JP6102296B2 - 情報処理システム、情報処理装置、認証方法及びプログラム - Google Patents

情報処理システム、情報処理装置、認証方法及びプログラム Download PDF

Info

Publication number
JP6102296B2
JP6102296B2 JP2013021266A JP2013021266A JP6102296B2 JP 6102296 B2 JP6102296 B2 JP 6102296B2 JP 2013021266 A JP2013021266 A JP 2013021266A JP 2013021266 A JP2013021266 A JP 2013021266A JP 6102296 B2 JP6102296 B2 JP 6102296B2
Authority
JP
Japan
Prior art keywords
identification information
user
information
service providing
common service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013021266A
Other languages
English (en)
Other versions
JP2014153807A (ja
Inventor
秀治 大熊
秀治 大熊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2013021266A priority Critical patent/JP6102296B2/ja
Priority to US14/164,319 priority patent/US9282091B2/en
Publication of JP2014153807A publication Critical patent/JP2014153807A/ja
Application granted granted Critical
Publication of JP6102296B2 publication Critical patent/JP6102296B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Transfer Between Computers (AREA)
  • Facsimiles In General (AREA)

Description

本発明は情報処理システム、情報処理装置、認証方法及びプログラムに関する。
近年、注目されているクラウドコンピューティングは、サーバがクライアントにサービスを提供する一形態である。クラウドコンピューティングでは、多くのコンピューティング・リソースを用いてデータ処理を実行し、クライアントからの要求を処理する。このようなクラウドコンピューティングを実現するクラウドコンピューティング環境上にWebサービスを実装し、多種多様なサービスを提供するベンダーも多数存在する(例えば特許文献1参照)。
ユーザは、クラウドコンピューティングにより提供される多種多様なサービスを利用するために、複数の認証を行わなければならない場合がある。なお、ユーザに対する認証の重荷を減らすための技法としてシングルサインオン(SSO)が知られている。シングルサインオンによりユーザはサインオン動作を完了した後、すなわち認証されたあとに別の認証動作を実行する必要がなくなる(例えば特許文献2参照)。
サービスを提供する情報処理システムや情報処理装置は、ユーザ管理のためのユーザ情報の内容が異なる場合がある。しかしながら、従来の情報処理システムや情報処理装置を組み合わせて行う処理の連携では、ユーザ管理のためのユーザ情報の内容が整合するように設計し直さなければ、ユーザ管理に不都合が生じることがあるという問題があった。
本発明の実施の形態は、上記の点に鑑みなされたもので、ユーザ管理のためのユーザ情報の自由度を向上できる情報処理システム、情報処理装置、認証方法及びプログラムを提供することを目的とする。
上記目的を達成するために本願請求項1は、1以上の情報処理装置を含む情報処理システムであって、ユーザを組織識別情報、ユーザ識別情報及び予め付与された一意の識別情報で管理し、前記組織識別情報、前記ユーザ識別情報及び前記一意の識別情報に基づいて、前記ユーザを認証し、共通サービスを提供する共通サービス提供手段と、ユーザをユーザ識別情報で管理し、前記共通サービス提供手段が提供する共通サービスを利用して応用サービスを提供する応用サービス提供手段と、を備え、前記応用サービス提供手段は、外部装置から受信したユーザ識別情報、組織識別情報に対する認証を前記共通サービス提供手段に要求し、前記外部装置から受信したユーザ識別情報、組織識別情報に関連付けられた前記一意の識別情報を受信する受信手段と、前記一意の識別情報によりユーザを特定して前記共通サービス提供手段に共通サービスの提供を要求する要求手段とを備えることを特徴とする。
本発明の実施の形態によれば、ユーザ管理のためのユーザ情報の自由度を向上できる。
第1の実施形態に係る情報処理システムの一例の構成図である。 サービス提供システムの他の例の構成図である。 コンピュータシステムの一例のハードウェア構成図である。 第1の実施形態に係るサービス提供システムの一例の処理ブロック図である。 組織情報の一例の構成図である。 ユーザ情報の一例の構成図である。 ライセンス情報の一例の構成図である。 機器情報の一例の構成図である。 権限情報の一例の構成図である。 第1の実施形態に係るサービス提供システムの他の例の処理ブロック図である。 ポータルサービスアプリの一例の構成図である。 ログインする処理手順を表した一例のシーケンス図(1/2)である。 UUIDとセッションIDとを関連付けるテーブルの一例の構成図である。 ログインする処理手順を表した一例のシーケンス図(2/2)である。 キャッシュデータの一例の構成図である。 ポータルテーブルの一例の構成図である。
以下、本発明の実施形態について図面を参照しながら説明する。
[第1の実施形態]
<システム構成>
図1は第1の実施形態に係る情報処理システムの一例の構成図である。図1の情報処理システム1000は例えばオフィス内ネットワーク等のネットワークN1と、クラウドサービスに代表されるサービス提供システムのネットワークN2と、インターネットなどのネットワークN3とを有する。
ネットワークN1は、ファイヤウォールFWの内側にあるプライベートなネットワークである。ファイヤウォールFWはネットワークN1とネットワークN3との接点に設置され、不正なアクセスを検出及び遮断する。ネットワークN1にはクライアント端末1011、携帯端末1012、複合機などの画像形成装置1013が接続されている。
クライアント端末1011は端末装置の一例である。クライアント端末1011は一般的なOSなどが搭載された情報処理装置によって実現できる。クライアント端末1011は無線による通信の手段または有線による通信の手段を有する。クライアント端末1011は、タブレットPC、ノートPCなど、ユーザが操作可能な端末である。
携帯端末1012は端末装置の一例である。携帯端末1012は、無線による通信の手段または有線による通信の手段を有している。携帯端末1012は、スマートフォンや携帯電話、タブレットPC、ノートPCなど、ユーザが携帯可能な端末である。
画像形成装置1013は複合機などの画像形成機能を有する装置である。画像形成装置1013は無線による通信の手段または有線による通信の手段を有する。画像形成装置1013は複合機、コピー機、スキャナ、プリンタ、レーザプリンタ、プロジェクタ、電子黒板など、画像形成に係る処理を行う装置である。図1では、一例としてクライアント端末1011、携帯端末1012、画像形成装置1013がそれぞれ一台である例を示しているが複数台であってもよい。
ネットワークN2はアクセス制御装置1021によってネットワークN3に接続されている。ネットワークN2はアクセス制御装置1021によってセキュリティが保護されている。ネットワークN2にはプリントサービス提供装置1022、スキャンサービス提供装置1023、他サービス提供装置1024が接続されている。
図1の情報処理システム1000は、アクセス制御装置1021、プリントサービス提供装置1022、スキャンサービス提供装置1023、他サービス提供装置1024がサービス提供システムを実現している。プリントサービス提供装置1022、スキャンサービス提供装置1023、他サービス提供装置1024はプリントサービス、スキャンサービスや他サービスを提供する。
アクセス制御装置1021はプリントサービス提供装置1022が提供するプリントサービスやスキャンサービス提供装置1023が提供するスキャンサービスなどへのログインを制御する。
アクセス制御装置1021、プリントサービス提供装置1022、スキャンサービス提供装置1023、他サービス提供装置1024は、一台以上の情報処理装置によって実現される。
アクセス制御装置1021、プリントサービス提供装置1022、スキャンサービス提供装置1023、他サービス提供装置1024は一台の情報処理装置に統合して実現してもよいし、複数の情報処理装置に分散して実現してもよい。
ネットワークN2側のサービスの一部はネットワークN2以外にあってもよい。携帯端末1012は、オフィス内ネットワーク等のネットワークN1以外にあってもよい。図1の情報処理システム1000では携帯端末1012がネットワークN1と、ネットワークN3とにある例を示している。
図1のサービス提供システムの構成は一例であって、図2に示すような構成によっても実現できる。図2はサービス提供システムの他の例の構成図である。図2のサービス提供システムはネットワークN2がファイヤウォールFWによってネットワークN3に接続されている。
ネットワークN2にはSaaS(Software as a Service)系のサービス提供装置、共通サービス(Network Service Platform)系のサービス提供装置、ストレージ(Storage)系の記憶装置が接続されている。なお、共通サービス系のサービス提供装置はSaaS系のサービス提供装置が共通で使えるサービスを提供する。
SaaS系のサービス提供装置は、例えばポータルサービス提供装置1051、プリントサービス提供装置1052、スキャンサービス提供装置1053など、提供するサービスに応じたサービス提供装置が含まれる。また、共通サービス系のサービス提供装置は、例えば認証サービス提供装置1061、データ処理サービス提供装置1062、一時データ保存サービス提供装置1063など、提供する共通サービスに応じたサービス提供装置が含まれる。ストレージ系の記憶装置は、例えば認証情報記憶装置1071、ジョブ情報記憶装置1072、一時データ記憶装置1073など、記憶する情報(データ)に応じた記憶装置が含まれる。
図2のサービス提供システムでは、例えばファイヤウォールFW、認証サービス提供装置1061が提供する認証サービスによってセキュリティが保護されている。なお、図2のサービス提供システムの構成も一例であって、他の構成であってもよい。
<ハードウェア構成>
図1のクライアント端末1011、携帯端末1012、アクセス制御装置1021、プリントサービス提供装置1022、スキャンサービス提供装置1023、他サービス提供装置1024は、例えば図3に示すようなハードウェア構成のコンピュータシステムにより実現される。
図2のSaaS系のサービス提供装置、共通サービス系のサービス提供装置、ストレージ系の記憶装置も、例えば図3に示すようなハードウェア構成のコンピュータシステムにより実現される。
図3はコンピュータシステムの一例のハードウェア構成図である。図3のコンピュータシステム1500は、入力装置1501、表示装置1502、外部I/F1503、RAM(Random Access Memory)1504、ROM(Read Only Memory)1505、CPU(Central Processing Unit)1506、通信I/F1507、及びHDD(Hard Disk Drive)1508などを備え、それぞれがバスBで相互に接続されている。
入力装置1501はキーボードやマウス、タッチパネルなどを含み、ユーザが各操作信号を入力するのに用いられる。表示装置1502はディスプレイ等を含み、コンピュータシステム1500による処理結果を表示する。
通信I/F1507はコンピュータシステム1500をネットワークN1〜N3に接続するインタフェースである。これにより、コンピュータシステム1500は通信I/F1507を介してデータ通信を行うことができる。
HDD1508はプログラムやデータを格納している不揮発性の記憶装置である。格納されるプログラムやデータには、例えばコンピュータシステム1500全体を制御する基本ソフトウェアであるOS(Operating System)や、OS上において各種機能を提供するアプリケーションソフトウェアなどがある。
HDD1508は格納しているプログラムやデータを所定のファイルシステム及び/又はDB(データベース)により管理している。外部I/F1503は、外部装置とのインタフェースである。外部装置には、記録媒体1503aなどがある。これにより、コンピュータシステム1500は外部I/F1503を介して記録媒体1503aの読み取り及び/又は書き込みを行うことができる。記録媒体1503aにはフレキシブルディスク、CD(Compact Disk)、DVD(Digital Versatile Disk)、SDメモリカード(SD Memory card)、USBメモリ(Universal Serial Bus memory)などがある。
ROM1505は、電源を切ってもプログラムやデータを保持することができる不揮発性の半導体メモリ(記憶装置)である。ROM1505には、コンピュータシステム1500の起動時に実行されるBIOS(Basic Input/Output System)、OS設定、及びネットワーク設定などのプログラムやデータが格納されている。RAM1504は、プログラムやデータを一時保持する揮発性の半導体メモリ(記憶装置)である。
CPU1506は、ROM1505やHDD1508などの記憶装置からプログラムやデータをRAM1504上に読み出し、処理を実行することで、コンピュータシステム1500全体の制御や機能を実現する演算装置である。
クライアント端末1011、携帯端末1012、アクセス制御装置1021、プリントサービス提供装置1022、スキャンサービス提供装置1023、他サービス提供装置1024は、コンピュータシステム1500のハードウェア構成により、後述するような各種処理を実現できる。また、図2のSaaS系のサービス提供装置、共通サービス系のサービス提供装置、ストレージ系の記憶装置も、コンピュータシステム1500のハードウェア構成により、後述するような各種処理を実現できる。なお、図1に示した画像形成装置1013、ファイヤウォールFWのハードウェア構成については説明を省略する。
<ソフトウェア構成>
《サービス提供システム》
第1の実施形態に係るサービス提供システムは例えば図4に示す処理ブロックにより実現される。図4は第1の実施形態に係るサービス提供システムの一例の処理ブロック図である。
サービス提供システム1100はプログラムを実行することにより、アプリケーション1101、共通サービス1102、データベース(DB)1103及びプラットフォームAPI(Application Programming Interface)1104を実現している。
アプリケーション1101は、ポータルサービスアプリ1111、スキャンサービスアプリ1112、プリントサービスアプリ1113を一例として有する。
ポータルサービスアプリ1111は、ポータルサービスを提供するアプリケーションである。ポータルサービスは、サービス提供システム1100を利用するための入り口となるサービスを提供する。スキャンサービスアプリ1112はスキャンサービスを提供するアプリケーションである。プリントサービスアプリ1113はプリントサービスを提供するアプリケーションである。アプリケーション1101には、その他のサービスアプリが含まれていてもよい。
プラットフォームAPI1104はポータルサービスアプリ1111、スキャンサービスアプリ1112、プリントサービスアプリ1113などのアプリケーション1101が共通サービス1102を利用するためのインタフェースである。プラットフォームAPI1104はアプリケーション1101からの要求を共通サービス1102が受信するために設けられた予め定義されたインタフェースであり、例えば関数やクラス等により構成される。
プラットフォームAPI1104は、サービス提供システム1100が複数の情報処理装置で構成される場合、ネットワーク経由で利用可能な例えばWeb APIにより実現できる。
共通サービス1102は、認証・認可部1121、組織管理部1122、ユーザ管理部1123、ライセンス管理部1124、機器管理部1125、一時画像保存部1126、画像処理ワークフロー制御部1127、ログ収集部1128を有する。
また、画像処理ワークフロー制御部1127はメッセージキュー1131、1つ以上のワーカー(Worker)1132を有する。ワーカー1132は画像変換や画像送信などの機能を実現する。
認証・認可部1121は、クライアント端末1011や画像形成装置1013などのオフィス機器からのログイン要求に基づいて認証・認可を実行する。オフィス機器はクライアント端末1011、携帯端末1012、画像形成装置1013などの総称である。
認証・認可部1121は、例えば後述するユーザ情報記憶部1143、ライセンス情報記憶部1144、権限情報記憶部1147などにアクセスしてユーザを認証・認可する。また、認証・認可部1121は例えば後述する組織情報記憶部1142、ライセンス情報記憶部1144、機器情報記憶部1145などにアクセスして画像形成装置1013などを認証する。
組織管理部1122は後述する組織情報記憶部1142に記憶されている組織情報を管理する。ユーザ管理部1123は、後述するユーザ情報記憶部1143に記憶されているユーザ情報を管理する。また、ユーザ管理部1123は後述する権限情報記憶部1147に記憶されている権限情報を管理する。
ライセンス管理部1124は後述するライセンス情報記憶部1144に記憶されているライセンス情報を管理する。機器管理部1125は後述する機器情報記憶部1145に記憶されている機器情報を管理する。一時画像保存部1126は後述する一時画像記憶部1146への一時画像の保存、一時画像記憶部1146からの一時画像の取得を行う。
画像処理ワークフロー制御部1127はアプリケーション1101からの要求に基づいて画像処理に関するワークフローを制御する。メッセージキュー1131は処理の種類に対応するキューを有する。画像処理ワークフロー制御部1127は処理(ジョブ)に係るリクエストのメッセージを、そのジョブの種類に対応するキューに投入する。
ワーカー1132は対応するキューを監視している。キューにメッセージが投入されるとワーカー1132は、対応するジョブの種類に応じた画像変換や画像送信などの処理を行う。なお、キューに投入されたメッセージはワーカー1132が主体的に読み出す(Pull)ようにしてもよいし、キューからワーカー1132に提供する(Push)ようにしてもよい。
データベース1103は、ログ情報記憶部1141、組織情報記憶部1142、ユーザ情報記憶部1143、ライセンス情報記憶部1144、機器情報記憶部1145、一時画像記憶部1146、権限情報記憶部1147、ジョブ情報記憶部1148、及び、アプリケーション固有の設定情報記憶部1149を有する。
ログ情報記憶部1141は、ログ情報を記憶する。組織情報記憶部1142は、後述の組織情報を記憶する。ユーザ情報記憶部1143は、後述のユーザ情報を記憶する。ライセンス情報記憶部1144は、ライセンス情報を記憶する。機器情報記憶部1145は後述の機器情報を記憶する。
一時画像記憶部1146は一時画像を記憶する。一時画像は、例えばワーカー1132が処理するスキャン画像などのファイルやデータである。権限情報記憶部1147は後述の権限情報を記憶する。ジョブ情報記憶部1148は処理(ジョブ)に係るリクエストの情報(ジョブ情報)を記憶する。アプリケーション固有の設定情報記憶部1149はアプリケーション1101に固有の設定情報を記憶する。
サービス提供システム1100は、認証・認可や画像処理に関するワークフローなどの共通サービスを提供する統合基盤と、統合基盤の機能を利用してスキャンサービス、プリントサービス、ポータルサービス等のアプリサービスを提供するサービス群と、して機能する。統合基盤は例えば共通サービス1102、DB1103及びプラットフォームAPI1104によって構成される。サービス群は例えばアプリケーション1101によって構成される。
図4に示したサービス提供システム1100はサービス群と統合基盤とを分離した構成により、プラットフォームAPI1104を利用するアプリケーション1101を容易に開発できる。
なお、図4に示したサービス提供システム1100の処理ブロックの分類形態は一例であり、アプリケーション1101、共通サービス1102、DB1103が図4に示されるような階層で分類されていることが必須ではない。第1の実施形態に係るサービス提供システム1100の処理を実施できるのであれば、図4に示される階層関係などは特定のものに限定されない。
図5は組織情報の一例の構成図である。図5に示す組織情報はデータ項目として、組織ID、組織名、表示言語、タイムゾーン、状態、国などを有する。組織IDは企業、部署などのグループを特定する情報である。組織IDは組織という言語に限定されるものではなく、例えば契約を識別する情報であってもよい。なお、組織IDは一意である。
組織名は企業、部署などのグループの名称を表している。表示言語は企業、部署などのグループの名称を表示する言語を表している。タイムゾーンは企業、部署などのグループが利用する標準時を表している。状態は企業、部署などのグループの状態を表している。国は企業、部署などのグループの属する国名を表している。
図6はユーザ情報の一例の構成図である。図6に示すユーザ情報はデータ項目として組織ID、ユーザID、パスワード、ユーザ名、表示言語、タイムゾーン、状態、UUIDなどを有する。
ユーザID、パスワードはユーザを特定する情報(ユーザ特定情報)である。ユーザIDはユーザ名等であってもよい。また、パスワードは必須でない。なお、同じ組織IDで管理されるユーザID、パスワードは一意であるが、組織IDが異なれば重複していてもよい。
さらに、ユーザIDはユーザが所持する電子媒体(例えばICカード)を識別する情報を用いてもよい。ユーザが所持する電子媒体としてはICカード、携帯電話、タブレット端末、電子書籍端末等を利用できる。電子媒体を識別する情報としては、カードID、シリアルID、携帯電話の電話番号、端末のプロフィール情報などを利用できる。電子媒体を識別する情報は組み合わせて利用してもよい。
ユーザ名はユーザの名称を表している。表示言語はユーザ名を表示する言語を表している。タイムゾーンはユーザが利用する標準時を表している。状態はユーザの状態を表している。国はユーザの属する国名を表している。
UUID(Universally Unique Identifier)はユニークな識別子である。例えばUUIDは世界中でユニークな識別子であるが、本実施例において、必ずしも世界中でユニークである必要はなく、第1の実施形態の情報処理システム1000においてユニークな識別子であればよい。
図7はライセンス情報の一例の構成図である。図7に示すライセンス情報はデータ項目として組織ID、サービスなどを有する。サービスは、サービスを特定する情報(サービス特定情報)である。ライセンス情報は、組織IDにより特定される組織が利用することのできる1つ以上のサービスを表している。ライセンス情報は、例えば組織に属する有効なサービスのライセンスが一つ以上存在する場合に作成される。
図8は機器情報の一例の構成図である。図8に示す機器情報はデータ項目として、組織ID、デバイス認証情報、事業所情報、ケーパビリティなどを有する。デバイス認証情報は、オフィス機器が特定の条件を備えていることを判別するデバイス認証のための情報である。デバイス認証情報はオフィス機器に特定のアプリケーションが搭載されていることを示すIDや、特定のオフィス機器であることを示す機器番号などであってもよい。事業所情報は例えばオフィス機器が設置されている事業所を表している。ケーパビリティは例えばオフィス機器の能力を表している。
図9は権限情報の一例の構成図である。図9に示す権限情報はデータ項目としてユーザID、ロールなどを有する。ロールはユーザの役割を表す。ユーザの役割には、例えば管理者や一般ユーザなどが含まれる。
なお、図4に示したサービス提供システム1100の処理ブロックは例えば図10に示すような処理ブロックであってもよい。図10は第1の実施形態に係るサービス提供システムの他の例の処理ブロック図である。なお、図10のサービス提供システム1100は一部を除いて図4のサービス提供システム1100と同様であるため、同一部分について適宜説明を省略する。
図10のサービス提供システム1100は、プログラムを実行することにより、アプリケーション1101、共通サービス1102、DB1103及びプラットフォームAPI1104に加えて、ドメイン固有API1105、ドメイン固有サービス1106を実現している。
図10のサービス提供システム1100はアプリケーション1101、ドメイン固有API1105及びドメイン固有サービス1106が、図4のサービス提供システム1100と異なっている。図10のアプリケーション1101は、ポータルサービスアプリ1111、スキャンサービスアプリのUI部1112a、プリントサービスアプリのUI部1113aを一例として有する。また、ドメイン固有サービス1106はスキャンサービスアプリのロジック部1112b、プリントサービスアプリのロジック部1113bを一例として有する。
ドメイン固有のロジックであるスキャンサービスアプリのロジック部1112bとプリントサービスアプリのロジック部1113bとは、携帯端末1012や画像形成装置1013などのWebブラウザ以外のクライアントからのアクセスを受ける。Webブラウザ以外のクライアントにおいて、スキャンサービスアプリのUI部1112aなどのUI部がクライアント側に配置されるため、サーバ側はドメイン固有API1105を提供できればよい。
このように、図10のサービス提供システム1100は、WebブラウザからのアクセスをスキャンサービスアプリのUI部1112aなどのUI部が受ける。また、Webブラウザ以外のクライアントからのアクセスをスキャンサービスアプリのロジック部1112bなどのロジック部が受ける。Webブラウザからのアクセスと、Webブラウザ以外のクライアントからのアクセスとは頻度が異なるため、これらを別サーバとして配置することで、頻度の増加に伴うスケールアウトをより効果的に行うことができる。また、図10のサービス提供システム1100では、ドメイン固有APIを組み合わせて利用することで、複合的なアプリケーションを構築することもできる。
《ポータルサービスアプリ1111》
図11はポータルサービスアプリの一例の構成図である。ポータルサービスアプリ1111は、1つ以上のポートレット1201、ログインUI1202、ポータルフレームワーク1203、マッピングモジュール1204、アプリケーションサーバ1205、HTTPサーバ1206を有する構成である。
図11のポータルサービスアプリ1111は、アプリケーションサーバ1205及びHTTPサーバ1206上にポータルフレームワーク1203が起動されている。ポータルフレームワーク1203は、後述するような機能を備えたマッピングモジュール1204を有する。
ポータルフレームワーク1203は1つ以上のポートレット1201及びログインUI1202に汎用的な機能をまとめて提供し、1つ以上のポートレット1201及びログインUI1202の土台として機能する。ポートレット1201はポータルで管理・表示される着脱可能なUIコンポーネントである。ログインUI1202はオフィス機器を操作するユーザからのログインに関する処理を行う。
<処理の詳細>
《ログイン》
複数の組織のユーザ管理を行うシステムと、組織の概念のないシステムとを組み合わせて使うとき、ユーザIDでユーザ管理を行うと、組織間で同じユーザIDが存在する可能性があり、ユーザ管理に不都合が生じる可能性があった。
例えば図4のサービス提供システム1100の例では組織の概念のないポータルサービスアプリ1111を使うときに同様な不都合が生じる。図4のサービス提供システム1100ではユーザIDでユーザ管理を行うと、複数の組織のユーザ管理に対応した共通サービス1102及びデータベース1103において組織間で同じユーザIDが存在する可能性があった。
そこで、第1の実施形態に係るサービス提供システム1100では、ユーザIDなどのユーザ特定情報にUUIDを付与する。組織の概念のないポータルアプリケーション1111はユーザを特定して共通サービス1102及びデータベース1103に処理を依頼するとき、UUIDを利用して行う。ポータルアプリケーション1111はユーザIDの代わりにUUIDを使用すればよいので、後述するように大幅な変更を必要としない。
図12はログインする処理手順を表した一例のシーケンス図(1/2)である。例えば図1のクライアント端末1011に搭載されたWebブラウザはユーザから例えばアクセス先としてログイン画面のURLを入力又はブックマークから選択されることで、ログインUIからログイン画面を受信する。
Webブラウザはログイン画面を表示する。ユーザはログイン画面に組織ID、ユーザID及びパスワードを入力してログインボタンなどを押下する。ログインボタンが押下されると、WebブラウザはステップS1に進み、ログインUI1202にログインを要求する。なお、ログインの要求には組織ID、ユーザID、パスワードが含まれる。
ステップS2において、ログインUI1202は認証・認可部1121にWebブラウザからのログインの要求に含まれていた組織ID、ユーザID、パスワードによるログインを要求する。認証・認可部1121はログインUI1202からのログインの要求に含まれていた組織ID、ユーザID、パスワードの組みが、図6に示すようなユーザ情報としてユーザ情報記憶部1143に記憶されているか確認する。
ログインの要求に含まれていた組織ID、ユーザID、パスワードの組みが、ユーザ情報記憶部1143に記憶されていれば、ステップS4において、認証・認可部1121はログインUI1202に認証チケットを返す。また、認証・認可部1121はステップS4において、ログインの要求に含まれる組織ID、ユーザID、パスワードの組みに関連付けられたUUIDをログインUI1202に返す。
ステップS5において、ログインUI1202はUUIDを指定してポータルフレームワーク1203にログインを要求する。ステップS6において、ポータルフレームワーク1203はUUIDを指定してマッピングモジュール1204にログインを要求する。ステップS7において、マッピングモジュール1204はポータルフレームワーク1203からのログインの要求に含まれていたUUIDが、図6に示すようなユーザ情報としてユーザ情報記憶部1143に記憶されているか確認する。
ログインの要求に含まれていたUUIDが、ユーザ情報記憶部1143に記憶されていれば、ステップS8において、マッピングモジュール1204はポータルフレームワーク1203に認証OKを返す。マッピングモジュール1204はポータルフレームワーク1203とデータベース1103との接続モジュールとして機能する。
ステップS9において、ポータルフレームワーク1203はセッションIDを生成すると共に、そのセッションIDとUUIDとを関連付けて図13のように保存する。図13はUUIDとセッションIDとを関連付けるテーブルの一例の構成図である。
ステップS10において、ポータルフレームワーク1203はステップS5のログイン要求に対する応答をログインUI1202に返す。認証OKであれば、ログインUI1202はステップS11において、セッションIDを指定して、Webブラウザをポータルフレームワーク1203にリダイレクトさせる。なお、セッションIDはクッキーに設定できる。
ステップS11以降の処理を図14に示す。図14はログインする処理手順を表した一例のシーケンス図(2/2)である。ポータルフレームワーク1203はクッキーに設定されたセッションIDを取得し、そのセッションIDに関連付くUUIDを図13に示したテーブルから読み出す。ポータルフレームワーク1203はUUIDに基づき、ポータル画面の作成に必要な情報を取得するまで、マッピングモジュール1204に情報を繰り返し要求する。
例えばステップS12において、ポータルフレームワーク1203はUUIDを指定してマッピングモジュール1204にユーザテーブル情報を要求する。ステップS13において、マッピングモジュール1204はデータベース1103に、UUIDにより指定されたユーザテーブル情報を要求する。ステップS14において、マッピングモジュール1204はデータベース1103からユーザテーブル情報を取得する。
マッピングモジュール1204はデータベース1103から取得したユーザテーブル情報をポータルフレームワーク1203で扱えるデータ構造に変換する。そして、ステップS15において、マッピングモジュール1204はポータルフレームワーク1203で扱えるデータ構造のユーザ情報を、ポータルフレームワーク1203に提供する。
ステップS12〜S15と同様に、例えばステップS16において、ポータルフレームワーク1203はUUIDを指定してマッピングモジュール1204に権限テーブル情報を要求する。ステップS17において、マッピングモジュール1204はデータベース1103に、UUIDにより指定された権限テーブル情報を要求する。ステップS18において、マッピングモジュール1204はデータベース1103から権限テーブル情報を取得する。
マッピングモジュール1204はデータベース1103から取得した権限テーブル情報をポータルフレームワーク1203で扱えるデータ構造に変換する。そして、ステップS19において、マッピングモジュール1204はポータルフレームワーク1203で扱えるデータ構造の権限情報を、ポータルフレームワーク1203に提供する。
なお、図14に示したユーザテーブル情報はポータル画面の作成に必要なユーザ情報の一例である。また、権限テーブル情報は、ポータル画面の作成に必要な権限情報の一例である。図14に示したマッピングモジュール1204がデータベース1103から取得する情報の内容、手順は一例であって、以下のようであってもよい。
例えば図5〜図9に示すような構成の情報の場合、マッピングモジュール1204はUUIDを指定して図6のユーザ情報を取得し、取得したユーザ情報の組織IDを指定して図5の組織情報、図7のライセンス情報、図8の機器情報などを取得できる。また、取得したユーザ情報のユーザIDを指定して図9の権限情報を取得できる。
ポータル画面の作成に必要な情報を取得すると、ポータルフレームワーク1203は図15に示すように、UUIDと紐付けてキャッシュする。図15はキャッシュデータの一例の構成図である。図15のキャッシュデータはデータベース1103から取得した情報をUUIDと紐付けて記憶するものである。キャッシュデータはポータルフレームワーク1203から高速にアクセス可能な記憶領域にキャッシュする。なお、権限情報などの変更を直ぐに反映させる必要のある情報はキャッシュしないようにしてもよい。
キャッシュを「する/しない」は例えば全情報に対して一括に設定してもよいし、情報ごとに設定してもよい。ステップS20において、ポータルフレームワーク1203はUUID、ユーザ情報、権限情報などを指定して、ポータルテーブル1211にポータル画面の画面情報を要求する。
ポータルテーブル1211は画面情報を持つテーブルである。図16はポータルテーブルの一例の構成図である。図16に示すように、ポータル画面には、ポータル利用者全員に提供される共通画面と、各サービスの利用権限を持つユーザに提供されるサービス専用画面と、が含まれる。
図16のポータルテーブルはユーザのロール毎に、共通画面に含まれるタブの内、表示するタブを「○」で示すと共に、サービス専用画面のタブの内、表示するタブを「○」で示している。
ポータルテーブル1211はステップS21において、ポータルフレームワーク1203はポータルテーブル1211から、ユーザのロールと、ユーザが利用権限を持つサービスとに基づくポータル画面の画面情報を取得する。ステップS22において、ポータルフレームワーク1203は取得したポータル画面の画面情報に基づき、ポータル画面を生成してWebブラウザに表示させる。
例えば図16に示すようなポータルテーブル1211の場合、ロール「user」及びサービス「スキャンサービス」「プリントサービス」の利用権限を持つユーザのポータル画面には「アプリ一覧」「アカウント情報」「ジョブ登録画面」のタブが表示される。
また、図16に示すようなポータルテーブル1211の場合、ロール「poweruser」及びサービス「スキャンサービス」「プリントサービス」の利用権限を持つユーザのポータル画面には全てのタブが表示される。
なお、ポータルフレームワーク1203はクッキーから取得したUUIDが図15に示すキャッシュデータにキャッシュされていれば、マッピングモジュール1204に情報を要求せずに、キャッシュされている情報を利用してもよい。キャッシュデータを利用することにより、ポータルフレームワーク1203はデータベース1103へのアクセス回数を削減できると共に、ポータル画面を表示するまでの時間を短縮できる。
(まとめ)
第1の実施形態に係るサービス提供システム1100によれば、組織IDを利用しないポータルフレームワーク1203であってもUUIDによりユーザを特定できるので組織IDを利用する共通サービス1102、データベース1103との連携が容易となる。
したがって、第1の実施形態に係る情報処理システム1000はUUIDによりユーザ管理のためのユーザ情報の差異を吸収できるので、ユーザ管理のためのユーザ情報の自由度を向上できる
本発明は、具体的に開示された上記の実施形態に限定されるものではなく、特許請求の範囲から逸脱することなく、種々の変形や変更が可能である。例えば本実施形態では一例としてポータルサービスアプリ1111について説明したが、スキャンサービスアプリ1112やプリントサービスアプリ1113への応用も可能である。
なお、特許請求の範囲に記載した共通サービス提供手段は共通サービス1102に相当する。応用サービス提供手段はアプリケーション1101に相当する。受信手段はログインUI1202に相当する。要求手段はポータルフレームワーク1203に相当する。一意の識別情報はUUIDに相当する。外部装置はWebブラウザが搭載されるオフィス機器に相当する。接続手段はマッピングモジュール1204に相当する。ユーザ識別情報はユーザIDに相当する。組織識別情報は組織IDに相当する。
1000 情報処理システム
1011 クライアント端末
1012 携帯端末
1013 画像形成装置
1021 アクセス制御装置
1022 プリントサービス提供装置
1023 スキャンサービス提供装置
1024 他サービス提供装置
1051 ポータルサービス提供装置
1052 プリントサービス提供装置
1053 スキャンサービス提供装置
1061 認証サービス提供装置
1062 データ処理サービス提供装置
1063 一時データ保存サービス提供装置
1071 認証情報記憶装置
1072 ジョブ情報記憶装置
1073 一時データ記憶装置
1100 サービス提供システム
1101 アプリケーション
1102 共通サービス
1103 データベース
1104 プラットフォームAPI(Application Programming Interface)
1105 ドメイン固有API
1106 ドメイン固有サービス
1111 ポータルサービスアプリ
1112 スキャンサービスアプリ
1112a スキャンサービスアプリのUI部
1112b スキャンサービスアプリのロジック部
1113 プリントサービスアプリ
1113a プリントサービスアプリのUI部
1113b プリントサービスアプリのロジック部
1121 認証・認可部
1122 組織管理部
1123 ユーザ管理部
1124 ライセンス管理部
1125 機器管理部
1126 一時画像保存部
1127 画像処理ワークフロー制御部
1128 ログ収集部
1131 メッセージキュー
1132 ワーカー
1141 ログ情報記憶部
1142 組織情報記憶部
1143 ユーザ情報記憶部
1144 ライセンス情報記憶部
1145 機器情報記憶部
1146 一時画像記憶部
1147 権限情報記憶部
1148 ジョブ情報記憶部
1149 アプリケーション固有の設定情報記憶部
1201 ポートレット
1202 ログインUI
1203 ポータルフレームワーク
1204 マッピングモジュール
1205 アプリケーションサーバ
1206 HTTPサーバ
1211 ポータルテーブル
1500 コンピュータシステム
1501 入力装置
1502 表示装置
1503 外部I/F
1503a 記録媒体
1504 RAM
1505 ROM
1506 CPU
1507 通信I/F
1508 HDD
B バス
FW ファイヤウォール
N1〜N3 ネットワーク
特開2012−226700号公報 特開2006−31714号公報

Claims (9)

  1. 1以上の情報処理装置を含む情報処理システムであって、
    ユーザを組織識別情報、ユーザ識別情報及び予め付与された一意の識別情報で管理し、前記組織識別情報、前記ユーザ識別情報及び前記一意の識別情報に基づいて、前記ユーザを認証し、共通サービスを提供する共通サービス提供手段と、
    ユーザをユーザ識別情報で管理し、前記共通サービス提供手段が提供する共通サービスを利用して応用サービスを提供する応用サービス提供手段と、を備え、
    前記応用サービス提供手段は、
    外部装置から受信したユーザ識別情報、組織識別情報に対する認証を前記共通サービス提供手段に要求し、前記外部装置から受信したユーザ識別情報、組織識別情報に関連付けられた前記一意の識別情報を受信する受信手段と、
    前記一意の識別情報によりユーザを特定して前記共通サービス提供手段に共通サービスの提供を要求する要求手段と
    を備えることを特徴とする情報処理システム。
  2. 前記要求手段は、前記一意の識別情報によりユーザを特定して前記共通サービス提供手段に情報を要求し、その要求により取得した情報を前記一意の識別情報と紐付けて記憶しておくこと
    を特徴とする請求項1記載の情報処理システム。
  3. 前記要求手段は、前記一意の識別情報によりユーザを特定して前記共通サービス提供手段に情報を要求するとき、前記一意の識別情報と紐付けられて記憶されている前記情報があれば、前記一意の識別情報と紐付けられて記憶されている前記情報を利用すること
    を特徴とする請求項2記載の情報処理システム。
  4. 前記要求手段は、前記一意の識別情報によりユーザを特定して前記共通サービス提供手段に前記一意の識別情報と関連付いたユーザの権限情報、ユーザが利用可能な応用サービス情報を少なくとも取得し、取得した前記ユーザの権限情報及び前記ユーザが利用可能な応用サービス情報に応じた画面を生成して、前記外部装置に表示させること
    を特徴とする請求項1乃至3何れか一項記載の情報処理システム。
  5. 前記応用サービス提供手段は、前記要求手段が前記一意の識別情報によりユーザを特定して行った要求を、前記共通サービス提供手段に要求する接続手段、を更に有すること
    を特徴とする請求項1記載の情報処理システム。
  6. 前記接続手段は、前記要求手段が、前記一意の識別情報によりユーザを特定して前記共通サービス提供手段に情報を要求したとき、その要求により取得した前記情報を前記要求手段で扱えるデータ構造に変換すること
    を特徴とする請求項5記載の情報処理システム。
  7. ユーザを組織識別情報、ユーザ識別情報及び予め付与された一意の識別情報で管理し、前記組織識別情報、前記ユーザ識別情報及び前記一意の識別情報に基づいて、前記ユーザを認証し、共通サービスを提供する共通サービス提供手段と、
    ユーザをユーザ識別情報で管理し、前記共通サービス提供手段が提供する共通サービスを利用して応用サービスを提供する応用サービス提供手段と、を備え、
    前記応用サービス提供手段は、
    外部装置から受信したユーザ識別情報、組織識別情報に対する認証を前記共通サービス提供手段に要求し、前記外部装置から受信したユーザ識別情報、組織識別情報に関連付けられた前記一意の識別情報を受信する受信手段と、
    前記一意の識別情報によりユーザを特定して前記共通サービス提供手段に共通サービスの提供を要求する要求手段と
    を備えることを特徴とする情報処理装置。
  8. コンピュータを、請求項7記載の情報処理装置として機能させるためのプログラム。
  9. 1以上の情報処理装置を含む情報処理システムが実行する認証方法であって、
    前記情報処理システムが、
    ユーザを組織識別情報、ユーザ識別情報及び予め付与された一意の識別情報で管理し、前記組織識別情報、前記ユーザ識別情報及び前記一意の識別情報に基づいて、前記ユーザを認証し、共通サービスを提供する共通サービス提供手段と、
    ユーザをユーザ識別情報で管理し、前記共通サービス提供手段が提供する共通サービスを利用して応用サービスを提供する応用サービス提供手段と、を備え、
    前記応用サービス提供手段が、
    外部装置から受信したユーザ識別情報、組織識別情報に対する認証を前記共通サービス提供手段に要求するステップと、
    前記外部装置から受信したユーザ識別情報、組織識別情報に関連付けられた前記一意の識別情報を前記共通サービス提供手段から受信するステップと、
    前記一意の識別情報によりユーザを特定して前記共通サービス提供手段に共通サービスの提供を要求するステップと
    を有することを特徴とする認証方法。
JP2013021266A 2013-02-06 2013-02-06 情報処理システム、情報処理装置、認証方法及びプログラム Active JP6102296B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2013021266A JP6102296B2 (ja) 2013-02-06 2013-02-06 情報処理システム、情報処理装置、認証方法及びプログラム
US14/164,319 US9282091B2 (en) 2013-02-06 2014-01-27 Information processing system, information processing device, and authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013021266A JP6102296B2 (ja) 2013-02-06 2013-02-06 情報処理システム、情報処理装置、認証方法及びプログラム

Publications (2)

Publication Number Publication Date
JP2014153807A JP2014153807A (ja) 2014-08-25
JP6102296B2 true JP6102296B2 (ja) 2017-03-29

Family

ID=51260282

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013021266A Active JP6102296B2 (ja) 2013-02-06 2013-02-06 情報処理システム、情報処理装置、認証方法及びプログラム

Country Status (2)

Country Link
US (1) US9282091B2 (ja)
JP (1) JP6102296B2 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11171941B2 (en) * 2015-02-24 2021-11-09 Nelson A. Cicchitto Mobile device enabled desktop tethered and tetherless authentication
CN104820814A (zh) * 2015-05-07 2015-08-05 熊小军 第二代身份证防伪验证***
CN107592321A (zh) * 2017-10-27 2018-01-16 天津港中煤华能煤码头有限公司 单点登录***
CN110958148B (zh) * 2019-12-06 2023-07-28 浩云科技股份有限公司 一种分布式接入设备的部署***
JP7418238B2 (ja) 2020-02-21 2024-01-19 日本瓦斯株式会社 情報処理装置、情報処理方法、及びプログラム

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7747856B2 (en) * 2002-07-26 2010-06-29 Computer Associates Think, Inc. Session ticket authentication scheme
US7568218B2 (en) * 2002-10-31 2009-07-28 Microsoft Corporation Selective cross-realm authentication
JP4039632B2 (ja) * 2003-08-14 2008-01-30 インターナショナル・ビジネス・マシーンズ・コーポレーション 認証システム、サーバおよび認証方法並びにプログラム
US20060010251A1 (en) * 2004-06-16 2006-01-12 Nokia Corporation Global community naming authority
US8117529B2 (en) * 2004-06-28 2012-02-14 Sap Ag Object based navigation
US20060021018A1 (en) 2004-07-21 2006-01-26 International Business Machines Corporation Method and system for enabling trust infrastructure support for federated user lifecycle management
JP2007264928A (ja) * 2006-03-28 2007-10-11 Ricoh Co Ltd 情報提供装置、情報提供方法および情報提供プログラム
US8924269B2 (en) * 2006-05-13 2014-12-30 Sap Ag Consistent set of interfaces derived from a business object model
US8364788B2 (en) * 2008-03-13 2013-01-29 Hewlett-Packard Development Company, L.P. Processing client requests for common services according to one or more canonical forms
WO2009145987A2 (en) * 2008-03-30 2009-12-03 Symplified, Inc. System, method, and apparatus for single sign-on and managing access to resources across a network
JP5482363B2 (ja) * 2009-07-31 2014-05-07 株式会社リコー 画像処理システム、画像処理装置及び画像処理方法
JP2012226700A (ja) 2011-04-22 2012-11-15 Canon Inc 印刷システム、印刷中継サーバー、印刷中継サーバーを制御する制御方法、およびそのプログラム。
US9053097B2 (en) * 2011-05-05 2015-06-09 Ortsbo, Inc. Cross-language communication between proximate mobile devices

Also Published As

Publication number Publication date
US20140223009A1 (en) 2014-08-07
US9282091B2 (en) 2016-03-08
JP2014153807A (ja) 2014-08-25

Similar Documents

Publication Publication Date Title
US9288213B2 (en) System and service providing apparatus
JP6476760B2 (ja) 情報処理システム、情報処理装置、ログイン方法、及びプログラム
JP6064636B2 (ja) 情報処理システム、情報処理装置、認証方法及びプログラム
JP6291826B2 (ja) 情報処理システム及びライセンス管理方法
US9659154B2 (en) Information processing system, information processing apparatus, method of administrating license, and program
US20170041504A1 (en) Service providing system, information processing apparatus, program, and method for generating service usage information
JP6459398B2 (ja) 情報処理システム、情報処理装置、アクセス制御方法及びプログラム
JP6248641B2 (ja) 情報処理システム及び認証方法
US9514291B2 (en) Information processing system, information processing device, and authentication information management method
JP6372311B2 (ja) 情報処理システム、電子機器、サービス認可方法及びプログラム
JP6357780B2 (ja) ネットワークシステム及び情報通知方法
JP6427880B2 (ja) 情報処理システム、情報処理装置及びプログラム
JP6102296B2 (ja) 情報処理システム、情報処理装置、認証方法及びプログラム
JP6582841B2 (ja) サービス提供システム、情報処理装置、プログラム及び情報処理システム
JP6716899B2 (ja) 情報処理システム、情報処理装置及びプログラム
JP2015028704A (ja) サービス提供システム、サービス提供方法及びプログラム
JP6927282B2 (ja) 情報処理装置、端末装置、プログラム及び情報処理システム
JP6237868B2 (ja) クラウドサービス提供システム及びクラウドサービス提供方法
JP6288241B2 (ja) サービス提供方法、サービス提供装置、及び、サービス提供プログラム
JP2018081572A (ja) サービス提供システム、情報処理装置、プログラム及び情報処理システム
JP2017041221A (ja) サービス提供システム、サービス提供方法、情報処理装置及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160122

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20161101

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161220

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170131

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170213

R151 Written notification of patent or utility model registration

Ref document number: 6102296

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151