JP2016091117A - 情報処理システム、情報処理装置、アクセス制御方法及びプログラム - Google Patents

情報処理システム、情報処理装置、アクセス制御方法及びプログラム Download PDF

Info

Publication number
JP2016091117A
JP2016091117A JP2014221763A JP2014221763A JP2016091117A JP 2016091117 A JP2016091117 A JP 2016091117A JP 2014221763 A JP2014221763 A JP 2014221763A JP 2014221763 A JP2014221763 A JP 2014221763A JP 2016091117 A JP2016091117 A JP 2016091117A
Authority
JP
Japan
Prior art keywords
information
request
service
authentication
access control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2014221763A
Other languages
English (en)
Other versions
JP6459398B2 (ja
Inventor
誉起 樫山
Takaki Kashiyama
誉起 樫山
正登 中島
Masato Nakajima
正登 中島
博基 大▲崎▼
Hiromoto Osaki
博基 大▲崎▼
康治 福田
Koji Fukuda
康治 福田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2014221763A priority Critical patent/JP6459398B2/ja
Priority to US14/923,626 priority patent/US10282525B2/en
Publication of JP2016091117A publication Critical patent/JP2016091117A/ja
Application granted granted Critical
Publication of JP6459398B2 publication Critical patent/JP6459398B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Facsimiles In General (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

【課題】正当な認証チケットが存在するリクエストに含ませて情報をアクセス制御装置からサービス提供装置に送信できる情報処理システムを提供することを課題とする。【解決手段】1以上の情報処理装置を含む情報処理システムであって、サービス利用装置からサービス提供装置に対するリクエストを受け付け、リクエストに認証済みであることを示す情報が含まれている場合に、リクエストに付与する付与情報の種類が設定されている設定情報に基づき、設定情報に設定されている種類の付与情報をリクエストに付与してリクエストをサービス提供装置に送信するアクセス制御手段と、認証済みであることを示す情報と対応付けて付与情報を管理し、アクセス制御手段から受信した認証済みであることを示す情報と対応する付与情報をアクセス制御手段に提供する情報提供手段と、を有することにより上記課題を解決する。【選択図】 図1

Description

本発明は、情報処理システム、情報処理装置、アクセス制御方法及びプログラムに関する。
クラウドコンピューティングにより提供されるサービスをはじめ、ユーザが操作するクライアントに提供されるサービスにおいては、従来から、認証チケットによりアクセス制御を行うことが知られている。
例えばインターネットを含むさまざまなネットワークを介して、ユーザフレンドリな形で保護されたリソースへのセキュア・アクセスを、許可されたユーザに提供する内容が従来から知られている(例えば特許文献1参照)。
例えばユーザが操作するクライアントとサービスを提供するサービス提供装置との間で認証チケットによりアクセス制御を行うアクセス制御装置がある。アクセス制御装置はクライアントからサービス提供装置へのリクエストに正当な認証チケットが存在するか否かによりアクセス制御を行い、正当な認証チケットが存在するリクエストをサービス提供装置に提供する。
ところで、認証チケットの正当性の判断や認証に必要な情報を含む各種情報の保持はアクセス制御装置以外で行われる場合がある。また、サービス提供装置はアクセス制御装置以外で保持される各種情報を、サービスの提供に利用したい場合がある。
しかしながら、サービス提供装置がアクセス制御装置以外で保持される各種情報を直接取得できる仕組みを設けることはセキュリティの観点から望ましくない。
本発明の実施の形態は、上記の点に鑑みなされたものであり、正当な認証チケットが存在するリクエストに含ませて情報をアクセス制御装置からサービス提供装置に送信できる情報処理システムを提供することを目的とする。
上記目的を達成するため本願請求項1は、1以上の情報処理装置を含む情報処理システムであって、サービス利用装置からサービス提供装置に対するリクエストを受け付け、前記リクエストに認証済みであることを示す情報が含まれている場合に、前記リクエストに付与する付与情報の種類が設定されている設定情報に基づき、前記設定情報に設定されている種類の前記付与情報を前記リクエストに付与して、該リクエストを前記サービス提供装置に送信するアクセス制御手段と、前記認証済みであることを示す情報と対応付けて前記付与情報を管理し、前記アクセス制御手段から受信した前記認証済みであることを示す情報と対応する前記付与情報を前記アクセス制御手段に提供する情報提供手段と、を有することを特徴とする。
本発明の実施の形態によれば、正当な認証チケットが存在するリクエストに含ませて情報をアクセス制御装置からサービス提供装置に送信できる。
第1の実施形態に係る情報処理システムの一例の構成図である。 本実施形態に係るコンピュータの一例のハードウェア構成図である。 本実施形態に係る画像形成装置の一例のハードウェア構成図である。 第1の実施形態に係るサービス提供システムの一例の構成図である。 第1の実施形態に係るサービスプラットフォーム提供システムの一例の処理ブロック図である。 UI及びロジック(API)の配置の一例を示す構成図である。 認証チケットでのアクセス制御の一例について説明する図である。 認証エージェントAPIの一例について説明する図である。 テナント情報の一例の構成図である。 ユーザ情報の一例の構成図である。 ライセンス情報の一例の構成図である。 有効化された機器一覧情報の一例の構成図である。 機器情報の一例の構成図である。 設定項目の一例を表した構成図である。 署名した設定ファイルの一例の構成図である。 ユーザ認証チケットでのアクセス制御の一例のフローチャートである。 本人情報ヘッダの一例の構成図である。 エラー処理の一例のフローチャートである。 ユーザ認証チケットでのアクセス制御の一例のシーケンス図である。 HTTPヘッダ名「X−No−Permission−Reason」の値の付与について説明する図である。 機器認証チケットでのアクセス制御の一例のフローチャートである。 認証エージェントAPIの一例のフローチャートである。 認証エージェントAPIの一例について説明する図である。 認証エージェントAPIのレスポンス例を示す図である。 認証エージェントAPIの一例のシーケンス図である。
以下、本発明の実施形態について図面を参照しながら説明する。
[第1の実施形態]
<システム構成>
図1は第1の実施形態に係る情報処理システムの一例の構成図である。図1の情報処理システム1は、ユーザシステム10、アプリマーケット提供システム20、サービス提供システム30、サービスプラットフォーム提供システム40及び業務プラットフォーム提供システム50を有する。
ユーザシステム10、アプリマーケット提供システム20、サービス提供システム30及びサービスプラットフォーム提供システム40は、インターネットなどのネットワークN1を介して接続されている。また、サービスプラットフォーム提供システム40及び業務プラットフォーム提供システム50は専用回線などで接続されている。
ユーザシステム10のネットワークN2は、ファイアウォールFWの内側にあるプライベートなネットワークである。ファイアウォールFWは、不正なアクセスを検出及び遮断する。ネットワークN2にはユーザ端末11、複合機などの画像形成装置12が接続されている。なお、画像形成装置12はユーザがサービスを利用する電子機器の一例である。
ユーザ端末11は一般的なOS(オペレーティングシステム)などが搭載された情報処理装置によって実現できる。ユーザ端末11は無線による通信の手段または有線による通信の手段を有する。ユーザ端末11はスマートフォンや携帯電話、タブレット端末、PCなどのユーザが操作可能な端末である。
画像形成装置12は複合機などの画像形成機能を有する装置である。画像形成装置12は無線による通信の手段または有線による通信の手段を有する。画像形成装置12は例えばブラウザが搭載された複合機、コピー機、スキャナ、プリンタ、レーザプリンタ、プロジェクタ、電子黒板など、画像形成に係る処理を行う装置である。図1では、一例としてユーザ端末11、画像形成装置12がそれぞれ一台である例を示しているが複数台であってもよい。
また、アプリマーケット提供システム20のアプリマーケット提供サーバ21はファイアウォールFWを介してネットワークN1に接続される。アプリマーケット提供サーバ21は一般的なOSなどが搭載された一台以上の情報処理装置によって実現できる。
アプリマーケット提供システム20は販売地域や販売会社等ごとに設けてもよい。アプリマーケット提供サーバ21はサービス一覧画面や申し込み画面などのアプリマーケット画面をユーザ端末11や画像形成装置12に提供する。
サービス提供システム30はファイアウォールFWを介してネットワークN1に接続されている。サービス提供システム30はユーザ端末11や画像形成装置12に各種サービスを提供する。サービス提供システム30は一般的なOSなどが搭載された一台以上の情報処理装置によって実現できる。サービス提供システム30が提供するサービスはサービスプラットフォーム提供システム40の運営者が提供するサービスの他、外部のサービスプロバイダ等が提供するサービスであってもよい。
サービスプラットフォーム提供システム40は、ファイアウォールFWを介してネットワークN1に接続されている。サービスプラットフォーム提供システム40は一般的なOSなどが搭載された一台以上の情報処理装置によって実現できる。
サービスプラットフォーム提供システム40は、例えば認証・認可、テナント・ユーザ管理、ライセンス管理、アカウント登録などの機能を有している。サービスプラットフォーム提供システム40は、ユーザ端末11、画像形成装置12からのアカウント登録やログインの要求を受け付ける。また、サービスプラットフォーム提供システム40はサービス提供システム30からの認証チケットの確認要求やユーザ情報の取得要求を受け付ける。
業務プラットフォーム提供システム50のネットワークN3はファイアウォールFWの内側にあるプライベートなネットワークである。ネットワークN3には業務端末51、ライセンス管理サーバ52が接続されている。業務端末51、ライセンス管理サーバ52は一般的なOSなどが搭載された一台以上の情報処理装置によって実現できる。
業務端末51は無線による通信の手段または有線による通信の手段を有する。業務端末51はスマートフォンや携帯電話、タブレット端末、PCなどの業務担当が操作可能な端末である。業務担当は業務端末51からライセンス発行をライセンス管理サーバ52に要求できる。
ライセンス管理サーバ52はライセンス管理などの機能を有している。ライセンス管理サーバ52はサービスプラットフォーム提供システム40や業務端末51からライセンス発行などの要求を受け付ける。図1の情報処理システム1の構成は一例であって、他の構成であってもよい。
<ハードウェア構成>
図1のユーザ端末11、アプリマーケット提供サーバ21、業務端末51及びライセンス管理サーバ52は例えば図2に示すようなハードウェア構成のコンピュータにより実現される。また、図1のサービス提供システム30及びサービスプラットフォーム提供システム40を実現する情報処理装置は例えば図2に示すハードウェア構成のコンピュータにより実現される。図2は、本実施形態に係るコンピュータの一例のハードウェア構成図である。
図2に示したコンピュータ500は、入力装置501、表示装置502、外部I/F503、RAM504、ROM505、CPU506、通信I/F507、及びHDD508などを備え、それぞれがバスBで相互に接続されている。なお、入力装置501及び表示装置502は必要なときに接続して利用する形態であってもよい。
入力装置501はキーボードやマウスなどを含み、ユーザが各操作信号を入力するのに用いられる。表示装置502はディスプレイなどを含み、コンピュータ500による処理結果を表示する。
通信I/F507は、コンピュータ500をネットワークN1、N2及びN3に接続するインタフェースである。これにより、コンピュータ500は通信I/F507を介してデータ通信を行うことができる。
HDD508はプログラムやデータを格納している不揮発性の記憶装置である。格納されるプログラムやデータは、例えばコンピュータ500全体を制御する基本ソフトウェアであるOSや、OS上において各種機能を提供するアプリケーションソフトウェアなどである。
外部I/F503は、外部装置とのインタフェースである。外部装置には、記録媒体503aなどがある。これにより、コンピュータ500は外部I/F503を介して記録媒体503aの読み取り及び/又は書き込みを行うことができる。記録媒体503aにはフレキシブルディスク、CD、DVD、SDメモリカード、USBメモリなどがある。
ROM505は、電源を切ってもプログラムやデータを保持することができる不揮発性の半導体メモリ(記憶装置)である。ROM505には、コンピュータ500の起動時に実行されるBIOS、OS設定、及びネットワーク設定などのプログラムやデータが格納されている。RAM504は、プログラムやデータを一時保持する揮発性の半導体メモリである。
CPU506は、ROM505やHDD508などの記憶装置からプログラムやデータをRAM504上に読み出し、処理を実行することで、コンピュータ500全体の制御や機能を実現する演算装置である。
本実施形態に係るユーザ端末11、アプリマーケット提供サーバ21、業務端末51及びライセンス管理サーバ52は、上記したコンピュータ500のハードウェア構成により後述する各種処理を実現できる。また、本実施形態に係るサービス提供システム30及びサービスプラットフォーム提供システム40を実現する情報処理装置は、上記したようなコンピュータ500のハードウェア構成により後述する各種処理を実現できる。
図1の画像形成装置12は、例えば図3に示すようなハードウェア構成のコンピュータにより実現される。図3は本実施形態に係る画像形成装置の一例のハードウェア構成図である。図3に示した画像形成装置12は、コントローラ601、操作パネル602、外部I/F603、通信I/F604、プリンタ605及びスキャナ606などを備える。
コントローラ601はCPU611、RAM612、ROM613、NVRAM614及びHDD615などを備える。ROM613は、各種プログラムやデータが格納されている。RAM612はプログラムやデータを一時保持する。NVRAM614は、例えば設定情報等が格納されている。また、HDD615は各種プログラムやデータが格納されている。
CPU611は、ROM613やNVRAM614、HDD615などからプログラムやデータ、設定情報等をRAM612上に読み出し、処理を実行することで、画像形成装置12全体の制御や機能を実現する。
操作パネル602はユーザからの入力を受け付ける入力部と、表示を行う表示部とを備えている。外部I/F603は外部装置とのインタフェースである。外部装置には、記録媒体603aなどがある。これにより、出力装置14は外部I/F603を介して記録媒体603aの読み取り及び/又は書き込みを行うことができる。記録媒体603aにはICカード、フレキシブルディスク、CD、DVD、SDメモリカード、USBメモリ等がある。
通信I/F604は画像形成装置12をネットワークN2に接続させるインタフェースである。これにより画像形成装置12は通信I/F604を介してデータ通信を行うことができる。プリンタ605は印刷データを用紙に印刷する印刷装置である。スキャナ606は原稿から画像データ(電子データ)を読み取る読取装置である。なお、図1に示したファイアウォールFWのハードウェア構成については説明を省略する。
<ソフトウェア構成>
《サービス提供システム》
第1の実施形態に係るサービス提供システム30は例えば図4に示す構成により実現できる。図4は第1の実施形態に係るサービス提供システムの一例の構成図である。図4のサービス提供システム30は、認証エージェント装置31及びサービス提供装置32を有する構成である。
認証エージェント装置31はユーザ端末11や画像形成装置12からサービス提供装置32に対する各種要求(リクエスト)を受け付ける。認証エージェント装置31はサービスプラットフォーム提供システム40が発行した正当な認証チケットが含まれるユーザ端末11や画像形成装置12からの要求をサービス提供装置32に送信するようにアクセス制御を行う。
また、認証エージェント装置31は、正当な認証チケットが含まれていないユーザ端末11や画像形成装置12からの要求を後述の設定によりサービスプラットフォーム提供システム40にリダイレクトできる。このように、認証エージェント装置31は正当な認証チケットをユーザ端末11や画像形成装置12に取得させたあと、ユーザ端末11や画像形成装置12からの要求をサービス提供装置32に送信できる。
サービス提供装置32はユーザ端末11や画像形成装置12からの要求に応じたサービスを提供する。また、サービス提供装置32は後述するように認証エージェント装置31に対して認証チケットの正当性を問い合わせたり、サービスの提供に必要な情報の取得を要求したりする。
例えばサービス提供装置32が提供するサービスの一例として翻訳サービスがある。画像形成装置12は原稿からスキャンした画像データをOCR(光学的文字認識)した後でサービス提供装置32に送信し、サービス提供装置32が提供する翻訳サービスを利用できる。
サービス提供装置32は翻訳サービスの提供に必要な情報の一例としてユーザ情報を取得し、翻訳結果に含ませてもよい。ユーザは例えばユーザ端末11からサービス提供装置32にアクセスして翻訳結果を閲覧してもよいし、電子メールで翻訳結果を受け取ってもよい。
《サービスプラットフォーム提供システム》
第1の実施形態に係るサービスプラットフォーム提供システム40は例えば図5に示す処理ブロックにより実現される。図5は第1の実施形態に係るサービスプラットフォーム提供システムの一例の処理ブロック図である。サービスプラットフォーム提供システム40はプログラムを実行することで、図5に示すような処理ブロックを実現する。
図5のサービスプラットフォーム提供システム40は、アプリケーション101、共通サービス102、データベース(DB)103及びプラットフォームAPI104を実現している。
アプリケーション101は、ポータルサービスアプリ111、スキャンサービスアプリ112、プリントサービスアプリ113、アカウント登録アプリ114を一例として有している。
ポータルサービスアプリ111は、ポータルサービスを提供するアプリケーションである。ポータルサービスは情報処理システム1を利用するための入り口となるサービスを提供する。スキャンサービスアプリ112はスキャンサービスを提供するアプリケーションのUI(ユーザインタフェース)である。
また、プリントサービスアプリ113はプリントサービスを提供するアプリケーションのUIである。アカウント登録アプリ114はアカウント登録サービスを提供するアプリケーションのUIである。なお、アプリケーション101には、その他のサービスアプリが含まれていてもよい。
スキャンサービスアプリ112、プリントサービスアプリ113及びアカウント登録アプリ114のUIには、ユーザ端末11又は画像形成装置12で表示又は実行されるNativeアプリ、HTML/JavaScript(登録商標)データが含まれていてもよい。NativeアプリはWebアプリと対比するものであり、主な処理をユーザ端末11や画像形成装置12で行うタイプのアプリケーションである。Webアプリは主な処理をサービスプラットフォーム提供システム40で行うタイプのアプリケーションである。
プラットフォームAPI(Application Programming Interface)104は、ポータルサービスアプリ111などのアプリケーション101が共通サービス102を利用するためのインタフェースである。
プラットフォームAPI104はアプリケーション101からの要求を共通サービス102が受信するために設けられた予め定義されたインタフェースであり、例えば関数やクラス等により構成される。プラットフォームAPI104は、サービスプラットフォーム提供システム40が複数の情報処理装置で構成される場合、ネットワーク経由で利用可能な例えばWeb APIにより実現できる。
共通サービス102はスキャンサービス部121、プリントサービス部122、アカウント登録部123、認証・認可部131、テナント管理部132、ユーザ管理部133、ライセンス管理部134、機器管理部135、一時画像保存部136、データ保管部137、画像処理ワークフロー制御部138、ログ収集部139を有する。また、画像処理ワークフロー制御部138は、メッセージキュー141、1つ以上のワーカー(Worker)142を有する。ワーカー142は画像変換や画像送信などの機能を実現する。
スキャンサービス部121はスキャンサービスアプリ112のロジック(API)として機能する。プリントサービス部122はプリントサービスアプリ113のロジック(API)として機能する。また、アカウント登録部123はアカウント登録アプリ114のロジック(API)として機能する。
認証・認可部131は、ユーザ端末11や画像形成装置12などのオフィス機器からのログイン要求に基づいて認証・認可を実行する。オフィス機器はユーザ端末11、画像形成装置12などの総称である。
認証・認可部131は、例えば後述するユーザ情報記憶部153、ライセンス情報記憶部154などにアクセスしてユーザを認証・認可する。また、認証・認可部131は例えば後述するテナント情報記憶部152、ライセンス情報記憶部154、機器情報記憶部155などにアクセスして画像形成装置12などをクライアント認証する。
テナント管理部132は後述するテナント情報記憶部152に記憶されているテナント情報を管理する。ユーザ管理部133は、後述するユーザ情報記憶部153に記憶されているユーザ情報を管理する。
ライセンス管理部134は後述するライセンス情報記憶部154に記憶されているライセンス情報を管理する。機器管理部135は後述する機器情報記憶部155に記憶されている機器情報を管理する。一時画像保存部136は後述する一時画像記憶部156への一時画像の保存、一時画像記憶部156からの一時画像の取得を行う。データ保管部137は後述するジョブ情報記憶部157などにデータを保管する。
画像処理ワークフロー制御部138はアプリケーション101からの要求に基づいて画像処理に関するワークフローを制御する。メッセージキュー141は処理の種類に対応するキューを有する。画像処理ワークフロー制御部138は処理(ジョブ)に係るリクエストのメッセージを、そのジョブの種類に対応するキューに投入する。
ワーカー142は対応するキューを監視している。そして、キューにメッセージが投入されるとワーカー142は、対応するジョブの種類に応じた画像変換や画像送信などの処理を行う。キューに投入されたメッセージは、ワーカー142が主体的に読み出す(Pull)ようにしてもよいし、キューからワーカー142に提供する(Push)ようにしてもよい。ログ収集部139は、収集したログ情報を例えば後述するようなログ情報記憶部151に記憶させる。
データベース103は、ログ情報記憶部151、テナント情報記憶部152、ユーザ情報記憶部153、ライセンス情報記憶部154、機器情報記憶部155、一時画像記憶部156、ジョブ情報記憶部157、及び、アプリケーション固有の設定情報記憶部158を有する。
ログ情報記憶部151は、ログ情報を記憶する。テナント情報記憶部152は後述のテナント情報を記憶する。ユーザ情報記憶部153は後述のユーザ情報を記憶する。ライセンス情報記憶部154は、ライセンス情報を記憶する。機器情報記憶部155は後述の機器情報を記憶する。また、一時画像記憶部156は一時画像を記憶する。一時画像は例えばワーカー142が処理するスキャン画像などのファイルやデータである。
ジョブ情報記憶部157は処理(ジョブ)に係るリクエストの情報(ジョブ情報)を記憶する。アプリケーション固有の設定情報記憶部158はアプリケーション101に固有の設定情報を記憶する。
サービスプラットフォーム提供システム40は認証・認可や画像処理に関するワークフロー等の共通サービスを提供する統合基盤と、統合基盤の機能を利用してスキャンサービスやプリントサービス等のアプリサービスを提供するサービス群として機能する。
統合基盤は例えば共通サービス102、データベース103及びプラットフォームAPI104によって構成される。サービス群は例えばアプリケーション101によって構成される。このように、図4に示したサービスプラットフォーム提供システム40はサービス群と統合基盤とが分離された構成である。
図5に示したサービスプラットフォーム提供システム40はサービス群と統合基盤とを分離した構成により、プラットフォームAPI104を利用するアプリケーション101を容易に開発できる。また、図5に示したサービスプラットフォーム提供システム40はプラットフォームAPI104を利用するサービス提供装置32を容易に開発できる。
なお、図5に示したサービスプラットフォーム提供システム40の処理ブロックの分類形態は一例であり、アプリケーション101、共通サービス102、データベース103が図5に示される階層で分類されていることが必須ではない。例えば第1の実施形態に係るサービスプラットフォーム提供システム40の処理を実施できるのであれば、図5に示される階層関係などは特定のものに限定されない。
《UI及びロジックの配置》
図5のサービスプラットフォーム提供システム40ではスキャンサービスアプリ112などのアプリケーション101のUI又はロジック(API)が、ユーザ端末11や画像形成装置12などのクライアント200から図6のようにアクセスを受ける。図6はUI及びロジック(API)の配置の一例を示す構成図である。
図6のサービスプラットフォーム提供システム40のUI211は、クライアント200で行われたユーザ操作を解釈し、プラットフォームAPI104からロジック212を呼び出してHTMLデータ202を生成する。サービスプラットフォーム提供システム40側で生成されたHTMLデータ202によりクライアント200のブラウザ201は画面の変更を行う。
また、ブラウザ201はシングルページWebアプリケーション(SPA)を利用してもよい。クライアント200のブラウザ201はHTML/JavaScript/CSSデータをサービスプラットフォーム提供システム40からダウンロードする。ブラウザ201はJavaScriptデータ203によりサービスプラットフォーム提供システム40のロジック212を例えばAjaxにより呼び出し、DOM操作により画面の変更を行うことができる。
ここで、Ajax(Asynchronous JavaScript + XML)とはブラウザ201に実装されているJavaScriptのHTTP通信機能を使い、Webページのリロードを伴わずに処理を進めるWebアプリケーションの実装形態の一例である。DOM操作はHTMLデータの各要素の値にアクセスし、動的に書き換える操作の一例である。
また、クライアント200はNativeOSにインストールされたNativeアプリ204を利用してもよい。Nativeアプリ204はクライアント200側でユーザ操作を解釈し、ロジック212を呼び出し、結果に応じて画面の変更を行う。
図6ではサービスプラットフォーム提供システム40のUI211がプラットフォームAPI104からロジック212を呼び出しているが、サービス提供システム30のUIがプラットフォームAPI104からロジック212を呼び出す場合も同様である。
《認証チケットでのアクセス制御》
認証エージェント装置31は図7に示すようにサービスプラットフォーム提供システム40と連携して、クライアント200からサービス提供装置32に対する認証チケットでのアクセス制御を行う。図7は認証チケットでのアクセス制御の一例について説明する図である。
図7に示すように、クライアント200からサービス提供装置32へのアクセスは認証エージェント装置31を経由して行う。認証エージェント装置31は例えばWebサーバ部31aとプラグインなどの拡張機能部31bなどで構成される。クライアント200からサービス提供装置32が提供するサービスを利用する場合、ユーザはクライアント200からサービス提供システム30にリクエストを行う。
サービス提供システム30の認証エージェント装置31は前述したように、正当な認証チケットが含まれていないリクエストをサービス提供装置32に送信しないことで、認証チケットでのサービス提供装置32の保護を行っている。例えば認証エージェント装置31はWebサーバ部31aにおいて認証チケットで守りたいパスが指定されている。
認証チケットには例えばユーザ認証チケットと機器認証チケットとが含まれる。ユーザ認証チケットで守りたいパスへのリクエストであれば認証エージェント装置31はユーザ認証チケットでのサービス提供装置32の保護を行う拡張機能部31bを指定する。機器認証チケットで守りたいパスへのリクエストであれば認証エージェント装置31は機器認証チケットでのサービス提供装置32の保護を行う拡張機能部31bを指定する。
このように、認証エージェント装置31は認証チケットでのサービス提供装置32の保護を行う。なお、認証エージェント装置31では、認証チケットで守りたいパス(ユーザごとに表示を切り替えるパスなど)以外に、守る必要がないパス(画像ファイル、ログインページ、利用規約ページなど)を、別途、保護除外パスとしてWebサーバ部31aに指定できる。
例えばクライアント200を操作するユーザはサービスプラットフォーム提供システム40に対するログイン処理を行い、正当な認証チケットを取得する。クライアント200は取得した正当な認証チケットを含ませてサービス提供システム30に対してリクエストを行う。サービス提供システム30の認証エージェント装置31はクライアント200からのリクエストに含まれている認証チケットの正当性をサービスプラットフォーム提供システム40に問い合わせる、
また、認証エージェント装置31は、クライアント200からのリクエストに情報を追加する必要がある場合、その情報をサービスプラットフォーム提供システム40に問い合わせて、HTTPヘッダなどに追加する。
サービス提供装置32はクライアント200からの要求に応じたサービス(××サービス)を提供する。サービス提供装置32はHTTPヘッダなどに追加された情報を利用してクライアント200からのリクエストに応じたサービスを提供する。
《認証エージェントAPI》
認証エージェント装置31はサービスプラットフォーム提供システム40から情報を取得する認証エージェントAPIを設け、サービス提供装置32に公開している。図8は認証エージェントAPIの一例について説明する図である。サービス提供装置32は、認証エージェントAPIを利用することで、認証エージェント装置31を経由してサービスプラットフォーム提供システム40から情報を取得する。
したがって、サービス提供装置32はサービスプラットフォーム提供システム40から情報を直接取得する必要がなくなる。このため、サービスプラットフォーム提供システム40はサービス提供装置32から直接、情報の問い合わせを受けることが無くなり、情報を取得するためのAPIをパブリックにする必要がなくなり、また、クロスドメイン対応も不要となる。
《情報》
図9はテナント情報の一例の構成図である。図9のテナント情報はデータ項目としてテナントID、テナント名、表示言語、タイムゾーン、状態、国などを有している。
テナントIDは企業、部署などのグループ(組織)を特定する情報である。テナントIDはテナントという言語に限定されるものではなく、例えば契約を識別する情報であってもよい。なお、テナントIDは一意である。
テナント名は企業、部署などのグループの名称を表している。表示言語は企業、部署などのグループの名称を表示する言語を表している。また、表示言語はブラウザからのアクセスに対する表示や、メールの本文の言語を表している。タイムゾーンは企業、部署などのグループが利用する標準時を表している。状態は企業、部署などのグループの状態を表している。国は企業、部署などのグループの属する国名を表している。
図10はユーザ情報の一例の構成図である。図10に示すユーザ情報は、データ項目としてテナントID、ユーザID、メールアドレス、パスワード、ユーザ名、表示言語、タイムゾーン、状態などを有する。
メールアドレス及びパスワードは、ユーザを特定する情報(ユーザ特定情報)の一例である。ユーザ特定情報は、メールアドレスに変えて、ユーザIDやユーザ名等であってもよい。また、パスワードは必須でない。
なお、メールアドレスは一意である必要がある。また、同じテナントIDで管理されるユーザIDも一意である。異なるテナントIDで管理されるユーザIDは重複していてもよい。
さらに、ユーザ特定情報はユーザが所持する電子媒体(例えばICカード)を識別する情報を用いてもよい。ユーザが所持する電子媒体としてはICカード、携帯電話、タブレット端末、電子書籍端末等を利用できる。電子媒体を識別する情報としては、カードID、シリアルID、携帯電話の電話番号、端末のプロフィール情報などを利用できる。電子媒体を識別する情報は組み合わせて利用してもよい。
メールアドレスはユーザのメールアドレスである。表示言語はユーザ名を表示する言語を表している。また、表示言語はブラウザからのアクセスに対する表示やメールの本文の言語を表している。タイムゾーンはユーザが利用する標準時を表している。状態はユーザの状態を表している。
図11はライセンス情報の一例の構成図である。ライセンス情報はデータ項目としてサービス種別、ライセンスID、販売地域、国、タイムゾーン、商品コード、数量(台数)、利用開始日、課金開始日、利用終了日、解約予定日、状態、親サービス種別、親ライセンスID、登録用コード、機種機番、次ライセンス種別、次ライセンスID、ライセンス種別、ライセンス形態、数量(ユーザ数)、使用中の台数、使用中のユーザ数、契約形態などを有する。
サービス種別はポータル、スキャン、プリントなどのサービスの種別を特定する情報である。ライセンスIDは、本契約のライセンスや試用のためのライセンス(トライアルライセンス)を識別する識別情報である。なお、ライセンスIDは例えばテナントライセンスの場合にテナントIDとなり、サービスライセンスの場合にサービスIDとなる。
販売地域は、ライセンスを販売する地域等を表す情報である。国はライセンスを使用する国名を表している。タイムゾーンはライセンスを使用する国の標準時を表している。商品コードは、ライセンスに対応する商品を識別する識別情報である。数量(台数)はライセンスによりサービスを利用可能とすることができる機器の数量(台数)を表す情報である。
利用開始日はライセンスが有効になった日を表す情報である。課金開始日は課金の開始される日を表す情報であり、利用開始日と同日か後日(例えば翌月1日など)である。利用終了日は表示上のライセンス期限を表す情報であり、例えば課金開始日の一年後などである。解約予定日はライセンスが無効化される日を表す情報である。状態はライセンスの状態を表す情報である。ライセンスの状態には、例えば利用開始前を表す仮登録、利用中を表す登録、利用終了を表す解約などがある。
親サービス種別は、サービスライセンスの場合にテナントが設定される。親ライセンスIDはサービスライセンスの場合にテナントIDが設定される。登録用コードは、テナントライセンスの場合に設定される。登録用コードはテナントの開設時に入力するコードである。
機種機番はサービスライセンスの場合に設定される。機種機番はライセンスの対象となる機器を特定する情報である。ライセンスの対象となる機器が複数存在するボリュームライセンスの場合は、最も早く有効化された機器の機種機番が設定される。
次ライセンス種別は更新済みのサービスライセンスの場合に設定される。次ライセンス種別はサービス種別と同じ値となる。次ライセンスIDは更新済みのサービスライセンスの場合に設定される。次ライセンスIDは更新済みのサービスライセンスの利用が終了した後に有効になるライセンスのサービスIDとなる。
ライセンス種別は機器ライセンスやユーザライセンスなどのサービスライセンスの種別を特定する情報である。ライセンス種別はサービスライセンスにより利用の制限の対象である機器やユーザなどを設定する情報である。ライセンス形態は、他の種別のサービスライセンスと組み合わせて利用を許可するか、自身のサービスライセンスのみで利用を許可するか、を表す情報である。
例えばライセンス形態には「機器ライセンスのみ」や「機器ライセンス+ユーザライセンス」のような情報が設定される。ライセンス形態が「機器ライセンスのみ」である場合はライセンス種別が「機器ライセンス」であるサービスライセンスが登録されることによりサービスの利用が許可される。また、ライセンス形態が「機器ライセンス+ユーザライセンス」である場合はライセンス種別が「機器ライセンス」であるサービスライセンスとライセンス種別が「ユーザライセンス」であるサービスライセンスが登録されることによりサービスの利用が許可される。
数量(ユーザ数)はライセンスによりサービスを利用可能とすることができるユーザ数を表す情報である。使用中の台数はライセンスによりサービスが利用可能となっている機器の台数を表す情報である。使用中のユーザ数はライセンスによりサービスが利用可能となっているユーザ数を表す情報である。契約形態は本契約のライセンスか、トライアル契約のライセンス(トライアルライセンス)か、を表す情報である。
なお、図11のライセンス情報は数量(台数)と数量(ユーザ数)とをデータ項目として別々に設けたが、同一のデータ項目として扱うようにしてもよい。
図11のライセンス情報に示すように、テナントライセンスとサービスライセンスとは親子関係がある。図11のライセンス情報はテナントライセンスを親ライセンス、サービスライセンスを子ライセンスとしている。親ライセンスとなるテナントライセンスは親ライセンスIDに設定される。なお、図11のライセンス情報では、テナントライセンスとサービスライセンスとの親子関係を示したが、親子孫関係など3階層以上の関係があってもよい。
テナントライセンスはサービスプラットフォーム提供システム40を利用するために必要なライセンスである。テナントライセンスが無ければ、サービスプラットフォーム提供システム40ではテナント開設を実行できない。テナントライセンスはサービスライセンスと同じデータ形式で扱うことによりテナント自体に課金したり、課金によりサービスレベル(速度や容量)に差を設けたり、というようなことが可能となる。サービスプラットフォーム提供システム40は複数のテナントへのサービス提供を行い、テナントごとに独立したユーザ管理を提供する。
また、サービスプラットフォーム提供システム40はテナント間でデータ参照できないようにアクセス制限を行う。このため、サービスプラットフォーム提供システム40では全てのサービス利用に先立ち、テナント開設が必要となる。なお、ライセンスの親子関係は非常に柔軟なデータ構造であるため、ボリュームライセンスなどにおけるライセンスのグルーピングを表現することもできる。
なお、ボリュームライセンスの場合、有効化された機器は例えば図12に示すような有効化された機器一覧情報により管理される。図12は有効化された機器一覧情報の一例の構成図である。有効化された機器一覧情報は例えばライセンス情報記憶部154に記憶される。
図12の有効化された機器一覧情報はデータ項目として、サービスID、テナントID、機種機番及び有効化された日にちなどを有する。サービスIDはサービスライセンスを識別する識別情報である。
テナントID、機種機番はサービスIDを利用して有効化された機器の機種機番とテナントIDの情報である。有効化された日にちはサービスIDを利用して機器が有効化された日にちが設定される。
図13は機器情報の一例の構成図である。図13に示す機器情報はデータ項目としてテナントID、デバイス認証情報、事業所情報、ケーパビリティなどを有する。デバイス認証情報は、オフィス機器が特定の条件を備えていることを判別するデバイス認証(機器認証)のための情報である。
デバイス認証情報はオフィス機器に特定のアプリケーションが搭載されていることを示すIDや特定のオフィス機器であることを示す機種番号などであってもよい。事業所情報は例えばオフィス機器が設置されている事業所を表している。ケーパビリティは例えばオフィス機器の能力を表している。
<処理の詳細>
第1の実施形態に係る情報処理システム1では、前述したように認証エージェント装置31が認証チケットでのアクセス制御、及び、認証エージェントAPIの公開、を行っている。また、認証チケットでのアクセス制御はユーザ認証チケットでのアクセス制御と機器認証チケットでのアクセス制御とが含まれる。
認証エージェント装置31にはユーザ認証チケットで守りたいパスと機器認証チケットで守りたいパスとが指定されている。認証エージェント装置31はユーザ認証チケットで守りたいパスへのリクエストであればユーザ認証チケットでのアクセス制御を行い、機器認証チケットで守りたいパスであれば機器認証チケットでのアクセス制御を行う。
以下、ユーザ認証チケットでのアクセス制御、機器認証チケットでのアクセス制御及び認証エージェントAPIについて説明する。
《ユーザ認証チケットでのアクセス制御》
ユーザ認証チケットでのアクセス制御を行うため、認証エージェント装置31は図14に示すような設定項目を有する設定ファイルを利用する。図14は設定項目の一例を表した構成図である。
設定ファイルに設定される設定項目には、例えばリダイレクト先URL、複合機(MFP)であることを示すHTTPヘッダ、付与するヘッダ、認証チケット名、認証基盤のアドレス、HTTPSの設定、キャッシュ時間、保護除外URLが含まれる。
リダイレクト先URLは、認証チケットが正しくないとき、認証エージェント装置31で想定外のエラーが発生したとき、のリダイレクトURLを指定する。MFPであることを示すHTTPヘッダは、User−Agentなど、どのHTTPヘッダを見てMFPからのアクセスであるかを指定できる。なお、MFPであることを示すHTTPヘッダは一例であって、画像形成装置12からのアクセスであるかを指定できればよい。
付与するヘッダは認証チケットが正しい(正当である)とき、どの情報をどんなヘッダ名でHTTPヘッダに付与するかを指定する。認証チケット名はクッキーにある、どの名前を認証チケットとするかを指定する。認証基盤のアドレスは認証チケットの正当性を問い合わせる認証チケット問い合わせ先のURLを指定する。HTTPSの設定は自己署名でもokにするか、全く見ないようにするかを指定する。
キャッシュ時間は認証チケットをキャッシュする時間を指定する。保護除外URLは認証チケットの正当性を判断せず、そのままサービス提供装置32へのアクセスを許可するURLを指定する。
なお、図14の設定項目では設定項目ごとにサービス提供装置32を提供する外部ベンダが変更できるか否かを指定できる。図14の設定項目は外部ベンダが保護除外URLを変更できる例を示している。
なお、図14の設定項目を有する設定ファイルはサービス提供システム30ごとに保持させることができる。したがって、第1の実施形態に係る情報処理システム1ではサービス提供装置32ごとに設定項目による指定を替えることができる。また、図14の設定項目を有する設定ファイルは外部ベンダが設定項目を変更できないように、設定ファイル内に署名を行うようにしてもよい。
図15は署名した設定ファイルの一例の構成図である。図15の設定ファイルは署名を行うことで外部ベンダなどによる設定項目の変更を防止する。認証エージェント装置31は設定項目による指定を読み出す前に署名の検証を行い、その署名が正しくなければ後述のアクセス制御の処理を開始しない。
なお、設定ファイル内の署名の復号に必要なパスワードはブロック暗号化で暗号化して認証エージェント装置31内の別ファイルとして保持しておいてもよい。設定ファイル内の署名の復号はサービスプラットフォーム提供システム40で行ってもよい。設定ファイルを署名付きで暗号化しておくことで、認証エージェント装置31は設定項目による指定を読み出す前に署名の検証を行い、外部ベンダなどによる設定項目の変更を防ぐようにしてもよい。
図16はユーザ認証チケットでのアクセス制御の一例のフローチャートである。図16に示すように、認証エージェント装置31はステップS11においてクライアント200からのアクセスがMFP用のURLへのアクセスであり、且つ、MFPであることを示すHTTPヘッダが無いかを判定する。なお、MFPであることを示すHTTPヘッダは図14の設定項目により指定されている。
クライアント200からのアクセスがMFP用のURLへのアクセスであり、且つ、MFPであることを示すHTTPヘッダが無ければ、認証エージェント装置31はステップS12に進み、404ページにリダイレクトさせる。404ページはユーザがアクセスしたページが存在しない場合に表示されるエラーページの一例である。
クライアント200からのアクセスがMFP用のURLへのアクセスであり、且つ、MFPであることを示すHTTPヘッダが無い、場合以外であれば、認証エージェント装置31はステップS13に進む。ステップS13において認証エージェント装置31はリクエストから既存の本人情報ヘッダの削除を行う。ステップS13の処理はクライアント200側で勝手に付けられた本人情報ヘッダを削除するものである。
ステップS14において、認証エージェント装置31はリクエスト先のURLが保護除外URLにマッチ(合致)しているかを判定する。リクエスト先のURLが保護除外URLにマッチしていれば、認証エージェント装置31はステップS22に進み、サービス提供装置32へのアクセスを許可する。
リクエスト先のURLが保護除外URLにマッチしていなければ、認証エージェント装置31はステップS15に進み、リクエストにユーザ認証チケットが存在しないか否かを判定する。ユーザ認証チケットがリクエストに存在しなければ、認証エージェント装置31はステップS19に進み、後述するエラー処理を行う。
ユーザ認証チケットがリクエストに存在すれば、認証エージェント装置31はステップS16に進む。ステップS16において認証エージェント装置31は有効なユーザ認証チケットがキャッシュに存在するか否かを判定する。
有効なユーザ認証チケットがキャッシュに存在すれば、認証エージェント装置31はステップS21に進み、リクエストのHTTPヘッダに例えば図17に示すような本人情報ヘッダを付与する。
図17は本人情報ヘッダの一例の構成図である。本人情報ヘッダはユーザ情報ヘッダとライセンス情報ヘッダとを含む。本人情報ヘッダはHTTPヘッダ名と内容とを含む構成である。図17の本人情報ヘッダは設定ファイルの設定項目「付与するヘッダ」により指定された内容で構成される。
例えば図17のユーザ情報ヘッダ例では、テナントIDをHTTPヘッダ名「X−Tenant−Id」で付与し、ユーザIDをHTTPヘッダ名「X−User−Id」で付与し、姓をHTTPヘッダ名「X−Last−Name」で付与している。また、ライセンス情報ヘッダ例では例えばサービス種別をHTTPヘッダ名「X−Service−Class」で付与し、課金区分をHTTPヘッダ名「X−Charge−Kind」で付与している。
ステップS21において本人情報ヘッダをリクエストのHTTPヘッダに付与したあと認証エージェント装置31はステップS22に進み、サービス提供装置32へのアクセスを許可する。
一方、ステップS16において有効なユーザ認証チケットがキャッシュに存在しなければ認証エージェント装置31はステップS17に進み、リクエストに存在したユーザ認証チケットの正当性をサービスプラットフォーム提供システム40に問い合わせる。
ステップS18に進み、認証エージェント装置31はサービスプラットフォーム提供システム40にユーザ認証チケットの正当性を問い合わせた結果に基づき、リクエストに存在したユーザ認証チケットが不正であるかを判定する。リクエストに存在したユーザ認証チケットが不正であれば、認証エージェント装置31はステップS19に進み、後述するエラー処理を行う。
リクエストに存在したユーザ認証チケットが不正なユーザ認証チケットでなければ、認証エージェント装置31はステップS20に進み、リクエストに存在した正当なユーザ認証チケットをキャッシュに保存する。その後、認証エージェント装置31はステップS21において本人情報ヘッダをリクエストのHTTPヘッダに付与し、ステップS22においてクライアント200からサービス提供装置32へのアクセスを許可する。
ステップS19のエラー処理は例えば図18に示すように行う。図18はエラー処理の一例のフローチャートである。ステップS31において認証エージェント装置31はクライアント200からのアクセスがMFP用のURLへのアクセスであり、且つ、MFPであることを示すHTTPヘッダがあるかを判定する。
クライアント200からのアクセスがMFP用のURLへのアクセスであり、且つ、MFPであることを示すHTTPヘッダがあれば、認証エージェント装置31はステップS33において例えばJSON形式のエラーレスポンスをクライアント200に返す。
もしくは、ステップS31において認証エージェント装置31は認証チケットが不正である場合のレスポンスとしてエラーレスポンスが指定されているか否かを判定する。例えば認証チケットが不正である場合のレスポンスの指定はクライアント200がリクエストのHTTPヘッダ名「X−Error−Response−Form」に付与することで行うことができる。
HTTPヘッダ名「X−Error−Response−Form」によるレスポンスの指定では、例えば認証チケットが不正である場合に、レスポンスをリダイレクトにするかJSON形式によるエラーレスポンスにするか、を以下のように指定できる。
json形式 → X-Error-Response-Form:json
リダイレクト形式 →X-Error-Response-Form:redirect
認証チケットが不正である場合のレスポンスとしてエラーレスポンスが指定されていなければ認証エージェント装置31はステップS32に進む。ステップS32において認証エージェント装置31はクライアント200からのリクエストをPC用のログイン画面にリダイレクトさせる。
なお、リダイレクトのURLにはクライアント200からのリクエストのアクセス先のURLをクエリ情報として追記しておき、ログイン後にリクエストのアクセス先のURLにアクセスできるようにする。
一方、認証チケットが不正である場合のレスポンスとしてエラーレスポンスが指定されていれば、認証エージェント装置31はステップS33において例えばJSON形式のエラーレスポンスをクライアント200に返す。
図18のエラー処理により、認証エージェント装置31はリクエストに正当なユーザ認証チケットが存在しない場合に、リクエスト元のクライアント200の種類(ユーザ端末11、画像形成装置12など)に応じてレスポンスを変化させることができる。図18のフローチャートはクライアント200が画像形成装置12の場合にレスポンスをJSON形式で返し、クライアント200がユーザ端末11である場合にレスポンスをリダイレクトにしている。
図19はユーザ認証チケットでのアクセス制御の一例のシーケンス図である。ステップS51において、ユーザが操作するクライアント200はテナントID、ユーザID及びパスワードを指定してポータルサービスアプリ111にログインを要求する。
ステップS52において、ポータルサービスアプリ111は認証・認可部131にテナントID、ユーザID及びパスワードを指定してログインを要求する。認証・認可部131は指定されたテナントID、ユーザID及びパスワードで認証を行い、認証に成功するとユーザ認証チケットを発行する。認証・認可部131は、テナントID及びユーザIDとユーザ認証チケットとを紐付けてセッションDB181に記憶させる。セッションDB181はセッション情報を記憶する記憶部である。
また、認証・認可部131は発行したユーザ認証チケットをポータルサービスアプリ111経由でクライアント200に通知する。ステップS54に進み、クライアント200はユーザ認証チケットを含めてサービス提供システム30にリクエストを行う。ステップS54のリクエストにはAPIを利用できる。
ステップS55に進み、サービス提供システム30の認証エージェント装置31はクライアント200からのリクエストに含まれていたユーザ認証チケットのチェックをサービスプラットフォーム提供システム40の認証・認可部131に要求する。認証・認可部131はステップS56に進み、チェックを要求されたユーザ認証チケットでセッションDB181のレコードを検索し、チェックを要求されたユーザ認証チケットと紐付くテナントID及びユーザIDを取得する。
なお、認証・認可部131はチェックを要求されたユーザ認証チケットと紐付くテナントID及びユーザIDを検索できなければ、不正なユーザ認証チケットであることを表すチェック結果を認証エージェント装置31に返す。例えば認証エージェント装置31はエラーレスポンスやリダイレクトをクライアント200に返す。
チェックを要求されたユーザ認証チケットと紐付くテナントID及びユーザIDを取得した認証・認可部131はステップS57において、ユーザ・テナントDB182を検索してユーザ認証チケットに対応するユーザ関連情報を取得する。なお、ユーザ・テナントDB182は図5のテナント情報記憶部152及びユーザ情報記憶部153に対応するものである。
また、ステップS58において、認証・認可部131はライセンスDB183を検索してユーザ認証チケットに対応するライセンス関連情報を取得する。なお、ライセンスDB183は図5のライセンス情報記憶部154に対応するものである。
ステップS59において、認証・認可部131は取得したユーザ関連情報及びライセンス関連情報を含むチケット関連情報を認証エージェント装置31に通知する。ステップS60において、認証エージェント装置31は通知されたチケット関連情報に基づき、図17に示した本人情報ヘッダをリクエストのHTTPヘッダに付与する。
本人情報ヘッダに含まれるライセンス情報ヘッダのHTTPヘッダ名「X−No−Permission−Reason」は認証エージェント装置31がライセンス関連情報からサービス権限が無いと判定した場合に、以下のように付与する。
図20はHTTPヘッダ名「X−No−Permission−Reason」の値の付与について説明する図である。図20に示すようにHTTPヘッダ名「X−No−Permission−Reason」の値は、図17のライセンス情報ヘッダ例に含まれている契約終了日、課金区分、実行可能なアクションの組み合わせにより、サービス権限無しの理由が対応付けられている。図20にはサービス権限無しの理由として、トライアル期限切れ、本契約期限切れ、未契約及び期限無しを示している。
ライセンス情報ヘッダ例に含まれている契約終了日は実際に契約が終了になった日を表しているため、契約が実際に終了しないと値が入らない。したがって、契約終了日に値が入っている場合は契約が終了していると判断できる。また、契約終了日に値が入っていない場合は契約が終了していないと判断できる。
認証エージェント装置31は図20に示すように、図17のライセンス情報ヘッダ例に含まれている契約終了日、課金区分、実行可能なアクションの組み合わせによりサービス権限無しであること、及び、サービス権限無しの理由を判定できる。したがって、認証エージェント装置31はサービス権限無しであると判定した場合に、そのサービス権限無しの理由をHTTPヘッダ名「X−No−Permission−Reason」の値として付与することができる。
図19に戻り、認証エージェント装置31はステップS61に進み、図17の本人情報ヘッダをHTTPヘッダに付与したリクエストにより、サービス提供装置32にサービスの提供をリクエストする。ステップS61のリクエストにはAPIを利用できる。サービス提供装置32はリクエストに応じたサービスをクライアント200に提供する。
サービス提供装置32は図17の本人情報ヘッダをHTTPヘッダに付与したリクエストからユーザ情報ヘッダやライセンス情報ヘッダの内容を取得できる。ユーザ情報ヘッダやライセンス情報ヘッダの内容はサービスプラットフォーム提供システム40が保持する情報を含ませることができる。
したがって、サービス提供装置32はサービスプラットフォーム提供システム40に直接アクセスしなくても、サービスプラットフォーム提供システム40が保持する情報を取得し、クライアント200へのサービスの提供に利用できる。
以上、第1の実施形態に係るユーザ認証チケットでのアクセス制御によれば、ユーザ認証チケットで守りたいパスへのリクエストに対してユーザ認証チケットでのアクセス制御を行うことができる。また、第1の実施形態に係るユーザ認証チケットでのアクセス制御によれば、図14の設定項目を有する設定ファイルを利用することで、サービスプラットフォーム提供システム40が保持する情報をリクエストに含ませてサービス提供装置32に提供できる。リクエストには、例えば図17のユーザ情報やライセンス情報を含ませることができる。また、リクエストにはレスポンスの形式を指定する情報を含ませることができる。
《機器認証チケットでのアクセス制御》
機器認証チケットでのアクセス制御は一部を除いてユーザ認証チケットでのアクセス制御と同様であるため、適宜説明を省略する。機器認証チケットでのアクセス制御を行うために認証エージェント装置31は図14に示したような設定項目を有する。
図21は機器認証チケットでのアクセス制御の一例のフローチャートである。図21に示すように、認証エージェント装置31はステップS81に進み、リクエストに機器認証チケットが存在しないか否かを判定する。機器認証チケットがリクエストに存在しなければ認証エージェント装置31はステップS87に進み、エラーレスポンスを返す。
機器認証チケットがリクエストに存在すれば、認証エージェント装置31はステップS82に進み、有効な機器認証チケットがキャッシュに存在するか否かを判定する。有効な機器認証チケットがキャッシュに存在すれば認証エージェント装置31はステップS86に進み、リクエストのHTTPヘッダに前述した本人情報ヘッダと同様な手順で機器情報ヘッダを付与する。機器情報ヘッダをリクエストのHTTPヘッダに付与したあと、認証エージェント装置31はサービス提供装置32へのアクセスを許可する。
一方、ステップS82において有効な機器認証チケットがキャッシュに存在しなければ認証エージェント装置31はステップS83に進み、機器認証チケットの正当性をサービスプラットフォーム提供システム40に問い合わせる。
ステップS84に進み、認証エージェント装置31はサービスプラットフォーム提供システム40に機器認証チケットの正当性を問い合わせた結果に基づき、リクエストに存在した機器認証チケットが不正であるかを判定する。機器認証チケットが不正であれば認証エージェント装置31はステップS87に進み、エラーレスポンスを返す。
機器認証チケットが不正な機器認証チケットでなければ、認証エージェント装置31はステップS86に進み、リクエストに存在した正当な機器認証チケットをキャッシュに保存する。その後、認証エージェント装置31はステップS86において機器情報ヘッダをリクエストのHTTPヘッダに付与したあと、サービス提供装置32へのアクセスを許可する。
認証エージェント装置31は機器情報ヘッダをHTTPヘッダに付与したリクエストにより、サービス提供装置32にサービスの提供をリクエストする。サービス提供装置32はリクエストに応じたサービスをクライアント200に提供する。
サービス提供装置32は、機器情報ヘッダをHTTPヘッダに付与したリクエストから機器情報ヘッダの内容を取得できる。機器情報ヘッダの内容はサービスプラットフォーム提供システム40が保持する情報を含ませることができる。
したがって、サービス提供装置32はサービスプラットフォーム提供システム40に直接アクセスしなくても、サービスプラットフォーム提供システム40が保持する情報を取得し、クライアント200へのサービスの提供に利用できる。
以上、第1の実施形態に係る機器認証チケットでのアクセス制御によれば、機器認証チケットで守りたいパスへのリクエストに対して機器認証チケットでのアクセス制御を行うことができる。また、第1の実施形態に係る機器認証チケットでのアクセス制御によれば設定ファイルを利用することで、サービスプラットフォーム提供システム40が保持する情報をリクエストに含ませてサービス提供装置32に提供できる。
《認証エージェントAPI》
認証エージェント装置31は前述したように認証エージェントAPIを実装し、サービス提供装置32に公開している。認証エージェントAPIを利用したリクエストをサービス提供装置32から受け付けると、認証エージェント装置31は図22に示すような処理を行う。
図22は認証エージェントAPIの一例のフローチャートである。図22に示すように認証エージェント装置31はステップS101においてサービス提供装置32からのアクセスがMFP用のURLへのアクセスであり、且つ、MFPであることを示すHTTPヘッダが無いかを判定する。なお、MFPであることを示すHTTPヘッダは図14の設定項目により指定されている。
MFP用のURLへのアクセスであり、且つ、MFPであることを示すHTTPヘッダが無ければ、認証エージェント装置31はステップS102に進み、404ページにリダイレクトさせる。
MFP用のURLへのアクセスであり、且つ、MFPであることを示すHTTPヘッダが無い、場合以外であれば、認証エージェント装置31はステップS103に進み、リクエストに認証チケットが存在しないか否かを判定する。認証チケットがリクエストに存在しなければ、認証エージェント装置31はステップS107に進み、エラーレスポンスを返す。
認証チケットがリクエストに存在すれば、認証エージェント装置31はステップS104に進む。ステップS104において認証エージェント装置31は有効な認証チケットがキャッシュに存在するか否かを判定する。有効な認証チケットがキャッシュに存在すれば認証エージェント装置31はステップS109に進み、リクエストに応じたレスポンスを返す。
一方、ステップS104において有効な認証チケットがキャッシュに存在しなければ認証エージェント装置31はステップS105に進み、リクエストに存在した認証チケットの正当性をサービスプラットフォーム提供システム40に問い合わせる。
ステップS106に進み、認証エージェント装置31はサービスプラットフォーム提供システム40に認証チケットの正当性を問い合わせた結果に基づき、リクエストに存在した認証チケットが不正であるかを判定する。
リクエストに存在した認証チケットが不正であれば、認証エージェント装置31はステップS107に進み、エラーレスポンスを返す。リクエストに存在した認証チケットが不正な認証チケットでなければステップS108において認証エージェント装置31はリクエストに存在した正当な認証チケットをキャッシュに保存する。
なお、認証チケットを保存するキャッシュは認証チケットによるアクセス制御と共有するものとする。したがって、認証エージェントAPIでキャッシュに認証チケットが保存されていれば、認証チケットによるアクセス制御時においてもキャッシュに認証チケットが存在すると判定される。その後、認証エージェント装置31はステップS109においてリクエストに応じたレスポンスを返す。
図23は認証エージェントAPIの一例について説明する図である。図23(A)は認証エージェントAPIが無い場合を表している。図23(B)は認証エージェントAPIがある場合を表している。また、図23では認証エージェント装置31とサービス提供装置32とが同一のネットワークAに存在し、サービスプラットフォーム提供システム40が異なるネットワークBに存在している例を示している。
図23(A)に示すように、認証エージェントAPIが無い場合、サービス提供装置32はサービスプラットフォーム提供システム40から直接、必要な情報を取得する必要がある。サービスプラットフォーム提供システム40はサービス提供装置32からのアクセスを受け付けるため、サービス提供装置32が情報を取得するためのAPIをパブリックにしておく必要があった。また、認証エージェントAPIが無い場合はクロスドメイン対応も必要となる。
一方、図23(B)に示すように、認証エージェントAPIがある場合、サービス提供装置32は認証エージェント装置31を経由して、サービスプラットフォーム提供システム40から必要な情報を取得できる。
サービスプラットフォーム提供システム40はサービス提供装置32からのアクセスを直接受け付けることが無くなるため、サービス提供装置32が情報を取得するためのAPIをパブリックにしておく必要もない。また、認証エージェントAPIがある場合はクロスドメイン対応も不要となる。
図24は認証エージェントAPIのレスポンス例を示す図である。認証エージェント装置31がサービス提供装置32に返す認証エージェントAPIのレスポンスは例えば図24に示すように、ヘッダに情報1000が付与されている。したがって、サービス提供装置32は認証エージェントAPIを利用することで、認証エージェント装置31を経由してサービスプラットフォーム提供システム40から情報1000を取得できる。
図25は認証エージェントAPIの一例のシーケンス図である。なお、図25のシーケンス図では省略しているが、サービス提供装置32は有効な認証チケットを取得しているものとする。
ステップS151に進み、サービス提供装置32は認証エージェントAPIを利用してサービスプラットフォーム提供システム40からの情報の取得をリクエストする。このリクエストには認証チケットを含ませておく。
ステップS152に進み、認証エージェント装置31はサービス提供装置32からのリクエストに含まれていた認証チケットを指定してサービスプラットフォーム提供システム40に情報の取得をリクエストする。
サービスプラットフォーム提供システム40の認証・認可部131はステップS153に進み、認証チケットでセッションDB181のレコードを検索し、認証チケットと紐付くテナントID及びユーザIDを取得する。
なお、認証・認可部131は認証チケットと紐付くテナントID及びユーザIDを検索できなければ、エラーレスポンスを認証エージェント装置31に返す。認証チケットと紐付くテナントID及びユーザIDを取得した認証・認可部131はステップS154において、ユーザ・テナントDB182を検索して認証チケットに対応するユーザ関連情報を取得する。また、ステップS155において、認証・認可部131はライセンスDB183を検索して認証チケットに対応するライセンス関連情報を取得する。
ステップS156において、認証・認可部131は取得したユーザ関連情報及びライセンス関連情報を含むチケット関連情報を認証エージェント装置31に通知する。ステップS157において、認証エージェント装置31は通知されたチケット関連情報を利用してレスポンスを生成する。生成したレスポンスには通知されたチケット関連情報の少なくとも一部を含ませることができる。ステップS158において、認証エージェント装置31は生成したレスポンスをサービス提供装置32に返す。
したがって、サービス提供装置32はサービスプラットフォーム提供システム40に直接アクセスしなくても、サービスプラットフォーム提供システム40が保持する情報を取得し、クライアント200へのサービスの提供に利用できる。
以上、第1の実施形態に係る情報処理システム1によれば、サービスプラットフォーム提供システム40から情報を取得する認証エージェントAPIを設け、サービス提供装置32に利用させることができる。
このため、サービスプラットフォーム提供システム40は、サービス提供装置32から直接、情報の問い合わせを受け付ける仕組みを設けることなく、サービス提供装置32がサービスの提供の為に必要な情報を提供できる。
本発明は、具体的に開示された上記の実施形態に限定されるものではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。ユーザ端末11、画像形成装置12はサービス利用装置の一例である。認証エージェント装置31はアクセス制御手段、アクセス制御装置の一例である。サービスプラットフォーム提供システム40は情報提供手段、情報提供装置の一例である。認証チケットは認証済みであることを示す情報の一例である。
1 情報処理システム
10 ユーザシステム
11 ユーザ端末
12 画像形成装置
20 アプリマーケット提供システム
21 アプリマーケット提供サーバ
30 サービス提供システム
31 認証エージェント装置
32 サービス提供装置
40 サービスプラットフォーム提供システム
50 業務プラットフォーム提供システム
51 業務端末
52 ライセンス管理サーバ
101 アプリケーション
102 共通サービス
103 データベース(DB)
104 プラットフォームAPI(Application Programming Interface)
111 ポータルサービスアプリ
112 スキャンサービスアプリ
113 プリントサービスアプリ
114 アカウント登録アプリ
121 スキャンサービス部
122 プリントサービス部
123 アカウント登録部
131 認証・認可部
132 テナント管理部
133 ユーザ管理部
134 ライセンス管理部
135 機器管理部
136 一時画像保存部
137 データ保管部
138 画像処理ワークフロー制御部
139 ログ収集部
141 メッセージキュー
142 ワーカー
151 ログ情報記憶部
152 テナント情報記憶部
153 ユーザ情報記憶部
154 ライセンス情報記憶部
155 機器情報記憶部
156 一時画像記憶部
157 ジョブ情報記憶部
158 アプリケーション固有の設定情報記憶部
200 クライアント
500 コンピュータ
501 入力装置
502 表示装置
503 外部I/F
503a 記録媒体
504 RAM
505 ROM
506 CPU
507 通信I/F
508 HDD
601 コントローラ
602 操作パネル
603 外部I/F
603a 記録媒体
604 通信I/F
605 プリンタ
606 スキャナ
611 CPU
612 RAM
613 ROM
614 NVRAM
615 HDD
B バス
FW ファイヤウォール
N1〜N3 ネットワーク
特開2006−31714号公報

Claims (11)

  1. 1以上の情報処理装置を含む情報処理システムであって、
    サービス利用装置からサービス提供装置に対するリクエストを受け付け、前記リクエストに認証済みであることを示す情報が含まれている場合に、前記リクエストに付与する付与情報の種類が設定されている設定情報に基づき、前記設定情報に設定されている種類の前記付与情報を前記リクエストに付与して、該リクエストを前記サービス提供装置に送信するアクセス制御手段と、
    前記認証済みであることを示す情報と対応付けて前記付与情報を管理し、前記アクセス制御手段から受信した前記認証済みであることを示す情報と対応する前記付与情報を前記アクセス制御手段に提供する情報提供手段と、
    を有する情報処理システム。
  2. 前記アクセス制御手段は、前記サービス提供装置からのリクエストを受け付け、前記リクエストに認証済みであることを示す情報が含まれている場合に、前記設定情報に設定されている種類の前記付与情報を前記リクエストに対するレスポンスに付与すること
    を特徴とする請求項1記載の情報処理システム。
  3. 前記アクセス制御手段は、API(Application Programming Interface)により前記サービス提供装置からのリクエストを受け付けること
    を特徴とする請求項2記載の情報処理システム。
  4. 前記アクセス制御手段は、前記設定情報に設定されている前記リクエストに含まれる前記サービス利用装置の種類を示す情報に基づき、前記サービス利用装置の種類を判断して前記認証済みであることを示す情報によるアクセス制御を異ならせること
    を特徴とする請求項1乃至3何れか一項記載の情報処理システム。
  5. 前記アクセス制御手段は、前記リクエストに、前記認証済みであることを示す情報が正当でない場合のレスポンスの形式が指定されている場合に、指定された形式で前記リクエストに対するエラーレスポンスを返すこと
    を特徴とする請求項1乃至4何れか一項記載の情報処理システム。
  6. 前記アクセス制御手段は、サービスを利用する権限が無い前記サービス利用装置からのリクエストである場合に、前記サービスを利用する権限が無い理由を前記リクエストに付与して、該リクエストを前記サービス提供装置に送信すること
    を特徴とする請求項1乃至5何れか一項記載の情報処理システム。
  7. 前記アクセス制御手段は、前記サービス利用装置から前記サービス提供装置に対するリクエストに含まれていた正当な前記認証済みであることを示す情報、又は、前記サービス提供装置からのリクエストに含まれていた正当な前記認証済みであることを示す情報を同一の記憶手段に記憶しておき、前記記憶手段に前記認証済みであることを示す情報が記憶されていれば利用すること
    を特徴とする請求項2記載の情報処理システム。
  8. 前記アクセス制御手段は、前記付与情報を前記リクエストのヘッダ部分に付与すること
    を特徴とする請求項1乃至7何れか一項記載の情報処理システム。
  9. サービス利用装置からサービス提供装置に対するリクエストを受け付け、前記リクエストに認証済みであることを示す情報が含まれている場合に、前記リクエストに付与する付与情報の種類が設定されている設定情報に基づき、前記設定情報に設定されている種類の前記付与情報を前記リクエストに付与して、該リクエストを前記サービス提供装置に送信するアクセス制御手段と、
    前記認証済みであることを示す情報と対応付けて前記付与情報を管理する情報提供装置から、前記認証済みであることを示す情報と対応する前記付与情報を取得する情報取得手段と、
    を有することを特徴とする情報処理装置。
  10. サービス利用装置からサービス提供装置に対するリクエストを受け付け、該リクエストを前記サービス提供装置に送信するアクセス制御装置と、認証済みであることを示す情報と対応付けて付与情報を管理し、前記認証済みであることを示す情報と対応する前記付与情報を前記アクセス制御装置に提供する情報提供装置と、を含む情報処理システムにおいて実行されるアクセス制御方法であって、
    前記リクエストに認証済みであることを示す情報が含まれている場合に、前記アクセス制御装置が前記情報提供装置から前記認証済みであることを示す情報と対応する前記付与情報を取得するステップと、
    前記リクエストに付与する付与情報の種類が設定されている設定情報に基づき、前記設定情報に設定されている種類の前記付与情報を前記リクエストに付与して、該リクエストを前記サービス提供装置に送信するステップと、
    を有するアクセス制御方法。
  11. コンピュータを、
    サービス利用装置からサービス提供装置に対するリクエストを受け付け、前記リクエストに認証済みであることを示す情報が含まれている場合に、前記リクエストに付与する付与情報の種類が設定されている設定情報に基づき、前記設定情報に設定されている種類の前記付与情報を前記リクエストに付与して、該リクエストを前記サービス提供装置に送信するアクセス制御手段、
    前記認証済みであることを示す情報と対応付けて前記付与情報を管理する情報提供装置から、前記認証済みであることを示す情報と対応する前記付与情報を取得する情報取得手段、
    として機能させるためのプログラム。
JP2014221763A 2014-10-30 2014-10-30 情報処理システム、情報処理装置、アクセス制御方法及びプログラム Active JP6459398B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2014221763A JP6459398B2 (ja) 2014-10-30 2014-10-30 情報処理システム、情報処理装置、アクセス制御方法及びプログラム
US14/923,626 US10282525B2 (en) 2014-10-30 2015-10-27 Information processing system, information processing apparatus, access control method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014221763A JP6459398B2 (ja) 2014-10-30 2014-10-30 情報処理システム、情報処理装置、アクセス制御方法及びプログラム

Publications (2)

Publication Number Publication Date
JP2016091117A true JP2016091117A (ja) 2016-05-23
JP6459398B2 JP6459398B2 (ja) 2019-01-30

Family

ID=55852971

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014221763A Active JP6459398B2 (ja) 2014-10-30 2014-10-30 情報処理システム、情報処理装置、アクセス制御方法及びプログラム

Country Status (2)

Country Link
US (1) US10282525B2 (ja)
JP (1) JP6459398B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7468284B2 (ja) 2020-10-05 2024-04-16 富士通株式会社 情報処理装置、配信制御プログラム、及び、情報処理システム

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10728342B1 (en) * 2016-06-30 2020-07-28 EMP IP Holding Company LLC Plug and play multi tenancy support for cloud applications
JP6907619B2 (ja) 2017-03-15 2021-07-21 株式会社リコー 情報処理システム、情報処理方法、及び情報処理装置
JP2019021133A (ja) * 2017-07-19 2019-02-07 キヤノン株式会社 情報処理装置及びその制御方法、及びプログラム
JP6704881B2 (ja) * 2017-08-31 2020-06-03 キヤノン株式会社 システム
JP7363049B2 (ja) * 2019-02-18 2023-10-18 日本電気株式会社 業務サービス提供システム、業務サービス復旧方法及び業務サービス復旧プログラム
JP7456217B2 (ja) 2020-03-18 2024-03-27 株式会社リコー 情報処理システム、ユーザー作成方法
JP7484455B2 (ja) 2020-06-09 2024-05-16 株式会社リコー サービス提供システム、アプリ利用方法、情報処理システム

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004094619A (ja) * 2002-08-30 2004-03-25 Dainippon Printing Co Ltd 認証方法およびシステム
JP2008123027A (ja) * 2006-11-08 2008-05-29 Rakuten Inc 取引システム、アフィリエイト処理装置、アフィリエイト処理方法及びアフィリエイト処理プログラム
JP2009230354A (ja) * 2008-03-21 2009-10-08 Nippon Telegr & Teleph Corp <Ntt> サービス管理方法及びサービス管理システム
JP2010056627A (ja) * 2008-08-26 2010-03-11 Ricoh Co Ltd 画像読取装置、その制御方法及びプログラム
JP2010128719A (ja) * 2008-11-26 2010-06-10 Hitachi Ltd 認証仲介サーバ、プログラム、認証システム及び選択方法
JP2010267118A (ja) * 2009-05-15 2010-11-25 Toshiba Corp 情報連携基盤プログラム
JP2011076425A (ja) * 2009-09-30 2011-04-14 Fujitsu Ltd 中継装置、異なる端末装置間のサービス継続方法、及び中継プログラム
JP2013008229A (ja) * 2011-06-24 2013-01-10 Canon Inc 認証システムおよび認証方法およびプログラム

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060021018A1 (en) 2004-07-21 2006-01-26 International Business Machines Corporation Method and system for enabling trust infrastructure support for federated user lifecycle management
JP4892011B2 (ja) * 2007-02-07 2012-03-07 日本電信電話株式会社 クライアント装置、鍵装置、サービス提供装置、ユーザ認証システム、ユーザ認証方法、プログラム、記録媒体
US8230490B2 (en) * 2007-07-31 2012-07-24 Keycorp System and method for authentication of users in a secure computer system
JP6248641B2 (ja) 2014-01-15 2017-12-20 株式会社リコー 情報処理システム及び認証方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004094619A (ja) * 2002-08-30 2004-03-25 Dainippon Printing Co Ltd 認証方法およびシステム
JP2008123027A (ja) * 2006-11-08 2008-05-29 Rakuten Inc 取引システム、アフィリエイト処理装置、アフィリエイト処理方法及びアフィリエイト処理プログラム
JP2009230354A (ja) * 2008-03-21 2009-10-08 Nippon Telegr & Teleph Corp <Ntt> サービス管理方法及びサービス管理システム
JP2010056627A (ja) * 2008-08-26 2010-03-11 Ricoh Co Ltd 画像読取装置、その制御方法及びプログラム
JP2010128719A (ja) * 2008-11-26 2010-06-10 Hitachi Ltd 認証仲介サーバ、プログラム、認証システム及び選択方法
JP2010267118A (ja) * 2009-05-15 2010-11-25 Toshiba Corp 情報連携基盤プログラム
JP2011076425A (ja) * 2009-09-30 2011-04-14 Fujitsu Ltd 中継装置、異なる端末装置間のサービス継続方法、及び中継プログラム
JP2013008229A (ja) * 2011-06-24 2013-01-10 Canon Inc 認証システムおよび認証方法およびプログラム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7468284B2 (ja) 2020-10-05 2024-04-16 富士通株式会社 情報処理装置、配信制御プログラム、及び、情報処理システム

Also Published As

Publication number Publication date
JP6459398B2 (ja) 2019-01-30
US20160125177A1 (en) 2016-05-05
US10282525B2 (en) 2019-05-07

Similar Documents

Publication Publication Date Title
US10776458B2 (en) Information processing system, information processing apparatus, account registration method, and program
JP6459398B2 (ja) 情報処理システム、情報処理装置、アクセス制御方法及びプログラム
JP6476760B2 (ja) 情報処理システム、情報処理装置、ログイン方法、及びプログラム
JP6291826B2 (ja) 情報処理システム及びライセンス管理方法
US9430637B2 (en) Service providing system and information gathering method
JP6318940B2 (ja) サービス提供システム、データ提供方法及びプログラム
JP6372311B2 (ja) 情報処理システム、電子機器、サービス認可方法及びプログラム
US9659154B2 (en) Information processing system, information processing apparatus, method of administrating license, and program
JP6380009B2 (ja) 情報処理システム、認証方法、および情報処理装置
JP6111713B2 (ja) 情報処理システム、情報処理装置、認証情報管理方法及びプログラム
JP2016004453A (ja) サービス提供システム、ログ情報提供方法及びプログラム
JP2017033339A (ja) サービス提供システム、情報処理装置、プログラム及びサービス利用情報作成方法
JP6183035B2 (ja) サービス提供システム、サービス提供方法及びプログラム
JP6102296B2 (ja) 情報処理システム、情報処理装置、認証方法及びプログラム
JP6447766B2 (ja) サービス提供システム、データ提供方法及びプログラム
JP6205946B2 (ja) サービス提供システム、情報収集方法及びプログラム
JP6241111B2 (ja) サービス提供システム、情報処理システム、利用制限方法及びプログラム
JP6773173B2 (ja) 情報処理システム、情報処理装置、アカウント登録方法及びプログラム
JP6299101B2 (ja) サービス提供システム、サービス提供方法及びプログラム
JP2017041221A (ja) サービス提供システム、サービス提供方法、情報処理装置及びプログラム
JP2015028740A (ja) サービス提供システム、サービス提供方法及びプログラム
JP2015146147A (ja) サービス提供システム、情報処理装置、画像提供方法及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171010

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180418

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180508

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180706

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20181204

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20181217

R151 Written notification of patent or utility model registration

Ref document number: 6459398

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151