JP2016024618A - 画像形成装置 - Google Patents

画像形成装置 Download PDF

Info

Publication number
JP2016024618A
JP2016024618A JP2014148180A JP2014148180A JP2016024618A JP 2016024618 A JP2016024618 A JP 2016024618A JP 2014148180 A JP2014148180 A JP 2014148180A JP 2014148180 A JP2014148180 A JP 2014148180A JP 2016024618 A JP2016024618 A JP 2016024618A
Authority
JP
Japan
Prior art keywords
user
access right
image forming
forming apparatus
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2014148180A
Other languages
English (en)
Other versions
JP6262089B2 (ja
Inventor
智昭 大久保
Tomoaki Okubo
智昭 大久保
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Data Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Data Corp filed Critical Oki Data Corp
Priority to JP2014148180A priority Critical patent/JP6262089B2/ja
Publication of JP2016024618A publication Critical patent/JP2016024618A/ja
Application granted granted Critical
Publication of JP6262089B2 publication Critical patent/JP6262089B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Accessory Devices And Overall Control Thereof (AREA)
  • Facsimiles In General (AREA)

Abstract

【課題】ロールベースでのアクセス権の制御を実行しつつ、ユーザベースでのアクセス権の変更要求も処理する画像形成装置を提供する。
【解決手段】画像形成装置100は、所定の機能の処理を実行可能な1又は複数の機能実行部と、ユーザごとの各機能実行部に対する実行可否がロールベースの形式で記述された設定データを保持するデータ記憶部115と、ユーザごとの各機能実行部に対する実行可否を、設定データを用いて管理するユーザアクセス権設定変換部112とを備える。ユーザアクセス権設定変換部112は、設定データにそれぞれの機能実行部に対応するロールを予め設定し、いずれかのユーザに対していずれかの機能実行部に対する実行可否の設定要求を受付けると、設定要求に基づいて、ユーザに対して機能実行部に対応するロールの割当又は割当解除の設定を設定データに行う。
【選択図】図1

Description

この発明は、画像形成装置に関し、例えば、ロールベースのアクセス制御を行う複合機に適用し得る。
従来、ロールベースでユーザに対して各機能のアクセス制御を行う複合機として、特許文献1の記載技術がある。
特許文献1に記載された複合機では、当該複合機の各機能に対する実行可否のパターンをアクセス権としてロールに割り当て、各ロールをユーザに割り当てることで、ユーザに対するアクセス権を設定する。
特許文献1に記載の複合機では、ロールを介してアクセス権を設定することで、ユーザに対する権限の設定・変更を一括して行うことが可能となっている。
特開2006−053855号公報
しかしながら、従来のロールベースでユーザに対してアクセス制御を行う複合機では、ロールベースではなくユーザ単位(ユーザベース)での直接的なアクセス権の制御処理を受付けることができないという問題があった。
例えば、ロールベースでアクセス制御を行う複合機において、ユーザベースでアクセス制御を管理するユーザインタフェース(操作画面)や、ユーザベースでアクセス制御を管理するサーバからのアクセス権の変更要求(ユーザベースでのアクセス権の変更要求)があった場合、そのアクセス権の変更要求の受付けを行うことができないという問題がある。
そのため、ロールベースでのアクセス権の制御を実行しつつ、ユーザベースでのアクセス権の変更要求も処理することができる画像形成装置が望まれている。
本発明の画像形成装置は、(1)所定の機能の処理を実行可能な1又は複数の機能実行部と、(2)ユーザごとの各機能実行部に対する実行可否がロールベースの形式で記述された設定データを保持する設定データ保持部と、(3)ユーザごとの各機能実行部に対する実行可否を、前記設定データを用いて管理するアクセス権管理部とを備え、(4)前記アクセス権管理部は、前記設定データにそれぞれの前記機能実行部に対応するロールを予め設定し、いずれかのユーザに対していずれかの機能実行部に対する実行可否の設定要求を受付けると、当該設定要求に基づいて、当該ユーザに対して当該機能実行部に対応するロールを割当て又は割当解除の設定を前記設定データに行うことを特徴とする。
本発明によれば、ロールベースでのアクセス権の制御を実行しつつ、ユーザベースでのアクセス権の変更要求も受付ける画像形成装置を提供することができる。
第1の実施形態に係る画像形成装置を含む画像形成システムの構成例について示したブロック図である。 第1の実施形態に係るアクセス権管理サーバの機能的構成について示したブロック図である、 第1の実施形態に係るアクセス権管理サーバで保持されるユーザアクセス権管理データの概念的構成の例について示した説明図である。 第1の実施形態に係る画像形成装置で保持されるユーザアクセス権管理データ(通常ロールベース)の概念的構成の例について示した説明図である。 第1の実施形態に係る画像形成装置で保持されるユーザアクセス権管理データ(疑似ユーザベース)の概念的構成の例について示した説明図である。 第1の実施形態に係るアクセス権管理サーバの動作について示したフローチャートである。 第1の実施形態に係る画像形成装置の動作について示したフローチャート(その1)である。 第2の実施形態に係る画像形成装置の動作について示したフローチャート(その2)である。 第1の実施形態に係る画像形成装置の動作について示したフローチャート(その3)である。 第2の実施形態に係る画像形成装置で保持されるユーザアクセス権管理データ(疑似ユーザベース)の概念的構成の例について示した説明図である。
(A)第1の実施形態
以下、本発明による画像形成装置の第1の実施形態を、図面を参照しながら詳述する。なお、以下では本発明の画像形成装置を複合機に適用した例について説明する。
(A−1)第1の実施形態の構成
図1は、第1の実施形態の画像形成装置100を含む画像形成システム1の構成例について示した説明図である。また、図1では、第1の実施形態に係る画像形成装置100の機能的構成についても図示されている。
画像形成システム1には、ネットワークN(この実施形態ではLAN)が配置されており、ネットワークNには画像形成装置100、400、アクセス権管理サーバ200及びPC300が接続され、相互に通信可能な構成となっている。
画像形成装置100は、本発明の画像形成装置を適用した複合機であり、ロールベースでのユーザのアクセス制御に対応している。
画像形成装置400は、ユーザベースでのユーザのアクセス制御に対応している複合機である。なお、画像形成装置400自体は、従来のユーザベースでのユーザのアクセス制御に対応している複合機を適用することができるため詳しい構成説明を省略する。
なお、画像形成システム1において、本発明の画像形成装置100の台数と、ユーザベースのアクセス制御に対応している画像形成装置400の台数は限定されないものである。また、画像形成システム1において、ユーザベースのアクセス制御に対応している画像形成装置400は省略するようにしてもよい。
アクセス権管理サーバ200は、ユーザベースでのアクセス権のデータを管理し、そのデータを各画像形成装置300、400に提供するサーバである。
次に、画像形成装置100の内部構成について説明する。
図1に示すように、画像形成装置100は、制御部110、操作部120、読取部130、印刷部140、通信インタフェース部150、及びFAX通信部160を有している。
制御部110は、画像形成装置100の各構成要素に対する制御、及び画像形成装置100内で必要となるデータ処理等の機能を担っている。
操作部120は、制御部110の制御に従って、ユーザへの情報提示やユーザからの操作受付を行う機能を担っている。操作部120としては、例えば、図示しないタッチパネルディスプレイやハードキー等を適用することができる。
読取部130は、制御部110の制御に従って、原稿を読み取り(スキャン)し、その読み取った画像(画像データ)を保持する機能を担っている。
印刷部140は、制御部110の制御に従って、印刷用紙(媒体)に印刷(画像形成)する機能を担っている。
通信インタフェース部150は、ネットワークNに接続する通信インタフェースの機能を担っている。画像形成装置100では、通信インタフェース部150を介して外部装置と通信することができる。この実施形態では、画像形成装置100は、PC300、画像形成装置400、及び図示しないメールサーバ(電子メール送信を行う際に最初に経由するメールサーバ)と通信することができるものとする。
FAX通信部160は、図示しない電話通信網(例えば、公衆電話網)に接続し、制御部110の制御にしたがってFAX送受信(FAX信号の送受信)を実行する機能を担っている。
次に、画像形成装置100が対応する各機能の構成(各機能実行部の構成)について説明する。なお、画像形成装置100が対応する機能の数や組合せ(搭載する機能実行部の組合せ)については限定されないものである。
画像形成装置100は、読取部130で読み取った原稿を印刷部140で印刷するコピー機能に対応している。なお、この実施形態において、コピー機能は、モノクロでのコピーを実行する「モノクロコピー機能」と、カラーでのコピーを実行する「カラーコピー機能」に分類されるものとする。
また、画像形成装置100は、通信インタフェース部150から受信した印刷データを印刷部140で印刷する印刷機能に対応している。なお、この実施形態において、印刷機能は、モノクロでの印刷を実行する「モノクロ印刷機能」と、カラーでの印刷を実行する「カラー印刷機能」に分類されるものとする。また、画像形成装置100が受信する印刷データには、ユーザの認証情報(ユーザ名+パスワード)と画像データが含まれているものとする。
さらに、画像形成装置100は、読取部130で読み取った画像データを、インタフェース部109を介して電子メール送信するEメール送信機能に対応している。
さらにまた、画像形成装置100は、操作部120から、アドレス帳(電子メールやFAXにより画像送信する際の宛先一覧)を編集するアドレス帳編集機能に対応している。
また、画像形成装置100は、操作部120から、装置設定(例えば、ネットワーク設定等)を変更する設定変更機能に対応している。
次に、アクセス権管理サーバ200の内部構成について図2を用いて説明する。
図2は、アクセス権管理サーバ200内部の機能的構成について示したブロック図である。
アクセス権管理サーバ200は、機能的には、全体の制御や各種情報処理を実行する制御部210と、ネットワークNに接続するための通信インタフェース220とを有している。そして、制御部210は、ユーザアクセス権管理部211を有している。
ユーザアクセス権管理部211は、各画像形成装置に配信するためのユーザアクセス権管理データ211aを有している。
この実施形態では、アクセス権管理サーバ200で管理されるユーザアクセス権管理データ211aは、ユーザベースでアクセス権(画像形成装置における各機能の実行可否)が記述されているものとする。
図3は、ユーザアクセス権管理データ211aの概念的構成の例につい示した説明図である。
図3では、各ユーザU(U1、U2、U3、…)に対して、それぞれ、機能ごとにアクセス権が記述されたアクセス権記述データD(D1、D2、D3、…)が割当て(リンク)されている。
この実施形態では、アクセス権記述データDは、「モノクロコピー」、「カラーコピー」、「モノクロ印刷」、「カラー印刷」、「Eメール送信」、「アドレス帳編集」、「設定変更」の7つの項目で構成されているものとする。なお、アクセス権記述データDを構成する項目の数や組合せは限定されないものである。そして、アクセス権記述データDを構成する「モノクロコピー」、「カラーコピー」、「モノクロ印刷」、「カラー印刷」、「Eメール送信」、「アドレス帳編集」、及び「設定変更」は、それぞれ、上述の「モノクロコピー機能」、「カラーコピー機能」、「モノクロ印刷機能」、「カラー印刷機能」、「Eメール送信機能」、「アドレス帳編集機能」、及び「設定変更機能」のアクセス権(実行可否、実行権限)を示している。
アクセス権記述データDでは、各機能に対する設定値として、禁止(実行不可)であることを示す「1」、許可(実行不可)であることを示す「2」のいずれかの値が設定されるものとする。例えば、図3では、ユーザU1割り当てられたアクセス権記述データD1のモノクロコピーの項目には「2」が設定されている。したがって、図3では、ユーザU1に対してはモノクロコピー機能のアクセス権は許可(実行許可)であることが示されていることになる。
ユーザアクセス権管理部220は、図3に示すような、ユーザベースで記述されたユーザアクセス権管理データ211aのデータを、画像形成装置100及び画像形成装置400に供給する処理を行う。そして、画像形成装置100及び画像形成装置400は、アクセス権管理サーバ200(ユーザアクセス権管理部220)から供給されたデータに基づいて、自装置の設定を行うことになる。
次に、画像形成装置100を構成する制御部110の内部構成について説明する。
制御部110は、承認部111、アクセス権管理部としてのユーザアクセス権設定変換部112、コマンド受付け部113、認証部114、及び設定データ保持部としてのデータ記憶部115を有している。データ記憶部115には、ユーザ認証データ115a、設定データとしてのユーザアクセス権管理データ115b、及びデータ形式管理フラグ115cが記憶されている。
なお、制御部110は、例えばメモリとプロセッサとを有するコンピュータに実施形態の制御プログラム(図1に示す制御部110内の各構成要素に対応するプログラム)をインストールすることにより構成するようにしてもよい。
ユーザ認証データ115aには、ユーザの認証情報としてユーザ名とパスワードが対応付けて登録されているものとする。また、ユーザアクセス権管理データ115bは、各ユーザのアクセス権(実行権限)についてロールベースで記述されたデータ(設定データ)であるものとする。さらに、データ形式管理フラグ115cは、ユーザアクセス権管理データ115bのデータ形式を管理するためのフラグである。ユーザアクセス権管理データ115b及びデータ形式管理フラグ115cの詳細構成の例については後述する。
コマンド受付け部113は、ユーザからいずれかの機能の実行要求を受付けるものである。コマンド受付け部113は、機能実行の要求を受付ける際に、当該機能実行要求に係るユーザの認証情報としてユーザ名及びパスワードを取得する。コマンド受付け部113は、受信した印刷データ等(例えば、PC300から受信した印刷データ等)からユーザ名及びパスワードを抽出して取得するようにしてもよい。また、コマンド受付け部113は、例えば、ユーザから操作部120から機能実行の要求を受付ける際に、ログインID及びパスワードの入力要求を行って取得するようにしてもよい。
認証部114は、コマンド受付け部113が受付けたコマンドに付加されている認証情報(ユーザ名及びパスワード)を取得し、ユーザ認証データ115aと照合することで、当該コマンドの発行元となるユーザを認証(特定)する処理を行うものである。なお、認証部114が行うユーザ認証の方式については限定されないものであり、例えば、別途図示しない認証サーバを用いてユーザ認証を行う構成としてもよい。
承認部111は、コマンド受付け部113で受付けた機能実行要求について、当該ユーザ(認証部114で特定されたユーザ)の実行権限の有無を確認する処理を行う。具体的には、承認部111は、ユーザアクセス権管理データ115bの内容に従って、今回要求された機能について当該ユーザに実行が許可されているか否かを確認する。そして、制御部110は、承認部111により承認(実行が許可されていると確認)された機能実行要求(コマンド受付け部113で受付けた機能実行要求)についてのみ実行する。
ユーザアクセス権設定変換部112は、ユーザアクセス権管理データ115bの内容の変換処理を行うものである。上述の通り、ユーザアクセス権管理データ115bは、ロールベースで記述されたデータであるが、アクセス権管理サーバ200のユーザアクセス権管理データ211aはユーザベースで記述されたデータとなっている。
例えば、画像形成装置100が単独(スタンドアローン)で、ユーザアクセス権管理データ115bの内容を更新する分には、特にユーザアクセス権管理データ115bのデータ加工は必要ない。しかし、アクセス権管理サーバ200のユーザアクセス権管理データ211aとはデータ記述の構造が異なるため、そのままでは、画像形成装置100は、ユーザアクセス権管理データ115bと、アクセス権管理サーバ200のユーザアクセス権管理データ211aとのデータの同期を図ることはできない。そこで、画像形成装置100では、ユーザアクセス権設定変換部112により、ロールベースで記述されたユーザアクセス権管理データ115bの構造自体(ロールベースの構造自体)を保ちつつ、ユーザベースで記述されたユーザアクセス権管理データ211aと実質的なデータ同期をし易い形式に変換する処理を行う。以下では、ユーザアクセス権設定変換部112により変換された後のユーザアクセス権管理データ115bのデータ形式を「疑似ユーザベース」のデータ形式と呼ぶものとする。また、以下では、ユーザアクセス権設定変換部112により変換される前のユーザアクセス権管理データ115bのデータ形式(特に設定の仕方に制限のない形式)を「通常ロールベース」のデータ形式と呼ぶものとする。
次に、ユーザアクセス権管理データ115bが通常ロールベースの形式の場合と、疑似ユーザベースの形式の場合について図4、図5を用いて説明する。
図4は、ユーザアクセス権管理データ115bのデータ形式が、通常ロールベースの場合の概念的なデータ構成の例について示した説明図である。また、図5は、ユーザアクセス権管理データ115bのデータ形式が、疑似ユーザベースの場合の概念的なデータ構成の例について示した説明図である。
まず、図4を用いて、ユーザアクセス権管理データ115bのデータ形式が通常ロールベースの場合の構成例について説明する。
ユーザアクセス権管理データ115bは、図4に示すように基本的にロールベースで構成されている。
図4に示すように、ユーザアクセス権管理データ115bでは、各アクセス権記述データD(D1、D2、D3、…)が、それぞれロールR(R1、R2、R3、…)にリンクされている。そして、各ユーザU(U1、U2、U3、…)に対して(各ユーザUのユーザ名に対して)、1又は複数のロールRが割り当てられている。ユーザアクセス権管理データ115bにおける、この基本的なロールベースの構造については、通常ロールベースであっても疑似ユーザベースであっても変わることはない。
また、ユーザアクセス権管理データ115bでは、1つのユーザUに対して複数のロールRがリンクされる場合がある。すなわち、ユーザアクセス権管理データ115bでは、1つのユーザに対して各機能の項目について複数のロールRに基づく値が設定されることになる。1のユーザUの1つの機能に対して複数のロールRに基づく値が設定された場合は、2(許可)が1(禁止)より優先され、最も優先される値が当該ユーザの当該機能に係るアクセス権の値として適用されるものとする。
例えば、図4では、ユーザU1に対して2つのロールR1、R2が割り当てられている。このとき、ロールR1、R2のモノクロコピー機能の値が、それぞれ1(禁止)、2(許可)である。したがって、承認部111は、ユーザU1に対して、モノクロコピー機能のアクセス権(実行権限)として、より優先度の高い2(許可)を適用することになる。
このように、承認部111は、1つのユーザに複数のロールが割り当てられている場合、各ロールの各機能の項目を参照して、当該ユーザについてアクセス権を許可(実行可)とする機能と、禁止(実行不可)とする機能を決定する。例えば、図4では、ロールR1について、設定変更の項目のみが2(許可)に設定されている。また、図4では、ロールR2について、モノクロコピー、モノクロ印刷、及びEメール送信の項目のみが2(許可)に設定されている。そして、図4では、上述の通りユーザU1に対して2つのロールR1、R2が割り当てられているため、承認部111は、ユーザU1については、ロールR1、R2をマージして、モノクロコピー、モノクロ印刷、Eメール送信、及び設定変更の4つの機能についてアクセス権を2(許可)と判定することになる。
ユーザアクセス権管理データ115bに登録可能なユーザ数及びロール数は限定されないものであるが、ここでは、例として、ユーザアクセス権管理データ115bに最大5000件のユーザと、100件のロールが登録できるものとする。これは、ユーザ数やロールの数が多くなり過ぎると、承認部111に必要となる処理負荷や、ユーザアクセス権管理データ115bで必要となる記憶が大きくなり過ぎることを考慮した値となっている。特に、ロール数がふえると、承認部111における1回の機能実行あたりの処理負荷や、ユーザ1件あたりに必要となる記億容量が大きくなるおそれがあるため、ロール数はより少ない値となっていることが望ましい。
次に、図5を用いて、ユーザアクセス権管理データ115bのデータ形式が疑似ユーザベースとなっている場合の構成例について説明する。
ユーザアクセス権管理データ115bの基本的なデータ構造は、疑似ユーザベースとなっている場合でも通常ロールベースの場合(図4の場合)と変わらないが、設定されるロールの構成が、アクセス権記述データDの項目(対応する機能)に応じて固定化されている点で異なっている。図5に示すユーザアクセス権管理データ115bでは、すべての項目が1(禁止)に設定されたロールR1と、アクセス権記述データDを構成する各項目のうち1個だけが2(許可)に設定(他の6つの項目は全て1(禁止)に設定)されたロールR2〜R8とが設定されている。図5では、ロールR2〜R8において、それぞれ「モノクロコピー」、「カラーコピー」、「モノクロ印刷」、「カラー印刷」、「Eメール送信」、「アドレス帳編集」、及び「設定変更」が2(許可)に設定されている。
そして、図5に示すユーザアクセス権管理データ115bでは、全てのユーザにロールR1が割り当てられている。そして、図5に示すユーザアクセス権管理データ115bでは、各ユーザに、許可する機能に対応するロールも割り当てられている。すなわち、図5に示すユーザアクセス権管理データ115bでは、ユーザにロールR1を割当てられただけでは、全ての機能の項目が1(禁止)に設定されるが、ロールR2〜R8のうち割り当てられたロールに係る機能(値が2(許可)に設定されている機能)についてだけは2(許可)が適用されることになる。ユーザアクセス権管理データ115bでは、例えば、図5に示すように、各ロールを、ユーザベースのアクセス制御におけるアクセス権記述データDの項目として置き換えて利用することにより、ロールベースのデータ構造を保ちつつ、疑似的にユーザベースと同様のデータ構造として利用可能としている。
例えば、図5に示すユーザアクセス権管理データ115bでは、ユーザU1に対して、ロールR1と、モノクロコピーの機能が2(許可)に設定されたロールR2と、モノクロ印刷の機能が2(許可)に設定されたロールR4と、Eメール送信の項目が2(許可)に設定されたロールR6と、設定変更の機能が2(許可)に設定されたロールR8とが割り当てられている。
すなわち、図5に示すユーザアクセス権管理データ115bでは、ユーザU1に対して、モノクロコピー、モノクロ印刷、Eメール送信、及び設定変更の機能について許可が設定された状態を示している。したがって、図5に示すユーザアクセス権管理データ115bのユーザU1のアクセス権限について、ユーザベースで表すと、上述の図3に示すアクセス権記述データD1のようになる。また、図5に示すユーザアクセス権管理データ115bのユーザU1のアクセス権限について、通常ロールベースで表すと、上述の図4に示す内容(ユーザU1にロールR1、R2が割当られた内容)となる。
言い換えると、図3〜図5の内容から、制御部110(ユーザアクセス権設定変換部112)では、ユーザベースで記述されたユーザアクセス権管理データ211a、又は通常ロールベースで記述されたユーザアクセス権管理データ115bのいずれかの形式で記述されたものを、疑似ユーザベースの内容に変換することが可能であることがわかる。
制御部110では、ユーザアクセス権管理データ115bの内容を、通常ロールベースとするか、疑似ユーザベースとするかを決定するスイッチとして、データ形式管理フラグ115cが用いられるものとする。この実施形態では、データ形式管理フラグ115cは、通常ロールベースを示す値(例えば、「1」)、又は、疑似ユーザベースを示す値(例えば、「2」)のいずれかの値が設定されるものとして説明する。言い換えると、制御部110では、データ形式管理フラグ115cが通常ロールベースを示す値に設定されている場合は、ユーザアクセス権管理データ115bを通常ロールベースとする動作モード(以下、「第1の動作モード」ともよぶ)として動作し、データ形式管理フラグ115cが疑似ユーザベースを示す値に設定されている場合は、ユーザアクセス権管理データ115bを疑似ユーザベースとする動作モード(以下、「第2の動作モード」ともよぶ)で動作することになる。画像形成装置100において、データ形式管理フラグ115cの値を変更する方式については限定されないものであるが、例えば、操作部120からの操作又は、PC300等の外部装置からの制御命令等に基づいて変更可能とするようにしてもよい。
この実施形態において、データ形式管理フラグ115cのデフォルト値は、通常ロールベースを示す値であるものとする。そして、ユーザの操作等により、データ形式管理フラグ115cの値が、通常ロールベースを示す値から、疑似ユーザベースを示す値に遷移すると、ユーザアクセス権設定変換部112は、ユーザアクセス権管理データ115bのデータを一旦退避(例えば、データ記憶部115内のバックアップ領域に退避)させてから、ユーザアクセス権管理データ115bの内容を疑似ユーザベースの形式に変換する。ユーザアクセス権設定変換部112は、例えば、ユーザアクセス権管理データ115bのうち、アクセス権記述データ及びロールを、疑似ユーザベースの内容(例えば、図5のような内容)に変更した後、各ユーザに対して許可すべき機能(バックアップしたユーザアクセス権管理データ115bで許可されている機能)に対応するロールを割当てる処理を行う。
また、データ形式管理フラグ115cの値が疑似ユーザベースを示す値に設定されている場合、ユーザアクセス権設定変換部112は、アクセス権管理サーバ200からの要求等に応じて、ユーザアクセス権管理データ115bの内容を、ユーザアクセス権管理データ211aと同期させる処理を行う。
このとき、制御部110(ユーザアクセス権設定変換部112)は、例えば、通信インタフェース部150を介して、アクセス権管理サーバ200からのアクセス(コマンド)を受付けて、ユーザアクセス権管理データ211aを保持する。制御部110(ユーザアクセス権設定変換部112)が、アクセス権管理サーバ200からユーザアクセス権管理データ211aの内容を取得する際の通信プロトコルについては限定されないものであるが、例えば、プリンタ制御に係る言語(例えば、PCL:Printer Control Language等)で記述されたコマンド列を用いて保持するようにしてもよい。そして、制御部110(ユーザアクセス権設定変換部112)は、各ユーザにユーザアクセス権管理データ211aで許可されている機能に対応するロールを割当てる処理、及びユーザアクセス権管理データ211aで禁止されている機能に対応するロールの割当を解除する処理(ユーザアクセス権管理データ115bに対する設定処理)を行う。
(A−2)第1の実施形態の動作
次に、以上のような構成を有する第1の実施形態の画像形成システム1の動作を説明する。
(A−2−1)アクセス権管理サーバ200の動作
まず、アクセス権管理サーバ200のユーザアクセス権管理部211が、画像形成装置100に対して、ユーザアクセス権管理データ211aに基づくアクセス権設定の要求を行う動作について図6のフローチャートを用いて説明する。なお、アクセス権管理サーバ200が、画像形成装置400に対して行う動作についても同様の内容であるため、詳しい説明を省略する。
アクセス権管理サーバ200が、画像形成装置100に対して、アクセス権設定の要求を行う処理を開始するトリガについては限定されないものであるが、例えば、画像形成装置100、400の起動タイミングや、ユーザの操作に応じたタイミングとしてもよい。
ユーザアクセス権管理部211は、まず、ユーザアクセス権管理データ211aから任意のユーザに係るアクセス権記述データを取得して、当該ユーザについて当該アクセス権記述データに従ったアクセス権の設定を要求するコマンドを作成して、画像形成装置100に送信する(S101)。
このとき、ユーザアクセス権管理部211が作成するコマンドの形式は限定されないものである。なお、ユーザアクセス権管理部211が作成するコマンドには、所定のユーザ(例えば、設定変更機能のアクセス権が許可されているユーザ)のユーザ名及びパスワードが挿入されており、画像形成装置100側で当該コマンドの処理が可能であるものとして以下の説明を行う。
そして、ユーザアクセス権管理部211は、送信したコマンドに対する処理結果を受信し(S102)、受信した処理結果が正常終了(OK)だった場合には後述するステップS102から動作し、受信した処理結果がエラー(NG)だった場合には、処理を終了する。
上述のステップS102で、処理結果が正常終了(OK)だった場合、ユーザアクセス権管理部211は、さらに、ユーザアクセス権管理データ211aでコマンド未送信のユーザを確認し(S103)、コマンド未送信のユーザがあった場合には、上述のステップS101に戻って処理(当該ユーザに係るコマンド送信を実行)し、コマンド未送信のユーザがない場合には、処理を終了する。
以上のような処理により、アクセス権管理サーバ200(ユーザアクセス権管理部211)は、ユーザアクセス権管理データ211aで管理された全てのユーザについてアクセス権の設定要求を送信する処理を行う。
(A−2−2)画像形成装置100のアクセス権設定動作
次に、上述の図6のフローチャートの処理により、アクセス権の設定要求を受付けた画像形成装置100側の動作について図7のフローチャートを用いて説明する。
画像形成装置100では、制御部110(コマンド受付け部113)によりアクセス権設定のコマンドが受信され、ユーザアクセス権設定変換部112に供給されたものとする(S201)。
次に、ユーザアクセス権設定変換部112は、データ形式管理フラグ115cの設定値が、疑似ユーザベースに設定されているか否かを確認する(S202)。
ユーザアクセス権設定変換部112は、データ形式管理フラグ115cが疑似ユーザベースに設定されている場合、後述するステップS203から動作し、そうでない場合(データ形式管理フラグ115cの設定値が、通常ロールベースに設定されていた場合)には後述するステップS205から動作する。
次に、ユーザアクセス権設定変換部112は、当該コマンドで指定されたユーザに対して、当該コマンド(各機能に対する禁止又は許可)に従って、当該ユーザに対するロールの割当(許可された機能のロールを割当)及び又はロールの割当解除(禁止された機能のロール割当を解除)の処理を行い(S203)、正常終了(OK)を、アクセス権管理サーバ200に返答して(S204)、処理を終了する。
一方、上述のステップS202で、データ形式管理フラグ115cの設定値が通常ロールベースに設定されていると確認された場合、ユーザアクセス権設定変換部112は、エラー(NG)を、アクセス権管理サーバ200に返答して(S205)、処理を終了する。
(A−2−3)画像形成装置100の機能実行動作
次に、画像形成装置100の制御部110(コマンド受付け部113)で、いずれかの機能の実行を受付けた場合の、画像形成装置100の動作を図8のフローチャートを用いて説明する。
まず、制御部110のコマンド受付け部113で、任意の機能に係る実行要求のコマンドを受付けたものとする(S301)。コマンド受付け部113は、外部からのコマンド(例えば、印刷データ等)、又は、ユーザの操作部120に対する操作に応じたコマンドを受付ける。
次に、制御部110の認証部114で、受付けたコマンドに含まれる認証情報(ユーザ名及びパスワード)を保持して認証処理(ユーザ認証データ115aとの照合処理)を行い(S302)、認証OKの場合後述するステップS303から動作し、認証NGの場合には処理を終了する。
認証OKの場合、制御部110の承認部111は、認証されたユーザ(ユーザ名)に対して、受付けたコマンドで指定された機能の実行が許可されているか否かを確認(ユーザアクセス権管理データ115bを参照して確認)する処理を行う(S303)。
当該ユーザに当該機能の実行が許可されている場合、制御部110は、受付けたコマンドに従った機能を実行するように各部の制御を行い(S304)、処理を終了する。
一方、当該ユーザに当該機能の実行が禁止されている場合、制御部110は、受付けたコマンドに従った機能を実行せずに処理を終了する。
(A−2−4)画像形成装置100のデータ変換動作
次に、ユーザの操作等により、データ形式管理フラグ115cの値が、通常ロールベースを示す値から、疑似ユーザベースを示す値に遷移した場合の画像形成装置100の動作について図9のフローチャートを用いて説明する。
まず、画像形成装置100において、ユーザの操作等により、データ形式管理フラグ115cの値が、通常ロールベースを示す値から、疑似ユーザベースを示す値に遷移したものとする(S401)。
データ形式管理フラグ115cの値が疑似ユーザベースに遷移すると、ユーザアクセス権設定変換部112は、ユーザアクセス権管理データ115bのデータを一旦退避してバックアップを取得する(S402)。
次に、ユーザアクセス権設定変換部112は、ユーザアクセス権管理データ115bのうち、アクセス権記述データ及びロールを、疑似ユーザベースの内容(例えば、図5のような内容)に変更する(S403)。
次に、ユーザアクセス権設定変換部112は、ユーザアクセス権管理データ115bで、各ユーザに対して、許可すべき機能(バックアップしたユーザアクセス権管理データ115bで許可されている機能)に対応するロールを割当てる処理を行い(S404)、処理を終了する。
(A−3)第1の実施形態の効果
第1の実施形態によれば、以下のような効果を奏することができる。
画像形成装置100では、ユーザアクセス権管理データ115bを、疑似ユーザベースの形式とすることにより、アクセス権管理サーバ200がユーザベースでのアクセス権の管理にしか対応しない場合でも、実質的なユーザごとのアクセス権の同期を図ることが可能となる。例えば、画像形成システム1のように、ユーザベースのアクセス制御にしか対応しない画像形成装置400と、ロールベースのアクセス制御にしか対応しない画像形成装置100とが混在する場合でも、ユーザベースでのアクセス権の管理にしか対応しないアクセス権管理サーバ200を用いて、全体の管理が可能となる。
(B)第2の実施形態
以下、本発明による画像形成装置の第2の実施形態を、図面を参照しながら詳述する。なお、以下では本発明の画像形成装置を複合機に適用した例について説明する。
第2の実施形態の画像形成システムの構成は、第1の実施形態と同様に図1、図2を用いて示すことができる。以下では、第2の実施形態について第1の実施形態との差異のみを説明する。
第1の実施形態の画像形成装置100では、ユーザアクセス権管理データ115bの内容を疑似ユーザベースで記述する際に、全機能に対するアクセス権を禁止(1)に設定したロールR1をデフォルトとし、いずれか1つの機能を許可(2)に設定したロールR2〜R8をユーザに割当てることにより、ユーザごとのアクセス権を制御している。すなわち、第1の実施形態の画像形成装置100では、全ての機能のデフォルト値を禁止(1)とし、ロールR2〜R8を用いて許可(2)する機能を調整するアクティブリストの方式を採用していた。
これに対して第2の実施形態の画像形成装置100では、許可(2)よりも優先度の高い明示的禁止(以下では「3」の値を適用する)の設定値を設け、全機能を許可(2)に設定したロールをベースとし、1個の機能に対して明示的禁止(3)を設定したロールを用いて、実行を禁止する機能を調整するネガティブリストの方式を採用するものとする。
例えば、図5に示すアクティブリストの方式記述されたユーザアクセス権管理データ115bについて、上述のネガティブリストの方式で記述すると図10のような内容となる。
図10では、全機能に対するアクセス権を許可(2)に設定したロールR1をデフォルトとし、いずれか1つの機能を明示的禁止(3)に設定し、それ以外の機能を許可(2)に設定したロールR2〜R8をユーザに割当てることにより、ユーザごとのアクセス権を制御している。
例えば、ポジティブリストの方式で記述された図5では、ユーザU1に対して、モノクロコピー、モノクロ印刷、Eメール送信、設定変更の4つの機能について許可(2)の設定が適用されている。言い換えると、図5では、ユーザU1に対して、上述の4つ以外の機能(カラーコピー、カラー印刷、アドレス帳編集の機能)については禁止(1)に設定されている。
これに倒して、ネガティブリストの方式で記述された図10では、ユーザU1に対して、上述の図5で禁止(1)に設定されているカラーコピー、カラー印刷、及びアドレス帳編集の機能について明示的禁止(3)に設定するためのロールR3、R5、R7が割り当てられている。
このように、ユーザアクセス権管理データ115bを疑似ユーザベースで記述する場合、第1の実施形態のようにポジティブリストの方式で記述するようにしてもよいし、第2の実施形態のようにネガティブリストの方式で記述するようにしてもよい。上述の図5、図10の例のように、禁止に設定すべき機能の方が少ない場合(許可に設定すべき機能の方が多い場合)には、図10に示すようにネガティブリストの方式で記述した方が、各ユーザに割当てるロールの総量(リンクの総量)を低減することができる。
(C)他の実施形態
本発明は、上記の各実施形態に限定されるものではなく、以下に例示するような変形実施形態も挙げることができる。
(C−1)上記の各実施形態では、本発明の画像形成装置を複合機に適用した例について説明したが、その他の画像形成装置に適用するようにしてもよい。例えば、本発明の画像形成装置を、カラー印刷及び又はモノクロ印刷の機能のみ備えるプリンタに適用するようにしてもよい。
1…画像形成システム、100…画像形成装置、110…制御部、111…承認部、112…ユーザアクセス権設定変換部、113…コマンド受付け部、114…認証部、115…データ記憶部、115a…ユーザ認証データ、115b…ユーザアクセス権管理データ、115c…データ形式管理フラグ、120…操作部、130…読取部、140…印刷部、150…通信インタフェース部、160…FAX通信部、N…ネットワーク、200…アクセス権管理サーバ、210…制御部、211…ユーザアクセス権管理部、211a…ユーザアクセス権管理データ、220…通信インタフェース、300…PC、400…画像形成装置。

Claims (4)

  1. 所定の機能の処理を実行可能な1又は複数の機能実行部と、
    ユーザごとの各機能実行部に対する実行可否がロールベースの形式で記述された設定データを保持する設定データ保持部と、
    ユーザごとの各機能実行部に対する実行可否を、前記設定データを用いて管理するアクセス権管理部とを備え、
    前記アクセス権管理部は、前記設定データにそれぞれの前記機能実行部に対応するロールを予め設定し、いずれかのユーザに対していずれかの機能実行部に対する実行可否の設定要求を受付けると、当該設定要求に基づいて、当該ユーザに対して当該機能実行部に対応するロールを割当て又は割当解除の設定を前記設定データに行う
    ことを特徴とする画像形成装置。
  2. 前記アクセス管理部は、設定形式が限定されない第1の動作モード、又は、それぞれの前記機能実行部に対応するロールを備え、いずれかのユーザに対していずれかの機能実行部に対する実行可否の設定要求を受付けると、当該設定要求に基づいて、当該ユーザに対して当該機能実行部に対応するロールの割当又は割当解除の設定を行う第2の動作モードのいずれかに切替えて動作することが可能であることを特徴とする請求項1に記載の画像形成装置。
  3. 前記アクセス管理部は、第1の動作モードから第2の動作モードに移行する際に、前記設定データ保持部が保持する設定データを、前記第2の動作モードに適合する形式に変換する処理を行うことを特徴とする請求項2に記載の画像形成装置。
  4. 前記アクセス管理部は、第1の動作モードから第2の動作モードに移行する際、前記設定データ保持部が保持する設定データに対して、それぞれの前記機能実行部に対応するロールを設定し、各ユーザのそれぞれの前記機能実行部に対する実行可否の設定が、変換前の設定データと同様となるように、各ユーザに対するロールの割当を行った設定データに置き換える処理を行うことを特徴とする請求項3に記載の画像形成装置。
JP2014148180A 2014-07-18 2014-07-18 画像形成装置 Active JP6262089B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014148180A JP6262089B2 (ja) 2014-07-18 2014-07-18 画像形成装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014148180A JP6262089B2 (ja) 2014-07-18 2014-07-18 画像形成装置

Publications (2)

Publication Number Publication Date
JP2016024618A true JP2016024618A (ja) 2016-02-08
JP6262089B2 JP6262089B2 (ja) 2018-01-17

Family

ID=55271331

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014148180A Active JP6262089B2 (ja) 2014-07-18 2014-07-18 画像形成装置

Country Status (1)

Country Link
JP (1) JP6262089B2 (ja)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007323324A (ja) * 2006-05-31 2007-12-13 Canon Inc デバイス管理システム、デバイス管理装置、デバイス管理方法、プログラムおよび記憶媒体
JP2009525516A (ja) * 2006-01-31 2009-07-09 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 役割ベースアクセス制御
JP2009541861A (ja) * 2006-06-22 2009-11-26 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 医療用アドホックボディセンサネットワークのための先進的アクセス制御
JP2010117885A (ja) * 2008-11-13 2010-05-27 Mitsubishi Electric Corp アクセス制御装置、アクセス制御装置のアクセス制御方法およびアクセス制御プログラム
JP2012221069A (ja) * 2011-04-05 2012-11-12 Canon Inc 情報処理装置及びその制御方法
JP2015515041A (ja) * 2012-02-14 2015-05-21 テラリコン インコーポレイテッド アクセスコントロールを伴うクラウドベースの医療画像処理システム

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009525516A (ja) * 2006-01-31 2009-07-09 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 役割ベースアクセス制御
JP2007323324A (ja) * 2006-05-31 2007-12-13 Canon Inc デバイス管理システム、デバイス管理装置、デバイス管理方法、プログラムおよび記憶媒体
JP2009541861A (ja) * 2006-06-22 2009-11-26 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 医療用アドホックボディセンサネットワークのための先進的アクセス制御
JP2010117885A (ja) * 2008-11-13 2010-05-27 Mitsubishi Electric Corp アクセス制御装置、アクセス制御装置のアクセス制御方法およびアクセス制御プログラム
JP2012221069A (ja) * 2011-04-05 2012-11-12 Canon Inc 情報処理装置及びその制御方法
JP2015515041A (ja) * 2012-02-14 2015-05-21 テラリコン インコーポレイテッド アクセスコントロールを伴うクラウドベースの医療画像処理システム

Also Published As

Publication number Publication date
JP6262089B2 (ja) 2018-01-17

Similar Documents

Publication Publication Date Title
US20180336358A1 (en) Image processing apparatus, control method therefor, and computer-readable storage medium storing program for implementing the method
JP6436636B2 (ja) 画像形成装置、データ管理方法及びプログラム
JP5018541B2 (ja) 情報処理装置および履歴情報管理プログラム
JP2009069992A (ja) 情報処理装置、認証制御方法、及び認証制御プログラム
JP2007189668A (ja) 画像形成装置、アクセス制御方法、アクセス制御プログラム及び記録媒体
JP2016181102A (ja) 情報処理装置及びプログラム
JP5137858B2 (ja) 画像処理装置、画像処理方法、記憶媒体、プログラム
JP5488014B2 (ja) 情報処理装置、ディアクティベーション処理制御方法、プログラム及び記憶媒体
JP2013030022A (ja) 情報処理システム、管理装置およびプログラム
JP2007164640A (ja) 利用制限管理装置、方法、プログラム及びシステム
JP2019064130A (ja) 印刷装置、印刷装置の制御方法、並びにプログラム
JP6329429B2 (ja) 情報処理装置、制御方法およびプログラム
JP6262089B2 (ja) 画像形成装置
JP6024204B2 (ja) 情報処理装置、プログラム及び分散処理方法
JP2005209145A (ja) 双方向通信ネットワークデバイス管理装置およびネットワークデバイス管理方法およびプログラムおよび記録媒体
JP2010211265A (ja) 出力機器、情報処理機器、ネットワークシステム
JP2016042624A (ja) 画像処理装置及びプログラム
JP5504965B2 (ja) 情報処理装置、利用制限方法、及びプログラム
JP2010198334A (ja) 画像処理装置、及び、プログラム
JP2016091167A (ja) 機器設定システム、電子機器、および機器設定プログラム
JP2015076749A (ja) 設定値管理サーバ、処理デバイス、設定値管理方法、コンピュータプログラム
JP5636835B2 (ja) 画像形成装置、情報管理システムおよびプログラム
US20220229607A1 (en) Synchronization of applications installed in each of image forming apparatuses
JP5168043B2 (ja) データ配信システム、データ配信装置、データ配信方法、データ配信プログラム、および記録媒体
JP2008245191A (ja) 画像形成装置および画像形成装置の履歴制御プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20161215

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20171016

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171114

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171213

R150 Certificate of patent or registration of utility model

Ref document number: 6262089

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350