ホーム > 特許ランキング > 日立ヴァンタラ株式会社
知財求人 - 知財ポータルサイト「IP Force」
特開2024-176914情報処理システム及び情報処理システムにおけるログ記録方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024176914
(43)【公開日】2024-12-19
(54)【発明の名称】情報処理システム及び情報処理システムにおけるログ記録方法
(51)【国際特許分類】
G06F 11/34 20060101AFI20241212BHJP
G06F 11/07 20060101ALI20241212BHJP
H04L 67/562 20220101ALI20241212BHJP
【FI】
G06F11/34 176
G06F11/07 140A
H04L67/562
【審査請求】有
【請求項の数】6
【出願形態】OL
(21)【出願番号】P 2023095786
(22)【出願日】2023-06-09
(71)【出願人】
【識別番号】524132520
【氏名又は名称】日立ヴァンタラ株式会社
(74)【代理人】
【識別番号】110002365
【氏名又は名称】弁理士法人サンネクスト国際特許事務所
(72)【発明者】
【氏名】兒玉 征之
(72)【発明者】
【氏名】早坂 光雄
【テーマコード(参考)】
5B042
【Fターム(参考)】
5B042MA08
5B042MC37
(57)【要約】
【課題】システム間のユーザ名重複を回避したうえで、ユーザの突合せをすることなく確認可能なログを生成する。
【解決手段】連携元システム101と連携する連携先システム102は、受付けたリクエストに含まれるユーザの識別情報に該当する連携元ユーザ名が連携先システムユーザ情報に存在する場合に、リクエストに含まれるユーザの識別情報を、連携先システムユーザ情報において連携元ユーザ名に対応するユーザIDへ変換する。そしてユーザIDを基にリクエストを処理し、ユーザIDに対応する連携元ユーザ名が連携先システムユーザ情報に存在するか否かを判定する。そしてユーザIDに対応する連携元ユーザ名が連携先システムユーザ情報に存在する場合に、ユーザIDを、連携先システムユーザ情報においてユーザIDに対応する連携元ユーザ名へ変換する。そしてユーザIDが変換された連携元ユーザ名を含むログを出力する。
【選択図】図7
【解決手段】連携元システム101と連携する連携先システム102は、受付けたリクエストに含まれるユーザの識別情報に該当する連携元ユーザ名が連携先システムユーザ情報に存在する場合に、リクエストに含まれるユーザの識別情報を、連携先システムユーザ情報において連携元ユーザ名に対応するユーザIDへ変換する。そしてユーザIDを基にリクエストを処理し、ユーザIDに対応する連携元ユーザ名が連携先システムユーザ情報に存在するか否かを判定する。そしてユーザIDに対応する連携元ユーザ名が連携先システムユーザ情報に存在する場合に、ユーザIDを、連携先システムユーザ情報においてユーザIDに対応する連携元ユーザ名へ変換する。そしてユーザIDが変換された連携元ユーザ名を含むログを出力する。
【選択図】図7
【特許請求の範囲】
【請求項1】
連携元システムと連携し、該連携元システムを介して受付けたリクエストと、該連携元システムを介さず直接受付けたリクエストと、を処理する情報処理システムであって、
プロセッサと、記憶部と、を有し、
前記記憶部は、
前記情報処理システムにおいてユーザを一意に識別するユーザ識別情報と、該ユーザが前記連携元システムにおける連携元ユーザである場合に前記連携元システムにおいて該連携元ユーザを識別する連携元ユーザ識別情報と、を対応付けて管理するユーザ情報を記憶し、
前記プロセッサは、
前記リクエストを受付け、
受付けた前記リクエストに含まれるユーザの識別情報に該当する前記連携元ユーザ識別情報が前記ユーザ情報に存在するか否かを判定し、
前記連携元ユーザ識別情報が前記ユーザ情報に存在する場合に、前記識別情報を、該ユーザ情報において該連携元ユーザ識別情報に対応する前記ユーザ識別情報へ変換し、
前記ユーザ識別情報を基に前記リクエストを処理し、
前記リクエストの処理に係るログを出力する際に、前記ユーザ識別情報に対応する前記連携元ユーザ識別情報が前記ユーザ情報に存在するか否かを判定し、
前記ユーザ識別情報に対応する前記連携元ユーザ識別情報が前記ユーザ情報に存在する場合に、該ユーザ識別情報を、前記ユーザ情報において該ユーザ識別情報に対応する該連携元ユーザ識別情報へ変換し、
前記ユーザ識別情報が変換された前記連携元ユーザ識別情報を含む前記ログを出力する
ことを特徴とする情報処理システム。
プロセッサと、記憶部と、を有し、
前記記憶部は、
前記情報処理システムにおいてユーザを一意に識別するユーザ識別情報と、該ユーザが前記連携元システムにおける連携元ユーザである場合に前記連携元システムにおいて該連携元ユーザを識別する連携元ユーザ識別情報と、を対応付けて管理するユーザ情報を記憶し、
前記プロセッサは、
前記リクエストを受付け、
受付けた前記リクエストに含まれるユーザの識別情報に該当する前記連携元ユーザ識別情報が前記ユーザ情報に存在するか否かを判定し、
前記連携元ユーザ識別情報が前記ユーザ情報に存在する場合に、前記識別情報を、該ユーザ情報において該連携元ユーザ識別情報に対応する前記ユーザ識別情報へ変換し、
前記ユーザ識別情報を基に前記リクエストを処理し、
前記リクエストの処理に係るログを出力する際に、前記ユーザ識別情報に対応する前記連携元ユーザ識別情報が前記ユーザ情報に存在するか否かを判定し、
前記ユーザ識別情報に対応する前記連携元ユーザ識別情報が前記ユーザ情報に存在する場合に、該ユーザ識別情報を、前記ユーザ情報において該ユーザ識別情報に対応する該連携元ユーザ識別情報へ変換し、
前記ユーザ識別情報が変換された前記連携元ユーザ識別情報を含む前記ログを出力する
ことを特徴とする情報処理システム。
【請求項2】
請求項1に記載の情報処理システムであって、
前記ユーザ情報は、
前記ユーザ識別情報と、該ユーザ識別情報で識別されるユーザが前記連携元システムの前記連携元ユーザである場合に該連携元システムにおいて該連携元ユーザを識別する前記連携元ユーザ識別情報と、該連携元システムを識別する連携元システム識別情報と、を対応付けて管理し、
前記プロセッサは、
前記ログを出力する際に、前記ユーザ識別情報に対応する前記連携元ユーザ識別情報が前記ユーザ情報に存在するか否かを判定し、
前記ユーザ識別情報に対応する前記連携元ユーザ識別情報が前記ユーザ情報に存在する場合に、該ユーザ識別情報を、前記ユーザ情報において該ユーザ識別情報に対応する前記連携元ユーザ識別情報へ変換すると共に、前記リクエストの要求元システムの識別情報を、前記ユーザ情報において前記連携元ユーザ識別情報に対応付けられる前記連携元システム識別情報へ変換し、
前記ユーザ識別情報が変換された前記連携元ユーザ識別情報と共に、前記要求元システムの識別情報として前記連携元システム識別情報を含む前記ログを出力する
ことを特徴とする情報処理システム。
前記ユーザ情報は、
前記ユーザ識別情報と、該ユーザ識別情報で識別されるユーザが前記連携元システムの前記連携元ユーザである場合に該連携元システムにおいて該連携元ユーザを識別する前記連携元ユーザ識別情報と、該連携元システムを識別する連携元システム識別情報と、を対応付けて管理し、
前記プロセッサは、
前記ログを出力する際に、前記ユーザ識別情報に対応する前記連携元ユーザ識別情報が前記ユーザ情報に存在するか否かを判定し、
前記ユーザ識別情報に対応する前記連携元ユーザ識別情報が前記ユーザ情報に存在する場合に、該ユーザ識別情報を、前記ユーザ情報において該ユーザ識別情報に対応する前記連携元ユーザ識別情報へ変換すると共に、前記リクエストの要求元システムの識別情報を、前記ユーザ情報において前記連携元ユーザ識別情報に対応付けられる前記連携元システム識別情報へ変換し、
前記ユーザ識別情報が変換された前記連携元ユーザ識別情報と共に、前記要求元システムの識別情報として前記連携元システム識別情報を含む前記ログを出力する
ことを特徴とする情報処理システム。
【請求項3】
請求項1に記載の情報処理システムであって、
前記プロセッサは、
前記連携元システムから前記リクエストを受付けた際に、前記識別情報に該当する前記連携元ユーザ識別情報が前記ユーザ情報に存在しない場合に、該識別情報を前記連携元ユーザ識別情報として、該連携元ユーザ識別情報と、新規の前記ユーザ識別情報と、を対応付けて前記ユーザ情報に登録する
ことを特徴とする情報処理システム。
前記プロセッサは、
前記連携元システムから前記リクエストを受付けた際に、前記識別情報に該当する前記連携元ユーザ識別情報が前記ユーザ情報に存在しない場合に、該識別情報を前記連携元ユーザ識別情報として、該連携元ユーザ識別情報と、新規の前記ユーザ識別情報と、を対応付けて前記ユーザ情報に登録する
ことを特徴とする情報処理システム。
【請求項4】
請求項3に記載の情報処理システムであって、
新規の前記ユーザ識別情報は、UUID(Universally Unique IDentifier)である
ことを特徴とする情報処理システム。
新規の前記ユーザ識別情報は、UUID(Universally Unique IDentifier)である
ことを特徴とする情報処理システム。
【請求項5】
請求項1に記載の情報処理システムであって、
前記プロセッサは、
前記連携元システムを介さない前記リクエストを受付けると、該リクエストに含まれる前記ユーザ識別情報を基に前記リクエストを処理し、
前記ユーザ識別情報を含む前記ログを出力する
ことを特徴とする情報処理システム。
前記プロセッサは、
前記連携元システムを介さない前記リクエストを受付けると、該リクエストに含まれる前記ユーザ識別情報を基に前記リクエストを処理し、
前記ユーザ識別情報を含む前記ログを出力する
ことを特徴とする情報処理システム。
【請求項6】
連携元システムと連携し、該連携元システムを介して受付けたリクエストと、該連携元システムを介さず直接受付けたリクエストと、を処理する情報処理システムにおけるログ記録方法であって、
プロセッサと、記憶部と、を有し、
前記記憶部は、
前記情報処理システムにおいてユーザを一意に識別するユーザ識別情報と、該ユーザが前記連携元システムにおける連携元ユーザである場合に前記連携元システムにおいて該連携元ユーザを識別する連携元ユーザ識別情報と、を対応付けて管理するユーザ情報を記憶し、
前記プロセッサが、
前記リクエストを受付け、
受付けた前記リクエストに含まれるユーザの識別情報に該当する前記連携元ユーザ識別情報が前記ユーザ情報に存在するか否かを判定し、
前記連携元ユーザ識別情報が前記ユーザ情報に存在する場合に、前記識別情報を、該ユーザ情報において該連携元ユーザ識別情報に対応する前記ユーザ識別情報へ変換し、
前記ユーザ識別情報を基に前記リクエストを処理し、
前記リクエストの処理に係るログを出力する際に、前記ユーザ識別情報に対応する前記連携元ユーザ識別情報が前記ユーザ情報に存在するか否かを判定し、
前記ユーザ識別情報に対応する前記連携元ユーザ識別情報が前記ユーザ情報に存在する場合に、該ユーザ識別情報を、前記ユーザ情報において該ユーザ識別情報に対応する該連携元ユーザ識別情報へ変換し、
前記ユーザ識別情報が変換された前記連携元ユーザ識別情報を含む前記ログを出力する
各処理を含んだことを特徴とするログ記録方法。
プロセッサと、記憶部と、を有し、
前記記憶部は、
前記情報処理システムにおいてユーザを一意に識別するユーザ識別情報と、該ユーザが前記連携元システムにおける連携元ユーザである場合に前記連携元システムにおいて該連携元ユーザを識別する連携元ユーザ識別情報と、を対応付けて管理するユーザ情報を記憶し、
前記プロセッサが、
前記リクエストを受付け、
受付けた前記リクエストに含まれるユーザの識別情報に該当する前記連携元ユーザ識別情報が前記ユーザ情報に存在するか否かを判定し、
前記連携元ユーザ識別情報が前記ユーザ情報に存在する場合に、前記識別情報を、該ユーザ情報において該連携元ユーザ識別情報に対応する前記ユーザ識別情報へ変換し、
前記ユーザ識別情報を基に前記リクエストを処理し、
前記リクエストの処理に係るログを出力する際に、前記ユーザ識別情報に対応する前記連携元ユーザ識別情報が前記ユーザ情報に存在するか否かを判定し、
前記ユーザ識別情報に対応する前記連携元ユーザ識別情報が前記ユーザ情報に存在する場合に、該ユーザ識別情報を、前記ユーザ情報において該ユーザ識別情報に対応する該連携元ユーザ識別情報へ変換し、
前記ユーザ識別情報が変換された前記連携元ユーザ識別情報を含む前記ログを出力する
各処理を含んだことを特徴とするログ記録方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理システム及び情報処理システムにおけるログ記録方法に関する。
【背景技術】
【0002】
情報システムの運用が法規制やセキュリティ評価基準等に準拠できていることを証明したり、確認したりする情報の一つとして、監査ログが使用されている。
【0003】
また、近年、サーバやストレージなどのシステムを直接管理する方法に加え、クラウドサービス経由でこれらを管理するサービスが登場してきている。このようなクラウドサービスからサーバやストレージを操作した場合も、サーバやストレージでは監査ログに記録する。
【0004】
このようなクラウドサービスとの連携が増えるとユーザが増え、クラウドサービスから操作するユーザ名と直接サーバやストレージを操作する際のユーザ名が重複し、監査ログを見てもどのユーザが操作したかわからなくなる。
【0005】
この様な衝突する可能性のあるユーザ名のような名前を、重複しないように管理する方法として、UUID(Universally Unique IDentifier)を使用する方法がある。例えば、特許文献1では、サーバを識別するためにUUIDを使用することで、重複を回避してサーバを管理可能としている。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2009-151560号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
システム間で連携する際、ユーザ名にUUID等の一意な識別情報を用いることでユーザ名の重複を回避し、連携を可能にすることができる。
【0008】
しかし、人による確認が必要な監査ログにUUID等の一意な識別情報が出力されると、人によるUUID等の一意な識別情報とユーザとの突合せが必要となってしまう。この突合せ作業は非常に煩雑である。
【0009】
本発明は、上記事情に鑑みなされたものであり、その目的は、システム間のユーザ名重複を回避したうえで、ユーザの突合せをすることなく確認可能なログを生成することにある。
【課題を解決するための手段】
【0010】
上記課題を解決する一態様として、連携元システムと連携し、該連携元システムを介して受付けたリクエストと、該連携元システムを介さず直接受付けたリクエストと、を処理する情報処理システムであって、プロセッサと、記憶部と、を有し、前記記憶部は、前記情報処理システムにおいてユーザを一意に識別するユーザ識別情報と、該ユーザが前記連携元ユーザである場合に前記連携元システムにおいて該連携元ユーザを識別する連携元ユーザ識別情報と、を対応付けて管理するユーザ情報を記憶し、前記プロセッサは、前記リクエストを受付け、受付けた前記リクエストに含まれるユーザの識別情報に該当する前記連携元ユーザ識別情報が前記ユーザ情報に存在するか否かを判定し、前記連携元ユーザ識別情報が前記ユーザ情報に存在する場合に、前記識別情報を、該ユーザ情報において該連携元ユーザ識別情報に対応する前記ユーザ識別情報へ変換し、前記ユーザ識別情報を基に前記リクエストを処理し、前記リクエストの処理に係るログを出力する際に、前記ユーザ識別情報に対応する前記連携元ユーザ識別情報が前記ユーザ情報に存在するか否かを判定し、前記ユーザ識別情報に対応する前記連携元ユーザ識別情報が前記ユーザ情報に存在する場合に、該ユーザ識別情報を、前記ユーザ情報において該ユーザ識別情報に対応する該連携元ユーザ識別情報へ変換し、前記ユーザ識別情報が変換された前記連携元ユーザ識別情報を含む前記ログを出力することを特徴とする。
【発明の効果】
【0011】
本発明によれば、システム間でのユーザ名の重複を回避したうえで、連携元システムから行った操作を、連携先システムの監査ログに連携元システムのユーザ名で記録することができる。これにより、UUIDとユーザの突合せをすることなく監査ログを確認することができる。
【図面の簡単な説明】
【0012】
【図1】実施形態1に係る連携システムの概略構成例を示すブロック図である。
【図2】実施形態1に係る連携先システムのハードウェア構成例を示すブロック図である。
【図3】実施形態1に係る連携先システムの機能構成例を示すブロック図である。
【図4】実施形態1に係る連携先システムが保持する連携先システムユーザ情報の構成を示す図である。
【図5】実施形態1に係る連携元システムの機能構成例を示すブロック図である。
【図6】実施形態1に係る連携元システムが保持する連携元システムユーザ情報の構成を示す図である。
【図7】実施形態1に係る連携システムのリクエスト処理を示すフローチャートである。
【図8】実施形態1に係る連携先システムの監査ログ書き出し部305が出力する監査ログの例を表の形で示したものである。
【図9】実施形態1に係る連携先システムの監査ログ書き出しが行う処理を示すフローチャートである。
【図10】実施形態2に係る連携先システムが保持する連携先システムユーザ情報の構成を示す図である。
【発明を実施するための形態】
【0013】
実施形態について、図面を参照して説明する。なお、以下に説明する実施形態は特許請求の範囲に係る発明を限定するものではなく、また、実施形態の中で説明されている諸要素およびその組み合わせの全てが発明の解決手段に必須であるとは限らない。
【0014】
なお、以下の説明において各処理機能部を実現するプログラムは、プロセッサ(例えば、CPU(Central Processing Unit))によって実行されることで、定められた処理を、適宜に記憶資源(例えば、メモリ)及び/又は通信インターフェースデバイス(例えば、ポート)を用いながら処理を行う。このため、各処理機能部によって実行される処理は、プロセッサ又はそのプロセッサを有する計算機が行う処理としてもよい。
【0015】
以下の説明では、各種情報をテーブル形式で表すが、情報はテーブル形式に限らずCSV(Comma Separated Values)やその他の形式でもよい。各種情報は、データ形式に依存しないため、例えば「XXXテーブル」を「XXX情報」と呼ぶことができる。
【0016】
また各種情報における項目のうち、該当のレコードを他のレコードと区別するための情報を項目名に含む項目の「識別情報」「ID」「名」等の呼称は、相互に置き換えてもよい。例えば「ユーザID」を「ユーザ識別情報」と置き換えてもよい。
【0017】
【0018】
図1において、連携システムSは、連携元システム101、連携先システム102、クライアント103と、これらを接続するインターネット104を含んで構成される。
【0019】
連携元システム101は、連携先システム102と、クライアント103とに接続される。ユーザは、クライアント103を操作してインターネット104を介して連携元システム101に接続する。この連携元システム101上で行われた操作は、必要に応じてインターネット104を介して連携先システム102に転送され、処理される。
【0020】
なお、クライアント103は、ユーザの操作によって連携元システム101に接続してリクエストが連携先システム102へ転送される端末に限られない。すなわちクライアント103には、ユーザの操作によって連携先システム102に接続してリクエストを連携先システム102へ直接送信する端末も含まれる。
【0021】
また、連携元システム101は、提供するサービスにアクセスするユーザの認証認可を行うための連携元システムユーザ情報111を保持している。
【0022】
連携先システム102は、連携元システム101からのインターネット104を介した操作、及び、連携先システム102に直接アクセスした操作が可能である。
【0023】
また、連携先システム102は、操作を行うユーザの認証認可を行うための連携先システムユーザ情報121を保持している。さらに、ユーザによる操作の記録を残すための監査ログ122を有する。
【0024】
クライアント103は、ユーザが連携元システム101にインターネット104を介して接続し、利用するためのインタフェースとなるシステムである。具体的には、コンピュータやスマートフォン及びその上で動作するWebブラウザもしくはアプリケーションである。
【0025】
インターネット104は、連携元システム101、連携先システム102、及びクライアント103を相互に接続するネットワークである。なお、インターネット104は、LAN(Local Area Network)などの任意のネットワークに置き換えてもよい。
【0026】
(実施形態1に係る連携先システム102のハードウェア構成)
図2は、実施形態1に係る連携先システム102のハードウェア構成例を示すブロック図である。
図2は、実施形態1に係る連携先システム102のハードウェア構成例を示すブロック図である。
【0027】
図2において、連携先システム102は、CPU(Central Processing Unit)202、メモリ203、ドライブ204およびNIC(Network Interface Card)205を含んで構成される。CPU202、メモリ203、ドライブ204およびNIC205は、バス201を介して互いに接続されている。
【0028】
メモリ203は、CPU202が読み書き可能な主記憶装置である。メモリ203は、例えば、SRAMまたはDRAMなどの半導体メモリである。メモリ203には、CPU202が実行中のプログラムを格納したり、CPU202がプログラムを実行するためのワークエリアを設けたりすることができる。
【0029】
ドライブ204は、CPU202が読み書き可能な二次記憶装置である。ドライブ204は、例えば、ハードディスク装置またはSSD(Solid State Drive)である。ドライブ204には、各種プログラムの実行ファイルやプログラムの実行に用いられるデータやユーザ情報を保持することができる。なお、ドライブ204は、RAID(Redundant Arrays of Independent Disks)技術などを用いて複数のハードディスク装置やSSDから構成されていてもよい。
【0030】
CPU202は、ドライブ204上に格納されているプログラムをメモリ203上に読み込んで実行する。CPU202は、バス201を介してNIC205と接続し、インターネット104を介して、連携元システム101と通信することができる。
【0031】
なお、連携先システム102は、クラスタリング技術などを用いて、複数のシステムから構成されていてもよい。
【0032】
(実施形態1に係る連携先システム102の機能構成)
図3は、実施形態1に係る連携先システム102の機能構成例を示すブロック図である。連携先システム102は、例えばストレージシステムであるが、これに限らず、ユーザ端末からのリクエストを他のシステムを経由して又はユーザ端末から直接受け付け、リクエストを処理し、処理に係るログを出力する何れの情報処理システムでもよい。またログは、例えば監査ログであるが、これに限らず、リクエストの処理結果を記録する何れのログでもよい。
図3は、実施形態1に係る連携先システム102の機能構成例を示すブロック図である。連携先システム102は、例えばストレージシステムであるが、これに限らず、ユーザ端末からのリクエストを他のシステムを経由して又はユーザ端末から直接受け付け、リクエストを処理し、処理に係るログを出力する何れの情報処理システムでもよい。またログは、例えば監査ログであるが、これに限らず、リクエストの処理結果を記録する何れのログでもよい。
【0033】
図3において、連携先システム102は、連携元システム101からの操作リクエストをインターネット104経由で受付ける連携リクエスト受信部301、及び受付けた操作リクエストを処理する連携リクエスト処理部303を含んで構成される。また連携先システム102は、連携元システム101にインターネット104経由で操作リクエストの処理結果を返す連携レスポンス送信部304を含んで構成される。
【0034】
また、連携元システム101の操作を連携先システム102内で行うユーザ(連携用ユーザ)を作成する連携用ユーザ作成部302と、連携用ユーザ及び通常のユーザのユーザ情報を格納する連携先システムユーザ情報121も含む。通常のユーザとは、連携先システム102の操作を直接クライアント103から行うユーザである。連携先システムユーザ情報121は所定の記憶部に記憶される。
【0035】
また、監査ログを格納する監査ログ122と、連携リクエスト処理部303の操作を監査ログ122に書き込む監査ログ書き出し部305も含む。
【0036】
なお、連携リクエスト受信部301及び連携レスポンス送信部304と、インターネット104の間には、ゲートウェイやファイヤーウォールなどが存在してもよい。また、監査ログ122は、外部のログデータ蓄積サーバ(syslog等)に転送してもよい。
【0037】
(実施形態1に係る連携先システムユーザ情報121の構成)
図4は、実施形態1に係る連携先システム102が保持する連携先システムユーザ情報121の構成を示す図である。
図4は、実施形態1に係る連携先システム102が保持する連携先システムユーザ情報121の構成を示す図である。
【0038】
連携先システムユーザ情報121は、連携元システム101との連携時に使用するユーザ(連携用ユーザ)と、連携先システム102の通常のユーザと、を管理するために使用される。
【0039】
連携先システムユーザ情報121は、ユーザを識別するユーザID401、連携元システム101と連携するためのユーザであることを示す連携フラグ402、及び連携元システムでのユーザ名を示す連携元ユーザ名403を含む情報として管理される。連携先システムユーザ情報121は、これら以外の情報を持ってもよい。連携元ユーザ名403は、連携元ユーザ識別情報の一例である。
【0040】
レコード411は、連携用ユーザの例である。このレコード411は、ユーザID401がUUID、連携フラグ402がYes(連携するためのユーザである)、連携元ユーザ名403が連携元システム101で使用しているユーザ名となる。一方レコード412は、連携先システム102内で使用する通常のユーザであり、この場合ユーザID401が名前等の文字列、連携フラグ402がNo(連携するためのユーザでない)、連携元ユーザ名403がNULLとなる。
【0041】
(実施形態1に係る連携元システム101の機能構成)
図5は、実施形態1に係る連携元システム101の機能構成例を示すブロック図である。
図5は、実施形態1に係る連携元システム101の機能構成例を示すブロック図である。
【0042】
図5において、連携元システム101は、リクエスト受信部501、レスポンス送信部502、連携リクエスト送信部504、連携レスポンス受信部505、及びリクエスト処理部503を含んで構成される。
【0043】
リクエスト受信部501は、クライアント103からの操作リクエストをインターネット104経由で受け取る。レスポンス送信部502は、クライアント103にインターネット104経由で操作リクエストの処理結果を返す。連携リクエスト送信部504は、連携先システム102にインターネット104経由で操作リクエストを送信する。連携レスポンス受信部505は、連携先システム102からインターネット104経由で操作リクエストの結果を受信する。リクエスト処理部503は、リクエスト受信部501が受信した操作リクエストを連携リクエスト送信部504から連携先システム102にインターネット104経由で送信する。そしてリクエスト処理部503は、操作リクエストの送信結果をインターネット104経由で連携レスポンス受信部505で受信し、レスポンス送信部502からインターネット104経由でクライアント103に返す。
【0044】
なお、リクエスト受信部501、レスポンス送信部502、連携リクエスト送信部504及び連携レスポンス受信部505と、インターネット104の間には、ゲートウェイやファイヤーウォールなどが存在してもよい。
【0045】
(実施形態1に係る連携元システムユーザ情報111の構成)
図6は、実施形態1に係る連携元システム101が保持する連携元システムユーザ情報111の構成を示す図である。
図6は、実施形態1に係る連携元システム101が保持する連携元システムユーザ情報111の構成を示す図である。
【0046】
連携元システムユーザ情報111は、連携元システム101を使用するユーザを管理するために使用される。連携元システムユーザ情報111では、各ユーザは、ユーザを識別するユーザID601を含む情報として管理される。また連携元システムユーザ情報111は、これら以外の情報を持ってもよい。
【0047】
(実施形態1に係る連携システムSのリクエスト処理)
図7は、実施形態1に係る連携システムSのリクエスト処理を示すフローチャートである。リクエスト処理は、連携元システム101がクライアント103からリクエストを受信したことを契機として処理が開始される。
図7は、実施形態1に係る連携システムSのリクエスト処理を示すフローチャートである。リクエスト処理は、連携元システム101がクライアント103からリクエストを受信したことを契機として処理が開始される。
【0048】
先ず連携元システム101は、クライアント103からのリクエストをインターネット104経由で受信する(S711)。次に連携元システム101は、受信したリクエストを基に連携元システムユーザ情報111を参照し、リクエストを送信したユーザをID、パスワードなどを使用して認証する(S712)。この際使用する認証方法は、公開鍵認証などを使用してもよい。次に連携元システム101は、ユーザの認証が完了後、連携元システム101で認証し操作を行ったユーザ名をリクエストに追加して連携先システム102に連携リクエストを送信する(S713)。なおS713で追加される情報は、ユーザ名以外の情報、例えば連携元システムのIDを含んでもよい。
【0049】
次に連携先システム102は、連携元システム101から送信された連携リクエストをインターネット104経由で受信する(S721)。次に連携先システム102は、連携リクエストに含まれる連携元システム101のユーザ名から、当該ユーザ用の連携ユーザが連携先システムユーザ情報121に登録されているかを確認する(S722)。連携先システム102は、連携ユーザが登録されていない場合(S722No)、連携ユーザを作成し(S723)、連携先システムユーザ情報121に登録する(S723)。この際、ユーザID401には、他のユーザと重複が起きないようにUUIDを使用する。また、連携フラグ402はYes、連携元ユーザ名403には連携リクエストに含まれる連携元システム101におけるユーザ名を格納する。
【0050】
なお、連携フラグ402は、当該ユーザが連携元システム101と連携するために作成されたユーザであることが識別できればよく、必ずしもYesとする必要はない。また、連携元ユーザ名403が“NULLでない”ことを、連携フラグ402がYesであることの代用としてもよい。
【0051】
連携先システム102は、連携ユーザが登録済みの場合(S722Yes)、もしくは、S723において連携ユーザの登録が完了した後、連携リクエストを連携ユーザによる連携先システム102への操作として処理する(S724)。連携先システム102は、S724の処理が終わった後、連携元システム101に処理結果を連携レスポンスとして送信する(S725)。また、その結果を監査ログとして出力する(S726)。S726の監査ログの出力については、図8、図9を参照して後述する。
【0052】
次に、連携元システム101は、連携先システム102から連携レスポンスを受信する(S714)。その後連携元システム101は、受信した連携レスポンスに基づくレスポンスを、クライアント103に対してインターネット104経由で送信する(S715)。以上のフローは、クライアント103がリクエストをインターネット104経由で連携元システム101に送信するたびに繰り返し行われる。
【0053】
なお図7に示す連携システムSのリクエスト処理では、連携先システム102が受信するリクエストは、連携元システム101を経由して受信されたリクエストであることを前提としている。しかし連携先システム102が受信するリクエストは、クライアント103から直接送信されたリクエストもある。そこでリクエストに要求元システムの識別情報を含めておく。そして連携先システム102は、受信したリクエストに含まれる要求元システムの識別情報が、連携元システム101に該当する場合にはS722~S723の処理を実行する。一方、連携元システム101の識別情報に該当しない場合(連携先システム102のユーザである等)にはS722~S723を省略し、S724において受信したリクエストに含まれるユーザIDを基にリクエストを処理する。
【0054】
(実施形態1に係る監査ログ122の例)
図8は、実施形態1に係る連携先システム102の監査ログ書き出し部305が出力する監査ログ122の例を表の形で示したものである。
図8は、実施形態1に係る連携先システム102の監査ログ書き出し部305が出力する監査ログ122の例を表の形で示したものである。
【0055】
監査ログ書き出し部305の出力する監査ログ800は、表データでなくてもよく、CSV形式のような“,(カンマ)”等の区切り文字を使ったテキストデータでもよい。
【0056】
監査ログ800は、日時801、ユーザ名802、操作元803、操作内容804、操作結果805等を含む。これらの並び順序は入れ替わってもよい。また、これらの項目の一部がない、もしくは、追加の項目があってもよい。
【0057】
図8に示す例では、レコード811では、連携先システム102のユーザ名802の“abcdefgh”が連携元システム101のユーザ名802の“taro.Suzuki”へ変換されて出力されている。またレコード812では、連携先システム102のユーザ名“jiro.ito”は連携先システム102固有のユーザであるので、ユーザ名802の変換は行われず、連携先システム102のユーザ名“jiro.ito”が直接出力されている。
【0058】
(実施形態1に係る監査ログ書き出し部305が行う処理)
図9は、実施形態1に係る連携先システム102の監査ログ書き出し部305が行う処理を示すフローチャートである。図9は、図7のS726を詳細化するフローを示す。
図9は、実施形態1に係る連携先システム102の監査ログ書き出し部305が行う処理を示すフローチャートである。図9は、図7のS726を詳細化するフローを示す。
【0059】
先ず監査ログ書き出し部305は、連携リクエスト処理部303から監査ログ800に書き出す内容を受信する(S726a)。
【0060】
次に監査ログ書き出し部305は、監査ログ800に書き出す内容を受信すると、操作を行ったユーザ名を連携先システム102の連携先システムユーザ情報121から検索し、ユーザID401が一致するものを見つけ出す。そして監査ログ書き出し部305は、見つけ出したユーザについて、連携先システムユーザ情報121の連携フラグ402をチェックする(S726b)。監査ログ書き出し部305は、連携フラグ402がNoの場合(S726bNo)は、連携リクエスト処理部303から受信した監査ログ800に書き出す内容をそのまま書き出す(S726d)。
【0061】
一方監査ログ書き出し部305は、連携フラグ402がYesの場合(S726bYes)、連携リクエスト処理部303から受信した監査ログ800に書き出す内容を変換する。すなわち監査ログ800に書き出す内容のうち、ユーザ名802を連携元ユーザ名403に、操作元803を連携元システム101へ変換する(S726c)。その後、監査ログ書き出し部305は、変換した内容で監査ログ800を書き出す(S726d)。監査ログ書き出し部305は、連携リクエスト処理部303から監査ログ800に書き出す内容を受信するたびに図9のフローに示す処理を行う。
【0062】
以上の動作フローで、連携元システム101から連携先システム102への操作は、連携先システム102の監査ログ122に、ユーザ名802が連携元システム101のユーザ名、操作元803が、連携元システムとなる。これにより、連携先システム102の監査ログ122の確認時に、UUIDとユーザ名の突合せを行う作業を削減できる。
【0063】
(実施形態1の効果)
上述の実施形態1では、連携元システム101からのリクエストの処理時に、リクエストに含まれる連携元システム101のユーザ名を連携先システム102のユーザID(連携ユーザのID)に変換してリクエストを処理する。そしてリクエストの処理時のログ出力時に、連携ユーザのIDから連携元システム101のユーザ名へ再変換し、連携元システム101のユーザ名をログに出力する。
上述の実施形態1では、連携元システム101からのリクエストの処理時に、リクエストに含まれる連携元システム101のユーザ名を連携先システム102のユーザID(連携ユーザのID)に変換してリクエストを処理する。そしてリクエストの処理時のログ出力時に、連携ユーザのIDから連携元システム101のユーザ名へ再変換し、連携元システム101のユーザ名をログに出力する。
【0064】
よって実施形態1によれば、連携ユーザを用いてシステム間でのユーザ名の重複を回避したうえで、連携元システム101から行った操作を、連携先システム102のログに連携元システム101のユーザ名で記録することができる。よって、ログ監査時に、UUID等の一意のユーザ識別情報と、連携元システム101のユーザ名の突合せをすることなく確認できる。
【0065】
また実施形態1では、ユーザ識別情報が変換された連携元ユーザ識別情報と共に、リクエストの要求元システムの識別情報として連携元システム識別情報を含むログを出力する。よってリクエストを送信した連携元システム101の名称をログ上で判別することができる。
【0066】
また実施形態1では、リクエストを受付けた際に、リクエストに含まれるユーザの識別情報に該当する連携元ユーザ名が連携先システムユーザ情報121に存在しない場合、次の処理を行う。すなわちこの識別情報を連携元ユーザ名として、連携元ユーザ名と、新規のユーザ識別情報と、を対応付けて連携先システムユーザ情報121に登録する。さらに、リクエストに含まれている連携元システム101の識別情報を対応付けて連携先システムユーザ情報121に登録してもよい。特に新規のユーザ識別情報をUUIDとすることで、システム間でのユーザ名の重複を回避する連携ユーザを容易に作成できるので、システム連携を促進することができる。
【0067】
[実施形態2]
実施形態1では、連携システムS内において、1つの連携先システム102に対して1つの連携元システム101が連携するとした。しかしこれに限らず、実施形態2では、連携システムS内において、1つの連携先システム102に対して複数の連携元システム101が連携する例を説明する。
実施形態1では、連携システムS内において、1つの連携先システム102に対して1つの連携元システム101が連携するとした。しかしこれに限らず、実施形態2では、連携システムS内において、1つの連携先システム102に対して複数の連携元システム101が連携する例を説明する。
【0068】
(実施形態2に係る連携先システムユーザ情報121Bの構成)
図10は、実施形態2に係る連携先システム102が保持する連携先システムユーザ情報121Bの構成を示す図である。
図10は、実施形態2に係る連携先システム102が保持する連携先システムユーザ情報121Bの構成を示す図である。
【0069】
連携先システムユーザ情報121Bは、実施形態1の連携先システムユーザ情報121と比較して、連携フラグ402において“Yes”と共に連携元システム101のID(連携元システム識別情報)が格納される点が異なる。この連携元システム101のIDは、連携システムS内で連携元システム101を一意に識別できる情報であれば何れでもよい。
【0070】
レコード411Bは、連携元システム101が“SYSID1”で識別されるシステムのユーザ(連携元ユーザ名403)が“taro.suzuki”の連携先システム102における連携ユーザ名(ユーザID401)が、“abcdefgh1”であることを示す。またレコード412Bは、連携元システム101が“SYSID2”で識別されるシステムのユーザ“Saburo.tanaka”の連携先システム102における連携ユーザ名が、“abcdefgh2”であることを示す。またレコード412Bは、ユーザID401が“jiro.ito”のユーザは、連携先システム102の固有のユーザであることを示す。
【0071】
また実施形態2では、連携システムSのリクエスト処理(図7)のS713において、リクエストに連携元システム101のユーザ名と共に連携元システム101のIDを追加して連携先システム102に連携リクエストが送信される。
【0072】
また実施形態2では、S722において、連携リクエストに含まれる連携元システム101のユーザ名と連携元システム101のIDを基に連携先システムユーザ情報121のユーザID401と連携フラグ402が参照される。そして連携元システム101のユーザ名と連携元システム101のIDの組合せに該当するユーザ用の連携ユーザが登録されているかが確認される。
【0073】
また実施形態2では、S725において、連携レスポンスをS721で受信した連携リクエストに示される連携元システム101のIDで識別されるシステムに対して、連携レスポンスが送信される。
【0074】
また実施形態2では、連携先システム102の監査ログ書き出し部305が行う処理(図9)のS726cにおいて、監査ログに書き込むユーザ名を連携元システムのユーザ名へ変換する際に、操作元が連携元システム101のIDへ変換される。この連携元システム101のIDは、連携元システム101と連携先システム102との間で連携時に予め共有されていても、S713~S721(図7)で連携リクエストと共に送受信されても、何れでもよい。
【0075】
また実施形態2では、リクエストを受付けた際に、リクエストに含まれるユーザの識別情報に該当する連携元ユーザ名が連携先システムユーザ情報121に存在しない場合に、次の処理を行う。すなわちこの識別情報を連携元ユーザ名として、連携元ユーザ名と、新規のユーザ識別情報と、リクエストに含まれている連携元システム101の識別情報と、を対応付けて連携先システムユーザ情報121に登録する。特に新規のユーザ識別情報をUUIDとすることで、複数の連携元システム101が存在する場合でも、システム間でのユーザ名の重複を回避する連携ユーザを容易に作成できるので、システム連携を促進することができる。
【0076】
(実施形態2の効果)
上述の実施形態2では、連携元システム101が複数の場合に、連携元ユーザ識別情報と共に、リクエストの要求元システムの識別情報として複数の連携元システム101のうちで該当の連携元システム101の連携元システム識別情報を含むログを出力する。よって連携元システム101が複数の場合でも、リクエストを送信した連携元システム101が何れであるかをログ上で判別することができる。
上述の実施形態2では、連携元システム101が複数の場合に、連携元ユーザ識別情報と共に、リクエストの要求元システムの識別情報として複数の連携元システム101のうちで該当の連携元システム101の連携元システム識別情報を含むログを出力する。よって連携元システム101が複数の場合でも、リクエストを送信した連携元システム101が何れであるかをログ上で判別することができる。
【0077】
以上、本願開示に係る実施形態について詳述したが、本願開示は上述の実施形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。例えば、上述の実施形態は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また上述の実施形態の構成の一部について、他の構成の追加・削除・置換をすることが可能である。
【0078】
また上述の各構成、機能部や処理部等は、それらの一部又は全部を、例えば、集積回路で設計する等によりハードウェアで実現してもよい。また上述の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリやハードディスク、SSD(Solid State Drive)等の記録装置、ICカード、SDカード、DVD等の記録媒体に置くことができる。
【0079】
また上述の各図において、制御線や情報線は説明上必要と考えられるものを示しており、必ずしも実装上の全ての制御線や情報線を示しているとは限らない。例えば、実際には殆ど全ての構成が相互に接続されていると考えてもよい。
【0080】
また上述した連携元システム101及び連携先システム102の各機能及びデータの配置形態は一例に過ぎない。各機能及びデータの配置形態は、ハードウェアやソフトウェアの性能、処理効率、通信効率等の観点から最適な配置形態へ変更し得る。
【符号の説明】
【0081】
S:連携システム、101:連携元システム、102:連携先システム、121,121B:連携先システムユーザ情報、122,800:監査ログ、202:CPU、401:ユーザID、403:連携元ユーザ名、401:ユーザID、403:連携元ユーザ名。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】