JP2021196654A - サービス提供システム、アプリ利用方法、情報処理システム - Google Patents

サービス提供システム、アプリ利用方法、情報処理システム Download PDF

Info

Publication number
JP2021196654A
JP2021196654A JP2020100327A JP2020100327A JP2021196654A JP 2021196654 A JP2021196654 A JP 2021196654A JP 2020100327 A JP2020100327 A JP 2020100327A JP 2020100327 A JP2020100327 A JP 2020100327A JP 2021196654 A JP2021196654 A JP 2021196654A
Authority
JP
Japan
Prior art keywords
user
application
tenant
information
information processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2020100327A
Other languages
English (en)
Other versions
JP7484455B2 (ja
Inventor
英樹 大橋
Hideki Ohashi
康治 福田
Koji Fukuda
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2020100327A priority Critical patent/JP7484455B2/ja
Priority to US17/340,319 priority patent/US11995173B2/en
Publication of JP2021196654A publication Critical patent/JP2021196654A/ja
Application granted granted Critical
Publication of JP7484455B2 publication Critical patent/JP7484455B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • G06F21/445Program or device authentication by mutual authentication, e.g. between devices or programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2115Third party
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2117User registration

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Facsimiles In General (AREA)
  • User Interface Of Digital Computer (AREA)

Abstract

【課題】アプリケーションの単位でユーザを管理できるサービス提供システムを提供する。【解決手段】第一のテナントに所属するユーザにアプリケーションの利用権限を付与する情報処理システム50と、情報処理システムと通信する端末装置10、20、30とを有するサービス提供システムであって、情報処理システムは、第一のテナントにおけるユーザの識別情報とアプリケーションの識別情報を指定して、ユーザがアプリケーションを利用できる第二のテナントへの登録の要求を端末装置から受信する通信部52と、アプリケーションを利用できるユーザとして第二のテナントにユーザとアプリケーションを登録するユーザ管理部55と、を有する。【選択図】図6

Description

本発明は、サービス提供システム、アプリ利用方法、及び、情報処理システムに関する。
アプリケーションを使ったサービスをネットワーク経由でユーザに提供する情報処理システムが知られている。ユーザはPC(パーソナルコンピュータ)などの端末装置や電子機器とこれらで動作するWebブラウザなど、一定の環境を用意することで、端末装置や電子機器から情報処理システムがWebアプリなどで提供するサービスを利用することができる。
このような情報処理システムが提供するサービスを、企業などが組織として契約し、組織の所属者等がユーザとしてサービスを利用する場合がある。サービスを契約した組織等は、テナントと呼ばれる単位で管理される。ユーザ(企業等の社員)がサービスを利用するにはテナントに登録される必要があり、例えばテナント管理者がユーザをテナントに登録する場合がある。
テナント単位の管理により、例えば各企業に所属するユーザのリソースへのアクセス範囲を、ユーザが所属する企業内に限らせるなど、セキュリティの管理が容易になる。また、テナント内のユーザの追加・削除・情報更新、及び、サービス(アプリ)のテナントへの登録と利用権限の付与など、テナント管理者がテナントの管理を集中して行える(例えば、特許文献1参照。)。特許文献1には、サービス利用装置に対するサービスの提供の可否を示すライセンスの種別をテナント毎に管理し、第1のユーザの属する第1のテナントのライセンスの種別と第1のユーザの権限とに基づいて、第1のユーザが第2のテナントに関するデータを変更できるかを判断するシステムが開示されている。
しかしながら、従来のサービス提供システムは、アプリケーションの単位でユーザを管理できないという問題があった。
すなわち、従来は、ユーザがアプリケーションの使用を開始する際に利便性が悪い問題があった。例えばユーザがアプリケーションをすぐ使用開始したい場合でも管理のため所属テナントへの利用申請等がユーザに課される、あるいはテナント管理者がテナントにアプリを登録すると、当テナントに所属するアプリに興味のないユーザにもアプリケーションの利用が可能となるよう公開されてしまうといった問題があった。又は、サービスを提供する業務担当者もアプリケーションの利用のために一般ユーザと同等の手続きが必要になる、などの不都合があった。
本発明は、上記課題に鑑み、アプリケーションの単位でユーザを管理できるサービス提供システムを提供することを目的とする。
上記課題に鑑み、本発明は、第一のテナントに所属するユーザにアプリケーションの利用権限を付与する情報処理システムと、前記情報処理システムと通信する端末装置とを有するサービス提供システムであって、前記情報処理システムは、前記第一のテナントにおけるユーザの識別情報と前記アプリケーションの識別情報を指定して、前記ユーザが前記アプリケーションを利用できる第二のテナントへの登録の要求を端末装置から受信する通信部と、前記アプリケーションを利用できるユーザとして前記第二のテナントに前記ユーザと前記アプリケーションを登録するユーザ管理部と、を有することを特徴とする。
アプリケーションの単位でユーザを管理できるサービス提供システムを提供することができる。
組織におけるテナントの構成を模式的に示す図である。 本実施形態のテナントの構成例を示す図である。 サービス提供システムの一例の構成図である。 コンピュータの一例のハードウェア構成図である。 画像形成装置の一例のハードウェア構成図である 第一の端末装置、第二の端末装置、第三の端末装置、電子機器、及び、情報処理システムの機能をブロック状に分けて説明する機能ブロック図の一例である。 認証部の機能を説明する機能ブロック図の一例である。 アプリテナントユーザの登録、及び、アプリの実行の流れを説明するシーケンス図の一例である。 第一の端末装置又は第二の端末装置が表示するログイン画面の一例を示す図である。 電子機器が表示するアプリ一覧画面の一例を示す図である。 電子機器が表示するアプリテナントユーザのログイン画面の一例である。
以下、本発明を実施するための形態の一例として、サービス提供システムとサービス提供システムが行うアプリ利用方法について説明する。
<組織とテナントの関係>
まず、図1を参照して、組織とテナントの関係について説明する。図1は、組織におけるテナントの構成を模式的に示す図である。まず、アプリケーション(以下、アプリという)により提供されるサービスをユーザが使用する場合、ブラウザなどのクライアントアプリを通じて、認証システムによるユーザ認証を受けることが一般的である。サービス提供システムがユーザにアプリを使用する権限があるか否かを判断するためである。認証システムは、予め保存されている認証情報と、認証リクエストに含まれる認証情報を比較してユーザ認証を行う。
認証システムにおけるユーザ管理には、様々なデータモデルが存在する。しかし、図1に示すように、例えば、企業などが業務で使用するユーザ管理の場合、セキュリティを強化できることから、テナント111を企業(組織)単位とすることが多い。この場合、サービス提供システムは各企業(組織)102をテナントという概念で扱う。テナント111には社員などのユーザ(テナント管理者112及び一般ユーザ113)が関連付けられている。なお、メールアドレスのユニーク範囲101は全ての企業(組織)102を含む。
テナント単位の管理方法だと、セキュリティ面で、例えば各企業に所属するユーザのリソースへのアクセス範囲を、少なくともユーザが所属する企業内に限らせることで不正アクセスを防止できるなど有利な点がある。
管理面では、テナント管理者112によるテナント内のユーザの追加・削除・情報更新、ユーザが利用可能なサービス(アプリ)のテナントへの登録、及び、当サービス(アプリ)の利用権限のユーザへの付与などの権限が、テナント管理者112に集中しているため、管理しやすいといえる。
しかしながら、逆の見方をすれば一般ユーザ113は、使用したいアプリがあってもテナント管理者112を通さないとアプリを使用できない。すなわち、ユーザからすると、新たにアプリを使用するために以下の手続きが必要である。
(i) テナント管理者112に連絡し、テナント管理者112が対象のアプリをテナントに登録
(ii) テナント管理者112がアプリの使用ライセンスを購入
(iii) テナント管理者112が一般ユーザ113へ利用権限を割り当て
このように、煩雑な手続きが必要になり、利便性が悪い。
また、テナント管理者112がテナントにアプリを登録すると、当テナントに所属する一般ユーザ113であれば、アプリに興味のない者にもアプリが公開されてしまう。興味のない一般ユーザ113は公開されても使用しなければよいだけだが、アプリを選択して実行する場合には戸惑うおそれがある。アプリの作り方で改善できるが、コスト増となる。
また、アプリの販売者又は開発者などの業務担当者(サービス提供者側の業務担当者)がトライアルアプリなどを無償で気軽に一般ユーザ113に使って頂きたい場合がある。しかし、業務担当者であっても、アプリを一般ユーザ113に使用してもらうために、上記の(i)〜(iii) の手続きが必要になる。また、業務担当者は、当該アプリを使用している一般ユーザ113の管理(ライセンス付与、ユーザ登録・削除など)をすることができない。
<本実施形態のテナント管理方法>
そこで、本実施形態では、テナント単位によるユーザ管理のメリットを維持しつつ、アプリの使用に関して一般ユーザや業務担当者の利便性を向上させる。
図2は、本実施形態のテナントの構成例を示す。本実施形態では、従来のテナント111(以下、組織テナントという。第一のテナントの一例。)に加え、アプリテナント103,104(第二のテナントの一例)が用意される。図2では印刷アプリについて用意されたアプリテナント103とスキャナアプリについて用意されたアプリテナント104が図示されている。アプリテナント103,104には組織テナントと同様に管理者と一般ユーザ(以下、これらを単にアプリテナントユーザという)が所属する。
アプリテナント103,104は業務担当者が作成する。アプリテナント103,104のユーザは、当アプリの提供者、又は、当アプリに興味のある人(主にテナント管理者でよいが一般ユーザでもよい)が想定される。アプリテナントユーザは自信をアプリテナントに登録できる。一方、組織テナントのように、使用できるアプリをテナント管理者が追加登録できず、所属するユーザが使用できるアプリはアプリテナントの作成時に決められている。
アプリテナント103,104のユーザ(管理者、一般ユーザ)のメールアドレス(ログインに使用される)のユニーク範囲は、1つのアプリテナント内に限る。当然ながら、メールアドレスは組織テナント内でもユニークである。つまり、図2のアプリテナント103とアプリテナント104で、アプリテナントユーザは別のアカウントを有する。よって、ある一般ユーザは、ひとつの組織テナントの他、複数のアプリテナントに自身のユーザ登録が可能になる。なお、ユニークとは、同じユーザのメールアドレスがアプリテナント103,104で異なっていることを意味するのでなく、アプリテナント103内で重複しないこと、又は、アプリテナント104内で重複しないことをいう。
一方、アプリテナント103,104は組織テナントと関連付いているため、アプリテナントユーザは組織テナントにログインしないとアプリテナント103,104にログインできない。アプリテナント103,104にログインしたアプリテナントユーザは組織テナントにおける情報を参照できる。したがって、上記の組織テナントにおけるメリットを活かすことができる。
このような構成によれば、一般ユーザや業務担当者がアプリテナント103,104にアプリテナントユーザを登録するので、一般ユーザがアプリの使用を開始したい場合の利便性を向上できる。アプリテナントユーザが使用したいアプリがある場合にアプリテナントにログインすればよく、全てのアプリが一般ユーザに公開されない。業務担当者がアプリテナントを作成できるので、一般ユーザと同等の手続きが不要になる。
<用語について>
テナントとは、複数の顧客で同じソフトウェアを共有する顧客、即ち、顧客の集合である企業等を示す情報のことを意味する。テナントで契約したアプリをテナント内の各ユーザが利用することができ、テナントのテナント管理者等はシステム内に複数存在するソフトウェアインスタンス(アプリや複数のアプリをまとめたパッケージ)の利用権限をユーザに与えることができる。
アプリケーション(アプリ)とは、ユーザがサービスを受けるために端末装置と情報処理装置とが実行するプログラムである。端末装置と情報処理装置が協調して実行するプログラムをWebアプリともいう。アプリは、例えば一連の処理を順番に実行するワークフローアプリの場合がある。アプリは、テナント管理者等がコンポーネントを組み合わせて構築できる。例えば、原稿の読み取りコンポーネント、クラウドへの送信コンポーネント、などを組み合わせて、電子機器40が読み取った原稿をクラウド上のストレージにアップロードして保存するアプリを構築できる。アプリは上記のパッケージとしてライセンスされる場合もある。この場合、アプリパッケージとアプリは同様に扱われる。
<システム構成例>
図3は本実施形態に係るサービス提供システム1の一例の構成図である。図3のサービス提供システム1は、顧客環境8とサービス提供者環境7がインターネットなどのネットワークN1を介して情報処理システム50と接続されている。ネットワークN1には携帯電話網などの電話回線も含まれる。
顧客は情報処理システム50によって提供されるサービスの顧客であって、企業、団体、教育機関、行政機関や部署などの組織が含まれる。これら顧客と何らかの雇用関係にあるものをユーザという。顧客環境8には1台以上の電子機器40と、第一の端末装置10と、第二の端末装置20と、ファイヤウォール16と、がLANなどのネットワークN2を介して接続されている。また、情報処理システム50はネットワークN1に接続されている1台以上の情報処理装置を有する。サービス提供者は顧客にサービスを提供する業者である。サービス提供者環境7には第三の端末装置30が存在する。
電子機器40は、例えば画像形成装置40aであるが、画像形成装置40aにはレーザプリンタ、複合機(マルチファンクションプリンタ)、MFP(Multi−function Peripheral/Product/Printer)なども含まれる。また、電子機器40としては電子黒板40bも挙げられる。この他、電子機器40は、例えば、PJ(Projector:プロジェクタ)、デジタルサイネージ等の出力装置、HUD(Head Up Display)装置、産業機械、撮像装置、集音装置、医療機器、ネットワーク家電、自動車(Connected Car)、ノートPC、携帯電話、スマートフォン、タブレット端末、ゲーム機、PDA(Personal Digital Assistant)、デジタルカメラ、ウェアラブルPC又はデスクトップPC等であってもよい。
本実施形態の電子機器40は、情報処理システム50に登録されたユーザがサービスを利用する端末となる。ユーザは、電子機器40から情報処理システム50にログインして、ユーザに利用権限が認められているアプリ(例えばWebアプリ)を選択して、情報処理システム50が提供するサービスを受ける。このように、サービスはアプリ単位で提供される。
第一の端末装置10は、テナント管理者が利用するスマートフォンや携帯電話、タブレットPC、デスクトップPC、ノートPC、等の情報処理装置である。第一の端末装置10には、Webブラウザなどの画面表示機能を有するプログラムが搭載されている。このプログラムは情報処理装置から受信した画面情報を画面として表示する機能を有していればよくWebブラウザに限られない。情報処理システム50に専用のプログラムでもよい。
第二の端末装置20は、一般ユーザが利用するスマートフォンや携帯電話、タブレットPC、デスクトップPC、ノートPC、等の情報処理装置である。第二の端末装置20には、Webブラウザなどの画面表示機能を有するプログラムが搭載されている。このプログラムは情報処理装置から受信した画面情報を画面として表示する機能を有していればよくWebブラウザに限られない。情報処理システム50に専用のプログラムでもよい。
第三の端末装置30は、業務担当者が利用するスマートフォンや携帯電話、タブレットPC、デスクトップPC、ノートPC、等の情報処理装置である。第三の端末装置30には、Webブラウザなどの画面表示機能を有するプログラムが搭載されている。このプログラムは情報処理装置から受信した画面情報を画面として表示する機能を有していればよくWebブラウザに限られない。情報処理システム50に専用のプログラムでもよい。
ファイヤウォール16は顧客環境8への外部からの侵入を防ぐための装置であり、顧客環境8からの全ての通信はファイヤウォール16により監視される。ただし、第一の端末装置10、第二の端末装置20又は第三の端末装置30が携帯電話網などの電話回線を介して情報処理システム50と通信する場合はこの限りでない。
情報処理システム50は、アプリの使用を介して各種のサービスを電子機器40及び第二の端末装置20等に提供する。サービスは電子機器40の種類によって様々であるが、画像形成装置40aの場合は、読み取った原稿をクラウド上のストレージにアップロードして保存するサービス、クラウド上のストレージの画像データをダウンロードして印刷するサービスなどがあるが、これらに限られない。電子黒板40bの場合は、例えばリアルタイムに音声認識して議事録の作成するサービス、手書きデータをテキスト化するサービスなどがある。第二の端末装置20の場合は、例えばWebページのリアルタイム翻訳サービスなどがある。
情報処理システム50では、テナントとユーザが対応づけられている。ユーザのロールに応じて使用できるサービス(アプリ)が決まっており、ユーザは自分が使用できるアプリを電子機器40や第二の端末装置20から使用する。また、テナント、テナント管理者及びユーザには以下のような関係がある。
・1顧客→1テナント(テナント管理者とユーザが1つのテナントに所属する)
・1顧客→複数テナント(テナント管理者はテナントに所属するとは限らず、各テナントと所属するユーザを管理する。ユーザは1つ以上のテナントに所属する)
いずれの場合も情報処理システム50に登録されたユーザはいずれかのテナントに所属するので、登録後はユーザが特定されれば所属するテナントも特定される。1顧客→1テナントの場合、テナント管理者はテナントにログインすればテナントも自動的に定まる(テナントを指定しなくてよい)。1顧客→複数テナントの場合、テナント管理者がログイン時にテナントを指定するとよい(又はテナントごとに異なるアカウントを持っている)。
情報処理システム50は、第一の端末装置10、第二の端末装置20、第三の端末装置30、又は、電子機器40に表示させるWebページの画面情報を作成し、これらに送信する。例えば、後述する、ユーザ情報登録画面、及び、ログイン画面等を表示させる。
画面情報は、HTML、XML、CSS(Cascade Style Sheet)、及びJavaScript(登録商標)等により作成される。WebページはWebアプリにより提供されてよい。Webアプリとは、Webブラウザ上で動作するプログラミング言語(たとえばJavaScript(登録商標))によるプログラムとWebサーバ側のプログラムが協調することによって動作し、Webブラウザ上で実行されるソフトウェア又はその仕組みを言う。WebアプリによりWebページを動的に変更できる。
なお、情報処理システム50は、クラウドコンピューティングに対応していてよい。クラウドコンピューティングとは、特定ハードウェア資源が意識されずにネットワーク上のリソースが利用される利用形態をいう。クラウドコンピューティングに対応した情報処理システム50をクラウドシステムという場合がある。クラウドシステムはインターネット上にあってもオンプレミスにあってもよい。
また、図3に示すサービス提供システム1の構成は一例であって、顧客環境と、情報処理装置との間に1つ以上のサーバ装置(プロキシサーバやゲートウェイサーバなど)が介在していてもよい。また、第一の端末装置10と第二の端末装置20は、顧客環境以外にあってもよく、例えばネットワークN1に接続されていてもよい。第三の端末装置30は、サービス提供者環境以外にあってもよく、例えばネットワークN1に接続されていてもよい。
情報処理システム50は、1台の情報処理装置49で実現してもよいし、複数台の情報処理装置49に分散して実現してもよい。例えば、サービスごとにこれを提供する情報処理装置49が存在してもよいし、1台の情報処理装置49が複数のサービスを提供してもよいし、複数の情報処理装置49で1つのサービスを提供してもよい。
また、図3のサービス提供システム1は情報処理装置が顧客環境の外側のインターネットなどのネットワークN1に接続されている。言い換えれば図3のサービス提供システム1は、情報処理システム50がクラウド環境に備えられた例である。しかし、情報処理システム50は顧客環境の内側(オンプレミス環境)に備えられていてもよい。
<ハードウェア構成例>
<<コンピュータ>>
図3の第一の端末装置10、第二の端末装置20、第三の端末装置30、又は、情報処理システム50は例えば図4に示すハードウェア構成のコンピュータにより実現される。図4はコンピュータの一例のハードウェア構成図である。図4のコンピュータ500はコンピュータによって構築されており、図4に示されているように、CPU501、ROM502、RAM503、HD504、HDDコントローラ505(Hard Disk Drive)、ディスプレイ506、外部機器接続I/F508(Interface)、ネットワークI/F509、バスライン510、キーボード511、ポインティングデバイス512、DVD−RWドライブ514(Digital Versatile Disk Rewritable)、メディアI/F516を備えている。
これらのうち、CPU501は、コンピュータ全体の動作を制御する。ROM502は、IPL等のCPU501の駆動に用いられるプログラムを記憶する。RAM503は、CPU501のワークエリアとして使用される。HD504は、プログラム等の各種データを記憶する。HDDコントローラ505は、CPU501の制御にしたがってHD504に対する各種データの読み出し又は書き込みを制御する。ディスプレイ506は、カーソル、メニュー、ウィンドウ、文字、又は画像などの各種情報を表示する。外部機器接続I/F508は、各種の外部機器を接続するためのインターフェースである。この場合の外部機器は、例えば、USB(Universal Serial Bus)メモリやプリンタ等である。ネットワークI/F509は、通信ネットワーク100を利用してデータ通信をするためのインターフェースである。バスライン510は、図4に示されているCPU501等の各構成要素を電気的に接続するためのアドレスバスやデータバス等である。
また、キーボード511は、文字、数値、各種指示などの入力のための複数のキーを備えた入力手段の一種である。ポインティングデバイス512は、各種指示の選択や実行、処理対象の選択、カーソルの移動などを行う入力手段の一種である。DVD−RWドライブ514は、着脱可能な記録媒体の一例としてのDVD−RW513に対する各種データの読み出し又は書き込みを制御する。なお、DVD−RWに限らず、DVD−R等であってもよい。メディアI/F516は、フラッシュメモリ等の記録メディア515に対するデータの読み出し又は書き込み(記憶)を制御する。
<<画像形成装置>>
図5は、画像形成装置40aの一例のハードウェア構成図である。図5に示されているように、画像形成装置40aは、コントローラ910、近距離通信回路920、エンジン制御部930、操作パネル940、ネットワークI/F950を備えている。
これらのうち、コントローラ910は、コンピュータの主要部であるCPU901、システムメモリ902(MEM−P)、ノースブリッジ903(NB)、サウスブリッジ904(SB)、ASIC906(Application Specific Integrated Circuit)、記憶部であるローカルメモリ907(MEM−C)、HDDコントローラ908、及び、記憶部であるHD909を有し、NB903とASIC906との間をAGPバス921(Accelerated Graphics Port)で接続した構成となっている。
これらのうち、CPU901は、画像形成装置40aの全体制御を行う制御部である。NB903は、CPU901と、MEM−P902、SB904、及びAGPバス921とを接続するためのブリッジであり、MEM−P902に対する読み書きなどを制御するメモリコントローラと、PCI(Peripheral Component Interconnect)マスタ及びAGPターゲットとを有する。
MEM−P902は、コントローラ910の各機能を実現させるプログラムやデータの格納用メモリであるROM902a、プログラムやデータの展開、及びメモリ印刷時の描画用メモリなどとして用いるRAM902bとからなる。なお、RAM902bに記憶されているプログラムは、インストール可能な形式又は実行可能な形式のファイルでCD−ROM、CD−R、DVD等のコンピュータで読み取り可能な記録媒体に記録して提供するように構成してもよい。
SB904は、NB903とPCIデバイス、周辺デバイスとを接続するためのブリッジである。ASIC906は、画像処理用のハードウェア要素を有する画像処理用途向けのIC(Integrated Circuit)であり、AGPバス921、PCIバス922、HDDコントローラ908及びMEM−C907をそれぞれ接続するブリッジの役割を有する。このASIC906は、PCIターゲット及びAGPマスタ、ASIC906の中核をなすアービタ(ARB)、MEM−C907を制御するメモリコントローラ、ハードウェアロジックなどにより画像データの回転などを行う複数のDMAC(Direct Memory Access Controller)、並びに、スキャナ部931及びプリンタ部932との間でPCIバス922を介したデータ転送を行うPCIユニットとからなる。なお、ASIC906には、USB(Universal Serial Bus)のインターフェースや、IEEE1394(Institute of Electrical and Electronics Engineers 1394)のインターフェースを接続するようにしてもよい。
MEM−C907は、コピー用画像バッファ及び符号バッファとして用いるローカルメモリである。HD909は、画像データの蓄積、印刷時に用いるフォントデータの蓄積、フォームの蓄積を行うためのストレージである。HD909は、CPU901の制御にしたがってHD909に対するデータの読出又は書込を制御する。AGPバス921は、グラフィック処理を高速化するために提案されたグラフィックスアクセラレータカード用のバスインタフェースであり、MEM−P902に高スループットで直接アクセスすることにより、グラフィックスアクセラレータカードを高速にすることができる。
また、近距離通信回路920には、近距離通信回路アンテナ920aが備わっている。近距離通信回路920は、NFC、Bluetooth(登録商標)等の通信回路である。
更に、エンジン制御部930は、スキャナ部931及びプリンタ部932によって構成されている。また、操作パネル940は、現在の設定値や選択画面等を表示させ、操作者からの入力を受け付けるタッチパネル等のパネル表示部940a、並びに、濃度の設定条件などの画像形成に関する条件の設定値を受け付けるテンキー及びコピー開始指示を受け付けるスタートキー等からなるハードキー940bを備えている。コントローラ910は、画像形成装置40a全体の制御を行い、例えば、描画、通信、操作パネル940からの入力等を制御する。スキャナ部931又はプリンタ部932には、誤差拡散やガンマ変換などの画像処理部分が含まれている。
なお、画像形成装置40aは、操作パネル940のアプリケーション切り替えキーにより、ドキュメントボックス機能、コピー機能、プリンタ機能、及びファクシミリ機能を順次に切り替えて選択することが可能となる。ドキュメントボックス機能の選択時にはドキュメントボックスモードとなり、コピー機能の選択時にはコピーモードとなり、プリンタ機能の選択時にはプリンタモードとなり、ファクシミリモードの選択時にはファクシミリモードとなる。
また、ネットワークI/F950は、通信ネットワーク100を利用してデータ通信をするためのインターフェースである。近距離通信回路920及びネットワークI/F950は、PCIバス922を介して、ASIC906に電気的に接続されている。
<機能について>
本実施形態に係るサービス提供システム1が有する各装置の機能は例えば図6に示す処理ブロックにより実現される。図6は、第一の端末装置10、第二の端末装置20、第三の端末装置30、電子機器40、及び、情報処理システム50の機能をブロック状に分けて説明する機能ブロック図の一例である。
<<第一の端末装置>>
第一の端末装置10は第一通信部12、表示制御部13、及び、操作受付部14を有している。第一の端末装置10はプログラム(例えばWebブラウザ11)を実行することで、図6に示すような機能ブロックを実現する。
第一通信部12は情報処理システム50と通信して、ユーザ情報登録画面等を第一の端末装置10が表示するための画面情報を受信する。また、テナント管理者がユーザ情報登録画面に入力した情報を情報処理システム50に送信する。
表示制御部13は情報処理システム50から受信した画面の画面情報を解析してディスプレイ506に例えばユーザ情報登録画面等を表示する。操作受付部14は第一の端末装置10に対するテナント管理者の操作(各画面への入力)を受け付ける。
<<第二の端末装置>>
第二の端末装置20は第二通信部22、表示制御部23、及び、操作受付部24を有している。第二の端末装置20はプログラム(例えばWebブラウザ21)を実行することで、図6に示すような機能ブロックを実現する。
第二通信部22は情報処理システム50と通信して、ログイン画面やアプリテナントユーザ登録画面等を第二の端末装置20が表示するための画面情報を受信する。また、ユーザがログイン画面やアプリテナントユーザ登録画面に入力した情報を情報処理システム50に送信する。
表示制御部23は情報処理システム50から受信した画面の画面情報を解析してディスプレイ506に例えばログイン画面やアプリテナントユーザ登録画面を表示する。操作受付部24は第二の端末装置20に対するユーザの操作を受け付ける。
<<第三の端末装置>>
第三の端末装置30は第三通信部32、表示制御部33、及び、操作受付部34を有している。第三の端末装置30はプログラム(例えばWebブラウザ31)を実行することで、図6に示すような機能ブロックを実現する。
第三通信部32は情報処理システム50と通信して、アプリテナントユーザ登録画面等を第三の端末装置30が表示するための画面情報を受信する。また、業務担当者がアプリテナントユーザ登録画面に入力した情報を情報処理システム50に送信する。
表示制御部33は情報処理システム50から受信した画面の画面情報を解析してディスプレイ506に例えばアプリテナントユーザ登録画面を表示する。操作受付部24は第三の端末装置30に対する業務担当者の操作を受け付ける。
<<電子機器>>
電子機器40は第四通信部42、表示制御部43、及び、操作受付部44を有している。電子機器40はプログラム(例えばWebブラウザ41)を実行することで、図6に示すような機能ブロックを実現する。
第四通信部42は情報処理システム50と通信して、待ち受け画面、ランチャー画面、アプリ一覧画面、ログイン画面、及び、アプリ画面等を電子機器40が表示するための画面情報を受信する。また、ユーザが待ち受け画面、ランチャー画面、アプリ一覧画面、ログイン画面、及び、アプリ画面に入力した情報を情報処理システム50に送信する。
表示制御部43は情報処理システム50から受信した画面の画面情報を解析して操作パネル940に例えば待ち受け画面、ランチャー画面、アプリ一覧画面、ログイン画面、及び、アプリ画面を表示する。操作受付部44は電子機器40に対するユーザの操作(例えば、ランチャーの起動、認証情報の入力、アプリの選択、アプリに対する操作等)を受け付ける。
<<情報処理システム>>
情報処理システム50は、第五通信部52、認証部54、ユーザ管理部55、アプリ管理部56、テナント管理部57、及び、契約管理部58を有している。情報処理システム50が有するこれらの機能は、図4に示したコンピュータ500が有するCPU501が、HD504からRAM503に展開されたプログラムを実行することで実現される機能又は手段である。
また、図6では作図の都合で情報処理システム50が各機能を有する構成となっているが、各機能が複数の情報処理装置に分散して配置されてもよい。
第五通信部52は、第一の端末装置10、第二の端末装置20、第三の端末装置30及び電子機器40と各種の情報を送受信する。例えば、ユーザ情報登録画面の画面情報を第一の端末装置10に送信し、ログイン画面やアプリテナントユーザ登録画面の画面情報を第二の端末装置20に送信し、アプリテナントユーザ登録画面等の画面情報を第三の端末装置30に送信し、待ち受け画面、ランチャー画面、アプリ一覧画面、ログイン画面、及び、アプリ画面の画面情報を電子機器40に送信する。また、これらの画面で入力された情報を受信する。
認証部54は、業務担当者、テナント管理者及び一般ユーザ(アプリテナントユーザを含む)を認証して認証が成功するか失敗するかを判断する。認証とは認証要求した者が正当な権限者か否かを判断することをいう。本実施例の場合は、情報処理システム50を使用する権限があるかどうかであり、更に、業務担当者、ユーザ又はテナント管理者かも判断できるようになっている。なお、認証の成功とは、業務担当者、ユーザ又はテナント管理者が情報処理システム50にログインを許可することをいう。ログインとは、コンピュータやインターネット上の様々なサービスを利用する際に、予め登録しておいた認証情報を用いてシステムのリソースにアクセスする認証行為をいう。認証情報は、ユーザIDとパスワード、ICカードの番号、又は、生体認証情報などである。
ユーザ管理部55は、ユーザ情報を管理しており、後述するユーザ情報記憶部592へのユーザ情報の登録、及び、ユーザ情報記憶部592からのユーザ情報の取得(読み取り)などを行う。
アプリ管理部56は、各アプリを管理したり、ユーザごとにアプリのデフォルト設定を管理したり、このデフォルト設定をアプリに反映させたりする。
テナント管理部57は、テナントに関するテナント情報を管理し、テナント情報記憶部594へのテナント情報の保存と取得を行う。
契約管理部58は、アプリの契約を受け付け、ライセンス情報記憶部596にライセンス情報を登録する。また、ライセンスの数や期限等を管理する。
また、情報処理システム50は、図4に示したHD504、RAM503等により実現される記憶部59を有している。記憶部59には、ユーザ情報記憶部592、アプリ情報記憶部593、テナント情報記憶部594、ライセンス情報記憶部596、及び、アプリテナントユーザ情報記憶部597が構築されている。
Figure 2021196654
表1はユーザ情報記憶部592に記憶されているユーザ情報を模式的に示す。ユーザ情報はテナントIDに対応づけられている。つまり、テナントに所属するユーザの数だけユーザ情報が存在する。ユーザ情報記憶部592のユーザにはテナント管理者も含まれる点に注意されたい。ユーザ情報はテナント管理者が情報処理システム50に接続して登録する。
ユーザ情報は、テナントID、ユーザID、パスワード、性、名、メールアドレス、表示言語(ロケール)、アカウントの状態、ロール、アプリ利用権限、アプリテナント権限、及び、アプリ設定の各項目を有している。
・テナントID…ユーザが所属するテナントの識別情報である。
・ユーザID…ユーザの識別情報である。
・パスワード…ユーザであることを証明する秘匿情報である。
・姓…ユーザの名字である。
・名…ユーザの名前である。
・メールアドレス…ユーザのメールアドレスである。
・表示言語(ロケール)…ユーザが使用する画面で表示される文字の言語である。
・アカウントの状態…アカウントはユーザが情報処理システム50にログインするための権利のことである。アカウントの状態には「有効、無効又はアカウントロック」の少なくとも3つがある。ユーザ情報が仮登録されると無効となり、本登録により有効となる。有効となった後もテナント管理者が無効に設定できる。アカウントロックは、有効な状態でユーザがパスワードを何回か間違えた場合に設定される。アカウントロックは、例えば、一定期間の経過で有効に戻る点、又は、テナントに所属するユーザとしてカウントされたままである点で無効と異なる。
・ロール…ユーザの権限である。例えば「テナント管理者又は一般ユーザ」がある。本実施形態ではテナント管理者及び一般ユーザをユーザと称している。
・アプリ利用権限…このユーザが利用可能なアプリのリストである。ユーザに利用権限が割り当てられたアプリのリストを有している。
・アプリテナント権限…アプリテナントの設定に関するユーザの権限である。例えば、ユーザがアプリテナントに自分を登録できるか否か、及び、アプリ利用のためにライセンス購入を行えるか否か等が設定される。
・アプリ設定…アプリごとにユーザのデフォルトの設定が登録されている。ユーザは設定をし直さなくても自分がよく使う設定でアプリを実行できる。
Figure 2021196654
表2はアプリ情報記憶部593に記憶されているアプリ情報を模式的に示す。アプリ情報はテナントIDに対応づけて、アプリIDとロールの項目を有している。アプリ情報は業務担当者がサービスの契約状況に応じて登録する。サービスの契約によって自動的に登録されてもよい。各アプリはアプリパッケージ(よく一緒に使用される複数のアプリ)に属する場合も属さない場合もある。
・テナントID…アプリが販売されたテナントの識別情報である。
・アプリID…アプリの識別情報である。
・ロール…アプリを使用できる権限である。例えば「テナント管理者又は一般ユーザ」がある。
Figure 2021196654
表3はテナント情報記憶部594に記憶されているテナント情報を模式的に示す。テナント情報はテナントIDに対応づけて、テナント名と登録日の項目を有している。
・テナントID…テナントの識別情報である。
・テナント名…テナントの名称であり、社名や部署名である。
・登録日…テナントの登録日である。
Figure 2021196654
表4はライセンス情報記憶部596に記憶されているライセンス情報を模式的に示す。ライセンス情報はライセンス名、ライセンス種別、及び、ライセンス数の各項目を有している。
・ライセンス名…購入されたライセンスの名前である。ライセンスを識別する機能を有していてよい。ライセンス名によりアプリと関連付けられている。
・ライセンス種別…契約がユーザ単位か、電子機器単位かが登録される。トライアルプランか正式プランかが登録されているとよい。
・ライセンス数…ライセンスの数量(アプリを使用できるユーザの人数、電子機器の台数、又は、その両方)である。
Figure 2021196654
表5はアプリテナントユーザ情報記憶部597に記憶されているアプリテナントユーザ情報を模式的に示す。
・ユーザID…アプリテナントに所属するユーザの識別情報である。
・アプリID…アプリテナントに所属するアプリの識別情報である。1つのアプリテナントに複数のアプリが登録されてもよい。
・アプリ名…アプリテナントに所属するアプリの名称である。
<認証部の機能>
次に、図7を用いて、認証部54の機能について説明する。図7は認証部54の機能を説明する機能ブロック図の一例である。認証部54は、認証モード判断部61、組織テナントユーザ認証部62、アプリ認証部63、アプリテナントユーザ認証部64、及び、認証チケット発行部65を有している。
認証モード判断部61は、第一の端末装置10、第二の端末装置20又は第三の端末装置30からの認証リクエストに対し、組織テナントへの認証リクエストかアプリテナントえの認証リクエストか判断する。例えば、以下のように 認証リクエストに、アプリID(app_id) が含まれていたら、アプリテナントユーザの認証であると判断する。
{ app_id: "cloud_print_webapp", user_id: "User0001", password: "password"}
以下のように含まれていなければ、組織テナントユーザとして認証を行う。
{ user_id: "User0001", password: "password"}
認証対象のユーザが組織テナントユーザである場合、組織テナントユーザ認証部62は、ユーザ情報記憶部592の認証情報に基づいて組織テナントユーザを認証する。
認証対象のユーザがアプリテナントユーザである場合、アプリ認証部63は、リクエストのコンテンツのapp_idに基づいてアプリテナントユーザ情報記憶部597を参照してログイン対象のアプリテナントを判断する。
アプリテナントユーザ認証部64は、ログイン対象のアプリテナントに登録されているユーザIDでユーザ情報記憶部592を検索し、該ユーザの認証情報を取得する。そして、端末装置から送信されたパスワード等と比較し、アプリテナントユーザの認証が成功か失敗かを判断する。
認証チケット発行部65は、認証成功の場合に認証チケットを発行する。組織テナントユーザと認証された場合、組織テナントのリソースにアクセスできる認証チケットが発行される。アプリテナントユーザとして認証された場合、アプリの使用に関する権限しかない認証チケットが発行される。例えば、組織テナントの認証チケットでは、ユーザ情報記憶部592などの設定変更が可能だが、アプリテナントの認証チケットでは情報の参照しか許可されない。また、組織テナントの認証チケットでは、ログインしたユーザに利用権限がある全てのアプリをユーザが使用できるが、アプリテナントの認証チケットではログインしたアプリテナントに所属するアプリしか使用できない。このように、組織テナントのユーザか、アプリテナントのユーザかに応じて、異なる認証チケットが付与される。
<シーケンス図>
図8は、アプリテナントユーザの登録、及び、アプリの実行の流れを説明するシーケンス図の一例である。
S1:第三の端末装置30の表示制御部33は業務担当者の操作に応じて、組織テナントユーザの登録画面を表示する。業務担当者は、組織テナントユーザに関する情報を第三の端末装置30に入力する。第三の端末装置30の操作受付部34は入力を受け付ける。
S2:第三の端末装置30の第三通信部32は登録先のテナントIDを指定してユーザの登録要求を情報処理システム50に送信する。
S3:情報処理システム50の第五通信部52はユーザの登録要求を受信し、ユーザ管理部55がユーザ情報記憶部592にユーザ情報を登録する。
S4:また、ユーザ管理部55はユーザのアプリテナントに関する設定を行う。例えば、登録したユーザが自由にアプリテナントに自分を登録できる設定にするか、アプリ利用のためにライセンス購入を自由に行える設定にするか、等を設定する。
S5:次に、一般ユーザがアプリテナントに自身を登録する。組織テナントに登録された一般ユーザは組織テナントにログインする操作を第二の端末装置20に入力する。すなわち、メールアドレスとパスワード、又は、テナントID、ユーザID及びパスワードを入力する。第二の端末装置20の操作受付部24は入力を受け付ける。ログイン画面の一例を図9に示す。
S6:第二の端末装置20の第二通信部22は認証情報を指定して組織テナントユーザの認証リクエストを情報処理システム50に送信する。
S7:情報処理システム50の第五通信部52は認証リクエストを受信する。まず、認証モード判断部61は認証リクエストにアプリIDが含まれるか否かなどに応じて認証モードを判断する。図9のログイン画面にはアプリIDが含まれないので、組織テナントへのユーザ認証であると判断されたものとする。このため、組織テナントユーザ認証部62はユーザ情報記憶部592からメールアドレスとパスワード、又は、テナントID、ユーザID及びパスワードを取得する。
S8:組織テナントユーザ認証部62は取得した認証情報と一般ユーザが入力した認証情報を比較して一致する場合には認証成功と判断する。一致しない場合は認証失敗と判断する。
S9:認証成功した場合、ユーザが特定され、第五通信部52は認証チケットを第二の端末装置20に送信する。この認証チケットは組織テナントのユーザ(テナントID、ユーザID)であること、アプリテナントに登録できるか否か、及び、該ユーザのロールや使用できるアプリと関連付けられている。認証チケットはWebブラウザが参照できる記憶領域に保存される。
一方、業務担当者が作成したアプリテナントに関する情報は組織テナント内の全てのユーザ又は指定したユーザに電子メールやチャットアプリで送信される。組織テナント内の一般ユーザは自分が使用したいアプリがあるとアプリテナントに自分を登録する。
S10:一般ユーザは自身をアプリテナントに登録するため、アプリIDを指定してアプリテナントユーザを登録する操作を第二の端末装置20に入力する。アプリIDは業務担当者からアプリテナント作成済みの旨と共に送信される。例えば、アプリテナント作成済みの旨にアプリテナントの登録URLとアプリIDがリンクされている。一般ユーザが登録URLを押下すると、第二の端末装置20の操作受付部24は操作を受け付ける。アプリテナントユーザの登録には、組織テナントユーザのユーザ情報(ユーザ情報記憶部592のユーザ情報)が使用される。
S11:第二通信部22はアプリID、メールアドレス(一般ユーザが入力するか認証チケットに含まれる)、及び、認証チケットを指定してユーザ情報取得を情報処理システム50に要求する。
S12:情報処理システム50の第五通信部52はユーザ情報の取得要求を受信し、ユーザ管理部55がメールアドレスに対応づけられているユーザ情報をユーザ情報記憶部592から取得する。
S13:第五通信部52はユーザ情報を第二の端末装置20に送信する。
S14,S15:第二の端末装置20の第二通信部22はユーザ情報を受信し、表示制御部23が確認画面を生成して表示する。例えば「同一のメールアドレスを持つ以下のユーザが登録されています。このユーザとして登録しますか?」というメッセージを表示する。また、ユーザID、姓名、ロケール、タイムゾーン、状態、ロールなども表示できる。一般ユーザはこれらを見てアプリテナントユーザに登録するかどうかを判断できる。
なお、アプリテナントへのユーザ登録を明示的に一般ユーザが行うのでなく、アプリAに直接アクセスしようとしたら、ユーザ登録の画面に転送される流れでもよい。
また、アプリテナントに一般ユーザを登録する人はテナント管理者でもよい。本実施形態では一般ユーザがアプリテナントに自由に登録できることが特徴の1つである。しかし、一般ユーザは、組織テナントのユーザであることが好ましい。これは、アプリテナントも組織テナントの管理容易性などのメリットを得られるからである。
ただし、組織テナントにアカウントがなくてもアプリテナントにユーザ登録できるようにしてもよい。
S16:一般ユーザは自身をアプリテナントに登録するためOKボタンを押下する。第二の端末装置20の操作受付部24は押下を受け付ける。
S17:第二の端末装置20の第二通信部22はアプリIDとメールアドレスを指定してユーザ登録を情報処理システム50に要求する。
S18:情報処理システム50の第五通信部52はユーザ登録の要求を受信し、ユーザ管理部55はアプリIDとメールアドレスをアプリテナントユーザ情報記憶部597に登録する。メールアドレスはユーザIDに相当する。なお、ユーザ管理部55はユーザ情報記憶部592のアプリテナント権限のユーザ登録がYesの場合に、アプリIDとメールアドレスをアプリテナントユーザ情報記憶部597に登録する。
以上のようにして、アプリテナントに登録されたアプリテナントユーザはテナントアプリに所属するアプリを実行できる。
S19:アプリテナントに登録されたアプリテナントユーザは電子機器40を操作して、アプリテナントに所属するアプリ一覧画面を表示する。アプリテナントユーザは使用したい所望のアプリを選択し、ログイン画面にアプリテナントの認証情報を入力する。例えば、アプリID、ユーザID及びパスワード(組織テナントのユーザID、パスワードでよい)を入力する。アプリIDはアプリ一覧画面から選択されたアプリに関連付けられている。操作受付部44は入力を受け付け、第四通信部42が認証リクエストを情報処理システム50に送信する。情報処理システム50の第五通信部52は認証リクエストを受信する。アプリ一覧画面の一例を図10に、ログイン画面の一例を図11に示す。
S20:認証モード判断部61は認証リクエストにアプリIDが含まれているため、アプリテナントへの認証リクエストであると判断する。また、アプリ認証部63はアプリテナントユーザ情報記憶部597をアプリIDで参照し、アプリを特定する。このアプリはステップS23の認証チケットと対応づけられる。
S21:アプリテナントユーザ認証部64はユーザIDでユーザ情報記憶部592を検索し、ユーザIDとパスワードを取得する。
S22:アプリテナントユーザ認証部64は取得したパスワードとユーザID、及び、アプリテナントユーザが入力したユーザIDとパスワードを比較して一致する場合には認証成功と判断する。一致しない場合は認証失敗と判断する。このように、ユーザの識別情報で特定される組織テナントにおける認証情報に基づいて、アプリケーションを実行できるユーザか否かが認証される。
S23:認証成功した場合、ユーザが特定され、第五通信部52は認証チケットを第二の端末装置20に送信する。この認証チケットは、ユーザがログインしたテナントアプリに所属するアプリAを使用する権限があることを示す。なお、この認証チケットの発行に際して、組織テナントが該当するアプリのライセンスを保持していることが確認されるとよい。
ユーザが組織テナントにログインした場合、テナント管理者がユーザに利用権限を許可したアプリ(ユーザ情報記憶部592のアプリ利用権限)を利用可能になる。
S24:アプリテナントユーザは電子機器40を操作してアプリAを実行する操作を入力する。操作受付部44は入力を受け付ける。第四通信部42は認証チケットを指定して情報処理システム50にアプリAの実行を要求する。
S25:情報処理システム50の第五通信部52はアプリAの実行要求を受信し、アプリ管理部56は認証チケットがアプリAの実行を許可しているので、アプリAの実行を許可する。アプリ管理部56はユーザIDで特定されるユーザのアプリ設定をユーザ情報記憶部592から取得し、アプリ管理部56はアプリ設定が行われたアプリAのアプリ画面を第二の端末装置20に送信する。以上で、アプリテナントユーザがアプリAを使用できる。
このように、一般ユーザ自身が使用したいアプリテナントに自分を登録できるので、ユーザがアプリの使用を開始したい場合の利便性を向上できる。アプリテナントユーザがアプリを実行できるので、テナント管理者がテナントにアプリを登録した場合のようにアプリに興味のないユーザはアプリの存在を意識しないでよい。業務担当者がアプリテナントを登録できるので、一般ユーザと同等の手続きが必要ない。
<画面例>
図9は、第一の端末装置10又は第二の端末装置20が表示するログイン画面の一例である。図9(a)と図9(b)では入力される認証情報が異なっている。
図9(a)のログイン画面330は、テナントID欄331、ユーザID欄332、パスワード欄333、及び、ログインボタン334を有している。テナント管理者又は一般ユーザはテナントID欄331にテナントIDを入力し、ユーザID欄332にユーザIDを入力し、パスワード欄333に自分のパスワードを入力する。これらが認証情報の一例である。ユーザがログインボタン334を押下すると認証要求が情報処理システム50に送信される。
図9(b)のログイン画面330は、メールアドレス欄336、パスワード欄333、及び、ログインボタン334を有している。テナント管理者又は一般ユーザはメールアドレス欄336にメールアドレスを入力し、パスワード欄333に自分のパスワードを入力する。これらが認証情報の一例である。図9(b)でテナントIDが不要なのは、メールアドレスはテナントに関係なく一意だからである。ユーザがログインボタン334を押下すると認証要求が情報処理システム50に送信される。
<<アプリの使用時>>
図10は電子機器40が表示するアプリ一覧画面440の一例を示す図である。このアプリ一覧画面440には、各アプリテナントが有するアプリのリストがまとめて表示される(アプリテナントのリストでもある)。例えば、使用してみたいアプリを探す一般ユーザやテナント管理者、又は、業務担当者に勧められたテナント管理者(アプリテナントに自身を登録したアプリテナントユーザ、又は、業務管理者がアプリテナントに登録したアプリテナントユーザ)は例えば所定の操作でアプリ一覧画面440を表示させる。ユーザが使用したいアプリを選択すると、アプリテナントのログイン画面が表示される。
図11は、電子機器40が表示するアプリテナントユーザのログイン画面340の一例である。図11のログイン画面340は、アプリ名欄341、ユーザID欄342、パスワード欄343、及び、ログインボタン344を有している。
アプリテナントにアプリテナントユーザがログインする場合、認証情報にアプリ名又はアプリIDが含まれている必要がある。ユーザがアプリ一覧画面440でアプリを選択すると、選択されたアプリのアプリ名がアプリ名欄341に表示された状態でログイン画面340が表示される。ユーザがユーザID欄342に組織テナントのメールアドレスを入力し、パスワード欄343に組織テナントのパスワードを入力すれば、アプリテナントにログインしてアプリを実行できる。
ユーザがアプリ名を知っている場合は、アプリ一覧画面440を経ずにログイン画面340からアプリを実行してよい。
なお、認証失敗した場合、認証部54はアプリテナントにユーザを登録するための画面を電子機器40に表示させるとよい。
<主な効果>
以上説明したように、本実施形態のサービス提供システムは、一般ユーザや業務担当者がアプリテナントにアプリテナントユーザを登録するので、一般ユーザがアプリの使用を開始したい場合の利便性を向上できる。アプリテナントユーザが使用したいアプリがある場合にアプリテナントにログインすればよく、全てのアプリが一般ユーザに公開されることがない。業務担当者がアプリテナントを作成できるので、一般ユーザと同等の手続きが不要になる。
<その他の適用例>
以上、本発明を実施するための最良の形態について実施例を用いて説明したが、本発明はこうした実施例に何等限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々の変形及び置換を加えることができる。
例えば、本実施形態では各端末装置が汎用的なWebブラウザを使用しているが、情報処理システム50に専用のアプリを使用してもよい。
また、図5などの構成例は、第一の端末装置10、第二の端末装置20、第三の端末装置30、電子機器40、及び情報処理システム50による処理の理解を容易にするために、主な機能に応じて分割したものである。処理単位の分割の仕方や名称によって本願発明が制限されることはない。第一の端末装置10、第二の端末装置20、第三の端末装置30、電子機器40、及び情報処理システム50の処理は、処理内容に応じて更に多くの処理単位に分割することもできる。また、1つの処理単位が更に多くの処理を含むように分割することもできる。
また、実施例に記載された装置群は、本明細書に開示された実施形態を実施するための複数のコンピューティング環境のうちの1つを示すものにすぎない。ある実施形態では、情報処理システム50は、サーバクラスタといった複数のコンピューティングデバイスを含む。複数のコンピューティングデバイスは、ネットワークや共有メモリなどを含む任意のタイプの通信リンクを介して互いに通信するように構成されており、本明細書に開示された処理を実施する。
更に、情報処理システム50は、開示された処理ステップ、例えば図7等のシーケンス図を様々な組み合わせで共有するように構成できる。例えば、所定のユニットによって実行されるプロセスは、情報処理システム50が有する複数の情報処理装置によって実行され得る。また、情報処理システム50は、1つのサーバ装置にまとめられていても良いし、複数の装置に分けられていても良い。
上記で説明した実施形態の各機能は、一又は複数の処理回路によって実現することが可能である。ここで、本明細書における「処理回路」とは、電子回路により実装されるプロセッサのようにソフトウェアによって各機能を実行するようプログラミングされたプロセッサや、上記で説明した各機能を実行するよう設計されたASIC(Application Specific Integrated Circuit)、DSP(Digital Signal Processor)、FPGA(Field Programmable Gate Array)や従来の回路モジュール等のデバイスを含むものとする。
1 サービス提供システム
10 電子機器
20 第一の端末装置
30 第二の端末装置
40 第三の端末装置
50 情報処理システム
特開2018‐156128号公報

Claims (8)

  1. 第一のテナントに所属するユーザにアプリケーションの利用権限を付与する情報処理システムと、前記情報処理システムと通信する端末装置とを有するサービス提供システムであって、
    前記情報処理システムは、
    前記第一のテナントにおけるユーザの識別情報と前記アプリケーションの識別情報を指定した、前記ユーザが前記アプリケーションを利用できる第二のテナントへの登録の要求を端末装置から受信する通信部と、
    前記アプリケーションを利用できるユーザとして前記第二のテナントに前記ユーザと前記アプリケーションを登録するユーザ管理部と、
    を有することを特徴とするサービス提供システム。
  2. 前記端末装置は、
    前記ユーザの認証成功で特定された前記ユーザに関する情報を表示し、
    前記第二のテナントへ登録する操作に応じて、前記ユーザの認証成功で特定された前記ユーザの識別情報を前記アプリケーションの識別情報と共に前記情報処理システムに送信する請求項1に記載のサービス提供システム。
  3. 前記情報処理システムと通信できる電子機器を有し、
    前記電子機器は、
    前記情報処理システムから受信した、それぞれの前記第二のテナントに登録された前記アプリケーションのアプリ一覧画面を表示する表示制御部と、
    前記アプリ一覧画面の前記アプリケーションの選択を受け付ける操作受付部と、を有し、
    前記情報処理システムは、
    前記電子機器から前記アプリケーションの識別情報、前記ユーザの識別情報及び認証情報を指定して認証リクエストを受信した場合、前記ユーザの識別情報で特定される前記第一のテナントにおける認証情報に基づいて、前記アプリケーションを実行できるユーザか否かを認証する認証部を有することを特徴とする請求項1又は2に記載のサービス提供システム。
  4. 前記認証部は、前記認証リクエストに前記アプリケーションの識別情報が含まれている場合、前記アプリケーションを実行できる前記第二のテナントのユーザであるか否かを認証し、
    前記認証リクエストに前記アプリケーションの識別情報が含まれていない場合、前記第一のテナントのユーザであるか否かを認証し、
    前記第一のテナントのユーザか、前記第二のテナントのユーザかに応じて、異なる認証チケットを付与することを特徴とする請求項3に記載のサービス提供システム。
  5. 前記第一のテナントにおけるユーザ情報記憶部には、前記アプリケーションのデフォルトの設定が登録されており、
    前記情報処理システムは、
    前記第二のテナントのユーザであるか否かの認証が成功した場合、前記デフォルトの設定を行った前記アプリケーションの画面を前記電子機器に送信することを特徴とする請求項3又は4に記載のサービス提供システム。
  6. 前記第一のテナントにおけるユーザ情報記憶部には、前記ユーザが前記第二のテナントに前記ユーザと前記アプリケーションを登録する権限を有するか否かが登録されており、
    前記ユーザ管理部は、前記権限がある場合に、前記ユーザと前記アプリケーションを前記第二のテナントに登録することを特徴とする請求項1〜5のいずれか1項に記載のサービス提供システム。
  7. 第一のテナントに所属するユーザにアプリケーションの利用権限を付与する情報処理システムと、前記情報処理システムと通信する端末装置とを有するサービス提供システムのアプリ利用方法であって、
    前記情報処理システムは、前記第一のテナントにおけるユーザの識別情報と前記アプリケーションの識別情報を指定した、前記ユーザが前記アプリケーションを利用できる第二のテナントへの登録の要求を端末装置から受信するステップと、
    前記アプリケーションを利用できるユーザとして前記第二のテナントに前記ユーザと前記アプリケーションを登録するステップと、
    を有することを特徴とするアプリ利用方法。
  8. 第一のテナントに所属するユーザにアプリケーションの利用権限を付与する情報処理システムであって、
    前記第一のテナントにおけるユーザの識別情報と前記アプリケーションの識別情報を指定した、前記ユーザが前記アプリケーションを利用できる第二のテナントへの登録の要求を端末装置から受信する通信部と、
    前記アプリケーションを利用できるユーザとして前記第二のテナントに前記ユーザと前記アプリケーションを登録するユーザ管理部と、
    を有することを特徴とする情報処理システム。
JP2020100327A 2020-06-09 2020-06-09 サービス提供システム、アプリ利用方法、情報処理システム Active JP7484455B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2020100327A JP7484455B2 (ja) 2020-06-09 2020-06-09 サービス提供システム、アプリ利用方法、情報処理システム
US17/340,319 US11995173B2 (en) 2020-06-09 2021-06-07 Service providing system, application usage method, and information processing system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020100327A JP7484455B2 (ja) 2020-06-09 2020-06-09 サービス提供システム、アプリ利用方法、情報処理システム

Publications (2)

Publication Number Publication Date
JP2021196654A true JP2021196654A (ja) 2021-12-27
JP7484455B2 JP7484455B2 (ja) 2024-05-16

Family

ID=78817606

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020100327A Active JP7484455B2 (ja) 2020-06-09 2020-06-09 サービス提供システム、アプリ利用方法、情報処理システム

Country Status (2)

Country Link
US (1) US11995173B2 (ja)
JP (1) JP7484455B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024089488A1 (en) * 2022-10-24 2024-05-02 Ricoh Company, Ltd. Management apparatus, management system, management method, and recording medium

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010170208A (ja) 2009-01-20 2010-08-05 Toshiba Corp 権限管理システム
JP5413068B2 (ja) 2009-09-08 2014-02-12 株式会社リコー 情報処理装置、情報処理方法、情報処理プログラム
JP6056384B2 (ja) 2012-10-31 2017-01-11 株式会社リコー システム及びサービス提供装置
JP6048152B2 (ja) 2013-01-10 2016-12-21 株式会社リコー 認証管理装置、認証システム、認証管理方法およびプログラム
JP2015109015A (ja) 2013-12-05 2015-06-11 株式会社日立製作所 接続先解決システムおよび接続先解決方法
JP6390123B2 (ja) 2014-03-11 2018-09-19 株式会社リコー 情報処理システム及び認証情報提供方法
JP6459398B2 (ja) 2014-10-30 2019-01-30 株式会社リコー 情報処理システム、情報処理装置、アクセス制御方法及びプログラム
JP6372311B2 (ja) 2014-10-30 2018-08-15 株式会社リコー 情報処理システム、電子機器、サービス認可方法及びプログラム
JP6380009B2 (ja) 2014-10-31 2018-08-29 株式会社リコー 情報処理システム、認証方法、および情報処理装置
JP6476760B2 (ja) * 2014-10-31 2019-03-06 株式会社リコー 情報処理システム、情報処理装置、ログイン方法、及びプログラム
JP6443007B2 (ja) 2014-11-27 2018-12-26 富士ゼロックス株式会社 情報処理装置及び情報処理プログラム
JP2017033339A (ja) * 2015-08-03 2017-02-09 株式会社リコー サービス提供システム、情報処理装置、プログラム及びサービス利用情報作成方法
US10243924B2 (en) 2015-08-18 2019-03-26 Ricoh Company, Ltd. Service providing system, service providing method, and information processing apparatus
JP6582740B2 (ja) 2015-08-26 2019-10-02 株式会社リコー 情報処理システム、サーバ装置、及びプログラム
US10291620B2 (en) 2015-11-25 2019-05-14 Ricoh Company, Ltd. Information processing apparatus, terminal apparatus, program, and information processing system for collaborative use of authentication information between shared services
US10769268B2 (en) 2016-11-01 2020-09-08 Ricoh Company, Ltd. Information processing device, information processing system, and information processing method
JP6938953B2 (ja) 2017-02-23 2021-09-22 株式会社リコー アプリケーション提供システム、及びユーザ管理方法
JP6907619B2 (ja) 2017-03-15 2021-07-21 株式会社リコー 情報処理システム、情報処理方法、及び情報処理装置
JP2019036245A (ja) 2017-08-21 2019-03-07 富士ゼロックス株式会社 情報処理装置
EP3709197A1 (en) 2019-03-13 2020-09-16 Ricoh Company, Ltd. Information processing system, server, carrier medium, and method for controlling assignment of license
JP7322619B2 (ja) * 2019-09-13 2023-08-08 株式会社リコー コンピュータシステム、ログイン画面表示方法、プログラム
JP2021189675A (ja) * 2020-05-28 2021-12-13 株式会社リコー サービス提供システム、情報処理システム、利用権限割当方法

Also Published As

Publication number Publication date
US20210382981A1 (en) 2021-12-09
US11995173B2 (en) 2024-05-28
JP7484455B2 (ja) 2024-05-16

Similar Documents

Publication Publication Date Title
JP7322619B2 (ja) コンピュータシステム、ログイン画面表示方法、プログラム
US20210377277A1 (en) Service providing system, information processing system, and use permission assigning method
JP7388285B2 (ja) サービス提供システム、ログイン設定方法、情報処理システム
JP2023166529A (ja) 1つ以上の情報処理装置、情報処理システム、ロール設定方法
US11995173B2 (en) Service providing system, application usage method, and information processing system
JP7388222B2 (ja) 情報処理システム、システム、利用制限方法
JP7459649B2 (ja) クラウドシステム、情報処理システム、ユーザ登録方法
US11606361B2 (en) Cloud system, information processing system, and user registration method
JP7484484B2 (ja) サービス提供システム、及びグループ管理方法
JP7222246B2 (ja) サービスシステム、クラウドサービス、ユーザ登録方法、プログラム
JP6927277B2 (ja) プログラム及び情報処理装置
JP7456217B2 (ja) 情報処理システム、ユーザー作成方法
JP7347136B2 (ja) 1つ以上の情報処理装置、情報処理システム、権限付与方法
JP7443918B2 (ja) サービス提供システム、利用権限割当方法、情報処理システム
JP7443923B2 (ja) サービス提供システム、サービス提供方法、情報処理システム
JP2022172598A (ja) 情報処理システム、情報処理装置、処理実行方法、プログラム
JP2021128633A (ja) 情報処理システム、メッセージ通知システム、メッセージ通知方法
JP2015026288A (ja) サービス提供システム、サービス提供方法及びプログラム
JP2015100072A (ja) 処理システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230412

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20231227

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240123

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240319

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240402

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240415

R150 Certificate of patent or registration of utility model

Ref document number: 7484455

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150