以下、本発明の好適な実施の形態(以下「実施形態」という)について、図面を用いて詳細に説明する。
[第1の実施形態]
<システム構成>
図1は、本実施形態に係る認証システム1の構成例を示す図である。
図1には、1又は複数の画像処理装置2001〜200n(以下総称する場合「画像処理装置200」という)と認証サーバ100が、所定のデータ伝送路N(例えば「LAN:Local Area Network」)に接続されるシステム構成例が示されている。
画像処理装置200は、印刷を含む画像処理機能を有する電子機器であり、プリンタやMFP(Multifunction Peripheral)などである。認証サーバ100は、画像処理装置200が有する機能の利用権限を管理し、画像処理装置200の利用認証を行う認証機能を有する情報処理装置である。
画像処理装置200は、自機に接続される認証デバイスを介して、利用者からの利用認証の指示を受け付けると、認証デバイス情報を含む認証情報を認証サーバ100に送信し、利用認証を要求する。これを受けて認証サーバ100は、受信した認証情報に基づき、画像処理装置200の利用認証を行い、画像処理装置200が有する機能の利用権限を認証結果として応答する。その結果、画像処理装置200では、応答された利用権限に従って、自機が有する機能の機能利用(許可/不許可)を制御し、制御結果に基づき、操作画面を表示する。
以上のように、本実施形態に係る認証システム1は、画像処理装置200の利用認証を行う認証サービスを提供することができる。
<ハードウェア構成>
《認証サーバ》
図2は、本実施形態に係る認証サーバ100のハードウェア構成例を示す図である。
図2に示すように、認証サーバ100は、入力装置101、表示装置102、外部I/F103、RAM(Random Access Memory)104、ROM(Read Only Memory)105、CPU(Central Processing Unit)106、通信I/F107、及びHDD(Hard Disk Drive)108などを備え、それぞれがバスBで相互に接続されている。
入力装置101は、キーボードやマウスなどを含み、認証サーバ100に各操作信号を入力するのに用いられる。表示装置102は、ディスプレイなどを含み、認証サーバ100による処理結果を表示する。
通信I/F107は、認証サーバ100をネットワークに接続するインタフェースである。これにより、認証サーバ100は、通信I/F107を介して、他の機器(画像処理装置)とデータ通信を行うことができる。
HDD108は、プログラムやデータを格納している不揮発性の記憶装置である。格納されるプログラムやデータには、装置全体を制御する基本ソフトウェアであるOS(Operating System)、及びOS上において各種機能を提供するアプリケーションソフトウェアなどがある。また、HDD108は、格納しているプログラムやデータを、所定のファイルシステム及び/又はDB(Data Base)により管理している。
外部I/F103は、外部装置とのインタフェースである。外部装置には、記録媒体103aなどがある。これにより、認証サーバ100は、外部I/F103を介して、記録媒体103aの読み取り及び/又は書き込みを行うことができる。記録媒体103aには、フロッピー(商標又は登録商標)ディスク、CD(Compact Disk)、及びDVD(Digital Versatile Disk)、ならびに、SDメモリカード(SD Memory card)やUSBメモリ(Universal Serial Bus memory)などがある。
ROM105は、電源を切っても内部データを保持することができる不揮発性の半導体メモリ(記憶装置)である。ROM105には、認証サーバ100の起動時に実行されるBIOS(Basic Input/Output System)、OS設定、及びネットワーク設定などのプログラムやデータが格納されている。RAM104は、プログラムやデータを一時保持する揮発性の半導体メモリ(記憶装置)である。CPU106は、上記記憶装置(例えば「HDD」や「ROM」など)から、プログラムやデータをRAM上に読み出し、処理を実行することで、装置全体の制御や搭載機能を実現する演算装置である。
以上のように、本実施形態に係る認証サーバ100は、上記ハードウェア構成により、機器利用認証を含む各種情報処理サービスを提供することができる。
《画像処理装置》
図3は、本実施形態に係る画像処理装置200のハードウェア構成例を示す図である。
図3に示すように、画像処理装置200は、コントローラ210、操作パネル220、プロッタ230、及びスキャナ240などを備え、それぞれが相互にバスBで接続されている。
操作パネル220は、表示部及び入力部を備えており、機器情報などの各種情報をユーザに提供したり、動作設定や動作指示などの各種利用者操作を受け付けたりする。プロッタ230は、画像形成部を備えており、用紙に出力画像を形成する。出力画像を形成する方式には、例えば、電子写真プロセスやインクジェット方式などがある。スキャナ240は、原稿を光学的に読み取り、読み取り画像を生成する。
コントローラ210は、CPU211、記憶装置212、通信I/F213、及び外部I/F214などを備えており、それぞれが相互にバスBで接続されている。
CPU211、通信I/F213、及び外部I/F214は、上記認証サーバ100が備えるCPU106、通信I/F107、及び外部I/F103と同様である。また、記憶装置212は、プログラムや各種データ(例えば「画像データ」)を格納し保持する。記憶装置212には、RAM104、ROM105、及びHDD108などがある。
以上のように、本実施形態に係る画像処理装置200では、上記ハードウェア構成により、印刷を含む画像処理サービスを提供することができる。
なお、本実施形態に係る画像処理装置200は、外部I/F214を介して、認証デバイス214bの読み取りを行うことができる。認証デバイス214bには、所定の記憶領域に情報(認証情報)を保持する電子記録媒体(例えば「ICカード(Integrated Circuit card)」)を接触/非接触で読み取り可能な装置などがある。よって、本実施形態に係る画像処理装置200では、機器利用認証に必要な情報を取得することができる。
<認証機能>
本実施形態に係る認証機能について説明する。
本実施形態に係る認証システム1では、画像処理装置200が、自機に接続された(接続検知した)認証デバイス214bから認証デバイス情報を取得し、取得した認証デバイス情報を認証サーバ100に送信し、利用認証を要求する。認証サーバ100は、受信した認証デバイス情報に基づき、該認証デバイス情報に対応付けて管理している画像処理装置200の利用権限情報を取得する。認証サーバ100は、取得した利用権限情報に基づき、画像処理装置200に適用する利用権限を決定する。認証サーバ100は、決定した利用権限を含む認証結果を送信し、利用認証要求に応答する。画像処理装置200は、受信した認証結果に含まれる利用権限に従って、機能利用を制御する。本実施形態に係る認証システム1は、このような認証機能を有している。
従来のように、画像処理装置200の機器情報を用いる利用認証では、例えば、機器ごとに利用権限を制御したい場合や機器構成が変更された場合、利用認証に用いる情報の管理が煩雑であった。
そこで、本実施形態に係る認証サーバ100では、画像処理装置200に接続される認証デバイス214bと画像処理装置200が有する機能の利用権限を対応付けて管理する仕組みとした。
これにより、本実施形態に係る認証システム1は、画像処理装置200に依存しない情報を用いて、画像処理装置200の利用認証が可能な環境を提供する。その結果、本実施形態に係る認証システム1では、機器利用認証に用いる情報管理の手間を軽減できる。
以下に、本実施形態に係る認証機能の構成とその動作について説明する。
図4は、本実施形態に係る認証機能の構成例を示す図である。
図4に示すように、本実施形態に係る認証機能は、UI(User Interface)制御部11、情報管理部12、機器通信部13、認証部14、認証デバイス通信部21、認証サーバ通信部22、及びUI制御部23などを有している。
UI制御部11、情報管理部12、機器通信部13、及び認証部14は、認証サーバ100が有する機能部である。認証デバイス通信部21、認証サーバ通信部22、及びUI制御部23は、画像処理装置200が有する機能部である。
このように、本実施形態に係る認証機能は、各機器が有する上記機能部が連携動作することで実現される。
《画像処理装置》
認証デバイス通信部21は、認証デバイス214bと通信を行う機能部である。認証デバイス通信部21は、外部I/F214を介して、画像処理装置200に接続される認証デバイス214bを検知する。認証デバイス通信部21は、検知した認証デバイス214bを介して、利用者からの利用認証の指示を受け付けると(認証用のICカードを読み取ると)、認証デバイス214bから認証デバイス情報(認証デバイスの識別子を含む固有情報)を取得する。
認証サーバ通信部22は、認証サーバ100と通信を行う機能部である。認証サーバ通信部22は、通信I/F213を介して、認証サーバ100と通信を行う。認証サーバ通信部22は、認証デバイス通信部21が取得した認証デバイス情報を含む認証情報を認証サーバ100に送信し、利用認証を要求する。その結果、認証サーバ通信部22は、認証サーバ100から応答された認証結果を受信する。具体的には、認証サーバ100が機能利用を認証した場合には、画像処理装置200に適用する利用権限(機能利用の許可/不許可を示す利用権限値)を受信する。一方、認証サーバ100が機能利用を認証しなかった場合には、認証されなかった旨のエラー通知を受信する。
UI制御部23は、操作画面を含むUIを制御する機能部である。UI制御部23は、認証サーバ通信部22が受信した認証結果に基づき、自機が有する機能の利用許可/不許可を制御し、制御結果に基づき、操作画面を表示する。具体的には、認証サーバ100から受信した利用権限に従って、利用許可機能のGUI(Graphical UI)を表示し、利用不許可機能(利用禁止機能)のGUIを非表示とする。また、認証サーバ100から受信したエラー通知に基づき、エラー内容(認証エラー)を表示する。
このように、画像処理装置200では、利用認証要求に対して、認証サーバ100から応答された認証結果に含まれる利用権限に従って、自機が有する機能利用を制御する。
《認証サーバ》
UI制御部11は、操作画面を含むUIを制御する機能部である。UI制御部11は、画像処理装置200に接続される認証デバイス214bと画像処理装置200が有する機能の利用権限を対応付ける入力値を受け付けるGUIを操作画面として表示する。
情報管理部12は、画像処理装置200に接続される認証デバイス214bと画像処理装置200が有する機能の利用権限を対応付けて管理する機能部である。情報管理部12は、所定のデータ操作により、デバイス管理情報保持部90にアクセスし、認証デバイス214bと利用権限とが対応付けられたデバイス管理情報を管理する。なお、デバイス管理情報保持部90は、認証サーバ100が備える記憶装置の所定の記憶領域にあたる。
ここで、デバイス管理情報について説明する。
図5は、本実施形態に係るデバイス管理情報90Dのデータ例を示す図である。
図5に示すように、デバイス管理情報90Dは、認証デバイス識別及び利用権限などの各情報項目が対応付けられた1又は複数の情報セットを含み、該情報セットが認証デバイス単位で管理される。
[認証デバイス識別]項目は、画像処理装置200に接続される認証デバイス214bを識別する認証デバイス識別情報を保持する項目であり、項目値には、認証デバイス214bにユニークに割り当てられた識別子(認証デバイスID)などがある。[利用権限]項目は、画像処理装置200が有する機能の利用権限が設定された利用権限情報を保持する項目であり、項目値には、機能ごとの利用許可/不許可を示す利用権限値(許可:"○"/不許可:"×")などがある。
図4の説明に戻る。情報管理部12は、上記デバイス管理情報90Dの各情報項目値を、次のようにして設定・登録する。情報管理部12は、UI制御部11から設定・登録指示を受け付けると、デバイス管理情報保持部90にアクセスし、設定・登録指示時に受け取った入力値を、参照したデバイス管理情報90Dの該当情報項目値に設定・登録する。具体的には、認証デバイス214bに対応する入力値を[認証デバイス識別]項目値に設定・登録する。また、画像処理装置200が有する機能の利用権限に対応する入力値を[利用権限]項目値に設定・登録する。
また、情報管理部12は、上記デバイス管理情報90Dの各情報項目値を、次のようにして更新する。情報管理部12は、UI制御部11から更新指示を受け付けると、デバイス管理情報保持部90にアクセスし、更新指示時に受け取った入力値で、参照したデバイス管理情報90Dの該当情報項目値を更新する。具体的には、認証デバイス214bに対応する入力値で[認証デバイス識別]項目値を更新する。また、画像処理装置200が有する機能の利用権限に対応する入力値で[利用権限]項目値を更新する。
このように、認証サーバ100には、管理者などが、認証システム1の運用方針などに基づき、利用認証の対象機器である画像処理装置200に接続される認証デバイス214bと画像処理装置200が有する機能の利用権限を、予め対応付けて設定しておく。
機器通信部13は、画像処理装置200と通信を行う機能部である。機器通信部13は、通信I/F107を介して、画像処理装置200と通信を行う。機器通信部13は、画像処理装置200(認証サーバ通信部)から認証デバイス情報を含む認証情報を受信し、利用認証の要求を受け付けると、後述する認証部14に利用認証の実行を指示する。このとき、機器通信部13は、受信した認証デバイス情報を含む認証情報を認証部14に渡す。その結果、機器通信部13は、後述する認証部14から受け取った認証結果を画像処理装置200(認証サーバ通信部)に送信する。具体的には、認証部14が機能利用を認証した場合には、画像処理装置200に適用する利用権限を受け取り、送信する。一方、認証部14が機能利用を認証しなかった場合には、認証されなかった旨のエラー内容を受け取り、送信する。
認証部14は、画像処理装置200の利用認証を行う機能部である。認証部14は、機器通信部13から利用認証の実行指示を受け付けると、デバイス管理情報保持部90にアクセスし、受け取った認証デバイス情報を含む認証情報に基づき、デバイス管理情報90Dを参照し、画像処理装置200が有する機能の利用認証を行う。認証部14は、受け取った認証デバイス情報の認証デバイス識別情報に基づき、参照したデバイス管理情報90Dの該当情報セットを特定する。認証部14は、特定した情報セットの利用権限情報に基づき、画像処理装置200に適用する利用権限を決定する。具体的には、認証部14は、画像処理装置200が有する機能に対して、利用を許可する機能/利用を許可しない機能を決定する。認証部14は、決定結果に基づき、適用する利用権限を含む認証結果を生成し、機器通信部13に生成した認証結果を渡し、利用認証要求元への応答を指示する。
なおこのとき、認証部14は、特定した情報セットの[利用権限]項目値に、1つ以上の利用許可値が設定されている場合に、機能利用を認証し、機能利用の許可/不許可を制御する利用権限値を含む認証結果を生成する。一方、認証部14は、特定した情報セットの[利用権限]項目値の全てに、利用不許可値が設定されている場合に、機能利用を認証せず、エラー内容を示すエラー値を含む認証結果を生成する。また、認証部14は、受け取った認証デバイス情報の認証デバイス識別情報に基づき、参照したデバイス管理情報90Dの該当情報セットを特定できなかった場合も、機能利用を認証しない。
このように、認証サーバ100では、画像処理装置200からの利用認証要求に対して、機能利用の許可/不許可を制御する利用権限値を含む認証結果を応答する。
以上のように、本実施形態に係る認証機能は、上記各機能部が連携動作することにより実現される。なお、上記各機能部は、システム1を構成する各機器に搭載(インストール)されるプログラム(認証機能を実現するソフトウェア)が、演算装置(CPU)により、記憶装置(「HDD」や「ROM」)からメモリ(RAM)上に読み出され、各機器において、以下の処理が実行されることで実現される。
本実施形態に係る認証機能の詳細な動作(機能部群の連携動作)について、処理手順を示すフローチャートを用いて説明する。
図6は、本実施形態に係る認証の処理手順例を示すフローチャートである。(A)には、画像処理装置200で実行される処理、(B)には、認証サーバ100で実行される処理が示されている。
《画像処理装置の主な処理》
図6(A)に示すように、画像処理装置200は、認証デバイス通信部21が、画像処理装置200に接続される認証デバイス214bを介して、利用者からの利用認証の指示を受け付けると(ステップS101:YES)、認証デバイス214bから認証デバイス識別情報を含む認証デバイス情報を取得する(ステップS102)。
画像処理装置200は、認証デバイス情報の取得を受けて、認証サーバ通信部22が、通信I/F213を介して、認証デバイス通信部21が取得した認証デバイス情報を含む認証情報を認証サーバ100に送信し、利用認証を要求する(ステップS103)。
その結果、画像処理装置200は、認証サーバ100から、利用権限(機能利用の許可/不許可を制御する利用権限値)を含む認証結果を受信するまで待つ(ステップS104:NO)。
画像処理装置200は、認証サーバ通信部22が、認証サーバ100から認証結果を受信すると(ステップS104:YES)、受信した認証結果をUI制御部23に渡し、操作画面の制御を指示する。
画像処理装置200は、UI制御部23が、操作画面の制御指示を受け付けると、受け取った認証結果に基づき、利用認証されたか否かを判定する(ステップS105)。
画像処理装置200は、UI制御部23が、利用認証されたと判定した場合(ステップS105:YES)、制御指示時に受け取った利用権限に従って、自機が有する機能の利用許可/不許可を制御する(ステップS106)。
その結果、画像処理装置200は、UI制御部23が、制御結果に基づき、操作画面を表示する(表示内容を更新する:ステップS107)。このとき、UI制御部23は、利用許可機能のGUIを表示し、利用不許可機能のGUIを非表示とする。
また、画像処理装置200は、UI制御部23が、利用認証されなかった判定した場合(ステップS105:NO)、エラー内容(認証エラー)を表示する。
《認証サーバの主な処理》
図6(B)に示すように、認証サーバ100は、機器通信部13が、通信I/F107を介して、画像処理装置200(認証サーバ通信部)から認証デバイス情報を含む認証情報を受信し、利用認証の要求を受け付けると(ステップS201:YES)、受信した認証情報を認証部14に渡し、利用認証の実行を指示する。
認証サーバ100は、認証部14が、利用認証の実行指示を受け付けると、デバイス管理情報保持部90にアクセスし(ステップS202)、受け取った認証情報を含まれる認証デバイス情報の認証デバイス識別情報に基づき、デバイス管理情報90Dを参照する(ステップS203)。
認証サーバ100は、認証部14が、参照したデバイス管理情報90Dの中に該当デバイス管理情報90Dが存在する(該当情報セットが特定できた)か否かを判定し(ステップS204)、画像処理装置200が有する機能の利用認証を行う。
その結果、認証サーバ100は、認証部14が、該当デバイス管理情報90Dが存在すると判定した場合(ステップS204:YES)、該当デバイス管理情報90D(特定した情報セット)の利用権限情報に基づき、画像処理装置200が有する機能に対して、利用を許可する機能/利用を許可しない機能を決定する(ステップS205)。
認証サーバ100は、認証部14が、決定した利用権限に従って、認証結果(適用する利用権限を含む認証結果)を生成する(ステップS206)。このとき、認証部14は、特定した情報セットの[利用権限]項目値に、1つ以上の利用許可値が設定されている場合に、機能利用を認証し、機能利用の許可/不許可を制御する利用権限値を含む認証結果を生成する。
例えば、認証部14が、機器通信部13から受け取った認証デバイス情報の認証デバイス識別情報"123"に基づき、図5に示すデバイス管理情報90Dを参照した場合には、次のように認証結果を生成する。認証部14は、特定した情報セットの[利用権限]項目値に、1つ以上の利用権限値"○"が設定されていることから、機能利用を認証する。認証部14は、プリント及びコピー機能を、利用を許可する機能に決定し、スキャン及びファックス機能を、利用を許可しない機能に決定する。認証部14は、決定結果に基づき、プリント及びコピー機能利用の許可/スキャン及びファックス機能利用の不許可を制御する利用権限値(プリント:"○",コピー:"○",スキャン:"×",ファックス:"×")を含む認証結果を生成する。なお、認証部14は、特定した情報セットの[利用権限]項目値の全てに、利用不許可値"×"が設定されている場合に、機能利用を認証せず、エラー内容を示すエラー値を含む認証結果を生成する。認証部14は、このようにして生成した認証結果を機器通信部13に渡し、利用認証要求元への応答を指示する。
認証サーバ100は、機器通信部13が、応答指示を受け付けると、受け取った認証結果(機能利用の許可/不許可を制御する利用権限値)を画像処理装置200(認証サーバ通信部)に送信する(ステップS207)。
また、認証サーバ100は、認証部14が、該当デバイス管理情報90Dが存在しないと判定した場合(ステップS204:NO)、機能利用を認証しなかった旨(認証エラー)を示すエラー値を含む認証結果を生成し、機器通信部13に渡し、利用認証要求元へのエラー通知を指示する。
認証サーバ100は、機器通信部13が、通知指示を受け付けると、受け取った認証結果(認証エラー)を画像処理装置200(認証サーバ通信部)に送信する(ステップS208)。
<まとめ>
以上のように、本実施形態に係る認証システム1によれば、画像処理装置200は、認証デバイス通信部21により、自機に接続された(接続検知した)認証デバイス214bから認証デバイス情報を取得する。画像処理装置200は、認証サーバ通信部22により、取得された認証デバイス情報を認証サーバ100に送信し、利用認証を要求する。
これを受けて認証サーバ100は、機器通信部13により、認証デバイス情報を受信し、認証部14により、受信した認証デバイス情報に基づき、該認証デバイス情報に対応付けて管理している画像処理装置200の利用権限情報を取得する。認証部14は、取得した利用権限情報に基づき、画像処理装置200に適用する利用権限を決定する。認証サーバ100は、機器通信部13により、決定した利用権限を含む認証結果を送信し、利用認証要求に応答する。
その結果、画像処理装置200は、認証サーバ通信部22により、認証結果を受信し、UI制御部23により、認証結果に含まれる利用権限に従って、機能利用を制御する。
これによって、本実施形態に係る認証システム1は、画像処理装置200に依存しない情報を用いて、画像処理装置200の利用認証が可能な環境を提供できる。そのため、機器ごとに利用権限を制御したい場合や機器構成が変更された場合であっても、機器利用認証に用いる情報管理の手間を軽減できる。具体的には、機器ごとに利用権限を制御したい場合には、認証サーバ100で利用権限を設定した認証デバイス214bを、利用権限を適用する画像処理装置ごとに接続するだけでよい。また、機器構成が変更された場合には、新規導入された画像処理装置200又は入れ替えられた画像処理装置200に認証デバイス214bを接続するだけでよい。
[変形例]
例えば、認証システム1では、システム運用や保守作業において、認証デバイス214bと画像処理装置200の接続関係(利用権限の適用関係)を管理したい場合が考えられる。このような場合、例えば、機器構成の変更により認証デバイス214bの接続先を変更する場合や1台の機器に複数の認証デバイス214bを接続する場合など、管理者が、両装置の接続関係を手作業により管理するのは煩雑である。
そこで、本変形例では、認証デバイス214bの接続先にあたる画像処理装置200(利用権限の適用機器)に関する情報を含むデバイス管理情報90Dを管理し、利用認証を行う技術を提案する。
これにより、本変形例では、認証デバイス214bと画像処理装置200の接続関係(利用権限の適用関係)を自動的に管理し、画像処理装置200の利用認証が可能な環境を提供することができる。
なお、以降には、上記実施形態と異なる事項についてのみを説明し、同一事項については、同一参照符号を付し、その説明を省略する。
まず、本変形例に係るデバイス管理情報90Dについて説明する。
図7は、本変形例に係るデバイス管理情報90Dのデータ例を示す図である。
図7に示すように、本変形例に係るデバイス管理情報90Dは、認証デバイス識別及び利用権限の他に、接続先識別を含む各情報項目が対応付けられている。
[接続先識別]項目は、認証デバイス214bの接続先を識別する接続先識別情報を保持する項目であり、項目値には、接続先にあたる画像処理装置200の識別子(機器ID)などがある。
機器通信部13は、画像処理装置200(認証サーバ通信部)から、認証デバイス識別情報と接続先識別情報を含む認証情報を受信し、利用認証の要求を受け付けると、認証部14に利用認証の実行を指示する。このとき、機器通信部13は、受信した認証デバイス識別情報と接続先識別情報を含む認証情報を認証部14に渡す。
認証部14は、受け取った認証情報に基づき、画像処理装置200が有する機能の利用認証を行い、情報管理部12に情報登録/更新/削除・更新の実行を指示する。このとき、認証部14は、受け取った認証デバイス情報と接続先識別情報を情報管理部12に渡す。
情報管理部12は、情報登録/更新/削除・更新指示に従って、デバイス管理情報90Dを登録/更新/削除・更新し、認証デバイス214bと画像処理装置200の接続関係を管理する。なお、デバイス管理情報90Dの管理方法(データ操作方法)には、主に2通りの方法が挙げられる。具体的には、認証デバイス識別情報に基づき、対応付ける接続先識別情報を管理する方法(認証デバイスを基準とした接続関係の管理方法)と、接続先識別情報に基づき、対応付ける認証デバイス識別情報を管理する方法(接続先を基準とした接続関係の管理方法)である。
以下に、利用認証要求受付時に認証サーバ100で実行される処理例を用いて、情報管理部12と認証部14の連携動作について説明する。
《認証サーバの主な処理:その1》
図8は、本変形例に係る認証サーバ100における処理手順例(その1)を示すフローチャートである。本処理には、認証デバイス214bを基準とした接続関係の管理方法の処理例が示されている。
図8に示すように、機器通信部13は、通信I/F107を介して、画像処理装置200(認証サーバ通信部)から認証デバイス識別情報と接続先識別情報を含む認証情報を受信し、利用認証の要求を受け付けると(ステップS301:YES)、受信した認証情報を認証部14に渡し、利用認証の実行を指示する。
認証部14は、利用認証の実行指示を受け付けると、デバイス管理情報保持部90にアクセスし(ステップS302)、受け取った認証情報を含まれる認証デバイス識別情報に基づき、デバイス管理情報90Dを参照する(ステップS303)。
認証部14は、参照したデバイス管理情報90Dの中に該当デバイス管理情報90Dが存在するか否かを判定し(ステップS304)、画像処理装置200が有する機能の利用認証を行う。
認証部14は、該当デバイス管理情報90Dが存在すると判定した場合(ステップS304:YES)、該当デバイス管理情報90Dの中に、認証デバイス識別情報に対応付けて接続先識別情報が登録されている([接続先識別]項目値に設定値が存在する)か否かを判定する(ステップS305)。
認証部14は、認証デバイス識別情報に対応付けて接続先識別情報が登録されていない([接続先識別]項目値がNULL)と判定した場合(ステップS305:NO)、認証要求受付時に受け取った認証デバイス識別情報と接続先識別情報を情報管理部12に渡し、情報登録の実行を指示する。
情報管理部12は、情報登録の実行指示を受け付けると、デバイス管理情報保持部90にアクセスし、受け取った認証デバイス識別情報に基づき、デバイス管理情報90Dを参照し、受け取った接続先識別情報を、認証デバイス識別情報に対応付けて登録する(ステップS306)。
このときに行われる具体的なデータ操作については、図9を用いて説明する。
図9は、本変形例に係るデバイス管理情報90Dのデータ遷移例(その1)を示す図である。図9には、情報管理部12が、情報登録指示時に、認証部14から、認証デバイス識別情報"456",接続先識別情報"MFP−X"を受け取った場合の例が示されている。
情報管理部12は、まず、図9(A)に示すように、受け取った認証デバイス識別情報"456"に基づき、参照したデバイス管理情報90Dの該当情報セットRを特定する。次に、情報管理部12は、図9(B)に示すように、特定した情報セットRの[接続先識別]項目値に、受け取った接続先識別情報の値"MFP−X"を登録する。
このように、本変形例では、新規導入された画像処理装置200に登録済み認証デバイス214bが接続された場合の接続関係が自動登録される。
図8の説明に戻る。認証部14は、情報管理部12から情報登録完了の旨を受け付けると、該当デバイス管理情報90Dの利用権限情報に基づき、画像処理装置200が有する機能に対して、利用を許可する機能/利用を許可しない機能を決定する(ステップS307)。
認証部14は、決定した利用権限に従って、認証結果を生成し(ステップS308)、生成した認証結果を機器通信部13に渡し、利用認証要求元への応答を指示する。
認証サーバ100は、機器通信部13が、応答指示を受け付けると、受け取った認証結果を画像処理装置200(認証サーバ通信部)に送信する(ステップS309)。
また、認証部14は、該当デバイス管理情報90Dが存在しないと判定した場合(ステップS304:NO)、機能利用を認証しなかった旨の認証結果を生成し、機器通信部13に渡し、利用認証要求元へのエラー通知を指示する。
機器通信部13は、通知指示を受け付けると、受け取った認証結果(認証エラー)を画像処理装置200(認証サーバ通信部)に送信する(ステップS310)。
また、認証部14は、認証デバイス識別情報に対応付けて接続先識別情報が登録されている([接続先識別]項目値がNULLでない)と判定した場合(ステップS305:YES)、該当デバイス管理情報90Dの中で、登録済みの接続先識別情報が受け取った接続先識別情報と一致するか否かを判定する(ステップS311)。
認証部14は、登録済みの接続先識別情報が受け取った接続先識別情報と一致すると判定した場合(ステップS311:YES)、ステップS307の処理に移行する。つまり、認証部14は、情報管理部12に情報登録の実行を指示せず、該当デバイス管理情報90Dの利用権限情報に基づき、認証結果を生成する。
また、認証部14は、登録済みの接続先識別情報が受け取った接続先識別情報と一致しない(不一致)と判定した場合(ステップS311:NO)、受け取った接続先識別情報がデバイス管理情報90Dに登録されているか否かを判定する(ステップS312)。
認証部14は、受け取った接続先識別情報がデバイス管理情報90Dに登録されていないと判定した場合(ステップS312:NO)、認証要求受付時に受け取った認証デバイス識別情報と接続先識別情報を情報管理部12に渡し、情報更新の実行を指示する。
情報管理部12は、情報更新の実行指示を受け付けると、デバイス管理情報保持部90にアクセスし、受け取った認証デバイス識別情報に基づき、デバイス管理情報90Dを参照し、受け取った接続先識別情報で、認証デバイス識別情報に対応付けて登録された接続先識別情報を更新(上書き)する(ステップS313)。
このときに行われる具体的なデータ操作については、図10を用いて説明する。
図10は、本変形例に係るデバイス管理情報90Dのデータ遷移例(その2)を示す図である。図10には、情報管理部12が、情報更新指示時に、認証部14から、認証デバイス識別情報"123",接続先識別情報"MFP−X"を受け取った場合の例が示されている。
情報管理部12は、まず、図10(A)に示すように、受け取った認証デバイス識別情報"123"に基づき、参照したデバイス管理情報90Dの該当情報セットRを特定する。次に、情報管理部12は、図10(B)に示すように、特定した情報セットRの[接続先識別]項目値"MFP−A"を、受け取った接続先識別情報の値"MFP−X"で上書きする。
このように、本変形例では、機器入れ替え後の画像処理装置200に入れ替え前の機器に接続していた登録済み認証デバイス214bが接続された場合の接続関係が自動更新される。
図8の説明に戻る。認証部14は、情報管理部12から情報更新完了の旨を受け付けると、ステップS307の処理に移行する。
また、認証部14は、受け取った接続先識別情報がデバイス管理情報90Dに登録されていると判定した場合(ステップS312:YES)、認証要求受付時に受け取った認証デバイス識別情報と接続先識別情報を情報管理部12に渡し、情報削除・更新の実行を指示する。
情報管理部12は、情報削除・更新の実行指示を受け付けると、デバイス管理情報保持部90にアクセスし、受け取った接続先識別情報に基づき、デバイス管理情報90Dを参照し、受け取った接続先識別情報と一致する登録済みの接続先識別情報を削除する(ステップS314)。
情報管理部12は、情報削除が完了すると、ステップS313の処理に移行する。つまり、情報管理部12は、受け取った接続先識別情報で、認証デバイス識別情報に対応付けて登録された接続先識別情報を更新(上書き)する。
このときに行われる具体的なデータ操作については、図11を用いて説明する。
図11は、本変形例に係るデバイス管理情報90Dのデータ遷移例(その3)を示す図である。図11には、情報管理部12が、情報削除・更新指示時に、認証部14から、認証デバイス識別情報"234",接続先識別情報"MFP−B"を受け取った場合の例が示されている。
情報管理部12は、まず、図11(A)に示すように、受け取った接続先識別情報"MFP−B"に基づき、参照したデバイス管理情報90Dの該当情報セットRaを特定する。次に、情報管理部12は、図11(B)に示すように、特定した情報セットRaの[接続先識別]項目値"MFP−B"を削除する。
情報管理部12は、図11(A)に示すように、受け取った認証デバイス識別情報"234"に基づき、参照したデバイス管理情報90Dの該当情報セットRbを特定する。次に、情報管理部12は、図11(B)に示すように、特定した情報セットRbの[接続先識別]項目値"MFP−A"を、受け取った接続先識別情報の値"MFP−B"で上書きする。
このように、本変形例では、機器入れ替え後の画像処理装置200に他の機器に接続していた登録済み認証デバイス214bが接続された場合の接続関係が自動更新される。
図8の説明に戻る。認証部14は、情報管理部12から情報削除・更新完了の旨を受け付けると、ステップS307の処理に移行する。
以上のように、認証デバイス214bを基準とした接続関係の管理方法では、認証デバイス214bに割り当てられた利用権限を機器構成変更後の画像処理装置200に適用することができる。
《認証サーバの主な処理:その2》
図12は、本変形例に係る認証サーバ100における処理手順例(その2)を示すフローチャートである。本処理には、接続先(画像処理装置)を基準とした接続関係の管理方法の処理例が示されている。
図12に示すように、機器通信部13は、通信I/F107を介して、画像処理装置200(認証サーバ通信部)から認証デバイス識別情報と接続先識別情報を含む認証情報を受信し、利用認証の要求を受け付けると(ステップS401:YES)、受信した認証情報を認証部14に渡し、利用認証の実行を指示する。
認証部14は、利用認証の実行指示を受け付けると、デバイス管理情報保持部90にアクセスし(ステップS402)、受け取った認証情報を含まれる接続先識別情報に基づき、デバイス管理情報90Dを参照する(ステップS403)。
認証部14は、参照したデバイス管理情報90Dの中に該当デバイス管理情報90Dが存在するか否かを判定し(ステップS404)、画像処理装置200が有する機能の利用認証を行う。
認証部14は、該当デバイス管理情報90Dが存在すると判定した場合(ステップS404:YES)、該当デバイス管理情報90Dの中に接続先識別情報に対応付けて認証デバイス識別情報が登録されている([認証デバイス識別]項目値に設定値が存在する)か否かを判定する(ステップS405)。
認証部14は、接続先識別情報に対応付けて認証デバイス識別情報が登録されていない([認証デバイス識別]項目値がNULL)と判定した場合(ステップS405:NO)、認証要求受付時に受け取った認証デバイス識別情報と接続先識別情報を情報管理部12に渡し、情報登録の実行を指示する。
情報管理部12は、情報登録の実行指示を受け付けると、デバイス管理情報保持部90にアクセスし、受け取った接続先識別情報に基づき、デバイス管理情報90Dを参照し、受け取った認証デバイス識別情報を、接続先識別情報に対応付けて登録する(ステップS406)。
このときに行われる具体的なデータ操作については、図13を用いて説明する。
図13は、本変形例に係るデバイス管理情報90Dのデータ遷移例(その4)を示す図である。図13には、情報管理部12が、情報登録指示時に、認証部14から、認証デバイス識別情報"456",接続先識別情報"MFP−X"を受け取った場合の例が示されている。
情報管理部12は、まず、図13(A)に示すように、受け取った接続先識別情報"MFP−X"に基づき、参照したデバイス管理情報90Dの該当情報セットRを特定する。次に、情報管理部12は、図13(B)に示すように、特定した情報セットRの[認証デバイス識別]項目値に、受け取った認証デバイス識別情報の値"456"を登録する。
このように、本変形例では、認証デバイス214bが未接続の既存機器の画像処理装置200に新規認証デバイス214bが接続された場合の接続関係が自動登録される。
図12の説明に戻る。認証部14は、情報管理部12から情報登録完了の旨を受け付けると、該当デバイス管理情報90Dの利用権限情報に基づき、画像処理装置200が有する機能に対して、利用を許可する機能/利用を許可しない機能を決定する(ステップS407)。
認証部14は、決定した利用権限に従って、認証結果を生成し(ステップS408)、生成した認証結果を機器通信部13に渡し、利用認証要求元への応答を指示する。
認証サーバ100は、機器通信部13が、応答指示を受け付けると、受け取った認証結果を画像処理装置200(認証サーバ通信部)に送信する(ステップS409)。
また、認証部14は、該当デバイス管理情報90Dが存在しないと判定した場合(ステップS404:NO)、機能利用を認証しなかった旨の認証結果を生成し、機器通信部13に渡し、利用認証要求元へのエラー通知を指示する。
機器通信部13は、通知指示を受け付けると、受け取った認証結果(認証エラー)を画像処理装置200(認証サーバ通信部)に送信する(ステップS410)。
また、認証部14は、接続先識別情報に対応付けて認証デバイス識別情報が登録されている([認証デバイス識別]項目値がNULLでない)と判定した場合(ステップS405:YES)、該当デバイス管理情報90Dの中で、登録済みの認証デバイス識別情報が受け取った認証デバイス識別情報と一致するか否かを判定する(ステップS411)。
認証部14は、登録済みの認証デバイス識別情報が受け取った認証デバイス識別情報と一致すると判定した場合(ステップS411:YES)、ステップS407の処理に移行する。つまり、認証部14は、情報管理部12に情報登録の実行を指示せず、該当デバイス管理情報90Dの利用権限情報に基づき、認証結果を生成する。
また、認証部14は、登録済みの認証デバイス識別情報が受け取った認証デバイス識別情報と一致しないと判定した場合(ステップS411:NO)、受け取った認証デバイス識別情報がデバイス管理情報90Dに登録されているか否かを判定する(ステップS412)。
認証部14は、受け取った認証デバイス識別情報がデバイス管理情報90Dに登録されていないと判定した場合(ステップS412:NO)、認証要求受付時に受け取った認証デバイス識別情報と接続先識別情報を情報管理部12に渡し、情報更新の実行を指示する。
情報管理部12は、情報更新の実行指示を受け付けると、デバイス管理情報保持部90にアクセスし、受け取った接続先識別情報に基づき、デバイス管理情報90Dを参照し、受け取った認証デバイス識別情報で、接続先識別情報に対応付けて登録された認証デバイス識別情報を更新(上書き/追加)する(ステップS413)。
このときに行われる具体的なデータ操作については、図14を用いて説明する。
図14は、本変形例に係るデバイス管理情報90Dのデータ遷移例(その5)を示す図である。図14には、情報管理部12が、情報更新指示時に、認証部14から、認証デバイス識別情報"678",接続先識別情報"MFP−A"を受け取った場合の例が示されている。
情報管理部12は、まず、図14(A)に示すように、受け取った接続先識別情報"MFP−A"に基づき、参照したデバイス管理情報90Dの該当情報セットRを特定する。次に、情報管理部12は、図14(B)に示すように、特定した情報セットRの[認証デバイス識別]項目値"123"を、受け取った認証デバイス識別情報の値"678"で上書きする。
このように、本変形例では、認証デバイス214bが接続済みの既存機器の画像処理装置200に新規認証デバイス214bが接続された場合の接続関係が自動更新される。
また、情報管理部12は、図14(C)に示すように、特定した情報セットRの[認証デバイス識別]項目値に、受け取った認証デバイス識別情報の値"678"を追加してもよい。
これは、1台の画像処理装置200に対して、複数の認証デバイス214bが接続された場合を想定しており、このような場合でも、複数の認証デバイス214bと画像処理装置200の接続関係が自動更新される。
図12の説明に戻る。認証部14は、情報管理部12から情報更新完了の旨を受け付けると、ステップS407の処理に移行する。
また、認証部14は、受け取った認証デバイス識別情報がデバイス管理情報90Dに登録されていると判定した場合(ステップS412:YES)、認証要求受付時に受け取った認証デバイス識別情報と接続先識別情報を情報管理部12に渡し、情報削除・更新の実行を指示する。
情報管理部12は、情報削除・更新の実行指示を受け付けると、デバイス管理情報保持部90にアクセスし、受け取った認証デバイス識別情報に基づき、デバイス管理情報90Dを参照し、受け取った認証デバイス識別情報と一致する登録済みの認証デバイス識別情報を削除する(ステップS414)。
情報管理部12は、情報削除が完了すると、ステップS413の処理に移行する。つまり、情報管理部12は、受け取った認証デバイス識別情報で、接続先識別情報に対応付けて登録された認証デバイス識別情報を更新(上書き)する。
このときに行われる具体的なデータ操作については、図15を用いて説明する。
図15は、本変形例に係るデバイス管理情報90Dのデータ遷移例(その6)を示す図である。図15には、情報管理部12が、情報削除・更新指示時に、認証部14から、認証デバイス識別情報"234",接続先識別情報"MFP−A"を受け取った場合の例が示されている。
情報管理部12は、まず、図15(A)に示すように、受け取った認証デバイス識別情報"234"に基づき、参照したデバイス管理情報90Dの該当情報セットRaを特定する。次に、情報管理部12は、図15(B)に示すように、特定した情報セットRaの[認証デバイス識別]項目値"234"を削除する。
情報管理部12は、図15(A)に示すように、受け取った接続先識別情報"MFP−A"に基づき、参照したデバイス管理情報90Dの該当情報セットRbを特定する。次に、情報管理部12は、図15(B)に示すように、特定した情報セットRbの[認証デバイス識別]項目値"123"を、受け取った認証デバイス識別情報の値"234"で上書きする。
このように、本変形例では、認証デバイス214bが接続済みの既存機器の画像処理装置200に登録済み認証デバイス214bが接続された場合の接続関係が自動更新される。
図12の説明に戻る。認証部14は、情報管理部12から情報削除・更新完了の旨を受け付けると、ステップS407の処理に移行する。
以上のように、接続先を基準とした接続関係の管理方法では、認証デバイス214bが接続切り替えされても、画像処理装置200に割り当てられた利用権限を適用することができる。
本変形例では、認証デバイス214bと画像処理装置200の接続関係(利用権限の適用関係)を自動的に管理し、画像処理装置200の利用認証が可能な環境を提供できる。
[第2の実施形態]
上記実施形態では、認証デバイス214bに接続先の画像処理装置200が有する機能の利用権限を対応付けて管理する構成について説明を行った。
そこで、本実施形態では、利用者に対応付けられた利用権限と認証デバイス214bに対応付けられた利用権限に基づき、画像処理装置200の利用認証を行う技術を提案する。
これにより、本実施形態では、機器利用認証時に、認証デバイス単位により利用権限の適用の他に、利用者/利用者の所属単位による利用権限の適用が可能で、かつ、機器利用認証に用いる情報管理の手間を軽減できる。
なお、以降には、上記実施形態と異なる事項についてのみを説明し、同一事項については、同一参照符号を付し、その説明を省略する。
<認証機能>
図16は、本実施形態に係る認証機能の構成例を示す図である。
図16に示すように、本実施形態に係る認証機能は、デバイス管理情報保持部90の他に、利用者管理情報保持部80及び制御設定値保持部70を有し、各保持部90,80,70で保持される情報は、情報管理部12により管理される。なお、利用者管理情報保持部80及び制御設定値保持部70は、デバイス管理情報保持部90と同様に、認証サーバ100が備える記憶装置の所定の記憶領域にあたる。
情報管理部12は、利用者/利用者の所属と画像処理装置200が有する機能の利用権限を対応付けて管理する。情報管理部12は、所定のデータ操作により、利用者管理情報保持部80にアクセスし、利用者/利用者の所属と利用権限が対応付けられた利用者管理情報を管理する。
ここで、利用者管理情報について説明する。なお、利用者管理情報は、利用者情報と所属情報に大別される。
図17は、本実施形態に係る利用者管理情報80Dのデータ例を示す図である。
図17(A)に示すように、利用者管理情報80Dの利用者情報80D1は、利用者識別、所属識別、利用権限などの各情報項目が対応付けられた1又は複数の情報セットを含み、該情報セットが利用者単位で管理される。
[利用者識別]項目は、利用者を識別する利用者識別情報を保持する項目であり、項目値には、利用者にユニークに割り当てられた識別子(利用者ID)などがある。[所属識別]項目は、利用者の所属を識別する所属識別情報を保持する項目であり、項目値には、所属にユニークに割り当てられた識別子(所属ID)などがある。[利用権限]項目は、画像処理装置200が有する機能の利用権限が設定された利用権限情報を保持する項目である。
図16の説明に戻る。情報管理部12は、上記利用者情報80D1の各情報項目値を、次のようにして設定・登録する。情報管理部12は、UI制御部11から設定・登録指示を受け付けると、利用者管理情報保持部80にアクセスし、設定・登録指示時に受け取った入力値を、参照した利用者情報80D1の該当情報項目値に設定・登録する。具体的には、利用者/利用者の所属に対応する入力値を[利用者識別]/[所属識別]項目値に設定・登録する。また、画像処理装置200が有する機能の利用権限に対応する入力値を[利用権限]項目値に設定・登録する。
また、情報管理部12は、上記利用者情報80D1の各情報項目値を、次のようにして更新する。情報管理部12は、UI制御部11から更新指示を受け付けると、利用者管理情報保持部80にアクセスし、更新指示時に受け取った入力値で、参照した利用者情報80D1の該当情報項目値を更新する。具体的には、利用者/利用者の所属に対応する入力値で[利用者識別]/[所属識別]項目値を更新する。また、画像処理装置200が有する機能の利用権限に対応する入力値で[利用権限]項目値を更新する。
このように、認証サーバ100には、管理者などが、認証システム1の運用方針などに基づき、利用認証の対象利用者と利用認証の対象機器が有する機能の利用権限を、予め対応付けて設定しておく。
また、図17(B)に示すように、利用者管理情報80Dの所属情報80D2は、所属識別及び利用権限などの各情報項目が対応付けられた1又は複数の情報セットを含み、該情報セットが所属単位で管理される。
[所属識別]項目は、利用者の所属を識別する所属識別情報を保持する項目である。[利用権限]項目は、画像処理装置200が有する機能の利用権限が設定された利用権限情報を保持する項目である。
図16の説明に戻る。情報管理部12は、上記所属情報80D2の各情報項目値を、次のようにして設定・登録する。情報管理部12は、UI制御部11から設定・登録指示を受け付けると、利用者管理情報保持部80にアクセスし、設定・登録指示時に受け取った入力値を、参照した所属情報80D2の該当情報項目値に設定・登録する。具体的には、所属に対応する入力値を[所属識別]項目値に設定・登録する。また、画像処理装置200が有する機能の利用権限に対応する入力値を[利用権限]項目値に設定・登録する。
また、情報管理部12は、上記所属情報80D2の各情報項目値を、次のようにして更新する。情報管理部12は、UI制御部11から更新指示を受け付けると、利用者管理情報保持部80にアクセスし、更新指示時に受け取った入力値で、参照した所属情報80D2の該当情報項目値を更新する。具体的には、所属に対応する入力値で[所属識別]項目値を更新する。また、画像処理装置200が有する機能の利用権限に対応する入力値で[利用権限]項目値を更新する。
このように、認証サーバ100には、管理者などが、認証システム1の運用方針などに基づき、利用認証の対象所属と利用認証の対象機器が有する機能の利用権限を、予め対応付けて設定しておく。
また、UI制御部11は、図18に示すような設定画面Wを表示し、機器利用認証時に、デバイス管理情報90Dと利用者管理情報80Dに設定された各利用権限の適用を制御する入力値を受け付ける。
図18は、本実施形態に係る制御設定の画面例を示す図である。
図18には、認証デバイス214b、利用者、所属の各利用権限を適用する優先順位が設定可能なGUIと利用権限重複時に適用する利用権限が設定可能なGUIを有する画面例が示されている。設定画面Wを介して受け付けた各種設定の入力値は、情報管理部12により管理される。
図16の説明に戻る。UI制御部11は、上記設定画面Wを介して、各種設定を受け付けると、設定受付時に受け取った入力値を情報管理部12に渡し、情報登録の実行を指示する。
情報管理部12は、情報登録指示を受け付けると、制御設定値保持部70にアクセスし、受け取った入力値を設定制御値として保持する。
機器通信部13は、画像処理装置200(認証サーバ通信部)から、認証デバイス情報と利用者関連情報を含む認証情報を受信し、利用認証の要求を受け付けると、認証部14に利用認証の実行を指示する。このとき、機器通信部13は、受信した認証デバイス識別情報と利用者関連情報を含む認証情報を認証部14に渡す。
認証部14は、認証指示を受け付けると、各保持部90,80,70にアクセスし、受け取った認証情報に基づき、デバイス管理情報90D、利用者管理情報80D、及び制御設定値を取得し、取得した情報/制御設定値に基づき、画像処理装置200が有する機能の利用認証を行う。
以下に、利用認証要求受付時に認証サーバ100で実行される処理例を用いて、認証部14の動作について説明する。
《認証サーバの主な処理》
図19は、本実施形態に係る認証サーバ100における処理手順例を示すフローチャートである。
図19に示すように、機器通信部13は、通信I/F107を介して、画像処理装置200(認証サーバ通信部)から認証デバイス情報と利用者関連情報を含む認証情報を受信し、利用認証の要求を受け付けると(ステップS501:YES)、受信した認証情報を認証部14に渡し、利用認証の実行を指示する。
認証部14は、利用認証の実行指示を受け付けると、各保持部90,80,70にアクセスする(ステップS502)。
認証部14は、制御設定値保持部70から、利用権限の適用を制御する制御設定値(適用の優先順位設定及び重複時の適用設定)を取得する(ステップS503)。
認証部14は、受け取った認証情報を含まれる利用者関連情報の利用者識別情報に基づき、利用者管理情報80Dの利用者情報80D1を参照し(ステップS504)、利用者の利用権限情報を取得する(ステップS505)。このとき、認証部14は、利用者識別情報に基づき、参照した利用者情報80D1の該当情報セットを特定する。認証部14は、特定した情報セットの利用権限情報を取得する。
認証部14は、同情報セットの所属識別情報に基づき、利用者管理情報80Dの所属情報80D2を参照し(ステップS506)、所属の利用権限情報を取得する(ステップS507)。このとき、認証部14は、所属識別情報に基づき、参照した所属情報80D2の該当情報セットを特定する。認証部14は、特定した情報セットの利用権限情報を取得する。
認証部14は、受け取った認証情報を含まれる認証デバイス情報の認証デバイス識別情報に基づき、デバイス管理情報90Dを参照し(ステップS508)、認証デバイス214bの利用権限情報を取得する(ステップS509)。このとき、認証部14は、認証デバイス識別情報に基づき、参照したデバイス管理情報90Dの該当情報セットを特定する。認証部14は、特定した情報セットの利用権限情報を取得する。
認証部14は、取得した利用権限情報/制御設定値に基づき、画像処理装置200が有する機能に対して、設定された利用権限を適用し、利用を許可する機能/利用を許可しない機能を決定する(ステップS510)。
認証部14は、決定した利用権限に従って、認証結果を生成し(ステップS511)、生成した認証結果を機器通信部13に渡し、利用認証要求元への応答を指示する。
機器通信部13は、応答指示を受け付けると、受け取った認証結果を画像処理装置200(認証サーバ通信部)に送信する(ステップS512)。
以下に、ステップS510の詳細処理について説明する。
《利用権限の適用処理》
図20は、本実施形態に係る利用権限の適用処理手順例を示すフローチャートである。
図20に示すように、認証部14は、優先順位の制御設定値に基づき、利用権限を適用する優先順位設定に従って、認証デバイス214b、利用者、所属の各利用権限情報(取得した利用権限情報)の中から、優先順位の高い順に利用権限情報を特定する(ステップS601)。
認証部14は、優先順位に従って、利用権限情報を特定できたか否かを判定する(ステップS602)。
認証部14は、利用権限情報を特定できなかったと判定した場合(ステップS602:NO)、画像処理装置200が有する全ての機能を、利用を許可しない機能に決定する(ステップS603)。
一方、認証部14は、利用権限情報を特定できた判定した場合(ステップS602:YES)、特定した利用権限情報が複数存在する(同一の優先順位が設定された利用権限が複数存在する)か否かを判定する(ステップS604)。
認証部14は、特定した利用権限情報が複数存在しないと判定した場合(ステップS604:NO)、特定した利用権限情報に基づき、画像処理装置200が有する機能に対して、設定された利用権限を適用し、利用を許可する機能/利用を許可しない機能を決定する(ステップS605)。
一方、認証部14は、特定した利用権限情報が複数存在すると判定した場合(ステップS604:YES)、重複時の制御設定値に基づき、利用権限重複時の適用設定が「禁止(不許可)」か否かを判定する(ステップS606)。
認証部14は、利用権限重複時の適用設定が「禁止(不許可)」であると判定した場合(ステップS606:YES)、特定した複数の利用権限情報に基づき、機能ごとの利用権限値("○":許可/"×":不許可)を比較し、1つでも「禁止(不許可)」が設定されている機能を、利用を許可しない機能に決定する(ステップS607)。
一方、認証部14は、利用権限重複時の適用設定が「許可」であると判定した場合(ステップS606:NO)、特定した複数の利用権限情報に基づき、機能ごとの利用権限値("○":許可/"×":不許可)を比較し、1つでも「許可」が設定されている機能を、利用を許可する機能に決定する(ステップS608)。
<まとめ>
以上のように、本実施形態に係る認証システム1によれば、画像処理装置200は、認証デバイス通信部21により、自機に接続された(接続検知した)認証デバイス214bから認証デバイス情報を取得する。画像処理装置200は、認証サーバ通信部22により、取得した認証デバイス情報と利用者関連情報を認証サーバ100に送信し、利用認証を要求する。
これを受けて認証サーバ100は、機器通信部13により、認証デバイス情報と利用者関連情報を受信する。認証サーバ100は、認証部14により、受信した認証デバイス情報と利用者関連情報に基づき、画像処理装置200の利用権限情報を取得する。このとき、認証部14は、該認証デバイス情報に対応付けて管理している画像処理装置200の利用権限情報と利用者/利用者の所属に対応付けて管理している画像処理装置200の利用権限情報を取得する。認証部14は、取得した利用権限情報の中から、利用権限の適用を制御する制御設定に従って特定した利用権限情報に基づき、画像処理装置200に適用する利用権限を決定する。認証サーバ100は、機器通信部13により、決定した利用権限を含む認証結果を送信し、利用認証要求に応答する。
その結果、画像処理装置200は、認証サーバ通信部22により、認証結果を受信し、UI制御部23により、認証結果に含まれる利用権限に従って、機能利用を制御する。
これによって、本実施形態に係る認証システム1は、機器利用認証時に、認証デバイス単位により利用権限の適用の他に、利用者/利用者の所属単位による利用権限の適用が可能で、かつ、機器利用認証に用いる情報管理の手間を軽減できる。
ここまで、上記実施形態の説明を行ってきたが、上記実施形態に係る「認証機能」は、図を用いて説明を行った各処理手順を、動作環境(プラットフォーム)にあったプログラミング言語でコード化したプログラムが、システム1を構成する各機器(「認証サーバ」や「画像処理装置」)が備える演算装置(CPU)により実行されることで実現される。
上記プログラムは、コンピュータが読み取り可能な記録媒体103aに格納することができる。これにより、例えば、認証サーバ100の場合、上記プログラムは、外部I/F103を介して、認証サーバ100にインストールすることができる。また、認証サーバ100は、通信I/F107を備えていることから、電気通信回線を用いて上記プログラムをダウンロードし、インストールすることもできる。画像処理装置200の場合も同様である。
[変形例]
なお、上記実施形態に係る認証機能は、次のような機能構成であってもよい。
図21,22は、本変形例に係る認証機能の構成例(その1,2)を示す図である。
図21には、画像処理装置200が単体で認証機能を有する構成例が示されている。この場合、画像処理装置200は、情報管理部12、認証部14、認証デバイス通信部21、UI制御部23、デバイス管理情報保持部90を有する。また、図22には、利用者管理サーバ300(利用者管理情報保持部)と認証サーバ100(認証部)が連携動作する場合の認証機能の構成例が示されている。
このように、本変形例に示す機能構成であっても、上記実施形態と同様の効果を奏することができる。
最後に、上記実施形態に挙げた形状や構成に、その他の要素との組み合わせなど、ここで示した要件に、本発明が限定されるものではない。これらの点に関しては、本発明の主旨をそこなわない範囲で変更することが可能であり、その応用形態に応じて適切に定めることができる。