KR101614578B1 - 정보 처리 장치, 그 제어 방법, 저장 매체, 및 화상 처리 장치 - Google Patents

정보 처리 장치, 그 제어 방법, 저장 매체, 및 화상 처리 장치 Download PDF

Info

Publication number
KR101614578B1
KR101614578B1 KR1020130056976A KR20130056976A KR101614578B1 KR 101614578 B1 KR101614578 B1 KR 101614578B1 KR 1020130056976 A KR1020130056976 A KR 1020130056976A KR 20130056976 A KR20130056976 A KR 20130056976A KR 101614578 B1 KR101614578 B1 KR 101614578B1
Authority
KR
South Korea
Prior art keywords
authentication
user
credential
processing apparatus
information processing
Prior art date
Application number
KR1020130056976A
Other languages
English (en)
Other versions
KR20130130641A (ko
Inventor
야스히로 호소다
Original Assignee
캐논 가부시끼가이샤
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 캐논 가부시끼가이샤 filed Critical 캐논 가부시끼가이샤
Publication of KR20130130641A publication Critical patent/KR20130130641A/ko
Application granted granted Critical
Publication of KR101614578B1 publication Critical patent/KR101614578B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • G06F21/335User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Facsimiles In General (AREA)
  • Accessory Devices And Overall Control Thereof (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

싱글 사인온 기능의 사용에 적합한 환경과 적합하지 않은 환경의 혼합 환경에서, 인증 데이터의 우연한 일치에 의한 불법 액세스를 방지하면서 싱글 사인온 기능을 적절히 구현할 수 있는 사용자 크리덴셜 공유 메커니즘이 제공된다. 이를 달성하기 위해, 본 발명의 정보 처리 장치가 정보 처리 장치와 통신할 수 있도록 접속된 외부 장치에 대한 액세스 요청 명령을 사용자로부터 수신하는 경우, 로그인 동작 시에 생성된 사용자 크리덴셜들과 관련된 인증 프로토콜이 보안 도메인을 제한할 수 있는 인증 프로토콜이면, 장치는 사용자 크리덴셜들을 사용하여 외부 장치에 액세스하고, 인증 프로토콜이 보안 도메인을 제한할 수 없는 인증 프로토콜이면, 장치는 사용자로 하여금 외부 장치에 대해 액세스 가능한 계정을 입력하게 한다.

Description

정보 처리 장치, 그 제어 방법, 저장 매체, 및 화상 처리 장치{INFORMATION PROCESSING APPARATUS, CONTROL METHOD THEREOF, STORAGE MEDIUM, AND IMAGE PROCESSING APPARATUS}
본 발명은 정보 처리 장치, 그 제어 방법, 저장 매체, 및 화상 처리 장치에 관한 것이다.
기존의 복사기 및 MFP(복합기)와 같은 화상 처리 장치는 디바이스에 대한 로그인 시점에 사용되는 계정을 사용하여 외부 서버에 액세스할 수 있다. 이러한 싱글 사인온(single sign-on)을 구현하기 위해, 일본 특허 공보 제2011-258000호는 애플리케이션들이 사용자 크리덴셜(credential)을 공유하게 하는 메커니즘을 제안하였다. 예를 들어, 사용자가 디바이스에 로그인할 때 획득되는 사용자 크리덴셜들이 캐시에 저장되어 공유되는데, 이로써 외부 서버에 대한 액세스 시점에 사용자가 계정 및 비밀번호를 다시 입력하게 하는 것을 피할 수 있다. 이에 따라, 사용자는 여러 경우마다 동일한 계정 및 비밀번호를 입력할 필요가 없다.
일본 특허공보 제8-263417호는 싱글 사인온을 구현하기 위해 로컬 컴퓨터에 대한 로그인 시점에 데이터를 사용하여 독립적인 네트워크의 리소스에 액세스하려는 네트워크 제공자를 제안하였다.
그러나, 전술한 종래 기술들은 다음과 같은 문제점들이 있다. 예를 들어, 회사 내의 사무실 환경은 디바이스에 대한 로그인 시점에 사용되는 계정을 사용하여 외부 서버에 액세스하는데 사용되는 싱글 사인온 기능의 사용에 적합한 환경, 적합하지 않은 환경, 또는 혼합 환경을 포함한다. 싱글 사인온 기능의 사용에 부적합한 환경에서 싱글 사인온 기능이 유효하면 낮은 보안성 문제가 제기된다. 종래 기술에서는, 싱글 사인온 기능의 사용에 적합한 환경과 싱글 사인온 기능의 사용에 부적합한 환경을 포함하는 혼합 환경이 고려되지 않았으며, 싱글 사인온 기능의 유연한 사용 설정이 회사 내의 사무실 환경을 고려하여 이루어질 수 없다. 싱글 사인온 기능의 사용에 적합한 환경은 회사 내의 IT 관리자가 컴퓨터 및 디바이스들의 액세스 계정들을 일률적으로 관리하는 환경을 포함한다. 이러한 환경에서는, 사무실 직원이 동일한 계정을 사용하는 네트워크 상의 모든 노드에 액세스할 수 있다. 싱글 사인온 기능의 사용에 부적합한 환경은 회사 내의 IT 관리자가 컴퓨터 및 디바이스들의 액세스 계정들을 일률적으로 관리하지 않는 환경을 포함한다. 싱글 사인온 기능의 사용에 적합한 환경과 부적합한 환경의 혼합 환경은 IT 관리자에 의해 액세스 계정들이 일률적으로 관리되는 노드 및 네트워크와, 액세스 계정들이 일률적으로 관리되지 않는 노드 및 네트워크가 혼합되어 있는 환경을 포함한다. 예를 들어, 도메인 계정 및 로컬 계정 모두가 노드에 대한 액세스 계정으로 이용될 수 있는 환경에서는, IT 관리자가 도메인 계정을 관리하지만 로컬 계정을 관리하지는 않는다. 이러한 경우 또한 혼합 환경에 대응한다.
보안 도메인을 제한할 수 있고 사용자 크리덴셜들을 사용하는 인증 프로토콜들과 보안 도메인을 제한할 수 없고 사용자 크리덴셜들을 사용하는 프로토콜들이 이용될 수 있다. 싱글 사인온 기능의 사용에 부적합한 환경에서 사용자가 보안 도메인을 제한할 수 없는 인증 프로토콜을 사용하여 디바이스로부터 다른 노드로 싱글 사인온을 시도하는 경우, 다음의 문제가 제기된다. 예를 들어, 디바이스는 액세스 목적지 노드의 액세스 계정이 일률적으로 관리되는지 여부를 판단하지 않고 노드에 액세스하고, 디바이스 로그인 시점에서와 동일한 인증 데이터가 우연히 액세스 목적지 노드에 저장되어 있으면 그 노드에 불법 액세스한다. 싱글 사인온 기능의 사용에 부적합한 환경에서, 이 문제점을 해결하기 위해 싱글 사인온 기능이 사용되는 것이 일률적으로 금지된다. 그러나, 싱글 사인온 기능의 사용에 적합한 환경과 적합하지 않은 환경의 혼합 환경에서, 이러한 문제점은 전술한 방법에 의해 해결될 수 없다.
본 발명은 싱글 사인온 기능의 사용에 적합한 환경과 적합하지 않은 환경의 혼합 환경에서도, 인증 데이터가 우연히 일치되는 경우 일어나는 불법 액세스를 방지하는 동안 싱글 사인온 기능을 적절히 구현하는 사용자 크리덴셜 공유 메커니즘의 실현을 가능하게 한다.
본 발명의 일 측면은 복수의 인증 방법 중 어느 하나를 사용하여 사용자 인증을 위한 처리를 실행하도록 구성된 인증 유닛; 인증 유닛이 사용자를 인증할 때 생성되는 사용자 크리덴셜을 관리하도록 구성된 관리 유닛; 관리 유닛에 의해 관리되는 크리덴셜이 인증 유닛의 복수의 인증 방법 중 특정 인증 방법에 사용되도록 허가하는지 여부를 설정 내용으로 기록하여 정보 처리 장치에 포함된 기능을 실행하도록 구성된 설정 유닛; 인증 유닛이 특정 인증 방법을 사용하여 사용자를 인증하고, 사용자는 정보 처리 장치에 포함된 기능을 실행하도록 지시할 때, 기능이 설정 유닛에 의해 설정된 설정 내용에 따라 사용자 크리덴셜을 사용하는지 여부를 결정하도록 구성된 결정 유닛; 및 결정 유닛이 크리덴셜의 사용을 허가하도록 결정할 때 크리덴셜을 이용하여 기능을 실행하고, 결정 유닛이 크리덴셜의 사용을 금지하도록 결정할 때 사용자로 하여금 사용자 인증을 실행하는 것을 제어하도록 구성된 제어 유닛을 포함하는 정보 처리 장치를 제공한다.
본 발명의 다른 측면은 복수의 인증 방법 중 어느 하나를 사용하여 사용자 인증을 위한 처리를 실행하도록 구성된 인증 유닛 및 인증 유닛이 사용자를 인증할 때 생성되는 사용자 크리덴셜을 관리하도록 구성된 관리 유닛을 포함하는 정보 처리 장치의 제어 방법으로서, 관리 유닛에 의해 관리되는 크리덴셜이 인증 유닛의 복수의 인증 방법 중 특정 인증 방법에 사용되도록 허가하는지를 여부를 설정하여 정보 처리 장치에 포함된 기능을 실행하는 설정 단계; 인증 유닛이 특정 인증 방법을 사용하여 사용자를 인증하고, 사용자는 정보 처리 장치에 포함된 기능을 실행하도록 지시할 때, 기능이 설정 단계에서 설정된 설정 내용에 따라 사용자 크리덴셜을 사용하는지 여부를 결정하는 결정 단계; 및 결정 단계에서 크리덴셜의 사용을 허가하도록 결정된 경우 크리덴셜을 이용하여 기능을 실행하는 것을 제어하고, 결정 단계에서 크리덴셜의 사용을 금지하도록 결정된 경우 사용자가 사용자 인증을 실행하는 것을 제어하는 제어 단계를 포함하는 제어 방법을 제공한다.
본 발명의 또 다른 측면은 컴퓨터로 이 방법을 수행하게 하기 위한 프로그램을 저장하는 컴퓨터 판독가능 저장 매체를 제공한다.
본 발명의 또 다른 측면은 싱글 사인온 기능을 갖는 화상 처리 장치로서, 화상 처리 장치에 로그인한 사용자를 인증하도록 구성된 인증 유닛; 인증 유닛에 의한 사용자 인증에 사용되는 인증 정보를 포함하는 사용자 크리덴셜 및 서로 관련하여 사용자 크리덴셜에 관한 인증 프로토콜을 나타내는 정보를 저장하도록 구성된 저장 유닛; 원고로부터 화상을 판독하도록 구성된 판독 유닛; 판독 유닛에 의해 판독된 원고의 화상 데이터를 화상 처리 장치와 통신할 수 있도록 접속된 외부 장치에 송신하는 명령이 사용자로부터 수신되면, 저장 유닛에 저장된 사용자의 사용자 크리덴셜 및 인증을 나타내는 정보에 기반하여 외부 장치가 사용자 크리덴셜을 사용하여 액세스될 수 있는지 여부를 판단하도록 구성된 판단 유닛; 및 판단 유닛이 외부 장치가 사용자 크리덴셜을 사용하여 액세스될 수 없다고 판단한 경우 외부 장치에 액세스 가능한 계정을 입력하게 하고, 판단 유닛이 사용자 크리덴셜을 사용하여 외부 장치가 액세스될 수 있다고 판단한 경우 판독 유닛에 의해 판독된 원고의 화상 데이터를 외부 장치에 송신하도록 구성된 제어 유닛을 포함하며, 인증 프로토콜이 보안 도메인을 제한하도록 구성된 인증 프로토콜이면 판단 유닛은 사용자 크리덴셜을 이용하여 외부 장치에 액세스될 수 있다고 판단하고, 인증 프로토콜이 보안 도메인을 제한하도록 구성되지 않은 인증 프로토콜이면 판단 유닛은 사용자 크리덴셜을 사용하여 외부 장치에 액세스될 수 없다고 판단하는 화상 처리 장치를 제공한다.
본 발명의 추가적인 특징들은 첨부된 도면을 참조하면 실시예들의 다음 설명으로부터 명확해질 것이다.
도 1은 사용자 리포지토리(repository)들의 레이아웃 및 네트워크 상의 노드 배열을 도시한 개략적인 블록도.
도 2는 MFP의 하드웨어 배열을 도시한 블록도.
도 3은 MFP의 소프트웨어 구성을 도시한 도면.
도 4는 애플리케이션들을 관리하기 위한 사용자 인터페이스를 도시한 도면.
도 5는 로그인 애플리케이션에 포함되는 사용자 인터페이스(로그인 화면 및 인증 서버 등록 화면)를 도시한 도면.
도 6은 사용자 크리덴셜 공유 시스템에 포함된 API들을 도시한 도면.
도 7은 사용자 크리덴셜 공유 시스템에 의해 저장된 사용자 크리덴셜을 도시한 도면.
도 8은 사용자 크리덴셜 공유 시스템의 사용자 인터페이스를 도시한 도면.
도 9는 송신 애플리케이션의 사용자 인터페이스를 도시한 도면.
도 10은 MFP의 동작 시에 일련의 시퀀스를 도시한 흐름도.
도 11은 사용자 크리덴셜 공유 시스템의 상세한 처리 시퀀스를 도시한 흐름도.
도 12a 내지 도 12c는 사용자 크리덴셜들과 접속 목적지 파일 공유 서버들의 조합을 나타내는 표.
이하, 도면을 참조하여 본 발명의 실시예들이 상세히 설명될 것이다. 이들 실시예에 개시된 구성요소의 배열, 수치 방정식 및 수치 값은 구체적인 언급이 없으면 본 발명의 범위를 제한하지 않는다는 점을 주목해야 한다.
<시스템 배열>
이하, 도 1 내지 도 12를 참조하여 본 발명의 일 실시예가 설명될 것이다. 이 실시예에서는 정보 처리 장치(화상 처리 장치)의 일례로서 MFP의 사용을 예로 들 것이다. 우선, 도 1을 참조하여 이 실시예에서의 사용자 리포지토리(user repository)들의 레이아웃 및 네트워크 상의 노드 배열이 설명될 것이다. 이 실시예에서, 사용자 인증에 사용되는 계정들의 저장 영역이 사용자 리포지토리라고 일반적으로 지칭될 것이다.
이 실시예에 따른 사용자 크리덴셜 공유 시스템(100)은 MFP(101), 도메인 컨트롤러(108), LDAP(Lightweight Directory Access Protocol) 서버(113), 사내 시스템 인증 서버(in-house system authentication server)(116), 파일 공유 서버(외부 장치)들(110, 111, 115, 및 118), 및 라우터(107)를 포함한다. 개별 컴포넌트들은 라우터(107) 및 사내 로컬 네트워크들로서 LAN들(103, 104, 105)을 통해 서로 통신할 수 있도록 접속하고 있다고 가정한다. 이 실시예에서, MFP(101)가 사내 LAN(103)에 접속된다고 가정한다. MFP(101)는 MFP(101)의 노드에 계정들을 등록하는데 필요한 사용자 리포지토리(102)를 포함한다.
도메인 컨트롤러(108) 및 파일 공유 서버(110)가 LAN(103)에 접속된다. 도메인 컨트롤러(108)는 도메인 명칭이 “컴퍼니(COMPANY)”인 컴퍼니 도메인을 구성한다고 가정한다. 도메인 컨트롤러(108)는 노드 컨트롤러의 제어 하에서 노드들에 액세스하는 사용자들을 등록하는데 필요한 사용자 리포지토리(109)를 포함한다. 예를 들어, 도메인 컨트롤러가 Windows® OS 기능을 사용하여 형성되면, ActiveDirectory®가 사용자 리포지토리로서 사용될 수 있다. Windows® 및 ActiveDirectory®는 Microsoft사의 등록 상표이다. 도메인 컨트롤러(108)는 커버로스(Kerberos) 키 분배 센터(KDC) 기능을 포함한다고 가정한다. 파일 공유 서버(110)는 컴퍼니 도메인에 가입하도록 구성된다. 파일 공유 서버(110)는 SMB(Server Message Block) 프로토콜에 의해 액세스될 수 있는 네트워크 공유 폴더를 공개한다. 사용자는 사용자 리포지토리(109)에 등록된 계정만을 사용하여 파일 공유 서버(110)에 의해 공개된 네트워크 공유 폴더에 액세스할 수 있다. SMB 접속은 커버로스 인증을 사용한다. 커버로스 인증은 인터넷과 같은 공중 네트워크 환경에서 접속 사용자를 정확히 인증하기 위한 네트워크 인증 프로토콜의 명칭이며, RFC 1510에 의해 정의된다. 커버로스 인증에서는 비밀번호가 KDC에 의해 관리된다. KDC는 사용자로부터 수신된 비밀번호를 인증하고, 인증 사용자에게 티켓 증명 티켓(ticket granting ticket)을 발급한다. 인증된 사용자는 발급된 티켓을 사용하여 다양한 네트워크 서비스를 사용할 수 있다.
파일 공유 서버(111)는 LAN(104)에 접속된다. 파일 공유 서버(111)는 SMB 프로토콜에 의해 액세스될 수 있는 네트워크 공유 폴더를 공개한다. 파일 공유 서버(111)의 네트워크 공유 폴더는 파일 공유 서버(111)에 포함된 사용자 리포지토리(112)에 등록된 계정만으로 액세스될 수 있도록 미리 설정된다. SMB 접속은 NTLM(Windows® NT LAN Manager authentication) 인증 데이터를 사용한다.
LDAP 서버(113) 및 파일 공유 서버(115)가 LAN(105)에 접속된다. LDAP 서버(113)는 사용자 리포지토리(114)를 포함하며, 외부 LDAP 심플 바인드(LDAP Simple Bind) 접속 요청의 수신 시에 사용자 인증을 허용하도록 미리 설정된다. LDAP 서버(113)는 예를 들어, Linux® OS 및 오픈 LDAP를 사용하여 사용자 리포지토리 및 사용자 인증 메커니즘을 구축할 수 있다. 파일 공유 서버(115)는 WebDAV 프로토콜에 의한 파일들의 판독/기입 액세스들을 허용하는 WebDAV 서버로서 기능한다. 파일 공유 서버(115)의 WebDAV는 LDAP 서버(113)의 사용자 리포지토리(114)에 등록된 계정만으로 액세스될 수 있도록 미리 설정된다. WebDAV 서버는 예를 들어, Linux® OS 및 Apache를 사용하여 구축될 수 있다. WebDAV에 대한 접속은 HTTP 베이직 인증을 사용한다.
사내 시스템 인증 서버(116) 및 파일 공유 서버(118)가 LAN(106)에 접속된다. 사내 시스템 인증 서버(116)는 사용자 리포지토리(117)를 포함하며, 사내 시스템에 액세스하기 위한 인증 서비스로서 기능한다. 예를 들어, 사내 시스템 인증 서버(116)는 고유 프로토콜 및 SQL 데이터베이스의 사용자 인증 메커니즘을 포함하는 사용자 리포지토리(117)를 포함한다. 파일 공유 서버(118)는 WebDAV 프로토콜에 의한 파일들의 판독/기입 액세스들을 허용하는 웹 서비스를 공개한다. WebDAV에 대한 접속은 HTTP 베이직 인증을 사용한다. 파일 공유 서버(118)는 사내 시스템 인증 서버(116)와 협력하여 사용자 인증을 실행하는데 사용되는 에이전트 프로그램(agent program)을 통합하고, 사용자 리포지토리(117)에 등록된 계정만으로 액세스될 수 있도록 미리 설정된다. 복수의 개인용 컴퓨터 및 MFP들이 회사 내의 로컬 영역 네트워크에 접속된다고 가정한다.
<싱글 사인온>
이하, 디바이스(예를 들어, MFP(110))에 대한 로그인 시점에 사용되는 계정을 사용하여 외부 서버에 대한 액세스를 허용하는 싱글 사인온 기능이 설명될 것이다. 회사 내의 사무실 환경은 디바이스에 대한 로그인 시점에 사용되는 계정을 사용하여 외부 서버에 액세스하는데 사용되는 싱글 사인온 기능의 사용에 적합한 환경, 적합하지 않은 환경, 또는 이들의 혼합 환경을 포함한다.
싱글 사인온 기능의 사용에 적합한 환경은 회사 내의 IT 관리자가 컴퓨터 및 디바이스들의 액세스 계정들을 일률적으로 관리하는 환경을 나타낸다. 이러한 환경에서, 사무실 직원이 동일한 계정을 사용하는 네트워크 상의 모든 노드에 액세스할 수 있다. 예를 들어, 다음의 환경들이 알려져 있다.
· IT 관리자가 네트워크 상에 도메인 컨트롤러를 위치시키고, 네트워크 상의 노드들이 도메인에 가입되는 환경
· IT 관리자가 네트워크 상의 인증 서버로서 LDAP 서버를 위치시키고 LDAP 서버에 의한 개별 노드에 대한 액세스들을 인증하도록 설정된 환경
· 디바이스 및 컴퓨터들에 대한 액세스 계정들이 개별 노드에 대한 로컬 계정으로서 등록되지만 IT 관리자가 모든 노드에 관해 동일한 계정 및 비밀번호를 등록함으로써 균일하게 관리하는 환경
싱글 사인온 기능의 사용에 부적합한 환경은 회사 내의 IT 관리자가 노드들의 액세스 계정을 일률적으로 관리하지 않는 환경을 나타낸다. 예를 들어, 다음의 환경들이 알려져 있다.
· 컴퓨터 및 디바이스들의 액세스 계정을 관리하는 IT 관리자가 존재하지 않는 환경
· IT 관리자가 사무실 직원에게 허가를 수여하여 네트워크로부터 액세스될 수 있는 노드를 자유롭게 구축하며, 각각의 노드에서의 계정을 자유롭게 관리하는 환경
싱글 사인온 기능의 사용에 적합한 환경과 부적합한 환경의 혼합 환경은 IT 관리자에 의해 액세스 계정들이 일률적으로 관리되는 노드 및 네트워크와 액세스 계정들이 일률적으로 관리되지 않는 노드 및 네트워크가 혼합되어 있는 환경을 나타낸다. 예를 들어, 도메인 계정 및 로컬 계정 모두가 노드에 대한 액세스 계정으로 이용될 수 있는 환경에서, IT 관리자는 도메인 계정을 관리하지만, 로컬 계정을 관리하지 않는다. 이러한 경우 또한 혼합 환경에 대응한다.
보안 도메인을 제한할 수 있고 사용자 크리덴셜들을 사용하는 인증 프로토콜과 보안 도메인을 제한할 수 없고 사용자 크리덴셜들을 사용하는 프로토콜이 이용될 수 있다. 예를 들어, 보안 도메인을 제한할 수 있고 사용자 크리덴셜들을 사용하는 인증 프로토콜은 다음의 프로토콜들을 포함한다.
· 특정 코드만으로 해석될 수 있는 암호화된 인증 데이터를 사용한 인증 프로토콜(커버로스 등이 이 프로토콜에 대응함)
· 디지털 서명이 있는 SAML(Security Assertion Markup Language)의 인증 토큰을 사용하는 인증 프로토콜
· 도메인과 관련된 정보를 포함하는 인증 데이터를 사용하는 인증 프로토콜
보안 도메인을 제한할 수 없는 인증 프로토콜은 다음을 포함한다.
· 어떠한 도메인 정보를 포함하지 않는 인증 데이터
· 플레인 텍스트(plaintext)의 계정 및 비밀번호
· 일반적으로 사용되는 알고리즘에서의 비밀번호의 해시(hash) 값
사용자가 싱글 사인온 기능의 사용에 부적합한 환경에서 보안 도메인을 제한할 수 없는 인증 프로토콜을 사용하여 디바이스로부터 다른 노드로 싱글 사인온을 시도하는 경우, 다음의 문제가 제기된다. 예를 들어, 디바이스는 액세스 목적지 노드의 액세스 계정이 균일하게 관리되는지 여부를 판단하지 않고 노드에 액세스하려고 시도한다. 액세스 시도의 결과로서, 디바이스는 디바이스 로그인 시점에서와 동일한 인증 데이터가 우연히 액세스 목적지 노드에 저장되면 그 노드에 불법 액세스한다.
싱글 사인온 기능의 사용에 부적합한 환경에서, 이 문제점을 해결하기 위해 싱글 사인온 기능이 사용되는 것이 일률적으로 금지된다. 한편, 싱글 사인온 기능의 사용에 적합한 환경과 부적합한 환경의 혼합 환경에서, 사용자는 인증 데이터의 우연한 일치 시에 행해지는 불법 액세스를 방지하면서 싱글 사인온 기능을 사용하기를 원한다. 그러므로, 본 실시예에 따른 사용자 크리덴셜 공유 시스템(100)은 전술한 문제를 해결한다. 이하, 상세히 설명이 제공될 것이다.
<MFP의 하드웨어 배열>
이하, 도 2를 참조하여 MFP(101)의 하드웨어 배열이 설명될 것이다. 도면 부호 201은 전체 MFP를 제어하는 CPU를 의미하며, 도면 부호 202는 폰트 데이터 및 CPU(201)에 의해 실행될 소프트웨어 프로그램들을 저장하는 ROM을 의미한다. 도면 부호 203은 CPU(201)의 작업 영역, 수신 버퍼, 및 화상 랜더링 영역으로서 사용되는 RAM을 의미한다. 도면 부호 204는 사용자 인증 정보와 같은 데이터 및 소프트웨어의 프로그램 코드들을 기록하는 하드 디스크 드라이브(HDD)를 의미한다. HDD(204)의 일부 영역이 또한 도 1에 도시된 사용자 리포지토리(102)의 영역으로서 사용된다. 도면 부호 205는 메시지를 디스플레이하는데 사용되는 액정 디스플레이 및 다양한 스위치 및 버튼들을 포함하는 동작 패널을 의미한다. 도면 부호 206은 네트워크에 접속하기 위한 네트워크 인터페이스를 의미한다. 도면 부호 207은 인쇄 시트에 인쇄하는 프린터를 의미한다. 도면 부호 208은 인쇄된 문서와 같은 원고를 판독하여 화상 데이터로 변환하는 스캐너를 의미한다.
<MFP(101)의 소프트웨어 구성>
이하, 도 3을 참조하여 MFP(101)의 소프트웨어 구성이 설명될 것이다. 다음의 소프트웨어 실행 프로그램은 ROM(202) 및 HDD(204)로부터 RAM(203)으로 복사되어 CPU(201)에 의해 실행된다. 다양한 하드웨어 컴포넌트들을 제어하기 위해 디바이스 드라이버 그룹(301)이 필요하다. 도면 부호 302는 운영 체제를 의미한다. 도면 부호 303은 MFP(101)의 내장 애플리케이션들을 설치/설치 해제 및 실행 개시/실행 정지하는 것을 제어하기 위한 애플리케이션 플랫폼을 의미한다. 예를 들어, 애플리케이션 플랫폼(303)은 JAVA® 플랫폼 및 OSGi 프레임워크를 포함하도록 구성될 수 있다. JAVA®는 Oracle사의 등록 상표이다. OSGi 프레임워크는 OSGi 얼라이언스(표준화 단체)에 의해 정의되는 JAVA® 기반 서비스 플랫폼이다. 애플리케이션 플랫폼(303)에서, 사용자는 공장 출하(factory delivery)시부터 MFP(101)에 포함된 것뿐 아니라 애플리케이션을 추가로 설치할 수 있다. 예를 들어, 애플리케이션 플랫폼(303)은 애플리케이션들을 관리하기 위한 사용자 인터페이스(도 6)를 포함하는 서브릿(servlet)을 제공한다. MFP(101)의 관리자는 네트워크를 통해 애플리케이션의 실행 파일(JAR 파일)을 지정함으로써 애플리케이션의 추가 설치를 수행할 수 있다. 도 4는 애플리케이션 플랫폼(303)에 의해 제공되며, 애플리케이션들을 설치/설치 해제하거나 실행 개시/실행 정지하도록 제어하는데 요구되는 화면을 도시한다. 애플리케이션 플랫폼(303)은 도 4에 도시된 화면으로 통해 입력된 사용자 지시에 기반하여 애플리케이션들을 관리할 수 있다.
이하, 애플리케이션 플랫폼(303)에서 실행되는 애플리케이션들의 타입이 설명될 것이다. 애플리케이션의 타입이 제한되지 않으면 “애플리케이션”의 간단한 설명이 사용될 것이다.
· 시스템 애플리케이션: 공장 출하시부터 MFP(101)에 포함된 애플리케이션
· 로그인 애플리케이션: MFP(101)에 로그인한 사용자를 인증하기 위한 특수 애플리케이션
· 일반 애플리케이션: 로그인 애플리케이션 이외의 애플리케이션으로서 사용자에 의해 설치/설치 해제될 수 있는 애플리케이션
사용자 크리덴셜 공유 서비스(304)는 시스템 애플리케이션으로서 동작한다. 로그인 애플리케이션(305)은 동작 패널 상에 로그인 화면(501)을 디스플레이함으로써 사용자 인증을 수행한다. 로그인 화면(501)은 도 5를 참조하여 나중에 상세히 설명될 것이다. 송신 애플리케이션(306)은 스캐닝된 화상을 외부로 전송하는 기능을 포함하는 일반 애플리케이션이다. 도면 부호 307 및 도면 부호 308은 다른 일반 애플리케이션을 의미한다.
<사용자 크리덴셜>
이 실시예에서, 사용자 인증에 사용된 정보 및 사용자를 증명하기 위해 사용자 인증 후에 생성되는 정보가 일반적으로 사용자 크리덴셜이라고 지칭될 것이다. 예를 들어, 사용자 크리덴셜은 다음을 포함한다.
· 플레인 텍스트(plain text)의 계정 및 비밀번호
· 플레인 텍스트의 계정 및 비밀번호의 해시 값
· 커버로스 TGT(Ticket Granting Ticket), 및 TGS(Ticket Granting Server)에 의해 발급되는 티켓
· SAML과 같은 인증 토큰
<사용자 크리덴셜 공유 서비스(304)>
사용자 크리덴셜 공유 서비스(304)는 복수의 애플리케이션 사이에 사용자 크리덴셜의 공유를 허용하는 서비스이다. 사용자 크리덴셜 공유 서비스(304)에 포함되어 애플리케이션들로부터 사용될 수 있는 API 그룹이 도 6을 참조하여 후술될 것이다. API(601)는 인증 프로토콜과 관련된 RAM(203)에 있는 애플리케이션에 의해 지정된 사용자 크리덴셜들 및 사용자 크리덴셜 데이터의 타입과 관련된 정보를 저장한다. API에 의해 사용되는 인증 프로토콜에서, 문자열 “커버로스", “로컬”, 및 "LDAP 심플 바인드"는 미리 특정된다. 애플리케이션이 전술된 것 이외에 인증 프로토콜을 사용하는 경우, 임의의 문자열이 지정될 수 있다. 예를 들어, 하나 또는 복수의 데이터(도 7의 701 내지 704)가 저장된다.
API(602)는 RAM(203)에 저장된 사용자 크리덴셜 모두를 획득하여 애플리케이션으로 반환한다. API(603)는 인수(argument)에 의해 지정된 인증 프로토콜과 관련된 사용자 크리덴셜들을 획득하여 애플리케이션으로 반환한다. 사용자 크리덴셜 공유 서비스(304)는 사용자의 로그아웃 동작 또는 MFP(101)의 셧다운 동작을 검출하는 경우 RAM(203)에 저장된 사용자 크리덴셜 데이터를 폐기한다. 사용자 크리덴셜 공유 서비스(304)는 MFP(101)의 관리자가 사용자 크리덴셜 공유 서비스(304)의 동작들을 설정하게 하기 위한 사용자 인터페이스를 포함한다. 사용자 인터페이스는 도 8을 참조하여 후술될 것이다. 도 8에 도시된 바와 같이, 체크 박스(801)는 인증 프로토콜 "로컬”과 관련된 사용자 크리덴셜들이 반환되는 것이 금지되는 경우 변경하는데 사용되는 스위치이다. 체크 박스(802)는 "LDAP 심플 바인드”와 관련된 사용자 크리덴셜들이 반환되는 것이 금지되는 경우 변경하는데 사용되는 스위치이다. 체크 박스(803)는 미리 특정되지 않은 인증 프로토콜들(커버로스, 로컬, 및 LDAP 심플 바인드 이외의 인증 프로토콜들)에 관한 사용자 크리덴셜들이 반환되는 것이 금지되는 경우 변경하는데 사용되는 스위치이다. MFP(101)의 관리자가 각각의 체크 박스를 체크하고 설정 업데이트 버튼(804)을 누르면, 대응하는 스위치가 유효하게 된다. 즉, MFP(101)의 관리자는 도 8에 도시된 사용자 인터페이스를 사용하여 각각의 인증 프로토콜 타입에 대한 사용자 크리덴셜들의 공유를 금지하는 설정을 수행할 수 있다.
<로그인 애플리케이션(305)>
이하, 도 5를 참조하여 로그인 애플리케이션(305)이 설명될 것이다. 로그인 애플리케이션(305)은 동작 패널(205)에 로그인 화면(501)을 디스플레이하고, MFP(101)에 로그인하고 싶은 사용자를 인증한다. 로그인 화면(501)은 계정 및 비밀번호를 입력하는데 사용되는 텍스트 박스들(502)뿐 아니라 인증 목적지를 선택하는데 사용되는 드롭다운 리스트(503)를 포함한다. 이러한 리스트로부터 선택된 인증 목적지에 기반하여, 사용자 크리덴셜에 관한 인증 프로토콜이 결정될 수 있다. 또한, 화면(501)은 사용자로 하여금 인증 프로토콜을 더 입력하게 할 수 있다. 로그인 애플리케이션(305)은 사용자 리포지토리(102)에 계정을 미리 등록하기 위한 사용자 인터페이스를 포함한다. 또한, 로그인 애플리케이션(305)은 외부 인증 서버들에 의해 관리되는 사용자 리포지토리들(109, 114, 및 117)에서 계정들을 사용하는 사용자 인증 기능을 포함한다. 로그인 애플리케이션(305)은 MFP(101)의 HDD(204)에서 외부 인증 서버들과 협력하기 위해 요구되는 정보를 저장하는데 사용되는 인증 서버 등록 화면(505)을 포함한다. 인증 서버 등록 화면(505)은 일반적인 웹 브라우저를 사용하여 디바이스 관리자에 의해서만 액세스될 수 있는 웹 페이지로서 구성된다.
예를 들어, 인증 서버 등록 화면(505)은 도 5에 도시된 바와 같이 다음 정보를 등록하는 것을 허용한다.
· 로그인 화면(501)의 인증 목적지를 나타내는 드롭다운 리스트(503)에 디스플레이되는 디스플레이 명칭
· 서버 명칭
· 서버의 네트워크 주소
· 도메인 명칭
· 사용자 인증에 사용되는 인증 프로토콜
이 실시예에서, 도메인 컨트롤러(108), LDAP 서버(113), 및 사내 시스템 인증 서버(116)가 인증 서버들로서 등록될 수 있다. 드롭다운 리스트(503)는 “로컬호스트(LocalHost)”를 디스플레이한다. “로컬호스트”는 MFP(101) 자신에 포함된 사용자 리포지토리(102)를 사용하는 인증이기 때문에, 이러한 인증이 화면(505)에 등록되는 경우에도 드롭다운 리스트(503)에 디스플레이된다. 로그인 애플리케이션(305)은 인증 서버 등록 상태에 따라 인증 목적지에 디스플레이 명칭을 디스플레이한다.
로그인 버튼(504)의 누름이 검출되면, 로그인 애플리케이션(305)은 인증 목적지(드롭다운 리스트(503)로부터 선택된 값) 및 텍스트 박스들(502)에 입력된 계정 및 비밀번호를 획득한다. 다음으로, 로그인 애플리케이션(305)은 인증 목적지에 관한 사용자 리포지토리, 인증 서버, 및 인증 프로토콜과 같은 정보를 사용하여 사용자 인증을 시도한다. 사용자 인증이 성공했으면, 로그인 애플리케이션(305)은 API(601)를 통해 인증 프로토콜 정보와 함께 사용자 크리덴셜들을 저장하도록 사용자 크리덴셜 공유 서비스(304)에 요청한다. 이하, 이 실시예에서 인증이 성공했으면 사용자 크리덴셜 공유 서비스(304)에 저장될 사용자 크리덴셜들, 인증 프로토콜들, 인증 서버들, 사용자 리포지토리들, 및 인증 목적지들(드롭다운 리스트(503))로서 디스플레이되는 문자열들 사이의 관계가 설명될 것이다.
<인증 목적지: 로컬호스트>
“로컬호스트”는 사용자 리포지토리(102)와 관련되어 있다. 인증 프로토콜은 “로컬"과 관련되어 있다. 로그인 애플리케이션(305)은 사용자 리포지토리(102)에 등록된 데이터와 함께 텍스트 박스(502)로부터 획득된 계정 및 비밀번호를 조합함으로써 사용자 인증을 실행한다. 사용자 인증이 성공했으면, 로그인 애플리케이션(305)은 API(601)를 통해 플레인 텍스트의 계정 및 비밀번호를 저장하도록 사용자 크리덴셜 공유 서비스(304)에 요청한다. 로그인 애플리케이션(305)은 API(601)의 인증 프로토콜을 나타내는 인수에서 “로컬”을 지정한다.
<인증 목적지: 컴퍼니 도메인>
“컴퍼니 도메인”은 사용자 리포지토리(112)를 관리하는 도메인 컨트롤러(108)와 관련되어 있다. 인증 프로토콜은 “커버로스"와 관련되어 있다. 로그인 애플리케이션(305)은 미리 등록된 도메인 명칭(company.com) 및 텍스트 박스들(502)로부터 획득된 계정 및 비밀번호를 사용하여 커버로스 프로토콜에 의해 도메인 컨트롤러(108)에 관한 사용자 인증을 시도한다. 사용자 인증이 성공했으면, 로그인 애플리케이션(305)은 사용자 크리덴셜로서 커버로스 인증 시에 획득되는 TGT를 저장하도록 사용자 크리덴셜 공유 서비스(304)에 요청한다. 로그인 애플리케이션(305)은 API(601)의 인증 프로토콜을 나타내는 인수에서 “커버로스”를 지정한다.
<인증 목적지: LDAP 서버>
“LDAP 서버”는 사용자 리포지토리(114)를 관리하는 LDAP 서버(113)와 관련되어 있다. 인증 프로토콜은 “LDAP 심플 바인드"와 관련되어 있다. 로그인 애플리케이션(305)은 텍스트 박스들(502)로부터 획득되는 계정 및 비밀번호를 사용하여 "LDAP 심플 바인드"에 의해 LDAP 서버(113)에 관한 사용자 인증을 시도한다. 사용자 인증이 성공했으면, 로그인 애플리케이션(305)은 API(601)를 통해 플레인 텍스트의 계정 및 비밀번호를 저장하도록 사용자 크리덴셜 공유 서비스(304)에 요청한다. 로그인 애플리케이션(305)은 API(601)의 인증 프로토콜을 나타내는 인수에서 “LDAP 심플 바인드”를 지정한다.
<인증 목적지: 사내 시스템>
“사내 시스템”은 사용자 리포지토리(117)를 관리하는 사내 시스템 인증 서버(116)와 관련되어 있다. 로그인 애플리케이션(305)은 텍스트 박스들(502)로부터 획득되는 계정 및 비밀번호를 사용하여 사내 시스템 인증 서버(116)에 설치된 고유 프로토콜에 의해 사내 시스템 인증 서버(116)에 관한 사용자 인증을 시도한다. 사용자 인증이 성공했으면, 로그인 애플리케이션(305)은 API(601)를 통해 플레인 텍스트의 계정 및 비밀번호를 저장하도록 사용자 크리덴셜 공유 서비스(304)에 요청한다. 로그인 애플리케이션(305)은 API(601)의 인증 프로토콜을 나타내는 인수에서 “커스텀(Custom)”을 지정한다.
<송신 애플리케이션(306)>
송신 애플리케이션(306)은 스캐너(208)로부터 파일 공유 서버(외부 장치)로 판독되는 문서의 디지털 데이터를 송신할 수 있다. 송신 애플리케이션(306)은 도 9에 도시된 사용자 인터페이스를 포함한다. 사용자는 스캐너(208)로부터 판독된 디지털 데이터의 파일 포맷(PDF, JPEG 등), MFP(101)의 관리자에 의해 미리 등록된 파일 공유 서버 등을 화면(901) 상에서 지정할 수 있다. 송신 애플리케이션(306)은 사용자 크리덴셜 공유 서비스(304)의 API(602 및 603)를 통해 MFP(101)의 로그인 사용자의 사용자 크리덴셜을 획득할 수 있다. 획득되는 사용자 크리덴셜들은 파일 공유 서버에 액세스할 때 사용자 인증에 사용된다. 사용자 인증이 성공했으면, 송신 애플리케이션(306)은 스캐너(208)로부터 파일 공유 서버로 판독된 디지털 데이터의 파일 포맷을 송신 및 저장한다.
<사용자 크리덴셜 공유 서비스의 동작>
이하, 도 10 및 도 11을 참조하여 이 실시예에 따른 사용자 크리덴셜 공유 서비스의 동작이 설명될 것이다. 도 10은 송신 애플리케이션(306)을 사용하여 문서를 송신할 때까지 사용자가 MFP(101)로 로그인하는 경우의 일련의 시퀀스를 도시한다. 도 11은 도 10의 단계(S1006)에서 사용자 크리덴셜 공유 서비스의 상세한 처리 시퀀스를 도시한다. 후술될 처리는 MFP(101)의 CPU(201)가 ROM(202) 또는 HDD(204)에 저장된 제어 프로그램을 RAM(203)으로 판독해내고 판독된 프로그램을 실행하는 경우에 구현된다는 점에 주목한다.
로그인 애플리케이션(305)은 단계(S1001)에서 로그인 화면(501)을 통해 사용자의 로그인 동작을 검출하고 단계(S1002)에서 사용자 인증을 실행한다. 인증 목적지가 외부 서버를 나타내면, 로그인 애플리케이션(305)은 단계(S1002)에서 사용자 인증 처리 시에 외부 인증 서버에 액세스한다. 사용자 인증이 성공했으면, 로그인 애플리케이션(305)은 단계(S1003)에서 API(601)를 통해 사용자 크리덴셜들을 저장하도록 사용자 크리덴셜 공유 서비스(304)에 요청한다. 사용자 크리덴셜 저장 요청의 수신 시에, 사용자 크리덴셜 공유 서비스(304)는 RAM(203)에서 API(601)를 통해 획득되는 사용자 크리덴셜들을 저장한다. 단계(S1003)에서 처리 완료 시에, 사용자가 송신 애플리케이션(306)을 동작시키는 것이 허용된다. 단계(S1004)에서, 송신 애플리케이션(306)이 화면(901)을 통해 사용자에 의한 문서 전송 동작을 검출하면, 프로세스는 단계(S1005)로 진행한다. 단계(S1005)에서, 송신 애플리케이션(306)은 API(602 또는 603)를 통해 사용자 크리덴셜 공유 서비스(304)에 로그인 사용자의 사용자 크리덴셜 획득 요청을 송신한다.
사용자 크리덴셜 회득 요청의 수신 시에, 사용자 크리덴셜 공유 서비스(304)는 단계(S1006)에서 획득 요청에서의 API 등의 인자를 분석하여 응답 정보를 생성한다. 이하, 도 11을 참조하여, 단계(S1006)의 상세한 처리가 설명될 것이다. 그 후, 단계(S1007)에서, 사용자 크리덴셜 공유 서비스(304)는 단계(S1006)에서 생성된 사용자 크리덴셜 응답 정보에 따라 송신 애플리케이션(306)에 획득 응답을 반환한다.
단계(S1008)에서, 송신 애플리케이션(306)은 단계(S1007)에서 반환된 사용자 크리덴셜들을 사용하여 파일 공유 서버에 액세스하고, 문서를 송신한다. 한편, 송신 애플리케이션(306)이 단계(S1007)에서 사용자 크리덴셜을 획득할 수 없거나, 획득된 사용자 크리덴셜들을 사용하여 파일 공유 서버에 액세스할 수 없으면, 송신 애플리케이션(306)은 도 9에 도시된 화면(902)에 디스플레이하여 사용자가 파일 공유 서버에 액세스 가능한 계정을 입력하게 한다.
<단계(S1006)의 상세 시퀀스>
이하, 도 11을 참조하여, 단계(S1006)의 상세한 시퀀스가 설명될 것이다. 단계(S1101)에서, 사용자 크리덴셜 공유 서비스(304)는 사용자 크리덴셜 획득 요청을 수신하면 처리를 시작한다. 단계(S1102)에서, 사용자 크리덴셜 공유 서비스(304)는 RAM(203)에 저장된 사용자 크리덴셜들을 획득한다. 이 경우, 인증 프로토콜이 API(603)의 인자에서 지정되면, 사용자 크리덴셜 공유 서비스(304)는 단지 사용자 크리덴셜만을 획득하며, 인증 프로토콜이 지정되지 않으면, 저장된 모든 사용자 크리덴셜들을 획득한다.
다음으로, 단계(S1103)에서, 사용자 크리덴셜 공유 서비스(304)는 획득된 사용자 크리덴셜에 관한 인증 프로토콜 타입을 확인한다. 예를 들어, 인증 프로토콜이 “커버로스"이면, 사용자 크리덴셜 공유 서비스(304)는 단계(S1104)에서 사용자 크리덴셜들을 사용하여 보안 도메인을 제한할 수 있는 인증 프로토콜을 판단하여 사용자 크리덴셜 리스트에 추가한다. 한편, 인증 프로토콜이 “커버로스"가 아니면, 사용자 크리덴셜 공유 서비스(304)는 사용자 크리덴셜들을 사용하여 보안 도메인을 제한할 수 없는 인증 프로토콜을 판단하고, 단계(S1105)로 진행한다. "커버로스" 이외의 인증 프로토콜은 어느 것이 플레인 텍스트의 계정 및 비밀번호를 사용하는지를 나타낸다. 예를 들어, 보안 도메인을 제한할 수 없는 인증 프로토콜은 로컬 계정 및 “LDAP 심플 바인드”를 사용한 인증을 포함한다.
사용자 크리덴셜 공유 서비스(304)는 보안 도메인을 제한할 수 있는 프로토콜과 보안 도메인을 제한할 수 없는 프로토콜의 정보를 사전에 정의한다. 인증 프로토콜이 도 6에 도시된 API에 정의되지 않고, 사용자 크리덴셜 공유 서비스(304)를 위한 공지의 인증 프로토콜이면, 프로세스는 유사하게 단계(S1105)로 진행한다.
단계(S1105)에서, 사용자 크리덴셜 공유 서비스(304)는 획득된 사용자 크리덴셜들에 관한 인증 프로토콜의 공유 허가/금지 설정을 획득하며, 단계(S1106)에서 공유가 허용되는지 여부를 판단한다. 설정 값은 체크 박스들(801 내지 803)의 각각에 관해 도 8에 도시된 사용자 인터페이스를 통해 HDD(204)에 미리 기록된다. 사용자 크리덴셜 공유 서비스(304)를 위한 미지의 인증 프로토콜은 다른 인증 프로토콜들로 분류되며, 체크 박스(803)에 의해 설정된 값이 참조된다. 설정 값이 공유 허가를 나타내면, 프로세스는 단계(S1104)로 진행하고, 사용자 크리덴셜 공유 서비스(304)는 관련된 사용자 크리덴셜들을 사용자 크리덴셜 리스트에 추가한다. 설정 값이 공유 금지를 나타내면, 프로세스는 단계(S1107)로 진행하고, 사용자 크리덴셜 공유 서비스(304)는 사용자 크리덴셜들이 반환되지 않는다고 판단한다. 최종적으로, 단계(S1108)에서, 사용자 크리덴셜 공유 서비스(304)는 단계(S1005)에 대한 응답으로서 단계(S1104)에서 생성된 사용자 크리덴셜 리스트를 반환한다. 반환 가능한 사용자 크리덴셜이 없으면, 사용자 크리덴셜 공유 서비스(304)는 “널(NULL)”을 반환한다. 이에 따라, MFP 관리자는 사무실 환경(도 8)에 따라 사용자 크리덴셜 공유 서비스를 설정하고, 이로써 싱글 사인온 기능의 사용을 제어할 수 있다.
<사용 케이스>
이하, 도 12a 내지 도 12c를 참조하여 이 실시예에 따른 사용 케이스들 및 설정 예시들이 설명될 것이다. 도 12a 내지 도 12c에서의 표의 열이 우선 설명될 것이다. 열(1201)은 MFP(101)에 대한 로그인 동작에 사용되는 계정의 관리 소스로서 사용자 리포지토리를 나타낸다. 열(1202)은 MFP(101)에 대한 로그인 동작 후에 사용자 크리덴셜 공유 서비스(304)에 저장된 사용자 크리덴셜들을 나타낸다. 열(1203)은 문서의 전송 시에 접속 목적지로서 파일 공유 서버를 나타낸다. 열(1204)은 파일 공유 서버에 액세스하는데 요구되는 계정의 관리 소스로서 사용자 리포지토리를 나타낸다. 열(1205)은 파일 공유 서버에 대한 접속을 구축하는데 사용되는 인증 프로토콜을 나타낸다.
열(1206)은 파일 공유 서버가 접속된 LAN을 나타낸다. 열(1207)은 싱글 사인온의 OK/NG를 나타낸다. 값 “x”는 사용자 크리덴셜 공유 서비스로부터 획득된 사용자 크리덴셜들이 사용되는 경우에도 접속이 구축될 수 없다는 것을 나타낸다. 예를 들어, 이 경우, 열(1202)에서의 사용자 크리덴셜들은 열(1205)에서의 인증 프로토콜에 사용될 수 없거나, 파일 공유 서버 측에서의 인증 처리는 인증 오류를 생성할 수 있다. 값 “○”는 사용자 크리덴셜 공유 서비스의 설정과 무관하게 사용자 크리덴셜 공유 서비스로부터 획득된 사용자 크리덴셜들을 사용하여 접속이 항상 구축될 수 있다는 것을 나타낸다. 값 “△”는 열(1201)의 사용자 리포지토리가 열(1204)의 사용자 리포지토리와 동일하기 때문에, 사용자 크리덴셜 공유 서비스(도 8)의 설정에서 열(1202)에서의 사용자 크리덴셜들의 공유가 허용된다고 설정되는 경우 접속이 구축될 수 있다. 값 “□”는 동일한 계정 및 비밀번호가 열들(1201 및 1204)의 상이한 사용자 리포지토리들에 고의 설정된 경우 사용자 크리덴셜 공유 서비스로부터 획득된 사용자 크리덴셜들을 사용하여 접속이 구축될 수 있다는 것을 나타낸다.
이하, 표 a에 의해 표시되는 사용 케이스가 설명될 것이다. 이 경우, 다음의 조건들이 가정된다.
· MFP(101)는 라우터(107)의 설정에 따라 LAN들(103 및 104)에 접속될 수 있지만 LAN들(105 및 106)에는 접속될 수 없다.
· MFP(101)에 대한 로그인 동작에서 사용되는 인증 목적지로서, "로컬호스트" 및 "컴퍼니 도메인"이 사용될 수 있다는 것이 미리 설정된다.
전술한 조건 하에서, 행들(1208, 1210, 및 1211)에 의해 표시되는 조합들에서 사용자 크리덴셜 공유 서비스의 설정(도 8)의 존재/부재와 무관하게 접속을 구축할 수 있는지 여부가 결정된다. MFP(101)의 관리자는 행(1209)에 의해 표시된 조합에 대해서만 관심을 둠으로써 사용자 크리덴셜 공유 서비스의 설정(도 8)을 수행할 수 있다. 즉, 접속 목적지로서 사용자 리포지토리(112) 및 로그인 동작 시에 사용자 리포지토리(102)에 동일한 계정 및 비밀번호가 고의 등록되면, "로컬”과 관련된 사용자 크리덴셜들의 공유가 허용된다. 동일한 계정 및 비밀번호가 고의 등록되지 않은 경우, 우연한 일치에 의한 불법 액세스를 방지하기 위해 “로컬”과 관련된 사용자 크리덴셜들의 공유가 금지된다.
이하, 표 b에 의해 표시되는 사용 케이스가 설명될 것이다. 이 경우, 다음의 조건들이 가정된다.
· MFP(101)는 라우터(107)의 설정에 따라 LAN들(103 및 105)에 접속될 수 있지만 LAN들(104 및 106)에는 접속될 수 없다.
· MFP(101)에 대한 로그인 동작에 사용되는 인증 목적지로서, "컴퍼니 도메인" 및 "LDAP 서버"가 사용될 수 있다는 것이 미리 설정된다.
전술한 조건 하에서, 행들(1212, 1213, 및 1214)에 의해 표시되는 조합들에서 사용자 크리덴셜 공유 서비스 설정의 존재/부재와 무관하게 접속을 구축할 수 있는지 여부가 결정된다. 한편, 행(1215)에 의해 표시되는 조합에서, 동일한 사용자 리포지토리(114)가 사용될 수 있기 때문에, MFP(101)의 관리자는 사용자 크리덴셜들의 공유를 금지하도록 설정할 필요가 없다.
이하, 표 c에 의해 표시되는 사용 케이스가 설명될 것이다. 이 경우, 다음의 조건들이 가정된다.
· MFP(101)는 라우터(107)의 설정에 따라 LAN들(103, 104, 및 106)에 접속될 수 있지만 LAN(105)에는 접속될 수 없다.
· MFP(101)에 대한 로그인 동작에서 사용되는 인증 목적지로서, "로컬호스트", "컴퍼니 도메인", 및 "사내 시스템”이 사용될 수 있다는 것이 미리 설정된다.
전술한 조건 하에서, 행들(1216, 1219, 1220, 1221, 및 1222)에 의해 표시되는 조합들에서 사용자 크리덴셜 공유 서비스 설정의 존재/부재와 무관하게 접속을 구축할 수 있는지 여부가 결정된다. MFP(101)의 관리자는 행(1217, 1218, 및 1223)에 의해 표시된 조합에 대해서만 관심을 둠으로써 사용자 크리덴셜 공유 서비스의 설정(도 8)을 수행할 수 있다. 즉, MFP(101)의 관리자는 동일한 계정 및 비밀번호가 사용자 리포지토리들(102, 112, 및 117)에 고의 등록되었는지 여부에 관심을 둔다.
동일한 계정 및 비밀번호가 사용자 리포지토리 전부(102, 112, 및 117)에 고의 등록되어 있으면, 관리자는 사용자 크리덴셜들의 공유를 금지할 필요가 없다. 동일한 계정 및 비밀번호가 사용자 리포지토리(102 및 112)에 고의 등록되어 있지만, 사용자 리포지토리(117)에는 상이한 계정 및 비밀번호가 설정되면, 인증 데이터의 우연한 일치에 의한 불법 액세스가 열(1218 및 1223)에 의해 표시되는 조합을 위해 방지되어야 한다. 이 경우, 관리자는 도 8의 체크 박스들(801 및 803)의 설정을 사용하여 "로컬" 및 "커스텀"과 관련된 사용자 크리덴셜들의 공유를 금지한다. 동일한 계정 및 비밀번호가 사용자 리포지토리들(112 및 117)에 고의 등록되고, 상이한 계정 및 비밀번호가 사용자 리포지토리(102)에 등록되어 있다. 이 경우, 행들(1217 및 1218)에 의해 표시되는 조합들의 경우, 인증 데이터의 우연한 일치에 의한 불법 액세스가 방지되어야 한다. 이 경우, 관리자는 도 8의 체크 박스(801)의 설정을 사용하여 "로컬"과 관련된 사용자 크리덴셜들의 공유를 금지한다. 관리자는 허가로부터 “커스텀”에 관한 사용자 크리덴셜들의 공유를 변경할 필요가 없다.
전술한 바와 같이, 이 실시예에 따른 정보 처리 장치(화상 처리 장치)는 보안 도메인을 제한할 수 없는 인증 프로토콜과 관련하여 사용자 크리덴셜들의 공유를 금지한다. 이에 따라, 인증 데이터의 우연한 일치에 의한 불법 액세스는 방지될 수 있다. 또한, 로그인 동작에 사용되는 인증 프로토콜마다 사용자 크리덴셜들의 공유의 허가/금지를 설정하는데 사용되는 사용자 인터페이스가 제공된다. 이 인터페이스를 사용하면, 싱글 사인온 기능의 사용에 적합한 환경과 부적합한 환경의 혼합 환경에서도, 인증 데이터의 우연한 일치에 의한 불법 액세스를 방지하면서 싱글 사인온 기능이 로컬에서 사용될 수 있다.
또한, 사용자 크리덴셜 공유 서비스(304)는 사용자 크리덴셜들에 관한 인증 프로토콜이 보안 도메인을 제한할 수 있는 프로토콜인지 여부를 판단하도록 구성된다. 이에 따라, 사용자 크리덴셜 공유 서비스(304)는 인증 프로토콜에 대한 지식이 없는 MFP(101)의 관리자로 하여금 보안 도메인을 제한할 수 없는 인증 프로토콜에 관한 사용자 크리덴셜들의 공유 허가/금지 설정들을 수행하게 할 수 있다. 또한, 사용자 크리덴셜 공유 서비스(304)의 API(도 6)에서 정의되지 않은 인증 프로토콜을 위한 공유 허가/금지 설정(체크 박스(803))이 수행될 수 있다. 이에 따라, 사용자 크리덴셜 공유 서비스(304)를 위한 미지의 인증 프로토콜을 통합한 로그인 애플리케이션이 MFP(10)에서 실행되는 경우에도, 사용자 크리덴셜 공유의 허가/금지가 제어될 수 있다.
본 발명을 실시함으로써, 다음의 이점들을 갖는 사용자 크리덴셜 공유 시스템이 제공될 수 있다.
· 디바이스의 관리자가 사무실 환경을 고려하여 사용자의 크리덴셜 공유 설정을 수행할 수 있기 때문에, 디바이스에서의 싱글 사인온 기능의 사용은 적절히 제어될 수 있다.
· 계정들이 일률적으로 관리되지 않은 환경에서, 인증 데이터의 우연한 일치에 의한 불법 액세스가 방지될 수 있다.
· 보안 도메인을 제한할 수 없는 복수의 인증 프로토콜이 동시에 사용되는 환경에서도, 싱글 사인온 기능의 사용 허가/금지가 인증 프로토콜마다 설정될 수 있고, 싱글 사인온 기능이 로컬에서 사용될 수 있다.
<변형예>
전술한 실시예는 커버로스의 TGT, 계정, 및 비밀번호가 사용자 크리덴셜 공유 서비스(304)를 사용하여 공유되는 케이스를 예로 들었다. 그러나, 본 발명은 다양한 변형예를 허락한다. 예를 들어, 다른 사용자 크리덴셜들로서, 비밀번호의 해시 값, SAML과 같은 티켓 등이 사용자 크리덴셜 공유 서비스(304)를 사용하여 공유될 수 있다.
다른 실시예들
본 발명의 측면들은 메모리 디바이스에 기록된 프로그램을 판독하고 실행하여 전술한 실시예(들)의 기능을 수행하는 장치 또는 시스템의 컴퓨터(또는 CPU 또는 MPU와 같은 디바이스) 및 예를 들어, 메모리 디바이스에 기록된 프로그램을 판독하고 실행하여 전술한 실시예(들)의 기능을 수행함으로써 장치 또는 시스템의 컴퓨터에 의해 수행되는 단계들을 포함하는 방법에 의해 구현될 수도 있다. 이를 위해, 메모리 디바이스 역할을 하는 다양한 타입의 기록 매체(예를 들어, 컴퓨터 판독가능 매체)로부터 또는 네트워크를 통해 컴퓨터에 프로그램이 제공된다.
본 발명은 실시예들을 참조하여 설명되었지만, 개시된 실시예로 제한되지 않는다는 점이 이해되어야 한다. 다음의 청구항의 범위는 이러한 모든 변형예 및 균등 구조 및 기능을 포함하도록 최광의로 해석되어야 한다.

Claims (15)

  1. 정보 처리 장치로서,
    복수의 인증 방법 중 하나를 사용하여 사용자 인증을 위한 처리를 실행하도록 구성된 인증 유닛;
    상기 인증 유닛이 사용자를 인증할 때 생성되는 사용자 크리덴셜(credential)을 관리하도록 구성된 관리 유닛;
    상기 관리 유닛에 의해 관리되는 크리덴셜의 사용을 허가하지 않는 설정 내용을 기록하여 상기 정보 처리 장치에 포함된 기능을 실행하도록 구성된 설정 유닛 - 상기 설정 내용은 상기 인증 유닛이 사용할 수 있는 복수의 인증 방법들 중 특정 인증 방법에 적용됨 - ;
    상기 인증 유닛이 상기 특정 인증 방법을 사용하여 사용자를 인증하고, 상기 사용자는 상기 정보 처리 장치에 포함된 기능을 실행하도록 지시할 때, 상기 기능이 상기 설정 유닛에 의해 설정된 설정 내용에 따라 상기 사용자 크리덴셜의 사용을 허락하는지 여부를 결정하도록 구성된 결정 유닛; 및
    상기 결정 유닛이 상기 크리덴셜의 사용을 허가하도록 결정할 때 상기 크리덴셜을 이용하여 상기 기능을 실행하도록 제어하고, 상기 결정 유닛이 상기 크리덴셜의 사용을 금지하도록 결정할 때 상기 사용자로 하여금 사용자 인증을 실행하도록 제어하게 구성된 제어 유닛을 포함하는 정보 처리 장치.
  2. 제1항에 있어서, 상기 특정 인증 방법은 보안 도메인을 제한하도록 구성되지 않은 인증 방법인 정보 처리 장치.
  3. 제2항에 있어서, 상기 보안 도메인을 제한하도록 구성되지 않은 인증 방법은 로컬 인증인 정보 처리 장치.
  4. 제2항에 있어서, 상기 보안 도메인을 제한하도록 구성되지 않은 인증 방법은 LDAP(Lightweight Directory Access Protocol) 인증인 정보 처리 장치.
  5. 제2항에 있어서, 상기 인증 유닛이 미지의 인증 방법을 사용하여 사용자 인증을 위한 처리를 실행할 때 상기 미지의 인증 방법은 보안 도메인을 제한하도록 구성되지 않은 인증 프로토콜로서 취급되는 정보 처리 장치.
  6. 제1항에 있어서, 상기 인증 유닛에 의해 상기 특정 인증 방법을 사용한 사용자 인증에 기반하여 생성된 사용자 크리덴셜이 도메인 정보를 포함하지 않는 정보 처리 장치.
  7. 제1항에 있어서, 상기 인증 유닛에 의해 상기 특정 인증 방법을 사용한 사용자 인증에 기반하여 생성된 사용자 크리덴셜이 플레인 텍스트 정보(plain text information)인 정보 처리 장치.
  8. 제1항에 있어서, 상기 기능은 외부 서버로 데이터를 송신하는 송신 기능이고,
    상기 송신 기능은 상기 사용자에 의해 입력된 상기 사용자 크리덴셜 또는 인증 정보를 사용하여 상기 외부 서버에 액세스하는데 요구되는 사용자 인증을 요청하는 정보 처리 장치.
  9. 제1항에 있어서, 상기 관리 유닛은 저장 유닛에 생성된 크리덴셜을 저장하고, 상기 사용자가 인증 상태로부터 벗어나면 상기 저장 유닛에 저장된 크리덴셜을 폐기하는 정보 처리 장치.
  10. 제1항에 있어서, 상기 복수의 인증 방법 중 상기 특정 인증 방법이 아닌 인증 방법은 보안 도메인을 제한하도록 구성된 인증 프로토콜인 정보 처리 장치.
  11. 제10항에 있어서, 상기 보안 도메인을 제한하도록 구성된 인증 프로토콜은 커버로스(Kerberos) 인증인 정보 처리 장치.
  12. 제1항에 있어서, 상기 결정 유닛이 상기 크리덴셜의 사용을 금지하도록 결정할 때, 상기 제어 유닛은 동작 화면에서 사용자 인증에 요구되는 정보를 입력하는데 사용되는 화면을 디스플레이하도록 제어하는 정보 처리 장치.
  13. 복수의 인증 방법 중 하나를 사용하여 사용자 인증을 위한 처리를 실행하도록 구성된 인증 유닛 및 상기 인증 유닛이 사용자를 인증할 때 생성되는 사용자 크리덴셜을 관리하도록 구성된 관리 유닛을 포함하는 정보 처리 장치의 제어 방법으로서,
    상기 관리 유닛에 의해 관리되는 크리덴셜의 사용을 허가하지 않는 설정 내용을 상기 정보 처리 장치 내에서 설정하여 상기 정보 처리 장치에 포함된 기능을 실행하는 설정 단계 - 상기 설정 내용은 상기 인증 유닛이 사용할 수 있는 복수의 인증 방법들 중 특정 인증 방법에 적용됨 - ;
    상기 인증 유닛이 상기 특정 인증 방법을 사용하여 사용자를 인증하고, 상기 사용자는 상기 정보 처리 장치에 포함된 기능을 실행하도록 지시할 때, 상기 기능이 상기 설정 단계에서 설정된 설정 내용에 따라 상기 사용자 크리덴셜을 사용하는지 여부를 결정하는 결정 단계; 및
    상기 결정 단계에서 상기 크리덴셜의 사용을 허가하도록 결정된 경우 상기 크리덴셜을 이용하여 상기 기능을 실행하도록 제어하고, 상기 결정 단계에서 상기 크리덴셜의 사용을 금지하도록 결정된 경우 상기 사용자로 하여금 사용자 인증을 실행하도록 제어하는 제어 단계를 포함하는 제어 방법.
  14. 컴퓨터로 하여금 제13항의 제어 방법을 수행하게 하기 위한 프로그램을 저장하는 컴퓨터 판독가능 기록 매체.
  15. 싱글 사인온(single sign-on) 기능을 갖는 화상 처리 장치로서,
    상기 화상 처리 장치에 로그인하는 사용자를 인증하도록 구성된 인증 유닛;
    상기 인증 유닛에 의한 사용자 인증에 사용되는 인증 정보를 포함하는 사용자 크리덴셜 및 서로 관련하여 상기 사용자 크리덴셜에 관한 인증 프로토콜을 나타내는 정보를 저장하도록 구성된 저장 유닛;
    원고로부터 화상을 판독하도록 구성된 판독 유닛;
    상기 판독 유닛에 의해 판독된 원고의 화상 데이터를, 상기 화상 처리 장치와 통신할 수 있도록 접속된 외부 장치에 송신하는 명령이 사용자로부터 수신되면, 상기 저장 유닛에 저장된 상기 사용자의 사용자 크리덴셜 및 상기 인증을 나타내는 정보에 기반하여 상기 외부 장치가 상기 사용자 크리덴셜을 사용하여 액세스될 수 있는지 여부를 판단하도록 구성된 판단 유닛; 및
    상기 판단 유닛이 상기 사용자 크리덴셜을 사용하여 상기 외부 장치가 액세스될 수 없다고 판단한 경우 상기 외부 장치에 액세스 가능한 계정을 입력하게 하고, 상기 판단 유닛이 상기 사용자 크리덴셜을 사용하여 상기 외부 장치가 액세스될 수 있다고 판단한 경우 상기 판독 유닛에 의해 판독된 원고의 화상 데이터를 상기 외부 장치에 송신하도록 구성된 제어 유닛을 포함하며,
    상기 인증 프로토콜이 보안 도메인을 제한하도록 구성된 인증 프로토콜이면 상기 판단 유닛은 상기 외부 장치가 상기 사용자 크리덴셜을 이용하여 액세스될 수 있다고 판단하고, 상기 인증 프로토콜이 보안 도메인을 제한하도록 구성되지 않은 인증 프로토콜이면 상기 판단 유닛은 상기 외부 장치가 상기 사용자 크리덴셜을 사용하여 액세스될 수 없다고 판단하는 화상 처리 장치.
KR1020130056976A 2012-05-22 2013-05-21 정보 처리 장치, 그 제어 방법, 저장 매체, 및 화상 처리 장치 KR101614578B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JPJP-P-2012-116915 2012-05-22
JP2012116915A JP5968077B2 (ja) 2012-05-22 2012-05-22 情報処理装置、その制御方法、プログラム、及び画像処理装置

Publications (2)

Publication Number Publication Date
KR20130130641A KR20130130641A (ko) 2013-12-02
KR101614578B1 true KR101614578B1 (ko) 2016-04-21

Family

ID=48670344

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130056976A KR101614578B1 (ko) 2012-05-22 2013-05-21 정보 처리 장치, 그 제어 방법, 저장 매체, 및 화상 처리 장치

Country Status (5)

Country Link
US (1) US9166968B2 (ko)
EP (1) EP2667318B1 (ko)
JP (1) JP5968077B2 (ko)
KR (1) KR101614578B1 (ko)
CN (1) CN103425924B (ko)

Families Citing this family (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6525493B2 (ja) * 2013-05-08 2019-06-05 キヤノン株式会社 画像処理装置及びその認証方法、並びにプログラム
US9288365B2 (en) 2013-12-06 2016-03-15 Canon Information And Imaging Solutions, Inc. System and method for controlling access to a server on an image processing device
ES2624841T3 (es) * 2013-12-17 2017-07-17 Telefonica Digital España, S.L.U. Un método implementado por ordenador y sistema para una comunicación anónima y programa de ordenador para los mismos
JP6179434B2 (ja) * 2014-03-20 2017-08-16 富士ゼロックス株式会社 情報処理装置、情報処理システム及び情報処理プログラム
JP6303979B2 (ja) * 2014-10-29 2018-04-04 株式会社リコー 情報処理システム、情報処理装置、情報処理方法およびプログラム
US10171447B2 (en) 2015-06-15 2019-01-01 Airwatch Llc Single sign-on for unmanaged mobile devices
US10944738B2 (en) 2015-06-15 2021-03-09 Airwatch, Llc. Single sign-on for managed mobile devices using kerberos
US11057364B2 (en) * 2015-06-15 2021-07-06 Airwatch Llc Single sign-on for managed mobile devices
US10812464B2 (en) 2015-06-15 2020-10-20 Airwatch Llc Single sign-on for managed mobile devices
US9813413B2 (en) 2015-08-15 2017-11-07 Microsoft Technology Licensing, Llc Domain joined virtual names on domainless servers
JP2017062743A (ja) * 2015-09-25 2017-03-30 富士ゼロックス株式会社 画像形成システムおよび画像形成装置
US10735954B2 (en) * 2016-09-02 2020-08-04 Blackberry Limited Method and device for facilitating authentication over a wireless network
US10484369B2 (en) * 2016-10-31 2019-11-19 Ncr Corporation Voice authentication via secondary device
CN107483650A (zh) * 2017-10-13 2017-12-15 郑州云海信息技术有限公司 一种基于cifs协议的文件上传下载优化方法
CN109995698B (zh) * 2017-12-29 2021-08-06 北京神州泰岳软件股份有限公司 一种资产设备认证方法、装置及***
JP6554201B2 (ja) * 2018-04-02 2019-07-31 キヤノン株式会社 情報処理装置、その制御方法、及びプログラム
JP2020003877A (ja) * 2018-06-25 2020-01-09 シャープ株式会社 情報処理装置、情報処理方法、及び認証連携システム
JP7204497B2 (ja) * 2019-01-18 2023-01-16 キヤノン株式会社 クラウドプリントサービスに対応した印刷装置および印刷装置の制御方法およびプログラム
JP7427865B2 (ja) * 2019-02-22 2024-02-06 ブラザー工業株式会社 情報表示プログラム
JP7331529B2 (ja) * 2019-07-29 2023-08-23 富士フイルムビジネスイノベーション株式会社 情報処理装置及び情報処理プログラム
JP2021033460A (ja) * 2019-08-20 2021-03-01 株式会社メルカリ 情報処理方法、情報処理装置、及びプログラム
JP7338337B2 (ja) * 2019-09-05 2023-09-05 富士フイルムビジネスイノベーション株式会社 情報処理装置及び情報処理プログラム
KR20230036493A (ko) * 2021-09-07 2023-03-14 삼성전자주식회사 로그인 정보의 제공 방법 및 상기 방법을 수행하는 전자 장치

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080263629A1 (en) * 2006-10-20 2008-10-23 Bradley Paul Anderson Methods and systems for completing, by a single-sign on component, an authentication process in a federated environment to a resource not supporting federation

Family Cites Families (66)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5689638A (en) 1994-12-13 1997-11-18 Microsoft Corporation Method for providing access to independent network resources by establishing connection using an application programming interface function call without prompting the user for authentication data
US6263432B1 (en) * 1997-10-06 2001-07-17 Ncr Corporation Electronic ticketing, authentication and/or authorization security system for internet applications
US6178511B1 (en) * 1998-04-30 2001-01-23 International Business Machines Corporation Coordinating user target logons in a single sign-on (SSO) environment
US6678731B1 (en) * 1999-07-08 2004-01-13 Microsoft Corporation Controlling access to a network server using an authentication ticket
US6609198B1 (en) 1999-08-05 2003-08-19 Sun Microsystems, Inc. Log-on service providing credential level change without loss of session continuity
US7185364B2 (en) * 2001-03-21 2007-02-27 Oracle International Corporation Access system interface
US6851113B2 (en) * 2001-06-29 2005-02-01 International Business Machines Corporation Secure shell protocol access control
US7171460B2 (en) * 2001-08-07 2007-01-30 Tatara Systems, Inc. Method and apparatus for integrating billing and authentication functions in local area and wide area wireless data networks
US7412720B1 (en) * 2001-11-02 2008-08-12 Bea Systems, Inc. Delegated authentication using a generic application-layer network protocol
US7246230B2 (en) * 2002-01-29 2007-07-17 Bea Systems, Inc. Single sign-on over the internet using public-key cryptography
JP2004054893A (ja) * 2002-05-29 2004-02-19 Canon Inc 画像形成装置の制御方法
JP2004015665A (ja) * 2002-06-10 2004-01-15 Takeshi Sakamura 電子チケット流通システムにおける認証方法およびicカード
GB0221674D0 (en) * 2002-09-18 2002-10-30 Nokia Corp Linked authentication protocols
US20050108518A1 (en) * 2003-06-10 2005-05-19 Pandya Ashish A. Runtime adaptable security processor
US7249375B2 (en) * 2003-08-05 2007-07-24 Oracle International Corp Method and apparatus for end-to-end identity propagation
US7818582B2 (en) * 2004-06-25 2010-10-19 Accenture Global Services Gmbh Single sign-on with common access card
US10140596B2 (en) * 2004-07-16 2018-11-27 Bryan S. M. Chua Third party authentication of an electronic transaction
JP3998013B2 (ja) 2004-09-21 2007-10-24 コニカミノルタビジネステクノロジーズ株式会社 命令処理装置の認証システム、画像形成装置、認証制御方法及び認証制御プログラム
US20060230438A1 (en) * 2005-04-06 2006-10-12 Ericom Software Ltd. Single sign-on to remote server sessions using the credentials of the local client
EP1883782B1 (en) * 2005-05-06 2014-10-15 Symantec International Token sharing system and method
US7540022B2 (en) * 2005-06-30 2009-05-26 Nokia Corporation Using one-time passwords with single sign-on authentication
US10764264B2 (en) * 2005-07-11 2020-09-01 Avaya Inc. Technique for authenticating network users
US7849501B2 (en) * 2005-09-30 2010-12-07 At&T Intellectual Property I, L.P. Methods and systems for using data processing systems in order to authenticate parties
US20070103712A1 (en) 2005-11-04 2007-05-10 Fatima Corona System and method for limiting access to a shared multi-functional peripheral device based on preset user privileges
JP4960685B2 (ja) * 2005-11-22 2012-06-27 株式会社リコー サービス処理システムおよびサービス処理制御方法
US8006289B2 (en) * 2005-12-16 2011-08-23 International Business Machines Corporation Method and system for extending authentication methods
US20070150603A1 (en) * 2005-12-22 2007-06-28 Catalog. Com, Inc. System and method for cross-domain social networking
US8225385B2 (en) * 2006-03-23 2012-07-17 Microsoft Corporation Multiple security token transactions
US7739744B2 (en) * 2006-03-31 2010-06-15 Novell, Inc. Methods and systems for multifactor authentication
US8474028B2 (en) * 2006-10-06 2013-06-25 Fmr Llc Multi-party, secure multi-channel authentication
US8434133B2 (en) * 2006-10-06 2013-04-30 Fmr Llc Single-party, secure multi-channel authentication
US8671444B2 (en) * 2006-10-06 2014-03-11 Fmr Llc Single-party, secure multi-channel authentication for access to a resource
US8619978B2 (en) * 2006-12-22 2013-12-31 Pagebites, Inc. Multiple account authentication
US8707416B2 (en) * 2007-01-19 2014-04-22 Toshiba America Research, Inc. Bootstrapping kerberos from EAP (BKE)
US8332923B2 (en) * 2007-01-19 2012-12-11 Toshiba America Research, Inc. Kerberized handover keying
US7941831B2 (en) 2007-02-09 2011-05-10 Microsoft Corporation Dynamic update of authentication information
US8817990B2 (en) * 2007-03-01 2014-08-26 Toshiba America Research, Inc. Kerberized handover keying improvements
US7992198B2 (en) * 2007-04-13 2011-08-02 Microsoft Corporation Unified authentication for web method platforms
US8365256B2 (en) 2007-05-22 2013-01-29 Cisco Technology, Inc. Authentication server with link state monitor and credential cache
WO2009038226A1 (en) 2007-09-18 2009-03-26 Canon Kabushiki Kaisha Authentication system and method including image forming apparatus
US8141139B2 (en) * 2007-11-14 2012-03-20 International Business Machines Corporation Federated single sign-on (F-SSO) request processing using a trust chain having a custom module
US7793340B2 (en) * 2007-11-21 2010-09-07 Novell, Inc. Cryptographic binding of authentication schemes
US8806601B2 (en) * 2008-02-29 2014-08-12 International Business Machines Corporation Non-interactive entity application proxy method and system
US8418238B2 (en) * 2008-03-30 2013-04-09 Symplified, Inc. System, method, and apparatus for managing access to resources across a network
US20090271847A1 (en) * 2008-04-25 2009-10-29 Nokia Corporation Methods, Apparatuses, and Computer Program Products for Providing a Single Service Sign-On
US8032932B2 (en) * 2008-08-22 2011-10-04 Citibank, N.A. Systems and methods for providing security token authentication
US8543973B2 (en) * 2008-09-23 2013-09-24 Oracle America, Inc. Method and system for providing authentication schemes for web services
US9836702B2 (en) 2008-10-16 2017-12-05 International Business Machines Corporation Digital rights management (DRM)-enabled policy management for an identity provider in a federated environment
US8856512B2 (en) * 2008-12-30 2014-10-07 Intel Corporation Method and system for enterprise network single-sign-on by a manageability engine
WO2011063014A1 (en) * 2009-11-17 2011-05-26 Secureauth Corporation Single sign on with multiple authentication factors
US8495720B2 (en) * 2010-05-06 2013-07-23 Verizon Patent And Licensing Inc. Method and system for providing multifactor authentication
JP5693051B2 (ja) 2010-06-09 2015-04-01 キヤノン株式会社 情報処理装置、情報処理装置のユーザ認証方法
JP5620781B2 (ja) 2010-10-14 2014-11-05 キヤノン株式会社 情報処理装置、その制御方法、及びプログラム
US8539562B2 (en) * 2010-12-09 2013-09-17 International Business Machines Corporation Automated management of system credentials
US9280765B2 (en) * 2011-04-11 2016-03-08 Visa International Service Association Multiple tokenization for authentication
US8955037B2 (en) * 2011-05-11 2015-02-10 Oracle International Corporation Access management architecture
US8769622B2 (en) * 2011-06-30 2014-07-01 International Business Machines Corporation Authentication and authorization methods for cloud computing security
US8789162B2 (en) * 2011-08-15 2014-07-22 Bank Of America Corporation Method and apparatus for making token-based access decisions
US8584201B2 (en) * 2011-08-15 2013-11-12 Bank Of America Corporation Method and apparatus for session validation to access from uncontrolled devices
US9019071B1 (en) * 2011-09-06 2015-04-28 George Mallard Method and apparatus for integrating a plurality of legacy access control systems with partitionable resources
US8819795B2 (en) * 2012-02-01 2014-08-26 Amazon Technologies, Inc. Presenting managed security credentials to network sites
US8776194B2 (en) * 2012-02-01 2014-07-08 Amazon Technologies, Inc. Authentication management services
US8745705B2 (en) * 2012-02-01 2014-06-03 Amazon Technologies, Inc. Account management for multiple network sites
US8863250B2 (en) * 2012-02-01 2014-10-14 Amazon Technologies, Inc. Logout from multiple network sites
US8782768B2 (en) * 2012-06-15 2014-07-15 Vmware, Inc. Systems and methods for accessing a virtual desktop
US9369456B2 (en) * 2012-09-21 2016-06-14 Intuit Inc. Single sign-on in multi-tenant environments

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080263629A1 (en) * 2006-10-20 2008-10-23 Bradley Paul Anderson Methods and systems for completing, by a single-sign on component, an authentication process in a federated environment to a resource not supporting federation

Also Published As

Publication number Publication date
JP2013242808A (ja) 2013-12-05
CN103425924B (zh) 2016-05-18
JP5968077B2 (ja) 2016-08-10
KR20130130641A (ko) 2013-12-02
US20130318585A1 (en) 2013-11-28
EP2667318A1 (en) 2013-11-27
US9166968B2 (en) 2015-10-20
CN103425924A (zh) 2013-12-04
EP2667318B1 (en) 2016-11-30

Similar Documents

Publication Publication Date Title
KR101614578B1 (ko) 정보 처리 장치, 그 제어 방법, 저장 매체, 및 화상 처리 장치
US9064105B2 (en) Information processing apparatus, control method therefor, and program
JP4555038B2 (ja) ネットワークシステム、利用権限判定方法、ネットワーク機器、プログラム及び記録媒体
US9288213B2 (en) System and service providing apparatus
US9455970B2 (en) Information processing system, information processing apparatus, and authentication method
JP3992050B2 (ja) 画像処理装置およびその制御方法ならびにコンピュータプログラム
US7865933B2 (en) Authentication agent apparatus, authentication method, and program product therefor
KR101177456B1 (ko) 서버를 통한 사용자 인증 방법 및 이를 이용한화상형성장치
US9088566B2 (en) Information processing system, information processing device, and relay server
JP2014044546A (ja) 出力制御装置、システム及びプログラム
US9117165B2 (en) Image processing system and image processing apparatus for sending image data
US20080263635A1 (en) Policy store
JP2009217820A (ja) ネットワーク画像形成デバイスをリモート管理するための方法及びリモート画像形成デバイス管理アプリケーションソフトウェアツール
JP5277810B2 (ja) 処理装置とプログラム
EP3073365A1 (en) Networked image forming apparatus, networked image forming system and method of image forming
JP2007334881A (ja) 未処理の画像処理操作の監視システム及び方法
JP2004289302A (ja) 利用者制限システム
KR20060068063A (ko) 복합기 및 그의 사용 제한 방법
JP2007087384A (ja) ネットワーク装置管理システム、方法およびプログラム
JP2018206087A (ja) 情報処理装置及び情報処理プログラム
JP2023101081A (ja) 画像形成装置、制御方法、およびそのプログラム
JP5145104B2 (ja) 画像形成装置
JP2022114837A (ja) 多要素認証機能を備えた画像形成装置
JP2020017235A (ja) 情報処理装置、認証方法、プログラム
JP2011049853A (ja) 情報処理装置、およびプログラム

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
FPAY Annual fee payment

Payment date: 20190411

Year of fee payment: 4