JP2010072760A - 認証機能連携機器、認証機能連携システム及び認証機能連携プログラム - Google Patents
認証機能連携機器、認証機能連携システム及び認証機能連携プログラム Download PDFInfo
- Publication number
- JP2010072760A JP2010072760A JP2008237140A JP2008237140A JP2010072760A JP 2010072760 A JP2010072760 A JP 2010072760A JP 2008237140 A JP2008237140 A JP 2008237140A JP 2008237140 A JP2008237140 A JP 2008237140A JP 2010072760 A JP2010072760 A JP 2010072760A
- Authority
- JP
- Japan
- Prior art keywords
- ticket
- request
- information
- access control
- authentication function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Accessory Devices And Overall Control Thereof (AREA)
Abstract
【課題】ユーザが利用できる機能を制限しつつ一の機器を他の機器と連携させて一連の処理を行うことが容易な認証機能連携機器、認証機能連携システム及び認証機能連携プログラムを提供することを目的とする。
【解決手段】他の機器10からのリクエストに含まれるチケットに基づいて他の機器10と認証機能を連携させる認証機能連携機器20であって、証明書保管手段と、他の機器10からのチケットの署名情報及び証明書保管手段が保管している他の機器10の証明書情報に基づくチケットの検証が成功すると、チケットに含まれるユーザ識別子情報及びアクセス制御情報をリポジトリ手段に登録するチケット検証手段と、他の機器10からのリクエストの処理を実行するか否かを、リポジトリ手段に登録されているユーザ識別子情報及びアクセス制御情報に基づいて判定するアクセス制御手段とを有することにより上記課題を解決する。
【選択図】 図1
【解決手段】他の機器10からのリクエストに含まれるチケットに基づいて他の機器10と認証機能を連携させる認証機能連携機器20であって、証明書保管手段と、他の機器10からのチケットの署名情報及び証明書保管手段が保管している他の機器10の証明書情報に基づくチケットの検証が成功すると、チケットに含まれるユーザ識別子情報及びアクセス制御情報をリポジトリ手段に登録するチケット検証手段と、他の機器10からのリクエストの処理を実行するか否かを、リポジトリ手段に登録されているユーザ識別子情報及びアクセス制御情報に基づいて判定するアクセス制御手段とを有することにより上記課題を解決する。
【選択図】 図1
Description
本発明は、認証機能連携機器、認証機能連携システム及び認証機能連携プログラムに係り、特に他の機器と認証機能を連携させる認証機能連携機器、認証機能連携システム及び認証機能連携プログラムに関する。
近年の情報処理技術及びネットワーク技術の進展に伴い、複合機(MFP)等の機器は他の機器と連携して一連の処理を行うことができるようになった。その一方、近年の情報セキュリティ意識の高まりに伴い、複合機等の機器はアクセス制御情報,利用制限情報やセキュリティポリシー等により、各ユーザが利用できるコピー機能,ファックス機能などの機能を予め設定している。
従来、アクセス制御情報,利用制限情報やセキュリティポリシー等は、ドメインをまたいで利用されるもの(例えば特許文献1参照)やサーバにて一元管理されるもの(例えば特許文献2参照)などが知られている。
特開2008−141339号公報
特開2008−35501号公報
例えばアクセス制御情報,利用制限情報やセキュリティポリシー等を用いてユーザが利用できる機能を制限しようとする場合、複合機等の機器はユーザに認証(秘密)情報の入力によりログインさせなければならない。したがって、複合機等の一の機器を他の機器と連携させて一連の処理を行おうとする場合、ユーザは一の機器と他の機器との両方にログインしなければならなかった。
また、複合機等の一の機器を他の機器と連携させて一連の処理を行おうとする場合はアクセス制御情報,利用制限情報やセキュリティポリシー等を、一の機器及び他の機器の両方に設定しておくか、アクセス制御情報,利用制限情報やセキュリティポリシー等を一元管理するサーバに設定しておかなければならなかった。
しかしながら、アクセス制御情報,利用制限情報やセキュリティポリシー等を一の機器及び他の機器の両方に設定することは、ユーザの人数及び機器の数の増加に伴い手間が増大するという問題があった。また、アクセス制御情報,利用制限情報やセキュリティポリシー等をサーバで一元管理する為には、別途、サーバが必要となり、コストが増大するという問題があった。
このように、利用制限情報やセキュリティポリシー等を用いてユーザが利用できる機能を制限しつつ、複合機等の一の機器を他の機器と連携させて一連の処理を行おうとすることは容易でないという問題があった。
本発明は、上記の点に鑑みなされたもので、ユーザが利用できる機能を制限しつつ一の機器を他の機器と連携させて一連の処理を行うことが容易な認証機能連携機器、認証機能連携システム及び認証機能連携プログラムを提供することを目的とする。
上記課題を解決する為、本発明は、他の機器からリクエストを受信し、前記リクエストに含まれるチケットに基づいて前記他の機器と認証機能を連携させる認証機能連携機器であって、前記チケットの検証に利用する前記他の機器の証明書情報を保管している証明書保管手段と、前記他の機器からのリクエストに含まれる前記チケットの署名情報及び前記証明書保管手段が保管している前記他の機器の証明書情報に基づき前記チケットの検証を行い、前記チケットの検証が成功すると、前記チケットに含まれるユーザ識別子情報及びアクセス制御情報をリポジトリ手段に登録するチケット検証手段と、前記他の機器からのリクエストの処理を実行するか否かを、前記リポジトリ手段に登録されている前記ユーザ識別子情報及びアクセス制御情報に基づいて判定するアクセス制御手段とを有することを特徴とする。
また、本発明は、他の機器へリクエストを送信するとき、前記リクエストに含ませたチケットに基づいて前記他の機器と認証機能を連携させ、他の機器からリクエストを受信したとき、前記リクエストに含まれるチケットに基づいて前記他の機器と認証機能を連携させる認証機能連携機器であって、前記他の機器へリクエストを送信するとき、前記リクエストを要求したユーザのユーザ識別子情報及びアクセス制御情報と、署名情報とを含む前記チケットを生成するチケット生成手段と、前記チケット生成手段が生成した前記チケットを、前記他の機器へのリクエストに含ませて送信する送信手段と、前記チケットの検証に利用する前記他の機器の証明書情報を保管している証明書保管手段と、前記他の機器からのリクエストに含まれる前記チケットの署名情報及び前記証明書保管手段が保管している前記他の機器の証明書情報に基づき前記チケットの検証を行い、前記チケットの検証が成功すると、前記チケットに含まれるユーザ識別子情報及びアクセス制御情報をリポジトリ手段に登録するチケット検証手段と、前記他の機器からのリクエストの処理を実行するか否かを、前記リポジトリ手段に登録されている前記ユーザ識別子情報及びアクセス制御情報に基づいて判定するアクセス制御手段とを有することを特徴とする。
また、本発明は、ユーザの操作する第1機器と、前記第1機器からのリクエストを受けて前記リクエストの処理を実行する第2機器とを有する認証機能連携システムであって、前記第2機器へリクエストを送信するとき前記リクエストに含ませたチケットに基づいて前記第2機器と認証機能を連携させる前記第1機器は、前記第2機器へリクエストを送信するとき、前記リクエストを要求したユーザのユーザ識別子情報及びアクセス制御情報と、署名情報とを含む前記チケットを生成するチケット生成手段と、前記チケット生成手段が生成した前記チケットを、前記他の機器へのリクエストに含ませて送信する送信手段とを有し、前記第1機器からリクエストを受信すると前記リクエストに含まれるチケットに基づいて前記第1機器と認証機能を連携させる前記第2機器は、前記チケットの検証に利用する前記第1機器の証明書情報を保管している証明書保管手段と、前記第1機器からのリクエストに含まれる前記チケットの署名情報及び前記証明書保管手段が保管している前記第1機器の証明書情報に基づき前記チケットの検証を行い、前記チケットの検証が成功すると、前記チケットに含まれるユーザ識別子情報及びアクセス制御情報をリポジトリ手段に登録するチケット検証手段と、前記第1機器からのリクエストの処理を実行するか否かを、前記リポジトリ手段に登録されている前記ユーザ識別子情報及びアクセス制御情報に基づいて判定するアクセス制御手段とを有することを特徴とする。
また、本発明は、他の機器からリクエストを受信し、前記リクエストに含まれるチケットに基づいて前記他の機器と認証機能を連携させる認証機能連携機器を、前記チケットの検証に利用する前記他の機器の証明書情報を保管している証明書保管手段と、前記他の機器からのリクエストに含まれる前記チケットの署名情報及び前記証明書保管手段が保管している前記他の機器の証明書情報に基づき前記チケットの検証を行い、前記チケットの検証が成功すると、前記チケットに含まれるユーザ識別子情報及びアクセス制御情報をリポジトリ手段に登録するチケット検証手段と、前記他の機器からのリクエストの処理を実行するか否かを、前記リポジトリ手段に登録されている前記ユーザ識別子情報及びアクセス制御情報に基づいて判定するアクセス制御手段として機能させるための認証機能連携プログラムであることを特徴とする。
また、本発明は、他の機器へリクエストを送信するとき、前記リクエストに含ませたチケットに基づいて前記他の機器と認証機能を連携させ、他の機器からリクエストを受信したとき、前記リクエストに含まれるチケットに基づいて前記他の機器と認証機能を連携させる認証機能連携機器を、前記他の機器へリクエストを送信するとき、前記リクエストを要求したユーザのユーザ識別子情報及びアクセス制御情報と、署名情報とを含む前記チケットを生成するチケット生成手段と、前記チケット生成手段が生成した前記チケットを、前記他の機器へのリクエストに含ませて送信する送信手段と、前記チケットの検証に利用する前記他の機器の証明書情報を保管している証明書保管手段と、前記他の機器からのリクエストに含まれる前記チケットの署名情報及び前記証明書保管手段が保管している前記他の機器の証明書情報に基づき前記チケットの検証を行い、前記チケットの検証が成功すると、前記チケットに含まれるユーザ識別子情報及びアクセス制御情報をリポジトリ手段に登録するチケット検証手段と、前記他の機器からのリクエストの処理を実行するか否かを、前記リポジトリ手段に登録されている前記ユーザ識別子情報及びアクセス制御情報に基づいて判定するアクセス制御手段として機能させるための認証機能連携プログラムであることを特徴とする。
なお、本発明の構成要素、表現または構成要素の任意の組合せを、方法、装置、システム、コンピュータプログラム、記録媒体、データ構造などに適用したものも本発明の態様として有効である。
本発明によれば、ユーザが利用できる機能を制限しつつ一の機器を他の機器と連携させて一連の処理を行うことが容易な認証機能連携機器、認証機能連携システム及び認証機能連携プログラムを提供可能である。
次に、本発明を実施するための最良の形態を、以下の実施例に基づき図面を参照しつつ説明していく。なお、本実施例では、機器の一例として複合機等の画像処理装置を例に説明するが、画像処理装置に限定されるものではなく、如何なる機器であってもよい。
図1は本発明による認証機能連携システムの一実施例の構成図である。図1の認証機能連携システム1は、画像処理装置10,画像処理装置20,ユーザPC30,認証サーバ40が、LANなどのネットワーク50を介してデータ通信可能に接続されている構成である。
画像処理装置10はユーザが操作する機器である。画像処理装置20は画像処理装置10からのリクエストを受けて、そのリクエストの処理を実行する機器である。画像処理装置20は画像処理装置10と連動する機器である。ユーザPC30はリクエストの種別によって、ユーザが画像処理装置10に対してリクエストを行う機器である。認証サーバ40は外部認証を実施するサーバである。
図2は本発明による画像処理装置の一実施例のハードウェア構成図を示す。図1の画像処理装置10と画像処理装置20とは同様なハードウェア構成である。そこで、画像処理装置10のハードウェア構成を一例として説明する。
図2の画像処理装置10は、コントローラボード60,ハードディスクドライブ(HDD)70,sdカード80,エンジン90を有するように構成されている。コントローラボード60は、CPU61,揮発性メモリ62,HDDコントローラ63,エンジンコントローラ64,不揮発メモリ65,ネットワークデバイス(network device)66,sdカードI/F67を有するように構成されている。
HDD70は、コントローラボード60のHDDコントローラ63に接続される。sdカード80は、コントローラボード60のsdカードI/F67に接続される。エンジン90は、コントローラボード60のエンジンコントローラ64に接続される。
また、コントローラボード60のCPU61,HDDコントローラ63,エンジンコントローラ64,不揮発メモリ65,ネットワークデバイス66,sdカードI/F67はメインバス(main bus)68を介して接続されている。コントローラボード60のCPU61は揮発性メモリ62に接続されている。
CPU61は、画像処理装置10の全体制御を行うものである。CPU61は、アプリケーション,コンポーネント(CMP),リポジトリ,ライブラリ等を利用して後述の機能ブロックを実現する。揮発性メモリ62は、画像処理装置10の主記憶装置として利用される。
不揮発メモリ65及びsdカード80は、アプリケーション,コンポーネント,リポジトリ,ライブラリ等が格納されている。HDD70は、画像データの蓄積,プログラムの蓄積,フォントデータの蓄積,フォームの蓄積を行うためのストレージである。エンジンコントローラ64は、操作パネル,プロッタやスキャナなどのエンジン90を制御するものである。ネットワークデバイス66はネットワーク50に接続する為のものである。
図3は本発明による画像処理装置の非プラグイン時の機能ブロック図である。図1の画像処理装置10と画像処理装置20とは同様な機能ブロック構成である。そこで、画像処理装置10の機能ブロック構成を一例として説明する。
図3の機能ブロック図に示す画像処理装置10は、文書送信アプリ101,文書出力アプリ102,ネット(net)出力CMP103,リクエスト管理CMP104,文書保管CMP105,文書出力CMP106,netデバイスCMP107,アクセス制御CMP108,スキャナデバイスCMP109,メモリデバイスCMP110,プロッタデバイスCMP111,セッション管理CMP112,ユーザリポジトリ113,証明書保管ライブラリ114,暗号ライブラリ115を有するように構成されている。
また、セッション管理CMP112は、セッション生成部201,チケット生成部202,チケット検証部203,認証実施部204,識別情報生成部205を有するように構成されている。なお、図3の機能ブロック図に示した各機能ブロックの詳細はシーケンス図を用いて後述する。
本発明による認証機能連携システム1は、画像処理装置20が画像処理装置10からのリクエストを受けて、そのリクエストの処理を実行する場合、図4に示すようにシステム証明書,機番,連携先証明書を有している。
図4は認証機能連携システムで利用するシステム証明書,機番,連携先証明書を表した説明図である。図4に示すように、画像処理装置10はシステム証明書301,機番302を有している。システム証明書301は、画像処理装置10の公開鍵(Pub X)及び秘密鍵(Private X)を有している。機番302は、画像処理装置10の機番である。
画像処理装置20はシステム証明書303,機番304,連携先証明書305を有している。システム証明書303は、画像処理装置20の公開鍵(Pub Y)及び秘密鍵(Private Y)を有している。機番304は、画像処理装置20の機番である。連携先証明書305は、画像処理装置10の公開鍵(Pub X)及び画像処理装置10の機番を有している。連携先証明書305は、後述のチケット検証に利用される。
認証機能連携システム1は、連携先証明書305を画像処理装置20の証明書保管ライブラリ114に保管することで、画像処理装置10と画像処理装置20との認証機能の連携が後述のように可能となる。
認証機能連携システム1は、ユーザによる画像処理装置10へのログイン処理,画像処理装置10のリクエスト送信処理,画像処理装置20のリクエスト受信処理を順番に行うことにより認証機能の連携を行う。
(ログイン処理)
図5はユーザによる画像処理装置へのログイン処理を表したシーケンス図である。画像処理装置10を操作するユーザはユーザインタフェース(UI)401からユーザ識別子及びパスワードを入力して認証開始を要求する。ステップS1に進み、ユーザ識別子及びパスワードを含む認証開始の要求はセッション管理CMP112のセッション生成部201に対して行われる。
図5はユーザによる画像処理装置へのログイン処理を表したシーケンス図である。画像処理装置10を操作するユーザはユーザインタフェース(UI)401からユーザ識別子及びパスワードを入力して認証開始を要求する。ステップS1に進み、ユーザ識別子及びパスワードを含む認証開始の要求はセッション管理CMP112のセッション生成部201に対して行われる。
ステップS2に進み、セッション生成部201はユーザ識別子及びパスワードを含む認証開始の要求を認証実施部204に対して行う。ステップS3に進み、認証実施部204はユーザリポジトリ113に保管されている認証情報(ユーザ識別子及びパスワードの組合せ)の確認を行い、画像処理装置10を操作しているユーザの認証を行う。
ここではユーザの認証が成功したものとして説明を続ける。ステップS4に進み、認証実施部204は識別情報生成部205に識別情報の生成の要求を行う。識別情報生成部205はユーザリポジトリ113を参照し、識別情報を生成する。なお、識別情報の詳細は後述する。
ステップS5に進み、認証実施部204はユーザリポジトリ113を参照し、利用制限情報を生成する。その後、認証実施部204はセッションの生成を行い、ログイン処理を終了する。
ログイン処理における認証実施部204の処理は、図6のフローチャートに示す手順となる。図6はログイン処理における認証実施部の処理手順を示した一例のフローチャートである。
ステップS11に進み、認証実施部204はユーザリポジトリ113に保管されている認証情報の確認を行い、画像処理装置10を操作しているユーザの認証を行う。ユーザの認証が失敗すると、認証実施部204はステップS15に進み、認証が失敗したときの処理(例えば認証エラーをUI401に表示するなど)を行う。
ユーザの認証が成功すると、認証実施部204はステップS12に進み、識別情報生成部205に識別情報を生成させる。ステップS13に進み、認証実施部204はユーザリポジトリ113を参照し、利用制限情報を生成する。認証実施部204は識別情報,利用制限情報を含むようにセッションの生成を行い、セッションの生成処理を完了する。
(リクエスト送信処理)
図7は画像処理装置のリクエスト送信処理を表したシーケンス図である。なお、図7のシーケンス図は画像処理装置10から画像処理装置20への文書の転送印刷の例を示している。リクエスト送信処理は、画像処理装置10から画像処理装置20への文書の転送印刷の他、設定情報の動的な共有(画面構成など)、画像処理装置20の設定変更、画像処理装置20への配信ジョブなどが考えられる。
図7は画像処理装置のリクエスト送信処理を表したシーケンス図である。なお、図7のシーケンス図は画像処理装置10から画像処理装置20への文書の転送印刷の例を示している。リクエスト送信処理は、画像処理装置10から画像処理装置20への文書の転送印刷の他、設定情報の動的な共有(画面構成など)、画像処理装置20の設定変更、画像処理装置20への配信ジョブなどが考えられる。
画像処理装置10を操作するユーザはUI401から文書の転送印刷を要求する。文書の転送印刷に応じたジョブ生成の要求は、ステップS21において、UI401からリクエスト管理CMP104に対して行われる。ジョブ生成の要求にはセッション,ジョブ種別の情報が含まれる。
ステップS22に進み、リクエスト管理CMP104はセッション管理CMP112に含まれるチケット生成部202に対してチケット発行の要求を行う。チケット発行の要求にはセッション,ジョブIDの情報が含まれる。
ステップS23に進み、チケット生成部202はチケット情報の生成を行う。ステップS23で生成されるチケット情報はチケットの構成によって異なっている。図8〜図9はチケットの一例の構成図である。
図8のチケット501は、識別情報502,利用制限情報503,機番504,署名505を有する構成である。チケット情報は、識別情報502,利用制限情報503,機番504を有する構成である。図8のチケット501の場合、識別情報502は認証種別ID,認証CMP情報,ユーザ識別子,1つ以上の所属グループ識別子,ロール識別子を有する構成である。
認証種別IDは認証方式を表すインデックスである。認証CMP情報は外部識別子と呼ばれる、ユーザを一意に特定できる情報である。例えばWindows(登録商標)におけるGUIDに相当する。ユーザ識別子は、ユーザを一意に識別する情報である。所属グループ識別子は、ユーザの所属グループを一意に識別する情報である。また、ロール識別子はユーザの役割(管理者、一般ユーザなど)を一意に識別する情報である。
図9のチケット510は、識別情報502,利用制限情報503,機番504,署名505を有する構成である。チケット情報は、識別情報502,利用制限情報503,機番504を有する構成である。図9のチケット510の場合、識別情報502はユーザ識別子を有する構成である。
図8のチケット501と図9のチケット510とは、識別情報502の構成が異なっている。図9のチケット510は図8のチケット501の識別情報502の構成を単純化したものである。
図7に戻り、ステップS24に進み、チケット生成部202は暗号ライブラリ115に署名(デジタル署名)505の生成を要求する。暗号ライブラリ115は例えばチケット501の識別情報502,利用制限情報503,機番504の一部又は全部をシステム証明書301の秘密鍵(Private X)で暗号化することにより、署名505を生成する。チケット生成部202は、ステップS23で生成したチケット情報にステップS24で生成した署名505を付与することでチケット501の生成を完了する。
ステップS25に進み、リクエスト管理CMP104はアクセス制御CMP108に対して機能利用制限確認の要求を行う。ステップS25の機能利用制限確認の要求には、機能種別,チケット501の情報が含まれる。機能利用制限確認の要求に含まれる機能種別の情報は、ステップS21のジョブ生成の要求に含まれるジョブ種別の情報に応じたものとなる。
ステップS26に進み、アクセス制御CMP108はセッション管理CMP112に含まれるチケット検証部203にチケット検証の要求を行う。ステップS26のチケット検証の要求にはチケットの情報が含まれている。チケット検証部203は後述のチケット検証の処理手順に従ってチケット検証を行う。チケット検証は、チケットが正しい(不正でない)ものであることを検証するものである。
ここではチケット検証が成功したものとして説明を続ける。アクセス制御CMP108はステップS27に進み、チケット501の利用制限情報を参照し、機能利用制限確認の要求に含まれる機能種別ごとにユーザの権限を確認する。ここでは機能利用制限確認の要求に含まれる機能種別にユーザの権限があるものとして説明を続ける。
ステップS28に進み、リクエスト管理CMP104はステップS21に対する応答としてジョブ生成完了をUI401に通知する。ステップS28のジョブ生成完了の通知にはジョブIDの情報が含まれている。UI401には例えば文書の転送印刷が実行中である旨が表示される。ステップS29に進み、UI401はリクエスト管理CMP104に対してジョブ実行の要求を行う。ステップS29のジョブ実行の要求にはジョブIDの情報が含まれる。
リクエスト管理CMP104は、ステップS30に進み、文書送信アプリ101に対してジョブ実行の要求を行う。ステップS30のジョブ実行の要求には、ジョブIDが含まれる。ステップS31に進み、文書送信アプリ101は文書IDを指定して文書取得の要求を文書保管CMP105に対して行う。
ステップS32に進み、文書保管CMP105はアクセス制御CMP108に対してリソース利用制限確認の要求を行う。ステップS32のリソース利用制限確認の要求にはリソースID,チケット501の情報が含まれる。リソース利用制限確認の要求に含まれるリソースIDの情報は、ステップS31の文書取得の要求に含まれる文書IDの情報に応じたものとなる。
ステップS33に進み、アクセス制御CMP108はセッション管理CMP112に含まれるチケット検証部203にチケット検証の要求を行う。ステップS33のチケット検証の要求にはチケットの情報が含まれている。チケット検証部203は後述のチケット検証の処理手順に従ってチケット検証を行う。
ここではチケット検証が成功したものとして説明を続ける。アクセス制御CMP108はステップS34に進み、チケット501の所属グループ識別子,ロール識別子などを参照し、リソース利用制限確認の要求に含まれるリソースIDのユーザの権限を確認する。ここでは、リソース利用制限確認の要求に含まれるリソースIDにユーザの権限があるものとして説明を続ける。ステップS35に進み、文書保管CMP105は文書IDを指定して文書読み出し要求をメモリデバイスCMP110に対して行い、文書IDに応じた文書を読み出す。
ステップS36に進み、文書送信アプリ101は文書IDを指定して文書送信の要求をnet出力CMP103に対して行う。ステップS37に進み、net出力CMP103はアクセス制御CMP108に対してリソース利用制限確認の要求を行う。ステップS37のリソース利用制限確認の要求には、リソースID,チケット501の情報が含まれている。リソース利用制限確認の要求に含まれるリソースIDの情報は、ステップS36の文書送信の要求に含まれる文書IDの情報に応じたものとなる。
ステップS38に進み、アクセス制御CMP108はセッション管理CMP112に含まれるチケット検証部203にチケット検証の要求を行う。ステップS38のチケット検証の要求にはチケットの情報が含まれている。チケット検証部203は後述のチケット検証の処理手順に従ってチケット検証を行う。
ここではチケット検証が成功したものとして説明を続ける。アクセス制御CMP108はステップS39に進み、チケット501の所属グループ識別子,ロール識別子などを参照し、リソース利用制限確認の要求に含まれるリソースIDのユーザの権限を確認する。ここでは、リソース利用制限確認の要求に含まれるリソースIDにユーザの権限があるものとして説明を続ける。ステップS40に進み、net出力CMP103は文書IDを指定して文書の送信要求をnetデバイスCMP107に対して行う。
netデバイスCMP107は、例えばチケット501を埋め込んだ文書IDに応じた文書をネットワーク50経由で画像処理装置20に送信する。図10はチケットが埋め込まれた文書の一例の構成図である。図10の文書はPDL(ページ記述言語)にチケット501が埋め込まれた例を表している。
そして、ステップS41に進み、リクエスト管理CMP104はステップS29に対する応答としてジョブ完了通知を、UI401に通知する。ステップS41のジョブ完了通知にはジョブIDの情報が含まれている。
リクエスト送信処理におけるチケット生成部202の処理は、図11のフローチャートに示す手順となる。図11はリクエスト送信処理におけるチケット生成部の処理手順を示す一例のフローチャートである。
リクエスト管理CMP104からチケット発行の要求があると、チケット生成部202はチケット発行の要求に含まれるセッションが有効か無効かを判定する。チケット生成部202はセッションが有効であると判定すれば、ステップS51に進み、ログイン処理で生成した識別情報502を複製する。
ステップS52に進み、チケット生成部202はログイン処理で生成した利用制限情報503を複製する。ステップS53に進み、チケット生成部202はステップS51,S52で複製した識別情報502,利用制限情報503に機番504を追加してチケット情報を生成する。
ステップS54に進み、チケット生成部202は暗号ライブラリ115に署名(デジタル署名)505の生成を要求する。暗号ライブラリ115は例えばチケット501の識別情報502,利用制限情報503,機番504の一部又は全部をシステム証明書301の秘密鍵(Private X)で暗号化することにより、署名505を生成する。
チケット生成部202は、ステップS53で生成したチケット情報にステップS54で生成した署名505を付与することでチケット501を生成する。そして、ステップS55に進み、チケット生成部202はチケットの生成を完了する。なお、チケット生成部202はセッションが無効であると判定すれば、ステップS56に進み、チケット発行に失敗したときの処理(例えばチケット発行エラーをUI401に表示するなど)を行う。
リクエスト送信処理におけるチケット検証部203の処理は、図12のフローチャートに示す手順となる。図12はリクエスト送信処理におけるチケット検証部の処理手順を示す一例のフローチャートである。
アクセス制御CMP108からチケット検証の要求があると、チケット検証部203はチケット検証の要求に含まれるチケット501の情報に基づき、チケット501の検証を開始する。
ステップS61に進み、チケット検証部203はチケット501の署名505をシステム証明書301に含まれる画像処理装置10(自機)の公開鍵(Pub X)で復号することで検証する。チケット501が画像処理装置10で生成したものである為、ステップS61では署名505の復号が成功する。
チケット検証部203はステップS62に進み、チケット501の検証に成功したと判定する。即ち、チケット検証部203はチケット501が正しい(不正でない)ものであると判定する。
なお、ステップS61において署名505の復号が失敗した場合のステップS63以降の処理は、チケット501が自機以外で生成された場合に実行されるものである。言い換えれば、ステップS63以降の処理は、主にリクエスト受信処理で実行されるため、リクエスト受信処理の説明の中で後述する。なお、図7に示すリクエスト送信処理では生成されたチケット501が各コンポーネントから読み出し可能な位置に保存されているものとする。
(リクエスト受信処理)
図13は画像処理装置のリクエスト受信処理を表したシーケンス図である。なお、図13のシーケンス図は画像処理装置10から画像処理装置20への文書の転送印刷の例を示している。
図13は画像処理装置のリクエスト受信処理を表したシーケンス図である。なお、図13のシーケンス図は画像処理装置10から画像処理装置20への文書の転送印刷の例を示している。
netデバイスCMP107はネットワーク50経由で、チケット501が埋め込まれた文書を受信する。net出力CMP103はnetデバイスCMP107からチケット501の埋め込まれた文書を受信する。なお、図13に示すリクエスト受信処理では受信した文書、文書に埋め込まれていたチケット501が各コンポーネントから読み出し可能な位置に保存されるものとする。
ステップS71に進み、net出力CMP103はリクエスト管理CMP104に対してジョブ生成の要求を行う。ステップS71のジョブ生成の要求にはセッション,ジョブ種別の情報が含まれる。
ステップS72に進み、リクエスト管理CMP104はアクセス制御CMP108に対して機能利用制限確認の要求を行う。ステップS72の機能利用制限確認の要求には、機能種別,チケット501の情報が含まれる。ステップS73に進み、アクセス制御CMP108はセッション管理CMP112に含まれるチケット検証部203にチケット検証の要求を行う。ステップS73のチケット検証の要求にはチケット501の情報が含まれている。
ステップS74に進み、チケット検証部203は暗号ライブラリ115に署名505の検証を要求する。暗号ライブラリ115は例えば連携先証明書305を証明書保管ライブラリ114から取得して、連携先証明書305に含まれる画像処理装置10の公開鍵(Pub X)で署名505を復号することにより署名505の検証を行う。
ここでは、チケット検証が成功したものとして説明を続ける。チケット検証部203はステップS75に進み、チケット501に含まれる識別子情報(ユーザIDなど),利用制限情報503をユーザリポジトリ113にエントリ登録する。
ステップS76に進み、アクセス制御CMP108はチケット501の利用制限情報を参照し、機能利用制限確認の要求に含まれる機能種別ごとにユーザの権限を確認する。ここでは機能利用制限確認の要求に含まれる機能種別にユーザの権限があるものとして説明を続ける。
ステップS77に進み、アクセス制御CMP108はユーザリポジトリ113にエントリ登録された利用制限情報503の利用制限確認を行う。ここでは利用制限確認が正常に終了したものとして説明を続ける。ステップS78に進み、リクエスト管理CMP104はステップS71に対する応答としてジョブ生成完了を、net出力CMP103に通知する。ステップS78のジョブ生成完了の通知にはジョブIDの情報が含まれている。
ステップS79に進み、net出力CMP103はリクエスト管理CMP104に対してジョブ実行の要求を行う。ステップS79のジョブ実行の要求にはジョブIDの情報が含まれる。
リクエスト管理CMP104は、ステップS80に進み、文書出力アプリ102に対してジョブ実行の要求を行う。ステップS80のジョブ実行の要求には、ジョブIDが含まれる。ステップS81に進み、文書出力アプリ102は文書IDを指定して文書出力の要求をプロッタデバイスCMP111に対して行う。
ステップS82に進み、プロッタデバイスCMP111はアクセス制御CMP108に対してリソース利用制限確認の要求を行う。ステップS82のリソース利用制限確認の要求にはリソースID,チケット501の情報が含まれる。リソース利用制限確認の要求に含まれるリソースIDの情報は、ステップS81の文書出力の要求に含まれる文書IDの情報に応じたものとなる。
ステップS83に進み、アクセス制御CMP108はセッション管理CMP112に含まれるチケット検証部203にチケット検証の要求を行う。ステップS83のチケット検証の要求にはチケットの情報が含まれている。ステップS84に進み、チケット検証部203は暗号ライブラリ115に署名505の検証を要求する。暗号ライブラリ115は署名505の検証を行う。
ここでは、チケット検証が成功したものとして説明を続ける。アクセス制御CMP108は、ステップS85に進み、チケット501の所属グループ識別子,ロール識別子などを参照し、リソース利用制限確認の要求に含まれるリソースIDのユーザの権限を確認する。ここでは、リソース利用制限確認の要求に含まれるリソースIDにユーザの権限があるものとして説明を続ける。ステップS86に進み、アクセス制御CMP108はユーザリポジトリ113にエントリ登録された利用制限情報503の利用制限確認を行う。ここでは利用制限確認が正常に終了したものとして説明を続ける。ステップS87に進み、プロッタデバイスCMP111は文書IDに応じた文書を出力する。
そして、ステップS88に進み、リクエスト管理CMP104はステップS79に対する応答としてジョブ完了通知を、net出力CMP103に通知する。ステップS88のジョブ完了通知にはジョブIDの情報が含まれている。
図13のシーケンス図ではステップS75において、チケット501に含まれる利用制限情報503をユーザリポジトリ113にエントリ登録しているが、2回目以降のエントリ登録を省略してもよい。
図14は画像処理装置のリクエスト受信処理であって、2回目以降のエントリ登録を省略する他の例のシーケンス図である。図14のシーケンス図はステップS94において署名505の検証を行ったあと、利用制限情報503等をユーザリポジトリ113にエントリ登録していない点で図13のシーケンス図と異なる。
図14のシーケンス図では、チケット検証が成功したとしても、ユーザリポジトリ113にエントリ登録が既になされている場合に、利用制限情報503等をユーザリポジトリ113にエントリ登録する処理を省略している。したがって、図14のシーケンス図は同一内容のエントリ登録を省略することで無駄を無くしている。なお、ユーザリポジトリ113にエントリ登録が既になされている場合は、図15に示すように利用制限情報503の無いチケット520を使用してもよい。
図16は画像処理装置のリクエスト受信処理であって、利用制限確認が異常である他の例のシーケンス図である。図16のシーケンス図は利用制限確認が異常に終了している点で図13のシーケンス図と異なる。
図16のステップS111〜S116は図13のステップS71〜S76と同様であるため、説明を省略する。ステップS117に進み、アクセス制御CMP108はユーザリポジトリ113にエントリ登録された利用制限情報503の利用制限確認を行う。ここでは利用制限確認が異常に終了したものとして説明を続ける。例えばユーザ識別子(ユーザID)をキーとしてユーザリポジトリ113にエントリ登録されている利用制限情報503を参照し、機能種別に対応する機能が禁止になっていれば、利用制限確認は異常に終了する。
ステップS118に進み、アクセス制御CMP108はリクエスト管理CMP104にアクセス拒否を通知する。そして、ステップS119に進み、リクエスト管理CMP104はステップS111に対する応答としてジョブ生成失敗通知を、net出力CMP103に通知する。
リクエスト受信処理におけるチケット検証部203の処理は、図17のフローチャートに示す手順となる。図17はリクエスト受信処理におけるチケット検証部の処理手順を示す一例のフローチャートである。
アクセス制御CMP108からチケット検証の要求があると、チケット検証部203はチケット検証の要求に含まれるチケット501の情報に基づき、チケット501の検証を開始する。
ステップS121に進み、チケット検証部203はチケット501の署名505をシステム証明書303に含まれる画像処理装置20(自機)の公開鍵(Pub Y)で復号することで検証する。チケット501が画像処理装置10で生成したものである為、署名505の復号は失敗する。
チケット検証部203はステップS123に進み、チケット501に含まれる機番と連携先証明書305の機番とが同じかを確認する。チケット501に含まれる機番と連携先証明書305の機番とが同じであると判定すれば、チケット検証部203はステップS124に進み、チケット501の署名505を連携先証明書305に含まれる画像処理装置10の公開鍵(Pub X)で復号することで検証する。
署名505の復号に成功すると、チケット検証部203は署名505の検証に成功したと判定して、ステップS125に進む。ステップS125では、チケット検証部203がユーザ識別子(ユーザID)をキーとしてユーザリポジトリ113からユーザを検索する。ユーザの検索が成功すれば、チケット検証部203はステップS122に進み、チケット501の検証に成功したと判定する。なお、ユーザの検索が失敗すれば、チケット検証部203はステップS126に進み、ユーザを新規追加し、権限情報を設定する。
ステップS123においてチケット501に含まれる機番と連携先証明書305の機番とが同じでない場合、ステップS124において署名505の復号に失敗した場合、又はステップS126においてユーザの新規追加が失敗した場合、チケット検証部203はステップS127に進み、チケット501の検証に失敗したと判定する。
このように本発明によるリクエスト受信処理では悪意のある或いはバグによりSDKアプリケーションによる送受信でアクセス制御を破ってしまうケースについても、フレームワーク部分でサポートすることにより、不正なSDKアプリケーションの動作制限を強制することができる。SDKアプリケーションは不正な権限を含むチケット501を生成することはできず、現在のチケット501の権限を超えるリクエストを処理することもできない。
(他の例の機能ブロック図)
図18は本発明による画像処理装置のプラグイン時の機能ブロック図である。図18の機能ブロック図は図3の機能ブロック図と一部を除いて同様である。ここでは、図18の機能ブロック図について図3の機能ブロック図と異なる点について説明する。
図18は本発明による画像処理装置のプラグイン時の機能ブロック図である。図18の機能ブロック図は図3の機能ブロック図と一部を除いて同様である。ここでは、図18の機能ブロック図について図3の機能ブロック図と異なる点について説明する。
図18の機能ブロック図は、セッション管理CMP112の構成と、認証CMP600を有する点とが、図3の機能ブロック図と異なっている。図18の機能ブロック図におけるセッション管理CMP112は、セッション生成部201,チケット生成部202,チケット検証部203,認証実施部204,識別情報生成部205を有するように構成されていた図3のセッション管理CMP112と異なり、セッション生成部201,チケット生成部202,チケット検証部203を有するように構成されている。
図3のセッション管理CMP112が有していた認証実施部204,識別情報生成部205は、図18の機能ブロック図において、認証CMP600が有している。認証CMP600はプラグインにより追加が可能である。
(他の例のログイン処理)
図19はユーザによる画像処理装置へのログイン処理を表した他の例のシーケンス図である。画像処理装置10を操作するユーザはUI401からユーザ識別子及びパスワードを入力して認証開始を要求する。ステップS131に進み、ユーザ識別子及びパスワードを含む認証開始の要求はセッション管理CMP112のセッション生成部201に対して行われる。
図19はユーザによる画像処理装置へのログイン処理を表した他の例のシーケンス図である。画像処理装置10を操作するユーザはUI401からユーザ識別子及びパスワードを入力して認証開始を要求する。ステップS131に進み、ユーザ識別子及びパスワードを含む認証開始の要求はセッション管理CMP112のセッション生成部201に対して行われる。
ステップS132に進み、セッション生成部201はユーザ識別子及びパスワードを含む認証開始の要求を認証CMP600の認証実施部204に対して行う。ステップS133に進み、認証実施部204はユーザリポジトリ113に保管されている認証情報の確認を行い、画像処理装置10を操作しているユーザの認証を行う。ここではユーザの認証が成功したものとして説明を続ける。
ステップS134に進み、認証実施部204は認証CMP600の識別情報生成部205に識別情報の生成の要求を行う。識別情報生成部205はユーザリポジトリ113を参照し、識別情報を生成する。なお、識別情報の詳細は後述する。
ステップS135に進み、認証実施部204はユーザリポジトリ113を参照し、利用制限情報を生成する。その後、ステップS136に進み、認証実施部204はセッションの生成を行い、ログイン処理を終了する。
以上、本発明による認証機能連携システム1は、画像処理装置10,20の双方向又は一方向の信頼関係の確立により、認証機能を連携させることができ、また、チケットに利用制限情報を含めることで、利用制限情報を連携させることができる。
本発明は、具体的に開示された実施例に限定されるものではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。
1 認証機能連携システム
10,20 画像処理装置
30 ユーザPC
40 認証サーバ
50 ネットワーク
60 コントローラボード
61 CPU
62 揮発性メモリ
63 HDDコントローラ
64 エンジンコントローラ
65 不揮発メモリ
66 ネットワークデバイス(network device)
67 sdカードI/F
68 メインバス(main bus)
70 ハードディスクドライブ(HDD)
80 sdカード
90 エンジン
101 文書送信アプリ
102 文書出力アプリ
103 ネット(net)出力CMP
104 リクエスト管理CMP
105 文書保管CMP
106 文書出力CMP
107 netデバイスCMP
108 アクセス制御CMP
109 スキャナデバイスCMP
110 メモリデバイスCMP
111 プロッタデバイスCMP
112 セッション管理CMP
113 ユーザリポジトリ
114 証明書保管ライブラリ
115 暗号ライブラリ
201 セッション生成部
202 チケット生成部
203 チケット検証部
204 認証実施部
205 識別情報生成部
301 システム証明書
302 機番
303 システム証明書
304 機番
305 連携先証明書
401 ユーザインタフェース(UI)
501,510,520 チケット
502 識別情報
503 利用制限情報
504 機番
505 署名
10,20 画像処理装置
30 ユーザPC
40 認証サーバ
50 ネットワーク
60 コントローラボード
61 CPU
62 揮発性メモリ
63 HDDコントローラ
64 エンジンコントローラ
65 不揮発メモリ
66 ネットワークデバイス(network device)
67 sdカードI/F
68 メインバス(main bus)
70 ハードディスクドライブ(HDD)
80 sdカード
90 エンジン
101 文書送信アプリ
102 文書出力アプリ
103 ネット(net)出力CMP
104 リクエスト管理CMP
105 文書保管CMP
106 文書出力CMP
107 netデバイスCMP
108 アクセス制御CMP
109 スキャナデバイスCMP
110 メモリデバイスCMP
111 プロッタデバイスCMP
112 セッション管理CMP
113 ユーザリポジトリ
114 証明書保管ライブラリ
115 暗号ライブラリ
201 セッション生成部
202 チケット生成部
203 チケット検証部
204 認証実施部
205 識別情報生成部
301 システム証明書
302 機番
303 システム証明書
304 機番
305 連携先証明書
401 ユーザインタフェース(UI)
501,510,520 チケット
502 識別情報
503 利用制限情報
504 機番
505 署名
Claims (13)
- 他の機器からリクエストを受信し、前記リクエストに含まれるチケットに基づいて前記他の機器と認証機能を連携させる認証機能連携機器であって、
前記チケットの検証に利用する前記他の機器の証明書情報を保管している証明書保管手段と、
前記他の機器からのリクエストに含まれる前記チケットの署名情報及び前記証明書保管手段が保管している前記他の機器の証明書情報に基づき前記チケットの検証を行い、前記チケットの検証が成功すると、前記チケットに含まれるユーザ識別子情報及びアクセス制御情報をリポジトリ手段に登録するチケット検証手段と、
前記他の機器からのリクエストの処理を実行するか否かを、前記リポジトリ手段に登録されている前記ユーザ識別子情報及びアクセス制御情報に基づいて判定するアクセス制御手段と
を有することを特徴とする認証機能連携機器。 - 前記チケット検証手段は、前記ユーザ識別子情報及びアクセス制御情報が前記リポジトリ手段に登録済みである場合、前記リポジトリ手段への前記ユーザ識別子情報及びアクセス制御情報の登録を省略することを特徴とする請求項1記載の認証機能連携機器。
- 前記チケット検証手段は、前記他の機器の秘密鍵により作成された前記チケットに含まれている署名情報と、前記他の機器の証明書情報に含まれている前記他の機器の公開鍵とに基づいて、前記チケットの検証を行うことを特徴とする請求項1又は2記載の認証機能連携機器。
- 前記チケットに含まれるユーザ識別子情報は、ユーザ識別子を含み,更に所属グループ識別子,ロール識別子,認証種別識別子及び認証コンポーネント情報の少なくとも一つを含むことを特徴とする請求項1乃至3何れか一項記載の認証機能連携機器。
- 前記アクセス制御情報は、前記ユーザ識別子情報により識別されるユーザの機能種別ごとの利用許可又は利用禁止を表すことを特徴とする請求項1乃至4何れか一項記載の認証機能連携機器。
- 他の機器へリクエストを送信するとき、前記リクエストに含ませたチケットに基づいて前記他の機器と認証機能を連携させ、他の機器からリクエストを受信したとき、前記リクエストに含まれるチケットに基づいて前記他の機器と認証機能を連携させる認証機能連携機器であって、
前記他の機器へリクエストを送信するとき、前記リクエストを要求したユーザのユーザ識別子情報及びアクセス制御情報と、署名情報とを含む前記チケットを生成するチケット生成手段と、
前記チケット生成手段が生成した前記チケットを、前記他の機器へのリクエストに含ませて送信する送信手段と、
前記チケットの検証に利用する前記他の機器の証明書情報を保管している証明書保管手段と、
前記他の機器からのリクエストに含まれる前記チケットの署名情報及び前記証明書保管手段が保管している前記他の機器の証明書情報に基づき前記チケットの検証を行い、前記チケットの検証が成功すると、前記チケットに含まれるユーザ識別子情報及びアクセス制御情報をリポジトリ手段に登録するチケット検証手段と、
前記他の機器からのリクエストの処理を実行するか否かを、前記リポジトリ手段に登録されている前記ユーザ識別子情報及びアクセス制御情報に基づいて判定するアクセス制御手段と
を有することを特徴とする認証機能連携機器。 - 前記チケット検証手段は、前記ユーザ識別子情報及びアクセス制御情報が前記リポジトリ手段に登録済みである場合、前記リポジトリ手段への前記ユーザ識別子情報及びアクセス制御情報の登録を省略することを特徴とする請求項6記載の認証機能連携機器。
- 前記チケット検証手段は、前記他の機器の秘密鍵により作成された前記チケットに含まれている署名情報と、前記他の機器の証明書情報に含まれている前記他の機器の公開鍵とに基づいて、前記チケットの検証を行うことを特徴とする請求項6又は7記載の認証機能連携機器。
- 前記チケットに含まれるユーザ識別子情報は、ユーザ識別子を含み,更に所属グループ識別子,ロール識別子,認証種別識別子及び認証コンポーネント情報の少なくとも一つを含むことを特徴とする請求項6乃至8何れか一項記載の認証機能連携機器。
- 前記アクセス制御情報は、前記ユーザ識別子情報により識別されるユーザの機能種別ごとの利用許可又は利用禁止を表すことを特徴とする請求項6乃至9何れか一項記載の認証機能連携機器。
- ユーザの操作する第1機器と、前記第1機器からのリクエストを受けて前記リクエストの処理を実行する第2機器とを有する認証機能連携システムであって、
前記第2機器へリクエストを送信するとき前記リクエストに含ませたチケットに基づいて前記第2機器と認証機能を連携させる前記第1機器は、
前記第2機器へリクエストを送信するとき、前記リクエストを要求したユーザのユーザ識別子情報及びアクセス制御情報と、署名情報とを含む前記チケットを生成するチケット生成手段と、
前記チケット生成手段が生成した前記チケットを、前記他の機器へのリクエストに含ませて送信する送信手段とを有し、
前記第1機器からリクエストを受信すると前記リクエストに含まれるチケットに基づいて前記第1機器と認証機能を連携させる前記第2機器は、
前記チケットの検証に利用する前記第1機器の証明書情報を保管している証明書保管手段と、
前記第1機器からのリクエストに含まれる前記チケットの署名情報及び前記証明書保管手段が保管している前記第1機器の証明書情報に基づき前記チケットの検証を行い、前記チケットの検証が成功すると、前記チケットに含まれるユーザ識別子情報及びアクセス制御情報をリポジトリ手段に登録するチケット検証手段と、
前記第1機器からのリクエストの処理を実行するか否かを、前記リポジトリ手段に登録されている前記ユーザ識別子情報及びアクセス制御情報に基づいて判定するアクセス制御手段とを有する
ことを特徴とする認証機能連携システム。 - 他の機器からリクエストを受信し、前記リクエストに含まれるチケットに基づいて前記他の機器と認証機能を連携させる認証機能連携機器を、
前記チケットの検証に利用する前記他の機器の証明書情報を保管している証明書保管手段と、
前記他の機器からのリクエストに含まれる前記チケットの署名情報及び前記証明書保管手段が保管している前記他の機器の証明書情報に基づき前記チケットの検証を行い、前記チケットの検証が成功すると、前記チケットに含まれるユーザ識別子情報及びアクセス制御情報をリポジトリ手段に登録するチケット検証手段と、
前記他の機器からのリクエストの処理を実行するか否かを、前記リポジトリ手段に登録されている前記ユーザ識別子情報及びアクセス制御情報に基づいて判定するアクセス制御手段と
して機能させるための認証機能連携プログラム。 - 他の機器へリクエストを送信するとき、前記リクエストに含ませたチケットに基づいて前記他の機器と認証機能を連携させ、他の機器からリクエストを受信したとき、前記リクエストに含まれるチケットに基づいて前記他の機器と認証機能を連携させる認証機能連携機器を、
前記他の機器へリクエストを送信するとき、前記リクエストを要求したユーザのユーザ識別子情報及びアクセス制御情報と、署名情報とを含む前記チケットを生成するチケット生成手段と、
前記チケット生成手段が生成した前記チケットを、前記他の機器へのリクエストに含ませて送信する送信手段と、
前記チケットの検証に利用する前記他の機器の証明書情報を保管している証明書保管手段と、
前記他の機器からのリクエストに含まれる前記チケットの署名情報及び前記証明書保管手段が保管している前記他の機器の証明書情報に基づき前記チケットの検証を行い、前記チケットの検証が成功すると、前記チケットに含まれるユーザ識別子情報及びアクセス制御情報をリポジトリ手段に登録するチケット検証手段と、
前記他の機器からのリクエストの処理を実行するか否かを、前記リポジトリ手段に登録されている前記ユーザ識別子情報及びアクセス制御情報に基づいて判定するアクセス制御手段と
して機能させるための認証機能連携プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008237140A JP5272602B2 (ja) | 2008-09-16 | 2008-09-16 | 認証機能連携機器、認証機能連携システム及び認証機能連携プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008237140A JP5272602B2 (ja) | 2008-09-16 | 2008-09-16 | 認証機能連携機器、認証機能連携システム及び認証機能連携プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010072760A true JP2010072760A (ja) | 2010-04-02 |
| JP5272602B2 JP5272602B2 (ja) | 2013-08-28 |
Family
ID=42204506
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008237140A Expired - Fee Related JP5272602B2 (ja) | 2008-09-16 | 2008-09-16 | 認証機能連携機器、認証機能連携システム及び認証機能連携プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5272602B2 (ja) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120198534A1 (en) * | 2011-01-27 | 2012-08-02 | Shingo Ohta | Information processing system, apparatus, method, and program storage medium |
| US8760702B2 (en) | 2011-09-07 | 2014-06-24 | Ricoh Company, Ltd. | Device cooperation system, image forming apparatus, function providing method |
| US8891102B2 (en) | 2011-09-07 | 2014-11-18 | Ricoh Company, Ltd. | Device cooperation system, function providing method |
| US9081615B2 (en) | 2011-09-07 | 2015-07-14 | Ricoh Company, Ltd. | Device cooperation system, image forming apparatus, and function providing method |
| US9146527B2 (en) | 2011-09-07 | 2015-09-29 | Ricoh Company, Ltd. | Apparatus cooperation system, image forming apparatus, and function providing method |
| US10068081B2 (en) | 2015-07-03 | 2018-09-04 | Fuji Xerox Co., Ltd. | Information processing system, information processing apparatus, and non-transitory computer readable medium |
| US11206255B2 (en) | 2018-07-27 | 2021-12-21 | Ricoh Company, Ltd. | Information processing apparatus, authentication method, and non-transitory recording medium storing instructions for performing an information processing method |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002183633A (ja) * | 2000-12-13 | 2002-06-28 | Sony Corp | 情報記録媒体、情報処理装置および情報処理方法、プログラム記録媒体、並びに情報処理システム |
| JP2003085141A (ja) * | 2001-09-07 | 2003-03-20 | Fuji Electric Co Ltd | シングルサインオン対応認証装置、ネットワークシステム、及びプログラム |
| JP2004133916A (ja) * | 2002-09-20 | 2004-04-30 | Ricoh Co Ltd | サービス提供装置、サービス提供方法、サービス提供プログラム及び記録媒体 |
| JP2006185227A (ja) * | 2004-12-28 | 2006-07-13 | Kddi Corp | 認証システムおよび同システムにおける認証情報委譲方法ならびにセキュリティデバイス |
| JP2006260321A (ja) * | 2005-03-18 | 2006-09-28 | Nec Corp | サービス提供システムおよびそのユーザ認証方法 |
| JP2006338249A (ja) * | 2005-06-01 | 2006-12-14 | Fuji Xerox Co Ltd | コンテンツ保護装置及びコンテンツ保護解除装置 |
| JP2007272779A (ja) * | 2006-03-31 | 2007-10-18 | Canon Inc | デバイス管理システム、管理装置、情報処理装置及び画像処理装置及びそれらの制御方法、プログラム |
| WO2008099756A1 (ja) * | 2007-02-07 | 2008-08-21 | Nippon Telegraph And Telephone Corporation | クライアント装置、鍵装置、サービス提供装置、ユーザ認証システム、ユーザ認証方法、プログラム、記録媒体 |
-
2008
- 2008-09-16 JP JP2008237140A patent/JP5272602B2/ja not_active Expired - Fee Related
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002183633A (ja) * | 2000-12-13 | 2002-06-28 | Sony Corp | 情報記録媒体、情報処理装置および情報処理方法、プログラム記録媒体、並びに情報処理システム |
| JP2003085141A (ja) * | 2001-09-07 | 2003-03-20 | Fuji Electric Co Ltd | シングルサインオン対応認証装置、ネットワークシステム、及びプログラム |
| JP2004133916A (ja) * | 2002-09-20 | 2004-04-30 | Ricoh Co Ltd | サービス提供装置、サービス提供方法、サービス提供プログラム及び記録媒体 |
| JP2006185227A (ja) * | 2004-12-28 | 2006-07-13 | Kddi Corp | 認証システムおよび同システムにおける認証情報委譲方法ならびにセキュリティデバイス |
| JP2006260321A (ja) * | 2005-03-18 | 2006-09-28 | Nec Corp | サービス提供システムおよびそのユーザ認証方法 |
| JP2006338249A (ja) * | 2005-06-01 | 2006-12-14 | Fuji Xerox Co Ltd | コンテンツ保護装置及びコンテンツ保護解除装置 |
| JP2007272779A (ja) * | 2006-03-31 | 2007-10-18 | Canon Inc | デバイス管理システム、管理装置、情報処理装置及び画像処理装置及びそれらの制御方法、プログラム |
| WO2008099756A1 (ja) * | 2007-02-07 | 2008-08-21 | Nippon Telegraph And Telephone Corporation | クライアント装置、鍵装置、サービス提供装置、ユーザ認証システム、ユーザ認証方法、プログラム、記録媒体 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120198534A1 (en) * | 2011-01-27 | 2012-08-02 | Shingo Ohta | Information processing system, apparatus, method, and program storage medium |
| JP2012155568A (ja) * | 2011-01-27 | 2012-08-16 | Ricoh Co Ltd | 情報処理システム、情報処理装置、情報処理方法、およびプログラム |
| US8701158B2 (en) | 2011-01-27 | 2014-04-15 | Ricoh Company, Ltd. | Information processing system, apparatus, method, and program storage medium |
| US8760702B2 (en) | 2011-09-07 | 2014-06-24 | Ricoh Company, Ltd. | Device cooperation system, image forming apparatus, function providing method |
| US8891102B2 (en) | 2011-09-07 | 2014-11-18 | Ricoh Company, Ltd. | Device cooperation system, function providing method |
| US9081615B2 (en) | 2011-09-07 | 2015-07-14 | Ricoh Company, Ltd. | Device cooperation system, image forming apparatus, and function providing method |
| US9146527B2 (en) | 2011-09-07 | 2015-09-29 | Ricoh Company, Ltd. | Apparatus cooperation system, image forming apparatus, and function providing method |
| US10068081B2 (en) | 2015-07-03 | 2018-09-04 | Fuji Xerox Co., Ltd. | Information processing system, information processing apparatus, and non-transitory computer readable medium |
| US11206255B2 (en) | 2018-07-27 | 2021-12-21 | Ricoh Company, Ltd. | Information processing apparatus, authentication method, and non-transitory recording medium storing instructions for performing an information processing method |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5272602B2 (ja) | 2013-08-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8402459B2 (en) | License management system, license management computer, license management method, and license management program embodied on computer readable medium | |
| RU2506632C2 (ru) | Устройство обработки информации, способ его управления и компьютерно-считываемый носитель информации | |
| JP5369502B2 (ja) | 機器、管理装置、機器管理システム、及びプログラム | |
| JP5332814B2 (ja) | 印刷装置、処理方法及びコンピュータプログラム | |
| US8327133B2 (en) | Communication device and medium for the same | |
| JP5272602B2 (ja) | 認証機能連携機器、認証機能連携システム及び認証機能連携プログラム | |
| JP6390123B2 (ja) | 情報処理システム及び認証情報提供方法 | |
| JP6124531B2 (ja) | 情報処理システム、画像処理装置及びその制御方法、並びにプログラム | |
| US9088566B2 (en) | Information processing system, information processing device, and relay server | |
| US10305961B2 (en) | Information processing apparatus, information processing apparatus control method, and storage medium storing program | |
| JP2015052996A (ja) | 画像形成装置、及び画像形成装置の制御方法 | |
| JP2011243093A (ja) | 情報処理装置、ユーザ認証方法、及びコンピュータプログラム | |
| US10185523B2 (en) | Information processing system, information processing apparatus and control method therefor, and program for preventing inconsistency of a setting | |
| JP2011258000A (ja) | 情報処理装置、情報処理装置のユーザ認証方法 | |
| US20100235642A1 (en) | Apparatus, system, and method of setting a device | |
| JP2010074431A (ja) | 外部認証を用いた認証機能連携機器、認証機能連携システム及び認証機能連携プログラム | |
| JP2016048525A (ja) | 出力システム、出力装置、プログラム及び出力方法 | |
| JP2020064660A (ja) | 情報処理装置、端末装置、プログラム及び情報処理システム | |
| JP2006085643A (ja) | 権限情報生成方法、通信装置、プログラム及び記録媒体 | |
| JP2006072808A (ja) | 電子ファイルのアクセス制御システム及びアクセス制御方法 | |
| JP5617981B2 (ja) | 機器、管理装置、機器管理システム、及びプログラム | |
| US20070212027A1 (en) | Image processing device and image data transmission method | |
| JP2007183922A (ja) | 情報処理装置、及びアプリケーションインストール方法 | |
| JP6338729B2 (ja) | 画像処理装置及びその制御方法、情報処理システム、並びに記憶媒体 | |
| JP2009043132A (ja) | 画像処理装置およびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110805 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130130 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130305 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130401 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130416 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130429 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 5272602 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |
|
| LAPS | Cancellation because of no payment of annual fees |