<第1実施形態>
図1は、本発明の一実施形態の方式が適用されるシステム構成の例を示す。
図1に例示するシステムは、例えば、企業や学校等の組織に設置された機器20の利用管理のためのシステムである。管理の対象である機器20は、ユーザに対して何らかのサービスを提供する装置であり、例えばプリンタ、スキャナ、複写機、ファクシミリ装置、複合機(プリンタ、スキャナ、複写機、ファクシミリ装置等の機能を併せ持つ装置)等がその例である。
図1に示すように、組織は複数の拠点A、B、C、・・・を有している。拠点A、B、C、・・・の各々には、LAN(ローカルエリアネットワーク)等のローカルネットワーク30が設けられている。ローカルネットワーク30には、パーソナルコンピュータ、各種サーバ、機器20、及び機器管理システム10が接続されている。
拠点に設けられた機器管理システム10は、その拠点のローカルネットワーク30に接続された機器20の管理を行う情報処理システムである。機器管理システム10が実行する処理には、例えば、各機器20を利用しようとするユーザのユーザ認証、それら各機器20に対するユーザの利用の制御がある。また機器管理システム10は、それら各機器の利用履歴を記録する機能を有していてもよい。
拠点の機器管理システム10には、その拠点を主たる居所にしている者等のように、(組織内の複数の拠点のうち)その拠点を主に利用しているユーザが登録されており、組織内の別の拠点を主に利用しているユーザは登録されていない。機器管理システム10に登録されているユーザは、登録したユーザID(識別情報)及びパスワードを機器20に入力したり、ユーザID等を保持したICカードを機器20付属の読み取り機に読み取らせたりすることで、機器管理システム10の認証を受ける。そして、この認証に合格すると、機器管理システム10に登録されたそのユーザの利用権限の範囲内で、その機器20の利用が可能になる。逆に、組織に属している者でも、拠点の機器管理システム10にユーザ登録されていない者は、その拠点内の機器を利用するには、利用権限の付与を受ける必要がある。
組織には、その組織に所属する全メンバの属性情報が登録されたディレクトリサービス50が設けられている。ディレクトリサービス50に登録されるメンバの属性情報には、例えば、そのメンバの氏名、ユーザID(例えば社員番号)、パスワード、電子メールアドレス、所属部署等がある。ディレクトリサービス50は、組織内の他の情報処理装置(例えば機器管理システム10)からの問合せに応じて、登録された各メンバの情報を検索し、その検索結果を問合せ元の情報処理装置に応答する。ディレクトリサービス50は、例えばLDAP(Lightweight Directory Access Protocol)に準拠したサーバとして構築されている。
ディレクトリサービス50は、組織全体を対象として構築されており、組織の全メンバの情報を保持し、組織内のすべての拠点の情報処理装置からの問合せに応答する。これに対して機器管理システム10は、あくまでその機器管理システム10が設けられている拠点を対象としており、他の拠点の機器20は管理しないし、組織のメンバであっても他の拠点を主に利用するユーザについては認証情報や利用権限を個別に管理しない。機器管理システム10にとっては、組織のメンバであっても当該システム10にユーザ登録されていない者は、組織のメンバでない人と同様、「ゲスト」である。ただし、機器管理システム10は、ディレクトリサービス50を利用することで、ゲストを組織のメンバと組織に属さない人とに分類し、各々の分類に応じた利用権限を与える。
ディレクトリサービス50と各拠点の機器管理システム10とは、例えばVPN(仮想プライベートネットワーク)を介して接続されている。
図2に、機器管理システム10の内部構成の例を示す。図2に例示する機器管理システム10は、ユーザ情報DB(データベース)102、ログイン処理部104、権限管理部106、利用履歴記録部108、一時利用管理部110を有する。
ユーザ情報DB102は、当該機器管理システム10に登録されている各ユーザのユーザ情報を記憶するデータベースである。ユーザ情報DB102には、例えば、図3に例示するように、ユーザID、電子メールアドレス、パスワード等の認証情報、承認権限、機器20に対する利用権限、等を記憶している。図3に例示した利用権限は、機器20が複合機である場合の例であり、コピー、プリント、スキャン、ファクシミリという4つの機能のそれぞれについてのユーザの権限を示している。例えば、ユーザ「ABC1234」は、コピー及びプリントについては、白黒の両面出力のみが許可され、スキャンとファックス送信は許可されていない。図ではプリント等の4つの機能の利用権限を示したが、ユーザ情報DB102には更に別の機能についての利用権限の情報が登録されていてもよい。承認権限は、当該ユーザ(例えばユーザ「BCD2345」)が他のユーザに対して機器20の利用を承認する権限である。承認権限があるユーザは、当該ユーザが持つ利用権限の範囲内で、他のユーザに機器20の利用を許可できる。ユーザ「ABC1234」は、承認権限がないので、他者の機器20の利用を承認することはできないが、仮に承認権限があったとしても、その場合に承認できるのは、白黒・両面でのコピー及びプリントだけであり、白黒・片面やカラーでのコピー・プリントは承認することができず、スキャンやファクシミリ送信も承認できない。
ログイン処理部104は、機器20を利用しようとするユーザのログイン処理を行う。例えば、機器管理システム10に登録されているユーザが、機器20の表示装置(例えばタッチパネル)に表示されたログイン画面に対してユーザID及びパスワードを入力すると、そのユーザID及びパスワードが機器管理システム10に送られる。すると、ログイン処理部104が、そのユーザID及びパスワードがユーザ情報DB102に登録されているかどうかを調べ、登録されていれば、そのユーザのログインを認め、ユーザにその機器20の利用を許可する。また1つの実施例では、ログイン処理部104は、ユーザがログイン画面に入力した情報が登録済みのユーザID及びパスワードではなく、電子メールアドレスのみである場合に、そのログイン要求を一時利用の要求であると認識して、一時利用管理部110にその要求の処理を依頼する。また、ユーザID等を手入力する形のログインの他に、ユーザがNFC(Near Field Communication)等の近接無線規格に準拠したIC内蔵IDカード(例えば社員証カード)を機器20の無線通信ポートに近接させることでログインを行う場合もある。この場合、ログイン処理部104は、機器20から送られてくるそのIDカードの読み取り結果の認証情報が、ユーザ情報DB102に登録されていれば、そのユーザのログインを認める。またその認証情報がユーザ情報DB102に登録されていない場合、ログイン処理部104は、そのログイン要求を一時利用の要求であると認識して、一時利用管理部110にその要求の処理を依頼してもよい。
権限管理部106は、機器20にログインしているユーザに対して、ユーザ情報DB102に登録されている利用権限の範囲内で、その機器20の利用を許可する。すなわち、権限管理部106は、ユーザが実行を指示した機能についての権限問合せを機器20から受け取ると、そのユーザがその機能を使用する権限を持っているかをユーザ情報DB102内の当該ユーザの権限情報に照らして判定する。そして、権限情報から権限ありと判定した場合には利用許可の旨を、権限なしと判定した場合には利用拒否の旨を機器20に応答する。例えば、ユーザ情報DB102に登録されているユーザの利用権限において、機器20の複写機能に関して白黒出力は許可されているがカラー出力は許可されていない場合、権限管理部106は、ユーザからの白黒コピーの要求は許可するが、カラーコピーの要求は拒否する。
利用履歴記録部108は、各機器20の利用履歴(ログ)情報を記録する。
一時利用管理部110は、機器管理システム10に登録されていないユーザ(すなわちゲストユーザ)による機器20の一時的な利用を管理する。一時利用管理部110は、ディレクトリサービス50に対して問合せを行うことで、一時利用を要求したゲストユーザ(以下ゲストと呼ぶ)が、当該組織に所属しているユーザ(例えば組織が会社の場合、社員)であるか否かを判別する。そして、当該組織に所属しているゲストには、そうでないゲストとは異なる利用権限を付与する。この問合せを行うのが問合せ部112である。問合せ部112は、LDAP等、ディレクトリサービス50が対応しているプロトコルを用いて問合せを行う。1つの例では、ゲストは、ログインの際自分の電子メールアドレスを入力し、問合せ部112は、その電子メールアドレスが登録されているか(すなわち組織のいずれかのメンバのものであるか)をディレクトリサービス50に問い合わせる。
操作ID発行部114は、ゲストに対して、一時利用のための識別情報である操作IDを発行する。操作IDは、ゲストの種別に応じた利用権限に対応付けられる。また、ゲストが、機器管理システム10に登録されたユーザ(以下「正規ユーザ」と呼ぶ)から承認を受けた場合、操作IDには承認を受けた権限の情報も対応付けられる。
操作ID管理部116は、各操作IDの情報を管理し、ユーザが機器20に対して指示した操作が、そのユーザの提示した操作IDに対応する利用権限で利用可能かどうかを判断し、その判断の結果に従ってその操作を許可又は拒否する。
図4に、操作ID管理部116が管理する操作IDの情報の例を示す。この情報には、操作ID、関連アドレス、IDタイプ、承認者、利用権限、有効期限の各項目が含まれる。
関連アドレスは、ログインの際にゲストが入力した電子メールアドレスである。
IDタイプは、その操作IDの種別であり、例えば社内ゲスト、社外ゲスト、承認済み等の値をとる。IDタイプ「社内ゲスト」は、当該組織のメンバである(すなわちディレクトリサービス50に登録されている)がその機器管理システム10には登録されていないユーザ(以下この条件に該当するユーザを「社内ゲスト」と呼ぶ)と判定されたユーザに対して発行される操作IDのタイプである。IDタイプ「社外ゲスト」は、当該組織に属していない(すなわちディレクトリサービス50に登録されていない)ゲスト(以下この条件に該当するユーザを「社外ゲスト」と呼ぶ)と判定されたユーザに対して発行される操作IDのタイプである。IDタイプ「承認済み」は、承認権限のある正規ユーザから承認を得た権限を含む利用権限に対応付けられた操作IDのタイプである。操作IDの付与を受けた社内ゲスト又は社外ゲストが、その操作IDに対応する利用権限では利用できない機能を利用するために、承認権限のある正規ユーザから承認を得た場合、その承認を得た権限に対応する操作IDのタイプは「承認済み」となる。
承認者は、「承認済み」タイプの操作IDに関して、承認を行った正規ユーザの識別情報である。この例では、正規ユーザの識別情報として、その正規ユーザの電子メールアドレスを用いている。
利用権限は、その操作IDに対応付けられた機器20の利用権限である。例えば、ディレクトリサービス50への問合せの結果、社内ゲストと判定されたユーザに対して付与される操作IDには、社内ゲスト用にあらかじめ定められている利用権限が対応付けられる。また社外ゲストと判定されたユーザに付与される操作IDには、社外ゲスト用にあらかじめ定められている利用権限が対応付けられる。
例えば、一時利用管理部110は、図5に例示する社内ゲスト用の利用権限情報202と社外ゲスト用の利用権限情報204を有しており、社内ゲストに発行した操作IDには前者を、社外ゲストに発行した操作IDには後者を、それぞれ対応付ける。なお、図5の例では、社内ゲストには、社内ルールに従って、白黒・両面のコピー・プリントのみしか許可されないのに対し、組織にとっての来客である社外ゲストにはカラーでのコピー・プリントが許可される。またスキャンとファクシミリ送信については、社内ゲストも社外ゲストも許可されない。なお、図5に示した社内ゲスト用及び社外ゲスト用の利用権限はあくまで一例に過ぎない。これら利用権限の内容は機器管理システム10の管理者等が、組織や拠点のセキュリティポリシーに従って定めればよい。
また、「承認済み」の操作IDには、承認された権限を含む利用権限が対応付けられる。図4の例では、社内ゲストであるユーザ「guest1@fuji.local」には、ログイン時には、社内ゲスト用の利用権限情報202に対応付けられた操作ID「2345」が付与されている。その後そのユーザが正規ユーザ「auth@fuji.local」から承認を受けると、例えばその正規ユーザから承認された機能を利用できる権限が追加された新たな操作ID「3456」がその社内ゲストに付与される。例えば、コピー・プリントが白黒・両面強制で、スキャンとファクシミリ送信が許可されない利用権限を持つゲストが、承認者からスキャンの権限の承認を得た場合、コピー・プリントが白黒・両面強制、スキャンは許可、ファクシミリ送信は不許可の新たな利用権限が生成され、この利用権限に対応付けられた新たな操作IDがそのゲストに提供される。またこのように利用権限の更新に伴って新たな操作IDを発行するという方式もあくまで一例に過ぎない。この代わりに、操作ID情報(図4)において、ゲストに付与した操作IDに対応づける利用権限の情報を、承認等に伴って更新していってもよい。
有効期限は、操作IDの有効期限の日時を示す。有効期限をどのように定めるかは、機器管理システム10の運用者が決めればよい。あくまで一例であるが、操作IDを発行した日の業務時間の終了時刻を有効期限として設定する等でよい。
図6を参照して、本実施形態の処理の流れを、ユーザインタフェースの観点から説明する。
(1)機器20付属の表示装置(タッチパネル)に表示されるログイン画面300には、電子メールアドレス又はユーザIDを入力するID欄302と、パスワード欄304と、ログインボタン306が表示される。機器管理システム10に登録されている正規ユーザは、登録されているユーザID及びパスワードをID欄302及びパスワード欄304に入力し、ログインボタン306を押下する。また図示は省略したがログイン画面300には、「ご来訪の方はメールアドレス/IDの欄に電子メールアドレスを入力し、ログインボタンを押してください。パスワードは不要です。社内他部署の方は社員としての電子メールアドレスを入力してください。」等の案内が表示される。ゲストは、ID欄302に自分の電子メールアドレスを入力し、ログインボタン306を押下する。これにより、ログイン処理が行われる。以下では、ゲストがログインした場合の流れを説明する。
(2)ログインの後、表示装置には、メニュー画面310が表示される。メニュー画面310には、コピー、スキャナ(スキャン結果を指定のメールアドレスに送信)、共有フォルダを開く等、機器20が提供する各種機能を表すアイコンが表示される。ゲストは、使用したい機能のアイコンにタッチする。
(3)この時点では、そのゲストは、操作IDの入力による権限の証明をまだ行っていないので、機器20及び機器管理システム10に対して利用権限がない。この場合、機器20の表示装置には、操作ID入力画面320が表示される。ゲストが既に操作IDを取得している場合には、その画面内の操作ID入力欄322にその操作IDを入力し、操作継続ボタン324を押下する。その操作IDに対応する利用権限が、上記(2)でタッチした機能の利用が可能なものであれば、機器20はその機能を実行する。そうでなければ、その操作IDではその機能が利用できない旨のメッセージと共に、再度操作ID入力画面320が表示される。ゲストは、操作IDを入手していない場合、操作ID入力画面320内のID取得要求ボタン326を押す。すると、その要求が機器20から機器管理システム10に伝達され、機器管理システム10は、そのゲストの種別(社内ゲスト/社外ゲスト)に応じた利用権限に対応付けた操作IDを生成し、その操作IDを含んだ電子メールをそのゲストの電子メールアドレス宛に送る。ゲストは、携帯している端末でその電子メールを受信し、その電子メールに示される操作IDを、操作ID入力欄322に入力し、操作継続ボタン324を押下することで、選んだ機能を実行することができる。なお、ゲストの種別によっては、上記(2)で選んだ機能の利用が許可されない場合がある。この場合、入手した操作IDを操作ID入力画面320に入力しても、その機能は利用できない(この場合画面にエラー表示がなされる)。
(4)メニュー画面310に表示される機能の中には、ゲストの場合、承認権限を持つ正規ユーザにより承認を受けないと利用できないものがある(なお、正規ユーザの場合、自分の利用権限の範囲内であれば、その機能を承認不要で利用できる)。上記(2)でゲストが選んだ機能がそのような機能である場合、機器20の表示装置には、承認申請画面330が表示される。この画面には、操作ID入力欄332と承認者メールアドレス入力欄334が含まれる。当該機能についてまだ承認を受けていないゲストの場合、承認者メールアドレス入力欄334に承認者のメールアドレスを入力し、ID取得要求ボタン338を押下する。ゲストには、通常、拠点内に訪問先の正規ユーザがいることが想定される。特にセキュリティに厳しい企業の場合には、そのようなことが一般的である。したがって、承認者メールアドレス入力欄334には、訪問先のいずれかの正規ユーザのメールアドレスを聞いて入力すればよい。承認者のメールアドレスを入力してID取得要求ボタン338を押下すると、機器管理システム10がそのメールアドレスに対して承認依頼の電子メールを送る。このメールを受け取った承認者が承認操作を行うと、機器管理システム10は、当該機能が利用できる権限が追加された新たな利用権限に対応付けられた新たな操作IDを生成し、その新たな操作IDを表示した電子メールをそのゲストのメールアドレスに送る。ゲストは、携帯している端末でその電子メールを受信し、その電子メールに示される操作IDを、承認申請画面330内の操作ID入力欄332に入力し、操作継続ボタン336を押下することで、選んだ機能を実行することができる。
次に、図7及び図8に示すシーケンス図を参照して、本実施形態の処理の流れを更に詳しく説明する。
図7は、メニュー画面310上でゲストが選択した機能が、承認者の承認を必要としない機能である場合の流れを示す。
まずユーザが、機器20のコンソールに表示されたログイン画面300に対して自分のユーザID又は電子メールアドレスと、パスワード(正規ユーザの場合)と、を入力し、ログインボタンを押下する(S1)。これを受けて、機器20は、ログイン処理を開始する(S2)。すなわち、機器20は、ユーザが入力した情報を機器管理システム10に送信し、ログイン処理を依頼する。
この依頼を受けた機器管理システム10は、ユーザが入力した情報が、ユーザID又は電子メールアドレスと、パスワード(正規ユーザの場合)との2つを含んでいる場合、それら2つの組み合わせに合致するユーザがユーザ情報DB内に存在するかどうかを判定する(S3)。存在する場合は、そのユーザは機器管理システム10にとって正規ユーザである。この場合、機器管理システム10は、ユーザ情報DB102に登録されたそのユーザの利用権限の情報に従い、従来と同様の制御で、そのユーザからの操作指示を許可又は拒否すればよい。入力されたユーザID等とパスワードとの組み合わせに合致するユーザが見つからない場合は、ユーザに再入力を促すなどのエラー処理を実行する。なお、正規ユーザの場合の処理は従来同様でよいので、図7では、S4以降はユーザがゲストである場合の流れを示している。
S1でユーザが入力した情報が電子メールアドレスのみである場合、機器管理システム10(問合せ部112)は、その電子メールアドレスを含む問合せをディレクトリサービス50に送る。ディレクトリサービス50は、登録されている組織内の各メンバの情報の中に、その問合せに係る電子メールアドレスを含んだものがあるかどうかを調べ、その有無の結果を機器管理システム10に返す。機器管理システム10(一時利用管理部110)は、問合せに対する応答が「(ディレクトリサービス50に登録が)有り」であれば、今回ログインしたユーザは社内ゲストであると判断し、「無し」であれば「社外ゲスト」であると判定する(S4)。一時利用管理部110は、機器20を減殺使用中のユーザの情報として、S1で入力された電子メールアドレスと、S4で判定したゲスト種別(社内/社外)の情報とを記憶する。
S2の後、機器20は、メニュー画面310を表示する(S5)。図7の例では、ユーザ(ゲスト)は、メニュー画面310上で、承認処理の対象でない機能「コピー」のアイコンを選択したとする。機器20は、ユーザが選択した機能「コピー」について利用権限を持つかどうかを機器管理システム10に問い合わせる(S6)。
図7の例では、そのゲストは、S6の時点までに一度も操作IDを入力していないので、いずれの機能についても利用権限を持っていない。したがって、機器管理システム10は、操作IDの入力が必要と判断する(S7)。機器管理システム10は、機器20に対して操作ID入力画面320(図6参照)の表示を指示する(S8)。
ゲストは、まだ操作IDを入手していないので、操作ID入力画面320のID取得要求ボタン326を押す(S9)。その要求は機器20から機器管理システム10に伝達される。機器管理システム10は、その要求に応じて、操作IDを生成する(S10)。機器管理システム10は、S1、S2でログインしたユーザのゲスト種別の情報を記憶している(S4参照)ので、S10では、生成した操作IDを、そのゲスト種別に応じた利用権限(図5参照)、電子メールアドレス等の情報と対応付けて、操作ID情報(図4)に登録する。またこのときその操作IDの有効期限を決定し、その有効期限を操作ID情報に登録する。機器管理システム10は、生成した操作IDを示す電子メールを、その電子メールアドレス宛に送信する(S11)。
機器管理システム10は、機器20に再び操作ID入力画面320を表示させる(S12)。ゲストは、機器管理システム10からの電子メールを自分の携帯端末で閲覧し、そこに示される操作IDを操作ID入力画面320に入力する(S13)。機器管理システム10は、入力された操作IDに対応する利用権限の情報を操作ID情報から求め、ゲストが現在要求中の機能「コピー」がその利用権限の範囲内か否かを判断し、範囲内であれば、コピー処理を実行する(S14)。例えば、そのゲストが、コピーに関しては白黒・両面出力が強制される権限内容の社内ゲスト(図5参照)であった場合、S13での操作IDの入力により、機器20はコピーの設定画面を表示するが、その設定画面ではカラー設定は「白黒」に、片面/両面設定は「両面」に固定され、変更できない。ゲストは、他の変更可能な設定項目を必要に応じて変更し、コピーを実行する。現在要求中の機能「コピー」がその利用権限の範囲外(コピー自体が不許可)であれば、そのゲストの権限ではその機能は利用できない旨のメッセージを含むエラー画面を機器20に表示させる。
ゲストが要求した機能に対応する処理が機器20で実行された場合、機器管理システム10は、その処理のログ(履歴情報)を利用履歴記録部108に記録する。そのログには、その処理を要求したユーザを示す情報として、S1で入力された電子メールアドレスが記録される。
図8を参照して、メニュー画面310上でゲストが選択した機能が、承認者の承認を必要とする機能である場合の流れを例示する。この流れのうち、電子メールアドレスの入力(S1)〜ゲスト種別の判断(S4)及びメニュー画面310の表示(S5)までの流れは図7の例と同じなので、図8ではS1〜S5のステップは図示を省略している。
S5で表示されたメニュー画面310に対し、ゲストが選択した機能が、承認を要するスキャン機能であったとする(S6A)。そのゲストは、S6Aの時点までに一度も操作IDを入力していないので、機器管理システム10は、操作IDの入力が必要であると判断すると共に、要求されたスキャン機能は承認が必要であると判断する(S7A)。機器管理システム10は、各機能が承認が必要であるか不要であるかを示す情報を保持しており、S7Aではこの情報に基づいて判断を行う。この判断に従い、機器管理システム10は、機器20に対して承認申請画面330(図6参照)の表示を指示する(S8A)。ゲストは、まだ承認を得ていないので、承認申請画面330の承認者メールアドレス入力欄334に、例えば訪問先の正規ユーザのうち承認権限を持つ者の電子メールアドレスを入力し、ID取得要求ボタン338を押す(S9A)。その要求は機器20から機器管理システム10に伝達される。
機器管理システム10は、入力された承認者のメールアドレスに該当するユーザをユーザ情報DB102(図3参照)から検索し、検索したユーザが承認権限を持っているか確認する(S21)。該当するユーザが見つからない場合や、見つかっても承認権限がない場合は、別の承認者の入力を促すエラー画面を機器20に表示させる。また、ユーザが入力した承認者が承認権限を持っていても、S6Aでユーザが選択した機能に対して利用権限を持っていなければ、同様のエラー画面を機器20に表示させる。
S21で、入力された承認者が適切であると判断した場合、機器管理システム10は、その承認者の電子メールアドレス宛に、承認依頼の電子メールを送る(S22)。この電子メールには、例えば「<S1で入力されたゲストの電子メールアドレス>から複合機のスキャン機能の利用権限の承認を求められています。下記URLにアクセスして承認処理を行ってください。」等のメッセージと、承認処理のためのURL(Uniform Resource Locator)とが含まれる。このURLは、その承認依頼に対する承認のために機器管理システム10が生成した承認用ウェブページのURLである。承認者が自分の端末からそのURLにアクセスすると、ログインページが提供され、そのログインページに対してユーザID及びパスワードを入力すると、その承認用ウェブページが提供される。承認者がそのページに示される承認ボタンを押下する(S23)と、機器管理システム10は、操作IDを生成し、その操作IDを、ゲストから要求され承認されたスキャンの権限を含んだ利用権限に対応付けて操作ID情報(図4)に登録する(S24)。このとき操作IDに対応付ける利用権限は、そのゲストの種別に応じた利用権限に対してスキャンの権限を追加したものである。機器管理システム10は、生成した操作IDを示す電子メールを、その電子メールアドレス宛に送信する(S11)。S11以降の処理は、図7の例と同様である。
以上に説明したように、本実施形態では、機器管理システム10は、ディレクトリサービス50を参照してゲストの種別が社内(当該組織に属する)、社外(属さない)のいずれであるかを判別し、判別した種別に応じた利用権限をそのゲストに付与する。また、本実施形態では、ゲストは、特定の機能については、権限のある承認者に承認を受けて初めて利用できるようになる。
図7の例では、ログインしたゲストの種別が判明(S4)した時点ではまだ操作IDをゲストに提供せず、そのゲストがメニュー画面310で利用したい機能を指示(S6)した後に、ゲストに操作IDを提供した(S8〜S11)。しかしこのような流れはあくまで一例に過ぎない。例えば、S4でゲスト種別がした時点で、機器管理システム10がその種別に応じた利用権限に対応付けた操作IDを生成し、そのゲストの電子メールアドレス宛に送信してもよい。このようにした場合、S8で機器20に表示された操作ID入力画面320に対し、ゲストはS4の時点で受け取った操作IDを入力することができる。
以上の例では、ゲストユーザに電子メールアドレスを入力させ、その電子メールアドレスに対して操作ID通知用の電子メールを送信したが、このような電子メールの利用は一例に過ぎない。ゲストユーザに電子メールアドレス以外の他の通信アドレスを入力させてもよい。例えば電子メールの代わりに携帯電話番号をゲストユーザに入力させ、ショートメッセージサービス等、携帯電話番号を通信アドレスとして利用する他の通知手段を用いて操作IDをゲストユーザに通知するようにしてもよい。
<第2実施形態>
図9にこの実施形態の方式が適用されるシステム構成の例を示す。図9において図1に示した要素と同様の要素には同一符号を付して説明を省略する。
この実施形態では、拠点内のローカルネットワーク30には無線AP(アクセスポイント)40が設けられている。ゲストは、スマートフォン等の携帯端末60から、Wi-Fi(商標)等の無線LAN規格に準拠した無線通信により無線AP40に接続し、ローカルネットワーク30に参加する。携帯端末60から無線AP40に無線接続するには、無線AP40のSSID(Service Set Identifier)と暗号化キー(パスワード)の情報が必要であるが、ゲストはこれらの情報を、拠点内の訪問先の正規ユーザから知らされているものとする。逆に言えば、ここでのゲストは、無線AP40のSSID及び暗号化キーを教えてもらえるほど拠点や組織から信頼されている者であり、例えば同組織内の他拠点のメンバや、組織と協業している組織外の協業者等がその例である。
機器管理システム10は、機器20の利用のための操作IDの発行要求を受け付けるためのURLを用意しており、ゲストがそのURLにアクセスすると、ID発行受付用のウェブページを提供する。ただし、このアクセスは、機器管理システム10と同じローカルネットワーク30(サブネット)内からのものしか受け付けない。同じローカルネットワーク30からアクセスしてくる者は、ローカルネットワーク30に参加を認められている(例えば無線AP40のSSID及び暗号化キーを教えられている)という点で、拠点からある程度の信頼を受けている者と言える。この実施形態では、そのような者にのみ操作IDを発行する。そのURLへのアクセスが、同じローカルネットワーク30(サブネット)内からのものか否かは、例えばARP(Address Resolution Protocol)等で機器管理システム10からアクセス元の端末(例えば携帯端末60)のMAC(Media Access Control)アドレスが取得できるか否かで判定すればよい。
図10に、この実施形態における機器管理システム10の構成を示す。図10の機器管理システム10は、図2に示した第1実施形態の機器管理システム10に対して、ID要求受付部111を追加したものである。
ID要求受付部111は、ID発行受付用のウェブページを提供し、そのウェブページに対するユーザからのID要求を受け付ける。ここで、ID要求受付部111は、ID発行受付用のウェブページに対してアクセスしてきた端末(例えば携帯端末60)が同じローカルネットワーク30上のものであるか否かを確認し、同じローカルネットワーク30上のものであれば、ID発行受付用のウェブページを応答する。携帯端末60のウェブブラウザがこのID発行受付用のウェブページを表示し、ゲストがそのウェブページに表示されるID発行要求ボタンを押すと、ウェブブラウザから機器管理システム10にID発行要求が送信される。ID要求受付部111は、そのID発行要求を受け付けて操作ID発行部114Aに伝達する。なお、ID発行受付用のウェブページに対するアクセスが同じローカルネットワーク30内からでない場合には、ID要求受付部111は、ID発行受付用のウェブページを応答せず、例えばその代わりにネットワーク外なので操作IDを提供できない旨等を示すエラーページを応答する。
操作ID発行部114Aは、ID要求受付部111を介してゲストからのID発行要求を受けた場合に、あらかじめ定めた初期の利用権限(以下「初期利用権限」と呼ぶ)に対応付けた操作IDを生成する。そして、その操作IDを表示したウェブページを要求元のウェブブラウザに返す。初期利用権限は、ID要求受付部111に対する要求に対して付与するものとしてあらかじめ定められているものであり、例えば白黒のコピーのみを許可し、ネットワーク経由でのプリントやスキャン等の他の機能についての権限は一切許可しない、等の低レベルの権限である。初期利用権限の内容は、機器管理システム10の管理者等がセキュリティポリシーに従って定め、機器管理システム10に設定しておけばよい。
また操作ID発行部114Aは、ゲストから権限アップグレード要求を受けると、そのゲストが社内ゲストであれば、社内ゲスト用にあらかじめ定められている、より高い権限内容の利用権限に対応付けた操作IDをゲストに提供する(あるいは元の操作IDに対応する初期利用権限を、社内ゲスト用の権限内容にアップグレードする)。権限アップグレード要求の要求元のゲストが社内ゲストであるか否かは、そのゲストに、組織のディレクトリサービス50に登録されているユーザ情報と認証情報(パスワード等)の入力を求めることで行う。すなわち、この求めに応じて入力されたユーザ情報と認証情報が確かに登録されているかを、問合せ部112によりディレクトリサービス50に問い合わせ、登録されている旨の回答を得た場合には、そのゲストが社内ゲストであると判定する。ディレクトリサービス50からの回答が「登録されていない」旨のものである場合には、そのゲストは社外ゲストであり、社外ゲストについては権限アップグレード要求では利用権限のアップグレードは認めない。
また操作ID発行部114Aは、上記第1実施形態と同様、承認権限のある正規ユーザから承認を受けた場合に、ゲストの利用権限を拡大する処理(例えば承認された機能についての権限を追加した操作IDを新たにゲストに提供)を実行する。
図11を参照して、この実施形態における処理の流れの例を示す。
まずユーザ(ゲスト)は、拠点に入ると、自分の携帯端末60を拠点内の無線AP40に接続する。そして、携帯端末60のウェブブラウザで、訪問先の正規ユーザ等から知得したID発行受付用のウェブページにアクセスし、操作IDの取得要求を行う(S101)。
機器管理システム10は、ID発行受付用のウェブページにアクセスしてきた携帯端末60が、同じローカルネットワーク30(同一サブネット)内のものか否かを判定する。そして、同じローカルネットワーク30内のものであると判定した場合には、あらかじめ定めた初期利用権限に対応付けた操作IDを生成し(S102)、その操作IDを表示したウェブページを携帯端末60宛に返す(S103)。また機器管理システム10は、その操作IDのエントリを操作ID情報(図4参照)に作成し、そのエントリに初期利用権限の情報を登録する。
図12に、この操作ID通知用のウェブページ400の表示例を示す。このウェブページ400には、操作IDの値「1234」と、初期利用権限の内容の説明「白黒コピーのみ」が表示されている。
ゲストは、機器20の表示装置(タッチパネル)にメニュー画面310(図6参照)を表示させ、例えばその中でスキャン機能のアイコンを押したとする(S104)。機器20は、選択されたスキャン機能を実行してよいか、機器管理システム10に問い合わせる。機器管理システム10は、その機器20を操作しているゲストからは正規ユーザとしてのログインも操作IDの入力もなされていないので、そのゲストには機器20の利用権限がないと判定し、操作ID入力画面320を機器20の表示装置に表示する(S105)。
ここでゲストが、例えば先ほど入手して携帯端末60の画面に表示されている操作IDを入力したとする(S106)。機器20からその操作IDを受け取った機器管理システム10は、その操作IDに対応する利用権限の内容と、ゲストが先ほど利用したいと要求した機能(スキャン)とを照合する(S107)。この時点でゲストが入手している操作IDは、S103で取得した初期操作権限(「白黒コピーのみ」)に対応付けられているので、S107では、スキャンの権限はないと判定される。この場合、機器管理システム10は、機器20に対して社員認証画面の表示を指示する(S108)。図示は省略するが、社員認証画面は、ユーザID入力欄とパスワード入力欄とを有しており、そのゲストが組織(例えばその拠点を有する会社)のメンバであれば、それら入力欄に対して、組織(ディレクトリサービス50)に登録しているユーザID及びパスワードを入力する(S109)。
機器管理システム10は、ゲストが入力したユーザID及びパスワードを機器20から取得すると、問合せ部112によりディレクトリサービス50に対して、そのユーザID及びパスワードのペアに該当するユーザが登録されているかどうかを問い合わせる(S110)。登録されていれば、そのゲストは組織のメンバ(社員)であり、社内ゲストに分類される。この問合せに対するディレクトリサービス50からの回答が、「登録されている」ことを示すものである場合、機器管理システム10は、あらかじめ定められている社内ゲスト用の利用権限に対応付けた新たな操作IDを生成し(S111)、その操作IDを携帯端末60のウェブブラウザに通知する(S112)。この通知は、例えば、機器管理システム10が、S103でゲストの携帯端末60に提供した操作ID通知用のウェブページの内容を、その新たな操作IDを表示したものに更新することで行えばよい。例えば、操作ID通知用のウェブページが、定期的に当該ページのURLに更新の有無を問合せ、更新があれば更新後のウェブページを取得するよう構成されていれば、新たな操作IDを表示したウェブページが携帯端末60に表示されることになる。また別の例として操作ID通知用のウェブページに更新ボタンを設けておき、ゲストがその更新ボタンを押すと、更新要求が機器管理システム10に送信され、機器管理システム10から新たな操作IDを表示したウェブページが応答されるようにしてもよい。図12に、権限アップグレード後の新たな操作IDを表示したウェブページ410を例示する。
なお、S111で生成した新たな操作IDは、機器20の表示装置に表示してもよい。
機器管理システム10は、S109の後、再度操作ID入力画面320を表示する(S113)。ゲストが、その操作ID入力画面320にS112で入手した新たな操作IDを入力し、操作継続ボタン324(図6参照)を押下すると、その操作IDが機器20から機器管理システム10に伝達される(S114)。機器管理システム10は、その操作IDに対応する利用権限を調べ、これにより要求されているスキャン機能が許可されている(この例では社内ゲストの利用権限にはスキャン権限が含まれているものとする)ことが分かると、機器20に対してスキャン機能の実行を許可する(S115)。
以上、第2実施形態の主要な構成及び処理について説明した。この第2実施形態でも、第1実施形態と同様、機器20が提供する機能の中には、ゲストが利用するに際して承認権を持つ正規ユーザの承認を必要とするものがあってもよい。ゲストがメニュー画面310(図6参照)でそのような承認を要する機能を選んだ場合の機器管理システム10の処理は、第1実施形態のものと基本的に同じでよい。異なる点は、第1実施形態では承認後の権限に対応付けた操作IDをゲストの電子メールアドレスに対して通知するのに対し、この第2実施形態ではS103と同様操作ID通知用のウェブページ(又は機器20の表示装置への表示)の形で通知する点である。
以上に説明したように、第2実施形態では、機器管理システム10と同じローカルネットワーク30に参加している端末を操作しているゲストには低レベルの初期利用権限を付与し、そのようなゲストのうち社内ゲストに該当するものには、要求に応じて、より高いレベルの利用権限を付与する。これにより、ゲストは、社外か社内かの種別に応じた権限で機器20を利用することとなる。
以上に説明した第1及び第2実施形態では、ゲストに対する機器20の利用の承認は機能毎に行ったが、この代わりに、承認者が承認した場合にその承認者が持つ利用権限と同じものをゲストに付与するようにしてもよい。
また第1及び第2実施形態では、ゲストの利用に対して正規ユーザによる承認が必要か否か機能毎にあらかじめ定められているとしたが、これは一例に過ぎない。この代わりに、特定の機能に限定せず、ゲストが利用を要求した機能がそのゲストが入力した操作IDに対応する利用権限では利用が認められないものである場合、正規ユーザから承認を得ることでゲストがその機能を利用できるようにしてもよい。
以上に例示した機器管理システム10は、コンピュータにそのシステムの機能を表すプログラムを実行させることにより実現される。ここで、コンピュータは、例えば、ハードウエアとして、CPU等のマイクロプロセッサ、ランダムアクセスメモリ(RAM)およびリードオンリメモリ(ROM)等のメモリ(一次記憶)、HDD(ハードディスクドライブ)やSSD(ソリッドステートドライブ)等の固定記憶装置を制御するコントローラ、各種I/O(入出力)インタフェース、ローカルエリアネットワークなどのネットワークとの接続のための制御を行うネットワークインタフェース等が、たとえばバス等を介して接続された回路構成を有する。また、そのバスに対し、例えばI/Oインタフェース経由で、CDやDVDなどの可搬型ディスク記録媒体に対する読み取り及び/又は書き込みのためのディスクドライブ、フラッシュメモリなどの各種規格の可搬型の不揮発性記録媒体に対する読み取り及び/又は書き込みのためのメモリリーダライタ、などが接続されてもよい。上に例示した各機能モジュールの処理内容が記述されたプログラムがCDやDVD等の記録媒体を経由して、又はネットワーク等の通信手段経由で、固定記憶装置に保存され、コンピュータにインストールされる。固定記憶装置に記憶されたプログラムがRAMに読み出されCPU等のマイクロプロセッサにより実行されることにより、上に例示した機能モジュール群が実現される。