JP5049332B2 - 画像形成システムおよびユーザマネージャサーバ装置 - Google Patents

画像形成システムおよびユーザマネージャサーバ装置 Download PDF

Info

Publication number
JP5049332B2
JP5049332B2 JP2009268573A JP2009268573A JP5049332B2 JP 5049332 B2 JP5049332 B2 JP 5049332B2 JP 2009268573 A JP2009268573 A JP 2009268573A JP 2009268573 A JP2009268573 A JP 2009268573A JP 5049332 B2 JP5049332 B2 JP 5049332B2
Authority
JP
Japan
Prior art keywords
user
domain
authorization information
local
group
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2009268573A
Other languages
English (en)
Other versions
JP2011113258A (ja
Inventor
正史 佐藤
高志 小熊
治尚 炭本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kyocera Document Solutions Inc
Original Assignee
Kyocera Document Solutions Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kyocera Document Solutions Inc filed Critical Kyocera Document Solutions Inc
Priority to JP2009268573A priority Critical patent/JP5049332B2/ja
Priority to CN201010513154.2A priority patent/CN102082887B/zh
Priority to US12/954,402 priority patent/US8392967B2/en
Priority to EP10192600.4A priority patent/EP2336934B1/en
Priority to ES10192600.4T priority patent/ES2656352T3/es
Publication of JP2011113258A publication Critical patent/JP2011113258A/ja
Application granted granted Critical
Publication of JP5049332B2 publication Critical patent/JP5049332B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、画像形成システムおよびユーザマネージャサーバ装置に関するものである。
近年、ネットワークシステムにおけるユーザや機器を管理するために、アクティブディレクトリ、eディレクトリなどといったディレクトリサービスが導入されている。プリンタ、コピー機、複合機などの画像形成装置にはネットワーク機能を有しているものがあり、現在、そのようなディレクトリサービスでユーザやグループ(部門)の管理を行うことができる。ディレクトリサービスでユーザ管理を行う場合、通常、画像形成装置に対してログイン操作を行ったユーザのユーザ認証が、ディレクトリサービスのサーバ装置で行われる。
他方、画像形成装置において、各種機能のうち、ログインユーザに許可された機能のみが使用可能とする認可処理が行われることがある。通常、認可処理では、各ユーザについて、使用が許可される機能(または使用が禁止される機能)を指定する認可情報が画像形成装置に予め設定されており、その認可情報に従って、ログインユーザが使用する機能が制限される。また、ユーザごとの認可情報を有する中間サーバ装置を使用して、ログインユーザの認可情報を画像形成装置に提供するシステムもある(例えば特許文献1参照)。
特開2008−140067号公報
上述のシステムでは、中間サーバ装置で各ユーザについての認可情報を集中管理することができるものの、ユーザおよびユーザグループに対して柔軟に認可情報を設定することが困難である。
例えば、ディレクトリサービスにおけるドメイングループとは異なるグループに対して認可情報を設定する場合には、一括して認可情報を設定できないため、そのグループに属する複数のユーザのそれぞれについて認可情報を設定しなければならない。このため、認可情報の設定作業が煩雑となる。なお、そのようなグループを組織単位(Organization Unit)としてディレクトリサービスに追加設定することも考えられるが、企業等で既に運用中のディレクトリサービスに影響を及ぼす可能性があるため、システム運用上、現実的には困難である。
本発明は、上記の問題に鑑みてなされたものであり、認可情報を集中管理しつつ、ユーザおよびユーザグループに対して柔軟に認可情報を設定することができる画像形成システム、およびその画像形成システムに使用可能なユーザマネージャサーバ装置を得ることを目的とする。
上記の課題を解決するために、本発明では以下のようにした。
本発明に係る画像形成システムは、ネットワークに接続された画像形成装置と、ネットワークに接続され、画像形成装置のログインユーザによる使用が許可される機能を示す認可情報をその画像形成装置に提供するユーザマネージャサーバ装置と、ディレクトリサービスを提供しドメイングループおよびドメインユーザの登録情報を有するディレクトリサーバ装置とを備える。そして、ユーザマネージャサーバ装置は、ドメイングループとは別にドメインユーザを含むローカルグループの登録情報と、ドメイングループおよびドメインユーザの少なくとも一方並びにローカルグループに対する認可情報とを有し、ログインユーザのユーザ認証をディレクトリサーバ装置で行い、ユーザ認証に成功したログインユーザがローカルグループに属する場合、そのローカルグループに対する認可情報を、そのログインユーザについての認可情報として画像形成装置へ送信し、ユーザ認証に成功したログインユーザがローカルグループに属さない場合、ドメイングループまたはドメインユーザに対する認可情報を、そのログインユーザについての認可情報として画像形成装置へ送信する。
これにより、ユーザマネージャサーバ装置で、システム内の認可情報を集中管理しつつ、ユーザおよびユーザグループに対して柔軟に認可情報を設定することができる。
本発明に係るユーザマネージャサーバ装置は、ネットワークに接続されるネットワークインタフェースと、ネットワークインタフェースを使用して、ネットワークに接続された画像形成装置のログインユーザの認証を、ネットワークに接続されたディレクトリサーバ装置で行うユーザ認証処理部と、ディレクトリサーバ装置により管理されるドメイングループとは別にドメインユーザを含むローカルグループの登録情報と、ドメイングループおよびドメインユーザの少なくとも一方並びにローカルグループに対する認可情報とを有する記憶装置と、ユーザ認証に成功したログインユーザがローカルグループに属する場合、そのローカルグループに対する認可情報を、そのログインユーザについての認可情報としてネットワークインタフェースを使用して画像形成装置へ送信し、ユーザ認証に成功したログインユーザがローカルグループに属さない場合、ドメイングループまたはドメインユーザに対する認可情報を、そのログインユーザについての認可情報としてネットワークインタフェースを使用して画像形成装置へ送信する認可処理部とを備える。
これにより、ディレクトリサービスにおける登録情報(グループ、ユーザなどの登録情報)に影響を与えずに、ディレクトリサービスのサーバ装置とは別に設けられているユーザマネージャサーバ装置において、ディレクトリサービス上のドメインユーザを含む新たなグループを形成し、そのグループについて認可情報を設定できるため、認可情報を集中管理しつつ、ユーザおよびユーザグループに対して柔軟に認可情報を設定することができる。
また、本発明に係るユーザマネージャサーバ装置は、上記のユーザマネージャサーバ装置に加え、次のようにしてもよい。この場合、記憶装置は、ドメインユーザとは別にローカルユーザの登録情報を有し、ローカルグループは、ローカルユーザを含み、ユーザ認証処理部は、記憶装置におけるローカルユーザの登録情報に基づいてログインユーザの認証を行い、認可処理部は、ログインユーザがローカルユーザである場合、そのローカルユーザの属するローカルグループに対する認可情報を、そのログインユーザについての認可情報としてネットワークインタフェースを使用して画像形成装置へ送信する。
これにより、ディレクトリサービスに影響を与えずに、ディレクトリサービス上のドメインユーザおよびディレクトリサービス上には含まれない別のユーザを含む新たなグループを形成し、そのグループについて認可情報を設定できるため、認可情報を集中管理しつつ、ユーザおよびユーザグループに対して柔軟に認可情報を設定することができる。
また、本発明に係るユーザマネージャサーバ装置は、上記のユーザマネージャサーバ装置のいずれかに加え、次のようにしてもよい。この場合、記憶装置は、ローカルユーザに対する認可情報を有し、認可処理部は、ログインユーザがローカルユーザである場合、ローカルユーザに対する認可情報を、そのログインユーザについての認可情報としてネットワークインタフェースを使用して画像形成装置へ送信する。
これにより、ディレクトリサービスのサーバ装置とは別に設けられているユーザマネージャサーバ装置において、各ローカルユーザに固有の認可情報を設定でき、ローカルユーザの属するグループの認可情報より優先して適用させることができる。
また、本発明に係るユーザマネージャサーバ装置は、上記のユーザマネージャサーバ装置のいずれかに加え、次のようにしてもよい。この場合、記憶装置は、ドメインユーザに対する認可情報を有し、認可処理部は、ログインユーザがドメインユーザである場合、ドメインユーザに対する認可情報を、そのログインユーザについての認可情報としてネットワークインタフェースを使用して画像形成装置へ送信する。
これにより、ディレクトリサービスのサーバ装置とは別に設けられているユーザマネージャサーバ装置において、各ドメインユーザに固有の認可情報を設定でき、ドメインユーザの属するグループの認可情報より優先して適用させることができる。
また、本発明に係るユーザマネージャサーバ装置は、上記のユーザマネージャサーバ装置のいずれかに加え、次のようにしてもよい。この場合、記憶装置は、IDカードのカードIDとそのIDカードを割り当てられたユーザのユーザIDとの対応関係を含む変換データを有し、ユーザ認証処理部は、ネットワークインタフェースを使用して、画像形成装置から、ログインユーザに割り当てられているIDカードのカードIDとパスワードとを受信し、変換データに従って、受信したカードIDからログインユーザのユーザIDを特定し、そのユーザIDを使用してユーザ認証を行う。
これにより、ユーザマネージャサーバ装置において、IDカードのカードIDが管理されるため、ディレクトリサービスにおいてカードIDを管理する必要がなく、既にディレクトリサービスが稼働しているシステムに、IDカードによるログインシステムを簡単に追加可能である。
本発明によれば、画像形成装置についての認可情報を集中管理しつつ、ユーザおよびユーザグループに対して柔軟に認可情報を設定することができる。
図1は、本発明の実施の形態に係る画像形成システムの構成を示すブロック図である。 図2は、図1における複合機の構成を示すブロック図である。 図3は、図1におけるユーザマネージャサーバ装置の構成を示すブロック図である。 図4は、図3における認可ポリシーデータの構成例を示す図である。 図5は、図1におけるディレクトリサーバ装置の構成を示すブロック図である。 図6は、図1に示すシステムにおいて、複合機へユーザがログインしたときの各装置の動作について説明するシーケンス図である。
以下、図に基づいて本発明の実施の形態を説明する。
実施の形態1.
図1は、本発明の実施の形態に係る画像形成システムの構成を示すブロック図である。図1に示すシステムでは、複数の複合機1A,1Bがネットワーク2に接続されており、さらに、そのネットワーク2にユーザマネージャサーバ装置3およびディレクトリサーバ装置4が接続されている。
複合機1Aは、プリンタ機能、スキャナ機能、コピー機能、ファクシミリ機能などを備え、複合機1A上の操作パネル、ネットワーク2に接続されたホスト装置などからの指令に従って上述の機能で各種ジョブを実行する画像形成装置である。複合機1Bも同様の装置である。
ユーザマネージャサーバ装置3は、複合機1A,1Bからのユーザ認証要求の受け付け、および複合機1A,1Bへのログインユーザについての認可情報の提供を行うサーバ装置である。また、ディレクトリサーバ装置4は、アクティブディレクトリ、eディレクトリなどのディレクトリサービスを提供するサーバ装置である。
図2は、図1における複合機1Aの構成を示すブロック図である。なお、複合機1Bも同様の構成を有する。複合機1Aは、操作パネル21、モデム22、ネットワークインタフェース23、プリンタ24、スキャナ25および制御装置26を有する。
操作パネル21は、複合機1Aの筐体に設置され、ユーザに各種情報を表示する表示装置21aおよびユーザ操作を受け付ける入力装置21bを有する。表示装置21aは、例えば、液晶ディスプレイ、各種インジケータなどである。入力装置21bは、例えば、タッチパネル、キースイッチなどである。
また、モデム22は、公衆交換電話網(PSTN)などの加入電話回線ネットワークに接続可能であり、ファクシミリデータの送受を行う通信装置である。
また、ネットワークインタフェース23は、有線または無線のコンピュータネットワーク2に接続可能であり、ネットワーク2に接続されている他の装置(サーバ装置3、図示せぬホスト装置など)との間でデータ通信を行う装置である。
また、プリンタ24は、印刷要求に従って用紙に印刷を行い印刷物を排出する内部装置である。電子写真方式の場合、プリンタ24は、感光体ドラムを帯電させた後、印刷データに基づいて光源を発光させることにより、感光体ドラム表面に静電潜像を形成し、この静電潜像をトナーで現像し、トナー画像を用紙に転写し定着し、その用紙を印刷物として排出する。
また、スキャナ25は、自動原稿給紙装置により給紙されてきた原稿またはユーザにより載置された原稿の片面または両面に対して光を照射しその反射光等を受光して原稿の画像を読み取り画像データとして出力する内部装置である。
また、制御装置26は、複合機1Aにおける各部を制御するとともに、データ処理を行う装置である。制御装置26は、例えばCPU(Central Processing Unit)、ROM(Read Only Memory)、RAM(Random Access Memory)などを有するコンピュータとして構成される。制御装置26において、CPUが、ROMや他の記憶装置(フラッシュメモリなど)に記憶されているプログラムをRAMにロードして実行することで各種処理部を実現する。この制御装置26では、FAX通信部31、ネットワーク通信部32、制御部33、および判定部34が実現される。
FAX通信部31は、モデム22を制御し、ファクシミリデータを受信する処理部である。FAX通信部31は、ファクシミリデータを受信すると、印刷要求を印刷制御部34に供給する。
ネットワーク通信部32は、ネットワークインタフェース23を制御し、各種通信プロトコルでネットワーク2上の装置との間でデータ通信を行う処理部である。例えば、ネットワーク通信部32は、ユーザログイン時に操作パネル21に入力されたユーザ名(ユーザID)およびパスワードをユーザマネージャサーバ装置3へ送信し、ユーザマネージャサーバ装置3からログインユーザの認可情報を受信する。また、例えば、ネットワーク通信部32は、ホストコンピュータから印刷要求(PDL(Page Description Language)データなど)を受信し、その印刷要求を制御部33に供給する。
制御部33は、操作パネル21へのユーザ操作によるジョブ要求、またはネットワークインタフェース23およびネットワーク通信部32によりホスト装置から受信されたジョブ要求を受け付け、複合機1A内の各部を制御して、そのジョブ要求に対応するジョブを実行する処理部である。ジョブ要求としては、印刷要求、スキャン要求、ファクシミリ送信要求などがある。また、制御部33は、ログイン操作があると、ネットワーク通信部32を使用して、ユーザ認証、認可情報などをユーザマネージャサーバ装置3に要求する。
判定部34は、ネットワークインタフェース23およびネットワーク通信部32により、ユーザマネージャサーバ装置3から受信された、ログインユーザについての認可情報に基づいて、この複合機1Aの有する機能のうち、ログインユーザによる使用を禁止する機能(または許可する機能)を特定し、各機能について使用を許可するか否かを示すデータを例えばRAM上に保持する処理部である。制御部33は、そのデータを参照して、ログインユーザによる複合機1Aの使用を制限する。例えば、ログインユーザに対してカラーコピー機能の使用が制限される場合、操作パネル21において、カラーコピーが選択できないようにコピー機能のメニューが表示される(例えば、モノクロ/カラーのうちのカラーの選択ボタンがグレイアウトされる)。
このように、複合機1A,1Bは構成される。
図3は、図1におけるユーザマネージャサーバ装置3の構成を示すブロック図である。ユーザマネージャサーバ装置3は、記憶装置41、ネットワークインタフェース42、および演算処理装置43を有する。
記憶装置41は、プログラムやデータを記憶する装置である。記憶装置41には、不揮発性半導体メモリ、ハードディスクドライブなどが使用される。記憶装置41には、認可ポリシーデータ51、ローカルユーザデータ52およびローカルグループデータ53が記憶されている。
認可ポリシーデータ51は、複合機1A,1Bのログインユーザによる使用が許可される機能を特定するために使用される認可情報を含むデータである。認可ポリシーデータ51には、ユーザについての認可情報と、グループについての認可情報とを含むことができる。ユーザについての認可情報は、そのユーザに対して適用される認可情報であり、グループについての認可情報は、そのグループに属するユーザに対して適用される認可情報である。また、認可ポリシーデータ51には、ユーザについての認可情報として、ディレクトリサーバ装置4に登録されているドメインユーザについての認可情報と、このユーザマネージャサーバ装置3に登録されているローカルユーザについての認可情報とを含めることができる。また、認可ポリシーデータ51には、グループについての認可情報として、ディレクトリサーバ装置4に登録されているドメイングループについての認可情報と、このユーザマネージャサーバ装置3に登録されているローカルグループについての認可情報とを含めることができる。ユーザについての認可情報は、ユーザID、およびそのユーザについて使用が許可(または禁止)される機能の情報(例えば機能のID)を含む。グループについての認可情報は、グループID、およびそのグループに属するユーザについて使用が許可(または禁止)される機能の情報(例えば機能のID)を含む。例えば、使用が許可(または禁止)される機能は、印刷、スキャン、コピー、ファクシミリ送信などの大項目の他、各大項目に付随する小項目(例えばカラー/モノクロ選択機能)を含む。
図4は、図3における認可ポリシーデータ51の構成例を示す図である。
図4に示す認可ポリシーデータ51では、ドメイングループAは、ドメインユーザA,B,C,Dを含み、ローカルグループAは、ローカルユーザA,BおよびドメインユーザB,Dを含む。そして、ドメイングループAについて認可ポリシー#1(認可情報を含むポリシーデータ)が設定されており、ドメイングループAに属するドメインユーザAについて認可ポリシー#2が設定されており、ローカルグループAについて認可ポリシー#3が設定されており、ローカルグループAに属するローカルユーザAについて認可ポリシー#4が設定されており、ドメイングループAに属するドメインユーザBについて認可ポリシー#5が設定されており、ドメインユーザEについて認可ポリシー#6が設定されており、ローカルユーザCについて認可ポリシー#7が設定されている。
ローカルユーザデータ52は、ローカルユーザの登録情報(ユーザIDおよびパスワード)を含むデータである。ローカルユーザは、ディレクトリサーバ装置4に登録されているドメインユーザとは別に、このユーザマネージャ装置3に登録されているユーザである。
ローカルグループデータ53は、ローカルグループの登録情報(グループID、およびグループに属するユーザのユーザID)を含むデータである。ローカルグループは、ディレクトリサーバ装置4に登録されているドメインユーザとは別に、このユーザマネージャ装置3に登録されているグループである。ローカルグループには、ローカルユーザと、ドメインユーザとを含めることができる。つまり、ローカルユーザのみからなるローカルグループ、ドメインユーザのみからなるローカルグループ、およびローカルユーザおよびドメインユーザからなるローカルグループが設定可能である。
また、ネットワークインタフェース42は、有線または無線のコンピュータネットワーク2に接続可能であり、ネットワーク2に接続されている他の装置(複合機1A,1B、サーバ装置4など)との間でデータ通信を行う装置である。
また、演算処理装置43は、CPU、ROM、RAMなどを有するコンピュータとして構成され、ROMまたは記憶装置41に記憶されているプログラムをRAMにロードし、CPUで実行することにより各種処理部を実現する。この演算処理装置43では、ネットワーク通信部61、ユーザ認証処理部62、および認可処理部63が実現される。
ネットワーク通信部61は、ネットワークインタフェース42を制御し、各種通信プロトコルでネットワーク2上の装置との間でデータ通信を行う処理部である。例えば、ネットワーク通信部61は、ユーザ名(ユーザID)およびパスワードを複合機1Aから受信し、そのユーザについての認可情報をその複合機1Aへ送信する。また、例えば、ネットワーク通信部61は、ユーザ認証要求をディレクトリサーバ装置4へ送信し、その認証結果およびユーザ情報をディレクトリサーバ装置4から受信する。
ユーザ認証処理部62は、ネットワークインタフェース42を使用して、複合機1A,1Bのログインユーザの認証を、ディレクトリサーバ装置4で行う処理部である。
認可処理部63は、ユーザ認証に成功した、複合機1A(または複合機1B)のログインユーザがローカルグループに属する場合、そのローカルグループに対する認可情報を、認可ポリシーデータ51から抽出して、そのログインユーザについての認可情報としてネットワークインタフェース42を使用して複合機1A(または複合機1B)へ送信し、ユーザ認証に成功したログインユーザがローカルグループに属さない場合、そのログインユーザの属するドメイングループまたはそのユーザ(ドメインユーザまたはローカルユーザ)に対する認可情報を、認可ポリシーデータ51から抽出して、そのログインユーザについての認可情報としてネットワークインタフェース42を使用して複合機1A(または複合機1B)へ送信する処理部である。
例えば図4に示す認可ポリシーデータ51の場合、ドメインユーザAが複合機1Aにログインすると、認可ポリシー#2および認可ポリシー#1が複合機1Aに送信される。なお、ユーザおよびグループの認可ポリシー(ここでは認可ポリシー#2および認可ポリシー#1)において競合する認可設定がある場合には、グループまたはユーザのうちの所定の認可ポリシーの設定が適用される。また、その場合、ドメインユーザBが複合機1Aにログインすると、認可ポリシー#5、認可ポリシー#3および認可ポリシー#1が複合機1Aに送信される。なお、ドメイングループおよびローカルグループの認可ポリシー(ここでは認可ポリシー#1および認可ポリシー#3)において競合する認可設定がある場合には、ドメイングループまたはローカルユーザのうちの所定の認可ポリシーの設定が適用される。また、その場合、ドメインユーザCが複合機1Aにログインすると、認可ポリシー#1が複合機1Aに送信される。また、その場合、ドメインユーザDが複合機1Aにログインすると、認可ポリシー#1および認可ポリシー#3が複合機1Aに送信される。また、その場合、ドメインユーザEが複合機1Aにログインすると、認可ポリシー#6が複合機1Aに送信される。また、その場合、ローカルユーザAが複合機1Aにログインすると、認可ポリシー#4および認可ポリシー#3が複合機1Aに送信される。また、その場合、ローカルユーザBが複合機1Aにログインすると、認可ポリシー#3が複合機1Aに送信される。また、その場合、ローカルユーザCが複合機1Aにログインすると、認可ポリシー#7が複合機1Aに送信される。
なお、あるログインユーザに適用すべき認可ポリシーが複数ある場合、サーバ装置3において、認可処理部63が、それらの認可ポリシーを結合して1つの認可ポリシーを生成し、その生成した認可ポリシーを送信するようにしてもよい。その場合、複数の認可ポリシーで競合する設定項目については、所定のルールに従って選択されるいずれかの認可ポリシーが適用される。
このように、ユーザマネージャサーバ装置3は構成される。
図5は、図1におけるディレクトリサーバ装置4の構成を示すブロック図である。ディレクトリサーバ装置4は、記憶装置71、ネットワークインタフェース72、および演算処理装置73を有する。
記憶装置71は、プログラムやデータを記憶する装置である。記憶装置71には、不揮発性半導体メモリ、ハードディスクドライブなどが使用される。記憶装置71には、ディレクトリサービスのデータベース91が構築されており、データベース91には、ユーザデータ91aおよびグループデータ91bが含まれる。ユーザデータ91aには、ユーザID、パスワード、およびユーザ情報(連絡先となる電話番号、ファクシミリ番号、電子メールアドレス、その他の属性情報)が含まれる。グループデータ91bには、グループID、グループに属するユーザのユーザIDリストおよびグループ情報(連絡先、責任者、その他の属性情報)が含まれる。
ネットワークインタフェース72は、有線または無線のコンピュータネットワーク2に接続可能であり、ネットワーク2に接続されている他の装置(サーバ装置3など)との間でデータ通信を行う装置である。
演算処理装置73は、CPU、ROM、RAMなどを有するコンピュータとして構成され、ROMまたは記憶装置71に記憶されているプログラムをRAMにロードし、CPUで実行することにより各種処理部を実現する。この演算処理装置73では、ネットワーク通信部81、およびディレクトリサービス処理部82が実現される。
ネットワーク通信部81は、ネットワークインタフェース72を制御し、各種通信プロトコルでネットワーク2上の装置との間でデータ通信を行う処理部である。例えば、ネットワーク通信部81は、ユーザ認証要求を受信し、その認証結果およびユーザ情報を送信する。
ディレクトリサービス処理部82は、ドメインユーザおよびドメイングループを管理する処理部である。 ディレクトリサービス処理部82は、ドメインユーザおよびドメイングループの登録および削除、ユーザ認証、ドメインユーザのユーザ情報およびドメイングループのグループ情報の提供などを行う。ユーザ認証には、LDAP(Lightweight Directory Access Protocol)認証、ケルベロス認証などが使用される。ディレクトリサービスがアクティブディレクトリである場合、ディレクトリサービス処理部82は、ドメインコントローラとして動作する。
このように、ディレクトリサーバ装置4は構成される。
次に、上記システムにおいて、複合機1Aへユーザがログインしたときの各装置の動作について説明する。図6は、図1に示すシステムにおいて、複合機1Aへユーザがログインしたときの各装置の動作について説明するシーケンス図である。なお、複合機1Bへユーザがログインしたときも同様に各装置が動作する。
複合機1Aの操作パネル21がユーザによるユーザ名(ユーザID)およびパスワードの入力操作を検出すると(ステップS1)、制御部33は、そのユーザ名およびパスワードを、ネットワーク通信部32およびネットワークインタフェース23を使用してユーザマネージャサーバ装置3へ送信する(ステップS2)。
ユーザマネージャサーバ装置3では、ユーザ認証処理部62が、ネットワーク通信部61およびネットワークインタフェース42を使用して、そのユーザ名およびパスワードを受信し、そのユーザ名およびパスワード並びに認証要求を所定のプロトコル(LDAP等)でディレクトリサーバ装置4に送信する(ステップS3)。
ディレクトリサーバ装置4では、ディレクトリサービス処理部82が、ネットワーク通信部81およびネットワークインタフェース72を使用して、そのユーザ名およびパスワード並びに認証要求を所定のプロトコルで受信し、ディレクトリデータベース91を参照して、そのユーザ名およびパスワードが正当なユーザのものであるか否かを判定する(ステップS4)。
そして、ディレクトリサービス処理部82は、ネットワーク通信部81およびネットワークインタフェース72を使用して、その判定結果(つまり、認証結果)、および認証に成功した場合にはそのユーザのユーザ情報を、認証要求の応答として、ユーザマネージャサーバ装置3へ送信する(ステップS5)。
ユーザマネージャサーバ装置3では、ユーザ認証処理部62が、ネットワーク通信部61およびネットワークインタフェース42を使用して、認証要求の応答としてその認証結果を受信し、認証に成功した場合には、併せてユーザ情報を受信する。そして、認証に成功した場合には、認可処理部63は、認可ポリシーデータ51を参照し、そのユーザの認可情報(つまり、そのユーザに適用される認可ポリシー)を特定し(ステップS6)、ネットワーク通信部61およびネットワークインタフェース42を使用して、その認可情報およびユーザ情報とともに、認証成功を示す応答を複合機1Aへ送信する(ステップS7)。
複合機1Aでは、制御部33は、ネットワーク通信部32およびネットワークインタフェース23を使用して、その認可情報およびユーザ情報を受信し、その認可情報を判定部34に提供する(ステップS8)。判定部34は、その認可情報に基づいて、複合機1Aの有する所定の機能のそれぞれについてそのユーザの使用が許可されるか否かを示すデータをRAM上に設定する。
その後、その認可情報に従って機能制限された状態で、ユーザに複合機1Aの使用が許可される(ステップS9)。複合機1Aでは、制御部33は、判定部34により設定された上述のデータを参照して、そのユーザに許可されている機能を使用するジョブのみを受け付けて実行する。
なお、ユーザ認証に失敗した場合には、認証失敗を示す応答のみがユーザマネージャサーバ装置3から複合機1Aへ送信され、複合機1Aは、認証失敗を示す応答を受信すると、認証失敗を示すメッセージを操作パネル21に表示するとともに、そのユーザによる複合機1Aの使用を禁止する。
以上のように、上記実施の形態1によれば、ユーザマネージャサーバ装置3の記憶装置41は、ディレクトリサーバ装置4により管理されるドメイングループとは別にドメインユーザを含むローカルグループの登録情報(ローカルグループデータ53)と、ドメイングループおよびドメインユーザの少なくとも一方並びにローカルグループに対する認可情報を含む認可ポリシーデータ51とを有する。そして、認可処理部63は、ログインユーザがローカルグループに属する場合、そのローカルグループに対する認可情報を、そのログインユーザについての認可情報として複合機1A(または複合機1B)へ送信し、ログインユーザがローカルグループに属さない場合、ドメイングループまたはそのユーザに対する認可情報を、そのログインユーザについての認可情報として複合機1A(または複合機1B)へ送信する。
これにより、ディレクトリサービスにおける登録情報(グループ、ユーザなどの登録情報)に影響を与えずに、ディレクトリサービスのサーバ装置とは別に設けられているユーザマネージャサーバ装置において、ディレクトリサービス上のドメインユーザを含む新たなグループを形成し、そのグループについて認可情報を設定できるため、認可情報を集中管理しつつ、ユーザおよびユーザグループに対して柔軟に認可情報を設定することができる。
実施の形態2.
実施の形態2に係る画像形成システムでは、ログイン時にユーザがユーザ名を複合機1Aに入力する代わりに、ユーザに割り当てられているIDカード(ここでは、ICカード)を使用する。
実施の形態2では、複合機1AにICカードリーダが接続されており、そのICカードリーダにIDカードが近接されると、制御部33がICカードリーダを使用してIDカードからIDカードのカードIDを読み取り、実施の形態1と同様に入力されたパスワードとともに、ユーザマネージャサーバ装置3へ送信する。
実施の形態2では、ユーザマネージャサーバ装置3の記憶装置41に、IDカードのカードIDとそのIDカードを割り当てられたユーザのユーザIDとを関連付ける変換データが予め記憶されており、ユーザ認証処理部62は、カードIDおよびパスワードを受信すると、変換データを参照して、そのカードIDに対応するユーザIDを特定し、特定したユーザIDと受信したパスワードに基づいてディレクトリサーバ装置4でユーザ認証を行う。
なお、実施の形態2に係るシステムにおける装置のその他の構成および動作については実施の形態の場合と同様であるので、その説明を省略する。
また、ここでは、IDカードとしてICカードを使用しているが、他の方式の記録媒体を備えるカード(磁気カードなど)を使用するようにしてもよい。その場合には、その方式のカードからカードIDを読み取り可能なリーダがICカードリーダの代わりに使用される。さらに、IDカードの代わりに、指紋などの生体情報を使用するようにしてもよい。その場合、その生体情報をユーザから取得可能なリーダがICカードリーダの代わりに使用され、その生体情報から得られる特徴量がIDとして使用される。
以上のように、上記実施の形態2によれば、ユーザマネージャサーバ装置3の記憶装置41は、IDカードのカードIDとそのIDカードを割り当てられたユーザのユーザIDとの対応関係を含む変換データを有し、ユーザ認証処理部62は、複合機1A,1Bから、IDカードのカードIDとパスワードとを受信し、その変換データに従って、受信したカードIDからログインユーザのユーザIDを特定し、そのユーザIDを使用してユーザ認証を行う。
これにより、ユーザマネージャサーバ装置3において、IDカードのカードIDが管理されるため、ディレクトリサービスにおいて、カードIDを管理する必要がなく、既にディレクトリサービスが稼働しているシステムにおいて、IDカードによるログインシステムを簡単に追加可能である。
なお、上述の各実施の形態は、本発明の好適な例であるが、本発明は、これらに限定されるものではなく、本発明の要旨を逸脱しない範囲において、種々の変形、変更が可能である。
例えば、上記各実施の形態では、ローカルユーザとドメインユーザが混在してローカルグループに含まれているが、ローカルユーザのみのローカルグループや、ドメインユーザのみのローカルグループがあってもよい。
また、上記各実施の形態において、ユーザマネージャサーバ装置3を、ネットワーク2には接続せずにネットワーク2とは異なる別のネットワークに接続し、その別のネットワークおよびネットワーク2にディレクトリサーバ装置4に接続し、ユーザマネージャサーバ装置3とディレクトリサーバ装置4とはその別のネットワークを介してデータ通信を行うようにしてもよい。
また、上記各実施の形態では、画像形成装置として複合機1A,1Bが使用されているが、その代わりに、プリンタ、コピー機などが使用されていてもよい。また、上記各実施の形態では、システムの画像形成装置は2台であるが、1台または3台以上の画像形成装置を使用することも可能である。
また、上記各実施の形態において、認可情報に、複合機へのアクセス権限レベルを含めるようにしてもよい。例えば、アクセス権限レベルとして、管理者および一般ユーザのうちのいずれかが設定される。管理者の場合には、メンテナンスなど、一般ユーザが使用できない機能が使用可能となる。
本発明は、例えば、複数の画像形成装置を有するネットワークシステムに適用可能である。
1A,1B 複合機(画像形成装置の一例)
2 ネットワーク
3 ユーザマネージャサーバ装置
4 ディレクトリサーバ装置
41 記憶装置
42 ネットワークインタフェース
62 ユーザ認証処理部
63 認可処理部

Claims (6)

  1. ネットワークに接続された画像形成装置と、
    前記ネットワークに接続され、前記画像形成装置のログインユーザによる使用が許可される機能を特定する認可情報をその画像形成装置に提供するユーザマネージャサーバ装置と、
    ディレクトリサービスを提供しドメイングループおよびドメインユーザの登録情報を有するディレクトリサーバ装置とを備え、
    前記ユーザマネージャサーバ装置は、前記ドメイングループとは別に前記ドメインユーザを含むローカルグループの登録情報と、前記ドメイングループおよび前記ドメインユーザの少なくとも一方並びに前記ローカルグループに対する認可情報とを有し、前記ログインユーザのユーザ認証を前記ディレクトリサーバ装置で行い、ユーザ認証に成功した前記ログインユーザが前記ローカルグループに属する場合、そのローカルグループに対する認可情報を、そのログインユーザについての認可情報として前記画像形成装置へ送信し、ユーザ認証に成功した前記ログインユーザが前記ローカルグループに属さない場合、前記ドメイングループまたは前記ドメインユーザに対する認可情報を、そのログインユーザについての認可情報として前記画像形成装置へ送信すること、
    を特徴とする画像形成システム。
  2. ログインユーザによる使用が許可される機能を特定する認可情報を画像形成装置へ提供するユーザマネージャサーバ装置において、
    ネットワークに接続されるネットワークインタフェースと、
    前記ネットワークインタフェースを使用して、前記ネットワークに接続された画像形成装置のログインユーザの認証を、前記ネットワークに接続されたディレクトリサーバ装置で行うユーザ認証処理部と、
    前記ディレクトリサーバ装置により管理されるドメイングループとは別にドメインユーザを含むローカルグループの登録情報と、前記ドメイングループおよび前記ドメインユーザの少なくとも一方並びに前記ローカルグループに対する認可情報とを有する記憶装置と、
    ユーザ認証に成功した前記ログインユーザが前記ローカルグループに属する場合、そのローカルグループに対する認可情報を、そのログインユーザについての認可情報として前記ネットワークインタフェースを使用して前記画像形成装置へ送信し、ユーザ認証に成功した前記ログインユーザが前記ローカルグループに属さない場合、前記ドメイングループまたは前記ドメインユーザに対する認可情報を、そのログインユーザについての認可情報として前記ネットワークインタフェースを使用して前記画像形成装置へ送信する認可処理部と、
    を備えることを特徴とするユーザマネージャサーバ装置。
  3. 前記記憶装置は、前記ドメインユーザとは別にローカルユーザの登録情報を有し、
    前記ローカルグループは、前記ローカルユーザを含み、
    前記ユーザ認証処理部は、前記記憶装置におけるローカルユーザの登録情報に基づいて前記ログインユーザの認証を行い、
    前記認可処理部は、前記ログインユーザが前記ローカルユーザである場合、そのローカルユーザの属する前記ローカルグループに対する認可情報を、そのログインユーザについての認可情報として前記ネットワークインタフェースを使用して前記画像形成装置へ送信すること、
    を特徴とする請求項2記載のユーザマネージャサーバ装置。
  4. 前記記憶装置は、前記ローカルユーザに対する認可情報を有し、
    前記認可処理部は、前記ログインユーザが前記ローカルユーザである場合、前記ローカルユーザに対する認可情報を、そのログインユーザについての認可情報として前記ネットワークインタフェースを使用して前記画像形成装置へ送信すること、
    を特徴とする請求項3記載のユーザマネージャサーバ装置。
  5. 前記記憶装置は、前記ドメインユーザに対する認可情報を有し、
    前記認可処理部は、前記ログインユーザが前記ドメインユーザである場合、前記ドメインユーザに対する認可情報を、そのログインユーザについての認可情報として前記ネットワークインタフェースを使用して前記画像形成装置へ送信すること、
    を特徴とする請求項2記載のユーザマネージャサーバ装置。
  6. 前記記憶装置は、IDカードのカードIDとそのIDカードを割り当てられたユーザのユーザIDとの対応関係を含む変換データを有し、
    前記ユーザ認証処理部は、前記ネットワークインタフェースを使用して、前記画像形成装置から、前記ログインユーザに割り当てられているIDカードのカードIDとパスワードとを受信し、前記変換データに従って、受信した前記カードIDから前記ログインユーザのユーザIDを特定し、そのユーザIDを使用してユーザ認証を行うこと、
    を特徴とする請求項2または請求項5記載のユーザマネージャサーバ装置。
JP2009268573A 2009-11-26 2009-11-26 画像形成システムおよびユーザマネージャサーバ装置 Active JP5049332B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2009268573A JP5049332B2 (ja) 2009-11-26 2009-11-26 画像形成システムおよびユーザマネージャサーバ装置
CN201010513154.2A CN102082887B (zh) 2009-11-26 2010-10-12 图像形成系统以及图像形成装置
US12/954,402 US8392967B2 (en) 2009-11-26 2010-11-24 Image forming system, image forming apparatus, and method for creating, maintaining, and applying authorization information
EP10192600.4A EP2336934B1 (en) 2009-11-26 2010-11-25 Image forming system, image forming apparatus, and method for creating, maintaining, and applying authorization information
ES10192600.4T ES2656352T3 (es) 2009-11-26 2010-11-25 Sistema de formación de imágenes, aparato de formación de imágenes, y método para crear, mantener, y aplicar la información de autorización

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009268573A JP5049332B2 (ja) 2009-11-26 2009-11-26 画像形成システムおよびユーザマネージャサーバ装置

Publications (2)

Publication Number Publication Date
JP2011113258A JP2011113258A (ja) 2011-06-09
JP5049332B2 true JP5049332B2 (ja) 2012-10-17

Family

ID=44235551

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009268573A Active JP5049332B2 (ja) 2009-11-26 2009-11-26 画像形成システムおよびユーザマネージャサーバ装置

Country Status (1)

Country Link
JP (1) JP5049332B2 (ja)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4455239B2 (ja) * 2004-09-10 2010-04-21 キヤノン株式会社 情報処理方法及び装置
JP3992050B2 (ja) * 2005-05-10 2007-10-17 コニカミノルタビジネステクノロジーズ株式会社 画像処理装置およびその制御方法ならびにコンピュータプログラム
JP2008244518A (ja) * 2007-03-23 2008-10-09 Ricoh Co Ltd 画像形成装置管理システム、画像形成装置、管理装置、端末装置、画像形成装置管理方法、画像形成プログラム
JP5145828B2 (ja) * 2007-09-11 2013-02-20 株式会社リコー ネットワークシステム、画像形成装置、プログラムおよび記録媒体

Also Published As

Publication number Publication date
JP2011113258A (ja) 2011-06-09

Similar Documents

Publication Publication Date Title
JP5069819B2 (ja) 画像形成システム
US8982374B2 (en) Image forming system and image forming method for collectively supporting output data formats and authentication methods
US20060026434A1 (en) Image forming apparatus and image forming system
US7865933B2 (en) Authentication agent apparatus, authentication method, and program product therefor
US8392967B2 (en) Image forming system, image forming apparatus, and method for creating, maintaining, and applying authorization information
JP4229735B2 (ja) 情報処理方法、情報処理システム、管理サーバ、コンピュータプログラム、及び記録媒体
JP5826198B2 (ja) 画像形成システム、画像形成装置、およびプログラム
JP5453145B2 (ja) 画像形成システムおよびユーザマネージャサーバ装置
JP2007043365A (ja) 画像出力管理システム及びその制御プログラム
JP5069820B2 (ja) 画像形成システムおよびユーザマネージャサーバ装置
JP5412335B2 (ja) 画像形成システム
JP5448948B2 (ja) 画像形成システムおよびユーザマネージャサーバ装置
JP5186521B2 (ja) 画像形成システムおよびユーザマネージャサーバ装置
JP5091965B2 (ja) 画像形成システムおよびユーザマネージャサーバ装置
JP5358490B2 (ja) 画像形成システムおよびユーザマネージャサーバ装置
JP5286232B2 (ja) 画像形成システムおよびユーザマネージャサーバ装置
JP5033205B2 (ja) 画像形成システムおよびユーザマネージャサーバ装置
JP2004122778A (ja) 画像形成装置及び利用制御方法
JP5145316B2 (ja) 画像形成システムおよびユーザマネージャサーバ装置
JP5433464B2 (ja) 画像形成システムおよびユーザマネージャサーバ装置
JP5049333B2 (ja) 認可情報登録装置および認可情報登録プログラム
JP2012105000A (ja) 複合機制御システム、制御プログラム、記録媒体
JP5325818B2 (ja) 画像形成システムおよびユーザマネージャサーバ装置
JP5346852B2 (ja) 画像形成システムおよびユーザマネージャサーバ装置
JP5049332B2 (ja) 画像形成システムおよびユーザマネージャサーバ装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20111121

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120409

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120417

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120626

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120720

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150727

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 5049332

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150