JP5135028B2 - Image forming apparatus, image forming program, and image forming method - Google Patents
Image forming apparatus, image forming program, and image forming method Download PDFInfo
- Publication number
- JP5135028B2 JP5135028B2 JP2008095685A JP2008095685A JP5135028B2 JP 5135028 B2 JP5135028 B2 JP 5135028B2 JP 2008095685 A JP2008095685 A JP 2008095685A JP 2008095685 A JP2008095685 A JP 2008095685A JP 5135028 B2 JP5135028 B2 JP 5135028B2
- Authority
- JP
- Japan
- Prior art keywords
- image forming
- communication path
- processing means
- user
- forming apparatus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Facsimiles In General (AREA)
- Accessory Devices And Overall Control Thereof (AREA)
Description
本発明は、画像形成装置、画像形成プログラムおよび画像形成方法に関するものである。 The present invention relates to an image forming apparatus, an image forming program, and an image forming method.
複合機、複写機などの画像形成装置には、画像形成装置の操作パネルで操作してユーザIDを入力すると、認証サーバにそのユーザIDの正当性を問い合わせ、その問い合わせに対する応答に基づいてユーザのログインを許可するものがある(例えば特許文献1参照)。 When an image forming apparatus such as a multifunction peripheral or a copier is operated with an operation panel of the image forming apparatus to input a user ID, the authentication server is inquired about the validity of the user ID, and the user's response is based on the response to the inquiry. Some allow login (see, for example, Patent Document 1).
近年、コンピュータネットワークを介して、パーソナルコンピュータなどの端末装置から画像形成装置へ要求を送信し、その要求により指定された処理を実行させることが可能となっている。 In recent years, it has become possible to transmit a request from a terminal device such as a personal computer to an image forming apparatus via a computer network and to execute processing specified by the request.
コンピュータネットワークを介して、パーソナルコンピュータなどの端末装置から画像形成装置へ要求を送信するシステムにおいて、画像形成装置のシステム機能の一部に対して使用制限を設定したい場合がある。 In a system in which a request is transmitted from a terminal device such as a personal computer to an image forming apparatus via a computer network, there are cases where it is desired to set usage restrictions for some of the system functions of the image forming apparatus.
そのような場合、システム機能の処理部が、サービス要求に対して、実行するか否かを判定することが考えられる。 In such a case, it can be considered that the processing unit of the system function determines whether or not to execute the service request.
しかしながら、上述のように、システム機能の処理部に、サービス要求に対して、実行するか否かを判定させるためには、処理部に対して判定機能を追加する必要があり、大きな開発コストを要する。 However, as described above, in order for the processing unit of the system function to determine whether or not to execute the service request, it is necessary to add a determination function to the processing unit. Cost.
また、使用制限設定をカスタマイズしたい場合、システム機能を追加する場合などにおいては、使用制限の判定機能に修正が必要になり、その都度、大きな開発コストを要する。 Further, when it is desired to customize the use restriction setting, when adding a system function, etc., it is necessary to modify the use restriction determination function, which requires a large development cost each time.
本発明は、上記の問題に鑑みてなされたものであり、大きな開発コストをかけずに、ネットワークを介して使用されるシステム処理手段の機能に対する使用制限を細かく設定することができる画像形成装置、画像形成プログラムおよび画像形成方法を得ることを目的とする。 The present invention has been made in view of the above problems, and an image forming apparatus capable of finely setting use restrictions on the functions of a system processing unit used via a network without incurring a large development cost. An object is to obtain an image forming program and an image forming method.
上記の課題を解決するために、本発明では以下のようにした。 In order to solve the above problems, the present invention is configured as follows.
本発明に係る画像形成装置は、端末装置との間で所定のプロトコルでデータ通信を行うネットワーク処理手段と、画像形成処理を実行するための内部装置の制御および/または監視をするシステム処理手段と、機能制限情報に基づいて、システム処理手段の複数の機能のそれぞれについてネットワーク処理手段により使用される通信路の確立を許可または拒否する制限手段とを備える。そして、ネットワーク処理手段は、その通信路を、その機能を使用するためのサービス要求の受信に使用し、制限手段は、その通信路の確立を拒否する場合、そのサービス要求を受信しないようにネットワーク処理手段においてその通信路を遮断する。 An image forming apparatus according to the present invention includes a network processing unit that performs data communication with a terminal device using a predetermined protocol, and a system processing unit that controls and / or monitors an internal device for executing the image forming process. And restricting means for permitting or rejecting establishment of a communication path used by the network processing means for each of the plurality of functions of the system processing means based on the function restriction information. Then, the network processing means uses the communication path to receive a service request for using the function, and the restricting means does not receive the service request when rejecting establishment of the communication path. The communication means is blocked by the processing means.
これにより、既存のシステム処理手段を利用することができるため、大きな開発コストをかけずに、ネットワークを介して使用されるシステム処理手段の機能に対する使用制限を細かく設定することができる。 As a result, since the existing system processing means can be used, it is possible to finely set usage restrictions on the functions of the system processing means used via the network without incurring a large development cost.
また、本発明に係る画像形成装置は、上記の画像形成装置に加え、次のようにしてもよい。この場合、機能制限情報は、通信路の確立を許可するポート番号、または通信路の確立を拒否するポート番号を有する。そして、制限手段は、システム処理手段の複数の機能のそれぞれについて割り当てられているTCPにおけるポート番号ごとに、通信路確立の許可または拒否をする。 In addition to the image forming apparatus described above, the image forming apparatus according to the present invention may be configured as follows. In this case, the function restriction information has a port number that permits the establishment of the communication path or a port number that rejects the establishment of the communication path. Then, the restricting unit permits or rejects establishment of the communication path for each port number in TCP assigned for each of the plurality of functions of the system processing unit.
これにより、各ポート番号に割り当てられているシステム処理手段の機能に対する使用制限を細かく設定することができる。 As a result, it is possible to finely set usage restrictions on the functions of the system processing means assigned to each port number.
また、本発明に係る画像形成装置は、上記の画像形成装置のいずれかに加え、次のようにしてもよい。この場合、機能制限情報は、通信路の確立を許可するURIまたはドメイン、あるいは通信路の確立を拒否するURIまたはドメインを有する。制限手段は、システム処理手段の複数の機能のそれぞれについて割り当てられているHTTPにおける通信相手のURIまたはドメインごとに、通信路確立の許可または拒否をする。 The image forming apparatus according to the present invention may be configured as follows in addition to any of the image forming apparatuses described above. In this case, the function restriction information has a URI or domain that permits establishment of a communication path, or a URI or domain that refuses establishment of a communication path. The restricting unit permits or rejects establishment of a communication path for each URI or domain of a communication partner in HTTP assigned for each of the plurality of functions of the system processing unit.
これにより、各URIまたはドメインを通信相手としているシステム処理手段の機能に対する使用制限を細かく設定することができる。 As a result, it is possible to finely set usage restrictions on the functions of the system processing means having each URI or domain as a communication partner.
また、本発明に係る画像形成装置は、上記の画像形成装置のいずれかに加え、次のようにしてもよい。この場合、画像形成装置は、ネットワーク処理手段により端末装置から受信されたユーザ識別情報が正当なユーザ識別情報の場合にはログインを許可し、ログインしたユーザのためのトークンを端末装置へ送信するログイン処理手段と、トークンを関連付けたサービス要求がネットワーク処理手段により受信されると、トークンが正当なトークンであるか否かを判定する判定手段と、判定手段によりトークンが正当なトークンであると判定された場合に、サービス要求により指定された処理を実行するサービス提供手段とを備える。そして、制限手段は、トークンに対応するユーザの機能制限情報に基づいて、通信路の確立をユーザごとに許可または拒否する。 The image forming apparatus according to the present invention may be configured as follows in addition to any of the image forming apparatuses described above. In this case, when the user identification information received from the terminal device by the network processing unit is valid user identification information, the image forming apparatus permits login and transmits a token for the logged-in user to the terminal device. When the service request associated with the processing means and the token is received by the network processing means, the determination means for determining whether or not the token is a valid token and the determination means determine that the token is a valid token. Service providing means for executing processing designated by the service request. The restricting unit permits or rejects establishment of the communication path for each user based on the function restriction information of the user corresponding to the token.
これにより、ユーザごとにシステム処理手段の機能に対する使用制限を細かく設定することができる。 Thereby, the usage restrictions with respect to the function of a system processing means can be set finely for every user.
また、ユーザが端末装置からコンピュータネットワークを介して画像形成装置を利用するシステムにおいて確実にユーザの認証・認可を行うことができる。 In addition, the user can be reliably authenticated and authorized in a system in which the user uses the image forming apparatus from the terminal device via the computer network.
また、本発明に係る画像形成装置は、上記の画像形成装置のいずれかに加え、次のようにしてもよい。この場合、機能制限情報は、外部の認可サーバから供給される。 The image forming apparatus according to the present invention may be configured as follows in addition to any of the image forming apparatuses described above. In this case, the function restriction information is supplied from an external authorization server.
これにより、複数の画像形成装置に対して適用される機能制限情報を一元管理することができる。 As a result, function restriction information applied to a plurality of image forming apparatuses can be centrally managed.
本発明に係る画像形成プログラムは、端末装置からの要求に応じて処理を実行する画像形成装置におけるコンピュータを、画像形成処理を実行するための内部装置の制御および/または監視をするシステム処理手段、および機能制限情報に基づいて、システム処理手段の複数の機能のそれぞれについてネットワーク処理手段により使用される通信路の確立を許可または拒否する制限手段として機能させる。そして、ネットワーク処理手段は、その通信路を、その機能を使用するためのサービス要求の受信に使用し、制限手段は、その通信路の確立を拒否する場合、そのサービス要求を受信しないようにネットワーク処理手段においてその通信路を遮断する。 An image forming program according to the present invention is a system processing means for controlling and / or monitoring an internal device for executing an image forming process on a computer in an image forming apparatus that executes a process in response to a request from a terminal device. Based on the function restriction information, each of the plurality of functions of the system processing unit is caused to function as a limiting unit that permits or rejects establishment of a communication path used by the network processing unit. Then, the network processing means uses the communication path to receive a service request for using the function, and the restricting means does not receive the service request when rejecting establishment of the communication path. The communication means is blocked by the processing means.
これにより、既存のシステム処理手段を利用することができるため、大きな開発コストをかけずに、ネットワークを介して使用されるシステム処理手段の機能に対する使用制限を細かく設定することができる。 As a result, since the existing system processing means can be used, it is possible to finely set usage restrictions on the functions of the system processing means used via the network without incurring a large development cost.
本発明に係る画像形成方法は、画像形成処理を実行するための内部装置の制御および/または監視をするシステム処理手段に対するサービス要求の送信のための通信路の確立要求があると、機能制限情報に基づいて、そのサービス要求に使用される通信路の確立を許可または拒否するステップと、通信路の確立後、所定のネットワーク処理手段によりサービス要求を受信するステップと、受信したサービス要求により指定された処理をシステム処理手段により実行するステップとを備える。そして、その通信路の確立を拒否する場合、そのサービス要求を受信しないようにネットワーク処理手段においてその通信路を遮断する。 In the image forming method according to the present invention, when there is a request for establishing a communication path for transmission of a service request to a system processing unit that controls and / or monitors an internal device for executing image forming processing, the function restriction information On the basis of the above, the step of permitting or denying the establishment of the communication path used for the service request, the step of receiving the service request by a predetermined network processing means after the establishment of the communication path, and the designated service request Executing the above-described processing by the system processing means. When the establishment of the communication path is rejected, the communication path is blocked by the network processing means so as not to receive the service request.
これにより、既存のシステム処理手段を利用することができるため、大きな開発コストをかけずに、ネットワークを介して使用されるシステム処理手段の機能に対する使用制限を細かく設定することができる。 As a result, since the existing system processing means can be used, it is possible to finely set usage restrictions on the functions of the system processing means used via the network without incurring a large development cost.
本発明によれば、大きな開発コストをかけずに、ネットワークを介して使用されるシステム処理手段の機能に対する使用制限を細かく設定することができる。 According to the present invention, it is possible to finely set usage restrictions on functions of system processing means used via a network without incurring a large development cost.
以下、図に基づいて本発明の実施の形態を説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
図1は、本発明の実施の形態に係る画像形成システムの構成を示すブロック図である。図1において、画像形成装置1は、端末装置2からの要求に応じて画像形成処理および画像データの送受信処理などの処理を実行する装置である。画像形成装置1の形態は、複合機、複写機、ファクシミリ送受信機などとされる。端末装置2は、画像形成装置1にコンピュータネットワークを介して接続し、サービス要求を送信して各種処理を実行させ、処理結果を受信する装置である。端末装置2の形態は、所定のアプリケーションプログラム、ユーティリティプログラム、ドライバなどがインストールされたパーソナルコンピュータなどとされる。このシステムでは、端末装置2が通信路を介して画像形成装置1に接続した後に、ユーザは、端末装置2から画像形成装置1を使用する際に、画像形成装置1によりユーザ認証を受ける必要がある。
FIG. 1 is a block diagram showing a configuration of an image forming system according to an embodiment of the present invention. In FIG. 1, an
図2は、図1における画像形成装置1の構成を示すブロック図である。図2において、通信装置11は、コンピュータネットワークなどを介して端末装置2とデータ通信可能な装置である。通信装置11としては、例えばネットワークインタフェースなどが使用される。また、データ格納装置12は、画像形成プログラム12aおよびその他のコンピュータプログラム、並びに画像形成処理などに必要なデータを格納する装置である。データ格納装置12としては、ハードディスクドライブ、不揮発性メモリなどが使用される。
FIG. 2 is a block diagram showing a configuration of the
また、内部装置13は、画像形成装置1の有する機能を実現するために必要な装置である。内部装置13としては、例えばスキャナ、プリンタ、モデムなどが適宜設けられる。また、コンピュータネットワークを介して画像データを送受する場合には、通信装置11も内部装置13に含まれる。
The
コンピュータ14は、図示せぬCPU(Central Processing Unit)、ROM(Read Only Memory)、RAM(Random Access Memory)などを有し、データ格納装置12に格納されている画像形成プログラム12aなどを実行し各種処理部を実現する演算処理装置である。
The
図3は、図2におけるコンピュータ14が画像形成プログラム12a等を実行することにより実現される処理部の構成を示すブロック図である。図3において、システム処理部21は、内部装置13を制御したり監視したりする処理部である。ネットワーク処理部22は、各種プロトコルで通信処理を行うエンティティ31〜37およびログインコントロールインタフェース38を有する。エンティティ31は、IP(Internet Protocol)の処理を行う。エンティティ32は、TCP(Transmission Control Protocol)の処理を行う。エンティティ33は、HTTP(HyperText Transfer Protocol)のサーバおよびクライアントの処理を行う。
FIG. 3 is a block diagram showing a configuration of a processing unit realized by the
エンティティ34は、HTTPを利用するSOAP(Simple Object Access Protocol)のプロキシおよびリスナの処理を行う。
The
エンティティ35は、SOAPを利用するWS−Addressing(Web Services Addressing)に基づきエンドポイント(つまり、端末装置2のネットワーク識別情報およびその他の属性情報)を管理する処理を行う。なお、WS−Addressingについては、W3Cの仕様がある。
The
エンティティ36は、SOAPを利用するWS−Security(Web Services Security)およびWS−Security補遺に基づき認証・認可に必要な情報の送受を行う。WS−SecurityおよびWS−Security補遺では、送信側の識別情報を含むUserNameToken要素がセキュリティトークンとされる。また、WS−SecurityおよびWS−Security補遺では、送信側の証明情報を含むBinarySecurityToken要素がバイナリセキュリティトークンとされる。セキュリティトークンおよびバイナリセキュリティトークンは、SOAPヘッダに含まれる。
The
エンティティ37は、SOAPを利用するWS−Transfer(Web Services Transfer)に基づき情報の送受を行う。なお、WS−Transferについては、W3Cの仕様がある。
The
ログインコントロールインタフェース38は、端末装置2から受信された情報から、ログイン要求に係るユーザのユーザ識別情報を取得し、セキュリティマネージャ41へ供給する。例えば、セキュリティトークンとして端末装置2からユーザ識別情報(ユーザID、パスワードなど)が受信される場合には、エンティティ36により抽出されたセキュリティトークンからユーザ識別情報が抽出される。
The
また、セキュリティマネージャ23は、ログインマネージャ41および認証・認可マネージャ42を有する。ログインマネージャ41は、ユーザのログイン許可、ログインユーザに対するユーザトークンの発行などを行う。認証・認可マネージャ42は、サービス要求時のユーザトークンの認証(つまり、ユーザの認可)、システム処理部21の機能利用の認可などの処理を行う。
The
認証処理部24は、ネットワーク処理部22を介して各種プロトコルで外部認証サーバに認証処理を要求し、外部認証サーバによる認証結果を出力する。認証処理部24は、システム処理部21、ネットワーク処理部22、セキュリティマネージャ23などから独立したモジュールとして構成され、システム処理部21、ネットワーク処理部22、セキュリティマネージャ23などとの間ではSocketなどにより通信を行う。認証処理部24では、Kerberos、LDAP(Lightweight Directory Access Protocol)、NTLM(Windows NT LAN Manager authentication)v1、NTLMv2などの認証プロトコルが適宜使用される。また、認証処理部24は、モジュール化されているため、認証プロトコルの変更を容易に行うことができる。
The
サービス提供処理部25は、Webサービスを通じて、サービス要求に応じて、画像形成処理、データ送受信処理およびその他の付随処理を提供する処理部である。「Webサービス」は、SOAPが通信プロトコルとして使用され、記述言語としてはWSDL(Web Services Description Language)などが使用される技術のことを指す。
The service
なお、ネットワーク処理部22は、ネットワーク処理手段の一例であり、ログインマネージャ41は、ログイン処理手段の一例であり、認証・認可マネージャ42は、判定手段の一例であり、サービス提供処理部25は、サービス提供手段の一例である。
The
また、認証処理部24は、認証処理手段の一例であり、システム処理部21は、システム処理手段の一例である。
The
次に、上記システムにおける各装置の動作について説明する。 Next, the operation of each device in the system will be described.
図4は、図1のシステムにおいて端末装置2と画像形成装置1との間で確立されるセッションについて説明する図である。
FIG. 4 is a diagram illustrating a session established between the
まず、端末装置2と画像形成装置1との間で、TCP/IPセッションが確立される(ステップS1)。画像形成装置1では、エンティティ31,32がTCP/IPセッション確立のための処理を行う。
First, a TCP / IP session is established between the
次に、端末装置2と画像形成装置1との間で、HTTPS、装置1,2の相互認証などにより、セキュリティセッションが確立される(ステップS2)。画像形成装置1では、エンティティ33がセキュリティセッション確立のための処理を行う。これにより、装置1,2の機器の正当性、および装置1,2感の通信路のセキュリティが確保される。
Next, a security session is established between the
そして、端末装置2と画像形成装置1との間で、Webサービスセッションが確立される(ステップS3)。画像形成装置1では、エンティティ35が、端末装置2をエンドポイントとして認識する。これ以降、Webサービス関連の通知、要求および応答がSOAPに従って送受される。
Then, a Web service session is established between the
Webサービスセッションが確立されると、端末装置2は、ログイン要求とともにユーザ識別情報を画像形成装置1へ送信し、画像形成装置1は、このユーザ識別情報を受信する(ステップS4)。ユーザ識別情報は、端末装置2を操作しているユーザを識別するための情報であり、例えばユーザID、ユーザIDおよびパスワードのセット、ユーザの生体情報(例えば指紋情報)などである。画像形成装置1は、このユーザ識別情報を受信すると、装置1の内部でユーザ識別情報の正当性を判定するか、外部認証サーバへユーザ識別情報の正当性を問い合わせる。そして、画像形成装置1は、ユーザ識別情報が正当なものであるか否かを判定する。
When the Web service session is established, the
画像形成装置1は、このユーザ識別情報が正当なユーザ識別情報である場合には、そのユーザ識別情報のユーザのためのユーザトークンを生成し、そのユーザトークンをユーザ識別情報に関連付けて保持するとともに、端末装置2へ送信する。端末装置2は、ログイン要求の応答としてログインの許可とともにそのユーザトークンを受信する(ステップS5)。端末装置2は、ユーザ識別情報とユーザトークンを関連付けて保持し、以後のサービス要求時には、これらを画像形成装置1へ提示する。ユーザトークンは、そのユーザの今回のログインに固有の値を有するデータである。これにより、シングルサインオンが実現される。つまり、以前のログインが有効である期間においては、そのとき発行されたユーザトークンを継続して使用することができる。
When the user identification information is valid user identification information, the
その後、端末装置2は、Webサービスのサービス要求を画像形成装置1へ送信する際、サービス要求にそのユーザトークンを含める(ステップS6)。画像形成装置1は、そのユーザトークンの正当性を判定し、そのユーザトークンが正当なものであれば、サービスの提供を許可する(ステップS7)。これにより、画像形成装置1と端末装置2との間では、そのサービスの提供のためのユーザセッションがWebサービス上で確立される(ステップS8)。
Thereafter, when the
このようにして、端末装置2から画像形成装置1へサービス要求を送信する場合には、常にユーザトークンに基づきユーザの認可が行われる。
In this way, when a service request is transmitted from the
次に、以下の項目につき、端末装置2と画像形成装置1との間で行われる処理の詳細について説明する。
(a)ログイン処理
(b)ログアウト処理
(c)画像形成装置1のシステム機能における属性(設定項目)の値の保存処理(以下、属性値保存処理という)
(d)画像形成装置1のシステム機能についての認可の設定処理(以下、認可設定処理という)
(e)画像形成装置1のシステム機能に設定されている認可情報の閲覧処理(以下、認可情報閲覧処理という)
(f)端末装置2からのサービス要求に基づく処理(以下、Webサービス処理という)
Next, details of processing performed between the
(A) Login process (b) Logout process (c) Attribute (setting item) value storage process in the system function of the image forming apparatus 1 (hereinafter referred to as attribute value storage process)
(D) Authorization setting process for the system function of the image forming apparatus 1 (hereinafter referred to as authorization setting process)
(E) Authorization information browsing process set in the system function of the image forming apparatus 1 (hereinafter referred to as authorization information browsing process)
(F) Processing based on a service request from the terminal device 2 (hereinafter referred to as Web service processing)
(a)ログイン処理 (A) Login process
図5は、図1に示すシステムにおけるログイン処理を説明する図である。図6は、図1に示すシステムにおける、外部認証サーバを使用したログイン処理を説明する図である。 FIG. 5 is a diagram for explaining login processing in the system shown in FIG. FIG. 6 is a diagram for explaining login processing using an external authentication server in the system shown in FIG.
図4に示すTCP/IPセッション、セキュリティセッションおよびWebサービスセッションが確立した後、端末装置2は、画像形成装置1のユーザ認証方式を特定するために、認証方式情報要求を画像形成装置1に送信する(ステップS11)。この実施の形態では、この認証方式情報要求は、WSDLで記述されたSOAPエンベロープとして送信される。また、そのSOAPエンベロープには、WS−Securityのセキュリティトークンまたはバイナリセキュリティトークンが含まれる。そのセキュリティトークンまたはそのバイナリセキュリティトークンには、画像形成装置1の証明書(Kerberosチケット、X.509v3証明書など)、画像形成装置1のMAC(Media Access Control)アドレス、このログイン処理を実行する端末装置2のユーティリティ、アプリケーション、ドライバなどといったプログラムの固有情報などが含まれる。そして、画像形成装置1は、その認証方式情報要求を受信する。画像形成装置1では、各エンティティ31〜36により各プロトコルに従った処理が実行され、エンティティ36によりセキュリティトークンまたはバイナリセキュリティトークンがその要求のSOAPエンベロープから抽出される。そして、ログインコントロールインタフェース38は、そのトークンをログインマネージャ41に供給する。ログインマネージャ41は、その認証方式情報要求に対して、ログインマネージャ41により許容されるユーザ認証方法を示す認証方式情報を、ネットワーク処理部22を介して、その要求に対する応答に含めて端末装置2へ送信する(ステップS12)。この応答も、SOAPエンベロープとして送信される。
After the TCP / IP session, the security session, and the Web service session shown in FIG. 4 are established, the
端末装置2は、その応答を受信すると、画像形成装置1により指定された認証方式に従って、ユーザ識別情報とともにログイン要求を画像形成装置1に送信する(ステップS13)。端末装置2は、ユーザ識別情報を含むセキュリティトークンをSOAPヘッダに含めてWSDLで記述されたログイン要求をSOAPエンベロープとして送信する。そして、画像形成装置1は、そのユーザ識別情報とともにログイン要求を受信する。画像形成装置1では、各エンティティ31〜36により各プロトコルに従った処理が実行され、エンティティ36によりセキュリティトークンがログイン要求のSOAPエンベロープから抽出される。そして、ログインコントロールインタフェース38は、そのセキュリティトークンからユーザ識別情報を抽出して、ログインマネージャ41に供給する。
Upon receiving the response, the
ログインマネージャ41は、そのユーザ識別情報を受け取ると、システム処理部21に対して、そのユーザ識別情報を提示して、ログインを許可するか否かを問い合わせる(ステップS14)。システム処理部21は、画像形成装置1内にユーザ登録情報がある場合には、そのユーザ登録情報に基づいてそのユーザ識別情報が正当なものであるか否かを判定する。一方、画像形成装置1内にユーザ登録情報がない場合には、システム処理部21は、認証処理部24に、図示せぬ外部認証サーバへの問い合わせを実行させる。認証処理部24は、予め指定されたプロトコルで、外部認証サーバへユーザ識別情報を提示してそのユーザ識別情報の正当性を問い合わせ(図6:ステップS21)、その認証結果を外部認証サーバから受信する(図6:ステップS22)。システム処理部21は、認証処理部24により受信された認証結果に基づいて、そのユーザ識別情報が正当なものであるか否かを判定する。
Upon receiving the user identification information, the
そして、システム処理部21は、そのユーザ識別情報が正当なものであるか否かを示す認証結果をログインマネージャ41へ供給する(ステップS15)。
Then, the
ログインマネージャ41は、そのユーザ識別情報が正当なものである場合には、そのユーザ識別情報を送信してきた端末装置2のユーザのログインを許可し、そのユーザに対してユーザトークンを発行する(ステップS16)。このユーザトークンは、以後のWebサービスでの通信でそのユーザのセッションにおいて、WS−Securityのセキュリティトークンまたはバイナリセキュリティトークンに含まれる。ログインマネージャ41は、そのユーザトークンとユーザ識別情報とを関連付けて保持する。
If the user identification information is valid, the
そして、ログインマネージャ41は、ログインを許可した場合には、ネットワーク処理部22を介して、そのユーザトークンを、ログイン要求に対する応答に含めて端末装置2へ送信する(ステップS17)。このとき、ログインマネージャ41は、ユーザトークンをネットワーク処理部22に供給する。ネットワーク処理部22では、そのユーザトークンがログイン要求に対する応答のSOAPエンベロープに含められ、端末装置2へ送信される。このとき、ユーザトークンは、SOAPエンベロープのヘッダおよびボディのいずれに含められていてもよい。
If the
端末装置2は、その応答を受信すると、ログインが許可された場合には、SOAPエンベロープからユーザトークンを抽出し、保持する。
Upon receiving the response, the
なお、ログインが許可されなかった場合、ログインマネージャ41は、ログイン拒否の応答を端末装置2へ送信する。ログインが拒否された場合には、ユーザトークンは発行されない。
When login is not permitted, the
このようにして、ログイン処理が実行される。 In this way, the login process is executed.
(b)ログアウト処理 (B) Logout processing
図7は、図1に示すシステムにおけるログアウト処理を説明する図である。図8は、図1に示すシステムにおける、外部認証サーバを使用したログアウト処理を説明する図である。 FIG. 7 is a diagram for explaining logout processing in the system shown in FIG. FIG. 8 is a diagram for explaining logout processing using an external authentication server in the system shown in FIG.
図5または図6に示すログイン処理後、端末装置2は、ユーザ操作などに基づいて、ログアウト要求を画像形成装置1に送信する(ステップS31)。端末装置2は、ユーザトークンを含むWSDLで記述されたログアウト要求をSOAPエンベロープとして送信する。そして、画像形成装置1は、そのログアウト要求を受信する。画像形成装置1では、各エンティティ31〜36により各プロトコルに従った処理が実行され、エンティティ36により、ログアウト要求のSOAPエンベロープからユーザトークンが抽出される。ユーザトークンは、セキュリティトークンまたはバイナリセキュリティトークンとして、SOAPヘッダに含まれている。そして、認証・認可マネージャ42は、抽出されたユーザトークンをログインマネージャ41に供給する。
After the login process shown in FIG. 5 or FIG. 6, the
ログインマネージャ41は、そのユーザトークンを受け取ると、そのユーザトークンの検証を行い、そのユーザトークンが正当なものである場合には、そのユーザトークンに関連付けられているユーザ識別情報を、システム処理部21に対して提示してログアウトを要求する(ステップS32)。システム処理部21は、画像形成装置1内にユーザ登録情報がある場合には、そのユーザ登録情報に基づいてそのユーザ識別情報のユーザのログアウト処理を行い、完了通知をログインマネージャ41に供給する(ステップS33)。一方、画像形成装置1内にユーザ登録情報がない場合には、システム処理部21は、認証処理部24に、図示せぬ外部認証サーバへのログアウト要求を実行させる。認証処理部24は、予め指定されたプロトコルで、外部認証サーバへユーザ識別情報を提示してそのユーザ識別情報のログアウト要求を送信し(図8:ステップS41)、そのログアウト処理の完了通知を外部認証サーバから受信する(図8:ステップS42)。システム処理部21は、認証処理部24により完了通知が受信されると、完了通知をログインマネージャ41に供給する(ステップS33)。
When the
そして、ログインマネージャ41は、システム処理部21から、そのユーザ識別情報についてのログアウト処理の完了通知を受け取ると、そのユーザ識別情報に関連付けて保持しているユーザトークンの保持を終了し、そのユーザトークンを解放する(ステップS34)。
When the log-in
このようにして、ログアウト処理が実行される。 In this way, logout processing is executed.
(c)属性値保存処理 (C) Attribute value storage processing
図9は、図1に示すシステムにおける属性値保存処理を説明する図である。 FIG. 9 is a diagram for explaining attribute value storage processing in the system shown in FIG.
図5または図6に示すログイン処理後、端末装置2は、ユーザ操作などに基づいて、属性値保存要求を画像形成装置1に送信する(ステップS51)。端末装置2は、ユーザトークンをSOAPヘッダに含めて、WSDLで記述された属性値保存要求をSOAPエンベロープとして送信する。属性値保存要求には、属性(設定項目)の種類およびその値が含まれる。そして、画像形成装置1は、その属性値保存要求を受信する。画像形成装置1では、各エンティティ31〜36により各プロトコルに従った処理が実行され、エンティティ36により、属性値保存要求のSOAPエンベロープからユーザトークンが抽出される。ユーザトークンは、SOAPヘッダのセキュリティトークンまたはバイナリセキュリティトークンに含まれている。そして、認証・認可マネージャ42は、抽出されたユーザトークンをログインマネージャ41に供給する。
After the login process shown in FIG. 5 or FIG. 6, the
ログインマネージャ41は、そのユーザトークンを受け取ると、そのユーザトークンの検証を行い、そのユーザトークンが正当なものである場合には、そのユーザトークンに関連付けられているユーザ識別情報をシステム処理部21に対して提示して、端末装置2からの要求に従って属性値の保存を要求する(ステップS52)。システム処理部21は、その要求に従って、属性値を保存する。なお、指定された属性の値が既に存在する場合には、システム処理部21は、要求により指定された値で、その属性の値を更新する。これにより、システム処理部21における処理に、その属性値が反映される。
Upon receiving the user token, the
そして、システム処理部21は、属性値の保存処理が完了すると、その処理結果(保存に成功したか否か)をログインマネージャ41に供給する(ステップS53)。
When the attribute value saving process is completed, the
ログインマネージャ41は、システム処理部21から、その処理結果を受け取ると、ネットワーク処理部22を介して、その処理結果を端末装置2へ送信する(ステップS54)。このとき、ネットワーク処理部22は、SOAPエンベロープとして、その処理結果を含む属性値保存要求の応答を送信する。そして、端末装置2は、その属性値保存要求の応答を受信する。
When receiving the processing result from the
このようにして、属性値保存処理が実行される。 In this way, the attribute value saving process is executed.
(d)認可設定処理 (D) Authorization setting process
図10は、図1に示すシステムにおける認可設定処理を説明する図である。 FIG. 10 is a diagram for explaining the authorization setting process in the system shown in FIG.
図5または図6に示すログイン処理後、端末装置2は、ユーザ操作などに基づいて、認可情報設定要求を画像形成装置1に送信する(ステップS61)。端末装置2は、ユーザトークンをSOAPヘッダに含めて、WSDLで記述された認可情報設定要求をSOAPエンベロープとして送信する。認可情報設定要求には、認可の対象となる機能名(例えば関数名)を示す認可情報が含まれる。そして、画像形成装置1は、その認可情報設定要求を受信する。画像形成装置1では、各エンティティ31〜36により各プロトコルに従った処理が実行され、エンティティ36により、認可情報設定要求のSOAPエンベロープからユーザトークンが抽出される。ユーザトークンは、SOAPヘッダのセキュリティトークンまたはバイナリセキュリティトークンに含まれている。そして、認証・認可マネージャ42は、抽出されたユーザトークンをログインマネージャ41に供給する。
After the login process shown in FIG. 5 or FIG. 6, the
ログインマネージャ41は、そのユーザトークンを受け取ると、そのユーザトークンの検証を行い、そのユーザトークンが正当なものである場合には、そのユーザトークンに関連付けられているユーザ識別情報をシステム処理部21に対して提示して、端末装置2からの要求に従って認可情報の設定を要求する(ステップS62)。システム処理部21は、その要求に従って、認可情報を設定する。
Upon receiving the user token, the
そして、システム処理部21は、認可情報の設定処理が完了すると、その処理結果(設定に成功したか否か)をログインマネージャ41に供給する(ステップS63)。
Then, when the authorization information setting process is completed, the
ログインマネージャ41は、システム処理部21から、その処理結果を受け取ると、ネットワーク処理部22を介して、その処理結果を端末装置2へ送信する(ステップS64)。このとき、ネットワーク処理部22は、SOAPエンベロープとして、その処理結果を含む認可情報設定要求の応答を送信する。そして、端末装置2は、その認可情報設定要求の応答を受信する。
Upon receiving the processing result from the
このようにして、認可設定処理が実行される。なお、認可設定処理は、所定の権限を有するユーザのみが行えるようにしてもよい。その場合、所定の権限を有するユーザのユーザ識別情報が予め画像形成装置1に格納されており、ログインマネージャ41は、ログイン要求におけるユーザ識別情報が所定の権限を有するユーザのものである場合にのみ、認可設定処理をシステム処理部21に実行させる。また、所定の権限を有するユーザは、他のユーザについての認可の設定を行えるようにしてもよい。
In this way, the authorization setting process is executed. The authorization setting process may be performed only by a user having a predetermined authority. In that case, user identification information of a user having a predetermined authority is stored in the
(e)認可情報閲覧処理 (E) Authorization information browsing process
図11は、図1に示すシステムにおける認可情報閲覧処理を説明する図である。 FIG. 11 is a diagram for explaining the authorization information browsing process in the system shown in FIG.
図5または図6に示すログイン処理後、端末装置2は、ユーザ操作などに基づいて、認可情報閲覧要求を画像形成装置1に送信する(ステップS71)。端末装置2は、ユーザトークンをSOAPヘッダに含めて、WSDLで記述された認可情報閲覧要求をSOAPエンベロープとして送信する。そして、画像形成装置1は、その認可情報閲覧要求を受信する。画像形成装置1では、各エンティティ31〜36により各プロトコルに従った処理が実行され、エンティティ36により、認可情報閲覧要求のSOAPエンベロープからユーザトークンが抽出される。ユーザトークンは、SOAPヘッダのセキュリティトークンまたはバイナリセキュリティトークンに含まれている。そして、認証・認可マネージャ42は、抽出されたユーザトークンをログインマネージャ41に供給する。
After the login process shown in FIG. 5 or FIG. 6, the
ログインマネージャ41は、そのユーザトークンを受け取ると、そのユーザトークンの検証を行い、そのユーザトークンが正当なものである場合には、そのユーザトークンに関連付けられているユーザ識別情報を、システム処理部21に対して提示して、端末装置2からの要求に従って認可情報の提供を要求する(ステップS72)。システム処理部21は、その要求に従って、システム処理部21に設定されている認可情報を供給する。認可情報には、認可されている機能およびユーザ識別情報が含まれる。
When the
そして、システム処理部21は、認可情報の閲覧処理が完了すると、その処理結果(設定に成功したか否かおよび得られた認可情報)をログインマネージャ41に供給する(ステップS73)。
Then, when the browsing process of the authorization information is completed, the
ログインマネージャ41は、システム処理部21から、その処理結果を受け取ると、ネットワーク処理部22を介して、その処理結果を端末装置2へ送信する(ステップS74)。このとき、ネットワーク処理部22は、SOAPエンベロープとして、その処理結果を含む認可情報閲覧要求の応答を送信する。そして、端末装置2は、その認可情報閲覧要求の応答を受信する。
Upon receiving the processing result from the
このようにして、認可情報閲覧処理が実行される。なお、ログインマネージャ41は、ユーザグループを予め設定しておき、グループ内の全ユーザの認可情報をシステム処理部21から取得し、処理結果に含めるようにしてもよい。
In this way, the authorization information browsing process is executed. The
(f)Webサービス処理 (F) Web service processing
図12は、図1に示すシステムにおけるWebサービス処理を説明する図である。 FIG. 12 is a diagram for explaining Web service processing in the system shown in FIG.
図5または図6に示すログイン処理後、端末装置2は、ユーザ操作などに基づいて、サービス要求を画像形成装置1に送信する(ステップS81)。端末装置2は、ユーザトークンをSOAPヘッダに含めて、WSDLで記述されたサービス要求をSOAPエンベロープとして送信する。そして、画像形成装置1は、そのサービス要求を受信する。画像形成装置1では、各エンティティ31〜36により各プロトコルに従った処理が実行される。エンティティ36により、サービス要求のSOAPヘッダからセキュリティトークンまたはバイナリセキュリティトークンが抽出され、認証・認可マネージャ42へ供給される。認証・認可マネージャ42は、セキュリティトークンまたはバイナリセキュリティトークンに含まれるユーザトークンを抽出し(ステップS82)、抽出されたユーザトークンをログインマネージャ41に供給する(ステップS83)。
After the login process shown in FIG. 5 or FIG. 6, the
ログインマネージャ41は、そのユーザトークンを受け取ると、そのユーザトークンの検証を行い(ステップS84)、その検証結果を認証・認可マネージャ42に供給する(ステップS85)。認証・認可マネージャ42は、ユーザトークンが正当なものである場合には、サービス要求のSOAPボディの内容を解析してサービス要求において指定されている処理を特定し(ステップS86)、その処理の実行をサービス提供処理部25に要求する(ステップS87)。ユーザトークンが正当なものではない場合には、認証・認可マネージャ42は、サービス要求を拒否し、ネットワーク処理部22に、その旨の応答を送信させる。そのユーザトークンが、ログインしたユーザに発行されその時点で保持されているものであれば、正当なものと判定され、そうでなければ、正当なものではないと判定される。
Upon receiving the user token, the
サービス提供処理部25は、その要求に基づき、指定された処理を実行し(ステップS88)、処理結果を、ネットワーク処理部22を介して、端末装置2へ送信する(ステップS89)。このとき、ネットワーク処理部22は、SOAPエンベロープとして、その処理結果を含むサービス要求の応答を送信する。そして、端末装置2は、そのサービス要求の応答を受信する。
The service
このようにして、Webサービス処理が実行される。 In this way, the Web service process is executed.
なお、サービス提供処理部25がシステム処理部21の機能を利用する際に認可が必要な場合には、ステップS84において、ログインマネージャ41は、システム処理部21からそのユーザトークンに基づき取得可能な認可情報を取得する。そして、ログインマネージャ41は、その認可情報を検証結果とともに認証・認可マネージャ42に供給する。認証・認可マネージャ42は、その認可情報をサービス提供処理部25に処理実行の要求とともに供給する。そして、サービス提供処理部25は、その認可情報を提示して、システム処理部21の機能を利用する。
If authorization is required when the service providing
さらに、認証・認可マネージャ42は、機能制限情報に基づいて、システム処理部21の複数の機能のそれぞれについてネットワーク処理部22により使用される通信路の確立を許可または拒否する。つまり、認証・認可マネージャ42は、ネットワーク処理部22を制御して、機能制限情報により指定される通信路を遮断する。これにより、その機能を使用するためのサービス要求が受信されないため、結果として、機能の使用が制限される。なお、認証・認可マネージャ42は、制限手段の一例である。
Further, the authentication /
例えば、機能制限情報は、通信路の確立を許可するポート番号、または通信路の確立を拒否するポート番号を有する。そして、認証・認可マネージャ42は、システム処理部21の複数の機能のそれぞれについて割り当てられているTCPにおけるポート番号ごとに、通信路確立の許可または拒否をする。
For example, the function restriction information includes a port number that permits establishment of a communication path or a port number that refuses establishment of a communication path. Then, the authentication /
例えば、システム処理部21における設定情報の更新および出力の機能は、SNMP(Simple Network Management Protocol)を使用し、ポート番号161のポートを使用する。このため、設定情報の更新および出力の機能の使用を禁止する場合、ポート番号161の通信路確立が拒否される。
For example, the function of updating and outputting the setting information in the
また、インターネットファクシミリ機能は、電子メールシステムを使用するため、送信についてはSMTP(Simple Mail Transfer Protocol)のポート25を使用し、受信については、POP3(Post Office Protocol 3)のポート110を使用する。このため、インターネットファクシミリ機能の使用を禁止する場合、送信についてはポート25の通信路確立が拒否され、受信についてはポート110の通信路確立が拒否される。
Since the Internet facsimile function uses an electronic mail system, the SMTP (Simple Mail Transfer Protocol)
また、IPP(Internet Printing Protocol)印刷機能は、ポート9100を使用する。このため、IPP印刷機能の使用を禁止する場合、ポート9100の通信路確立が拒否される。 The IPP (Internet Printing Protocol) printing function uses the port 9100. For this reason, when the use of the IPP printing function is prohibited, establishment of the communication path of the port 9100 is rejected.
なお、複数の機能で同一のプロトコルを使用する場合、機能毎に異なるポートを使用して、上述のように、通信路確立の可否を設定すればよい。 When the same protocol is used for a plurality of functions, it is only necessary to set whether to establish a communication path as described above by using a different port for each function.
あるいは、TCPより上位のプロトコルにて、通信路確立の可否を設定するようにしてもよい。例えば、通信路の確立を許可するURI(Uniform Resource Identifier)またはドメイン、あるいは通信路の確立を拒否するURIまたはドメインの情報を含む機能制限情報が供給され、認証・認可マネージャ42は、システム処理部21の複数の機能のそれぞれについて割り当てられているHTTPにおける通信相手のURIまたはドメインごとに、通信路確立の許可または拒否をするようにしてもよい。
Alternatively, whether to establish a communication path may be set using a protocol higher than TCP. For example, URI (Uniform Resource Identifier) or domain permitting establishment of a communication path, or function restriction information including information of a URI or domain rejecting establishment of a communication path is supplied, and the authentication /
例えば、WSD(Web Services for Devices)−SCAN、WSD−PRINTなどのWeb Servicesの各機能は、同一の通信プロトコルによりサービス要求が送受される。このため、SOAPエンベロープの送受に使用される通信相手のURIまたはURIのドメインが、機能ごとに、機能制限情報として登録され、認証・認可マネージャ42は、それを参照して通信路確立の許可または拒否をする。
For example, in each function of Web Services such as WSD (Web Services for Devices) -SCAN and WSD-PRINT, service requests are transmitted and received by the same communication protocol. For this reason, the URI of the communication partner used for transmission / reception of the SOAP envelope or the domain of the URI is registered as function restriction information for each function, and the authentication /
以上のように、上記実施の形態によれば、認証・認可マネージャ42は、機能制限情報に基づいて、システム処理部21の複数の機能のそれぞれについてネットワーク処理部22により使用される通信路の確立を許可または拒否する。
As described above, according to the embodiment, the authentication /
これにより、サービス要求の送受を制限することで、既存のシステム処理部を変更することなく利用することができる。このため、大きな開発コストをかけずに、ネットワークを介して使用されるシステム処理部21の機能に対する使用制限を細かく設定することができる。
As a result, by restricting transmission / reception of service requests, existing system processing units can be used without being changed. For this reason, it is possible to finely set usage restrictions on the functions of the
なお、上述の実施の形態は、本発明の好適な例であるが、本発明は、これらに限定されるものではなく、本発明の要旨を逸脱しない範囲において、種々の変形、変更が可能である。 The above-described embodiments are preferred examples of the present invention, but the present invention is not limited to these, and various modifications and changes can be made without departing from the scope of the present invention. is there.
例えば、上記実施の形態において、認証・認可マネージャ42は、トークンに対応するユーザの機能制限情報に基づいて、通信路の確立をユーザごとに許可または拒否するようにしてもよい。これにより、ユーザごとにシステム処理部21の機能に対する使用制限を細かく設定することができる。
For example, in the above embodiment, the authentication /
また、上記実施の形態において、機能制限情報は、画像形成装置1内の不揮発性メモリなどの記録媒体に格納される。
In the above embodiment, the function restriction information is stored in a recording medium such as a nonvolatile memory in the
また、上記実施の形態において、機能制限情報は、外部の認可サーバから供給されるようにしてもよい。この場合、認証・認可マネージャ42は、認証処理部24を介して外部の認可サーバから機能制限情報を取得する。これにより、複数の画像形成装置に対して適用される機能制限情報を一元管理することができる。
In the above embodiment, the function restriction information may be supplied from an external authorization server. In this case, the authentication /
また、上記実施の形態において、ユーザトークンは、例えば、擬似乱数関数の値、また、乱数値やその他の値をシードとしたMD5、SHA1などのハッシュ関数値などとされる。また、ユーザトークンに、ユーザトークンの発行元(つまり、画像形成装置1)を証明するKerberosチケット、X.509v3証明書などの証明情報を含めるようにしてもよい。 In the above embodiment, the user token is, for example, a pseudo-random function value, or a hash function value such as MD5 or SHA1 using a random value or another value as a seed. In addition, a Kerberos ticket for certifying the user token issuer (that is, the image forming apparatus 1), X. Certification information such as a 509v3 certificate may be included.
また、上記実施の形態において、端末装置2から画像形成装置1へユーザ識別情報を送信する際に、ユーザIDをそのまま送信せずに、ユーザIDのハッシュ関数値などをユーザ識別情報として送信するようにしてもよい。
In the above-described embodiment, when transmitting user identification information from the
また、上記実施の形態においては、ユーザトークンは、ログインマネージャ41により生成されるが、その代わりに、外部認可サーバがユーザトークンを生成し、ログインマネージャ41に供給するようにしてもよい。その場合、ログインマネージャ41が、端末装置2から受信されたユーザトークンを外部認可サーバへ転送し、外部認可サーバが、そのユーザトークンの正当性を判定するようにしてもよい。
In the above embodiment, the user token is generated by the
また、上記実施の形態においては、端末装置2は、ログイン前に、セキュリティトークンまたはバイナリセキュリティトークンでセキュリティを確保しつつ、画像形成装置1の認証方式情報を取得しているが、その代わりに、設定情報の読み取りのみ可能なAnonymousユーザを設定し、最初にそのAnonymousユーザとしてログインして認証方式情報を取得し、その後に、上述のようにして、再度、ログインを行うようにしてもよい。また、端末装置2側で認証方式を指定するようにしてもよい。また、予め指定されている特定の認証方式のみで、画像形成装置1および端末装置2が認証処理を行うようにしてもよい。その場合には、端末装置2または画像形成装置1による認証方式情報の取得は不要である。
In the above embodiment, the
本発明は、例えば、ネットワーク機能を有する複合機に適用可能である。 The present invention is applicable to, for example, a multifunction machine having a network function.
1 画像形成装置
2 端末装置
12a 画像形成プログラム
13 内部装置
14 コンピュータ
21 システム処理部(システム処理手段)
22 ネットワーク処理部(ネットワーク処理手段)
24 認証処理部(認証処理手段)
25 サービス提供処理部(サービス提供手段)
41 ログインマネージャ(ログイン処理手段)
42 認証・認可マネージャ(判定手段,制限手段)
DESCRIPTION OF
22 Network processing unit (network processing means)
24 Authentication processing unit (authentication processing means)
25 Service provision processing part (service provision means)
41 Login manager (login processing means)
42 Authentication / authorization manager (judgment means, restriction means)
Claims (7)
前記端末装置との間で所定のプロトコルでデータ通信を行うネットワーク処理手段と、
画像形成処理を実行するための内部装置の制御および/または監視をするシステム処理手段と、
機能制限情報に基づいて、前記システム処理手段の複数の機能のそれぞれについて前記ネットワーク処理手段により使用される通信路の確立を許可または拒否する制限手段と、
を備え、
前記ネットワーク処理手段は、前記通信路を、前記機能を使用するためのサービス要求の受信に使用し、
前記制限手段は、前記通信路の確立を拒否する場合、前記サービス要求を受信しないように前記ネットワーク処理手段において前記通信路を遮断すること、
を特徴とする画像形成装置。 In an image forming apparatus that executes processing in response to a request from a terminal device,
Network processing means for performing data communication with the terminal device using a predetermined protocol;
System processing means for controlling and / or monitoring an internal device for executing image forming processing;
Limiting means for permitting or denying establishment of a communication path used by the network processing means for each of a plurality of functions of the system processing means based on function restriction information;
Equipped with a,
The network processing means uses the communication path to receive a service request for using the function,
The restricting means shuts down the communication path in the network processing means so as not to receive the service request when the establishment of the communication path is rejected;
An image forming apparatus.
前記制限手段は、前記システム処理手段の複数の機能のそれぞれについて割り当てられているTCPにおけるポート番号ごとに、通信路確立の許可または拒否をすること、
を特徴とする請求項1記載の画像形成装置。 The function restriction information includes a port number that permits the establishment of the communication path, or a port number that rejects the establishment of the communication path,
The restricting means permits or rejects establishment of a communication path for each port number in TCP allocated for each of the plurality of functions of the system processing means;
The image forming apparatus according to claim 1.
前記制限手段は、前記システム処理手段の複数の機能のそれぞれについて割り当てられているHTTPにおける通信相手のURIまたはドメインごとに、通信路確立の許可または拒否をすることを特徴とする請求項1記載の画像形成装置。 The function restriction information includes a URI or domain that permits establishment of the communication path, or a URI or domain that denies establishment of the communication path,
The said restriction | limiting means permits or refuses a communication path establishment for every URI or domain of the communicating party in HTTP allocated about each of the some function of the said system processing means, The rejection of Claim 1 characterized by the above-mentioned. Image forming apparatus.
前記トークンを関連付けたサービス要求が前記ネットワーク処理手段により受信されると、前記トークンが正当なトークンであるか否かを判定する判定手段と、
前記判定手段により前記トークンが正当なトークンであると判定された場合に、前記サービス要求により指定された処理を実行するサービス提供手段とを備え、
前記制限手段は、前記トークンに対応するユーザの機能制限情報に基づいて、前記通信路の確立をユーザごとに許可または拒否することを特徴とする請求項1記載の画像形成装置。 Login processing means for permitting login when the user identification information received from the terminal device by the network processing means is valid user identification information, and transmitting a token for the logged-in user to the terminal device;
When a service request associated with the token is received by the network processing unit, a determination unit that determines whether the token is a valid token;
Service determining means for executing processing specified by the service request when the determining means determines that the token is a valid token;
The image forming apparatus according to claim 1, wherein the restricting unit permits or rejects establishment of the communication path for each user based on function restriction information of the user corresponding to the token.
前記端末装置との間で所定のプロトコルでデータ通信を行うネットワーク処理手段、
画像形成処理を実行するための内部装置の制御および/または監視をするシステム処理手段、および
機能制限情報に基づいて、前記システム処理手段の複数の機能のそれぞれについて前記ネットワーク処理手段により使用される通信路の確立を許可または拒否する制限手段、
として機能させ、
前記ネットワーク処理手段は、前記通信路を、前記機能を使用するためのサービス要求の受信に使用し、
前記制限手段は、前記通信路の確立を拒否する場合、前記サービス要求を受信しないように前記ネットワーク処理手段において前記通信路を遮断すること、
を特徴とする画像形成プログラム。 A computer in an image forming apparatus that executes processing in response to a request from a terminal device,
Network processing means for performing data communication with the terminal device using a predetermined protocol;
System processing means for controlling and / or monitoring internal devices for executing image forming processing, and communication used by the network processing means for each of a plurality of functions of the system processing means based on function restriction information Restriction means to allow or deny the establishment of the road,
To function as,
The network processing means uses the communication path to receive a service request for using the function,
The restricting means shuts down the communication path in the network processing means so as not to receive the service request when the establishment of the communication path is rejected;
An image forming program.
画像形成処理を実行するための内部装置の制御および/または監視をするシステム処理手段に対するサービス要求の送信のための通信路の確立要求があると、機能制限情報に基づいて、そのサービス要求に使用される通信路の確立を許可または拒否するステップと、
前記通信路の確立後、所定のネットワーク処理手段により前記サービス要求を受信するステップと、
受信した前記サービス要求により指定された処理を前記システム処理手段により実行するステップと、
を備え、
前記通信路の確立を拒否する場合、前記サービス要求を受信しないように前記ネットワーク処理手段において前記通信路を遮断すること、
を特徴とする画像形成方法。 In an image forming method for executing processing in response to a request from a terminal device,
When there is a request for establishing a communication path for transmission of a service request to a system processing means for controlling and / or monitoring an internal device for executing image forming processing, it is used for the service request based on the function restriction information Allowing or denying the establishment of a communication channel to be
Receiving the service request by predetermined network processing means after establishing the communication path;
Executing the process designated by the received service request by the system processing means;
With
When rejecting establishment of the communication path, blocking the communication path in the network processing means so as not to receive the service request;
An image forming method.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008095685A JP5135028B2 (en) | 2008-04-02 | 2008-04-02 | Image forming apparatus, image forming program, and image forming method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008095685A JP5135028B2 (en) | 2008-04-02 | 2008-04-02 | Image forming apparatus, image forming program, and image forming method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009253405A JP2009253405A (en) | 2009-10-29 |
JP5135028B2 true JP5135028B2 (en) | 2013-01-30 |
Family
ID=41313703
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008095685A Expired - Fee Related JP5135028B2 (en) | 2008-04-02 | 2008-04-02 | Image forming apparatus, image forming program, and image forming method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5135028B2 (en) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4656219B2 (en) * | 2008-09-10 | 2011-03-23 | コニカミノルタビジネステクノロジーズ株式会社 | Image processing apparatus, screen selection method, and screen selection program |
AU2010312868B2 (en) * | 2009-10-30 | 2015-01-22 | Konami Digital Entertainment Co., Ltd. | Game system and management device |
JP2016010867A (en) * | 2014-06-27 | 2016-01-21 | キヤノン株式会社 | Printer, printing system, method of controlling printer, and program |
JP6874561B2 (en) * | 2017-06-22 | 2021-05-19 | コニカミノルタ株式会社 | Image forming apparatus management device, image forming apparatus management method, image forming apparatus management program, and image forming system |
US20200310709A1 (en) * | 2019-03-29 | 2020-10-01 | Konica Minolta Laboratory U.S.A., Inc. | Method and system for resource enforcement on a multi-function printer |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005242547A (en) * | 2004-02-25 | 2005-09-08 | Matsushita Electric Ind Co Ltd | Remote service execution method, remote client, and remote service server |
JP2007293703A (en) * | 2006-04-26 | 2007-11-08 | Canon Inc | Printing system, method, program, and storage medium |
-
2008
- 2008-04-02 JP JP2008095685A patent/JP5135028B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2009253405A (en) | 2009-10-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5119028B2 (en) | Image forming system, image forming apparatus, image forming program, and image forming method | |
US8347403B2 (en) | Single point authentication for web service policy definition | |
CN110138718B (en) | Information processing system and control method thereof | |
US10104068B2 (en) | Service provider invocation | |
TWI400922B (en) | Authentication of a principal in a federation | |
JP4886508B2 (en) | Method and system for stepping up to certificate-based authentication without interrupting existing SSL sessions | |
US7496755B2 (en) | Method and system for a single-sign-on operation providing grid access and network access | |
US7533265B2 (en) | Establishment of security context | |
US9215232B2 (en) | Certificate renewal | |
TWI438642B (en) | Provisioning of digital identity representations | |
US20080021866A1 (en) | Method and system for implementing a floating identity provider model across data centers | |
US8171535B2 (en) | Dynamic web service policy broadcasting/enforcement for applications | |
KR20120128674A (en) | Secure dynamic authority delegation | |
US20060005032A1 (en) | Method and system for enabling trust-based authorization over a network | |
JP2019155610A (en) | Image formation device, authentication method of image formation device, program and print system | |
JP5135028B2 (en) | Image forming apparatus, image forming program, and image forming method | |
EP1517514B1 (en) | Method for installing and updating certificates used for device authentication. | |
CN117501729A (en) | Integration of legacy authentication with cloud-based authentication | |
JP7419109B2 (en) | Resource restriction method and system for multifunction devices | |
EP2805447B1 (en) | Integrating server applications with multiple authentication providers | |
JP2007087384A (en) | System, method and program for controlling network apparatus | |
JP2017084378A (en) | Cloud service provision system and cloud service provision method | |
JP2005227891A (en) | Device, method and program for providing authentication service, and recording medium | |
Martínez et al. | A security architectural approach for DPWS-based devices | |
Trabelsi et al. | Enabling secure service discovery with attribute based encryption |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20101221 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120229 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120313 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120406 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121017 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121112 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151116 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 5135028 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |