JP2019057793A - 情報処理装置及びプログラム - Google Patents

情報処理装置及びプログラム Download PDF

Info

Publication number
JP2019057793A
JP2019057793A JP2017180372A JP2017180372A JP2019057793A JP 2019057793 A JP2019057793 A JP 2019057793A JP 2017180372 A JP2017180372 A JP 2017180372A JP 2017180372 A JP2017180372 A JP 2017180372A JP 2019057793 A JP2019057793 A JP 2019057793A
Authority
JP
Japan
Prior art keywords
certificate
authentication
information
information processing
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017180372A
Other languages
English (en)
Other versions
JP6939310B2 (ja
Inventor
太志 阿隅
Futoshi Asumi
太志 阿隅
崇之 鈴木
Takayuki Suzuki
崇之 鈴木
亮治 松村
Ryoji Matsumura
亮治 松村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd filed Critical Fuji Xerox Co Ltd
Priority to JP2017180372A priority Critical patent/JP6939310B2/ja
Publication of JP2019057793A publication Critical patent/JP2019057793A/ja
Application granted granted Critical
Publication of JP6939310B2 publication Critical patent/JP6939310B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】端末装置との間で通信を秘匿化しないモードが設定されている場合でも自装置を証明する情報を端末装置に送信して設定させることが可能な情報処理装置及びプログラムを提供する。【解決手段】認証連携サーバ装置3は、自装置3に対して情報を暗号化せずに通信するモードが設定されている場合に、自装置3の電子証明書を生成する生成手段と、自装置3と同一の内部ネットワーク6に接続されている端末装置4に対して、上記電子証明書を送信する送信手段とを備える。【選択図】図1

Description

本発明は、情報処理装置及びプログラムに関する。
近年、一度のログオンにより複数のサービスを利用可能とするシングルサインオンシステムが提案されている(例えば、特許文献1参照。)。
特許文献1に記載されたシングルサインオンシステムは、ユーザ認証を実行する認可サーバと、ウェブサービスを提供するサービス提供サーバと、情報処理装置としての端末とを備え、端末は、自装置に対するログイン操作を受け付けて認可サーバに認証連携要求を送信し、認可サーバから第1の認証要求を受け付けたことに起因して第2の認証要求をサービス提供サーバに送信し、サービス提供サーバによる第2の認証要求への応答に起因して、第3の認証要求をサービス提供サーバに送信し、第3の認証要求に応答したサービス提供サーバから、認可コードを含む認可サーバへのリダイレクト指示を受信し、リダイレクトに含まれる認可コードを用いて認証トークンを生成した認可サーバから、認証トークンを含む認証連携要求に対する応答を受信するよう構成されている。
特開2016−9299号公報
イントラネット等の企業内部のネットワークでは通信を秘匿化しないモードが設定される場合がある。そのような場合でもセキュリティを確保するためには、管理者に高度な知識と設定負担が必要になる。
本発明の課題は、端末装置との間で通信を秘匿化しないモードが設定されている場合でも自装置を証明する情報を端末装置に送信して設定させることが可能な情報処理装置及びプログラムを提供することにある。
[1]自装置に対して情報を暗号化せずに通信するモードが設定されている場合に、自装置の電子証明書を生成する生成手段と、
自装置と同一の第1のネットワークに接続されている端末装置に対して、前記電子証明書を送信する送信手段と、を備えた情報処理装置。
[2]前記送信手段は、自装置のアドレス情報を送信する、前記[1]に記載の情報処理装置。
[3]前記送信手段は、前記端末装置のうち予め定められた種別の端末装置に前記電子証明書及び前記アドレス情報を送信する、前記[2]に記載の情報処理装置。
[4]前記電子証明書は、自装置自身が認証局になって自身の認証局の電子証明書である、前記[1]から[3]のいずれかに記載の情報処理装置。
[5]前記暗号化せずに通信するモードの設定が暗号化するモードに変更された場合に、第三者認証局の電子証明書を送信する、前記[1]から[4]のいずれかに記載の情報処理装置。
[6]第2のネットワークを介してサービスを提供するサービス提供装置との間で自己が使用する公開鍵を含む情報を交換して信頼関係を構築する構築手段と、
前記信頼関係が構築された前記サービス提供装置から、前記端末装置を操作して前記サービスを利用する利用者に対する認証処理を委譲されて前記認証処理を代行する代行手段と、をさらに備えた前記[1]から[5]のいずれかに記載の情報処理装置。
[7]コンピュータを、自装置に対して情報を暗号化せずに通信するモードが設定されている場合に、自装置の電子証明書を生成する生成手段と、
自装置と同一の第1のネットワークに接続されている端末装置に対して、前記電子証明書を送信する送信手段、として機能させるためのプログラム。
請求項1、2、7に係る発明によれば、端末装置との間で通信を秘匿化しないモードが設定されている場合でも自装置を証明する情報を端末装置に送信して設定させることが可能になる。
請求項3に係る発明によれば、端末装置との間で通信を秘匿化しないモードが設定されている場合でも予め定められた種別の端末装置との間の通信を秘匿化することができる。
請求項4に係る発明によれば、自装置自身が認証局になって自身の認識局の電子証明書からさらに発行した証明書を用いることにより端末装置で検証することが可能になる。
請求項5に係る発明によれば、管理者の第三者認証局の電子証明書を入手する手間を省ける。
請求項6に係る発明によれば、認証処理をサービス提供装置に対して改めて行う手間を省くことができる。
図1は、本発明の実施の形態に係る情報処理システムの構成例を示す図である。 図2は、認証連携サーバ装置の制御系の一例を示す図である。 図3(a)、(b)は、内部管理テーブルの一例を示す図である。 図4は、外部管理テーブルの一例を示す図である。 図5は、認証連携サーバ装置の動作の一例を示すフローチャートである。 図6(a)〜(d)は、画像形成装置の操作表示部に表示される画面の一例を示す図である。 図7は、図1に示す情報処理システムの動作の一例を示すシーケンス図である。
以下、本発明の実施の形態について図面を参照して説明する。なお、各図中、実質的に同一の機能を有する構成要素については、同一の符号を付してその重複した説明を省略する。
[実施の形態の要約]
本発明の実施の形態に係る情報処理装置は、自装置に対して情報を暗号化せずに通信するモードが設定されている場合に、自装置の電子証明書を生成する生成手段と、自装置と同一の第1のネットワークに接続されている端末装置に対して、前記電子証明書を送信する送信手段とを備える。
「電子証明書」とは、例えば、証明書のシリアル番号、証明書の発行先、証明書の発行者、証明書の有効期限、証明書の公開鍵を含み、署名者の公開鍵の真正性を証明するための電子化された情報をいう。また、本明細書において、「アドレス情報」は、アクセス場所を特定する情報、例えばURL(Uniform Resource Locator)をいう。
[実施の形態]
図1は、本発明の実施の形態に係る情報処理システムの構成例を示す図である。この情報処理システム1は、ユーザ管理サーバ装置2と、認証連携サーバ装置3と、複数の画像形成装置4Aと、複数のユーザ端末装置4B(画像形成装置4A及びユーザ端末装置4Bを総称するときは「端末装置4」ともいう。)と、サービス提供装置5とを備える。ユーザ管理サーバ装置2、認証連携サーバ装置3、画像形成装置4A及びユーザ端末装置4Bは、内部ネットワーク6により互いに接続されている。端末装置4は、内部ネットワーク6及びファイアウォール7を介してインターネット等の外部ネットワーク8に接続されている。
図1では、サービス提供装置5は、1つに限られず、複数でもよい。また、1つのサービス提供装置5が複数のサービスを提供してもよい。認証連携サーバ装置3は、情報処理装置の一例である。内部ネットワーク6は、第1のネットワークの一例である。外部ネットワーク8は、第2のネットワークの一例である。
ユーザ管理サーバ装置2は、内部ネットワーク6にアクセスするユーザを管理するものであり、ユーザID及びパスワード等のユーザ情報を保持している。パスワードを除くユーザ情報は、認証連携サーバ装置3が定期的にユーザ管理サーバ装置2から取得する。なお、ユーザ管理サーバ装置2がユーザ情報を認証連携サーバ装置3にpushしてもよく、認証連携サーバ装置3がユーザ情報をpullしてもよい。また、ユーザ管理サーバ装置2は、Microsoft社が提供するActiveDirectory等の外部の認証サーバを用いることもできる。ユーザは利用者の一例である。
認証連携サーバ装置3は、認証連携サーバ装置3に対するログインにおけるユーザ情報を、サービス提供装置5に対するログインにおいても共有(認証連携)することで、シングルサインオン(Single Sign On)を実現している。また、認証連携サーバ装置3は、ユーザ管理サーバ装置2やサービス提供装置5との間で認証連携を実現するとともに、ユーザや画像形成装置4Aの管理(各種設定も連携)を担う。なお、ユーザ管理サーバ装置2と認証連携サーバ装置3を1つのサーバ装置により実現してもよい。
認証連携サーバ装置3は、設定されたモードに応じた通信を行う。すなわち、SSL(Secure Sockets Layer)モードが設定されている場合は、内部ネットワーク6に接続された端末装置4に対してSSLプロトコルを用いて通信データを暗号化した通信を行う。非SSLモード(SSLが設定されていないモード)が設定されている場合は、端末装置4のうちユーザ端末装置4Bとの間では通信データを暗号化せずに通信を行う。非SSLモードにおける画像形成装置4Aとの間の通信については、サービス提供装置5が関与する場合だけ通信内容を秘匿化した暗号化通信を行う。具体的には、サービス提供装置5が提供するサービスにアクセスするために行われる認証連携処理の際に秘匿化した通信を行う。すなわち、サービス提供装置5が関与しない通信では、認証連携サーバ装置3と画像形成装置4Aとの間の通信は秘匿化しない。なお、認証連携サーバ装置3がサービス提供装置5と直接通信する場合も秘匿化した通信を行う。SSLプロトコルは、暗号化プロトコルの一例である。なお、暗号化プロトコルとしては、SSLの他に、TLS(Transport Layer Security)、SRTP(Secure Real-time Transport Protocol)、SSH(Secure Shell)等を用いてもよい。
画像形成装置4Aは、例えば、コピー機能、スキャン機能、プリント機能、ファクシミリ機能等の複数の機能を有する複合機である。画像形成装置4Aは、CPU、インターフェース等によって実現され、画像形成装置4Aの各部を制御する制御部と、CPUのプログラムや証明書テーブル400(図5参照)等の各種のデータを記憶する記憶部と、各種の画面を表示するとともに画面に対する操作を受け付ける操作表示部40とを備える。プログラムには、Webページを閲覧するためのWebブラウザが含まれる。操作表示部40は、液晶ディスプレイ等の表示部にタッチパネルが重合配置されたタッチパネルディスプレイを有する。
ユーザ端末装置4Bは、例えば、パーソナルコンピュータ(PC)、携帯電話機、多機能携帯電話機(スマートフォン)等の情報処理装置を用いることができる。
サービス提供装置5は、外部ネットワーク8を介して端末装置4に対してクラウドサービスを提供する。クラウドサービスには、例えば、ストレージサービス、印刷サービス、情報提供サービス等がある。
内部ネットワーク6は、企業等の組織内部のコンピュータや機器を接続するコンピュータネットワークであり、例えばLAN(ローカルエリアネットワーク)やイントラネット等により構成されており、有線、無線は問わない。
ファイアウォール7は、外部からの不正なアクセスや侵入を防止することを目的としており、端末装置4から外部ネットワーク8への要求とその要求に対する応答は通過させるが、外部ネットワーク8側から端末装置4への要求は通過させないように設定されている。
図2は、認証連携サーバ装置3の制御系の一例を示す図である。認証連携サーバ装置3は、認証連携サーバ装置3の各部を制御する制御部30と、各種の情報を記憶する記憶部31と、内部通信部32と、外部通信部33とを備える。
制御部30は、CPU(Central Processing Unit)、インターフェース等から構成されている。CPUは、記憶部31に記憶されたプログラム310に従って動作することにより送受信手段301、生成手段302、取得手段303、構築手段304、代行手段305等として機能する。送受信手段301は、送信手段の一例である。
送受信手段301は、端末装置4やサービス提供装置5との間で情報を送受信する。送受信手段301は、非SSLモードが設定されている場合に、内部ネットワーク6に接続されている画像形成装置4Aに対して、自装置3の後述する自己CA証明書及び自装置3のURLを送信して登録を要求する。認証連携サーバ装置3のURLは、第1のアドレス情報の一例である。後述するサービス提供装置5が提供するWebページのURLは、第2のアドレス情報の一例である。
生成手段302は、非SSLモードに設定されている場合には、例えば、自装置3に対する自己CA証明書(ルート証明書)を生成し、ルート証明書から中間CA証明書、さらに中間CA証明書からEE(EndEntity)証明書を生成する。自己CA証明書は、認証連携サーバ装置3自身が認証局(CA)になって発行したものであり、自己署名証明書とは異なる。自己署名証明書は、1段階の証明書(ルートCA証明書又はEE証明書)なので、サーバ証明書としてEE証明書を用いた場合において、署名検証とEE証明書内のサーバの名前とクライアントが実際にアクセスしたサーバの名前(サーバのFQDN又はIPアドレス)との検証を行う際、サーバの名前が変更された場合、EE証明書を画像形成装置4Aにストアし直さないと画像形成装置4Aで検証できなくなる。一方、自己CA証明書(ルート証明書)を生成し、ルート証明書と自己CA証明書で発行した自己CA発行証明書(EE証明書)をサーバ証明書として用いることにより、サーバの名前が変更されたらルート証明書からEE証明書を作ることができるため、画像形成装置4Aに証明書をストアし直さなくても画像形成装置4Aで検証することができる。
取得手段303は、SSLモードに設定されている場合には、自装置3に対する第三者CAが発行した第三者CA証明書を第三者の認証局(CA)から取得する。また、取得手段303は、サービス提供装置5との間で信頼関係を構築することで、後述する図4に示す情報を取得する。第三者CA証明書は、端末装置4の管理者が指定した第三者による認証局(CA)が発行したものである。
構築手段304は、サービス提供装置5との間で自己が使用する公開鍵を含む情報を交換して信頼関係を構築する。
代行手段305は、構築手段304により信頼関係が構築されたサービス提供装置5から、端末装置4を操作してサービスを利用するユーザに対する認証処理を委譲されて認証処理を代行する。
記憶部31は、ROM(Read Only Memory)、RAM(Random Access Memory)、ハードディスク等から構成され、プログラム310、内部管理テーブル311(図3参照)、外部管理テーブル312(図4参照)等が記憶されている。なお、本明細書において、テーブルに情報を書き込む場合に記録又は登録を用い、記憶部に情報を書き込む場合に記憶を用いる。
内部通信部32は、メールの送受信制御やネットワークに関する制御を行い、内部ネットワーク6を介してHTTPS(Hyper Text Transfer Protocol Security)通信又はHTTP通信を行う。HTTPS通信は、例えばSSLプロトコルを用いて通信内容を秘匿化した暗号化通信を行う。
外部通信部33は、メールの送受信制御やネットワークに関する制御を行い、内部ネットワーク6及び外部ネットワーク8を介してHTTPS通信を行う。
図3は、内部管理テーブル311の一例を示す図である。図3(a)は、非SSLモードが設定された場合の内部管理テーブル311aを示し、図3(b)は、SSLモードが設定された場合の内部管理テーブル311bを示す。内部管理テーブル311a、311bを総称するときは、内部管理テーブル311ともいう。内部管理テーブル311は、「端末種別」欄と、「通信方式」欄と、「サーバ証明書」欄とを有する。「端末種別」欄には、端末装置4の種別として画像形成装置4Aを示す「A」、又はユーザ端末装置4Bを示す「B」が記録される。
「通信方式」欄には、HTTPS通信又はHTTP通信が記録される。「サーバ証明書」欄には、自己CA発行証明書又は第三者CA発行証明書が記録される。自己CA発行証明書とは、例えば、自己CA証明書(ルート証明書)、中間CA証明書及びEE証明書からなるチェーンのことである。自己CA証明書(ルート証明書)は、送信手段が端末装置に送信する電子証明書の一例である。
非SSLモードが設定された場合は、図3(a)に示すように、「通信方式」欄には、端末種別が「A」の画像形成装置4Aに対してはHTTPS通信が記録され、端末種別が「B」のユーザ端末装置4Bに対してはHTTP通信が記録され、「サーバ証明書」欄には、端末種別が「A」の画像形成装置4Aに対しては自己CA発行証明書が記録され、端末種別が「B」のユーザ端末装置4Bに対しては証明書は記録されない。
SSLモードが設定された場合は、図3(b)に示すように、「通信方式」欄には、画像形成装置4A及びユーザ端末装置4Bのいずれに対してもHTTPS通信が記録され、「サーバ証明書」欄には、画像形成装置4A及びユーザ端末装置4Bのいずれに対しても第三者CA発行証明書が記録される。第三者CA発行証明書とは、例えば、第三者CA証明書(ルート証明書)、中間CA証明書及びEE証明書からなるチェーンのことである。第三者CA証明書(ルート証明書)は、送信手段が端末装置に送信する電子証明書の一例である。
図4は、外部管理テーブル312の一例を示す図である。外部管理テーブル312は、「プロバイダID」欄、「連携開始URL」欄、「認証用URL」欄、「IDトークン応答URL」欄、「署名検証用公開鍵」欄、及び「暗号用公開鍵」欄を有する。「プロバイダID」欄、「連携開始URL」欄、「IDトークン応答URL」欄、及び「暗号用公開鍵」欄に記録する情報は、サービス提供装置5から取得する。その他の「認証用URL」欄、及び「署名検証用公開鍵」欄に記録された情報は、サービス提供装置5が認証連携サーバ装置3から渡される。
「プロバイダID」欄には、サービス提供装置5が認証連携サーバ装置3に対して割り当てたプロバイダIDが記録される。「連携開始URL」欄には、サービス提供装置5が提供するWebページのURLが記録される。「認証用URL」欄には、サービス提供装置5がリダイレクトを応答する際の認証連携サーバ装置3の認証用URLが記録される。「IDトークン応答URL」欄には、認証連携サーバ装置3がリダイレクトを応答する際のサービス提供装置5のURLが記録される。「署名検証用公開鍵」欄には、署名検証用公開鍵が記録される。署名検証用公開鍵は、認証連携サーバ装置3の署名が発行したIDトークンに施された署名を検証する際に用いられる。認証連携サーバ装置3は、秘密鍵で署名する。「暗号用公開鍵」欄には、暗号用公開鍵が記録される。暗号用公開鍵は、認証連携サーバ装置3が発行したIDトークンを認証連携サーバ装置3が暗号化してサービス提供装置5に送信する際に用いられる。サービス提供装置5に送信されたIDトークンは、自身の秘密鍵で復号される。このとき、IDトークンの署名を署名検証用公開鍵で検証する。
(実施の形態の動作)
次に、情報処理システム1の動作の一例について説明する。
(1)信頼関係の構築
認証連携サーバ装置3とサービス提供装置5とは、互いが有する情報を交換することによって信頼関係が構築される。認証連携サーバ装置3の構築手段304は、サービス提供装置5との間で自己が使用する公開鍵を含む情報を交換して信頼関係を構築する。交換する情報には、例えば、署名や暗号化のための公開鍵、認証処理の委譲のためのSAML、OIDC(OpenID Connect)等のプロトコルで連携するための互いのアクセスポイント(URL)等が含まれる。認証連携サーバ装置3は、サービス提供装置5と情報を交換することにより、図4に示す外部管理テーブル312に情報が記録される。
(2)ユーザ情報の同期
認証連携サーバ装置3は、パスワードを除くユーザ情報を定期的にユーザ管理サーバ装置2から取得する。認証連携サーバ装置3は、ユーザ管理サーバ装置2から取得したユーザ情報に基づいてサービス提供装置5に対しても定期的に同期させる。
(3)認証処理の委譲
サービス提供装置5のユーザに対する認証処理を認証連携サーバ装置3が代行するため、認証連携サーバ装置3は、当該認証処理を自装置3に委譲する処理をサービス提供装置5との間で行う。認証連携サーバ装置3の代行手段305は、構築手段304により信頼関係が構築されたサービス提供装置5から、端末装置4を操作してサービスを利用するユーザに対する認証処理を委譲されて認証処理を代行する。委譲する処理には、例えば、SAML、OIDC(OpenID Connect)等のプロトコルが使われる。
(4)画像形成装置への設定
画像形成装置4Aへの設定を図5のフローチャートに従って説明する。
認証連携サーバ装置3の生成手段302は、内部管理テーブル311を参照して非SSLモードに設定されているか否かを判断する(S1)。
非SSLモードに設定されている場合は(S1:Yes)、生成手段302は、自己CA証明書を生成し(S2)、自己CA証明書からサーバ証明書を生成して内部管理テーブル311aに記録する。
非SSLモードに設定されていない場合、すなわちSSLモードに設定されている場合は(S1:No)、取得手段303は、指定された第三者CA証明書を取得し(S3)、第三者CA証明書からサーバ証明書を生成して内部管理テーブル311bに記録する。
送受信手段301は、ステップS2で証明書が生成された場合には、自己CA証明書を自装置3のURLとともに内部ネットワーク6に接続された画像形成装置4Aに送信(配布)し、ステップS3で証明書が取得された場合には、第三者CA証明書を自装置3のURLとともに内部ネットワーク6に接続された画像形成装置4Aに送信(配布)して登録(設定)を要求する(S4)。なお、ユーザ端末装置4Bには、著名な第三者認証局の第三者CA証明書(ルート証明書)が予めインストールされている。
画像形成装置4Aの制御部は、配布されたURL及証明書をサーバ証明書として登録(設定)する。
(5)システム運用時の動作
情報処理システム1の運用時の動作の一例を、図6を参照しつつ図7のシーケンス図に従って説明する。図6は、画像形成装置4Aの操作表示部40に表示される各種の画面の一例を示す図である。
ユーザが画像形成装置4Aを起動する操作を行うと(S11)、画像形成装置4Aの制御部は、図6(a)に示すログイン画面41を操作表示部40に表示する(S12)。
図6(a)に示すログイン画面41は、ユーザID入力欄410と、パスワード入力欄411と、「ログイン」ボタン412とを有する。
ユーザは、ユーザID入力欄410にユーザIDを入力し、パスワード入力欄411にパスワードを入力してユーザ情報を入力し(S13)、「ログイン」ボタン412を操作してログインを指示する(S14)。画像形成装置4Aの制御部は、ユーザID及びパスワード等のユーザ情報を認証連携サーバ装置3に送信してログイン要求をする(S15)。
認証連携サーバ装置3の送受信手段301は、ログイン要求を受けると、ユーザ情報を付加して認証処理をユーザ管理サーバ装置2に依頼する(S16)。ユーザ管理サーバ装置2にて認証処理を行う(S17)。ユーザ管理サーバ装置2は、認証情報を認証連携サーバ装置3に送信する(S18)。認証情報には、認証結果(認証成立/非成立)、ユーザ情報、認証者等が含まれる。
認証が成功したら、送受信手段301は、認証情報をCookieとして、サービス提供装置5が提供するサービスA及びサービスBのそれぞれのWebページのURLとともに画像形成装置4Aに送信する(S19)。
また、画像形成装置4AのWebブラウザは、図6(b)に示すメニュー画面42を操作表示部40に表示する(S20)。
図6(b)は、メニュー画面42の一例を示す図である。図6(b)に示すメニュー画面42上で画像形成装置4Aが有する機能、及びサービス提供装置5が提供するサービスを選択できるようになっている。具体的には、メニュー画面42は、コピー機能を選択する「コピー」ボタン420と、プリント機能を選択する「プリント」ボタン421と、サービスAを選択する「サービスA」ボタン422と、サービスBを選択する「サービスB」ボタン423と、選択したボタン420〜423の実行を指示する「実行」ボタン424とを有する。コピー機能及びプリント機能は、画像形成装置4Aが有する機能である。サービスA及びサービスBは、サービス提供装置5が提供するサービスである。
ここで、ユーザがメニュー画面42に対して「サービスA」ボタン422を選択して「実行」ボタン422を操作したとする(S21)。画像形成装置4Aは、サービスAのWebページのURLに接続する(S22)。前回のステップS29でOAuthトークンを受け取っている場合は、それをサービス提供装置5に提示する。この場合は、下記のステップS23〜S28が省略される。
サービス提供装置5は、後述する図6(c)に示すログイン画面43を送信する代わりに、アクセス先を認証連携サーバ装置3の認証URLに変更するリダイレクトの要求を応答する(S23)。
リダイレクトの要求を受けた画面形成装置4Aは、アドレス先を認証URLに変更して認証連携サーバ装置3との通信を行う。この通信では、前の応答で返却された認証情報(Cookie)を付与して行う。
認証連携サーバ装置3は、前に受け取った認証情報(Cookie)を元にログインしたユーザの情報を記載したIDトークンを生成し、IDトークンに署名と暗号を施し(S25)、アクセス先をサービス提供装置5のURLに変更するリダイレクトの要求を応答する(S26)。
リダイレクトの要求の応答を受けた画面形成装置4Aは、アクセス先をサービス提供装置5に変更してIDトークン(以下「サービスIDトークン」ともいう。)をサービス提供装置5に送信する(S27)。
サービス提供装置5は、送信されたサービスIDトークンを確認(復号と署名の検証)し(S28)、図6(d)に示すサービスAのトップ画面44を画像形成装置4Aに送信する(S29)。このとき、サービスアクセス用のチケット(OAuthトークン)も返却する。なお、上記ステップS22でサービス提供装置5がOAuthトークンを受け取った場合は、それを検証する。
画面形成装置4AのWebブラウザは、操作表示部40にサービスAのトップ画面44を表示する(S30)。
図6(d)は、サービスAのトップ画面44の一例を示す図である。図6(d)に示すサービスAのトップ画面44は、クラウドへのデータの保存を指示する「クラウドへのデータ保存」ボタン440と、クラウド上のデータの印刷を指示する「クラウドから印刷」ボタン441と、選択したボタン440、441の実行を指示する「実行」ボタン442とを有する。
ユーザは、「クラウドへのデータ保存」ボタン440又は「クラウドから印刷」ボタン441を選択することで、サービスAを受けることができる。
なお、図6(c)は、図6(b)に示すメニュー画面42でサービスAを選択した場合のログイン画面の一例を示す図である。認証連携サーバ装置3とサービス提供装置5との間で信頼関係が構築されておらず、ユーザの認証処理がサービス提供装置5から認証連携サーバ装置3に委譲されていない場合には、上記ステップS23において、認証URLへのリダイレクトを画像形成装置4Aに要求せずに図6(c)に示すサービスAのログイン画面43を画像形成装置4Aに送信することになる。図6(c)に示すサービスAのログイン画面43は、図6(a)に示すログイン画面41と同様に、ユーザID入力欄430と、パスワード入力欄431と、「ログイン」ボタン432とを有する。
以上、本発明の実施の形態を説明したが、本発明の実施の形態は上記実施の形態に限定されるものではなく、本発明の要旨を変更しない範囲内で種々の変形、実施が可能である。
制御部30の各手段は、それぞれ一部又は全部を再構成可能回路(FPGA:Field Programmable Gate Array)、特定用途向け集積回路(ASIC:Application Specific Integrated Circuit)等のハードウエア回路によって構成してもよい。
また、本発明の要旨を変更しない範囲内で、上記実施の形態の構成要素の一部を省くことや変更することが可能である。また、本発明の要旨を変更しない範囲内で、上記実施の形態のフローにおいて、ステップの追加、削除、変更、入替え等が可能である。また、上記実施の形態で用いたプログラムをCD−ROM等のコンピュータ読み取り可能な記録媒体に記録して提供することができる。また、上記実施の形態で用いたプログラムをクラウドサーバ等の外部サーバに格納しておき、ネットワークを介して利用することができる。
1…情報処理システム、2…ユーザ管理サーバ装置、3…認証連携サーバ装置、4…端末装置、4A…画像形成装置、4B…ユーザ端末装置、5…サービス提供装置、6…内部ネットワーク、7…ファイアウォール、8…外部ネットワーク、30…制御部、31…記憶部、32…内部通信部、33…外部通信部、40…操作表示部、41…ログイン画面、42…メニュー画面、43…ログイン画面、44…トップ画面、301…送受信手段、302…生成手段、303…取得手段、304…構築手段、305…代行手段、310…プログラム、311、311a、311b…内部管理テーブル、312…外部管理テーブル、410…ユーザID入力欄、411…パスワード入力欄、412…「ログイン」ボタン、420…「コピー」ボタン、421…「プリント」ボタン、422…「サ−ビスA」ボタン、423…「サービスB」ボタン、424…「実行」ボタン、430…ユーザID入力欄、431…パスワード入力欄、432…「ログイン」ボタン、440…「クラウドへデータ保存」ボタン、441…「クラウドから印刷」ボタン、442…「実行」ボタン

Claims (7)

  1. 自装置に対して情報を暗号化せずに通信するモードが設定されている場合に、自装置の電子証明書を生成する生成手段と、
    自装置と同一の第1のネットワークに接続されている端末装置に対して、前記電子証明書を送信する送信手段と、
    を備えた情報処理装置。
  2. 前記送信手段は、自装置のアドレス情報を送信する、
    請求項1に記載の情報処理装置。
  3. 前記送信手段は、前記端末装置のうち予め定められた種別の端末装置に前記電子証明書及び前記アドレス情報を送信する、
    請求項2に記載の情報処理装置。
  4. 前記電子証明書は、自装置自身が認証局になって自身の認証局の電子証明書である、
    請求項1から3のいずれか1項に記載の情報処理装置。
  5. 前記暗号化せずに通信するモードの設定が暗号化するモードに変更された場合に、第三者認証局の電子証明書を送信する、
    請求項1から4のいずれか1項に記載の情報処理装置。
  6. 第2のネットワークを介してサービスを提供するサービス提供装置との間で自己が使用する公開鍵を含む情報を交換して信頼関係を構築する構築手段と、
    前記信頼関係が構築された前記サービス提供装置から、前記端末装置を操作して前記サービスを利用する利用者に対する認証処理を委譲されて前記認証処理を代行する代行手段と、
    をさらに備えた請求項1から5のいずれか1項に記載の情報処理装置。
  7. コンピュータを、
    自装置に対して情報を暗号化せずに通信するモードが設定されている場合に、自装置の電子証明書を生成する生成手段と、
    自装置と同一の第1のネットワークに接続されている端末装置に対して、前記電子証明書を送信する送信手段、
    として機能させるためのプログラム。
JP2017180372A 2017-09-20 2017-09-20 情報処理装置及びプログラム Active JP6939310B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017180372A JP6939310B2 (ja) 2017-09-20 2017-09-20 情報処理装置及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017180372A JP6939310B2 (ja) 2017-09-20 2017-09-20 情報処理装置及びプログラム

Publications (2)

Publication Number Publication Date
JP2019057793A true JP2019057793A (ja) 2019-04-11
JP6939310B2 JP6939310B2 (ja) 2021-09-22

Family

ID=66106584

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017180372A Active JP6939310B2 (ja) 2017-09-20 2017-09-20 情報処理装置及びプログラム

Country Status (1)

Country Link
JP (1) JP6939310B2 (ja)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005204283A (ja) * 2003-12-16 2005-07-28 Ricoh Co Ltd デジタル証明書転送方法、デジタル証明書転送装置、デジタル証明書転送システム、プログラム及び記録媒体
WO2016075792A1 (ja) * 2014-11-13 2016-05-19 キヤノン株式会社 情報処理装置、制御方法、及び、プログラム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005204283A (ja) * 2003-12-16 2005-07-28 Ricoh Co Ltd デジタル証明書転送方法、デジタル証明書転送装置、デジタル証明書転送システム、プログラム及び記録媒体
WO2016075792A1 (ja) * 2014-11-13 2016-05-19 キヤノン株式会社 情報処理装置、制御方法、及び、プログラム
US20160142383A1 (en) * 2014-11-13 2016-05-19 Canon Kabushiki Kaisha Information processing apparatus, control method, and program

Also Published As

Publication number Publication date
JP6939310B2 (ja) 2021-09-22

Similar Documents

Publication Publication Date Title
CN109088889B (zh) 一种ssl加解密方法、系统及计算机可读存储介质
US10630489B2 (en) Apparatus and method for managing digital certificates
US8532620B2 (en) Trusted mobile device based security
JP4345796B2 (ja) 通信方法、通信システムならびに通信システムを構成するサーバ、クライアントおよびコンピュータプログラム
JP4863777B2 (ja) 通信処理方法及びコンピュータ・システム
US7565536B2 (en) Method for secure delegation of trust from a security device to a host computer application for enabling secure access to a resource on the web
US10503918B2 (en) Process to access a data storage device of a cloud computer system
US10050944B2 (en) Process to access a data storage device of a cloud computer system with the help of a modified Domain Name System (DNS)
JP2009514046A (ja) グリッド・アクセス及びネットワーク・アクセスを提供するシングル・サインオン操作のための方法及びシステム
JP2007293760A (ja) 個別認証を用いたシングルサインオン連携方法およびシステム
Sabadello et al. Introduction to did auth
WO2016112580A1 (zh) 业务处理方法及装置
JP6465426B1 (ja) 電子署名システム、証明書発行システム、鍵管理システム及び電子証明書発行方法
JP6131644B2 (ja) 情報処理装置、情報処理システム
JP2006260321A (ja) サービス提供システムおよびそのユーザ認証方法
JP2012181662A (ja) アカウント情報連携システム
JP6939310B2 (ja) 情報処理装置及びプログラム
KR100993333B1 (ko) 인터넷 접속 도구를 고려한 사용자 인증 방법 및 시스템
Cisco Multiple RSA Key Pair Support
JP2005318269A (ja) 電子証明書管理システム、電子証明書管理方法、及び、サーバ
JP5487659B2 (ja) 情報処理装置、情報処理方法およびプログラム
Rehman Get ready for OpenID
JP4950573B2 (ja) 認証システムおよび認証方法
JP4736722B2 (ja) 認証方法、情報処理装置、およびコンピュータプログラム
JP4406263B2 (ja) 管理装置、クライアント装置、およびそれらの装置を含むシステム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200831

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210419

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210525

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210707

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210803

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210816

R150 Certificate of patent or registration of utility model

Ref document number: 6939310

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150