情報処理装置と、その処理方法及びプログラム
【課題】ディレクトリサーバで管理するユーザのグループと認証サーバで管理するユーザのグループとを対応付けることで、複合機を利用する機能権限設定を容易に行うことができる仕組みを提供すること。
【解決手段】ユーザ情報を管理するディレクトリサービスサーバと通信可能なユーザ認証情報を記憶する情報処理装置であって、ユーザ認証情報に設定する第1のユーザグループと、第1のユーザグループに対応付く画像形成装置の機能を制限するための機能制限情報を記憶し、第1のユーザグループを取得し、ディレクトリサービスサーバで管理する第2のユーザグループを、ディレクトリサービスサーバから受信し、第1のユーザグループ及び第2のユーザグループを表示し、第1のユーザグループに対して、第2のユーザグループを対応付けし、対応付けた第1のユーザグループと第2のユーザグループとの対応付けを示す対応付情報を生成することを特徴とする。
【解決手段】ユーザ情報を管理するディレクトリサービスサーバと通信可能なユーザ認証情報を記憶する情報処理装置であって、ユーザ認証情報に設定する第1のユーザグループと、第1のユーザグループに対応付く画像形成装置の機能を制限するための機能制限情報を記憶し、第1のユーザグループを取得し、ディレクトリサービスサーバで管理する第2のユーザグループを、ディレクトリサービスサーバから受信し、第1のユーザグループ及び第2のユーザグループを表示し、第1のユーザグループに対して、第2のユーザグループを対応付けし、対応付けた第1のユーザグループと第2のユーザグループとの対応付けを示す対応付情報を生成することを特徴とする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証情報を記憶する情報処理装置に関するものである。
【背景技術】
【0002】
近年、複合機を使用する際にも、ユーザ認証を行わせ、ユーザごとに複合機の使用を制限することが行われている(特許文献1)。
【0003】
また、複合機を使用する際のユーザ認証としては、ICカードを複合機のカードリーダにかざすことによって、ユーザ認証を行う仕組みが存在している。
【0004】
ICカードを用いてユーザ認証する仕組みの一つとして、外部のサーバ内にカード情報を含む認証情報を保持し、その認証情報とICカードからよみとられたカード情報を比較することによって認証を行っているが、この認証情報を保持するサーバを、社内のユーザ情報(ユーザ名、パスワード、グループ)を管理するディレクトリサーバとは別のサーバ(ICカード認証サーバ)で管理することが行われている。
【0005】
これは、ディレクトリサーバが既に企業に導入されているため、ICカード認証を用いた複合機を導入するだけのためにディレクトリサーバのユーザ情報の構成を変えるといったことを望まない企業が存在するからである。
【0006】
また、複合機を機能制限する場合に、複合機が複数の機能を有するため、複数の機能に対しての機能制限をディレクトリサーバ上で詳細に設定及び管理をしなければならず、ディレクトリサーバ上の管理が煩雑になる。
【特許文献1】特開2007−142574号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
そこで、ICカードを用いたユーザ認証を行うためにICカード認証サーバを設置する。ICカード認証サーバでは、ディレクトリサーバのユーザ情報(例えば、ユーザ名)をインポートし、そのユーザ名にICカードのカード情報を紐付けて管理している。
【0008】
また、各ユーザにグループを設定するが、ICカード認証サーバを汎用的に利用するために、また、複合機の機能の制限を定義した機能制限情報をグループごとに制限することを可能とするために、ICカード認証サーバで独自に利用可能なグループを保持している。
【0009】
この様な構成において、ICカード認証サーバを導入するユーザ(企業)から、複合機を利用したシステムで利用するグループやそのグループの機能制限などをディレクトリサーバで管理せず、既にディレクトリサーバで管理しているグループを利用して、複合機の機能制限を行いたいという要望が存在する。
【0010】
この場合、ディレクトリサーバ上で管理しているグループをユーザ名とともにインポートし、インポート後にICカード認証サーバで管理するグループに置き換えることが考えられるが、管理者がグループ対応表を作成し、一つずつ置き換えなどを行わなければならず煩雑な作業が発生してしまっていた。
【0011】
また、複合機は複数の機能を有しているものの、部門の管理者であれば全ての機能、全ての設定を使えるようにするといった部門をまたいで機能制限をする運用も多くあり、社内のシステムのように詳細なグループに分けて管理するディレクトリサーバのグループの管理方法とは一致しないことが運用上存在した。
【0012】
そのため、ディレクトリサーバのユーザ情報をインポートした後、管理者が複合機を利用するためのグループに再設定しなおさなければならず、煩雑な作業が発生してしまっていた。
【0013】
そこで、本発明の目的は、ディレクトリサーバで管理するユーザ情報をインポートする前に、ディレクトリサーバで管理するユーザのグループと認証サーバ(例えば、ICカード認証サーバ)で管理するユーザのグループとを対応付けることで、複合機を利用する機能権限設定を容易に行うことができる仕組みを提供することである。
【0014】
また、例えばICカードを用いない認証(キーボード認証)時にも、認証ユーザごとに複合機を利用する機能の制限を行うことができる仕組みを提供する。
【課題を解決するための手段】
【0015】
本発明は、ユーザグループを含むユーザ情報を管理するディレクトリサービスサーバとネットワークを介して通信可能な、画像形成装置で入力された入力情報を認証するためのユーザ認証情報を記憶する情報処理装置であって、前記ユーザ認証情報に設定する第1のユーザグループと、当該第1のユーザグループに対応付く前記画像形成装置の機能を制限するための機能制限情報を記憶する記憶手段と、前記記憶手段から第1のユーザグループを取得する取得手段と、前記ディレクトリサービスサーバで管理する第2のユーザグループを、当該ディレクトリサービスサーバから受信する第1の受信手段と、前記第1のユーザグループ及び前記第2のユーザグループを表示する表示手段と、前記第1のユーザグループに対して、前記第2のユーザグループを対応付ける対応付手段と、前記対応付手段で対応付けた第1のユーザグループと第2のユーザグループとの対応付けを示す対応付情報を生成する生成手段とを備えることを特徴とする。
【0016】
この構成によれば、ディレクトリサーバで管理するユーザ情報をインポートする前に、ディレクトリサーバで管理するユーザのグループと認証サーバ(例えば、ICカード認証サーバ)で管理するユーザのグループとを対応付けることで、複合機を利用する機能権限設定を容易に行うことができる。
【0017】
また、本発明は、前記ディレクトリサービスサーバで管理する第2のユーザグループを含むユーザ情報の取り込みを指示する取込指示手段と、前記取込指示手段の取込指示に従って、前記ディレクトリサービスサーバから受付けたユーザ情報に含まれる第2のユーザグループを前記対応付手段で対応付けた第1のユーザグループに変更する変更手段とを更に備えることを特徴とする。
【0018】
また、本発明は、前記変更手段で第1のユーザグループに変更したディレクトリサービスサーバから受付けたユーザ情報を、前記ユーザ認証情報として登録する登録手段を更に備えることを特徴とする。
【0019】
また、本発明は、前記画像形成装置で記憶媒体から得られる入力情報を受付ける入力情報受付手段と、前記入力情報受付手段に従って受付けた入力情報と前記ユーザ認証情報とに従って、認証する認証手段と、前記認証手段によって認証されたユーザの第1のユーザグループに応じて、前記機能制限情報を取得する第1の機能制限情報取得手段と、前記画像形成装置の利用を制限すべく、前記第1の機能制限情報取得手段で取得した機能制限情報を前記画像形成装置に送信する第1の機能制限情報送信手段とを更に備えることを特徴とする。
【0020】
また、本発明は、前記ユーザ認証情報は、ユーザ名とパスワードを含み、前記画像形成装置を利用するために、当該画像形成装置から入力されるユーザ名とパスワードを含むユーザ情報を受信するユーザ情報受信手段と、前記ユーザ情報受信手段で受信したユーザ名とパスワードを用いて、前記ディレクトリサーバから当該ユーザ名に対応する第2のユーザグループを含むユーザ情報を受信する第2の受信手段とを更に備え、前記変更手段は、前記対応付情報に従って前記第2の受信手段で受信したユーザ情報に含まれる第2のユーザグループを第1のユーザグループに変更することを特徴とする。
【0021】
また、本発明は、前記変更手段で変更された第1のユーザグループに対応する機能制限情報を取得する第2の機能制限情報取得手段と、前記画像形成装置の利用を制限すべく、前記第2の機能制限情報取得手段で取得した機能制限情報を前記画像形成装置に送信する第2の機能制限情報送信手段とを更に備えることを特徴とする。
【発明の効果】
【0022】
本発明によれば、ディレクトリサーバで管理するユーザ情報をインポートする前に、ディレクトリサーバで管理するユーザのグループと認証サーバ(例えば、ICカード認証サーバ)で管理するユーザのグループとを対応付けることで、複合機を利用する機能権限設定を容易に行うことができる。
【0023】
また、例えばICカードを用いない認証(キーボード認証)時にも、認証ユーザごとに複合機を利用する機能の制限を行うことができる。
【発明を実施するための最良の形態】
【0024】
以下、図面を参照して、本発明の実施形態を詳細に説明する。
【0025】
図1は、本発明のICカード認証システムの構成の一例を示すシステム構成図である。
【0026】
図1は、1又は複数の複合機100、ICカード認証サーバ200、複数のディレクトリサービスサーバ300がローカルエリアネットワーク(LAN)400を介して接続される構成となっている。
【0027】
ICカード認証サーバ200は、ICカード認証用テーブル(後述する図4に示す)を記憶し、複合機100からのICカードによる認証依頼、またはユーザ名とパスワードによる認証依頼に応じて、該ICカード認証用テーブルを用いて認証処理を行う。
【0028】
ディレクトリサービスサーバ300は、ネットワーク上に存在するサーバ、クライアント等のハードウェア資源や、それらを使用するユーザの属性(例えば、マイクロソフト社のWindows(登録商標)のログインユーザ名,パスワード)、アクセス権等の情報を一元記憶管理するものであり、例えば、アクティブディレクトリ(Active Directory(商標、以下省略))機能を搭載したサーバである。以下、ディレクトリサービスサーバで管理するグループをActive Directoryグループとして説明する。
【0029】
クライアント700は、ICカード認証サーバ管理ツールをインストールしたクライアントPCである。ICカード認証サーバ管理ツールからICカード認証サーバにアクセスし、設定作業を行う事が可能である。
ICカード認証サーバ管理ツールは、ICカード認証サーバ200にインストールされている構成でも良い。
【0030】
また、本実施形態のICカード認証システムは、上述した構成の1又は複数の複合機100,ICカード認証サーバ200,ディレクトリサービスサーバ300がLAN400を介して接続されるWAN500を介して接続される構成であってもよい。
【0031】
さらに、ICカード認証に限らず、指紋などの生体認証を用いた認証システムにも適用可能である。
【0032】
以下、図2を用いて、図1に示したICカード認証サーバ200,ディレクトリサービスサーバ300、クライアントPC700に適用可能な情報処理装置のハードウェア構成について説明する。
【0033】
図2は、図1に示したICカード認証サーバ200、ディレクトリサービスサーバ300、クライアントPC700に適用可能な情報処理装置のハードウェア構成を示すブロック図である。
【0034】
図2において、201はCPUで、システムバス204に接続される各デバイスやコントローラを統括的に制御する。また、ROM202あるいは外部メモリ211には、CPU201の制御プログラムであるBIOS(Basic Input / Output System)やオペレーティングシステムプログラム(以下、OS)や、各サーバ或いは各PCの実行する機能を実現するために必要な後述する各種プログラム等が記憶されている。
【0035】
203はRAMで、CPU201の主メモリ、ワークエリア等として機能する。CPU201は、処理の実行に際して必要なプログラム等をROM202あるいは外部メモリ211からRAM203にロードして、該ロードしたプログラムを実行することで各種動作を実現するものである。
【0036】
また、205は入力コントローラで、キーボード(KB)209や不図示のマウス等のポインティングデバイス等からの入力を制御する。206はビデオコントローラで、液晶ディスプレイなどのディスプレイ210への表示を制御する。これらは必要に応じて管理者が使用するものである。
【0037】
207はメモリコントローラで、ブートプログラム,各種のアプリケーション,フォントデータ,ユーザファイル,編集ファイル,各種データ等を記憶する外部記憶装置(ハードディスク(HD))や、フレキシブルディスク(FD)、或いはPCMCIAカードスロットにアダプタを介して接続されるコンパクトフラッシュ(登録商標)メモリ等の外部メモリ211へのアクセスを制御する。
【0038】
208は通信I/Fコントローラで、ネットワーク(例えば、図1に示したLAN400)を介して外部機器と接続・通信するものであり、ネットワークでの通信制御処理を実行する。例えば、TCP/IPを用いた通信等が可能である。
【0039】
なお、CPU201は、例えばRAM203内の表示情報用領域へアウトラインフォントの展開(ラスタライズ)処理を実行することにより、ディスプレイ210上での表示を可能としている。また、CPU201は、ディスプレイ210上の不図示のマウスカーソル等でのユーザ指示を可能とする。
【0040】
本発明を実現するための後述する各種プログラムは、外部メモリ211に記録されており、必要に応じてRAM203にロードされることによりCPU201によって実行されるものである。さらに、上記プログラムの実行時に用いられる定義ファイル及び各種情報テーブル等も、外部メモリ211に格納されており、これらについての詳細な説明も後述する。
【0041】
次に、図3を用いて、本発明の情報処理装置としての複合機100のハードウェア構成について説明する。
【0042】
図3は、図1に示した複合機100のハードウェア構成の一例を示すブロック図である。
【0043】
図3において、316はコントローラユニットで、画像入力デバイスとして機能するスキャナ314や、画像出力デバイスとして機能するプリンタ312と接続する一方、LAN(例えば、図1に示したLAN400)や公衆回線(WAN)(例えば、PSTNまたはISDN等)と接続することで、画像データやデバイス情報の入出力を行う。
【0044】
コントローラユニット316において、301はCPUで、システム全体を制御するプロセッサである。302はRAMで、CPU301が動作するためのシステムワークメモリであり、プログラムを記録するためのプログラムメモリや、画像データを一時記録するための画像メモリでもある。
【0045】
303はROMで、システムのブートプログラムや各種制御プログラムが格納されている。304は外部記憶装置(ハードディスクドライブ(HDD))で、システムを制御するための各種プログラム,画像データ等を格納する。
【0046】
307は操作部インタフェース(操作部I/F)で、操作部(UI)308とのインタフェース部であり、操作部308に表示する画像データを操作部308に対して出力する。また、操作部I/F307は、操作部308から本システム使用者が入力した情報(例えば、ユーザ情報等)をCPU301に伝える役割をする。なお、操作部308はタッチパネルを有する表示部を備え、該表示部に表示されたボタンを、ユーザが押下(指等でタッチ)することにより、各種指示を行うことができる。
【0047】
305はネットワークインタフェース(Network I/F)で、ネットワーク(LAN)に接続し、データの入出力を行う。306はモデム(MODEM)で、公衆回線に接続し、FAXの送受信等のデータの入出力を行う。
【0048】
318は外部インタフェース(外部I/F)で、USB、IEEE1394,プリンタポート,RS−232C等の外部入力を受け付けるI/F部であり、本実施形態においては認証で必要となるICカード(記憶媒体)の読み取り用のカードリーダ319が外部I/F部318に接続されている。そして、CPU301は、この外部I/F318を介してカードリーダ319によるICカードからの情報読み取りを制御し、該ICカードから読み取られた情報を取得可能である。以上のデバイスがシステムバス309上に配置される。
【0049】
320はイメージバスインタフェース(IMAGE BUS I/F)であり、システムバス309と画像データを高速で転送する画像バス315とを接続し、データ構造を変換するバスブリッジである
画像バス315は、PCIバスまたはIEEE1394で構成される。画像バス315上には以下のデバイスが配置される。
【0050】
310はラスタイメージプロセッサ(RIP)で、例えば、PDLコード等のベクトルデータをビットマップイメージに展開する。311はプリンタインタフェース(プリンタI/F)で、プリンタ312とコントローラユニット316を接続し、画像データの同期系/非同期系の変換を行う。また、313はスキャナインタフェース(スキャナI/F)で、スキャナ314とコントローラユニット316を接続し、画像データの同期系/非同期系の変換を行う。
【0051】
317は画像処理部で、入力画像データに対し補正、加工、編集を行ったり、プリント出力画像データに対して、プリンタの補正、解像度変換等を行う。また、これに加えて、画像処理部317は、画像データの回転や、多値画像データに対してはJPEG、2値画像データはJBIG、MMR、MH等の圧縮伸張処理を行う。
【0052】
スキャナ部314は、原稿となる紙上の画像を照明し、CCDラインセンサで走査することで、ラスタイメージデータとして電気信号に変換する。原稿用紙は原稿フィーダのトレイにセットし、装置使用者が操作部308から読み取り起動指示することにより、CPU301がスキャナ314に指示を与え、フィーダは原稿用紙を1枚ずつフィードし原稿画像の読み取り動作を行う。
【0053】
プリンタ部312は、ラスタイメージデータを用紙上の画像に変換する部分であり、その方式は感光体ドラムや感光体ベルトを用いた電子写真方式、微少ノズルアレイからインクを吐出して用紙上に直接画像を印字するインクジェット方式等があるが、どの方式でも構わない。プリント動作の起動は、CPU301からの指示によって開始する。なお、プリンタ部312には、異なる用紙サイズまたは異なる用紙向きを選択できるように複数の給紙段を持ち、それに対応した用紙カセットがある。
【0054】
操作部308は、LCD表示部を有し、LCD上にタッチパネルシートが貼られており、システムの操作画面を表示するとともに、表示してあるキーが押されるとその位置情報を操作部I/F307を介してCPU301に伝える。また、操作部308は、各種操作キーとして、例えば、スタートキー、ストップキー、IDキー、リセットキー等を備える。
【0055】
ここで、操作部308のスタートキーは、原稿画像の読み取り動作を開始する時などに用いる。スタートキーの中央部には、緑と赤の2色LEDがあり、その色によってスタートキーが使える状態にあるかどうかを示す。また、操作部308のストップキーは、稼働中の動作を止める働きをする。また、操作部308のIDキーは、使用者のユーザIDを入力する時に用いる。リセットキーは、操作部からの設定を初期化する時に用いる。
【0056】
カードリーダ319は、CPU301からの制御により、ICカード(例えば、ソニー社のフェリカ(FeliCa)(登録商標))内に記憶されている情報を読み取り、該読み取った情報を外部I/F318を介してCPU301へ通知する。 なお、コントローラユニット316とプリンタ312とスキャナ314と操作部308とカードリーダ319は、複合機100で同一筐体に備えている。
【0057】
まず、本実施形態におけるICカード認証システムにおける認証の概略を説明する。
【0058】
複合機100は、カードリーダ319により読み取り可能なICカードを検知すると、該ICカード内の個人認証情報を読み取り、該読み取った個人認証情報を認証要求としてICカード認証サーバ200に送信する。個人認証情報は、認証に用いられる情報であり該ICカードの製造番号でも良い。
【0059】
ICカード認証サーバ200は、複合機100より個人認証情報を受信すると、該個人認証情報の認証処理をICカード認証サーバ200の外部記憶装置上に記憶されるICカード認証用テーブル(図4)に基づいて行い、認証結果を複合機100に返信する。ここで図4を参照して、ICカード認証用テーブル(ユーザ認証情報)について説明する。
【0060】
図4は、本実施形態のICカード認証システムにおけるICカード認証用テーブル(ユーザ認証情報)の一例を示すデータ構成図である。なお、ICカード認証テーブルは、ICカード認証サーバ200の外部メモリ211に記憶される。
【0061】
図4に示すように、ICカード認証用テーブルは、ユーザ名501、認証ドメイン名502、カード情報503、メールアドレス504、有効期限505、有効/無効506、認証サーバグループ507、部門ID508、部門パスワード509等から構成される。また、カード情報503は、カード番号511、正当性情報512、カード名称513を含む。カード情報は、1ユーザに対して複数登録可能となっている。
【0062】
ユーザ名501は、複合機100を使用するユーザの名称であり、認証結果に含まれる情報である。このユーザ名で複合機100へのログインがなされる。また、ログインされるとこのユーザ名が操作部308へユーザ名が表示される。
【0063】
認証ドメイン名502は、認証先のサーバがネットワーク上で何処にあるかを示す。認証先は、ICカード認証サーバ200やディレクトリサービスサーバ300などである。
【0064】
カード情報503は、ユーザが複合機100を使用するためのICカードのカード情報である。本実施形態において、ICカードのカード情報503はすなわち複合機100(画像形成装置)の使用を許可するキー情報である。カード情報503は、カード番号511、正当性情報512、カード名称513を含む。
【0065】
カード番号511は、個々のカードを識別するための数字、文字の列であり、このカード番号と、カードリーダ319がICカードから読み出したカード番号と比較するための情報で、一致した場合には認証成功となり、一致しない場合には認証失敗となる。なお、正当性情報512、カード名称513については後述する。
【0066】
メールアドレス504は、ユーザの所有するメールアドレスであり、複合機100の使用に関する通知をユーザに行う際などに使用される。有効期限505は、ユーザに定められた複合機100の使用の有効期限である。有効期限を超えると、そのユーザが複合機100を使用することができなくなる。
【0067】
有効/無効506は、そのユーザが複合機100を使用できるかどうかを示す情報である。有効期限を超えるなどの理由により、複合機100を使用できない場合には、無効を示す情報が書き込まれる。
【0068】
認証サーバグループ507は、そのユーザに設定されている複合機100の使用に関する制限の内容を示すものである。認証サーバグループ507を機能制限情報に紐付ける事で実現する。機能制限情報の詳細は、図10にて記載する。なお、認証サーバグループ507に記憶される情報は、後述する、図12で設定された情報に基づいて変換(変更)された認証サーバグループ名が記憶される。なお、この認証サーバグループ507は、予め記憶されているグループと、管理者が任意に作成できるグループが存在する。予め記憶されているグループには後述する機能制限情報が予め紐付いている。任意に作成したグループの場合は、管理者がそのグループにどういった機能制限を行うのかを決め、機能制限情報を作成し、任意に作成したグループに紐付ける。なお、任意に作成したグループに対して、既にある機能制限情報を紐付けることも可能である。
【0069】
部門ID508は、ユーザの所属する社内部門を示すIDである。部門パスワード509は、部門ID508に付随するパスワードである。
【0070】
本実施形態では、図4のICカード認証用テーブルの各項目はk、図6で後述するインポート時に登録されるものである。
【0071】
以下にカード情報503内の正当性情報512、カード名称513に関しての概要を説明する。
【0072】
カード情報503内の正当性情報512とは、ICカード内に登録された数値の情報である。この情報は、例えば、ICカードを紛失した際に、紛失したICカードと再発行したICカードを区別する為に使用する。
【0073】
例えば、紛失したICカードの正当性情報から値を1つ加算してICカードを再発行する事で、紛失したICカードとの区別をする事が可能となる。紛失したICカードの悪用を防ぎ、セキュリティを保つ事ができる。
【0074】
カード名称513は、カード情報削除画面(不図示)などでICカードのカード番号を表示する際に、ともに表示し、ユーザが判別し易いようにするものである。カード名称は、カード情報登録時のカード登録・カード名称入力画面(不図示)で設定が可能である。
【0075】
図10は、図4の認証サーバグループ507の説明にて記載した機能制限情報の詳細内容である。機能制限情報はIC認証サーバ200の外部メモリ211に記憶されている。
【0076】
複合機の各機能の使用制限を詳細に設定する事が可能で、例えばデバイス制限項目の印刷を「許可する/許可しない」を設定する事で印刷可否の制限を指定できる。この機能制限情報は、管理者があらかじめ設定するもので、各認証サーバグループ507に対応付けて記憶されている。
【0077】
なお、複数の機能制限情報を1つの認証サーバグループに紐付けることも可能である。この場合、複数の機能制限情報のうち、使用する機能制限情報を予め設定しておく、或いは制限の緩い制限を使い、機能制限情報を生成し、その生成された機能制限情報を用いるようにすることも可能である。
【0078】
次に、図5、図6、図7、図8を参照して、本実施形態のICカード認証システムにおける認証サーバグループとActive Directoryグループの対応付け設定、及び設定した対応付け内容を認証時に使用する処理に関して記載する。
【0079】
まず、図5ではICカード認証システムにおける認証サーバグループとActive Directoryグループの対応付け設定処理について説明する。本処理はICカード認証サーバ200とクライアントPC700にて実施され、本フローチャートに記載の処理ステップを実行するプログラムを実行することによって実現可能である。
【0080】
ステップS101では、認証サーバグループとActive Directoryグループの対応付けを行うために、グループ対応付けを行うか否かを判断する。なお、このグループ付けを行うか否かの判断は、認証サーバでの各種情報を設定する管理画面(不図示)より、ユーザ操作によりグループ対応付けを行う要求を受け付けることで判断する。グループの対応付けを行う場合にはステップS112へ処理が移り、グループの対応付けを行わない場合には処理を終了する。
【0081】
グループの対応付けを行う場合には、ステップS112にてグループ対応付け設定画面(図12)を表示する。
【0082】
ステップS102からステップS103では、グループ対応付け設定画面の初期表示処理を記載する。
【0083】
ステップS102では、ICカード認証サーバにて予め記憶、管理されている認証サーバグループ(図14)を検索し、ステップS103で取得した認証サーバグループをプルダウンメニュー1201にセットする。
【0084】
ここで、ICカード認証サーバにて予め記憶、管理されている認証サーバグループについて、図14を用いて説明する。
【0085】
図14はICカード認証サーバの外部メモリ211に記憶されており、認証サーバグループ1401は、認証サーバグループ名(例えば、Administrators)が格納されている。この認証サーバグループ名が外部メモリ211から読み出され、プルダウンメニュー1201に表示される。また、機能制限情報1402には、図10の機能制限情報に対応する機能制限情報名(例えば、機能制限情報A)が格納されている。さらに、認証サーバグループ1401と機能制限情報1402とが対応付けられている。
【0086】
ステップS104からステップS106では、グループ対応付け設定画面でのユーザ操作による処理を記載する。
【0087】
ステップS104では、ユーザ操作によりActive Directoryグループの検索を実行する。検索には検索条件1202を設定し、検索ボタン1203が押下されることによって、ディレクトリサービスサーバ300へ要求がなされ、ディレクトリサービスサーバ300で検索が実行される。
【0088】
ステップS106では、ステップS104での検索要求に従って検索された検索結果を、ディレクトリサービスサーバ300から受信し、受信したActive Directoryグループをリスト1204に一覧表示する。
【0089】
ステップS107では、プルダウンメニュー1201にセットされた認証サーバグループの選択を受け付ける。選択された認証サーバグループはICカード認証サーバ200またはクライアントPC700のRAM203に記憶される。
【0090】
ステップS108では、選択リスト1204にセットされたActive Directoryグループの選択を受け付ける。そして、追加ボタン1205が押下されると、選択リスト1204で選択されたActive Directoryグループが対応付けられたActive Directoryグループとして追加リスト1206へ表示される。なお、追加リスト1206へ追加されたActive Directoryグループは、ICカード認証サーバ200またはクライアントPC700のRAM203に記憶される。なお、Active Directoryグループは選択リスト1204で複数選択可能である。
【0091】
また、OKボタン1207を押下指示されると、ステップS109では、プルダウンメニュー1201で選択され認証サーバグループと、追加リスト1206に追加されたActive DirectoryグループをICカード認証サーバ200またはクライアントPC700のRAM203から読出し、ICカード認証サーバ200またはクライアントPCのディスプレイ210に認証サーバグループとActive Directoryグループの対応付けを図11のように表示をする。1101は認証サーバグループで、1102,1103はActive Directoryグループであり、認証サーバグループを上位に、Active Directoryグループを下位に表示させるように構成する。また、図12の画面で他の認証サーバグループを選択し、Active Directoryグループの対応付けを行った場合、1104(認証サーバグループ)、1105(Active Directoryグループ)のように追加される。
【0092】
ステップS110では、ユーザ操作により、設定した対応付けを確定し、ステップS111で確定した対応付け情報をXMLファイルに保存する(図9)。なお、XMLファイルは、ICカード認証サーバ200の外部メモリ211に記憶される。
【0093】
図9は上述のように、認証サーバグループとActive Directoryグループの対応付け情報を記述したXMLファイルを説明する図であり、XMLフォーマット内の要素名と、その要素内に記載される情報の説明を901に示し、図11で表示された対応付け情報を基にして生成されたXMLファイルの記載例を902に示したものであり、図11に表示された対応付け情報は同じ符号を付す。
【0094】
次に図6を用いて、ICカード認証サーバ200が管理するICカード認証用テーブル(図4)にディレクトリサービスサーバが管理するユーザ情報を格納する処理(インポート処理)について説明する。インポート処理時に、図5でグループ対応付けを設定し、生成されたXMLファイル901(グループ対応付け情報)に基づいて、認証サーバグループを設定する。
【0095】
ステップS201では、ディレクトリサービスサーバが管理するユーザ情報をインポートするか否かを判断する。
インポート処理の実行タイミングは、指定した時刻に定期的に行うケースとインポート実行画面(不図示)からユーザが指示することで実行するケースの2ケースが存在する。インポートする場合、ステップS202へ処理が移り、インポートしない場合、処理を終了する。
【0096】
ステップS202では、ディレクトリサービスサーバ300にユーザ情報の取得要求を行う。ディレクトリサーバは取得要求を受信すると、ディレクトリサービスサーバ300で記憶、管理されているユーザ情報(図13)からインポート対象となる項目のユーザ情報を取得する。取得したユーザ情報を要求のあったICカード認証サーバ200へ送信し、ICカード認証サーバ200はそのユーザ情報を受信する。なお、ディレクトリサービスサーバ300にユーザ情報の取得要求を行う場合、インポート対象となる項目をディレクトリサービスサーバ300に送信することで、ICカード認証サーバ200のICカード認証用テーブルで管理するためのユーザ情報が取得できる。
【0097】
ここで、ディレクトリサービスサーバ300で記憶、管理しているユーザ情報について、図13を用いて説明する。
【0098】
図13はディレクトリサーバのユーザ情報を構成するデータの一例を示す図である。なお1301〜1310の情報はディレクトリサービスサーバを導入する際に管理者によって予め登録されている情報である。
【0099】
ユーザ名1301の情報は、ユーザ名501の情報としてインポートされる。パスワード1302の情報はICカード認証サーバ200へはインポートされない情報である。これはディレクトリサーバがパスワードを厳密に管理しているために検索やインポートなど簡単に取り出せないようになっているからである。
【0100】
カード情報1303はカード情報503に、正当性情報1304は正当性情報512に、メールアドレス1305はメールアドレス504に、有効期限1306は有効期限505に、有効/無効1307は506に、部門ID1309は部門ID508に、部門パスワード1310は部門パスワード509に対応し、インポートされる。
【0101】
ディレクトリサーバグループ1308(ユーザグループ)は、認証サーバグループ507に対応し、図12での対応付け設定によって、インポート時に認証サーバグループ名に変換される情報が記憶される項目である。
【0102】
ステップS205では、ステップS202で取得したディレクトリサービスサーバ300のユーザ情報から各ユーザが所属するActive Directoryグループを取得する。
【0103】
ステップS206では、グループ対応付け情報(XMLファイル902)にて設定されているグループ対応付け内容に従い、ユーザが所属する認証サーバグループを確定する。本処理は、ステップS202で取得したユーザ数分実行する。例えば、Active DirectoryグループがDomain Adminsであった場合には、図9のXMLファイル902を参照すると、1103と一致するため、Domain Adminsを1101のAdministratorsに置き換える。
【0104】
ステップS207では、ステップS202で取得したActive Directoryグループを含まないユーザ情報と、ステップS205で確定した(置き換えた)各ユーザの認証サーバグループの内容でICカード認証用テーブルに格納する。
【0105】
上述のように、本実施形態では、ディレクトリサービスサーバで管理するユーザ情報をインポートする前に、ディレクトリサーバで管理するユーザのグループ(Active Directoryグループ)とICカード認証サーバで管理するユーザのグループ(認証サーバグループ)とを画面上で簡易的に対応付けるるようにしたことで、複合機を利用する機能権限設定を容易に行うことができる。次に、図7を用いて、図5でICカード認証用テーブルにインポートしたユーザ情報を用いて認証する処理について説明する。なお、図7は、複合機100のカードリーダ319にカードがかざされた場合のカード認証に関するフローチャートである。
【0106】
カード認証時は、複合機から送信されるカード番号を含むカード情報に対して、ICカード認証用テーブルで管理されているカード情報とマッチングを行い、認証を実行する。
【0107】
まず、ステップS301では、ユーザ操作によりカードリーダ319で読み取られたICカードのカード番号を含むカード情報(入力情報)を取得する。ステップS302では、取得したカード番号を含むカード情報をICカード認証サーバ200に送信する。
【0108】
ステップS303では、ICカード認証サーバ200は複合機から送信されたカード番号を含むカード情報を受信する(入力情報の受付)。ステップS304では、受信したカード番号を含むカード情報がICカード認証用テーブル(図4)に存在するか確認(認証)を行う。また、カード情報が存在する場合に、認証サーバグループに対応する機能制限情報(図10)を取得する。
【0109】
ステップS305では、ICカード認証サーバ200は、ステップS304でカード番号を含むカード情報が存在した場合に、該当するユーザ名と機能制限情報を含むユーザ情報と認証OKの認証結果を複合機100に送信する。
またステップS304で、ICカード認証サーバ200は、該当のカード番号をカード情報が存在しなかった場合に、認証NGの認証結果を複合機100に送信する。また、ステップS306では、複合機100は認証結果を受信する。
【0110】
ステップS307では、ステップS306で受信した認証結果のOKまたはNGを判断し、認証OKの場合には認証成功と判断してステップS308へ処理を移す。また、認証NGの場合には認証失敗と判断してステップS309へ処理を移す。
受信した認証結果がOKの場合は、ステップS308で認証成功画面(不図示)を表示する。また、受信した認証結果がNGの場合は、ステップS309で認証失敗画面(不図示)を表示する。
【0111】
ステップS308で認証成功画面を表示後、複合機100のCPU301が受信した認証結果に含まれる機能制限情報を用いて、複合機100を構成する各機能の制限を行い、ICカードをかざしたユーザの複合機100の利用を制限させる。なお、利用が制限された機能、例えば、送信機能が機能制限情報で許可されていない場合、送信機能を実行するためのユーザインタフェースが操作部308に表示されないよう構成する。
【0112】
次に、図8を用いて、図5でICカード認証用テーブルにインポートしたユーザ情報を用いずに、ディレクトリサービスサーバ300で記憶、管理されているユーザ情報を用いて認証する処理について説明する。なお、図8は、ユーザの操作に従って、複合機100の操作部308にユーザ名、パスワード、ユーザ認証先(例えば、ディレクトリサービスサーバ名)が入力された場合のキーボード認証に関するフローチャートである。
【0113】
ステップS401では、ユーザ操作により入力されたユーザ名、パスワード、ユーザ認証先(例えば、ディレクトリサービスサーバ名)を取得する。
【0114】
ステップS402では、取得したユーザ名、パスワード、ユーザ認証先を含むユーザ情報を認証要求としてICカード認証サーバ200に送信する。
【0115】
ステップS403では、ICカード認証サーバ200は複合機100から送信されたユーザ名、パスワード、ユーザ認証先を含むユーザ情報を受信する。
【0116】
ステップS404では、受信したユーザ情報のユーザ認証先に従って、認証先となるディレクトリサービスサーバ300を特定し、受信したユーザ情報のユーザ名、パスワードを用いて特定されたディレクトリサービスサーバ300での認証を実行する。認証が実行されたディレクトリサービスサーバ300はディレクトリサービスサーバ300で記憶、管理しているユーザ情報とユーザ名、パスワードを比較し、ユーザ情報にユーザが存在するか否かを判定する。ユーザが存在する場合には、認証OKの認証結果をICカード認証サーバ200へ送信し、ユーザが存在しない場合は、認証NGの認証結果をICカード認証サーバ200へ送信する。なお、認証OKの場合の認証結果には、一致したユーザのユーザ情報(例えば、ユーザ名、メールアドレス、有効期限、部門ID、Active Directoryグループなど)が含まれる。
【0117】
ステップS405では、ディレクトリサービスサーバ300から認証OKまたは認証NGの認証結果を受信する。
【0118】
ステップS408では、ステップS405の認証結果が認証OKか認証NGかを判断する。認証OKであれば、ステップS410へ処理を移し、認証NGであればステップS413へ処理を移す。ステップS410では、認証結果から得られるユーザ情報より、Active Directoryグループを取得する。
【0119】
ステップS411では、取得したActive Directoryグループを基にグループ対応付け情報(XMLファイル902)を使用して、認証サーバグループを確定(取得)する。また、この確定した認証サーバグループに対応する機能制限情報(図10)をICカード認証サーバ200の外部メモリ211から取得する。グループ対応付け情報(XMLファイル902)を用いて認証サーバグループを確定(取得)する方法は、ステップS206の処理と同様である。
【0120】
ステップS412では、認証OKとステップS410で取得したActive Directoryグループを含まないユーザ情報と、ステップS411で取得した認証サーバグループ、機能制限情報を含む認証結果を複合機100に送信する。
【0121】
ステップS413では、認証NGの認証結果を複合機100に送信する。また、ステップS414では、複合機100はステップS412、またはステップS413で送信された認証結果を受信する。
【0122】
ステップS415では、ステップS414で受信した認証結果のOKまたはNGを判断し、認証OKの場合には認証成功と判断してステップS416へ処理を移す。また、認証NGの場合には認証失敗と判断してステップS417へ処理を移す。
【0123】
受信した認証結果がOKの場合は、ステップS416で認証成功画面(不図示)を表示する。また、受信した認証結果がNGの場合は、ステップS417で認証失敗画面(不図示)を表示する。
【0124】
ステップS416で認証成功画面を表示後、複合機100のCPU301が受信した認証結果に含まれる機能制限情報を用いて、複合機100を構成する各機能の制限を行い、ユーザ名、パスワード、ユーザ認証先を入力したユーザの複合機100の利用を制限させる。なお、利用が制限された機能、例えば、送信機能が機能制限情報で許可されていない場合、送信機能を実行するためのユーザインタフェースが操作部308に表示されないよう構成する。
【0125】
これにより、ICカードを忘れてしまった場合や、ICカード認証用テーブルにユーザが存在していない場合のキーボード認証においても、ユーザごとに複合機100の機能制限を行うことができる。
【0126】
なお、上述した各種データの構成及びその内容はこれに限定されるものではなく、用途や目的に応じて、様々な構成や内容で構成されることは言うまでもない。
【0127】
以上、一実施形態について示したが、本発明は、例えば、システム、装置、方法、プログラムもしくは記録媒体等としての実施態様をとることが可能であり、具体的には、複数の機器から構成されるシステムに適用しても良いし、また、一つの機器からなる装置に適用しても良い。
【0128】
また、本発明におけるプログラムは、図5〜図8の処理方法をコンピュータが実行可能なプログラムであり、本発明の記憶媒体は図5〜図8の処理方法をコンピュータが実行可能なプログラムが記憶されている。なお、本発明におけるプログラムは図5〜図8の各装置の処理方法ごとのプログラムであってもよい。
以上のように、前述した実施形態の機能を実現するプログラムを記録した記録媒体を、システムあるいは装置に供給し、そのシステムあるいは装置のコンピュータ(またはCPUやMPU)が記録媒体に格納されたプログラムを読出し実行することによっても、本発明の目的が達成されることは言うまでもない。
【0129】
この場合、記録媒体から読み出されたプログラム自体が本発明の新規な機能を実現することになり、そのプログラムを記憶した記録媒体は本発明を構成することになる。
【0130】
プログラムを供給するための記録媒体としては、例えば、フレキシブルディスク,ハードディスク,光ディスク,光磁気ディスク,CD−ROM,CD−R,DVD−ROM,磁気テープ,不揮発性のメモリカード,ROM,EEPROM,シリコンディスク等を用いることができる。
【0131】
また、コンピュータが読み出したプログラムを実行することにより、前述した実施形態の機能が実現されるだけでなく、そのプログラムの指示に基づき、コンピュータ上で稼働しているOS(オペレーティングシステム)等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0132】
さらに、記録媒体から読み出されたプログラムが、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書き込まれた後、そのプログラムコードの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPU等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0133】
また、本発明は、複数の機器から構成されるシステムに適用しても、1つの機器からなる装置に適用してもよい。また、本発明は、システムあるいは装置にプログラムを供給することによって達成される場合にも適応できることは言うまでもない。この場合、本発明を達成するためのプログラムを格納した記録媒体を該システムあるいは装置に読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。
【0134】
さらに、本発明を達成するためのプログラムをネットワーク上のサーバ,データベース等から通信プログラムによりダウンロードして読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。
【0135】
なお、上述した各実施形態およびその変形例を組み合わせた構成も全て本発明に含まれるものである。
【図面の簡単な説明】
【0136】
【図1】本発明のICカード認証システムの構成の一例を示すシステム構成図である。
【図2】ICカード認証サーバ200、ディレクトリサービスサーバ300、クライアントPC700に適用可能な情報処理装置のハードウェア構成を示すブロック図である。
【図3】図1に示した複合機100のハードウェア構成の一例を示すブロック図である。
【図4】本発明におけるICカード認証システムのICカード認証用テーブルの一例を示すデータ構成図である。
【図5】本発明におけるICカード認証システムの認証サーバグループとActive Directoryグループの対応付け処理の一例を示すフローチャートである。
【図6】本発明におけるICカード認証システムのユーザ情報のインポート処理の一例を示すフローチャートである。
【図7】本発明におけるICカード認証システムのカード認証処理の一例を示すフローチャートである。
【図8】本発明におけるICカード認証システムのキーボード認証処理の一例を示すフローチャートである。
【図9】本発明におけるICカード認証システムの認証サーバグループとActive Directoryグループの対応付け設定内容の一例を示す構成図である。
【図10】本発明におけるICカード認証システムの機能制限情報の一例を示す構成図である。
【図11】本発明におけるICカード認証システムの認証サーバグループとActive Directoryグループの対応付け設定後の画面例である。
【図12】本発明におけるICカード認証システムの認証サーバグループとActive Directoryグループの対応付け設定の画面例である。
【図13】本発明におけるディレクトリサーバのユーザ情報の一例を示す構成図である。
【図14】本発明におけるICカード認証システムの認証サーバグループと機能制限情報の対応付けの一例を示す構成図である。
【符号の説明】
【0137】
100 複合機
200 ICカード認証サーバ
300 ディレクトリサービスサーバ
400 ローカルエリアネットワーク(LAN)
500 WAN
700 クライアントPC
【技術分野】
【0001】
本発明は、認証情報を記憶する情報処理装置に関するものである。
【背景技術】
【0002】
近年、複合機を使用する際にも、ユーザ認証を行わせ、ユーザごとに複合機の使用を制限することが行われている(特許文献1)。
【0003】
また、複合機を使用する際のユーザ認証としては、ICカードを複合機のカードリーダにかざすことによって、ユーザ認証を行う仕組みが存在している。
【0004】
ICカードを用いてユーザ認証する仕組みの一つとして、外部のサーバ内にカード情報を含む認証情報を保持し、その認証情報とICカードからよみとられたカード情報を比較することによって認証を行っているが、この認証情報を保持するサーバを、社内のユーザ情報(ユーザ名、パスワード、グループ)を管理するディレクトリサーバとは別のサーバ(ICカード認証サーバ)で管理することが行われている。
【0005】
これは、ディレクトリサーバが既に企業に導入されているため、ICカード認証を用いた複合機を導入するだけのためにディレクトリサーバのユーザ情報の構成を変えるといったことを望まない企業が存在するからである。
【0006】
また、複合機を機能制限する場合に、複合機が複数の機能を有するため、複数の機能に対しての機能制限をディレクトリサーバ上で詳細に設定及び管理をしなければならず、ディレクトリサーバ上の管理が煩雑になる。
【特許文献1】特開2007−142574号公報
【発明の開示】
【発明が解決しようとする課題】
【0007】
そこで、ICカードを用いたユーザ認証を行うためにICカード認証サーバを設置する。ICカード認証サーバでは、ディレクトリサーバのユーザ情報(例えば、ユーザ名)をインポートし、そのユーザ名にICカードのカード情報を紐付けて管理している。
【0008】
また、各ユーザにグループを設定するが、ICカード認証サーバを汎用的に利用するために、また、複合機の機能の制限を定義した機能制限情報をグループごとに制限することを可能とするために、ICカード認証サーバで独自に利用可能なグループを保持している。
【0009】
この様な構成において、ICカード認証サーバを導入するユーザ(企業)から、複合機を利用したシステムで利用するグループやそのグループの機能制限などをディレクトリサーバで管理せず、既にディレクトリサーバで管理しているグループを利用して、複合機の機能制限を行いたいという要望が存在する。
【0010】
この場合、ディレクトリサーバ上で管理しているグループをユーザ名とともにインポートし、インポート後にICカード認証サーバで管理するグループに置き換えることが考えられるが、管理者がグループ対応表を作成し、一つずつ置き換えなどを行わなければならず煩雑な作業が発生してしまっていた。
【0011】
また、複合機は複数の機能を有しているものの、部門の管理者であれば全ての機能、全ての設定を使えるようにするといった部門をまたいで機能制限をする運用も多くあり、社内のシステムのように詳細なグループに分けて管理するディレクトリサーバのグループの管理方法とは一致しないことが運用上存在した。
【0012】
そのため、ディレクトリサーバのユーザ情報をインポートした後、管理者が複合機を利用するためのグループに再設定しなおさなければならず、煩雑な作業が発生してしまっていた。
【0013】
そこで、本発明の目的は、ディレクトリサーバで管理するユーザ情報をインポートする前に、ディレクトリサーバで管理するユーザのグループと認証サーバ(例えば、ICカード認証サーバ)で管理するユーザのグループとを対応付けることで、複合機を利用する機能権限設定を容易に行うことができる仕組みを提供することである。
【0014】
また、例えばICカードを用いない認証(キーボード認証)時にも、認証ユーザごとに複合機を利用する機能の制限を行うことができる仕組みを提供する。
【課題を解決するための手段】
【0015】
本発明は、ユーザグループを含むユーザ情報を管理するディレクトリサービスサーバとネットワークを介して通信可能な、画像形成装置で入力された入力情報を認証するためのユーザ認証情報を記憶する情報処理装置であって、前記ユーザ認証情報に設定する第1のユーザグループと、当該第1のユーザグループに対応付く前記画像形成装置の機能を制限するための機能制限情報を記憶する記憶手段と、前記記憶手段から第1のユーザグループを取得する取得手段と、前記ディレクトリサービスサーバで管理する第2のユーザグループを、当該ディレクトリサービスサーバから受信する第1の受信手段と、前記第1のユーザグループ及び前記第2のユーザグループを表示する表示手段と、前記第1のユーザグループに対して、前記第2のユーザグループを対応付ける対応付手段と、前記対応付手段で対応付けた第1のユーザグループと第2のユーザグループとの対応付けを示す対応付情報を生成する生成手段とを備えることを特徴とする。
【0016】
この構成によれば、ディレクトリサーバで管理するユーザ情報をインポートする前に、ディレクトリサーバで管理するユーザのグループと認証サーバ(例えば、ICカード認証サーバ)で管理するユーザのグループとを対応付けることで、複合機を利用する機能権限設定を容易に行うことができる。
【0017】
また、本発明は、前記ディレクトリサービスサーバで管理する第2のユーザグループを含むユーザ情報の取り込みを指示する取込指示手段と、前記取込指示手段の取込指示に従って、前記ディレクトリサービスサーバから受付けたユーザ情報に含まれる第2のユーザグループを前記対応付手段で対応付けた第1のユーザグループに変更する変更手段とを更に備えることを特徴とする。
【0018】
また、本発明は、前記変更手段で第1のユーザグループに変更したディレクトリサービスサーバから受付けたユーザ情報を、前記ユーザ認証情報として登録する登録手段を更に備えることを特徴とする。
【0019】
また、本発明は、前記画像形成装置で記憶媒体から得られる入力情報を受付ける入力情報受付手段と、前記入力情報受付手段に従って受付けた入力情報と前記ユーザ認証情報とに従って、認証する認証手段と、前記認証手段によって認証されたユーザの第1のユーザグループに応じて、前記機能制限情報を取得する第1の機能制限情報取得手段と、前記画像形成装置の利用を制限すべく、前記第1の機能制限情報取得手段で取得した機能制限情報を前記画像形成装置に送信する第1の機能制限情報送信手段とを更に備えることを特徴とする。
【0020】
また、本発明は、前記ユーザ認証情報は、ユーザ名とパスワードを含み、前記画像形成装置を利用するために、当該画像形成装置から入力されるユーザ名とパスワードを含むユーザ情報を受信するユーザ情報受信手段と、前記ユーザ情報受信手段で受信したユーザ名とパスワードを用いて、前記ディレクトリサーバから当該ユーザ名に対応する第2のユーザグループを含むユーザ情報を受信する第2の受信手段とを更に備え、前記変更手段は、前記対応付情報に従って前記第2の受信手段で受信したユーザ情報に含まれる第2のユーザグループを第1のユーザグループに変更することを特徴とする。
【0021】
また、本発明は、前記変更手段で変更された第1のユーザグループに対応する機能制限情報を取得する第2の機能制限情報取得手段と、前記画像形成装置の利用を制限すべく、前記第2の機能制限情報取得手段で取得した機能制限情報を前記画像形成装置に送信する第2の機能制限情報送信手段とを更に備えることを特徴とする。
【発明の効果】
【0022】
本発明によれば、ディレクトリサーバで管理するユーザ情報をインポートする前に、ディレクトリサーバで管理するユーザのグループと認証サーバ(例えば、ICカード認証サーバ)で管理するユーザのグループとを対応付けることで、複合機を利用する機能権限設定を容易に行うことができる。
【0023】
また、例えばICカードを用いない認証(キーボード認証)時にも、認証ユーザごとに複合機を利用する機能の制限を行うことができる。
【発明を実施するための最良の形態】
【0024】
以下、図面を参照して、本発明の実施形態を詳細に説明する。
【0025】
図1は、本発明のICカード認証システムの構成の一例を示すシステム構成図である。
【0026】
図1は、1又は複数の複合機100、ICカード認証サーバ200、複数のディレクトリサービスサーバ300がローカルエリアネットワーク(LAN)400を介して接続される構成となっている。
【0027】
ICカード認証サーバ200は、ICカード認証用テーブル(後述する図4に示す)を記憶し、複合機100からのICカードによる認証依頼、またはユーザ名とパスワードによる認証依頼に応じて、該ICカード認証用テーブルを用いて認証処理を行う。
【0028】
ディレクトリサービスサーバ300は、ネットワーク上に存在するサーバ、クライアント等のハードウェア資源や、それらを使用するユーザの属性(例えば、マイクロソフト社のWindows(登録商標)のログインユーザ名,パスワード)、アクセス権等の情報を一元記憶管理するものであり、例えば、アクティブディレクトリ(Active Directory(商標、以下省略))機能を搭載したサーバである。以下、ディレクトリサービスサーバで管理するグループをActive Directoryグループとして説明する。
【0029】
クライアント700は、ICカード認証サーバ管理ツールをインストールしたクライアントPCである。ICカード認証サーバ管理ツールからICカード認証サーバにアクセスし、設定作業を行う事が可能である。
ICカード認証サーバ管理ツールは、ICカード認証サーバ200にインストールされている構成でも良い。
【0030】
また、本実施形態のICカード認証システムは、上述した構成の1又は複数の複合機100,ICカード認証サーバ200,ディレクトリサービスサーバ300がLAN400を介して接続されるWAN500を介して接続される構成であってもよい。
【0031】
さらに、ICカード認証に限らず、指紋などの生体認証を用いた認証システムにも適用可能である。
【0032】
以下、図2を用いて、図1に示したICカード認証サーバ200,ディレクトリサービスサーバ300、クライアントPC700に適用可能な情報処理装置のハードウェア構成について説明する。
【0033】
図2は、図1に示したICカード認証サーバ200、ディレクトリサービスサーバ300、クライアントPC700に適用可能な情報処理装置のハードウェア構成を示すブロック図である。
【0034】
図2において、201はCPUで、システムバス204に接続される各デバイスやコントローラを統括的に制御する。また、ROM202あるいは外部メモリ211には、CPU201の制御プログラムであるBIOS(Basic Input / Output System)やオペレーティングシステムプログラム(以下、OS)や、各サーバ或いは各PCの実行する機能を実現するために必要な後述する各種プログラム等が記憶されている。
【0035】
203はRAMで、CPU201の主メモリ、ワークエリア等として機能する。CPU201は、処理の実行に際して必要なプログラム等をROM202あるいは外部メモリ211からRAM203にロードして、該ロードしたプログラムを実行することで各種動作を実現するものである。
【0036】
また、205は入力コントローラで、キーボード(KB)209や不図示のマウス等のポインティングデバイス等からの入力を制御する。206はビデオコントローラで、液晶ディスプレイなどのディスプレイ210への表示を制御する。これらは必要に応じて管理者が使用するものである。
【0037】
207はメモリコントローラで、ブートプログラム,各種のアプリケーション,フォントデータ,ユーザファイル,編集ファイル,各種データ等を記憶する外部記憶装置(ハードディスク(HD))や、フレキシブルディスク(FD)、或いはPCMCIAカードスロットにアダプタを介して接続されるコンパクトフラッシュ(登録商標)メモリ等の外部メモリ211へのアクセスを制御する。
【0038】
208は通信I/Fコントローラで、ネットワーク(例えば、図1に示したLAN400)を介して外部機器と接続・通信するものであり、ネットワークでの通信制御処理を実行する。例えば、TCP/IPを用いた通信等が可能である。
【0039】
なお、CPU201は、例えばRAM203内の表示情報用領域へアウトラインフォントの展開(ラスタライズ)処理を実行することにより、ディスプレイ210上での表示を可能としている。また、CPU201は、ディスプレイ210上の不図示のマウスカーソル等でのユーザ指示を可能とする。
【0040】
本発明を実現するための後述する各種プログラムは、外部メモリ211に記録されており、必要に応じてRAM203にロードされることによりCPU201によって実行されるものである。さらに、上記プログラムの実行時に用いられる定義ファイル及び各種情報テーブル等も、外部メモリ211に格納されており、これらについての詳細な説明も後述する。
【0041】
次に、図3を用いて、本発明の情報処理装置としての複合機100のハードウェア構成について説明する。
【0042】
図3は、図1に示した複合機100のハードウェア構成の一例を示すブロック図である。
【0043】
図3において、316はコントローラユニットで、画像入力デバイスとして機能するスキャナ314や、画像出力デバイスとして機能するプリンタ312と接続する一方、LAN(例えば、図1に示したLAN400)や公衆回線(WAN)(例えば、PSTNまたはISDN等)と接続することで、画像データやデバイス情報の入出力を行う。
【0044】
コントローラユニット316において、301はCPUで、システム全体を制御するプロセッサである。302はRAMで、CPU301が動作するためのシステムワークメモリであり、プログラムを記録するためのプログラムメモリや、画像データを一時記録するための画像メモリでもある。
【0045】
303はROMで、システムのブートプログラムや各種制御プログラムが格納されている。304は外部記憶装置(ハードディスクドライブ(HDD))で、システムを制御するための各種プログラム,画像データ等を格納する。
【0046】
307は操作部インタフェース(操作部I/F)で、操作部(UI)308とのインタフェース部であり、操作部308に表示する画像データを操作部308に対して出力する。また、操作部I/F307は、操作部308から本システム使用者が入力した情報(例えば、ユーザ情報等)をCPU301に伝える役割をする。なお、操作部308はタッチパネルを有する表示部を備え、該表示部に表示されたボタンを、ユーザが押下(指等でタッチ)することにより、各種指示を行うことができる。
【0047】
305はネットワークインタフェース(Network I/F)で、ネットワーク(LAN)に接続し、データの入出力を行う。306はモデム(MODEM)で、公衆回線に接続し、FAXの送受信等のデータの入出力を行う。
【0048】
318は外部インタフェース(外部I/F)で、USB、IEEE1394,プリンタポート,RS−232C等の外部入力を受け付けるI/F部であり、本実施形態においては認証で必要となるICカード(記憶媒体)の読み取り用のカードリーダ319が外部I/F部318に接続されている。そして、CPU301は、この外部I/F318を介してカードリーダ319によるICカードからの情報読み取りを制御し、該ICカードから読み取られた情報を取得可能である。以上のデバイスがシステムバス309上に配置される。
【0049】
320はイメージバスインタフェース(IMAGE BUS I/F)であり、システムバス309と画像データを高速で転送する画像バス315とを接続し、データ構造を変換するバスブリッジである
画像バス315は、PCIバスまたはIEEE1394で構成される。画像バス315上には以下のデバイスが配置される。
【0050】
310はラスタイメージプロセッサ(RIP)で、例えば、PDLコード等のベクトルデータをビットマップイメージに展開する。311はプリンタインタフェース(プリンタI/F)で、プリンタ312とコントローラユニット316を接続し、画像データの同期系/非同期系の変換を行う。また、313はスキャナインタフェース(スキャナI/F)で、スキャナ314とコントローラユニット316を接続し、画像データの同期系/非同期系の変換を行う。
【0051】
317は画像処理部で、入力画像データに対し補正、加工、編集を行ったり、プリント出力画像データに対して、プリンタの補正、解像度変換等を行う。また、これに加えて、画像処理部317は、画像データの回転や、多値画像データに対してはJPEG、2値画像データはJBIG、MMR、MH等の圧縮伸張処理を行う。
【0052】
スキャナ部314は、原稿となる紙上の画像を照明し、CCDラインセンサで走査することで、ラスタイメージデータとして電気信号に変換する。原稿用紙は原稿フィーダのトレイにセットし、装置使用者が操作部308から読み取り起動指示することにより、CPU301がスキャナ314に指示を与え、フィーダは原稿用紙を1枚ずつフィードし原稿画像の読み取り動作を行う。
【0053】
プリンタ部312は、ラスタイメージデータを用紙上の画像に変換する部分であり、その方式は感光体ドラムや感光体ベルトを用いた電子写真方式、微少ノズルアレイからインクを吐出して用紙上に直接画像を印字するインクジェット方式等があるが、どの方式でも構わない。プリント動作の起動は、CPU301からの指示によって開始する。なお、プリンタ部312には、異なる用紙サイズまたは異なる用紙向きを選択できるように複数の給紙段を持ち、それに対応した用紙カセットがある。
【0054】
操作部308は、LCD表示部を有し、LCD上にタッチパネルシートが貼られており、システムの操作画面を表示するとともに、表示してあるキーが押されるとその位置情報を操作部I/F307を介してCPU301に伝える。また、操作部308は、各種操作キーとして、例えば、スタートキー、ストップキー、IDキー、リセットキー等を備える。
【0055】
ここで、操作部308のスタートキーは、原稿画像の読み取り動作を開始する時などに用いる。スタートキーの中央部には、緑と赤の2色LEDがあり、その色によってスタートキーが使える状態にあるかどうかを示す。また、操作部308のストップキーは、稼働中の動作を止める働きをする。また、操作部308のIDキーは、使用者のユーザIDを入力する時に用いる。リセットキーは、操作部からの設定を初期化する時に用いる。
【0056】
カードリーダ319は、CPU301からの制御により、ICカード(例えば、ソニー社のフェリカ(FeliCa)(登録商標))内に記憶されている情報を読み取り、該読み取った情報を外部I/F318を介してCPU301へ通知する。 なお、コントローラユニット316とプリンタ312とスキャナ314と操作部308とカードリーダ319は、複合機100で同一筐体に備えている。
【0057】
まず、本実施形態におけるICカード認証システムにおける認証の概略を説明する。
【0058】
複合機100は、カードリーダ319により読み取り可能なICカードを検知すると、該ICカード内の個人認証情報を読み取り、該読み取った個人認証情報を認証要求としてICカード認証サーバ200に送信する。個人認証情報は、認証に用いられる情報であり該ICカードの製造番号でも良い。
【0059】
ICカード認証サーバ200は、複合機100より個人認証情報を受信すると、該個人認証情報の認証処理をICカード認証サーバ200の外部記憶装置上に記憶されるICカード認証用テーブル(図4)に基づいて行い、認証結果を複合機100に返信する。ここで図4を参照して、ICカード認証用テーブル(ユーザ認証情報)について説明する。
【0060】
図4は、本実施形態のICカード認証システムにおけるICカード認証用テーブル(ユーザ認証情報)の一例を示すデータ構成図である。なお、ICカード認証テーブルは、ICカード認証サーバ200の外部メモリ211に記憶される。
【0061】
図4に示すように、ICカード認証用テーブルは、ユーザ名501、認証ドメイン名502、カード情報503、メールアドレス504、有効期限505、有効/無効506、認証サーバグループ507、部門ID508、部門パスワード509等から構成される。また、カード情報503は、カード番号511、正当性情報512、カード名称513を含む。カード情報は、1ユーザに対して複数登録可能となっている。
【0062】
ユーザ名501は、複合機100を使用するユーザの名称であり、認証結果に含まれる情報である。このユーザ名で複合機100へのログインがなされる。また、ログインされるとこのユーザ名が操作部308へユーザ名が表示される。
【0063】
認証ドメイン名502は、認証先のサーバがネットワーク上で何処にあるかを示す。認証先は、ICカード認証サーバ200やディレクトリサービスサーバ300などである。
【0064】
カード情報503は、ユーザが複合機100を使用するためのICカードのカード情報である。本実施形態において、ICカードのカード情報503はすなわち複合機100(画像形成装置)の使用を許可するキー情報である。カード情報503は、カード番号511、正当性情報512、カード名称513を含む。
【0065】
カード番号511は、個々のカードを識別するための数字、文字の列であり、このカード番号と、カードリーダ319がICカードから読み出したカード番号と比較するための情報で、一致した場合には認証成功となり、一致しない場合には認証失敗となる。なお、正当性情報512、カード名称513については後述する。
【0066】
メールアドレス504は、ユーザの所有するメールアドレスであり、複合機100の使用に関する通知をユーザに行う際などに使用される。有効期限505は、ユーザに定められた複合機100の使用の有効期限である。有効期限を超えると、そのユーザが複合機100を使用することができなくなる。
【0067】
有効/無効506は、そのユーザが複合機100を使用できるかどうかを示す情報である。有効期限を超えるなどの理由により、複合機100を使用できない場合には、無効を示す情報が書き込まれる。
【0068】
認証サーバグループ507は、そのユーザに設定されている複合機100の使用に関する制限の内容を示すものである。認証サーバグループ507を機能制限情報に紐付ける事で実現する。機能制限情報の詳細は、図10にて記載する。なお、認証サーバグループ507に記憶される情報は、後述する、図12で設定された情報に基づいて変換(変更)された認証サーバグループ名が記憶される。なお、この認証サーバグループ507は、予め記憶されているグループと、管理者が任意に作成できるグループが存在する。予め記憶されているグループには後述する機能制限情報が予め紐付いている。任意に作成したグループの場合は、管理者がそのグループにどういった機能制限を行うのかを決め、機能制限情報を作成し、任意に作成したグループに紐付ける。なお、任意に作成したグループに対して、既にある機能制限情報を紐付けることも可能である。
【0069】
部門ID508は、ユーザの所属する社内部門を示すIDである。部門パスワード509は、部門ID508に付随するパスワードである。
【0070】
本実施形態では、図4のICカード認証用テーブルの各項目はk、図6で後述するインポート時に登録されるものである。
【0071】
以下にカード情報503内の正当性情報512、カード名称513に関しての概要を説明する。
【0072】
カード情報503内の正当性情報512とは、ICカード内に登録された数値の情報である。この情報は、例えば、ICカードを紛失した際に、紛失したICカードと再発行したICカードを区別する為に使用する。
【0073】
例えば、紛失したICカードの正当性情報から値を1つ加算してICカードを再発行する事で、紛失したICカードとの区別をする事が可能となる。紛失したICカードの悪用を防ぎ、セキュリティを保つ事ができる。
【0074】
カード名称513は、カード情報削除画面(不図示)などでICカードのカード番号を表示する際に、ともに表示し、ユーザが判別し易いようにするものである。カード名称は、カード情報登録時のカード登録・カード名称入力画面(不図示)で設定が可能である。
【0075】
図10は、図4の認証サーバグループ507の説明にて記載した機能制限情報の詳細内容である。機能制限情報はIC認証サーバ200の外部メモリ211に記憶されている。
【0076】
複合機の各機能の使用制限を詳細に設定する事が可能で、例えばデバイス制限項目の印刷を「許可する/許可しない」を設定する事で印刷可否の制限を指定できる。この機能制限情報は、管理者があらかじめ設定するもので、各認証サーバグループ507に対応付けて記憶されている。
【0077】
なお、複数の機能制限情報を1つの認証サーバグループに紐付けることも可能である。この場合、複数の機能制限情報のうち、使用する機能制限情報を予め設定しておく、或いは制限の緩い制限を使い、機能制限情報を生成し、その生成された機能制限情報を用いるようにすることも可能である。
【0078】
次に、図5、図6、図7、図8を参照して、本実施形態のICカード認証システムにおける認証サーバグループとActive Directoryグループの対応付け設定、及び設定した対応付け内容を認証時に使用する処理に関して記載する。
【0079】
まず、図5ではICカード認証システムにおける認証サーバグループとActive Directoryグループの対応付け設定処理について説明する。本処理はICカード認証サーバ200とクライアントPC700にて実施され、本フローチャートに記載の処理ステップを実行するプログラムを実行することによって実現可能である。
【0080】
ステップS101では、認証サーバグループとActive Directoryグループの対応付けを行うために、グループ対応付けを行うか否かを判断する。なお、このグループ付けを行うか否かの判断は、認証サーバでの各種情報を設定する管理画面(不図示)より、ユーザ操作によりグループ対応付けを行う要求を受け付けることで判断する。グループの対応付けを行う場合にはステップS112へ処理が移り、グループの対応付けを行わない場合には処理を終了する。
【0081】
グループの対応付けを行う場合には、ステップS112にてグループ対応付け設定画面(図12)を表示する。
【0082】
ステップS102からステップS103では、グループ対応付け設定画面の初期表示処理を記載する。
【0083】
ステップS102では、ICカード認証サーバにて予め記憶、管理されている認証サーバグループ(図14)を検索し、ステップS103で取得した認証サーバグループをプルダウンメニュー1201にセットする。
【0084】
ここで、ICカード認証サーバにて予め記憶、管理されている認証サーバグループについて、図14を用いて説明する。
【0085】
図14はICカード認証サーバの外部メモリ211に記憶されており、認証サーバグループ1401は、認証サーバグループ名(例えば、Administrators)が格納されている。この認証サーバグループ名が外部メモリ211から読み出され、プルダウンメニュー1201に表示される。また、機能制限情報1402には、図10の機能制限情報に対応する機能制限情報名(例えば、機能制限情報A)が格納されている。さらに、認証サーバグループ1401と機能制限情報1402とが対応付けられている。
【0086】
ステップS104からステップS106では、グループ対応付け設定画面でのユーザ操作による処理を記載する。
【0087】
ステップS104では、ユーザ操作によりActive Directoryグループの検索を実行する。検索には検索条件1202を設定し、検索ボタン1203が押下されることによって、ディレクトリサービスサーバ300へ要求がなされ、ディレクトリサービスサーバ300で検索が実行される。
【0088】
ステップS106では、ステップS104での検索要求に従って検索された検索結果を、ディレクトリサービスサーバ300から受信し、受信したActive Directoryグループをリスト1204に一覧表示する。
【0089】
ステップS107では、プルダウンメニュー1201にセットされた認証サーバグループの選択を受け付ける。選択された認証サーバグループはICカード認証サーバ200またはクライアントPC700のRAM203に記憶される。
【0090】
ステップS108では、選択リスト1204にセットされたActive Directoryグループの選択を受け付ける。そして、追加ボタン1205が押下されると、選択リスト1204で選択されたActive Directoryグループが対応付けられたActive Directoryグループとして追加リスト1206へ表示される。なお、追加リスト1206へ追加されたActive Directoryグループは、ICカード認証サーバ200またはクライアントPC700のRAM203に記憶される。なお、Active Directoryグループは選択リスト1204で複数選択可能である。
【0091】
また、OKボタン1207を押下指示されると、ステップS109では、プルダウンメニュー1201で選択され認証サーバグループと、追加リスト1206に追加されたActive DirectoryグループをICカード認証サーバ200またはクライアントPC700のRAM203から読出し、ICカード認証サーバ200またはクライアントPCのディスプレイ210に認証サーバグループとActive Directoryグループの対応付けを図11のように表示をする。1101は認証サーバグループで、1102,1103はActive Directoryグループであり、認証サーバグループを上位に、Active Directoryグループを下位に表示させるように構成する。また、図12の画面で他の認証サーバグループを選択し、Active Directoryグループの対応付けを行った場合、1104(認証サーバグループ)、1105(Active Directoryグループ)のように追加される。
【0092】
ステップS110では、ユーザ操作により、設定した対応付けを確定し、ステップS111で確定した対応付け情報をXMLファイルに保存する(図9)。なお、XMLファイルは、ICカード認証サーバ200の外部メモリ211に記憶される。
【0093】
図9は上述のように、認証サーバグループとActive Directoryグループの対応付け情報を記述したXMLファイルを説明する図であり、XMLフォーマット内の要素名と、その要素内に記載される情報の説明を901に示し、図11で表示された対応付け情報を基にして生成されたXMLファイルの記載例を902に示したものであり、図11に表示された対応付け情報は同じ符号を付す。
【0094】
次に図6を用いて、ICカード認証サーバ200が管理するICカード認証用テーブル(図4)にディレクトリサービスサーバが管理するユーザ情報を格納する処理(インポート処理)について説明する。インポート処理時に、図5でグループ対応付けを設定し、生成されたXMLファイル901(グループ対応付け情報)に基づいて、認証サーバグループを設定する。
【0095】
ステップS201では、ディレクトリサービスサーバが管理するユーザ情報をインポートするか否かを判断する。
インポート処理の実行タイミングは、指定した時刻に定期的に行うケースとインポート実行画面(不図示)からユーザが指示することで実行するケースの2ケースが存在する。インポートする場合、ステップS202へ処理が移り、インポートしない場合、処理を終了する。
【0096】
ステップS202では、ディレクトリサービスサーバ300にユーザ情報の取得要求を行う。ディレクトリサーバは取得要求を受信すると、ディレクトリサービスサーバ300で記憶、管理されているユーザ情報(図13)からインポート対象となる項目のユーザ情報を取得する。取得したユーザ情報を要求のあったICカード認証サーバ200へ送信し、ICカード認証サーバ200はそのユーザ情報を受信する。なお、ディレクトリサービスサーバ300にユーザ情報の取得要求を行う場合、インポート対象となる項目をディレクトリサービスサーバ300に送信することで、ICカード認証サーバ200のICカード認証用テーブルで管理するためのユーザ情報が取得できる。
【0097】
ここで、ディレクトリサービスサーバ300で記憶、管理しているユーザ情報について、図13を用いて説明する。
【0098】
図13はディレクトリサーバのユーザ情報を構成するデータの一例を示す図である。なお1301〜1310の情報はディレクトリサービスサーバを導入する際に管理者によって予め登録されている情報である。
【0099】
ユーザ名1301の情報は、ユーザ名501の情報としてインポートされる。パスワード1302の情報はICカード認証サーバ200へはインポートされない情報である。これはディレクトリサーバがパスワードを厳密に管理しているために検索やインポートなど簡単に取り出せないようになっているからである。
【0100】
カード情報1303はカード情報503に、正当性情報1304は正当性情報512に、メールアドレス1305はメールアドレス504に、有効期限1306は有効期限505に、有効/無効1307は506に、部門ID1309は部門ID508に、部門パスワード1310は部門パスワード509に対応し、インポートされる。
【0101】
ディレクトリサーバグループ1308(ユーザグループ)は、認証サーバグループ507に対応し、図12での対応付け設定によって、インポート時に認証サーバグループ名に変換される情報が記憶される項目である。
【0102】
ステップS205では、ステップS202で取得したディレクトリサービスサーバ300のユーザ情報から各ユーザが所属するActive Directoryグループを取得する。
【0103】
ステップS206では、グループ対応付け情報(XMLファイル902)にて設定されているグループ対応付け内容に従い、ユーザが所属する認証サーバグループを確定する。本処理は、ステップS202で取得したユーザ数分実行する。例えば、Active DirectoryグループがDomain Adminsであった場合には、図9のXMLファイル902を参照すると、1103と一致するため、Domain Adminsを1101のAdministratorsに置き換える。
【0104】
ステップS207では、ステップS202で取得したActive Directoryグループを含まないユーザ情報と、ステップS205で確定した(置き換えた)各ユーザの認証サーバグループの内容でICカード認証用テーブルに格納する。
【0105】
上述のように、本実施形態では、ディレクトリサービスサーバで管理するユーザ情報をインポートする前に、ディレクトリサーバで管理するユーザのグループ(Active Directoryグループ)とICカード認証サーバで管理するユーザのグループ(認証サーバグループ)とを画面上で簡易的に対応付けるるようにしたことで、複合機を利用する機能権限設定を容易に行うことができる。次に、図7を用いて、図5でICカード認証用テーブルにインポートしたユーザ情報を用いて認証する処理について説明する。なお、図7は、複合機100のカードリーダ319にカードがかざされた場合のカード認証に関するフローチャートである。
【0106】
カード認証時は、複合機から送信されるカード番号を含むカード情報に対して、ICカード認証用テーブルで管理されているカード情報とマッチングを行い、認証を実行する。
【0107】
まず、ステップS301では、ユーザ操作によりカードリーダ319で読み取られたICカードのカード番号を含むカード情報(入力情報)を取得する。ステップS302では、取得したカード番号を含むカード情報をICカード認証サーバ200に送信する。
【0108】
ステップS303では、ICカード認証サーバ200は複合機から送信されたカード番号を含むカード情報を受信する(入力情報の受付)。ステップS304では、受信したカード番号を含むカード情報がICカード認証用テーブル(図4)に存在するか確認(認証)を行う。また、カード情報が存在する場合に、認証サーバグループに対応する機能制限情報(図10)を取得する。
【0109】
ステップS305では、ICカード認証サーバ200は、ステップS304でカード番号を含むカード情報が存在した場合に、該当するユーザ名と機能制限情報を含むユーザ情報と認証OKの認証結果を複合機100に送信する。
またステップS304で、ICカード認証サーバ200は、該当のカード番号をカード情報が存在しなかった場合に、認証NGの認証結果を複合機100に送信する。また、ステップS306では、複合機100は認証結果を受信する。
【0110】
ステップS307では、ステップS306で受信した認証結果のOKまたはNGを判断し、認証OKの場合には認証成功と判断してステップS308へ処理を移す。また、認証NGの場合には認証失敗と判断してステップS309へ処理を移す。
受信した認証結果がOKの場合は、ステップS308で認証成功画面(不図示)を表示する。また、受信した認証結果がNGの場合は、ステップS309で認証失敗画面(不図示)を表示する。
【0111】
ステップS308で認証成功画面を表示後、複合機100のCPU301が受信した認証結果に含まれる機能制限情報を用いて、複合機100を構成する各機能の制限を行い、ICカードをかざしたユーザの複合機100の利用を制限させる。なお、利用が制限された機能、例えば、送信機能が機能制限情報で許可されていない場合、送信機能を実行するためのユーザインタフェースが操作部308に表示されないよう構成する。
【0112】
次に、図8を用いて、図5でICカード認証用テーブルにインポートしたユーザ情報を用いずに、ディレクトリサービスサーバ300で記憶、管理されているユーザ情報を用いて認証する処理について説明する。なお、図8は、ユーザの操作に従って、複合機100の操作部308にユーザ名、パスワード、ユーザ認証先(例えば、ディレクトリサービスサーバ名)が入力された場合のキーボード認証に関するフローチャートである。
【0113】
ステップS401では、ユーザ操作により入力されたユーザ名、パスワード、ユーザ認証先(例えば、ディレクトリサービスサーバ名)を取得する。
【0114】
ステップS402では、取得したユーザ名、パスワード、ユーザ認証先を含むユーザ情報を認証要求としてICカード認証サーバ200に送信する。
【0115】
ステップS403では、ICカード認証サーバ200は複合機100から送信されたユーザ名、パスワード、ユーザ認証先を含むユーザ情報を受信する。
【0116】
ステップS404では、受信したユーザ情報のユーザ認証先に従って、認証先となるディレクトリサービスサーバ300を特定し、受信したユーザ情報のユーザ名、パスワードを用いて特定されたディレクトリサービスサーバ300での認証を実行する。認証が実行されたディレクトリサービスサーバ300はディレクトリサービスサーバ300で記憶、管理しているユーザ情報とユーザ名、パスワードを比較し、ユーザ情報にユーザが存在するか否かを判定する。ユーザが存在する場合には、認証OKの認証結果をICカード認証サーバ200へ送信し、ユーザが存在しない場合は、認証NGの認証結果をICカード認証サーバ200へ送信する。なお、認証OKの場合の認証結果には、一致したユーザのユーザ情報(例えば、ユーザ名、メールアドレス、有効期限、部門ID、Active Directoryグループなど)が含まれる。
【0117】
ステップS405では、ディレクトリサービスサーバ300から認証OKまたは認証NGの認証結果を受信する。
【0118】
ステップS408では、ステップS405の認証結果が認証OKか認証NGかを判断する。認証OKであれば、ステップS410へ処理を移し、認証NGであればステップS413へ処理を移す。ステップS410では、認証結果から得られるユーザ情報より、Active Directoryグループを取得する。
【0119】
ステップS411では、取得したActive Directoryグループを基にグループ対応付け情報(XMLファイル902)を使用して、認証サーバグループを確定(取得)する。また、この確定した認証サーバグループに対応する機能制限情報(図10)をICカード認証サーバ200の外部メモリ211から取得する。グループ対応付け情報(XMLファイル902)を用いて認証サーバグループを確定(取得)する方法は、ステップS206の処理と同様である。
【0120】
ステップS412では、認証OKとステップS410で取得したActive Directoryグループを含まないユーザ情報と、ステップS411で取得した認証サーバグループ、機能制限情報を含む認証結果を複合機100に送信する。
【0121】
ステップS413では、認証NGの認証結果を複合機100に送信する。また、ステップS414では、複合機100はステップS412、またはステップS413で送信された認証結果を受信する。
【0122】
ステップS415では、ステップS414で受信した認証結果のOKまたはNGを判断し、認証OKの場合には認証成功と判断してステップS416へ処理を移す。また、認証NGの場合には認証失敗と判断してステップS417へ処理を移す。
【0123】
受信した認証結果がOKの場合は、ステップS416で認証成功画面(不図示)を表示する。また、受信した認証結果がNGの場合は、ステップS417で認証失敗画面(不図示)を表示する。
【0124】
ステップS416で認証成功画面を表示後、複合機100のCPU301が受信した認証結果に含まれる機能制限情報を用いて、複合機100を構成する各機能の制限を行い、ユーザ名、パスワード、ユーザ認証先を入力したユーザの複合機100の利用を制限させる。なお、利用が制限された機能、例えば、送信機能が機能制限情報で許可されていない場合、送信機能を実行するためのユーザインタフェースが操作部308に表示されないよう構成する。
【0125】
これにより、ICカードを忘れてしまった場合や、ICカード認証用テーブルにユーザが存在していない場合のキーボード認証においても、ユーザごとに複合機100の機能制限を行うことができる。
【0126】
なお、上述した各種データの構成及びその内容はこれに限定されるものではなく、用途や目的に応じて、様々な構成や内容で構成されることは言うまでもない。
【0127】
以上、一実施形態について示したが、本発明は、例えば、システム、装置、方法、プログラムもしくは記録媒体等としての実施態様をとることが可能であり、具体的には、複数の機器から構成されるシステムに適用しても良いし、また、一つの機器からなる装置に適用しても良い。
【0128】
また、本発明におけるプログラムは、図5〜図8の処理方法をコンピュータが実行可能なプログラムであり、本発明の記憶媒体は図5〜図8の処理方法をコンピュータが実行可能なプログラムが記憶されている。なお、本発明におけるプログラムは図5〜図8の各装置の処理方法ごとのプログラムであってもよい。
以上のように、前述した実施形態の機能を実現するプログラムを記録した記録媒体を、システムあるいは装置に供給し、そのシステムあるいは装置のコンピュータ(またはCPUやMPU)が記録媒体に格納されたプログラムを読出し実行することによっても、本発明の目的が達成されることは言うまでもない。
【0129】
この場合、記録媒体から読み出されたプログラム自体が本発明の新規な機能を実現することになり、そのプログラムを記憶した記録媒体は本発明を構成することになる。
【0130】
プログラムを供給するための記録媒体としては、例えば、フレキシブルディスク,ハードディスク,光ディスク,光磁気ディスク,CD−ROM,CD−R,DVD−ROM,磁気テープ,不揮発性のメモリカード,ROM,EEPROM,シリコンディスク等を用いることができる。
【0131】
また、コンピュータが読み出したプログラムを実行することにより、前述した実施形態の機能が実現されるだけでなく、そのプログラムの指示に基づき、コンピュータ上で稼働しているOS(オペレーティングシステム)等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0132】
さらに、記録媒体から読み出されたプログラムが、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書き込まれた後、そのプログラムコードの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPU等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0133】
また、本発明は、複数の機器から構成されるシステムに適用しても、1つの機器からなる装置に適用してもよい。また、本発明は、システムあるいは装置にプログラムを供給することによって達成される場合にも適応できることは言うまでもない。この場合、本発明を達成するためのプログラムを格納した記録媒体を該システムあるいは装置に読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。
【0134】
さらに、本発明を達成するためのプログラムをネットワーク上のサーバ,データベース等から通信プログラムによりダウンロードして読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。
【0135】
なお、上述した各実施形態およびその変形例を組み合わせた構成も全て本発明に含まれるものである。
【図面の簡単な説明】
【0136】
【図1】本発明のICカード認証システムの構成の一例を示すシステム構成図である。
【図2】ICカード認証サーバ200、ディレクトリサービスサーバ300、クライアントPC700に適用可能な情報処理装置のハードウェア構成を示すブロック図である。
【図3】図1に示した複合機100のハードウェア構成の一例を示すブロック図である。
【図4】本発明におけるICカード認証システムのICカード認証用テーブルの一例を示すデータ構成図である。
【図5】本発明におけるICカード認証システムの認証サーバグループとActive Directoryグループの対応付け処理の一例を示すフローチャートである。
【図6】本発明におけるICカード認証システムのユーザ情報のインポート処理の一例を示すフローチャートである。
【図7】本発明におけるICカード認証システムのカード認証処理の一例を示すフローチャートである。
【図8】本発明におけるICカード認証システムのキーボード認証処理の一例を示すフローチャートである。
【図9】本発明におけるICカード認証システムの認証サーバグループとActive Directoryグループの対応付け設定内容の一例を示す構成図である。
【図10】本発明におけるICカード認証システムの機能制限情報の一例を示す構成図である。
【図11】本発明におけるICカード認証システムの認証サーバグループとActive Directoryグループの対応付け設定後の画面例である。
【図12】本発明におけるICカード認証システムの認証サーバグループとActive Directoryグループの対応付け設定の画面例である。
【図13】本発明におけるディレクトリサーバのユーザ情報の一例を示す構成図である。
【図14】本発明におけるICカード認証システムの認証サーバグループと機能制限情報の対応付けの一例を示す構成図である。
【符号の説明】
【0137】
100 複合機
200 ICカード認証サーバ
300 ディレクトリサービスサーバ
400 ローカルエリアネットワーク(LAN)
500 WAN
700 クライアントPC
【特許請求の範囲】
【請求項1】
ユーザグループを含むユーザ情報を管理するディレクトリサービスサーバとネットワークを介して通信可能な、画像形成装置で入力された入力情報を認証するためのユーザ認証情報を記憶する情報処理装置であって、
前記ユーザ認証情報に設定する第1のユーザグループと、当該第1のユーザグループに対応付く前記画像形成装置の機能を制限するための機能制限情報を記憶する記憶手段と、
前記記憶手段から第1のユーザグループを取得する取得手段と、
前記ディレクトリサービスサーバで管理する第2のユーザグループを、当該ディレクトリサービスサーバから受信する第1の受信手段と、
前記第1のユーザグループ及び前記第2のユーザグループを表示する表示手段と、
前記第1のユーザグループに対して、前記第2のユーザグループを対応付ける対応付手段と、
前記対応付手段で対応付けた第1のユーザグループと第2のユーザグループとの対応付けを示す対応付情報を生成する生成手段と
を備えることを特徴とする情報処理装置。
【請求項2】
前記ディレクトリサービスサーバで管理する第2のユーザグループを含むユーザ情報の取り込みを指示する取込指示手段と、
前記取込指示手段の取込指示に従って、前記ディレクトリサービスサーバから受付けたユーザ情報に含まれる第2のユーザグループを前記対応付手段で対応付けた第1のユーザグループに変更する変更手段と
を更に備えることを特徴とする請求項1に記載の情報処理装置。
【請求項3】
前記変更手段で第1のユーザグループに変更したディレクトリサービスサーバから受付けたユーザ情報を、前記ユーザ認証情報として登録する登録手段
を更に備えることを特徴とする請求項2に記載の情報処理装置。
【請求項4】
前記画像形成装置で記憶媒体から得られる入力情報を受付ける入力情報受付手段と、
前記入力情報受付手段に従って受付けた入力情報と前記ユーザ認証情報とに従って認証する認証手段と、
前記認証手段によって認証されたユーザの第1のユーザグループに応じて、前記機能制限情報を取得する第1の機能制限情報取得手段と、
前記画像形成装置の利用を制限すべく、前記第1の機能制限情報取得手段で取得した機能制限情報を前記画像形成装置に送信する第1の機能制限情報送信手段と
を更に備えることを特徴とする2または3に記載の情報処理装置。
【請求項5】
前記ユーザ認証情報は、ユーザ名とパスワードを含み、
前記画像形成装置を利用するために、当該画像形成装置から入力されるユーザ名とパスワードを含むユーザ情報を受信するユーザ情報受信手段と、
前記ユーザ情報受信手段で受信したユーザ名とパスワードを用いて、前記ディレクトリサーバから当該ユーザ名に対応する第2のユーザグループを含むユーザ情報を受信する第2の受信手段とを更に備え、
前記変更手段は、前記対応付情報に従って前記第2の受信手段で受信したユーザ情報に含まれる第2のユーザグループを第1のユーザグループに変更すること
を特徴とする請求項2または3に記載の情報処理装置。
【請求項6】
前記変更手段で変更された第1のユーザグループに対応する機能制限情報を取得する第2の機能制限情報取得手段と、
前記画像形成装置の利用を制限すべく、前記第2の機能制限情報取得手段で取得した機能制限情報を前記画像形成装置に送信する第2の機能制限情報送信手段と
を更に備えることを特徴とする請求項5に記載の情報処理装置。
【請求項7】
ユーザグループを含むユーザ情報を管理するディレクトリサービスサーバとネットワークを介して通信可能な、画像形成装置で入力された入力情報を認証するためのユーザ認証情報と、当該ユーザ認証情報に設定する第1のユーザグループと当該第1のユーザグループに対応付く前記画像形成装置の機能を制限するための機能制限情報とを記憶する記憶手段を備える情報処理装置における処理方法であって、
前記記憶手段から第1のユーザグループを取得する取得ステップと、
前記ディレクトリサービスサーバで管理する第2のユーザグループを、当該ディレクトリサービスサーバから受信する第1の受信ステップと、
前記第1のユーザグループ及び前記第2のユーザグループを表示する表示ステップと、
前記第1のユーザグループに対して、前記第2のユーザグループを対応付ける対応付ステップと、
前記対応付ステップで対応付けた第1のユーザグループと第2のユーザグループとの対応付けを示す対応付情報を生成する生成ステップと
を備えることを特徴とする処理方法。
【請求項8】
ユーザグループを含むユーザ情報を管理するディレクトリサービスサーバとネットワークを介して通信可能な、画像形成装置で入力された入力情報を認証するためのユーザ認証情報を記憶する情報処理装置を、
前記ユーザ認証情報に設定する第1のユーザグループと、当該第1のユーザグループに対応付く前記画像形成装置の機能を制限するための機能制限情報を記憶する記憶手段と、
前記記憶手段から第1のユーザグループを取得する取得手段と、
前記ディレクトリサービスサーバで管理する第2のユーザグループを、当該ディレクトリサービスサーバから受信する第1の受信手段と、
前記第1のユーザグループ及び前記第2のユーザグループを表示する表示手段と、
前記第1のユーザグループに対して、前記第2のユーザグループを対応付ける対応付手段と、
前記対応付手段で対応付けた第1のユーザグループと第2のユーザグループとの対応付けを示す対応付情報を生成する生成手段
として機能させることを特徴とするコンユータ読み取り可能なプログラム。
【請求項1】
ユーザグループを含むユーザ情報を管理するディレクトリサービスサーバとネットワークを介して通信可能な、画像形成装置で入力された入力情報を認証するためのユーザ認証情報を記憶する情報処理装置であって、
前記ユーザ認証情報に設定する第1のユーザグループと、当該第1のユーザグループに対応付く前記画像形成装置の機能を制限するための機能制限情報を記憶する記憶手段と、
前記記憶手段から第1のユーザグループを取得する取得手段と、
前記ディレクトリサービスサーバで管理する第2のユーザグループを、当該ディレクトリサービスサーバから受信する第1の受信手段と、
前記第1のユーザグループ及び前記第2のユーザグループを表示する表示手段と、
前記第1のユーザグループに対して、前記第2のユーザグループを対応付ける対応付手段と、
前記対応付手段で対応付けた第1のユーザグループと第2のユーザグループとの対応付けを示す対応付情報を生成する生成手段と
を備えることを特徴とする情報処理装置。
【請求項2】
前記ディレクトリサービスサーバで管理する第2のユーザグループを含むユーザ情報の取り込みを指示する取込指示手段と、
前記取込指示手段の取込指示に従って、前記ディレクトリサービスサーバから受付けたユーザ情報に含まれる第2のユーザグループを前記対応付手段で対応付けた第1のユーザグループに変更する変更手段と
を更に備えることを特徴とする請求項1に記載の情報処理装置。
【請求項3】
前記変更手段で第1のユーザグループに変更したディレクトリサービスサーバから受付けたユーザ情報を、前記ユーザ認証情報として登録する登録手段
を更に備えることを特徴とする請求項2に記載の情報処理装置。
【請求項4】
前記画像形成装置で記憶媒体から得られる入力情報を受付ける入力情報受付手段と、
前記入力情報受付手段に従って受付けた入力情報と前記ユーザ認証情報とに従って認証する認証手段と、
前記認証手段によって認証されたユーザの第1のユーザグループに応じて、前記機能制限情報を取得する第1の機能制限情報取得手段と、
前記画像形成装置の利用を制限すべく、前記第1の機能制限情報取得手段で取得した機能制限情報を前記画像形成装置に送信する第1の機能制限情報送信手段と
を更に備えることを特徴とする2または3に記載の情報処理装置。
【請求項5】
前記ユーザ認証情報は、ユーザ名とパスワードを含み、
前記画像形成装置を利用するために、当該画像形成装置から入力されるユーザ名とパスワードを含むユーザ情報を受信するユーザ情報受信手段と、
前記ユーザ情報受信手段で受信したユーザ名とパスワードを用いて、前記ディレクトリサーバから当該ユーザ名に対応する第2のユーザグループを含むユーザ情報を受信する第2の受信手段とを更に備え、
前記変更手段は、前記対応付情報に従って前記第2の受信手段で受信したユーザ情報に含まれる第2のユーザグループを第1のユーザグループに変更すること
を特徴とする請求項2または3に記載の情報処理装置。
【請求項6】
前記変更手段で変更された第1のユーザグループに対応する機能制限情報を取得する第2の機能制限情報取得手段と、
前記画像形成装置の利用を制限すべく、前記第2の機能制限情報取得手段で取得した機能制限情報を前記画像形成装置に送信する第2の機能制限情報送信手段と
を更に備えることを特徴とする請求項5に記載の情報処理装置。
【請求項7】
ユーザグループを含むユーザ情報を管理するディレクトリサービスサーバとネットワークを介して通信可能な、画像形成装置で入力された入力情報を認証するためのユーザ認証情報と、当該ユーザ認証情報に設定する第1のユーザグループと当該第1のユーザグループに対応付く前記画像形成装置の機能を制限するための機能制限情報とを記憶する記憶手段を備える情報処理装置における処理方法であって、
前記記憶手段から第1のユーザグループを取得する取得ステップと、
前記ディレクトリサービスサーバで管理する第2のユーザグループを、当該ディレクトリサービスサーバから受信する第1の受信ステップと、
前記第1のユーザグループ及び前記第2のユーザグループを表示する表示ステップと、
前記第1のユーザグループに対して、前記第2のユーザグループを対応付ける対応付ステップと、
前記対応付ステップで対応付けた第1のユーザグループと第2のユーザグループとの対応付けを示す対応付情報を生成する生成ステップと
を備えることを特徴とする処理方法。
【請求項8】
ユーザグループを含むユーザ情報を管理するディレクトリサービスサーバとネットワークを介して通信可能な、画像形成装置で入力された入力情報を認証するためのユーザ認証情報を記憶する情報処理装置を、
前記ユーザ認証情報に設定する第1のユーザグループと、当該第1のユーザグループに対応付く前記画像形成装置の機能を制限するための機能制限情報を記憶する記憶手段と、
前記記憶手段から第1のユーザグループを取得する取得手段と、
前記ディレクトリサービスサーバで管理する第2のユーザグループを、当該ディレクトリサービスサーバから受信する第1の受信手段と、
前記第1のユーザグループ及び前記第2のユーザグループを表示する表示手段と、
前記第1のユーザグループに対して、前記第2のユーザグループを対応付ける対応付手段と、
前記対応付手段で対応付けた第1のユーザグループと第2のユーザグループとの対応付けを示す対応付情報を生成する生成手段
として機能させることを特徴とするコンユータ読み取り可能なプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【公開番号】特開2010−140158(P2010−140158A)
【公開日】平成22年6月24日(2010.6.24)
【国際特許分類】
【出願番号】特願2008−314427(P2008−314427)
【出願日】平成20年12月10日(2008.12.10)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.EEPROM
【出願人】(390002761)キヤノンマーケティングジャパン株式会社 (656)
【Fターム(参考)】
【公開日】平成22年6月24日(2010.6.24)
【国際特許分類】
【出願日】平成20年12月10日(2008.12.10)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.EEPROM
【出願人】(390002761)キヤノンマーケティングジャパン株式会社 (656)
【Fターム(参考)】
[ Back to top ]