JP4476025B2 - 画像形成装置 - Google Patents

画像形成装置 Download PDF

Info

Publication number
JP4476025B2
JP4476025B2 JP2004162240A JP2004162240A JP4476025B2 JP 4476025 B2 JP4476025 B2 JP 4476025B2 JP 2004162240 A JP2004162240 A JP 2004162240A JP 2004162240 A JP2004162240 A JP 2004162240A JP 4476025 B2 JP4476025 B2 JP 4476025B2
Authority
JP
Japan
Prior art keywords
web service
authentication
ticket
service use
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004162240A
Other languages
English (en)
Other versions
JP2005018749A (ja
Inventor
博靖 黒瀬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2004162240A priority Critical patent/JP4476025B2/ja
Priority to US10/859,958 priority patent/US7562217B2/en
Publication of JP2005018749A publication Critical patent/JP2005018749A/ja
Application granted granted Critical
Publication of JP4476025B2 publication Critical patent/JP4476025B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

本発明は、Webサービス提供方法、Webサービス提供プログラム、記録媒体及びWebサービス提供装置に関する。
オープンネットワークの認証システムとして、Kerberos(ケルベロス)が一般的に知られている(例えば、非特許文献1参照。)。
以下、第三者機関による認証の基本概念を、図1を用いて説明する。
図1は、第三者機関による認証の基本概念を説明するための図である。
Kerberosで採用された「信頼のおける第三者機関による認証」の基本的な枠組は、クライアントがあるサービスを利用したい場合、クライアントはKDC(Key Distribution Center)にサービスを利用するためのチケットを要求して(図1の(1))、チケットを手に入れ(図1の(2))、KDCから授かったサービスを受けるためのチケットをサーバに提出し(図1の(3))、サービスを受ける。
しかしながら、このようなモデルでは、クライアントが秘密鍵をキャッシュすることになり、該秘密鍵が漏洩し易くなり、セキュリティの面において問題があった。
この問題に対して取り入れられたのが、TGT(Ticket Granting Ticket)である。
以下、第三者機関による安全な認証の基本概念を、図2を用いて説明する。
図2は、第三者機関による安全な認証の基本概念を説明するための図である。
クライアントは認証サーバ(Authentication Server)に要求して(図2の(1))、認証サーバからTGTを取得し(図2の(2))、次に、クライアントはそのTGTをTGS(Ticket Granting Server)に提出して(図2の(3))、目的のサービスを利用するためのチケット(サーバ使用許可証)を取得し(図2の(4))、最後に、クライアントはこのチケット(サーバ使用許可証)を目的のサービスへ提出してサービスを利用する。
この際、Kerberosシステムでは、KDCがASとしての役割と、TGSとしての役割との2つの役割を果たしている。
図2に示すような認証の方法を取ることによって、Kerberosシステムは、上記問題を解決し、よりセキュアな認証を提供することができる。
技術評論社第2編集部編「ファイアウォール&ネットワークセキュリティ実戦テクニック−すべてのPC UNIX(登録商標)ユーザとサイト管理者に贈る最強セキュリティガイド Software Design Security Issue」技術評論社出版、2000年11月、3.7オープンネットワークのための認証システムKerberos
しかしながら、上記従来の認証方法においては、利用の許可を必要とするWebサービスが追加される度に、認証に係るサービスを提供するKDCに、前記Webサービスに係る情報(例えば、証明情報等)を設定する必要があった。
複数のWebサービスを提供する場合、上述したような設定の必要性は、効率の面において問題があった。
本発明は、上記の点に鑑みなされたもので、簡単且つ効率的に認証サービス及び/又はWebサービスを提供することを目的とする。
そこで、上記課題を解決するため、本発明は、プリンタとスキャナの少なくとも一つを含むハードウエアリソースと、オペレーティングシステムと、前記オペレーティングシステムで動作可能であり画像形成処理に関係するサービスを提供する複数のアプリケーションプログラムと、前記オペレーティングシステムで動作可能であり前記複数のアプリケーションプログラムの一つから処理要求を受信し該受信した処理要求に基づきハードウエアリソースを制御するコントロールプログラムと、を有する画像形成装置であって、クライアントから、Webサービス提供装置により提供され、該クライアントが利用するWebサービスを識別するためのWebサービス識別子とともに、該Webサービスの利用の許可に係るWebサービス利用許可情報取得の要求を取得する取得部と、前記要求に応じて、前記Webサービス利用許可情報を作成するWebサービス利用許可情報作成と、作成した該Webサービス利用許可情報と、該Webサービス利用許可情報により利用を許可するWebサービスの前記Webサービス識別情報とを関連付けて管理する管理部と、前記Webサービス提供装置から、該Webサービス提供装置の提供するWebサービスのWebサービス識別情報を含むWebサービス利用許可情報の解読要求を受信する解読要求受信部と、前記解読要求に応じて、該Webサービス利用許可情報を解読する解読を有し、前記解読部は、前記Webサービス提供装置からのWebサービス利用許可情報に含まれるWebサービス識別情報と、前記管理段階において前記Webサービス利用許可情報と関連付けて管理されているWebサービス識別情報とを比較して、有効なWebサービス利用許可情報であるか否かを判定する判定部を含むことを特徴とする。
本発明によればプリンタとスキャナの少なくとも一つを含むハードウエアリソースと、オペレーティングシステムと、前記オペレーティングシステムで動作可能であり画像形成処理に関係するサービスを提供する複数のアプリケーションプログラムと、前記オペレーティングシステムで動作可能であり前記複数のアプリケーションプログラムの一つから処理要求を受信し該受信した処理要求に基づきハードウエアリソースを制御するコントロールプログラムと、を有する画像形成装置であって、クライアントから、Webサービス提供装置により提供され、該クライアントが利用するWebサービスを識別するためのWebサービス識別子とともに、該Webサービスの利用の許可に係るWebサービス利用許可情報取得の要求を取得する取得部と、前記要求に応じて、前記Webサービス利用許可情報を作成するWebサービス利用許可情報作成部と、作成した該Webサービス利用許可情報と、該Webサービス利用許可情報により利用を許可するWebサービスの前記Webサービス識別情報とを関連付けて管理する管理部と、前記Webサービス提供装置から、該Webサービス提供装置の提供するWebサービスのWebサービス識別情報を含むWebサービス利用許可情報の解読要求を受信する解読要求受信部と、前記解読要求に応じて、該Webサービス利用許可情報を解読する解読部とを有し、前記解読部は、前記Webサービス提供装置からのWebサービス利用許可情報に含まれるWebサービス識別情報と、前記管理段階において前記Webサービス利用許可情報と関連付けて管理されているWebサービス識別情報とを比較して、有効なWebサービス利用許可情報であるか否かを判定する判定部を含むことにより、簡単且つ効率的に認証サービス及び/又はWebサービスを提供することができる。
なお、特許請求の範囲に記載のWebサービス利用許可情報は、例えば後述するWebサービス利用チケットID又はWebサービス利用チケット又はWebサービス利用チケットの一部等に対応する。また、特許請求の範囲に記載のセッションは、例えば後述するセッションID又はセッション又はセッションの一部等に対応する。また、特許請求の範囲に記載のセッションに係る情報は、例えば後述するセッションID又はセッション又はセッションの一部等に対応する。
また、上記問題を解決するため、本発明は、Webサービス提供プログラム、記録媒体及びWebサービス提供装置としてもよい。
本発明によれば、簡単且つ効率的に認証サービス及び/又はWebサービスを提供することができる。
以下、本発明の実施の形態について図面に基づいて説明する。
図3は、認証サービス提供サーバの一例のハードウェア構成図である。
図3に示される認証サービス提供サーバ1のハードウェア構成は、それぞれバスBで相互に接続されている入力装置11と、表示装置12と、ドライブ装置13と、ROM(Read Only Memory)15と、RAM(Random Access Memory)16と、CPU(Central Processing Unit)17と、インターフェース装置18と、HDD(Hard Disk Drive)19とから構成されている。
入力装置11は、認証サービス提供サーバ1の利用者が操作するキーボード及びマウス等で構成され、認証サービス提供サーバ1に各種操作信号を入力するのに用いられる。
表示装置12は、認証サービス提供サーバ1の利用者が利用するディスプレイ等で構成され、各種情報を表示する。
インターフェース装置18は、認証サービス提供サーバ1をネットワーク等に接続するインターフェースである。
後述する認証サービス30に対応するアプリケーションプログラムや、認証サービス提供サーバ1の全体の処理を制御するメインプログラム等は、例えば、CD−ROM等の記録媒体14によって認証サービス提供サーバ1に提供されるか、ネットワークを通じてダウンロードされる。記録媒体14は、ドライブ装置13にセットされ、前記アプリケーションプログラムや前記メインプログラム等が記録媒体14からドライブ装置13を介してHDD19にインストールされる。
ROM15は、データ等を格納する。RAM16は、認証サービス提供サーバ1の起動時にHDD19から前記アプリケーションプログラムや前記メインプログラム等を読み出して格納する。CPU17は、RAM16に読み出され、格納された前記アプリケーションプログラムや前記メインプログラム等に従って処理を実行する。
HDD19は、プログラム以外に、例えば、後述する認証チケット50、Webサービス利用チケット60、ユーザ情報、グループ情報等を格納する。
以下、Webサービス提供サーバ2の一例のハードウェア構成を、図4を用いて説明する。
図4は、Webサービス提供サーバの一例のハードウェア構成図である。
図4に示されるWebサービス提供サーバ2のハードウェア構成は、それぞれバスBで相互に接続されている入力装置21と、表示装置22と、ドライブ装置23と、ROM(Read Only Memory)25と、RAM(Random Access Memory)26と、CPU(Central Processing Unit)27と、インターフェース装置28と、HDD(Hard Disk Drive)29とから構成されている。
入力装置21は、Webサービス提供サーバ2の利用者が操作するキーボード及びマウス等で構成され、Webサービス提供サーバ2に各種操作信号を入力するのに用いられる。
表示装置22は、Webサービス提供サーバ2の利用者が利用するディスプレイ等で構成され、各種情報を表示する。
インターフェース装置28は、Webサービス提供サーバ2をネットワーク等に接続するインターフェースである。
後述するディレクトリサービス40に対応するアプリケーションプログラムや、Webサービス提供サーバ2の全体の処理を制御するメインプログラム等は、例えば、CD−ROM等の記録媒体24によってWebサービス提供サーバ2に提供されるか、ネットワークを通じてダウンロードされる。記録媒体24は、ドライブ装置23にセットされ、前記アプリケーションプログラムや前記メインプログラム等が記録媒体24からドライブ装置23を介してHDD29にインストールされる。
ROM25は、データ等を格納する。RAM26は、Webサービス提供サーバ2の起動時にHDD29から前記アプリケーションプログラムや前記メインプログラム等を読み出して格納する。CPU27は、RAM26に読み出され、格納された前記アプリケーションプログラムや前記メインプログラム等に従って処理を実行する。
HDD29は、プログラム以外に、例えば、後述するセッション70及び/又はディレクトリサービス40を利用するときに必要となる認証に係るサービスを提供する認証サービス30のURLやディレクトリサービス40を利用するときに必要となるディレクトリサービス40を識別するrepositoryService等の文字列等を格納する。
上述したように、本発明の実施の形態においては、後述する認証サービス30は、認証サービス提供サーバ1に実装され、後述するディレクトリサービス40は、Webサービス提供サーバ2に実装されているものとして説明を行う。なお、認証サービス30及びディレクトリサービス40は同じサーバ等に実装されていてもよい。
以下、本発明における認証サービス提供方法及び/又はWebサービス提供方法の一例を、図5を用いて説明する。
図5は、認証サービス提供方法及び/又はWebサービス提供方法を説明するためのシーケンス図(その1)である。
図5に示されるように、Webサービス提供サーバ2が提供するWebサービスを利用するクライアント3は、クライアント3のユーザを認証する認証チケット50の取得リクエストを作成し、認証サービス30に送信する(図5のシーケンスSQ1。)。
なお、認証チケット取得リクエストの詳細は、後述する図8を用いて説明する。
認証サービス30は、クライアント3からの認証チケット取得リクエストに含まれるユーザ名、パスワード等を基に認証を行い、認証チケット50を作成し、該認証チケット50のID(認証チケットID)を含む認証チケット取得レスポンスを作成し、クライアント3に送信する(図5のシーケンスSQ2。)。
なお、認証チケット取得レスポンスの詳細は、後述する図9を用いて説明する。
クライアント3は、認証チケット取得レスポンスを受信すると、前記認証チケットIDを含む、Webサービス提供サーバ2が提供するWebサービス(例えば、ディレクトリサービス40)の利用を許可するWebサービス利用チケット60の取得リクエストを、認証サービス30に送信する(図5のシーケンスSQ3。)。
なお、Webサービス利用チケット取得リクエストの詳細は、後述する図14を用いて説明する。例えば、クライアント3は、利用したいWebサービス(例えば、ディレクトリサービス40)が要求する該Webサービスを識別する識別情報等を、Webサービス利用チケット取得リクエストに含め、認証サービス30に送信する。
認証サービス30は、Webサービス利用チケット取得リクエストに含まれる認証チケットIDを基に、対応する有効な認証チケット50が存在するかどうか等を判定し、対応する有効な認証チケット50が存在すると判定すると、前記Webサービス利用チケット取得リクエストに対応するWebサービス利用チケット60を作成し、該Webサービス利用チケット60のID(Webサービス利用チケットID)を含むWebサービス利用チケット取得レスポンスを作成し、クライアント3に送信する(図5のシーケンスSQ4。)。
例えば、認証サービス30は、Webサービス利用チケット取得リクエストに、Webサービスを識別する識別情報等が含まれていた場合、該Webサービスを識別する識別情報を含むWebサービス利用チケット60を作成し、該Webサービス利用チケット60のID(Webサービス利用チケットID)を含むWebサービス利用チケット取得レスポンスを作成し、クライアント3に送信する。
なお、Webサービス利用チケット取得レスポンスの詳細は、後述する図15を用いて説明する。ここで、クライアント3は、例えば認証チケット50の有効期限が有効な間は、シーケンスSQ2において受信した認証チケット取得レスポンスに含まれる認証チケットIDを用いて、該認証チケットIDを含むWebサービス利用チケット取得リクエストを、認証サービス30に送信することができる。認証サービス30は、Webサービス利用チケット取得リクエストに含まれる認証チケットIDを基に、対応する有効な認証チケット50が存在するかどうか等を判定し、対応する有効な認証チケット50が存在すると判定すると、前記Webサービス利用チケット取得リクエストに対応するWebサービス利用チケット60を作成し、Webサービス利用チケットIDを含むWebサービス利用チケット取得レスポンスを作成し、クライアント3に送信する。このように認証チケット50を繰り返し利用することによって、クライアント3は、一度認証がされれば、該認証が有効な間は、再び認証を行わなくても、使用したいWebサービスに対応するWebサービス利用チケット60(又はWebサービス利用チケットID)を取得することができる。
クライアント3は、Webサービス利用チケット取得レスポンスを受信すると、前記Webサービス利用チケットIDを含む、ディレクトリサービス40とのセッションの開始リクエストを、ディレクトリサービス40に送信する(図5のシーケンスSQ5。)。
なお、セッション開始リクエストの詳細は、後述する図19及び/又は図20を用いて説明する。
ディレクトリサービス40は、セッション開始リクエストに含まれるWebサービス利用チケットIDを基に、該Webサービス利用チケットIDと当該ディレクトリサービス40を識別する識別情報とを含むWebサービス利用チケット60の解読リクエストを作成し、認証サービス30に送信する(図5のシーケンスSQ6。)。
なお、Webサービス利用チケット解読リクエストの詳細は、後述する図21を用いて説明する。
認証サービス30は、Webサービス利用チケット解読リクエストに含まれるWebサービス利用チケットID及び/又はディレクトリサービス40を識別する識別情報を基に、有効なWebサービス利用チケット60かどうかを判定し、例えば、該判定の結果(解読結果)や、認証チケット50及び/又はWebサービス利用チケット60の内容を含むWebサービス利用チケット解読レスポンスを作成し、ディレクトリサービス40に送信する(図5のシーケンスSQ7。)。
なお、Webサービス利用チケット解読レスポンスの詳細は、後述する図22を用いて説明する。
ディレクトリサービス40は、Webサービス利用チケット解読レスポンスに含まれる前記判定の結果を基に、セッション70を作成し、該セッション70のIDを含むセッション開始レスポンスをクライアント3に送信する(図5のシーケンスSQ8。)。
なお、セッション開始レスポンスの詳細は、後述する図23を用いて説明する。
クライアント3は、セッション開始レスポンスを受信すると、セッションIDを含むディレクトリサービス40の利用リクエストを作成し、ディレクトリサービス40に送信する(図5のシーケンスSQ9。)。
なお、ディレクトリサービス利用リクエストの詳細は、後述する図27を用いて説明する。
ディレクトリサービス40は、ディレクトリサービス利用リクエストに含まれるセッションIDを基に、有効なセッションIDかどうかを判定し、有効なセッションIDであると判定するとディレクトリサービス利用リクエストに応じて処理を行い、該ディレクトリサービス利用リクエストに対応するディレクトリサービス利用レスポンスを作成し、クライアント3に送信する(図5のシーケンスSQ10。)。
なお、ディレクトリサービス利用レスポンスの詳細は、後述する図28を用いて説明する。
図5のシーケンスSQ6に示すように、本発明における認証サービス提供方法及び/又はWebサービス提供方法においては、クライアント3からのリクエストに含まれるWebサービス利用チケットIDが有効なWebサービス利用チケットIDかどうかを、Webサービス(例えば、ディレクトリサービス40)が、認証サービス30に問い合わせる。
また、図5のシーケンスSQ7に示したように、該問い合わせを受けた認証サービス30は、該Webサービス利用チケットIDが有効なWebサービス利用チケットIDかどうかの判定を行い、その結果を要求元のWebサービス(例えば、ディレクトリサービス40)に返す。
このような認証の方法にすることによって、例えば、認証サービス30は、Webサービス提供サーバ2に新たなWebサービスが追加された場合も、当該認証サービス30に新たな設定等をする必要なく、認証チケット50及び/又はWebサービス利用チケット60を管理しておくことによって、認証サービス及び/又はWebサービスを提供することができる。
以下、認証サービス30の一例の機能構成を、図6を用いて説明する。
図6は、認証サービスの一例の機能構成図である。
図6に示されるように、認証サービス30は、認証振り分け部31と、チケット管理部32と、認証プロバイダA33と、認証プロバイダB34と、SOAP(Simple Object Access Protocol)スタブ35とを含む。
SOAPスタブ35は、クライアント3及び/又はWebサービス提供サーバ2との間でSOAPによる通信を実現するためのモジュールである。
認証振り分け部31は、クライアント3及び/又はWebサービス提供サーバ2に対して、各種認証プロバイダに対する共通のインターフェースを提供するモジュールである。認証振り分け部31は、例えば、プロバイダ名に応じて認証を行う認証プロバイダを呼び出す。
認証プロバイダA33及び認証プロバイダB34等は、「認証プロバイダ」と呼ばれるモジュールである。ここで、認証プロバイダとは、様々な認証エンジンを認証サービス30に組み込むためのアダプタ、又は仲介者のような役割を果たすものである。なお、認証エンジンとは、ここでは実際にパスワードの照合等の認証処理を行うシステムをいう。
即ち、個々の認証エンジンは、それぞれ独自のインターフェース(プロトコル)を有している。一方、それぞれの認証エンジンにおける認証機能をWebサービスとしてクライアント3に提供するには認証振り分け部31との間で規定される所定のインターフェースに従う必要がある。かかる個々の認証エンジンによる独自のプロトコルを吸収し、認証振り分け部31に対して共通のインターフェースを提供するのが、認証プロバイダである。従って、新たな認証エンジンを認証サービス30に組み込むには、認証プロバイダを一つ実装することになる。但し、認証プロバイダ自身が、認証エンジンとしての機能を有していてもよい。
チケット管理部32は、認証に係るチケットを管理するモジュールである。チケット管理部32は、例えば、認証チケット50、ユーザ情報、グループ情報、Webサービス利用チケット60等を管理する。
なお、図6においては、複数の認証プロバイダを有する例を用いて認証サービス30の機能構成を説明したが、必ずしも複数の認証プロバイダを有する必要は無く、例えば、認証プロバイダA33のみを有する構成であってもよい。なお、このような構成の場合、認証振り分け部31は、認証サービス30の構成に必ずしも含まれない。
但し、以下では説明の簡略化のため、認証サービス30は、図6に示されるように複数の認証プロバイダを有し、また認証振り分け部31も認証サービス30に含まれるものとして説明を行う。なお、このことは、本発明の実施を制限するものではない。
以下、ディレクトリサービス40の一例の機能構成を、図7を用いて説明する。
図7は、ディレクトリサービスの一例の機能構成図である。
図7に示されるように、ディレクトリサービス40は、ディレクトリ振り分け部41と、セッション管理部42と、ディレクトリプロバイダA43と、ディレクトリプロバイダB44と、SOAPスタブ45とを含む。
SOAPスタブ45は、クライアント3及び/又は認証サービス提供サーバ1との間でSOAPによる通信を実現するためのモジュールである。
ディレクトリ振り分け部41は、クライアント3及び/又は認証サービス提供サーバ1に対して、各種ディレクトリプロバイダに対する共通のインターフェースを提供するモジュールである。ディレクトリ振り分け部41は、例えば、プロバイダ名に応じて、ディレクトリプロバイダを呼び出す。
ディレクトリプロバイダA43及びディレクトリプロバイダB44等は、「ディレクトリプロバイダ」と呼ばれるモジュールである。ここで、ディレクトリプロバイダとは、様々なディレクトリエンジンをディレクトリサービス40に組み込むためのアダプタ、又は仲介者のような役割を果たすものである。なお、ディレクトリエンジンとは、ここでは、例えば、該ディレクトリに係るユーザ情報やグループ情報等の管理及び/又はこれらの情報の提供を行うシステムをいう。
即ち、個々のディレクトリエンジンは、それぞれ独自のインターフェース(プロトコル)を有している。一方、それぞれのディレクトリエンジンにおける機能をWebサービスとしてクライアント3に提供するには、ディレクトリ振り分け部41との間で規定される所定のインターフェースに従う必要がある。かかる個々のディレクトリエンジンによる独自のプロトコルを吸収し、ディレクトリ振り分け部41に対して共通のインターフェースを提供するのが、ディレクトリプロバイダである。従って、新たなディレクトリエンジンをディレクトリサービス40に組み込むには、ディレクトリプロバイダを一つ実装することになる。但し、ディレクトリプロバイダ自身が、ディレクトリエンジンとしての機能を有していてもよい。
セッション管理部42は、セッション70を管理するモジュールである。
なお、図7においては、複数のディレクトリプロバイダを有する例を用いてディレクトリプロバイダ40の機能構成を説明したが、必ずしも複数のディレクトリプロバイダを有する必要は無く、例えば、ディレクトリプロバイダA43のみを有する構成であってもよい。なお、このような構成の場合、ディレクトリ振り分け部41は、ディレクトリサービス40の構成に必ずしも含まれない。
但し、以下では説明の簡略化のため、ディレクトリサービス40は、図7に示されるように複数のディレクトリプロバイダを有し、またディレクトリ振り分け部41もディレクトリサービス40に含まれるものとして説明を行う。なお、このことは、本発明の実施を制限するものではない。
以下、認証チケット取得リクエストの一例を、図8を用いて説明する。
図8は、認証チケット取得リクエストの一例を説明するための図である。
図8に示されるように、認証チケット取得リクエストの<providerName></providerName>のタグには、認証プロバイダを識別するプロバイダ名がパラメータとして含まれている。
また、<domainName></domainName>のタグには、ドメイン名がパラメータとして含まれている。
また、<authName></authName>のタグには、ユーザ名がパラメータとして含まれている。
また、<password></password>のタグには、パスワードがパラメータとして含まれている。
また、<duration></duration>のタグには、認証チケット50の有効時間が秒数を単位とし、パラメータとして含まれている。
例えば、図8に示されるような認証チケット取得リクエストを受信したSOAPスタブ35は、前記各パラメータを引数として、認証サービス30が提供するメソッドであるauthenticateByPasswordを呼び出す。
すると認証振り分け部31は、前記プロバイダ名を基に、対応する認証プロバイダ(例えば、認証プロバイダA33)に、前記ドメイン名、前記ユーザ名、前記パスワード等を渡し、認証を要求する。
認証の要求を受けた認証プロバイダA33は、前記ドメイン名、前記ユーザ名、前記パスワード等を含む該ユーザの認証要求を、例えば、外部の認証サーバ等に送信する。
例えば、正当なユーザである旨の認証結果と、該ユーザが所属するグループ情報とを前記外部の認証サーバ等より受信した認証プロバイダA33は、該受信した情報と、前記パスワード及び前記認証チケット50の有効時間等をチケット管理部32に渡し、認証チケット50の作成を要求する。
前記要求を受け取ったチケット管理部32は、後述する図10に示されるような認証チケット50を作成し、該認証チケット50を識別する識別情報である認証チケットIDを認証チケット50として認証プロバイダA33に渡す。
認証プロバイダA33は、前記認証チケットIDを、認証振り分け部31に渡す。
認証振り分け部31は、前記認証チケットID等を引数とし、認証サービス30が提供するメソッドであるauthenticateByPasswordResponseを呼び出す。
するとSOAPスタブ35は、前記認証チケットIDを含む後述する図9に示されるような認証チケット取得レスポンスを作成し、クライアント3に送信する。
以下、認証チケット取得レスポンスの一例を、図9を用いて説明する。
図9は、認証チケット取得レスポンスの一例を説明するための図である。
図9に示されるように、認証チケット取得レスポンスの<return xsi:type="xsd:base64Binary"></return>のタグには、前記認証チケットIDが含まれている。
該認証チケットIDを取得したクライアント3は、後述するように、該認証チケットIDを含んだWebサービス利用チケット60の取得リクエストを作成し、認証サービス30に送信する。
以下、認証チケット50の内部構造の一例を、図10を用いて説明する。
図10は、認証チケットの内部構造の一例を説明するための図である。
図10に示されるように、認証チケット50は、認証チケットIDと、プロバイダ名と、有効期限と、ユーザ情報と、グループ情報と、パスワードとを含む。
認証チケットIDには、認証チケット50を識別する識別情報が格納されている。プロバイダ名には、認証を行った認証プロバイダの名前が格納されている。有効期限には、認証を行った認証プロバイダより渡された、当該認証チケット50の有効期限が格納されている。ユーザ情報には、認証を行った認証プロバイダより渡された、ユーザのユーザ情報の構造体がそのまま格納されている。グループ情報には、認証を行った認証プロバイダより渡された、前記ユーザが所属するグループのグループ情報の構造体へのポインタの配列が格納されている。パスワードには、認証を行った認証プロバイダより渡された、パスワードが格納されている。
以下、ユーザ情報構造体の一例を、図11を用いて説明する。
図11は、ユーザ情報構造体の一例を説明するための図である。
図11に示されるようにユーザ情報構造体は、ユーザIDと、ドメイン名と、名前とを含む。
ユーザIDには、ユーザを識別する識別情報が格納されている。ドメイン名には、前記ユーザに対応するドメイン名が格納されている。名前には、前記ユーザの名前が格納されている。
なお、ユーザ情報構造体に、姓、名、ニックネーム、表示名、名前の読み、社員番号、住所、電話番号、メールアドレス、役職、所属組織、兼務情報、課金コード、所属グループ、管理者権限の有無等を更に含めるようにしてもよい。
以下、グループ情報構造体の一例を、図12を用いて説明する。
図12は、グループ情報構造体の一例を説明するための図である。
図12に示されるようにグループ情報構造体は、グループIDと、ドメイン名と、名前とを含む。
グループIDには、前記ユーザが所属するグループを識別する識別情報が格納されている。ドメイン名には、該グループに対応するドメイン名が格納されている。名前には、該グループの名前が格納されている。
なお、グループ情報構造体に、グループ名称、グループ説明文、上位グループ、下位グループ、グループメンバー、グループコード、課金用コード等を更に含めるようにしてもよい。
以下、認証チケット作成処理の一例を、図13を用いて説明する。
図13は、認証チケット作成処理の一例を説明するためのフローチャートである。
ステップS10において、SOAPスタブ35は、クライアント3より図8に示される認証チケット取得リクエストを受信する。上述したように、認証チケット取得リクエストを受信したSOAPスタブ35は、認証チケット取得リクエストに含まれる各パラメータを引数として、認証サービス30が提供するメソッドであるauthenticateByPasswordを呼び出す。
ステップS10に続いてステップS11に進み、認証振り分け部31は、前記パラメータの一つであるプロバイダ名を基に、該プロバイダ名が有効なプロバイダ名かどうかを判定する。
認証振り分け部31は、有効なプロバイダ名であると判定すると(ステップS11においてYES)、対応する認証プロバイダ(例えば、認証プロバイダA33)にドメイン名、ユーザ名、パスワード等のパラメータを渡し、認証を要求する。
一方、認証振り分け部31は、有効なプロバイダ名でないと判定すると(ステップS11においてNO)、処理を終了する。
例えば、認証振り分け部31は、認証プロバイダの名前を保持、管理し、前記パラメータに含まれるプロバイダ名と前記保持、管理している認証プロバイダ名とを比較し、対応する有効なプロバイダ名が存在するかどうかを判定する。
ステップS12において、前記認証の要求を受け取った認証プロバイダA33は、例えば、外部の認証サーバ等にユーザの認証を要求する場合、前記外部の認証サーバが動作中かどうかを判定する。
認証プロバイダA33は、対応する外部の認証サーバが動作中であると判定すると(ステップS12においてYES)、該外部の認証サーバに、ドメイン名、ユーザ名、パスワード等を含むユーザの認証要求を送信する。
一方、認証プロバイダA33は、対応する外部の認証サーバが動作していないと判定すると(ステップS12においてNO)、処理を終了する。
例えば、認証プロバイダA33は、対応する外部の認証サーバにping(Packet Internet Groper)を打って、前記外部の認証サーバが動作中かどうかを判定する。
ステップS13では、認証プロバイダA33が、認証が成功したかどうかを判定する。
認証プロバイダA33は、認証が成功したと判定すると(ステップS13においてYES)、前記外部の認証サーバ等より受信した前記ユーザが所属するグループ情報や、前記認証チケット取得リクエストに含まれていたユーザの情報やパスワード及び認証チケット50の有効時間等をチケット管理部32に渡し、認証チケット50の作成を要求する。
一方、認証プロバイダA33は、認証が失敗したと判定すると(ステップS13においてNO)、処理を終了する。
例えば、認証プロバイダA33は、前記外部の認証サーバより、認証が成功した旨の認証結果と、前記ユーザが所属するグループ情報等を受信すると、認証が成功したと判定する。
ステップS14では、前記認証チケット50の作成要求を受け取ったチケット管理部32が、図10に示されるような認証チケット50を作成し、該認証チケット50を識別する識別情報である認証チケットIDを認証チケット50として認証プロバイダA33に渡す。
ステップS14に続いてステップS15に進み、認証プロバイダA33より前記認証チケットIDを渡された認証振り分け部31は、前記認証チケットID等を引数とし、認証サービス30が提供するメソッドであるauthenticateByPasswordResponseを呼び出す。するとSOAPスタブ35は、認証振り分け部31からの要求に基づいて、図9に示されるような前記認証チケットIDを含んだ、認証チケット取得レスポンスを作成する。
ステップS15に続いてステップS16に進み、SOAPスタブ35は、ステップS15において作成した認証チケット取得レスポンスをクライアント3に送信する。
なお、外部の認証サーバ等を用いず、例えば、認証プロバイダA33が、認証エンジンとしての機能する場合、ステップS12に示す処理を行わず、直接認証プロバイダA33自身が認証を行い、認証が成功したかどうか判定するステップS13の処理を行うようにしてもよい。
以下、Webサービス利用チケット取得リクエストの一例を、図14を用いて説明する。
図14は、Webサービス利用チケット取得リクエストの一例を説明するための図である。
図14に示されるように、Webサービス利用チケット取得リクエストの<masterAuthTicket></masterAuthTicket>のタグには、認証チケットIDがパラメータとして含まれている。
また、<duration></duration>のタグには、Webサービス利用チケット60の有効時間が秒数を単位とし、パラメータとして含まれている。
また、<item></item>のタグには、クライアントが利用するWebサービス(例えば、ディレクトリサービス40)が要求する該Webサービスを識別する文字列(以下、単にターゲットともいう)がパラメータとして含まれている。
例えば、図14に示されるようなWebサービス利用チケット取得リクエストを受信したSOAPスタブ35は、前記各パラメータを引数として、認証サービス30が提供するメソッドであるcreateAuthTicketを呼び出す。
すると認証振り分け部31は、前記認証チケットIDを基に、該認証チケットIDに対応する有効な認証チケット50が存在するかどうか等を判定する。
認証振り分け部31は、前記認証チケットIDに対応する有効な認証チケット50がチケット管理部32に存在すると判定すると、前記認証チケットIDに対応する認証チケット50に含まれるプロバイダ名等をチケット管理部32より取得し、前記プロバイダ名に対応する認証プロバイダ(例えば、認証プロバイダA33)に、前記認証チケットID、前記Webサービス利用チケット60の有効時間、前記ターゲット等を渡す。
認証プロバイダA33は、前記認証チケットID、前記Webサービス利用チケット60の有効時間、前記ターゲット等をチケット管理部32に渡し、Webサービス利用チケット60の作成を要求する。
前記要求を受け取ったチケット管理部32は、後述する図16に示されるようなWebサービス利用チケット60を作成し、該Webサービス利用チケット60を識別する識別情報であるWebサービス利用チケットIDをWebサービス利用チケット60として認証プロバイダA33に渡す。
なお、図14に示されるWebサービス利用チケット取得リクエストの<item></item>のタグに何も含まれていなかった場合、チケット管理部32は、後述する図16のターゲットに何も含まない、どのWebサービスであっても利用可能なWebサービス利用チケット60を作成し、該Webサービス利用チケット60を識別する識別情報であるWebサービス利用チケットIDをWebサービス利用チケット60として認証プロバイダA33に渡すようにしてもよい。
なお、以下では説明の簡略化のため、Webサービス利用チケット取得リクエストの<item></item>のタグには、クライアント3が利用するWebサービス(例えば、ディレクトリサービス40)が要求する該Webサービスを識別する識別情報(例えば、repositoryService等の文字列)が含まれているものとして説明を行う。
認証プロバイダA33は、前記Webサービス利用チケットIDを、認証振り分け部31に渡す。
認証振り分け部31は、前記Webサービス利用チケットID等を引数とし、認証サービス30が提供するメソッドであるcreateAuthTicketResponseを呼び出す。
するとSOAPスタブ35は、前記Webサービス利用チケットIDを含む後述する図15に示されるようなWebサービス利用チケット取得レスポンスを作成し、クライアント3に送信する。
以下、Webサービス利用チケット取得レスポンスの一例を、図15を用いて説明する。
図15は、Webサービス利用チケット取得レスポンスの一例を説明するための図である。
図15に示されるように、Webサービス利用チケット取得レスポンスの<return xsi:type="xsd:base64Binary"></return>のタグには、前記Webサービス利用チケットIDが含まれている。
該Webサービス利用チケットIDを取得したクライアント3は、後述するように、該Webサービス利用チケットIDを含んだセッション開始リクエストをディレクトリサービス40に送信する。
以下、Webサービス利用チケット60の内部構造の一例を、図16を用いて説明する。
図16は、Webサービス利用チケットの内部構造の一例を説明するための図である。
図16に示されるように、Webサービス利用チケット60は、Webサービス利用チケットIDと、認証チケットIDと、ターゲットと、有効期限とを含む。
Webサービス利用チケットIDには、Webサービス利用チケット60を識別する識別情報が格納されている。認証チケットIDには、認証プロバイダ(例えば、認証プロバイダA33)より渡された、認証チケット50を識別する識別情報が格納されている。ターゲットには、認証プロバイダ(例えば、認証プロバイダA33)より渡された、Webサービスを識別する文字列が格納されている。有効期限には、認証プロバイダ(例えば、認証プロバイダA33)より渡された、当該Webサービス利用チケット60の有効期限が格納されている。
なお、認証チケットIDの替わりに、図10に示した認証チケット50の内容がそのままWebサービス利用チケット60に含まれていてもよい。
以下、チケット管理部32内のデータの概念図を、図17を用いて説明する。
図17は、チケット管理部内のデータの概念図である。
図17に示されるように、図10において説明した認証チケット50に対して図11において説明したユーザ情報は1対1に対応付けられている。
また、認証チケット50に対して図12において説明したグループ情報は1対n(但し、nは0以上の自然数)に対応付けられている。これは、認証されたユーザがどのグループにも所属していない場合もあれば、複数のグループに所属している場合もあるからである。
また、認証チケット50に対して図16において説明したWebサービス利用チケット60は、1対m(但し、mは1以上の自然数)に対応付けられている。これは、例えば、Webサービス提供サーバ2が提供するWebサービスが複数存在するためである。
以下、Webサービス利用チケット作成処理の一例を、図18を用いて説明する。
図18は、Webサービス利用チケット作成処理の一例を説明するためのフローチャートである。
ステップS20において、SOAPスタブ35は、クライアント3より図14に示されるWebサービス利用チケット取得リクエストを受信する。上述したように、Webサービス利用チケット取得リクエストを受信したSOAPスタブ35は、Webサービス利用チケット取得リクエストに含まれる各パラメータを引数として、認証サービス30が提供するメソッドであるcreateAuthTicketを呼び出す。
ステップS20に続いてステップS21に進み、認証振り分け部31は、前記パラメータの一つである認証チケットIDを基に、該認証チケットIDに対応する認証チケット50が存在するかどうかを判定する。
認証振り分け部31は、前記認証チケットIDに対応する認証チケット50が存在すると判定すると(ステップS21においてYES)、ステップS24に進み、前記認証チケットIDに対応する認証チケット50が存在しないと判定すると(ステップS21においてNO)、ステップS22に進む。
例えば、認証振り分け部31は、前記認証チケットIDを含む、該認証チケットIDに対応する認証チケット50が存在するかどうかの問い合わせをチケット管理部32に行い、対応する認証チケット50が存在する旨の応答がチケット管理部32よりあった場合、前記認証チケットIDに対応する認証チケット50が存在すると判定する。
一方、前記認証チケットIDに対応する認証チケット50が存在しない旨の応答をチケット管理部32より受け取ると、認証振り分け部31は、前記認証チケットIDに対応する認証チケット50が存在しないと判定する。
ステップS22において、認証振り分け部31は、認証サービス30が提供する所定のメソッドを呼び出して、対応する認証チケット50が存在しない旨のエラーメッセージの作成を要求する。SOAPスタブ35は、前記要求に応じて、対応する認証チケット50が存在しない旨のエラーメッセージを作成する。
ステップS22に続いてステップS23に進み、SOAPスタブ35は、ステップS22において作成したエラーメッセージをクライアント3に送信し、処理を終了する。
一方、ステップS24では、認証振り分け部31が、前記認証チケットIDを基に、該認証チケットIDに対応する認証チケット50の有効期限が切れていないかどうかを判定する。
認証振り分け部31は、前記認証チケットIDに対応する認証チケット50の有効期限が切れていないと判定すると(ステップS24においてYES)、前記認証チケットIDを基に、チケット管理部32より、前記認証チケットIDに対応する認証チケット50に含まれるプロバイダ名を取得し、該プロバイダ名に対応する認証プロバイダ(例えば、認証プロバイダA33)に対して、前記認証チケットID、前記Webサービス利用チケット60の有効時間、前記ターゲット等を渡す。
認証プロバイダA33は、前記認証チケットID、前記Webサービス利用チケット60の有効時間、前記ターゲット等をチケット管理部32に渡し、Webサービス利用チケット60の作成を要求し、ステップS27に進む。
一方、認証振り分け部31は、前記認証チケットIDに対応する認証チケット50の有効期限が切れていると判定すると(ステップS24においてNO)、ステップS25に進む。
例えば、認証振り分け部31は、前記認証チケットIDを含む、該認証チケットIDに対応する認証チケット50の有効期限が切れていないかどうかの問い合わせをチケット管理部32に行い、対応する認証チケット50の有効期限が切れていない旨の応答がチケット管理部32よりあった場合、前記認証チケットIDに対応する認証チケット50の有効期限が切れていないと判定する。
一方、前記認証チケットIDに対応する認証チケット50の有効期限が切れている旨の応答をチケット管理部32より受け取ると、認証振り分け部31は、前記認証チケットIDに対応する認証チケット50の有効期限が切れていると判定する。
ステップS25において、認証振り分け部31は、認証サービス30が提供する所定のメソッドを呼び出して、対応する認証チケット50の有効期限が切れている旨のエラーメッセージの作成を要求する。SOAPスタブ35は、前記要求に応じて、対応する認証チケット50の有効期限が切れている旨のエラーメッセージを作成する。
ステップS25に続いてステップS26に進み、SOAPスタブ35は、ステップS25において作成したエラーメッセージをクライアント3に送信し、処理を終了する。
一方、ステップS27では、前記Webサービス利用チケット60の作成要求を受け取ったチケット管理部32が、図16に示されるようなWebサービス利用チケット60を作成し、該Webサービス利用チケット60を識別する識別情報であるWebサービス利用チケットIDをWebサービス利用チケット60として認証プロバイダA33に渡す。
ステップS27に続いてステップS28に進み、認証プロバイダA33より前記Webサービス利用チケットIDを渡された認証振り分け部31は、前記Webサービス利用チケットIDを引数とし、認証サービス30が提供するメソッドであるcreateAuthTicketResponseを呼び出す。するとSOAPスタブ35は、認証振り分け部31からの要求に基づいて、図15に示されるような前記Webサービス利用チケットIDを含んだWebサービス利用チケット取得レスポンスを作成する。
ステップS28に続いてステップS29に進み、SOAPスタブ35は、認証振り分け部31からの要求に基づいて、ステップS28において作成したWebサービス利用チケット取得レスポンスをクライアント3に送信する。
なお、図18に示すように、認証サービス30は、認証チケット50が存在しない旨のエラーメッセージと、認証チケット50の有効期限が切れている旨のエラーメッセージとを分けてクライアント3に送信している。
例えば、クライアント3が、一度ユーザによって入力されたパスワード等を保持している場合、クライアント3は、認証サービス30より認証チケット50の有効期限が切れている旨のエラーメッセージを受信すると、前記パスワードを用いて、認証チケット50の取得リクエストを再び認証サービス30に送信することができる。
なお、認証サービス30は、当該認証サービス30が提供する削除メソッドが呼ばれるか、又はある定められた期間(例えば、認証チケット50が作成されてから1時間)経過すると、対応する認証チケット50を削除する。
以下、セッション開始リクエストの一例を、図19を用いて説明する。
図19は、セッション開始リクエストの一例を説明するための図である。
図19に示されるように、セッション開始リクエストの<authTicket></authTicket>のタグには、Webサービス利用チケットIDがパラメータとして含まれている。
また、<timeLimit></timeLimit>のタグには、セッション70の有効時間が秒数を単位とし、パラメータとして含まれている。
例えば、図19に示されるようなセッション開始リクエストを受信したSOAPスタブ45は、前記各パラメータを引数として、ディレクトリサービス40が提供するメソッドであるstartSessionByAuthTicketを呼び出す。
するとディレクトリ振り分け部41は、前記Webサービス利用チケットID及び当該ディレクトリサービス40が提供するサービスを識別する文字列を引数とし、ディレクトリサービス40が提供するメソッドであるdecodeAuthTicketを呼び出す。
するとSOAPスタブ45は、前記Webサービス利用チケットID及び当該ディレクトリサービス40が提供するサービスを識別する文字列を含む後述する図21に示されるようなWebサービス利用チケット解読リクエストを作成し、認証サービス30に送信する。
なお、送信先の認証サービス30に係る情報(例えば、URL等)は、ディレクトリ振り分け部41がHDD29等より取得し、メソッドdecodeAuthTicketの引数としてSOAPスタブ45に提供してもよいし、クライアント3が、セッション開始リクエストに、Webサービス利用チケット解読リクエストの送信先である認証サービス30のURL等を含めてディレクトリサービス40に送信し、該認証サービス30のURLをディレクトリ振り分け部41がメソッドdecodeAuthTicketの引数としてSOAPスタブ45に提供するようにしてもよい。
以下、セッション開始リクエストの他の例を、図20を用いて説明する。
図20は、セッション開始リクエストの他の例を説明するための図である。
図20に示されるセッション開始リクエストには、<uauthenticationUrl></uauthenticationUrl>のタグに、認証サービス30のURLがパラメータとして含まれている。
ディレクトリサービス40は、該認証サービス30のURLを基に、後述する図21に示されるようなWebサービス利用チケット解読リクエストを認証サービス30に送信する。
また、図示しないが、クライアント3は、図19及び/又は図20に示されるセッション開始リクエストに、ディレクトリプロバイダのプロバイダ名を含めて、ディレクトリサービス40に送信するようにしてもよい。このような構成にすることによって、クライアント3は、ディレクトリプロバイダを指定することができる。
以下、Webサービス利用チケット解読リクエストの一例を、図21を用いて説明する。
図21は、Webサービス利用チケット解読リクエストの一例を説明するための図である。
図21に示されるように、Webサービス利用チケット解読リクエストの<authTicket></authTicket>のタグには、Webサービス利用チケットIDがパラメータとして含まれている。
また、<target></target>のタグには、ディレクトリサービス40が提供するサービスを識別する文字列が含まれている。
例えば、図21に示されるようなWebサービス利用チケット解読リクエストを受信したSOAPスタブ35は、前記各パラメータを引数として、認証サービス30が提供するメソッドであるdecodeAuthTicketを呼び出す。
すると認証振り分け部31は、前記Webサービス利用チケットID及び/又は前記ディレクトリサービス40が提供するサービスを識別する文字列を用い、前記Webサービス利用チケットIDに対応する有効なWebサービス利用チケット60が存在するかどうか及び該Webサービス利用チケット60に含まれるターゲットと、前記ディレクトリサービス40が提供するサービスを識別する文字列とが同じかどうか等を判定する。
認証振り分け部31は、前記Webサービス利用チケットIDに対応する有効なWebサービス利用チケット60が存在し、且つ該Webサービス利用チケット60に含まれるターゲットと、前記ディレクトリサービス40が提供するサービスを識別する文字列とが同じであると判定すると、例えば、対応するWebサービス利用チケット60に含まれる認証チケットIDを基に、図10に示されるような認証チケット50の内容(但し、認証チケットID以外)及び/又は図16に示されるようなWebサービス利用チケット60の内容(但し、Webサービス利用チケットID及び認証チケットID以外)を取得し、これらの情報及び後述する判定結果等を引数とし、認証サービス30が提供するメソッドであるdecodeAuthTicketResponseを呼び出す。
するとSOAPスタブ35は、例えば、前記判定結果や、認証チケット50の内容及び/又はWebサービス利用チケット60の内容等を含むWebサービス利用チケット解読レスポンスを作成し、ディレクトリサービス40に送信する。
以下、Webサービス利用チケット解読レスポンスの一例を、図22を用いて説明する。
図22は、Webサービス利用チケット解読レスポンスの一例を説明するための図である。
図22に示されるように、Webサービス利用チケット解読レスポンスの<return xsi:type="xsd:string"></return>のタグには、判定結果が含まれている。
なお、判定結果としては、例えば、前記Webサービス利用チケット解読リクエストに含まれるWebサービス利用チケットIDに対応する有効なWebサービス利用チケット60が存在し、且つ該Webサービス利用チケット60に含まれるターゲットが、前記Webサービス利用チケット解読リクエストに含まれるディレクトリサービス40が提供するサービスを識別する文字列と同じであった場合は、OKが前記タグに含まれる。
一方、例えば、前記Webサービス利用チケット解読リクエストに含まれるWebサービス利用チケットIDに対応する有効なWebサービス利用チケット60が存在しなかったり、前記Webサービス利用チケット60に含まれるターゲットが、前記Webサービス利用チケット解読リクエストに含まれるディレクトリサービス40が提供するサービスを識別する文字列と同じでなかったりした場合は、NOが前記タグに含まれる。
なお、上述したように、Webサービス利用チケット解読レスポンスには、認証チケット50の内容(但し、認証チケットID以外)及び/又はWebサービス利用チケット60の内容(但し、Webサービス利用チケットID及び認証チケットID以外)等を含めるようにしてもよい。
図22に示されるようなWebサービス利用チケット解読レスポンスを受信したSOAPスタブ45は、例えば、該Webサービス利用チケット解読レスポンスに含まれるプロバイダ名を基に、対応するディレクトリプロバイダ(例えば、ディレクトリプロバイダA43)に、前記Webサービス利用チケットID及び前記セッション70の有効時間等を渡す。
なお、上述したように、セッション開始リクエストに、ディレクトリプロバイダのプロバイダ名が含まれていた場合は、該プロバイダ名を基の、対応するディレクトリプロバイダ(例えば、ディレクトリプロバイダA43)に、前記Webサービス利用チケットID及び前記セッション70の有効時間等を渡してもよい。
ディレクトリプロバイダA43は、前記Webサービス利用チケットID及び前記セッション70の有効時間等をセッション管理部42に渡し、セッション70の作成を要求する。
前記要求を受け取ったセッション管理部42は、後述する図24に示されるようなセッション70を作成し、該セッション70を識別する識別情報であるセッションIDをセッション70としてディレクトリプロバイダA43に渡す。
ディレクトリプロバイダA43は、前記セッションIDをディレクトリ振り分け部41に渡す。
ディレクトリ振り分け部41は、前記セッションID等を引数とし、ディレクトリサービス40が提供するメソッドであるstartSessionByAuthTicketResponseを呼び出す。
するとSOAPスタブ45は、前記セッションIDを含む後述する図23に示されるようなセッション開始レスポンスを作成し、クライアント3に送信する。
以下、セッション開始レスポンスの一例を、図23を用いて説明する。
図23は、セッション開始レスポンスの一例を説明するための図である。
図23に示されるように、セッション開始レスポンスの<returnValue xsi:type="xsd:string"></returnValue>のタグには、前記セッションIDが含まれている。
該セッションIDを取得したクライアント3は、例えば、後述するように、該セッションIDを含んだディレクトリサービス利用リクエストをディレクトリサービス40に送信する。
以下、セッション70の内部構造の一例を、図24を用いて説明する。
図24は、セッションの内部構造の一例を説明するための図である。
図24に示されるように、セッション70は、セッションIDと、Webサービス利用チケットIDと、有効期限とを含む。
セッションIDには、セッション70を識別する識別情報が格納されている。Webサービス利用チケットIDには、ディレクトリプロバイダ(例えば、ディレクトリプロバイダA43)より渡された、Webサービス利用チケット60を識別する識別情報が格納されている。有効期限には、ディレクトリプロバイダ(例えば、ディレクトリプロバイダA43)より渡された、セッション70の有効期限が格納されている。
以下、セッション作成処理の一例を、図25を用いて説明する。
図25は、セッション作成処理の一例を説明するためのフローチャートである。
ステップS30において、SOAPスタブ45は、クライアント3より図19に示されるようなセッション開始リクエストを受信する。上述したように、セッション開始リクエストを受信したSOAPスタブ45は、セッション開始リクエストに含まれるWebサービス利用チケットIDや、セッション70の有効時間等のパラメータを引数として、ディレクトリサービス40が提供するメソッドであるstartSessionByAuthTicketを呼び出す。
するとディレクトリ振り分け部41は、前記Webサービス利用チケットID及び当該ディレクトリサービス40が提供するサービスを識別する文字列を引数とし、ディレクトリサービス40が提供するメソッドであるdecodeAuthTicketを呼び出す。
ステップS30に続いてステップS31に進み、SOAPスタブ45は、前記Webサービス利用チケットID及び当該ディレクトリサービス40が提供するサービスを識別する文字列を含む図21に示されるようなWebサービス利用チケット解読リクエストを作成し、認証サービス30に送信する。
ステップS31に続いてステップS32に進み、SOAPスタブ45は、認証サービス30より図22に示されるようなWebサービス利用チケット解読レスポンスを受信する。上述したように、Webサービス利用チケット解読レスポンスを受信したSOAPスタブ45は、Webサービス利用チケット解読レスポンスに含まれる解読結果(以下、判定結果ともいう)や、認証チケット50の内容(但し、認証チケットID以外)及び/又はWebサービス利用チケット60の内容(但し、Webサービス利用チケットID及び認証チケットID以外)等を引数とし、ディレクトリサービス40が提供するメソッドであるdecodeAuthTicketResponseを呼び出す。
ステップS32に続いてステップS33に進み、ディレクトリ振り分け部41は、ステップS31においてWebサービス利用チケット解読リクエストに含めて認証サービス30に送信したWebサービス利用チケットIDが、有効なWebサービス利用チケット60のWebサービス利用チケットIDであったかどうかを判定する。
ディレクトリ振り分け部41は、前記Webサービス利用チケットIDが、有効なWebサービス利用チケット60のWebサービス利用チケットIDであったと判定すると(ステップS33においてYES)、例えば、該Webサービス利用チケット解読レスポンスに含まれるプロバイダ名を基に、対応するディレクトリプロバイダ(例えば、ディレクトリプロバイダA43)に、前記Webサービス利用チケットID及び前記セッション70の有効時間等を渡す。
ディレクトリプロバイダA43は、前記Webサービス利用チケットID及び前記セッション70の有効時間等をセッション管理部42に渡し、セッション70の作成を要求し、ステップS34に進む。
一方、ディレクトリ振り分け部41は、前記Webサービス利用チケットIDが、有効なWebサービス利用チケット60のWebサービス利用チケットIDでなかったと判定すると(ステップS33においてNO)、処理を終了する。
なお、ディレクトリ振り分け部41が、前記Webサービス利用チケットIDは、有効なWebサービス利用チケット60のWebサービス利用チケットIDでなかったと判定した場合、ディレクトリサービス40が提供する所定のメソッドを呼び出して、有効なWebサービス利用チケット60のWebサービス利用チケットIDでなかった旨のエラーメッセージを作成し、クライアント3に送信するようにしてもよい。
例えば、ディレクトリ振り分け部41は、ステップS32において受信したWebサービス利用チケット解読レスポンスに、OKのパラメータが含まれていた場合、有効なWebサービス利用チケット60のWebサービス利用チケットIDであったと判定し、Webサービス利用チケット解読レスポンスに、NOのパラメータが含まれていた場合、無効なWebサービス利用チケット60のWebサービス利用チケットIDであったと判定する。
ステップS34において、セッション管理部42は、図24に示されるようなセッション70を作成し、該セッション70を識別する識別情報であるセッションIDをセッション70としてディレクトリプロバイダA43に渡す。
ステップS34に続いてステップS35に進み、ディレクトリプロバイダA43より前記セッションIDを渡されたディレクトリ振り分け部41は、前記セッションID等を引数とし、startSessionByAuthTicketResponseを呼び出す。するとSOAPスタブ45は、ディレクトリ振り分け部41からの要求に基づいて、図23に示されるようなセッションIDを含んだセッション開始レスポンスを作成する。
ステップS35に続いてステップS36に進み、SOAPスタブ45は、ディレクトリ振り分け部41からの要求に基づいて、ステップS35において作成したセッション開始レスポンスをクライアント3に送信する。
以下、Webサービス利用チケット解読処理の一例を、図26を用いて説明する。
図26は、Webサービス利用チケット解読処理の一例を説明するためのフローチャートである。
ステップS40において、SOAPスタブ35は、ディレクトリサービス40より、図21に示されるようなWebサービス利用チケット解読リクエストを受信する。上述したように、Webサービス利用チケット解読リクエストを受信したSOAPスタブ35は、Webサービス利用チケット解読リクエストに含まれるWebサービス利用チケットIDやディレクトリサービス40が提供するサービスを識別する文字列等のパラメータを引数として、認証サービス30が提供するメソッドであるdecodeAuthTicketを呼び出す。
ステップS40に続いてステップS41に進み、認証振り分け部31は、前記パラメータの一つであるWebサービス利用チケットIDを基に、該Webサービス利用チケットIDが正しいものかどうかを判定する。
認証振り分け部31は、前記Webサービス利用チケットIDが正しいと判定すると(ステップS41においてYES)、ステップS42に進み、前記Webサービス利用チケットIDが正しくないと判定すると(ステップS41においてNO)、ステップS45に進む。
例えば、認証振り分け部31は、前記Webサービス利用チケットIDを含む、該Webサービス利用チケットIDに対応する有効なWebサービス利用チケット60が存在するかどうかの問い合わせをチケット管理部32に行い、対応する有効なWebサービス利用チケット60が存在する旨の応答がチケット管理部32よりあった場合、正しいWebサービス利用チケットIDであると判定する。
一方、前記Webサービス利用チケットIDに対応する有効なWebサービス利用チケット60が存在しない旨の応答をチケット管理部32より受け取ると、認証振り分け部31は、正しくないWebサービス利用チケットIDであると判定する。
ステップS42では、認証振り分け部31が、前記パラメータの一つであるディレクトリサービス40が提供するサービスを識別する文字列と、前記Webサービス利用チケットIDに対応するサービス利用チケット60に含まれるターゲットの文字列とが一致するかどうかを判定する。
認証振り分け部31は、前記二つの文字列が一致すると判定すると(ステップS42においてYES)、ステップS43に進み、前記二つの文字列が一致しないと判定すると(ステップS42においてNO)、ステップS45に進む。
ステップS43では、認証振り分け部31が、前記Webサービス利用チケットIDを基に、対応するWebサービス利用チケット60の内容(但し、Webサービス利用チケットID及び認証チケットID以外)及び/又は認証チケット50の内容(但し、認証チケットID以外)を取得し、これらの情報と共に、判定結果(YES)等を引数とし、認証サービス30が提供するメソッドであるdecodeAuthTicketResponseを呼び出す。
するとSOAPスタブ35は、例えば、前記判定結果(YES)や、認証チケット50の内容及び/又はWebサービス利用チケット60の内容等を含むWebサービス利用チケット解読レスポンスを作成する。
ステップS43に続いてステップS44に進み、SOAPスタブ35は、ステップS43において作成したWebサービス利用チケット解読レスポンスをディレクトリサービス40に送信する。
一方、ステップS45では、認証振り分け部31が、判定結果(NO)等を引数とし、認証サービス30が提供するメソッドであるdecodeAuthTicketResponseを呼び出す。
するとSOAPスタブ35は、例えば、前記判定結果(NO)等を含むWebサービス利用チケット解読レスポンスを作成する。
ステップS45に続いてステップS46に進み、SOAPスタブ35は、ステップS45において作成したWebサービス利用チケット解読レスポンスをディレクトリサービス40に送信する。
図25及び図26に示したように、ディレクトリサービス40は、クライアント3からのリクエストに含まれるWebサービス利用チケットIDと共に、当該自身の識別情報(例えば、repositoryService等の文字列)を認証サービス30に送信する。一方、認証サービス30は、前記Webサービス利用チケットIDを基に、ディレクトリサービス40から送信された識別情報(例えば、repositoryService等の文字列)と、Webサービス利用チケット60に含まれるターゲットとを比較することによって、Webサービス利用チケット60の有効性を判定する。
このような認証方法を取ることによって、クライアント3が利用し、且つ認証を必要とするWebサービスが、例えばWebサービス提供サーバ2等に新たに追加された場合も、認証サービス提供サーバ1及び/又は認証サービス30に新たな情報等を設定することなく、効率的に認証に係るサービスを提供することができる。
なお、図26のステップS43では、認証振り分け部31が、前記Webサービス利用チケットIDを基に、対応するWebサービス利用チケット60の内容(但し、Webサービス利用チケットID及び認証チケットID以外)及び/又は認証チケット50の内容(但し、認証チケットID以外)を取得するよう説明を行ったが、認証振り分け部31は、前記Webサービス利用チケットIDを基に、対応するプロバイダ名のみをチケット管理部32より取得し、該プロバイダ名に対応するプロバイダ(例えば、認証プロバイダA33)に、前記Webサービス利用チケットIDに対応するWebサービス利用チケット60の内容及び/又は認証チケット50の内容を取得するよう要求するようにしてもよい。
この場合、該要求を受け取った認証プロバイダA33は、該要求をチケット管理部32に渡す。該要求を受け取ったチケット管理部32は、該要求に含まれるWebサービス利用チケットIDを基に、対応するWebサービス利用チケット60の内容(但し、Webサービス利用チケットID及び認証チケットID以外)及び/又は認証チケット50の内容(但し、認証チケットID以外)を取得し、認証プロバイダA33に渡す。認証プロバイダA33は、取得したWebサービス利用チケット60の内容(但し、Webサービス利用チケットID及び認証チケットID以外)及び/又は認証チケット50の内容(但し、認証チケットID以外)を認証振り分け部31に渡す。
以下、ディレクトリサービス利用リクエストの一例を、図27を用いて説明する。
図27は、ディレクトリサービス利用リクエストの一例を説明するための図である。
図27に示されるように、ディレクトリサービス利用リクエストの<sessionId></sessionId>のタグには、セッションIDがパラメータとして含まれている。
ディレクトリサービス40は、ディレクトリサービス利用リクエストに含まれるセッションIDが有効なセッションIDかどうかを判定し、有効なセッションIDであると判定すると、クライアント3の要求に応じて、ユーザ一覧を取得し、後述する図28に示されるようなディレクトリサービス利用レスポンスを作成し、クライアント3に送信する。
以下、ディレクトリサービス利用レスポンスの一例を、図28を用いて説明する。
図28は、ディレクトリサービス利用レスポンスの一例を説明するための図である。
図28に示されるディレクトリサービス利用レスポンスの<item></item>のタグに含まれる各タグには、ユーザ一覧に係る情報が含まれている。
以下、ユーザ一覧取得処理の一例を、図29を用いて説明する。
図29は、ユーザ一覧取得処理の一例のフローチャートである。
ステップS50において、SOAPスタブ45は、クライアント3より図27に示されるようなディレクトリサービス利用リクエストを受信する。ディレクトリサービス利用リクエストを受信したSOAPスタブ45は、ディレクトリサービス利用リクエストに含まれる各パラメータを引数として、ディレクトリサービス40が提供するメソッドであるgetEntryListを呼び出す。
ステップS50に続いてステップS51に進み、ディレクトリ振り分け部41は、前記ディレクトリサービス利用リクエストに含まれていたパラメータの一つであるセッションIDが有効なセッションIDかどうかを判定する。
ディレクトリ振り分け部41は、有効なセッションIDであると判定すると(ステップS51においてYES)、ステップS52に進み、有効なセッションIDでないと判定すると(ステップS52においてNO)、処理を終了する。
なお、ディレクトリ振り分け部41が、有効なセッションIDでないと判定した場合、該旨のエラーメッセージを作成し、クライアント3に送信するようにしてもよい。
例えば、ディレクトリ振り分け部41は、ディレクトリサービス利用リクエストに含まれるセッションIDを用いて、前記セッションIDに対応するセッションIDを含むセッション70が存在するかどうか、及び/又は対応するセッションIDを含むセッション70の有効期限が切れていないかどうかの問い合わせをセッション管理部42に対して行い、対応するセッションIDが存在する及び/又は対応するセッションIDを含むセッション70の有効期限が切れていない旨の応答をセッション管理部42により取得すると、有効なセッションIDであると判定する。
ステップS52では、例えば、対応するディレクトリプロバイダ(例えば、ディレクトリプロバイダA43)が、ユーザ一覧を取得する。
ステップS52に続いてステップS53では、ディレクトリプロバイダA43より前記ユーザ一覧を渡されたディレクトリ振り分け部41は、前記ユーザ一覧を引数とし、ディレクトリサービス40が提供するメソッドであるgetEntryListResponseを呼び出す。するとSOAPスタブ45は、ディレクトリ振り分け部41からの要求に基づいて、図28に示されるような前記ユーザ一覧を含んだ、ディレクトリサービス利用レスポンスを作成する。
ステップS53に続いてステップS54に進み、SOAPスタブ45は、ステップS53において作成したディレクトリサービス利用レスポンスをクライアント3に送信する。
以下、認証サービス提供方法及び/又はWebサービス提供方法の他の例を、図30を用いて説明する。
例えば、図5において説明した認証サービス提供方法及び/又はWebサービス提供方法では、クライアント3が、Webサービス(例えば、ディレクトリサービス40)を利用する場合に、どの認証サービスに認証を要求すれば良いのか、該認証サービスのURLや、ディレクトリサービス40を利用する際に必要となるディレクトリサービス40を識別する識別情報(例えば、repositoryService等の文字列)を知っている場合を例に取って説明を行った。
以下に示す図30においては、最初にクライアント3が、ディレクトリサービス40を利用する場合に必要となる対応する認証サービスのURL及びディレクトリサービス40を識別する識別情報等をディレクトリサービス40に問い合わせる例を用いて説明を行う。
図30は、認証サービス提供方法及び/又はWebサービス提供方法を説明するためのシーケンス図(その2)である。
図30に示されるように、Webサービス提供サーバ2が提供するWebサービス(例えば、ディレクトリサービス40)を利用するクライアント3は、認証を行う認証サービスに係る情報(例えば、認証サービスのURL等)及び/又はディレクトリサービス40を利用するときに必要となる当該ディレクトリサービス40を識別する識別情報(例えば、repositoryService等の文字列)の取得リクエスト(情報取得リクエスト)をディレクトリサービス40に送信する(図30のシーケンスSQ20。)。
ディレクトリサービス40は、クライアント3からの前記情報取得リクエストに応じて、当該ディレクトリサービス40を利用するときに必要となる認証に係るサービスを提供する認証サービス30のURL及び/又は当該ディレクトリサービス40を利用するときに必要となる当該ディレクトリサービス40を識別するrepositoryService等の文字列を含む情報取得レスポンスを作成し、クライアント3に送信する(図30のシーケンスSQ21。)。
このような構成の場合、ディレクトリサービス40は、当該ディレクトリサービス40を利用するときに必要となる認証に係るサービスを提供する認証サービス30のURL及び/又は当該ディレクトリサービス40を利用するときに必要となる当該ディレクトリサービス40を識別するrepositoryService等の文字列を保持し、管理する。
前記情報取得レスポンスを受信したクライアント3は、該取得レスポンスに含まれる認証サービス30のURLを基に、クライアント3のユーザを認証する認証チケット50の取得リクエストを作成し、認証サービス30に送信する(図30のシーケンスSQ22。)。
認証サービス30は、クライアント3からの認証チケット取得リクエストに含まれるユーザ名、パスワード等を基に認証を行い、認証チケット50を作成し、該認証チケット50のID(認証チケットID)を含む認証チケット取得レスポンスを作成し、クライアント3に送信する(図30のシーケンスSQ23。)。
クライアント3は、認証チケット取得レスポンスを受信すると、前記認証チケットID及びシーケンスSQ21においてディレクトリサービス40より取得したディレクトリサービス40を識別するrepositoryService等の文字列を含む、Webサービス利用チケット60の取得リクエストを、認証サービス30に送信する(図30のシーケンスSQ24。)。
図30のシーケンスSQ25からシーケンスSQ31までの処理は、図5のシーケンスSQ4からシーケンスSQ10までの処理と同様である。
図30に示したように、Webサービス(例えば、ディレクトリサービス40)が、認証サービス30に係る情報(例えば、認証サービスのURL等)及び/又は当該ディレクトリサービス40を識別する識別情報(例えば、repositoryService等の文字列)を保持、管理することによって、クライアント3は、認証サービス30のURL及び/又はディレクトリサービス40を識別するrepositoryService等の文字列を知らなくても、ディレクトリサービス40等に問い合わせることによって、前記情報を取得することができる。
更に図30に示した処理の1つ前段階の処理として、例えば、クライアント3が、利用したいWebサービス(例えば、ディレクトリサービス40)のURL等を知らない場合、Webサービス等の検索を行うディスカバリサービス等にディレクトリサービス40のURLの検索要求を送信し、ディスカバリサービスより取得したディレクトリサービス40のURLを用いて、図30に示したシーケンスSQ20のように、ディレクトリサービス40に情報取得リクエストを送信するようにしてもよい。
このような構成の場合、クライアント3は、利用したいWebサービス(例えば、ディレクトリサービス40)のURL等を知らなくても、ディスカバリサービスを用い、ディレクトリサービス40等のURLを取得し、図30に示したような処理を行うことができる。
このようなディスカバリサービスは、例えば、認証サービス提供サーバ1に実装されていても良いし、Webサービス提供サーバ2に実装されていても良い。また、他のサーバ等に実装されていても良いし、認証サービス30及びディレクトリサービス40等と同じサーバ(装置)等に実装されていてもよい。
実施例2では、認証サービス30以外のWebサービスが複数(例えば2つ)存在する場合について説明を行う。なお、実施例2では、実施例1とは異なる点について主に説明を行う。
図31は、複数のWebサービスが存在した場合の認証サービス提供方法及び/又はWebサービス提供方法の一例を説明するためのシーケンス図である。
図31に示されるように、例えばターゲットABCで識別されるWebサービス80(以下、Webサービス(ターゲットABC)80ともいう)が提供するサービスを利用するクライアント3は、クライアント3のユーザを認証する認証チケット50の取得リクエストを作成し、認証サービス30に送信する(図31のシーケンスSQ50。)。
認証サービス30は、クライアント3からの認証チケット取得リクエストに含まれるユーザ名、パスワード等を基に認証を行い、認証チケット50を作成し、該認証チケット50のID(認証チケットID)を含む認証チケット取得レスポンスを作成し、クライアント3に送信する(図31のシーケンスSQ51。)。
クライアント3は、認証チケット取得レスポンスを受信すると、前記認証チケットIDと、利用したいWebサービス(ターゲットABC)80が要求する該Webサービスを識別する識別情報(図31の例においては、ABC)と、を含む、Webサービス(ターゲットABC)80の利用を許可するWebサービス利用チケット60の取得リクエストを作成し、認証サービス30に送信する(図31のシーケンスSQ52。)。
なお、ここで、クライアント3は、例えばWebサービス(ターゲットABC)80に問い合わせを行い、事前に、Webサービス(ターゲットABC)80が要求する該Webサービスを識別する識別情報がABCであることを取得しているものとする。
認証サービス30は、Webサービス利用チケット取得リクエストに含まれる認証チケットIDを基に、対応する有効な認証チケット50が存在するかどうか等を判定し、対応する有効な認証チケット50が存在すると判定すると、前記Webサービス利用チケット取得リクエストに含まれるWebサービスを識別する識別情報(図31の例においては、ABC)を含むWebサービス利用チケット60を作成し、該Webサービス利用チケット60のID(Webサービス利用チケットID)を含むWebサービス利用チケット取得レスポンスを作成し、クライアント3に送信する(図31のシーケンスSQ53。)。
クライアント3は、Webサービス利用チケット取得レスポンスを受信すると、前記Webサービス利用チケットIDを含む、Webサービス(ターゲットABC)80が提供するサービスの利用リクエストを作成し、Webサービス(ターゲットABC)80に送信する(図31のシーケンスSQ54。)。
なお、クライアント3は、実施例1で説明したように、Webサービスに、セッション開始リクエストを送信し、Webサービスとのセッションが確立した後に、セッションID等を含むサービス利用リクエストをWebサービスに送信してもよい。しかし、図31に示されるように、セッションを確立せずに、直接Webサービス利用チケットIDを含むサービスの利用リクエストをWebサービスに送信するようにしてもよい。以下においても同様である。また、このことは、実施例1でも同様である。
Webサービス(ターゲットABC)80は、サービスの利用リクエストに含まれるWebサービス利用チケットIDを基に、該Webサービス利用チケットIDと当該Webサービス(ターゲットABC)80を識別する識別情報(図31の例においては、ABC)とを含むWebサービス利用チケット60の解読リクエストを作成し、認証サービス30に送信する(図31のシーケンスSQ55。)。
認証サービス30は、Webサービス利用チケット60の解読リクエストに含まれるWebサービス利用チケットIDに対応する有効なWebサービス利用チケット60が存在し、且つ該Webサービス利用チケット60に含まれる識別情報(図31の例においては、ABC)と、Webサービス利用チケット60の解読リクエストに含まれるWebサービス(ターゲットABC)80を識別する識別情報(図31の例においては、ABC)とが同じであると判定すると、例えば、判定結果(図31の例においては、OK)や、認証チケット50の内容及び/又はWebサービス利用チケット60の内容等を含むWebサービス利用チケット解読レスポンスを作成し、Webサービス(ターゲットABC)80に送信する(図31のシーケンスSQ56。)。
Webサービス(ターゲットABC)80は、Webサービス利用チケット解読レスポンスに含まれる判定結果(図31の例においては、OK)を基に、シーケンスSQ54において受信したサービスの利用リクエストに応じた処理を実行し、サービス利用レスポンスを作成し、クライアント3に送信する(図31のシーケンスSQ57。)。
ここで、例えばWebサービス(ターゲットABC)80が悪意のあるWebサービスであって、シーケンスSQ54において受信したサービスの利用リクエストに含まれる、Webサービス(ターゲットABC)80の利用を許可するWebサービス利用チケットIDを用いて、例えばターゲットDEFで識別されるWebサービス90(以下、Webサービス(ターゲットDEF)90ともいう)が提供するサービスを利用しようとした場合の処理をシーケンスSQ58からシーケンスSQ61を用いて説明する。
Webサービス(ターゲットABC)80は、シーケンスSQ54において受信したサービスの利用リクエストに含まれるWebサービス利用チケットIDを含む、Webサービス(ターゲットDEF)90が提供するサービスの利用リクエストを、Webサービス(ターゲットDEF)90に送信する(図31のシーケンスSQ58。)。
Webサービス(ターゲットDEF)90は、サービスの利用リクエストに含まれるWebサービス利用チケットIDを基に、該Webサービス利用チケットIDと当該Webサービス(ターゲットDEF)90を識別する識別情報(図31の例においては、DEF)とを含むWebサービス利用チケット60の解読リクエストを作成し、認証サービス30に送信する(図31のシーケンスSQ59。)。
認証サービス30は、Webサービス利用チケット60の解読リクエストに含まれるWebサービス利用チケットIDに対応する有効なWebサービス利用チケット60が存在するが、該Webサービス利用チケット60に含まれる識別情報(図31の例においては、ABC)と、Webサービス利用チケット60の解読リクエストに含まれるWebサービス(ターゲットDEF)90を識別する識別情報(図31の例においては、DEF)とが異なると判定すると、判定結果(図31の例においては、NG)を含むWebサービス利用チケット解読レスポンスを作成し、Webサービス(ターゲットDEF)90に送信する(図31のシーケンスSQ60。)。
Webサービス(ターゲットDEF)90は、Webサービス利用チケット解読レスポンスに含まれる判定結果(図31の例においては、NG)を基に、解読が失敗した旨のエラー情報を含むサービス利用レスポンス作成し、Webサービス(ターゲットABC)80に送信する(図31のシーケンスSQ61。)。
図31に示したように、本発明に係る認証サービス提供方法及び/又はWebサービス提供方法では、例えばWebサービス(ターゲットABC)80が悪意のあるWebサービスであって、当該自身の利用を許可するWebサービス利用チケットIDを用いて、Webサービス(ターゲットDEF)90が提供するサービスを利用しようとしても、ターゲット(識別情報)が異なるため、使用することができない。したがって、例えば通信経路上においてチケット又はチケットID等を盗まれても他のWebサービスを利用することはできない。
また、上述したように、本発明に係る認証サービス提供方法及び/又はWebサービス提供方法では、新しいWebサービスをシステムに追加した場合であっても、認証サービス30やクライアント3の設定を変更する必要がない。
なお、図31に示されるWebサービス(ターゲットABC)80と、Webサービス(ターゲットDEF)90と、は同じWebサービス提供サーバ2に実装されていてもよいし、異なるWebサービス提供サーバ2にそれぞれ実装されていてもよい。
実施例3では、Webサービス利用チケット60の作成を要求し、取得したサービス以外のサービスが、該Webサービス利用チケット60(又はWebサービス利用チケットID)を使用する一例について説明を行う。なお、実施例3では、実施例1及び実施例2とは異なる点について主に説明を行う。
図32は、他のWebサービスがWebサービス利用チケットを利用する場合の認証サービス提供方法及び/又はWebサービス提供方法の一例を説明するためのシーケンス図である。
図32に示されるように、例えばターゲットABCで識別されるディレクトリサービス40において管理されている文書の印刷を行いたいクライアント3は、クライアント3のユーザを認証する認証チケット50の取得リクエストを作成し、認証サービス30に送信する(図32のシーケンスSQ80。)。
認証サービス30は、クライアント3からの認証チケット取得リクエストに含まれるユーザ名、パスワード等を基に認証を行い、認証チケット50を作成し、該認証チケット50のID(認証チケットID)を含む認証チケット取得レスポンスを作成し、クライアント3に送信する(図32のシーケンスSQ81。)。
クライアント3は、認証チケット取得レスポンスを受信すると、前記認証チケットIDと、文書の管理を行っているディレクトリサービス40が要求する該ディレクトリサービス40を識別する識別情報(図32の例においては、ABC)と、を含む、ディレクトリサービス40の取得リクエストを作成し、認証サービス30に送信する(図32のシーケンスSQ82。)。
認証サービス30は、Webサービス利用チケット取得リクエストに含まれる認証チケットIDを基に、対応する有効な認証チケット50が存在するかどうか等を判定し、対応する有効な認証チケット50が存在すると判定すると、前記Webサービス利用チケット取得リクエストに含まれるWebサービスを識別する識別情報(図32の例においては、ABC)を含むWebサービス利用チケット60を作成し、該Webサービス利用チケット60のID(Webサービス利用チケットID)を含むWebサービス利用チケット取得レスポンスを作成し、クライアント3に送信する(図32のシーケンスSQ83。)。
クライアント3は、Webサービス利用チケット取得レスポンスを受信すると、前記Webサービス利用チケットIDと、印刷したい文書を識別する文書識別情報とを含む、印刷リクエストを作成し、印刷に係るサービスを提供する印刷サービス100に送信する(図32のシーケンスSQ84。)。
印刷サービス100は、印刷リクエストを受信すると、該印刷リクエストに含まれるWebサービス利用チケットIDと、文書識別情報とを含む文書アクセスリクエストを作成し、ディレクトリサービス40に送信する(図32のシーケンスSQ85。)。
ディレクトリサービス40は、文書アクセスリクエストを受信すると、該文書アクセスリクエストに含まれるWebサービス利用チケットIDと、当該ディレクトリサービス40を識別する識別情報(図32の例においては、ABC)とを含むWebサービス利用チケット60の解読リクエストを作成し、認証サービス30に送信する(図32のシーケンスSQ86。)。
認証サービス30は、Webサービス利用チケット60の解読リクエストに含まれるWebサービス利用チケットIDに対応する有効なWebサービス利用チケット60が存在し、且つ該Webサービス利用チケット60に含まれる識別情報(図31の例においては、ABC)と、Webサービス利用チケット60の解読リクエストに含まれるディレクトリサービス40を識別する識別情報(図32の例においては、ABC)とが同じであると判定すると、例えば、判定結果(図32の例においては、OK)や、認証チケット50の内容及び/又はWebサービス利用チケット60の内容等を含むWebサービス利用チケット解読レスポンスを作成し、ディレクトリサービス40に送信する(図32のシーケンスSQ87。)。
ディレクトリサービス40は、Webサービス利用チケット解読レスポンスを受信すると、該Webサービス利用チケット解読レスポンスに含まれる判定結果(図32の例においては、OK)を基に、文書識別情報に対応する文書(又は文書内容)を取得し、該文書(又は文書内容)を含む文書アクセスレスポンスを作成し、印刷サービス100に送信する(図32のシーケンスSQ88。)。
印刷サービス100は、文書アクセスレスポンスを受信すると、該文書アクセスレスポンスに含まれる文書(又は文書内容)に基づいて、印刷を行い、印刷結果等を含む印刷レスポンスを作成し、クライアント3に送信する(図32のシーケンスSQ89。)。
図32に示したように、Webサービス利用チケット60の作成を要求し、取得したサービス以外のサービスが、該Webサービス利用チケット60(又はWebサービス利用チケットID)を使用することもできる。
以下、認証サービス30及び/又はディレクトリサービス40が実装された装置の他の例として、画像を形成する画像形成装置(以下、融合機という)を図33及び図34を用いて説明する。
図33は、融合機の機能構成を示すブロック図である。
図33において、融合機1200は、プロッタ1201と、スキャナ1202と、ファクシミリ等のハードウェアリソース1203等を有すると共に、プラットフォーム1220とアプリケーション1230とから構成されるソフトウェア群1210と、融合機起動部1240とを備えている。
融合機起動部1240は、融合機1200の電源投入時に先ず始めに実行され、プラットフォーム1220やアプリケーション1230を起動する。
プラットフォーム1220は、アプリケーション1230からの処理要求を解釈して、ハードウェア資源の獲得要求を発生させる下記に示すコントロールサービス1250と、一又は複数のハードウェア資源の管理をおこない、コントロールサービス1250からの獲得要求を調停するシステムリソースマネージャー(SRM(System Resource Manager)1223)と、OS1221とを有する。
このコントロールサービス1250は、複数のサービスモジュールにより形成され、具体的には、SCS(System Control Service)1222と、ECS(Engine Control Service)1224と、MCS(Memory Control Service)1225と、OCS(Operation panel Control Service)1226と、FCS(FAX Control Service)1227と、NCS(Network Control Service)1228と、IMH(Imaging Memory Handler)1229とがある。なお、このプラットフォーム1220は、あらかじめ定義された関数により前記アプリケーションからの処理要求を受信可能とするアプリケーションプログラムインターフェースを有する。
OS1221は、UNIX(登録商標)等のオペレーティング・システムであり、プラットフォーム1220並びにアプリケーション1230の各ソフトウェアをそれぞれプロセスとして並列実行する。
SRM1223は、SCS1222と共にシステムの制御及びリソースの管理を行うものであり、スキャナやプロッタ等のエンジン部、メモリ、HDDファイル、ホストI/O(セントロI/F、ネットワークI/F、IEEE1394I/F、RS232CI/F等)のハードウェア資源を利用する上位層からの要求にしたがって調停をおこない、実行制御する。
SCS1222は、アプリ管理、操作部制御、システム画面表示(ジョブリスト画面、カウンタ表示画面等)、LED表示、リソース管理、割り込みアプリ制御等の複数の機能を行なう。
ECS1224は、プロッタ1201と、スキャナ1202と、その他ハードウェアリソース1203等のエンジン部を制御するものであり、画像読み込みと印刷動作、状態通知、ジャムリカバリ等を行う。
MCS1225は、メモリ制御を行うものであり、より具体的には、画像メモリの取得及び開放、ハードディスク装置(HDD)の利用、画像データの圧縮及び伸張等を行う。
OCS1226は、オペレータと本体制御間の情報伝達手段となる操作パネルを制御するモジュールであり、オペレータのキー操作イベントを本体制御に通知する処理、各アプリがGUIを構築するためのライブラリ関数を提供する処理、構築されたGUI情報をアプリ別に管理する処理、操作パネル上への表示反映処理等を行う。
FCS1227は、システムコントローラの各アプリ層からPSTN/ISDN網を使ったファクシミリ送受信、BKM(バックアップSRAM)で管理されている各種ファクシミリデータの登録/引用、ファクシミリ読み取り、ファクシミリ受信印刷、融合送受信を行うためのAPI(Application Progaram Interface)を提供する。
NCS1228は、ネットワークI/Oを必要とするアプリケーションに対して共通に利用できるサービスを提供するためのモジュール群であり、ネットワーク側から各プロトコルによって受信したデータを各アプリケーションに振り分けたり、アプリケーションからデータをネットワーク側に送信する際の仲介を行ったりする。
なお、例えば、NCS1228で、複数のプロトコルのうちhttpd(Hypertext Transfer Protocol Daemon)200によって、インターネットを介して接続されるネットワーク機器とのデータ通信をHTTP(Hypertext Transfer Protocol)で制御し、HTTPリクエストヘッダで指定されるWebサービスに対応する処理部を関数コールによって起動し、そのWebサービスによる処理結果をHTTPレスポンスで該ネットワーク機器へ通知するように構成しても良い。Webサービスは、例えば、XML(eXtensible Markup Language)によって記述されたメッセージに従って提供される。
IMH1229は、イメージデータを仮想メモリ領域(ユーザ仮想空間)から物理メモリへマップする。プロセスの起動に応じて、システムコールを行ない、プロセス用の仮想メモリ領域をマップしたり、マップした仮想メモリ領域をプロセスの終了時に開放したりする処理等を行なう。
アプリケーション1230は、ページ記述言語(PDL)、PCL及びポストスクリプト(PS)を有するプリンタ用のアプリケーションであるプリンタアプリ1211と、コピー用アプリケーションであるコピーアプリ1212と、ファクシミリ用アプリケーションであるファックスアプリ1213と、スキャナ用アプリケーションであるスキャナアプリ1214と、WebサービスアプリケーションであるWebサービス処理アプリ1215を有する。なお、NCS1228により接続されたネットワークを介して新たなアプリケーションをネットワーク経由で搭載することもできる。また、各アプリケーションはアプリケーションごとに追加又は削除することができる。
Webサービス処理アプリ1215は、Webサービスを要求するHTTPリクエストを受信して、HTTPレスポンスを送信することによってWebサービスを提供するWebサーバ500と、API(Application Progaram Interface)を介してコントロールサービス1250を利用して所定処理を行い、その処理結果をWS−API(Web Service Application Progaram Interface)を介してWebサービスとして提供するWebサービスファンクション(WSF)1400とを有する。
本実施例においてWebサービスファンクション1400に、認証サービス30及び/又はディレクトリサービス40等が実装される。
また、認証チケット50、ユーザ情報、グループ情報、Webサービス利用チケット60及び/又はセッション70等は、後述するHDD1303に格納される。
図34は、融合機のハードウェア構成を示すブロック図である。
図34に示すように、この融合機1200は、オペレーションパネル1310、FAXコントロールユニット(FCU)1530、エンジン部1350(スキャナ1202等が接続される)及びプロッタ1201とコントローラ1300のASIC1301とをPCI(Peripheral ComPonent Interconnect)バス1309等で接続した構成となる。
コントローラ1300は、ASIC1301にMEM−C1302、HDD(Hard Disk Drive)1303などを接続すると共に、このASIC1301とCPU1304とをCPUチップセットのNB1305を介して接続している。
ここで、このASIC1301とNB1305は、単にPCIを介して接続されているのではなく、AGP1308を介して接続されている。
CPU1304は、融合機1200の全体制御を行うものであり、より具体的には、OS1221上でプラットフォーム1220を形成するSCS1222、SRM1223、ECS1224、MCS1225、OCS1226、FCS1227、NCS1228をそれぞれプロセスとして起動して実行させると共に、アプリケーション1230を形成するプリンタアプリ1211、コピーアプリ1212、ファックスアプリ1213、スキャナアプリ1214、Webサービス処理アプリ1215を起動して実行させる。
NB1305は、CPU1304とMEMP1306、SB1307、NIC(Network Interface Card)1341、USB(Universal Serial Bus)1330、IEEE13941340、セントロニクス1342、ドライバI/F1343、ASIC1301とを接続するためのブリッジである。
MEMP1306は、融合機の描画用メモリなどとして用いるシステムメモリであり、SB1307は、NB1305とROMPCIデバイス、周辺デバイスとを接続するためのブリッジである。MEM−C1302は、コピー用画像バッファ、符号バッファとして用いるローカルメモリであり、ASIC1301は、画像処理用のハードウェア要素を有する画像処理用途向けのICである。
ドライバI/F1343は、挿入された、プログラム又はアプリケーション等が格納されている記録媒体から、プログラム又はアプリケーション等を読み込んで、融合機1200に搭載するのに用いるI/Fである。なお、例えば記録媒体としては、SDメモリカード、スマートメディア、マルチメディアカード、コンパクトフラッシュ(登録商標)等がある。
HDD1303は、画像データの蓄積、プログラムの蓄積、フォントデータの蓄積、フォームの蓄積、文書の蓄積を行うストレージであり、また、本実施例における認証チケット50、ユーザ情報、グループ情報、Webサービス利用チケット60及び/又はセッション70等を格納する。オペレーションパネル1310は、操作者からの入力操作の受け付け並びに操作者に向けた表示を行う操作部である。
ASIC1301には、MEM−C1302を接続するためのRAMインターフェースと、HDD1303を接続するためのハードディスクインターフェースが設けられ、これらの記憶部に対して画像データの入出力を行う場合には、入出力先がRAMインターフェース又はハードディスクインターフェースに切り替えられる。
AGP1308は、グラフィック処理を高速化するために提案されたグラフィックスアクセラレーターカード用のバスインターフェースであり、システムメモリに高スループットで直接アクセスすることにより、グラフィックスアクセラレーターカードを高速にする。
以上、本発明の好ましい実施例について詳述したが、本発明は係る特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
第三者機関による認証の基本概念を説明するための図である。 第三者機関による安全な認証の基本概念を説明するための図である。 認証サービス提供サーバの一例のハードウェア構成図である。 Webサービス提供サーバの一例のハードウェア構成図である。 認証サービス提供方法及び/又はWebサービス提供方法を説明するためのシーケンス図(その1)である。 認証サービスの一例の機能構成図である。 ディレクトリサービスの一例の機能構成図である。 認証チケット取得リクエストの一例を説明するための図である。 認証チケット取得レスポンスの一例を説明するための図である。 認証チケットの内部構造の一例を説明するための図である。 ユーザ情報構造体の一例を説明するための図である。 グループ情報構造体の一例を説明するための図である。 認証チケット作成処理の一例を説明するためのフローチャートである。 Webサービス利用チケット取得リクエストの一例を説明するための図である。 Webサービス利用チケット取得レスポンスの一例を説明するための図である。 Webサービス利用チケットの内部構造の一例を説明するための図である。 チケット管理部内のデータの概念図である。 Webサービス利用チケット作成処理の一例を説明するためのフローチャートである。 セッション開始リクエストの一例を説明するための図である。 セッション開始リクエストの他の例を説明するための図である。 Webサービス利用チケット解読リクエストの一例を説明するための図である。 Webサービス利用チケット解読レスポンスの一例を説明するための図である。 セッション開始レスポンスの一例を説明するための図である。 セッションの内部構造の一例を説明するための図である。 セッション作成処理の一例を説明するためのフローチャートである。 Webサービス利用チケット解読処理の一例を説明するためのフローチャートである。 ディレクトリサービス利用リクエストの一例を説明するための図である。 ディレクトリサービス利用レスポンスの一例を説明するための図である。 ユーザ一覧取得処理の一例のフローチャートである。 認証サービス提供方法及び/又はWebサービス提供方法を説明するためのシーケンス図(その2)である。 複数のWebサービスが存在した場合の認証サービス提供方法及び/又はWebサービス提供方法の一例を説明するためのシーケンス図である。 他のWebサービスがWebサービス利用チケットを利用する場合の認証サービス提供方法及び/又はWebサービス提供方法の一例を説明するためのシーケンス図である。 融合機の機能構成を示すブロック図である。 融合機のハードウェア構成を示すブロック図である。
符号の説明
1 認証サービス提供サーバ
2 Webサービス提供サーバ
3 クライアント
11、21 入力装置
12、22 表示装置
13、23 ドライブ装置
14、24 記録媒体
15、25 ROM(Read Only Memory)
16、26 RAM(Random Access Memory)
17、27 CPU(Central Processing Unit)
18、28 インターフェース装置
19、29 HDD(Hard Disk Drive)
30 認証サービス
31 認証振り分け部
32 チケット管理部
33 認証プロバイダA
34 認証プロバイダB
35 SOAPスタブ
40 ディレクトリサービス
41 ディレクトリ振り分け部
42 セッション管理部
43 ディレクトリプロバイダA
44 ディレクトリプロバイダB
45 SOAPスタブ
50 認証チケット
60 Webサービス利用チケット
70 セッション
80 Webサービス(ターゲットABC)
90 Webサービス(ターゲットDEF)
100 印刷サービス
200 httpd(Hypertext Transfer Protocol Daemon)
1200 融合機
1201 プロッタ
1202 スキャナ
1203 その他ハードウェアリソース
1210 ソフトウェア群
1211 プリンタアプリ
1212 コピーアプリ
1213 ファックスアプリ
1214 スキャナアプリ
1215 Webサービス処理アプリ
1220 プラットフォーム
1221 OS(Operating System)
1222 SCS(System Control Service)
1223 SRM(System Resource Manager)
1224 ECS(Engine Control Service)
1225 MCS(Memory Control Service)
1226 OCS(Operation panel Control Service)
1227 FCS(FAX Control Service)
1228 NCS(Network Control Service)
1229 IMH(Imaging Memory Handler)
1230 アプリケーション
1301 ASIC(Application Specific Integrated Circuit)
1302 MEM−C
1303 HDD(Hard Disk Drive)
1304 CPU(Central Processing Unit)
1305 NB(ノースブリッジ)
1306 MEMP(システムメモリ)
1307 SB(サウスブリッジ)
1308 AGP(Accelerated Graphics Port)
1309 PCI Bus(Peripheral ComPonent Interconnect Bus)
1310 オペレーションパネル
1330 USB(Universal Serial Bus)
1340 IEEE1394
1341 NIC(Network Interface Card)
1342 セントロニクス
1350 エンジン部
1400 WSF(Webサービスファンクション)
1530 FCU(FAXコントロールユニット)

Claims (8)

  1. プリンタとスキャナの少なくとも一つを含むハードウエアリソースと、オペレーティングシステムと、前記オペレーティングシステムで動作可能であり画像形成処理に関係するサービスを提供する複数のアプリケーションプログラムと、前記オペレーティングシステムで動作可能であり前記複数のアプリケーションプログラムの一つから処理要求を受信し該受信した処理要求に基づきハードウエアリソースを制御するコントロールプログラムと、を有する画像形成装置であって、
    クライアントから、Webサービス提供装置により提供され、該クライアントが利用するWebサービスを識別するためのWebサービス識別子とともに、該Webサービスの利用の許可に係るWebサービス利用許可情報取得の要求を取得する取得部と、
    前記要求に応じて、前記Webサービス利用許可情報を作成するWebサービス利用許可情報作成と、
    作成した該Webサービス利用許可情報と、該Webサービス利用許可情報により利用を許可するWebサービスの前記Webサービス識別情報とを関連付けて管理する管理部と、
    前記Webサービス提供装置から、該Webサービス提供装置の提供するWebサービスのWebサービス識別情報を含むWebサービス利用許可情報の解読要求を受信する解読要求受信部と、
    前記解読要求に応じて、該Webサービス利用許可情報を解読する解読を有し、
    前記解読部は、前記Webサービス提供装置からのWebサービス利用許可情報に含まれるWebサービス識別情報と、前記管理段階において前記Webサービス利用許可情報と関連付けて管理されているWebサービス識別情報とを比較して、有効なWebサービス利用許可情報であるか否かを判定する判定部を含むこと、
    を特徴とする画像形成装置
  2. 前記Webサービス利用許可情報を識別する識別情報を、前記Webサービス利用許可情報として前記クライアントに送信するWebサービス利用許可情報送信部を更に有することを特徴とする請求項1記載の画像形成装置
  3. 前記解読部において解読した解読結果を含む前記Webサービス利用許可情報の解読応答を、前記Webサービス提供装置に送信する解読応答送信部を更に有することを特徴とする請求項1又は2記載の画像形成装置
  4. クライアントからの要求に応じて、ユーザの認証に係るユーザ認証情報を作成するユーザ認証情報作成部を更に有することを特徴とする請求項1乃至3何れか一項記載の画像形成装置。
  5. 前記ユーザ認証情報を識別する識別情報を、前記ユーザ認証情報として前記クライアントに送信するユーザ認証情報送信部を更に有することを特徴とする請求項4記載の画像形成装置。
  6. 前記管理部は、前記ユーザ認証情報を更に管理することを特徴とする請求項4又は5記載の画像形成装置。
  7. 前記Webサービス利用許可情報作成部は、クライアントからの要求に含まれる前記ユーザ認証情報に基づいて、前記Webサービス利用許可情報を作成することを特徴とする請求項4乃至6何れか一項記載の画像形成装置。
  8. 前記Webサービス利用許可情報作成部は、前記ユーザ認証情報が有効な間、クライアントからの要求に含まれる同一の前記ユーザ認証情報に基づいて、対応するWebサービスの利用の許可に係るWebサービス利用許可情報を作成することを特徴とする請求項7記載の画像形成装置。
JP2004162240A 2003-06-06 2004-05-31 画像形成装置 Expired - Fee Related JP4476025B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2004162240A JP4476025B2 (ja) 2003-06-06 2004-05-31 画像形成装置
US10/859,958 US7562217B2 (en) 2003-06-06 2004-06-04 Web service provider and authentication service provider

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2003162592 2003-06-06
JP2003162593 2003-06-06
JP2004162240A JP4476025B2 (ja) 2003-06-06 2004-05-31 画像形成装置

Publications (2)

Publication Number Publication Date
JP2005018749A JP2005018749A (ja) 2005-01-20
JP4476025B2 true JP4476025B2 (ja) 2010-06-09

Family

ID=34198739

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004162240A Expired - Fee Related JP4476025B2 (ja) 2003-06-06 2004-05-31 画像形成装置

Country Status (1)

Country Link
JP (1) JP4476025B2 (ja)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4718257B2 (ja) * 2005-07-06 2011-07-06 株式会社エヌ・ティ・ティ・ドコモ 分散認証アクセス制御システム
WO2007085175A1 (fr) * 2006-01-24 2007-08-02 Huawei Technologies Co., Ltd. Procédé, système d'authentification et centre d'authentification reposant sur des communications de bout en bout dans le réseau mobile
EP2070248B1 (en) * 2006-09-27 2018-10-10 SecureAuth Corporation System and method for facilitating secure online transactions
US8327142B2 (en) 2006-09-27 2012-12-04 Secureauth Corporation System and method for facilitating secure online transactions
JP5026185B2 (ja) * 2007-08-01 2012-09-12 株式会社日立製作所 デジタル放送の通信システム、認証サーバ、icカード及び認証方法
EP2043016A1 (en) * 2007-09-27 2009-04-01 Nxp B.V. Method, system, trusted service manager, service provider and memory element for managing access rights for trusted applications
JP5289104B2 (ja) * 2009-03-05 2013-09-11 三菱電機株式会社 認証先選定システム
JP5024404B2 (ja) 2010-03-03 2012-09-12 コニカミノルタビジネステクノロジーズ株式会社 画像処理システム、情報処理装置、プログラムおよびジョブ実行方法
JP6582832B2 (ja) * 2015-09-30 2019-10-02 株式会社リコー 電子機器、情報処理システム及び外部連携方法
JP6714886B2 (ja) * 2019-04-23 2020-07-01 京セラドキュメントソリューションズ株式会社 印刷システムおよびジョブ送信プログラム

Also Published As

Publication number Publication date
JP2005018749A (ja) 2005-01-20

Similar Documents

Publication Publication Date Title
US7562217B2 (en) Web service provider and authentication service provider
KR101614578B1 (ko) 정보 처리 장치, 그 제어 방법, 저장 매체, 및 화상 처리 장치
JP4314267B2 (ja) アクセス制御装置およびアクセス制御方法及び印刷システム
US7865933B2 (en) Authentication agent apparatus, authentication method, and program product therefor
US20090109477A1 (en) Server apparatus, management system, and method
JP6278651B2 (ja) ネットワークシステム、管理サーバシステム、制御方法及びプログラム
US20090138965A1 (en) Systems and methods for providing access control and accounting information for web services
US20060104656A1 (en) Image formation system with authentication function
US20120293819A1 (en) Information processing system, information processing device, and relay server
JPH09293036A (ja) プリント処理装置
JP4476025B2 (ja) 画像形成装置
EP3073365A1 (en) Networked image forming apparatus, networked image forming system and method of image forming
JP2009070385A (ja) 装置使用データを管理する手法
JP2004289302A (ja) 利用者制限システム
US20050198494A1 (en) Information-processing device, information-processing system, information-processing method, information-processing program, and recording medium
JP2004171525A (ja) サービス提供装置、サービス提供方法、サービス提供プログラム及び記録媒体
JP2004122778A (ja) 画像形成装置及び利用制御方法
JP2004129247A (ja) 画像形成装置及び利用制御方法
JP2017173914A (ja) 画像形成システム、画像形成方法、画像形成装置、およびプログラム
JP4476024B2 (ja) 認証サービス提供システム
JP2010193054A (ja) 画像処理システム、画像処理装置、画像処理方法、プログラムおよび記録媒体
JP2004151942A (ja) ウェブサービス提供装置、ウェブサービス提供方法およびウェブサービス提供プログラム
JP5286232B2 (ja) 画像形成システムおよびユーザマネージャサーバ装置
JP2006293742A (ja) 画像形成システムおよび画像形成装置およびサービス連携処理方法およびコンピュータが読み取り可能なプログラムを格納した記憶媒体およびプログラム
JP4440584B2 (ja) サービス提供システム、サービス提供方法、サービス提供プログラム及び記録媒体

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20061218

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091208

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100205

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100302

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100309

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130319

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140319

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees