以下、本発明の実施の形態を図面に基づき説明する。
〔本発明の実施の形態〕
以下の実施の形態において、「ユーザがログインする」とは、例えば、一のユーザアカウントの識別情報とパスワードとが認証されることにより、その識別情報とパスワードとが入力された入力装置から、本実施の形態に係る画像形成装置に対して、そのユーザアカウントが有する権限の範囲において、操作の指示、各種設定の入力等を行うことができる状態になることを言う。また、本実施の形態において「認証ロック」とは「ロックアウト」のことをいう。
また、以下の実施の形態では、権限の異なるユーザグループとして、例えば、最上位管理者グループ、機能別管理者グループ、及び、一般ユーザグループが設けられている。最上位管理者グループはスーパーバイザグループともいい、最上位管理者グループのユーザは、機能別管理者グループのユーザアカウントを管理する。
機能別管理者グループは、さらに、機器管理者グループ、ユーザ管理者グループ、ネットワーク管理者グループ、文書管理者グループ等に分けられる。機器管理者グループのユーザは、当該画像形成装置の管理を行う。ユーザ管理者グループのユーザは、一般ユーザグループのユーザアカウントを管理する。ネットワーク管理者グループのユーザは、画像形成装置のネットワーク通信に係る設定を行う。文書管理者グループのユーザは、画像形成装置に格納される文書を管理する。
一般ユーザグループのユーザは、最上位管理者グループ及び機能別管理者グループの何れのユーザグループにも属さないユーザである。
また、以下の実施の形態におけるビルトイン管理者グループとは、例えば、最上位管理者グループ及び機能別管理者グループである。ビルトイン管理者グループとは、また例えば、最上位管理者グループと機器管理者グループである。
(本実施形態の画像形成装置を含むシステム構成の例)
図1は、本発明の一実施の形態に係る画像形成装置を含むシステム構成の例を説明する図である。図1では、画像形成装置として、MFPが例示されている。なお、本実施の形態では、画像形成装置としてMFPを例にして説明するが、本発明の実施の形態は、MFPに限らない。権限の異なるユーザグループのユーザ毎に、認証を行うことによりログインして操作する機能を有する画像形成装置であればよい。
図1のMFP1は、機器アプリケーション(以下、「機器アプリ」という。)11及び記憶手段12を有する。機器アプリ11は、例えば、オペレーションパネルとその制御部として構成され、ユーザによって入力された識別情報やパスワード等の認証情報に基づく認証要求をMFP10の図示しない制御部に対して出力し、またその応答に基づいてユーザに対して認証結果の表示を行う。
記憶手段12は、ユーザ毎のロックアウト状態に係る情報を保持する手段を有する。ロックアウト状態に係る情報とは、例えば、そのユーザがロックアウトされているロックアウトユーザであるか否か、そのユーザが過去に認証に失敗した回数、及び、そのユーザが過去に認証に失敗した時刻のうち最新の時刻、等である。
リモートアプリケーション(以下、「リモートアプリ」という。)20は、例えば、MFP10と直接接続されたパーソナルコンピュータとして構成される。リモートアプリ20は、また例えば、MFP10とネットワークを介して接続されてもよい。リモートアプリ20が実現する機能は、機器アプリ11と同様に、認証要求の出力とその応答に基づく認証結果の表示等である。なお、図1では、リモートアプリ20としてリモートアプリ20a及び20bの2つを図示しているが、本発明の実施の形態は、リモートアプリの個数が何れの数でもよい。
(本発明の画像形成装置の機能構成の例)
図2は、本発明の画像形成装置の機能構成の例を説明する図である。図2のMFP10は、ネットワークを介してPC20と接続され、さらに、外部サーバ30とも接続されている。
MFP10は、例えば、サーティフィケーションアンドチャージコントロールサービス(以下、「CCS」という。)部110、ユーザインフォメーションコントロールサービス(以下、「UCS」という。)部120、ユーザプログラム(以下、「UP」という。)部130、システムコントロールサービス(以下、「SCS」という。)部140、ログコントロールサービス(以下、「LCS」という。)部150、SNMP(Simple Network Management Protocol)部161、Webサービス部162、Webシステム部163、プリンタ/ファックス/スキャナ部164、ネットワークコントロールサービス部(以下、「NCS」という)部171、IC−CARD部172、操作パネル部173を有する。
CCS部110は、認証及び課金等の管理を行う。CCS部110は、ユーザがログインする際の認証を行い、また認証の条件設定を行う。CCS部110は、またさらに、認証に失敗したユーザのログインを拒否する「ロックアウト」の条件を設定する。ロックアウト条件は、例えば、認証に失敗した回数等である。ロックアウトされたユーザをロックアウトユーザとよぶ。CCS部110は、またさらに、ロックアウトユーザのロックアウトを解除する条件を設定する。ロックアウトする条件をロックアウトポリシーと呼び、ロックアウトを解除する条件をロックアウト解除ポリシーと呼ぶ。
CCS部110は、さらに、ユーザグループ毎にそのユーザグループのユーザが、ロックアウトを解除する権限を有するユーザを設定する。この設定は、ユーザグループに対して行われる。すなわち、一のユーザは、あるユーザグループに属する全てのユーザのロックアウトを解除する権限を有するように設定される。この設定は、ロックアウトユーザのユーザグループと、ロックアウトを解除するユーザのユーザグループとを対応づけることにより実現される。
CCS部110は、またさらに、一のログインユーザが、他のユーザをロックアウトする権限を設定する。CCS部110は、一のユーザグループに属する一のログインユーザが、あるユーザグループに属する全てのユーザのロックアウトする権限を有するように設定される。この設定は、ログインユーザのユーザグループと、ロックアウトされるユーザのユーザグループとを対応づけることにより実現される。
UCS部120は、ユーザ情報を管理し、より詳細には、ユーザIDやパスワード等のユーザアカウントの管理を行う。UCS部120は、またさらに、ユーザ毎の不正操作の設定を管理する。これにより、ユーザが予め設定した不正操作が実際に行われた場合に、その操作を行ったユーザを、なりすましユーザと判断してロックアウトさせることができる。UP部130は、アドレス帳の管理、ユーザ毎のロックアウトに係る状態の情報であるロックアウト情報の管理等を行う。
SCS部140は、アプリケーションソフトウェアの管理、操作パネル部173の制御を行い、システム画面表示やLED表示を行う。本実施の形態では、SCS部140の制御により、認証のためのパスワード等の入力を促す画面、認証が失敗した際のロックアウトメッセージ画面等の生成が行われる。LCS部150は、アクセスログを管理する。
SNMP部161は、機器管理者の認証を行って、所定の管理情報をPC20に出力する。Webサービス部162、Webシステム部163は、PC20によって制御される表示装置に表示される画面の生成、及び、その画面に基づいて入力される情報の取得を行う。プリンタ/ファックス/スキャナ部164は、PCから入力されるスキャン画像データやプリンタデータ等に基づいて、スキャン画像データの処理を行い、又は、プリンタデータ等をプリンタ、ファクシミリ等により出力する。
NCS部171は、ネットワークを介してPC20との通信を行う。IC―CARD部172は、例えば、ICカードリーダとして構成され、挿入されたICカードに含まれている識別情報等を取得してCCS部110に出力する。操作パネル部173は、図1の機器アプリ11に対応し、操作者から入力される情報を取得してCCS部110に出力し、MFP10の状態や、ロックアウトメッセージ画面等を表示する。
本実施の形態では、CCS部110とUCS部120とのデータのやりとりに基づいて、ユーザのロックアウトが実現される。このデータのやりとりは、図中の矢印aで表される。また、CCS部110からLCS部150に対しては、例えば、認証を所定の回数連続して失敗する等、予め定められているロックアウトポリシーに従ってロックアウトされたユーザのアクセスログに係る情報が出力され、ロックアウト状態等の情報がLCS部150に蓄積される。これは、図中の矢印bで表される。
本実施の形態では、さらに、Webサービス部162及びWebシステム部163から入出力される情報が、UCS部120を介してUB部130に入出力されることにより、UB部130に管理されているユーザ毎のロックアウト状態等の情報が更新される。これらの情報の入出力は、図中の矢印c1、c2、及び、c3によって表される。
本実施の形態では、さらに、Webサービス部162及びWebシステム部163と、UP部130とからログインユーザからの指示により出力される、ロックアウトされたユーザの情報が、LCS部150に対して出力される。これは、図中の矢印d1、d2、及びd3で表される。
PC20は、MIB(Management Information Base)部261、ユーティリティ部262、Webブラウザ部263、プリンタ/スキャナドライバ部264、及び、印刷系ユーティリティ部265を有する。
MIB部261は、MFP10が保持する管理情報を取得する。ユーティリティ部262は、例えば、MFP10に対応する専用のアプリケーションとして構成され、MFP10のWebサービス部162を介して、CCS部110に対して認証のための識別情報やパスワード等を入力する。
Webブラウザ部263は、ユーティリティ部262と同様の機能を実現するが、そのインタフェースは、Webブラウザであり、MFP10のWebシステム部163を介してCCS部110に対して情報を入力する。
プリンタ/スキャナドライバ部264は、MFP10が有するプリンタ機能及びスキャナ機能に対応するドライバとして構成され、プリンタ機能及びスキャナ機能の設定や動作の指示等をMFP10に対して出力する。印刷系ユーティリティ部265は、MFP10のプリンタ機能の設定を行う専用のアプリケーションである。
以下の実施の形態では、ユーティリティ部262及びWebブラウザ部263によって実現されるアプリケーション機能を、設定アプリケーション(以下、「設定アプリ」という。)200又はアプリケーション(以下、「アプリ」という。)210として説明する。なお、設定アプリ200は、ロックアウトポリシー及びロックアウト解除ポリシーを含む各種の設定を行い、アプリ210は、それらのポリシーに基づいて、操作者による実行の指示が入力される。
外部サーバ30は、例えば、MFP10と直接接続される。図2では、ユーザ毎のロックアウト状態に係る情報等は、UP部130が管理するが、本発明の実施の形態では、外部サーバ30によって保持又は管理されてもよい。
(本実施形態による認証処理の概略)
図3は、本発明の実施の形態に係る認証処理とロックアウト解除の処理の概略を説明する図である。図3のステップS101からステップS113は、認証処理の概略である。ステップS101では、リモートアプリ20からCCS部110に対し、認証要求が出力される。認証要求は、例えば、ユーザの識別情報とパスワードとを含む。ステップS101に続いてステップS102に進み、CCS部110が、ステップS101で認証要求されたユーザについて、既にログインしているユーザのアカウントと重複があるか否かを確認する。これにより、一のユーザアカウントで同時に複数のログインを行うことを排除することができ、不正なログインを好適に排除することができる。
重複がある場合には、ステップS102に続いてステップS113に進み、CCS部110からリモートアプリ20に対し、認証に失敗したことを通知する。一方、重複がない場合には、ステップS102に続いてステップS103に進み、CCS部110からUCS部120に対し、ステップS101で認証要求されたユーザの、認証に必要となる情報、及び、ロックアウト状態に係る情報の取得要求が出力される。この取得要求に基づいて、UCS部120からCCS部110に対し、認証に必要となる情報等が出力され、CCS部110において、ユーザの認証が行われる。
なお、ステップS104では、さらに、CCS部110からUCS部120に対し、ビルトイン管理者の判定に必要な情報の取得要求が出力され、この要求に基づいて、CCS部110において、ビルトイン管理者か否かの判定が行われる。これにより、このユーザが認証に成功してログインした場合に、ビルトイン管理者の権限を有するユーザとして操作を行うことができる。
ステップS104に続いてステップS105に進み、CCS部110においてロックアウトの経過時間の確認が行われる。より詳細には、ステップS104において認証に成功したユーザのユーザアカウントの状態が、ロックアウト状態である場合に、ロックアウトユーザとなってから、所定の時間を経過しているか否かを判断する。以上の処理を行った後、ステップS106に進む。
なお、外部サーバ30によって認証処理が行われる場合には、ステップS104からステップS106の処理は行われない。外部サーバ30によって認証処理が行われる場合は、ステップS107からステップS109の処理が実行される。
ステップS107では、CCS部110から外部サーバ30に対し、ステップS101で認証要求されたユーザのユーザアカウントの認証要求が出力される。この認証要求に基づいて、外部サーバ30において、認証が行われ、その結果がCCS110に対して出力される。ステップS107で認証に成功した場合には、ステップS108に進み、CCS部110から外部サーバ30に対し、ユーザ情報を取得する要求が出力される。この要求に基づいて、外部サーバ30が、ユーザの属するユーザグループの情報等を出力する。これにより、CCS部110が、ユーザの権限の範囲を取得することができる。
ステップS108に続いてステップS109に進み、CCS部110からUCS部120に対し、ステップS107とステップS108との認証結果と取得されたユーザ情報に基づく、そのユーザの操作権限等の情報が出力され、それらの権限が、そのユーザアカウントに対して設定される。
ステップS110では、CCS部110からUCS部120に対し、ロックアウトされたか否かの情報と、認証が行われた時刻の情報とが出力され、そのユーザのロックアウト状態に係る情報が更新される。
ステップS110に続いてステップS111に進み、CCS部110が管理する、ログインユーザのリストが更新される。これにより、後に同じユーザアカウントによって認証が行われる場合に、重複ログインの有無を判定することができる。
ステップS111に続いてステップS112に進み、CCS部110からLCS部150に対し、アクセスログに記録される情報が出力される。アクセスログに記録される情報は、例えば、ユーザの識別情報と、認証の成功又は失敗の情報、及び、ロックアウト状態に係る情報である。
ステップS112に続いてステップS113に進みCCS部110からリモートアプリ20に対し、ステップS101で認証要求された認証の結果が出力される。ここで出力される認証の結果は、認証の成功、又は、認証の失敗を表す情報である。
ステップS201からステップS204は、ロックアウトユーザのロックアウトを解除する処理の概略であって、上記ステップS101からステップS113とは独立して実行される処理である。
ステップS201では、UP部130からUCS部120に対し、ロックアウトユーザのリストの要求が出力される。なお、この要求は、例えば、PC20のWebブラウザ263又はユーティリティ262から、ロックアウトユーザのリストの要求が入力されることに基づいている。ステップS201に続いてステップS202に進み、UCS部120からUP部130に対し、ロックアウト状態のユーザアカウントのリストが出力される。これに基づき、ロックアウトユーザのリストの要求が入力された、Webブラウザ263又はユーティリティ262において、そのリストが表示される。
ステップS202に続いてステップS203に進み、UP部130からUCS部120に対し、ロックアウトを解除するユーザの識別情報が出力される。これは、Webブラウザ263等において表示されたリストに基づき、ユーザによって入力された識別情報である。この識別情報に基づいて、UCS部120が管理するロックアウト状態に係る情報を更新する。より詳細には、識別情報に対応するユーザのロックアウトに係る情報を、ロックアウト状態からロックアウトが解除された状態へと変更する。
ステップS203に続いてステップS204に進み、UP部130からLCS150に対し、ステップS203でロックアウトが解除されたユーザの識別情報と、ロックアウトが解除されたことの情報、及び、ロックアウトを解除したログインユーザの識別情報等が出力される。これに基づいて、LCS部150において、それらの情報がアクセスログとして記録される。
(ロックアウト状態に係る情報等の流れを説明する図)
図4は、ロックアウト状態に係る情報等の流れを説明する図である。図4では、CCS部110、UCS部120、及び、UP部130の間で入出力されるロックアウト状態に係る情報等が示されている。
CCS部110からUCS部120に対しては、ユーザアカウント毎の、ロックアウト状態、認証を失敗した回数、及び、ロックアウトユーザになった時刻等の情報が出力される。UCS部120からCCS部110に対しては、認証に必要となる識別情報やパスワード等の情報、ロックアウトポリシーの情報、ロックアウトユーザとなった回数の情報、ロックアウトユーザになってからの経過時間又はロックアウトユーザであった時間、及び、ビルトイン管理者か否かの情報等が出力される。
また、UP部130からUCS部120に対しては、ユーザアカウント毎のロックアウト状態に係る情報が出力される。UCS部120からUP部130に対しては、その時点でのロックアウトユーザの一覧、ユーザアカウント毎のロックアウト状態に係る情報、直前に連続して認証を失敗した回数、及び、ロックアウトユーザとなった時刻等の情報が出力される。
(ロックアウトポリシーの設定)
図5及び図6は、ロックアウトポリシー及びロックアウト解除ポリシーを設定する処理を説明する図である。図5は、処理の例のシーケンス図であり、図6は、処理の際に表示される画面の例である。
図5は、設定系アプリ200とCCS部110とによって実行される処理の例である。なお、ロックアウトポリシーの設定は、画像形成装置10が有する機器アプリ11及びPC20等が有するアプリケーションの何れで実行されてもよい。以下の実施の形態では、PC20が有する設定系アプリ200によって実行される例について説明する。
図5のステップS301では、操作者によって図6(A)の画面において「認証ロックポリシー設定」のボタンが選択され実行される。ステップS301に続いてステップS302に進み、設定系アプリ200からCCS部110に対し、ロックアウトポリシーの情報の取得要求が出力される。ステップS302に続いてステップS303に進み、CCS部110から設定系アプリ200に対し、ロックアウトポリシーの情報が出力される。これにより、図6(B)の画面が表示される。
図6(B)には、ロックアウトポリシーを設定するためのボタンと、ロックアウト解除ポリシーの設定を行う画面への遷移ボタンとが含まれている。図6(B)において、「認証ロック機能」は、ロックアウト機能の有効又は無効を設定する項目である。「認証ロック回数」とは、認証に連続して失敗してロックアウトユーザとなる際の、認証に失敗する回数を設定する項目である。「認証ロック時間」とは、ロックアウトユーザとなった場合に、一定の間、認証に成功した場合でもログインを拒否する設定において、その「一定の間」の時間を設定する項目である。また「認証ロックの自動解除」は、ロックアウト解除ポリシーを設定する画面へ遷移するための項目である。
ステップS303に続いてステップS304に進み、操作者が図6(B)の画面上のボタンを選択して実行させることにより、ロックアウトポリシーの設定が変更される。例えば、図6(B)において、認証ロック機能の「無効」を選択することにより、図6(C)の画面に遷移する。図6(C)の画面では、ロックアウト機能が無効化され、認証に失敗した場合でも、ロックアウトユーザとならない設定を選択することができる。
図5に戻ってステップS304に続いてステップS305に進み、操作者が、図6(C)の画面において、「設定」ボタンを選択して実行することにより、設定系アプリ200からCCS部110に対し、画面に表示されているロックアウトポリシーを設定する要求が出力される。これに基づいて、CCS部110が、図6(C)の画面に表示されているロックアウトポリシーを記録し保持する。
ステップS305に続いてステップS306に進み、CCS部110から設定系アプリ200に対し、ロックアウトポリシーの設定が変更されたことの通知が出力される。ステップS306に続いてステップS307に進み、設定系アプリ200によって、ロックアウトポリシーの設定を行うことを選択する画面が表示される。すなわち、図6(A)の画面が再び表示される。
(ロックアウト解除ポリシーの設定(その1))
図7及び図8は、ユーザグループ毎のロックアウト解除ポリシーを設定する処理の例を説明する図であって、他のユーザによって解除される「手動解除」と、所定の条件が満たされた場合に解除される「自動解除」と、の何れによってロックアウトが解除されるのかを設定する処理の例である。図7は、処理のシーケンス図であり、図8は、処理の際に表示される画面の例である。
図7のステップS401では、設定系アプリ200によって表示された画面において、操作者によってロックアウトを自動解除する対象となるユーザグループを設定することが選択され、処理が開始される。すなわち、図6(B)において、操作者によって「認証ロックの自動解除」の「対象」が選択され、実行される。
ステップS401に続いてステップS402に進み、設定系アプリ200からCCS部110に対し、ロックアウトの自動解除の設定状態の情報を取得する要求が出力される。ステップS402に続いてステップS403に進み、CCS部110から設定系アプリ200に対し、ユーザグループ毎のロックアウトを自動解除するか否かの情報が出力される。
ステップS403に続いてステップS404に進み、設定系アプリ200によって、ステップS403で入力されたユーザグループ毎のロックアウトを自動解除するか否かの情報が表示される。図8は、ここで表示される画面の例である。ステップS404では、さらに、操作者によってユーザグループ毎に、ロックアウトを「自動解除」又は「手動解除」の何れで解除するのかが設定される。
ステップS404に続いてステップS405に進み、操作者によって図8の画面において「設定」が選択され実行されることに基づいて、設定系アプリ200からCCS部110に対し、ユーザグループ毎のロックアウト解除ポリシーの設定の変更要求が出力される。この要求に基づいて、CCS部110が、ユーザグループ毎のロックアウト解除ポリシーの設定を変更する。
ステップS405に続いてステップS406に進み、CCS部110から設定系アプリ200に対し、ロックアウト解除ポリシーの設定の変更が終了したことの通知が出力される。ステップS406に続いてステップS407に進み、設定系アプリ200が、表示画面を図6(B)の画面に戻して処理を終了する。
(ロックアウト解除ポリシーの設定(その2))
図9及び図10は、ユーザグループ毎のロックアウト解除ポリシーを設定する処理の例を説明する図であって、所定の条件が満たされた場合に解除される「自動解除」の方法が複数の場合に、何れの方法によって解除されるのかを設定する処理の例である。図9は、処理のシーケンス図であり、図10は、処理の際に表示される画面の例である。
なお、本実施の形態において「自動解除」は、ロックアウトユーザ自身による、パスワードとは異なる方法による認証に基づくロックアウト解除を含む。パスワードとは異なる方法による認証とは、例えば、ユーザが所持するICカードによる認証、ユーザが予め設定する解除コードによる認証、又は、ユーザの生体情報認識による認証等である。
図9のステップS501では、設定系アプリ200によって表示された画面において、操作者によってロックアウトの自動解除の方法を設定することが選択され、処理が開始される。すなわち、図6(B)において、操作者によって「認証ロックの自動解除」の「方法」が選択され、実行される。なお、この操作を行う権限を有するユーザは、所定のユーザグループのユーザに限られ、例えば、最上位管理者グループ又は機器管理者グループのユーザに限られる。
ステップS501に続いてステップS502に進み、設定系アプリ200からCCS部110に対し、管理者のロックアウトを解除する設定の情報の取得要求が出力される。ステップS502に続いてステップS503に進み、CCS部110から設定系アプリ200に対し、管理者のロックアウトを解除する設定の情報が出力される。この情報に基づいて、設定系アプリ200が、図10の画面を表示する。
ステップS503に続いてステップS504に進み、操作者によって図10の画面における項目毎の「有効」又は「無効」が選択されることにより、新たなロックアウトを解除する条件が選択される。
ステップS504に続いてステップS505に進み、操作者によって図10の画面において「設定」が選択され実行されることにより、設定系アプリ200からCCS部110に対し、ロックアウトを解除する条件の設定を変更する要求が出力される。この要求に基づいて、CCS部110が、ロックアウトを解除する条件の設定を変更する。
ステップS505に続いてステップS506に進み、CCS部110から設定系アプリ200に対し、ロックアウトを解除する条件の設定が変更された通知が出力される。ステップS506に続いてステップS507に進み、設定系アプリ200が、ロックアウトを解除する条件が変更されたことにより、表示画面を図6(B)に戻して処理を終了する。
(ロックアウトを解除する操作による自動解除の例)
図11は、ロックアウトを解除する操作に基づく自動解除の処理を説明する図である。この操作は、所定のユーザグループのユーザが、全てロックアウトユーザとなった場合に、操作者によって実行することができる。所定のユーザグループのユーザとは、例えば、最上位管理者グループのユーザ、及び、機能別管理者グループのユーザである。これにより、その画像形成装置の保守管理等を行うユーザのみが、再び認証を行うことによりログインすることができるようになる一方、一般ユーザのロックアウトは解除されないので、画像形成装置のセキュリティを好適に保つことができる。
所定のユーザグループのユーザが全てロックアウトされた場合には、例えば、図12(A)の画面が表示される。この画面が表示された場合に、例えば、MFPの主電源を停止し、再び投入することにより、所定のユーザグループのユーザのみがロックアウトを解除される。
図11のステップS601では、操作者によって、ロックアウトを自動解除するための処理が指示される。例えば、操作者によって、画像形成装置の主電源が停止され、再び投入される。ステップS601に続いてステップS602に進み、CCS部110からUCS部120に対し、ロックアウトを解除する条件が「自動解除」になっているユーザのリストを取得する要求が出力される。
ステップS602に続いてステップS603に進み、UCS部120からCCS部130に対し、ステップS602の要求に基づいて、ロックアウトを解除する条件が「自動解除」になっているユーザのリストが出力される。より詳細には、電源の停止と再投入に基づくロックアウトの自動解除が設定されているユーザのリストが出力される。
ステップS603に続くステップS604からステップS607の処理は、ステップS603で出力されたリストに含まれているユーザの数だけ繰り返される。ステップS604では、CCS110が、リストに含まれているユーザの中で、未だロックアウトを解除されていないユーザの有無を判断する。未だロックアウトを解除されていないユーザがいる場合には、ステップS605に進み、既にリストに含まれる全てのユーザのロックアウトが解除されている場合には、ステップS607に進む。
ステップS604に続くステップS605では、CCS部110からUCS部120に対し、リストの含まれているユーザの中で、未だロックアウトを解除されていないユーザの一について、ロックアウトを解除する要求が出力される。この要求に基づいて、UCS部120が管理するそのユーザのロックアウト状態に係る情報を、ロックアウト状態からロックアウトされていない状態へ変更する。
ステップS605に続いてステップS606に進み、UCS部120からCCS部110に対し、要求されたユーザのロックアウトが解除された通知が出力される。ステップS606に続いてステップS604に戻り、以後、処理を繰り返す。
リストに含まれている全てのユーザについて、ロックアウトが解除された後に、ステップS607に続いてステップS608に進む。ステップS608では、CCS部110からアプリ210に対し、所定のユーザグループに含まれているユーザの中で、ステップS601の処理に基づくロックアウトの自動解除が設定されているユーザの、ロックアウトが解除された通知が出力される。
この通知に基づいて、アプリ210は、図12(B)の画面を表示する。これにより、図11の処理によってロックアウトを解除されたユーザが、再び認証を成功した場合には、ログインして操作を行うことができる。
(認証に成功してログインする処理の例)
図13は、ユーザが認証に成功してログインする際の、本実施の形態に係る画像形成装置の内部処理の例のシーケンス図である。
図13のステップS701では、アプリ210によって図12(B)の画面が表示される。この画面に基づいて、操作者によってユーザの識別情報とパスワードが入力されることにより、そのユーザアカウントの認証とログインに係る処理が開始される。
ステップS701に続いてステップS702に進み、アプリ210からCCS部110に対し、ユーザの認証要求が出力される。ステップS702に続いてステップS703に進み、CCS部110からUCS部120に対し、認証情報、ロックアウト状態に係る情報、及び、認証要求しているユーザが機器管理者等の所定のユーザグループのユーザであるか否かの判定要求が出力される。ステップS703に続いてステップS704に進み、UCS部120からCCS部110に対し、ステップS703で取得要求等された情報が出力される。
ステップS704に続いてステップS705に進み、CCS部110が、ステップS704で取得された情報に基づいて、ステップS702で認証要求されたユーザの認証を行う。ステップS705に続いてステップS706に進み、CCS部110からUCS部120に対し、ステップS705で認証が実行されたことに基づく、最終認証時刻の更新要求が出力される。この要求に基づいて、UCS部120が、そのユーザのユーザアカウントの最終認証時刻の情報を更新する。
ステップS706に続いてステップS707に進み、CCS部110が、ステップS705の認証結果に基づいて、その認証が失敗の場合には、その認証を含めて、ロックアウトポリシーに設定されている認証ロック回数以上の回数を連続して失敗しているか否かを判断する。連続して失敗している場合には、ステップS708に進み、そうではない場合には、ステップS710に進む。
ステップS707に続くステップS708では、CCS部110からUCS部120に対し、ロックアウト状態に係る情報が出力される。ここで出力されるロックアウト状態に係る情報は、例えば、ロックアウトユーザとなったことを表す情報、ロックアウトされた際に合致したロックアウトポリシーの項目等である。これらの情報に基づいて、UCS部120が、そのユーザアカウントのロックアウト状態に係る情報を更新する。ステップS708に続いてステップS709に進み、UCS部120からCCS部110に対し、ロックアウト状態に係る情報が更新されたことの通知が出力される。
また、ロックアウトポリシーに設定されている認証ロック回数以上の認証失敗ではないが、今回の認証に失敗した場合には、ステップS707に続いてステップS710に進み、CCS部110からUCS部120に対し、認証に失敗した回数の情報を更新する要求が出力される。この要求に基づいて、UCS部120が、そのユーザのユーザアカウントの認証に失敗した回数の情報を更新する。
ステップS707からステップS710の処理に続いてステップS711に進む。ステップS711では、CCS部110からアプリ210に対し、ステップS705の認証結果の情報が出力される。ステップS711に続いてステップS712に進み、アプリ210が、ステップS711で入力された認証結果の情報が、認証の成功を表す情報か、それとも認証の失敗を表す情報かを判断する。認証の成功を表す情報の場合には、ステップS714に進み、認証の失敗を表す情報の場合には、ステップS713に進む。
ステップS713では、アプリ210が、例えば、図14(A)の画面を表示する。なお、図14(A)の画面は、ロックアウトされた場合に表示される画面であり、認証に失敗したものの、その認証を含めて所定の回数以上、連続して失敗していない場合には、再び、図12(B)の画面を表示することにより、ステップS702からの処理を繰り返す。
ステップS714では、アプリ210が、例えば、図14(B)の画面を表示する。図14(B)の画面は、画像形成装置の機能を実行させる指示の入力を促す画面である。これにより、認証に成功したユーザアカウントのユーザが、その権限に基づいて、画像形成装置を操作することができる。
(ロックアウトポリシーとロックアウト解除ポリシーの詳細)
図15は、ロックアウトポリシーとロックアウト解除ポリシーの詳細を説明する図である。図15では、認証に連続して3回失敗した場合に、ロックアウトユーザとなるロックアウトポリシーが設定されている。図15では、またさらに、ロックアウトユーザとなってから、所定の時間t_lockだけ経過した後に、再び認証に成功した場合に、ロックアウトが解除されるロックアウト解除ポリシーが設定されている。
図15(A)から(D)では、ユーザは、時刻t0から時刻t1までの間に連続して3回認証に失敗し、ロックアウトユーザとなっている。図15(A)では、さらに、ロックアウトユーザとなってから時間t_lockを経過した時刻t2の後、さらに、時刻t3になった時に、そのユーザが認証を要求してその認証が成功している。ロックアウトユーザのロックアウトが解除されるのは、時間t_lockを経過した時刻t2ではなく、認証に成功した時刻t3である。すなわち、認証に成功した場合に、初めて、ロックアウトされてからの時間の経過が確認される構成である。これにより、画像形成装置が、ロックアウトユーザ毎にタイマ機能を常駐させなくてもよいため、構成を簡易にすることができる。
図15(B)は、時刻t2の後、再び認証に失敗する場合の例である。図15(B)では、時刻t2の後、時刻t4、t5、t6において、ユーザが誤ったパスワードを入力している。ここで、時刻t4において、認証に失敗しているが、ユーザのロックアウト状態に係る情報は、一旦、ロックアウトを解除した状態とする。これにより、時刻t4以降の処理を、時刻t0から時刻t1までの処理と同一にすることができ、画像形成装置の構成を簡易にすることができる。
図15(C)は、時刻t1から時間t_lockを経過する間に、4度目の認証失敗をした場合の例である。図15(C)では、4度目の認証失敗をした時刻から、少なくとも時間t_lockを経過する時刻であるt7まで、ロックアウト状態の時間が延長される。時刻t7を過ぎた後、再び認証に成功した場合には、そこでロックアウトが解除される。これにより、画像形成装置への不正ログインを好適に減らすことができる。
図15(D)は、時刻t1から時間t_lockを経過する間に、再び認証に成功した場合の例である。図15(D)の例では、時刻t1から時間t_lockだけ経過した時刻であるt2で、ロックアウトが解除される。
(認証と経過時間に基づくロックアウトポリシー及びロックアウト解除ポリシーによる処理の例)
図16は、図15のロックアウトポリシー及びロックアウト解除ポリシーに基づく処理を説明するシーケンス図である。図16のステップS801からステップS804の処理は、図13のステップS701からステップS704の処理と同一であるので、ここでは説明を省略する。
図16のステップS805では、ステップS804で取得された情報に基づいて、ユーザの認証が行われる。ここでは、認証が成功したものとして、以下の処理を行う。ステップS805に続いてステップS806に進み、CCS部110が、認証するユーザのアカウントが、ロックアウト状態か否かを判断する。ロックアウト状態であるロックアウトユーザの場合には、ステップS807に進み、ロックアウトユーザではない場合には、ステップS810に進む。
ステップS806に続くステップS807では、ロックアウトユーザのアカウントが、ロックアウトされてから所定の時間が経過しているか否かを判断する。所定の時間は、ロックアウト解除ポリシーとして設定されている。所定の時間が経過している場合には、ステップS808に進み、所定の時間が経過していない場合には、認証に成功したがロックアウトが解除されないとして処理を終了する。
ステップS807に続くステップS808では、CCS部110からUCS部120に対し、認証に成功したユーザのロックアウト解除要求が出力される。ロックアウト解除要求は、ロックアウト状態に係る情報の更新要求を含んでもよい。これにより、ロックアウト状態に係る情報は、ロックアウトされていない状態へ変更される。さらに、認証に失敗した回数がリセットされる。
ステップS808に続いてステップS809に進み、UCS部120からCCS部110に対し、ロックアウトが解除された状態に変更ことの通知と、ロックアウト状態に係る情報が更新されたことの通知とが出力される。
ステップS806又はステップS809に続いてステップS810に進み、CCS部110が、認証に成功したユーザに対してログインを許可してもよいと判断する。
(他のユーザによってロックアウトが解除される処理の例)
図17及び図18は、他のユーザによってロックアウトが解除される処理の例を説明する図であって、図17は処理のフロー図、図18は、ロックアウトを解除する権限を説明する図である。
図17では、ロックアウトを解除する権限を有するユーザグループに属するユーザによって、ロックアウトユーザのロックアウトが解除される。図17のステップS901では、図6(A)の画面において、操作者が、「認証ロック/解除」のボタンを選択することにより、ロックアウトを解除する処理が開始される。なお、操作者は既にログインしているユーザであるため、ログインユーザともいう。
ステップS901に続いてステップS902に進み、CCS部110とUCS部120とによって、ログインユーザのアカウントが、ロックアウトを解除する権限を有するユーザグループに属するか否かの確認が行われる。
ステップS902に続いてステップS903に進み、CCS部110が、ログインユーザがロックアウトを解除する権限を有するか否かを判断する。権限を有する場合には、ステップS904に進み、権限を有さない場合にはステップS910に進む。
なお、ロックアウトを解除する権限は、例えば、図18(A)のように定められる。図18(A)では、ロックアウト解除を実現するAPIを実行する権限を有するユーザグループには○、権限を有さないユーザグループには×が対応づけられている。
図17に戻り、ステップS903に続くステップS904では、UCS部120が、ロックアウトユーザの有無を確認する。ステップS904に続いてステップS905に進み、UCS部120が、ステップS904でロックアウトユーザがあると判断した場合には、ステップS906に進み、ロックアウトユーザがない場合には、ステップS910に進む。
ステップS905に続くステップS906では、UCS部120が、ステップS904で確認されたロックアウトユーザのうち、本フローの処理を指示しているログインユーザが、ロックアウトを解除する権限を有する対象のロックアウトユーザの有無を確認する。
図18(B)は、ロックアウトを解除する権限の例である。本実施の形態では、ロックアウトを解除する権限は、必ずしも上位の管理者が下位のユーザのロックアウトを全て解除できるとは限らない。これは、画像形成装置の保守管理を行う者と、その画像形成装置を使用するユーザを管理する者とが、必ずしも一の組織に属さない場合があるためである。より詳細には、例えば、MFPを使用する一般ユーザの管理は、その一般ユーザの上長の役割であるが、MFPの保守管理は外部のメンテナンス業者が行う例等がある。そのため、ロックアウトを解除する権限を制限することにより、画像形成装置におけるセキュリティを好適に制御することができる。
図17に戻り、ステップS906に続いてステップS907に進み、UCS部120が、ステップS906でロックアウトを解除する権限を有する対象のロックアウトユーザがあると判断した場合には、ステップS908に進み、そうではない場合には、ステップS910に進む。
ステップS907に続くステップS908では、操作者によってロックアウトユーザのロックアウト解除の指示が入力されることにより、対象となるロックアウトユーザのロックアウトが解除される。ステップS908に続いてステップS909に進み、UCS部120からアプリ210に対し、ロックアウト状態が解除になったことの通知が出力される。
一方、ステップS910では、ログインユーザが、ロックアウトを解除する権限がないために、ロックアウトを解除する処理は行われない。
ステップS909又はステップS910に続くステップS911では、操作者によってロックアウトを解除するボタンが選択され、ロックアウトを解除する処理が終了する。
図19から図22は、ロックアウトを解除する権限が異なるユーザグループ毎に、対応するロックアウトを解除する画面の例である。なお、図19から図22の画面は、ロックアウトされていないユーザをロックアウトする画面でもあり、ロックアウトをさせる権限が異なるユーザグループ毎に対応している。
図19は、例えば、最上位管理者グループのユーザがロックアウトを解除する処理を指示した場合に表示される画面の例である。図19では、最上位管理者グループである「スーパーバイザ」グループのロックアウトは、解除することができないが、他の管理者グループである「機器管理者」グループ、「ユーザ管理者」グループ、「ネットワーク管理者」グループ、及び、「文書管理者」グループのユーザについては、ロックアウトを解除することができる。
図19では、ロックアウトされているユーザに対しては「解除」のボタンを選択することができる。一方、ロックアウトされていないユーザに対しては「ロック」のボタンを選択することができる。これにより、選択されたボタンにしたがって、そのユーザをロックアウトし、又は、ロックアウトされているユーザのロックアウトを解除する処理が実行される。
図20は、ユーザ管理者グループのユーザが、ロックアウトを解除する処理を指示した場合に表示される画面の例である。図20では、一般ユーザの一覧が表示され、ユーザ毎に「ロック」又は「解除」のボタンを選択することができる。
図21は、例えばユーザ管理者グループのユーザが、ロックアウトを解除する処理を指示した場合に表示される画面の例であって、図20とは異なる例である。図21では、「次ページ」「前ページ」のボタンが選択されることにより、それぞれ、図21(A)及び(B)の画面の間を遷移する。図21(A)では、スーパーバイザのロックアウトを解除する処理又はスーパーバイザをロックアウトする処理を指示することができる。図21(B)では、一般ユーザ毎にロックアウトする処理又はロックアウトを解除する処理を指示することができる。
図22は、例えば機器管理者グループのユーザが、ロックアウトを解除する処理を指示した場合に表示される画面の例である。図22では、スーパーバイザのロックアウトを解除し、又は、ロックアウトする指示をボタンにより選択することができる。
なお、図19から図22は、ロックアウトを解除する処理が指示された場合の他に、ロックアウトを行う処理が指示された場合にも表示される。
図19から図22より、何れのユーザグループのユーザも、全てのユーザグループのユーザに対してロックアウトを解除し、又は、ロックアウト状態にする権限を有することはない。これにより、画像形成装置が、使用者と保守管理者とが異なる組織に属する場合に、それぞれの組織のユーザが実行する機能の範囲を好適に定めることができ、画像形成装置におけるセキュリティを好適に保つことができる。
(ロックアウト状態の変化を通知する処理の例)
図23は、ロックアウト状態が変化した場合に、その内容を通知する処理を説明する図であって、処理の例のシーケンス図である。
図23のステップS1001では、リモートアプリ20からの認証要求に基づいて、その要求を指示したユーザがロックアウトされ、又は、そのユーザのロックアウトが解除される。ステップS1001に続いてステップS1002に進み、CCS部110が、ステップS1001で発生したロックアウト状態の変化が、機器アプリ11における認証の要求に基づくか否かを判断する。機器アプリ11における認証の要求に基づく場合には、ステップS1003に進み、そうではない場合には処理を終了する。
ステップS1003では、CCS部110から通報先300に対し、ロックアウト状態が変化したことを通知する。なお、通報先300は、例えば、認証を要求したユーザのメールアドレス等である。
また、図23の処理は、機器アプリ11においてロックアウト状態が変化した場合に、通知を行っている。画像形成装置は、リモートアプリ20から使用される場合も多いため、リモートアプリ20を操作しているユーザ等が、機器アプリ11において自身のアカウントによって不正なアクセスが行われようとしたことを知ることができ、画像形成装置のセキュリティを好適に制御することができる。
(ネットワーク機能を無効化する処理の例)
図24は、ネットワーク機能を無効化する処理の例のシーケンス図である。図24のステップS1101では、アプリ210によって図12(B)の画面が表示され、操作者によってユーザの識別情報とパスワードとが入力される。ステップS1101に続いてステップS1102に進み、CCS部110及びUCS部120が、ステップS1101において入力されたユーザの識別情報等に基づいて認証を行った結果、そのユーザの認証に失敗し、所定のユーザグループのユーザが全てロックアウトされた状態になる。
ここで、所定のユーザグループのユーザとは、例えば、最上位管理者グループ及び機能別管理者グループのユーザである。このように、例えばビルトイン管理者グループのユーザが全てロックアウト状態になった場合に、ネットワークを介してその画像形成装置にアクセスされることは、そのアクセスを管理する管理者がログインできないために、セキュリティ上の問題が生じる。そこで、所定のユーザグループのユーザが全てロックアウトされた状態になった場合には、ネットワーク機能を無効化することにより、画像形成装置のセキュリティを好適に保つことができる。
ステップS1102に続いてステップS1103に進み、CCS部110からNCS部171に対し、ネットワーク機能を無効化する要求が出力される。この要求に基づいて、NCS部171が、ネットワークを介する通信機能を停止する。ステップS1103に続いてステップS1104に進み、NCS部171からCCS部110に対し、ネットワーク機能を無効化する処理が終了した通知が出力される。
ステップS1104に続いてステップS1105に進み、CCS部110からアプリ210に対し、所定のユーザグループのユーザが全てロックアウト状態となった通知が出力される。ステップS1105に続いてステップS1106に進み、アプリ210が、所定のユーザグループのユーザが全てロックアウト状態となっていることを通知する画面を表示する。図25は、ステップS1106において表示される画面の例である。
ステップS1106に続いてステップS1107に進み、例えば、操作者によって所定の操作が行われることにより、所定のユーザグループのユーザのロックアウトが解除される。所定の操作とは、例えば、図10及び図11で説明した操作である。
(コンピュータ等による実現)
なお、本発明の実施の形態に係る画像形成装置は、例えばパーソナルコンピュータ(PC)等で実現されてもよい。また、本発明の実施形態に係るロックアウト管理方法は、例えば、CPUがROMやハードディスク装置等に記憶されたプログラムに従い、RAM等のメインメモリをワークエリアとして使用し、実行される。
以上、発明を実施するための最良の形態について説明を行ったが、本発明は、この最良の形態で述べた実施の形態に限定されるものではない。本発明の主旨をそこなわない範囲で変更することが可能である。