JP7047322B2 - 情報処理装置、情報処理システム及びプログラム - Google Patents

情報処理装置、情報処理システム及びプログラム Download PDF

Info

Publication number
JP7047322B2
JP7047322B2 JP2017202038A JP2017202038A JP7047322B2 JP 7047322 B2 JP7047322 B2 JP 7047322B2 JP 2017202038 A JP2017202038 A JP 2017202038A JP 2017202038 A JP2017202038 A JP 2017202038A JP 7047322 B2 JP7047322 B2 JP 7047322B2
Authority
JP
Japan
Prior art keywords
account
information
account information
external
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017202038A
Other languages
English (en)
Other versions
JP2019075006A (ja
Inventor
臻瑞 張
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Fujifilm Business Innovation Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd, Fujifilm Business Innovation Corp filed Critical Fuji Xerox Co Ltd
Priority to JP2017202038A priority Critical patent/JP7047322B2/ja
Priority to US16/153,837 priority patent/US20190114412A1/en
Publication of JP2019075006A publication Critical patent/JP2019075006A/ja
Application granted granted Critical
Publication of JP7047322B2 publication Critical patent/JP7047322B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/121Restricting unauthorised execution of programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • G06F21/608Secure printing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes

Description

本発明は、情報処理装置、情報処理システム及びプログラムに関する。
近年、一度のログオンにより複数のサービスを利用可能とするシングルサインオンシステムが提案されている(例えば、特許文献1参照。)。
特許文献1に記載されたシングルサインオンシステムは、連携元Webサイトにおけるユーザアカウント(連携元のアカウント)と連携先Webサイトにおけるユーザアカウント(連携先のアカウント)とが対応付けられたマッピングテーブルを記憶し、連携元Webサイトにおけるアカウント情報を取得し、取得したアカウント情報をマッピングテーブルを用いて連携先Webサイトのアカウント情報に変換し、変換されたアカウント情報を用いて連携先Webサイトにアクセスするべく、ユーザに当該アカウント情報を返送するものである。
特開2013-149238号公報
連携元のアカウントと連携先のアカウントとが関係付けられたテーブルのみで認証の連携を行い、自装置が提供するサービスを利用させようとしたとき、既に連携先のアカウントが連携先で登録抹消になっている場合がある。このような場合は、連携先の実在しないアカウントに対してサービスの利用が許可されてしまうことになる。
本発明の課題は、連携元のアカウントで認証要求があった場合、連携元のアカウントが外部認証装置のアカウントに関係付けられている場合に、パスワード等の秘情報を必要とせずに外部認証装置のアカウントの有効性を確認することを可能とする情報処理装置、情報処理システム及びプログラムを提供することにある。
[1]連携元が提供するサービスを利用するためのアカウントを識別する第1のアカウント情報による認証要求を受け付ける受付手段と、
受け付けられた前記第1のアカウント情報が外部認証装置が提供するサービスを利用するためのアカウントを識別する第2のアカウント情報に関係付けられている場合は、前記第2のアカウント情報が登録されているか否かを前記外部認証装置に問い合わせる問合せ手段と、を備えた情報処理装置。
[2]前記第1のアカウント情報と、前記第2のアカウント情報と、前記第2のアカウント情報の登録確認用の識別情報とを関連付けて記憶する記憶手段を、さらに備え、
前記問合せ手段は、前記受付手段が受け付けた前記第1のアカウント情報に対応する前記登録確認用の識別情報を前記記憶手段から取得し、前記登録確認用の識別情報に基づいて前記第2のアカウント情報が登録されているか否かを前記外部認証装置に問い合わせる、前記[1]に記載の情報処理装置。
[3]前記外部認証装置から前記第2のアカウント情報が登録されている旨の応答を受信した場合、前記本装置が提供するサービスの利用を認可する認可手段、を更に備えた前記[2]に記載の情報処理装置。
[4]前記問合せ手段は、前記第1のアカウント情報が本装置が提供するサービスを利用するためのアカウントを識別する第3のアカウント情報に関連付けられている場合、前記問い合わせを行わず、
前記認可手段は、前記本装置が提供するサービスの利用を認可する、前記[3]に記載の情報処理装置。
[5]前記外部認証装置から前記第2のアカウント情報が登録されていない旨の応答を受信した場合、前記認可手段は、前記本装置が提供するサービスの利用を認可しない、前記[3]又は[4]に記載の情報処理装置。
[6]前記外部認証装置から前記第2のアカウント情報が登録されていない旨の応答を受信した場合、前記記憶手段から対応する情報を削除して更新する更新手段、を更に備えた前記[5]に記載の情報処理装置。
[7]前記記憶手段は、前記第1のアカウント情報と、前記第2のアカウント情報と、前記第2のアカウント情報の登録確認用の識別情報と、さらに前記第3のアカウント情報と、前記第3のアカウント情報の登録確認用の識別情報とを関連付けて記憶し、
前記受付手段が受け付けた前記第1のアカウント情報が関連付けられて前記記憶手段に記憶されている前記登録確認用の識別情報が複数取得された場合は、選択画面を認証要求元に提示していずれかを選択させる、前記[4]に記載の情報処理装置。
[8]連携元が提供するサービスを利用するためのアカウントを識別する第1のアカウント情報と、外部認証装置が提供するサービスを利用するためのアカウントを識別する第2のアカウント情報と、前記第2のアカウント情報の登録確認用の識別情報とを関連付けて記憶する記憶手段と、
前記第1のアカウント情報による認証要求を受け付ける受付手段と、
受け付けられた前記第1のアカウント情報が前記第2のアカウント情報に関係付けられたものである場合は、前記第1のアカウント情報に対応する前記登録確認用の識別情報を前記記憶手段から取得し、前記登録確認用の識別情報に基づいて前記第2のアカウント情報が登録されているか否かを前記外部認証装置に問い合わせる問合せ手段と、
を備えた情報処理システム。
[9]コンピュータを、連携元が提供するサービスを利用するためのアカウントを識別する第1のアカウント情報による認証要求を受け付ける受付手段と、
受け付けられた前記第1のアカウント情報が外部認証装置が提供するサービスを利用するためのアカウントを識別する第2のアカウント情報に関係付けられている場合は、前記第2のアカウント情報が登録されているか否かを前記外部認証装置に問い合わせる問合せ手段、として機能させるためのプログラム。
請求項1、8、9に係る発明によれば、連携元のアカウントで認証要求があった場合、連携元のアカウントが外部認証装置のアカウントに関係付けられている場合に、パスワード等の秘情報を必要とせずに外部認証装置のアカウントの有効性を確認することが可能になる。
請求項2に係る発明によれば、登録確認用の識別情報で問い合わせることにより、第2のアカウントが登録されているか否かの応答を受信することができる。
請求項3、4に係る発明によれば、認可のための入力作業を省くことができる。
請求項5に係る発明によれば、実在していないアカウントが使用されるのを抑制することができる。
請求項6に係る発明によれば、管理者の更新作業の手間を省くことができる。
請求項7に係る発明によれば、複数のアカウントを有するユーザに対応することができる。
図1は、本発明の実施の形態に係るサービス提供システムの構成例を示す図である。 図2は、サービス提供装置の制御系の一例を示す図である。 図3は、紐付情報テーブルの一例を示す図である。 図4は、アカウント管理テーブルの一例を示す図である。 図5は、アクセス用情報テーブルの一例を示す図である。 図6は、サービス提供装置の動作の一例を示すフローチャートである。 図7は、サービス提供装置の動作の一例を示すフローチャートである。
以下、本発明の実施の形態について図面を参照して説明する。なお、各図中、実質的に同一の機能を有する構成要素については、同一の符号を付してその重複した説明を省略する。
[実施の形態の要約]
本発明の実施の形態に係る情報処理装置は、連携元が提供するサービスを利用するための第1のアカウント情報による認証要求を受け付ける受付手段と、受け付けられた第1のアカウント情報が外部認証装置が提供するサービスを利用するための第2のアカウント情報に関係付けられている場合は、第2のアカウント情報が登録されているか否かを外部認証装置に問い合わせる問合せ手段と、を備える。
「アカウント」とは、サービスを提供する側にログインするための権利をいう。「アカウント情報」とは、アカウントを一意的に識別する情報をいい、例えば、アカウントIDが該当する。「本装置が提供するサービス」には、インターネット等の外部ネットワークに接続された外部(例えば、サーバやサイト)と連携したサービスも含まれる。「外部認証装置」とは、インターネット等の外部ネットワークに接続された認証機能を有する装置をいう。「認証」とは、認証情報に基づいて、端末装置のユーザ(管理者も含む。)が予め登録されたユーザであると認めることをいう。
[実施の形態]
図1は、本発明の実施の形態に係るサービス提供システムの構成例を示す図である。このサービス提供システム1は、サービス提供装置2と、画像形成装置3と、管理者端末装置4Aと、ユーザ端末装置4Bとを備える。
サービス提供装置2、画像形成装置3、管理者端末装置4A及びユーザ端末装置4Bは、内部ネットワーク5を介して互いに接続されている。
内部ネットワーク5は、ファイアウォール(FW)6を介してインターネット等の外部ネットワーク7に接続されている。外部ネットワーク7上には、複数(例えば、3つ)の外部認証基盤装置8A、8B、8C(これらを総称するときは「外部認証基盤装置8」ともいう。)及び外部ストレージ装置9が設置されている。
ファイアウォール6よりも内部ネットワーク5側を「サービス側」ともいう。管理者端末装置4Aは、管理者が使用するものである。ユーザ端末装置4Bは、管理者以外のユーザが使用するものである。
サービス提供システム1は、情報処理システムの一例である。サービス提供装置2は、情報処理装置の一例である。画像形成装置3は、1つに限られず、複数でもよい。ユーザ端末装置4Bは、図1では1つのみを図示するが、通常は複数のユーザ端末装置4Bが内部ネットワーク5に接続されている。ユーザ端末装置4Bは、認証要求元の一例である。管理者端末装置4A及びユーザ端末装置4Bを総称するときは端末装置4ともいう。外部認証基盤装置8は、外部認証装置及び連携先の一例である。外部ストレージ装置9は、1つに限られず、複数でもよい。外部ストレージ装置9は、連携元の一例である。サービス提供装置2は、外部ストレージ装置9を連携元とした場合は、連携先になり得る。外部認証基盤装置8は、外部ストレージ装置9又はサービス提供装置2を連携元とした場合、連携先になり得る。
サービス提供装置2は、ユーザの認証情報(例えば、ユーザID及びパスワード)の適否を判定する認証処理、及び認証処理後にユーザがサービスを利用する権限の有無を判定する認可処理を行う。ユーザが外部認証基盤装置8が提供するサービスを利用するためのアカウントを持っている場合は、サービス提供装置2は、認証処理を省いて認可処理を行う。これによりシングルサインオンを実現している。シングルサインオンとは、一度の認証で複数のサービスを利用できることをいう。サービス提供装置2は、認証及び認可されたユーザに、内部ネットワーク5を介してサービスの利用を認める。サービス提供装置2が提供するサービス(以下、「本サービス」ともいう。)には、例えば、プリントサービス、外部ストレージ装置9と連携したストレージサービス、外部ネットワーク7上の外部クラウドサーバと連携した外部プリントサービス等がある。外部プリントサービスは、外部クラウドサーバが管理するプリンタから印刷出力するサービスである。
画像形成装置3は、例えば、コピー機能、スキャン機能、プリント機能、ファクシミリ機能等の複数の機能を有する複合機である。画像形成装置3は、CPU、インターフェース等によって実現され、画像形成装置3の各部を制御する制御部と、CPUのプログラムや各種のデータを記憶する記憶部と、各種の画面を表示するとともに画面に対する操作を受け付ける操作表示部とを備える。プログラムには、Webページを閲覧するためのWebブラウザが含まれる。操作表示部は、例えば、液晶ディスプレイ等の表示部にタッチパネルが重合配置されたタッチパネルディスプレイを有する。画像形成装置3は、サービス提供装置2が提供するプリントサービスが利用された場合は、プリント出力先の候補になるものである。
管理者端末装置4Aは、CPU、インターフェース等によって実現され、管理者端末装置4Aの各部を制御する制御部と、CPUのプログラムや各種のデータを記憶する記憶部と、キーボード、マウス等によって実現される入力部と、液晶ディスプレイ等によって実現される表示部とを備える。プログラムには、Webページを閲覧するためのWebブラウザが含まれる。管理者端末装置4Aは、例えば、パーソナルコンピュータ(PC)、多機能携帯電話機(スマートフォン)等の情報処理装置を用いることができる。ユーザ端末装置4Bも管理者端末装置4Aと同様に構成されている。
内部ネットワーク5は、企業等の組織の内部のコンピュータや機器を接続するコンピュータネットワークであり、例えばLAN(ローカルエリアネットワーク)やイントラネット等により構成されており、有線、無線は問わない。
ファイアウォール6は、外部からの不正なアクセスや侵入を防止することを目的としており、端末装置4から外部ネットワーク7への要求とその要求に対する応答は通過させるが、外部ネットワーク7側から端末装置4への要求は通過させないように設定されている。
外部認証基盤装置8は、例えば、Microsoft社、Yahoo社、Google社等のIDプロバイダ(認証プロバイダともいう。)が管理するものである。これらのIDプロバイダは、Microsoft Azure Active Directory(AD)(Microsoft、Active Directoryはそれぞれ登録商標)、Yahoo!(登録商標)、Google Accounts(Googleは登録商標)等のサービス名でソーシャル・ネットワーキング・サービス(SNS:Social Network Service)を提供する。以下、外部認証基盤装置8A、8B、8Cを管理するIDプロバイダの名称をそれぞれ「プロバイダA」、「プロバイダB」、「プロバイダC」とする。
外部ストレージ装置9は、データやプログラム等をクラウド上(ここでは外部ネットワ-ク7上)に保存するストレージサービスを提供するものである。外部ストレージ装置9が提供するストレージサービスを利用するためには専用のアカウントID(連携元アカウントID)が必要であるが、外部認証基盤装置8用の連携先アカウントIDで認証されたユーザに対しては、本サービスを利用できるように構成されている。
図2は、サービス提供装置2の制御系の一例を示す図である。サービス提供装置2は、サービス提供装置2の各部を制御する制御部20と、各種の情報を記憶する記憶部21と、通信部22とを備える。
制御部20は、CPU(Central Processing Unit)、インターフェース等から構成されている。CPUは、記憶部21に記憶されたプログラム210に従って動作することにより要求受付手段201、ユーザ種別判定手段202、ユーザ存在確認手段203、アカウント情報更新手段204等として機能する。ユーザ存在確認手段203は、問合せ手段及び認可手段の一例である。各手段201~204の詳細は後述する。
記憶部21は、ROM(Read Only Memory)、RAM(Random Access Memory)、ハードディスク等から構成され、プログラム210、紐付情報テーブル211(図3参照)、アカウント管理テーブル212(図4参照)、アクセス用情報テーブル213(図5参照)等が記憶されている。なお、本明細書において、テーブルに情報を書き込む場合に記録又は登録を用い、記憶部に情報を書き込む場合に記憶を用いる。
通信部22は、NIC(Network Interface Card)等によって実現され、内部ネットワーク5を介して画像形成装置3及び端末装置4と通信するとともに、内部ネットワーク5、FW6及び外部ネットワーク7を介して外部認証基盤装置8、外部ストレージ装置9等の外部の装置と通信する。
図3は、紐付情報テーブル211の一例を示す図である。紐付情報テーブル211は、連携元アカウントID、連携先アカウントID等の項目を含む。連携元アカウントIDの項目には、連携元としての外部ストレージ装置9からユーザに与えられたアカウントIDが記録される。連携先アカウントIDの項目には、連携先としてのサービス提供装置2又は外部認証基盤装置8からユーザに与えられたアカウントIDが記録される。
連携元アカウントIDは、ユーザが連携元のサービスを利用するためのアカウントの識別情報であり、連携元におけるユーザを一意に識別する情報でもある。連携先アカウントIDは、ユーザが連携先のサービスを利用するためのアカウントの識別情報であり、連携先におけるユーザを一意に識別する情報でもある。連携元アカウントID及び連携先アカウントIDは、認証情報及び紐付情報の一例である。連携元アカウントIDは、第1のアカウント情報の一例である。外部認証基盤装置8が提供するサービスを利用するための連携先アカウントIDは、第2のアカウント情報の一例である。サービス提供装置2が提供するサービスを利用するための連携先アカウントIDは、第3のアカウント情報の一例である。
ユーザがユーザ端末装置4Bから連携元の外部ストレージ装置9に初めてログインし、ユーザ端末装置4Bから認証情報(例えば、メールアドレス及びパスワード)を外部ストレージ装置9に送信して認証されると、外部ストレージ装置9から認証結果情報(例えば、認証結果、連携元アカウントID、メールアドレス等)がサービス提供装置2に通知される。さらに、ユーザがユーザ端末装置4Bに表示される連携先選択画面で連携先として外部認証基盤装置8を選択し、ユーザ端末装置4Bから認証情報(例えば、ユーザID及びパスワード)を外部認証基盤装置8に送信して認証されると、外部認証基盤装置8から認証結果情報(例えば、認証結果、連携先アカウントID、ユーザID、氏名、ディレクトリID、メールアドレス等)がサービス提供装置2に通知される。サービス提供装置2の制御部20は、通知された認証結果情報に含まれる連携元アカウントID及び連携先アカウントIDを紐付けて紐付情報テーブル211に登録する。「ディレクトリ」とは、例えば、ユーザが所属する企業内の部署、グループ、チーム等をいう。ディレクトリIDは、ディレクトリを識別する識別情報である。本明細書において、紐付けとは、関係付けることを意味する。
図4は、アカウント管理テーブル212の一例を示す図である。アカウント管理テーブル212は、連携先アカウントID、メールアドレス、姓、名、認証基盤種別、認証基盤側の固有ID、ディレクトリID(図示せず)、テナントID(図示せず)等の項目を含む。連携先アカウントIDの項目には、図3に示す紐付情報テーブル211と同じ連携先から与えられたアカウントIDが記録される。メールアドレスの項目には、ユーザが使用するユーザ端末装置4Bのメールアドレスが記録される。メールアドレスは、アドレス情報の一例である。姓の項目には、ユーザの氏名のうち姓が記録される。名の項目には、ユーザの氏名のうち名が記録される。認証基盤種別の項目には、外部認証基盤装置8を管理するプロバイダ名又はサービス提供装置2を示すローカルが記録される。認証基盤側の固有IDの項目には、連携先でユーザが存在することを確認するためのIDが記録される。ディレクトリIDの項目には、外部認証基盤装置8から通知された認証結果情報に含まれるディレクトリIDが記録される。テナントIDの項目には、ディレクトリIDに対応するテナントIDが記録される。認証基盤側の固有IDは、第2のアカウント情報の登録確認用の識別情報の一例である。認証基盤側の固有IDは、連携元アカウントIDと連携先アカウントIDを関係付ける際に認証基盤装置8が管理者を認証するのに使用される。「テナント」とは、例えば、ユーザがアクセスできる企業内の部署、グループ、チーム等の組織をいい、ユーザが所属する組織が含まれる場合もある。テナントIDとは、テナントを識別する識別情報である。
図5は、アクセス用情報テーブル213の一例を示す図である。アクセス用情報テーブル213は、認証基盤種別、存在確認用API(Application Programming Interface)、APIアクセス用情報等の項目を含む。認証基盤種別の項目には、外部認証基盤装置8を管理するプロバイダ名が記録される。存在確認用APIの項目には、APIが記録される。APIアクセス用情報の項目には、APIにアクセスするための情報が記録される。APIとは、ソフトウェアの機能を外部(ここではサービス提供装置2のプログラム210)から呼び出して利用するための手順やデータ形式等を定めたインターフェースをいう。サービス提供装置2がAPIを用いて外部認証基盤装置8にリード要求を行うと、外部認証基盤装置8はリードデータ(当該ユーザの存在を示すデータ)を返信する。存在確認用API及びAPIアクセス用情報は、外部認証基盤装置8により一般公開されており、予めサービス提供装置2が取得し、アクセス用情報テーブル213に記録しておく。
記憶部21は、連携元アカウントID及び連携先アカウントIDを関連付けて登録した紐付情報テーブル211と、連携先アカウントID及び認証基盤側の固有IDを関連付けて登録したアカウント管理テーブル212を記憶することにより、連携元アカウントID、連携先アカウントID及び認証基盤側の固有IDを関連付けて記憶することになる。
次に、サービス提供装置2の各手段201~204を説明する。
要求受付手段201は、ユーザ端末装置2Bから連携元アカウントIDによる認証要求を受け付ける。
ユーザ種別判定手段202は、要求受付手段201から渡された連携元アカウントIDに対応する連携先アカウントIDが存在するか否かを紐付情報テーブル211を参照して判定する。また、ユーザ種別判定手段202は、アカウント管理テーブル212を参照して連携先が外部(外部基盤装置8)か否か(ローカル)を判定する。
ユーザ存在確認手段203は、ユーザ種別判定手段202により連携先が外部と判定された場合、連携先アカウントIDを有するユーザの存在確認を行う。すなわち、ユーザ存在確認手段203は、アクセス用情報テーブル213の存在確認用APIにアクセスし、認証基盤側の固有ID及びAPIアクセス用情報を用いて連携先アカウントIDが登録されているか否かを外部認証基盤装置8に問い合わせる。
また、ユーザ存在確認手段203は、連携先から連携先アカウントが登録されている旨の応答を受信した場合、本サービスの利用をテナントIDに設定されている権限の範囲内で認可する。なお、ユーザ存在確認手段203は、連携先アカウントIDが自装置のサービスを利用するためのアカウントである場合、問い合わせを行わず、本サービスの利用をテナントIDに設定されている権限の範囲内で認可する。
また、ユーザ存在確認手段203は、認証基盤側の固有IDを複数取得できた場合は、選択画面を認証要求元としてのユーザ端末装置4Bに提示していずれかを選択させる。
アカウント情報更新手段204は、ユーザ存在確認手段203により連携先アカウントIDが登録されていることが確認された場合、外部ストレージ装置9及び外部基盤装置8から取得した情報でアカウント管理テーブル212を更新する。また、アカウント情報更新手段204は、ユーザ存在確認手段203により連携先アカウントIDが登録されていないことが確認された場合、紐付情報テーブル211及びアカウント管理テーブル212から対応するレコードを削除して更新する。
(実施の形態の動作)
次に、サービス提供システム1の動作の一例について、図6及び図7のフローチャートに従って説明する。
(1)認証要求の受付から認証開始までのフロー
サービス提供装置2の要求受付手段201は、ユーザ端末装置4Bから連携元アカウントIDについて認証要求を受け付けると(S1)、制御部20は連携元アカウントIDを検証する。すなわち、連携元アカウントIDを連携元に送信して連携元アカウントIDが真正なものか否かの検証を依頼する(S2)。制御部20は、検証成功の検証結果を連携元から受け取ると(S3:Yes)、図7に示す連携先認証処理を行う(S4)。
制御部20は、検証失敗の検証結果を連携元から受け取ると(S3:No)、認証エラーをユーザ端末装置4Bに通知する(S5)。
(2)連携先認証処理
ユーザ種別判定手段202は、要求受付手段201から渡された連携元アカウントIDに対応する連携先アカウントIDが存在するか否かを図3に示す紐付情報テーブル211を参照して判定する(S41)。例えば、連携元アカウントIDが「111_222_333」の場合、対応する連携先アカウントIDの「1」が存在すると判定する。
連携元アカウントIDに対応する連携先アカウントIDが存在する場合(S42:Yes)、ユーザ種別判定手段202は、図4に示すアカウント管理テーブル212の連携先アカウントIDに対応する認証基盤種別の項目を参照し(S43)、連携先が外部か否かを判定する(S44)。例えば、認証基盤種別がローカル以外は連携先が外部であると判定する。連携先アカウントIDが「1」の場合は、それに対応する認証基盤種別はプロバイダAであるので、連携先が外部であると判定する。なお、紐付情報テーブル211において、連携元アカウントIDに対応する連携先アカウントIDが複数登録されている場合は、対応する連携先アカウントIDの一覧画面をユーザ端末装置4Bに表示させ、連携先をユーザに選択させる。なお、連携先アカウントIDではユーザが認証基盤種別を認識できないことも考えられる。そのため、例えば、アカウント管理テーブル212を参照して連携先アカウントIDに対応する認証基盤種別を特定して連携先アカウントIDの一覧画面を構成するようにしてもよい。この一覧画面には、連携先が外部となる認証基盤種別のみ表示してもよいし、ローカルを含めたすべての認証基盤種別を表示してもよい。
連携先が外部の場合は(S44:Yes)、連携先アカウントIDを有するユーザの存在確認を行う(S45)。すなわち、ユーザ存在確認手段203は、図5に示すアクセス用情報テーブル213の存在確認用APIにアクセスし、認証基盤側の固有ID及びAPIアクセス用情報を用いて連携先アカウントIDが登録されているか否かを当該外部の外部認証基盤装置8に問い合わせる。ユーザの存在確認では、連携先アカウントID、認証基盤側の固有ID及びAPIアクセス用情報を用いるため、パスワード等の秘情報を必要としない。
外部認証基盤装置8から存在する旨の応答が得られた場合は(S46:Yes)、アカウント情報更新手段204は、連携先アカウントID、メールアドレス、氏名等を含むキャッシュ済情報でアカウント管理テーブル212を更新する(S47)。ユーザ存在確認手段203は、認証成功を示す認証結果をユーザ端末装置4Bに通知し、テナントIDに設定されている権限の範囲内で本サービスの利用を認可する(S48)。
上記ステップS44において、連携先が外部でない場合、すなわち連携先がローカルである場合は(S44:No)、ユーザ存在確認手段203は、本サービスの利用権限があると判断し、認証成功を示す認証結果をユーザ端末装置4Bに通知し、テナントIDに設定されている権限の範囲内で本サービスの利用を認可する(S48)。
上記ステップS42において、連携元アカウントIDに対応する連携先アカウントIDが存在しない場合(S42:No)、ユーザ存在確認手段203は、本サービスの利用権限がないと判断し、認証エラーをユーザ端末装置4Bに通知する(S49)。
上記ステップS46において、存在する旨の応答が得られない場合は(S46:No)、アカウント情報更新手段204は、当該連携先アカウントIDを含むレコードを紐付情報テーブル211及びアカウント管理テーブル212から削除して更新する(S50)。ユーザ存在確認手段203は、本サービスの利用権限がないと判断し、認証エラーをユーザ端末装置4Bに通知する(S49)。
<変形例1>
上記実施の形態では、サービス提供装置2が紐付情報テーブル211、アカウント管理テーブル212、アクセス用情報テーブル213を有していたが、これらのテーブル211~213の一部又は全部を、内部ネットワーク5に接続されたデータベースサーバ装置が有してもよい。
以上、本発明の実施の形態を説明したが、本発明の実施の形態は上記実施の形態に限定されるものではなく、本発明の要旨を変更しない範囲内で種々の変形、実施が可能である。
制御部20の各手段は、それぞれ一部又は全部を再構成可能回路(FPGA:Field Programmable Gate Array)、特定用途向け集積回路(ASIC:Application Specific Integrated Circuit)等のハードウエア回路によって構成してもよい。
また、本発明の要旨を変更しない範囲内で、上記実施の形態の構成要素の一部を省くことや変更することが可能である。また、本発明の要旨を変更しない範囲内で、上記実施の形態のフローにおいて、ステップの追加、削除、変更、入替え等が可能である。また、上記実施の形態で用いたプログラムをCD-ROM等のコンピュータ読み取り可能な記録媒体に記録して提供することができる。また、上記実施の形態で用いたプログラムをクラウドサーバ等の外部サーバに格納しておき、ネットワークを介して利用することができる。
1…サービス提供システム、2…サービス提供装置、3…画像形成装置、4…端末装置、4A…管理者端末装置、4B…ユーザ端末装置、5…内部ネットワーク、6…ファイアウォール、7…外部ネットワーク、8、8A、8B、8C…外部認証基盤装置、9…外部ストレージ装置、20…制御部、21…記憶部、22…通信部、201…要求受付手段、202…ユーザ種別判定手段、203…ユーザ存在確認手段、204…アカウント情報更新手段、210…プログラム、211…紐付情報テーブル、212…アカウント管理テーブル、213…アクセス用情報テーブル

Claims (9)

  1. 連携元が提供するサービスを利用するためのアカウントを識別する第1のアカウント情報による認証要求を受け付ける受付手段と、
    受け付けられた前記第1のアカウント情報が外部認証装置が提供するサービスを利用するためのアカウントを識別する第2のアカウント情報に関係付けられている場合は、前記第2のアカウント情報が登録されているか否かを前記外部認証装置に問い合わせる問合せ手段と、
    を備えた情報処理装置。
  2. 前記第1のアカウント情報と、前記第2のアカウント情報と、前記第2のアカウント情報の登録確認用の識別情報とを関連付けて記憶する記憶手段を、さらに備え、
    前記問合せ手段は、前記受付手段が受け付けた前記第1のアカウント情報に対応する前記登録確認用の識別情報を前記記憶手段から取得し、前記登録確認用の識別情報に基づいて前記第2のアカウント情報が登録されているか否かを前記外部認証装置に問い合わせる、
    請求項1に記載の情報処理装置。
  3. 前記外部認証装置から前記第2のアカウント情報が登録されている旨の応答を受信した場合、前記本装置が提供するサービスの利用を認可する認可手段、
    を更に備えた請求項2に記載の情報処理装置。
  4. 前記問合せ手段は、前記第1のアカウント情報が本装置が提供するサービスを利用するためのアカウントを識別する第3のアカウント情報に関連付けられている場合、前記問い合わせを行わず、
    前記認可手段は、前記本装置が提供するサービスの利用を認可する、
    請求項3に記載の情報処理装置。
  5. 前記外部認証装置から前記第2のアカウント情報が登録されていない旨の応答を受信した場合、前記認可手段は、前記本装置が提供するサービスの利用を認可しない、
    請求項3又は4に記載の情報処理装置。
  6. 前記外部認証装置から前記第2のアカウント情報が登録されていない旨の応答を受信した場合、前記記憶手段から対応する情報を削除して更新する更新手段、
    を更に備えた請求項5に記載の情報処理装置。
  7. 前記記憶手段は、前記第1のアカウント情報と、前記第2のアカウント情報と、前記第2のアカウント情報の登録確認用の識別情報と、さらに前記第3のアカウント情報と、前記第3のアカウント情報の登録確認用の識別情報とを関連付けて記憶し、
    前記受付手段が受け付けた前記第1のアカウント情報が関連付けられて前記記憶手段に記憶されている前記登録確認用の識別情報が複数取得された場合は、選択画面を認証要求元に提示していずれかを選択させる、
    請求項に記載の情報処理装置。
  8. 連携元が提供するサービスを利用するためのアカウントを識別する第1のアカウント情報と、外部認証装置が提供するサービスを利用するためのアカウントを識別する第2のアカウント情報と、前記第2のアカウント情報の登録確認用の識別情報とを関連付けて記憶する記憶手段と、
    前記第1のアカウント情報による認証要求を受け付ける受付手段と、
    受け付けられた前記第1のアカウント情報が前記第2のアカウント情報に関係付けられたものである場合は、前記第1のアカウント情報に対応する前記登録確認用の識別情報を前記記憶手段から取得し、前記登録確認用の識別情報に基づいて前記第2のアカウント情報が登録されているか否かを前記外部認証装置に問い合わせる問合せ手段と、
    を備えた情報処理システム。
  9. コンピュータを、
    連携元が提供するサービスを利用するためのアカウントを識別する第1のアカウント情報による認証要求を受け付ける受付手段と、
    受け付けられた前記第1のアカウント情報が外部認証装置が提供するサービスを利用するためのアカウントを識別する第2のアカウント情報に関係付けられている場合は、前記第2のアカウント情報が登録されているか否かを前記外部認証装置に問い合わせる問合せ手段、
    として機能させるためのプログラム。
JP2017202038A 2017-10-18 2017-10-18 情報処理装置、情報処理システム及びプログラム Active JP7047322B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2017202038A JP7047322B2 (ja) 2017-10-18 2017-10-18 情報処理装置、情報処理システム及びプログラム
US16/153,837 US20190114412A1 (en) 2017-10-18 2018-10-08 Information processing apparatus, information processing system, and non-transitory computer readable medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017202038A JP7047322B2 (ja) 2017-10-18 2017-10-18 情報処理装置、情報処理システム及びプログラム

Publications (2)

Publication Number Publication Date
JP2019075006A JP2019075006A (ja) 2019-05-16
JP7047322B2 true JP7047322B2 (ja) 2022-04-05

Family

ID=66095872

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017202038A Active JP7047322B2 (ja) 2017-10-18 2017-10-18 情報処理装置、情報処理システム及びプログラム

Country Status (2)

Country Link
US (1) US20190114412A1 (ja)
JP (1) JP7047322B2 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10602353B1 (en) * 2018-12-31 2020-03-24 Microsoft Technology Licensing, Llc Extensible device identity attestation
JP7338360B2 (ja) * 2019-09-25 2023-09-05 富士フイルムビジネスイノベーション株式会社 情報処理装置およびプログラム
JP2022098997A (ja) * 2020-12-22 2022-07-04 富士フイルムビジネスイノベーション株式会社 画像形成装置、画像形成プログラム及び連携システム
JP2022148147A (ja) * 2021-03-24 2022-10-06 富士フイルムビジネスイノベーション株式会社 情報処理装置およびプログラム
JP7404415B2 (ja) 2022-02-18 2023-12-25 Lineヤフー株式会社 認証装置、及び認証方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010055473A (ja) 2008-08-29 2010-03-11 Fuji Xerox Co Ltd 画像処理装置及びプログラム
JP2017142619A (ja) 2016-02-09 2017-08-17 日本電信電話株式会社 Api連携装置、api連携方法及びapi連携プログラム

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8327428B2 (en) * 2006-11-30 2012-12-04 Microsoft Corporation Authenticating linked accounts
CN106487774B (zh) * 2015-09-01 2019-06-25 阿里巴巴集团控股有限公司 一种云主机服务权限控制方法、装置和系统
CN113286298A (zh) * 2017-01-22 2021-08-20 华为技术有限公司 一种通信方法及设备

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010055473A (ja) 2008-08-29 2010-03-11 Fuji Xerox Co Ltd 画像処理装置及びプログラム
JP2017142619A (ja) 2016-02-09 2017-08-17 日本電信電話株式会社 Api連携装置、api連携方法及びapi連携プログラム

Also Published As

Publication number Publication date
JP2019075006A (ja) 2019-05-16
US20190114412A1 (en) 2019-04-18

Similar Documents

Publication Publication Date Title
JP7047322B2 (ja) 情報処理装置、情報処理システム及びプログラム
US10686794B2 (en) System in which redirect URL is set for each access range of resource, method for the system, and storage medium for the method
US9418217B2 (en) Information processing system and information processing method
US20180240130A1 (en) System, information management method, and information processing apparatus
US10326758B2 (en) Service provision system, information processing system, information processing apparatus, and service provision method
US9659154B2 (en) Information processing system, information processing apparatus, method of administrating license, and program
CN103248780A (zh) 信息处理系统、信息处理装置及认证方法
JP6064636B2 (ja) 情報処理システム、情報処理装置、認証方法及びプログラム
US20110099380A1 (en) System and Method of Controlling Access to Information Content Transmitted Over Communication Network
JP6819748B2 (ja) 情報処理装置、情報処理システム及びプログラム
JP5383838B2 (ja) 認証連携システム、idプロバイダ装置およびプログラム
JP7035443B2 (ja) 情報処理装置、情報処理システム及びプログラム
US20220321357A1 (en) User credential control system and user credential control method
JP2017033339A (ja) サービス提供システム、情報処理装置、プログラム及びサービス利用情報作成方法
US10178275B2 (en) Information processing system, apparatus, and information processing method
US10182059B2 (en) Non-transitory computer readable medium storing a program causing a computer to permit a guest user to have utilization authority using a directory, and apparatus management system permitting a guest user to have utilization authority using a directory
JP2022144003A (ja) 情報処理装置及び情報処理プログラム
JP6183035B2 (ja) サービス提供システム、サービス提供方法及びプログラム
JP5510434B2 (ja) ネットワークシステム、情報処理装置およびその制御方法、ならびにコンピュータープログラム
JP2020038438A (ja) 管理装置、管理システム及びプログラム
JP7354745B2 (ja) 情報処理装置、情報処理システム及びプログラム
CN102546459A (zh) 信息处理装置及其中的附加于电子邮件的文档的控制方法
JP6237868B2 (ja) クラウドサービス提供システム及びクラウドサービス提供方法
JP6848275B2 (ja) プログラム、認証システム及び認証連携システム
US20210382981A1 (en) Service providing system, application usage method, and information processing system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200831

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210630

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210720

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210917

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220222

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220307

R150 Certificate of patent or registration of utility model

Ref document number: 7047322

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150