JP2017126191A - Giving authority system, information processing device and control method - Google Patents

Giving authority system, information processing device and control method Download PDF

Info

Publication number
JP2017126191A
JP2017126191A JP2016004997A JP2016004997A JP2017126191A JP 2017126191 A JP2017126191 A JP 2017126191A JP 2016004997 A JP2016004997 A JP 2016004997A JP 2016004997 A JP2016004997 A JP 2016004997A JP 2017126191 A JP2017126191 A JP 2017126191A
Authority
JP
Japan
Prior art keywords
information processing
processing apparatus
client
information
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2016004997A
Other languages
Japanese (ja)
Inventor
三原 誠
Makoto Mihara
誠 三原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2016004997A priority Critical patent/JP2017126191A/en
Publication of JP2017126191A publication Critical patent/JP2017126191A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide an empowerment system that allows giving authority to be easily set with respect to lots of instruments.SOLUTION: A master IoT instrument 451 is configured to acquire a token from an authentication permission server 110 as a bender client, and acquire a token from the authentication permission server 110 as a tenant exclusive client. The master IoT instrument 451 is configured to, in a relevant instrument registration function: acquire a token acquired as the bender client of a slave IoT instrument 452 within the same network from the slave IoT instrument 452; request the authentication permission server 110 to register the slave IoT instrument as the tenant exclusive client on behalf of the slave IoT instrument 452; transmit a client ID and secret to be provided in accordance with the registration of the slave IoT instrument 452 as the tenant exclusive client; and request so as to acquire the token.SELECTED DRAWING: Figure 4

Description

本発明は、権限委譲システム、情報処理装置、及び制御方法に関する。   The present invention relates to an authority delegation system, an information processing apparatus, and a control method.

近年、Internet of Things(IoT)と呼ばれる、様々な機器をインターネットに接続し、それらの情報を利用する仕組みが広がってきている。オフィス環境では、様々な機器が、クラウドサービスにデータを送信したり、サービスが提供する機能を利用したりしている。安全に機器をクラウドサービスに接続し、クラウドサービスとの通信を確立するためには、機器の確かさを正しく認証し接続を許可する必要がある。特許文献1は、権限委譲処理におけるアプリケーションの登録及びリソースの取得を行う権限委譲システムを開示している。   In recent years, a mechanism called Internet of Things (IoT) for connecting various devices to the Internet and using the information has spread. In an office environment, various devices transmit data to a cloud service and use functions provided by the service. To securely connect a device to a cloud service and establish communication with the cloud service, it is necessary to correctly authenticate the device and allow the connection. Patent Document 1 discloses an authority delegation system that performs application registration and resource acquisition in authority delegation processing.

特開2015−5202号公報Japanese Patent Laying-Open No. 2015-5202

クラウドサービスにおいて、多数の機器とサービスのテナントとを紐付けるには、機器それぞれにおいて設定を行う必要があり多くの作業が必要である。また、各機器とテナントとの紐付けを行うには、各機器においてクラウドサービスのアカウントを入力する等の作業が必要であり、リッチなUIを持たない機器での操作は、困難であり実現できない場合がある。   In a cloud service, in order to link a large number of devices and service tenants, it is necessary to perform settings for each device, and a lot of work is required. Also, in order to associate each device with a tenant, it is necessary to perform operations such as inputting a cloud service account on each device, and operations on devices that do not have a rich UI are difficult and cannot be realized. There is a case.

本発明は、多数の機器に対して権限を委譲する設定を容易に行うことを可能とする権限委譲システムを提供することを目的とする。   SUMMARY OF THE INVENTION An object of the present invention is to provide an authority delegation system that enables easy setting of authority delegation to a large number of devices.

本発明の一実施形態に係る権限委譲システムは、情報処理装置と、ネットワークを介してサービスを提供するサービス提供装置と、認証認可サーバとを含み、前記情報処理装置をクライアントとして前記認証認可サーバに登録する権限委譲システムである。第1の情報処理装置は、前記認証認可サーバからテナントに属さない第1のクライアントとして第1の認可情報を取得する第1の取得手段と、前記認証認可サーバからテナントと紐付く第2のクライアントとして第2の認可情報を取得する第2の取得手段と、前記第1の情報処理装置と同一のネットワーク内の第2の情報処理装置から当該第2の情報処理装置が第1のクライアントとして取得した第1の認可情報を取得する第3の取得手段と、前記第2の情報処理装置に代わって当該第2の情報処理装置を前記テナントと紐付く第2のクライアントとして登録することを前記認証認可サーバへ要求する代理手段と、前記第2の情報処理装置に対して、当該第2の情報処理装置が前記第2のクライアントとして登録されたことに応じて提供される認証情報を送信するとともに、第2の認可情報を取得するように要求する要求手段と、を備える。前記第2の情報処理装置は、前記第1の情報処理装置から送信された前記認証情報を用いて第2の認可情報を前記認証認可サーバから取得する。   An authority delegation system according to an embodiment of the present invention includes an information processing device, a service providing device that provides a service via a network, and an authentication authorization server, and the information processing device serves as a client to the authentication authorization server. It is a delegation authority registration system. A first acquisition unit configured to acquire first authorization information as a first client not belonging to a tenant from the authentication authorization server; and a second client associated with the tenant from the authentication authorization server. As the first client, the second acquisition unit acquires the second authorization information, and the second information processing apparatus from the second information processing apparatus in the same network as the first information processing apparatus. The third acquisition means for acquiring the first authorization information, and the authentication to register the second information processing apparatus as a second client associated with the tenant on behalf of the second information processing apparatus Provided to the proxy means for requesting the authorization server and to the second information processing apparatus when the second information processing apparatus is registered as the second client. It transmits the authentication information comprises a request means for requesting to acquire the second authorization information. The second information processing apparatus acquires second authorization information from the authentication authorization server using the authentication information transmitted from the first information processing apparatus.

本発明の権限委譲システムによれば、多数の機器に対して権限を委譲する設定を容易に行うことができる。   According to the authority delegation system of the present invention, settings for delegating authority to a large number of devices can be easily performed.

権限委譲システムの構成を示す図である。It is a figure which shows the structure of an authority transfer system. 認証認可サーバ、リソースサーバ、IoT機器のハードウェア構成を示す図である。It is a figure which shows the hardware constitutions of an authentication authorization server, a resource server, and an IoT apparatus. 認証認可サーバ、リソースサーバ、IoT機器のモジュール構成を示す図である。It is a figure which shows the module structure of an authentication authorization server, a resource server, and an IoT apparatus. 親IoT機器が子IoT機器を登録する処理を示す図である。It is a figure which shows the process which a parent IoT apparatus registers a child IoT apparatus. 認証認可サーバが同一アクセス元デバイスを取得する処理を示す図である。It is a figure which shows the process in which an authentication authorization server acquires the same access source device. 登録対象となる子IoT機器の一覧を表示する画面の一例である。It is an example of the screen which displays the list | wrist of the child IoT apparatus used as registration object. 認証認可サーバがテナント専用クライアントを作成する処理を示す図である。It is a figure which shows the process in which an authentication authorization server creates a tenant dedicated client.

以下、本発明を実施するための形態について図面などを参照して説明する。
(第1実施形態)
本実施形態では、インターネット上にあるサーバが、機器からのデータを受信するデータ受信サービスを提供する。データ受信サービスは、機器から送信されたデータを受け取り、テナント毎に保存し、分析する機能を提供する。以下では、上述したサービスのように、インターネット上で提供される機能(サービス)をリソースサービスと呼ぶ。 Hereinafter, embodiments for carrying out the present invention will be described with reference to the drawings.
(First embodiment)
In the present embodiment, a server on the Internet provides a data reception service for receiving data from a device. The data reception service provides a function of receiving data transmitted from a device, storing it for each tenant, and analyzing it. Hereinafter, a function (service) provided on the Internet like the above-described service is referred to as a resource service.

また、本実施形態では、機器にインストールされた、データを送信するアプリケーションがリソースサービスと連携する。以下では、このアプリケーションをリソースサービス連携アプリケーションと呼ぶ。また、本実施形態では、権限の委譲にOAuthの仕組みを利用する。OAuthでは、ユーザから委譲された権限を証明するための情報として、トークン(認可情報)と呼ばれる情報を利用する。   In the present embodiment, an application installed in a device for transmitting data cooperates with a resource service. Hereinafter, this application is referred to as a resource service cooperation application. In this embodiment, the OAuth mechanism is used for authority delegation. In OAuth, information called a token (authorization information) is used as information for proving the authority delegated by the user.

本実施形態では、認証認可サーバ110においてそれぞれの機器に対応する仮想的なサーバ上のユーザをベンダークライアント(第1のクライアント)と呼ぶ。それぞれの機器は、当該機器の確かさが確認された後にベンダークライアントとして認証認可サーバに登録され、ベンダークライアントに対応するトークンが当該機器に発行される。このトークンを利用することにより、当該機器は、特定のテナントに属していない機器としてリソースサーバの提供するサービスを利用できる。   In this embodiment, a user on a virtual server corresponding to each device in the authentication authorization server 110 is referred to as a vendor client (first client). Each device is registered in the authentication authorization server as a vendor client after confirming the certainty of the device, and a token corresponding to the vendor client is issued to the device. By using this token, the device can use the service provided by the resource server as a device that does not belong to a specific tenant.

また、各機器を特定のテナントに紐付けるための仮想的なサーバ上のユーザをテナント専用クライアント(第2のクライアント)と呼ぶ。OAuthによる権限委譲処理により、それぞれの機器が特定のテナントと紐付けられてテナント専用クライアントとして認証認可サーバに登録され、テナント専用クライアントに対応するトークンが当該機器に発行される。このトークンを利用することにより、当該機器は、紐付けられた特定のテナント用の機器としてリソースサーバの提供するサービスを利用できる。なお、本実施形態では、テナント専用クライアントとして機器を登録する操作を1つの機器で行うことにより、同じアクセス元にあるその他の機器を登録する操作を省略することができる。   In addition, a user on a virtual server for associating each device with a specific tenant is referred to as a tenant dedicated client (second client). Through authority delegation processing by OAuth, each device is linked to a specific tenant, registered as a tenant dedicated client in the authentication authorization server, and a token corresponding to the tenant dedicated client is issued to the device. By using this token, the device can use a service provided by the resource server as a device for a specific tenant linked. In this embodiment, the operation of registering a device as a tenant dedicated client is performed by one device, so that the operation of registering other devices at the same access source can be omitted.

図1は、本実施形態に係る権限委譲システムの構成を示す図である。
WAN100は、Wide Area Networkである。すなわち、本実施形態では、World Wide Web(WWW)システムが構築されている。LAN101及びLAN102は、各構成要素を接続するLocal Area Networkである。認証認可サーバ110は、ユーザ認証、IoT機器認証、及びOAuthを実現するための処理を行う。 FIG. 1 is a diagram showing a configuration of an authority delegation system according to the present embodiment.
The WAN 100 is a wide area network. That is, in this embodiment, a World Wide Web (WWW) system is constructed. The LAN 101 and the LAN 102 are local area networks that connect each component. The authentication authorization server 110 performs processing for realizing user authentication, IoT device authentication, and OAuth.

リソースサーバ120は、ネットワーク(WAN100、LAN101、LAN102)を介してサービスを提供するサービス提供サーバとして機能する。本実施形態では、リソースサーバ120は、データ受信サービスを提供するが、これに限定されるものではない。また、本実施形態に係る権限委譲システムでは、各サーバは、1台ずつ設置されているが複数台で構成されていても良く、例えば、認証認可を行うサーバシステムが提供されても良い。   The resource server 120 functions as a service providing server that provides a service via a network (WAN 100, LAN 101, LAN 102). In the present embodiment, the resource server 120 provides a data reception service, but the present invention is not limited to this. In the authority delegation system according to the present embodiment, each server is installed one by one, but may be configured by a plurality of servers, for example, a server system that performs authentication authorization may be provided.

IoT機器140は、画像形成装置や、プロジェクタ、ネットワークカメラといった機器(デバイス)である。IoT機器140は、ネットワークを介して、リソースサーバ120が提供するサービスを利用する。本実施形態では、IoT機器140は、データをリソースサーバ120に送信する。IoT機器140には、1つまたは複数のリソースサービス連携アプリケーションがインストールされており、当該アプリケーションを利用してリソースサービスへのデータの送信が行われる。   The IoT device 140 is a device (device) such as an image forming apparatus, a projector, or a network camera. The IoT device 140 uses a service provided by the resource server 120 via a network. In the present embodiment, the IoT device 140 transmits data to the resource server 120. One or a plurality of resource service cooperation applications are installed in the IoT device 140, and data is transmitted to the resource service using the applications.

認証認可サーバ110、リソースサーバ120、IoT機器140は、それぞれネットワーク(WAN100、LAN101、LAN102)を介して通信可能に接続されている。なお、認証認可サーバ110、リソースサーバ120、IoT機器140は、それぞれ個別のLAN上に構成されていてもよく、同一のLANに構成されていてもよい。また、認証認可サーバ110、リソースサーバ120は、同一のサーバ上に構成されていてもよい。また、認証認可サーバ110及びリソースサーバは、WAN100を介して接続するように構成することもできる。   The authentication authorization server 110, the resource server 120, and the IoT device 140 are communicably connected via networks (WAN 100, LAN 101, LAN 102), respectively. Note that the authentication authorization server 110, the resource server 120, and the IoT device 140 may be configured on individual LANs or may be configured on the same LAN. Further, the authentication authorization server 110 and the resource server 120 may be configured on the same server. Further, the authentication / authorization server 110 and the resource server can be configured to be connected via the WAN 100.

図2は、認証認可サーバ110、リソースサーバ120、及びIoT機器140のハードウェア構成を示す図である。
本実施形態の各サーバ及びデバイスには、一般的な情報処理装置のハードウェア構成を適用できる。また、各サーバについては、IaaS(Infrastructure as a Service)として提供される情報処理装置の仮想的なハードウェア構成を適用することもできる。 FIG. 2 is a diagram illustrating a hardware configuration of the authentication authorization server 110, the resource server 120, and the IoT device 140.
A hardware configuration of a general information processing apparatus can be applied to each server and device of this embodiment. Further, a virtual hardware configuration of an information processing apparatus provided as IaaS (Infrastructure as a Service) can be applied to each server.

図2において、CPU(Central Processing Unit)231は、ROM233が有するプログラム用ROMに記憶されたOSやアプリケーション等のプログラムを実行し、システムバス234に接続される各ブロックを制御する。また、CPU231は、ハードディスク(HD)等の外部メモリ241からRAM232にロードされたプログラムを実行し、各ブロックを制御する。OSとは、コンピュータ上で稼動するオペレーティングシステムの略語であり、以下オペレーティングシステムのことをOSと呼ぶ。後述する各処理は、CPU231によるプログラムの実行により実現できる。   In FIG. 2, a CPU (Central Processing Unit) 231 executes a program such as an OS or an application stored in a program ROM included in the ROM 233 and controls each block connected to the system bus 234. The CPU 231 executes a program loaded from the external memory 241 such as a hard disk (HD) to the RAM 232 and controls each block. The OS is an abbreviation for an operating system that runs on a computer. Hereinafter, the operating system is referred to as an OS. Each process to be described later can be realized by executing a program by the CPU 231.

なお、ROMは、Read Only Memoryの略称であり、RAMは、Random Access Memoryの略称である。RAM232は、CPU231の主メモリ、ワークエリア等として機能する。操作部I/F235は、操作部239からの入力を制御する。CRTコントローラ(CRTC)236は、CRTディスプレイ240の表示を制御する。なお、認証認可サーバ110やリソースサーバ120では、CRTC236やCRTディスプレイ240を設けないことが一般的であり、IoT機器140においても備えていない場合がありうる。   Note that ROM is an abbreviation for Read Only Memory, and RAM is an abbreviation for Random Access Memory. The RAM 232 functions as a main memory, work area, and the like for the CPU 231. The operation unit I / F 235 controls input from the operation unit 239. A CRT controller (CRTC) 236 controls display on the CRT display 240. The authentication / authorization server 110 and the resource server 120 generally do not include the CRTC 236 or the CRT display 240, and the IoT device 140 may not include the CRTC 236 or the CRT display 240.

ディスクコントローラ(DKC)237は、各種データを記憶するハードディスク(HD)等の外部メモリ241におけるデータアクセスを制御する。ネットワークコントローラ(NC)238は、WAN100、LAN101、LAN102を介して接続された他の機器との通信制御処理を実行する。なお、後述の全ての説明において、特に断りのない限り、サーバやデバイスにおける実行のハード上の主体は、CPU231であり、ソフトウェア上の主体は、外部メモリ241にインストールされたアプリケーションプログラムである。   A disk controller (DKC) 237 controls data access in an external memory 241 such as a hard disk (HD) that stores various data. A network controller (NC) 238 executes communication control processing with other devices connected via the WAN 100, the LAN 101, and the LAN 102. In all the descriptions below, unless otherwise specified, the hardware main body of execution in the server or device is the CPU 231, and the software main body is an application program installed in the external memory 241.

図3は、認証認可サーバ110、リソースサーバ120、IoT機器140ソフトウェア構成を示す図である。
認証認可サーバ110は、認証認可モジュール310を備える。リソースサーバ120は、リソースサーバモジュール320を備える。IoT機器140は、認証認可サーバ連携クライアント341、リソースサービス連携アプリケーション342、及びWebブラウザ343を備える。Webブラウザ343は、WWWを利用するためのユーザエージェントであるが、必須ではない。各モジュールの詳細については、後述する。 FIG. 3 is a diagram illustrating a software configuration of the authentication authorization server 110, the resource server 120, and the IoT device 140.
The authentication authorization server 110 includes an authentication authorization module 310. The resource server 120 includes a resource server module 320. The IoT device 140 includes an authentication / authorization server cooperation client 341, a resource service cooperation application 342, and a Web browser 343. The web browser 343 is a user agent for using the WWW, but is not essential. Details of each module will be described later.

次に、認証認可サーバ110が管理するデータについて説明する。認証認可サーバ110は、データを外部メモリ241に記憶する。なお、データは、認証認可サーバ110の外部メモリ241ではなく、LAN101を介して通信可能に構成された別のサーバに記憶するよう構成することも可能である。   Next, data managed by the authentication authorization server 110 will be described. The authentication authorization server 110 stores data in the external memory 241. Note that the data may be stored not in the external memory 241 of the authentication / authorization server 110 but in another server configured to be communicable via the LAN 101.

表1は、テナントの情報を管理するテナント管理テーブルの一例である。テナントとは、サービスの利用契約を結んだ顧客ごとに割り当てられる管理単位である。認証認可サーバにおいて、データの管理は、テナント単位で行われる。テナント管理テーブルは、「テナントID」及び「テナント名」を保持する。「テナントID」は、テナントを一意に識別するIDである。「テナント名」には、例えば、サービスの利用契約を結んだ顧客の名称が設定される。

Figure 2017126191
Table 1 is an example of a tenant management table for managing tenant information. A tenant is a management unit assigned to each customer who has a service usage contract. In the authentication authorization server, data management is performed in units of tenants. The tenant management table holds “tenant ID” and “tenant name”. “Tenant ID” is an ID for uniquely identifying a tenant. In the “tenant name”, for example, the name of a customer who has a service use contract is set.
Figure 2017126191

表2は、クライアント(ベンダークライアント及びテナント専用クライアント)の情報を管理するクライアント管理テーブルの一例である。クライアント管理テーブルは、「クライアントID」「シークレット」「デバイスシリアルID」「テナントID」「親クライアントID」「IP」「ローカルIP」を有する。「クライアントID」は、クライアントを一意に識別するID(識別情報)である。認証認可サーバ110は、クライアントIDを元にクライアントとなる接続元のIoT機器140を一意に識別することが可能となる。   Table 2 is an example of a client management table for managing information on clients (vendor clients and tenant dedicated clients). The client management table includes “client ID”, “secret”, “device serial ID”, “tenant ID”, “parent client ID”, “IP”, and “local IP”. “Client ID” is an ID (identification information) for uniquely identifying a client. The authentication authorization server 110 can uniquely identify the connection-source IoT device 140 as a client based on the client ID.

「シークレット」は、認証認可サーバ110がクライアントIDを認証するためのパスワードに相当する。「デバイスシリアルID」は、IoT機器140を一意に識別する識別情報である。「テナントID」は、クライアントが所属するテナントを示す。「親クライアントID」は、クライアントの親となるクライアントのクライアントIDであり、詳細は後述する。「IP」は、IoT機器140が認証認可サーバ110に対してアクセスした際のアクセス元IPアドレスであり、「ローカルIP」は、IoT機器140自身に設定されているIPアドレスである。

Figure 2017126191
“Secret” corresponds to a password for authenticating the client ID by the authentication authorization server 110. The “device serial ID” is identification information that uniquely identifies the IoT device 140. “Tenant ID” indicates the tenant to which the client belongs. “Parent client ID” is the client ID of the client that is the parent of the client, and will be described in detail later. “IP” is an access source IP address when the IoT device 140 accesses the authentication authorization server 110, and “local IP” is an IP address set in the IoT device 140 itself.
Figure 2017126191

表3は、OAuthによる認証に利用されるトークンを管理するトークン管理テーブルの一例である。トークン管理テーブルは、「トークンID」、「クライアントID」、「スコープ」、「有効期限」、「リフレッシュトークンID」、「リフレッシュ期限」を保持する。スコープについては、表4を用いて説明する。

Figure 2017126191
Table 3 is an example of a token management table for managing tokens used for authentication by OAuth. The token management table holds “token ID”, “client ID”, “scope”, “expiration date”, “refresh token ID”, and “refresh time limit”. The scope will be described with reference to Table 4.
Figure 2017126191

表4は、OAuthによる認証のためのスコープを管理するスコープ管理テーブルの一例である。スコープ管理テーブルは、「スコープ」、「ロール」を保持する。スコープは、IoT機器140が備えるリソースサービス連携アプリケーションに定義された権限範囲を示す。

Figure 2017126191
Table 4 is an example of a scope management table for managing a scope for authentication by OAuth. The scope management table holds “scope” and “role”. The scope indicates an authority range defined in the resource service cooperation application provided in the IoT device 140.
Figure 2017126191

次に、IoT機器140が管理するデータについて説明する。IoT機器140は、データを外部メモリ241に記憶する。
表5は、IoT機器140がユーザを管理するためのデバイスユーザ管理テーブルの一例である。デバイスユーザ管理テーブルは、「ユーザID」、「パスワード」、「権限情報」を保持する。ユーザがIoT機器140へアクセスした際には、IoT機器140は、例えばユーザが入力した「ユーザID」と「パスワード」により認証を行う。また、IoT機器140は、「権限情報」を元にアクセス制御を行う。 Next, data managed by the IoT device 140 will be described. The IoT device 140 stores data in the external memory 241.
Table 5 is an example of a device user management table for the IoT device 140 to manage users. The device user management table holds “user ID”, “password”, and “authority information”. When the user accesses the IoT device 140, the IoT device 140 performs authentication using, for example, a “user ID” and a “password” input by the user. Further, the IoT device 140 performs access control based on the “authority information”.

なお、IoT機器140によってはユーザを管理しない場合もある。また、IoT機器140によっては権限を元にしたアクセス制御を行わない場合もある。その場合、デバイスユーザ管理テーブルの「ユーザID」や「権限情報」は存在しなくてもよい。また、本実施形態では、ユーザIDとパスワードによる認証を想定しているが、ICカードによる認証、指紋等を利用する生体認証、PINコードによる認証といった異なる認証方法を用いてもよい。その場合、「パスワード」の代わりにそれら認証方法に必要な情報が管理される。本発明ではIoT機器140における認証方法は問わない。

Figure 2017126191
Note that some IoT devices 140 may not manage users. Depending on the IoT device 140, access control based on authority may not be performed. In this case, “user ID” and “authority information” in the device user management table may not exist. In this embodiment, authentication using a user ID and a password is assumed. However, different authentication methods such as authentication using an IC card, biometric authentication using a fingerprint or the like, and authentication using a PIN code may be used. In this case, information necessary for these authentication methods is managed instead of the “password”. In the present invention, the authentication method in the IoT device 140 does not matter.
Figure 2017126191

表6は、ベンダークライアントの情報を管理するデバイスベンダークライアント管理テーブルの一例である。デバイスベンダークライアント管理テーブルは、「クライアントID」、「シークレット」、「トークンID」「リフレッシュトークンID」を保持する。「クライアントID」及び「シークレット」は、認証認可サーバ110にて予め発行されたものである。   Table 6 is an example of a device vendor client management table for managing vendor client information. The device vendor client management table holds “client ID”, “secret”, “token ID”, and “refresh token ID”. The “client ID” and “secret” are issued in advance by the authentication authorization server 110.

「トークンID」、「リフレッシュトークンID」は、各クライアント用に認証認可サーバ110が発行したトークンを示す。これら情報の登録方法としては、例えば、IoT機器140がLAN101、102、WAN100を介してオンラインで登録する方法が考えられる。また、ユーザを介して認証認可サーバ110、IoT機器140にてそれぞれ値を設定する方法でも良い。

Figure 2017126191
“Token ID” and “Refresh Token ID” indicate tokens issued by the authentication authorization server 110 for each client. As a method for registering such information, for example, a method in which the IoT device 140 registers online via the LANs 101 and 102 and the WAN 100 can be considered. Alternatively, a method may be used in which values are set in the authentication authorization server 110 and the IoT device 140 via the user.
Figure 2017126191

表7は、テナント専用クライアントの情報を管理するデバイステナント専用クライアント管理テーブルの一例である。当該テーブルでは、クライアントの種別が異なるだけであって、デバイスベンダークライアント管理テーブルと同様のデータが管理される。

Figure 2017126191
Table 7 is an example of a device tenant dedicated client management table for managing information of the tenant dedicated client. In this table, only the client type is different, and the same data as the device vendor client management table is managed.
Figure 2017126191

次に、IoT機器140がリソースサービスに接続するための処理について説明する。
まず、IoT機器140が備える認証認可サーバ連携クライアント341は、認証認可サーバ110にて発行されたベンダークライアントに関する認証情報を取得する。ベンダークライアントは、認証認可サーバ110がIoT機器140の確かさを確認してから発行する。例えば、認証認可サーバ連携クライアント341が事前にクライアント証明書を保持しており、認証認可サーバ110は、当該クライアント証明書による認証などによりベンダークライアントを発行するか否かを判断する。 Next, processing for the IoT device 140 to connect to the resource service will be described.
First, the authentication authorization server cooperation client 341 included in the IoT device 140 acquires authentication information regarding the vendor client issued by the authentication authorization server 110. The vendor client issues it after the authentication authorization server 110 confirms the certainty of the IoT device 140. For example, the authentication / authorization server cooperation client 341 holds a client certificate in advance, and the authentication / authorization server 110 determines whether or not to issue a vendor client by authentication using the client certificate.

上述した処理により、認証認可サーバ110が管理するクライアント管理テーブル(表2)にクライアントID(ここでは「ID0001」)が作成される。ベンダークライアントは、特定のテナントに属さないため、当該クライアントID「ID0001」に対応するクライアント管理テーブルのテナントIDには、「Vender」が設定される。また、デバイスシリアルIDには、ベンダークライアントの発行をリクエストしたIoT機器140のデバイスシリアルID「S0001」が設定される。   Through the processing described above, a client ID (here, “ID0001”) is created in the client management table (Table 2) managed by the authentication authorization server 110. Since the vendor client does not belong to a specific tenant, “Vender” is set in the tenant ID of the client management table corresponding to the client ID “ID0001”. The device serial ID is set to the device serial ID “S0001” of the IoT device 140 that has requested the vendor client to issue.

さらに、クライアント管理テーブルのIPには、IoT機器140が認証認可サーバ110にアクセスした際のアクセス元IPアドレス「150.61.37.77」が設定される。また、ローカルIPには、IoT機器140自身に設定されているIPアドレス「192.168.0.1」が設定される。IoT機器140は、発行されたベンダークライアントを利用して、認証認可サーバ110から認可情報であるトークン「AT0001」を取得し、特定のテナントに属さないデバイスとしてリソースサーバ120の利用が可能となる。   Furthermore, the IP of the client management table is set with the access source IP address “150.63.177” when the IoT device 140 accesses the authentication authorization server 110. In addition, the IP address “192.168.0.1” set in the IoT device 140 itself is set in the local IP. The IoT device 140 uses the issued vendor client to acquire the token “AT0001” as the authorization information from the authentication authorization server 110, and the resource server 120 can be used as a device that does not belong to a specific tenant.

次にIoT機器140が備えるリソースサービス連携アプリケーション342は、認証認可サーバ110にて発行されたテナント専用クライアントに関する認証情報を取得する。テナント専用クライアントは、認証認可サーバ110がIoT機器140のユーザが所属しているテナントを判断し発行される。例えば、認証認可サーバ110は、IoT機器140のユーザが認証認可サーバ110にログインし、OAuthのAuthoraization Code Grantの処理を行うことによりテナント専用クライアントを発行するか否かを判断する。   Next, the resource service cooperation application 342 included in the IoT device 140 acquires authentication information regarding the tenant dedicated client issued by the authentication authorization server 110. The tenant dedicated client is issued when the authentication authorization server 110 determines the tenant to which the user of the IoT device 140 belongs. For example, the authentication authorization server 110 determines whether or not a user of the IoT device 140 issues a tenant dedicated client by logging in to the authentication authorization server 110 and performing OAuth's Authorization Code Grant processing.

上述した処理により、認証認可サーバ110が管理するクライアント管理テーブル(表2)にIoT機器140のユーザが所属するテナントID「1001AA」を有するクライアントID(ここでは「ID0010」)が作成される。IoT機器140が備えるリソースサービス連携アプリケーション342は、発行されたテナント専用クライアントを利用して、認証認可サーバ110から認可情報であるトークン「AT0010」を取得する。これにより、テナント「1001AA」用のデバイスとしてリソースサーバ120の利用が可能となる。   Through the processing described above, a client ID (here, “ID0010”) having the tenant ID “1001AA” to which the user of the IoT device 140 belongs is created in the client management table (Table 2) managed by the authentication authorization server 110. The resource service cooperation application 342 included in the IoT device 140 acquires the token “AT0010” that is the authorization information from the authentication authorization server 110 using the issued tenant dedicated client. As a result, the resource server 120 can be used as a device for the tenant “1001AA”.

次に、2台目以降のIoT機器140がリソースサービスに接続するための処理について説明する。なお、以降の説明では、テナント専用クライアントを保持する1台目のIoT機器140を親IoT機器、2台目以降のIoT機器140を子IoT機器と呼ぶ。新たにネットワークに接続された子IoT機器は、上述した方法と同様にベンダークライアントを保持する。   Next, processing for connecting the second and subsequent IoT devices 140 to the resource service will be described. In the following description, the first IoT device 140 holding the tenant dedicated client is referred to as a parent IoT device, and the second and subsequent IoT devices 140 are referred to as child IoT devices. The child IoT device newly connected to the network holds the vendor client in the same manner as described above.

ここでは、クライアント管理テーブルにクライアントIDとして「ID0003」が作成され、デバイスシリアルIDには「S0003」が設定されたものとする。また、IPには1台目のIoT機器140(親IoT機器)と同じLAN101のため、「150.61.37.7」が設定され、ローカルIPには「192.168.0.3」が設定されたものとする。   Here, it is assumed that “ID0003” is created as the client ID in the client management table and “S0003” is set as the device serial ID. In addition, since IP is the same LAN 101 as the first IoT device 140 (parent IoT device), “150.61.37.7” is set, and “192.168.0.3” is set as the local IP. It shall be set.

図4は、親IoT機器451が子IoT機器452に代わってテナント専用クライアントの登録を依頼する処理を示す図である。
この処理により、子IoT機器452のそれぞれにおいてテナント専用クライアントを取得する必要がなくなり、すでにテナント専用クライアントとして設定が完了している親IoT機器451における操作のみで登録が完了する。 FIG. 4 is a diagram illustrating processing in which the parent IoT device 451 requests registration of a tenant dedicated client on behalf of the child IoT device 452.
With this processing, it is not necessary to acquire a tenant dedicated client in each of the child IoT devices 452, and registration is completed only by an operation in the parent IoT device 451 that has already been set as a tenant dedicated client.

ステップS401にて、親IoT機器451を操作するユーザは、親IoT機器451へログインを行う。本実施形態では、デバイスユーザ管理テーブルにて管理されたユーザIDとパスワードを入力する方法を想定しているが、ログイン方法は特に問わない。また、ログインを行わなくてもよい。ステップS402にて、ユーザは、親IoT機器451のリソースサービス連携アプリケーション342の関連機器登録機能にアクセスする。   In step S <b> 401, the user who operates the parent IoT device 451 logs into the parent IoT device 451. In this embodiment, a method of inputting a user ID and a password managed in the device user management table is assumed, but a login method is not particularly limited. Also, it is not necessary to log in. In step S402, the user accesses the related device registration function of the resource service cooperation application 342 of the parent IoT device 451.

ステップS403にて、リソースサービス連携アプリケーション342の関連機器登録機能は、認証認可サーバ110に対して、アクセス元デバイスと同一のネットワーク内にあるデバイス一覧を要求する。この要求には、トークン「AT0010」が含まれる。なお、ステップS403の処理は、子IoT機器の登録をより容易にするための処理であり必須ではない。   In step S403, the related device registration function of the resource service cooperation application 342 requests the authentication authorization server 110 for a list of devices in the same network as the access source device. This request includes the token “AT0010”. Note that the process of step S403 is a process for facilitating the registration of the child IoT device and is not essential.

図5は、ステップS403のデバイスの一覧要求を受け付けた認証認可サーバ110が同一アクセス元デバイスの一覧を取得する処理を示す図である。
ステップS501にて、認証認可サーバ110は、トークン管理テーブル(表3)を利用し、トークン「AT0010」の検証を行う。具体的には、認証認可サーバ110は、当該トークンが有効であり、スコープが「tranport」であればアクセスOKと判断する。 FIG. 5 is a diagram illustrating processing in which the authentication authorization server 110 that has received the device list request in step S403 acquires a list of the same access source devices.
In step S501, the authentication authorization server 110 verifies the token “AT0010” using the token management table (Table 3). Specifically, the authentication / authorization server 110 determines that the access is OK if the token is valid and the scope is “transport”.

ステップS502にて、認証認可サーバ110は、関連機器登録機能を呼び出した親IoT機器451のアクセス元を取得する。本実施形態では、アクセス元としてIP「150.61.31.77」が取得される。ステップS503にて、認証認可サーバ110は、同一アクセス元デバイスの検索を行う。具体的には、トークン管理テーブル(表3)からトークン「AT0010」に対応するクライアントID「ID0010」が特定される。次に、クライアント管理テーブル(表2)からクライアントID「ID0010」に対応するデバイスシリアルID「S0001」が特定される。   In step S502, the authentication authorization server 110 acquires the access source of the parent IoT device 451 that has called the related device registration function. In the present embodiment, the IP “150.61.1.77” is acquired as the access source. In step S503, the authentication authorization server 110 searches for the same access source device. Specifically, the client ID “ID0010” corresponding to the token “AT0010” is specified from the token management table (Table 3). Next, the device serial ID “S0001” corresponding to the client ID “ID0010” is specified from the client management table (Table 2).

次に、デバイスシリアルID「S0001」のベンダークライアントに対応するクライアントID「ID0001」から、当該IoT機器の登録時のアクセス元としてIP「150.61.31.77」が特定される。次に、クライアント管理テーブルから当該IP「150.61.31.77」と同一の値を持つデバイスが同一アクセス元デバイスとして特定される。   Next, from the client ID “ID0001” corresponding to the vendor client of the device serial ID “S0001”, the IP “150.61.31.77” is specified as the access source at the time of registration of the IoT device. Next, a device having the same value as the IP “150.61.1.77” is identified as the same access source device from the client management table.

この例では、クライアントIDが「ID0002」でデバイスシリアルIDが「S0002」のデバイスと、クライアントIDが「ID0003」でデバイスシリアルIDが「S0003」のデバイスとが特定される。そして、デバイスシリアルID「S0002」、及び「S0003」のデバイスのローカルIP「192.168.0.2」、及び「192.168.0.3」が取得される。   In this example, a device having a client ID “ID0002” and a device serial ID “S0002” and a device having a client ID “ID0003” and a device serial ID “S0003” are identified. Then, the local IPs “192.168.0.2” and “192.168.0.3” of the device with the device serial ID “S0002” and “S0003” are acquired.

さらに、特定されたデバイスに対して、親IoT機器と同じテナントの記録があるか否かをチェックする。すなわち、デバイスシリアルID「S0002」及び「S0003」それぞれに対して、クライアントID「ID0010」が示すテナントIDである「1001AA」と同一のクライアントがあるか否かをチェックする。この例では、アクセス元がIP「150.61.31.77」と同一であるIoT機器140の候補は上述した2台となるが、2台以上の候補がある場合においてもそれら全てを列挙される。   Furthermore, it is checked whether there is a record of the same tenant as the parent IoT device for the specified device. That is, for each of the device serial IDs “S0002” and “S0003”, it is checked whether or not there is the same client as “1001AA” that is the tenant ID indicated by the client ID “ID0010”. In this example, there are two IoT device 140 candidates whose access source is the same as the IP “150.61.1.77” as described above, but even when there are two or more candidates, all of them are listed. The

図4の説明に戻る。ステップS404にて、ステップS403のレスポンスを受けたリソースサービス連携アプリケーション342は、LAN101内の子IoT機器452を探索する。ステップS405にて、リソースサービス連携アプリケーション342は、探索結果の一覧をユーザに表示する。   Returning to the description of FIG. In step S404, the resource service cooperation application 342 that has received the response in step S403 searches for the child IoT device 452 in the LAN 101. In step S405, the resource service cooperation application 342 displays a list of search results to the user.

図6は、ステップS405にて表示される画面の一例を示す図である。
関連機器登録画面601には、子IoT機器452の情報602、603、及び604が、関連機器の候補として提示される。例えば、情報602は、機器名が「LBP 10000」、IPアドレスが「192.168.0.2」、状態が「接続済み」の子IoT機器452を示す。 FIG. 6 is a diagram illustrating an example of the screen displayed in step S405.
On the related device registration screen 601, information 602, 603, and 604 of the child IoT device 452 are presented as related device candidates. For example, the information 602 indicates a child IoT device 452 whose device name is “LBP 10000”, whose IP address is “192.168.0.2”, and whose state is “connected”.

機器名及びIPアドレスは、ステップS404の探索結果により生成される。また、状態は、ステップS403の処理により取得された情報から生成される。IPアドレス「192.168.0.2」の子IoT機器452は、すでにテナント専用クライアントとして登録済みであるため、状態には「接続済み」と表示され、登録ボタンは表示されない。情報603が示すIPアドレス「192.168.0.3」の子IoT機器452は、ベンダークライアントとして登録済みであるが、テナント専用クライアントの登録はされていないため、状態には「準備完了」と表示され、登録ボタンが表示されている。   The device name and the IP address are generated based on the search result in step S404. The state is generated from the information acquired by the process in step S403. Since the child IoT device 452 with the IP address “192.168.0.2” has already been registered as a tenant dedicated client, the status is displayed as “connected” and the registration button is not displayed. The child IoT device 452 having the IP address “192.168.0.3” indicated by the information 603 has been registered as a vendor client, but the tenant dedicated client has not been registered. Displayed and a registration button is displayed.

また、情報604が示すIPアドレス「192.168.0.99」の子IoT機器452は、LAN101内で接続されているが、ステップS403の処理では見つからなかったため状態には「不明」と表示されている。「不明」と表示される状態は、そのデバイスが登録されていない場合や、ベンダークライアントとして登録する際の接続元IPアドレスが異なる場合、またはローカルIPアドレスが変わった場合等に発生する。   The child IoT device 452 having the IP address “192.168.0.99” indicated by the information 604 is connected in the LAN 101 but is not found in the process of step S403, so “unknown” is displayed in the status. ing. The state where “unknown” is displayed occurs when the device is not registered, when the connection source IP address when registering as a vendor client is different, or when the local IP address is changed.

関連機器登録画面601において、ユーザは、テナント専用クライアントの登録対象とする子IoT機器を選択する。具体的には、登録する子IoT機器452の登録ボタンを押下すると、処理はステップS406に進む。ステップS406にて、関連機器登録画面601からデバイス指定のリクエストがリソースサービス連携アプリケーション342に送信され、ステップS407以降のテナント専用クライアントの登録処理が開始される。   On the related device registration screen 601, the user selects a child IoT device to be registered as a tenant dedicated client. Specifically, when the registration button of the child IoT device 452 to be registered is pressed, the process proceeds to step S406. In step S406, a device designation request is transmitted from the related device registration screen 601 to the resource service cooperation application 342, and the tenant dedicated client registration process in step S407 and subsequent steps is started.

ステップS407にて、親IoT機器451は、子IoT機器452に登録代行通知を行う。この通知において子IoT機器452の機器認証を行うことが一般的であり、ユーザID及びパスワード等を用いた認証が行われる。ステップS407の登録代行通知を受けた子IoT機器452は、デバイスベンダークライアント管理テーブル(表6)で管理しているトークン(ここでは「AT0003」とする)をレスポンスする。   In step S407, the parent IoT device 451 issues a registration proxy notification to the child IoT device 452. In this notification, device authentication of the child IoT device 452 is generally performed, and authentication using a user ID, a password, and the like is performed. The child IoT device 452 that has received the registration proxy notification in step S407 responds with a token (here, “AT0003”) managed in the device vendor client management table (Table 6).

ステップS408にて、親IoT機器451が備えるリソースサービス連携アプリケーション342は、認証認可サーバ110にテナント専用クライアントとして登録することを子IoT機器452の代理としてリクエストする。リクエストには、親IoT機器451のデバイステナント専用クライアント管理テーブル(表7)で管理しているトークン「AT0010」とステップS407にて取得した子IoT機器452のトークン「AT0003」とが含まれる。   In step S <b> 408, the resource service cooperation application 342 included in the parent IoT device 451 requests to register as a tenant dedicated client in the authentication authorization server 110 as a proxy of the child IoT device 452. The request includes the token “AT0010” managed in the device tenant dedicated client management table (Table 7) of the parent IoT device 451 and the token “AT0003” of the child IoT device 452 acquired in step S407.

図7は、ステップS408のリクエストを受け付けた認証認可サーバ110が実施するテナント専用クライアントの作成処理を示す図である。
ステップS701にて、認証認可サーバ110は、トークン管理テーブル(表3)を利用し、リクエストに含まれる親IoT機器451のトークン「AT0010」の検証を行う。具体的には、認証認可サーバ110は、当該トークンが有効であり、スコープが「transport」であればアクセスOKと判断する。 FIG. 7 is a diagram illustrating tenant dedicated client creation processing performed by the authentication authorization server 110 that has received the request in step S408.
In step S701, the authentication authorization server 110 verifies the token “AT0010” of the parent IoT device 451 included in the request using the token management table (Table 3). Specifically, if the token is valid and the scope is “transport”, the authentication / authorization server 110 determines that the access is OK.

ステップS702にて、認証認可サーバ110は、トークン管理テーブル(表3)を利用し、リクエストに含まれる子IoT機器452のトークン「AT0003」の検証を行う。当該トークンが有効であり、ベンダークライアント登録時に発行したトークンのスコープが「device」であればアクセスOKと判断する。それぞれのトークンの検証においてアクセスOKだった場合に処理はステップS703に進む。   In step S702, the authentication / authorization server 110 uses the token management table (Table 3) to verify the token “AT0003” of the child IoT device 452 included in the request. If the token is valid and the scope of the token issued at the time of vendor client registration is “device”, it is determined that access is OK. If access is OK in the verification of each token, the process proceeds to step S703.

ステップS703にて、認証認可サーバ110は、子IoT機器452をテナント専用クライアントとして登録する。このとき、トークン「AT0010」に対応するテナント専用クライアント「ID0010」と同様の設定で、子IoT機器452用のテナント専用クライアントを設定する。この例では、テナント専用クライアントの作成に伴い、クライアント管理テーブル(表2)に以下のように設定される。   In step S703, the authentication authorization server 110 registers the child IoT device 452 as a tenant dedicated client. At this time, the tenant dedicated client for the child IoT device 452 is set with the same setting as the tenant dedicated client “ID0010” corresponding to the token “AT0010”. In this example, the following settings are made in the client management table (Table 2) with the creation of the tenant dedicated client.

クライアントID及びシークレットには新規の値が設定される。また、デバイスシリアルIDには、子IoT機器452のトークン「AT0003」に対応する「S0003」が設定され、テナントIDには、親IoT機器451のトークン「AT0010」に対応するテナントID「1001AA」が設定される。さらに、親クライアントIDには、「ID0010」が設定される。テナント専用クライアントの作成処理が完了すると、認証認可サーバ110は、作成したテナント専用クライアントのクライアントID及びシークレットを親IoT機器451にレスポンスする。   New values are set in the client ID and secret. The device serial ID is set to “S0003” corresponding to the token “AT0003” of the child IoT device 452, and the tenant ID “1001AA” corresponding to the token “AT0010” of the parent IoT device 451 is set to the tenant ID. Is set. Furthermore, “ID0010” is set as the parent client ID. When the tenant dedicated client creation process is completed, the authentication authorization server 110 responds to the parent IoT device 451 with the client ID and secret of the created tenant dedicated client.

図4の説明に戻る。ステップS409にて、ステップS408のレスポンスを受け取った親IoT機器451のリソースサービス連携アプリケーション342は、子IoT機器452にテナント専用クライアントの登録をリクエストする。リクエストを受け取った子IoT機器452は、受け取ったテナント専用クライアントのID及びシークレット(認証情報)をデバイステナント専用クライアント管理テーブル(表7)に保存する。   Returning to the description of FIG. In step S409, the resource service cooperation application 342 of the parent IoT device 451 that has received the response of step S408 requests the child IoT device 452 to register a tenant dedicated client. The child IoT device 452 that has received the request stores the received tenant dedicated client ID and secret (authentication information) in the device tenant dedicated client management table (Table 7).

以上の処理により、子IoT機器452をテナント専用クライアントとして登録する処理は完了する。ステップS410にて、テナント専用クライアントとして登録された子IoT機器452は、テナント専用クライアントを利用して(すなわち、親IoT機器451から受け取った認証情報を利用して)認証認可サーバ110よりトークンを取得する。これにより、テナント「1001AA」用のデバイスとしてリソースサーバ120の利用が可能となる。   With the above processing, the processing for registering the child IoT device 452 as a tenant dedicated client is completed. In step S410, the child IoT device 452 registered as the tenant dedicated client acquires a token from the authentication authorization server 110 using the tenant dedicated client (that is, using the authentication information received from the parent IoT device 451). To do. As a result, the resource server 120 can be used as a device for the tenant “1001AA”.

(その他の実施形態)
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサーがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。 (Other embodiments)
The present invention supplies a program that realizes one or more functions of the above-described embodiments to a system or apparatus via a network or a storage medium, and one or more processors in a computer of the system or apparatus read and execute the program This process can be realized. It can also be realized by a circuit (for example, ASIC) that realizes one or more functions.

以上、本発明の好ましい実施形態について説明したが、本発明は、これらの実施形態に限定されず、その要旨の範囲内で種々の変形及び変更が可能である。   As mentioned above, although preferable embodiment of this invention was described, this invention is not limited to these embodiment, A various deformation | transformation and change are possible within the range of the summary.

110 認証認可サーバ
120 リソースサーバ
140 IoT機器
341 認証認可サーバ連携クライアント
342 リソースサービス連携アプリケーション 110 Authentication Authorization Server 120 Resource Server 140 IoT Device 341 Authentication Authorization Server Cooperation Client 342 Resource Service Cooperation Application

Claims (8)

情報処理装置と、ネットワークを介してサービスを提供するサービス提供装置と、認証認可サーバとを含み、前記情報処理装置をクライアントとして前記認証認可サーバに登録する権限委譲システムであって、
第1の情報処理装置は、
前記認証認可サーバからテナントに属さない第1のクライアントとして第1の認可情報を取得する第1の取得手段と、
前記認証認可サーバからテナントと紐付く第2のクライアントとして第2の認可情報を取得する第2の取得手段と、
前記第1の情報処理装置と同一のネットワーク内の第2の情報処理装置から当該第2の情報処理装置が第1のクライアントとして取得した第1の認可情報を取得する第3の取得手段と、
前記第2の情報処理装置に代わって当該第2の情報処理装置を前記テナントと紐付く第2のクライアントとして登録することを前記認証認可サーバへ要求する代理手段と、
前記第2の情報処理装置に対して、当該第2の情報処理装置が前記第2のクライアントとして登録されたことに応じて提供される認証情報を送信するとともに、第2の認可情報を取得するように要求する要求手段と、を備え、
前記第2の情報処理装置は、
前記第1の情報処理装置から送信された前記認証情報を用いて第2の認可情報を前記認証認可サーバから取得する
ことを特徴とする権限委譲システム。 An authority delegation system that includes an information processing device, a service providing device that provides a service via a network, and an authentication authorization server, and registers the information processing device as a client in the authentication authorization server,
The first information processing apparatus
First acquisition means for acquiring first authorization information as a first client not belonging to a tenant from the authentication authorization server;
Second acquisition means for acquiring second authorization information as a second client associated with the tenant from the authentication authorization server;
Third acquisition means for acquiring first authorization information acquired by the second information processing apparatus as a first client from a second information processing apparatus in the same network as the first information processing apparatus;
Proxy means for requesting the authentication authorization server to register the second information processing apparatus as a second client associated with the tenant on behalf of the second information processing apparatus;
Authentication information provided in response to the second information processing apparatus being registered as the second client is transmitted to the second information processing apparatus, and second authorization information is acquired. And a requesting means for requesting
The second information processing apparatus
A second authorization information is obtained from the authentication authorization server using the authentication information transmitted from the first information processing apparatus. 前記代理手段は、前記第1の情報処理装置に対応する第2の認可情報と、前記第2の情報処理装置に対応する第1の認可情報とを送信するとともに、前記第2の情報処理装置を前記第2のクライアントとして登録することを前記認証認可サーバへ要求し、
前記認証認可サーバは、前記第1の情報処理装置に対応する第2の認可情報から前記テナントを特定することにより、前記第2の情報処理装置を当該テナントと紐付く第2のクライアントとして登録する登録手段を備える
ことを特徴とする請求項1に記載の権限委譲システム。 The proxy means transmits second authorization information corresponding to the first information processing apparatus and first authorization information corresponding to the second information processing apparatus, and the second information processing apparatus. Requesting the authentication authorization server to register as the second client,
The authentication authorization server registers the second information processing apparatus as a second client associated with the tenant by specifying the tenant from the second authorization information corresponding to the first information processing apparatus. The authority delegation system according to claim 1, further comprising registration means. 前記認証認可サーバの登録手段は、前記情報処理装置を第1のクライアントとして登録することを要求された場合、少なくとも当該情報処理装置を一意に識別する識別情報、及び当該情報処理装置のネットワークの情報を管理する
ことを特徴とする請求項1または2に記載の権限委譲システム。 The registration unit of the authentication authorization server, when requested to register the information processing apparatus as a first client, at least identification information for uniquely identifying the information processing apparatus, and information on the network of the information processing apparatus The authority delegation system according to claim 1 or 2, wherein the authority delegation system is managed. 前記認証認可サーバの登録手段は、前記情報処理装置に対応する前記第1のクライアントと前記第2のクライアントとを紐付けて管理する
ことを特徴とする請求項2または3に記載の権限委譲システム。 The authority delegation system according to claim 2 or 3, wherein the registration unit of the authentication authorization server manages the first client and the second client corresponding to the information processing apparatus in association with each other. . 前記第1の情報処理装置は、
当該第1の情報処理装置と同一のネットワーク内の情報処理装置の一覧を前記認証認可サーバに要求する一覧要求手段と、
前記要求した一覧から第2のクライアントとして登録する第2の情報処理装置を選択する選択手段と、をさらに備える
ことを特徴とする請求項1ないし4のいずれか1項に記載の権限委譲システム。 The first information processing apparatus includes:
List request means for requesting the authentication authorization server to request a list of information processing apparatuses in the same network as the first information processing apparatus;
The authority delegation system according to any one of claims 1 to 4, further comprising selection means for selecting a second information processing apparatus to be registered as a second client from the requested list. 情報処理装置と、ネットワークを介してサービスを提供するサービス提供装置と、認証認可サーバとを含み、前記情報処理装置をクライアントとして前記認証認可サーバに登録する権限委譲システムの制御方法であって、
第1の情報処理装置が、前記認証認可サーバからテナントに属さない第1のクライアントとして第1の認可情報を取得する工程と、
前記第1の情報処理装置が、前記認証認可サーバからテナントと紐付く第2のクライアントとして第2の認可情報を取得する工程と、
前記第1の情報処理装置が、前記第1の情報処理装置と同一のネットワーク内の第2の情報処理装置から当該第2の情報処理装置が第1のクライアントとして取得した第1の認可情報を取得する工程と、
前記第1の情報処理装置が、前記第2の情報処理装置に代わって当該第2の情報処理装置を前記テナントと紐付く第2のクライアントとして登録することを前記認証認可サーバへ要求する工程と、
前記認証認可サーバが、前記第2の情報処理装置を前記第2のクライアントとして登録したことに応じて認証情報を前記第1の情報処理装置に提供する工程と、
第1の情報処理装置が、前記第2の情報処理装置に対して、前記提供された認証情報を送信するとともに、第2の認可情報を取得するように要求する工程と、
前記第2の情報処理装置が、前記第1の情報処理装置から送信された前記認証情報を用いて第2の認可情報を前記認証認可サーバから取得する工程と、を有する
ことを特徴とする権限委譲システム。 A control method for an authority delegation system that includes an information processing device, a service providing device that provides a service via a network, and an authentication authorization server, and registers the information processing device as a client in the authentication authorization server,
A first information processing apparatus acquiring first authorization information as a first client not belonging to a tenant from the authentication authorization server;
The first information processing apparatus acquires second authorization information as a second client associated with a tenant from the authentication authorization server;
The first information processing apparatus obtains the first authorization information acquired as the first client by the second information processing apparatus from the second information processing apparatus in the same network as the first information processing apparatus. A process of acquiring;
The first information processing apparatus requesting the authentication authorization server to register the second information processing apparatus as a second client associated with the tenant on behalf of the second information processing apparatus; ,
Providing the authentication information to the first information processing apparatus in response to the authentication authorization server registering the second information processing apparatus as the second client;
A step of requesting the second information processing apparatus to acquire the second authorization information while transmitting the provided authentication information to the second information processing apparatus;
The second information processing apparatus has a step of acquiring second authorization information from the authentication authorization server using the authentication information transmitted from the first information processing apparatus. Delegation system. ネットワークを介してサービス提供装置が提供するサービスを利用する情報処理装置であって、
認証認可サーバからテナントに属さない第1のクライアントとして第1の認可情報を取得する第1の取得手段と、
前記認証認可サーバからテナントと紐付く第2のクライアントとして第2の認可情報を取得する第2の取得手段と、
前記情報処理装置と同一のネットワーク内の第2の情報処理装置から当該第2の情報処理装置が第1のクライアントとして取得した第1の認可情報を取得する第3の取得手段と、
前記第2の情報処理装置に代わって当該第2の情報処理装置を前記テナントと紐付く第2のクライアントとして登録することを前記認証認可サーバへ要求する代理手段と、
前記第2の情報処理装置に対して、当該第2の情報処理装置が前記第2のクライアントとして登録されたことに応じて提供される認証情報を送信するとともに、第2の認可情報を取得するように要求する要求手段と、を備える
ことを特徴とする情報処理装置。 An information processing apparatus that uses a service provided by a service providing apparatus via a network,
A first acquisition unit that acquires first authorization information as a first client that does not belong to the tenant from the authentication authorization server;
Second acquisition means for acquiring second authorization information as a second client associated with the tenant from the authentication authorization server;
Third acquisition means for acquiring first authorization information acquired by the second information processing apparatus as a first client from a second information processing apparatus in the same network as the information processing apparatus;
Proxy means for requesting the authentication authorization server to register the second information processing apparatus as a second client associated with the tenant on behalf of the second information processing apparatus;
Authentication information provided in response to the second information processing apparatus being registered as the second client is transmitted to the second information processing apparatus, and second authorization information is acquired. An information processing apparatus comprising: requesting means for requesting as described above. 情報処理装置がネットワークを介してサービス提供装置が提供するサービスを利用するための認証及び認可を行う認証認可サーバであって、
テナントに属さない第1のクライアントとしての第1の情報処理装置から要求されたことに応じて、第1の認可情報を発行する第1の発行手段と、
テナントと紐付く第2のクライアントとしての前記第1の情報処理装置から要求されたことに応じて、第2の認可情報を発行する第2の発行手段と、
前記第1の情報処理装置から第2の情報処理装置に代わって当該第2の情報処理装置を前記テナントと紐付く第2のクライアントとして登録することを要求されたことに応じて、前記第2の情報処理装置の認証情報を前記第1の情報処理装置に提供する提供手段と、を備え、
前記第2の発行手段は、前記認証情報を用いた第2のクライアントとしての前記第2の情報処理装置からの要求に応じて、第2の認可情報を当該第2の情報処理装置に発行する
ことを特徴とする認証認可サーバ。
An authentication authorization server that performs authentication and authorization for the information processing apparatus to use the service provided by the service providing apparatus via the network,
First issuing means for issuing first authorization information in response to a request from the first information processing apparatus as a first client not belonging to a tenant;
Second issuing means for issuing second authorization information in response to a request from the first information processing apparatus as a second client associated with a tenant;
In response to a request from the first information processing apparatus to register the second information processing apparatus as a second client associated with the tenant on behalf of the second information processing apparatus, the second information processing apparatus Providing means for providing authentication information of the information processing apparatus to the first information processing apparatus,
The second issuing means issues second authorization information to the second information processing apparatus in response to a request from the second information processing apparatus as a second client using the authentication information. An authentication authorization server characterized by that.
JP2016004997A 2016-01-14 2016-01-14 Giving authority system, information processing device and control method Pending JP2017126191A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016004997A JP2017126191A (en) 2016-01-14 2016-01-14 Giving authority system, information processing device and control method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016004997A JP2017126191A (en) 2016-01-14 2016-01-14 Giving authority system, information processing device and control method

Publications (1)

Publication Number Publication Date
JP2017126191A true JP2017126191A (en) 2017-07-20

Family

ID=59364973

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016004997A Pending JP2017126191A (en) 2016-01-14 2016-01-14 Giving authority system, information processing device and control method

Country Status (1)

Country Link
JP (1) JP2017126191A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020071164A1 (en) 2018-10-01 2020-04-09 二村 憲人 Information communication apparatus, authentication program for information communication apparatus, and authentication method

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020071164A1 (en) 2018-10-01 2020-04-09 二村 憲人 Information communication apparatus, authentication program for information communication apparatus, and authentication method

Similar Documents

Publication Publication Date Title
US9985962B2 (en) Authorization server, authentication cooperation system, and storage medium storing program
JP6198477B2 (en) Authority transfer system, authorization server system, control method, and program
US9043591B2 (en) Image forming apparatus, information processing method, and storage medium
JP6675163B2 (en) Authority transfer system, control method of authorization server, authorization server and program
US9626137B2 (en) Image forming apparatus, server device, information processing method, and computer-readable storage medium
JP6061633B2 (en) Device apparatus, control method, and program thereof.
JP2017107396A (en) Authority delegation system, information processing apparatus, authorization server, control method, and program
JP7096736B2 (en) System and data processing method
WO2011089712A1 (en) Authentication method, authentication system, and authentication program
US11917076B2 (en) Terminal registration system and terminal registration method
JP2015005222A (en) Authorization server system, its control method and program
US20210144138A1 (en) Authority transfer system, server and method of controlling the server, and storage medium
EP3821357B1 (en) Systems, apparatus, and computer program products integrating simple certificate enrollment protocol into network device management
JP6168079B2 (en) Printing system, printing device search program, and recording medium
JP5845973B2 (en) Service use management method, program, and information processing apparatus
JP2016009466A (en) Web service system, authentication approval device, information processing device, information processing method, and program
JP2017120502A (en) Method for registering iot device to cloud service
JP2015133025A (en) data management device
US11159513B1 (en) Systems, apparatus, and computer program products for installing security certificates in publicly accessible printer stations through gateway
JP7208807B2 (en) System, tenant movement method, information processing device and its control method, and program
JP2017126191A (en) Giving authority system, information processing device and control method
JP2016085638A (en) Server device, terminal device, system, information processing method, and program
JP2019128858A (en) Apparatus approval system
JP2014142732A (en) Authority delegation system
JP2017091221A (en) Authority delegation system, control method thereof, authorization server, and program