Nothing Special   »   [go: up one dir, main page]

JP4882550B2 - Object management system, object management method, and computer program - Google Patents

Object management system, object management method, and computer program Download PDF

Info

Publication number
JP4882550B2
JP4882550B2 JP2006183331A JP2006183331A JP4882550B2 JP 4882550 B2 JP4882550 B2 JP 4882550B2 JP 2006183331 A JP2006183331 A JP 2006183331A JP 2006183331 A JP2006183331 A JP 2006183331A JP 4882550 B2 JP4882550 B2 JP 4882550B2
Authority
JP
Japan
Prior art keywords
access
user
denied
access right
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006183331A
Other languages
Japanese (ja)
Other versions
JP2008015600A (en
Inventor
孝広 布井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Fujifilm Business Innovation Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd, Fujifilm Business Innovation Corp filed Critical Fuji Xerox Co Ltd
Priority to JP2006183331A priority Critical patent/JP4882550B2/en
Publication of JP2008015600A publication Critical patent/JP2008015600A/en
Application granted granted Critical
Publication of JP4882550B2 publication Critical patent/JP4882550B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Description

本発明は、文書の参照、編集、複写といったユーザからオブジェクトへのアクセス権限を設定可能なオブジェクト管理システム及びオブジェクト管理方法、並びにコンピュータ・プログラムに係り、特に、オブジェクトへのアクセスを拒否されたユーザに対してオブジェクトの管理者又は所有者がアクセス権を設定するオブジェクト管理システム及びオブジェクト管理方法、並びにコンピュータ・プログラムに関する。   The present invention relates to an object management system, an object management method, and a computer program that can set access authority to an object from a user such as document reference, editing, and copying, and more particularly to a user who is denied access to an object. The present invention relates to an object management system, an object management method, and a computer program in which an object manager or owner sets an access right.

情報技術の発展に伴い、文書を始めとする資源オブジェクトを電子データ化して、ネットワーク上で複数ユーザの利用に供するシステムが普及している。この種の文書管理システムでは、登録されている文書に対する参照、編集、複写といったユーザからのアクセスを制限するというアクセス権限の考え方が一般的である。とりわけ、ネットワークの利用範囲の拡大やシステムの分散化に伴い、コンピュータ・セキュリティと同様の問題が複雑な形で発生し、オブジェクトへのアクセス制御が不可欠の技術的課題である。   Along with the development of information technology, a system in which a resource object such as a document is converted into electronic data and used for a plurality of users on a network has become widespread. In this type of document management system, the concept of access authority that restricts access from a user, such as referencing, editing, and copying, for a registered document is common. In particular, with the expansion of the network usage range and the decentralization of systems, problems similar to computer security occur in a complex form, and access control to objects is an indispensable technical issue.

アクセス権管理の代表的な方法として、アクセス制御リスト(Access Control List:ACL)が知られている。アクセス制御リストは、個々のオブジェクトへのアクセスが許されているプリンシパル(ユーザやグループなど)と与えられているアクセス権限とをオブジェクト毎にリストとして管理するのが一般的な構造である。   As a typical method of access right management, an access control list (ACL) is known. The access control list generally has a structure in which principals (users, groups, etc.) permitted to access individual objects and access rights given are managed as a list for each object.

通常、アクセス権の設定は、オブジェクトを作成したときに親オブジェクトのアクセス権を引き継がせたり、オブジェクト作成時にアクセスするユーザが追加したりする。また、それ以降にオブジェクトを編集するときは、アクセス権を持たないユーザがオブジェクトにアクセスしようとすると、管理者に対して依頼を発行し、管理者はその都度アクセス権を付与する手続きを行なう必要があり、非常に手間がかかってしまうという問題がある。   Normally, the access right is set such that when the object is created, the access right of the parent object is taken over, or a user who accesses the object at the time of object creation adds. In addition, when editing an object after that, if a user who does not have access rights tries to access the object, a request is issued to the administrator, and the administrator must perform a procedure to grant the access right each time. There is a problem that it takes a lot of time and effort.

例えば、ネットワーク上に存在する制限的に利用可能な資源を利用する利用者からの要求によるアクセス権の設定が可能なアクセス権設定装置について提案がなされている(例えば、特許文献1を参照のこと)。同装置は、ネットワークの資源へのアクセスを制限された利用者からの、資源、時間、アクセス内容などのアクセス権の設定内容が記述されたアクセス要求情報を受信すると、このアクセス要求情報を資源の管理者へ転送し、管理者が要求内容を確認して承認を下したことに応答してアクセス権の設定を行なうようになっている。   For example, an access right setting device capable of setting an access right by a request from a user who uses a resource that can be used on a limited basis on a network has been proposed (see, for example, Patent Document 1). ). When the device receives access request information describing the access right setting contents such as resource, time, access content, etc. from a user whose access to the network resource is restricted, the device receives the access request information of the resource. It is transferred to the administrator, and the access right is set in response to the administrator confirming the request contents and giving approval.

しかしながら、利用者は、資源の利用が制限されているときにアクセス要求情報を作成してこれを管理者へ転送する手間を要する。また、管理者は、要求内容を確認しなければならないが、資源へのアクセス要求が頻繁に発生する場合には、その確認作業は煩わしいものとなる。   However, the user needs to create access request information and transfer it to the administrator when the use of resources is restricted. Further, the administrator must confirm the request contents. However, when the access request to the resource frequently occurs, the confirmation work becomes troublesome.

WO01/0820286WO01 / 0820286

本発明の目的は、文書の参照、編集、複写といったユーザからオブジェクトへのアクセス権限を好適に設定することができる、優れたオブジェクト管理システム及びオブジェクト管理方法、並びにコンピュータ・プログラムを提供することにある。   An object of the present invention is to provide an excellent object management system, object management method, and computer program capable of suitably setting a user's access authority to an object such as document reference, editing, and copying. .

本発明のさらなる目的は、オブジェクトへのアクセスを拒否されたユーザに対するアクセス権を、オブジェクトの管理者若しくは所有者により円滑に設定することができる、優れたオブジェクト管理システム及びオブジェクト管理方法、並びにコンピュータ・プログラムを提供することにある。   A further object of the present invention is to provide an excellent object management system, an object management method, and a computer which can smoothly set an access right for a user who is denied access to an object by an administrator or owner of the object. To provide a program.

本発明は、上記課題を参酌してなされたものであり、その第1の側面は、オブジェクトを記憶する記憶手段と、前記記憶手段に記憶されている各オブジェクトに対するアクセス権が与えられたユーザの識別子と該ユーザが持つアクセス権とを対応付けたアクセス権情報を記憶するアクセス権情報記憶手段と、前記記憶手段に記憶されているオブジェクトに対するアクセスの要求があったときに、前記アクセス権情報記憶手段に記憶されているアクセス権情報を参照して、該アクセスの要求元のユーザにオブジェクトへのアクセス権が与えられているかどうかを判断して、オブジェクトへのアクセスを制限するアクセス制御手段と、前記アクセス制御手段によってオブジェクトへのアクセスが拒否されたユーザの識別子、アクセスが拒否されたオブジェクトに対するアクセス権、並びにアクセスが拒否されたオブジェクトの識別子を含むアクセス拒否ユーザ情報を記憶するアクセス拒否ユーザ情報記憶手段と、前記記憶手段に記憶されているオブジェクトの管理者若しくは所有者に該オブジェクトに対する前記アクセス拒否ユーザ情報を提示するアクセス拒否ユーザ情報提示手段と、前記オブジェクトの管理者若しくは所有者からの要求に応じて、前記アクセス拒否ユーザ情報提示手段が提示したアクセス拒否ユーザ情報に含まれるユーザのアクセス権を前記アクセス権情報に設定又は設定内容の変更を行なうアクセス権設定手段を具備することを特徴とするオブジェクト管理システムである。   The present invention has been made in consideration of the above-mentioned problems. The first aspect of the present invention is that storage means for storing an object and a user who has been given access rights to each object stored in the storage means. An access right information storage unit that stores access right information that associates an identifier with an access right that the user has, and the access right information storage unit when there is a request for access to an object stored in the storage unit Access control means for referring to the access right information stored in the means to determine whether the access request to the object is given to the user who requested the access, and to restrict access to the object; The identifier of the user whose access to the object is denied by the access control means, the access is denied An access denied user information storage means for storing access denied user information including an access right to the object and an identifier of the object to which access is denied, and an administrator or owner of the object stored in the storage means to the object An access denied user information presenting means for presenting the access denied user information, and a user included in the access denied user information presented by the access denied user information presenting means in response to a request from an administrator or owner of the object An object management system comprising an access right setting means for setting an access right in the access right information or changing a setting content.

ネットワーク上のオブジェクトを管理する手法として、アクセス制御リストが一般的であるが、オブジェクトを作成した以降、これを編集しようとするユーザに新規のアクセス権を設定する作業は煩雑である。   As a technique for managing objects on the network, an access control list is generally used. However, after an object is created, it is complicated to set a new access right for a user who wants to edit the object.

そこで、本発明に係るオブジェクト管理システムでは、ユーザがオブジェクトにアクセスできなかった際には、アクセスできなかったユーザの情報をオブジェクト管理システム上で利用可能(読み出し及び書き込み可能)な状態で記録しておくようにしている。   Therefore, in the object management system according to the present invention, when the user cannot access the object, the information of the user who has not been able to access is recorded in a usable (readable and writable) state on the object management system. I am trying to keep it.

オブジェクトの所有者は、当該システムにアクセスすると、例えばオブジェクトのプロパティ画面上でボタンをクリックするだけで、当該オブジェクトにアクセスできなかったユーザ情報を呼び出すことができる。そして、このような選択操作に応答して、UI画面上では、アクセスできなかったユーザが一覧表示される。オブジェクトの所有者は、この画面を介して、自分のオブジェクトへのアクセスが拒否された各ユーザの情報を確認して、必要に応じて各ユーザにアクセス権を設定することができる。   When accessing the system, the owner of the object can call user information that could not access the object, for example, by simply clicking a button on the property screen of the object. In response to such a selection operation, a list of users that could not be accessed is displayed on the UI screen. The owner of the object can confirm the information of each user who is denied access to his / her object via this screen, and can set the access right for each user as necessary.

また、オブジェクトへのアクセス権には、一般に検索表示権、読み出し権、書き込み権などがある。本発明に係るオブジェクト管理システムでは、オブジェクトにアクセスしたユーザが、どのアクセス権が拒否されたときにユーザ情報を記録するかを、オブジェクトの管理者若しくは所有者が選択することができる。   The access right to the object generally includes a search display right, a read right, a write right, and the like. In the object management system according to the present invention, an administrator or owner of an object can select which access right is recorded by the user who accesses the object when the user information is recorded.

例えば、オブジェクトの管理者若しくは所有者がアクセス権のうち読み出し権のみを新規に設定したいときには、その旨をシステムに設定しておけば、上述したUI画面には、オブジェクトに対する読み出し権が拒否されたユーザ情報だけが一覧表示されるので、オブジェクトの管理者若しくは所有者はユーザ情報の確認を行ない易くなる。   For example, when the administrator or owner of an object wants to set only the read right among the access rights, if the fact is set in the system, the read right for the object is denied on the above-mentioned UI screen. Since only the user information is displayed in a list, it becomes easier for the administrator or owner of the object to check the user information.

また、本発明の第2の側面は、記憶手段に記憶されている各オブジェクトに対するアクセス権が与えられたユーザと該ユーザが持つアクセス権の内容を記憶するアクセス権情報に基づいてオブジェクトへのアクセスを制御するための処理をコンピュータ上で実行するようにコンピュータ可読形式で記述されたコンピュータ・プログラムであって、前記コンピュータに対して、前記記憶手段に記憶されているオブジェクトに対するアクセスの要求があったときに、前記アクセス権情報を参照して、該アクセスの要求元のユーザにオブジェクトへのアクセス権が与えられているかどうかを判断して、オブジェクトへのアクセスを制限するアクセス制御手順と、前記アクセス制御手順を実行した結果、オブジェクトへのアクセスが拒否されたユーザの識別子、アクセスが拒否されたオブジェクトに対するアクセス権、並びにアクセスが拒否されたオブジェクトの識別子を含むアクセス拒否ユーザ情報を記憶するアクセス拒否ユーザ情報記憶手順と、オブジェクトの管理者若しくは所有者に該オブジェクトに対する前記アクセス拒否ユーザ情報を提示するアクセス拒否ユーザ情報提示手順と、前記オブジェクトの管理者若しくは所有者からの要求に応じて、前記アクセス拒否ユーザ情報提示手段で提示したアクセス拒否ユーザ情報に含まれるユーザのアクセス権を前記アクセス権情報に設定又は設定内容の変更を行なうアクセス権設定手順を実行させることを特徴とするコンピュータ・プログラムである。   In addition, the second aspect of the present invention provides an access to an object based on a user who is given an access right to each object stored in the storage means and access right information that stores the contents of the access right held by the user. A computer program written in a computer-readable format so as to execute processing for controlling the computer on the computer, and the computer has requested access to the object stored in the storage means An access control procedure for referencing the access right information to determine whether the access request to the object is given to the user who requested the access, and to restrict access to the object; Users who are denied access to the object as a result of executing the control procedure An access denied user information storage procedure for storing access denied user information including an identifier, an access right to the object to which access is denied, and an identifier of the object to which access is denied; Access denied user information presentation procedure for presenting access denied user information and user access included in the access denied user information presented by the access denied user information presenting means in response to a request from an administrator or owner of the object An access right setting procedure for setting a right in the access right information or changing a setting content is executed.

本発明の第2の側面に係るコンピュータ・プログラムは、コンピュータ上で所定の処理を実現するようにコンピュータ可読形式で記述されたコンピュータ・プログラムを定義したものである。換言すれば、本発明の第2の側面に係るコンピュータ・プログラムをコンピュータにインストールすることによって、コンピュータ上では協働的作用が発揮され、本発明の第1の側面に係るオブジェクト管理システムと同様の作用効果を得ることができる。   The computer program according to the second aspect of the present invention defines a computer program described in a computer-readable format so as to realize predetermined processing on the computer. In other words, by installing the computer program according to the second aspect of the present invention on the computer, a cooperative action is exhibited on the computer, and the same as the object management system according to the first aspect of the present invention. An effect can be obtained.

本発明によれば、文書の参照、編集、複写といったユーザからオブジェクトへのアクセス権限を好適に設定することができる、優れたオブジェクト管理システム及びオブジェクト管理方法、並びにコンピュータ・プログラムを提供することができる。   According to the present invention, it is possible to provide an excellent object management system, object management method, and computer program capable of suitably setting user access authority to an object such as document reference, editing, and copying. .

また、本発明によれば、オブジェクトへのアクセスを拒否されたユーザに対するアクセス権を、管理者により円滑に設定することができる、優れたオブジェクト管理システム及びオブジェクト管理方法、並びにコンピュータ・プログラムを提供することができる。   Further, according to the present invention, there are provided an excellent object management system, object management method, and computer program capable of smoothly setting an access right for a user who is denied access to an object by an administrator. be able to.

以下、図面を参照しながら本発明の実施形態について詳解する。   Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.

本発明は、文書、図面、画像、スケジュール表、フォルダなどのオブジェクトを管理する情報管理システムに関するものであり、文書の参照、編集、複写といったユーザからオブジェクトへのアクセス権限を設定可能である。図1には、本発明の一実施形態に係る文書管理システム1の機能的構成を模式的に示している。   The present invention relates to an information management system for managing objects such as documents, drawings, images, schedule tables, folders, and the like, and it is possible to set access authority to an object from a user such as document reference, editing, and copying. FIG. 1 schematically shows a functional configuration of a document management system 1 according to an embodiment of the present invention.

文書管理装置10は、制御装置110と記憶装置120を備えている。文書管理装置10は、実際には、パーソナル・コンピュータ(PC)などの一般的な計算機システム上で構成することができる。   The document management apparatus 10 includes a control device 110 and a storage device 120. The document management apparatus 10 can actually be configured on a general computer system such as a personal computer (PC).

制御装置110は、入出力装置111と、セキュリティ管理装置112と、検索装置113で構成される。   The control device 110 includes an input / output device 111, a security management device 112, and a search device 113.

入出力装置111は、ネットワーク経由でクライアント20との間でデータの入出力動作を行なう。   The input / output device 111 performs data input / output operations with the client 20 via the network.

セキュリティ管理装置112は、入出力装置111を通してクライアント20とデータ通信を行なう際における認証処理や暗号化処理といったコンピュータ・ネットワーク上のセキュリティ管理を行なう。また、セキュリティ管理装置112は、検索装置113によって文書レポジトリを検索する文書に関して、クライアント20が持つアクセス権限に従ってアクセスの可否を判断するが、その詳細については後述に譲る。   The security management device 112 performs security management on a computer network such as authentication processing and encryption processing when performing data communication with the client 20 through the input / output device 111. Further, the security management device 112 determines whether or not the document whose document repository is to be searched by the search device 113 can be accessed according to the access authority of the client 20, and details thereof will be described later.

検索装置113は、入出力装置111を通じてクライアント20から受け取った検索条件に従って、記憶装置120から該当する文書を検索する。検索装置113は、過去の検索履歴を検索データベース123に格納するとともに、新規文書検索の際に検索データベース123を再利用する。   The search device 113 searches for the corresponding document from the storage device 120 according to the search condition received from the client 20 through the input / output device 111. The search device 113 stores the past search history in the search database 123 and reuses the search database 123 when searching for a new document.

記憶装置120は、アクセス制御リスト(ACL)データベース121と、属性データベース122と、検索データベース123と、文書リポジトリ124を備えている。記憶装置120の実体は、当該文書管理装置10にローカル接続されるハード・ディスクなどの外部記憶装置、若しくはネットワーク上の大規模記憶装置である。   The storage device 120 includes an access control list (ACL) database 121, an attribute database 122, a search database 123, and a document repository 124. The entity of the storage device 120 is an external storage device such as a hard disk locally connected to the document management device 10 or a large-scale storage device on a network.

ACLは、オブジェクトへのアクセスが許されているユーザ(又はユーザ・グループ)と与えられているアクセス権限をリストとした管理するものであり(周知)、ACLデータベース121では、オブジェクト毎のACLを格納している。   The ACL manages a list of users (or user groups) who are allowed to access the object and the access authority given (well-known), and the ACL database 121 stores an ACL for each object. is doing.

文書リポジトリ124は、当該文書管理装置10に登録された文書などのオブジェクトのエンティティを格納し、又はオブジェクト・エンティティの保管場所への参照情報を格納している。属性データベース122には、文書リポジトリ124に登録されている文書オブジェクト毎のファイル名、概要、説明などが格納されている。検索データベース123には、文書リポジトリ124に格納されている各文書オブジェクトに関連する目的情報(例えば、検索キーに基づいてオブジェクトの検索を行なうための情報)が関連付けて格納されている。   The document repository 124 stores an entity of an object such as a document registered in the document management apparatus 10 or stores reference information to a storage location of the object entity. The attribute database 122 stores file names, outlines, descriptions, and the like for each document object registered in the document repository 124. In the search database 123, purpose information related to each document object stored in the document repository 124 (for example, information for searching for an object based on a search key) is stored in association with each other.

本実施形態に係る文書管理装置10は、オブジェクトにアクセスできなかったユーザの情報を記録し、オブジェクトの所有者がユーザの情報を確認してアクセス権を設定する仕組みを導入している。図2には、この仕組みを実現するための機能的構成を図解している。   The document management apparatus 10 according to the present embodiment introduces a mechanism in which information on a user who cannot access an object is recorded, and the owner of the object confirms the user information and sets an access right. FIG. 2 illustrates a functional configuration for realizing this mechanism.

制御装置110内では、検索装置113は、入出力装置111を介してクライアント端末20から受け取ったアクセス要求に応じて、検索データベース123及び属性データベース122を用いて、文書レポジトリ124に格納されたオブジェクトの検索を行なう。   In the control device 110, the search device 113 uses the search database 123 and the attribute database 122 in response to an access request received from the client terminal 20 via the input / output device 111, and stores the object stored in the document repository 124. Perform a search.

また、セキュリティ管理装置112は、入出力装置11を介してクライアント端末20からアクセス要求を受け取ると、ACLデータベース121を参照して、クライアント端末20のユーザが要求するオブジェクトの操作に関する正当なアクセス権限を有しているかどうかをチェックする。   When the security management device 112 receives an access request from the client terminal 20 via the input / output device 11, the security management device 112 refers to the ACL database 121 and grants a legitimate access authority regarding the operation of the object requested by the user of the client terminal 20. Check if you have.

本実施形態では、ACLデータベース121は、オブジェクト毎のACLを格納するアクセス権リスト記憶部121Aの他に、アクセス権拒否ユーザ記憶部121を備えている。   In the present embodiment, the ACL database 121 includes an access right denial user storage unit 121 in addition to an access right list storage unit 121A that stores an ACL for each object.

セキュリティ管理装置112は、ユーザがオブジェクトにアクセスできなかった際には、そのユーザの情報、利用可能(読み出し及び書き込み可能)な状態でアクセス権拒否ユーザ記憶部121Bに記録する。   When the user cannot access the object, the security management apparatus 112 records the user information in the access right denied user storage unit 121B in a usable (readable and writable) state.

アクセス権拒否ユーザ記憶部121Bは、アクセスが拒否されたユーザの識別子、拒否されたアクセス権、並びにアクセスが拒否されたオブジェクトの識別子などを、利用可能(読み出し及び書き込み可能)な状態で記憶する。   The access right denied user storage unit 121B stores the identifier of the user whose access is denied, the denied access right, the identifier of the object whose access is denied, and the like in a usable state (readable and writable).

オブジェクトの管理者若しくは所有者が、クライアント端末20のユーザとして、入出力装置111経由でアクセス権設定要求を行なうと、セキュリティ管理装置113は、当該ユーザが管理若しくは所有するオブジェクトへのアクセスが拒否されたユーザの情報をアクセス権拒否ユーザ記憶部121Bから読み出し、クライアント端末20のUI画面を通して、オブジェクトにアクセスできなかったユーザの一覧表示を出力される。   When the administrator or owner of an object makes an access right setting request via the input / output device 111 as a user of the client terminal 20, the security management device 113 is denied access to the object managed or owned by the user. The user information read from the access right denied user storage unit 121B is output through the UI screen of the client terminal 20 to display a list of users who could not access the object.

そして、この一覧表示画面上で、オブジェクトの管理者若しくは所有者が、ある特定のアクセス拒否ユーザを表示するボタンをクリックすると、当該ユーザの情報とアクセスが拒否されたオブジェクト及び拒否された操作の情報がアクセス拒否ユーザ情報記憶部121Bからセキュリティ管理装置113に読み込まれ、アクセス権リスト記憶部121Aにアクセス権が設定される。   When the administrator or owner of the object clicks a button for displaying a specific access-denied user on this list display screen, the information on the user, the object whose access is denied, and the denied operation information Is read from the access denied user information storage unit 121B into the security management apparatus 113, and the access right is set in the access right list storage unit 121A.

図3には、オブジェクトの管理者若しくは所有者のUI画面上に表示される、オブジェクトのプロパティ画面の構成例を示している。オブジェクトに管理権若しくは所有権を持つユーザがプロパティ画面を表示した際、オブジェクトに対してアクセスが拒否されたユーザが存在する場合には、図示の「アクセス権設定要求」ボタンが表示される。   FIG. 3 shows a configuration example of an object property screen displayed on the UI screen of the object manager or owner. When a user who has management rights or ownership for an object displays the property screen, if there is a user who is denied access to the object, an “access right setting request” button shown in the figure is displayed.

図4には、「アクセス権設定要求」ボタンがクリックされたときに表示される、オブジェクトにアクセスできなかったユーザの一覧表示画面の構成例を示している。   FIG. 4 shows a configuration example of a screen for displaying a list of users who have not been able to access an object, which is displayed when the “access right setting request” button is clicked.

オブジェクトの管理者若しくは所有者は、図示の画面を通して、どのユーザが、オブジェクトに関するどのアクセス権でアクセスが拒否されたかを一覧することができる。そして、アクセス拒否ユーザにアクセス権を設定する場合には、該当するレコードの左端のチェック・ボックスにチェックを入れて、適用ボタンを押して、アクセス権の設定要求を行なう。   The administrator or owner of the object can list which user has been denied access with which access right for the object through the illustrated screen. When setting an access right for an access denied user, check the check box at the left end of the corresponding record and press the apply button to make an access right setting request.

これに応答して、オブジェクトの管理者若しくは所有者が操作するクライアント端末20から文書管理装置10内のセキュリティ管理装置113にアクセス権設定要求が発行され、セキュリティ管理装置113は、この要求にしたがって、アクセス権リスト記憶部121Aに、当該アクセス拒否ユーザのアクセス権を新規登録するか、又は、現登録内容の変更を行なう。   In response to this, an access right setting request is issued from the client terminal 20 operated by the administrator or owner of the object to the security management apparatus 113 in the document management apparatus 10, and the security management apparatus 113 follows the request. In the access right list storage unit 121A, the access right of the access denied user is newly registered, or the current registration content is changed.

図5には、図4に示したアクセス拒否ユーザの一覧を表示するための処理手順をフローチャートの形式で示している。   FIG. 5 shows a processing procedure for displaying the access denied user list shown in FIG. 4 in the form of a flowchart.

図3に示したアクセス権設定のUI画面上で、「アクセス権設定要求」ボタンがクリックされると、文書管理装置10内のセキュリティ管理装置113に、アクセス権設定要求が発行される(ステップS1)。   When the “access right setting request” button is clicked on the access right setting UI screen shown in FIG. 3, an access right setting request is issued to the security management apparatus 113 in the document management apparatus 10 (step S1). ).

オブジェクトへのアクセス権には、一般に検索表示権、読み出し権、書き込み権などがあるが、オブジェクトの管理者又は所有者は、オブジェクトにアクセスしたユーザが、どのアクセス権が拒否されたときにユーザ情報を記録するかを選択することができる。セキュリティ管理装置113は、アクセス権情報設定より、表示するアクセス権を取得する(ステップS2)。   Access rights to objects generally include search and display rights, read rights, write rights, etc., but the administrator or owner of an object is responsible for the user information when the user who accessed the object is denied. Can be selected. The security management apparatus 113 acquires the access right to be displayed from the access right information setting (step S2).

次いで、セキュリティ管理装置113は、アクセス拒否ユーザ情報記憶部121Bより、該当するオブジェクトに関して、ステップS2で設定されたアクセス権が拒否されたユーザの情報を取得する(ステップS3)。   Next, the security management apparatus 113 acquires information on the user whose access right set in step S2 is denied for the corresponding object from the access denied user information storage unit 121B (step S3).

そして、図4に示したアクセス権設定要求リストを作成し、オブジェクトの管理者若しくは所有者が操作するクライアント端末20のUI画面上に表示する。   Then, the access right setting request list shown in FIG. 4 is created and displayed on the UI screen of the client terminal 20 operated by the manager or owner of the object.

図6には、オブジェクトへのアクセスが拒否されたユーザのアクセス権を設定若しくは設定変更するための処理手順をフローチャートの形式で示している。   FIG. 6 shows a processing procedure for setting or changing the access right of the user who is denied access to the object in the form of a flowchart.

オブジェクトの管理者若しくは所有者は、図4に示した画面を通して、どのユーザが、オブジェクトに関するどのアクセス権でアクセスが拒否されたかを一覧することができる。そして、アクセス拒否ユーザにアクセス権を設定する場合には、該当するレコードの左端のチェック・ボックスにチェックを入れて、適用ボタンを押して、アクセス権の設定要求を行なう(ステップS11)。   The administrator or owner of the object can list which user is denied access with which access right for the object through the screen shown in FIG. When setting the access right for the access denied user, the check box at the left end of the corresponding record is checked and the apply button is pressed to make an access right setting request (step S11).

これに応答して、オブジェクトの管理者若しくは所有者が操作するクライアント端末20から文書管理装置10内のセキュリティ管理装置113にアクセス権設定要求が発行され、セキュリティ管理装置113は、この要求に従って、アクセス権リスト記憶部121Aに、当該アクセス拒否ユーザのアクセス権を新規登録するか、又は、現登録内容の変更を行なう(ステップS12)。   In response to this, an access right setting request is issued from the client terminal 20 operated by the administrator or owner of the object to the security management device 113 in the document management device 10, and the security management device 113 accesses the security management device 113 according to this request. The access right of the access denied user is newly registered in the right list storage unit 121A, or the current registration content is changed (step S12).

ここで、アクセス権の変更処理に失敗すると、後続の処理をすべてスキップして、本処理ルーチンを終了する。   If the access right changing process fails, all subsequent processes are skipped, and this process routine is terminated.

一方、アクセス権の変更処理に成功すると、アクセス権リスト記憶部121Aより、アクセス権変更実行ユーザを削除するとともに(ステップS13)、アクセス権拒否ユーザ情報記憶部121Bより、アクセス権変更実行ユーザを削除して(ステップS14)、本処理ルーチンを終了する。   On the other hand, when the access right changing process is successful, the access right changing execution user is deleted from the access right list storage unit 121A (step S13), and the access right changing execution user is deleted from the access right denied user information storage unit 121B. (Step S14), and this processing routine is terminated.

以上、特定の実施形態を参照しながら、本発明について詳解してきた。しかしながら、本発明の要旨を逸脱しない範囲で当業者が該実施形態の修正や代用を成し得ることは自明である。すなわち、例示という形態で本発明を開示してきたのであり、本明細書の記載内容を限定的に解釈するべきではない。本発明の要旨を判断するためには、特許請求の範囲を参酌すべきである。   The present invention has been described in detail above with reference to specific embodiments. However, it is obvious that those skilled in the art can make modifications and substitutions of the embodiment without departing from the gist of the present invention. That is, the present invention has been disclosed in the form of exemplification, and the contents described in the present specification should not be interpreted in a limited manner. In order to determine the gist of the present invention, the claims should be taken into consideration.

図1は、本発明の一実施形態に係る文書管理システム1の機能的構成を模式的に示した図である。FIG. 1 is a diagram schematically showing a functional configuration of a document management system 1 according to an embodiment of the present invention. 図2は、オブジェクトにアクセスできなかったユーザの情報を記録し、オブジェクトの所有者がユーザの情報を確認してアクセス権を設定する仕組みを説明するための機能構成図である。FIG. 2 is a functional configuration diagram for explaining a mechanism in which information on a user who cannot access an object is recorded, and the owner of the object confirms the user information and sets an access right. 図3は、オブジェクトのプロパティ画面の構成例を示した図である。FIG. 3 is a diagram illustrating a configuration example of an object property screen. 図4は、オブジェクトにアクセスできなかったユーザの一覧表示画面の構成例を示した図である。FIG. 4 is a diagram illustrating a configuration example of a list display screen of users who cannot access an object. 図5は、アクセス拒否ユーザの一覧を表示するための処理手順を示したフローチャートである。FIG. 5 is a flowchart showing a processing procedure for displaying a list of access denied users. 図6は、オブジェクトへのアクセスが拒否されたユーザのアクセス権を設定若しくは設定変更するための処理手順を示したフローチャートである。FIG. 6 is a flowchart showing a processing procedure for setting or changing the access right of the user who is denied access to the object.

符号の説明Explanation of symbols

1…情報管理システム
10…文書管理装置
110…制御装置
111…入出力装置
112…セキュリティ管理装置
113…検索装置
120…記憶装置
121…ACLデータベース
122…属性データベース
123…検索データベース
124…文書リポジトリ
20…クライアント
DESCRIPTION OF SYMBOLS 1 ... Information management system 10 ... Document management apparatus 110 ... Control apparatus 111 ... Input / output device 112 ... Security management apparatus 113 ... Search apparatus 120 ... Storage apparatus 121 ... ACL database 122 ... Attribute database 123 ... Search database 124 ... Document repository 20 ... client

Claims (5)

オブジェクトを記憶する記憶手段と、
前記記憶手段に記憶されている各オブジェクトに対するアクセス権が与えられたユーザの識別子と該ユーザが持つアクセス権とを各オブジェクトに対応付けたアクセス権情報を記憶するアクセス権情報記憶手段と、
前記記憶手段に記憶されているオブジェクトに対するアクセスの要求があったときに、前記アクセス権情報記憶手段に記憶されている、各オブジェクトに対するアクセス権が与えられたユーザの識別子と該ユーザが持つアクセス権とを各オブジェクトに対応付けたアクセス権情報を参照して、該アクセスの要求元のユーザに要求されたオブジェクトへの要求されたアクセス権が与えられているかどうかを判断して、オブジェクトへのアクセスを制限するアクセス制御手段と、
前記アクセス制御手段によってオブジェクトへのアクセスが拒否されたユーザの識別子、アクセスが拒否されたオブジェクトに対するアクセス権、並びにアクセスが拒否されたオブジェクトの識別子を含むアクセス拒否ユーザ情報を記憶するアクセス拒否ユーザ情報記憶手段と、
ユーザからのアクセス権設定要求に応じて、該アクセス権設定要求を行ったユーザが管理若しくは所有するオブジェクトに対するアクセス拒否ユーザ情報を前記アクセス拒否ユーザ情報記憶手段から読み出して、該アクセス権設定要求を行ったユーザに提示するアクセス拒否ユーザ情報提示手段と、
前記アクセス権設定要求を行ったユーザからの要求に応じて、前記アクセス拒否ユーザ情報提示手段が提示した前記ユーザが管理若しくは所有するオブジェクトに対するアクセス拒否ユーザ情報に基づき、該アクセス拒否ユーザ情報に含まれるユーザが、該アクセス拒否ユーザ情報に含まれるオブジェクトに対して、該アクセス拒否ユーザ情報に含まれるアクセスが拒否された種類のアクセス権を持つことになるよう、前記アクセス権情報記憶手段に記憶された前記アクセス権情報に設定又は設定内容の変更を行なうアクセス権設定手段と、
を具備することを特徴とするオブジェクト管理システム。 Storage means for storing objects;
Access right information storage means for storing access right information in which an identifier of a user who is given access rights to each object stored in the storage means and an access right that the user has are associated with each object ;
When there is a request for access to the object stored in the storage means, the identifier of the user who is given the access right to each object and the access right that the user has, stored in the access right information storage means the door by referring to the access right information associated with each object, it is determined whether the requested access rights to the requested object to the requesting user of the access is granted, access to the object Access control means for restricting,
Access denied user information storage for storing access denied user information including an identifier of a user whose access to the object is denied by the access control means, an access right to the object whose access is denied, and an identifier of the object whose access is denied Means,
In response to the access right setting request from the user, the access right setting request is read out from the access denied user information storage means for the object that is managed or owned by the user who made the access right setting request, and the access right setting request is made. Access denied user information presenting means to be presented to the user ,
Included in the access-denied user information based on access-denied user information for an object managed or owned by the user presented by the access-denied user information presenting means in response to a request from the user who made the access right setting request Stored in the access right information storage means so that the user has an access right of the type in which the access included in the access denied user information is denied with respect to the object included in the access denied user information Access right setting means for setting or changing setting contents in the access right information;
An object management system comprising: 記憶手段に記憶されている各オブジェクトに対するアクセス権が与えられたユーザと該ユーザが持つアクセス権とを各オブジェクトに対応付けたアクセス権情報に基づいてオブジェクトへのアクセスを制御するオブジェクト管理方法であって、
前記記憶手段に記憶されている各オブジェクトに対するアクセス権が与えられたユーザの識別子と該ユーザが持つアクセス権とを各オブジェクトに対応付けたアクセス権情報をアクセス権情報記憶手段に記憶するアクセス権情報記憶ステップと、
前記記憶手段に記憶されているオブジェクトに対するアクセスの要求があったときに、前記の各オブジェクトに対するアクセス権が与えられたユーザの識別子と該ユーザが持つアクセス権とを各オブジェクトに対応付けたアクセス権情報を参照して、該アクセスの要求元のユーザに要求されたオブジェクトへの要求されたアクセス権が与えられているかどうかを判断して、オブジェクトへのアクセスを制限するアクセス制御ステップと、
前記アクセス制御ステップにおいてオブジェクトへのアクセスが拒否されたユーザの識別子、アクセスが拒否されたオブジェクトに対するアクセス権、並びにアクセスが拒否されたオブジェクトの識別子を含むアクセス拒否ユーザ情報をアクセス拒否ユーザ情報記憶手段に記憶するアクセス拒否ユーザ情報記憶ステップと、
ユーザからのアクセス権設定要求に応じて、該アクセス権設定要求を行ったユーザが管理若しくは所有するオブジェクトに対するアクセス拒否ユーザ情報を前記アクセス拒否ユーザ情報記憶手段から読み出して、該アクセス権設定要求を行ったユーザに提示するアクセス拒否ユーザ情報提示ステップと、
前記アクセス権設定要求を行ったユーザからの要求に応じて、前記アクセス拒否ユーザ情報提示ステップで提示した前記ユーザが管理若しくは所有するオブジェクトに対するアクセス拒否ユーザ情報に基づき、該アクセス拒否ユーザ情報に含まれるユーザが、該アクセス拒否ユーザ情報に含まれるオブジェクトに対して、該アクセス拒否ユーザ情報に含まれるアクセスが拒否された種類のアクセス権を持つことになるよう、前記アクセス権情報記憶手段に記憶された前記アクセス権情報に設定又は設定内容の変更を行なうアクセス権設定ステップと、
を具備することを特徴とするオブジェクト管理方法。 An object management method for controlling access to an object based on access right information in which a user who is given access right to each object stored in a storage means and an access right that the user has are associated with each object. And
Access right information for storing, in the access right information storage means, access right information in which an identifier of a user who is given access rights to each object stored in the storage means and an access right held by the user are associated with each object. A memory step;
When there is a request for access to an object stored in the storage means, an access right that associates each object with the identifier of the user who is given the access right to each object and the access right that the user has An access control step of referencing the information to determine whether the requested access right to the requested object is granted to the user requesting the access, and to restrict access to the object;
In the access control step, the access denied user information including the identifier of the user who is denied access to the object, the access right to the object to which access is denied, and the identifier of the object to which access is denied is stored in the access denied user information storage means. An access denied user information storage step to store;
In response to the access right setting request from the user, the access right setting request is read out from the access denied user information storage means for the object that is managed or owned by the user who made the access right setting request, and the access right setting request is made. An access denied user information presentation step to be presented to the user ;
Included in the access denied user information based on the access denied user information for the object managed or owned by the user presented in the access denied user information presentation step in response to a request from the user who made the access right setting request Stored in the access right information storage means so that the user has an access right of the type in which the access included in the access denied user information is denied with respect to the object included in the access denied user information An access right setting step for setting or changing setting contents in the access right information;
An object management method comprising: 記憶手段に記憶されている各オブジェクトに対するアクセス権が与えられたユーザと該ユーザが持つアクセス権とを各オブジェクトに対応付けたアクセス権情報に基づいてオブジェクトへのアクセスを制御するための処理をコンピュータ上で実行するようにコンピュータ可読形式で記述されたコンピュータ・プログラムであって、前記コンピュータに対して、
前記記憶手段に記憶されている各オブジェクトに対するアクセス権が与えられたユーザの識別子と該ユーザが持つアクセス権とを各オブジェクトに対応付けたアクセス権情報をアクセス権情報記憶手段に記憶するアクセス権情報記憶手順と、
前記記憶手段に記憶されているオブジェクトに対するアクセスの要求があったときに、前記の各オブジェクトに対するアクセス権が与えられたユーザの識別子と該ユーザが持つアクセス権とを各オブジェクトに対応付けたアクセス権情報を参照して、該アクセスの要求元のユーザに要求されたオブジェクトへの要求されたアクセス権が与えられているかどうかを判断して、オブジェクトへのアクセスを制限するアクセス制御手順と、
前記アクセス制御手順を実行した結果、オブジェクトへのアクセスが拒否されたユーザの識別子、アクセスが拒否されたオブジェクトに対するアクセス権、並びにアクセスが拒否されたオブジェクトの識別子を含むアクセス拒否ユーザ情報をアクセス拒否ユーザ情報記憶手段に記憶するアクセス拒否ユーザ情報記憶手順と、
ユーザからのアクセス権設定要求に応じて、該アクセス権設定要求を行ったユーザが管理若しくは所有するオブジェクトに対するアクセス拒否ユーザ情報を前記アクセス拒否ユーザ情報記憶手段から読み出して、該アクセス権設定要求を行ったユーザに提示するアクセス拒否ユーザ情報提示手順と、
前記アクセス権設定要求を行ったユーザからの要求に応じて、前記アクセス拒否ユーザ情報提示ステップで提示した前記ユーザが管理若しくは所有するオブジェクトに対するアクセス拒否ユーザ情報に基づき、該アクセス拒否ユーザ情報に含まれるユーザが、該アクセス拒否ユーザ情報に含まれるオブジェクトに対して、該アクセス拒否ユーザ情報に含まれるアクセスが拒否された種類のアクセス権を持つことになるよう、前記アクセス権情報記憶手段に記憶された前記アクセス権情報に設定又は設定内容の変更を行なうアクセス権設定手順と、
を実行させるためのコンピュータ・プログラム。 A computer performs a process for controlling access to an object based on access right information in which a user who is given access right to each object stored in the storage means and an access right that the user has are associated with each object. A computer program written in a computer readable form for execution on the computer,
Access right information for storing, in the access right information storage means, access right information in which an identifier of a user who is given access rights to each object stored in the storage means and an access right held by the user are associated with each object. Storage procedure;
When there is a request for access to an object stored in the storage means, an access right that associates each object with the identifier of the user who is given the access right to each object and the access right that the user has An access control procedure for referring to the information to determine whether the requested access right to the requested object is granted to the user requesting the access, and to restrict access to the object;
As a result of executing the access control procedure, an access denied user information including an identifier of a user who is denied access to the object, an access right to the object whose access is denied, and an identifier of the object whose access is denied An access denied user information storage procedure stored in the information storage means ;
In response to the access right setting request from the user, the access right setting request is read out from the access denied user information storage means for the object that is managed or owned by the user who made the access right setting request, and the access right setting request is made. Access denied user information presentation procedure to be presented to the user ,
Included in the access denied user information based on the access denied user information for the object managed or owned by the user presented in the access denied user information presentation step in response to a request from the user who made the access right setting request Stored in the access right information storage means so that the user has an access right of the type in which the access included in the access denied user information is denied with respect to the object included in the access denied user information An access right setting procedure for setting or changing the setting contents in the access right information;
A computer program for running オブジェクトの管理者若しくは所有者が使用する情報処理装置に表示されたオブジェクトのプロパティ画面上でアクセス権設定要求がなされたことに応じて、前記アクセス拒否ユーザ情報提示手順を実行させる
前記コンピュータに実行させるための請求項3に記載のコンピュータ・プログラム。 In response to the access right setting request being made on the object property screen displayed on the information processing apparatus used by the object manager or owner of the object, the access denied user information presentation procedure is executed .
The computer program according to claim 3, which is caused to be executed by the computer. 前記アクセス拒否ユーザ情報記憶手順では、オブジェクトの管理者若しくは所有者が選択した内容のアクセス権についてのみ、オブジェクトへのアクセスが拒否された前記アクセス拒否ユーザ情報を記憶する、
ことを特徴とする請求項3に記載のコンピュータ・プログラム。
In the access denied user information storage procedure, the access denied user information for which access to the object is denied is stored only for the access right of the content selected by the administrator or owner of the object.
The computer program according to claim 3.
JP2006183331A 2006-07-03 2006-07-03 Object management system, object management method, and computer program Expired - Fee Related JP4882550B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006183331A JP4882550B2 (en) 2006-07-03 2006-07-03 Object management system, object management method, and computer program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006183331A JP4882550B2 (en) 2006-07-03 2006-07-03 Object management system, object management method, and computer program

Publications (2)

Publication Number Publication Date
JP2008015600A JP2008015600A (en) 2008-01-24
JP4882550B2 true JP4882550B2 (en) 2012-02-22

Family

ID=39072576

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006183331A Expired - Fee Related JP4882550B2 (en) 2006-07-03 2006-07-03 Object management system, object management method, and computer program

Country Status (1)

Country Link
JP (1) JP4882550B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5014191B2 (en) * 2008-02-13 2012-08-29 株式会社リコー Device and operation authority judgment method

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002108659A (en) * 2000-09-29 2002-04-12 Hitachi Ltd Method for collecting data access history and apparatus for the same
JP4599882B2 (en) * 2004-04-23 2010-12-15 富士ゼロックス株式会社 Unauthorized browsing monitoring system
JP4550558B2 (en) * 2004-11-24 2010-09-22 日立ソフトウエアエンジニアリング株式会社 Access control setting system

Also Published As

Publication number Publication date
JP2008015600A (en) 2008-01-24

Similar Documents

Publication Publication Date Title
US8719691B2 (en) Document providing system and computer-readable storage medium
JP5023715B2 (en) Information processing system, information processing apparatus, and program
US9659154B2 (en) Information processing system, information processing apparatus, method of administrating license, and program
US20140223570A1 (en) Information processing apparatus, information processing system, and license management method
JP2010530589A (en) Integrated sharing of electronic documents
JP2009042856A (en) Document management device, document management system, and program
US11010484B2 (en) System and method to provide document management on a public document system
US20160350887A1 (en) System and method for managing licenses of aggregate documents
JP2011128952A (en) Information processing apparatus and program
JP4587164B2 (en) Printing system, printing control method, and program
JP5119840B2 (en) Information processing apparatus, information processing system, and program
JP5982962B2 (en) Data processing apparatus, data processing system, and program
JP2007310481A (en) Document management method, its program, recording medium, document sharing server, and document sharing system
JP2007233610A (en) Information processor, policy management method, storage medium and program
JP2008257340A (en) Information processing apparatus, information processing method, storage medium and program
JP2007233635A (en) Information management system, information management method, and computer program
JP4882550B2 (en) Object management system, object management method, and computer program
JP2010079444A (en) File management method and system by metadata
US10635641B1 (en) System and method to provide document management on a public document system
JP2009104646A (en) Database system and data management method
JP2007304831A (en) Approval management system
JP6011604B2 (en) Workflow system, workflow management apparatus, workflow management method, and program
JP4207471B2 (en) Document management device
JP4832132B2 (en) Access control device, access control simulation method, and access control simulation program
JP5430618B2 (en) Dynamic icon overlay system and method for creating a dynamic overlay

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090210

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110726

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110916

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20111108

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20111121

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141216

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4882550

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees