(第一の実施形態)
以下に、図面を参照して本発明に係る認証システムを画像形成システムに適用した実施の形態について説明する。本実施形態に係る画像形成システム1は、図1に示すように、情報処理装置10と、画像形成装置20と、を備える。
情報処理装置10は、1つまたは複数の画像形成装置20のそれぞれと、インターネット2を介して通信可能に接続されている。情報処理装置10は、認証、テナント情報管理、機器情報管理、ユーザ情報管理、画面情報管理、ファイル管理その他の連携機能等の外部機能を含む各種機能を画像形成装置20に提供するWebサーバとして機能する。なお情報処理装置10は、複数の情報処理装置から構成される情報処理システムであってもよい。その場合、情報処理装置10の各種機能は、別の情報処理装置に有してシステムを実現してもよい。
画像形成装置20は、スキャン、プリント、コピー等の画像形成機能を実現する装置である。画像形成装置20は、単体で画像形成機能を実現する他に、情報処理装置10から提供される各種機能を利用するWebクライアントとしても機能する。
インターネット2は、通信ネットワークの一例であって、無線通信でも有線通信でも良く、またLAN(Local Area Network)、WAN(Wide Area Network)、VPN(Virtual Private Network)等であっても良い。
画像形成装置20は、情報処理装置10がWebアプリケーションプログラム(以下、Webアプリとする)を実行することによって、例えば、インターネット2を介して接続された各種のクラウドサーバに保存されたファイルから画像を形成することができる。Webアプリは、Webサーバとしての情報処理装置10が、Webクライアントである画像形成装置20に提供する機能を規定したアプリケーションプログラムである。
また、画像形成装置20は、スキャン、プリント、コピー等の画像形成機能を利用するユーザを認証するための本体認証機能を有する。すなわち、本体認証とは、画像形成装置20の有する内部機能を使用するための認証(第1の認証)である。なお、画像形成装置20(共有端末)での認証のためにユーザが入力する認証情報としては、装置の操作パネルで手入力によって入力されるID・パスワード等のユーザ情報や、装置のICカードリーダへのICカードの接触により入力されるID情報 、その他、装置での画像認証や生体認証によって得られる画像・生体情報等がある。これらの認証情報を、装置内や外部に登録されたユーザ情報と比較し、紐づけが確認できた場合は、認証が成功する。何れの認証方法の認証情報でも認証画面を表示した状態で入力を受け付けることによって、装置内外での認証処理を要求・開始することができる。
画像形成装置20は、本体認証設定として有効(ON)と無効(OFF)のいずれかが設定可能である。本体認証設定は、本体認証機能を使用するか否かを表す設定である。
本体認証設定がONの場合は、本体認証を実行し、本体認証が成功した場合に画像形成部29が画像形成処理を実行できるようになる。本体認証設定がOFFの場合は、本体認証を実行せずに、画像形成部29が画像形成処理を実行できる。
また、本体認証設定がONの場合には、さらに標準認証かシステム認証かのいずれかが設定される。標準認証は、画像形成装置20単体で認証する認証方法である。システム認証は、情報処理装置10(または情報処理システム)の内外の各機能から利用する認証基盤としての認証機能を提供する認証サーバや、グループウェアなど外部Webサービスで提供されている認証サービスなどの、画像形成装置20(共有端末)外部で提供する認証機能を画像形成装置20(共有端末)からネットワークを介して利用する認証方法である。
また、本体認証設定にかかわらず、上述のWebアプリは、必要に応じてそれぞれ個別に、情報処理装置10または情報処理システムの認証機能を用いて、ユーザや機器毎のWebアプリの利用可否を判断可能である。なお、Webアプリに含まれて実現する認証機能を、以下ではWebアプリ認証と呼ぶ。Webアプリ認証は、情報処理装置10または情報処理システムの有する外部機能を使用するための認証(第2の認証)である。
本実施形態に係る画像形成システム1において、上述のシステム認証に使用するための認証画面データ(第1の認証画面データ)を、複数の画像形成装置20が共通して使用する。また、情報処理装置10は、各画像形成装置20から呼び出されるWebアプリ認証の画面データ(第2の認証画面データ)としても、当該認証画面データを共通して使用する。
具体的には、情報処理装置10は、記憶部11と、要求処理部12と、Webアプリ実行部13と、を備える。
記憶部11は、共通画面データCDと、機器情報DI、テナント情報TI、ユーザ情報RI等の各種情報と、を記憶している。
共通画面データCDは、画像形成装置20等の各種機器に共通して利用させる画面データである。また画面データは、機器外部のWebアプリや、機器内部の複数のアプリケーションからも共通して利用可能であり、これらの各種機器、及び各種機器が有する各種アプリからの要求に応じて、表示可能に提供される。具体的には、共通画面データCDは、機器登録画面データDDと認証画面データADとを含む。なお、機器登録画面データDDは、機器登録入力画面データと、機器登録完了画面データと、を含む。その他、共通画面データCDは、各種機器の設定画面や、アプリケーションで表示する画面、例えば画像形成を実行するための画面等を示す画面データを含んでもよい。共通画面データCDは、後述する各種機能によって呼び出される同一の画面データである。
機器情報DI、テナント情報TI、ユーザ情報RI等の各種情報は、本体認証またはWebアプリ認証に必要な情報である。
要求処理部12は、画像形成装置20から送信される要求信号に基づいて、共通画面データCDを画像形成装置20に送信する。
Webアプリ実行部13は、画像形成装置20に提供する外部機能を実現させるための各種Webアプリに規定された処理を実行する。Webアプリ実行部13は、Webアプリに規定された処理が認証の必要な処理内容である場合には、Webアプリ認証を実行し、認証が成功した場合に処理を実行する。
画像形成装置20は、本体部21と、操作部22と、を備える。
本体部21は、コピー、スキャン、プリンタ等の画像形成機能、すなわち画像形成装置20の有する内部機能を実現する。
操作部22は、ユーザの操作を受けて、本体部21に各種処理の実行を指示する。操作部22は、起動するアプリケーションプログラムを選択操作するインタフェースを備える。アプリケーションプログラムは、ネイティブアプリとブラウザアプリとを含む。
ネイティブアプリは、画像形成装置20単体で実行する処理を規定したアプリケーションプログラムである。ネイティブアプリは、上述の本体認証に成功した場合に実行される。なお、本体認証等を行うための認証アプリケーションも、ネイティブアプリで実装してもよい。
ブラウザアプリは、Webブラウザ機能を実現するアプリケーションプログラムである。ブラウザアプリ(Webブラウザアプリケーション)は、Webアプリに規定された処理の情報処理装置10による実行結果を表示し、ユーザの操作を受けて情報処理装置10に操作内容を送信する機能を実現させる。
次に、本実施形態に係る画像形成システム1が備える各装置のハードウェア構成について説明する。
画像形成装置20は、図2に示すように、内部機能を実現する本体部21と、ユーザの操作を受け付ける操作部22とを備える。なお、ユーザの操作を受け付けるとは、ユーザの操作に応じて入力される情報(画面の座標値を示す信号などを含む)を受け付けることを含む概念である。
本体部21と操作部22は、通信路201を介して相互に通信可能に接続されている。通信路201は、例えばUSB(Universal Serial Bus)規格のものを用いることができる。なお、通信路201は、有線か無線かを問わず、USB規格以外の規格のものであっても良い。
本体部21は、CPU(Central Processing Unit)211、ROM(Read Only Memory)212、RAM(Random Access Memory)213、ストレージ部214、通信I/F(Interface)215、接続I/F216、エンジン部217、外部接続I/F218、及びシステムバス218等を有する。
CPU211は、RAM213をワークエリア(作業領域)としてROM212又はストレージ部214等に格納されたプログラムを実行することで、本体部21全体の動作を制御する演算装置である。例えば、CPU211は、エンジン部217を用いて、コピー、スキャン、ファクス、プリンタなどの各種機能を実現する。
ROM212は、例えば、本体部21の起動時に実行されるBIOS(Basic Input/Output System)や、各種の設定等を記憶する不揮発性のメモリである。RAM213は、CPU211のワークエリア等として用いられる揮発性のメモリである。ストレージ部214は、例えば、OS(Operating System)、アプリケーションプログラム、各種データ等を記憶する不揮発性の記憶装置であり、例えば、HDD(Hard Disk Drive)、SSD(Solid State Drive)等で構成される。
通信I/F215は、本体部21をインターネット2に接続し、外部装置との通信を行うための、無線LAN、有線LAN等のネットワークインタフェースである。接続I/F216は、通信路201を介して、本体部21と操作部22との間で通信するためのインタフェースである。
エンジン部217は、コピー、スキャン、ファクス、プリントなどの機能を実現させるための、汎用的な情報処理及び通信以外の処理を行うハードウェアである。エンジン部217には、例えば、原稿の画像をスキャンして読取るスキャナ(画像読取部)、用紙等のシート材への印刷を行うプロッタ(画像形成部)、ファクス通信を行うファクス部等が含まれる。さらに、エンジン部217には、印刷済みシート材を仕分けるフィニッシャや、原稿を自動給送するADF(自動原稿給送装置)のような特定のオプションが含まれていても良い。
外部接続I/F218は、本体部21に外部装置を接続するためのインタフェースである。外部装置には、例えば、ICカードリーダ103や、移動体センサ等が含まれ得る。システムバス219は、上記各構成要素に接続され、アドレス信号、データ信号、及び各種制御信号等を伝送する。
操作部22は、CPU221、ROM222、RAM223、フラッシュメモリ224、通信I/F225、操作パネル226、接続I/F227、外部接続I/F228、カメラ229、及びシステムバス230等を有する。
CPU221は、RAM223をワークエリア(作業領域)としてROM222又はフラッシュメモリ224等に格納されたプログラムを実行することで、操作部22全体の動作を制御する演算装置である。ROM222は、例えば、操作部22の起動時に実行されるBIOSや、各種の設定等を記憶する不揮発性のメモリである。RAM223は、CPU221のワークエリア等として用いられる揮発性のメモリである。フラッシュメモリ224は、例えば、OS、アプリケーションプログラム、各種データ等を記憶する不揮発性の記憶装置である。
通信I/F225は、操作部22をインターネット2に接続し、外部装置との通信を行うための、無線LAN、有線LAN等のネットワークインタフェースである。
操作パネル226は、ユーザの操作に応じた各種の入力を受け付けると共に、各種の情報を表示する。操作パネル226は、例えば、タッチパネル機能を搭載した液晶表示装置(LCD: Liquid Crystal Display)で構成されるが、これに限られるものではない。操作パネル226は、例えばタッチパネル機能が搭載された有機EL(Electro Luminescence)表示装置で構成されていても良い。さらに、操作パネル226は、これに加えて又はこれに代えて、ハードウェアキー等の操作部や、ランプ等の表示部を設けることもできる。
接続I/F227は、通信路201を介して、操作部22と本体部21との間で通信するためのインタフェースである。外部接続I/F228は、外部装置を接続するための、例えばUSB等のインタフェースである。
カメラ229は、ユーザの画像を撮影する撮影装置である。なお、カメラ229は、画像形成装置20の外部に設置され、外部接続I/F228を介して操作部22に接続されているものであっても良い。システムバス230は、上記各構成要素に接続され、アドレス信号、データ信号、及び各種制御信号等を伝送する。
情報処理装置10は、図3に示すように、コンピュータによって構築されており、CPU101、ROM102、RAM103、HD104、HDD(Hard Disk Drive)コントローラ105、ディスプレイ106、外部機器接続I/F(Interface)108、ネットワークI/F109、バスライン110、キーボード111、ポインティングデバイス112、DVD-RW(Digital Versatile Disk Rewritable)ドライブ114、メディアI/F116を備えている。
これらのうち、CPU101は、情報処理装置10全体の動作を制御する。ROM102は、IPL(Initial Program Loader)等のCPU101の駆動に用いられるプログラムを記憶する。RAM103は、CPU101のワークエリアとして使用される。HD104は、ゲストネットワーク作成アプリケーション等のプログラムその他の各種データを記憶する。HDDコントローラ105は、CPU101の制御にしたがってHD104に対する各種データの読み出し又は書き込みを制御する。ディスプレイ106は、カーソル、メニュー、ウィンドウ、文字、又は画像などの各種情報を表示する。
外部機器接続I/F108は、各種の外部機器を接続するためのインタフェースである。この場合の外部機器は、例えば、USB(Universal Serial Bus)メモリ、プリンタ等の機器である。ネットワークI/F109は、インターネット2を利用して画像形成装置20等との間でデータ通信をするためのインタフェースである。バスライン110は、図3に示されているCPU101等の各構成要素を電気的に接続するためのアドレスバス、データバス等である。
また、キーボード111は、文字、数値、各種指示などの入力のための複数のキーを備えた入力手段の一種である。ポインティングデバイス112は、各種指示の選択や実行、処理対象の選択、カーソルの移動などを行う入力手段の一種である。DVD-RWドライブ114は、着脱可能な記録媒体の一例としてのDVD-RW113に対する各種データの読み出し又は書き込みを制御する。尚、DVD-RWに限らず、DVD-R等であってもよい。メディアI/F116は、フラッシュメモリ等のメディア115に対するデータの読み出し又は書き込み(記憶)を制御する。
次に、図4を参照して、画像形成装置20が備える機能について説明する。
本実施形態に係る画像形成装置20は、本体部21と、操作部22と、を備える。
操作部22は、起動制御部23と、認証制御部24と、内部機能操作部25と、外部機能操作部26と、を含む。
起動制御部23は、画像形成装置20の電源スイッチがONとなって、起動した際の処理を実行する。また、起動制御部23は、操作部22が一定時間操作を受けないことによって標準モードから省エネモードに移行した後、標準モードに復帰した際の処理も実行する。
なお、省エネモードは、標準モードよりも電力の消費が少ない状態である。操作部22は、操作されていない時間があらかじめ規定された時間を超えるか、またはユーザの操作によって、標準モードから省エネモードに移行する。また、操作部22は、ユーザの操作などによって、省エネモードから標準モードに復帰する。
認証制御部24は、本体認証設定がONで、かつシステム認証が設定されている場合、本体認証に情報処理装置10の認証機能を利用する。具体的には、認証制御部24は、情報処理装置10に機器登録画面データDD、認証画面データAD等の共通画面データCDの送信を要求する。なお、認証制御部24は、画像形成装置20の操作部22上で動作する認証アプリケーションとして実装されてもよい。
認証制御部24は、Webブラウザ機能を有し、画面の表示機能とユーザの操作を受ける機能とを含む。そして、認証制御部24は、情報処理装置10から受信した共通画面データCDに基づく画面を表示し、ユーザの操作を受けて、機器登録処理、認証処理等を実行する。認証制御部24は、認証に成功すると、本体部21の本体認証部28に、認証成功を通知する。
また、認証制御部24は、本体認証設定がONで、かつ標準認証が設定されている場合、本体認証のための認証画面を表示し、ユーザの操作を受けて、本体認証部28に認証処理を実行させる。この場合、認証制御部24は、情報処理装置10とは通信しない。
内部機能操作部25は、ネイティブアプリを読み込んで内部機能を実現する。ネイティブアプリは、画像形成装置20の内部機能を実現するためのアプリケーションプログラムである。内部機能とは、画像形成装置20の有する機能であり、例えばプリント、スキャン、コピー等の機能である。
具体的には、本体認証設定がONの場合、操作部22は、本体認証が成功した場合にネイティブアプリを選択するためのホーム画面を表示する。表示されたホーム画面において、ネイティブアプリを選択する操作を受けると、内部機能操作部25は、選択されたネイティブアプリを読み込んで、内部機能を実現する。
外部機能操作部26は、ブラウザアプリを読み込んで外部機能を実現する。ブラウザアプリは、Webブラウザ機能を有する。ブラウザアプリは、ネイティブアプリとともに、ホーム画面に表示される。表示されたホーム画面において、ブラウザアプリを選択する操作を受けると、外部機能操作部26は、選択されたブラウザアプリを読み込んで、外部機能を実現する。
具体的には、外部機能操作部26は、情報処理装置10にHTTP(Hypertext Transfer Protocol)リクエストを送信し、情報処理装置10における外部機能の処理の結果によって返却されるHTTPレスポンスに含まれるHTML(Hypertext Markup Language)データに規定される画面を表示する。
そして、外部機能操作部26は、表示された画面においてユーザの操作を受けるたびに、情報処理装置10にHTTPリクエストを送信し、返却されるHTTPレスポンスに含まれるHTMLデータに規定される画面を表示する、という処理を繰り返し実行する。
本体部21は、WebAPI(Application Programming Interface)サービス部27と、本体認証部28と、画像形成部29と、を備える。
WebAPIサービス部27は、操作部22にWebAPIを提供する。WebAPIは、本体部21の各種機能を利用するためのインタフェースである。WebAPIには、機体識別番号を取得するAPIが含まれる。WebAPIサービス部27は、操作部22からのAPIの呼び出しに応じて、本体部21に格納された機体識別番号を操作部22に送信する。なお、機体識別番号とは、画像形成装置20を識別するための番号である。
本体認証部28は、本体認証を実行する。具体的には、本体認証設定がONで、かつ標準認証が設定されている場合は、認証制御部24からの依頼を受けて、本体認証処理を実行して、認証が成功したか否かを判定する。
本体認証部28は、本体認証設定がONで、かつシステム認証が設定されている場合は、認証制御部24から認証成功の通知を受けると、本体認証が成功したと判定して、内部機能の実行を許可する。
画像形成部29は、コピー、スキャン、ファクス、プリントなどの画像形成処理を実行する。画像形成部29は、本体認証設定がONの場合、本体認証部28による認証が成功したことを条件として、画像形成処理を実行する。
次に、画像形成システム1の動作について、図面を参照して説明する。
前提として、情報処理装置10の記憶部11には、テナント情報TI、ユーザ情報RI等が格納されている。
テナント情報TIは、図5に示すテナント管理画面301を介して、システム管理者等によって登録、更新または削除される、テナントの情報である。テナントは、企業、団体等のように、ユーザが所属するグループを表す。具体的には、テナント情報TIは、テナントを識別する識別子を値とするテナントID、テナントの名称を値とするテナント名等を項目として含む情報である。
機器情報DIは、後述する機器登録処理によって登録される、機器の情報である。本実施形態における機器とは、画像形成装置20等のように、複数のユーザが共有する共有端末である。また、機器情報DIは、図6に示す機器管理画面302を介して、システム管理者等によって管理される。具体的には、機器情報DIは、機器を識別する識別子を値とする機体識別番号等を項目として含む情報である。
ユーザ情報RIは、図7に示すユーザ登録画面303、図8に示すユーザ管理画面304等を介して、システム管理者等によって登録、更新または削除される、ユーザの情報である。具体的には、ユーザ情報RIは、ユーザを識別する識別子を値とするユーザID、メールアドレスの文字列を値とするメールアドレス、パスワードの文字列を値とするパスワード等を項目として含む情報である。なお、テナント情報TIと機器情報DIとユーザ情報RIとは、対応付いて記憶されてもよい。これにより、情報処理装置10は、テナントに登録済みの機器やユーザの数や利用状況・機器状態等を収集し管理することができる。
次に、機器登録処理のシーケンスについて、図9を参照して説明する。
機器登録処理は、画像形成装置20を情報処理装置10の連携先として登録させるための初期設定の処理である。この機器登録処理によって、上述の機器情報DIが情報処理装置10に登録される。前提として、画像形成装置20の本体認証設定がONで、かつシステム認証が設定されているものとする。
画像形成装置20の電源が投入されるか、または省エネモードから標準モードに復帰すると、起動制御部23は、起動要求信号を認証制御部24に送信する(ステップS101)。起動要求信号は、認証制御部24の起動を要求する信号である。
認証制御部24は、起動要求信号の受信によって起動して、機体識別番号要求信号を本体部21のWebAPIサービス部27に送信する(ステップS102)。機体識別番号要求信号は、機体識別番号を表すデータの送信を要求する信号である。以下、機体識別番号を表すデータを機体識別番号データと呼ぶ。
次に、WebAPIサービス部27は、本体部21に格納された機体識別番号データを取得して、取得した機体識別番号データを認証制御部24に送信する(ステップS103)。
次に、認証制御部24は、機器情報要求信号を情報処理装置10に送信する(ステップS104)。機器情報要求信号は、機器情報DIの送信を要求する信号である。
情報処理装置10の要求処理部12は、機器情報要求信号を受信すると、記憶部11に機器情報DIが登録されているか否かを確認して、登録されていない場合、失敗信号を画像形成装置20に送信する(ステップS105)。失敗信号は、機器情報DIが送信できない旨を表す信号である。
なお、一旦、画像形成装置20ごとに機器登録処理が完了すると、当該画像形成装置20については、このステップS105では機器情報DIが送信される。その場合の処理については、後述の本体認証処理のシーケンスにおいて説明する。
認証制御部24は、失敗信号を受信すると、機体識別番号データとともに機器登録要求信号を情報処理装置10に送信する(ステップS106)。機器登録要求信号は、機器情報DIの登録を要求する信号である。また、送信する機体識別番号データは、ステップS103において受信した機体識別番号データである。
要求処理部12は、機器登録要求信号を受信すると、機器登録入力画面要求信号を記憶部11に送信する(ステップS107)。機器登録入力画面要求信号は、機器登録入力画面データの送信を要求する信号である。
機器登録入力画面データは、機器登録画面データDDに含まれる画面データであって、認証方法の選択欄と、テナントID、ユーザID、パスワード等の認証方法に対応する入力欄と、が配置された画面を表すデータである。
記憶部11は、機器登録入力画面データを要求処理部12に送信する(ステップS108)。そして、要求処理部12は、機器登録入力画面データを認証制御部24に送信する(ステップS109)。
認証制御部24は、Webブラウザ機能によって、機器登録入力画面データに基づいて、図10に示すように、機器登録入力画面305を表示する。
図9に戻り、認証制御部24は、ユーザの操作を受けて、入力情報を情報処理装置10に送信する(ステップS110)。ここでの入力情報は、認証方法、テナントID、ユーザID、パスワード等である。
要求処理部12は、機器登録処理を実行する(ステップS111)。具体的には、要求処理部12は、入力情報に含まれるテナントID、ユーザIDおよびパスワードに該当するテナント情報TIおよびユーザ情報RIが、記憶部11に登録されているかを確認する。そして、要求処理部12は、いずれかの項目が登録されていない場合には、ステップS109の処理に戻り、ユーザの再入力を促す。
要求処理部12は、入力情報に含まれるテナントID、ユーザIDおよびパスワードに該当するテナント情報TIおよびユーザ情報RIが、記憶部11に登録されている場合には、ステップS106において受信した機体識別番号データが示す機体識別番号を、当該テナント情報TIおよびユーザ情報RIと関連付けて、機器情報DIとして記憶部11に格納する。
次に、要求処理部12は、機器登録完了画面要求信号を記憶部11に送信する(ステップS112)。そして、記憶部11は、機器登録完了画面データを要求処理部12に送信する(ステップS113)。
機器登録完了画面データは、機器登録画面データDDに含まれる画面データであって、機器登録が完了した旨を表すメッセージが配置された画面を表すデータである。
続いて、要求処理部12は、機器登録完了画面データを画像形成装置20に送信する(ステップS114)。画像形成装置20の認証制御部24は、Webブラウザ機能によって、受信した機器登録完了画面データに基づいて、機器登録完了画面を表示する。
次に、本体認証処理のシーケンスについて、図11を参照して説明する。
前提として、画像形成装置20の本体認証設定がONで、かつシステム認証が設定されているものとする。また、前述の機器登録処理が実行済みであるものとする。
画像形成装置20の電源が投入されるか、または省エネモードから復帰すると、起動制御部23は、起動要求信号を認証制御部24に送信する(ステップS201)。
認証制御部24は、起動要求信号の受信によって起動して、機体識別番号要求信号を本体部21のWebAPIサービス部27に送信する(ステップS202)。
次に、WebAPIサービス部27は、本体部21に格納された機体識別番号データを取得して、取得した機体識別番号データを認証制御部24に送信する(ステップS203)。
次に、認証制御部24は、機器情報要求信号を情報処理装置10(または情報処理システムにおける機器情報管理機能を有する情報処理装置)に送信する(ステップS204)。
情報処理装置10の要求処理部12は、機器情報要求信号を受信すると、記憶部11に機器情報DIが登録されているか否かを確認して、登録されている場合、機器情報DIまたは機器情報DIに対応するテナント情報や、機器に対する認証チケット等を画像形成装置20に送信する(ステップS205)。なお、ここでは、機器登録処理が実行済みの前提であるため、機器情報DIはすでに登録されている。
次に、認証制御部24は、認証画面を表示するために認証要求信号を情報処理装置10(または情報処理システムにおける共通画面データを記憶する情報処理装置)に送信する(ステップS206)。認証要求信号は、認証処理の開始を要求する信号である。なお認証要求信号には、ステップS205で取得した機器情報DIやテナント情報TI、認証チケット等を含めてもよい。なお、認証要求は認証処理を要求するAPIを実行する方法や、初めから所定の認証画面データの送信を要求するAPIを実行する方法でもよい。
要求処理部12は、認証要求信号を受信すると、認証画面要求信号を記憶部11に送信する(ステップS207)。認証画面要求信号は、認証画面データADの送信を要求する信号である。
認証画面データADは、認証方法の選択欄と、メールアドレス、パスワード等の認証方法に対応する入力欄と、が配置された画面を表すデータである。なお、認証画面データADは、認証要求する際に機器情報DIやテナント情報TI、認証チケットを用いることで、機器やテナント毎に指定された異なる認証方法の認証画面を示すデータとされてもよい。
記憶部11は、認証画面データADを要求処理部12に送信する(ステップS208)。要求処理部12は、認証画面データADを画像形成装置20に送信する(ステップS209)。
認証制御部24は、Webブラウザ機能によって、認証画面データADに基づいて、図12に示すように、認証画面306を表示する。この認証画面306はホーム画面に重畳したウィンドウ307に表示されている。したがって、ウィンドウ307が消去されない限り、ホーム画面の操作、例えばアプリケーションのアイコンの選択や、お知らせのメッセージの閲覧等ができないようになっている。
図11に戻り、認証制御部24は、操作パネルに対するユーザの操作を受けて、入力情報を情報処理装置10(または情報処理システムにおける認証機能を提供する情報処理装置)に送信する(ステップS210)。ここでの入力情報は、認証方法、メールアドレス、パスワード等である。なお、画像形成装置20は、ICカードや他の認証入力方法を用いて認証情報が入力された場合でも、認証制御部24のブラウザ機能を介して情報処理装置10に認証情報を送信することができる。
要求処理部12は、受信した入力情報に基づいて、認証処理を実行する(ステップS211)。具体的には、要求処理部12は、入力情報が記憶部11に格納されたユーザ情報RIと一致しているか否かを判定する。そして、要求処理部12は、一致していると判定すると認証成功とし、一致していないと判定すると認証失敗とする。
認証成功の場合、要求処理部12は、認証成功信号を送信する(ステップS212)。認証成功信号は、認証が成功したことを表す信号であって、ユーザIDを暗号化した文字列であるトークンなどであっても良い。
なお、認証失敗の場合は、要求処理部12は、「認証エラー」等の認証失敗を表す旨のメッセージを画像形成装置20に送信し、再度の入力をユーザに促しても良い。
画像形成装置20の認証制御部24は、受信した認証成功信号を本体認証部28に送信する(ステップS213)。本体認証部28は、認証成功信号を受信すると、本体認証処理を実行する(ステップS214)。具体的には、本体認証部28は、認証成功信号を受信すると、本体認証が成功した状態とする。
本体認証が成功した状態とは、本体認証がONで、かつ標準認証が設定されている場合に実行する認証が成功した場合と同じ状態である。本体認証が成功した状態になると、本体部21の画像形成部29が各種の画像形成処理を実行できる。
本体認証部28は、本体認証成功信号を認証制御部24に送信する(ステップS215)。本体認証成功信号は、本体認証が成功したことを表す信号である。
次に、認証制御部24は、本体認証完了通知信号を情報処理装置10に送信する(ステップS216)。本体認証完了通知信号は、本体認証が完了したことを通知するための信号である。
情報処理装置10の要求処理部12は、本体認証完了通知信号を受信すると、認証画面消去指示信号を画像形成装置20に送信する(ステップS217)。認証画面消去指示信号は、認証画面を消去する指示を表す信号である。
認証制御部24は、認証画面消去指示信号を受信すると、認証画面306を消去する(ステップS218)。具体的には、認証制御部24は、ホーム画面に重畳したウィンドウ307を消去する。これによって、図13に示すように、ホーム画面308が操作可能な状態で表示される。
次に、ホーム画面308に表示されたスキャナ等のネイティブアプリ選択ボタン309が選択されると、内部機能操作部25は、図14に示すように、ネイティブアプリ画面311を表示する。
内部機能操作部25は、ユーザの画像形成を要求する操作を受けると、図11に示すように、画像形成要求信号を画像形成部29に送信する(ステップS219)。
画像形成部29は、画像形成要求信号を受信すると、画像形成処理を実行する(ステップS220)。
次に、Webアプリの認証処理のシーケンスについて、図15を参照して説明する。
図13のホーム画面308が表示された状態で、ブラウザアプリ選択ボタン310を押下する操作を受けると、外部機能操作部26は、選択されたブラウザアプリを起動する(ステップS301)。
次に、外部機能操作部26は、Webアプリ起動要求信号を情報処理装置10(または情報処理システムにおける外部機能を提供する情報処理装置)に送信する(ステップS302)。Webアプリ起動要求信号は、Webアプリの起動を要求する信号である。
情報処理装置10のWebアプリ実行部13は、Webアプリ起動要求信号を受信すると、認証画面要求信号を記憶部11に送信する(ステップS303)。認証画面要求信号は、本体認証処理のステップS207と同様の、認証画面データADの送信を要求する信号である。
記憶部11は、認証画面データADをWebアプリ実行部13に送信する(ステップS304)。Webアプリ実行部13は、認証画面データADを画像形成装置20に送信する(ステップS305)。
外部機能操作部26は、ブラウザアプリが実現するブラウザ機能によって、図16に示すように、認証画面データADに基づく認証画面312を表示する。なお、この認証画面312はブラウザアプリ上に表示されているため、図12に示す認証画面306とは異なる画面枠に表示されていても良い。例えば、図12に示すようなウィンドウ307は表示されなくても良い。
図15に戻り、外部機能操作部26は、ユーザの操作を受けて、入力情報を情報処理装置10に送信する(ステップS306)。ここでの入力情報は、認証方法、メールアドレス、パスワード等である。
Webアプリ実行部13は、受信した入力情報に基づいて、認証処理を実行する(ステップS307)。具体的には、Webアプリ実行部13は、入力情報が記憶部11に格納されたユーザ情報RIと一致するか否かを判定する。そして、Webアプリ実行部13は、一致すると判定すると認証成功とし、一致しないと判定すると認証失敗とする。
認証成功の場合、Webアプリ実行部13は、Webアプリ画面要求信号を記憶部11に送信する(ステップS208)。Webアプリ画面要求信号は、Webアプリ画面データの送信を要求する信号である。Webアプリ画面は、Webアプリの機能を選択する操作を受けるための画面である。
なお、認証失敗の場合は、Webアプリ実行部13は、「認証エラー」等の認証失敗を表す旨のメッセージを画像形成装置20に送信し、再度の入力をユーザに促しても良い。
記憶部11は、Webアプリ画面要求信号を受信すると、Webアプリ画面データをWebアプリ実行部13に送信する(ステップS309)。Webアプリ実行部13は、Webアプリ画面データを外部機能操作部26に送信する(ステップS310)。
外部機能操作部26は、受信したWebアプリ画面データに基づいて、図17に示すように、Webアプリ画面313を表示する。そして、ユーザの操作によって外部機能選択ボタン314が押下されると、外部機能操作部26は、選択された外部機能を実現する。
選択された外部機能が、クラウド上のファイルをプリントする、といった画像形成処理を伴う機能であった場合、外部機能操作部26は、画像形成要求信号を画像形成部29に送信する(ステップS311)。
画像形成部29は、画像形成要求信号を受信すると、画像形成処理を実行する(ステップS312)。
上述した実施形態に係る画像形成システム1によれば、画像形成装置20の認証制御部24がWebブラウザ機能を持つことによって、情報処理装置10のWebアプリ認証と共通の認証画面データADを受信して操作画面に表示することができる。
したがって、認証機能のカスタマイズ、アップデート等においては、情報処理装置10の認証画面データADを改変すれば足りるため、各画像形成装置20の更新は不要となり、またWebアプリ認証と本体認証の画面データを別々に管理する必要が無く、画像形成システム1の管理作業の負荷を軽減することができる。
また、機器登録作業は、画像形成装置20に格納された機体識別番号を登録するため、画像形成装置20における操作が必要な作業である。本実施形態に係る画像形成装置20は、情報処理装置10に格納された機器登録画面データDDに基づいて機器登録画面を表示する。
これによって、機器登録機能のカスタマイズ、アップデート等において、情報処理装置10の機器登録画面データDDを改変すれば足りるため、各画像形成装置20の更新は不要となり、画像形成システム1の管理作業の負荷を軽減することができる。
また、上述の外部機能がWebアプリによって実現され、外部機能操作部26がWebブラウザ機能を実現するため、認証制御部24がWebブラウザ機能を持つことによって、容易に認証画面の共通化が可能となる。
また、本体認証が成功した場合、認証画面306のウィンドウ307を消去することによって、ホーム画面308の操作が可能となる。これによって、認証後にネイティブアプリ、ブラウザアプリ等の選択をすぐに行うことができるため、操作しやすい装置となる。
また、起動制御部23が起動時または省エネモードから標準モードへの復帰時に、認証制御部24に起動要求信号を送信することによって、本体認証が自動的に開始され、操作の手間が軽減される。
なお、起動時とは、ユーザによる共通端末のユーザインターフェースの操作に応じて、共有端末の電源ON、または、共有端末がスリープ状態から待機状態へ省エネ状態が遷移した後であって、共有端末の操作部22等にホーム画面を表示する前の時点を指す。
また、認証画面の表示は、ホーム画面の表示後であって、特定の機能を利用するために認証を行わせる時点(例えば特定のネイティブアプリやWebアプリの起動時)であってもよい。ホーム画面とは、共有端末で利用可能な複数の機能(アプリケーション)のアイコンを選択可能な、基本画面(待ち受け画面)である。
本実施形態において、共有端末の一例として画像形成装置20を示した。本発明の範囲はこれに限られず、電子黒板、インクジェットプリンタ、スマートフォン、撮影装置、ビデオ会議端末、プロジェクタ、MFP等の、内部機能に認証を要するさまざまな装置、端末等に適用可能である。そのため、各機器の仕組みが異なっても、本実施形態を適用することで、各機器のWebブラウザの機能等の外部連携機能において、共通の認証画面を表示することができる。したがって、本実施形態によれば、機器の種類を越えて管理作業の負荷を低減することができる。
本実施形態において、内部機能と外部機能の概念について説明する。
基本的には、内部機能は、装置内のソフトウェアやハードウェアで実現される機能であり、例えば、画像形成装置20の場合は、コピー・スキャン・プリント・FAX等の画像形成機能や対応する各アプリケーションやその他のネイティブアプリケーションがある。
また、電子黒板の場合は、画面書込み編集を行う電子黒板機能、外部装置からの入力情報を表示する画面表示機能、他の電子黒板と連携する遠隔表示機能等がある。
一方、外部機能は、Webアプリ等、画像形成装置20(共有端末)が外部装置から少なくとも一時的に取得して実行する機能、あるいは、機器から外部装置への実行要求や結果の取得等の、外部装置との連携により実現される機能を指す。
例えば、画像形成装置20の外部機能としては、外部認証・画像形成(スキャン・プリント)・画像処理(OCR・機密表示等のスタンプ)・ファイル転送(クラウドストレージやメールによるスキャンデータ転送)などの複数の機能のコンポーネントを組み合わせたワークフローアプリや、機能単体で用いるWebアプリケーションがある。
これらのWebアプリケーション(外部機能)は、対応する特定のWebサイトに画像形成装置20の外部連携機能(Webブラウザアプリやネイティブアプリ内のブラウザ機能等の機能)を使ってアクセスし、利用する。
なお、機能(アプリ)によっては、内部機能と外部機能とを併せ持つ機能、あるいは連携して動作する機能も存在するため、主たる機能、あるいは最初に呼び出される機能によって、内部機能または外部機能に分類してもよい。
本実施形態において、本体認証の結果、ユーザによって内部機能の一部の利用を制限しても良い。同様に、Webアプリ認証の結果、ユーザによって外部機能の一部の利用を制限しても良い。
認証制御部24は、ネイティブアプリの一つとして実現されても良い。その場合、認証用アプリを読み込んで認証処理を実行する機能部が認証制御部24であり、その他のネイティブアプリを読み込んで内部機能の操作を実現する機能部が内部機能操作部25である。
また、同様に、外部機能操作部26のブラウザアプリも、ネイティブアプリの一つとして実現されても良い。その場合、ブラウザアプリを読み込んで外部機能の操作を実現する機能部が外部機能操作部26である。
(第二の実施形態)
以下に図面を参照して、第二の実施形態について説明する。第二の実施形態では、本体認証設定がOFFの場合であって、ネイティブアプリごとに個別に認証を実施する場合に、共通画面データCDを使用する点が、第一の実施形態と相違する。以下の第二の実施形態の説明では、第一の実施形態との相違点について説明し、第一の実施形態と同様の機能構成を有するものには、第一の実施形態の説明で用いた符号と同様の符号を付与し、その説明を省略する。
ネイティブアプリの起動後の機器登録処理(以下、ネイティブアプリ機器登録処理とする)のシーケンスについて、図18を参照して説明する。
前提として、画像形成装置20の本体認証設定は、OFFとなっているものとする。また、画像形成装置20の機器登録処理がまだ実行されていないものとする。
ユーザ3が操作部22を起動する操作を実行すると(ステップS401)、操作部22の認証制御部24は、機体識別番号要求信号をWebAPIサービス部27に送信する(ステップS402)。WebAPIサービス部27は、機体識別番号データを認証制御部24に送信する(ステップS403)。
次に、認証制御部24は、機器情報要求信号を情報処理装置10に送信する(ステップS404)。情報処理装置10の要求処理部12は、画像形成装置20の機器登録処理がまだ実行されていないため、失敗信号を画像形成装置20に送信する(ステップS405)。
画像形成装置20の本体認証設定がOFFであるため、ステップS401の起動の操作によって、操作部22には、図13に示すように、起動するネイティブアプリを選択することができるホーム画面が表示されている。
ユーザ3が、例えば図13のスキャナ等のネイティブアプリを起動する操作をすると(ステップS406)、内部機能操作部25は、機器情報要求信号を認証制御部24に送信する(ステップS407)。
ここでは、認証制御部24は、ステップS405で失敗信号を受けているため、機器情報DIを取得していない。そこで、認証制御部24は、失敗信号を内部機能操作部25に送信する(ステップS408)。
次に、内部機能操作部25は、機器登録画面表示要求信号を認証制御部24に送信する(ステップS409)。機器登録画面表示要求信号は、認証制御部24に、機器登録画面を表示するように要求する信号である。
次に、認証制御部24は、機体識別番号データとともに機器登録要求信号を情報処理装置10に送信する(ステップS410)。情報処理装置10の要求処理部12は、機器登録入力画面要求信号を記憶部11に送信する(ステップS411)。
記憶部11は、機器登録入力画面データを要求処理部12に送信する(ステップS412)。そして、要求処理部12は、機器登録入力画面データを認証制御部24に送信する(ステップS413)。
認証制御部24は、Webブラウザ機能によって、機器登録入力画面データに基づいて、第一の実施形態と同様の機器登録入力画面305を表示する。
認証制御部24は、管理者4の入力操作を受けて(ステップS415)、入力情報を情報処理装置10に送信する(ステップS416)。要求処理部12は、機器登録処理を実行する(ステップS417)。
要求処理部12は、入力情報に含まれるテナントID、ユーザIDおよびパスワードに該当するテナント情報TIおよびユーザ情報RIが、記憶部11に登録されている場合には、ステップS403において受信した機体識別番号データが示す機体識別番号を、当該テナント情報TIおよびユーザ情報RIと関連付けて、機器情報DIとして記憶部11に格納する。
次に、要求処理部12は、機器登録完了画面要求信号を記憶部11に送信する(ステップS418)。そして、記憶部11は、機器登録完了画面データを要求処理部12に送信する(ステップS419)。
機器登録完了画面データは、機器登録画面データDDに含まれる画面データであって、機器登録が完了した旨を表すメッセージが配置された画面を表すデータである。
続いて、要求処理部12は、機器登録完了画面データを画像形成装置20に送信する(ステップS420)。画像形成装置20の認証制御部24は、Webブラウザ機能によって、受信した機器登録完了画面データに基づいて、機器登録完了画面を表示する(ステップS421)。
そして、認証制御部24は、機器登録結果通知信号を内部機能操作部25に送信する(ステップS422)。機器登録結果通知信号は、機器登録処理の結果を通知する信号であって、例えば、成功または失敗を示す信号である。
上述したネイティブアプリ機器登録処理によれば、本体認証設定がOFFで、かつネイティブアプリごとに個別に認証が実施される場合にも、情報処理装置10に格納された機器登録画面データDDに基づいて、機器登録入力画面305および機器登録完了画面を表示する。
これによって、機器登録機能のカスタマイズ、アップデート等において、情報処理装置10の機器登録画面データDDを改変すれば足りるため、各画像形成装置20の更新は不要となり、画像形成システム1の管理作業の負荷を軽減することができる。
次に、ネイティブアプリごとの個別の認証処理(以下、ネイティブアプリ認証処理とする)のシーケンスについて、図19を参照して説明する。
前提として、画像形成装置20の本体認証設定がOFFで、かつネイティブアプリ機器登録処理が実行済みであるものとする。
ユーザ3が操作部22を起動する操作を実行すると(ステップS501)、操作部22の認証制御部24は、機体識別番号要求信号をWebAPIサービス部27に送信する(ステップS502)。WebAPIサービス部27は、機体識別番号データを認証制御部24に送信する(ステップS503)。
次に、認証制御部24は、機器情報要求信号を情報処理装置10に送信する(ステップS504)。情報処理装置10の要求処理部12は、画像形成装置20の機器登録処理が実行済みであるため、登録された機器情報DIを画像形成装置20に送信する(ステップS505)。
画像形成装置20の本体認証設定がOFFであるため、ステップS501の起動の操作によって、操作部22には、図13に示すように、起動するネイティブアプリを選択することができるホーム画面308が表示されている。
ユーザ3が、例えば図13のスキャナ等のネイティブアプリを起動する操作をすると(ステップS506)、内部機能操作部25は、機器情報要求信号を認証制御部24に送信する(ステップS507)。
ここでは、認証制御部24は、ステップS505で機器情報DIを受けているため、機器情報DIを取得している。そこで、認証制御部24は、機器情報DIを内部機能操作部25に送信する(ステップS508)。
次に、内部機能操作部25は、認証状態確認信号を認証制御部24に送信する(ステップS509)。認証状態確認信号は、認証状態を確認する信号である。
認証制御部24は、認証状態を確認する。具体的には、何らかのタイミングですでに認証処理が実行されて認証されている場合には、認証制御部24は、認証済みであることを示す認証済情報を内部機能操作部25に送信する。それ以外の場合には、認証制御部24は、認証済みでないことを示す認証未済情報を内部機能操作部25に送信する。
ここでは、本体認証設定がOFFであることから、認証処理がまだ行われていないため、認証制御部24は、認証未済情報を内部機能操作部25に送信する(ステップS510)。
なお、本体認証設定がONである場合には、ネイティブアプリが起動するまでに認証処理は行われているはずであるため、認証制御部24は、認証済情報を内部機能操作部25に送信する。
次に、内部機能操作部25は、ログインボタンを表示する(ステップS511)。ログインボタンは、認証処理を実行して、認証が必要な機能を利用するための操作を受け付けるGUI(Graphical User Interface)である。
具体的には、内部機能操作部25は、図20に示すようなネイティブアプリ認証選択画面315を表示する。ネイティブアプリ認証選択画面315は、ログインボタン316と、キャンセルボタン317と、を含む。
キャンセルボタン317が押下されると、内部機能操作部25は、図13に示すようなホーム画面308を表示する。図19に戻り、ログインボタン316が押下されると(ステップS512)、内部機能操作部25は、認証画面表示要求信号を認証制御部24に送信する(ステップS513)。認証画面表示要求信号は、認証制御部24に、認証画面を表示するように要求する信号である。
続いて、認証制御部24は、情報処理装置10に認証画面データ要求信号を送信する(ステップS514)。要求処理部12は、認証画面要求信号を記憶部11に送信する(ステップS515)。
記憶部11は、認証画面データADを要求処理部12に送信する(ステップS516)。要求処理部12は、認証画面データADを画像形成装置20に送信する(ステップS517)。
認証制御部24は、Webブラウザ機能によって、認証画面データADに基づいて、図12に示すように、認証画面306を表示する(ステップS518)。この認証画面306はホーム画面に重畳したウィンドウ307に表示されている。したがって、ウィンドウ307が消去されない限り、ホーム画面の操作、例えばアプリケーションのアイコンの選択や、お知らせのメッセージの閲覧等ができないようになっている。
なお、認証画面306において、ユーザ3によって認証方法の選択がなされると、認証制御部24は、認証画面データADに含まれる、スクリプト言語のプログラムに規定された処理を実行して、入力項目を変更する。
また、認証画面データADには、入力情報の送信先を示す情報が含まれる。認証画面306において、ユーザ3によってログインボタンが押下されると、認証画面データADに含まれる入力情報の送信先を示す情報に基づいて、入力情報を情報処理装置10に送信する(ステップS520)。そして、要求処理部12は、受信した入力情報に基づいて、認証処理を実行する(ステップS521)。
認証成功の場合、要求処理部12は、認証チケットを送信する(ステップS522)。認証チケットは、認証が成功したことを表すデータであって、ユーザIDを暗号化した文字列であるトークンなどであっても良い。
認証制御部24は、内部機能操作部25に、認証チケットを送信し(ステップS523)、認証画面306のウィンドウ307を消去する(ステップS524)。
内部機能操作部25は、ステップS506で起動操作されたスキャナ等のアプリケーションのネイティブアプリ画面311を表示する(ステップS525)。
内部機能操作部25は、例えば、ユーザ3によって画像形成を指示する操作を受けると(ステップS526)、画像形成要求信号を画像形成部29に送信する(ステップS527)。
画像形成部29は、画像形成要求信号を受信すると、画像形成処理を実行する(ステップS528)。
上述したネイティブアプリ認証処理によれば、本体認証設定がOFFで、かつネイティブアプリごとに個別に認証が実施される場合にも、情報処理装置10に格納された認証画面データADに基づいて、認証画面306を表示する。
これによって、認証機能のカスタマイズ、アップデート等において、情報処理装置10の認証画面データADを改変すれば足りるため、各画像形成装置20の更新は不要となり、画像形成システム1の管理作業の負荷を軽減することができる。
本実施形態に係る画像形成システム1によれば、本体認証設定がOFFの場合に、ネイティブアプリごとの個別の認証(第3の認証)が実施される場合に使用される認証画面データ(第3の認証画面データ)を、第1の認証画面データおよび第2の認証画面データと共通の認証画面データADを使用する。これによって、ネイティブアプリの開発および管理作業の負荷を軽減することができる。
(第三の実施形態)
以下に図面を参照して、第三の実施形態について説明する。第三の実施形態では、認証方式をテナントごとに設定する点が、第一の実施形態と相違する。以下の第三の実施形態の説明では、第一の実施形態との相違点について説明し、第一の実施形態と同様の機能構成を有するものには、第一の実施形態の説明で用いた符号と同様の符号を付与し、その説明を省略する。
本実施形態に係る画像形成装置20が備える機能について説明する。
画像形成装置20の操作部22は、認証設定部30をさらに含む。
認証設定部30は、ユーザ(通常は画像形成装置20の管理者)の操作を受けて、本体認証の設定をする。具体的には、認証設定部30は、本体認証設定がONかOFFかを選択し、ONの場合には、標準認証かシステム認証かを選択する操作を受けて入力された設定を保存する。
また、情報処理装置10の記憶部11に格納されたテナント情報TIは、認証方式を示す情報を含む。具体的には、情報処理装置10は、図22に示すように、テナント情報の管理画面に含まれる認証方式設定画面318を表示して、各テナントの設定を管理するテナント管理者による認証方式の選択操作を受ける。
なお、認証方式設定画面318を示すデータは、情報処理装置10が実行するWEBアプリケーションによって提供される。テナント管理者が使用するPC等の端末は、ブラウザ機能を介して情報処理装置10にアクセスすることによって、認証方式設定画面318を表示する。
認証方式設定画面318は、ICカード有効設定欄319と、PIN(Personal Identification Number)有効設定欄320と、外部サービス有効設定欄321と、ユーザ選択設定欄322と、デフォルトログイン方法設定欄323と、保存ボタン324と、を含む。
ICカード有効設定欄319では、ICカードを利用した認証を有効にするか否かをテナント管理者に選択させる。ICカードを利用した認証を有効にすると、デフォルトログイン方法設定欄323の選択肢に「ICカード」が含まれる。
PIN有効設定欄320では、PINを利用した認証を有効にするか否かをテナント管理者に選択させる。PINを利用した認証を有効にすると、デフォルトログイン方法設定欄323の選択肢に「PIN」が含まれる。
また、PIN有効設定欄320では、PINを利用した認証を有効にする設定の場合には、さらに、PINの桁数を、例えば4から16までの数値から選択させ、PINの生成方法を「自動」か「ユーザ入力」かのいずれかから選択させる。
PINの生成方法が「自動」に設定された状態で保存ボタン324が押下されると、情報処理装置10は、バッチ処理等を実行して、設定された桁数の数値の列を乱数等によってユーザごとに生成し、生成した数値の列を各ユーザのPINとして、電子メール等によって通知する。
PINの生成方法が「ユーザ入力」に設定されている場合は、各ユーザの利用するPC等の端末が、各ユーザの操作を受けて情報処理装置10にアクセスして、後述するPIN設定画面を表示する。そして、各ユーザからの入力操作を受けて、各ユーザのPINを決定する。
外部サービス有効設定欄321では、外部サービスを利用した認証を有効にするか否かをテナント管理者に選択させる。外部サービスとは、例えば商用のクラウドサービス等のように、情報処理装置10の外部において、ユーザ情報を管理するサービスである。
外部サービス有効設定欄321では、外部サービスを利用した認証を有効にする設定の場合には、利用する外部サービスをあらかじめ設定されている選択可能な外部サービスから、利用する外部サービスをさらに選択させる。
外部サービスを利用した認証を有効にすると、情報処理装置10は、バッチ処理等を実行して、選択された外部サービスからユーザ情報を取得して、記憶部11に格納する。そして、情報処理装置10は、後述する本体認証処理において、外部サービスから取得したユーザ情報に基づいて認証処理を実行する。
ユーザ選択設定欄322では、ユーザを選択する認証方式を有効にするか否かをテナント管理者に選択させる。ユーザを選択する認証方式を有効にすると、デフォルトログイン方法設定欄323の選択肢に「ユーザ選択」が含まれる。
デフォルトログイン方法設定欄323では、本体認証のデフォルトの認証方式をテナント管理者に選択させる。選択肢には、「メールアドレス・パスワード」、「テナントID・ユーザID・パスワード」、「PIN」、「ICカード」、「ユーザ選択」が含まれる。
「メールアドレス・パスワード」は、各ユーザがメールアドレスとパスワードを入力する認証方式である。なお、この認証方式が選択され、外部サービスを利用した認証が有効になっている場合、情報処理装置10は、後述する本体認証処理において、外部サービスから取得したユーザ情報に含まれるメールアドレスとパスワードとに基づいて認証する。
「テナントID・ユーザID・パスワード」は、各ユーザがテナントID、ユーザIDおよびパスワードを入力する認証方式である。
「メールアドレス・パスワード」および「テナントID・ユーザID・パスワード」は、初めから認証方式の選択肢に含まれている。
それに対して、「PIN」、「ICカード」および「ユーザ選択」は、前述の通り、それぞれ設定が有効になった場合に、認証方式の選択肢に含まれる。
テナント管理者によって保存ボタン324が押下されると、情報処理装置10は、入力された設定の内容を記憶部11のテナント情報に反映する。
ところで、各ユーザは、情報処理装置10と通信可能な端末を操作して、ユーザID、メールアドレス、パスワード等を入力して、ユーザごとに設定されたアカウントとして管理画面にログインすることができる。そして、各ユーザが操作する端末は、情報処理装置10のWEBアプリケーションによって提供される管理画面を表示する。
各ユーザの端末は、管理画面を表示して、ユーザID、メールアドレス、パスワード等のユーザ情報RIの確認、変更等の操作を受けることができる。
認証方式設定画面318においてPINを利用した認証を有効にする設定となっている場合には、管理画面の一部に、図23に示すようなPIN設定画面325が含まれる。
PIN設定画面325では、認証方式としてPINを使用するか否かを、各ユーザに選択させる。また、PINを使用する場合であって、認証方式設定画面318においてPINの生成方法が「ユーザ入力」に設定されている場合は、PINをユーザに入力させる。
なお、PINを使用しない設定のユーザは、本体認証のデフォルトの認証方式が「PIN」であっても、PIN以外の認証方式がデフォルトとなる。また、PINを使用しない設定のユーザの端末では、後述する各種の本体認証画面は、認証方式を「PIN」には変更できないようになっている。
次に、本実施形態に係る本体認証画面を表示する処理について、図24を参照して説明する。
ユーザ3が画像形成装置20を起動する操作を行うと(ステップS601)、操作部22の起動制御部23は、認証制御部24に起動要求信号を送信する(ステップS602)。認証制御部24は、本体部21に機体識別番号要求信号を送信する(ステップS603)。WebAPIサービス部27は、機体識別番号データを認証制御部24に送信する(ステップS604)。
次に、認証制御部24は、MFP認証用チャレンジ要求信号を情報処理装置10に送信する(ステップS605)。MFP認証用チャレンジ要求信号は、MFP認証用チャレンジの発行を要求する信号である。MFP認証用チャレンジは、MFP等の画像形成装置20を認証する(以下、MFP認証とする)ために、都度乱数に基づいて生成されるデータ列であって、いわゆるチャレンジレスポンス認証の技術に使用されるワンタイムパスワードの一種である。
なお、情報処理装置10は、画像形成装置20に機器情報DIを送信するために、以下、ステップS610までの処理においてMFP認証を実行する。この処理は、他の実施形態において説明した機器情報DIの送信処理の前に実行しても良い。
要求処理部12は、MFP認証用チャレンジを発行して、画像形成装置20に送信する(ステップS606)。認証制御部24は、WebAPIサービス部27にMFP認証用トークン要求信号を送信する(ステップS607)。MFP認証用トークン要求信号は、MFP認証用トークンの発行を要求する信号である。MFP認証用トークン要求信号には、MFP認証用チャレンジが含まれる。
WebAPIサービス部27は、MFP認証用トークンと、暗号化種別データと、を認証制御部24に送信する(ステップS608)。MFP認証用トークンは、機器情報DIに基づいて暗号化された文字列である。また、暗号化種別データは、WebAPIサービス部27がMFP認証用トークンを作成する際に使用した暗号化種別を示すデータである。
次に、認証制御部24は、MFP認証チケット要求信号を情報処理装置10に送信する(ステップS609)。MFP認証チケット要求信号は、MFP認証チケットの発行を要求する信号であって、ステップS604で取得した機体識別番号データを含む。MFP認証チケットは、MFP認証が成功したことを示すデータである。
要求処理部12は、MFP認証を実行して、MFP認証チケットを画像形成装置20に送信する(ステップS610)。次に、認証制御部24は、機器情報要求信号を情報処理装置10に送信する。機器情報要求信号には、MFP認証チケットが含まれる。
要求処理部12は、機器情報DIを画像形成装置20に送信する(ステップS612)。機器情報DIには、画像形成装置20を識別するための機器番号が含まれる。なお、機器登録処理が未登録の場合には、失敗信号が送信され、図9に示した機器登録処理のステップS106からステップS114までの処理と同様の処理が実行される。
機器情報DIを受信すると、認証制御部24は、認可要求信号を情報処理装置10に送信する(ステップS613)。認可要求信号は、テナント情報TIを送信する認可を情報処理装置10に要求する信号である。認可要求信号には、MFP認証チケットが含まれる。
要求処理部12は、認可したことを示す認可コードを含むリダイレクト用のURLを画像形成装置20に送信する(ステップS614)。認証制御部24は、リダイレクト用のURLに対してリダイレクトする(ステップS615)。なお、リダイレクト用のURLは、情報処理装置10のアクセストークン発行用のURLである。
アクセストークンは、テナント情報の送信を要求するために使用される暗号化された文字列である。要求処理部12は、アクセストークンを生成して、画像形成装置20に送信する(ステップS616)。
認証制御部24は、テナント情報要求信号を情報処理装置10に送信する(ステップS617)。テナント情報要求信号は、テナント情報TIの送信を要求する信号である。テナント情報要求信号には、ステップS612で取得された機器情報DIに含まれる機器番号と、ステップS616で取得されたアクセストークンとが含まれる。
要求処理部12は、テナント情報TIを画像形成装置20に送信する(ステップS618)。テナント情報TIには、前述の認証方式設定画面318にて設定された認証方式が含まれる。
次に、認証制御部24は、認証画面要求信号を情報処理装置10に送信する(ステップS619)。認証画面要求信号は、認証画面の送信を要求する信号である。認証画面要求信号には、ステップS618で取得された認証方式が含まれる。
要求処理部12は、認証画面要求信号を受信すると、認証方式を含む認証画面要求信号を記憶部11に送信する(ステップS620)。
記憶部11は、認証方式に応じた認証画面データADを要求処理部12に送信する(ステップS621)。要求処理部12は、認証画面データADを画像形成装置20に送信する(ステップS622)。
認証制御部24は、認証画面データADに基づいて、本体認証画面を表示する(ステップS623)。
デフォルトの認証方式が「メールアドレス・パスワード」に設定されている場合、表示される本体認証画面326は、図25に示すように、メールアドレスとパスワードを入力項目とする画面である。
また、認証方式設定画面のデフォルトログイン方法設定欄323と同様の選択肢から認証方式の変更が可能となっている。ユーザ3によって認証方法の選択がなされると、認証制御部24は、認証画面データADに含まれる、スクリプト言語のプログラムに規定された処理を実行して、入力項目を変更する。その場合、情報処理装置10から送信される認証画面データADには、選択可能なすべての認証方式の画面データが含まれていても良い。
デフォルトの認証方式が「テナントID・ユーザID・パスワード」に設定されている場合、表示される本体認証画面327は、図26に示すように、テナントIDとユーザIDとパスワードを入力項目とする画面である。
また、デフォルトの認証方式が「PIN」に設定されている場合、表示される本体認証画面328は、図27に示すように、PINを入力項目とする画面である。
また、デフォルトの認証方式が「ICカード」に設定されている場合、表示される本体認証画面には、入力項目が特に含まれず、ICカードの近接を要求するメッセージが含まれる。
また、デフォルトの認証方式が「ユーザ選択」に設定されている場合、表示される本体認証画面329は、図28に示すように、ログイン可能なユーザの一覧が表示され、表示された一覧からログインするユーザを選択させる画面である。具体的には、本体認証画面329は、表示順選択欄330と、更新ボタン331と、インデックス選択タブ332と、スクロールバー333と、を含む。
表示順選択欄330は、表示順を変更するためのGUIである。表示順が変更されると、認証制御部24は、変更後の表示順を指定して、後述するユーザ情報更新処理を実行する。インデックス選択タブ332は「全て」が選択された状態となる。
更新ボタン331は、最新のユーザ一覧を表示するためのGUIである。更新ボタン331が押下されると、認証制御部24は、後述するユーザ情報更新処理を実行する。また、インデックス選択タブ332は「全て」が選択された状態となる。
インデックス選択タブ332は、表示順がメールアドレスである場合、メールアドレスの頭文字を選択して、画面に表示されるメールアドレスを限定するためのGUIである。ここで、表示順がユーザIDである場合は、ユーザIDの頭文字を選択させるようにしても良い。頭文字が変更されると、認証制御部24は、変更後の頭文字を指定して、後述するユーザ情報更新処理を実行する。
スクロールバー333は、画面に表示するユーザ一覧をスクロール表示するためのGUIである。1ページあたりの表示ユーザ数があらかじめ設定されていて、表示ユーザ数を超える範囲にスクロール操作をされると、認証制御部24は、後述するユーザ情報更新処理を実行する。
なお、上述の各GUIの操作がなされると、認証制御部24は、認証画面データADに含まれる、スクリプト言語のプログラムに規定された処理を実行して、入力項目を変更する。
本体認証画面329の初期表示および前述の表示順選択欄330、更新ボタン331、インデックス選択タブ332、スクロールバー333等が操作されると、認証制御部24は、図29に示すユーザ情報更新処理を開始する。
認証制御部24は、情報処理装置10に認可要求信号を送信する(ステップS701)。認可要求信号には、MFP認証チケットが含まれる。要求処理部12は、認可したことを示す認可コードを含むリダイレクト用のURLを画像形成装置20に送信する(ステップS702)。
認証制御部24は、リダイレクト用のURLに対してリダイレクトする(ステップS703)。なお、リダイレクト用のURLは、情報処理装置10のアクセストークン発行用のURLである。要求処理部12は、アクセストークンを生成して、画像形成装置20に送信する(ステップS704)。
認証制御部24は、ユーザ情報要求信号を情報処理装置10に送信する(ステップS705)。ユーザ情報要求信号は、ユーザ情報RIの送信を要求する信号である。ユーザ情報要求信号には、ステップS704で取得されたアクセストークンが含まれる。また、ユーザ情報要求信号には、表示順、ページ数、頭文字等を指定する情報が含まれる。
要求処理部12は、指定された情報に基づいて、記憶部11のユーザ情報RIからユーザ情報の一覧データを取得して、画像形成装置20に送信する(ステップS706)。
ログインするユーザの選択を受けた場合、選択されたユーザを示すユーザIDを入力情報として、後述する本体認証処理を実行する。なお、認証制御部24は、ログインするユーザの選択を受けた場合、パスワードを入力させる画面を表示しても良い。その場合、認証制御部24は、選択されたユーザを示すユーザIDと、入力されたパスワードと、を入力情報として、後述する本体認証処理を実行する。
図30は、第三の実施形態に係る本体認証処理のシーケンスの一例を示す図である。
本体認証画面に対するユーザ3の入力操作を受けると(ステップS801)、認証制御部24は、認証要求信号を認証設定部30に送信する(ステップS802)。認証設定部30は、本体認証がONで、かつシステム認証が選択されている場合、システム認証を要求する信号(システム認証要求信号)を認証制御部24に送信する(ステップS803)。
次に、認証制御部24は、認証要求信号を情報処理装置10に送信する(ステップS804)。認証要求信号には、ステップS801の入力操作で取得した入力情報が含まれる。なお、この入力情報は、それぞれの本体認証画面で選択された認証方式によって異なる。
要求処理部12は、選択された認証方式に応じた入力情報に基づいて、認証処理を実行する(ステップS805)。要求処理部12は、認証処理に成功すると、ユーザ3のユーザ情報RIを画像形成装置20に送信する(ステップS806)。なお、認証処理に失敗した場合は、要求処理部12は、400、401、402等のHTTPステータスコードを画像形成装置20に送信する。
認証制御部24は、システム認証応答信号を認証設定部30に送信する(ステップS807)。システム認証応答信号は、ステップS803において送信されたシステム認証要求信号に対する応答として、認証の結果を通知する信号である。認証設定部30は、本体認証部28に認証結果通知信号を送信し(ステップS808)。認証応答信号を認証制御部24に送信する(ステップS809)。
認証応答信号は、ステップS802において送信された認証要求信号に対する応答を示す信号である。応答の内容には、ステップS807において送信されたシステム認証応答信号に含まれる認証結果がそのまま反映される。
次に、認証制御部24は、状態変化通知信号を認証制御部24に送信する(ステップS810)。状態変化通知信号は、ログイン状態の変化を通知する信号である。例えば、認証処理に成功した場合は、状態変化通知信号は、ログアウト状態からログイン状態に変化したことを示す。逆に、認証処理に失敗した場合は、状態変化通知信号は、ログアウト状態から変化しなかったことを示す。
状態変化通知信号は、ログアウト状態からログイン状態に変化したことを示す場合、認証制御部24は、本体認証画面を消去する(ステップS811)。これによって、操作部22にはホーム画面が表示され、ネイティブアプリ、ブラウザアプリ等が選択可能な状態となる。
また、画像形成装置20が管理するユーザの情報を情報処理装置10の記憶部11に格納されたユーザ情報RIと同期する処理を実行しても良い。
具体的には、ログイン後のユーザ3の操作によって、ユーザ情報が変更されると(ステップS812)、認証制御部24は、情報処理装置10に認可要求信号を送信する(ステップS813)。認可要求信号には、MFP認証チケットが含まれる。要求処理部12は、認可したことを示す認可コードを含むリダイレクト用のURLを画像形成装置20に送信する(ステップS814)。
認証制御部24は、リダイレクト用のURLに対してリダイレクトする(ステップS815)。なお、リダイレクト用のURLは、情報処理装置10のアクセストークン発行用のURLである。要求処理部12は、アクセストークンを生成して、画像形成装置20に送信する(ステップS816)。
認証制御部24は、変更後のユーザ情報とアクセストークンとを情報処理装置10に送信する(ステップS817)。要求処理部12は、記憶部11に格納されたユーザ情報RIを更新する(ステップS818)。
本実施形態に係る画像形成システム1によれば、画像形成装置20は、テナントごとに設定された認証方式を情報処理装置10から取得して、取得した認証方式に応じた本体認証画面を表示する。そのため、ユーザが個別に認証方式を選択する必要が無く、テナント管理者にとっても、ユーザごとの設定変更を行う必要が無く、一度の設定で済むため、ユーザごとに認証方式を選択する方法よりも利便性が高い。
さらに、上述した画像形成システム1によれば、テナントごとに設定されたデフォルトの認証方式を、ユーザが個別に変更することができる。したがって、ユーザごとに認証方式を選択するという柔軟性の高さを確保することができる。
上述した各実施形態において、本体認証の認証処理に失敗した場合は、画像形成装置20の一部の機能を利用できるゲストユーザでログインできるようにしても良い。これによって、システム認証が設定されている場合に、例えば通信設備の不調などによって情報処理装置10との通信ができない場合であっても、画像形成装置20の一部の機能をユーザに利用させることができる。
上述した各実施形態は、適宜組み合わせても良い。例えば、第1の認証画面データ、第2の認証画面データおよび第3の認証画面データとして、情報処理装置10の記憶部11に格納された共通の認証画面データADを使用しても良い。同様に、第1の認証、第2の認証および第3の認証に使用する機器登録画面データとして、情報処理装置10の記憶部11に格納された共通の機器登録画面データDDを使用しても良い。
また、第三の実施形態に係る認証方式ごとの認証画面データとしても、情報処理装置10の記憶部11に格納された共通の認証画面データADを使用しても良い。この場合、認証画面データADは、認証方式ごとに入力項目が異なる複数の認証画面データを含む。また、第1の認証、第2の認証および第3の認証のいずれの場合も、テナントごとに設定されたデフォルトの認証方式の認証画面データを使用するようにしても良い。
各実施形態に記載された装置群は、本明細書に開示された実施形態を実施するための複数のコンピューティング環境のうちの1つを示すものにすぎない。
ある実施形態では、情報処理装置10は、サーバクラスタといった複数のコンピューティングデバイス(情報処理装置)を含む、クラウドサービスやWebサービス等の、情報処理システムとして構成されても良い。複数のコンピューティングデバイスは、ネットワークや共有メモリなどを含む任意のタイプの通信リンクを介して互いに通信するように構成されており、本明細書に開示された処理を実施しても良い。
さらに、情報処理装置10および画像形成装置20は、開示された処理ステップ、例えば図9、図11または図15を様々な組み合わせで共有するように構成できる。また、情報処理装置10(情報処理システム)と画像形成装置20の各要素は、1つのサーバ装置にまとめられていても良いし、複数の装置に分けられていても良い。例えば認証画面等の画面情報を記憶する情報処理装置、第一・第二の認証処理を行う情報処理装置、外部機能を提供するWebアプリケーションを有する情報処理装置など各機能部をそれぞれ有する異なる情報処理装置が連携して情報処理システムを構成してもよい。
上記で説明した実施形態の各機能は、一又は複数の処理回路によって実現することが可能である。ここで、本明細書における「処理回路」とは、電子回路により実装されるプロセッサのようにソフトウェアによって各機能を実行するようプログラミングされたプロセッサや、上記で説明した各機能を実行するよう設計されたASIC(Application Specific Integrated Circuit)、DSP(Digital Signal Processor)、FPGA(Field Programmable Gate Array)や従来の回路モジュール等のデバイスを含むものとする。
また、上述した各実施形態では、共有端末の一例として画像形成装置20を示した。しかし、共有端末は、通信機能を備えた装置であれば、画像形成装置に限られない。共有端末は、例えば、PJ(Projector:プロジェクタ)、デジタルサイネージ等の出力装置、HUD(Head Up Display)装置、産業機械、医療機器、ネットワーク家電、自動車(Connected Car)、ノートPC(Personal Computer)、携帯電話、タブレット端末、ゲーム機、PDA(Personal Digital Assistant)、デジタルカメラ、ウェアラブルPCまたはデスクトップPC等であってもよい。
また、画像形成装置20に搭載されるネイティブアプリ、ブラウザアプリ等のアプリケーションプログラムは、ユーザのPC、携帯端末、スマートフォン等の情報処理装置に搭載されていても良い。すなわち、上述の操作部22は、画像形成装置20とは別の装置が備えていても良い。
以上、各実施形態に基づき本発明の説明を行ってきたが、上記実施形態に示した要件に本発明が限定されるものではない。これらの点に関しては、本発明の主旨をそこなわない範囲で変更することができ、その応用形態に応じて適切に定めることができる。