情報処理装置、情報処理方法及びプログラム
【課題】ユーザが外部装置からログインする際にユーザIDを失念していても、一定の条件を満足していればその外部装置からのログインを許可する情報処理装置を提供する。
【解決手段】画像形成装置104は、ユーザがログインする際に認証情報を入力する認証情報入力部217と、認証情報入力部217から入力された認証情報をネットワークに接続された管理サーバ102に送信し、管理サーバ102による認証結果を受信するネットワークI/F206と、ネットワークに接続された外部装置である端末100からのログインを許可するか否かを判定するログイン判定部211とを備え、ログイン判定部211は、管理サーバ102から受信した認証結果が認証成功であり、且つ、認証結果に端末100の認証情報が含まれている場合には端末100からのログインを許可する。
【解決手段】画像形成装置104は、ユーザがログインする際に認証情報を入力する認証情報入力部217と、認証情報入力部217から入力された認証情報をネットワークに接続された管理サーバ102に送信し、管理サーバ102による認証結果を受信するネットワークI/F206と、ネットワークに接続された外部装置である端末100からのログインを許可するか否かを判定するログイン判定部211とを備え、ログイン判定部211は、管理サーバ102から受信した認証結果が認証成功であり、且つ、認証結果に端末100の認証情報が含まれている場合には端末100からのログインを許可する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワーク接続されている情報処理装置にログインするための認証技術に関する。
【背景技術】
【0002】
近年、ログインのために認証が必要な情報処理装置として、例えば、磁気カードやICカードによる接触型又は非接触型の認証を行うものが増えている。例えば、ICカードでは、記憶媒体であるICチップに個人情報が記録されており、ICカードをカードリーダにかざすと、ICチップに記憶されている個人情報が読み出されて認証が行われる。よって、ICカード等を用いた認証を行うことで、認証の都度、ユーザIDやパスワードをキーボード等から入力する手間を省くことができる。
【0003】
また、カード認証やユーザID及びパスワードの入力による認証をはじめとして、指紋認証や虹彩認証、静脈認証等の生体認証が認証手段として採用されてきており、これら複数の認証手段の幾つかを組み合わせて認証を行う情報処理装置も増えてきている。こうした状況に対応して、これらの情報処理装置に対するステータス情報の取得や各種設定をパーソナルコンピュータ等の端末(外部装置)からオンラインで受け付けるサービスをユーザへ提供するために、Webサイトを開設することが一般的になってきている。
【0004】
ここで、ネットワークを介してアクセスしたユーザの利便性を損なわずに、セキュリティを一定に保つ技術が提案されている。例えば、ユーザがネットワークを介して端末からからログインする際に、ユーザID及びパスワードによる認証と共に、端末のIPアドレスを抽出し、IPアドレスに関連付けられたサービスを提供する技術がある(例えば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2006−277715号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、情報処理装置が備える認証手段を用いてログインし、情報処理装置の操作を直接行うケースもあるが、価格の安い情報処理装置等の場合、低コスト化のために操作部の操作性が一部損なわれるものがある。この場合、情報処理装置の操作部を使用してログインするよりも、端末からリモートで情報処理装置にログインした方の利便性が高い。また、情報処理装置によっては、リモートでの操作しか受け付けない場合がある。
【0007】
更に、情報処理装置に直接にログインする際には、通常、ICカードでの認証が用いられていることが多く、ユーザIDやパスワードがそもそも不明である場合がある。このような場合、情報処理装置に対してユーザが端末からリモートでログインしようとした場合において、ユーザIDとパスワードをWebブラウザ上で求められたときに、これらを忘れている又は不明であると、リモートでのログインが不可能になってしまう。
【0008】
本発明は、ユーザが外部装置からリモートで情報処理装置にログインする際にユーザID等を失念していても、他の認証で一定の条件を満足すればその外部装置からのログインを許可する情報処理装置を提供することを目的とする。
【課題を解決するための手段】
【0009】
本発明に係る情報処理装置は、ユーザがログインを行う際に認証情報を入力するための入力手段と、前記入力手段によって入力された認証情報をネットワークに接続された管理手段に送信し、前記管理手段による認証結果を受信する送受信手段と、前記ネットワークに接続された外部装置からのログインを許可するか否かを、当該外部装置の識別情報に基づいて判定する判定手段と、を備え、前記判定手段は、前記送受信手段が前記管理手段から受信した認証結果が認証成功であり、且つ、前記認証結果に前記外部装置の識別情報が含まれている場合には、前記外部装置からのログインを許可することを特徴とする。
【発明の効果】
【0010】
本発明によれば、例えば、ICカード認証が前提の情報処理装置に対してICカード認証を行っておけば、ネットワーク接続され、予め登録してあったIPアドレスを持つ外部装置からログインすることができる。
【図面の簡単な説明】
【0011】
【図1】本発明の第1実施形態に係る情報処理装置が接続された画像形成システムの全体構成を示す図である。
【図2】図1の画像形成装置の概略構成を示すブロック図である。
【図3】図1の管理サーバの概略構成を示すブロック図である。
【図4】図3のHDDに記憶されているユーザ情報テーブル群のうち、(a)はICカード用の認証情報テーブルの一例を示す図であり、(b)はキーボード用の認証情報テーブルの一例を示す図であり、(c)はユーザIDに関連付けされたユーザ情報を記憶したユーザ情報テーブルの一例を示す図である。
【図5】図1の端末からWebブラウザで画像形成装置にアクセスする際の入力画面の一例を示す図である。
【図6】図1の画像形成システムの画像形成装置における、ユーザによる認証情報の入力の受け付けから管理サーバへの認証情報の送信に至る一連の動作を示すフローチャートである。
【図7】図6のステップS601で表示される認証画面の一例を示す図である。
【図8】図7のキーボード認証キーが押下された場合に表示される認証画面の一例を示す図である。
【図9】図6のフローチャートに示される処理に続いて、管理サーバが行う認証処理のフローチャートである。
【図10】図9のフローチャートに示される処理に続いて、画像形成装置が管理サーバから認証結果を受信した後に行う処理のフローチャートである。
【図11】図1の画像形成システムに制御フローを模式的に重畳させて示した図である。
【図12】本発明の第2実施形態に係る情報処理装置が接続された画像形成システムの全体構成を示す図である。
【図13】図12の画像形成装置の概略構成を示すブロック図である。
【図14】図12に示される画像形成装置における、ログインのための認証からログインの許可に至る処理を示すフローチャートである。
【発明を実施するための形態】
【0012】
以下、本発明の実施形態について添付図面を参照して詳細に説明する。なお、本発明は下記の実施形態に限定されるものではなく、本実施形態では、本発明に係る情報処理装置として画像形成を行う画像形成装置を取り上げるが、本発明はこれに限定されるものではない。
【0013】
<第1実施形態>
[画像形成システムの全体構成]
図1は、本発明の第1実施形態に係る情報処理装置が接続された画像形成システムの全体構成を示す図である。画像形成システムは、外部装置である端末100,101と、管理サーバ102と、情報処理装置としての画像形成装置103,104とが、ネットワークの一例であるLAN105を介して接続された構成を有している。
【0014】
端末100,101は、具体的には、パーソナルコンピュータである。画像形成装置103は、具体的には、プリンタ(SFP:Single Function Peripheral)である。画像形成装置104は、具体的には、スキャナ、プリンタ、ファクシミリ等の複数の機能を有するデジタル複合機(MFP:Multi-Function Peripheral)である。
【0015】
[画像形成装置の概略構成]
図2は、画像形成装置104の概略構成を示すブロック図である。なお、画像形成装置104は後述するスキャナI/F207とスキャナ213を備えるが、画像形成装置103はこれらを備えていない点で画像形成装置104と異なるのみで、その他の構成は同様である。
【0016】
コントローラ200は、スキャナ213、プリンタ214、操作部215及び認証情報入力部217の制御を司る。CPU201は、画像形成装置104全体の動作を制御する。CPU201は、ROM202に記憶されている制御プログラムを読み出してRAM203に展開し、読み取り制御や印刷制御等の各種制御処理を実行する。RAM203は、CPU201の主メモリ、ワークエリア等の一時記憶領域として用いられる。HDD204は、画像データや各種プログラム、後述するログインコンテキスト等を記憶する。
【0017】
Webサーバ205は、端末100,101上のWebブラウザから指定されたURL(Uniform Resource Locator)の情報を返す。本実施形態では、このように端末100,101からLAN105を介してリモートで画像形成装置104にアクセスすることを、リモートUI(User Interface)と呼ぶ。リモートUIの用途としては、端末100、101からリモートで画像形成装置104のトナー残容量やジョブ状態の確認等が挙げられる。
【0018】
画像形成装置104が比較的高価な操作部215を具備している場合、画像形成装置104(又は画像形成装置103)の種々の設定をユーザが操作部215を直接操作することによって行うことができる。一方、画像形成装置104が廉価モデルであって、操作部215の表現能力が乏しい場合、操作部215を操作して種々の設定を行うことは困難である。そこで、そのような場合には、端末100,101からリモートUIを介して諸設定を行うことで、容易に諸設定を行うことができる。
【0019】
ネットワークI/F206は、コントローラ200をLAN105に接続し、例えば、管理サーバ102に画像データや情報を送信し、端末100,101から画像データや印刷設定情報等の各種情報を受信する。なお、画像形成システムでは、端末100,101のリモートUIによるログインのために、LAN105を介して端末100,101からユーザID及びパスワードを画像形成装置104に送信することができるようになっている。その場合、CPU201は、ネットワークI/F206を介して受信したユーザID及びパスワードを、認証のために、ネットワークI/F206及びLAN105を介して、管理サーバ102へ送信する。但し、本実施形態では、後述の通り、ユーザがユーザID及びパスワードを失念していることを前提とするため、端末100,101からユーザID及びパスワードを画像形成装置104に送信する方法によるログインは行われないことになる。
【0020】
スキャナI/F207は、スキャナ213とコントローラ200とを接続する。スキャナ213は、原稿画像を読み取って画像データを生成し、スキャナI/F207を介してコントローラ200に入力する。プリンタI/F208は、プリンタ214とコントローラ200とを接続する。プリンタ214で印刷する画像データはプリンタI/F208を介してコントローラ200からプリンタ214に送信され、プリンタ214において記録媒体への印刷が行われる。
【0021】
操作部I/F209は、操作部215とコントローラ200とを接続する。操作部215は、スイッチやLED、タッチパネル式のLCD表示部等を備えている。操作部215で入力した情報が操作部I/F209を介してCPU201に伝えられ、CPU201が入力された情報に従う処理を実行すると、処理の進行状態がLCD表示部に表示される。
【0022】
なお、ユーザは、操作部215からユーザID及びパスワードを入力して画像形成装置104にログインすることも可能である。この場合、操作部215で入力されたユーザID及びパスワードは、認証を行うために操作部I/F209及びネットワークI/F206を介して管理サーバ102へ送信される。但し、本実施形態では、後述の通り、ユーザがユーザID及びパスワードを失念していることを前提とするため、操作部215からのログインは行われないことにする。
【0023】
認証情報入力I/F216は、認証情報入力部217とコントローラ200とを接続する。認証情報入力部217は、ユーザが画像形成装置104にログインする際に必要な認証情報を入力するための手段である。本実施形態では、認証情報入力部217は、具体的には、ICカードに記憶されたユーザIDやパスワードを読み取るカードリーダであるが、磁気カードからユーザIDやパスワードを読み取るカードリーダであってもよい。認証情報入力部217から入力されたユーザの認証情報は、認証情報入力I/F216を介してCPU201に伝えられ、認証を行うためにLAN105を介して管理サーバ102に送信される。
【0024】
ログイン判定部210は、管理サーバ102から受信した認証結果を解析して、認証情報入力部217を用いたログインの許可の可否(許可/不許可)を判定する。また、詳細は後述するが、ログイン判定部210には、認証情報入力部217を用いたログインの許可後に、端末100,101からのリモートUIによるログインを許可する条件が設定される。ログイン判定部210が有する計時部211は、認証情報入力部217からのログインが許可された場合にカウントを開始する。条件設定部212には、計時部211がタイムアップする時間(端末100,101からのリモートUIによるログインを許可する制限時間)が設定される。
【0025】
[管理サーバの概略構成]
図3は、管理サーバ102の概略構成を示すブロック図である。管理サーバ102は、所謂、LDAP(Lightweight Directory Access Protocol)サーバであり、ユーザの認証情報や個人情報等を管理している。CPU301は、管理サーバ102全体の動作の制御を行うために、ROM302に記憶されている制御プログラムを読み出して、各種の制御処理を実行する。RAM303は、CPU301の主メモリ、ワークエリア等の一時記憶領域として用いられる。HDD305には、認証プログラム306や画像形成装置103,104を使用するユーザに関するユーザ情報テーブル群307が記憶されている。ユーザ情報テーブル群307の詳細は後述する。
【0026】
認証部308は、認証プログラム306に従って、画像形成装置103,104から受信した認証情報とHDD305に記憶されているユーザ情報テーブル群307にある認証情報との照合を行う。送信部304は、認証部308による認証結果を画像形成装置103,104に送信を行い、このとき、認証が成功した場合にはユーザ情報テーブル群307に含まれるユーザ情報テーブルの情報(登録内容)を併せて送信する。ネットワークI/F300は、管理サーバ102をLAN105に接続し、LAN105上の他の装置との間で各種情報の送受信を行う。
【0027】
[ユーザ情報テーブル群の詳細]
図4(a)は、ユーザ情報テーブル群307のうち、ICカード用の認証情報テーブルの一例を示す図であり、このICカード用の認証情報テーブルは、カードIDとユーザIDで構成されている。認証部308は、ICカード用の認証情報テーブルのカードID及びユーザIDを、画像形成装置103,104から管理サーバ102に送信されてくるカードID及びユーザIDと照合して、認証を行う。
【0028】
図4(b)は、ユーザ情報テーブル群307のうち、キーボード用の認証情報テーブルの一例を示す図である。このキーボード用の認証情報テーブルは、ユーザID及びパスワードで構成されており、ユーザが画像形成装置103,104の操作部215が備えるキーボード(不図示)を用いて認証を行う際に使用される。また、キーボード用の認証情報テーブルは、リモートUIによるログインのために端末100,101から画像形成装置103,104を介して受信したユーザID及びパスワードの認証にも用いられる。
【0029】
認証部308は、キーボード用の認証情報テーブルのユーザID及びパスワードを、画像形成装置103,104から送信されてくるユーザID及びパスワードと照合して、認証を行う。但し、本実施形態では、後述する通り、ユーザはユーザID及びパスワードを失念していることを前提とするため、キーボード用の認証情報テーブルは、実質的に、使用されない。
【0030】
図4(c)は、ユーザ情報テーブル群307のうち、ユーザIDと関連付けられたユーザ情報を記憶したユーザ情報テーブルの一例を示す図であり、認証が成功した場合にのみ参照される。ユーザ情報テーブルには、ユーザIDとパスワードに加えて、ユーザIDに対応するユーザのE−Mailアドレスやユーザが使用する端末(例えば、端末100)の識別情報(例えばIPアドレス)が記憶されている。本実施形態では、認証部308が、端末100,101のIPアドレス情報を利用して、ユーザによる端末100,101からのログインの許可/不許可の判定を行う。その詳細は、次にフローチャートを参照して説明する。
【0031】
[画像形成システムの制御フロー]
本実施形態では、ユーザが端末100を操作し、端末100でWebブラウザを立ち上げて、画像形成装置104にリモートUIでアクセスを試みる場合について説明する。
【0032】
図5は、端末100からWebブラウザで画像形成装置104にアクセスしようとしたときに端末100の表示部に表示される入力画面の一例を示す図である。端末100から画像形成装置104に対してリモートUIでログインを試みる場合、図5に示されるように、ユーザ名500とパスワード501の入力を要求する画面が端末100の表示部に表示される。
【0033】
ユーザが、認証情報としてのユーザ名500及びパスワード501を入力してログインキー502を押下すると、その認証情報は、一旦、画像形成装置104に入力された後、管理サーバ102に転送される。管理サーバ102は、キーボード用の認証情報テーブルを参照し、ユーザ名500及びパスワード501が正しい場合、認証成功の認証結果を画像形成装置104に送信する。画像形成装置104のログイン判定部210は、認証成功の認証結果にしたがって、端末100のログインを許可することになる。
【0034】
しかし、本実施形態では、このユーザは、通常、画像形成装置104の認証情報入力部217(ICカードリーダ)にICカードをかざして画像形成装置104へログインする認証を行っているため、ユーザID及びパスワードを失念しているものとする。したがって、ユーザはユーザ名及びパスワードを正確に思い出して入力しない限り、端末100からのリモートUIによる画像形成装置104へのログインは不可能な状態となっている。
【0035】
このような状態において、本実施形態では、別のログイン手段によって画像形成装置104にログインができる場合には、一定条件下で、ユーザ情報テーブルに登録されているIPアドレスの端末からのリモートUIによるログインを許可する。具体的には、ユーザは、端末100からのリモートUIによるアクセスを可能にするために、先ず、画像形成装置104の認証情報入力部217からのログインを試み、ログインが成功した場合には、再び、端末100からのリモートUIによるアクセスを試みる。
【0036】
図6は、画像形成装置104における、ユーザによる認証情報の入力の受け付けから、受け付けた認証情報を管理サーバ102に送信するまでの一連の動作を示すフローチャートである。図6のフローチャートに示す各動作は、画像形成装置104のCPU201が制御プログラムを実行することによって実現される。
【0037】
最初に、認証の際に必要な情報をユーザが入力するための認証画面が操作部215のLCD表示部に表示される(ステップS601)。図7は、ステップS601で表示される認証画面の一例を示す図である。図7に示されるように、デフォルトではICカードによる認証画面が表示される。なお、ユーザが、ICカードを用いず、操作部215のキーボード(不図示)によるユーザID及びパスワードによる認証を行う場合、キーボード認証キー701を押下する必要がある。
【0038】
図8は、キーボード認証キー701が押下された場合に表示される認証画面の一例を示す図である。ユーザが、キーボード(不図示)を操作してユーザID及びパスワードを入力してOKキー800を押下すると、画像形成装置104のCPU201は認証処理を開始する。一方、再びICカード認証に戻る場合、ユーザはICカード認証キー801を押下することにより、再び図7の認証画面に戻ることができる。本実施形態では、ユーザはユーザID及びパスワードを失念しているので、通常用いているICカードによる認証を行って、ログインすることになる。
【0039】
図6の説明に戻る。ステップS601での画面表示に従ってユーザがICカードをICカードリーダにかざしたが否かが判定される(ステップS602)。ICカードがかざされていない場合(S602で“NO”)、入力待ちとなる。ICカードがかざされると(S602で“YES”)、ICカードから認証情報が読み取られる。CPU201は、こうして読み取られた認証情報を、認証情報入力I/F216及びネットワークI/F206を介して管理サーバ102に送信する(ステップS603)。
【0040】
ステップS602の後の処理について、図9を参照して説明する。図9は、管理サーバ102における認証処理のフローチャートである。図9のフローチャートに示される各動作は、管理サーバ102のCPU301が認証プログラム306を読み出して実行することにより実現される。
【0041】
管理サーバ102では、最初に、画像形成装置104から認証情報を受信したか否かが判定され(ステップS901)、認証情報が通知されるまで(S901で“NO”)、認証情報の通知待ちの状態となっている。認証情報を受信すると(S901で“YES”)、認証部308が、図4(a)に示されるICカード認証用の情報テーブルをHDD305に記憶されているユーザ情報テーブル群307から読み出し、受信した認証情報との照合を行う(ステップS902)。そして、認証が成功したか否かが判定される(ステップS903)。
【0042】
認証が不成功(不一致)の場合(S903で“NO”)、CPU301は、認証不成功の認証結果をパケットのデータ部に設定し、送信部304がそのデータを画像形成装置104に送信する(ステップS906)。認証に成功(一致)した場合(S903で“YES”)、CPU301は、HDD305に記憶されているユーザ情報テーブル群307に、対応するユーザIDのユーザ情報テーブル(図4(c))が存在するか否かを判定する(ステップS904)。
【0043】
対応するユーザ情報テーブルが存在しない場合(S904で“NO”)、処理は、前述したステップS906に進められる。但し、ステップS904からステップS906に進んだ場合のステップS906では、CPU301は、認証成功の認証結果をパケットのデータ部に設定し、送信部304がそのデータを画像形成装置104に送信する。対応するユーザ情報テーブルが存在する場合(S904で“YES”)、CPU301は、認証成功の認証結果とユーザ情報テーブルの情報とを併せてパケットのデータ部に設定し、送信部304がそのデータを画像形成装置104に送信する(ステップS905)。
【0044】
ステップS905,906の後の処理について、図10を参照して説明する。図10は、画像形成装置104が管理サーバ102から認証結果を受信した後に行う処理のフローチャートである。図10のフローチャートを示す各動作は、画像形成装置104のCPU201が制御プログラムを実行することによって実現される。
【0045】
CPU201は、先ず、管理サーバ102から受信したパケットのデータ部から認証結果を抽出し、認証結果にしたがってログインの許可の可否を判定する(ステップS1001)。認証結果が不成功の場合にはログインは不許可となり(S1001で“NO”)、CPU201は、認証不成功の表示画面を生成し、操作部215のLCD表示部に表示し(ステップS1010)、その後、本処理を終了させる。認証結果が成功である場合にはログインは許可され(S1001で“YES”)、認証結果と共に受信したユーザ情報テーブルの情報に基づいてログインコンテキストを生成して、HDD204又はRAM203に一時的に記憶する(ステップS1002)。
【0046】
ステップS1002の後、CPU201は、HDD204又はRAM203に記憶したログインコンテキストの中に端末のIPアドレスが含まれているか否かを解析する(ステップS1003)。IPアドレスが含まれていない場合(S1003で“NO”)、CPU201は、端末(外部装置)からのリモートUIによるログインはできないと判断し、処理を終了させる。IPアドレスが含まれている場合(S1003で“YES”)、CPU201は、そのIPアドレスを有する端末からのリモートUIによるログインを許可する信号をログイン判定部210に送信する。そして、ログインを許可する信号を受信したログイン判定部210は、計時部211であるリモートUIログインカウンタのカウントを開始する(ステップS1004)。つまり、リモートUIによるログインが許可されてからの経過時間が計られる。
【0047】
リモートUIログインカウンタのカウントは、ICカード認証でのログイン状態とは無関係に動作を続けるため、ユーザは、画像形成装置104の操作部215よりICカード認証でのログインに成功したら、すぐにログオフすることができる。そこで、ユーザは、画像形成装置104の操作部215でログオフのための操作を行い、ログオフ後に端末100から、再度、Webブラウザを立ち上げてリモートUIで画像形成装置104にアクセスを試みる。ここでのアクセスは、例えば、図5に示されるログイン画面において、ユーザ名とパスワードを入力せずに、ログインキー502を押下することによって行われる。画像形成装置104に通知(送信)される、端末からのログインのためのアクセスを示す信号(パケット)は、端末100のIPアドレスを自動的に伴うものとする。
【0048】
ステップS1004の後、画像形成装置104のCPU201は、ログインコンテキストに登録されているIPアドレスを有する端末からのリモートUIでのアクセスが有ったか否かを判定する(ステップS1005)。画像形成装置104は、アクセスがあるまで(S1005で“NO”)、アクセス待ち状態となる。ユーザが端末100からリモートUIでのアクセスを行うと、CPU201はアクセスを検知して(S1005で“YES”)、処理をステップS1006へ進める。
【0049】
ここで、端末からのログインのためのアクセスを示す信号(パケット)には、認証に必要なユーザID及びパスワードの情報が含まれていないため、CPU201は、受信した信号を管理サーバ102へ送信しない。ステップS1005では、CPU201は、受信したパケットの中から送信元である端末のIPアドレスを抽出し、抽出されたIPアドレスとHDD204又はRAM203に記憶したログインコンテキストに含まれているIPアドレスとを照合する。照合の結果、一致した場合に処理はステップS1006へ進められ、一致しない場合にアクセス待ちとなる。
【0050】
ステップS1006では、ログイン判定部210により、リモートUIログインカウンタの値が、リモートUIによるログインを許可する制限時間を経過しているか否かが判定される。制限時間は、予めユーザによって設定されており、ログイン判定部210の条件設定部212に保持されている。例えば、ユーザが予め設定した制限時間が30分の場合、ユーザが端末100からリモートUIからアクセスしたときのリモートUIログインカウンタの値が30分以内であれば、制限時間内であると判断される。
【0051】
リモートUIログインカウンタの値が制限時間を過ぎた場合(S1006で“NO”)、ログイン判定部210は、端末100からのログインを許可しない。すなわち、端末をなりすましで操作されるとセキュリティ面で問題があるため、リモートでのログインは所定時間内に1回のみ可能である等の制約を設けることで、セキュリティレベルを低下させずに利便性を向上させることができる。
【0052】
この判断を受けて、CPU201は、ユーザID及びパスワードの入力を求めるリモートUIの画面(図5参照)を端末100に送信する(ステップS1011)。その後、CPU201は、本処理を終了させる。リモートUIログインカウンタの値が制限時間内の場合(S1006で“YES”)、CPU201は、リモートUIによるログインが許可された際に表示するURLにリダイレクトして、端末100に送信を行う(ステップS1007)。
【0053】
この段階で、ユーザはリモートUIでのユーザID及びパスワードを失念していても、画像形成装置104のログイン手段により一旦ログインしておけば、ユーザ情報テーブルに登録のあるIPアドレスを持つ端末100からのログインが許可されることになる。よって、ユーザは、例えば、端末100から画像形成装置104に対して所望する処理を実行させることができる。
【0054】
ステップS1007の後、ユーザが端末100上のWebブラウザでリモートUIのログオフを行ったか否か、つまり、端末100からログオフを指示する信号を受信したか否かが判定される(ステップS1008)。ログオフされるまで(S1008で“NO”)、画像形成装置104は待機状態となる。ログオフされると(S1008で“YES”)、CPU201は、リモートUIログインカウンタ(計時部211)のカウント動作を停止させ、カウント値を初期化し(ステップS1009)、その後、本処理を終了させる。
【0055】
ステップS1009でのリモートUIログインカウンタの値の初期化により、再びユーザが端末100上のWebブラウザよりリモートUIでログインしようとしても、今度は、ログイン許可が行われないことになり、セキュリティの低下が抑えられる。
【0056】
本実施形態では、画像形成装置104について説明したが、画像形成装置103においても同様に適用することができる。そこで、上述した制御フローを、図1の画像形成システムの構成図を用いて、画像形成装置103をリモートUIにより使用する場合について説明する。図11は、図1の画像形成システムに制御フローを模式的に重畳させて示した図である。ここで、ユーザは、リモートUIにより画像形成装置103にログインするためのユーザID及びパスワードを失念しているものとする。また、そのため、ユーザは、画像形成装置103の操作部215からICカード認証を行い、ログインを行ったものとする。
【0057】
この状態では、ユーザは端末101からリモートUIで画像形成装置103へのログインを試みても、画像形成装置103のログインコンテキストに含まれるIPアドレスと端末101のIPアドレスが不一致であるため、ログインは許可されない。一方、ユーザが端末100から画像形成装置103にリモートUIでログインする場合には、画像形成装置103のログインコンテキストのIPアドレスと端末100のIPアドレスとが一致するという条件を満たす。更に、ユーザが設定したログイン制限時間が30分であり、ユーザがリモートUIで画像形成装置103にアクセスした時のリモートUIログインカウンタの値が17分であることから、制限時間内のアクセスであるとい条件をも満たされている。よって、これら2つの条件を満足していることによって、端末100からのリモートUIアクセスが許可される。
【0058】
<第2実施形態>
第2実施形態では、第1実施形態で説明した構成に対して、管理サーバが存在せず、画像形成装置がユーザ情報テーブルを記憶しており、ユーザがログインする際の認証を行う構成について説明する。
【0059】
図12は、第2実施形態に係る情報処理装置が接続された画像形成システムの全体構成を示す図である。第2実施形態に係る画像形成システムでは、第1実施形態に係る画像形成システムが備える管理サーバ102が存在せず、画像形成装置1203,1204が管理サーバ102の役割をも果たす。すなわち、画像形成装置104(又は画像形成装置103)においてローカルにログインのための認証を行う。
【0060】
図13は、画像形成装置1204の概略構成を示すブロック図である。図2と比較すると明らかなように、画像形成装置1204では、HDD1304に認証プログラム1318とユーザ情報テーブル群1319が記憶され、更に認証部1320を備える点で、画像形成装置104と異なっているが、その他の構成に変わりはない。そのため、画像形成装置1204の構成要素のうち、画像形成装置104の構成要素と同じものについては、画像形成装置104の構成要素と同じ符号を用いている。
【0061】
認証プログラム1318及びユーザ情報テーブル群1319は、管理サーバ102のHDD305に記憶されている認証プログラム306及びユーザ情報テーブル群307と同等であり、判定部1320は認証部308と同等である。そのため、画像形成装置1204の各構成要素についての詳細な説明は省略する。なお、画像形成装置1203の画像形成装置103からの変更点は、図示しないが、画像形成装置1204の画像形成装置104からの変更点と同じである。
【0062】
画像形成装置1203,1204では、認証情報入力部217から入力された認証情報は認証部1320に送られ、認証部1320が認証を行う。具体的には、認証部1320は、操作部215及び認証情報入力部217から入力されたユーザの認証情報を、HDD204に記憶されているユーザ情報テーブル群1319の認証情報と照らし合わせて、ログインの許可/不許可の判定を行う。また、認証部1320は、リモートUIでのログインのために端末100,101から送信されてきた認証情報をユーザ情報テーブル群1319の認証情報と照らし合わせて、ログインの許可の可否を判定する。
【0063】
図14は、画像形成装置1204における、ログインのための認証からログインの許可に至る処理を示すフローチャートである。図14のフローチャートに示される各動作は、画像形成装置1204が備えるCPU1301が、不図示の制御プログラムや認証プログラム1318を実行することによって実現される。
【0064】
図14の処理は、基本的には第1実施形態において管理サーバ102で行っていた処理の全てを画像形成装置1204が行うものであり、管理サーバ102との認証結果のやり取りが無くなったことを除いて、第1実施形態と同様である。すなわち、ステップS1401〜1402の処理は、図6に示したステップS601〜602の処理と同じである。ステップS1403の処理は、図9に示したS902と同様である。ステップS1404の処理は、図9に示したステップS903〜S904及び図10に示したステップS1001の処理と同様である。ステップS1405〜1414の処理は、図10に示したステップS1002〜1011の処理と同じである。
【0065】
第2実施形態では、管理サーバ102を画像形成システムに含まない場合でも、第1実施の形態と同様の効果を得ることができる。
【0066】
<その他の実施形態>
以上、本発明をその好適な実施形態に基づいて詳述してきたが、本発明はこれら特定の実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の様々な形態も本発明に含まれる。さらに、上述した各実施形態は本発明の一実施形態を示すものにすぎず、各実施形態を適宜組み合わせることも可能である。
【0067】
例えば、認証情報入力部217として、ICカードリーダがICカードに記憶されたユーザID及びパスワードを読み取るとしたが、これに代えて、静脈パターンや指紋パターン、虹彩パターンを読み取る装置を用いてもよい。この場合、ICカード用の認証情報テーブル(図4(a)参照)に代えて、静脈や指紋のパターンにユーザIDが関連付けされた情報テーブルが準備される。
【0068】
また、第1実施形態及び第2実施形態では、操作部215でのログインにより端末100からリモートUIでのアクセスを所定時間内であれば1度だけ許可するとしたが、これに限られず、その他の方法や条件でログインを許可することも可能である。例えば、所定時間に代えて、所定回数を条件としてもよいし、その両方を条件とすることもできる。また別の例として、操作部215でログインした際に、端末100にユーザのユーザIDとパスワードを送付しておき、ユーザが端末100を使ってリモートUIアクセスを行った際に、事前に受信しておいたユーザIDとパスワードが入力される形態としてもよい。
【0069】
本発明は以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)をネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(又はCPUやMPU等)がプログラムコードを読み出して実行する処理である。この場合、そのプログラム、及び該プログラムを記憶した記憶媒体は本発明を構成することになる。
【符号の説明】
【0070】
103,104,1203,1204 画像形成装置
210 ログイン判定部
211 計時部
212 条件設定部
215 操作部
217 認証情報入力部
1318 認証プログラム
1319 ユーザ情報テーブル群
1320 認証部
【技術分野】
【0001】
本発明は、ネットワーク接続されている情報処理装置にログインするための認証技術に関する。
【背景技術】
【0002】
近年、ログインのために認証が必要な情報処理装置として、例えば、磁気カードやICカードによる接触型又は非接触型の認証を行うものが増えている。例えば、ICカードでは、記憶媒体であるICチップに個人情報が記録されており、ICカードをカードリーダにかざすと、ICチップに記憶されている個人情報が読み出されて認証が行われる。よって、ICカード等を用いた認証を行うことで、認証の都度、ユーザIDやパスワードをキーボード等から入力する手間を省くことができる。
【0003】
また、カード認証やユーザID及びパスワードの入力による認証をはじめとして、指紋認証や虹彩認証、静脈認証等の生体認証が認証手段として採用されてきており、これら複数の認証手段の幾つかを組み合わせて認証を行う情報処理装置も増えてきている。こうした状況に対応して、これらの情報処理装置に対するステータス情報の取得や各種設定をパーソナルコンピュータ等の端末(外部装置)からオンラインで受け付けるサービスをユーザへ提供するために、Webサイトを開設することが一般的になってきている。
【0004】
ここで、ネットワークを介してアクセスしたユーザの利便性を損なわずに、セキュリティを一定に保つ技術が提案されている。例えば、ユーザがネットワークを介して端末からからログインする際に、ユーザID及びパスワードによる認証と共に、端末のIPアドレスを抽出し、IPアドレスに関連付けられたサービスを提供する技術がある(例えば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2006−277715号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、情報処理装置が備える認証手段を用いてログインし、情報処理装置の操作を直接行うケースもあるが、価格の安い情報処理装置等の場合、低コスト化のために操作部の操作性が一部損なわれるものがある。この場合、情報処理装置の操作部を使用してログインするよりも、端末からリモートで情報処理装置にログインした方の利便性が高い。また、情報処理装置によっては、リモートでの操作しか受け付けない場合がある。
【0007】
更に、情報処理装置に直接にログインする際には、通常、ICカードでの認証が用いられていることが多く、ユーザIDやパスワードがそもそも不明である場合がある。このような場合、情報処理装置に対してユーザが端末からリモートでログインしようとした場合において、ユーザIDとパスワードをWebブラウザ上で求められたときに、これらを忘れている又は不明であると、リモートでのログインが不可能になってしまう。
【0008】
本発明は、ユーザが外部装置からリモートで情報処理装置にログインする際にユーザID等を失念していても、他の認証で一定の条件を満足すればその外部装置からのログインを許可する情報処理装置を提供することを目的とする。
【課題を解決するための手段】
【0009】
本発明に係る情報処理装置は、ユーザがログインを行う際に認証情報を入力するための入力手段と、前記入力手段によって入力された認証情報をネットワークに接続された管理手段に送信し、前記管理手段による認証結果を受信する送受信手段と、前記ネットワークに接続された外部装置からのログインを許可するか否かを、当該外部装置の識別情報に基づいて判定する判定手段と、を備え、前記判定手段は、前記送受信手段が前記管理手段から受信した認証結果が認証成功であり、且つ、前記認証結果に前記外部装置の識別情報が含まれている場合には、前記外部装置からのログインを許可することを特徴とする。
【発明の効果】
【0010】
本発明によれば、例えば、ICカード認証が前提の情報処理装置に対してICカード認証を行っておけば、ネットワーク接続され、予め登録してあったIPアドレスを持つ外部装置からログインすることができる。
【図面の簡単な説明】
【0011】
【図1】本発明の第1実施形態に係る情報処理装置が接続された画像形成システムの全体構成を示す図である。
【図2】図1の画像形成装置の概略構成を示すブロック図である。
【図3】図1の管理サーバの概略構成を示すブロック図である。
【図4】図3のHDDに記憶されているユーザ情報テーブル群のうち、(a)はICカード用の認証情報テーブルの一例を示す図であり、(b)はキーボード用の認証情報テーブルの一例を示す図であり、(c)はユーザIDに関連付けされたユーザ情報を記憶したユーザ情報テーブルの一例を示す図である。
【図5】図1の端末からWebブラウザで画像形成装置にアクセスする際の入力画面の一例を示す図である。
【図6】図1の画像形成システムの画像形成装置における、ユーザによる認証情報の入力の受け付けから管理サーバへの認証情報の送信に至る一連の動作を示すフローチャートである。
【図7】図6のステップS601で表示される認証画面の一例を示す図である。
【図8】図7のキーボード認証キーが押下された場合に表示される認証画面の一例を示す図である。
【図9】図6のフローチャートに示される処理に続いて、管理サーバが行う認証処理のフローチャートである。
【図10】図9のフローチャートに示される処理に続いて、画像形成装置が管理サーバから認証結果を受信した後に行う処理のフローチャートである。
【図11】図1の画像形成システムに制御フローを模式的に重畳させて示した図である。
【図12】本発明の第2実施形態に係る情報処理装置が接続された画像形成システムの全体構成を示す図である。
【図13】図12の画像形成装置の概略構成を示すブロック図である。
【図14】図12に示される画像形成装置における、ログインのための認証からログインの許可に至る処理を示すフローチャートである。
【発明を実施するための形態】
【0012】
以下、本発明の実施形態について添付図面を参照して詳細に説明する。なお、本発明は下記の実施形態に限定されるものではなく、本実施形態では、本発明に係る情報処理装置として画像形成を行う画像形成装置を取り上げるが、本発明はこれに限定されるものではない。
【0013】
<第1実施形態>
[画像形成システムの全体構成]
図1は、本発明の第1実施形態に係る情報処理装置が接続された画像形成システムの全体構成を示す図である。画像形成システムは、外部装置である端末100,101と、管理サーバ102と、情報処理装置としての画像形成装置103,104とが、ネットワークの一例であるLAN105を介して接続された構成を有している。
【0014】
端末100,101は、具体的には、パーソナルコンピュータである。画像形成装置103は、具体的には、プリンタ(SFP:Single Function Peripheral)である。画像形成装置104は、具体的には、スキャナ、プリンタ、ファクシミリ等の複数の機能を有するデジタル複合機(MFP:Multi-Function Peripheral)である。
【0015】
[画像形成装置の概略構成]
図2は、画像形成装置104の概略構成を示すブロック図である。なお、画像形成装置104は後述するスキャナI/F207とスキャナ213を備えるが、画像形成装置103はこれらを備えていない点で画像形成装置104と異なるのみで、その他の構成は同様である。
【0016】
コントローラ200は、スキャナ213、プリンタ214、操作部215及び認証情報入力部217の制御を司る。CPU201は、画像形成装置104全体の動作を制御する。CPU201は、ROM202に記憶されている制御プログラムを読み出してRAM203に展開し、読み取り制御や印刷制御等の各種制御処理を実行する。RAM203は、CPU201の主メモリ、ワークエリア等の一時記憶領域として用いられる。HDD204は、画像データや各種プログラム、後述するログインコンテキスト等を記憶する。
【0017】
Webサーバ205は、端末100,101上のWebブラウザから指定されたURL(Uniform Resource Locator)の情報を返す。本実施形態では、このように端末100,101からLAN105を介してリモートで画像形成装置104にアクセスすることを、リモートUI(User Interface)と呼ぶ。リモートUIの用途としては、端末100、101からリモートで画像形成装置104のトナー残容量やジョブ状態の確認等が挙げられる。
【0018】
画像形成装置104が比較的高価な操作部215を具備している場合、画像形成装置104(又は画像形成装置103)の種々の設定をユーザが操作部215を直接操作することによって行うことができる。一方、画像形成装置104が廉価モデルであって、操作部215の表現能力が乏しい場合、操作部215を操作して種々の設定を行うことは困難である。そこで、そのような場合には、端末100,101からリモートUIを介して諸設定を行うことで、容易に諸設定を行うことができる。
【0019】
ネットワークI/F206は、コントローラ200をLAN105に接続し、例えば、管理サーバ102に画像データや情報を送信し、端末100,101から画像データや印刷設定情報等の各種情報を受信する。なお、画像形成システムでは、端末100,101のリモートUIによるログインのために、LAN105を介して端末100,101からユーザID及びパスワードを画像形成装置104に送信することができるようになっている。その場合、CPU201は、ネットワークI/F206を介して受信したユーザID及びパスワードを、認証のために、ネットワークI/F206及びLAN105を介して、管理サーバ102へ送信する。但し、本実施形態では、後述の通り、ユーザがユーザID及びパスワードを失念していることを前提とするため、端末100,101からユーザID及びパスワードを画像形成装置104に送信する方法によるログインは行われないことになる。
【0020】
スキャナI/F207は、スキャナ213とコントローラ200とを接続する。スキャナ213は、原稿画像を読み取って画像データを生成し、スキャナI/F207を介してコントローラ200に入力する。プリンタI/F208は、プリンタ214とコントローラ200とを接続する。プリンタ214で印刷する画像データはプリンタI/F208を介してコントローラ200からプリンタ214に送信され、プリンタ214において記録媒体への印刷が行われる。
【0021】
操作部I/F209は、操作部215とコントローラ200とを接続する。操作部215は、スイッチやLED、タッチパネル式のLCD表示部等を備えている。操作部215で入力した情報が操作部I/F209を介してCPU201に伝えられ、CPU201が入力された情報に従う処理を実行すると、処理の進行状態がLCD表示部に表示される。
【0022】
なお、ユーザは、操作部215からユーザID及びパスワードを入力して画像形成装置104にログインすることも可能である。この場合、操作部215で入力されたユーザID及びパスワードは、認証を行うために操作部I/F209及びネットワークI/F206を介して管理サーバ102へ送信される。但し、本実施形態では、後述の通り、ユーザがユーザID及びパスワードを失念していることを前提とするため、操作部215からのログインは行われないことにする。
【0023】
認証情報入力I/F216は、認証情報入力部217とコントローラ200とを接続する。認証情報入力部217は、ユーザが画像形成装置104にログインする際に必要な認証情報を入力するための手段である。本実施形態では、認証情報入力部217は、具体的には、ICカードに記憶されたユーザIDやパスワードを読み取るカードリーダであるが、磁気カードからユーザIDやパスワードを読み取るカードリーダであってもよい。認証情報入力部217から入力されたユーザの認証情報は、認証情報入力I/F216を介してCPU201に伝えられ、認証を行うためにLAN105を介して管理サーバ102に送信される。
【0024】
ログイン判定部210は、管理サーバ102から受信した認証結果を解析して、認証情報入力部217を用いたログインの許可の可否(許可/不許可)を判定する。また、詳細は後述するが、ログイン判定部210には、認証情報入力部217を用いたログインの許可後に、端末100,101からのリモートUIによるログインを許可する条件が設定される。ログイン判定部210が有する計時部211は、認証情報入力部217からのログインが許可された場合にカウントを開始する。条件設定部212には、計時部211がタイムアップする時間(端末100,101からのリモートUIによるログインを許可する制限時間)が設定される。
【0025】
[管理サーバの概略構成]
図3は、管理サーバ102の概略構成を示すブロック図である。管理サーバ102は、所謂、LDAP(Lightweight Directory Access Protocol)サーバであり、ユーザの認証情報や個人情報等を管理している。CPU301は、管理サーバ102全体の動作の制御を行うために、ROM302に記憶されている制御プログラムを読み出して、各種の制御処理を実行する。RAM303は、CPU301の主メモリ、ワークエリア等の一時記憶領域として用いられる。HDD305には、認証プログラム306や画像形成装置103,104を使用するユーザに関するユーザ情報テーブル群307が記憶されている。ユーザ情報テーブル群307の詳細は後述する。
【0026】
認証部308は、認証プログラム306に従って、画像形成装置103,104から受信した認証情報とHDD305に記憶されているユーザ情報テーブル群307にある認証情報との照合を行う。送信部304は、認証部308による認証結果を画像形成装置103,104に送信を行い、このとき、認証が成功した場合にはユーザ情報テーブル群307に含まれるユーザ情報テーブルの情報(登録内容)を併せて送信する。ネットワークI/F300は、管理サーバ102をLAN105に接続し、LAN105上の他の装置との間で各種情報の送受信を行う。
【0027】
[ユーザ情報テーブル群の詳細]
図4(a)は、ユーザ情報テーブル群307のうち、ICカード用の認証情報テーブルの一例を示す図であり、このICカード用の認証情報テーブルは、カードIDとユーザIDで構成されている。認証部308は、ICカード用の認証情報テーブルのカードID及びユーザIDを、画像形成装置103,104から管理サーバ102に送信されてくるカードID及びユーザIDと照合して、認証を行う。
【0028】
図4(b)は、ユーザ情報テーブル群307のうち、キーボード用の認証情報テーブルの一例を示す図である。このキーボード用の認証情報テーブルは、ユーザID及びパスワードで構成されており、ユーザが画像形成装置103,104の操作部215が備えるキーボード(不図示)を用いて認証を行う際に使用される。また、キーボード用の認証情報テーブルは、リモートUIによるログインのために端末100,101から画像形成装置103,104を介して受信したユーザID及びパスワードの認証にも用いられる。
【0029】
認証部308は、キーボード用の認証情報テーブルのユーザID及びパスワードを、画像形成装置103,104から送信されてくるユーザID及びパスワードと照合して、認証を行う。但し、本実施形態では、後述する通り、ユーザはユーザID及びパスワードを失念していることを前提とするため、キーボード用の認証情報テーブルは、実質的に、使用されない。
【0030】
図4(c)は、ユーザ情報テーブル群307のうち、ユーザIDと関連付けられたユーザ情報を記憶したユーザ情報テーブルの一例を示す図であり、認証が成功した場合にのみ参照される。ユーザ情報テーブルには、ユーザIDとパスワードに加えて、ユーザIDに対応するユーザのE−Mailアドレスやユーザが使用する端末(例えば、端末100)の識別情報(例えばIPアドレス)が記憶されている。本実施形態では、認証部308が、端末100,101のIPアドレス情報を利用して、ユーザによる端末100,101からのログインの許可/不許可の判定を行う。その詳細は、次にフローチャートを参照して説明する。
【0031】
[画像形成システムの制御フロー]
本実施形態では、ユーザが端末100を操作し、端末100でWebブラウザを立ち上げて、画像形成装置104にリモートUIでアクセスを試みる場合について説明する。
【0032】
図5は、端末100からWebブラウザで画像形成装置104にアクセスしようとしたときに端末100の表示部に表示される入力画面の一例を示す図である。端末100から画像形成装置104に対してリモートUIでログインを試みる場合、図5に示されるように、ユーザ名500とパスワード501の入力を要求する画面が端末100の表示部に表示される。
【0033】
ユーザが、認証情報としてのユーザ名500及びパスワード501を入力してログインキー502を押下すると、その認証情報は、一旦、画像形成装置104に入力された後、管理サーバ102に転送される。管理サーバ102は、キーボード用の認証情報テーブルを参照し、ユーザ名500及びパスワード501が正しい場合、認証成功の認証結果を画像形成装置104に送信する。画像形成装置104のログイン判定部210は、認証成功の認証結果にしたがって、端末100のログインを許可することになる。
【0034】
しかし、本実施形態では、このユーザは、通常、画像形成装置104の認証情報入力部217(ICカードリーダ)にICカードをかざして画像形成装置104へログインする認証を行っているため、ユーザID及びパスワードを失念しているものとする。したがって、ユーザはユーザ名及びパスワードを正確に思い出して入力しない限り、端末100からのリモートUIによる画像形成装置104へのログインは不可能な状態となっている。
【0035】
このような状態において、本実施形態では、別のログイン手段によって画像形成装置104にログインができる場合には、一定条件下で、ユーザ情報テーブルに登録されているIPアドレスの端末からのリモートUIによるログインを許可する。具体的には、ユーザは、端末100からのリモートUIによるアクセスを可能にするために、先ず、画像形成装置104の認証情報入力部217からのログインを試み、ログインが成功した場合には、再び、端末100からのリモートUIによるアクセスを試みる。
【0036】
図6は、画像形成装置104における、ユーザによる認証情報の入力の受け付けから、受け付けた認証情報を管理サーバ102に送信するまでの一連の動作を示すフローチャートである。図6のフローチャートに示す各動作は、画像形成装置104のCPU201が制御プログラムを実行することによって実現される。
【0037】
最初に、認証の際に必要な情報をユーザが入力するための認証画面が操作部215のLCD表示部に表示される(ステップS601)。図7は、ステップS601で表示される認証画面の一例を示す図である。図7に示されるように、デフォルトではICカードによる認証画面が表示される。なお、ユーザが、ICカードを用いず、操作部215のキーボード(不図示)によるユーザID及びパスワードによる認証を行う場合、キーボード認証キー701を押下する必要がある。
【0038】
図8は、キーボード認証キー701が押下された場合に表示される認証画面の一例を示す図である。ユーザが、キーボード(不図示)を操作してユーザID及びパスワードを入力してOKキー800を押下すると、画像形成装置104のCPU201は認証処理を開始する。一方、再びICカード認証に戻る場合、ユーザはICカード認証キー801を押下することにより、再び図7の認証画面に戻ることができる。本実施形態では、ユーザはユーザID及びパスワードを失念しているので、通常用いているICカードによる認証を行って、ログインすることになる。
【0039】
図6の説明に戻る。ステップS601での画面表示に従ってユーザがICカードをICカードリーダにかざしたが否かが判定される(ステップS602)。ICカードがかざされていない場合(S602で“NO”)、入力待ちとなる。ICカードがかざされると(S602で“YES”)、ICカードから認証情報が読み取られる。CPU201は、こうして読み取られた認証情報を、認証情報入力I/F216及びネットワークI/F206を介して管理サーバ102に送信する(ステップS603)。
【0040】
ステップS602の後の処理について、図9を参照して説明する。図9は、管理サーバ102における認証処理のフローチャートである。図9のフローチャートに示される各動作は、管理サーバ102のCPU301が認証プログラム306を読み出して実行することにより実現される。
【0041】
管理サーバ102では、最初に、画像形成装置104から認証情報を受信したか否かが判定され(ステップS901)、認証情報が通知されるまで(S901で“NO”)、認証情報の通知待ちの状態となっている。認証情報を受信すると(S901で“YES”)、認証部308が、図4(a)に示されるICカード認証用の情報テーブルをHDD305に記憶されているユーザ情報テーブル群307から読み出し、受信した認証情報との照合を行う(ステップS902)。そして、認証が成功したか否かが判定される(ステップS903)。
【0042】
認証が不成功(不一致)の場合(S903で“NO”)、CPU301は、認証不成功の認証結果をパケットのデータ部に設定し、送信部304がそのデータを画像形成装置104に送信する(ステップS906)。認証に成功(一致)した場合(S903で“YES”)、CPU301は、HDD305に記憶されているユーザ情報テーブル群307に、対応するユーザIDのユーザ情報テーブル(図4(c))が存在するか否かを判定する(ステップS904)。
【0043】
対応するユーザ情報テーブルが存在しない場合(S904で“NO”)、処理は、前述したステップS906に進められる。但し、ステップS904からステップS906に進んだ場合のステップS906では、CPU301は、認証成功の認証結果をパケットのデータ部に設定し、送信部304がそのデータを画像形成装置104に送信する。対応するユーザ情報テーブルが存在する場合(S904で“YES”)、CPU301は、認証成功の認証結果とユーザ情報テーブルの情報とを併せてパケットのデータ部に設定し、送信部304がそのデータを画像形成装置104に送信する(ステップS905)。
【0044】
ステップS905,906の後の処理について、図10を参照して説明する。図10は、画像形成装置104が管理サーバ102から認証結果を受信した後に行う処理のフローチャートである。図10のフローチャートを示す各動作は、画像形成装置104のCPU201が制御プログラムを実行することによって実現される。
【0045】
CPU201は、先ず、管理サーバ102から受信したパケットのデータ部から認証結果を抽出し、認証結果にしたがってログインの許可の可否を判定する(ステップS1001)。認証結果が不成功の場合にはログインは不許可となり(S1001で“NO”)、CPU201は、認証不成功の表示画面を生成し、操作部215のLCD表示部に表示し(ステップS1010)、その後、本処理を終了させる。認証結果が成功である場合にはログインは許可され(S1001で“YES”)、認証結果と共に受信したユーザ情報テーブルの情報に基づいてログインコンテキストを生成して、HDD204又はRAM203に一時的に記憶する(ステップS1002)。
【0046】
ステップS1002の後、CPU201は、HDD204又はRAM203に記憶したログインコンテキストの中に端末のIPアドレスが含まれているか否かを解析する(ステップS1003)。IPアドレスが含まれていない場合(S1003で“NO”)、CPU201は、端末(外部装置)からのリモートUIによるログインはできないと判断し、処理を終了させる。IPアドレスが含まれている場合(S1003で“YES”)、CPU201は、そのIPアドレスを有する端末からのリモートUIによるログインを許可する信号をログイン判定部210に送信する。そして、ログインを許可する信号を受信したログイン判定部210は、計時部211であるリモートUIログインカウンタのカウントを開始する(ステップS1004)。つまり、リモートUIによるログインが許可されてからの経過時間が計られる。
【0047】
リモートUIログインカウンタのカウントは、ICカード認証でのログイン状態とは無関係に動作を続けるため、ユーザは、画像形成装置104の操作部215よりICカード認証でのログインに成功したら、すぐにログオフすることができる。そこで、ユーザは、画像形成装置104の操作部215でログオフのための操作を行い、ログオフ後に端末100から、再度、Webブラウザを立ち上げてリモートUIで画像形成装置104にアクセスを試みる。ここでのアクセスは、例えば、図5に示されるログイン画面において、ユーザ名とパスワードを入力せずに、ログインキー502を押下することによって行われる。画像形成装置104に通知(送信)される、端末からのログインのためのアクセスを示す信号(パケット)は、端末100のIPアドレスを自動的に伴うものとする。
【0048】
ステップS1004の後、画像形成装置104のCPU201は、ログインコンテキストに登録されているIPアドレスを有する端末からのリモートUIでのアクセスが有ったか否かを判定する(ステップS1005)。画像形成装置104は、アクセスがあるまで(S1005で“NO”)、アクセス待ち状態となる。ユーザが端末100からリモートUIでのアクセスを行うと、CPU201はアクセスを検知して(S1005で“YES”)、処理をステップS1006へ進める。
【0049】
ここで、端末からのログインのためのアクセスを示す信号(パケット)には、認証に必要なユーザID及びパスワードの情報が含まれていないため、CPU201は、受信した信号を管理サーバ102へ送信しない。ステップS1005では、CPU201は、受信したパケットの中から送信元である端末のIPアドレスを抽出し、抽出されたIPアドレスとHDD204又はRAM203に記憶したログインコンテキストに含まれているIPアドレスとを照合する。照合の結果、一致した場合に処理はステップS1006へ進められ、一致しない場合にアクセス待ちとなる。
【0050】
ステップS1006では、ログイン判定部210により、リモートUIログインカウンタの値が、リモートUIによるログインを許可する制限時間を経過しているか否かが判定される。制限時間は、予めユーザによって設定されており、ログイン判定部210の条件設定部212に保持されている。例えば、ユーザが予め設定した制限時間が30分の場合、ユーザが端末100からリモートUIからアクセスしたときのリモートUIログインカウンタの値が30分以内であれば、制限時間内であると判断される。
【0051】
リモートUIログインカウンタの値が制限時間を過ぎた場合(S1006で“NO”)、ログイン判定部210は、端末100からのログインを許可しない。すなわち、端末をなりすましで操作されるとセキュリティ面で問題があるため、リモートでのログインは所定時間内に1回のみ可能である等の制約を設けることで、セキュリティレベルを低下させずに利便性を向上させることができる。
【0052】
この判断を受けて、CPU201は、ユーザID及びパスワードの入力を求めるリモートUIの画面(図5参照)を端末100に送信する(ステップS1011)。その後、CPU201は、本処理を終了させる。リモートUIログインカウンタの値が制限時間内の場合(S1006で“YES”)、CPU201は、リモートUIによるログインが許可された際に表示するURLにリダイレクトして、端末100に送信を行う(ステップS1007)。
【0053】
この段階で、ユーザはリモートUIでのユーザID及びパスワードを失念していても、画像形成装置104のログイン手段により一旦ログインしておけば、ユーザ情報テーブルに登録のあるIPアドレスを持つ端末100からのログインが許可されることになる。よって、ユーザは、例えば、端末100から画像形成装置104に対して所望する処理を実行させることができる。
【0054】
ステップS1007の後、ユーザが端末100上のWebブラウザでリモートUIのログオフを行ったか否か、つまり、端末100からログオフを指示する信号を受信したか否かが判定される(ステップS1008)。ログオフされるまで(S1008で“NO”)、画像形成装置104は待機状態となる。ログオフされると(S1008で“YES”)、CPU201は、リモートUIログインカウンタ(計時部211)のカウント動作を停止させ、カウント値を初期化し(ステップS1009)、その後、本処理を終了させる。
【0055】
ステップS1009でのリモートUIログインカウンタの値の初期化により、再びユーザが端末100上のWebブラウザよりリモートUIでログインしようとしても、今度は、ログイン許可が行われないことになり、セキュリティの低下が抑えられる。
【0056】
本実施形態では、画像形成装置104について説明したが、画像形成装置103においても同様に適用することができる。そこで、上述した制御フローを、図1の画像形成システムの構成図を用いて、画像形成装置103をリモートUIにより使用する場合について説明する。図11は、図1の画像形成システムに制御フローを模式的に重畳させて示した図である。ここで、ユーザは、リモートUIにより画像形成装置103にログインするためのユーザID及びパスワードを失念しているものとする。また、そのため、ユーザは、画像形成装置103の操作部215からICカード認証を行い、ログインを行ったものとする。
【0057】
この状態では、ユーザは端末101からリモートUIで画像形成装置103へのログインを試みても、画像形成装置103のログインコンテキストに含まれるIPアドレスと端末101のIPアドレスが不一致であるため、ログインは許可されない。一方、ユーザが端末100から画像形成装置103にリモートUIでログインする場合には、画像形成装置103のログインコンテキストのIPアドレスと端末100のIPアドレスとが一致するという条件を満たす。更に、ユーザが設定したログイン制限時間が30分であり、ユーザがリモートUIで画像形成装置103にアクセスした時のリモートUIログインカウンタの値が17分であることから、制限時間内のアクセスであるとい条件をも満たされている。よって、これら2つの条件を満足していることによって、端末100からのリモートUIアクセスが許可される。
【0058】
<第2実施形態>
第2実施形態では、第1実施形態で説明した構成に対して、管理サーバが存在せず、画像形成装置がユーザ情報テーブルを記憶しており、ユーザがログインする際の認証を行う構成について説明する。
【0059】
図12は、第2実施形態に係る情報処理装置が接続された画像形成システムの全体構成を示す図である。第2実施形態に係る画像形成システムでは、第1実施形態に係る画像形成システムが備える管理サーバ102が存在せず、画像形成装置1203,1204が管理サーバ102の役割をも果たす。すなわち、画像形成装置104(又は画像形成装置103)においてローカルにログインのための認証を行う。
【0060】
図13は、画像形成装置1204の概略構成を示すブロック図である。図2と比較すると明らかなように、画像形成装置1204では、HDD1304に認証プログラム1318とユーザ情報テーブル群1319が記憶され、更に認証部1320を備える点で、画像形成装置104と異なっているが、その他の構成に変わりはない。そのため、画像形成装置1204の構成要素のうち、画像形成装置104の構成要素と同じものについては、画像形成装置104の構成要素と同じ符号を用いている。
【0061】
認証プログラム1318及びユーザ情報テーブル群1319は、管理サーバ102のHDD305に記憶されている認証プログラム306及びユーザ情報テーブル群307と同等であり、判定部1320は認証部308と同等である。そのため、画像形成装置1204の各構成要素についての詳細な説明は省略する。なお、画像形成装置1203の画像形成装置103からの変更点は、図示しないが、画像形成装置1204の画像形成装置104からの変更点と同じである。
【0062】
画像形成装置1203,1204では、認証情報入力部217から入力された認証情報は認証部1320に送られ、認証部1320が認証を行う。具体的には、認証部1320は、操作部215及び認証情報入力部217から入力されたユーザの認証情報を、HDD204に記憶されているユーザ情報テーブル群1319の認証情報と照らし合わせて、ログインの許可/不許可の判定を行う。また、認証部1320は、リモートUIでのログインのために端末100,101から送信されてきた認証情報をユーザ情報テーブル群1319の認証情報と照らし合わせて、ログインの許可の可否を判定する。
【0063】
図14は、画像形成装置1204における、ログインのための認証からログインの許可に至る処理を示すフローチャートである。図14のフローチャートに示される各動作は、画像形成装置1204が備えるCPU1301が、不図示の制御プログラムや認証プログラム1318を実行することによって実現される。
【0064】
図14の処理は、基本的には第1実施形態において管理サーバ102で行っていた処理の全てを画像形成装置1204が行うものであり、管理サーバ102との認証結果のやり取りが無くなったことを除いて、第1実施形態と同様である。すなわち、ステップS1401〜1402の処理は、図6に示したステップS601〜602の処理と同じである。ステップS1403の処理は、図9に示したS902と同様である。ステップS1404の処理は、図9に示したステップS903〜S904及び図10に示したステップS1001の処理と同様である。ステップS1405〜1414の処理は、図10に示したステップS1002〜1011の処理と同じである。
【0065】
第2実施形態では、管理サーバ102を画像形成システムに含まない場合でも、第1実施の形態と同様の効果を得ることができる。
【0066】
<その他の実施形態>
以上、本発明をその好適な実施形態に基づいて詳述してきたが、本発明はこれら特定の実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の様々な形態も本発明に含まれる。さらに、上述した各実施形態は本発明の一実施形態を示すものにすぎず、各実施形態を適宜組み合わせることも可能である。
【0067】
例えば、認証情報入力部217として、ICカードリーダがICカードに記憶されたユーザID及びパスワードを読み取るとしたが、これに代えて、静脈パターンや指紋パターン、虹彩パターンを読み取る装置を用いてもよい。この場合、ICカード用の認証情報テーブル(図4(a)参照)に代えて、静脈や指紋のパターンにユーザIDが関連付けされた情報テーブルが準備される。
【0068】
また、第1実施形態及び第2実施形態では、操作部215でのログインにより端末100からリモートUIでのアクセスを所定時間内であれば1度だけ許可するとしたが、これに限られず、その他の方法や条件でログインを許可することも可能である。例えば、所定時間に代えて、所定回数を条件としてもよいし、その両方を条件とすることもできる。また別の例として、操作部215でログインした際に、端末100にユーザのユーザIDとパスワードを送付しておき、ユーザが端末100を使ってリモートUIアクセスを行った際に、事前に受信しておいたユーザIDとパスワードが入力される形態としてもよい。
【0069】
本発明は以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)をネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(又はCPUやMPU等)がプログラムコードを読み出して実行する処理である。この場合、そのプログラム、及び該プログラムを記憶した記憶媒体は本発明を構成することになる。
【符号の説明】
【0070】
103,104,1203,1204 画像形成装置
210 ログイン判定部
211 計時部
212 条件設定部
215 操作部
217 認証情報入力部
1318 認証プログラム
1319 ユーザ情報テーブル群
1320 認証部
【特許請求の範囲】
【請求項1】
ユーザがログインを行う際に認証情報を入力するための入力手段と、
前記入力手段によって入力された認証情報をネットワークに接続された管理手段に送信し、前記管理手段による認証結果を受信する送受信手段と、
前記ネットワークに接続された外部装置からのログインを許可するか否かを、当該外部装置の識別情報に基づいて判定する判定手段と、を備え、
前記判定手段は、前記送受信手段が前記管理手段から受信した認証結果が認証成功であり、且つ、前記認証結果に前記外部装置の識別情報が含まれている場合には、前記外部装置からのログインを許可することを特徴とする情報処理装置。
【請求項2】
ユーザがログインを行う際に認証情報を入力するための入力手段と、
ログインを許可するユーザのユーザ情報を記憶する記憶手段と、
前記入力手段によって入力された認証情報を前記記憶手段に記憶されたユーザ情報と照合し、前記認証情報が前記ユーザ情報に含まれている場合に認証成功と判断する認証手段と、
ネットワークに接続された外部装置からのログインを許可するか否かを、当該外部装置の識別情報に基づいて判定する判定手段と、を備え、
前記判定手段は、前記認証手段が認証成功と判断した場合における前記照合に用いた前記ユーザ情報に前記外部装置の識別情報が含まれている場合には、当該外部装置からのログインを許可することを特徴とする情報処理装置。
【請求項3】
前記入力手段から入力される前記認証情報は、ICカード又は磁気カードに記録された前記ユーザのユーザID及びパスワード、或いは、前記ユーザの指紋パターン又は静脈パターンのいずれかであることを特徴とする請求項1又は2記載の情報処理装置。
【請求項4】
前記判定手段は、
前記外部装置からのログインを許可する制限時間を設定するための条件設定手段と、
前記判定手段が前記外部装置からのログインを許可してからの経過時間を計る計時手段と、を更に備え、
前記判定手段は、前記計時手段による経過時間が前記制限時間を経過する前の前記外部装置からのログインを許可し、前記計時手段による経過時間が前記制限時間を経過した後の前記外部装置からのログインを許可しないことを特徴とする請求項1乃至3のいずれか1項に記載の情報処理装置。
【請求項5】
前記判定手段は、前記外部装置からのログインを許可した後に当該外部装置からログオフを指示する信号を受信した場合、前記計時手段を停止させ、その後の当該外部装置からのログインを許可しないことを特徴とする請求項4記載の情報処理装置。
【請求項6】
ユーザが情報処理装置にログインする際に当該情報処理装置において実行される情報処理方法であって、
ユーザがログインを行う際に認証情報を入力するための入力ステップと、
前記入力ステップで入力された認証情報をネットワークに接続された管理手段に送信し、前記管理手段による認証結果を受信する送受信ステップと、
前記ネットワークに接続された外部装置からのログインを許可するか否かを当該外部装置の識別情報に基づいて判定する判定ステップと、を有し、
前記判定ステップでは、前記送受信ステップにおいて前記管理手段から受信した認証結果が認証成功であり、且つ、前記認証結果に前記外部装置の識別情報が含まれる場合には、前記外部装置からのログインを許可することを特徴とする情報処理方法。
【請求項7】
ログインを許可するユーザのユーザ情報を記憶した記憶手段を備えた情報処理装置に対してユーザがログインする際に当該情報処理装置において実行される情報処理方法であって、
ユーザがログインを行う際に認証情報を入力するための入力ステップと、
前記入力ステップで入力された認証情報を前記記憶手段に記憶されたユーザ情報と照合し、前記認証情報が前記ユーザ情報に含まれている場合に認証成功と判断する認証ステップと、
ネットワークに接続された外部装置からのログインを許可するか否かを判定する判定ステップと、を有し、
前記判定ステップでは、前記認証ステップで認証成功と判断した場合における前記照合に用いた前記ユーザ情報に前記外部装置の識別情報が含まれている場合には、前記外部装置からのログインを許可することを特徴とする情報処理方法。
【請求項8】
請求項6記載の情報処理方法をコンピュータに実行させることを特徴とするプログラム。
【請求項9】
請求項7記載の情報処理方法をコンピュータに実行させることを特徴とするプログラム。
【請求項1】
ユーザがログインを行う際に認証情報を入力するための入力手段と、
前記入力手段によって入力された認証情報をネットワークに接続された管理手段に送信し、前記管理手段による認証結果を受信する送受信手段と、
前記ネットワークに接続された外部装置からのログインを許可するか否かを、当該外部装置の識別情報に基づいて判定する判定手段と、を備え、
前記判定手段は、前記送受信手段が前記管理手段から受信した認証結果が認証成功であり、且つ、前記認証結果に前記外部装置の識別情報が含まれている場合には、前記外部装置からのログインを許可することを特徴とする情報処理装置。
【請求項2】
ユーザがログインを行う際に認証情報を入力するための入力手段と、
ログインを許可するユーザのユーザ情報を記憶する記憶手段と、
前記入力手段によって入力された認証情報を前記記憶手段に記憶されたユーザ情報と照合し、前記認証情報が前記ユーザ情報に含まれている場合に認証成功と判断する認証手段と、
ネットワークに接続された外部装置からのログインを許可するか否かを、当該外部装置の識別情報に基づいて判定する判定手段と、を備え、
前記判定手段は、前記認証手段が認証成功と判断した場合における前記照合に用いた前記ユーザ情報に前記外部装置の識別情報が含まれている場合には、当該外部装置からのログインを許可することを特徴とする情報処理装置。
【請求項3】
前記入力手段から入力される前記認証情報は、ICカード又は磁気カードに記録された前記ユーザのユーザID及びパスワード、或いは、前記ユーザの指紋パターン又は静脈パターンのいずれかであることを特徴とする請求項1又は2記載の情報処理装置。
【請求項4】
前記判定手段は、
前記外部装置からのログインを許可する制限時間を設定するための条件設定手段と、
前記判定手段が前記外部装置からのログインを許可してからの経過時間を計る計時手段と、を更に備え、
前記判定手段は、前記計時手段による経過時間が前記制限時間を経過する前の前記外部装置からのログインを許可し、前記計時手段による経過時間が前記制限時間を経過した後の前記外部装置からのログインを許可しないことを特徴とする請求項1乃至3のいずれか1項に記載の情報処理装置。
【請求項5】
前記判定手段は、前記外部装置からのログインを許可した後に当該外部装置からログオフを指示する信号を受信した場合、前記計時手段を停止させ、その後の当該外部装置からのログインを許可しないことを特徴とする請求項4記載の情報処理装置。
【請求項6】
ユーザが情報処理装置にログインする際に当該情報処理装置において実行される情報処理方法であって、
ユーザがログインを行う際に認証情報を入力するための入力ステップと、
前記入力ステップで入力された認証情報をネットワークに接続された管理手段に送信し、前記管理手段による認証結果を受信する送受信ステップと、
前記ネットワークに接続された外部装置からのログインを許可するか否かを当該外部装置の識別情報に基づいて判定する判定ステップと、を有し、
前記判定ステップでは、前記送受信ステップにおいて前記管理手段から受信した認証結果が認証成功であり、且つ、前記認証結果に前記外部装置の識別情報が含まれる場合には、前記外部装置からのログインを許可することを特徴とする情報処理方法。
【請求項7】
ログインを許可するユーザのユーザ情報を記憶した記憶手段を備えた情報処理装置に対してユーザがログインする際に当該情報処理装置において実行される情報処理方法であって、
ユーザがログインを行う際に認証情報を入力するための入力ステップと、
前記入力ステップで入力された認証情報を前記記憶手段に記憶されたユーザ情報と照合し、前記認証情報が前記ユーザ情報に含まれている場合に認証成功と判断する認証ステップと、
ネットワークに接続された外部装置からのログインを許可するか否かを判定する判定ステップと、を有し、
前記判定ステップでは、前記認証ステップで認証成功と判断した場合における前記照合に用いた前記ユーザ情報に前記外部装置の識別情報が含まれている場合には、前記外部装置からのログインを許可することを特徴とする情報処理方法。
【請求項8】
請求項6記載の情報処理方法をコンピュータに実行させることを特徴とするプログラム。
【請求項9】
請求項7記載の情報処理方法をコンピュータに実行させることを特徴とするプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【公開番号】特開2012−88859(P2012−88859A)
【公開日】平成24年5月10日(2012.5.10)
【国際特許分類】
【出願番号】特願2010−233916(P2010−233916)
【出願日】平成22年10月18日(2010.10.18)
【出願人】(000001007)キヤノン株式会社 (59,756)
【Fターム(参考)】
【公開日】平成24年5月10日(2012.5.10)
【国際特許分類】
【出願日】平成22年10月18日(2010.10.18)
【出願人】(000001007)キヤノン株式会社 (59,756)
【Fターム(参考)】
[ Back to top ]