疑似シングルサインオン装置並びにこれを用いた画像形成装置及び画像形成システム
【課題】簡単な構成でシングルサインオンを疑似的に実現する。
【解決手段】クラウドサービス認証用URLテーブル及び認証情報テーブルをデータベース60に備えておき、認証要否判定部58において、クラウドサービスからのリスポンスメッセージに含まれているリダイレクト先URLが、該URLテーブル内のURLのいずれかに一致すると判定した場合、該リスポンスメッセージのパケットに含まれる宛先IPアドレスに係るユーザのクラウドサービス認証用ユーザID及びパスワードを該認証情報テーブルから読み出し、該リダイレクト先URLに送信してサインオン処理する。
【解決手段】クラウドサービス認証用URLテーブル及び認証情報テーブルをデータベース60に備えておき、認証要否判定部58において、クラウドサービスからのリスポンスメッセージに含まれているリダイレクト先URLが、該URLテーブル内のURLのいずれかに一致すると判定した場合、該リスポンスメッセージのパケットに含まれる宛先IPアドレスに係るユーザのクラウドサービス認証用ユーザID及びパスワードを該認証情報テーブルから読み出し、該リダイレクト先URLに送信してサインオン処理する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、複数の認証用URLのそれぞれについて擬似的にシングルサインオン処理を行う疑似シングルサインオン装置並びにこれを用いた画像形成装置及び画像形成システムに関する。
【背景技術】
【0002】
クラウド毎にサービスの形態や料金が異なるので、ユーザは複数のクラウドサービスを利用する場合がある。この場合、ユーザはそれぞれのクラウドサービスに対し認証を受けなければならないので、煩雑であり、また、煩雑さを緩和するために同一パスワードを使用するとセキュリティが低下する。
【0003】
この煩雑さを避けるため、特定の認証を受ければ他の認証を省略できるようにするシングルサインオンのシステムが用いられている。
【0004】
しかし、シングルサインオンを実現するには、下記特許文献に開示されているように、クラウドサービスを提供する複数のサーバと連携するリバース・プロキシ型やエージェント・モジュール型などの認証サーバが必要になり、構成が複雑になる。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2003−273868号公報
【特許文献2】特開2005−62556号公報
【特許文献2】特開2008−186201号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明の目的は、このような問題点に鑑み、簡単な構成でシングルサインオンを疑似的に実現可能な疑似シングルサインオン装置並びにこれを用いた画像形成装置及び画像形成システムを提供することにある。
【課題を解決するための手段】
【0007】
本発明の第1態様では、自装置に関する各ユーザのユーザIDとパスワードとが対応して格納された内部認証情報記憶手段と、該内部認証情報記憶手段の記憶内容に基づいて該自装置へのサインオン処理を行う内部ユーザ認証手段とを備えた疑似シングルサインオン装置において、
複数の外部認証用URLのそれぞれについて、該自装置に関するユーザの外部認証用ユーザID及びパスワードとユーザ端末のアドレスとが対応して格納された外部認証情報記憶手段と、
サーバからのリスポンスメッセージに含まれているリダイレクト先URLが、該格納された外部認証用URLのいずれかに一致すると判定した場合、該リスポンスメッセージのパケットに含まれる宛先アドレスに対応したユーザ端末のアドレスに係るユーザの外部認証用ユーザID及びパスワードを該外部認証情報記憶手段から読み出し、該リダイレクト先URLに送信してサインオン処理する疑似シングルサインオン手段と、
を有する。
【0008】
本発明による疑似シングルサインオン装置の第2態様では、第1態様において、該疑似シングルサインオン手段は、
サーバからのリスポンスメッセージに、未認証であることを示す情報が含まれている場合に、該リスポンスメッセージに含まれているリダイレクト先URLが、該格納された外部認証用URLのいずれかに一致するか否かを判定する認証要否判定手段と、
該認証要否判定手段が肯定判定した場合に、該リスポンスメッセージのパケットに含まれる宛先アドレスに対応したユーザ端末のアドレスに係るユーザの外部認証用ユーザID及びパスワードを該外部認証情報記憶手段から読み出し、該リダイレクト先URLに送信してサインオン処理する外部認証代行部と、
を有する。
【発明の効果】
【0009】
上記第1態様の構成によれば、外部認証情報記憶手段に、複数の外部認証用URLのそれぞれについて、該自装置に関するユーザの外部認証用ユーザID及びパスワードとユーザ端末のアドレスとを対応させて格納させておき、疑似シングルサインオン手段において、サーバからのリスポンスメッセージに含まれているリダイレクト先URLが、該格納された外部認証用URLのいずれかに一致すると判定した場合、該リスポンスメッセージのパケットに含まれる宛先アドレスに対応したユーザ端末のアドレスに係るユーザの外部認証用ユーザID及びパスワードを該外部認証情報記憶手段から読み出し、該リダイレクト先URLに送信してサインオン処理すればよいので、複数のサーバと連携するリバース・プロキシ型やエージェント・モジュール型などの認証サーバを備える必要がなく、構成が簡単になるという効果を奏する。
【0010】
また、サーバ毎に異なる複雑なパスワードを用いることが可能となるので、セキュリティが向上するという効果を奏する。
【0011】
さらに、これらパスワードを各ユーザが記録しておく必要がないので、パスワード管理が簡単になるとともにセキュリティが向上するという効果を奏する。
【0012】
上記第2態様の構成によれば、サーバからのリスポンスメッセージに、未認証であることを示す情報が含まれていなければ、認証に関しさらなる処理を行う必要がないので、ソフトウェア構成が簡単になるという効果を奏する。
【0013】
本発明の他の目的、特徴的な構成及び効果は、以下の説明を特許請求の範囲及び図面の記載と関係づけて読むことにより明らかになる。
【図面の簡単な説明】
【0014】
【図1】本発明の実施例1に係る、複数のクラウドサービスを利用する画像形成システムの概略構成図である。
【図2】図1中の画像形成装置のハードウェア構成を示す概略ブロック図である。
【図3】主に画像形成装置のソフトウェア構成を示す概略ブロック図である。
【図4】(A)及び(B)はそれぞれ図3中の認証情報データベース60を構成するクラウドサービス認証用URLテーブル及びクラウドサービス認証代行部の概略構成図である。
【図5】図3中の認証要否判定部及びクラウドサービス認証代行部での処理手順を示す概略フローチャートである。
【図6】図5中のステップS2での処理手順を示す概略フローチャートである。
【図7】本発明の実施例2に係る、クラウドサービスを利用する画像形成システムの概略構成図である。
【実施例1】
【0015】
図1は、本発明の実施例1に係る、複数のクラウドサービスを利用する画像形成システムの概略構成図である。
【0016】
このシステムでは、イントラネット10に画像形成装置11と、ユーザ端末としてのパーソナルコンピュータ(PC)12とが結合され、このイントラネット10がルータ(不図示)を介してインターネット20に結合されている。インターネット20には、複数のクラウド21〜23が結合され、それぞれクラウドサービス31〜33をユーザに対し提供可能となっている。ユーザは、PC12からイントラネット10を介して画像形成装置11のコピー、プリント及びファクシミリなどの基本的なサービスを利用できるとともに、画像形成装置11に備えられた拡張アプリケーションを介してクラウドサービス31〜33を利用可能となっている。図2では、簡単化の為に、複数のユーザ端末を1つのPC12で代表している。
【0017】
図2は、画像形成装置11のハードウェア構成を示す概略ブロック図である。
【0018】
画像形成装置11では、CPU41がインターフェイス42を介してPROM43、DRAM44、ハードディスクドライブ45、ネットワークインターフェイス46、操作パネル47、スキャナ48、プリンタ49及びファックスモデム4Aに結合されている。図2では、簡単化の為に、複数種のインターフェイスを1つのブロック42で表している。
【0019】
PROM43は、例えばフラッシュメモリであり、BIOS(Basic Input/Output System)、OS(Operating System)、各種ドライバ、及び、画像形成装置として機能させるための基本アプリケーションが格納されている。DRAM44は、主記憶装置として用いられる。ハードディスクドライブ45には、印刷用データ、スキャナ48で読み取った画像データ及びファクシミリ受信データが保存され、さらに、上記拡張アプリケーションが格納される。ネットワークインターフェイス46は、イントラネット10に結合されている。操作パネル47は、入力部及び表示部を供えている。スキャナ48は、画像ファイル生成のために用いられ、このファイルは印刷、ファクシミリ送信又はファイル送信のために用いられる。プリンタ49は、プリントエンジン並びに用紙の給紙部、搬送部及び排紙部を備え、DRAM44に生成されたビットマップデータが供給され、このデータに基づいて感光ドラムに静電潜像を形成し、この像をトナーで現像し、トナー像を用紙に転写し定着させ、排紙する。
【0020】
図3は、主に画像形成装置11のソフトウェア構成を示す概略ブロック図である。
【0021】
プラットフォーム51は、画像形成装置11のハードウェア11Hを制御したり電源等を管理したりするOSと、OS上の標準ライブラリと、OS上のJava(登録商標)仮想マシンなどの実行環境とを備えている。基本アプリケーション52は、API53を介してプラットフォーム51の機能を利用するコピー、プリント及びファクシミリなどのアプリケーションを備えている。拡張アプリケーション54は、サードベンダーやユーザにより作成されるものであり、API55を介し基本アプリケーション52を用い、API53を介しプラットフォーム51の機能を用い、又はサービスプロキシ56及び通信部57を介しクラウドサービス31〜33を用いて作成される。
【0022】
サービスプロキシ56は、クラウドサービス31〜33に対するプロキシクラスであり、それぞれのWSDLファイルに基づきWSDLツール(プログラム)を用いて作成され、拡張アプリケーション54から見てクラウドサービス31〜33を内部メソッドと同様に取り扱えるようにするためのものである。サービスプロキシ56には、クラウドサービス31〜33のそれぞれについて、サービスメソッド呼び出しAPIが含まれており、該APIには認証用APIも含まれている。
【0023】
通信部57は、図2のネットワークインターフェイス46と、プラットフォーム51のOSに含まれるTCP/IPプロトコル処理部と、プラットフォーム51の上記標準ライブラリに含まれるXMLシリアライザ及びXMLデシリアイザとを用いて構成される。
【0024】
認証要否判定部58は、クラウドサービス利用開始前の認証要否を、パケットの内容と、データベース管理システム(DBMS)59を介し認証情報データベース60から読み出されたクラウドサービス認証用URLテーブル61の内容とに基づいて、認証の要否を判定するものである。
【0025】
より具体的には、クラウドサービス31〜33のそれぞれと通信部57との間は、例えばSOAP over HTTPプロトコルが用いられ、認証要否判定部58は、そのHTTP応答メッセージのリスポンス行(先頭の行)のステータス番号に基づき、認証要否を判定する。
【0026】
図4(A)は、クラウドサービス認証用URLテーブル61の具体例であり、クラウドサービス31〜33に対する認証用URLとURL識別ナンバーNoとが対応付けられている。クラウドサービス認証用URLテーブル61は、予め手動(コンピュータとの対話で)作成されている。
【0027】
図5は、認証要否判定部58及び認証代行部62での処理を示す概略フローチャートである。認証要否判定部58での処理は、通信部57がパケットを受信する毎に行われる。以下括弧内は図中のステップ識別符号である。
【0028】
(S0)この受信パケットに、HTTP応答メッセージのリスポンス行が含まれ、且つ、この行のステータス番号が401であれば、認証要と判定する。認証要と判定した場合にはステップS1へ進み、そうでなければ図5の処理を終了する。
【0029】
(S1)HTTPヘッダ内のLocationの値をリダイレクトURLとして取得し、これがクラウドサービス認証用URLテーブル61内のURL0〜URL2の何れかと一致するか否かを判定し、一致すれば、ステップS2へ進み、そうでなければ図5の処理を終了する。
【0030】
(S2)対応するURL識別ナンバーNoの値を決定する。
【0031】
(S3)受信パケットに含まれる宛先IPアドレスIPA(グローバルIPアドレスとポート番号との組が上記ルータで変換されたプライベートIPアドレス)を取得する。通信部57は、このURLに対しHTTPリクエストを行う。
【0032】
ここで、認証情報データベース60にはさらに図4(B)に示すような認証情報テーブル63が格納されている。
【0033】
認証情報テーブル63には、各ユーザについて、画像形成装置11を利用するための認証用ID及びパスワードがそれぞれ内部UID及び内部PWとして格納されている。認証情報テーブル63にはまた、各ユーザについて、イントラネット10内でPC12に割り当てられたプライベートIPアドレスが宛先IPアドレスIPAとして格納されている。認証情報テーブル63にはさらに、各ユーザについて、クラウドサービス31を利用するためのユーザID及びパスワードがそれぞれUID1及びPW1として格納され、クラウドサービス32を利用するためのユーザID及びパスワードがそれぞれUID2及びPW2として格納され、クラウドサービス33を利用するためのユーザID及びパスワードがそれぞれUID3及びPW3として格納されている。
【0034】
認証情報テーブル63中の”NULL”は、認証情報が存在せず、対応するクラウドサービスを該当行のユーザが利用できないことを示している。この認証情報テーブル63は、予め手動作成されている。なお、内部認証部64により認証情報テーブル63内のユーザID(UID)及びパスワード(PW)が参照されて、画像形成装置11に対するユーザ認証処理が行われ、この処理が行われたユーザが既に存在すると仮定している。
【0035】
(S4)認証要否判定部58は、上記リダイレクトURL、URL識別ナンバーNo及び宛先IPアドレスIPAの値であるURLi、i及びipai(本実施例1ではiは1〜3のいずれか)をクラウドサービス認証代行部62に引き渡して、認証代行部62に制御を移す。認証代行部62はこれに応答して、データベース管理システム59を介し、IPA=ipai及びNo=iをキーとして認証情報データベース60内の認証情報テーブル63から対応するユーザ識別子UIDi及びパスワードPWiを読み出し、リダイレクト先URLiから受信したSOAPリスポンスメッセージに対し認証代行処理を行う。
【0036】
図6は、クラウドサービス認証代行部62によるステップS2での処理を示す概略フローチャートである。
【0037】
(S10)認証代行部62は、認証要否判定部58から受け取った上記IPアドレスをキーとして認証情報テーブル63を検索する。
【0038】
(S11)検索がヒットした場合にはステップS12へ進み、そうでなければ図6の処理を終了する。
【0039】
(S12)ヒットした行の上記URL識別ナンバーNoに対応したユーザ識別子UIDi及びパスワードPWiを読み出し、それらがNULLでなければステップS13へ進み、NULLであれば図6の処理を終了する。
【0040】
(S13)ユーザ識別子UIDi及びパスワードPWiを用いて、上記SOAP応答メッセージに対する認証処理を代行し、図6の処理を終了する。
【0041】
認証結果に対する処理及び認証後の処理は、拡張アプリケーション54でサービスプロキシ56を介して行われる。
【0042】
本実施例1によれば、図4に示すようなクラウドサービス認証用URLテーブル61及び認証情報テーブル63を認証情報データベース60に備えておき、認証要否判定部58において、クラウドサービス31〜33(サーバ)からのリスポンスメッセージに含まれているリダイレクト先URLが、URLテーブル61内のURLのいずれかに一致すると判定した場合、該リスポンスメッセージのパケットに含まれる宛先アドレスであるPC12のIPアドレスに係るユーザのクラウドサービス認証用ユーザID及びパスワードを認証情報テーブル63から読み出し、該リダイレクト先URLに送信してサインオン処理すればよいので、複数のサーバと連携するリバース・プロキシ型やエージェント・モジュール型などの認証サーバを備える必要がなく、構成が簡単になるという効果を奏する。
【0043】
また、クラウドサービス31〜33毎に異なる複雑なパスワードを用いることが可能となるので、セキュリティが向上するという効果を奏する。
【0044】
さらに、これらパスワードを各ユーザが記録しておく必要がないので、パスワード管理が簡単になるとともにセキュリティが向上するという効果を奏する。
【0045】
また、認証要否判定部58において、クラウドサービス31〜33からのリスポンスメッセージに、未認証であることを示すステータス番号が含まれていないと判定した場合には、認証に関しさらなる処理を行う必要がないので、ソフトウェア構成が簡単になるという効果を奏する。
【実施例2】
【0046】
図7は、本発明の実施例2に係る、複数のクラウドサービスを利用する画像形成システムの概略構成図である。
【0047】
この実施例2では、イントラネット10とインターネット20との間にエージェント70が結合され、このエージェント70に図3の認証要否判定部58、データベース管理システム59、認証情報データベース60及びクラウドサービス認証代行部62が備えられている。
【0048】
エージェント70は例えば、プロキシサーバを用いて構成される。イントラネット10にはまた、サーバ71が結合されている。サーバ71はファイルサーバとしての機能を有し、拡張アプリケーション54を開発するためのSDKがサーバ71の記憶装置にに格納され、PC12で拡張アプリケーション54を開発する際にこのSDKをサーバ71からダウンロードして用いる。クラウドサービス31〜33は拡張アプリケーション54の開発段階でも用いられ、したがって、この段階においても、認証要否判定部58及びクラウドサービス認証代行部62での処理が行われる。
【0049】
他の点は実施例1と同一である。
【0050】
以上において、本発明の好適な実施例を説明したが、本発明には他にも種々の変形例が含まれ、上記複数の実施例で述べた構成要素の他の組み合わせ、各構成要素の機能を実現する他の構成を用いたもの、当業者であればこれらの構成又は機能から想到するであろう他の構成も、本発明に含まれる。
【0051】
例えば、認証要否判定部58は図5のステップS0の処理を省略した構成であってもよい。また、クラウドサービス31〜33と通信部57との間のプロトコルは、SOAPに限定されず、REST(Representational State Transfer) やXML−RPC(リモートプロシージャコール)などのプロトコルであってもよい。
【符号の説明】
【0052】
10 イントラネット
11 画像形成装置
11H ハードウェア
12 PC
20 インターネット
21〜23 クラウド
31〜33 クラウドサービス
41 CPU
42 インターフェイス
43 PROM
44 DRAM
45 ハードディスクドライブ
46 ネットワークインターフェイス
47 操作パネル
48 スキャナ
49 プリンタ
4A ファックスモデム
51 プラットフォーム
52 基本アプリケーション
53、55 API
54 拡張アプリケーション
56 サービスプロキシ
57 通信部
58 認証要否判定部
59 データベース管理システム
60 認証情報データベース
61 クラウドサービス認証用URLテーブル
62 クラウドサービス認証代行部
63 認証情報テーブル
64 内部認証部
70 エージェント
71 サーバ
No URL識別ナンバー
UIDi、UID1〜UID3 ユーザ識別子
PWi、PW1〜PW3 パスワード
【技術分野】
【0001】
本発明は、複数の認証用URLのそれぞれについて擬似的にシングルサインオン処理を行う疑似シングルサインオン装置並びにこれを用いた画像形成装置及び画像形成システムに関する。
【背景技術】
【0002】
クラウド毎にサービスの形態や料金が異なるので、ユーザは複数のクラウドサービスを利用する場合がある。この場合、ユーザはそれぞれのクラウドサービスに対し認証を受けなければならないので、煩雑であり、また、煩雑さを緩和するために同一パスワードを使用するとセキュリティが低下する。
【0003】
この煩雑さを避けるため、特定の認証を受ければ他の認証を省略できるようにするシングルサインオンのシステムが用いられている。
【0004】
しかし、シングルサインオンを実現するには、下記特許文献に開示されているように、クラウドサービスを提供する複数のサーバと連携するリバース・プロキシ型やエージェント・モジュール型などの認証サーバが必要になり、構成が複雑になる。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2003−273868号公報
【特許文献2】特開2005−62556号公報
【特許文献2】特開2008−186201号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明の目的は、このような問題点に鑑み、簡単な構成でシングルサインオンを疑似的に実現可能な疑似シングルサインオン装置並びにこれを用いた画像形成装置及び画像形成システムを提供することにある。
【課題を解決するための手段】
【0007】
本発明の第1態様では、自装置に関する各ユーザのユーザIDとパスワードとが対応して格納された内部認証情報記憶手段と、該内部認証情報記憶手段の記憶内容に基づいて該自装置へのサインオン処理を行う内部ユーザ認証手段とを備えた疑似シングルサインオン装置において、
複数の外部認証用URLのそれぞれについて、該自装置に関するユーザの外部認証用ユーザID及びパスワードとユーザ端末のアドレスとが対応して格納された外部認証情報記憶手段と、
サーバからのリスポンスメッセージに含まれているリダイレクト先URLが、該格納された外部認証用URLのいずれかに一致すると判定した場合、該リスポンスメッセージのパケットに含まれる宛先アドレスに対応したユーザ端末のアドレスに係るユーザの外部認証用ユーザID及びパスワードを該外部認証情報記憶手段から読み出し、該リダイレクト先URLに送信してサインオン処理する疑似シングルサインオン手段と、
を有する。
【0008】
本発明による疑似シングルサインオン装置の第2態様では、第1態様において、該疑似シングルサインオン手段は、
サーバからのリスポンスメッセージに、未認証であることを示す情報が含まれている場合に、該リスポンスメッセージに含まれているリダイレクト先URLが、該格納された外部認証用URLのいずれかに一致するか否かを判定する認証要否判定手段と、
該認証要否判定手段が肯定判定した場合に、該リスポンスメッセージのパケットに含まれる宛先アドレスに対応したユーザ端末のアドレスに係るユーザの外部認証用ユーザID及びパスワードを該外部認証情報記憶手段から読み出し、該リダイレクト先URLに送信してサインオン処理する外部認証代行部と、
を有する。
【発明の効果】
【0009】
上記第1態様の構成によれば、外部認証情報記憶手段に、複数の外部認証用URLのそれぞれについて、該自装置に関するユーザの外部認証用ユーザID及びパスワードとユーザ端末のアドレスとを対応させて格納させておき、疑似シングルサインオン手段において、サーバからのリスポンスメッセージに含まれているリダイレクト先URLが、該格納された外部認証用URLのいずれかに一致すると判定した場合、該リスポンスメッセージのパケットに含まれる宛先アドレスに対応したユーザ端末のアドレスに係るユーザの外部認証用ユーザID及びパスワードを該外部認証情報記憶手段から読み出し、該リダイレクト先URLに送信してサインオン処理すればよいので、複数のサーバと連携するリバース・プロキシ型やエージェント・モジュール型などの認証サーバを備える必要がなく、構成が簡単になるという効果を奏する。
【0010】
また、サーバ毎に異なる複雑なパスワードを用いることが可能となるので、セキュリティが向上するという効果を奏する。
【0011】
さらに、これらパスワードを各ユーザが記録しておく必要がないので、パスワード管理が簡単になるとともにセキュリティが向上するという効果を奏する。
【0012】
上記第2態様の構成によれば、サーバからのリスポンスメッセージに、未認証であることを示す情報が含まれていなければ、認証に関しさらなる処理を行う必要がないので、ソフトウェア構成が簡単になるという効果を奏する。
【0013】
本発明の他の目的、特徴的な構成及び効果は、以下の説明を特許請求の範囲及び図面の記載と関係づけて読むことにより明らかになる。
【図面の簡単な説明】
【0014】
【図1】本発明の実施例1に係る、複数のクラウドサービスを利用する画像形成システムの概略構成図である。
【図2】図1中の画像形成装置のハードウェア構成を示す概略ブロック図である。
【図3】主に画像形成装置のソフトウェア構成を示す概略ブロック図である。
【図4】(A)及び(B)はそれぞれ図3中の認証情報データベース60を構成するクラウドサービス認証用URLテーブル及びクラウドサービス認証代行部の概略構成図である。
【図5】図3中の認証要否判定部及びクラウドサービス認証代行部での処理手順を示す概略フローチャートである。
【図6】図5中のステップS2での処理手順を示す概略フローチャートである。
【図7】本発明の実施例2に係る、クラウドサービスを利用する画像形成システムの概略構成図である。
【実施例1】
【0015】
図1は、本発明の実施例1に係る、複数のクラウドサービスを利用する画像形成システムの概略構成図である。
【0016】
このシステムでは、イントラネット10に画像形成装置11と、ユーザ端末としてのパーソナルコンピュータ(PC)12とが結合され、このイントラネット10がルータ(不図示)を介してインターネット20に結合されている。インターネット20には、複数のクラウド21〜23が結合され、それぞれクラウドサービス31〜33をユーザに対し提供可能となっている。ユーザは、PC12からイントラネット10を介して画像形成装置11のコピー、プリント及びファクシミリなどの基本的なサービスを利用できるとともに、画像形成装置11に備えられた拡張アプリケーションを介してクラウドサービス31〜33を利用可能となっている。図2では、簡単化の為に、複数のユーザ端末を1つのPC12で代表している。
【0017】
図2は、画像形成装置11のハードウェア構成を示す概略ブロック図である。
【0018】
画像形成装置11では、CPU41がインターフェイス42を介してPROM43、DRAM44、ハードディスクドライブ45、ネットワークインターフェイス46、操作パネル47、スキャナ48、プリンタ49及びファックスモデム4Aに結合されている。図2では、簡単化の為に、複数種のインターフェイスを1つのブロック42で表している。
【0019】
PROM43は、例えばフラッシュメモリであり、BIOS(Basic Input/Output System)、OS(Operating System)、各種ドライバ、及び、画像形成装置として機能させるための基本アプリケーションが格納されている。DRAM44は、主記憶装置として用いられる。ハードディスクドライブ45には、印刷用データ、スキャナ48で読み取った画像データ及びファクシミリ受信データが保存され、さらに、上記拡張アプリケーションが格納される。ネットワークインターフェイス46は、イントラネット10に結合されている。操作パネル47は、入力部及び表示部を供えている。スキャナ48は、画像ファイル生成のために用いられ、このファイルは印刷、ファクシミリ送信又はファイル送信のために用いられる。プリンタ49は、プリントエンジン並びに用紙の給紙部、搬送部及び排紙部を備え、DRAM44に生成されたビットマップデータが供給され、このデータに基づいて感光ドラムに静電潜像を形成し、この像をトナーで現像し、トナー像を用紙に転写し定着させ、排紙する。
【0020】
図3は、主に画像形成装置11のソフトウェア構成を示す概略ブロック図である。
【0021】
プラットフォーム51は、画像形成装置11のハードウェア11Hを制御したり電源等を管理したりするOSと、OS上の標準ライブラリと、OS上のJava(登録商標)仮想マシンなどの実行環境とを備えている。基本アプリケーション52は、API53を介してプラットフォーム51の機能を利用するコピー、プリント及びファクシミリなどのアプリケーションを備えている。拡張アプリケーション54は、サードベンダーやユーザにより作成されるものであり、API55を介し基本アプリケーション52を用い、API53を介しプラットフォーム51の機能を用い、又はサービスプロキシ56及び通信部57を介しクラウドサービス31〜33を用いて作成される。
【0022】
サービスプロキシ56は、クラウドサービス31〜33に対するプロキシクラスであり、それぞれのWSDLファイルに基づきWSDLツール(プログラム)を用いて作成され、拡張アプリケーション54から見てクラウドサービス31〜33を内部メソッドと同様に取り扱えるようにするためのものである。サービスプロキシ56には、クラウドサービス31〜33のそれぞれについて、サービスメソッド呼び出しAPIが含まれており、該APIには認証用APIも含まれている。
【0023】
通信部57は、図2のネットワークインターフェイス46と、プラットフォーム51のOSに含まれるTCP/IPプロトコル処理部と、プラットフォーム51の上記標準ライブラリに含まれるXMLシリアライザ及びXMLデシリアイザとを用いて構成される。
【0024】
認証要否判定部58は、クラウドサービス利用開始前の認証要否を、パケットの内容と、データベース管理システム(DBMS)59を介し認証情報データベース60から読み出されたクラウドサービス認証用URLテーブル61の内容とに基づいて、認証の要否を判定するものである。
【0025】
より具体的には、クラウドサービス31〜33のそれぞれと通信部57との間は、例えばSOAP over HTTPプロトコルが用いられ、認証要否判定部58は、そのHTTP応答メッセージのリスポンス行(先頭の行)のステータス番号に基づき、認証要否を判定する。
【0026】
図4(A)は、クラウドサービス認証用URLテーブル61の具体例であり、クラウドサービス31〜33に対する認証用URLとURL識別ナンバーNoとが対応付けられている。クラウドサービス認証用URLテーブル61は、予め手動(コンピュータとの対話で)作成されている。
【0027】
図5は、認証要否判定部58及び認証代行部62での処理を示す概略フローチャートである。認証要否判定部58での処理は、通信部57がパケットを受信する毎に行われる。以下括弧内は図中のステップ識別符号である。
【0028】
(S0)この受信パケットに、HTTP応答メッセージのリスポンス行が含まれ、且つ、この行のステータス番号が401であれば、認証要と判定する。認証要と判定した場合にはステップS1へ進み、そうでなければ図5の処理を終了する。
【0029】
(S1)HTTPヘッダ内のLocationの値をリダイレクトURLとして取得し、これがクラウドサービス認証用URLテーブル61内のURL0〜URL2の何れかと一致するか否かを判定し、一致すれば、ステップS2へ進み、そうでなければ図5の処理を終了する。
【0030】
(S2)対応するURL識別ナンバーNoの値を決定する。
【0031】
(S3)受信パケットに含まれる宛先IPアドレスIPA(グローバルIPアドレスとポート番号との組が上記ルータで変換されたプライベートIPアドレス)を取得する。通信部57は、このURLに対しHTTPリクエストを行う。
【0032】
ここで、認証情報データベース60にはさらに図4(B)に示すような認証情報テーブル63が格納されている。
【0033】
認証情報テーブル63には、各ユーザについて、画像形成装置11を利用するための認証用ID及びパスワードがそれぞれ内部UID及び内部PWとして格納されている。認証情報テーブル63にはまた、各ユーザについて、イントラネット10内でPC12に割り当てられたプライベートIPアドレスが宛先IPアドレスIPAとして格納されている。認証情報テーブル63にはさらに、各ユーザについて、クラウドサービス31を利用するためのユーザID及びパスワードがそれぞれUID1及びPW1として格納され、クラウドサービス32を利用するためのユーザID及びパスワードがそれぞれUID2及びPW2として格納され、クラウドサービス33を利用するためのユーザID及びパスワードがそれぞれUID3及びPW3として格納されている。
【0034】
認証情報テーブル63中の”NULL”は、認証情報が存在せず、対応するクラウドサービスを該当行のユーザが利用できないことを示している。この認証情報テーブル63は、予め手動作成されている。なお、内部認証部64により認証情報テーブル63内のユーザID(UID)及びパスワード(PW)が参照されて、画像形成装置11に対するユーザ認証処理が行われ、この処理が行われたユーザが既に存在すると仮定している。
【0035】
(S4)認証要否判定部58は、上記リダイレクトURL、URL識別ナンバーNo及び宛先IPアドレスIPAの値であるURLi、i及びipai(本実施例1ではiは1〜3のいずれか)をクラウドサービス認証代行部62に引き渡して、認証代行部62に制御を移す。認証代行部62はこれに応答して、データベース管理システム59を介し、IPA=ipai及びNo=iをキーとして認証情報データベース60内の認証情報テーブル63から対応するユーザ識別子UIDi及びパスワードPWiを読み出し、リダイレクト先URLiから受信したSOAPリスポンスメッセージに対し認証代行処理を行う。
【0036】
図6は、クラウドサービス認証代行部62によるステップS2での処理を示す概略フローチャートである。
【0037】
(S10)認証代行部62は、認証要否判定部58から受け取った上記IPアドレスをキーとして認証情報テーブル63を検索する。
【0038】
(S11)検索がヒットした場合にはステップS12へ進み、そうでなければ図6の処理を終了する。
【0039】
(S12)ヒットした行の上記URL識別ナンバーNoに対応したユーザ識別子UIDi及びパスワードPWiを読み出し、それらがNULLでなければステップS13へ進み、NULLであれば図6の処理を終了する。
【0040】
(S13)ユーザ識別子UIDi及びパスワードPWiを用いて、上記SOAP応答メッセージに対する認証処理を代行し、図6の処理を終了する。
【0041】
認証結果に対する処理及び認証後の処理は、拡張アプリケーション54でサービスプロキシ56を介して行われる。
【0042】
本実施例1によれば、図4に示すようなクラウドサービス認証用URLテーブル61及び認証情報テーブル63を認証情報データベース60に備えておき、認証要否判定部58において、クラウドサービス31〜33(サーバ)からのリスポンスメッセージに含まれているリダイレクト先URLが、URLテーブル61内のURLのいずれかに一致すると判定した場合、該リスポンスメッセージのパケットに含まれる宛先アドレスであるPC12のIPアドレスに係るユーザのクラウドサービス認証用ユーザID及びパスワードを認証情報テーブル63から読み出し、該リダイレクト先URLに送信してサインオン処理すればよいので、複数のサーバと連携するリバース・プロキシ型やエージェント・モジュール型などの認証サーバを備える必要がなく、構成が簡単になるという効果を奏する。
【0043】
また、クラウドサービス31〜33毎に異なる複雑なパスワードを用いることが可能となるので、セキュリティが向上するという効果を奏する。
【0044】
さらに、これらパスワードを各ユーザが記録しておく必要がないので、パスワード管理が簡単になるとともにセキュリティが向上するという効果を奏する。
【0045】
また、認証要否判定部58において、クラウドサービス31〜33からのリスポンスメッセージに、未認証であることを示すステータス番号が含まれていないと判定した場合には、認証に関しさらなる処理を行う必要がないので、ソフトウェア構成が簡単になるという効果を奏する。
【実施例2】
【0046】
図7は、本発明の実施例2に係る、複数のクラウドサービスを利用する画像形成システムの概略構成図である。
【0047】
この実施例2では、イントラネット10とインターネット20との間にエージェント70が結合され、このエージェント70に図3の認証要否判定部58、データベース管理システム59、認証情報データベース60及びクラウドサービス認証代行部62が備えられている。
【0048】
エージェント70は例えば、プロキシサーバを用いて構成される。イントラネット10にはまた、サーバ71が結合されている。サーバ71はファイルサーバとしての機能を有し、拡張アプリケーション54を開発するためのSDKがサーバ71の記憶装置にに格納され、PC12で拡張アプリケーション54を開発する際にこのSDKをサーバ71からダウンロードして用いる。クラウドサービス31〜33は拡張アプリケーション54の開発段階でも用いられ、したがって、この段階においても、認証要否判定部58及びクラウドサービス認証代行部62での処理が行われる。
【0049】
他の点は実施例1と同一である。
【0050】
以上において、本発明の好適な実施例を説明したが、本発明には他にも種々の変形例が含まれ、上記複数の実施例で述べた構成要素の他の組み合わせ、各構成要素の機能を実現する他の構成を用いたもの、当業者であればこれらの構成又は機能から想到するであろう他の構成も、本発明に含まれる。
【0051】
例えば、認証要否判定部58は図5のステップS0の処理を省略した構成であってもよい。また、クラウドサービス31〜33と通信部57との間のプロトコルは、SOAPに限定されず、REST(Representational State Transfer) やXML−RPC(リモートプロシージャコール)などのプロトコルであってもよい。
【符号の説明】
【0052】
10 イントラネット
11 画像形成装置
11H ハードウェア
12 PC
20 インターネット
21〜23 クラウド
31〜33 クラウドサービス
41 CPU
42 インターフェイス
43 PROM
44 DRAM
45 ハードディスクドライブ
46 ネットワークインターフェイス
47 操作パネル
48 スキャナ
49 プリンタ
4A ファックスモデム
51 プラットフォーム
52 基本アプリケーション
53、55 API
54 拡張アプリケーション
56 サービスプロキシ
57 通信部
58 認証要否判定部
59 データベース管理システム
60 認証情報データベース
61 クラウドサービス認証用URLテーブル
62 クラウドサービス認証代行部
63 認証情報テーブル
64 内部認証部
70 エージェント
71 サーバ
No URL識別ナンバー
UIDi、UID1〜UID3 ユーザ識別子
PWi、PW1〜PW3 パスワード
【特許請求の範囲】
【請求項1】
自装置に関する各ユーザのユーザIDとパスワードとが対応して格納された内部認証情報記憶手段と、該内部認証情報記憶手段の記憶内容に基づいて該自装置へのサインオン処理を行う内部ユーザ認証手段とを備えた疑似シングルサインオン装置において、
複数の外部認証用URLのそれぞれについて、該自装置に関するユーザの外部認証用ユーザID及びパスワードとユーザ端末のアドレスとが対応して格納された外部認証情報記憶手段と、
サーバからのリスポンスメッセージに含まれているリダイレクト先URLが、該格納された外部認証用URLのいずれかに一致すると判定した場合、該リスポンスメッセージのパケットに含まれる宛先アドレスに対応したユーザ端末のアドレスに係るユーザの外部認証用ユーザID及びパスワードを該外部認証情報記憶手段から読み出し、該リダイレクト先URLに送信してサインオン処理する疑似シングルサインオン手段と、
を有することを特徴とする疑似シングルサインオン装置。
【請求項2】
該疑似シングルサインオン手段は、
サーバからのリスポンスメッセージに、未認証であることを示す情報が含まれている場合に、該リスポンスメッセージに含まれているリダイレクト先URLが、該格納された外部認証用URLのいずれかに一致するか否かを判定する認証要否判定手段と、
該認証要否判定手段が肯定判定した場合に、該リスポンスメッセージのパケットに含まれる宛先アドレスに対応したユーザ端末のアドレスに係るユーザの外部認証用ユーザID及びパスワードを該外部認証情報記憶手段から読み出し、該リダイレクト先URLに送信してサインオン処理する外部認証代行部と、
を有することを特徴とする請求項1に記載の疑似シングルサインオン装置。
【請求項3】
該未認証であることを示す情報はHTTPリスポンスメッセージのリスポンス行に含まれるステータス番号であり、該リダイレクト先URLは該HTTPリスポンスメッセージのヘッダに含まれているLocationの値であり、
該ユーザ端末のアドレスはIPアドレス又はMACアドレスである、
ことを特徴とする請求項2に記載の疑似シングルサインオン装置。
【請求項4】
該複数の外部認証用URLは複数のクラウドサービスのそれぞれの認証用URLであることを特徴とする請求項3に記載の疑似シングルサインオン装置。
【請求項5】
請求項1乃至4のいずれか1つに記載の疑似シングルサインオン装置を備えていることを特徴とする画像形成装置。
【請求項6】
画像形成装置が結合されたイントラネットワークと、
該イントラネットワークとインターネットとの間に結合され、請求項1乃至4のいずれか1つに記載の疑似シングルサインオン装置を備えたエージェント装置と、
を有することを特徴とする画像形成システム。
【請求項1】
自装置に関する各ユーザのユーザIDとパスワードとが対応して格納された内部認証情報記憶手段と、該内部認証情報記憶手段の記憶内容に基づいて該自装置へのサインオン処理を行う内部ユーザ認証手段とを備えた疑似シングルサインオン装置において、
複数の外部認証用URLのそれぞれについて、該自装置に関するユーザの外部認証用ユーザID及びパスワードとユーザ端末のアドレスとが対応して格納された外部認証情報記憶手段と、
サーバからのリスポンスメッセージに含まれているリダイレクト先URLが、該格納された外部認証用URLのいずれかに一致すると判定した場合、該リスポンスメッセージのパケットに含まれる宛先アドレスに対応したユーザ端末のアドレスに係るユーザの外部認証用ユーザID及びパスワードを該外部認証情報記憶手段から読み出し、該リダイレクト先URLに送信してサインオン処理する疑似シングルサインオン手段と、
を有することを特徴とする疑似シングルサインオン装置。
【請求項2】
該疑似シングルサインオン手段は、
サーバからのリスポンスメッセージに、未認証であることを示す情報が含まれている場合に、該リスポンスメッセージに含まれているリダイレクト先URLが、該格納された外部認証用URLのいずれかに一致するか否かを判定する認証要否判定手段と、
該認証要否判定手段が肯定判定した場合に、該リスポンスメッセージのパケットに含まれる宛先アドレスに対応したユーザ端末のアドレスに係るユーザの外部認証用ユーザID及びパスワードを該外部認証情報記憶手段から読み出し、該リダイレクト先URLに送信してサインオン処理する外部認証代行部と、
を有することを特徴とする請求項1に記載の疑似シングルサインオン装置。
【請求項3】
該未認証であることを示す情報はHTTPリスポンスメッセージのリスポンス行に含まれるステータス番号であり、該リダイレクト先URLは該HTTPリスポンスメッセージのヘッダに含まれているLocationの値であり、
該ユーザ端末のアドレスはIPアドレス又はMACアドレスである、
ことを特徴とする請求項2に記載の疑似シングルサインオン装置。
【請求項4】
該複数の外部認証用URLは複数のクラウドサービスのそれぞれの認証用URLであることを特徴とする請求項3に記載の疑似シングルサインオン装置。
【請求項5】
請求項1乃至4のいずれか1つに記載の疑似シングルサインオン装置を備えていることを特徴とする画像形成装置。
【請求項6】
画像形成装置が結合されたイントラネットワークと、
該イントラネットワークとインターネットとの間に結合され、請求項1乃至4のいずれか1つに記載の疑似シングルサインオン装置を備えたエージェント装置と、
を有することを特徴とする画像形成システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2013−97744(P2013−97744A)
【公開日】平成25年5月20日(2013.5.20)
【国際特許分類】
【出願番号】特願2011−242936(P2011−242936)
【出願日】平成23年11月5日(2011.11.5)
【出願人】(000006150)京セラドキュメントソリューションズ株式会社 (13,173)
【Fターム(参考)】
【公開日】平成25年5月20日(2013.5.20)
【国際特許分類】
【出願日】平成23年11月5日(2011.11.5)
【出願人】(000006150)京セラドキュメントソリューションズ株式会社 (13,173)
【Fターム(参考)】
[ Back to top ]