情報処理装置、情報処理装置のユーザ認証方法
【課題】 メモリや記憶領域の利用を少なくし、かつネットワークだけでなく同じノード内の認証処理にも適用できる証明情報共有手段を提供する。
【解決手段】 ユーザが情報処理装置110ログインした際に証明情報をユーザセッション情報に登録し、さらにアプリケーションモジュールA305を実行する際に認証部309にログインした際に生成した証明情報もユーザセッションに登録する。ユーザが情報処理装置110からログアウトした際にこれら証明情報を消去する。
【解決手段】 ユーザが情報処理装置110ログインした際に証明情報をユーザセッション情報に登録し、さらにアプリケーションモジュールA305を実行する際に認証部309にログインした際に生成した証明情報もユーザセッションに登録する。ユーザが情報処理装置110からログアウトした際にこれら証明情報を消去する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明はユーザ認証機能を備える情報処理装置に関する。
【背景技術】
【0002】
近年、情報処理装置の一つである画像処理装置の機能が多様になってきており、ユーザ認証機能が広く用いられるようになってきている。ユーザ認証機能は、画像処理装置画像処理装置を利用するユーザを識別する機能である。ユーザ認証機能によって、例えば、画像処理装置画像処理装置を利用するユーザに証明情報の入力を求め、認証が成功した場合に当該ユーザに画像処理装置の利用を許可する、といったことが可能になる。
【0003】
更に、画像処理装置は、ネットワークリソース(ファイルサーバや電子メールサーバ)と連携したジョブを実行することが可能である。このようなジョブを実行する場合、画像処理装置でのユーザ認証と、ネットワークリソースを利用するためのユーザ認証とを必要とする。このような場合、シングルサインオンにより、ユーザはユーザIDやパスワードの入力を1度で済ませることを可能にするための技術が知られている。
【0004】
例えば、特許文献1では、このシングルサインオンを実現するために、ローカルコンピュータへのログオンデータまたはキャッシュしている他のログオンデータを用いて、ユーザが一度登録した情報を再び認証が必要な際に利用するよう構成されている。これによって、ユーザが複数回同一の証明情報を入力する手間を軽減し、シングルサインオンを実現している。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開平8−263417
【発明の概要】
【発明が解決しようとする課題】
【0006】
特許文献1の方法ではシングルサインオンを実現するために複数のユーザのユーザ名とパスワードの組を記憶装置に蓄積しておく必要があり、これらの情報を蓄積するために多くのメモリ資源を必要とする。
【0007】
本発明は、多くのメモリ資源を必要とせずにシングルサインオンを実現することが可能な情報処理装置を提供することを目的とする。
【課題を解決するための手段】
【0008】
上記目的を達成するため、本発明の情報処理装置はアプリケーションを実行することが可能な情報処理装置において、前記情報処理装置のユーザを認証する第1認証手段と、前記第1認証手段による認証に関する情報である第1証明情報を記憶する第1記憶手段と、前記第1認証手段により認証されたユーザの指示に基づいて前記アプリケーションを実行する場合に、前記記憶手段に記憶された前記第1証明情報を取得する取得手段と、前記取得手段が取得した第1証明情報を用いて、前記アプリケーションを実行するために必要な認証を第2認証手段に対して要求する要求手段と、前記要求手段による要求に基づいて前記第2認証手段が行った認証が成功した場合に、前記アプリケーションを実行するアプリケーション実行手段と、前記第2認証手段による認証に関する情報である第2証明情報を前記第1証明情報に関連付けて記憶する第2記憶手段と、を有することを特徴とする。
【発明の効果】
【0009】
本発明によれば、多くのメモリ資源を必要とせずにシングルサインオンを実現することが可能になる。
【図面の簡単な説明】
【0010】
【図1】画像処理装置を含むシステムの全体構成の一例を示すブロック図である。
【図2】画像処理装置110、および画像処理装置120のハードウェア構成の一例を示す図である。
【図3】画像処理装置のソフトウェアモジュールの構成の一例を示した図である。
【図4】本実施形態の画像処理装置がユーザ認証を実行する場合に表示する操作画面の一例を示す図である。
【図5】本実施形態におけるユーザセッション情報の一例を示す図である。
【図6】ユーザ認証モジュール310が実行するユーザ認証処理の一例を示すフローチャートである。
【図7】本実施形態の画像処理装置における認証処理及び証明情報登録処理の一例を示すフローチャートである。
【図8】本実施形態の画像処理装置における、ユーザのログアウト処理の一例を示すフローチャートである。
【図9】図7のフローチャートのS702における証明情報利用可否判断の詳細を示すフローチャートである。
【図10】本実施形態の画像処理装置における、証明情報に対するアクセス制限処理の一例を示すフローチャートである。
【発明を実施するための形態】
【0011】
以下、本発明を実施するための最良の形態について図面を用いて説明する。本実施形態では、情報処理装置の一つである画像処理装置を例にあげて説明する。
【0012】
図1は、本実施形態における画像処理装置を含むシステムの全体構成の一例を示すブロック図である。
【0013】
画像処理装置110および画像処理装置120は、コピー機能を有する。また、画像処理装置110および画像処理装置120は、原稿画像を読み取って得られた画像データ(文書データと呼ぶ場合もある)を、内部のストレージに保存する画像データ記憶装置を有する。また、画像処理装置110および画像処理装置120はさらに、LAN(ネットワーク)100上の指定した装置から画像データを取得するデータ取得機能を有する。また、画像処理装置110および画像処理装置120は、取得した画像データを印刷する印刷機能を有する。さらに、画像処理装置110および画像処理装置120は、LAN100上の情報処理装置130または他の画像処理装置からの画像データ取得要求に応じて、画像データ記憶装置に記憶している画像データを、LAN100を介して他の情報処理装置へと送信する画像データ送信機能を有する。画像処理装置110および画像処理装置120は上述のような複数の機能を備えた複合機(MFP:Multi Functional Peripheral)である。
【0014】
図2は、画像処理装置110、および画像処理装置120のハードウェア構成の一例を示す図である。
【0015】
画像処理装置110及び画像処理装置120は、図2に示すような構成要素から構成される。画像処理装置110と画像処理装置120と同様の構成を備えているものとする。以下、画像処理装置110を例に説明を行うが、画像処理装置120にも当てはまる説明である。
【0016】
画像処理装置110は、画像入力デバイスであるスキャナ部112、画像出力デバイスであるプリンタ部113、画像処理装置110の制御を司るコントローラ200、および操作部111を備える。
【0017】
スキャナ部112は、原稿上の画像を読み取って画像データを生成する。プリンタ部113は、コントローラ200から受信した画像データを用紙上に画像形成する。なお、本実施形態においてプリンタ部113の画像形成方式は感光体ドラムや感光体ベルトを用いた電子写真方式を採用するものとするが、これに限らず例えばインクジェット方式などを採用してもよい。
【0018】
コントローラ200は操作部111、スキャナ部112、プリンタ部113と電気的に接続されている一方、LAN100にもネットワークインターフェース206を介して接続されている。すなわち、LAN100を経由して他の機器と接続されている。これによりネットワークによる通信が可能となる。
【0019】
CPU201は、ROM202やハードディスクドライブ(HDD)204に記憶された制御プログラム等に基づいて、画像処理装置110接続中の各種デバイスへのアクセス及び他のデバイスからのアクセスを統括的に制御する。また、CPU201は画像処理装置110で行われる各種処理についても統括的に制御する。この制御には、後述のフローチャートを実現するためのプログラムの実行も含む。なお、本実施形態では1つのCPU201が画像処理装置110を制御するが、これに限らずコントローラ200が複数のCPUを備える構成であってもよい。
【0020】
ROM202は画像処理装置110を制御するためのプログラム(ブートプログラムを含む)を格納する。RAM203はCPU201が動作するためのシステムワークメモリであり、かつ画像データを一時記憶するためのメモリでもある。RAM203は、電源のバックアップ等により記憶した内容を装置本体の電源オフ後も保持しておく領域と、電源オフ後には記憶した内容が消去されてしまう領域により構成されている。
【0021】
HDD204は、アプリケーションソフトウェアやシステムソフトウェア、さらに画像データや、ユーザを認証するための証明情報を格納する。なお、ハードディスクの代わりにSSD(Solid State Drive)を用いてもよい。
【0022】
操作部I/F205は、システムバス211と操作部111とを接続するためのインターフェース部である。操作部I/F205は、操作部111が備える表示器に表示するための操作画面などの画像データをシステムバス211から受け取り操作部111に出力する。また、操作部111が備えるタッチパネルやハードキーから入力された操作情報をシステムバス211へと出力する。
【0023】
NetworkI/F206はLAN100及びシステムバス211に接続し、LAN100を介した情報の入出力を行う。
【0024】
スキャナI/F207は、スキャナ部112から受け取った画像データに対して、補正処理、加工処理、及び編集処理を行う。なお、スキャナI/F207は、受け取った画像データがカラー原稿か白黒原稿か、文字原稿か写真原稿かなどを判定する機能を持つ。
【0025】
画像処理部208は画像データの方向変換、画像圧縮、伸張処理などをおこなう。また、HDD204に保存されている画像同士を合成して一枚の画像にする。プリンタI/F209は、画像形成部208から送られた画像データを受け取り、この画像データに付随させられている属性データを参照しながら画像データに画像形成を施す。画像形成後の画像データは、プリンタ部113に出力される。
【0026】
なお、本実施形態では、画像処理装置110自身が操作部111を備えるよう構成されているが、コンピュータが装置に汎用スキャナや汎用プリンタが接続された構成であってもよい。
【0027】
図3は、本実施形態の画像処理装置のソフトウェアモジュールの構成の一例を示した図である。これらソフトウェアモジュールは、画像処理装置110のHDD204に格納され、CPU201が実行する。
【0028】
スキャナ制御モジュール301はスキャナI/F207を介してスキャナ部112を制御する。プリンタ制御モジュール302はプリンタI/F209を介してプリンタ部113を制御する。ユーザインタフェースモジュール303は、操作部I/F205を介して操作部111を制御し、ユーザから指示の受付や、ユーザへの操作画面の表示を実行する。
【0029】
連携モジュール304はネットワークI/F206を操作して他の画像処理装置や他のコンピュータ装置との通信を行うソフトウェアモジュールである。
【0030】
アプリケーションモジュールA305及びアプリケーションモジュールB306及びアプリケーションモジュールC307は、画像処理装置上の他のソフトウェアモジュールと連携して画像処理を実行する。アプリケーションモジュールを実行することによって画像処理装置はジョブを実行することが可能になる。CPU201はこれらのアプリケーション実行の主体となる。これらアプリケーションモジュールは、追加(インストール)や削除(アンインストール)が可能であり、追加や削除は連携モジュールを介して実施される。
【0031】
画像データ管理モジュール308は、HDD204へのデータ(画像データや画像データ以外の各種データ)の記憶やHDD204からのデータの取得に関する処理を行う。
【0032】
画像データ管理モジュール308は、証明情報の管理と認証処理を実行する認証部309を持ち、画像データの取得や記憶時に認証処理を実行する。認証が成功した場合のみ画像データへのアクセスを可能とする。
【0033】
ユーザ認証モジュール310は、ユーザ認証に関する処理を行う。本モジュールによって認証処理が成功した場合は、セッション管理部311によってユーザセッション情報が生成され、ユーザが画像処理装置110の機能を利用することが可能となる。ユーザセッション情報は、セッション管理部によって管理され、ユーザが画像処理装置に対してログインしてからログアウトするまでの間、ログイン中のユーザのユーザ属性などの情報を保持する。ユーザ認証モジュール310は、他のソフトウェアモジュールにユーザセッション情報を提供する。ユーザセッション情報の詳細については後述する。
【0034】
プラットホーム313は、上記の各ソフトウェアモジュールを連携させるための処理を行う。
【0035】
なお、画像データ管理モジュール308が記憶する認証部309とユーザ認証モジュール310が記憶する認証部312とはそれぞれ異なった認証モジュールであり、管理するユーザ情報も異なる。認証部312で認証が成功した情報でも認証部309では認証が失敗する場合がある。
【0036】
また、本実施形態の画像処理装置110は、ユーザ認証モジュールを入れ替える(インストール、アンインストール)ことが可能である。認証モジュールを入れ替えることによって、画像処理装置110は様々な認証方式による運用を行うことが可能となる。認証モジュールの入れ替えは連携モジュールを介して実施される。本発明は入れ替え処理ついてはその処理内容を限定するものではないため、処理の詳細説明は行わないが、入れ替わってもセッション管理部や認証部などの基本構成は変わらないものとする。
【0037】
図4は、本実施形態の画像処理装置がユーザ認証を実行する場合に表示する操作画面の一例を示す図である。
【0038】
図4の(a)は、画像処理装置110の操作部111に表示されるユーザ認証画面の一例である。ユーザ認証画面401は、ユーザID入力フィールド402、パスワード入力フィールド403、認証ボタン(ログインボタン)404から構成される。ユーザ認証モジュール310がユーザを認証する場合に、セッション管理部311に操作部111を操作しているユーザのユーザセッション情報が存在していなければ、ユーザ認証モジュール310はユーザ認証画面401を操作部111に表示する。ユーザは、ユーザIDフィールド402にユーザIDを、パスワードフィールド403にパスワードを入力し、認証ボタン404を押下する。ユーザ認証モジュール310は認証画面401に対してユーザが入力したユーザIDとパスワードとに基づいて認証処理を実行する。認証が成功した場合は、画像処理装置の操作が可能となる。ユーザが画像処理装置110からログアウトした場合は、再びユーザ認証画面401が表示される。
【0039】
図4の(b)は、画像処理装置110の操作部111に表示されるユーザ認証エラー画面の一例である。ユーザ認証エラー画面はユーザ認証モジュール310によって認証エラーと判断された場合に操作部111に表示される。ユーザ認証エラー画面は、エラーダイアログ405とOKボタン406とを含む。エラーダイアログ405にはエラーメッセージが表示され、エラーの内容がユーザに通知される。ユーザがOKボタン406を押下した場合は、ユーザ認証画面401が再び表示される。
【0040】
なお、本発明によるユーザ認証画面は図4に示すものに限定するものではなく、画面構成、入力情報、認証のタイミングなどは他の構成であっても良い。例えば、画像処理装置110が備える特定の機能を選択した場合にユーザ認証を行うようにしてもよい。また、他の認証方式(例えばICカードを用いた認証や、生体認証)に対応したユーザ認証モジュールに入れ替え、動作させた場合、認証方式によっては本例とは異なったユーザ認証画面が表示される。
【0041】
図5は、本実施形態におけるユーザセッション情報の一例を示す図である。
【0042】
図5の(a)は、ユーザ認証モジュール310内のセッション管理部311で管理されるユーザセッションの情報の構成例を示した図である。ユーザセッション情報は501〜505の情報によって構成される。
【0043】
セッション情報501は、ユーザがユーザ認証モジュール310の認証部312によって認証された場合に生成されるセッション情報である。ユーザ識別子502は、ログインしたユーザを一意に特定するための識別子である。例えば、ユーザ認証画面401のユーザID入力フィールド402にて入力されるユーザIDであってもよい。ユーザ属性情報503は、ログインしたユーザの属性情報、例えば、ログインしたユーザの電子メールアドレスや表示名(氏名)などの属性情報である。
【0044】
第1証明情報504は、例えばユーザが画像処理装置利用時に入力したユーザIDやパスワードなどと共に、認証方式の識別情報が記憶される。第2証明情報505は、例えばユーザが他の画像処理装置や情報処理装置に対してアクセスする際、アクセスに必要な外部のユーザ認証装置に対する認証のためにユーザがユーザインタフェースモジュール303に入力した認証情報が保持される。
【0045】
後述する図6のフローチャートを実行してユーザ認証モジュール310がユーザを認証したことによって501〜504までを含むユーザセッション情報が生成される。そして、その後、図7のフローチャートを実行して認証部309がユーザを認証すると501〜504までを含むユーザセッション情報に505が追加される。
証明情報の数は504及び505の2つに限定するものではなく、可変であっても良い。
【0046】
尚、ユーザセッション情報や証明情報の生成や削除については、図6で詳細を説明する。
【0047】
図5の(b)は、図5の(a)における第1証明情報504及び第2証明情報505の構成例を示す。ユーザID506は認証に利用するユーザ識別子である。パスワード507は認証に利用するパスワードである。認証モジュールフラグ508は、この証明情報が、画像処理装置110の認証モジュール310によって生成された証明情報であるか否かを示す情報である。認証モジュールフラグ508は、証明情報がユーザ認証モジュール310によって生成された場合はTRUE、そうでない場合はFALSEの値が記憶される。認証方式509は、ユーザ認証の方式を識別するための情報である。例えば、ユーザIDとパスワードの照合による認証は、”BASIC”という情報が記憶される。また、他の認証プロコトル、例えばサーバを介したチャレンジ&レスポンス方式の認証で利用される証明情報である場合は”CR”といった情報が記憶される。
【0048】
図6は、本実施形態の画像処理装置のユーザ認証モジュール310が実行するユーザ認証処理の一例を示すフローチャートである。画像処理装置110のCPU201がユーザ認証モジュール310を実行することによって本フローチャートの処理が行われる。本フローチャートは、画像処理装置110に対してユーザがログアウトしており、操作部111に図4の(a)に示すユーザ認証画面が表示されている状態で実行を開始する。
【0049】
ステップ(以下ステップSと表記する)601では、ユーザが操作部111を介して入力した認証情報(ユーザIDやパスワード、等)をユーザインタフェースモジュール303が受け付ける。そして、ユーザ認証モジュール310が認証情報を受信する。
【0050】
S602では、S601で受信した証明情報を利用して、認証部312が認証処理を実行する。具体的には、受信したユーザIDが存在するかを確認し、存在した場合はパスワードとの照合を行う。尚、本実施形態ではユーザIDとパスワードとの照合による認証方式を行う場合を例として説明するが、ユーザ認証モジュール310が他の認証方式に対応している場合には認証情報の内容や認証処理の内容はその認証方式に応じて異なる。
【0051】
S603では、S602での認証処理の成否を判断する。S602での照合が成功した場合、認証成功と判断し、照合に失敗した場合、またはユーザIDが存在しない場合には認証失敗と判断する。認証に成功したと判断した場合にはS604へ進み、失敗したと判断した場合にはS606へ進む。
【0052】
S604では、ユーザセッション情報を生成する。具体的には、セッション管理部311が管理するセッション管理テーブルにユーザセッション情報であるレコードを生成する。そして認証部312はセッションIDを発行し、セッション情報501に記憶する。また、S601で受信したユーザIDをユーザ識別子502として記憶する。また、認証部にユーザID、パスワードと共に記憶されているユーザの属性をユーザ属性情報503に記憶する。
【0053】
S605は、証明情報登録ステップであり、S602の認証処理ステップにて利用した証明情報であるユーザIDとパスワードを、図5の(b)に示す証明情報のユーザID506とパスワード507の其々に記憶する。さらに、認証方式を識別するための情報を認証方式509に記憶し、画像処理装置のユーザ認証モジュールによって認証されたか否かの情報を認証モジュールフラグ508に記憶する。本実施形態では、ユーザ名とパスワードの照合による認証方式であることを示す”BASIC”という識別情報を認証方式509に記憶する。さらに、本証明情報は認証モジュール310によって生成されるものであるため、認証モジュールフラグ508にTRUEの情報を記憶する。そして、操作部111の表示内容を図4(a)のユーザ認証画面から画像処理装置110の操作を受け付けるための画面(不図示)に切り替える。ユーザ認証モジュール310がユーザを認証したことによって当該ユーザは画像処理装置110にログインしたことになる。
【0054】
S606は、エラーメッセージ表示ステップであり、操作部111に図4(b)のユーザ認証エラー画面を表示する。
【0055】
以上のステップによって、ユーザ認証が成功し、ユーザセッション情報や証明情報を登録した後は、ユーザは操作部111を介して画像処理装置の各機能を利用することが可能となる。
【0056】
図7は、本実施形態の画像処理装置における認証処理及び証明情報登録処理の一例を示すフローチャートである。
【0057】
本実施形態ではアプリケーションモジュールA305は、画像データ管理モジュール308から画像データを取得し、取得した画像データに対して画像処理を行い、プリンタ制御モジュールを介して画像データを出力する機能を持つものとする。画像データ管理モジュールは認証部309を備えており、認証部309により認証されたユーザは画像データ管理モジュール308が管理する画像データにアクセスすることが可能になる。従って、ユーザ認証モジュール310によって認証され画像処理装置110に対する操作が可能になったユーザがアプリケーションモジュールA305を利用する場合、今度は認証部309によるユーザ認証が必要になる。本フローチャートは、アプリケーションモジュールA305が画像データ管理モジュール308から画像を取得する際の認証処理及び証明情報の登録に関する処理を説明するものである。ユーザ認証モジュール310によって認証されたユーザがアプリケーションモジュールA305に対して実行を指示した場合に本フローチャートの処理を開始する。
【0058】
S701ではアプリケーションモジュールA305は、ユーザ認証モジュール310のセッション管理部311より、現在ログインしているユーザのユーザセッション情報を取得する。そしてS702へ進む。
【0059】
S702において、アプリケーションモジュールA305は、取得したセッション情報に含まれる第1証明情報504を利用することが出来るか否かを判断する。S702での判断の詳細は図9のフローチャートで説明する。第1証明情報504を利用できると判断した場合にはS703へ進み、第1証明情報504を利用できないと判断した場合にはS705へ進む。
【0060】
S703では、アプリケーションモジュールA305は、取得した第1証明情報504を認証部309へ通知する。そして、認証部309は通知された第1証明情報504を利用して認証処理を行う。具体的には、認証部309は第1証明情報504にユーザIDの情報が認証部309に登録されているかを確認し、存在した場合はパスワードの照合を行う。そして、S704へ進む。
【0061】
S704では、アプリケーションモジュールA305は、認証部309によるS703での認証処理が成功したか否かを判断する。認証に失敗したと判断した場合は、S702で取得した第1証明情報504を削除し、S705へ進む。認証に成功したと判断した場合には本フローチャートを終了する。
【0062】
S705では、アプリケーションモジュールA305は図4の(a)に示すユーザ認証画面401と同様の画面を、ユーザインタフェースモジュール303を介して操作部111に表示する。そしてユーザによる認証情報(例えば、ユーザIDとパスワード)の入力を受け付ける。そしてS706へ進む。
【0063】
S706では、アプリケーションモジュールA305はS705で受け付けた認証情報を認証部309に通知する。そして認証部309は通知された認証情報に基づいて認証処理を実施する。具体的には、認証部309は受け付けたユーザIDの情報が認証部309に登録されているかを確認し、存在した場合はパスワードの照合を実施する。そしてS707へ進む。
【0064】
S707では、アプリケーションモジュールA305は、認証部309のS706での認証処理が成功したか否かを判断する。認証処理が成功したと判断した場合にはS708へ進み、認証処理が失敗したと判断した場合にはS709へ進む。
【0065】
S708では、アプリケーションモジュールA305は図5の(b)に示すような第2証明情報505を生成する。そしてS706の認証処理ステップにて利用した認証情報であるユーザIDとパスワードを第2証明情報505のユーザID506とパスワード507の其々に記憶する。さらに、認証方式を識別するための情報を認証方式509に記憶し、画像処理装置のユーザ認証モジュールによって認証されたか否かの情報を認証モジュールフラグ508に記憶する。第2証明情報505はユーザ認証モジュール310によって生成されるものではないため、認証モジュールフラグにFALSEの情報を記憶する。そして、第2証明情報505をユーザセッション情報に関連付けて登録する。既にユーザ認証モジュール310や他のアプリケーションによって証明情報が1つ以上登録されている場合は、第2証明情報505をこれらの証明情報に追加登録する。そして本フローチャートを終了する。なお、S708における第2証明情報505の生成を認証部309が行い、アプリケーションモジュールA305に通知するようにしても構わない。
【0066】
S708の処理を実行した後、アプリケーションモジュールA305は画像データ管理モジュール308にて管理されている画像を取得することが可能になり、取得した画像の出力処理を実行する。また、S705にて表示したユーザ認証画面を非表示にする。
【0067】
S709では、アプリケーションモジュールA305は、図4の(b)に示すようなユーザ認証エラー画面を表示する。OKボタン406が押下されたら再びS705へ進む。
【0068】
以上、図7のフローチャートによれば、画像処理装置110の内部に設けられた認証部309が、ユーザ認証モジュール310での認証によって登録された第1証明情報504を用いてユーザ認証を行う。これにより、認証部309に対するユーザ認証のためにユーザIDやパスワードを入力する必要が無く、シングルサインオンを実現することが可能になる。更に、認証部309がユーザを認証したことによって生成される第2証明情報505をユーザセッション情報に関連付けて登録する。これにより、後にユーザ認証モジュール310とも認証部309とも異なる認証手段(不図示)の認証が必要になった場合に、第1証明情報504に加えて第2証明情報505を用いたユーザ認証処理を実行することが可能になる。
【0069】
なお、画像データ管理モジュール308に相当する構成を画像処理装置110の外部、例えば画像処理装置120、あるいは情報処理装置130が有していてもよい。例えば、画像データ管理モジュール308が画像処理装置120や情報処理装置130に設けられる場合が当てはまる。この場合、アプリケーションモジュールB306またはアプリケーションモジュールC307などの他のアプリケーションが、画像処理装置120または情報処理装置130にアクセスする際に認証処理を実施する場合にも本フローチャートの処理が適用される。その場合、画像データ管理モジュール308が実行する処理は画像処理装置120や情報処理装置130のCPUが実行することになる。
【0070】
図8は、本実施形態の画像処理装置における、ユーザのログアウト処理の一例を示すフローチャートである。
【0071】
図6のフローチャートを実行することでユーザが画像処理装置にログインし、ログインしたユーザの指示に基づいて画像処理装置110が画像の出力などの一連の処理を終えた後、ユーザからログアウトが指示されると本フローチャートを開始する。具体的には、認証モジュールは操作部111を介してログアウト指示をユーザから受信する。ログアウト指示は、ユーザインタフェースモジュール303を介してユーザ認証モジュール310に送られ、セッション管理部311にて本フローであるログアウト処理を開始する。なお、ユーザが画像処理装置110にログインした後、ユーザが操作部111を操作することなく所定時間が経過した場合、当該ユーザを自動的にログアウトするために本フローチャートを開始してもよい。
【0072】
S801では、セッション管理部311が管理するユーザセッション情報に、証明情報(例えば、第1証明情報504や第2証明情報505)が関連付けられているか否を判断する。ユーザセッションに関連した証明情報が記憶されている場合にはS802へ進む。ユーザセッションに関連した証明情報が存在しない場合はS803へ進む。
【0073】
S802では、ユーザセッション情報に関連した証明情報を削除する。ユーザセッションに関連した証明情報が複数あれば、それら複数の証明情報を削除する。そしてS803へ進む。
【0074】
S803において、ユーザ認証モジュール310はプラットホーム313を介して関連するソフトウェアモジュール、(例えばアプリケーションモジュールA〜Cのいずれか、及び画像データ管理モジュール308)に対してユーザがログアウトしたことを通知する。そしてS804へ進む。
【0075】
S804において、ユーザ認証モジュール310はログアウトしたユーザのセッション情報を削除する。そして本フローチャートを終了する。
【0076】
図8のフローチャートによれば、ログアウトしたユーザの証明情報はセッション情報とともに削除される。従って、画像処理装置110はユーザの証明情報を当該ユーザログアウトした後まで記憶しておく必要がない。一般的な鍵束方式によってシングルサインオンを実現する装置では、複数のユーザの証明情報を予め装置に記憶しておく必要があるため、装置は証明情報を記憶するための大容量の記憶領域を必要とする。一方本実施形態の画像処理装置110はそのような大容量の記憶装置を必要としない。
【0077】
なお、ユーザセッション情報に第1証明情報504と第2証明情報505とが登録されている状態でユーザが画像処理装置110を操作しない時間が所定時間経過した場合、ユーザセッション情報から第505証明情報を削除してもよい。そしてその後、ログアウトの指示に基づいて図8に示す処理を実行してもよい。
【0078】
図9は、図7のフローチャートのS702における証明情報利用可否判断の詳細を示すフローチャートである。アプリケーションモジュールA305が図9に示す各ステップを実行する。
【0079】
S901では、アプリケーションモジュールA305が利用する認証方式と同じ認証方式を示す情報が認証方式509に格納されている証明情報が存在するか否かを判断する。本実施形態では、アプリケーションモジュール(A〜C)のそれぞれには、ユーザ認証を行う際の認証方式が予め定められているものとする。例えば、アプリケーションモジュールA305は、BASIC認証による認証を行うことが定められているものとする。存在しないと判断した場合は図7のS705へ進む。なお、証明情報が存在したとしても、アプリケーションモジュールA305、あるいは認証部309が証明情報に対するアクセス権がなく、証明情報へアクセスすることが出来ない場合も証明情報が存在しないものと同等であるものと判断し、S705へ進む。一方、存在すると判断した場合はS902に進む。
【0080】
S902では、存在すると判断された証明情報が複数個であるか否かを判断する。複数個であると判断した場合にはS903へ進み、複数個でない、即ち1個である場合にはS908へ進む。
【0081】
S903では、S901で存在すると判断された複数個の証明情報のうち、認証モジュールフラグ508がTRUEとなっている証明情報、即ちユーザ認証モジュール310が生成した証明情報を検索する。複数の証明情報の内、ユーザ認証モジュール310が生成した証明情報を優先的に利用するためである。
【0082】
S904は、S903での検索の結果に基づいて、ユーザ認証モジュール310が生成した証明情報が存在するか否かを判断する。存在すると判断した場合、S905へ進み、存在しないと判断した場合にはS906へ進む。
【0083】
S905では、ユーザ認証モジュール310が生成した証明情報を取得して図7のS703へ進む。
【0084】
S906は、選択画面表示ステップである。アプリケーションモジュールA305は、S901で存在すると判断された複数個の証明情報のうち、どの証明情報を取得するかを選択するための操作画面を操作部111に表示し、ユーザからの選択の指示を受け付ける。操作画面には、それぞれの証明情報のユーザID506やパスワード507といった、ユーザが適切な証明情報が選択できるような情報が表示される。
【0085】
S907では、S906でユーザが選択した証明情報をユーザセッション情報から取得して図7のS703へ進む。
【0086】
S908では、S901で存在すると判断された1つの証明情報を取得して図7のS703へ進む。
【0087】
図10は、本実施形態の画像処理装置における、証明情報に対するアクセス制限処理の一例を示すフローチャートである。
【0088】
図9のS901に示す処理、及び図7のS708の証明情報登録処理において、認証部309はセッション管理部311が管理する証明情報を記憶する記憶領域へアクセスする必要がある。セッション管理部311は、認証部309に対してユーザ認証を依頼したアプリケーションモジュール(A〜C)の種類に応じて認証部309が証明情報へアクセスすることを許可するか否かを判断する。不許可と判断した場合は証明情報へのアクセスをエラーとする。
【0089】
S1001では、証明情報にアクセスするアプリケーションモジュールの証明情報に対するアクセス権限を確認する。本実施形態では、アプリケーションモジュールの実行プロセスに、特定の権限が割り当てられているか否かを確認する。
【0090】
S1002では、S1001での確認の結果に基づいてアプリケーションモジュールが証明情報へのアクセス権限を有するか否かを判断する。権限がないと判断した場合はS1004へ進み、権限があると判断した場合はS1003へ進む。
【0091】
S1003は、アクセス許可ステップであり、アプリケーションモジュールに対して証明情報へのアクセスを許可し、本フローチャートを終了する。
【0092】
S1004は、アクセス不許可ステップであり、アプリケーションモジュールに対して証明情報へのアクセスを不許可として、本フローチャートを終了する。
【0093】
図10のフローチャートによれば、アプリケーションに対して証明情報のアクセスを制限することが可能になる。
【0094】
以上、本実施形態によれば、第1認証手段の一例であるユーザがユーザ認証モジュール310によって認証されたことによって生成、記憶される第1証明情報を用いて第2認証装置の一例である他の認証装置への認証を行うことが可能になる。これによりシングルサインオンを実現することが出来る。
【0095】
そして、ユーザがユーザ認証モジュール310によって認証されている間に当該ユーザが他の認証装置によって認証されたことによって生成される第2証明情報を、第1証明情報に関連付けてユーザセッション情報に追加登録する。これにより、ユーザがユーザ認証モジュール310によって認証されている間は追加された証明情報を用いて更に異なる認証装置による認証を行うことが可能になる。これにより、更に柔軟なシングルサインオンを実現することが出来る。
【0096】
そして、ユーザがユーザ認証モジュール310からログアウトした場合に第1証明情報、第2証明情報は消去される。これにより、鍵束方式によって実現される従来のシングルサインオンの技術のように、複数のユーザの鍵束を予め装置内に登録しておく必要が無い。よって鍵束を登録するための記憶容量を確保する必要が無く、また、鍵束を予め登録する手間を省略することが出来る。
【0097】
[他の実施の形態]
なお、本発明の目的は、以下の処理を実行することによっても達成される。即ち、上述した実施の形態の機能を実現するソフトウェアのプログラムコード(以下制御プログラム)を記録した記憶媒体を、画像処理装置や情報処理装置、或いはそれら装置の機能拡張ユニットに供給し、それら装置のコンピュータ(またはCPUやMPU等)が記憶媒体に格納された制御プログラムを読み出す処理である。この場合、記憶媒体から読み出された制御プログラム自体が前述した実施の形態の機能を実現することになり、その制御プログラム及び該制御プログラムを記憶した記憶媒体は本発明を構成することになる。制御プログラムはネットワークを介してダウンロードしてもよい。
【符号の説明】
【0098】
110 画像処理装置
305 アプリケーションモジュールA
309 認証部
310 ユーザ認証モジュール
【技術分野】
【0001】
本発明はユーザ認証機能を備える情報処理装置に関する。
【背景技術】
【0002】
近年、情報処理装置の一つである画像処理装置の機能が多様になってきており、ユーザ認証機能が広く用いられるようになってきている。ユーザ認証機能は、画像処理装置画像処理装置を利用するユーザを識別する機能である。ユーザ認証機能によって、例えば、画像処理装置画像処理装置を利用するユーザに証明情報の入力を求め、認証が成功した場合に当該ユーザに画像処理装置の利用を許可する、といったことが可能になる。
【0003】
更に、画像処理装置は、ネットワークリソース(ファイルサーバや電子メールサーバ)と連携したジョブを実行することが可能である。このようなジョブを実行する場合、画像処理装置でのユーザ認証と、ネットワークリソースを利用するためのユーザ認証とを必要とする。このような場合、シングルサインオンにより、ユーザはユーザIDやパスワードの入力を1度で済ませることを可能にするための技術が知られている。
【0004】
例えば、特許文献1では、このシングルサインオンを実現するために、ローカルコンピュータへのログオンデータまたはキャッシュしている他のログオンデータを用いて、ユーザが一度登録した情報を再び認証が必要な際に利用するよう構成されている。これによって、ユーザが複数回同一の証明情報を入力する手間を軽減し、シングルサインオンを実現している。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開平8−263417
【発明の概要】
【発明が解決しようとする課題】
【0006】
特許文献1の方法ではシングルサインオンを実現するために複数のユーザのユーザ名とパスワードの組を記憶装置に蓄積しておく必要があり、これらの情報を蓄積するために多くのメモリ資源を必要とする。
【0007】
本発明は、多くのメモリ資源を必要とせずにシングルサインオンを実現することが可能な情報処理装置を提供することを目的とする。
【課題を解決するための手段】
【0008】
上記目的を達成するため、本発明の情報処理装置はアプリケーションを実行することが可能な情報処理装置において、前記情報処理装置のユーザを認証する第1認証手段と、前記第1認証手段による認証に関する情報である第1証明情報を記憶する第1記憶手段と、前記第1認証手段により認証されたユーザの指示に基づいて前記アプリケーションを実行する場合に、前記記憶手段に記憶された前記第1証明情報を取得する取得手段と、前記取得手段が取得した第1証明情報を用いて、前記アプリケーションを実行するために必要な認証を第2認証手段に対して要求する要求手段と、前記要求手段による要求に基づいて前記第2認証手段が行った認証が成功した場合に、前記アプリケーションを実行するアプリケーション実行手段と、前記第2認証手段による認証に関する情報である第2証明情報を前記第1証明情報に関連付けて記憶する第2記憶手段と、を有することを特徴とする。
【発明の効果】
【0009】
本発明によれば、多くのメモリ資源を必要とせずにシングルサインオンを実現することが可能になる。
【図面の簡単な説明】
【0010】
【図1】画像処理装置を含むシステムの全体構成の一例を示すブロック図である。
【図2】画像処理装置110、および画像処理装置120のハードウェア構成の一例を示す図である。
【図3】画像処理装置のソフトウェアモジュールの構成の一例を示した図である。
【図4】本実施形態の画像処理装置がユーザ認証を実行する場合に表示する操作画面の一例を示す図である。
【図5】本実施形態におけるユーザセッション情報の一例を示す図である。
【図6】ユーザ認証モジュール310が実行するユーザ認証処理の一例を示すフローチャートである。
【図7】本実施形態の画像処理装置における認証処理及び証明情報登録処理の一例を示すフローチャートである。
【図8】本実施形態の画像処理装置における、ユーザのログアウト処理の一例を示すフローチャートである。
【図9】図7のフローチャートのS702における証明情報利用可否判断の詳細を示すフローチャートである。
【図10】本実施形態の画像処理装置における、証明情報に対するアクセス制限処理の一例を示すフローチャートである。
【発明を実施するための形態】
【0011】
以下、本発明を実施するための最良の形態について図面を用いて説明する。本実施形態では、情報処理装置の一つである画像処理装置を例にあげて説明する。
【0012】
図1は、本実施形態における画像処理装置を含むシステムの全体構成の一例を示すブロック図である。
【0013】
画像処理装置110および画像処理装置120は、コピー機能を有する。また、画像処理装置110および画像処理装置120は、原稿画像を読み取って得られた画像データ(文書データと呼ぶ場合もある)を、内部のストレージに保存する画像データ記憶装置を有する。また、画像処理装置110および画像処理装置120はさらに、LAN(ネットワーク)100上の指定した装置から画像データを取得するデータ取得機能を有する。また、画像処理装置110および画像処理装置120は、取得した画像データを印刷する印刷機能を有する。さらに、画像処理装置110および画像処理装置120は、LAN100上の情報処理装置130または他の画像処理装置からの画像データ取得要求に応じて、画像データ記憶装置に記憶している画像データを、LAN100を介して他の情報処理装置へと送信する画像データ送信機能を有する。画像処理装置110および画像処理装置120は上述のような複数の機能を備えた複合機(MFP:Multi Functional Peripheral)である。
【0014】
図2は、画像処理装置110、および画像処理装置120のハードウェア構成の一例を示す図である。
【0015】
画像処理装置110及び画像処理装置120は、図2に示すような構成要素から構成される。画像処理装置110と画像処理装置120と同様の構成を備えているものとする。以下、画像処理装置110を例に説明を行うが、画像処理装置120にも当てはまる説明である。
【0016】
画像処理装置110は、画像入力デバイスであるスキャナ部112、画像出力デバイスであるプリンタ部113、画像処理装置110の制御を司るコントローラ200、および操作部111を備える。
【0017】
スキャナ部112は、原稿上の画像を読み取って画像データを生成する。プリンタ部113は、コントローラ200から受信した画像データを用紙上に画像形成する。なお、本実施形態においてプリンタ部113の画像形成方式は感光体ドラムや感光体ベルトを用いた電子写真方式を採用するものとするが、これに限らず例えばインクジェット方式などを採用してもよい。
【0018】
コントローラ200は操作部111、スキャナ部112、プリンタ部113と電気的に接続されている一方、LAN100にもネットワークインターフェース206を介して接続されている。すなわち、LAN100を経由して他の機器と接続されている。これによりネットワークによる通信が可能となる。
【0019】
CPU201は、ROM202やハードディスクドライブ(HDD)204に記憶された制御プログラム等に基づいて、画像処理装置110接続中の各種デバイスへのアクセス及び他のデバイスからのアクセスを統括的に制御する。また、CPU201は画像処理装置110で行われる各種処理についても統括的に制御する。この制御には、後述のフローチャートを実現するためのプログラムの実行も含む。なお、本実施形態では1つのCPU201が画像処理装置110を制御するが、これに限らずコントローラ200が複数のCPUを備える構成であってもよい。
【0020】
ROM202は画像処理装置110を制御するためのプログラム(ブートプログラムを含む)を格納する。RAM203はCPU201が動作するためのシステムワークメモリであり、かつ画像データを一時記憶するためのメモリでもある。RAM203は、電源のバックアップ等により記憶した内容を装置本体の電源オフ後も保持しておく領域と、電源オフ後には記憶した内容が消去されてしまう領域により構成されている。
【0021】
HDD204は、アプリケーションソフトウェアやシステムソフトウェア、さらに画像データや、ユーザを認証するための証明情報を格納する。なお、ハードディスクの代わりにSSD(Solid State Drive)を用いてもよい。
【0022】
操作部I/F205は、システムバス211と操作部111とを接続するためのインターフェース部である。操作部I/F205は、操作部111が備える表示器に表示するための操作画面などの画像データをシステムバス211から受け取り操作部111に出力する。また、操作部111が備えるタッチパネルやハードキーから入力された操作情報をシステムバス211へと出力する。
【0023】
NetworkI/F206はLAN100及びシステムバス211に接続し、LAN100を介した情報の入出力を行う。
【0024】
スキャナI/F207は、スキャナ部112から受け取った画像データに対して、補正処理、加工処理、及び編集処理を行う。なお、スキャナI/F207は、受け取った画像データがカラー原稿か白黒原稿か、文字原稿か写真原稿かなどを判定する機能を持つ。
【0025】
画像処理部208は画像データの方向変換、画像圧縮、伸張処理などをおこなう。また、HDD204に保存されている画像同士を合成して一枚の画像にする。プリンタI/F209は、画像形成部208から送られた画像データを受け取り、この画像データに付随させられている属性データを参照しながら画像データに画像形成を施す。画像形成後の画像データは、プリンタ部113に出力される。
【0026】
なお、本実施形態では、画像処理装置110自身が操作部111を備えるよう構成されているが、コンピュータが装置に汎用スキャナや汎用プリンタが接続された構成であってもよい。
【0027】
図3は、本実施形態の画像処理装置のソフトウェアモジュールの構成の一例を示した図である。これらソフトウェアモジュールは、画像処理装置110のHDD204に格納され、CPU201が実行する。
【0028】
スキャナ制御モジュール301はスキャナI/F207を介してスキャナ部112を制御する。プリンタ制御モジュール302はプリンタI/F209を介してプリンタ部113を制御する。ユーザインタフェースモジュール303は、操作部I/F205を介して操作部111を制御し、ユーザから指示の受付や、ユーザへの操作画面の表示を実行する。
【0029】
連携モジュール304はネットワークI/F206を操作して他の画像処理装置や他のコンピュータ装置との通信を行うソフトウェアモジュールである。
【0030】
アプリケーションモジュールA305及びアプリケーションモジュールB306及びアプリケーションモジュールC307は、画像処理装置上の他のソフトウェアモジュールと連携して画像処理を実行する。アプリケーションモジュールを実行することによって画像処理装置はジョブを実行することが可能になる。CPU201はこれらのアプリケーション実行の主体となる。これらアプリケーションモジュールは、追加(インストール)や削除(アンインストール)が可能であり、追加や削除は連携モジュールを介して実施される。
【0031】
画像データ管理モジュール308は、HDD204へのデータ(画像データや画像データ以外の各種データ)の記憶やHDD204からのデータの取得に関する処理を行う。
【0032】
画像データ管理モジュール308は、証明情報の管理と認証処理を実行する認証部309を持ち、画像データの取得や記憶時に認証処理を実行する。認証が成功した場合のみ画像データへのアクセスを可能とする。
【0033】
ユーザ認証モジュール310は、ユーザ認証に関する処理を行う。本モジュールによって認証処理が成功した場合は、セッション管理部311によってユーザセッション情報が生成され、ユーザが画像処理装置110の機能を利用することが可能となる。ユーザセッション情報は、セッション管理部によって管理され、ユーザが画像処理装置に対してログインしてからログアウトするまでの間、ログイン中のユーザのユーザ属性などの情報を保持する。ユーザ認証モジュール310は、他のソフトウェアモジュールにユーザセッション情報を提供する。ユーザセッション情報の詳細については後述する。
【0034】
プラットホーム313は、上記の各ソフトウェアモジュールを連携させるための処理を行う。
【0035】
なお、画像データ管理モジュール308が記憶する認証部309とユーザ認証モジュール310が記憶する認証部312とはそれぞれ異なった認証モジュールであり、管理するユーザ情報も異なる。認証部312で認証が成功した情報でも認証部309では認証が失敗する場合がある。
【0036】
また、本実施形態の画像処理装置110は、ユーザ認証モジュールを入れ替える(インストール、アンインストール)ことが可能である。認証モジュールを入れ替えることによって、画像処理装置110は様々な認証方式による運用を行うことが可能となる。認証モジュールの入れ替えは連携モジュールを介して実施される。本発明は入れ替え処理ついてはその処理内容を限定するものではないため、処理の詳細説明は行わないが、入れ替わってもセッション管理部や認証部などの基本構成は変わらないものとする。
【0037】
図4は、本実施形態の画像処理装置がユーザ認証を実行する場合に表示する操作画面の一例を示す図である。
【0038】
図4の(a)は、画像処理装置110の操作部111に表示されるユーザ認証画面の一例である。ユーザ認証画面401は、ユーザID入力フィールド402、パスワード入力フィールド403、認証ボタン(ログインボタン)404から構成される。ユーザ認証モジュール310がユーザを認証する場合に、セッション管理部311に操作部111を操作しているユーザのユーザセッション情報が存在していなければ、ユーザ認証モジュール310はユーザ認証画面401を操作部111に表示する。ユーザは、ユーザIDフィールド402にユーザIDを、パスワードフィールド403にパスワードを入力し、認証ボタン404を押下する。ユーザ認証モジュール310は認証画面401に対してユーザが入力したユーザIDとパスワードとに基づいて認証処理を実行する。認証が成功した場合は、画像処理装置の操作が可能となる。ユーザが画像処理装置110からログアウトした場合は、再びユーザ認証画面401が表示される。
【0039】
図4の(b)は、画像処理装置110の操作部111に表示されるユーザ認証エラー画面の一例である。ユーザ認証エラー画面はユーザ認証モジュール310によって認証エラーと判断された場合に操作部111に表示される。ユーザ認証エラー画面は、エラーダイアログ405とOKボタン406とを含む。エラーダイアログ405にはエラーメッセージが表示され、エラーの内容がユーザに通知される。ユーザがOKボタン406を押下した場合は、ユーザ認証画面401が再び表示される。
【0040】
なお、本発明によるユーザ認証画面は図4に示すものに限定するものではなく、画面構成、入力情報、認証のタイミングなどは他の構成であっても良い。例えば、画像処理装置110が備える特定の機能を選択した場合にユーザ認証を行うようにしてもよい。また、他の認証方式(例えばICカードを用いた認証や、生体認証)に対応したユーザ認証モジュールに入れ替え、動作させた場合、認証方式によっては本例とは異なったユーザ認証画面が表示される。
【0041】
図5は、本実施形態におけるユーザセッション情報の一例を示す図である。
【0042】
図5の(a)は、ユーザ認証モジュール310内のセッション管理部311で管理されるユーザセッションの情報の構成例を示した図である。ユーザセッション情報は501〜505の情報によって構成される。
【0043】
セッション情報501は、ユーザがユーザ認証モジュール310の認証部312によって認証された場合に生成されるセッション情報である。ユーザ識別子502は、ログインしたユーザを一意に特定するための識別子である。例えば、ユーザ認証画面401のユーザID入力フィールド402にて入力されるユーザIDであってもよい。ユーザ属性情報503は、ログインしたユーザの属性情報、例えば、ログインしたユーザの電子メールアドレスや表示名(氏名)などの属性情報である。
【0044】
第1証明情報504は、例えばユーザが画像処理装置利用時に入力したユーザIDやパスワードなどと共に、認証方式の識別情報が記憶される。第2証明情報505は、例えばユーザが他の画像処理装置や情報処理装置に対してアクセスする際、アクセスに必要な外部のユーザ認証装置に対する認証のためにユーザがユーザインタフェースモジュール303に入力した認証情報が保持される。
【0045】
後述する図6のフローチャートを実行してユーザ認証モジュール310がユーザを認証したことによって501〜504までを含むユーザセッション情報が生成される。そして、その後、図7のフローチャートを実行して認証部309がユーザを認証すると501〜504までを含むユーザセッション情報に505が追加される。
証明情報の数は504及び505の2つに限定するものではなく、可変であっても良い。
【0046】
尚、ユーザセッション情報や証明情報の生成や削除については、図6で詳細を説明する。
【0047】
図5の(b)は、図5の(a)における第1証明情報504及び第2証明情報505の構成例を示す。ユーザID506は認証に利用するユーザ識別子である。パスワード507は認証に利用するパスワードである。認証モジュールフラグ508は、この証明情報が、画像処理装置110の認証モジュール310によって生成された証明情報であるか否かを示す情報である。認証モジュールフラグ508は、証明情報がユーザ認証モジュール310によって生成された場合はTRUE、そうでない場合はFALSEの値が記憶される。認証方式509は、ユーザ認証の方式を識別するための情報である。例えば、ユーザIDとパスワードの照合による認証は、”BASIC”という情報が記憶される。また、他の認証プロコトル、例えばサーバを介したチャレンジ&レスポンス方式の認証で利用される証明情報である場合は”CR”といった情報が記憶される。
【0048】
図6は、本実施形態の画像処理装置のユーザ認証モジュール310が実行するユーザ認証処理の一例を示すフローチャートである。画像処理装置110のCPU201がユーザ認証モジュール310を実行することによって本フローチャートの処理が行われる。本フローチャートは、画像処理装置110に対してユーザがログアウトしており、操作部111に図4の(a)に示すユーザ認証画面が表示されている状態で実行を開始する。
【0049】
ステップ(以下ステップSと表記する)601では、ユーザが操作部111を介して入力した認証情報(ユーザIDやパスワード、等)をユーザインタフェースモジュール303が受け付ける。そして、ユーザ認証モジュール310が認証情報を受信する。
【0050】
S602では、S601で受信した証明情報を利用して、認証部312が認証処理を実行する。具体的には、受信したユーザIDが存在するかを確認し、存在した場合はパスワードとの照合を行う。尚、本実施形態ではユーザIDとパスワードとの照合による認証方式を行う場合を例として説明するが、ユーザ認証モジュール310が他の認証方式に対応している場合には認証情報の内容や認証処理の内容はその認証方式に応じて異なる。
【0051】
S603では、S602での認証処理の成否を判断する。S602での照合が成功した場合、認証成功と判断し、照合に失敗した場合、またはユーザIDが存在しない場合には認証失敗と判断する。認証に成功したと判断した場合にはS604へ進み、失敗したと判断した場合にはS606へ進む。
【0052】
S604では、ユーザセッション情報を生成する。具体的には、セッション管理部311が管理するセッション管理テーブルにユーザセッション情報であるレコードを生成する。そして認証部312はセッションIDを発行し、セッション情報501に記憶する。また、S601で受信したユーザIDをユーザ識別子502として記憶する。また、認証部にユーザID、パスワードと共に記憶されているユーザの属性をユーザ属性情報503に記憶する。
【0053】
S605は、証明情報登録ステップであり、S602の認証処理ステップにて利用した証明情報であるユーザIDとパスワードを、図5の(b)に示す証明情報のユーザID506とパスワード507の其々に記憶する。さらに、認証方式を識別するための情報を認証方式509に記憶し、画像処理装置のユーザ認証モジュールによって認証されたか否かの情報を認証モジュールフラグ508に記憶する。本実施形態では、ユーザ名とパスワードの照合による認証方式であることを示す”BASIC”という識別情報を認証方式509に記憶する。さらに、本証明情報は認証モジュール310によって生成されるものであるため、認証モジュールフラグ508にTRUEの情報を記憶する。そして、操作部111の表示内容を図4(a)のユーザ認証画面から画像処理装置110の操作を受け付けるための画面(不図示)に切り替える。ユーザ認証モジュール310がユーザを認証したことによって当該ユーザは画像処理装置110にログインしたことになる。
【0054】
S606は、エラーメッセージ表示ステップであり、操作部111に図4(b)のユーザ認証エラー画面を表示する。
【0055】
以上のステップによって、ユーザ認証が成功し、ユーザセッション情報や証明情報を登録した後は、ユーザは操作部111を介して画像処理装置の各機能を利用することが可能となる。
【0056】
図7は、本実施形態の画像処理装置における認証処理及び証明情報登録処理の一例を示すフローチャートである。
【0057】
本実施形態ではアプリケーションモジュールA305は、画像データ管理モジュール308から画像データを取得し、取得した画像データに対して画像処理を行い、プリンタ制御モジュールを介して画像データを出力する機能を持つものとする。画像データ管理モジュールは認証部309を備えており、認証部309により認証されたユーザは画像データ管理モジュール308が管理する画像データにアクセスすることが可能になる。従って、ユーザ認証モジュール310によって認証され画像処理装置110に対する操作が可能になったユーザがアプリケーションモジュールA305を利用する場合、今度は認証部309によるユーザ認証が必要になる。本フローチャートは、アプリケーションモジュールA305が画像データ管理モジュール308から画像を取得する際の認証処理及び証明情報の登録に関する処理を説明するものである。ユーザ認証モジュール310によって認証されたユーザがアプリケーションモジュールA305に対して実行を指示した場合に本フローチャートの処理を開始する。
【0058】
S701ではアプリケーションモジュールA305は、ユーザ認証モジュール310のセッション管理部311より、現在ログインしているユーザのユーザセッション情報を取得する。そしてS702へ進む。
【0059】
S702において、アプリケーションモジュールA305は、取得したセッション情報に含まれる第1証明情報504を利用することが出来るか否かを判断する。S702での判断の詳細は図9のフローチャートで説明する。第1証明情報504を利用できると判断した場合にはS703へ進み、第1証明情報504を利用できないと判断した場合にはS705へ進む。
【0060】
S703では、アプリケーションモジュールA305は、取得した第1証明情報504を認証部309へ通知する。そして、認証部309は通知された第1証明情報504を利用して認証処理を行う。具体的には、認証部309は第1証明情報504にユーザIDの情報が認証部309に登録されているかを確認し、存在した場合はパスワードの照合を行う。そして、S704へ進む。
【0061】
S704では、アプリケーションモジュールA305は、認証部309によるS703での認証処理が成功したか否かを判断する。認証に失敗したと判断した場合は、S702で取得した第1証明情報504を削除し、S705へ進む。認証に成功したと判断した場合には本フローチャートを終了する。
【0062】
S705では、アプリケーションモジュールA305は図4の(a)に示すユーザ認証画面401と同様の画面を、ユーザインタフェースモジュール303を介して操作部111に表示する。そしてユーザによる認証情報(例えば、ユーザIDとパスワード)の入力を受け付ける。そしてS706へ進む。
【0063】
S706では、アプリケーションモジュールA305はS705で受け付けた認証情報を認証部309に通知する。そして認証部309は通知された認証情報に基づいて認証処理を実施する。具体的には、認証部309は受け付けたユーザIDの情報が認証部309に登録されているかを確認し、存在した場合はパスワードの照合を実施する。そしてS707へ進む。
【0064】
S707では、アプリケーションモジュールA305は、認証部309のS706での認証処理が成功したか否かを判断する。認証処理が成功したと判断した場合にはS708へ進み、認証処理が失敗したと判断した場合にはS709へ進む。
【0065】
S708では、アプリケーションモジュールA305は図5の(b)に示すような第2証明情報505を生成する。そしてS706の認証処理ステップにて利用した認証情報であるユーザIDとパスワードを第2証明情報505のユーザID506とパスワード507の其々に記憶する。さらに、認証方式を識別するための情報を認証方式509に記憶し、画像処理装置のユーザ認証モジュールによって認証されたか否かの情報を認証モジュールフラグ508に記憶する。第2証明情報505はユーザ認証モジュール310によって生成されるものではないため、認証モジュールフラグにFALSEの情報を記憶する。そして、第2証明情報505をユーザセッション情報に関連付けて登録する。既にユーザ認証モジュール310や他のアプリケーションによって証明情報が1つ以上登録されている場合は、第2証明情報505をこれらの証明情報に追加登録する。そして本フローチャートを終了する。なお、S708における第2証明情報505の生成を認証部309が行い、アプリケーションモジュールA305に通知するようにしても構わない。
【0066】
S708の処理を実行した後、アプリケーションモジュールA305は画像データ管理モジュール308にて管理されている画像を取得することが可能になり、取得した画像の出力処理を実行する。また、S705にて表示したユーザ認証画面を非表示にする。
【0067】
S709では、アプリケーションモジュールA305は、図4の(b)に示すようなユーザ認証エラー画面を表示する。OKボタン406が押下されたら再びS705へ進む。
【0068】
以上、図7のフローチャートによれば、画像処理装置110の内部に設けられた認証部309が、ユーザ認証モジュール310での認証によって登録された第1証明情報504を用いてユーザ認証を行う。これにより、認証部309に対するユーザ認証のためにユーザIDやパスワードを入力する必要が無く、シングルサインオンを実現することが可能になる。更に、認証部309がユーザを認証したことによって生成される第2証明情報505をユーザセッション情報に関連付けて登録する。これにより、後にユーザ認証モジュール310とも認証部309とも異なる認証手段(不図示)の認証が必要になった場合に、第1証明情報504に加えて第2証明情報505を用いたユーザ認証処理を実行することが可能になる。
【0069】
なお、画像データ管理モジュール308に相当する構成を画像処理装置110の外部、例えば画像処理装置120、あるいは情報処理装置130が有していてもよい。例えば、画像データ管理モジュール308が画像処理装置120や情報処理装置130に設けられる場合が当てはまる。この場合、アプリケーションモジュールB306またはアプリケーションモジュールC307などの他のアプリケーションが、画像処理装置120または情報処理装置130にアクセスする際に認証処理を実施する場合にも本フローチャートの処理が適用される。その場合、画像データ管理モジュール308が実行する処理は画像処理装置120や情報処理装置130のCPUが実行することになる。
【0070】
図8は、本実施形態の画像処理装置における、ユーザのログアウト処理の一例を示すフローチャートである。
【0071】
図6のフローチャートを実行することでユーザが画像処理装置にログインし、ログインしたユーザの指示に基づいて画像処理装置110が画像の出力などの一連の処理を終えた後、ユーザからログアウトが指示されると本フローチャートを開始する。具体的には、認証モジュールは操作部111を介してログアウト指示をユーザから受信する。ログアウト指示は、ユーザインタフェースモジュール303を介してユーザ認証モジュール310に送られ、セッション管理部311にて本フローであるログアウト処理を開始する。なお、ユーザが画像処理装置110にログインした後、ユーザが操作部111を操作することなく所定時間が経過した場合、当該ユーザを自動的にログアウトするために本フローチャートを開始してもよい。
【0072】
S801では、セッション管理部311が管理するユーザセッション情報に、証明情報(例えば、第1証明情報504や第2証明情報505)が関連付けられているか否を判断する。ユーザセッションに関連した証明情報が記憶されている場合にはS802へ進む。ユーザセッションに関連した証明情報が存在しない場合はS803へ進む。
【0073】
S802では、ユーザセッション情報に関連した証明情報を削除する。ユーザセッションに関連した証明情報が複数あれば、それら複数の証明情報を削除する。そしてS803へ進む。
【0074】
S803において、ユーザ認証モジュール310はプラットホーム313を介して関連するソフトウェアモジュール、(例えばアプリケーションモジュールA〜Cのいずれか、及び画像データ管理モジュール308)に対してユーザがログアウトしたことを通知する。そしてS804へ進む。
【0075】
S804において、ユーザ認証モジュール310はログアウトしたユーザのセッション情報を削除する。そして本フローチャートを終了する。
【0076】
図8のフローチャートによれば、ログアウトしたユーザの証明情報はセッション情報とともに削除される。従って、画像処理装置110はユーザの証明情報を当該ユーザログアウトした後まで記憶しておく必要がない。一般的な鍵束方式によってシングルサインオンを実現する装置では、複数のユーザの証明情報を予め装置に記憶しておく必要があるため、装置は証明情報を記憶するための大容量の記憶領域を必要とする。一方本実施形態の画像処理装置110はそのような大容量の記憶装置を必要としない。
【0077】
なお、ユーザセッション情報に第1証明情報504と第2証明情報505とが登録されている状態でユーザが画像処理装置110を操作しない時間が所定時間経過した場合、ユーザセッション情報から第505証明情報を削除してもよい。そしてその後、ログアウトの指示に基づいて図8に示す処理を実行してもよい。
【0078】
図9は、図7のフローチャートのS702における証明情報利用可否判断の詳細を示すフローチャートである。アプリケーションモジュールA305が図9に示す各ステップを実行する。
【0079】
S901では、アプリケーションモジュールA305が利用する認証方式と同じ認証方式を示す情報が認証方式509に格納されている証明情報が存在するか否かを判断する。本実施形態では、アプリケーションモジュール(A〜C)のそれぞれには、ユーザ認証を行う際の認証方式が予め定められているものとする。例えば、アプリケーションモジュールA305は、BASIC認証による認証を行うことが定められているものとする。存在しないと判断した場合は図7のS705へ進む。なお、証明情報が存在したとしても、アプリケーションモジュールA305、あるいは認証部309が証明情報に対するアクセス権がなく、証明情報へアクセスすることが出来ない場合も証明情報が存在しないものと同等であるものと判断し、S705へ進む。一方、存在すると判断した場合はS902に進む。
【0080】
S902では、存在すると判断された証明情報が複数個であるか否かを判断する。複数個であると判断した場合にはS903へ進み、複数個でない、即ち1個である場合にはS908へ進む。
【0081】
S903では、S901で存在すると判断された複数個の証明情報のうち、認証モジュールフラグ508がTRUEとなっている証明情報、即ちユーザ認証モジュール310が生成した証明情報を検索する。複数の証明情報の内、ユーザ認証モジュール310が生成した証明情報を優先的に利用するためである。
【0082】
S904は、S903での検索の結果に基づいて、ユーザ認証モジュール310が生成した証明情報が存在するか否かを判断する。存在すると判断した場合、S905へ進み、存在しないと判断した場合にはS906へ進む。
【0083】
S905では、ユーザ認証モジュール310が生成した証明情報を取得して図7のS703へ進む。
【0084】
S906は、選択画面表示ステップである。アプリケーションモジュールA305は、S901で存在すると判断された複数個の証明情報のうち、どの証明情報を取得するかを選択するための操作画面を操作部111に表示し、ユーザからの選択の指示を受け付ける。操作画面には、それぞれの証明情報のユーザID506やパスワード507といった、ユーザが適切な証明情報が選択できるような情報が表示される。
【0085】
S907では、S906でユーザが選択した証明情報をユーザセッション情報から取得して図7のS703へ進む。
【0086】
S908では、S901で存在すると判断された1つの証明情報を取得して図7のS703へ進む。
【0087】
図10は、本実施形態の画像処理装置における、証明情報に対するアクセス制限処理の一例を示すフローチャートである。
【0088】
図9のS901に示す処理、及び図7のS708の証明情報登録処理において、認証部309はセッション管理部311が管理する証明情報を記憶する記憶領域へアクセスする必要がある。セッション管理部311は、認証部309に対してユーザ認証を依頼したアプリケーションモジュール(A〜C)の種類に応じて認証部309が証明情報へアクセスすることを許可するか否かを判断する。不許可と判断した場合は証明情報へのアクセスをエラーとする。
【0089】
S1001では、証明情報にアクセスするアプリケーションモジュールの証明情報に対するアクセス権限を確認する。本実施形態では、アプリケーションモジュールの実行プロセスに、特定の権限が割り当てられているか否かを確認する。
【0090】
S1002では、S1001での確認の結果に基づいてアプリケーションモジュールが証明情報へのアクセス権限を有するか否かを判断する。権限がないと判断した場合はS1004へ進み、権限があると判断した場合はS1003へ進む。
【0091】
S1003は、アクセス許可ステップであり、アプリケーションモジュールに対して証明情報へのアクセスを許可し、本フローチャートを終了する。
【0092】
S1004は、アクセス不許可ステップであり、アプリケーションモジュールに対して証明情報へのアクセスを不許可として、本フローチャートを終了する。
【0093】
図10のフローチャートによれば、アプリケーションに対して証明情報のアクセスを制限することが可能になる。
【0094】
以上、本実施形態によれば、第1認証手段の一例であるユーザがユーザ認証モジュール310によって認証されたことによって生成、記憶される第1証明情報を用いて第2認証装置の一例である他の認証装置への認証を行うことが可能になる。これによりシングルサインオンを実現することが出来る。
【0095】
そして、ユーザがユーザ認証モジュール310によって認証されている間に当該ユーザが他の認証装置によって認証されたことによって生成される第2証明情報を、第1証明情報に関連付けてユーザセッション情報に追加登録する。これにより、ユーザがユーザ認証モジュール310によって認証されている間は追加された証明情報を用いて更に異なる認証装置による認証を行うことが可能になる。これにより、更に柔軟なシングルサインオンを実現することが出来る。
【0096】
そして、ユーザがユーザ認証モジュール310からログアウトした場合に第1証明情報、第2証明情報は消去される。これにより、鍵束方式によって実現される従来のシングルサインオンの技術のように、複数のユーザの鍵束を予め装置内に登録しておく必要が無い。よって鍵束を登録するための記憶容量を確保する必要が無く、また、鍵束を予め登録する手間を省略することが出来る。
【0097】
[他の実施の形態]
なお、本発明の目的は、以下の処理を実行することによっても達成される。即ち、上述した実施の形態の機能を実現するソフトウェアのプログラムコード(以下制御プログラム)を記録した記憶媒体を、画像処理装置や情報処理装置、或いはそれら装置の機能拡張ユニットに供給し、それら装置のコンピュータ(またはCPUやMPU等)が記憶媒体に格納された制御プログラムを読み出す処理である。この場合、記憶媒体から読み出された制御プログラム自体が前述した実施の形態の機能を実現することになり、その制御プログラム及び該制御プログラムを記憶した記憶媒体は本発明を構成することになる。制御プログラムはネットワークを介してダウンロードしてもよい。
【符号の説明】
【0098】
110 画像処理装置
305 アプリケーションモジュールA
309 認証部
310 ユーザ認証モジュール
【特許請求の範囲】
【請求項1】
アプリケーションを実行することが可能な情報処理装置において、
前記情報処理装置のユーザを認証する第1認証手段と、
前記第1認証手段による認証に関する情報である第1証明情報を記憶する第1記憶手段と、
前記第1認証手段により認証されたユーザの指示に基づいて前記アプリケーションを実行する場合に、前記第1記憶手段によって記憶された前記第1証明情報を取得する取得手段と、
前記取得手段が取得した第1証明情報を用いて、前記アプリケーションを実行するために必要な認証を第2認証手段に対して要求する要求手段と、
前記要求手段による要求に基づいて前記第2認証手段が行った認証が成功した場合に、前記アプリケーションを実行するアプリケーション実行手段と、
前記第2認証手段による認証に関する情報である第2証明情報を前記第1証明情報に関連付けて記憶する第2記憶手段と、を有することを特徴とする情報処理装置。
【請求項2】
更に、前記第1認証手段が前記ユーザを認証している状態からログアウトしたことに従って、前記第1証明情報と前記第2証明情報とを消去する消去手段を備えることを特徴とする、請求項1に記載の情報処理装置。
【請求項3】
画像データを記憶する画像データ記憶手段を更に備え、
前記アプリケーションは、前記ユーザの指示に基づいて、前記画像データ記憶手段にアクセスして前記画像データ記憶手段に記憶された画像データを処理し、
前記第2認証手段は前記アプリケーションによる前記画像データ記憶手段へのアクセスを指示するユーザを認証することを特徴とする、請求項1または2に記載の情報処理装置。
【請求項4】
前記取得手段が前記記憶手段に記憶された前記第1証明情報を取得できない場合、前記アプリケーションは前記第2認証手段による認証のために必要な認証情報の入力を前記ユーザに促す通知を行うことを特徴とする、請求項1乃至3の何れか1項に記載の画像処理装置。
【請求項5】
前記第1証明情報は、前記第1認証手段がユーザを認証するために用いられた認証情報を含むことを特徴とする、請求項1乃至4の何れか1項に記載の情報処理装置。
【請求項6】
前記第1証明情報は、前記第1認証手段の認証方法を示す情報を含むことを特徴とする、請求項1乃至5の何れか1項に記載の情報処理装置。
【請求項7】
前記第1証明情報は、前記第1認証手段がユーザを認証したことを示す情報を含むことを特徴とする、請求項1乃至6の何れか1項に記載の情報処理装置。
【請求項8】
前記第2認証手段は前記情報処理装置に備えられていることを特徴とする、請求項1乃至7の何れか1項に記載の情報処理装置。
【請求項9】
前記第2認証手段は、前記情報処理装置の外部に備えられており、前記情報処理装置とネットワークを介して通信することが可能であることとを特徴とする請求項1乃至7の何れか1項に記載の情報処理装置。
【請求項10】
アプリケーションを実行することが可能な情報処理装置におけるユーザ認証方法であって、
第1認証手段が前記情報処理装置のユーザを認証するユーザ認証工程と、
前記第1認証手段による認証に関する情報である第1証明情報を記憶する第1記憶工程と、
前記第1認証手段により認証されたユーザの指示に基づいて前記アプリケーションを実行する場合に、前記第1記憶工程において記憶された前記第1証明情報を取得する取得工程と、
前記取得工程において取得された第1証明情報を用いて、前記アプリケーションを実行するために必要な認証を第2認証手段に対して要求する要求工程と、
前記要求工程における要求に基づいて前記第2認証手段が行った認証が成功した場合に、前記アプリケーションを実行するアプリケーション実行工程と、
前記第2認証手段による認証に関する情報である第2証明情報を前記第1証明情報に関連付けて記憶する第2記憶工程と、を有することを特徴とするユーザ認証方法。
【請求項11】
アプリケーションを実行することが可能な情報処理装置におけるユーザ認証方法をコンピュータに実行させるためのプログラムであって、前記認証方法は、
第1認証手段が前記情報処理装置のユーザを認証するユーザ認証工程と、
前記第1認証手段による認証に関する情報である第1証明情報を記憶する第1記憶工程と、
前記第1認証手段により認証されたユーザの指示に基づいて前記アプリケーションを実行する場合に、前記第1記憶工程において記憶された前記第1証明情報を取得する取得工程と、
前記取得工程において取得された第1証明情報を用いて、前記アプリケーションを実行するために必要な認証を第2認証手段に対して要求する要求工程と、
前記要求工程における要求に基づいて前記第2認証手段が行った認証が成功した場合に、前記アプリケーションを実行するアプリケーション実行工程と、
前記第2認証手段による認証に関する情報である第2証明情報を前記第1証明情報に関連付けて記憶する第2記憶工程と、を有することを特徴とするプログラム。
【請求項1】
アプリケーションを実行することが可能な情報処理装置において、
前記情報処理装置のユーザを認証する第1認証手段と、
前記第1認証手段による認証に関する情報である第1証明情報を記憶する第1記憶手段と、
前記第1認証手段により認証されたユーザの指示に基づいて前記アプリケーションを実行する場合に、前記第1記憶手段によって記憶された前記第1証明情報を取得する取得手段と、
前記取得手段が取得した第1証明情報を用いて、前記アプリケーションを実行するために必要な認証を第2認証手段に対して要求する要求手段と、
前記要求手段による要求に基づいて前記第2認証手段が行った認証が成功した場合に、前記アプリケーションを実行するアプリケーション実行手段と、
前記第2認証手段による認証に関する情報である第2証明情報を前記第1証明情報に関連付けて記憶する第2記憶手段と、を有することを特徴とする情報処理装置。
【請求項2】
更に、前記第1認証手段が前記ユーザを認証している状態からログアウトしたことに従って、前記第1証明情報と前記第2証明情報とを消去する消去手段を備えることを特徴とする、請求項1に記載の情報処理装置。
【請求項3】
画像データを記憶する画像データ記憶手段を更に備え、
前記アプリケーションは、前記ユーザの指示に基づいて、前記画像データ記憶手段にアクセスして前記画像データ記憶手段に記憶された画像データを処理し、
前記第2認証手段は前記アプリケーションによる前記画像データ記憶手段へのアクセスを指示するユーザを認証することを特徴とする、請求項1または2に記載の情報処理装置。
【請求項4】
前記取得手段が前記記憶手段に記憶された前記第1証明情報を取得できない場合、前記アプリケーションは前記第2認証手段による認証のために必要な認証情報の入力を前記ユーザに促す通知を行うことを特徴とする、請求項1乃至3の何れか1項に記載の画像処理装置。
【請求項5】
前記第1証明情報は、前記第1認証手段がユーザを認証するために用いられた認証情報を含むことを特徴とする、請求項1乃至4の何れか1項に記載の情報処理装置。
【請求項6】
前記第1証明情報は、前記第1認証手段の認証方法を示す情報を含むことを特徴とする、請求項1乃至5の何れか1項に記載の情報処理装置。
【請求項7】
前記第1証明情報は、前記第1認証手段がユーザを認証したことを示す情報を含むことを特徴とする、請求項1乃至6の何れか1項に記載の情報処理装置。
【請求項8】
前記第2認証手段は前記情報処理装置に備えられていることを特徴とする、請求項1乃至7の何れか1項に記載の情報処理装置。
【請求項9】
前記第2認証手段は、前記情報処理装置の外部に備えられており、前記情報処理装置とネットワークを介して通信することが可能であることとを特徴とする請求項1乃至7の何れか1項に記載の情報処理装置。
【請求項10】
アプリケーションを実行することが可能な情報処理装置におけるユーザ認証方法であって、
第1認証手段が前記情報処理装置のユーザを認証するユーザ認証工程と、
前記第1認証手段による認証に関する情報である第1証明情報を記憶する第1記憶工程と、
前記第1認証手段により認証されたユーザの指示に基づいて前記アプリケーションを実行する場合に、前記第1記憶工程において記憶された前記第1証明情報を取得する取得工程と、
前記取得工程において取得された第1証明情報を用いて、前記アプリケーションを実行するために必要な認証を第2認証手段に対して要求する要求工程と、
前記要求工程における要求に基づいて前記第2認証手段が行った認証が成功した場合に、前記アプリケーションを実行するアプリケーション実行工程と、
前記第2認証手段による認証に関する情報である第2証明情報を前記第1証明情報に関連付けて記憶する第2記憶工程と、を有することを特徴とするユーザ認証方法。
【請求項11】
アプリケーションを実行することが可能な情報処理装置におけるユーザ認証方法をコンピュータに実行させるためのプログラムであって、前記認証方法は、
第1認証手段が前記情報処理装置のユーザを認証するユーザ認証工程と、
前記第1認証手段による認証に関する情報である第1証明情報を記憶する第1記憶工程と、
前記第1認証手段により認証されたユーザの指示に基づいて前記アプリケーションを実行する場合に、前記第1記憶工程において記憶された前記第1証明情報を取得する取得工程と、
前記取得工程において取得された第1証明情報を用いて、前記アプリケーションを実行するために必要な認証を第2認証手段に対して要求する要求工程と、
前記要求工程における要求に基づいて前記第2認証手段が行った認証が成功した場合に、前記アプリケーションを実行するアプリケーション実行工程と、
前記第2認証手段による認証に関する情報である第2証明情報を前記第1証明情報に関連付けて記憶する第2記憶工程と、を有することを特徴とするプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2011−258000(P2011−258000A)
【公開日】平成23年12月22日(2011.12.22)
【国際特許分類】
【出願番号】特願2010−132130(P2010−132130)
【出願日】平成22年6月9日(2010.6.9)
【出願人】(000001007)キヤノン株式会社 (59,756)
【Fターム(参考)】
【公開日】平成23年12月22日(2011.12.22)
【国際特許分類】
【出願日】平成22年6月9日(2010.6.9)
【出願人】(000001007)キヤノン株式会社 (59,756)
【Fターム(参考)】
[ Back to top ]