JP2021043902A - コンピュータシステム、ログイン画面表示方法、プログラム - Google Patents

コンピュータシステム、ログイン画面表示方法、プログラム Download PDF

Info

Publication number
JP2021043902A
JP2021043902A JP2019167610A JP2019167610A JP2021043902A JP 2021043902 A JP2021043902 A JP 2021043902A JP 2019167610 A JP2019167610 A JP 2019167610A JP 2019167610 A JP2019167610 A JP 2019167610A JP 2021043902 A JP2021043902 A JP 2021043902A
Authority
JP
Japan
Prior art keywords
login
user
information
screen
control unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019167610A
Other languages
English (en)
Other versions
JP7322619B2 (ja
Inventor
桃太 安田
Momota Yasuda
桃太 安田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2019167610A priority Critical patent/JP7322619B2/ja
Priority to US17/011,237 priority patent/US11429327B2/en
Priority to EP20194855.1A priority patent/EP3792793B1/en
Publication of JP2021043902A publication Critical patent/JP2021043902A/ja
Application granted granted Critical
Publication of JP7322619B2 publication Critical patent/JP7322619B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/12Digital output to print unit, e.g. line printer, chain printer
    • G06F3/1201Dedicated interfaces to print systems
    • G06F3/1223Dedicated interfaces to print systems specifically adapted to use a particular technique
    • G06F3/1237Print job management
    • G06F3/1238Secure printing, e.g. user identification, user rights for device usage, unallowed content, blanking portions or fields of a page, releasing held jobs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • G06F21/608Secure printing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/12Digital output to print unit, e.g. line printer, chain printer
    • G06F3/1201Dedicated interfaces to print systems
    • G06F3/1202Dedicated interfaces to print systems specifically adapted to achieve a particular effect
    • G06F3/1203Improving or facilitating administration, e.g. print management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2139Recurrent verification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Human Computer Interaction (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

【課題】ユーザを特定しなくても適切なログイン画面を表示できるコンピュータシステムを提供する。【解決手段】コンピュータシステムは、情報処理システム50、第一の端末装置20及び第二の端末装置30を有する。第一の端末装置20は、処理制御部25と表示制御部23を有する。第二の端末装置30は、処理制御部35と表示制御部33を有する。処理制御部25及び処理制御部35は、過去に使用されたログイン方法に応じてログイン方法を決定する。表示制御部23及び表示制御部33は、各々の処理制御部が決定したログイン方法に対応するログイン画面を表示する。【選択図】図5

Description

本発明は、コンピュータシステム、ログイン画面表示方法、及び、プログラムに関する。
ソフトウェア等をネットワーク経由でユーザに提供する情報処理システムが知られている。ユーザはPC(パーソナルコンピュータ)等などのクライアント端末と、その上で動くWebブラウザ、インターネット接続環境など、一定の環境を用意することで、クライアント端末から情報処理システムが提供するサービスを利用することができる。
このような情報処理システムが提供するサービスを、企業などの組織として契約し、組織の所属者等がユーザとしてサービスを利用する場合がある。また情報処理システムのサービスを契約した組織等は、テナントと呼ばれる単位で管理される。テナントに許可されているサービスをユーザが使用するために、ユーザは情報処理システムにログインする。
ユーザの利便性を考慮してユーザのログイン操作を簡略化する技術が知られている(例えば、特許文献1参照。)。特許文献1には、通常ではメールアドレスとパスワードを入力する場合に、ユーザ一覧から自分を選択したあと、パスワードを入力するだけでログインできるログイン方法が開示されている。
しかしながら、従来の技術では、情報処理システムが複数のログイン方法を用意している場合に、ユーザを毎回のログイン時に一度特定しないと適切なログイン画面を表示できないという問題があった。
本発明は、上記課題に鑑み、ユーザを特定しなくても適切なログイン画面を表示できるコンピュータシステムを提供することを目的とする。
上記課題に鑑み、本発明は、複数のログイン方法のいずれかでユーザを認証する情報処理システムと、前記情報処理システムにユーザの認証を要求する端末装置とを有するコンピュータシステムであって、前記端末装置は、過去に使用されたログイン方法に応じてログイン方法を決定する処理制御部と、前記処理制御部が決定したログイン方法に対応するログイン画面を表示する表示制御部と、を有することを特徴とする。
ユーザを特定しなくても適切なログイン画面を表示できるコンピュータシステムを提供することができる。
コンピュータシステムにユーザがログインする処理の概略を説明する図である。 コンピュータシステムの一例の構成図である。 コンピュータの一例のハードウェア構成図である。 画像形成装置の一例のハードウェア構成図である。 第一の端末装置、第二の端末装置、電子機器、及び、情報処理システムの機能をブロック状に分けて説明する機能ブロック図の一例である。 管理者が操作する第二の端末装置が表示したログイン方法設定画面の一例を示す図である。 ユーザが第一の端末装置を操作してログイン画面を表示する手順を示すシーケンス図の一例である(その1)。 ユーザが第一の端末装置を操作してログイン画面を表示する手順を示すシーケンス図の一例である(その2)。 メールアドレス入力画面の一例を示す図である。 ログイン画面A1の一例を示す図である。 ログイン画面B1の一例を示す図である。 ログイン画面C1の一例を示す図である。 ログイン画面D1の一例を示す図である。 ログイン画面A2の一例を示す図である。 ログイン画面B2の一例を示す図である。 ログイン画面C2の一例を示す図である。 許可されているログイン方法が複数の場合に表示されるログイン画面Fの一例を示す図である。 各ログイン方法に対応したログインの処理を説明するシーケンス図の一例である(その1)。 各ログイン方法に対応したログインの処理を説明するシーケンス図の一例である(その2)。 トップ画面の一例を示す図である。 「別のログイン方法を確認ボタン」が押下された場合に第一の端末装置と情報処理システムが実行する処理を示すシーケンス図の一例である。 情報処理システムが、ユーザが使用したログイン方法がテナントのログイン設定で許可されていない場合にログアウトさせ、テナントが許可するログイン方法でログインさせるシーケンス図の一例である(その1)。 情報処理システムが、ユーザが使用したログイン方法がテナントのログイン設定で許可されていない場合にログアウトさせ、テナントが許可するログイン方法でログインさせるシーケンス図の一例である(その2)。 ログアウト画面の一例を示す図である。 テナントのログイン設定とユーザのロールに応じて表示するログイン画面を第一の端末装置が変更するシーケンス図の一例である(その1)。 テナントのログイン設定とユーザのロールに応じて表示するログイン画面を第一の端末装置が変更するシーケンス図の一例である(その2)。 ログイン画面E1の一例を示す図である。 「別のログイン方法を確認ボタン」が押下された場合に第二の端末装置と情報処理システムが実行する処理を示すシーケンス図の一例である。 ログインしたユーザが管理者だった場合に第二の端末装置が全てのログイン方法を保存する処理を説明するシーケンス図の一例である(その1)。 ログインしたユーザが管理者だった場合に第二の端末装置が全てのログイン方法を保存する処理を説明するシーケンス図の一例である(その2)。 ブラウザ情報記憶部に記憶されているログイン方法でログインしたが、テナントのログイン設定で許可されていないログイン方法でユーザがログインした場合、テナントのログイン設定で許可されているログイン方法で必要なアカウント情報をユーザが補充するシーケンス図の一例である(その1)。 ブラウザ情報記憶部に記憶されているログイン方法でログインしたが、テナントのログイン設定で許可されていないログイン方法でユーザがログインした場合、テナントのログイン設定で許可されているログイン方法で必要なアカウント情報をユーザが補充するシーケンス図の一例である(その2)。 パスワード設定画面の一例を示す図である。 外部サービス認証連携画面の一例を示す図である。
以下、本発明を実施するための形態の一例として、コンピュータシステムとコンピュータシステムが行うログイン画面表示方法について説明する。
<動作の概略>
本実施形態では、情報処理システムが提供するサービスを、企業などの組織が契約し、組織の所属者等がユーザとしてサービスを利用する形態を想定して説明する。サービスを契約した組織等は、テナントと呼ばれる単位で管理される。サービスのユーザは企業等の社員であり、各ユーザは1つ以上のテナントに所属している。契約したサービスを実行できるユーザが例えば管理者により設定されており、ユーザに応じてユーザが利用できるサービスが決まっている。ユーザが情報処理システムにログインすると、ユーザが利用できるサービスの一覧を含むポータル画面がユーザの端末装置に表示される。なお、サービスはWebアプリとして提供され、ポータル画面にはサービスに対応したアプリのアイコンが表示される。
サービスは例えば決まった手順で処理される伝票などを決まった手順で処理するものであり、ユーザの作業負荷を低減できる。電子データに対し実行される1以上の処理を決まった順番で自動的に実行することをワークフローという。このように、ユーザがログインするとユーザが作業するためのポータル画面が表示されるため、情報処理システムが提供するサービスをワークプレース(作業場所)と呼ぶ場合がある。
まず、図1を用いてコンピュータシステムが行う動作の概略を説明する。図1は、コンピュータシステム1にユーザがログインする処理の概略を説明する図である。
(1) ユーザは第一の端末装置20を使用して情報処理システム50にログインする。初めてログインする場合、テナントが許可しているログイン方法に応じたログイン画面に対し、ユーザがアカウント情報を入力する。
(2) 認証が成功した場合、第一の端末装置20はユーザがログインしたログイン方法を保存する。ログイン方法の一例としては以下がある。
(A)メールアドレスとパスワード
(B)テナントIDとユーザIDとパスワード
(C)外部サービスを利用
(D)全て
(3) 次回以降、ユーザが情報処理システム50にログインする場合、第一の端末装置20は保存してあるログイン方法に対応したログイン画面を表示する。
したがって、一度、ログイン方法を保存した後は、ユーザがメールアドレスなどユーザを識別又は特定する識別情報を入力しなくても、このテナントが許可しているログイン方法に対応したログイン画面を第一の端末装置20が表示することができる。例えば、ユーザが「(C)外部サービスを利用」するログイン方法でログインしたことがある場合、外部サービス70では認証にメールアドレスは不要なので(外部サービスを利用するログイン方法に対応したログイン画面ではメールアドレスが要求されない)、情報処理システム50が不要なメールアドレスの入力をユーザに要求することを低減できる。
<用語について>
テナントとは、複数の顧客で同じソフトウェアを共有する顧客のことを意味する。システム内に複数存在するソフトウェアインスタンスの利用権限を有する者をいう。
情報処理システム50は1つ以上の情報処理装置である。この情報処理装置はサーバと呼ばれる場合がある。情報処理装置は主にインターネット上に配置されるが、社内などのローカルネットワーク(ファイヤウォールよりも内側)に配置されてもよい。1つ以上の情報処理装置をクラウドシステムという場合がある。クラウドシステムとは、クラウドコンピューティングを利用したシステムであり、クラウドコンピューティングとは、特定ハードウェア資源が意識されずにネットワーク上のリソースが利用される利用形態をいう。一般にクラウドシステムがインターネット上に配置される情報処理システムを示す場合もあるが、ローカルネットワークに配置される場合も少なくない。
<システム構成例>
図2は本実施形態に係るコンピュータシステム1の一例の構成図である。図2のコンピュータシステム1は、顧客環境8がインターネットなどのネットワークN1を介して情報処理システム50と接続されている。ネットワークN1には携帯電話網などの電話回線も含まれる。
顧客は情報処理システム50によって提供されるサービスの顧客であって、企業、団体、教育機関、行政機関や部署などの組織が含まれる。これら顧客と何らかの雇用関係にあるものをユーザという。ユーザには一般ユーザと管理者がいる。顧客環境8には1台以上の電子機器10と、第一の端末装置20と、第二の端末装置30と、ファイヤウォール7と、がLANなどのネットワークN2を介して接続されている。また、情報処理システム50にはネットワークN1に接続されている1台以上の情報処理装置が存在する。
電子機器10は、例えば画像形成装置10aであるが、画像形成装置10aにはレーザプリンタ、複合機(マルチファンクションプリンタ)、MFP(Multi−function Peripheral/Product/Printer)なども含まれる。また、電子機器10としては電子黒板10bも挙げられる。この他、電子機器10は、例えば、PJ(Projector:プロジェクタ)、デジタルサイネージ等の出力装置、HUD(Head Up Display)装置、産業機械、撮像装置、集音装置、医療機器、ネットワーク家電、自動車(Connected Car)、ノートPC、携帯電話、スマートフォン、タブレット端末、ゲーム機、PDA(Personal Digital Assistant)、デジタルカメラ、ウェアラブルPC又はデスクトップPC等であってもよい。
本実施形態の電子機器10は、情報処理システム50に登録されたユーザがサービスを利用する端末となる。ユーザは、電子機器10から情報処理システム50にログインして、ユーザに利用権限が認められているアプリ(アプリケーションソフト)を選択して、情報処理システム50が提供するサービスを受ける。このように、サービスはアプリ単位で提供される。
第一の端末装置20は、一般ユーザが利用するスマートフォンや携帯電話、タブレットPC、デスクトップPC、ノートPC、等の情報処理装置である。第一の端末装置20には、Webブラウザなどの画面表示機能を有するプログラムが搭載されている。このプログラムは情報処理システム50から受信した画面情報を画面として表示する機能を有していればよくWebブラウザに限られない。情報処理システム50に専用のプログラムでもよい。
第二の端末装置30は、管理者が利用するスマートフォンや携帯電話、タブレットPC、デスクトップPC、ノートPC、等の情報処理装置である。第二の端末装置30には、Webブラウザなどの画面表示機能を有するプログラムが搭載されている。このプログラムは情報処理システム50から受信した画面情報を画面として表示する機能を有していればよくWebブラウザに限られない。情報処理システム50に専用のプログラムでもよい。
ファイヤウォール7は顧客環境8への外部からの侵入を防ぐための装置であり、顧客環境8からの全ての通信はファイヤウォール7により監視される。ただし、第一の端末装置20と第二の端末装置30が携帯電話網などの電話回線を介して情報処理システム50と通信する場合はこの限りでない。
情報処理システム50は、ネットワークN1を介して、各種のサービスを電子機器10及び第二の端末装置30等に提供する。サービスは電子機器10の種類によって様々であるが、画像形成装置10aの場合は、読み取った原稿をクラウド上のストレージにアップロードして保存するサービス、クラウド上のストレージの画像データをダウンロードして印刷するサービスなどがあるが、これらに限られない。電子黒板10bの場合は、例えばリアルタイムに音声認識して議事録の作成するサービス、手書きデータをテキスト化するサービスなどがある。第二の端末装置30の場合は、例えばWebページのリアルタイム翻訳サービスなどがある。
情報処理システム50では、テナントとユーザが対応づけられている。ユーザごとに使用できるサービス(アプリ)が決まっており、ユーザは自分が使用できるアプリを電子機器10や第一の端末装置20から使用する。また、テナント、管理者及びユーザには以下のような関係がある。
・1顧客→1テナント(管理者とユーザが1つのテナントに所属する)
・1顧客→複数テナント(管理者はテナントに所属するとは限らず、各テナントと所属するユーザを管理する。ユーザは1つ以上のテナントに所属する)
いずれの場合も情報処理システム50に登録されたユーザはいずれかのテナントに所属するので、登録後はユーザが特定されれば所属するテナントも特定される。
情報処理システム50は、第一の端末装置20、第二の端末装置30、又は、電子機器10に表示させるWebページの画面情報を作成し、これらに送信する。例えば、後述する、ログイン画面等を表示させる。
画面情報は、HTML、XML、CSS(Cascade Style Sheet)、及びJavaScript(登録商標)等により作成される。WebページはWebアプリにより提供されてよい。Webアプリとは、Webブラウザ上で動作するプログラミング言語(たとえばJavaScript(登録商標))によるプログラムとWebサーバ側のプログラムが協調することによって動作し、Webブラウザ上で実行されるソフトウェア又はその仕組みを言う。WebアプリによりWebページを動的に変更できる。
外部サービス70は主に認証連携サービスを提供する1つ以上の情報処理装置である。例えば、OAUTH、OAUTH2.0、OpenID Connectなどの認証連携サービスを提供する。認証連携サービスは、サービスのユーザが、サービス上にホストされている自分のデータへのアクセスを、自分のアカウント情報 (ID & パスワード) を渡すことなく、第三者のアプリケーションに許可する仕組みである。認証連携サービスとしては、Office365(登録商標)、Google(登録商標)、又はFacebook(登録商標)などが知られている。
また、図2に示すコンピュータシステム1の構成は一例であって、顧客環境と、情報処理システム50との間に1つ以上のサーバ装置(プロキシサーバやゲートウェイサーバなど)が介在していてもよい。また、第一の端末装置20と第二の端末装置30は、顧客環境以外にあってもよく、例えばネットワークN1に接続されていてもよい。
情報処理システム50は、1台の情報処理装置49で実現してもよいし、複数台の情報処理装置49に分散して実現してもよい。例えば、サービスごとにこれを提供する情報処理装置49が存在してもよいし、1台の情報処理装置49が複数のサービスを提供してもよいし、複数の情報処理装置49で1つのサービスを提供してもよい。
また、図2のコンピュータシステム1は情報処理システム50が顧客環境の外側のインターネットなどのネットワークN1に接続されている。言い換えれば図2のコンピュータシステム1は、情報処理システム50がクラウド環境に備えられた例である。しかし、情報処理システム50は顧客環境の内側(オンプレミス環境)に備えられていてもよい。
<ハードウェア構成例>
<<コンピュータ>>
図2の第一の端末装置20、第二の端末装置30、又は、情報処理システム50の情報処理装置は例えば図3に示すハードウェア構成のコンピュータにより実現される。図3はコンピュータの一例のハードウェア構成図である。図3のコンピュータ500はコンピュータによって構築されており、図3に示されているように、CPU501、ROM502、RAM503、HD504、HDD(Hard Disk Drive)コントローラ505、ディスプレイ506、外部機器接続I/F(Interface)508、ネットワークI/F509、バスライン510、キーボード511、ポインティングデバイス512、DVD−RW(Digital Versatile Disk Rewritable)ドライブ514、メディアI/F516を備えている。
これらのうち、CPU501は、コンピュータ全体の動作を制御する。ROM502は、IPL等のCPU501の駆動に用いられるプログラムを記憶する。RAM503は、CPU501のワークエリアとして使用される。HD504は、プログラム等の各種データを記憶する。HDDコントローラ505は、CPU501の制御にしたがってHD504に対する各種データの読み出し又は書き込みを制御する。ディスプレイ506は、カーソル、メニュー、ウィンドウ、文字、又は画像などの各種情報を表示する。外部機器接続I/F508は、各種の外部機器を接続するためのインターフェースである。この場合の外部機器は、例えば、USB(Universal Serial Bus)メモリやプリンタ等である。ネットワークI/F509は、通信ネットワーク100を利用してデータ通信をするためのインターフェースである。バスライン510は、図3に示されているCPU501等の各構成要素を電気的に接続するためのアドレスバスやデータバス等である。
また、キーボード511は、文字、数値、各種指示などの入力のための複数のキーを備えた入力手段の一種である。ポインティングデバイス512は、各種指示の選択や実行、処理対象の選択、カーソルの移動などを行う入力手段の一種である。DVD−RWドライブ514は、着脱可能な記録媒体の一例としてのDVD−RW513に対する各種データの読み出し又は書き込みを制御する。なお、DVD−RWに限らず、DVD−R等であってもよい。メディアI/F516は、フラッシュメモリ等の記録メディア515に対するデータの読み出し又は書き込み(記憶)を制御する。
<<画像形成装置>>
図4は、画像形成装置10aの一例のハードウェア構成図である。図4に示されているように、画像形成装置10aは、コントローラ910、近距離通信回路920、エンジン制御部930、操作パネル940、ネットワークI/F950を備えている。
これらのうち、コントローラ910は、コンピュータの主要部であるCPU901、システムメモリ(MEM−P)902、ノースブリッジ(NB)903、サウスブリッジ(SB)904、ASIC(Application Specific Integrated Circuit)906、記憶部であるローカルメモリ(MEM−C)907、HDDコントローラ908、及び、記憶部であるHD909を有し、NB903とASIC906との間をAGP(Accelerated Graphics Port)バス921で接続した構成となっている。
これらのうち、CPU901は、画像形成装置10aの全体制御を行う制御部である。NB903は、CPU901と、MEM−P902、SB904、及びAGPバス921とを接続するためのブリッジであり、MEM−P902に対する読み書きなどを制御するメモリコントローラと、PCI(Peripheral Component Interconnect)マスタ及びAGPターゲットとを有する。
MEM−P902は、コントローラ910の各機能を実現させるプログラムやデータの格納用メモリであるROM902a、プログラムやデータの展開、及びメモリ印刷時の描画用メモリなどとして用いるRAM902bとからなる。なお、RAM902bに記憶されているプログラムは、インストール可能な形式又は実行可能な形式のファイルでCD−ROM、CD−R、DVD等のコンピュータで読み取り可能な記録媒体に記録して提供するように構成してもよい。
SB904は、NB903とPCIデバイス、周辺デバイスとを接続するためのブリッジである。ASIC906は、画像処理用のハードウェア要素を有する画像処理用途向けのIC(Integrated Circuit)であり、AGPバス921、PCIバス922、HDDコントローラ908及びMEM−C907をそれぞれ接続するブリッジの役割を有する。このASIC906は、PCIターゲット及びAGPマスタ、ASIC906の中核をなすアービタ(ARB)、MEM−C907を制御するメモリコントローラ、ハードウェアロジックなどにより画像データの回転などを行う複数のDMAC(Direct Memory Access Controller)、並びに、スキャナ部931及びプリンタ部932との間でPCIバス922を介したデータ転送を行うPCIユニットとからなる。なお、ASIC906には、USB(Universal Serial Bus)のインターフェースや、IEEE1394(Institute of Electrical and Electronics Engineers 1394)のインターフェースを接続するようにしてもよい。
MEM−C907は、コピー用画像バッファ及び符号バッファとして用いるローカルメモリである。HD909は、画像データの蓄積、印刷時に用いるフォントデータの蓄積、フォームの蓄積を行うためのストレージである。HD909は、CPU901の制御にしたがってHD909に対するデータの読出又は書込を制御する。AGPバス921は、グラフィック処理を高速化するために提案されたグラフィックスアクセラレータカード用のバスインタフェースであり、MEM−P902に高スループットで直接アクセスすることにより、グラフィックスアクセラレータカードを高速にすることができる。
また、近距離通信回路920には、近距離通信回路アンテナ920aが備わっている。近距離通信回路920は、NFC、Bluetooth(登録商標)等の通信回路である。
更に、エンジン制御部930は、スキャナ部931及びプリンタ部932によって構成されている。また、操作パネル940は、現在の設定値や選択画面等を表示させ、操作者からの入力を受け付けるタッチパネル等のパネル表示部940a、並びに、濃度の設定条件などの画像形成に関する条件の設定値を受け付けるテンキー及びコピー開始指示を受け付けるスタートキー等からなるハードキー940bを備えている。コントローラ910は、画像形成装置10a全体の制御を行い、例えば、描画、通信、操作パネル940からの入力等を制御する。スキャナ部931又はプリンタ部932には、誤差拡散やガンマ変換などの画像処理部分が含まれている。
なお、画像形成装置10aは、操作パネル940のアプリケーション切り替えキーにより、ドキュメントボックス機能、コピー機能、プリンタ機能、及びファクシミリ機能を順次に切り替えて選択することが可能となる。ドキュメントボックス機能の選択時にはドキュメントボックスモードとなり、コピー機能の選択時にはコピーモードとなり、プリンタ機能の選択時にはプリンタモードとなり、ファクシミリモードの選択時にはファクシミリモードとなる。
また、ネットワークI/F950は、通信ネットワーク100を利用してデータ通信をするためのインターフェースである。近距離通信回路920及びネットワークI/F950は、PCIバス922を介して、ASIC906に電気的に接続されている。
<機能について>
本実施形態に係る情報処理システム50が有する各装置の機能は例えば図5に示す処理ブロックにより実現される。図5は、第一の端末装置20、第二の端末装置30、電子機器10、及び、情報処理システム50の機能をブロック状に分けて説明する機能ブロック図の一例である。
<<第一の端末装置>>
第一の端末装置20は第一通信部22、表示制御部23、操作受付部24、及び、処理制御部25を有している。第一の端末装置20はプログラム(例えばWebブラウザ21)を実行することで、図5に示すような機能ブロックを実現する。
第一通信部22は情報処理システム50と通信して、適切なログイン画面を第一の端末装置20が表示するための種々の情報を送受信する。
表示制御部23は情報処理システム50から受信した画面の画面情報を解析してディスプレイ506に例えばログイン画面を表示する。操作受付部24は第一の端末装置20に対するユーザの操作(例えばログイン画面へのアカウント情報の入力)を受け付ける。
処理制御部25は、ユーザが使用したログイン方法の保存、過去に使用されたログイン方法に応じたログイン画面の決定等を行う。また、ログイン方法が保存されているか否かに応じて、その後の処理を制御する。処理制御部25は画面情報に含まれるJavaScript(登録商標)をWebブラウザ21のエンジンが実行することで実現される。
また、第一の端末装置20はプログラム(例えばWebブラウザ21)が情報を保存しておくブラウザ情報記憶部26を有している。ブラウザ情報記憶部26(情報記憶部の一例)は、例えばHD504等に構築されており、Webブラウザ21が終了しても情報が消えない不揮発性のメモリである。このようなWebブラウザが管理できる端末内の記憶領域としてLocalStorageというHTML5で実現された機能を利用できる。
本実施例ではブラウザ情報記憶部26に表1に示すようなログイン方法が保存される。ブラウザ情報記憶部26は、第一の端末装置20の外部(ネットワーク上、記憶媒体等)に構築されていてもよい。
Figure 2021043902
 表1はブラウザ情報記憶部26に保存されたログイン方法の一例を示す。ログイン方法として上記の(A)〜(D)のログイン方法があり、(A)〜(D)のログイン方法がフラグにより示されている。つまり、処理制御部25はフラグを読み取ることで、保存されているログイン方法を判断できる。
例えば、フラグが「email」の場合、メールアドレス・パスワードによるログイン方法に対応するログイン画面を第一の端末装置20が表示する。フラグが「userId」の場合、テナントID・ユーザID・パスワードによるログイン方法に対応するログイン画面を第一の端末装置20が表示する。フラグが「external」の場合、外部サービスによるログイン方法に対応するログイン画面を第一の端末装置20が表示する。フラグが「all」の場合、全てのログイン方法に対応するログイン画面を第一の端末装置20が表示する。
<<第二の端末装置>>
第二の端末装置30は第二通信部32、表示制御部33、操作受付部34、及び、処理制御部35を有している。第二の端末装置30はプログラム(例えばWebブラウザ31)を実行することで、図5に示すような機能ブロックを実現する。
第二通信部32は情報処理システム50と通信して、適切なログイン画面を第二の端末装置30が表示するための種々の情報を送受信する。
表示制御部33は情報処理システム50から受信した画面の画面情報を解析してディスプレイ506に例えばログイン画面を表示する。操作受付部24は第二の端末装置30に対する管理者の操作(例えばログイン画面へのアカウント情報の入力)を受け付ける。
処理制御部35は、管理者が使用したログイン方法の保存、過去のログイン方法に応じたログイン画面の決定等を行う。また、ログイン方法が保存されているか否かに応じて、その後の処理を制御する。処理制御部35は画面情報に含まれるJavaScript(登録商標)をWebブラウザ21のエンジンが実行することで実現される。
ブラウザ情報記憶部36については第一の端末装置20と同じでよいため、説明を省略する。
<<電子機器>>
電子機器10は第三通信部12、表示制御部13、操作受付部14、及び、処理制御部15を有している。電子機器10はプログラム(例えばWebブラウザ11)を実行することで、図5に示すような機能ブロックを実現する。
第三通信部12は情報処理システム50と通信して、待ち受け画面、ランチャー画面、ログイン画面、及び、アプリ画面等を電子機器10が表示するための画面情報を受信する。また、ユーザが待ち受け画面、ランチャー画面、ログイン画面、及び、アプリ画面に入力した情報を情報処理システム50に送信する。
表示制御部13は情報処理システム50から受信した画面の画面情報を解析して操作パネル940に例えば待ち受け画面、ランチャー画面、ログイン画面、及び、アプリ画面を表示する。操作受付部14は電子機器10に対するユーザの操作(例えば、ランチャーの起動、アカウント情報の入力、アプリの選択、アプリに対する操作等)を受け付ける。
処理制御部15とブラウザ情報記憶部16については第一の端末装置20と同じとする。また、電子機器10は複数のユーザにより共有されるため、ユーザが電子機器10を利用開始する際の機器認証時に電子機器10に入力されるユーザ情報(ユーザID・パスワードの手入力や、ICカード、認証デバイスを用いて機器が取得する情報)や機器認証結果を、Webブラウザ11や電子機器10の他のアプリケーションを用いて、情報処理システム50に送信することによって、そのユーザ情報に対応するテナントを特定し、テナントが許可しているログイン方法でログイン画面を表示してもよい。もしくは、Webブラウザ11や電子機器10の他のアプリケーションの利用時に、電子機器10内に記憶されている機器識別情報(機番)やテナント識別情報を、Webブラウザ11や電子機器10の他のアプリケーションが取得して情報処理システム50に送信することによって、機器に対応するテナントを特定してもよい。これらの場合、情報処理システム50においてテナントのテナント識別情報、機器識別情報、ユーザ情報等は全て対応付いて記憶されていることが前提となる。
<<情報処理システム>>
情報処理システム50は、第四通信部52、画面情報生成部53、ユーザ情報管理部54、テナント情報管理部55、及び、認証・認可部56を有している。情報処理システム50が有するこれらの機能は、図3に示したコンピュータ500が有するCPU501が、HD504からRAM503に展開されたプログラムを実行することで実現される機能又は手段である。
第四通信部52は、第一の端末装置20、第二の端末装置30及び電子機器10と各種の情報を送受信する。例えば、ログイン画面の画面情報を第一の端末装置20又は第二の端末装置30に送信し、アカウント情報を第一の端末装置20又は第二の端末装置30から受信する。また、待ち受け画面、ランチャー画面、ログイン画面、及び、アプリ画面の画面情報を電子機器10に送信する。また、これらの画面で入力された情報を受信する。
画面情報生成部53は、ログイン画面やトップ画面(ポータル画面)の画面情報を生成し、第四通信部52を介して第一の端末装置20又は第二の端末装置30に送信する。
ユーザ情報管理部54は、ユーザ情報記憶部57においてユーザ情報の生成・更新・取得・削除を管理する。テナント情報管理部55は、テナント情報記憶部58において、ユーザが所属するテナントの情報を同様に管理する。ユーザ情報とテナント情報により、ユーザとテナントが対応づけられる。
認証・認可部56は、アカウント情報に基づいて管理者又はユーザを認証して認証が成功するか失敗するかを判断する。認証とはユーザが正当な権限者か否かを判断することをいう。本実施例の場合は、情報処理システム50を使用する権限があるかどうかであり、更に、ユーザ又は管理者かも判断できるようになっている。認可とは、ユーザのロール(後述する)に応じてユーザに認められる権限を決定することをいう。例えば、アクセスできるリソースや実行可能な操作などが決定される。
なお、認証が成功すると情報処理システム50はユーザが情報処理システム50にログインすることを許可する。ログインとは、コンピュータやインターネット上の様々なサービスを利用する際に、予め登録しておいたアカウント情報を用いてシステムのリソースにアクセスする認証行為をいう。アカウント情報は、上記(A)〜(D)のログイン方法によって異なる。
「(A) メールアドレスとパスワード」の場合はメールアドレスとパスワードであり、「(B)テナントIDとユーザIDとパスワード」の場合はテナントIDとユーザIDとパスワードである。「(C) 外部サービスを利用」の場合、ユーザが入力するアカウント情報は特にないが、外部サービス70用のユーザIDとパスワードがアカウント情報となる。「(D) 全て」の場合、それぞれのログイン方法に応じたものでよい。
なお、この他、アカウント情報には指紋や顔などの生体認証情報があり、この場合は生体認証情報に対応したログイン方法が用意される。
また、情報処理システム50は、図3に示したHD504、RAM503等により実現されるユーザ情報記憶部57とテナント情報記憶部58が構築されている。表2,表3を用いてこれらを説明する。
Figure 2021043902
 表2はユーザ情報記憶部57に記憶されているユーザ情報の一例を示す。
・テナントID:ユーザの所属するテナントを示す識別情報である。IDはIdentificationの略であり識別子や識別情報という意味である。IDは複数の対象から、ある特定の対象を一意的に区別するために用いられる名称、符号、文字列、数値又はこれらのうち1つ以上の組み合わせをいう。テナントID以外のIDについても同様である。
・ユーザID:テナント内でユーザを一意に示す識別情報である。テナント内で一意であるため、異なるテナント間では重複してよい。
・パスワード:アカウント情報の一部となる場合がある。
・パスワード設定済みかどうかのフラグ:パスワードが設定されるとTrue、されていなければFalseとなる。
・姓:ユーザの姓(名字)である。
・名:ユーザの名である。
・メールアドレス:ユーザのメールアドレスである。メールアドレスは世界的に一意なため、異なるテナント間でも重複しない。このため従来からユーザを識別する識別情報として使用される場合が多い。
・表示言語:端末装置が各種の画面、メールを表示する場合の文字の言語である。
・国:ユーザが所属する国や地域である。
・状態:ユーザのアカウントの状態である。アカウントはユーザが情報処理システム50にログインするための権利のことである。アカウントの状態には「有効、無効又はアカウントロック」の少なくとも3つがある。ユーザ情報が仮登録されると無効となり、本登録により有効となる。有効となった後も管理者が無効に設定できる。アカウントロックは、有効な状態でユーザがパスワードを何回か間違えた場合に設定される。アカウントロックは、例えば、一定期間の経過で有効に戻る点、又は、テナントに所属するユーザとしてカウントされたままである点で無効と異なる。なお、無効な状態は、有効期限が切れている等の場合がある。
・タイムゾーン:ユーザが活動する国又は地域のタイムゾーン(UTC:協定世界時)である。
・ロール:役割という意味であるが、どのような権限を有しているかを示す。本実施形態では管理者又は一般ユーザがある。本実施形態では一般ユーザと管理者を特に区別しない場合はユーザと称している。
・UUID(Universally Unique Identifier):ユーザを一意に示す識別情報であり、情報処理システム50がユーザを識別する場合に使用する。
・外部サービスアカウント情報:ユーザが連携登録してある外部サービス70におけるアカウントの情報である(外部サービス70における識別情報)。
・利用可能なサービス権限情報一覧:ユーザが利用可能なサービスの一覧である。
Figure 2021043902
 表3(a)はテナント情報記憶部58に記憶されているテナント情報の一例を示す。
・テナントID:表2と同様である。
・テナント名:テナントの名前(ユーザが呼ぶ時の呼称)である。
・表示言語:画面、メールなどの文字を表示する際の言語である。
・国:テナントが所属する国や地域である。
・状態:テナントの状態には有効と無効がある。無効は契約終了などでテナントがサービスを受けられない状態である。
・タイムゾーン:テナントが活動する国や地域のタイムゾーン(UTC)である。
・ログイン設定:情報処理システム50へユーザがログインする際にテナントが許可するログイン方法である(表3(b)参照)。
表3(b)はログイン設定の一例を示す。表3(b)に示すように、ログイン設定は、テナントがこのテナントに所属するユーザに許可しているログイン方法がフラグによって示されている。このフラグが情報処理システム50から第一の端末装置20又は第二の端末装置30に送信されるので、第一の端末装置20又は第二の端末装置30はテナント(ユーザ)で許可されているログイン方法を判断できる。
図6に示すように、テナント情報記憶部58のログイン方法は、管理者がテナントごとに設定できる。図6は、管理者が操作する第二の端末装置30が表示したログイン方法設定画面400の一例である。ログイン方法設定画面400は、「全て」、「メールアドレス・パスワード」、「テナントID・ユーザID・パスワード」、「外部サービスを利用」にチェックボックス401がそれぞれ対応づけられている。管理者は自分が管理するテナントのログイン方法を設定できる。
<ログイン画面の表示の手順>
図7を用いてユーザがログイン画面を第一の端末装置20又は第二の端末装置30に表示させる流れを説明する。ユーザが一般ユーザでも管理者でもログインの流れは同じでよい。図7は、ユーザが第一の端末装置20を操作してログイン画面を表示する手順を示すシーケンス図である。
S1:ユーザが第一の端末装置20を操作して情報処理システム50と通信させる。例えば、情報処理システム50のURLを指定したりお気に入りから選択したりする。
S2:第一の端末装置20の操作受付部24が操作を受け付け、処理制御部25にWebアプリ取得処理を通知する。例えばHTTPリクエストを行う処理と情報処理システム50のURLが通知される。
S3:処理制御部25は上記のURLを指定することでログイン画面の取得を第一通信部22に要求する。
S4:第一通信部22はログイン画面の取得を情報処理システム50に要求する。
S5:情報処理システム50の第四通信部52はログイン画面の取得要求を受信し、画面情報生成部53にログイン画面を要求する。
S6:画面情報生成部53は、第一の端末装置20が表示しうるログイン画面の画面情報を生成して、第四通信部52に送信する。第一の端末装置20が表示しうるログイン画面とは、テナント情報記憶部58で管理されているログイン設定に対応したログイン画面である。この時点ではユーザがどのログイン画面を使用するか不明なので、情報処理システム50において管理者が設定可能な全てのログイン画面の画面情報を生成する。各ログイン画面にはログイン設定の識別情報(例えばフラグ)が対応づけられている。
S7:第四通信部52はログイン画面の画面情報を第一の端末装置20に送信する。
S8:第一の端末装置20の第一通信部22はログイン画面の画面情報を受信し、処理制御部25に送信する。
S9,S10:処理制御部25はブラウザ情報記憶部26からログイン方法を取得する。すなわち、フラグは「email」「userId」「external」又は「all」に決まっているので、このフラグをブラウザ情報記憶部26で検索して、適合すれば取得する。保存されているフラグの数は、ユーザが前回(又は過去)に使用したログイン方法なので1つである。処理制御部25は過去に保存されているログイン方法をユーザが使用するログイン方法に決定する。
過去にログインしたことがない場合、又は、Webブラウザのブラウザ情報記憶部26が消去されている場合、ブラウザ情報記憶部26にはログイン方法が記憶されていない。この場合の処理を、ステップS11〜S29を用いて説明する。
S11:ブラウザ情報記憶部26にはログイン方法が記憶されていない場合、ユーザが所属するテナントを処理制御部25が特定するため、情報処理システム50から取得したログイン画面の中からメールアドレス入力画面を選択して表示制御部23に指示する。メールアドレス入力画面はログイン画面のうちメールアドレスが入力される画面である。メールアドレス入力画面の一例を図8に示す。
S12:表示制御部23は指示されたメールアドレス入力画面を生成してディスプレイ506に表示する。
S13:ユーザがメールアドレスをメールアドレス入力画面に入力すると、操作受付部24が受け付ける。
S14:操作受付部24はメールアドレスを処理制御部25に送信する。
S15:処理制御部25は、メールアドレスと共にユーザが所属するテナントにおけるログイン設定を第一通信部22に要求する。処理制御部25は後のログイン画面A1,B1でユーザがメールアドレスを入力しなくてよいようにメールアドレスを一時的に保持しておく。例えば、sessionStorageという仕組みがある。
S16:第一通信部22はメールアドレスと共にログイン設定を情報処理システム50に要求する。
S17:情報処理システム50の第四通信部52はメールアドレスとログイン設定の要求を受信し、ユーザ情報管理部54にメールアドレスを指定してユーザ情報を要求する。
S18,S19:ユーザ情報管理部54はメールアドレスでユーザ情報記憶部57を検索して、メールアドレスを有するユーザ情報を取得する。
S20,S21:ユーザ情報管理部54はユーザ情報をテナント情報管理部55に送信して、テナント情報管理部55がテナント情報記憶部58をユーザ情報に含まれるテナントIDで検索する。したがって、テナント情報管理部55はユーザが所属するテナント情報を取得する。
S22〜S24:テナント情報に含まれるログイン設定を、情報処理システム50が第一の端末装置20に送信する。
S25:第一の端末装置20の処理制御部25は、ステップS8で取得したログイン画面の中から、ステップS24で取得したログイン設定で許可されているログイン方法に対応したログイン画面を決定する。このログイン画面の表示を表示制御部23に要求する。ログイン画面A1,B1を要求する場合、保持しているメールアドレスも表示制御部23に送信する。許可されているログイン方法が複数の場合、表示されるログイン画面は複数のログイン方法に対応したものになる。
S26:ログイン方法が「(A)メールアドレスとパスワード」の場合、表示制御部23はログイン画面A1を表示する。ログイン画面A1の一例を図9に示す。
S27:ログイン方法が「(B)テナントIDとユーザIDとパスワード」の場合、表示制御部23はログイン画面B1を表示する。ログイン画面B1の一例を図10に示す。
S28:ログイン方法が「(C) 外部サービスを利用」の場合、表示制御部23はログイン画面C1を表示する。ログイン画面C1の一例を図11に示す。
S29:ログイン方法が「(D) 全て」の場合、表示制御部23はログイン画面D1を表示する。ログイン画面D1の一例を図12に示す。
続いて、ログイン方法がブラウザ情報記憶部26に保存されている場合を説明する。ログイン方法が保存されている場合、ステップS10において、処理制御部25はステップS8で取得したログイン画面の中から、保存されているログイン方法に対応したログイン画面を決定する。ステップS30,32,34でこのログイン画面の表示を表示制御部23に要求する。
S31:ブラウザ情報記憶部26に保存されているログイン方法が「(A)メールアドレスとパスワード」の場合、表示制御部23はログイン画面A2を表示する。ログイン画面A2の一例を図13に示す。
S33:ブラウザ情報記憶部26に保存されているログイン方法が「(B)テナントIDとユーザIDとパスワード」の場合、表示制御部33はログイン画面B2を表示する。ログイン画面B2の一例を図14に示す。
S35:ブラウザ情報記憶部26に保存されているログイン方法が「(C) 外部サービスを利用」の場合、表示制御部23はログイン画面C2を表示する。ログイン画面C2の一例を図15に示す。
このように第一の端末装置20は保存してあるログイン方法に対応するログイン画面を表示できる。
<ログイン画面の画面例>
図8〜図16を用いてログイン画面の画面例を説明する。図8は、ログイン画面の一部となるメールアドレス入力画面410の一例である。メールアドレス入力画面410は、メールアドレス入力欄411、及び、次へボタン412を有している。メールアドレス入力欄411はユーザが自分のメールアドレスを入力する欄である。次へボタン412は、入力されたメールアドレスを第一の端末装置20が情報処理システム50へ送信するためのボタンである。
図9はログイン画面A1の一例を示す。ログイン画面A1はメールアドレス提示部421、パスワード入力欄422、及び、ログインボタン423を有している。メールアドレス提示部421にはユーザがメールアドレス入力画面410に入力したメールアドレスが表示される。こうすることで、同じメールアドレスを複数回、入力する必要がない。ユーザはメールアドレス入力画面410に戻ることもできる。パスワード入力欄422はユーザが自分のパスワードを入力する欄である。ログインボタン423は、メールアドレスとパスワードを第一の端末装置20が情報処理システム50へ送信してログイン要求するためのボタンである。
図10はログイン画面B1の一例を示す。ログイン画面B1はメールアドレス提示部421、テナントID入力欄424、ユーザID入力欄425、パスワード入力欄422、及び、ログインボタン423を有している。メールアドレス提示部421にはユーザがメールアドレス入力画面に入力したメールアドレスが表示される。こうすることで、同じメールアドレスを複数回、入力する必要がない(ただし、メールアドレスは情報処理システム50に送信されなくてよい)。メールアドレス入力画面410に戻ることもできる。テナントID入力欄424はユーザが所属するテナントのテナントIDを入力する欄である。ユーザID入力欄425はユーザが所属するテナントにおけるユーザIDを入力する欄である。パスワード入力欄422はユーザが自分のパスワードを入力する欄である。ログインボタン423は、テナントID、ユーザID、及びパスワードを第一の端末装置20が情報処理システム50へ送信してログイン要求するためのボタンである。
図11はログイン画面C1の一例を示す。ログイン画面C1はメールアドレス提示部421、及び、外部サービスでログインボタン426を有している。メールアドレス提示部421にはユーザがメールアドレス入力画面410に入力したメールアドレスが表示される。こうすることで、同じメールアドレスを複数回、入力する必要がない(ただし、メールアドレスは情報処理システム50に送信されなくてよい)。外部サービスでログインボタン426は、第一の端末装置20が情報処理システム50へ外部サービス70を使ったログインを要求するためのボタンである。この後、第一の端末装置20は外部サービス70にリダイレクトされる。
図12はログイン画面D1の一例を示す。ログイン画面D1はメールアドレス入力欄411、パスワード入力欄422、ログインボタン423、ユーザIDログインボタン431、及び、外部サービスでログインボタン426を有している。メールアドレス入力欄411にはユーザがメールアドレス入力画面410に入力したメールアドレスが表示される。こうすることで、同じメールアドレスを複数回、入力する必要がない。パスワード入力欄422はユーザが自分のパスワードを入力する欄である。ログインボタン423は、メールアドレス、及びパスワードを第一の端末装置20が情報処理システム50へ送信してログイン要求するためのボタンである。
ユーザIDログインボタン431は図10のログイン画面B1を表示させるためのボタンである。外部サービスでログインボタン426は、第一の端末装置20が情報処理システム50へ外部サービス70を使ったログインを要求するためのボタンである。このように、ログイン方法が「all」の場合、ユーザがログイン画面を切り替えることができる。
図13はログイン画面A2の一例を示す。ログイン画面A2はメールアドレス入力欄411、パスワード入力欄422、ログインボタン423、及び、「別のログイン方法を確認ボタン」432を有している。メールアドレス入力欄411はユーザが自分のメールアドレスを入力する欄である。ブラウザ情報記憶部26にログイン方法が記憶されている場合、ユーザはまだメールアドレスを入力していないので、メールアドレス入力欄411にはメールアドレスは表示されない。ただし、Webブラウザは過去にユーザが入力したメールアドレスを保持する機能を有しており、Webブラウザの機能でメールアドレスを表示してもよい。パスワード入力欄422とログインボタン423はログイン画面A1と同じである。「別のログイン方法を確認ボタン」432は、ユーザがブラウザ情報記憶部26を保存されているログイン方法でない別のログイン方法(テナントが許可しているログイン方法)を確認するためのボタンである。
図14はログイン画面B2の一例を示す。ログイン画面B2はテナントID入力欄424、ユーザID入力欄425、パスワード入力欄422、ログインボタン423、及び、「別のログイン方法を確認ボタン」432を有している。これらはログイン画面B1と同じである。「別のログイン方法を確認ボタン」432はログイン画面A2と同じである。
図15はログイン画面C2の一例を示す。ログイン画面C2は外部サービスでログインボタン426、及び、「別のログイン方法を確認ボタン」432を有している。これらはログイン画面C1と同じである。「別のログイン方法を確認ボタン」432はログイン画面A2と同じである。
図16は、許可されているログイン方法が複数の場合に表示されるログイン画面Fの一例である。このログイン画面Fは許可されているログイン方法が「(A) メールアドレスとパスワード」及び「(C) 外部サービスを利用」に対応している。このため、ログイン画面Fはメールアドレス入力欄411、パスワード入力欄422、及び、外部サービスでログインボタン426を有している。このように、許可されているログイン方法が複数の場合、第一の端末装置20は複数のログイン方法に対応したログイン画面を表示できるので、ユーザは自分がログインしたい方法を選択してログインできる。
<ログインまでの動作及び処理>
次に、図17を用いて、図7のシーケンス図の処理の後、各ログイン方法でユーザがログインして、ログイン方法をブラウザ情報記憶部26へ保存する流れを説明する。図17は、各ログイン方法に対応したログインの処理を説明するシーケンス図の一例である。図17の処理は図7に続いて実行される。
S1、S2:ユーザはログイン画面A1でパスワードを、ログイン画面B1でテナントID、ユーザID及びパスワードを、ログイン画面A2でメールアドレスとパスワードを、ログイン画面B2でテナントID、ユーザID及びパスワードを入力する。操作受付部24はこれらの入力を受け付ける。第一の端末装置20の操作受付部24はこれらアカウント情報を処理制御部25に送信してログイン処理を要求する。
ステップS3〜S8は、ログイン方法が「(A) メールアドレスとパスワード」又は「(B) テナントIDとユーザIDとパスワード」の場合に実行される。
S3〜S5:処理制御部25はアカウント情報と共に認証要求を情報処理システム50に要求する。アカウント情報と認証要求は第一通信部22と第四通信部52を介して認証・認可部56に送信される。認証・認可部56はアカウント情報がユーザ情報記憶部57に記憶されている場合には認証成功と判断し、記憶されていない場合は認証失敗と判断する。
なお、ステップS3では、処理制御部25はユーザが使用したログイン方法を一時的に保存しておく。ステップS55にて説明するが、ブラウザ情報記憶部26で保存してあるログイン設定がテナントのログイン設定に含まれるか否かを判断するためである。ユーザが使用したログイン方法は、ユーザが使用したログイン画面により判断してもよいし、送信するアカウント情報により判断してもよい。なお、保存はステップS8で行ってもよい。
S6〜S8:認証・認可部56は認証成功の場合、認証成功の旨を第一の端末装置20に送信する。図17では認証成功の旨を認証情報で表している。
ステップS9〜S38は「(C) 外部サービスを利用」をログイン方法とする場合に実行される。同様に、ステップS9では、処理制御部25はユーザが使用したログイン方法を一時的に保存しておく。ステップS38で保存してもよい。
S9〜S10:ユーザはログイン画面C1、C2の外部サービスでログインボタン426を押下する。操作受付部24は押下を受け付ける。外部サービス70でのログイン要求は第一通信部22及び第四通信部52を介して認証・認可部56に送信される。
S11〜S14:認証・認可部56は外部サービスでログインボタン426を押下した旨を受け取ったので、予め既知の外部サービス70のURLと共に、外部サービス70へのリダイレクトを第一の端末装置20に送信する。外部サービス70のURLと外部サービス70へのリダイレクト要求は第一通信部22及び第四通信部52を介して処理制御部25に送信される。なお、情報処理システム50と外部サービス70は、予め各ユーザを識別するために共通のチケットを互いに保持している。
S15〜S20:処理制御部25は外部サービス70のURLに基づいて、外部サービス70へリダイレクトする。すなわち、処理制御部25は外部サービス70へリダイレクトし、外部サービス70のログイン画面の画面情報を取得する。外部サービス70のログイン画面は、外部サービス70によって様々である。
S21、S22:処理制御部25は外部サービス70のログイン画面の画面情報を表示制御部23に送信し、表示制御部23は外部サービス70のログイン画面を表示する。
S23:ユーザは外部サービス70のログイン画面からログインを実行する。操作受付部24はログイン操作を受け付ける。一般に、外部サービス70などのログインを要求するサイトではアカウント情報をクッキーやLocalStorageで保存しており、ユーザは外部サービス70のログイン画面にアカウント情報を入力する必要がない。このため、ユーザは外部サービスを利用する場合は、外部サービスでログインボタン426を押下するだけでよい。
S24〜S27:操作受付部24は予め保存してあるアカウント情報と認証要求を、処理制御部25、第一通信部22、及び、第四通信部52を介して外部サービス70に送信する。外部サービス70はユーザを認証し、認証成功の場合はこのユーザに対応づけられているチケットを取得する。チケットはこのユーザであるという証明である。なお、このような外部認証の仕組みとしてOAUTH等の認証連携サービスが知られており、本実施形態でもOAUTH等を利用できるものとする。
S28〜S30:外部サービス70はチケットを第一の端末装置20に送信する。図17ではチケットを認証情報で表している。
S31〜S33:処理制御部25は外部サービス70からもらったチケット(認証情報)を使って認証・認可部56に認証を要求する。認証要求は第一通信部22と第四通信部52を介して認証・認可部56に送信される。
S34:認証・認可部56は認証情報の認証を外部サービス70に要求する(この認証情報が外部サービス70で発行されたものかを確認する)。外部サービス70で認証が成功すれば、情報処理システム50へのログインを認める。また、チケットによりユーザが特定される。
S35〜S38:認証・認可部56は認証が成功したか否かを示す認証情報を第一の端末装置20に送信する。認証情報は第一通信部22と第四通信部52を介して処理制御部25に送信される。
S39〜S41:処理制御部25は、認証が成功した場合、認可要求を情報処理システム50に要求する。認可とは、ユーザがアクセスできるリソースの範囲である(ユーザにどのような権限があるか)。処理制御部25は、認証情報と共に認可要求を情報処理システム50に送信する。認可要求は第一通信部22と第四通信部52を介して認証・認可部56に送信される。
S42〜S44:認証・認可部56は、ログイン方法(A)(B)のユーザについては、メールアドレス又はユーザIDとテナントIDで特定されたユーザがアクセスできるリソースの範囲として、ユーザ情報のロールと利用可能なサービス権限情報一覧を第一の端末装置20に送信する。ログイン方法(C)のユーザについてはチケットでユーザを特定しトークン(ユーザを特定するための識別情報)を発行し、同様の情報を第一の端末装置20に送信する。以下、ユーザ情報のロールと利用可能なサービス権限情報一覧を認可情報という。
S45〜S47:認可情報を取得すると、処理制御部25はユーザ特定情報(メールアドレス、ユーザIDとテナントID、又は、トークン)を指定して、ユーザが所属するテナントのログイン設定を情報処理システム50に要求する。認可情報が送信されるのは、ユーザがアクセスできる情報を通知するためである。ログイン設定の要求は第一通信部22と第四通信部52を介して情報処理システム50に送信される。
S48、S49:ユーザ情報管理部54はユーザ特定情報で特定したユーザのユーザ情報記憶部57から、ユーザ情報を取得する。
S50,S51:ユーザ情報管理部54はユーザ情報をテナント情報管理部55に送信して、テナント情報管理部55がテナント情報記憶部58をユーザ情報に含まれるテナントIDで検索する。したがって、テナント情報管理部55はユーザが所属するテナント情報を取得する。
S52〜S54:テナント情報に含まれるログイン設定を、情報処理システム50が第一の端末装置20に送信する。
処理制御部25はユーザが使用したログイン設定が、テナントのログイン設定で許可されているか否かを判断する。これは、テナントのログイン設定が変更される場合があり、その場合にユーザのログイン方法を処理制御部25が変更することが好ましいためである。判断方法は、テナントのログイン設定にユーザが使用したログイン設定が含まれるか否かを判断する方法でよい。ユーザが使用したログイン設定がテナントのログイン設定に含まれないのは、ブラウザ情報記憶部26に記憶されていたログイン方法が使用された場合なので、テナントのログイン設定に、ブラウザ情報記憶部26に記憶されていたログイン方法が含まれるか否かを判断することと同じである。
S55:ユーザが使用したログイン設定が、テナントのログイン設定で許可されていない場合、処理制御部25はテナントのログイン設定をブラウザ情報記憶部26に保存する。テナントのログイン設定が複数の場合は全て記憶してよい。
S57:ユーザが使用したログイン設定が、テナントのログイン設定で許可されている場合、処理制御部25はステップS3又はS8、ステップS9又はS38で一時的に保存したログイン方法をブラウザ情報記憶部26に保存する。
S59〜S66:次に、処理制御部25はトップ画面(ポータル画面)を情報処理システム50に要求する。情報処理システム50の画面情報生成部53はユーザ情報記憶部57を参照して、ユーザ特定情報で特定されるユーザに許可されているサービスを実行できるアイコンを含む画面情報を生成して第一の端末装置20に送信する。このように、ログインしたユーザに応じたポータル画面を表示できる。トップ画面の一例を図18に示す。
<トップ画面の一例>
図18(a)は、第一の端末装置20が表示するトップ画面460の一例であり、図18(b)は第二の端末装置30が表示するトップ画面310の一例である。図17にて説明したように認証が成功すると、第一の端末装置20はトップ画面460を表示する。トップ画面460には、ユーザ情報において「利用可能なサービス権限情報一覧」で許可されたサービスに対応するアプリのリスト311が表示される。
管理者の場合も同様であるが、管理者用のトップ画面310は設定ボタン312を有している。管理者が設定ボタン312を押下すると、ユーザ管理313、アプリ利用権限管理(ユーザ)314、アプリ利用権限管理(デバイス)315、及び、テナント情報316の各ボタンが表示される。ユーザ管理313は管理者がユーザを管理するためのユーザ管理画面を表示するボタンである。アプリ利用権限管理(ユーザ)314はどのユーザがどのアプリを使えるかを管理する画面を表示するためのボタンである。アプリ利用権限管理(デバイス)315はどの電子機器10でアプリを使えるかを管理する画面を表示するためのボタンである。テナント情報316は、テナントの契約内容などを表示する画面を表示するためのボタンである。
<別のログイン方法の確認>
ブラウザ情報記憶部26に記憶されているログイン方法のログイン画面が表示された場合でも、ユーザがテナントで許可されている他のログイン方法がないか確認したい場合がある。このため、ログイン画面A2、B2、C2は「別のログイン方法を確認ボタン」432ボタンを有している。以下、「別のログイン方法を確認ボタン」432が押下された場合の処理を説明する。
図19は、「別のログイン方法を確認ボタン」432が押下された場合に第一の端末装置20と情報処理システム50が実行する処理を示すシーケンス図の一例である。図19の処理は、図7のステップS31,S33,S35でログイン画面が表示された後にスタートする。
S1:ユーザはログイン画面A2、B2、C2の「別のログイン方法を確認ボタン」432を押下する。操作受付部24は押下を受け付ける。
S2:操作受付部24は別のログイン方法の確認要求を処理制御部25に送信する。
S3:情報処理システム50がテナントを特定するためにはユーザを特定する必要があるため、処理制御部25はメールアドレス入力画面(図8)を選択して表示制御部23に表示を要求する。
S4:表示制御部23はメールアドレス入力画面410を表示する。
S5:ユーザはメールアドレス入力画面410にメールアドレスを入力する。操作受付部24は入力を受け付ける。
S6:操作受付部24はメールアドレスと共にログイン設定の取得要求を処理制御部25に送信する。
S7〜S9:処理制御部25はメールアドレスを指定して、ログイン設定の取得要求を情報処理システム50に送信する。第一通信部22と第四通信部52はメールアドレスとログイン設定の取得要求をユーザ情報管理部54に送信する。
S10、S11:ユーザ情報管理部54はユーザ情報記憶部57からメールアドレスで特定されるユーザ情報を取得する。
S12,S13:ユーザ情報管理部54はユーザ情報をテナント情報管理部55に送信して、テナント情報管理部55がテナント情報記憶部58をユーザ情報に含まれるテナントIDで検索する。したがって、テナント情報管理部55はユーザが所属するテナント情報を取得する。
S14〜S16:テナント情報に含まれるログイン設定を、情報処理システム50が第一の端末装置20に送信する。第一通信部22と第四通信部52はテナントのログイン設定を処理制御部25に送信する。
S17:処理制御部25は図7のステップS8で取得したログイン画面の中から、テナントのログイン設定で許可されているログイン方法に対応するログイン画面を表示するよう表示制御部に要求する。
S18:テナントが許可するログイン方法が「(A)メールアドレスとパスワード」の場合、表示制御部23はログイン画面A1を表示する(図9)。
S19:テナントが許可するログイン方法が「(B)テナントIDとユーザIDとパスワード」の場合、表示制御部23はログイン画面B1を表示する(図10)。
S20:テナントが許可するログイン方法が「(C) 外部サービスを利用」の場合、表示制御部23はログイン画面C1を表示する(図11)。
S21:テナントが許可するログイン方法が「(D) 全て」の場合、表示制御部23はログイン画面D1を表示する(図12)。
このように、ユーザは別のログイン方法を確認して、ブラウザ情報記憶部26に記憶されているログイン方法とは違うログイン方法でログインすることもできる。ログイン方法はブラウザ情報記憶部26に保存されるので、次回からはログイン方法を変更できる。
なお、図19では、各ログイン方法が一つずつ表示される場合を説明したが(図9〜図11)、複数のログイン方法が許可されている場合、図16に示したように、複数のログイン方法に対応したログイン画面Fが表示される。
<まとめ>
以上説明したように、本実施形態のコンピュータシステム1は、一度、ログイン方法を保存した後は、ユーザがメールアドレスなどユーザを特定する情報を入力しなくても、このテナントが許可しているログイン方法に対応したログイン画面を第一の端末装置20又は第二の端末装置30が表示することができる。また、情報処理システムが提供するサービスがテナント毎に複数のログイン方法を選択可能にしている場合でも、適切なログイン画面をユーザに提示するためには、ユーザの所属するテナントをユーザの識別情報から特定する必要があるが、一度ログイン方法を保存していれば、ユーザはユーザの識別情報(例えばメールアドレス)を毎回入力する必要が無くなる。このため例えば情報処理システム50の提供するサービスが、外部サービスと連携して外部サービスのユーザ識別情報でユーザのログインを許可する場合など、情報処理システム50の提供するサービスでのユーザの識別情報がログインに不要な場合に、ユーザに情報処理システム50の提供するサービスでのユーザの識別情報を一度入力させる手間を無くすことができる。
実施例1では、ユーザが使用したログイン方法がテナントのログイン設定で許可されていない場合、ブラウザ情報記憶部26にテナントのログイン設定で許可されているログイン方法を保存した。このため、ログイン自体は許可されて、次回のログインからログイン画面が変わる。本実施例では、ユーザが使用したログイン方法がテナントのログイン設定で許可されていない場合、情報処理システム50がユーザをログアウトさせ、テナントのログイン設定が許可するログイン方法でログインさせるコンピュータシステム1に付いて説明する。
なお、本実施例においては、上記の実施例にて説明した図3、図4のハードウェア構成図、及び、図5に示した機能ブロック図を援用できるものとして説明する。
<ユーザが使用したログイン方法がテナントのログイン設定で許可されていない場合にユーザをログアウトさせる処理>
図20は、情報処理システム50が、ユーザが使用したログイン方法がテナントのログイン設定で許可されていない場合にログアウトさせ、テナントが許可するログイン方法でログインさせるシーケンス図である。
S1、S2:ユーザがログインする。この後ステップS3までは、図17のステップS54までが実行される。以下の処理は図17のステップS55〜S58の代わりに実行される。
S3、S4:処理制御部25が、ユーザが使用したログイン方法がテナントのログイン設定で許可されていないと判断した場合、テナントのログイン設定で許可されているログイン方法をブラウザ情報記憶部26に保存する。
S5〜S7:処理制御部25はユーザ特定情報(例えばメールアドレス、テナントIDとユーザID、又は、トークン)を指定してログアウト処理を情報処理システム50に要求する。第一通信部22と第四通信部52はログアウト処理の要求を認証・認可部56に送信する。認証・認可部56は、指定されたユーザをログアウトする。すなわち、ユーザについて認めていた認可情報を削除する。
S8〜S10:認証・認可部56は認可情報が削除された旨を第一の端末装置20に送信する。第一通信部22と第四通信部52は認可情報が削除された旨を処理制御部25に送信する。
S11〜S16:処理制御部25は、ログアウトをユーザに通知するため、ログアウト画面を情報処理システム50に要求し、ログアウト画面の画面情報を取得する。
S17、S18:処理制御部25はログアウト画面の画面情報を表示制御部23に送信して、表示制御部23がログアウト画面を表示する。ログアウト画面の一例を図21に示す。ログアウト画面により、ユーザはログアウトしたことを把握できる。また、ログアウト画面は再度、テナントで許可されているログイン方法でのログインを促すため、ユーザはテナントで許可されているログイン方法でログインできる。
ユーザが図21のログアウト画面で「ログインへ」ボタンを押下すると、以降の処理は、図7のステップS25、S30〜S35と同様になる。ユーザは新たに表示されたログイン画面からテナントで許可されているログイン方法で再度ログインする。このように、テナントで許可されているログイン方法でユーザがログインした場合、情報処理システム50はユーザをログアウトさせることができる。
ユーザが使用したログイン方法がテナントのログイン設定で許可されている場合の処理(ステップS19〜S28)は図17のステップS57〜S66と同様でよい。
図21は、ログアウト画面470の一例を示す図である。ログアウト画面470は「管理者によりログイン方法が変更されたためログアウトしました。再度ログインしてください。」というメッセージ471が表示されている。ユーザが「ログインへ」ボタン472を押下するとログイン画面に遷移する。
<まとめ>
以上説明したように、本実施例では、ユーザが使用したログイン方法がテナントのログイン設定で許可されていない場合、情報処理システム50がユーザをログアウトさせるので、テナントのログイン設定を厳格に適用して、テナントが許可するログイン方法でログインさせることができる。
テナントの管理者は自らテナントのログイン設定を変えることができるため、管理者だけはテナントのログイン設定によらず様々なログイン方法でログインできてもよい。本実施例では、管理者がログインする場合は情報処理システム50において管理者が設定可能な全てのログイン画面を表示するコンピュータシステムについて説明する。
なお、本実施例においては、上記の実施例にて説明した図3,図4のハードウェア構成図、及び、図5に示した機能ブロック図を援用できるものとして説明する。
<ユーザのロールに基づいてログイン画面を表示する処理>
図22は、テナントのログイン設定とユーザのロールに応じて表示するログイン画面を第一の端末装置20が変更するシーケンス図の一例である。
S1〜S13:図7のS1〜S13と同様でよい。
S14〜S24:ログイン方法がブラウザ情報記憶部26に記憶されていない場合、処理制御部25はユーザが入力したメールアドレスを指定して、ログイン設定とユーザのロールを情報処理システム50に要求する。処理の流れは図7のステップS14〜S24と同様であり、ユーザのロールも取得される点が異なる。ユーザ情報管理部54はユーザ情報記憶部57からメールアドレスで特定されるユーザのロールを取得する。テナントのログイン設定とユーザのロールは処理制御部25に送信される。
S25:処理制御部25は、ログイン設定で許可されているログイン方法とユーザのロールに応じてログイン画面を決定する。
・ユーザのロールが管理者
情報処理システム50において管理者が設定可能な全てのログイン方法に対応したログイン画面を表示すると決定する。情報処理システム50において管理者が設定可能な全てのログイン方法は「(D)全て」と同様になる。
・ユーザのロールが一般ユーザ
ログイン設定で許可されているログイン方法に対応したログイン画面を表示すると決定する。
S26:ユーザのロールが管理者の場合、表示制御部23は全てのログイン方法に対応したログイン画面E1を表示する。ログイン画面E1の一例を図23に示す。
S27〜S36:図7のステップS26〜S35と同様になる。
なお、図22では、各ログイン方法が一つずつ表示される場合を説明したが(図9〜図11)、複数のログイン方法が許可されている場合、図16に示したように、複数のログイン方法に対応したログイン画面Fが表示される。
<管理者の第二の端末装置が表示するログイン画面>
図23は、ログイン画面E1の一例を示す。ログイン画面E1は、全てのログイン方法に対応しているので、図12のログイン画面D1と同様になる。したがって、管理者は自分が望むログイン方法でログインできる。
<別のログイン方法の確認>
本実施例においても、ユーザがテナントで許可されている他のログイン方法がないか確認することができる。すなわち、ユーザのロールが管理者の場合、第二の端末装置30はログイン画面E1を表示できるようになる。
図24は、「別のログイン方法を確認ボタン」432が押下された場合に第二の端末装置30と情報処理システム50が実行する処理を示すシーケンス図の一例である。図24の説明では主に図19との相違を説明する。ユーザはログイン画面A2、B2、C2で「別のログイン方法を確認ボタン」432を押下する。
S1〜S16:ステップS1〜S16の処理は図19のステップS1〜S16と同様になる。ただし、ユーザのロールが第二の端末装置30に送信される点が異なる。ユーザ情報管理部54はユーザ情報記憶部57からメールアドレスで特定されるユーザのロールを取得する。テナントのログイン設定とユーザのロールは処理制御部35に送信される。
S17:処理制御部35は、ログイン設定で許可されているログイン方法とユーザのロールに応じてログイン画面を決定する。
・ユーザのロールが管理者
情報処理システム50において管理者が設定可能な全てのログイン方法に対応したログイン画面を表示すると決定する。
・ユーザのロールが一般ユーザ
ログイン設定で許可されているログイン方法に対応したログイン画面を表示すると決定する。
S18:ユーザのロールが管理者の場合、表示制御部は全てのログイン方法に対応したログイン画面E1を表示する(図23)。
S19〜S22:図19のステップS18〜S21と同様になる。
<ユーザのロールが管理者の場合のログイン方法の保存>
ユーザのロールが管理者の場合、処理制御部25が全てのログイン方法を保存しておくとよい。いったん全てのログイン方法が保存された後は、管理者はメールアドレスを入力しないで全てのログイン方法に対応したログイン画面E1からログインできる。
図25は、ログインしたユーザが管理者だった場合に第二の端末装置30が全てのログイン方法を保存する処理を説明するシーケンス図の一例である。
ステップS1〜S44は図17のステップS1〜S44と同様になる。また、ステップS45〜S53は図24のステップS6〜S16と同様になる。
S54:処理制御部35はテナントのログイン設定とユーザのロールを受信する。
S55,S56:ユーザのロールが管理者の場合、処理制御部35はテナントのログイン設定に関わらず管理者が設定可能な全てのログイン方法をブラウザ情報記憶部26に保存する。
S57、S58:ユーザのロールが一般ユーザであり、かつ、ユーザが使用したログイン設定が、テナントが許可するログイン設定に含まれない場合、処理制御部35はテナントで許可されているログイン方法をブラウザ情報記憶部26に保存する。
S59,S60:ユーザのロールが一般ユーザであり、かつ、ユーザが使用したログイン設定が、テナントが許可するログイン設定に含まれている場合、処理制御部35はユーザが使用したログイン方法をブラウザ情報記憶部26に保存する。
ステップS61〜S67の処理は、図17のステップS59〜S66と同様でよい。
このように、管理者の場合に全てのログイン方法が保存されると、管理者はメールアドレスを入力しないで全てのログイン方法に対応したログイン画面E1からログインできる。
<まとめ>
本実施例によれば、管理者がログインする場合は全てのログイン画面を表示することができ、管理者の操作性を向上できる。
ユーザがブラウザ情報記憶部26に保存されているログイン方法でログインしたが、テナントのログイン設定で許可されていないログイン方法でユーザがログインする場合がある。この場合、ブラウザ情報記憶部26にはテナントのログイン設定で許可されているログイン方法が保存されるが、テナントのログイン設定で使用するアカウント情報をユーザが登録していない場合がある。例えば、外部サービス70でログインしたが、これがテナントのログイン設定で許可されなくなり、別のログイン方法としてパスワードが必要だが、パスワードがユーザ情報に登録されていない場合である。あるいは、パスワードを使うログイン方法でログインしたが、このログイン方法がテナントのログイン設定で許可されなくなり、別のログイン方法として外部サービス70との連携が必要だが、外部サービス70がユーザ情報に登録されていない場合である。
そこで、本実施例では、テナントのログイン設定で許可されているログイン方法で必要なアカウント情報を補充できるコンピュータシステム1について説明する。
なお、本実施例においては、上記の実施例にて説明した図3,図4のハードウェア構成図、及び、図5に示した機能ブロック図を援用できるものとして説明する。
<テナントのログイン設定で許可されているログイン方法で必要なアカウント情報の補充処理>
図26は、ブラウザ情報記憶部26に記憶されているログイン方法でログインしたが、テナントのログイン設定で許可されていないログイン方法でユーザがログインした場合、テナントのログイン設定で許可されているログイン方法で必要なアカウント情報をユーザが補充するシーケンス図の一例である。
S1、S2:ユーザがログインする。この後ステップS3までは、図17のステップS54までが実行される。
S3〜S5:処理制御部25はユーザ特定情報(メールアドレス、テナントIDとユーザID、又は、トークン)を指定してユーザ情報を情報処理システム50に要求する。パスワード設定済みか否か、外部サービス70と連携済みかどうかを判断するためである。第一通信部22と第四通信部52はユーザ情報の要求をユーザ情報管理部54に送信する。
S6,S7:ユーザ情報管理部54はユーザ特定情報で特定されるユーザ情報をユーザ情報記憶部57から取得する。
S8〜S10:ユーザ情報管理部54はユーザ情報を第一の端末装置20に送信する。第一通信部22と第四通信部52はユーザ情報を処理制御部25に送信する。
以下の処理は図17のステップS55〜S58の代わりに実行される。
S11、S12:処理制御部25が、ユーザが使用したログイン方法がテナントのログイン設定で許可されていないと判断した場合、テナントのログイン設定で許可されているログイン方法をブラウザ情報記憶部26に保存する。
ステップS13〜S30は、「(A)メールアドレスとパスワード」、「(B)テナントIDとユーザIDとパスワード」が許可されているが、パスワードが登録されていない場合に実行される。
S13〜S18:処理制御部25はパスワード設定画面を情報処理システム50に要求する。第一通信部22と第四通信部52はパスワード設定画面の要求を画面情報生成部53に送信する。画面情報生成部53は、パスワード設定画面の画面情報を生成して第一の端末装置20に送信する。第一通信部22と第四通信部52はパスワード設定画面の画面情報を処理制御部25に送信する。
S19:処理制御部25はパスワード設定画面の画面情報を表示制御部23に送信する。
S20:表示制御部23はパスワード設定画面を表示する。パスワード設定画面の一例を図27に示す。
S21:ユーザはパスワードを入力する。操作受付部24はパスワードの入力を受け付ける。
S22:操作受付部24はパスワード登録を処理制御部25に要求する。
S23〜S26:処理制御部25はユーザを特定する情報を指定してパスワード登録を情報処理システム50に要求する。第一通信部22と第四通信部52はパスワード登録要求をユーザ情報管理部54に送信する。ユーザ情報管理部54はユーザ特定情報(メールアドレス、テナントIDとユーザID、又はトークン)でユーザを特定し、ユーザ情報にパスワードを登録する。
S27〜S30:ユーザ情報管理部54はパスワードの登録完了を第一の端末装置20に送信する。第一通信部22と第四通信部52はパスワードの登録完了を処理制御部25に送信する。
ステップS31〜S64は、「(C)外部サービスを利用」が許可されているが、外部サービス70が登録されていない場合に実行される。
S31〜S33:処理制御部25は外部サービス認証連携画面を情報処理システム50に要求する。外部サービス認証連携画面の要求は第一通信部22及び第四通信部52を介して画面情報生成部53に送信される。
S34〜S36:画面情報生成部53は外部サービス認証連携画面の画面情報を生成し第一の端末装置20に送信する。外部サービス認証連携画面の画面情報は第一通信部22及び第四通信部52を介して処理制御部25に送信される。
S37:処理制御部25は外部サービス認証連携画面の画面情報を表示制御部23に送信する。
S38:表示制御部23は外部サービス認証連携画面を表示する。外部サービス認証連携画面の一例を図28に示す。
S39:ユーザは認証連携ボタンを押下する。操作受付部24は押下を受け付ける。
S40:操作受付部24は認証連携ボタンが押下された旨を処理制御部25に送出する。
S41〜S43:処理制御部25は外部サービス認証連携処理を情報処理システム50に要求する。外部サービス認証連携処理の要求は第一通信部22及び第四通信部52を介して認証・認可部56に送信される。
S44〜S46:認証・認可部56は外部サービス認証連携処理の要求を受け取ったので、予め既知の外部サービス70の認証連携画面のURLと共に、外部サービス70へのリダイレクトを第一の端末装置20に送信する。外部サービス70の認証連携画面のURLと外部サービス70へのリダイレクト要求は第一通信部22及び第四通信部52を介して処理制御部25に送信される。なお、認証・認可部56はユーザを特定するチケットを第一の端末装置20に送信しておく。
S47〜S50:処理制御部25は外部サービス70の認証連携画面のURLに基づいて、外部サービス70の認証連携画面へリダイレクトする。すなわち、処理制御部25は外部サービス70へリダイレクトし、外部サービス70の認証連携画面の画面情報を取得する。
S51、S52:処理制御部25は外部サービス70の認証連携画面の画面情報を表示制御部23に送信し、表示制御部23は外部サービス70の認証連携画面を表示する。
S53:ユーザは外部サービス70の認証連携画面から外部サービス70の認証連携を有効にする。操作受付部24は操作を受け付ける。一般に、外部サービス70などログインを要求するサイトではアカウント情報をクッキー等で保存しており、ユーザは外部サービス70にアカウント情報を入力する必要がない。このため、ユーザは外部サービスを利用する場合は、外部サービスでログインボタン426を押下するだけでよい。
S54〜S56:操作受付部24はクッキー等で保存してあるアカウント情報と認証要求、チケット及び外部サービス70の認証連携を有効にする旨を、処理制御部25、第一通信部22、及び、第四通信部52を介して外部サービス70に送信する。外部サービス70はユーザを認証し認証が成功すると、ユーザを特定する情報で特定されるユーザについて認証連携を有効にする。
S57、S58:外部サービス70は認証連携を有効にした旨を第一の端末装置20に送信する。
S59〜S61:処理制御部25はチケットと共に認証連携の登録を情報処理システム50に送信する。チケットと認証連携の登録要求は第一通信部22及び第四通信部52を介して認証・認可部56に送信される。
S62〜S64:認証・認可部56はチケットで特定されるユーザについて認証連携を有効して、認証連携を設定した旨(認証連携情報登録完了)を第一の端末装置20に送信する。認証連携情報登録完了は第一通信部22及び第四通信部52を介して処理制御部25に送信される。
S65〜S74の処理は図17のステップS57〜S66と同様でよい。
<パスワード設定画面>
図27は、パスワード設定画面480の一例である。パスワード設定画面480はパスワード設定欄481とパスワード確認欄482を有している。処理制御部25はパスワードの文字数や構成する文字の種類を検証し、パスワード設定欄481とパスワード確認欄482のパスワードが同じ場合、パスワードの設定を受け付ける。
<外部サービス認証連携画面>
図28は、外部サービス認証連携画面490の一例である。外部サービス認証連携画面490は認証連携ボタン491を有している。認証連携ボタン491は、外部サービス70による認証連携を有効にするためのボタンである。
<まとめ>
以上のように、本実施例のコンピュータシステム1は、ブラウザ情報記憶部26に記憶されているログイン方法でログインしたが、テナントのログイン設定で許可されていないログイン方法でユーザがログインした場合、テナントのログイン設定で許可されているログイン方法で必要なアカウント情報を補充することができる。
<その他の適用例>
以上、本発明を実施するための最良の形態について実施例を用いて説明したが、本発明はこうした実施例に何等限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々の変形及び置換を加えることができる。
図5などの構成例は、第一の端末装置20、第二の端末装置30、電子機器10、及び情報処理システム50による処理の理解を容易にするために、主な機能に応じて分割したものである。処理単位の分割の仕方や名称によって本願発明が制限されることはない。第一の端末装置20、第二の端末装置30、電子機器10、及び情報処理システム50の処理は、処理内容に応じて更に多くの処理単位に分割することもできる。また、1つの処理単位が更に多くの処理を含むように分割することもできる。
また、実施例に記載された装置群は、本明細書に開示された実施形態を実施するための複数のコンピューティング環境のうちの1つを示すものにすぎない。ある実施形態では、情報処理システム50は、サーバクラスタといった複数のコンピューティングデバイスを含む。複数のコンピューティングデバイスは、ネットワークや共有メモリなどを含む任意のタイプの通信リンクを介して互いに通信するように構成されており、本明細書に開示された処理を実施する。
更に、情報処理システム50は、開示された処理ステップ、例えば図7,図17、図19、図20、図22,図24〜図26を様々な組み合わせで共有するように構成できる。例えば、所定のユニットによって実行されるプロセスは、情報処理システム50が有する複数の情報処理装置によって実行され得る。また、情報処理システム50は、1つのサーバ装置にまとめられていても良いし、複数の装置に分けられていても良い。
上記で説明した実施形態の各機能は、一又は複数の処理回路によって実現することが可能である。ここで、本明細書における「処理回路」とは、電子回路により実装されるプロセッサのようにソフトウェアによって各機能を実行するようプログラミングされたプロセッサや、上記で説明した各機能を実行するよう設計されたASIC(Application Specific Integrated Circuit)、DSP(Digital Signal Processor)、FPGA(Field Programmable Gate Array)や従来の回路モジュール等のデバイスを含むものとする。
1 コンピュータシステム
10 電子機器
20 第一の端末装置
30 第二の端末装置
50 情報処理システム
特許第6375877号公報

Claims (14)

  1. 複数のログイン方法のいずれかでユーザを認証する情報処理システムと、前記情報処理システムにユーザの認証を要求する端末装置とを有するコンピュータシステムであって、
    前記端末装置は、
    過去に使用されたログイン方法に応じてログイン方法を決定する処理制御部と、
    前記処理制御部が決定したログイン方法に対応するログイン画面を表示する表示制御部と、
    を有することを特徴とするコンピュータシステム。
  2. 前記処理制御部は、過去に使用されたログイン方法を情報記憶部に保存しておき、
    前記情報記憶部に保存されている前記ログイン方法をユーザが使用するログイン方法に決定することを特徴とする請求項1に記載のコンピュータシステム。
  3. 前記ユーザはサービスが提供されるテナントに所属しており、前記テナントには前記テナントが許可する1つ以上のログイン方法が登録されており、
    前記情報処理システムは、前記端末装置から送信されたユーザの識別情報によりユーザが所属するテナントを特定するユーザ情報管理部と、
    前記ユーザ情報管理部が特定した前記テナントが許可する1つ以上のログイン方法を取得するテナント情報管理部と、を有し、
    前記端末装置は、前記ユーザが所属するテナントが許可する1つ以上のログイン方法に対応するログイン画面の画面情報を前記情報処理システムから取得し、
    前記表示制御部は、前記情報処理システムから取得したログイン画面のうち、前記処理制御部が決定したログイン方法に対応するログイン画面を表示することを特徴とする請求項1又は2に記載のコンピュータシステム。
  4. 前記端末装置は、前記ユーザが所属するテナントが許可する1つ以上のログイン方法に対応するログイン画面の画面情報を前記情報処理システムから取得し、
    過去に使用されたログイン方法が前記情報記憶部に保存されていない場合、
    前記表示制御部は、前記情報処理システムから取得したログイン方法に対応するログイン画面を表示することを特徴とする請求項2に記載のコンピュータシステム。
  5. 過去に使用されたログイン方法が前記情報記憶部に保存されておらず、前記情報処理システムから取得したログイン方法が複数ある場合、
    前記表示制御部は、複数のログイン方法でログインが可能なログイン画面を表示することを特徴とする請求項4に記載のコンピュータシステム。
  6. 前記ログイン画面でユーザが使用したログイン方法が、前記情報処理システムから取得したログイン方法に含まれていない場合、
    前記処理制御部は、前記情報記憶部に前記情報処理システムから取得したログイン方法を保存することを特徴とする請求項2に記載のコンピュータシステム。
  7. 前記ログイン画面でユーザが使用したログイン方法が、前記情報処理システムから取得したログイン方法に含まれていない場合、
    前記処理制御部は、ログインしたユーザのログアウトを前記情報処理システムに要求し、
    前記表示制御部は、前記情報記憶部に保存されているログイン方法に対応した前記ログイン画面を表示することを特徴とする請求項6に記載のコンピュータシステム。
  8. 前記ログイン画面でユーザが使用したログイン方法が、前記情報処理システムから取得したログイン方法に含まれている場合、
    前記処理制御部は、前記情報記憶部に前記ユーザが使用したログイン方法を保存することを特徴とする請求項2に記載のコンピュータシステム。
  9. 過去に使用されたログイン方法が前記情報記憶部に保存されていない場合、
    前記処理制御部は、前記ユーザの識別情報を指定して前記ユーザのロールを前記情報処理システムから取得し、
    前記ユーザのロールに応じて前記ログイン画面を決定することを特徴とする請求項4に記載のコンピュータシステム。
  10. 前記ユーザのロールが管理者の場合、
    前記処理制御部は、前記情報記憶部に、情報処理システムにおいて設定可能な全てのログイン方法を保存することを特徴とする請求項9に記載のコンピュータシステム。
  11. 前記ユーザのロールが管理者の場合、
    前記処理制御部は、前記情報処理システムにおいて設定可能な全てのログイン方法をユーザに提供するログイン方法に決定し、
    前記表示制御部は、前記情報処理システムから前記情報処理システムにおいて設定可能な全てのログイン方法でログインが可能なログイン画面を表示することを特徴とする請求項9に記載のコンピュータシステム。
  12. 前記ログイン画面でユーザが使用したログイン方法が、前記情報処理システムから取得したログイン方法に含まれておらず、前記処理制御部が、前記情報記憶部に前記情報処理システムから取得したログイン方法を保存した場合であって、
    前記情報記憶部に保存した前記ログイン方法に必要なアカウント情報が前記情報処理システムに登録されていない場合、
    前記表示制御部は前記ログイン方法に必要な前記アカウント情報の入力を受け付ける画面を表示し、
    前記処理制御部は、前記画面から入力された前記ログイン方法に必要なアカウント情報を前記情報処理システムに登録することを特徴とする請求項6に記載のコンピュータシステム。
  13. 複数のログイン方法のいずれかでユーザを認証する情報処理システムと、前記情報処理システムにユーザの認証を要求する端末装置とを有するコンピュータシステムが行うログイン画面表示方法であって、
    前記端末装置は、
    処理制御部が、過去に使用されたログイン方法に応じてログイン方法を決定するステップと、
    前記処理制御部が決定したログイン方法に対応するログイン画面を表示するステップと、を有することを特徴とするログイン画面表示方法。
  14. 複数のログイン方法のいずれかでユーザを認証する情報処理システムに対し、ユーザの認証を要求する端末装置を、
    過去に使用されたログイン方法に応じてログイン方法を決定する処理制御部と、
    前記処理制御部が決定したログイン方法に対応するログイン画面を表示する表示制御部、
    として機能させるためのプログラム。
JP2019167610A 2019-09-13 2019-09-13 コンピュータシステム、ログイン画面表示方法、プログラム Active JP7322619B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2019167610A JP7322619B2 (ja) 2019-09-13 2019-09-13 コンピュータシステム、ログイン画面表示方法、プログラム
US17/011,237 US11429327B2 (en) 2019-09-13 2020-09-03 Computer system, login screen display method, and storage medium for displaying an appropriate login screen
EP20194855.1A EP3792793B1 (en) 2019-09-13 2020-09-07 Computer system, login screen display method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019167610A JP7322619B2 (ja) 2019-09-13 2019-09-13 コンピュータシステム、ログイン画面表示方法、プログラム

Publications (2)

Publication Number Publication Date
JP2021043902A true JP2021043902A (ja) 2021-03-18
JP7322619B2 JP7322619B2 (ja) 2023-08-08

Family

ID=72428156

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019167610A Active JP7322619B2 (ja) 2019-09-13 2019-09-13 コンピュータシステム、ログイン画面表示方法、プログラム

Country Status (3)

Country Link
US (1) US11429327B2 (ja)
EP (1) EP3792793B1 (ja)
JP (1) JP7322619B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7484455B2 (ja) * 2020-06-09 2024-05-16 株式会社リコー サービス提供システム、アプリ利用方法、情報処理システム
JP7547997B2 (ja) * 2020-12-22 2024-09-10 富士フイルムビジネスイノベーション株式会社 画像形成装置、画像形成プログラム及び連携システム
US20230185893A1 (en) * 2021-12-10 2023-06-15 Konica Minolta Business Solutions U.S.A., Inc. Method and system for secure cloud access via password-less single sign-on (sso) for native marketplace applications on multifunction printers
US12045327B2 (en) * 2022-02-16 2024-07-23 IsltMe LLC Methods and systems for facilitating authenticating of users

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011192115A (ja) * 2010-03-16 2011-09-29 Kyocera Mita Corp 画像形成システムおよびユーザマネージャサーバ装置
JP2016091223A (ja) * 2014-10-31 2016-05-23 株式会社リコー 情報処理システム、情報処理方法、サービス利用装置、及びプログラム
JP2016144186A (ja) * 2015-02-05 2016-08-08 日本電気株式会社 通信情報制御装置、中継システム、通信情報制御方法、および、通信情報制御プログラム
US20160241555A1 (en) * 2015-02-12 2016-08-18 United Services Automobile Association (Usaa) Toggling biometric authentication

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2396037B (en) * 2001-05-29 2005-08-24 Xenobit Corp Method and system for logging into and providing access to a computer system via a communications network
JP2004252862A (ja) * 2003-02-21 2004-09-09 Canon Inc ログイン装置とその制御方法並びにデータ処理装置及び方法
TW200910136A (en) * 2007-08-24 2009-03-01 Inventec Corp Operation system logon method and electronic device using the same
KR20120087310A (ko) * 2011-01-04 2012-08-07 삼성전자주식회사 휴대용 단말기에서 소셜 네트워크 서비스를 제공하기 위한 장치 및 방법
JP6467869B2 (ja) * 2013-11-05 2019-02-13 株式会社リコー 情報処理システム及び情報処理方法
US9769122B2 (en) 2014-08-28 2017-09-19 Facebook, Inc. Anonymous single sign-on to third-party systems
CN104966007A (zh) * 2015-05-28 2015-10-07 深圳市万普拉斯科技有限公司 多用户登录方法和装置
JP6810334B2 (ja) * 2016-06-17 2021-01-06 富士通株式会社 プロファイルデータ配信制御装置、プロファイルデータ配信制御方法およびプロファイルデータ配信制御プログラム
US10970385B2 (en) * 2017-06-04 2021-04-06 Apple Inc. Multiple device credential sharing
JP6984506B2 (ja) 2018-03-16 2021-12-22 株式会社リコー 情報処理システム、情報処理装置及びプログラム
US10698701B1 (en) * 2019-06-01 2020-06-30 Apple Inc. User interface for accessing an account

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011192115A (ja) * 2010-03-16 2011-09-29 Kyocera Mita Corp 画像形成システムおよびユーザマネージャサーバ装置
JP2016091223A (ja) * 2014-10-31 2016-05-23 株式会社リコー 情報処理システム、情報処理方法、サービス利用装置、及びプログラム
JP2016144186A (ja) * 2015-02-05 2016-08-08 日本電気株式会社 通信情報制御装置、中継システム、通信情報制御方法、および、通信情報制御プログラム
US20160241555A1 (en) * 2015-02-12 2016-08-18 United Services Automobile Association (Usaa) Toggling biometric authentication

Also Published As

Publication number Publication date
US11429327B2 (en) 2022-08-30
US20210081154A1 (en) 2021-03-18
JP7322619B2 (ja) 2023-08-08
EP3792793A1 (en) 2021-03-17
EP3792793B1 (en) 2024-05-15

Similar Documents

Publication Publication Date Title
JP7322619B2 (ja) コンピュータシステム、ログイン画面表示方法、プログラム
JP7388285B2 (ja) サービス提供システム、ログイン設定方法、情報処理システム
US20210377277A1 (en) Service providing system, information processing system, and use permission assigning method
US9661184B2 (en) Data processing system and data processing method for authenticating user by utilizing user list obtained from service providing apparatus
US11995173B2 (en) Service providing system, application usage method, and information processing system
JP2023166529A (ja) 1つ以上の情報処理装置、情報処理システム、ロール設定方法
US11606361B2 (en) Cloud system, information processing system, and user registration method
JP7459649B2 (ja) クラウドシステム、情報処理システム、ユーザ登録方法
JP7388222B2 (ja) 情報処理システム、システム、利用制限方法
JP7484484B2 (ja) サービス提供システム、及びグループ管理方法
JP2022172598A (ja) 情報処理システム、情報処理装置、処理実行方法、プログラム
JP7222246B2 (ja) サービスシステム、クラウドサービス、ユーザ登録方法、プログラム
US11330082B2 (en) Information processing system, service providing system, and user creation method
US12034899B2 (en) Image forming apparatus, information processing method, and recording medium
JP7347136B2 (ja) 1つ以上の情報処理装置、情報処理システム、権限付与方法
JP2016174228A (ja) 機器、情報処理システム、情報処理方法、及びプログラム
JP2022127313A (ja) サービス提供システム、情報処理方法、及びプログラム
JP2023078907A (ja) 情報処理システム、情報処理方法、プログラム
JP2021128633A (ja) 情報処理システム、メッセージ通知システム、メッセージ通知方法
JP2019033359A (ja) 情報処理装置、読取装置、プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220721

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230327

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230404

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230530

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230627

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230710

R151 Written notification of patent or utility model registration

Ref document number: 7322619

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151