権限認証装置、権限認証システム、及び権限認証プログラム
【課題】外部サーバで管理されているユーザ情報を一括して取り込まなくとも、一時ユーザ及び外部サーバで管理されているユーザに対して同様に権限の認証を行うことができる権限認証装置、権限認証システム、及び権限認証プログラムを提供する。
【解決手段】グループ管理部34でグループの属性情報を管理し、権限管理部42でグループ毎にデバイス16の利用権限を管理し、一時ユーザ管理部38に登録された一時ユーザの属するグループをグループ・一時ユーザ関連管理部40で管理する。認証を依頼されたユーザが一時ユーザの場合は、所属するグループの権限を利用権限としてデバイス16に出力し、一時ユーザでないユーザの場合は、外部サーバ14で認証されると当該ユーザの属性情報を外部サーバ14から取得し、当該属性情報に対応するグループの権限を利用権限としてデバイス16に出力する。
【解決手段】グループ管理部34でグループの属性情報を管理し、権限管理部42でグループ毎にデバイス16の利用権限を管理し、一時ユーザ管理部38に登録された一時ユーザの属するグループをグループ・一時ユーザ関連管理部40で管理する。認証を依頼されたユーザが一時ユーザの場合は、所属するグループの権限を利用権限としてデバイス16に出力し、一時ユーザでないユーザの場合は、外部サーバ14で認証されると当該ユーザの属性情報を外部サーバ14から取得し、当該属性情報に対応するグループの権限を利用権限としてデバイス16に出力する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、権限認証装置、権限認証システム、及び権限認証プログラムに関する。
【背景技術】
【0002】
一般に、外部サーバ等に登録されているユーザに対して、プリンタやファックス等の情報処理装置(デバイス)の機能を使用する権限を予め設定し、ユーザが当該デバイスを使用する場合に、認証装置が設定された権限に基づいて情報処理装置を使用するユーザ権限を認証する認証システムがある。
【0003】
このような認証システムにおいて、外部サーバ等に登録されていない一時ユーザに対しても情報処理装置を使用する権限を設定し、設定された権限に基づいて情報処理装置の使用を可能にするものがある。
【0004】
例えば、一時ユーザに対する権限を任意に設定し、外部サーバで管理しているユーザの情報を一括して取り込んで保持する場合は、一時ユーザ及び外部サーバで管理しているユーザに対して同様に権限を認証し、ユーザの情報を保持しない場合は、一時ユーザに対しては設定されている権限を認証し、外部サーバで管理しているユーザに対しては管理先の外部サーバで認証された場合に設定されている一律の権限を認証する認証サービスが知られている。
【0005】
また、情報処理装置において、登録されていないユーザに対して、外部の認証機器で認証に成功した場合に、設定されている一律の権限について利用を認めることができる技術が開示されている(例えば、特許文献1参照)。
【特許文献1】特開2005−216260号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
本発明は、外部サーバで管理されているユーザ情報を一括して取り込まなくとも、一時ユーザ及び外部サーバで管理されているユーザに対して同様に権限の認証を行うことができる権限認証装置、権限認証システム、及び権限認証プログラムを提供することを目的とする。
【課題を解決するための手段】
【0007】
上記目的を達成するために、請求項1に記載の権限認証装置は、情報処理装置を利用するユーザが属するグループのグループ属性情報を記憶するグループ属性情報記憶手段と、前記グループの前記情報処理装置の利用権限に関するグループ利用権限情報を記憶するグループ利用権限情報記憶手段と、前記グループに属する一時ユーザに関する一時ユーザ情報を記憶する一時ユーザ情報記憶手段と、利用要求されたユーザに関するユーザ情報を前記情報処理装置から受信した場合に、前記一時ユーザ情報に基づいて、前記ユーザが前記一時ユーザであるか否かを照合する一時ユーザ照合手段と、前記ユーザが前記一時ユーザである場合、前記ユーザ情報と前記一時ユーザ情報とに基づいて前記一時ユーザの属するグループを特定する一時ユーザ所属グループ特定手段と、前記ユーザが前記一時ユーザでない場合、外部サーバに対して前記ユーザのユーザ属性情報を取得する取得手段と、前記取得手段により取得したユーザ属性情報と前記グループ属性情報とに基づいて前記ユーザが属するグループを特定するユーザ所属グループ特定手段と、前記一時ユーザ所属グループ特定手段または前記ユーザ所属グループ特定手段により特定したグループに対応するグループ利用権限情報を前記情報処理装置に送信する送信手段と、を備えたことを特徴とする権限認証装置。
【0008】
請求項2に記載の権限認証装置は、請求項1に記載の権限認証装置において、利用要求されたユーザが前記一時ユーザでなく、かつ、当該ユーザのユーザ属性情報を外部サーバから取得できない場合は、前記送信手段は、前記情報処理装置の利用権限がないことを示す情報を前記情報処理装置に送信することを特徴とする。
【0009】
請求項3に記載の権限認証装置は、請求項1または請求項2に記載の権限認証装置において、情報処理装置に関する情報を記憶する情報処理装置情報記憶手段と、利用要求されたユーザに関するユーザ情報が送信された情報処理装置が前記情報処理装置情報記憶手段に記憶されている情報処理装置であるか否かを照合する情報処理装置照合手段と、を備え、利用要求が送信された前記情報処理装置が前記情報処理装置情報記憶手段に記憶されている場合は前記一時ユーザ照合手段により前記一時ユーザであるか否かを照合し、前記情報処理装置情報記憶手段に記憶されていない場合は前記送信手段により、前記情報処理装置が記憶されていないことを示す情報を前記情報処理装置に出力することを特徴とする。
【0010】
請求項4に記載の権限認証装置は、請求項1から請求項3のいずれか1項に記載の権限認証装置において、外部サーバに関する情報を記憶する外部サーバ情報記憶手段を備え、前記取得手段は、ユーザの属性情報を前記外部サーバ情報記憶手段に記憶されている外部サーバから取得することを特徴とする。
【0011】
請求項5に記載の権限認証システムは、利用要求されたユーザに関するユーザ情報を送信する情報処理装置と、前記情報処理装置から送信されたユーザ情報に基づいて前記情報処理装置の利用権限について認証する前記請求項1から請求項4の何れか1項に記載の権限認証装置と、前記権限認証装置から要求された場合に、前記ユーザに関するユーザ属性情報を送信する外部サーバと、を備えたことを特徴とする。
【0012】
請求項6に記載の権限認証プログラムは、グループ属性情報記憶手段に情報処理装置を利用するユーザが属するグループのグループ属性情報を記憶するステップと、グループ利用権限情報記憶手段に前記グループの前記情報処理装置の利用権限に関するグループ利用権限情報を記憶するステップと、一時ユーザ情報記憶手段に前記グループに属する一時ユーザに関する一時ユーザ情報を記憶するステップと、利用要求されたユーザに関するユーザ情報を前記情報処理装置から受信した場合に、前記一時ユーザ情報に基づいて、前記ユーザが前記一時ユーザであるか否かを照合する一時ユーザ照合ステップと、前記ユーザが一時ユーザである場合、前記ユーザ情報と前記一時ユーザ情報とに基づいて前記一時ユーザの属するグループを特定する一時ユーザ所属グループ特定ステップと、前記ユーザが前記一時ユーザでない場合、外部サーバに対して前記ユーザのユーザ属性情報を取得する取得ステップと、前記取得手段により取得したユーザ属性情報と前記グループ属性情報とに基づいて前記ユーザが属するグループを特定するユーザ所属グループ特定ステップと、前記一時ユーザ所属グループ特定ステップまたは前記ユーザ所属グループ特定ステップにより特定したグループに対応するグループ利用権限情報を前記情報処理装置に送信する送信ステップと、を有する処理をコンピュータに実行させることを特徴とする。
【発明の効果】
【0013】
請求項1に記載の権限認証装置によれば、外部サーバで管理されているユーザ情報を一括して取り込まなくとも、一時ユーザ及び外部サーバで管理されているユーザに対して同様に権限の認証を行うことができる、という効果を有する。
【0014】
請求項2に記載の権限認証装置によれば、前記情報処理装置の利用権限がないことを示す情報を前記情報処理装置に送信しない場合に比べて、認証結果をユーザが容易に知ることができる、という効果を有する。
【0015】
請求項3に記載の権限認証装置によれば、情報処理装置を管理しない場合に比べて、管理先でない情報処理装置に対して権限認証を行わないことができる、という効果を有する。
【0016】
請求項4に記載の権限認証装置によれば、外部サーバを管理しない場合に比べて、問い合わせ先の外部サーバが絞り込める、という効果を有する。
【0017】
請求項5に記載の認証システムによれば、外部サーバで管理されているユーザ情報を一括して取り込まなくとも、一時ユーザ及び外部サーバで管理されているユーザに対して同様に権限の認証を行うことができる、という効果を有する。
【0018】
請求項6に記載の権限認証プログラムによれば、外部サーバで管理されているユーザ情報を一括して取り込まなくとも、一時ユーザ及び外部サーバで管理されているユーザに対して同様に権限の認証を行うことができる処理をコンピュータに実行させることができる、という効果を有する。
【発明を実施するための最良の形態】
【0019】
以下、図1〜図18を参照して、本発明の実施の形態を詳細に説明する。
【0020】
図1は、本実施の形態の権限認証システム10の概略構成の一例を示す概略図である。図1に示すように、本実施の形態の権限認証システム10は、権限認証サーバ12、外部サーバ14、デバイス16、及びLAN(ローカルエリアネットワーク)等のネットワーク18で構成されており、権限認証サーバ12、外部サーバ14、及びデバイス16は、ネットワーク18を介して相互に接続されている。
【0021】
なお、本実施の形態の権限認証システム10は、具体的一例として、デバイス16の利用権限を外部サーバ14で管理(記憶)されているユーザ(社員)及び一時ユーザ(派遣社員やアルバイト等)に対して認証する権限認証システムの場合について詳細に説明している。
【0022】
権限認証サーバ12は、ユーザに対してデバイス16を利用する権限を認証するためのサーバである。図2に権限認証サーバ12の一例の概略構成の機能ブロック図を示す。
【0023】
本実施の形態の権限認証サーバ12は、CPU20、ROM22、RAM24、HDD26、ユーザI/F(インターフェイス)28、ネットワークI/F(インターフェイス)30、外部サーバ管理部32、グループ管理部34、サービス管理部36、一時ユーザ管理部38、グループ・一時ユーザ関連管理部40、権限管理部42、認証部44、及び属性取得部46を備えて構成されている。
【0024】
CPU20は、権限認証サーバ12の全体を制御するものであり、権限認証プログラム(詳細後述)等が実行される。ROM22は、制御プログラムやパラメータ等が記憶されており、RAM24は、CPU20による各種プログラムの実行時におけるワークエリア等として用いられる。
【0025】
なお、権限認証プログラム等の各種プログラムは、DVD−ROMやCD−ROM等の記録媒体(図示省略)やリムーバブルディスク(図示省略)等に記録しておき、HDD26等にインストールし、CPU20により当該プログラムが読込まれて実行されるようにしてもよい。
【0026】
ユーザI/F28は、ユーザと権限認証に関する情報等の授受を行うためのものである。具体的な一例として、ディスプレイ、マウス、及びキーボード等が含まれるが、これに限らない。
【0027】
ネットワークI/F30は、ネットワーク18と接続するためのネットワークインターフェイスである。
【0028】
外部サーバ管理部32は、メモリ等の外部サーバ情報記憶部33を含んでおり、ユーザの属性情報が格納されている外部サーバに関する情報を管理するものである。本実施の形態では、具体的一例として、ネットワーク20に接続されている外部サーバ14に関する情報(詳細後述)を管理するものであり、外部サーバ情報記憶部33に外部サーバ14を表す情報(本実施の形態では、Domain Aを表す情報)が記憶されている。
【0029】
グループ管理部34は、メモリ等のグループ属性情報記憶部35を含んでおり、利用権限を設定するグループ及び各グループに対応する属性情報(詳細後述)の管理を行うものである。本実施の形態では、具体的一例として、Group A及びGroup Bに対して権限が設定されているため、Group Aの属性情報、及びGroup Bの属性情報がグループ属性情報記憶部35に記憶されている。
【0030】
サービス管理部36は、メモリ等のデバイス情報記憶部37を含んでおり、利用権限を認証する対象となるデバイス16の管理を行うものである。本実施の形態では、具体的一例として、Device Zの情報(シリアルナンバー等)がデバイス情報記憶部37に記憶されている。
【0031】
一時ユーザ管理部38は、メモリ等の一時ユーザ記憶部39を含んでおり、一時ユーザの情報を管理するものである。なお、一時ユーザとは、外部サーバ14で管理(記憶)されていないユーザのことであり、本実施の形態では、具体的一例として、派遣社員(派遣D)の情報が一時ユーザ記憶部39に記憶されている。
【0032】
グループ・一時ユーザ関連管理部40は、メモリ等の一時ユーザ所属グループ記憶部41を含んでおり、一時ユーザ管理部38で管理されている一時ユーザの所属するグループを管理するものである。本実施の形態では、具体的一例として、派遣Dがグループ(Group A)に属する情報が一時ユーザ所属グループ記憶部41に記憶されている。
【0033】
権限管理部42は、メモリ等のグループ利用権限情報記憶部43を含んでおり、グループ管理部34で管理されているグループ毎にサービス管理部36で管理されているデバイス16の利用権限を管理するものである。本実施の形態では、具体的一例として、Device Zに対するGroup Aの利用権限及びGroup Bの利用権限がグループ利用権限情報記憶部43に記憶されている。
【0034】
認証部44は、一時ユーザ管理部38で管理されている一時ユーザの利用権限の認証を行うものであり、外部サーバ14で管理されているユーザに対しては、外部サーバ14にユーザの認証を依頼し、認証結果に基づいて利用権限の認証を行うものである。
【0035】
属性取得部46は、認証部44が外部サーバ14から認証成功の結果を受信した場合に、外部サーバ14からユーザの属性情報を取得するものである。
【0036】
なお、本実施の形態では、外部サーバ管理部32、グループ管理部34、サービス管理部36、一時ユーザ管理部38、グループ・一時ユーザ管理部40、及び権限管理部42の各々に記憶部33、35,37、39、41、43を備えるようにしているがこれに限らず、例えば、HDD26に一括して情報を記憶させ、これを読取るようにしてもよい。
【0037】
CPU20、ROM22、RAM24、HDD26、ユーザI/F(インターフェイス)28、ネットワークI/F(インターフェイス)30、外部サーバ管理部32、グループ管理部34、サービス管理部36、一時ユーザ管理部38、グループ・一時ユーザ関連管理部40、権限管理部42、認証部44、及び属性取得部46は、コントロールバスやデータバス等のバス48を介して、互いに情報等の授受が可能に接続されている。
【0038】
外部サーバ14は、例えばLDAPサーバなどであり、ユーザ(社員)の属性情報を管理するサーバである。図3に外部サーバ14の一例の概略構成の機能ブロック図を示す。
【0039】
本実施の形態の外部サーバ14は、CPU50、ROM52、RAM54、HDD56、ユーザI/F(インターフェイス)58、ネットワークI/F(インターフェイス)60、属性情報管理部62、及び属性情報送信部61を備えて構成されている。
【0040】
CPU50は、外部サーバ14の全体を制御するものであり、権限認証プログラム(詳細後述)等が実行される。ROM52は、制御プログラムやパラメータ等が記憶されており、RAM24は、CPU50による各種プログラムの実行時におけるワークエリア等として用いられる。
【0041】
なお、権限認証プログラム等の各種プログラムは、DVD−ROMやCD−ROM等の記録媒体(図示省略)やリムーバブルディスク(図示省略)等に記録しておき、HDD56等にインストールし、CPU50により当該プログラムが読込まれて実行されるようにしてもよい。
【0042】
ユーザI/F58は、ユーザと権限認証に関する情報等の授受を行うためのものである。具体的な一例として、ディスプレイ、マウス、キーボード等が含まれるが、これに限らない。
【0043】
ネットワークI/F60は、ネットワーク18と接続するためのネットワークインターフェイスである。
【0044】
属性情報管理部61は、ユーザ(社員)の属性情報を管理するものである。属性情報とは、ユーザの属するグループを識別するために、グループ毎に設定されているものである。
【0045】
本実施の形態では、具体的な一例として、Domain Aに社員A、社員B、及び社員Cの各々の属性情報がメモリ等のユーザ属性情報記憶部63に記憶されている。ユーザ属性情報記憶部63に記憶されているDomain Aのより具体的な一例を図4に挙げる。図4に示した一例では、社員Aの属性情報は、属性名「DN」の属性値が「OU=4G、OU=AAA、DC=Domain A」、属性名「関連タスク」の属性値が「タスクX」である。また、社員Bの属性情報は、属性名「DN」の属性値が「OU=4G、OU=AAA、DC=Domain A」、属性名「関連タスク」の属性値が「タスクY」であり、社員Cの属性情報は、属性名「DN」の属性値が「OU=5G、OU=AAA、DC=Domain A」、属性名「関連タスク」の属性値が「タスクX」である。
【0046】
属性情報送信部62は、権限認証サーバ12から認証の依頼を受けたユーザ(社員)の属性情報を属性情報管理部61から取得して権限認証サーバ12に送信する。なお、本実施の形態では、認証の依頼を受けたユーザ(社員)が属性情報管理部61で管理されていない場合は認証失敗の結果を権限認証サーバ12に送信する。
【0047】
CPU50、ROM52、RAM54、HDD56、ユーザI/F(インターフェイス)58、ネットワークI/F(インターフェイス)60、属性情報管理部62、及び属性情報送信部61は、コントロールバスやデータバス等のバス48を介して、互いに情報等の授受が可能に接続されている。
【0048】
デバイス16(Device Z)は、情報処理装置であり、具体的一例としては、プリンタやコピー、ファックス、スキャナ、それらの複合機等が挙げられるがこれに限らない。本実施の形態では、デバイス16を複合機とし、プリンタ機能及びコピー機能についての利用権限を認証する場合について詳細に説明している。
【0049】
図5に、デバイス16の一例の概略構成を示す機能ブロック図を示す。
【0050】
本実施の形態のDevice Zは、CPU70、ROM72、RAM74、HDD76、ユーザI/F(インターフェイス)78、ネットワークI/F(インターフェイス)80、及び機能部82を備えて構成されている。
【0051】
CPU70は、Device Zの全体を制御するものであり、権限認証プログラム等が実行される。ROM72は、制御プログラムやパラメータ等が記憶されており、RAM74は、CPU70による各種プログラムの実行時におけるワークエリア等として用いられる。
【0052】
ユーザI/F78は、ユーザと権限認証や情報処理等に関する情報等の授受を行うためのものであり、具体的な一例である、ディスプレイ、マウス、キーボード等が含まれるが、これに限らない。
【0053】
ネットワークI/F80は、ネットワーク18と接続するためのネットワークインターフェイスである。
【0054】
機能部82は、情報処理を行うための機能に関するものであり、本実施の形態では、例えば、プリントやコピー等の画像形成を行うためのものであり、ユーザからの指示に基づいて画像形成を行う。
【0055】
CPU70、ROM72、RAM74、HDD76、ユーザI/F(インターフェイス)78、ネットワークI/F(インターフェイス)80、及び機能部82、コントロールバスやデータバス等のバス84を介して、互いに情報等の授受が可能に接続されている。
【0056】
なお、本実施の形態では、外部サーバ14が1つの場合について説明しているがこれに限らず、複数の外部サーバ14がネットワーク18に接続されており、各外部サーバ14でユーザの管理を行ってもよい。また、本実施の形態では、外部サーバ14には1つのドメイン(Domain A)が設定されているが、これに限らず、複数のドメインを設定してもよい。この場合、権限認証サーバ12の外部サーバ管理部32では、ドメイン毎に管理を行うようにしてもよい。
【0057】
次に、本実施の形態の権限認証システム10の認証動作について図6〜18を参照して詳細に説明する。
【0058】
まず、権限認証サーバ12の権限認証処理について図6〜17を参照して詳細に説明する。
【0059】
(メイン処理)
図6は、権限認証サーバ12で実行される権限認証処理におけるメイン処理の一例を示すフローチャートである。本処理は、例えば、権限認証サーバ12に電源が投入された場合等にCPU20で実行される。
【0060】
まず、ステップ100では、ユーザ等から何らかの指示の入力が有るか否か判断する。指示入力が無い場合は否定されて、待機状態になる。一方、ユーザI/F28やネットワークI/F30により指示入力された場合は肯定されて、ステップ102へ進む。
【0061】
ステップ102では、入力された指示が利用権限の認証依頼であるか否か判断する。認証依頼ではない場合は否定されて、ステップ104へ進む。ステップ104では、権限認証のための設定を行う設定処理(詳細後述)を行った後、ステップ108へ進む。一方、ステップ102でユーザによりデバイス16(Device Z)からネットワークI/F30に権限認証依頼が入力された場合は肯定されて、ステップ106へ進む。ステップ106では、ユーザに対してDevice Zの利用権限を認証する権限認証処理(詳細後述)を行った後、ステップ108へ進む。
【0062】
ステップ108では、本処理を終了するか否か判断する。終了しない場合は否定されて、ステップ100に戻り、本処理を繰り返す。一方、権限認証システム10の稼働を停止する場合や権限認証サーバ12の電源をオフにする場合等は肯定されて、本処理を終了する。
【0063】
(設定処理)
次に、設定処理(図6に示すメイン処理のステップ104の処理)について図7〜16を参照して詳細に説明する。本処理は、権限認証システム10において権限認証を行う環境を構築するための処理である。
【0064】
図7は、設定処理の一例を示すフローチャートである。なお本処理では、ユーザがユーザI/F28により環境を構築(設定)する場合について説明しているがこれに限らず、例えば、デバイス16等からネットワーク18を介して環境を構築するようにしてもよい。
【0065】
まず、ステップ200では、設定選択画面をユーザI/F28に表示する。設定選択画面の具体的な一例を図8に示す。これにより、ユーザは設定を希望する項目をマウス等により選択入力し確定する。
【0066】
次のステップ202では、ユーザが選択入力した選択結果を読取り、次のステップ204では、読取った選択結果が外部サーバ(ドメイン)の管理で有るか否か判断する。外部サーバの管理である場合は肯定されて、ステップ206へ進む。
【0067】
ステップ206では、外部サーバ管理設定入力画面をユーザI/F28に表示する。外部サーバ管理設定入力画面の具体的な一例を図9に示す。これにより、ユーザはユーザの属性情報が格納されている外部サーバ14をキーボード等により入力する。なお、本実施の形態では、外部サーバ14に含まれるドメインで管理しているため、図9には具体的な一例として、Domain Aの情報を設定登録する場合を示している。
【0068】
次のステップ208では、ユーザが設定入力した入力情報を読取り、次のステップ210では、読取った外部サーバ14(Domain A)の入力情報を外部サーバ管理部32に登録した後、ステップ242へ進む。これにより、外部サーバ管理部32の外部サーバ情報記憶部33にDomain Aの情報が記憶された状態になる(図2参照)。
【0069】
一方、ステップ204で読取った選択結果が外部サーバ(ドメイン)の管理でない場合は否定されてステップ212へ進む。
【0070】
ステップ212では、読取った選択結果がデバイスの管理で有るか否か判断する。デバイスの管理である場合は肯定されて、ステップ214へ進む。
【0071】
ステップ214では、デバイス管理設定入力画面をユーザI/F28に表示する。デバイス管理設定入力画面の具体的な一例を図10に示す。これにより、ユーザは利用権限を設定するデバイス16をキーボード等により入力する。なお、本実施の形態では、図10には具体的な一例として、Device Zの情報(シリアルナンバー)を設定登録する場合を示している。
【0072】
次のステップ216では、ユーザが設定入力した入力情報を読取り、次のステップ218では、読取ったDevice Zの入力情報(シリアルナンバー)をサービス管理部36に登録した後、ステップ242へ進む。これにより、サービス管理部36のデバイス情報記憶部37にDevice Zを表す情報としてシリアルナンバーが記憶された状態になる(図2参照)。なお、本実施の形態では、シリアルナンバーを用いているがこれに限らず、Device Zを識別できる情報であれば限定されない。
【0073】
一方、ステップ212で読取った選択結果がデバイスの管理でない場合は否定されてステップ220へ進む。
【0074】
ステップ220では、読取った選択結果がグループの管理で有るか否か判断する。グループの管理である場合は肯定されて、ステップ222へ進む。
【0075】
ステップ222では、グループ管理設定入力画面をユーザI/F28に表示する。グループ管理設定入力画面の具体的な一例を図11及び図12に示す。これにより、ユーザはグループ及び当該グループの属性情報をキーボード等により入力する。なお、本実施の形態では、具体的な一例として、図13に示すように、Group A及びGroup Bがそれぞれ設定されている。図11には、Group Aの属性名が「DN」、属性値が「OU=4G、OU=AAA、DC=Domain A」、属性値が「OU=4G、OU=AAA、DC=Domain A」、比較方法(詳細後述)が「〜で終わる」を設定登録する場合を示している。また、図12には、Group Bの属性名が「関連タスク」、属性値が「タスクX」、比較方法が「一致」を設定登録する場合を示している。
【0076】
次のステップ224では、ユーザが設定入力した入力情報を読取り、次のステップ226では、読取ったグループの属性情報をグループ管理部34に登録した後、ステップ242へ進む。これにより、グループ管理部34のグループ属性情報記憶部35にグループ毎に属性情報が記憶された状態になる(図2参照)。
【0077】
なお、本実施の形態では、属性情報として「DN(ドメイン)」及び「関連タスク」を用いているがこれに限らず、グループ毎に設けられており、ユーザが属するグループを識別することができる情報であればよい。
【0078】
一方、ステップ220で読取った選択結果がグループの管理ではない場合は否定されてステップ228へ進む。
【0079】
ステップ228では、読取った選択結果が一時ユーザの登録で有るか否か判断する。一時ユーザの登録である場合は肯定されて、ステップ230へ進む。
【0080】
ステップ230では、一時ユーザ登録設定入力画面をユーザI/F28に表示する。一時ユーザ登録設定入力画面の具体的な一例を図14に示す。これにより、一時ユーザを表す情報(ユーザ識別情報)をキーボード等により入力する。なお、本実施の形態では、図14には具体的な一例として、派遣Dの識別情報及び所属グループを設定登録する場合を示している。派遣Dの識別情報とは、例えば、名前や社員番号、ID等、一時ユーザ個人を識別することができる情報であれば特に限定されない。
【0081】
次のステップ232では、ユーザが設定入力した入力情報を読取り、次のステップ234では、読取った派遣Dの識別情報を一時ユーザ管理部38に登録し、また、所属グループをグループ・一時ユーザ関連管理部40に登録した後、ステップ242へ進む。これにより、一時ユーザ管理部38の一時ユーザ記憶部39に派遣Dを表す情報が記憶された状態になり、グループ・一時ユーザ関連管理部40の一時ユーザ所属グループ記憶部41に派遣Dの所属グループが記憶された状態になる(図2参照)。
【0082】
一方、ステップ228で読取った選択結果が一時ユーザの登録でない場合は否定されてステップ236へ進む。
【0083】
この場合はデバイス16の利用権限を設定する場合であるため、ステップ236では、権限設定入力画面をユーザI/F28に表示する。権限設定入力画面の具体的な例を図15及び図16に示す。これにより、ユーザは利用する権限を設定するデバイス16をキーボードやマウス等により入力する。なお、本実施の形態では、具体的な一例として、コピー及びプリントに関する利用権限を設定する場合を示しているが、利用権限を設定する内容(デバイスにおける情報処理)はこれに限らない。
【0084】
図15では、Group Aに対してDevice Zの利用権限として、白黒コピーが不可、白黒プリント及びカラープリントが可の設定を登録する場合を示している。また、図16では、Group Bに対してDevice Zの利用権限として、白黒コピーが可、カラーコピーが不可の設定を登録する場合を示している。
【0085】
次のステップ238では、ユーザが設定入力した入力情報を読取り、次のステップ240では、読取った権限の入力情報を権限管理部42に登録した後、ステップ242へ進む。これにより、権限管理部42のグループ利用権限情報記憶部43にGroup AのDevice Zの利用権限及びGroup BのDevice Zの利用権限が記憶された状態になる(図2参照)。このように、グループ毎に権限を設定するため、一時ユーザ(派遣)か外部サーバ14で管理されているユーザ(社員)かに関わらず一括して利用権限の設定が行える。
【0086】
(権限認証処理)
次に、権限認証処理(図6に示すメイン処理のステップ106の処理)について図17を参照して詳細に説明する。本処理は、上述の設定処理により登録された設定に基づいて利用権限の認証を行うための処理である。
【0087】
図17は、権限認証処理の一例を示すフローチャートである。
【0088】
まず、ステップ300では、利用権限の認証を依頼された依頼元(デバイス16)の情報(本実施の形態ではシリアルナンバー)及び依頼されたユーザの識別情報を受信する。
【0089】
次のステップ302では、受信した依頼元がサービス管理部36の管理対象のデバイスで有るか否か判断する。管理対象ではない場合は否定されて、ステップ316へ進み所定のエラー処理を行った後、ステップ328へ進む。所定のエラー処理とは、認証が失敗したことをユーザに報知するための情報を依頼元のデバイス16に対してネットワーク18を介して送信するための処理であり、例えば、エラーメッセージの送信等が挙げられる。これにより、利用権限の認証依頼を行ったユーザは、デバイス16のユーザI/F78によって認証に失敗したことがわかる。
【0090】
一方、サービス管理部36で管理されているデバイスである場合は肯定されて、ステップ304へ進む。
【0091】
ステップ304では、依頼されたユーザが一時ユーザで有るか否か判断する。受信したユーザの識別情報が一時ユーザ管理部38で管理されているユーザの場合、本実施の形態では派遣Dである場合は肯定されて、ステップ306へ進む。ステップ306では、認証部44によりグループ・一時ユーザ関連管理部40から関連グループを検索し、特定する。本実施の形態では、派遣Dに対してGroup Aを取得する。
【0092】
次のステップ308では、権限管理部42により、依頼元のデバイス及び取得したグループに基づいて利用権限を検索し、特定した後、ステップ326へ進む。次のステップ326では、派遣Dの場合、Device Zの利用権限として「白黒コピー不可、白黒プリント及びカラープリント可」の回答をDevice Zに対してネットワーク18を介して送信した後、ステップ328へ進む。
【0093】
一方、ステップ304で一時ユーザでないと判断された場合(社員である場合等)は否定されて、ステップ310へ進む。
【0094】
ステップ310では、認証部44により、外部サーバ管理部32で管理されている外部サーバ14(ドメイン)の情報を取得し、次のステップ312では、取得した外部サーバ14(ドメイン)に対してネットワーク18を介して、ユーザ識別情報を送信する。これにより、外部サーバ14では、受信したユーザ識別情報に基づいてユーザの認証を行う(詳細後述)。
【0095】
次のステップ314では、外部サーバ14が認証に成功したか否かを判断する。外部サーバ14から認証失敗の結果を受信した場合は否定されて、ステップ316へ進み所定のエラー処理を行った後、ステップ328へ進む。一方、認証成功の結果を受信した場合は肯定されて、ステップ318へ進む。
【0096】
ステップ318では、属性取得部46により、グループ管理部34で管理されている各グループの属性情報(属性名)を取得する。本実施の形態では、一例として、「DN」及び「関連タスク」を取得する。
【0097】
次のステップ320では、取得した属性情報(属性名)に対する認証ユーザの属性値を認証先の外部サーバ14から取得する。本実施の形態では、例えば、社員Aの場合は、属性名「DN」の属性値「OU=4G、OU=AAA、DC=Domain A」及び属性名「関連タスク」の属性値「タスクX」を取得する。また、社員Cである場合は、属性名「DN」の属性値「OU=5G、OU=AAA、DC=Domain A」及び属性名「関連タスク」の属性値「タスクX」を取得する。なお、ステップ318を省略して、グループ管理部34で管理されている各グループの属性情報(属性名)に対応する属性値のみならず、外部サーバ14において管理されている当該認証ユーザの全ての属性値を取得してもよい。
【0098】
次のステップ322では、取得した属性値に対応するグループをグループ管理部34で検索し、特定する。本実施の形態では、例えば、社員Aの場合は属性名「DN」の属性値が「OU=4G、OU=AAA、DC=Domain A」「〜で終わる」ため、Group Aと特定し、また、属性名「関連タスク」の属性値が「タスクX」に「一致」するため、Group Bと特定する。また、社員Cである場合は属性名「関連タスク」の属性値が「タスクX」に「一致」するため、Group Bと特定する。
【0099】
次のステップ324では、権限管理部42により、依頼元のデバイス16及び特定したグループに基づいて利用権限を検索し、特定した後、ステップ326へ進む。次のステップ326では、依頼元のデバイスに利用権限の回答を送信する。例えば、社員Aの場合、Device Zの利用権限としてGroup A及びGroup Bに設定されれている利用権限を回答する。具体的一例としては、「白黒コピー可、カラーコピー不可、白黒プリント及びカラープリント可」の回答を送信する。なお、本実施の形態では、所属する複数のグループの各々に対して設定されれている利用権限が異なる場合、「可」及び「不可」の何れを優先させるか等は予め定めて設定しておく。また、社員Cの場合、Device Zの利用権限として「カラーコピー不可、白黒コピー可」の回答を送信する。
【0100】
次のステップ328では他に認証依頼が有るか否か判断する。他の認証依頼を受信した場合は肯定されて、ステップ300に戻り、本処理を繰り返す。一方、他にない場合は否定されて、本処理を終了する。
【0101】
認証を依頼したデバイス16(Device Z)では、認証失敗の結果を受信した場合は、認証を依頼したユーザに対して全ての機能が利用できないようにする。また、認証に成功し、利用権限の認証を受信した場合は、受信した利用権限に基づく機能が利用できるようにする。なお、権限を設定されていない機能に関しては、利用できないようにすることが好ましいが、これに限らず一部のみ利用可や全ての機能について利用可等としてもよく、予め設定しておけばよい。
【0102】
なお、ユーザ識別情報にレルム情報(Domain A等のドメインを表す情報)が含まれている場合は、レルム情報が有るか否かによりユーザが一時ユーザであるか否か判断するようにしてもよい。この場合、レルム情報が含まれている場合は、社員であると判断する。また、レルム情報を含む場合、外部サーバ管理部32でレルム情報と外部サーバ14との関連を管理することにより、ユーザの認証を依頼する外部サーバ14を絞りこむことができる。
【0103】
また、本実施の形態では、外部サーバ管理部32で管理を行っている外部サーバ14に対してユーザ識別情報を送信して認証の依頼を行っているがこれに限らず、例えば、ネットワーク18に接続されている全ての外部サーバ14に認証の依頼を行う等としてもよい。
【0104】
また、本実施の形態では、各グループの属性名を取得し、取得した属性名の属性値を認証先の外部サーバ14から取得しているが、これに限らず、例えば、認証したユーザ(社員)の属性情報を全て外部サーバ14から受信するようにしてもよい。
【0105】
次に、外部サーバ14の権限認証処理について図18を参照して詳細に説明する。図18は、外部サーバ14で実行される権限認証処理の一例を示すフローチャートである。本処理は、例えば、外部サーバ14に電源が投入された場合等にCPU50で実行される。
【0106】
まず、ステップ400では、ユーザ識別情報を受信したか否か判断する。受信していない場合は否定されて、待機状態になる。一方、権限認証サーバ12からユーザ識別情報を受信した場合は肯定されて、ステップ402へ進む。
【0107】
ステップ402では、属性情報管理部61で管理しているユーザ(社員)か検索し、次のステップ404では、管理しているか否か判断する。管理されていない場合は否定されて、ステップ406へ進み、権限認証サーバ12に認証失敗の結果をネットワーク18を介して送信した後、ステップ414へ進む。
【0108】
一方、ユーザ属性情報記憶部63にユーザ識別情報が有る場合は肯定されて、ステップ408へ進む。ステップ408では、権限認証サーバ12に認証成功の結果を送信し、ステップ410へ進む。
【0109】
ステップ410では、属性情報の送信要求を受信したか否か判断する。属性情報の送信要求を受信すると肯定されて、ステップ412へ進む。
【0110】
ステップ412では、属性情報送信部62により、認証したユーザの属性情報のうち、受信した属性情報(属性名)の送信要求に対応する属性値を権限認証サーバ12に送信した後、ステップ414へ進む。
【0111】
ステップ414では本処理を終了するか否か判断する。否定されるとステップ400に戻り、本処理を繰り返す。一方、外部サーバ14の電源をオフにする場合等は肯定されて、本処理を終了する。
【0112】
なお、本実施の形態では、受信した属性情報の送信要求に対応する属性値を権限認証サーバ12に送信するようにしているが、これに限らず、認証したユーザの属性情報を全て送信するようにしてもよい。
【0113】
以上説明したように、本実施の形態では、権限認証サーバ12が、グループ管理部34でグループの属性情報を管理し、権限管理部42でグループ毎にデバイス16の利用権限を管理し、一時ユーザ管理部38に登録された一時ユーザの属するグループをグループ・一時ユーザ関連管理部40で管理する。そして、デバイス16からの利用権限の認証依頼に対して、一時ユーザである場合は、当該一時ユーザの所属するグループに設定されている権限を利用権限としてデバイス16に出力し、一時ユーザでないユーザの場合は、外部サーバ14に問いあわせ、外部サーバ14で認証されると当該ユーザの属性情報を外部サーバ14から取得し、当該属性情報に対応するグループに設定されている権限を利用権限としてデバイス16に出力する。
【図面の簡単な説明】
【0114】
【図1】本発明の実施の形態に係る権限認証システムの概略構成の一例を示す概略図である。
【図2】本発明の実施の形態に係る権限認証サーバの一例の概略構成を示す機能ブロック図である。
【図3】本発明の実施の形態に係る外部サーバの一例の概略構成を示す機能ブロック図である。
【図4】本発明の実施の形態に係るDomain Aの具体的な一例を説明するための説明図である。
【図5】本発明の実施の形態に係るデバイスの一例の概略構成を示す機能ブロック図である。
【図6】本発明の実施の形態に係る権限認証サーバで実行される権限認証処理におけるメイン処理の一例を示すフローチャートである。
【図7】本発明の実施の形態に係る権限認証サーバで実行される設定処理の一例を示すフローチャートである。
【図8】本発明の実施の形態に係る設定選択画面の具体的な一例を説明するための説明図である。
【図9】本発明の実施の形態に係る外部サーバ管理設定入力画面の具体的な一例を説明するための説明図である。
【図10】本発明の実施の形態に係るデバイス管理設定入力画面の具体的な一例を説明するための説明図である。
【図11】本発明の実施の形態に係るグループ管理設定入力画面でGroup Aの設定を入力する具体的な一例を説明するための説明図である。
【図12】本発明の実施の形態に係るグループ管理設定入力画面でGroup Bの設定を入力する具体的な一例を説明するための説明図である。
【図13】本発明の実施の形態に係るGroup A及びGroup Bの設定を説明するための説明図である。
【図14】本発明の実施の形態に係る一時ユーザ登録設定入力画面の具体的な一例を説明するための説明図である。
【図15】本発明の実施の形態に係る権限設定入力画面でGroup Aの設定を入力する具体的な一例を説明するための説明図である。
【図16】本発明の実施の形態に係る権限設定入力画面でGroup Bの設定を入力する具体的な一例を説明するための説明図である。
【図17】本発明の実施の形態に係る権限認証サーバで実行される権限認証処理の一例を示すフローチャートである。
【図18】本発明の実施の形態に係る外部サーバで実行される権限認証処理の一例を示すフローチャートである。
【符号の説明】
【0115】
10 認証システム
12 権限認証サーバ
14 外部サーバ
16 デバイス
32 外部サーバ管理部
33 外部サーバ情報記憶部
35 グループ属性情報記憶部
37 デバイス情報記憶部
39 一時ユーザ記憶部
41 一時ユーザ所属グループ記憶部
43 グループ利用権限情報記憶部
34 グループ管理部
36 サービス管理部
38 一時ユーザ管理部
40 グループ・一時ユーザ管理部
42 権限管理部
44 認証部
46 属性取得部
61 属性情報管理部
62 属性情報送信部
63 ユーザ属性情報記憶部
【技術分野】
【0001】
本発明は、権限認証装置、権限認証システム、及び権限認証プログラムに関する。
【背景技術】
【0002】
一般に、外部サーバ等に登録されているユーザに対して、プリンタやファックス等の情報処理装置(デバイス)の機能を使用する権限を予め設定し、ユーザが当該デバイスを使用する場合に、認証装置が設定された権限に基づいて情報処理装置を使用するユーザ権限を認証する認証システムがある。
【0003】
このような認証システムにおいて、外部サーバ等に登録されていない一時ユーザに対しても情報処理装置を使用する権限を設定し、設定された権限に基づいて情報処理装置の使用を可能にするものがある。
【0004】
例えば、一時ユーザに対する権限を任意に設定し、外部サーバで管理しているユーザの情報を一括して取り込んで保持する場合は、一時ユーザ及び外部サーバで管理しているユーザに対して同様に権限を認証し、ユーザの情報を保持しない場合は、一時ユーザに対しては設定されている権限を認証し、外部サーバで管理しているユーザに対しては管理先の外部サーバで認証された場合に設定されている一律の権限を認証する認証サービスが知られている。
【0005】
また、情報処理装置において、登録されていないユーザに対して、外部の認証機器で認証に成功した場合に、設定されている一律の権限について利用を認めることができる技術が開示されている(例えば、特許文献1参照)。
【特許文献1】特開2005−216260号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
本発明は、外部サーバで管理されているユーザ情報を一括して取り込まなくとも、一時ユーザ及び外部サーバで管理されているユーザに対して同様に権限の認証を行うことができる権限認証装置、権限認証システム、及び権限認証プログラムを提供することを目的とする。
【課題を解決するための手段】
【0007】
上記目的を達成するために、請求項1に記載の権限認証装置は、情報処理装置を利用するユーザが属するグループのグループ属性情報を記憶するグループ属性情報記憶手段と、前記グループの前記情報処理装置の利用権限に関するグループ利用権限情報を記憶するグループ利用権限情報記憶手段と、前記グループに属する一時ユーザに関する一時ユーザ情報を記憶する一時ユーザ情報記憶手段と、利用要求されたユーザに関するユーザ情報を前記情報処理装置から受信した場合に、前記一時ユーザ情報に基づいて、前記ユーザが前記一時ユーザであるか否かを照合する一時ユーザ照合手段と、前記ユーザが前記一時ユーザである場合、前記ユーザ情報と前記一時ユーザ情報とに基づいて前記一時ユーザの属するグループを特定する一時ユーザ所属グループ特定手段と、前記ユーザが前記一時ユーザでない場合、外部サーバに対して前記ユーザのユーザ属性情報を取得する取得手段と、前記取得手段により取得したユーザ属性情報と前記グループ属性情報とに基づいて前記ユーザが属するグループを特定するユーザ所属グループ特定手段と、前記一時ユーザ所属グループ特定手段または前記ユーザ所属グループ特定手段により特定したグループに対応するグループ利用権限情報を前記情報処理装置に送信する送信手段と、を備えたことを特徴とする権限認証装置。
【0008】
請求項2に記載の権限認証装置は、請求項1に記載の権限認証装置において、利用要求されたユーザが前記一時ユーザでなく、かつ、当該ユーザのユーザ属性情報を外部サーバから取得できない場合は、前記送信手段は、前記情報処理装置の利用権限がないことを示す情報を前記情報処理装置に送信することを特徴とする。
【0009】
請求項3に記載の権限認証装置は、請求項1または請求項2に記載の権限認証装置において、情報処理装置に関する情報を記憶する情報処理装置情報記憶手段と、利用要求されたユーザに関するユーザ情報が送信された情報処理装置が前記情報処理装置情報記憶手段に記憶されている情報処理装置であるか否かを照合する情報処理装置照合手段と、を備え、利用要求が送信された前記情報処理装置が前記情報処理装置情報記憶手段に記憶されている場合は前記一時ユーザ照合手段により前記一時ユーザであるか否かを照合し、前記情報処理装置情報記憶手段に記憶されていない場合は前記送信手段により、前記情報処理装置が記憶されていないことを示す情報を前記情報処理装置に出力することを特徴とする。
【0010】
請求項4に記載の権限認証装置は、請求項1から請求項3のいずれか1項に記載の権限認証装置において、外部サーバに関する情報を記憶する外部サーバ情報記憶手段を備え、前記取得手段は、ユーザの属性情報を前記外部サーバ情報記憶手段に記憶されている外部サーバから取得することを特徴とする。
【0011】
請求項5に記載の権限認証システムは、利用要求されたユーザに関するユーザ情報を送信する情報処理装置と、前記情報処理装置から送信されたユーザ情報に基づいて前記情報処理装置の利用権限について認証する前記請求項1から請求項4の何れか1項に記載の権限認証装置と、前記権限認証装置から要求された場合に、前記ユーザに関するユーザ属性情報を送信する外部サーバと、を備えたことを特徴とする。
【0012】
請求項6に記載の権限認証プログラムは、グループ属性情報記憶手段に情報処理装置を利用するユーザが属するグループのグループ属性情報を記憶するステップと、グループ利用権限情報記憶手段に前記グループの前記情報処理装置の利用権限に関するグループ利用権限情報を記憶するステップと、一時ユーザ情報記憶手段に前記グループに属する一時ユーザに関する一時ユーザ情報を記憶するステップと、利用要求されたユーザに関するユーザ情報を前記情報処理装置から受信した場合に、前記一時ユーザ情報に基づいて、前記ユーザが前記一時ユーザであるか否かを照合する一時ユーザ照合ステップと、前記ユーザが一時ユーザである場合、前記ユーザ情報と前記一時ユーザ情報とに基づいて前記一時ユーザの属するグループを特定する一時ユーザ所属グループ特定ステップと、前記ユーザが前記一時ユーザでない場合、外部サーバに対して前記ユーザのユーザ属性情報を取得する取得ステップと、前記取得手段により取得したユーザ属性情報と前記グループ属性情報とに基づいて前記ユーザが属するグループを特定するユーザ所属グループ特定ステップと、前記一時ユーザ所属グループ特定ステップまたは前記ユーザ所属グループ特定ステップにより特定したグループに対応するグループ利用権限情報を前記情報処理装置に送信する送信ステップと、を有する処理をコンピュータに実行させることを特徴とする。
【発明の効果】
【0013】
請求項1に記載の権限認証装置によれば、外部サーバで管理されているユーザ情報を一括して取り込まなくとも、一時ユーザ及び外部サーバで管理されているユーザに対して同様に権限の認証を行うことができる、という効果を有する。
【0014】
請求項2に記載の権限認証装置によれば、前記情報処理装置の利用権限がないことを示す情報を前記情報処理装置に送信しない場合に比べて、認証結果をユーザが容易に知ることができる、という効果を有する。
【0015】
請求項3に記載の権限認証装置によれば、情報処理装置を管理しない場合に比べて、管理先でない情報処理装置に対して権限認証を行わないことができる、という効果を有する。
【0016】
請求項4に記載の権限認証装置によれば、外部サーバを管理しない場合に比べて、問い合わせ先の外部サーバが絞り込める、という効果を有する。
【0017】
請求項5に記載の認証システムによれば、外部サーバで管理されているユーザ情報を一括して取り込まなくとも、一時ユーザ及び外部サーバで管理されているユーザに対して同様に権限の認証を行うことができる、という効果を有する。
【0018】
請求項6に記載の権限認証プログラムによれば、外部サーバで管理されているユーザ情報を一括して取り込まなくとも、一時ユーザ及び外部サーバで管理されているユーザに対して同様に権限の認証を行うことができる処理をコンピュータに実行させることができる、という効果を有する。
【発明を実施するための最良の形態】
【0019】
以下、図1〜図18を参照して、本発明の実施の形態を詳細に説明する。
【0020】
図1は、本実施の形態の権限認証システム10の概略構成の一例を示す概略図である。図1に示すように、本実施の形態の権限認証システム10は、権限認証サーバ12、外部サーバ14、デバイス16、及びLAN(ローカルエリアネットワーク)等のネットワーク18で構成されており、権限認証サーバ12、外部サーバ14、及びデバイス16は、ネットワーク18を介して相互に接続されている。
【0021】
なお、本実施の形態の権限認証システム10は、具体的一例として、デバイス16の利用権限を外部サーバ14で管理(記憶)されているユーザ(社員)及び一時ユーザ(派遣社員やアルバイト等)に対して認証する権限認証システムの場合について詳細に説明している。
【0022】
権限認証サーバ12は、ユーザに対してデバイス16を利用する権限を認証するためのサーバである。図2に権限認証サーバ12の一例の概略構成の機能ブロック図を示す。
【0023】
本実施の形態の権限認証サーバ12は、CPU20、ROM22、RAM24、HDD26、ユーザI/F(インターフェイス)28、ネットワークI/F(インターフェイス)30、外部サーバ管理部32、グループ管理部34、サービス管理部36、一時ユーザ管理部38、グループ・一時ユーザ関連管理部40、権限管理部42、認証部44、及び属性取得部46を備えて構成されている。
【0024】
CPU20は、権限認証サーバ12の全体を制御するものであり、権限認証プログラム(詳細後述)等が実行される。ROM22は、制御プログラムやパラメータ等が記憶されており、RAM24は、CPU20による各種プログラムの実行時におけるワークエリア等として用いられる。
【0025】
なお、権限認証プログラム等の各種プログラムは、DVD−ROMやCD−ROM等の記録媒体(図示省略)やリムーバブルディスク(図示省略)等に記録しておき、HDD26等にインストールし、CPU20により当該プログラムが読込まれて実行されるようにしてもよい。
【0026】
ユーザI/F28は、ユーザと権限認証に関する情報等の授受を行うためのものである。具体的な一例として、ディスプレイ、マウス、及びキーボード等が含まれるが、これに限らない。
【0027】
ネットワークI/F30は、ネットワーク18と接続するためのネットワークインターフェイスである。
【0028】
外部サーバ管理部32は、メモリ等の外部サーバ情報記憶部33を含んでおり、ユーザの属性情報が格納されている外部サーバに関する情報を管理するものである。本実施の形態では、具体的一例として、ネットワーク20に接続されている外部サーバ14に関する情報(詳細後述)を管理するものであり、外部サーバ情報記憶部33に外部サーバ14を表す情報(本実施の形態では、Domain Aを表す情報)が記憶されている。
【0029】
グループ管理部34は、メモリ等のグループ属性情報記憶部35を含んでおり、利用権限を設定するグループ及び各グループに対応する属性情報(詳細後述)の管理を行うものである。本実施の形態では、具体的一例として、Group A及びGroup Bに対して権限が設定されているため、Group Aの属性情報、及びGroup Bの属性情報がグループ属性情報記憶部35に記憶されている。
【0030】
サービス管理部36は、メモリ等のデバイス情報記憶部37を含んでおり、利用権限を認証する対象となるデバイス16の管理を行うものである。本実施の形態では、具体的一例として、Device Zの情報(シリアルナンバー等)がデバイス情報記憶部37に記憶されている。
【0031】
一時ユーザ管理部38は、メモリ等の一時ユーザ記憶部39を含んでおり、一時ユーザの情報を管理するものである。なお、一時ユーザとは、外部サーバ14で管理(記憶)されていないユーザのことであり、本実施の形態では、具体的一例として、派遣社員(派遣D)の情報が一時ユーザ記憶部39に記憶されている。
【0032】
グループ・一時ユーザ関連管理部40は、メモリ等の一時ユーザ所属グループ記憶部41を含んでおり、一時ユーザ管理部38で管理されている一時ユーザの所属するグループを管理するものである。本実施の形態では、具体的一例として、派遣Dがグループ(Group A)に属する情報が一時ユーザ所属グループ記憶部41に記憶されている。
【0033】
権限管理部42は、メモリ等のグループ利用権限情報記憶部43を含んでおり、グループ管理部34で管理されているグループ毎にサービス管理部36で管理されているデバイス16の利用権限を管理するものである。本実施の形態では、具体的一例として、Device Zに対するGroup Aの利用権限及びGroup Bの利用権限がグループ利用権限情報記憶部43に記憶されている。
【0034】
認証部44は、一時ユーザ管理部38で管理されている一時ユーザの利用権限の認証を行うものであり、外部サーバ14で管理されているユーザに対しては、外部サーバ14にユーザの認証を依頼し、認証結果に基づいて利用権限の認証を行うものである。
【0035】
属性取得部46は、認証部44が外部サーバ14から認証成功の結果を受信した場合に、外部サーバ14からユーザの属性情報を取得するものである。
【0036】
なお、本実施の形態では、外部サーバ管理部32、グループ管理部34、サービス管理部36、一時ユーザ管理部38、グループ・一時ユーザ管理部40、及び権限管理部42の各々に記憶部33、35,37、39、41、43を備えるようにしているがこれに限らず、例えば、HDD26に一括して情報を記憶させ、これを読取るようにしてもよい。
【0037】
CPU20、ROM22、RAM24、HDD26、ユーザI/F(インターフェイス)28、ネットワークI/F(インターフェイス)30、外部サーバ管理部32、グループ管理部34、サービス管理部36、一時ユーザ管理部38、グループ・一時ユーザ関連管理部40、権限管理部42、認証部44、及び属性取得部46は、コントロールバスやデータバス等のバス48を介して、互いに情報等の授受が可能に接続されている。
【0038】
外部サーバ14は、例えばLDAPサーバなどであり、ユーザ(社員)の属性情報を管理するサーバである。図3に外部サーバ14の一例の概略構成の機能ブロック図を示す。
【0039】
本実施の形態の外部サーバ14は、CPU50、ROM52、RAM54、HDD56、ユーザI/F(インターフェイス)58、ネットワークI/F(インターフェイス)60、属性情報管理部62、及び属性情報送信部61を備えて構成されている。
【0040】
CPU50は、外部サーバ14の全体を制御するものであり、権限認証プログラム(詳細後述)等が実行される。ROM52は、制御プログラムやパラメータ等が記憶されており、RAM24は、CPU50による各種プログラムの実行時におけるワークエリア等として用いられる。
【0041】
なお、権限認証プログラム等の各種プログラムは、DVD−ROMやCD−ROM等の記録媒体(図示省略)やリムーバブルディスク(図示省略)等に記録しておき、HDD56等にインストールし、CPU50により当該プログラムが読込まれて実行されるようにしてもよい。
【0042】
ユーザI/F58は、ユーザと権限認証に関する情報等の授受を行うためのものである。具体的な一例として、ディスプレイ、マウス、キーボード等が含まれるが、これに限らない。
【0043】
ネットワークI/F60は、ネットワーク18と接続するためのネットワークインターフェイスである。
【0044】
属性情報管理部61は、ユーザ(社員)の属性情報を管理するものである。属性情報とは、ユーザの属するグループを識別するために、グループ毎に設定されているものである。
【0045】
本実施の形態では、具体的な一例として、Domain Aに社員A、社員B、及び社員Cの各々の属性情報がメモリ等のユーザ属性情報記憶部63に記憶されている。ユーザ属性情報記憶部63に記憶されているDomain Aのより具体的な一例を図4に挙げる。図4に示した一例では、社員Aの属性情報は、属性名「DN」の属性値が「OU=4G、OU=AAA、DC=Domain A」、属性名「関連タスク」の属性値が「タスクX」である。また、社員Bの属性情報は、属性名「DN」の属性値が「OU=4G、OU=AAA、DC=Domain A」、属性名「関連タスク」の属性値が「タスクY」であり、社員Cの属性情報は、属性名「DN」の属性値が「OU=5G、OU=AAA、DC=Domain A」、属性名「関連タスク」の属性値が「タスクX」である。
【0046】
属性情報送信部62は、権限認証サーバ12から認証の依頼を受けたユーザ(社員)の属性情報を属性情報管理部61から取得して権限認証サーバ12に送信する。なお、本実施の形態では、認証の依頼を受けたユーザ(社員)が属性情報管理部61で管理されていない場合は認証失敗の結果を権限認証サーバ12に送信する。
【0047】
CPU50、ROM52、RAM54、HDD56、ユーザI/F(インターフェイス)58、ネットワークI/F(インターフェイス)60、属性情報管理部62、及び属性情報送信部61は、コントロールバスやデータバス等のバス48を介して、互いに情報等の授受が可能に接続されている。
【0048】
デバイス16(Device Z)は、情報処理装置であり、具体的一例としては、プリンタやコピー、ファックス、スキャナ、それらの複合機等が挙げられるがこれに限らない。本実施の形態では、デバイス16を複合機とし、プリンタ機能及びコピー機能についての利用権限を認証する場合について詳細に説明している。
【0049】
図5に、デバイス16の一例の概略構成を示す機能ブロック図を示す。
【0050】
本実施の形態のDevice Zは、CPU70、ROM72、RAM74、HDD76、ユーザI/F(インターフェイス)78、ネットワークI/F(インターフェイス)80、及び機能部82を備えて構成されている。
【0051】
CPU70は、Device Zの全体を制御するものであり、権限認証プログラム等が実行される。ROM72は、制御プログラムやパラメータ等が記憶されており、RAM74は、CPU70による各種プログラムの実行時におけるワークエリア等として用いられる。
【0052】
ユーザI/F78は、ユーザと権限認証や情報処理等に関する情報等の授受を行うためのものであり、具体的な一例である、ディスプレイ、マウス、キーボード等が含まれるが、これに限らない。
【0053】
ネットワークI/F80は、ネットワーク18と接続するためのネットワークインターフェイスである。
【0054】
機能部82は、情報処理を行うための機能に関するものであり、本実施の形態では、例えば、プリントやコピー等の画像形成を行うためのものであり、ユーザからの指示に基づいて画像形成を行う。
【0055】
CPU70、ROM72、RAM74、HDD76、ユーザI/F(インターフェイス)78、ネットワークI/F(インターフェイス)80、及び機能部82、コントロールバスやデータバス等のバス84を介して、互いに情報等の授受が可能に接続されている。
【0056】
なお、本実施の形態では、外部サーバ14が1つの場合について説明しているがこれに限らず、複数の外部サーバ14がネットワーク18に接続されており、各外部サーバ14でユーザの管理を行ってもよい。また、本実施の形態では、外部サーバ14には1つのドメイン(Domain A)が設定されているが、これに限らず、複数のドメインを設定してもよい。この場合、権限認証サーバ12の外部サーバ管理部32では、ドメイン毎に管理を行うようにしてもよい。
【0057】
次に、本実施の形態の権限認証システム10の認証動作について図6〜18を参照して詳細に説明する。
【0058】
まず、権限認証サーバ12の権限認証処理について図6〜17を参照して詳細に説明する。
【0059】
(メイン処理)
図6は、権限認証サーバ12で実行される権限認証処理におけるメイン処理の一例を示すフローチャートである。本処理は、例えば、権限認証サーバ12に電源が投入された場合等にCPU20で実行される。
【0060】
まず、ステップ100では、ユーザ等から何らかの指示の入力が有るか否か判断する。指示入力が無い場合は否定されて、待機状態になる。一方、ユーザI/F28やネットワークI/F30により指示入力された場合は肯定されて、ステップ102へ進む。
【0061】
ステップ102では、入力された指示が利用権限の認証依頼であるか否か判断する。認証依頼ではない場合は否定されて、ステップ104へ進む。ステップ104では、権限認証のための設定を行う設定処理(詳細後述)を行った後、ステップ108へ進む。一方、ステップ102でユーザによりデバイス16(Device Z)からネットワークI/F30に権限認証依頼が入力された場合は肯定されて、ステップ106へ進む。ステップ106では、ユーザに対してDevice Zの利用権限を認証する権限認証処理(詳細後述)を行った後、ステップ108へ進む。
【0062】
ステップ108では、本処理を終了するか否か判断する。終了しない場合は否定されて、ステップ100に戻り、本処理を繰り返す。一方、権限認証システム10の稼働を停止する場合や権限認証サーバ12の電源をオフにする場合等は肯定されて、本処理を終了する。
【0063】
(設定処理)
次に、設定処理(図6に示すメイン処理のステップ104の処理)について図7〜16を参照して詳細に説明する。本処理は、権限認証システム10において権限認証を行う環境を構築するための処理である。
【0064】
図7は、設定処理の一例を示すフローチャートである。なお本処理では、ユーザがユーザI/F28により環境を構築(設定)する場合について説明しているがこれに限らず、例えば、デバイス16等からネットワーク18を介して環境を構築するようにしてもよい。
【0065】
まず、ステップ200では、設定選択画面をユーザI/F28に表示する。設定選択画面の具体的な一例を図8に示す。これにより、ユーザは設定を希望する項目をマウス等により選択入力し確定する。
【0066】
次のステップ202では、ユーザが選択入力した選択結果を読取り、次のステップ204では、読取った選択結果が外部サーバ(ドメイン)の管理で有るか否か判断する。外部サーバの管理である場合は肯定されて、ステップ206へ進む。
【0067】
ステップ206では、外部サーバ管理設定入力画面をユーザI/F28に表示する。外部サーバ管理設定入力画面の具体的な一例を図9に示す。これにより、ユーザはユーザの属性情報が格納されている外部サーバ14をキーボード等により入力する。なお、本実施の形態では、外部サーバ14に含まれるドメインで管理しているため、図9には具体的な一例として、Domain Aの情報を設定登録する場合を示している。
【0068】
次のステップ208では、ユーザが設定入力した入力情報を読取り、次のステップ210では、読取った外部サーバ14(Domain A)の入力情報を外部サーバ管理部32に登録した後、ステップ242へ進む。これにより、外部サーバ管理部32の外部サーバ情報記憶部33にDomain Aの情報が記憶された状態になる(図2参照)。
【0069】
一方、ステップ204で読取った選択結果が外部サーバ(ドメイン)の管理でない場合は否定されてステップ212へ進む。
【0070】
ステップ212では、読取った選択結果がデバイスの管理で有るか否か判断する。デバイスの管理である場合は肯定されて、ステップ214へ進む。
【0071】
ステップ214では、デバイス管理設定入力画面をユーザI/F28に表示する。デバイス管理設定入力画面の具体的な一例を図10に示す。これにより、ユーザは利用権限を設定するデバイス16をキーボード等により入力する。なお、本実施の形態では、図10には具体的な一例として、Device Zの情報(シリアルナンバー)を設定登録する場合を示している。
【0072】
次のステップ216では、ユーザが設定入力した入力情報を読取り、次のステップ218では、読取ったDevice Zの入力情報(シリアルナンバー)をサービス管理部36に登録した後、ステップ242へ進む。これにより、サービス管理部36のデバイス情報記憶部37にDevice Zを表す情報としてシリアルナンバーが記憶された状態になる(図2参照)。なお、本実施の形態では、シリアルナンバーを用いているがこれに限らず、Device Zを識別できる情報であれば限定されない。
【0073】
一方、ステップ212で読取った選択結果がデバイスの管理でない場合は否定されてステップ220へ進む。
【0074】
ステップ220では、読取った選択結果がグループの管理で有るか否か判断する。グループの管理である場合は肯定されて、ステップ222へ進む。
【0075】
ステップ222では、グループ管理設定入力画面をユーザI/F28に表示する。グループ管理設定入力画面の具体的な一例を図11及び図12に示す。これにより、ユーザはグループ及び当該グループの属性情報をキーボード等により入力する。なお、本実施の形態では、具体的な一例として、図13に示すように、Group A及びGroup Bがそれぞれ設定されている。図11には、Group Aの属性名が「DN」、属性値が「OU=4G、OU=AAA、DC=Domain A」、属性値が「OU=4G、OU=AAA、DC=Domain A」、比較方法(詳細後述)が「〜で終わる」を設定登録する場合を示している。また、図12には、Group Bの属性名が「関連タスク」、属性値が「タスクX」、比較方法が「一致」を設定登録する場合を示している。
【0076】
次のステップ224では、ユーザが設定入力した入力情報を読取り、次のステップ226では、読取ったグループの属性情報をグループ管理部34に登録した後、ステップ242へ進む。これにより、グループ管理部34のグループ属性情報記憶部35にグループ毎に属性情報が記憶された状態になる(図2参照)。
【0077】
なお、本実施の形態では、属性情報として「DN(ドメイン)」及び「関連タスク」を用いているがこれに限らず、グループ毎に設けられており、ユーザが属するグループを識別することができる情報であればよい。
【0078】
一方、ステップ220で読取った選択結果がグループの管理ではない場合は否定されてステップ228へ進む。
【0079】
ステップ228では、読取った選択結果が一時ユーザの登録で有るか否か判断する。一時ユーザの登録である場合は肯定されて、ステップ230へ進む。
【0080】
ステップ230では、一時ユーザ登録設定入力画面をユーザI/F28に表示する。一時ユーザ登録設定入力画面の具体的な一例を図14に示す。これにより、一時ユーザを表す情報(ユーザ識別情報)をキーボード等により入力する。なお、本実施の形態では、図14には具体的な一例として、派遣Dの識別情報及び所属グループを設定登録する場合を示している。派遣Dの識別情報とは、例えば、名前や社員番号、ID等、一時ユーザ個人を識別することができる情報であれば特に限定されない。
【0081】
次のステップ232では、ユーザが設定入力した入力情報を読取り、次のステップ234では、読取った派遣Dの識別情報を一時ユーザ管理部38に登録し、また、所属グループをグループ・一時ユーザ関連管理部40に登録した後、ステップ242へ進む。これにより、一時ユーザ管理部38の一時ユーザ記憶部39に派遣Dを表す情報が記憶された状態になり、グループ・一時ユーザ関連管理部40の一時ユーザ所属グループ記憶部41に派遣Dの所属グループが記憶された状態になる(図2参照)。
【0082】
一方、ステップ228で読取った選択結果が一時ユーザの登録でない場合は否定されてステップ236へ進む。
【0083】
この場合はデバイス16の利用権限を設定する場合であるため、ステップ236では、権限設定入力画面をユーザI/F28に表示する。権限設定入力画面の具体的な例を図15及び図16に示す。これにより、ユーザは利用する権限を設定するデバイス16をキーボードやマウス等により入力する。なお、本実施の形態では、具体的な一例として、コピー及びプリントに関する利用権限を設定する場合を示しているが、利用権限を設定する内容(デバイスにおける情報処理)はこれに限らない。
【0084】
図15では、Group Aに対してDevice Zの利用権限として、白黒コピーが不可、白黒プリント及びカラープリントが可の設定を登録する場合を示している。また、図16では、Group Bに対してDevice Zの利用権限として、白黒コピーが可、カラーコピーが不可の設定を登録する場合を示している。
【0085】
次のステップ238では、ユーザが設定入力した入力情報を読取り、次のステップ240では、読取った権限の入力情報を権限管理部42に登録した後、ステップ242へ進む。これにより、権限管理部42のグループ利用権限情報記憶部43にGroup AのDevice Zの利用権限及びGroup BのDevice Zの利用権限が記憶された状態になる(図2参照)。このように、グループ毎に権限を設定するため、一時ユーザ(派遣)か外部サーバ14で管理されているユーザ(社員)かに関わらず一括して利用権限の設定が行える。
【0086】
(権限認証処理)
次に、権限認証処理(図6に示すメイン処理のステップ106の処理)について図17を参照して詳細に説明する。本処理は、上述の設定処理により登録された設定に基づいて利用権限の認証を行うための処理である。
【0087】
図17は、権限認証処理の一例を示すフローチャートである。
【0088】
まず、ステップ300では、利用権限の認証を依頼された依頼元(デバイス16)の情報(本実施の形態ではシリアルナンバー)及び依頼されたユーザの識別情報を受信する。
【0089】
次のステップ302では、受信した依頼元がサービス管理部36の管理対象のデバイスで有るか否か判断する。管理対象ではない場合は否定されて、ステップ316へ進み所定のエラー処理を行った後、ステップ328へ進む。所定のエラー処理とは、認証が失敗したことをユーザに報知するための情報を依頼元のデバイス16に対してネットワーク18を介して送信するための処理であり、例えば、エラーメッセージの送信等が挙げられる。これにより、利用権限の認証依頼を行ったユーザは、デバイス16のユーザI/F78によって認証に失敗したことがわかる。
【0090】
一方、サービス管理部36で管理されているデバイスである場合は肯定されて、ステップ304へ進む。
【0091】
ステップ304では、依頼されたユーザが一時ユーザで有るか否か判断する。受信したユーザの識別情報が一時ユーザ管理部38で管理されているユーザの場合、本実施の形態では派遣Dである場合は肯定されて、ステップ306へ進む。ステップ306では、認証部44によりグループ・一時ユーザ関連管理部40から関連グループを検索し、特定する。本実施の形態では、派遣Dに対してGroup Aを取得する。
【0092】
次のステップ308では、権限管理部42により、依頼元のデバイス及び取得したグループに基づいて利用権限を検索し、特定した後、ステップ326へ進む。次のステップ326では、派遣Dの場合、Device Zの利用権限として「白黒コピー不可、白黒プリント及びカラープリント可」の回答をDevice Zに対してネットワーク18を介して送信した後、ステップ328へ進む。
【0093】
一方、ステップ304で一時ユーザでないと判断された場合(社員である場合等)は否定されて、ステップ310へ進む。
【0094】
ステップ310では、認証部44により、外部サーバ管理部32で管理されている外部サーバ14(ドメイン)の情報を取得し、次のステップ312では、取得した外部サーバ14(ドメイン)に対してネットワーク18を介して、ユーザ識別情報を送信する。これにより、外部サーバ14では、受信したユーザ識別情報に基づいてユーザの認証を行う(詳細後述)。
【0095】
次のステップ314では、外部サーバ14が認証に成功したか否かを判断する。外部サーバ14から認証失敗の結果を受信した場合は否定されて、ステップ316へ進み所定のエラー処理を行った後、ステップ328へ進む。一方、認証成功の結果を受信した場合は肯定されて、ステップ318へ進む。
【0096】
ステップ318では、属性取得部46により、グループ管理部34で管理されている各グループの属性情報(属性名)を取得する。本実施の形態では、一例として、「DN」及び「関連タスク」を取得する。
【0097】
次のステップ320では、取得した属性情報(属性名)に対する認証ユーザの属性値を認証先の外部サーバ14から取得する。本実施の形態では、例えば、社員Aの場合は、属性名「DN」の属性値「OU=4G、OU=AAA、DC=Domain A」及び属性名「関連タスク」の属性値「タスクX」を取得する。また、社員Cである場合は、属性名「DN」の属性値「OU=5G、OU=AAA、DC=Domain A」及び属性名「関連タスク」の属性値「タスクX」を取得する。なお、ステップ318を省略して、グループ管理部34で管理されている各グループの属性情報(属性名)に対応する属性値のみならず、外部サーバ14において管理されている当該認証ユーザの全ての属性値を取得してもよい。
【0098】
次のステップ322では、取得した属性値に対応するグループをグループ管理部34で検索し、特定する。本実施の形態では、例えば、社員Aの場合は属性名「DN」の属性値が「OU=4G、OU=AAA、DC=Domain A」「〜で終わる」ため、Group Aと特定し、また、属性名「関連タスク」の属性値が「タスクX」に「一致」するため、Group Bと特定する。また、社員Cである場合は属性名「関連タスク」の属性値が「タスクX」に「一致」するため、Group Bと特定する。
【0099】
次のステップ324では、権限管理部42により、依頼元のデバイス16及び特定したグループに基づいて利用権限を検索し、特定した後、ステップ326へ進む。次のステップ326では、依頼元のデバイスに利用権限の回答を送信する。例えば、社員Aの場合、Device Zの利用権限としてGroup A及びGroup Bに設定されれている利用権限を回答する。具体的一例としては、「白黒コピー可、カラーコピー不可、白黒プリント及びカラープリント可」の回答を送信する。なお、本実施の形態では、所属する複数のグループの各々に対して設定されれている利用権限が異なる場合、「可」及び「不可」の何れを優先させるか等は予め定めて設定しておく。また、社員Cの場合、Device Zの利用権限として「カラーコピー不可、白黒コピー可」の回答を送信する。
【0100】
次のステップ328では他に認証依頼が有るか否か判断する。他の認証依頼を受信した場合は肯定されて、ステップ300に戻り、本処理を繰り返す。一方、他にない場合は否定されて、本処理を終了する。
【0101】
認証を依頼したデバイス16(Device Z)では、認証失敗の結果を受信した場合は、認証を依頼したユーザに対して全ての機能が利用できないようにする。また、認証に成功し、利用権限の認証を受信した場合は、受信した利用権限に基づく機能が利用できるようにする。なお、権限を設定されていない機能に関しては、利用できないようにすることが好ましいが、これに限らず一部のみ利用可や全ての機能について利用可等としてもよく、予め設定しておけばよい。
【0102】
なお、ユーザ識別情報にレルム情報(Domain A等のドメインを表す情報)が含まれている場合は、レルム情報が有るか否かによりユーザが一時ユーザであるか否か判断するようにしてもよい。この場合、レルム情報が含まれている場合は、社員であると判断する。また、レルム情報を含む場合、外部サーバ管理部32でレルム情報と外部サーバ14との関連を管理することにより、ユーザの認証を依頼する外部サーバ14を絞りこむことができる。
【0103】
また、本実施の形態では、外部サーバ管理部32で管理を行っている外部サーバ14に対してユーザ識別情報を送信して認証の依頼を行っているがこれに限らず、例えば、ネットワーク18に接続されている全ての外部サーバ14に認証の依頼を行う等としてもよい。
【0104】
また、本実施の形態では、各グループの属性名を取得し、取得した属性名の属性値を認証先の外部サーバ14から取得しているが、これに限らず、例えば、認証したユーザ(社員)の属性情報を全て外部サーバ14から受信するようにしてもよい。
【0105】
次に、外部サーバ14の権限認証処理について図18を参照して詳細に説明する。図18は、外部サーバ14で実行される権限認証処理の一例を示すフローチャートである。本処理は、例えば、外部サーバ14に電源が投入された場合等にCPU50で実行される。
【0106】
まず、ステップ400では、ユーザ識別情報を受信したか否か判断する。受信していない場合は否定されて、待機状態になる。一方、権限認証サーバ12からユーザ識別情報を受信した場合は肯定されて、ステップ402へ進む。
【0107】
ステップ402では、属性情報管理部61で管理しているユーザ(社員)か検索し、次のステップ404では、管理しているか否か判断する。管理されていない場合は否定されて、ステップ406へ進み、権限認証サーバ12に認証失敗の結果をネットワーク18を介して送信した後、ステップ414へ進む。
【0108】
一方、ユーザ属性情報記憶部63にユーザ識別情報が有る場合は肯定されて、ステップ408へ進む。ステップ408では、権限認証サーバ12に認証成功の結果を送信し、ステップ410へ進む。
【0109】
ステップ410では、属性情報の送信要求を受信したか否か判断する。属性情報の送信要求を受信すると肯定されて、ステップ412へ進む。
【0110】
ステップ412では、属性情報送信部62により、認証したユーザの属性情報のうち、受信した属性情報(属性名)の送信要求に対応する属性値を権限認証サーバ12に送信した後、ステップ414へ進む。
【0111】
ステップ414では本処理を終了するか否か判断する。否定されるとステップ400に戻り、本処理を繰り返す。一方、外部サーバ14の電源をオフにする場合等は肯定されて、本処理を終了する。
【0112】
なお、本実施の形態では、受信した属性情報の送信要求に対応する属性値を権限認証サーバ12に送信するようにしているが、これに限らず、認証したユーザの属性情報を全て送信するようにしてもよい。
【0113】
以上説明したように、本実施の形態では、権限認証サーバ12が、グループ管理部34でグループの属性情報を管理し、権限管理部42でグループ毎にデバイス16の利用権限を管理し、一時ユーザ管理部38に登録された一時ユーザの属するグループをグループ・一時ユーザ関連管理部40で管理する。そして、デバイス16からの利用権限の認証依頼に対して、一時ユーザである場合は、当該一時ユーザの所属するグループに設定されている権限を利用権限としてデバイス16に出力し、一時ユーザでないユーザの場合は、外部サーバ14に問いあわせ、外部サーバ14で認証されると当該ユーザの属性情報を外部サーバ14から取得し、当該属性情報に対応するグループに設定されている権限を利用権限としてデバイス16に出力する。
【図面の簡単な説明】
【0114】
【図1】本発明の実施の形態に係る権限認証システムの概略構成の一例を示す概略図である。
【図2】本発明の実施の形態に係る権限認証サーバの一例の概略構成を示す機能ブロック図である。
【図3】本発明の実施の形態に係る外部サーバの一例の概略構成を示す機能ブロック図である。
【図4】本発明の実施の形態に係るDomain Aの具体的な一例を説明するための説明図である。
【図5】本発明の実施の形態に係るデバイスの一例の概略構成を示す機能ブロック図である。
【図6】本発明の実施の形態に係る権限認証サーバで実行される権限認証処理におけるメイン処理の一例を示すフローチャートである。
【図7】本発明の実施の形態に係る権限認証サーバで実行される設定処理の一例を示すフローチャートである。
【図8】本発明の実施の形態に係る設定選択画面の具体的な一例を説明するための説明図である。
【図9】本発明の実施の形態に係る外部サーバ管理設定入力画面の具体的な一例を説明するための説明図である。
【図10】本発明の実施の形態に係るデバイス管理設定入力画面の具体的な一例を説明するための説明図である。
【図11】本発明の実施の形態に係るグループ管理設定入力画面でGroup Aの設定を入力する具体的な一例を説明するための説明図である。
【図12】本発明の実施の形態に係るグループ管理設定入力画面でGroup Bの設定を入力する具体的な一例を説明するための説明図である。
【図13】本発明の実施の形態に係るGroup A及びGroup Bの設定を説明するための説明図である。
【図14】本発明の実施の形態に係る一時ユーザ登録設定入力画面の具体的な一例を説明するための説明図である。
【図15】本発明の実施の形態に係る権限設定入力画面でGroup Aの設定を入力する具体的な一例を説明するための説明図である。
【図16】本発明の実施の形態に係る権限設定入力画面でGroup Bの設定を入力する具体的な一例を説明するための説明図である。
【図17】本発明の実施の形態に係る権限認証サーバで実行される権限認証処理の一例を示すフローチャートである。
【図18】本発明の実施の形態に係る外部サーバで実行される権限認証処理の一例を示すフローチャートである。
【符号の説明】
【0115】
10 認証システム
12 権限認証サーバ
14 外部サーバ
16 デバイス
32 外部サーバ管理部
33 外部サーバ情報記憶部
35 グループ属性情報記憶部
37 デバイス情報記憶部
39 一時ユーザ記憶部
41 一時ユーザ所属グループ記憶部
43 グループ利用権限情報記憶部
34 グループ管理部
36 サービス管理部
38 一時ユーザ管理部
40 グループ・一時ユーザ管理部
42 権限管理部
44 認証部
46 属性取得部
61 属性情報管理部
62 属性情報送信部
63 ユーザ属性情報記憶部
【特許請求の範囲】
【請求項1】
情報処理装置を利用するユーザが属するグループのグループ属性情報を記憶するグループ属性情報記憶手段と、
前記グループの前記情報処理装置の利用権限に関するグループ利用権限情報を記憶するグループ利用権限情報記憶手段と、
前記グループに属する一時ユーザに関する一時ユーザ情報を記憶する一時ユーザ情報記憶手段と、
利用要求されたユーザに関するユーザ情報を前記情報処理装置から受信した場合に、前記一時ユーザ情報に基づいて、前記ユーザが前記一時ユーザであるか否かを照合する一時ユーザ照合手段と、
前記ユーザが前記一時ユーザである場合、前記ユーザ情報と前記一時ユーザ情報とに基づいて前記一時ユーザの属するグループを特定する一時ユーザ所属グループ特定手段と、
前記ユーザが前記一時ユーザでない場合、外部サーバに対して前記ユーザのユーザ属性情報を取得する取得手段と、
前記取得手段により取得したユーザ属性情報と前記グループ属性情報とに基づいて前記ユーザが属するグループを特定するユーザ所属グループ特定手段と、
前記一時ユーザ所属グループ特定手段または前記ユーザ所属グループ特定手段により特定したグループに対応するグループ利用権限情報を前記情報処理装置に送信する送信手段と、
を備えたことを特徴とする権限認証装置。
【請求項2】
利用要求されたユーザが前記一時ユーザでなく、かつ、当該ユーザのユーザ属性情報を外部サーバから取得できない場合は、前記送信手段は、前記情報処理装置の利用権限がないことを示す情報を前記情報処理装置に送信することを特徴とする請求項1に記載の権限認証装置。
【請求項3】
情報処理装置に関する情報を記憶する情報処理装置情報記憶手段と、
利用要求されたユーザに関するユーザ情報が送信された情報処理装置が前記情報処理装置情報記憶手段に記憶されている情報処理装置であるか否かを照合する情報処理装置照合手段と、
を備え、
利用要求が送信された前記情報処理装置が前記情報処理装置情報記憶手段に記憶されている場合は前記一時ユーザ照合手段により前記一時ユーザであるか否かを照合し、前記情報処理装置情報記憶手段に記憶されていない場合は前記送信手段により、前記情報処理装置が記憶されていないことを示す情報を前記情報処理装置に出力することを特徴とする請求項1または請求項2に記載の権限認証装置。
【請求項4】
外部サーバに関する情報を記憶する外部サーバ情報記憶手段を備え、
前記取得手段は、ユーザの属性情報を前記外部サーバ情報記憶手段に記憶されている外部サーバから取得することを特徴とする請求項1から請求項3のいずれか1項に記載の権限認証装置。
【請求項5】
利用要求されたユーザに関するユーザ情報を送信する情報処理装置と、
前記情報処理装置から送信されたユーザ情報に基づいて前記情報処理装置の利用権限について認証する前記請求項1から請求項4の何れか1項に記載の権限認証装置と、
前記権限認証装置から要求された場合に、前記ユーザに関するユーザ属性情報を送信する外部サーバと、
を備えたことを特徴とする権限認証システム。
【請求項6】
グループ属性情報記憶手段に情報処理装置を利用するユーザが属するグループのグループ属性情報を記憶するステップと、
グループ利用権限情報記憶手段に前記グループの前記情報処理装置の利用権限に関するグループ利用権限情報を記憶するステップと、
一時ユーザ情報記憶手段に前記グループに属する一時ユーザに関する一時ユーザ情報を記憶するステップと、
利用要求されたユーザに関するユーザ情報を前記情報処理装置から受信した場合に、前記一時ユーザ情報に基づいて、前記ユーザが前記一時ユーザであるか否かを照合する一時ユーザ照合ステップと、
前記ユーザが前記一時ユーザである場合、前記ユーザ情報と前記一時ユーザ情報とに基づいて前記一時ユーザの属するグループを特定する一時ユーザ所属グループ特定ステップと、
前記ユーザが前記一時ユーザでない場合、外部サーバに対して前記ユーザのユーザ属性情報を取得する取得ステップと、
前記取得手段により取得したユーザ属性情報と前記グループ属性情報とに基づいて前記ユーザが属するグループを特定するユーザ所属グループ特定ステップと、
前記一時ユーザ所属グループ特定ステップまたは前記ユーザ所属グループ特定ステップにより特定したグループに対応するグループ利用権限情報を前記情報処理装置に送信する送信ステップと、
を有する処理をコンピュータに実行させることを特徴とする権限認証プログラム。
【請求項1】
情報処理装置を利用するユーザが属するグループのグループ属性情報を記憶するグループ属性情報記憶手段と、
前記グループの前記情報処理装置の利用権限に関するグループ利用権限情報を記憶するグループ利用権限情報記憶手段と、
前記グループに属する一時ユーザに関する一時ユーザ情報を記憶する一時ユーザ情報記憶手段と、
利用要求されたユーザに関するユーザ情報を前記情報処理装置から受信した場合に、前記一時ユーザ情報に基づいて、前記ユーザが前記一時ユーザであるか否かを照合する一時ユーザ照合手段と、
前記ユーザが前記一時ユーザである場合、前記ユーザ情報と前記一時ユーザ情報とに基づいて前記一時ユーザの属するグループを特定する一時ユーザ所属グループ特定手段と、
前記ユーザが前記一時ユーザでない場合、外部サーバに対して前記ユーザのユーザ属性情報を取得する取得手段と、
前記取得手段により取得したユーザ属性情報と前記グループ属性情報とに基づいて前記ユーザが属するグループを特定するユーザ所属グループ特定手段と、
前記一時ユーザ所属グループ特定手段または前記ユーザ所属グループ特定手段により特定したグループに対応するグループ利用権限情報を前記情報処理装置に送信する送信手段と、
を備えたことを特徴とする権限認証装置。
【請求項2】
利用要求されたユーザが前記一時ユーザでなく、かつ、当該ユーザのユーザ属性情報を外部サーバから取得できない場合は、前記送信手段は、前記情報処理装置の利用権限がないことを示す情報を前記情報処理装置に送信することを特徴とする請求項1に記載の権限認証装置。
【請求項3】
情報処理装置に関する情報を記憶する情報処理装置情報記憶手段と、
利用要求されたユーザに関するユーザ情報が送信された情報処理装置が前記情報処理装置情報記憶手段に記憶されている情報処理装置であるか否かを照合する情報処理装置照合手段と、
を備え、
利用要求が送信された前記情報処理装置が前記情報処理装置情報記憶手段に記憶されている場合は前記一時ユーザ照合手段により前記一時ユーザであるか否かを照合し、前記情報処理装置情報記憶手段に記憶されていない場合は前記送信手段により、前記情報処理装置が記憶されていないことを示す情報を前記情報処理装置に出力することを特徴とする請求項1または請求項2に記載の権限認証装置。
【請求項4】
外部サーバに関する情報を記憶する外部サーバ情報記憶手段を備え、
前記取得手段は、ユーザの属性情報を前記外部サーバ情報記憶手段に記憶されている外部サーバから取得することを特徴とする請求項1から請求項3のいずれか1項に記載の権限認証装置。
【請求項5】
利用要求されたユーザに関するユーザ情報を送信する情報処理装置と、
前記情報処理装置から送信されたユーザ情報に基づいて前記情報処理装置の利用権限について認証する前記請求項1から請求項4の何れか1項に記載の権限認証装置と、
前記権限認証装置から要求された場合に、前記ユーザに関するユーザ属性情報を送信する外部サーバと、
を備えたことを特徴とする権限認証システム。
【請求項6】
グループ属性情報記憶手段に情報処理装置を利用するユーザが属するグループのグループ属性情報を記憶するステップと、
グループ利用権限情報記憶手段に前記グループの前記情報処理装置の利用権限に関するグループ利用権限情報を記憶するステップと、
一時ユーザ情報記憶手段に前記グループに属する一時ユーザに関する一時ユーザ情報を記憶するステップと、
利用要求されたユーザに関するユーザ情報を前記情報処理装置から受信した場合に、前記一時ユーザ情報に基づいて、前記ユーザが前記一時ユーザであるか否かを照合する一時ユーザ照合ステップと、
前記ユーザが前記一時ユーザである場合、前記ユーザ情報と前記一時ユーザ情報とに基づいて前記一時ユーザの属するグループを特定する一時ユーザ所属グループ特定ステップと、
前記ユーザが前記一時ユーザでない場合、外部サーバに対して前記ユーザのユーザ属性情報を取得する取得ステップと、
前記取得手段により取得したユーザ属性情報と前記グループ属性情報とに基づいて前記ユーザが属するグループを特定するユーザ所属グループ特定ステップと、
前記一時ユーザ所属グループ特定ステップまたは前記ユーザ所属グループ特定ステップにより特定したグループに対応するグループ利用権限情報を前記情報処理装置に送信する送信ステップと、
を有する処理をコンピュータに実行させることを特徴とする権限認証プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【公開番号】特開2009−176028(P2009−176028A)
【公開日】平成21年8月6日(2009.8.6)
【国際特許分類】
【出願番号】特願2008−13796(P2008−13796)
【出願日】平成20年1月24日(2008.1.24)
【出願人】(000005496)富士ゼロックス株式会社 (21,908)
【Fターム(参考)】
【公開日】平成21年8月6日(2009.8.6)
【国際特許分類】
【出願日】平成20年1月24日(2008.1.24)
【出願人】(000005496)富士ゼロックス株式会社 (21,908)
【Fターム(参考)】
[ Back to top ]