JP2010074431A - 外部認証を用いた認証機能連携機器、認証機能連携システム及び認証機能連携プログラム - Google Patents
外部認証を用いた認証機能連携機器、認証機能連携システム及び認証機能連携プログラム Download PDFInfo
- Publication number
- JP2010074431A JP2010074431A JP2008238624A JP2008238624A JP2010074431A JP 2010074431 A JP2010074431 A JP 2010074431A JP 2008238624 A JP2008238624 A JP 2008238624A JP 2008238624 A JP2008238624 A JP 2008238624A JP 2010074431 A JP2010074431 A JP 2010074431A
- Authority
- JP
- Japan
- Prior art keywords
- ticket
- information
- request
- authentication
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】ユーザが利用できる機能を制限しつつ一の機器を他の機器と連携させて一連の処理を行うことが容易な認証機能連携機器、認証機能連携システム及び認証機能連携プログラムを提供することを目的とする。
【解決手段】他の機器10からのリクエストに含まれるチケットに基づいて他の機器10と認証機能を連携させる認証機能連携機器20であって、証明書保管手段と、チケットの署名情報及び保管している他の機器10の証明書情報に基づきチケットの検証を行うチケット検証手段と、チケットの検証が失敗したときに、ユーザ識別子情報及びアクセス制御情報を外部の認証サーバから取得する識別情報検証手段と、ユーザ識別子情報及びアクセス制御情報が登録されるリポジトリ手段と、他の機器からのリクエストの処理を実行するかをユーザ識別子情報及びアクセス制御情報に基づいて判定するアクセス制御手段とを有することにより上記課題を解決する。
【選択図】 図1
【解決手段】他の機器10からのリクエストに含まれるチケットに基づいて他の機器10と認証機能を連携させる認証機能連携機器20であって、証明書保管手段と、チケットの署名情報及び保管している他の機器10の証明書情報に基づきチケットの検証を行うチケット検証手段と、チケットの検証が失敗したときに、ユーザ識別子情報及びアクセス制御情報を外部の認証サーバから取得する識別情報検証手段と、ユーザ識別子情報及びアクセス制御情報が登録されるリポジトリ手段と、他の機器からのリクエストの処理を実行するかをユーザ識別子情報及びアクセス制御情報に基づいて判定するアクセス制御手段とを有することにより上記課題を解決する。
【選択図】 図1
Description
本発明は、外部認証を用いた認証機能連携機器、認証機能連携システム及び認証機能連携プログラムに係り、特に他の機器と認証機能を連携させる、外部認証を用いた認証機能連携機器、認証機能連携システム及び認証機能連携プログラムに関する。
近年の情報処理技術及びネットワーク技術の進展に伴い、複合機(MFP)等の機器は他の機器と連携して一連の処理を行うことができるようになった。その一方、近年の情報セキュリティ意識の高まりに伴い、複合機等の機器はアクセス制御情報,利用制限情報やセキュリティポリシー等により、各ユーザが利用できるコピー機能,ファックス機能などの機能を予め設定している。
従来、アクセス制御情報,利用制限情報やセキュリティポリシー等は、複合機やサーバにて管理されるものが知られている(例えば特許文献1〜3参照)。
特開2008−134854号公報
特開2005−262864号公報
特開2008−134856号公報
例えばアクセス制御情報,利用制限情報やセキュリティポリシー等を用いてユーザが利用できる機能を制限しようとする場合、複合機等の機器はユーザに認証(秘密)情報の入力によりログインさせなければならない。したがって、複合機等の一の機器を他の機器と連携させて一連の処理を行おうとする場合、ユーザは一の機器と他の機器との両方にログインしなければならなかった。
また、複合機等の一の機器を他の機器と連携させて一連の処理を行おうとする場合はアクセス制御情報,利用制限情報やセキュリティポリシー等を、一の機器及び他の機器の両方に設定しておかなければならなかった。
しかしながら、アクセス制御情報,利用制限情報やセキュリティポリシー等を一の機器及び他の機器の両方に設定することは、ユーザの人数及び機器の数の増加に伴い手間が増大するという問題があった。
このように、利用制限情報やセキュリティポリシー等を用いてユーザが利用できる機能を制限しつつ、複合機等の一の機器を他の機器と連携させて一連の処理を行おうとすることは容易でないという問題があった。
本発明は、上記の点に鑑みなされたもので、ユーザが利用できる機能を制限しつつ一の機器を他の機器と連携させて一連の処理を行うことが容易な、外部認証を用いた認証機能連携機器、認証機能連携システム及び認証機能連携プログラムを提供することを目的とする。
上記課題を解決する為、本発明は、他の機器からリクエストを受信し、前記リクエストに含まれるチケットに基づいて前記他の機器と認証機能を連携させる、外部認証を用いた認証機能連携機器であって、前記チケットの検証に利用する前記他の機器の証明書情報を保管している証明書保管手段と、前記他の機器からのリクエストに含まれる前記チケットの署名情報及び前記証明書保管手段が保管している前記他の機器の証明書情報に基づき、前記チケットの検証を行うチケット検証手段と、前記チケットにユーザ識別子情報が存在しないという理由で前記チケットの検証が失敗したときに、前記チケットに含まれる認証コンポーネント情報に基づき、ユーザ識別子情報及びアクセス制御情報を外部の認証サーバから取得する識別情報検証手段と、前記外部の認証サーバから取得された前記ユーザ識別子情報及びアクセス制御情報が登録されるリポジトリ手段と、前記他の機器からのリクエストの処理を実行するか否かを、前記リポジトリ手段に登録された前記ユーザ識別子情報及びアクセス制御情報に基づいて判定するアクセス制御手段とを有することを特徴とする。
また、本発明は、他の機器へリクエストを送信するとき、前記リクエストに含ませたチケットに基づいて前記他の機器と認証機能を連携させ、他の機器からリクエストを受信したとき、前記リクエストに含まれるチケットに基づいて前記他の機器と認証機能を連携させる、外部認証を用いた認証機能連携機器であって、前記他の機器へリクエストを送信するとき、認証コンポーネント情報及びアクセス制御情報と、署名情報とを含む前記チケットを生成するチケット生成手段と、前記チケット生成手段が生成した前記チケットを、前記他の機器へのリクエストに含ませて送信する送信手段と、前記チケットの検証に利用する前記他の機器の証明書情報を保管している証明書保管手段と、前記他の機器からのリクエストに含まれる前記チケットの署名情報及び前記証明書保管手段が保管している前記他の機器の証明書情報に基づき、前記チケットの検証を行うチケット検証手段と、前記チケットにユーザ識別子情報が存在しないという理由で前記チケットの検証が失敗したときに、前記チケットに含まれる認証コンポーネント情報に基づき、ユーザ識別子情報及びアクセス制御情報を外部の認証サーバから取得する識別情報検証手段と、前記外部の認証サーバから取得された前記ユーザ識別子情報及びアクセス制御情報が登録されるリポジトリ手段と、前記他の機器からのリクエストの処理を実行するか否かを、前記リポジトリ手段に登録された前記ユーザ識別子情報及びアクセス制御情報に基づいて判定するアクセス制御手段とを有することを特徴とする。
また、本発明は、ユーザの操作する第1機器と、前記第1機器からのリクエストを受けて前記リクエストの処理を実行する第2機器とを有し、前記リクエストに含ませたチケットに基づいて前記第1機器と第2機器との認証機能を連携させる、外部認証を用いた認証機能連携システムであって、前記第2機器へリクエストを送信するとき前記リクエストに含ませたチケットに基づいて前記第2機器と認証機能を連携させる前記第1機器は、前記第2機器へリクエストを送信するとき、認証コンポーネント情報及びアクセス制御情報と、署名情報とを含む前記チケットを生成するチケット生成手段と、前記チケット生成手段が生成した前記チケットを、前記他の機器へのリクエストに含ませて送信する送信手段とを有し、前記第1機器からリクエストを受信すると前記リクエストに含まれるチケットに基づいて前記第1機器と認証機能を連携させる前記第2機器は、前記チケットの検証に利用する前記第1機器の証明書情報を保管している証明書保管手段と、前記第1機器からのリクエストに含まれる前記チケットの署名情報及び前記証明書保管手段が保管している前記第1機器の証明書情報に基づき、前記チケットの検証を行うチケット検証手段と、前記チケットにユーザ識別子情報が存在しないという理由で前記チケットの検証が失敗したときに、前記チケットに含まれる認証コンポーネント情報に基づき、ユーザ識別子情報及びアクセス制御情報を外部の認証サーバから取得する識別情報検証手段と、前記外部の認証サーバから取得された前記ユーザ識別子情報及びアクセス制御情報が登録されるリポジトリ手段と、前記第1機器からのリクエストの処理を実行するか否かを、前記リポジトリ手段に登録された前記ユーザ識別子情報及びアクセス制御情報に基づいて判定するアクセス制御手段とを有することを特徴とする。
また、本発明は、他の機器からリクエストを受信し、前記リクエストに含まれるチケットに基づいて前記他の機器と認証機能を連携させる、外部認証を用いた認証機能連携機器を、前記チケットの検証に利用する前記他の機器の証明書情報を保管している証明書保管手段と、前記他の機器からのリクエストに含まれる前記チケットの署名情報及び前記証明書保管手段が保管している前記他の機器の証明書情報に基づき、前記チケットの検証を行うチケット検証手段と、前記チケットにユーザ識別子情報が存在しないという理由で前記チケットの検証が失敗したときに、前記チケットに含まれる認証コンポーネント情報に基づき、ユーザ識別子情報及びアクセス制御情報を外部の認証サーバから取得する識別情報検証手段と、前記外部の認証サーバから取得された前記ユーザ識別子情報及びアクセス制御情報が登録されるリポジトリ手段と、前記他の機器からのリクエストの処理を実行するか否かを、前記リポジトリ手段に登録された前記ユーザ識別子情報及びアクセス制御情報に基づいて判定するアクセス制御手段として機能させるための認証機能連携プログラムであることを特徴とする。
また、本発明は、他の機器へリクエストを送信するとき、前記リクエストに含ませたチケットに基づいて前記他の機器と認証機能を連携させ、他の機器からリクエストを受信したとき、前記リクエストに含まれるチケットに基づいて前記他の機器と認証機能を連携させる、外部認証を用いた認証機能連携機器を、前記他の機器へリクエストを送信するとき、認証コンポーネント情報及びアクセス制御情報と、署名情報とを含む前記チケットを生成するチケット生成手段と、前記チケット生成手段が生成した前記チケットを、前記他の機器へのリクエストに含ませて送信する送信手段と、前記チケットの検証に利用する前記他の機器の証明書情報を保管している証明書保管手段と、前記他の機器からのリクエストに含まれる前記チケットの署名情報及び前記証明書保管手段が保管している前記他の機器の証明書情報に基づき、前記チケットの検証を行うチケット検証手段と、前記チケットにユーザ識別子情報が存在しないという理由で前記チケットの検証が失敗したときに、前記チケットに含まれる認証コンポーネント情報に基づき、ユーザ識別子情報及びアクセス制御情報を外部の認証サーバから取得する識別情報検証手段と、前記外部の認証サーバから取得された前記ユーザ識別子情報及びアクセス制御情報が登録されるリポジトリ手段と、前記他の機器からのリクエストの処理を実行するか否かを、前記リポジトリ手段に登録された前記ユーザ識別子情報及びアクセス制御情報に基づいて判定するアクセス制御手段として機能させるための認証機能連携プログラムであることを特徴とする。
なお、本発明の構成要素、表現または構成要素の任意の組合せを、方法、装置、システム、コンピュータプログラム、記録媒体、データ構造などに適用したものも本発明の態様として有効である。
本発明によれば、ユーザが利用できる機能を制限しつつ一の機器を他の機器と連携させて一連の処理を行うことが容易な、外部認証を用いた認証機能連携機器、認証機能連携システム及び認証機能連携プログラムを提供可能である。
次に、本発明を実施するための最良の形態を、以下の実施例に基づき図面を参照しつつ説明していく。なお、本実施例では、機器の一例として複合機等の画像処理装置を例に説明するが、画像処理装置に限定されるものではなく、如何なる機器であってもよい。
図1は本発明による認証機能連携システムの一実施例の構成図である。図1の認証機能連携システム1は、画像処理装置10,画像処理装置20,ユーザPC30,認証サーバ40が、LANなどのネットワーク50を介してデータ通信可能に接続されている構成である。
ユーザは画像処理装置10,20を利用する人である。画像処理装置10はユーザが操作する機器である。画像処理装置20は画像処理装置10からのリクエストを受けて、そのリクエストの処理を実行する機器である。画像処理装置20は画像処理装置10と連動する機器である。ユーザPC30はリクエストの種別によって、ユーザが画像処理装置10に対してリクエストを行う機器である。認証サーバ40は外部認証を実施するサーバである。
図2は本発明による画像処理装置の一実施例のハードウェア構成図を示す。図1の画像処理装置10と画像処理装置20とは同様なハードウェア構成である。そこで、画像処理装置10のハードウェア構成を一例として説明する。
図2の画像処理装置10は、コントローラボード60,ハードディスクドライブ(HDD)70,sdカード80,エンジン90を有するように構成されている。コントローラボード60は、CPU61,揮発性メモリ62,HDDコントローラ63,エンジンコントローラ64,不揮発メモリ65,ネットワークデバイス(network device)66,sdカードI/F67を有するように構成されている。
HDD70は、コントローラボード60のHDDコントローラ63に接続される。sdカード80は、コントローラボード60のsdカードI/F67に接続される。エンジン90は、コントローラボード60のエンジンコントローラ64に接続される。
また、コントローラボード60のCPU61,HDDコントローラ63,エンジンコントローラ64,不揮発メモリ65,ネットワークデバイス66,sdカードI/F67はメインバス(main bus)を介して接続されている。コントローラボード60のCPU61は揮発性メモリ62に接続されている。
CPU61は、画像処理装置10の全体制御を行うものである。CPU61は、アプリケーション,コンポーネント(CMP),リポジトリ,ライブラリ等を利用して後述の機能ブロックを実現する。揮発性メモリ62は、画像処理装置10の主記憶装置として利用される。
不揮発メモリ65及びsdカード80は、アプリケーション,コンポーネント,リポジトリ,ライブラリ等が格納されている。HDD70は、画像データの蓄積,プログラムの蓄積,フォントデータの蓄積,フォームの蓄積を行うためのストレージである。エンジンコントローラ64は、操作パネル,プロッタやスキャナなどのエンジン90を制御するものである。ネットワークデバイス66はネットワーク50に接続する為のものである。
図3は本発明による画像処理装置の機能ブロック図である。図1の画像処理装置10と画像処理装置20とは同様な機能ブロック構成である。そこで、画像処理装置20の機能ブロック構成を一例として説明する。
図3の機能ブロック図に示す画像処理装置20は、ユーザインタフェース(UI)100,文書送信アプリ101,文書出力アプリ102,リクエスト管理CMP103,アクセス制御CMP104,ユーザリポジトリサービスCMP105,文書保管CMP106,文書出力CMP107,スキャナデバイスCMP108,メモリデバイスCMP109,プロッタデバイスCMP110,net出力CMP111,netデバイスCMP112,認証サービスCMP113,セッション管理CMP114,証明書保管ライブラリ115,暗号ライブラリ116を有するように構成されている。
認証サービスCMP113は、認証実施部201,識別情報生成部202,識別情報検証部203を有するように構成されている。セッション管理CMP114は、セッション生成部211,チケット生成部212,チケット検証部213を有するように構成されている。認証サービスCMP113の識別情報検証部203が存在しない場合、画像処理装置20は、識別情報検証部203を動的にプラグインして利用する。なお、図3の機能ブロック図に示した各機能ブロックの詳細はシーケンス図を用いて後述する。
本発明による認証機能連携システム1は、画像処理装置20が画像処理装置10からのリクエストを受けて、そのリクエストの処理を実行する場合、図4に示すようにシステム証明書,機番,連携先証明書を有している。
図4は認証機能連携システムで利用するシステム証明書,機番,連携先証明書を表した説明図である。図4に示すように、画像処理装置10はシステム証明書301,機番302を有している。システム証明書301は、画像処理装置10の公開鍵(Pub X)及び秘密鍵(Private X)を有している。機番302は、画像処理装置10の機番である。
画像処理装置20はシステム証明書303,機番304,連携先証明書305を有している。システム証明書303は、画像処理装置20の公開鍵(Pub Y)及び秘密鍵(Private Y)を有している。機番304は、画像処理装置20の機番である。連携先証明書305は、画像処理装置10の公開鍵(Pub X)及び画像処理装置10の機番を有している。連携先証明書305は、後述のチケット検証に利用される。
認証機能連携システム1は、連携先証明書305を画像処理装置20の証明書保管ライブラリ108に保管することで、画像処理装置10と画像処理装置20との認証機能の連携が後述のように可能となる。
認証機能連携システム1は、ユーザによる画像処理装置10へのログイン処理,画像処理装置10,20におけるジョブ生成処理,画像処理装置10,20におけるジョブ実行処理を行う。
(ログイン処理)
図5はユーザによる画像処理装置へのログイン処理を表したシーケンス図である。画像処理装置10を操作するユーザは、ステップS1において、UI100からユーザ識別子及びパスワードを入力してログインを要求する。ステップS2に進み、ユーザ識別子及びパスワードを含む認証開始の要求はセッション管理CMP114のセッション生成部211に対して行われる。
図5はユーザによる画像処理装置へのログイン処理を表したシーケンス図である。画像処理装置10を操作するユーザは、ステップS1において、UI100からユーザ識別子及びパスワードを入力してログインを要求する。ステップS2に進み、ユーザ識別子及びパスワードを含む認証開始の要求はセッション管理CMP114のセッション生成部211に対して行われる。
ステップS3に進み、セッション生成部211はユーザ識別子及びパスワードを含む認証開始の要求を認証サービスCMP113の認証実施部201に対して行う。ステップS4に進み、認証実施部201は保管されている認証情報(ユーザ識別子及びパスワードの組合せ)の確認をユーザリポジトリサービスCMP105に依頼して、画像処理装置10を操作しているユーザの認証を行う。
ここではユーザの認証が成功したものとして説明を続ける。ユーザリポジトリサービスCMP105はステップS5に進み、認証情報の確認が取れた旨を認証実施部201に通知する。ステップS6に進み、認証実施部201はユーザの認証が成功したと判定して認証サービスCMP113の識別情報生成部202に識別情報の生成の要求を行う。
ステップS7に進み、識別情報生成部202は識別情報を生成して認証実施部201に送信する。なお、識別情報の詳細は後述する。ステップS8に進み、認証実施部201は識別情報を含むようにセッションの生成を行う。
ステップS9に進み、認証実施部201は、セッション生成部211に認証終了を通知する。ステップS10に進み、セッション生成部211は、UI100に認証終了を通知する。そして、ステップS11に進み、ユーザはUI100でログイン処理の終了を確認できる。なお、ユーザの認証が失敗したと判定すると、認証実施部201は認証が失敗したときの処理(例えば認証エラーをUI100に表示するなど)を行う。
(ジョブ生成処理)
図6はユーザが操作する画像処理装置におけるジョブ生成処理を表したシーケンス図である。なお、図6のシーケンス図は画像処理装置10から画像処理装置20への文書の転送印刷の例を示している。
図6はユーザが操作する画像処理装置におけるジョブ生成処理を表したシーケンス図である。なお、図6のシーケンス図は画像処理装置10から画像処理装置20への文書の転送印刷の例を示している。
画像処理装置10を操作するユーザはUI100から文書の転送印刷を要求する。文書の転送印刷に応じたジョブ生成の要求は、ステップS21において、UI100からリクエスト管理CMP103に対して行われる。ジョブ生成の要求にはセッション,ジョブ種別の情報が含まれる。
ステップS22に進み、リクエスト管理CMP103はセッション管理CMP114に含まれるチケット生成部212に対してチケット発行の要求を行う。チケット発行の要求にはセッション,ジョブIDの情報が含まれる。
ステップS23に進み、チケット生成部212はチケット情報の生成を行う。ステップS23で生成されるチケット情報はチケットの一部を構成する。図7はチケットの一例の構成図である。図7のチケット501は、識別情報502,機番503,署名504を有する構成である。チケット情報は、識別情報502,機番503を有する構成である。図7のチケット501の場合、識別情報502は認証種別ID,認証CMP情報を有する構成である。
認証種別IDは認証方式を表すインデックスである。認証CMP情報はユーザを識別する為のユーザ名やguid(global unique identifier)と、外部の認証サーバ40を識別する為のドメイン名やケルベロス(Kerberos)チケットとの組合せである。図7に示した例1〜3は、認証CMP情報の一例である。図7のチケット501はジョブ生成時に生成されてジョブ実行時に利用される。正しいチケット501でなければ、ジョブは実行できない。
図6に戻り、ステップS24に進み、チケット生成部212は暗号ライブラリ116に署名(デジタル署名)504の生成を要求する。暗号ライブラリ116は例えばチケット501の識別情報502,機番503の一部又は全部をシステム証明書301の秘密鍵(Private X)で暗号化することにより、署名504を生成する。
ステップS25に進み、暗号ライブラリ116は生成した署名504をチケット生成部212に送信する。ステップS26に進み、チケット生成部212はステップS23で生成したチケット情報にステップS24で生成した署名504を付与してチケット501の生成を完了する。チケット生成部212はチケット501をリクエスト管理CMP103に送信する。
ステップS27に進み、リクエスト管理CMP103はアクセス制御CMP104に対して機能利用制限確認の要求を行う。ステップS27の機能利用制限確認の要求には、機能種別,チケット501の情報が含まれる。機能利用制限確認の要求に含まれる機能種別の情報は、ステップS21のジョブ生成の要求に含まれるジョブ種別の情報に応じたものとなる。
ステップS28に進み、アクセス制御CMP104はセッション管理CMP114に含まれるチケット検証部213にチケット検証の要求を行う。ステップS28のチケット検証の要求にはチケット501の情報が含まれている。チケット検証部213は後述のチケット検証の処理手順に従ってチケット検証を行う。チケット検証は、チケット501が正しい(不正でない)ものであることを検証するものである。ここではチケット検証が成功したものとして説明を続ける。ステップS29に進み、チケット検証部213はチケット検証が成功した旨をアクセス制御CMP104に通知する。
アクセス制御CMP104はステップS30に進み、例えば権限の確認をユーザリポジトリサービスCMP105に依頼して、機能利用制限確認の要求に含まれる機能種別ごとにユーザの権限を確認する。ここでは機能利用制限確認の要求に含まれている機能種別にユーザの権限があるものとして説明を続ける。
ステップS31に進み、アクセス制御CMP104はリクエスト管理CMP103に機能利用制限確認の結果が実行可能であることを通知する。ステップS32に進み、リクエスト管理CMP103はnet出力CMP111にジョブ生成依頼の要求を行う。ジョブ生成依頼の要求には、チケット501,ジョブ種別の情報が含まれる。net出力CMP111はチケット501,ジョブ種別を指定してジョブ生成の依頼をnetデバイスCMP112に対して行う。そして、netデバイスCMP112は、チケット501,ジョブ種別が指定されたジョブ生成の依頼をネットワーク50経由で画像処理装置20に送信する。
図8はユーザが操作する画像処理装置からのリクエストを受けて、そのリクエストの処理を実行する画像処理装置におけるジョブ生成処理を表したシーケンス図である。
ステップS41に進み、画像処理装置20のnetデバイスCMP112は、チケット501,ジョブ種別が指定されたジョブ生成の依頼をネットワーク50経由で画像処理装置10から受信する。net出力CMP111はチケット501,ジョブ種別を指定したジョブ生成の依頼をnetデバイスCMP112経由で受信する。
ステップS41に進み、net出力CMP111はチケット,ジョブ種別を指定したジョブ生成の依頼をリクエスト管理CMP103に送信する。ステップS42に進み、リクエスト管理CMP103はアクセス制御CMP104に対して機能利用制限確認の要求を行う。ステップS42の機能利用制限確認の要求には、機能種別,チケット501の情報が含まれる。機能利用制限確認の要求に含まれる機能種別の情報は、ステップS41のジョブ生成の依頼に含まれるジョブ種別の情報に応じたものとなる。
ステップS43に進み、アクセス制御CMP104はセッション管理CMP114に含まれるチケット検証部213にチケット検証の要求を行う。ステップS43のチケット検証の要求にはチケット501の情報が含まれている。
ステップS44に進み、チケット検証部213は証明書保管ライブラリ115及び暗号ライブラリ116を利用し、チケット検証の要求に含まれるチケット501の署名504を検証することでチケット認証を行う。また、チケット検証部213はチケット501にユーザ識別子が存在するか否かでチケット認証を行う。
ここではステップS45において、チケット501にユーザ識別子が存在しないという理由でチケット認証が失敗したものとする。ステップS46に進み、チケット検証部213はユーザ名,ドメイン名を指定して、認証サービスCMP113に含まれる識別情報検証部203に識別情報取得の依頼を行う。
識別情報検証部203はステップS47に進み、ユーザ名,ドメイン名を指定して、net出力CMP111に識別情報取得の依頼を行う。net出力CMP111はnetデバイスCMP112に対し、ユーザ名,ドメイン名を指定して、認証サービスCMP113に含まれる識別情報検証部203に識別情報取得の依頼を行う。
ステップS48に進み、netデバイスCMP112はネットワーク50経由でドメイン名に基づく外部の認証サーバ40へ認証情報取得の依頼を行う。外部の認証サーバ40はステップS49に進み、ユーザ名に対応するユーザID,利用制限情報をnetデバイスCMP112に送信する。netデバイスCMP112はユーザ名に対応するユーザID,利用制限情報をnet出力CMP111に送信する。
ステップS50に進み、net出力CMP111は識別情報検証部203に、ユーザ名に対応するユーザID,利用制限情報を送信する。ステップS51に進み、識別情報検証部203はユーザ名に対応するユーザID,利用制限情報をチケット検証部213に送信する。
ステップS52に進み、チケット検証部213は証明書保管ライブラリ115及び暗号ライブラリ116を利用し、チケット検証の要求に含まれるチケット501の署名504を検証することでチケット認証を行う。また、チケット検証部213はユーザ名に対応するユーザ識別子が存在するか否かでチケット認証を行う。ここではステップS53において、チケット認証が成功したものとする。
ステップS54に進み、チケット検証部213はユーザ名に対応するユーザID,利用制限情報をユーザリポジトリサービスCMP105に送信して、ユーザリポジトリサービスCMP105に利用者登録を依頼する。ユーザリポジトリサービスCMP105は、ステップS55に進み、利用者登録が正常に終了すると、その旨をチケット検証部213に通知する。ステップS56に進み、チケット検証部213はチケット検証が正常に終了した旨をアクセス制御CMP104に通知する。
ステップS57に進み、アクセス制御CMP104は機能種別,チケットを指定することでユーザの権限確認を試みる。しかし、チケット501に利用制限情報が含まれていないため、アクセス制御CMP104はユーザID,機能種別を指定して利用者情報の取得をユーザリポジトリサービスCMP105に依頼する。
ステップS59に進み、ユーザリポジトリサービスCMP105はユーザID,機能種別に基づく利用制限情報をアクセス制御CMP104に送信する。アクセス制御CMP104は利用制限情報を用いて、機能利用制限確認の要求に含まれる機能種別ごとにユーザの権限を確認する。ここでは機能利用制限確認の要求に含まれる機能種別にユーザの権限があるものとして説明を続ける。
ステップS60に進み、アクセス制御CMP104は機能利用制限確認の完了をリクエスト管理CMP103に対して行う。ステップS61に進み、リクエスト管理CMP103はチケット,ジョブ種別を指定したジョブ生成の完了をnet出力CMP111に対して行う。
図8のシーケンス図に示されるように、画像処理装置20はユーザID,利用制限情報を持っていないため、チケット501に含まれる認証CMP情報を用いることで外部の認証サーバ40からユーザID,利用制限情報を取得でき、取得したユーザID,利用制限情報をユーザリポジトリサービスCMP105に登録させることにより、ユーザの認証を行うことができるようになる。
(ジョブ実行処理)
図9はユーザが操作する画像処理装置におけるジョブ実行処理を表したシーケンス図である。なお、図9のシーケンス図は画像処理装置10から画像処理装置20への文書の転送印刷の例を示している。
図9はユーザが操作する画像処理装置におけるジョブ実行処理を表したシーケンス図である。なお、図9のシーケンス図は画像処理装置10から画像処理装置20への文書の転送印刷の例を示している。
ステップS71に進み、UI100はリクエスト管理CMP103に対してジョブ実行の要求を行う。ステップS71のジョブ実行の要求にはジョブIDの情報が含まれる。リクエスト管理CMP103は、ステップS72に進み、文書送信アプリ101に対してジョブ実行の要求を行う。ステップS72のジョブ実行の要求には、ジョブIDが含まれている。ステップS73に進み、文書送信アプリ101は文書IDを指定して文書取得の要求を文書保管CMP106に対して行う。
ステップS74に進み、文書保管CMP106はアクセス制御CMP104に対してリソース利用制限確認の要求を行う。ステップS74のリソース利用制限確認の要求にはリソースID,チケット501の情報が含まれる。リソース利用制限確認の要求に含まれるリソースIDの情報は、ステップS73の文書取得の要求に含まれる文書IDの情報に応じたものとなる。
ステップS75に進み、アクセス制御CMP104はセッション管理CMP114に含まれるチケット検証部213にチケット検証の要求を行う。ステップS75のチケット検証の要求にはチケットの情報が含まれている。チケット検証部213は後述のチケット検証の処理手順に従ってチケット検証を行う。
ここではチケット検証が成功したものとして説明を続ける。アクセス制御CMP104はステップS76に進み、リソース利用制限確認の要求に含まれるリソースIDのユーザの権限を確認する。ここでは、リソース利用制限確認の要求に含まれているリソースIDにユーザの権限があるものとして説明を続ける。ステップS77に進み、文書保管CMP106は文書IDを指定して文書読み出し要求をメモリデバイスCMP109に対して行い、文書IDに応じた文書を読み出す。
ステップS78に進み、文書送信アプリ101は文書IDを指定して文書送信の要求をnet出力CMP111に対して行う。ステップS79に進み、net出力CMP111はアクセス制御CMP104に対してリソース利用制限確認の要求を行う。ステップS79のリソース利用制限確認の要求には、リソースID,チケット501の情報が含まれている。リソース利用制限確認の要求に含まれるリソースIDの情報は、ステップS78の文書送信の要求に含まれる文書IDの情報に応じたものとなる。
ステップS80に進み、アクセス制御CMP104はセッション管理CMP114に含まれるチケット検証部213にチケット検証の要求を行う。ステップS80のチケット検証の要求にはチケットの情報が含まれている。チケット検証部213は後述のチケット検証の処理手順に従ってチケット検証を行う。
ここではチケット検証が成功したものとして説明を続ける。アクセス制御CMP104はステップS81に進み、リソース利用制限確認の要求に含まれるリソースIDのユーザの権限を確認する。ここでは、リソース利用制限確認の要求に含まれているリソースIDにユーザの権限があるものとして説明を続ける。ステップS82に進み、net出力CMP111は文書IDを指定して文書の送信要求をnetデバイスCMP112に対して行う。
netデバイスCMP112は、例えばチケット501を埋め込んだ文書IDに応じた文書をネットワーク50経由で画像処理装置20に送信する。図10はチケットが埋め込まれた文書の一例の構成図である。図10の文書はPDL(ページ記述言語)にチケット501が埋め込まれた例を表している。
そして、ステップS83に進み、リクエスト管理CMP103はステップS71に対する応答としてジョブ完了通知を、UI100に通知する。ステップS83のジョブ完了通知にはジョブIDの情報が含まれている。
ジョブ実行処理におけるチケット検証部213の処理は、図11のフローチャートに示す手順となる。図11はジョブ実行処理におけるチケット検証部の処理手順を示す一例のフローチャートである。
アクセス制御CMP104からチケット検証の要求があると、チケット検証部213はチケット検証の要求に含まれるチケット501の情報に基づき、チケット501の検証を開始する。
ステップS91に進み、チケット検証部213はチケット501の署名504をシステム証明書301に含まれる画像処理装置10(自機)の公開鍵(Pub X)で復号することで検証する。チケット501が画像処理装置10で生成したものである為、ステップS91では署名504の復号が成功する。
チケット検証部213はステップS92に進み、チケット501の検証に成功したと判定する。即ち、チケット検証部213はチケット501が正しい(不正でない)ものであると判定する。
なお、ステップS91において署名504の復号が失敗した場合のステップS93以降の処理は、チケット501が自機以外で生成された場合に実行されるものである。言い換えれば、ステップS93以降の処理は、主に画像処理装置20でのジョブ実行処理で実行されるため、画像処理装置20のジョブ実行処理の説明の中で後述する。なお、図9に示すジョブ実行処理では生成されたチケット501が各コンポーネントから読み出し可能な位置に保存されているものとする。
図12はユーザが操作する画像処理装置からのリクエストを受けて、そのリクエストの処理を実行する画像処理装置におけるジョブ実行処理を表したシーケンス図である。図12のシーケンス図は画像処理装置10から画像処理装置20への文書の転送印刷の例を示している。
netデバイスCMP112はネットワーク50経由で、チケット501が埋め込まれた文書を受信する。net出力CMP111はnetデバイスCMP112からチケット501の埋め込まれた文書を受信する。なお、図12に示すジョブ実行処理では受信した文書、文書に埋め込まれていたチケット501が各コンポーネントから読み出し可能な位置に保存されるものとする。
ステップS100に進み、net出力CMP111はリクエスト管理CMP103に対してジョブ実行の要求を行う。ステップS100のジョブ実行の要求にはジョブIDの情報が含まれる。
リクエスト管理CMP103は、ステップS101に進み、文書出力アプリ102に対してジョブ実行の要求を行う。ステップS101のジョブ実行の要求には、ジョブIDが含まれる。ステップS102に進み、文書出力アプリ102は文書IDを指定して文書出力の要求をプロッタデバイスCMP110に対して行う。
ステップS103に進み、プロッタデバイスCMP110はアクセス制御CMP104に対してリソース利用制限確認の要求を行う。ステップS103のリソース利用制限確認の要求にはリソースID,チケット501の情報が含まれる。リソース利用制限確認の要求に含まれるリソースIDの情報は、ステップS102の文書出力の要求に含まれる文書IDの情報に応じたものとなる。
ステップS104に進み、アクセス制御CMP104はセッション管理CMP114に含まれるチケット検証部213にチケット検証の要求を行う。ステップS104のチケット検証の要求にはチケットの情報が含まれている。ステップS105に進み、チケット検証部213は暗号ライブラリ116に署名504の検証を要求する。暗号ライブラリ116は署名504の検証を行う。
ここでは、チケット検証が成功したものとして説明を続ける。アクセス制御CMP104は、ステップS106に進み、リソース利用制限確認の要求に含まれるリソースIDのユーザの権限を確認する。ここでは、リソース利用制限確認の要求に含まれるリソースIDにユーザの権限があるものとして説明を続ける。ステップS107に進み、アクセス制御CMP104はユーザリポジトリサービスCMP105にエントリ登録された利用制限情報の利用制限確認を行う。ここでは利用制限確認が正常に終了したものとして説明を続ける。ステップS108に進み、プロッタデバイスCMP110は文書IDに応じた文書を出力する。
そして、ステップS109に進み、リクエスト管理CMP103はステップS100に対する応答としてジョブ完了通知を、net出力CMP111に通知する。ステップS109のジョブ完了通知にはジョブIDの情報が含まれている。
ジョブ実行処理におけるチケット検証部213の処理は、図13のフローチャートに示す手順となる。図13はジョブ実行処理におけるチケット検証部の処理手順を示す一例のフローチャートである。
アクセス制御CMP104からチケット検証の要求があると、チケット検証部213はチケット検証の要求に含まれるチケット501の情報に基づき、チケット501の検証を開始する。
ステップS121に進み、チケット検証部213はチケット501の署名504をシステム証明書303に含まれる画像処理装置20(自機)の公開鍵(Pub Y)で復号することで検証する。チケット501が画像処理装置10で生成したものである為、署名505の復号は失敗する。
チケット検証部213はステップS123に進み、チケット501に含まれる機番と連携先証明書305の機番とが同じかを確認する。チケット501に含まれる機番と連携先証明書305の機番とが同じであると判定すれば、チケット検証部213はステップS124に進み、チケット501の署名504を連携先証明書305に含まれる画像処理装置10の公開鍵(Pub X)で復号することで検証する。
署名504の復号に成功すると、チケット検証部213は署名504の検証に成功したと判定して、ステップS125に進む。ステップS125では、チケット検証部213がユーザ識別子(ユーザID)をキーとしてユーザリポジトリサービスCMP105にユーザの検索を依頼する。ユーザの検索が成功すれば、チケット検証部213はステップS122に進み、チケット501の検証に成功したと判定する。なお、ユーザの検索が失敗すれば、チケット検証部213はステップS126に進み、ユーザを新規追加し、権限情報を設定する。
ステップS123においてチケット501に含まれる機番と連携先証明書305の機番とが同じでない場合、ステップS124において署名504の復号に失敗した場合、又はステップS126においてユーザの新規追加が失敗した場合、チケット検証部213はステップS127に進み、チケット501の検証に失敗したと判定する。
このように本発明によるジョブ実行処理では悪意のある或いはバグによりSDKアプリケーションによる送受信でアクセス制御を破ってしまうケースについてもフレームワーク部分でサポートすることにより、不正なSDKアプリケーションの動作制限を強制することができる。SDKアプリケーションは不正な権限を含むチケット501を生成することはできず、現在のチケット501の権限を超えるリクエストを処理することもできない。
(他の例のジョブ生成処理)
図14は、ユーザが操作する画像処理装置からのリクエストを受けて、そのリクエストの処理を実行する画像処理装置におけるジョブ生成処理を表した他の例のシーケンス図である。
図14は、ユーザが操作する画像処理装置からのリクエストを受けて、そのリクエストの処理を実行する画像処理装置におけるジョブ生成処理を表した他の例のシーケンス図である。
図14のシーケンス図は、画像処理装置20が識別情報検証部203を有していない場合に、外部プラグインすることによって識別情報検証部203を実現するものである。図14のシーケンス図は、ステップS136及びS137の処理が図8のシーケンス図と異なる。
ステップS135において、チケット501にユーザ識別子が存在しないという理由でチケット認証が失敗したあと、ステップS136ではチケット検証部213がCMPIDを指定してプラグインCMP600にCMP追加要求を行う。プラグインCMP600はステップS137に進み、指定されたCMPIDの識別情報検証部203を追加して起動する。
識別情報検証部203を追加して起動したあと、プラグインCMP600はステップS138に進み、識別情報検証部203を追加して起動した旨をチケット検証部213に通知する。
なお、ステップS131〜S135の処理、ステップS139以降の処理は図8のシーケンス図と同様であるため、説明を省略する。
なお、ステップS131〜S135の処理、ステップS139以降の処理は図8のシーケンス図と同様であるため、説明を省略する。
以上、本発明による認証機能連携システム1は、画像処理装置20が外部の認証サーバ40からユーザ識別子,利用制限情報を取得できるので、画像処理装置10及び20の連動が容易となる。つまり、本発明による認証機能連携システム1は、ユーザが利用できる機能を利用制限情報により制限しつつ、画像処理装置10を画像処理装置20と連携させて一連の処理を行うことが容易である。
本発明は、具体的に開示された実施例に限定されるものではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。
1 認証機能連携システム
10,20 画像処理装置
30 ユーザPC
40 認証サーバ
50 ネットワーク
60 コントローラボード
61 CPU
62 揮発性メモリ
63 HDDコントローラ
64 エンジンコントローラ
65 不揮発メモリ
66 ネットワークデバイス(network device)
67 sdカードI/F
70 ハードディスクドライブ(HDD)
80 sdカード
90 エンジン
100 ユーザインタフェース(UI)
101 文書送信アプリ
102 文書出力アプリ
103 リクエスト管理CMP
104 アクセス制御CMP
105 ユーザリポジトリサービスCMP
106 文書保管CMP
107 文書出力CMP
108 スキャナデバイスCMP
109 メモリデバイスCMP
110 プロッタデバイスCMP
111 ネット(net)出力CMP
112 netデバイスCMP
113 認証サービスCMP
114 セッション管理CMP
115 証明書保管ライブラリ
116 暗号ライブラリ
201 認証実施部
202 識別情報生成部
203 識別情報検証部
211 セッション生成部
212 チケット生成部
213 チケット検証部
301 システム証明書
302 機番
303 システム証明書
304 機番
305 連携先証明書
501 チケット
502 識別情報
503 機番
504 署名
600 プラグインCMP
10,20 画像処理装置
30 ユーザPC
40 認証サーバ
50 ネットワーク
60 コントローラボード
61 CPU
62 揮発性メモリ
63 HDDコントローラ
64 エンジンコントローラ
65 不揮発メモリ
66 ネットワークデバイス(network device)
67 sdカードI/F
70 ハードディスクドライブ(HDD)
80 sdカード
90 エンジン
100 ユーザインタフェース(UI)
101 文書送信アプリ
102 文書出力アプリ
103 リクエスト管理CMP
104 アクセス制御CMP
105 ユーザリポジトリサービスCMP
106 文書保管CMP
107 文書出力CMP
108 スキャナデバイスCMP
109 メモリデバイスCMP
110 プロッタデバイスCMP
111 ネット(net)出力CMP
112 netデバイスCMP
113 認証サービスCMP
114 セッション管理CMP
115 証明書保管ライブラリ
116 暗号ライブラリ
201 認証実施部
202 識別情報生成部
203 識別情報検証部
211 セッション生成部
212 チケット生成部
213 チケット検証部
301 システム証明書
302 機番
303 システム証明書
304 機番
305 連携先証明書
501 チケット
502 識別情報
503 機番
504 署名
600 プラグインCMP
Claims (15)
- 他の機器からリクエストを受信し、前記リクエストに含まれるチケットに基づいて前記他の機器と認証機能を連携させる、外部認証を用いた認証機能連携機器であって、
前記チケットの検証に利用する前記他の機器の証明書情報を保管している証明書保管手段と、
前記他の機器からのリクエストに含まれる前記チケットの署名情報及び前記証明書保管手段が保管している前記他の機器の証明書情報に基づき、前記チケットの検証を行うチケット検証手段と、
前記チケットにユーザ識別子情報が存在しないという理由で前記チケットの検証が失敗したときに、前記チケットに含まれる認証コンポーネント情報に基づき、ユーザ識別子情報及びアクセス制御情報を外部の認証サーバから取得する識別情報検証手段と、
前記外部の認証サーバから取得された前記ユーザ識別子情報及びアクセス制御情報が登録されるリポジトリ手段と、
前記他の機器からのリクエストの処理を実行するか否かを、前記リポジトリ手段に登録された前記ユーザ識別子情報及びアクセス制御情報に基づいて判定するアクセス制御手段と
を有することを特徴とする認証機能連携機器。 - 前記識別情報検証手段は、前記認証コンポーネント情報に含まれている前記外部の認証サーバを識別する為の情報に基づき、前記外部の認証サーバから、前記認証コンポーネント情報に含まれている前記ユーザ名又はGUID(Global Unique Identifier)に対応する前記ユーザ識別子情報及びアクセス制御情報を取得することを特徴とする請求項1記載の認証機能連携機器。
- 前記認証コンポーネント情報に含まれている前記外部の認証サーバを識別する為の情報はドメイン名又はケルベロス(Kerberos)チケットであることを特徴とする請求項2記載の認証機能連携機器。
- 前記チケット検証手段は、前記他の機器の秘密鍵により作成された前記チケットに含まれている署名情報と、前記他の機器の証明書情報に含まれている前記他の機器の公開鍵とに基づいて、前記チケットの検証を行ったあと、前記チケットにユーザ識別子情報が存在するか否かによる前記チケットの検証を行うことを特徴とする請求項1乃至3何れか一項記載の認証機能連携機器。
- 前記外部の認証サーバから取得するユーザ識別子情報は、ユーザ識別子を含み,更に所属グループ識別子,ロール識別子の少なくとも一つを含むことを特徴とする請求項1乃至4何れか一項記載の認証機能連携機器。
- 前記アクセス制御情報は、前記ユーザ識別子情報により識別されるユーザの機能種別ごとの利用許可又は利用禁止を表すことを特徴とする請求項1乃至5何れか一項記載の認証機能連携機器。
- 他の機器へリクエストを送信するとき、前記リクエストに含ませたチケットに基づいて前記他の機器と認証機能を連携させ、他の機器からリクエストを受信したとき、前記リクエストに含まれるチケットに基づいて前記他の機器と認証機能を連携させる、外部認証を用いた認証機能連携機器であって、
前記他の機器へリクエストを送信するとき、認証コンポーネント情報及びアクセス制御情報と、署名情報とを含む前記チケットを生成するチケット生成手段と、
前記チケット生成手段が生成した前記チケットを、前記他の機器へのリクエストに含ませて送信する送信手段と、
前記チケットの検証に利用する前記他の機器の証明書情報を保管している証明書保管手段と、
前記他の機器からのリクエストに含まれる前記チケットの署名情報及び前記証明書保管手段が保管している前記他の機器の証明書情報に基づき、前記チケットの検証を行うチケット検証手段と、
前記チケットにユーザ識別子情報が存在しないという理由で前記チケットの検証が失敗したときに、前記チケットに含まれる認証コンポーネント情報に基づき、ユーザ識別子情報及びアクセス制御情報を外部の認証サーバから取得する識別情報検証手段と、
前記外部の認証サーバから取得された前記ユーザ識別子情報及びアクセス制御情報が登録されるリポジトリ手段と、
前記他の機器からのリクエストの処理を実行するか否かを、前記リポジトリ手段に登録された前記ユーザ識別子情報及びアクセス制御情報に基づいて判定するアクセス制御手段と
を有することを特徴とする認証機能連携機器。 - 前記識別情報検証手段は、前記認証コンポーネント情報に含まれている前記外部の認証サーバを識別する為の情報に基づき、前記外部の認証サーバから、前記認証コンポーネント情報に含まれている前記ユーザ名又はGUID(Global Unique Identifier)に対応する前記ユーザ識別子情報及びアクセス制御情報を取得することを特徴とする請求項7記載の認証機能連携機器。
- 前記認証コンポーネント情報に含まれている前記外部の認証サーバを識別する為の情報はドメイン名又はケルベロス(Kerberos)チケットであることを特徴とする請求項8記載の認証機能連携機器。
- 前記チケット検証手段は、前記他の機器の秘密鍵により作成された前記チケットに含まれている署名情報と、前記他の機器の証明書情報に含まれている前記他の機器の公開鍵とに基づいて、前記チケットの検証を行ったあと、前記チケットにユーザ識別子情報が存在するか否かによる前記チケットの検証を行うことを特徴とする請求項7乃至9何れか一項記載の認証機能連携機器。
- 前記外部の認証サーバから取得するユーザ識別子情報は、ユーザ識別子を含み,更に所属グループ識別子,ロール識別子の少なくとも一つを含むことを特徴とする請求項7乃至10何れか一項記載の認証機能連携機器。
- 前記アクセス制御情報は、前記ユーザ識別子情報により識別されるユーザの機能種別ごとの利用許可又は利用禁止を表すことを特徴とする請求項7乃至11何れか一項記載の認証機能連携機器。
- ユーザの操作する第1機器と、前記第1機器からのリクエストを受けて前記リクエストの処理を実行する第2機器とを有し、前記リクエストに含ませたチケットに基づいて前記第1機器と第2機器との認証機能を連携させる、外部認証を用いた認証機能連携システムであって、
前記第2機器へリクエストを送信するとき前記リクエストに含ませたチケットに基づいて前記第2機器と認証機能を連携させる前記第1機器は、
前記第2機器へリクエストを送信するとき、認証コンポーネント情報及びアクセス制御情報と、署名情報とを含む前記チケットを生成するチケット生成手段と、
前記チケット生成手段が生成した前記チケットを、前記他の機器へのリクエストに含ませて送信する送信手段とを有し、
前記第1機器からリクエストを受信すると前記リクエストに含まれるチケットに基づいて前記第1機器と認証機能を連携させる前記第2機器は、
前記チケットの検証に利用する前記第1機器の証明書情報を保管している証明書保管手段と、
前記第1機器からのリクエストに含まれる前記チケットの署名情報及び前記証明書保管手段が保管している前記第1機器の証明書情報に基づき、前記チケットの検証を行うチケット検証手段と、
前記チケットにユーザ識別子情報が存在しないという理由で前記チケットの検証が失敗したときに、前記チケットに含まれる認証コンポーネント情報に基づき、ユーザ識別子情報及びアクセス制御情報を外部の認証サーバから取得する識別情報検証手段と、
前記外部の認証サーバから取得された前記ユーザ識別子情報及びアクセス制御情報が登録されるリポジトリ手段と、
前記第1機器からのリクエストの処理を実行するか否かを、前記リポジトリ手段に登録された前記ユーザ識別子情報及びアクセス制御情報に基づいて判定するアクセス制御手段とを有する
ことを特徴とする認証機能連携システム。 - 他の機器からリクエストを受信し、前記リクエストに含まれるチケットに基づいて前記他の機器と認証機能を連携させる、外部認証を用いた認証機能連携機器を、
前記チケットの検証に利用する前記他の機器の証明書情報を保管している証明書保管手段と、
前記他の機器からのリクエストに含まれる前記チケットの署名情報及び前記証明書保管手段が保管している前記他の機器の証明書情報に基づき、前記チケットの検証を行うチケット検証手段と、
前記チケットにユーザ識別子情報が存在しないという理由で前記チケットの検証が失敗したときに、前記チケットに含まれる認証コンポーネント情報に基づき、ユーザ識別子情報及びアクセス制御情報を外部の認証サーバから取得する識別情報検証手段と、
前記外部の認証サーバから取得された前記ユーザ識別子情報及びアクセス制御情報が登録されるリポジトリ手段と、
前記他の機器からのリクエストの処理を実行するか否かを、前記リポジトリ手段に登録された前記ユーザ識別子情報及びアクセス制御情報に基づいて判定するアクセス制御手段と
して機能させるための認証機能連携プログラム。 - 他の機器へリクエストを送信するとき、前記リクエストに含ませたチケットに基づいて前記他の機器と認証機能を連携させ、他の機器からリクエストを受信したとき、前記リクエストに含まれるチケットに基づいて前記他の機器と認証機能を連携させる、外部認証を用いた認証機能連携機器を、
前記他の機器へリクエストを送信するとき、認証コンポーネント情報及びアクセス制御情報と、署名情報とを含む前記チケットを生成するチケット生成手段と、
前記チケット生成手段が生成した前記チケットを、前記他の機器へのリクエストに含ませて送信する送信手段と、
前記チケットの検証に利用する前記他の機器の証明書情報を保管している証明書保管手段と、
前記他の機器からのリクエストに含まれる前記チケットの署名情報及び前記証明書保管手段が保管している前記他の機器の証明書情報に基づき、前記チケットの検証を行うチケット検証手段と、
前記チケットにユーザ識別子情報が存在しないという理由で前記チケットの検証が失敗したときに、前記チケットに含まれる認証コンポーネント情報に基づき、ユーザ識別子情報及びアクセス制御情報を外部の認証サーバから取得する識別情報検証手段と、
前記外部の認証サーバから取得された前記ユーザ識別子情報及びアクセス制御情報が登録されるリポジトリ手段と、
前記他の機器からのリクエストの処理を実行するか否かを、前記リポジトリ手段に登録された前記ユーザ識別子情報及びアクセス制御情報に基づいて判定するアクセス制御手段と
して機能させるための認証機能連携プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008238624A JP2010074431A (ja) | 2008-09-17 | 2008-09-17 | 外部認証を用いた認証機能連携機器、認証機能連携システム及び認証機能連携プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008238624A JP2010074431A (ja) | 2008-09-17 | 2008-09-17 | 外部認証を用いた認証機能連携機器、認証機能連携システム及び認証機能連携プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2010074431A true JP2010074431A (ja) | 2010-04-02 |
Family
ID=42205820
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008238624A Pending JP2010074431A (ja) | 2008-09-17 | 2008-09-17 | 外部認証を用いた認証機能連携機器、認証機能連携システム及び認証機能連携プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2010074431A (ja) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2568381A1 (en) | 2011-09-07 | 2013-03-13 | Ricoh Company, Ltd. | Device cooperation system, image forming apparatus, and function providing method |
| JP2013058837A (ja) * | 2011-09-07 | 2013-03-28 | Ricoh Co Ltd | 機器連携システム、機能提供方法 |
| JP2013058838A (ja) * | 2011-09-07 | 2013-03-28 | Ricoh Co Ltd | 機器連携システム、画像形成装置、機能提供方法 |
| US8701158B2 (en) | 2011-01-27 | 2014-04-15 | Ricoh Company, Ltd. | Information processing system, apparatus, method, and program storage medium |
| US8760702B2 (en) | 2011-09-07 | 2014-06-24 | Ricoh Company, Ltd. | Device cooperation system, image forming apparatus, function providing method |
| JP2016071561A (ja) * | 2014-09-29 | 2016-05-09 | ブラザー工業株式会社 | サービスプロバイダ装置、プログラム及びサービス提供方法 |
| US9767264B2 (en) | 2014-05-23 | 2017-09-19 | Ricoh Company, Ltd. | Apparatus, method for controlling apparatus, and program |
-
2008
- 2008-09-17 JP JP2008238624A patent/JP2010074431A/ja active Pending
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8701158B2 (en) | 2011-01-27 | 2014-04-15 | Ricoh Company, Ltd. | Information processing system, apparatus, method, and program storage medium |
| EP2568381A1 (en) | 2011-09-07 | 2013-03-13 | Ricoh Company, Ltd. | Device cooperation system, image forming apparatus, and function providing method |
| JP2013058837A (ja) * | 2011-09-07 | 2013-03-28 | Ricoh Co Ltd | 機器連携システム、機能提供方法 |
| JP2013058838A (ja) * | 2011-09-07 | 2013-03-28 | Ricoh Co Ltd | 機器連携システム、画像形成装置、機能提供方法 |
| EP2651111A2 (en) | 2011-09-07 | 2013-10-16 | Ricoh Company, Ltd. | Device cooperation system, function providing method |
| US8760702B2 (en) | 2011-09-07 | 2014-06-24 | Ricoh Company, Ltd. | Device cooperation system, image forming apparatus, function providing method |
| US8891102B2 (en) | 2011-09-07 | 2014-11-18 | Ricoh Company, Ltd. | Device cooperation system, function providing method |
| US9081615B2 (en) | 2011-09-07 | 2015-07-14 | Ricoh Company, Ltd. | Device cooperation system, image forming apparatus, and function providing method |
| US9146527B2 (en) | 2011-09-07 | 2015-09-29 | Ricoh Company, Ltd. | Apparatus cooperation system, image forming apparatus, and function providing method |
| US9767264B2 (en) | 2014-05-23 | 2017-09-19 | Ricoh Company, Ltd. | Apparatus, method for controlling apparatus, and program |
| JP2016071561A (ja) * | 2014-09-29 | 2016-05-09 | ブラザー工業株式会社 | サービスプロバイダ装置、プログラム及びサービス提供方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2506632C2 (ru) | Устройство обработки информации, способ его управления и компьютерно-считываемый носитель информации | |
| US8327133B2 (en) | Communication device and medium for the same | |
| US8402459B2 (en) | License management system, license management computer, license management method, and license management program embodied on computer readable medium | |
| JP5321641B2 (ja) | 情報処理システム、情報処理装置および中継サーバ | |
| JP5521764B2 (ja) | 情報処理装置、認証システム、認証方法、認証プログラム及び記録媒体 | |
| JP6124531B2 (ja) | 情報処理システム、画像処理装置及びその制御方法、並びにプログラム | |
| US8341398B2 (en) | Communication system, network device and program | |
| JP2016177551A (ja) | 出力装置、プログラム、出力システム及び出力方法 | |
| JP2005284985A (ja) | ネットワーク対応機器、ネットワーク対応機器を保守する保守方法、プログラム、プログラムが記録された媒体及び保守システム | |
| JP2006344212A (ja) | 電子文書のセキュアな印刷 | |
| JP5772011B2 (ja) | 情報処理システム、情報処理装置、情報処理方法、およびプログラム | |
| JP5272602B2 (ja) | 認証機能連携機器、認証機能連携システム及び認証機能連携プログラム | |
| JP2010074431A (ja) | 外部認証を用いた認証機能連携機器、認証機能連携システム及び認証機能連携プログラム | |
| JP2008177683A (ja) | データ提供システム、データ受領システム、データ提供方法、データ提供プログラム及びデータ受領プログラム | |
| JP2012137960A (ja) | プルプリントシステムおよびプログラム | |
| JP2011243093A (ja) | 情報処理装置、ユーザ認証方法、及びコンピュータプログラム | |
| JP2007104660A (ja) | 電子ドキュメントデータをセキュリティ面で安全に伝達するシステム、方法およびプログラム | |
| JP2011258000A (ja) | 情報処理装置、情報処理装置のユーザ認証方法 | |
| US20180059999A1 (en) | Information processing system, information processing apparatus and control method therefor, and program | |
| JP2022179719A (ja) | 情報処理装置、情報処理装置の制御方法、及び、プログラム | |
| JP2016048525A (ja) | 出力システム、出力装置、プログラム及び出力方法 | |
| JP4455965B2 (ja) | 権限情報生成方法、通信装置、プログラム及び記録媒体 | |
| JP7262938B2 (ja) | 情報処理装置、情報処理装置の制御方法、及び、プログラム | |
| US10389913B2 (en) | Information management control apparatus, image processing apparatus, and information management control system | |
| JP5261130B2 (ja) | 画像形成装置及び画像出力システム |