JP6897418B2 - Information processing device - Google Patents
Information processing device Download PDFInfo
- Publication number
- JP6897418B2 JP6897418B2 JP2017157201A JP2017157201A JP6897418B2 JP 6897418 B2 JP6897418 B2 JP 6897418B2 JP 2017157201 A JP2017157201 A JP 2017157201A JP 2017157201 A JP2017157201 A JP 2017157201A JP 6897418 B2 JP6897418 B2 JP 6897418B2
- Authority
- JP
- Japan
- Prior art keywords
- user
- information
- tenant
- external device
- resource
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、情報処理装置に関する。 The present invention relates to an information processing device.
ネットワークで提供される資源やサービスの利用に関して、権限が割り当てられる個々のユーザ、資源やサービスの利用状況、資源やサービスの種別ごとのライセンス数等を管理することが行われている。ネットワークで提供される資源やサービスに関する管理手法として、テナントと呼ばれる単位で管理が行われることがある。資源やサービスの利用者(ユーザ)は、テナントに所属し、所属したテナントに対して与えられているライセンスの範囲で資源やサービスを利用する権限が割り当てられる。テナントには、管理者が設定される。新たなテナントが開設されると、そのテナントの管理者は、テナントにおけるライセンスの設定、テナントに所属するユーザの設定、各ユーザに対する権限の割り当て等を行う。 Regarding the use of resources and services provided by the network, individual users to whom authority is assigned, the usage status of resources and services, the number of licenses for each type of resource and service, etc. are managed. As a management method for resources and services provided by the network, management may be performed in units called tenants. Users of resources and services belong to the tenant and are assigned the authority to use the resources and services within the range of the license given to the tenant to which they belong. An administrator is set for the tenant. When a new tenant is opened, the manager of the tenant sets the license in the tenant, sets the users belonging to the tenant, assigns the authority to each user, and the like.
特許文献1には、サービス提供を契約したテナントと、テナントに属するユーザと、ライセンスされたサービスにおけるユーザのアクセス権限を示すロールとをユーザ管理テーブルに登録し、ユーザに対するロールの設定のためのユーザインターフェースを提供し、ユーザインターフェースを介してユーザに対して設定されたロールにしたがってユーザ管理テーブルを更新するクラウドシステムが開示されている。また、特許文献2には、サービス提供システムの認証機能により認証されていないユーザからサービス提供システムのサービスの利用要求が行われた場合に、テナント単位で設定可能な外部サービス(IdP等)から外部サービスの認証機能により認証された当該ユーザの情報を取得し、その情報に基づいてサービスを提供するサービス提供システムが開示されている。 In Patent Document 1, a tenant who has contracted to provide a service, a user who belongs to the tenant, and a role indicating a user's access authority in the licensed service are registered in a user management table, and a user for setting a role for the user. A cloud system that provides an interface and updates user management tables according to roles set for the user via the user interface is disclosed. Further, in Patent Document 2, when a user who is not authenticated by the authentication function of the service providing system requests to use the service of the service providing system, the external service (IdP or the like) that can be set for each tenant is external. A service providing system that acquires the information of the user authenticated by the service authentication function and provides the service based on the information is disclosed.
新たなテナントが開設された場合、管理者は、テナントに所属する各ユーザに対して個別に権限の割り当てを行う作業に多大な手間を要していた。 When a new tenant is opened, the administrator has taken a lot of time and effort to individually assign the authority to each user belonging to the tenant.
本発明は、テナントに所属する各ユーザに対して権限の割り当てを行う作業に要する管理者の手間を削減することを目的とする。 An object of the present invention is to reduce the time and effort of the administrator required for the work of assigning authority to each user belonging to the tenant.
請求項1に係る本発明は、
ネットワーク上の資源を利用する権限に基づき当該資源へのアクセスを制御する制御手段と、
前記制御手段を介して前記資源へアクセス可能なユーザを登録して管理する管理手段と、
前記制御手段に関連付けられた外部装置の利用に関する情報を取得する取得手段と、
前記利用に関する情報に示される前記外部装置の利用者であって前記管理手段により管理されていない者に対し、前記制御手段を介して前記資源へアクセス可能なユーザとして登録可能であることを通知する通知手段と、
を備えることを特徴とする、情報処理装置である。
請求項2に係る本発明は、
前記取得手段は、前記外部装置が前記制御手段によるアクセス制御の対象となった場合に、当該外部装置の利用に関する情報を取得することを特徴とする、請求項1に記載の情報処理装置である。
請求項3に係る本発明は、
前記通知手段は、前記外部装置が前記制御手段によるアクセス制御の対象となる以前に当該外部装置を利用した前記利用者に対し、前記通知を行うことを特徴とする、請求項2に記載の情報処理装置である。
請求項4に係る本発明は、
前記取得手段は、前記外部装置の利用に関する履歴情報を取得して当該履歴情報から当該外部装置の利用者の情報を抽出し、
前記通知手段は、前記利用者の情報に基づき、前記外部装置を初めて利用した利用者を検出し、当該初めて利用した利用者に対し、前記通知を行うことを特徴とする、請求項1に記載の情報処理装置である。
請求項5に係る本発明は、
前記取得手段は、定期的に、前記制御手段によるアクセス制御の対象である前記外部装置から前記履歴情報を取得することを特徴とする、請求項4に記載の情報処理装置である。
請求項6に係る本発明は、
前記取得手段は、前記外部装置の利用に関する履歴情報を取得して当該履歴情報から当該外部装置の利用者による利用頻度の情報を抽出し、
前記通知手段は、利用頻度が予め定められた閾値よりも大きい利用者を検出し、検出した当該利用者に対し、前記通知を行うことを特徴とする、請求項1に記載の情報処理装置である。
請求項7に係る本発明は、
前記制御手段は、前記外部装置の利用頻度が前記閾値とは別に定められた閾値を下回った利用者に関して、当該利用者の前記資源へのアクセスに関する権限を制限することを特徴とする、請求項6に記載の情報処理装置である。
請求項8に係る本発明は、
前記通知手段は、前記外部装置の利用者の属性が予め定められた属性に合致する場合に、当該利用者に対し、前記通知を行うことを特徴とする、請求項1に記載の情報処理装置である。
請求項9に係る本発明は、
ネットワーク上の資源を利用する権限に基づき当該資源へのアクセスを制御する制御機能、および、当該制御機能を用いて当該資源へアクセス可能なユーザを管理する管理機能をテナント単位で管理するテナント管理手段と、
前記テナントに関連付けられた外部装置の利用に関する情報を取得する取得手段と、
前記利用に関する情報に示される前記外部装置の利用者であって前記テナントにより管理されていない者に対し、当該テナントの前記制御機能を介して前記資源へアクセス可能なユーザとして登録可能であることを通知する通知手段と、
を備えることを特徴とする、情報処理装置である。
請求項10に係る本発明は、
前記取得手段は、前記外部装置が前記テナントの前記制御機能によるアクセス制御の対象となった場合に、当該外部装置の利用に関する情報を取得することを特徴とする、請求項9に記載の情報処理装置である。
請求項11に係る本発明は、
前記取得手段は、前記外部装置の利用に関する履歴情報を取得して当該履歴情報から当該外部装置の利用者の情報を抽出し、
前記通知手段は、前記利用者の情報に基づき、前記外部装置を初めて利用した利用者を検出し、当該初めて利用した利用者に対し、前記通知を行うことを特徴とする、請求項9に記載の情報処理装置である。
The present invention according to claim 1
A control means that controls access to a resource based on the authority to use the resource on the network,
A management means for registering and managing a user who can access the resource via the control means, and a management means.
An acquisition means for acquiring information regarding the use of an external device associated with the control means, and
Notify the user of the external device shown in the usage information and not managed by the management means that the user can be registered as a user who can access the resource via the control means. Notification means and
It is an information processing apparatus characterized by being provided with.
The present invention according to claim 2
The information processing device according to claim 1, wherein the acquisition means acquires information regarding the use of the external device when the external device is subject to access control by the control means. ..
The present invention according to claim 3
The information according to claim 2, wherein the notification means notifies the user who has used the external device before the external device is subject to access control by the control means. It is a processing device.
The present invention according to claim 4
The acquisition means acquires history information regarding the use of the external device, extracts information on the user of the external device from the history information, and obtains information on the user of the external device.
The first aspect of claim 1, wherein the notification means detects a user who has used the external device for the first time based on the information of the user, and notifies the user who has used the external device for the first time. Information processing device.
The present invention according to claim 5
The information processing device according to claim 4, wherein the acquisition means periodically acquires the history information from the external device that is the target of access control by the control means.
The present invention according to claim 6
The acquisition means acquires history information regarding the use of the external device, extracts information on the frequency of use by the user of the external device from the history information, and obtains information on the frequency of use by the user of the external device.
The information processing apparatus according to claim 1, wherein the notification means detects a user whose usage frequency is higher than a predetermined threshold value, and notifies the detected user of the user. is there.
The present invention according to claim 7
The control means is characterized in that it limits the authority of the user regarding access to the resource with respect to a user whose frequency of use of the external device falls below a threshold value set separately from the threshold value. The information processing apparatus according to 6.
The present invention according to claim 8 is
The information processing device according to claim 1, wherein the notification means notifies the user when the attributes of the user of the external device match a predetermined attribute. Is.
The present invention according to claim 9
Tenant management means that manages the control function that controls access to the resource based on the authority to use the resource on the network and the management function that manages the users who can access the resource using the control function on a tenant-by-tenant basis. When,
An acquisition means for acquiring information on the use of an external device associated with the tenant, and
It can be registered as a user who can access the resource through the control function of the tenant to the user of the external device shown in the information regarding the usage and not managed by the tenant. Notification means to notify and
It is an information processing apparatus characterized by being provided with.
The present invention according to
The information processing according to claim 9, wherein the acquisition means acquires information regarding the use of the external device when the external device is subject to access control by the control function of the tenant. It is a device.
The present invention according to
The acquisition means acquires history information regarding the use of the external device, extracts information on the user of the external device from the history information, and obtains information on the user of the external device.
The ninth aspect of the present invention, wherein the notification means detects a user who has used the external device for the first time based on the user's information, and notifies the user who has used the external device for the first time. Information processing device.
請求項1の発明によれば、制御手段であり管理手段であるテナントの管理者自身がテナントに所属するユーザに対して権限の割り当てを行う構成と比較して、テナントによるアクセス制御の対象である外部装置の利用者を特定して通知を行うことにより、権限の割り当てを行う作業に要する管理者の手間を削減することができる。
請求項2の発明によれば、既にテナントによるアクセス制御の対象である外部装置の利用者のみに通知を行う構成と比較して、新たにテナントによるアクセス制御の対象となった外部装置の利用者に対して権限の割り当てを行う作業に要する管理者の手間を削減することができる。
請求項3の発明によれば、既にテナントによるアクセス制御の対象である外部装置の利用者のみに通知を行う構成と比較して、新たにテナントによるアクセス制御の対象となった外部装置に関してアクセス制御の対象となる以前の利用者に対して権限の割り当てを行う作業に要する管理者の手間を削減することができる。
請求項4の発明によれば、テナントによるアクセス制御の対象である外部装置を既に利用している利用者のみに通知を行う構成と比較して、テナントによるアクセス制御の対象である外部装置を初めて利用した利用者に対して権限の割り当てを行う作業に要する管理者の手間を削減することができる。
請求項5の発明によれば、テナントによるアクセス制御の対象である外部装置を既に利用している利用者のみに通知を行う構成と比較して、定期的にテナントによるアクセス制御の対象である外部装置の利用に関する履歴情報を用い、初めて利用した利用者を検出して、権限の割り当てを行う作業に要する管理者の手間を削減することができる。
請求項6の発明によれば、単にテナントによるアクセス制御の対象である外部装置を利用した利用者のみに通知を行う構成と比較して、テナントによるアクセス制御の対象である外部装置の利用頻度が予め定められた閾値よりも大きい利用者に対して権限の割り当てを行う作業に要する管理者の手間を削減することができる。
請求項7の発明によれば、資源へのアクセスに関する権限の付与のみを行う構成と比較して、外部装置の利用頻度が小さい利用者の権限を維持することにより資源へのアクセスを欲する他者に権限を付与できない事態が生じることを抑制することができる。
請求項8の発明によれば、単にテナントによるアクセス制御の対象である外部装置を利用した利用者のみに通知を行う構成と比較して、テナントによるアクセス制御の対象である外部装置の利用者であって、予め定められた属性を有する者に対して権限の割り当てを行う作業に要する管理者の手間を削減することができる。
請求項9の発明によれば、テナントの管理者自身がテナントに所属するユーザに対して権限の割り当てを行う構成と比較して、テナントによるアクセス制御の対象である外部装置の利用者を特定して通知を行うことにより、権限の割り当てを行う作業に要する管理者の手間を削減することができる。
請求項10の発明によれば、既にテナントによるアクセス制御の対象である外部装置の利用者のみに通知を行う構成と比較して、新たにテナントによるアクセス制御の対象となった外部装置に関してアクセス制御の対象となる以前の利用者に対して権限の割り当てを行う作業に要する管理者の手間を削減することができる。
請求項11の発明によれば、テナントによるアクセス制御の対象である外部装置を既に利用している利用者のみに通知を行う構成と比較して、テナントによるアクセス制御の対象である外部装置を初めて利用した利用者に対して権限の割り当てを行う作業に要する管理者の手間を削減することができる。
According to the invention of claim 1, the access control by the tenant is the target as compared with the configuration in which the manager of the tenant, which is the control means and the management means, assigns the authority to the user belonging to the tenant. By identifying the user of the external device and notifying the user, it is possible to reduce the time and effort of the administrator required for the work of assigning the authority.
According to the invention of claim 2, the user of the external device newly subject to access control by the tenant is compared with the configuration in which the notification is given only to the user of the external device that is already subject to access control by the tenant. It is possible to reduce the time and effort of the administrator required for the work of assigning authority to the user.
According to the invention of claim 3, access control is performed for an external device newly subject to access control by the tenant, as compared with a configuration in which only the user of the external device that is already subject to access control by the tenant is notified. It is possible to reduce the time and effort of the administrator required for the work of assigning the authority to the previous user who is the target of.
According to the invention of claim 4, the external device that is the target of access control by the tenant is the first to be compared with the configuration that notifies only the user who is already using the external device that is the target of access control by the tenant. It is possible to reduce the time and effort of the administrator required for the work of assigning authority to the user who used it.
According to the invention of claim 5, the external device which is the target of access control by the tenant periodically is compared with the configuration in which the notification is given only to the user who has already used the external device which is the target of access control by the tenant. By using the history information related to the use of the device, it is possible to reduce the time and effort of the administrator required for the work of detecting the user who used the device for the first time and assigning the authority.
According to the invention of claim 6, the frequency of use of the external device subject to access control by the tenant is higher than that of the configuration in which only the user using the external device subject to access control by the tenant is notified. It is possible to reduce the time and effort of the administrator required for the work of assigning authority to a user whose authority is larger than a predetermined threshold value.
According to the invention of claim 7, another person who wants to access the resource by maintaining the authority of the user who uses the external device less frequently as compared with the configuration in which the authority for accessing the resource is only granted. It is possible to prevent the situation in which the authority cannot be granted to the user.
According to the invention of claim 8, the user of the external device, which is the target of access control by the tenant, is compared with the configuration in which the notification is given only to the user who uses the external device, which is the target of access control by the tenant. Therefore, it is possible to reduce the time and effort of the administrator required for the work of assigning authority to a person having a predetermined attribute.
According to the invention of claim 9, the user of the external device that is the target of access control by the tenant is specified as compared with the configuration in which the tenant administrator himself assigns the authority to the user belonging to the tenant. By notifying the user, it is possible to reduce the time and effort of the administrator required for the work of assigning the authority.
According to the invention of
According to the invention of
以下、添付図面を参照して、本発明の実施の形態について詳細に説明する。
<情報処理システムの全体構成>
図1は、本実施形態の情報処理システムの全体構成を示す図である。図1に示すように、本実施形態の情報処理システム100は、テナント管理サーバ10と、資源提供サーバ20と、クライアント端末30と、情報機器40とを備える。各装置は、ネットワーク50を介して接続されている。また、図1において破線で示すように、テナント管理サーバ10および資源提供サーバ20は、ネットワーク50上の資源やサービスを提供するサービス環境を構成し、クライアント端末30は、ネットワーク50上の資源やサービスを利用するクライアント環境を構成する。情報機器40は、情報機器40の機能をネットワーク50上で利用可能な資源と捉え、クライアント端末30から情報機器40の機能を利用するという観点ではサービス環境に含まれる。一方、情報機器40は、クライアント端末30と同様に、情報機器40自体のユーザ・インターフェイスを介してユーザが直接操作する操作対象装置となり得る。よって、この観点ではクライアント環境に含まれる。
Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.
<Overall configuration of information processing system>
FIG. 1 is a diagram showing an overall configuration of the information processing system of the present embodiment. As shown in FIG. 1, the
テナント管理サーバ10は、ユーザがネットワーク50上の資源を利用するための権限を管理するサーバであり、管理手段の一例である。また、テナント管理サーバ10は、このネットワーク50上の資源を利用するための権限に基づき、ユーザによる資源へのアクセスを制御するサーバであり、制御手段の一例である。ここで、ネットワーク50上の資源とは、ユーザがネットワークを介して利用し得るハードウェア、ソフトウェア、データ等をいう。ここで、ネットワークで提供されるサービス(Webサービスやクラウド・サービス)を利用する際には、そのサービスを提供するために用いられたハードウェアやソフトウェアが使用される。したがって、本実施形態において、ネットワーク50上の資源には、ネットワークで提供されるサービスを含むものとする。また、ネットワーク50を介して情報機器40を操作する場合、情報機器40の機能は、ネットワーク50上でクライアント端末30から利用可能な資源に含まれる。テナントおよびユーザの権限の詳細については後述する。
The
資源提供サーバ20は、ネットワークを介して具体的な資源を提供するサーバであり、ネットワーク50上の資源の提供手段の一例である。資源提供サーバ20には、いわゆるサービス・プロバイダが含まれる。サービス・プロバイダとは、ネットワークを介してサービス(Webサービスやクラウド・サービス)を提供するサーバである。資源提供サーバ20により提供される資源としてのサービスは、例えば、ネットワーク50を介して利用されるアプリケーション・プログラム(Webアプリケーション)や、さらにバックエンドに置かれたアプリケーション・プログラムを用いた処理により実現される。また、資源提供サーバ20により提供されるサービスには、ストレージやプロセッサ等のハードウェア資源の提供やソフトウェア自体(ソフトウェア・パッケージ)の提供等も含む。
The
クライアント端末30は、テナント管理サーバ10を介して、資源提供サーバ20により提供されるサービスを利用する端末装置である。クライアント端末30は、例えば、パーソナル・コンピュータ、タブレット端末やスマートフォン等の携帯型情報端末、その他、ネットワーク50を介してテナント管理サーバ10に接続し、ネットワーク50上の資源を利用し得る情報端末である。上述したように、ネットワーク50上の資源の利用には、資源提供サーバ20により提供されるサービス、ハードウェア資源、ソフトウェア・パッケージを利用することの他、ネットワーク50を介して情報機器40の機能を利用することも含まれる。
The
情報機器40は、ユーザが使用するネットワーク50に接続可能な情報処理装置であって、クライアント端末30以外のものであり、テナント管理サーバ10により管理されている装置である。情報機器40は、制御手段としてのテナント管理サーバ10に関連付けられた外部装置の一例である。情報機器40は、それ自体がユーザ・インターフェイスを有し、クライアント端末30と同様に、ユーザが直接操作する操作対象装置となり得る。情報機器40は、例えば、ネットワーク50に接続するための通信機能を備えたオフィス機器等で実現される。具体的には、複写機、スキャナ、ファックス送受信機、プリンタ、これらの機能を複合的に備えた複合機等が挙げられる。また、オフィス内で共有される(個別にユーザに対応付けられていない)パーソナル・コンピュータやタブレット端末等の情報端末を情報機器40としても良い。また、情報機器40の機能は、テナント管理サーバ10により管理、提供されるネットワーク50上の資源として、クライアント端末30から利用されるようにしても良い。情報機器40は、ネットワーク50とは別のLANを介してクライアント端末30に接続する構成としても良い。
The
ネットワーク50は、情報処理システム100を構成する装置間のデータ通信に用いられる通信ネットワークである。ネットワーク50は、データの送受信が可能であれば、その種類は特に限定されず、例えばインターネット、LAN(Local Area Network)、WAN(Wide Area Network)等として良い。データ通信に用いられる通信回線は、有線であっても無線であっても良い。また、複数のネットワークや通信回線を介して各装置を接続するように構成しても良い。上述したように、情報処理システム100のうち、ユーザ環境を構成するクライアント端末30と情報機器40とは、ネットワーク50とは別のLANを介して接続しても良い。この場合、例えば、クライアント端末30および情報機器40が接続されたLAN(LANのルータ)をネットワーク50に接続することにより、クライアント環境とサービス環境とを接続するネットワークを構築しても良い。
The
<情報処理システムの管理機能>
図2は、本実施形態の情報処理システムによるマルチテナント型の管理方式を説明する図である。本実施形態では、テナント管理サーバ10が、マルチテナント型の管理方式により、ネットワーク50上の資源を利用するための権限を管理する。テナントとは、ネットワーク50上の資源の利用に関する管理を行う単位である。マルチテナント型の管理方式では、テナントが複数設定され、テナントごとに権限の管理が行われる。そして、テナントごとに設定されたライセンスに従って資源へのアクセスが制御される。したがって、テナント管理サーバ10は、管理機能および制御機能を有するテナント管理手段の一例である。
<Information processing system management function>
FIG. 2 is a diagram illustrating a multi-tenant type management method by the information processing system of the present embodiment. In the present embodiment, the
各テナントには、資源提供サーバ20によるサービス(Webサービスやクラウド・サービス)を利用するためのライセンス、資源提供サーバ20を介して利用可能なソフトウェア・パッケージを利用するためのライセンス、情報機器40の機能を利用するライセンス等が設定される。ライセンスとは、テナントに付与されたサービスやソフトウェア・パッケージの利用権限である。ライセンスは、クラウド・サービスのプロバイダや、ソフトウェア・パッケージのベンダーから、テナントに対して付与される。ライセンスの条項により、ユーザ上限数などが設けられている。
Each tenant has a license for using the service (Web service or cloud service) provided by the
また、各テナントには、1または複数のユーザが所属する。実際の運用において、テナントは、利用契約等により、企業や企業内の部署、その他の団体等の種々の組織に対応付けて設定することができる。このようにすれば、テナントに対応する組織ごとに、上記の各種のライセンスを管理し、ネットワーク50上の資源の利用を制御し得る。すなわち、テナントに所属するユーザ(以下、所属ユーザ)およびテナントに設定されたライセンスは、テナントにより管理される管理対象である。テナントが設定された組織は、各々のテナントにおいて、別個のシステム上で提供されている専用の資源を利用しているのと同様にネットワーク50上の資源を利用し得る。
In addition, one or more users belong to each tenant. In actual operation, the tenant can be set in association with various organizations such as a company, a department within the company, and other organizations by a usage contract or the like. In this way, it is possible to manage the above-mentioned various licenses and control the use of resources on the
また、各テナントには、テナント管理者が設定され、このテナント管理者により、テナントに所属するユーザに対してロールの割り当てが行われる。ロールとは、ユーザに対して割り当てられるライセンスの利用権限である。また、テナント管理者とは、テナントに対するユーザの所属を許可し、テナントの所属ユーザに対してロールを設定し、所属ユーザおよび各所属ユーザに割り当てられたロールを管理する者である。また、テナント管理者は、テナントにおけるライセンスの設定を行う者である。また、テナントに所属するユーザ(所属ユーザ)とは、テナントに関連付けて登録され、割り当てられたロールにしたがって、テナントに設定されたライセンスを利用することが認められたユーザである。各ユーザのロールは、テナントに設定されたライセンスの範囲内で定められる。例えば、あるソフトウェア・パッケージの利用に関し、テナントに設定されたライセンス数が10である場合、10人までの所属ユーザにソフトウェア・パッケージを利用するためのロールを割り当てることができる。言い換えると、このテナントに所属するユーザが10人よりも多い場合であっても、10人を超える所属ユーザにロールを割り当てることはできない。また、あるクラウド・サービスの利用に関し、テナントに設定されたライセンスにより利用できるサービス内容に制限がある場合、ライセンスが設定されたサービス内容に関してのみ、ロールを所属ユーザに割り当てることができる。そして、制限されたサービス内容に関するロールを所属ユーザに割り当てることはできない。 In addition, a tenant administrator is set for each tenant, and the tenant administrator assigns roles to users belonging to the tenant. A role is a license usage right assigned to a user. The tenant administrator is a person who allows the user to belong to the tenant, sets a role for the user belonging to the tenant, and manages the belonging user and the role assigned to each belonging user. The tenant manager is a person who sets a license in the tenant. Further, the user belonging to the tenant (belonging user) is a user who is registered in association with the tenant and is permitted to use the license set in the tenant according to the assigned role. The role of each user is defined within the scope of the license set for the tenant. For example, regarding the use of a certain software package, if the number of licenses set for the tenant is 10, up to 10 affiliated users can be assigned roles to use the software package. In other words, even if there are more than 10 users belonging to this tenant, roles cannot be assigned to more than 10 users. In addition, regarding the use of a certain cloud service, if the service content that can be used is limited by the license set for the tenant, the role can be assigned to the belonging user only for the service content for which the license is set. Then, the role related to the restricted service content cannot be assigned to the belonging user.
<各装置のハードウェア構成>
図3は、テナント管理サーバ10、資源提供サーバ20、クライアント端末30等を実現するコンピュータのハードウェア構成例を示す図である。図3に示すコンピュータ200は、演算手段であるCPU(Central Processing Unit)201と、記憶手段である主記憶装置(メイン・メモリ)202および外部記憶装置203を備える。CPU201は、外部記憶装置203に格納されたプログラムを主記憶装置202に読み込んで実行する。主記憶装置202としては、例えばRAM(Random Access Memory)が用いられる。外部記憶装置203としては、例えば磁気ディスク装置やSSD(Solid State Drive)等が用いられる。また、コンピュータ200は、表示装置(ディスプレイ)210に表示出力を行うための表示機構204と、コンピュータ200の操作者による入力操作が行われる入力デバイス205とを備える。入力デバイス205としては、例えばキーボードやマウス等が用いられる。また、コンピュータ200は、ネットワーク50に接続するためのネットワーク・インターフェイス206を備える。
<Hardware configuration of each device>
FIG. 3 is a diagram showing a hardware configuration example of a computer that realizes a
なお、図3に示すコンピュータ200の構成は一例に過ぎず、図3の構成例に限定されるものではない。例えば、記憶装置としてフラッシュ・メモリ等の不揮発性メモリやROM(Read Only Memory)を備える構成としても良い。また、テナント管理サーバ10、資源提供サーバ20、クライアント端末30等の適用対象に応じて、具体的な構成は異なる場合がある。例えば、クライアント端末30がタブレット端末等で実現される場合、入力デバイス205としてタッチセンサと液晶ディスプレイとを組み合わせたタッチパネルが用いられる。また、テナント管理サーバ10および資源提供サーバ20は、図3に示すようなコンピュータ200の単体で構成しても良いし、複数のコンピュータ200による分散処理にて実現するように構成しても良い。
The configuration of the
図4は、情報機器40の一例としての画像形成装置のハードウェア構成例を示す図である。図4に示す画像形成装置300は、原稿の画像を読み取る画像読取装置310と、記録材上に画像を記録する画像記録装置320と、を備えている。また、画像形成装置300は、画像形成装置300の全体動作を制御する制御装置500を備える。また、特に図示していないが、画像形成装置300は、画像形成装置300の操作者からの操作入力の受け付けや操作者に対する各種情報の表示を行なうユーザ・インターフェース(UI)を備えている。
FIG. 4 is a diagram showing a hardware configuration example of an image forming apparatus as an example of the
画像読取装置310は、光学的に画像を読み取る、いわゆるスキャナであり、画像を読み取る読取部311と、原稿を搬送する搬送部312とを備える。
The
画像記録装置320、用紙Pに画像を形成する画像形成部322と、画像形成部322に対して用紙Pを供給する用紙供給部326と、画像形成部322にて画像が形成された用紙Pを排出する用紙排出部327と、画像形成部322にて一方の面に画像が形成された用紙Pの表裏を反転させ、画像形成部322に向けて再度搬送する反転搬送部328と、を備えている。
The
図5は、制御装置500の構成例を示す図である。図5に示すように、制御装置500は、CPU501、ROM502、RAM503と、画像データや各種データ等の記憶に用いられる記憶装置504とを備える。また、制御装置500は、画像データが表す画像に色補正や階調補正などの画像処理を加える画像処理部(プロセッサ)505と、ネットワーク50を介してテナント管理サーバ10やクライアント端末30と接続するためのネットワーク・インターフェイス506とを備える。
FIG. 5 is a diagram showing a configuration example of the
CPU501は、RAM503を作業エリアに使用してROM502から読み出したプログラムを実行する。CPU501は、プログラムを実行することにより、例えば、クライアント端末30から印刷指示を受け付けて、画像形成部322を含む画像記録装置320の動作を制御し、用紙Pに画像を形成して排出する。また、CPU501は、プログラムを実行することにより、ネットワーク・インターフェイス506を用い、ネットワーク50を介してテナント管理サーバ10やクライアント端末30との間でデータの送受信を行う。
The
記憶装置504は、画像読取装置310で読み取った原稿の画像やクライアント端末30から受信した画像に関するデータを記憶する。また、記憶装置504は、必要に応じてプログラムを記憶する。記憶装置504としては、例えば磁気ディスク装置やSSD(Solid State Drive)等が用いられる。
The
<テナント管理サーバの機能構成>
図6は、テナント管理サーバ10の機能構成を示す図である。図6に示すように、テナント管理サーバ10は、ユーザ登録部11と、ライセンス管理部12と、ロール設定部13と、ロール管理部14と、機器情報取得部15と、情報格納部16と、操作画面生成部17と、送受信制御部18とを備える。情報格納部16には、所属ユーザ、テナント、ライセンス、ロール等の情報が様々に対応付けられて格納されている。各情報の詳細については後述する。ユーザ登録部11、ライセンス管理部12、ロール設定部13、ロール管理部14、機器情報取得部15、操作画面生成部17および送受信制御部18の機能は、例えば、図3に示したコンピュータ200において、CPU201がプログラムを実行することにより実現される。情報格納部16は、例えば、図3に示したコンピュータ200において、主記憶装置202や外部記憶装置203により実現される。
<Functional configuration of tenant management server>
FIG. 6 is a diagram showing a functional configuration of the
ユーザ登録部11は、テナントの所属ユーザを登録する登録手段である。所属ユーザはテナントごとに設定され登録される。ユーザ登録部11は、例えば、ネットワーク50に接続された認証サーバ(図示せず)により認証されたことを条件として所属ユーザを登録しても良い。認証サーバとしては、IdP(Identity Provider)を用いて良い。IdPとは、ユーザの個人認証を行うサーバである。また、本実施形態では、情報機器40から取得される情報機器40の使用に関する情報に基づき、情報機器40を使用するユーザを登録する。具体的な登録条件や登録のための手続き等については後述する。登録された所属ユーザの情報および所属するテナントとユーザとの対応情報は、ユーザ情報164として情報格納部16に格納される。
The
ライセンス管理部12は、テナントに対して設定されたライセンスをテナントに対応付けて管理する管理手段である。ライセンスは、テナントごとに個別に設定される。また、ライセンス管理部12は、各テナントの所属ユーザが各テナントにおけるライセンスを行使するためのロールを定義する。ライセンスの情報はライセンス情報162として、ロールの情報はロール情報165として、情報格納部16に格納される。ライセンス管理部12により管理されるライセンスは、例えば、資源提供サーバ20によるサービス(Webサービスやクラウド・サービス)を利用するためのライセンス、資源提供サーバ20により提供されるソフトウェア・パッケージを利用するためのライセンス、情報機器40の機能を利用するライセンス等である。
The
ロール設定部13は、テナントの所属ユーザに対し、テナントに設定されたライセンスを行使するためのロールを設定する設定手段である。ロールは、ライセンス管理部12により管理されているライセンスの範囲内で設定される。テナントに設定されたライセンスの範囲を超えてロールを設定する必要が生じた場合、ライセンス管理部12によるライセンスの設定変更を行って対応することが必要となる。テナントに設定されたライセンスの範囲を超えてロールを設定する必要が生じる場合としては、例えば、所属ユーザの増加等により設定されているライセンス数よりも多いライセンスが必要となった場合や、設定されているライセンスの内容とは異なる内容のライセンスが必要な場合等がある。
The
ロール管理部14は、ロールに関する情報を管理する管理手段である。ロールに関する情報としては、例えば、新規ロールの設定(所属ユーザへのロールの付与)、ロールの削除、ロールが行使されたテナントを特定する情報(テナントID)、ロールを行使した所属ユーザを特定する情報(ユーザID)、ロールが行使された際に行われた操作、ロールが行使された日時などの情報が挙げられる。
The
以上のように、テナント管理サーバ10は、ライセンス管理部12の機能により、テナントごとに設定されたネットワーク上の資源を利用する権限に基づき、テナントの所属ユーザによる資源へのアクセスを制御する。また、テナント管理サーバ10は、ユーザ登録部11、ライセンス管理部12、ロール設定部13およびロール管理部14の機能により、ネットワーク50上の資源へアクセス可能なユーザを登録して管理する。
As described above, the
機器情報取得部15は、情報機器40の利用に関する情報を取得する取得手段である。詳しくは後述するが、情報機器40は、実行された動作(ジョブ)の内容および実行日時の情報を、後述の履歴情報(動作履歴)として保持する。また、情報機器40を操作するために操作者の個人認証が行われる場合、情報機器40は、各ジョブを情報機器40に実行させた操作者の情報も履歴情報に含めて保持する。機器情報取得部15は、例えば定期的に、情報機器40からこの履歴情報を取得し、後述の操作履歴情報165として情報格納部16に保存する。また、情報機器40の管理システムとして、ネットワーク50を介して情報機器40に接続した機器管理サーバ(図示せず)により、情報機器40の動作状態や消耗品の状態等を管理することがある。この場合、機器情報取得部15は、情報機器40ではなく、機器管理サーバから履歴情報を取得するようにしても良い。このようにすれば、テナント管理サーバ10のテナントに登録された複数の情報機器40から履歴情報を個別に取得するのではなく、機器管理サーバに管理された複数の情報機器40から収集された履歴情報をまとめて取得することが可能となる。
The device
本実施形態において、機器情報取得部15は、情報機器40から取得した履歴情報を、テナントに関連付けて仕分ける。テナントには、情報機器40の機能を使用するためのライセンスが設定される。したがって、このライセンスによりテナントと情報機器40とが関連付けられる。情報機器40から取得される履歴情報には、後述のように、実行された情報機器40の動作の内容および実行日時を示す情報とともに、その動作に関するテナント、ライセンス、ユーザ等の識別情報が含まれる。したがって、この履歴情報に基づき、情報機器40を操作したユーザ、そのユーザが所属するテナント等を特定することができる。
In the present embodiment, the device
情報格納部16は、テナントを管理するために用いられる情報を格納する格納手段である。ここで、情報格納部16には、テナント情報161、ライセンス情報162、ロール情報163、ユーザ情報164、情報機器40の操作履歴情報165が格納される。
テナント情報161は、テナント管理サーバ10の管理単位として設定された各テナントの識別情報(テナントID)、各テナントの属性情報(テナント属性)等を含む。
ライセンス情報162は、ライセンスが設定されたテナントに対応付けて作成され、各ライセンスの識別情報(ライセンスID)、各ライセンスの属性情報(ライセンス属性)等を含む。
ロール情報163は、ロールが定義されるライセンスに対応付けて作成され、各ロールの識別情報(ロールID)等を含む。
ユーザ情報164は、ユーザが所属するテナントに対応付けて作成され、各所属ユーザの識別情報(ユーザID)、各所属ユーザの属性情報(ユーザ属性)等を含む。
操作履歴情報165は、情報機器40を用いて行われた動作(ジョブ)に関して、動作の内容を示す情報、動作の実行日時、操作を行ったユーザのユーザID、ユーザが所属するテナントのテナントID、そのテナントIDで特定されるテナントに対して設定されている情報機器40に関するライセンスのライセンスID等を含む。なお、機器情報取得部15により情報機器40から動作に関する履歴情報が取得され、この履歴情報を操作履歴情報165として情報格納部16に保持しても良いし、履歴情報から必要な情報を抽出しあるいは加工して操作履歴情報165として保持しても良い。
The
The
The
The
The
The
操作画面生成部17は、テナント内における所属ユーザの操作を受け付けるための操作画面を生成する画面生成手段である。操作画面は、例えば、Webページとして生成される。また、操作画面は、テナント管理者が使用するための管理者用操作画面と、所属ユーザが使用するためのユーザ用操作画面とに分けても良い。管理者用操作画面では、例えば、ユーザ登録部11、ライセンス管理部12、ロール設定部13およびロール管理部14に対する操作を受け付ける。管理者用操作画面は、テナント管理者が、自身が管理するテナントに管理者権限でログインした場合に生成され、テナント管理者のクライアント端末30に送られる。また、ユーザ用操作画面では、機器情報取得部15の機能に対する操作を受け付ける。ユーザ用操作画面は、テナントの所属ユーザが、自身が所属するテナントに所属ユーザとしてログインした場合に生成され、その所属ユーザのクライアント端末30に送られる。各クライアント端末30に送られた操作画面は、クライアント端末30の表示手段により表示される。テナント管理者や所属ユーザが、クライアント端末30の表示手段に表示された操作画面に対して入力操作等を行うと、操作内容の情報がクライアント端末30からテナント管理サーバ10へ送信される。なお、ログインとは、テナント管理サーバ10による管理下でネットワーク50上の資源を利用するために、予め設定されたアカウント情報を用いて、テナントの所属ユーザを認証するための操作である。
The operation
送受信制御部18は、資源提供サーバ20、クライアント端末30および情報機器40と通信を行うための通信手段である。送受信制御部18は、例えば、図3に示したネットワーク・インターフェイス206を制御し、ネットワーク50を介して資源提供サーバ20、クライアント端末30および情報機器40との間でコマンドやデータを送受信する。
The transmission /
<資源提供サーバの機能構成>
図7は、資源提供サーバ20の機能構成を示す図である。図7に示すように、資源提供サーバ20は、アプリケーション実行部21と、送受信制御部22とを備える。アプリケーション実行部21および送受信制御部22の機能は、例えば、図3に示したコンピュータ200において、CPU201がプログラムを実行することにより実現される。
<Functional configuration of resource providing server>
FIG. 7 is a diagram showing a functional configuration of the
アプリケーション実行部21は、資源提供サーバ20による資源の提供に係る処理を実現するアプリケーション・プログラムを実行する実行手段である。例えば、資源提供サーバ20がサービス・プロバイダである場合、アプリケーション実行部21は、サービス(Webサービスやクラウド・サービス)に係る処理を実行する。また、資源提供サーバ20がソフトウェア・パッケージを提供するサーバである場合、アプリケーション実行部21は、ソフトウェア・パッケージを利用するためのライセンスを管理するLMS(License Management System)サーバとしての機能を実現する。LMSサーバとは、ソフトウェア・パッケージのライセンスの有効性を確認し、利用の許諾を与えるサーバである。
The
送受信制御部22は、テナント管理サーバ10、クライアント端末30および情報機器40と通信を行うための通信手段である。送受信制御部22は、例えば、図3に示したネットワーク・インターフェイス206を制御し、ネットワーク50を介してテナント管理サーバ10、クライアント端末30および情報機器40との間でコマンドやデータを送受信する。
The transmission /
本実施形態では、資源提供サーバ20により提供される資源を利用するユーザの認証は、図示しない認証サーバ(IdP等)により行われる。したがって、図7に示すように、資源提供サーバ20はユーザ認証のための手段を有していない。ただし、資源提供サーバ20に認証手段を設け、認証サーバを用いず、個々の資源提供サーバ20においてユーザ認証を行うように構成しても良い。
In the present embodiment, the authentication of the user who uses the resource provided by the
<クライアント端末の機能構成>
図8は、クライアント端末30の機能構成を示す図である。図8に示すように、クライアント端末30は、操作画面表示部31と、操作受け付け部32と、送受信制御部33とを備える。操作画面表示部31、操作受け付け部32および送受信制御部33の機能は、例えば、図3に示したコンピュータ200において、CPU201がプログラムを実行することにより実現される。
<Functional configuration of client terminal>
FIG. 8 is a diagram showing a functional configuration of the
操作画面表示部31は、資源提供サーバ20により提供されるサービスやソフトウェア・パッケージ、情報機器40の機能等を使用するための操作画面を生成し表示させる手段である。操作画面表示部31は、例えば、図3に示した表示機構204を制御し、表示装置210に操作画面を表示させる。また、操作受け付け部32は、操作画面上で行われた操作を、サービス、ソフトウェア・パッケージ、情報機器40の機能等を使用するための操作として受け付ける手段である。操作受け付け部32は、例えば、図3に示した入力デバイス205を用いて行われた操作を受け付ける。一例として、サービス、ソフトウェア・パッケージ、情報機器40の機能等を、WWW(World Wide Web)を用いて提供する場合、操作画面表示部31および操作受け付け部32の機能は、Webブラウザにより実現される。
The operation
送受信制御部33は、テナント管理サーバ10、資源提供サーバ20および情報機器40と通信を行うための通信手段である。送受信制御部33は、例えば、図3に示したネットワーク・インターフェイス206を制御し、ネットワーク50を介してテナント管理サーバ10および資源提供サーバ20との間でコマンドやデータを送受信する。
The transmission /
<情報機器の機能構成>
図9は、情報機器40の一例として図4に示した画像形成装置の制御装置500の機能構成を示す図である。図9に示すように、制御装置500は、動作制御部510と、情報保持部520と、送受信制御部530とを備える。動作制御部510および送受信制御部530の機能は、例えば、図5に示したCPU501がROM502や記憶装置504に格納されたプログラムを実行することにより実現される。また、情報保持部520は、例えば、図5に示したRAM503や記憶装置504により実現される。
<Functional configuration of information equipment>
FIG. 9 is a diagram showing a functional configuration of a
動作制御部510は、クライアント端末30から受け付けた命令(コマンド)に基づいて、画像形成装置10の動作を制御する制御手段である。具体的には、例えば、画像形成指示を受け付けて、コマンドと共に受信した画像データに基づき、画像記録装置12が用紙Pへの画像形成および画像が形成された用紙Pの排出を行うように制御する。
The
情報保持部520は、情報機器40としての画像形成装置の動作に応じて生成される履歴情報521を保持する保持手段である。履歴情報521は、例えば定期的にテナント管理サーバ10へ送信され、操作履歴情報165としてテナント管理サーバ10の情報格納部16に格納される。
The
送受信制御部530は、テナント管理サーバ10およびクライアント端末30と通信を行うための通信手段である。送受信制御部530は、例えば、図5に示したネットワーク・インターフェイス506を介してテナント管理サーバ10およびクライアント端末30との間でコマンドやデータを送受信する。
The transmission /
<情報機器の使用に基づくテナントへの招待>
次に、テナント管理者によるユーザに対するテナントへの招待について説明する。テナント管理者は、テナント管理サーバ10においてユーザに資源を提供するために新たなテナントを設定した場合、ユーザをテナントに所属させ、テナントにおいて設定したライセンスに基づく権限(ロール)をユーザに付与する。本実施形態では、テナント管理サーバ10が、テナントにおいてライセンスによりアクセス制御された資源である情報機器40の使用状況に応じて、ユーザにテナントへの所属を促す(招待する)。具体的には、例えば、テナント管理サーバ10が、ユーザのクライアント端末30へ、テナントへの所属を承諾するか否かを問い合わせる通知を行う。そして、テナント管理サーバ10は、クライアント端末30からユーザによる承諾を示す応答を受け付けると、そのユーザをテナントの所属ユーザとして登録する。そして、テナント管理サーバ10は、ユーザの承諾に応じて、そのユーザをテナントに所属させ、資源を利用するための権限を付与する。
<Invitation to tenants based on the use of information equipment>
Next, the tenant administrator's invitation to the user to the tenant will be described. When the tenant manager sets a new tenant to provide resources to the user on the
情報機器40がライセンスによるアクセス制御の対象(資源)としてテナントに登録されると、情報機器40からテナント管理サーバ10へ履歴情報521が送られ、テナントに関連する操作履歴情報165として保持されるようになる。テナント管理サーバ10のユーザ登録部11は、この操作履歴情報165に基づいて、テナントに登録された情報機器40の操作者であってテナントの所属ユーザでないユーザをテナントへ招待する。テナントへの招待は、例えば、テナントに所属してテナントの制御機能を介して各資源へのアクセスが可能な所属ユーザとして登録可能であることを通知することにより行われる。したがって、ユーザ登録部11および送受信制御部18は、通知手段の一例である。
When the
ユーザを招待するタイミングとしては、テナントが開設された際にユーザを招待する場合と、テナントに登録されている情報機器40をユーザが操作した際にそのユーザを招待する場合とがある。具体的には、前者では、テナントが開設されると、そのテナントに情報機器40が登録された際に、機器情報取得部15が、情報機器40から履歴情報521(操作履歴情報165)を取得する。そして、ユーザ登録部11が、機器情報取得部15により取得された情報から、テナントの所属ユーザでないユーザを特定し、招待の対象とする。後者では、ユーザが情報機器40を操作すると、そのユーザによる操作に基づく履歴情報521が情報機器40に保存される。この操作がそのユーザによるその情報機器40に対する初めての操作である場合、履歴情報521には、そのユーザに関する情報が初めて記録される。そして、機器情報取得部15が、情報機器40から履歴情報521(操作履歴情報165)を取得した際に、ユーザ登録部11が、機器情報取得部15により取得された情報から、テナントの所属ユーザでないユーザを特定し、招待の対象とする。
The timing of inviting the user may be the case of inviting the user when the tenant is opened or the case of inviting the user when the user operates the
図10は、テナントの開設に応じてユーザを招待する動作を示すシーケンス図である。この動作例では、新たなテナントAが開設され、ユーザaがテナントAの所属ユーザになるものとする。また、前提として、テナントAが開設される以前に、ユーザaが情報機器40を操作しているものとする。すなわち、この時点では、ユーザaは、テナントAとは別のテナントに所属してまたはいずれのテナントにも所属せずに、情報機器40を操作している。
FIG. 10 is a sequence diagram showing an operation of inviting a user in response to the opening of a tenant. In this operation example, it is assumed that a new tenant A is opened and the user a becomes a user belonging to the tenant A. Further, as a premise, it is assumed that the user a operates the
図10に示すように、ユーザaがクライアント端末30から処理の実行指示を送信して情報機器40を使用し、処理を実行させると(S1001)、情報機器40は、履歴情報521を生成して保持する(S1002)。生成された履歴情報521は、例えば定期的に、情報機器40を管理する機器管理サーバ70に送られて保存される(S1003)。図10に示す例では、ユーザaのクライアント端末30から情報機器40の操作が行われているが、ユーザaが情報機器40のユーザ・インターフェイスを用いて情報機器40を直接操作しても良い。この場合、例えば、情報機器40において社員証等を用いた個人認証を行い、ユーザaによる操作であることを識別する。
As shown in FIG. 10, when the user a transmits a process execution instruction from the
テナント管理サーバ10においてテナントAが開設され(S1004)、テナントAの管理下で使用可能な情報機器40が登録されると(S1005)、機器管理サーバ70からテナント管理サーバ10へ情報機器40の使用者の情報が送られる(S1006)。情報機器40の使用者の情報は、機器管理サーバ70に保存されている情報機器40の履歴情報521から取得することができる。
When tenant A is opened on the tenant management server 10 (S1004) and the
テナント管理サーバ10は、取得した情報機器40の使用者の情報に基づき、ユーザaを特定し、ユーザaのクライアント端末30に、テナントAへの招待を行う(S1007)。クライアント端末30においてユーザaがテナントAに所属することを承諾し、その応答がテナント管理サーバ10に返送されると(S1008)。テナント管理サーバ10のユーザ登録部11が、ユーザaをテナントAの所属ユーザとして登録する(S1009)。そして、テナント管理サーバ10のライセンス管理部12、ロール設定部13およびロール管理部14により、テナントAに設定されているライセンスに応じてユーザaに権限(ロール)が割り当てられる。これ以降、ユーザaは、テナントAから割り当てられた権限(ロール)に基づいて、資源提供サーバ20にアクセスし、資源を利用することが可能となる。
The
なお、上記の動作例では、情報機器40の履歴情報521が機器管理サーバ70に保存され、機器管理サーバ70からテナント管理サーバ10へ送られることとした。これに対し、テナント管理サーバ10を機器管理サーバ70として用い、情報機器40の管理を行うようにしても良い。また、機器管理サーバ70を設けず、情報機器40のみが履歴情報521を保存し、テナント管理サーバ10は情報機器40から履歴情報521を取得して情報機器40の使用者の情報を抽出する構成としても良い。
In the above operation example, the history information 521 of the
また、上記の動作例では、新たにテナントAが開設された場合に、その新たなテナントAにおいて管理対象として登録された情報機器40の使用者であるユーザaをテナントAに招待した。これに対し、テナントAが既に開設されている場合であっても、ある情報機器40が新たにテナントAの管理対象として登録された場合に、その情報機器40の使用者をテナントAに招待するようにしても良い。この場合、例えば図10において、S1004が行われずに、S1005で既存のテナントに新たな情報機器40が登録される。
Further, in the above operation example, when the tenant A is newly opened, the user a who is the user of the
図11は、ユーザによる情報機器40の最初の操作に応じてテナントにユーザを招待する動作を示すシーケンス図である。この動作では、テナントAが既に開設されており、情報機器40がテナントAの管理対象として登録されているものとする。また、これまでにユーザaにより情報機器40が使用されたことはないものとする。
FIG. 11 is a sequence diagram showing an operation of inviting a user to a tenant in response to the first operation of the
図11に示すように、ユーザaがクライアント端末30から処理の実行指示を送信して情報機器40を使用(ユーザaによる情報機器40の最初の使用)し、処理を実行させると(S1101)、情報機器40は、履歴情報521を生成して保持する(S1102)。生成された履歴情報521は、例えば定期的に、情報機器40を管理する機器管理サーバ70に送られて保存される(S1103)。図11に示す例では、ユーザaのクライアント端末30から情報機器40の操作が行われているが、ユーザaが情報機器40のユーザ・インターフェイスを用いて情報機器40を直接操作しても良い。この場合、例えば、情報機器40において社員証等を用いた個人認証を行い、ユーザaによる操作であることを識別する。
As shown in FIG. 11, when the user a transmits a process execution instruction from the
機器管理サーバ70からテナント管理サーバ10へは、例えば定期的に履歴情報521が送信されている。したがって、ユーザaによる情報機器40の操作が行われた後、履歴情報521の送信条件(時期的条件)を満足すると、ユーザaによる情報機器40の操作に関する情報を含む履歴情報521が、機器管理サーバ70からテナント管理サーバ10へ送られる(S1104)。
For example, history information 521 is periodically transmitted from the
テナント管理サーバ10は、取得した履歴情報521(操作履歴情報165)から、情報機器40を初めて使用したユーザの情報を抽出する(S1105)。この場合、そのようなユーザとして、ユーザaの情報が抽出される。次に、テナント管理サーバ10は、抽出したユーザaの情報に基づき、ユーザaのクライアント端末30に、テナントAへの招待を行う(S1106)。クライアント端末30においてユーザaがテナントAに所属することを承諾し、その応答がテナント管理サーバ10に返送されると(S1107)。テナント管理サーバ10のユーザ登録部11が、ユーザaをテナントAの所属ユーザとして登録する(S1108)。そして、テナント管理サーバ10のライセンス管理部12、ロール設定部13およびロール管理部14により、テナントAに設定されているライセンスに応じてユーザaに権限(ロール)が割り当てられる。これ以降、ユーザaは、テナントAから割り当てられた権限(ロール)に基づいて、資源提供サーバ20にアクセスし、資源を利用することが可能となる。
The
なお、上記の動作例では、情報機器40の履歴情報521が機器管理サーバ70に保存され、機器管理サーバ70からテナント管理サーバ10へ送られることとした。これに対し、テナント管理サーバ10を機器管理サーバ70として用い、情報機器40の管理を行うようにしても良い。また、機器管理サーバ70を設けず、情報機器40のみが履歴情報521を保存し、テナント管理サーバ10は情報機器40から履歴情報521を取得して情報機器40の使用者の情報を抽出する構成としても良い。
In the above operation example, the history information 521 of the
<変形例>
上記の実施形態では、テナントに登録された情報機器40の操作者であってテナントの所属ユーザでないユーザが検知された場合に、そのユーザをテナントに招待した。したがって、新たなテナントが開設されて、テナントの管理対象として情報機器40が登録されると、それまでその情報機器40を使用していた全てのユーザが招待の対象となった。また、既に存在するテナントの管理対象である情報機器40を初めて操作したユーザは、情報機器40を操作したことを契機として、招待の対象となった。
<Modification example>
In the above embodiment, when a user who is an operator of the
これに対し、本実施形態の第1の変形例では、単に情報機器40を使用したか否かだけでなく、使用頻度に基づいてユーザをテナントへの招待の対象とする。具体的には、情報機器40に対する使用頻度に対して閾値を設定し、使用頻度が閾値を超えるユーザをテナントに招待する。この閾値は、種々の定め方で設定して良い。例えば、一定期間に情報機器40を使用した回数に基づいて設定しても良いし、一定間隔での情報機器40の使用の継続回数に基づいて設定しても良い。
On the other hand, in the first modification of the present embodiment, the user is invited to the tenant based on not only whether or not the
さらに、ユーザをテナントへ招待するための先の閾値を第1の閾値とし、これとは別に情報機器40の使用頻度に関して第2の閾値を設定し、所属ユーザによる情報機器40の使用頻度が第2の閾値を下回った場合に、テナントにおいて所属ユーザに付与されている権限を制限しても良い。また、所属ユーザによる情報機器40の使用頻度が第2の閾値を下回った場合に、直ちに所属ユーザの権限を制限するのではなく、権限を制限することを所属ユーザに報知した後、使用頻度が第2の閾値を超えない場合に権限を制限するようにしても良い。第1の閾値と第2の閾値とは、個別に設定して良い。例えば、第2の閾値を第1の閾値よりも小さい値に設定しても良い。
Further, the first threshold value for inviting the user to the tenant is set as the first threshold value, and a second threshold value is set separately for the usage frequency of the
また、本実施形態の第2の変形例では、ユーザが情報機器40を操作したことに加え、ユーザの属性に応じてユーザをテナントへの招待の対象とする。この場合、ユーザの属性情報を予めユーザ管理用のサーバ等に保持しておき、ユーザID等から属性情報を取得できるように構成しておく必要がある。ユーザの属性情報としては、例えば、部署、役職、業務の種類等の情報を用いても良い。すなわち、この変形例では、履歴情報521等から取得した使用者の情報に基づいて特定された情報機器40のユーザが特定の部署に所属する従業員であった場合にテナントへ招待し、その他の部署に所属する従業員であった場合にはテナントへ招待しないといった制御が行われる。
Further, in the second modification of the present embodiment, in addition to the user operating the
さらに、テナントの所属ユーザが、招待の条件となっている属性を失った場合に、テナントにおいて所属ユーザに付与されている権限を制限したり、テナントへの所属を取り消したりしても良い。上記の例では、テナントの所属ユーザが、上記の特定の部署から異動になった場合に、特定のサービスを利用する権限を制限するといった制御や、テナントへの所属を取り消すといった制御が行われる。 Further, when the user belonging to the tenant loses the attribute that is the condition of the invitation, the authority given to the user belonging to the tenant may be restricted or the affiliation to the tenant may be cancelled. In the above example, when the user belonging to the tenant is transferred from the above-mentioned specific department, the control such as restricting the authority to use the specific service and the control such as canceling the affiliation to the tenant are performed.
また、上記の実施形態では、テナントに招待したユーザの権限を、そのテナントに設定されているライセンスに基づいて付与した。これに対し、そのユーザが既に所属しているテナントにおいて付与されている権限を参酌して、新たなテナントにおいて付与する権限を特定しても良い。例えば、招待するテナントに設定されているライセンスに基づく権限のうち、ユーザが既に所属しているテナントで付与されている権限と重複する権限のみを招待したユーザに付与しても良い。 Further, in the above embodiment, the authority of the user invited to the tenant is granted based on the license set for the tenant. On the other hand, the authority granted by the new tenant may be specified by taking into consideration the authority granted by the tenant to which the user already belongs. For example, among the license-based privileges set for the tenant to be invited, only the privileges that overlap with the privileges granted by the tenant to which the user already belongs may be granted to the invited user.
以上、本発明の実施形態について説明したが、本発明の技術的範囲は上記実施の形態には限定されない。本発明の技術思想の範囲から逸脱しない様々な変更や構成の代替は、本発明に含まれる。例えば、個人認証や履歴情報521の保存等は、ネットワーク50に接続された他のサーバ等に代替しても良い。また、本実施形態は、テナント管理サーバ10によりテナントごとにユーザおよびライセンスを管理し得る種々のシステムに対して適用し得る。
Although the embodiments of the present invention have been described above, the technical scope of the present invention is not limited to the above embodiments. Various changes and alternative configurations that do not deviate from the scope of the technical idea of the present invention are included in the present invention. For example, personal authentication, storage of history information 521, and the like may be replaced by another server or the like connected to the
10…テナント管理サーバ、11…ユーザ登録部、12…ライセンス管理部、13…ロール設定部、14…ロール管理部、15…機器情報取得部、16…情報格納部、17…操作画面生成部、18…送受信制御部、20…資源提供サーバ、30…クライアント端末、40…情報機器、50…ネットワーク、161…テナント情報、162…ライセンス情報、163…ロール情報、164…ユーザ情報、165…操作履歴情報、500…制御装置、510…動作制御部、520…情報保持部、521…履歴情報、530…送受信制御部 10 ... Tenant management server, 11 ... User registration unit, 12 ... License management unit, 13 ... Role setting unit, 14 ... Role management unit, 15 ... Device information acquisition unit, 16 ... Information storage unit, 17 ... Operation screen generation unit, 18 ... Transmission / reception control unit, 20 ... Resource provision server, 30 ... Client terminal, 40 ... Information equipment, 50 ... Network, 161 ... Tenant information, 162 ... License information, 163 ... Role information, 164 ... User information, 165 ... Operation history Information, 500 ... Control device, 510 ... Operation control unit, 520 ... Information holding unit, 521 ... History information, 530 ... Transmission / reception control unit
Claims (11)
前記制御手段を介して前記資源へアクセス可能なユーザを登録して管理する管理手段と、
前記制御手段に関連付けられた外部装置の利用に関する情報を取得する取得手段と、
前記利用に関する情報に示される前記外部装置の利用者であって前記管理手段により管理されていない者に対し、前記制御手段を介して前記資源へアクセス可能なユーザとして登録可能であることを通知する通知手段と、
を備えることを特徴とする、情報処理装置。 A control means that controls access to a resource based on the authority to use the resource on the network,
A management means for registering and managing a user who can access the resource via the control means, and a management means.
An acquisition means for acquiring information regarding the use of an external device associated with the control means, and
Notify the user of the external device shown in the usage information and not managed by the management means that the user can be registered as a user who can access the resource via the control means. Notification means and
An information processing device characterized by being equipped with.
前記通知手段は、前記利用者の情報に基づき、前記外部装置を初めて利用した利用者を検出し、当該初めて利用した利用者に対し、前記通知を行うことを特徴とする、請求項1に記載の情報処理装置。 The acquisition means acquires history information regarding the use of the external device, extracts information on the user of the external device from the history information, and obtains information on the user of the external device.
The first aspect of claim 1, wherein the notification means detects a user who has used the external device for the first time based on the information of the user, and notifies the user who has used the external device for the first time. Information processing equipment.
前記通知手段は、利用頻度が予め定められた閾値よりも大きい利用者を検出し、検出した当該利用者に対し、前記通知を行うことを特徴とする、請求項1に記載の情報処理装置。 The acquisition means acquires history information regarding the use of the external device, extracts information on the frequency of use by the user of the external device from the history information, and obtains information on the frequency of use by the user of the external device.
The information processing apparatus according to claim 1, wherein the information processing means detects a user whose usage frequency is higher than a predetermined threshold value, and notifies the detected user of the user.
前記テナントに関連付けられた外部装置の利用に関する情報を取得する取得手段と、
前記利用に関する情報に示される前記外部装置の利用者であって前記テナントにより管理されていない者に対し、当該テナントの前記制御機能を介して前記資源へアクセス可能なユーザとして登録可能であることを通知する通知手段と、
を備えることを特徴とする、情報処理装置。 Tenant management means that manages the control function that controls access to the resource based on the authority to use the resource on the network and the management function that manages the users who can access the resource using the control function on a tenant-by-tenant basis. When,
An acquisition means for acquiring information on the use of an external device associated with the tenant, and
It can be registered as a user who can access the resource through the control function of the tenant to the user of the external device shown in the information regarding the usage and not managed by the tenant. Notification means to notify and
An information processing device characterized by being equipped with.
前記通知手段は、前記利用者の情報に基づき、前記外部装置を初めて利用した利用者を検出し、当該初めて利用した利用者に対し、前記通知を行うことを特徴とする、請求項9に記載の情報処理装置。 The acquisition means acquires history information regarding the use of the external device, extracts information on the user of the external device from the history information, and obtains information on the user of the external device.
The ninth aspect of the present invention, wherein the notification means detects a user who has used the external device for the first time based on the user's information, and notifies the user who has used the external device for the first time. Information processing equipment.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017157201A JP6897418B2 (en) | 2017-08-16 | 2017-08-16 | Information processing device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017157201A JP6897418B2 (en) | 2017-08-16 | 2017-08-16 | Information processing device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019036141A JP2019036141A (en) | 2019-03-07 |
JP6897418B2 true JP6897418B2 (en) | 2021-06-30 |
Family
ID=65637586
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017157201A Active JP6897418B2 (en) | 2017-08-16 | 2017-08-16 | Information processing device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6897418B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11606361B2 (en) | 2019-07-19 | 2023-03-14 | Ricoh Company, Ltd. | Cloud system, information processing system, and user registration method |
-
2017
- 2017-08-16 JP JP2017157201A patent/JP6897418B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2019036141A (en) | 2019-03-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6476760B2 (en) | Information processing system, information processing apparatus, login method, and program | |
US9430637B2 (en) | Service providing system and information gathering method | |
JP5299534B2 (en) | Printing system, management apparatus, image forming apparatus, and program | |
US10354209B2 (en) | Service providing system and log information providing method | |
CN104238968A (en) | Cloud server, cloud print system, and using method for controlling information equipment | |
US9514291B2 (en) | Information processing system, information processing device, and authentication information management method | |
US20210377277A1 (en) | Service providing system, information processing system, and use permission assigning method | |
JP6372311B2 (en) | Information processing system, electronic device, service authorization method and program | |
US10803161B2 (en) | Information processing system, information processing method, and information processing apparatus | |
JP6183035B2 (en) | Service providing system, service providing method and program | |
KR102273992B1 (en) | Image forming apparatus, control method of image forming apparatus, and storage medium | |
US10063745B2 (en) | Information processing system, information processing apparatus, and information processing method | |
US20150268911A1 (en) | Image forming system and image forming device | |
JP6191130B2 (en) | Information processing program, information processing method, information processing apparatus, and information processing system | |
JP6716899B2 (en) | Information processing system, information processing apparatus, and program | |
JP6897418B2 (en) | Information processing device | |
US10114959B2 (en) | Information processing apparatus, information processing method, and information processing system | |
US11431716B2 (en) | Information processing apparatus and non-transitory computer readable medium | |
JP5963725B2 (en) | Image forming apparatus | |
US11595394B2 (en) | Information processing system, apparatus, and method for setting a role in an application package | |
US11481166B2 (en) | Information processing system, information processing apparatus for controlling access to resources and functions for managing users allowed to access the resources | |
JP2019036245A (en) | Information processing device | |
JP6986874B2 (en) | Image processing device and its control method and program | |
JP2016164719A (en) | Information processor, information processing system, information processing method, and program | |
JP2021005378A (en) | Method for policy-based image forming operation in public domain |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200717 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210414 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210511 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210524 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6897418 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |