ネットワークシステム、デバイス機能制限方法、及びコンピュータプログラム
【課題】管理対象となるユーザの数やデバイスの数が増加しても、デバイスの利用をユーザに制限させるための情報を容易に設定することができるようにする。
【解決手段】認証VLANで運用することにより、ネットワーク201を複数のVLAN206、207にグループ分けする。そして、グループ分けしたVLAN206、207単位で、そのVLAN206、207にアクセス可能なユーザが使用可能な機能の制限に関する情報(ACL107)を設定するようにした。これにより、VLAN206、207にアクセス可能なユーザのみについて、デバイス211〜213、221〜223(MFP104)の機能の制限に関する設定を行えばよいことになる。
【解決手段】認証VLANで運用することにより、ネットワーク201を複数のVLAN206、207にグループ分けする。そして、グループ分けしたVLAN206、207単位で、そのVLAN206、207にアクセス可能なユーザが使用可能な機能の制限に関する情報(ACL107)を設定するようにした。これにより、VLAN206、207にアクセス可能なユーザのみについて、デバイス211〜213、221〜223(MFP104)の機能の制限に関する設定を行えばよいことになる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークシステム、デバイス機能制限方法、及びコンピュータプログラムに関し、特に、ネットワークに接続されたデバイスの機能を管理するのに好適である。
【背景技術】
【0002】
近年、コンピュータが相互に接続されたコンピュータネットワーク(以下、ネットワークと略称する)が普及している。このようなネットワークは、ビルのフロア、ビル全体、ビル群(構内)、地域、又はさらに大きなエリアにわたって構築することができる。また、このようなネットワークが相互に接続されることにより、世界的規模のネットワーク(所謂インターネット)が形成されている。
【0003】
また、ネットワークには、コンピュータの他に、プリンタ、ファクシミリ、及び複写機といったコンピュータ周辺機器(以下、デバイスと称する)が接続されていることが多い。コンピュータがネットワークを経由してデバイスにジョブを送信することにより、コンピュータのユーザは、デバイスを利用することができる。例えば、コンピュータがネットワークを経由してプリンタに印刷ジョブを送信することにより行われる印刷(ネットワーク印刷)により、大型の高速プリンタや高価なカラープリンタを複数のコンピュータで共有することができるという利点がある。また、このネットワーク印刷では、プリンタから離れた場所で行われた印刷指示に従って、プリンタが印刷を行うことができるという利点もある。従って、ネットワーク印刷は、昨今では一般的に利用されるようになっている。
【0004】
さらに、近年の複写機は、原稿をコピーする機能に留まらず、外部のクライアント端末から送信された印刷ジョブを実行して印刷する機能や、スキャンした原稿を電子メールやファイル転送の機能を用いて電子的に外部に送信する機能等を持つようになった。このような複写機は、MFP(Multi Function Peripheral;多機能周辺機器)と呼ばれている。
【0005】
そして、MFPが多機能になったことによる問題も生じている。例えば、スキャンした情報を外部に送信することができるようになったことによって、情報が漏洩する危険性が増す等の問題が生じている。
また、印刷枚数が増加するにつれて消費される紙やトナーのコストも上昇するため、印刷機能や印刷可能枚数をユーザ毎に制限したいという要求が古くからあった。この要求を満足させることは、TCO(Total Cost of Ownership;所有に伴う総合コスト)を削減するという観点から重要である。
【0006】
以上のような課題に関して、各ユーザをIDで管理し、ID毎に利用可能な機能、資源、時間を制限する方法が提案されている(特許文献1を参照)。
【0007】
【特許文献1】特開平11−134136号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
ところで、前述した従来の技術では、デバイスの利用をユーザに制限させるための情報は、システム管理者により設定され、テーブル形式のデータとして管理されることになる。このようなデバイスの利用をユーザに制限させるための情報は、ACL(Access Control List)と呼ばれる。
【0009】
このACLがシステム内に1つしかない場合、システム管理者により設定され、テーブル形式のデータとして管理されるACLは、図12に示すように1つだけとなる。このように、システム内にACLが1つしかない場合、ユーザは、システム内のどのデバイスを利用する場合であっても、同じ制限を受けることになる。図12に示すACL800では、例えば、「ユーザC」は、システム内のどのデバイスを利用する場合であっても、ファクシミリ(Fax)を利用することができない。
【0010】
そこで、制限する内容をデバイス毎に異ならせるために、図13に示すようにACLをデバイス毎に複数用意することが考えられる。このようにデバイス毎に複数のACL900a〜900nを用意する場合、システム管理者は、どのデバイスにどのユーザがアクセスできるのかが分からない。このため、システム管理者は、デバイス毎に用意した複数のACL900a〜900nに対し、全てのユーザについての情報を設定して管理する必要がある。
【0011】
しかしながら、デバイスの数やユーザの数が膨大なネットワークでは、全てのユーザについての情報を、デバイス毎に用意された全てのACLに設定することは、非常に煩雑な作業である。従って、システムを管理するために多大なコストがかかってしまうという問題がある。TCOを削減することを目的とするシステムでは、この点は問題となる。
【0012】
本発明はこのような問題点に鑑みてなされたものであり、管理対象となるユーザの数やデバイスの数が増加しても、デバイスが有する機能を制限するための情報を容易に設定することができるようにすることを目的とする。
【課題を解決するための手段】
【0013】
本発明のネットワークシステムは、ネットワークに接続されたデバイスが有する機能を制限するための機能制限情報を設定する設定手段と、前記ネットワークにおける複数のグループのそれぞれについて、アクセスが可能なユーザを判別する判別手段とを有し、前記設定手段は、前記判別手段によりアクセスが可能であると判別されたユーザについて、前記機能制限情報を設定することを特徴とする。
【0014】
本発明のデバイス機能制限方法は、ネットワークに接続されたデバイスが有する機能を制限するための機能制限情報を設定する設定ステップと、前記ネットワークにおける複数のグループのそれぞれについて、アクセスが可能なユーザを判別する判別ステップとを有し、前記設定ステップは、前記判別ステップによりアクセスが可能であると判別されたユーザについて、前記機能制限情報を設定することを特徴とする。
【0015】
本発明のコンピュータプログラムは、ネットワークに接続されたデバイスが有する機能を制限するための機能制限情報を設定する設定ステップと、前記ネットワークにおける複数のグループのそれぞれについて、アクセスが可能なユーザを判別する判別ステップとをコンピュータに実行させ、前記設定ステップは、前記判別ステップによりアクセスが可能であると判別されたユーザについて、前記機能制限情報を設定することを特徴とする。
【発明の効果】
【0016】
本発明によれば、ネットワークにおける複数のグループのそれぞれについて、アクセスが可能なユーザを判別し、アクセスが可能であると判別されたユーザについて、機能制限情報を設定するようにした。これにより、ネットワークに接続されたデバイスが有する機能を制限するための機能制限情報を、デバイスの使用が許可されているユーザについて設定すればよいことになる。従って、管理対象となるユーザの数やデバイスの数が増加しても、機能制限情報を容易に設定することができ、ネットワークシステムの管理者が機能制限情報を設定するコストを削減することが可能となる。
【0017】
また、本発明の他の特徴によれば、ネットワークに接続されたデバイスへのジョブの発行元となるユーザに関する情報を取得する。そして、取得した情報により特定されるユーザに関する機能制限情報を用いて、ジョブの発行先となるデバイスで実行することが可能な機能の内容を決定し、決定した内容に従ってジョブを実行するようにした。これにより、ネットワークに接続されたデバイスを利用するユーザに対して、そのデバイスが有する機能を適切に制限することができる。
【0018】
また、本発明の他の特徴によれば、ネットワークにおける複数のグループ毎に、機能制限情報を設定するようにした。これにより、機能を制限する対象が、ネットワークに追加された場合でも、その対象が何れかのグループに属していれば、機能制限情報を設定し直す必要がなくなる。
【発明を実施するための最良の形態】
【0019】
(第1の実施形態)
次に、図面を参照しながら、本発明の第1の実施形態について説明する。
図1は、本実施形態におけるネットワークシステムの論理構成の一例を示した図である。尚、図1は、UML(Universal Modeling Language)の記法を用いて記述されたクラス図である。図2は、図1に示すネットワークシステム内の各機能要素を実現するための構成の一例を示した図である。
【0020】
図2に示すように、ネットワークシステムは、例えば、デバイス214〜216、224〜226と、サーバPC202、204、205と、クライアントPC211〜213、221〜223とが、ネットワーク201を介して相互に接続されて構成される。本実施形態では、ネットワークシステムが、デバイス214〜216、224〜226を利用するユーザによるジョブの実行を制限する印刷管理システムである場合を例に挙げて説明する。ここで、ジョブの実行の制限とは、デバイス214〜216、224〜226へのアクセス制限や、デバイス214〜216、224〜226における印刷枚数の制限等である。また、ユーザには、個人だけでなく、組織(例えば会社)や、組織内の部門(例えば会社の部署)等の団体のユーザも含まれるものとする。
【0021】
図1において、多機能複写機(MFP)104は、例えば、図2に示すデバイス214〜216、224〜226に相当するものである。多機能複写機(MFP)104は、紙原稿を複写(Copy)する機能を持つ。また、多機能複写機(MFP)104は、外部のプリンタドライバ(Drv)103から送信された印刷データを印刷(Print)する機能を持つ。更に、多機能複写機(MFP)104は、紙原稿を読み込んで、その紙原稿の画像データを外部のファイルサーバ又はメールアドレス宛に送信する機能(所謂Send機能)を持つ。
【0022】
システム管理者ユーティリティ(AU)100は、例えば、図2に示すサーバPC(アプリケーションサーバ)202上で動作し、ネットワークシステムの設定や管理を行うためのものである。例えば、システム管理者ユーティリティ(AU)100は、ユーザ情報サーバ(AD)101に保持される機能制限情報の設定を行うことができる。
【0023】
ユーザ情報サーバ(AD)101は、ユーザID及びパスワードといったユーザ情報110を保持している。また、ユーザ情報サーバ(AD)101は、ネットワークシステムにおいて、多機能複写機(MFP)104のどの機能の使用が許可されているのかをユーザ毎に示す機能制限情報(ACL)107を保持している。ユーザ情報サーバ(AD)101は、例えば、図2に示すディレクトリサーバ203上で動作する。より具体的に説明すると、ユーザ情報サーバ(AD)101は、例えば、LDAPサーバ又はアクティブディレクトリ(Active Directory)サーバ等を用いて実現される。尚、機能制限情報(ACL)107の詳細に関しては、後述する。
【0024】
チケット発行サーバ(SA)102は、例えば、図2に示すサーバPC202上で動作する。チケット発行サーバ(SA)102は、ユーザ情報サーバ101に格納された機能制限情報107と、実績集計サーバ(JSS)106に蓄積されたユーザのジョブ実行の実績値とに基づくチケット105を発行する。このチケット105は、ACT(Access Control Token)と呼ばれ、ユーザが使用可能な多機能複写機(MFP)104の機能についての情報を含んでいる。より具体的に説明すると、ACT105には、ジョブを実行する多機能複写機(MFP)104の機能を制限する項目である機能制限項目が、機能制限情報として記述されている。更にACT105には、印刷上限枚数等、多機能複写機(MFP)104で実行される機能の上限値に関する情報が、機能制限情報として記述されている。以上のような情報が含まれるACT105は、ネットワークシステム上で多機能複写機(MFP)104を利用することが可能なユーザのアクセス制限情報を、プリンタドライバ(Drv)103や多機能複写機(MFP)104に伝える役割を持つ。
【0025】
プリンタドライバ(Drv)103は、例えば、図2に示すクライアントPC211〜213、221〜223上で動作するものである。本実施形態では、ユーザは、クライアントPC211〜213、221〜223を使用する際には、どのユーザがそのクライアントPCを使用しているのかを明らかにするために、ログインすることが必要であるものとする。
【0026】
実績収集サーバ(JSS)106は、例えば、後述する実績収集クライアント109が通知するユーザ毎のジョブ実行の実績を複数のデバイス(MFP104)にまたがって集計する。ここで、ジョブの実行の実績としては、例えば、印刷枚数の実績値等が挙げられる。また、実績収集サーバ(JSS)106は、ネットワークシステム全体における各ユーザのジョブの実行状況であるユーザジョブ発行状況108を保持している。図1に示す例では、プリンタドライバ(Drv)103が多機能複写機(MFP)104からジョブの実行実績を取得する。そして、実績収集サーバ(JSS)106は、そのジョブの実行実績を、実績収集クライアント109を介して収集する。
【0027】
ユーザジョブ発行状況108は、それぞれのユーザについて、ACT105が発行されてから、そのACT105を使ったジョブが完了したかどうかを示す情報である。ユーザジョブ発行状況108は、実績収集サーバ(JSS)106が管理するデータとして、実績収集サーバ(JSS)106の内部に保存される。
【0028】
実績収集クライアント(JSS Client)109は、多機能複写機(MFP)104一台毎に設けられ、多機能複写機(MFP)104上で動作する。実績収集クライアント(JSS Client)109は、自身が属している多機能複写機(MFP)104における各ユーザのジョブの実行実績を、実績収集サーバ(JSS)106に通知する。このように、ネットワークシステムにおける各ユーザのジョブの実行実績は、実績収集クライアント(JSS Client)109により保持される。
尚、複数の多機能複写機(MFP)104におけるジョブの実行実績を実績収集クライアント(JSS Client)109が集計するようにしてもよい。
【0029】
次に、図2を参照しながら、図1に示したネットワークシステム内の各機能要素を実現するための構成の一例について詳細に説明する。
図2において、ネットワーク201には、デバイス214〜216、224〜226と、サーバPC202、204、205と、クライアントPC211〜213、221〜223とが接続されている。本実施形態のネットワークシステムでは、例えば、1つの建物内における1つの階又は連続した複数の階にいるユーザにより構成されるユーザグループ等、幾分ローカルなユーザグループにサービスを提供する。
【0030】
具体的に本実施形態では、ネットワーク201は、イーサネット(登録商標)で構成され、認証VLAN(Virtual LAN)で運用されているものとする。「認証VLAN」とは、端末(例えばPCやMFP)単位でアクセスを管理したり制限したりするのではなく、ユーザIDとパスワードを用いることによって、ユーザ単位でアクセスを管理したり制限したりすることが可能な仮想的なLAN(VLAN)をいう。従って、ユーザは、どの端末からネットワーク201にログインしても、許可されたVLANに所属する端末にのみアクセスすることが可能であり、許可されていないVLANに所属する端末にはアクセスすることはできない。
【0031】
サーバPC202は、Microsoft Windows(登録商標)や、UNIX(登録商標)等のOSに対応したコンピュータと、OSと、そのOSの管理機能等を実現するためのアプリケーションプログラムとを備えている。図1に示したシステム管理者ユーティリティ(AU)100、及び実績収集サーバ(JSS)106は、このサーバPC202上で動作する。
【0032】
ディレクトリサーバ203は、機能制限情報(ACL)107及びユーザ情報110等を保持している。図1に示したユーザ情報サーバ(AD)101は、ディレクトリサーバ203上で動作する。
認証VLANサーバ204は、認証VLANの設定情報を管理する。本実施形態では、認証VLANサーバ204は、ネットワーク021にログインするユーザのIDと、そのユーザのパスワードと、そのユーザに割り当てられるVLANの名称とを管理するための管理テーブル204aを有する。この管理テーブル204aは、システム管理者によって作成されるようにしてもよいし、クライアントPC211〜213、221〜223から送信された情報に基づいて、認証VLANサーバ204によって自動的に作成されるようにしてもよい。以上のように本実施形態では、例えば、VLANによってネットワークのグループが実現され、認証VLANサーバ204を用いることにより登録手段が実現される。
【0033】
IPアドレス管理サーバ205は、ユーザがネットワーク201にログインしたときに、認証VLANサーバ204と連動して、端末(クライアントPC211〜213、221〜223等)にIPアドレスを割り当てる。本実施形態では、IPアドレス管理サーバ205は、VLANの名称と、そのVLANにおけるIPアドレスの範囲と、そのIPアドレスにおけるサブネットマスク(subnet mask)とを管理するための管理テーブル205aを有する。この管理テーブル205aは、システム管理者によって作成されるようにしてもよいし、クライアントPC211〜213、221〜223から送信された情報に基づいて、IPアドレス管理サーバ205によって自動的に作成されるようにしてもよい。尚、IPアドレスを管理するためのプロトコルとしては、例えば、DHCP(Dynamic Host Configuration Protocol)等がある。
VLAN206、207は、認証VLANにより構成される論理的なVLANである。尚、ここでは、VLAN206の名称を「VLAN1」とし、VLAN207の名称を「VLAN2」とする。
【0034】
認証VLANスイッチ208、209は、認証VLANを構成するためのスイッチであり、ネットワーク201に送信されたパケットを制御するためのものである。例えば、認証VLANスイッチ208は、VLAN206から送信されたパケットがVLAN207等の他のVLANへ送信されないように制御する。ただし、本実施形態では、サーバPC202、ディレクトリサーバ203、認証VLANサーバ204、及びIPアドレス管理サーバ205は、どのVLAN206、207からでもアクセスすることが可能となるように設定されているものとする。
【0035】
クライアントPC211〜213、221〜223は、Microsoft Windows(登録商標)や、UNIX(登録商標)等のOS(Operating System)に対応したコンピュータを備えている。図1に示したプリンタドライバ(Drv)103は、このクライアントPC211〜213、221〜223上で動作する。
【0036】
デバイス214〜216、224〜226は、図1に示した多機能複写機(MFP)104に相当する。また、本実施形態では、これらのデバイス214〜216、224〜226は、図1に示した実績収集クライアント(JSS Client)109も備えているものとする。
【0037】
尚、前述した構成はあくまでも一例である。例えば、図1に示した多機能複写機(MFP)104以外の実績収集クライアント109、チケット発行サーバ(SA)102、及びプリンタドライバ(Drv)103等を、全てクライアントPC211〜213、221〜223で実現してもよい。また、実績収集クライアント109、チケット発行サーバ(SA)102、及びプリンタドライバ(Drv)103等を、いくつかのサーバコンピュータで実現してもよい。
【0038】
つまり、プリンタドライバ(Drv)103及びチケット発行サーバ(SA)102間のインタフェースは、物理的な通信媒体であってもよいし、ソフトウェア的に構成されるメッセージ通信のための論理インタフェースにより構成されてもよい。ここで、物理的な通信媒体とは、例えば、ネットワーク、ローカルインタフェース、及びCPUバス等である。また、チケット発行サーバ(SA)102及び実績集計サーバ(JSS)106の間のインタフェースも同様に、物理的な通信媒体であっても、論理インタフェースであってもよい。また、チケット発行サーバ(SA)102及びユーザ情報サーバ(AD)101の間のインタフェースと、実績収集クライアント109及び実績集計サーバ(JSS)106の間のインタフェースも同様である。
【0039】
また、デバイス214〜216、224〜226は、多機能複写機(MFP)に限定されない。例えば、プリンタ、コピー機、FAX機、及びスキャナ装置等であってもよい。さらに、前述した各機能は、プログラムをCPUで実行することにより実行してもよいし、ハードウェアの回路を実装することにより実現してもよい。
【0040】
図3は、サーバPC202及び各クライアントPC211〜213、221〜223におけるハードウェアの構成の一例を示すブロック図である。
図3において、CPU501は、ROM502に記憶されたプログラムを、RAM503を用いて実行する等して、システムバス504に接続された各デバイス502、503、505〜508を総括的に制御する。CPU501は、例えば、システム管理者ユーティリティ(AU)100、チケット発行サーバ(SA)102、プリンタドライバ(Drv)103、実績収集サーバ(JSS)106、及び実績収集クライアント109の有する機能を実行する。システム管理者ユーティリティ(AU)100、チケット発行サーバ(SA)102、プリンタドライバ(Drv)103、実績収集サーバ(JSS)106、及び実績収集クライアント109は、ROM502又はハードディスク(HD)511に記憶されている。尚、これらは、フレキシブルディスクドライブ(FD)512から供給されるようにしてもよい。
【0041】
RAM503は、CPU501の主メモリや、ワークエリア等として機能する。キーボードコントローラ(KBC)505は、キーボード(KB)509や、不図示のポインティングデバイス等からの指示入力を制御する。CRTコントローラ(CRTC)506は、CRTディスプレイ(CRT)510の表示を制御する。
【0042】
ディスクコントローラ(DKC)507は、ブートプログラム、種々のアプリケーション、編集ファイル、ユーザファイル等を記憶するハードディスク(HD)511及びフレキシブルディスクコントローラ(FD)512とのアクセスを制御する。ネットワークインタフェースカード(NIC)508は、ネットワーク201を介して、外部の装置と双方向にデータをやりとりする。
【0043】
尚、サーバPC202のユーザインタフェースとしては、KB509及びCRT510といった、サーバPC202に物理的に接続されているデバイスの他に、HTTP/HTML等を利用したWebインタフェースがある。よって、ネットワーク201に接続された不図示の管理者用コンピュータから、ネットワーク201を介してサーバPC202を操作することも可能である。
また、ディレクトリサーバ203、認証VLANサーバ204、及びIPアドレス管理サーバ205も、図3に示すハードウェアを用いることにより実現することができる。
【0044】
図4は、多機能複写機(MFP)104におけるハードウェアの構成の一例を示すブロック図である。
図4において、コントローラユニット2000は、スキャナ2070や、プリンタ2095と接続したり、ネットワーク201に接続したりすることで、画像情報やデバイス情報の入出力を行う為のコントローラである。
【0045】
CPU2001は、システム全体を制御するコントローラである。RAM2002は、CPU2001が動作するためのシステムワークメモリであり、画像データを一時的に記憶するための画像メモリでもある。ROM2003はブートROMであり、システムのブートプログラムが格納されている。HDD2004はハードディスクドライブであり、システムソフトウェア、画像データ、及び履歴レコード(ログ)等を格納する。
【0046】
操作部I/F2006は、タッチパネルを有した操作部(UI;User Interface)2012とのインタフェース部であり、操作部2012に表示する画像データを操作部2012に対して出力する。また、操作部I/F2006は、操作部2012からユーザが入力した情報を、CPU2001に伝える役割も有する。ネットワークI/F(Network I/F)2010は、ネットワーク201に接続し、情報の入出力を行う。
モデム(Modem)2050は、例えば公衆回線に接続し、情報の入出力を行う。
【0047】
ICカードスロット(IC Card Slot)2100は、ICカードメディアが挿入された後に、適切なPIN(Personal Identifier Number)コードを入力する。これにより、暗号・復号に用いる鍵の入出力を行うことが可能となる。
【0048】
イメージバスI/F(Image Bus I/F)2005は、システムバス2007と画像データを高速で転送する画像バス2008とを接続し、データ構造を変換するバスブリッジである。画像バス2008は、PCIバス又はIEEE1394で構成される。画像バス2008上には以下のデバイスが配置される。
【0049】
ラスターイメージプロセッサ(RIP)2060は、PDLコードをビットマップイメージに展開する。デバイスI/F2020は、画像入出力デバイスであるスキャナ2070及びプリンタ2095と、コントローラユニット2000とを接続し、画像データの同期系/非同期系の変換を行う。スキャナ画像処理部2080は、入力画像データに対し、補正、加工、及び編集等を行う。プリンタ画像処理部2090は、プリント出力画像データに対して、プリンタの補正や、解像度変換等を行う。画像回転部2030は、画像データの回転を行う。画像圧縮部2040は、多値画像データに対してはJPEG、2値画像データに対してはJBIG、MMR、MHの圧縮伸張処理を行う。
【0050】
暗号・復号処理部2110は、ICカードスロット2100で入力した鍵を用いてデータの暗号化・復号化処理を行うハードウェアアクセラレータボードである。OCR・OMR処理部2111は、画像データに含まれる文字情報や2次元バーコードを解読して文字コード化する処理を行う。
【0051】
次に、本実施形態におけるネットワークシステムの全体の動作概要の一例を説明する。
まず、システム管理者ユーティリティ(AU)100が、ユーザ情報サーバ(AD)101に対し、ユーザ毎の機能制限情報(ACL)107を設定する。これにより、ユーザ情報サーバ(AD)101内に機能制限情報(ACL)107が保存される。
【0052】
次に、プリンタドライバ(Drv)103は、多機能複写機(MFP)104へジョブ(印刷ジョブ等)を発行する際に、ユーザのIDを引数として、そのユーザが使用可能な機能を記述したACT105の発行を、チケット発行サーバ(SA)102に依頼する。つまり、プリンタドライバ(Drv)103は、印刷ジョブ等のジョブを発行しようとするユーザの識別情報(ユーザID)を付加したACT発行要求を、チケット発行サーバ(SA)102に送付する。
【0053】
次に、チケット発行サーバ(SA)102は、ユーザ情報サーバ(AD)101に格納されている機能制限情報(ACL)107のうち、ジョブを発行しようとするユーザに対応する機能制限情報(ACL)107を取得する。更に、チケット発行サーバ(SA)102は、実績集計サーバ(JSS)106から、ジョブを発行しようとするユーザに対応するジョブの実行実績を取得する。ここで、ジョブを発行しようとするユーザは、ACT発行要求に含まれるユーザの識別情報に基づいて特定される。以上のように、本実施形態では、例えば、チケット発行サーバ(SA)102が、印刷ジョブ等のジョブを発行しようとするユーザ(ジョブの発行元となるユーザ)の識別情報(ユーザID)を付加したACT発行要求を取得することにより、取得手段が実現される。
【0054】
次に、チケット発行サーバ(SA)102は、ユーザ情報サーバ(AD)101から取得した機能制限情報(ACL)107と、実績集計サーバ(JSS)106から取得したジョブの実行実績とに基づいて、ユーザに許可すべきジョブの設定の内容を決定する。チケット発行サーバ(SA)102は、決定したジョブの設定の内容を反映したACT105を生成し、チケット発行サーバ(SA)102が発行したことを証明するための電子署名を行う。そして、チケット発行サーバ(SA)102は、電子署名を行ったACT105をプリンタドライバ(Drv103)に返送する。以上のように本実施形態では、例えば、チケット発行サーバ(SA)102が、ユーザに許可すべきジョブの設定の内容を決定することにより、決定手段が実現される。
【0055】
次に、プリンタドライバ(Drv)103は、ジョブの発行先である多機能複写機(MFP)104にジョブを送る前に、チケット発行サーバ(SA)102から受信したACT105を、ヘッダの一部としてジョブに付加する。そして、プリンタドライバ(Drv)103は、ACT105を付加したジョブを多機能複写機(MFP)104に送付してジョブを実行させる。以上のように本実施形態では、例えば、プリンタドライバ(Drv)103を用いることにより、実行手段が実現される。
【0056】
図5は、ジョブの構成の一例を示す図である。
図5において、ジョブ600は、ジョブ600を発行したユーザが誰であるかを示す認証情報601と、アクセスコントロールトークン(ACT)602と、多機能複写機(MFP)104に依頼する作業内容を示すボディ部603とを含んで構成される。図5に示す例では、ボディ部603に含まれるPDLデータを印刷することを依頼している。ここで、図5に示すアクセスコントロールトークン602は、図1においてプリンタドライバ(Drv)103がチケット発行サーバ(SA)102から受領したACT105に相当する。
【0057】
このようなジョブ600を受信した多機能複写機(MFP)104は、受信したジョブ600のアクセスコントロールトークン602に記載されている使用可能な機能の一覧と、ボディ部603に記載されている依頼内容とを比較する。そして、多機能複写機(MFP)104は、依頼内容が使用可能な機能に含まれていればその依頼内容を実行する。一方、依頼内容が使用可能な機能に含まれていない場合には、そのジョブ600をキャンセルする。
【0058】
図6は、ACT105の内容の一例を示す図である。
図6において、記述701は、アクセスコントロールトークン602を取得したユーザに関する情報が記述されている部分である。図6に示す例では、ユーザの名前はTaroであり、「PowerUser」というロール(Role)が割り当てられており、メールアドレスは「taro@xxx.yyy」であることが記述されている。
【0059】
記述702は、アクセスコントロールトークン602を取得したユーザが、多機能複写機(MFP)104において使用可能な機能が記述されている部分である。図6に示す例では、「PDL Print」と呼ばれる、クライアントPCからの印刷機能が使用可能であることが示されている。また、印刷時に制限される機能に関する情報として、カラー印刷は許可されているが、片面印刷(Simplex)は許可されていないことが記述されている。
【0060】
記述703は、アクセスコントロールトークン602を取得したユーザが、多機能複写機(MFP)104において使用可能な印刷枚数の上限値が記述されている部分である。図6に示す例では、カラー印刷の上限枚数がシステム全体で1000枚であり、白黒印刷の上限枚数がシステム全体で1000枚であることが記述されている。
【0061】
図7は、ACL107の内容の一例を示す図である。
図7に示すように、ACL107は、複数のACL107a〜107nで構成される。ACL107はVLAN単位で割り当てられている。つまり、本実施形態では、1つのVLANに対して1つのACL107が適用される。言い換えると、ネットワーク201に対して設定されたVLANの数と同数のACL107が存在することになる。
ACL107では、そのACL107に割り当てられたVLANに所属するユーザ毎に、多機能複写機(MFP)104が有する各機能の制限に関する機能制限情報が管理されている。図7では、ネットワーク201に接続されたデバイス214〜216、224〜226が有する機能を実行するか否かを示す情報として、例えば、「Copy」、「Send」、「Fax」、「カラー」印刷を実行するか否かが「○、×」で示されている。また、図7では、ネットワーク201に接続されたデバイス214〜216、224〜226が有する機能をどの程度実行するのかを示す情報として、例えば、両面印刷のみを実行することと、片面印刷を実行することとが設定されている。
【0062】
次に、図8のフローチャートを参照しながら、システム管理者ユーティリティ(AU)100がACL107を設定する処理の一例を説明する。尚、ここでは、図2に示したサーバPC202上で動作するシステム管理者ユーティリティ(AU)100が、ディレクトリサーバ203上で動作するユーザ情報サーバ(AD)101内に保持されているACL107を設定するものとする。
【0063】
まず、ステップS101において、システム管理者ユーティリティ(AU)100は、認証VLANサーバ204から、ネットワーク201に対して設定されているVLANに関するVLAN情報を取得する。そして、システム管理者ユーティリティ(AU)100は、ネットワーク201内で管理されているVLANのリストを作成する。
【0064】
次に、ステップS102において、システム管理者ユーティリティ(AU)100は、ディレクトリサーバ203上で動作しているユーザ情報サーバ(AD)101から、ネットワーク201で管理されているユーザのリスト(ユーザ情報110)を取得する。そして、システム管理者ユーティリティ(AU)100は、ネットワーク201で管理されているユーザのリストを作成する。以上のように本実施形態では、例えば、システム管理者ユーティリティ(AU)100がステップS102の処理を行うことにより作成するリストにより、アクセスが可能なユーザのリストが実現される。そして、このステップS102の処理を行うことにより作成手段が実現される。
【0065】
次に、ステップS103において、システム管理者ユーティリティ(AU)100は、ステップS101で作成したVLANのリストから、未処理のVLANのデータを取り出す。更に、システム管理者ユーティリティ(AU)100は、ユーザ情報サーバ(AD)101で保持されているACL107から、未処理のVLAN用のACL107を取り出。そして、システム管理者ユーティリティ(AU)100は、取り出した未処理のVLAN用のACL107をユーザインタフェースに表示する。
次に、ステップS104において、システム管理者ユーティリティ(AU)100は、ステップS102で作成したユーザのリストから、未処理のユーザのデータを取り出す。
【0066】
次に、ステップS105において、システム管理者ユーティリティ(AU)100は、ステップS104で取り出した未処理のユーザが、ステップS103で取り出した未処理のVLANに所属しているか否かを、認証VLANサーバ204に問い合わせる。そして、システム管理者ユーティリティ(AU)100は、問い合わせの結果に基づいて、ステップS104で取り出した未処理のユーザが、ステップS103で取り出した未処理のVLANに所属しているか否かを判定する。この判定の結果、ステップS104で取り出した未処理のユーザが、ステップS103で取り出した未処理のVLANに所属している場合にはステップS106を実行する。一方、ステップS104で取り出した未処理のユーザが、ステップS103で取り出した未処理のVLANに所属していない場合にはステップS107を実行する。以上のように本実施形態では、例えば、ステップS105の処理を行うことにより、判別手段が実現される。
【0067】
ステップS106では、システム管理者ユーティリティ(AU)100は、ステップS103で表示した未処理のVLAN用のACL107の表示領域内で、その未処理のVLANに所属していると判定したユーザのエントリ(行)を入力可能とする。
一方、ステップS107では、システム管理者ユーティリティ(AU)100は、ステップS103で表示した未処理のVLAN用のACL107の表示領域内で、その未処理のVLANに所属していると判定したユーザのエントリ(行)を入力不可能とする。
【0068】
次に、ステップS108において、システム管理者ユーティリティ(AU)100は、ステップS102で作成したユーザのリストにおいて、ステップS104で取り出した未処理のユーザを処理済とする。そして、システム管理者ユーティリティ(AU)100は、ステップS102で作成したユーザのリスト内の全ユーザが処理済となったかを否かを判定する。この判定の結果、全ユーザが処理済の場合にはステップS109を実行する。一方、全ユーザが処理済でない場合には全ユーザが処理済になるまでステップS104〜S108を繰り返し行う。
【0069】
次に、ステップS109において、システム管理者ユーティリティ(AU)100は、ステップS103で表示した未処理のVLAN用のACL107に対するシステム管理者の操作に基づいて、その未処理のVLANに所属するユーザに対する制限を設定する。尚、システム管理者は、システム管理者ユーティリティ(AU)100に設けられたユーザインタフェースを用いて、未処理のVLAN用のACL107に対する操作を行う。また、ユーザに対する制限とは、前述したように、ユーザに対して制限を行う機能の項目や上限値等である。以上のように本実施形態では、例えば、ステップS109の処理を行うことにより、設定手段が実現される。
【0070】
次に、ステップS110において、システム管理者ユーティリティ(AU)100は、ステップS101で作成したVLANのリストにおいて、ステップS103で取り出した未処理のVLANを処理済とする。そして、システム管理者ユーティリティ(AU)100は、ステップS101で作成したVLANのリスト内の全VLANが処理済となったか否かを判定する。この判定の結果、全VLANが処理済となった場合には、本処理シーケンスを終了する。一方、全VLANが処理済となっていない場合には、全VLANが処理済となるまでステップS103〜S110を繰り返し行う。
【0071】
以上のように本実施形態では、認証VLANで運用することにより、ネットワーク201を複数のVLAN206、207にグループ分けする。そして、グループ分けしたVLAN206、207単位で、そのVLAN206、207にアクセス可能なユーザが使用可能な機能の制限に関する情報(ACL107)を設定するようにした。これにより、VLAN206、207にアクセス可能なユーザについて、デバイス214〜216、224〜226(MFP104)の機能の制限に関する設定を行えばよいことになる。
また、VLAN206、207単位でACL107を設定したので、機能の制限の適用対象が、ネットワーク201に追加されても、適用対象がVLAN206、207に所属していれば、ACL107を設定し直す必要がなくなる。
以上のことから、本実施形態では、デバイス数及びユーザ数が膨大な大規模のネットワーク環境においても、ネットワーク201の管理者が機能の制限を設定する際に発生するコストを大幅に削減することが可能となる。
【0072】
また、MFP104等のデバイス214〜216、224〜226は、ジョブ600のアクセスコントロールトークン602に記載されている使用可能な機能の一覧と、ボディ部603に記載されている依頼内容とを比較する。そして、依頼内容が使用可能な機能に含まれていればその依頼内容を実行し、含まれていなければジョブ600をキャンセルする。このように、MFP104等の機能が使用される際に、その機能の使用を要求するユーザに対する機能制限情報(アクセスコントロールトークン602)を取得し、取得した機能制限情報から、ユーザが使用可能な機能を確定するようにした。従って、機能の制限を適切に行うことができる。
【0073】
さらに、MFP104等が有する機能の実行項目を制限することに加えて、印刷上限枚数等の機能の実行上限値を設定するようにしたので、より一層適切にMFP104等の機能を制限することができる。
【0074】
尚、本実施形態では、ネットワーク201が、イーサネット(登録商標)等のLANである場合を例に挙げて説明したが、ネットワーク201は必ずしもLANである必要はない。例えば、ユーザが他の建物や他県に居る場合等、離れた場所に居るユーザを、本実施形態のネットワークシステムに参加させる場合には、ネットワーク201を、WANやインターネット等で構成してもよい。尚、WANは、広域イーサネット(登録商標)や、ISDN電話線等の高速度デジタルラインでいくつかのLANを接続して形成された集合体である。これらの接続は、数本のバスによる単純な電気的接続で実現できる。
【0075】
また、本実施形態では、機能の制限の適用対象をMFP104等のハードウェアとしたが、機能の制限の適用対象は必ずしもハードウェアでなくてもよい。即ち、ネットワーク201に接続されたデバイスの有する機能を制限するためのものであれば、機能の制限の適用対象をプリントドライバ103等のソフトウェアとしてもよい。
【0076】
また、本実施形態では、ネットワーク201が、認証VLANの環境下で運用される場合を例に挙げて説明した。前述したように、ネットワーク201が、認証VLANの環境下で運用される場合は、ユーザがアクセス可能な範囲を、認証VLANサーバ204で管理し、認証VLAN毎にACL107を割り当てて管理するようにすることができる。しかしながら、必ずしもネットワーク201が、認証VLANの環境下で運用されるようにする必要はない。
【0077】
例えば、ネットワーク201が、通常のVLAN又はサブネットグループの環境下で運用されるようにしてもよい。このようにした場合には、通常のVLAN毎又はサブネット毎にACLを生成することにより、本実施形態と同様にして機能を制限することができる。ただし、通常のVLAN又はサブネットでは、ユーザ毎ではなく、クライアントPC毎にネットワーク201のアクセス可能な範囲を設定する必要がある。よって、どのクライアントPCをどのユーザが利用するか、対応テーブルを設定しておく必要がある。
【0078】
尚、前記において、サブネットとは論理的なネットワークであり、例えば、IP v4の仕様においては、各ネットワークアドレスがどのサブネットに属するのかを、サブネットマスクにより規定することが可能となっている。このように、ネットワーク201がサブネットグループの環境下で運用されるようにする場合には、例えば、ユーザがアクセス可能な範囲を、IPアドレス管理サーバ205で管理するようにすればよい。
【0079】
また、本実施形態では、デバイス211〜213、221〜223(MFP104)が、ジョブ600を実行することが可能であるか否かを判断するようにしたが、必ずしもこのようにする必要はない。例えば、プリンタドライバ(Drv)103が、ジョブを生成する際に、そのジョブがデバイスで実行可能であるのか否かを判断するようにしてもよい。
【0080】
また、本実施形態では、プリンタドライバ(Drv)103が、チケット発行サーバ(SA)102からACT105を取得し、取得したACT105を有するアクセスコントロールトークン(ACT)602をジョブ600に含ませるようにした。しかしながら、必ずしもこのようにする必要はない。例えば、アクセスコントロールトークン(ACT)602に相当する情報を、デバイス211〜213、221〜223(MFP104)が取得するようにしてもよい。
【0081】
具体的に説明すると、例えば、プリンタドライバ(Drv)103は、認証情報601と、ボディ部603とを含むジョブ(アクセスコントロールトークン602を含まないジョブ)をデバイス211〜213、221〜223(MFP104)に発行する。デバイス211〜213、221〜223(MFP104)は、チケット発行サーバ(SA)102からACT105を取得すると共に、プリンタドライバ(Drv)103からジョブを取得する。そして、デバイス211〜213、221〜223(MFP104)は、ACT105に記載されている使用可能な機能の一覧と、ボディ部603に記載されている依頼内容とを比較し、比較した結果に応じて取得したジョブを実行するか否かを判断する。
【0082】
また、本実施形態のように、VLAN毎にACL107を生成するようにすれば、ACL107の管理が容易になり好ましいが、必ずしもこのようにする必要はない。例えば、図7に示すテーブルにおいて、各ユーザが、どのVLANに属するのかを示す項目を追加して管理することにより、VLAN毎にACL107を生成する必要がなくなる。
【0083】
(第2の実施形態)
次に、本発明の第2の実施形態について説明する。前述した第1の実施形態を運用した場合、ユーザ情報サーバ(AD)101に登録されるユーザが追加されると、その度に機能制限情報(ACL)107を設定する必要がある。これに対し、本実施形態では、ユーザ情報サーバ(AD)が、ユーザグループを設定しておくことが可能であるようにしている。このようにすることによって、ユーザ情報サーバ(AD)に登録されるユーザが追加されたとしても、そのユーザが所属しているユーザグループに対する機能制限情報(ACL)を適用することができる。このため、追加されるユーザに対する機能制限情報(ACL)の設定が不要となる。このように、本実施形態と前述した第1の実施形態とは、ユーザ情報サーバ(AD)におけるユーザの管理方法の一部と機能制限情報の一部とが主として異なる。したがって、本実施形態の説明において、前述した第1の実施形態と同一の部分については、図1〜図8に付した符号と同一の符号を付すこと等によって詳細な説明を省略する。
【0084】
図9は、本実施形態におけるネットワークシステムの論理構成の一例を示した図である。尚、図1は、UML(Universal Modeling Language)の記法を用いて記述されたクラス図である。尚、本実施形態では、ネットワークシステムは、ネットワーク201に接続されたデバイスと、サーバPCと、クライアントPCとを備えたシステムである。また、このネットワークシステムは、デバイスを利用するユーザとユーザグループとに対し、アクセス制限と、印刷枚数等のジョブ実行制限とを行う印刷管理システムである。尚、ここでのユーザグループとは、一つ以上のユーザIDを含んだグループを指す。
【0085】
システム管理者ユーティリティ(AU)114は、例えば、図2に示すサーバPC(アプリケーションサーバ)202上で動作し、ネットワークシステムの設定や管理を行うためのものである。例えば、システム管理者ユーティリティ(AU)114は、ユーザ情報サーバ(AD)113に保持される機能制限情報の設定を行うことができる。
【0086】
ユーザ情報サーバ(AD)113は、ユーザID及びパスワードといったユーザ情報110を保持している。また、ユーザ情報サーバ(AD)113は、どのユーザがどのユーザグループに所属しているかといったユーザグループ情報111を保持している。更に、また、ユーザ情報サーバ(AD)113は、ネットワークシステムにおいて、デバイスのどの機能の使用が許可されているかをユーザグループ毎に示す機能制限情報(ACL)112を保持している。ユーザ情報サーバ(AD)113は、例えば、図2に示すディレクトリサーバ203上で動作する。より具体的に説明すると、ユーザ情報サーバ(AD)101は、例えば、LDAPサーバ又はアクティブディレクトリ(Active Directory)サーバ等を用いて実現される。尚、機能制限情報(ACL)112の詳細に関しては、後述する。
【0087】
チケット発行サーバ(SA)102は、ユーザ情報サーバ113に格納されている各ユーザグループの機能制限情報112と、実績集計サーバ(JSS)106に蓄積されているユーザグループのジョブ実行の実績値とに基づいて、チケット105を発行する。第1の実施形態で説明したように、このチケット105は、ACTと呼ばれ、このACT105には、使用可能な機能についての情報が記述されている。より具体的に説明すると、ACT105には、ユーザに対するジョブを実行するデバイスの機能を制限する項目である機能制限項目が記述されている。更に、ACT105には、印刷上限枚数等、デバイスで実行される機能の上限値に関わる情報が記述されている。以上のような情報が含まれるACT105は、ネットワークシステム上で利用することが可能なユーザに対するアクセス制限情報を、サーバからデバイスへ伝達する役割を持つデータである。
【0088】
プリンタドライバ(Drv)103は、例えば、図2に示すクライアントPC211〜213、221〜223上で動作するものである。本実施形態でも、第1の実施形態と同様に、ユーザは、クライアントPC211〜213、221〜223を使用する際には、どのユーザがそのクライアントPCを使用しているのかを明らかにするために、ログインすることが必要であるものとする。
【0089】
多機能複写機(MFP)104は、紙原稿を複写(Copy)する機能のみならず、外部のプリンタドライバ(Drv)103から送信された印刷データを印刷(Print)する機能を有する。更に、多機能複写機(MFP)104は、紙原稿を読み込んで、その紙原稿の画像データを外部のファイルサーバ又はメールアドレス宛に送信する機能(所謂Send機能)を持つ。
【0090】
ACT105には、前述したように、多機能複写機(MFP)104においてユーザが実行可能な機能、或いは印刷可能上限枚数についての情報等が記述されている。
実績収集サーバ(JSS)106は、例えば、後述する実績収集クライアント109が通知するユーザグループ毎のジョブ実行(例えば印刷枚数)の実績を、複数のデバイス(ここではMFP104)にまたがって集計する。また、実績収集サーバ(JSS)106は、ネットワークシステム全体における各ユーザグループのジョブの発光状況であるユーザジョブ発行状況108を保持している。図9に示す例では、プリンタドライバ(Drv)103が多機能複写機(MFP)104からジョブの実行実績を取得する。そして、実績収集サーバ(JSS)106は、そのジョブの実行実績を、実績収集クライアント109を介して収集する。
【0091】
ユーザジョブ発行状況108は、それぞれのユーザについて、ACT105が発行されてから、そのACT105を使った印刷ジョブが完了したかどうかを示す情報である。ユーザジョブ発行状況108は、ユーザID毎、もしくはそのユーザIDにより特定されるユーザが所属するユーザグループ毎に集計されている。ユーザジョブ発行状況108は、実績収集サーバ(JSS)106が管理するデータとして、実績収集サーバ(JSS)106の内部に保存される。
【0092】
実績収集クライアント(JSS Client)109は、多機能複写機(MFP)104一台毎に設けられ、多機能複写機(MFP)104上で動作する。実績収集クライアント(JSS Client)109は、自身が属している多機能複写機(MFP)104における各ユーザのジョブの実行実績を、実績収集サーバ(JSS)106に通知する。ジョブ実行実績としては、印刷枚数実績等が挙げられる。このように、ネットワークシステムにおける各ユーザ及びユーザグループ毎のジョブ実行実績は、実績収集クライアント(JSS Client)109により保持される。尚、複数の多機能複写機(MFP)104におけるジョブの実行実績を実績収集クライアント(JSS Client)109が集計するようにしてもよい。
【0093】
次に、ネットワークシステムにおけるシーケンスの一例を説明する。
まず、システム管理者ユーティリティ(AU)114が、ユーザ情報サーバ(AD)113に対し、ユーザグループ毎の機能制限情報(ACL)112を設定する。これにより、ユーザ情報サーバ(AD)113内に機能制限情報(ACL)112が保存される。
次に、プリンタドライバ(Drv)103は、チケット発行サーバ(SA)102に対して、ジョブを発行しようとするユーザの識別情報(ユーザID)を付加したACT発行要求を送付する。
【0094】
次に、チケット発行サーバ(SA)102は、ジョブを発行しようとするユーザが所属するユーザグループを特定する。そして、チケット発行サーバ(SA)102は、ユーザ情報サーバ(AD)113に格納されている機能制限情報(ACL)112のうち、ジョブを発行しようとするユーザが所属するユーザグループに対応する機能制限情報(ACL)112を取得する。更に、チケット発行サーバ(SA)102は、実績集計サーバ(JSS)106から、ACT送付要求をしているユーザが所属しているユーザグループに対応するジョブの実行実績を取得する。ここで、ジョブを発行しようとするユーザは、ACT発行要求に含まれるユーザの識別情報に基づいて特定される。
【0095】
次に、チケット発行サーバ(SA)102は、取得した機能制限情報(ACL)112と、ジョブの実行実績とに基づいて、ユーザに許可すべきジョブの設定の内容を決定する。チケット発行サーバ(SA)102は、決定したジョブの設定の内容を反映したACT105を生成し、チケット発行サーバ(SA)102が発行したことを証明するための電子署名を行う。そして、チケット発行サーバ(SA)102は、電子署名を行ったACT105をプリンタドライバ(Drv)103に送付する。
プリンタドライバ(Drv)103は、ジョブとACT105とをMFP104に送付して、ジョブを実行させる。
【0096】
次に、以上のようなシーケンスを実行するネットワークシステムの全体の動作概要の一例を説明する。
まず、システム管理者ユーティリティ(AU)114が、ユーザ情報サーバ(AD)113に対して、各ユーザグループの機能制限情報(ACL)112を設定する。プリンタドライバ(Drv)103は、多機能複写機(MFP)へ印刷ジョブを発行する際に、ユーザのIDを引数として、そのユーザが使用可能な機能を記述したACT105の発行を、チケット発行サーバ(SA)102に依頼する。
【0097】
チケット発行サーバ(SA)102は、そのユーザが所属するユーザグループを特定し、ユーザ情報サーバ(AD)113に格納されている機能制限情報(ACL)112に基づいて、そのユーザが使用可能な機能が記述されたACT105を発行する。すなわち、チケット発行サーバ(SA)102は、ユーザが使用可能な機能が記述されたACT105を、プリンタドライバ(Drv)103に返送する。プリンタドライバ(Drv)103は、多機能複写機(MFP)104にジョブを送るに際し、チケット発行サーバ(SA)102から受領したACT105をヘッダの一部としてジョブに付加する。そして、プリンタドライバ(Drv)103は、ACT105を付加したジョブを多機能複写機(MFP)104に送信してジョブを実行させる。ここで、図5に示したアクセスコントロールトークン602は、図9においてプリンタドライバ(Drv)103がチケット発行サーバ(SA)102から受領したACT105に相当する。
【0098】
ジョブを受信した多機能複写機(MFP)104は、受信したジョブのデータのアクセスコントロールトークン602に記載されている使用可能な機能の一覧と、ボディ部603に記載された依頼内容とを比較する。そして、多機能複写機(MFP)104は、依頼内容が使用可能な機能に含まれていればその依頼内容を実行する。一方、依頼内容が使用可能な機能に含まれていない場合には、そのジョブをキャンセルする。
【0099】
図10は、ACL112の内容の一例を示す図である。
図10に示すように、ACL112は、複数のACL112a〜112nで構成される。ACL112は、VLAN単位で割り当てられている。つまり、本実施形態では、1つのVLANに対して1つのACL112が適用される。また、各ACL112には、自身に割り当てられているVLANにアクセスすることが可能なユーザグループに関して、多機能複写機(MFP)104の各機能の機能制限情報が、ユーザグループ単位で設定されている。このACL112を用いることによって、多機能複写機(MFP)104の各機能の機能制限情報を、ユーザグループ単位で管理することが可能となっている。
【0100】
次に、図11のフローチャートを参照しながら、システム管理者ユーティリティ(AU)114が、機能制限情報(ACL)112を設定する処理の一例を説明する。尚、ここでは、図2に示したサーバPC202上で動作するシステム管理者ユーティリティ(AU)114が、ディレクトリサーバ203上で動作するユーザ情報サーバ(AD)101内に保持されているACL112を設定するものとする。
まず、ステップS131において、システム管理者ユーティリティ(AU)114は、認証VLANサーバ204から、ネットワーク201に対して設定されているVLANに関するVLAN情報を取得する。そして、システム管理者ユーティリティ(AU)114は、ネットワーク201内で管理されるVLANのリストを作成する。
【0101】
次に、ステップS132において、システム管理者ユーティリティ(AU)114は、ディレクトリサーバ203から、ネットワーク201で管理されるユーザのリストを取得する。そして、システム管理者ユーティリティ(AU)114は、ネットワーク201で管理されるユーザのリストを作成する。
次に、ステップステップS133において、システム管理者ユーティリティ(AU)114は、ステップS131で作成したVLANのリストから、未処理のVLANのデータを取り出す。更に、システム管理者ユーティリティ(AU)114は、ユーザ情報サーバ(AD)101で保持されているACL112から、未処理のVLAN用のACL112を取り出す。そして、システム管理者ユーティリティ(AU)114は、取り出した未処理のVLAN用のACL112をユーザインタフェースに表示する。
【0102】
次に、ステップS134において、システム管理者ユーティリティ(AU)114は、ステップS132で作成したユーザのリストから、未処理のユーザのデータを取り出す。
次に、ステップS135において、システム管理者ユーティリティ(AU)114は、ステップS134で取り出した未処理のユーザが、ステップS133で取り出した未処理のVLANに所属するか否かを、認証VLANサーバ204に問い合わせる。そして、システム管理者ユーティリティ(AU)114は、問い合わせの結果に基づいて、ステップS134で取り出した未処理のユーザが、ステップS133で取り出した未処理のVLANに所属しているか否かを判定する。この判定の結果、ステップS134で取り出した未処理のユーザが、ステップS133で取り出した未処理のVLANに所属している場合にはステップS136を実行する。一方、ステップS134で取り出した未処理のユーザが、ステップS133で取り出した未処理のVLANに所属していない場合にはステップS138を実行する。
【0103】
すなわち、未処理のユーザが未処理のVLANに所属している場合には、ステップS136に進む。そして、ステップS136において、システム管理者ユーティリティ(AU)114は、ステップS134で取り出した未処理のユーザが所属しているユーザグループをディレクトリサーバ203から検索する。
次に、ステップS137において、システム管理者ユーティリティ(AU)114は、ステップS113で表示した未処理のVLAN用のACL112の表示領域内で、ステップS136で検索したユーザグループのエントリ(行)を入力可能とする。そして、ステップS140に進む。
【0104】
一方、未処理のユーザが未処理のVLANに所属していない場合には、ステップS138に進む。そして、ステップS138において、システム管理者ユーティリティ(AU)114は、ステップS134で取り出した未処理のユーザが所属しているユーザグループをディレクトリサーバ203から検索する。
次に、ステップS139において、システム管理者ユーティリティ(AU)114は、ステップS113で表示した未処理のVLAN用のACL112の表示領域内で、ステップS136で検索したユーザグループのエントリ(行)を入力不可能とする。例えば、システム管理者ユーティリティ(AU)114は、ステップS136で検索したユーザグループのエントリ(行)をグレーアウトにすることによって、そのユーザグループのエントリ(行)を入力不可能とする。そして、ステップS140に進む。
【0105】
ステップS140に進むと、システム管理者ユーティリティ(AU)114は、ステップS132で作成したユーザのリストにおいて、ステップS134で取り出した未処理のユーザを処理済とする。そして、システム管理者ユーティリティ(AU)114は、ステップS132で作成したユーザのリスト内の全ユーザが処理済となったかを否かを判定する。この判定の結果、全ユーザが処理済の場合にはステップS141を実行する。一方、全ユーザが処理済でない場合には全ユーザが処理済になるまでステップS133〜S140を繰り返し行う。
【0106】
ステップS141において、システム管理者ユーティリティ(AU)114は、ステップS133で表示した未処理のVLAN用のACL112に対するシステム管理者の操作に基づいて、その未処理のVLANに所属するユーザグループに対する制限を設定する。尚、システム管理者は、システム管理者ユーティリティ(AU)114に設けられたユーザインタフェースを用いて、未処理のVLAN用のACL112に対する操作を行う。
次に、ステップS142において、システム管理者ユーティリティ(AU)114は、ステップS131で作成したVLANのリストにおいて、ステップS133で取り出した未処理のVLANを処理済とする。そして、システム管理者ユーティリティ(AU)114は、ステップS131で作成したVLANのリスト内の全VLANが処理済となったか否かを判定する。この判定の結果、全VLANが処理済となった場合には、本処理シーケンスを終了する。一方、全VLANが処理済となっていない場合には、全VLANが処理済となるまでステップS133〜S142を繰り返し行う。
【0107】
以上のように本実施形態では、少なくとも1つのユーザIDを含むグループであるユーザグループを設定するようにした。したがって、第1の実施形態で説明した効果に加え、ユーザ情報サーバ(AD)114に登録されるユーザが追加されたとしても、そのユーザが所属しているユーザグループに対する機能制限情報(ACL)112を適用することができるという効果を奏する。このため、追加されるユーザに対する機能制限情報(ACL)112の設定が不要となる。
尚、第1及び第2の実施形態において、複数の装置で行われている処理を1つの装置で行うようにしてもよい。
【0108】
(本発明の他の実施形態)
前述した本発明の実施形態におけるネットワークシステムを構成する各手段、並びにデバイス機能制限方法の各ステップは、コンピュータのRAMやROMなどに記憶されたプログラムが動作することによって実現できる。このプログラム及び前記プログラムを記録したコンピュータ読み取り可能な記録媒体は本発明に含まれる。
【0109】
また、本発明は、例えば、システム、装置、方法、プログラム若しくは記憶媒体等としての実施形態も可能であり、具体的には、複数の機器から構成されるシステムに適用してもよいし、また、一つの機器からなる装置に適用してもよい。
【0110】
なお、本発明は、前述した実施形態の機能を実現するソフトウェアのプログラム(実施形態では、例えば図8、11に示すフローチャートに対応したプログラム)を、システムあるいは装置に直接、あるいは遠隔から供給する。そして、そのシステムあるいは装置のコンピュータが前記供給されたプログラムコードを読み出して実行することによっても達成される場合を含む。
【0111】
したがって、本発明の機能処理をコンピュータで実現するために、前記コンピュータにインストールされるプログラムコード自体も本発明を実現するものである。つまり、本発明は、本発明の機能処理を実現するためのコンピュータプログラム自体も含まれる。
【0112】
その場合、プログラムの機能を有していれば、オブジェクトコード、インタプリタにより実行されるプログラム、OSに供給するスクリプトデータ等の形態であってもよい。
【0113】
プログラムを供給するための記録媒体としては、例えば、フロッピー(登録商標)ディスク、ハードディスク、光ディスク、光磁気ディスク、MO、CD−ROM、CD−R、CD−RWなどがある。また、磁気テープ、不揮発性のメモリカード、ROM、DVD(DVD−ROM,DVD−R)などもある。
【0114】
その他、プログラムの供給方法としては、クライアントコンピュータのブラウザを用いてインターネットのホームページに接続する。そして、前記ホームページから本発明のコンピュータプログラムそのもの、若しくは圧縮され自動インストール機能を含むファイルをハードディスク等の記録媒体にダウンロードすることによっても供給できる。
【0115】
また、本発明のプログラムを構成するプログラムコードを複数のファイルに分割し、それぞれのファイルを異なるホームページからダウンロードすることによっても実現可能である。つまり、本発明の機能処理をコンピュータで実現するためのプログラムファイルを複数のユーザに対してダウンロードさせるWWWサーバも、本発明に含まれるものである。
【0116】
また、本発明のプログラムを暗号化してCD−ROM等の記憶媒体に格納してユーザに配布し、所定の条件をクリアしたユーザに対し、インターネットを介してホームページから暗号化を解く鍵情報をダウンロードさせる。そして、ダウンロードした鍵情報を使用することにより暗号化されたプログラムを実行してコンピュータにインストールさせて実現することも可能である。
【0117】
また、コンピュータが、読み出したプログラムを実行することによって、前述した実施形態の機能が実現される。その他、そのプログラムの指示に基づき、コンピュータ上で稼動しているOSなどが、実際の処理の一部又は全部を行い、その処理によっても前述した実施形態の機能が実現され得る。
【0118】
さらに、記録媒体から読み出されたプログラムが、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書き込まれる。その後、そのプログラムの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPUなどが実際の処理の一部又は全部を行い、その処理によっても前述した実施形態の機能が実現される。
【0119】
なお、前述した各実施形態は、何れも本発明を実施するにあたっての具体化の例を示したものに過ぎず、これらによって本発明の技術的範囲が限定的に解釈されてはならないものである。すなわち、本発明はその技術思想、又はその主要な特徴から逸脱することなく、様々な形で実施することができる。
【図面の簡単な説明】
【0120】
【図1】本発明の第1の実施形態を示し、ネットワークシステムの論理構成の一例を示した図である。
【図2】本発明の第1の実施形態を示し、図1に示すネットワークシステム内の各機能要素を実現するための構成の一例を示した図である。
【図3】本発明の第1の実施形態を示し、サーバPC及び各クライアントにおけるハードウェアの構成の一例を示すブロック図である。
【図4】本発明の第1の実施形態を示し、多機能複写機(MFP)におけるハードウェアの構成の一例を示すブロック図である。
【図5】本発明の第1の実施形態を示し、ジョブの構成の一例を示す図である。
【図6】本発明の第1の実施形態を示し、ACTの内容の一例を示す図である。
【図7】本発明の第1の実施形態を示し、ACLの内容の一例を示す図である。
【図8】本発明の第1の実施形態を示し、システム管理者ユーティリティ(AU)がACLを設定する処理の一例を説明するフローチャートである。
【図9】本発明の第2の実施形態を示し、ネットワークシステムの論理構成の一例を示した図である。
【図10】本発明の第2の実施形態を示し、ACLの内容の一例を示す図である。
【図11】本発明の第2の実施形態を示し、システム管理者ユーティリティ(AU)がACLを設定する処理の一例を説明するフローチャートである。
【図12】従来の技術を示し、システム内に1つだけ設けられたACLの内容を示す図である。
【図13】従来の技術を示し、デバイス毎に複数用意設けられたACLの内容を示す図である。
【符号の説明】
【0121】
100、114 システム管理者ユーティリティ(AU)
101、113 ユーザ情報サーバ(AD)
102 チケット発行サーバ(SA)
103 プリンタドライバ(Drv)
104 多機能複写機(MFP)
105 ACT
106 実績集計サーバ(JSS)
107、112 機能制限情報(ACL)
108 ユーザジョブ発行状況
109 実績収集クライアント(JSS Client)
110 ユーザ情報
201 ネットワーク
202 サーバPC
203 ディレクトリサーバ
204 認証VLANサーバ
205 IPアドレス管理サーバ
206、207 VLAN
208、209 認証VLANスイッチ
211〜213、221〜223 クライアントPC
214〜216、224〜226 デバイス
【技術分野】
【0001】
本発明は、ネットワークシステム、デバイス機能制限方法、及びコンピュータプログラムに関し、特に、ネットワークに接続されたデバイスの機能を管理するのに好適である。
【背景技術】
【0002】
近年、コンピュータが相互に接続されたコンピュータネットワーク(以下、ネットワークと略称する)が普及している。このようなネットワークは、ビルのフロア、ビル全体、ビル群(構内)、地域、又はさらに大きなエリアにわたって構築することができる。また、このようなネットワークが相互に接続されることにより、世界的規模のネットワーク(所謂インターネット)が形成されている。
【0003】
また、ネットワークには、コンピュータの他に、プリンタ、ファクシミリ、及び複写機といったコンピュータ周辺機器(以下、デバイスと称する)が接続されていることが多い。コンピュータがネットワークを経由してデバイスにジョブを送信することにより、コンピュータのユーザは、デバイスを利用することができる。例えば、コンピュータがネットワークを経由してプリンタに印刷ジョブを送信することにより行われる印刷(ネットワーク印刷)により、大型の高速プリンタや高価なカラープリンタを複数のコンピュータで共有することができるという利点がある。また、このネットワーク印刷では、プリンタから離れた場所で行われた印刷指示に従って、プリンタが印刷を行うことができるという利点もある。従って、ネットワーク印刷は、昨今では一般的に利用されるようになっている。
【0004】
さらに、近年の複写機は、原稿をコピーする機能に留まらず、外部のクライアント端末から送信された印刷ジョブを実行して印刷する機能や、スキャンした原稿を電子メールやファイル転送の機能を用いて電子的に外部に送信する機能等を持つようになった。このような複写機は、MFP(Multi Function Peripheral;多機能周辺機器)と呼ばれている。
【0005】
そして、MFPが多機能になったことによる問題も生じている。例えば、スキャンした情報を外部に送信することができるようになったことによって、情報が漏洩する危険性が増す等の問題が生じている。
また、印刷枚数が増加するにつれて消費される紙やトナーのコストも上昇するため、印刷機能や印刷可能枚数をユーザ毎に制限したいという要求が古くからあった。この要求を満足させることは、TCO(Total Cost of Ownership;所有に伴う総合コスト)を削減するという観点から重要である。
【0006】
以上のような課題に関して、各ユーザをIDで管理し、ID毎に利用可能な機能、資源、時間を制限する方法が提案されている(特許文献1を参照)。
【0007】
【特許文献1】特開平11−134136号公報
【発明の開示】
【発明が解決しようとする課題】
【0008】
ところで、前述した従来の技術では、デバイスの利用をユーザに制限させるための情報は、システム管理者により設定され、テーブル形式のデータとして管理されることになる。このようなデバイスの利用をユーザに制限させるための情報は、ACL(Access Control List)と呼ばれる。
【0009】
このACLがシステム内に1つしかない場合、システム管理者により設定され、テーブル形式のデータとして管理されるACLは、図12に示すように1つだけとなる。このように、システム内にACLが1つしかない場合、ユーザは、システム内のどのデバイスを利用する場合であっても、同じ制限を受けることになる。図12に示すACL800では、例えば、「ユーザC」は、システム内のどのデバイスを利用する場合であっても、ファクシミリ(Fax)を利用することができない。
【0010】
そこで、制限する内容をデバイス毎に異ならせるために、図13に示すようにACLをデバイス毎に複数用意することが考えられる。このようにデバイス毎に複数のACL900a〜900nを用意する場合、システム管理者は、どのデバイスにどのユーザがアクセスできるのかが分からない。このため、システム管理者は、デバイス毎に用意した複数のACL900a〜900nに対し、全てのユーザについての情報を設定して管理する必要がある。
【0011】
しかしながら、デバイスの数やユーザの数が膨大なネットワークでは、全てのユーザについての情報を、デバイス毎に用意された全てのACLに設定することは、非常に煩雑な作業である。従って、システムを管理するために多大なコストがかかってしまうという問題がある。TCOを削減することを目的とするシステムでは、この点は問題となる。
【0012】
本発明はこのような問題点に鑑みてなされたものであり、管理対象となるユーザの数やデバイスの数が増加しても、デバイスが有する機能を制限するための情報を容易に設定することができるようにすることを目的とする。
【課題を解決するための手段】
【0013】
本発明のネットワークシステムは、ネットワークに接続されたデバイスが有する機能を制限するための機能制限情報を設定する設定手段と、前記ネットワークにおける複数のグループのそれぞれについて、アクセスが可能なユーザを判別する判別手段とを有し、前記設定手段は、前記判別手段によりアクセスが可能であると判別されたユーザについて、前記機能制限情報を設定することを特徴とする。
【0014】
本発明のデバイス機能制限方法は、ネットワークに接続されたデバイスが有する機能を制限するための機能制限情報を設定する設定ステップと、前記ネットワークにおける複数のグループのそれぞれについて、アクセスが可能なユーザを判別する判別ステップとを有し、前記設定ステップは、前記判別ステップによりアクセスが可能であると判別されたユーザについて、前記機能制限情報を設定することを特徴とする。
【0015】
本発明のコンピュータプログラムは、ネットワークに接続されたデバイスが有する機能を制限するための機能制限情報を設定する設定ステップと、前記ネットワークにおける複数のグループのそれぞれについて、アクセスが可能なユーザを判別する判別ステップとをコンピュータに実行させ、前記設定ステップは、前記判別ステップによりアクセスが可能であると判別されたユーザについて、前記機能制限情報を設定することを特徴とする。
【発明の効果】
【0016】
本発明によれば、ネットワークにおける複数のグループのそれぞれについて、アクセスが可能なユーザを判別し、アクセスが可能であると判別されたユーザについて、機能制限情報を設定するようにした。これにより、ネットワークに接続されたデバイスが有する機能を制限するための機能制限情報を、デバイスの使用が許可されているユーザについて設定すればよいことになる。従って、管理対象となるユーザの数やデバイスの数が増加しても、機能制限情報を容易に設定することができ、ネットワークシステムの管理者が機能制限情報を設定するコストを削減することが可能となる。
【0017】
また、本発明の他の特徴によれば、ネットワークに接続されたデバイスへのジョブの発行元となるユーザに関する情報を取得する。そして、取得した情報により特定されるユーザに関する機能制限情報を用いて、ジョブの発行先となるデバイスで実行することが可能な機能の内容を決定し、決定した内容に従ってジョブを実行するようにした。これにより、ネットワークに接続されたデバイスを利用するユーザに対して、そのデバイスが有する機能を適切に制限することができる。
【0018】
また、本発明の他の特徴によれば、ネットワークにおける複数のグループ毎に、機能制限情報を設定するようにした。これにより、機能を制限する対象が、ネットワークに追加された場合でも、その対象が何れかのグループに属していれば、機能制限情報を設定し直す必要がなくなる。
【発明を実施するための最良の形態】
【0019】
(第1の実施形態)
次に、図面を参照しながら、本発明の第1の実施形態について説明する。
図1は、本実施形態におけるネットワークシステムの論理構成の一例を示した図である。尚、図1は、UML(Universal Modeling Language)の記法を用いて記述されたクラス図である。図2は、図1に示すネットワークシステム内の各機能要素を実現するための構成の一例を示した図である。
【0020】
図2に示すように、ネットワークシステムは、例えば、デバイス214〜216、224〜226と、サーバPC202、204、205と、クライアントPC211〜213、221〜223とが、ネットワーク201を介して相互に接続されて構成される。本実施形態では、ネットワークシステムが、デバイス214〜216、224〜226を利用するユーザによるジョブの実行を制限する印刷管理システムである場合を例に挙げて説明する。ここで、ジョブの実行の制限とは、デバイス214〜216、224〜226へのアクセス制限や、デバイス214〜216、224〜226における印刷枚数の制限等である。また、ユーザには、個人だけでなく、組織(例えば会社)や、組織内の部門(例えば会社の部署)等の団体のユーザも含まれるものとする。
【0021】
図1において、多機能複写機(MFP)104は、例えば、図2に示すデバイス214〜216、224〜226に相当するものである。多機能複写機(MFP)104は、紙原稿を複写(Copy)する機能を持つ。また、多機能複写機(MFP)104は、外部のプリンタドライバ(Drv)103から送信された印刷データを印刷(Print)する機能を持つ。更に、多機能複写機(MFP)104は、紙原稿を読み込んで、その紙原稿の画像データを外部のファイルサーバ又はメールアドレス宛に送信する機能(所謂Send機能)を持つ。
【0022】
システム管理者ユーティリティ(AU)100は、例えば、図2に示すサーバPC(アプリケーションサーバ)202上で動作し、ネットワークシステムの設定や管理を行うためのものである。例えば、システム管理者ユーティリティ(AU)100は、ユーザ情報サーバ(AD)101に保持される機能制限情報の設定を行うことができる。
【0023】
ユーザ情報サーバ(AD)101は、ユーザID及びパスワードといったユーザ情報110を保持している。また、ユーザ情報サーバ(AD)101は、ネットワークシステムにおいて、多機能複写機(MFP)104のどの機能の使用が許可されているのかをユーザ毎に示す機能制限情報(ACL)107を保持している。ユーザ情報サーバ(AD)101は、例えば、図2に示すディレクトリサーバ203上で動作する。より具体的に説明すると、ユーザ情報サーバ(AD)101は、例えば、LDAPサーバ又はアクティブディレクトリ(Active Directory)サーバ等を用いて実現される。尚、機能制限情報(ACL)107の詳細に関しては、後述する。
【0024】
チケット発行サーバ(SA)102は、例えば、図2に示すサーバPC202上で動作する。チケット発行サーバ(SA)102は、ユーザ情報サーバ101に格納された機能制限情報107と、実績集計サーバ(JSS)106に蓄積されたユーザのジョブ実行の実績値とに基づくチケット105を発行する。このチケット105は、ACT(Access Control Token)と呼ばれ、ユーザが使用可能な多機能複写機(MFP)104の機能についての情報を含んでいる。より具体的に説明すると、ACT105には、ジョブを実行する多機能複写機(MFP)104の機能を制限する項目である機能制限項目が、機能制限情報として記述されている。更にACT105には、印刷上限枚数等、多機能複写機(MFP)104で実行される機能の上限値に関する情報が、機能制限情報として記述されている。以上のような情報が含まれるACT105は、ネットワークシステム上で多機能複写機(MFP)104を利用することが可能なユーザのアクセス制限情報を、プリンタドライバ(Drv)103や多機能複写機(MFP)104に伝える役割を持つ。
【0025】
プリンタドライバ(Drv)103は、例えば、図2に示すクライアントPC211〜213、221〜223上で動作するものである。本実施形態では、ユーザは、クライアントPC211〜213、221〜223を使用する際には、どのユーザがそのクライアントPCを使用しているのかを明らかにするために、ログインすることが必要であるものとする。
【0026】
実績収集サーバ(JSS)106は、例えば、後述する実績収集クライアント109が通知するユーザ毎のジョブ実行の実績を複数のデバイス(MFP104)にまたがって集計する。ここで、ジョブの実行の実績としては、例えば、印刷枚数の実績値等が挙げられる。また、実績収集サーバ(JSS)106は、ネットワークシステム全体における各ユーザのジョブの実行状況であるユーザジョブ発行状況108を保持している。図1に示す例では、プリンタドライバ(Drv)103が多機能複写機(MFP)104からジョブの実行実績を取得する。そして、実績収集サーバ(JSS)106は、そのジョブの実行実績を、実績収集クライアント109を介して収集する。
【0027】
ユーザジョブ発行状況108は、それぞれのユーザについて、ACT105が発行されてから、そのACT105を使ったジョブが完了したかどうかを示す情報である。ユーザジョブ発行状況108は、実績収集サーバ(JSS)106が管理するデータとして、実績収集サーバ(JSS)106の内部に保存される。
【0028】
実績収集クライアント(JSS Client)109は、多機能複写機(MFP)104一台毎に設けられ、多機能複写機(MFP)104上で動作する。実績収集クライアント(JSS Client)109は、自身が属している多機能複写機(MFP)104における各ユーザのジョブの実行実績を、実績収集サーバ(JSS)106に通知する。このように、ネットワークシステムにおける各ユーザのジョブの実行実績は、実績収集クライアント(JSS Client)109により保持される。
尚、複数の多機能複写機(MFP)104におけるジョブの実行実績を実績収集クライアント(JSS Client)109が集計するようにしてもよい。
【0029】
次に、図2を参照しながら、図1に示したネットワークシステム内の各機能要素を実現するための構成の一例について詳細に説明する。
図2において、ネットワーク201には、デバイス214〜216、224〜226と、サーバPC202、204、205と、クライアントPC211〜213、221〜223とが接続されている。本実施形態のネットワークシステムでは、例えば、1つの建物内における1つの階又は連続した複数の階にいるユーザにより構成されるユーザグループ等、幾分ローカルなユーザグループにサービスを提供する。
【0030】
具体的に本実施形態では、ネットワーク201は、イーサネット(登録商標)で構成され、認証VLAN(Virtual LAN)で運用されているものとする。「認証VLAN」とは、端末(例えばPCやMFP)単位でアクセスを管理したり制限したりするのではなく、ユーザIDとパスワードを用いることによって、ユーザ単位でアクセスを管理したり制限したりすることが可能な仮想的なLAN(VLAN)をいう。従って、ユーザは、どの端末からネットワーク201にログインしても、許可されたVLANに所属する端末にのみアクセスすることが可能であり、許可されていないVLANに所属する端末にはアクセスすることはできない。
【0031】
サーバPC202は、Microsoft Windows(登録商標)や、UNIX(登録商標)等のOSに対応したコンピュータと、OSと、そのOSの管理機能等を実現するためのアプリケーションプログラムとを備えている。図1に示したシステム管理者ユーティリティ(AU)100、及び実績収集サーバ(JSS)106は、このサーバPC202上で動作する。
【0032】
ディレクトリサーバ203は、機能制限情報(ACL)107及びユーザ情報110等を保持している。図1に示したユーザ情報サーバ(AD)101は、ディレクトリサーバ203上で動作する。
認証VLANサーバ204は、認証VLANの設定情報を管理する。本実施形態では、認証VLANサーバ204は、ネットワーク021にログインするユーザのIDと、そのユーザのパスワードと、そのユーザに割り当てられるVLANの名称とを管理するための管理テーブル204aを有する。この管理テーブル204aは、システム管理者によって作成されるようにしてもよいし、クライアントPC211〜213、221〜223から送信された情報に基づいて、認証VLANサーバ204によって自動的に作成されるようにしてもよい。以上のように本実施形態では、例えば、VLANによってネットワークのグループが実現され、認証VLANサーバ204を用いることにより登録手段が実現される。
【0033】
IPアドレス管理サーバ205は、ユーザがネットワーク201にログインしたときに、認証VLANサーバ204と連動して、端末(クライアントPC211〜213、221〜223等)にIPアドレスを割り当てる。本実施形態では、IPアドレス管理サーバ205は、VLANの名称と、そのVLANにおけるIPアドレスの範囲と、そのIPアドレスにおけるサブネットマスク(subnet mask)とを管理するための管理テーブル205aを有する。この管理テーブル205aは、システム管理者によって作成されるようにしてもよいし、クライアントPC211〜213、221〜223から送信された情報に基づいて、IPアドレス管理サーバ205によって自動的に作成されるようにしてもよい。尚、IPアドレスを管理するためのプロトコルとしては、例えば、DHCP(Dynamic Host Configuration Protocol)等がある。
VLAN206、207は、認証VLANにより構成される論理的なVLANである。尚、ここでは、VLAN206の名称を「VLAN1」とし、VLAN207の名称を「VLAN2」とする。
【0034】
認証VLANスイッチ208、209は、認証VLANを構成するためのスイッチであり、ネットワーク201に送信されたパケットを制御するためのものである。例えば、認証VLANスイッチ208は、VLAN206から送信されたパケットがVLAN207等の他のVLANへ送信されないように制御する。ただし、本実施形態では、サーバPC202、ディレクトリサーバ203、認証VLANサーバ204、及びIPアドレス管理サーバ205は、どのVLAN206、207からでもアクセスすることが可能となるように設定されているものとする。
【0035】
クライアントPC211〜213、221〜223は、Microsoft Windows(登録商標)や、UNIX(登録商標)等のOS(Operating System)に対応したコンピュータを備えている。図1に示したプリンタドライバ(Drv)103は、このクライアントPC211〜213、221〜223上で動作する。
【0036】
デバイス214〜216、224〜226は、図1に示した多機能複写機(MFP)104に相当する。また、本実施形態では、これらのデバイス214〜216、224〜226は、図1に示した実績収集クライアント(JSS Client)109も備えているものとする。
【0037】
尚、前述した構成はあくまでも一例である。例えば、図1に示した多機能複写機(MFP)104以外の実績収集クライアント109、チケット発行サーバ(SA)102、及びプリンタドライバ(Drv)103等を、全てクライアントPC211〜213、221〜223で実現してもよい。また、実績収集クライアント109、チケット発行サーバ(SA)102、及びプリンタドライバ(Drv)103等を、いくつかのサーバコンピュータで実現してもよい。
【0038】
つまり、プリンタドライバ(Drv)103及びチケット発行サーバ(SA)102間のインタフェースは、物理的な通信媒体であってもよいし、ソフトウェア的に構成されるメッセージ通信のための論理インタフェースにより構成されてもよい。ここで、物理的な通信媒体とは、例えば、ネットワーク、ローカルインタフェース、及びCPUバス等である。また、チケット発行サーバ(SA)102及び実績集計サーバ(JSS)106の間のインタフェースも同様に、物理的な通信媒体であっても、論理インタフェースであってもよい。また、チケット発行サーバ(SA)102及びユーザ情報サーバ(AD)101の間のインタフェースと、実績収集クライアント109及び実績集計サーバ(JSS)106の間のインタフェースも同様である。
【0039】
また、デバイス214〜216、224〜226は、多機能複写機(MFP)に限定されない。例えば、プリンタ、コピー機、FAX機、及びスキャナ装置等であってもよい。さらに、前述した各機能は、プログラムをCPUで実行することにより実行してもよいし、ハードウェアの回路を実装することにより実現してもよい。
【0040】
図3は、サーバPC202及び各クライアントPC211〜213、221〜223におけるハードウェアの構成の一例を示すブロック図である。
図3において、CPU501は、ROM502に記憶されたプログラムを、RAM503を用いて実行する等して、システムバス504に接続された各デバイス502、503、505〜508を総括的に制御する。CPU501は、例えば、システム管理者ユーティリティ(AU)100、チケット発行サーバ(SA)102、プリンタドライバ(Drv)103、実績収集サーバ(JSS)106、及び実績収集クライアント109の有する機能を実行する。システム管理者ユーティリティ(AU)100、チケット発行サーバ(SA)102、プリンタドライバ(Drv)103、実績収集サーバ(JSS)106、及び実績収集クライアント109は、ROM502又はハードディスク(HD)511に記憶されている。尚、これらは、フレキシブルディスクドライブ(FD)512から供給されるようにしてもよい。
【0041】
RAM503は、CPU501の主メモリや、ワークエリア等として機能する。キーボードコントローラ(KBC)505は、キーボード(KB)509や、不図示のポインティングデバイス等からの指示入力を制御する。CRTコントローラ(CRTC)506は、CRTディスプレイ(CRT)510の表示を制御する。
【0042】
ディスクコントローラ(DKC)507は、ブートプログラム、種々のアプリケーション、編集ファイル、ユーザファイル等を記憶するハードディスク(HD)511及びフレキシブルディスクコントローラ(FD)512とのアクセスを制御する。ネットワークインタフェースカード(NIC)508は、ネットワーク201を介して、外部の装置と双方向にデータをやりとりする。
【0043】
尚、サーバPC202のユーザインタフェースとしては、KB509及びCRT510といった、サーバPC202に物理的に接続されているデバイスの他に、HTTP/HTML等を利用したWebインタフェースがある。よって、ネットワーク201に接続された不図示の管理者用コンピュータから、ネットワーク201を介してサーバPC202を操作することも可能である。
また、ディレクトリサーバ203、認証VLANサーバ204、及びIPアドレス管理サーバ205も、図3に示すハードウェアを用いることにより実現することができる。
【0044】
図4は、多機能複写機(MFP)104におけるハードウェアの構成の一例を示すブロック図である。
図4において、コントローラユニット2000は、スキャナ2070や、プリンタ2095と接続したり、ネットワーク201に接続したりすることで、画像情報やデバイス情報の入出力を行う為のコントローラである。
【0045】
CPU2001は、システム全体を制御するコントローラである。RAM2002は、CPU2001が動作するためのシステムワークメモリであり、画像データを一時的に記憶するための画像メモリでもある。ROM2003はブートROMであり、システムのブートプログラムが格納されている。HDD2004はハードディスクドライブであり、システムソフトウェア、画像データ、及び履歴レコード(ログ)等を格納する。
【0046】
操作部I/F2006は、タッチパネルを有した操作部(UI;User Interface)2012とのインタフェース部であり、操作部2012に表示する画像データを操作部2012に対して出力する。また、操作部I/F2006は、操作部2012からユーザが入力した情報を、CPU2001に伝える役割も有する。ネットワークI/F(Network I/F)2010は、ネットワーク201に接続し、情報の入出力を行う。
モデム(Modem)2050は、例えば公衆回線に接続し、情報の入出力を行う。
【0047】
ICカードスロット(IC Card Slot)2100は、ICカードメディアが挿入された後に、適切なPIN(Personal Identifier Number)コードを入力する。これにより、暗号・復号に用いる鍵の入出力を行うことが可能となる。
【0048】
イメージバスI/F(Image Bus I/F)2005は、システムバス2007と画像データを高速で転送する画像バス2008とを接続し、データ構造を変換するバスブリッジである。画像バス2008は、PCIバス又はIEEE1394で構成される。画像バス2008上には以下のデバイスが配置される。
【0049】
ラスターイメージプロセッサ(RIP)2060は、PDLコードをビットマップイメージに展開する。デバイスI/F2020は、画像入出力デバイスであるスキャナ2070及びプリンタ2095と、コントローラユニット2000とを接続し、画像データの同期系/非同期系の変換を行う。スキャナ画像処理部2080は、入力画像データに対し、補正、加工、及び編集等を行う。プリンタ画像処理部2090は、プリント出力画像データに対して、プリンタの補正や、解像度変換等を行う。画像回転部2030は、画像データの回転を行う。画像圧縮部2040は、多値画像データに対してはJPEG、2値画像データに対してはJBIG、MMR、MHの圧縮伸張処理を行う。
【0050】
暗号・復号処理部2110は、ICカードスロット2100で入力した鍵を用いてデータの暗号化・復号化処理を行うハードウェアアクセラレータボードである。OCR・OMR処理部2111は、画像データに含まれる文字情報や2次元バーコードを解読して文字コード化する処理を行う。
【0051】
次に、本実施形態におけるネットワークシステムの全体の動作概要の一例を説明する。
まず、システム管理者ユーティリティ(AU)100が、ユーザ情報サーバ(AD)101に対し、ユーザ毎の機能制限情報(ACL)107を設定する。これにより、ユーザ情報サーバ(AD)101内に機能制限情報(ACL)107が保存される。
【0052】
次に、プリンタドライバ(Drv)103は、多機能複写機(MFP)104へジョブ(印刷ジョブ等)を発行する際に、ユーザのIDを引数として、そのユーザが使用可能な機能を記述したACT105の発行を、チケット発行サーバ(SA)102に依頼する。つまり、プリンタドライバ(Drv)103は、印刷ジョブ等のジョブを発行しようとするユーザの識別情報(ユーザID)を付加したACT発行要求を、チケット発行サーバ(SA)102に送付する。
【0053】
次に、チケット発行サーバ(SA)102は、ユーザ情報サーバ(AD)101に格納されている機能制限情報(ACL)107のうち、ジョブを発行しようとするユーザに対応する機能制限情報(ACL)107を取得する。更に、チケット発行サーバ(SA)102は、実績集計サーバ(JSS)106から、ジョブを発行しようとするユーザに対応するジョブの実行実績を取得する。ここで、ジョブを発行しようとするユーザは、ACT発行要求に含まれるユーザの識別情報に基づいて特定される。以上のように、本実施形態では、例えば、チケット発行サーバ(SA)102が、印刷ジョブ等のジョブを発行しようとするユーザ(ジョブの発行元となるユーザ)の識別情報(ユーザID)を付加したACT発行要求を取得することにより、取得手段が実現される。
【0054】
次に、チケット発行サーバ(SA)102は、ユーザ情報サーバ(AD)101から取得した機能制限情報(ACL)107と、実績集計サーバ(JSS)106から取得したジョブの実行実績とに基づいて、ユーザに許可すべきジョブの設定の内容を決定する。チケット発行サーバ(SA)102は、決定したジョブの設定の内容を反映したACT105を生成し、チケット発行サーバ(SA)102が発行したことを証明するための電子署名を行う。そして、チケット発行サーバ(SA)102は、電子署名を行ったACT105をプリンタドライバ(Drv103)に返送する。以上のように本実施形態では、例えば、チケット発行サーバ(SA)102が、ユーザに許可すべきジョブの設定の内容を決定することにより、決定手段が実現される。
【0055】
次に、プリンタドライバ(Drv)103は、ジョブの発行先である多機能複写機(MFP)104にジョブを送る前に、チケット発行サーバ(SA)102から受信したACT105を、ヘッダの一部としてジョブに付加する。そして、プリンタドライバ(Drv)103は、ACT105を付加したジョブを多機能複写機(MFP)104に送付してジョブを実行させる。以上のように本実施形態では、例えば、プリンタドライバ(Drv)103を用いることにより、実行手段が実現される。
【0056】
図5は、ジョブの構成の一例を示す図である。
図5において、ジョブ600は、ジョブ600を発行したユーザが誰であるかを示す認証情報601と、アクセスコントロールトークン(ACT)602と、多機能複写機(MFP)104に依頼する作業内容を示すボディ部603とを含んで構成される。図5に示す例では、ボディ部603に含まれるPDLデータを印刷することを依頼している。ここで、図5に示すアクセスコントロールトークン602は、図1においてプリンタドライバ(Drv)103がチケット発行サーバ(SA)102から受領したACT105に相当する。
【0057】
このようなジョブ600を受信した多機能複写機(MFP)104は、受信したジョブ600のアクセスコントロールトークン602に記載されている使用可能な機能の一覧と、ボディ部603に記載されている依頼内容とを比較する。そして、多機能複写機(MFP)104は、依頼内容が使用可能な機能に含まれていればその依頼内容を実行する。一方、依頼内容が使用可能な機能に含まれていない場合には、そのジョブ600をキャンセルする。
【0058】
図6は、ACT105の内容の一例を示す図である。
図6において、記述701は、アクセスコントロールトークン602を取得したユーザに関する情報が記述されている部分である。図6に示す例では、ユーザの名前はTaroであり、「PowerUser」というロール(Role)が割り当てられており、メールアドレスは「taro@xxx.yyy」であることが記述されている。
【0059】
記述702は、アクセスコントロールトークン602を取得したユーザが、多機能複写機(MFP)104において使用可能な機能が記述されている部分である。図6に示す例では、「PDL Print」と呼ばれる、クライアントPCからの印刷機能が使用可能であることが示されている。また、印刷時に制限される機能に関する情報として、カラー印刷は許可されているが、片面印刷(Simplex)は許可されていないことが記述されている。
【0060】
記述703は、アクセスコントロールトークン602を取得したユーザが、多機能複写機(MFP)104において使用可能な印刷枚数の上限値が記述されている部分である。図6に示す例では、カラー印刷の上限枚数がシステム全体で1000枚であり、白黒印刷の上限枚数がシステム全体で1000枚であることが記述されている。
【0061】
図7は、ACL107の内容の一例を示す図である。
図7に示すように、ACL107は、複数のACL107a〜107nで構成される。ACL107はVLAN単位で割り当てられている。つまり、本実施形態では、1つのVLANに対して1つのACL107が適用される。言い換えると、ネットワーク201に対して設定されたVLANの数と同数のACL107が存在することになる。
ACL107では、そのACL107に割り当てられたVLANに所属するユーザ毎に、多機能複写機(MFP)104が有する各機能の制限に関する機能制限情報が管理されている。図7では、ネットワーク201に接続されたデバイス214〜216、224〜226が有する機能を実行するか否かを示す情報として、例えば、「Copy」、「Send」、「Fax」、「カラー」印刷を実行するか否かが「○、×」で示されている。また、図7では、ネットワーク201に接続されたデバイス214〜216、224〜226が有する機能をどの程度実行するのかを示す情報として、例えば、両面印刷のみを実行することと、片面印刷を実行することとが設定されている。
【0062】
次に、図8のフローチャートを参照しながら、システム管理者ユーティリティ(AU)100がACL107を設定する処理の一例を説明する。尚、ここでは、図2に示したサーバPC202上で動作するシステム管理者ユーティリティ(AU)100が、ディレクトリサーバ203上で動作するユーザ情報サーバ(AD)101内に保持されているACL107を設定するものとする。
【0063】
まず、ステップS101において、システム管理者ユーティリティ(AU)100は、認証VLANサーバ204から、ネットワーク201に対して設定されているVLANに関するVLAN情報を取得する。そして、システム管理者ユーティリティ(AU)100は、ネットワーク201内で管理されているVLANのリストを作成する。
【0064】
次に、ステップS102において、システム管理者ユーティリティ(AU)100は、ディレクトリサーバ203上で動作しているユーザ情報サーバ(AD)101から、ネットワーク201で管理されているユーザのリスト(ユーザ情報110)を取得する。そして、システム管理者ユーティリティ(AU)100は、ネットワーク201で管理されているユーザのリストを作成する。以上のように本実施形態では、例えば、システム管理者ユーティリティ(AU)100がステップS102の処理を行うことにより作成するリストにより、アクセスが可能なユーザのリストが実現される。そして、このステップS102の処理を行うことにより作成手段が実現される。
【0065】
次に、ステップS103において、システム管理者ユーティリティ(AU)100は、ステップS101で作成したVLANのリストから、未処理のVLANのデータを取り出す。更に、システム管理者ユーティリティ(AU)100は、ユーザ情報サーバ(AD)101で保持されているACL107から、未処理のVLAN用のACL107を取り出。そして、システム管理者ユーティリティ(AU)100は、取り出した未処理のVLAN用のACL107をユーザインタフェースに表示する。
次に、ステップS104において、システム管理者ユーティリティ(AU)100は、ステップS102で作成したユーザのリストから、未処理のユーザのデータを取り出す。
【0066】
次に、ステップS105において、システム管理者ユーティリティ(AU)100は、ステップS104で取り出した未処理のユーザが、ステップS103で取り出した未処理のVLANに所属しているか否かを、認証VLANサーバ204に問い合わせる。そして、システム管理者ユーティリティ(AU)100は、問い合わせの結果に基づいて、ステップS104で取り出した未処理のユーザが、ステップS103で取り出した未処理のVLANに所属しているか否かを判定する。この判定の結果、ステップS104で取り出した未処理のユーザが、ステップS103で取り出した未処理のVLANに所属している場合にはステップS106を実行する。一方、ステップS104で取り出した未処理のユーザが、ステップS103で取り出した未処理のVLANに所属していない場合にはステップS107を実行する。以上のように本実施形態では、例えば、ステップS105の処理を行うことにより、判別手段が実現される。
【0067】
ステップS106では、システム管理者ユーティリティ(AU)100は、ステップS103で表示した未処理のVLAN用のACL107の表示領域内で、その未処理のVLANに所属していると判定したユーザのエントリ(行)を入力可能とする。
一方、ステップS107では、システム管理者ユーティリティ(AU)100は、ステップS103で表示した未処理のVLAN用のACL107の表示領域内で、その未処理のVLANに所属していると判定したユーザのエントリ(行)を入力不可能とする。
【0068】
次に、ステップS108において、システム管理者ユーティリティ(AU)100は、ステップS102で作成したユーザのリストにおいて、ステップS104で取り出した未処理のユーザを処理済とする。そして、システム管理者ユーティリティ(AU)100は、ステップS102で作成したユーザのリスト内の全ユーザが処理済となったかを否かを判定する。この判定の結果、全ユーザが処理済の場合にはステップS109を実行する。一方、全ユーザが処理済でない場合には全ユーザが処理済になるまでステップS104〜S108を繰り返し行う。
【0069】
次に、ステップS109において、システム管理者ユーティリティ(AU)100は、ステップS103で表示した未処理のVLAN用のACL107に対するシステム管理者の操作に基づいて、その未処理のVLANに所属するユーザに対する制限を設定する。尚、システム管理者は、システム管理者ユーティリティ(AU)100に設けられたユーザインタフェースを用いて、未処理のVLAN用のACL107に対する操作を行う。また、ユーザに対する制限とは、前述したように、ユーザに対して制限を行う機能の項目や上限値等である。以上のように本実施形態では、例えば、ステップS109の処理を行うことにより、設定手段が実現される。
【0070】
次に、ステップS110において、システム管理者ユーティリティ(AU)100は、ステップS101で作成したVLANのリストにおいて、ステップS103で取り出した未処理のVLANを処理済とする。そして、システム管理者ユーティリティ(AU)100は、ステップS101で作成したVLANのリスト内の全VLANが処理済となったか否かを判定する。この判定の結果、全VLANが処理済となった場合には、本処理シーケンスを終了する。一方、全VLANが処理済となっていない場合には、全VLANが処理済となるまでステップS103〜S110を繰り返し行う。
【0071】
以上のように本実施形態では、認証VLANで運用することにより、ネットワーク201を複数のVLAN206、207にグループ分けする。そして、グループ分けしたVLAN206、207単位で、そのVLAN206、207にアクセス可能なユーザが使用可能な機能の制限に関する情報(ACL107)を設定するようにした。これにより、VLAN206、207にアクセス可能なユーザについて、デバイス214〜216、224〜226(MFP104)の機能の制限に関する設定を行えばよいことになる。
また、VLAN206、207単位でACL107を設定したので、機能の制限の適用対象が、ネットワーク201に追加されても、適用対象がVLAN206、207に所属していれば、ACL107を設定し直す必要がなくなる。
以上のことから、本実施形態では、デバイス数及びユーザ数が膨大な大規模のネットワーク環境においても、ネットワーク201の管理者が機能の制限を設定する際に発生するコストを大幅に削減することが可能となる。
【0072】
また、MFP104等のデバイス214〜216、224〜226は、ジョブ600のアクセスコントロールトークン602に記載されている使用可能な機能の一覧と、ボディ部603に記載されている依頼内容とを比較する。そして、依頼内容が使用可能な機能に含まれていればその依頼内容を実行し、含まれていなければジョブ600をキャンセルする。このように、MFP104等の機能が使用される際に、その機能の使用を要求するユーザに対する機能制限情報(アクセスコントロールトークン602)を取得し、取得した機能制限情報から、ユーザが使用可能な機能を確定するようにした。従って、機能の制限を適切に行うことができる。
【0073】
さらに、MFP104等が有する機能の実行項目を制限することに加えて、印刷上限枚数等の機能の実行上限値を設定するようにしたので、より一層適切にMFP104等の機能を制限することができる。
【0074】
尚、本実施形態では、ネットワーク201が、イーサネット(登録商標)等のLANである場合を例に挙げて説明したが、ネットワーク201は必ずしもLANである必要はない。例えば、ユーザが他の建物や他県に居る場合等、離れた場所に居るユーザを、本実施形態のネットワークシステムに参加させる場合には、ネットワーク201を、WANやインターネット等で構成してもよい。尚、WANは、広域イーサネット(登録商標)や、ISDN電話線等の高速度デジタルラインでいくつかのLANを接続して形成された集合体である。これらの接続は、数本のバスによる単純な電気的接続で実現できる。
【0075】
また、本実施形態では、機能の制限の適用対象をMFP104等のハードウェアとしたが、機能の制限の適用対象は必ずしもハードウェアでなくてもよい。即ち、ネットワーク201に接続されたデバイスの有する機能を制限するためのものであれば、機能の制限の適用対象をプリントドライバ103等のソフトウェアとしてもよい。
【0076】
また、本実施形態では、ネットワーク201が、認証VLANの環境下で運用される場合を例に挙げて説明した。前述したように、ネットワーク201が、認証VLANの環境下で運用される場合は、ユーザがアクセス可能な範囲を、認証VLANサーバ204で管理し、認証VLAN毎にACL107を割り当てて管理するようにすることができる。しかしながら、必ずしもネットワーク201が、認証VLANの環境下で運用されるようにする必要はない。
【0077】
例えば、ネットワーク201が、通常のVLAN又はサブネットグループの環境下で運用されるようにしてもよい。このようにした場合には、通常のVLAN毎又はサブネット毎にACLを生成することにより、本実施形態と同様にして機能を制限することができる。ただし、通常のVLAN又はサブネットでは、ユーザ毎ではなく、クライアントPC毎にネットワーク201のアクセス可能な範囲を設定する必要がある。よって、どのクライアントPCをどのユーザが利用するか、対応テーブルを設定しておく必要がある。
【0078】
尚、前記において、サブネットとは論理的なネットワークであり、例えば、IP v4の仕様においては、各ネットワークアドレスがどのサブネットに属するのかを、サブネットマスクにより規定することが可能となっている。このように、ネットワーク201がサブネットグループの環境下で運用されるようにする場合には、例えば、ユーザがアクセス可能な範囲を、IPアドレス管理サーバ205で管理するようにすればよい。
【0079】
また、本実施形態では、デバイス211〜213、221〜223(MFP104)が、ジョブ600を実行することが可能であるか否かを判断するようにしたが、必ずしもこのようにする必要はない。例えば、プリンタドライバ(Drv)103が、ジョブを生成する際に、そのジョブがデバイスで実行可能であるのか否かを判断するようにしてもよい。
【0080】
また、本実施形態では、プリンタドライバ(Drv)103が、チケット発行サーバ(SA)102からACT105を取得し、取得したACT105を有するアクセスコントロールトークン(ACT)602をジョブ600に含ませるようにした。しかしながら、必ずしもこのようにする必要はない。例えば、アクセスコントロールトークン(ACT)602に相当する情報を、デバイス211〜213、221〜223(MFP104)が取得するようにしてもよい。
【0081】
具体的に説明すると、例えば、プリンタドライバ(Drv)103は、認証情報601と、ボディ部603とを含むジョブ(アクセスコントロールトークン602を含まないジョブ)をデバイス211〜213、221〜223(MFP104)に発行する。デバイス211〜213、221〜223(MFP104)は、チケット発行サーバ(SA)102からACT105を取得すると共に、プリンタドライバ(Drv)103からジョブを取得する。そして、デバイス211〜213、221〜223(MFP104)は、ACT105に記載されている使用可能な機能の一覧と、ボディ部603に記載されている依頼内容とを比較し、比較した結果に応じて取得したジョブを実行するか否かを判断する。
【0082】
また、本実施形態のように、VLAN毎にACL107を生成するようにすれば、ACL107の管理が容易になり好ましいが、必ずしもこのようにする必要はない。例えば、図7に示すテーブルにおいて、各ユーザが、どのVLANに属するのかを示す項目を追加して管理することにより、VLAN毎にACL107を生成する必要がなくなる。
【0083】
(第2の実施形態)
次に、本発明の第2の実施形態について説明する。前述した第1の実施形態を運用した場合、ユーザ情報サーバ(AD)101に登録されるユーザが追加されると、その度に機能制限情報(ACL)107を設定する必要がある。これに対し、本実施形態では、ユーザ情報サーバ(AD)が、ユーザグループを設定しておくことが可能であるようにしている。このようにすることによって、ユーザ情報サーバ(AD)に登録されるユーザが追加されたとしても、そのユーザが所属しているユーザグループに対する機能制限情報(ACL)を適用することができる。このため、追加されるユーザに対する機能制限情報(ACL)の設定が不要となる。このように、本実施形態と前述した第1の実施形態とは、ユーザ情報サーバ(AD)におけるユーザの管理方法の一部と機能制限情報の一部とが主として異なる。したがって、本実施形態の説明において、前述した第1の実施形態と同一の部分については、図1〜図8に付した符号と同一の符号を付すこと等によって詳細な説明を省略する。
【0084】
図9は、本実施形態におけるネットワークシステムの論理構成の一例を示した図である。尚、図1は、UML(Universal Modeling Language)の記法を用いて記述されたクラス図である。尚、本実施形態では、ネットワークシステムは、ネットワーク201に接続されたデバイスと、サーバPCと、クライアントPCとを備えたシステムである。また、このネットワークシステムは、デバイスを利用するユーザとユーザグループとに対し、アクセス制限と、印刷枚数等のジョブ実行制限とを行う印刷管理システムである。尚、ここでのユーザグループとは、一つ以上のユーザIDを含んだグループを指す。
【0085】
システム管理者ユーティリティ(AU)114は、例えば、図2に示すサーバPC(アプリケーションサーバ)202上で動作し、ネットワークシステムの設定や管理を行うためのものである。例えば、システム管理者ユーティリティ(AU)114は、ユーザ情報サーバ(AD)113に保持される機能制限情報の設定を行うことができる。
【0086】
ユーザ情報サーバ(AD)113は、ユーザID及びパスワードといったユーザ情報110を保持している。また、ユーザ情報サーバ(AD)113は、どのユーザがどのユーザグループに所属しているかといったユーザグループ情報111を保持している。更に、また、ユーザ情報サーバ(AD)113は、ネットワークシステムにおいて、デバイスのどの機能の使用が許可されているかをユーザグループ毎に示す機能制限情報(ACL)112を保持している。ユーザ情報サーバ(AD)113は、例えば、図2に示すディレクトリサーバ203上で動作する。より具体的に説明すると、ユーザ情報サーバ(AD)101は、例えば、LDAPサーバ又はアクティブディレクトリ(Active Directory)サーバ等を用いて実現される。尚、機能制限情報(ACL)112の詳細に関しては、後述する。
【0087】
チケット発行サーバ(SA)102は、ユーザ情報サーバ113に格納されている各ユーザグループの機能制限情報112と、実績集計サーバ(JSS)106に蓄積されているユーザグループのジョブ実行の実績値とに基づいて、チケット105を発行する。第1の実施形態で説明したように、このチケット105は、ACTと呼ばれ、このACT105には、使用可能な機能についての情報が記述されている。より具体的に説明すると、ACT105には、ユーザに対するジョブを実行するデバイスの機能を制限する項目である機能制限項目が記述されている。更に、ACT105には、印刷上限枚数等、デバイスで実行される機能の上限値に関わる情報が記述されている。以上のような情報が含まれるACT105は、ネットワークシステム上で利用することが可能なユーザに対するアクセス制限情報を、サーバからデバイスへ伝達する役割を持つデータである。
【0088】
プリンタドライバ(Drv)103は、例えば、図2に示すクライアントPC211〜213、221〜223上で動作するものである。本実施形態でも、第1の実施形態と同様に、ユーザは、クライアントPC211〜213、221〜223を使用する際には、どのユーザがそのクライアントPCを使用しているのかを明らかにするために、ログインすることが必要であるものとする。
【0089】
多機能複写機(MFP)104は、紙原稿を複写(Copy)する機能のみならず、外部のプリンタドライバ(Drv)103から送信された印刷データを印刷(Print)する機能を有する。更に、多機能複写機(MFP)104は、紙原稿を読み込んで、その紙原稿の画像データを外部のファイルサーバ又はメールアドレス宛に送信する機能(所謂Send機能)を持つ。
【0090】
ACT105には、前述したように、多機能複写機(MFP)104においてユーザが実行可能な機能、或いは印刷可能上限枚数についての情報等が記述されている。
実績収集サーバ(JSS)106は、例えば、後述する実績収集クライアント109が通知するユーザグループ毎のジョブ実行(例えば印刷枚数)の実績を、複数のデバイス(ここではMFP104)にまたがって集計する。また、実績収集サーバ(JSS)106は、ネットワークシステム全体における各ユーザグループのジョブの発光状況であるユーザジョブ発行状況108を保持している。図9に示す例では、プリンタドライバ(Drv)103が多機能複写機(MFP)104からジョブの実行実績を取得する。そして、実績収集サーバ(JSS)106は、そのジョブの実行実績を、実績収集クライアント109を介して収集する。
【0091】
ユーザジョブ発行状況108は、それぞれのユーザについて、ACT105が発行されてから、そのACT105を使った印刷ジョブが完了したかどうかを示す情報である。ユーザジョブ発行状況108は、ユーザID毎、もしくはそのユーザIDにより特定されるユーザが所属するユーザグループ毎に集計されている。ユーザジョブ発行状況108は、実績収集サーバ(JSS)106が管理するデータとして、実績収集サーバ(JSS)106の内部に保存される。
【0092】
実績収集クライアント(JSS Client)109は、多機能複写機(MFP)104一台毎に設けられ、多機能複写機(MFP)104上で動作する。実績収集クライアント(JSS Client)109は、自身が属している多機能複写機(MFP)104における各ユーザのジョブの実行実績を、実績収集サーバ(JSS)106に通知する。ジョブ実行実績としては、印刷枚数実績等が挙げられる。このように、ネットワークシステムにおける各ユーザ及びユーザグループ毎のジョブ実行実績は、実績収集クライアント(JSS Client)109により保持される。尚、複数の多機能複写機(MFP)104におけるジョブの実行実績を実績収集クライアント(JSS Client)109が集計するようにしてもよい。
【0093】
次に、ネットワークシステムにおけるシーケンスの一例を説明する。
まず、システム管理者ユーティリティ(AU)114が、ユーザ情報サーバ(AD)113に対し、ユーザグループ毎の機能制限情報(ACL)112を設定する。これにより、ユーザ情報サーバ(AD)113内に機能制限情報(ACL)112が保存される。
次に、プリンタドライバ(Drv)103は、チケット発行サーバ(SA)102に対して、ジョブを発行しようとするユーザの識別情報(ユーザID)を付加したACT発行要求を送付する。
【0094】
次に、チケット発行サーバ(SA)102は、ジョブを発行しようとするユーザが所属するユーザグループを特定する。そして、チケット発行サーバ(SA)102は、ユーザ情報サーバ(AD)113に格納されている機能制限情報(ACL)112のうち、ジョブを発行しようとするユーザが所属するユーザグループに対応する機能制限情報(ACL)112を取得する。更に、チケット発行サーバ(SA)102は、実績集計サーバ(JSS)106から、ACT送付要求をしているユーザが所属しているユーザグループに対応するジョブの実行実績を取得する。ここで、ジョブを発行しようとするユーザは、ACT発行要求に含まれるユーザの識別情報に基づいて特定される。
【0095】
次に、チケット発行サーバ(SA)102は、取得した機能制限情報(ACL)112と、ジョブの実行実績とに基づいて、ユーザに許可すべきジョブの設定の内容を決定する。チケット発行サーバ(SA)102は、決定したジョブの設定の内容を反映したACT105を生成し、チケット発行サーバ(SA)102が発行したことを証明するための電子署名を行う。そして、チケット発行サーバ(SA)102は、電子署名を行ったACT105をプリンタドライバ(Drv)103に送付する。
プリンタドライバ(Drv)103は、ジョブとACT105とをMFP104に送付して、ジョブを実行させる。
【0096】
次に、以上のようなシーケンスを実行するネットワークシステムの全体の動作概要の一例を説明する。
まず、システム管理者ユーティリティ(AU)114が、ユーザ情報サーバ(AD)113に対して、各ユーザグループの機能制限情報(ACL)112を設定する。プリンタドライバ(Drv)103は、多機能複写機(MFP)へ印刷ジョブを発行する際に、ユーザのIDを引数として、そのユーザが使用可能な機能を記述したACT105の発行を、チケット発行サーバ(SA)102に依頼する。
【0097】
チケット発行サーバ(SA)102は、そのユーザが所属するユーザグループを特定し、ユーザ情報サーバ(AD)113に格納されている機能制限情報(ACL)112に基づいて、そのユーザが使用可能な機能が記述されたACT105を発行する。すなわち、チケット発行サーバ(SA)102は、ユーザが使用可能な機能が記述されたACT105を、プリンタドライバ(Drv)103に返送する。プリンタドライバ(Drv)103は、多機能複写機(MFP)104にジョブを送るに際し、チケット発行サーバ(SA)102から受領したACT105をヘッダの一部としてジョブに付加する。そして、プリンタドライバ(Drv)103は、ACT105を付加したジョブを多機能複写機(MFP)104に送信してジョブを実行させる。ここで、図5に示したアクセスコントロールトークン602は、図9においてプリンタドライバ(Drv)103がチケット発行サーバ(SA)102から受領したACT105に相当する。
【0098】
ジョブを受信した多機能複写機(MFP)104は、受信したジョブのデータのアクセスコントロールトークン602に記載されている使用可能な機能の一覧と、ボディ部603に記載された依頼内容とを比較する。そして、多機能複写機(MFP)104は、依頼内容が使用可能な機能に含まれていればその依頼内容を実行する。一方、依頼内容が使用可能な機能に含まれていない場合には、そのジョブをキャンセルする。
【0099】
図10は、ACL112の内容の一例を示す図である。
図10に示すように、ACL112は、複数のACL112a〜112nで構成される。ACL112は、VLAN単位で割り当てられている。つまり、本実施形態では、1つのVLANに対して1つのACL112が適用される。また、各ACL112には、自身に割り当てられているVLANにアクセスすることが可能なユーザグループに関して、多機能複写機(MFP)104の各機能の機能制限情報が、ユーザグループ単位で設定されている。このACL112を用いることによって、多機能複写機(MFP)104の各機能の機能制限情報を、ユーザグループ単位で管理することが可能となっている。
【0100】
次に、図11のフローチャートを参照しながら、システム管理者ユーティリティ(AU)114が、機能制限情報(ACL)112を設定する処理の一例を説明する。尚、ここでは、図2に示したサーバPC202上で動作するシステム管理者ユーティリティ(AU)114が、ディレクトリサーバ203上で動作するユーザ情報サーバ(AD)101内に保持されているACL112を設定するものとする。
まず、ステップS131において、システム管理者ユーティリティ(AU)114は、認証VLANサーバ204から、ネットワーク201に対して設定されているVLANに関するVLAN情報を取得する。そして、システム管理者ユーティリティ(AU)114は、ネットワーク201内で管理されるVLANのリストを作成する。
【0101】
次に、ステップS132において、システム管理者ユーティリティ(AU)114は、ディレクトリサーバ203から、ネットワーク201で管理されるユーザのリストを取得する。そして、システム管理者ユーティリティ(AU)114は、ネットワーク201で管理されるユーザのリストを作成する。
次に、ステップステップS133において、システム管理者ユーティリティ(AU)114は、ステップS131で作成したVLANのリストから、未処理のVLANのデータを取り出す。更に、システム管理者ユーティリティ(AU)114は、ユーザ情報サーバ(AD)101で保持されているACL112から、未処理のVLAN用のACL112を取り出す。そして、システム管理者ユーティリティ(AU)114は、取り出した未処理のVLAN用のACL112をユーザインタフェースに表示する。
【0102】
次に、ステップS134において、システム管理者ユーティリティ(AU)114は、ステップS132で作成したユーザのリストから、未処理のユーザのデータを取り出す。
次に、ステップS135において、システム管理者ユーティリティ(AU)114は、ステップS134で取り出した未処理のユーザが、ステップS133で取り出した未処理のVLANに所属するか否かを、認証VLANサーバ204に問い合わせる。そして、システム管理者ユーティリティ(AU)114は、問い合わせの結果に基づいて、ステップS134で取り出した未処理のユーザが、ステップS133で取り出した未処理のVLANに所属しているか否かを判定する。この判定の結果、ステップS134で取り出した未処理のユーザが、ステップS133で取り出した未処理のVLANに所属している場合にはステップS136を実行する。一方、ステップS134で取り出した未処理のユーザが、ステップS133で取り出した未処理のVLANに所属していない場合にはステップS138を実行する。
【0103】
すなわち、未処理のユーザが未処理のVLANに所属している場合には、ステップS136に進む。そして、ステップS136において、システム管理者ユーティリティ(AU)114は、ステップS134で取り出した未処理のユーザが所属しているユーザグループをディレクトリサーバ203から検索する。
次に、ステップS137において、システム管理者ユーティリティ(AU)114は、ステップS113で表示した未処理のVLAN用のACL112の表示領域内で、ステップS136で検索したユーザグループのエントリ(行)を入力可能とする。そして、ステップS140に進む。
【0104】
一方、未処理のユーザが未処理のVLANに所属していない場合には、ステップS138に進む。そして、ステップS138において、システム管理者ユーティリティ(AU)114は、ステップS134で取り出した未処理のユーザが所属しているユーザグループをディレクトリサーバ203から検索する。
次に、ステップS139において、システム管理者ユーティリティ(AU)114は、ステップS113で表示した未処理のVLAN用のACL112の表示領域内で、ステップS136で検索したユーザグループのエントリ(行)を入力不可能とする。例えば、システム管理者ユーティリティ(AU)114は、ステップS136で検索したユーザグループのエントリ(行)をグレーアウトにすることによって、そのユーザグループのエントリ(行)を入力不可能とする。そして、ステップS140に進む。
【0105】
ステップS140に進むと、システム管理者ユーティリティ(AU)114は、ステップS132で作成したユーザのリストにおいて、ステップS134で取り出した未処理のユーザを処理済とする。そして、システム管理者ユーティリティ(AU)114は、ステップS132で作成したユーザのリスト内の全ユーザが処理済となったかを否かを判定する。この判定の結果、全ユーザが処理済の場合にはステップS141を実行する。一方、全ユーザが処理済でない場合には全ユーザが処理済になるまでステップS133〜S140を繰り返し行う。
【0106】
ステップS141において、システム管理者ユーティリティ(AU)114は、ステップS133で表示した未処理のVLAN用のACL112に対するシステム管理者の操作に基づいて、その未処理のVLANに所属するユーザグループに対する制限を設定する。尚、システム管理者は、システム管理者ユーティリティ(AU)114に設けられたユーザインタフェースを用いて、未処理のVLAN用のACL112に対する操作を行う。
次に、ステップS142において、システム管理者ユーティリティ(AU)114は、ステップS131で作成したVLANのリストにおいて、ステップS133で取り出した未処理のVLANを処理済とする。そして、システム管理者ユーティリティ(AU)114は、ステップS131で作成したVLANのリスト内の全VLANが処理済となったか否かを判定する。この判定の結果、全VLANが処理済となった場合には、本処理シーケンスを終了する。一方、全VLANが処理済となっていない場合には、全VLANが処理済となるまでステップS133〜S142を繰り返し行う。
【0107】
以上のように本実施形態では、少なくとも1つのユーザIDを含むグループであるユーザグループを設定するようにした。したがって、第1の実施形態で説明した効果に加え、ユーザ情報サーバ(AD)114に登録されるユーザが追加されたとしても、そのユーザが所属しているユーザグループに対する機能制限情報(ACL)112を適用することができるという効果を奏する。このため、追加されるユーザに対する機能制限情報(ACL)112の設定が不要となる。
尚、第1及び第2の実施形態において、複数の装置で行われている処理を1つの装置で行うようにしてもよい。
【0108】
(本発明の他の実施形態)
前述した本発明の実施形態におけるネットワークシステムを構成する各手段、並びにデバイス機能制限方法の各ステップは、コンピュータのRAMやROMなどに記憶されたプログラムが動作することによって実現できる。このプログラム及び前記プログラムを記録したコンピュータ読み取り可能な記録媒体は本発明に含まれる。
【0109】
また、本発明は、例えば、システム、装置、方法、プログラム若しくは記憶媒体等としての実施形態も可能であり、具体的には、複数の機器から構成されるシステムに適用してもよいし、また、一つの機器からなる装置に適用してもよい。
【0110】
なお、本発明は、前述した実施形態の機能を実現するソフトウェアのプログラム(実施形態では、例えば図8、11に示すフローチャートに対応したプログラム)を、システムあるいは装置に直接、あるいは遠隔から供給する。そして、そのシステムあるいは装置のコンピュータが前記供給されたプログラムコードを読み出して実行することによっても達成される場合を含む。
【0111】
したがって、本発明の機能処理をコンピュータで実現するために、前記コンピュータにインストールされるプログラムコード自体も本発明を実現するものである。つまり、本発明は、本発明の機能処理を実現するためのコンピュータプログラム自体も含まれる。
【0112】
その場合、プログラムの機能を有していれば、オブジェクトコード、インタプリタにより実行されるプログラム、OSに供給するスクリプトデータ等の形態であってもよい。
【0113】
プログラムを供給するための記録媒体としては、例えば、フロッピー(登録商標)ディスク、ハードディスク、光ディスク、光磁気ディスク、MO、CD−ROM、CD−R、CD−RWなどがある。また、磁気テープ、不揮発性のメモリカード、ROM、DVD(DVD−ROM,DVD−R)などもある。
【0114】
その他、プログラムの供給方法としては、クライアントコンピュータのブラウザを用いてインターネットのホームページに接続する。そして、前記ホームページから本発明のコンピュータプログラムそのもの、若しくは圧縮され自動インストール機能を含むファイルをハードディスク等の記録媒体にダウンロードすることによっても供給できる。
【0115】
また、本発明のプログラムを構成するプログラムコードを複数のファイルに分割し、それぞれのファイルを異なるホームページからダウンロードすることによっても実現可能である。つまり、本発明の機能処理をコンピュータで実現するためのプログラムファイルを複数のユーザに対してダウンロードさせるWWWサーバも、本発明に含まれるものである。
【0116】
また、本発明のプログラムを暗号化してCD−ROM等の記憶媒体に格納してユーザに配布し、所定の条件をクリアしたユーザに対し、インターネットを介してホームページから暗号化を解く鍵情報をダウンロードさせる。そして、ダウンロードした鍵情報を使用することにより暗号化されたプログラムを実行してコンピュータにインストールさせて実現することも可能である。
【0117】
また、コンピュータが、読み出したプログラムを実行することによって、前述した実施形態の機能が実現される。その他、そのプログラムの指示に基づき、コンピュータ上で稼動しているOSなどが、実際の処理の一部又は全部を行い、その処理によっても前述した実施形態の機能が実現され得る。
【0118】
さらに、記録媒体から読み出されたプログラムが、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書き込まれる。その後、そのプログラムの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPUなどが実際の処理の一部又は全部を行い、その処理によっても前述した実施形態の機能が実現される。
【0119】
なお、前述した各実施形態は、何れも本発明を実施するにあたっての具体化の例を示したものに過ぎず、これらによって本発明の技術的範囲が限定的に解釈されてはならないものである。すなわち、本発明はその技術思想、又はその主要な特徴から逸脱することなく、様々な形で実施することができる。
【図面の簡単な説明】
【0120】
【図1】本発明の第1の実施形態を示し、ネットワークシステムの論理構成の一例を示した図である。
【図2】本発明の第1の実施形態を示し、図1に示すネットワークシステム内の各機能要素を実現するための構成の一例を示した図である。
【図3】本発明の第1の実施形態を示し、サーバPC及び各クライアントにおけるハードウェアの構成の一例を示すブロック図である。
【図4】本発明の第1の実施形態を示し、多機能複写機(MFP)におけるハードウェアの構成の一例を示すブロック図である。
【図5】本発明の第1の実施形態を示し、ジョブの構成の一例を示す図である。
【図6】本発明の第1の実施形態を示し、ACTの内容の一例を示す図である。
【図7】本発明の第1の実施形態を示し、ACLの内容の一例を示す図である。
【図8】本発明の第1の実施形態を示し、システム管理者ユーティリティ(AU)がACLを設定する処理の一例を説明するフローチャートである。
【図9】本発明の第2の実施形態を示し、ネットワークシステムの論理構成の一例を示した図である。
【図10】本発明の第2の実施形態を示し、ACLの内容の一例を示す図である。
【図11】本発明の第2の実施形態を示し、システム管理者ユーティリティ(AU)がACLを設定する処理の一例を説明するフローチャートである。
【図12】従来の技術を示し、システム内に1つだけ設けられたACLの内容を示す図である。
【図13】従来の技術を示し、デバイス毎に複数用意設けられたACLの内容を示す図である。
【符号の説明】
【0121】
100、114 システム管理者ユーティリティ(AU)
101、113 ユーザ情報サーバ(AD)
102 チケット発行サーバ(SA)
103 プリンタドライバ(Drv)
104 多機能複写機(MFP)
105 ACT
106 実績集計サーバ(JSS)
107、112 機能制限情報(ACL)
108 ユーザジョブ発行状況
109 実績収集クライアント(JSS Client)
110 ユーザ情報
201 ネットワーク
202 サーバPC
203 ディレクトリサーバ
204 認証VLANサーバ
205 IPアドレス管理サーバ
206、207 VLAN
208、209 認証VLANスイッチ
211〜213、221〜223 クライアントPC
214〜216、224〜226 デバイス
【特許請求の範囲】
【請求項1】
ネットワークに接続されたデバイスが有する機能を制限するための機能制限情報を設定する設定手段と、
前記ネットワークにおける複数のグループのそれぞれについて、アクセスが可能なユーザを判別する判別手段とを有し、
前記設定手段は、前記判別手段によりアクセスが可能であると判別されたユーザについて、前記機能制限情報を設定することを特徴とするネットワークシステム。
【請求項2】
前記複数のグループのそれぞれについて、アクセスが可能なユーザのリストを作成する作成手段を有し、
前記判別手段は、前記作成手段により作成されたリストを用いて、前記複数のグループのそれぞれについて、アクセスが可能なユーザを判別することを特徴とする請求項1に記載のネットワークシステム。
【請求項3】
前記ネットワークに接続されたデバイスへのジョブの発行元となるユーザに関する情報を取得する取得手段と、
前記取得手段により取得された情報により特定されるユーザに関する前記機能制限情報を用いて、前記ジョブの発行先となるデバイスで実行することが可能な機能の内容を決定する決定手段と、
前記決定手段により決定された内容に従って、前記ジョブを実行する実行手段とを有することを特徴とする請求項1又は2に記載のネットワークシステム。
【請求項4】
前記ネットワークにおける複数のグループを登録する登録手段を有し、
前記判別手段は、前記登録手段により登録された複数のグループのそれぞれについて、アクセスが可能なユーザを判別することを特徴とする請求項1〜3の何れか1項に記載のネットワークシステム。
【請求項5】
前記機能制限情報は、前記ネットワークに接続されたデバイスが有する機能を実行するか否かを示す情報と、前記ネットワークに接続されたデバイスが有する機能をどの程度実行するのかを示す情報とのうち、少なくとも何れか一方の情報を含むことを特徴とする請求項1〜4の何れか1項に記載のネットワークシステム。
【請求項6】
前記設定手段は、前記ネットワークにおける複数のグループ毎に、そのグループにアクセス可能なユーザについて、前記機能制限情報を設定することを特徴とする請求項1〜5の何れか1項に記載のネットワークシステム。
【請求項7】
前記ネットワークにおける複数のグループは、認証VLANによって構成されたグループであることを特徴とする請求項1〜6の何れか1項に記載のネットワークシステム。
【請求項8】
ネットワークに接続されたデバイスが有する機能を制限するための機能制限情報を設定する設定ステップと、
前記ネットワークにおける複数のグループのそれぞれについて、アクセスが可能なユーザを判別する判別ステップとを有し、
前記設定ステップは、前記判別ステップによりアクセスが可能であると判別されたユーザについて、前記機能制限情報を設定することを特徴とするデバイス機能制限方法。
【請求項9】
前記複数のグループのそれぞれについて、アクセスが可能なユーザのリストを作成する作成ステップを有し、
前記判別ステップは、前記作成ステップにより作成されたリストを用いて、前記複数のグループのそれぞれについて、アクセスが可能なユーザを判別することを特徴とする請求項8に記載のデバイス機能制限方法。
【請求項10】
前記ネットワークに接続されたデバイスへのジョブの発行元となるユーザに関する情報を取得する取得ステップと、
前記取得ステップにより取得された情報により特定されるユーザに関する前記機能制限情報を用いて、前記ジョブの発行先となるデバイスで実行することが可能な機能の内容を決定する決定ステップと、
前記決定ステップにより決定された内容に従って、前記ジョブを実行する実行ステップとを有することを特徴とする請求項8又は9に記載のデバイス機能制限方法。
【請求項11】
前記ネットワークにおける複数のグループを登録する登録ステップを有し、
前記判別ステップは、前記登録ステップにより登録された複数のグループのそれぞれについて、アクセスが可能なユーザを判別することを特徴とする請求項8〜10の何れか1項に記載のデバイス機能制限方法。
【請求項12】
前記機能制限情報は、前記ネットワークに接続されたデバイスが有する機能を実行するか否かを示す情報と、前記ネットワークに接続されたデバイスが有する機能をどの程度実行するのかを示す情報とのうち、少なくとも何れか一方の情報を含むことを特徴とする請求項8〜11の何れか1項に記載のデバイス機能制限方法。
【請求項13】
前記設定ステップは、前記ネットワークにおける複数のグループ毎に、そのグループにアクセス可能なユーザについて、前記機能制限情報を設定することを特徴とする請求項8〜12の何れか1項に記載のデバイス機能制限方法。
【請求項14】
前記ネットワークにおける複数のグループは、認証VLANによって構成されたグループであることを特徴とする請求項8〜13の何れか1項に記載のデバイス機能制限方法。
【請求項15】
請求項8〜14の何れか1項に記載のデバイス機能制限方法の各ステップをコンピュータに実行させることを特徴とするコンピュータプログラム。
【請求項1】
ネットワークに接続されたデバイスが有する機能を制限するための機能制限情報を設定する設定手段と、
前記ネットワークにおける複数のグループのそれぞれについて、アクセスが可能なユーザを判別する判別手段とを有し、
前記設定手段は、前記判別手段によりアクセスが可能であると判別されたユーザについて、前記機能制限情報を設定することを特徴とするネットワークシステム。
【請求項2】
前記複数のグループのそれぞれについて、アクセスが可能なユーザのリストを作成する作成手段を有し、
前記判別手段は、前記作成手段により作成されたリストを用いて、前記複数のグループのそれぞれについて、アクセスが可能なユーザを判別することを特徴とする請求項1に記載のネットワークシステム。
【請求項3】
前記ネットワークに接続されたデバイスへのジョブの発行元となるユーザに関する情報を取得する取得手段と、
前記取得手段により取得された情報により特定されるユーザに関する前記機能制限情報を用いて、前記ジョブの発行先となるデバイスで実行することが可能な機能の内容を決定する決定手段と、
前記決定手段により決定された内容に従って、前記ジョブを実行する実行手段とを有することを特徴とする請求項1又は2に記載のネットワークシステム。
【請求項4】
前記ネットワークにおける複数のグループを登録する登録手段を有し、
前記判別手段は、前記登録手段により登録された複数のグループのそれぞれについて、アクセスが可能なユーザを判別することを特徴とする請求項1〜3の何れか1項に記載のネットワークシステム。
【請求項5】
前記機能制限情報は、前記ネットワークに接続されたデバイスが有する機能を実行するか否かを示す情報と、前記ネットワークに接続されたデバイスが有する機能をどの程度実行するのかを示す情報とのうち、少なくとも何れか一方の情報を含むことを特徴とする請求項1〜4の何れか1項に記載のネットワークシステム。
【請求項6】
前記設定手段は、前記ネットワークにおける複数のグループ毎に、そのグループにアクセス可能なユーザについて、前記機能制限情報を設定することを特徴とする請求項1〜5の何れか1項に記載のネットワークシステム。
【請求項7】
前記ネットワークにおける複数のグループは、認証VLANによって構成されたグループであることを特徴とする請求項1〜6の何れか1項に記載のネットワークシステム。
【請求項8】
ネットワークに接続されたデバイスが有する機能を制限するための機能制限情報を設定する設定ステップと、
前記ネットワークにおける複数のグループのそれぞれについて、アクセスが可能なユーザを判別する判別ステップとを有し、
前記設定ステップは、前記判別ステップによりアクセスが可能であると判別されたユーザについて、前記機能制限情報を設定することを特徴とするデバイス機能制限方法。
【請求項9】
前記複数のグループのそれぞれについて、アクセスが可能なユーザのリストを作成する作成ステップを有し、
前記判別ステップは、前記作成ステップにより作成されたリストを用いて、前記複数のグループのそれぞれについて、アクセスが可能なユーザを判別することを特徴とする請求項8に記載のデバイス機能制限方法。
【請求項10】
前記ネットワークに接続されたデバイスへのジョブの発行元となるユーザに関する情報を取得する取得ステップと、
前記取得ステップにより取得された情報により特定されるユーザに関する前記機能制限情報を用いて、前記ジョブの発行先となるデバイスで実行することが可能な機能の内容を決定する決定ステップと、
前記決定ステップにより決定された内容に従って、前記ジョブを実行する実行ステップとを有することを特徴とする請求項8又は9に記載のデバイス機能制限方法。
【請求項11】
前記ネットワークにおける複数のグループを登録する登録ステップを有し、
前記判別ステップは、前記登録ステップにより登録された複数のグループのそれぞれについて、アクセスが可能なユーザを判別することを特徴とする請求項8〜10の何れか1項に記載のデバイス機能制限方法。
【請求項12】
前記機能制限情報は、前記ネットワークに接続されたデバイスが有する機能を実行するか否かを示す情報と、前記ネットワークに接続されたデバイスが有する機能をどの程度実行するのかを示す情報とのうち、少なくとも何れか一方の情報を含むことを特徴とする請求項8〜11の何れか1項に記載のデバイス機能制限方法。
【請求項13】
前記設定ステップは、前記ネットワークにおける複数のグループ毎に、そのグループにアクセス可能なユーザについて、前記機能制限情報を設定することを特徴とする請求項8〜12の何れか1項に記載のデバイス機能制限方法。
【請求項14】
前記ネットワークにおける複数のグループは、認証VLANによって構成されたグループであることを特徴とする請求項8〜13の何れか1項に記載のデバイス機能制限方法。
【請求項15】
請求項8〜14の何れか1項に記載のデバイス機能制限方法の各ステップをコンピュータに実行させることを特徴とするコンピュータプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公開番号】特開2007−328764(P2007−328764A)
【公開日】平成19年12月20日(2007.12.20)
【国際特許分類】
【出願番号】特願2007−82390(P2007−82390)
【出願日】平成19年3月27日(2007.3.27)
【出願人】(000001007)キヤノン株式会社 (59,756)
【Fターム(参考)】
【公開日】平成19年12月20日(2007.12.20)
【国際特許分類】
【出願日】平成19年3月27日(2007.3.27)
【出願人】(000001007)キヤノン株式会社 (59,756)
【Fターム(参考)】
[ Back to top ]