本发明专利技术提供一种业务管理系统,其目的是提供这样一种管理技术:即使在使用者对于业务服务器的权限被变更了的场合,使用者也不用再次登录业务服务器、使用者能够继续使用业务服务器的业务功能,为此,在受理了来自使用者终端的访问的业务服务器向管理服务器进行认证判定请求时,管理服务器判定使用者的将来预定的权限,生成不仅包含使用者的认证的时刻的权限信息、而且包含将来预定的权限信息的判定结果,将其向业务服务器发送,业务服务器,在对于现在业务的使用者权限的有效期间期满时,根据预定的使用者权限信息向使用者终端提供新的业务。
【技术实现步骤摘要】
本专利技术涉及用于管理从业务服务器向使用者终端提供的业务的系统和方法。
技术介绍
历来,广泛存在作为用户的使用者通过使用者终端接入网络利用由业务服务器提供的业务的网络系统。作为这种网络系统,已知有这样的网络系统 ^口 OASIS Security Assertion Markup Language( SAML )2.0( Document identifier: saml-core-2.0-os等)中记载的那样,与业务服务器不同的使用者信息管理服务 器,利用关于使用使用者终端的使用者的权限的信息(以下称"使用者信息") 进行使用者的认证,业务服务器向使用者提供与其权限相应的业务。使用者信息管理服务器,根据在从使用者登录业务服务器的时刻从使用 者供给的使用者信息进行使用者的认证,进而,判定被许可的使用者可以使用 业务服务器的功能的权限后,将其通知业务服务器。当预定要变更使用者的权限时,被许可的认证,只不过是在使用者的权 限被变更的时刻前有效。在使用者使用继用现在的权限使用的业务功能之后被 变更了权限的业务时,使用者必须再次登录业务服务器。这点即使是使用者可 以使用的业务功能扩大那样的权限的变更也同样。因此,使用者信息管理服务器,要考虑向业务服务器的使用者通知预定 要变更权限业务、即所谓的下推型的对策。在该方式中,使用者信息管理服务 器需要认识业务服务器的IP地址,或者业务服务器的安全功能也有可能拒绝 来自使用者信息管理服务器的通知,不能作为有效的对策发挥作用。这样,在由管理服务器管理使用者这样地使用业务服务器的业务功能时 的使用者的认证或者权限的方式中,存在不能防止伴随使用者的权限的变更业 务效率降低这样的问题。
技术实现思路
本专利技术的目的在于提供一种业务管理技术,其即使在要变更使用者对于 业务服务器的权限的场合,使用者也不用再次登录业务服务器,使用者能够继 续利用业务服务器的业务功能。 '为实现该目的,本专利技术的业务管理,在使用者的认证时,承认使用者使 用将来业务功能的权限,省却使用者再次向业务服务器登录重新进行认证的作业,使用者能够继现在使用的业务之后使用将来业务。根据本专利技术,可以实现这样的业务管理即使在使用者对于业务服务器 的权限被变更的场合,使用者也不用再次登录业务服务器,而使使用者能够继 续利用业务服务器的业务功能。 附图说明图l是本专利技术的使用者终端、业务服务器、以及管理服务器的硬件框图。图2是本专利技术的第一实施形态的系统的功能框图。 图3是记录有第一实施形态的使用者信息的管理表。 图4是表示第一实施形态的动作的流程图。 图5是本专利技术的第二实施形态的系统的功能框图。 图6是记录有第一实施形态的使用者信息的管理表。 图7是表示第二实施形态的动作的流程图。 图8是4矣续图7的流程图的流程图。 图9是接续图8的流程图的流程图。 图IO是记录有其他的使用者信息的管理表。 图11是面向使用者的终端的Web浏览器的画面的例子。 具体实施例方式下面根据附图说明本专利技术的实施形态。另外,本专利技术并不受以下说明的 实施形态限定。(第一实施形态)该第 一 实施形态,是使用者的业务权限从某时刻被扩大的业务管理系统 的一例。该业务管理系统,具有在网络上连接使用者终端、业务服务器、以及 使用者信息管理服务器的结构。图1说明在使用者终端、业务服务器、以及使用者信息管理服务器中共同的计算机的硬件框图。图2说明业务管理系统的详细的块结构。图2表示的系统,是使用者使用在LAN等网络上连接的使用者终端1, n访问业务服务器2Jt,使用者信息管理服务器3进行使用者的认证,然后判定对使用者所准许 的业务权限的系统。如图l所示,实现使用者终端l! n、业务服务器2,、以及使用者信息管理服务器3的计算机系统,具有运算装置100、存储器102、硬盘等外部存储 装置104、用于通过网络9与其他装置进行通信的通信装置106、键盘或者按 钮等输入装置108、监一见器等输出装置110、和进行这些装置间的数据收发的 接口 (或者总线)112。运算装置100通过执行在存储器102中加载的规定的 程序,作为使用者终端、业务服务器、或者使用者信息管理服务器实现处理。如图2所示,使用者进行输入操作的多个使用者终端h ln、向使用者 提供业务功能的业务服务器2!、管理使用者信息进行用于认证使用者的业务使 用权限的判定的处理的使用者信息管理服务器3,连接在网络9上。另外,作 为网络不限于LAN,也可以是IP网络或者SAN等。使用者终端h ~ 1 n,具有接受来自使用者的认证信息4的输入的认证信 息4妄受功能11「11n、与网络上的其他服务器通信的通信功能12d2n。这些 功能通过电子电路或者程序实现。程序在存储器中记录,运算装置100参照程 序实现各功能。这点对于要在以下表示的其他的功能也同样。作为来自使用者 的认证信息4,有口令、电子证书或者生物体信息等,但是不作特别限定。业务服务器2"具有从使用者终端接受认证信息4、进行用于联合业务 功能22,的控制的认证联合功能211;和对于使用者提供业务应用的业务功能 22"业务功能22!是部分业务功能221广22X!的集合。各部分业务分别实现 不同的业务功能。业务服务器2p是作为Web服务器进行HTTP通信的服务器,但是不限 于此。另外,也可以是多个业务服务器2i利用共同的认证联合功能2的类型。使用者信息管理服务器3,具有接受来自业务服务器2,的认证判定请 求5、参照使用者信息功能32、制作认证结果6的认证管理功能31;和把使 用者的识别信息、认证信息、以及关于权限的信息汇总成表在存储器中保存、 来用于参照这些信息的使用者信息记录功能32。另外,使用者信息管理服务器,把认证结果6的标准的有效期间作为标准有效期间322在表中保存。图3表示登记了在使用者信息记录功能32中管理的使用者信息321的使 用者信息表的一例。在该表中,登记有识别使用者的ID、认证信息、表示可 以使用的业务功能的权限信息、权限信息的有效期间。在该表中,可以对每一 使用者ID登记多个权限信息,然后也可以对各权限信息设定不同的有效期间。 因此,在表中可以登记将来的业务权限。另外,在使用者信息表中,不仅以使用者单位,而且对于使用者的权限 的每一种类或者每一内容决定认证信息、或者也可以对于每一汇总多个权限的 单位或者每一由多个使用者组成的组决定认证信息。下面,使用图4的定时图,以ID00001的使用者如图3所示、在正在使 用业务服务器2,的功能期间变更使用者的权限的场合为例,说明图2的网络 系统的动作。首先,使用者使用使用者终端1的通信功能12,访问业务服务 器2!(步骤4101、步骤4201 )。因为在判定 确定使用者权限等方面需要认证使用者,所以业务服务器 2,使用认证联合功能21!向使用者终端1要求认证信息(步骤4202、步骤4102 )。 使用者终端1,从使用者接受使用者的使用者ID和口令等认证信息4 (步骤 4103 ),向业务服务器2i发送识别信息以及认证信息4。业务服务器2,,使用认证联合功能21 p接受认证信息4 (步骤4203 ), 向使用者信息管理服务器3发送包含使用者ID和认证信息4的认证判定请求 (步骤4204)。使用者信息管理服本文档来自技高网...
【技术保护点】
一种业务管理系统,其具有向使用者终端提供业务功能的业务服务器、和管理使用所述使用者终端的使用者的信息的管理服务器,并通过网络连接有所述业务服务器和所述管理服务器,其特征在于, 所述管理服务器具有: 第一存储器,其记录有使所述使用 者的认证信息、识别认可所述使用者可以使用的权限的业务功能的权限信息、和所述权限信息的有效条件对应起来的使用者信息;和 第一运算装置,其取得所述认证信息,判定与该认证信息对应的所述权限信息和所述有效条件,向所述业务服务器发送该判定结果, 所述业务服务器具有: 第二存储器;和 执行向所述使用者提供所述业务功能的程序的第二运算装置, 所述第二运算装置,在所述有效条件下向所述使用者终端提供用在所述判定结果中包含的所述权限信息识别的所述业务功能, 所 述第一运算装置,判定在接受了所述使用者的认证信息以后所述有效条件成立的将来权限信息, 所述业务服务器把所述将来权限信息存储在所述第二存储器中, 所述第二运算装置参照所述第二存储器,在所述将来权限信息的所述有效条件下向所述使用者终 端提供用该将来权限信息识别的将来业务。...
【技术特征摘要】
...
【专利技术属性】
技术研发人员:根本繁幸,屋代聪,小林贤,石野千春,松井浩树,本田泰树,西本英昭,
申请(专利权)人:株式会社日立制作所,
类型:发明
国别省市:JP[日本]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。