JP6638430B2 - 情報処理装置、端末装置、プログラム及び情報処理システム - Google Patents

情報処理装置、端末装置、プログラム及び情報処理システム Download PDF

Info

Publication number
JP6638430B2
JP6638430B2 JP2016016470A JP2016016470A JP6638430B2 JP 6638430 B2 JP6638430 B2 JP 6638430B2 JP 2016016470 A JP2016016470 A JP 2016016470A JP 2016016470 A JP2016016470 A JP 2016016470A JP 6638430 B2 JP6638430 B2 JP 6638430B2
Authority
JP
Japan
Prior art keywords
information
organization
user
authentication
domain
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016016470A
Other languages
English (en)
Other versions
JP2017102882A (ja
Inventor
晃佑 波平
晃佑 波平
光 小南
光 小南
博基 大▲崎▼
博基 大▲崎▼
康治 福田
康治 福田
近藤 誠一
誠一 近藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to US15/352,758 priority Critical patent/US10291620B2/en
Publication of JP2017102882A publication Critical patent/JP2017102882A/ja
Priority to JP2019235643A priority patent/JP6927282B2/ja
Application granted granted Critical
Publication of JP6638430B2 publication Critical patent/JP6638430B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Accessory Devices And Overall Control Thereof (AREA)
  • Information Transfer Between Computers (AREA)

Description

本発明は情報処理装置、端末装置、プログラム及び情報処理システムに関する。
近年、ユーザ環境のAD(アクティブディレクトリ)で管理されているアカウント情報によりクラウドサービスを利用したいという要求がある。ADFS(アクティブディレクトリフェデレーションサービス)やADFS Proxyを使ったID連携は既に知られている。
例えばクラウドコンピューティングプラットフォーム上でシングルID/シングルサインオンを確立するための方法は従来から知られている。従来の方法ではコンピューターに関連付けられたユーザー資格情報を検証し、コンピューターからシングルIDが確立されることになるドメインの識別情報を受信する。
次に、従来の方法では、ユーザー資格情報の検証に応答して、ドメインのユーザーからのサインオンのために、クラウドコンピューティングプラットフォーム上でディレクトリサービスを構成する。従来の方法では、ログインに関連付けられた資格情報をディレクトリサービスが承認する判定に応答して、第2のコンピューターへのログインを許可することを判定する。
また、従来の方法では、ディレクトリサービスが承認する判定に応答して、クラウドコンピューティングプラットフォーム上で提供されるソフトウェアサービスにアクセスするように、ログインに関連付けられた資格情報を承認する(例えば特許文献1参照)。
しかしながら、ADFSやADFS Proxyを使ったID連携は、ADFSやADFS Proxyを動作させるためのサーバ環境の準備及び構築、構築後の運用といった専門的な知識とコストが必要という問題があった。
本発明の実施の形態は、上記の点に鑑みなされたものであり、オンプレミス環境におけるアカウント情報を使ったID連携を容易に実現できる情報処理装置を提供することを目的とする。
上記した課題を達成するために本願請求項1は、端末装置がサービスを利用するための資格情報を発行する情報処理装置であって、前記端末装置から組織情報、ドメイン情報、及び、オンプレミス環境におけるアカウント情報を含んだ認証要求を受け付け、前記組織情報と前記ドメイン情報とを対応付ける組織管理情報に、前記認証要求に含まれていた前記組織情報と前記ドメイン情報とが対応付けられていれば、前記組織情報により識別される組織に所属するユーザを前記オンプレミス環境におけるアカウント情報によりユーザ管理情報から検索する認証手段と、検索された前記ユーザに前記資格情報を発行する資格情報発行手段と、を有することを特徴とする。
本発明の実施の形態によれば、オンプレミス環境におけるアカウント情報を使ったID連携を容易に実現できる。
第1の実施形態に係る情報処理システムの一例の構成図である。 コンピュータの一例のハードウェア構成図である。 第1の実施形態に係る画像形成装置の一例のハードウェア構成図である。 第1の実施形態に係るサービス提供システムの一例の処理ブロック図である。 認証・認可部の一例の処理ブロック図である。 クライアント端末の一例の処理ブロック図である。 クライアント管理部が管理するクライアント情報の一例の構成図である。 テナント情報記憶部が記憶するテナント情報の一例の構成図である。 ユーザ情報記憶部が記憶するユーザ情報の一例の構成図である。 ライセンス情報記憶部が記憶するライセンス情報の一例の構成図である。 簡易ディレクトリ認証の準備の一例を示す説明図である。 簡易ディレクトリ認証を利用した印刷ジョブ登録処理の一例を示すシーケンス図である。 簡易ディレクトリ認証のリクエストの一例の説明図である。 認証・認可部における簡易ディレクトリ認証処理の一例のフローチャートである。 簡易ディレクトリ認証を利用した印刷ジョブ実行処理の一例を示すシーケンス図である。 簡易ディレクトリ認証の準備の他の例を示すシーケンス図である。 サービス設定画面の一例のイメージ図である。 テナント認証キーのファイルの一例の構成図である。 テナント認証キーを設定する処理の一例のシーケンス図である。 簡易ディレクトリ認証を利用した印刷ジョブ登録処理の他の例を示すシーケンス図である。 ユーザ設定画面の一例のイメージ図である。
以下、本発明の実施形態について図面を参照しながら説明する。
[第1の実施形態]
<システム構成>
図1は第1の実施形態に係る情報処理システムの一例の構成図である。図1の情報処理システム1000は例えばオフィス内ネットワーク等のオンプレミス環境のネットワークN1と、例えばインターネットなどのクラウドコンピューティング環境のネットワークN2とを有する。
ネットワークN1は、ファイヤウォールFWの内側にあるプライベートなネットワークである。ファイヤウォールFWはネットワークN1とネットワークN2との接点に設置され、不正なアクセスを検出及び遮断する。ネットワークN1にはクライアント端末1011、AD(アクティブディレクトリ)サーバ装置1012、複合機などの画像形成装置1013が接続されている。
クライアント端末1011は端末装置の一例である。クライアント端末1011は一般的なOSなどが搭載された情報処理装置によって実現できる。クライアント端末1011は無線による通信の手段または有線による通信の手段を有する。クライアント端末1011は、デスクトップPC、ノートPC、スマートフォンや携帯電話、タブレットPCなどのユーザが操作可能な端末である。
ADサーバ装置1012はアクティブディレクトリに関する処理を行う。ADサーバ装置1012は、ネットワークN1上に存在する様々な資源、ユーザの情報や権限などを一元管理する。例えばADサーバ装置1012はネットワークN1上に存在する様々な資源を使用するユーザのアカウント情報や各資源へのアクセス権限などの情報を一元管理することができる。なお、ADサーバ装置1012はネットワークN1上に存在する様々な資源を使用するユーザをドメイン単位に管理する。
画像形成装置1013は複合機などの画像形成機能を有する装置である。画像形成装置1013も端末装置の一例である。画像形成装置1013は無線による通信の手段または有線による通信の手段を有する。また、画像形成装置1013は、複合機、コピー機、スキャナ、プリンタ、レーザプリンタ、プロジェクタ、電子黒板など、画像形成に係る処理を行う装置である。図1ではクライアント端末1011、ADサーバ装置1012、画像形成装置1013がそれぞれ一台である例を示しているが複数台であってもよい。
また、ネットワークN2にはサービス提供システム1014が接続されている。サービス提供システム1014は、一台以上の情報処理装置により実現される。サービス提供システム1014はクライアント端末1011、画像形成装置1013に何らかのサービスを提供するシステムの一例である。第1の実施形態に係る情報処理システム1000では後述するように、ADサーバ装置1012で管理されているユーザのオンプレミス環境におけるアカウント情報を使って、ADサーバ装置1012とサービス提供システム1014とがID連携する。なお、サービス提供システム1014の詳細は、後述する。
<ハードウェア構成>
図1のクライアント端末1011、ADサーバ装置1012は例えば図2に示すようなハードウェア構成のコンピュータにより実現される。また、サービス提供システム1014を実現する一台以上の情報処理装置も図2に示すハードウェア構成のコンピュータにより実現される。
図2はコンピュータの一例のハードウェア構成図である。図2のコンピュータ100は入力装置101、表示装置102、外部I/F103、RAM104、ROM105、CPU106、通信I/F107、及びHDD108などを備え、それぞれがバスBで相互に接続されている。
入力装置101はキーボードやマウス、タッチパネルなどを含み、ユーザが各操作信号を入力するのに用いられる。表示装置102はディスプレイ等を含み、コンピュータ100による処理結果を表示する。なお、入力装置101及び表示装置102は必要なときに接続して利用する形態であってもよい。
通信I/F107は、コンピュータ100をネットワークN1〜N2に接続するインタフェースである。これにより、コンピュータ100は通信I/F107を介してデータ通信を行うことができる。
HDD108はプログラムやデータを格納している不揮発性の記憶装置である。格納されるプログラムやデータには例えばコンピュータ100全体を制御する基本ソフトウェアであるOSや、OS上において各種機能を提供するアプリケーションソフトウェアなどがある。なお、コンピュータ100はHDD108に替え、記憶媒体としてフラッシュメモリを用いるドライブ装置(例えばソリッドステートドライブ:SSD)を利用するものであってもよい。
外部I/F103は、外部装置とのインタフェースである。外部装置には、記録媒体103aなどがある。これにより、コンピュータ100は外部I/F103を介して記録媒体103aの読み取り及び/又は書き込みを行うことができる。記録媒体103aにはフレキシブルディスク、CD、DVD、SDメモリカード、USBメモリなどがある。
ROM105は、電源を切ってもプログラムやデータを保持することができる不揮発性の半導体メモリ(記憶装置)である。ROM105にはコンピュータ100の起動時に実行されるBIOS、OS設定、及びネットワーク設定などのプログラムやデータが格納されている。RAM104はプログラムやデータを一時保持する揮発性の半導体メモリ(記憶装置)である。
CPU106は、ROM105やHDD108などの記憶装置からプログラムやデータをRAM104上に読み出し、処理を実行することで、コンピュータ100全体の制御や機能を実現する演算装置である。
図1のクライアント端末1011、ADサーバ装置1012は、コンピュータ100のハードウェア構成により、後述するような各種処理を実現できる。また、サービス提供システム1014を実現する一台以上の情報処理装置もコンピュータ100のハードウェア構成により、後述するような各種処理を実現できる。
図3は第1の実施形態に係る画像形成装置の一例のハードウェア構成図である。図3に示した画像形成装置1013は、コントローラ201、操作パネル202、外部I/F203、通信I/F204、プリンタ205及びスキャナ206などを備える。
コントローラ201はCPU211、RAM212、ROM213、NVRAM214及びHDD215などを備える。ROM213は、各種プログラムやデータが格納されている。RAM212はプログラムやデータを一時保持する。NVRAM214は、例えば設定情報等が格納されている。また、HDD215は各種プログラムやデータが格納されている。
CPU211は、ROM213やNVRAM214、HDD215などからプログラムやデータ、設定情報等をRAM212上に読み出し、処理を実行することで、画像形成装置1013全体の制御や機能を実現する。
操作パネル202はユーザからの入力を受け付ける入力部と、表示を行う表示部とを備えている。外部I/F203は外部装置とのインタフェースである。外部装置には、記録媒体203aなどがある。これにより、画像形成装置1013は外部I/F203を介して記録媒体203aの読み取り及び/又は書き込みを行うことができる。記録媒体203aにはICカード、フレキシブルディスク、CD、DVD、SDメモリカード、USBメモリ等がある。
また、通信I/F204は画像形成装置1013をネットワークN2に接続するインタフェースである。これにより、画像形成装置1013は通信I/F204を介してデータ通信を行うことができる。
プリンタ205は印刷データを被搬送物に印刷するための印刷装置である。例えば被搬送物は紙、コート紙、厚紙、OHP、プラスチックフィルム、プリプレグ、銅箔など、紙に限定されない。スキャナ206は原稿から画像データ(電子データ)を読み取り、画像ファイル(電子ファイル)を生成するための読取装置である。
本実施形態に係る画像形成装置1013は、上記ハードウェア構成により、後述するような各種処理を実現できる。なお、ファイヤウォールFWのハードウェア構成については説明を省略する。
<ソフトウェア構成>
《サービス提供システム》
第1の実施形態に係るサービス提供システム1014は例えば図4に示す処理ブロックにより実現される。図4は、第1の実施形態に係るサービス提供システムの一例の処理ブロック図である。サービス提供システム1014はプログラムを実行することで、図4に示すような処理ブロックを実現する。
図4のサービス提供システム1014はアプリケーション1101、共通サービス1102、データベース(DB)1103、管理1104、業務1105、プラットフォームAPI1106を実現している。
アプリケーション1101は、ポータルサービスアプリ1111、スキャンサービスアプリ1112及びプリントサービスアプリ1113を一例として有する。
ポータルサービスアプリ1111は、ポータルサービスを提供するアプリケーションである。ポータルサービスは、サービス提供システム1014を利用するための入り口となるサービスを提供する。スキャンサービスアプリ1112はスキャンサービスを提供するアプリケーションである。プリントサービスアプリ1113はプリントサービスを提供するアプリケーションである。アプリケーション1101には、その他のサービスアプリが含まれていてもよい。
プラットフォームAPI1106はポータルサービスアプリ1111、スキャンサービスアプリ1112、プリントサービスアプリ1113などが共通サービス1102を利用するためのインタフェースである。プラットフォームAPI1106はアプリケーション1101からの要求を共通サービス1102が受信するために設けられた予め定義されたインタフェースであり、例えば関数やクラス等により構成される。
プラットフォームAPI1106は、サービス提供システム1014が複数の情報処理装置で構成される場合、ネットワーク経由で利用可能な例えばWeb APIにより実現できる。
共通サービス1102は、認証・認可部1121、テナント管理部1122、ユーザ管理部1123、クライアント管理部1124、ライセンス管理部1125、機器管理部1126、一時画像保存部1127、ログ収集部1128、画像処理ワークフロー制御部1130を有する。
また、画像処理ワークフロー制御部1130はメッセージキュー1131、1つ以上のワーカー(Worker)1132を有する。ワーカー1132は画像変換や画像送信などの機能を実現する。
認証・認可部1121は、クライアント端末1011や画像形成装置1013などのオフィス機器からの認証要求に基づいて認証・認可を実行する。オフィス機器はクライアント端末1011、画像形成装置1013などの総称である。認証・認可部1121は例えばデータベース1103にアクセスしてユーザを認証・認可する。
また、認証・認可部1121はデータベース1103にアクセスして画像形成装置1013を認証する。さらに、認証・認可部1121はデータベース1103にアクセスして後述する簡易ディレクトリ認証を行う。
テナント管理部1122は後述するテナント情報記憶部1142に記憶されているテナント情報を管理する。なお、テナントは企業や部門などのグループの単位である。ユーザ管理部1123は後述するユーザ情報記憶部1143に記憶されているユーザ情報を管理する。クライアント管理部1124は後述のクライアント情報を管理する。
ライセンス管理部1125は後述するライセンス情報記憶部1144に記憶されているライセンス情報を管理する。機器管理部1126は後述する機器情報記憶部1145に記憶されている機器情報を管理する。一時画像保存部1127は後述する一時画像記憶部1146への一時画像の保存、一時画像記憶部1146からの一時画像の取得を行う。ログ収集部1128は後述のログ情報記憶部1141に記憶されたログ情報を管理する。
画像処理ワークフロー制御部1130はアプリケーション1101からの要求に基づいて画像処理に関するワークフローを制御する。メッセージキュー1131は処理の種類に対応するキューを有する。画像処理ワークフロー制御部1130は処理(ジョブ)に係るリクエストのメッセージを、そのジョブの種類に対応するキューに投入する。
ワーカー1132は対応するキューを監視している。キューにメッセージが投入されるとワーカー1132は、対応するジョブの種類に応じた画像変換や画像送信などの処理を行う。なお、キューに投入されたメッセージはワーカー1132が主体的に読み出す(Pull)ようにしてもよいし、キューからワーカー1132に提供する(Push)ようにしてもよい。
図4のデータベース1103は、ログ情報記憶部1141、テナント情報記憶部1142、ユーザ情報記憶部1143、ライセンス情報記憶部1144、機器情報記憶部1145、一時画像記憶部1146、ジョブ情報記憶部1147、クライアント情報記憶部1148及びアプリケーション固有の設定情報記憶部1150を有する。
ログ情報記憶部1141はログ情報を記憶する。テナント情報記憶部1142はテナント情報を記憶する。ユーザ情報記憶部1143はユーザ情報を記憶する。ライセンス情報記憶部1144はライセンス情報を記憶している。また、機器情報記憶部1145は機器情報を記憶する。
一時画像記憶部1146は一時画像を記憶する。一時画像は、例えばワーカー1132が処理するスキャン画像などのファイルやデータである。ジョブ情報記憶部1147は処理(ジョブ)に係るリクエストの情報(ジョブ情報)を記憶する。クライアント情報記憶部1148は後述のクライアント情報を記憶する。また、アプリケーション固有の設定情報記憶部1150はアプリケーション1101に固有の設定情報を記憶する。
図4の管理1104は監視部、デプロイ部、サーバアカウント管理部やサーバログイン管理部を一例として有している。また、図4の業務1105は顧客情報管理部、契約管理部、販売管理部、ライセンス管理部、開発環境部を一例として有する。
サービス提供システム1014は、認証・認可や画像処理に関するワークフローなどの共通サービスを提供する統合基盤と、統合基盤の機能を利用してスキャンサービス、プリントサービスなどのアプリサービスを提供するサービス群として機能する。
統合基盤は、例えば共通サービス1102、DB1103、管理1104、業務1105及びプラットフォームAPI1106によって構成される。サービス群は、例えばアプリケーション1101によって構成される。図4に示したサービス提供システム1014はサービス群と統合基盤とを分離した構成により、プラットフォームAPI1106を利用するアプリケーション1101を容易に開発できる。
なお、図4に示したサービス提供システム1014の処理ブロックの分類形態は一例であり、アプリケーション1101、共通サービス1102、DB1103、管理1104及び業務1105が図4に示されるような階層で分類されていることが必須ではない。第1の実施形態に係るサービス提供システム1014の処理を実施できるのであれば図4に示される階層関係などは特定のものに限定されない。
図5は認証・認可部の一例の処理ブロック図である。図5の認証・認可部1121は簡易ディレクトリ認証処理部11、ユーザ情報設定部12、サービス利用権限設定部13、チケット発行部14及び通常認証処理部15を有する構成である。
簡易ディレクトリ認証処理部11は、ADサーバ装置1012で管理されているオンプレミス環境におけるアカウント情報を使って後述の簡易ディレクトリ認証を行う。ユーザ情報設定部12は、ユーザ情報の設定に関する処理を行う。サービス利用権限設定部13はサービス利用権限の設定に関する処理を行う。チケット発行部14はプリントサービスアプリ1113などのアプリケーション1101を利用するために必要な認証チケットの発行に関する処理を行う。通常認証処理部15は、サービス提供システム1014におけるアカウント情報を使って通常認証を行う。
図6はクライアント端末の一例の処理ブロック図である。図6のクライアント端末1011はOS(オペレーティングシステム)20及びクライアントアプリ30が搭載されている。クライアント端末1011はOS20を実行することにより、ログオン処理部21及びAD認証要求部22を実現している。また、クライアント端末1011はクライアントアプリ30を実行することにより、印刷ジョブ登録処理部31及び簡易ディレクトリ認証要求部32を実現している。
ログオン処理部21は、ユーザのログオンに関する処理を行う。AD認証要求部22はADサーバ装置1012に対し、オンプレミス環境でのアカウント情報による認証を要求する。以下では、オンプレミス環境でのアカウント情報による認証をAD認証と呼ぶ。
印刷ジョブ登録処理部31は認証・認可部1121が発行した認証チケットを利用してプリントサービスアプリ1113などのアプリケーション1101に印刷ジョブの登録を行う。簡易ディレクトリ認証要求部32はオンプレミス環境でのアカウント情報を使って行われる後述の簡易ディレクトリ認証要求を、認証・認可部1121に対して行う。
図7はクライアント管理部が管理するクライアント情報の一例の構成図である。図7のクライアント情報は項目として内部ID、クライアントID、クライアントキー及び提供サービスを有する。
内部IDはデータベース1103におけるプライマルキー(主キー)であり、内部管理用である。クライアントIDはクライアントアプリ30を識別するIDである。クライアントキーはクライアントアプリ30を認証するための秘密キーである。提供サービスはクライアントアプリ30が提供するサービスを表す情報である。
また、図8はテナント情報記憶部が記憶するテナント情報の一例の構成図である。図8のテナント情報は項目として内部ID、テナントID、テナント認証キー及びドメインを有する。内部IDはデータベース1103におけるプライマルキー(主キー)であり、内部管理用である。テナントIDはテナントを識別するIDである。テナント認証キーはテナントを認証するための秘密キーである。ドメインはアクティブディレクトリ等のディレクトリサービスのドメイン名である。
また、図9はユーザ情報記憶部が記憶するユーザ情報の一例の構成図である。図9に示したユーザ情報は項目として内部ID、テナントID、ユーザID、姓、名、メールアドレス及びオンプレミスIDを有する。内部IDはデータベース1103におけるプライマルキー(主キー)であり、内部管理用である。テナントIDはユーザの所属するテナントのテナントIDである。
ユーザIDはサービス提供システム1014においてユーザを識別するIDである。姓はユーザの姓である。名はユーザの名である。メールアドレスはユーザのメールアドレスである。オンプレミスIDはオンプレミス環境においてユーザを識別するID(以下、ADユーザIDと呼ぶ)である。
図10はライセンス情報記憶部が記憶するライセンス情報の一例の構成図である。図10のライセンス情報は項目として内部ID、サービス種別、ライセンス数、テナントID及び利用ユーザを有する。内部IDはデータベース1103におけるプライマルキー(主キー)であり、内部管理用である。
サービス種別はライセンスのサービス種別を表している。ライセンス数はサービスを利用できるユーザ数を表している。テナントIDはライセンスを保有するテナントのIDである。利用ユーザはサービスを利用できるユーザのユーザIDである。
<処理の詳細>
以下では、第1の実施形態に係る情報処理システム1000の処理の詳細について説明する。なお、第1の実施形態では一例として、サービス提供システム1014に登録した印刷ジョブを画像形成装置1013で印刷する処理について説明する。
《準備》
図11は簡易ディレクトリ認証の準備の一例を示す説明図である。例えばテナントの管理者は図11に示す手順で簡易ディレクトリ認証の準備を行う。ステップS11においてテナントの管理者は管理者アカウントでサービス提供システム1014にログインする。ステップS12において管理者は簡易ディレクトリ認証用のテナント認証キーの発行依頼と、ドメイン名の登録とをサービス提供システム1014に対して行う。
ステップS13において、サービス提供システム1014はドメイン名を図8のテナント情報の項目「ドメイン」に登録し、テナント認証キーを発行する。サービス提供システム1014は発行したテナント認証キーを図8のテナント情報に登録する。ステップS13の処理により、図8に示したテナント情報はテナント認証キーとドメインとが保存された状態となる。サービス提供システム1014はテナント認証キーのファイル及びクライアントアプリ30のダウンロード画面をクライアント端末1011に表示させる。
ステップS14において、テナントの管理者はクライアント端末1011にテナント認証キーのファイルをダウンロードする。また、ステップS15において、テナントの管理者はクライアント端末1011にクライアントアプリ30をダウンロードする。テナントの管理者はステップS16において、簡易ディレクトリ認証を利用するユーザのクライアント端末1011に、テナント認証キーのファイルと、クライアントアプリ30とを配布する。ステップS16までの処理により、簡易ディレクトリ認証の準備は終了する。
《印刷ジョブ登録》
図12は簡易ディレクトリ認証を利用した印刷ジョブ登録処理の一例を示すシーケンス図である。ステップS21においてユーザは、ドメインに参加しているクライアント端末1011を操作し、OS20にADユーザID及びパスワードを指定してログオンを要求する。クライアント端末1011のログオン処理部21はユーザからのログオンの要求を受け付ける。ステップS22に進み、OS20のAD認証要求部22はADユーザID及びパスワードを指定してAD認証を要求する。
ADサーバ装置1012はAD認証に指定されていたADユーザID及びパスワードの組み合わせが登録されていれば、ログオン成功の認証結果をOS20のAD認証要求部22に返す。ここではログオンが成功したものとして説明を続ける。ステップS23においてOS20のログオン処理部21は例えば画面表示などによりユーザにログオン成功を知らせる。
ステップS24においてユーザはクライアント端末1011を操作し、クライアントアプリ30の印刷ジョブ登録処理部31に印刷ジョブの登録実行を要求する。ステップS25に進み、クライアントアプリ30の簡易ディレクトリ認証要求部32はOS20にログオン情報の取得を要求する。クライアントアプリ30の簡易ディレクトリ認証要求部32はログオン情報としてドメイン及びADユーザIDを取得する。なお、図12のシーケンス図ではOS20からログオン情報を取得する例を示したが、ADサーバ装置1012から取得してもよい。
また、ステップS26に進み、クライアントアプリ30の簡易ディレクトリ認証要求部32はADサーバ装置1012にADユーザ情報の取得を要求し、ADユーザIDと対応付いた姓、名、メールアドレスを取得する。
そして、ステップS27に進み、簡易ディレクトリ認証要求部32はサービス提供システム1014の認証・認可部1121へ簡易ディレクトリ認証を要求する。簡易ディレクトリ認証の引数には、クライアントID、クライアントキー、テナント認証キー、ドメイン、ADユーザID、ユーザID、姓、名、メールアドレス等が含まれている。
例えばクライアントID、クライアントキーはクライアントアプリ30に埋め込まれているものを利用できる。また、テナント認証キーはステップS16で配布されたテナント認証キーのファイルから読み出すことができる。ドメイン、ADユーザIDはステップS25においてOS20から取得したものを利用できる。また、姓、名、メールアドレスはステップS26で取得したものを利用できる。
ユーザIDはサービス提供システム1014においてユーザを識別するIDである。簡易ディレクトリ認証の引数のユーザIDはADユーザIDと同じものを利用できるが、例えば認証・認可部1121の禁則文字を含んでいた場合などに、加工で適切な値を設定する必要がある。なお、適切な値の設定は認証・認可部1121で行ってもよい。
ステップS27の簡易ディレクトリ認証の要求は例えば図13に示すようなリクエストにより行われる。図13は簡易ディレクトリ認証のリクエストの一例の説明図である。
図13に示した簡易ディレクトリ認証のリクエストは、クライアントアプリ30の情報としてクライアントID「clientA」とクライアントキー「Poehjfkdng712FssfFsA」とを表している。
テナントの情報としてテナントID「123456789」及びテナント認証キー「dHJZPLbv8otCTGAyrIwm」を表している。OS20にログオンしているユーザの情報としてドメイン「ad.example.com」とADユーザID「ad_userA」とを表している。サービス提供システム1014におけるユーザの情報としてユーザID「userA」とメールアドレス「ad_userA@example.com」と姓「山田」と名「太郎」とを表している。サービスの情報としてサービスの種別「CloudPrint」を表している。
図12に戻り、認証・認可部1121の簡易ディレクトリ認証処理部11は、ステップS27の簡易ディレクトリ認証の要求にユーザパラメータが含まれていれば、ステップS28の処理を行う。ステップS28において認証・認可部1121のユーザ情報設定部12はステップS27の簡易ディレクトリ認証の要求に含まれていたユーザパラメータに基づき、新規ユーザの作成又はユーザ情報の更新を行う。
なお、新規ユーザの作成はステップS27の簡易ディレクトリ認証の要求に含まれていたユーザパラメータに基づき、ユーザ情報のレコードを追加することにより行う。また、認証・認可部1121の簡易ディレクトリ認証処理部11は、ステップS27の簡易ディレクトリ認証の要求にサービスパラメータが含まれていれば、ステップS29の処理を行う。ステップS29において認証・認可部1121のサービス利用権限設定部13はステップS27の簡易ディレクトリ認証の要求に含まれていたサービスパラメータに基づいてサービス利用権限の付与を行う。
ステップS30に進み、認証・認可部1121のチケット発行部14はプリントサービスアプリ1113を使用するための認証チケットを発行する。ステップS31に進み、認証・認可部1121はクライアントアプリ30に認証チケットを返す。
ステップS32に進み、クライアントアプリ30の印刷ジョブ登録処理部31は発行された認証チケットを添付して印刷ジョブの登録をプリントサービスアプリ1113に要求する。プリントサービスアプリ1113は認証チケットと対応付けて印刷ジョブを登録する。プリントサービスアプリ1113は印刷ジョブの登録結果をクライアントアプリ30の印刷ジョブ登録処理部31に返す。ステップS33に進み、クライアントアプリ30の印刷ジョブ登録処理部31は例えば画面表示などによりユーザに印刷ジョブ登録完了を知らせる。
図12のシーケンス図において、認証・認可部1121は例えば図14に示すように簡易ディレクトリ認証を行う。図14は認証・認可部における簡易ディレクトリ認証処理の一例のフローチャートである。
ステップS51において認証・認可部1121の簡易ディレクトリ認証処理部11は図7に示したクライアント情報を参照し、アプリ認証を行う。アプリ認証はクライアント情報のクライアントIDとクライアントキーとをチェックし、登録済みのクライアントアプリ30かを認証するものである。
登録済みのクライアントアプリ30であれば、ステップS52に進み、簡易ディレクトリ認証処理部11は図8に示したテナント情報を参照し、テナント認証を行う。テナント認証はテナント情報のテナント認証キーをチェックし、テナント認証キーが何れかのテナントのテナント認証キーであるかを認証するものである。
テナント認証キーが何れかのテナントのテナント認証キーであれば、簡易ディレクトリ認証処理部11はステップS53に進み、テナント情報を参照し、ドメインパラメータのチェックを行う。ドメインパラメータのチェックは、テナント情報のドメインが該当するテナントのドメインと一致しているかを確認するものである。
テナント情報のドメインが該当するテナントのドメインと一致していれば、簡易ディレクトリ認証処理部11は、ステップS54に進み、オンプレミスIDによるユーザ検索を行う。オンプレミスIDによるユーザ検索は図9のユーザ情報を参照し、該当するテナントに所属し、オンプレミスID(ADユーザID)が一致するユーザを検索する。
該当するテナントに所属し、オンプレミスIDが一致するユーザが検索されなければ簡易ディレクトリ認証処理部11はステップS55に進み、ユーザ情報のユーザIDのパラメータをチェックする。
ユーザ情報のユーザIDのパラメータが指定されていれば、簡易ディレクトリ認証処理部11はステップS56に進み、ユーザパラメータのチェックを行う。ユーザパラメータがOKであれば、ユーザ情報設定部12はステップS57において、新規ユーザの作成を行う。
なお、該当するテナントに所属し、オンプレミスIDが一致するユーザが検索されれば簡易ディレクトリ認証処理部11はステップS58に進み、ユーザパラメータの有無を確認する。ユーザパラメータがあれば、簡易ディレクトリ認証処理部11はステップS59に進み、ユーザパラメータのチェックを行う。ユーザパラメータがOKであれば、ユーザ情報設定部12はステップS60において、ユーザ情報の更新を行う。例えばユーザ情報の更新は図9のユーザ情報に姓、名、メールアドレスを更新する処理である。
ステップS61に進み、簡易ディレクトリ認証処理部11はサービスパラメータの有無を確認する。サービスパラメータがあれば簡易ディレクトリ認証処理部11はステップS62に進み、サービスパラメータのチェックを行う。簡易ディレクトリ認証処理部11はサービスパラメータのチェックがOKであればステップS63に進み、図10のライセンス情報を参照して、サービス利用権限の設定を行う。サービス利用権限の設定は、図10のライセンス情報から該当するサービス種別のライセンス情報を検索し、利用ユーザの項目にユーザIDを追加する。このとき、簡易ディレクトリ認証処理部11は図7のクライアント情報も参照して、該当するクライアントアプリ30が提供しないサービスであればエラーをレスポンスする。ステップS64に進み、チケット発行部14は認証チケットを発行し、その認証チケットを成功レスポンスとしてクライアントアプリ30に返す。
なお、ステップS51で登録済みのクライアントアプリ30でない場合、ステップS52でテナント認証キーが何れかのテナントのテナント認証キーでない場合、簡易ディレクトリ認証処理部11は失敗レスポンスを返す。
また、ステップS53でテナント情報のドメインが該当するテナントのドメインと一致していない場合、ステップS55でユーザ情報のユーザIDのパラメータが指定されていない場合、簡易ディレクトリ認証処理部11は失敗レスポンスを返す。
また、ステップS56でユーザパラメータがOKでない場合、ステップS59でユーザパラメータがOKでない場合、ステップS62でサービスパラメータのチェックがOKでない場合、簡易ディレクトリ認証処理部11は失敗レスポンスを返す。
《印刷ジョブ実行》
図15は簡易ディレクトリ認証を利用した印刷ジョブ実行処理の一例を示すシーケンス図である。例えば印刷ジョブを登録したユーザは図15に示す手順で画像形成装置1013に印刷ジョブを実行させる。
ステップS81においてユーザは例えばICカードにより画像形成装置1013にログインする。ステップS82に進み、画像形成装置1013はADサーバ装置1012からICカードに対応付けられているADユーザIDを取得する。ステップS83に進み、画像形成装置1013はADユーザIDによるジョブ一覧取得依頼をサービス提供システム1014に対して行う。
ステップS84に進み、サービス提供システム1014はADユーザIDによる認証チケットとジョブ一覧とを画像形成装置1013に返す。画像形成装置1013はジョブ一覧を表示し、ユーザから印刷ジョブを指定した印刷指示を受け付ける。ステップS85に進み、画像形成装置1013はユーザにより指定された印刷ジョブをサービス提供システム1014に要求する。ステップS86に進み、サービス提供システム1014は要求された印刷ジョブデータを画像形成装置1013に返信する。そして、画像形成装置1013は返信された印刷ジョブデータにより印刷を行う。
(まとめ)
第1の実施形態に係る情報処理システム1000は、図12のシーケンス図に示したように、オンプレミス環境におけるアカウント情報により、サービス提供システム1014におけるユーザ情報を自動生成する。また、第1の実施形態に係る情報処理システム1000は、自動生成されたユーザ情報によりサービス提供システム1014へのログインを可能とする。したがって、第1の実施形態に係る情報処理システム1000は、ADFSやADFS Proxyを用いなくても、オンプレミス環境におけるアカウント情報を使用したID連携を容易に実現できる。第1の実施形態によれば、ユーザはオンプレミス環境におけるアカウント情報を入力することで、サービス提供システム1014が提供するサービスを利用できる。
[第2の実施形態]
第2の実施形態は一部を除いて前述した第1の実施形態と同様であるため、適宜説明を省略する。
<処理の詳細>
以下では、第2の実施形態に係る情報処理システム1000の処理の詳細について説明する。なお、第2の実施形態では一例として、サービス提供システム1014に登録した印刷ジョブを画像形成装置1013で印刷する処理について説明する。
《準備》
図16は簡易ディレクトリ認証の準備の他の例を示すシーケンス図である。例えばテナントの管理者は図16に示す手順で簡易ディレクトリ認証の準備を行う。図16のシーケンス図はテナント認証キーの発行の手順と、テナント認証キーの配布の手順とを含む。
図16のシーケンス図においてサービス提供システム1014がテナント認証キーを発行する。テナント認証キーはクライアントアプリ30からサービス提供システム1014へ印刷ジョブを登録する際の認証に利用される。図16のシーケンス図は、そのテナント認証キーを事前にテナントの管理者が発行・配布する手順を示している。なお、図16に示されているユーザ及び管理者は、そのユーザ及び管理者が操作するクライアント端末1011である。
ステップS101においてテナントの管理者は管理者アカウントでサービス提供システム1014のポータルサービスアプリ1111にログインを要求する。ポータルサービスアプリ1111はステップS102に進み、管理者からログインを要求された管理者アカウントによるログインを認証・認可部1121に要求する。
ステップS103において認証・認可部1121はログインを要求された管理者アカウントを検証し、検証結果をポータルサービスアプリ1111に返す。ここではOKの検証結果がポータルサービスアプリ1111に返されたものとする。ステップS104においてポータルサービスアプリ1111はサービス設定画面を管理者のクライアント端末1011に表示させる。
ステップS101〜S104に示した第一の手順では、サービス提供システム1014に登録されている管理者アカウントでテナントの管理者がサービス提供システム1014にログインしている。このログインによりサービス提供システム1014はテナント認証キーを発行するテナントを決定できる。
図17はサービス設定画面の一例のイメージ図である。図17のサービス設定画面はテナントのドメイン名を設定する欄と、テナント認証キーの発行依頼を行う「ファイルをダウンロード」ボタンと、が含まれている。図17のサービス設定画面は例えばブラウザを利用して表示される。テナントのドメイン名としては、例えばADサーバ装置1012で利用しているドメインを登録する。
ステップS105において管理者は例えば図17のサービス設定画面にドメイン名を設定し、簡易ディレクトリ認証用のテナント認証キーの発行依頼を、サービス提供システム1014に対して行うことができる。管理者のクライアント端末1011はドメイン名を指定してテナント認証キーの発行を要求する。
ポータルサービスアプリ1111はステップS106に進み、ドメイン名を指定してテナント認証キーの発行を認証・認可部1121に要求する。ステップS107において認証・認可部1121は、管理者のテナントに紐付くテナント認証キーを発行する。
ステップS108において、認証・認可部1121は設定されたドメイン名と発行したテナント認証キーとを図8のテナント情報に登録する。図8に示したテナント情報はテナント認証キーとドメインとが保存された状態となる。認証・認可部1121は発行したテナント認証キーをポータルサービスアプリ1111に通知する。
ステップS109において、ポータルサービスアプリ1111は管理者のクライアント端末1011に対して、テナント認証キーのファイルをダウンロードする。管理者のクライアント端末1011に対してテナント認証キーを提供する形態は、テナント認証キーのファイルのダウンロードであってもよいし、テナント認証キーのテキストをブラウザに表示させるものであってもよい。
ステップS105〜S109に示した第二の手順では、テナントの管理者がドメイン名を指定してサービス提供システム1014にテナント認証キーの発行を依頼し、テナントのテナント認証キーのファイルを取得している。
図18はテナント認証キーのファイルの一例の構成図である。ファイル内のテナント認証キーは暗号化されていてもよい。また、テナント認証キーのファイルは、クライアントアプリ30に同梱された形でサービス提供システム1014から管理者のクライアント端末1011にダウンロードされてもよい。
テナントの管理者はステップS110において、ユーザのクライアント端末1011にテナント認証キーのファイルを配布する。ステップS110に示した第三の手順ではテナント認証キーをテナント内のユーザのクライアント端末1011に配布している。
テナント認証キーを配布されたユーザは例えば図19に示す手順でユーザのクライアント端末1011にテナント認証キーを設定する。図19はテナント認証キーを設定する処理の一例のシーケンス図である。
ステップS121において、ユーザは配布されたテナント認証キーをユーザのクライアント端末1011のOS20に配置する。テナント認証キーの配置場所はクライアントアプリ30のインストーラと同じファイル格納場所(フォルダなど)でもよいし、クライアントアプリ30のインストール時に選択するファイル格納場所であってもよい。クライアントアプリ30に同梱された形でテナント認証キーのファイルがユーザのクライアント端末1011に配布された場合、ステップS121の処理は不要となる。
ステップS122において、ユーザはクライアント端末1011を操作し、クライアントアプリ30をインストールする。ステップS123において、インストールされたクライアントアプリ30はOS20に配置されたテナント認証キーのファイルからテナント認証キーを取得する。
ステップS124に進み、クライアントアプリ30は取得したテナント認証キーをOS20に設定する。ステップS125に進み、OS20はテナント認証キーをレジストリに書き込んで保存する。なお、テナント認証キーが暗号化されている場合、クライアントアプリ30は復号したテナント認証キーをOS20に設定する。ここまでの処理により簡易ディレクトリ認証の準備は終了する。
《印刷ジョブ登録》
図20は簡易ディレクトリ認証を利用した印刷ジョブ登録処理の他の例を示すシーケンス図である。ユーザは図20に示す手順で印刷ジョブをサービス提供システム1014に登録する。図20のシーケンス図はログオンする手順と、印刷の準備をする手順と、印刷ジョブを登録する手順とを含む。
ステップS131においてユーザは、ドメインに参加しているクライアント端末1011を操作し、OS20にADユーザID及びパスワードを指定してクライアント端末1011へのログオンを要求する。OS20はユーザからのログオンの要求を受け付ける。
ステップS132に進み、OS20はADユーザID及びパスワードを指定してAD認証をADサーバ装置1012に要求する。ADサーバ装置1012はAD認証に指定されていたADユーザID及びパスワードの組み合わせが登録されていれば、ログオン成功の認証結果をOS20に返す。ここではログオンが成功したものとして説明を続ける。
ステップS133においてOS20は例えば画面表示などによりユーザにログオン成功を知らせる。ステップS131〜S133に示した第一の手順では、ADサーバ装置1012による認証によりユーザがクライアント端末1011にログオンしている。
ステップS134においてユーザは既存の文書作成ソフト40に印刷指示を行い、プリンタ一覧を表示させる。ステップS135に進み、ユーザはクライアント端末1011を操作してプリンタを選択する。ステップS134〜S135に示した第二の手順では印刷の準備として印刷を行うプリンタを選択している。
ステップS136においてユーザはクライアント端末1011を操作し、文書作成ソフト40に印刷の実行を指示する。印刷の実行を指示された文書作成ソフト40はステップS137においてクライアントアプリ30に文書を投入する。ステップS138においてクライアントアプリ30はレジストリに保存されているテナント認証キーをOS20から取得する。
テナント認証キーをOS20から取得できた場合、クライアントアプリ30はステップS139において、例えば図21に示すユーザ設定画面をユーザのクライアント端末1011に表示し、ユーザ情報を要求する。
図21はユーザ設定画面の一例のイメージ図である。図21のユーザ設定画面には簡易ディレクトリ認証を使用するか否かをユーザに選択させるための選択欄(例えばチェックボックスなど)が設けられている。ステップS140においてユーザは簡易ディレクトリ認証を使用するか否かを選択する。ここでは簡易ディレクトリ認証を使用する(AD連携する)が選択されたものとする。簡易ディレクトリ認証を使用するが選択されなかった場合は、事前にサービス提供システム1014に登録したユーザ名及びパスワードを入力して通常認証を行い、プリントサービスアプリ1113を使用する。
ステップS141に進み、ユーザのクライアント端末1011は簡易ディレクトリ認証を使用する(AD連携する)ことをクライアントアプリ30に通知する。ステップS142に進み、クライアントアプリ30はOS20にログオン情報の取得を要求する。クライアントアプリ30はログオン情報としてドメイン及びADユーザIDを取得する。
また、ステップS143に進み、クライアントアプリ30はADサーバ装置1012にADユーザ情報の取得を要求し、ADユーザIDと対応付いた姓、名、メールアドレスを取得する。なお、ユーザ情報が不要な場合、ADサーバ装置1012への問い合わせは行わなくてもよい。
そして、ステップS144に進み、クライアントアプリ30はサービス提供システム1014の認証・認可部1121へ簡易ディレクトリ認証を要求する。簡易ディレクトリ認証の引数には、クライアントID、クライアントキー、テナント認証キー、ドメイン、ADユーザID、ユーザID、姓、名、メールアドレス等が含まれている。
ステップS144の簡易ディレクトリ認証の要求は例えば図13に示したようなリクエストにより行われる。認証・認可部1121は、図14に示した簡易ディレクトリ認証処理を行い、プリントサービスアプリ1113を使用するための認証チケットを発行してクライアントアプリ30に返す。クライアントアプリ30は認証チケットを取得することによりプリントサービスアプリ1113のAPIを利用できるようになる。認証チケットはプリントサービスアプリ1113のAPIを利用する際に必要な認証情報(認証が許可されたことを示す情報)である。
認証チケットを発行する際、認証・認可部1121は事前に登録されたドメイン及びテナント認証キーの検証を行う。なお、発行された認証チケットはクライアントアプリ30にキャッシュとして保存され、2回目以降の印刷ジョブ登録時に利用される。また、クライアントアプリ30は認証チケットを利用し、プリントサービスアプリ1113が印刷できる状態に文書を変換する。
ステップS145に進み、クライアントアプリ30は発行された認証チケットを添付して印刷ジョブの登録をプリントサービスアプリ1113に要求する。プリントサービスアプリ1113は認証チケットと対応付けて印刷ジョブを登録する。プリントサービスアプリ1113は印刷ジョブの登録結果をクライアントアプリ30に返す。ステップS146に進み、クライアントアプリ30は例えば画面表示などによりユーザに印刷ジョブ登録完了を知らせる。
《印刷ジョブ実行》
簡易ディレクトリ認証を利用した印刷ジョブ実行処理は第1の実施形態と同様であるため説明を省略する。
(まとめ)
第2の実施形態に係る情報処理システム1000は、図20のシーケンス図に示したように、オンプレミス環境におけるアカウント情報により、サービス提供システム1014におけるユーザ情報を自動生成する。また、第2の実施形態に係る情報処理システム1000は、自動生成されたユーザ情報によりサービス提供システム1014へのログインを可能とする。したがって、第2の実施形態に係る情報処理システム1000は、ADFSやADFS Proxyを用いなくても、オンプレミス環境におけるアカウント情報を使用したID連携を容易に実現できる。
このように、第2の実施形態によればサービス提供システム1014が発行したテナント認証キーをクライアントアプリ30に設定し、そのテナント認証キーをサービス提供システム1014の利用時に利用できる。
本発明は、具体的に開示された上記の実施形態に限定されるものではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。クライアント端末1011は端末装置の一例である。認証チケットは資格情報の一例である。簡易ディレクトリ認証処理部11は認証手段の一例である。チケット発行部14は資格情報発行手段の一例である。ユーザ情報設定部12はユーザ情報設定手段の一例である。サービス利用権限設定部13はサービス利用権限設定手段の一例である。
11 簡易ディレクトリ認証処理部
12 ユーザ情報設定部
13 サービス利用権限設定部
14 チケット発行部
20 OS(オペレーティングシステム)
21 ログオン処理部
22 AD(アクティブディレクトリ)認証要求部
30 クライアントアプリ
31 印刷ジョブ登録処理部
32 簡易ディレクトリ認証要求部
40 文書作成ソフト
100 コンピュータ
101 入力装置
102 表示装置
103 外部I/F
103a、203a 記録媒体
104 RAM
105 ROM
106 CPU
107 通信I/F
108 HDD
201 コントローラ
202 操作パネル
203 外部I/F
204 通信I/F
205 プリンタ
206 スキャナ
211 CPU
212 RAM
213 ROM
214 NVRAM
215 HDD
1000 情報処理システム
1011 クライアント端末
1012 AD(アクティブディレクトリ)サーバ装置
1013 画像形成装置
1014 サービス提供システム
1101 アプリケーション
1102 共通サービス
1103 データベース
1104 管理
1105 業務
1106 プラットフォームAPI(Application Programming Interface)
1111 ポータルサービスアプリ
1112 スキャンサービスアプリ
1113 プリントサービスアプリ
1121 認証・認可部
1122 テナント管理部
1123 ユーザ管理部
1124 クライアント管理部
1125 ライセンス管理部
1126 機器管理部
1127 一時画像保存部
1128 ログ収集部
1130 画像処理ワークフロー制御部
1131 メッセージキュー
1132 ワーカー
1141 ログ情報記憶部
1142 テナント情報記憶部
1143 ユーザ情報記憶部
1144 ライセンス情報記憶部
1145 機器情報記憶部
1146 一時画像記憶部
1147 ジョブ情報記憶部
1148 クライアント情報記憶部
1150 アプリケーション固有の設定情報記憶部
B バス
FW ファイヤウォール
N1〜N2 ネットワーク
特表2015−518198号公報

Claims (12)

  1. 端末装置がサービスを利用するための資格情報を発行する情報処理装置であって、
    前記端末装置から組織情報、ドメイン情報、及び、オンプレミス環境におけるアカウント情報を含んだ認証要求を受け付け、前記組織情報と前記ドメイン情報とを対応付ける組織管理情報に、前記認証要求に含まれていた前記組織情報と前記ドメイン情報とが対応付けられていれば、前記組織情報により識別される組織に所属するユーザを前記オンプレミス環境におけるアカウント情報によりユーザ管理情報から検索する認証手段と、
    検索された前記ユーザに前記資格情報を発行する資格情報発行手段と、
    を有する情報処理装置。
  2. 前記認証手段が、前記組織情報により識別される組織に所属するユーザを、前記オンプレミス環境におけるアカウント情報により前記ユーザ管理情報から検索できなかった場合に、前記ユーザ管理情報に、前記オンプレミス環境におけるアカウント情報に対応する前記ユーザの情報を作成するユーザ情報設定手段、
    を更に有し、
    前記資格情報発行手段は、前記ユーザの情報が作成された前記ユーザに前記資格情報を発行すること
    を特徴とする請求項1記載の情報処理装置。
  3. 前記ユーザ情報設定手段は、
    前記認証手段が、前記組織情報により識別される組織に所属するユーザを、前記オンプレミス環境におけるアカウント情報により前記ユーザ管理情報から検索できた場合に、前記認証要求に含まれていた前記オンプレミス環境におけるアカウント情報に基づき、前記ユーザ管理情報における前記ユーザの情報を更新すること
    を特徴とする請求項2記載の情報処理装置。
  4. 前記ユーザの情報が作成された前記ユーザのサービス利用権限を権限管理情報に設定するサービス利用権限設定手段、
    を更に有することを特徴とする請求項1又は2記載の情報処理装置。
  5. 前記認証手段は、前記端末装置から組織情報、ドメイン情報、アプリ情報及び、オンプレミス環境におけるアカウント情報を含んだ認証要求を受け付けて、前記アプリ情報に基づいて認証を行い、前記アプリ情報の認証に失敗した場合、前記資格情報発行手段に前記資格情報を発行させないこと
    を特徴とする請求項1乃至4何れか一項記載の情報処理装置。
  6. 前記認証手段は、前記認証要求に含まれていた前記組織情報に基づいて認証を行い、前記組織情報の認証に失敗した場合、前記資格情報発行手段に前記資格情報を発行させないこと
    を特徴とする請求項1乃至5何れか一項記載の情報処理装置。
  7. 情報処理装置が発行した資格情報を用いて前記情報処理装置が提供するサービスを利用する端末装置であって、
    前記情報処理装置に組織情報、ドメイン情報、及び、オンプレミス環境におけるアカウント情報を含んだ認証要求を行い、前記組織情報と前記ドメイン情報とを対応付ける組織管理情報に、前記認証要求に含まれていた前記組織情報と前記ドメイン情報とが対応付けられていれば、前記情報処理装置の発行した前記資格情報を取得する認証要求手段と、
    取得した前記資格情報を用いて前記情報処理装置が提供するサービスを利用するサービス利用手段と、を有し、
    前記認証要求手段は、前記情報処理装置において前記ドメイン情報と対応付けて発行された前記組織情報が、前記端末装置に配置されていれば、前記情報処理装置に組織情報、ドメイン情報、及び、オンプレミス環境におけるアカウント情報を含んだ認証要求を行うこと
    を特徴とする端末装置。
  8. 前記認証要求手段は、前記情報処理装置において前記ドメイン情報と対応付けて発行された前記組織情報が、前記端末装置に配置されていなければ、前記情報処理装置におけるアカウント情報により認証要求を行うこと
    を特徴とする請求項7記載の端末装置。
  9. 端末装置がサービスを利用するための資格情報を発行する情報処理装置を、
    前記端末装置から組織情報、ドメイン情報、及び、オンプレミス環境におけるアカウント情報を含んだ認証要求を受け付け、前記組織情報と前記ドメイン情報とを対応付ける組織管理情報に、前記認証要求に含まれていた前記組織情報と前記ドメイン情報とが対応付けられていれば、前記組織情報により識別される組織に所属するユーザを前記オンプレミス環境におけるアカウント情報によりユーザ管理情報から検索する認証手段、
    検索された前記ユーザに前記資格情報を発行する資格情報発行手段、
    として機能させるためのプログラム。
  10. 情報処理装置が発行した資格情報を用いて前記情報処理装置が提供するサービスを利用する端末装置を、
    前記情報処理装置に組織情報、ドメイン情報、及び、オンプレミス環境におけるアカウント情報を含んだ認証要求を行い、前記組織情報と前記ドメイン情報とを対応付ける組織管理情報に、前記認証要求に含まれていた前記組織情報と前記ドメイン情報とが対応付けられていれば、前記情報処理装置の発行した前記資格情報を取得する認証要求手段、
    取得した前記資格情報を用いて前記情報処理装置が提供するサービスを利用するサービス利用手段、として機能させ、
    前記認証要求手段は、前記情報処理装置において前記ドメイン情報と対応付けて発行された前記組織情報が、前記端末装置に配置されていれば、前記情報処理装置に組織情報、ドメイン情報、及び、オンプレミス環境におけるアカウント情報を含んだ認証要求を行うこと
    を特徴とするプログラム。
  11. 1台以上の情報処理装置を含む情報処理システムであって、
    サービスを利用するための資格情報を指定して要求を行った端末装置にサービスを提供するアプリケーション手段と、
    前記端末装置から組織情報、ドメイン情報、及び、オンプレミス環境におけるアカウント情報を含んだ認証要求を受け付け、前記組織情報と前記ドメイン情報とを対応付ける組織管理情報に、前記認証要求に含まれていた前記組織情報と前記ドメイン情報とが対応付けられていれば、前記組織情報により識別される組織に所属するユーザを前記オンプレミス環境におけるアカウント情報によりユーザ管理情報から検索する認証手段と、
    検索された前記ユーザに前記資格情報を発行する資格情報発行手段と、
    を有する情報処理システム。
  12. 1台以上の情報処理装置と、前記情報処理装置が発行した資格情報を用いて前記情報処理装置が提供するサービスを利用する端末装置と、を含む情報処理システムであって、
    前記資格情報を用いて前記情報処理装置が提供するサービスを利用するサービス利用手段と、
    前記サービスを利用するための資格情報を指定して要求を行った前記端末装置にサービスを提供するアプリケーション手段と、
    前記情報処理装置に組織情報、ドメイン情報、及び、オンプレミス環境におけるアカウント情報を含んだ認証要求を行う認証要求手段と、
    前記端末装置から組織情報、ドメイン情報、及び、オンプレミス環境におけるアカウント情報を含んだ認証要求を受け付け、前記組織情報と前記ドメイン情報とを対応付ける組織管理情報に、前記認証要求に含まれていた前記組織情報と前記ドメイン情報とが対応付けられていれば、前記組織情報により識別される組織に所属するユーザを前記オンプレミス環境におけるアカウント情報によりユーザ管理情報から検索する認証手段と、
    検索された前記ユーザに前記資格情報を発行する資格情報発行手段と、
    を有する情報処理システム。
JP2016016470A 2015-11-25 2016-01-29 情報処理装置、端末装置、プログラム及び情報処理システム Active JP6638430B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
US15/352,758 US10291620B2 (en) 2015-11-25 2016-11-16 Information processing apparatus, terminal apparatus, program, and information processing system for collaborative use of authentication information between shared services
JP2019235643A JP6927282B2 (ja) 2015-11-25 2019-12-26 情報処理装置、端末装置、プログラム及び情報処理システム

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2015230019 2015-11-25
JP2015230019 2015-11-25

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2019235643A Division JP6927282B2 (ja) 2015-11-25 2019-12-26 情報処理装置、端末装置、プログラム及び情報処理システム

Publications (2)

Publication Number Publication Date
JP2017102882A JP2017102882A (ja) 2017-06-08
JP6638430B2 true JP6638430B2 (ja) 2020-01-29

Family

ID=59016752

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2016016470A Active JP6638430B2 (ja) 2015-11-25 2016-01-29 情報処理装置、端末装置、プログラム及び情報処理システム
JP2019235643A Active JP6927282B2 (ja) 2015-11-25 2019-12-26 情報処理装置、端末装置、プログラム及び情報処理システム

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2019235643A Active JP6927282B2 (ja) 2015-11-25 2019-12-26 情報処理装置、端末装置、プログラム及び情報処理システム

Country Status (1)

Country Link
JP (2) JP6638430B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7188092B2 (ja) * 2019-01-08 2022-12-13 株式会社リコー 情報処理装置、情報処理システム、情報処理方法及び情報処理プログラム
JP2022023547A (ja) 2020-07-27 2022-02-08 株式会社リコー 認証システム、ユーザ情報抽出装置、ユーザ情報移行方法およびプログラム

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012181662A (ja) * 2011-03-01 2012-09-20 Nomura Research Institute Ltd アカウント情報連携システム
JP5918557B2 (ja) * 2012-02-07 2016-05-18 株式会社Hde ネットワークシステム
JP6255858B2 (ja) * 2012-10-31 2018-01-10 株式会社リコー システム及びサービス提供装置
JP6094152B2 (ja) * 2012-11-08 2017-03-15 株式会社リコー 情報処理装置、情報処理システム、情報処理方法、及びプログラム
JP6085949B2 (ja) * 2012-11-08 2017-03-01 株式会社リコー 情報処理システム、機器、情報処理方法、及びプログラム
JP6048152B2 (ja) * 2013-01-10 2016-12-21 株式会社リコー 認証管理装置、認証システム、認証管理方法およびプログラム
JP6248641B2 (ja) * 2014-01-15 2017-12-20 株式会社リコー 情報処理システム及び認証方法
JP6390123B2 (ja) * 2014-03-11 2018-09-19 株式会社リコー 情報処理システム及び認証情報提供方法
JP2015176482A (ja) * 2014-03-17 2015-10-05 株式会社リコー 情報処理装置、情報処理システム、情報処理方法、及びプログラム

Also Published As

Publication number Publication date
JP2020064660A (ja) 2020-04-23
JP2017102882A (ja) 2017-06-08
JP6927282B2 (ja) 2021-08-25

Similar Documents

Publication Publication Date Title
JP6318940B2 (ja) サービス提供システム、データ提供方法及びプログラム
US9923889B2 (en) Data processing system, data processing apparatus and log in method
JP6056384B2 (ja) システム及びサービス提供装置
JP6550692B2 (ja) サービス提供システム、ログ情報提供方法及びプログラム
JP6390123B2 (ja) 情報処理システム及び認証情報提供方法
US10291620B2 (en) Information processing apparatus, terminal apparatus, program, and information processing system for collaborative use of authentication information between shared services
JP6248641B2 (ja) 情報処理システム及び認証方法
JP2017033339A (ja) サービス提供システム、情報処理装置、プログラム及びサービス利用情報作成方法
JP2014153805A (ja) 情報処理システム、情報処理装置、認証方法及びプログラム
JP6183035B2 (ja) サービス提供システム、サービス提供方法及びプログラム
US9661184B2 (en) Data processing system and data processing method for authenticating user by utilizing user list obtained from service providing apparatus
JP6582841B2 (ja) サービス提供システム、情報処理装置、プログラム及び情報処理システム
JP6927282B2 (ja) 情報処理装置、端末装置、プログラム及び情報処理システム
JP6716899B2 (ja) 情報処理システム、情報処理装置及びプログラム
JP6303312B2 (ja) サービス提供システム及び画像提供方法
JP6447766B2 (ja) サービス提供システム、データ提供方法及びプログラム
JP6205946B2 (ja) サービス提供システム、情報収集方法及びプログラム
JP6237868B2 (ja) クラウドサービス提供システム及びクラウドサービス提供方法
JP6569786B2 (ja) 情報処理システム、情報処理方法、サービス利用装置、及びプログラム
JP6747047B2 (ja) 情報処理システム、ログイン方法、情報処理装置及びプログラム
JP6299101B2 (ja) サービス提供システム、サービス提供方法及びプログラム
JP6844666B2 (ja) 情報処理システム、情報処理方法、サービス利用装置、及びプログラム
JP7120357B2 (ja) 情報処理システム、情報処理方法、サービス利用装置、及びプログラム
JP2015028740A (ja) サービス提供システム、サービス提供方法及びプログラム
JP2015146147A (ja) サービス提供システム、情報処理装置、画像提供方法及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190115

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20191016

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20191126

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20191209

R151 Written notification of patent or utility model registration

Ref document number: 6638430

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151