JP2013033486A - Information processor, authentication control method, program, and recording medium - Google Patents

Information processor, authentication control method, program, and recording medium Download PDF

Info

Publication number
JP2013033486A
JP2013033486A JP2012200685A JP2012200685A JP2013033486A JP 2013033486 A JP2013033486 A JP 2013033486A JP 2012200685 A JP2012200685 A JP 2012200685A JP 2012200685 A JP2012200685 A JP 2012200685A JP 2013033486 A JP2013033486 A JP 2013033486A
Authority
JP
Japan
Prior art keywords
authentication
user
procedure
information
external device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2012200685A
Other languages
Japanese (ja)
Inventor
Yuki Otaka
悠毅 大▲高▼
Satoru Kawakubo
覚 川久保
Seijiro Hori
誠二郎 堀
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2012200685A priority Critical patent/JP2013033486A/en
Publication of JP2013033486A publication Critical patent/JP2013033486A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Accessory Devices And Overall Control Thereof (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide an information processor, an authentication control method, a program, and a recording medium which can realize a flexible authentication function.SOLUTION: An information processor comprises: first connection means for connecting with an external device; user information storage means for storing user information; first authentication means for executing user authentication on the basis of user information stored by the user information storage means; second connection means for connecting with an authentication device via a network; second authentication means for executing user authentication using the authentication device by communicating with the authentication device via the network; reception means for receiving information from the external device; registration means for registering means to be used for executing user authentication among the reception means, the first authentication means, and the second authentication means; and authentication processing means for executing user authentication based on information acquired by acceptance means or the reception means by using the user information storage means or the authentication device, according to registration in the registration means.

Description

本発明は、情報処理装置、認証制御方法、プログラム、及び記録媒体に関する。   The present invention relates to an information processing apparatus, an authentication control method, a program, and a recording medium.

近年、情報セキュリティに対する標準、規格等を取得することは、企業として当然である時代となってきている。企業で日常的に使用されているOA機器の使用形態につても、セキュリティの確保を望む声が多い。斯かる事情に鑑み、従来、画像形成装置(コピー、プリンタ、スキャナ、FAX等の機能を有するOA機器)においても、ユーザの認証機能が備わっている(ビルトインされている)ものが存在する。   In recent years, it has become an era in which it is natural for companies to acquire standards and standards for information security. There are many voices that want to ensure security even in the usage form of OA equipment that is routinely used in companies. In view of such circumstances, there are some image forming apparatuses (OA devices having functions such as a copy, a printer, a scanner, and a FAX) that have a user authentication function (built in).

ユーザ認証の際に入力されるユーザ情報(代表的なものとして、ユーザ名・パスワード等)は、セキュリティの観点より、ユーザが直接手で入力するものよりも、他者に見えないような形で入力されるものが望ましい。そこで、画像形成装置におけるユーザ認証の際に、外部デバイス(代表的なものとして、ICカードが挙げられる。)を使用してユーザ情報を入力させるといったソリューションが展開されている(例えば、特許文献1〜3)。   User information entered during user authentication (typically, user names, passwords, etc.) is less visible to others than those entered directly by the user's hands from a security perspective. What is entered is desirable. Thus, a solution has been developed in which user information is input using an external device (typically, an IC card) during user authentication in the image forming apparatus (for example, Patent Document 1). ~ 3).

他方において、画像形成装置のユーザ環境においては、既に独自の認証サーバ等を使用した認証システムが構築されていることが多い。   On the other hand, in the user environment of the image forming apparatus, an authentication system using an original authentication server or the like is already often built.

しかしながら、上記特許文献に記載された技術では、ユーザ認証の際に、ICカード及びその他の外部認証サーバ等と画像形成装置とが行う処理が固定化されている。また、使用可能な外部デバイスも固定的に制限されている。したがって、画像形成装置における認証機能(認証システム)と、ユーザ環境において既に存在する認証システムとがそれぞれ独立して存在し、システム構成が冗長になり、保守作業等を煩雑化させるという問題があった。   However, in the technology described in the above-mentioned patent document, the processing performed by the image forming apparatus and the IC card and other external authentication servers at the time of user authentication is fixed. Also, the external devices that can be used are fixedly limited. Therefore, there is a problem in that the authentication function (authentication system) in the image forming apparatus and the authentication system that already exists in the user environment exist independently, making the system configuration redundant and complicating maintenance work and the like. .

本発明は、上記の点に鑑みてなされたものであって、柔軟性のある認証機能を実現することのできる情報処理装置、認証制御方法、プログラム、及び記録媒体の提供を目的とする。   SUMMARY An advantage of some aspects of the invention is that it provides an information processing apparatus, an authentication control method, a program, and a recording medium capable of realizing a flexible authentication function.

そこで上記課題を解決するため、情報処理装置は、外部デバイスと接続する第1の接続手段と、ユーザ情報を記憶するユーザ情報記憶手段と、前記ユーザ情報記憶手段が記憶する前記ユーザ情報に基づきユーザ認証を実行する第1の認証手段と、ネットワークを介して認証装置と接続する第2の接続手段と、前記認証装置とネットワークを介した通信を行い、前記認証装置を用いたユーザ認証を実行する第2の認証手段と、前記外部デバイスから情報を受信する受信手段と、前記受信手段、前記第1の認証手段、及び前記第2の認証手段のうち、ユーザ認証の実行に利用する手段を登録する登録手段と、前記登録手段による登録に応じて、前記受付手段または前記受信手段により得た前記情報に基づくユーザ認証を、前記ユーザ情報記憶手段または前記認証装置を用いて実行する認証処理手段と、を備えることを特徴とする。   Therefore, in order to solve the above-described problem, the information processing apparatus includes a first connection unit that connects to an external device, a user information storage unit that stores user information, and a user based on the user information stored in the user information storage unit. First authentication means for executing authentication, second connection means for connecting to an authentication device via a network, communication with the authentication device via the network, and user authentication using the authentication device are executed. Among the second authentication means, the reception means for receiving information from the external device, and the means used for executing user authentication among the reception means, the first authentication means, and the second authentication means are registered. A registration unit that performs user authentication based on the information obtained by the reception unit or the reception unit in response to registration by the registration unit. Others characterized in that it comprises an authentication processing unit that executes by using the authentication device.

このような情報処理装置では、柔軟性のある認証機能を実現することができる。   Such an information processing apparatus can realize a flexible authentication function.

本発明によれば、柔軟性のある認証機能を実現することのできる情報処理装置、認証制御方法、プログラム、及び記録媒体を提供することができる。   According to the present invention, it is possible to provide an information processing apparatus, an authentication control method, a program, and a recording medium that can realize a flexible authentication function.

本発明の実施の形態における画像形成装置のハードウェア構成例を示す図である。1 is a diagram illustrating an example of a hardware configuration of an image forming apparatus according to an embodiment of the present invention. 本発明の実施の形態の画像形成装置の機能構成例を説明するための図である。FIG. 3 is a diagram for explaining an example functional configuration of an image forming apparatus according to an embodiment of the present invention. 認証フレームワークに対するロジック実装モジュールの登録を概念的に示す図である。It is a figure which shows notionally registration of the logic implementation module with respect to an authentication framework. ロジック実装モジュールの登録情報の例を示す図である。It is a figure which shows the example of the registration information of a logic mounting module. 認証フレームワークを用いてユーザ情報を取得する際の処理手順を説明するための図である。It is a figure for demonstrating the process sequence at the time of acquiring user information using an authentication framework. 認証フレームワークを用いて外部認証を行う際の処理手順を説明するための図である。It is a figure for demonstrating the process sequence at the time of performing external authentication using an authentication framework. 認証フレームワークを用いて本体認証を行う際の処理手順を説明するための図である。It is a figure for demonstrating the process sequence at the time of performing main body authentication using an authentication framework. 認証フレームワークを用いた認証処理の第一の具体例における処理手順を説明するための図である。It is a figure for demonstrating the process sequence in the 1st specific example of the authentication process using an authentication framework. 認証フレームワークを用いた認証処理の第二の具体例における処理手順を説明するための図である。It is a figure for demonstrating the process sequence in the 2nd specific example of the authentication process using an authentication framework. 認証フレームワーク及びアプリケーションによるログイン状態の制御及び管理処理を説明するためのシーケンス図である。It is a sequence diagram for demonstrating the control and management process of the login state by an authentication framework and an application. ハード的にログアウトが要求された際の処理手順を説明するためのシーケンス図である。FIG. 10 is a sequence diagram for explaining a processing procedure when logout is requested in hardware.

以下、図面に基づいて本発明の実施の形態を説明する。本実施の形態では、情報処理装置の一例として画像形成装置を用いて説明する。図1は、本発明の実施の形態における画像形成装置のハードウェア構成例を示す図である。図1において、画像形成装置10は、プリンタ、コピー機、又は複合機等の一例であり、CPU101、メモリ102、記録媒体103、ネットワークI/F104、画像出力部105、画像処理部106、外部デバイスI/F107、表示部108、及び操作部109等を有する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings. In this embodiment, an image forming apparatus will be described as an example of an information processing apparatus. FIG. 1 is a diagram illustrating a hardware configuration example of an image forming apparatus according to an embodiment of the present invention. In FIG. 1, an image forming apparatus 10 is an example of a printer, a copier, a multifunction peripheral, or the like, and includes a CPU 101, a memory 102, a recording medium 103, a network I / F 104, an image output unit 105, an image processing unit 106, and an external device. An I / F 107, a display unit 108, an operation unit 109, and the like are included.

画像形成装置10での機能を実現するプログラムは、HDD(Hard Disk Drive)等の不揮発性の記録媒体103に記録(インストール)される。記録媒体103は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。メモリ102は、プログラムの起動指示があった場合に、記録媒体103からプログラムを読み出して格納する。CPU101は、メモリ102に格納されたプログラムに従って画像形成装置10に係る機能を実現する。ネットワークI/F104は、ネットワークに接続するためのインタフェースとして用いられる。   A program that implements the functions of the image forming apparatus 10 is recorded (installed) in a non-volatile recording medium 103 such as an HDD (Hard Disk Drive). The recording medium 103 stores the installed program and stores necessary files and data. The memory 102 reads and stores the program from the recording medium 103 when there is an instruction to start the program. The CPU 101 realizes functions related to the image forming apparatus 10 in accordance with a program stored in the memory 102. The network I / F 104 is used as an interface for connecting to a network.

表示部108は、LCD(Liquid Crystal Display)等によって構成され、操作画面やメッセージ等を表示させる。操作部109は、ハード的なボタン(キー)によって構成され、ユーザによる操作入力を受け付ける。なお、表示部108及び操作部109は、オペレーションパネルとして一体的に構成されてもよい。   The display unit 108 is configured by an LCD (Liquid Crystal Display) or the like, and displays an operation screen, a message, and the like. The operation unit 109 is configured by hardware buttons (keys), and receives an operation input by a user. The display unit 108 and the operation unit 109 may be integrally configured as an operation panel.

画像処理部106は、画像データを出力(印刷)等する際に必要とされる各種の画像処理を実行する。画像出力部105は、画像データの出力(印刷)を行う。   The image processing unit 106 executes various types of image processing required when outputting (printing) image data. The image output unit 105 outputs (prints) image data.

外部デバイスI/F107は、認証のためのユーザ情報の入力に用いられる外部デバイス30と接続するためのインタフェースであり、例えば、USBポート又はシリアルボート等によって構成される。外部デバイス30は、ユーザ情報を入力するためのデバイスであり、例えば、ユーザ情報が記録されたICカードを読み取るICカードリーダー、USBメモリ、又はキーボード等によって構成される。   The external device I / F 107 is an interface for connecting to the external device 30 used for inputting user information for authentication, and includes, for example, a USB port or a serial boat. The external device 30 is a device for inputting user information, and is configured by, for example, an IC card reader that reads an IC card in which user information is recorded, a USB memory, or a keyboard.

図2は、本発明の実施の形態の画像形成装置の機能構成例を説明するための図である。図2において、画像形成装置10は、本体機能部110、本体認証部120、フレームワーク130、及びアプリケーション140等を有する。これら各部は、プログラムがCPU101に実行させる処理によって実現されるソフトウェアである。   FIG. 2 is a diagram for explaining a functional configuration example of the image forming apparatus according to the embodiment of the present invention. 2, the image forming apparatus 10 includes a main body function unit 110, a main body authentication unit 120, a framework 130, an application 140, and the like. Each of these units is software realized by processing that the program causes the CPU 101 to execute.

本体認証部120は、ユーザリスト121及びビルトイン認証処理部122等を含み、画像形成装置にビルトインされたユーザの認証機能を実現する。ビルトインされたユーザ認証機能とは、画像形成装置10に予め組み込まれた認証機能をいい、画像形成装置10上で動作するアプリケーション140を操作しようとしたユーザの認証を行う機能をいう。ビルトイン認証処理部122は、ビルトインされたユーザ認証処理を制御する。例えば、ビルトイン認証処理部122は、表示部108に、認証を促す認証画面を表示させる。ユーザは、認証画面においてユーザ情報(ユーザ名及びパスワード)を入力する。ビルトイン認証処理部122は、ユーザがユーザ情報に基づいて認証された場合にのみ、アプリケーション140の使用を許可する。   The main body authentication unit 120 includes a user list 121, a built-in authentication processing unit 122, and the like, and realizes an authentication function for a user built in the image forming apparatus. The built-in user authentication function refers to an authentication function that is built in the image forming apparatus 10 in advance, and refers to a function that authenticates a user who intends to operate the application 140 operating on the image forming apparatus 10. The built-in authentication processing unit 122 controls a built-in user authentication process. For example, the built-in authentication processing unit 122 causes the display unit 108 to display an authentication screen that prompts authentication. The user inputs user information (user name and password) on the authentication screen. The built-in authentication processing unit 122 permits the use of the application 140 only when the user is authenticated based on the user information.

ユーザリスト121は、ユーザごとにユーザ情報及び利用権限情報が記録(登録)された情報である。すなわち、ビルトイン認証処理部122は、ユーザによって入力されたユーザ情報と、ユーザリスト121に登録されているユーザ情報とを照合することによりユーザの認証を行う。また、ビルトイン認証処理部122は、認証されたユーザについては、ユーザリスト121に登録されている利用権限情報において許可されている範囲内で、機能の利用を許可する。   The user list 121 is information in which user information and usage authority information are recorded (registered) for each user. That is, the built-in authentication processing unit 122 performs user authentication by comparing user information input by the user with user information registered in the user list 121. Further, the built-in authentication processing unit 122 permits the use of the function within the range permitted in the use authority information registered in the user list 121 for the authenticated user.

画像形成装置10には、以上のような認証機能が予め(デフォルトとして)ビルトインされている。   The image forming apparatus 10 has a built-in authentication function as described above (as a default).

フレームワーク130は、アプリケーション140の実行環境を提供する。本実施の形態における画像形成装置10は、その出荷後にサードベンダ等が開発したアプリケーションをアプリケーション140としてインストール可能とされている。フレームワーク130には、斯かるアプリケーションを動作させるための非図示のクラスライブラリ等を含む。   The framework 130 provides an execution environment for the application 140. In the image forming apparatus 10 according to the present embodiment, an application developed by a third vendor or the like after the shipment can be installed as the application 140. The framework 130 includes a class library (not shown) for operating such an application.

図中において、フレームワーク130の機能としては、外部デバイス制御部131、外部デバイス情報取得部132、外部認証処理部133、及び本体認証制御部134等、便宜上、認証機能に関するもののみが示されている。以下、認証機能に関するフレームワークを「認証フレームワーク」という。認証フレームワークは、画像形成装置10において、認証機能の柔軟性及び拡張性を確保するための仕組みを提供する。「ビルトインされた認証機能」に対し、認証フレームワークによって実現される認証機能を、「拡張認証機能」という。   In the drawing, only the functions related to the authentication function such as the external device control unit 131, the external device information acquisition unit 132, the external authentication processing unit 133, and the main body authentication control unit 134 are shown as the functions of the framework 130 for convenience. Yes. Hereinafter, the framework related to the authentication function is referred to as “authentication framework”. The authentication framework provides a mechanism for ensuring the flexibility and expandability of the authentication function in the image forming apparatus 10. In contrast to the “built-in authentication function”, the authentication function realized by the authentication framework is called an “extended authentication function”.

外部デバイス制御部131は、USBインタフェースやシリアルインタフェース等を介して画像形成装置10に接続される外部デバイス30を制御し、外部デバイス30との通信を行う。外部デバイス情報取得部132は、外部デバイス制御部131を介して外部デバイス30よりにユーザ情報を取得する。外部認証処理部133は、ネットワークを介した認証サーバ等の外部の認証装置と通信を行い、例えば、認証サーバ等を用いた認証処理を制御する。なお、外部認証処理部133によって外部の認証装置を用いて行われる認証を「外部認証」という。本体認証制御部134は、画像形成装置10内において認証処理を実現する。なお、本体認証制御部134によって画像形成装置10内で行われる認証を「本体認証」という。   The external device control unit 131 controls the external device 30 connected to the image forming apparatus 10 via a USB interface, a serial interface, or the like, and performs communication with the external device 30. The external device information acquisition unit 132 acquires user information from the external device 30 via the external device control unit 131. The external authentication processing unit 133 communicates with an external authentication device such as an authentication server via a network, and controls authentication processing using the authentication server, for example. Note that authentication performed by the external authentication processing unit 133 using an external authentication device is referred to as “external authentication”. The main body authentication control unit 134 realizes authentication processing in the image forming apparatus 10. Note that authentication performed in the image forming apparatus 10 by the main body authentication control unit 134 is referred to as “main body authentication”.

図中におけるアプリケーション140は、予め画像形成装置10の標準機能として組み込まれているアプリケーション(例えば、印刷アプリケーション等)の他、フレームワーク130が提供する環境に対応させてサードベンダ等によって開発されたアプリケーションをも含む。したがって、図中では一つの矩形によって表現されているが、アプリーション140は、複数の実体が存在する。   An application 140 in the figure is an application developed by a third vendor or the like corresponding to an environment provided by the framework 130 in addition to an application (for example, a printing application) previously incorporated as a standard function of the image forming apparatus 10. Is also included. Therefore, although the application 140 is represented by one rectangle in the drawing, there are a plurality of entities.

ところで、図2において、認証フレームワークを構成する各部は、その仕組み(枠組み)を提供するだけであり、実際の処理(ロジック)は、拡張認証機能を利用するアプリケーション140(以下、「アプリケーション140a」という。)の登録処理部145によって登録される各ソフトウェアモジュール(以下「ロジック実装モジュール」という。)を使用することによって実現される。   Incidentally, in FIG. 2, each unit constituting the authentication framework only provides the mechanism (framework), and the actual processing (logic) is performed by an application 140 (hereinafter referred to as “application 140a”) that uses the extended authentication function. This is realized by using each software module registered by the registration processing unit 145 (hereinafter referred to as “logic mounting module”).

図3は、認証フレームワークに対するロジック実装モジュールの登録を概念的に示す図である。図3において、アプリケーション140aは、外部デバイス制御実装モジュール141、外部デバイス情報取得実装モジュール142、外部認証処理実装モジュール143、及び本体認証制御実装モジュール144等を含む。   FIG. 3 is a diagram conceptually illustrating registration of a logic implementation module to the authentication framework. In FIG. 3, an application 140a includes an external device control mounting module 141, an external device information acquisition mounting module 142, an external authentication processing mounting module 143, a main body authentication control mounting module 144, and the like.

外部デバイス制御実装モジュール141は、外部デバイス30のインタフェースレベルでの通信処理が実装されるジュールであり、外部デバイス制御部131に登録される。例えば、外部デバイス制御実装モジュール141は、ユーザが使用するスマートカードリーダーのドライバプログラム等が相当する。このように、外部デバイス制御実装モジュール141の実装によって、任意の外部デバイス30への対応が可能とされている。   The external device control mounting module 141 is a module in which communication processing at the interface level of the external device 30 is mounted, and is registered in the external device control unit 131. For example, the external device control mounting module 141 corresponds to a smart card reader driver program used by the user. As described above, the external device control mounting module 141 can be mounted to cope with any external device 30.

外部デバイス情報取得実装モジュール142は、外部デバイス30よりからの情報(ユーザ情報)の取得処理が実装されるモジュールであり、外部デバイス情報取得部132に登録される。例えば、ユーザのスマートカード内に記録されたユーザ情報を取得するために、スマートカードのフォーマットに従ったコマンドを送信して、レスポンスを受信する処理を実装したプログラムなどである。このように、外部デバイス情報取得実装モジュール142の実装によって、任意の外部デバイス30からのユーザ情報の取得が可能とされている。   The external device information acquisition mounting module 142 is a module in which an acquisition process of information (user information) from the external device 30 is mounted, and is registered in the external device information acquisition unit 132. For example, in order to acquire user information recorded in the user's smart card, there is a program that implements a process of transmitting a command according to the format of the smart card and receiving a response. As described above, by mounting the external device information acquisition mounting module 142, user information can be acquired from any external device 30.

外部認証処理実装モジュール143は、外部の認証用のコンピュータ(認証サーバ等)を使用した、ユーザ情報の認証に関する処理が実装されるモジュールであり、外部認証処理部133に登録される。例えば、LDAP(Lightweight Directory Access Protocol)認証サーバにユーザのスマートカードより取得されたシリアル番号を送信して、該当ユーザのユーザ名を取得する処理が実装されたプログラム等が相当する。このように、外部認証処理実装モジュール143の実装によって、任意の認証プロトコルに対応することが可能とされている。   The external authentication processing mounting module 143 is a module in which processing related to user information authentication using an external authentication computer (such as an authentication server) is mounted, and is registered in the external authentication processing unit 133. For example, it corresponds to a program or the like in which a serial number acquired from a user's smart card is transmitted to an LDAP (Lightweight Directory Access Protocol) authentication server to acquire the user name of the user. As described above, by mounting the external authentication processing mounting module 143, it is possible to support an arbitrary authentication protocol.

本体認証制御実装モジュール144は、本体認証を実現するための処理が実装されるモジュールであり、本体認証制御部134に登録される。例えば、ビルトインされた認証機能を利用して認証を行う際の認証画面遷移や、認証情報の入力処理が実装されるモジュールであり、「スマートカードをセットしてください」というメッセージ画面を表示させたり、スマートカードの検知に応じて「認証中です」というメッセージ画面に遷移させたりし、その間に、スマートカードより取得されたユーザ情報をビルトイン認証処理部122に入力する、というような処理が実装されたプログラム等が相当する。したがって、ビルトインされたユーザ認証を行う際の認証画面を、本体認証制御実装モジュール144の実装によって自由に設定できることが可能である。また、ビルトインユーザ認証機能を利用せずに、本体認証制御実装モジュール144内に別途認証機能が実装されてもよい。例えば、ユーザリスト121と異なるユーザDBを記録媒体103に構築し、当該ユーザDBを用いて認証を行うような処理が実装されてもよい。   The main body authentication control mounting module 144 is a module in which processing for realizing main body authentication is mounted, and is registered in the main body authentication control unit 134. For example, it is a module that implements authentication screen transition and authentication information input processing when performing authentication using the built-in authentication function, and displays a message screen such as "Please insert a smart card" In response to the detection of the smart card, a process such as transitioning to the message screen “authenticating” and inputting user information acquired from the smart card to the built-in authentication processing unit 122 is implemented. Corresponds to the program. Therefore, it is possible to freely set an authentication screen for performing built-in user authentication by mounting the main body authentication control mounting module 144. In addition, a separate authentication function may be mounted in the main body authentication control mounting module 144 without using the built-in user authentication function. For example, a process may be implemented in which a user DB different from the user list 121 is built in the recording medium 103 and authentication is performed using the user DB.

なお、ビルトイン認証処理部122へのユーザ情報の入力後は、ビルトインユーザ認証部122がユーザ認証を実施して、認証が成功したときは画面ロックの解除し、認証が失敗したときは認証失敗画面を表示させる。画面ロックの解除により、ユーザは、アプリケーション140に対する操作が可能となる。   After the user information is input to the built-in authentication processing unit 122, the built-in user authentication unit 122 performs user authentication. When the authentication is successful, the screen lock is released. When the authentication fails, the authentication failure screen is displayed. Is displayed. By releasing the screen lock, the user can operate the application 140.

認証フレームワークに対する各ロジック実装モジュールの登録情報は、例えば、記録媒体103に記録されて管理される。図4は、ロジック実装モジュールの登録情報の例を示す図である。図4では、ロジック実装モジュールごとに登録情報が関連付けられた例が示されている。登録情報としては、ロジック実装モジュールの実体が格納されたファイル名等、認証フレームワークがロジック実装モジュールを動的に利用する(呼び出す)ために必要な情報が含まれていればよい。認証フレームワークの各部は、処理が要求された際、斯かる登録情報を参照して、呼び出すべきロジック実装モジュールを判断する。各ロジック実装モジュールは、認証フレームワークが要求する(認証フレームワークにおいて規定された)インタフェース(ロジック実装モジュールを呼び出すためのプロトコル)に基づいて動的に呼び出し可能なように実装されていればよい。なお、アプリケーション140aごとに利用するロジック実装モジュールを変えたい場合は、図4に示されるような登録情報をアプリケーション140aと関連付けて管理すればよい。   Registration information of each logic implementation module with respect to the authentication framework is recorded and managed, for example, in the recording medium 103. FIG. 4 is a diagram illustrating an example of registration information of the logic mounting module. FIG. 4 shows an example in which registration information is associated with each logic mounting module. The registration information only needs to include information necessary for the authentication framework to dynamically use (call) the logic implementation module, such as a file name in which the entity of the logic implementation module is stored. When each process is requested, each part of the authentication framework refers to such registration information and determines a logic implementation module to be called. Each logic implementation module may be implemented so as to be dynamically callable based on an interface (specified in the authentication framework) required by the authentication framework (protocol for calling the logic implementation module). If it is desired to change the logic implementation module to be used for each application 140a, registration information as shown in FIG. 4 may be managed in association with the application 140a.

以上のようなロジック実装モジュールが認証フレームワークの各部分に登録されることで、ビルトインユーザ認証へのユーザ情報の入力手段に多様性を持たせることができる。 以下、本実施の形態における画像形成装置10の処理手順について説明する。まず、認証フレームワークを利用したユーザ情報の取得、外部認証、及び本体認証の処理手順について、図5、図6、図7を用いて説明する。   By registering the logic implementation module as described above in each part of the authentication framework, it is possible to give diversity to user information input means for built-in user authentication. Hereinafter, a processing procedure of the image forming apparatus 10 in the present embodiment will be described. First, user information acquisition, external authentication, and main body authentication processing procedures using the authentication framework will be described with reference to FIGS. 5, 6, and 7.

図5は、認証フレームワークを用いてユーザ情報を取得する際の処理手順を説明するための図である。   FIG. 5 is a diagram for explaining a processing procedure when user information is acquired using the authentication framework.

アプリケーション140aは、外部デバイス情報取得部132にユーザ情報の取得を要求する(S101)。外部デバイス情報取得部132は、外部デバイス制御部131と外部デバイス30における情報の記録フォーマットレベルでの通信を行い、外部デバイス制御部131にユーザ情報の取得を要求する(S102)。続いて、外部デバイス制御部131は、外部デバイス30のインタフェース仕様レベルでの通信を外部デバイス30と行い、外部デバイス30よりユーザ情報を取得する(S103)。その後、呼び出し順を逆にたどって、ユーザ情報がアプリケーション140aに返却される(S104、S105)。   The application 140a requests the external device information acquisition unit 132 to acquire user information (S101). The external device information acquisition unit 132 communicates with the external device control unit 131 at the recording format level of information in the external device 30, and requests the external device control unit 131 to acquire user information (S102). Subsequently, the external device control unit 131 communicates with the external device 30 at the interface specification level of the external device 30, and acquires user information from the external device 30 (S103). Thereafter, the user information is returned to the application 140a by tracing the calling order in reverse (S104, S105).

このように、外部デバイス制御部131及び外部デバイス情報取得部132は、アプリケーション140aから単体で利用可能である。すなわち、外部デバイス制御部131及び外部デバイス情報取得部132と他の機能部(外部認証処理部133、本体認証制御部134)との間に依存関係はなく、取得されたユーザ情報をアプリケーション140aにおいてどのように用いるかは任意である。   Thus, the external device control unit 131 and the external device information acquisition unit 132 can be used alone from the application 140a. That is, there is no dependency between the external device control unit 131 and the external device information acquisition unit 132 and other functional units (external authentication processing unit 133, main body authentication control unit 134), and the acquired user information is stored in the application 140a. How to use it is arbitrary.

続いて、図6は、認証フレームワークを用いて外部認証を行う際の処理手順を説明するための図である。   Next, FIG. 6 is a diagram for explaining a processing procedure when external authentication is performed using the authentication framework.

アプリケーション140aは、ユーザ情報を伴って外部認証処理部133に認証要求を行う(S111)。続いて、外部認証処理部133は、ネットワークを介して外部の認証装置と通信を行うことにより、外部の認証装置にユーザ情報に基づく認証を実行させ、その認証結果を受信する(S112)。続いて、外部認証処理部133は、認証結果をアプリケーション140aに返却する(S113)。   The application 140a makes an authentication request to the external authentication processing unit 133 with the user information (S111). Subsequently, the external authentication processing unit 133 communicates with an external authentication device via the network, thereby causing the external authentication device to execute authentication based on the user information, and receives the authentication result (S112). Subsequently, the external authentication processing unit 133 returns the authentication result to the application 140a (S113).

このように、外部認証処理部133は、アプリケーション140aから単体で利用可能である。   Thus, the external authentication processing unit 133 can be used alone from the application 140a.

続いて、図7は、認証フレームワークを用いて本体認証を行う際の処理手順を説明するための図である。   Next, FIG. 7 is a diagram for explaining a processing procedure when performing main body authentication using the authentication framework.

アプリケーション140aは、ユーザ情報を伴って本体認証制御部134に認証要求を行う(S121)。続いて、本体認証制御部134が、ビルトイン認証処理部122にユーザ情報を入力すると、ビルトイン認証処理部122は、ユーザ情報とユーザリスト121とに基づいて認証を行う(S122)。この際の画面遷移は、本体認証制御部134からコントロールすることが可能である。認証が成功すると本体認証部120によって本体機能部110に対するロックが解除される(S123)。その結果、ユーザ(アプリケーション140a)は、ユーザリスト121に記録された利用権限に基づいて画像形成装置10の機能の利用が可能となる。   The application 140a makes an authentication request to the main body authentication control unit 134 with the user information (S121). Subsequently, when the main body authentication control unit 134 inputs user information to the built-in authentication processing unit 122, the built-in authentication processing unit 122 performs authentication based on the user information and the user list 121 (S122). The screen transition at this time can be controlled from the main body authentication control unit 134. When the authentication is successful, the main body authentication unit 120 unlocks the main body function unit 110 (S123). As a result, the user (application 140 a) can use the functions of the image forming apparatus 10 based on the usage authority recorded in the user list 121.

このように、本体認証制御部134は、アプリケーション140aから単体で利用可能である。   Thus, the main body authentication control unit 134 can be used alone from the application 140a.

次に、更に具体的な場面(ソリューション)を想定した処理手順について説明する。図8は、認証フレームワークを用いた認証処理の第一の具体例における処理手順を説明するための図である。図8において、図5又は図7と同一ステップには同一ステップ番号を付している。   Next, a processing procedure assuming a more specific scene (solution) will be described. FIG. 8 is a diagram for explaining a processing procedure in the first specific example of the authentication processing using the authentication framework. In FIG. 8, the same steps as those in FIG. 5 or FIG.

図8では、外部デバイス30としてキーボード31が画像形成装置10にUSB接続されている。斯かる形態は、外部デバイス制御実装モジュール141及び外部デバイス情報取得実装モジュール142として、キーボード用のロジック実装モジュールを認証フレームワークに登録し、本体認証制御実装モジュール144としてキーボードから入力されたユーザ情報を本体認証部120に入力するロジック実装モジュールを認証フレームワークに登録することで実施可能となる。   In FIG. 8, a keyboard 31 as an external device 30 is connected to the image forming apparatus 10 via USB. In such a form, a logic implementation module for a keyboard is registered in the authentication framework as the external device control implementation module 141 and the external device information acquisition implementation module 142, and user information input from the keyboard is registered as the main body authentication control implementation module 144. This can be implemented by registering the logic implementation module to be input to the main body authentication unit 120 in the authentication framework.

アプリケーション140aは、外部デバイス情報取得部132及び外部デバイス制御部131を通してキーボード31を介して入力されるユーザ名及びパスワード等のユーザ情報を取得する(S101〜S105)。   The application 140a acquires user information such as a user name and a password input via the keyboard 31 through the external device information acquisition unit 132 and the external device control unit 131 (S101 to S105).

続いて、アプリケーション140aが、取得されたユーザ情報を用いて本体認証制御部134に認証を要求すると、それに応じて本体認証部120において認証が行われる(S121〜S123)。   Subsequently, when the application 140a requests authentication to the main body authentication control unit 134 using the acquired user information, the main body authentication unit 120 performs authentication accordingly (S121 to S123).

図8のような形態は、キーボード等のハードウェアを具備していないようなロースペックの画像形成装置に対するソリューションとして有効である。また、外部デバイスと30して、USBメモリ等、ユーザ情報として十分な情報を取得可能なデバイスを用いてもよい。   The configuration shown in FIG. 8 is effective as a solution for a low-spec image forming apparatus that does not include hardware such as a keyboard. Further, as the external device 30, a device that can acquire sufficient information as user information such as a USB memory may be used.

続いて、図9は、認証フレームワークを用いた認証処理の第二の具体例における処理手順を説明するための図である。図9において、図5、図6、又は図7と同一ステップには同一ステップ番号を付している。   Next, FIG. 9 is a diagram for explaining a processing procedure in the second specific example of the authentication processing using the authentication framework. In FIG. 9, the same step numbers are assigned to the same steps as those in FIG. 5, FIG. 6, or FIG.

図9では、外部デバイス30としてスマートカードリーダー32が画像形成装置10にUSB接続されている。また、ネットワークを介して認証サーバ50が画像形成装置10と接続されている。斯かる形態は、外部デバイス制御実装モジュール141及び外部デバイス情報取得実装モジュール142として、スマートカード321からカードIDを取得するロジック実装モジュールを認証フレームワークに登録し、外部認証処理実装モジュール143として、認証サーバ50にカードIDを送信することにより認証を要求し、カードIDに対応するユーザ情報を認証サーバ50より取得する処理が実装されたロジック実装モジュールを認証フレームワークに登録し、本体認証制御実装モジュール144として、認証サーバ50における認証の結果取得されたユーザ情報を本体認証部120に入力するロジック実装モジュールを認証フレームワークに登録することで実施可能となる。   In FIG. 9, a smart card reader 32 is connected to the image forming apparatus 10 as an external device 30 by USB. The authentication server 50 is connected to the image forming apparatus 10 via a network. In such a form, as the external device control mounting module 141 and the external device information acquisition mounting module 142, a logic mounting module that acquires a card ID from the smart card 321 is registered in the authentication framework, and an authentication is performed as the external authentication processing mounting module 143. A logic implementation module that implements a process for requesting authentication by transmitting a card ID to the server 50 and acquiring user information corresponding to the card ID from the authentication server 50 is registered in the authentication framework, and a main body authentication control implementation module As 144, the logic implementation module for inputting the user information acquired as a result of authentication in the authentication server 50 to the main body authentication unit 120 can be registered in the authentication framework.

図9において、アプリケーション140aは、外部デバイス情報取得部132及び外部デバイス制御部131を介してスマートカード321に格納されているカードIDを取得する(S101〜S105)。続いて、アプリケーション140aが、取得されたカードIDを認証サーバ50に送信すると、認証サーバ50においてカードIDに基づいて認証が行われ、カードIDに対応したユーザ情報(ユーザ名、パスワード等)が認証サーバ50より返信される(S111〜S113)。   In FIG. 9, the application 140a acquires the card ID stored in the smart card 321 via the external device information acquisition unit 132 and the external device control unit 131 (S101 to S105). Subsequently, when the application 140a transmits the acquired card ID to the authentication server 50, the authentication server 50 performs authentication based on the card ID, and user information (user name, password, etc.) corresponding to the card ID is authenticated. A reply is sent from the server 50 (S111 to S113).

続いて、アプリケーション140aが、認証サーバ50より返信されたユーザ情報を用いて本体認証制御部134に認証を要求すると、それに応じて本体認証部120において認証が行われる(S121〜S123)。   Subsequently, when the application 140a requests authentication to the main body authentication control unit 134 using the user information returned from the authentication server 50, the main body authentication unit 120 performs authentication accordingly (S121 to S123).

図9の例において、本体認証制御部134に登録する本体認証制御実装モジュール144の画面遷移中にパスワード入力画面を設けておき、パスワード入力画面が表示された際に、図8のようにキーボード等を使用してユーザにパスワードを入力させるようなシーケンスを組み込むことで、よりセキュリティの高いソリューションを実現するようにしてもよい。   In the example of FIG. 9, a password input screen is provided during screen transition of the main body authentication control implementation module 144 registered in the main body authentication control unit 134, and when the password input screen is displayed, a keyboard or the like as shown in FIG. A solution with higher security may be realized by incorporating a sequence that allows the user to input a password using.

ところで、認証が成功するとユーザはアプリケーション140aにログインし、利用権限の範囲内でアプリケーション140aを利用することができるが、本実施の形態における画像形成装置10によれば、ログイン状態についても認証フレームワーク又はアプリケーション140aに適切に制御及び管理させることができる。ここで、認証フレームワークの実装はロジック実装モジュールによって任意に組み込めることができ、また、アプリケーション140aについても任意に組み込めることができるため、このこと(認証フレームワーク又はアプリケーション140aによってログイン状態の制御等が可能であること)は、ユーザの運用に対応させてログイン状態の制御方式又は管理方式を自由に(柔軟に)組み込めることを意味する。以下、認証フレームワークを用いたログイン状態の制御及び管理について説明する。なお、ログイン状態の制御としては、例えば、自動的なログアウト等が挙げられる。また、ログイン状態の管理とは、例えば、ログインの検知、ログアウトの検知、ログインしているユーザの把握等をいう。   By the way, if the authentication is successful, the user can log in to the application 140a and use the application 140a within the scope of the usage authority. Alternatively, the application 140a can be appropriately controlled and managed. Here, since the implementation of the authentication framework can be arbitrarily incorporated by the logic implementation module, and the application 140a can also be arbitrarily incorporated, this (the login framework can be controlled by the authentication framework or the application 140a). "Being possible" means that the control method or management method of the login state can be freely (flexibly) incorporated in accordance with the operation of the user. Hereinafter, control and management of the login state using the authentication framework will be described. Examples of the login state control include automatic logout. Further, the management of the login state refers to, for example, detection of login, detection of logout, grasping of a logged-in user, and the like.

図10は、認証フレームワーク及びアプリケーションによるログイン状態の制御及び管理処理を説明するための第一のシーケンス図である。図10において、ステップS201〜S218は、図9における処理をより詳細に記載したものである。   FIG. 10 is a first sequence diagram for explaining the login state control and management processing by the authentication framework and the application. In FIG. 10, steps S201 to S218 describe the process in FIG. 9 in more detail.

ユーザが、例えば、操作部109を介してアプリケーション140aの利用要求を入力すると(S201)、スマートカードリーダー32と外部デバイス制御部131との間で接続確認が行われ(S202)、接続が確立される(S203)。   For example, when the user inputs a use request for the application 140a via the operation unit 109 (S201), a connection check is performed between the smart card reader 32 and the external device control unit 131 (S202), and a connection is established. (S203).

続いて、外部デバイス制御部131は、スマートカードリーダー32における状態を監視するための別スレッド(以下「状態監視スレッド」という。)を生成する(S204)。状態監視スレッドによる処理については、ステップS251以降において説明する。続いて、外部デバイス制御部131は、認証可能な状態であることを表示部108を介してユーザに通知する(S205)。例えば、スマートカード321の挿入を促すメッセージが表示部108に表示される。   Subsequently, the external device control unit 131 generates another thread for monitoring the state in the smart card reader 32 (hereinafter referred to as “state monitoring thread”) (S204). The processing by the state monitoring thread will be described after step S251. Subsequently, the external device control unit 131 notifies the user through the display unit 108 that authentication is possible (S205). For example, a message prompting insertion of the smart card 321 is displayed on the display unit 108.

ユーザが、スマートカード321をスマートカードリーダー32に挿入すると(S206)、スマートカード321に格納されているカードIDが外部デバイス制御部131によって取得される(S207)。取得されたカードIDは、外部デバイス情報取得部132を介してアプリケーション140aに通知される(S208、S209)。アプリケーション140aは、カードIDを外部認証処理部133に送信することにより、外部認証処理部133に認証を要求する。外部認証処理部133は、ネットワークを介して認証サーバ50にカードIDを送信し、認証サーバ50における認証の結果に応じてユーザ情報を受信する。   When the user inserts the smart card 321 into the smart card reader 32 (S206), the card ID stored in the smart card 321 is acquired by the external device control unit 131 (S207). The acquired card ID is notified to the application 140a via the external device information acquisition unit 132 (S208, S209). The application 140a requests the external authentication processing unit 133 for authentication by transmitting the card ID to the external authentication processing unit 133. The external authentication processing unit 133 transmits the card ID to the authentication server 50 via the network, and receives user information according to the authentication result in the authentication server 50.

続いて、外部認証処理部133は、受信したユーザ情報をアプリケーション140aに送信する(S211)。アプリケーション140aは、ユーザ情報に基づいて本体認証制御部134に対し認証要求(ログイン要求)を行う(S212)。本体認証制御部134は、ログイン要求に応じ、ユーザのログインが発生したことをアクセスログとして記録媒体103に記録する(S213)。例えば、ログインに係るユーザ名、及び時刻等が記録される。   Subsequently, the external authentication processing unit 133 transmits the received user information to the application 140a (S211). The application 140a makes an authentication request (login request) to the main body authentication control unit 134 based on the user information (S212). In response to the login request, the main body authentication control unit 134 records the occurrence of user login in the recording medium 103 as an access log (S213). For example, the user name and time related to login are recorded.

続いて、本体認証制御部134は、本体認証部120にログイン要求を行う(ユーザ情報を入力する)ことにより本体認証部120に本体認証(ビルトインされた認証)を実行させ、その結果を受信する(S215)。その結果に基づいて、本体認証制御部134は、ログインの成功を検知することができる。したがって、本体認証制御部134において、ユーザのログインステータス(ログインしていることを示す情報)を管理することができる。ログインステータスは、例えば、本体認証制御部134によって記録媒体103に記録される。   Subsequently, the main body authentication control unit 134 makes the main body authentication unit 120 execute a main body authentication (built-in authentication) by making a login request to the main body authentication unit 120 (inputs user information), and receives the result. (S215). Based on the result, the main body authentication control unit 134 can detect a successful login. Therefore, the main body authentication control unit 134 can manage the login status of the user (information indicating that the user is logged in). The login status is recorded on the recording medium 103 by the main body authentication control unit 134, for example.

続いて、本体認証制御部134は、ログイン(認証)の結果をアプリケーション140aに通知する(S216)。当該通知によって、アプリケーション140aは、ログインが成功したことを検知することができる。   Subsequently, the main body authentication control unit 134 notifies the application 140a of the result of login (authentication) (S216). By the notification, the application 140a can detect that the login is successful.

続いて、アプリケーション140aは、表示部108にログイン結果を表示させることにより、ログイン結果をユーザに通知する(S217)。ログインに成功した場合、アプリケーション140aは、ユーザによる入力に応じて機能を提供する(S218)。   Subsequently, the application 140a displays the login result on the display unit 108 to notify the user of the login result (S217). If the login is successful, the application 140a provides a function according to the input by the user (S218).

一方、状態監視スレッドに係る外部デバイス制御部131は、起動されるとスマートカードリーダー32の接続状態を継続的に監視する(S251)。例えば、定期的にスマートカード321よりカードIDを取得する。したがって、例えば、スマートカードリーダー32よりスマートカード321が抜かれることによりスマートカード321との接続が切断されると(S252)、ユーザ情報を取得することができず、状態監視スレッドは、スマートカード321が抜かれたことを検知することができる。当該検知に応じ、状態監視スレッドは、ログインステータスの取得を本体認証制御部134に要求する(S253)。本体認証制御部134は、管理しているログインステータスを返却する(S254)。ここで、ログインステータスは、ユーザごとに複数返却される可能性がある。アプリケーション140aに対し、ネットワークを介してログインしているユーザも存在し得るからである。   On the other hand, when activated, the external device control unit 131 related to the status monitoring thread continuously monitors the connection status of the smart card reader 32 (S251). For example, the card ID is periodically acquired from the smart card 321. Therefore, for example, when the connection with the smart card 321 is disconnected by removing the smart card 321 from the smart card reader 32 (S252), the user information cannot be acquired, and the state monitoring thread It is possible to detect that has been removed. In response to the detection, the state monitoring thread requests the main body authentication control unit 134 to acquire the login status (S253). The body authentication control unit 134 returns the managed login status (S254). Here, a plurality of login statuses may be returned for each user. This is because there may be a user who logs in to the application 140a via the network.

外部デバイス制御部131は、取得したログインステータスに基づいてログインしているユーザのログアウト(認証状態の解除による利用の制限)を本体認証制御部134に要求する(S255)。ここでログアウト対象とするユーザは、外部デバイス制御部131を介して(すなわち、スマートカード321によって)ログインしたユーザに限定してもよいし、現在ログインしている全ユーザを対象としてもよい。いずれにするかは、利用形態に応じて適宜定めればよい。   The external device control unit 131 requests the main body authentication control unit 134 to log out the user who has logged in based on the acquired login status (restriction of use due to cancellation of the authentication state) (S255). Here, the users to be logged out may be limited to users who have logged in via the external device control unit 131 (that is, by the smart card 321), or may be all users who are currently logged in. Which one is to be used may be appropriately determined according to the usage form.

ログアウト要求に応じ、本体認証制御部134は、ログアウトが発生したことをアクセスログとして記録媒体103に記録する(S256)。例えば、ログアウトに係るユーザ名、及び時刻等が記録される。   In response to the logout request, the main body authentication control unit 134 records that the logout has occurred in the recording medium 103 as an access log (S256). For example, the user name and time related to logout are recorded.

続いて、本体認証制御部134は、本体認証部120にログアウト要求を行うことにより本体認証部120におけるログアウトを実行させ(S257)、その結果を受信する(S258)。その結果に基づいて、本体認証制御部134は、ログアウトの成功を検知することができる。したがって、本体認証制御部134において、ユーザのログインステータスの更新又は削除を実行することができる。   Subsequently, the main body authentication control unit 134 makes the main body authentication unit 120 perform logout by making a logout request (S257), and receives the result (S258). Based on the result, the main body authentication control unit 134 can detect the success of logout. Therefore, the main body authentication control unit 134 can update or delete the login status of the user.

続いて、本体認証制御部134は、ログアウトの結果を外部デバイス制御部131に通知する(S259)。ログアウトが成功すると、外部デバイス制御部131は、表示部108を介して、アプリケーション140aの使用ができなくなったことをユーザに通知する(S217)。   Subsequently, the main body authentication control unit 134 notifies the external device control unit 131 of the logout result (S259). If the logout is successful, the external device control unit 131 notifies the user that the application 140a cannot be used via the display unit 108 (S217).

図10の例は、外部デバイス30との接続が切断された場合に、自動的にログアウトを実行するといった利用形態の実施例である。このような自動的なログアウト機能を実装しておくことにより、ログアウトのし忘れによる不正利用等を防止することができる。また、強制的に特定のユーザをログアウトさせるといった利用形態を実現することもできる。   The example of FIG. 10 is an example of a usage mode in which logout is automatically executed when the connection with the external device 30 is disconnected. By implementing such an automatic logout function, unauthorized use due to forgetting to logout can be prevented. Further, it is possible to realize a usage mode in which a specific user is forcibly logged out.

なお、外部デバイス30との接続が切断された場合としては、USBメモリが抜かれた場合等も含まれる。   Note that the case where the connection to the external device 30 is disconnected includes the case where the USB memory is removed.

また、外部認証を利用する場合、外部認証処理部133が、認証サーバ50に対して定期的に認証を要求し、認証に失敗した場合にログアウトを実行するようにしてもよい。   Further, when using external authentication, the external authentication processing unit 133 may periodically request authentication from the authentication server 50 and execute logout when authentication fails.

また、課金管理を行っている場合、アプリケーション140aの使用に応じて課金が行われ、予め投入(又は登録)されている金額がゼロとなったときにログアウトを実行するようにしてもよい。   Further, in the case of performing billing management, billing may be performed in accordance with the use of the application 140a, and logout may be executed when the amount that has been input (or registered) in advance becomes zero.

また、ステップS212のログイン要求時において、アプリケーション140aがログアウト時間を本体認証制御部134に設定するようにしてもよい。この場合、本体認証制御部134は、ログインした時点からログアウト時間として設定された時間が経過したとき、又は、ユーザによる入力(操作)がログアウト時間として設定された期間行われないとき等にログアウトを実行する。   Further, at the time of the login request in step S212, the application 140a may set the logout time in the main body authentication control unit 134. In this case, the main body authentication control unit 134 logs out when the time set as the logout time elapses from the time of login or when the input (operation) by the user is not performed for the period set as the logout time. Run.

また、ステップS212のログイン要求時において、アプリケーション140aがログインステータスのロックを本体認証制御部134に要求するようにしてもよい。この場合、本体認証制御部134は、ログインステータスのアンロックが要求されるまで、新たなユーザのログイン要求やログイン中のユーザのログアウト要求を無視する。したがって、管理者がログインし、占有して作業を行いたい場合(例えば、バックアップ作業等)、新たなユーザのログイン(リモートログインも含む)を防止することができる。また、操作部109に備えられたログアウト用のボタン(以下「ログアウトキー」という。)が誤って押下された場合に、強制的にログアウトされてしまうのを防止することができる。   Further, at the time of the login request in step S212, the application 140a may request the main body authentication control unit 134 to lock the login status. In this case, the main body authentication control unit 134 ignores a login request for a new user and a logout request for a logged-in user until the login status is requested to be unlocked. Therefore, when the administrator logs in and wants to occupy work (for example, backup work), it is possible to prevent a new user from logging in (including remote login). Further, when a logout button (hereinafter referred to as “logout key”) provided in the operation unit 109 is erroneously pressed, it is possible to prevent the user from being forcibly logged out.

また、画像形成装置10が省エネモードを有する場合、ステップS212のログイン要求の発生に応じて、省エネ状態から自動的に復帰させるようにしてもよい。そうすることにより、操作部109における省エネ状態からの復帰ボタンを押下しなくても、アプリケーション140aへのログインが可能となる。   When the image forming apparatus 10 has the energy saving mode, the image forming apparatus 10 may be automatically returned from the energy saving state in response to the generation of the login request in step S212. By doing so, it is possible to log in to the application 140a without pressing the return button from the energy saving state in the operation unit 109.

また、ステップS212のログイン要求時において、アプリケーション140aがログインユーザの利用権限を本体認証制御部134に設定するようにしてもよい。この場合、本体認証制御部134は、設定された利用権限をユーザリスト121に登録されている利用権限に優先させて、利用制限を行う。そうすることにより、ユーザの利用形態に応じて柔軟性のある利用権限の管理を実現することができる。また、この場合、予めユーザリスト121に利用権限を登録しなくても、ユーザに対する利用制限を実現することができる。   Further, at the time of the login request in step S212, the application 140a may set the use authority of the login user in the main body authentication control unit 134. In this case, the main body authentication control unit 134 prioritizes the set use authority over the use authority registered in the user list 121 and restricts the use. By doing so, it is possible to realize flexible management of usage authority according to the usage mode of the user. Further, in this case, the use restriction for the user can be realized without registering the use authority in the user list 121 in advance.

ところで、図10では、ソフト的にログアウトを実行する例について説明したが、続いて、ハード的にログアウトが要求された場合(すなわち、ログアウトキーが押下された場合)の処理手順について説明する。図11は、ハード的にログアウトが要求された際の処理手順を説明するためのシーケンス図である。   By the way, although an example in which logout is executed in software has been described with reference to FIG. 10, a processing procedure when logout is requested by hardware (that is, when the logout key is pressed) will be described. FIG. 11 is a sequence diagram for explaining a processing procedure when logout is requested in hardware.

アプリケーション140aに既にログインしている状態において、ユーザがログアウトキーを押下すると(S301)、操作部109は、本体認証部120にログアウト要求を通知する(S302)。本体認証部120は、ログアウト処理を行い、その結果の表示を表示部108に要求する(S303)。表示部108は、ログアウトされたことを示す画面を表示させる(S304)。   When the user presses the logout key while already logged in to the application 140a (S301), the operation unit 109 notifies the main body authentication unit 120 of a logout request (S302). The main body authentication unit 120 performs logout processing and requests the display unit 108 to display the result (S303). The display unit 108 displays a screen indicating that the user has logged out (S304).

一方、本体認証部120は、ログアウト処理の成功後、ユーザがログアウトされたことを本体認証制御部134に通知する(S304)。本体認証制御部134は、当該通知に応じ、ユーザのログアウトの発生をアクセスログとして記録する(S305)。続いて、本体認証制御部134は、アプリケーション140aに対してログアウトを通知する(S306)。これにより、アプリケーション140aは、ログアウトを検知することができる。したがって、利用形態において要求される処理として、アプリケーション140aにおけるログアウトの検知に応じて実行させたい処理がある場合、当該処理をこのタイミングで実行させることができる。   On the other hand, after successful logout processing, the main body authentication unit 120 notifies the main body authentication control unit 134 that the user has been logged out (S304). In response to the notification, the main body authentication control unit 134 records the occurrence of user logout as an access log (S305). Subsequently, the main body authentication control unit 134 notifies the application 140a of logout (S306). Thereby, the application 140a can detect logout. Therefore, when there is a process that is desired to be executed in response to detection of logout in the application 140a as a process required in the usage mode, the process can be executed at this timing.

上述したように、本実施の形態における画像形成装置10によれば、認証フレームワークによって、ユーザ情報の取得先や、認証を実行させるサーバ等を運用に応じて柔軟に選択することができる。したがって、既にユーザ環境において構築されている認証システムを利用して、画像形成装置10の利用制限を行うこともできる。   As described above, according to the image forming apparatus 10 in the present embodiment, it is possible to flexibly select a user information acquisition destination, a server that executes authentication, and the like according to the operation by the authentication framework. Therefore, it is possible to restrict the use of the image forming apparatus 10 by using an authentication system that is already constructed in the user environment.

また、ロジック実装モジュールやアプリケーションの実装によって、ユーザのログイン状態等の制御及び管理についてもユーザの運用に適した形態を柔軟に実現することができる。   In addition, by implementing a logic implementation module or application, it is possible to flexibly realize a form suitable for user operation with respect to control and management of a user login state and the like.

以上、本発明の実施例について詳述したが、本発明は斯かる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。   As mentioned above, although the Example of this invention was explained in full detail, this invention is not limited to such specific embodiment, In the range of the summary of this invention described in the claim, various deformation | transformation・ Change is possible.

10 画像形成装置
30 外部デバイス
31 キーボード
32 スマートカードリーダー
50 認証サーバ
101 CPU
102 メモリ
103 記録媒体
104 ネットワークI/F
105 画像出力部
106 画像処理部
107 外部デバイスI/F
108 表示部
109 操作部
110 本体機能部
120 本体認証部
121 ユーザリスト
122 ビルトイン認証処理部
130 フレームワーク
131 外部デバイス制御部
132 外部デバイス情報取得部
133 外部認証処理部
134 及び本体認証制御部
140 アプリケーション
141 外部デバイス制御実装モジュール
142 外部デバイス情報取得実装モジュール
143 外部認証処理実装モジュール
144 本体認証制御実装モジュール
145 登録処理部
321 スマートカード 10 Image forming apparatus 30 External device 31 Keyboard 32 Smart card reader 50 Authentication server 101 CPU
102 Memory 103 Recording medium 104 Network I / F
105 Image output unit 106 Image processing unit 107 External device I / F
108 display unit 109 operation unit 110 main body function unit 120 main body authentication unit 121 user list 122 built-in authentication processing unit 130 framework 131 external device control unit 132 external device information acquisition unit 133 external authentication processing unit 134 and main body authentication control unit 140 application 141 External device control mounting module 142 External device information acquisition mounting module 143 External authentication processing mounting module 144 Main unit authentication control mounting module 145 Registration processing unit 321 Smart card

特開2006−215770号公報JP 2006-215770 A 特開2007−122384号公報JP 2007-122384 A 特開2006−92437号公報JP 2006-92437 A

Claims (9)

操作入力に応じた情報を受け付ける受付手段と、
外部デバイスと接続する第1の接続手段と、
ユーザ情報を記憶するユーザ情報記憶手段と、
前記ユーザ情報記憶手段が記憶する前記ユーザ情報に基づきユーザ認証を実行する第1の認証手段と、
ネットワークを介して認証装置と接続する第2の接続手段と、
前記認証装置とネットワークを介した通信を行い、前記認証装置を用いたユーザ認証を実行する第2の認証手段と、
前記外部デバイスから情報を受信する受信手段と、
前記受信手段、前記第1の認証手段、及び前記第2の認証手段のうち、ユーザ認証の実行に利用する手段を登録する登録手段と、
前記登録手段による登録に応じて、前記受付手段または前記受信手段により得た前記情報に基づくユーザ認証を、前記ユーザ情報記憶手段または前記認証装置を用いて実行する認証処理手段と、
を備えることを特徴とする情報処理装置。 Accepting means for accepting information according to the operation input;
First connection means for connecting to an external device;
User information storage means for storing user information;
First authentication means for executing user authentication based on the user information stored in the user information storage means;
Second connection means for connecting to the authentication device via a network;
A second authentication means for performing communication with the authentication device via a network and executing user authentication using the authentication device;
Receiving means for receiving information from the external device;
Of the receiving means, the first authenticating means, and the second authenticating means, a registering means for registering means used for executing user authentication;
An authentication processing means for executing user authentication based on the information obtained by the receiving means or the receiving means using the user information storage means or the authentication device in response to registration by the registration means;
An information processing apparatus comprising: 前記受付手段により得る前記情報は、パスワードであり、
前記外部デバイスは、記録媒体が記録する情報を読み取る読取手段であり、
前記受信手段により得る前記記録媒体が記録する情報は、前記読取手段により前記記録媒体から読み取った当該記録媒体の記録媒体識別情報であり、
前記認証処理手段は、前記登録手段による登録に応じて、前記受付手段により得た前記パスワード、および前記受信手段により得た前記記録媒体識別情報に基づくユーザ認証を実行することを特徴とする請求項1に記載の情報処理装置。 The information obtained by the accepting means is a password,
The external device is reading means for reading information recorded by a recording medium,
The information recorded by the recording medium obtained by the receiving means is recording medium identification information of the recording medium read from the recording medium by the reading means,
The authentication processing means executes user authentication based on the password obtained by the receiving means and the recording medium identification information obtained by the receiving means in response to registration by the registration means. The information processing apparatus according to 1. 前記受付手段により得る前記情報は、ユーザ名およびパスワードであることを特徴とする請求項1に記載の情報処理装置。   The information processing apparatus according to claim 1, wherein the information obtained by the receiving unit is a user name and a password. 前記外部デバイスは、記録媒体が記録する情報を読み取る読取手段であり、
前記受信手段により得る前記記録媒体が記録する情報は、前記読取手段により前記記録媒体から読み取った当該記録媒体の記録媒体識別情報であることを特徴とする請求項1に記載の情報処理装置。 The external device is reading means for reading information recorded by a recording medium,
2. The information processing apparatus according to claim 1, wherein the information recorded on the recording medium obtained by the receiving unit is recording medium identification information of the recording medium read from the recording medium by the reading unit. 前記外部デバイスは、操作入力を受け付けるキーボードであり、
前記受信手段により得る前記情報は、前記キーボードが操作入力を介して受け付けたユーザ名およびパスワードであることを特徴とする請求項1に記載の情報処理装置。 The external device is a keyboard that accepts operation inputs,
The information processing apparatus according to claim 1, wherein the information obtained by the receiving unit is a user name and a password received by the keyboard through an operation input. 前記外部デバイスとの接続状態を監視する監視手段と、
前記認証処理手段によるユーザ認証の結果に基づきログインが成功した後に、前記監視手段が前記外部デバイスとの接続の切断を検知したことに応じてログアウトする制御手段と、
を備えることを特徴とする請求項1乃至4のいずれか1項に記載の情報処理装置。 Monitoring means for monitoring a connection state with the external device;
Control means for logging out in response to the monitoring means detecting disconnection from the external device after successful login based on the result of user authentication by the authentication processing means;
The information processing apparatus according to any one of claims 1 to 4, further comprising: 操作入力に応じた情報を受け付ける受付手順と、
外部デバイスと接続する第1の接続手順と、
ユーザ情報記憶手段が記憶するユーザ情報に基づきユーザ認証を実行する第1の認証手順と、
ネットワークを介して認証装置と接続する第2の接続手順と、
前記認証装置とネットワークを介した通信を行い、前記認証装置を用いたユーザ認証を実行する第2の認証手順と、
前記外部デバイスから情報を受信する受信手順と、
前記受信手順、前記第1の認証手順、及び前記第2の認証手順のうち、ユーザ認証の実行に利用する手順を登録する登録手段と、
前記登録手順による登録に応じて、前記受付手順または前記受信手順により得た前記情報に基づくユーザ認証を、前記ユーザ情報記憶手順または前記認証装置を用いて実行する認証処理手順と、
をコンピュータが実行する認証制御方法。 A reception procedure for receiving information according to an operation input;
A first connection procedure for connecting to an external device;
A first authentication procedure for executing user authentication based on user information stored in the user information storage means;
A second connection procedure for connecting to the authentication device via the network;
A second authentication procedure for communicating with the authentication device via a network and performing user authentication using the authentication device;
A receiving procedure for receiving information from the external device;
A registration unit for registering a procedure used for executing user authentication among the reception procedure, the first authentication procedure, and the second authentication procedure;
An authentication processing procedure for performing user authentication based on the information obtained by the reception procedure or the reception procedure, using the user information storage procedure or the authentication device, in accordance with the registration by the registration procedure;
An authentication control method in which a computer executes. 操作入力に応じた情報を受け付ける受付手順と、
外部デバイスと接続する第1の接続手順と、
ユーザ情報記憶手段が記憶するユーザ情報に基づきユーザ認証を実行する第1の認証手順と、
ネットワークを介して認証装置と接続する第2の接続手順と、
前記認証装置とネットワークを介した通信を行い、前記認証装置を用いたユーザ認証を実行する第2の認証手順と、
前記外部デバイスから情報を受信する受信手順と、
前記受信手順、前記第1の認証手順、及び前記第2の認証手順のうち、ユーザ認証の実行に利用する手順を登録する登録手段と、
前記登録手順による登録に応じて、前記受付手順または前記受信手順により得た前記情報に基づくユーザ認証を、前記ユーザ情報記憶手順または前記認証装置を用いて実行する認証処理手順と、
をコンピュータに実行させるプログラム。 A reception procedure for receiving information according to an operation input;
A first connection procedure for connecting to an external device;
A first authentication procedure for executing user authentication based on user information stored in the user information storage means;
A second connection procedure for connecting to the authentication device via the network;
A second authentication procedure for communicating with the authentication device via a network and performing user authentication using the authentication device;
A receiving procedure for receiving information from the external device;
A registration unit for registering a procedure used for executing user authentication among the reception procedure, the first authentication procedure, and the second authentication procedure;
An authentication processing procedure for performing user authentication based on the information obtained by the reception procedure or the reception procedure, using the user information storage procedure or the authentication device, in accordance with the registration by the registration procedure;
A program that causes a computer to execute. 請求項8記載のプログラムを記録したコンピュータ読み取り可能な記録媒体。   A computer-readable recording medium on which the program according to claim 8 is recorded.
JP2012200685A 2012-09-12 2012-09-12 Information processor, authentication control method, program, and recording medium Pending JP2013033486A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012200685A JP2013033486A (en) 2012-09-12 2012-09-12 Information processor, authentication control method, program, and recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012200685A JP2013033486A (en) 2012-09-12 2012-09-12 Information processor, authentication control method, program, and recording medium

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2007235769A Division JP5090835B2 (en) 2007-09-11 2007-09-11 Information processing apparatus and authentication control program

Publications (1)

Publication Number Publication Date
JP2013033486A true JP2013033486A (en) 2013-02-14

Family

ID=47789280

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012200685A Pending JP2013033486A (en) 2012-09-12 2012-09-12 Information processor, authentication control method, program, and recording medium

Country Status (1)

Country Link
JP (1) JP2013033486A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016148923A (en) * 2015-02-10 2016-08-18 京セラドキュメントソリューションズ株式会社 Image forming device, image forming method, and image forming program
US20230097804A1 (en) * 2019-02-01 2023-03-30 Capital One Services, Llc Tap card to securely generate card data to copy to clipboard

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000122975A (en) * 1998-10-14 2000-04-28 Toshiba Corp User confirmation system by means of biometrics and storage medium
JP2001154899A (en) * 1999-11-30 2001-06-08 Pfu Ltd Device for managing file and medium for recording program
JP2003132023A (en) * 2001-10-24 2003-05-09 Toshiba Corp Personal authentication method, personal authentication device and personal authentication system
JP2004234632A (en) * 2003-01-06 2004-08-19 Sony Corp System, server, method, and program for authentication, terminal, method and program for requiring authentication, and storage medium
JP2004295632A (en) * 2003-03-27 2004-10-21 Ricoh Co Ltd Authentication information acquisition device, user authentication system, authentication information acquisition program, document management device, document management program and recording medium
JP2006202212A (en) * 2005-01-24 2006-08-03 Konica Minolta Business Technologies Inc Personal authentication device, information processing apparatus and personal authentication system
JP2006209232A (en) * 2005-01-25 2006-08-10 Fuji Xerox Co Ltd Data leakage prevention apparatus, data leakage prevention method, image processing apparatus
JP2007122384A (en) * 2005-10-27 2007-05-17 Sharp Corp Authentication apparatus and image forming apparatus

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000122975A (en) * 1998-10-14 2000-04-28 Toshiba Corp User confirmation system by means of biometrics and storage medium
JP2001154899A (en) * 1999-11-30 2001-06-08 Pfu Ltd Device for managing file and medium for recording program
JP2003132023A (en) * 2001-10-24 2003-05-09 Toshiba Corp Personal authentication method, personal authentication device and personal authentication system
JP2004234632A (en) * 2003-01-06 2004-08-19 Sony Corp System, server, method, and program for authentication, terminal, method and program for requiring authentication, and storage medium
JP2004295632A (en) * 2003-03-27 2004-10-21 Ricoh Co Ltd Authentication information acquisition device, user authentication system, authentication information acquisition program, document management device, document management program and recording medium
JP2006202212A (en) * 2005-01-24 2006-08-03 Konica Minolta Business Technologies Inc Personal authentication device, information processing apparatus and personal authentication system
JP2006209232A (en) * 2005-01-25 2006-08-10 Fuji Xerox Co Ltd Data leakage prevention apparatus, data leakage prevention method, image processing apparatus
JP2007122384A (en) * 2005-10-27 2007-05-17 Sharp Corp Authentication apparatus and image forming apparatus

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016148923A (en) * 2015-02-10 2016-08-18 京セラドキュメントソリューションズ株式会社 Image forming device, image forming method, and image forming program
US20230097804A1 (en) * 2019-02-01 2023-03-30 Capital One Services, Llc Tap card to securely generate card data to copy to clipboard

Similar Documents

Publication Publication Date Title
JP5090835B2 (en) Information processing apparatus and authentication control program
JP5090834B2 (en) Information processing apparatus and authentication control program
KR101614578B1 (en) Information processing apparatus, control method thereof, storage medium, and image processing apparatus
US9633188B2 (en) Device, information processing system, and control method that permit both an authentication-type application program and a non-authentication-type program to access an authentication device
JP6478486B2 (en) Information processing apparatus, control method thereof, and program
US9306980B2 (en) Image processing apparatus that configures settings of information security policy, method of controlling the same, program, and storage medium
US20070124799A1 (en) Authentication agent apparatus, authentication method, and program product therefor
US9529982B2 (en) Method and apparatus to manage user account of device
US9411945B2 (en) Image processing apparatus that performs user authentication, authentication method therefor, and storage medium
JP2009217820A (en) Method for remotely managing network image forming device, and remote management application software tool for image forming device
JP2011191952A (en) Electronic device, and method and program for restricting use
JP6938983B2 (en) Information processing system, information processing device and information processing method
US9451128B2 (en) Mobile data processing having secured association with multifunction device
JP5338205B2 (en) Authentication control apparatus, authentication control method, and program
JP2013033486A (en) Information processor, authentication control method, program, and recording medium
CN101582971A (en) Application platform
US9524384B2 (en) Image output apparatus, image output system, and computer-readable recording medium
US20090070856A1 (en) Image forming apparatus and utilization limiting method
JP2020086794A (en) Information processing system, information processing method, information processing device, and program
JP2013008390A (en) Information processing apparatus, program, and recording medium
JP5659731B2 (en) Authentication system, management apparatus, information processing apparatus, processing method thereof, and program
JP5365613B2 (en) Image forming apparatus, usage control method, and program
JP2005202539A (en) Image processor, image processing program, image processing method, control device, control program, and control method
JP6056894B2 (en) Electronic device, usage restriction method, and usage restriction program
JP2014130615A (en) Electronic apparatus, use restriction method, and use restriction program

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130827

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130917

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20140430