【課題】ユーザが外部装置からログインする際にユーザＩＤを失念していても、一定の条件を満足していればその外部装置からのログインを許可する情報処理装置を提供する。
【解決手段】画像形成装置１０４は、ユーザがログインする際に認証情報を入力する認証情報入力部２１７と、認証情報入力部２１７から入力された認証情報をネットワークに接続された管理サーバ１０２に送信し、管理サーバ１０２による認証結果を受信するネットワークＩ／Ｆ２０６と、ネットワークに接続された外部装置である端末１００からのログインを許可するか否かを判定するログイン判定部２１１とを備え、ログイン判定部２１１は、管理サーバ１０２から受信した認証結果が認証成功であり、且つ、認証結果に端末１００の認証情報が含まれている場合には端末１００からのログインを許可する。

【発明の詳細な説明】
【技術分野】
【０００１】
本発明は、ネットワーク接続されている情報処理装置にログインするための認証技術に関する。
【背景技術】
【０００２】
近年、ログインのために認証が必要な情報処理装置として、例えば、磁気カードやＩＣカードによる接触型又は非接触型の認証を行うものが増えている。例えば、ＩＣカードでは、記憶媒体であるＩＣチップに個人情報が記録されており、ＩＣカードをカードリーダにかざすと、ＩＣチップに記憶されている個人情報が読み出されて認証が行われる。よって、ＩＣカード等を用いた認証を行うことで、認証の都度、ユーザＩＤやパスワードをキーボード等から入力する手間を省くことができる。
【０００３】
また、カード認証やユーザＩＤ及びパスワードの入力による認証をはじめとして、指紋認証や虹彩認証、静脈認証等の生体認証が認証手段として採用されてきており、これら複数の認証手段の幾つかを組み合わせて認証を行う情報処理装置も増えてきている。こうした状況に対応して、これらの情報処理装置に対するステータス情報の取得や各種設定をパーソナルコンピュータ等の端末（外部装置）からオンラインで受け付けるサービスをユーザへ提供するために、Ｗｅｂサイトを開設することが一般的になってきている。
【０００４】
ここで、ネットワークを介してアクセスしたユーザの利便性を損なわずに、セキュリティを一定に保つ技術が提案されている。例えば、ユーザがネットワークを介して端末からからログインする際に、ユーザＩＤ及びパスワードによる認証と共に、端末のＩＰアドレスを抽出し、ＩＰアドレスに関連付けられたサービスを提供する技術がある（例えば、特許文献１参照）。
【先行技術文献】
【特許文献】
【０００５】
【特許文献１】特開２００６−２７７７１５号公報
【発明の概要】
【発明が解決しようとする課題】
【０００６】
しかしながら、情報処理装置が備える認証手段を用いてログインし、情報処理装置の操作を直接行うケースもあるが、価格の安い情報処理装置等の場合、低コスト化のために操作部の操作性が一部損なわれるものがある。この場合、情報処理装置の操作部を使用してログインするよりも、端末からリモートで情報処理装置にログインした方の利便性が高い。また、情報処理装置によっては、リモートでの操作しか受け付けない場合がある。
【０００７】
更に、情報処理装置に直接にログインする際には、通常、ＩＣカードでの認証が用いられていることが多く、ユーザＩＤやパスワードがそもそも不明である場合がある。このような場合、情報処理装置に対してユーザが端末からリモートでログインしようとした場合において、ユーザＩＤとパスワードをＷｅｂブラウザ上で求められたときに、これらを忘れている又は不明であると、リモートでのログインが不可能になってしまう。
【０００８】
本発明は、ユーザが外部装置からリモートで情報処理装置にログインする際にユーザＩＤ等を失念していても、他の認証で一定の条件を満足すればその外部装置からのログインを許可する情報処理装置を提供することを目的とする。
【課題を解決するための手段】
【０００９】
本発明に係る情報処理装置は、ユーザがログインを行う際に認証情報を入力するための入力手段と、前記入力手段によって入力された認証情報をネットワークに接続された管理手段に送信し、前記管理手段による認証結果を受信する送受信手段と、前記ネットワークに接続された外部装置からのログインを許可するか否かを、当該外部装置の識別情報に基づいて判定する判定手段と、を備え、前記判定手段は、前記送受信手段が前記管理手段から受信した認証結果が認証成功であり、且つ、前記認証結果に前記外部装置の識別情報が含まれている場合には、前記外部装置からのログインを許可することを特徴とする。
【発明の効果】
【００１０】
本発明によれば、例えば、ＩＣカード認証が前提の情報処理装置に対してＩＣカード認証を行っておけば、ネットワーク接続され、予め登録してあったＩＰアドレスを持つ外部装置からログインすることができる。
【図面の簡単な説明】
【００１１】
【図１】本発明の第１実施形態に係る情報処理装置が接続された画像形成システムの全体構成を示す図である。
【図２】図１の画像形成装置の概略構成を示すブロック図である。
【図３】図１の管理サーバの概略構成を示すブロック図である。
【図４】図３のＨＤＤに記憶されているユーザ情報テーブル群のうち、（ａ）はＩＣカード用の認証情報テーブルの一例を示す図であり、（ｂ）はキーボード用の認証情報テーブルの一例を示す図であり、（ｃ）はユーザＩＤに関連付けされたユーザ情報を記憶したユーザ情報テーブルの一例を示す図である。
【図５】図１の端末からＷｅｂブラウザで画像形成装置にアクセスする際の入力画面の一例を示す図である。
【図６】図１の画像形成システムの画像形成装置における、ユーザによる認証情報の入力の受け付けから管理サーバへの認証情報の送信に至る一連の動作を示すフローチャートである。
【図７】図６のステップＳ６０１で表示される認証画面の一例を示す図である。
【図８】図７のキーボード認証キーが押下された場合に表示される認証画面の一例を示す図である。
【図９】図６のフローチャートに示される処理に続いて、管理サーバが行う認証処理のフローチャートである。
【図１０】図９のフローチャートに示される処理に続いて、画像形成装置が管理サーバから認証結果を受信した後に行う処理のフローチャートである。
【図１１】図１の画像形成システムに制御フローを模式的に重畳させて示した図である。
【図１２】本発明の第２実施形態に係る情報処理装置が接続された画像形成システムの全体構成を示す図である。
【図１３】図１２の画像形成装置の概略構成を示すブロック図である。
【図１４】図１２に示される画像形成装置における、ログインのための認証からログインの許可に至る処理を示すフローチャートである。
【発明を実施するための形態】
【００１２】
以下、本発明の実施形態について添付図面を参照して詳細に説明する。なお、本発明は下記の実施形態に限定されるものではなく、本実施形態では、本発明に係る情報処理装置として画像形成を行う画像形成装置を取り上げるが、本発明はこれに限定されるものではない。
【００１３】
＜第１実施形態＞
［画像形成システムの全体構成］
図１は、本発明の第１実施形態に係る情報処理装置が接続された画像形成システムの全体構成を示す図である。画像形成システムは、外部装置である端末１００，１０１と、管理サーバ１０２と、情報処理装置としての画像形成装置１０３，１０４とが、ネットワークの一例であるＬＡＮ１０５を介して接続された構成を有している。
【００１４】
端末１００，１０１は、具体的には、パーソナルコンピュータである。画像形成装置１０３は、具体的には、プリンタ（ＳＦＰ：Single Function Peripheral）である。画像形成装置１０４は、具体的には、スキャナ、プリンタ、ファクシミリ等の複数の機能を有するデジタル複合機（ＭＦＰ：Multi-Function Peripheral）である。
【００１５】
［画像形成装置の概略構成］
図２は、画像形成装置１０４の概略構成を示すブロック図である。なお、画像形成装置１０４は後述するスキャナＩ／Ｆ２０７とスキャナ２１３を備えるが、画像形成装置１０３はこれらを備えていない点で画像形成装置１０４と異なるのみで、その他の構成は同様である。
【００１６】
コントローラ２００は、スキャナ２１３、プリンタ２１４、操作部２１５及び認証情報入力部２１７の制御を司る。ＣＰＵ２０１は、画像形成装置１０４全体の動作を制御する。ＣＰＵ２０１は、ＲＯＭ２０２に記憶されている制御プログラムを読み出してＲＡＭ２０３に展開し、読み取り制御や印刷制御等の各種制御処理を実行する。ＲＡＭ２０３は、ＣＰＵ２０１の主メモリ、ワークエリア等の一時記憶領域として用いられる。ＨＤＤ２０４は、画像データや各種プログラム、後述するログインコンテキスト等を記憶する。
【００１７】
Ｗｅｂサーバ２０５は、端末１００，１０１上のＷｅｂブラウザから指定されたＵＲＬ（Uniform Resource Locator）の情報を返す。本実施形態では、このように端末１００，１０１からＬＡＮ１０５を介してリモートで画像形成装置１０４にアクセスすることを、リモートＵＩ（User Interface）と呼ぶ。リモートＵＩの用途としては、端末１００、１０１からリモートで画像形成装置１０４のトナー残容量やジョブ状態の確認等が挙げられる。
【００１８】
画像形成装置１０４が比較的高価な操作部２１５を具備している場合、画像形成装置１０４（又は画像形成装置１０３）の種々の設定をユーザが操作部２１５を直接操作することによって行うことができる。一方、画像形成装置１０４が廉価モデルであって、操作部２１５の表現能力が乏しい場合、操作部２１５を操作して種々の設定を行うことは困難である。そこで、そのような場合には、端末１００，１０１からリモートＵＩを介して諸設定を行うことで、容易に諸設定を行うことができる。
【００１９】
ネットワークＩ／Ｆ２０６は、コントローラ２００をＬＡＮ１０５に接続し、例えば、管理サーバ１０２に画像データや情報を送信し、端末１００，１０１から画像データや印刷設定情報等の各種情報を受信する。なお、画像形成システムでは、端末１００，１０１のリモートＵＩによるログインのために、ＬＡＮ１０５を介して端末１００，１０１からユーザＩＤ及びパスワードを画像形成装置１０４に送信することができるようになっている。その場合、ＣＰＵ２０１は、ネットワークＩ／Ｆ２０６を介して受信したユーザＩＤ及びパスワードを、認証のために、ネットワークＩ／Ｆ２０６及びＬＡＮ１０５を介して、管理サーバ１０２へ送信する。但し、本実施形態では、後述の通り、ユーザがユーザＩＤ及びパスワードを失念していることを前提とするため、端末１００，１０１からユーザＩＤ及びパスワードを画像形成装置１０４に送信する方法によるログインは行われないことになる。
【００２０】
スキャナＩ／Ｆ２０７は、スキャナ２１３とコントローラ２００とを接続する。スキャナ２１３は、原稿画像を読み取って画像データを生成し、スキャナＩ／Ｆ２０７を介してコントローラ２００に入力する。プリンタＩ／Ｆ２０８は、プリンタ２１４とコントローラ２００とを接続する。プリンタ２１４で印刷する画像データはプリンタＩ／Ｆ２０８を介してコントローラ２００からプリンタ２１４に送信され、プリンタ２１４において記録媒体への印刷が行われる。
【００２１】
操作部Ｉ／Ｆ２０９は、操作部２１５とコントローラ２００とを接続する。操作部２１５は、スイッチやＬＥＤ、タッチパネル式のＬＣＤ表示部等を備えている。操作部２１５で入力した情報が操作部Ｉ／Ｆ２０９を介してＣＰＵ２０１に伝えられ、ＣＰＵ２０１が入力された情報に従う処理を実行すると、処理の進行状態がＬＣＤ表示部に表示される。
【００２２】
なお、ユーザは、操作部２１５からユーザＩＤ及びパスワードを入力して画像形成装置１０４にログインすることも可能である。この場合、操作部２１５で入力されたユーザＩＤ及びパスワードは、認証を行うために操作部Ｉ／Ｆ２０９及びネットワークＩ／Ｆ２０６を介して管理サーバ１０２へ送信される。但し、本実施形態では、後述の通り、ユーザがユーザＩＤ及びパスワードを失念していることを前提とするため、操作部２１５からのログインは行われないことにする。
【００２３】
認証情報入力Ｉ／Ｆ２１６は、認証情報入力部２１７とコントローラ２００とを接続する。認証情報入力部２１７は、ユーザが画像形成装置１０４にログインする際に必要な認証情報を入力するための手段である。本実施形態では、認証情報入力部２１７は、具体的には、ＩＣカードに記憶されたユーザＩＤやパスワードを読み取るカードリーダであるが、磁気カードからユーザＩＤやパスワードを読み取るカードリーダであってもよい。認証情報入力部２１７から入力されたユーザの認証情報は、認証情報入力Ｉ／Ｆ２１６を介してＣＰＵ２０１に伝えられ、認証を行うためにＬＡＮ１０５を介して管理サーバ１０２に送信される。
【００２４】
ログイン判定部２１０は、管理サーバ１０２から受信した認証結果を解析して、認証情報入力部２１７を用いたログインの許可の可否（許可／不許可）を判定する。また、詳細は後述するが、ログイン判定部２１０には、認証情報入力部２１７を用いたログインの許可後に、端末１００，１０１からのリモートＵＩによるログインを許可する条件が設定される。ログイン判定部２１０が有する計時部２１１は、認証情報入力部２１７からのログインが許可された場合にカウントを開始する。条件設定部２１２には、計時部２１１がタイムアップする時間（端末１００，１０１からのリモートＵＩによるログインを許可する制限時間）が設定される。
【００２５】
［管理サーバの概略構成］
図３は、管理サーバ１０２の概略構成を示すブロック図である。管理サーバ１０２は、所謂、ＬＤＡＰ（Lightweight Directory Access Protocol）サーバであり、ユーザの認証情報や個人情報等を管理している。ＣＰＵ３０１は、管理サーバ１０２全体の動作の制御を行うために、ＲＯＭ３０２に記憶されている制御プログラムを読み出して、各種の制御処理を実行する。ＲＡＭ３０３は、ＣＰＵ３０１の主メモリ、ワークエリア等の一時記憶領域として用いられる。ＨＤＤ３０５には、認証プログラム３０６や画像形成装置１０３，１０４を使用するユーザに関するユーザ情報テーブル群３０７が記憶されている。ユーザ情報テーブル群３０７の詳細は後述する。
【００２６】
認証部３０８は、認証プログラム３０６に従って、画像形成装置１０３，１０４から受信した認証情報とＨＤＤ３０５に記憶されているユーザ情報テーブル群３０７にある認証情報との照合を行う。送信部３０４は、認証部３０８による認証結果を画像形成装置１０３，１０４に送信を行い、このとき、認証が成功した場合にはユーザ情報テーブル群３０７に含まれるユーザ情報テーブルの情報（登録内容）を併せて送信する。ネットワークＩ／Ｆ３００は、管理サーバ１０２をＬＡＮ１０５に接続し、ＬＡＮ１０５上の他の装置との間で各種情報の送受信を行う。
【００２７】
［ユーザ情報テーブル群の詳細］
図４（ａ）は、ユーザ情報テーブル群３０７のうち、ＩＣカード用の認証情報テーブルの一例を示す図であり、このＩＣカード用の認証情報テーブルは、カードＩＤとユーザＩＤで構成されている。認証部３０８は、ＩＣカード用の認証情報テーブルのカードＩＤ及びユーザＩＤを、画像形成装置１０３，１０４から管理サーバ１０２に送信されてくるカードＩＤ及びユーザＩＤと照合して、認証を行う。
【００２８】
図４（ｂ）は、ユーザ情報テーブル群３０７のうち、キーボード用の認証情報テーブルの一例を示す図である。このキーボード用の認証情報テーブルは、ユーザＩＤ及びパスワードで構成されており、ユーザが画像形成装置１０３，１０４の操作部２１５が備えるキーボード（不図示）を用いて認証を行う際に使用される。また、キーボード用の認証情報テーブルは、リモートＵＩによるログインのために端末１００，１０１から画像形成装置１０３，１０４を介して受信したユーザＩＤ及びパスワードの認証にも用いられる。
【００２９】
認証部３０８は、キーボード用の認証情報テーブルのユーザＩＤ及びパスワードを、画像形成装置１０３，１０４から送信されてくるユーザＩＤ及びパスワードと照合して、認証を行う。但し、本実施形態では、後述する通り、ユーザはユーザＩＤ及びパスワードを失念していることを前提とするため、キーボード用の認証情報テーブルは、実質的に、使用されない。
【００３０】
図４（ｃ）は、ユーザ情報テーブル群３０７のうち、ユーザＩＤと関連付けられたユーザ情報を記憶したユーザ情報テーブルの一例を示す図であり、認証が成功した場合にのみ参照される。ユーザ情報テーブルには、ユーザＩＤとパスワードに加えて、ユーザＩＤに対応するユーザのＥ−Ｍａｉｌアドレスやユーザが使用する端末（例えば、端末１００）の識別情報（例えばＩＰアドレス）が記憶されている。本実施形態では、認証部３０８が、端末１００，１０１のＩＰアドレス情報を利用して、ユーザによる端末１００，１０１からのログインの許可／不許可の判定を行う。その詳細は、次にフローチャートを参照して説明する。
【００３１】
［画像形成システムの制御フロー］
本実施形態では、ユーザが端末１００を操作し、端末１００でＷｅｂブラウザを立ち上げて、画像形成装置１０４にリモートＵＩでアクセスを試みる場合について説明する。
【００３２】
図５は、端末１００からＷｅｂブラウザで画像形成装置１０４にアクセスしようとしたときに端末１００の表示部に表示される入力画面の一例を示す図である。端末１００から画像形成装置１０４に対してリモートＵＩでログインを試みる場合、図５に示されるように、ユーザ名５００とパスワード５０１の入力を要求する画面が端末１００の表示部に表示される。
【００３３】
ユーザが、認証情報としてのユーザ名５００及びパスワード５０１を入力してログインキー５０２を押下すると、その認証情報は、一旦、画像形成装置１０４に入力された後、管理サーバ１０２に転送される。管理サーバ１０２は、キーボード用の認証情報テーブルを参照し、ユーザ名５００及びパスワード５０１が正しい場合、認証成功の認証結果を画像形成装置１０４に送信する。画像形成装置１０４のログイン判定部２１０は、認証成功の認証結果にしたがって、端末１００のログインを許可することになる。
【００３４】
しかし、本実施形態では、このユーザは、通常、画像形成装置１０４の認証情報入力部２１７（ＩＣカードリーダ）にＩＣカードをかざして画像形成装置１０４へログインする認証を行っているため、ユーザＩＤ及びパスワードを失念しているものとする。したがって、ユーザはユーザ名及びパスワードを正確に思い出して入力しない限り、端末１００からのリモートＵＩによる画像形成装置１０４へのログインは不可能な状態となっている。
【００３５】
このような状態において、本実施形態では、別のログイン手段によって画像形成装置１０４にログインができる場合には、一定条件下で、ユーザ情報テーブルに登録されているＩＰアドレスの端末からのリモートＵＩによるログインを許可する。具体的には、ユーザは、端末１００からのリモートＵＩによるアクセスを可能にするために、先ず、画像形成装置１０４の認証情報入力部２１７からのログインを試み、ログインが成功した場合には、再び、端末１００からのリモートＵＩによるアクセスを試みる。
【００３６】
図６は、画像形成装置１０４における、ユーザによる認証情報の入力の受け付けから、受け付けた認証情報を管理サーバ１０２に送信するまでの一連の動作を示すフローチャートである。図６のフローチャートに示す各動作は、画像形成装置１０４のＣＰＵ２０１が制御プログラムを実行することによって実現される。
【００３７】
最初に、認証の際に必要な情報をユーザが入力するための認証画面が操作部２１５のＬＣＤ表示部に表示される（ステップＳ６０１）。図７は、ステップＳ６０１で表示される認証画面の一例を示す図である。図７に示されるように、デフォルトではＩＣカードによる認証画面が表示される。なお、ユーザが、ＩＣカードを用いず、操作部２１５のキーボード（不図示）によるユーザＩＤ及びパスワードによる認証を行う場合、キーボード認証キー７０１を押下する必要がある。
【００３８】
図８は、キーボード認証キー７０１が押下された場合に表示される認証画面の一例を示す図である。ユーザが、キーボード（不図示）を操作してユーザＩＤ及びパスワードを入力してＯＫキー８００を押下すると、画像形成装置１０４のＣＰＵ２０１は認証処理を開始する。一方、再びＩＣカード認証に戻る場合、ユーザはＩＣカード認証キー８０１を押下することにより、再び図７の認証画面に戻ることができる。本実施形態では、ユーザはユーザＩＤ及びパスワードを失念しているので、通常用いているＩＣカードによる認証を行って、ログインすることになる。
【００３９】
図６の説明に戻る。ステップＳ６０１での画面表示に従ってユーザがＩＣカードをＩＣカードリーダにかざしたが否かが判定される（ステップＳ６０２）。ＩＣカードがかざされていない場合（Ｓ６０２で“ＮＯ”）、入力待ちとなる。ＩＣカードがかざされると（Ｓ６０２で“ＹＥＳ”）、ＩＣカードから認証情報が読み取られる。ＣＰＵ２０１は、こうして読み取られた認証情報を、認証情報入力Ｉ／Ｆ２１６及びネットワークＩ／Ｆ２０６を介して管理サーバ１０２に送信する（ステップＳ６０３）。
【００４０】
ステップＳ６０２の後の処理について、図９を参照して説明する。図９は、管理サーバ１０２における認証処理のフローチャートである。図９のフローチャートに示される各動作は、管理サーバ１０２のＣＰＵ３０１が認証プログラム３０６を読み出して実行することにより実現される。
【００４１】
管理サーバ１０２では、最初に、画像形成装置１０４から認証情報を受信したか否かが判定され（ステップＳ９０１）、認証情報が通知されるまで（Ｓ９０１で“ＮＯ”）、認証情報の通知待ちの状態となっている。認証情報を受信すると（Ｓ９０１で“ＹＥＳ”）、認証部３０８が、図４（ａ）に示されるＩＣカード認証用の情報テーブルをＨＤＤ３０５に記憶されているユーザ情報テーブル群３０７から読み出し、受信した認証情報との照合を行う（ステップＳ９０２）。そして、認証が成功したか否かが判定される（ステップＳ９０３）。
【００４２】
認証が不成功（不一致）の場合（Ｓ９０３で“ＮＯ”）、ＣＰＵ３０１は、認証不成功の認証結果をパケットのデータ部に設定し、送信部３０４がそのデータを画像形成装置１０４に送信する（ステップＳ９０６）。認証に成功（一致）した場合（Ｓ９０３で“ＹＥＳ”）、ＣＰＵ３０１は、ＨＤＤ３０５に記憶されているユーザ情報テーブル群３０７に、対応するユーザＩＤのユーザ情報テーブル（図４（ｃ））が存在するか否かを判定する（ステップＳ９０４）。
【００４３】
対応するユーザ情報テーブルが存在しない場合（Ｓ９０４で“ＮＯ”）、処理は、前述したステップＳ９０６に進められる。但し、ステップＳ９０４からステップＳ９０６に進んだ場合のステップＳ９０６では、ＣＰＵ３０１は、認証成功の認証結果をパケットのデータ部に設定し、送信部３０４がそのデータを画像形成装置１０４に送信する。対応するユーザ情報テーブルが存在する場合（Ｓ９０４で“ＹＥＳ”）、ＣＰＵ３０１は、認証成功の認証結果とユーザ情報テーブルの情報とを併せてパケットのデータ部に設定し、送信部３０４がそのデータを画像形成装置１０４に送信する（ステップＳ９０５）。
【００４４】
ステップＳ９０５，９０６の後の処理について、図１０を参照して説明する。図１０は、画像形成装置１０４が管理サーバ１０２から認証結果を受信した後に行う処理のフローチャートである。図１０のフローチャートを示す各動作は、画像形成装置１０４のＣＰＵ２０１が制御プログラムを実行することによって実現される。
【００４５】
ＣＰＵ２０１は、先ず、管理サーバ１０２から受信したパケットのデータ部から認証結果を抽出し、認証結果にしたがってログインの許可の可否を判定する（ステップＳ１００１）。認証結果が不成功の場合にはログインは不許可となり（Ｓ１００１で“ＮＯ”）、ＣＰＵ２０１は、認証不成功の表示画面を生成し、操作部２１５のＬＣＤ表示部に表示し（ステップＳ１０１０）、その後、本処理を終了させる。認証結果が成功である場合にはログインは許可され（Ｓ１００１で“ＹＥＳ”）、認証結果と共に受信したユーザ情報テーブルの情報に基づいてログインコンテキストを生成して、ＨＤＤ２０４又はＲＡＭ２０３に一時的に記憶する（ステップＳ１００２）。
【００４６】
ステップＳ１００２の後、ＣＰＵ２０１は、ＨＤＤ２０４又はＲＡＭ２０３に記憶したログインコンテキストの中に端末のＩＰアドレスが含まれているか否かを解析する（ステップＳ１００３）。ＩＰアドレスが含まれていない場合（Ｓ１００３で“ＮＯ”）、ＣＰＵ２０１は、端末（外部装置）からのリモートＵＩによるログインはできないと判断し、処理を終了させる。ＩＰアドレスが含まれている場合（Ｓ１００３で“ＹＥＳ”）、ＣＰＵ２０１は、そのＩＰアドレスを有する端末からのリモートＵＩによるログインを許可する信号をログイン判定部２１０に送信する。そして、ログインを許可する信号を受信したログイン判定部２１０は、計時部２１１であるリモートＵＩログインカウンタのカウントを開始する（ステップＳ１００４）。つまり、リモートＵＩによるログインが許可されてからの経過時間が計られる。
【００４７】
リモートＵＩログインカウンタのカウントは、ＩＣカード認証でのログイン状態とは無関係に動作を続けるため、ユーザは、画像形成装置１０４の操作部２１５よりＩＣカード認証でのログインに成功したら、すぐにログオフすることができる。そこで、ユーザは、画像形成装置１０４の操作部２１５でログオフのための操作を行い、ログオフ後に端末１００から、再度、Ｗｅｂブラウザを立ち上げてリモートＵＩで画像形成装置１０４にアクセスを試みる。ここでのアクセスは、例えば、図５に示されるログイン画面において、ユーザ名とパスワードを入力せずに、ログインキー５０２を押下することによって行われる。画像形成装置１０４に通知（送信）される、端末からのログインのためのアクセスを示す信号（パケット）は、端末１００のＩＰアドレスを自動的に伴うものとする。
【００４８】
ステップＳ１００４の後、画像形成装置１０４のＣＰＵ２０１は、ログインコンテキストに登録されているＩＰアドレスを有する端末からのリモートＵＩでのアクセスが有ったか否かを判定する（ステップＳ１００５）。画像形成装置１０４は、アクセスがあるまで（Ｓ１００５で“ＮＯ”）、アクセス待ち状態となる。ユーザが端末１００からリモートＵＩでのアクセスを行うと、ＣＰＵ２０１はアクセスを検知して（Ｓ１００５で“ＹＥＳ”）、処理をステップＳ１００６へ進める。
【００４９】
ここで、端末からのログインのためのアクセスを示す信号（パケット）には、認証に必要なユーザＩＤ及びパスワードの情報が含まれていないため、ＣＰＵ２０１は、受信した信号を管理サーバ１０２へ送信しない。ステップＳ１００５では、ＣＰＵ２０１は、受信したパケットの中から送信元である端末のＩＰアドレスを抽出し、抽出されたＩＰアドレスとＨＤＤ２０４又はＲＡＭ２０３に記憶したログインコンテキストに含まれているＩＰアドレスとを照合する。照合の結果、一致した場合に処理はステップＳ１００６へ進められ、一致しない場合にアクセス待ちとなる。
【００５０】
ステップＳ１００６では、ログイン判定部２１０により、リモートＵＩログインカウンタの値が、リモートＵＩによるログインを許可する制限時間を経過しているか否かが判定される。制限時間は、予めユーザによって設定されており、ログイン判定部２１０の条件設定部２１２に保持されている。例えば、ユーザが予め設定した制限時間が３０分の場合、ユーザが端末１００からリモートＵＩからアクセスしたときのリモートＵＩログインカウンタの値が３０分以内であれば、制限時間内であると判断される。
【００５１】
リモートＵＩログインカウンタの値が制限時間を過ぎた場合（Ｓ１００６で“ＮＯ”）、ログイン判定部２１０は、端末１００からのログインを許可しない。すなわち、端末をなりすましで操作されるとセキュリティ面で問題があるため、リモートでのログインは所定時間内に１回のみ可能である等の制約を設けることで、セキュリティレベルを低下させずに利便性を向上させることができる。
【００５２】
この判断を受けて、ＣＰＵ２０１は、ユーザＩＤ及びパスワードの入力を求めるリモートＵＩの画面（図５参照）を端末１００に送信する（ステップＳ１０１１）。その後、ＣＰＵ２０１は、本処理を終了させる。リモートＵＩログインカウンタの値が制限時間内の場合（Ｓ１００６で“ＹＥＳ”）、ＣＰＵ２０１は、リモートＵＩによるログインが許可された際に表示するＵＲＬにリダイレクトして、端末１００に送信を行う（ステップＳ１００７）。
【００５３】
この段階で、ユーザはリモートＵＩでのユーザＩＤ及びパスワードを失念していても、画像形成装置１０４のログイン手段により一旦ログインしておけば、ユーザ情報テーブルに登録のあるＩＰアドレスを持つ端末１００からのログインが許可されることになる。よって、ユーザは、例えば、端末１００から画像形成装置１０４に対して所望する処理を実行させることができる。
【００５４】
ステップＳ１００７の後、ユーザが端末１００上のＷｅｂブラウザでリモートＵＩのログオフを行ったか否か、つまり、端末１００からログオフを指示する信号を受信したか否かが判定される（ステップＳ１００８）。ログオフされるまで（Ｓ１００８で“ＮＯ”）、画像形成装置１０４は待機状態となる。ログオフされると（Ｓ１００８で“ＹＥＳ”）、ＣＰＵ２０１は、リモートＵＩログインカウンタ（計時部２１１）のカウント動作を停止させ、カウント値を初期化し（ステップＳ１００９）、その後、本処理を終了させる。
【００５５】
ステップＳ１００９でのリモートＵＩログインカウンタの値の初期化により、再びユーザが端末１００上のＷｅｂブラウザよりリモートＵＩでログインしようとしても、今度は、ログイン許可が行われないことになり、セキュリティの低下が抑えられる。
【００５６】
本実施形態では、画像形成装置１０４について説明したが、画像形成装置１０３においても同様に適用することができる。そこで、上述した制御フローを、図１の画像形成システムの構成図を用いて、画像形成装置１０３をリモートＵＩにより使用する場合について説明する。図１１は、図１の画像形成システムに制御フローを模式的に重畳させて示した図である。ここで、ユーザは、リモートＵＩにより画像形成装置１０３にログインするためのユーザＩＤ及びパスワードを失念しているものとする。また、そのため、ユーザは、画像形成装置１０３の操作部２１５からＩＣカード認証を行い、ログインを行ったものとする。
【００５７】
この状態では、ユーザは端末１０１からリモートＵＩで画像形成装置１０３へのログインを試みても、画像形成装置１０３のログインコンテキストに含まれるＩＰアドレスと端末１０１のＩＰアドレスが不一致であるため、ログインは許可されない。一方、ユーザが端末１００から画像形成装置１０３にリモートＵＩでログインする場合には、画像形成装置１０３のログインコンテキストのＩＰアドレスと端末１００のＩＰアドレスとが一致するという条件を満たす。更に、ユーザが設定したログイン制限時間が３０分であり、ユーザがリモートＵＩで画像形成装置１０３にアクセスした時のリモートＵＩログインカウンタの値が１７分であることから、制限時間内のアクセスであるとい条件をも満たされている。よって、これら２つの条件を満足していることによって、端末１００からのリモートＵＩアクセスが許可される。
【００５８】
＜第２実施形態＞
第２実施形態では、第１実施形態で説明した構成に対して、管理サーバが存在せず、画像形成装置がユーザ情報テーブルを記憶しており、ユーザがログインする際の認証を行う構成について説明する。
【００５９】
図１２は、第２実施形態に係る情報処理装置が接続された画像形成システムの全体構成を示す図である。第２実施形態に係る画像形成システムでは、第１実施形態に係る画像形成システムが備える管理サーバ１０２が存在せず、画像形成装置１２０３，１２０４が管理サーバ１０２の役割をも果たす。すなわち、画像形成装置１０４（又は画像形成装置１０３）においてローカルにログインのための認証を行う。
【００６０】
図１３は、画像形成装置１２０４の概略構成を示すブロック図である。図２と比較すると明らかなように、画像形成装置１２０４では、ＨＤＤ１３０４に認証プログラム１３１８とユーザ情報テーブル群１３１９が記憶され、更に認証部１３２０を備える点で、画像形成装置１０４と異なっているが、その他の構成に変わりはない。そのため、画像形成装置１２０４の構成要素のうち、画像形成装置１０４の構成要素と同じものについては、画像形成装置１０４の構成要素と同じ符号を用いている。
【００６１】
認証プログラム１３１８及びユーザ情報テーブル群１３１９は、管理サーバ１０２のＨＤＤ３０５に記憶されている認証プログラム３０６及びユーザ情報テーブル群３０７と同等であり、判定部１３２０は認証部３０８と同等である。そのため、画像形成装置１２０４の各構成要素についての詳細な説明は省略する。なお、画像形成装置１２０３の画像形成装置１０３からの変更点は、図示しないが、画像形成装置１２０４の画像形成装置１０４からの変更点と同じである。
【００６２】
画像形成装置１２０３，１２０４では、認証情報入力部２１７から入力された認証情報は認証部１３２０に送られ、認証部１３２０が認証を行う。具体的には、認証部１３２０は、操作部２１５及び認証情報入力部２１７から入力されたユーザの認証情報を、ＨＤＤ２０４に記憶されているユーザ情報テーブル群１３１９の認証情報と照らし合わせて、ログインの許可／不許可の判定を行う。また、認証部１３２０は、リモートＵＩでのログインのために端末１００，１０１から送信されてきた認証情報をユーザ情報テーブル群１３１９の認証情報と照らし合わせて、ログインの許可の可否を判定する。
【００６３】
図１４は、画像形成装置１２０４における、ログインのための認証からログインの許可に至る処理を示すフローチャートである。図１４のフローチャートに示される各動作は、画像形成装置１２０４が備えるＣＰＵ１３０１が、不図示の制御プログラムや認証プログラム１３１８を実行することによって実現される。
【００６４】
図１４の処理は、基本的には第１実施形態において管理サーバ１０２で行っていた処理の全てを画像形成装置１２０４が行うものであり、管理サーバ１０２との認証結果のやり取りが無くなったことを除いて、第１実施形態と同様である。すなわち、ステップＳ１４０１〜１４０２の処理は、図６に示したステップＳ６０１〜６０２の処理と同じである。ステップＳ１４０３の処理は、図９に示したＳ９０２と同様である。ステップＳ１４０４の処理は、図９に示したステップＳ９０３〜Ｓ９０４及び図１０に示したステップＳ１００１の処理と同様である。ステップＳ１４０５〜１４１４の処理は、図１０に示したステップＳ１００２〜１０１１の処理と同じである。
【００６５】
第２実施形態では、管理サーバ１０２を画像形成システムに含まない場合でも、第１実施の形態と同様の効果を得ることができる。
【００６６】
＜その他の実施形態＞
以上、本発明をその好適な実施形態に基づいて詳述してきたが、本発明はこれら特定の実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の様々な形態も本発明に含まれる。さらに、上述した各実施形態は本発明の一実施形態を示すものにすぎず、各実施形態を適宜組み合わせることも可能である。
【００６７】
例えば、認証情報入力部２１７として、ＩＣカードリーダがＩＣカードに記憶されたユーザＩＤ及びパスワードを読み取るとしたが、これに代えて、静脈パターンや指紋パターン、虹彩パターンを読み取る装置を用いてもよい。この場合、ＩＣカード用の認証情報テーブル（図４（ａ）参照）に代えて、静脈や指紋のパターンにユーザＩＤが関連付けされた情報テーブルが準備される。
【００６８】
また、第１実施形態及び第２実施形態では、操作部２１５でのログインにより端末１００からリモートＵＩでのアクセスを所定時間内であれば１度だけ許可するとしたが、これに限られず、その他の方法や条件でログインを許可することも可能である。例えば、所定時間に代えて、所定回数を条件としてもよいし、その両方を条件とすることもできる。また別の例として、操作部２１５でログインした際に、端末１００にユーザのユーザＩＤとパスワードを送付しておき、ユーザが端末１００を使ってリモートＵＩアクセスを行った際に、事前に受信しておいたユーザＩＤとパスワードが入力される形態としてもよい。
【００６９】
本発明は以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア（プログラム）をネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ（又はＣＰＵやＭＰＵ等）がプログラムコードを読み出して実行する処理である。この場合、そのプログラム、及び該プログラムを記憶した記憶媒体は本発明を構成することになる。
【符号の説明】
【００７０】
１０３，１０４，１２０３，１２０４ 画像形成装置
２１０ ログイン判定部
２１１ 計時部
２１２ 条件設定部
２１５ 操作部
２１７ 認証情報入力部
１３１８ 認証プログラム
１３１９ ユーザ情報テーブル群
１３２０ 認証部

【特許請求の範囲】
【請求項１】
ユーザがログインを行う際に認証情報を入力するための入力手段と、
前記入力手段によって入力された認証情報をネットワークに接続された管理手段に送信し、前記管理手段による認証結果を受信する送受信手段と、
前記ネットワークに接続された外部装置からのログインを許可するか否かを、当該外部装置の識別情報に基づいて判定する判定手段と、を備え、
前記判定手段は、前記送受信手段が前記管理手段から受信した認証結果が認証成功であり、且つ、前記認証結果に前記外部装置の識別情報が含まれている場合には、前記外部装置からのログインを許可することを特徴とする情報処理装置。
【請求項２】
ユーザがログインを行う際に認証情報を入力するための入力手段と、
ログインを許可するユーザのユーザ情報を記憶する記憶手段と、
前記入力手段によって入力された認証情報を前記記憶手段に記憶されたユーザ情報と照合し、前記認証情報が前記ユーザ情報に含まれている場合に認証成功と判断する認証手段と、
ネットワークに接続された外部装置からのログインを許可するか否かを、当該外部装置の識別情報に基づいて判定する判定手段と、を備え、
前記判定手段は、前記認証手段が認証成功と判断した場合における前記照合に用いた前記ユーザ情報に前記外部装置の識別情報が含まれている場合には、当該外部装置からのログインを許可することを特徴とする情報処理装置。
【請求項３】
前記入力手段から入力される前記認証情報は、ＩＣカード又は磁気カードに記録された前記ユーザのユーザＩＤ及びパスワード、或いは、前記ユーザの指紋パターン又は静脈パターンのいずれかであることを特徴とする請求項１又は２記載の情報処理装置。
【請求項４】
前記判定手段は、
前記外部装置からのログインを許可する制限時間を設定するための条件設定手段と、
前記判定手段が前記外部装置からのログインを許可してからの経過時間を計る計時手段と、を更に備え、
前記判定手段は、前記計時手段による経過時間が前記制限時間を経過する前の前記外部装置からのログインを許可し、前記計時手段による経過時間が前記制限時間を経過した後の前記外部装置からのログインを許可しないことを特徴とする請求項１乃至３のいずれか１項に記載の情報処理装置。
【請求項５】
前記判定手段は、前記外部装置からのログインを許可した後に当該外部装置からログオフを指示する信号を受信した場合、前記計時手段を停止させ、その後の当該外部装置からのログインを許可しないことを特徴とする請求項４記載の情報処理装置。
【請求項６】
ユーザが情報処理装置にログインする際に当該情報処理装置において実行される情報処理方法であって、
ユーザがログインを行う際に認証情報を入力するための入力ステップと、
前記入力ステップで入力された認証情報をネットワークに接続された管理手段に送信し、前記管理手段による認証結果を受信する送受信ステップと、
前記ネットワークに接続された外部装置からのログインを許可するか否かを当該外部装置の識別情報に基づいて判定する判定ステップと、を有し、
前記判定ステップでは、前記送受信ステップにおいて前記管理手段から受信した認証結果が認証成功であり、且つ、前記認証結果に前記外部装置の識別情報が含まれる場合には、前記外部装置からのログインを許可することを特徴とする情報処理方法。
【請求項７】
ログインを許可するユーザのユーザ情報を記憶した記憶手段を備えた情報処理装置に対してユーザがログインする際に当該情報処理装置において実行される情報処理方法であって、
ユーザがログインを行う際に認証情報を入力するための入力ステップと、
前記入力ステップで入力された認証情報を前記記憶手段に記憶されたユーザ情報と照合し、前記認証情報が前記ユーザ情報に含まれている場合に認証成功と判断する認証ステップと、
ネットワークに接続された外部装置からのログインを許可するか否かを判定する判定ステップと、を有し、
前記判定ステップでは、前記認証ステップで認証成功と判断した場合における前記照合に用いた前記ユーザ情報に前記外部装置の識別情報が含まれている場合には、前記外部装置からのログインを許可することを特徴とする情報処理方法。
【請求項８】
請求項６記載の情報処理方法をコンピュータに実行させることを特徴とするプログラム。
【請求項９】
請求項７記載の情報処理方法をコンピュータに実行させることを特徴とするプログラム。

【図１】

【図２】

【図３】

【図４】

【図５】

【図６】

【図７】

【図８】

【図９】

【図１０】

【図１１】

【図１２】

【図１３】

【図１４】

【公開番号】特開２０１２−８８８５９（Ｐ２０１２−８８８５９Ａ）
【公開日】平成２４年５月１０日（２０１２．５．１０）
【国際特許分類】
【出願番号】特願２０１０−２３３９１６（Ｐ２０１０−２３３９１６）
【出願日】平成２２年１０月１８日（２０１０．１０．１８）
【出願人】（０００００１００７）キヤノン株式会社 (59,756)
【Ｆターム（参考）】