JP2017228059A - 情報処理システム及び認可方法 - Google Patents
情報処理システム及び認可方法 Download PDFInfo
- Publication number
- JP2017228059A JP2017228059A JP2016123314A JP2016123314A JP2017228059A JP 2017228059 A JP2017228059 A JP 2017228059A JP 2016123314 A JP2016123314 A JP 2016123314A JP 2016123314 A JP2016123314 A JP 2016123314A JP 2017228059 A JP2017228059 A JP 2017228059A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- authorization
- user
- information
- processing system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Facsimiles In General (AREA)
Abstract
【課題】ユーザの利便性を損ねることなくデバイス装置において認可を実現する情報処理システムを提供すること。【解決手段】デバイス装置と、前記デバイス装置に対する認証認可を行う認証認可装置と、を有する情報処理システムであって、前記認証認可装置は、前記デバイス装置に割り当てられているデバイスユーザの情報を記憶するデバイス情報記憶手段と、前記デバイス装置からの機器認証要求を受け付け、前記デバイス装置に対して機器認証チケットを発行する機器認証チケット発行手段と、前記デバイス装置から前記機器認証チケットを使用した認可要求を受け付けた場合に前記デバイス装置に割り当てられている前記デバイスユーザから認可要求を受け付けたものとして前記デバイスユーザに権限を委譲する権限委譲手段と、を有することで上記課題を解決する。【選択図】 図1
Description
本発明は情報処理システム及び認可方法に関する。
近年、インターネット上に展開された所謂クラウドサービスと呼ばれるWebサービスの利用が拡大している。クラウドサービスは各々がWebサービスのAPI(Application Programming Interface)を公開しており、他のアプリケーションやクラウドサービスからAPIを介してサービスを利用させることが可能となっている。
このようなクラウドサービス間の連携やアクセス制御を行う方法としては、例えばOAuth2.0と呼ばれる認可の連携を実現させるための標準プロトコルを利用する方法が既に知られている(例えば特許文献1参照)。
OAuth2.0と呼ばれる認可の連携を実現させるための標準プロトコルを利用する方法では、各サービスが利用可能な操作を制限できる。しかしながら、OAuth2.0と呼ばれる認可の連携を実現させるための標準プロトコルを利用する方法では、ユーザが各サービスに対して明示的に認可を行わなければならず、ユーザの利便性を損ねていた。
本発明の実施の形態は、上記の点に鑑みなされたものであり、ユーザの利便性を損ねることなくデバイス装置において認可を実現する情報処理システムを提供することを目的とする。
上記した課題を達成するために本願請求項1は、デバイス装置と、前記デバイス装置に対する認証認可を行う認証認可装置と、を有する情報処理システムであって、前記認証認可装置は、前記デバイス装置に割り当てられているデバイスユーザの情報を記憶するデバイス情報記憶手段と、前記デバイス装置からの機器認証要求を受け付け、前記デバイス装置に対して機器認証チケットを発行する機器認証チケット発行手段と、前記デバイス装置から前記機器認証チケットを使用した認可要求を受け付けた場合に前記デバイス装置に割り当てられている前記デバイスユーザから認可要求を受け付けたものとして前記デバイスユーザに権限を委譲する権限委譲手段と、を有することを特徴とする。
本発明の実施の形態によれば、ユーザの利便性を損ねることなくデバイス装置において認可を実現する情報処理システムを提供できる。
以下、本発明の実施形態について図面を参照しながら説明する。
[第1の実施形態]
<システム構成>
図1は本実施形態に係る情報処理システムの一例の構成図である。図1の情報処理システム1は、デバイス装置10、アプリサーバ装置12、認証認可サーバ装置14及びAPIサーバ装置16が、インターネットなどのネットワーク18により接続された構成である。
[第1の実施形態]
<システム構成>
図1は本実施形態に係る情報処理システムの一例の構成図である。図1の情報処理システム1は、デバイス装置10、アプリサーバ装置12、認証認可サーバ装置14及びAPIサーバ装置16が、インターネットなどのネットワーク18により接続された構成である。
デバイス装置10はユーザが操作する電子機器である。デバイス装置10は複合機、コピー機、スキャナ、プリンタ、レーザプリンタ、プロジェクタ、電子黒板などの電子機器である。デバイス装置10は後述の機器認証を行う機能を有している。また、デバイス装置10はクライアントアプリを実行する。
アプリサーバ装置12は、一般的なOSなどが搭載されたコンピュータによって実現することができる。アプリサーバ装置12は、デバイス装置10にアプリケーション(Webアプリ)を提供する。アプリサーバ装置12からデバイス装置10に提供されるアプリケーションは、認可を取得してAPIサーバ装置16が提供するAPIを利用するクライアントアプリである。
認証認可サーバ装置14は一般的なOSなどが搭載されたコンピュータによって実現することができる。認証認可サーバ装置14はOAuthサービスプロバイダであり、認可コード、アクセストークン、リフレッシュトークンを発行する。認可コードは、APIへのアクセス許可を表し、アクセストークン及びリフレッシュトークンを得るために使用される。
アクセストークンは、クライアントアプリが認証済みリクエストを行うために使用されるトークンである。また、リフレッシュトークンはクライアントアプリが新しいアクセストークンを得るために使用されるトークンである。
APIサーバ装置16は一般的なOSなどが搭載されたコンピュータによって実現することができる。APIサーバ装置16はAPIに対するリクエストをクライアントアプリから受け付け、クライアントアプリにレスポンスを返す。APIサーバ装置16が提供するAPIはOAuthに対応したAPIであり、利用する場合、通常のパラメータに加えて認可のアクセストークンを付加する必要がある。
図1の情報処理システム1の構成は一例であって、様々な構成が考えられる。例えば認証認可サーバ装置14とAPIサーバ装置16とは、一体化されていてもよい。
<ハードウェア構成>
《コンピュータ》
図1のアプリサーバ装置12、認証認可サーバ装置14及びAPIサーバ装置16は例えば図2に示すようなハードウェア構成のコンピュータにより実現される。
《コンピュータ》
図1のアプリサーバ装置12、認証認可サーバ装置14及びAPIサーバ装置16は例えば図2に示すようなハードウェア構成のコンピュータにより実現される。
図2はコンピュータの一例のハードウェア構成図である。図2のコンピュータ500は入力装置501、表示装置502、外部I/F503、RAM504、ROM505、CPU506、通信I/F507及びHDD508などを備え、それぞれがバスBで相互に接続されている。なお、入力装置501及び表示装置502は必要なときに接続して利用する形態であってもよい。
入力装置501はキーボードやマウス、タッチパネルなどを含み、ユーザが各操作信号を入力するのに用いられる。表示装置502はディスプレイ等を含み、コンピュータ500による処理結果を表示する。
通信I/F507はコンピュータ500を各種ネットワークに接続するインタフェースである。これにより、コンピュータ500は通信I/F507を介してデータ通信を行うことができる。
また、HDD508は、プログラムやデータを格納している不揮発性の記憶装置の一例である。格納されるプログラムやデータには、コンピュータ500全体を制御する基本ソフトウェアであるOS、及びOS上において各種機能を提供するアプリケーションソフトウェア(以下、単にアプリケーションと呼ぶ)などがある。なお、コンピュータ500はHDD508に替え、記憶媒体としてフラッシュメモリを用いるドライブ装置(例えばソリッドステートドライブ:SSD)を利用するものであってもよい。
外部I/F503は、外部装置とのインタフェースである。外部装置には、記録媒体503aなどがある。これにより、コンピュータ500は外部I/F503を介して記録媒体503aの読み取り及び/又は書き込みを行うことができる。記録媒体503aにはフレキシブルディスク、CD、DVD、SDメモリカード、USBメモリなどがある。
ROM505は、電源を切ってもプログラムやデータを保持することができる不揮発性の半導体メモリ(記憶装置)の一例である。ROM505にはコンピュータ500の起動時に実行されるBIOS、OS設定、及びネットワーク設定などのプログラムやデータが格納されている。RAM504はプログラムやデータを一時保持する揮発性の半導体メモリ(記憶装置)の一例である。
CPU506は、ROM505やHDD508などの記憶装置からプログラムやデータをRAM504上に読み出し、処理を実行することで、コンピュータ500全体の制御や機能を実現する演算装置である。
アプリサーバ装置12、認証認可サーバ装置14及びAPIサーバ装置16は例えば図2に示すコンピュータ500のハードウェア構成により、後述するような各種処理を実現できる。
《画像形成装置》
図1のデバイス装置10の一例である画像形成装置600は、例えば図3に示すハードウェア構成のコンピュータにより実現される。図3は画像形成装置の一例のハードウェア構成図である。図3の画像形成装置600はコントローラ601、操作パネル602、外部I/F603、通信I/F604、プリンタ605及びスキャナ606などを備える。
図1のデバイス装置10の一例である画像形成装置600は、例えば図3に示すハードウェア構成のコンピュータにより実現される。図3は画像形成装置の一例のハードウェア構成図である。図3の画像形成装置600はコントローラ601、操作パネル602、外部I/F603、通信I/F604、プリンタ605及びスキャナ606などを備える。
コントローラ601はCPU611、RAM612、ROM613、NVRAM614及びHDD615などを備える。ROM613は、各種プログラムやデータが格納されている。RAM612はプログラムやデータを一時保持する。NVRAM614は、例えば設定情報等が格納されている。また、HDD615は各種プログラムやデータが格納されている。
CPU611は、ROM613やNVRAM614、HDD615などからプログラムやデータ、設定情報等をRAM612上に読み出し、処理を実行することで、画像形成装置600全体の制御や機能を実現する。
操作パネル602はユーザからの入力を受け付ける入力部と、表示を行う表示部とを備えている。外部I/F603は外部装置とのインタフェースである。外部装置には、記録媒体603aなどがある。これにより、画像形成装置600は外部I/F603を介して記録媒体603aの読み取り及び/又は書き込みを行うことができる。記録媒体603aにはICカード、フレキシブルディスク、CD、DVD、SDメモリカード、USBメモリ等がある。
通信I/F604は、画像形成装置600をネットワーク18に接続させるためのインタフェースである。これにより、画像形成装置600は通信I/F604を介してデータ通信を行うことができる。プリンタ605は印刷データを被搬送物に印刷するための印刷装置である。例えば被搬送物は紙、コート紙、厚紙、OHP、プラスチックフィルム、プリプレグ、銅箔など、紙に限定されない。スキャナ606は、原稿から画像データ(電子データ)を読み取るための読取装置である。
<ソフトウェア構成>
《デバイス装置》
本実施形態に係るデバイス装置10は例えば図4に示すような処理ブロックにより実現される。図4は本実施形態に係るデバイス装置の一例の処理ブロック図である。デバイス装置10はクライアントアプリを実行することで、図4に示すような処理ブロックを実現する。デバイス装置10は、機器認証チケット取得部20、認可要求部21、認可コード取得部22、トークン取得部23、API利用部24、アプリ処理実行部25を実現している。
《デバイス装置》
本実施形態に係るデバイス装置10は例えば図4に示すような処理ブロックにより実現される。図4は本実施形態に係るデバイス装置の一例の処理ブロック図である。デバイス装置10はクライアントアプリを実行することで、図4に示すような処理ブロックを実現する。デバイス装置10は、機器認証チケット取得部20、認可要求部21、認可コード取得部22、トークン取得部23、API利用部24、アプリ処理実行部25を実現している。
機器認証チケット取得部20は機器認証により認証認可サーバ装置14から機器認証チケットを取得する。認可要求部21は取得した機器認証チケットで認証認可サーバ装置14に対してリソースへのアクセスの認可要求を行う。認可コード取得部22はリソースへのアクセスが許可された場合に、認証認可サーバ装置14から認可コードを取得する。
トークン取得部23は取得した認可コードを使用して認証認可サーバ装置14からアクセストークン、リフレッシュトークンを取得する。また、トークン取得部23はリフレッシュトークンを使用して認証認可サーバ装置14から新しいアクセストークンを取得する。
API利用部24はアクセストークンを使用してAPIサーバ装置16のAPIにアクセスする。アプリ処理実行部25は、アクセスしたAPIを使用して何らかの処理を実行する。
《認証認可サーバ装置》
本実施形態に係る認証認可サーバ装置14は、例えば図5に示す処理ブロックにより実現される。図5は本実施形態に係る認証認可サーバ装置の一例の処理ブロック図である。
本実施形態に係る認証認可サーバ装置14は、例えば図5に示す処理ブロックにより実現される。図5は本実施形態に係る認証認可サーバ装置の一例の処理ブロック図である。
認証認可サーバ装置14はプログラムを実行することで、例えば図5に示すような処理ブロックを実現する。認証認可サーバ装置14は、機器認証チケット発行部30、認可要求受付部31、デバイスユーザ取得部32、認可コード発行部33、トークン要求受付部34、トークン発行部35を実現している。また、認証認可サーバ装置14は、機器認証チケット情報保存部36、テナント情報保存部37、アプリ情報保存部38、ユーザ情報保存部39、デバイス情報保存部40、認可コード情報保存部41、アクセストークン情報保存部42、リフレッシュトークン情報保存部43を有している。
機器認証チケット発行部30は機器認証によりクライアントアプリに機器認証チケットを発行する。認可要求受付部31は、クライアントアプリから機器認証チケットを使用した認可要求を受け付ける。デバイスユーザ取得部32は、機器認証チケットに対応したデバイス装置10に割り当てられている仮想ユーザ(デバイスユーザ)のユーザIDを取得する。
認可コード発行部33は、機器認証チケットを使用した認可要求であれば、クライアントアプリに割り当てられたデバイスユーザが認可を許可したものとして処理を進める。認可コード発行部33はデバイスユーザが認可を許可した場合に、認可コードを発行し、認可コードと共にリダイレクトURLにリダイレクトを行う。発行した認可コードに関する認可コード情報は認可コード情報保存部41に保存しておく。
また、トークン要求受付部34はクライアントアプリから認可コードを使用したアクセストークン要求を受け付ける。トークン発行部35は認可コードに応じたアクセストークン及びリフレッシュトークンを発行する。
なお、発行したアクセストークンに関するアクセストークン情報はアクセストークン情報保存部42に保存する。発行したリフレッシュトークンに関するリフレッシュトークン情報はリフレッシュトークン情報保存部43に保存する。トークン発行部35は発行したアクセストークン及びリフレッシュトークンをアクセストークン要求元のクライアントアプリに返す。
機器認証チケット情報保存部36はクライアントアプリに発行した機器認証チケットの情報を保存している。テナント情報保存部37は登録されているテナントの情報を保存している。アプリ情報保存部38はテナントに登録されているクライアントアプリの情報を保存している。
ユーザ情報保存部39はテナントに登録されているユーザ及びデバイスユーザの情報を保存している。デバイス情報保存部40はテナントに登録されているデバイス装置10の情報を保存している。認可コード情報保存部41はクライアントアプリに発行された認可コードの情報を保存している。アクセストークン情報保存部42はクライアントアプリに発行されたアクセストークンの情報を保存している。リフレッシュトークン情報保存部43はクライアントアプリに発行されたリフレッシュトークンの情報を保存している。
《情報》
図6は機器認証チケット情報の一例の構成図である。図6の機器認証チケット情報は項目としてシリアルID及びチケット値を有する。シリアルIDはデバイス装置10を識別する識別情報の一例である。チケット値は発行した機器認証チケットの値である。
図6は機器認証チケット情報の一例の構成図である。図6の機器認証チケット情報は項目としてシリアルID及びチケット値を有する。シリアルIDはデバイス装置10を識別する識別情報の一例である。チケット値は発行した機器認証チケットの値である。
図7はテナント情報の一例の構成図である。図7のテナント情報は項目としてテナントIDを有している。テナントIDは、登録されているテナントを識別する識別情報の一例である。テナントは、企業、学校、団体、部門などの組織(グループ)である。テナント情報はアプリ情報、ユーザ情報、デバイス情報などをグループ化する為に利用される。
図8はアプリ情報の一例の構成図である。図8のアプリ情報は項目として、テナントID、アプリID及びリダイレクトURLを有している。アプリIDはクライアントアプリを識別する識別情報の一例である。テナントIDはクライアントアプリが登録されている組織の識別情報である。リダイレクトURIはOAuthの認可の際に利用するリダイレクトURIである。
図9はユーザ情報の一例の構成図である。図9のユーザ情報は項目としてテナントID及びユーザIDを有している。ユーザIDはユーザ及びデバイスユーザを識別する識別情報の一例である。テナントIDはユーザ及びデバイスユーザが登録されている組織の識別情報である。
図10はデバイス情報の一例の構成図である。図10のデバイス情報は項目としてテナントID、シリアルID及びユーザIDを有している。シリアルIDはデバイス装置10を識別する識別情報の一例である。テナントIDはデバイス装置10が登録されている組織の識別情報である。また、ユーザIDはデバイス装置10に割り当てられているデバイスユーザの識別情報である。
図11は認可コード情報の一例の構成図である。図11の認可コード情報は項目としてテナントID、ユーザID、アプリID、リダイレクトURL、コード値、スコープを有している。
テナントIDはデバイス装置10が登録されている組織の識別情報である。ユーザIDはデバイス装置10に割り当てられているデバイスユーザの識別情報である。アプリIDはクライアントアプリを識別する識別情報の一例である。リダイレクトURLはOAuthの認可の際に利用するリダイレクトURIである。コード値は認可コードの一例である一時コードの値を示している。スコープは利用可能なAPIの範囲である。
図12はアクセストークン情報の一例の構成図である。図12のアクセストークン情報は項目として、テナントID、ユーザID、アプリID、トークン値、スコープ及びリフレッシュトークンを有している。
テナントIDはデバイス装置10が登録されている組織の識別情報である。ユーザIDはデバイス装置10に割り当てられているデバイスユーザの識別情報である。アプリIDはクライアントアプリを識別する識別情報の一例である。トークン値はアクセストークンの値を示している。スコープは利用可能なAPIの範囲である。リフレッシュトークンはリフレッシュトークンの値を示している。
図13はリフレッシュトークン情報の一例の構成図である。リフレッシュトークン情報は項目としてテナントID、ユーザID、アプリID、トークン値及びスコープを有している。
テナントIDは、デバイス装置10が登録されている組織の識別情報である。ユーザIDはデバイス装置10に割り当てられているデバイスユーザの識別情報である。アプリIDは、クライアントアプリを識別する識別情報の一例である。トークン値はリフレッシュトークンの値を示している。スコープは利用可能なAPIの範囲である。
<処理の詳細>
以下では、本実施形態に係る情報処理システム1の認可処理について説明する。
以下では、本実施形態に係る情報処理システム1の認可処理について説明する。
《OAuthプロバイダの基本的なデータモデル》
図14はOAuthプロバイダの基本的なデータモデルの一例の説明図である。図14ではユーザがクライアントアプリに権限を委譲することで、クライアントアプリがAPIサーバ装置16のAPIを利用できるようになることを示している。なお、権限の実体はアクセストークン及びリフレッシュトークンである。
図14はOAuthプロバイダの基本的なデータモデルの一例の説明図である。図14ではユーザがクライアントアプリに権限を委譲することで、クライアントアプリがAPIサーバ装置16のAPIを利用できるようになることを示している。なお、権限の実体はアクセストークン及びリフレッシュトークンである。
《機器認証を利用したOAuthの認可》
図14に示したデータモデルではクライアントアプリに権限を委譲するためにユーザのログインが必要となる。図15はユーザのログイン無しにクライアントアプリへ権限を委譲する処理手順の一例を示した説明図である。図15ではデバイス装置10の機番などのシリアルIDを利用した機器認証により、ユーザのログイン無しにクライアントアプリへの権限の委譲を実現している。
図14に示したデータモデルではクライアントアプリに権限を委譲するためにユーザのログインが必要となる。図15はユーザのログイン無しにクライアントアプリへ権限を委譲する処理手順の一例を示した説明図である。図15ではデバイス装置10の機番などのシリアルIDを利用した機器認証により、ユーザのログイン無しにクライアントアプリへの権限の委譲を実現している。
ステップS1に進み、デバイス装置10のクライアントアプリは認証認可サーバ装置14に機器認証を要求する。ステップS1の機器認証は暗黙的に行われるため、ユーザ操作を必要としない。
ステップS2に進み、デバイス装置10のクライアントアプリはOAuthの認可を認証認可サーバ装置14に要求する。ステップS3において、デバイス装置10のクライアントアプリは認証認可サーバ装置14からアクセストークンを取得する。ステップS4においてデバイス装置10のクライアントアプリはアクセストークンを使用することでAPIサーバ装置16のAPIが利用できるようになる。
《デバイスユーザへの権限の割り当て》
本実施形態では、デバイス装置10に仮想ユーザ(デバイスユーザ)を割り当て、機器認証により得た権限をデバイスユーザへ割り当てる。図16は本実施形態に係るOAuthプロバイダのデータモデルの一例の説明図である。そして図16では機器認証チケットを使用した認可要求を行うことにより、ユーザのログイン無しにクライアントアプリへの権限の委譲を実現している。
本実施形態では、デバイス装置10に仮想ユーザ(デバイスユーザ)を割り当て、機器認証により得た権限をデバイスユーザへ割り当てる。図16は本実施形態に係るOAuthプロバイダのデータモデルの一例の説明図である。そして図16では機器認証チケットを使用した認可要求を行うことにより、ユーザのログイン無しにクライアントアプリへの権限の委譲を実現している。
図16のデータモデルの場合、デバイス装置10では機器認証後にデバイスユーザでログインしている状態となる。認証認可サーバ装置14は機器認証チケットを使用した認可要求を受け付けた場合に、デバイスユーザが認可を許可したものと判断して処理を進めることができる。なお、デバイスユーザはデバイス装置10の登録時に作成される。
図16に示すように、本実施形態のOAuthプロバイダのデータモデルは図14に示したデータモデルを一部修正したものであり、内部ロジックも基本的な構成をそのまま利用できる。
ただし、本実施形態では認可したのがユーザでなくデバイスユーザであるため、利用可能なAPIの範囲(スコープ)を例えば図17に示すように制限する。図17は本実施形態におけるスコープ設定の一例の構成図である。図17では、利用可能な主体者(ユーザロール)によりスコープを制限している。
図17では、一般ユーザ及びデバイスユーザが企業情報取得権限を有し、利用可能なAPIが「企業情報を取得する」であることを表している。また、図17では企業管理者が企業情報更新権限を有し、利用可能なAPIが「企業情報を取得する」と「企業情報を更新する」であることを表している。このように本実施形態ではデバイスユーザが認可した場合に、企業管理者が認可した場合よりもスコープを制限できる。
図18は本実施形態に係る情報処理システムの一例のシーケンス図である。ステップS21に進み、デバイス装置10のブラウザ50はユーザからAPIサーバ装置16のAPIを利用する要求を受け付ける。ステップS22に進み、ブラウザ50はクライアントアプリ52にAPIサーバ装置16のAPIの利用を要求する。
ステップS23において、クライアントアプリ52は認証認可サーバ装置14に機器認証を要求する。機器認証に成功すると、クライアントアプリ52は認証認可サーバ装置14から機器認証チケットを取得する。
ステップS24に進み、クライアントアプリ52は取得した機器認証チケットと図17に示したようなスコープで認証認可サーバ装置14に対してリソースへのアクセスの認可要求を行う。ステップS25に進み、認証認可サーバ装置14のデバイスユーザ取得部32は機器認証チケットと対応付けられたシリアルIDを図6の機器認証チケット情報から取得する。そして、デバイスユーザ取得部32は取得したシリアルIDと対応付けられたデバイスユーザIDを図10のデバイス情報から取得する。
ステップS26に進み、認可コード発行部33は認可コードとして一時コードを発行すると共に、発行した一時コードと対応付けて、デバイスユーザIDと図17に示したようなスコープとを認可コード情報に保存する。認可コード発行部33は一時コードと共にリダイレクトURLにリダイレクトを行う。
ステップS27に進み、クライアントアプリ52は取得した一時コードを使用して認証認可サーバ装置14にアクセストークン取得を要求する。認証認可サーバ装置14は一時コードを使用したアクセストークン取得の要求を受け付ける。
ステップS28に進み、認証認可サーバ装置14のトークン発行部35は取得した一時コードと対応付けられたデバイスユーザID及びスコープを図11の認可コード情報から取得する。そして、ステップS29に進み、トークン発行部35はアクセストークン及びリフレッシュトークンを発行する。
トークン発行部35は、発行したアクセストークンをデバイスユーザID及びスコープと対応付けて図12のアクセストークン情報に保存する。また、トークン発行部35は発行したリフレッシュトークンをデバイスユーザID及びスコープと対応付けて図13のリフレッシュトークン情報に保存する。ステップS30に進み、トークン発行部35は発行したアクセストークン及びリフレッシュトークンをアクセストークン要求元のクライアントアプリに返す。そして、ステップS31に進み、クライアントアプリ52は取得したアクセストークンを使用してAPIサーバ装置16のAPIにアクセスすることができるようになる。
<まとめ>
本実施形態によれば、ユーザのログイン無しに、デバイス装置10においてOAuthの認可が可能となる。このように、本実施形態ではデバイス装置10の操作パネルにアカウント情報を入力することなく、OAuthの標準仕様に従ったAPIを、ユーザに簡単に提供できる。
[他の実施形態]
第1の実施形態では、デバイス装置10にデバイスユーザを割り当て、機器認証により得た権限をデバイスユーザへ割り当てていた。機器認証により得た権限はデバイス装置10に割り当てるようにしてもよい。
本実施形態によれば、ユーザのログイン無しに、デバイス装置10においてOAuthの認可が可能となる。このように、本実施形態ではデバイス装置10の操作パネルにアカウント情報を入力することなく、OAuthの標準仕様に従ったAPIを、ユーザに簡単に提供できる。
[他の実施形態]
第1の実施形態では、デバイス装置10にデバイスユーザを割り当て、機器認証により得た権限をデバイスユーザへ割り当てていた。機器認証により得た権限はデバイス装置10に割り当てるようにしてもよい。
図19は、本実施形態に係るOAuthプロバイダのデータモデルの他の例の説明図である。図19のデータモデルは、図16のデータモデルと比べて構成が簡単になるがシリアルIDと権限とを対応付ける情報が必要となる。また、図19のデータモデルの場合も認可したのがユーザでなくデバイスであるため、スコープを例えば図20に示すように制限する。
図20は本実施形態におけるスコープ設定の他の例の構成図である。図20では主体者別に利用可能な種別を制限している。図20では利用可能な主体者がユーザ及びデバイスであり、企業管理者、一般ユーザ及びR社のMFPが企業情報取得権限を有し、利用可能なAPIが「企業情報を取得する」であることを表している。
また、図20では、利用可能な主体者がユーザであり、企業管理者が企業情報更新権限を有し、利用可能なAPIが「企業情報を取得する」と「企業情報を更新する」であることを表している。このように本実施形態ではデバイスが認可した場合に、企業管理者が認可した場合よりもスコープを制限できる。
このように、本実施形態によれば、ユーザの利便性を損ねることなくデバイス装置において認可を実現できる。
本発明は、具体的に開示された上記の実施形態に限定されるものではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。認証認可サーバ装置14は特許請求の範囲に記載した認証認可装置の一例である。デバイス情報保存部40はデバイス情報記憶手段の一例である。機器認証チケット発行部30は機器認証チケット発行手段の一例である。認可コード発行部33、トークン要求受付部34及びトークン発行部35は権限委譲手段の一例である。
1 情報処理システム
10 デバイス装置
12 アプリサーバ装置
14 認証認可サーバ装置
16 APIサーバ装置
18 ネットワーク
20 機器認証チケット取得部
21 認可要求部
22 認可コード取得部
23 トークン取得部
24 API利用部
25 アプリ処理実行部
30 機器認証チケット発行部
31 認可要求受付部
32 デバイスユーザ取得部
33 認可コード発行部
34 トークン要求受付部
35 トークン発行部
36 機器認証チケット情報保存部
37 テナント情報保存部
38 アプリ情報保存部
39 ユーザ情報保存部
40 デバイス情報保存部
41 認可コード情報保存部
42 アクセストークン情報保存部
43 リフレッシュトークン情報保存部
50 ブラウザ
52 クライアントアプリ
500 コンピュータ
501 入力装置
502 表示装置
503 外部I/F
503a 記録媒体
504 RAM
505 ROM
506 CPU
507 通信I/F
508 HDD
600 画像形成装置
601 コントローラ
602 操作パネル
603 外部I/F
603a 記録媒体
604 通信I/F
605 プリンタ
606 スキャナ
611 CPU
612 RAM
613 ROM
614 NVRAM
615 HDD
B バス
10 デバイス装置
12 アプリサーバ装置
14 認証認可サーバ装置
16 APIサーバ装置
18 ネットワーク
20 機器認証チケット取得部
21 認可要求部
22 認可コード取得部
23 トークン取得部
24 API利用部
25 アプリ処理実行部
30 機器認証チケット発行部
31 認可要求受付部
32 デバイスユーザ取得部
33 認可コード発行部
34 トークン要求受付部
35 トークン発行部
36 機器認証チケット情報保存部
37 テナント情報保存部
38 アプリ情報保存部
39 ユーザ情報保存部
40 デバイス情報保存部
41 認可コード情報保存部
42 アクセストークン情報保存部
43 リフレッシュトークン情報保存部
50 ブラウザ
52 クライアントアプリ
500 コンピュータ
501 入力装置
502 表示装置
503 外部I/F
503a 記録媒体
504 RAM
505 ROM
506 CPU
507 通信I/F
508 HDD
600 画像形成装置
601 コントローラ
602 操作パネル
603 外部I/F
603a 記録媒体
604 通信I/F
605 プリンタ
606 スキャナ
611 CPU
612 RAM
613 ROM
614 NVRAM
615 HDD
B バス
Claims (7)
- デバイス装置と、前記デバイス装置に対する認証認可を行う認証認可装置と、を有する情報処理システムであって、
前記認証認可装置は、
前記デバイス装置に割り当てられているデバイスユーザの情報を記憶するデバイス情報記憶手段と、
前記デバイス装置からの機器認証要求を受け付け、前記デバイス装置に対して機器認証チケットを発行する機器認証チケット発行手段と、
前記デバイス装置から前記機器認証チケットを使用した認可要求を受け付けた場合に前記デバイス装置に割り当てられている前記デバイスユーザから認可要求を受け付けたものとして前記デバイスユーザに権限を委譲する権限委譲手段と、
を有する情報処理システム。 - 前記権限委譲手段は、前記デバイスユーザに委譲する権限の範囲を制限すること
を特徴とする請求項1記載の情報処理システム。 - 前記デバイスユーザはデバイス情報の前記認証認可装置への登録時に前記デバイス情報記憶手段に記憶されること
を特徴とする請求項1又は2記載の情報処理システム。 - デバイス装置と、前記デバイス装置に対する認証認可を行う認証認可装置と、を有する情報処理システムであって、
前記認証認可装置は、
前記デバイス装置からの機器認証要求を受け付け、前記デバイス装置に対して機器認証チケットを発行する機器認証チケット発行手段と、
前記デバイス装置から前記機器認証チケットを使用した認可要求を受け付けた場合に前記デバイス装置から認可要求を受け付けたものとして前記デバイス装置に権限を委譲する権限委譲手段と、
を有する情報処理システム。 - 前記権限委譲手段は、前記デバイス装置に委譲する権限の範囲を前記デバイス装置の種別により制限すること
を特徴とする請求項4記載の情報処理システム。 - デバイス装置と、前記デバイス装置に対する認証認可を行う認証認可装置と、を有する情報処理システムにおいて実行される認可方法であって、
前記デバイス装置に割り当てられているデバイスユーザの情報をデバイス情報記憶部に記憶する記憶ステップと、
前記デバイス装置からの機器認証要求を受け付け、前記デバイス装置に対して機器認証チケットを発行する機器認証チケット発行ステップと、
前記デバイス装置から前記機器認証チケットを使用した認可要求を受け付けた場合に前記デバイス装置に割り当てられている前記デバイスユーザから認可要求を受け付けたものとして前記デバイスユーザに権限を委譲する権限委譲ステップと、
を有する認可方法。 - デバイス装置と、前記デバイス装置に対する認証認可を行う認証認可装置と、を有する情報処理システムにおいて実行される認可方法であって、
前記デバイス装置からの機器認証要求を受け付け、前記デバイス装置に対して機器認証チケットを発行する機器認証チケット発行ステップと、
前記デバイス装置から前記機器認証チケットを使用した認可要求を受け付けた場合に前記デバイス装置から認可要求を受け付けたものとして前記デバイス装置に権限を委譲する権限委譲ステップと、
を有する認可方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016123314A JP2017228059A (ja) | 2016-06-22 | 2016-06-22 | 情報処理システム及び認可方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016123314A JP2017228059A (ja) | 2016-06-22 | 2016-06-22 | 情報処理システム及び認可方法 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020169499A Division JP7078090B2 (ja) | 2020-10-07 | 2020-10-07 | 情報処理システム及び認可方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2017228059A true JP2017228059A (ja) | 2017-12-28 |
Family
ID=60891576
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016123314A Pending JP2017228059A (ja) | 2016-06-22 | 2016-06-22 | 情報処理システム及び認可方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2017228059A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2020112886A (ja) * | 2019-01-08 | 2020-07-27 | 株式会社リコー | サービスシステム、クラウドサービス、ユーザ登録方法、プログラム |
| JP2021005420A (ja) * | 2020-10-07 | 2021-01-14 | 株式会社リコー | 情報処理システム及び認可方法 |
| JP2021026487A (ja) * | 2019-08-05 | 2021-02-22 | 富士通株式会社 | 情報処理装置、アクセス制御システム及びアクセス制御プログラム |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013008173A (ja) * | 2011-06-24 | 2013-01-10 | Canon Inc | 画像処理システム、そのアクセス制御方法及びプログラム |
| US20140380429A1 (en) * | 2013-06-21 | 2014-12-25 | Canon Kabushiki Kaisha | Authority delegate system, authorization server system, control method, and program |
| JP2015001974A (ja) * | 2013-06-18 | 2015-01-05 | キヤノン株式会社 | 認証システム、その制御方法、サービス提供装置およびコンピュータプログラム |
| JP2015111415A (ja) * | 2013-11-05 | 2015-06-18 | 株式会社リコー | 情報処理システム及び情報処理方法 |
-
2016
- 2016-06-22 JP JP2016123314A patent/JP2017228059A/ja active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013008173A (ja) * | 2011-06-24 | 2013-01-10 | Canon Inc | 画像処理システム、そのアクセス制御方法及びプログラム |
| JP2015001974A (ja) * | 2013-06-18 | 2015-01-05 | キヤノン株式会社 | 認証システム、その制御方法、サービス提供装置およびコンピュータプログラム |
| US20140380429A1 (en) * | 2013-06-21 | 2014-12-25 | Canon Kabushiki Kaisha | Authority delegate system, authorization server system, control method, and program |
| JP2015111415A (ja) * | 2013-11-05 | 2015-06-18 | 株式会社リコー | 情報処理システム及び情報処理方法 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2020112886A (ja) * | 2019-01-08 | 2020-07-27 | 株式会社リコー | サービスシステム、クラウドサービス、ユーザ登録方法、プログラム |
| JP7222246B2 (ja) | 2019-01-08 | 2023-02-15 | 株式会社リコー | サービスシステム、クラウドサービス、ユーザ登録方法、プログラム |
| JP2021026487A (ja) * | 2019-08-05 | 2021-02-22 | 富士通株式会社 | 情報処理装置、アクセス制御システム及びアクセス制御プログラム |
| JP7234849B2 (ja) | 2019-08-05 | 2023-03-08 | 富士通株式会社 | 情報処理装置、アクセス制御システム及びアクセス制御プログラム |
| JP2021005420A (ja) * | 2020-10-07 | 2021-01-14 | 株式会社リコー | 情報処理システム及び認可方法 |
| JP7078090B2 (ja) | 2020-10-07 | 2022-05-31 | 株式会社リコー | 情報処理システム及び認可方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9306923B2 (en) | Image forming apparatus, method for controlling image forming apparatus, and storage medium therefor | |
| JP6390123B2 (ja) | 情報処理システム及び認証情報提供方法 | |
| JP6098169B2 (ja) | 情報処理システム、情報処理装置、プログラム及び認証方法 | |
| US9288213B2 (en) | System and service providing apparatus | |
| US9230078B2 (en) | Authentication system, control method thereof, service provision device, and storage medium | |
| US10769268B2 (en) | Information processing device, information processing system, and information processing method | |
| US8402459B2 (en) | License management system, license management computer, license management method, and license management program embodied on computer readable medium | |
| US20140137232A1 (en) | Device apparatus, control method, and relating storage medium | |
| US10445477B2 (en) | Information processing system, method of controlling the system, information processing apparatus, web server, and storage medium | |
| JP2018501565A (ja) | マルチファセット・コンピュート・インスタンス・アイデンティティ | |
| JP6907619B2 (ja) | 情報処理システム、情報処理方法、及び情報処理装置 | |
| JP2017228059A (ja) | 情報処理システム及び認可方法 | |
| JP6716899B2 (ja) | 情報処理システム、情報処理装置及びプログラム | |
| JPWO2016143027A1 (ja) | 情報処理装置、機器連携認証プログラム及び機器連携認証方法 | |
| JP2016009466A (ja) | Webサービスシステム、認証認可装置、情報処理装置、情報処理方法及びプログラム | |
| JP6927282B2 (ja) | 情報処理装置、端末装置、プログラム及び情報処理システム | |
| JP6318667B2 (ja) | 出力システム、出力方法、サービス提供システム、サービス提供装置及びプログラム | |
| JP7078090B2 (ja) | 情報処理システム及び認可方法 | |
| JP6874464B2 (ja) | 端末装置及び通信システム | |
| JP6237868B2 (ja) | クラウドサービス提供システム及びクラウドサービス提供方法 | |
| JP6759691B2 (ja) | 情報処理装置、認可方法及びプログラム | |
| KR20220014833A (ko) | 인쇄 시스템, 서버 시스템, 및 인쇄 장치 | |
| US20160132348A1 (en) | Deployment control device and deployment control method | |
| JP2016042327A (ja) | 情報処理システム及び認証方法 | |
| US20240211580A1 (en) | Account management system, account management method, information terminal and medium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190417 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200228 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200317 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200518 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20200707 |