JP7388285B2 - サービス提供システム、ログイン設定方法、情報処理システム - Google Patents

サービス提供システム、ログイン設定方法、情報処理システム Download PDF

Info

Publication number
JP7388285B2
JP7388285B2 JP2020076214A JP2020076214A JP7388285B2 JP 7388285 B2 JP7388285 B2 JP 7388285B2 JP 2020076214 A JP2020076214 A JP 2020076214A JP 2020076214 A JP2020076214 A JP 2020076214A JP 7388285 B2 JP7388285 B2 JP 7388285B2
Authority
JP
Japan
Prior art keywords
electronic device
authentication
login
setting value
information processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020076214A
Other languages
English (en)
Other versions
JP2021174156A (ja
Inventor
志功 宮本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2020076214A priority Critical patent/JP7388285B2/ja
Priority to US17/227,508 priority patent/US11895108B2/en
Publication of JP2021174156A publication Critical patent/JP2021174156A/ja
Priority to JP2023194945A priority patent/JP2024012626A/ja
Application granted granted Critical
Publication of JP7388285B2 publication Critical patent/JP7388285B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N1/00Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
    • H04N1/44Secrecy systems
    • H04N1/4406Restricting access, e.g. according to user identity
    • H04N1/4413Restricting access, e.g. according to user identity involving the use of passwords, ID codes or the like, e.g. PIN
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • G06F21/608Secure printing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N1/00Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
    • H04N1/44Secrecy systems
    • H04N1/4406Restricting access, e.g. according to user identity
    • H04N1/4426Restricting access, e.g. according to user identity involving separate means, e.g. a server, a magnetic card

Description

本発明は、サービス提供システム、ログイン設定方法、及び、情報処理システムに関する。
アプリやソフトウェア等によるサービスをネットワーク経由でユーザに提供する情報処理システムが知られている。ユーザはPC(パーソナルコンピュータ)等などの端末装置と、端末装置で動作するWebブラウザ、インターネット接続環境など、一定の環境を用意することで、端末装置から情報処理システムが提供するサービスを利用することができる。
このような情報処理システムが提供するサービスを、企業などが組織として契約し、組織の所属者等がユーザとしてサービスを利用する場合がある。また情報処理システムのサービスを契約した組織等は、テナントと呼ばれる単位で管理される。テナントに許可されているサービスをユーザが使用するために、ユーザは情報処理システムにログインする。
ユーザの利便性を考慮してユーザのログイン操作を支援する技術が知られている(例えば、特許文献1参照。)。特許文献1には、各ICカードに対応するプラグインを作成しておき、実際に使いたいICカード種類に応じてシステム管理者がプラグインを切り替えることで、ICカードでのログインが可能となる画像形成装置が開示されている。
しかしながら、従来の技術では、画像形成装置などの電子機器が、外部から、電子機器での認証方法(例えば電子機器でICカードを用いたログインを可能にする等)の設定値を取得することができないという問題があった。すなわち、管理者は手動で、電子機器ごとに認証方法を切り替える作業が必要であった。
本発明は、上記課題に鑑み、電子機器が、外部から認証方法の設定値を取得して、容易に認証方法を変更することができるサービス提供システムを提供することを目的とする。
上記課題に鑑み、本発明は、複数の認証方法のいずれかでユーザを認証する情報処理システムが、ログインの成功により電子機器にサービスを提供するサービス提供システムであって、前記情報処理システムは、認証方法に対応づけてログインが可能か否かの設定値を記憶する設定値情報記憶部と、前記電子機器からの要求に応じて前記設定値を前記電子機器に送信する第一の通信部と、を有し、
前記電子機器は、前記情報処理システムから前記設定値を受信する第二の通信部と、前記第二の通信部が受信した前記設定値に応じて、前記電子機器が記憶している前記設定値を変更する処理制御部と、を有することを特徴とする。
電子機器が、外部から認証方法の設定値を取得して、容易に認証方法を変更することができるサービス提供システムを提供することができる。
各電子機器に対するICカードログインの設定方法を説明する図である。 サービス提供システムの一例の構成図である。 コンピュータの一例のハードウェア構成図である。 電子機器の一例として示された画像形成装置の一例のハードウェア構成図である。 第一の端末装置、第二の端末装置、電子機器、及び、情報処理システムの機能をブロック状に分けて説明する機能ブロック図の一例である。 管理者が電子機器を情報処理システムに登録する際に電子機器が表示する機器登録画面の一例を示す図である。 認証方法がユーザIDの場合に電子機器が表示するログイン画面の一例を示す図である。 認証方法がメールアドレスの場合に電子機器が表示するログイン画面の一例を示す図である。 認証方法がユーザ選択の場合に電子機器10が表示するログイン画面の一例を示す図である。 認証方法がPINコードの場合に電子機器が表示するログイン画面の一例を示す図である。 認証方法がICカードの場合に電子機器が表示するログイン画面の一例を示す図である。 第二の端末装置が表示する認証方法設定画面の一例を示す図である。 認証アプリ起動時からログイン画面が表示されるまでのシーケンス図の一例である。 情報処理システムがログイン画面に入力されたアカウント情報を用いてユーザを認証する手順を示すシーケンス図の一例である。
以下、本発明を実施するための形態の一例として、コンピュータシステムとコンピュータシステムが行うログイン設定方法について説明する。
<動作又は処理の概略>
まず、図1を参照して本実施形態のサービス提供システムにおけるICカードログインの設定について説明する。図1は、各電子機器に対するICカードログインの設定方法を説明する図である。
(1) まず、テナント管理者(以下、単に管理者Cという)はネットワーク上の情報処理システム50に対し、画像形成装置10A~10Cに共通に、各ユーザがICカードでログインできる「"有効"(ON)」又はできない「"無効"(OFF)」の設定値を設定する。例えば、図1では、ICカードログインが「"有効"(ON)」に設定されている。
(2) 各画像形成装置10A~10Cは定期的に又は起動したタイミングなどで情報処理システム50の設定値を取得する。
(3) 各画像形成装置10A~10Cは、設定値が「"無効"(OFF)」から「"有効"(ON)」に変更になっていた場合、画像形成装置内のICカードログインに関する設定値を「"有効"(ON)」に変更する。設定値が「"有効"(ON)」の場合、画像形成装置10A~10CはICカードでログインするためのログイン画面を表示する。
このように、本実施形態のサービス提供システム1は、顧客の管理者Cが情報処理システム50(サーバ)にてICカードログインの設定を有効にすることで、その設定値を各画像形成装置10A~10Cが自動で取得し、ICカードでログインできる機能を自動で有効にすることができる。
<用語について>
ICカード(Integrated circuit card)とは、データの記録や演算をするために集積回路 (IC) を組み込んだカードのことである。スマートカード (smart card) やチップカード (chip card) とも呼ばれる。
ICカードからの情報とは、カードの識別情報、pin番号、生体認証情報など、ユーザを識別する情報である。パスワードを含んでもよい。ログインに必要な情報ともいえる。
認証方法とは、どの情報でユーザを認証するか(ユーザが正当な権限者か否かを判断するか)をいう。本実施形態では、ユーザID、メールアドレス、ユーザ選択、PINコード、及び、ICカードを例にして説明する。生体認証情報で認証してもよい。認証方法をログイン方法という場合がある。
<システム構成例>
図2は本実施形態に係るサービス提供システム1の一例の構成図である。図2のサービス提供システム1は、顧客環境8がインターネットなどのネットワークN1を介して情報処理システム50と接続されている。ネットワークN1には携帯電話網などの電話回線も含まれる。
顧客は情報処理システム50によって提供されるサービスの顧客であって、企業、団体、教育機関、行政機関や部署などの組織が含まれる。これら顧客と何らかの雇用関係にあるものをユーザという。ユーザには一般ユーザと管理者がいる。顧客環境8には1台以上の電子機器10と、第一の端末装置20と、第二の端末装置30と、ファイヤウォール7と、がLANなどのネットワークN2を介して接続されている。また、情報処理システム50にはネットワークN1に接続されている1台以上の情報処理装置が存在する。
電子機器10は、例えば画像形成装置10aであるが、画像形成装置10aにはレーザプリンタ、複合機(マルチファンクションプリンタ)、MFP(Multi-function Peripheral/Product/Printer)なども含まれる。また、電子機器10としては電子黒板10bも挙げられる。この他、電子機器10は、例えば、PJ(Projector:プロジェクタ)、デジタルサイネージ等の出力装置、HUD(Head Up Display)装置、産業機械、撮像装置、集音装置、医療機器、ネットワーク家電、自動車(Connected Car)、ノートPC、携帯電話、スマートフォン、タブレット端末、ゲーム機、PDA(Personal Digital Assistant)、デジタルカメラ、ウェアラブルPC又はデスクトップPC等であってもよい。
本実施形態の電子機器10は、情報処理システム50に登録されたユーザがサービスを利用する端末となる。ユーザは、電子機器10から情報処理システム50にログインして、ユーザに利用権限が認められているアプリ(アプリケーションソフト)を選択して、情報処理システム50が提供するサービスを受ける。このように、サービスはアプリ単位で提供される。
第一の端末装置20は、一般ユーザが利用するスマートフォンや携帯電話、タブレットPC、デスクトップPC、ノートPC、等の情報処理装置である。第一の端末装置20には、Webブラウザなどの画面表示機能を有するプログラムが搭載されている。このプログラムは情報処理システム50から受信した画面情報を画面として表示する機能を有していればよくWebブラウザに限られない。情報処理システム50に専用のプログラムでもよい。
第二の端末装置30は、管理者が利用するスマートフォンや携帯電話、タブレットPC、デスクトップPC、ノートPC、等の情報処理装置である。第二の端末装置30には、Webブラウザなどの画面表示機能を有するプログラムが搭載されている。このプログラムは情報処理システム50から受信した画面情報を画面として表示する機能を有していればよくWebブラウザに限られない。情報処理システム50に専用のプログラムでもよい。
ファイヤウォール7は顧客環境8への外部からの侵入を防ぐための装置であり、顧客環境8からの全ての通信はファイヤウォール7により監視される。ただし、第一の端末装置20と第二の端末装置30が携帯電話網などの電話回線を介して情報処理システム50と通信する場合はこの限りでない。
情報処理システム50は、ネットワークN1を介して、各種のサービスを電子機器10及び第二の端末装置30等に提供する。サービスは電子機器10の種類によって様々であるが、画像形成装置10aの場合は、読み取った原稿をクラウド上のストレージにアップロードして保存するサービス、クラウド上のストレージの画像データをダウンロードして印刷するサービスなどがあるが、これらに限られない。電子黒板10bの場合は、例えばリアルタイムに音声認識して議事録の作成するサービス、手書きデータをテキスト化するサービスなどがある。第二の端末装置30の場合は、例えばWebページのリアルタイム翻訳サービスなどがある。
情報処理システム50では、テナントとユーザが対応づけられている。ユーザごとに使用できるサービス(アプリ)が決まっており、ユーザは自分が使用できるアプリを電子機器10や第一の端末装置20から使用する。また、テナント、管理者及びユーザには以下のような関係がある。
・1顧客→1テナント(管理者とユーザが1つのテナントに所属する)
・1顧客→複数テナント(管理者はテナントに所属するとは限らず、各テナントと所属するユーザを管理する。ユーザは1つ以上のテナントに所属する)
いずれの場合も情報処理システム50に登録されたユーザはいずれかのテナントに所属するので、登録後はユーザが特定されれば所属するテナントも特定される。
情報処理システム50は、第一の端末装置20、第二の端末装置30、又は、電子機器10に表示させるWebページの画面情報を作成し、これらに送信する。例えば、後述する、ログイン画面等を表示させる。
画面情報は、HTML、XML、CSS(Cascade Style Sheet)、及びJavaScript(登録商標)等により作成される。WebページはWebアプリ18により提供されてよい。Webアプリ18とは、Webブラウザ上で動作するプログラミング言語(たとえばJavaScript(登録商標))によるプログラムとWebサーバ側のプログラムが協調することによって動作し、Webブラウザ上で実行されるソフトウェア又はその仕組みを言う。Webアプリ18によりWebページを動的に変更できる。
外部サービス70は主に認証連携サービスを提供する1つ以上の情報処理装置である。例えば、OAUTH、OAUTH2.0、OpenID Connectなどの認証連携サービスを提供する。認証連携サービスは、サービスのユーザが、サービス上にホストされている自分のデータへのアクセスを、自分のアカウント情報 (ID & パスワード) を渡すことなく、第三者のアプリケーションに許可する仕組みである。認証連携サービスとしては、Office365(登録商標)、Google(登録商標)、又はFacebook(登録商標)などが知られている。
また、図2に示すサービス提供システム1の構成は一例であって、顧客環境と、情報処理システム50との間に1つ以上のサーバ装置(プロキシサーバやゲートウェイサーバなど)が介在していてもよい。また、第一の端末装置20と第二の端末装置30は、顧客環境以外にあってもよく、例えばネットワークN1に接続されていてもよい。
情報処理システム50は、1台の情報処理装置49で実現してもよいし、複数台の情報処理装置49に分散して実現してもよい。例えば、サービスごとにこれを提供する情報処理装置49が存在してもよいし、1台の情報処理装置49が複数のサービスを提供してもよいし、複数の情報処理装置49で1つのサービスを提供してもよい。
また、図2のサービス提供システム1は情報処理システム50が顧客環境の外側のインターネットなどのネットワークN1に接続されている。言い換えれば図2のサービス提供システム1は、情報処理システム50がクラウド環境に備えられた例である。しかし、情報処理システム50は顧客環境の内側(オンプレミス環境)に備えられていてもよい。
<ハードウェア構成例>
<<コンピュータ>>
図2の第一の端末装置20、第二の端末装置30、又は、情報処理システム50の情報処理装置は例えば図3に示すハードウェア構成のコンピュータにより実現される。図3はコンピュータの一例のハードウェア構成図である。図3のコンピュータ500はコンピュータによって構築されており、図3に示されているように、CPU501、ROM502、RAM503、HD504、HDD(Hard Disk Drive)コントローラ505、ディスプレイ506、外部機器接続I/F(Interface)508、ネットワークI/F509、バスライン510、キーボード511、ポインティングデバイス512、DVD-RW(Digital Versatile Disk Rewritable)ドライブ514、メディアI/F516を備えている。
これらのうち、CPU501は、コンピュータ全体の動作を制御する。ROM502は、IPL等のCPU501の駆動に用いられるプログラムを記憶する。RAM503は、CPU501のワークエリアとして使用される。HD504は、プログラム等の各種データを記憶する。HDDコントローラ505は、CPU501の制御にしたがってHD504に対する各種データの読み出し又は書き込みを制御する。ディスプレイ506は、カーソル、メニュー、ウィンドウ、文字、又は画像などの各種情報を表示する。外部機器接続I/F508は、各種の外部機器を接続するためのインターフェースである。この場合の外部機器は、例えば、USB(Universal Serial Bus)メモリやプリンタ等である。ネットワークI/F509は、通信ネットワーク100を利用してデータ通信をするためのインターフェースである。バスライン510は、図3に示されているCPU501等の各構成要素を電気的に接続するためのアドレスバスやデータバス等である。
また、キーボード511は、文字、数値、各種指示などの入力のための複数のキーを備えた入力手段の一種である。ポインティングデバイス512は、各種指示の選択や実行、処理対象の選択、カーソルの移動などを行う入力手段の一種である。DVD-RWドライブ514は、着脱可能な記録媒体の一例としてのDVD-RW513に対する各種データの読み出し又は書き込みを制御する。なお、DVD-RWに限らず、DVD-R等であってもよい。メディアI/F516は、フラッシュメモリ等の記録メディア515に対するデータの読み出し又は書き込み(記憶)を制御する。
<<画像形成装置>>
図4は、電子機器10の一例として示された画像形成装置10aの一例のハードウェア構成図である。図4に示されているように、画像形成装置10aは、コントローラ910、近距離通信回路920、エンジン制御部930、操作パネル940、ネットワークI/F950を備えている。
これらのうち、コントローラ910は、コンピュータの主要部であるCPU901、システムメモリ(MEM-P)902、ノースブリッジ(NB)903、サウスブリッジ(SB)904、ASIC(Application Specific Integrated Circuit)906、記憶部であるローカルメモリ(MEM-C)907、HDDコントローラ908、及び、記憶部であるHD909を有し、NB903とASIC906との間をAGP(Accelerated Graphics Port)バス921で接続した構成となっている。
これらのうち、CPU901は、画像形成装置10aの全体制御を行う制御部である。NB903は、CPU901と、MEM-P902、SB904、及びAGPバス921とを接続するためのブリッジであり、MEM-P902に対する読み書きなどを制御するメモリコントローラと、PCI(Peripheral Component Interconnect)マスタ及びAGPターゲットとを有する。
MEM-P902は、コントローラ910の各機能を実現させるプログラムやデータの格納用メモリであるROM902a、プログラムやデータの展開、及びメモリ印刷時の描画用メモリなどとして用いるRAM902bとからなる。なお、RAM902bに記憶されているプログラムは、インストール可能な形式又は実行可能な形式のファイルでCD-ROM、CD-R、DVD等のコンピュータで読み取り可能な記録媒体に記録して提供するように構成してもよい。
SB904は、NB903とPCIデバイス、周辺デバイスとを接続するためのブリッジである。ASIC906は、画像処理用のハードウェア要素を有する画像処理用途向けのIC(Integrated Circuit)であり、AGPバス921、PCIバス922、HDDコントローラ908及びMEM-C907をそれぞれ接続するブリッジの役割を有する。このASIC906は、PCIターゲット及びAGPマスタ、ASIC906の中核をなすアービタ(ARB)、MEM-C907を制御するメモリコントローラ、ハードウェアロジックなどにより画像データの回転などを行う複数のDMAC(Direct Memory Access Controller)、並びに、スキャナ部931及びプリンタ部932との間でPCIバス922を介したデータ転送を行うPCIユニットとからなる。なお、ASIC906には、USB(Universal Serial Bus)のインターフェースや、IEEE1394(Institute of Electrical and Electronics Engineers 1394)のインターフェースを接続するようにしてもよい。
MEM-C907は、コピー用画像バッファ及び符号バッファとして用いるローカルメモリである。HD909は、画像データの蓄積、印刷時に用いるフォントデータの蓄積、フォームの蓄積を行うためのストレージである。HD909は、CPU901の制御にしたがってHD909に対するデータの読出又は書込を制御する。AGPバス921は、グラフィック処理を高速化するために提案されたグラフィックスアクセラレータカード用のバスインターフェースであり、MEM-P902に高スループットで直接アクセスすることにより、グラフィックスアクセラレータカードを高速にすることができる。
また、近距離通信回路920には、近距離通信回路アンテナ920aが備わっている。近距離通信回路920は、NFC、Bluetooth(登録商標)等の通信回路である。
更に、エンジン制御部930は、スキャナ部931及びプリンタ部932によって構成されている。また、操作パネル940は、現在の設定値や選択画面等を表示させ、操作者からの入力を受け付けるタッチパネル等のパネル表示部940a、並びに、濃度の設定条件などの画像形成に関する条件の設定値を受け付けるテンキー及びコピー開始指示を受け付けるスタートキー等からなるハードキー940bを備えている。コントローラ910は、画像形成装置10a全体の制御を行い、例えば、描画、通信、操作パネル940からの入力等を制御する。スキャナ部931又はプリンタ部932には、誤差拡散やガンマ変換などの画像処理部分が含まれている。
なお、画像形成装置10aは、操作パネル940のアプリケーション切り替えキーにより、ドキュメントボックス機能、コピー機能、プリンタ機能、及びファクシミリ機能を順次に切り替えて選択することが可能となる。ドキュメントボックス機能の選択時にはドキュメントボックスモードとなり、コピー機能の選択時にはコピーモードとなり、プリンタ機能の選択時にはプリンタモードとなり、ファクシミリモードの選択時にはファクシミリモードとなる。
また、ネットワークI/F950は、通信ネットワーク100を利用してデータ通信をするためのインターフェースである。近距離通信回路920及びネットワークI/F950は、PCIバス922を介して、ASIC906に電気的に接続されている。
<機能について>
本実施形態に係るサービス提供システム1が有する各装置の機能は例えば図5に示す処理ブロックにより実現される。図5は、第一の端末装置20、第二の端末装置30、電子機器10、及び、情報処理システム50の機能をブロック状に分けて説明する機能ブロック図の一例である。
<<第一の端末装置>>
第一の端末装置20は第一通信部22、表示制御部23、操作受付部24、及び、処理制御部25を有している。第一の端末装置20はプログラム(例えばWebブラウザ21)を実行することで、図5に示すような機能ブロックを実現する。
第一通信部22は情報処理システム50と通信して、適切なログイン画面を第一の端末装置20が表示するための種々の情報を送受信する。
表示制御部23は情報処理システム50から受信した画面の画面情報を解析してディスプレイ506に例えばログイン画面を表示する。操作受付部24は第一の端末装置20に対するユーザの操作(例えばログイン画面へのアカウント情報の入力)を受け付ける。
処理制御部25は、第一の端末装置が表示するログイン画面の決定等を行う。例えば、ブラウザ情報記憶部26に記憶されているログイン画面を表示制御部23に指示する。処理制御部25は画面情報に含まれるJavaScript(登録商標)をWebブラウザ21のエンジンが実行することで実現される。
また、第一の端末装置20はプログラム(例えばWebブラウザ21)が情報を保存しておくブラウザ情報記憶部26を有している。ブラウザ情報記憶部26は、例えばHD504等に構築されており、Webブラウザ21が終了しても情報が消えない不揮発性のメモリである。このようなWebブラウザが管理できる端末内の記憶領域としてLocalStorageというHTML5で実現された機能を利用できる。ブラウザ情報記憶部26に記憶されている情報の詳細は電子機器10の機能と共に説明する。
<<第二の端末装置>>
第二の端末装置30は第二通信部32、表示制御部33、操作受付部34、及び、処理制御部35を有している。第二の端末装置30はプログラム(例えばWebブラウザ31)を実行することで、図5に示すような機能ブロックを実現する。
第二通信部32は情報処理システム50と通信して、適切なログイン画面を第二の端末装置30が表示するための種々の情報を送受信する。
表示制御部33は情報処理システム50から受信した画面の画面情報を解析してディスプレイ506に例えばログイン画面を表示する。操作受付部34は第二の端末装置30に対する管理者の操作(例えばログイン画面へのアカウント情報の入力)を受け付ける。
処理制御部35は、第二の端末装置が表示するログイン画面の決定等を行う。例えば、ブラウザ情報記憶部36に記憶されているログイン画面を表示制御部33に指示する。処理制御部35は画面情報に含まれるJavaScript(登録商標)をWebブラウザ31のエンジンが実行することで実現される。
また、第二の端末装置はプログラム(例えばWebブラウザ31)が情報を保存しておくブラウザ情報記憶部36を有している。ブラウザ情報記憶部36は、例えばHD504等に構築されており、Webブラウザ31が終了しても情報が消えない不揮発性のメモリである。このようなWebブラウザが管理できる端末内の記憶領域としてLocalStorageというHTML5で実現された機能を利用できる。
<<電子機器>>
図5では電子機器10の一例として画像形成装置10aが有する機能を説明するが、他の電子機器10においても、ハード的な違いに起因する機能を除けば、本実施形態で説明される機能は同じとしてよい。
電子機器10は操作パネル940で実行される機能と、本体側で実行される機能とを有している。これは、操作パネル940と本体44はそれぞれCPU等を有する独立の情報処理機能を有しているためである。操作パネル940はプログラム(例えばWebブラウザ11)又は専用アプリを実行することで、図5に示すような機能ブロックを実現する。本体44もプログラムを実行することで、図5に示すような機能ブロックを実現する。
操作パネル940で実行される機能は、第三通信部12(第二の通信部の一例)、表示制御部13、操作受付部14、処理制御部15、Webアプリ18、ネイティブアプリ41、ICカード通信部42、及び、認証処理部43である。本体44で実行される機能は本体認証部45、及び、WebAPI46である。
第三通信部12は情報処理システム50と通信して、待ち受け画面、ログイン画面、及び、アプリ画面等を電子機器10が表示するための画面情報を受信する。また、ユーザが待ち受け画面、ログイン画面、及び、アプリ画面に入力した情報を情報処理システム50に送信する。
表示制御部13は情報処理システム50から受信した画面の画面情報を解析して操作パネル940に例えば待ち受け画面、ログイン画面、及び、アプリ画面を表示する。操作受付部14は電子機器10に対するユーザの操作(例えば、アカウント情報の入力、アプリの選択、アプリに対する操作等)を受け付ける。
処理制御部15は、情報処理システム50への機器登録やログインのようなサービスを利用してユーザにソリューションを提供する電子機器10にとって共通の処理を行う。電子機器10の認証設定がシステム認証となっている場合は、処理制御部15はシステム認証アプリとして動作し、情報処理システム50からの認証結果を本体認証部45に返す。また、情報処理システム50がユーザのアカウントに対し発行した認証チケットを電子機器10の各アプリで共有させる。なお、システム認証とは、クラウドでの本体カスタム認証である。操作パネル940にカスタム認証アプリが追加され、カスタム認証アプリがクラウドと認証情報の送信・結果取得を行う認証方法をいう。例えば、認証処理部43のようなカスタム認証アプリに認証を任せる。なお、システム認証とは、アプリ毎の認証(アプリ起動時のカスタム認証)と対比して、操作パネル940の起動後、操作パネル940の各アプリケーションを利用する前に行う認証を指す。
電子機器10の認証設定がシステム認証ではない場合、処理制御部15は情報処理システム50上のサービスを利用してソリューションを提供するアプリから機器登録やログインの要求を受けて画面を表示しながら情報処理システム50への処理要求を代行する。結果は要求されたアプリにだけ返す。本実施形態ではシステム認証の場合を主に説明得する。
ネイティブアプリ41から機器登録やログインを要求された時に処理制御部15が表示する画面と、Webアプリ18が表示する画面が同じである必要があるため(同じ機能に関しては)、本実施形態ではAndroid(登録商標)のWebView機能を利用してブラウザ機能を実現しWebアプリ18と共通画面を表示する。
Webアプリ18は、電子機器10の操作パネル940にあるWebブラウザ上で表示・実行されるアプリである。次述のネイティブアプリ41と同じように情報処理システム50上のサービスを利用してソリューション提供するため、情報処理システム50への機器登録やログイン機能を実現する必要がある。
ネイティブアプリ41は、電子機器10の操作パネル940で動作しているOS上で実行されるアプリである。ネイティブアプリ41の起動時に処理制御部15から機器登録状態を取得する。機器未登録の場合、処理制御部15に対して登録要求を送信する。ユーザは表示された登録用の画面を利用して機器登録を実行する。情報処理システム50へのログインが必要な場合も、ネイティブアプリ41は処理制御部15を利用して共通の認証画面を表示し、認証結果をもらうことができる。
ICカード通信部42は、近距離通信回路920から情報を受け取り、それを処理制御部15に送出する。すなわち、近距離通信回路920からICカード番号を受け取り、それを処理制御部15に送出する。ICカード通信部42は、近距離通信回路920とICカードの種類に応じて作成される。
認証処理部43は、処理制御部15の指示により、操作パネル940側のシステムにおいて認証処理を行う。本実施形態では認証結果を本体認証部45に通知する。
一方、本体44はWebAPI46と本体認証部45を有している。WebAPI46は電子機器10の本体44の設定を操作パネル940が取得したり、機能の実行を可能にしたりする本体44側のインターフェースである。このようなAPIをリモートI/Fという。情報処理システム50への機器登録時、ネイティブアプリ41又はWebアプリ18は電子機器10の機番を、WebAPI46を利用して取得している。
本体認証部45は、本体側の認証サービスである。本体認証部45は、電子機器10の認証設定がシステム認証となっている場合は、操作パネル940を介して情報処理システム50からの認証結果を受け取る。
Figure 0007388285000001
電子機器のブラウザ情報記憶部16には表1に示すような認証方法が保存される。表1はブラウザ情報記憶部16に保存された認証方法の一例を示す。認証方法として表1に示す(A)~(F)の認証方法があり、(A)~(F)の認証方法がフラグにより示されている。つまり、処理制御部15はフラグを読み取ることで、保存されている認証方法を判断できる。
例えば、フラグが「userId」の場合、ユーザIDによる認証方法に対応するログイン画面を電子機器10が表示する。フラグが「email」の場合、メールアドレスによる認証方法に対応するログイン画面を電子機器10が表示する。フラグが「userselect」の場合、ユーザ選択による認証方法に対応するログイン画面を電子機器10が表示する。フラグが「pincode」の場合、PINコードによる認証方法に対応するログイン画面を電子機器10が表示する。フラグが「iccard」の場合、ICカードによる認証方法に対応するログイン画面を電子機器10が表示する。フラグが「all」の場合、全ての認証方法に対応するログイン画面を第一の端末装置20が表示する。
表1のフラグの値は、いずれも「"有効"(ON)」であることを意味している。「"無効"(OFF)」の値は例えばNULLや空白でよい。電子機器10は後述するように情報処理システム50から設定値を受信して設定値に対応するフラグを設定する。また、管理者が各電子機器10にフラグを設定できる。
<<情報処理システム>>
情報処理システム50は、第四通信部52(第一の通信部の一例)、画面情報生成部53、ユーザ情報管理部54、テナント情報管理部55、認証・認可部56、機器設定管理部61、及び、機器管理部63を有している。情報処理システム50が有するこれらの機能は、図3に示したコンピュータ500が有するCPU501が、HD504からRAM503に展開されたプログラムを実行することで実現される機能又は手段である。
第四通信部52は、第一の端末装置20、第二の端末装置30及び電子機器10と各種の情報を送受信する。例えば、ログイン画面の画面情報を第二の端末装置30に送信し、アカウント情報を第二の端末装置30から受信する。また、待ち受け画面、ログイン画面、トップ画面(ポータル画面)、及び、アプリ画面の画面情報を電子機器10に送信する。また、これらの画面で入力された情報を受信する。
画面情報生成部53は、第一の端末装置20、第二の端末装置30及び電子機器10が表示する各種の画面の画面情報を生成し、第四通信部52を介して第一の端末装置20、第二の端末装置30、及び、電子機器10に送信する。
ユーザ情報管理部54は、ユーザ情報記憶部57においてユーザ情報の生成・更新・取得・削除を管理する。テナント情報管理部55は、テナント情報記憶部58において、ユーザが所属するテナントの情報を同様に管理する。ユーザ情報とテナント情報により、ユーザとテナントが対応づけられる。
機器管理部63は、画像形成装置10a等の電子機器10の登録を受け付け、機器情報記憶部64に登録する。機器設定管理部61は第二の端末装置30からICカードログインに関する設定を受け付けて、機器設定値情報記憶部62に登録する。
認証・認可部56は、アカウント情報に基づいて管理者又はユーザを認証して認証が成功するか失敗するかを判断する。認証とはユーザが正当な権限者か否かを判断することをいう。本実施例の場合は、情報処理システム50を使用する権限があるかどうかであり、更に、ユーザ又は管理者かも判断できるようになっている。認可とは、ユーザのロール(後述する)に応じてユーザに認められる権限を決定することをいう。例えば、アクセスできるリソースや実行可能な操作などが決定される。
なお、認証が成功すると情報処理システム50はユーザが情報処理システム50にログインすることを許可する。ログインとは、コンピュータやインターネット上の様々なサービスを利用する際に、予め登録しておいたアカウント情報を用いてシステムのリソースにアクセスする認証行為をいう。アカウント情報は、上記の(A)~(F)の認証方法によって異なる。
また、情報処理システム50は、図3に示したHD504、RAM503等により実現されるユーザ情報記憶部57、テナント情報記憶部58、機器設定値情報記憶部62、及び、機器情報記憶部64を有している。表2~表5を用いてこれらを説明する。
Figure 0007388285000002
表2はユーザ情報記憶部57に記憶されているユーザ情報の一例を示す。
・テナントID:ユーザの所属するテナントを示す識別情報である。IDはIdentificationの略であり識別子や識別情報という意味である。IDは複数の対象から、ある特定の対象を一意的に区別するために用いられる名称、符号、文字列、数値又はこれらのうち1つ以上の組み合わせをいう。テナントID以外のIDについても同様である。
・ユーザID:テナント内でユーザを一意に示す識別情報である。テナント内で一意であるため、異なるテナント間では重複してよい。
・パスワード:アカウント情報の一部となる場合がある。
・パスワード設定済みかどうかのフラグ:パスワードが設定されるとTrue、されていなければFalseとなる。
・姓:ユーザの姓(名字)である。
・名:ユーザの名である。
・メールアドレス:ユーザのメールアドレスである。メールアドレスは世界的に一意なため、異なるテナント間でも重複しない。このため従来からユーザを識別する識別情報として使用される場合が多い。
・表示言語:端末装置が各種の画面、メールを表示する場合の文字の言語である。
・国:ユーザが所属する国や地域である。
・状態:ユーザのアカウントの状態である。アカウントはユーザが情報処理システム50にログインするための権利のことである。アカウントの状態には「有効、無効又はアカウントロック」の少なくとも3つがある。ユーザ情報が仮登録されると無効となり、本登録により有効となる。有効となった後も管理者が無効に設定できる。アカウントロックは、有効な状態でユーザがパスワードを何回か間違えた場合に設定される。アカウントロックは、例えば、一定期間の経過で有効に戻る点、又は、テナントに所属するユーザとしてカウントされたままである点で無効と異なる。なお、無効な状態は、有効期限が切れている等の場合がある。
・タイムゾーン:ユーザが活動する国又は地域のタイムゾーン(UTC:協定世界時)である。
・ロール:役割という意味であるが、どのような権限を有しているかを示す。本実施形態では管理者又は一般ユーザがある。本実施形態では一般ユーザと管理者を特に区別しない場合はユーザと称している。
・UUID(Universally Unique Identifier):ユーザを一意に示す識別情報であり、情報処理システム50がユーザを識別する場合に使用する。
・外部サービスアカウント情報:ユーザが連携登録してある外部サービス70におけるアカウントの情報である(外部サービス70における識別情報)。
・利用可能なサービス権限情報一覧:ユーザが利用可能なサービスの一覧である。
Figure 0007388285000003
表3はテナント情報記憶部58に記憶されているテナント情報の一例を示す。
・テナントID:表2と同様である。
・テナント名:テナントの名前(ユーザが呼ぶ時の呼称)である。
・表示言語:画面、メールなどの文字を表示する際の言語である。
・国:テナントが所属する国や地域である。
・状態:テナントの状態には有効と無効がある。無効は契約終了などでテナントがサービスを受けられない状態である。
・タイムゾーン:テナントが活動する国や地域のタイムゾーン(UTC)である。
・ログイン設定:情報処理システム50へユーザがログインする際にテナントが許可する認証方法である(表5参照)。
Figure 0007388285000004
 表4は機器情報記憶部64に記憶されている機器情報の一例を示す。
・テナントID:表2と同様である。機器を保持するテナントのテナントIDである。
・機番:管理者により認証方法が設定された電子機器の識別情報である。なお、機番は、テナントが有する電子機器10の数だけ存在する。
Figure 0007388285000005
 表5は機器設定値情報記憶部62に記憶されている機器設定値情報の一例を示す。
・テナントID:表2と同様である。機器を保持するテナントのテナントIDである。
・ユーザIDを用いた認証方法の設定値:ユーザIDによるログインを許可するか否かの設定値である。
・メールアドレスを用いた認証方法の設定値:メールアドレスによるログインを許可するか否かの設定値である。
・PINコードを用いた認証方法の設定値:PINコードによるログインを許可するか否かの設定値である。
・ICカードを用いた認証方法の設定値:ICカードによるログインを許可するか否かの設定値である。
・全ての認証方法の設定値:全ての認証方法を許可するか否かの設定値である。
この表5の例の項目のON又はOFFが、管理者により設定可能である。例えば、ICカードによるログインの設定値は、ユーザがICカードでログインできるか「"有効"(ON)」、できないか「"無効"(OFF)」を表す。
管理者はデフォルトの認証方法を設定できる。表5ではICカードによるログインがデフォルトに設定されている。
<機器登録について>
図6は管理者が電子機器を情報処理システム50に登録する際に電子機器が表示する機器登録画面200の一例である。機器登録画面200は、「この機器を登録するには、テナント管理者の情報を入力してください」というメッセージ201、認証方法欄202、テナントID欄203、ユーザID欄204、パスワード欄205、及び、登録ボタン206を有している。
認証方法欄202…管理者が電子機器の認証方法を選択するための欄である。ここで選択した方法に応じて以下の入力欄が表示される。認証方法が「ユーザID」の場合、テナントID、ユーザID、及び、パスワードが必要になる。
テナントID欄203…電子機器を保有する顧客のテナントIDが入力される。
ユーザID欄204…機器に割り当てられた識別情報(テナント内で重複しなければよい)が入力される。
パスワード欄205…認証のためのパスワードが入力される。
登録ボタン206…機器登録画面に入力されたアカウント情報を電子機器10が情報処理システム50に送信するためのボタンである。電子機器10は機番と共に、アカウント情報を情報処理システム50に送信する。アカウント情報は管理者の認証に使われ、認証が成功すると機器管理部63が機番とテナントIDを機器情報記憶部64に登録する。
<ログイン画面>
続いて、図7~図11を参照して、認証方法に対応したログイン画面を説明する。まず、認証方法と必要なアカウント情報を説明する。
(A)ユーザID
ユーザID、テナントID、パスワード
(B)メールアドレス
メールアドレス、パスワード
(C)ユーザ選択
ユーザID、テナントID、パスワード
(D)PINコード
PINコード(一意性がある一定以上の桁の数字、記号、アルファベット、又はこれらの組み合わせ)
(E)ICカード
ICカードに記憶されているカード番号など
なお、この他、アカウント情報には指紋や顔などの生体認証情報があり、この場合は生体認証情報に対応した認証方法が用意される。
図7は、認証方法がユーザIDの場合に電子機器10が表示するログイン画面210の一例を示す。図7のログイン画面210はユーザID欄211、パスワード欄212、テナントID欄213、及び、ログインボタン214を有している。ユーザはユーザID欄211にユーザIDを入力し、パスワード欄212にパスワードを入力し、テナントID欄213にテナントIDを入力し、ログインボタン214を押下する。操作受付部14は操作を受け付け、認証処理部43が第三通信部12を介してアカウント情報を情報処理システム50に送信する。また、認証処理部43は第三通信部12を介して認証結果を受信し、本体認証部45に通知する。
図8は、認証方法がメールアドレスの場合に電子機器10が表示するログイン画面220の一例を示す。図8のログイン画面220はメールアドレス欄221、パスワード欄222、及び、ログインボタン223を有している。ユーザはメールアドレス欄221にメールアドレスを入力し、パスワード欄222にパスワードを入力してログインボタン223を押下する。テナントIDが不要なのは、メールアドレスは世界的に一意性が保証されているためである(ユーザIDはテナント内でしか一意性が保証されない)。操作受付部14は操作を受け付け、認証処理部43が第三通信部12を介してアカウント情報を情報処理システム50に送信する。また、認証処理部43は第三通信部12を介して認証結果を受信し、本体認証部45に通知する。
図9は、認証方法がユーザ選択の場合に電子機器10が表示するログイン画面260の一例を示す。つまり、メールアドレスの入力が不要なので、利便性が向上する。図9のログイン画面260はメールアドレスリスト261を有する。メールアドレスリスト261は例えば社員のアドレス帳に基づいて表示される。ユーザはメールアドレスリスト261から自分のメールアドレスを選択する。選択によりメールアドレスリスト261が消去され、パスワード欄が表示されるので、ユーザはパスワード欄にパスワードを入力してログインボタンを押下する。
図10は、認証方法がPINコードの場合に電子機器10が表示するログイン画面230の一例を示す。図10のログイン画面230はPINコード欄231、及び、ログインボタン232を有している。ユーザはPINコード欄231にPINコードを入力して、ログインボタン232を押下する。操作受付部14は操作を受け付け、認証処理部43が第三通信部12を介してアカウント情報を情報処理システム50に送信する。また、認証処理部43は第三通信部12を介して認証結果を受信し、本体認証部45に通知する。
図11は、認証方法がICカードの場合に電子機器10が表示するログイン画面240の一例を示す。図11のログイン画面240は「ICカードをリーダにかざして、ログインしてください。」というメッセージ241が表示されている。この画面が表示されると近距離通信回路920は電波を送信してICカードの探索を開始する。ICカードが通信範囲に到達するとICカード通信部42がICカードからカード番号を受信する。認証処理部43が第三通信部12を介してアカウント情報を情報処理システム50に送信する。また、認証処理部43は第三通信部12を介して認証結果を受信し、本体認証部45に通知する。
<管理者が設定する認証方法設定画面>
続いて、図12を用いて管理者が設定する認証方法設定画面250について説明する。図12は第二の端末装置30が表示する認証方法設定画面250の一例である。管理者が認証方法設定画面250を表示するため、管理者は情報処理システムにログインしており、テナントIDが特定されている。
認証方法設定画面250は、管理者が電子機器10ごとに認証方法を設定するための画面である。図12の認証方法設定画面250はテナントが有する全ての電子機器10に共通であるとする。しかし、管理者が電子機器10ごとに認証方法を設定できてもよい。この場合、図12の認証方法設定画面250の表示前又は表示後に、管理者は機番を入力している。
認証方法設定画面はICカードログイン設定欄251、PINコードログイン設定欄252、外部サービスとの連携設定欄253、ユーザ選択欄254、及び、デフォルト認証方法設定欄255を有している。
・ICカードログイン設定欄251は、ICカードログインの有効と無効を受け付ける。
・PINコードログイン設定欄252は、PINコードによるログインの有効と無効を受け付ける。また、桁数欄256でPINコードの桁数を、生成方法欄257で生成方法を受け付ける。
・外部サービスとの連携設定欄253は、外部サービスとの連携によるログインが有効か無効かを受け付ける。外部サービスとは例えばOAUTHやOPENIDなどに対応した商用または汎用のクラウドサービスである。Google(登録商標)、OFFICE365(登録商標)、FaceBook(登録商標)などが知られている。
・ユーザ選択欄254は、メールアドレスによる認証方法において、ユーザのメールアドレスの選択(図9)によるログインが有効か無効かを受け付ける。
・デフォルト認証方法設定欄255は、デフォルト(初期設定)の認証方法を受け付ける。
認証方法設定画面250で管理者が設定した内容は、情報処理システム50の第四通信部52が受信して、機器設定管理部61が機器設定値情報記憶部62に登録する。
なお、図12には、ユーザIDによるログインが有効か無効か、及び、メールアドレスによるログインが有効か無効か設定されていない。これらは原則的に有効に設定されるためである。しかし、これらについても同様に管理者が設定可能でもよい。
このほか、管理者は、テナントID、テナント名、国情報、タイムゾーン等を確認できる。また、認証方法設定画面250への認証方法を第二の端末装置30を操作することで設定できる。選択肢は、メールアドレスログイン、ユーザID、外部サービスとの連携、又は、これらのすべてである。また、管理者は第二の端末装置30操作することでテナントが利用できるライセンス(アプリ)の一覧を表示できる。
<ログインの準備>
続いて、図13を参照して、電子機器が図7~図11のログイン画面を表示するまでの処理について説明する。図13は、認証アプリ起動時からログイン画面が表示されるまでのシーケンス図の一例である。認証アプリにより認証処理部43が実現される。
S1:認証処理部43は、電子機器10の本体に対して、機器構成情報の取得を要求する。機器構成情報とは、電子機器10が持っている構成や機能に関する情報である。例えば、カラー/モノクロ、両面/片面、用紙サイズ、集約、ステープルなどである。機器構成情報には機番も含まれる。
S2:本体のWebAPI46は、機番を認証処理部43に送信する。なお、WebAPI46はインターフェースなのでWebAPI46が送信するとは、認証処理部43がWebAPI46を呼び出して情報を取得または通知するという表現が実態に近い。本実施形態では説明を簡単にするため、「WebAPI46が」と記載する。
S3:認証処理部43は、第三通信部12を介して情報処理システム50に対して、電子機器10の認証用チャレンジの発行を要求する。認証用チャレンジはチャレンジ/レスポンス認証と呼ばれる認証方式で使用される情報である。
S4:情報処理システム50の第四通信部52は認証用チャレンジの発行要求を受信し、認証・認可部56が乱数を元に決めた毎回異なるデータ列を生成する。このデータ列をチャレンジという。第四通信部52は電子機器10に認証用チャレンジを送信する。
S5:電子機器10の第三通信部12は認証用チャレンジを受信し、認証処理部43が電子機器10の本体44に対して、認証用チャレンジを指定して認証用トークンの発行を要求する。
S6:電子機器10の本体の本体認証部45は、認証用トークンを生成する。本体認証部45は、認証用チャレンジをハッシュ関数によりハッシュ値に変換する。また、本体認証部45はハッシュ値を暗号化する。これを認証トークンという。認証トークンはワンタイムパスワードと呼ばれる使い捨てのパスワードである。本体認証部45は作成する際に使用した暗号化種別(RC4、DES、3DES、AES等)の情報も一緒に送信する。
S7:認証処理部43は第三通信部12を介して情報処理システム50に対して、認証トークンを指定して、認証チケットの発行を要求する。
S8:情報処理システム50の第四通信部52は認証チケットの発行要求を受信し、認証・認可部56は認証トークンを検証する。すなわち、ステップS4で送信した認証チャレンジをハッシュ値に変換して、電子機器10から送信されたものと一致するかどうかを判断する。一致する場合は、電子機器10が認証済みであると判断し、同一性を保証する認証チケットを電子機器10に発行する。第四通信部52は認証チケットを電子機器10に送信する。
S9:電子機器10の第三通信部12は認証チケットを受信し、認証処理部43は第三通信部12を介して、情報処理システム50に対し認証チケットと機番を指定してデバイス情報の取得を要求する。デバイス情報とは機器に関する情報である。本実施形態ではデバイス情報そのものが必要なのでなく、電子機器10の登録の有無を問い合わせている。
電子機器が情報処理システム50に登録されている場合、ステップS10~S17が実行される。
S10:情報処理システム50の第四通信部52はデバイス情報の要求を受信し、認証・認可部56が発行済みの認証チケットと受信した認証チケットを照合する。一致する場合、機器管理部63は機番で特定されるデバイス情報を機器情報記憶部64から取得して、第四通信部52を介してデバイス情報を電子機器10に送信する。本実施形態ではデバイス情報にテナントIDが含まれているものとする。
S11:電子機器10の第三通信部12はデバイス情報を受信する。電子機器10が登録済みなので認証処理部43は第三通信部12を介してOAUTHのリソースオーナーに対し、認証チケットを指定して認可を要求する。認可とは、電子機器に対し認められる権限である。
S12:電子機器10の第三通信部12はリソースオーナーからリダイレクトURLと認可コードを受信する。リダイレクトURLは情報処理システム50に再度接続するためのURLである。認可コードは権限の内容を示す識別情報である。
S13:電子機器10の第三通信部12はリダイレクトURLに接続し、情報処理システム50に対し認可コードを指定して、アクセストークンを要求する。アクセストークンは認可コードで特定されるアクセスできるデータ範囲を決定する。
S14:情報処理システム50の第四通信部52はアクセストークンの要求を受信し、認証・認可部56が認可コードで決定されるアクセストークンを電子機器10に送信する。
S15:電子機器10の第三通信部12はアクセストークンを受信し、処理制御部15がアクセストークンとテナントIDを指定してテナント情報を要求する。このテナントIDはデバイス情報に含まれている。
S16:情報処理システム50の第四通信部52はテナント情報と設定値の取得要求を受信し、テナント情報管理部55がテナント情報記憶部58からテナント情報を取得し、機器設定管理部61が機器設定値情報記憶部62から設定値を取得する。設定値には表5の全ての情報が含まれてよい。第四通信部52はテナント情報と設定値を電子機器10に送信する。
S17:電子機器10の第三通信部12はテナント情報と設定値を受信し、処理制御部15が許可されている認証方法からデフォルトの認証方法を特定する。本実施形態ではデフォルトの認証方法をICカードとする。表示制御部13は、デフォルトの認証方法に対応したログイン画面をディスプレイに表示する。設定値にはICカードログインが有効か無効か含まれている。まず、デフォルトのICカードログインが有効であった場合には、表示制御部13はICカードでのログイン画面を表示する。ICカードログインが無効であった場合、表示制御部13は許可されている認証方法(A)~(D)に応じてログイン画面を表示する。どのログイン画面を表示するかは予め、決まっていてもよいし、最後に表示したログイン画面が表示されてもよい。
また、処理制御部15は前回取得した際のICカードログインの設定値が"無効"であり、今回取得したICカードログインの設定値が"有効"であった場合、電子機器10が持つブラウザ情報記憶部16のICカードに関する設定を有効にする(iccardを設定する)。すなわち、今回取得した設定値に応じて電子機器10が持つブラウザ情報記憶部16の設定値を変更する。その際は、必要に応じて電子機器10が再起動を行う。前回取得した際のICカードログインの設定値とは、ブラウザ情報記憶部16に記憶されているフラグの値である。
逆に、処理制御部15は前回取得した際のICカードログインの設定値が"有効"であり、今回取得したICカードログインの設定値が"無効"であった場合、電子機器10が持つブラウザ情報記憶部16のICカードに関する設定を無効にする(NULLを設定する)。その際は、必要に応じて電子機器10が再起動を行う。
一方、電子機器10が情報処理システム50に登録されていない場合、ステップS18、S19が実行される。
S18:情報処理システム50の第四通信部52は電子機器10が登録されていない旨を電子機器10に送信する。
S19:電子機器10の第三通信部12は電子機器10が登録されていない旨を受信する。表示制御部13は電子機器10が未登録であったこと示す画面を表示する。これにより管理者は図6の機器登録画面200から電子機器10を登録できる。
<ログイン画面に入力されたアカウント情報を用いた認証>
図14は、情報処理システム50がログイン画面に入力されたアカウント情報を用いてユーザを認証する手順を示すシーケンス図の一例である。
S21~S23:ステップS21~S23は図12のステップS15~S17と同様でよい。
S24:ユーザはログイン画面に、認証方法に応じたアカウント情報(ユーザIDやパスワード等)を入力する。操作受付部14はアカウント情報の入力を受け付ける。
S25:ユーザはログイン画面に表示されたログインボタンを押下する。操作受付部14は押下を受け付ける。
S26:認証処理部43はWebAPI46にログインを要求する。
S27:WebAPI46は認証処理部43に対して、外部認証要求を送信する。外部認証要求は情報処理システム50に対し認証を要求することをいう。
認証方法に応じて、ステップS28~S31のいずれかが実行される。
S28:認証方法がユーザIDによる認証だった場合、認証処理部43は第三通信部12を介して情報処理システム50に対して、テナントID、ユーザID、及び、パスワードを送信する。
S29:認証方法がメールアドレスによる認証だった場合、認証処理部43は第三通信部12を介して情報処理システム50に対して、メールアドレス、及び、パスワードを送信する。
S30:認証方法がユーザ選択だった場合、認証処理部43は第三通信部12を介して情報処理システム50に対して、テナントID、ユーザID、及び、パスワードを送信する。
S31:認証方法がPINコードによる認証だった場合、認証処理部43は第三通信部12を介して情報処理システム50に対して、PINコードを送信する。
S32:認証方法がICカードによる認証だった場合、認証処理部43は第三通信部12を介して情報処理システム50に対して、ICカードのカード番号を送信する。
ステップS28~S32のいずれかが成功だった場合、以下のステップS33~S43が実行される。
S33:情報処理システム50の認証・認可部56はユーザに関する認証OKと、ユーザ認証の成功で特定されたユーザのユーザ情報(ユーザ情報記憶部57から取得された)を電子機器10に送信する。ユーザ情報には認証で生成されたユーザ認証チケットが含まれる。
S34:電子機器10の第三通信部12はユーザ情報(ユーザ認証チケットが含まれる)を受信する。認証処理部43はWebAPI46に対して、認証OKを通知する。
S35:WebAPI46は、電子機器10の本体44に対して、ログイン成功を通知する。これにより、操作パネル940は本体44の機能を使用できる(本体44にログインする)。
S36:WebAPI46は、認証処理部43に対して、ログイン応答(ログイン成功を受け取った旨)を通知する。
S37:WebAPI46は、認証処理部43に対して、認証サービスの状態変化を通知する。認証サービスの状態変化はログイン状態であることを示す。
S38:認証処理部43はログインできたので、表示制御部13がログイン画面を閉じる。
続いて、ステップS39~S43にて、ユーザはログインが成功したユーザの、電子機器10の本体44のアドレス帳における登録名称を情報処理システム50に登録する処理を実施する。
S39:認証処理部43は第三通信部12を介して情報処理システム50に対して、ユーザ認証チケットを指定してリソースオーナーに認可を要求する。
S40:電子機器10の第三通信部12はリソースオーナーからリダイレクトURLと認可コードを受信する。
S41:電子機器10の第三通信部12はリダイレクトURLと認可コードを受信し、認証処理部43は第三通信部12を介してリダイレクトURLに接続して、認可コードで特定されるアクセストークンを要求する。
S42:情報処理システム50の第四通信部52はアクセストークンの要求を受信し、認証・認可部56が第四通信部52を介して電子機器10に認可コードに基づくアクセストークンを送信する。
S43:電子機器の第三通信部12はアクセストークンを受信し、認証処理部43は第三通信部12を介して、情報処理システム50に対し、保持する利用者の情報の更新を要求する。
ステップS28~S32のログインが失敗だった場合、以下のステップS44~S48が実行される。
S44:情報処理システム50の認証・認可部56は第四通信部52を介して、失敗理由(不正なリクエスト、認証エラーなど)を電子機器10に通知する。
S45:電子機器の第三通信部12は失敗理由を受信し、認証処理部43がWebAPI46に認証がNGだったことを通知する。
S46:WebAPI46は認証処理部43に対して、ログイン応答(ログイン失敗を受け取った旨)を通知する。
S47:また、WebAPI46は、認証処理部43に対して、ログイン状態の状態変化を通知する。
S48:認証処理部43はログインできなかった旨の通知を受けたので、表示制御部13がログイン失敗画面をディスプレイに表示する。
ステップS28~S32のいずれかで、通信エラーなどの理由で応答が無かった場合、ステップS49~S50が実行される。
S49:認証処理部43は、応答がないためタイムアウト処理を実行し、通信エラー又はサーバーエラーと判断する。
S50:表示制御部13はディスプレイに対してログイン失敗画面を表示する。
<主な効果>
以上説明したように、本実施形態のサービス提供システム1は、顧客が情報処理システム50(サーバ)にてICカードログインの設定を有効にすることで、その設定値を各電子機器10が自動で取得し、ICカードでログインできる機能を自動で有効にすることができる。
<その他の適用例>
以上、本発明を実施するための最良の形態について実施例を用いて説明したが、本発明はこうした実施例に何等限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々の変形及び置換を加えることができる。
図5などの構成例は、第一の端末装置20、第二の端末装置30、電子機器10、及び情報処理システム50による処理の理解を容易にするために、主な機能に応じて分割したものである。処理単位の分割の仕方や名称によって本願発明が制限されることはない。第一の端末装置20、第二の端末装置30、電子機器10、及び情報処理システム50の処理は、処理内容に応じて更に多くの処理単位に分割することもできる。また、1つの処理単位が更に多くの処理を含むように分割することもできる。
また、実施例に記載された装置群は、本明細書に開示された実施形態を実施するための複数のコンピューティング環境のうちの1つを示すものにすぎない。ある実施形態では、情報処理システム50は、サーバクラスタといった複数のコンピューティングデバイスを含む。複数のコンピューティングデバイスは、ネットワークや共有メモリなどを含む任意のタイプの通信リンクを介して互いに通信するように構成されており、本明細書に開示された処理を実施する。
更に、情報処理システム50は、開示された処理ステップ、例えば図13,図14を様々な組み合わせで共有するように構成できる。例えば、所定のユニットによって実行されるプロセスは、情報処理システム50が有する複数の情報処理装置によって実行され得る。また、情報処理システム50は、1つのサーバ装置にまとめられていても良いし、複数の装置に分けられていても良い。
上記で説明した実施形態の各機能は、一又は複数の処理回路によって実現することが可能である。ここで、本明細書における「処理回路」とは、電子回路により実装されるプロセッサのようにソフトウェアによって各機能を実行するようプログラミングされたプロセッサや、上記で説明した各機能を実行するよう設計されたASIC(Application Specific Integrated Circuit)、DSP(Digital Signal Processor)、FPGA(Field Programmable Gate Array)や従来の回路モジュール等のデバイスを含むものとする。
1 サービス提供システム
10 電子機器
20 第一の端末装置
30 第二の端末装置
50 情報処理システム
特開2008-244518号公報

Claims (7)

  1. 複数の認証方法のいずれかでユーザを認証する情報処理システムが、ログインの成功により電子機器にサービスを提供するサービス提供システムであって、
    前記情報処理システムは、
    認証方法に対応づけてログインが可能か否かの設定値を記憶する設定値情報記憶部と、
    前記電子機器からの要求に応じて前記設定値を前記電子機器に送信する第一の通信部と、を有し、
    前記電子機器は、
    前記情報処理システムから前記設定値を受信する第二の通信部と、
    前記第二の通信部が受信した前記設定値に応じて、前記電子機器が記憶している前記設定値を変更する処理制御部と、を有することを特徴とするサービス提供システム。
  2. 前記第二の通信部が受信した前記設定値が、所定の認証方法によるログインが可能であることを示し、前記電子機器が記憶している前記設定値が、前記所定の認証方法によるログインが可能でないことを示す場合、前記電子機器が記憶している前記設定値を、前記所定の認証方法によるログインが可能である旨に変更することを特徴とする請求項1に記載のサービス提供システム。
  3. 前記第二の通信部が受信した前記設定値が、所定の認証方法によるログインが可能でないことを示し、前記電子機器が記憶している前記設定値が、前記所定の認証方法によるログインが可能であることを示す場合、前記電子機器が記憶している前記設定値を、前記所定の認証方法によるログインが可能でない旨に変更することを特徴とする請求項1又は2に記載のサービス提供システム。
  4. 端末装置は、1つ以上の認証方法に対応づけてログインが可能か否かの設定値を設定するための画面情報を前記情報処理システムから受信し、前記画面情報に基づいて画面を表示し、
    前記1つ以上の認証方法によるログインが可能か否かの設定値を前記画面から受け付けて、前記情報処理システムに送信し、
    前記情報処理システムは、前記端末装置から受信した前記設定値を前記設定値情報記憶部に記憶することを特徴とする請求項1~3のいずれか1項に記載のサービス提供システム。
  5. 前記認証方法の1つはICカードを用いた認証方法であることを特徴とする請求項1~4のいずれか1項に記載のサービス提供システム。
  6. 複数の認証方法のいずれかでユーザを認証する情報処理システムが、ログインの成功により電子機器にサービスを提供するサービス提供システムが行うログイン設定方法であって、
    前記情報処理システムは、
    第一の通信部が、前記電子機器からの要求に応じて、認証方法に対応づけてログインが可能か否かの設定値を前記電子機器に送信するステップと、
    前記電子機器は、
    第二の通信部が、前記情報処理システムから前記設定値を受信するステップと、
    前記第二の通信部が受信した前記認証方法に応じて、処理制御部が前記電子機器が記憶している前記設定値を変更するステップと、
    を有することを特徴とするログイン設定方法。
  7. 複数の認証方法のいずれかでユーザを認証し、ログインの成功により、
    情報処理システムから設定値を受信する第二の通信部と、
    前記第二の通信部が受信した前記設定値に応じて、電子機器が記憶している前記設定値を変更する処理制御部と、を有する電子機器にサービスを提供する情報処理システムであって、
    認証方法に対応づけてログインが可能か否かの設定値を記憶する設定値情報記憶部と、
    前記電子機器からの要求に応じて前記設定値を前記電子機器に送信する第一の通信部と、を有することを特徴とする情報処理システム。
JP2020076214A 2020-04-22 2020-04-22 サービス提供システム、ログイン設定方法、情報処理システム Active JP7388285B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2020076214A JP7388285B2 (ja) 2020-04-22 2020-04-22 サービス提供システム、ログイン設定方法、情報処理システム
US17/227,508 US11895108B2 (en) 2020-04-22 2021-04-12 Service providing system, login setting method, and information processing system
JP2023194945A JP2024012626A (ja) 2020-04-22 2023-11-16 サービス提供システム、ログイン設定方法、情報処理システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020076214A JP7388285B2 (ja) 2020-04-22 2020-04-22 サービス提供システム、ログイン設定方法、情報処理システム

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2023194945A Division JP2024012626A (ja) 2020-04-22 2023-11-16 サービス提供システム、ログイン設定方法、情報処理システム

Publications (2)

Publication Number Publication Date
JP2021174156A JP2021174156A (ja) 2021-11-01
JP7388285B2 true JP7388285B2 (ja) 2023-11-29

Family

ID=78223054

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2020076214A Active JP7388285B2 (ja) 2020-04-22 2020-04-22 サービス提供システム、ログイン設定方法、情報処理システム
JP2023194945A Pending JP2024012626A (ja) 2020-04-22 2023-11-16 サービス提供システム、ログイン設定方法、情報処理システム

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2023194945A Pending JP2024012626A (ja) 2020-04-22 2023-11-16 サービス提供システム、ログイン設定方法、情報処理システム

Country Status (2)

Country Link
US (1) US11895108B2 (ja)
JP (2) JP7388285B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11582236B2 (en) * 2020-09-24 2023-02-14 Toshiba Tec Kabushiki Kaisha Image forming apparatus and controlling method
JP2022098997A (ja) * 2020-12-22 2022-07-04 富士フイルムビジネスイノベーション株式会社 画像形成装置、画像形成プログラム及び連携システム
US20230185893A1 (en) * 2021-12-10 2023-06-15 Konica Minolta Business Solutions U.S.A., Inc. Method and system for secure cloud access via password-less single sign-on (sso) for native marketplace applications on multifunction printers
CN115297097A (zh) * 2022-07-07 2022-11-04 广州市大周电子科技有限公司 一种车载端一体机系统及一体机

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003085141A (ja) 2001-09-07 2003-03-20 Fuji Electric Co Ltd シングルサインオン対応認証装置、ネットワークシステム、及びプログラム
JP2005284985A (ja) 2004-03-30 2005-10-13 Ricoh Co Ltd ネットワーク対応機器、ネットワーク対応機器を保守する保守方法、プログラム、プログラムが記録された媒体及び保守システム
JP2006504167A (ja) 2002-10-24 2006-02-02 ギーゼッケ ウント デフリエント ゲーエムベーハー 携帯型データ記憶媒体を使って安全な電子取引を実行する方法
EP1978772A1 (en) 2007-04-02 2008-10-08 British Telecommunications Public Limited Company Authentication policy
JP2009211120A (ja) 2008-02-29 2009-09-17 Oki Electric Ind Co Ltd オンライン決済システム及びオンライン決済システムにおける認証方法
US20130019287A1 (en) 2001-01-03 2013-01-17 American Express Travel Related Services Company, Inc. Method and apparatus for enabling a user to select an authentication method
JP2015176233A (ja) 2014-03-13 2015-10-05 株式会社日立ソリューションズ 認証装置、認証システム及び認証方法
JP2016105549A (ja) 2014-12-01 2016-06-09 ブラザー工業株式会社 会議設定プログラム、会議設定装置、及び会議設定方法
JP2016206998A (ja) 2015-04-24 2016-12-08 株式会社沖データ 情報処理装置及び画像形成装置
JP2018107485A (ja) 2016-12-22 2018-07-05 京セラドキュメントソリューションズ株式会社 認証設定システムおよび画像形成装置
JP2019164571A (ja) 2018-03-19 2019-09-26 株式会社リコー 情報処理システム、情報処理装置、及び情報処理方法

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7590859B2 (en) * 2001-08-24 2009-09-15 Secure Computing Corporation System and method for accomplishing two-factor user authentication using the internet
US7421503B1 (en) * 2003-01-17 2008-09-02 Cisco Technology, Inc. Method and apparatus for providing multiple authentication types using an authentication protocol that supports a single type
JP2008244518A (ja) 2007-03-23 2008-10-09 Ricoh Co Ltd 画像形成装置管理システム、画像形成装置、管理装置、端末装置、画像形成装置管理方法、画像形成プログラム
JP4873658B2 (ja) * 2007-09-18 2012-02-08 キヤノンマーケティングジャパン株式会社 画像形成装置、認証システム、認証方法、プログラム及びコンピュータ読み取り可能な記憶媒体
US8087071B2 (en) * 2008-12-05 2011-12-27 International Business Machines Corporation Authentication method and system
US9300645B1 (en) * 2013-03-14 2016-03-29 Ip Holdings, Inc. Mobile IO input and output for smartphones, tablet, and wireless devices including touch screen, voice, pen, and gestures
US9363263B2 (en) * 2014-08-27 2016-06-07 Bank Of America Corporation Just in time polymorphic authentication
JP6488865B2 (ja) * 2014-12-04 2019-03-27 セイコーエプソン株式会社 印刷装置、印刷装置の制御方法、及び、記憶媒体
JP7152935B2 (ja) * 2018-10-23 2022-10-13 シャープ株式会社 ユーザー認証装置および画像形成装置

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130019287A1 (en) 2001-01-03 2013-01-17 American Express Travel Related Services Company, Inc. Method and apparatus for enabling a user to select an authentication method
JP2003085141A (ja) 2001-09-07 2003-03-20 Fuji Electric Co Ltd シングルサインオン対応認証装置、ネットワークシステム、及びプログラム
JP2006504167A (ja) 2002-10-24 2006-02-02 ギーゼッケ ウント デフリエント ゲーエムベーハー 携帯型データ記憶媒体を使って安全な電子取引を実行する方法
JP2005284985A (ja) 2004-03-30 2005-10-13 Ricoh Co Ltd ネットワーク対応機器、ネットワーク対応機器を保守する保守方法、プログラム、プログラムが記録された媒体及び保守システム
EP1978772A1 (en) 2007-04-02 2008-10-08 British Telecommunications Public Limited Company Authentication policy
JP2009211120A (ja) 2008-02-29 2009-09-17 Oki Electric Ind Co Ltd オンライン決済システム及びオンライン決済システムにおける認証方法
JP2015176233A (ja) 2014-03-13 2015-10-05 株式会社日立ソリューションズ 認証装置、認証システム及び認証方法
JP2016105549A (ja) 2014-12-01 2016-06-09 ブラザー工業株式会社 会議設定プログラム、会議設定装置、及び会議設定方法
JP2016206998A (ja) 2015-04-24 2016-12-08 株式会社沖データ 情報処理装置及び画像形成装置
JP2018107485A (ja) 2016-12-22 2018-07-05 京セラドキュメントソリューションズ株式会社 認証設定システムおよび画像形成装置
JP2019164571A (ja) 2018-03-19 2019-09-26 株式会社リコー 情報処理システム、情報処理装置、及び情報処理方法

Also Published As

Publication number Publication date
JP2021174156A (ja) 2021-11-01
US20210336950A1 (en) 2021-10-28
JP2024012626A (ja) 2024-01-30
US11895108B2 (en) 2024-02-06

Similar Documents

Publication Publication Date Title
JP7388285B2 (ja) サービス提供システム、ログイン設定方法、情報処理システム
JP6413665B2 (ja) 多機能装置上のOAuth対応クラウド・サービスのカード認証
US9183376B2 (en) Communication system, client apparatus, relay apparatus, and computer-readable medium
US10609254B2 (en) System for executing process associated with biometric information, and method, information processing apparatus, method, and program storage medium for same
JP7322619B2 (ja) コンピュータシステム、ログイン画面表示方法、プログラム
JP6942541B2 (ja) 画像形成装置とその制御方法、及びプログラム
JP2017045280A (ja) 情報処理システム、サーバ装置、クライアント装置、及びプログラム
US20210377277A1 (en) Service providing system, information processing system, and use permission assigning method
JP2018156250A (ja) 情報処理システム、機器、情報処理装置、情報処理方法及びプログラム
US11645027B2 (en) Information processing system and method for processing data output requests and identification information
US11704079B2 (en) Output system, information processing system, including circuitry to generate a character string to perform authentication for a user, and authentication method
JP7459649B2 (ja) クラウドシステム、情報処理システム、ユーザ登録方法
US11606361B2 (en) Cloud system, information processing system, and user registration method
US11656817B2 (en) System and method for transmitting electronic data associated with a user identified based on source identification information
US20210382981A1 (en) Service providing system, application usage method, and information processing system
US20230342096A1 (en) Output apparatus, information processing system, output method, and non-transitory recording medium
JP7456217B2 (ja) 情報処理システム、ユーザー作成方法
JP2016174228A (ja) 機器、情報処理システム、情報処理方法、及びプログラム
JP2022172598A (ja) 情報処理システム、情報処理装置、処理実行方法、プログラム
JP2023029022A (ja) 情報処理装置、表示方法、プログラム
JP2022012404A (ja) 画像処理装置、および方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230213

TRDD Decision of grant or rejection written
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20231013

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20231017

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20231030

R151 Written notification of patent or utility model registration

Ref document number: 7388285

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151