、利用者情報管理サーバ3は現在時刻で権限がある機能が無く認証が失敗であるとの証結果として作成する。
利用者情報管理サーバ3は、認証管理機能を利用し、生成した認証結果を業務サーバ21に送付する(ステップ4303)。業務サーバ21は認証連携機能211を使って認証結果を受け付ける(ステップ4205)。認証結果が失敗である場合は、利用者端末1に対して認証が失敗した旨を通知する。
認証結果が失敗でない場合、現在情報認証結果で利用可能な部分的業務機能2211のみを利用者端末1に提供することを開始する(ステップ4206)。これを受けてクライアント1は部分的業務機能2211を利用し、業務サーバ21は業務機能をクライアント1に提供する。(ステップ4105、ステップ4106、ステップ4207)。
現在情報認証結果の有効期間が終了し、予定情報認証結果がある場合、予定情報認証結果によって利用者端末が利用可能な部分的業務機能2211および2221を業務サーバ21は利用者端末に提供することを開始する(ステップ4208)。業務サーバは予定情報認証結果をメモリに保存してある。
図3に即して説明すると、2008/3/31までは利用者(ID0001)は、部分的業務機能2211を利用していたが、2008/4/1以降は、この業務を継続できることに加えて業務2221を利用することができる(ステップ4108、4209)。業務サーバは現在の利用業務画面に予定業務機能を報知する映像を利用端末に表示させるようにしてもよい。現在情報認証結果による権限情報が満了し、予定情報認証結果が生成されていない場合、再度ステップ4202からの動作が行なわれる。
実施形態1の業務管理システムによれば、業務サーバの現在業務機能を利用する権限が標準有効期間前に満了した場合でも、業務サーバは予定情報認証結果を有しているために、利用者は業務サーバに再度ログインして認証を受けることなく、次の業務機能を利用することができる。
(第2の実施の形態)
次に本発明の第2の実施形態について説明する。この実施形態に係るネットワークシステムは、SAML(Security Assertion Markup Language)プロトコルを利用して、利用者端末、業務サーバ、そして利用者情報管理サーバ間の通信を行っている。この実施形態において第1の実施形態と同一な構成についての説明は省略する。
図5はこの実施形態のブロック構成図であり、図6はこの実施形態における利用者情報が登録された管理テーブルである。業務サーバ21が利用者(ID00001)に現在の権限情報で認められた業務2211を提供し、業務サーバ2mが利用者に将来の権限情報で認められる業務22m1を提供する。
そこで、図7〜図9のタイミングチャートを用いて、利用者(ID00001)が業務サーバ21の機能を利用している間に、利用者の権限が業務サーバ22の機能を利用するように変更される過程での、プロトコル通信の動作を説明する。
利用者が利用者端末1の通信機能12を利用し、業務サーバ21にアクセスする(ステップ7101、ステップ7201)。業務サーバ21は、認証連携機能211を利用し、SAMLプロトコルに従いAuthentication Requestを生成する(ステップ7204)。
このAuthentication Requestは、利用者情報管理サーバ3へ接続する指示を有するHTTPリダイレクト情報を含んでいる。業務サーバ21は、Authentication Requestを利用者端末1に送信する(ステップ7205)。利用者端末1はAuthentication Requestに含まれるHTTPリダイレクト情報に基づいて利用者情報管理サーバ3に接続する(ステップ7105)。利用者情報管理サーバは、業務サーバ21から接続要求を受け付ける(7301)。
利用者情報管理サーバ3は、Authentication Requestを取得し(ステップ7302)、利用者端末1に認証情報の入力を要求する(ステップ7303)。利用者端末1はこの要求を受け付ける(ステップ7106)。利用者端末1は、利用者から利用者IDとパスワード等の認証情報を受付け(ステップ7107)、認証情報4を利用者情報管理サーバ3に送付する(ステップ7108)。利用者情報管理サーバ3では、認証管理機能31を利用し、認証情報を受付ける(ステップ7304)。
認証情報管理機能31は、既述のステップ4301(図4参照)と同様の動作を行って、認証結果を作成する。認証機能31は認証結果をAttribute要素に記載したAssertionを生成し、そして、Assertionに対応するArtifactを生成する(ステップ7305)。
認証結果が失敗である場合は、認証機能31はAssertionを生成せず、SAMLの規定に従って利用者端末1に対して認証が失敗した旨を通知する。
利用者情報管理サーバ3の認証管理機能31は、Responseを生成する(ステップ7306)。ResponseにはArtifactを含む。次いで、利用者情報管理サーバは、利用者端末1が業務サーバ21へ接続するためのHTTPリダイレクトを含むResponseを利用者端末1に対して送信する(ステップ7307)。
利用者端末はResponseを受領し、それに含まれるHTTPリダイレクト情報に基づいて業務サーバ21へ接続し、業務サーバ21はその接続を受け付ける(7206)。業務サーバ21は認証連携機能211を利用してResponseを取得し(ステップ7207)、Responseに含まれるArtifactを検証するためArtifact Resolveを生成する(図8のステップ8201)。次いで、これを利用者情報管理サーバ3に送信する(ステップ8301)。
利用者情報管理サーバ3は認証管理機能31を利用してArtifact Resolveを受付け(ステップ8301)、それに対応するAssertionを確認する(ステップ8302)。Assertionが確認できたらArtifact Responseを生成し(ステップ8303)、業務サーバ21にこれを送付する(ステップ8304)。Artifact ResponseにはAssertionを含む。
業務サーバ21はArtifact Responseを受付け(ステップ8203)、Assertionを取得する(ステップ8204)。業務サーバ21は認証連携機能211を使ってAssertionから認証結果を抽出し、現在情報認証結果で利用可能な部分的業務機能2211のみの提供を開始する(ステップ8206)。利用者端末1は部分的業務機能2211の利用の開始とその継続を達成する(ステップ8101、ステップ8102、ステップ8207)。
現在情報認証結果の有効期間が切れ、予定情報認証結果がある場合、業務サーバ21の認証連携機能211は、予定情報認証結果を利用して補助Assertionを生成する(図9のステップ9201)。補助AssertionはAssertionと同様のフォーマットで既述され、そのAttribute要素には予定情報認証結果が記載されている。
業務サーバ21の認証連携機能211は、予定情報認証結果を利用して補助Responseを生成し、これを利用者端末1に送信する(9202)する。補助Responseには補助Assertionを含む。
業務サーバ2mへ接続するためのHTTPリダイレクト情報を含む補助Responseに基づいて、利用者端末1は業務サーバ2mに接続する要求を業務サーバ2mに送信する(ステップ9101)。業務サーバ2mは利用者端末1からの接続を受け付ける(ステップ9301)。業務サーバ2mは利用者端末1から補助Responseを取得し(ステップ9302)、補助Responseから補助Assertionを取得する(ステップ9303)。
業務サーバ2mの認証連携機能21mは補助Assertionから予定情報認証結果を求め、この予定情報認証結果に含まれる機能業務をその有効期間で利用者端末1に提供する(ステップ9304、ステップ9102、ステップ9103、ステップ9305)。
既述の実施形態1及び2のように、利用者の権限が変化する実例として、利用者が利用できる業務に対する権限が人事異動や出向等により一時的或いは長期にわたって変更されることがある。
権限の変更には、業務を利用することを禁止、利用できる業務を制限、利用できる業務を変更、又は利用できる業務追加などのための権限の変更が含まれる。
図10に示される如く、複数の権限情報の有効期間が重なって利用者情報テーブルに登録されることがある。利用者情報管理サーバ3は複数の権限情報に優先順位を付加し、ステップ7301において予定情報認証結果を生成する際、優先順位を予定情報認証結果に記録するようにしてもよい。業務サーバ21は、ステップ9202においてResponseを生成する際に優先順位の高い業務機能を利用者端末に提供する業務サーバへ接続するためのHTTPリダイレクトを利用者端末1に送信する。
なお、優先度が高い業務を業務サーバが最初に実行するが、ユーザは低い優先度の優先度の業務を選択、或いはこれに変更することができる。業務サーバは利用者端末に複数の選択肢があることを示す画面を表示させ、利用者が選択できるようにする。
既述の実施形態では、第1の機能業務に対応する権限情報の有効期間が満了すると、第1の機能業務を行った業務サーバあるいは他の業務サーバが第1の機能業務とは異なる第2の機能業務を利用者端末に提供している。そこで、第1の業務サーバまたは第2の業務サーバに、利用者情報管理サーバが第1の業務と第2の業務との中間の特性を持つ中間業務を実行させるための特殊な権限情報を生成してもよい。
例えば、第1の業務において利用者端末から業務サーバにリード及びライトが可能であったものを、中間業務では業務サーバに対して利用者端末がリードを許可し、ライトを許可しないという態様である。利用者にとっては、第1の業務が第2の業務に転換される前に、第1の業務が徐々に制限されることになり、利用者に権限の消失または変更を予測させることができる。利用者管理サーバはこの特殊な権限情報とその有効期間を含めて既述の予定権限情報を生成すればよい。
既述の実施形態では、権限情報の有効条件を時間によって定義したが、災害などの特殊事象によって有効条件を定義することもできる。利用者管理サーバは平時に災害時の権限情報と災害の発生という事象の存在を含む予定権限情報を生成し、業務サーバに送付しておく。実際に災害などの特殊事情で利用者管理サーバが機能し得なくなっても、業務サーバが予め管理サーバから受けていた認証に基づいて、業務サーバは利用者端末に必要な業務を提供することができる。
また、第2の実施形態は、業務サーバ21が利用者端末を業務サーバ2mに接続させる制御情報を予定業務の有効期間に至った際に生成するものであったが、利用者端末に業務サーバ2mに接続する旨を告知し、利用者から確認の入力があった際に、この制御情報を生成するようにしてもよい。
なお、図11に、利用者向端末のWebブラウザの画面を示す。この画面は、現在権限情報に従った業務サーバからの画面が表示されている。この画面は、ユーザが業務サーバにログインした時点で将来権限として認証された業務権限が予定時刻になり、ユーザに現在業務を権限が変更された業務に移動するか否かを問い合わせるものである。ユーザが他の業務に移動しない場合、現在アクセス中の業務の権限が失効すると、業務サーバは利用者端末からログオフされる。
本発明に係る利用者端末、業務サーバ、及び管理サーバのハードウエアブロック図である。 本発明の第1の実施の形態に係るシステムの機能ブロック図である。 第1の実施の形態に係る利用者情報を記録した管理テーブルである。 第1の実施の形態の動作を示すフローチャートである。 本発明の第2の実施の形態に係るシステムの機能ブロック図である。 第1の実施の形態に係る利用者情報を記録した管理テーブルである。 第2の実施の形態に係る動作を示すフローチャートである。 図7のフローチャートに続く流れ図である。 図8のフローチャートに続く流れ図である。 他の利用者情報を記録した管理テーブルである。 利用者向端末のWebブラウザの画面の例である。
符号の説明
1n 利用者端末
3 利用者情報管理サーバ
9 ネットワーク
111n 認証情報受付機能
121n 通信機能
1 業務サーバ
211 認証連携機能
221 業務機能
31 認証管理機能
32 利用者情報機能
2211〜22X1 部分的業務機能
321 利用者情報
322 標準有効期間
100 演算装置
102 メモリ
104 外部記憶装置
106 通信装置
108 入力装置
110 出力装置
112 インタフェース

Claims (10)

  1. 利用者端末に業務機能を提供する業務サーバと、
    前記利用者端末を利用する利用者の情報を管理する管理サーバと、を備え、
    前記業務サーバと前記管理サーバとがネットワークによって接続されている業務管理システムであって、
    前記管理サーバは、
    前記利用者の認証情報と、前記利用者が利用できる権限が認められた業務機能を識別する権限情報と、前記権限情報の有効条件と、を対応させた利用者情報を記録した第1のメモリと、
    前記認証情報を取得して、この認証情報に対応する前記権限情報と前記有効条件とを判定し、この判定結果を前記業務サーバに送信する第1の演算装置と、を備え、
    前記業務サーバは、
    第2のメモリと、
    前記業務機能を前記利用者に提供するプログラムを実行する第2の演算装置と、を備え、
    前記第2の演算装置は、前記判定結果に含まれた前記権限情報で識別された前記業務機能を、前記有効条件下において前記利用者端末に提供するものであり、
    前記第1の演算装置は、前記利用者の認証情報を受け付けた以降に前記有効条件が成立する将来権限情報を判定し、
    前記業務サーバは前記将来権限情報を前記第2のメモリに記憶し、
    前記第2の演算装置は前記第2のメモリを参照して、前記将来権限情報の前記有効条件下で前記利用者端末に当該将来権限情報で識別された将来業務を提供する、業務管理システム。
  2. 前記有効条件は前記権限情報の有効期間を含み、前記第2の演算装置は、前記将来権限情報の前記有効期間に前記利用者側に前記将来権限情報で識別された前記将来業務を提供する、請求項1記載の業務管理システム。
  3. 前記第1の演算装置は、前記利用者の認証情報を受け付けた時点が含まれる有効期間の現在権限情報を判定し、
    前記業務サーバは、前記現在権限情報を前記第2のメモリに記憶し、前記第2の演算装置は前記第2のメモリを参照して、前記現在権限情報で識別された現在業務と、前記将来権限情報の前記有効期間に前記利用者側に前記将来権限情報で識別された前記将来業務と、を提供する、請求項1又は2記載の業務管理システム。
  4. 前記第1の演算装置が前記将来権限情報を判定した以降、前記第2の演算装置が前記利用者側に前記将来業務を提供する前に、前記管理サーバ又は前記業務サーバは前記利用者側に前記認証情報の供給を求めない、請求項1乃至3の何れか1項記載の業務管理システム。
  5. 利用者端末に業務機能を提供する複数の業務サーバと、
    前記利用者端末を利用する利用者の情報を管理する管理サーバと、を備え、
    前記複数の業務サーバと前記管理サーバとがネットワークによって接続されている業務管理システムであって、
    前記管理サーバは、
    前記利用者の認証情報と、前記利用者が利用できる権限が認められた業務機能を識別する権限情報と、前記権限情報の有効期間と、を対応させた利用者情報を記録した第1のメモリと、
    前記認証情報を取得して、この認証情報に対応する前記権限情報と前記有効期間とを判定し、この判定結果を前記複数の業務サーバの少なくとも一つに送信する第1の演算装置と、を備え、
    前記複数の業務サーバは、それぞれ
    第2のメモリと、
    前記業務機能を前記利用者に提供するプログラムを実行する第2の演算装置と、を備え、
    前記第2の演算装置は、前記判定結果に含まれた前記権限情報で識別された前記業務機能を、前記有効期間において前記利用者端末に提供するものであり、
    前記複数の業務サーバのうちの第1の業務サーバは第1の業務機能を前記利用者端末に提供し、前記複数の業務サーバのうちの第2の業務サーバは第2の業務機能を前記利用者端末に提供するものであり、
    前記第2の業務機能は前記第1の業務機能の有効期間の満了後にその有効期間が開始するように、当該第2の業務機能の権限情報が前記利用者情報に記録され、
    前記第1の演算装置は、前記利用者の認証情報に基づいて、前記第1の業務機能に対する第1の権限情報と第1の有効期間を判定し、さらに前記第2の業務機能に対する第2の権限情報と第2の有効期間とを判定し、これらの判定結果を前記第1の業務サーバに送信し、
    前記第1の業務サーバはこの判定結果を前記第2のメモリに記憶し、前記第2の演算装置は当該第2のメモリを参照して、前記第1有効条件下で前記利用者端末に前記第1の権限情報で識別された第1の業務を提供するとともに、前記第2の権限情報と第2の有効期間を含む前記判定結果を前記第2の業務サーバに送信し、
    当該第2の業務サーバは当該判定結果を前記第2のメモリに記憶し、前記第2の演算装置は当該第2のメモリを参照して、前記第2の有効条件下で前記利用者端末に前記第2の権限情報で識別された第2の業務を提供する、業務管理システム。
  6. 前記第1の業務サーバへの前記第1の権限情報と第1の有効期間を含む前記判定結果の送信は前記利用者端末を介して行われる、請求項5記載の業務管理システム。
  7. 前記第2の業務サーバへの前記第2の権限情報と第2の有効期間を含む前記判定結果の送信は前記利用者端末を介して行われる、請求項5又は6記載の業務管理システム。
  8. 前記管理サーバは前記判定結果をSAML(Security Assertion Markup Language)プロトコルを利用して送信する請求項1乃至請求項8のいずれか1項記載の業務管理システム。
  9. 請求項1乃至8のいずれか1項に記載された前記管理サーバ。
  10. 請求項1乃至8のいずれか1項に記載された前記業務サーバ。


JP2008092498A 2008-03-31 2008-03-31 業務管理システム Pending JP2009245268A (ja)

Priority Applications (6)

Application Number Priority Date Filing Date Title
JP2008092498A JP2009245268A (ja) 2008-03-31 2008-03-31 業務管理システム
SG200901099-2A SG155839A1 (en) 2008-03-31 2009-02-16 Business management system
CA002654481A CA2654481A1 (en) 2008-03-31 2009-02-17 Business management system
CN200910007535.0A CN101552775A (zh) 2008-03-31 2009-02-17 业务管理系统
EP09002324A EP2107493A1 (en) 2008-03-31 2009-02-18 Business management system
US12/388,664 US20090249461A1 (en) 2008-03-31 2009-02-19 Business management system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008092498A JP2009245268A (ja) 2008-03-31 2008-03-31 業務管理システム

Publications (1)

Publication Number Publication Date
JP2009245268A true JP2009245268A (ja) 2009-10-22

Family

ID=40627613

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008092498A Pending JP2009245268A (ja) 2008-03-31 2008-03-31 業務管理システム

Country Status (6)

Country Link
US (1) US20090249461A1 (ja)
EP (1) EP2107493A1 (ja)
JP (1) JP2009245268A (ja)
CN (1) CN101552775A (ja)
CA (1) CA2654481A1 (ja)
SG (1) SG155839A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102012213238A1 (de) 2011-07-28 2013-02-28 Denso Corporation Kommunikationsvorrichtung und Kommunikationsverfahren

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102957670B (zh) * 2011-08-24 2016-04-20 中国电信股份有限公司 原始主叫号码传递方法和系统
CN103377346B (zh) * 2012-04-12 2016-05-04 金蝶软件(中国)有限公司 附件管理方法和系统
CN103678972A (zh) * 2013-12-11 2014-03-26 宇龙计算机通信科技(深圳)有限公司 一种权限控制系统及方法
CN105550544A (zh) * 2015-12-04 2016-05-04 上海斐讯数据通信技术有限公司 一种电器解锁的方法、系统以及一种电器和一种电子设备
CN108632351B (zh) * 2018-03-23 2021-04-23 山东昭元信息科技有限公司 一种信息交换系统
CN112995332B (zh) * 2021-03-26 2021-09-17 成都海地云信息技术有限公司 基于云计算和大数据技术的企业资源云管理方法及系统
CN113988808A (zh) * 2021-10-29 2022-01-28 京东城市(北京)数字科技有限公司 任务变更记录的推送方法、装置、电子设备及存储介质

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1180889A3 (en) * 2000-08-17 2003-09-24 Sun Microsystems, Inc. Certificate validation system
US7747856B2 (en) 2002-07-26 2010-06-29 Computer Associates Think, Inc. Session ticket authentication scheme
US7237030B2 (en) * 2002-12-03 2007-06-26 Sun Microsystems, Inc. System and method for preserving post data on a server system
WO2006027600A1 (en) * 2004-09-09 2006-03-16 Surfcontrol Plc System, method and apparatus for use in monitoring or controlling internet access
US8225385B2 (en) * 2006-03-23 2012-07-17 Microsoft Corporation Multiple security token transactions

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102012213238A1 (de) 2011-07-28 2013-02-28 Denso Corporation Kommunikationsvorrichtung und Kommunikationsverfahren

Also Published As

Publication number Publication date
EP2107493A1 (en) 2009-10-07
SG155839A1 (en) 2009-10-29
CA2654481A1 (en) 2009-09-30
US20090249461A1 (en) 2009-10-01
CN101552775A (zh) 2009-10-07

Similar Documents

Publication Publication Date Title
US8347378B2 (en) Authentication for computer system management
JP6677496B2 (ja) 認証連携システム及び認証連携方法、認可サーバー、アプリケーションサーバー及びプログラム
US9288213B2 (en) System and service providing apparatus
US9154504B2 (en) Device apparatus, control method, and relating storage medium
US9626137B2 (en) Image forming apparatus, server device, information processing method, and computer-readable storage medium
US20130269007A1 (en) Authentication system, authentication server, service providing server, authentication method, and computer-readable recording medium
US11277404B2 (en) System and data processing method
JP2009245268A (ja) 業務管理システム
US20150040188A1 (en) Service providing system and data providing method
US20090119218A1 (en) License management apparatus, license management method, and license authentication program
JP6248641B2 (ja) 情報処理システム及び認証方法
US20170041504A1 (en) Service providing system, information processing apparatus, program, and method for generating service usage information
WO2016092630A1 (ja) 情報処理装置、情報処理装置の制御方法、情報処理システム、およびコンピュータプログラム
JP2020177537A (ja) 認証認可サーバー、クライアント、サービス提供システム、アクセス管理方法とプログラム
JP2009258917A (ja) プロキシサーバ、認証サーバおよび通信システム
US20200287848A1 (en) System, client terminal, control method, and storage medium
JP2009259198A (ja) 情報処理制限システム、情報処理制限装置、および情報処理制限プログラム
CN108289074B (zh) 用户账号登录方法及装置
JP2016224684A (ja) サーバーシステム、サーバーシステムの制御方法、およびプログラム
US7840666B2 (en) Device, control method of the device, and program for causing computer to execute the control method
JP2007213397A (ja) データ管理プログラム、データ管理装置およびプロトコルの切り替え方法
JP6185934B2 (ja) サーバー・アプリケーションと多数の認証プロバイダーとの統合
CN112804224B (zh) 一种基于微服务的认证鉴权方法、装置、介质及电子设备
JP5733387B2 (ja) 管理装置、管理プログラムおよび管理方法
JP5522735B2 (ja) セッション管理装置、セッション管理システム、セッション管理方法、及びプログラム