情報処理装置及びアプリケーションの実行方法
【課題】アプリケーションのインストールを行う際において、システム管理者の権限で実行させたい場合に、起動ユーザの設定を不要とする。
【解決手段】非対話的にアプリケーションを実行できる情報処理装置とそのアプリケーションの実行方法であって、アプリケーションからのアクセス制御トークンの発行要求に応じて、定義ファイルに記述されたユーザタイプが、情報処理装置に定義されたユーザタイプに含まれる場合に(S606)、当該ユーザタイプに応じたアクセス制御トークンを発行し(S607)、そのアクセス制御トークンのユーザタイプが、アプリケーションによる処理の実行権限を有するユーザタイプに含まれている場合に(S611,S612)、アプリケーションによる処理を実行する(S613)。
【解決手段】非対話的にアプリケーションを実行できる情報処理装置とそのアプリケーションの実行方法であって、アプリケーションからのアクセス制御トークンの発行要求に応じて、定義ファイルに記述されたユーザタイプが、情報処理装置に定義されたユーザタイプに含まれる場合に(S606)、当該ユーザタイプに応じたアクセス制御トークンを発行し(S607)、そのアクセス制御トークンのユーザタイプが、アプリケーションによる処理の実行権限を有するユーザタイプに含まれている場合に(S611,S612)、アプリケーションによる処理を実行する(S613)。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理装置で動作するアプリケーションに自動的に実行権限を割り当てる技術に関するものである。
【背景技術】
【0002】
コンピュータシステムでは、そのシステムの管理者を定め、その管理者だけが特定の処理を実行できるように、システムの機能を実施できるユーザを制限する仕組みを持つものがある。例えばシステム管理者と呼ばれる特別なユーザを定め、そのシステム管理者だけにシステムの管理に関する機能を実行できる権限を割り当てている。この場合、ユーザの認証処理によりシステム管理者と認定されたユーザのみがシステムの管理に関する機能を実行できる。
【0003】
一般にシステムが対話的に利用される場合の認証処理としては、ユーザにユーザ名、パスワードを入力させ、システムがそのユーザの正当性を判断している。即ち、入力されたユーザ名、パスワードがシステム管理者のものと一致すれば、そのユーザはシステム管理者と認定される。
【0004】
一方、非対話的に機能が実行されなければならない場合もある。例えば、定期的な運用ログの取得などは、ユーザの操作に頼ることなく自動的に行われなければならない。この場合、利用者にユーザ名やパスワードを入力させることはできないので、別の何等かの方法により、その機能がどのユーザ権限で実行されるかを決定する仕組みが必要になる。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開平11−259426号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
特許文献1に記載の方法では、アプリケーションをどのユーザ権限で実行させるかを、予め起動ユーザとして設定しておくという運用方法が必要になる。例えば、アプリケーションをシステム管理者の権限で実行させたい場合、アプリケーションのインストールを行う際に、起動ユーザとしてシステム管理者を設定する操作が必要となる。このようにアプリケーションを利用するには、そのアプリケーションのインストール操作において起動ユーザの設定操作が必要になるため、インストール作業に時間がかかるという問題があった。
【0007】
本発明の目的は、上記従来技術の問題点を解決することにある。
【0008】
本発明の特徴は、アプリケーションを起動するユーザの設定が不要となり、アプリケーションを利用するにあたっての利便性を向上させることにある。
【課題を解決するための手段】
【0009】
上記目的を達成するために本発明の一態様に係る情報処理装置は以下のような構成を備える。即ち、
非対話的にアプリケーションを実行できる情報処理装置であって、
アプリケーションと、当該アプリケーションを実行できる権限を有するユーザタイプを記述した定義ファイルとを記憶する記憶手段と、
前記アプリケーションからのアクセス制御トークンの発行要求に応じて、前記定義ファイルに記述されたユーザタイプが、前記情報処理装置に定義されたユーザタイプに含まれる場合に当該ユーザタイプに応じた前記アクセス制御トークンを発行する発行手段と、
前記発行手段により発行された前記アクセス制御トークンのユーザタイプが、前記アプリケーションによる処理の実行権限を有するユーザタイプに含まれている場合に、前記アプリケーションによる前記処理を実行する処理実行手段と、を有することを特徴とする。
【発明の効果】
【0010】
本発明によれば、アプリケーションを起動するユーザの設定が不要となり、アプリケーションを利用するにあたっての利便性を向上できる。
【図面の簡単な説明】
【0011】
【図1】本発明の一実施形態に係るシステム全体を説明する図。
【図2】本実施形態に係るMFP及びPCの構成を示すブロック図。
【図3】本実施形態に係るMFPのソフトウェア構成を説明するブロック図。
【図4】本実施形態に係るMFPにおける処理の流れをブロック図で表した図。
【図5】本実施形態に係るMFPへのアプリケーションのインストールを説明するフローチャート。
【図6】本実施形態に係るMFP101によるACT発行及び処理実行を示すフローチャート。
【図7】アプリケーション定義ファイル(A)、ユーザタイプ一覧(B)及び実行権限管理データベース(C)の一例を示す図。
【発明を実施するための形態】
【0012】
以下、添付図面を参照して本発明の実施形態を詳しく説明する。尚、以下の実施形態は特許請求の範囲に係る本発明を限定するものでなく、また本実施形態で説明されている特徴の組み合わせの全てが本発明の解決手段に必須のものとは限らない。
【0013】
図1は、本発明の一実施形態に係るシステム全体を説明する図である。
【0014】
このシステムでは、MFP(多機能処理装置)101とPC102とがLAN103で接続され、これら装置はLAN103を介して相互に通信可能である。MFP101は、プリンタ機能、スキャナ機能、ストレージ機能及びファクシミリ機能などを有する。PC102は、例えばパーソナルコンピュータなどの情報処理装置である。尚、本発明は、MFP101、PC102として配置される装置をそれぞれMFP,PCに限定するものでなく、例えばMFP101の位置にPCを、PC102の位置に他の情報端末を配置してもよいことはもちろんである。またこのLAN103には、更に多くの装置、機器、デバイスなどが接続されていてもよいことはもちろんである。
【0015】
図2は、本実施形態に係るMFP101及びPC102の構成を示すブロック図である。
【0016】
まずMFP101の構成について説明する。
【0017】
CPU211を含む制御部210は、MFP101全体の動作を制御する。CPU211は、ROM212に記憶された制御プログラムを読み出してスキャナ部221を使用した原稿の読み取り制御や、プリンタ部220を使用した印刷制御などの各種制御を行う。RAM213は、CPU211の主メモリ、ワークエリア等の一時記憶領域として用いられる。HDD214は、画像データや各種プログラム、或いは後述する実行権限管理データベース341(図3、図4)のデータ等を記憶する。操作部I/F215は、操作部219と制御部210とを接続する。プリンタI/F216は、プリンタ部220と制御部210とを接続する。プリンタ部220で印刷される画像データは、プリンタI/F216を介して制御部210からプリンタ部220に転送され、プリンタ部220により記録用シート(記録媒体)に印刷される。スキャナI/F217は、スキャナ部221と制御部210とを接続する。スキャナ部221は、原稿上の画像を読み取って画像データを生成し、その画像データをスキャナI/F217を介して制御部210に入力する。ネットワークI/F218は、制御部210(MFP101)をLAN103に接続する。ネットワークI/F218は、LAN103に接続された外部情報処理装置(例えば、PC102等)に画像データや各種情報を送信したり、LAN103上の外部情報処理装置(PC102等)からアプリケーションのインストール指示を受信する。
【0018】
次にPC102の構成を説明する。
【0019】
ネットワークI/F250は、PC102をLAN103と接続する。Webブラウザ251は、ネットワークI/F250を介してLAN103上のMFP101や各種機器と接続し、受信したHTMLデータを基にWebページの表示を行ったり、LAN103上のMFP101や各種機器に対してデータの送信を行う。
【0020】
図3は、本実施形態に係るMFP101のソフトウェア構成を説明するブロック図である。尚、ACTは、Access Control Token(アクセス制御トークン)の略であり、ACTに格納される情報により、アプリケーションが使用可能なMFP101の機能が特定される。尚、以下の説明では、MFP101が非対話的にアプリケーションを実行する場合で説明する。
【0021】
アプリケーション処理部300は、MFP101上に存在し、制御部210の各構成要素を用いて実現されるソフトウェアである。
【0022】
アプリケーション310はアプリケーション実行基盤330の上で動作する。アプリケーション310とアプリケーション実行基盤330との関係は、Java(登録商標)アプリケーションとJava(登録商標) Virtual Machineのような関係である。アプリケーション310は入れ替え可能であり、インストールされることで、アプリケーション処理部300に配置される。アプリケーション310は、処理実行部340に対して処理を依頼する処理依頼部311、ACT生成部321に対してACTの発行を依頼するACT発行依頼部312、アプリケーション310の属性を記述したアプリケーション定義ファイル314を含んでいる。また、処理を実行する過程でACT発行依頼部312がACTを取得すると、その取得されたACTはACT313としてメモリ(RAM213)に保持される。アプリケーション定義ファイル314は、そのアプリケーションがどのユーザ権限で動作すべきかについての情報を記述している。
【0023】
図7(A)は、アプリケーション定義ファイルの一例を示す図である。
【0024】
この例では、項目=「ユーザタイプ」、値=「Administrator(管理者)」が設定されており、このアプリケーションは、Administrator(管理者)権限で動作すべきことを示している。
【0025】
ACT発行部320は、ACTの発行処理を行う。ACT生成部321は、ACT発行依頼部312からのACTの発行要求に応じてACTを生成する。アプリ属性取得部332は、アプリ属性の取得依頼に応じて、アプリケーション定義ファイル314に記述されたアプリケーション310の属性であるアプリ属性を取得する。ACT生成部321がACTを生成する際、ユーザタイプ一覧323が参照される。
【0026】
図7(B)は、ユーザタイプ一覧の一例を示す図である。
【0027】
この例では、ユーザタイプとして、番号(No)1の「Administrator(管理者)」と番号2の「GeneralUser(一般ユーザ)」の2つが存在している。なお、本実施形態では、MFP101を利用するユーザ個人を特定するユーザIDに対してこれらユーザタイプを割り当てることができるとともに、ユーザではないMFP101システムに対してユーザタイプを割り当てることができる。また、本実施形態では、GeneralUserよりもAdministratorの方がより多くの操作に対する実行権限を有しているものとする。つまり、Administratorは、GeneralUserよりも強い実行権限を有する。
【0028】
処理実行部340は、アプリケーション310からの依頼に応じて各種処理を行う。処理実行部340には複数種類の処理部が存在するが、図3には例として設定処理部342、ログ処理部343が記載されている。設定処理部342は、MFP101の各種設定に関し設定値の設定や参照を行う。ログ処理部343は、ログの書き込みやログの取得などを行う。処理を実行するのに際して、各処理部は実行権限のチェックを行い、その際に実行権限管理データベース341の情報が利用される。
【0029】
図7(C)は、実行権限管理データベース341のデータ例を示す図である。
【0030】
この例では、処理実行部340の各処理部に対応付けて、その処理部が処理を実行するのに必要となるユーザの権限を定義している。図7(C)の例では、設定処理部342及びログ処理部343が処理を行うには、ユーザタイプとしてAdministrator(管理者)権限が必要であることを示している。
【0031】
以上、本実施形態の概要を説明した。次に本実施形態における処理の流れを説明する。本実施形態の処理は、大きく分けて、「アプリケーションのインストール」と、「ACTの発行及び処理の実行処理」の2つに分かれる。
【0032】
図5は、本実施形態に係るMFP101へのアプリケーションのインストール処理を説明するフローチャートである。
【0033】
まずS501で、PC102のWebブラウザ251が、MFP101のアプリケーション実行基盤330と接続する。この接続後、S502で、ユーザの認証が行われる。この場合のユーザ認証の方法は何でもよいが、認証に失敗するとS508に進んでインストールが失敗したものとして処理を終了する。
【0034】
S502で、ユーザの認証に成功するとS503に進み、Webブラウザ251によりアプリケーション310のインストール操作を行う。これによりS504で、アプリケーション実行基盤330は、MFP101のHDD214に、そのアプリケーション310をインストールして配置する。このとき、アプリケーション310に含まれるアプリケーション定義ファイル314は、アプリケーション310を構成するデータの一部として存在してもいいし、MFP101のRAM213或いはHDD214に配置されてもよい。次にS505に進み、Webブラウザ251によりアプリケーション310の開始操作が行われる。これによりS506で、アプリケーション実行基盤330は、MFP101のRAM213にアプリケーション310を展開して配置する。これによりアプリケーションの実行が可能となる。そしてS507で、そのアプリケーション310を実行する。以上がMFP101におけるアプリケーション310のインストール処理の流れである。
【0035】
続いて、ACTの発行及び処理の実行の流れについて説明する。
【0036】
図4は、本実施形態に係るMFP101における処理の流れをブロック図で表した図であり、図6はフローチャートで表したものである。
【0037】
図6は、本実施形態に係るMFP101によるACTの発行及び、アプリケーションによる処理の実行を説明するフローチャートである。以下、図4及び図6を参照して説明する。
【0038】
まずACTの発行処理の流れについて説明する。
【0039】
まずS601で、MFP101でアプリケーション310が処理を開始すると、ACT発行依頼部312は、ACT生成部321に対してACTの発行を依頼する(図4の400)。このACTの発行依頼を受けたACT生成部321は、S602で、アプリ属性取得部322に対して、アプリケーション310の属性であるアプリ属性の取得を依頼する(図4の401)。このアプリ属性の取得依頼を受けたアプリ属性取得部322は、S603で、アプリケーション定義ファイル314を参照して、そのアプリケーション310のアプリ属性を取得し(図4の402)ACT生成部321に返答する。次にS604に進み、アプリ属性取得部322は、アプリ属性が取得できたかどうか判定し、取得できなかった場合はS614に進み、処理の実行に失敗したものとして処理を終了する。
【0040】
一方、S604で、アプリ属性を取得できた場合はS605に進み、アプリ属性取得部322は、ACT生成部321に、その取得したアプリ属性を返却する(図4の403)。次にS606で、このアプリ属性を受け取ったACT生成部321は、そのアプリ属性の中からユーザタイプを取り出し、そのユーザタイプがユーザタイプ一覧323(図7(B))に存在するか否かを判定する。ここで存在しないと判定するとACTの発行はできないためS614に進んで、処理の実行が失敗したものとして処理を終了する。
【0041】
S606で、ユーザタイプがユーザタイプ一覧323に存在する場合はS607に進み、ACT生成部321は、ユーザタイプ一覧323に記述されたユーザタイプに応じてACTを生成する(図4の404)。そしてS608で、その生成したACTをACT発行依頼部312に返却する(図4の405)。次にS609に進み、そのACTを受け取ったACT発行依頼部312は、ACTをアプリケーション310と関連付けられたRAM213にACT313として保持する(図4の406)。以上で、ACTの発行が完了した。次に、このACT313を用いて処理を実行する流れについて説明する。
【0042】
S610では、処理依頼部311は、処理実行部340に対して、そのアプリケーション310で実行される処理の実行を依頼する(図4の407)。このとき処理依頼部311は、その取得したACT313を処理実行部340に渡す。処理実行部340には複数の処理部が存在しており、いずれか1つの処理部が処理の実行依頼を受ける。以降では例として、ログ処理部343が処理の実行依頼を受けたものとして説明する。
【0043】
S611では、処理の実行依頼を受けたログ処理部343は、実行権限管理データベース341(図7(C))にアクセスし、ログ処理部343が処理を実行するために必要なユーザの種別(ユーザタイプ)が何であるかを判定する。次にS612に進み、ログ処理部343は、処理を実行するために必要なユーザタイプが、受け取ったACTに含まれているか否かを確認する(図4の408)。ここで含まれていない場合、つまり、そのアプリケーション310の実行権限がない場合はS614に進み、処理の実行が失敗したものとして処理を終了する。一方、S612で、処理を実行するために必要なユーザタイプがACT313に含まれている場合、つまりアプリケーション310の実行権限がある場合はS613に進み、ログ処理部343は、ログの書き込みやログの取得処理等を実行する(図4の409)。ここでは図示していないが、これ以降の処理の具体例としては、ログ処理部343がログを取得し、アプリケーション310に返却し、アプリケーション310が取得したログをファイルに出力する、といった処理等が挙げられる。
【0044】
尚、上述の実施形態において、アプリケーション定義ファイル314に複数のユーザタイプが記述されている場合は、より多くの操作に対する実行権限を有するユーザタイプに応じたACTが生成される。より多くの操作に対する実行権限を有するユーザタイプとは、より強い実行権限を有する、或いは、より限定された権限を実行可能な実行権限を有するユーザタイプである。具体的には以下のように処理が行われる。
【0045】
アプリケーション定義ファイル314に複数のユーザタイプが記述されている場合は、アプリ属性取得部322を経て、ACT生成部321が複数のユーザタイプを受け取る。そして、ユーザタイプ一覧323に記載されたユーザタイプと比較し、より多くの操作に対する実行権限を有する(例えば、図7(B)で番号がより小さい)ユーザタイプ(図7(B)では、番号が「1」の管理者)が選択される。こうしてACT生成部321は、その選択されたユーザタイプに応じたACTを生成する。
【0046】
以上説明したように本実施形態によれば、アプリケーションをどのユーザ権限で実行させるかを、インストール先のデバイスに応じて自動的に決定することができる。
【0047】
(その他の実施形態)
また本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(又はCPUやMPU等)がプログラムを読み出して実行する処理である。
【技術分野】
【0001】
本発明は、情報処理装置で動作するアプリケーションに自動的に実行権限を割り当てる技術に関するものである。
【背景技術】
【0002】
コンピュータシステムでは、そのシステムの管理者を定め、その管理者だけが特定の処理を実行できるように、システムの機能を実施できるユーザを制限する仕組みを持つものがある。例えばシステム管理者と呼ばれる特別なユーザを定め、そのシステム管理者だけにシステムの管理に関する機能を実行できる権限を割り当てている。この場合、ユーザの認証処理によりシステム管理者と認定されたユーザのみがシステムの管理に関する機能を実行できる。
【0003】
一般にシステムが対話的に利用される場合の認証処理としては、ユーザにユーザ名、パスワードを入力させ、システムがそのユーザの正当性を判断している。即ち、入力されたユーザ名、パスワードがシステム管理者のものと一致すれば、そのユーザはシステム管理者と認定される。
【0004】
一方、非対話的に機能が実行されなければならない場合もある。例えば、定期的な運用ログの取得などは、ユーザの操作に頼ることなく自動的に行われなければならない。この場合、利用者にユーザ名やパスワードを入力させることはできないので、別の何等かの方法により、その機能がどのユーザ権限で実行されるかを決定する仕組みが必要になる。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開平11−259426号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
特許文献1に記載の方法では、アプリケーションをどのユーザ権限で実行させるかを、予め起動ユーザとして設定しておくという運用方法が必要になる。例えば、アプリケーションをシステム管理者の権限で実行させたい場合、アプリケーションのインストールを行う際に、起動ユーザとしてシステム管理者を設定する操作が必要となる。このようにアプリケーションを利用するには、そのアプリケーションのインストール操作において起動ユーザの設定操作が必要になるため、インストール作業に時間がかかるという問題があった。
【0007】
本発明の目的は、上記従来技術の問題点を解決することにある。
【0008】
本発明の特徴は、アプリケーションを起動するユーザの設定が不要となり、アプリケーションを利用するにあたっての利便性を向上させることにある。
【課題を解決するための手段】
【0009】
上記目的を達成するために本発明の一態様に係る情報処理装置は以下のような構成を備える。即ち、
非対話的にアプリケーションを実行できる情報処理装置であって、
アプリケーションと、当該アプリケーションを実行できる権限を有するユーザタイプを記述した定義ファイルとを記憶する記憶手段と、
前記アプリケーションからのアクセス制御トークンの発行要求に応じて、前記定義ファイルに記述されたユーザタイプが、前記情報処理装置に定義されたユーザタイプに含まれる場合に当該ユーザタイプに応じた前記アクセス制御トークンを発行する発行手段と、
前記発行手段により発行された前記アクセス制御トークンのユーザタイプが、前記アプリケーションによる処理の実行権限を有するユーザタイプに含まれている場合に、前記アプリケーションによる前記処理を実行する処理実行手段と、を有することを特徴とする。
【発明の効果】
【0010】
本発明によれば、アプリケーションを起動するユーザの設定が不要となり、アプリケーションを利用するにあたっての利便性を向上できる。
【図面の簡単な説明】
【0011】
【図1】本発明の一実施形態に係るシステム全体を説明する図。
【図2】本実施形態に係るMFP及びPCの構成を示すブロック図。
【図3】本実施形態に係るMFPのソフトウェア構成を説明するブロック図。
【図4】本実施形態に係るMFPにおける処理の流れをブロック図で表した図。
【図5】本実施形態に係るMFPへのアプリケーションのインストールを説明するフローチャート。
【図6】本実施形態に係るMFP101によるACT発行及び処理実行を示すフローチャート。
【図7】アプリケーション定義ファイル(A)、ユーザタイプ一覧(B)及び実行権限管理データベース(C)の一例を示す図。
【発明を実施するための形態】
【0012】
以下、添付図面を参照して本発明の実施形態を詳しく説明する。尚、以下の実施形態は特許請求の範囲に係る本発明を限定するものでなく、また本実施形態で説明されている特徴の組み合わせの全てが本発明の解決手段に必須のものとは限らない。
【0013】
図1は、本発明の一実施形態に係るシステム全体を説明する図である。
【0014】
このシステムでは、MFP(多機能処理装置)101とPC102とがLAN103で接続され、これら装置はLAN103を介して相互に通信可能である。MFP101は、プリンタ機能、スキャナ機能、ストレージ機能及びファクシミリ機能などを有する。PC102は、例えばパーソナルコンピュータなどの情報処理装置である。尚、本発明は、MFP101、PC102として配置される装置をそれぞれMFP,PCに限定するものでなく、例えばMFP101の位置にPCを、PC102の位置に他の情報端末を配置してもよいことはもちろんである。またこのLAN103には、更に多くの装置、機器、デバイスなどが接続されていてもよいことはもちろんである。
【0015】
図2は、本実施形態に係るMFP101及びPC102の構成を示すブロック図である。
【0016】
まずMFP101の構成について説明する。
【0017】
CPU211を含む制御部210は、MFP101全体の動作を制御する。CPU211は、ROM212に記憶された制御プログラムを読み出してスキャナ部221を使用した原稿の読み取り制御や、プリンタ部220を使用した印刷制御などの各種制御を行う。RAM213は、CPU211の主メモリ、ワークエリア等の一時記憶領域として用いられる。HDD214は、画像データや各種プログラム、或いは後述する実行権限管理データベース341(図3、図4)のデータ等を記憶する。操作部I/F215は、操作部219と制御部210とを接続する。プリンタI/F216は、プリンタ部220と制御部210とを接続する。プリンタ部220で印刷される画像データは、プリンタI/F216を介して制御部210からプリンタ部220に転送され、プリンタ部220により記録用シート(記録媒体)に印刷される。スキャナI/F217は、スキャナ部221と制御部210とを接続する。スキャナ部221は、原稿上の画像を読み取って画像データを生成し、その画像データをスキャナI/F217を介して制御部210に入力する。ネットワークI/F218は、制御部210(MFP101)をLAN103に接続する。ネットワークI/F218は、LAN103に接続された外部情報処理装置(例えば、PC102等)に画像データや各種情報を送信したり、LAN103上の外部情報処理装置(PC102等)からアプリケーションのインストール指示を受信する。
【0018】
次にPC102の構成を説明する。
【0019】
ネットワークI/F250は、PC102をLAN103と接続する。Webブラウザ251は、ネットワークI/F250を介してLAN103上のMFP101や各種機器と接続し、受信したHTMLデータを基にWebページの表示を行ったり、LAN103上のMFP101や各種機器に対してデータの送信を行う。
【0020】
図3は、本実施形態に係るMFP101のソフトウェア構成を説明するブロック図である。尚、ACTは、Access Control Token(アクセス制御トークン)の略であり、ACTに格納される情報により、アプリケーションが使用可能なMFP101の機能が特定される。尚、以下の説明では、MFP101が非対話的にアプリケーションを実行する場合で説明する。
【0021】
アプリケーション処理部300は、MFP101上に存在し、制御部210の各構成要素を用いて実現されるソフトウェアである。
【0022】
アプリケーション310はアプリケーション実行基盤330の上で動作する。アプリケーション310とアプリケーション実行基盤330との関係は、Java(登録商標)アプリケーションとJava(登録商標) Virtual Machineのような関係である。アプリケーション310は入れ替え可能であり、インストールされることで、アプリケーション処理部300に配置される。アプリケーション310は、処理実行部340に対して処理を依頼する処理依頼部311、ACT生成部321に対してACTの発行を依頼するACT発行依頼部312、アプリケーション310の属性を記述したアプリケーション定義ファイル314を含んでいる。また、処理を実行する過程でACT発行依頼部312がACTを取得すると、その取得されたACTはACT313としてメモリ(RAM213)に保持される。アプリケーション定義ファイル314は、そのアプリケーションがどのユーザ権限で動作すべきかについての情報を記述している。
【0023】
図7(A)は、アプリケーション定義ファイルの一例を示す図である。
【0024】
この例では、項目=「ユーザタイプ」、値=「Administrator(管理者)」が設定されており、このアプリケーションは、Administrator(管理者)権限で動作すべきことを示している。
【0025】
ACT発行部320は、ACTの発行処理を行う。ACT生成部321は、ACT発行依頼部312からのACTの発行要求に応じてACTを生成する。アプリ属性取得部332は、アプリ属性の取得依頼に応じて、アプリケーション定義ファイル314に記述されたアプリケーション310の属性であるアプリ属性を取得する。ACT生成部321がACTを生成する際、ユーザタイプ一覧323が参照される。
【0026】
図7(B)は、ユーザタイプ一覧の一例を示す図である。
【0027】
この例では、ユーザタイプとして、番号(No)1の「Administrator(管理者)」と番号2の「GeneralUser(一般ユーザ)」の2つが存在している。なお、本実施形態では、MFP101を利用するユーザ個人を特定するユーザIDに対してこれらユーザタイプを割り当てることができるとともに、ユーザではないMFP101システムに対してユーザタイプを割り当てることができる。また、本実施形態では、GeneralUserよりもAdministratorの方がより多くの操作に対する実行権限を有しているものとする。つまり、Administratorは、GeneralUserよりも強い実行権限を有する。
【0028】
処理実行部340は、アプリケーション310からの依頼に応じて各種処理を行う。処理実行部340には複数種類の処理部が存在するが、図3には例として設定処理部342、ログ処理部343が記載されている。設定処理部342は、MFP101の各種設定に関し設定値の設定や参照を行う。ログ処理部343は、ログの書き込みやログの取得などを行う。処理を実行するのに際して、各処理部は実行権限のチェックを行い、その際に実行権限管理データベース341の情報が利用される。
【0029】
図7(C)は、実行権限管理データベース341のデータ例を示す図である。
【0030】
この例では、処理実行部340の各処理部に対応付けて、その処理部が処理を実行するのに必要となるユーザの権限を定義している。図7(C)の例では、設定処理部342及びログ処理部343が処理を行うには、ユーザタイプとしてAdministrator(管理者)権限が必要であることを示している。
【0031】
以上、本実施形態の概要を説明した。次に本実施形態における処理の流れを説明する。本実施形態の処理は、大きく分けて、「アプリケーションのインストール」と、「ACTの発行及び処理の実行処理」の2つに分かれる。
【0032】
図5は、本実施形態に係るMFP101へのアプリケーションのインストール処理を説明するフローチャートである。
【0033】
まずS501で、PC102のWebブラウザ251が、MFP101のアプリケーション実行基盤330と接続する。この接続後、S502で、ユーザの認証が行われる。この場合のユーザ認証の方法は何でもよいが、認証に失敗するとS508に進んでインストールが失敗したものとして処理を終了する。
【0034】
S502で、ユーザの認証に成功するとS503に進み、Webブラウザ251によりアプリケーション310のインストール操作を行う。これによりS504で、アプリケーション実行基盤330は、MFP101のHDD214に、そのアプリケーション310をインストールして配置する。このとき、アプリケーション310に含まれるアプリケーション定義ファイル314は、アプリケーション310を構成するデータの一部として存在してもいいし、MFP101のRAM213或いはHDD214に配置されてもよい。次にS505に進み、Webブラウザ251によりアプリケーション310の開始操作が行われる。これによりS506で、アプリケーション実行基盤330は、MFP101のRAM213にアプリケーション310を展開して配置する。これによりアプリケーションの実行が可能となる。そしてS507で、そのアプリケーション310を実行する。以上がMFP101におけるアプリケーション310のインストール処理の流れである。
【0035】
続いて、ACTの発行及び処理の実行の流れについて説明する。
【0036】
図4は、本実施形態に係るMFP101における処理の流れをブロック図で表した図であり、図6はフローチャートで表したものである。
【0037】
図6は、本実施形態に係るMFP101によるACTの発行及び、アプリケーションによる処理の実行を説明するフローチャートである。以下、図4及び図6を参照して説明する。
【0038】
まずACTの発行処理の流れについて説明する。
【0039】
まずS601で、MFP101でアプリケーション310が処理を開始すると、ACT発行依頼部312は、ACT生成部321に対してACTの発行を依頼する(図4の400)。このACTの発行依頼を受けたACT生成部321は、S602で、アプリ属性取得部322に対して、アプリケーション310の属性であるアプリ属性の取得を依頼する(図4の401)。このアプリ属性の取得依頼を受けたアプリ属性取得部322は、S603で、アプリケーション定義ファイル314を参照して、そのアプリケーション310のアプリ属性を取得し(図4の402)ACT生成部321に返答する。次にS604に進み、アプリ属性取得部322は、アプリ属性が取得できたかどうか判定し、取得できなかった場合はS614に進み、処理の実行に失敗したものとして処理を終了する。
【0040】
一方、S604で、アプリ属性を取得できた場合はS605に進み、アプリ属性取得部322は、ACT生成部321に、その取得したアプリ属性を返却する(図4の403)。次にS606で、このアプリ属性を受け取ったACT生成部321は、そのアプリ属性の中からユーザタイプを取り出し、そのユーザタイプがユーザタイプ一覧323(図7(B))に存在するか否かを判定する。ここで存在しないと判定するとACTの発行はできないためS614に進んで、処理の実行が失敗したものとして処理を終了する。
【0041】
S606で、ユーザタイプがユーザタイプ一覧323に存在する場合はS607に進み、ACT生成部321は、ユーザタイプ一覧323に記述されたユーザタイプに応じてACTを生成する(図4の404)。そしてS608で、その生成したACTをACT発行依頼部312に返却する(図4の405)。次にS609に進み、そのACTを受け取ったACT発行依頼部312は、ACTをアプリケーション310と関連付けられたRAM213にACT313として保持する(図4の406)。以上で、ACTの発行が完了した。次に、このACT313を用いて処理を実行する流れについて説明する。
【0042】
S610では、処理依頼部311は、処理実行部340に対して、そのアプリケーション310で実行される処理の実行を依頼する(図4の407)。このとき処理依頼部311は、その取得したACT313を処理実行部340に渡す。処理実行部340には複数の処理部が存在しており、いずれか1つの処理部が処理の実行依頼を受ける。以降では例として、ログ処理部343が処理の実行依頼を受けたものとして説明する。
【0043】
S611では、処理の実行依頼を受けたログ処理部343は、実行権限管理データベース341(図7(C))にアクセスし、ログ処理部343が処理を実行するために必要なユーザの種別(ユーザタイプ)が何であるかを判定する。次にS612に進み、ログ処理部343は、処理を実行するために必要なユーザタイプが、受け取ったACTに含まれているか否かを確認する(図4の408)。ここで含まれていない場合、つまり、そのアプリケーション310の実行権限がない場合はS614に進み、処理の実行が失敗したものとして処理を終了する。一方、S612で、処理を実行するために必要なユーザタイプがACT313に含まれている場合、つまりアプリケーション310の実行権限がある場合はS613に進み、ログ処理部343は、ログの書き込みやログの取得処理等を実行する(図4の409)。ここでは図示していないが、これ以降の処理の具体例としては、ログ処理部343がログを取得し、アプリケーション310に返却し、アプリケーション310が取得したログをファイルに出力する、といった処理等が挙げられる。
【0044】
尚、上述の実施形態において、アプリケーション定義ファイル314に複数のユーザタイプが記述されている場合は、より多くの操作に対する実行権限を有するユーザタイプに応じたACTが生成される。より多くの操作に対する実行権限を有するユーザタイプとは、より強い実行権限を有する、或いは、より限定された権限を実行可能な実行権限を有するユーザタイプである。具体的には以下のように処理が行われる。
【0045】
アプリケーション定義ファイル314に複数のユーザタイプが記述されている場合は、アプリ属性取得部322を経て、ACT生成部321が複数のユーザタイプを受け取る。そして、ユーザタイプ一覧323に記載されたユーザタイプと比較し、より多くの操作に対する実行権限を有する(例えば、図7(B)で番号がより小さい)ユーザタイプ(図7(B)では、番号が「1」の管理者)が選択される。こうしてACT生成部321は、その選択されたユーザタイプに応じたACTを生成する。
【0046】
以上説明したように本実施形態によれば、アプリケーションをどのユーザ権限で実行させるかを、インストール先のデバイスに応じて自動的に決定することができる。
【0047】
(その他の実施形態)
また本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(又はCPUやMPU等)がプログラムを読み出して実行する処理である。
【特許請求の範囲】
【請求項1】
非対話的にアプリケーションを実行できる情報処理装置であって、
アプリケーションと、当該アプリケーションを実行できる権限を有するユーザタイプを記述した定義ファイルとを記憶する記憶手段と、
前記アプリケーションからのアクセス制御トークンの発行要求に応じて、前記定義ファイルに記述されたユーザタイプが、前記情報処理装置に定義されたユーザタイプに含まれる場合に当該ユーザタイプに応じた前記アクセス制御トークンを発行する発行手段と、
前記発行手段により発行された前記アクセス制御トークンのユーザタイプが、前記アプリケーションによる処理の実行権限を有するユーザタイプに含まれている場合に、前記アプリケーションによる前記処理を実行する処理実行手段と、
を有することを特徴とする情報処理装置。
【請求項2】
前記アプリケーションにより実行される処理の種類に応じて、前記処理の実行権限を有するユーザタイプを記述した実行権限管理データベースを更に有し、前記処理実行手段は、前記実行権限管理データベースに基づいて、前記アクセス制御トークンのユーザタイプが前記アプリケーションによる処理の実行権限を有するユーザタイプに含まれているかどうか判定することを特徴とする請求項1に記載の情報処理装置。
【請求項3】
前記発行手段は、前記情報処理装置に定義されたユーザタイプが複数ある場合は、より多くの操作に対する実行権限を有するユーザタイプに応じた前記アクセス制御トークンを発行することを特徴とする請求項1に記載の情報処理装置。
【請求項4】
アプリケーションと、当該アプリケーションを実行できる権限を有するユーザタイプを記述した定義ファイルとを記憶する情報処理装置において、非対話的にアプリケーションを実行するアプリケーションの実行方法であって、
前記情報処理装置の発行手段が、前記アプリケーションからのアクセス制御トークンの発行要求に応じて、前記定義ファイルに記述されたユーザタイプが、前記情報処理装置に定義されたユーザタイプに含まれる場合に当該ユーザタイプに応じた前記アクセス制御トークンを発行する発行工程と、
前記情報処理装置の処理実行手段が、前記発行工程で発行された前記アクセス制御トークンのユーザタイプが、前記アプリケーションによる処理の実行権限を有するユーザタイプに含まれている場合に、前記アプリケーションによる前記処理を実行する処理実行工程と、
を有することを特徴とするアプリケーションの実行方法。
【請求項1】
非対話的にアプリケーションを実行できる情報処理装置であって、
アプリケーションと、当該アプリケーションを実行できる権限を有するユーザタイプを記述した定義ファイルとを記憶する記憶手段と、
前記アプリケーションからのアクセス制御トークンの発行要求に応じて、前記定義ファイルに記述されたユーザタイプが、前記情報処理装置に定義されたユーザタイプに含まれる場合に当該ユーザタイプに応じた前記アクセス制御トークンを発行する発行手段と、
前記発行手段により発行された前記アクセス制御トークンのユーザタイプが、前記アプリケーションによる処理の実行権限を有するユーザタイプに含まれている場合に、前記アプリケーションによる前記処理を実行する処理実行手段と、
を有することを特徴とする情報処理装置。
【請求項2】
前記アプリケーションにより実行される処理の種類に応じて、前記処理の実行権限を有するユーザタイプを記述した実行権限管理データベースを更に有し、前記処理実行手段は、前記実行権限管理データベースに基づいて、前記アクセス制御トークンのユーザタイプが前記アプリケーションによる処理の実行権限を有するユーザタイプに含まれているかどうか判定することを特徴とする請求項1に記載の情報処理装置。
【請求項3】
前記発行手段は、前記情報処理装置に定義されたユーザタイプが複数ある場合は、より多くの操作に対する実行権限を有するユーザタイプに応じた前記アクセス制御トークンを発行することを特徴とする請求項1に記載の情報処理装置。
【請求項4】
アプリケーションと、当該アプリケーションを実行できる権限を有するユーザタイプを記述した定義ファイルとを記憶する情報処理装置において、非対話的にアプリケーションを実行するアプリケーションの実行方法であって、
前記情報処理装置の発行手段が、前記アプリケーションからのアクセス制御トークンの発行要求に応じて、前記定義ファイルに記述されたユーザタイプが、前記情報処理装置に定義されたユーザタイプに含まれる場合に当該ユーザタイプに応じた前記アクセス制御トークンを発行する発行工程と、
前記情報処理装置の処理実行手段が、前記発行工程で発行された前記アクセス制御トークンのユーザタイプが、前記アプリケーションによる処理の実行権限を有するユーザタイプに含まれている場合に、前記アプリケーションによる前記処理を実行する処理実行工程と、
を有することを特徴とするアプリケーションの実行方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2011−258025(P2011−258025A)
【公開日】平成23年12月22日(2011.12.22)
【国際特許分類】
【出願番号】特願2010−132413(P2010−132413)
【出願日】平成22年6月9日(2010.6.9)
【出願人】(000001007)キヤノン株式会社 (59,756)
【Fターム(参考)】
【公開日】平成23年12月22日(2011.12.22)
【国際特許分類】
【出願日】平成22年6月9日(2010.6.9)
【出願人】(000001007)キヤノン株式会社 (59,756)
【Fターム(参考)】
[ Back to top ]