JP5968077B2 - 情報処理装置、その制御方法、プログラム、及び画像処理装置 - Google Patents
情報処理装置、その制御方法、プログラム、及び画像処理装置 Download PDFInfo
- Publication number
- JP5968077B2 JP5968077B2 JP2012116915A JP2012116915A JP5968077B2 JP 5968077 B2 JP5968077 B2 JP 5968077B2 JP 2012116915 A JP2012116915 A JP 2012116915A JP 2012116915 A JP2012116915 A JP 2012116915A JP 5968077 B2 JP5968077 B2 JP 5968077B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- user
- credential
- processing apparatus
- function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
- G06F21/335—User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Facsimiles In General (AREA)
- Accessory Devices And Overall Control Thereof (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
以下では、図1乃至図12を参照して、本発明の実施例について説明する。本実施例では、情報処理装置(画像処理装置)の一例としてMFPを使用した例を示す。まず、図1を参照して、本実施例におけるネットワーク上のノード構成とユーザリポジトリの配置について説明する。本実施例では、ユーザ認証に使用するアカウントの保存領域を総称してユーザリポジトリと称する。
以下では、デバイス(例えば、MFP101)にログインした時のアカウントを用いて外部サーバにアクセスすることができるシングルサインオンについて説明する。企業におけるオフィス環境には、デバイスにログインした時のアカウントを用いて外部サーバにアクセスするシングルサインオン機能を利用するのに適した環境と適さない環境、或いはその混在環境が存在する。
・IT管理者がドメインコントローラをネットワーク上に配置し、ネットワーク上のノードをドメインに参加させている環境。
・IT管理者がLDAPサーバを認証サーバとしてネットワーク上に配置し、各ノードへのアクセスを必ずLDAPサーバの認証を受けるように設定している環境。
・デバイスやコンピュータのアクセスアカウントはノード毎にローカルアカウントとして登録されているが、IT管理者が全てのノードに対して同一のアカウント、パスワードを登録することによって一元管理している環境。
・コンピュータやデバイスのアクセスアカウントを管理するIT管理者がいない環境。
・各オフィスのスタッフがネットワークからアクセス可能なノードを自由に構築したり、各ノードに自由にアカウントを登録することをIT管理者が許可している環境。
・特定のノードだけが解釈可能な暗号化された認証データを使用する認証プロトコル、Kerberosなどがこれに該当する。
・デジタル署名を施したSAML(Security Assertion Markup Language)などの認証トークンを使用する認証プロトコル。
・ドメインと関係する情報を含む認証データを使用する認証プロトコル。
・ドメイン情報を含まない認証データ。
・プレーンテキストのアカウントとパスワード。
・一般的に使われているアルゴリズムでのパスワードのハッシュ値。
次に、図2を参照して、MFP101のハードウェア構成について説明する。201はMFP全体の制御を司るCPUであり、202はCPU201が実行するソフトウェアプログラムやフォントデータを格納するROMである。203はCPU201のワークエリア、受信バッファ、画像描画に使用されるRAMである。204は、ソフトウェアのプログラムコードや、ユーザ認証情報などのデータを記録するハードディスクドライブ(HDD)である。HDD204の一部は、図1で示したユーザリポジトリ102の領域としても利用される。205は各種スイッチやボタン、並びにメッセージ表示用の液晶表示部で構成される操作パネルである。206は、ネットワークに接続するためのネットワークインタフェースである。207は記録紙に印刷を行うプリンタある。208は、印刷されたドキュメントなどの原稿を読み取って画像データに変換するスキャナ(読取手段)である。
次に、図3を参照して、MFP101のソフトウェア構成について説明する。下記のソフトウェアの実行プログラムは、CPU201によって、ROM202やHDD204からRAM203にコピーされ、実行される。デバイスドライバ群301は、上記各種ハードウェアを制御するためのデバイスドライバ群である。302は、オペレーティングシステムである。303は、MFP101の組み込みアプリケーションをインストール/アンインストール、起動/停止などを制御するためのアプリケーションプラットフォームである。例えば、アプリケーションプラットフォーム303は、JAVA(登録商標)プラットフォームや、OSGiフレームワークを含む形で構成することができる。JAVA(登録商標)は、オラクル社の登録商標である。OSGiフレームワークは、OSGi Alliance(標準化団体)が定義したJAVA(登録商標)ベースのサービスプラットフォームである。アプリケーションプラットフォーム303には、MFP101が工場出荷時から備えるアプリケーションに加えて、ユーザが追加でアプリケーションをインストールすることができる。例えば、アプリケーションプラットフォーム303は、アプリケーションを管理するためのユーザインタフェース(図6)を備えるサーブレットをユーザに提供する。MFP101の管理者は、ネットワークを介して、アプリケーションの実行ファイル(JARファイル)を指定して、アプリケーションの追加インストールを実施することができる。図4は、アプリケーションプラットフォーム303が提供するアプリケーションのインストール/アンインストール、起動/停止などを制御するための画面を示す。アプリケーションプラットフォーム303は、図4に示す画面を介して入力されたユーザ指示に基づいてアプリケーションを管理することができる。
・システムアプリケーション
MFP101が工場出荷時から備えるアプリケーション。
・ログインアプリケーション
MFP101にログインするユーザを認証するため特別なアプリケーションである。
・一般アプリケーション
ログインアプリケーション以外のユーザがインストール/アンインストール可能なアプリケーション。
本実施例では、ユーザ認証に使用する情報や、ユーザ認証後に生成されるユーザを証明する情報を総称してユーザクレデンシャルと称する。ユーザクレデンシャルには、例えば以下のようなものが含まれる。
・プレーンテキストのアカウント、パスワード。
・プレーンテキストのアカウントとパスワードのハッシュ値。
・KerberosのTGT(Ticket Granting Ticket)、TGS(Ticket Granting Server)が発行するチケット。
・SAMLなどの認証トークン。
ユーザクレデンシャル共有サービス304は、複数のアプリケーション間でユーザクレデンシャルの共有を可能にするサービスである。ここで、図6を参照して、ユーザクレデンシャル共有サービス304が備える、アプリケーションから利用可能なAPI群について説明する。API601は、アプリケーションに指定されたユーザクレデンシャルを認証プロトコルやユーザクレデンシャルデータの型に関する情報と関連付けてRAM203に保存する。APIで使用する認証プロトコルには、Kerberos、Local、LDAP Simple Bindの文字列が予め規定されている。アプリケーションがこれ以外の認証プロトコルを使用する場合には、任意の文字列を指定することも可能とする。例えば、図7の701〜704に示すデータのいずれか、或いは複数のデータを保存する。
次に、図5を参照して、ログインアプリケーション305について説明する。ログインアプリケーション305は、操作パネル205にログイン画面501を表示し、MFP101にログインするユーザを認証する。ログイン画面501は、アカウント、パスワードを入力するテキストボックス502に加えて認証先を選択するためのドロップダウンリスト503を備える。ここで選択された認証先に基づいて、ユーザクレデンシャルに関連する認証プロトコルが決定されてもよい。また、画面501において、ユーザに対してさらに認証プロトコルの入力を促すような構成としてもよい。ログインアプリケーション305は、ユーザリポジトリ102に、アカウントを予め登録するためのユーザインタフェースを備える。更に、ログインアプリケーション305は、外部の認証サーバが管理するユーザリポジトリ109、114、117のアカウントを使ったユーザ認証機能を備える。ログインアプリケーション305は、外部の認証サーバと連携するための情報をMFP101のHDD204に記憶させるための認証サーバ登録画面505備える。認証サーバ登録画面505は、一般のウェブブラウザを使ってデバイスの管理者だけがアクセス可能なWebページとして構成する。
・ログイン画面501の認証先を示すドロップダウンリスト503に表示する表示名
・サーバ名
・サーバのネットワークアドレス
・ドメイン名
・ユーザの認証に使用する認証プロトコル
本実施例では、ドメインコントローラ108、LDAPサーバ113、社内システム認証サーバ116が認証サーバとして登録可能である。ドロップダウンリスト503には、LocalHostが表示されている。LocalHostはMFP101自身が有するユーザリポジトリ102を用いる認証であるので、画面505に登録されていなくてもドロップダウンリスト503に表示される。ログインアプリケーション305は、認証サーバの登録状態に応じて、認証先に表示名を表示する。
LocalHostは、ユーザリポジトリ102と関連付けられる。認証プロトコルは、Localと関連付けられる。ログインアプリケーション305は、テキストボックス502から取得したアカウント、パスワードと、ユーザリポジトリ102に登録されたデータを照合してユーザ認証を行う。ユーザ認証が成功すると、API601を介してプレーンテキストのアカウント、パスワードの保存をユーザクレデンシャル共有サービス304に依頼する。API601の認証プロトコルを示す引数にはLocalを指定する。
COMPANYドメインは、ユーザリポジトリ112を管理するドメインコントローラ108と関連付けられる。認証プロトコルはKerberosと関連づけられる。ログインアプリケーション305は、テキストボックス502から取得したアカウント、パスワードと、事前登録されたドメイン名(company.com)を使用し、ドメインコントローラ108に対してKerberosプロトコルでユーザ認証を試みる。ログインアプリケーション305は、ユーザ認証が成功すると、Kerberos認証時に取得したTGTを、ユーザクレデンシャルとして、ユーザクレデンシャル共有サービス304に保存を依頼する。API601の認証プロトコルを示す引数にはKerberosを指定する。
LDAPサーバは、ユーザリポジトリ114を管理するLDAPサーバ113と関連付けられる。認証プロトコルはLDAP Simple Bindと関連付けられる。ログインアプリケーション305は、テキストボックス502から取得したアカウント、パスワードを使用し、LDAPサーバ113に対してLDAP Simple Bindでユーザ認証を試みる。ログインアプリケーション305は、ユーザ認証が成功するとAPI601を介してプレーンテキストのアカウント、パスワードの保存をユーザクレデンシャル共有サービス304に依頼する。API601の認証プロトコルを示す引数にはLDAP Simple Bindを指定する。
社内システムは、ユーザリポジトリ117を管理する社内システム認証サーバ116と関連付けられる。ログインアプリケーション305は、テキストボックス502から取得したアカウント、パスワードを使用し、社内システム認証サーバ116に対して社内システム認証サーバ116が実装する独自プロトコルでユーザ認証を試みる。ログインアプリケーション305は、ユーザ認証が成功するとAPI601を介してプレーンテキストのアカウント、パスワードの保存をユーザクレデンシャル共有サービス304に依頼する。API601の認証プロトコルを示す引数にはCustomを指定する。
送信アプリケーション306は、スキャナ208から読み込まれたドキュメントの電子データをファイル共有サーバ(外部装置)に送信することができるアプリケーションである。送信アプリケーション306は、図9のようなユーザインタフェースを備える。ユーザは、画面901において、スキャナ208から読み込んだ電子データのファイルフォーマット(PDFやJPEGなど)や、予めMFP101の管理者によって登録された送信先のファイル共有サーバなどを指定することができる。送信アプリケーション306は、ユーザクレデンシャル共有サービス304のAPI602、603を介して、MFP101にログイン中のユーザのユーザクレデンシャルを取得することができる。取得したユーザクレデンシャルは、ファイル共有サーバアクセス時のユーザ認証に使用する。当該ユーザ認証が成功すると、送信アプリケーション306は、スキャナ208から読み込んだ電子データのファイルフォーマットを認証されたファイル共有サーバに送信し、格納する。
次に、図10及び図11を参照して、本実施例に係るユーザクレデンシャル共有サービスの動作について説明する。図10は、ユーザがMFP101にログインして送信アプリケーション306を利用してドキュメント送信を行うまでの一連のシーケンスを示す。図11は、図10のS1006におけるユーザクレデンシャル共有サービスの詳細な処理フローを示す。なお、以下で説明する処理は、MFP101のCPU201がROM202やHDD204に格納された制御プログラムをRAM203に読み出して実行することによって実現される。
次に、図11を参照して、S1006の詳細な処理フローについて説明する。S1101において、ユーザクレデンシャル共有サービス304は、ユーザクレデンシャルの取得要求を受信すると処理を開始する。S1002において、ユーザクレデンシャル共有サービス304は、RAM203に保存したユーザクレデンシャルを取得する。この際、API603の引数で認証プロトコルが指定されていた場合は、指定された認証プロトコルと関連するユーザクレデンシャルのみを取得し、認証プロトコルの指定が無かった場合は、保存した全てのユーザクレデンシャルを取得する。
次に、図12を参照して、本実施例に係るユースケースと設定例について説明する。まず図12の表の列について説明する。列1201は、MFP101のログインに使用するアカウントの管理元のユーザリポジトリを示す。列1202は、MFP101のログイン後にユーザクレデンシャル共有サービス304に保存されるユーザクレデンシャルを示す。列1203は、ドキュメント送信先時の接続先であるファイル共有サーバを示す。列1204は、ファイル共有サーバにアクセスするために必要なアカウントの管理元のユーザリポジトリを示す。列1205は、ファイル共有サーバの接続に使用する認証プロトコルを示す。
・ルータ107の設定により、MFP101は、LAN103とLAN104に接続可能で、LAN105とLAN106には接続できない。
・MFP101のログインに使用する認証先は、LocalHostと、COMPANYドメインが利用可能なように予め設定されている。
上記の条件では、行1208、1210、1211が示す組み合わせは、ユーザクレデンシャル共有サービスの設定(図8)の有無に関わらず接続の可否が決定する。MFP101の管理者は、行1209が示す組み合わせにのみ着目して、ユーザクレデンシャル共有サービスの設定(図8)を行えばよい。つまり、ログイン時のユーザリポジトリ102と、接続先のユーザリポジトリ112に意図的に同一のアカウント、パスワードが登録されているようであれば、Localと関係するユーザクレデンシャルの共有を許可にする。同一のアカウント、パスワードを登録することが意図されていない場合は、偶然の一致による不正アクセスを防止するため、Localと関係するユーザクレデンシャルの共有を禁止にする。
・ルータ107の設定により、MFP101は、LAN103とLAN105に接続可能で、LAN104とLAN106には接続できない。
・MFP101のログインに使用する認証先は、COMPANYドメインとLDAPサーバが利用可能なように予め設定されている。
上記の条件では、行1212、1213、1214が示す組み合わせは、ユーザクレデンシャル共有サービスの設定の有無に関わらず接続の可否が決定する。一方、行1215が示す組み合わせでは共に使用されるユーザリポジトリが114で同じであるため、MFP101の管理者は、ユーザクレデンシャルの共有を禁止に設定する必要はない。
・ルータ107の設定により、MFP101は、LAN103とLAN104、LAN106に接続可能で、LAN105には接続できない。
・MFP101のログインに使用する認証先は、LocalHostと、COMPANYドメイン、社内システムが利用可能なように予め設定されている。
上記の条件では、行1216、1219、1220、1221、1222が示す組み合わせは、ユーザクレデンシャル共有サービスの設定の有無に関わらず接続の可否が決定する。MFP101の管理者は、行1217、1218、1223が示す組み合わせにのみ着目して、ユーザクレデンシャル共有サービスの設定(図8)を行えばよい。つまり、ユーザリポジトリ102、112、117に意図的に同一のアカウント、パスワードが登録されているか否かに着目する。
・デバイスの管理者がオフィス環境を考慮してユーザクレデンシャルの共有設定を行うことがきるため、デバイスにおけるシングルサインオン機能の利用を適切にコントロールすることができる。
・アカウントが一元管理されていない環境において、認証データの偶然の一致による不正アクセスを防止することができる。
・セキュリティドメインを限定することが不可能な複数の認証プロトコルを同時に使用するような環境であっても、認証プロトコル毎にシングルサインオンの機能の利用可否を設定し、部分的にシングルサインオンの機能を利用することができる。
上記実施例においては、ユーザクレデンシャル共有サービス304を利用してKerberosのTGT、アカウント、パスワードを共有する例を示した。しかしながら、本発明は様々な変形が可能である。例えば、その他のユーザクレデンシャルとして、パスワードのハッシュ値、SAMLなどのチケットなどを、ユーザクレデンシャル共有サービス304を利用して共有可能にしてもよい。
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(又はCPUやMPU等)がプログラムを読み出して実行する処理である。
Claims (18)
- 情報処理装置であって、
複数種類の認証方法を用いてユーザ認証のための処理を実行することが可能な認証手段と、
前記認証手段がユーザを認証することによって生成されるクレデンシャルを管理する管理手段と、
前記管理手段が管理するクレデンシャルを前記情報処理装置が有する機能の実行のために利用することを許可するか否かを、前記認証手段が有する前記複数種類の認証方法のうち少なくとも一つの認証方法に対して設定する設定手段と、
前記認証手段が特定の認証方法を用いてユーザを認証し、当該ユーザが前記情報処理装置が有する機能の実行を指示した場合、前記設定手段が設定した設定内容に従って、当該機能が前記クレデンシャルを利用するか否かを決定する決定手段と、
前記決定手段が前記クレデンシャルを利用することを許可すると決定した場合、前記クレデンシャルを用いて前記機能を実行するよう制御し、前記決定手段が前記クレデンシャルを利用することを許可しないと決定した場合、前記ユーザにユーザ認証を促すよう制御する制御手段と
を有することを特徴とする情報処理装置。 - 前記特定の認証方法は、セキュリティドメインを限定できない認証方法であることを特徴とする請求項1に記載の情報処理装置。
- 前記セキュリティドメインを限定できない認証方法はローカル認証であることを特徴とする請求項2に記載の情報処理装置。
- 前記セキュリティドメインを限定できない認証方法はLDAP認証であることを特徴とする請求項2に記載の情報処理装置。
- 前記認証手段が前記特定の認証方法を用いてユーザを認証したことに基づいて生成されるクレデンシャルは、ドメイン情報を含まないことを特徴とする請求項1に記載の情報処理装置。
- 前記認証手段が前記特定の認証方法を用いてユーザを認証したことに基づいて生成されるクレデンシャルは、プレーンテキストの情報であることを特徴とする請求項1に記載の情報処理装置。
- 前記機能はデータを外部のサーバへ送信する送信機能であり、
前記送信機能は、前記外部のサーバにアクセスするために必要なユーザ認証を、前記クレデンシャル、あるいは前記ユーザが入力した認証情報を用いて要求することを特徴とする請求項1に記載の情報処理装置。 - 前記管理手段は、生成されたクレデンシャルを記憶手段に記憶し、前記ユーザが認証状態を解除されたら前記記憶手段に記憶された前記クレデンシャルを破棄することを特徴とする請求項1に記載の情報処理装置。
- 前記決定手段が前記クレデンシャルを利用することを許可しないと決定した場合、前記制御手段は、操作画面にユーザ認証のために必要な情報を入力するための画面を表示するよう制御することを特徴とする請求項1に記載の情報処理装置。
- 情報処理装置の制御方法であって、
前記情報処理装置が実行可能な複数種類の認証方法のうち何れかを用いてユーザ認証のための処理を実行することが可能な認証工程と、
前記認証工程でユーザを認証することによって生成されるクレデンシャルを管理する管理工程と、
前記管理工程で管理するクレデンシャルを前記情報処理装置が有する機能の実行のために利用することを許可するか否かを、前記認証工程で実行可能な前記複数種類の認証方法のうち少なくとも一つの認証方法に対して設定する設定工程と、
前記認証工程で特定の認証方法を用いてユーザを認証し、当該ユーザが前記情報処理装置が有する機能の実行を指示した場合、前記設定工程で設定した設定内容に従って、当該機能が前記クレデンシャルを利用するか否かを決定する決定工程と、
前記決定工程で前記クレデンシャルを利用することを許可すると決定した場合、前記クレデンシャルを用いて前記機能を実行するよう制御し、前記決定工程で前記クレデンシャルを利用することを許可しないと決定した場合、前記ユーザにユーザ認証を促すよう制御する制御工程と
を有することを特徴とする情報処理装置の制御方法。 - コンピュータに、
前記コンピュータが実行可能な複数種類の認証方法のうち何れかを用いてユーザ認証のための処理を実行する認証手順と、
前記認証手順においてユーザを認証することによって生成されるクレデンシャルを管理する管理手順と、
前記管理手順において管理するクレデンシャルを前記コンピュータが有する機能の実行のために利用することを許可するか否かを、前記認証手順において実行可能な前記複数種類の認証方法のうち少なくとも一つの認証方法に対して設定する設定手順と、
前記認証手順において特定の認証方法を用いてユーザを認証し、当該ユーザが前記コンピュータが有する機能の実行を指示した場合、前記設定手順において設定した設定内容に従って、当該機能が前記クレデンシャルを利用するか否かを決定する決定手順と、
前記決定手順において前記クレデンシャルを利用することを許可すると決定した場合、前記クレデンシャルを用いて前記機能を実行するよう制御し、前記決定手順において前記クレデンシャルを利用することを許可しないと決定した場合、前記ユーザにユーザ認証を促すよう制御する制御手順とを実行させるためのプログラム。 - シングルサインオン機能を有する画像処理装置であって、
前記画像処理装置にログインするユーザを認証する認証手段と、
前記認証手段によるユーザ認証の際に使用された認証情報を含むユーザクレデンシャルと、該ユーザクレデンシャルに関連する認証プロトコルを示す情報とを関連付けて保存する保存手段と、
原稿から画像を読み取る読取手段と、
前記画像処理装置に通信可能に接続された外部装置へ前記読取手段によって読み取った原稿の画像データを送信する指示をユーザから受け付けると、前記保存手段に保存されている当該ユーザの前記ユーザクレデンシャルと前記認証プロトコルを示す情報とに基づき、該ユーザクレデンシャルを用いて該外部装置へアクセス可能か否かを判定する判定手段と、
前記判定手段によって前記ユーザクレデンシャルを用いて前記外部装置へのアクセスが可能でないと判定されると、該外部装置へアクセス可能なアカウントの入力を促し、前記判定手段によって前記ユーザクレデンシャルを用いて前記外部装置へのアクセスが可能であると判定されると、該外部装置へ前記読取手段によって読み取った原稿の画像データを送信する制御手段と、
を備え、
前記判定手段は、前記認証プロトコルがセキュリティドメインを限定することが可能な認証プロトコルであれば前記ユーザクレデンシャルを用いて外部装置へのアクセスが可能であると判定し、前記認証プロトコルがセキュリティドメインを限定することが不可能な認証プロトコルであれば前記ユーザクレデンシャルを用いて外部装置へのアクセスが可能でないと判定することを特徴とする画像処理装置。 - 前記認証プロトコルの種別毎に前記ユーザクレデンシャルの共有を禁止するか否かを設定する設定手段をさらに備え、
前記判定手段は、前記認証プロトコルがセキュリティドメインを限定することが不可能な認証プロトコルである場合において、当該認証プロトコルにおける前記ユーザクレデンシャルの共有を禁止する設定が前記設定手段によって行われていれば前記ユーザクレデンシャルを用いて外部装置へのアクセスが可能でないと判定し、当該認証プロトコルにおける前記ユーザクレデンシャルの共有を禁止する設定が前記設定手段によって行われていなければ前記ユーザクレデンシャルを用いて外部装置へのアクセスが可能であると判定する
ことを特徴とする請求項12に記載の画像処理装置。 - 前記認証手段は、認証するユーザから、アカウント、パスワード、及び認証先を示す情報を認証情報として受け付け、
前記保存手段は、前記認証先を示す情報に関連する認証プロトコルを、前記ユーザクレデンシャルに関連する認証プロトコルを示す情報として保存することを特徴とする請求項12に記載の画像処理装置。 - 前記セキュリティドメインを限定することが可能な認証プロトコルは、特定のノードだけが解釈可能な暗号化された認証データを使用する認証プロトコル、デジタル署名を含む認証データを使用する認証プロトコル、及びドメインと関係する情報を含む認証データを使用する認証プロトコルのいずれかであることを特徴とする請求項12に記載の画像処理装置。
- 前記セキュリティドメインを限定することが可能な認証プロトコルは、Kerberos認証であることを特徴とする請求項12に記載の画像処理装置。
- 前記セキュリティドメインを限定することが不可能な認証プロトコルは、ローカルアカウントを使用する認証、及びLDAPのSimple Bindのいずれかであることを特徴とする請求項12に記載の画像処理装置。
- 前記ユーザクレデンシャルと関連する認証プロトコルが前記画像処理装置にとって未知の認証プロトコルである場合には、前記セキュリティドメインを限定することが不可能な認証プロトコルとして扱うことを特徴とする請求項12に記載の画像処理装置。
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012116915A JP5968077B2 (ja) | 2012-05-22 | 2012-05-22 | 情報処理装置、その制御方法、プログラム、及び画像処理装置 |
US13/889,705 US9166968B2 (en) | 2012-05-22 | 2013-05-08 | Information processing apparatus, control method thereof, storage medium, and image processing apparatus |
CN201310187432.3A CN103425924B (zh) | 2012-05-22 | 2013-05-20 | 信息处理装置、其控制方法以及图像处理装置 |
KR1020130056976A KR101614578B1 (ko) | 2012-05-22 | 2013-05-21 | 정보 처리 장치, 그 제어 방법, 저장 매체, 및 화상 처리 장치 |
EP13168700.6A EP2667318B1 (en) | 2012-05-22 | 2013-05-22 | Information processing apparatus, control method thereof, program, and image processing apparatus |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012116915A JP5968077B2 (ja) | 2012-05-22 | 2012-05-22 | 情報処理装置、その制御方法、プログラム、及び画像処理装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013242808A JP2013242808A (ja) | 2013-12-05 |
JP5968077B2 true JP5968077B2 (ja) | 2016-08-10 |
Family
ID=48670344
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012116915A Active JP5968077B2 (ja) | 2012-05-22 | 2012-05-22 | 情報処理装置、その制御方法、プログラム、及び画像処理装置 |
Country Status (5)
Country | Link |
---|---|
US (1) | US9166968B2 (ja) |
EP (1) | EP2667318B1 (ja) |
JP (1) | JP5968077B2 (ja) |
KR (1) | KR101614578B1 (ja) |
CN (1) | CN103425924B (ja) |
Families Citing this family (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6525493B2 (ja) * | 2013-05-08 | 2019-06-05 | キヤノン株式会社 | 画像処理装置及びその認証方法、並びにプログラム |
US9288365B2 (en) | 2013-12-06 | 2016-03-15 | Canon Information And Imaging Solutions, Inc. | System and method for controlling access to a server on an image processing device |
EP2887608B1 (en) * | 2013-12-17 | 2017-02-15 | Telefonica Digital España, S.L.U. | A computer implemented method and system for an anonymous communication and computer program thereof |
JP6179434B2 (ja) * | 2014-03-20 | 2017-08-16 | 富士ゼロックス株式会社 | 情報処理装置、情報処理システム及び情報処理プログラム |
JP6303979B2 (ja) * | 2014-10-29 | 2018-04-04 | 株式会社リコー | 情報処理システム、情報処理装置、情報処理方法およびプログラム |
US10944738B2 (en) | 2015-06-15 | 2021-03-09 | Airwatch, Llc. | Single sign-on for managed mobile devices using kerberos |
US11057364B2 (en) * | 2015-06-15 | 2021-07-06 | Airwatch Llc | Single sign-on for managed mobile devices |
US10812464B2 (en) | 2015-06-15 | 2020-10-20 | Airwatch Llc | Single sign-on for managed mobile devices |
US10171447B2 (en) | 2015-06-15 | 2019-01-01 | Airwatch Llc | Single sign-on for unmanaged mobile devices |
US9813413B2 (en) * | 2015-08-15 | 2017-11-07 | Microsoft Technology Licensing, Llc | Domain joined virtual names on domainless servers |
JP2017062743A (ja) * | 2015-09-25 | 2017-03-30 | 富士ゼロックス株式会社 | 画像形成システムおよび画像形成装置 |
US10735954B2 (en) * | 2016-09-02 | 2020-08-04 | Blackberry Limited | Method and device for facilitating authentication over a wireless network |
US10484369B2 (en) * | 2016-10-31 | 2019-11-19 | Ncr Corporation | Voice authentication via secondary device |
CN107483650A (zh) * | 2017-10-13 | 2017-12-15 | 郑州云海信息技术有限公司 | 一种基于cifs协议的文件上传下载优化方法 |
CN109995698B (zh) * | 2017-12-29 | 2021-08-06 | 北京神州泰岳软件股份有限公司 | 一种资产设备认证方法、装置及系统 |
JP6554201B2 (ja) * | 2018-04-02 | 2019-07-31 | キヤノン株式会社 | 情報処理装置、その制御方法、及びプログラム |
JP2020003877A (ja) * | 2018-06-25 | 2020-01-09 | シャープ株式会社 | 情報処理装置、情報処理方法、及び認証連携システム |
JP7204497B2 (ja) * | 2019-01-18 | 2023-01-16 | キヤノン株式会社 | クラウドプリントサービスに対応した印刷装置および印刷装置の制御方法およびプログラム |
JP7427865B2 (ja) * | 2019-02-22 | 2024-02-06 | ブラザー工業株式会社 | 情報表示プログラム |
JP7331529B2 (ja) * | 2019-07-29 | 2023-08-23 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置及び情報処理プログラム |
JP2021033460A (ja) * | 2019-08-20 | 2021-03-01 | 株式会社メルカリ | 情報処理方法、情報処理装置、及びプログラム |
JP7338337B2 (ja) * | 2019-09-05 | 2023-09-05 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置及び情報処理プログラム |
KR20230036493A (ko) * | 2021-09-07 | 2023-03-14 | 삼성전자주식회사 | 로그인 정보의 제공 방법 및 상기 방법을 수행하는 전자 장치 |
Family Cites Families (67)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5689638A (en) | 1994-12-13 | 1997-11-18 | Microsoft Corporation | Method for providing access to independent network resources by establishing connection using an application programming interface function call without prompting the user for authentication data |
US6263432B1 (en) * | 1997-10-06 | 2001-07-17 | Ncr Corporation | Electronic ticketing, authentication and/or authorization security system for internet applications |
US6178511B1 (en) * | 1998-04-30 | 2001-01-23 | International Business Machines Corporation | Coordinating user target logons in a single sign-on (SSO) environment |
US6678731B1 (en) * | 1999-07-08 | 2004-01-13 | Microsoft Corporation | Controlling access to a network server using an authentication ticket |
US6609198B1 (en) | 1999-08-05 | 2003-08-19 | Sun Microsystems, Inc. | Log-on service providing credential level change without loss of session continuity |
US7185364B2 (en) * | 2001-03-21 | 2007-02-27 | Oracle International Corporation | Access system interface |
US6851113B2 (en) * | 2001-06-29 | 2005-02-01 | International Business Machines Corporation | Secure shell protocol access control |
WO2003017125A1 (en) * | 2001-08-07 | 2003-02-27 | Tatara Systems, Inc. | Method and apparatus for integrating billing and authentication functions in local area and wide area wireless data networks |
US7412720B1 (en) * | 2001-11-02 | 2008-08-12 | Bea Systems, Inc. | Delegated authentication using a generic application-layer network protocol |
US7246230B2 (en) * | 2002-01-29 | 2007-07-17 | Bea Systems, Inc. | Single sign-on over the internet using public-key cryptography |
JP2004054893A (ja) * | 2002-05-29 | 2004-02-19 | Canon Inc | 画像形成装置の制御方法 |
JP2004015665A (ja) * | 2002-06-10 | 2004-01-15 | Takeshi Sakamura | 電子チケット流通システムにおける認証方法およびicカード |
GB0221674D0 (en) * | 2002-09-18 | 2002-10-30 | Nokia Corp | Linked authentication protocols |
US20050108518A1 (en) * | 2003-06-10 | 2005-05-19 | Pandya Ashish A. | Runtime adaptable security processor |
US7249375B2 (en) * | 2003-08-05 | 2007-07-24 | Oracle International Corp | Method and apparatus for end-to-end identity propagation |
CA2574883C (en) * | 2004-06-25 | 2013-12-17 | Accenture Global Services Gmbh | Single sign-on with common access card |
US10140596B2 (en) * | 2004-07-16 | 2018-11-27 | Bryan S. M. Chua | Third party authentication of an electronic transaction |
JP3998013B2 (ja) | 2004-09-21 | 2007-10-24 | コニカミノルタビジネステクノロジーズ株式会社 | 命令処理装置の認証システム、画像形成装置、認証制御方法及び認証制御プログラム |
US20060230438A1 (en) * | 2005-04-06 | 2006-10-12 | Ericom Software Ltd. | Single sign-on to remote server sessions using the credentials of the local client |
US9185108B2 (en) * | 2005-05-06 | 2015-11-10 | Symantec Corporation | Token sharing system and method |
US7540022B2 (en) * | 2005-06-30 | 2009-05-26 | Nokia Corporation | Using one-time passwords with single sign-on authentication |
US10764264B2 (en) * | 2005-07-11 | 2020-09-01 | Avaya Inc. | Technique for authenticating network users |
US7849501B2 (en) * | 2005-09-30 | 2010-12-07 | At&T Intellectual Property I, L.P. | Methods and systems for using data processing systems in order to authenticate parties |
US20070103712A1 (en) | 2005-11-04 | 2007-05-10 | Fatima Corona | System and method for limiting access to a shared multi-functional peripheral device based on preset user privileges |
JP4960685B2 (ja) * | 2005-11-22 | 2012-06-27 | 株式会社リコー | サービス処理システムおよびサービス処理制御方法 |
US8006289B2 (en) * | 2005-12-16 | 2011-08-23 | International Business Machines Corporation | Method and system for extending authentication methods |
US20070169165A1 (en) * | 2005-12-22 | 2007-07-19 | Crull Robert W | Social network-enabled interactive media player |
US8225385B2 (en) * | 2006-03-23 | 2012-07-17 | Microsoft Corporation | Multiple security token transactions |
US7739744B2 (en) * | 2006-03-31 | 2010-06-15 | Novell, Inc. | Methods and systems for multifactor authentication |
US8474028B2 (en) * | 2006-10-06 | 2013-06-25 | Fmr Llc | Multi-party, secure multi-channel authentication |
US8434133B2 (en) * | 2006-10-06 | 2013-04-30 | Fmr Llc | Single-party, secure multi-channel authentication |
US8671444B2 (en) * | 2006-10-06 | 2014-03-11 | Fmr Llc | Single-party, secure multi-channel authentication for access to a resource |
US8281378B2 (en) * | 2006-10-20 | 2012-10-02 | Citrix Systems, Inc. | Methods and systems for completing, by a single-sign on component, an authentication process in a federated environment to a resource not supporting federation |
US8619978B2 (en) * | 2006-12-22 | 2013-12-31 | Pagebites, Inc. | Multiple account authentication |
US8707416B2 (en) * | 2007-01-19 | 2014-04-22 | Toshiba America Research, Inc. | Bootstrapping kerberos from EAP (BKE) |
US8332923B2 (en) * | 2007-01-19 | 2012-12-11 | Toshiba America Research, Inc. | Kerberized handover keying |
US7941831B2 (en) | 2007-02-09 | 2011-05-10 | Microsoft Corporation | Dynamic update of authentication information |
US8817990B2 (en) * | 2007-03-01 | 2014-08-26 | Toshiba America Research, Inc. | Kerberized handover keying improvements |
US7992198B2 (en) * | 2007-04-13 | 2011-08-02 | Microsoft Corporation | Unified authentication for web method platforms |
US8365256B2 (en) | 2007-05-22 | 2013-01-29 | Cisco Technology, Inc. | Authentication server with link state monitor and credential cache |
WO2009038226A1 (en) | 2007-09-18 | 2009-03-26 | Canon Kabushiki Kaisha | Authentication system and method including image forming apparatus |
US8141139B2 (en) * | 2007-11-14 | 2012-03-20 | International Business Machines Corporation | Federated single sign-on (F-SSO) request processing using a trust chain having a custom module |
US7793340B2 (en) * | 2007-11-21 | 2010-09-07 | Novell, Inc. | Cryptographic binding of authentication schemes |
US8806601B2 (en) * | 2008-02-29 | 2014-08-12 | International Business Machines Corporation | Non-interactive entity application proxy method and system |
WO2009145987A2 (en) * | 2008-03-30 | 2009-12-03 | Symplified, Inc. | System, method, and apparatus for single sign-on and managing access to resources across a network |
US20090271847A1 (en) * | 2008-04-25 | 2009-10-29 | Nokia Corporation | Methods, Apparatuses, and Computer Program Products for Providing a Single Service Sign-On |
US8032932B2 (en) * | 2008-08-22 | 2011-10-04 | Citibank, N.A. | Systems and methods for providing security token authentication |
US8543973B2 (en) * | 2008-09-23 | 2013-09-24 | Oracle America, Inc. | Method and system for providing authentication schemes for web services |
US9836702B2 (en) | 2008-10-16 | 2017-12-05 | International Business Machines Corporation | Digital rights management (DRM)-enabled policy management for an identity provider in a federated environment |
US8856512B2 (en) * | 2008-12-30 | 2014-10-07 | Intel Corporation | Method and system for enterprise network single-sign-on by a manageability engine |
US8613067B2 (en) * | 2009-11-17 | 2013-12-17 | Secureauth Corporation | Single sign on with multiple authentication factors |
US8495720B2 (en) * | 2010-05-06 | 2013-07-23 | Verizon Patent And Licensing Inc. | Method and system for providing multifactor authentication |
JP5693051B2 (ja) | 2010-06-09 | 2015-04-01 | キヤノン株式会社 | 情報処理装置、情報処理装置のユーザ認証方法 |
JP5620781B2 (ja) | 2010-10-14 | 2014-11-05 | キヤノン株式会社 | 情報処理装置、その制御方法、及びプログラム |
US8539562B2 (en) * | 2010-12-09 | 2013-09-17 | International Business Machines Corporation | Automated management of system credentials |
WO2012142045A2 (en) * | 2011-04-11 | 2012-10-18 | Visa International Service Association | Multiple tokenization for authentication |
US8955037B2 (en) * | 2011-05-11 | 2015-02-10 | Oracle International Corporation | Access management architecture |
US8769622B2 (en) * | 2011-06-30 | 2014-07-01 | International Business Machines Corporation | Authentication and authorization methods for cloud computing security |
US8584201B2 (en) * | 2011-08-15 | 2013-11-12 | Bank Of America Corporation | Method and apparatus for session validation to access from uncontrolled devices |
US8789162B2 (en) * | 2011-08-15 | 2014-07-22 | Bank Of America Corporation | Method and apparatus for making token-based access decisions |
US9019071B1 (en) * | 2011-09-06 | 2015-04-28 | George Mallard | Method and apparatus for integrating a plurality of legacy access control systems with partitionable resources |
US8776194B2 (en) * | 2012-02-01 | 2014-07-08 | Amazon Technologies, Inc. | Authentication management services |
US8863250B2 (en) * | 2012-02-01 | 2014-10-14 | Amazon Technologies, Inc. | Logout from multiple network sites |
US8745705B2 (en) * | 2012-02-01 | 2014-06-03 | Amazon Technologies, Inc. | Account management for multiple network sites |
US8819795B2 (en) * | 2012-02-01 | 2014-08-26 | Amazon Technologies, Inc. | Presenting managed security credentials to network sites |
US8782768B2 (en) * | 2012-06-15 | 2014-07-15 | Vmware, Inc. | Systems and methods for accessing a virtual desktop |
US9369456B2 (en) * | 2012-09-21 | 2016-06-14 | Intuit Inc. | Single sign-on in multi-tenant environments |
-
2012
- 2012-05-22 JP JP2012116915A patent/JP5968077B2/ja active Active
-
2013
- 2013-05-08 US US13/889,705 patent/US9166968B2/en active Active
- 2013-05-20 CN CN201310187432.3A patent/CN103425924B/zh active Active
- 2013-05-21 KR KR1020130056976A patent/KR101614578B1/ko active IP Right Grant
- 2013-05-22 EP EP13168700.6A patent/EP2667318B1/en active Active
Also Published As
Publication number | Publication date |
---|---|
KR20130130641A (ko) | 2013-12-02 |
EP2667318B1 (en) | 2016-11-30 |
EP2667318A1 (en) | 2013-11-27 |
US9166968B2 (en) | 2015-10-20 |
KR101614578B1 (ko) | 2016-04-21 |
US20130318585A1 (en) | 2013-11-28 |
JP2013242808A (ja) | 2013-12-05 |
CN103425924B (zh) | 2016-05-18 |
CN103425924A (zh) | 2013-12-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5968077B2 (ja) | 情報処理装置、その制御方法、プログラム、及び画像処理装置 | |
US9064105B2 (en) | Information processing apparatus, control method therefor, and program | |
US9288213B2 (en) | System and service providing apparatus | |
US9455970B2 (en) | Information processing system, information processing apparatus, and authentication method | |
JP6065462B2 (ja) | 出力制御装置、システム及びプログラム | |
JP2006319459A (ja) | 画像処理装置およびその制御方法ならびにコンピュータプログラム | |
US20160080374A1 (en) | Output system, output method, output data storage apparatus, and output data relay apparatus | |
JP2007172615A (ja) | ドキュメント・テンプレート共有システム、方法およびプログラム | |
EP3073365A1 (en) | Networked image forming apparatus, networked image forming system and method of image forming | |
JP2005202923A (ja) | 情報処理装置、情報処理システム、情報処理方法、情報処理プログラム及び記録媒体 | |
JP2007087384A (ja) | ネットワーク装置管理システム、方法およびプログラム | |
JP6237868B2 (ja) | クラウドサービス提供システム及びクラウドサービス提供方法 | |
JP2004151942A (ja) | ウェブサービス提供装置、ウェブサービス提供方法およびウェブサービス提供プログラム | |
JP2023101081A (ja) | 画像形成装置、制御方法、およびそのプログラム | |
JP5145856B2 (ja) | 電子情報管理システム、電子情報管理装置及び電子情報管理プログラム | |
JP2018206087A (ja) | 情報処理装置及び情報処理プログラム | |
JP2015026232A (ja) | サービス提供システム、情報収集方法及びプログラム | |
JP2022114837A (ja) | 多要素認証機能を備えた画像形成装置 | |
JP5145104B2 (ja) | 画像形成装置 | |
Piger et al. | A comprehensive approach to self-restricted delegation of rights in grids | |
JP2024089133A (ja) | 情報処理装置、制御方法、及び、プログラム | |
JP2005190315A (ja) | アカウント情報管理装置および方法 | |
JP2020017235A (ja) | 情報処理装置、認証方法、プログラム | |
JP2011049853A (ja) | 情報処理装置、およびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150513 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160210 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160212 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160412 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160606 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160705 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 5968077 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |