JP4555038B2 - Network system, usage authority determination method, network device, program, and recording medium - Google Patents

Network system, usage authority determination method, network device, program, and recording medium Download PDF

Info

Publication number
JP4555038B2
JP4555038B2 JP2004272465A JP2004272465A JP4555038B2 JP 4555038 B2 JP4555038 B2 JP 4555038B2 JP 2004272465 A JP2004272465 A JP 2004272465A JP 2004272465 A JP2004272465 A JP 2004272465A JP 4555038 B2 JP4555038 B2 JP 4555038B2
Authority
JP
Japan
Prior art keywords
user
authentication
network
authority
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2004272465A
Other languages
English (en)
Other versions
JP2006085641A (ja
Inventor
雄一 寺尾
Original Assignee
株式会社リコー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社リコー filed Critical 株式会社リコー
Priority to JP2004272465A priority Critical patent/JP4555038B2/ja
Publication of JP2006085641A publication Critical patent/JP2006085641A/ja
Application granted granted Critical
Publication of JP4555038B2 publication Critical patent/JP4555038B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for supporting authentication of entities communicating through a packet data network
    • H04L63/083Network architectures or network communication protocols for network security for supporting authentication of entities communicating through a packet data network using passwords

Description

この発明は、ユーザに権限に応じた機能の利用を許可するネットワーク機器と、そのネットワーク機器と通信可能な認証装置とを備えたネットワークシステム、上記のようなネットワーク機器における利用権限判定方法、上記のようなネットワーク機器、コンピュータに上記のようなネットワーク機器を制御させるためのプログラム、およびこのようなプログラムを記録したコンピュータ読み取り可能な記録媒体に関する。   The present invention provides a network system including a network device that allows a user to use a function according to authority, and an authentication device that can communicate with the network device, a use authority determination method in the network device as described above, The present invention relates to such a network device, a program for causing a computer to control the above network device, and a computer-readable recording medium on which such a program is recorded.

従来から、デジタル複合機(MFP)のようなネットワーク機器において、ユーザやグループごとに利用できる機能を制限できるようにすることが行われている。そして、このような装置においては、ユーザに操作パネルからユーザコードを入力させたり、IDカードを使用させたりして個人を識別し、各ユーザに、許可された権限の範囲内でのみ装置を使用させるようにすることが可能である。
このような装置によれば、ユーザごとにコピーの色の制限やファクス送信、印刷、スキャナなどの利用制限をかけたり、部門ごとに使用量を集計してその上限を設定し過度の使用を防ぐといったことが可能である。
このような装置については、例えば特許文献1乃至3に記載されている。
特開2002−178567号公報 特開2002−240398号公報 特開平10−58796号公報
Conventionally, in a network device such as a digital multi-function peripheral (MFP), functions that can be used for each user or group can be restricted. In such a device, the user is allowed to input a user code from the operation panel or an ID card is used to identify an individual, and each user can use the device only within the permitted authority range. It is possible to make it.
According to such an apparatus, restrictions on copy colors and fax transmission, printing, scanners, etc. are imposed on each user, and usage is aggregated for each department to set an upper limit to prevent overuse. It is possible.
Such an apparatus is described in Patent Documents 1 to 3, for example.
JP 2002-178567 A JP 2002-240398 A Japanese Patent Laid-Open No. 10-58796

なお、これらの上記の特許文献1乃至3に記載の装置は、ユーザの識別(認証)を機器自身が行うものであるが、ユーザ情報や各ユーザが有する各機器の利用権限の情報を一元管理するディレクトリサーバを設け、複数のネットワーク機器がこのディレクトリサーバにおける認証機能を利用してユーザの利用権限有無を判定できるようにするシステムも提案されている。
このような技術については、特許文献4に記載されている。
特開2002−202945号公報
The devices described in the above-mentioned Patent Documents 1 to 3 are devices that perform user identification (authentication) by themselves, but centrally manage user information and information on the authority of use of each device possessed by each user. There has also been proposed a system in which a directory server is provided so that a plurality of network devices can determine whether or not the user has authority to use the authentication function in the directory server.
Such a technique is described in Patent Document 4.
JP 2002-202945 A

しかしながら、上記の特許文献1乃至3に記載のような、ユーザに機能を提供するネットワーク機器自身が認証処理を行う構成では、ユーザ環境において複数のネットワーク機器を使用する場合、新規にユーザを追加したりユーザを削除したりする場合に、機器毎に個別にユーザIDやパスワード等を登録や削除する必要があり、設定が煩わしいという問題があった。   However, in the configuration in which the network device itself providing the function to the user performs authentication processing as described in Patent Documents 1 to 3, when a plurality of network devices are used in the user environment, a new user is added. When deleting a user or deleting a user, it is necessary to register or delete a user ID, a password, or the like for each device individually, and there is a problem that the setting is troublesome.

一方、特許文献4に記載のように、ユーザ情報や利用権限の情報を一元管理するサーバを設け、各機器における権限や、ネットワークへのログインに使用する情報等を一括して管理するようにすれば、このような問題は解決には有効である。しかし、このようなサーバを利用可能とするためには、サーバに各ユーザについて各ネットワーク機器についてのアクセス制限の情報を記載したデータベースを作成する必要があった。そして、このようなデータベースの作成には深いネットワーク知識が必要である上、煩雑な作業が必要であるという問題があった。
この発明は、このような問題を解決し、多数のネットワーク機器を使用する場合でも、容易に各ユーザの利用権限を設定できるようにすることを目的とする。
On the other hand, as described in Patent Document 4, a server that centrally manages user information and usage authority information is provided so that the authority in each device, information used for logging in to the network, and the like are managed collectively. For example, such a problem is effective in solving the problem. However, in order to be able to use such a server, it is necessary to create a database in which access restriction information for each network device is described for each user. In addition, the creation of such a database requires a deep network knowledge and a complicated work.
An object of the present invention is to solve such problems and to easily set the usage authority of each user even when a large number of network devices are used.

この発明は、上記の目的を達成するため、ネットワーク機器と認証装置とを備えるネットワークシステムにおいて、上記認証装置に、上記ネットワーク機器を使用するユーザの識別情報及び、該ユーザが属するグループを示すグループ情報を記憶する記憶手段と、上記ネットワーク機器からユーザの識別情報を受信した場合に、該識別情報に係るユーザが属するグループを示すグループ情報を上記ネットワーク機器に送信する送信手段とを設け、上記ネットワーク機器に、ユーザの識別情報を用いてユーザを認証するローカル認証手段と、上記認証装置を用いてユーザを認証するネットワーク認証を行うか、上記ローカル認証手段を用いてユーザを認証するローカル認証を行うかを設定する設定手段と、上記グループ毎に自身の機能の利用権限を示す利用権限情報と、上記ユーザ毎に自身の機能の利用権限を示す利用権限情報とを記憶する記憶手段と、ユーザが自身を使用しようとした場合に、上記設定手段により上記ネットワーク認証を行う設定がされている場合には、該ユーザの識別情報を上記認証装置に送信し、上記設定手段により上記ローカル認証を行う設定がされている場合には、該ユーザの識別情報を上記ローカル認証手段に渡す認証情報処理手段と、上記設定手段により上記ネットワーク認証を行う設定がされている場合には、上記認証装置から受信したグループ情報と、上記グループ毎の利用権限情報とに基づ、自身を使用しようとしたユーザの利用権限有無を判断し、上記設定手段により上記ローカル認証を行う設定がされている場合には、上記ローカル認証手段による認証の結果と上記ユーザ毎の利用権限情報とに基づいて、自身を使用しようとしたユーザの利用権限有無を判断する判断手段とを設けたものである。 In order to achieve the above object, according to the present invention, in a network system including a network device and an authentication device, identification information of a user who uses the network device in the authentication device and group information indicating a group to which the user belongs Storage means for storing information, and transmission means for transmitting, to the network device, group information indicating a group to which the user according to the identification information belongs when the user identification information is received from the network device. Whether local authentication means for authenticating the user using the user identification information and network authentication for authenticating the user using the authentication device or local authentication for authenticating the user using the local authentication means and setting means for setting the right of use of its own function for each of the group Performing the access authority information indicating a storage means for storing the use authority information indicating authority to use its features for each of the user, when the user tries to use its own, the network authentication by said setting means When the setting is made, the user identification information is transmitted to the authentication device, and when the setting means is set to perform the local authentication, the user identification information is sent to the local authentication means. an authentication information processing means to pass to, when it is set to perform the network authentication by said setting means, and the group information received from the authentication device,-out based on the use authority information for each said group, itself determining the use authority existence of the user who attempts to use the, if it is set to perform the local authentication by the setting means, said local authentication Based on the results of authentication by stage and use authority information for each said user, is provided with a determination means for determining the use authority whether users who try to use itself.

このようなネットワークシステムにおいて、上記ネットワーク機器の判断手段が、上記認証装置からあるユーザが複数のグループに属することを示すグループ情報を受信した場合に、その複数のグループ中の少なくとも1つのグループについて利用権限のある機能については、そのユーザに利用権限を認めるようにするとよい。
あるいは、上記ネットワーク機器の判断手段が、上記認証装置からあるユーザが複数のグループに属することを示すグループ情報を受信した場合に、その複数のグループ全てについて利用権限のある機能についてのみ、そのユーザに利用権限を認めるようにしてもよい。
In such a network system, when the determination unit of the network device receives group information indicating that a user belongs to a plurality of groups from the authentication device, the network device uses the information about at least one of the plurality of groups. For authorized functions, the user should be allowed to use the function.
Alternatively, when the determination unit of the network device receives group information indicating that a user belongs to a plurality of groups from the authentication device, only the function for which the plurality of groups are authorized to use the group You may make it grant use authority.

あるいは、上記ネットワーク機器の記憶手段に、デフォルトグループに関する利用権限情報を記憶させておき、上記ネットワーク機器の判断手段が、上記認証装置からあるユーザが属するグループがないことを示すグループ情報を受信した場合でも、そのユーザに上記デフォルトグループに係る利用権限を認めるようにしてもよい。
また、上記の各ネットワークシステムについて、上記認証装置において、上記記憶手段に上記各グループについてIDを記憶させると共に、上記送信手段が上記グループ情報としてグループのIDを送信するようにし、上記ネットワーク機器において、上記記憶手段が上記グループ毎に上記利用権限情報を上記グループのID毎に記憶すると共に、上記判断手段が上記認証装置から受信したグループのIDに基づいてユーザの利用権限有無を判断するようにするとよい。
Alternatively, the use authority information on the default group is stored in the storage unit of the network device, and the determination unit of the network device receives group information indicating that there is no group to which a certain user belongs from the authentication device. However, the user may be authorized to use the default group.
In each of the network systems, in the authentication device, the storage unit stores an ID for each group, and the transmission unit transmits a group ID as the group information. together with the storage means for storing the use authority information for each of the groups for each ID of the group, when the determination means so as to determine the usage rights presence of the user on the basis of the ID of the group received from the authentication device Good.

また、この発明のネットワーク機器における利用権限判定方法は、ネットワーク機器における利用権限判定方法において、上記ネットワーク機器とネットワークを介して通信可能な上記認証装置に、上記ネットワーク機器を使用するユーザの識別情報及び、該ユーザが属するグループを示すグループ情報を記憶する記憶手順と、上記ネットワーク機器からユーザの識別情報を受信した場合に、該識別情報に係るユーザが属するグループを示すグループ情報を上記ネットワーク機器に送信する送信手順とを実行させ、上記ネットワーク機器に、ユーザの識別情報を用いてユーザを認証するローカル認証手順と、上記認証装置を用いてユーザを認証するネットワーク認証を行うか、上記ローカル認証手順を用いてユーザを認証するローカル認証を行うかを設定する設定手順と、上記グループ毎に自身の機能の利用権限を示す利用権限情報と、上記ユーザ毎に自身の機能の利用権限を示す利用権限情報とを記憶する記憶手順とユーザが自身を使用しようとした場合に、上記設定手順において上記ネットワーク認証を行う設定がされている場合には、該ユーザの識別情報を上記認証装置に送信し、上記設定手順において上記ローカル認証を行う設定がされている場合には、該ユーザの識別情報を上記ローカル認証手順による認証に供する認証情報処理手順と、上記設定手順において上記ネットワーク認証を行う設定がされている場合には、上記認証装置から受信したグループ情報と、上記グループ毎の利用権限情報とに基づ、自身を使用しようとしたユーザの利用権限有無を判定し、上記設定手順により上記ローカル認証を行う設定がされている場合には、上記ローカル認証手順による認証の結果と上記ユーザ毎の利用権限情報とに基づいて、自身を使用しようとしたユーザの利用権限有無を判定する判定手順とを実行させるようにしたものである。 Further, the use authority determining method in the network device according to the present invention is the use authority determining method in the network device, wherein the authentication device capable of communicating with the network device via the network has identification information of a user who uses the network device, and A storage procedure for storing group information indicating a group to which the user belongs, and when receiving user identification information from the network device, group information indicating a group to which the user according to the identification information belongs is transmitted to the network device. to execute a transmission procedure that, to the network device, a local authentication procedure for authenticating the user using the identification information of the user, whether to perform a network authentication to authenticate a user by using the authentication device, the local authentication procedure Use local authentication to authenticate users A setting procedure for setting out if, and access authority information indicating authority to use its features for each of the groups, a storage procedure for storing the use authority information indicating authority to use its features for each of the user, the user If it is set to perform the network authentication in the setting procedure when trying to use itself, the user identification information is transmitted to the authentication device, and the local authentication is performed in the setting procedure. If the authentication information processing procedure used to authenticate the user identification information by the local authentication procedure and the network authentication is set in the setting procedure, the authentication apparatus and received group information,-out based on the use authority information for each of the above-mentioned group, to determine the authority to use the presence or absence of the user who tries to use its own, above If the local authentication is set according to the setting procedure, based on the result of the authentication by the local authentication procedure and the usage authority information for each user, whether or not the user has authority to use the user is determined. The determination procedure for determining is executed .

また、この発明のネットワーク機器は、ユーザの識別情報を用いてユーザを認証するローカル認証手段と、ネットワークを介して通信可能な認証装置を用いてユーザを認証するネットワーク認証を行うか、上記ローカル認証手段を用いてユーザを認証するローカル認証を行うかを設定する設定手段と、上記ユーザが属するグループ毎に自身の機能の利用権限を示す利用権限情報と、上記ユーザ毎に自身の機能の利用権限を示す利用権限情報とを記憶する記憶手段と、ユーザが自身を使用しようとした場合に、上記設定手段により上記ネットワーク認証を行う設定がされている場合には、該ユーザの識別情報を上記認証装置に送信し、上記設定手段により上記ローカル認証を行う設定がされている場合には、該ユーザの識別情報を上記ローカル認証手段に渡す認証情報処理手段と、上記設定手段により上記ネットワーク認証を行う設定がされている場合には、上記認証装置から受信したグループ情報と、上記グループ毎の利用権限情報とに基づ、自身を使用しようとしたユーザの利用権限有無を判断し、上記設定手段により上記ローカル認証を行う設定がされている場合には、上記ローカル認証手段による認証の結果と上記ユーザ毎の利用権限情報とに基づいて、自身を使用しようとしたユーザの利用権限有無を判断する判断手段とを設けたネットワーク機器である。 Further, the network device of the present invention performs local authentication that authenticates the user using the user identification information and network authentication that authenticates the user using an authentication device that can communicate via the network, or the local authentication described above. Setting means for setting whether to perform local authentication for authenticating a user using means, usage authority information indicating usage authority of own function for each group to which the user belongs , and usage authority of own function for each user Storage means for storing the use authority information indicating the user authentication information, and when the user tries to use himself / herself, if the network authentication is set by the setting means, the identification information of the user is send apparatus, when it is set to perform the local authentication by the setting means, the local identification information of the user An authentication information processing means to pass to the testimony means, when it is set to perform the network authentication by said setting means, and the group information received from the authentication device,-out based on the use authority information for each said group If the setting authority is used to determine whether or not the user who intends to use the user is authorized to use , the result of authentication by the local authenticator and the usage authority information for each user Based on the above, it is a network device provided with a determination means for determining whether or not the user who intends to use the user is authorized to use .

また、この発明のプログラムは、コンピュータにネットワーク機器を制御させるためのプログラムであって、上記コンピュータを、ユーザの識別情報を用いてユーザを認証するローカル認証手段と、ネットワークを介して通信可能な認証装置を用いてユーザを認証するネットワーク認証を行うか、上記ローカル認証手段を用いてユーザを認証するローカル認証を行うかを設定する設定手段と、上記ユーザが属するグループ毎に上記ネットワーク機器の機能の利用権限を示す利用権限情報と、上記ユーザ毎に上記ネットワーク機器の機能の利用権限を示す利用権限情報とを記憶する記憶手段と、ユーザが上記ネットワーク機器を使用しようとした場合に、上記設定手段により上記ネットワーク認証を行う設定がされている場合には、該ユーザの識別情報を上記認証装置に送信し、上記設定手段により上記ローカル認証を行う設定がされている場合には、該ユーザの識別情報を上記ローカル認証手段に渡す認証情報処理手段と、上記設定手段により上記ネットワーク認証を行う設定がされている場合には、上記認証装置から受信したグループ情報と、上記グループ毎の利用権限情報とに基づ、上記ネットワーク機器を使用しようとしたユーザの利用権限有無を判断し、上記設定手段により上記ローカル認証を行う設定がされている場合には、上記ローカル認証手段による認証の結果と上記ユーザ毎の利用権限情報とに基づいて、上記ネットワーク機器を使用しようとしたユーザの利用権限有無を判断する判断手段として機能させるためのプログラムを含むものである。
また、この発明の記録媒体は、上記のプログラムを記録したコンピュータ読取可能な記録媒体である。
The program of the present invention is a program for causing a computer to control a network device, wherein the computer can communicate with local authentication means for authenticating a user using user identification information via a network. Setting means for setting whether to perform network authentication for authenticating a user using a device or local authentication for authenticating a user using the local authentication means, and function of the network device for each group to which the user belongs Storage means for storing use authority information indicating use authority, use authority information indicating use authority of the function of the network device for each user , and setting means when the user intends to use the network device by when it is set to perform the network authentication of the user Another information transmitted to the authentication device, if it is set to perform the local authentication by the setting means, an authentication information processing means to pass the identity of the user to the local authentication means, by the setting means If the setting of performing the network authentication is includes a group information received from the authentication device,-out based on the use authority information for each said group, use authority existence of the user who attempts to use the network device If the setting means is configured to perform the local authentication, the network device is to be used based on the result of authentication by the local authentication means and the usage authority information for each user. The program for functioning as a judgment means which judges the use authority presence or absence of the user who did is included.
The recording medium of the present invention is a computer-readable recording medium on which the above program is recorded.

以上のようなこの発明のネットワークシステム、利用権限判定方法又はネットワーク機器によれば、多数のネットワーク機器を使用する場合でも、容易に各ユーザの利用権限を設定することができる。
また、この発明のプログラムによれば、コンピュータを上記のネットワーク機器として機能させてその特徴を実現し、同様な効果を得ることができる。
この発明の記録媒体によれば、上記のプログラムを記憶していないコンピュータにそのプログラムを読み出させて実行させ、上記の効果を得ることができる。
According to the network system, usage authority determining method or network device of the present invention as described above, the usage authority of each user can be easily set even when a large number of network devices are used.
Further, according to the program of the present invention, the computer can be functioned as the above network device to realize the characteristics thereof, and the same effect can be obtained.
According to the recording medium of the present invention, the above effect can be obtained by causing a computer not storing the above program to read and execute the program.

以下、この発明を実施するための最良の形態について、図面を参照して説明する。
〔実施形態:図1乃至図8〕
まず、この発明のネットワーク機器の実施形態であるデジタル複合機(MFP)及び、そのデジタル複合機を備えたネットワークシステムについて説明する。
まず図1に、上記のMFPの構成を示す。
この図に示すとおり、MFP100は、CPU101,ROM102,RAM103,画像蓄積メモリ104,記憶装置105,LAN(ローカル・エリア・ネットワーク)コントローラ106,FAX(ファクシミリ)通信部107,スキャナ部108,プロッタ部109,パネルI/F(インタフェース)110を備え、これらがシステムバス111によって接続されている。また、パネルI/F110には操作表示部112が接続されている。
The best mode for carrying out the present invention will be described below with reference to the drawings.
[Embodiment: FIGS. 1 to 8]
First, a digital multi-function peripheral (MFP) that is an embodiment of a network device of the present invention and a network system including the digital multi-function peripheral will be described.
FIG. 1 shows the configuration of the MFP.
As shown in this figure, the MFP 100 includes a CPU 101, a ROM 102, a RAM 103, an image storage memory 104, a storage device 105, a LAN (local area network) controller 106, a FAX (facsimile) communication unit 107, a scanner unit 108, and a plotter unit 109. , Panel I / F (interface) 110, which are connected by a system bus 111. An operation display unit 112 is connected to the panel I / F 110.

そして、CPU101は、MFP100全体を統括制御する制御手段であり、ROM102や記憶装置105に記憶している種々の制御プログラムを実行することにより、後述するように、送信手段や判断手段等の各手段として機能し、この実施形態の特徴に係る種々の機能を実現する。
ROM102は、不揮発性の記憶手段であり、CPU101が実行する制御プログラムや、固定的なパラメータ等を記憶する。ROM102を書き換え可能な記憶手段として構成し、これらのデータをアップデートできるようにしてもよい。
RAM103は、一時的に使用するデータを記憶したり、CPU101のワークメモリとして使用したりする揮発性の記憶手段である。このRAM103は、電源が遮断されても記憶内容を保持できるようにバッテリによってバックアップしておくとよい。
The CPU 101 is a control unit that performs overall control of the entire MFP 100, and executes various control programs stored in the ROM 102 and the storage device 105, so that each unit such as a transmission unit and a determination unit is described later. And realize various functions according to the features of this embodiment.
The ROM 102 is a non-volatile storage unit, and stores a control program executed by the CPU 101, fixed parameters, and the like. The ROM 102 may be configured as a rewritable storage means so that these data can be updated.
The RAM 103 is a volatile storage unit that stores temporarily used data or is used as a work memory of the CPU 101. The RAM 103 may be backed up by a battery so that the stored contents can be retained even when the power is turned off.

画像蓄積メモリ104は、RAM等によって構成され、FAX通信部107で受信した画像や、スキャナ部108で読み取った画像のデータを記憶する記憶手段である。
記憶装置105は、NVRAM(不揮発RAM)やHDD(ハードディスクドライブ)等によって構成される書き換え可能な不揮発性記憶手段であり、CPU101に実行させる制御プログラムや、装置の電源がOFFされた後でも保持しておく必要があるデータあるいはパラメータの値などを記憶する。後述する権限情報も、この記憶装置105に記憶させておくようにするとよい。
The image storage memory 104 is configured by a RAM or the like, and is a storage unit that stores image data received by the FAX communication unit 107 and image data read by the scanner unit 108.
The storage device 105 is a rewritable nonvolatile storage means configured by NVRAM (nonvolatile RAM), HDD (hard disk drive), etc., and holds the control program executed by the CPU 101 and the device even after the power is turned off. Stores data or parameter values that need to be stored. The authority information described later may be stored in the storage device 105.

LANコントローラ106は、MFP100をネットワークに接続するためのインタフェース及び通信制御に必要な回路等を含むユニットであり、例えばイーサネット(登録商標)方式の通信を行うためのインタフェースである。そして、ネットワークを介して他の装置と通信を行う場合、このLANコントローラ106とCPU101とが通信手段として機能する。なお、ネットワークは、イーサネット、無線LAN、IEEE(Institute of Electrical and Electronic Engineers)1394等、有線、無線を問わず種々の方式のものが使用可能である。
FAX通信部107は、画像の符号化や復号化を行う符号化復号化部、公衆通信網を介した通信を制御する網制御部等によって構成され、外部装置との間でファクシミリ通信により画情報の送受信を行う通信手段である。
The LAN controller 106 is a unit including an interface for connecting the MFP 100 to a network and a circuit necessary for communication control, and is an interface for performing Ethernet (registered trademark) communication, for example. And when communicating with another apparatus via a network, this LAN controller 106 and CPU101 function as a communication means. Note that various types of networks can be used regardless of whether they are wired or wireless, such as Ethernet, wireless LAN, IEEE (Institute of Electrical and Electronic Engineers) 1394.
The FAX communication unit 107 includes an encoding / decoding unit that encodes and decodes an image, a network control unit that controls communication via a public communication network, and the like. It is a communication means which transmits / receives.

スキャナ部108は、原稿の画像を画像データとして読み取る画像読取手段である。
プロッタ部109は、画像データに基づいて用紙に画像を形成する画像形成手段である。
操作部I/F110は、表示操作部112をシステムバス111と接続するためのインタフェースである。そして、表示操作部112は、液晶ディスプレイにタッチパネルを積層した操作パネルや、各種キー等を備え、画面にメッセージやGUIを表示したり、ユーザからによる動作指示や情報入力等の操作を受け付ける機能を有する。
このMFP100は、以上のような構成を有し、CPU101が所要の制御プログラムを実行して各部を制御することにより、プリント、スキャン、コピー、ファクシミリ通信等の種々の機能を実現することができる画像処理装置である。
The scanner unit 108 is an image reading unit that reads an image of a document as image data.
The plotter unit 109 is an image forming unit that forms an image on a sheet based on image data.
The operation unit I / F 110 is an interface for connecting the display operation unit 112 to the system bus 111. The display operation unit 112 includes an operation panel in which a touch panel is stacked on a liquid crystal display and various keys. The display operation unit 112 displays a message and a GUI on the screen, and receives a function such as an operation instruction or information input from a user. Have.
The MFP 100 has the above-described configuration, and the CPU 101 executes a necessary control program to control each unit, so that various functions such as printing, scanning, copying, and facsimile communication can be realized. It is a processing device.

次に、図2にこのMFPを備えるネットワークシステムの構成例を示す。
図2に示すネットワークシステムは、この発明のネットワークシステムの実施形態であり、図1に示したMFP100と、認証装置である認証サーバ200とをLAN400によって接続して構成している。また、LAN400には、それぞれネットワーク通信手段を備えたネットワーク機器である複写機301,プリンタ302,FAX装置303,スキャナ304,PC(パーソナルコンピュータ)305も接続している。
Next, FIG. 2 shows a configuration example of a network system including this MFP.
The network system shown in FIG. 2 is an embodiment of the network system of the present invention, and is configured by connecting MFP 100 shown in FIG. 1 and authentication server 200 as an authentication device via LAN 400. The LAN 400 is also connected to a copying machine 301, a printer 302, a FAX apparatus 303, a scanner 304, and a PC (personal computer) 305, each of which is a network device having network communication means.

ここで、認証サーバ200は、ハードウェアとしては、CPU,ROM,RAM,HDD,ネットワークI/F等を備えた公知のコンピュータでよい。しかし、ROMやHDDに記憶させた所要の制御プログラムをCPUに実行させることにより、SAM(セキュリティ・アカウント・マネージャ)データベースを用いてLAN400内で使用するユーザアカウント情報を管理するサーバ装置として機能させるようにしている。そして、SAMデータベースにおいては、ユーザアカウントとそのユーザが属するグループとを対応させて管理しており、ユーザ名とパスワードのようなユーザの識別情報によってユーザを認証し、そのユーザが属するグループを特定する機能を有する。   Here, the authentication server 200 may be a known computer including a CPU, ROM, RAM, HDD, network I / F, and the like as hardware. However, by causing the CPU to execute a required control program stored in the ROM or HDD, it functions as a server device that manages user account information used in the LAN 400 using a SAM (security account manager) database. I have to. In the SAM database, a user account and a group to which the user belongs are managed in association with each other, the user is authenticated by the user identification information such as a user name and a password, and the group to which the user belongs is specified. It has a function.

また、認証サーバ200は、LAN400上の各ネットワーク機器からの要求に応じてユーザを認証すると共に、そのユーザが属するグループ名をその要求元に通知する機能も有する。従って、MFP100やPC305を始めとする各ネットワーク機器は、自身でユーザ個々のユーザ名やパスワードを管理しなくても、認証サーバ200が管理しているユーザアカウントを利用してユーザを認証し、そのユーザの属するグループの情報を取得することができる。従って、認証サーバ200におけるユーザアカウントを変更するだけで、そのユーザアカウントを利用している全てのネットワーク機器についてユーザアカウントを変更した場合と同等な効果を得ることができる。   The authentication server 200 also has a function of authenticating a user in response to a request from each network device on the LAN 400 and notifying the request source of a group name to which the user belongs. Therefore, each network device including the MFP 100 and the PC 305 authenticates the user by using the user account managed by the authentication server 200 without managing the user name and password of each user. Information on the group to which the user belongs can be acquired. Therefore, by simply changing the user account in the authentication server 200, it is possible to obtain the same effect as when the user account is changed for all the network devices that use the user account.

次に、図3に、上記のようなMFP100及び認証サーバ200の機能構成のうち、この実施形態の特徴に関連する部分を示す。なお、この図においては、この実施形態の特徴とあまり関係ない部分については図示を省略している。また、図中の各部を結ぶ矢印は、それらの各部の間で情報の授受があることを示すものであり、物理的な構成を意味するものではない。   Next, FIG. 3 shows portions related to the features of this embodiment in the functional configurations of the MFP 100 and the authentication server 200 as described above. In this figure, illustrations of portions that are not very relevant to the features of this embodiment are omitted. Moreover, the arrow which connects each part in a figure shows that there exists exchange of information between those parts, and does not mean a physical structure.

図3に示すように、認証サーバ200には、この実施形態の特徴に関連する機能部として、ユーザ情報記憶部201,ログイン判定部202,グループ判定部203,送受信機能部204を備えている。
そして、ユーザ情報記憶部201は、上述したようなSAMデータベースとして、ユーザの識別情報及び、そのユーザが属するグループを示すグループ情報を記憶する機能を有する。このユーザ情報記憶部201は、ハードウェアとしては、内部のHDD等の記憶手段に設けてもよいし、外部の記憶手段に設けてもよい。
As illustrated in FIG. 3, the authentication server 200 includes a user information storage unit 201, a login determination unit 202, a group determination unit 203, and a transmission / reception function unit 204 as functional units related to the features of this embodiment.
The user information storage unit 201 has a function of storing user identification information and group information indicating a group to which the user belongs as the SAM database as described above. As the hardware, the user information storage unit 201 may be provided in a storage unit such as an internal HDD, or may be provided in an external storage unit.

ログイン判定部202は、LAN400を介して外部のネットワーク機器からユーザの認証を要求された場合に、そのネットワーク機器から認証に使用する識別情報(ここではユーザ名とパスワード)を取得し、これをユーザ情報記憶部201に記憶している情報と比較することによりユーザを認証する認証手段の機能を有する。そして、そのユーザが認証サーバ200にアクセスする権限を有すると判断した場合、認証サーバ200へのログインを許可する機能も有する。   When a user authentication is requested from an external network device via the LAN 400, the login determination unit 202 acquires identification information (user name and password in this case) used for authentication from the network device, and uses this information as a user. It has a function of an authentication means for authenticating a user by comparing with information stored in the information storage unit 201. When it is determined that the user has authority to access the authentication server 200, the user has a function of permitting login to the authentication server 200.

また、グループ判定部203は、ログイン判定部202における認証が成功したユーザについて、そのユーザが属するグループの情報の取得を要求された場合、ユーザ情報記憶部201からそのユーザが属するグループの情報を取得し、要求元に通知する機能を有する。なお、この場合において、情報を通知する前に、情報を要求してきた相手にこれを取得する権限があることを確認するようにするとよい。
送受信機能部204は、外部のネットワーク機器との間で情報を送受信する機能を有する通信手段であり、上述した各部が行う要求の取得や通知の送信は、この送受信機能部204を介して行う。
In addition, for a user who has been successfully authenticated by the login determination unit 202, the group determination unit 203 acquires information on the group to which the user belongs from the user information storage unit 201 when requested to acquire information on the group to which the user belongs. And has a function of notifying the request source. In this case, it is preferable to confirm that the other party who has requested the information has the authority to acquire the information before notifying the information.
The transmission / reception function unit 204 is a communication unit having a function of transmitting / receiving information to / from an external network device, and the above-described request acquisition and notification transmission performed by each unit are performed via the transmission / reception function unit 204.

一方、MFP100には、この実施形態の特徴に関連する機能部として、操作表示部112,権限情報記憶部121,権限判断部122,送受信機能部123,機能提供部124を備えている。
操作表示部112については上述した通りであるが、MFP100の機能を使用する指示や、ユーザ名及びパスワードの入力等、種々の操作を受け付けたり、その受付を行うための画面を表示したりする機能を有する。
On the other hand, the MFP 100 includes an operation display unit 112, an authority information storage unit 121, an authority determination unit 122, a transmission / reception function unit 123, and a function providing unit 124 as function units related to the features of this embodiment.
Although the operation display unit 112 is as described above, the function of accepting various operations such as an instruction to use the function of the MFP 100 and the input of a user name and password, and a screen for accepting the operation are displayed. Have

権限情報記憶部121は、自身の機能のうちユーザに利用権限を与える機能の種類を示す利用権限情報を記憶する記憶手段である。そして、この利用権限情報は、認証サーバ200がSAMデータベースにおいてユーザのグループ分けに用いているグループの種類毎に、そのグループに属するユーザに与える利用権限を示す情報として記憶するようにしている。なお、この権限情報記憶部121に記憶させる利用権限情報は、操作表示部112から入力できるようにしたり、認証サーバ200等の外部装置からテンプレートをダウンロードして編集できるようにしたり、同じく外部装置からグループ名一覧のみダウンロードして各グループについて利用権限を設定できるようにしたりと、種々の方法で設定できるようにすることが考えられる。   The authority information storage unit 121 is a storage unit that stores use authority information indicating the type of function that gives the user authority to use among its own functions. This usage authority information is stored as information indicating the usage authority given to the users belonging to the group for each type of group used by the authentication server 200 for grouping users in the SAM database. Note that the usage authority information stored in the authority information storage unit 121 can be input from the operation display unit 112, can be downloaded from an external device such as the authentication server 200, and can be edited. It is conceivable that only the group name list can be downloaded and the usage authority can be set for each group, or can be set by various methods.

また、権限判断部122は、ユーザがMFP100の機能を利用しようとした場合に、そのユーザが有する利用権限の範囲を判断する判断手段の機能を有する。そしてここでは、この判断は、ユーザがMFP100の機能を利用しようとした場合に、表示操作部112を利用してユーザ名及びパスワードの入力を受け付け、これをMFP200に送信してそのユーザを認証させると共にそのユーザが属するグループの情報を取得し、この情報をもとに、権限情報記憶部121に記憶しているグループ毎の利用権限情報を参照して行うようにしている。
これらの権限情報記憶部121及び権限判断部122の機能がこの実施形態の主要な特徴である。
In addition, authority determination unit 122 has a function of a determination unit that determines the range of use authority of a user when the user tries to use the function of MFP 100. In this case, when the user intends to use the function of the MFP 100, the display operation unit 112 is used to accept the input of the user name and password, and this is transmitted to the MFP 200 to authenticate the user. At the same time, information of the group to which the user belongs is acquired, and based on this information, the use authority information for each group stored in the authority information storage unit 121 is referred to.
The functions of the authority information storage unit 121 and the authority determination unit 122 are the main features of this embodiment.

また、送受信機能部123は、認証サーバ200等の外部装置との間で情報を送受信する機能を有する通信手段であり、権限判断部122は、この送受信機能部123を介してログイン要求の送信やグループ情報の受信等を行う。
機能提供部124は、スキャナ部108,プロッタ部109等を制御することにより、権限判断部122がユーザに利用を許可できると判断した範囲でコピー,プリント,スキャン等の種々の機能を提供する機能を有する。
The transmission / reception function unit 123 is a communication unit having a function of transmitting / receiving information to / from an external device such as the authentication server 200. The authority determination unit 122 transmits a login request via the transmission / reception function unit 123. Receive group information.
The function providing unit 124 controls the scanner unit 108, the plotter unit 109, and the like to provide various functions such as copying, printing, and scanning within a range in which the authority determining unit 122 determines that the user can use the function. Have

ここで、図4に、MFP100において表示操作部112から利用権限情報の入力を受け付けて権限情報記憶部121に記憶させる場合に使用する画面及びその操作手順の例を示す。
MFP100は、権限情報設定の権限を有するユーザに権限情報の設定を要求されると、図4(a)に示すような権限設定画面20を操作表示部112に表示させ、権限情報の設定を受け付けるようにしている。この受け付けも、機能提供部124が提供する機能の1つである
Here, FIG. 4 shows an example of a screen and its operation procedure used when MFP 100 receives input of usage authority information from display operation unit 112 and stores it in authority information storage unit 121.
When the MFP 100 requests the authority information setting authority to set authority information, the MFP 100 displays the authority setting screen 20 as shown in FIG. 4A on the operation display unit 112 and accepts the authority information setting. I am doing so. This acceptance is also one of the functions provided by the function providing unit 124.

そして、権限設定画面20においては、グループ名入力欄21において、利用権限情報を設定しようとするグループのグループ名の入力を受け付けるようにしている。また、変更キー22が押下された場合には、認証サーバ200にアクセスして認証サーバ200がユーザの管理に使用しているグループの情報を取得して一覧表示し、ユーザがその中から利用権限情報を設定するグループを選択してグループ名入力欄21に入力できるようにしている。   On the authority setting screen 20, the group name input field 21 accepts input of the group name of the group for which usage authority information is to be set. When the change key 22 is pressed, the authentication server 200 is accessed, the group information used by the authentication server 200 for user management is acquired and displayed in a list, and the user is authorized to use the information. A group for which information is set can be selected and input to the group name input field 21.

そして、機能選択部23には、MFP100が備える機能と対応するキーを設け、ユーザがグループ名入力欄21で指定したグループユーザに利用権限を与えたい機能のキーを押下すると、その機能に関する権限をより詳細に設定するための、(b)に示すような画面に移行するようにしている。なお、「初期設定」は、権限設定画面20で行うような権限の設定や、ネットワーク通信の設定等、MFP100の基本的な設定を行う機能を示すものである。
Then, the function selection unit 23 is provided with keys corresponding to the functions of the MFP 100, and when the user presses the key of the function that the user wants to give the authority to use to the group specified in the group name input field 21, the authority related to the function is displayed. The screen is shifted to a screen as shown in FIG. The “initial setting” indicates a function for performing basic settings of the MFP 100 such as setting of authority as performed on the authority setting screen 20 and setting of network communication.

また、設定キー25が押下された場合には、権限設定画面20で指定された内容を権限情報記憶部121に記憶させて設定し、取消キー24が押下された場合には権限設定画面20で指定された内容を記憶せずに権限情報の設定を終了するようにしている。
従って、ユーザは、グループ名入力欄21にグループ名を入力し、機能選択部23の各キーを押下してそのグループのユーザに利用を許可する権限の種類を選択し、設定キー25を押下することにより、入力したグループに関する利用権限情報を権限情報記憶部121に記憶させて設定することができる。
When the setting key 25 is pressed, the contents specified on the authority setting screen 20 are set in the authority information storage unit 121, and when the cancel key 24 is pressed, the contents are set on the authority setting screen 20. The setting of authority information is terminated without memorizing the specified contents.
Accordingly, the user inputs a group name in the group name input field 21, presses each key of the function selection unit 23, selects the type of authority permitted to use for the user of the group, and presses the setting key 25. Accordingly, the usage authority information regarding the input group can be stored in the authority information storage unit 121 and set.

一方、(b)には、コピー機能が選択された場合に表示させるコピー権限設定画面30を示している。
そして、このコピー権限設定画面30においては、色指定部32の各キーにより、コピー時に使用を許可する色を指定することができる。図には、「白黒」「単色カラー」「2色カラー」「フルカラー」の各機能に対応させて許可/不許可を独立してトグルで選択可能なキーを用意し、このうち前2者を許可するようにした例を示している。
On the other hand, (b) shows a copy authority setting screen 30 to be displayed when the copy function is selected.
In the copy authority setting screen 30, a color permitted to be used at the time of copying can be designated by each key of the color designation unit 32. In the figure, keys that can be independently toggled to enable / disable are prepared corresponding to each function of “black and white”, “single color”, “two colors”, and “full color”. An example of allowing it is shown.

また、枚数指定部33においては、コピー枚数の「制限なし」と「制限あり」の一方を指定可能であり、「制限あり」を指定した場合には、その右側の入力欄に使用を許可する枚数を入力できるようにしている。図には、コピー枚数を100枚に制限した例を示している。
また、トレイ指定部34では、各キーにより、コピー時に使用できる給紙トレイを指定できるようにしている。図には、「第1給紙トレイ」,「第2給紙トレイ」,「手差しトレイ」の各トレイに対応させて許可/不許可を独立してトグルで選択可能なキーを用意し、このうち前2者の使用を許可するようにした例を示している。
Further, the copy number designation section 33 can designate either “no restriction” or “restriction” for the number of copies, and when “restriction” is designated, the use is permitted in the input field on the right side. You can enter the number of sheets. The figure shows an example in which the number of copies is limited to 100.
In addition, the tray designation unit 34 can designate a paper feed tray that can be used at the time of copying with each key. In the figure, keys that can be independently toggled to enable / disable are prepared corresponding to each of the “first paper feed tray”, “second paper feed tray”, and “manual feed tray”. An example in which the use of the former two is permitted is shown.

そして、ユーザが設定キー36を押下すると、コピーについて使用を許可する機能の情報を一時的に記憶し、もとの権限設定画面20に戻る。このとき、コピーについて機能の指定がなされていることを示すため、コピー機能を選択するキーは網掛けして表示している。
そして、この後設定キー25を押下することにより、それまでに指定した内容を権限情報記憶部121に記憶させて設定することができる。また、機能選択部23において再度機能を選択すれば、その機能に関する権限の設定を追加や削除することもできる。
Then, when the user presses the setting key 36, information on functions permitted to be used for copying is temporarily stored, and the screen returns to the original authority setting screen 20. At this time, the key for selecting the copy function is shaded to indicate that the function is specified for the copy.
Then, by pressing the setting key 25 thereafter, the contents specified so far can be stored in the authority information storage unit 121 and set. Also, if a function is selected again in the function selection unit 23, the authority setting related to the function can be added or deleted.

また、コピー権限設定画面30において取消キー35が押下された場合には、コピー権限設定画面30で指定した内容を記憶せずにもとの権限設定画面20に戻る。この場合には、コピー機能に関する指定はなされていないので、(a)の状態に戻ることになる。
MFP100においては、権限情報設定の権限を有するユーザは、以上のような手順により、各グループについて利用権限情報を設定することができる。そしてここでは、この設定は、MFP100内のみで有効とし、他のネットワーク機器とは無関係に設定できるようにしている。
When the cancel key 35 is pressed on the copy authority setting screen 30, the screen returns to the original authority setting screen 20 without storing the contents specified on the copy authority setting screen 30. In this case, since the copy function is not specified, the state returns to (a).
In MFP 100, a user who has authority to set authority information can set usage authority information for each group by the procedure described above. Here, this setting is valid only in the MFP 100, and can be set regardless of other network devices.

なお、図4(a)に示した権限設定画面20や、機能選択部23での選択に従って表示する各画面において、どのような項目について許可/不許可の指定を受け付けるかについては、機能提供部124が、MFP10がどのような機能をユーザに提供可能かを把握し、その内容に基づいて定めるようにしてもよい。また、コピー権限設定画面30のような詳細な設定を行うための画面を設けず、コピー、プリンタ等のおおまかな括りで権限を設定できるようにしてもよい。   It should be noted that on the authority setting screen 20 shown in FIG. 4A and the screens displayed according to the selection by the function selection unit 23, what items are permitted / not permitted to be specified for the function providing unit. 124 may grasp what functions the MFP 10 can provide to the user and determine the functions based on the contents. In addition, it is possible to set the authority by a general grouping of a copy, a printer, or the like without providing a screen for performing detailed settings like the copy authority setting screen 30.

次に、ユーザがMFP100を使用しようとした場合にMFP100が実行する処理及び、この処理に関連して認証サーバ200が実行する処理について説明する。
まず、図5及び図6にMFP100側の処理を示す。
MFP100のCPU101は、ユーザが操作表示部112等の操作によりMFP100の利用を要求したことを検知した場合に、所要の制御プログラムを実行することにより図5のフローチャートに示す処理を開始する。
Next, a process executed by MFP 100 when the user tries to use MFP 100 and a process executed by authentication server 200 in relation to this process will be described.
First, FIG. 5 and FIG. 6 show processing on the MFP 100 side.
When the CPU 101 of the MFP 100 detects that the user has requested the use of the MFP 100 by operating the operation display unit 112 or the like, the CPU 101 starts the processing shown in the flowchart of FIG. 5 by executing a required control program.

そして、まずステップS101で、利用権限情報を用いてMFP100の利用を制限する利用制限機能が有効となっているか否か判断する。そして、有効であれば、ステップS102に進み、認証サーバ200を用いてユーザを認証するネットワーク認証機能が有効となっているか否か判断する。そして、こちらも有効であれば、ステップS103以降の、認証サーバ200を利用した認証及び権限管理処理に進む。
そして、ステップS103では、操作表示部112にログイン画面を表示させ、ユーザ名とパスワードの入力を要求する。
First, in step S101, it is determined whether or not a use restriction function for restricting use of the MFP 100 is enabled using the use authority information. If it is valid, the process advances to step S102 to determine whether or not the network authentication function for authenticating the user using the authentication server 200 is valid. If this is also valid, the process proceeds to the authentication and authority management processing using the authentication server 200 after step S103.
In step S103, the operation display unit 112 displays a login screen, and requests input of a user name and a password.

図7に、このログイン画面の表示例を示す。
このログイン画面40においては、ユーザ名入力部41においてユーザ名、パスワード入力部42においてパスワードの入力をそれぞれ受け付けるようにしており、ユーザがこれらを入力して設定キー43を押下すると、入力されたパスワードを確定して図5の処理をステップS104以降に進める。ユーザが取消キー44を押下した場合には、図示は省略したが、MFP100の使用は許可できないので図5の処理をステップS116に進める。
図5の説明に戻ると、ステップS103の後、次のステップS104では、ステップS103で入力されたユーザ名とパスワードを認証サーバ200に送信してログインを要求する。そして、ステップS105でログインの成否を判断する。ここで成功していれば、図6のステップS106に進んで、認証サーバ200に認証されたユーザが属するグループの情報を要求し、これを取得する。
FIG. 7 shows a display example of this login screen.
In the login screen 40, the user name input unit 41 accepts the user name and the password input unit 42 accepts the input of the password. When the user inputs these and presses the setting key 43, the input password is entered. And the process of FIG. 5 proceeds to step S104 and subsequent steps. When the user presses the cancel key 44, the illustration is omitted, but the use of the MFP 100 cannot be permitted, so the processing of FIG. 5 proceeds to step S116.
Returning to the description of FIG. 5, after step S103, in the next step S104, the user name and password input in step S103 are transmitted to the authentication server 200 to request login. In step S105, whether or not the login is successful is determined. If the process is successful, the process proceeds to step S106 in FIG. 6, and the authentication server 200 requests and acquires information on the group to which the authenticated user belongs.

そして、ステップS107で、ステップS106で取得したグループが、MFP100に利用権限情報が登録されているいずれかのグループと一致するか否か判断する。この判断は、権限情報記憶部121に記憶している情報を基に行うことができる。そして、ここで一致するものがなければ、利用を要求してきたユーザにはMFP100の利用を許可できないため、図5のステップS115に進んで認証サーバ200からログアウトし、ステップS116でエラー画面を表示して処理を終了する。もちろん、処理の終了後に再度MFP100の利用の要求を受け付けることは可能である。   Then, in step S107, it is determined whether or not the group acquired in step S106 matches any group whose usage authority information is registered in MFP 100. This determination can be made based on information stored in the authority information storage unit 121. If there is no match here, the user who has requested the use cannot be permitted to use the MFP 100. Therefore, the process proceeds to step S115 in FIG. To finish the process. Of course, it is possible to accept a request to use MFP 100 again after the processing is completed.

一方、ステップS107で一致するものがあれば、ステップS108で、該当するグループについて設定されている利用権限情報により、MFP100の利用を要求したユーザに利用を許可できる機能を把握する。この場合において、ユーザが複数のグループに属しており、そのぞれぞれについて利用権限情報があるような場合の処理については、いくつかの方法が考えられるが、これについては後の変形例において述べる。ここでは一例としていずれか1つのグループをユーザに選択させるものとする。   On the other hand, if there is a match in step S107, in step S108, the function that can be used by the user who has requested use of the MFP 100 is grasped from the use authority information set for the corresponding group. In this case, there are several methods for processing when the user belongs to a plurality of groups and there is usage authority information for each of them. State. Here, as an example, it is assumed that the user selects any one group.

そして、次のステップS109では、ユーザに利用を許可できる機能についての操作を受け付けるための画面を、操作表示部112に表示させる。この画面においては、利用を許可できる機能に係るキーのみを表示させたり、利用を許可できる機能に係るキー以外のキーを薄く表示させて操作できないことを示したりすることが考えられる。
そして、ステップS110でその画面における操作に従ってユーザに機能を提供し、これが終了するとステップS111で認証サーバ200からログアウトして処理を終了する。
In step S109, the operation display unit 112 displays a screen for accepting an operation for a function that can be used by the user. On this screen, it is conceivable that only keys related to functions that can be used are displayed, or keys other than keys related to functions that can be used are displayed lightly to indicate that the operation cannot be performed.
In step S110, a function is provided to the user in accordance with the operation on the screen. When this is completed, the process logs out from the authentication server 200 in step S111 and the process is terminated.

また、ステップS102でNOの場合には、認証サーバ200を利用せずに認証処理を行うことになる。そこでこの場合、ステップS112に進み、ユーザ名とパスワードの入力を受け付け、入力されたユーザ名及びパスワードを用いてMFP100自身でローカルの認証処理を行う。この場合の入力受付画面は、図7に示した画面と同様なものでよい。
そして、ステップS113で認証の成否を判断し、成功であれば、ステップS114に進み、ユーザ毎に設定されている利用権限情報に基づいて、利用を要求してきたユーザに利用を許可できる機能を把握する。その後、図6のステップS109に進んで以降の処理を行う。
If NO in step S102, authentication processing is performed without using the authentication server 200. In this case, the process advances to step S112 to accept input of a user name and password, and the MFP 100 itself performs local authentication processing using the input user name and password. The input acceptance screen in this case may be the same as the screen shown in FIG.
In step S113, whether or not the authentication is successful is determined. If successful, the process proceeds to step S114, and based on the usage authority information set for each user, a function that can be used for the user who has requested the use is grasped. To do. Thereafter, the process proceeds to step S109 in FIG. 6 to perform the subsequent processing.

ステップS113で認証失敗であれば、利用を要求してきたユーザにはMFP100の利用を許可できないため、ステップS116でエラー画面を表示して処理を終了する。
また、ステップS101で利用制限機能が無効であった場合には、利用を要求してきたユーザに全ての機能の利用を許可してよいので、ステップS117で全ての機能の利用を許可できると判断し、図6のステップS109に進んで以降の処理を行う。
以上の処理において、ステップS104乃至S108がこの発明の利用権限判定方法の実施形態に係る処理であり、CPU101は、ステップS104の処理においては送信手段として、ステップS107乃至S109の処理においては判断手段として機能する。
If authentication fails in step S113, the user who has requested the use cannot be permitted to use the MFP 100, so an error screen is displayed in step S116 and the process is terminated.
If the use restriction function is invalid in step S101, the user who has requested the use may be allowed to use all the functions. Therefore, in step S117, it is determined that the use of all the functions can be permitted. Then, the process proceeds to step S109 in FIG.
In the processing described above, steps S104 to S108 are processing according to the embodiment of the usage authority determination method of the present invention. Function.

次に、図8に、図5及び図6に示した処理と対応する認証サーバ200側の処理を示す。なお、この図には、図5及び図6に示した処理と関連する部分の処理のみを示し、それ以外の一般的な処理については図示を省略している。
認証サーバ200のCPUは、MFP100等の外部装置からログインの要求を受けた場合に、所要の制御プログラムを実行することにより、図8のフローチャートに示す処理を開始する。
Next, FIG. 8 shows processing on the authentication server 200 side corresponding to the processing shown in FIGS. 5 and 6. In this figure, only the processes related to the processes shown in FIGS. 5 and 6 are shown, and the other general processes are not shown.
When the CPU of the authentication server 200 receives a login request from an external device such as the MFP 100, the CPU starts the processing shown in the flowchart of FIG. 8 by executing a required control program.

そして、まずステップS201において、ログインの要求とともに受け取ったユーザ名とパスワードが適切なものであるか否かを判断する。この判断は、ユーザ情報記憶部201に記憶している情報を基に行うことができる。
そして、適切であると判断した場合には、ログインを許可できると判断し、ステップS202に進んでログイン処理を行い、ステップS203でログイン要求元にログイン許可を通知する。
First, in step S201, it is determined whether or not the user name and password received together with the login request are appropriate. This determination can be made based on information stored in the user information storage unit 201.
If it is determined to be appropriate, it is determined that login can be permitted, the process proceeds to step S202 to perform login processing, and login permission is notified to the login request source in step S203.

その後、ステップS204でグループ情報を要求されたか否か判断し、要求されていればステップS205でログインを許可したユーザが属するグループの情報を送信し、ステップS206に進む。このグループの情報も、ユーザ情報記憶部201から取得することができる。また、ステップS204で要求がなければ、そのままステップS206に進む。   Thereafter, it is determined whether or not group information is requested in step S204. If so, information on the group to which the user permitted to log in belongs is transmitted in step S205, and the process proceeds to step S206. This group information can also be acquired from the user information storage unit 201. If there is no request in step S204, the process directly proceeds to step S206.

そして、ステップS206でログアウト要求があれば、ステップS207に進んでログアウト処理を行い、処理を終了する。ログアウト要求がなければ、ステップS204に戻って処理を繰り返す。
一方、ステップS201でユーザ名とパスワードが適切でなければ、ステップS208に進み、ログイン要求元にログイン拒否を通知して処理を終了する。
以上の処理も、この発明の利用権限判定方法の実施形態に係る処理であり、この処理においては、認証サーバ200のCPUが送信手段として機能する。
If there is a logout request in step S206, the process proceeds to step S207 to perform logout processing, and the processing ends. If there is no logout request, the process returns to step S204 and is repeated.
On the other hand, if the user name and password are not appropriate in step S201, the process advances to step S208 to notify the login request source of login refusal and end the processing.
The above processing is also processing according to the embodiment of the usage authority determining method of the present invention, and in this processing, the CPU of the authentication server 200 functions as a transmission unit.

MFP100及び認証サーバ200に、以上説明した各処理を実行させることにより、図3を用いて説明したような、グループの情報を用いた権限管理を行うことができる。そして、このようなネットワークシステムによれば、各ユーザがどのグループに属するかという情報を認証サーバ200において一括して管理し、多数のネットワーク機器からでも共通にこの情報を利用することができる一方、各グループのユーザにどのような権限を与えるかという情報は、機器毎に設定することができる。   By causing the MFP 100 and the authentication server 200 to execute the processes described above, authority management using group information as described with reference to FIG. 3 can be performed. According to such a network system, the information as to which group each user belongs to can be collectively managed in the authentication server 200, and this information can be used in common from many network devices. Information on what authority is given to users of each group can be set for each device.

従って、認証サーバ200の管理者は、個々の機器における詳細な設定について関知する必要がない。また、個々の機器の管理者は、権限を与えたいユーザがどのグループに所属しているかさえ把握していれば、認証サーバ200におけるデータ管理の詳細を把握していなくても、個々の機器における利用権限を設定することができる。そして、この場合において、グループ毎の設定が可能であるので、ユーザが多数いる場合でも設定すべき項目を低減できるから、機器毎に設定を行ったとしても、負担はさほど大きくない。また、設定に際してネットワークに関する高度な知識は不要である。従って、全体として、上述のような権限管理を行うようにしたことにより、多数のネットワーク機器を使用する場合でも、容易に各ユーザの利用権限を設定できるようにすることができると言える。   Therefore, the administrator of the authentication server 200 does not need to know about detailed settings in each device. Further, as long as the administrator of each device knows to which group the user to whom authority is given belongs, even if the details of data management in the authentication server 200 are not known, You can set usage rights. In this case, since the setting for each group is possible, the items to be set can be reduced even when there are a large number of users, so even if the setting is made for each device, the burden is not so great. In addition, advanced knowledge about the network is not required for setting. Accordingly, it can be said that, as a whole, the authority management as described above is performed, so that the usage authority of each user can be easily set even when a large number of network devices are used.

また、このような機能を備えたネットワークシステムによれば、機器を部門間で移動させたことにより使用を許可するグループを変更する必要が生じたり、機器を新たに導入して権限情報を設定する必要が生じたりした場合に、認証サーバ200における権限情報は変更せずに設定を行うことができる。従って、このような事態が頻繁に発生するような環境では、上述のネットワークシステムによる効果が特に大きい。
なお、上述したMFP100において、図5のステップS112乃至S114に示したようなローカル認証の機能を設けることは、必須ではない。
In addition, according to the network system having such a function, it is necessary to change the group permitted to use due to the movement of the equipment between departments, or the authority information is set by newly introducing the equipment. If necessary, the authority information in the authentication server 200 can be set without being changed. Therefore, in an environment where such a situation frequently occurs, the above-described network system is particularly effective.
In MFP 100 described above, it is not essential to provide a local authentication function as shown in steps S112 to S114 in FIG.

〔第1の変形例:図9〕
次に、上述した実施形態の第1の変形例について説明する。この変形例は、ユーザが複数のグループに属する場合の取り扱いが上述の実施形態と異なるのみである。そして、この点に伴い、ユーザがMFP100を使用しようとした場合にMFP100のCPU101が実行する処理において図6に示した部分が上述の実施形態と異なるのみであるので、この相違点についてのみ説明する。
[First Modification: FIG. 9]
Next, a first modification of the above-described embodiment will be described. This modification is different from the above-described embodiment only in handling when the user belongs to a plurality of groups. Then, in connection with this point, the part shown in FIG. 6 in the process executed by the CPU 101 of the MFP 100 when the user tries to use the MFP 100 is only different from the above-described embodiment, and only this difference will be described. .

図9に、この変形例における図6と対応する処理のフローチャートを示す。
この第1の変形例のMFP100においては、図5のステップS105においてログイン成功であった場合、処理は図9のステップS301に進み、ここで認証サーバにユーザが属するグループのリストを要求し、これを取得する。
FIG. 9 shows a flowchart of processing corresponding to FIG. 6 in this modification.
In the MFP 100 of the first modification, if the login is successful in step S105 in FIG. 5, the process proceeds to step S301 in FIG. 9, where the authentication server requests a list of groups to which the user belongs, To get.

そして、そのリストに含まれる各グループを順次対象として、ステップS302及びS303の処理を繰り返す。これらの処理は、ステップS302で、対象グループがMFP100に利用権限情報の登録されているいずれかのグループと一致するか否か判断し、いずれかと一致した場合に、ステップS303で、該当するグループについて設定されている利用権限を、認証サーバ200に認証された(MFP100の利用を要求している)ユーザの利用権限に追加するというものである。   Then, the processes in steps S302 and S303 are repeated for each group included in the list. In these processes, in step S302, it is determined whether or not the target group matches any of the groups whose usage authority information is registered in the MFP 100. If they match, the corresponding group is checked in step S303. The set use authority is added to the use authority of the user authenticated by the authentication server 200 (requesting use of the MFP 100).

なお、ステップS302の判断は、権限情報記憶部121に記憶している情報を基に行うことができる。また、ステップS301を行う時点では、認証されたユーザの利用権限は何もないものとする。
従って、ステップS302及びS303のループにより、ユーザが複数のグループに属する場合、その複数のグループ中の少なくとも1つのグループについて利用権限のある機能については、そのユーザに利用権限を認めるようにすることになる。
Note that the determination in step S302 can be made based on information stored in the authority information storage unit 121. Further, it is assumed that there is no use authority of the authenticated user at the time of performing step S301.
Therefore, when a user belongs to a plurality of groups by the loop of steps S302 and S303, the user is authorized to use the function with the use authority for at least one of the plurality of groups. Become.

そして、その後ステップS304で、認証されたユーザに利用権限があるか否か判断し、あればステップS109以降の処理を行ってユーザに機能を提供する。なければ、図5のステップS115以降の処理に進み、ユーザにMFP100の利用を許可せずに終了する。
ステップS109以降又はステップS115以降の処理については、上述した実施形態の場合と同様であるので、説明は省略する。
以上のような処理を行うことにより、ユーザが複数のグループに属する場合でも、各グループにおける権限の内容を反映した処理が可能となり、より柔軟に利用権限を設定することができる。
Then, in step S304, it is determined whether or not the authenticated user has usage authority. If there is, the process from step S109 is performed and the function is provided to the user. If not, the process proceeds to step S115 and subsequent steps in FIG. 5 and ends without permitting the user to use the MFP 100.
Since the processes after step S109 or step S115 are the same as those in the above-described embodiment, the description thereof is omitted.
By performing the processing as described above, even when a user belongs to a plurality of groups, processing reflecting the authority content in each group is possible, and usage authority can be set more flexibly.

〔第2の変形例:図10〕
次に、上述した実施形態の第2の変形例について説明する。この変形例も、ユーザが複数のグループに属する場合の取り扱いが上述の実施形態と異なるのみである。そして、この点に伴い、ユーザがMFP100を使用しようとした場合にMFP100のCPU101が実行する処理において図6に示した部分が上述の実施形態と異なるのみであるので、この相違点についてのみ説明する。
[Second Modification: FIG. 10]
Next, a second modification of the above-described embodiment will be described. This modification also differs from the above-described embodiment only in handling when the user belongs to a plurality of groups. Then, in connection with this point, the part shown in FIG. 6 in the process executed by the CPU 101 of the MFP 100 when the user tries to use the MFP 100 is only different from the above-described embodiment, and only this difference will be described. .

図10に、この変形例における図6と対応する処理のフローチャートを示す。
この第2の変形例のMFP100においては、図5のステップS105においてログイン成功であった場合、処理は図10のステップS401に進み、ここで認証サーバにユーザが属するグループのリストを要求し、これを取得する。
そして、そのリストに含まれる各グループを順次対象として、ステップS402及びS403の処理を繰り返す。これらの処理は、ステップS402で対象グループが、MFP100に利用権限情報の登録されているいずれかのグループと一致するか否か判断し、いずれかと一致した場合に、ステップS403で該当するグループについて設定されている利用権限を、認証サーバ200に認証された(MFP100の利用を要求している)ユーザの利用権限から削除するというものである。
FIG. 10 shows a flowchart of processing corresponding to FIG. 6 in this modification.
In the MFP 100 of the second modified example, if the login is successful in step S105 in FIG. 5, the process proceeds to step S401 in FIG. 10, where the authentication server requests the list of groups to which the user belongs, To get.
Then, the processes in steps S402 and S403 are repeated for each group included in the list. In these processes, in step S402, it is determined whether or not the target group matches any of the groups whose usage authority information is registered in the MFP 100. If any of these groups matches, the corresponding group is set in step S403. The usage authority that has been authenticated is deleted from the usage authority of the user who has been authenticated by the authentication server 200 (requested to use the MFP 100).

なお、ステップS402の判断は、権限情報記憶部121に記憶している情報を基に行うことができる。また、ステップS401を行う時点では、認証されたユーザは全ての利用権限を有するものとする。
従って、ステップS402及びS403のループにより、ユーザが複数のグループに属する場合、その複数のグループ全てについて利用権限のある機能についてのみ、そのユーザに利用権限を認めるようにすることになる。
Note that the determination in step S402 can be made based on information stored in the authority information storage unit 121. Further, at the time of performing step S401, it is assumed that the authenticated user has all usage rights.
Therefore, when the user belongs to a plurality of groups by the loop of steps S402 and S403, the user is permitted to use the authority only for the functions that have the use authority for all of the plurality of groups.

そして、その後ステップS404で、認証されたユーザが、MFP100に利用権限情報の登録されているいずれかのグループに属していたか否か判断する。そして、属していなければ、MFP100の使用は許可できないので、図5のステップS115以降の処理に進み、ユーザにMFP100の利用を許可せずに終了する。図9の処理の場合、ユーザがいずれのグループにも属していない場合、ステップS402とS403のループの後、全ての機能の利用権限を有する状態になってしまうので、このような処理を設けたものである。   Then, in step S404, it is determined whether or not the authenticated user belongs to any group in which the usage authority information is registered in MFP 100. If the user does not belong, the use of the MFP 100 cannot be permitted. Therefore, the process proceeds to step S115 and subsequent steps in FIG. 5 and ends without permitting the user to use the MFP 100. In the case of the processing in FIG. 9, if the user does not belong to any group, after the loop of steps S402 and S403, the user has authority to use all functions. Is.

そして、ステップS404でYESであれば、ステップS405に進み、認証されたユーザに利用権限があるか否か判断し、あればステップS109以降の処理を行ってユーザに機能を提供する。なければ、図5のステップS115以降の処理に進み、ユーザにMFP100の利用を許可せずに終了する。
ステップS109以降又はステップS115以降の処理については、上述した実施形態の場合と同様であるので、説明は省略する。
以上のような処理を行うことによっても、ユーザが複数のグループに属する場合でも、各グループにおける権限の内容を反映した処理が可能となり、より柔軟に利用権限を設定することができる。なお、この変形例の方式の場合、複数のグループに属するユーザに認める利用権限の範囲は、上述した第1の変形例の場合よりも総じて狭くなる。
If “YES” in the step S404, the process proceeds to a step S405 to determine whether or not the authenticated user has a use authority, and if so, the process after the step S109 is performed to provide the function to the user. If not, the process proceeds to step S115 and subsequent steps in FIG. 5 and ends without permitting the user to use the MFP 100.
Since the processes after step S109 or step S115 are the same as those in the above-described embodiment, the description thereof is omitted.
By performing the processing as described above, even when the user belongs to a plurality of groups, the processing reflecting the contents of the authority in each group can be performed, and the usage authority can be set more flexibly. Note that, in the case of the method of this modification, the range of usage rights granted to users belonging to a plurality of groups is generally narrower than in the case of the first modification described above.

〔第3の変形例:図11,図12〕
次に、上述した実施形態の第3の変形例について説明する。この変形例は、デフォルトグループを設けてこのグループについての利用権限情報を権限情報記憶部121に設定しておき、ユーザにMFP100の利用権限がなかった場合でもデフォルトグループについて設定されている利用権限を与えるようにした点が、上述の第1の変形例と異なるのみである。そして、この点に伴い、ユーザがMFP100を使用しようとした場合にMFP100のCPU101が実行する処理において図9に示した部分が上述の第1の変形例と異なるのみであるので、この相違点についてのみ説明する。
[Third Modification: FIGS. 11 and 12]
Next, a third modification of the above-described embodiment will be described. In this modified example, a default group is provided, and usage authority information about this group is set in the authority information storage unit 121. Even when the user does not have usage authority for the MFP 100, the usage authority set for the default group is set. The only difference is the difference from the first modification described above. Then, in connection with this point, only the part shown in FIG. 9 in the processing executed by CPU 101 of MFP 100 when the user intends to use MFP 100 is different from the above-described first modification. Only explained.

図11に、この変形例における図9と対応する処理のフローチャートを示す。また、このフローチャートは、上述した実施形態における図6とも対応するものである。
この第3の変形例のMFP100においては、ステップS304より前の処理は図9に示した第1の変形例の場合と同様であるが、ステップS304でユーザに利用権限がなかった場合、ステップSAで、デフォルトグループについて設定されている利用権限を、認証されたユーザの利用権限に追加し、ステップS109以下の処理に進むようにしている。
FIG. 11 shows a flowchart of processing corresponding to FIG. 9 in this modification. This flowchart also corresponds to FIG. 6 in the above-described embodiment.
In MFP 100 of the third modified example, the processes before step S304 are the same as those in the first modified example shown in FIG. 9, but if the user has no use authority in step S304, step SA Thus, the usage authority set for the default group is added to the usage authority of the authenticated user, and the process proceeds to step S109 and subsequent steps.

そして、このような処理により、ユーザが属するグループがないことを示すグループ情報を受信した場合でも、そのユーザにデフォルトグループに係る利用権限を認めるようにしたものである。
なお、ステップS109以降の処理については、上述した実施形態の場合と同様であるので、説明は省略する。
By such processing, even when group information indicating that there is no group to which the user belongs is received, the user is authorized to use the default group.
In addition, since the process after step S109 is the same as that of the case of embodiment mentioned above, description is abbreviate | omitted.

以上のような処理を行うことにより、特に設定を行わなくても全てのユーザについて一定の機能の利用を許可することができるので、それ以上の機能の使用を許可したいグループについてのみ利用権限を設定するのみでよく、設定の労力を低減することができる。
なお、同様な効果を得るためには、図11に示した処理に代えて、図12に示した処理を行うようにしてもよい。この処理においては、ステップSAの処理をステップS301の直後に行うようにしている。そして、このようにした場合、全てのユーザが少なくともデフォルトグループについて設定されている利用権限を有することになるため、図11のステップS304の処理は省略している。
By performing the above processing, you can permit the use of certain functions for all users without any special settings, so set usage rights only for groups that want to allow the use of further functions. It is only necessary to do this, and the setting labor can be reduced.
In order to obtain the same effect, the process shown in FIG. 12 may be performed instead of the process shown in FIG. In this process, the process of step SA is performed immediately after step S301. In this case, since all users have at least the usage authority set for the default group, the processing in step S304 in FIG. 11 is omitted.

〔第4の変形例:図13乃至図15〕
次に、上述した実施形態の第4の変形例について説明する。この変形例は、ユーザが属するグループの情報と、利用権限情報を定義したグループの情報とを比較する際に、グループ名ではなくグループのIDを用いるようにした点が、上述の第1の変形例と異なるのみである。なお、このIDとしては、例えばウィンドウズ(登録商標)を使用する場合には、GUID(Global Unique Identifier)やSID(Security Identifier)を用いることができる。
この変形例の説明においても、この点に伴う第1の変形例からの変更点についてのみ説明する。
この変形例においては、上述した実施形態において図4等を用いて説明したように各グループについての利用権限情報を設定しようとする場合、権限情報記憶部121に、グループ名と共にそのグループのIDも登録するようにしている。
[Fourth Modification: FIGS. 13 to 15]
Next, the 4th modification of embodiment mentioned above is demonstrated. In this modified example, the group ID instead of the group name is used when comparing the information of the group to which the user belongs and the information of the group in which the usage authority information is defined. Only the example is different. For example, when using Windows (registered trademark), a GUID (Global Unique Identifier) or SID (Security Identifier) can be used as this ID.
Also in the description of this modification, only the changes from the first modification associated with this point will be described.
In this modification, when the use authority information for each group is set as described with reference to FIG. 4 in the above-described embodiment, the ID of the group is also stored in the authority information storage unit 121 together with the group name. I am trying to register.

図13に、このための処理のフローチャートを示す。
この変形例においては、MFP100のCPU101は、ユーザがグループに関する利用権限情報を設定する指示を行った場合(例えば図4に示した権限設定画面20で設定キー25を押下した場合)、図13のフローチャートに示す処理を開始する。
そして、まずステップS501で、認証サーバ200にログインする。この際に使用するアカウントは、利用権限情報を設定しようとしたユーザのアカウントでも、MFP100自体のアカウントでもよい。そして、ステップS502でログインが成功したか否か判断し、成功していればステップS503で利用権限情報を設定しようとしているグループのIDを認証サーバに要求して送信させ、取得する。
FIG. 13 shows a flowchart of processing for this purpose.
In this modification, the CPU 101 of the MFP 100 gives an instruction to set usage authority information related to the group (for example, when the setting key 25 is pressed on the authority setting screen 20 shown in FIG. 4), or in FIG. The processing shown in the flowchart is started.
First, in step S501, the authentication server 200 is logged in. The account used at this time may be the account of the user who is trying to set usage authority information, or the account of MFP 100 itself. In step S502, it is determined whether or not the login is successful. If the login is successful, in step S503, the authentication server is requested to transmit the ID of the group whose usage authority information is to be set, and is acquired.

ここで、認証サーバ200において各グループにIDを付して管理するようにしておけば、認証サーバ200において定義されているグループについてはIDが取得できるはずであるが、ユーザが入力した名前のグループが必ずしも認証サーバ200において定義されているとは限らないので、グループのIDが取得できない場合も考えられる。
そこで、ステップS504で取得が成功したか否か判断する。そして、成功であれば、ステップS505で取得したIDをグループ名及び利用権限情報と共に権限情報記憶部121に登録し、ステップS506で登録成功のメッセージを操作表示部112に表示させて処理を終了する。
また、ステップS502でログインが失敗であったり、ステップS504でグループIDの取得に失敗した場合には、IDを登録できないため、利用権限情報の登録自体を取り止め、ステップS507で登録失敗のメッセージを操作表示部112に表示させて処理を終了する。
Here, if the authentication server 200 manages each group with an ID, the ID defined for the group defined in the authentication server 200 should be able to be acquired. Is not necessarily defined in the authentication server 200, and a group ID may not be acquired.
In step S504, it is determined whether the acquisition has succeeded. If successful, the ID acquired in step S505 is registered in the authority information storage unit 121 together with the group name and usage authority information, and a registration success message is displayed on the operation display unit 112 in step S506, and the process is terminated. .
Also, if login fails in step S502 or acquisition of a group ID fails in step S504, the ID cannot be registered, so the registration of usage authority information itself is canceled, and a registration failure message is manipulated in step S507. Display on the display unit 112 to end the process.

以上のような処理を行うことにより、権限情報記憶部121に、グループ名や利用権限情報と対応させて、認証サーバ200でグループの管理に使用しているIDを登録することができる。すなわち、このID毎に利用権限情報を登録することができると言える。従って、認証サーバ200から受信するグループ情報に基づいてユーザの利用権限を判断する場合、グループのIDの情報を受信し、これを用いて判断するようにすることができる。   By performing the processing as described above, the ID used for group management in the authentication server 200 can be registered in the authority information storage unit 121 in association with the group name and the use authority information. That is, it can be said that the usage authority information can be registered for each ID. Therefore, when determining the use authority of the user based on the group information received from the authentication server 200, it is possible to receive information on the group ID and make a determination using this.

また、MFP100においてグループの利用権限を設定しようとするに当たって、予め認証サーバ200からグループリスト及び各グループのIDを受信しておき、認証サーバ200で定義されているグループについて利用権限を設定させるようにしてもよい。
図14に、このようにする場合に、グループの利用権限を設定しようとするに当たってMFP100と認証サーバ200との間で実行する通信シーケンスを示す。
このように、予めMFP100が認証サーバ200で定義されているグループのリスト及び各グループのIDを取得しておくようにすれば、ユーザが利用権限を登録しようとした場合に認証サーバ200にアクセスする必要はないし、IDが取得できないために利用権限情報の登録自体ができなくなるといった事態を防止することができる。
Further, when trying to set the group usage authority in the MFP 100, the group list and the ID of each group are received in advance from the authentication server 200, and the usage authority is set for the group defined in the authentication server 200. May be.
FIG. 14 shows a communication sequence executed between the MFP 100 and the authentication server 200 when setting the group use authority in this case.
As described above, if the MFP 100 acquires the list of groups defined in the authentication server 200 and the ID of each group in advance, the user accesses the authentication server 200 when the user tries to register the use authority. It is not necessary, and it is possible to prevent a situation in which registration of the usage authority information cannot be performed because the ID cannot be acquired.

なお、このようなグループIDを利用する場合、第1の変形例の図9と対応する処理は、この変形例では以下のようにすることができる。
図15にこの処理のフローチャートを示す。
すなわち、この第4の変形例のMFP100においては、図5のステップS105においてログイン成功であった場合、処理は図15のステップS601に進み、ここで認証サーバ200にユーザが属するグループのIDのリストを要求して送信させ、これを取得する。
When such a group ID is used, the processing corresponding to FIG. 9 of the first modification can be performed as follows in this modification.
FIG. 15 shows a flowchart of this process.
That is, in MFP 100 of the fourth modified example, if the login is successful in step S105 in FIG. 5, the process proceeds to step S601 in FIG. 15, where a list of group IDs to which the user belongs to authentication server 200. Request and send to get this.

そして、そのリストに含まれる各IDを順次対象として、ステップS602及びS603の処理を繰り返す。これらの処理は、ステップS602で、対象IDがMFP100に利用権限情報の登録されているいずれかのグループのIDと一致するか否か判断し、いずれかと一致した場合に、ステップS603で該当するグループについて設定されている利用権限を、認証サーバ200に認証された(MFP100の利用を要求している)ユーザの利用権限に追加するというものである。
なお、ステップS602の判断は、権限情報記憶部121に記憶している情報を基に行うことができる。また、ステップS601を行う時点では、認証されたユーザの利用権限は何もないものとする。
Then, the processes in steps S602 and S603 are repeated for each ID included in the list in order. In these processes, in step S602, it is determined whether or not the target ID matches the ID of any group whose usage authority information is registered in the MFP 100. If the target ID matches any group, the corresponding group in step S603 is determined. Is added to the usage authority of the user who has been authenticated by the authentication server 200 (requested to use the MFP 100).
Note that the determination in step S602 can be made based on information stored in the authority information storage unit 121. Further, it is assumed that there is no use authority of the authenticated user at the time of performing step S601.

そして、その後ステップS604で、認証されたユーザに利用権限があるか否か判断し、あればステップS109以降の処理を行ってユーザに機能を提供する。なければ、図5のステップS115以降の処理に進み、ユーザにMFP100の利用を許可せずに終了する。
ステップS109以降又はステップS115以降の処理については、上述した実施形態の場合と同様であるので、説明は省略する。
Then, in step S604, it is determined whether or not the authenticated user has usage authority. If there is, the process from step S109 is performed and the function is provided to the user. If not, the process proceeds to step S115 and subsequent steps in FIG. 5 and ends without permitting the user to use the MFP 100.
Since the processes after step S109 or step S115 are the same as those in the above-described embodiment, the description thereof is omitted.

以上のような処理を行い、グループをIDに基づいて比較するようにしたことにより、組織変更等により認証サーバ200側でグループの名称を変更する必要が生じた場合でも、グループIDが変わらなければ、MFP100側の設定内容を変更せずに権限管理を行うことができる。従って、設定の手間を省き、利用権限の管理をより省力化することができる。   By performing the processing as described above and comparing the groups based on the ID, even if it is necessary to change the name of the group on the authentication server 200 side due to an organizational change or the like, the group ID does not change. The authority management can be performed without changing the setting contents on the MFP 100 side. Therefore, it is possible to save the labor of setting and to save the management of usage authority.

以上で実施形態及び変形例の説明を終了するが、以上説明した実施形態の及び変形例の構成は、互いに矛盾しない範囲で適宜組み合わせて適用することができる。
また、ネットワークシステムを構成する装置、各ネットワーク機器のハードウェア構成や機能構成、データの形式や処理の内容等が、上述の実施形態及び変形例で説明したものに限られないことも、もちろんである。
The description of the embodiment and the modified example is finished as described above, but the configurations of the embodiment and the modified example described above can be applied in appropriate combination within a range that does not contradict each other.
In addition, it goes without saying that the devices constituting the network system, the hardware configuration and functional configuration of each network device, the data format, the contents of processing, and the like are not limited to those described in the above-described embodiments and modifications. is there.

例えば、ネットワークシステムは、最低限1つのネットワーク機器と1つの認証装置とによって構成することができる。また、通信に使用するネットワークも、LANに限られず、インターネットを介すものであってもよいし、有線、無線を問わずに、任意の通信経路を用いることができる。
さらに、各ネットワーク機器における利用権限情報の設定は、機器の操作表示部からだけでなく、ネットワークを介して通信可能なPC等の端末装置からウェブブラウザ等を用いてネットワーク機器にアクセスして行うことができるようにしてもよい。ネットワーク機器の機能の利用についても同様であり、外部の端末装置から機能の利用を要求される場合にも、上述したような権限管理は有効である。
For example, the network system can be configured with at least one network device and one authentication device. Further, the network used for communication is not limited to the LAN, but may be one via the Internet, and any communication path can be used regardless of wired or wireless.
In addition, the usage authority information in each network device is set by accessing the network device from a terminal device such as a PC that can communicate via the network, using a web browser, etc., as well as from the operation display unit of the device. You may be able to. The same applies to the use of the function of the network device, and the authority management as described above is effective even when the use of the function is requested from an external terminal device.

また、この発明が、認証装置からユーザが属するグループの情報を取得可能なネットワーク機器であれば、どのようなネットワーク機器にも適用可能であることはもちろんである。適用対象としては、例えば、プリンタ,FAX装置,デジタル複写機,スキャナ装置,デジタル複合機等の画像処理装置のほか、汎用コンピュータ,ネットワーク家電,自動販売機,医療機器,電源装置,空調システム,ガス・水道・電気等の計量システム,自動車,航空機等にネットワーク通信機能を持たせたネットワーク機器が考えられる。   Of course, the present invention can be applied to any network device as long as it can acquire information of the group to which the user belongs from the authentication apparatus. Applicable objects include, for example, general-purpose computers, network home appliances, vending machines, medical equipment, power supply devices, air conditioning systems, gas, in addition to image processing devices such as printers, fax machines, digital copiers, scanners, and digital multifunction devices・ Network equipment that has network communication function in measuring systems such as water and electricity, automobiles, airplanes, etc. can be considered.

また、この発明によるプログラムは、コンピュータに、上述したMFP100のようなネットワーク機器を制御させるためのプログラムであり、このようなプログラムをコンピュータに実行させることにより、上述したような効果を得ることができる。
このようなプログラムは、はじめからコンピュータに備えるROMあるいはHDD等の記憶手段に格納しておいてもよいが、記録媒体であるCD−ROMあるいはフレキシブルディスク,SRAM,EEPROM,メモリカード等の不揮発性記録媒体(メモリ)に記録して提供することもできる。そのメモリに記録されたプログラムをコンピュータにインストールしてCPUに実行させるか、CPUにそのメモリからこのプログラムを読み出して実行させることにより、上述した各手順を実行させることができる。
さらに、ネットワークに接続され、プログラムを記録した記録媒体を備える外部機器あるいはプログラムを記憶手段に記憶した外部機器からダウンロードして実行させることも可能である。
The program according to the present invention is a program for causing a computer to control a network device such as the above-described MFP 100. By causing the computer to execute such a program, the above-described effects can be obtained. .
Such a program may be stored in a storage means such as a ROM or HDD provided in the computer from the beginning, but a non-volatile recording such as a CD-ROM or flexible disk, SRAM, EEPROM, memory card or the like as a recording medium. It can also be recorded on a medium (memory) and provided. Each procedure described above can be executed by installing a program recorded in the memory in a computer and causing the CPU to execute the program, or causing the CPU to read and execute the program from the memory.
Furthermore, it is also possible to download and execute an external device that is connected to a network and includes a recording medium that records the program, or an external device that stores the program in the storage unit.

以上説明してきたように、この発明のネットワークシステム、利用権限判定方法、ネットワーク機器、プログラム又は記録媒体によれば、多数のネットワーク機器を使用する場合でも、容易に各ユーザの利用権限を設定することができる。
従って、この発明を利用することにより、高いセキュリティと利便性を両立したネットワークシステムを構成することができる。
As described above, according to the network system, usage authority determination method, network device, program, or recording medium of the present invention, even when a large number of network devices are used, the usage authority of each user can be easily set. Can do.
Therefore, by using the present invention, it is possible to configure a network system that achieves both high security and convenience.

この発明のネットワーク機器の実施形態であるMFPのハードウェア構成を示すブロック図である。1 is a block diagram showing a hardware configuration of an MFP which is an embodiment of a network device according to the present invention. FIG. 図1に示したMFPを備えるネットワークシステムの構成例を示す図である。It is a figure which shows the structural example of a network system provided with MFP shown in FIG. 図2に示したMFP及び認証サーバの機能構成のうち、この実施形態の特徴に関連する部分を示す図である。It is a figure which shows the part relevant to the characteristic of this embodiment among the function structures of MFP and the authentication server shown in FIG. 図3に示したMFPにおいて表示操作部から利用権限情報の入力を受け付けて権限情報記憶部に記憶させる場合に使用する画面及びその操作手順について説明するための図である。FIG. 4 is a diagram for explaining a screen used when an input of usage authority information is received from a display operation unit and stored in an authority information storage unit and an operation procedure thereof in the MFP illustrated in FIG. 3. ユーザが図3に示したMFPを使用しようとした場合にMFPが実行する処理の一部を示すフローチャートである。FIG. 4 is a flowchart showing a part of processing executed by the MFP when a user tries to use the MFP shown in FIG. 3. FIG. 図5の続きの部分を示すフローチャートである。6 is a flowchart showing a continuation of FIG. 5. 図5に示した処理において使用するログイン画面の表示例を示す図である。It is a figure which shows the example of a display of the login screen used in the process shown in FIG. 図5及び図6に示した処理と対応する認証サーバ側の処理を示すフローチャートである。It is a flowchart which shows the process by the side of the authentication server corresponding to the process shown in FIG.5 and FIG.6. この発明の実施形態の第1の変形例における図6と対応する処理を示すフローチャートである。It is a flowchart which shows the process corresponding to FIG. 6 in the 1st modification of embodiment of this invention. この発明の実施形態の第2の変形例における図6と対応する処理を示すフローチャートである。It is a flowchart which shows the process corresponding to FIG. 6 in the 2nd modification of embodiment of this invention.

この発明の実施形態の第3の変形例における図6と対応する処理を示すフローチャートである。It is a flowchart which shows the process corresponding to FIG. 6 in the 3rd modification of embodiment of this invention. そのさらに別の例を示すフローチャートである。It is a flowchart which shows the further another example. この発明の実施形態の第4の変形例において、ユーザがグループに関する利用権限情報を設定する指示を行った場合にMFPが行う処理を示すフローチャートである。15 is a flowchart showing processing performed by the MFP when a user gives an instruction to set usage authority information related to a group in a fourth modification of the embodiment of the present invention. その変形例のバリエーションにおいて、グループの利用権限を設定しようとするに当たってMFPと認証サーバとの間で実行する通信のシーケンスを示す図である。FIG. 10 is a diagram illustrating a communication sequence executed between an MFP and an authentication server when attempting to set group usage authority in a variation of the modification. この発明の実施形態の第4の変形例における図6と対応する処理を示すフローチャートである。It is a flowchart which shows the process corresponding to FIG. 6 in the 4th modification of embodiment of this invention.

符号の説明Explanation of symbols

20:権限設定画面、30:コピー権限設定画面、40:ログイン画面、
100:MFP、101:CPU、102:ROM、103:RAM、
104:画像蓄積メモリ、105:記憶装置、106:LANコントローラ、
107:FAX通信部、108:スキャナ部、109:プロッタ部、
110:パネルI/F、111:システムバス、112:操作表示部、
121:権限情報記憶部、122:権限判断部、123:送受信機能部、
124:機能提供部、200:認証サーバ、201:ユーザ情報記憶部、
202:ログイン判定部、203:グループ判定部、204:送受信機能部
20: Authority setting screen, 30: Copy authority setting screen, 40: Login screen,
100: MFP, 101: CPU, 102: ROM, 103: RAM,
104: Image storage memory, 105: Storage device, 106: LAN controller,
107: FAX communication unit, 108: Scanner unit, 109: Plotter unit,
110: Panel I / F, 111: System bus, 112: Operation display unit,
121: Authority information storage unit, 122: Authority determination unit, 123: Transmission / reception function unit,
124: Function providing unit, 200: Authentication server, 201: User information storage unit,
202: Login determination unit, 203: Group determination unit, 204: Transmission / reception function unit

Claims (9)

  1. ネットワーク機器と認証装置とを備えるネットワークシステムであって、
    前記認証装置に、
    前記ネットワーク機器を使用するユーザの識別情報及び、該ユーザが属するグループを示すグループ情報を記憶する記憶手段と、
    前記ネットワーク機器からユーザの識別情報を受信した場合に、該識別情報に係るユーザが属するグループを示すグループ情報を前記ネットワーク機器に送信する送信手段とを設け、
    前記ネットワーク機器に、
    ユーザの識別情報を用いてユーザを認証するローカル認証手段と、
    前記認証装置を用いてユーザを認証するネットワーク認証を行うか、前記ローカル認証手段を用いてユーザを認証するローカル認証を行うかを設定する設定手段と、
    前記グループ毎に自身の機能の利用権限を示す利用権限情報と、前記ユーザ毎に自身の機能の利用権限を示す利用権限情報とを記憶する記憶手段と、
    ユーザが自身を使用しようとした場合に、前記設定手段により前記ネットワーク認証を行う設定がされている場合には、該ユーザの識別情報を前記認証装置に送信し、前記設定手段により前記ローカル認証を行う設定がされている場合には、該ユーザの識別情報を前記ローカル認証手段に渡す認証情報処理手段と、
    前記設定手段により前記ネットワーク認証を行う設定がされている場合には、前記認証装置から受信したグループ情報と、前記グループ毎の利用権限情報とに基づ、自身を使用しようとしたユーザの利用権限有無を判断し、前記設定手段により前記ローカル認証を行う設定がされている場合には、前記ローカル認証手段による認証の結果と前記ユーザ毎の利用権限情報とに基づいて、自身を使用しようとしたユーザの利用権限有無を判断する判断手段とを設けたことを特徴とするネットワークシステム。
    A network system comprising a network device and an authentication device,
    In the authentication device,
    Storage means for storing identification information of a user who uses the network device and group information indicating a group to which the user belongs;
    A transmission unit configured to transmit group information indicating a group to which the user related to the identification information belongs to the network device when receiving the identification information of the user from the network device;
    In the network device,
    Local authentication means for authenticating the user using the user identification information;
    Setting means for setting whether to perform network authentication for authenticating a user using the authentication device or local authentication for authenticating a user using the local authentication means;
    Storage means for storing the access authority information indicating authority to use its features for each of the groups, and use authority information representing use authority of its function for each said user,
    When the user tries to use himself / herself, if the setting means is configured to perform the network authentication, the user identification information is transmitted to the authentication device, and the setting means performs the local authentication. If the setting is made, authentication information processing means for passing the user identification information to the local authentication means ;
    If it is set to perform the network authentication by the setting means, and the group information received from the authentication device,-out based on the use authority information of each group, use of the user who tries to use its If the setting means determines whether or not the local authentication is performed, the local authentication means tries to use itself based on the result of authentication by the local authentication means and the usage authority information for each user. A network system, comprising: a determination unit that determines whether or not the user has authority to use .
  2. 請求項1記載のネットワークシステムであって、
    前記ネットワーク機器の判断手段が、前記認証装置からあるユーザが複数のグループに属することを示すグループ情報を受信した場合に、その複数のグループ中の少なくとも1つのグループについて利用権限のある機能については、そのユーザに利用権限を認めるようにしたことを特徴とするネットワークシステム。
    The network system according to claim 1, wherein
    When the determination unit of the network device receives group information indicating that a user belongs to a plurality of groups from the authentication device, for a function that has authority to use at least one group of the plurality of groups, A network system characterized by granting usage rights to the user.
  3. 請求項1記載のネットワークシステムであって、
    前記ネットワーク機器の判断手段が、前記認証装置からあるユーザが複数のグループに属することを示すグループ情報を受信した場合に、その複数のグループ全てについて利用権限のある機能についてのみ、そのユーザに利用権限を認めるようにしたことを特徴とするネットワークシステム。
    The network system according to claim 1, wherein
    When the determination unit of the network device receives group information indicating that a user belongs to a plurality of groups from the authentication device, only the functions for which the plurality of groups have the use authority are used for the user. A network system characterized by admission.
  4. 請求項1記載のネットワークシステムであって、
    前記ネットワーク機器の記憶手段に、デフォルトグループに関する利用権限情報を記憶させておき、
    前記ネットワーク機器の判断手段が、前記認証装置からあるユーザが属するグループがないことを示すグループ情報を受信した場合でも、そのユーザに前記デフォルトグループに係る利用権限を認めるようにしたことを特徴とするネットワークシステム。
    The network system according to claim 1, wherein
    In the storage means of the network device, use authority information regarding the default group is stored,
    Even when the network device determination means receives group information indicating that there is no group to which a user belongs from the authentication apparatus, the user is authorized to use the default group. Network system.
  5. 請求項1乃至4のいずれか一項記載のネットワークシステムであって、
    前記認証装置において、
    前記記憶手段が前記各グループについてIDを記憶すると共に、
    前記送信手段が前記グループ情報としてグループのIDを送信するようにし、
    前記ネットワーク機器において、
    前記記憶手段が前記グループ毎に前記利用権限情報を前記グループのID毎に記憶すると共に、
    前記判断手段が前記認証装置から受信したグループのIDに基づいてユーザの利用権限有無を判断するようにしたことを特徴とするネットワークシステム。
    The network system according to any one of claims 1 to 4, wherein
    In the authentication device,
    The storage means stores an ID for each group,
    The transmission means transmits a group ID as the group information,
    In the network device,
    Together with the storage means for storing the use authority information for each of the groups for each ID of the group,
    The network system according to claim 1, wherein the determination means determines whether or not the user has authority to use based on the group ID received from the authentication device.
  6. ネットワーク機器における利用権限判定方法であって、
    前記ネットワーク機器とネットワークを介して通信可能な前記認証装置に、
    前記ネットワーク機器を使用するユーザの識別情報及び、該ユーザが属するグループを示すグループ情報を記憶する記憶手順と
    前記ネットワーク機器からユーザの識別情報を受信した場合に、該識別情報に係るユーザが属するグループを示すグループ情報を前記ネットワーク機器に送信する送信手順とを実行させ
    前記ネットワーク機器に、
    ユーザの識別情報を用いてユーザを認証するローカル認証手順と、
    前記認証装置を用いてユーザを認証するネットワーク認証を行うか、前記ローカル認証手順を用いてユーザを認証するローカル認証を行うかを設定する設定手順と、
    前記グループ毎に自身の機能の利用権限を示す利用権限情報と、前記ユーザ毎に自身の機能の利用権限を示す利用権限情報とを記憶する記憶手順と
    ユーザが自身を使用しようとした場合に、前記設定手順において前記ネットワーク認証を行う設定がされている場合には、該ユーザの識別情報を前記認証装置に送信し、前記設定手順において前記ローカル認証を行う設定がされている場合には、該ユーザの識別情報を前記ローカル認証手順による認証に供する認証情報処理手順と、
    前記設定手順において前記ネットワーク認証を行う設定がされている場合には、前記認証装置から受信したグループ情報と、前記グループ毎の利用権限情報とに基づ、自身を使用しようとしたユーザの利用権限有無を判定し、前記設定手順において前記ローカル認証を行う設定がされている場合には、前記ローカル認証手順による認証の結果と前記ユーザ毎の利用権限情報とに基づいて、自身を使用しようとしたユーザの利用権限有無を判定する判定手順とを実行させるようにしたことを特徴とする利用権限判定方法。
    A method for determining use authority in a network device,
    In the authentication device capable of communicating with the network device via a network,
    A storage procedure for storing identification information of a user who uses the network device and group information indicating a group to which the user belongs;
    A transmission procedure for transmitting group information indicating a group to which the user according to the identification information belongs to the network device when receiving the user identification information from the network device;
    In the network device,
    A local authentication procedure for authenticating the user using the user identification information;
    A setting procedure for setting whether to perform network authentication for authenticating a user using the authentication device or local authentication for authenticating a user using the local authentication procedure;
    A storage procedure for storing use authority information indicating use authority of its function for each group and use authority information indicating use authority of its function for each user ;
    When the user tries to use himself / herself, if the network authentication is set in the setting procedure, the user identification information is transmitted to the authentication device, and the local authentication is performed in the setting procedure. An authentication information processing procedure for providing the identification information of the user to the authentication by the local authentication procedure ;
    If it is set to perform the network authentication in the setting procedure, and the group information received from the authentication device,-out based on the use authority information of each group, use of the user who tries to use its If it is set to perform the local authentication in the setting procedure to determine the presence or absence of authority , based on the result of authentication by the local authentication procedure and the usage authority information for each user, try to use itself And a determination procedure for determining whether or not the user has the use authority .
  7. ユーザの識別情報を用いてユーザを認証するローカル認証手段と、
    ネットワークを介して通信可能な認証装置を用いてユーザを認証するネットワーク認証を行うか、前記ローカル認証手段を用いてユーザを認証するローカル認証を行うかを設定する設定手段と、
    前記ユーザが属するグループ毎に自身の機能の利用権限を示す利用権限情報と、前記ユーザ毎に自身の機能の利用権限を示す利用権限情報とを記憶する記憶手段と、
    ユーザが自身を使用しようとした場合に、前記設定手段により前記ネットワーク認証を行う設定がされている場合には、該ユーザの識別情報を前記認証装置に送信し、前記設定手段により前記ローカル認証を行う設定がされている場合には、該ユーザの識別情報を前記ローカル認証手段に渡す認証情報処理手段と、
    前記設定手段により前記ネットワーク認証を行う設定がされている場合には、前記認証装置から受信したグループ情報と、前記グループ毎の利用権限情報とに基づ、自身を使用しようとしたユーザの利用権限有無を判断し、前記設定手段により前記ローカル認証を行う設定がされている場合には、前記ローカル認証手段による認証の結果と前記ユーザ毎の利用権限情報とに基づいて、自身を使用しようとしたユーザの利用権限有無を判断する判断手段とを設けたことを特徴とするネットワーク機器。
    Local authentication means for authenticating the user using the user identification information;
    Setting means for setting whether to perform network authentication for authenticating a user using an authentication device capable of communicating via a network, or to perform local authentication for authenticating a user using the local authentication means;
    Storage means for storing usage authority information indicating the usage authority of its own function for each group to which the user belongs, and usage authority information indicating the usage authority of its own function for each user ;
    When the user tries to use himself / herself, if the setting means is configured to perform the network authentication, the user identification information is transmitted to the authentication device, and the setting means performs the local authentication. If the setting is made, authentication information processing means for passing the user identification information to the local authentication means ;
    If it is set to perform the network authentication by the setting means, and the group information received from the authentication device,-out based on the use authority information of each group, use of the user who tries to use its If the setting means determines whether or not the local authentication is performed, the local authentication means tries to use itself based on the result of authentication by the local authentication means and the usage authority information for each user. A network device, comprising: a determination unit that determines whether or not the user has authority to use .
  8. コンピュータにネットワーク機器を制御させるためのプログラムであって、
    前記コンピュータを、
    ユーザの識別情報を用いてユーザを認証するローカル認証手段と、
    ネットワークを介して通信可能な認証装置を用いてユーザを認証するネットワーク認証を行うか、前記ローカル認証手段を用いてユーザを認証するローカル認証を行うかを設定する設定手段と、
    前記ユーザが属するグループ毎に前記ネットワーク機器の機能の利用権限を示す利用権限情報と、前記ユーザ毎に前記ネットワーク機器の機能の利用権限を示す利用権限情報とを記憶する記憶手段と、
    ユーザが前記ネットワーク機器を使用しようとした場合に、前記設定手段により前記ネットワーク認証を行う設定がされている場合には、該ユーザの識別情報を前記認証装置に送信し、前記設定手段により前記ローカル認証を行う設定がされている場合には、該ユーザの識別情報を前記ローカル認証手段に渡す認証情報処理手段と、
    前記設定手段により前記ネットワーク認証を行う設定がされている場合には、前記認証装置から受信したグループ情報と、前記グループ毎の利用権限情報とに基づ、前記ネットワーク機器を使用しようとしたユーザの利用権限有無を判断し、前記設定手段により前記ローカル認証を行う設定がされている場合には、前記ローカル認証手段による認証の結果と前記ユーザ毎の利用権限情報とに基づいて、前記ネットワーク機器を使用しようとしたユーザの利用権限有無を判断する判断手段として機能させるためのプログラムを含むことを特徴とするプログラム。
    A program for causing a computer to control network devices,
    The computer,
    Local authentication means for authenticating the user using the user identification information;
    Setting means for setting whether to perform network authentication for authenticating a user using an authentication device capable of communicating via a network, or to perform local authentication for authenticating a user using the local authentication means;
    Storage means for storing usage authority information indicating usage authority of the function of the network device for each group to which the user belongs, and usage authority information indicating usage authority of the function of the network device for each user ;
    When a user tries to use the network device, if the setting unit is set to perform the network authentication, the user identification information is transmitted to the authentication device, and the setting unit transmits the local authentication information. An authentication information processing means for passing the identification information of the user to the local authentication means when authentication is set;
    User said if it is set to perform the network authentication by setting means, that the group information received from the authentication device,-out based on the use authority information of each group, attempting to use the network device The network device based on the result of authentication by the local authentication unit and the usage right information for each user when the setting unit is configured to perform the local authentication. A program that includes a program for causing a user who intends to use a user to function as a determination unit that determines whether or not the user has authority to use .
  9. 請求項8記載のプログラムを記録したコンピュータ読取可能な記録媒体。   A computer-readable recording medium on which the program according to claim 8 is recorded.
JP2004272465A 2004-09-17 2004-09-17 Network system, usage authority determination method, network device, program, and recording medium Active JP4555038B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004272465A JP4555038B2 (ja) 2004-09-17 2004-09-17 Network system, usage authority determination method, network device, program, and recording medium

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2004272465A JP4555038B2 (ja) 2004-09-17 2004-09-17 Network system, usage authority determination method, network device, program, and recording medium
US11/226,321 US7725924B2 (en) 2004-09-17 2005-09-15 Network system, use permission determining method, network device, and recording medium

Publications (2)

Publication Number Publication Date
JP2006085641A JP2006085641A (ja) 2006-03-30
JP4555038B2 true JP4555038B2 (ja) 2010-09-29

Family

ID=36075458

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004272465A Active JP4555038B2 (ja) 2004-09-17 2004-09-17 Network system, usage authority determination method, network device, program, and recording medium

Country Status (2)

Country Link
US (1) US7725924B2 (ja)
JP (1) JP4555038B2 (ja)

Families Citing this family (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007090802A (ja) * 2005-09-30 2007-04-12 Brother Ind Ltd MULTIFUNCTIONAL PERIPHERAL DEVICE, MULTIFUNCTIONAL PERIPHERAL DEVICE SYSTEM, AND FUNCTION CONTROL METHOD IN MULTIFUNCTIONAL PERIPHERAL DEVICE SYSTEM
JP2007115124A (ja) * 2005-10-21 2007-05-10 Murata Mach Ltd 処理装置、当該処理装置を含む処理システム及び認証サーバ
JP4921000B2 (ja) * 2006-03-15 2012-04-18 キヤノン株式会社 画像処理装置、画像処理装置の制御方法、及びプログラム
JP5043455B2 (ja) * 2006-03-28 2012-10-10 キヤノン株式会社 画像形成装置、その制御方法、システム、プログラム及び記憶媒体
JP2007293418A (ja) * 2006-04-21 2007-11-08 Toshiba Corp 表示制御装置、画像処理装置、表示制御方法
JP5100172B2 (ja) * 2006-05-12 2012-12-19 キヤノン株式会社 ネットワークシステム、デバイス機能制限方法、及びコンピュータプログラム
NL1032274C2 (nl) * 2006-08-04 2008-02-05 Rb Holding B V Werkwijze, datamodel en systeem.
JP4991428B2 (ja) * 2006-09-06 2012-08-01 株式会社リコー 情報処理装置、ユーザ情報管理方法及びユーザ情報管理プログラム
JP5553086B2 (ja) * 2006-09-06 2014-07-16 株式会社リコー システム
JP2008102633A (ja) 2006-10-17 2008-05-01 Sharp Corp 画像形成装置、ユーザ認証システム、画像形成装置を作動させる制御プログラムおよびコンピュータ読取可能な記録媒体
JP4158826B2 (ja) * 2006-10-26 2008-10-01 コニカミノルタビジネステクノロジーズ株式会社 画像処理装置及び同処理方法並びに画像処理プログラム
JP4158827B2 (ja) * 2006-10-27 2008-10-01 コニカミノルタビジネステクノロジーズ株式会社 画像処理装置及び同処理方法並びに画像処理プログラム
JP4923998B2 (ja) * 2006-12-11 2012-04-25 富士ゼロックス株式会社 印刷装置およびプログラム
US20080189781A1 (en) * 2007-02-02 2008-08-07 Sharp Laboratories Of America, Inc. Remote management of electronic devices
US9112891B2 (en) * 2007-02-02 2015-08-18 Sharp Laboratories Of America, Inc. Remote firmware management for electronic devices
US20090077656A1 (en) * 2007-09-14 2009-03-19 Kabushiki Kaisha Toshiba Image forming apparatus, image forming system, and control method of image forming apparatus
JP4497200B2 (ja) * 2007-12-13 2010-07-07 コニカミノルタビジネステクノロジーズ株式会社 画像形成装置、画像形成装置端末装置、および、プログラム
JP5127520B2 (ja) * 2008-03-17 2013-01-23 キヤノン株式会社 画像形成装置及び画像形成装置の制御方法
JP2010073198A (ja) * 2008-08-20 2010-04-02 Ricoh Co Ltd 文書管理システム
JP5271693B2 (ja) * 2008-12-25 2013-08-21 Kddi株式会社 グループ識別子生成システム、識別サーバ、グループ識別子生成方法、アプリケーションサービスシステム及びコンピュータプログラム
JP4962532B2 (ja) * 2009-06-17 2012-06-27 コニカミノルタビジネステクノロジーズ株式会社 画像形成装置およびコンピュータプログラム
JP4746690B2 (ja) 2009-07-02 2011-08-10 シャープ株式会社 ユーザ情報提供システム
JP5381456B2 (ja) * 2009-07-27 2014-01-08 コニカミノルタ株式会社 画像処理装置およびログイン状態制御方法
JP5521457B2 (ja) * 2009-09-15 2014-06-11 株式会社リコー ジョブ管理システム、情報処理装置、情報処理方法
JP2011086112A (ja) * 2009-10-15 2011-04-28 Sharp Corp MFP, MFP control system
JP5581654B2 (ja) * 2009-11-06 2014-09-03 株式会社リコー ネットワーク同期システム及び情報処理装置
US8392967B2 (en) * 2009-11-26 2013-03-05 Kyocera Document Solutions Inc. Image forming system, image forming apparatus, and method for creating, maintaining, and applying authorization information
JP5517606B2 (ja) * 2009-12-28 2014-06-11 キヤノン株式会社 処理サーバ、その制御方法、ポリシーサーバ及びコンピュータプログラム
JP5412335B2 (ja) * 2010-03-16 2014-02-12 京セラドキュメントソリューションズ株式会社 画像形成システム
JP5728275B2 (ja) * 2011-04-05 2015-06-03 キヤノン株式会社 情報処理装置及びその制御方法
JP5387923B2 (ja) * 2011-07-22 2014-01-15 富士ゼロックス株式会社 画像形成システム
JP2013073350A (ja) * 2011-09-27 2013-04-22 Riso Kagaku Corp 画像形成システム
JP6363325B2 (ja) * 2013-01-31 2018-07-25 ブラザー工業株式会社 画像処理装置および画像処理システム
JP6136781B2 (ja) 2013-09-03 2017-05-31 株式会社リコー 画像処理装置認証システム及びその画像処理装置
JP6298285B2 (ja) * 2013-12-17 2018-03-20 キヤノン株式会社 情報処理装置及びその制御方法、並びにプログラム
JP6390123B2 (ja) * 2014-03-11 2018-09-19 株式会社リコー 情報処理システム及び認証情報提供方法
JP6344303B2 (ja) * 2015-05-18 2018-06-20 京セラドキュメントソリューションズ株式会社 画像形成装置

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1058796A (ja) * 1996-08-21 1998-03-03 Fuji Xerox Co Ltd MFP with service license management function
JPH11123859A (ja) * 1997-10-21 1999-05-11 Canon Inc 複合画像形成装置、複合画像形成方法、及び記憶媒体
JP2000047843A (ja) * 1998-05-22 2000-02-18 Canon Inc プリントサ―バ、印刷制御方法、画像形成装置、画像形成方法、画像形成システム及び記憶媒体
JP2002044365A (ja) * 2000-07-31 2002-02-08 Konica Corp 複合機及びファクシミリ装置
JP2003195704A (ja) * 2001-12-25 2003-07-09 Canon Inc 画像形成装置および画像形成装置の制御方法およびプログラムおよび記憶媒体
JP2003259046A (ja) * 2002-03-06 2003-09-12 Canon Inc 画像形成装置及びその制御方法
JP2004070708A (ja) * 2002-08-07 2004-03-04 Konica Minolta Holdings Inc 機器管理システム

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4649081B2 (ja) 2000-10-02 2011-03-09 キヤノン株式会社 周辺機器、その制御方法、プログラムおよび記憶媒体
JP2002178567A (ja) 2000-12-11 2002-06-26 Ricoh Co Ltd プリンタコントローラ及びプリンタ装置
JP2002240398A (ja) 2001-02-15 2002-08-28 Ricoh Co Ltd プリンタ装置及びその制御方法
US7076795B2 (en) * 2002-01-11 2006-07-11 International Business Machiness Corporation System and method for granting access to resources
JP2004046587A (ja) * 2002-07-12 2004-02-12 Fujitsu Ltd デバイスドライバ組込プログラム及びデバイスドライバ組込装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1058796A (ja) * 1996-08-21 1998-03-03 Fuji Xerox Co Ltd MFP with service license management function
JPH11123859A (ja) * 1997-10-21 1999-05-11 Canon Inc 複合画像形成装置、複合画像形成方法、及び記憶媒体
JP2000047843A (ja) * 1998-05-22 2000-02-18 Canon Inc プリントサ―バ、印刷制御方法、画像形成装置、画像形成方法、画像形成システム及び記憶媒体
JP2002044365A (ja) * 2000-07-31 2002-02-08 Konica Corp 複合機及びファクシミリ装置
JP2003195704A (ja) * 2001-12-25 2003-07-09 Canon Inc 画像形成装置および画像形成装置の制御方法およびプログラムおよび記憶媒体
JP2003259046A (ja) * 2002-03-06 2003-09-12 Canon Inc 画像形成装置及びその制御方法
JP2004070708A (ja) * 2002-08-07 2004-03-04 Konica Minolta Holdings Inc 機器管理システム

Also Published As

Publication number Publication date
US20060064741A1 (en) 2006-03-23
JP2006085641A (ja) 2006-03-30
US7725924B2 (en) 2010-05-25

Similar Documents

Publication Publication Date Title
US10171705B2 (en) Management apparatus, image forming apparatus management system for managing usage of the image forming apparatus
US20160170680A1 (en) Data communication system device and method
US9007616B2 (en) Printing apparatus which restricts printing of print job data
US20180336358A1 (en) Image processing apparatus, control method therefor, and computer-readable storage medium storing program for implementing the method
US7730490B2 (en) System with user access-control information having signature and flow setting information for controlling order of performance of functions
DE60313106T2 (de) Zugangsverwaltung
JP4095639B2 (ja) 画像処理装置及び画像処理装置の制御方法
US8239459B2 (en) Data processing apparatus and data processing method
JP3897041B2 (ja) 画像形成システムおよび画像形成装置
US8265509B2 (en) Control apparatus and method for interacting with and controlling via a network authentication information required for image processing by an imaging device and computer-readable storage medium storing program for causing computer to function as the control apparatus
US8797564B2 (en) Image processing apparatus, image processing method, and storage medium
US8201077B2 (en) Methods and systems for imaging device form generation and form field data management
JP4481257B2 (ja) 認証システムおよび認証方法
JP4845703B2 (ja) 画像処理装置及びその制御方法、並びにプログラム
US7681041B2 (en) Image formation apparatus, data reception method, program for performing data reception method, and storage medium for storing program
US8898084B2 (en) Image formation apparatus capable of personal authentication, control method of image formation apparatus, and computer readable medium having software program stored therein
KR101424626B1 (ko) 화상송신장치 및 화상송신장치에 있어서의 인증 방법
JP4748479B2 (ja) 多機能入出力装置および入出力方法
JP4349432B2 (ja) 画像形成装置、画像形成システム、および情報管理プログラム
JP5294951B2 (ja) Image processing apparatus, bibliographic information server and control method thereof in pull print system
KR101379338B1 (ko) 화상송신장치 및 화상송신장치의 제어 방법
US7684074B2 (en) Methods and systems for imaging device metadata management
JP4826265B2 (ja) セキュリティポリシ付与装置、プログラム及び方法
US7983402B2 (en) System and program for controlling electronic devices
JP3992050B2 (ja) 画像処理装置およびその制御方法ならびにコンピュータプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20061218

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100406

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100603

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20100603

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100713

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100715

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130723

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4555038

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150