JP6662215B2 - 管理システム、通信システム、管理方法、及びプログラム - Google Patents

管理システム、通信システム、管理方法、及びプログラム Download PDF

Info

Publication number
JP6662215B2
JP6662215B2 JP2016124751A JP2016124751A JP6662215B2 JP 6662215 B2 JP6662215 B2 JP 6662215B2 JP 2016124751 A JP2016124751 A JP 2016124751A JP 2016124751 A JP2016124751 A JP 2016124751A JP 6662215 B2 JP6662215 B2 JP 6662215B2
Authority
JP
Japan
Prior art keywords
user
client
identification information
management system
management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016124751A
Other languages
English (en)
Other versions
JP2017228144A (ja
Inventor
真夕 計田
真夕 計田
岳志 堀内
岳志 堀内
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2016124751A priority Critical patent/JP6662215B2/ja
Priority to US15/621,074 priority patent/US10728254B2/en
Publication of JP2017228144A publication Critical patent/JP2017228144A/ja
Application granted granted Critical
Publication of JP6662215B2 publication Critical patent/JP6662215B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • G06F21/335User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Telephonic Communication Services (AREA)
  • Information Transfer Between Computers (AREA)

Description

本発明は、管理システム、通信システム、管理方法、及びプログラムに関する。
ユーザが認証され、クライアントアプリケーションの利用が認可されてから、ユーザにクライアントアプリケーションを利用させるOAuth2.0などの通信プロトコルが知られている。このような通信プロトコルにおいて、サーバは、認可を判断する情報として、ユーザと、このユーザによる利用が認可されるクライアントアプリケーションとを関連付けて管理する。ユーザとクライアントアプリケーションとの関連付けは、例えば、ユーザによるクライアントアプリケーションの開発者への課金、或いは利用期限の経過などに応じて更新される。
特許文献1には、ある通信IDを有する端末10は、使用期間管理テーブルの機能IDの項目に指定された機能IDの機能(アプリケーション)を、使用可能期間内に限り、使用することができることが開示されている。
しかしながら、上記の関連付けを通信システムのユーザ側の権限で実行する場合には、一例として、ユーザが、自身を未課金のクライアントアプリケーションに関連付けるなど、適切に関連付けを行うことができなくなるという課題が生じる。
請求項1に係る発明の管理システムは、第1のユーザの識別情報、及び前記第1のユーザによる利用が認可される第1のクライアントの識別情報を関連付ける要求、並びに、認証されたユーザであって、かつ第2のクライアントの利用が認可されたユーザである第2のユーザの識別情報を受信する受信手段と、前記第2のユーザの識別情報が、前記第1のクライアントに対応する所定の情報である場合に、前記第1のユーザの識別情報、及び前記第1のクライアントの識別情報を関連付ける処理を実行する実行手段と、を有する。
以上説明したように本発明によれば、ユーザと、このユーザによる利用が認可されるクライアントアプリケーションと、の関連付けを、通信システムのユーザ側の権限で適切に実行できるようになるという効果を奏する。
本発明の一実施形態に係る通信システムの概略図である。 一実施形態に係る端末のハードウェア構成図である。 一実施形態に係る管理システムのハードウェア構成図である。 一実施形態に係る端末、及び管理システムの各機能ブロック図である。 管理システムが管理する各管理テーブルを示す概念図である。 一実施形態における認証処理を示すシーケンス図である。 ユーザ及びアプリを紐付ける処理の一例を示すシーケンス図である。
以下、本発明の実施形態について説明する。
<<通信システムの概略>>
図1は、本発明の一実施形態に係る通信システムの概略図である。通信システム1は、認証認可プロトコルの一例として、OAuth2.0を利用したサービス提供システムである。図1において、通信ネットワーク2上にサービス提供システムの管理者側は示されており、サービス提供システムの利用者側は、通信ネットワーク2に接続して示されている。
以下、通信端末を「端末」と表し、端末10a,10x,10yのうち任意の端末を端末10と表す。通信システム1は、端末10、及び管理システム50によって構築されている。端末10は、例えば、タブレット、スマートフォン、PC(personal computer)等の汎用端末、若しくは、テレビ会議端末、電子黒板、電子看板、カメラなどの専用端末である。なお、通信システム1において、端末の種類、及び数は限定されるものではない。また、各端末10は、同種であっても、異種であっても良い。
以下、通信システム1において、利用されるクライアントアプリケーションを「アプリ」と表す。アプリは、例えば、管理システム50、又は通信ネットワーク2上の任意のサーバに記憶されており、管理システム50又はサーバ上で動作しても良い。また、アプリは、他の一例では、端末10にインストールされており、端末10上で動作しても良い。アプリは、サービス提供システムの管理者、又はサービス提供システムの利用者によって開発される。サービス提供システムの利用者のうちアプリの開発者を「サードパーティ」、サービス提供システムの利用者のうちアプリの開発者以外を「エンドユーザ」と表す。ユーザmは、サービス提供システムの管理者であり、アプリ1030mの開発者である。ユーザxは、サードパーティに属し、アプリ1030xの開発者である。ユーザyは、サードパーティに属し、アプリ1030yの開発者である。ユーザaは、エンドユーザである。なお、アプリ、サードパーティ、及びエンドユーザの数は図1の記載に限定されない。
管理システム50は、アプリごとに、そのアプリを利用可能なユーザ、及びそのアプリの利用可能な期間を紐付けて管理する。これにより、管理システム50は、ユーザごとにアプリへのアクセス権を与えることができる。なお、「紐付け」は、ユーザと、このユーザによる利用が認可されるアプリと、を「関連付け」ることを表している。管理システム50において、アプリを管理する期間に応じてコストが発生する。エンドユーザによる課金があると、管理システム50は、サードパーティによる要求に応じて、ユーザ、及びアプリを関連付ける。
<<ハードウェア構成>>
次に、通信システム1を構成する各装置のハードウェア構成を説明する。
図2は、一実施形態に係る端末10のハードウェア構成図である。なお、端末10は、通信可能であれば、端末10のハードウェア構成は図2の構成に限定されない。例えば、端末10は、図2に記載されていない構成が含まれていても、図2に記載の構成の一部が含まれていなくても良い。また、図2に記載の構成の一部は端末10に接続可能な外部装置等であっても良い。図2に示されているように、本実施形態の端末10は、端末10全体の動作を制御するCPU(Central Processing Unit)101、IPL(Initial Program Loader)等のCPU101の駆動に用いられるプログラムを記憶したROM(Read Only Memory)102、CPU101のワークエリアとして使用されるRAM(Random Access Memory)103、端末10の各種端末用のプログラム、画像データ、及び音データ等の各種データを記憶するフラッシュメモリ104、CPU101の制御にしたがってフラッシュメモリ104に対する各種データの読み出し又は書き込みを制御するSSD(Solid State Drive)105、フラッシュメモリやICカード(Integrated Circuit Card)等の記録メディア106に対するデータの読み出し又は書き込み(記憶)を制御するメディアI/F107、宛先を選択する場合などに操作される操作ボタン108、端末10の電源のON/OFFを切り換えるための電源スイッチ109、通信ネットワーク2を利用してデータ伝送をするためのネットワークI/F(Interface)111を備えている。
また、端末10は、CPU101の制御に従って被写体を撮像して画像データを得る内蔵型のカメラ112、このカメラ112の駆動を制御する撮像素子I/F113、音を入力する内蔵型のマイク114、音を出力する内蔵型のスピーカ115、CPU101の制御に従ってマイク114及びスピーカ115との間で音信号の入出力を処理する音入出力I/F116、CPU101の制御に従って外付けのディスプレイ120に画像データを伝送するディスプレイI/F117、各種の外部機器を接続するための外部機器接続I/F118、端末10の各種機能の異常を知らせるアラームランプ119、及び上記各構成要素を図2に示されているように電気的に接続するためのアドレスバスやデータバス等のバスライン110を備えている。
ディスプレイ120は、被写体の画像や操作等を表示する液晶や有機EL(Organic Electroluminescence)によって構成された表示部である。また、ディスプレイ120は、ケーブル120cによってディスプレイI/F117に接続される。このケーブル120cは、アナログRGB(VGA)信号用のケーブルであってもよいし、コンポーネントビデオ用のケーブルであってもよいし、HDMI(登録商標)(High-Definition Multimedia Interface)やDVI(Digital Video Interactive)信号用のケーブルであってもよい。
カメラ112は、レンズや、光を電荷に変換して被写体の画像(映像)を電子化する固体撮像素子を含み、固体撮像素子として、CMOS(Complementary Metal Oxide Semiconductor)や、CCD(Charge Coupled Device)等が用いられる。
外部機器接続I/F118には、筐体1100の接続口1132に差し込まれたUSB(Universal Serial Bus)ケーブル等によって、外付けカメラ、外付けマイク、及び外付けスピーカ等の外部機器がそれぞれ電気的に接続可能である。外付けカメラが接続された場合には、CPU101の制御に従って、内蔵型のカメラ112に優先して、外付けカメラが駆動する。同じく、外付けマイクが接続された場合や、外付けスピーカが接続された場合には、CPU101の制御に従って、それぞれが内蔵型のマイク114や内蔵型のスピーカ115に優先して、外付けマイクや外付けスピーカが駆動する。
なお、記録メディア106は、端末10に対して着脱自在な構成となっている。また、CPU101の制御にしたがってデータの読み出し又は書き込みを行う不揮発性メモリであれば、フラッシュメモリ104に限らず、EEPROM(Electrically Erasable and Programmable ROM)等を用いてもよい。
図3は、一実施形態に係る管理システム50のハードウェア構成図である。管理システム50は、管理システム50全体の動作を制御するCPU501、IPL等のCPU501の駆動に用いられるプログラムを記憶したROM502、CPU501のワークエリアとして使用されるRAM503、管理システム50用のプログラム等の各種データを記憶するHD504、CPU501の制御にしたがってHD504に対する各種データの読み出し又は書き込みを制御するHDD(Hard Disk Drive)505、フラッシュメモリ等の記録メディア506に対するデータの読み出し又は書き込み(記憶)を制御するメディアドライブ507、カーソル、メニュー、ウィンドウ、文字、又は画像などの各種情報を表示するディスプレイ508、通信ネットワーク2を利用してデータ通信するためのネットワークI/F509、文字、数値、各種指示などの入力のための複数のキーを備えたキーボード511、各種指示の選択や実行、処理対象の選択、カーソルの移動などを行うマウス512、着脱可能な記録媒体の一例としてのCD−ROM(Compact Disc Read Only Memory)513に対する各種データの読み出し又は書き込みを制御するCD−ROMドライブ514、及び、上記各構成要素を図3に示されているように電気的に接続するためのアドレスバスやデータバス等のバスライン510を備えている。
<<機能構成>>
次に、一実施形態の機能構成について説明する。図4は、一実施形態に係る通信システム1の一部を構成する端末10、及び管理システム50の機能ブロック図である。図4では、端末10、及び管理システム50が、通信ネットワーク2を介してデータ通信することができるように接続されている。
<端末の機能構成>
端末10は、送受信部11、操作入力受付部12、表示制御部13、認証要求部14、及び記憶・読出部19を有している。これら各部は、図2に示されている各構成要素のいずれかが、フラッシュメモリ104からRAM103上に展開されたプログラムに従ったCPU101からの命令によって動作することで実現される機能である。また、端末10は、図2に示されているROM102、RAM103、フラッシュメモリ104によって構築される記憶部1000を有している。
(端末の各機能構成)
次に、図2及び図4を用いて、端末10の各機能構成について詳細に説明する。なお、以下では、端末10の各機能構成を説明するにあたって、図2に示されている各構成要素のうち、端末10の各機能構成を実現させるための主な構成要素との関係も説明する。
送受信部11は、CPU101からの命令、及びネットワークI/F111によって実現され、通信ネットワーク2を介して、相手側の端末、各装置又はシステム等と各種データ(または情報)の送受信を行う。
操作入力受付部12は、CPU101からの命令、並びに操作ボタン108及び電源スイッチ109によって実現され、ユーザによる各種入力を受け付けたり、ユーザによる各種選択を受け付けたりする。
表示制御部13は、CPU101からの命令、及びディスプレイI/F117によって実現され、通話する際に相手側から送られてきた画像データをディスプレイ120に送信するための制御を行う。
認証要求部14は、CPU101からの命令によって実現され、管理システム50に対して認証を要求する。
記憶・読出部19は、CPU101からの命令及びSSD105によって実行され、又はCPU101からの命令によって実現され、記憶部1000に各種データを記憶したり、記憶部1000に記憶された各種データを抽出したりする処理を行う。
<管理システムの機能構成>
管理システム50は、送受信部51、認証部52、トークン確認部53、紐付管理部54、及び記憶・読出部59を有している。これら各部は、図3に示されている各構成要素のいずれかが、HD504からRAM503上に展開された管理システム50用のプログラムに従ったCPU501からの命令によって動作することで実現される機能である。また、管理システム50は、HD504により構築される記憶部5000を有している。
(ユーザ管理テーブル)
図5(A)は、ユーザ管理テーブルを示す概念図である。記憶部5000には、ユーザ管理テーブルによってユーザ管理DB5001が構築される。ユーザ管理テーブルでは、ユーザID(identifier, identification)ごとに、ユーザ名、及びユーザパスワードが関連付けられて管理されている。なお、ユーザ管理テーブルでは、管理者側の開発者に属するユーザ、サードパーティ側の開発者に属するユーザ、及びエンドユーザが一括で管理されている。本実施形態において、開発者は、サービス提供システムを管理する会社、及びサードパーティ等の団体を含む。本実施形態においてID及び名称は、文字、数字、記号などの任意の情報によって表される。また、IDは、メールアドレスや、電話番号などの対象を一意に特定できるものであっても良い。
(クライアント管理テーブル)
図5(B)は、クライアント管理テーブルを示す概念図である。記憶部5000には、クライアント管理テーブルによってクライアント管理DB5002が構築される。クライアント管理テーブルでは、クライアントアプリを識別するためのクライアントIDごとに、クライアント名、クライアントパスワード、及びそのクライアントアプリを開発した開発者の開発者IDが関連付けられて管理されている。
なお、クライアント管理テーブルでは、管理者によって開発されたアプリと、サードパーティによって開発されたアプリと、が一括で管理されている。なお、図5(B)の紐付アプリは、図1のアプリ1030mであり、画面共有アプリは、図1のアプリ1030xであり、通話アプリは、図1のアプリ1030yである。紐付アプリは、アプリと、そのアプリを利用可能なユーザと、を紐付ける処理を行う。
(認可管理テーブル)
図5(C)は、認可管理テーブルを示す概念図である。記憶部5000には、認可管理テーブルによって認可管理DB5003が構築される。認可管理テーブルでは、クライアントIDごとに、このクライアントIDのアプリの利用が認可されるユーザのユーザIDと、利用期間と、が関連付けられて管理されている。認可管理テーブルにおけるユーザIDのフィールドには、管理者のユーザID、サードパーティのユーザID、及びエンドユーザのユーザIDが含まれる。例えば、クライアントID"C00"の紐付アプリは、管理者、及びサードパーティ用に開発されており、認可管理テーブルにおいて、管理者のユーザID"user00"、サードパーティのユーザID"user01,user02"に関連付けられている。クライアントID"C01, C02"の画面共有アプリ及び通話アプリは、エンドユーザ用に開発されており、認可管理テーブルにおいて、エンドユーザのユーザID"user03"に関連付けられている。
(開発者管理テーブル)
図5(D)は、開発者管理テーブルを示す概念図である。記憶部5000には、開発者管理テーブルによって開発者管理DB5004が構築される。開発者管理テーブルでは、開発者の開発者IDごとに、この開発者の名称、及びこの開発者のパーティ(管理者、又はサードパーティ)に属するユーザのユーザIDが関連付けられて管理されている。なお、ユーザIDは開発者IDに対して複数記録されていても良い。
(管理システムの各機能構成)
次に、管理システム50の各機能構成について詳細に説明する。なお、以下では、管理システム50の各機能構成を説明するにあたって、図3に示されている各構成要素のうち、管理システム50の各機能構成を実現させるための主な構成要素との関係も説明する。
送受信部51は、CPU501からの命令、及びネットワークI/F509によって実現され、通信ネットワーク2を介して各端末、装置又はシステムと各種データ(または情報)の送受信を行う。
認証部52は、CPU501からの命令によって実現され、端末10からの要求に応じてユーザ認証、及びクライアント認証し、ユーザがアプリにアクセスするためのアクセストークンを発行する。
以下、アプリのうち紐付アプリが管理システム50上で動作する場合について、説明する。トークン確認部53は、紐付アプリの動作によるCPU501からの命令によって実現され、端末10から送られてくるアクセストークンを確認する。
紐付管理部54は、紐付アプリの動作によるCPU501からの命令によって実現され、認可管理テーブルを管理する。
記憶・読出部59は、CPU501からの命令及びHDD505によって実行され、又はCPU501からの命令によって実現され、記憶部5000に各種データを記憶したり、記憶部5000に記憶された各種データを抽出したりする処理を行う。
<<処理または動作>>
続いて、通信システム1を構成する端末10、及び管理システム50の処理または動作について説明する。まずは、図6を用いて、一実施形態における認証処理について説明する。図6は、一実施形態における認証処理を示すシーケンス図である。
まず、ユーザxの端末10xから、管理システム50へ、紐付アプリの利用を要求する一例の処理について説明する。なお、他のユーザが他の端末10から、他のアプリの利用を要求する処理は、ユーザID及びユーザパスワード、端末10、クライアントID、及びクライアントパスワードが、他のユーザ、他の端末、他のアプリに対応するものに変更される点を除き以下の処理と同様である。
端末10は、ユーザxによる紐付アプリの利用の要求を受け付けると、ユーザx又は記憶部1000から、ユーザxのユーザID"user01"、及びユーザパスワード"1x1x"、並びに紐付アプリのクライアントID"C00"、及びクライアントパスワード"www"を取得する(ステップS21)。この場合、端末10xの操作入力受付部12は、ユーザxによって入力されるユーザID、ユーザパスワード、クライアントID、又はクライアントパスワードを取得しても良い。或いは、端末10xの記憶・読出部19は、記憶部1000に予め記憶されているユーザID、ユーザパスワード、クライアントID、又はクライアントパスワードを取得しても良い。
端末10xの送受信部11は、ステップS21で取得されたユーザID、ユーザパスワード、クライアントID、及びクライアントパスワードが含まれるアクセストークン発行要求を管理システム50へ送信する(ステップS22)。
管理システム50の送受信部51は、端末10xによって送信されたアクセストークン発行要求を受信する。管理システム50の認証部52は、アクセストークン発行要求に含まれるユーザID、及びユーザパスワードの組が、ユーザ管理テーブル(図5(A)参照)において管理されているか判断して、ユーザ認証する(ステップS23)。ここでユーザID、及びユーザパスワードの組が、ユーザ管理テーブルにおいて管理されていると判断される場合には、認証部52は、ユーザ認証に成功する。ユーザID、及びユーザパスワードの組が、ユーザ管理テーブルにおいて管理されていないと判断される場合には、認証部52は、ユーザ認証に失敗する。
ユーザ認証に成功した場合、管理システム50の認証部52は、アクセストークン発行要求に含まれるクライアントID及びクライアントパスワードの組が、クライアント管理テーブル(図5(B)参照)で管理されているか判断して、クライアント認証する(ステップS24)。ここで、クライアントID、及びクライアントパスワードの組が、クライアント管理テーブルにおいて管理されていると判断される場合には、認証部52は、クライアント認証に成功する。クライアントID、及びクライアントパスワードの組が、クライアント管理テーブルにおいて管理されていないと判断される場合には、認証部52は、クライアント認証に失敗する。
クライアント認証に成功すると、管理システム50の認証部52は、アクセストークン発行要求に含まれるユーザID、及びクライアントIDの組が認可管理テーブル(図5(C)参照)で管理されているか判断する。ユーザID及びクライアントIDの組が認可管理テーブルで管理されていると判断された場合、認証部52は、現在の時刻が、認可管理テーブルにおいて、上記のユーザID及びクライアントIDの組に関連付けられている利用期間内であるか判断する。現在の時刻が利用期間内であると判断された場合、認証部52は、ユーザxによる紐付アプリの利用を認可する(ステップS25)。
一方、クライアントID及びサービスIDの組が認可管理テーブルで管理されていないと判断された場合、又は現在の時刻が利用期間内ではないと判断された場合、認証部52は、上記の認可に失敗する。
認可に成功すると、認証部52は、ユーザxによる紐付アプリの利用が認可されたことを示すアクセストークンを作成する(ステップS26)。このとき、認証部52は、スコープとして紐付アプリのクライアントID"C00"、及び認証されたユーザであって、かつ紐付アプリの利用が認可されたユーザであるユーザxのユーザID"user01"をアクセストークンに含める。
管理システム50の送受信部51は、アクセストークン発行要求に対する応答として、上記の認可に成功したかを示す応答を、アクセストークン発行要求元の端末10xへ送信する(ステップS27)。認可に成功した場合、送受信部51は、ステップS26で作成されたアクセストークンを応答に含めて端末10xへ送信する。端末10xの送受信部11は、管理システム50によって送信された応答を受信する。
以下、紐付アプリの利用の認可に成功して、端末10xが、アクセストークンを含む応答を受信した場合について説明する。以下の処理において、ユーザxの端末10xは、紐付アプリを利用して、ユーザxの属するサードパーティが開発した画面共有アプリ、画面共有アプリの利用に対し課金したユーザa、及び課金額に応じた利用期間を紐付ける。なお、他のアプリ、及び他のユーザを紐付ける処理は、ユーザID、ユーザパスワード、クライアントID、及びクライアントパスワードが、他のユーザ、他のアプリに対応するものに変更される点を除き以下の処理と同様である。図7は、ユーザ及びアプリを紐付ける処理の一例を示すシーケンス図である。
端末10xの送受信部11は、管理システム50へ、画面共有アプリ、ユーザa、及び利用期間を紐付けるための紐付要求を送信する(ステップS41)。紐付要求には、紐付けの対象となる画面共有アプリのクライアントID"C01"、ユーザaのユーザID"user03"、及び課金額に応じた利用期間の一例として"2016/6/1-2018/5/31"、並びに応答に含まれるアクセストークンが含まれる。
管理システム50の送受信部51は、端末10xによって送信される紐付要求を受信する。管理システム50のトークン確認部53は、スコープの確認等によりアクセストークンを検証する。続いて、トークン確認部53は、アクセストークンに、紐付アプリの利用が認可される対象として、ユーザxのユーザIDが含まれていることを確認することで、紐付要求元による紐付アプリの利用を認可する(ステップS42)。
アプリの利用が認可されると、トークン確認部53は、アクセストークンから、ユーザxのユーザID"user01"を抽出する(ステップS43)。
管理システム50の紐付管理部54は、紐付要求に含まれる画面共有アプリのクライアントID"C01"を検索キーとして、クライアント管理テーブル(図5(B)参照)を検索し、対応する画面共有アプリの開発者ID"dev01"を抽出する(ステップS44)。
管理システム50の紐付管理部54は、ステップS43で抽出されたユーザID"user01"、及びステップS44で抽出された開発者ID"dev01"の組が、開発者管理テーブル(図5(D)参照)において管理されているか照合する(ステップS45)。
ステップS45において、上記のユーザID及び開発者IDの組が開発者管理テーブルにおいて管理されていると判断された場合、紐付管理部54は、紐付要求を許可する。ステップS45において、上記のユーザID及び開発者IDの組が開発者管理テーブルにおいて管理されていないと判断された場合、紐付管理部54は、紐付要求を拒否する。
管理システム50の紐付管理部54は、紐付要求を許可すると、紐付要求に含まれるクライアントID"C01"、ユーザID"user03"、及び利用期間"2016/6/1-2018/5/31"を関連付けて開発者管理テーブルに記録して、認可管理テーブルを更新する(ステップS46)。
管理システム50の送受信部51は、紐付要求に対する応答として、ステップS46による更新内容を含む応答を紐付要求元の端末10xへ送信する(ステップS47)。これにより、端末10xの送受信部は、更新内容が含まれる応答を受信する。
<<実施形態の主な効果>>
続いて、上記の実施形態の主な効果を説明する。上記実施形態の管理方法によると、管理システム50の送受信部51(受信手段の一例)は、ユーザaのユーザID(第1のユーザの識別情報の一例)、及びユーザaによる利用が認可される画面共有アプリのクライアントID(第1のクライアントの識別情報の一例)を紐付ける要求、並びに、認証されたユーザであって、紐付アプリ(第2のクライアントの一例)の利用が認可されたユーザであるユーザxのユーザID(第2のユーザの識別情報の一例)を含むアクセストークンを受信する。管理システム50の紐付管理部54(実行手段の一例)は、ユーザxのユーザIDが、画面共有アプリに対応する所定の情報である場合に、ユーザaのユーザID、及び画面共有アプリのクライアントIDを関連付ける処理を実行する。この方法によると、管理システム50は、ユーザと、このユーザによる利用が認可されるクライアントアプリケーションと、の関連付けを、通信システム1のユーザ側の権限で適切に実行できるようになる。
管理システム50の認可管理DB5003(第1の管理手段の一例)は、ユーザID、及びユーザによる利用が認可されるクライアントアプリのクライアントIDを関連付けて管理する。管理システム50の紐付管理部54は、ユーザxのユーザIDが、画面共有アプリに対応する所定の情報である場合に、認可管理DB5003において、ユーザaのユーザID、及び画面共有アプリのクライアントIDを関連付ける処理を実行する。これにより、管理システム50は、関連付けたユーザID、及びクライアントIDの組を認可管理DB5003において管理することができる。
管理システム50の開発者管理DB5004(第2の管理手段の一例)は、アプリの開発者ごとに、開発者のパーティに属するユーザのユーザIDを管理する。管理システム50の紐付管理部54は、開発者管理DB5004において、画面共有アプリの開発者のパーティに属するユーザのユーザIDとして、ユーザxのユーザIDが管理されている場合に、認可管理DB5003において、ユーザaのユーザID、及び画面共有アプリのクライアントIDを関連付ける処理を実行する。これにより管理システム50の紐付管理部54は、開発者管理DB5004において管理されている情報に基づいて、紐付要求に基づく処理を実行するか判断することができる。
管理システム50のクライアント管理DB5002(第3の管理手段の一例)は、クライアントID、及び開発者IDを関連付けて管理する。管理システム50の紐付管理部54は、クライアント管理DB5002において、画面共有アプリのクライアントID、及びユーザxが属する開発者のパーティの開発者IDが関連付けられている場合に、認可管理テーブルにおいて、ユーザaのユーザID、及び画面共有アプリのクライアントIDを関連付ける処理を実行する。これにより管理システム50の紐付アプリは、クライアント管理DB5002において管理されている情報に基づいて、紐付要求に基づく処理を実行するか判断することができる。
管理システム50の認証部52(生成手段の一例)は、アプリの利用要求元のユーザを認証し、かつ利用要求元のユーザによるアプリの利用を認可してから、利用要求元のユーザのユーザIDを含むアクセストークンを生成する。管理システム50の送受信部51は、認証部52によって生成されるアクセストークンを受信する。これにより、管理システム50の紐付アプリは、アクセストークンを用いて、紐付要求に基づく処理を実行するか判断することができる。
管理システム50の送受信部51(送信手段、受信手段の一例)は、アクセストークンを端末10へ送信し、この端末10によって送信されるアクセストークンを受信する。これにより、管理システム50の紐付アプリは、端末10によって送信されるアクセストークンを用いて、紐付要求に基づく処理を実行するか判断することができる。
<<実施形態の補足>>
端末10、及び管理システム50用の各プログラムは、インストール可能な形式又は実行可能な形式のファイルによって、コンピュータで読み取り可能な記録媒体(記録メディア106等)に記録されて流通されるようにしてもよい。また、上記記録媒体の他の例として、CD−R(Compact Disc Recordable)、DVD(Digital Versatile Disk)、ブルーレイディスク等が挙げられる。
また、上記実施形態の各プログラムが記憶されたCD−ROM等の記録媒体、並びに、これらプログラムが記憶されたHD504は、プログラム製品(Program Product)として、国内又は国外へ提供されることができる。
また、上記実施形態における端末10、及び管理システム50は、単一のコンピュータによって構築されてもよいし、各部(機能又は手段)を分割して任意に割り当てられた複数のコンピュータによって構築されていてもよい。例えば、図4の管理システム50の機能構成のうち、トークン確認部53、及び紐付管理部54を除いた認証用の第1の装置、認証部52を除いた第2の装置により管理システム50を構築しても良い。
上記で説明した実施形態の各機能は、一又は複数の処理回路によって実現することが可能である。ここで、本明細書における「処理回路」とは、電子回路を含むプロセッサのようにソフトウェアによって各機能を実行するようプログラミングされたプロセッサや、上記で説明した各機能を実行するよう設計されたASIC(Application Specific Integrated Circuit)や従来の回路モジュール等のデバイスを含むものとする。
1 通信システム
2 通信ネットワーク
10 端末
11 送受信部
12 操作入力受付部
13 表示制御部
14 認証要求部
19 記憶・読出部
50 管理システム
51 送受信部
52 認証部
53 トークン確認部
54 紐付管理部
59 記憶・読出部
1000 記憶部
5000 記憶部
5001 ユーザ管理DB
5002 クライアント管理DB
5003 認可管理DB
5004 開発者管理DB
特開2015−5202号公報

Claims (10)

  1. 第1のユーザの識別情報、及び前記第1のユーザによる利用が認可される第1のクライアントの識別情報を関連付ける要求、並びに、
    認証されたユーザであって、かつ第2のクライアントの利用が認可されたユーザである第2のユーザの識別情報を受信する受信手段と、
    前記第2のユーザの識別情報が、前記第1のクライアントに対応する所定の情報である場合に、前記第1のユーザの識別情報、及び前記第1のクライアントの識別情報を関連付ける処理を実行する実行手段と、
    を有する管理システム。
  2. ユーザの識別情報、及び前記ユーザによる利用が認可されるクライアントの識別情報を関連付けて管理する第1の管理手段を有しており、
    前記実行手段は、前記第2のユーザの識別情報が、前記第1のクライアントに対応する所定の情報である場合に、前記第1の管理手段において、前記第1のユーザの識別情報、及び前記第1のクライアントの識別情報を関連付ける処理を実行する請求項1に記載の管理システム。
  3. 前記クライアントの開発者ごとに、前記開発者に属するユーザの識別情報を管理する第2の管理手段を有し、
    前記実行手段は、前記第2の管理手段において、前記第1のクライアントの開発者に属するユーザの識別情報として、前記第2のユーザの識別情報が管理されている場合に、前記第1の管理手段において、前記第1のユーザの識別情報、及び前記第1のクライアントの識別情報を関連付ける処理を実行する請求項2に記載の管理システム。
  4. 前記クライアントの識別情報、及び前記クライアントの開発者の識別情報を関連付けて管理する第3の管理手段を有し、
    前記実行手段は、前記第3の管理手段において、前記第1のクライアントの識別情報、及び前記第2のユーザが属する開発者の識別情報が関連付けられている場合に、前記第1の管理手段において、前記第1のユーザの識別情報、及び前記第1のクライアントの識別情報を関連付ける処理を実行する請求項3に記載の管理システム。
  5. クライアントの利用要求元のユーザが認証され、前記利用要求元のユーザによる前記クライアントの利用が認可されてから、前記利用要求元のユーザの識別情報を含むアクセストークンを生成する生成手段とを有し、
    前記受信手段は、前記生成手段によって生成される前記アクセストークンを受信する請求項1乃至4のいずれか一項に記載の管理システム。
  6. 前記アクセストークンを通信端末へ送信する送信手段を有し、
    前記受信手段は、前記通信端末によって送信される前記アクセストークンを受信する請求項5に記載の管理システム。
  7. 請求項6に記載の管理システムと、
    前記管理システムへ、前記アクセストークンを送信する通信端末と、
    を有する通信システム。
  8. 管理システムに、
    第1のユーザの識別情報、及び前記第1のユーザによる利用が認可される第1のクライアントの識別情報を関連付ける要求、並びに、
    認証されたユーザであって、かつ前記関連付けを行う第2のクライアントの利用が認可された第2のユーザの識別情報を受信する処理と、
    前記第2のユーザの識別情報が、前記第1のクライアントに対応する所定の情報である場合に、前記第1のユーザの識別情報、及び前記第1のクライアントの識別情報を関連付ける処理と、
    を実行させる管理方法。
  9. 管理システムに、
    クライアントの利用要求元のユーザが認証され、前記利用要求元のユーザによる前記クライアントの利用が認可されてから、前記利用要求元のユーザの識別情報を含むアクセストークンを生成する処理と、
    前記アクセストークンを通信端末へ送信する処理と、
    前記通信端末によって送信された前記アクセストークンを受信する処理と、を実行させ、
    前記通信端末に、
    前記管理システムへ、前記アクセストークンを送信する処理を実行させる請求項8に記載の管理方法。
  10. 管理システムに、
    第1のユーザの識別情報、及び前記第1のユーザによる利用が認可される第1のクライアントの識別情報を関連付ける要求、並びに、
    認証されたユーザであって、かつ前記関連付けを行う第2のクライアントの利用が認可されたユーザである第2のユーザの識別情報を受信する処理と、
    前記第2のユーザの識別情報が、前記第1のクライアントに対応する所定の情報である場合に、前記第1のユーザの識別情報、及び前記第1のクライアントの識別情報を関連付ける処理と、
    を実行させるプログラム。
JP2016124751A 2016-06-23 2016-06-23 管理システム、通信システム、管理方法、及びプログラム Active JP6662215B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2016124751A JP6662215B2 (ja) 2016-06-23 2016-06-23 管理システム、通信システム、管理方法、及びプログラム
US15/621,074 US10728254B2 (en) 2016-06-23 2017-06-13 Management system, communication system, and management method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016124751A JP6662215B2 (ja) 2016-06-23 2016-06-23 管理システム、通信システム、管理方法、及びプログラム

Publications (2)

Publication Number Publication Date
JP2017228144A JP2017228144A (ja) 2017-12-28
JP6662215B2 true JP6662215B2 (ja) 2020-03-11

Family

ID=60677126

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016124751A Active JP6662215B2 (ja) 2016-06-23 2016-06-23 管理システム、通信システム、管理方法、及びプログラム

Country Status (2)

Country Link
US (1) US10728254B2 (ja)
JP (1) JP6662215B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110336810B (zh) * 2019-06-28 2022-06-14 华为云计算技术有限公司 信息分享方法、平台、计算设备及存储介质

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8079082B2 (en) * 2008-06-30 2011-12-13 Ebay, Inc. Verification of software application authenticity
JP5200721B2 (ja) 2008-07-16 2013-06-05 富士通株式会社 制御方法、制御装置、及びプログラム
US8387119B2 (en) * 2009-12-21 2013-02-26 Ebay Inc. Secure application network
US9280760B2 (en) * 2011-10-26 2016-03-08 Citrix Systems, Inc. Integrated online workspaces
JP6198477B2 (ja) 2013-06-21 2017-09-20 キヤノン株式会社 権限移譲システム、認可サーバーシステム、制御方法、およびプログラム
JP6515446B2 (ja) 2014-05-14 2019-05-22 株式会社リコー 管理システム、プログラム、管理方法及び通信システム
JP2016012843A (ja) 2014-06-30 2016-01-21 株式会社リコー 伝送管理システム、伝送システム、伝送管理方法、伝送方法、及びプログラム
JP6661915B2 (ja) 2014-08-08 2020-03-11 株式会社リコー 通信管理システム、通信システム、中継装置制御方法、及びプログラム
JP2016067001A (ja) 2014-09-19 2016-04-28 株式会社リコー 伝送管理システム、伝送システム、管理方法、及びプログラム
US9779233B2 (en) * 2015-03-05 2017-10-03 Ricoh Co., Ltd. Broker-based authentication system architecture and design
JP2016167657A (ja) 2015-03-09 2016-09-15 株式会社リコー 伝送管理システム、伝送システム、伝送管理方法、及びプログラム
JP2016167656A (ja) 2015-03-09 2016-09-15 株式会社リコー 伝送管理システム、伝送システム、伝送管理方法、及びプログラム
JP6531436B2 (ja) 2015-03-12 2019-06-19 株式会社リコー 通信システム、伝送端末、通信方法、プログラム
JP2017034374A (ja) 2015-07-30 2017-02-09 株式会社リコー 伝送管理システム、伝送システム、情報処理装置、伝送管理方法、及びプログラム
JP2017050603A (ja) 2015-08-31 2017-03-09 株式会社リコー 管理システム、制御装置、管理方法、及びプログラム
JP2017050687A (ja) 2015-09-01 2017-03-09 株式会社リコー 制御装置、通信制御システム、及びプログラム
EP3151481B1 (en) 2015-09-30 2019-11-06 Ricoh Company, Ltd. Communication terminal, communication system, and output method
JP2017068596A (ja) 2015-09-30 2017-04-06 株式会社リコー 管理システム、通信システム、送信制御方法、及びプログラム
JP2017091369A (ja) 2015-11-13 2017-05-25 株式会社リコー 管理システム、管理方法、及びプログラム
US10498716B2 (en) 2015-11-25 2019-12-03 Ricoh Company, Ltd. Management system, communication control method, and communication system

Also Published As

Publication number Publication date
US10728254B2 (en) 2020-07-28
JP2017228144A (ja) 2017-12-28
US20170374078A1 (en) 2017-12-28

Similar Documents

Publication Publication Date Title
JP5895471B2 (ja) 情報処理装置、プログラム
US9547614B2 (en) Device management system, communication device, device management apparatus, and control method
JP2017068596A (ja) 管理システム、通信システム、送信制御方法、及びプログラム
JP6583543B2 (ja) 情報送信システム、情報送信方法、及びプログラム
US10681094B2 (en) Control system, communication control method, and program product
US10498716B2 (en) Management system, communication control method, and communication system
EP3261317B1 (en) Authentication system, communication system, and authentication and authorization method
JP2017097652A (ja) 管理システム、通信システム、通信制御方法、及びプログラム
US20170339135A1 (en) Authentication system, communication system, and authentication method
JP6662215B2 (ja) 管理システム、通信システム、管理方法、及びプログラム
JP2017098780A (ja) 管理システム、通信システム、通信制御方法、及びプログラム
US11128623B2 (en) Service providing system, service delivery system, service providing method, and non-transitory recording medium
US11076010B2 (en) Service providing system, service delivery system, service providing method, and non-transitory recording medium
JP2017069936A (ja) 通信端末、通信システム、出力方法、及びプログラム
US20150067079A1 (en) Device management system, device management apparatus, communication device, and control methods therefor, and storage medium
JP6720755B2 (ja) 情報処理装置及び情報処理プログラム
JP5817878B2 (ja) 情報処理装置、システム、プログラム、認証方法
JP6164954B2 (ja) 認証サーバ、認証方法、およびプログラム
JP2017211769A (ja) 管理システム、通信システム、認可方法、及びプログラム
JP2022053955A (ja) 方法、プログラム、情報処理装置、認証サーバ、および情報処理システム
US20180270233A1 (en) Information terminal, information processing apparatus, information processing system, and information processing method

Legal Events

Date Code Title Description
RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20180209

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190227

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20191218

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200114

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200127

R151 Written notification of patent or utility model registration

Ref document number: 6662215

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151