以下、本発明を実施するための形態の一例としてシステムとこのシステムが行う認証方法について説明する。
<システム構成>
図1は本実施形態に係るシステムの一例の構成図である。図1のシステム1はオフィス内ネットワーク等のプライベートなネットワークN1と、クラウドサービスに代表されるようなパブリックなネットワークN2と、インターネットなどのネットワークN3とを有する。
ネットワークN1とネットワークN3とはネットワークN1側のファイアウォールFWによって接続されている。ファイアウォールFWはネットワークN1とネットワークN3との接点に設置され、ネットワークN1からネットワークN3へのアクセスを中継する。
また、ネットワークN2とネットワークN3とは、ネットワークN2側のアクセス制御装置21によって接続されている。ネットワークN2はアクセス制御装置21によってセキュリティが保護されている。
ネットワークN1は、ファイアウォールFWの内側にあるプライベートなネットワークである。ネットワークN1にはクライアント端末11、携帯端末12、プリントサーバなどの印刷制御装置13、複合機などの画像形成装置14、プロジェクタ15、その他の機器16、認証サーバなどの認証装置17が接続されている。
図1では、クライアント端末11、携帯端末12、印刷制御装置13、画像形成装置14、プロジェクタ15、及び、その他の機器16を、オフィスにあることが多いという意味でオフィス機器30とした。当然ながらこれらはオフィス以外(工場、研究所、公共機関等)に設置される場合がある。
クライアント端末11は端末装置の一例である。クライアント端末11は一般的なOSなどが搭載された情報処理装置(コンピュータシステム)によって実現できる。クライアント端末11は無線による通信の手段又は有線による通信の手段を有する。クライアント端末11は、タブレットPC、ノートPCなど、ユーザが操作可能な端末である。
携帯端末12は端末装置の一例である。携帯端末12は、無線による通信の手段又は有線による通信の手段を有している。携帯端末12は、スマートフォンや携帯電話、タブレットPC、ノートPCなど、ユーザが携帯可能な端末である。
印刷制御装置13は一般的なサーバOSなどが搭載された情報処理装置(コンピュータシステム)によって実現できる。印刷制御装置13は無線による通信の手段又は有線による通信の手段を有する。印刷制御装置13は例えば印刷データを蓄積、提供する。
画像形成装置14は複合機などの画像形成機能を有する装置である。画像形成装置14は無線による通信の手段又は有線による通信の手段を有する。画像形成装置14は複合機、コピー機、スキャナ、プリンタ、レーザプリンタなど、画像形成に係る処理を行う装置である。プロジェクタ15は画像を投影する装置である。プロジェクタ15は無線による通信の手段又は有線による通信の手段を有する。
なお、クライアント端末11、携帯端末12、印刷制御装置13、画像形成装置14、プロジェクタ15、その他の機器16は、利用時に認証装置17によって認証を行う機器の一例である。
認証装置17は一般的なサーバOSなどが搭載された情報処理装置(コンピュータシステム)によって実現できる。認証装置17は無線による通信の手段又は有線による通信の手段を有する。認証装置17は認証サーバなど、ユーザ認証機能を提供する。
図1では、一例としてクライアント端末11、携帯端末12、印刷制御装置13、画像形成装置14、プロジェクタ15、その他の機器16、認証装置17がそれぞれ一台である例を示しているが、複数台であってもよい。
ネットワークN2は、アクセス制御装置21によってインターネット等のネットワークN3に接続されている。ネットワークN2には、アクセス制御装置21、プリントサービス提供装置22、スキャンサービス提供装置23、他サービス提供装置24が接続されている。図1のシステム1は、アクセス制御装置21、プリントサービス提供装置22、スキャンサービス提供装置23、他サービス提供装置24がサービス提供システム50を実現している。
アクセス制御装置21はプリントサービス提供装置22が提供するプリントサービスや
スキャンサービス提供装置23が提供するスキャンサービスなど、各サービスへのログ
ンを制御する。アクセス制御装置21、プリントサービス提供装置22、スキャンサービス提供装置23、他サービス提供装置24は、一台以上の情報処理装置(コンピュータシステム)によって実現される。
なお、図1のシステム1のプリントサービス提供装置22、スキャンサービス提供装置23、他サービス提供装置24は一台のコンピュータに統合して実現してもよいし、複数のコンピュータに分散して実現してもよい。
<用語について>
機器は、ユーザを認証してから使用される何らかの有用な装置であればよい。本実施形態ではオフィス機器30という用語で説明する。
サービスとはユーザにとって有用な処理を実行したりデータを提供したりする何らかの情報処理である。
<ハードウェア構成>
図1のクライアント端末11、携帯端末12、印刷制御装置13、認証装置17、アクセス制御装置21、プリントサービス提供装置22、スキャンサービス提供装置23、他サービス提供装置24は、例えば図2に示すハードウェア構成のコンピュータシステムにより実現される。図2は本実施形態に係るコンピュータシステムの一例のハードウェア構成図である。
図2に示したコンピュータシステム100は、入力装置101、表示装置102、外部I/F103、RAM(Random Access Memory)104、ROM(Read Only Memory)105、CPU(Central Processing Unit)106、通信I/F107、及びHDD(Hard Disk Drive)108などを備え、それぞれがバスBで相互に接続されている。
入力装置101はキーボードやマウス、タッチパネルなどを含み、ユーザが各操作信号を入力するのに用いられる。表示装置102はディスプレイなどを含み、コンピュータシステム100による処理結果を表示する。
通信I/F107はコンピュータシステム100をネットワークN1又はN2に接続するインタフェースである。これにより、コンピュータシステム100は通信I/F107を介してデータ通信を行うことができる。
HDD108はプログラムやデータを格納している不揮発性の記憶装置である。格納されるプログラムやデータには、例えばコンピュータシステム100全体を制御する基本ソフトウェアであるOS(Operating System)や、OS上において各種機能を提供するアプリケーションソフトウェアなどがある。HDD108は格納しているプログラムやデータ
を所定のファイルシステム及び/又はDB(データベース)により管理している。
外部I/F103は、外部装置とのインタフェースである。外部装置には、記録媒体103aなどがある。これにより、コンピュータシステム100は外部I/F103を介して記録媒体103aの読み取り及び/又は書き込みを行うことができる。記録媒体103aにはフレキシブルディスク、CD(Compact Disk)、DVD(Digital Versatile Disk)、SDメモリカード(SD Memory card)、USBメモリ(Universal Serial Bus memo
y)などがある。
ROM105は、電源を切ってもプログラムやデータを保持することができる不揮発性の半導体メモリ(記憶装置)である。ROM105には、コンピュータシステム100の起動時に実行されるBIOS(Basic Input/Output System)、OS設定、及びネットワーク設定などのプログラムやデータが格納されている。RAM104は、プログラムやデータを一時保持する揮発性の半導体メモリ(記憶装置)である。
CPU106は、ROM105やHDD108などの記憶装置からプログラムやデータをRAM104上に読み出し、処理を実行することで、コンピュータシステム100全体の制御や機能を実現する演算装置である。
本実施形態に係る図1のクライアント端末11、携帯端末12、印刷制御装置13、認証装置17、アクセス制御装置21、プリントサービス提供装置22、スキャンサービス提供装置23、他サービス提供装置24はコンピュータシステム100のハードウェア構成により、後述するような各種処理を実現できる。
<ソフトウェア構成>
<<オフィス機器>>
本実施形態に係るクライアント端末11などのオフィス機器30は、例えば図3に示す処理ブロックにより実現される。図3は、本実施形態に係るオフィス機器の一例の処理ブロック図である。
オフィス機器30はプログラムを実行することにより、入力受付部31、認証要求部32、機能処理部33、サービスログイン要求部34、登録要求部35、ログイン設定部36、サービス利用要求部37、及び、表示制御部38を実現している。
入力受付部31は、タッチパネル接触操作、キーボード入力操作などのユーザ操作による入力を受け付ける。認証要求部32は、認証装置17に対して認証情報を送信し、認証を要求する。また、機能処理部33はオフィス機器30が備えているハードウェアやアプリケーションプログラム(アプリ)を利用した処理を実行し、オフィス機器30が備える機能を提供する。
サービスログイン要求部34、登録要求部35、ログイン設定部36、サービス利用要求部37は、例えばサービス利用アプリにより実現している。サービスログイン要求部34はサービス提供システムに認証情報を送信し、ログインを要求する。登録要求部35は認証装置17により認証された認証情報の一部(例えばユーザ名など)又は全部の登録をサービス提供システムに要求する。
ログイン設定部36は、サービス提供システムへのログインに利用する認証情報を設定する。サービス利用要求部37はサービス提供システムが提供するサービスの利用を要求する。表示制御部38は、表示装置102にユーザインタフェースとなる各種の画面を表示する。
<<認証装置>>
本実施形態に係る認証装置17は例えば図4に示す処理ブロックにより実現される。図4は本実施形態に係る認証装置の一例の処理ブロック図である。認証装置17はプログラムを実行することにより、認証処理部41、認証情報記憶部42を実現している。
認証処理部41はオフィス機器30からの認証要求に基づいてプライベートなネットワークにおける認証を行う。認証情報記憶部42は受信した認証情報の認証の結果(認証成功、認証失敗)を判断するときに利用する認証情報を記憶する。
認証情報記憶部42は例えば図5に示すような認証情報を記憶している。図5は認証情報記憶部42が記憶する認証情報の一例の構成図である。図5(a)はユーザ名などのユーザ特定情報とパスワードとにより構成される認証情報である。図5(b)はユーザ特定情報とパスワードとICカード等のカード識別情報(カードIDなど)とにより構成される認証情報である。認証情報は図5の例に限らず、例えばオフィス機器30の機器識別情報(機番など)を用いるものであっても、ユーザの生体情報(指紋、静脈、網膜など)を用いるものであってもよい。
<<サービス提供システム>>
本実施形態に係るサービス提供システムは例えば図6に示す処理ブロックにより実現される。図6は本実施形態に係るサービス提供システムの一例の処理ブロック図である。図6のサービス提供システム50は、プログラムを実行することにより、サービスアプリ51、プラットフォーム52、管理データ記憶部53及びプラットフォームAPI(Application Programming Interface)54を実現している。
図6のサービスアプリ51は、プリントサービスアプリ61、スキャンサービスアプリ62、1つ以上のその他のサービスアプリ63を一例として有する。プリントサービスアプリ61はプリントサービスを提供するアプリケーションである。スキャンサービスアプリ62はスキャンサービスを提供するアプリケーションである。また、サービスアプリ63は何らかのサービスを提供するアプリケーションである。
プラットフォームAPI54はプリントサービスアプリ61、スキャンサービスアプリ62、その他のサービスアプリ63などのサービスアプリ51が、プラットフォーム52を利用するためのインタフェースである。プラットフォームAPI54はサービスアプリ51からの要求をプラットフォーム52が受信するために設けられた予め定義されたインタフェースであり、例えば関数やクラス等により構成される。なお、サービス提供システム50を複数の情報処理装置に分散して構成する場合、プラットフォームAPI54にはネットワーク経由で利用可能な例えばWeb APIを利用できる。
図6のプラットフォーム52は、認証処理部71、機器通信部72、ユーザ情報登録部73、セッション管理部74、データ処理部75、企業・デバイス認証部76、及び、データ管理部77、を一例として有する。認証処理部71はオフィス機器30からのログイン要求に基づいてパブリックなネットワークにおける認証を実行する。
機器通信部72はオフィス機器30との通信を実行する。ユーザ情報登録部73はクライアント端末11などの端末装置から、認証装置17によって認証された認証情報の一部又は全部の登録要求を受け、認証情報を後述のユーザ管理情報に登録する。セッション管理部74はオフィス機器30とのセッションを管理する。データ処理部75はサービスアプリ51からの要求に基づいてデータ処理を実行する。
企業・デバイス認証部76は、ネットワークN1,N3を介して受信した認証要求に含まれるデバイス認証情報が、機器管理情報記憶部83に記憶されている機器管理情報に存在するか否かに基づいて企業・デバイス認証判断を実行する。データ管理部77は、ジョブなどのデータをデータ管理情報記憶部84にて管理する。
管理データ記憶部53は、企業管理情報記憶部81、ユーザ管理情報記憶部82、機器管理情報記憶部83、データ管理情報記憶部84、データストレージ85を一例として有する。企業管理情報記憶部81は後述の企業管理情報を記憶する。ユーザ管理情報記憶部82は後述のユーザ管理情報を記憶する。機器管理情報記憶部83は後述の機器管理情報を記憶する。データ管理情報記憶部84はジョブごとに、ジョブID、状態(印刷済み、未完了)、登録したユーザ、印刷設定、ジョブの保存場所等を記憶する。データストレージ85はジョブデータなどその他のデータ等を記憶する。
図7は企業管理情報の一例の構成図である。図7の企業管理情報はデータ項目として企業コード、企業名、国、言語などを有する。企業コードは、企業、組織などのグループを特定する情報である。グループとは共通点を持つ人や物の集まりである。
企業コードは、一人以上のユーザや一台以上のオフィス機器30の集合を特定する情報である。なお、本実施形態は企業という言葉に限定されるものではなく、例えばユーザやオフィス機器30の集合に対する契約を識別する識別情報等であってもよい。なお、企業コードは一意である。
図8はユーザ管理情報の一例の構成図である。図8のユーザ管理情報はデータ項目として企業コード、ユーザ名、パスワード、ロール、アドレス情報、出力設定、オフィス認証情報などを有する。ユーザ管理情報は企業コード単位で情報を管理する。ユーザ名、パスワードはサービス提供システム50側でユーザを特定する情報である。ユーザ名は例えばユーザIDであってもよい。パスワードは必須でない。
更に、ユーザ名はユーザが所持する電子媒体(例えばICカード)やオフィス機器30を識別する情報(カードIDやオフィス機器30のシリアルID、電話番号など)を代わりに用いてもよいし、組み合わせて用いてもよい。また、企業コードと対応付けられたユーザ名、パスワードは一意であるが、企業コードが異なれば重複していてもよい。
オフィス認証情報はプライベートなネットワークN1側の認証情報に含まれるユーザ特定情報である。オフィス認証情報として登録されるネットワークN1側のユーザ特定情報はプライベートなネットワークN1側で認証済みのユーザ特定情報である。オフィス認証情報はユーザ情報登録部73により登録される。ユーザ管理情報はプライベートなネットワークN1側のユーザ特定情報(ユーザ名)とパブリックなネットワークN2側のユーザ名とを対応付ける。
ユーザ管理情報により、本実施形態のシステム1はプライベートなネットワークN1側の認証と、パブリックなネットワークN2側の認証とを、情報セキュリティを保ちつつ連携させることができる。
図8(a)はユーザ名「Kobayashi」のオフィス認証情報が未登録のユーザ管理情報を示している。図8(a)のユーザ管理情報は、プライベートなネットワークN1側の認証と、パブリックなネットワークN2側の認証とが、連携されていない例を表している。
図8(b)はユーザ名「Kobayashi」のオフィス認証情報「Koba」が登録
済のユーザ管理情報を示している。図8(b)のユーザ管理情報はプライベートなネットワークN1側の認証と、パブリックなネットワークN2側の認証とが、連携されている例を表している。
図9は機器管理情報の一例の構成図である。図9の機器管理情報はデータ項目として企業コード、デバイス認証情報、事業所情報、ケーパビリティなどを有する。機器管理情報は企業コード単位で情報を管理する。デバイス認証情報は企業コードの企業に属するオフィス機器30が特定の条件を備えたものであることを判別するデバイス認証のための情報である。デバイス認証情報はオフィス機器30に特定のアプリケーションが搭載されていることを示すID(アプリケーションの識別情報)や、特定の機器であることを示す機器番号などであってもよい。
<処理の詳細>
以下では、本実施形態に係るシステム1の処理の詳細について説明する。
<<ログイン設定>>
図10はサービス提供システムへのログイン設定画面の一例のイメージ図である。図10のログイン設定画面1000はオフィス機器30のサービス利用アプリによってオフィス機器30に表示される。ログイン設定画面1000はプライベートなネットワークN1側の認証とパブリックなネットワークN2側の認証とを連携することを表す「社内認証と連携する」ログイン設定と、連携しないことを表す「社内認証と連携しない」ログイン設定とをユーザに選択させる画面である。
<<ログイン処理>>
「社内認証と連携しない」ログイン設定が選択された場合の画面遷移は例えば図11に示すようになる。図11は「社内認証と連携しない」ログイン設定が選択された場合の一例の画面遷移図である。
例えばオフィス機器30はアプリ選択画面1010を表示し、ユーザにアプリを選択させる。サービス利用アプリ選択ボタン1011がユーザにより押下されると、オフィス機器30のサービス利用アプリはログイン画面1020を表示する。ユーザはログイン画面1020に、ユーザ名及びパスワードを入力する。ユーザ名及びパスワードは、パブリックなネットワークN2側の認証情報の一例である。
ログイン画面1020に、認証情報を入力後、ユーザはログインボタン1021を押下する。ログインボタン1021を押下されると、オフィス機器30のサービスログイン要求部34は認証情報をサービス提供システム50に送信し、ログインを要求する。
ログインに成功すると、オフィス機器30のサービス利用アプリはサービス一覧選択画面1030を表示する。サービス一覧選択画面1030はサービス提供システムが提供するサービスをユーザに選択させる画面である。ユーザはサービス一覧選択画面1030から利用したいサービスを選択する。例えばユーザに「プリントサービス」ボタンを押下されると、オフィス機器30のサービス利用要求部37はサービス提供システム50に「プリントサービス」の利用を要求する。
「社内認証と連携する」ログイン設定が選択された場合の画面遷移は例えば図12に示すようになる。図12は「社内認証と連携する」ログイン設定が選択された場合の一例の画面遷移図である。
例えばオフィス機器30はプライベートなネットワークN1側の認証用のログイン画面1040、1050、1060のいずれかを表示する。ログイン画面1040はユーザ認証情報の一例であるユーザ名、パスワードを入力させる画面である。ログイン画面1040はユーザにICカードをかざさせて、認証情報の一例であるICカードのカード識別情報(カードID)を入力させる画面である。ログイン画面1060はユーザに指をかざさせて、認証情報の一例であるユーザの生体情報(指紋)を入力させる画面である。
認証情報が入力されると、オフィス機器30の認証要求部32は認証装置17に対して認証情報を送信し、認証を要求する。認証に成功すると、オフィス機器30はアプリ選択画面1010を表示し、ユーザにアプリを選択させる。
サービス利用アプリ選択ボタン1011がユーザにより押下されると、オフィス機器30のサービス利用アプリは後述のようにプライベートなネットワークN1側で認証済みのユーザ名を認証情報としてサービス提供システムに送信し、ログインを要求する。なお、オフィス機器30にデバイス認証情報が設定されている場合は認証情報にデバイス認証情報を含ませる。
プライベートなネットワークN1側で認証済みのユーザ特定情報(ユーザ名)と、パブリックなネットワークN2側のユーザ名とがユーザ管理情報に対応付けられている場合はログインに成功する。ログインに成功すると、オフィス機器30のサービス利用アプリはサービス一覧選択画面1030を表示する。
なお、プライベートなネットワークN1側で認証済みのユーザ名とパブリックなネットワークN2側のユーザ名とがユーザ管理情報に対応付けられていない場合はログインに失敗する。ログインに失敗すると、オフィス機器30のサービス利用アプリはログイン画面1020を表示し、パブリックなネットワークN2側の認証情報をユーザに入力させる。そして、オフィス機器30のサービスログイン要求部34はユーザに入力されたパブリックなネットワークN2側の認証情報をサービス提供システム50に送信し、ログインを要
求する。
ユーザは、プライベートなネットワークN1側で認証済みのユーザ名とパブリックなネットワークN2側のユーザ名とがユーザ管理情報に対応付けられている場合、ログイン画面1020にパブリックなネットワークN2側の認証情報を入力することなく、サービス一覧選択画面1030から利用したいサービスを選択し、サービス提供システム50が提供するサービスを利用できる。
図13は画像形成装置14からログイン要求を受信したサービス提供システムの処理を表した一例のフローチャートである。なお、図13は「社内認証と連携しない」ログイン設定が選択されている場合の例である。
ステップS11において、サービス提供システム50の認証処理部71はデバイス認証情報、パブリックなネットワークN2側のユーザ名及びパスワードを認証情報としたログイン要求を画像形成装置14から受信する。
ステップS12において、企業・デバイス認証部76は認証情報に含まれるデバイス認証情報が図9に示した機器管理情報に存在するかを判断する企業・デバイス認証判断を行う。認証情報に含まれるデバイス認証情報が機器管理情報に存在すれば、企業・デバイス認証部76は企業・デバイス認証成功(認証OK)と判断し、ステップS13の処理を行う。認証OKの場合、企業・デバイス認証部76はデバイス認証情報が対応付けられている企業コードを機器管理情報から特定する。
ステップS13において、認証処理部71は図8に示したユーザ管理情報のうち、機器管理情報から特定された企業コードに対応付けられたユーザ管理情報の中に、認証情報に含まれるユーザ名及びパスワードが存在するかを判断するユーザ認証判断を行う。
認証情報に含まれるユーザ名及びパスワードが存在すれば、認証処理部71はユーザ認証成功(認証OK)と判断してステップS15の処理を行う。認証処理部71はステップS15において、画像形成装置14からのログイン要求に対する認証結果を成功(認証OK)と判断する。
なお、ステップS12において認証情報に含まれるデバイス認証情報が対応付けられている企業コードが図9に示した機器管理情報に存在しなければ、企業・デバイス認証部76はステップS14において、画像形成装置14からのログイン要求に対する認証結果を失敗(認証NG)と判断する。
同様に、ステップS13において、機器管理情報から特定された企業コードに対応付けられたユーザ管理情報の中に、認証情報に含まれるユーザ名及びパスワードが存在しなければ、認証処理部71はステップS14において、画像形成装置14からのログイン要求に対する認証結果を失敗(認証NG)と判断する。
図14は、本実施形態に係るシステムのログイン処理を表した一例のフローチャートである。なお、図14は「社内認証と連携する」ログイン設定が選択されている場合の例である。
ステップS21において、画像形成装置14は例えば図12のログイン画面1050を表示する。画像形成装置14はユーザから認証情報の一例であるICカードのカードIDを入力されることにより認証要求を受け付ける。
ステップS22において、画像形成装置14の認証要求部32は認証装置17に対して認証情報を送信し、認証を要求する。なお、ステップS22で送信する認証情報はカードIDであっても、カードIDに対応付けられたユーザ名、パスワードであってもよい。
ステップS23において、認証装置17の認証処理部41は画像形成装置14からの認証情報に含まれるユーザ名、パスワードが図5に示した認証情報に存在するかを判断するユーザ認証を行う。認証情報に含まれるユーザ名、パスワードが図5に示した認証情報に存在すれば、認証処理部41はユーザ認証成功(認証OK)と判断し、ステップS25の処理を行う。ステップS25において、認証処理部41は画像形成装置14の認証要求部32にユーザ認証成功を通知する。
なお、認証情報に含まれるユーザ名、パスワードが図5に示した認証情報に存在しなければ、認証処理部41はユーザ認証失敗(認証NG)と判断し、ステップS24の処理を行う。ステップS24において、認証処理部41は画像形成装置14の認証要求部32にユーザ認証失敗を通知し、図14のフローチャートの処理を終了する。
ユーザ認証成功を通知された画像形成装置14はステップS26において、図12に示したようなアプリ選択画面1010を表示し、ユーザにアプリを選択させる。例えばアプリ選択画面1010のサービス利用アプリ選択ボタン1011がユーザにより押下されることにより、画像形成装置14はユーザからサービス提供システムへのログイン要求を受け付ける。
ステップS27において、画像形成装置14のサービスログイン要求部34は「社内認証と連携しない」ログイン設定が選択されているか判断する。サービスログイン要求部34は「社内認証と連携しない」ログイン設定が選択されていれば、ステップS28において例えば図11に示すログイン画面1020を表示し、企業コード、パブリックなネットワークN2側のユーザ名及びパスワードをユーザに入力させる。ステップS28の処理後、画像形成装置14は図13に示したフローチャートの処理により、サービス提供システム50にログインされる。
ステップS27において、サービスログイン要求部34は「社内認証と連携する」ログイン設定が選択されていれば、ステップS29の処理を行う。サービスログイン要求部34はステップS29において、デバイス認証情報、ユーザ名(Koba)を認証情報としてサービス提供システムに送信し、ログインを要求する。
なお、ユーザ名(Koba)は図5に示したように、プライベートなネットワークN1側のユーザ名の一例である。ステップS30において、サービス提供システム50の企業・デバイス認証部76はステップS12と同様の企業・デバイス認証判断を行う。企業・デバイス認証部76は企業・デバイス認証成功(認証OK)と判断すると、ステップS32の処理を行う。
なお、企業・デバイス認証部76はステップS30において企業・デバイス認証失敗(認証NG)と判断するとステップS31において、画像形成装置14からのログイン要求に対する認証結果を失敗(認証NG)と判断する。
ステップS32において、認証処理部71は図8に示したユーザ管理情報のうち、認証された企業コードに対応付けられたユーザ管理情報の中に、認証情報に含まれていたプライベートなネットワークN1側のユーザ名(Koba)が存在するかを判断するユーザ認証判断を行う。
認証情報に含まれていたプライベートなネットワークN1側のユーザ名(Koba)が存在すれば、認証処理部71はユーザ認証成功(認証OK)と判断してステップS33の処理を行う。認証処理部71はステップS33において、プライベートなネットワークN1側のユーザ名(Koba)に対応するパブリックなネットワークN2側のユーザ名(Kobayashi)を図8のユーザ管理情報から取得する。ステップS34において、認証処理部71は画像形成装置14からのログイン要求に対する認証結果を成功(認証OK)と判断する。
なお、ステップS32において、認証情報に含まれていたプライベートなネットワークN1側のユーザ名(Koba)が存在しなければ、認証処理部71はユーザ認証失敗(認証NG)と判断してステップS35の処理を行う。
ステップS35において、画像形成装置14のサービス利用アプリはサービス提供システム50へのログインに失敗したため、図12に示すようなログイン画面1020を表示する。
ステップS36において、画像形成装置14のサービス利用アプリはログイン画面1020から、パブリックなネットワークN2側の認証情報の一例として、ユーザ名(Kobayashi)及びパスワードをユーザに入力させる。
ステップS37において、画像形成装置14の登録要求部35は、サービス提供システム50からの要求に対する応答として、サービス提供システム50へプライベートなネットワークN1側で認証済みのユーザ名(Koba)の登録要求を行う。ステップS37の登録要求には、ユーザ名(Koba)、デバイス認証情報、パブリックなネットワークN2側のユーザ名(Kobayashi)及びパスワードが含まれる。
ステップS38において、サービス提供システム50の企業・デバイス認証部76はステップS12と同様の企業・デバイス認証判断を行う。企業・デバイス認証部76は企業・デバイス認証成功(認証OK)と判断すると、ステップS39の処理を行う。
ステップS39において、認証処理部71はステップS13と同様のユーザ認証判断を行う。認証処理部71はユーザ認証成功(認証OK)と判断するとステップS41の処理を行う。
ステップS41において、ユーザ情報登録部73はネットワークN1側で認証済みのユーザ名(Koba)を、パブリックなネットワークN2側のユーザ名(Kobayashi)と対応付け、ユーザ管理情報のオフィス認証情報として登録する。
<<認証のシーケンス>>
図15は、画像形成装置14からログイン要求を受信したシステム1の処理を表した一例のシーケンス図である。なお、図15のシーケンス図は「社内認証と連携する」というログイン設定が選択されている場合の例である。
S101:図14のステップS21で説明したように、画像形成装置14の入力受付部31はユーザによる認証要求を受け付け、例えばプライベートなネットワークにおける認証情報であるICカードのカードIDを認証装置17に送信する。
S102:認証装置17の認証処理部41はカードIDが図5に示した認証情報記憶部42に記憶されているか否に基づいて認証判断を行う。ここでは認証OKであるとして説明する。
S103:認証装置17の認証処理部41は認証結果(OK)を画像形成装置14に送信する。
S104:画像形成装置14のサービスログイン要求部34は、デバイス認証情報、プライベートなネットワークにおけるユーザ名(Koba)を認証情報としてサービス提供システムに送信し、ログインを要求する。
S105:ログイン要求はアクセス制御装置21により中継され、ユーザの登録確認要求としてサービス提供システム50に送信される。
S106:サービス提供システム50の企業・デバイス認証部76は図14のステップS30と同様の企業・デバイス認証判断を行い、更に、認証処理部71がステップS32と同様の処理を行って、ユーザの登録確認を行う。
ユーザが登録されている場合、ステップS107、S108が実行される。
S107:ユーザが登録されている場合、サービス提供システム50の機器通信部72は確認結果(OK)をアクセス制御装置21に送信する。
S108:アクセス制御装置21はログインOKを画像形成装置14に返す。
ユーザが登録されていない場合、ステップS109~S119が実行される。
S109:ユーザが登録されていない場合、サービス提供システム50の機器通信部72は確認結果(NG)をアクセス制御装置21に送信する。
S110:アクセス制御装置21はログイン画面の表示要求を画像形成装置14に返す。
S111:画像形成装置14のサービス利用アプリはログイン画面1020を表示する。入力受付部31はパブリックなネットワークにおけるユーザ名(Kobayashi)及びパスワードのユーザを受け付ける。
S112,S113:画像形成装置14の登録要求部35はサービス提供システム50へプライベートなネットワークN1側で認証済みのユーザ名(Koba)の登録要求を行う。登録要求には、ユーザ名(Koba)、デバイス認証情報、パブリックなネットワークN2側のユーザ名(Kobayashi)及びパスワードが含まれる。
S114:サービス提供システムの企業・デバイス認証部76は図14のステップS38と同様の企業・デバイス認証判断を行い、更に認証処理部71がステップS39と同様の処理を行って、ユーザの認証判断を行う。
S115:認証成功の場合、サービス提供システム50のユーザ情報登録部73はネットワークN1側で認証済みのユーザ名(Koba)を、パブリックなネットワークN2側のユーザ名(Kobayashi)と対応付け、ユーザ管理情報のオフィス認証情報として登録する。
S116:サービス提供システム50の機器通信部72は登録完了通知をアクセス制御装置21に送信する。
S117:アクセス制御装置21は登録完了通知を画像形成装置14に送信する。
S118:認証失敗の場合、サービス提供システム50の機器通信部72は認証結果(NG)をアクセス制御装置21に送信する。
S119:アクセス制御装置21はエラーを画像形成装置14に送信する。
<<ジョブ実行>>
図16はサービス提供システム50からデータ一覧及びジョブを取得する処理の一例のシーケンス図である。ステップS201~S208の処理は図15のステップS101~S108の処理と同様であるため、説明を省略する。
S209:画像形成装置14のサービス利用要求部37はジョブリスト要求をアクセス制御装置21に送信する。ジョブリスト要求には例えばパブリックなネットワークN2側のユーザ名(Kobayashi)が含まれている。
S210:アクセス制御装置21はデータ管理部77にジョブリスト要求を送信する。
S211、S212:データ管理部77はジョブリスト要求に含まれるユーザ名(Kobayashi)に対応付けられているジョブをデータ管理情報記憶部84から取得する。
S213:データ管理部77は1つ以上のジョブに関するジョブリストをアクセス制御装置21に送信する。
S214:アクセス制御装置21はジョブリストを画像形成装置14に送信する。
S215:画像形成装置14のサービス利用要求部37はジョブリストを受信し、表示制御部38がジョブリストを表示する。続いて、入力受付部31はジョブの選択を受け付ける。
S216:画像形成装置14のサービス利用要求部37はジョブデータ取得要求をアクセス制御装置21に送信する。ジョブデータ取得要求には例えばジョブIDが含まれている。
S217:アクセス制御装置21はデータ管理部77にジョブデータ取得要求を送信する。
S218、S219:データ管理部77はジョブデータ取得要求に含まれるジョブIDに対応付けられているジョブの保存場所をデータ管理情報記憶部84で取得し、データストレージ85からジョブデータを取得する。
S220:データ管理部77は1つ以上のジョブデータをアクセス制御装置21に送信する。
S221:アクセス制御装置21はジョブデータを画像形成装置14に送信する。
S222:画像形成装置14の機能処理部33はジョブデータを用いてジョブを実行する。
<まとめ>
以上説明したように、本実施形態のシステム1は、オフィス機器側で企業コードが入力されないので、オフィス機器側でクラウドサービスを意識した設計が不要であり、ユーザはプライベートな認証情報を入力するだけでサービスの提供を受けることができる。また、企業コードの入力が不要なのでユーザの手間を低減できる。
<変形例>
本実施形態ではユーザが企業コードを入力しなくも、プライベートな認証情報を入力することで、パブリックなサービス提供システムのサービスを利用可能となった。しかし、企業によってはユーザに企業コードを入力させる運用としてセキュリティを向上させたいと考える場合もあると思わる。
そこで、図17に示すように、本実施形態では、認証方法を設定する認証方法設定画面2000を用意されてもよい。図17は画像形成装置14が表示する認証方法設定画面2000の一例を示す。認証方法設定画面2000は「企業コードを入力する」という記載、「企業コードを入力しない」という記載のそれぞれにチェックボックス2001が配置されている。管理者等はチェックボックス2001をチェックして、「企業コードを入力する」又は「企業コードを入力しない」を選択できる。これにより、画像形成装置14は企業コードの入力を必要とするか、又は、必要としないかの設定を受け付けることができる。
この設定は画像形成装置14が保持する他、サービス提供システム50に送信され、デバイス認証情報等に対応付けて保存される。したがって、サービス提供システム50はこの設定にしたがって、「企業コードを入力する」認証方法又は「企業コードを入力しない」認証方法を切り替えることができる。
参考に、「企業コードを入力する」認証方法の認証手順を説明する。
図18は画像形成装置14からログイン要求を受信したサービス提供システム50の処理を表した一例のフローチャートである。なお、図18は「社内認証と連携しない」ログイン設定が選択されている場合の例である。
ステップS1011において、サービス提供システム50の認証処理部71は企業コード、デバイス認証情報、パブリックなネットワークN2側のユーザ名及びパスワードを認証情報としたログイン要求を画像形成装置14から受信する。
ステップS1012において、認証処理部71は認証情報に含まれる企業コードが図7に示した企業管理情報に存在するかを判断する企業認証判断を行う。認証情報に含まれる企業コードが企業管理情報に存在すれば、認証処理部71は企業認証成功(認証OK)と判断し、ステップS1013の処理を行う。
ステップS1013において、認証処理部71は図9に示した機器管理情報のうち、認証された企業コードに対応付けられた機器管理情報の中に、認証情報に含まれるデバイス認証情報が存在するかを判断するデバイス認証判断を行う。認証情報に含まれるデバイス認証情報が存在すれば、認証処理部71はデバイス認証成功(認証OK)と判断してステップS1014の処理を行う。
ステップS1014において、認証処理部71は図8に示したユーザ管理情報のうち、認証された企業コードに対応付けられたユーザ管理情報の中に、認証情報に含まれるユーザ名及びパスワードが存在するかを判断するユーザ認証判断を行う。
認証情報に含まれるユーザ名及びパスワードが存在すれば、認証処理部71はユーザ認証成功(認証OK)と判断してステップS1016の処理を行う。認証処理部71はステップS1016において、画像形成装置14からのログイン要求に対する認証結果を成功(認証OK)と判断する。
なお、ステップS1012において認証情報に含まれる企業コードが図7に示した企業管理情報に存在しなければ、認証処理部71はステップS1015において、画像形成装置14からのログイン要求に対する認証結果を失敗(認証NG)と判断する。
同様に、ステップS1013において、認証された企業コードに対応付けられた機器管理情報の中に、認証情報に含まれるデバイス認証情報が存在しなければ、認証処理部71はステップS1015において、画像形成装置14からのログイン要求に対する認証結果を失敗(認証NG)と判断する。
同様に、ステップS1014において、認証された企業コードに対応付けられたユーザ管理情報の中に、認証情報に含まれるユーザ名及びパスワードが存在しなければ、認証処理部71はステップS1015において、画像形成装置14からのログイン要求に対する認証結果を失敗(認証NG)と判断する。
<その他の適用例>
以上、本発明を実施するための最良の形態について実施例を用いて説明したが、本発明はこうした実施例に何等限定されるものではなく、本発明の要旨を逸脱しない範囲内において種々の変形及び置換を加えることができる。
例えば、オフィス機器30には、図1に示す他、電子黒板、テレビ会議端末、デジタルサイネージなど、認証が必要な機器であれば本実施形態の認証方法を適用できる。
認証とは、システムやコンピュータの利用開始時にユーザの身元の妥当性を判断することをいう。認証情報は、ユーザの身元の妥当性を判断するための情報であり、各ユーザによって異なる情報が使用される。例えば、カードID、ユーザ名(ユーザID)とパスワード、アカウントID等がある。なお、IDはIdentificationの略であり識別子や識別情報という意味である。IDは複数の対象から、ある特定の対象を一意的に区別するために用いられる名称、符号、文字列、数値又はこれらのうち1つ以上の組み合わせをいう。
また、図6などの構成例は、サービス提供システム50による処理の理解を容易にするために、主な機能に応じて分割したものである。処理単位の分割の仕方や名称によって本願発明が制限されることはない。サービス提供システム50の処理は、処理内容に応じて更に多くの処理単位に分割することもできる。また、1つの処理単位が更に多くの処理を含むように分割することもできる。
サービス提供システム50は特許請求の範囲の情報処理装置の一例であり、企業・デバイス認証部76は第一の認証処理手段の一例であり、企業・デバイス認証判断は第一の認証の一例であり、第一のユーザ認証情報はパブリックなネットワークにおけるユーザの認証情報の一例であり、第二のユーザ認証情報はプライベートなネットワークにおけるユーザの認証情報の一例である。
認証処理部71は第二の認証処理手段の一例であり、ユーザ認証は第二の認証の一例であり、機器通信部72は通信手段の一例であり、デバイス認証情報は機器認証情報の一例であり、企業コードはグループの識別情報の一例であり、企業管理情報はグループ管理情報の一例であり、ユーザ情報登録部73は登録手段の一例であり、表示制御部38は表示制御手段の一例であり、サービスアプリ51はサービス提供手段の一例であり、機器通信部72は機器通信手段の一例であり、認証要求部32は認証要求手段の一例である。