ホーム > 特許ランキング > 日立ヴァンタラ株式会社
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-10-07
(45)【発行日】2024-10-16
(54)【発明の名称】アクセス権限管理装置、及びアクセス権限管理方法
(51)【国際特許分類】
G06F 21/62 20130101AFI20241008BHJP
【FI】
G06F21/62
【請求項の数】
9
(21)【出願番号】P 2022041331
(22)【出願日】2022-03-16
(65)【公開番号】P2023135965
(43)【公開日】2023-09-29
【審査請求日】2024-02-22
(73)【特許権者】
【識別番号】524132520
【氏名又は名称】日立ヴァンタラ株式会社
(74)【代理人】
【識別番号】110000176
【氏名又は名称】弁理士法人一色国際特許事務所
(72)【発明者】
【氏名】礒田 有哉
(72)【発明者】
【氏名】石井 陽介
(72)【発明者】
【氏名】谷川 桂子
【審査官】上島 拓也
(56)【参考文献】
【文献】特開2004-139292(JP,A)
【文献】特開2010-237898(JP,A)
【文献】特開2011-227788(JP,A)
【文献】特開2001-005727(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/62
(57)【特許請求の範囲】
【請求項1】
プロセッサ及びメモリを有し、各アクセス権限情報の属性情報のデータベースを記憶するデータ記憶部と、
第1のシステムからアプリケーションへのアクセスに必要なアクセス権限を示す第1のアクセス権限情報が修正された場合に、前記第1のアクセス権限情報と関連性を有するアクセス権限であって、第2のシステムから前記アプリケーションへのアクセスに必要なアクセス権限を示す第2のアクセス権限情報を、前記所定データベースの属性情報に基づき特定し、
アクセス権限情報の修正内容を他の形式の修正内容に変換する変換ルールに基づき、前記第1のアクセス権限情報の修正内容を前記第2のアクセス権限情報に対応した修正内容に変換し、変換した修正内容にて、前記特定した第2のアクセス権限情報を修正するとともに前記変換した修正内容にて前記特定した第2のアクセス権限情報を修正した場合の、前記変換ルールを特定する間接修正部と、
前記特定した変換ルールの情報を表示する入出力部とを備え、
前記入出力部は、前記変換ルールに基づく、前記第2のアクセス権限情報の修正を実行可能か否かを、予め設定した判定情報に基づき判定し、前記第2のアクセス権限情報の修正を実行可能と判定した場合に、ユーザから、当該修正を実行するか否かの確認の入力を受け付け、当該修正を実行する旨の確認の入力を受け付けた場合に、前記特定した第2のアクセス権限情報を修正する、
アクセス権限管理装置。
【請求項2】
請求項1に記載のアクセス権限管理装置であって、前記間接修正部は、
複数の前記変換ルールを取得し、
前記複数の変換ルールのそれぞれに基づく、前記第2のアクセス権限情報の各修正に係る前記確認の入力の履歴を管理し、
前記アクセス権限情報の属性情報に関するデータベースに基づき、前記複数の変換ルールのそれぞれと前記第2のアクセス権限情報との間の関係性の強さを特定し、特定した各関係性の強さと、前記各修正に係る確認の履歴とに基づき、前記複数の変換ルールのそれぞれの優先度を決定し、
前記入出力部は、前記決定した各優先度に基づき、前記第2のアクセス権限情報を修正するために用いる各変換ルールを表示する、
アクセス権限管理装置。
【請求項3】
請求項1に記載のアクセス権限管理装置であって、前記入出力部は、
ユーザから、前記変換ルールに基づく修正内容により前記第2のアクセス権限情報を今回修正するか、今回修正しないか、又は以後修正しないかのいずれかの選択の入力を受け付け、
過去に入力された前記選択の履歴を表示する、
アクセス権限管理装置。
【請求項4】
請求項1に記載のアクセス権限管理装置であって、前記アプリケーションには、所定のプログラムによりアクセス可能であり、
前記データ記憶部は、各アクセス権限情報の修正の履歴と、前記アプリケーションにアクセスするためのプログラムの情報とを記憶し、
前記アクセス権限管理装置は、前記アプリケーションの指定をユーザから受け付け、前記アプリケーションが指定された場合に、前記記憶した修正の履歴及びプログラムの情報に基づき、前記指定されたアプリケーションにアクセス可能なプログラム及びアクセス権限情報を表示する再利用部を備える、
アクセス権限管理装置。
【請求項5】
請求項1に記載のアクセス権限管理装置であって、前記データ記憶部は、利用を禁止する変換ルール、及び、変換ルールによる変換を禁止するアクセス権限情報を記憶した禁止情報を記憶し、
前記間接修正部は、前記第2のアクセス権限情報を修正するための変換ルールが特定された場合に、前記禁止情報に基づき、当該第2のアクセス権限情報を修正するか否かを判定し、当該第2のアクセス権限情報を修正すると判定した場合にのみ、当該第2のアクセス権限情報を修正する、
アクセス権限管理装置。
【請求項6】
請求項1に記載のアクセス権限管理装置であって、前記第1のアクセス権限情報を修正する直接修正部をさらに備え、
前記データ記憶部は、前記第1のアクセス権限情報の修正内容を規定した前変換ルールを記憶し、
前記入出力部は、前記前変換ルールに基づく、前記第1のアクセス権限情報の修正を実行可能か否かを、予め設定した判定情報に基づき判定し、前記第1のアクセス権限情報の修正を実行可能と判定した場合に、前記第1のアクセス権限情報を修正する、
アクセス権限管理装置。
【請求項7】
請求項6に記載のアクセス権限管理装置であって、前記直接修正部は、
複数の初期変換ルールを取得し、
前記複数の初期変換ルールのそれぞれに基づく、前記第1のアクセス権限情報の各修正に係る確認の入力の履歴を管理し、
前記アクセス権限情報の属性情報に関するデータベースに基づき、前記複数の初期変換ルールのそれぞれと前記第1のアクセス権限情報との間の関係性の強さを特定し、特定した各関係性の強さと、前記各修正に係る確認の履歴とに基づき、前記複数の初期変換ルールのそれぞれの優先度を決定し、
前記入出力部は、前記決定した各優先度に基づき、前記第1のアクセス権限情報を修正するために用いる各初期変換ルールを表示する、
アクセス権限管理装置。
【請求項8】
請求項6に記載のアクセス権限管理装置であって、前記データ記憶部は、ユーザから、利用を禁止する前変換ルール、及び、前変換ルールによる変換を禁止するアクセス権限情報に関する情報を記憶した除外情報を記憶し、
前記直接修正部は、前記第1のアクセス権限情報を修正するための前変換ルールが選択された場合に、前記除外情報に基づき、当該第1のアクセス権限情報を修正するか否かを判定し、当該第1のアクセス権限情報を修正すると判定した場合にのみ、当該第1のアクセス権限情報を修正する、
アクセス権限管理装置。
【請求項9】
情報処理装置が、各アクセス権限情報の属性情報のデータベースを記憶するデータ記憶処理と、
第1のシステムからアプリケーションへのアクセスに必要なアクセス権限を示す第1のアクセス権限情報が修正された場合に、前記第1のアクセス権限情報と関連性を有するアクセス権限であって、第2のシステムから前記アプリケーションへのアクセスに必要なアクセス権限を示す第2のアクセス権限情報を、前記所定データベースの属性情報に基づき特定し、
アクセス権限情報の修正内容を他の形式の修正内容に変換する変換ルールに基づき、前記第1のアクセス権限情報の修正内容を前記第2のアクセス権限情報に対応した修正内容に変換し、変換した修正内容にて、前記特定した第2のアクセス権限情報を修正するとともに前記変換した修正内容にて前記特定した第2のアクセス権限情報を修正した場合の、前記変換ルールを特定する間接修正処理と、
前記特定した変換ルールの情報を表示する入出力処理とを実行し、
前記入出力処理は、前記変換ルールに基づく、前記第2のアクセス権限情報の修正を実行可能か否かを、予め設定した判定情報に基づき判定し、前記第2のアクセス権限情報の修正を実行可能と判定した場合に、ユーザから、当該修正を実行するか否かの確認の入力を受け付け、当該修正を実行する旨の確認の入力を受け付けた場合に、前記特定した第2のアクセス権限情報を修正する処理である、
アクセス権限管理方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、アクセス権限管理装置、及びアクセス権限管理方法に関する。
【背景技術】
【0002】
近年、複数のクラウドサービスから所定のアプリケーション(クラウド上のアプリケーション)を実行し事業を行う事業者が増加している(マルチクラウド)。このようなアプリケーションは、機能向上やセキュリティの向上のためにしばしばアップデートがなされるが、これにより、各クラウドサービスからのアプリケーションへのアクセスに必要なアクセス権限の内容が変更されることがある。
【0003】
現状では、例えば、各クラウドサービスを利用するユーザ又は管理者のそれぞれが、アップデートを監視し、必要に応じてアプリケーションに対するアクセス権限の情報の設定を変更している。しかしながら、小規模な組織(企業等)にとっては、このようなアップデートの監視及びアクセス権限の設定の変更は負担となっており、マルチクラウドの導入の障害となっている。
【0004】
ここで、例えば特許文献1には、ログに基づき、既存ポリシーを検索及び適用し、ポリシー更新を提案することが開示されている。また、特許文献2には、ポリシーのバージョン管理(階層管理、ブランチ)をシステム構成に応じて決定し、自動的にバージョン管理する技術が開示されている。
【先行技術文献】
【特許文献】
【0005】
【文献】米国特許出願公開第2007/0277222号明細書
【文献】米国特許出願公開第2020/0379753号明細書
【発明の概要】
【発明が解決しようとする課題】
【0006】
これらを組み合わせることで、ルートポリシー(元の設定)をログ、実行環境、又はユーザに応じてバージョン管理あい、ルートポリシー及び派生ポリシーの統合管理をし、これによりアクセス権限の管理が可能となる可能性がある。しかし、バージョン関係又はブランチ関係がないポリシーの統合管理をすることができない。例えば、ポリシーAの修正結果を独立したポリシーBに反映することができない。また、これらの反映をユーザがコントロールする仕組みが充分にないため、ユーザにとっては運用の柔軟性に欠けるおそれがある。
【0007】
本発明は、このような背景に鑑みてなされたものであり、その目的は、アプリケーションを実行する複数のシステムのそれぞれのアクセス権限を適切に設定することが可能なアクセス権限管理装置、及びアクセス権限管理方法を提供することを目的とする。
【課題を解決するための手段】
【0008】
上記課題を解決するための本発明の一つは、プロセッサ及びメモリを有し、各アクセス権限情報の属性情報のデータベースを記憶するデータ記憶部と、第1のシステムからアプリケーションへのアクセスに必要なアクセス権限を示す第1のアクセス権限情報が修正された場合に、前記第1のアクセス権限情報と関連性を有するアクセス権限であって、第2のシステムから前記アプリケーションへのアクセスに必要なアクセス権限を示す第2のアクセス権限情報を、前記所定データベースの属性情報に基づき特定し、アクセス権限情報の修正内容を他の形式の修正内容に変換する変換ルールに基づき、前記第1のアクセス権限情報の修正内容を前記第2のアクセス権限情報に対応した修正内容に変換し、変換した修正内容にて、前記特定した第2のアクセス権限情報を修正するとともに前記変換した修正内容にて前記特定した第2のアクセス権限情報を修正した場合の、前記変換ルールを特定する間接修正部と、前記特定した変換ルールの情報を表示する入出力部とを備え、前記入出力部は、前記変換ルールに基づく、前記第2のアクセス権限情報の修正を実行可能か否かを、予め設定した判定情報に基づき判定し、前記第2のアクセス権限情報の修正を実行可能と判定した場合に、ユーザから、当該修正を実行するか否かの確認の入力を受け付け、当該修正を実行する旨の確認の入力を受け付けた場合に、前記特定した第2のアクセス権限情報を修正する、アクセス権限管理装置、である。
【発明の効果】
【0009】
本発明によれば、アプリケーションを実行する複数のシステムのそれぞれのアクセス権限を適切に設定することができる。
上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。
上記した以外の課題、構成及び効果は、以下の実施形態の説明により明らかにされる。
【図面の簡単な説明】
【0010】
【図1】本実施形態に係るアクセス権限管理システムの構成の一例を説明する図である。
【図2】システム管理装置が備えるハードウェア及び機能の一例を説明する図である。
【図3】実行管理情報の一例を示す図である。
【図4】実行管理情報の他の一例を示す図である。
【図5】権限情報の一例を示す図である。
【図6】稼働情報の一例を示す図である。
【図7】変換情報の一例を示す図である。
【図8】直接修正に係る変換情報が示す内容の例を示す図である。
【図9】間接修正に係る変換情報が示す内容の例を示す図である。
【図10】権限修正制御情報の一例を示す図である。
【図11】権限修正実績情報の一例を示す図である。
【図12】知識情報の一例を示す図である。
【図13】変換禁止情報の一例を示す図である。
【図14】修正経緯禁止情報の一例を示す図である。
【図15】アクセス権限管理装置が実行する処理の概要の一例を説明するフロー図である。
【図16】実行管理画面の一例を示す図である。
【図17】直接修正処理の一例を説明するフロー図である。
【図18】直接修正提案画面の一例を示す図である。
【図19】間接修正処理の一例を説明するフロー図である。
【図20】間接修正提案画面の一例を示す図である。
【図21】ユーザ応答受付処理の一例を説明するフロー図である。
【図22】権限修正実績管理画面の一例を示す図である。
【図23】再利用処理の一例を説明するフロー図である。
【発明を実施するための形態】
【0011】
以下、本発明の一実施形態について説明する。
図1は、本実施形態に係るアクセス権限管理システム1の構成の一例を説明する図である。アクセス権限管理システム1は、1又は複数のシステム管理装置100(100A、100B、・・・)と、1又は複数のユーザシステム110(110A、110B、・・・)とを含んで構成されている。
図1は、本実施形態に係るアクセス権限管理システム1の構成の一例を説明する図である。アクセス権限管理システム1は、1又は複数のシステム管理装置100(100A、100B、・・・)と、1又は複数のユーザシステム110(110A、110B、・・・)とを含んで構成されている。
【0012】
システム管理装置100は、後述するプログラム2030(アプリケーション)を記憶している。
【0013】
ユーザシステム110は、アプリケーションを利用するユーザが使用する情報処理システムである。ユーザシステム110は、システム管理装置100のアプリケーションを呼び出し実行する。ユーザシステム110は、ユーザ自身が管理するサーバ装置等の情報処理装置(いわゆるオンプレミス)で構成されていてもよいし、ユーザ以外の事業者が管理
するネットワーク上の情報処理サービス(いわゆるクラウドサービス)と連携して動作する情報処理システムであってもよい。アプリケーションへのアクセスには、ユーザシステム110ごとに異なる、適切なアクセス権限の情報(以下、権限情報という。詳細は後述。)が、アプリケーションに紐づけて予め設定されていることが必要である。
するネットワーク上の情報処理サービス(いわゆるクラウドサービス)と連携して動作する情報処理システムであってもよい。アプリケーションへのアクセスには、ユーザシステム110ごとに異なる、適切なアクセス権限の情報(以下、権限情報という。詳細は後述。)が、アプリケーションに紐づけて予め設定されていることが必要である。
【0014】
各システム管理装置100、及び各ユーザシステム110の間は、例えば、インターネット、LAN(Local Area Network)、WAN(Wide Area Network)、又は専用線等の
有線又は無線の通信ネットワーク5により通信可能となっている。
有線又は無線の通信ネットワーク5により通信可能となっている。
【0015】
図2は、システム管理装置100が備えるハードウェア及び機能の一例を説明する図である。システム管理装置100は、プロセッサユニット102、第1記憶装置120A、インタフェースユニット101、及び第2記憶装置120Bの各ハードウェアを備える。
【0016】
プロセッサユニット102は、CPU(Central Processing Unit)、DSP(Digital Signal Processor)、GPU(Graphics Processing Unit)、FPGA(Field-Programmable Gate Array)等
で構成される。第1記憶装置120A及び第2記憶装置120Bは、ROM(Read Only Memory)、RAM(Random Access Memory)、HDD(Hard Disk Drive)、SSD(Solid State Drive)等のメモリで構成される。インタフェースユニット101は、NIC(Network Interface Card)、無線通信モジュール、USB(Universal Serial Interface)モジュール、又はシリアル通信モジュール等で構成される。なお、不図示であるが、システム管理装置100Aは、マウスやキーボード等で構成される入力装置と、液晶ディスプレイまたは有機EL(Electro-Luminescence)ディスプレイ等で構成される出力装置とを備える。
で構成される。第1記憶装置120A及び第2記憶装置120Bは、ROM(Read Only Memory)、RAM(Random Access Memory)、HDD(Hard Disk Drive)、SSD(Solid State Drive)等のメモリで構成される。インタフェースユニット101は、NIC(Network Interface Card)、無線通信モジュール、USB(Universal Serial Interface)モジュール、又はシリアル通信モジュール等で構成される。なお、不図示であるが、システム管理装置100Aは、マウスやキーボード等で構成される入力装置と、液晶ディスプレイまたは有機EL(Electro-Luminescence)ディスプレイ等で構成される出力装置とを備える。
【0017】
次に、システム管理装置100は、第1記憶装置120Aに記憶されているアクセス権限管理装置1000及びOS103によって実現される機能を有している。アクセス権限管理装置1000は、仮想マシン又はコンテナ等の、仮想的な情報処理装置である。
【0018】
アクセス権限管理装置1000は、入出力部1010、実行部1020、直接修正部1030、間接修正部1040、再利用部1050、知識DB管理部1200、及びデータ記憶部2000の各機能部(プログラム)を備える。
【0019】
入出力部1010は、所定の画面を表示し、又はユーザからデータの入力を受け付ける。例えば、入出力部1010は、変換情報を表示する。
【0020】
実行部1020は、後述するプログラム2030にアクセスし、これを実行する。
【0021】
直接修正部1030は、実行部1020が出力したログ情報ないしエラー情報である稼働情報2040に基づき、あるユーザシステム110からシステム管理装置100のアプリケーションへのアクセスに必要なアクセス権限を示す権限情報2020を修正する。以下、この修正を直接修正という。
【0022】
間接修正部1040は、権限情報2020が直接修正された場合に、その権限情報2020と関連性を有する、他のユーザシステム110から上記アプリケーションへのアクセスに必要なアクセス権限を示す他の権限情報2020を、知識情報2200(後述)に基づき特定する。そして、間接修正部1040は、直接修正の対象となった権限情報2020の修正内容を変換情報2300(後述)に基づき、上記他のユーザシステム110に対応する修正内容に変換し、変換した修正内容にて、前記特定した権限情報2020を修正する。以下、この修正を間接修正という。
【0023】
再利用部1050は、所定の表示画面においてアプリケーションの指定をユーザから受
け付け、アプリケーションが指定された場合に、修正の履歴等に基づき、指定されたアプリケーションにアクセス可能なプログラム及びアクセス権限情報を表示する。
け付け、アプリケーションが指定された場合に、修正の履歴等に基づき、指定されたアプリケーションにアクセス可能なプログラム及びアクセス権限情報を表示する。
【0024】
知識DB管理部1200は、後述する知識情報2200を管理する。
【0025】
データ記憶部2000は、各種のデータを記憶している。具体的には、アクセス権限管理装置1000は、実行管理情報2010、権限情報2020、プログラム2030、稼働情報2040、テストプログラム2050、権限修正制御情報2120、権限修正実績情報2130、知識情報2200、変換情報2300、変換禁止情報2210、権限修正情報2310、及び修正経緯禁止情報2220の各データベースを記憶している。
【0026】
実行管理情報2010は、プログラム2030に関して、アクセス権限管理装置1000が実行する処理及びその実行順序を記憶した情報である。アクセス権限管理装置1000は、このアクセス権限管理装置1000に従って各処理を実行する。
【0027】
権限情報2020は、ユーザシステム110がプログラム2030の実行をするのに必要なアクセス権限(以下、単純にアクセス権限という)を定義した情報である。
【0028】
プログラム2030は、各ユーザが業務に使用するアプリケーションのプログラム(例えば、仮想マシン(Virtual Machine:VM)やコンテナのアプリケーション)である。
【0029】
稼働情報2040は、プログラム2030(アプリケーション)の実行中又は実行終了時に出力される情報である。稼働情報2040には、プログラム2030の実行中に発生したアクセス権限に関するエラー情報(例えば、プログラム2030の実行に必要なアクセス権限が不足していることを示す情報)が含まれる。
【0030】
テストプログラム2050は、プログラム2030(アプリケーション)が所定の更新プログラムにより更新された場合に、更新されたプログラム2030が正常に動作するか否かを検証するためのプログラムである。なお、プログラム2030が更新されると、プログラム2030の実行に必要なアクセス権限が変更され、権限情報2020の修正が必要となる場合がある。
【0031】
権限修正制御情報2120は、権限情報2020の修正(直接修正及び間接修正)の実行の有無を事前にユーザシステム110に問い合わせるか否かといった、権限情報2020の修正の手順を定義した情報である。
【0032】
権限修正実績情報2130は、権限情報2020の修正の履歴の情報である。
【0033】
知識情報2200は、ユーザ(ユーザシステム110)、プログラム2030、権限情報2020、稼働情報2040、及び権限修正情報2310といった、アクセス権限に紐づけられる情報(以下、コンポーネントという)の属性情報を記憶した情報である。知識情報2200は、コンポーネント間の関係性の強さ(類似性等)を推定するために用いられる。
【0034】
変換情報2300は、権限情報2020の修正内容を他の形式の修正内容に変換する変換ルール(変換パターン)を記憶している。なお、変換ルールには、直接修正のための変換ルールである初期変換ルールと、間接修正のための変換ルールとがある。
【0035】
変換禁止情報2210は、後述するユーザ提案を行わない変換パターンを記憶した情報である。本実施形態では、変換禁止情報2210は、変換パターンを適用しないユーザを
定義した情報であるものとするが、それ以外の情報を定義してもよい。
定義した情報であるものとするが、それ以外の情報を定義してもよい。
【0036】
権限修正情報2310は、修正された権限情報2020を記憶した情報である。
【0037】
修正経緯禁止情報2220は、権限情報2020の変換(修正)を禁止する変換前の権限情報2020及び変換後の権限情報2020のパターン(以下、変換禁止パターンという)を記憶した情報である。
【0038】
以上に説明したハードウェア及び機能は、他のシステム管理装置100(100B、100C、・・・)も同様に備える。
次に、データ記憶部2000が記憶しているデータの具体例を説明する。
次に、データ記憶部2000が記憶しているデータの具体例を説明する。
【0039】
(実行管理情報)
図3は、実行管理情報2010の一例を示す図である。この実行管理情報2010Aは、第1のユーザシステム110Aが管理する実行管理情報2010である。実行管理情報2010Aは、プログラム2030(アプリケーション)のテスト実行のための処理の情報であるテストフェーズ情報2011、及び、プログラム2030の本番実行のための処理の情報である本番フェーズ情報2012を有している。
図3は、実行管理情報2010の一例を示す図である。この実行管理情報2010Aは、第1のユーザシステム110Aが管理する実行管理情報2010である。実行管理情報2010Aは、プログラム2030(アプリケーション)のテスト実行のための処理の情報であるテストフェーズ情報2011、及び、プログラム2030の本番実行のための処理の情報である本番フェーズ情報2012を有している。
【0040】
テストフェーズ情報2011は、権限情報2020Aのプログラム2030Aへの設定、テストプログラム2050Aの読み込み、テストプログラム2050Aを用いたプログラム2030Aのテスト実行、及び、テスト実行による稼働情報2040Aの生成の各処理を行う旨の情報を有する。
【0041】
なお、直接修正部1030は、稼働情報2040Aの生成を随時監視しており、生成した稼働情報2040A及び知識DB管理部1200に基づき権限情報2020Aを修正する(直接修正)。また、間接修正部1040は、権限情報2020の直接修正を監視しており、稼働情報2040Aの直接修正を検知すると、この稼働情報2040A及び知識DB管理部1200に基づき、稼働情報2040Aと関係性を有する他の権限情報2020Bを修正する(間接修正)。
【0042】
本番フェーズ情報2012は、間接修正された権限情報2020Bのプログラム2030Aへの設定、そのプログラム2030Aの実行、及び、その実行による稼働情報2040Bの取得の各処理を行う旨の情報を有する。
【0043】
このように、本例の実行管理情報2010は、同一ユーザがテスト実行システム(第1のシステム)及び本番実行システム(第2のシステム)という異なる情報処理システム(システム環境)で同一のプログラム2030Aを利用し、各処理システムがそのプログラム2030Aに対してそれぞれ異なる権限情報2020A、2020Bを利用する場合の管理情報である。すなわち、開発系で修正されたアクセス権限を本番系のアクセス権限に反映させることが可能となっている。
【0044】
次に、図4は、実行管理情報2010の他の一例を示す図である。この実行管理情報2010は、第1のユーザシステム110Aが管理する実行管理情報2010A(テスト実行フェーズ情報2013)と、第2のユーザシステム110Cが管理する実行管理情報2010C(本番実行フェーズ情報2014)とで構成される。
【0045】
実行管理情報2010Aは、権限情報2020Aのプログラム2030Aへの設定、テストプログラム2050Aの読み込み、テストプログラム2050Aを用いたプログラム2030Aのテスト実行、及び、テスト実行による稼働情報2040Aの取得の各処理を
行う旨の情報を有する。なお、直接修正及び間接修正については前記と同様である(権限情報2020Aの直接修正、権限情報2020Aと関係性を有する他の権限情報2020Cの間接修正)。
行う旨の情報を有する。なお、直接修正及び間接修正については前記と同様である(権限情報2020Aの直接修正、権限情報2020Aと関係性を有する他の権限情報2020Cの間接修正)。
【0046】
実行管理情報2010Cは、間接修正された権限情報2020Cのプログラム2030Aへの設定、そのプログラム2030Aの実行、及び、その実行による稼働情報2040Cの取得の各処理を行う旨の情報を有する。
【0047】
このように、実行管理情報2010は、異なるユーザがテスト実行システム(第1のシステム)及び本番実行システム(第2のシステム)という異なる処理システム(システム環境)で同一のプログラム2030Aを利用し、各処理システムがそのプログラム2030Aに対してそれぞれ異なる権限情報2020A、2020Cを利用する場合に対応している。
【0048】
以上のように、実行管理情報2010は、ユーザの数又はプログラムの開発ラインの構成(Continuous Integration/Continuous Delivery:CI/CD)が異なっていても、
複数のシステムが同一のアプリケーションにアクセスする場合であれば対応可能な情報となっている。
複数のシステムが同一のアプリケーションにアクセスする場合であれば対応可能な情報となっている。
【0049】
(権限情報)
次に、図5は、権限情報2020の一例を示す図である。この権限情報2020は、アクセス権限に関するフィールド2021を有している。
次に、図5は、権限情報2020の一例を示す図である。この権限情報2020は、アクセス権限に関するフィールド2021を有している。
【0050】
(稼働情報)
図6は、稼働情報2040の一例を示す図である。この稼働情報2040は、プログラム2030の実行中に発生したアクセス権限に関するエラー情報のフィールド2041を含んでいる。
図6は、稼働情報2040の一例を示す図である。この稼働情報2040は、プログラム2030の実行中に発生したアクセス権限に関するエラー情報のフィールド2041を含んでいる。
【0051】
(変換情報)
図7は、変換情報2300の一例を示す図である。変換情報2300は、変換パターンの番号が設定される番号2301、当該変換パターンにおける変換前のアクセス権限の情報を含む情報(以下、変換前情報という)が設定される変換前情報2302、変換前情報2302に係る情報に基づき修正されたアクセス権限の情報を含む情報(以下、変換後情報という。)が設定される変換後情報2303、ユーザにより当該変換パターンによる変換の許可の指定入力(以下、ユーザ許可入力という。詳細は後述。)がされた回数の情報が設定される許可2304、及び、当該変換パターンによる以後の変換を禁止する旨のユーザからの指定入力(以下、ユーザ変換禁止入力という。詳細は後述。)がされた回数の情報が設定される変換禁止回数2305の各データ項目を有する1つ以上のレコードで構成される。
図7は、変換情報2300の一例を示す図である。変換情報2300は、変換パターンの番号が設定される番号2301、当該変換パターンにおける変換前のアクセス権限の情報を含む情報(以下、変換前情報という)が設定される変換前情報2302、変換前情報2302に係る情報に基づき修正されたアクセス権限の情報を含む情報(以下、変換後情報という。)が設定される変換後情報2303、ユーザにより当該変換パターンによる変換の許可の指定入力(以下、ユーザ許可入力という。詳細は後述。)がされた回数の情報が設定される許可2304、及び、当該変換パターンによる以後の変換を禁止する旨のユーザからの指定入力(以下、ユーザ変換禁止入力という。詳細は後述。)がされた回数の情報が設定される変換禁止回数2305の各データ項目を有する1つ以上のレコードで構成される。
【0052】
ここで、図8は、直接修正に係る変換情報2300が示す内容の例を示す図である。同図の(a)に示す変換情報2300A1は、稼働情報2040により特定される権限情報2020の修正を、形式を変更せずに行う変換パターンの情報である。すなわち、変換情報2300A1は、ある記述方式によるアクセス権限の追加("Storage:Get")をそのま
ま修正内容として、権限情報2020に適用することで、修正された(変換された)権限情報である権限修正情報2310A1を生成するという変換パターンの情報である。
ま修正内容として、権限情報2020に適用することで、修正された(変換された)権限情報である権限修正情報2310A1を生成するという変換パターンの情報である。
【0053】
同図の(b)に示す変換情報2300A1aは、その形式は変更しないがユーザによる内容の修正を伴う変換パターンの情報である。すなわち、変換情報2300A1aは、ある記述方式によるアクセス権限の追加("Storage:Get")と、当該"Storage:Get"における
"Get"から"*"への修正(ユーザによる修正)とを合わせて修正内容として、これを変換前の権限情報2020に適用することで、修正された(変換された)権限情報である権限修正情報2310A1aを生成するという変換パターンの情報である。
"Get"から"*"への修正(ユーザによる修正)とを合わせて修正内容として、これを変換前の権限情報2020に適用することで、修正された(変換された)権限情報である権限修正情報2310A1aを生成するという変換パターンの情報である。
【0054】
同図の(c)に示す変換情報2300A2は、その形式を変更しない(ユーザによる内容修正もない)変換パターンの情報である。すなわち変換情報2300A2は、変換前情報におけるある記述形式のアクセス権限("Storage:Put")の追加をそのまま修正内容と
して、これを変換前の権限情報2020に適用することで、修正された(変換された)権限情報である権限修正情報2310A2を生成するという変換パターンの情報である。
して、これを変換前の権限情報2020に適用することで、修正された(変換された)権限情報である権限修正情報2310A2を生成するという変換パターンの情報である。
【0055】
また、図9は、間接修正に係る変換情報2300の例を示す図である。同図の(a)に示す変換情報2300B1は、その形式を変更しない(ユーザによる内容修正もない)変換パターンの情報である。すなわち変換情報2300B1は、変換前情報である権限修正情報2310A1におけるある記述方式によるアクセス権限("Storage:Get")の追加を
そのまま修正内容として、これを変換前の権限情報2020に適用することで、修正された(変換された)権限情報である権限修正情報2310B1を生成するという変換パターンの情報である。
そのまま修正内容として、これを変換前の権限情報2020に適用することで、修正された(変換された)権限情報である権限修正情報2310B1を生成するという変換パターンの情報である。
【0056】
同図の(b)に示す変換情報2300B1aは、その内容は変更せずに形式を変更した変換パターンの情報である。すなわち変換情報2300B1aは、変換前情報である権限修正情報2310A1におけるある記述形式によるアクセス権限("Storage:Get")の、
同内容であるが異なる記述形式であるアクセス権限2300B1a1("Database:Read"
)への変換を修正内容として、これを変換前の権限情報2020に適用することで、修正された(変換された)権限情報である権限修正情報2310A1を生成するという変換パターンの情報である。なお、フォーマットが異なる理由は、例えば、ユーザシステム110間で権限情報2020のファイルの記述の方法が異なるためである。
同内容であるが異なる記述形式であるアクセス権限2300B1a1("Database:Read"
)への変換を修正内容として、これを変換前の権限情報2020に適用することで、修正された(変換された)権限情報である権限修正情報2310A1を生成するという変換パターンの情報である。なお、フォーマットが異なる理由は、例えば、ユーザシステム110間で権限情報2020のファイルの記述の方法が異なるためである。
【0057】
同図の(c)に示す変換情報2300B1bは、その形式を変更しかつユーザによる内容の修正を伴う変換パターンの情報である。すなわち変換情報2300B1bは、変換前情報である権限修正情報2310A1におけるある記述形式によるアクセス権限("Storage:Get")追加の、同内容だが異なる記述形式への変換("Database:Read")と、"Read"から"*"への修正(ユーザによる修正)とをあわせて修正内容として、これを変換前の権限
情報2020に適用することで、修正された(変換された)権限情報である権限修正情報2310A1を生成するという変換パターンの情報である。
このように、変換情報2300は、変換前の権限情報2020から変換後の権限情報2020への変換について、その変換の内容及び変換時の形式の変更を記憶している。
情報2020に適用することで、修正された(変換された)権限情報である権限修正情報2310A1を生成するという変換パターンの情報である。
このように、変換情報2300は、変換前の権限情報2020から変換後の権限情報2020への変換について、その変換の内容及び変換時の形式の変更を記憶している。
【0058】
(権限修正制御情報)
図10は、権限修正制御情報2120の一例を示す図である。権限修正制御情報2120は、権限情報2020の修正手順の識別情報が設定されるID2121、当該修正手順における修正の対象である権限情報2020が設定される対象権限情報2122、当該権限情報2020に対する直接修正の手順を特定する情報が設定される直接修正2123、及び、当該権限情報2020に対する間接手順の方法を特定する情報が設定される間接修正2124の各データ項目を有する1以上のレコードで構成される。
図10は、権限修正制御情報2120の一例を示す図である。権限修正制御情報2120は、権限情報2020の修正手順の識別情報が設定されるID2121、当該修正手順における修正の対象である権限情報2020が設定される対象権限情報2122、当該権限情報2020に対する直接修正の手順を特定する情報が設定される直接修正2123、及び、当該権限情報2020に対する間接手順の方法を特定する情報が設定される間接修正2124の各データ項目を有する1以上のレコードで構成される。
【0059】
直接修正2123は、対象権限情報2122に係る権限情報2020に対する直接修正をユーザに提案する(ユーザ提案)か否かを示す判定情報(許可又は拒否)が設定される提案21231、対象権限情報2122に係る権限情報2020に対する直接修正を実行するか否かをユーザに確認選択させるための通知(承認通知)を行う必要があるか否かを示す情報(必要又は不要)が設定される承認通知21232、対象権限情報2122に係
る権限情報に対する直接修正を行った結果をユーザに通知(結果通知)する必要があるか否かを示す情報(必要又は不要)が設定される結果通知21233、及び、当該結果通知を行うユーザシステム110(例えば、権限情報2020の作成者)を特定する情報が設定される通知先21234、の各データ小項目を有する。
る権限情報に対する直接修正を行った結果をユーザに通知(結果通知)する必要があるか否かを示す情報(必要又は不要)が設定される結果通知21233、及び、当該結果通知を行うユーザシステム110(例えば、権限情報2020の作成者)を特定する情報が設定される通知先21234、の各データ小項目を有する。
【0060】
間接修正2124は、対象権限情報2122に係る権限情報2020に対する間接修正を実行を許可するか否かを示す判定情報が設定される実行21241、対象権限情報2122に係る権限情報2020に対する間接修正をユーザに提案する(ユーザ提案)か否かを示す情報(許可又は拒否)が設定される提案21242、対象権限情報2122に係る権限情報2020に対する間接修正に対する承認通知を行う必要があるか否かを示す情報(必要又は不要)が設定される承認通知21243、対象権限情報2122に係る権限情報2020に対する間接修正の結果通知を行う必要があるか否かを示す情報(必要又は不要)が設定される結果通知21244、及び、当該結果通知の通知を行うユーザシステム110を特定する情報が設定される通知先21245、の各データ小項目を有する。なお、各データ小項目にデータが設定されていない場合は、全項目は「拒否」又は「必要」とみなすようにしてもよい。
【0061】
(権限修正実績情報)
図11は、権限修正実績情報2130の一例を示す図である。権限修正実績情報2130は、修正の識別情報が設定される番号2131、当該修正が行われた時刻の情報が設定されるタイムスタンプ2132、当該修正に使用された変換パターンによる変換の対象であった変換前情報が設定される変換前情報2133、当該修正に使用された変換パターンが設定される変換情報2134、当該修正に使用された変換パターンによる変換後の変換後情報が設定される変換後情報2135、及び、当該修正の手順の種類が設定される修正経緯2316、の各データ項目を有する。なお、修正経緯2316には、例えば、直接修正、間接修正、禁止(当該修正はユーザ提案されたがユーザ変換禁止入力された場合)、又は、未使用(当該修正はユーザ提案されたがユーザから選択されなかった。以下、ユーザ未指定という。詳細は後述。)が設定される。
図11は、権限修正実績情報2130の一例を示す図である。権限修正実績情報2130は、修正の識別情報が設定される番号2131、当該修正が行われた時刻の情報が設定されるタイムスタンプ2132、当該修正に使用された変換パターンによる変換の対象であった変換前情報が設定される変換前情報2133、当該修正に使用された変換パターンが設定される変換情報2134、当該修正に使用された変換パターンによる変換後の変換後情報が設定される変換後情報2135、及び、当該修正の手順の種類が設定される修正経緯2316、の各データ項目を有する。なお、修正経緯2316には、例えば、直接修正、間接修正、禁止(当該修正はユーザ提案されたがユーザ変換禁止入力された場合)、又は、未使用(当該修正はユーザ提案されたがユーザから選択されなかった。以下、ユーザ未指定という。詳細は後述。)が設定される。
【0062】
(知識情報)
図12は、知識情報2200の一例を示す図である。知識情報2200は、各コンポーネントの識別情報が設定される番号2201、及び、そのコンポーネントの属性情報が設定されるメタデータ2202をデータ項目として有する1以上のレコードで構成される。
メタデータ2202には、コンポーネントの情報又はコンポーネントを特徴付ける属性情報が1又は複数設定される。
図12は、知識情報2200の一例を示す図である。知識情報2200は、各コンポーネントの識別情報が設定される番号2201、及び、そのコンポーネントの属性情報が設定されるメタデータ2202をデータ項目として有する1以上のレコードで構成される。
メタデータ2202には、コンポーネントの情報又はコンポーネントを特徴付ける属性情報が1又は複数設定される。
【0063】
(変換禁止情報)
図13は、変換禁止情報2210の一例を示す図である。変換禁止情報2210は、変換パターンの識別情報が設定される番号2211、その変換パターンによる権限情報2020の変換をユーザ提案しないユーザの情報が設定されるユーザ2212、及び、ユーザ提案しない変換を特定する情報(具体的には、変換情報2300)が設定される変換情報2213の各データ項目を有する1以上のレコードを有する。
図13は、変換禁止情報2210の一例を示す図である。変換禁止情報2210は、変換パターンの識別情報が設定される番号2211、その変換パターンによる権限情報2020の変換をユーザ提案しないユーザの情報が設定されるユーザ2212、及び、ユーザ提案しない変換を特定する情報(具体的には、変換情報2300)が設定される変換情報2213の各データ項目を有する1以上のレコードを有する。
【0064】
(修正経緯禁止情報)
図14は、修正経緯禁止情報2220の一例を示す図である。修正経緯禁止情報2220は、変換禁止パターンの番号が設定される番号2221、その変換禁止パターンを適用するユーザの情報が設定されるユーザ2222、その変換禁止パターンにおける変換前の権限情報2020又は稼働情報2040を特定する情報が設定される修正前情報2223、及び、その変換禁止パターンにおける変換後の権限情報2020を特定する情報が設定される修正後情報2224の各データ項目を有する。
図14は、修正経緯禁止情報2220の一例を示す図である。修正経緯禁止情報2220は、変換禁止パターンの番号が設定される番号2221、その変換禁止パターンを適用するユーザの情報が設定されるユーザ2222、その変換禁止パターンにおける変換前の権限情報2020又は稼働情報2040を特定する情報が設定される修正前情報2223、及び、その変換禁止パターンにおける変換後の権限情報2020を特定する情報が設定される修正後情報2224の各データ項目を有する。
【0065】
同図の例では、第1のユーザシステム110Aに対しては、権限情報2020Cから権限情報2020Aへの修正を禁止している。これは、例えば、権限情報2020Cの内容の信頼性が高くない(権限情報2020Cが習熟度の低いユーザにより作成された場合等)ので、そのような権限情報2020Cからの修正を許容すると適切なアクセス権限管理が以後なされないおそれがあるためである。
【0066】
以上に説明したシステム管理装置100の機能は、プロセッサユニット102が、各記憶装置120に格納されているプログラムを読み出して実行することにより実現される。また上記のプログラムは、例えば、記録媒体に記録して配布することができる。なお、各情報処理装置は、その全部または一部が、例えば、クラウドシステムによって提供される仮想サーバのように、仮想化技術やプロセス空間分離技術等を用いて提供される仮想的な情報処理資源を用いて実現されるものであってもよい。また、各情報処理装置によって提供される機能の全部または一部は、例えば、クラウドシステムがAPI(Application Programming Interface)等を介して提供するサービスによって実現してもよい。また、ユ
ーザシステム110についても同様に、自身が備える処理装置が記憶装置に格納されている所定のプログラムを読み出して実行することにより実現される。
次に、システム管理装置100(具体的にはアクセス権限管理装置1000)が実行する処理について説明する。
ーザシステム110についても同様に、自身が備える処理装置が記憶装置に格納されている所定のプログラムを読み出して実行することにより実現される。
次に、システム管理装置100(具体的にはアクセス権限管理装置1000)が実行する処理について説明する。
【0067】
<処理の概要>
図15は、アクセス権限管理装置1000が実行する処理の概要の一例を説明するフロー図である。
図15は、アクセス権限管理装置1000が実行する処理の概要の一例を説明するフロー図である。
【0068】
まず、アクセス権限管理装置1000は、アクセス権限管理装置1000を利用するユーザ(以下、本ユーザという)から、実行管理情報2010の入力を随時受け付ける実行情報管理処理s1を実行する。なお、実行管理情報2010におけるプログラム2030の指定がユーザから受け付けられた場合、再利用部1050は、指定されたプログラム2030に使用する最新の権限情報2020を提案として表示する再利用処理s4000を実行する。
【0069】
アクセス権限管理装置1000は、実行情報管理処理s1で入力された実行管理情報2010に従って、権限情報2020を用いたアプリケーションの処理を実行するアプリケーション実行処理s3を実行する。アクセス権限管理装置1000は、この処理により、稼働情報2040を生成又は更新する。
【0070】
一方、アクセス権限管理装置1000は、アプリケーション実行処理s3が開始されると、直接修正処理s1000を随時実行する。すなわち、アクセス権限管理装置1000は、稼働情報2040の生成又は更新を監視している。稼働情報2040が生成又は更新されると、システム管理装置100は、その稼働情報2040内に記述されているアクセス権限の情報(エラー情報として示されているアクセス権限の情報)に対応する、アプリケーション実行処理s3で使用された権限情報2020(以下、直接修正対象権限情報という。すなわち、第1のアクセス権限情報。)を特定し、特定した直接修正対象権限情報を直接修正する。
【0071】
また、アクセス権限管理装置1000は、アプリケーション実行処理s3が開始されると、間接修正処理s2000を随時実行する。すなわち、アクセス権限管理装置1000は、直接修正を監視している。権限情報2020(第1の権限情報)が直接修正されると、アクセス権限管理装置1000は、その権限情報2020に基づき、当該権限情報2020と一定の関係性のある他の権限情報2020(以下、間接修正対象権限情報という。
すなわち、第2のアクセス権限情報。)を特定し、特定した権限情報2020を間接修正する。なお、アクセス権限管理装置1000は、間接修正された権限情報2020に対してさらに間接修正を行ってもよい。
以下、実行管理処理s1、再利用処理s4000、直接修正処理s1000、及び間接修正処理s2000の詳細を説明する。
すなわち、第2のアクセス権限情報。)を特定し、特定した権限情報2020を間接修正する。なお、アクセス権限管理装置1000は、間接修正された権限情報2020に対してさらに間接修正を行ってもよい。
以下、実行管理処理s1、再利用処理s4000、直接修正処理s1000、及び間接修正処理s2000の詳細を説明する。
【0072】
<実行情報管理処理、実行管理画面>
図16は、実行情報管理処理s1において入出力部1010が表示する実行管理画面の一例を示す図である。この実行管理画面3000は、実行管理情報2010のうち第1のユーザシステム110Aが管理する処理(テスト処理)の管理画面である第1画面3100と、実行管理情報2010のうちユーザシステム110Dが管理する処理(本番処理)の管理画面である第2画面3200とを有する。
図16は、実行情報管理処理s1において入出力部1010が表示する実行管理画面の一例を示す図である。この実行管理画面3000は、実行管理情報2010のうち第1のユーザシステム110Aが管理する処理(テスト処理)の管理画面である第1画面3100と、実行管理情報2010のうちユーザシステム110Dが管理する処理(本番処理)の管理画面である第2画面3200とを有する。
【0073】
第1画面3100は、ユーザからプログラム2030の指定を受け付けるプログラム指定欄3101と、プログラム2030に対する権限情報2020の指定をユーザから受け付ける権限情報指定欄3102と、プログラム2030を実行する実行部1020の指定をユーザから受け付ける実行部指定欄3103と、プログラム2030の実行により出力される稼働情報2040の出力先の指定をユーザから受け付ける稼働情報指定欄3104と、実行部1020におけるプログラム2030のテストに使用するテストプログラム2050の指定をユーザから受け付けるテスト指定欄3105と、プログラム指定欄3101でユーザ指定されたプログラム2030に適した権限情報2020が提案として表示される権限情報提案欄3106と、アプリケーション実行処理s3の実行の開始をユーザから受け付ける実行指定欄3107とを備える。
【0074】
第2画面3200は、ユーザからプログラム2030の指定を受け付けるプログラム指定欄3201と、プログラム2030に対する権限情報2020の指定をユーザから受け付ける権限情報指定欄3202と、プログラム2030を実行する実行部1020の指定をユーザから受け付ける実行部指定欄3203と、プログラム指定欄3201でユーザ指定されたプログラム2030に適した権限情報2020が提案として表示される権限情報提案欄3204と、と、アプリケーション実行処理s3の実行の開始をユーザから受け付ける実行指定欄3205とを備える。
【0075】
<直接修正処理>
図17は、直接修正処理s1000の一例を説明するフロー図である。直接修正処理s1000は、アプリケーション実行処理s3の実行開始後、例えば、所定の時刻に、所定の時間間隔で、又は、ユーザもしくは管理者から指定されたタイミング等で繰り返し実行される。
図17は、直接修正処理s1000の一例を説明するフロー図である。直接修正処理s1000は、アプリケーション実行処理s3の実行開始後、例えば、所定の時刻に、所定の時間間隔で、又は、ユーザもしくは管理者から指定されたタイミング等で繰り返し実行される。
【0076】
まず、システム管理装置100の直接修正部1030は、稼働情報2040の生成又は更新を検出する(s1001)。
【0077】
直接修正部1030は、s1001で検出した稼働情報2040内にエラー情報として記録されているアクセス権限の情報である権限情報2020(すなわち、直接修正対象権限情報)を、知識情報2200に基づき特定し、特定した直接修正対象権限情報に対して直接修正をするための処理を実行可能か否かを、権限修正制御情報2120に基づき判定する(s1003)。
【0078】
具体的には、直接修正部1030は、知識情報2200を参照し、s1001で特定した稼働情報2040が番号2201に設定されているレコードのメタデータ2202に存在する権限情報2020を取得することで、直接修正対象権限情報を特定する。そして、
直接修正部1030は、権限修正制御情報2120を参照し、対象権限情報2122に前記取得した権限情報2020が設定されているレコードの直接修正2123の提案21231が「許可」になっているか否かを判定する。
直接修正部1030は、権限修正制御情報2120を参照し、対象権限情報2122に前記取得した権限情報2020が設定されているレコードの直接修正2123の提案21231が「許可」になっているか否かを判定する。
【0079】
直接修正のための処理を実行可能でない場合は(s1003:提案:拒否)、直接修正処理s1000は終了し(s1013)、直接修正のための処理を実行可能である場合は(s1003:提案:許可)、直接修正部1030はs1005の処理を実行する。
【0080】
s1005において直接修正部1030は、s1003で特定した直接修正対象権限情報に対する直接修正が、直接修正を行わない例外事由に該当しているか否かを、修正経緯禁止情報2220に基づき確認する。
【0081】
具体的には、直接修正部1030は、修正経緯禁止情報2220を参照し、ユーザ2222に、本ユーザが設定され、修正前情報2223にs1001で検出した稼働情報2040が設定され、修正後情報2224に、s1003で取得した、メタデータ2202に存在する権限情報2020が設定されているレコード(直接修正対象権限情報)があるか否かを判定する。
【0082】
権限情報2020に対する直接修正が、直接修正を行わない例外事由に該当している場合は(s1005:該当する)、直接修正処理s1000は終了する(s1013)。権限情報2020に対する直接修正が、直接修正を行わない例外事由に該当しない場合は(s1005:該当しない)、直接修正部1030はs1007の処理を実行する。
【0083】
s1007において直接修正部1030は、変換情報2300及び変換禁止情報2210に基づき、直接修正対象権限情報に対する直接修正に適用可能な変換パターン(以下、直接修正適用可能変換パターンという)を、除外すべき変換パターンを除外しつつ全て特定する。さらに、直接修正部1030は、知識情報2200を参照して直接修正適用可能変換パターンによる変換前後の権限情報2020の関係性の強さを特定することで、直接修正適用可能変換パターンのそれぞれの優先度を、知識情報2200に基づき設定する。
【0084】
具体的には、まず、直接修正部1030は、変換情報2300を参照し、変換前情報2302に、s1001で検出した稼働情報2040が設定され、変換後情報2303に、s1003で取得した、知識情報2200のメタデータ2202に存在する権限情報2020(権限修正情報2310)が設定されているレコードを全て特定し(A1とA1aのレコード)、特定したレコードの番号2301をそれぞれ取得する(直接修正適用可能変換パターン)。この際、直接修正部1030は、変換禁止情報2210を参照し、ユーザ2212に本ユーザが設定され、変換情報2213に前記取得した番号2301のいずれかの内容が設定されているレコードを確認することで、除外すべき変換パターン(変換情報)を除外する。
【0085】
そして、直接修正部1030は、前記特定した各変換情報2300のレコードの変換後情報2303が示す権限修正情報2310(すなわち変換後の権限情報2020)をそれぞれ取得する。そして、直接修正部1030は、知識情報2200を参照し、前記取得した権限修正情報2310のそれぞれについて、それぞれが番号2301に設定されているレコードのメタデータ2202の属性情報(第1属性情報)を特定する。直接修正部1030は、一方、s1003で取得した、知識情報2200のメタデータに存在する権限情報2020(すなわち直接修正対象権限情報)を取得する。そして、直接修正部1030は、知識情報2200を参照し、前記取得した権限情報2020(直接修正対象権限情報)が番号2301に設定されているレコードのメタデータ2202の属性情報を特定する(第2属性情報)。そして、直接修正部1030は、特定した第1,第2属性情報の間の
共通度(属性情報の一致の数)が多い順に、前記特定した各直接修正適用可能変換パターンの優先度を設定する。
共通度(属性情報の一致の数)が多い順に、前記特定した各直接修正適用可能変換パターンの優先度を設定する。
【0086】
なお、直接修正部1030は、この優先度の設定において、変換情報2300の許可2304又は変換禁止2305の回数に応じて、各直接修正適用可能変換パターンの優先度を上下させてもよい(例えば、許可2304が示す回数が多いほど優先度を上げ、変換禁止2305が示す回数が多いほど優先度を下げる)。
【0087】
次に、直接修正部1030は、s1007で特定した変換パターンによる直接修正の承認通知を行うか否かを判定する(s1009)。具体的には、直接修正部1030は、権限修正制御情報2120を参照し、対象権限情報2122に、s1003で取得した、メタデータ2202に存在する権限情報2020(すなわち直接修正対象権限情報)が設定されているレコードの直接修正2123の承認通知21232に「必要」が設定されているか否かを判定する。
【0088】
承認通知を行う場合は(s1009:承認通知:必要)、直接修正部1030はs1015の処理を実行し、承認通知を行わない場合は(s1009:承認通知:不要)、直接修正部1030は、s1011の処理を実行する。
【0089】
s1011において直接修正部1030は、s1007で特定した全ての直接修正適用可能変換パターンのうち最も優先度が高い変換パターンを選択し、選択した変換パターンに基づき直接修正対象権限情報を直接修正すると共に、その内容を権限修正実績情報2130に記録する。また、直接修正部1030は、選択されなかった変換パターンの情報についても、権限修正実績情報2130に記録する。以上で直接修正処理s1000は終了する(s1013)。
【0090】
具体的には、直接修正部1030は、変換情報2300を参照し、s1007で番号2301を取得したレコードのうち、s1007で最も高い優先度を設定した変換パターンに係るレコードの内容(変換前情報2302、変換後情報2303)に従い、s1003で取得した直接修正対象権限情報の内容を、直接修正する。
【0091】
そして、直接修正部1030は、権限修正実績情報2130に新たなレコードを作成し、変換前情報2133にs1001で検出した稼働情報2040を設定し、変換情報2134に前記最も優先度が高い変換パターン(変換情報)を設定し、変換後情報2135に前記最も優先度が高い変換パターン(変換情報)に係る変換情報2300のレコードの権限修正情報2310の内容(修正後の権限情報2020)を設定し、修正経緯2136に「直接修正」を設定する。
【0092】
また、直接修正部1030は、権限修正実績情報2130に新たなレコードを作成し、変換前情報2133にs1001で検出した稼働情報2040を設定し、変換情報2134に前記最も優先度が高い変換パターン(変換情報)以外の変換パターン(変換情報)を設定し、変換後情報2135に前記最も優先度が高い変換パターン(変換情報)以外の変換パターン(変換情報)に係る変換情報2300のレコードの権限修正情報2310の内容(すなわち選択されなかった変換情報2300による変換後の権限情報2020)を設定し、修正経緯2136に「未使用」を設定する。
【0093】
また、直接修正部1030は、変換情報2300における、前記最も優先度が高い変換パターン(変換情報)に係る変換情報のレコードの許可2304の値を1増加させる。
【0094】
また、直接修正部1030は、権限修正制御情報2120を参照し、s1003で取得
した、メタデータ2022に存在する権限情報2020(すなわち直接修正対象権限情報)が、対象権限情報2122に設定されているレコードの直接修正2123の結果通知21233が「必要」である場合に、同レコードの通知先21224が示すユーザシステム110に、直接修正の内容を示す情報を送信する。ユーザシステム110は、この情報を画面に表示する。
した、メタデータ2022に存在する権限情報2020(すなわち直接修正対象権限情報)が、対象権限情報2122に設定されているレコードの直接修正2123の結果通知21233が「必要」である場合に、同レコードの通知先21224が示すユーザシステム110に、直接修正の内容を示す情報を送信する。ユーザシステム110は、この情報を画面に表示する。
【0095】
一方、s1015において入出力部1010は、s1007で特定した全ての直接修正適用可能変換パターンを表示してユーザ提案を行う画面(直接修正提案画面)を表示する。その後、直接修正部1030は、ユーザ応答受付処理s3000(詳細は後述)を実行する。その後、直接修正処理s1000は終了する(s1013)。
【0096】
(直接修正提案画面)
図18は、直接修正提案画面5000の一例を示す図である。直接修正提案画面5000は、稼働情報表示欄5100と、1又は複数の変換情報2300の内容が優先度の順に表示される修正提案表示欄5200と、実行指定欄5300とを備える。
図18は、直接修正提案画面5000の一例を示す図である。直接修正提案画面5000は、稼働情報表示欄5100と、1又は複数の変換情報2300の内容が優先度の順に表示される修正提案表示欄5200と、実行指定欄5300とを備える。
【0097】
稼働情報表示欄5100は、稼働情報2040が表示される稼働情報表示部5101と、その稼働情報により特定される権限情報2020に対する修正を本ユーザに対しては実行しない旨の入力(ユーザ修正経緯禁止入力)を本ユーザから受け付ける経緯禁止指定欄5102とを備える。
【0098】
修正提案表示欄5200は、各変換情報2300について、その変換情報2300による変換前後の権限情報2020の間の関係性の強さ(属性情報のマッチングの数等)と、その変換に関するユーザ許可入力及びユーザ変換禁止入力のこれまでのそれぞれの合計回数とが表示される基本情報表示欄5210と、その変換情報2300による変換後の権限情報2020の内容が表示される修正後権限情報表示欄5211と、本ユーザからユーザ許可入力を受け付けるユーザ許可欄5212と、本ユーザからユーザ変換禁止入力を受け付けるユーザ変換禁止欄5213とを有する。なお、修正後権限情報表示欄5211は、変換後の権限情報2020に対するさらなる修正としての本ユーザからのユーザ修正入力を受け付けることができる。
【0099】
実行指定欄5300は、経緯禁止指定欄5102、ユーザ許可欄5212、及びユーザ変換禁止欄5213の指定を確定して直接修正を実行する旨の入力を本ユーザから受け付ける。
【0100】
<間接修正処理>
図19は、間接修正処理S2000の一例を説明するフロー図である。間接修正処理s2000は、例えば、アプリケーション実行処理s3の実行開始後、所定の時刻に、又は所定の時間間隔、又は、ユーザもしくは管理者から指定されたタイミング等で繰り返し実行される。
図19は、間接修正処理S2000の一例を説明するフロー図である。間接修正処理s2000は、例えば、アプリケーション実行処理s3の実行開始後、所定の時刻に、又は所定の時間間隔、又は、ユーザもしくは管理者から指定されたタイミング等で繰り返し実行される。
【0101】
まず、アクセス権限管理装置1000の間接修正部1040は、権限情報2020の直接修正を検出し、検出した、直接修正された権限情報2020(以下、間接修正対象権限情報という)に対して間接修正を実行可能であるかを確認する(s2001)。
【0102】
具体的には、間接修正部1040は、権限修正実績情報2130を参照し、修正経緯2136が「直接修正」である新規レコードを検出した場合に、そのレコードの変換後情報2135(具体的には、権限情報2020)の内容を取得する(すなわち間接修正対象権限情報)。そして間接修正部1040は、取得した変換後情報2135の内容が権限情報2121に設定されている権限修正制御情報2120のレコードの間接修正2124の実
行21241が「許可」となっているか否かを確認する。
行21241が「許可」となっているか否かを確認する。
【0103】
そして、間接修正部1040は、s2001で取得した間接修正対象権限情報に関連する権限情報2020(以下、関連権限情報という)を、知識情報2200に基づき抽出し、抽出した関連権限情報の間接修正のための処理を実行可能であるか否かを、権限修正制御情報2120に基づき判定する(s2003)。
【0104】
具体的には、間接修正部1040は、知識情報2200を参照し、番号2201に、s2001で取得した権限修正実績情報2130の変換後情報2135の内容(すなわち間接修正対象権限情報)が設定されているレコードのメタデータ2202の属性情報を取得する。そして、間接修正部1040は、知識情報2200を参照し、前記取得した属性情報と類似する属性情報を有する、権限情報2020が番号2201に設定されているレコード(例えば、ユーザ及びプログラムが同じである権限情報2020のレコード)を特定することで、その番号2201が示す権限情報2020を抽出する(すなわち関連権限情報)(例えば、2220におけるAに対して、BとC)。また、間接修正部1040は、権限修正制御情報2120を参照し、権限情報2121にs2001で取得した変換後情報2135の内容(すなわち間接修正対象権限情報)が設定されているレコードの間接修正2124の提案21242が「許可」となっているか否かを判定する。
【0105】
間接修正のための処理を実行可能でない場合は(s2003:提案:拒否)、間接修正処理s2000は終了し(s2013)、間接修正のための処理を実行可能である場合は(s2003:提案:許可)、間接修正部1040はs2005の処理を実行する。
【0106】
s2005において間接修正部1040は、s2003で特定した間接修正対象権限情報に対する間接修正が、修正を行わない例外事由に該当しているか否かを、修正経緯禁止情報2220に基づき確認する。
【0107】
具体的には、間接修正部1040は、修正経緯禁止情報2220を参照し、ユーザ2222に、本ユーザが設定され、修正前情報2223にs2001で取得した、権限修正実績情報2130の変換後情報2135の内容(すなわち間接修正対象権限情報)が設定され、修正後情報2224に、s2001で抽出した、知識情報2200のメタデータ2202における権限情報2020(すなわち関連権限情報)が設定されているレコードがあるか否かを判定する。
【0108】
間接修正対象権限情報に対する間接修正が、修正を行わない例外事由に該当している場合は(s2005:該当する)、間接修正処理s2000は終了する(s2013)。間接修正対象権限情報に対する間接修正が、修正を行わない例外事由に該当しない場合は(s2005:該当しない)、間接修正部1040はs2007の処理を実行する。
【0109】
s2007において間接修正部1040は、変換情報2300及び変換禁止情報2210に基づき、間接修正対象権限情報に対する間接修正に適用可能な変換パターン(以下、間接修正適用可能変換パターンという)を、除外すべき変換パターンを除外しつつ全て特定する。さらに間接修正部1040は、知識情報2200を参照して権限情報2020間の関係性の強さを特定することで、間接修正適用可能変換パターンのそれぞれの優先度を、知識情報2200に基づき設定する。
【0110】
具体的には、まず、間接修正部1040は、変換情報2300を参照し、s2001で検出した権限修正実績情報2130のレコードの変換情報2134が、番号2301に設定されている変換情報2300のレコードの変換後情報2303を特定し(先に行った直接修正を特定)、特定した変換後情報2303が変換前情報2302に設定されている、
変換情報2300の他のレコードをその番号2301(すなわち直接修正に対応した間接修正適用可能変換パターン)と共に全て特定する。この際、間接修正部1040は、変換禁止情報2210を参照し、ユーザ2212に本ユーザが設定され、変換情報2213に前記特定した番号2301の内容(間接修正適用可能変換パターン)が設定されているレコードを確認することで、除外すべき間接修正適用可能変換パターンを除外する。
変換情報2300の他のレコードをその番号2301(すなわち直接修正に対応した間接修正適用可能変換パターン)と共に全て特定する。この際、間接修正部1040は、変換禁止情報2210を参照し、ユーザ2212に本ユーザが設定され、変換情報2213に前記特定した番号2301の内容(間接修正適用可能変換パターン)が設定されているレコードを確認することで、除外すべき間接修正適用可能変換パターンを除外する。
【0111】
次に、間接修正部1040は、変換情報2300を参照し、前記特定した各間接修正適用可能変換パターンが番号2301に設定されているレコードの変換後情報2303が示す権限修正情報2310(すなわち変換後の権限情報2020)をそれぞれ取得する。そして、間接修正部1040は、知識情報2200を参照し、前記取得した権限修正情報2310における権限情報2020が番号2201に設定されているレコードのメタデータ2202の属性情報を取得する。間接修正部1040は、一方で、s2001で取得した権限修正実績情報2130の変換後情報2135の内容たる権限情報2020(すなわち間接修正対象権限情報)を取得する。そして、間接修正部1040は、知識情報2200を参照し、番号2201に、前記取得した権限情報2020が設定されているレコードのメタデータ2202の属性情報を取得する。そして、直接修正部1030は、特定したそれぞれの属性情報の共通度(属性情報の一致の数)が多い順に、前記特定した各間接修正適用可能変換パターンの優先度を高く設定する。
【0112】
なお、間接修正部1040は、この優先度の設定において、変換情報2300の許可2304又は変換禁止2305の回数に応じて、各間接修正適用可能変換パターンの優先度を上下させてもよい(例えば、許可2304に係る回数が多いほど優先度を上げ、変換禁止2305に係る回数が多いほど優先度を下げる)。
【0113】
次に、間接修正部1040は、s2007で特定した変換パターンに基づく権限情報2020の間接修正に関する承認通知を行うか否かを判定する(s2009)。具体的には、間接修正部1040は、権限修正制御情報2120を参照し、s2003で知識情報2200から取得したメタデータ2202の権限情報2020(間接修正対象権限情報)が対象権限情報2122に設定されているレコードの間接修正2124の承認通知21243に「必要」が設定されているか否かを判定する。
【0114】
承認通知を行う場合は(s2009:承認通知:必要)、間接修正部1040はs2015の処理を実行し、承認通知を行わない場合は(s2009:承認通知:不要)、間接修正部1040は、s2011の処理を実行する。
【0115】
s2011において間接修正部1040は、s2007で特定した全ての間接修正適用可能変換パターンのうち最も優先度が高い変換パターンを選択し、選択した変換パターンに基づき、間接修正対象権限情報を間接修正すると共に、その内容を権限修正実績情報2130に記録する。また、間接修正部1040は、それ以外の変換パターンの情報についても、権限修正実績情報2130に記録する。以上で間接修正処理s2000は終了する(s2013)。
【0116】
具体的には、間接修正部1040は、変換情報2300を参照し、s2007で番号2301(変換パターン)を特定した各レコードのうち、s2007で最も高い優先度を設定した間接修正適用可能変換パターンに係るレコードの内容(変換前情報2302、変換後情報2303)に従い、s2001で取得した権限修正実績情報2130の変換後情報2135の内容(すなわち間接修正対象権限情報)を、間接修正する。
【0117】
そして、間接修正部1040は、権限修正実績情報2130に新たなレコードを作成し、変換前情報2133に、s2001で取得した権限修正実績情報2130の変換後情報
2135の内容(すなわち間接修正対象権限情報)を設定し、変換情報2134に前記最も優先度が高い変換パターン(変換情報)を設定し、変換後情報2135に前記最も優先度が高い変換パターン(変換情報)に係る変換情報のレコードの権限修正情報2310の内容(修正後の権限情報2020)を設定し、修正経緯2136に「間接修正」を設定する。
2135の内容(すなわち間接修正対象権限情報)を設定し、変換情報2134に前記最も優先度が高い変換パターン(変換情報)を設定し、変換後情報2135に前記最も優先度が高い変換パターン(変換情報)に係る変換情報のレコードの権限修正情報2310の内容(修正後の権限情報2020)を設定し、修正経緯2136に「間接修正」を設定する。
【0118】
また、間接修正部1040は、権限修正実績情報2130に新たなレコードを作成し、変換前情報2133に、s2001で取得した権限修正実績情報2130の変換後情報2135の内容(すなわち間接修正対象権限情報)を設定し、変換情報2134に、前記最も優先度が高い変換パターン(変換情報)以外の変換パターン(変換情報)を設定し、変換後情報2135に、前記最も優先度が高い変換パターン(変換情報)以外の変換パターン(変換情報)に係る変換情報2300のレコードの権限修正情報2310の内容を設定し、修正経緯2136に「未使用」を設定する。
【0119】
また、間接修正部1040は、変換情報2300における、前記最も優先度が高い変換パターン(変換情報)に係る変換情報のレコードの許可2304の値を1増加させる。
【0120】
また、間接修正部1040は、権限修正制御情報2120を参照し、s2001で取得した、権限修正実績情報2130の変換後情報2135の内容(すなわち間接修正対象権限情報)が、対象権限情報2122に設定されているレコードの間接修正2124の結果通知21244が「必要」である場合に、同レコードの通知先21245が示すユーザシステム110に、間接修正の内容を示す情報を送信する。ユーザシステム110は、この情報を画面に表示する。
【0121】
一方、s2015において入出力部1010は、s2007で特定した全ての間接修正適用可能変換パターン(変換情報)を表示してユーザ提案を行う画面(間接修正提案画面)を表示する。その後、間接修正部1040は、ユーザ応答受付処理s3000(詳細は後述)を実行する。その後、間接修正処理s2000は終了する(s2013)。
【0122】
(間接修正提案画面)
図20は、間接修正提案画面6000の一例を示す図である。間接修正提案画面6000は、修正前権限情報表示欄6100と、1又は複数の変換情報2300の内容が優先度の順に表示される修正提案表示欄6200と、実行指定欄6300とを備える。
図20は、間接修正提案画面6000の一例を示す図である。間接修正提案画面6000は、修正前権限情報表示欄6100と、1又は複数の変換情報2300の内容が優先度の順に表示される修正提案表示欄6200と、実行指定欄6300とを備える。
【0123】
修正前権限情報表示欄6100は、権限情報2020が表示される変換前情報表示部6101と、その権限情報2020に対する修正を本ユーザに対しては実行しない旨の入力(ユーザ修正経緯禁止入力)を本ユーザから受け付ける経緯禁止指定欄6102とを備える。
【0124】
修正提案表示欄6200は、各変換情報2300について、その変換情報2300による変換前後の権限情報2020の間の関係性の強さ(属性情報のマッチングの数等)と、その変換に関するユーザ許可入力及びユーザ変換禁止入力のこれまでのそれぞれの合計回数とが表示される基本情報表示欄6210と、変換後の権限情報2020の内容が表示される修正後権限情報表示欄6211と、本ユーザからユーザ許可入力を受け付けるユーザ許可欄6212と、本ユーザからユーザ変換禁止入力を受け付けるユーザ変換禁止欄6213とを有する。なお、修正後権限情報表示欄6211は、変換後の権限情報2020に対する更なる修正としての本ユーザからのユーザ修正入力を受け付けることができる。
【0125】
実行指定欄6300は、経緯禁止指定欄6102、ユーザ許可欄6212、及びユーザ変換禁止欄6213の指定を確定し直接修正を実行する旨の入力を本ユーザから受け付け
る。
る。
【0126】
<ユーザ応答受付処理>
図21は、ユーザ応答受付処理s3000の一例を説明するフロー図である。
図21は、ユーザ応答受付処理s3000の一例を説明するフロー図である。
【0127】
入出力部1010は、直接修正提案画面5000又は間接修正提案画面6000でユーザから入力された情報が、(1)ユーザ許可入力された直接修正適用可能変換パターン又は間接修正適用可能変換パターン(以下、ユーザ許可変換情報という)と、(2)ユーザ許可入力されかつユーザ修正入力された直接修正適用可能変換パターン又は間接修正適用可能変換パターン(以下、ユーザ許可修正変換情報という)と、(3)ユーザ変換禁止入力された直接修正適用可能変換パターン又は間接修正適用可能変換パターン(以下、ユーザ変換禁止変換情報という)と、(4)ユーザ経緯禁止入力された直接修正適用可能変換パターン又は間接修正適用可能変換パターン(以下、ユーザ経緯禁止変換情報という)と、(5)それ以外の直接修正適用可能変換パターン又は間接修正適用可能変換パターン(ユーザにより何も選択されなかった変換情報2300。以下、無選択変換情報という。)のいずれに該当するかをそれぞれ特定する(s3001)。
【0128】
具体的には、入出力部1010は、直接修正提案画面5000の経緯禁止指定欄5102、ユーザ許可欄5212、及びユーザ変換禁止欄5213の選択有無に基づき各変換情報を特定する。もしくは、入出力部1010は、間接修正提案画面6000の経緯禁止指定欄6102、ユーザ許可欄6212、及びユーザ変換禁止欄6213の選択有無に基づき変換情報を特定する。
【0129】
入出力部1010は、s3001で特定した変換情報の種類に応じて、s3003~s3013の処理を以下のように実行する。
【0130】
ユーザ許可変換情報の場合、s3003において、入出力部1010は、ユーザ許可変換情報に基づき権限情報2020を修正する。その後はs3007の処理が行われる。
【0131】
具体的には、直接修正部1030は、s1007又はs2007で番号2301を取得した変換情報2300のレコードのうちユーザ許可変換情報に係るレコードの内容(変換前情報2302、変換後情報2303)に従い、s1003で取得した、知識情報220のメタデータ2202の権限情報2020の内容(直接修正対象権限情報)又はs2001で取得した権限修正実績情報2130の変換後情報2135の内容(すなわち間接修正対象権限情報)を、直接修正又は間接修正する。
【0132】
さらに、入出力部1010は、変換情報2300におけるユーザ許可変換情報に係るレコードの許可2304の値を1増加させることで、変換情報2300を更新する。また、入出力部1010は、権限修正実績情報2130に新たなレコードを作成し、変換前情報2133、変換情報2134、及び変換後情報2135に、前記権限情報2020の修正に用いた変換情報2300のレコードの変換前情報2302、番号2301、及び変換後情報2303をそれぞれ設定し、修正経緯2136に「直接修正」又は「間接修正」を設定する(権限情報2020の修正の履歴の追加)。
【0133】
ユーザ許可修正変換情報の場合、s3005において、入出力部1010は、ユーザ許可修正変換情報を示す権限修正情報2310を作成して変換情報2300に登録する。また、入出力部1010は、この権限修正情報2310の属性情報を知識情報2200に登録する。また、入出力部1010は、登録した変換情報2300に基づき、権限情報2020を修正し、その修正内容を権限修正実績情報2130に追加する。その後はs3007の処理が行われる。
【0134】
具体的には、入出力部1010は、s1007又はs2007で取得した番号2301(変換パターン)に係る変換情報2300のレコードのうちユーザ許可変換情報に係るレコードの内容と、修正後権限情報表示欄5211、6211にてユーザ修正された情報とを加えた内容(すなわちユーザ許可修正変換情報)を、s1003で取得した権限情報2020の内容(すなわち直接修正対象権限情報)又はs2001で取得した権限修正実績情報2130の変換後情報2135の内容(すなわち間接修正対象権限情報)に反映させた権限情報2020を新たな権限修正情報2310として作成する。そして、入出力部1010は、変換情報2300に新規レコードを作成し、作成したレコードの変換前情報2302に前記変換前の権限情報2020を設定し、変換後情報2303に、前記反映した権限情報2020を設定する。
【0135】
また、入出力部1010は、知識情報2200に新規レコードを作成し、番号2201に前記作成した新たな権限修正情報2310を設定し、メタデータ2202に、前記変換前の権限情報2020の属性情報(例えば、ユーザ、プログラム、実行部、稼働情報)を設定する。
【0136】
また、入出力部1010は、前記新規作成した変換情報2300のレコードの内容(変換前情報2302、変換後情報2303)に従い、s1003で取得した権限情報2020の内容(直接修正対象権限情報)又はs2001で取得した権限修正実績情報2130の変換後情報2135の内容(すなわち間接修正対象権限情報)を、直接修正又は間接修正する。
【0137】
さらに、入出力部1010は、権限修正実績情報2130に新たなレコードを作成し、変換前情報2133、変換情報2134、及び変換後情報2135に、前記権限情報2020の修正に用いた変換情報2300のレコードの変換前情報2302、番号2301、及び変換後情報2303をそれぞれ設定し、修正経緯2136に「直接修正」又は「間接修正」を設定する。
【0138】
s3007において入出力部1010は、s3003又はs3005において権限情報2020を修正したことをユーザに通知する。その後は、s3015の処理が行われる。
【0139】
具体的には、入出力部1010は、s1003で取得した権限情報2020の内容(直接修正対象権限情報)又はs2001で取得した権限修正実績情報2130の変換後情報2135の内容(すなわち間接修正対象権限情報)が対象権限情報2122に設定されている権限修正制御情報2120のレコードの直接修正2123の結果通知21233又は間接修正2124の結果通知21244が「必要」になっていれば、同レコードの通知先21234、21245が示すユーザシステム110に、権限情報2020を修正したことを示す通知を送信する。
【0140】
ユーザ変換禁止変換情報の場合、s3009において入出力部1010は、ユーザ禁止変換情報を変換禁止情報2210に登録し、変換情報2300に今回のユーザ禁止入力の旨を設定し、権限修正実績情報2130にユーザ禁止入力の旨を設定する。その後、ユーザ応答受付処理s3000は終了する(s3015)。
【0141】
具体的には、入出力部1010は、変換禁止情報2210の新規レコードのユーザ2211に本ユーザの情報を設定し、変換情報2213にユーザ禁止変換情報を設定する。また、入出力部1010は、変換情報2300のユーザ禁止変換情報に係るレコードの許可2304の値を1増加させる。また、入出力部1010は、権限修正実績情報2130の新規レコードの変換前情報2133に、s1003で取得した権限情報2020の内容(
直接修正対象権限情報)又はs2001で取得した権限修正実績情報2130の変換後情報2135の内容(間接修正対象権限情報)を設定し、変換情報2134に、ユーザ禁止変換情報に係る変換情報2300を設定し、変換後情報2135に、s1007又はs2007で特定した知識情報2200のレコードの権限修正情報2310の内容(変換後の権限情報2020)を設定し、修正経緯2136に「禁止」を設定する。
直接修正対象権限情報)又はs2001で取得した権限修正実績情報2130の変換後情報2135の内容(間接修正対象権限情報)を設定し、変換情報2134に、ユーザ禁止変換情報に係る変換情報2300を設定し、変換後情報2135に、s1007又はs2007で特定した知識情報2200のレコードの権限修正情報2310の内容(変換後の権限情報2020)を設定し、修正経緯2136に「禁止」を設定する。
【0142】
ユーザ経緯禁止変換情報の場合、s3011において入出力部1010は、修正経緯禁止情報2220にユーザ経緯禁止に関する情報を登録する。その後、ユーザ応答受付処理s3000は終了する(s3015)。
【0143】
具体的には、入出力部1010は、修正経緯禁止情報2220のユーザ2221に本ユーザを設定し、修正前情報2223に、s1001で検出した稼働情報2040又はs2001で検出した権限情報2020を設定し、修正後情報2224に、s1007又はs2007で特定した知識情報2200のレコードの権限修正情報2310の内容(変換後の権限情報2020)を設定する。
【0144】
s3013において入出力部1010は、権限修正実績情報2130に、未選択であることを示す情報を登録する。その後、ユーザ応答受付処理s3000は終了する(s3015)。
【0145】
具体的には、入出力部1010は、権限修正実績情報2130の新規レコードの変換前情報2133に、s1003で取得した権限情報2020の内容(すなわち直接修正対象権限情報)又はs2001で取得した権限修正実績情報2130の変換後情報2135の内容(すなわち間接修正対象権限情報)を設定し、変換情報2134に、無選択変換情報に係る変換情報2300を設定し、変換後情報2135に、s1007又はs2007で特定した知識情報2200のレコードの権限修正情報2310の内容(変換後の権限情報2020)を設定し、修正経緯2136に「未使用」を設定する。
【0146】
(権限修正実績管理画面)
図22は、アクセス権限管理装置1000が表示する、権限修正実績情報2130の内容を表示した画面である権限修正実績管理画面7000の一例を示す図である。権限修正実績管理画面7000は、各権限情報2020の修正履歴の表示欄7100(7100A、7100B、7100C)を備える。
図22は、アクセス権限管理装置1000が表示する、権限修正実績情報2130の内容を表示した画面である権限修正実績管理画面7000の一例を示す図である。権限修正実績管理画面7000は、各権限情報2020の修正履歴の表示欄7100(7100A、7100B、7100C)を備える。
【0147】
修正履歴の表示欄7100Aは、稼働情報2040A1に基づく直接修正を表示しており、直接修正提案画面5000で提案された3つの変換情報2300A1、2300A1a、2300A1bのうちユーザ許可入力された変換情報2300A1aに基づく直接修正により、修正された権限情報2020A1が生成されたことを示している。なお、3つの変換情報2300A1、2300A1a、2300A1bは、例えば、ユーザ許可された変換情報2300、ユーザ変換禁止された変換情報2300、未選択の変換情報2300である。
【0148】
修正履歴の表示欄7100Bは、稼働情報2040A1に基づく直接修正及びこれに基づく間接修正を表示しており、直接修正提案画面5000で提案された3つの変換情報2300A1、2300A1a、2300A1bのうちユーザ許可入力された変換情報2300A1aに基づく直接修正により、修正された権限情報2020A1が生成され、また、間接修正提案画面6000で提案された3つの変換情報2300B1、2300B1a、2300B1bのうちユーザ許可入力された変換情報2300B1bに基づく間接修正により、修正された権限情報2020B1が生成されたことを示している。
【0149】
修正履歴の表示欄7100Cは、稼働情報2040A1に基づく直接修正及びこれに起因する複数の間接修正を表示しており、直接修正提案画面5000で提案された3つの変換情報2300A1、2300A1a、2300A1bのうちユーザ許可入力された変換情報2300A1aに基づく直接修正により修正された権限情報2020A1が生成され、間接修正提案画面6000で提案された3つの変換情報2300B1、2300B1a、2300B1bのうちユーザ許可入力された変換情報2300B1aに基づく間接修正により修正された権限情報2020C1が生成され、さらに、修正された権限情報2020Z1が生成されたことを示している。
【0150】
<再利用処理>
図23は、再利用処理s4000の一例を説明するフロー図である。
再利用部1050は、第1画面3100のプログラム指定欄3101、3201に、ユーザからプログラム2030の指定がなされたことを検知すると(s4001)、指定されたプログラム2030に対応する権限情報2020及び実行部1020の組み合わせを抽出する(s4003)。
図23は、再利用処理s4000の一例を説明するフロー図である。
再利用部1050は、第1画面3100のプログラム指定欄3101、3201に、ユーザからプログラム2030の指定がなされたことを検知すると(s4001)、指定されたプログラム2030に対応する権限情報2020及び実行部1020の組み合わせを抽出する(s4003)。
【0151】
具体的には、再利用部1050は、知識情報2200から、指定されたプログラム2030に係るレコードのメタデータ2202を取得し、取得したメタデータ2202から実行部1020及びこれに対応する稼働情報2040の組み合わせを全て取得する。再利用部1050は、権限修正実績情報2130を参照し、取得した稼働情報2040が変換前情報2133に設定されているレコードの変換後情報2135を取得する。再利用部は、権限修正実績情報2130を参照し、取得した変換後情報2135の内容(権限情報2020)が変換後情報2135に設定されている最新のレコードを特定し、特定した権限情報2020を取得する。
【0152】
再利用部1050は、s4003で抽出した権限情報2020及び実行部1020の組み合わせを、実行管理画面3000の権限情報提案欄3106、3204に表示する。
【0153】
以上に説明したように、本実施形態のアクセス権限管理装置1000は、第1のユーザシステム110Aからアプリケーション(プログラム2030)へのアクセスに必要なアクセス権限を示す直接修正対象権限情報が修正された場合に、直接修正対象権限情報と関連性を有する、第2のユーザシステム110Cからアプリケーションへのアクセスに必要なアクセス権限を示す間接修正対象権限情報を、知識情報220に基づき特定し、直接修正対象権限情報の修正内容を間接修正対象権限情報に対応した修正内容に変換し、変換した修正内容にて、間接修正対象権限情報を間接修正する。
【0154】
このように、本実施形態のアクセス権限管理装置1000は、あるユーザシステム110の権限情報2020が修正された場合に、その修正内容を、当該ユーザシステム110と関連性を有する他のユーザシステム110の権限情報2020用に変換し、変換した修正内容を当該他のユーザシステム110の権限情報2020に反映する。
すなわち、本実施形態のアクセス権限管理装置1000によれば、アプリケーションを実行する複数のシステムのそれぞれのアクセス権限を適切に設定することができる。
すなわち、本実施形態のアクセス権限管理装置1000によれば、アプリケーションを実行する複数のシステムのそれぞれのアクセス権限を適切に設定することができる。
【0155】
また、本実施形態のアクセス権限管理装置1000は、知識情報220に基づき、間接修正対象権限情報を特定し、権限情報2020の修正内容を他の形式の修正内容に変換する変換情報2300に基づき、直接修正対象権限情報の修正内容を間接修正対象権限情報に対応した修正内容に変換し、変換した修正内容にて間接修正対象権限情報を修正した場合の、当該変換情報2300を特定し、その変換情報2300の情報を表示する。
【0156】
このように、変換情報2300に基づいた間接修正対象権限情報の修正を行った場合の
その変換情報を表示することで、ユーザは、どのような内容にて間接修正が実行されるのか又は実行されたのかを知ることができる。
その変換情報を表示することで、ユーザは、どのような内容にて間接修正が実行されるのか又は実行されたのかを知ることができる。
【0157】
また、本実施形態のアクセス権限管理装置1000は、変換情報2300に基づく、間接修正対象権限情報の修正を実行可能か否かを、権限修正制御情報2120の間接修正2124の実行21241の判定情報に基づき判定し、間接修正対象権限情報の修正を実行可能と判定した場合に、ユーザから、当該修正を実行するか否かの確認の入力(ユーザ提案)を受け付け、当該修正を実行する旨の確認の入力を受け付けた場合に、間接修正対象権限情報を修正する。
【0158】
このように、間接修正対象権限情報の修正(間接修正)をそもそも実行可能か否か、また、実行する場合にはユーザから確認の入力を受け付けることで、間接修正の適用の運用の柔軟性を高めることができる。
【0159】
また、本実施形態のアクセス権限管理装置1000は、複数の変換情報2300のそれぞれに基づく、間接修正対象権限情報の各修正に係る確認の入力の履歴を変換情報2300の許可2304で管理し、知識情報2200に基づき、各変換情報2300と間接修正対象権限情報との間の関係性の強さをそれぞれ特定し、特定した各関係性の強さと、各修正に係る上記確認の履歴とに基づき、各変換情報2300のそれぞれの優先度を決定し、決定した各優先度に基づき、間接修正対象権限情報を修正するために用いる各変換情報2300を表示する。
【0160】
このように、ユーザによる各変換情報2300の確認履歴と、変換情報2300と間接修正対象権限情報との間の関係性とに基づき決定される優先度に従って、各変換情報2300を表示することで、より適切な変換情報2300をよりわかりやすくユーザに提示することができる。
【0161】
また、本実施形態のアクセス権限管理装置1000は、ユーザから、変換情報2300に基づく修正内容により間接修正対象権限情報を今回修正するか、今回修正しないか、又は以後修正しないかのいずれかの選択の入力を受け付け、過去の入力された当該選択の履歴を表示する。
【0162】
これにより、ユーザは過去に自身が採用したポリシーを確認し、今後の間接修正の運用に役立てることができる。
【0163】
また、本実施形態のアクセス権限管理装置1000は、アプリケーションの指定をユーザから受け付け、アプリケーションが指定された場合に、権限修正実績情報2130及び知識情報2200に基づき、指定されたアプリケーションにアクセス可能なプログラム及びアクセス権限情報を表示する。
【0164】
これにより、ユーザは、過去のアクセス権限情報の修正履歴に基づき、指定したアプリケーションに対応した、実行部及びアクセス権限情報を知ることができる。
【0165】
また、本実施形態のアクセス権限管理装置1000は、間接修正対象権限情報を修正するための変換ルールが特定された場合に、変換禁止情報2210及び修正経緯禁止情報2220に基づき、間接修正対象権限情報を修正するか否かを判定し、間接修正対象権限情報を修正すると判定した場合にのみ、間接修正対象権限情報を修正する。
【0166】
このように、間接修正対象権限情報の変換を行わない例外ルールを設けることで、ユーザは、間接修正対象権限情報が不正確に書き換えられ、アプリケーションの運用に支障を
きたすことを防ぐことができる(例えば、第1アクセス権限情報に基づく間接修正対象権限情報の内容の信頼性が高くない場合)。
きたすことを防ぐことができる(例えば、第1アクセス権限情報に基づく間接修正対象権限情報の内容の信頼性が高くない場合)。
【0167】
また、本実施形態のアクセス権限管理装置1000は、前変換ルール(直接修正のための変換情報2300)に基づく、直接修正対象権限情報の修正を実行可能か否かを、権限修正制御情報2120の直接修正2114の実行21141の判定情報に基づき判定し、直接修正対象権限情報の修正を実行可能と判定した場合に、ユーザから、当該修正を実行するか否かの確認の入力を受け付け、当該修正を実行する旨の確認の入力を受け付けた場合に、直接修正対象権限情報を修正する。
【0168】
このように、直接修正対象権限情報の修正(直接修正)をそもそも実行するか否か、また、実行する場合にはユーザから確認の入力を受け付けることで、直接修正の適用の運用の柔軟性を高めることができる。
【0169】
また、本実施形態のアクセス権限管理装置1000は、複数の変換情報2300のそれぞれに基づく、直接修正対象権限情報の各修正に係る確認の入力の履歴を変換情報2300の許可2304で管理し、知識情報2200に基づき、各変換情報2300と直接修正対象権限情報との間の関係性の強さをそれぞれ特定し、特定した各関係性の強さと、各修正に係る上記確認の履歴とに基づき、各変換情報2300のそれぞれの優先度を決定し、決定した各優先度に基づき、直接修正対象権限情報を修正するために用いる各変換情報2300を表示する。
。
。
【0170】
このように、ユーザによる各変換情報2300の確認履歴と、変換情報2300と直接修正対象権限情報との間の関係性とに基づき決定される優先度に従って、各変換情報2300を表示することで、より適切な変換情報2300をよりわかりやすくユーザに提示することができる。
【0171】
また、本実施形態のアクセス権限管理装置1000は、直接修正対象権限情報を修正するための前変換ルールが特定された場合に、変換禁止情報2210及び修正経緯禁止情報2220に基づき、間接修正対象権限情報を修正するか否かを判定し、直接修正対象権限情報を修正すると判定した場合にのみ、直接修正対象権限情報を修正する。
【0172】
このように、直接修正対象権限情報の変換を行わない例外ルールを設けることで、ユーザは、直接修正対象権限情報が不正確に書き換えられ、アプリケーションの運用に支障をきたすことを防ぐことができる(例えば、稼働情報2040におけるエラー情報の内容の信頼性が高くない場合)。
【0173】
本発明は上記実施形態に限定されるものではなく、その要旨を逸脱しない範囲内で、任意の構成要素を用いて実施可能である。以上説明した実施形態や変形例はあくまで一例であり、発明の特徴が損なわれない限り、本発明はこれらの内容に限定されるものではない。また、上記では種々の実施形態や変形例を説明したが、本発明はこれらの内容に限定されるものではない。本発明の技術的思想の範囲内で考えられるその他の態様も本発明の範囲内に含まれる。
【0174】
また、本実施形態の各装置が備える各機能の一部は他の装置に設けてもよいし、別装置が備える機能を同一の装置に設けてもよい。
【0175】
また、知識情報2200に基づくコンポーネント間の関係性(関連性ないし類似性)の特定の方法(マッチングの方法)は、本実施形態で説明した方法に限られない。例えば、
コンポーネント間で共通する属性情報の数、種類、又はパターンに応じて、コンポーネント間の関係性を特定する。
コンポーネント間で共通する属性情報の数、種類、又はパターンに応じて、コンポーネント間の関係性を特定する。
【0176】
また、本実施形態で説明したアクセス権限管理装置1000の機能部の構成は一例であり、例えば、機能部の一部を他の機能部に組み込み、又は複数の機能部を一つの機能部として構成してもよい。
【符号の説明】
【0177】
1 アクセス権限管理システム、1000 アクセス権限管理装置、 1010 入出力部、1020 実行部、1030 直接修正部、1040 間接修正部、1050 再利用部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】