JP5620781B2 - 情報処理装置、その制御方法、及びプログラム - Google Patents
情報処理装置、その制御方法、及びプログラム Download PDFInfo
- Publication number
- JP5620781B2 JP5620781B2 JP2010231884A JP2010231884A JP5620781B2 JP 5620781 B2 JP5620781 B2 JP 5620781B2 JP 2010231884 A JP2010231884 A JP 2010231884A JP 2010231884 A JP2010231884 A JP 2010231884A JP 5620781 B2 JP5620781 B2 JP 5620781B2
- Authority
- JP
- Japan
- Prior art keywords
- user
- application
- user credential
- setting
- sharing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
Description
本発明は、複数のアプリケーションをインストールすることができ、アプリケーション間でユーザクレデンシャルを共有する情報処理装置、その制御方法、及びプログラムに関するものである。
ネットワークに接続可能な複写機やMFP(マルチファンクションペリフェラル装置)などの画像形成装置では、利用するユーザを認証するログインアプリケーションや、組込アプリケーションを追加インストールすることができる。また、当該画像形成装置で実行可能なアプリケーションには、スキャナから読み込んだドキュメント等をネットワークを介して外部サーバに送信するアプリケーションや、ネットワークを介して、外部サーバと接続し、外部リソースを取得するアプリケーションなどがある。これらのアプリケーションは、デバイスのハードウェアを提供するベンダとは異なるベンダが作成して、販売することができる。
このような画像形成装置において、外部リソースへのアクセスの度に、ユーザに認証行為を行わせるのはユーザに係る操作負荷が大きいことから、ユーザが行う認証行為を1回にしたシングルサインオン技術が知られている。例えば、特許文献1には、ネットワークシステム全体において、ネットワークプロバイダ間でコンピュータのユーザクレデンシャルや、外部システムにアクセスするためのユーザクレデンシャルを共有させる技術が提案されている。
しかしながら、従来技術には以下に記載する問題がある。例えば、特許文献1のような、ユーザクレデンシャルを共有可能にしているネットワークプロバイダを持たない画像形成装置では、アプリケーション間でユーザクレデンシャルを共有することができなかった。また、無条件にアプリケーション間でユーザクレデンシャルを共有可能にすると、ユーザクレデンシャルを登録したアプリケーションと異なるアプリケーションが、ユーザクレデンシャルを外部に漏洩してしまうリスクがある。このため、アプリケーションを作成するベンダは、同一ベンダや信頼するベンダが作成したアプリケーションのみでユーザクレデンシャルを共有したいと考える。しかし、従来のユーザクレデンシャル共有手法においては、アプリケーションを作成するベンダがユーザクレデンシャル共有先のアプリケーションを限定する手法が無いという問題があった。
本発明は、上述の問題に鑑みて成されたものであり、アプリケーションを作成するベンダが意図したユーザクレデンシャルの共有条件でユーザクレデンシャルの共有サービスを提供する情報処理装置及びその制御方法を提供することを目的とする。
本発明は、例えば、情報処理装置として実現できる。情報処理装置は、前記情報処理装置において動作する複数のアプリケーションのそれぞれから、ユーザを証明するための情報を有するユーザクレデンシャルの複数の項目ごとに定義された、他のアプリケーションとの該ユーザクレデンシャルの共有条件をそれぞれ取得する取得手段と、取得した前記共有条件から、各アプリケーション間でのユーザクレデンシャルの項目ごとに前記共有条件を定義した共有設定を生成するとともに、生成した該共有設定をメモリに格納する生成手段と、少なくとも1つの前記アプリケーションから通知される前記ユーザクレデンシャルをメモリに保持する保持手段と、何れかの前記アプリケーションから前記ユーザクレデンシャルを要求されると、メモリに格納された前記共有設定に従って、要求したアプリケーションに対して該ユーザクレデンシャルを提供する提供手段とを備えることを特徴とする。
本発明は、アプリケーションを作成するベンダが意図したユーザクレデンシャルの共有条件でユーザクレデンシャルの共有サービスを提供する情報処理装置及びその制御方法を提供できる。
以下、本発明を実施するための形態について図面を用いて説明する。尚、以下の実施形態は特許請求の範囲に係る発明を限定するものでなく、また実施形態で説明されている特徴の組み合わせの全てが発明の解決手段に必須のものとは限らない。
<第1の実施形態>
<ネットワーク構成の説明>
以下では、図1乃至図13を参照して、本発明における第1の実施形態について説明する。まず、図1を参照して、本実施形態に係るネットワーク構成について説明する。本実施形態では、デバイスの一例としてMFP、プリンタ、ファックス、複写機などの画像形成装置(情報処理装置)を使用する例を示す。
<ネットワーク構成の説明>
以下では、図1乃至図13を参照して、本発明における第1の実施形態について説明する。まず、図1を参照して、本実施形態に係るネットワーク構成について説明する。本実施形態では、デバイスの一例としてMFP、プリンタ、ファックス、複写機などの画像形成装置(情報処理装置)を使用する例を示す。
図1に示すように、ローカルエリアネットワーク(LAN)105には、画像形成装置101と、メールサーバ102と、ファイル共有サーバ103と、プロキシサーバ104とが相互通信可能に接続される。メールサーバ102は、SMTP(Simple Mail Transfer Protocol)や、POP3(Post Office Protocol Version3)などのプロトコル実装を備える。ファイル共有サーバ103は、SMB(Server Message Block)のプロトコル実装を備える。プロキシサーバ104は、LAN105とインターネット(WLAN)106の両方に接続され、LAN105に接続された端末からインターネット106に接続する際の代理端末として利用される。各サーバ102、103、104は、当該サーバを利用するユーザを認証するためにそれぞれのプロトコルに準拠したユーザ認証機能を備える。
<画像形成装置のハードウェア構成>
次に、図2を参照して、画像形成装置のハードウェア構成について説明する。画像形成装置101は、情報処理装置の一例であり、CPU201、ROM202、RAM203、HDD204、操作パネル205、ICカード読取装置206、ネットワークI/F207、プリンタ208、及びスキャナ209を備える。CPU201は、画像形成装置101全体を統括的に制御する。ROM202は、CPU201が実行するソフトウェアプログラムやフォントデータを格納するリード・オンリ・メモリである。RAM203は、CPU201のワークエリア、受信バッファ、画像描画に使用されるランダム・アクセス・メモリである。HDD(ハードディスドライブ)204は、ソフトウェアのプログラムコードや、ユーザ認証情報などのデータを記録する。
次に、図2を参照して、画像形成装置のハードウェア構成について説明する。画像形成装置101は、情報処理装置の一例であり、CPU201、ROM202、RAM203、HDD204、操作パネル205、ICカード読取装置206、ネットワークI/F207、プリンタ208、及びスキャナ209を備える。CPU201は、画像形成装置101全体を統括的に制御する。ROM202は、CPU201が実行するソフトウェアプログラムやフォントデータを格納するリード・オンリ・メモリである。RAM203は、CPU201のワークエリア、受信バッファ、画像描画に使用されるランダム・アクセス・メモリである。HDD(ハードディスドライブ)204は、ソフトウェアのプログラムコードや、ユーザ認証情報などのデータを記録する。
操作パネル205は、各種スイッチやボタン、並びにメッセージ表示用の液晶表示部で構成される。ICカード読取装置206は、ユーザ認証に使用するICカードの読取装置である。ネットワークI/F207は、画像形成装置101をネットワークに接続するためのインタフェースである。プリンタ208は、画像データに従って記録紙に印刷を行う。スキャナ209は、印刷されたドキュメントなどを読み込んで電子データに変換する。
<画像形成装置のソフトウェア構成>
次に、図3乃至図5を参照して、画像形成装置101のソフトウェア構成と、記憶情報とについて説明する。図3に示すように、画像形成装置101は、デバイスドライバ群301、オペレーティングシステム302、アプリケーションプラットフォーム303、ユーザクレデンシャル共有サービス304、ログインアプリケーション305、及びアプリケーション306〜313を備える。デバイスドライバ群301は、上記各種ハードウェアを制御するための複数のデバイスドライバを有する。オペレーティングシステム302は、デバイスドライバ群301のインタフェースを各アプリケーションに提供する。
次に、図3乃至図5を参照して、画像形成装置101のソフトウェア構成と、記憶情報とについて説明する。図3に示すように、画像形成装置101は、デバイスドライバ群301、オペレーティングシステム302、アプリケーションプラットフォーム303、ユーザクレデンシャル共有サービス304、ログインアプリケーション305、及びアプリケーション306〜313を備える。デバイスドライバ群301は、上記各種ハードウェアを制御するための複数のデバイスドライバを有する。オペレーティングシステム302は、デバイスドライバ群301のインタフェースを各アプリケーションに提供する。
アプリケーションプラットフォーム303は、画像形成装置101の組込アプリケーションをインストール/アンインストールするとともに、起動/停止などを制御する。例えば、アプリケーションプラットフォーム303は、JAVA(登録商標)プラットフォームや、OSGiフレームワークを含む形で構成することができる。JAVA(登録商標)は、SunMicrosystems,Incの登録商標である。OSGiフレームワークは、OSGi Alliance(標準化団体)が定義したJAVAベースのサービスプラットフォームである。アプリケーションプラットフォーム303には、画像形成装置101が工場出荷時から備えるアプリケーションに加えて、ユーザが追加でアプリケーションをインストールすることができる。例えば、アプリケーションプラットフォーム303は、アプリケーションを管理するための、図4に示すユーザインタフェースを備えるサーブレットをユーザに提供する。画像形成装置101の管理者は、ネットワークを介して、アプリケーションの実行ファイル(JARファイル)を指定して、アプリケーションの追加インストールを実施することができる。
<アプリケーションの種別>
ここで、アプリケーションの種別について説明する。アプリケーションプラットフォーム303上で動作可能なアプリケーションとしては、例えば、システムアプリケーション、ログインアプリケーション、及び一般アプリケーションがある。以下では、特にアプリケーションの種別を限定しない場合は、単にアプリケーションと記述する。システムアプリケーションは、画像形成装置101が工場出荷時から備えるアプリケーションである。ログインアプリケーションは、画像形成装置101にログインするユーザを認証するための特別なアプリケーションである。一般アプリケーションは、ログインアプリケーション以外のユーザがインストール/アンインストール可能なアプリケーションである。
ここで、アプリケーションの種別について説明する。アプリケーションプラットフォーム303上で動作可能なアプリケーションとしては、例えば、システムアプリケーション、ログインアプリケーション、及び一般アプリケーションがある。以下では、特にアプリケーションの種別を限定しない場合は、単にアプリケーションと記述する。システムアプリケーションは、画像形成装置101が工場出荷時から備えるアプリケーションである。ログインアプリケーションは、画像形成装置101にログインするユーザを認証するための特別なアプリケーションである。一般アプリケーションは、ログインアプリケーション以外のユーザがインストール/アンインストール可能なアプリケーションである。
図3の説明に戻る。ユーザクレデンシャル共有サービス304は、システムアプリケーションとして動作する。ログインアプリケーション305は、操作パネル上に図5の501に示すようなユーザアカウント/パスワードを入力するためのユーザインタフェースを表示してユーザ認証を行う。例えば、図5の502に示すように、“ICカードをICカード読取装置にかざしてください”というようなメッセージを表示して、ICカード読取装置206から取得したICカード情報をもとにユーザ認証を行ってもよい。アプリケーション306〜313は、一般アプリケーションである。
<ユーザクレデンシャル>
本実施形態では、下記のようなユーザ認証や、ユーザ認証後に生成されるユーザを証明する情報を総称してユーザクレデンシャルと称する。ユーザクレデンシャルには、ユーザID、パスワード、ドメイン名、パスワードのハッシュ値、暗号化されたパスワード、KerberosのTGTやSAML(Security Assertion Markup Language)などのチケット、指紋などの生体情報、ユーザが所有するICカード情報などが含まれる。
本実施形態では、下記のようなユーザ認証や、ユーザ認証後に生成されるユーザを証明する情報を総称してユーザクレデンシャルと称する。ユーザクレデンシャルには、ユーザID、パスワード、ドメイン名、パスワードのハッシュ値、暗号化されたパスワード、KerberosのTGTやSAML(Security Assertion Markup Language)などのチケット、指紋などの生体情報、ユーザが所有するICカード情報などが含まれる。
<ユーザクレデンシャル共有サービス304>
次に、図6を参照して、ユーザクレデンシャル共有サービス304について説明する。ユーザクレデンシャル共有サービス304は、各アプリケーション間でユーザクレデンシャルの共有を可能にするサービスを提供する。ユーザクレデンシャル共有サービス304は、図6に示すAPI601〜603を備え、アプリケーションからの利用を可能にしている。SetUserCredentialAPI601は、アプリケーションに指定されたユーザクレデンシャルをRAM203等のメモリに保存する。GetUserCredentialAPI602は、RAM203に保存したユーザクレデンシャルを取得して、アプリケーションに返却する。ユーザクレデンシャル共有サービス304は、ユーザのログアウトや、画像形成装置101のシャットダウンを検知すると、RAM203に保存したユーザクレデンシャルデータを破棄する。GetKeyforEncryptCredentialAPI603は、生成した鍵情報を、アプリケーションに返却する。図6のAPI601〜603で使用するユーザクレデンシャルの識別子(項目)を、以下では、クレデンシャルIDと称する。
次に、図6を参照して、ユーザクレデンシャル共有サービス304について説明する。ユーザクレデンシャル共有サービス304は、各アプリケーション間でユーザクレデンシャルの共有を可能にするサービスを提供する。ユーザクレデンシャル共有サービス304は、図6に示すAPI601〜603を備え、アプリケーションからの利用を可能にしている。SetUserCredentialAPI601は、アプリケーションに指定されたユーザクレデンシャルをRAM203等のメモリに保存する。GetUserCredentialAPI602は、RAM203に保存したユーザクレデンシャルを取得して、アプリケーションに返却する。ユーザクレデンシャル共有サービス304は、ユーザのログアウトや、画像形成装置101のシャットダウンを検知すると、RAM203に保存したユーザクレデンシャルデータを破棄する。GetKeyforEncryptCredentialAPI603は、生成した鍵情報を、アプリケーションに返却する。図6のAPI601〜603で使用するユーザクレデンシャルの識別子(項目)を、以下では、クレデンシャルIDと称する。
<マニフェストファイル>
次に、図7を参照して、マニフェストファイルについて説明する。ログインアプリケーション305及び一般アプリケーション306〜313の実行ファイルはそれぞれ、図7に示すマニフェストファイル701〜709を備える。マニフェストファイルは、ベンダがアプリケーション作成時に記述する。これによりアプリケーションを作成するベンダが、マニフェストファイルにユーザクレデンシャル共有条件に相当する情報を定義することができる。マニフェストファイルは、アプリケーションのインストール時や起動時にアプリケーションプラットフォーム303によって読み取られる。また、ユーザクレデンシャル共有サービス304は、アプリケーションプラットフォーム305から、アプリケーションや画像形成装置101の起動時、ユーザのログイン時にマニフェストファイルを取得して、後述するユーザクレデンシャル共有設定を生成する。マニフェストファイルには、項目名と値が記述される。本実施形態では、マニフェストファイルに記述する項目を下記のように定義する。
・ApplicationID
アプリケーションを一意に特定するための識別子。
・ApplicatonType
アプリケーションの種別を示す。701の値のLoginは、ログインアプリケーションを示し、702〜709の値のApplicationは、一般アプリケーションを示す。
・TrustApplicationID
信頼するアプリケーションの識別子。信頼するアプリケーションを限定しない場合は、*が記述される。
・ReferenceCredentialID
ユーザクレデンシャルの参照のみを行うクレデンシャルID。
・ReadOnlyShredCredentialID
信頼するアプリケーションに対して、参照のみを許可するクレデンシャルID。
・WritableSharedCredentialID
信頼するアプリケーションに対して、参照と保存・更新を許可するクレデンシャルID。
・WritableEncryptSharedCredentialID
信頼するアプリケーションに対して、参照と保存・更新を許可するクレデンシャルID。ユーザクレデンシャルは、暗号化した状態で、RAM203上のユーザクレデンシャル共有サービス304が管理する領域に保存する。
・CredentialType
共有するクレデンシャルの型。ユーザアカウント、パスワード、ドメイン名などの文字列、パスワードのハッシュ値、暗号化されたパスワード、KerberosのTGTやSAMLなどのチケット、指紋などの生体情報、ユーザが所有するICカード情報などの種別が記述される。記述が無い場合は、文字列とする。
次に、図7を参照して、マニフェストファイルについて説明する。ログインアプリケーション305及び一般アプリケーション306〜313の実行ファイルはそれぞれ、図7に示すマニフェストファイル701〜709を備える。マニフェストファイルは、ベンダがアプリケーション作成時に記述する。これによりアプリケーションを作成するベンダが、マニフェストファイルにユーザクレデンシャル共有条件に相当する情報を定義することができる。マニフェストファイルは、アプリケーションのインストール時や起動時にアプリケーションプラットフォーム303によって読み取られる。また、ユーザクレデンシャル共有サービス304は、アプリケーションプラットフォーム305から、アプリケーションや画像形成装置101の起動時、ユーザのログイン時にマニフェストファイルを取得して、後述するユーザクレデンシャル共有設定を生成する。マニフェストファイルには、項目名と値が記述される。本実施形態では、マニフェストファイルに記述する項目を下記のように定義する。
・ApplicationID
アプリケーションを一意に特定するための識別子。
・ApplicatonType
アプリケーションの種別を示す。701の値のLoginは、ログインアプリケーションを示し、702〜709の値のApplicationは、一般アプリケーションを示す。
・TrustApplicationID
信頼するアプリケーションの識別子。信頼するアプリケーションを限定しない場合は、*が記述される。
・ReferenceCredentialID
ユーザクレデンシャルの参照のみを行うクレデンシャルID。
・ReadOnlyShredCredentialID
信頼するアプリケーションに対して、参照のみを許可するクレデンシャルID。
・WritableSharedCredentialID
信頼するアプリケーションに対して、参照と保存・更新を許可するクレデンシャルID。
・WritableEncryptSharedCredentialID
信頼するアプリケーションに対して、参照と保存・更新を許可するクレデンシャルID。ユーザクレデンシャルは、暗号化した状態で、RAM203上のユーザクレデンシャル共有サービス304が管理する領域に保存する。
・CredentialType
共有するクレデンシャルの型。ユーザアカウント、パスワード、ドメイン名などの文字列、パスワードのハッシュ値、暗号化されたパスワード、KerberosのTGTやSAMLなどのチケット、指紋などの生体情報、ユーザが所有するICカード情報などの種別が記述される。記述が無い場合は、文字列とする。
<ログインアプリケーション305>
ログインアプリケーション305は、マニフェストファイル701を有する。ログインアプリケーション305は、ログイン画面501に入力されたアカウントとパスワードを取得して、画像形成装置101を利用するユーザの認証を行う。認証が成功したユーザのアカウントとパスワードは、ユーザクレデンシャル共有サービス304のAPIを利用してRAM203に記録される。710は、ログインアプリケーション305がクレデンシャルID(LoginAccount/LoginPassword)を他のアプリケーションが参照可能なユーザクレデンシャルとして保存すること示す。711は、値が*(ワイルドカード)であるため、LoginAccount/LoginPasswordを参照するアプリケーションを限定せず、全てのアプリケーションに対して参照を許可することを示す。
ログインアプリケーション305は、マニフェストファイル701を有する。ログインアプリケーション305は、ログイン画面501に入力されたアカウントとパスワードを取得して、画像形成装置101を利用するユーザの認証を行う。認証が成功したユーザのアカウントとパスワードは、ユーザクレデンシャル共有サービス304のAPIを利用してRAM203に記録される。710は、ログインアプリケーション305がクレデンシャルID(LoginAccount/LoginPassword)を他のアプリケーションが参照可能なユーザクレデンシャルとして保存すること示す。711は、値が*(ワイルドカード)であるため、LoginAccount/LoginPasswordを参照するアプリケーションを限定せず、全てのアプリケーションに対して参照を許可することを示す。
<アプリケーション306、307>
アプリケーション306、307は、メールサーバ102にアクセスして電子メールの送受信を行う機能を備える一般アプリケーションである。アプリケーション306、307は、それぞれマニフェストファイル702、703を有する。712は、アプリケーション306がユーザクレデンシャル共有サービス304のAPIを利用してログインアプリケーション305が保存したLoignAccount/LoginPasswordを参照することを示す。アプリケーション306は、LoginAccount/LoginPasswordをメールサーバ102へアクセスする際の認証に利用する。他のアプリケーション307〜313も同様に、LoginAccount/LoginPasswordを外部サーバにアクセスする際の認証情報として利用する。713は、アプリケーション306、307が相互に信頼関係があることを示す。714は、アプリケーション306、307がメールサーバ102にアクセスするためのアカウントとパスワードを、MailAccount/MailPasswordとして、ユーザクレデンシャル共有サービス304を介して共有することを示す。
アプリケーション306、307は、メールサーバ102にアクセスして電子メールの送受信を行う機能を備える一般アプリケーションである。アプリケーション306、307は、それぞれマニフェストファイル702、703を有する。712は、アプリケーション306がユーザクレデンシャル共有サービス304のAPIを利用してログインアプリケーション305が保存したLoignAccount/LoginPasswordを参照することを示す。アプリケーション306は、LoginAccount/LoginPasswordをメールサーバ102へアクセスする際の認証に利用する。他のアプリケーション307〜313も同様に、LoginAccount/LoginPasswordを外部サーバにアクセスする際の認証情報として利用する。713は、アプリケーション306、307が相互に信頼関係があることを示す。714は、アプリケーション306、307がメールサーバ102にアクセスするためのアカウントとパスワードを、MailAccount/MailPasswordとして、ユーザクレデンシャル共有サービス304を介して共有することを示す。
<アプリケーション308、309、310、311>
アプリケーション308、309、310、311は、ファイル共有サーバ103にアクセスする一般アプリケーションである。例えば、スキャナ209から読み込んだドキュメントをPDFに変換してファイル共有サーバ103に送信する機能や、ファイル共有サーバ103から取得したドキュメントをプリンタ208で印刷する機能を備える。アプリケーション308、309、310、311は、それぞれマニフェストファイル704、705、706,707を備える。715は、各アプリケーションが、ファイル共有サーバ103にアクセスするためのアカウント/パスワードをFileServerAccount/FileServerMailPasswordとして、ユーザクレデンシャル共有サービス304を介して共有することを示す。716は、アプリケーション308がアプリケーション309、310と相互に信頼関係があるが、アプリケーション309と310との間に相互の信頼関係が無いことを示す。更に、アプリケーション311は、アプリケーション308に信頼をおいているが、アプリケーション308からは信頼されていないこと示す。
アプリケーション308、309、310、311は、ファイル共有サーバ103にアクセスする一般アプリケーションである。例えば、スキャナ209から読み込んだドキュメントをPDFに変換してファイル共有サーバ103に送信する機能や、ファイル共有サーバ103から取得したドキュメントをプリンタ208で印刷する機能を備える。アプリケーション308、309、310、311は、それぞれマニフェストファイル704、705、706,707を備える。715は、各アプリケーションが、ファイル共有サーバ103にアクセスするためのアカウント/パスワードをFileServerAccount/FileServerMailPasswordとして、ユーザクレデンシャル共有サービス304を介して共有することを示す。716は、アプリケーション308がアプリケーション309、310と相互に信頼関係があるが、アプリケーション309と310との間に相互の信頼関係が無いことを示す。更に、アプリケーション311は、アプリケーション308に信頼をおいているが、アプリケーション308からは信頼されていないこと示す。
<アプリケーション312、313>
アプリケーション312、313は、インターネット(WAN106)上のWebサーバにアクセスして情報を取得する一般アプリケーションである。アプリケーション312、313は、プロキシサーバ104を介して、インターネット(WAN106)にアクセスするため、プロキシサーバ104を利用する際に認証が求められる。アプリケーション312、313は、それぞれマニフェストファイル708、709を備える。717は、アプリケーション312、313が相互に信頼関係があることを示す。718は、アプリケーション312と313とがプロキシサーバ104にアクセスするためのアカウントとパスワードを、WebProxyAccountとWebProxyPasswordとして、データを暗号化した状態で共有することを示す。
アプリケーション312、313は、インターネット(WAN106)上のWebサーバにアクセスして情報を取得する一般アプリケーションである。アプリケーション312、313は、プロキシサーバ104を介して、インターネット(WAN106)にアクセスするため、プロキシサーバ104を利用する際に認証が求められる。アプリケーション312、313は、それぞれマニフェストファイル708、709を備える。717は、アプリケーション312、313が相互に信頼関係があることを示す。718は、アプリケーション312と313とがプロキシサーバ104にアクセスするためのアカウントとパスワードを、WebProxyAccountとWebProxyPasswordとして、データを暗号化した状態で共有することを示す。
<ユーザクレデンシャル共有サービス304の起動に関する動作>
次に、図8を参照して、本実施形態に係るユーザクレデンシャル共有サービス304の起動に係る動作について説明する。なお、以下で説明する処理は、CPU201がROM202やHDD204からプログラムを読み出して実行することにより実現される。
次に、図8を参照して、本実施形態に係るユーザクレデンシャル共有サービス304の起動に係る動作について説明する。なお、以下で説明する処理は、CPU201がROM202やHDD204からプログラムを読み出して実行することにより実現される。
S801において、ユーザクレデンシャル共有サービス304は、アプリケーションプラットフォーム303から起動処理を呼び出されることによって起動処理を開始する。続いて、S802において、ユーザクレデンシャル共有サービス304は、アプリケーションプラットフォーム303を介して、起動している全てのアプリケーションのマニフェストファイルの記述を取得する。次に、S803において、ユーザクレデンシャル共有サービス304は、取得した全てのマニフェストファイルを解析して、図9に示すように、各アプリケーション間での共有条件を定義した、適切なユーザクレデンシャル共有設定901を生成する。ユーザクレデンシャル共有設定は下記の項目を含む。
・クレデンシャルID。
・ユーザクレデンシャルの種別。
・ユーザクレデンシャル共有サービス304が発行したユーザクレデンシャルの保存領域を示す管理ID。
・管理IDが示す保存領域のユーザクレデンシャルを保存・更新可能なアプリケーションのApplicationID。
・管理IDが示す保存領域のユーザクレデンシャルを参照可能なアプリケーションのApplicationID。
・クレデンシャルID。
・ユーザクレデンシャルの種別。
・ユーザクレデンシャル共有サービス304が発行したユーザクレデンシャルの保存領域を示す管理ID。
・管理IDが示す保存領域のユーザクレデンシャルを保存・更新可能なアプリケーションのApplicationID。
・管理IDが示す保存領域のユーザクレデンシャルを参照可能なアプリケーションのApplicationID。
例えば、マニフェストファイルの715、716を解析したユーザクレデンシャル共有サービス304は、FileServerPasswordを保存するための領域を示す管理IDを3つ生成する。管理IDのFileServerPassword_001は、アプリケーション308、309がFileServerPassordを共有するための領域を示す。同様に、管理IDのFileServerPassword_002は、アプリケーション308、310がFileServerPassordを共有するための領域を示す。管理IDのFileServerPassword_003は、アプリケーション311だけが保存・更新する領域を示す。アプリケーション308は、アプリケーション311に信頼されているため、FileServerPassword_003のユーザクレデンシャルを参照可能である。しかしながら、アプリケーション308は、アプリケーション311を信頼していないため、アプリケーション311が参照可能なFileServerPassword_003へのクレデンシャルの保存・更新は行わないように、共有設定を生成する。
次に、S804において、ユーザクレデンシャル共有サービス304は、以前起動した際に生成したユーザクレデンシャル共有設定901と利用設定902とがHDD204に記録されていれば、これを参照して取得する。利用設定902は、ユーザクレデンシャル共有設定901が示すユーザクレデンシャルの共有機能をユーザが利用するか否かを示す情報である。TURE(有効)は、利用することを示し、FALSE(無効)は利用しないことを示す。つまり、ユーザクレデンシャル共有サービス304は、利用設定902がTRUEの場合は、ユーザクレデンシャル共有設定901に従って、対応するユーザクレデンシャルをアプリケーションに提供するか否かを決定する。ユーザクレデンシャル共有サービス304は、以前のユーザクレデンシャル共有設定がHDD204から取得できた場合は、新たに生成したユーザクレデンシャル共有設定と比較し、差分を確認する。
次に、S805において、ユーザクレデンシャル共有サービス304は、情報に追加があればユーザクレデンシャル共有設定を更新し、S806においてHDD204に保存する。また、S805において、利用設定も同様に、以前の利用設定がHDD204から取得できた場合は、情報に追加があれば新規に情報を追加して更新する。HDD204から利用設定が取得できなかった場合は、ユーザクレデンシャル共有サービス304は、利用設定を生成して初期値を設定する。本実施形態では、利用設定の初期値として、TRUE(利用する)を設定する。生成および更新した利用設定は、S806でHDD204に保存される。
ユーザクレデンシャル共有サービス304は、アプリケーションプラットフォーム303を介して新しいアプリケーションのインストールや起動を知ることが可能である。この場合、ユーザクレデンシャル共有サービス304は、新しいアプリケーションのマニフェストファイルを解析して、HDD204に記録したユーザクレデンシャル共有設定/利用設定を更新する。
上述したように、ユーザクレデンシャル共有サービス304は、アプリケーションから取得したマニフェストファイルに記述された情報を利用して、ユーザクレデンシャル共有設定を自動生成する。これにより、ユーザクレデンシャル共有のために詳細な設定を行うことが煩わしいユーザも特に設定を意識することなく、ユーザクレデンシャル共有サービス304を安全に利用することができる。
<ユーザクレデンシャル共有サービス304の設定に関する動作>
ユーザクレデンシャル共有サービス304は、図10に示すユーザクレデンシャル共有設定の利用設定を行うユーザインタフェース1000を操作パネル205に表示する機能を備える。ユーザインタフェース1000は、画像形成装置101の管理者のみが操作可能なように構成される。1001は、ユーザクレデンシャル共有サービス304が生成したユーザクレデンシャル共有設定901に対する利用設定902を変更するためのチェックボックスである。管理者は、利用する設定に対してチェックを入力する。本実施形態では、初期状態では全ての設定にチェックが入った状態になっているものとする。管理者は利用したくない設定のチェックボックスを外すことが可能である。つまり、利用設定902には、ユーザクレデンシャル共有設定901に定義されたユーザクレデンシャルの項目ごとの共有条件を、それぞれ有効にするか無効にするか設定が定義される。
ユーザクレデンシャル共有サービス304は、図10に示すユーザクレデンシャル共有設定の利用設定を行うユーザインタフェース1000を操作パネル205に表示する機能を備える。ユーザインタフェース1000は、画像形成装置101の管理者のみが操作可能なように構成される。1001は、ユーザクレデンシャル共有サービス304が生成したユーザクレデンシャル共有設定901に対する利用設定902を変更するためのチェックボックスである。管理者は、利用する設定に対してチェックを入力する。本実施形態では、初期状態では全ての設定にチェックが入った状態になっているものとする。管理者は利用したくない設定のチェックボックスを外すことが可能である。つまり、利用設定902には、ユーザクレデンシャル共有設定901に定義されたユーザクレデンシャルの項目ごとの共有条件を、それぞれ有効にするか無効にするか設定が定義される。
更に、ユーザクレデンシャル共有サービス304は、図11に示すようなユーザクレデンシャル共有設定を編集するためのユーザインタフェース1100を操作パネル205に表示する機能を備える。例えば、編集対象の設定のチェックボックス1101にチェックを入力して、編集ボタン1102を押下すると、図11の1110が操作パネル205に表示される。1110では、更新可能なアプリケーションのリスト1103や参照可能アプリケーションのリスト1104を表示して、管理者が対象のアプリケーションを追加・削除できるように構成される。
次に、図8の説明に戻り、ユーザクレデンシャル共有サービス304の設定に係る動作について説明する。管理者からのアクセスを検知すると、S808において、ユーザクレデンシャル共有サービス304は、HDD204からユーザクレデンシャル共有設定901と利用設定902とを取得して、ユーザインタフェース1000、1100を表示する。例えば管理者が利用設定の変更操作を行ったことを検知すると、S809において、ユーザクレデンシャル共有サービス304は、利用設定902を更新して、HDD204に記録する。管理者が利用すると設定したユーザクレデンシャル共有設定に対して、更に、画像形成装置101を利用する一般ユーザ毎の利用設定が可能なように構成してもよい。管理者がユーザインタフェース1100、1110を用いてユーザクレデンシャル共有設定を編集したことを検知すると、S810において、ユーザクレデンシャル共有サービス304は、ユーザクレデンシャル共有設定901を更新して、HDD204に記録する。
アプリケーションを利用するユーザには、ユーザクレデンシャルの漏洩を気にするユーザもいれば、シングルサインオンができることの利便性を重視するユーザもいる。本実施形態によれば、ユーザクレデンシャル共有設定901や利用設定902をユーザが変更可能なユーザインタフェースを備えることで、ユーザが意図した共有設定に変更することを可能にしている。さらに、ユーザが、自動生成されたユーザクレデンシャル共有設定を利用しない選択も可能であるため、ユーザクレデンシャルの漏洩を防止することもできる。ユーザが自動生成されたユーザクレデンシャル共有設定901を変更して、更に多くのアプリケーション間でユーザクレデンシャルの共有を可能にすることにより、シングルサインオンを行うことの利便性を上げることもできる。
<ユーザクレデンシャル共有サービス304の運用時に関する動作>
次に、図12を参照して、ユーザクレデンシャル共有サービス304が他のアプリケーションから利用される際の動作例について説明する。また、ここでは、ユーザが画像形成装置101にログイン後に、始めにアプリケーション312を使用し、その後アプリケーション313を使用してログアウトした場合の動作を例として説明する。なお、以下で説明するユーザクレデンシャル共有サービス304、ログインアプリケーション305、アプリケーション312、313の処理は、CPU201がROM202やHDD204からプログラムを読み出して実行することにより実現される。
次に、図12を参照して、ユーザクレデンシャル共有サービス304が他のアプリケーションから利用される際の動作例について説明する。また、ここでは、ユーザが画像形成装置101にログイン後に、始めにアプリケーション312を使用し、その後アプリケーション313を使用してログアウトした場合の動作を例として説明する。なお、以下で説明するユーザクレデンシャル共有サービス304、ログインアプリケーション305、アプリケーション312、313の処理は、CPU201がROM202やHDD204からプログラムを読み出して実行することにより実現される。
S1200において、ユーザが画像形成装置101の操作パネル205に表示されたログイン画面501に、アカウントとパスワードを入力してログイン操作を行う。続いて、S1201において、ログインアプリケーション305は、入力されたアカウントとパスワードを検証して正規のユーザであることを確認すると、ユーザがログインしたことをユーザクレデンシャル共有サービス304に通知する。ユーザのログイン通知を受信したユーザクレデンシャル共有サービス304は、S1202において、HDD204に保存されたユーザクレデンシャル共有設定901及び利用設定902を参照する。
ユーザクレデンシャル共有設定901に暗号化が必要なWebProxyAccount_001/WebProxyPassword_001があれば、S1203において、ユーザクレデンシャル共有サービス304は、データを暗号化・復号化するための暗号鍵を生成して、RAM203上に保持する。鍵の生成には、AESなどの共通鍵暗号方式などが利用される。例えば、RAM203上には、管理IDと関連づけてデータを管理するためのユーザクレデンシャルデータ管理テーブル1300が用意される。ここでは、暗号鍵データ001と暗号鍵データ002を生成して、WebProxyAccount_001とWebProxyPassword_002と関連付けて保存する。
次に、S1204において、ユーザクレデンシャル共有サービス304は、生成した暗号鍵を、WebProxyAccount_001とWebProxyPassword_002とを利用するアプリケーション312、313に配信する。ユーザクレデンシャル共有サービス304が、各アプリケーションが任意のタイミングで暗号鍵を取得できるAPI603を備えてもよい。続いて、S1205において、ログインアプリケーション305は、SetUserCredentialAPI601を利用して、S1200で取得したアカウントとパスワードを、ユーザクレデンシャル共有サービス304に保存要求する。ユーザクレデンシャル共有サービス304は、ユーザクレデンシャル共有設定901及び利用設定902を参照して、ログインアプリケーション305が、LoginAccount_001/LoginPassword_001を更新可能であるかを確認する。ユーザクレデンシャル共有サービス304は、ユーザクレデンシャルデータ管理テーブル1300に、アカウント/パスワード(Alice/AliceLogin)をLoginAccount_001/LoginPassword_001と関連付けて保存する。さらに、最終更新アプリケーションのApplicationIDや、更新日時も合わせて記録する。
次に、S1206において、アプリケーション312は、インターネットアクセスを要するユーザ操作を検知する。続いて、S1207において、アプリケーション312は、GetUserCredentialAPI602を利用してユーザクレデンシャル共有サービス304に、WebProxyAccount/WebProxyPasswordの取得を要求する。ユーザクレデンシャル共有サービス304は、ユーザクレデンシャルデータ管理テーブル1300を参照するが、ログイン直後はWebProxyAccount_001/WebProxyPassword_001が保存されていないため、NULLを返却する。
WebProxyAccount/WebProxyPasswordが取得できなかったアプリケーション312は、S1208において、LoginAccount/LoginPasswordの取得をユーザクレデンシャル共有サービス304に要求する。ユーザクレデンシャル共有サービス304は、LoginAccount(Alice)/LoginPassword(AliceLogin)を返却する。その後、S1209において、アプリケーション312は、プロキシサーバ104にアクセスして、S1208で取得したアカウントとパスワードを用いて認証を試みる。ここで、アカウント(Alice)とパスワード(AliceLogin)が、プロキシサーバ104に登録されていれば認証が成功する。この場合、ユーザはプロキシサーバ104の認証を意識することなく、インターネットにアクセスできる。一方、アカウント(Alice)とパスワード(AliceLogin)がプロキシサーバ104に登録されていなければ、認証エラーが通知される。
認証エラーが通知された場合を想定して、この後の処理を説明する。プロキシサーバ104の認証に失敗したアプリケーション312は、S1210において、プロキシ認証画面503を表示して、ユーザにプロキシ認証のためのアカウント/パスワードの入力を促す。その後、アプリケーション312は、S1211でユーザからのプロキシ認証用のアカウント/パスワードの入力操作を検知すると、S1212において、入力されたアカウント/パスワードを用いて再びプロキシサーバ104にアクセスして認証処理を行う。プロキシ認証が成功すると、S1213において、アプリケーション312は、プロキシ認証に成功したアカウント/パスワードをS1204で取得した暗号鍵を用いて暗号化する。その後、S1214において、アプリケーション312は、暗号化したアカウント/パスワードを、SetUserCredentialAPI601を利用して、ユーザクレデンシャル共有サービスに保存する。
次に、S1215において、アプリケーション313は、インターネットアクセスを要するユーザ操作を検知する。S1216において、アプリケーション313は、GetUserCredentialAPI602を利用してユーザクレデンシャル共有サービス304へWebProxyAccount/WebProxyPasswordの取得を要求する。ユーザクレデンシャル共有サービス304は、ユーザクレデンシャル共有設定901及び利用設定902を参照し、アプリケーション313がWebProxyAccount_001/WebProxyPassword_001を参照可能であるかを確認する。参照可能であれば、ユーザクレデンシャル共有サービス304は、ユーザクレデンシャルデータ管理テーブル1300を参照して、WebProxyAccount_001/WebProxyPassword_001に保存された暗号化されたアカウント/パスワードを返却する。1つのクレデンシャルIDに対して複数の管理ID関連づけられたアカウント/パスワードが参照可能である場合は、複数のアカウント/パスワードを返却する。この際、保存を行ったアプリケーションや更新日時などを考慮して、優先度の高い順にソートして返却しても良い。
暗号化されたアカウント/パスワードの取得に成功したアプリケーション313は、S1217において、S1204で取得した暗号鍵を使用して暗号化されたデータを復号化して、アカウント/パスワードを取得する。続いて、S1218において、アプリケーション313は、取得したアカウント/パスワードを用いてプロキシサーバ104にアクセスして認証処理を行う。
ログインアプリケーション305は、S1219においてユーザのログアウト操作を検知すると、S1220においてユーザクレデンシャル共有サービス304にログアウト通知を行う。ログアウト通知を受信したユーザクレデンシャル共有サービス304は、S1221において、ユーザクレデンシャルデータ管理テーブル1300に記録したデータを全て破棄する。
<SetUserCredentialAPIの補足説明>
SetUserCredentialAPI601は、引数に指定されたCredentialIDと関連付いた更新可能な管理IDが複数存在する場合は、管理IDが示す領域の全にユーザクレデンシャルの保存を行う。例えば、アプリケーション308が、CredentialIDにFileServerPasswordを指定してSetUserCredentialAPI601を呼び出した場合の動作を説明する。ユーザクレデンシャル共有サービス304は、ユーザクレデンシャル共有設定901及び利用設定902を参照して、アプリケーション308がFileServerPassword_001/FileServerPassword_002を更新可能なことを確認する。そして、ユーザクレデンシャルデータ管理テーブル1300のFileServerPassword_001/FileServerPassword_002それぞれと関連付けて、引数に指定されたユーザクレデンシャルデータを保存する。
SetUserCredentialAPI601は、引数に指定されたCredentialIDと関連付いた更新可能な管理IDが複数存在する場合は、管理IDが示す領域の全にユーザクレデンシャルの保存を行う。例えば、アプリケーション308が、CredentialIDにFileServerPasswordを指定してSetUserCredentialAPI601を呼び出した場合の動作を説明する。ユーザクレデンシャル共有サービス304は、ユーザクレデンシャル共有設定901及び利用設定902を参照して、アプリケーション308がFileServerPassword_001/FileServerPassword_002を更新可能なことを確認する。そして、ユーザクレデンシャルデータ管理テーブル1300のFileServerPassword_001/FileServerPassword_002それぞれと関連付けて、引数に指定されたユーザクレデンシャルデータを保存する。
<その他の実施形態>
上記実施形態では、ユーザクレデンシャル共有サービス304を利用してアカウント/パスワードを共有する例を示した。しかしながら、本発明はこれに限定されない。例えば、他のユーザクレデンシャルとして、パスワードのハッシュ値、KerberosのTGTやSAMLなどのチケット、指紋などの生体情報、ユーザが所有するICカード情報などを、ユーザクレデンシャル共有サービス304を利用して共有可能にしてもよい。
上記実施形態では、ユーザクレデンシャル共有サービス304を利用してアカウント/パスワードを共有する例を示した。しかしながら、本発明はこれに限定されない。例えば、他のユーザクレデンシャルとして、パスワードのハッシュ値、KerberosのTGTやSAMLなどのチケット、指紋などの生体情報、ユーザが所有するICカード情報などを、ユーザクレデンシャル共有サービス304を利用して共有可能にしてもよい。
また、上記実施形態において、共有先アプリケーションを示す情報として、マニフェストファイルに、TrustApplicationIDとしてアプリケーションIDを記述する例を示したが、アプリケーションに関係する情報であればその他の情報でもよい。例えば、アプリケーションを作成したベンダの情報をマニフェストファイルに記述して、該当ベンダが作成した全てのアプリケーションを共有先として指定してもよい。また、アプリケーショングループ情報をマニフェストファイルに記述して、アプリケーショングループに属する全てのアプリケーションを共有先として指定してもよい。
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(又はCPUやMPU等)がプログラムを読み出して実行する処理である。
Claims (10)
- 情報処理装置であって、
前記情報処理装置において動作する複数のアプリケーションのそれぞれから、ユーザを証明するための情報を有するユーザクレデンシャルの複数の項目ごとに定義された、他のアプリケーションとの該ユーザクレデンシャルの共有条件をそれぞれ取得する取得手段と、
取得した前記共有条件から、各アプリケーション間でのユーザクレデンシャルの項目ごとに前記共有条件を定義した共有設定を生成するとともに、生成した該共有設定をメモリに保存する生成手段と、
少なくとも1つの前記アプリケーションから通知される前記ユーザクレデンシャルをメモリに保持する保持手段と、
何れかの前記アプリケーションから前記ユーザクレデンシャルを要求されると、メモリに保存された前記共有設定に従って、要求したアプリケーションに対して該ユーザクレデンシャルを提供する提供手段と
を備えることを特徴とする情報処理装置。 - 前記生成手段は、前記情報処理装置の起動時、アプリケーションの起動時、及びユーザのログイン時の何れかのタイミングで前記共有設定を生成し、生成した前記共有設定と、メモリに既に保存されている共有設定とを比較し、差分があれば生成した前記共有設定をメモリに更新することを特徴とする請求項1に記載の情報処理装置。
- 前記保持手段は、さらに、
前記共有設定に定義されたユーザクレデンシャルの項目ごとの共有条件を、それぞれ有効にするか無効にするかを設定する利用設定をメモリに保持し、
前記提供手段は、前記利用設定が有効を示す場合に、前記共有設定に従って、要求したアプリケーションに対して該ユーザクレデンシャルを提供するか否かを決定することを特徴とする請求項1又は2に記載の情報処理装置。 - メモリに保持されている前記共有設定及び前記利用設定を変更するためのユーザインタフェースをさらに備えることを特徴とする請求項3に記載の情報処理装置。
- 前記提供手段は、
前記ユーザクレデンシャルを要求したアプリケーションが、前記共有設定において前記ユーザクレデンシャルについて共有するよう定義されていなければ該ユーザクレデンシャルを提供せず、
前記ユーザクレデンシャルを要求したアプリケーションが、前記共有設定において前記ユーザクレデンシャルについて共有するよう定義されていれば該ユーザクレデンシャルを提供することを特徴とする請求項1乃至4の何れか1項に記載の情報処理装置。 - 前記提供手段は、
前記保持手段によって保持されている前記ユーザクレデンシャルを暗号化する暗号化手段と、
前記ユーザクレデンシャルを暗号化する際に用いられる暗号鍵を各アプリケーションに配信する配信手段と
を備えることを特徴とする請求項1乃至5の何れか1項に記載の情報処理装置。 - 前記複数のアプリケーションには、認証したユーザのユーザクレデンシャルを発行するログインアプリケーションが含まれ、
前記保持手段は、前記ログインアプリケーションから発行された、該ログインアプリケーションが認証を実行したユーザのユーザクレデンシャルをメモリに保持し、該ユーザがログアウトすると、当該ユーザクレデンシャルをメモリから削除することを特徴とする請求項1乃至6の何れか1項に記載の情報処理装置。 - 前記共有設定には、前記ユーザクレデンシャルの項目ごとに、該ユーザクレデンシャルの情報を参照可能なアプリケーションの情報と、該ユーザクレデンシャルの情報を更新可能なアプリケーションの情報とが含まれることを特徴とする請求項1乃至7の何れか1項に記載の情報処理装置。
- 情報処理装置の制御方法であって、
取得手段が、前記情報処理装置において動作する複数のアプリケーションのそれぞれから、ユーザを証明するための情報を有するユーザクレデンシャルの複数の項目ごとに定義された、他のアプリケーションとの該ユーザクレデンシャルの共有条件をそれぞれ取得する取得ステップと、
生成手段が、取得した前記共有条件から、各アプリケーション間でのユーザクレデンシャルの項目ごとに前記共有条件を定義した共有設定を生成するとともに、生成した該共有設定をメモリに保存する生成ステップと、
保持手段が、少なくとも1つの前記アプリケーションから通知される前記ユーザクレデンシャルをメモリに保持する保持ステップと、
提供手段が、何れかの前記アプリケーションから前記ユーザクレデンシャルを要求されると、メモリに保存された前記共有設定に従って、要求したアプリケーションに対して該ユーザクレデンシャルを提供する提供ステップと
を実行することを特徴とする情報処理装置の制御方法。 - 請求項9に記載の情報処理装置の制御方法が有する各ステップをコンピュータに実行させるためのプログラム。
Priority Applications (8)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010231884A JP5620781B2 (ja) | 2010-10-14 | 2010-10-14 | 情報処理装置、その制御方法、及びプログラム |
| EP11007697.3A EP2442252B1 (en) | 2010-10-14 | 2011-09-21 | Information processing apparatus providing a user credential sharing service, control method therefor, and program |
| US13/238,648 US9064105B2 (en) | 2010-10-14 | 2011-09-21 | Information processing apparatus, control method therefor, and program |
| KR1020110101643A KR101430792B1 (ko) | 2010-10-14 | 2011-10-06 | 정보 처리 장치, 그 제어 방법 및 컴퓨터 판독가능한 저장 매체 |
| MYPI2011004900A MY164084A (en) | 2010-10-14 | 2011-10-12 | Information processing apparatus and control method therefor |
| BRPI1107154-0A BRPI1107154B1 (pt) | 2010-10-14 | 2011-10-13 | aparelho de processamento de informação que provê um compartilhamento de credencial de usuário, e, método de controle para o mesmo |
| RU2011141580/08A RU2506632C2 (ru) | 2010-10-14 | 2011-10-13 | Устройство обработки информации, способ его управления и компьютерно-считываемый носитель информации |
| CN201110312116.5A CN102609635B (zh) | 2010-10-14 | 2011-10-14 | 信息处理装置及其控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010231884A JP5620781B2 (ja) | 2010-10-14 | 2010-10-14 | 情報処理装置、その制御方法、及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2012084081A JP2012084081A (ja) | 2012-04-26 |
| JP5620781B2 true JP5620781B2 (ja) | 2014-11-05 |
Family
ID=44719083
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010231884A Expired - Fee Related JP5620781B2 (ja) | 2010-10-14 | 2010-10-14 | 情報処理装置、その制御方法、及びプログラム |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US9064105B2 (ja) |
| EP (1) | EP2442252B1 (ja) |
| JP (1) | JP5620781B2 (ja) |
| KR (1) | KR101430792B1 (ja) |
| CN (1) | CN102609635B (ja) |
| BR (1) | BRPI1107154B1 (ja) |
| MY (1) | MY164084A (ja) |
| RU (1) | RU2506632C2 (ja) |
Families Citing this family (42)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140032733A1 (en) | 2011-10-11 | 2014-01-30 | Citrix Systems, Inc. | Policy-Based Application Management |
| US9043480B2 (en) | 2011-10-11 | 2015-05-26 | Citrix Systems, Inc. | Policy-based application management |
| US9280377B2 (en) | 2013-03-29 | 2016-03-08 | Citrix Systems, Inc. | Application with multiple operation modes |
| US9215225B2 (en) | 2013-03-29 | 2015-12-15 | Citrix Systems, Inc. | Mobile device locking with context |
| US9143529B2 (en) | 2011-10-11 | 2015-09-22 | Citrix Systems, Inc. | Modifying pre-existing mobile applications to implement enterprise security policies |
| CN103188221B (zh) * | 2011-12-28 | 2018-01-30 | 腾讯科技(深圳)有限公司 | 应用程序登录方法、装置和移动终端 |
| US20150172925A1 (en) * | 2012-04-26 | 2015-06-18 | Tapani Antero Leppanen | Method and Apparatus for Wireless Network Access Parameter Sharing |
| JP5968077B2 (ja) * | 2012-05-22 | 2016-08-10 | キヤノン株式会社 | 情報処理装置、その制御方法、プログラム、及び画像処理装置 |
| CN103685175B (zh) * | 2012-09-11 | 2017-12-01 | 腾讯科技(深圳)有限公司 | 应用平台与应用共享登录态的方法、代理服务器及系统 |
| US9088559B2 (en) | 2012-09-11 | 2015-07-21 | Tencent Technology (Shenzhen) Company Limited | System and method for sharing login status between an application platform and an application |
| JP6066647B2 (ja) | 2012-09-27 | 2017-01-25 | キヤノン株式会社 | デバイス装置、その制御方法、およびそのプログラム |
| US20140108558A1 (en) | 2012-10-12 | 2014-04-17 | Citrix Systems, Inc. | Application Management Framework for Secure Data Sharing in an Orchestration Framework for Connected Devices |
| US9774658B2 (en) | 2012-10-12 | 2017-09-26 | Citrix Systems, Inc. | Orchestration framework for connected devices |
| US9516022B2 (en) | 2012-10-14 | 2016-12-06 | Getgo, Inc. | Automated meeting room |
| US20140109176A1 (en) | 2012-10-15 | 2014-04-17 | Citrix Systems, Inc. | Configuring and providing profiles that manage execution of mobile applications |
| US8910239B2 (en) | 2012-10-15 | 2014-12-09 | Citrix Systems, Inc. | Providing virtualized private network tunnels |
| US9606774B2 (en) | 2012-10-16 | 2017-03-28 | Citrix Systems, Inc. | Wrapping an application with field-programmable business logic |
| US20140108793A1 (en) | 2012-10-16 | 2014-04-17 | Citrix Systems, Inc. | Controlling mobile device access to secure data |
| US9971585B2 (en) | 2012-10-16 | 2018-05-15 | Citrix Systems, Inc. | Wrapping unmanaged applications on a mobile device |
| US20140109072A1 (en) | 2012-10-16 | 2014-04-17 | Citrix Systems, Inc. | Application wrapping for application management framework |
| US8990907B2 (en) * | 2012-11-09 | 2015-03-24 | Microsoft Corporation | Managing security credentials for scaled-out services |
| EP2802118B1 (en) | 2012-12-07 | 2021-02-03 | Duvon Corporation | File sharing system and method |
| CN103973768B (zh) * | 2013-02-05 | 2017-06-16 | 联发科技股份有限公司 | 分享鉴权证书的方法及其通信装置 |
| JP6393988B2 (ja) * | 2013-02-28 | 2018-09-26 | 株式会社リコー | 機器、情報処理システム、制御方法、プログラム、および記憶媒体 |
| US9985850B2 (en) | 2013-03-29 | 2018-05-29 | Citrix Systems, Inc. | Providing mobile device management functionalities |
| US8850049B1 (en) | 2013-03-29 | 2014-09-30 | Citrix Systems, Inc. | Providing mobile device management functionalities for a managed browser |
| US9369449B2 (en) | 2013-03-29 | 2016-06-14 | Citrix Systems, Inc. | Providing an enterprise application store |
| US10284627B2 (en) | 2013-03-29 | 2019-05-07 | Citrix Systems, Inc. | Data management for an application with multiple operation modes |
| US9355223B2 (en) | 2013-03-29 | 2016-05-31 | Citrix Systems, Inc. | Providing a managed browser |
| CN103248699B (zh) * | 2013-05-16 | 2014-07-16 | 广西中烟工业有限责任公司 | 一种单点登录信息系统的多账号处理方法 |
| CN104424423B (zh) | 2013-08-28 | 2018-06-19 | 华为终端(东莞)有限公司 | 应用程序的权限确定方法和装置 |
| CN104580098B (zh) * | 2013-10-22 | 2018-06-22 | 阿里巴巴集团控股有限公司 | 一种服务共享方法及装置 |
| JP6258001B2 (ja) * | 2013-10-31 | 2018-01-10 | 株式会社東芝 | 電子機器および方法 |
| US9288205B2 (en) | 2014-02-14 | 2016-03-15 | Kabushiki Kaisha Toshiba | Image processing apparatus, and authentication processing method in the same |
| JP6116514B2 (ja) * | 2014-04-15 | 2017-04-19 | 京セラドキュメントソリューションズ株式会社 | 電子機器、表示制御プログラム、及び、表示方法 |
| US9760704B2 (en) * | 2014-05-23 | 2017-09-12 | Blackberry Limited | Security apparatus session sharing |
| US10313264B2 (en) | 2014-05-28 | 2019-06-04 | Apple Inc. | Sharing account data between different interfaces to a service |
| JP6465755B2 (ja) | 2015-06-11 | 2019-02-06 | キヤノン株式会社 | 制御方法、プログラム及びクライアント端末 |
| JP7166741B2 (ja) * | 2015-08-07 | 2022-11-08 | キヤノン株式会社 | 情報処理装置、情報処理装置の制御方法、画像形成装置、画像形成装置の制御方法、情報処理システム、及び、プログラム |
| US11645405B2 (en) | 2020-09-30 | 2023-05-09 | Duvon Corporation | Secure fetch of digital content |
| JP7171775B2 (ja) * | 2021-01-07 | 2022-11-15 | キヤノン株式会社 | 情報処理装置、制御方法及びプログラム |
| CN113612756B (zh) * | 2021-07-29 | 2023-06-27 | 广州博冠信息科技有限公司 | 共享登录方法及装置、计算机可读存储介质、电子设备 |
Family Cites Families (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5689638A (en) | 1994-12-13 | 1997-11-18 | Microsoft Corporation | Method for providing access to independent network resources by establishing connection using an application programming interface function call without prompting the user for authentication data |
| US6256734B1 (en) * | 1998-02-17 | 2001-07-03 | At&T | Method and apparatus for compliance checking in a trust management system |
| US6438600B1 (en) * | 1999-01-29 | 2002-08-20 | International Business Machines Corporation | Securely sharing log-in credentials among trusted browser-based applications |
| KR100496154B1 (ko) * | 2001-04-27 | 2005-06-20 | 주식회사 케이티 | 제휴 사이트 간 통합 인증 시스템 및 그 방법 |
| US7016959B2 (en) * | 2002-04-11 | 2006-03-21 | International Business Machines Corporation | Self service single sign on management system allowing user to amend user directory to include user chosen resource name and resource security data |
| US20030226036A1 (en) * | 2002-05-30 | 2003-12-04 | International Business Machines Corporation | Method and apparatus for single sign-on authentication |
| US7254831B2 (en) * | 2002-12-04 | 2007-08-07 | Microsoft Corporation | Sharing a sign-in among software applications having secured features |
| JP4338989B2 (ja) * | 2003-02-20 | 2009-10-07 | パナソニック株式会社 | メモリデバイス |
| JP4676703B2 (ja) | 2003-03-20 | 2011-04-27 | 株式会社リコー | ユーザ認証装置、ユーザ認証方法、ユーザ認証プログラム及び記録媒体 |
| JP4404190B2 (ja) * | 2003-07-24 | 2010-01-27 | ソニー株式会社 | 電子機器、認証使用情報更新方法 |
| ATE371329T1 (de) * | 2004-02-11 | 2007-09-15 | Sony Ericsson Mobile Comm Ab | Vorrichtung und verfahren zur dynamischen sicherheitsverwaltung |
| GB2415064B (en) * | 2004-06-10 | 2008-01-09 | Symbian Software Ltd | Computing device with a process-based keystore and method for operating a computing device |
| CN101853353B (zh) * | 2005-02-14 | 2012-07-18 | 松下电器产业株式会社 | 应用程序执行装置、应用程序执行方法 |
| JP4372030B2 (ja) * | 2005-03-02 | 2009-11-25 | キヤノン株式会社 | 印刷装置、印刷装置の制御方法及びコンピュータプログラム |
| EP1710725B1 (en) * | 2005-04-06 | 2018-10-31 | Assa Abloy AB | Secure digital credential sharing arrangement |
| US7913084B2 (en) * | 2006-05-26 | 2011-03-22 | Microsoft Corporation | Policy driven, credential delegation for single sign on and secure access to network resources |
| US8392587B2 (en) * | 2006-06-28 | 2013-03-05 | International Business Machines Corporation | Federated management framework for credential data |
| US8082442B2 (en) * | 2006-08-10 | 2011-12-20 | Microsoft Corporation | Securely sharing applications installed by unprivileged users |
| US8458775B2 (en) * | 2006-08-11 | 2013-06-04 | Microsoft Corporation | Multiuser web service sign-in client side components |
| CN101518038A (zh) | 2006-08-14 | 2009-08-26 | 晟碟以色列有限公司 | 共享存储在第一装置的凭证模块中的凭证的系统和方法 |
| JPWO2009004732A1 (ja) * | 2007-07-05 | 2010-08-26 | 日立ソフトウエアエンジニアリング株式会社 | 共有暗号ファイルの暗号化、復号処理方法 |
| KR100953092B1 (ko) * | 2007-11-06 | 2010-04-19 | 한국전자통신연구원 | Sso서비스 방법 및 시스템 |
| US20090217367A1 (en) * | 2008-02-25 | 2009-08-27 | Norman James M | Sso in volatile session or shared environment |
| US8726356B2 (en) * | 2008-02-28 | 2014-05-13 | Nippon Telegraph And Telephone Corporation | Authentication apparatus, authentication method, and authentication program implementing the method |
| US9003059B2 (en) * | 2008-03-31 | 2015-04-07 | Microsoft Technology Licensing, Llc | Running applications in an online or offline mode based on the availability of the connection to the remote web server |
| US8141140B2 (en) * | 2008-05-23 | 2012-03-20 | Hsbc Technologies Inc. | Methods and systems for single sign on with dynamic authentication levels |
| RU85707U1 (ru) * | 2008-10-09 | 2009-08-10 | Закрытое научно-производственное акционерное общество "Отделение проблем военной экономики и финансов" | Модель безопасной обработки информации различных уровней конфиденциальности в информационно-телекоммуникационных системах |
| US8413210B2 (en) * | 2008-12-09 | 2013-04-02 | Microsoft Corporation | Credential sharing between multiple client applications |
| US8589691B1 (en) * | 2009-08-17 | 2013-11-19 | Google Inc. | Self-signed certificates for computer application signatures |
| US8769704B2 (en) * | 2010-09-10 | 2014-07-01 | Salesforce.Com, Inc. | Method and system for managing and monitoring of a multi-tenant system |
-
2010
- 2010-10-14 JP JP2010231884A patent/JP5620781B2/ja not_active Expired - Fee Related
-
2011
- 2011-09-21 US US13/238,648 patent/US9064105B2/en not_active Expired - Fee Related
- 2011-09-21 EP EP11007697.3A patent/EP2442252B1/en not_active Not-in-force
- 2011-10-06 KR KR1020110101643A patent/KR101430792B1/ko active IP Right Grant
- 2011-10-12 MY MYPI2011004900A patent/MY164084A/en unknown
- 2011-10-13 RU RU2011141580/08A patent/RU2506632C2/ru active
- 2011-10-13 BR BRPI1107154-0A patent/BRPI1107154B1/pt active IP Right Grant
- 2011-10-14 CN CN201110312116.5A patent/CN102609635B/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| BRPI1107154A2 (pt) | 2013-05-21 |
| US20120096544A1 (en) | 2012-04-19 |
| RU2506632C2 (ru) | 2014-02-10 |
| KR20120038892A (ko) | 2012-04-24 |
| CN102609635A (zh) | 2012-07-25 |
| CN102609635B (zh) | 2015-01-07 |
| EP2442252B1 (en) | 2019-07-03 |
| US9064105B2 (en) | 2015-06-23 |
| MY164084A (en) | 2017-11-30 |
| BRPI1107154B1 (pt) | 2021-03-02 |
| JP2012084081A (ja) | 2012-04-26 |
| RU2011141580A (ru) | 2013-04-20 |
| EP2442252A1 (en) | 2012-04-18 |
| KR101430792B1 (ko) | 2014-08-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5620781B2 (ja) | 情報処理装置、その制御方法、及びプログラム | |
| JP5968077B2 (ja) | 情報処理装置、その制御方法、プログラム、及び画像処理装置 | |
| US8448225B2 (en) | Login process apparatus, login process method, and program | |
| US8839414B2 (en) | Authenticated database connectivity for unattended applications | |
| JP4108461B2 (ja) | 認証システム、認証振り分けサーバ、認証方法およびプログラム | |
| JP4838610B2 (ja) | 文書管理装置、文書管理方法、プログラム | |
| US9185102B2 (en) | Server system and control method | |
| US20100077208A1 (en) | Certificate based authentication for online services | |
| US9053303B2 (en) | Apparatus, authentication system, authentication control method, authentication control program, and computer-readable recording medium having authentication control program | |
| WO2008051792A2 (en) | Data file access control | |
| US20110173688A1 (en) | Information processing apparatus and method | |
| JP2016177551A (ja) | 出力装置、プログラム、出力システム及び出力方法 | |
| US8266440B2 (en) | Information processing apparatus and authentication information migration method | |
| US8051470B2 (en) | Consolidation of user directories | |
| US10713098B2 (en) | Information processing apparatus and cookie information management method | |
| JP2005202923A (ja) | 情報処理装置、情報処理システム、情報処理方法、情報処理プログラム及び記録媒体 | |
| JP4587688B2 (ja) | 暗号鍵管理サーバ、暗号鍵管理プログラム、暗号鍵取得端末、暗号鍵取得プログラム、暗号鍵管理システム及び暗号鍵管理方法 | |
| JP2004151942A (ja) | ウェブサービス提供装置、ウェブサービス提供方法およびウェブサービス提供プログラム | |
| JP6128958B2 (ja) | 情報処理サーバーシステム、制御方法、およびプログラム | |
| Corella et al. | An example of a derived credentials architecture | |
| JP2008065693A (ja) | 情報処理装置、そのインストール制御方法及びインストール制御プログラム | |
| La Lau et al. | Secure Shell (SSH) | |
| Gilda et al. | JBoss Enterprise Application Platform 6.1 Security Guide |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20131015 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140630 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140822 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140919 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 5620781 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| LAPS | Cancellation because of no payment of annual fees |