KR20130020573A - 액세스 관리 시스템, 액세스 관리 방법, 액세스 관리 서버, 제휴 서버, 및 컴퓨터 판독가능 매체 - Google Patents

액세스 관리 시스템, 액세스 관리 방법, 액세스 관리 서버, 제휴 서버, 및 컴퓨터 판독가능 매체 Download PDF

Info

Publication number
KR20130020573A
KR20130020573A KR1020120087176A KR20120087176A KR20130020573A KR 20130020573 A KR20130020573 A KR 20130020573A KR 1020120087176 A KR1020120087176 A KR 1020120087176A KR 20120087176 A KR20120087176 A KR 20120087176A KR 20130020573 A KR20130020573 A KR 20130020573A
Authority
KR
South Korea
Prior art keywords
user
access management
user account
server
account
Prior art date
Application number
KR1020120087176A
Other languages
English (en)
Other versions
KR101506767B1 (ko
Inventor
고따로 마쯔다
Original Assignee
캐논 가부시끼가이샤
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 캐논 가부시끼가이샤 filed Critical 캐논 가부시끼가이샤
Publication of KR20130020573A publication Critical patent/KR20130020573A/ko
Application granted granted Critical
Publication of KR101506767B1 publication Critical patent/KR101506767B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • G06F21/335User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • G06F21/608Secure printing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2143Clearing memory, e.g. to prevent the data from being stolen
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Computer And Data Communications (AREA)

Abstract

시스템은 액세스 관리 서버 및 제휴 서버를 포함하고, 액세스 관리 서버는, 제휴 서버의 요구에 응답하여, 관리되는 유저 어카운트에 대응하는 토큰을 발행하도록 구성된 발행 유닛, 및 관리되는 유저 어카운트들 중, 미리 정해진 삭제 조건을 충족시키는 유저 어카운트를 삭제하도록 구성된 어카운트 삭제 유닛을 포함하고, 제휴 서버는, 액세스 관리 서버에 의해 관리되는 유저 어카운트에 대응하는 토큰의 취득이 다른 서버에 의해 요구될 때, 유저 어카운트가 어카운트 삭제 유닛이 그 유저 어카운트를 삭제하지 않은 경우, 유저 어카운트에 대응하는 발행된 토큰을 취득하고, 어카운트 삭제 유닛이 유저 어카운트를 이미 삭제한 경우, 유저 어카운트를 액세스 관리 서버에 재등록시켜서, 재등록된 유저 어카운트에 대해 발행된 토큰을 취득하도록 구성된 취득 유닛을 포함한다.

Description

액세스 관리 시스템, 액세스 관리 방법, 액세스 관리 서버, 제휴 서버, 및 컴퓨터 판독가능 매체{ACCESS MANAGEMENT SYSTEM, ACCESS MANAGEMENT METHOD, ACCESS MANAGEMENT SERVER, COOPERATION SERVER, AND COMPUTER-READABLE MEDIUM}
본 발명은 온라인 인쇄 서비스 시스템에 있어서의 유저 어카운트들(user accounts)을 효율적으로 관리하기 위한 액세스 관리 시스템, 액세스 관리 방법, 액세스 관리 서버, 제휴 서버, 및 컴퓨터 판독가능 매체에 관한 것이다.
최근, "클라우드 컴퓨팅(cloud computing)" 또는 "클라우드"라는 키워드가 IT 업계를 중심으로 광범위하게 퍼졌다. 종래의 컴퓨터 하드웨어와 소프트웨어를 구입/이용하는 모델로부터 인터넷 상의 서비스들을 구입/이용하는 모델로의 천이가 가속화되었다.
이러한 서비스 모델의 예인 SaaS(Software as a Service)에 있어서, 서비스 제공자는 인터넷을 통해 소프트웨어를 제공하고, 서비스 유저는 주로 브라우저를 이용해서 원하는 소프트웨어를 이용한다. 서비스 제공자는 인터넷 상에 소프트웨어를 제공하기 위한 Web 사이트를 구축하기만 하면 되고, 소프트웨어를 배포할 필요가 없다. 서비스 유저는 전용의 소프트웨어를 그의/그녀의 컴퓨터에 인스톨할 필요가 없고, 일반적으로 브라우저 및 그 플러그인만을 이용하여 원하는 소프트웨어를 이용할 수 있다.
클라우드 컴퓨팅에 제공되는 서비스를 이용하기 위해, 유저는 그의 또는 그녀의 어카운트를 등록하는 것이 일반적이다. 유저마다 유저 어카운트를 사용해서 서비스에 로그인(login)하여 서비스를 이용한다. 유저 어카운트의 등록/무효화/삭제의 관리를 관리자가 수동적으로 행하는 것은 번거롭다. 특히, 유저 어카운트들의 삭제는, 사용되지 않는 유저 어카운트들의 부정 사용을 방지하기 위해 중요한 관리 작업이다.
일본 특개 제2011-18156호 공보에 따르면, "보통" 및 "삭제" 외에 "예정 삭제"라는 새로운 상태를 제공하는 것을 제안한다. 예정 삭제 상태로 세트된 유저 ID는 일시적으로 무효화된 다음, 유효 기한 후에 물리적으로 삭제된다. 이 예정 삭제 상태의 도입에 의해, 유저 ID가 물리적으로 삭제될 때까지의 유예 기간을 부여할 수 있어서, 필요에 따라 유저 ID를 다시 유효화할 수 있다. 또한, 장래에 유저 ID가 재이용될 수 있다고 가정한다. 이 경우, 적절한 유효 기한을 설정하고, 유저 ID를 예정 삭제 상태로 세트함으로써, 유저 ID를 재작성하지 않고 그 유저 ID를 다시 유효화할 수 있다. 이에 의해, 유저 ID의 삭제 관리 작업에 유연성을 부여함으로써, 관리자의 수고를 감소시킬 수 있다.
그러나, 일본 특개 제2011-18156호 공보에서는, 동일한 유저 ID를 재이용할 경우, 다음의 2가지의 문제가 발생한다. 첫째는, 유효 기한 경과 후, 유저 ID를 새로 재작성할 필요가 있다. 이 경우, 관리자 또는 유저는 원하지 않는 경우에도 유저 ID를 새로 작성해야 한다. 두번째는, "예정 삭제" 상태에 있어서는, 유저 ID를 다시 유효화해서 "보통" 상태로 복귀시키기 위해 유저 ID 및 그 속성값들을 유지함으로써, 데이터 양의 절약을 불능화(불가능하게) 한다.
본 발명의 일 특징에 따르면, 유저 어카운트들, 및 상기 유저 어카운트들에 대응하는 토큰들을 관리하는 액세스 관리 서버, 및 복수의 서비스의 처리들을 서로 제휴시키는 제휴 서버를 포함하는 액세스 관리 시스템으로서, 상기 액세스 관리 서버는, 상기 제휴 서버의 요구에 응답하여, 관리되는 유저 어카운트에 대응하는 토큰을 발행하도록 구성된 발행 유닛, 및 관리되는 유저 어카운트들 중, 미리 정해진 삭제 조건을 충족시키는 유저 어카운트를 삭제하도록 구성된 어카운트 삭제 유닛을 포함하고, 상기 제휴 서버는, 상기 액세스 관리 서버에 의해 관리되는 유저 어카운트에 대응하는 토큰의 취득이 다른 서버에 의해 요구될 때, 상기 어카운트 삭제 유닛이 그 유저 어카운트를 삭제하지 않은 경우, 그 유저 어카운트에 대응하는 발행된 토큰을 취득하고, 상기 어카운트 삭제 유닛이 그 유저 어카운트를 이미 삭제한 경우, 그 유저 어카운트를 상기 액세스 관리 서버에 재등록시켜서, 재등록된 유저 어카운트에 대해 발행된 토큰을 취득하도록 구성된 취득 유닛을 포함하는, 액세스 관리 시스템을 제공한다.
본 발명의 다른 특징에 따르면, 유저 어카운트들, 및 상기 유저 어카운트들에 대응하는 토큰들을 관리하는 액세스 관리 서버, 및 복수의 서비스의 처리들을 서로 제휴시키는 제휴 서버를 포함하는 액세스 관리 시스템의 상기 액세스 관리 서버로서, 상기 제휴 서버의 요구에 응답하여, 관리되는 유저 어카운트에 대응하는 토큰을 발행하도록 구성된 발행 유닛, 및 관리되는 유저 어카운트들 중, 미리 정해진 삭제 조건을 충족시키는 유저 어카운트를 삭제하도록 구성된 어카운트 삭제 유닛을 포함하는, 액세스 관리 서버를 제공한다.
본 발명의 다른 특징에 따르면, 유저 어카운트들, 및 상기 유저 어카운트들에 대응하는 토큰들을 관리하는 액세스 관리 서버, 및 복수의 서비스의 처리들을 서로 제휴시키는 제휴 서버를 포함하는 액세스 관리 시스템의 상기 제휴 서버로서, 상기 액세스 관리 서버에 의해 관리되는 유저 어카운트에 대응하는 토큰의 발행이 다른 서버에 의해 요구될 때, 상기 액세스 관리 서버가 그 유저 어카운트를 삭제하지 않은 경우, 그 유저 어카운트에 대응하는 발행된 토큰을 취득하고, 상기 액세스 관리 서버가 이미 그 유저 어카운트를 삭제했을 경우, 그 유저 어카운트를 상기 액세스 관리 서버에 재등록시켜서, 재등록된 유저 어카운트에 대해 발행된 토큰을 취득하도록 구성된 취득 유닛을 포함하는, 제휴 서버를 제공한다.
본 발명의 다른 특징에 따르면, 유저 어카운트들, 및 상기 유저 어카운트들에 대응하는 토큰들을 관리하는 액세스 관리 서버, 및 복수의 서비스의 처리들을 서로 제휴시키는 제휴 서버를 포함하는 액세스 관리 시스템의 액세스 관리 방법으로서, 상기 액세스 관리 서버에 있어서의, 상기 제휴 서버의 요구에 응답하여, 관리되는 유저 어카운트에 대응하는 토큰을 발행하는 발행 단계, 및 관리되는 유저 어카운트들 중, 미리 정해진 삭제 조건을 충족시키는 유저 어카운트를 삭제하는 어카운트 삭제 단계, 및 상기 제휴 서버에 있어서의, 상기 액세스 관리 서버에 의해 관리되는 유저 어카운트에 대응하는 토큰의 취득이 다른 서버에 의해 요구될 때, 그 유저 어카운트가 상기 어카운트 삭제 단계에서 삭제되지 않은 경우, 그 유저 어카운트에 대응하는 발행된 토큰을 취득하고, 그 유저 어카운트가 상기 어카운트 삭제 단계에서 이미 삭제된 경우, 그 유저 어카운트를 상기 액세스 관리 서버에 재등록시켜서, 재등록된 유저 어카운트에 대해 발행된 토큰을 취득하는 취득 단계를 포함하는, 액세스 관리 방법을 제공한다.
본 발명의 다른 특징에 따르면, 컴퓨터를, 복수의 서비스의 처리들을 서로 제휴시키는 제휴 서버의 요구에 응답하여, 관리되는 유저 어카운트에 대응하는 토큰을 발행하도록 구성된 발행 유닛, 및 관리되는 유저 어카운트들 중, 미리 정해진 삭제 조건을 충족시키는 유저 어카운트를 삭제하도록 구성된 어카운트 삭제 유닛으로서 기능시키는 프로그램을 저장한 컴퓨터 판독가능 매체를 제공한다.
본 발명의 다른 특징에 따르면, 컴퓨터를, 상기 액세스 관리 서버에 의해 관리되는 유저 어카운트에 대응하는 토큰의 발행이 다른 서버에 의해 요구될 때, 상기 액세스 관리 서버가 그 유저 어카운트를 삭제하지 않은 경우, 그 유저 어카운트에 대응하는 발행된 토큰을 취득하고, 상기 액세스 관리 서버가 이미 그 유저 어카운트를 삭제했을 경우, 그 유저 어카운트를 상기 액세스 관리 서버에 재등록시켜서, 재등록된 유저 어카운트에 대해 발행된 토큰을 취득하도록 구성된 취득 유닛으로서 기능시키는 프로그램을 저장한 컴퓨터 판독가능 매체를 제공한다.
본 발명에 따르면, 사용되지 않는 유저 어카운트들이 정기적인 시간 간격을 두고 자동 삭제되고, 그 후 자동 삭제된 유저 어카운트의 이용이 요구되면, 그 유저 어카운트가 자동 재작성된다. 이에 의해 유저 어카운트 관리의 데이터 사이즈를 감소시키면서 동일한 유저 ID가 재이용될 수 있다.
본 발명의 다른 특징들은 (첨부 도면을 참조하여) 하기의 예시적인 실시 형태들의 설명으로부터 명백해질 것이다.
도 1은 온라인 서비스 구성을 도시하는 도면이다.
도 2는 네트워크 구성을 도시하는 블록도이다.
도 3은 컴퓨터 구성을 도시하는 블록도이다.
도 4는 액세스 관리 서비스 구성을 도시하는 블록도이다.
도 5는 제휴 서비스 구성을 도시하는 블록도이다.
도 6은 ID 관리 테이블의 예를 도시하는 테이블이다.
도 7a 및 도 7b는 유저 테이블 및 유저 롤 테이블의 예들을 도시하는 테이블들이다.
도 8은 토큰 테이블의 예를 도시하는 테이블이다.
도 9는 로그 테이블의 예를 도시하는 테이블이다.
도 10은 제1 이용 방법을 도시하는 시퀀스 차트이다.
도 11은 제2 이용 방법을 도시하는 시퀀스 차트이다.
도 12는 테넌트 테이블(tenant table)의 예를 도시하는 테이블이다.
도 13은 유저 어카운트 삭제 처리를 도시하는 플로우차트이다.
도 14는 토큰 삭제 처리를 도시하는 플로우차트이다.
도 15는 유저 어카운트의 작성 및 토큰의 발행 처리를 도시하는 플로우차트이다.
도 16은 유저 어카운트의 작성 및 토큰의 발행 처리를 도시하는 플로우차트이다.
도 17은 로그인 처리를 도시하는 플로우차트이다.
[문제들의 설명]
도 1을 참조하여 본 발명이 해결하고자 하는 특정 문제들을 더 상세하게 설명한다. 인터넷 상에서는, 다양한 서비스 제공자들이 많은 종류의 서비스들을 제공한다. 예를 들면, 한 서비스 제공자가 단일의 서비스를 운영하거나, 또는 복수의 서비스를 조합하여 하나의 워크플로우(workflow)를 실현한다. 후자의 경우는 매쉬업(mashup) 등으로 불리는데, 그것은 마치 하나의 Web 사이트 또는 Web 서비스인 것처럼 보이지만, 실제로는 백-엔드(back-end)에서 다른 서비스들과 제휴함으로써 필요한 기능들을 조합하여 워크플로우를 실현하는 것이다.
예를 들어, 사진을 공유하는 Web 사이트를 예로 들어 설명한다. 예를 들면, Web 사이트를 제어하는 HTTP 서버 또는 애플리케이션 서버를 호스트하는 서비스 제공자를, 사진 등의 다수의 화상 파일들을 저장하는 온라인 스토리지를 제공하는 다른 서비스 제공자와 조합하는 것이 가능하다. 본 명세서에서 서비스는 Web 사이트, Web 애플리케이션, 및 Web 서비스 등에 의해 제공되는 기능들의 그룹을 나타낸다는 것을 유의한다. Web 사이트, Web 애플리케이션, 및 Web 서비스 등은 서버 컴퓨터 상에서 실행되는 소프트웨어 컴포넌트들이다.
도 1에 도시된 바와 같이, 인터넷 상에 온라인 서비스 A(101)가 존재한다. 서버(131)는 온라인 서비스 A(101)를 호스트하는 단일의 서버 또는 서버들의 그룹을 나타낸다. 온라인 서비스 A(101)는 액세스 관리 서비스(102), 인쇄 서비스(103), 및 로그 서비스(104)를 포함한다. 액세스 관리 서비스(102)는 유저 어카운트들을 수용하기 위한 유저 어카운트 데이터베이스(105)를 포함한다.
클라이언트 A(106)는, 예를 들면, 온라인 서비스 A(101)에 Web 액세스를 행하는 브라우저를 나타낸다. 예를 들어, 유저가 문서 파일을 입력/인쇄하고 싶을 경우, 그는/그녀는 클라이언트 A(106)를 통해 온라인 서비스 A(101)에 로그인한다. 이때, 유저 어카운트 및 패스워드가 입력된다. 입력된 정보에 기초하여, 액세스 관리 서비스(102)는 유저 어카운트 데이터베이스(105)를 검사하여 유저가 존재하고 패스워드가 유효한 것을 검사함으로써, 유저를 인증한다.
그 후, 클라이언트 A(106)는 문서 파일을 인쇄 서비스(103)에 입력한다. 인쇄 서비스(103)는 입력된 문서 파일을 프린터 A(107)로부터 출력될 수 있는 형식으로 변환하고, 프린터 A(107)는 변환된 인쇄 데이터를 수신한다. 프린터 A(107)로부터 온라인 서비스 A(101)에 로그인하면, 유저는 그의/그녀의 큐잉된 인쇄 데이터에 기초하여 프린터 A(107)로부터 인쇄물을 출력한다. 로그 서비스(104)는 유저에 의한 문서 파일 등의 입력/인쇄 조작을 기록한다. 이상의 절차는 온라인 서비스 A에 대한 제1 이용 방법을 나타낸다.
온라인 서비스 A(101)에 대한 제2 이용 방법으로서, 온라인 서비스 B(121)는 온라인 서비스 A(101)의 외부에 존재하고, 온라인 서비스 A(101)와 제휴해서 하나의 워크플로우를 제공한다. 서버(132)는 온라인 서비스 B(121)를 호스트하는 단일의 서버 또는 서버들의 그룹을 나타낸다. 예를 들어, 클라이언트 B(122)가 온라인 서비스 B(121)에 문서 파일을 입력하면, 온라인 서비스 B(121)는 온라인 서비스 A(101)에 문서 파일을 인쇄 데이터로 변환하도록 요구한다. 인쇄 서비스(103)는 문서 파일을 인쇄 데이터로 변환하고, 프린터 B(123)는 인쇄 데이터를 인쇄 서비스(103)로부터 수신하고 인쇄물을 출력한다.
제1 이용 방법에 있어서, 클라이언트 A(106) 또는 프린터 A(107)의 유저가 비즈니스 유저 등의 유료 라이센스 모델이라고 가정한다. 이 경우, 유저들의 수가 증가하면, 라이센스 수입도 증가한다. 증가한 수입에 의해 컴퓨팅 리소스들을 증강할 수 있으므로, 추가의 유저들을 수용할 수 있게 된다. 유저들의 수가 감소하면, 유저가 해약을 하므로, 유저 어카운트를 삭제할 수 있다. 유저 어카운트가 삭제되면, 해방된 컴퓨팅 리소스들을 이용할 수 있게 되고, 해방된 컴퓨팅 리소스들을 이용하여 새로운 다른 유저들을 수용할 수 있게 된다.
제2 이용 방법에 있어서, 소비자 유저들 등의 무료의 유저 어카운트들은 컴퓨팅 리소스들을 이용하여 수용된다고 가정한다. 온라인 서비스 B(121)의 유저는 온라인 서비스 A(101)를 이용하기 위해, 온라인 서비스 A(101)에 의해 발행된 유저 어카운트를 이용하여 인증되어야 할 필요가 있다. 이것은, 로그 서비스(104)가 유저 ID를 키로서 이용하여 유저의 조작을 기록하기 위해 행해진다.
이 경우의 문제는, 소비자 유저의 이용 패턴에 의해, 대부분의 경우들에서 유저가 초기에 수회만 서비스를 이용하고, 나중에는 거의 이용하지 않는, 즉, 소위 "일회성 이용(one-shot use)"이 자주 발생한다는 것이다. 다른 문제는, 무료 서비스의 경우, 비록 해약 또는 등록 해제 처리가 준비되더라도, 서비스를 더 이상 사용하지 않는 유저가 처음에 그 서비스가 무료라는 사실 때문에, 해약/재등록 처리를 실행하지 않는 경우가 많다는 것이다. 그 때문에, 더 이상 사용되지 않는 유저 어카운트를 삭제하는 경우가 없기 때문에, 다수의 무료 유저 어카운트들이 컴퓨터 리소스인 유저 어카운트 데이터베이스(105)에 원치 않게 등록되어버린다. 소비자 유저 등의 무료 유저 어카운트들이 불필요해지더라도, 그들이 삭제되지 않고 남아 있게 됨으로써, 유저 어카운트 데이터베이스(105)를 증가시킴으로써, 성능을 억제하거나 또는 데이터 관리 비용을 증가시킨다.
<실시 형태>
[시스템 구성]
이하, 본 발명을 실시하기 위한 최선의 형태들에 대해서 도면을 참조하여 설명한다. 도 2는 각종 온라인 서비스들이 존재하는, 본원 발명에 따른 액세스 관리 시스템을 형성하는 네트워크의 구성을 도시한다. 네트워크(200)는 인터넷 등의 공중 네트워크이다. 네트워크(201)는 인트라넷 등의 사적인 네트워크이다. 문서 관리 서비스(202)는 온라인에서 유저들의 문서 파일들을 저장한다. 프린터 관리 서비스(203)는 인터넷에 접속된 프린터들을 관리한다. 액세스 관리 서비스(204)는 유저들의 인증/인가(authentication/authorization)를 관리한다. 제휴 서비스(205)는 온라인 서비스들 간의 제휴를 제어한다. 인쇄 서비스(206)는 문서 파일을 프린터에 의해 인쇄될 수 있는 데이터로 변환한다. 로그 서비스(207)는 유저 조작들의 이력(로그)을 기록하며, 그 각각의 레코드는 인쇄 서비스(206)에 의해 실행된 조작, 언제 조작이 행해졌는지, 및 누가 조작을 행했는지를 나타낸다.
클라이언트(211 또는 221)는 클라이언트 컴퓨터 또는 모바일 단말 등의 온라인 서비스를 이용하기 위해 사용되는 클라이언트이다. 프린터(212 또는 222)는 인쇄 데이터를 수신하여 그것을 인쇄한다. 본 실시 형태에 있어서, 클라이언트(221) 또는 프린터(222)는 액세스 관리 서비스(204) 및 인쇄 서비스(206)를 직접 이용하는 대상이며, 외부 서비스로서의 문서 관리 서비스(202) 또는 프린터 관리 서비스(203)에는 접속하지 않는다는 것을 유의한다.
한편, 클라이언트(211) 또는 프린터(212)는 문서 관리 서비스(202) 및 프린터 관리 서비스(203)를 직접 이용하는 대상이며, 제휴 서비스(205)를 통해 액세스 관리 서비스(204) 및 인쇄 서비스(206)를 간접적으로 이용한다. 서버들(231 내지 236)은 각각의 서비스들을 호스트한다.
문서 관리 서비스(202)(문서 관리 서버)와 프린터 관리 서비스(203)(프린터 관리 서버)는 도 1의 온라인 서비스 B(121)에 속한다고 가정한다. 마찬가지로, 제휴 서비스(205)(제휴 서버), 액세스 관리 서비스(204)(액세스 관리 서버), 인쇄 서비스(206)(인쇄 서버), 및 로그 서비스(207)(로그 서버)는 도 1의 온라인 서비스 A(101)에 속한다고 가정한다.
본 실시 형태에 있어서는, 각종 서비스들이 상이한 서버들에 의해 제공되도록 구성되지만, 본 발명은 이 구성에 한정되지 않는다. 예를 들어, 하나의 물리적인 서버가 복수의 서비스를 제공할 수 있거나, 또는 복수의 서버가 하나의 서비스를 제공할 수도 있다는 것을 유의한다.
도 3은 전술한 각종 서비스들 각각을 형성하는 Web 사이트, Web 애플리케이션, 및 Web 서비스 등의 소프트웨어를 실행하는 서버 컴퓨터(서버(231) 내지 서버(236) 각각)의 정보 처리 기능의 논리 구성을 도시한다. 유저 인터페이스(301)는, 예를 들면, 디스플레이, 키보드, 및 마우스를 이용하여 정보를 입력/출력한다. 이 하드웨어 컴포넌트들을 구비하지 않는 컴퓨터는 리모트 데스크탑 등을 이용하여 다른 컴퓨터를 통해 접속 및 조작을 행할 수 있다. 네트워크 인터페이스(302)는 LAN 등의 네트워크에 접속하고, 다른 컴퓨터 또는 네트워크 디바이스와 통신을 행한다.
ROM(304)은 내장된 프로그램들 및 데이터를 기록한다. RAM(305)은 일시적 메모리 영역으로서 기능한다. 2차 저장 장치(306)는 HDD로 대표된다. CPU(303)는 ROM(304), RAM(305), 또는 2차 저장 장치(306) 등으로부터 로딩된 프로그램들을 실행함으로써, 각종 서비스들을 실현한다. 각각의 유닛들은 입력/출력 인터페이스(307)를 통해 상호 접속된다. 전술한 구성 외에도 다른 유닛들을 더 구비할 수 있다는 것을 유의한다. 클라이언트(211 또는 221) 또는 프린터(212 또는 222)도 마찬가지의 구성을 가질 수 있다. 본 실시 형태에서는, 전술한 구성에 의해, 각 서버가 하기의 각 시퀀스에 의해 나타낸 처리를 실행한다.
도 4는 액세스 관리 서비스(204)의 내부 구조를 도시한다. 액세스 관리 요구 처리 유닛(401)은 인터넷(200) 또는 인트라넷(201)을 통해 클라이언트(221) 또는 프린터(222), 및 다른 서비스로부터의 요구들을 수신한다. 인증 데이터 관리 유닛(403)은 유저 어카운트들의 데이터를 관리한다. 인가 토큰 관리 유닛(404)은 인가 토큰들의 데이터를 관리한다. 액세스 제어 유닛(402)은 인증 데이터 관리 유닛(403) 및 인가 토큰 관리 유닛(404)으로부터 취득되는 데이터에 기초하여, 인증/인가 요구에 대한 응답 데이터를 생성하고, 액세스 관리 요구 처리 유닛(401)에 응답 데이터를 리턴한다. 액세스 관리 요구 처리 유닛(401)은 응답 데이터를 다른 서비스에 리턴한다.
도 5는 제휴 서비스(205)의 내부 구조를 도시한다. 제휴 요구 처리 유닛(501)은 인터넷(200)을 통해 다른 서비스로부터 문서 파일의 데이터 변환의 요구를 수신한다. 서비스 제어 유닛(502)은 제휴 요구 처리 유닛(501)으로부터의 요구를 수신하면, 인트라넷(201)을 통해 액세스 관리 서비스(204) 및 인쇄 서비스(206)에 대하여 필요한 처리를 실행하고, 응답 데이터를 리턴한다. 제휴 요구 처리 유닛(501)은 응답 데이터를 다른 서비스에 리턴한다.
본 명세서에서 사용되는 용어들에 대해서 설명한다. 본 명세서에 있어서, " 인증 토큰"이란 용어는 유저 ID 및 패스워드를 이용해서 로그인 처리가 성공하면 생성되는 토큰을 의미한다. 이 인증 토큰을 동일한 로그인 세션에 공통으로 사용함으로써, 로그인 유저는 액세스 가능한 기능들을 모두 사용할 수 있다. 또한, 이 인증 토큰의 라이프 주기는 로그인 세션에 대응하며, 예를 들어, 로그아웃 조작이 행해지거나 또는 세션 타임아웃이 발생하면, 인증 토큰은 무효화된다.
"인가 토큰"이란 용어는 유효한 유저 ID/패스워드를 수반한 인가 토큰 취득 요구에 응답하여 생성되는 토큰을 의미한다. 즉, 인가 토큰은 특정 기능의 실행 또는 특정 URL에의 액세스의 실행을 허가하기 위해 이용되고, 인가 토큰을 사용한 액세스는 허가된 권한에 한정된다. 예를 들어, 인가 토큰은 인쇄 서비스(206)의 기능 또는 데이터(URL)에의 액세스를 허가한다. 인가 토큰은 유저 대신 외부 프로그램에 처리를 실행시키기 위해 이용된다. 즉, 프로그램 등에 인가 토큰을 수여하여 유저가 갖는 권한을 부여함으로써, 유저 대신 (예를 들어, 인보커(invoker)로서) 프로그램에 처리를 실행시키는 것이 가능하다. 인가 토큰의 라이프 주기는 설정된 유효 기한까지이며, 그 유효 기한 전에는 임의의 횟수로 사용될 수 있다. 유효 기한의 구체적인 값은 도 8을 참조하여 설명한다는 것을 유의한다.
[데이터 구조]
이하, 본 실시 형태에서 이용되는 데이터 구조에 대하여 설명한다. 각각의 테이블들에 있어서 동일한 컬럼 이름들(예를 들어, 유저 ID)은 테이블들 간의 공통의 항목을 나타낸다는 것을 유의한다. 하기에서 설명되는 데이터 구조는 단지 예일 뿐이며, 다른 구성 요소들을 포함할 수도 있다. 또한, 데이터 값의 종류(예를 들어, 자릿수 및 영숫자)는 하기의 종류에 한정되지 않고, 다른 종류의 데이터 값도 가능하다.
도 6은 프린터 관리 서비스(203)에 의해 유지되는, ID 관리를 위한 데이터 구조를 테이블 형식으로 나타냄으로써 얻어진 ID 관리 테이블(600)을 도시한다. 프린터 ID(601)는 프린터(212)의 프린터 ID를 저장하기 위해 이용되는 컬럼이다. 유저 ID(602)는 유저 ID를 저장하기 위해 이용되는 컬럼이다. 패스워드(603)는 패스워드를 저장하기 위해 이용된다. 인가 토큰(604)은 인가 토큰을 저장하기 위해 이용되는 컬럼이다. 유저 ID(602), 패스워드(603), 및 인가 토큰(604)은 액세스 관리 서비스(204)에 의해 발행되는 데이터를 유지하기 위해 각각 이용되는 컬럼들이다.
도 7a 및 도 7b는 인증 데이터 관리 유닛(403)에 의해 관리되는 데이터를 테이블 형식으로 각각 도시한다. 도 7a는 유저 테이블(700)을 도시한다. 유저 테이블(700)은 유저 ID(701), 패스워드(702), 테넌트 ID(703), 마지막 로그인 날짜/시간(704)을 컴포넌트들로서 포함한다. 테넌트 ID는 멀티 테넌트 환경을 실현하기 위한 식별자를 나타낸다. 예를 들어, 하나의 시스템이 소정의 온라인 서비스를 운영한다고 가정한다. 온라인 서비스가 복수의 고객 기업에 제공될 경우, 다른 고객들의 데이터에의 액세스를 금지하는 기능 및 각각의 고객에 대한 서비스 요금을 계산하는 기능 등의 멀티 테넌트 기능들이 필수적이다. 멀티 테넌트 기능들을 실현하기 위한 식별자로서, 테넌트 ID(703)가 각각의 유저 ID(701)에 반드시 할당됨으로써, 각각의 테넌트에 대해 유저들 및 데이터를 분리한다. 클라우드 컴퓨팅화가 더 보급됨에 따라, 다른 도메인들에 속하는 테넌트들의 데이터가 1개의 메모리에서 관리된다. 그러므로, 멀티 테넌트 환경의 아이디어가 클라우드 컴퓨팅에 있어서 매우 중요하다.
도 7b는 유저 롤 테이블(710)을 도시한다. 유저 롤 테이블(710)은 유저 ID(711) 및 롤(712)을 컴포넌트들로서 포함한다. 롤(role)은 유저가 속하는 테넌트에 있어서의 유저의 롤을 정의한다. 예를 들어, 롤(712)의 설정값은 관리자(Admin), 인보커(Invoker), 및 일반 유저(User)를 포함한다. 관리자 롤을 갖는 유저는 모든 기능들/데이터에의 액세스할 수 있다. 인보커는 다른 서비스로부터의 요구를 인보크하기 위해 이용되는 무인 서비스 어카운트(unattended service account)의 롤이다. 인보커는 어떤 요구된 처리들에서만, 한정된 기능들/데이터에 액세스할 수 있다. 일반 유저는 소위 엔드 유저에 대응하는 롤이다. 일반 유저 롤은 엔드 유저가 인쇄 서비스를 이용하기 위해 사용된다.
도 8은 인가 토큰 관리 유닛(404)이 관리하는 데이터를 테이블 형식으로 나타냄으로써 얻은 토큰 테이블(800)을 도시한다. 토큰 테이블(800)은 토큰 ID(801), 유효 기한(802), 발행 날짜/시간(803), 유저 ID(804), 테넌트 ID(805), 및 클라이언트 ID(806)를 컴포넌트들로서 포함한다. 유효 기한(802)은 대응하는 인가 토큰의 유효 기한을 초 수(number of seconds)로 나타낸다. 발행 날짜/시간(803)은 언제 인가 토큰이 발행되었는지를 나타낸다. 유저 ID(804)는 인가 토큰이 어느 유저에 대하여 발행되었는지를 나타낸다. 테넌트 ID(805)는 유저 ID(804)가 속하는 테넌트를 나타낸다. 클라이언트 ID(806)는 인가 토큰의 발행 요구 소스인 인보커의 유저 ID를 기록하기 위해 이용된다.
본 실시 형태에 있어서, 토큰 테이블(800)에는 인증 토큰 및 인가 토큰이 등록되어 있다고 가정한다. 토큰들은 상이한 테이블들에서 관리될 수 있다. 이 경우, 예를 들어, 인증 토큰에는 유효 기간이 설정되지 않는다. 인가 토큰은 어느 기능이 이용 가능한지, 또는 어느 데이터에 액세스 가능한지를 나타낸 정보와 연관될 수 있다. 예를 들어, 이 정보는 인쇄 서비스(206)가 제공하는 인쇄 데이터가 참조될 때의 URL이다. 이 경우, 토큰 테이블(800)은 다른 정보도 관리한다고 가정한다.
도 9는 로그 서비스(207)에 의해 관리되는 데이터를 테이블 형식으로 나타냄으로써 얻어진 로그 테이블(900)을 도시한다. 로그 테이블(900)은 타임 스탬프(901), 유저 ID(902), 테넌트 ID(903) 및 액션 ID(904)를 컴포넌트들로서 포함한다. 타임 스탬프(901)는 대응하는 조작이 행해진 날짜/시간을 기록하기 위해 이용되는 컬럼이다. 유저 ID(902)는 조작을 행한 유저의 유저 ID이다. 테넌트 ID(903)는 조작을 행한 유저가 속하는 테넌트의 테넌트 ID를 나타낸다. 액션 ID(904)는 조작의 종류를 나타낸다.
[제1 이용 방법]
도 10을 참조하여 인쇄 서비스(206)의 제1 이용 방법을 설명한다. 이것은 도 1을 참조하여 설명한 온라인 서비스 A(101)에 클라이언트 A(106)가 직접 액세스하여 이용하는 방법에 대응한다. 제1 이용 방법에서, 클라이언트(221)와 프린터(222)는 액세스 관리 서비스(204) 및 인쇄 서비스(206)만을 직접 이용한다.
인쇄 서비스(206)의 유저는 액세스 관리 서비스(204)에 등록된 유저 어카운트를 사용하여, 클라이언트(221)를 통해 액세스 관리 서비스(204)에 로그인한다(단계 S1001). 액세스 관리 서비스(204)는 유저 테이블(700)을 검사하여, 로그인 조작이 성공했는지 또는 실패했는지를 판정한다. 로그인 조작이 성공한 경우, 액세스 관리 서비스(204)는 인증 토큰을 발행한다(단계 S1002). 액세스 관리 서비스(204)는 발행된 인증 토큰에 관한 정보를 도 8에 도시된 바와 같이 토큰 테이블(800)에 기록한다. 인증이 실패한 경우, 액세스 관리 서비스(204)는 그 취지를 유저에 통지한다는 것을 유의한다.
클라이언트(221)는 인쇄 서비스(206)에 문서 파일을 업로드한다(단계 S1003). 이때, 인증 토큰도 전달된다. 인쇄 서비스(206)는 수신된 인증 토큰에 관해 액세스 관리 서비스(204)에 조회하여, 그것의 유효성을 검증한다(단계 S1004). 액세스 관리 서비스(204)는 토큰 테이블(800)을 검사하여, 인증 토큰이 유효한지를 판정한다. 인증 토큰이 유효하다는 것을 나타내는 정보를 수신하면, 인쇄 서비스(206)는 업로드된 문서 파일에 기초하여 프린터로 인쇄 가능한 데이터를 생성하고, 그것을 일시적으로 저장한다(단계 S1005). 인증 토큰이 유효하지 않다는 것을 나타내는 정보를 수신하면, 인쇄 서비스(206)는 비정상적으로 종료한다는 것을 유의한다. 인쇄 서비스(206)는 인쇄 데이터의 생성/저장 후, 인쇄 데이터가 생성되었다는 것을 나타내는 조작 로그를 로그 서비스에 기록한다(단계 S1006).
유저는 프린터(222)를 이용하여 액세스 관리 서비스(204)에 로그인한다(단계 S1007). 액세스 관리 서비스(204)는 유저 테이블(700)을 검사하여, 로그인 조작이 성공했는지 또는 실패했는지를 판정한다. 로그인 조작이 성공했으면, 액세스 관리 서비스(204)는 인증 토큰을 발행한다(단계 S1008). 프린터(222)는 로그인한 유저의 저장된 인쇄 데이터를 수신하도록 인쇄 서비스(206)에 요구한다(단계 S1009). 이때, 인증 토큰도 전달된다. 인쇄 서비스(206)는 인증 토큰에 관해 액세스 관리 서비스(204)에 조회하여, 그의 유효성을 검증한다(단계 S1010). 인증 토큰이 유효하면, 인쇄 서비스(206)는 인쇄 데이터의 수신을 허가하고, 프린터(222)는 인쇄 서비스(206)로부터 인쇄 데이터를 수신한다(단계 S1011). 인쇄 서비스(206)는 인쇄 데이터의 송신이 완료되면, 그것을 로그 서비스에 기록한다(단계 S1012). 프린터(222)는 인쇄 데이터를 용지 상에 출력한다(단계 S1013). 이상의 절차는 인쇄 서비스(206)의 제1 이용 방법의 절차의 예이다.
[제2 이용 방법]
도 11을 참조하여 인쇄 서비스(206)의 제2 이용 방법을 설명한다. 이것은, 도 1을 참조하여 설명한 온라인 서비스 B(121)를 통해 온라인 서비스 A(101)를 이용하는 방법에 대응한다. 제2 이용 방법에서, 클라이언트(211)와 프린터(212)는 문서 관리 서비스(202) 및 프린터 관리 서비스(203)를 이용한다. 그러나, 문서 관리 서비스(202) 및 프린터 관리 서비스(203)는 인쇄 데이터 생성 기능을 갖지 않기 때문에, 인쇄 서비스(206)가 이용된다. 유저가 문서 관리 서비스(202)의 유저 인증을 사용하지만, 인쇄 서비스(206)를 이용하기 위해 액세스 관리 서비스(204)에도 유저 어카운트를 등록할 필요가 있다. 즉, 문서 관리 서비스(202)의 유저 인증과 인쇄 서비스(206)의 유저 인증은 상이하다.
유저는 클라이언트(211)를 이용하여 문서 관리 서비스(202)에 로그인한다(단계 S1101). 유저는 클라이언트(211)를 이용하여 문서 관리 서비스(202)에 문서 파일을 업로드한다(단계 S1102). 유저는 클라이언트(211)로부터 문서 관리 서비스(202)에 문서 파일 인쇄 지시를 송신한다(단계 S1103). 문서 관리 서비스(202)는 프린터 관리 서비스(203)에 인쇄 요구를 송신한다(단계 S1104). 이때, 문서 파일을 취득하기 위해 필요한 인가 토큰, 및 인쇄될 문서 데이터가 저장된 위치에 관한 정보(문서 파일 URL)가 인쇄 요구와 함께 송신된다. 이때 송신되는 인가 토큰은 문서 관리 서비스(202)측에서 발행된 인가 토큰이고, 액세스 관리 서비스(204)에 의해 발행되는 것과는 상이하다는 것을 유의한다. 문서 관리 서비스(202)측에서 발행된 인가 토큰을 이용함으로써, 제휴 서비스는 문서 관리 서비스측의 서비스(문서 데이터 취득 등)를 이용할 수 있게 된다.
프린터 관리 서비스(203)는 제휴 서비스(205)에 인가 토큰 취득 요구를 송신한다(단계 S1105). 액세스 관리 서비스(204)는 제휴 서비스(205)에 대해 인가 토큰을 발행한다(단계 S1106). 여기서 인가 토큰은 인쇄 서비스(206)의 액세스/이용의 허가를 나타내는 토큰 ID(801)를 나타낸다.
제휴 서비스(205) 및 프린터(212)를 통해 인쇄 서비스(206)를 이용하기 위해, 유저는 인가 토큰을 사용하여 인쇄 서비스(206)의 이용 허가를 얻는다. 제휴 서비스(205)는 프린터 관리 서비스(203)에 인가 토큰을 통지한다(단계 S1107). 프린터 관리 서비스(203)는 단계 S1104에서 수신된 인쇄될 문서 파일의 URL을 제휴 서비스(205)에 통지한다(단계 S1108). 이때, 문서 관리 서비스(202)로부터 수신된 인가 토큰도 전달된다. 제휴 서비스(205)는 수신된 문서 파일 URL에 기초하여 문서 파일을 취득한다(단계 S1109). 이때, 문서 관리 서비스(202)는 단계 S1104에서 송신된 인가 토큰을 검사한다. 인가 토큰이 유효하면, 문서 관리 서비스(202)는 문서 파일을 제휴 서비스(205)에 제공한다.
제휴 서비스(205)는 취득된 문서 파일을 인쇄 서비스(206)에 등록한다(단계 S1110). 이때, 인가 토큰도 전달된다. 인쇄 서비스(206)는 인가 토큰에 관해 액세스 관리 서비스(204)에 조회하여, 그의 유효성을 검증한다(단계 S1111). 인가 토큰이 유효하면, 인쇄 서비스(206)는 문서 파일에 기초하여 프린터로 인쇄 가능한 인쇄 데이터를 생성하고, 그것을 일시적으로 저장한다(단계 S1112). 인쇄 서비스(206)는 인쇄 데이터가 생성된 것을 나타내는 조작 로그를 로그 서비스에 기록한다(단계 S1113).
인쇄 서비스(206)는 단계 S1112에서 생성된 인쇄 데이터가 저장된 위치에 관한 정보(인쇄 데이터 URL)를 제휴 서비스(205)에 통지한다(단계 S1114). 제휴 서비스(205)는 인쇄 데이터 URL을 프린터 관리 서비스(203)에 통지한다(단계 S1115). 프린터 관리 서비스(203)는 인쇄 데이터 URL과 단계 S1107에서 수신된 인가 토큰을 프린터(212)에 통지한다(단계 S1116). 프린터(212)는 인쇄 서비스(206)에 인쇄 데이터 수신 요구를 송신한다(단계 S1117). 이때 인가 토큰도 전달된다. 인쇄 서비스(206)는 인가 토큰에 관해 액세스 관리 서비스(204)에 조회하여, 그의 유효성을 검증한다(단계 S1118). 인가 토큰이 유효하면, 인쇄 서비스(206)는 인쇄 데이터의 수신을 허가한다. 프린터(212)는 인쇄 데이터 URL에 기초하여 인쇄 서비스(206)로부터 인쇄 데이터를 수신한다(단계 S1119). 인쇄 서비스(206)는 인쇄 데이터의 송신이 완료되면, 그것을 로그 서비스에 기록한다(단계 S1120). 프린터(212)는 인쇄 데이터를 용지에 출력한다(단계 S1121).
[제2 이용 방법에 대한 어카운트들의 수용 방법]
도 12 내지 도 17을 참조하여 본 실시 형태에 따른 제2 이용 방법에서 문서 관리 서비스(202) 및 프린터 관리 서비스(203)가 이용하는 다수의 유저 어카운트들을 효율적으로 수용하는 방법에 대해서 설명한다. 본 명세서에 있어서, "자동"은 유저의 조작을 요구하지 않고, 시스템측에서 자발적으로 처리가 행해지는 것을 의미한다는 것을 유의한다.
도 12는 인증 데이터 관리 유닛(403)에 의해 관리되는 테넌트 정보의 데이터를 테이블 형식으로 나타냄으로써 얻어진 테넌트 테이블(1200)을 도시한다. 테넌트 테이블(1200)은 테넌트 ID(1201), 유저 어카운트 삭제 조건(1202), 및 설정 임계(1203)를 컴포넌트들로서 포함한다. 유저 어카운트 삭제 조건(1202)은 각각의 테넌트에 대한 유저 어카운트 삭제 조건을 나타내는 값이다. 예를 들어, 정의에 의하면, 값 0은 유저 어카운트를 자동 삭제하지 않는다는 것을 나타내고, 값 1은 마지막 로그인 날짜/시간에 기초하여 유저 어카운트를 자동 삭제하는 것을 나타내고, 값 2는 유저 어카운트의 총 수에 기초하여 유저 어카운트를 자동 삭제하는 것을 나타낸다. 상기의 삭제 조건들 외에, 다른 조건들도 설정할 수 있다는 것을 유의한다. 설정 임계(1203)는 자동 삭제 조건에 대한 설정 임계이다. 인증 데이터 관리 유닛(403)은 프린터 관리 서비스(203) 및 제휴 서비스(205)에 하나의 테넌트 ID를 할당하고, 관리자 롤을 갖는 유저 어카운트 및 인보커 롤을 갖는 유저 어카운트를 발행한다.
도 13은 각각의 테넌트에 대해 사용되지 않는 유저 어카운트들을 자동 삭제하는 절차를 도시하는 플로우차트이다. 본 처리는 액세스 관리 서비스(204)를 제공하는 서버의 CPU가 저장 유닛으로서 기능하는 ROM 등에 저장된 프로그램을 RAM 등에 판독해서 그것을 실행할 때 실현된다.
테넌트 테이블(1200)의 유저 어카운트 삭제 조건(1202)에 기초하여, 액세스 관리 서비스(204)는 사용할 삭제 조건을 판정한다(단계 S1301). 삭제 조건이 "0"인 경우, 액세스 관리 서비스(204)는 테넌트 ID에 연관된 유저 어카운트들을 자동삭제하지 않는다. 삭제 조건이 "1"인 경우, 액세스 관리 서비스(204)는 도 7a에 도시된 유저 테이블(700)로부터, 대응하는 테넌트 ID를 갖는 유저 어카운트 레코드들 중, 현재 날짜/시간과 마지막 로그인 날짜/시간(704)의 차가 설정 임계(1203)보다 큰 레코드를 삭제한다(단계 S1302). 즉, 마지막 로그인 날짜/시간 후 소정의 시간이 경과한 유저 어카운트를 삭제 대상으로 한다. 삭제 대상은 일반 유저 롤(User)만을 갖는 유저 어카운트라고 가정한다.
삭제 조건이 "2"인 경우, 액세스 관리 서비스(204)는 유저 테이블(700)로부터 대응하는 테넌트에 속하는 유저 어카운트들의 총 수를 취득한다(단계 S1303). 대상의 유저 어카운트는 일반 유저 롤만을 갖는 유저 어카운트라고 가정한다. 액세스 관리 서비스(204)는 N으로 표현되는, 유저 어카운트들의 총 수와 대응하는 설정 임계 간의 차를 계산한다(단계 S1304). 액세스 관리 서비스(204)는 N이 "0"보다 큰지를 판정한다(단계 S1305). N이 "0"보다 크면(단계 S1305에서 예), 액세스 관리 서비스(204)는 대상의 유저 어카운트들을 그들의 마지막 로그인 날짜/시간에 기초하여 오름 차순으로 소트(sort)하고, 선두의 N개의 유저 어카운트들을 유저 테이블(700)로부터 삭제한다(단계 S1306). 즉, 소정의 어카운트 수를 초과할 경우, 합계 어카운트 수와 소정의 어카운트 수 간의 차와 동일한 수의 유저 어카운트들을 오름 차순으로 삭제 대상으로 한다.
본 처리를, 예를 들어, 하루에 1회씩 정기적인 시간 간격을 두고 실행함으로써, 삭제 조건이 "1" 또는 "2"로 설정된 테넌트로부터 사용되지 않는 유저 어카운트들을 가장 오래된 것부터 자동 삭제할 수 있다. 그 결과, 인증 데이터 관리 유닛(403)의 관리 대상데이터 사이즈를 감소시킬 수 있다. 본 발명은 본 처리를 하루에 1회씩 실행하는 전술한 경우에 한정되지 않고, 처리는 소정의 시간 간격을 두고 실행될 수 있다는 것을 유의한다. 또한, 처리는 관리자로부터의 지시에 응답하여 개시할 수 있다.
도 14는 각각의 테넌트에 대해 오래된 토큰들을 삭제하는 절차를 도시하는 플로우차트이다. 이 토큰 삭제 처리는, 액세스 관리 서비스(204)를 제공하는 서버의 CPU가 저장 유닛으로서 기능하는 ROM 등에 저장된 프로그램을 RAM 등에 판독해서 그것을 실행할 때 실현된다.
현재 날짜/시간과 발행 날짜/시간(803) 간의 차(초 수)가 유효 기한(802)보다 클 경우, 해당 토큰은 기한 만료되었기 때문에, 액세스 관리 서비스(204)는 토큰 테이블(800)로부터 그 레코드를 삭제한다(단계 S1401).
본 처리를, 예를 들어, 하루에 1회씩 정기적인 간격으로 실행함으로써, 사용되지 않는 기한 만료된 토큰들을 자동적으로 삭제할 수 있다. 그 결과, 인가 토큰 관리 유닛(404)의 관리 대상 데이터 사이즈를 감소시킬 수 있다. 본 발명은 본 처리를 하루에 1회씩 실행하는 전술한 경우에 한정되지 않고, 처리는 소정의 주기로 실행될 수 있다는 것을 유의한다. 또한, 처리는 관리자로부터의 지시에 응답하여 개시할 수 있다.
도 13 및 도 14에 도시된 방법들을 이용하여, 각각의 테넌트에 대해, 사용되지 않는 유저 어카운트들의 자동 삭제 처리를 적용할지를 선택할 수 있다. 본 실시 형태에 있어서, 전술한 제1 이용 방법에 이용되는 유료 라이센스를 갖는 테넌트에 대하여는, 유저 어카운트의 자동 삭제 처리를 적용하지 않는다는 것을 유의한다. 이것은, 제1 이용 방법에 있어서, 유저가 해약하지 않으면, 라이센스 요금을 회수할 수 있으므로, 유저 어카운트 데이터를 유지하는 비용을 조달할 수 있기 때문이다. 유료 라이센스 유저의 경우, 사용되지 않는 유저 어카운트를 자동 삭제한다고 가정한다. 유저가 동일한 유저 어카운트를 재이용하고 싶을 경우, 그는/그녀는 유료 라이센스 유저일지라도, 그는/그녀는 불편을 경험한다.
한편, 전술한 제2 이용 방법에 있어서, 무료 유저 어카운트들을 수용하기 위한 테넌트에는 유저 어카운트들의 자동 삭제 처리를 적용한다. 소비자 유저들 등의 다수의 유저 어카운트들을 수용할 때 데이터의 총량이 억제됨으로써, 유저 어카운트 데이터 관리 비용을 절약할 수 있다. 또한, 유저 어카운트 데이터베이스(105)의 증가를 방지할 수 있고, 제1 이용 방법에서 이용되는 테넌트의 유저들에의 영향을 감소시킬 수 있다.
[제2 이용 방법에 대한 어카운트의 재작성 방법]
도 15 및 도 16은 인가 토큰 취득 요구를 송신할 때 유저 어카운트가 존재하지 않을 경우에 인가 토큰을 자동적으로 생성(재생성)하고 발행하는 절차를 도시하는 플로우차트이다.
문서 관리 서비스(202)는 프린터 관리 서비스(203)에 인쇄 요구를 송신한다(단계 S1501). 프린터 관리 서비스(203)는 수신된 인쇄 요구에 응답하여, 제휴 서비스(205)에 인가 토큰 취득 요구를 송신한다(단계 S1502). 인수로서, 테넌트 관리자 유저 ID, 테넌트 관리자 패스워드, 테넌트 관리자 인가 토큰, 일반 유저 ID, 일반 유저 패스워드, 및 일반 유저 인가 토큰이 전달된다.
프린터 관리 서비스(203)는 도 6에 도시된 바와 같이 ID 관리 테이블(600)에 프린터 ID(601), 및 각각의 프린터에 대한 액세스 관리 서비스(204)의 유저 ID(602), 패스워드(603), 및 인가 토큰(604)을 유지한다. 즉, 프린터 관리 서비스(203)는 각각의 프린터에 대해, 프린터 고유의 값인 프린터 ID(601)와 액세스 관리 서비스(204)의 유저 ID(602)의 쌍을 유지한다. 이에 의해, 도 11에 도시된 단계 S1115에서 제휴 서비스(205)로부터 인쇄 데이터 URL의 통지를 수신하면, 프린터 관리 서비스(203)는 유저 ID(602)와 쌍이 되어 있는 프린터 ID(601)를 특정한다. 이에 의해, 프린터 관리 서비스(203)는 인쇄 데이터 URL을 적절한 프린터(212)에 전송할 수 있다.
유저가 본 시스템에 처음으로 액세스하면, 프린터 관리 서비스(203)는 고유의 유저 ID(602) 및 랜덤한 패스워드(603)를 생성하고, 널(null)의 인가 토큰에 의해 인가 토큰 취득 요구를 인보크한다(단계 S1502). 제휴 서비스(205)는 프린터 관리 서비스(203)에 의해 전달된 인가 토큰을 판정한다(단계 S1503). 인가 토큰이 널인 경우, 즉, 인가 토큰이 발행되지 않은 경우(단계 S1503에서 예), 처리는 단계 S1504로 진행한다. 인가 토큰이 발행되었으면(단계 S1503에서 아니오), 처리는 단계 S1507로 진행한다. 인가 토큰이 발행되지 않았으면, 제휴 서비스(205)는 관리자 유저 ID를 이용하여 액세스 관리 서비스(204)에 로그인한다(단계 S1504). 단계 S1504의 처리는 서브루틴이며, 도 17에 도시된다.
제휴 서비스(205)는 액세스 관리 서비스(204)에 대하여 유저 로그인 처리를 인보크한다(단계 S1701). 인수로서, 테넌트 관리자 유저 ID와 테넌트 관리자 패스워드가 전달된다. 로그인 처리가 성공했으면, 응답으로서 테넌트 관리자 인증 토큰이 리턴된다(단계 S1702). 로그인 처리가 실패했으면, 처리는 비정상적으로 종료한다는 것을 유의한다.
유저 로그인 처리 후, 제휴 서비스(205)는 액세스 관리 서비스(204)에 일반 유저 작성의 요구를 송신한다(단계 S1505). 이때, 인수로서, 테넌트 관리자 인증 토큰 및 유저 정보가 전달된다. 유저 정보는 유저 ID(602) 및 패스워드(603)를 포함한다. 액세스 관리 서비스(204)는 일반 유저를 성공적으로 작성했다면, 일반 유저가 성공적으로 작성된 것을 나타내는 응답을 제휴 서비스(205)에 회신한다(단계 S1506). 그 후, 처리는 도 16의 기호 A로 진행한다.
한편, 인가 토큰이 발행되었다면(단계 S1503에서 아니오), 제휴 서비스(205)는 액세스 관리 서비스(204)에 인가 토큰 정보 취득 요구를 송신한다(단계 S1507). 이때, 인수로서, 인보커 ID, 인보커 패스워드, 일반 유저 ID, 일반 유저 패스워드, 및 일반 유저의 인가 토큰이 전달된다. 액세스 관리 서비스(204)는 유저 테이블(700) 및 유저 롤 테이블(710)을 검사하고, 제휴 서비스(205)로부터 수신된 인보커 ID와 인보커 패스워드가 유효한지를 검증한다. 이것은, 액세스 관리 서비스(204)를 인보크한 제휴 서비스(205)가 유효한 인보커 ID와 인보커 패스워드를 사용하고 있는지를 검증하기 위해 행해진다.
검증이 성공했다면, 액세스 관리 서비스(204)는 수신된 일반 유저 ID와 일반 유저 패스워드를 이용하여 인보커에 의한 대리 인증을 행하기 위해 시도한다. 액세스 관리 서비스(204)는 유저 테이블(700) 및 유저 롤 테이블(710)을 검사하여, 일반 유저 ID가 존재하고 일반 유저 패스워드가 유효한지를 검증한다. 일반 유저 ID와 일반 유저 패스워드가 유효하다고 판정되면, 대리 인증은 성공이다. 이 경우, 액세스 관리 서비스(204)는 요구된 일반 유저에 대한 인가 토큰, 발행 날짜/시간, 유효 기한을 토큰 테이블(800)로부터 취득하고, 그들을 제휴 서비스(205)에 리턴한다(단계 S1508). 대리 인증이 실패했다면, 액세스 관리 서비스(204)는 그 취지를 나타내는 정보를 제휴 서비스(205)에 리턴한다.
제휴 서비스(205)는 단계 S1508에서 리턴된 정보가 일반 유저 대리 인증 에러 등의 예외를 나타내는지를 판정한다(단계 S1509). 일반 유저 대리 인증의 에러라고 판정되면(단계 S1509에서 예), 처리는 단계 S1510으로 진행한다. 에러가 아니라고 판정되면(단계 S1509에서 아니오), 처리는 도 16의 기호 B로 진행한다. 일반 유저 대리 인증의 에러라고 판정되면, 제휴 서비스(205)는 관리자 유저 ID를 이용하여 액세스 관리 서비스(204)에 로그인한다(단계 S1510). 단계 S1510의 처리는 단계 S1504와 같이 도 17에 도시된 서브루틴이다. 유저 로그인 처리 후, 제휴 서비스(205)는 액세스 관리 서비스(204)에 유저 정보 취득 요구를 송신한다(단계 S1511). 이때, 인수로서, 테넌트 관리자 인증 토큰 및 일반 유저 ID가 전달된다. 액세스 관리 서비스(204)는 요구된 유저 ID를 유저 테이블(700)에서 검색하여, 유저 정보를 제휴 서비스(205)에 리턴한다(단계 S1512). 이때, 삭제된 유저 어카운트와 동일한 유저 어카운트(유저 ID)가 재작성된다. 액세스 관리 서비스(204)는 예를 들어, 대상 유저가 존재하지 않는 예외가 발생한 경우, 그 취지를 나타내는 정보를 제휴 서비스(205)에 리턴한다.
제휴 서비스(205)는 단계 S1512에서 리턴된 정보가 대상 유저가 존재하지 않는 예외를 나타내는지를 판정한다(단계 S1513). 대상 유저가 존재하지 않는다고 판정되면(단계 S1513에서 예), 처리는 단계 S1505로 진행하여 제휴 서비스(205)가 이전엔 존재했지만 자동 삭제되어버린 유저 어카운트를 재작성하고, 그렇지 않으면(단계 S1513에서 아니오), 단계 S1513에서 대상 유저는 존재한다고 판정되지만, 단계 S1509에서의 해당 유저의 인증이 실패하게 된다. 그 때문에, 제휴 서비스(205)는 에러 처리에 있어서 인가 토큰 취득 요구에 대한 응답으로서 프린터 관리 서비스(203)에 "실패"를 리턴한다(단계 S1514).
도 16을 참조하여 기호 B로부터의 처리를 설명한다. 제휴 서비스(205)는 단계 S1508에서 리턴된 인가 토큰이 이미 토큰 테이블(800)로부터 삭제되었는지, 또는 기한 만료되었는지를 판정한다(단계 S1601). 인가 토큰이 삭제되지 않았거나 또는 기한 만료되지 않았다면, 즉, 인가 토큰이 유효하다고 판정되면(단계 S1601에서 아니오), 처리는 단계 S1604로 진행한다. 인가 토큰이 삭제되었거나 또는 기한 만료되었다고 판정되면(단계 S1601에서 예), 처리는 단계 S1602로 진행한다.
처리가 기호 A로부터 계속할 경우, 제휴 서비스(205)는 액세스 관리 서비스(204)에 새로 작성된 유저 어카운트에 대한 인가 토큰을 취득하도록 요구한다(단계 S1602). 처리가 단계 S1601로부터 단계 S1602로 진행할 경우, 인가 토큰이 삭제되었거나 또는 기한 만료되었기 때문에, 제휴 서비스(205)는 액세스 관리 서비스(204)에 인가 토큰의 재발행을 요구한다(단계 S1602). 이때, 인수로서, 인보커 ID, 인보커 패스워드, 일반 유저 ID, 일반 유저 패스워드, 및 유효 기한이 전달된다.
액세스 관리 서비스(204)는 인가 토큰을 발행 또는 재발행하고, 그것을 토큰 테이블(800)에 기록하고, 응답으로서, 토큰 ID(801), 발행 날짜/시간(803), 및 유효 기한(802)을 제휴 서비스(205)에 리턴한다(단계 S1603). 마지막으로, 제휴 서비스(205)는 프린터 관리 서비스(203)에 인가 토큰 취득 요구에 대한 응답을 리턴한다(단계 S1604). 이때, 발행 또는 재발행된 일반 유저의 인가 토큰이 리턴된다. 프린터 관리 서비스(203)는 발행된 인가 토큰을 ID 관리 테이블(600)의 인가 토큰(604)의 컬럼에 저장한다. 그 후, 프린터 관리 서비스(203)는 도 11에 도시된 후속의 처리를 계속한다.
도 13 및 도 14는 사용되지 않는 유저 어카운트들의 자동 삭제 방법 및 토큰들의 자동 삭제 방법을 도시한다. 도 15 내지 도 17은 자동 삭제된 유저 어카운트가 요구될 때 유저 어카운트를 자동 재작성하고 인가 토큰을 자동 발행하는 방법을 도시한다. 전술한 방법들을 조합함으로써, 전술한 바와 같은 제2 이용 방법에 있어서 다수의 무료 유저 어카운트들이 등록될 경우, 유저 어카운트들의 총 수를 억제할 수 있어서, 액세스 관리 서비스(204)의 관리 데이터 사이즈를 감소시킬 수 있다.
또한, 제2 이용 방법을 이용하는 외부 서비스의 다수의 유저 어카운트들을 1개의 테넌트에 수용할 수 있고, 그 데이터 사이즈를 감소시킬 수 있으므로, 제1 이용 방법을 이용하는 테넌트에의 영향을 감소시킬 수 있다. 이것은, 제2 이용 방법에서 다수의 유저 어카운트들을 등록할 경우, 액세스 관리 서비스의 유저 어카운트 데이터베이스의 증가 및 운용 비용의 증가라는 문제들을 해결할 수 있게 해준다. 또한, 유저 어카운트가 자동 삭제된 후에도, 동일한 유저 ID가 재작성된다. 그러므로, 유저 ID를 키로서 이용하여 기록되는 로그 서비스(207)의 로그가 소급적으로 일관성을 유지한다.
본 발명의 특징들은, 전술한 실시 형태(들)의 기능들을 수행하기 위해 메모리 디바이스에 기록된 프로그램을 판독하여 실행하는 시스템 또는 장치의 컴퓨터(또는 CPU 또는 MPU 등과 같은 디바이스들)에 의해 구현될 수도 있고, 또한 전술한 실시 형태(들)의 기능들을 수행하기 위해 메모리 디바이스에 기록된 프로그램을 판독하여 실행하는, 예를 들면, 시스템 또는 장치의 컴퓨터에 의해 수행되는 단계들을 포함하는 방법에 의해 구현될 수도 있다. 이를 위해, 프로그램은, 예를 들면, 네트워크를 통해 또는 메모리 디바이스로서 기능하는 다양한 종류의 기록 매체(예를 들면, 컴퓨터 판독가능 매체)로부터 컴퓨터에 제공된다.
본 발명은 예시적인 실시 형태들을 참조하여 설명되었지만, 본 발명은 개시된 예시적인 실시 형태들로 한정되지 않는다는 것을 이해할 것이다. 하기의 청구항들의 범위는 그러한 변경 및 등가의 구조와 기능을 모두 포괄하도록 최광의의 해석에 따라야 한다.

Claims (12)

  1. 유저 어카운트들, 및 상기 유저 어카운트들에 대응하는 토큰들을 관리하는 액세스 관리 서버, 및 복수의 서비스의 처리들을 서로 제휴시키는 제휴 서버를 포함하는 액세스 관리 시스템으로서,
    상기 액세스 관리 서버는,
    상기 제휴 서버의 요구에 응답하여, 관리되는 유저 어카운트에 대응하는 토큰을 발행하도록 구성된 발행 유닛, 및
    관리되는 유저 어카운트들 중, 미리 정해진 삭제 조건을 충족시키는 유저 어카운트를 삭제하도록 구성된 어카운트 삭제 유닛을 포함하고,
    상기 제휴 서버는,
    상기 액세스 관리 서버에 의해 관리되는 유저 어카운트에 대응하는 토큰의 취득이 다른 서버에 의해 요구될 때, 상기 어카운트 삭제 유닛이 그 유저 어카운트를 삭제하지 않은 경우, 그 유저 어카운트에 대응하는 발행된 토큰을 취득하고, 상기 어카운트 삭제 유닛이 그 유저 어카운트를 이미 삭제한 경우, 그 유저 어카운트를 상기 액세스 관리 서버에 재등록시켜서, 재등록된 유저 어카운트에 대해 발행된 토큰을 취득하도록 구성된 취득 유닛을 포함하는, 액세스 관리 시스템.
  2. 제1항에 있어서,
    상기 액세스 관리 서버는 상기 유저 어카운트들에 대해 발행된 토큰들 중 기한 만료된 토큰을 삭제하도록 구성된 토큰 삭제 유닛을 더 포함하고,
    상기 제휴 서버는, 상기 취득 유닛에 의해 취득된 발행된 토큰이 기한 만료된 경우, 상기 발행 유닛에 토큰을 재발행하게 요구하도록 구성된 요구 유닛을 더 포함하고,
    상기 취득 유닛에 의해 재등록된 유저 어카운트에 대응하는 토큰을 상기 토큰 삭제 유닛이 삭제했을 경우, 상기 요구 유닛은 재등록된 유저 어카운트에 대응하는 토큰을 재발행하도록 상기 발행 유닛에 요구하는, 액세스 관리 시스템.
  3. 제1항에 있어서,
    상기 액세스 관리 서버는,
    각각의 유저 어카운트가 속하는 테넌트의 정보를 유저 어카운트와 연관시켜서 관리하여, 각각의 테넌트 정보에 대해, 상기 어카운트 삭제 유닛이 삭제를 행하는 상기 조건을 설정하고,
    상기 액세스 관리 서버가 관리하는 유저 어카운트들 중, 상기 다른 서버가 관리하지 않는 유저 어카운트들에 대한 테넌트 정보와는 다른 테넌트 정보를 상기 다른 서버가 관리하는 유저 어카운트들과 연관시켜 관리하여, 상기 다른 서버가 관리하지 않는 유저 어카운트들을 삭제하지 않도록 제어하는, 액세스 관리 시스템.
  4. 제1항에 있어서,
    상기 어카운트 삭제 유닛이 삭제를 행하는 조건은,
    상기 어카운트 삭제 유닛에 의한 삭제를 실행하지 않는 것,
    마지막 로그인 처리 후 미리 정해진 기간이 경과한 유저 어카운트를 삭제하는 것, 및
    어카운트들의 미리 정해진 수가 초과될 경우, 로그인 날짜/시간에 기초하여 유저 어카운트들을 연대기 순서로 삭제하는 것 중 하나인, 액세스 관리 시스템.
  5. 제1항에 있어서,
    상기 취득 유닛은 상기 어카운트 삭제 유닛에 의해 삭제되었던 유저 어카운트와 동일한 유저 어카운트를 재등록하고, 그 유저 어카운트를 이용하여 실행된 처리의 로그를 그 유저 어카운트와 연관시켜 유지하는, 액세스 관리 시스템.
  6. 제1항에 있어서,
    상기 어카운트 삭제 유닛은 미리 정해진 시간 간격을 두고, 또는 관리자의 지시에 응답하여 삭제를 행하는, 액세스 관리 시스템.
  7. 제1항에 있어서,
    상기 제휴 서버는 상기 다른 서버가 발행한 토큰을 이용하여 상기 다른 서버가 제공하는 서비스를 이용하는, 액세스 관리 시스템.
  8. 유저 어카운트들, 및 상기 유저 어카운트들에 대응하는 토큰들을 관리하는 액세스 관리 서버, 및 복수의 서비스의 처리들을 서로 제휴시키는 제휴 서버를 포함하는 액세스 관리 시스템의 상기 액세스 관리 서버로서,
    상기 제휴 서버의 요구에 응답하여, 관리되는 유저 어카운트에 대응하는 토큰을 발행하도록 구성된 발행 유닛, 및
    관리되는 유저 어카운트들 중, 미리 정해진 삭제 조건을 충족시키는 유저 어카운트를 삭제하도록 구성된 어카운트 삭제 유닛을 포함하는, 액세스 관리 서버.
  9. 유저 어카운트들, 및 상기 유저 어카운트들에 대응하는 토큰들을 관리하는 액세스 관리 서버, 및 복수의 서비스의 처리들을 서로 제휴시키는 제휴 서버를 포함하는 액세스 관리 시스템의 상기 제휴 서버로서,
    상기 액세스 관리 서버에 의해 관리되는 유저 어카운트에 대응하는 토큰의 발행이 다른 서버에 의해 요구될 때, 상기 액세스 관리 서버가 그 유저 어카운트를 삭제하지 않은 경우, 그 유저 어카운트에 대응하는 발행된 토큰을 취득하고, 상기 액세스 관리 서버가 이미 그 유저 어카운트를 삭제했을 경우, 그 유저 어카운트를 상기 액세스 관리 서버에 재등록시켜서, 재등록된 유저 어카운트에 대해 발행된 토큰을 취득하도록 구성된 취득 유닛을 포함하는, 제휴 서버.
  10. 유저 어카운트들, 및 상기 유저 어카운트들에 대응하는 토큰들을 관리하는 액세스 관리 서버, 및 복수의 서비스의 처리들을 서로 제휴시키는 제휴 서버를 포함하는 액세스 관리 시스템의 액세스 관리 방법으로서,
    상기 액세스 관리 서버에 있어서의,
    상기 제휴 서버의 요구에 응답하여, 관리되는 유저 어카운트에 대응하는 토큰을 발행하는 발행 단계, 및
    관리되는 유저 어카운트들 중, 미리 정해진 삭제 조건을 충족시키는 유저 어카운트를 삭제하는 어카운트 삭제 단계, 및
    상기 제휴 서버에 있어서의,
    상기 액세스 관리 서버에 의해 관리되는 유저 어카운트에 대응하는 토큰의 취득이 다른 서버에 의해 요구될 때, 그 유저 어카운트가 상기 어카운트 삭제 단계에서 삭제되지 않은 경우, 그 유저 어카운트에 대응하는 발행된 토큰을 취득하고, 그 유저 어카운트가 상기 어카운트 삭제 단계에서 이미 삭제된 경우, 그 유저 어카운트를 상기 액세스 관리 서버에 재등록시켜서, 재등록된 유저 어카운트에 대해 발행된 토큰을 취득하는 취득 단계를 포함하는, 액세스 관리 방법.
  11. 컴퓨터를,
    복수의 서비스의 처리들을 서로 제휴시키는 제휴 서버의 요구에 응답하여, 관리되는 유저 어카운트에 대응하는 토큰을 발행하도록 구성된 발행 유닛, 및
    관리되는 유저 어카운트들 중, 미리 정해진 삭제 조건을 충족시키는 유저 어카운트를 삭제하도록 구성된 어카운트 삭제 유닛으로서 기능시키는 프로그램을 저장한 컴퓨터 판독가능 매체.
  12. 컴퓨터를,
    액세스 관리 서버에 의해 관리되는 유저 어카운트에 대응하는 토큰의 발행이 다른 서버에 의해 요구될 때, 상기 액세스 관리 서버가 그 유저 어카운트를 삭제하지 않은 경우, 그 유저 어카운트에 대응하는 발행된 토큰을 취득하고, 상기 액세스 관리 서버가 이미 그 유저 어카운트를 삭제했을 경우, 그 유저 어카운트를 상기 액세스 관리 서버에 재등록시켜서, 재등록된 유저 어카운트에 대해 발행된 토큰을 취득하도록 구성된 취득 유닛으로서 기능시키는 프로그램을 저장한 컴퓨터 판독가능 매체.
KR1020120087176A 2011-08-19 2012-08-09 액세스 관리 시스템, 액세스 관리 방법, 액세스 관리 서버, 제휴 서버, 및 컴퓨터 판독가능 매체 KR101506767B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2011179912A JP5759305B2 (ja) 2011-08-19 2011-08-19 アクセス管理システム、アクセス管理方法、アクセス管理サーバ、連携サーバ、およびプログラム
JPJP-P-2011-179912 2011-08-19

Publications (2)

Publication Number Publication Date
KR20130020573A true KR20130020573A (ko) 2013-02-27
KR101506767B1 KR101506767B1 (ko) 2015-03-27

Family

ID=46796288

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120087176A KR101506767B1 (ko) 2011-08-19 2012-08-09 액세스 관리 시스템, 액세스 관리 방법, 액세스 관리 서버, 제휴 서버, 및 컴퓨터 판독가능 매체

Country Status (5)

Country Link
US (1) US8745711B2 (ko)
EP (1) EP2560339B1 (ko)
JP (1) JP5759305B2 (ko)
KR (1) KR101506767B1 (ko)
CN (1) CN102957687B (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170067660A (ko) * 2015-12-08 2017-06-16 캐논 가부시끼가이샤 인가 서버, 인증 제휴 시스템 및 프로그램을 저장한 저장 매체

Families Citing this family (44)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0620674B2 (ja) * 1985-09-11 1994-03-23 津田工業株式会社 ユニバ−サルジヨイントのスパイダの製造方法
US8776214B1 (en) 2009-08-12 2014-07-08 Amazon Technologies, Inc. Authentication manager
US11444936B2 (en) 2011-07-29 2022-09-13 Amazon Technologies, Inc. Managing security credentials
US9767262B1 (en) 2011-07-29 2017-09-19 Amazon Technologies, Inc. Managing security credentials
US10362019B2 (en) 2011-07-29 2019-07-23 Amazon Technologies, Inc. Managing security credentials
JP5759305B2 (ja) * 2011-08-19 2015-08-05 キヤノン株式会社 アクセス管理システム、アクセス管理方法、アクセス管理サーバ、連携サーバ、およびプログラム
US8863250B2 (en) 2012-02-01 2014-10-14 Amazon Technologies, Inc. Logout from multiple network sites
US8955065B2 (en) 2012-02-01 2015-02-10 Amazon Technologies, Inc. Recovery of managed security credentials
KR101515043B1 (ko) * 2012-08-30 2015-04-24 한국전자통신연구원 협업 서비스 제공 서버 및 그 방법, 소셜리티 관리 서버
US9529629B2 (en) 2012-12-20 2016-12-27 Bank Of America Corporation Computing resource inventory system
US9189644B2 (en) 2012-12-20 2015-11-17 Bank Of America Corporation Access requests at IAM system implementing IAM data model
US9537892B2 (en) 2012-12-20 2017-01-03 Bank Of America Corporation Facilitating separation-of-duties when provisioning access rights in a computing system
US9477838B2 (en) 2012-12-20 2016-10-25 Bank Of America Corporation Reconciliation of access rights in a computing system
US9542433B2 (en) 2012-12-20 2017-01-10 Bank Of America Corporation Quality assurance checks of access rights in a computing system
US9639594B2 (en) 2012-12-20 2017-05-02 Bank Of America Corporation Common data model for identity access management data
US9282098B1 (en) * 2013-03-11 2016-03-08 Amazon Technologies, Inc. Proxy server-based network site account management
US10223926B2 (en) 2013-03-14 2019-03-05 Nike, Inc. Skateboard system
EP2973406B1 (en) 2013-03-14 2019-11-27 NIKE Innovate C.V. Athletic attribute determinations from image data
JP6141076B2 (ja) * 2013-04-04 2017-06-07 キヤノン株式会社 システムおよびその制御方法、アクセス管理サービスシステムおよびその制御方法、並びにプログラム
JP5821903B2 (ja) * 2013-06-13 2015-11-24 コニカミノルタ株式会社 クラウドサーバー、クラウド印刷システムおよびコンピュータープログラム
JP6070466B2 (ja) 2013-07-31 2017-02-01 ブラザー工業株式会社 端末装置とプリンタ
WO2015035197A1 (en) * 2013-09-05 2015-03-12 Nike, Inc. Conducting sessions with captured image data of physical activity and uploading using token-verifiable proxy uploader
JP6354132B2 (ja) 2013-10-09 2018-07-11 富士ゼロックス株式会社 中継装置、中継システム及びプログラム
US9426156B2 (en) * 2013-11-19 2016-08-23 Care Innovations, Llc System and method for facilitating federated user provisioning through a cloud-based system
US10475018B1 (en) 2013-11-29 2019-11-12 Amazon Technologies, Inc. Updating account data for multiple account providers
JP2016081443A (ja) * 2014-10-22 2016-05-16 富士ゼロックス株式会社 情報処理装置及び情報処理プログラム
CN105681384B (zh) * 2014-11-21 2019-04-09 阿里巴巴集团控股有限公司 一种信息的过期处理方法及装置
JP6489835B2 (ja) 2015-01-09 2019-03-27 キヤノン株式会社 情報処理システム、情報処理装置の制御方法、及びプログラム
JP2016134007A (ja) * 2015-01-20 2016-07-25 株式会社リコー 情報処理システム、情報処理装置、機器、情報処理方法、及びプログラム
JP6529376B2 (ja) * 2015-07-29 2019-06-12 キヤノン株式会社 印刷装置とその制御方法、及びプログラム
US11102188B2 (en) * 2016-02-01 2021-08-24 Red Hat, Inc. Multi-tenant enterprise application management
US10303653B2 (en) * 2016-04-22 2019-05-28 Microsoft Technology Licensing, Llc Automatic computer user account management on multi account computer system
JP6668934B2 (ja) * 2016-05-12 2020-03-18 株式会社リコー サービス提供システム、サービス提供装置、サービス提供方法、プログラム
JP6658628B2 (ja) * 2017-03-13 2020-03-04 京セラドキュメントソリューションズ株式会社 画像形成システム
US10715610B2 (en) * 2017-12-15 2020-07-14 Slack Technologies, Inc. System, method, and apparatus for generating a third party resource usage map in a group based communication system
JP6965786B2 (ja) * 2018-02-19 2021-11-10 ブラザー工業株式会社 通信装置
JP7034478B2 (ja) * 2018-03-13 2022-03-14 株式会社イシダ 検索システム、検索装置、及び検索プログラム
JP2018185833A (ja) * 2018-06-28 2018-11-22 キヤノンマーケティングジャパン株式会社 情報処理装置、情報処理システム、情報処理方法、プログラム
CN112470150A (zh) * 2018-10-22 2021-03-09 松下电器(美国)知识产权公司 控制方法、内容管理系统、程序及数据结构
JP7247692B2 (ja) * 2019-03-22 2023-03-29 富士フイルムビジネスイノベーション株式会社 トークン管理装置及びトークン管理プログラム
JP6731195B2 (ja) * 2019-07-05 2020-07-29 ブラザー工業株式会社 端末装置とプリンタ
CN110554914B (zh) * 2019-07-15 2022-11-04 厦门网宿有限公司 资源锁管理方法、装置、服务器及存储介质
CN113676452B (zh) * 2021-07-15 2024-01-09 北京思特奇信息技术股份有限公司 基于一次性密钥的重放攻击抵御方法及系统
CN115412748A (zh) * 2022-07-26 2022-11-29 海南视联通信技术有限公司 业务处理方法、装置、电子设备及计算机可读存储介质

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3454500B2 (ja) * 1999-06-16 2003-10-06 インターナショナル・ビジネス・マシーンズ・コーポレーション 情報処理方法、コラボレーション・サーバ、コラボレーション・システム、情報処理プログラムを格納する記憶媒体
US6993658B1 (en) * 2000-03-06 2006-01-31 April System Design Ab Use of personal communication devices for user authentication
US6413213B1 (en) * 2000-04-18 2002-07-02 Roche Diagnostics Corporation Subscription based monitoring system and method
US7269853B1 (en) * 2003-07-23 2007-09-11 Microsoft Corporation Privacy policy change notification
JP2005327189A (ja) * 2004-05-17 2005-11-24 Nec Soft Ltd サーバ、認証交換システム及びリクエスト中継方法
JP4630691B2 (ja) * 2005-03-03 2011-02-09 株式会社リコー データベース装置とその処理方法
JP2006270353A (ja) * 2005-03-23 2006-10-05 Konica Minolta Business Technologies Inc 画像処理装置、データ管理方法、およびコンピュータプログラム
JP4630800B2 (ja) * 2005-11-04 2011-02-09 キヤノン株式会社 印刷管理システムおよび印刷管理方法とプログラム
JP2007257233A (ja) * 2006-03-23 2007-10-04 Osaka Gas Co Ltd 設備機器の操作端末
EP2044023B1 (en) * 2006-07-14 2011-01-19 CHIESI FARMACEUTICI S.p.A. Derivatives of 1-phenyl-2-pyridynyl alkylene alcohols as phosphodiesterase inhibitors
US7603435B2 (en) * 2006-11-15 2009-10-13 Palm, Inc. Over-the-air device kill pill and lock
US8996409B2 (en) 2007-06-06 2015-03-31 Sony Computer Entertainment Inc. Management of online trading services using mediated communications
WO2009042763A1 (en) 2007-09-26 2009-04-02 Targus Group International, Inc. Serialized lock combination retrieval systems and methods
JP2009116658A (ja) * 2007-11-07 2009-05-28 Fuji Xerox Co Ltd 情報処理装置及びユーザ認証プログラム
WO2009084601A1 (ja) * 2007-12-27 2009-07-09 Nec Corporation アクセス権限管理システム、アクセス権限管理方法及びアクセス権限管理用プログラム
US8370265B2 (en) 2008-11-08 2013-02-05 Fonwallet Transaction Solutions, Inc. System and method for managing status of a payment instrument
US8204228B2 (en) * 2008-12-09 2012-06-19 Cisco Technology, Inc. Group key management re-registration method
JP5268785B2 (ja) * 2009-06-03 2013-08-21 株式会社野村総合研究所 Webサーバシステムへのログイン制限方法
JP5373493B2 (ja) * 2009-07-08 2013-12-18 株式会社エクサ Id管理プログラム
KR20110013816A (ko) * 2009-08-03 2011-02-10 주식회사 케이티 효율적인 서비스 가입자 인증을 위한 지역 db 관리 방법
US8336091B2 (en) * 2009-09-01 2012-12-18 Oracle International Corporation Multi-level authentication
US8381275B2 (en) * 2010-01-27 2013-02-19 International Business Machines Corporation Staged user deletion
JP5759305B2 (ja) * 2011-08-19 2015-08-05 キヤノン株式会社 アクセス管理システム、アクセス管理方法、アクセス管理サーバ、連携サーバ、およびプログラム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170067660A (ko) * 2015-12-08 2017-06-16 캐논 가부시끼가이샤 인가 서버, 인증 제휴 시스템 및 프로그램을 저장한 저장 매체

Also Published As

Publication number Publication date
JP5759305B2 (ja) 2015-08-05
CN102957687B (zh) 2015-08-19
US8745711B2 (en) 2014-06-03
KR101506767B1 (ko) 2015-03-27
JP2013041550A (ja) 2013-02-28
EP2560339B1 (en) 2015-03-04
EP2560339A2 (en) 2013-02-20
EP2560339A3 (en) 2013-05-22
CN102957687A (zh) 2013-03-06
US20130047247A1 (en) 2013-02-21

Similar Documents

Publication Publication Date Title
KR101506767B1 (ko) 액세스 관리 시스템, 액세스 관리 방법, 액세스 관리 서버, 제휴 서버, 및 컴퓨터 판독가능 매체
JP5820188B2 (ja) サーバおよびその制御方法、並びにプログラム
JP5932344B2 (ja) 権限委譲システム、アクセス管理サービスシステム、および権限委譲システムを制御する制御方法
JP5730082B2 (ja) プリントサーバ、印刷システム、制御方法、およびプログラム。
JP6089932B2 (ja) 画像形成装置、情報処理システム及びプログラム
US8051491B1 (en) Controlling use of computing-related resources by multiple independent parties
JP5458888B2 (ja) 証明書生成配布システム、証明書生成配布方法およびプログラム
US9584506B2 (en) Server apparatus, information processing method, program, and storage medium
US20150193600A1 (en) Rights management server and rights management method
JP2018205840A (ja) システム、その方法およびそのプログラム
JP2014203267A (ja) システムおよびその制御方法、アクセス管理サービスシステムおよびその制御方法、並びにプログラム
US9019525B2 (en) Printing system, control method for printing system, and storage medium
JP2003316458A (ja) 周辺機器管理システム、ジョブ送信方法
WO2013171879A1 (ja) ジョブ実行システム、ジョブ実行プログラム、ジョブ実行方法
JP6205946B2 (ja) サービス提供システム、情報収集方法及びプログラム
JP2011136484A (ja) 画像形成装置、画像形成装置の制御方法及びプログラム
JP7242430B2 (ja) システム、ネットワークデバイス、制御方法、およびプログラム
JP2015082183A (ja) 文書生成システム
JP2014186707A (ja) 文書生成システム
JP2016051385A (ja) ファイル管理システム、管理サーバ、ファイル管理方法およびコンピュータプログラム
JP2003216579A (ja) アクセス権制御システム、プログラムおよび記録媒体

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
FPAY Annual fee payment

Payment date: 20180226

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190322

Year of fee payment: 5