統合IDに基づく効率的な権限移譲が可能なグループ管理システム  [in Japanese] A Group Management System for Efficient Authority Transfer Based on Integrated ID and Attributes  [in Japanese]

Access this Article

Search this Article

Abstract

本研究では,統合認証基盤と連携した「グループ」機能を用いて認可情報を統合的に管理する際,グループの管理権限をシステム管理者からグループ管理者へ効率的に移譲できる仕組みを提案し,「グループ管理システム」として実装した.これまでのグループ管理の仕組みでは,グループの柔軟性が低くグループの管理を行う人や管理できる範囲が限定されていた.また,グループ管理者が不在となった場合のグループの継続性の管理も課題となっていた.本論文で提案する仕組みでは,これらの課題が管理者間の権限移譲を効率的に行えるようにすることで解決でき,それによりシステム管理者およびグループ管理者の管理の負担が軽減される.また,提案する仕組みでは,一般ユーザが自由にグループを作成し管理することを許す.本論文では,このようなグループを「一般グループ」とよぶ.一方,業務などで使用するため継続性が求められるグループは「公式グループ」として区別して扱い,グループ管理者の交代が自動的に行えるよう,グループ管理者を属性などで指定することを許す.これら2種類のグループを使い分け,システム管理者からグループ管理者,そしてグループ管理者から新グループ管理者へ,円滑にグループ管理の権限移譲を行う.この提案方式に基づくグループ管理システムはLDAP proxy機能を用いて実装し,東京海洋大学において,複数のWebサービスと連携しつつ,3年間試行的に運用を行って評価した.In this research, we propose a mechanism to transfer group management authority efficiently from the system administrator to group administrators using a group management feature organized on an integrated authentication infrastructure, so that authorization, as well as authentication, is managed integrally on the authentication infrastructure, and implemented as a group management system. In previous group management mechanisms, the group flexibility is low, and people who manage the group and the range that they can manage groups were limited. It has also been a problem how to manage continuity of a group when the group administrator becomes absent. In the proposed mechanism in this paper, these challenges can be solved by efficient authority transfer between administrators, and thereby can be lightened the burden of system administrators and group administrators. In the proposed mechanism, it is also allowed for an ordinary user to create arbitrary groups and to manage them. In this paper, we call such a group a general group. On the other hand, we give distinguished treatment to groups that require continuity in business and call such a group as an official group. Administrators of an official group may be specified by attributes, so that the group administrators can be replaced automatically. By using these two types of groups selectively, it become possible to carry out authority transfer in group management smoothly, from the system administrator to a group administrator, and from a group administrator to another new group administrator. We have implemented a group management system based on the proposed scheme as an LDAP proxy, and we have been operating it experimentally for three years at Tokyo University of Marine Science and Technology in cooperation with multiple web services and others, and we made an evaluation.

Journal

  • 情報処理学会論文誌コンシューマ・デバイス&システム(CDS)

    情報処理学会論文誌コンシューマ・デバイス&システム(CDS) 8(3), 20-31, 2018-10-30

Codes

  • NII Article ID (NAID)
    170000149851
  • NII NACSIS-CAT ID (NCID)
    AA12628043
  • Text Lang
    JPN
  • Article Type
    Article
  • ISSN
    2186-5728
  • Data Source
    IPSJ 
Page Top