JP2014112354A - システム及びサービス提供装置 - Google Patents

システム及びサービス提供装置 Download PDF

Info

Publication number
JP2014112354A
JP2014112354A JP2013207070A JP2013207070A JP2014112354A JP 2014112354 A JP2014112354 A JP 2014112354A JP 2013207070 A JP2013207070 A JP 2013207070A JP 2013207070 A JP2013207070 A JP 2013207070A JP 2014112354 A JP2014112354 A JP 2014112354A
Authority
JP
Japan
Prior art keywords
authentication
information
service providing
user
providing system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2013207070A
Other languages
English (en)
Other versions
JP6255858B2 (ja
Inventor
Koji Fukuda
康治 福田
Masato Nakajima
正登 中島
Naotoshi Seo
直利 瀬尾
Kenta Yamano
健太 山野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2013207070A priority Critical patent/JP6255858B2/ja
Priority to US14/065,573 priority patent/US9294484B2/en
Publication of JP2014112354A publication Critical patent/JP2014112354A/ja
Application granted granted Critical
Publication of JP6255858B2 publication Critical patent/JP6255858B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Accessory Devices And Overall Control Thereof (AREA)
  • Facsimiles In General (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

【課題】異なる認証基盤を持つサービスであっても、ユーザによる一度の認証処理によってサービスが利用可能となるシステム及びサービス提供装置を提供することを課題とする。
【解決手段】第一のサービス提供システムと、認証基盤が異なる第二のサービス提供システムとを有するシステムであって、機器から第二のサービス提供システムを利用する処理の要求を受け付け、認証後の権限情報の取得要求を行う手段と、記憶手段にユーザと紐付く認証後の権限情報が記憶されていなければ、記憶手段から取得した認証情報を用いて第二のサービス提供システムから認証後の権限情報を取得する手段と、記憶手段に認証後の権限情報が記憶されていれば記憶手段に記憶されている認証後の権限情報を提供し、権限情報が記憶されていなければ、第二のサービス提供システムから取得した認証後の権限情報を提供する手段とを有することにより、上記課題を解決する。
【選択図】 図1

Description

本発明は、システム及びサービス提供装置に関する。
WWW上で複数のサービスに対してシングルサインオン機能を提供する際に、より安全に通信が可能なネットワークシステムを提供することを目的としたネットワーク装置は従来から知られている(例えば特許文献1参照)。
クライアントからの要求に応じてサービスを提供する従来のネットワーク装置は、要求されたサービスを提供する処理手段と、未ログインのクライアントからのアクセスを受けた際には認証サーバに問い合わせ、認証済であればネットワーク装置へのアクセスのための認証チケットを発行し、ログイン済のクライアントからのアクセスを受けた際には認証チケットを受け取って処理手段にサービスを行わせる通信制御手段を有することを特徴としていた。
近年、クラウドサービスに代表されるようなWebアプリケーションやサーバ側のアプリケーションの機能をサービスとして提供する利用形態が注目されている。このような利用形態においては、サービスの提供を受ける為に認証が必要となる場合がある。しかしながら、複数のサービスが異なる認証基盤によって認証を行っている場合、ユーザは利用したいサービスそれぞれの認証基盤における認証を行わなければならず、ユーザにとって操作性が良くなかった。
本発明の実施の形態は、上記の点に鑑みなされたもので、異なる認証基盤を持つサービスであっても、ユーザによる一度の認証処理によってサービスが利用可能となるシステム及びサービス提供装置を提供することを目的とする。
上記目的を達成するため、本願請求項1は、機器にサービスを提供する第一のサービス提供システムと、前記第一のサービス提供システムと認証基盤が異なる第二のサービス提供システムと、を有するシステムであって、ユーザが操作する機器から前記第二のサービス提供システムを利用する処理の要求を受け付け、前記第二のサービス提供システムを利用するための認証後の権限情報の取得要求を行う権限情報取得要求手段と、前記認証後の権限情報を記憶する第一の記憶手段に、前記ユーザと紐付く前記認証後の権限情報が記憶されていなければ、前記第二のサービス提供システムの認証情報を記憶する第二の記憶手段から前記第二のサービス提供システムの認証情報を取得し、前記認証情報を用いて前記第二のサービス提供システムから前記認証後の権限情報を取得する代理認証手段と、前記第一の記憶手段に前記ユーザと紐付く前記認証後の権限情報が記憶されていれば前記第一の記憶手段に記憶されている前記認証後の権限情報を提供し、前記第一の記憶手段に前記ユーザと紐付く前記認証後の権限情報が記憶されていなければ、前記第二のサービス提供システムから取得した前記認証後の権限情報を提供する権限情報提供手段と、を有することを特徴とする。
本発明の実施の形態によれば、異なる認証基盤を持つサービスであっても、ユーザによる一度の認証処理によってサービスが利用可能となる。
本実施形態に係るシステムの一例の構成図である。 本実施形態に係るコンピュータシステムの一例のハードウェア構成図である。 本実施形態に係るサービス提供システムの一例の処理ブロック図である。 本実施形態に係るサービスアプリの一例の処理ブロック図である。 本実施形態に係る認証処理部の一例の処理ブロック図である。 本実施形態に係るデータ処理部の一例の処理ブロック図である。 組織管理情報の一例の構成図である。 ユーザ管理情報の一例の構成図である。 機器管理情報の一例の構成図である。 代理認証情報の一例の構成図である。 代理認証トークン情報の一例の構成図である。 代理認証情報を登録する処理手順の一例を表したシーケンス図である。 外部サービス情報登録画面の一例のイメージ図である。 ユーザ管理情報登録画面の一例のイメージ図である。 外部サービス情報登録画面の他の例のイメージ図である。 外部サービスを利用する処理手順の一例を表したシーケンス図である。 外部サービス連携要求画面の一例のイメージ図である。 代理認証情報を登録する処理手順の他の例を表したフローチャートである。 代理認証情報を登録する処理手順における一例の画面遷移図である。 非同期処理と外部サービスシステムとが連携する処理手順の一例を表したシーケンス図である。 非同期処理と外部サービスシステムとが連携する処理手順の他の例を表したシーケンス図である。 代理認証情報の他の例の構成図である。
次に、本発明の実施の形態について、詳細に説明する。
[第1の実施形態]
<システム構成>
図1は本実施形態に係るシステムの一例の構成図である。図1のシステム1は、例えばオフィス内ネットワーク等のネットワークN1と、クラウドサービスに代表されるようなサービス提供システムのネットワークN2と、クラウドサービスに代表されるような外部サービスのネットワークN3と、インターネットなどのネットワークN4とを有する。
ネットワークN1は、ファイアウォールFWの内側にあるプライベートなネットワークである。ファイアウォールFWはネットワークN1とネットワークN4との接点に設置され、不正なアクセスを検出及び遮断する。ネットワークN1にはクライアント端末11、携帯端末12、複合機などの画像形成装置14、プロジェクタ15、電子黒板等のその他の機器16が接続されている。
クライアント端末11は端末装置の一例である。クライアント端末11は一般的なOSなどが搭載された情報処理装置(コンピュータシステム)によって実現できる。クライアント端末11は無線による通信の手段または有線による通信の手段を有する。クライアント端末11は、タブレットPC、ノートPCなど、ユーザが操作可能な端末である。
携帯端末12は端末装置の一例である。携帯端末12は、無線による通信の手段または有線による通信の手段を有している。携帯端末12は、スマートフォンや携帯電話、タブレットPC、ノートPCなど、ユーザが携帯可能な端末である。
画像形成装置14は複合機などの画像形成機能を有する装置である。画像形成装置14は無線による通信の手段または有線による通信の手段を有する。画像形成装置14は複合機、コピー機、スキャナ、プリンタ、レーザプリンタなど、画像形成に係る処理を行う装置である。プロジェクタ15は画像を投影する装置である。プロジェクタ15は無線による通信の手段または有線による通信の手段を有する。
図1では、一例としてクライアント端末11、携帯端末12、画像形成装置14、プロジェクタ15、その他の機器16がそれぞれ一台である例を示しているが複数台であってもよい。
ネットワークN2はアクセス制御装置21によってインターネット等のネットワークN4に接続されている。ネットワークN2はアクセス制御装置21によってセキュリティが保護されている。ネットワークN2にはプリントサービス提供装置22、スキャンサービス提供装置23、ポータルサービス提供装置24、他サービス提供装置25が接続されている。図1のシステム1は、アクセス制御装置21、プリントサービス提供装置22、スキャンサービス提供装置23、ポータルサービス提供装置24、他サービス提供装置25がサービス提供システムを実現している。
アクセス制御装置21はプリントサービス提供装置22が提供するプリントサービスやスキャンサービス提供装置23が提供するスキャンサービス、ポータルサービス提供装置24が提供するポータルサービスなど、各サービスへのログインを制御する。
アクセス制御装置21、プリントサービス提供装置22、スキャンサービス提供装置23、ポータルサービス提供装置24、他サービス提供装置25は、一台以上の情報処理装置(コンピュータシステム)によって実現される。
なお、図1のシステム1のプリントサービス提供装置22、スキャンサービス提供装置23、ポータルサービス提供装置24、他サービス提供装置25は一台のコンピュータに統合して実現してもよいし、複数のコンピュータに分散して実現してもよい。
ネットワークN3はアクセス制御装置31によってインターネット等のネットワークN4に接続されている。ネットワークN3はアクセス制御装置31によってセキュリティが保護されている。ネットワークN3には1つ以上の外部サービス提供装置32が接続されている。図1のシステム1は、アクセス制御装置31、外部サービス提供装置32が外部サービスシステムを実現している。
アクセス制御装置31は、外部サービス提供装置32が提供する外部サービスへのログインを制御する。アクセス制御装置31、外部サービス提供装置32は、一台以上の情報処理装置(コンピュータシステム)によって実現される。なお、図1のシステム1の外部サービス提供装置32は、一台のコンピュータに統合して実現してもよいし、複数のコンピュータに分散して実現してもよい。
ネットワークN2側のサービスの一部はネットワークN2以外にあってもよい。携帯端末12は、オフィス内ネットワーク等のネットワークN1以外にあってもよい。図1のシステム1では携帯端末12がネットワークN1と、インターネットなどのネットワークN4とにある例を示している。また、図1のシステム1では外部サービスシステムが1つの例を示しているが複数であってもよい。
図1のシステム1では、サービス提供システム及び外部サービスシステムにおいて異なる認証基盤によって認証を行っているものとする。図1のシステム1はサービス提供システムの認証基盤が外部サービスシステムの認証基盤との連携処理を行うことで、認証基盤が異なる外部サービスシステムを利用するときも、ユーザにとってのシングルサインオンを実現できる。
また、図1のシステム1では、サービス提供システムの認証基盤が、外部サービスシステムの認証基盤と認証するために必要なアカウント情報の管理、外部サービスシステムから認証トークンを取得するための認証処理、取得した認証トークンの保存、を行うことにより、認証トークンの一括管理が可能となる。したがって、図1のシステム1ではサービス提供システムの認証基盤が認証トークンを一括管理することで、セキュリティの向上が図られる。
<ハードウェア構成>
クライアント端末11、携帯端末12、アクセス制御装置21、プリントサービス提供装置22、スキャンサービス提供装置23、ポータルサービス提供装置24、他サービス提供装置25は、例えば図2に示すハードウェア構成のコンピュータシステムにより実現される。また、アクセス制御装置31、外部サービス提供装置32も、例えば図2に示すハードウェア構成のコンピュータシステムにより実現される。
図2は本実施形態に係るコンピュータシステムの一例のハードウェア構成図である。図2に示したコンピュータシステム500は、入力装置501、表示装置502、外部I/F503、RAM(Random Access Memory)504、ROM(Read Only Memory)505、CPU(Central Processing Unit)506、通信I/F507、及びHDD(Hard Disk Drive)508などを備え、それぞれがバスBで相互に接続されている。
入力装置501はキーボードやマウス、タッチパネルなどを含み、ユーザが各操作信号を入力するのに用いられる。表示装置502はディスプレイなどを含み、コンピュータシステム500による処理結果を表示する。
通信I/F507はコンピュータシステム500をネットワークN1〜N4に接続するインタフェースである。これにより、コンピュータシステム500は通信I/F507を介してデータ通信を行うことができる。
HDD508はプログラムやデータを格納している不揮発性の記憶装置である。格納されるプログラムやデータには、例えばコンピュータシステム500全体を制御する基本ソフトウェアであるOS(Operating System)や、OS上において各種機能を提供するアプリケーションソフトウェアなどがある。HDD508は格納しているプログラムやデータを所定のファイルシステム及び/又はDB(データベース)により管理している。
外部I/F503は、外部装置とのインタフェースである。外部装置には、記録媒体503aなどがある。これにより、コンピュータシステム500は外部I/F503を介して記録媒体503aの読み取り及び/又は書き込みを行うことができる。記録媒体503aにはフレキシブルディスク、CD(Compact Disk)、DVD(Digital Versatile Disk)、SDメモリカード(SD Memory card)、USBメモリ(Universal Serial Bus memory)などがある。
ROM505は、電源を切ってもプログラムやデータを保持することができる不揮発性の半導体メモリ(記憶装置)である。ROM505には、コンピュータシステム500の起動時に実行されるBIOS(Basic Input/Output System)、OS設定、及びネットワーク設定などのプログラムやデータが格納されている。RAM504は、プログラムやデータを一時保持する揮発性の半導体メモリ(記憶装置)である。
CPU506は、ROM505やHDD508などの記憶装置からプログラムやデータをRAM504上に読み出し、処理を実行することで、コンピュータシステム500全体の制御や機能を実現する演算装置である。
クライアント端末11、携帯端末12、アクセス制御装置21、プリントサービス提供装置22、スキャンサービス提供装置23、ポータルサービス提供装置24、他サービス提供装置25は、コンピュータシステム500のハードウェア構成により、後述するような各種処理を実現できる。また、アクセス制御装置31、外部サービス提供装置32も、コンピュータシステム500のハードウェア構成により、後述するような各種処理を実現できる。
<ソフトウェア構成>
《サービス提供システム》
本実施形態に係るサービス提供システムは例えば図3に示す処理ブロックにより実現される。図3は本実施形態に係るサービス提供システムの一例の処理ブロック図である。図3のサービス提供システム50は、プログラムを実行することにより、サービスアプリ51、プラットフォーム52、管理データ記憶部53及びプラットフォームAPI(Application Programming Interface)54を実現している。
図3のサービスアプリ51は、プリントサービスアプリ61、スキャンサービスアプリ62、ポータルサービスアプリ63、1つ以上のその他のサービスアプリ64を一例として有する。プリントサービスアプリ61はプリントサービスを提供するアプリケーションである。スキャンサービスアプリ62はスキャンサービスを提供するアプリケーションである。ポータルサービスアプリ63はポータルサービスを提供するアプリケーションである。また、その他のサービスアプリ64は何らかのサービスを提供するアプリケーションである。
プラットフォームAPI54はプリントサービスアプリ61、スキャンサービスアプリ62、ポータルサービスアプリ63、その他のサービスアプリ64などのサービスアプリ51が、プラットフォーム52を利用するためのインタフェースである。プラットフォームAPI54はサービスアプリ51からの要求をプラットフォーム52が受信するために設けられた予め定義されたインタフェースであり、例えば関数やクラス等により構成される。なお、サービス提供システム50を複数の情報処理装置に分散して構成する場合、プラットフォームAPI54にはネットワーク経由で利用可能な例えばWeb APIを利用できる。
図3のプラットフォーム52は、認証処理部71、機器通信部72、セッション管理部73、データ処理部74、代理認証部75を一例として有する。認証処理部71はクライアント端末11や画像形成装置14などのオフィス機器からのログイン要求に基づいて認証を実行する。オフィス機器は、クライアント端末11、携帯端末12、画像形成装置14、プロジェクタ15、その他の機器16などの総称である。機器通信部72はオフィス機器や外部サービスシステムとの通信を実行する。
セッション管理部73は、オフィス機器や外部サービスシステムとのセッションを管理する。データ処理部74はサービスアプリ51からの要求に基づいてデータ処理を実行する。代理認証部75は外部サービスシステムに対し、代理認証を行う。
管理データ記憶部53は組織管理情報記憶部81、ユーザ管理情報記憶部82、機器管理情報記憶部83、代理認証情報記憶部84、代理認証トークン情報記憶部85、データ管理情報記憶部86、データストレージ87を一例として有する。
組織管理情報記憶部81は、後述の組織管理情報を記憶する。ユーザ管理情報記憶部82は後述のユーザ管理情報を記憶する。機器管理情報記憶部83は後述の機器管理情報を記憶する。代理認証情報記憶部84は後述の代理認証情報を記憶する。代理認証トークン情報記憶部85は後述の代理認証トークン情報を記憶する。データ管理情報記憶部86はデータ管理情報を記憶する。データストレージ87はその他のデータ等を記憶する。
プラットフォーム52は、複数のサービスアプリ51に共通する機能又は複数のサービスアプリ51から利用される基本機能等を含む。本実施形態において、認証処理部71、機器通信部72、セッション管理部73、データ処理部74、代理認証部75等は、プラットフォーム52に属する。プラットフォーム52の各部の機能は、プラットフォームAPI54を介してサービスアプリ51に公開されている。
換言すれば、サービスアプリ51は、プラットフォームAPI54によって公開されている範囲においてこれら各部の機能を利用可能である。なお、図3に示されるように、サービス提供システム50によって提供されるサービスは、クライアント端末11、携帯端末12、画像形成装置14、プロジェクタ15以外に、会議システム、ICレコーダ、デジタルカメラや、その他の機器16等に関して実行されてもよい。
また、図3に示される各ソフトウェア及び各記憶部の分類形態は、一例であり、本実施形態を実施するために、サービス提供システム50の各ソフトウェア及び各記憶部が、図3に示されるような階層で分類されていることは必須ではない。すなわち、クライアント端末11、携帯端末12、画像形成装置14、プロジェクタ15などのオフィス機器が、サービスアプリ51と連携可能であれば、サービス提供システム50におけるソフトウェア及び記憶部の階層関係等は、特定のものに限定されない。
サービス提供システム50は、例えば認証や非同期変換といった機能を有するクラウド基盤と、クラウド基盤の機能を利用してプリントサービス等のサービス提供を行うサービス群として機能する。クラウド基盤は、例えばプラットフォーム52、管理データ記憶部53、プラットフォームAPI54によって構成される。サービス群は例えばサービスアプリ51によって構成される。
サービス提供システム50のクラウド基盤が有する認証の機能は、例えば認証処理部71と、代理認証部75と、認証用データベースにより構成される。認証用データベースは組織管理情報記憶部81、ユーザ管理情報記憶部82、機器管理情報記憶部83、代理認証情報記憶部84、代理認証トークン情報記憶部85などにより構成される。また、サービス提供システム50のクラウド基盤が有する非同期変換の機能は、例えばデータ処理部74と、データ管理情報記憶部86と、データストレージ87により構成される。
サービスアプリ51などのサービス群はサービス提供システム50のクラウド基盤が有する認証や非同期変換といった機能を利用し、サービスの提供を行う。また、サービス群は外部サービスシステムの機能と連携してサービスを提供する場合、クラウド基盤が有する認証の機能を介して、外部サービスシステムにアクセスするための認証トークンを取得する。
なお、外部サービスシステムはサービス提供システム50以外のシステムであり、クラウドサービスなどのサービスを提供する。本実施例では外部サービスシステムが提供するサービス(機能)を外部サービスと呼んでいる。外部サービスにはクラウドサービスとして提供されているオンラインストレージサービス、スキャン文書の保管・管理サービスなどが含まれる。外部サービスシステムには、サービス提供システム50に機能を提供するためのWebAPIが整備されている。WebAPIを利用するためには外部サービスシステムの認証基盤による認証が必要となる。
また、図3のサービス提供システム50は複数のサービスアプリ51が共通に利用する組織管理情報、ユーザ管理情報、機器管理情報、代理認証情報、代理認証トークン情報を有することで、認証機能を集約している。なお、図3のサービス提供システム50は組織管理情報、ユーザ管理情報、機器管理情報、代理認証情報など、永続的に保存が必要となる情報を例えばHDD508に保存する。また、図3のサービス提供システム50は代理認証トークン情報など有効期限が決まっており、組織管理情報、ユーザ管理情報、機器管理情報、代理認証情報などの他の情報よりライフサイクルが短い情報を、例えばRAM504に(オンメモリ上に)保存する。オンメモリ上に保存することで、代理認証トークン情報の読み出し/書き込みは高速になり、レスポンスが高速化する。
《サービスアプリ51》
サービスアプリ51は、例えば図4に示す処理ブロックにより実現される。図4は本実施形態に係るサービスアプリの一例の処理ブロック図である。サービスアプリ51はコンピュータシステム500を、認証要求部101、画面処理部102、情報登録要求部103、認証トークン取得要求部104、処理要求部105として機能させる。
認証要求部101は認証処理部71に認証を要求する。画面処理部102は後述の外部サービス情報登録画面の生成など、画面に関する処理を行う。情報登録要求部103は画面処理部102が生成した外部サービス情報登録画面などの画面に入力された情報の登録を認証処理部71に要求する。
認証トークン取得要求部104は外部サービスシステムのWebAPIを利用するために必要となる認証トークンの取得を、認証処理部71に要求する。処理要求部105は認証トークンを利用し、外部サービスシステムのWebAPIに処理を要求する。処理要求部105はデータ処理部74に非同期変換などの非同期処理を要求することもできる。
《認証処理部71》
認証処理部71は例えば図5に示す処理ブロックにより実現される。図5は本実施形態に係る認証処理部の一例の処理ブロック図である。認証処理部71は、認証部111、情報登録部112、認証トークン提供部113、代理認証要求部114、認証トークン保存部115を有する。
認証部111は認証の要求を受け付け、認証チケットを発行する。情報登録部112は情報登録の要求を受け付け、情報を登録する。認証トークン提供部113は認証トークン取得の要求を受け付け、代理認証トークン情報記憶部85に提供できる認証トークンがあれば提供する。
なお、認証トークン提供部113は提供できる認証トークンが無ければ、認証トークンの取得を代理認証要求部114に要求し、取得した認証トークンを提供する。代理認証要求部114は代理認証情報記憶部84に記憶されている代理認証情報を利用して、外部サービスシステムから認証トークンを取得する。認証トークン保存部115は外部サービスシステムから取得した認証トークンを、代理認証トークン情報記憶部85に保存する。
《データ処理部74》
データ処理部74は例えば図6に示す処理ブロックにより実現される。図6は本実施形態に係るデータ処理部の一例の処理ブロック図である。データ処理部74は、非同期Front(フロント)部121、非同期Worker(ワーカ)部122を有する。
非同期Front部121はサービスアプリ51から非同期処理の要求をジョブとして受け付け、データ管理情報記憶部86にジョブとして保存する。データ管理情報記憶部86はメッセージキューとして機能する。
非同期Worker部122はデータ管理情報記憶部86から順次、ジョブを取得して非同期処理を実行する。外部サービスシステムを利用する場合、非同期Worker部122は認証処理部71に外部サービスシステムの認証トークンを要求し、認証トークンを取得する。
《管理データ》
図7は組織管理情報の一例の構成図である。図7の組織管理情報はデータ項目としてid、組織ID、組織名などを有する。idは組織管理情報のレコードを一意に特定する情報である。組織IDは、企業、部署などの組織を一意に特定する情報である。組織IDは組織という言語に限定されるものでなく、例えば契約を識別する情報であってもよい。組織名は組織の名称である。
図8はユーザ管理情報の一例の構成図である。図8のユーザ管理情報はデータ項目としてid、組織ID、ユーザID、パスワード、ユーザ名などを有する。idはユーザ管理情報のレコードを一意に特定する情報である。ユーザID、パスワードはサービス提供システム50の認証基盤においてユーザを特定する情報である。ユーザ名はユーザの名前である。パスワードは必須でない。
さらに、ユーザIDはユーザが所持する電子媒体(例えばICカード)の識別番号などを代わりに用いてもよい。組織IDと対応付けられたユーザID、パスワードは一意であるが、組織IDが異なれば重複していてもよい。
図9は機器管理情報の一例の構成図である。図9の機器管理情報はデータ項目としてid、組織ID、デバイス認証情報、事業所情報、ケーパビリティなどを有する。idは機器管理情報のレコードを一意に特定する情報である。デバイス認証情報はオフィス機器が特定の条件を備えたものであることを判別するデバイス認証のための情報である。デバイス認証情報は特定のアプリケーションが搭載されていることを示すIDや、特定の機器であることを示す機器番号などであってもよい。事業所情報は例えばオフィス機器が設置されている事業所を表している。また、ケーパビリティは例えばオフィス機器の能力を表している。
図10は代理認証情報の一例の構成図である。図10の代理認証情報は、データ項目としてid、組織ID、ユーザID、外部サービス名、外部サービスユーザ名、外部サービスパスワード、付加情報などを有する。idは、代理認証情報のレコードを一意に特定する情報である。
外部サービス名は、外部サービスシステムを一意に特定する情報の一例であって、外部サービスシステムの名称である。外部サービスユーザ名、外部サービスパスワードは外部サービスシステムの認証基盤においてユーザを特定する情報である。
付加情報は、外部サービスシステムから認証トークンを取得する場合に必要となる外部サービスユーザ名、外部サービスパスワード以外の情報であってもよいし、ユーザが代理認証情報を識別するためのメッセージであってもよい。図10の代理認証情報は付加情報として外部サービスシステム固有の情報を登録できるため、特定の外部サービスシステムに依存することなく、簡単に新しい外部サービスシステムを追加できる。
図11は代理認証トークン情報の一例の構成図である。図11の代理認証トークン情報は、データ項目としてid、組織ID、ユーザID、外部サービス名、認証トークン、有効期限などを有する。idは、代理認証トークン情報のレコードを一意に特定する情報である。認証トークンは、外部サービスシステムから取得した認証トークン(アクセスパラメータ)である。有効期限は認証トークンの有効期限である。
<処理の詳細>
以下では、本実施形態に係るシステム1の処理の詳細について説明する。
《代理認証情報の登録》
図12は代理認証情報を登録する処理手順の一例を表したシーケンス図である。図12のシーケンス図は、外部サービスシステムから認証トークンを取得するために必要な外部サービスシステムのアカウント情報などの代理認証情報を登録する処理を示している。
サービスアプリ51はユーザの操作するクライアント端末11などのオフィス機器から組織ID、ユーザID、パスワードなどのアカウント情報を用いたログイン要求を受け付ける。ステップS1において、サービスアプリ51は受け付けたログイン要求に含まれる組織ID、ユーザID、パスワードを用いて認証処理部71に認証を要求する。
認証処理部71はサービスアプリ51から組織ID、ユーザID、パスワードを認証情報として用いた認証の要求を受け付けると、ユーザ管理情報記憶部82に記憶されているユーザ管理情報を参照し、その認証情報の認証を行う。認証情報の認証に成功すると認証処理部71は認証チケットを生成する。ステップS2において、認証処理部71はサービスアプリ51に認証チケットを返す。サービスアプリ51はログイン要求元のオフィス機器に認証チケットを返す。以後、オフィス機器は認証チケットを用いることでサービス提供システム50の機能が利用可能となる。なお、認証処理部71は認証チケットとユーザ情報(組織ID、ユーザIDなど)とを紐付けて管理する。
サービスアプリ51はユーザの操作するオフィス機器から代理認証情報の登録要求を受け付ける。ステップS3において、サービスアプリ51は例えば図13に示すような外部サービス情報登録画面を生成し、ユーザの操作するオフィス機器に外部サービス情報登録画面を表示させる。
図13は外部サービス情報登録画面の一例のイメージ図である。図13の外部サービス情報登録画面1000は、外部サービス名、外部サービスユーザ名、外部サービスパスワード、付加情報を入力させる欄1001と、登録ボタン1002とを有する。ユーザはオフィス機器を操作し、外部サービス情報登録画面1000の欄1001を入力した後で登録ボタン1002を押下する。
登録ボタン1002が押下されると、サービスアプリ51は図12のステップS4以降の処理を開始する。ステップS4において、サービスアプリ51は外部サービス情報登録画面1000の欄1001に入力された情報と、ステップS2で取得した認証チケットとを用いて認証処理部71に外部サービス情報の登録を要求する。
ステップS5において、認証処理部71は外部サービス情報の登録の要求に含まれる認証チケットを用いて、認証チケットに紐付くユーザ情報を取得する。ステップS6において認証処理部71は認証チケットに紐付くユーザ情報と、外部サービス情報登録画面1000の欄1001に入力された情報と、を紐付けて代理認証情報記憶部84に登録する。
なお、外部サービス情報登録画面1000は例えば図14に示すようなユーザ管理情報登録画面1010からユーザが外部サービス設定ボタン1011を押下したとき、ユーザの操作するオフィス機器に表示させるようにしてもよい。図14はユーザ管理情報登録画面の一例のイメージ図である。
また、外部サービス情報登録画面1000は図13の例に限ることなく、例えば図15に示すようであってもよい。図15は外部サービス情報登録画面の他の例のイメージ図である。図15の外部サービス情報登録画面1020は、アカウント、ID、パスワードを入力させる欄1021と、OKボタン1022とを有する。
外部サービス情報登録画面1020のID及びパスワードは図13の外部サービス情報登録画面1000の外部サービスユーザ名及び外部サービスパスワードに相当するものである。また、外部サービス情報登録画面1020のアカウントは図13の外部サービス情報登録画面1000の付加情報に相当するものである。なお、外部サービス情報登録画面1020は外部サービス名と紐付けられているため、図13の外部サービス識別子を入力させる欄が省略されている。
《外部サービスの利用》
図16は外部サービスを利用する処理手順の一例を表したシーケンス図である。図16のシーケンス図は、外部サービスシステムから認証トークンを取得し、その認証トークンを用いて外部サービスを利用する処理を示している。
ステップS11〜S12の処理は図12のステップS1〜S2と同様であるため、説明を省略する。
サービスアプリ51はユーザの操作するオフィス機器から外部サービスとの連携要求を受け付ける。ステップS13において、サービスアプリ51は例えば図17に示すような外部サービス連携要求画面を生成し、ユーザの操作するオフィス機器に外部サービス連携要求画面を表示させる。
図17は外部サービス連携要求画面の一例のイメージ図である。図17の外部サービス連携要求画面1030は、一例としてファイルアップロード連携画面を示している。外部サービス連携要求画面1030は、連携する外部サービスをユーザに選択させるラジオボタン1031と、アップロードボタン1032とを有する。ユーザはオフィス機器を操作して、連携する外部サービスを選択した後でアップロードボタン1032を押下する。
図17の外部サービス連携要求画面1030では、ユーザが連携する外部サービスを選択する例を表している。なお、サービスアプリ51は組織ID及びユーザIDに紐付く外部サービス名を代理認証情報記憶部84から取得することで、代理認証情報が登録済みの外部サービス名を外部サービス連携要求画面1030に表示できる。アップロードボタン1032が押下されると、サービスアプリ51は図16のステップS14以降の処理を開始する。
ステップS14において、サービスアプリ51は外部サービス連携要求画面1030から選択された外部サービスの外部サービス名と、ステップS12で取得した認証チケットとを用いて認証処理部71に認証トークンの取得を要求する。
ステップS15において、認証処理部71は、認証トークンの取得の要求に含まれる認証チケットを用いて、認証チケットに紐付くユーザ情報を取得する。ステップS16において認証処理部71は、認証チケットに紐付くユーザ情報と、外部サービス連携要求画面1030からユーザにより選択された外部サービスの外部サービス名と、に紐付く認証トークンの取得を代理認証トークン情報記憶部85に要求する。
ユーザ情報と外部サービス名とに紐付く認証トークンが代理認証トークン情報記憶部85に保存されていれば、ステップS17において、認証処理部71は代理認証トークン情報記憶部85から認証トークン及び有効期限を取得する。一方、ユーザ情報と外部サービス名とに紐付く認証トークンが代理認証トークン情報記憶部85に保存されていなければ、ステップS17において、認証処理部71は代理認証トークン情報記憶部85から該当する認証トークンが無いことを示すfalseを受信する。
認証処理部71は代理認証トークン情報記憶部85から有効期限内の認証トークンを取得すると、ステップS23において、認証トークンの取得の要求元のサービスアプリ51に認証トークンを提供する。
一方、認証処理部71は代理認証トークン情報記憶部85から有効期限内の認証トークンを取得できなければ、ユーザ情報と外部サービス名とに紐付く外部サービス情報(外部サービスユーザ名、外部サービスパスワード、付加情報)を代理認証情報記憶部84から取得する。ステップS18において認証処理部71はユーザ情報、外部サービス名、外部サービス情報を用いて、代理認証部75に代理認証を要求する。
ステップS19において、代理認証部75は外部サービス名により特定される外部サービスシステムに、外部サービス情報を用いて認証トークンを要求する。ステップS20において、代理認証部75は外部サービスシステムから認証トークンと有効期限とを取得する。ステップS21において、代理認証部75は外部サービスシステムから取得した認証トークンと有効期限とを認証処理部71に提供する。
ステップS22において、認証処理部71は代理認証部75から提供された認証トークンと有効期限とを、ユーザ情報、外部サービス名に紐付けて代理認証トークン情報記憶部85に保存する。その後、ステップS23において、認証処理部71は認証トークンの取得の要求元のサービスアプリ51に認証トークンを提供する。そして、ステップS24以降において、サービスアプリ51は提供された認証トークンを用いて外部サービスシステムのWebAPIに処理を要求できる。
なお、同一のユーザ情報及び外部サービス名に紐付けられた認証トークンは異なるサービスアプリ51間で共有できるため、外部サービスシステムとのセッション情報を削減することができ、外部サービスシステムに与える負荷も下げることができる。
《代理認証情報の登録の他の例》
続いて、図12のシーケンス図を用いて説明した代理認証情報の登録の他の例を図18のフローチャート及び図19の画面遷移図を用いて説明する。図18は代理認証情報を登録する処理手順の他の例を表したフローチャートである。図19は代理認証情報を登録する処理手順における一例の画面遷移図である。図18及び図19は、外部サービスシステムから認証トークンを取得するために必要な外部サービスシステムのアカウント情報などの代理認証情報を登録する処理を示している。
ステップS31において、サービスアプリ51はユーザの操作するオフィス機器に例えば図19の認証画面1040を表示させる。ユーザは認証画面1040にユーザID及びパスワードを入力してログインボタンを押下する。
ログインボタンが押下されると、サービスアプリ51はユーザの操作するオフィス機器からユーザID、パスワード、デバイス認証情報、組織IDを受信する。なお、デバイス認証情報及び組織IDはオフィス機器に予め設定されている。デバイス認証情報はサービス提供システム50にアクセスする(ログインを試みる)オフィス機器におけるサービス利用の正当性を認証する時に用いる情報である。なお、オフィス機器の種類や利用するサービス/機能によっては、デバイス認証情報を要さずにサービス提供システム50にアクセス(ログイン)可能であってよい。
ステップS32において、サービスアプリ51はユーザの操作するクライアント端末11から受信したデバイス認証情報、組織ID、ユーザID、パスワードを用いて認証処理部71に認証を要求する。ステップS33において、認証処理部71はサービスアプリ51からデバイス認証情報、組織ID、ユーザID、パスワードを認証情報として用いた認証の要求を受け付けると、ユーザ管理情報及び機器管理情報を参照し、その認証情報の認証を行う。
認証情報の認証に失敗すると、サービスアプリ51はステップS34に進み、ユーザの操作するオフィス機器に認証失敗を通知する。認証情報の認証に成功すると、サービスアプリ51はステップS35において、ユーザの操作するオフィス機器に例えばログイン後の画面の一例である図19のサービスアプリ選択画面1050を表示させる。ユーザはサービスアプリ選択画面1050から例えばスキャンサービスを選択する。
ステップS36において、スキャンサービスアプリ62はスキャンサービスが選択されると、ユーザの操作するオフィス機器に例えば図19のスキャンサービスアプリ画面1060を表示させる。ユーザはスキャンサービスアプリ画面1060の配信実行ボタン又は新規登録ボタンを押下する。
配信実行ボタンが押下されると、スキャンサービスアプリ62はステップS38において配信処理を実行する。一方、新規登録ボタンが押下されると、スキャンサービスアプリ62はステップS39に進み、新規に登録する配信先として、外部サービスをユーザに選択させる配信先登録画面1070をユーザの操作するオフィス機器に表示させる。
なお、配信先登録画面1070において選択できる外部サービスは、組織IDに予め紐付けられている外部サービスとする。ユーザは配信先登録画面1070において新規に登録する外部サービスを選択した後、次へボタンを押下する。
ステップS40において、スキャンサービスアプリ62はユーザが新規に登録する配信先として選択した外部サービスに応じた配信先登録用画面1080、1090又は1100の何れかを、ユーザの操作するオフィス機器に表示させる。
ステップS41では、付加情報をメッセージとして表示する配信先登録用画面1080をユーザの操作するオフィス機器に表示させる。ステップS42では、付加情報を入力項目として表示する配信先登録用画面1100をユーザの操作するオフィス機器に表示させる。ステップS43では付加情報を表示しない配信先登録用画面1090をユーザの操作するオフィス機器に表示させる。
なお、付加情報がメッセージ表示用の情報であるか、入力項目(値を入力させるための項目名)表示用の情報であるかの区別は、例えばそれぞれ個別の付加情報として(例えばメッセージ表示用を第1の付加情報、入力項目表示用を第2の付加情報とする。)登録し、管理することで可能である。また例えば、付加情報に表示用か入力用かの属性を持たせ、付加情報の登録の際に属性の選択も受け付けて、選択された属性と対応付けて付加情報を管理するようにして区別してもよい。
ユーザはオフィス機器を操作し、配信先登録用画面1080、1090又は1100の何れかに外部サービス情報を入力した後で登録ボタンを押下する。登録ボタンが押下されると、スキャンサービスアプリ62はステップS44以降の処理を開始する。ステップS44において、スキャンサービスアプリ62は配信先登録用画面1080、1090又は1100の何れかに入力された外部サービス情報を受け付ける。
スキャンサービスアプリ62は配信先登録用画面1080、1090又は1100の何れかに入力された外部サービス情報を用いて認証処理部71に外部サービス情報の登録を要求する。認証処理部71は外部サービス情報を用いて、代理認証部75に代理認証を要求する。ステップS45において、代理認証部75は外部サービス名により特定される外部サービスシステムに、外部サービス情報を用いてログイン要求する。ステップS46において、代理認証部75は外部サービス情報を用いた外部サービスシステムへのログインの成功又は失敗を判断し、認証処理部71に通知する。
外部サービス情報を用いた外部サービスシステムへのログインが失敗であれば、認証処理部71はステップS47において、ユーザの操作するオフィス機器に外部サービスシステムへのログイン失敗を通知する。外部サービス情報を用いた外部サービスシステムへのログインが成功であれば、認証処理部71はステップS48において、認証チケットに紐付くユーザ情報と、配信先登録用画面1080、1090又は1100の何れかに入力された外部サービス情報と、を紐付けて代理認証情報記憶部84に登録する。
図18に示した代理認証情報の登録の処理では、外部サービスシステムのログインに必要な外部サービス情報に応じて、配信先登録用画面を異ならせている。また、図18に示した代理認証情報の登録の処理では、外部サービスシステムへのログインが成功することを確認したあとで外部サービス情報を代理認証情報記憶部84に登録できる。
《非同期処理と外部サービスシステムとの連携》
図20は非同期処理と外部サービスシステムとが連携する処理手順の一例を表したシーケンス図である。図20のシーケンス図は、データ処理部74の非同期Worker部122が行う非同期処理の一例としてのOCR変換処理を行った後、外部サービスシステムにアップロードする処理を示している。
図20に示すように非同期処理の一例としてのOCR変換処理を行った後、外部サービスシステムを利用する場合は、非同期Worker部122に外部サービスシステムとのやり取りを依存する。通常、サービスアプリ51が認証処理部71から外部サービスの認証トークンを取得する場合は、認証処理部71の認証チケットが必要となる。
しかし、非同期処理の場合は非同期Worker部122が認証チケットを用いて認証処理部71に外部サービスの認証トークンの取得を要求したとき、認証チケットが期限切れの可能性があった。そこで、本実施形態のサービス提供システム50では非同期Worker部122を信頼し、外部サービスの認証トークンの取得の要求の際の認証チケットを不要としている。
例えば認証処理部71と非同期Worker部122とを同一ネットワークに配置することで、非同期Worker部122を信頼する。同一ネットワークに配置された非同期Worker部122であるか否かは例えばIPアドレスによって判断できる。また、認証処理部71と非同期Worker部122との信頼関係の構築にはネットワーク制御の他に、ベーシック認証などの認証機能の導入も考えられる。
例えばOCR変換処理後に外部サービスシステムへアップロードする処理をユーザから要求されると、サービスアプリ51はステップS51において、ユーザ情報、外部サービス名、ジョブ情報を用いてOCR変換処理後に外部サービスシステムへアップロードする処理を非同期Front部121に要求する。
ステップS52において、非同期Front部121はサービスアプリ51から要求のあったOCR変換処理後に外部サービスシステムへアップロードする処理をジョブとしてデータ管理情報記憶部86に登録する。
非同期処理を行う非同期Worker部122はデータ管理情報記憶部86に登録されたジョブを順次取得して処理する。ステップS53において、非同期Worker部122はデータ管理情報記憶部86に登録されていたOCR変換処理後に外部サービスシステムへアップロードする処理のジョブを取得する。
ステップS55において、非同期Worker部122はジョブ情報により指定されているデータをデータストレージ87から読み出し、OCR変換処理を行う。ステップS56において、非同期Worker部122はユーザ情報、外部サービス名を用いて、認証処理部71に認証トークンの取得を要求する。ステップS57において、認証処理部71はユーザ情報、外部サービス名に紐付く認証トークンの取得を代理認証トークン情報記憶部85に要求する。
ステップS58において、認証処理部71はユーザ情報、外部サービス名に紐付く認証トークンを代理認証トークン情報記憶部85から取得する。ステップS59において、認証処理部71はユーザ情報、外部サービス名に紐付く認証トークンを非同期Worker部122に提供する。
そして、ステップS60において、非同期Worker部122は認証処理部71から提供された認証トークンを用いて、外部サービスシステムにOCR変換処理後のデータをアップロードできる。
また、図21は非同期処理と外部サービスシステムとが連携する処理手順の他の例を表したシーケンス図である。図21のシーケンス図は、図22に示すような代理認証情報を用いるときの処理手順となる。図22は代理認証情報の他の例の構成図である。
図22の代理認証情報は、データ項目としてid、組織ID、ユーザID、外部サービスID、外部サービス名、外部サービスユーザ名、外部サービスパスワード、付加情報などを有する。図22の代理認証情報は、図10の代理認証情報に、データ項目として外部サービスIDが追加されている。
図22の代理認証情報に含まれている外部サービスIDは、組織ID、ユーザID、外部サービスID、外部サービス名、外部サービスユーザ名、外部サービスパスワード、付加情報を一意に特定する情報である。外部サービスIDは、組織ID及びユーザIDにより特定されるユーザが異なれば、同一の外部サービス名であっても異なる。外部サービスIDは例えば認証処理部71が生成し、代理認証情報記憶部84に登録するようにしてもよい。
図21のシーケンス図は一部を除いて図20のシーケンス図と同様であるため、適宜説明を省略する。例えばOCR変換処理後に外部サービスシステムへアップロードする処理をユーザから要求されると、サービスアプリ51はステップS71において、ユーザ情報及びジョブ情報を用いてOCR変換処理後に外部サービスシステムへアップロードする処理を非同期Front部121に要求する。なお、ジョブ情報には、外部サービスシステムへアップロードする処理に対応して、図22の代理認証情報に示した外部サービスIDが指定されているものとする。
ステップS72において、非同期Front部121はサービスアプリ51から要求のあったOCR変換処理後に外部サービスシステムへアップロードする処理をジョブとしてデータ管理情報記憶部86に登録する。
非同期処理を行う非同期Worker部122はデータ管理情報記憶部86に登録されたジョブを順次取得して処理する。ステップS73において、非同期Worker部122はデータ管理情報記憶部86に登録されていたOCR変換処理後に外部サービスシステムへアップロードする処理のジョブを取得する。
ステップS74において、非同期Worker部122は、ジョブ情報により指定されている外部サービスIDから、外部サービスシステムへのアクセスがあるか、否かを判定する。外部サービスシステムへのアクセスがあると判定すると、非同期Worker部122はジョブ情報により指定されているデータをOCR変換処理したあと、外部サービスIDを用いて、認証処理部71に認証トークンの取得を要求する。
ステップS77において、認証処理部71は外部サービスIDに紐付くユーザ情報及び外部サービス名を特定したあと、ユーザ情報及び外部サービス名と指定して認証トークンの取得を代理認証トークン情報記憶部85に要求する。
ステップS78において、認証処理部71はユーザ情報、外部サービス名に紐付く認証トークンを代理認証トークン情報記憶部85から取得する。ステップS79において、認証処理部71は外部サービスIDに紐付く認証トークンを非同期Worker部122に提供する。
そして、ステップS80において、非同期Worker部122は認証処理部71から提供された認証トークンを用いて、外部サービスシステムにOCR変換処理後のデータをアップロードできる。なお、ステップS74において、外部サービスシステムへのアクセスがない(非連携処理である)と判定するとステップS76以降の処理を行わない。
<まとめ>
本実施形態に係るシステム1によれば、外部サービスを利用する場合であってもサービスアプリ51毎に、外部サービスシステムの認証情報を登録する機能や保存する機能、外部サービスシステムから認証トークンを取得する機能の実装・テストを行う必要が無くなるため、サービスアプリ51の開発工数を削減できる。また、本実施形態に係るシステム1によれば、外部サービスシステムの認証トークンをサービスアプリ51毎に管理する必要がなく、セキュリティが向上する。
本実施形態に係るシステム1によれば、異なる認証基盤を持つサービス提供システム50及び外部サービスシステムであっても、ユーザによる一度の認証処理によってサービス提供システム50の認証基盤が外部サービスシステムの認証基盤との連携処理を行うことにより、ユーザにとってのシングルサインオンを実現できる。
本発明は、具体的に開示された上記の実施形態に限定されるものではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。
なお、特許請求の範囲に記載した第一のサービス提供システムはサービス提供システム50に相当し、第二のサービス提供システムは外部サービスシステムに相当する。サービス提供装置はサービス提供システム50に相当する。認証後の権限情報は認証トークンに相当する。権限情報取得要求手段は認証トークン取得要求部104に相当し、第一の記憶手段は代理認証トークン情報記憶部85に相当し、第二の記憶手段は代理認証情報記憶部84に相当し、代理認証手段は代理認証要求部114に相当する。
権限情報提供手段は認証トークン提供部113に相当し、認証情報登録手段は情報登録部112に相当し、権限情報保存手段は認証トークン保存部115に相当し、処理要求手段は処理要求部105に相当し、第三の記憶手段はデータ管理情報記憶部86に相当し、処理受付手段は非同期Front部121に相当し、処理実行手段は非同期Worker部122に相当する。
1 システム
11 クライアント端末
12 携帯端末
14 画像形成装置
15 プロジェクタ
16 その他の機器
21、31 アクセス制御装置
22 プリントサービス提供装置
23 スキャンサービス提供装置
24 ポータルサービス提供装置
25 他サービス提供装置
32 外部サービス提供装置
50 サービス提供システム
51 サービスアプリ
52 プラットフォーム
53 管理データ記憶部53
54 プラットフォームAPI(Application Programming Interface)
61 プリントサービスアプリ
62 スキャンサービスアプリ
63 ポータルサービスアプリ
64 その他のサービスアプリ
71 認証処理部
72 機器通信部
73 セッション管理部
74 データ処理部
75 代理認証部
81 組織管理情報記憶部
82 ユーザ管理情報記憶部
83 機器管理情報記憶部
84 代理認証情報記憶部
85 代理認証トークン情報記憶部
86 データ管理情報記憶部
87 データストレージ
101 認証要求部
102 画面処理部
103 情報登録要求部
104 認証トークン取得要求部
105 処理要求部
111 認証部
112 情報登録部
113 認証トークン提供部
114 代理認証要求部
115 認証トークン保存部
121 非同期Front(フロント)部
122 非同期Worker(ワーカ)部
500 コンピュータシステム
501 入力装置
502 表示装置
503 外部I/F
503a 記録媒体
504 RAM
505 ROM
506 CPU
507 通信I/F
508 HDD
B バス
FW ファイアウォール
N1〜N4 ネットワーク
特開2003−296277号公報

Claims (10)

  1. 機器にサービスを提供する第一のサービス提供システムと、前記第一のサービス提供システムと認証基盤が異なる第二のサービス提供システムと、を有するシステムであって、
    ユーザが操作する機器から前記第二のサービス提供システムを利用する処理の要求を受け付け、前記第二のサービス提供システムを利用するための認証後の権限情報の取得要求を行う権限情報取得要求手段と、
    前記認証後の権限情報を記憶する第一の記憶手段に、前記ユーザと紐付く前記認証後の権限情報が記憶されていなければ、前記第二のサービス提供システムの認証情報を記憶する第二の記憶手段から前記第二のサービス提供システムの認証情報を取得し、前記認証情報を用いて前記第二のサービス提供システムから前記認証後の権限情報を取得する代理認証手段と、
    前記第一の記憶手段に前記ユーザと紐付く前記認証後の権限情報が記憶されていれば前記第一の記憶手段に記憶されている前記認証後の権限情報を提供し、前記第一の記憶手段に前記ユーザと紐付く前記認証後の権限情報が記憶されていなければ、前記第二のサービス提供システムから取得した前記認証後の権限情報を提供する権限情報提供手段と、
    を有するシステム。
  2. 前記第二のサービス提供システムの認証情報の登録要求を受け付け、前記第二のサービス提供システムの認証情報を前記ユーザのユーザ情報と紐付けて、前記第二の記憶手段に登録する認証情報登録手段
    を更に有する請求項1記載のシステム。
  3. 前記第二のサービス提供システムから取得した前記認証後の権限情報を、前記ユーザのユーザ情報及び前記第二のサービス提供システムの識別情報と紐付けて、前記第一の記憶手段に保存する権限情報保存手段
    を更に有する請求項1又は2記載のシステム。
  4. 前記第一の記憶手段に前記ユーザと紐付く期限切れの前記認証後の権限情報が記憶されているとき、
    前記代理認証手段は、前記第二の記憶手段から前記第二のサービス提供システムの認証情報を取得して、前記認証情報を用いて前記第二のサービス提供システムから前記認証後の権限情報を取得し、
    前記権限情報提供手段は、前記第二のサービス提供システムから取得した前記認証後の権限情報を提供する
    ことを特徴とする請求項1乃至3何れか一項記載のシステム。
  5. 前記第二の記憶手段は、前記第二のサービス提供システムの認証情報として、前記第二のサービス提供システムの認証基盤において前記ユーザを特定する情報の他、付加情報を記憶でき、
    前記認証情報登録手段は、前記第二のサービス提供システムに認証するための情報として前記付加情報の登録要求を受け付ける
    ことを特徴とする請求項2記載のシステム。
  6. 前記認証情報登録手段は、前記第二のサービス提供システムの認証情報を識別するための情報として前記付加情報の登録要求を受け付ける
    ことを特徴とする請求項5記載のシステム。
  7. 提供された前記認証後の権限情報を用いて、前記第二のサービス提供システムに処理を要求する処理要求手段
    を更に有する請求項1乃至4何れか一項記載のシステム。
  8. 前記処理要求手段から非同期処理と前記第二のサービス提供システムとを連携させる連携処理の要求を受け付け、前記連携処理の情報を第三の記憶手段に登録する処理受付手段と、
    前記第三の記憶手段から前記連携処理の情報を取得し、前記非同期処理を行ったあとに前記第一の記憶手段から前記ユーザと紐付く前記認証後の権限情報を取得し、取得した前記認証後の権限情報を用いて、前記第二のサービス提供システムに処理を要求する処理実行手段と
    を更に有する請求項7記載のシステム。
  9. 前記処理受付手段は、前記処理要求手段から非同期処理と前記第二のサービス提供システムとを連携させない非連携処理の要求を受け付け、前記非連携処理の情報を第三の記憶手段に登録し、
    前記処理実行手段は、前記第三の記憶手段から前記連携処理の情報を取得すると、前記非同期処理を行ったあとに前記第一の記憶手段から前記ユーザと紐付く前記認証後の権限情報を取得し、取得した前記認証後の権限情報を用いて、前記第二のサービス提供システムに処理を要求し、前記第三の記憶手段から前記非連携処理の情報を取得すると、前記第二のサービス提供システムとの連携を行うことなく前記非同期処理を行うこと
    を特徴とする請求項8記載のシステム。
  10. 機器にサービスを提供するサービス提供装置であって、
    ユーザが操作する機器から認証基盤が異なるサービス提供システムを利用する処理の要求を受け付け、前記サービス提供システムを利用するための認証後の権限情報の取得要求を行う権限情報取得要求手段と、
    前記認証後の権限情報を記憶する第一の記憶手段に、前記ユーザと紐付く前記認証後の権限情報が記憶されていなければ、前記サービス提供システムの認証情報を記憶する第二の記憶手段から前記サービス提供システムの認証情報を取得し、前記認証情報を用いて前記サービス提供システムから前記認証後の権限情報を取得する代理認証手段と、
    前記第一の記憶手段に前記ユーザと紐付く前記認証後の権限情報が記憶されていれば前記第一の記憶手段に記憶されている前記認証後の権限情報を提供し、前記第一の記憶手段に前記ユーザと紐付く前記認証後の権限情報が記憶されていなければ、前記サービス提供システムから取得した前記認証後の権限情報を提供する権限情報提供手段と、
    を有するサービス提供装置。
JP2013207070A 2012-10-31 2013-10-02 システム及びサービス提供装置 Active JP6255858B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2013207070A JP6255858B2 (ja) 2012-10-31 2013-10-02 システム及びサービス提供装置
US14/065,573 US9294484B2 (en) 2012-10-31 2013-10-29 System, service providing device, and service providing method

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2012241367 2012-10-31
JP2012241367 2012-10-31
JP2013207070A JP6255858B2 (ja) 2012-10-31 2013-10-02 システム及びサービス提供装置

Publications (2)

Publication Number Publication Date
JP2014112354A true JP2014112354A (ja) 2014-06-19
JP6255858B2 JP6255858B2 (ja) 2018-01-10

Family

ID=50548769

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013207070A Active JP6255858B2 (ja) 2012-10-31 2013-10-02 システム及びサービス提供装置

Country Status (2)

Country Link
US (1) US9294484B2 (ja)
JP (1) JP6255858B2 (ja)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9164710B2 (en) 2013-07-26 2015-10-20 Ricoh Company, Ltd. Service providing system and service providing method
US9189187B2 (en) 2013-07-30 2015-11-17 Ricoh Company, Ltd. Service providing system and service providing method for providing a service to a service usage device connected via a network
JP2016042327A (ja) * 2014-08-19 2016-03-31 株式会社リコー 情報処理システム及び認証方法
US9430637B2 (en) 2013-07-26 2016-08-30 Ricoh Company, Ltd. Service providing system and information gathering method
JP2017072890A (ja) * 2015-10-05 2017-04-13 株式会社リコー サービス提供システム、情報処理装置、プログラム及び情報処理システム
JP2017102882A (ja) * 2015-11-25 2017-06-08 株式会社リコー 情報処理装置、端末装置、プログラム及び情報処理システム
JP2017188880A (ja) * 2016-03-31 2017-10-12 京セラドキュメントソリューションズ株式会社 画像読取装置、画像読取システム、画像読取方法及び画像読取プログラム
JP2018136909A (ja) * 2016-11-01 2018-08-30 株式会社リコー 情報処理装置、情報処理システム及びプログラム
US10469709B2 (en) 2016-11-15 2019-11-05 Ricoh Company, Ltd. Devices, systems, and methods for controlling a link with a storage server
JP2019207656A (ja) * 2018-05-30 2019-12-05 日本電信電話株式会社 管理装置、管理方法及び管理プログラム
JP2020068031A (ja) * 2018-10-18 2020-04-30 フリュー株式会社 プログラム、管理方法、管理サーバ及び通信端末

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6287401B2 (ja) * 2014-03-18 2018-03-07 富士ゼロックス株式会社 中継装置、システム及びプログラム
JP6582832B2 (ja) * 2015-09-30 2019-10-02 株式会社リコー 電子機器、情報処理システム及び外部連携方法
US10291620B2 (en) * 2015-11-25 2019-05-14 Ricoh Company, Ltd. Information processing apparatus, terminal apparatus, program, and information processing system for collaborative use of authentication information between shared services
US11755363B2 (en) * 2016-12-19 2023-09-12 Vmware, Inc. Framework for workflow extensibility in a cloud computing system
US10462124B2 (en) 2016-12-30 2019-10-29 Google Llc Authenticated session management across multiple electronic devices using a virtual session manager
US10541992B2 (en) * 2016-12-30 2020-01-21 Google Llc Two-token based authenticated session management
CN107544765A (zh) * 2017-09-22 2018-01-05 重庆亚能软件开发有限公司 一种订单打印系统及方法
JP7077688B2 (ja) * 2018-03-15 2022-05-31 株式会社リコー 情報処理システム、情報処理装置、情報処理方法及びプログラム
JP7456217B2 (ja) 2020-03-18 2024-03-27 株式会社リコー 情報処理システム、ユーザー作成方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010108396A (ja) * 2008-10-31 2010-05-13 Brother Ind Ltd ネットワーク装置
JP2011191888A (ja) * 2010-03-12 2011-09-29 Canon Inc 画像形成装置、制御方法、及びプログラム

Family Cites Families (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7302402B2 (en) * 1998-03-30 2007-11-27 International Business Machines Corporation Method, system and program products for sharing state information across domains
US6606663B1 (en) * 1998-09-29 2003-08-12 Openwave Systems Inc. Method and apparatus for caching credentials in proxy servers for wireless user agents
JP4529213B2 (ja) * 2000-01-19 2010-08-25 富士ゼロックス株式会社 要素編成支援装置及び要素編成支援プログラムが記録された記憶媒体
US7421731B2 (en) * 2001-02-23 2008-09-02 Microsoft Corporation Transparent authentication using an authentication server
US20020150253A1 (en) * 2001-04-12 2002-10-17 Brezak John E. Methods and arrangements for protecting information in forwarded authentication messages
US7360034B1 (en) * 2001-12-28 2008-04-15 Network Appliance, Inc. Architecture for creating and maintaining virtual filers on a filer
JP2003296277A (ja) 2002-03-29 2003-10-17 Fuji Xerox Co Ltd ネットワーク装置、認証サーバ、ネットワークシステム、認証方法
US7461251B2 (en) * 2002-05-09 2008-12-02 Canon Kabushiki Kaisha Public key certification issuing apparatus
EP1508236B1 (en) * 2002-05-24 2007-07-11 Telefonaktiebolaget LM Ericsson (publ) Method for authenticating a user to a service of a service provider
US7747856B2 (en) * 2002-07-26 2010-06-29 Computer Associates Think, Inc. Session ticket authentication scheme
US7568218B2 (en) * 2002-10-31 2009-07-28 Microsoft Corporation Selective cross-realm authentication
US7684432B2 (en) * 2003-05-15 2010-03-23 At&T Intellectual Property I, L.P. Methods of providing data services over data networks and related data networks, data service providers, routing gateways and computer program products
JP4467256B2 (ja) 2003-06-19 2010-05-26 富士通株式会社 代理認証プログラム、代理認証方法、および代理認証装置
JP4039632B2 (ja) * 2003-08-14 2008-01-30 インターナショナル・ビジネス・マシーンズ・コーポレーション 認証システム、サーバおよび認証方法並びにプログラム
WO2006006704A2 (en) * 2004-07-09 2006-01-19 Matsushita Electric Industrial Co., Ltd. System and method for managing user authentication and service authorization to achieve single-sign-on to access multiple network interfaces
US8607322B2 (en) * 2004-07-21 2013-12-10 International Business Machines Corporation Method and system for federated provisioning
US7698734B2 (en) * 2004-08-23 2010-04-13 International Business Machines Corporation Single sign-on (SSO) for non-SSO-compliant applications
US8887233B2 (en) * 2005-04-08 2014-11-11 Netapp, Inc. Cookie-based acceleration of an authentication protocol
JP4960685B2 (ja) 2005-11-22 2012-06-27 株式会社リコー サービス処理システムおよびサービス処理制御方法
US8006289B2 (en) 2005-12-16 2011-08-23 International Business Machines Corporation Method and system for extending authentication methods
US7904949B2 (en) * 2005-12-19 2011-03-08 Quest Software, Inc. Apparatus, systems and methods to provide authentication services to a legacy application
US20070245414A1 (en) * 2006-04-14 2007-10-18 Microsoft Corporation Proxy Authentication and Indirect Certificate Chaining
US8151116B2 (en) * 2006-06-09 2012-04-03 Brigham Young University Multi-channel user authentication apparatus system and method
TWI366375B (en) * 2006-08-22 2012-06-11 Interdigital Tech Corp Method and apparatus for providing trusted single sign-on access to applications and internet-based services
KR101319491B1 (ko) * 2006-09-21 2013-10-17 삼성전자주식회사 도메인 정보를 설정하기 위한 장치 및 방법
CN101616136B (zh) * 2008-06-26 2013-05-01 阿里巴巴集团控股有限公司 一种提供互联网服务的方法及服务集成平台系统
EP2308254B1 (en) * 2008-07-31 2014-06-18 Telefonaktiebolaget L M Ericsson (PUBL) Methods, nodes, system, computer programs and computer program products for secure user subscription or registration
MX2011002716A (es) * 2008-09-12 2011-04-21 Nokia Siemens Networks Oy Metodos, aparatos y productos de programa de computadora para obtener credenciales de usuario para una aplicacion del sistema de administracion de identidad.
US8584221B2 (en) * 2009-10-23 2013-11-12 Microsoft Corporation Authenticating using cloud authentication
US8509431B2 (en) * 2010-09-20 2013-08-13 Interdigital Patent Holdings, Inc. Identity management on a wireless device
US8561165B2 (en) * 2011-10-21 2013-10-15 Cellco Partnership Centralized authentication for multiple applications
JP2013178748A (ja) 2012-02-01 2013-09-09 Ricoh Co Ltd 情報処理装置、プログラム、情報処理システム及びデータ変換処理方法
US20130205133A1 (en) * 2012-02-07 2013-08-08 David K. Hess Strongly authenticated, third-party, out-of-band transactional authorization system
US8850187B2 (en) * 2012-05-17 2014-09-30 Cable Television Laboratories, Inc. Subscriber certificate provisioning

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010108396A (ja) * 2008-10-31 2010-05-13 Brother Ind Ltd ネットワーク装置
JP2011191888A (ja) * 2010-03-12 2011-09-29 Canon Inc 画像形成装置、制御方法、及びプログラム

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9430637B2 (en) 2013-07-26 2016-08-30 Ricoh Company, Ltd. Service providing system and information gathering method
US9164710B2 (en) 2013-07-26 2015-10-20 Ricoh Company, Ltd. Service providing system and service providing method
US9189187B2 (en) 2013-07-30 2015-11-17 Ricoh Company, Ltd. Service providing system and service providing method for providing a service to a service usage device connected via a network
JP2016042327A (ja) * 2014-08-19 2016-03-31 株式会社リコー 情報処理システム及び認証方法
JP2017072890A (ja) * 2015-10-05 2017-04-13 株式会社リコー サービス提供システム、情報処理装置、プログラム及び情報処理システム
JP2020064660A (ja) * 2015-11-25 2020-04-23 株式会社リコー 情報処理装置、端末装置、プログラム及び情報処理システム
JP2017102882A (ja) * 2015-11-25 2017-06-08 株式会社リコー 情報処理装置、端末装置、プログラム及び情報処理システム
JP2017188880A (ja) * 2016-03-31 2017-10-12 京セラドキュメントソリューションズ株式会社 画像読取装置、画像読取システム、画像読取方法及び画像読取プログラム
JP2018136909A (ja) * 2016-11-01 2018-08-30 株式会社リコー 情報処理装置、情報処理システム及びプログラム
US10469709B2 (en) 2016-11-15 2019-11-05 Ricoh Company, Ltd. Devices, systems, and methods for controlling a link with a storage server
JP2019207656A (ja) * 2018-05-30 2019-12-05 日本電信電話株式会社 管理装置、管理方法及び管理プログラム
JP2020068031A (ja) * 2018-10-18 2020-04-30 フリュー株式会社 プログラム、管理方法、管理サーバ及び通信端末
JP7477743B2 (ja) 2018-10-18 2024-05-02 フリュー株式会社 プログラム、管理方法、管理サーバ及び通信端末

Also Published As

Publication number Publication date
JP6255858B2 (ja) 2018-01-10
US9294484B2 (en) 2016-03-22
US20140123239A1 (en) 2014-05-01

Similar Documents

Publication Publication Date Title
JP6255858B2 (ja) システム及びサービス提供装置
JP6056384B2 (ja) システム及びサービス提供装置
JP6476760B2 (ja) 情報処理システム、情報処理装置、ログイン方法、及びプログラム
US9608972B2 (en) Service providing system and data providing method that convert a process target data into output data with a data format that a service receiving apparatus is able to output
JP6111713B2 (ja) 情報処理システム、情報処理装置、認証情報管理方法及びプログラム
JP6064636B2 (ja) 情報処理システム、情報処理装置、認証方法及びプログラム
JP2017033339A (ja) サービス提供システム、情報処理装置、プログラム及びサービス利用情報作成方法
JP7322619B2 (ja) コンピュータシステム、ログイン画面表示方法、プログラム
JP6938983B2 (ja) 情報処理システム、情報処理装置及び情報処理方法
JP2015032043A (ja) サービス提供システム、サービス提供方法およびプログラム
JP5991143B2 (ja) 情報処理装置、システム及び情報登録方法
US20160127610A1 (en) Data processing system and data processing method
JP6451888B2 (ja) 情報処理装置、システム及びプログラム
JP6303312B2 (ja) サービス提供システム及び画像提供方法
JP6075011B2 (ja) 情報処理装置、システム及び情報提供方法
JP6237868B2 (ja) クラウドサービス提供システム及びクラウドサービス提供方法
EP3767497A1 (en) Cloud system, information processing system, and user registration method
JP2015032042A (ja) サービス提供システム、サービス提供方法およびプログラム
JP6303317B2 (ja) サービス提供システム、サービス提供方法およびプログラム
JP6303316B2 (ja) サービス提供システム、サービス提供方法およびプログラム
JP6690186B2 (ja) サービス提供システム、サービス提供方法、情報処理装置及びプログラム
JP2015032041A (ja) サービス提供システム、サービス提供方法およびプログラム
JP6844666B2 (ja) 情報処理システム、情報処理方法、サービス利用装置、及びプログラム
JP6299101B2 (ja) サービス提供システム、サービス提供方法及びプログラム
US11671426B2 (en) Information processing apparatus and non-transitory computer readable medium of performing setting for multi-step authentication

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160926

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170818

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170905

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171027

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171107

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171120

R151 Written notification of patent or utility model registration

Ref document number: 6255858

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151