知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024127618
(43)【公開日】2024-09-20
(54)【発明の名称】委任処理装置、委任処理方法および委任処理システム
(51)【国際特許分類】
G06F 21/60 20130101AFI20240912BHJP
G06Q 10/00 20230101ALI20240912BHJP
【FI】
G06F21/60 340
G06Q10/00
【審査請求】未請求
【請求項の数】15
【出願形態】OL
(21)【出願番号】P 2023036888
(22)【出願日】2023-03-09
(71)【出願人】
【識別番号】000005108
【氏名又は名称】株式会社日立製作所
(74)【代理人】
【識別番号】110002365
【氏名又は名称】弁理士法人サンネクスト国際特許事務所
(72)【発明者】
【氏名】池田 麻奈美
(72)【発明者】
【氏名】安細 康介
(72)【発明者】
【氏名】鈴木 茜
(72)【発明者】
【氏名】塚野 夏樹
(72)【発明者】
【氏名】川名 のん
(72)【発明者】
【氏名】藤城 孝宏
(72)【発明者】
【氏名】西川 享宏
(72)【発明者】
【氏名】小川 政美
(72)【発明者】
【氏名】大西 悠
【テーマコード(参考)】
5L010
5L049
【Fターム(参考)】
5L010AA20
5L049AA20
(57)【要約】
【課題】委任情報登録者が、正確な委任情報をより簡単に登録することができる委任処理装置、委任処理方法および委任処理システムを提供する。
【解決手段】委任者から受任者への委任をするときに、委任者および受任者のユーザ情報を基に決定可能な委任情報の候補を、第1の入力候補として提示する第1の提示部としての委任者設定部202、委任内容設定部203、受任者設定部204と、第1の入力候補以外についての委任情報の候補であり、委任者が受任者の条件として定める委任条件の候補である委任条件候補を、第2の入力候補として提示する第2の提示部としての委任条件設定部205と、第1の入力候補および第2の入力候補から選択され、委任を行うための情報である委任情報を登録する委任情報登録部206と、を備える委任処理装置。
【選択図】図4
【解決手段】委任者から受任者への委任をするときに、委任者および受任者のユーザ情報を基に決定可能な委任情報の候補を、第1の入力候補として提示する第1の提示部としての委任者設定部202、委任内容設定部203、受任者設定部204と、第1の入力候補以外についての委任情報の候補であり、委任者が受任者の条件として定める委任条件の候補である委任条件候補を、第2の入力候補として提示する第2の提示部としての委任条件設定部205と、第1の入力候補および第2の入力候補から選択され、委任を行うための情報である委任情報を登録する委任情報登録部206と、を備える委任処理装置。
【選択図】図4
【特許請求の範囲】
【請求項1】
委任者から受任者への委任をするときに、前記委任者および前記受任者のユーザ情報を基に決定可能であり、委任を行うための情報である委任情報の候補を、第1の入力候補として提示する第1の提示部と、
前記第1の入力候補以外についての委任情報の候補であり、前記委任者が前記受任者の条件として定める委任条件の候補である委任条件候補を、第2の入力候補として提示する第2の提示部と、
前記第1の入力候補および前記第2の入力候補から選択される委任情報を登録する委任情報登録部と、
を備える委任処理装置。
前記第1の入力候補以外についての委任情報の候補であり、前記委任者が前記受任者の条件として定める委任条件の候補である委任条件候補を、第2の入力候補として提示する第2の提示部と、
前記第1の入力候補および前記第2の入力候補から選択される委任情報を登録する委任情報登録部と、
を備える委任処理装置。
【請求項2】
前記第1の入力候補は、前記ユーザ情報を基に決められる委任者候補を含む請求項1に記載の委任処理装置。
【請求項3】
前記委任者候補は、前記ユーザ情報を基に、前記委任者候補になるための条件を満たすユーザが選択される請求項2に記載の委任処理装置。
【請求項4】
前記第1の入力候補は、前記委任者候補の中から選択された前記委任者が有する権限を基に求められる、委任内容の候補である委任内容候補をさらに含む請求項3に記載の委任処理装置。
【請求項5】
前記委任内容候補は、前記委任者候補の中から選択された前記委任者の所有するリソースを基に求められる請求項4に記載の委任処理装置。
【請求項6】
前記第1の入力候補は、前記委任内容候補から求められる、委任者のリソース候補を含む請求項5に記載の委任処理装置。
【請求項7】
前記第1の入力候補は、前記委任内容候補の中から選択された前記委任内容から決められる前記受任者に要する権限を基に求められる、前記受任者の候補である受任者候補を含む請求項4に記載の委任処理装置。
【請求項8】
前記委任情報は、前記委任者、委任内容、前記受任者および前記委任者が所有するリソースおよび前記委任条件の情報を含む請求項1に記載の委任処理装置。
【請求項9】
前記第2の提示部は、前記委任条件候補の中から選択された前記委任条件を前記受任者が満たしているか否かを検証する請求項1に記載の委任処理装置。
【請求項10】
復委任をするときに、復受任者を設定する復委任設定部をさらに備え、
前記復委任設定部は、前記復受任者の候補である復受任者候補を提示する請求項1に記載の委任処理装置。
前記復委任設定部は、前記復受任者の候補である復受任者候補を提示する請求項1に記載の委任処理装置。
【請求項11】
前記復委任設定部は、前記委任情報に設定される条件の範囲を、復委任が行われる度に同じまたは小さくする請求項10に記載の委任処理装置。
【請求項12】
前記委任情報に設定される条件は、復委任回数の制限および復委任可能な範囲の少なくとも一方である請求項11に記載の委任処理装置。
【請求項13】
前記復委任設定部は、前記委任情報に設定される条件を追加可能である請求項10に記載の委任処理装置。
【請求項14】
プロセッサがメモリに記録されたプログラムを実行することにより、
委任者から受任者への委任をするときに、前記委任者および前記受任者のユーザ情報を基に決定可能であり、委任を行うための情報である委任情報の候補を、第1の入力候補として提示し、
前記第1の入力候補以外についての委任情報の候補であり、前記委任者が前記受任者の条件として定める委任条件の候補である委任条件候補を、第2の入力候補として提示し、
前記第1の入力候補および前記第2の入力候補から選択される委任情報を登録する、
委任処理方法。
委任者から受任者への委任をするときに、前記委任者および前記受任者のユーザ情報を基に決定可能であり、委任を行うための情報である委任情報の候補を、第1の入力候補として提示し、
前記第1の入力候補以外についての委任情報の候補であり、前記委任者が前記受任者の条件として定める委任条件の候補である委任条件候補を、第2の入力候補として提示し、
前記第1の入力候補および前記第2の入力候補から選択される委任情報を登録する、
委任処理方法。
【請求項15】
委任者から受任者へ委任を行う際に、委任情報の設定をする委任処理装置と、
委任情報に基づき、前記受任者が委任内容を処理する許可を行う委任管理装置と、
を備え、
前記委任処理装置は、
前記委任者から前記受任者への委任をするときに、前記委任者および前記受任者のユーザ情報を基に決定可能であり、委任を行うための情報である委任情報の候補を、第1の入力候補として提示する第1の提示部と、
前記第1の入力候補以外についての委任情報の候補であり、前記委任者が前記受任者の条件として定める委任条件の候補である委任条件候補を、第2の入力候補として提示する第2の提示部と、
前記第1の入力候補および前記第2の入力候補から選択される委任情報を登録する委任情報登録部と、
を備える委任処理システム。
委任情報に基づき、前記受任者が委任内容を処理する許可を行う委任管理装置と、
を備え、
前記委任処理装置は、
前記委任者から前記受任者への委任をするときに、前記委任者および前記受任者のユーザ情報を基に決定可能であり、委任を行うための情報である委任情報の候補を、第1の入力候補として提示する第1の提示部と、
前記第1の入力候補以外についての委任情報の候補であり、前記委任者が前記受任者の条件として定める委任条件の候補である委任条件候補を、第2の入力候補として提示する第2の提示部と、
前記第1の入力候補および前記第2の入力候補から選択される委任情報を登録する委任情報登録部と、
を備える委任処理システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、委任処理装置、委任処理方法、委任処理システムに関する。本発明は、特に、委任者が行う行為を受任者へ委任する際に好適に利用することができる委任処理装置、委任処理方法および委任処理システムに関する。
【背景技術】
【0002】
委任者が行う行為を受任者へ委任する委任処理が実業務で行われている。委任処理は、例えば、委任者が受任者に対して事前に委任を行うこと、および受任者が委任された行為を行う際に、委任の管理を行うシステム側で受任者の行為に対しての認可が必要である。委任の管理を行うシステム側で受任者の行為に対して認可を行う場合、認可処理を行う前に委任内容を含む委任情報をシステム側に登録しておき、委任の管理を行うシステム側はその委任情報に基づいて認可を行う。
【0003】
特許文献1には、サーバは、サーバを認証するチケット、サーバがクライアントに代わってアクセスしようとしているターゲットサービスに関する情報、およびクライアントに関連するサービスチケットを信頼できる第三者機関に提供するように構成されることが記載されている。このサービスチケットはクライアントによって提供することも、あるいはクライアントの名前でサーバ自身のためにサーバに発行された発行済みサービスチケットとすることも可能である。信頼できる第三者機関は、その委任がクライアントに関連する委任拘束条件に従って許可されていれば、ターゲットサービスにアクセスするための新サービスチケットを、クライアントの名前でサーバに発行する。
【0004】
また、特許文献2には、委託元は文書管理システム内の文書に対するアクセス権を一次委託先に付与し、二次委託先が満たすべきクライアント証明書及びユーザ属性の条件を証明書条件テーブル及びユーザ属性条件テーブルに設定することが記載されている。一次委託先は、認証・認可サーバにて認証を受けて一次トークンを取得し、一次トークンを二次委託先に渡す。二次委託先は、中間サーバを経由して認証・認可サーバに一次トークンを提示し、二次トークンを要求する。認証・認可サーバは、二次委託先が証明書条件テーブル及びユーザ属性条件テーブルの条件を満たす場合に、二次トークンを提供する。二次委託先は、その文書を要求する際、二次トークンを提示する。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2003-99401号公報
【特許文献2】特開2016-51451号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、委任内容を含む委任情報を委任情報登録者が委任の管理を行うシステムに登録する場合、例えば、委任情報登録者は受任者の属性情報や委任内容に関する権限の確認が必要である。そのため委任情報登録者は、受任者の属性情報や委任内容情報の収集を必要とし、委任情報登録者の負担が大きい。また、委任情報の登録にあたっては、多くの場合、委任情報登録者の手作業による委任情報としての登録項目の入力が行われているが、委任内容や委任者に伴う条件設定が多く、ルール化しにくいために、設定ミスが発生しやすい。
本発明は、委任情報登録者が、正確な委任情報をより簡単に登録することができる委任処理装置、委任処理方法および委任処理システムを提供することを目的とする。
本発明は、委任情報登録者が、正確な委任情報をより簡単に登録することができる委任処理装置、委任処理方法および委任処理システムを提供することを目的とする。
【課題を解決するための手段】
【0007】
上記の課題を解決するため本発明は、委任者から受任者への委任をするときに、委任者および受任者のユーザ情報を基に決定可能であり、委任を行うための情報である委任情報の候補を、第1の入力候補として提示する第1の提示部と、第1の入力候補以外についての委任情報の候補であり、委任者が受任者の条件として定める委任条件の候補である委任条件候補を、第2の入力候補として提示する第2の提示部と、第1の入力候補および第2の入力候補から選択される委任情報を登録する委任情報登録部と、を備える委任処理装置を提供する。この場合、委任情報登録者が、正確な委任情報をより簡単に登録することができる委任処理装置を提供できる。
【0008】
ここで、第1の入力候補は、ユーザ情報を基に決められる委任者候補を含むようにすることができる。この場合、委任情報登録者は、委任者候補から委任者を選択することで、委任者をより簡単に設定することができる。また、委任者の設定ミスを抑制することができる。
また、委任者候補は、ユーザ情報を基に、委任者候補になるための条件を満たすユーザを選択するようにできる。この場合、委任者として適したユーザを選択できる。
さらに、第1の入力候補は、委任者候補の中から選択された委任者が有する権限を基に求められる委任内容の候補である、委任内容候補をさらに含むようにできる。この場合、委任情報登録者は、委任内容候補から委任内容を選択することで、委任内容をより簡単に設定することができる。また、委任内容の設定ミスを抑制することができる。
またさらに、委任内容候補は、委任者候補の中から選択された委任者の所有するリソースを基に求めることができる。この場合、委任内容として適したものを抽出できる。
また、第1の入力候補は、委任内容候補から求められる、委任者のリソース候補を含むようにできる。この場合、委任情報登録者は、リソース候補から委任者が所有するリソースを選択することができ、委任者が所有するリソースをより簡単に設定することができる。
さらに、第1の入力候補は、委任内容候補の中から選択された委任内容から決められる受任者に要する権限を基に求められる、受任者の候補である受任者候補を含むようにできる。この場合、委任情報登録者は、受任者候補から受任者を選択することで、受任者をより簡単に設定することができる。また、受任者の設定ミスを抑制することができる。
またさらに、委任情報は、委任者、委任内容、受任者および委任者が所有するリソースおよび委任条件の情報を含むようにできる。この場合、委任情報登録者の意思を反映した委任情報とすることができる。
そして、第2の提示部は、委任条件候補の中から選択された委任条件を受任者が満たしているか否かを検証することができる。この場合、委任条件に適した受任者を選択できる。
また、受任者が、自身が委任された委任内容に関してさらに委任を行う(復委任)をするときに、復委任における受任者(復受任者)を設定する復委任設定部をさらに備え、復委任設定部は、復受任者の候補である復受任者候補を提示することができる。この場合、委任情報登録者は、復受任者候補から復受任者を選択することで、復受任者をより簡単に設定することができる。また、復受任者の設定ミスを抑制することができる。
さらに、復委任設定部は、委任情報に設定される条件の範囲を、復委任が行われる度に同じまたは小さくすることができる。この場合において、復委任を行う際に、意図していない人に委任が行われる可能性が小さくなる。
またさらに、委任情報に設定される条件は、復委任回数の制限および復委任可能な範囲の少なくとも一方であるようにできる。この場合、委任者の意図に従って復委任をすることができる。
そして、復委任設定部は、委任情報に設定される条件を追加可能にすることができる。この場合、復受任者毎に委任の条件を追加することができる。
また、委任者候補は、ユーザ情報を基に、委任者候補になるための条件を満たすユーザを選択するようにできる。この場合、委任者として適したユーザを選択できる。
さらに、第1の入力候補は、委任者候補の中から選択された委任者が有する権限を基に求められる委任内容の候補である、委任内容候補をさらに含むようにできる。この場合、委任情報登録者は、委任内容候補から委任内容を選択することで、委任内容をより簡単に設定することができる。また、委任内容の設定ミスを抑制することができる。
またさらに、委任内容候補は、委任者候補の中から選択された委任者の所有するリソースを基に求めることができる。この場合、委任内容として適したものを抽出できる。
また、第1の入力候補は、委任内容候補から求められる、委任者のリソース候補を含むようにできる。この場合、委任情報登録者は、リソース候補から委任者が所有するリソースを選択することができ、委任者が所有するリソースをより簡単に設定することができる。
さらに、第1の入力候補は、委任内容候補の中から選択された委任内容から決められる受任者に要する権限を基に求められる、受任者の候補である受任者候補を含むようにできる。この場合、委任情報登録者は、受任者候補から受任者を選択することで、受任者をより簡単に設定することができる。また、受任者の設定ミスを抑制することができる。
またさらに、委任情報は、委任者、委任内容、受任者および委任者が所有するリソースおよび委任条件の情報を含むようにできる。この場合、委任情報登録者の意思を反映した委任情報とすることができる。
そして、第2の提示部は、委任条件候補の中から選択された委任条件を受任者が満たしているか否かを検証することができる。この場合、委任条件に適した受任者を選択できる。
また、受任者が、自身が委任された委任内容に関してさらに委任を行う(復委任)をするときに、復委任における受任者(復受任者)を設定する復委任設定部をさらに備え、復委任設定部は、復受任者の候補である復受任者候補を提示することができる。この場合、委任情報登録者は、復受任者候補から復受任者を選択することで、復受任者をより簡単に設定することができる。また、復受任者の設定ミスを抑制することができる。
さらに、復委任設定部は、委任情報に設定される条件の範囲を、復委任が行われる度に同じまたは小さくすることができる。この場合において、復委任を行う際に、意図していない人に委任が行われる可能性が小さくなる。
またさらに、委任情報に設定される条件は、復委任回数の制限および復委任可能な範囲の少なくとも一方であるようにできる。この場合、委任者の意図に従って復委任をすることができる。
そして、復委任設定部は、委任情報に設定される条件を追加可能にすることができる。この場合、復受任者毎に委任の条件を追加することができる。
【0009】
また、本発明は、プロセッサがメモリに記録されたプログラムを実行することにより、委任者から受任者への委任をするときに、委任者および受任者のユーザ情報を基に決定可能であり、委任を行うための情報である委任情報の候補を、第1の入力候補として提示し、第1の入力候補以外についての委任情報の候補であり、委任者が受任者の条件として定める委任条件の候補である委任条件候補を、第2の入力候補として提示し、第1の入力候補および第2の入力候補から選択される委任情報を登録する、委任処理方法を提供する。この場合、委任情報登録者が、正確な委任情報をより簡単に登録することができる委任処理方法を提供できる。
【0010】
さらに、本発明は、委任者から受任者へ委任を行う際に、委任情報の設定をする委任処理装置と、委任情報に基づき、受任者が委任内容を処理する許可を行う委任管理装置と、を備え、委任処理装置は、委任者から受任者への委任をするときに、委任者および受任者のユーザ情報を基に決定可能であり、委任を行うための情報である委任情報の候補を、第1の入力候補として提示する第1の提示部と、第1の入力候補以外についての委任情報の候補であり、委任者が受任者の条件として定める委任条件の候補である委任条件候補を、第2の入力候補として提示する第2の提示部と、第1の入力候補および第2の入力候補から選択される委任情報を登録する委任情報登録部と、を備える委任処理システムを提供する。この場合、委任情報登録者が、正確な委任情報をより簡単に登録することができる委任処理システムを提供できる。
【発明の効果】
【0011】
本発明によれば、委任情報登録者が、正確な委任情報をより簡単に登録することができる委任処理装置、委任処理方法および委任処理システムを提供することができる。
【図面の簡単な説明】
【0012】
【図1】本実施の形態が適用される委任処理システムの全体構成例を示した図である。
【図2】委任情報登録者端末、委任情報設定システム、認証・認可サーバ、リソースサーバおよびアプリケーションサーバのハードウェア構成について示した図である。
【図3】(a)~(b)は、委任処理システムの動作について示した図である。
【図4】委任情報設定システムの機能構成例を示したブロック図である。
【図5】認証・認可サーバの機能構成例を示したブロック図である。
【図6】リソースサーバの機能構成例を示したブロック図である。
【図7】委任内容テーブルのデータ構造について示した図である。
【図8】委任条件テーブルのデータ構造について示した図である。
【図9】アカウント管理テーブルのデータ構造について示した図である。
【図10】委任情報管理テーブルのデータ構造について示した図である。
【図11】処理1~3の全体的な動作について示した図である。
【図12】処理1について示したシーケンス図である。
【図13】(a)は、図12のS1208で、委任者が有する権限を、委任者の属性情報(アカウント管理テーブル311から取得した情報)の属性値にする場合について示した図である。(b)は、図12のS1209で、委任者が有する権限から、委任内容候補およびリソース候補を取得する処理について示した図である。
【図15】処理2、3について示したシーケンス図である。
【図25】登録される委任情報について示した図である。
【図26】復委任について説明した図である。
【図27】(a)~(b)は、復委任をしたときの委任情報に設定される条件の範囲について示した図である。
【図28】復委任を行う際の委任情報設定システムの動作を示した図である。
【図29】復委任を行うときの処理について示したシーケンス図である。
【図30】委任情報登録者が、復委任情報について確認し、承認する画面を示した図である。
【図31】登録される復委任情報を提示する画面を示した図である。
【発明を実施するための形態】
【0013】
以下、添付図面を参照し、本発明の実施の形態について、詳細に説明する。
【0014】
<委任処理システム1の全体説明>
図1は、本実施の形態が適用される委任処理システム1の全体構成例を示した図である。
図示するように、委任処理システム1は、委任情報登録者端末10と、委任情報設定システム20と、認証・認可サーバ30と、リソースサーバ40と、アプリケーションサーバ50とを備える。これらは、ネットワーク60を介し接続されている。
図1は、本実施の形態が適用される委任処理システム1の全体構成例を示した図である。
図示するように、委任処理システム1は、委任情報登録者端末10と、委任情報設定システム20と、認証・認可サーバ30と、リソースサーバ40と、アプリケーションサーバ50とを備える。これらは、ネットワーク60を介し接続されている。
【0015】
委任情報登録者端末10は、委任情報登録者が、委任の登録を行うために操作する端末装置である。ここで、「委任」は、委任情報登録者が一定の行為をすることを受任者に委託することである。「委任」は、代理、代行と呼ばれることがある。また、「委任情報登録者」は、委任情報登録者端末10を使用して委任の設定を行う者である。委任情報登録者は、委任者本人であってもよく、委任の登録を行うために委任者の代わりに委任情報登録者端末10を操作する者であってもよい。
また、「委任内容」は、委任者から受任者に委任される処理内容である。委任内容は、特に限られるものではないが、例えば、委任者が業務を行うときに必要な行為である。この行為は、例えば、電子文書の作成や編集、電子文書への署名、決済処理などが該当する。
また、「委任内容」は、委任者から受任者に委任される処理内容である。委任内容は、特に限られるものではないが、例えば、委任者が業務を行うときに必要な行為である。この行為は、例えば、電子文書の作成や編集、電子文書への署名、決済処理などが該当する。
【0016】
委任情報設定システム20は、委任処理装置の一例であり、委任者から受任者へ委任を行う際に、委任情報の設定をする。
認証・認可サーバ30は、委任管理装置の一例であり、委任情報に基づき、受任者が委任内容を処理する許可を行う。本実施の形態では、認証・認可サーバ30は、受任者の認証の要求を受け付ける。また認証後、認証・認可サーバ30は、受任者が、委任内容を処理する認可を行う。
リソースサーバ40は、委任内容を処理するリソースを有する。リソースサーバ40は、受任者は、認証・認可サーバ30から認証・許可を受けると、リソースを処理する権限を付与される。リソースサーバ40は、委任内容に応じリソースを処理する要求を、受任者から受け付け、処理結果を受任者に返送する。
認証・認可サーバ30は、委任管理装置の一例であり、委任情報に基づき、受任者が委任内容を処理する許可を行う。本実施の形態では、認証・認可サーバ30は、受任者の認証の要求を受け付ける。また認証後、認証・認可サーバ30は、受任者が、委任内容を処理する認可を行う。
リソースサーバ40は、委任内容を処理するリソースを有する。リソースサーバ40は、受任者は、認証・認可サーバ30から認証・許可を受けると、リソースを処理する権限を付与される。リソースサーバ40は、委任内容に応じリソースを処理する要求を、受任者から受け付け、処理結果を受任者に返送する。
【0017】
アプリケーションサーバ50は、受任者が委任内容を処理するアプリケーションソフトウェアを実行する。受任者は、このアプリケーションソフトウェアを実行することで、リソースサーバ40に対して行う委任内容を処理する。
ネットワーク60は、委任情報登録者端末10、委任情報設定システム20、認証・認可サーバ30、リソースサーバ40およびアプリケーションサーバ50の間の情報通信に用いられる通信手段であり、例えば、インターネット、LAN(Local Area Network)、WAN(Wide Area Network)である。ネットワーク60は、有線か無線かを問わず、これらを併用してもよい。また、ネットワーク60は、ゲートウェイ装置やルータ等の中継装置を用い、複数の通信回線を介して接続されるものであってもよい。
ネットワーク60は、委任情報登録者端末10、委任情報設定システム20、認証・認可サーバ30、リソースサーバ40およびアプリケーションサーバ50の間の情報通信に用いられる通信手段であり、例えば、インターネット、LAN(Local Area Network)、WAN(Wide Area Network)である。ネットワーク60は、有線か無線かを問わず、これらを併用してもよい。また、ネットワーク60は、ゲートウェイ装置やルータ等の中継装置を用い、複数の通信回線を介して接続されるものであってもよい。
【0018】
図2は、委任情報登録者端末10、委任情報設定システム20、認証・認可サーバ30、リソースサーバ40およびアプリケーションサーバ50のハードウェア構成について示した図である。
これらは、PC(Personal Computer)、サーバコンピュータ等のコンピュータ装置である。そして図示するように、これらは、CPU(Central Processing Unit)等のプロセッサ101と、記憶手段である主記憶装置102およびHDD(Hard Disk Drive)、SSD(Solid State Drive)等の補助記憶装置103とを備える。ここで、プロセッサ101は、OS(基本ソフトウェア)やアプリケーションプログラム(応用ソフトウェア)等の各種ソフトウェアを実行する。また、主記憶装置102は、各種ソフトウェアやその実行に用いるデータ等を記憶する記憶領域である。さらに、補助記憶装置103は、各種ソフトウェアに対する入力データや各種ソフトウェアからの出力データ等を記憶する記憶領域である。
また、これらは、キーボート、マウス、タッチパネル等の入力装置104と、ビデオメモリやディスプレイ等からなる表示装置105と、外部との通信を行うための通信インタフェース(通信I/F)106とを備える。
これらは、PC(Personal Computer)、サーバコンピュータ等のコンピュータ装置である。そして図示するように、これらは、CPU(Central Processing Unit)等のプロセッサ101と、記憶手段である主記憶装置102およびHDD(Hard Disk Drive)、SSD(Solid State Drive)等の補助記憶装置103とを備える。ここで、プロセッサ101は、OS(基本ソフトウェア)やアプリケーションプログラム(応用ソフトウェア)等の各種ソフトウェアを実行する。また、主記憶装置102は、各種ソフトウェアやその実行に用いるデータ等を記憶する記憶領域である。さらに、補助記憶装置103は、各種ソフトウェアに対する入力データや各種ソフトウェアからの出力データ等を記憶する記憶領域である。
また、これらは、キーボート、マウス、タッチパネル等の入力装置104と、ビデオメモリやディスプレイ等からなる表示装置105と、外部との通信を行うための通信インタフェース(通信I/F)106とを備える。
【0019】
<委任処理システム1の動作の全体説明>
図3(a)~(b)は、委任処理システム1の動作について示した図である。
このうち、図3(a)は、Step1として、委任情報登録者(委任者)が、委任情報を登録する委任情報登録について示した図である。
ここでは、委任情報登録者(委任者)が、ユーザ情報やポリシと併せて、委任内容を含む委任情報を認証・認可サーバ30に事前に登録することを示している。これにより、受任者が、委任内容について処理を行う準備が完了する。
図3(a)~(b)は、委任処理システム1の動作について示した図である。
このうち、図3(a)は、Step1として、委任情報登録者(委任者)が、委任情報を登録する委任情報登録について示した図である。
ここでは、委任情報登録者(委任者)が、ユーザ情報やポリシと併せて、委任内容を含む委任情報を認証・認可サーバ30に事前に登録することを示している。これにより、受任者が、委任内容について処理を行う準備が完了する。
【0020】
また、図3(b)は、Step2として、委任処理システム1で、受任者が委任内容を処理する受任者処理について示した図である。
まず、受任者は、アプリケーションサーバ50にアクセスし(1.アクセス)、認証・認可サーバ30に対し、委任の認証・認可を要求するトークンを送信する(2.トークン要求)。認証・認可サーバ30では、委任情報に基づき、受任者へ委任を許可するか否かを判断する(3.委任許可)。そして、許可する場合、認証・認可サーバ30は、アプリケーションサーバ50に許可する旨のトークンを返す(4.トークン)。次に、受任者は、アプリケーションサーバ50を介し、リソースサーバ40内のリソースを処理する要求をし、実際に処理を行うトークンを送る(5.処理要求+トークン)。そして、リソースサーバ40は、処理結果をアプリケーションサーバ50に返す(6.処理結果)。
まず、受任者は、アプリケーションサーバ50にアクセスし(1.アクセス)、認証・認可サーバ30に対し、委任の認証・認可を要求するトークンを送信する(2.トークン要求)。認証・認可サーバ30では、委任情報に基づき、受任者へ委任を許可するか否かを判断する(3.委任許可)。そして、許可する場合、認証・認可サーバ30は、アプリケーションサーバ50に許可する旨のトークンを返す(4.トークン)。次に、受任者は、アプリケーションサーバ50を介し、リソースサーバ40内のリソースを処理する要求をし、実際に処理を行うトークンを送る(5.処理要求+トークン)。そして、リソースサーバ40は、処理結果をアプリケーションサーバ50に返す(6.処理結果)。
【0021】
ここでは、リソースサーバ40を利用した汎用的なシステムに対し、委任内容を処理する認可を行う際に、認証・認可サーバ30に認可処理や認証処理を集約し、認可判断結果をリソースサーバ40に返すことによる認可を行っている。
この場合、認証・認可サーバ30が認可判断に用いるユーザ情報(ユーザのもつ属性情報等含む)や認可判断のポリシを、事前に認証・認可サーバ30内に格納することが必要である。このような方式にするメリットとして、自身の情報を1ケ所(この場合、認証・認可サーバ30)で管理できることによる利用者の利便性の他、管理する個人情報がなくなる/量が減るなどの管理者の利便性が挙げられる。
よって、委任処理のシステム化において、リソースサーバ40のような汎用的なシステムと同様に、汎用的な認証・認可サーバ30を利用することにより、委任を含む認可処理を扱えるようにすることに対し、需要が見込まれる。
この場合、認証・認可サーバ30が認可判断に用いるユーザ情報(ユーザのもつ属性情報等含む)や認可判断のポリシを、事前に認証・認可サーバ30内に格納することが必要である。このような方式にするメリットとして、自身の情報を1ケ所(この場合、認証・認可サーバ30)で管理できることによる利用者の利便性の他、管理する個人情報がなくなる/量が減るなどの管理者の利便性が挙げられる。
よって、委任処理のシステム化において、リソースサーバ40のような汎用的なシステムと同様に、汎用的な認証・認可サーバ30を利用することにより、委任を含む認可処理を扱えるようにすることに対し、需要が見込まれる。
【0022】
また、図3(a)に示した委任情報登録におけるポイントとして以下の(1)~(3)が挙げられる。
(1)委任者の意図している内容で委任情報が登録されること。
これは、委任は委任者の責任のもと、受任者による委任による処理が行われるものであるためである。
(2)委任者は、委任者自身がもつ権限に基づく委任内容のみを受任者に委任すること。
これは、委任は受任者が委任者の代わりとして処理を行うものであるためである。
(3)受任者は、処理内容および委任者による条件を満たした権限を有すること。
これは、ポイント(1)の観点に加えて、法的に問題が発生する場合があるためである。
(1)委任者の意図している内容で委任情報が登録されること。
これは、委任は委任者の責任のもと、受任者による委任による処理が行われるものであるためである。
(2)委任者は、委任者自身がもつ権限に基づく委任内容のみを受任者に委任すること。
これは、委任は受任者が委任者の代わりとして処理を行うものであるためである。
(3)受任者は、処理内容および委任者による条件を満たした権限を有すること。
これは、ポイント(1)の観点に加えて、法的に問題が発生する場合があるためである。
【0023】
一方、図3(a)に示すように、委任情報登録者(委任者)が、委任情報を登録する場合、以下の(4)~(5)の問題がある。
(4)委任者が登録する場合、委任情報の登録の負担が大きい。
これは、主に上記(3)の確認に時間がかかるためである。つまり、委任者は受任者の属性情報や委任内容に関する権限の確認が必要であり、そのために委任者は、例えば受任者の属性情報、委任内容情報の収集を必要とする。
(5)委任者の代わりに委任情報登録者が登録する場合、委任者が想定している委任内容と異なる情報を委任情報として登録してしまうことが発生する。
これは、委任条件は委任者の意思により変動するため、委任内容からルール化することが難しいこと、委任情報を手作業で入力していることによる設定ミスが発生しやすいこと、および委任者と委任情報登録者の間での認識のずれが発生する場合があること、に起因する。
(4)委任者が登録する場合、委任情報の登録の負担が大きい。
これは、主に上記(3)の確認に時間がかかるためである。つまり、委任者は受任者の属性情報や委任内容に関する権限の確認が必要であり、そのために委任者は、例えば受任者の属性情報、委任内容情報の収集を必要とする。
(5)委任者の代わりに委任情報登録者が登録する場合、委任者が想定している委任内容と異なる情報を委任情報として登録してしまうことが発生する。
これは、委任条件は委任者の意思により変動するため、委任内容からルール化することが難しいこと、委任情報を手作業で入力していることによる設定ミスが発生しやすいこと、および委任者と委任情報登録者の間での認識のずれが発生する場合があること、に起因する。
【0024】
そこで、本実施の形態では、図3(a)に示した委任情報登録を行う際に、委任処理システム1の処理を以下のようにし、上記問題の解決を図っている。これにより、委任情報の登録の利便性、正確性を向上させることができる。
【0025】
<委任処理システム1の機能構成の説明>
図4は、委任情報設定システム20の機能構成例を示したブロック図である。
図示するように、委任情報設定システム20は、委任情報設定要求受付部201と、委任者設定部202と、委任内容設定部203と、受任者設定部204と、委任条件設定部205と、委任情報登録部206と、委任情報登録管理ストア設定部207と、委任情報確認部208と、復委任設定部209と、委任情報登録管理ストア210とを備える。
委任情報設定要求受付部201は、委任情報登録者から委任情報を設定する要求である委任情報設定要求を受け付ける。
委任者設定部202は、委任者候補条件を算出し、認証・認可サーバ30のアカウント管理テーブル311(図5参照)からユーザ情報を取得する。委任者候補条件は、委任者候補になるための条件である。そして、委任者設定部202は、委任者候補条件とユーザ情報とから委任者の候補である委任者候補を求め、委任者候補を委任情報登録者に対し提示する。そして委任情報登録者が、委任者候補の中から委任者を選択する入力を行うと、委任者設定部202は、これを回答として取得する。
委任内容設定部203は、委任内容候補条件を算出し、委任情報登録管理ストア210の委任内容テーブル211から委任内容候補情報を取得する。委任内容候補条件は、委任内容候補を抽出するための条件である。そして、委任内容設定部203は、選択された委任者が有する権限から委任内容候補を求め、委任内容候補を委任情報登録者に対し提示する。委任者が有する権限は、選択された委任者がもつ属性情報から取得できる。そして委任情報登録者が、委任内容候補の中から委任内容を選択する入力を行うと、委任内容設定部203は、これを回答として取得する。
受任者設定部204は、受任者候補条件を算出し、認証・認可サーバ30のアカウント管理テーブル311からユーザ情報を取得する。受任者候補条件は、受任者候補になるための条件である。そして、受任者候補条件とユーザ情報とから受任者の候補である受任者候補を求め、受任者候補を委任情報登録者に対し提示する。そして委任情報登録者が、受任者候補の中から受任者を選択する入力を行うと、受任者設定部204は、これを回答として取得する。
委任条件設定部205は、委任者が受任者の条件として定める委任条件の候補である委任条件候補を委任条件テーブル212から取得する。そして、委任情報登録者に委任条件候補を提示する。そして委任情報登録者が、委任条件候補の中から委任条件を選択する入力を行うと、委任条件設定部205は、これを回答として取得する。
図4は、委任情報設定システム20の機能構成例を示したブロック図である。
図示するように、委任情報設定システム20は、委任情報設定要求受付部201と、委任者設定部202と、委任内容設定部203と、受任者設定部204と、委任条件設定部205と、委任情報登録部206と、委任情報登録管理ストア設定部207と、委任情報確認部208と、復委任設定部209と、委任情報登録管理ストア210とを備える。
委任情報設定要求受付部201は、委任情報登録者から委任情報を設定する要求である委任情報設定要求を受け付ける。
委任者設定部202は、委任者候補条件を算出し、認証・認可サーバ30のアカウント管理テーブル311(図5参照)からユーザ情報を取得する。委任者候補条件は、委任者候補になるための条件である。そして、委任者設定部202は、委任者候補条件とユーザ情報とから委任者の候補である委任者候補を求め、委任者候補を委任情報登録者に対し提示する。そして委任情報登録者が、委任者候補の中から委任者を選択する入力を行うと、委任者設定部202は、これを回答として取得する。
委任内容設定部203は、委任内容候補条件を算出し、委任情報登録管理ストア210の委任内容テーブル211から委任内容候補情報を取得する。委任内容候補条件は、委任内容候補を抽出するための条件である。そして、委任内容設定部203は、選択された委任者が有する権限から委任内容候補を求め、委任内容候補を委任情報登録者に対し提示する。委任者が有する権限は、選択された委任者がもつ属性情報から取得できる。そして委任情報登録者が、委任内容候補の中から委任内容を選択する入力を行うと、委任内容設定部203は、これを回答として取得する。
受任者設定部204は、受任者候補条件を算出し、認証・認可サーバ30のアカウント管理テーブル311からユーザ情報を取得する。受任者候補条件は、受任者候補になるための条件である。そして、受任者候補条件とユーザ情報とから受任者の候補である受任者候補を求め、受任者候補を委任情報登録者に対し提示する。そして委任情報登録者が、受任者候補の中から受任者を選択する入力を行うと、受任者設定部204は、これを回答として取得する。
委任条件設定部205は、委任者が受任者の条件として定める委任条件の候補である委任条件候補を委任条件テーブル212から取得する。そして、委任情報登録者に委任条件候補を提示する。そして委任情報登録者が、委任条件候補の中から委任条件を選択する入力を行うと、委任条件設定部205は、これを回答として取得する。
【0026】
委任情報登録部206は、認証・認可サーバ30に対し委任情報を登録する要求および委任情報を送る。本実施の形態では、委任情報は、委任者、委任内容、受任者および委任者が所有するリソースおよび委任条件の情報を含む。いわば委任情報は、「委任者」が「受任者」に、「委任条件」のもと、「委任者が所有するリソース」に対して「処理内容」を許すための情報である。なお委任内容によっては、委任者が所有するリソースが不要である場合もある。
委任情報登録管理ストア設定部207は、委任情報登録者に対して、委任情報登録管理ストア210内の、委任内容テーブル211および委任条件テーブル212内のデータの編集を行う機能を提供する。
委任情報確認部208は、認証・認可サーバ30の委任情報設定部302(図5参照)に委任情報を取得する要求を送り、取得した委任情報を委任情報登録者に提示する。また、委任情報確認部208は、委任情報の設定要求や復委任の設定要求を受け付ける。
復委任設定部209は、受任者から復受任者へ復委任するときに、復受任者を設定する。
委任情報登録管理ストア210は、委任内容テーブル211と、委任条件テーブル212とを備える。
委任内容テーブル211は、委任される処理内容である委任内容に対する、委任者の条件および受任者の条件を格納する。
委任条件テーブル212は、委任条件の条件内容を格納する。
委任情報登録管理ストア設定部207は、委任情報登録者に対して、委任情報登録管理ストア210内の、委任内容テーブル211および委任条件テーブル212内のデータの編集を行う機能を提供する。
委任情報確認部208は、認証・認可サーバ30の委任情報設定部302(図5参照)に委任情報を取得する要求を送り、取得した委任情報を委任情報登録者に提示する。また、委任情報確認部208は、委任情報の設定要求や復委任の設定要求を受け付ける。
復委任設定部209は、受任者から復受任者へ復委任するときに、復受任者を設定する。
委任情報登録管理ストア210は、委任内容テーブル211と、委任条件テーブル212とを備える。
委任内容テーブル211は、委任される処理内容である委任内容に対する、委任者の条件および受任者の条件を格納する。
委任条件テーブル212は、委任条件の条件内容を格納する。
【0027】
図5は、認証・認可サーバ30の機能構成例を示したブロック図である。
図示するように、認証・認可サーバ30は、ユーザ情報管理ストア設定部301と、委任情報設定部302と、認証認可部303と、ユーザ情報管理ストア310とを備える。
ユーザ情報管理ストア設定部301は、ユーザ情報管理ストア310のアカウント管理テーブル311および委任情報管理テーブル312に格納されるデータを設定する。
委任情報設定部302は、委任情報設定システム20から委任情報の登録の要求があったときに、委任情報をユーザ情報管理ストア310の委任情報管理テーブル312に設定する。
認証認可部303は、アプリケーションサーバ50からの認証や認可の要求を受け付け、アカウント管理テーブル311、委任情報管理テーブル312に格納されているデータからユーザの認証や認可を行い、その結果をトークンとして返却する。
ユーザ情報管理ストア310は、アカウント管理テーブル311と、委任情報管理テーブル312とを備える。
アカウント管理テーブル311は、委任処理システム1を利用するユーザの情報であるユーザ情報を格納する。ユーザ情報は、ユーザ名やユーザ名に紐付けされたユーザの属性等からなる。委任者や受任者は、アカウント管理テーブル311にユーザ情報が格納されたユーザの中から選択される。
委任情報管理テーブル312は、委任情報設定システム20から送られる委任情報を格納する。
図示するように、認証・認可サーバ30は、ユーザ情報管理ストア設定部301と、委任情報設定部302と、認証認可部303と、ユーザ情報管理ストア310とを備える。
ユーザ情報管理ストア設定部301は、ユーザ情報管理ストア310のアカウント管理テーブル311および委任情報管理テーブル312に格納されるデータを設定する。
委任情報設定部302は、委任情報設定システム20から委任情報の登録の要求があったときに、委任情報をユーザ情報管理ストア310の委任情報管理テーブル312に設定する。
認証認可部303は、アプリケーションサーバ50からの認証や認可の要求を受け付け、アカウント管理テーブル311、委任情報管理テーブル312に格納されているデータからユーザの認証や認可を行い、その結果をトークンとして返却する。
ユーザ情報管理ストア310は、アカウント管理テーブル311と、委任情報管理テーブル312とを備える。
アカウント管理テーブル311は、委任処理システム1を利用するユーザの情報であるユーザ情報を格納する。ユーザ情報は、ユーザ名やユーザ名に紐付けされたユーザの属性等からなる。委任者や受任者は、アカウント管理テーブル311にユーザ情報が格納されたユーザの中から選択される。
委任情報管理テーブル312は、委任情報設定システム20から送られる委任情報を格納する。
【0028】
図6は、リソースサーバ40の機能構成例を示したブロック図である。
図示するように、リソースサーバ40は、委任情報確認部401と、リソース管理部402と、処理実行部403と、リソース情報管理ストア410とを備える。
委任情報確認部401は、受任者がリソースサーバ40内のリソースを処理する要求をしたときに、委任情報を確認する。
リソース管理部402は、リソース情報管理ストア410に格納されるリソースの管理を行う。
処理実行部403は、委任情報に基づき、リソース情報管理ストア410に格納されるリソース用いた処理を実行する。
リソース情報管理ストア410は、リソース管理テーブル411を備える。リソース管理テーブル411は、リソース情報管理ストア410に格納されるソースを管理する。
図示するように、リソースサーバ40は、委任情報確認部401と、リソース管理部402と、処理実行部403と、リソース情報管理ストア410とを備える。
委任情報確認部401は、受任者がリソースサーバ40内のリソースを処理する要求をしたときに、委任情報を確認する。
リソース管理部402は、リソース情報管理ストア410に格納されるリソースの管理を行う。
処理実行部403は、委任情報に基づき、リソース情報管理ストア410に格納されるリソース用いた処理を実行する。
リソース情報管理ストア410は、リソース管理テーブル411を備える。リソース管理テーブル411は、リソース情報管理ストア410に格納されるソースを管理する。
【0029】
図7は、委任内容テーブル211のデータ構造について示した図である。
委任内容テーブル211は、委任内容、委任者の条件、委任者のリソース、受任者の条件の各項目からなる。
委任内容は、上述した委任を行う内容である。委任者の条件は、委任内容に必要とされる委任者の条件である。委任者のリソースは、委任内容を実行するのに必要とされる委任者が所有するリソースである。リソースは、委任者が業務を行うのに必要とされる要素ということもできる。受任者の条件は、委任内容に対して必要とされる受任者の条件である。ここでは、委任内容が、「署名鍵の利用」の場合に、委任者の条件が、「署名鍵を有する」ことであり、委任者のリソースが、「署名鍵」であることを示している。また、委任内容が、「署名鍵の利用」の場合に、受任者の条件が、「〇〇資格有」であることを示している。
委任内容テーブル211は、委任内容、委任者の条件、委任者のリソース、受任者の条件の各項目からなる。
委任内容は、上述した委任を行う内容である。委任者の条件は、委任内容に必要とされる委任者の条件である。委任者のリソースは、委任内容を実行するのに必要とされる委任者が所有するリソースである。リソースは、委任者が業務を行うのに必要とされる要素ということもできる。受任者の条件は、委任内容に対して必要とされる受任者の条件である。ここでは、委任内容が、「署名鍵の利用」の場合に、委任者の条件が、「署名鍵を有する」ことであり、委任者のリソースが、「署名鍵」であることを示している。また、委任内容が、「署名鍵の利用」の場合に、受任者の条件が、「〇〇資格有」であることを示している。
【0030】
図8は、委任条件テーブル212のデータ構造について示した図である。
委任条件テーブル212は、予め定められた条件内容からなる。ここでは、条件内容が、「同一部署内」、「職位:□□以上」が、条件内容として予め用意されている。
委任条件テーブル212は、予め定められた条件内容からなる。ここでは、条件内容が、「同一部署内」、「職位:□□以上」が、条件内容として予め用意されている。
【0031】
図9は、アカウント管理テーブル311のデータ構造について示した図である。
アカウント管理テーブル311は、ユーザ情報を格納する。アカウント管理テーブル311は、ユーザ名、PW、属性1:部署、属性2:役職、属性3:リソース、属性4:保有資格の各項目からなる。
ユーザ名は、ユーザの名前やIDである。PWは、認証を行うパスワードである。属性1:部署、属性2:役職、属性3:リソース、属性4:保有資格は、ユーザに対する属性情報であり、それぞれユーザの属する部署、ユーザの役職、ユーザが所有するリソース、ユーザの保有資格である。
アカウント管理テーブル311は、ユーザ情報を格納する。アカウント管理テーブル311は、ユーザ名、PW、属性1:部署、属性2:役職、属性3:リソース、属性4:保有資格の各項目からなる。
ユーザ名は、ユーザの名前やIDである。PWは、認証を行うパスワードである。属性1:部署、属性2:役職、属性3:リソース、属性4:保有資格は、ユーザに対する属性情報であり、それぞれユーザの属する部署、ユーザの役職、ユーザが所有するリソース、ユーザの保有資格である。
【0032】
図10は、委任情報管理テーブル312のデータ構造について示した図である。
委任情報管理テーブル312は、委任者、委任内容、リソース、委任権限、受任者、委任条件、委任情報登録者の各項目からなる。
このうち、委任者、委任内容、受任者、委任情報登録者は、上述した通りである。また、リソースは、委任者のリソースであり、委任権限は、委任する権限である。
委任情報管理テーブル312は、委任者、委任内容、リソース、委任権限、受任者、委任条件、委任情報登録者の各項目からなる。
このうち、委任者、委任内容、受任者、委任情報登録者は、上述した通りである。また、リソースは、委任者のリソースであり、委任権限は、委任する権限である。
【0033】
<委任情報設定システム20の動作の詳細説明>
次に、委任情報設定システム20の動作の詳細説明を行う。委任情報設定システム20は、以下の処理1~処理3の処理を順に行う。
次に、委任情報設定システム20の動作の詳細説明を行う。委任情報設定システム20は、以下の処理1~処理3の処理を順に行う。
【0034】
(処理1)
委任情報設定要求受付部201、委任者設定部202、委任内容設定部203および受任者設定部204が、予め用意されたユーザ情報などに基づき、機械的に算出できる委任情報の候補から委任情報を設定する。処理1では、委任情報のうち、委任者、委任内容、受任者および委任者の所有するリソースを設定する。実際の処理としては、委任情報設定システム20と委任情報登録者との対話形式によりこれらの委任情報を設定する。即ち、ユーザ情報などに基づく入力候補の絞り込み→入力候補の提示→委任情報登録者の入力(回答)の型式で、これらの委任情報を設定する。
委任情報設定要求受付部201、委任者設定部202、委任内容設定部203および受任者設定部204が、予め用意されたユーザ情報などに基づき、機械的に算出できる委任情報の候補から委任情報を設定する。処理1では、委任情報のうち、委任者、委任内容、受任者および委任者の所有するリソースを設定する。実際の処理としては、委任情報設定システム20と委任情報登録者との対話形式によりこれらの委任情報を設定する。即ち、ユーザ情報などに基づく入力候補の絞り込み→入力候補の提示→委任情報登録者の入力(回答)の型式で、これらの委任情報を設定する。
【0035】
(処理2)
委任条件設定部205が、ユーザ情報などに基づいては機械的に算出できない委任情報を設定する。処理2では、委任情報のうち、委任条件を設定する。ここでも実際の処理としては、委任情報設定システム20と委任情報登録者との対話形式によりこの委任情報を設定する。即ち、委任条件の絞り込み→入力候補の提示→委任情報登録者の入力(回答)の型式で、委任条件を設定する。
委任条件設定部205が、ユーザ情報などに基づいては機械的に算出できない委任情報を設定する。処理2では、委任情報のうち、委任条件を設定する。ここでも実際の処理としては、委任情報設定システム20と委任情報登録者との対話形式によりこの委任情報を設定する。即ち、委任条件の絞り込み→入力候補の提示→委任情報登録者の入力(回答)の型式で、委任条件を設定する。
【0036】
(処理3)
委任情報登録部206が、設定した委任情報を、認証・認可サーバ30の委任情報管理テーブル312に登録する。
委任情報登録部206が、設定した委任情報を、認証・認可サーバ30の委任情報管理テーブル312に登録する。
【0037】
図11は、処理1~3の全体的な動作について示した図である。また、図12は、処理1について示したシーケンス図である。
ここでは、委任情報登録者端末10(委任情報登録者)、委任情報設定システム20、認証・認可サーバ30の間の情報のやりとりを示している。
ここでは、委任情報登録者端末10(委任情報登録者)、委任情報設定システム20、認証・認可サーバ30の間の情報のやりとりを示している。
【0038】
以下、図11および図12を使用して、処理1について説明する。
まず、委任情報登録者が委任情報登録者端末10から、委任情報を設定する要求である委任情報設定要求を行う(S1201)。そして、委任情報設定要求受付部201が、委任情報設定要求を受け付ける(S1202)。
まず、委任情報登録者が委任情報登録者端末10から、委任情報を設定する要求である委任情報設定要求を行う(S1201)。そして、委任情報設定要求受付部201が、委任情報設定要求を受け付ける(S1202)。
【0039】
次に、委任者設定部202が、委任情報登録者が設定可能な委任者候補条件を算出する処理として、委任者候補条件算出処理を行う(S1203)。
委任情報登録者は、例えば、S1201で、委任情報登録者が行ったログイン者情報等から特定することができる。委任者候補条件は、例えば、委任情報登録者のユーザ情報から、同一の所属の人を設定可能な委任者とする条件である。また、委任者候補条件は、例えば、自分自身(委任情報登録者自身)のみを設定可能な委任者とする条件である。委任者候補条件は、委任者設定部202が、事前に設定を決めておいてもよいし、委任処理システム1内で、この設定候補についてテーブルをもっておき、委任者候補条件算出処理時に委任情報登録者がこのテーブルから選択してもよい。
委任情報登録者は、例えば、S1201で、委任情報登録者が行ったログイン者情報等から特定することができる。委任者候補条件は、例えば、委任情報登録者のユーザ情報から、同一の所属の人を設定可能な委任者とする条件である。また、委任者候補条件は、例えば、自分自身(委任情報登録者自身)のみを設定可能な委任者とする条件である。委任者候補条件は、委任者設定部202が、事前に設定を決めておいてもよいし、委任処理システム1内で、この設定候補についてテーブルをもっておき、委任者候補条件算出処理時に委任情報登録者がこのテーブルから選択してもよい。
【0040】
次に、委任者設定部202は、S1203で求めた委任者候補条件を有するユーザ情報(ユーザの属性情報を含む)を認証・認可サーバ30から取得する(S1204)。これは、S1203で求めた条件を有するユーザ情報を求めるクエリを認証・認可サーバ30に送り、認証・認可サーバ30は、該当するユーザ情報を返信することで行われる(S1205)。
ユーザ情報を受け取った委任者設定部202は、該当するユーザを、委任者候補として画面に提示する(S1206)。併せて委任者設定部202は、委任者候補の選択画面を提示し、委任情報登録者は、委任者候補の中から委任者を選択して入力をする(S1207)。この際、委任者設定部202は、委任者候補の氏名のみを画面に提示してもよく、属性情報の一部(例えば、所属)も併せて画面に提示してもよい。
S1203~S1207により、委任者設定部202は、委任者を設定することができる。
ユーザ情報を受け取った委任者設定部202は、該当するユーザを、委任者候補として画面に提示する(S1206)。併せて委任者設定部202は、委任者候補の選択画面を提示し、委任情報登録者は、委任者候補の中から委任者を選択して入力をする(S1207)。この際、委任者設定部202は、委任者候補の氏名のみを画面に提示してもよく、属性情報の一部(例えば、所属)も併せて画面に提示してもよい。
S1203~S1207により、委任者設定部202は、委任者を設定することができる。
【0041】
次に、委任内容設定部203が、委任者設定部202が選択した委任者がもつ属性情報から、委任内容候補条件を算出する処理として、委任内容候補条件算出処理を行う(S1208)。ここでは委任内容候補条件は、委任者の有する権限である。
委任者が有する権限は、例えば、委任者設定部202で選択された委任者の属性情報(アカウント管理テーブル311から取得した情報)の属性値とする。また、委任者が有する権限は、例えば、委任処理システム1内で、属性値と権限の対応テーブルをもっておき、このテーブルと、委任者設定部202で選択された委任者の属性情報(カウント管理テーブルから取得した情報)の属性値とから、委任者が有する権限を取得してもよい。
委任者が有する権限は、例えば、委任者設定部202で選択された委任者の属性情報(アカウント管理テーブル311から取得した情報)の属性値とする。また、委任者が有する権限は、例えば、委任処理システム1内で、属性値と権限の対応テーブルをもっておき、このテーブルと、委任者設定部202で選択された委任者の属性情報(カウント管理テーブルから取得した情報)の属性値とから、委任者が有する権限を取得してもよい。
【0042】
次に、委任内容設定部203は、S1208で求めた委任者が有する権限から、設定可能な委任内容候補を委任内容テーブル211から取得する。これは、委任内容候補を求めるクエリを委任内容テーブル211に送り、委任内容テーブル211から該当するユーザ情報を取得することで行われる。またこれとともに、可能な委任者が所有するリソースの候補であるリソース候補を委任者のユーザ情報(アカウント管理テーブル311)から取得する(S1209)。
さらに、委任内容設定部203は、委任内容候補およびリソース候補を画面に提示する(S1210)。併せて委任内容設定部203は、委任内容候補およびリソース候補の選択画面を提示し、委任情報登録者は、これらの候補の中から委任内容およびリソースを選択して入力する(S1211)。
S1208~S1211により、委任内容設定部203は、委任内容および委任者が所有するリソースを設定することができる。
さらに、委任内容設定部203は、委任内容候補およびリソース候補を画面に提示する(S1210)。併せて委任内容設定部203は、委任内容候補およびリソース候補の選択画面を提示し、委任情報登録者は、これらの候補の中から委任内容およびリソースを選択して入力する(S1211)。
S1208~S1211により、委任内容設定部203は、委任内容および委任者が所有するリソースを設定することができる。
【0043】
次に、受任者設定部204が、委任内容設定部203が選択した委任内容から、受任者候補条件を算出する処理として、受任者候補条件算出処理を行う(S1212)。ここでは受任者候補条件は、受任者に要する権限である。
そして、受任者設定部204は、この権限を有するユーザのユーザ情報を、認証・認可サーバ30から取得する(S1213)。これは、S1212で求めた権限を有するユーザ情報を求めるクエリを認証・認可サーバ30に送り、認証・認可サーバ30は、該当するユーザ情報を返信することで行われる(S1214)。
ユーザ情報を受け取った受任者設定部204は、該当するユーザを、受任者候補として画面に提示する(S1215)。併せて受任者設定部204は、受任者候補の選択画面を提示し、委任情報登録者は、受任者候補の中から受任者を選択して入力する(S1216)。この際、受任者設定部204は、受任者候補の氏名のみを画面に提示してもよく、属性情報の一部(例えば、所属)も併せて画面に提示してもよい。
S1212~S1216により、受任者設定部204は、受任者を設定することができる。
そして、受任者設定部204は、この権限を有するユーザのユーザ情報を、認証・認可サーバ30から取得する(S1213)。これは、S1212で求めた権限を有するユーザ情報を求めるクエリを認証・認可サーバ30に送り、認証・認可サーバ30は、該当するユーザ情報を返信することで行われる(S1214)。
ユーザ情報を受け取った受任者設定部204は、該当するユーザを、受任者候補として画面に提示する(S1215)。併せて受任者設定部204は、受任者候補の選択画面を提示し、委任情報登録者は、受任者候補の中から受任者を選択して入力する(S1216)。この際、受任者設定部204は、受任者候補の氏名のみを画面に提示してもよく、属性情報の一部(例えば、所属)も併せて画面に提示してもよい。
S1212~S1216により、受任者設定部204は、受任者を設定することができる。
【0044】
委任者設定部202、委任内容設定部203および受任者設定部204は、委任者から受任者への委任をするときに、委任者および受任者のユーザ情報を基に決定可能であり、委任を行うための情報である委任情報の候補を、第1の入力候補として提示する第1の提示部として機能する。
【0045】
ここで、図11のS1206に示したように、第1の入力候補は、ユーザ情報を基に決められる委任者候補を含む。そして、図11のS1204~S1205に示したように、委任者候補は、ユーザ情報を基に、委任者候補になるための条件を満たすユーザが選択される。
【0046】
また、図11のS1210に示したように、第1の入力候補は、委任者候補の中から選択された委任者が有する権限を基に求められる、委任内容の候補である委任内容候補をさらに含む。
そして、図11のS1215に示したように、第1の入力候補は、委任内容候補の中から選択された委任内容から決められる受任者に要する権限を基に求められる、受任者の候補である受任者候補を含む。
そして、図11のS1215に示したように、第1の入力候補は、委任内容候補の中から選択された委任内容から決められる受任者に要する権限を基に求められる、受任者の候補である受任者候補を含む。
【0047】
図13(a)は、図12のS1208で、委任者が有する権限を、委任者の属性情報(アカウント管理テーブル311から取得した情報)の属性値にする場合について示した図である。
図13(a)は、図9で示したアカウント管理テーブル311である。ここでは、ユーザ名がA-1のユーザが委任者として設定された場合を示している。そして、委任者であるユーザA-1の権限を、アカウント管理テーブル311の属性値である属性3とする場合を示している。この場合、属性3は所有リソースであり、ユーザA-1の場合、「署名鍵(A-1)」である。
図13(a)は、図9で示したアカウント管理テーブル311である。ここでは、ユーザ名がA-1のユーザが委任者として設定された場合を示している。そして、委任者であるユーザA-1の権限を、アカウント管理テーブル311の属性値である属性3とする場合を示している。この場合、属性3は所有リソースであり、ユーザA-1の場合、「署名鍵(A-1)」である。
【0048】
図13(b)は、図12のS1209で、委任者が有する権限から、委任内容候補およびリソース候補を取得する処理について示した図である。
図13(b)は、図7で示した委任内容テーブル211を基に作成したテーブルである。ここでは、委任内容が、「署名鍵の利用」のときに、委任者の条件が、「署名鍵を有する」であり、委任者の所有リソースが、「署名鍵」であることを示す。
図13(b)は、図7で示した委任内容テーブル211を基に作成したテーブルである。ここでは、委任内容が、「署名鍵の利用」のときに、委任者の条件が、「署名鍵を有する」であり、委任者の所有リソースが、「署名鍵」であることを示す。
【0049】
委任内容設定部203は、ユーザA-1が有する権限を、アカウント管理テーブル311から、「署名鍵(A-1)」とし、これから、設定可能な委任内容候補を、委任内容テーブル211の中の「署名鍵の利用」とする。また、委任内容設定部203は、委任内容テーブル211により、委任者の条件が、「署名鍵を有する」であり、委任者の所有リソースが、「署名鍵」であることから、リソース候補を、アカウント管理テーブル311中の「署名鍵(A-1)」とする。図13(c)では、委任内容候補やリソース候補を取得した結果を示している。
【0050】
このように、委任内容候補は、委任者候補の中から選択された委任者の所有するリソースを基に求められる。
この場合、第1の入力候補は、委任内容候補から求められる、委任者のリソース候補を含む、と言うことができる。
この場合、第1の入力候補は、委任内容候補から求められる、委任者のリソース候補を含む、と言うことができる。
【0051】
図14は、図12のS1212の受任者候補条件算出処理について示した図である。
図14は、図13(b)と同様の図であり、委任内容テーブル211を基に作成したテーブルである。受任者設定部204は、委任内容テーブル211の受任者の条件を受任者に要する権限とする。ここでは、「〇〇資格有」を受任者に要する権限としたことを示す。
図14は、図13(b)と同様の図であり、委任内容テーブル211を基に作成したテーブルである。受任者設定部204は、委任内容テーブル211の受任者の条件を受任者に要する権限とする。ここでは、「〇〇資格有」を受任者に要する権限としたことを示す。
【0052】
図15は、処理2、3について示したシーケンス図である。
ここでは、図12と同様に、委任情報登録者端末10(委任情報登録者)、委任情報設定システム20、認証・認可サーバ30の間の情報のやりとりを示している。
ここでは、図12と同様に、委任情報登録者端末10(委任情報登録者)、委任情報設定システム20、認証・認可サーバ30の間の情報のやりとりを示している。
【0053】
以下、図11および図15を使用して、処理2、3について説明する。
まず、委任条件設定部205は、委任情報登録者が設定可能な委任条件候補を委任条件テーブル212から取得する(委任条件情報取得)(S1501)。即ち、委任条件候補は、委任者が設定可能なものが選ばれる。これは、委任条件候補を求めるクエリを委任条件テーブル212に送り、委任条件テーブル212から該当するユーザ情報を取得することで行われる。
次に、委任条件設定部205は、取得した委任条件候補を画面に提示する(委任条件情報提示)(S1502)。併せて委任条件設定部205は、委任条件候補の選択画面を提示し、委任情報登録者は、委任条件候補の中から委任条件を選択して入力する(S1503)。この際、委任条件設定部205は、選択肢を提示して委任情報登録者が選択する形でもよく、選択肢に関連する情報(数値等)を委任情報登録者が入力してもよい。前者は、例えば、勤続年数が指定数以上のものを選択する場合、後者は、勤続年数を入力する場合などが該当する。
そして、委任条件設定部205は、委任条件を受任者が満たしていることを受任者の属性情報から検証する(S1504)。
S1501~S1504により、委任条件設定部205は、処理2を行い、委任条件を設定することができる。
まず、委任条件設定部205は、委任情報登録者が設定可能な委任条件候補を委任条件テーブル212から取得する(委任条件情報取得)(S1501)。即ち、委任条件候補は、委任者が設定可能なものが選ばれる。これは、委任条件候補を求めるクエリを委任条件テーブル212に送り、委任条件テーブル212から該当するユーザ情報を取得することで行われる。
次に、委任条件設定部205は、取得した委任条件候補を画面に提示する(委任条件情報提示)(S1502)。併せて委任条件設定部205は、委任条件候補の選択画面を提示し、委任情報登録者は、委任条件候補の中から委任条件を選択して入力する(S1503)。この際、委任条件設定部205は、選択肢を提示して委任情報登録者が選択する形でもよく、選択肢に関連する情報(数値等)を委任情報登録者が入力してもよい。前者は、例えば、勤続年数が指定数以上のものを選択する場合、後者は、勤続年数を入力する場合などが該当する。
そして、委任条件設定部205は、委任条件を受任者が満たしていることを受任者の属性情報から検証する(S1504)。
S1501~S1504により、委任条件設定部205は、処理2を行い、委任条件を設定することができる。
【0054】
次に、委任情報登録部206は、処理1、2により取得した委任情報を画面に提示する(S1505)。
委任情報登録者は、委任情報について確認し、承認する(S1506)。なお、不承認の場合は、処理1からやり直す。
委任情報登録部206は、登録される委任情報を提示するとともに、委任情報登録者が委任情報を承認したら委任情報を認証・認可サーバ30に送る(S1507)。
そして、認証・認可サーバ30は、委任情報を、委任情報管理テーブル312に登録する(S1508)。
S1505~S1508により、委任情報登録部206は、処理3を行い、認証・認可サーバ30に委任情報を登録することができる。
委任情報登録者は、委任情報について確認し、承認する(S1506)。なお、不承認の場合は、処理1からやり直す。
委任情報登録部206は、登録される委任情報を提示するとともに、委任情報登録者が委任情報を承認したら委任情報を認証・認可サーバ30に送る(S1507)。
そして、認証・認可サーバ30は、委任情報を、委任情報管理テーブル312に登録する(S1508)。
S1505~S1508により、委任情報登録部206は、処理3を行い、認証・認可サーバ30に委任情報を登録することができる。
【0055】
委任条件設定部205は、第1の入力候補以外についての委任情報の候補であり、委任者が受任者の条件として定める委任条件の候補である委任条件候補を、第2の入力候補として提示する第2の提示部として機能する。
また、図15のS1504に示したように、委任条件設定部205は、委任条件候補の中から選択された委任条件を受任者が満たしているか否かを検証する。
そして、委任情報登録部206は、第1の入力候補および第2の入力候補から選択される委任情報を登録する。
また、図15のS1504に示したように、委任条件設定部205は、委任条件候補の中から選択された委任条件を受任者が満たしているか否かを検証する。
そして、委任情報登録部206は、第1の入力候補および第2の入力候補から選択される委任情報を登録する。
【0056】
<UI(User Interface)の説明>
次に、処理1~3で、委任情報登録者が、委任情報登録者端末10を使用して委任情報を設定する際のUIについて説明する。
図16は、図12のS1201で、委任情報登録者が委任情報設定要求を行うときに表示される画面である。
図示する画面は、いわゆるホーム画面である。この画面では、委任情報を新規登録するボタンBt1および委任情報の確認・変更・削除するボタンBt2が表示される。委任情報登録者がボタンBt1を押下すると、S1202以降の処理が開始される。
次に、処理1~3で、委任情報登録者が、委任情報登録者端末10を使用して委任情報を設定する際のUIについて説明する。
図16は、図12のS1201で、委任情報登録者が委任情報設定要求を行うときに表示される画面である。
図示する画面は、いわゆるホーム画面である。この画面では、委任情報を新規登録するボタンBt1および委任情報の確認・変更・削除するボタンBt2が表示される。委任情報登録者がボタンBt1を押下すると、S1202以降の処理が開始される。
【0057】
図17は、図12のS1206~S1207で、委任者候補を画面に提示するとともに、委任情報登録者が、委任者候補の中から委任者を選択して入力する画面を示している。
図示する画面では、プルダウンメニューPm1が表示され、委任者候補として、ユーザ名がA-1~A-4のユーザが表示されたことを示している。そして、例えば、委任情報登録者が、ユーザA-1を選択し、OKボタンBt3を押下すると、ユーザA-1が選択され入力されたことになる。
図示する画面では、プルダウンメニューPm1が表示され、委任者候補として、ユーザ名がA-1~A-4のユーザが表示されたことを示している。そして、例えば、委任情報登録者が、ユーザA-1を選択し、OKボタンBt3を押下すると、ユーザA-1が選択され入力されたことになる。
【0058】
図18は、図12のS1210~S1211で、委任内容候補を画面に提示するとともに、委任情報登録者が、委任内容候補の中から委任内容を選択して入力をする画面を示している。
図示する画面では、プルダウンメニューPm2が表示され、委任内容候補として、「署名鍵を使う」、「署名鍵を参照する」が表示されたことを示している。そして、例えば、委任情報登録者が、「署名鍵を使う」、を選択し、OKボタンBt4を押下すると、「署名鍵を使う」が選択され入力されたことになる。
図示する画面では、プルダウンメニューPm2が表示され、委任内容候補として、「署名鍵を使う」、「署名鍵を参照する」が表示されたことを示している。そして、例えば、委任情報登録者が、「署名鍵を使う」、を選択し、OKボタンBt4を押下すると、「署名鍵を使う」が選択され入力されたことになる。
【0059】
図19は、図12のS1210~S1211で、リソース候補を画面に提示するとともに、委任情報登録者が、リソース候補の中からリソースを選択して入力をする画面を示している。
図示する画面では、プルダウンメニューPm3が表示され、リソース候補として、「署名鍵(A-1)」が表示されたことを示している。そして、例えば、委任情報登録者が、「署名鍵(A-1)」、を選択し、OKボタンBt5を押下すると、「署名鍵(A-1)」が選択され入力されたことになる。
図示する画面では、プルダウンメニューPm3が表示され、リソース候補として、「署名鍵(A-1)」が表示されたことを示している。そして、例えば、委任情報登録者が、「署名鍵(A-1)」、を選択し、OKボタンBt5を押下すると、「署名鍵(A-1)」が選択され入力されたことになる。
【0060】
図20は、図12のS1215~S1216で、受任者候補を画面に提示するとともに、委任情報登録者が、受任者候補の中から受任者を選択して入力をする画面を示している。
図示する画面では、プルダウンメニューPm4が表示され、受任者候補として、ユーザ名がB-1~B-4のユーザが表示されたことを示している。そして、例えば、委任情報登録者が、ユーザB-1を選択し、OKボタンBt6を押下すると、ユーザB-1が選択され入力されたことになる。
図示する画面では、プルダウンメニューPm4が表示され、受任者候補として、ユーザ名がB-1~B-4のユーザが表示されたことを示している。そして、例えば、委任情報登録者が、ユーザB-1を選択し、OKボタンBt6を押下すると、ユーザB-1が選択され入力されたことになる。
【0061】
なお、処理1の終了時に設定内容を一時保存し、別の委任情報登録者に、委任情報登録依頼を出し、処理2から実行してもらってもよい。これは、例えば、処理1はシステム管理者が行い、処理2以降は委任者自身により行うなどの場合である。
図21は、この場合について示した図であり、図20までで設定した内容を基本情報として一時保存する画面を示している。
図示する画面では、ダイヤログボックスDb1が表示され、「上記内容で基本情報を登録しますか?」のメッセージに対し、OKボタンBt7を押下すると、基本情報が登録される。
図21は、この場合について示した図であり、図20までで設定した内容を基本情報として一時保存する画面を示している。
図示する画面では、ダイヤログボックスDb1が表示され、「上記内容で基本情報を登録しますか?」のメッセージに対し、OKボタンBt7を押下すると、基本情報が登録される。
【0062】
図22は、図15のS1502~S1503で、委任条件候補を画面に提示するとともに、委任情報登録者が、委任条件候補の中から委任条件を選択して入力をする画面を示している。
図示する画面では、プルダウンメニューPm5が表示され、委任条件候補として、「同一部署内」、「職位:□□以上」が表示されたことを示している。そして、例えば、委任情報登録者が、「同一部署内」、を選択し、OKボタンBt8を押下すると、「同一部署内」が選択され入力されたことになる。
図示する画面では、プルダウンメニューPm5が表示され、委任条件候補として、「同一部署内」、「職位:□□以上」が表示されたことを示している。そして、例えば、委任情報登録者が、「同一部署内」、を選択し、OKボタンBt8を押下すると、「同一部署内」が選択され入力されたことになる。
【0063】
図23は、図15のS1506で、委任情報登録者が、委任情報について確認し、承認する画面を示している。
図示する画面では、ダイヤログボックスDb2が表示され、「上記内容で委任情報を登録しますか?」のメッセージに対し、OKボタンBt9を押下すると、委任情報が登録される。
図示する画面では、ダイヤログボックスDb2が表示され、「上記内容で委任情報を登録しますか?」のメッセージに対し、OKボタンBt9を押下すると、委任情報が登録される。
【0064】
【0065】
図25は、登録される委任情報について示した図である。
ここでは、委任者がユーザA-1、受任者がユーザB-1、登録者(委任情報登録者)が、ユーザC-1、委任内容が「署名鍵を使う」、リソース(委任者が所有するリソース)が「署名鍵(A-1)」、委任条件が「同一部署内」で、委任情報が登録されたことを示している。
ここでは、委任者がユーザA-1、受任者がユーザB-1、登録者(委任情報登録者)が、ユーザC-1、委任内容が「署名鍵を使う」、リソース(委任者が所有するリソース)が「署名鍵(A-1)」、委任条件が「同一部署内」で、委任情報が登録されたことを示している。
【0066】
<変形例>
次に、上述した委任情報設定システム20の変形例について説明する。
変形例では、委任者から受任者に委任することができるだけでなく、受任者から復受任者にさらに復委任をすることができる。
次に、上述した委任情報設定システム20の変形例について説明する。
変形例では、委任者から受任者に委任することができるだけでなく、受任者から復受任者にさらに復委任をすることができる。
【0067】
図26は、復委任について説明した図である。
まず、委任者が受任者に委任(委任[1次])を行う。この委任(委任[1次])は、上述した方法により行うことができる。
一方、本実施の形態では、受任者が復受任者に復委任(委任[2次])を行うことができる。なお復受任者にさらに別の復受任者に復委任(委任[3次])を行うことも考えられる。即ち、復委任は、何度でも行うことが考えられる。図26では、n回委任を行った場合を復委任(委任[n次])として図示している。
しかしながら、復委任を行う場合、意図していない人に委任が行われる可能性がある。また、復受任者毎に委任の条件を追加したい場合がある。よって、本実施の形態では、前者に対しては、委任情報に設定される条件の範囲を、復委任が行われる度に同じまたは小さくする。即ち、復委任の際に委任情報に設定される条件の範囲を大きくすることはできない。また、後者に対しては、委任情報に設定される条件を追加可能にする。委任情報に設定される条件の範囲は、例えば、復委任回数の制限、職位等の復委任可能な範囲である。
まず、委任者が受任者に委任(委任[1次])を行う。この委任(委任[1次])は、上述した方法により行うことができる。
一方、本実施の形態では、受任者が復受任者に復委任(委任[2次])を行うことができる。なお復受任者にさらに別の復受任者に復委任(委任[3次])を行うことも考えられる。即ち、復委任は、何度でも行うことが考えられる。図26では、n回委任を行った場合を復委任(委任[n次])として図示している。
しかしながら、復委任を行う場合、意図していない人に委任が行われる可能性がある。また、復受任者毎に委任の条件を追加したい場合がある。よって、本実施の形態では、前者に対しては、委任情報に設定される条件の範囲を、復委任が行われる度に同じまたは小さくする。即ち、復委任の際に委任情報に設定される条件の範囲を大きくすることはできない。また、後者に対しては、委任情報に設定される条件を追加可能にする。委任情報に設定される条件の範囲は、例えば、復委任回数の制限、職位等の復委任可能な範囲である。
【0068】
図27(a)~(b)は、復委任をしたときの委任情報に設定される条件の範囲について示した図である。
このうち、図27(a)は、委任情報に設定される条件について示した図である。ここでは、委任者の委任情報に設定される条件を条件(1次)としている。また受任者の委任情報に設定される条件は、条件(1次)の他に条件(2次)を追加した場合を示している。さらに、受任者が復委任した復受任者の委任情報に設定される条件は、受任者と同様で、条件(1次)と条件(2次)であることを示している。
このとき、条件(2次)を追加する場合、上位の委任条件に関連する条件の場合、自分より上位の条件よりも広くとることはできない。これを検証する方法としては、職位のツリー構造から関係性を判定、資格情報のツリー構造から関係性を判定などの方法がある。図27(b)の左図は、この場合を示し、条件(2次)の範囲が条件(1次)の範囲よりも小さくなる場合を示している。また、条件(3次)を追加したときに、条件(3次)の範囲が条件(2次)の範囲よりも小さくなる場合を示している。なお、上位の委任条件に関連しない場合は、図27(b)の右図に示すように、このような拘束に縛られることなく条件を追加可能である。
このうち、図27(a)は、委任情報に設定される条件について示した図である。ここでは、委任者の委任情報に設定される条件を条件(1次)としている。また受任者の委任情報に設定される条件は、条件(1次)の他に条件(2次)を追加した場合を示している。さらに、受任者が復委任した復受任者の委任情報に設定される条件は、受任者と同様で、条件(1次)と条件(2次)であることを示している。
このとき、条件(2次)を追加する場合、上位の委任条件に関連する条件の場合、自分より上位の条件よりも広くとることはできない。これを検証する方法としては、職位のツリー構造から関係性を判定、資格情報のツリー構造から関係性を判定などの方法がある。図27(b)の左図は、この場合を示し、条件(2次)の範囲が条件(1次)の範囲よりも小さくなる場合を示している。また、条件(3次)を追加したときに、条件(3次)の範囲が条件(2次)の範囲よりも小さくなる場合を示している。なお、上位の委任条件に関連しない場合は、図27(b)の右図に示すように、このような拘束に縛られることなく条件を追加可能である。
【0069】
図28は、復委任を行う際の委任情報設定システム20の動作を示した図である。また、図29は、復委任を行うときの処理について示したシーケンス図である。
まず、委任情報登録者が委任情報登録者端末10から、委任情報を設定する要求である委任情報設定要求を行う(S2901)。そして、委任情報設定要求受付部201が、委任情報設定要求を受け付ける(S2902)。
次に、復委任設定部209は、委任情報登録者が設定可能な復受任者候補条件を算出する処理として、復受任者候補条件算出処理を行う(S2903)。
次に、委任情報確認部208は、認証・認可サーバ30の委任情報設定部302に委任情報を認証・認可サーバ30から取得する(S2904)。これは、委任情報を求めるクエリを認証・認可サーバ30に送り、認証・認可サーバ30は、該当する委任情報を返信することで行われる(S2905)。なお、委任情報登録者は、例えば、受任者である。
まず、委任情報登録者が委任情報登録者端末10から、委任情報を設定する要求である委任情報設定要求を行う(S2901)。そして、委任情報設定要求受付部201が、委任情報設定要求を受け付ける(S2902)。
次に、復委任設定部209は、委任情報登録者が設定可能な復受任者候補条件を算出する処理として、復受任者候補条件算出処理を行う(S2903)。
次に、委任情報確認部208は、認証・認可サーバ30の委任情報設定部302に委任情報を認証・認可サーバ30から取得する(S2904)。これは、委任情報を求めるクエリを認証・認可サーバ30に送り、認証・認可サーバ30は、該当する委任情報を返信することで行われる(S2905)。なお、委任情報登録者は、例えば、受任者である。
【0070】
次に、復委任設定部209は、復受任者候補条件を有するユーザ情報を認証・認可サーバ30から取得する(S2906)。これは、復受任者候補条件を有するユーザ情報を求めるクエリを認証・認可サーバ30に送り、認証・認可サーバ30は、該当するユーザ情報を返信することで行われる(S2907)。
ユーザ情報を受け取った復委任設定部209は、該当するユーザを、復受任者候補として画面に提示する(S2908)。併せて復委任設定部209は、復受任者候補の選択画面を提示し、委任情報登録者は、復受任者候補の中から復受任者を選択して入力をする(S2909)。
以上の処理により、復受任者を設定することができる。
ユーザ情報を受け取った復委任設定部209は、該当するユーザを、復受任者候補として画面に提示する(S2908)。併せて復委任設定部209は、復受任者候補の選択画面を提示し、委任情報登録者は、復受任者候補の中から復受任者を選択して入力をする(S2909)。
以上の処理により、復受任者を設定することができる。
【0071】
次に、復委任設定部209は、委任情報の受任者を委任者にし、委任内容および委任条件はそのままにして委任情報とする(S2910)。
また、復委任設定部209は、この委任内容を入力とし、受任者設定部204を呼び出し、受任者(この場合、復受任者)を委任情報に設定する(S2911)。
さらに、復委任設定部209は、委任内容を入力として、委任条件設定部205を呼び出し、追加の委任条件を設定する(S2912)。
そして、これまで設定した委任情報を復委任情報の入力として、委任情報登録部206を呼び出し、復委任情報を登録する(S2913)。
S2903~S2913により、復委任設定部209は、認証・認可サーバ30に復受任者を登録することができる。
また、復委任設定部209は、この委任内容を入力とし、受任者設定部204を呼び出し、受任者(この場合、復受任者)を委任情報に設定する(S2911)。
さらに、復委任設定部209は、委任内容を入力として、委任条件設定部205を呼び出し、追加の委任条件を設定する(S2912)。
そして、これまで設定した委任情報を復委任情報の入力として、委任情報登録部206を呼び出し、復委任情報を登録する(S2913)。
S2903~S2913により、復委任設定部209は、認証・認可サーバ30に復受任者を登録することができる。
【0072】
<変形例のUIの説明>
次に、変形例で、委任情報登録者が、委任情報登録者端末10を使用して復委任情報を設定する際のUIについて説明する。
図30は、委任情報登録者が、復委任情報について確認し、承認する画面を示している。
この場合、図23で示したダイヤログボックスDb4が表示される。ダイヤログボックスDb4は、図23のダイヤログボックスDb2内の委任条件が復委任条件になること以外は、同様の図である。そして、「上記内容で復委任情報を登録しますか?」のメッセージに対し、OKボタンBt10を押下すると、委任情報が登録される。
次に、変形例で、委任情報登録者が、委任情報登録者端末10を使用して復委任情報を設定する際のUIについて説明する。
図30は、委任情報登録者が、復委任情報について確認し、承認する画面を示している。
この場合、図23で示したダイヤログボックスDb4が表示される。ダイヤログボックスDb4は、図23のダイヤログボックスDb2内の委任条件が復委任条件になること以外は、同様の図である。そして、「上記内容で復委任情報を登録しますか?」のメッセージに対し、OKボタンBt10を押下すると、委任情報が登録される。
【0073】
図31は、登録される復委任情報を提示する画面を示している。
この場合、図24で示したダイヤログボックスDb3が表示され、委任情報が表示される。さらにここでは、ダイヤログボックスDb5が表示され、登録される復委任情報が表示される。ここでは、委任者がユーザB-1、受任者がユーザD-1、登録者(委任情報登録者)が、ユーザC-1、委任内容が「署名鍵を使う」、リソース(委任者が所有するリソース)が「署名鍵(A-1)」、委任条件が「同一部署内」で、委任情報が登録されたことを示している。
この場合、図24で示したダイヤログボックスDb3が表示され、委任情報が表示される。さらにここでは、ダイヤログボックスDb5が表示され、登録される復委任情報が表示される。ここでは、委任者がユーザB-1、受任者がユーザD-1、登録者(委任情報登録者)が、ユーザC-1、委任内容が「署名鍵を使う」、リソース(委任者が所有するリソース)が「署名鍵(A-1)」、委任条件が「同一部署内」で、委任情報が登録されたことを示している。
【0074】
委任者、委任内容、受任者のそれぞれの情報は、独立した情報なのではなく、互いに関係がある。よって、これらの各情報を用いて、他の情報の入力候補を絞り込むことが可能である。本実施の形態では、委任情報設定システム20を使用し、委任者→委任内容→受任者と順序立てて登録することで、次の設定項目にて登録可能な候補を委任情報設定システム20側で絞り込み、委任情報登録者に提示し、委任者、委任内容、受任者を設定する。その結果、委任情報登録者の負担が小さくなり、委任情報をより簡単に登録することができる。また、委任情報登録者による委任情報設定ミスを抑制することができる。即ち、委任情報をより正確に登録することができる。さらに、委任情報登録者の意思を反映した委任情報を登録できるようになる。本実施の形態では、委任者→委任内容→受任者の順序による登録であったが、委任者、委任内容、受任者の登録の順序はこれに限定したものではなく、どの順序で登録を行ってもよい。そのとき、本実施の形態で述べた手順と同様に、前に登録した情報(委任者、委任内容、受任者)を用いて次に設定する情報(委任者、委任内容、受任者)の候補の絞り込みを行うことで、委任情報をより簡単に登録することができる。また、委任情報登録者による委任情報設定ミスを抑制することができる。即ち、委任情報をより正確に登録することができる。
そして、本実施の形態では、委任情報設定システム20は、処理1で、ユーザ情報などに基づき、機械的に算出できる委任情報として、上記の方法で委任者、委任内容、受任者を設定するが、処理2で、ユーザ情報などに基づき、機械的に算出できない委任情報として、委任条件を設定する。このように、処理1と処理2とを分け、委任情報を設定することで、委任情報登録者の意思を反映した委任情報を設定できる。
なお従来は、上記方法で、委任者、委任内容、受任者、受任条件を設定する方法はないのが現状である。
変形例によれば、復委任を行う場合、意図していない人に委任が行われる可能性が小さくなる。また、復受任者毎に委任の条件を追加することができる。
そして、本実施の形態では、委任情報設定システム20は、処理1で、ユーザ情報などに基づき、機械的に算出できる委任情報として、上記の方法で委任者、委任内容、受任者を設定するが、処理2で、ユーザ情報などに基づき、機械的に算出できない委任情報として、委任条件を設定する。このように、処理1と処理2とを分け、委任情報を設定することで、委任情報登録者の意思を反映した委任情報を設定できる。
なお従来は、上記方法で、委任者、委任内容、受任者、受任条件を設定する方法はないのが現状である。
変形例によれば、復委任を行う場合、意図していない人に委任が行われる可能性が小さくなる。また、復受任者毎に委任の条件を追加することができる。
【0075】
以上詳述した委任情報設定システム20、認証・認可サーバ30、リソースサーバ40は、別装置として記載しているが、何れか2つ以上を一体としてもよい。例えば、委任情報設定システム20を、認証・認可サーバ30やリソースサーバ40の中の機能として組み込むようにしてもよい。また、委任情報設定システム20、認証・認可サーバ30、リソースサーバ40の一部の機能を別装置として設けるようにしてもよい。
また、一度に登録できる委任者、受任者は単数であってもよいし複数であってもよい。委任者、受任者として、ユーザのグループを指定して登録してもよい。同様に、一度に登録できる委任内容はいくつであってもよい。同様に、委任条件は、いくつであってもよい。また、委任条件は、設定しなくてもよい。
また、一度に登録できる委任者、受任者は単数であってもよいし複数であってもよい。委任者、受任者として、ユーザのグループを指定して登録してもよい。同様に、一度に登録できる委任内容はいくつであってもよい。同様に、委任条件は、いくつであってもよい。また、委任条件は、設定しなくてもよい。
【0076】
<委任処理方法の説明>
以上説明を行った委任情報設定システム20が行う処理は、ソフトウェアとハードウェア資源とが協働することにより実現される。即ち、委任情報設定システム20に設けられたコンピュータ内部のプロセッサ101が、上述した各機能を実現するソフトウェアを主記憶装置102にロードして実行し、これらの各機能を実現させる。
よって、委任情報設定システム20が行う処理は、プロセッサがメモリに記録されたプログラムを実行することにより、委任者から受任者への委任をするときに、委任者および受任者のユーザ情報を基に決定可能であり、委任を行うための情報である委任情報の候補を、第1の入力候補として提示し、第1の入力候補以外についての委任情報の候補であり、委任者が受任者の条件として定める委任条件の候補である委任条件候補を、第2の入力候補として提示し、第1の入力候補および第2の入力候補から選択される委任情報を登録する、委任処理方法と捉えることができる。
以上説明を行った委任情報設定システム20が行う処理は、ソフトウェアとハードウェア資源とが協働することにより実現される。即ち、委任情報設定システム20に設けられたコンピュータ内部のプロセッサ101が、上述した各機能を実現するソフトウェアを主記憶装置102にロードして実行し、これらの各機能を実現させる。
よって、委任情報設定システム20が行う処理は、プロセッサがメモリに記録されたプログラムを実行することにより、委任者から受任者への委任をするときに、委任者および受任者のユーザ情報を基に決定可能であり、委任を行うための情報である委任情報の候補を、第1の入力候補として提示し、第1の入力候補以外についての委任情報の候補であり、委任者が受任者の条件として定める委任条件の候補である委任条件候補を、第2の入力候補として提示し、第1の入力候補および第2の入力候補から選択される委任情報を登録する、委任処理方法と捉えることができる。
【0077】
以上、本実施の形態について説明したが、本発明の技術的範囲は上記実施の形態に記載の範囲には限定されない。上記実施の形態に、種々の変更または改良を加えたものも、本発明の技術的範囲に含まれることは、特許請求の範囲の記載から明らかである。
【符号の説明】
【0078】
1…委任処理システム、10…委任情報登録者端末、20…委任情報設定システム、30…認証・認可サーバ、40…リソースサーバ、50…アプリケーションサーバ、201…委任情報設定要求受付部、202…委任者設定部、203…委任内容設定部、204…受任者設定部、205…委任条件設定部、206…委任情報登録部、207…委任情報登録管理ストア設定部、208…委任情報確認部、209…復委任設定部、210…委任情報登録管理ストア、211…委任内容テーブル、212…委任条件テーブル、311…アカウント管理テーブル、312…委任情報管理テーブル、411…リソース管理テーブル
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【図31】