JP6682254B2 - 認証連携システム及び認証連携方法、認可サーバー及びプログラム - Google Patents

認証連携システム及び認証連携方法、認可サーバー及びプログラム Download PDF

Info

Publication number
JP6682254B2
JP6682254B2 JP2015239750A JP2015239750A JP6682254B2 JP 6682254 B2 JP6682254 B2 JP 6682254B2 JP 2015239750 A JP2015239750 A JP 2015239750A JP 2015239750 A JP2015239750 A JP 2015239750A JP 6682254 B2 JP6682254 B2 JP 6682254B2
Authority
JP
Japan
Prior art keywords
authorization token
information
authorization
token
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015239750A
Other languages
English (en)
Other versions
JP2017107343A (ja
JP2017107343A5 (ja
Inventor
貴彦 西田
貴彦 西田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2015239750A priority Critical patent/JP6682254B2/ja
Priority to US15/364,916 priority patent/US9985962B2/en
Priority to CN201611101535.3A priority patent/CN106856476B/zh
Priority to KR1020160165710A priority patent/KR102074030B1/ko
Priority to EP16202820.3A priority patent/EP3179399B1/en
Publication of JP2017107343A publication Critical patent/JP2017107343A/ja
Publication of JP2017107343A5 publication Critical patent/JP2017107343A5/ja
Application granted granted Critical
Publication of JP6682254B2 publication Critical patent/JP6682254B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • G06F21/335User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • G06F21/445Program or device authentication by mutual authentication, e.g. between devices or programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/367Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
    • G06Q20/3674Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes involving authentication
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F17/00Coin-freed apparatus for hiring articles; Coin-freed facilities or services
    • G07F17/26Coin-freed apparatus for hiring articles; Coin-freed facilities or services for printing, stamping, franking, typing or teleprinting apparatus
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2105Dual mode as a secondary aspect
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Accessory Devices And Overall Control Thereof (AREA)

Description

本発明は、たとえばクラウドサービスにおけるサービスとローカルサービスとの認証連携システム及び認証連携方法、認可サーバー及びプログラムに関する。
近年、サーバーをインターネットに公開しクライアントにサービスを提供するクラウドコンピューティングサービス(或いはクラウドサービス)の形態が注目を集めている。クラウドコンピューティングサービスは、多くのコンピューティング・リソースを用いてデータ変換やデータ処理を分散実行し、多くのクライアントからの要求を分散並列処理により並行して処理することが主な特徴である。現在、このクラウドコンピューティングサービスを実現するクラウドコンピューティングサービス環境上にWebサービスを実装し、多種多様なサービスをWeb上で提供するベンダーが乱立しつつある。クラウドサービスの開発において、すでにWeb上に多く提供されているサービスを有効活用し新しい機能を提供することで、開発スピードや開発コストの面で優位になる。一方で事業者等は従来自らがサーバー等を保有し、運用する自社運用システム(以下、オンプレミスシステムとも呼ぶ。)が数多く運用されている。すべての社内システムをまとめてクラウドサービスに移行することは難しく、その結果、一部のオンプレミスシステムから段階的にクラウドサービスに移行するなど、オンプレミスサービスとクラウドサービスを連携させ両方を利用するユーザーが増えてきている。
オンプレミスサービスとクラウドサービスを連携する場合、従来のオンプレミスのようなローカル認証(LDAPなど)とクラウドの認証とが異なるため、シングルサインオン(Single Sign On、以下SSOとも呼ぶ)が強く望まれる。従来技術ではオンプレミスのローカル認証をクラウドサービスに構築されたローカル認証サービスに同期し、クラウドサービスとオンプレミスのログインサービスの両方にログインすることでユーザーIDプロビジョニングを開始する。たとえばユーザーID等、ユーザーアカウントに関する情報の生成や保守などの管理を開始する。その後、ユーザーはクラウドサービスのローカル認証サービスにVPNを使ってログインすると、ユーザーに紐づいたクレデンシャル情報でクラウドサービスにもログインできる(例えば、特許文献1参照。)。
特表2015-518198号公報
しかしながら、ローカル認証とクラウドサービス認証を連携するために全ユーザーのIDプロビジョニングが必要であり、またユーザーの増減のたびにIDプロビジョニングをメンテナンスする必要があるためユーザー管理の運用コストが高くなってしまうという課題があった。
本発明は上記従来例に鑑みて成されたもので、ローカル認証とクラウドサービス認証との間でユーザーIDプロビジョニングする必要がない認証連携システム及び認証連携方法、認可サーバー及びプログラムを提供することを目的とする。
上記目的を達成するために本発明は以下の構成を有する。
第1の側面によれば、本発明は、ユーザーが認可操作を行ったことでアプリケーションサーバーを利用する権限がクライアントデバイスに委譲され、委譲されたことで発行された第1の認可トークンを代表トークン情報として登録する前記クライアントデバイスから、前記代表トークン情報およびローカルユーザー情報とともに認可トークン生成リクエストを受信する手段と、
前記認可トークン生成リクエストとともに受信した前記代表トークン情報に基づいた認証が成功した場合には、前記クライアントデバイスに対して第2の認可トークンを応答し、前記認可トークン生成リクエストとともに受信したローカルユーザー情報を前記第2の認可トークンと関連付けた認可トークン情報を生成して格納する手段と、
前記クライアントデバイスから前記第2の認可トークンとともに処理リクエストを受けた前記アプリケーションサーバーから、前記第2の認可トークンを含む認可トークン検証リクエストを受信し、受信した前記第2の認可トークンと前記認可トークン情報とに基づいた認可トークンの検証が成功した場合には、前記認可トークン情報に含まれる前記ローカルユーザー情報を前記アプリケーションサーバーへ応答する応答手段と
を有することを特徴とする認可サーバーにある。
第2の側面によれば、本発明は、認可サーバーとアプリケーションサーバーとクライアントデバイスとを含む認証連携システムであって、
前記クライアントデバイスは、
ユーザーが認可操作を行ったことでアプリケーションサーバーを利用する権限が委譲され、委譲されたことで発行された第1の認可トークンを代表トークン情報として格納し、
前記認可サーバーに対して、ログインしたユーザーのローカルユーザー情報および前記代表トークン情報とともに認可トークン生成リクエストを送信し、
前記認可トークン生成リクエストに応じて第2の認可トークンを受信した場合、前記第2の認可トークンとともに、処理のリクエストをアプリケーションサーバーに送信し、
前記認可サーバーは、
前記クライアントデバイスから、前記代表トークン情報およびローカルユーザー情報とともに前記認可トークン生成リクエストを受信し、
前記認可トークン生成リクエストとともに受信した前記代表トークン情報に基づいた認証が成功した場合には、前記クライアントデバイスに対して前記第2の認可トークンを応答し、前記認可トークン生成リクエストとともに受信したローカルユーザー情報を前記第2の認可トークンと関連付けた認可トークン情報を生成して格納し、
前記クライアントデバイスから前記第2の認可トークンとともに処理リクエストを受けた前記アプリケーションサーバーから、前記第2の認可トークンを含む認可トークン検証リクエストを受信し、受信した前記第2の認可トークンと前記認可トークン情報とに基づいた認可トークンの検証が成功した場合には、前記認可トークン情報に含まれる前記ローカルユーザー情報を前記アプリケーションサーバーへ応答し、
前記アプリケーションサーバーは、
前記クライアントデバイスから前記第2の認可トークンとともに処理のリクエストを受信すると、前記認可サーバーに対して前記認可トークン検証リクエストを送信し、前記認可トークン検証リクエストが成功した応答として、前記第2の認可トークンと関連付けられた前記ローカルユーザー情報を含む前記認可トークン情報を受信し、
前記ローカルユーザー情報で示されるユーザーまたは前記クライアントデバイスに対して前記処理のリクエストを処理することを特徴とする認証連携システムにある。
本発明によれば、ローカル認証とクラウドサービス認証との間でIDプロビジョニングする必要もないため運用負荷を下げることができる。
システム構成図 各装置のハードウェア構成図 プリンター認可フローを示す図 ユーザー認可画面を示す図 認証印刷フローを示す図 認可トークン発行フローを示す図 認可トークン利用フローを示す図 各装置のソフトウェア構成図 (a)ローカル認証サーバーで管理するテーブル構造を示す図、(b)(c)プリンターで管理するテーブル構造を示す図、(d)(e)認可サーバーで管理するテーブル構造を示す図 データ変換サーバーで管理するテーブル構造を示す図 ストレージサーバーで管理するテーブル構造を示す図
以下、本発明を実施するための形態について図面を用いて説明する。
[実施形態1]
<システム構成>
図1は、本発明の実施形態に係る認証連携システムを含むモバイル印刷システムの全体構成を示す図である。
図において、クライアント端末102、プリンター103は、ローカルネットワーク101を介して1台又は複数台接続されている。クライアント端末102は、ローカルネットワーク101を介してインターネットワーク100にアクセスし、サーバー104〜109にアクセスすることができる。モバイル端末102は有線または無線LANを介してネットワークに接続する。
セキュリティドメイン110〜112は認証・認可されたユーザーのアクセス可能範囲を示しておりセキュリティドメインを越えて認証・認可したユーザーや認可トークンを利用することはできない。ローカル認証セキュリティドメイン110はローカル認証サーバー104で認証されたユーザーでアクセス可能な範囲を示しており、業務サーバー105が属する。帳票サービスセキュリティドメイン111は認可サーバー106で発行された認可トークンでアクセス可能な範囲を示しており、帳票サーバー107やデータ変換サーバー108が属する。ストレージサービスセキュリティドメイン112は不図示のストレージサービスセキュリティドメイン認可サーバーで発行された認可トークンでアクセス可能な範囲を示しており、ストレージサーバー109が属する。図1においては、ローカル認証セキュリティドメイン110がオンプレミスシステムであり、帳票サービスセキュリティドメイン111およびストレージサービスセキュリティドメイン112がクラウドシステムに相当する。
ローカル認証サーバー104は業務サーバー105へアクセスするためのユーザー認証を実現するためのサーバーである。ユーザーはローカル認証サーバー104で認証されることで業務サーバー105にアクセスすることができる。ローカル認証方式としてLDAPが用いられることが多いが、本実施形態ではユーザー名、パスワード、ドメインの一致を確認するのみの簡易的な認証方式とする。これは説明の便宜であって、ユーザーごとに固有の認証情報を用いてユーザー認証を行う他の認証方式についても本実施形態の発明を適用することができる。
業務サーバー105はユーザー業務情報を管理するサーバーである。本実施形態では販売する製品を業務サーバー105で顧客毎に管理し、販売員が業務サーバー105の情報を用いて顧客に対して営業を行うユースケースを想定している。業務サーバー105はクライアント端末102からのリクエストに応じてユーザー業務情報を表示・編集するための画面を提供する。認可サーバー106はOAuthを実現するためのサーバーでありクライアント情報の管理や認可トークンの発行・管理を行う。帳票サーバー107は業務サーバー105からユーザー業務情報を受け取り、帳票テンプレートにユーザー業務情報を反映させて帳票PDFを生成し管理するサーバーである。そして帳票サーバー107は生成した帳票PDFをデータ変換サーバー108に保存するリクエストを行う。データ変換サーバー108は、帳票サーバー107から帳票PDF保存リクエストを受け付け、帳票PDFデータを保存し管理するとともに、プリンター103からの印刷データ変換リクエストを受け付け印刷データの生成、管理を行う。ストレージサーバー109はファイル管理を行うサーバーであり、プリンター103、帳票サーバー107、データ変換サーバー108からのファイルアップロード/ダウンロードを受け付ける。なお、OAuthは、ユーザーの権限をそのユーザーの同意を前提としてサービス間で安全に受け渡す(すなわち委譲する)ための仕組みであり、その仕組みを実現するサーバーが認可サーバー106である。たとえばOAuthによりユーザーが第1のサーバーで許諾された権限の全部または一部を第2のサーバーに委譲することで、第2のサーバーは、そのユーザーの権限の範囲内で第1のサーバーによるサービスを受けることができる。OAuthによれば、ユーザーは、第1のサーバーにログインするための認証情報を第2のサーバーに教える必要がない。
ここで、サーバー106〜109の各サーバーはそれぞれ複数台のサーバーで冗長化されたクラウドサービスとしてインターネット上に公開されるが、本実施形態では説明を簡略化するため、それぞれ1台構成としている。またローカル認証サーバー104と業務サーバー105も複数台のサーバーで冗長化された構成をとることもできるが、本実施例では説明を簡略化するため、それぞれ1台構成としている。なお、クラウドサービスを実現する各サーバーのうち、認可サーバー106とストレージサーバー109とを除いた、クライアントに対してアプリケーションを提供するためのサーバー)をまとめてアプリケーションサーバーと呼ぶこともある。
また、本実施形態では、プリンター103がデータ変換サーバー108に保存されている帳票PDFを印刷する方法について説明する。業務サーバー105のデータを使用して帳票サーバー107での帳票PDF生成し、帳票サーバー107からデータ変換サーバー108への帳票PDFの保存が済んでいるものとする。
<クライアント端末102、サーバー104〜109のハードウェア構成>
図2(a)は、クライアント端末102とサーバー104〜109の各サーバーのハードウェア構成の一例を示す図である。特に断らない限り、本実施形態に係る発明の機能が実行可能であるならば、単体の機器であっても、複数の機器からなるシステムであっても、本実施形態に係る発明が適用できることは言うまでもない。また、特に断らない限り、本実施形態に係る発明の機能が実行可能であるならば、LAN、WAN等のネットワークを介して接続が為され、処理が行われるシステムであっても本実施形態に係る発明を適用できることは言うまでもない。本実施形態ではシステムバス219により各構成要素が接続されているものとして説明する。
CPU220は情報処理装置の制御装置であり、記憶装置226に格納されているアプリケーションプログラム、プリントドライバプログラム、オペレーティングシステムや本実施形態のプリントシステムプログラムを実行する。また、CPU220はRAM222にプログラム実行に必要な情報、ファイル等を一時的に格納する制御を行う。また、CPU220はディスプレイ227上の不図示マウスカーソル等で指示されたコマンドに基づいて登録された種々のウインドウを開き、種々のデータ処理を実行する。ROM221は固定された情報を記憶するROMであり、内部には基本I/Oプログラム等のプログラム、文書処理の際に使用するフォントデータ、テンプレート用データ等の各種データを記憶する。RAM222は情報を一時記憶するRAMであり、CPU220の主メモリやワークエリア等として機能する。表示制御部224は、ディスプレイ227にて出力する情報の制御を行っている。入力制御部225は、キーボード228より入力される情報を制御し、情報処理装置は入力制御部225を介して外部装置とのデータのやり取りを行う。記憶装置226は外部記憶の一つで、大容量メモリとして機能し、アプリケーションプログラム、プリントドライバプログラム、OS等を格納している。キーボード228は指示入力部であり、ユーザーが各サーバーへの指示等を入力指示するためのものである。ディスプレイ227は表示部であり、キーボード228から入力したコマンド等を表示するものである。ネットワークコントローラ223は、インターネットへ直接的または間接的に接続するためのネットワークインターフェース部である。
また、クライアント端末102は、例えば、デスクトップパソコン、ノートパソコン、モバイルパソコン、PDA(パーソナルデータアシスタント)等から成り、Webブラウザー等のプログラムを実行する環境が内蔵されている。クライアント端末102にインストールされたWebブラウザーは図2(a)で示した記憶装置226に記憶されており、前述したようにCPU220によってRAM222にロードされ実行される。
<プリンター103のハードウェア構成>
図2(b)は、プリンター103のハードウェア構成図である。ハードウェアの各構成要素は、システムバス230に接続されている。CPU231は装置全体の制御を行って、システムバス230に接続される各種デバイスとのアクセスを統括的に制御する。この制御は、ROM232に記憶された制御プログラム等あるいはディスクコントローラ(DKC235)を介して接続された外部メモリ236に記憶された制御プログラムやリソースデータ(資源情報)等に基づく。RAM233は、CPU231の主メモリ、ワークエリア等として機能するRAMで、図示しない増設ポートに接続されるオプションRAMによりメモリ容量を拡張することができるように構成されている。記憶装置240は大容量メモリとして機能する外部記憶装置である。操作パネル(操作部)239は、画面を表示し、また、画面を介したユーザーの操作指示を受け付ける。また、プリンター103の動作モード等の設定やプリンター103の動作状況の表示や、印刷するコンテンツデータを指定する等の操作を行うためのボタンおよび液晶パネル等の表示部も配置される。ネットワークコントローラ234は、ネットワークインターフェースカード(NIC)であり、該インターフェース234を介して外部装置とのデータのやり取りを行う。なお、図2(b)で示したプリントエンジン238は既知の印刷技術を利用するものであり、好適な実施系として例えば電子写真方式(レーザービーム方式)やインクジェット方式、昇華方(熱転写)方式等が挙げられる。ラスタコントローラ237は、PDL言語である印刷データを画像データに変換するコントローラである。機器I/F241は、USB等で接続可能な外部機器との接続I/Fである。本実施形態では、機器I/F241に、ICカードリーダー242が接続されており、ICカードに含まれるユーザー情報等を非接触で読み込み、プリンター103上で動作するアプリケーションプログラムが読み取った情報を利用することができるものである。
<ローカル認証サーバー104のソフトウェア構成>
次に、本実施例を実施するために必要な図1に図示される各サーバー、プリンターのソフトウェア構成と、夫々が扱う管理情報について説明する。ローカル認証サーバー104は認証I/F1041、認証情報管理部1042、ローカル認証情報300を格納するストレージを含む。各ソフトウェアモジュールは図2(a)で示した記憶装置226に記憶されており、前述したようにCPU220によってRAM222にロードされ実行される。認証I/F1041はローカル認証サーバー104の各種インターフェースを提供し、受け付けた情報の妥当性の検証を行う。認証情報管理部1042は図9で説明するローカル認証情報300を管理し、認証I/Fが受け付けたリクエストに応じて、ユーザー認証の成否を応答する。 図9に示すローカル認証情報300はローカル認証サーバー104が外部メモリに記憶するデータテーブルである。これらのデータテーブルは、ローカル認証サーバー104のストレージではなく、インターネット100やローカルネットワーク101を介して通信可能に構成された別のサーバーに記憶するように構成することもできる。ローカル認証サーバー104が保持するデータテーブルはローカル認証情報300を含む。ローカル認証情報300は、業務サーバー105にアクセス可能なユーザーのユーザー情報としてドメイン名(ドメイン識別情報)301、ユーザー名(ユーザー識別情報)302、パスワード303を含む。ローカル認証サーバー104は、ローカル認証の対象となるユーザーにより入力されたユーザー認証情報と、ローカル認証情報300として登録されたユーザー認証情報の一致によりユーザーを認証する。ローカル認証情報300は、ローカル認証セキュリティドメイン110内でローカルに通用する認証情報である。
<プリンターのソフトウェア構成>
プリンター103は、ログインアプリケーション1031、認可サーバー連携クライアント1032、プルプリントアプリケーション1033を含む。、各ソフトウェアモジュールは、図2で示した記憶装置240に記憶されており、CPU231によってRAM33にロードされ実行される。なお以下の説明ではアプリケーションを「アプリ」と略称する。
ログインアプリ1031は、ローカル認証サーバー104と連携し、ローカルセキュリティドメイン110における認証を行う。ログインアプリ1031は、ICカードリーダー242からのログインするユーザーのユーザー認証情報(ユーザー情報とも呼ぶ。)の入力を受け付ける。そして、ローカル認証サーバー104に対して、ユーザー情報の妥当性の検証すなわちユーザー認証をリクエストする。ログインアプリ1031は、ローカル認証サーバー104からユーザー情報情報の検証が成功した、すなわちユーザー認証に成功したとの応答を受けた場合には、プルプリントアプリ1033に対してログインしたユーザーのユーザー情報を渡す。
認可サーバー連携クライアント1032は、OAuthの仕組みを利用して認可サーバー106と連携することで、プリンター103に対して、帳票サービスセキュリティドメイン111における権限の移譲を行う。本実施形態において、認可サーバー連携クライアント1032は、代表トークン400、認可サーバー情報410を保持し、管理する。代表トークンの例は図9に示す。認可サーバー情報410は、認可サーバー連携クライアント1032が認可サーバー106を特定するための情報であり、例えば認可サーバー106のURLなどである。認可サーバー情報410は、認可サーバー連携クライアント1032に例えばユーザーなどにより設定されている。
プルプリントアプリ1033は、データ変換サーバー108に対して認証印刷に係るリクエストの送信と、ストレージサーバー109からの印刷データの取得、プリントエンジン238への印刷データの転送を行い、印刷を実行する。プルプリントアプリ1033は、認可トークン情報420と、ローカル認証連携情報430を保持し、管理する。ローカル認証連携情報430は、プルプリントアプリ1033が予め保持しており、ローカル認証セキュリティドメイン110との連携をするか否かをtrue/falseで示す。図9(b)代表トークン情報400については、図9(b)に、認可サーバー連携クライアント1032が保持する代表トークン情報400の例を示す。代表トークン情報400は、認可サーバー106のクライアント情報500に登録されているクライアントが発行した認可トークンの情報で、顧客テナントを代表するクライアントに紐づく認可トークンの情報である。認可トークンID401は認可トークンを一意に識別可能な識別子である。クライアントID402、テナントID403それぞれは、当該認可トークンを発行した際の認可サーバー106のクライアント情報500で管理されるクライアントのクライアントID、テナントIDである。
認可サーバー連携クライアント1032は、この代表認可トークン情報400を使用することで、認可サーバー106に対して、認可トークンの発行の要求を行うことができる。本実施形態では、後述のユーザー認可設定フローにおいて、テナントIDがuser_tenant1である顧客テナントの、クライアントIDがclient0001である代表クライアントによる認可トークン生成リクエストに対して発行した認可トークン情報が、代表認可トークン情報400として登録される。
図9(c)には、プルプリントアプリが管理し、データ変換サーバー108へのリクエストの際に付加する認可トークン情報420の例を示す。
後述の認証印刷フローの中で、プルプリントアプリ1033からのリクエストに従って、認可サーバー連携クライアント1032が代表トークン情報400を使用して認可サーバー106に認可トークン生成リクエストを送信する。認可トークン情報420は、その認可トークン生成リクエストに応じて発行される認可トークンと、ローカル認証セキュリティドメイン110のユーザーとを関連付けた情報である。換言すれば、クラウドサービスのクライアントと、ローカルサービスのユーザーとを紐づけた情報であるともいえる。図9(c)において、認可トークンID421は、認可トークンを一意に識別可能な識別子である。ユーザー名422、ドメイン名423はそれぞれ、ローカル認証サーバー105で管理される、ICカード認証によってログインアプリ1031からプルプリントアプリ1033が受け取ったローカル認証情報300に含まれるユーザー識別情報およびドメイン識別情報である。プルプリントアプリ1033は、認可サーバー連携クライアント1032から取得した認可トークンと、ログインアプ1031リから受け取ったログイン中のユーザー情報とを、トークン情報420によって紐付けて保持する。
<認可サーバー106のソフトウェア構成>
認可サーバー106はWebサーバー1061、認可情報管理部1062、クライアント情報500と認可トークン情報510とを格納するストレージを有している。各ソフトウェアモジュールは図2(a)で示した記憶装置226に記憶されており、前述したようにCPU220によってRAM222にロードされ実行される。Webサーバー1061は認可サーバー106の各種インターフェースを提供し、受け付けた情報の妥当性の検証を行う。認可情報管理部1062はユーザー情報500と認可トークン情報510を管理し、Webサーバー1061が受け付けたリクエストに応じて、認可トークンの発行・スコープ確認・有効期限確認などを行う。
図9(d)に、データベースに保存されているユーザー情報500の例を示す。
クライアント情報500は、サーバー106〜108にアクセス可能なクライアント情報が登録されている。本実施形態においてクライアント情報500には、プリンター103の情報がクライアントとして登録されている。クライアントIDは、クライアントを一意に識別する識別子である。シークレットは、ユーザーの正当性を判断するためのパスワードである。認可サーバー106は、クライアントから受信したクライアントIDとパスワードの組と、クライアント情報のクライアントID501とシークレット502の組との一致によりクライアントを特定する。スコープ503は、OAuthのスコープであり認可サーバー106が発行する認可トークンでアクセス可能な範囲を示す。本実施形態のスコープの種類はPrintを定義する。Printスコープは、プリンター103がデータ変換サーバー108のインターフェースにアクセスする際に必要なスコープである。テナントID504は、顧客テナントを一意に識別する識別子である。本実施形態では、テナントIDがuser_tenant1である顧客テナントの代表ユーザーとして、IDがuser0001のユーザーが定義し登録されている。
図9(e)に、データベースに保存されている認可トークン情報510の例を示す。
認可トークン情報510は、認可サーバー106により認可トークン生成リクエストを受け付けた際に生成される。1つのリクエストについて1レコードが生成される。認可トークン511は認可トークンを一意に識別可能な識別子である。有効期限512は、認可トークンの有効期限であり認可トークン生成リクエスト受信時間から一定時間後の値が登録される。有効期限を過ぎた認可トークンは無効である。スコープ513は認可トークンが利用可能なスコープであり、認可サーバー106への認可トークン生成リクエストで渡されるスコープが登録される。クライアントID514、テナントID515は夫々、認可サーバー106への認可トークン生成リクエストで渡されるクライアントID、テナントIDが登録される。アプリケーションIDはクライアントが複数アプリケーションで利用される場合に各アプリケーションを識別する識別子である。アプリケーションIDは認可サーバー106への認可トークン生成リクエストでアプリケーションIDが渡された場合に登録される。認可サーバー106への認可トークン生成リクエストでアプリケーションIDが渡されなかった場合は登録されない。本実施形態ではプリンター103から認可サーバー106への認可トークン生成リクエストにおいてアプリケーションIDにローカルユーザー情報(ユーザー名@ドメイン名)が指定され、アプリケーションID515として登録される。なお図3に示されたローカル認証情報からパスワードを除いたユーザー名とドメイン名とを含む情報をローカルユーザー情報と呼ぶことにする。
<データ変換サーバー108のソフトウェア構成>
データ変換サーバー108は、Webサーバー1081、データ変換部1082、データ変換情報管理部1083、文書情報700、データ変換情報710、テナント設定情報720を格納するストレージを有する。各ソフトウェアモジュールは図2(a)で示した記憶装置226に記憶されており、前述したようにCPU220によってRAM222にロードされ実行される。Webサーバー1081はデータ変換サーバー108の各種インターフェースを提供し、受け付けた情報の妥当性の検証を行う。そして認可サーバー106に対して認可トークン検証リクエストや認可トークン情報取得リクエストを行う。データ変換部1082は、プリンター103からのリクエストに応じて、文書情報700として管理される帳票PDFをプリンター103で解釈可能な印刷データに変換を行う。データ変換情報管理部1083は、帳票サーバー107によってストレージサーバー109に保存された帳票PDFを文書情報700として管理するとともに、データ変換部1082で生成した印刷データをデータ変換情報710として管理する。さらに、データ変換情報管理部1083は、テナント設定情報720を管理し、Webサーバーが受け付けた印刷データ生成リクエストに応じて、データ変換部1081で印刷データを生成する。
図10(a)に、データベースに保存されている文書情報700の例を示す。文書情報700は、データ変換サーバー108により帳票PDF保存リクエスト受信時に生成される。1つのリクエストについて1レコードが生成される。文書ID701は、データ変換サーバー108が帳票PDF保存リクエストを受信した際に発行する、文書を一意に識別する識別子である。テナントID702は、帳票PDF保存リクエストした要求元のテナントのテナントIDすなわち一意に識別するための識別子であり、ユーザーID703は、帳票PDF保存リクエストした要求元のテナントのユーザーのユーザーIDである。ユーザーID703には、認可サーバー106で管理されるクライアントIDやローカル認証サーバー104で管理されるローカルユーザー情報(ユーザー名302@ドメイン名301)が登録される。文書URLは帳票PDFが保存されているストレージサーバー109のURLパスである。
図10(b)に、データベースに保存されているデータ変換情報710の例を示す。
データ変換情報710は、データ変換サーバー108により印刷データ生成リクエスト受信時に生成される。1つのリクエストについて1レコードが生成される。データ変換ID711は、データ変換サーバー108が印刷データ生成リクエストを受信した際に発行する、データ変換処理を一意に識別する識別子である。テナントID712、ユーザーID713は、データ変換サーバー108が印刷データ生成リクエスト受信時に生成する、データ変換対象の文書情報700のテナントID701、ユーザーID703とそれぞれ同じ値である。データURLは、データ変換サーバー108が生成する印刷データの保存先であるストレージサーバー109のURLである。なお、データ変換情報710には文書IDのフィールドをさらに含めて、文書情報700との関連付けを行ってもよい。
図9(c)に、データベースに保存されているテナント設定情報720の例を示す。テナント設定情報720はデータ変換サーバー108におけるテナント毎の設定情報である。テナントID721の設定としてローカル認証連携モードを保持する。ローカル認証連携モードはローカル認証セキュリティドメイン110との連携をするか否かをtrue/falseで示す。たとえばtrueは連携することを、falseは連携しないことを示す。テナント設定情報720に含まれた各テナントのローカル認証連携モードの設定は、各テナントのクライアントが保持するローカル認証連携情報と同期するのが望ましい。例えば、データ変換サーバー108のテナント設定情報720が設定されたなら、それをテナントに分配したり、逆にテナントにおいて設定されたローカル認証連携情報をデータ変換サーバー108が収集したり、あるいはその両方をおこなうことで同期を維持する。
<ストレージサーバー109のソフトウェア構成>
ストレージサーバー109はWebサーバー1091、ストレージ管理部1092、ファイル情報800を格納するストレージを有する。各ソフトウェアモジュールは図2(b)で示した記憶装置226に記憶されており、前述したようにCPU220によってRAM222にロードされ実行される。Webサーバー1071はストレージサーバー109の各種インターフェースを提供し、受け付けた情報の妥当性の検証を行う。そして不図示のストレージ認可サーバーに対して認可トークン検証リクエストを行う。ストレージ管理部1092は図8で説明するファイル情報800を管理し、アップロードリクエストされたファイルの入出力を行う。ストレージは図8で説明するストレージサーバー109が保持している情報やストレージサーバー109受信したファイルが格納されている。
図11に、データベースに保存されているファイル情報800の例を示す。
ファイル情報800はストレージサーバー109に保存するファイルの情報である。データURLはストレージサーバー109に保存するファイルを一意に特定することができるURLである。ファイルパスはストレージ上のファイルパスでありファイルの格納場所を示す。データURLに対してリクエストすることによりストレージのファイル操作を行うことができる。たとえば、データURLに対してHTTP GETメソッドをリクエストすると対応するファイルがダウンロードできる。データURLに対してHTTP PUTメソッドにファイル添付してリクエストするとファイルをアップロードし保存できる。データURLに対してHTTP DELETEメソッドをリクエストすると対応するファイルを削除できる。
<ユーザー認可設定フロー>
図3は、本実施の形態における、顧客テナントの代表ユーザーの権限のプリンター103への委譲を認可するフローを示した図である。
S3.1において、クライアント端末102のWebブラウザー1021は、プリンター103へ、必要なスコープを指定して、ユーザー認可設定リクエストを送信する。本実施形態では、たとえばプリンター103がデータ変換サーバー108のインターフェースにアクセスする際に必要なスコープであるPrintがスコープとして指定される。
S3.2において、プリンター103の認可サーバー連携クライアント1032は、ユーザー認可設定リクエストを受け付けると、認可設定画面へのリダイレクト指示をWebブラウザー1021に返す。そのリダイレクト指示は、Webブラウザー1021に、プリンター103の情報と必要な権限のスコープとを含む認可リクエストを認可サーバー106へ送信させるための指示である。
S3.3において、Webブラウザー1021は、受け取ったリダイレクト指示に従って認可サーバー106に対して認可設定画面リクエストを送信する。
S3.4において、認可サーバー106はWebサーバーで認可設定画面リクエストを受け取ると、認可設定画面リクエストに認証情報が付加されていない場合、ログイン状態でないと判断し、ログイン画面を返す。認証情報が付加されており、既にログインしている状態と判断した場合、認可サーバー106はクライアント情報500を参照し、ログインユーザーを特定する。
ここで、図4(a)は、S3.3のリクエストに対するレスポンスとしてWebブラウザー1021が認可サーバー106から受け取り、表示するログイン画面の例である。Webブラウザー1021は、ログインボタン904押下によって、ユーザーの入力により予め認可サーバーに登録されているユーザー情報として、テナントID901、クライアントID902、パスワード903とともに、ログインリクエストを認可サーバー106に送信する。
認可サーバー106はログインリクエストを受け付けると、クライアント情報500を参照してリクエストに含まれるテナントID、クライアントID、パスワードを検証する。すなわち、入力された認証情報と一致するレコードがクライアント情報500に含まれているか判定する。検証の結果ログインが成功すると、ログインしたクライアント情報を特定することができ、Webブラウザー1021に認証情報を返す。Webブラウザー1021は、認証情報を各リクエストに付加することで、認証状態を保持することができ、各サーバーは認証情報からログイン中のユーザー情報を特定できる。
一方、S3.3の認可設定画面リクエストに認証情報が添付されていた場合、認可サーバー106は、ログイン中のユーザー情報500を特定するとS3.3のリクエストに対するレスポンスを返す。このレスポンスとして、認可設定画面リクエストに含まれるスコープ、プリンター情報、ユーザー情報500を含む認可確認画面910をWebブラウザーに返す。図4(b)は、Webブラウザー1021に表示する認可確認画面910の例である。この例では、認可を確認するメッセージとともに、使用するクライアントID、テナントID、認可するプリンターのIPアドレスと、Scopeに紐づく権限を示す画面911を表示している。また、認可の実行を受け付けるためのOKボタン912と拒否するためのNGボタン913とを表示する。
クライアント端末102のWebブラウザー1021は、認可確認画面910において、OKボタン912の押下による認可実行を受け付けると、S3.4において、認可サーバー106に認可トークン生成リクエストを送信する。認可サーバー106は、認可トークン生成リクエストを受け付けると、ユーザー情報500を参照し、認可トークン生成リクエストのパラメータであるスコープが該当するログイン中のユーザー情報500に含まれるかを判定する。含まれる場合は認可トークンを生成し、認可トークン情報510に登録する。スコープが該当するユーザー情報500に含まれない場合は、Webブラウザー1021にエラーを返す。認可サーバー106は、S3.4のレスポンスとして、生成した認可トークンをWebブラウザーに返す。
S3.5において、Webブラウザー1021は、認可サーバー106から受け取った認可トークンを、代表トークン登録リクエストとともにプリンター103の認可サーバー連携クライアント1032に送信する。プリンター103の認可サーバー連携クライアント1032は代表トークン登録リクエストを受け付けると、代表トークン情報400として、受信した認可トークンの認可トークンID、クライアントID、テナントIDをそれぞれ登録する。
このフローにより、認可サーバー106に登録されているユーザー情報500の権限をプリンター103に委譲することができ、プリンター103はこの代表トークン情報400を使用することで、該当のユーザー情報500の権限でデータ変換サーバー108にアクセスすることができる。この手順では、ログイン中の、あるいはログインしたユーザーをクラウドサービスの代表クライアントとして認可トークンを取得し、それを代表トークンとしてプリンター103に登録することで、クライアントの権限をプリンター103に委譲することができる。プリンター103は例えば後述する図5の手順で、委譲された権限を行使して文書の印刷等を実行できる。
<認証プリント>
図5は、本実施の形態における、認証プリントを行うフローを示した図である。ここでは、図3のユーザー認可設定フローが済んでおり、認可サーバー106のユーザー情報500で管理されるユーザーによってプリンター103が認可され、代表トークン情報400がプリンター103に登録されているものとする。図5のシーケンスでは、プリンター103がクラウドサービスのクライアントであり、プリンター103をクライアントデバイスとも呼ぶ。図5において、S5.Xはリクエストを示し、S5.XRは、S5.Xのリクエストに対する応答を示す。
S5.1において、プリンター103のログインアプリは、ICカードリーダー242からドメイン名、ユーザー名、パスワードから成るローカル認証情報を受け付けると、S5.2において、ローカル認証サーバー104にユーザー認証リクエストを送信する。
ローカル認証サーバー104は、ローカル認証情報300を参照し、リクエストに含まれるローカル認証情報と照合して結果をプリンターに返す。ローカル認証情報300に該当するレコードがあれば認証は成功である。
プリンター103は、ローカル認証サーバー104から受け取った認証結果が失敗であった場合、エラーとして処理を終了する。認証結果が成功であった場合、プリンター103のログインアプリ1031は、ログインしたユーザーのローカル認証情報をプルプリントアプリ1033に渡す。さらに、プルプリントアプリ1033は、認可サーバー連携クライアント1032に対して、スコープとアプリケーションIDとを含む認可トークン取得リクエストを送る。ここで、プルプリントアプリ1033は、認可トークン生成リスエストに含めるアプリケーションIDとして指定する値をローカル認証連携情報430に応じて決定する。プルプリントアプリ1033は、ローカル認証連携情報430のローカル認証連携モードの値がtrueであった場合、アプリケーションIDとしてローカルユーザー情報(ユーザー名@ドメイン名)を指定する。ローカル認証連携モードの値がfalseの場合にはデフォルトの値を使用する。本実施形態では、デフォルトの値として、プリンター103上で動作しているプルプリントアプリ1033を識別する予め決められたIDとする。しかし、任意の文字列、または、アプリケーションIDを指定しなくてもてもよい。
S5.3において、プリンター103の認可サーバー連携クライアント1032は、代表トークン情報400の認可トークンとScope、アプリケーションIDを含む認可トークン生成リクエストを認可サーバー105に送信する。
認可サーバー106は、プリンター103から認可トークン生成リクエストを受け取ると、後述の図6に示す<認可サーバー106の認可トークン発行フロー>によって、認可トークンの発行を行いプリンター103に返す。認可サーバー連携クライアント1032は受け取った認可トークンをプルプリントアプリ1033に渡す。プルプリントアプリ1033は、認可トークンIDと、アプリケーションIDに含まれたローカルユーザー情報とを、認可トークンID421、ユーザー名422、ドメイン名423として認可トークン情報420に保持する。
S5.4において、プルプリントアプリ1033は、データ変換サーバー108に、S5.3で取得した認可トークンを含む文書情報取得リクエストを送信する。データ変換サーバー108は、文書情報取得リクエストを受け付けると、S5.4−1において、後述の<データ変換サーバー108の認可トークン検証フロー>(図6参照)を処理し、認可サーバー106に対して認可トークン検証リクエストを行って、認可トークンが正当なものであれば、当該認可トークンに対応する認可トークン情報510を取得する。認可トークン情報510にはアプリケーションIDが含まれており、それはS5.1でプリンター103にログインしたユーザーのローカルユーザー情報である。その場合データ変換サーバー108は、S5.4で決定したユーザーIDで、文書情報700から該当するレコードを抽出し、S5.4のレスポンスとしてプリンター103に返す。
S5.5において、プリンター103のプルプリントアプリ1033は、S5.4で取得した文書情報700を参照し、認可トークンと、文書IDを含めた印刷データ生成リスエストとを変換サーバー108に送信する。データ変換サーバー108は、印刷データ生成リクエストを受け付けると、S5.5−1において、S5.4−1と同様に認可サーバー106に対して認可トークン検証リクエストを行って認可トークン情報510を取得し、ユーザーIDを特定する。さらに、データ変換サーバー108は、印刷データ生成リクエストに含まれる文書IDと、S5.5−1で特定したユーザーIDとを使用して、文書情報700から該当のレコードを抽出する。さらに、データ変換サーバー108は、抽出した文書情報700の文書URLを参照し、S5.5−2において、ストレージサーバー109から該当の文書データファイルを取得する。最後に、データ変換サーバー108は、S5.5−2で取得した文書データを印刷データに変換するとともに、変換して得た印刷データに対応するデータ変換IDを新規に発行し、データ変換情報710にそのデータ変換IDを持つレコードを登録する。さらにデータ変換サーバー108は、ストレージサーバー109に変換後の印刷データをアップロードし、データ変換情報710の印刷URL714に、アップロードした印刷データにアクセスするためのURLを登録する。データ変換サーバー108は、新規に登録した変換データ情報710の印刷URL714をS5.5の印刷データ生成リクエストのレスポンスとしてプリンター103に返す。
S5.6において、プリンター103のプルプリントアプリ1033は、S5.5の印刷データ生成リクエストで取得した印刷URLにアクセスすることで印刷データの取得を行い、取得した印刷データをラスタコントローラ237、プリントエンジン238に転送し印刷を実行する。
<認可サーバー106の認可トークン発行フロー>
図6は認可サーバー106が認可トークン生成リクエスト(S5.3)を受信したときの認可トークン発行の処理フローの詳細である。
F601において認可サーバー106は認可トークン生成リクエストを受信する。認可サーバー106は認可トークン生成リクエストのパラメータとして代表認可トークン、スコープ、アプリケーションIDを受け取る。
F602において認可サーバー106は認可トークン情報510からF601で受信した代表認可トークンと一致するレコードを特定する。
F603において認可サーバー106はF602で特定したクライアント情報500のスコープ503が、F601で受信したスコープと一致するか判定する。一致しない場合エラーとする(F605)。
F604において認可サーバー106は認可トークンIDを発行し、F601で受信したクライアントID、スコープ、アプリケーションIDを含むレコードを認可トークン情報510に登録する。本実施形態の前述S5.3のフローにおいては、ローカル認証連携モードがセットされていればアプリケーションIDにローカル認証情報(ユーザー名@ドメイン名)が指定されるが、ローカル認証連携しないクライアントからのリクエストの場合、アプリケーションIDには空または異なる値が登録される。
<データ変換サーバー108の認可トークン検証フロー>
図7は、データ変換サーバー108が各種リクエスト(S5.4、S5.5)を受信したときの認可トークン検証の処理フローの詳細である。
F701において、データ変換サーバー108はリクエストを受信する。またリクエストのパラメータとして認可トークンを受信する。
F702において、データ変換サーバー108は認可サーバー106に対して認可トークン検証リクエストを行う。認可トークン検証リクエストの結果、認可トークン情報が得られなかった場合エラーとする(F706)。
F703において、データ変換サーバー108は、テナント設定情報720から認可トークン情報のテナントIDと一致するレコードを特定し、そのテナントのローカル認証連携モードが有効(true)であるかを判断する。
F703において、テナントのローカル認証連携モードが有効だった場合、データ変換サーバー108はF704において、認可トークン情報のテナントIDとアプリケーションIDに登録されているローカルユーザー情報300(ユーザー名@ドメイン名)を一意のユーザーとしてリクエストを処理する。
F703において、テナントのローカル認証連携モードが無効だった場合、データ変換サーバー108はF705において、認可トークン情報510のユーザーIDを一意のユーザーとしてリクエストを処理する。
以上のように、認可トークン発行時にローカルユーザー情報を紐付けておくことで、認可トークン利用時に認可トークン情報からローカルユーザー情報を取得することができ、データ変換サーバー108でローカル認証サーバー104のユーザーを一意のユーザーとして認識することができる。例えば認可トークンに紐づいたローカルユーザー情報をデータ変換サーバー108の課金処理や処理集計処理で一意のユーザーとして処理することで、ローカル認証サーバー104と連動して運用することができる。ローカル認証セキュリティドメイン110と帳票サービスセキュリティドメイン111の間でIDプロビジョニングする必要がなく運用負荷を下げることができる。また、業務サーバー105は一つのクライアントを使いまわして認可トークンを発行しているが、発行した認可トークンの利用はローカル認証情報で限定されるため、認可トークンで他のユーザーの情報にアクセスすることはできないためセキュアに認証連携することができる。
さらに、ローカル認証連携モードの有効/無効をテナント毎の設定として持つことによって、マルチテナント時に特定のテナントのみローカル認証連携を行うことができ、認証・認可において柔軟に顧客ニーズに応えることが出来る。
[その他の実施例]
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける1つ以上のプロセッサーがプログラムを読出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
102 クライアント端末、103 プリンター、104 ローカル認証サーバー、106 認可サーバー、108 データ変換サーバー、109 ストレージサーバー

Claims (8)

  1. ユーザーが認可操作を行ったことでアプリケーションサーバーを利用する権限がクライアントデバイスに委譲され、委譲されたことで発行された第1の認可トークンを代表トークン情報として登録する前記クライアントデバイスから、前記代表トークン情報およびローカルユーザー情報とともに認可トークン生成リクエストを受信する手段と、
    前記認可トークン生成リクエストとともに受信した前記代表トークン情報に基づいた認証が成功した場合には、前記クライアントデバイスに対して第2の認可トークンを応答し、前記認可トークン生成リクエストとともに受信したローカルユーザー情報を前記第2の認可トークンと関連付けた認可トークン情報を生成して格納する手段と、
    前記クライアントデバイスから前記第2の認可トークンとともに処理リクエストを受けた前記アプリケーションサーバーから、前記第2の認可トークンを含む認可トークン検証リクエストを受信し、受信した前記第2の認可トークンと前記認可トークン情報とに基づいた認可トークンの検証が成功した場合には、前記認可トークン情報に含まれる前記ローカルユーザー情報を前記アプリケーションサーバーへ応答する応答手段と
    を有することを特徴とする認可サーバー。
  2. 前記代表トークン情報には、表クライアントの識別情報と、該代表クライアントのテナントの識別情報とを含み、
    前記応答手段は、前記代表クライアントのテナントの識別情報を、前記認可トークン情報の一部として応答することを特徴とする請求項1に記載の認可サーバー。
  3. 前記ローカルユーザー情報は、ローカル認証サーバーにより認証されたユーザーのアクセス可能なドメインを示す情報と、前記ドメインにおけるユーザー識別情報とを含むことを特徴とする請求項1又は2に記載の認可サーバー。
  4. 前記認可トークン検証リクエストは、前記認可トークンと共に前記クライアントデバイスから処理のリクエストを受け付けたアプリケーションサーバーから受信され、
    前記ローカルユーザー情報は、前記アプリケーションサーバーにより、前記処理のリクエストの要求元のユーザーの識別のために用いられることを特徴とする請求項3に記載の認可サーバー。
  5. 認可サーバーとアプリケーションサーバーとクライアントデバイスとを含む認証連携システムであって、
    前記クライアントデバイスは、
    ユーザーが認可操作を行ったことで前記アプリケーションサーバーを利用する権限が委譲され、委譲されたことで発行された第1の認可トークンを代表トークン情報として格納し、
    前記認可サーバーに対して、ログインしたユーザーのローカルユーザー情報および前記代表トークン情報とともに認可トークン生成リクエストを送信し、
    前記認可トークン生成リクエストに応じて第2の認可トークンを受信した場合、前記第2の認可トークンとともに、処理のリクエストをアプリケーションサーバーに送信し、
    前記認可サーバーは、
    前記クライアントデバイスから、前記代表トークン情報およびローカルユーザー情報とともに前記認可トークン生成リクエストを受信し、
    前記認可トークン生成リクエストとともに受信した前記代表トークン情報に基づいた認証が成功した場合には、前記クライアントデバイスに対して前記第2の認可トークンを応答し、前記認可トークン生成リクエストとともに受信したローカルユーザー情報を前記第2の認可トークンと関連付けた認可トークン情報を生成して格納し、
    前記クライアントデバイスから前記第2の認可トークンとともに処理リクエストを受けた前記アプリケーションサーバーから、前記第2の認可トークンを含む認可トークン検証リクエストを受信し、受信した前記第2の認可トークンと前記認可トークン情報とに基づいた認可トークンの検証が成功した場合には、前記認可トークン情報に含まれる前記ローカルユーザー情報を前記アプリケーションサーバーへ応答し、
    前記アプリケーションサーバーは、
    前記クライアントデバイスから前記第2の認可トークンとともに処理のリクエストを受信すると、前記認可サーバーに対して前記認可トークン検証リクエストを送信し、前記認可トークン検証リクエストが成功した応答として、前記第2の認可トークンと関連付けられた前記ローカルユーザー情報を含む前記認可トークン情報を受信し、
    前記ローカルユーザー情報で示されるユーザーまたは前記クライアントデバイスに対して前記処理のリクエストを処理する
    ことを特徴とする認証連携システム。
  6. 前記代表トークン情報には、クライアントデバイスの識別情報と、該クライアントデバイスのテナントの識別情報とを含み、
    前記認可サーバーは、検証が成功した前記認可トークンの生成を要求したクライアントのテナントの識別情報を、前記認可トークン情報の一部として応答し、
    前記アプリケーションサーバーは、前記テナントの識別情報に応じて設定されたローカル認証連携モードがセットされている場合に、前記ローカルユーザー情報で示されるユーザーまたは前記クライアントデバイスに対して前記処理のリクエストを処理することを特徴とする請求項5に記載の認証連携システム。
  7. コンピュータを、
    代表クライアントに対して発行した認可トークンが代表トークン情報として登録された、前記代表クライアントから権限の委譲を受けたクライアントデバイスから、前記代表トークン情報およびローカルユーザー情報とともに認可トークン生成リクエストを受信する手段と、
    前記認可トークン生成リクエストとともに受信した前記代表トークン情報に基づいた認証が成功した場合には、前記クライアントデバイスに対して認可トークンを応答し、前記認可トークン生成リクエストとともに受信したローカルユーザー情報を前記認可トークンと関連付けた認可トークン情報を生成して格納する手段と、
    認可トークン検証リクエストに応じて前記認可トークン情報に基づいた認可トークンの検証が成功した場合には、検証が成功した前記認可トークンに関連付けられた前記認可トークン情報を応答する応答手段と
    して機能させるためのプログラム。
  8. 認可サーバーとアプリケーションサーバーとクライアントデバイスとを含む認証連携システムにおける認証連携方法であって、
    前記クライアントデバイスが、
    ユーザーが認可操作を行ったことでアプリケーションサーバーを利用する権限が委譲され、委譲されたことで発行された第1の認可トークンを代表トークン情報として格納し、
    前記認可サーバーに対して、ログインしたユーザーのローカルユーザー情報および前記代表トークン情報とともに認可トークン生成リクエストを送信し、
    前記認可トークン生成リクエストに応じて第2の認可トークンを受信した場合、前記第2の認可トークンとともに、処理のリクエストをアプリケーションサーバーに送信し、
    前記認可サーバーが、
    前記クライアントデバイスから、前記代表トークン情報およびローカルユーザー情報とともに前記認可トークン生成リクエストを受信し、
    前記認可トークン生成リクエストとともに受信した前記代表トークン情報に基づいた認証が成功した場合には、前記クライアントデバイスに対して前記第2の認可トークンを応答し、前記認可トークン生成リクエストとともに受信したローカルユーザー情報を前記第2の認可トークンと関連付けた認可トークン情報を生成して格納し、
    前記クライアントデバイスから前記第2の認可トークンとともに処理リクエストを受けた前記アプリケーションサーバーから、前記第2の認可トークンを含む認可トークン検証リクエストを受信し、受信した前記第2の認可トークンと前記認可トークン情報とに基づいた認可トークンの検証が成功した場合には、前記認可トークン情報に含まれる前記ローカルユーザー情報を前記アプリケーションサーバーへ応答し、
    前記アプリケーションサーバーが、
    前記クライアントデバイスから前記第2の認可トークンとともに処理のリクエストを受信すると、前記認可サーバーに対して前記認可トークン検証リクエストを送信し、前記認可トークン検証リクエストが成功した応答として、前記第2の認可トークンと関連付けられた前記ローカルユーザー情報を含む前記認可トークン情報を受信し、
    前記ローカルユーザー情報で示されるユーザーまたは前記クライアントデバイスに対して前記処理のリクエストを処理する
    ことを特徴とする認証連携方法。
JP2015239750A 2015-12-08 2015-12-08 認証連携システム及び認証連携方法、認可サーバー及びプログラム Active JP6682254B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2015239750A JP6682254B2 (ja) 2015-12-08 2015-12-08 認証連携システム及び認証連携方法、認可サーバー及びプログラム
US15/364,916 US9985962B2 (en) 2015-12-08 2016-11-30 Authorization server, authentication cooperation system, and storage medium storing program
CN201611101535.3A CN106856476B (zh) 2015-12-08 2016-12-02 授权服务器和认证协作系统
KR1020160165710A KR102074030B1 (ko) 2015-12-08 2016-12-07 인가 서버, 인증 제휴 시스템 및 프로그램을 저장한 저장 매체
EP16202820.3A EP3179399B1 (en) 2015-12-08 2016-12-08 Authorization server, authentication cooperation system, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015239750A JP6682254B2 (ja) 2015-12-08 2015-12-08 認証連携システム及び認証連携方法、認可サーバー及びプログラム

Publications (3)

Publication Number Publication Date
JP2017107343A JP2017107343A (ja) 2017-06-15
JP2017107343A5 JP2017107343A5 (ja) 2019-01-24
JP6682254B2 true JP6682254B2 (ja) 2020-04-15

Family

ID=57708305

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015239750A Active JP6682254B2 (ja) 2015-12-08 2015-12-08 認証連携システム及び認証連携方法、認可サーバー及びプログラム

Country Status (5)

Country Link
US (1) US9985962B2 (ja)
EP (1) EP3179399B1 (ja)
JP (1) JP6682254B2 (ja)
KR (1) KR102074030B1 (ja)
CN (1) CN106856476B (ja)

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9495533B2 (en) * 2011-09-29 2016-11-15 Oracle International Corporation Mobile application, identity relationship management
US10425386B2 (en) * 2016-05-11 2019-09-24 Oracle International Corporation Policy enforcement point for a multi-tenant identity and data security management cloud service
US10735394B2 (en) 2016-08-05 2020-08-04 Oracle International Corporation Caching framework for a multi-tenant identity and data security management cloud service
US10516672B2 (en) 2016-08-05 2019-12-24 Oracle International Corporation Service discovery for a multi-tenant identity and data security management cloud service
US20180107531A1 (en) * 2016-10-19 2018-04-19 Electronics And Telecommunications Research Institute Service server, user terminal and method of 3d collaborative printing
JP6949585B2 (ja) * 2017-06-30 2021-10-13 キヤノン株式会社 管理サーバ、サービス提供サーバ、システム、制御方法、および、プログラム
DE102017221300A1 (de) * 2017-11-28 2019-05-29 Siemens Mobility GmbH Verfahren und System zum Bereitstellen einer datentechnischen Funktion mittels eines Datenverarbeitungssystems eines spurgebundenen Fahrzeugs
US11153305B2 (en) * 2018-06-15 2021-10-19 Canon U.S.A., Inc. Apparatus, system and method for managing authentication with a server
EP3585084A1 (de) * 2018-06-18 2019-12-25 Siemens Aktiengesellschaft Einrichtung einer zugangsberechtigung zu einem teilnetzwerk eines mobilfunknetzes
CN108881232B (zh) * 2018-06-21 2019-07-02 北京海泰方圆科技股份有限公司 业务系统的登录访问方法、装置、存储介质和处理器
CN110650112B (zh) * 2018-06-27 2022-05-20 贵州白山云科技股份有限公司 一种通用鉴权方法、装置及云服务网络系统
CN109587148A (zh) * 2018-12-11 2019-04-05 上海宜延电子商务有限公司 一种数据计算客户端、数据计算服务器及数据计算系统
JP7324048B2 (ja) * 2019-05-22 2023-08-09 キヤノン株式会社 印刷装置、印刷システム、印刷装置の登録方法、及び、プログラム
US11582229B2 (en) * 2019-06-01 2023-02-14 Apple Inc. Systems and methods of application single sign on
CN110324333B (zh) * 2019-06-29 2021-12-28 北京启迪区块链科技发展有限公司 一种数据处理方法、装置、终端及存储介质
CN111327582B (zh) * 2019-08-22 2022-12-20 刘高峰 一种基于OAuth协议的授权方法、装置及系统
CN111176710B (zh) * 2019-12-30 2023-10-03 宁波视睿迪光电有限公司 一种终端软件管理系统的运行方法及终端软件管理系统
KR102146940B1 (ko) * 2020-03-16 2020-08-24 주식회사 스태비 토큰 위변조 검증 방법
DE102020125570A1 (de) * 2020-09-30 2022-03-31 Novar Gmbh Verfahren, system und computerprogramm zur authentifikation von brandsteuersystemen
CN112612770A (zh) * 2020-12-28 2021-04-06 深圳市科创思科技有限公司 一种分布式文件上传方法及系统
CN114499977B (zh) * 2021-12-28 2023-08-08 天翼云科技有限公司 一种认证方法及装置
CN114884724B (zh) * 2022-05-06 2024-03-22 杭州联吉技术有限公司 一种云服务器交互方法、装置、可读存储介质及终端设备
CN115102711B (zh) * 2022-05-09 2024-01-02 支付宝(杭州)信息技术有限公司 信息授权方法、装置以及系统

Family Cites Families (46)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7324972B1 (en) 1997-03-07 2008-01-29 Clickshare Service Corporation Managing transactions on a network: four or more parties
US6510236B1 (en) 1998-12-11 2003-01-21 International Business Machines Corporation Authentication framework for managing authentication requests from multiple authentication devices
US7221935B2 (en) 2002-02-28 2007-05-22 Telefonaktiebolaget Lm Ericsson (Publ) System, method and apparatus for federated single sign-on services
US7685206B1 (en) * 2004-02-12 2010-03-23 Microsoft Corporation Authorization and access control service for distributed network resources
US7519596B2 (en) * 2004-03-30 2009-04-14 Microsoft Corporation Globally trusted credentials leveraged for server access control
US8010783B1 (en) 2004-04-15 2011-08-30 Aol Inc. Service provider invocation
US10140596B2 (en) 2004-07-16 2018-11-27 Bryan S. M. Chua Third party authentication of an electronic transaction
CN100546245C (zh) * 2006-01-11 2009-09-30 西安电子科技大学 跨安全域的网络认证和密钥分配方法
JP4766249B2 (ja) * 2006-03-01 2011-09-07 日本電気株式会社 トークン譲渡方法、トークン譲渡システム及び権限認証許可サーバ
US8151116B2 (en) 2006-06-09 2012-04-03 Brigham Young University Multi-channel user authentication apparatus system and method
US8239927B2 (en) 2008-02-29 2012-08-07 Microsoft Corporation Authentication ticket validation
US20090271847A1 (en) 2008-04-25 2009-10-29 Nokia Corporation Methods, Apparatuses, and Computer Program Products for Providing a Single Service Sign-On
CN101399671B (zh) * 2008-11-18 2011-02-02 中国科学院软件研究所 一种跨域认证方法及其系统
US20100235882A1 (en) 2009-03-13 2010-09-16 Gidah, Inc. Method and system for using tokens in a transaction handling system
US8195819B1 (en) * 2009-07-13 2012-06-05 Sprint Communications Company L.P. Application single sign on leveraging virtual local area network identifier
US8707404B2 (en) 2009-08-28 2014-04-22 Adobe Systems Incorporated System and method for transparently authenticating a user to a digital rights management entity
US8739260B1 (en) 2011-02-10 2014-05-27 Secsign Technologies Inc. Systems and methods for authentication via mobile communication device
US20140044123A1 (en) 2011-05-23 2014-02-13 Twilio, Inc. System and method for real time communicating with a client application
US9648006B2 (en) 2011-05-23 2017-05-09 Twilio, Inc. System and method for communicating with a client application
JP5759305B2 (ja) * 2011-08-19 2015-08-05 キヤノン株式会社 アクセス管理システム、アクセス管理方法、アクセス管理サーバ、連携サーバ、およびプログラム
US10176335B2 (en) 2012-03-20 2019-01-08 Microsoft Technology Licensing, Llc Identity services for organizations transparently hosted in the cloud
US11424930B2 (en) 2012-05-22 2022-08-23 Barclays Bank Delaware Systems and methods for providing account information
US8762731B2 (en) * 2012-09-14 2014-06-24 Sap Ag Multi-system security integration
JP6066647B2 (ja) * 2012-09-27 2017-01-25 キヤノン株式会社 デバイス装置、その制御方法、およびそのプログラム
JP5988841B2 (ja) * 2012-11-16 2016-09-07 キヤノン株式会社 通信装置、通信システム、情報処理方法及びプログラム
GB2509895A (en) 2012-11-22 2014-07-23 Visa Europe Ltd Activation and Use of a Digital Wallet via Online Banking
US9374369B2 (en) 2012-12-28 2016-06-21 Lookout, Inc. Multi-factor authentication and comprehensive login system for client-server networks
US20140245411A1 (en) 2013-02-22 2014-08-28 Nokia Corporation Method and apparatus for providing account-less access via an account connector platform
JP5516776B1 (ja) * 2013-03-05 2014-06-11 富士ゼロックス株式会社 中継装置、通信システム及びプログラム
JP6177020B2 (ja) 2013-06-18 2017-08-09 キヤノン株式会社 認証システム、その制御方法、サービス提供装置およびコンピュータプログラム
US20150033315A1 (en) * 2013-07-23 2015-01-29 Salesforce.Com, Inc. Authentication and diagnostic functions for a database system
AU2014292980A1 (en) 2013-07-24 2016-02-04 Visa International Service Association Systems and methods for interoperable network token processing
US10496986B2 (en) 2013-08-08 2019-12-03 Visa International Service Association Multi-network tokenization processing
US9106642B1 (en) 2013-09-11 2015-08-11 Amazon Technologies, Inc. Synchronizing authentication sessions between applications
JP6265733B2 (ja) * 2013-12-25 2018-01-24 キヤノン株式会社 権限管理サーバー及び権限管理方法
US20150281225A1 (en) 2014-03-27 2015-10-01 Microsoft Corporation Techniques to operate a service with machine generated authentication tokens
US9419962B2 (en) 2014-06-16 2016-08-16 Adobe Systems Incorporated Method and apparatus for sharing server resources using a local group
US20160065552A1 (en) 2014-08-28 2016-03-03 Drfirst.Com, Inc. Method and system for interoperable identity and interoperable credentials
US9420463B2 (en) * 2014-09-30 2016-08-16 Sap Se Authorization based on access token
US10021084B2 (en) * 2014-10-28 2018-07-10 Open Text Sa Ulc Systems and methods for credentialing of non-local requestors in decoupled systems utilizing a domain local authenticator
US9871821B2 (en) * 2014-11-11 2018-01-16 Oracle International Corporation Securely operating a process using user-specific and device-specific security constraints
US9794329B2 (en) * 2014-11-28 2017-10-17 Sap Se Cloud application with secure local access
CN107004094B (zh) * 2014-12-09 2021-01-15 佳能株式会社 信息处理装置、信息处理装置的控制方法、信息处理系统和计算机程序
CN104639562B (zh) * 2015-02-27 2018-03-13 飞天诚信科技股份有限公司 一种推送认证的系统和设备的工作方法
US10148522B2 (en) * 2015-03-09 2018-12-04 Avaya Inc. Extension of authorization framework
US10104084B2 (en) * 2015-07-30 2018-10-16 Cisco Technology, Inc. Token scope reduction

Also Published As

Publication number Publication date
JP2017107343A (ja) 2017-06-15
CN106856476B (zh) 2020-10-30
US20170163636A1 (en) 2017-06-08
KR102074030B1 (ko) 2020-02-05
KR20170067660A (ko) 2017-06-16
EP3179399A1 (en) 2017-06-14
US9985962B2 (en) 2018-05-29
CN106856476A (zh) 2017-06-16
EP3179399B1 (en) 2019-10-09

Similar Documents

Publication Publication Date Title
JP6682254B2 (ja) 認証連携システム及び認証連携方法、認可サーバー及びプログラム
CN106856475B (zh) 授权服务器以及认证协作系统
US9230078B2 (en) Authentication system, control method thereof, service provision device, and storage medium
JP6056384B2 (ja) システム及びサービス提供装置
JP5820188B2 (ja) サーバおよびその制御方法、並びにプログラム
JP6318940B2 (ja) サービス提供システム、データ提供方法及びプログラム
JP6098169B2 (ja) 情報処理システム、情報処理装置、プログラム及び認証方法
US9185102B2 (en) Server system and control method
US20120229838A1 (en) Print server, printing system, control method, and computer-readable medium
US20140007199A1 (en) Relay device, relay method, and non-transitory computer readable medium
JP6248641B2 (ja) 情報処理システム及び認証方法
US10496342B2 (en) Printing system, method, and program for implementing service coordination among a plurality of security domains
US9661184B2 (en) Data processing system and data processing method for authenticating user by utilizing user list obtained from service providing apparatus
US10713098B2 (en) Information processing apparatus and cookie information management method
JP2016115260A (ja) 権限移譲システム、権限移譲システムに用いられる認可サーバー、リソースサーバー、クライアント、媒介装置、権限移譲方法およびプログラム
JP6303312B2 (ja) サービス提供システム及び画像提供方法
JP6447766B2 (ja) サービス提供システム、データ提供方法及びプログラム
JP6237868B2 (ja) クラウドサービス提供システム及びクラウドサービス提供方法
JP2009205223A (ja) シングルサインオンによるグループ内サービス認可方法と、その方法を用いたグループ内サービス提供システムと、それを構成する各サーバ
JP2014142735A (ja) 印刷システム、方法、及びプログラム
JP2017091221A (ja) 権限委譲システム、その制御方法、認可サーバ及びプログラム
JP2016053858A (ja) サービスプロバイダ装置、サービスプロバイダ装置を制御するための制御方法、およびプログラム

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181205

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20181205

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190925

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191015

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191017

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200225

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200325

R151 Written notification of patent or utility model registration

Ref document number: 6682254

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151