認証システム、画像形成装置、ユーザ管理装置とその処理方法及びプログラム
【課題】画像形成装置のグループを設定し、設定されたグループを、ユーザが利用可能なグループとしてユーザ情報に設定することで、認証に応じた画像形成装置の利用を制限し、セキュリティの高い仕組みを提供する。
【解決手段】複合機は、ユーザ認証するための第2の識別情報を取得し、取得した第2の識別情報と、当該複合機の第2のアドレスとを含む認証要求を送信し、認証要求に従って、認証結果を受信し、認証結果に従ってログインする。ICカード認証サーバは第1のアドレスを含むデバイス制限情報とユーザ認証するための第1の識別情報を含むユーザ情報とを管理し、受信した認証要求に従って、認証要求のあった複合機がユーザが利用可能な複合機かを判定し、複合機が利用可能であると判定される場合に、認証成功結果を送信し、複合機が利用可能でないと判定される場合に、認証失敗結果を送信する。
【解決手段】複合機は、ユーザ認証するための第2の識別情報を取得し、取得した第2の識別情報と、当該複合機の第2のアドレスとを含む認証要求を送信し、認証要求に従って、認証結果を受信し、認証結果に従ってログインする。ICカード認証サーバは第1のアドレスを含むデバイス制限情報とユーザ認証するための第1の識別情報を含むユーザ情報とを管理し、受信した認証要求に従って、認証要求のあった複合機がユーザが利用可能な複合機かを判定し、複合機が利用可能であると判定される場合に、認証成功結果を送信し、複合機が利用可能でないと判定される場合に、認証失敗結果を送信する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証処理を行う認証システム、画像形成装置、ユーザ管理装置に関するものである。
【背景技術】
【0002】
近年、複合機を使用する際に、使用者を限定する目的から例えばICカードを複合機のカードリーダにかざすことによって、ICカードからよみとられた認証情報について認証情報管理装置(ICカード認証サーバ)へ問い合わせを行い、認証情報が登録されていれば認証成功を複合機に応答し、複合機を使用可能とするシステムが既に存在する。
【0003】
この様なシステムではユーザに複合機で使用できる機能を制限したい場合がある。例えばユーザAはコピーのみ使用可能、ユーザBはコピーとFAXが使用可能など、ユーザ毎に機能を制限したい場合がある。
【0004】
このように、ユーザ単位で使用可能な機能を設定する、または複合機単位/複合機を纏めたグループ単位で使用可能な機能を設定するシステムが特許文献1に開示されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2007−286908号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
特許文献1のシステムでは、複合機で使用可能な機能をユーザ単位もしくは複合機単位/複合機を纏めたグループ単位で設定可能としている。
【0007】
しかし、この場合、新たに複合機を導入する毎に再度設定を行う必要がある為、管理者の作業負荷が大きいという課題があった。
【0008】
また、複合機を利用する際には、ICカードなどをかざすことでユーザ認証を行い、ユーザ認証された場合に複合機が利用できる仕組みが存在するが、一般的に、ユーザはどの複合機であれば自分が使えるのかといったことまで意識せず、自社に設置してある複合機を利用する。
【0009】
そのため、ユーザごとに使える複合機を設定しておくような仕組みを用いた運用がされている場合には、いつも利用している複合機以外の複合機を利用する際、ICカードをかざして認証を行った結果、認証は成功したが使えない複合機として設定されているため、ICカードをかざしたユーザが複合機を利用できないといったことが生じる。この場合、ユーザは利用できる複合機を探すか、いつも使っている複合機までいって複合機を利用しなければならず、不便であった。
【0010】
そこで、本発明の目的は、画像形成装置のグループを設定し、設定されたグループを、ユーザが利用可能なグループとしてユーザ情報に設定することで、認証に応じた画像形成装置の利用を制限し、セキュリティの高い仕組みを提供する。
【0011】
また、認証要求のあった画像形成装置が、ユーザが利用可能な画像形成装置のグループの画像形成装置でない場合の権限を設定することで、他の画像形成装置の利用を可能にするとともに、不要な利用を制限したセキュリティの高い仕組みを提供する。
【0012】
さらに、画像形成装置からユーザが利用可能なグループの画像形成装置を検索することができ、利便性の高い仕組みを提供する。
【0013】
画像形成装置のグループに従って、画像形成装置からの記憶媒体(例えばICカード)の登録の制御を行うことができ、不要な記憶媒体の登録を防ぐことができる。また、不要な記憶媒体の登録を防ぐことによってセキュリティの高い仕組みを提供する。
【課題を解決するための手段】
【0014】
本発明の目的を達成するために、画像形成装置と、ユーザが利用可能な画像形成装置を特定するための第1のアドレスを含むデバイス制限情報と、ユーザ認証するための第1の識別情報を含むユーザ情報とを管理するユーザ管理装置とを含む認証システムであって、前記画像形成装置は、ユーザ認証するための第2の識別情報を取得する識別情報取得手段と、前記識別情報取得手段で取得した第2の識別情報と、当該画像形成装置の第2のアドレスとを含む認証要求を送信する認証要求送信手段と、前記認証要求送信手段に従って、前記ユーザ管理装置から認証結果を受信する認証結果受信手段と、前記認証結果受信手段で受信した認証結果に従ってログインするログイン手段とを備え、前記ユーザ管理装置は、前記画像形成装置から前記認証要求を受信する認証要求受信手段と、前記認証要求受信手段で受信した認証要求に含まれる第2の識別情報と前記第1の識別情報によって特定されるユーザ情報に含まれる前記第1のアドレスと、認証要求に含まれる前記第2のアドレスとに従って、認証要求のあった前記画像形成装置が前記第2の識別情報に対応するユーザが利用可能な画像形成装置かであるか否かを判定する利用判定手段と、前記利用判定手段で、認証要求のあった前記画像形成装置が利用可能であると判定される場合に、認証成功を示す情報を含む認証結果を送信し、前記利用判定手段で、認証要求のあった前記画像形成装置が利用可能でないと判定される場合に、前記認証失敗を示す情報を含む認証結果を送信する認証結果送信手段とを備えることを特徴とする。
【0015】
また、前記ユーザ管理装置は、前記デバイス制限情報と、当該第1のアドレスに含まれる画像形成装置を利用する際の、画像形成装置の利用可能な機能を定義する第1の機能制限情報と、当該第1のアドレスに含まれない画像形成装置を利用する際の、画像形成装置の利用可能な機能を定義する第2の機能制限情報とを、前記第1の識別情報と対応付けて管理し、前記ユーザ認証するための第1の識別情報と前記デバイス制限情報を対応付ける第1のデバイス制限情報設定手段を更に備え、前記デバイス制限情報設定手段は、前記デバイス制限情報に含まれる第1のアドレスに含まれない画像形成装置を利用する際の第2の機能制限情報を設定することを特徴とする。
【0016】
また、前記画像形成装置は、前記認証結果受信手段で受信した認証結果に従って、前記第1の機能制限情報を用いてログイン可能な画像形成装置か否かを判定する判定手段と、前記判定手段で、前記第1の機能制限情報を用いてログイン可能な画像形成装置でないと判定される場合に、前記第2の機能制限情報を用いてログインすることを通知する通知手段とを更に備えることを特徴とする。
【0017】
また、前記認証結果は、前記第1の識別情報を含むユーザ情報を含み、前記通知手段は、前記第1の機能制限情報を用いてログイン可能な画像形成装置を検索するために、前記ユーザ情報を含む検索要求を送信する検索要求送信手段を更に備え、前記ユーザ管理装置は、前記画像形成装置から検索要求を受信する検索要求受信手段と、前記検索要求受信手段で受信した検索要求に含まれるユーザ情報に従って、前記デバイス制限情報を前記画像形成装置に送信するデバイス制限情報送信手段とを更に備えることを特徴とする。
【0018】
また、前記画像形成装置は、前記デバイス制限情報を表示するデバイス制限情報表示手段を更に備えることを特徴とする。
【0019】
また、前記画像形成装置は、前記第2の識別情報で当該画像形成装置にログイン可能にするべく、当該画像形成装置の第2のアドレス情報と前記第2の識別情報を含む登録要求を送信する登録要求送信手段を更に備え、前記ユーザ管理装置は、前記画像形成装置から前記登録要求を受信する登録要求受信手段と、
【0020】
前記登録要求の第2のアドレス情報に従って、前記デバイス制限情報を取得するデバイス制限情報取得手段と、前記取得したデバイス制限情報を、前記第2の識別情報と一致する第1の識別情報又は前記第2の識別情報と対応付ける第1のデバイス制限情報設定手段とを更に備えることを特徴とする。
【0021】
また、前記デバイス制限情報は、第1のアドレスに対応付いて記憶されるデバイスグループ名又はデバイス名であることを特徴とする。
【0022】
また、前記第1のアドレスは、IPアドレス又はネットワーク情報であり、前記第2のアドレスはIPアドレスであることを特徴とする。
【0023】
また、前記ユーザ管理装置は、前記画像形成装置に含まれることを特徴とする。
【発明の効果】
【0024】
画像形成装置のグループを設定し、設定されたグループを、ユーザが利用可能なグループとしてユーザ情報に設定することで、認証に応じた画像形成装置の利用を制限し、セキュリティを高めることができる。
【0025】
また、認証要求のあった画像形成装置が、ユーザが利用可能な画像形成装置のグループの画像形成装置でない場合の権限を設定することで、他の画像形成装置の利用を可能にするとともに、不要な利用を制限し、セキュリティを高めることができる。
【0026】
さらに、画像形成装置からユーザが利用可能なグループの画像形成装置を検索することができ、利便性の高めることができる。
【図面の簡単な説明】
【0027】
【図1】ICカード認証システムの構成の一例を示すシステム構成図
【図2】ICカード認証サーバ200、ディレクトリサービスサーバ300、クライアントPC700に適用可能な情報処理装置のハードウェア構成図
【図3】複合機100のハードウェア構成図
【図4】ICカード認証システムにおける複合機100とICカード認証サーバ200の機能ブロック図
【図5】ICカード認証用テーブルの構成を示す図
【図6】デバイス管理画面の一例を示す図
【図7】ユーザ情報編集画面の一例を示す図
【図8】機能制限確認画面800Aと検索結果表示画面800Bの一例を示す図
【図9】デバイスグループの登録処理を示すフローチャート
【図10】ICカードがカードリーダにかざされた場合の処理を示すフローチャート
【図11】認証処理を示すフローチャート
【図12】デバイスグループの検索処理を示すフローチャート
【図13】機能制限情報の構成を示す図
【図14】機能制限情報と権限グループとの対応付けテーブルを示す図
【図15】ICカードがカードリーダにかざされた場合の処理を示すフローチャート(第2の実施形態)
【図16】キーボード認証処理を示すフローチャート(第2の実施形態)
【図17】カード登録処理を示すフローチャート(第2の実施形態)
【図18】ユーザ確認画面1800Aとカード登録成功画面1800Bと認証NG画面1800CAの一例を示す図
【図19】ICカード認証用テーブルに記憶されたユーザ情報の一例を示す図
【図20】キーボード認証処理を示すフローチャート(第3の実施形態)
【図21】登録通知画面の一例を示す図
【図22】キーボード認証処理を示すフローチャート(第3の実施形態)
【図23】カード登録処理を示すフローチャート(第3の実施形態)
【図24】デバイスグループ情報テーブルを示す図
【発明を実施するための形態】
【0028】
〔第1の実施形態〕
以下、図面を参照して、本発明の実施形態を詳細に説明する。
【0029】
図1は、本発明のICカード認証システムの構成の一例を示すシステム構成図である。
【0030】
図1は、1又は複数の複合機100、ICカード認証サーバ200、複数のディレクトリサービスサーバ300がローカルエリアネットワーク(LAN)400を介して通信可能に接続される構成となっている。
【0031】
ICカード認証サーバ200(ユーザ管理装置)は、ICカード認証用テーブル(後述する図5に示す)を記憶し、複合機100からのICカードによる認証依頼、またはユーザ名とパスワードによる認証依頼に応じて、該ICカード認証用テーブルを用いて認証処理を行う。
【0032】
ディレクトリサービスサーバ300は、ネットワーク上に存在するサーバ、クライアント等のハードウェア資源や、それらを使用するユーザの属性(例えば、マイクロソフト社のWindows(登録商標)のログインユーザ名,パスワード)、アクセス権等の情報を一元記憶管理するものであり、例えば、アクティブディレクトリ(Active Directory(商標、以下省略))機能を搭載したサーバである。
【0033】
クライアントPC700は、ICカード認証サーバ管理ツールをインストールしたクライアントPCである。ICカード認証サーバ管理ツールからICカード認証サーバにアクセスし、ICカード認証サーバ管理ツールの図6や図7の画面から設定作業を行う事が可能である。
【0034】
ICカード認証サーバ管理ツールは、ICカード認証サーバ200にインストールされている構成でも良く、ICカード認証サーバ200で設定を行うことも可能である。
【0035】
また、本実施形態のICカード認証システムは、上述した構成の1又は複数の複合機100,ICカード認証サーバ200,ディレクトリサービスサーバ300がLAN400を介して接続されるWAN500を介して接続される構成であってもよい。
【0036】
さらに、ICカード認証に限らず、指紋などの生体認証を用いた認証システムにも適用可能である。
【0037】
なお、ICカード認証サーバ200で記憶するICカード認証用テーブルを、複合機100のHDD304に記憶し、認証処理(図11)を複合機100内で行うような構成を取ることも可能である。
【0038】
以下、図2を用いて、図1に示したICカード認証サーバ200,ディレクトリサービスサーバ300、クライアントPC700に適用可能な情報処理装置のハードウェア構成について説明する。
【0039】
図2は、図1に示したICカード認証サーバ200、ディレクトリサービスサーバ300、クライアントPC700に適用可能な情報処理装置のハードウェア構成を示すブロック図である。
【0040】
図2において、201はCPUで、システムバス204に接続される各デバイスやコントローラを統括的に制御する。また、ROM202あるいは外部メモリ211には、CPU201の制御プログラムであるBIOS(Basic Input / Output System)やオペレーティングシステムプログラム(以下、OS)や、各サーバ或いは各PCの実行する機能を実現するために必要な後述する各種プログラム等が記憶されている。
【0041】
203はRAMで、CPU201の主メモリ、ワークエリア等として機能する。CPU201は、処理の実行に際して必要なプログラム等をROM202あるいは外部メモリ211からRAM203にロードして、該ロードしたプログラムを実行することで各種動作を実現するものである。
【0042】
また、205は入力コントローラで、キーボード(KB)209や不図示のマウス等のポインティングデバイス等からの入力を制御する。206はビデオコントローラで、液晶ディスプレイなどのディスプレイ210への表示を制御する。これらは必要に応じて管理者が使用するものである。
【0043】
207はメモリコントローラで、ブートプログラム,各種のアプリケーション,フォントデータ,ユーザファイル,編集ファイル,各種データ等を記憶する外部記憶装置(ハードディスク(HD))や、フレキシブルディスク(FD)、或いはPCMCIAカードスロットにアダプタを介して接続されるコンパクトフラッシュ(登録商標)メモリ等の外部メモリ211へのアクセスを制御する。
【0044】
208は通信I/Fコントローラで、ネットワーク(例えば、図1に示したLAN400)を介して外部機器と接続・通信するものであり、ネットワークでの通信制御処理を実行する。例えば、TCP/IPを用いた通信等が可能である。
【0045】
なお、CPU201は、例えばRAM203内の表示情報用領域へアウトラインフォントの展開(ラスタライズ)処理を実行することにより、ディスプレイ210上での表示を可能としている。また、CPU201は、ディスプレイ210上の不図示のマウスカーソル等でのユーザ指示を可能とする。
【0046】
本発明を実現するための後述する各種プログラムは、外部メモリ211に記録されており、必要に応じてRAM203にロードされることによりCPU201によって実行されるものである。さらに、上記プログラムの実行時に用いられる定義ファイル及び各種情報テーブル等も、外部メモリ211に格納されており、これらについての詳細な説明も後述する。
【0047】
次に、図3を用いて、本発明の画像形成装置としての複合機100のハードウェア構成について説明する。
【0048】
図3は、図1に示した複合機100のハードウェア構成の一例を示すブロック図である。
【0049】
図3において、316はコントローラユニットで、画像入力デバイスとして機能するスキャナ部314や、画像出力デバイスとして機能するプリンタ部312と接続する一方、LAN(例えば、図1に示したLAN400)や公衆回線(WAN)(例えば、PSTNまたはISDN等)と接続することで、画像データやデバイス情報の入出力を行う。
【0050】
コントローラユニット316において、301はCPUで、システム全体を制御するプロセッサである。302はRAMで、CPU301が動作するためのシステムワークメモリであり、プログラムを記録するためのプログラムメモリや、画像データを一時記録するための画像メモリでもある。
【0051】
303はROMで、システムのブートプログラムや各種制御プログラムが格納されている。304は外部記憶装置(ハードディスクドライブ(HDD))で、システムを制御するための各種プログラム,画像データ等を格納する。
【0052】
307は操作部インタフェース(操作部I/F)で、操作部(UI)308とのインタフェース部であり、操作部308に表示する画像データを操作部308に対して出力する。また、操作部I/F307は、操作部308から本システム使用者が入力した情報(例えば、ユーザ情報等)をCPU301に伝える役割をする。なお、操作部308はタッチパネルを有する表示部を備え、該表示部に表示されたボタンを、ユーザが押下(指等でタッチ)することにより、各種指示を行うことができる。
【0053】
305はネットワークインタフェース(Network I/F)で、ネットワーク(LAN)に接続し、データの入出力を行う。306はモデム(MODEM)で、公衆回線に接続し、FAXの送受信等のデータの入出力を行う。
【0054】
318は外部インタフェース(外部I/F)で、USB、IEEE1394,プリンタポート,RS−232C等の外部入力を受け付けるI/F部であり、本実施形態においては認証で必要となるICカード(記憶媒体)の読み取り用のカードリーダ319が外部I/F部318に接続されている。そして、CPU301は、この外部I/F318を介してカードリーダ319によるICカードからの情報読み取りを制御し、該ICカードから読み取られた情報を取得可能である。以上のデバイスがシステムバス309上に配置される。
【0055】
320はイメージバスインタフェース(IMAGE BUS I/F)であり、システムバス309と画像データを高速で転送する画像バス315とを接続し、データ構造を変換するバスブリッジである
【0056】
画像バス315は、PCIバスまたはIEEE1394で構成される。画像バス315上には以下のデバイスが配置される。
【0057】
310はラスタイメージプロセッサ(RIP)で、例えば、PDLコード等のベクトルデータをビットマップイメージに展開する。311はプリンタインタフェース(プリンタI/F)で、プリンタ部312とコントローラユニット316を接続し、画像データの同期系/非同期系の変換を行う。また、313はスキャナインタフェース(スキャナI/F)で、スキャナ部314とコントローラユニット316を接続し、画像データの同期系/非同期系の変換を行う。
【0058】
317は画像処理部で、入力画像データに対し補正、加工、編集を行ったり、プリント出力画像データに対して、プリンタの補正、解像度変換等を行う。また、これに加えて、画像処理部317は、画像データの回転や、多値画像データに対してはJPEG、2値画像データはJBIG、MMR、MH等の圧縮伸張処理を行う。
【0059】
スキャナ部314は、原稿となる紙上の画像を照明し、CCDラインセンサで走査することで、ラスタイメージデータとして電気信号に変換する。原稿用紙は原稿フィーダのトレイにセットし、装置使用者が操作部308から読み取り起動指示することにより、CPU301がスキャナ部314に指示を与え、フィーダは原稿用紙を1枚ずつフィードし原稿画像の読み取り動作を行う。
【0060】
プリンタ部312は、ラスタイメージデータを用紙上の画像に変換する部分であり、その方式は感光体ドラムや感光体ベルトを用いた電子写真方式、微少ノズルアレイからインクを吐出して用紙上に直接画像を印字するインクジェット方式等があるが、どの方式でも構わない。プリント動作の起動は、CPU301からの指示によって開始する。なお、プリンタ部312には、異なる用紙サイズまたは異なる用紙向きを選択できるように複数の給紙段を持ち、それに対応した用紙カセットがある。
【0061】
操作部308は、LCD表示部を有し、LCD上にタッチパネルシートが貼られており、システムの操作画面を表示するとともに、表示してあるキーが押されるとその位置情報を操作部I/F307を介してCPU301に伝える。また、操作部308は、各種操作キーとして、例えば、スタートキー、ストップキー、IDキー、リセットキー等を備える。
【0062】
ここで、操作部308のスタートキーは、原稿画像の読み取り動作を開始する時などに用いる。スタートキーの中央部には、緑と赤の2色LEDがあり、その色によってスタートキーが使える状態にあるかどうかを示す。また、操作部308のストップキーは、稼働中の動作を止める働きをする。また、操作部308のIDキーは、使用者のユーザIDを入力する時に用いる。リセットキーは、操作部からの設定を初期化する時に用いる。
【0063】
カードリーダ319は、CPU301からの制御により、ICカード(例えば、ソニー社のフェリカ(FeliCa)(登録商標))内に記憶されている情報を読み取り、該読み取った情報を外部I/F318を介してCPU301へ通知する。 なお、コントローラユニット316とプリンタ部312とスキャナ部314と操作部308とカードリーダ319は、複合機100で同一筐体に備えている。
【0064】
次に、図4のICカード認証システムにおける複合機100とICカード認証サーバ200の機能ブロック図を用いて、ICカード認証システムの処理を説明する。
【0065】
複合機100は、401〜407の各機能部を有しており、CPU301が各機能部を実行する。ICカード認証サーバ200は、408〜412の各機能部を有しており、CPU201が各機能部を実行する。
【0066】
まず、複合機100のユーザ情報設定部408は、ユーザ情報をディレクトリサービスサーバ300から取得し、図5のICカード認証用テーブルに記憶する。記憶されたユーザ情報に対して、図7のユーザ情報編集画面を介して、カード情報503や機能制限情報507やデバイス制限情報520デバイスグループ以外の場合の機能制限情報530を設定する。また、図6のデバイス管理画面を介して、デバイスグループを生成し、デバイスグループにIPアドレスやサブネットマスクを設定する。
【0067】
認証情報取得部401は、カードリーダ319により読み取り可能なICカードを検知すると、該ICカード内の個人認証情報を取得する。認証情報送信部402は、取得した個人認証情報を認証要求としてICカード認証サーバ200に送信する。この認証要求では、複合機100のIPアドレスも送信される。このIPアドレスはTCP/IP通信上で送信されるIPアドレスも含む。個人認証情報は、認証に用いられる情報であり該ICカードの製造番号でも良い。
【0068】
ICカード認証サーバ200の認証情報受信部409は、複合機100より個人認証情報を受信する。認証部410は、受信した個人認証情報の認証処理をICカード認証サーバ200の外部記憶装置上に記憶されるICカード認証用テーブル(図5)に基づいて行い、ICカード認証用テーブル(図5)に個人認証情報がある場合には、個人認証情報を受信した際に取得できるIPアドレスと図5のデバイス制限情報520とに従って、ユーザが通常利用する権限で複合機100を利用できるかを判断する。
【0069】
認証結果送信部411は、デバイスグループ情報に取得したIPアドレスが含まれる場合には、ユーザが通常利用可能な権限(機能制限情報507)を含むユーザ情報と認証OKの認証結果を複合機100に送信する。また、認証結果送信部411は、デバイスグループ情報に取得したIPアドレスが含まれない場合には、デバイスグループに含まれないデバイスを利用する際の権限(機能制限情報530)を含むユーザ情報と認証OKの認証結果を複合機100に送信する。さらに、認証結果送信部411は、ICカード認証用テーブル(図5)に個人認証情報がない場合と、デバイスグループ情報に取得したIPアドレスが含まれない場合でデバイスグループが設定されていない場合には、認証NGの認証結果を複合機100に送信する。
【0070】
なお、認証結果は、ユーザが通常利用可能な権限(機能制限情報507)か、デバイスグループに含まれないデバイスを利用する際の権限(機能制限情報530)かを識別する情報を含んでいる。この識別情報は、ユーザが通常利用可能な権限(機能制限情報507)をフラグ「0」、デバイスグループに含まれないデバイスを利用する際の権限(機能制限情報530)をフラグ「1」として、認証結果にフラグを含むようにする。或いは、機能制限情報をユーザが通常利用可能な権限(機能制限情報507)の場合と、デバイスグループに含まれないデバイスを利用する際の権限(機能制限情報530)の場合のそれぞれを定義しておき、機能制限情報名に識別可能な情報を付し、その機能制限情報名を認証結果に含めるような構成としてもよい。
【0071】
また、デバイスを利用する際の権限(機能制限情報530)は、ユーザが通常利用可能な権限(機能制限情報507)より低い権限が設定されているものとするが、権限の一部がデバイスを利用する際の権限(機能制限情報530)の方が高い権限であった場合には、その権限が一致しない項目については、低い権限を利用するものとする。
【0072】
複合機100の認証結果受信部403は、ICカード認証サーバ200から認証結果を受信し、認証結果記憶部404は、認証結果のユーザ情報をRAM302に記憶する。権限判定部405は、RAM302に記憶されたユーザ情報に含まれる権限情報が、ユーザが通常利用可能な権限(機能制限情報507)である場合には、この機能制限情報507に従って、複合機100へのログインを行う。このログインは、複合機100のプラットフォーム(例えば、オペレーティングシステム)に対して機能制限情報507を用いて、ログイン要求することである。ログイン要求を受け付けた複合機100のプラットフォーム側は、この機能制限情報507を参照し、複合機100のプリント機能やスキャン機能を使えないように制限する。
【0073】
また、ユーザ情報に含まれる権限情報が、デバイスグループに含まれないデバイスを利用する際の権限(機能制限情報530)である場合には、図8の機能制限確認画面800Aを操作部308に表示させ、ユーザが通常利用可能な権限(機能制限情報507)より低い権限である、デバイスグループに含まれないデバイスを利用する際の権限(機能制限情報530)に従って、複合機100へのログインを行う。このログインは、複合機100のプラットフォーム(例えば、オペレーティングシステム)に対して機能制限情報530を用いて、ログイン要求することである。ログイン要求を受け付けた複合機100のプラットフォーム側は、この機能制限情報530を参照し、複合機100のプリント機能やスキャン機能を使えないように制限する。
【0074】
また、デバイスグループに含まれないデバイスを利用する際の権限(機能制限情報530)を用いる場合には、ユーザの指示に従って、デバイスグループ検索要求部407はユーザが通常利用可能な権限(機能制限情報507)で利用できる複合機又は複合機が設置してある場所(フロア名)を取得するために、ICカード認証サーバ200へユーザ情報(例えば、ユーザ名)を用いて要求を行う。また、ICカード認証サーバ200のデバイスグループ検索部412は、要求に含まれるユーザ情報に従って、デバイスグループ521を取得し、複合機100へ送信する。複合機100の表示制御部406は、ICカード認証サーバ200から受信したデバイスグループを用いて図8の検索結果表示画面800Bを表示する。
【0075】
次に、図5を参照して、ICカード認証用テーブルについて説明する。
【0076】
図5は、本実施形態のICカード認証システムにおけるICカード認証用テーブルの一例を示すデータ構成図である。なお、ICカード認証テーブルは、ICカード認証サーバ200の外部メモリ211に記憶される。
【0077】
図5に示すように、ICカード認証用テーブルは、ユーザ名501、認証ドメイン名502、カード情報503、メールアドレス504、有効期限505、有効/無効506、機能制限情報507、部門ID508、部門パスワード509、デバイス制限情報520、デバイスグループ以外の場合の機能制限情報530等から構成される。また、カード情報503は、カード番号511、正当性情報512、カード名称513を含む。カード情報は、1ユーザに対して複数登録可能となっている。デバイス制限情報520は、デバイスグループ521、IPアドレス522、サブネットマスク523を含む。
【0078】
ユーザ名501は、複合機100を使用するユーザの名称であり、認証結果に含まれる情報である。このユーザ名で複合機100へのログインがなされる。また、ログインされるとこのユーザ名が操作部308へユーザ名が表示される。
【0079】
認証ドメイン名502は、認証先のサーバがネットワーク上で何処にあるかを示す。認証先は、ICカード認証サーバ200やディレクトリサービスサーバ300などである。
【0080】
カード情報503は、ユーザが複合機100を使用するためのICカードのカード情報である。本実施形態において、ICカードのカード情報503はすなわち複合機100(画像形成装置)の使用を許可する(ユーザ認証する)キー情報である。カード情報503は、カード番号511、正当性情報512、カード名称513を含む。
【0081】
カード番号511は、個々のカードを識別するための数字、文字の列であり、このカード番号と、カードリーダ319がICカードから読み出したカード番号と比較するための情報で、一致した場合には認証成功となり、一致しない場合には認証失敗となる。なお、正当性情報512、カード名称513については後述する。
【0082】
メールアドレス504は、ユーザの所有するメールアドレスであり、複合機100の使用に関する通知をユーザに行う際などに使用される。有効期限505は、ユーザに定められた複合機100の使用の有効期限である。有効期限を超えると、そのユーザが複合機100を使用することができなくなる。
【0083】
有効/無効506は、そのユーザが複合機100を使用できるかどうかを示す情報である。有効期限を超えるなどの理由により、複合機100を使用できない場合には、無効を示す情報が書き込まれる。
【0084】
機能制限情報507は、そのユーザに設定されているデバイスグループに含まれる複合機100を使用にする際に複合機の機能を制限する内容を示すもので、ユーザが通常利用する複合機(例えば、ユーザが普段利用するフロアの複合機)の機能を制限するものある。機能制限情報507は、図13の機能制限情報を紐付ける事で実現する。機能制限情報の詳細は、図13にて記載する。なお、機能制限情報507に記憶される情報は、機能制限情報に紐付く名称が記憶される。なお、機能制限情報507は、デバイスグループに含まれる複合機100の利用可能な機能を定義する第1の機能制限情報と言い換えることができる。
【0085】
部門ID508は、ユーザの所属する社内部門を示すIDである。部門パスワード509は、部門ID508に付随するパスワードである。
【0086】
以下にカード情報503内の正当性情報512、カード名称513に関しての概要を説明する。
【0087】
カード情報503内の正当性情報512とは、ICカード内に登録された数値の情報である。この情報は、例えば、ICカードを紛失した際に、紛失したICカードと再発行したICカードを区別する為に使用する。
【0088】
例えば、紛失したICカードの正当性情報から値を1つ加算してICカードを再発行する事で、紛失したICカードとの区別をする事が可能となる。紛失したICカードの悪用を防ぎ、セキュリティを保つ事ができる。
【0089】
カード名称513は、カード情報削除画面(不図示)などでICカードのカード番号を表示する際に、ともに表示し、ユーザが判別し易いようにするものである。カード名称は、カード情報登録時のカード登録・カード名称入力画面(不図示)で設定が可能である。
【0090】
以下にデバイスグループ521、IPアドレス522、サブネットマスク523に関しての概要を説明する。
【0091】
デバイスグループ521は、デバイスグループの名称を表し、一意の情報となる。IPアドレス522は、デバイスグループのIPアドレスであり、1つのデバイスグループに複数設定可能である。また、サブネットマスク523はIPアドレスの範囲が設定される。
【0092】
このデバイス制限情報520は、図7のユーザ編集画面で設定されることによって記憶される情報である。また、図7のユーザ編集画面で設定することのできるデバイス制限情報は図6のデバイス管理画面で設定することができる情報である。
【0093】
デバイスグループ以外の場合の機能制限情報530は、デバイスグループに含まれない複合機100の機能を制限する内容を示す。なお、機能制限情報530は、デバイスグループに含まれない複合機100の利用可能な機能を定義する第1の機能制限情報と言い換えることができる。
【0094】
また、IPアドレス522、サブネットマスク523は、ユーザが利用可能な複合機を特定するための第1のアドレスと言い換えることができる。
【0095】
また、図19は、前述の各ユーザ情報をICカード認証用テーブルに記憶した際の、一例を示す図となる。
【0096】
次に、図6と図9を参照して、デバイスグループを登録する処理を説明する。
【0097】
なお、図9のステップS901〜ステップS905の処理は、CPU201によって実行される。
【0098】
ステップS901では、テキストエリア611にデバイスグループの名称を入力し、グループ追加ボタン612を押下してデバイスグループを登録する。登録されたデバイスグループは、601や603の様にツリー構造の上位に表示される。
【0099】
ステップS902では、登録したデバイスグループに対してデバイス情報(IPアドレス、またはIPアドレスとサブネットマスク)を登録する。IPアドレスのみで登録する場合は、テキストエリア613にIPアドレスを入力して、デバイス追加ボタン616を押下して登録する。登録されたIPアドレスは602のようにツリー構造の下位に表示される。
【0100】
IPアドレスとサブネットマスクで登録する場合は、テキストエリア614にIPアドレスを入力し、テキストエリア615にサブネットマスクを入力して、デバイス追加ボタン616を押下して登録する。登録されたIPアドレスは604のように「IPアドレス/サブネットマスク値」の形式でツリー構造の下位に表示される。デバイス情報は、1つのデバイスグループに対して複数登録可能である。
【0101】
登録した情報は、ICカード認証サーバ200の外部メモリ211に記憶される。IPアドレスとサブネットマスクで登録する場合は、特定のネットワーク(ネットワークアドレス(ネットワーク情報))を指定するもので、そのネットワーク内の複合機を対象とするための設定である。
【0102】
次に図7と図9を参照して、図6で登録したデバイスグループをユーザ情報に登録する処理を説明する。
【0103】
ステップS903では、ユーザの指示に従って、デバイスグループをユーザ情報に登録するか否かを判定する。登録すると判定した場合にはステップS904へ処理を移す。登録しない、つまり終了指示がなされたら処理を終了とする。
【0104】
ステップS904では、ユーザ編集画面にてユーザ情報に登録するデバイスグループをプルダウンメニュー703から選択し、追加ボタン704を押下してユーザにデバイスグループを登録する(デバイス制限情報設定)。ユーザには複数のデバイスグループを登録することが可能である。なお、プルダウンメニュー703は、図6で登録したデバイスグループがセットされる。
【0105】
ステップS905では、ユーザがラジオボタン705、706を選択することによって、認証時の複合機100のIPアドレスがユーザに登録されたデバイスグループに該当しなかった場合の動作を設定する(第2の機能制限情報を設定)。ラジオボタン705(ログインできない)が選択されると、認証NGとなるように、デバイス制限情報520には情報が登録されない(NULL値となる)。
【0106】
また、ラジオボタン706(以下のグループの使用制限でログインする)を選択すると、プルダウンメニュー707で指定した機能制限情報で認証OKとなるように、プルダウンメニュー707で指定した機能制限情報がデバイス制限情報520に登録される。
【0107】
次に、図10を参照して、ICカードがカードリーダにかざされた場合の処理を説明する。
【0108】
なお、ステップS1001、ステップS1012〜ステップS1017の処理は、複合機100のCPU301が実行し、ステップS1001−1はICカード認証サーバ200のCPU201が実行する。なお、ステップS1001−1の処理については、図11にて説明する。
【0109】
まず、ステップS1001では、ユーザによってかざされたICカードからカード情報を取得し(第2の識別情報を取得)、また、複合機100が有するIPアドレスを取得する(第2のアドレスを取得)。取得したカード情報と複合機100のIPアドレスをICカード認証サーバ200に送信する(認証要求送信)。RAM302にカード情報を保持する。
【0110】
ステップS1001−1では、ICカード認証サーバ200はカード情報と複合機100のIPアドレスを受信し、認証処理を行う。
ここで、図11を用いて、認証処理について説明する。
【0111】
なお、ステップS1002〜ステップS1011の処理はICカード認証サーバ200のCPU201が実行する。
【0112】
ステップS1002では、カード情報と複合機100のIPアドレスを受信する(認証要求受信)。
【0113】
ステップS1003では、ステップS1002で受信したカード情報を元に、図5のICカード認証用テーブルからユーザ情報を検索する。
【0114】
ステップS1004では、ステップS1003の検索結果、ユーザ情報(ICカード認証用テーブルの501〜530の情報)を取得できた場合には認証成功(認証OK)としてステップS1005へ処理を移す。ユーザ情報を取得できない場合(ユーザ情報が登録されていない場合)には、ステップS1011へ処理を移す。
【0115】
ステップS1005では、ステップS1002で受信した複合機100のIPアドレスとステップS1003で取得したユーザ情報のデバイス制限情報との比較を行う。具体的には、IPアドレス522又は/及びサブネットマスク523を用いて、デバイスグループに含まれる複合機100のIPアドレスかを検査する(利用判定)。
【0116】
ステップS1006では、ステップS1005の比較結果、デバイスグループに含まれる複合機と判定された場合には、ステップS1007へ処理を移す。またデバイスグループに含まれない複合機と判定された場合には、ステップS1008へ処理を移す。
【0117】
ステップS1007では、デバイスグループに含まれる複合機と判定されると、認証OKの結果とユーザ情報(メールアドレス504、機能制限情報507等)の認証結果を複合機100に送信する(認証結果送信)。なお、この認証結果には、ユーザが通常利用する機能制限情報507が含まれていることを示す識別情報(フラグ等)を有している。
【0118】
ステップS1008では、デバイスグループに含まれない複合機と判定されると、デバイスグループ以外からの複合機からの認証要求があった場合に、認証とするかを判定する。認証とするかは、デバイスグループ以外の場合の機能制限情報530で判断する。デバイスグループ以外の場合の機能制限情報530に機能制限情報が含まれる場合、つまり、図7で707が設定されている場合には、ステップS1009へ処理を移す。デバイスグループ以外の場合の機能制限情報530に機能制限情報が含まれない場合(NULL値の場合)、つまり、図7で706が設定されている場合には、ステップS1011へ処理を移す。
【0119】
ステップS1009では、デバイスグループ以外の場合の機能制限情報530から機能制限情報を取得する。
【0120】
ステップS1010では、認証OK(デバイスグループ内で認証OK(通常認証OK)/デバイスグループ以外の場合の機能制限情報で認証OK)認証NGの結果とユーザ情報(メールアドレス504、デバイスグループ以外の場合の機能制限情報530等)の認証結果を複合機100に送信する(認証結果送信)。なお、この認証結果には、デバイスグループ以外の場合の機能制限情報530が含まれていることを示す識別情報(フラグ等)を有している。
【0121】
ステップS1011では、複合機100に認証NGの認証結果を送信する。
【0122】
続いて、図10に戻り、ステップS1012では、複合機100はICカード認証サーバ200から認証結果を受信する。
【0123】
ステップS1013では、ステップS1012で受信したICカード認証サーバ200からの認証結果の判断を行う。認証OKであった場合には、ステップS1014へ処理を移し、認証NGであった場合には、ステップS1017へ処理を移す。
【0124】
認証OKであった場合には、RAM302に認証結果に含まれるユーザ情報を記憶する。
【0125】
ステップS1017では、認証ができなかったことを示す認証NG画面(不図示)を操作部308に表示する。
【0126】
ステップS1014では、デバイスグループ以外の場合の機能制限情報530で認証OKであったかを、認証結果に含まれる識別情報で判断する。デバイスグループ以外の場合の機能制限情報530で認証OKであった場合には、ステップS1016へ処理を移し、ユーザが通常利用する機能制限情報507で認証OKであった場合には、ステップS1015へ処理を移す。
【0127】
なお、ステップS1014の処理は、言い換えると、機能制限情報507(第1の機能制限情報)を用いてログイン可能な複合機か否かを判定する処理である。機能制限情報507(第1の機能制限情報)を用いてログイン可能な複合機である場合には、ステップS1015へ処理を移し、機能制限情報507(第1の機能制限情報)を用いてログイン可能でない複合機の場合には、ステップS1016へ処理を移す。
【0128】
ステップS1015では、RAM302に記憶されているユーザ情報の機能制限情報507に従って、複合機100にログインをし、ログイン後の初期画面(不図示)を操作部308に表示する。初期画面とは、ログイン後にデフォルト表示する画面であり、管理者が任意に設定することができる。初期画面の一例として、プリント操作画面、スキャン操作画面などがあげられる。このログインは、複合機100のプラットフォーム(例えば、オペレーティングシステム)に対して機能制限情報507を用いて、ログイン要求することである。ログイン要求を受け付けた複合機100のプラットフォーム側は、この機能制限情報507を参照し、複合機100のプリント機能やスキャン機能を使えないように制限する。
【0129】
なお、初期画面を表示後、ユーザによって選択された機能制限されていない機能を実行する。例えば印刷機能を実行する場合、クライアントPC700から出力された、クライアントPC700にログインしたユーザのユーザ名を含む印刷ジョブが複合機100のHDD304に記憶されており、この印刷ジョブからログインしたユーザ名に対応する印刷ジョブを取得して、印刷ジョブ一覧を表示する。一覧表示した印刷ジョブをユーザが選択することによって、印刷ジョブをHDD304から取得してプリンタ部312から出力される。
【0130】
ステップS1016では、ユーザが通常利用する機能制限情報507を用いず、デバイスグループ以外の場合の機能制限情報530を用いてログイン処理が行われるため、ユーザに対して通常の機能制限と異なる機能制限になることを通知するべく、図8の機能制限確認画面800Aを操作部308に表示する。
【0131】
ここで、図8の画面について説明する。ユーザが通常利用する機能制限情報507を用いてログイン処理する場合には、機能制限確認画面800Aは表示されず、デバイスグループ以外の場合の機能制限情報530を用いる場合に、の機能制限確認画面800Aが表示される。
【0132】
機能制限確認画面800Aには、ユーザが通常利用する機能制限情報507を用いてログイン処理することが可能な複合機を検索するための検索ボタン801と、デバイスグループ以外の場合の機能制限情報530を用いてログイン処理を行うことを指示することが可能なOKボタン804を有している。
【0133】
検索ボタン801がユーザによって押下されると、複合機100からICカード認証サーバ200へ、ユーザ情報を送信することで得られるデバイスグループの名称を検索結果表示画面800Bに表示する。なお、検索結果表示画面800Bには、ユーザが通常利用する機能制限情報507を用いてログイン処理することが可能な複合機を特定するための情報を表示するようにすることも可能である。この複合機を特定するための情報とは、図6の602のIPアドレスやDNS(Domain Name Service)を用いて、IPアドレスから変換されるコンピュータ名(複合機名称(デバイス名))である。
【0134】
検索結果表示画面800Bには、機能制限確認画面800Aが表示されている画面に戻るための戻るボタン802と、デバイスグループ以外の場合の機能制限情報530が適用されログインすることで、ユーザが期待する処理ができないと考えた場合などにログインをしないようにする終了ボタン803を備えている。
【0135】
なお、終了ボタン803がユーザによって指示されると、指示を検知した複合機100は、ログインすることなく処理を終了する。そして、ユーザによってカードがカードリーダ319にかざされた場合に、ステップS1001へ処理が移れるように待機する。
【0136】
続いて、図10に戻り、ステップS1018では、機能制限確認画面800Aの検索ボタン801が押下されたか否かを判定する。検索ボタン801が押下された場合には、図12のステップS1201へ処理を移す。OKボタン804が押下された場合には、ステップS1015へ処理を移す。この場合、ステップS1015では、デバイスグループ以外の場合の機能制限情報530が適用されログインし、初期画面を操作部308に表示する。このログインは、複合機100のプラットフォーム(例えば、オペレーティングシステム)に対して機能制限情報530を用いて、ログイン要求することである。ログイン要求を受け付けた複合機100のプラットフォーム側は、この機能制限情報530を参照し、複合機100のプリント機能やスキャン機能を使えないように制限する。
【0137】
なお、初期画面を表示後、ユーザによって選択された機能制限されていない機能を実行する。例えば印刷機能を実行する場合、クライアントPC700から出力された、クライアントPC700にログインしたユーザのユーザ名を含む印刷ジョブが複合機100のHDD304に記憶されており、この印刷ジョブからログインしたユーザ名に対応する印刷ジョブを取得して、印刷ジョブ一覧を表示する。一覧表示した印刷ジョブをユーザが選択することによって、印刷ジョブをHDD304から取得してプリンタ部312から出力される。
【0138】
次に、図12を用いて、デバイスグループの検索処理について説明する。
【0139】
なお、ステップS1201、ステップS1205〜ステップS1207の処理は、複合機100のCPU301が実行する。また、ステップS1202〜ステップS1204の処理は、ICカード認証サーバ200のCPU201が実行する。
【0140】
ステップS1201では、ユーザが通常利用する機能制限情報507を用いてログインすることができる複合機又は、デバイスグループの名称(例えば、複合機の設置場所となるフロア)を取得するために、ICカード認証サーバ200にRAM302に記憶されているユーザ情報(例えば、ユーザ名やカード情報)を含むデバイスグループ要求を送信する(検索要求送信)。なお、RAM302に記憶されているユーザ情報以外に、ステップS1001で取得したカード情報を用いることも可能である。
【0141】
ステップS1202では、複合機100からユーザ情報(例えば、ユーザ名やカード情報)を含むデバイスグループ要求を受信する(検索要求受信)。
【0142】
ステップS1203では、ユーザ情報を元に、ICカード認証サーバ200の外部メモリに記憶されている図5のICカード認証用テーブルを検索して、デバイス制限情報520(521、522、523)を取得する。
【0143】
ステップS1204では、取得したデバイス制限情報520からデバイスグループ521を要求のあった複合機100へ送信する(デバイス制限情報送信)。なお、本実施形態では、取得したデバイス制限情報520のデバイスグループ521を送信するように構成したが、IPアドレス522或いはIPアドレス522から変換されたコンピュータ名(複合機名)を送るようにしてもよい。これは管理者が任意に設定できるものとし、設定に応じた情報を複合機100に送信する。
【0144】
ステップS1205では、ICカード認証サーバ200からデバイスグループ521を受信する。
【0145】
ステップS1206では、受信したデバイス制限情報520に従って、図8の検索結果表示画面800Bを複合機100の操作部308に表示する(デバイス制限情報表示)。
【0146】
ステップS1207では、検索結果表示画面800Bの戻るボタン802が押下されたか否かを判定する。戻るボタン802が押下されたと判定した場合には図8の機能制限確認画面800Aが表示されている画面に戻り、ユーザによって検索ボタン801かOKボタン804が押下されたことを検知するまで待機する。また、終了ボタン803が押下された場合には処理を終了し、複合機100のRAM302に記憶されているユーザ情報を削除する。
【0147】
次に、図13と図14を用いて機能制限情報について説明する。図13は、機能制限情報507とデバイスグループ以外の場合の機能制限情報530に記憶される機能制限情報の設定を示す図である。図14は、機能制限情報と権限グループを対応付ける対応付けテーブルを示す図である。
【0148】
機能制限情報は、複合機100の各機能の使用制限を詳細に設定する事が可能で、例えばデバイス制限項目の印刷を「許可する/許可しない」を設定する事で印刷可否の制限を指定できる。この機能制限情報は、管理者があらかじめ設定するもので、図14の権限グループ設定情報に示すように、管理者が任意に付けた権限グループ名1401に対応付けて記憶されている。
【0149】
なお、複数の機能制限情報を1つの権限グループ名1401に紐付けることも可能である。また、機能制限情報ごとに機能制限情報名1402を持たせて、この機能制限情報名1402を用いて紐づけを行っている。
【0150】
本実施形態では、機能制限情報507とデバイスグループ以外の場合の機能制限情報530には、機能制限情報名1402が記憶され、この機能制限情報名1402に対応づく、図13で設定されている機能制限情報が複合機100へ送信される。
【0151】
なお、図7の707で設定される情報は、図14の権限グループであり、ここで権限グループが設定されると、その権限グループに対応する機能制限情報名を図14から導き出し、機能制限情報名がデバイスグループ以外の場合の機能制限情報530に格納される。なお、707はGeneralUaserが設定されている例で、この場合、図14を参照すると機能制限情報Bが取得できるため、デバイスグループ以外の場合の機能制限情報530には、「機能制限情報B」が格納される。
【0152】
機能制限情報530に、707で設定した権限グループ(例えば、GeneralUaser)が格納するような構成であっても実現可能である。
【0153】
以上説明した形態によれば、ユーザが利用可能な複合機(画像形成装置)のグループを設定し、設定されたグループをユーザごとに設定することで、認証に応じた複合機(画像形成装置)の利用を制限することができ、セキュリティの高い仕組みを実現することができる。
【0154】
また、認証要求のあった複合機(画像形成装置)が、設定されたユーザが利用可能な複合機(画像形成装置)のグループでない場合の権限を設定することで、他の複合機(画像形成装置)の機能を制限しつつも、複合機の利用を可能にし、利便性を高めることができる。また、他の複合機(画像形成装置)の機能を制限することで不要な利用を制限したセキュリティの高い仕組みを実現することができる。
【0155】
さらに、通常利用する複合機(画像形成装置)より利用権限の低い他の複合機(画像形成装置)から、ユーザが通常利用している複合機の権限を用いて利用できる複合機(画像形成装置)を検索することができ、利便性の高い仕組みを実現できる。
【0156】
〔第2の実施形態〕
第1の実施形態では、デバイスグループを作成し、ユーザ情報に作成したデバイスグループを設定して、複合機の利用を制限する仕組みについて説明した。
【0157】
本実施形態では、デバイスグループに従って、利用可能な複合機からICカードを登録可能にし、複合機の利用を制限する仕組みについて説明する。
【0158】
次に、図15を参照して、ICカードがカードリーダにかざされた場合の処理にて、ICカード認証用テーブルにICカードが登録されていなかった場合にカード登録を行う実施形態について説明する。
【0159】
なお、図15のステップS1001、ステップS1001−1、ステップS1012〜ステップS1018の処理は、図10及び図11の説明で記載した処理と同様の処理である。その為、ここでは上記ステップの説明は省略する。
【0160】
図15のステップS1013で、ステップS1012で受信したICカード認証サーバ200からの認証結果の判断を行い、認証OKであった場合には、ステップS1014へ処理を移し、認証NGであった場合には、ステップS1020へ処理を移す。
【0161】
上述した通り認証結果は、認証OK(デバイスグループ内で認証OK(機能制限情報507で認証OK)/デバイスグループ以外の場合の機能制限情報で認証OK)認証NGの結果とユーザ情報(メールアドレス504、機能制限情報507或いはデバイスグループ以外の場合の機能制限情報530等)である。また、認証NGの場合、認証NGの理由を示すフラグ、例えばカードがICカード認証用テーブルに登録されていなかったことを示すフラグを認証結果に含まれる。
【0162】
なお、ステップS1014以降の処理(ステップS1014〜1016、ステップS1018)は、図11にて説明済みの為、説明を省略する。
【0163】
ステップS1020では、認証NGの内容を判断する。カードがICカード認証用テーブルに登録されていなかった為、認証NGであった場合には、ステップS1021に処理を移す。それ以外の理由で認証NGであった場合には、ステップS1017に処理を移す。(ステップS1017は、図11にて説明済みの為、ここでは説明を省略する。)
【0164】
なお、本実施形態の場合には、1800Cの画面を操作部に表示し、この複合機からは登録できないことを通知する。
【0165】
ステップS1021では、かざされたカードが登録可能なカードであるかを判断する。登録可能なカードである場合には、ステップS1021に処理を移す。それ以外の理由で認証NGであった場合には、ステップS1017に処理を移す。なおステップS1017は、図11にて説明済みの為、説明を省略する。
【0166】
登録可能なカードであるかの判定は、読み取ったカード番号の内容から行う。複合機側で、カード番号の範囲(桁数、英数字の規則、等)をあらかじめ定義しておく事で、登録可能/不可能のカードを判定する。
【0167】
ステップS1022では、カード登録前に、カード登録が可能なユーザであるかを確認する為に、図18のユーザ確認画面1800Aを操作部308に表示する。
【0168】
ステップS1023では、ユーザ確認画面1800Aでユーザによって入力されたユーザ名、パスワード、認証先の情報を取得し、また、複合機100が有するIPアドレスを取得する。取得したユーザ名、パスワード、認証先の情報と複合機100のIPアドレスをICカード認証サーバ200に送信する(ユーザ確認用キーボード認証要求送信)。
【0169】
ここで、図16を用いて、ユーザ確認用キーボード認証処理について説明する。
【0170】
なお、ステップS3000、ステップS3018の処理は、複合機100のCPU301が実行し、ステップS3001〜ステップS3005、ステップS3007〜ステップS3009、ステップS3011〜ステップS3013、ステップS3017はICカード認証サーバ200のCPU201が実行する。
【0171】
まず、ステップS3000では、ユーザによって入力されたユーザ名、パスワード、認証先の情報を取得し、また、複合機100が有するIPアドレスを取得する。取得したユーザ名、パスワード、認証先の情報と複合機100のIPアドレスをICカード認証サーバ200に送信する(キーボード認証要求送信)。
【0172】
ステップS3001では、ICカード認証サーバ200はユーザ名、パスワード、認証先の情報と複合機100のIPアドレスを受信し、キーボード認証処理を行う。(キーボード認証要求受信)
【0173】
ステップS3002では、ステップS3001で受信したユーザ名、パスワード、認証先の情報を元に、指定の認証先に対して、ユーザ名とパスワードを使用して認証を実行する。認証先は、ICカード認証、ディレクトリサービス(ActiveDirectory等)が存在する。
【0174】
認証先がICカード認証の場合は、図5のICカード認証用テーブルに対して、ユーザ名、パスワードを使用して認証を行う。(ユーザ名、パスワードを使用して検索を行う。)
【0175】
ステップS3003では、ステップS3002の認証結果を判定する。認証に成功した場合は、ステップS3004へ処理を移す。認証に失敗した場合は、ステップS3007へ処理を移す。(ステップS3007にはついては後述する。)
【0176】
ステップS3004では、図5のICカード認証用テーブルに対して、ユーザ名を使用してユーザ情報を検索する。
【0177】
ステップS3005では、ステップS3004の検索結果の判定を行う。ユーザ情報を取得できた場合、ステップS3008へ処理を移す。取得できなかった場合は、ステップS3007へ処理を移す。(ステップS3007については後述する。)
【0178】
ステップS3008では、ステップS3001で受信した複合機100のIPアドレスとステップS3004で取得したユーザ情報のデバイス制限情報との比較を行う。具体的には、IPアドレス522又は/IPアドレス522及びサブネットマスク523を用いて、デバイスグループに含まれる複合機100のIPアドレスかを検査する(利用判定)。
【0179】
ステップS3009では、ステップS3008の比較結果より、デバイスグループに含まれる複合機と判定された場合には、ステップS3010へ処理を移す。またデバイスグループに含まれない複合機と判定された場合には、ステップS3011へ処理を移す。
【0180】
ステップS3010では、デバイスグループに含まれる複合機と判定されると、認証OKの結果とユーザ情報(メールアドレス504、機能制限情報507等)の認証結果を複合機100に送信する(認証結果送信)。なお、この認証結果には、ユーザが通常利用する機能制限情報507が含まれていることを示す識別情報(フラグ等)を有している。
【0181】
ステップS3011では、デバイスグループに含まれない複合機と判定されると、デバイスグループ以外からの複合機からの認証要求があった場合に、認証とするかを判定する。認証とするかは、デバイスグループ以外の場合の機能制限情報530で判断する。デバイスグループ以外の場合の機能制限情報530に機能制限情報が含まれる場合、つまり、図7で707が設定されている場合には、ステップS3012へ処理を移す。デバイスグループ以外の場合の機能制限情報530に機能制限情報が含まれない場合(NULL値の場合)、つまり、図7で705が設定されている場合には、ステップS3007へ処理を移す。
【0182】
ステップS3012では、デバイスグループ以外の場合の機能制限情報530から機能制限情報を取得する。
【0183】
ステップS3013では、認証OK(デバイスグループ以外の場合の機能制限情報で認証OK)の結果とユーザ情報(メールアドレス504、デバイスグループ以外の場合の機能制限情報530等)の認証結果を複合機100に送信する(認証結果送信)。なお、この認証結果には、デバイスグループ以外の場合の機能制限情報530が含まれていることを示す識別情報(フラグ等)を有している。
【0184】
ステップS3007では、複合機100に認証NGの認証結果を送信する。
【0185】
ステップS3018では、複合機100はICカード認証サーバ200から認証結果を受信する。
【0186】
続いて、図15に戻り、ステップS1024では、複合機100はICカード認証サーバ200からの認証結果を判定する。
【0187】
認証OK(認証OK/デバイスグループ以外の場合の機能制限情報で認証OK)の場合は、ステップS1028へ処理を移す。
【0188】
認証NGの場合は、ステップS1017へ処理を移す。(ステップS1017は、図11にて説明済みの為、ここでは説明を省略する。)
【0189】
ステップS1028では、ステップS1001でユーザによってかざされたカード情報を基にカード登録を行う。(カード登録処理)。
【0190】
ここで、図17を用いて、カード登録処理について説明する。
【0191】
なお、ステップS711、ステップS706の処理は、複合機100のCPU301が実行し、ステップS705、ステップS714〜ステップ722はICカード認証サーバ200のCPU201が実行する。
【0192】
ステップS711で、複合機100は図15のステップS1001で取得したカード情報(カード番号、正当性情報)と図15のステップS1022で取得したユーザ情報(ユーザ名、ユーザ認証先)をICカード認証サーバ200へ送信する。
【0193】
ステップS714で、ICカード認証サーバ200はステップS711で送信されたカード情報とユーザ情報を受信する。
【0194】
ステップS716で、ICカード認証サーバ200は、ステップS714で受信したユーザ情報に紐付けられたカード情報をICカード認証用テーブル5から検索する。
【0195】
ステップS717で、ICカード認証サーバ200はステップS714で受信したカード情報とステップS716で検索したカード情報を比較する。
【0196】
ステップS718で、ICカード認証サーバ200は、ステップS717で実行した比較結果より、ステップS714で受信したカード情報のカード番号と同じカード番号のカード情報が、ステップS716で検索したカード情報に存在した場合はステップS719の処理を実行する。
【0197】
同じカード番号のカード情報が存在しなかった場合は、新規のカード情報追加である為、ステップS715の処理を実行する。
【0198】
ステップS715で、ICカード認証サーバ200は、ICカード認証用テーブル5の該当のユーザに対してステップS714で受信したカード情報を登録する。
【0199】
尚、ICカード認証用テーブル5に該当のユーザが存在しない場合(つまりWindows(登録商標)のActive Directory(登録商標)、LDAPサーバなどのディレクトリサービスサーバ300にはユーザが存在するケース)、ICカード認証用テーブル5にユーザ名とカード情報を登録することも可能である。
【0200】
続いて、ステップS705で、登録結果(登録OK)を複合機100に送信する。
【0201】
一方、ステップS717で実行した比較結果より、ステップS714で受信したカード情報のカード番号と同じカード番号のカード情報が、ステップS716で検索したカード情報に存在した場合は、ステップS718の分岐はYESとなり、ステップS719の分岐に移る。
【0202】
ステップS719で、ICカード認証サーバ200は、ステップS717で実行した比較結果より、同じカード番号のカード情報について、正当性情報も同じであると判定した場合は、既に同じICカードのカード情報が登録済みである為、ステップS720でカード情報登録失敗(登録NG)を複合機100に送信する。
【0203】
同じカード番号のカード情報で、正当性情報が異なると判定した場合は、カード情報の更新であると判断し、ステップS721でカード情報の更新処理(正当性情報の更新、カード名称の更新)を実行し、ステップS714で受信したカード情報で既存の(同じカード番号の)カード情報を更新する。
【0204】
その後、ステップS722でカード情報更新結果と登録結果(登録OK)を複合機100に送信する。
【0205】
ただし、同じカード番号のカード情報で、正当性情報が異なる場合であっても、ステップS714で受信したカード情報の正当性情報の数値がより小さい場合は、それがICカードを再発行する前のカードであると判断されるため、カード情報の更新を行わず、登録NGを複合機100に送信する。
【0206】
正当性情報は再発行を示す情報であるが、再発行したのにカード番号が一致するケースは、運用で例えば、カード内に社員番号などを任意に入れているケースである。この社員番号をカード番号と同じように用いて運用するケースにおいて、紛失等の理由により再発行されたICカードのカード番号は再発行前のICカードと一致するが、正当性情報が一致しない。さらに、カードを再発行する際は、正当性情報を表す数値に値を1つ加算してICカードを再発行するので、正当性情報を表す数値がより小さいものは、紛失等した以前のICカードと判断される。よって、上記の処理により、紛失等した以前のカードを登
【0207】
録しようとしても、正当性情報が小さい数値であるので、登録が行われなくなる。これにより紛失等したICカードの悪用を防ぎ、セキュリティを保つことができる。
【0208】
ステップS705、ステップS722、ステップS720で送信された登録結果は、ステップS706で複合機100が受信する。
【0209】
続いて、図15に戻り、ステップS1029では、複合機100はICカード認証サーバ200からカード登録結果を判定する。
【0210】
登録成功の場合は、ステップS1030へ処理を移し、登録失敗の場合は、ステップS1031へ処理を移す。
【0211】
ステップS1030では、図18のカード登録成功画面1800Bを操作部308に表示する。
【0212】
ステップS1031では、図18のカード登録失敗画面(不図示)を操作部308に表示する。
【0213】
以上説明したように、本実施形態によれば、デバイスグループによって、登録を制御することで、利用できない複合機(画像形成装置)からのカード登録をなくし、ユーザに利用できる複合機と利用できない複合機をカード登録時に識別させることが可能となる。
【0214】
〔第3の実施形態〕
第1の実施形態では、図9で説明した通り、ICカード認証サーバで、ユーザ情報にデバイスグループを設定する仕組みについて説明した。本実施形態では、複合機からICカードを登録する際にデバイスグループを自動設定する仕組みについて説明する。
図20を用いて、本実施形態の処理について説明する。
【0215】
なお、第1の実施形態と第2の実施形態と同じ図、同じ処理については説明を省略する。
【0216】
まず、本実施形態では、カードがかざされ認証がNGとなった場合にカード登録できる第1のモードと、ユーザがカード登録ボタンを押下した場合にカード登録できる第2のモードを備えている。
【0217】
第1のモードはステップS1001から処理がスタートし、第2のモードはS2001から処理がスタートする。
【0218】
なお第1のモードは、第1の実施形態で説明済みのため説明を省略し、第2のモードについて説明をする。
【0219】
ステップS2001では、ユーザによって複合機のカード登録ボタンが押下されたことを検知する。カード登録ボタンが押下された場合には、第2のモードになる。
【0220】
ステップS2002では、ユーザにICカードをカードリーダにかざすように通知し、ICカードがかざされた場合にICカードから読み取ったカード情報(カード番号)を取得する。カード情報を取得した場合、ステップS1021へ処理を移す。
【0221】
ステップS1021、S1022の後、ステップS2003では、キーボード認証処理を行う。ステップS2003の処理の説明は図21を用いて後述する。
【0222】
ステップS2004では、ステップS2003の認証の結果を判定する。認証OKの場合には、ステップS2005へ処理を移し、認証NGの場合にはステップS1017へ、登録NGの場合にはステップS2010へ処理を移す。
【0223】
ステップS2005では、受信した認証結果に含まれるデバイスグループ(名称)を用いて、図21の登録確認画面を表示する。
【0224】
ステップS2006では、図21の登録確認画面でOK又はキャンセルが押下されたことを判定して、OKボタンが押下された場合にはカード番号を登録するためステップS2007へ処理を移す。キャンセルボタンが押下された場合には、カード番号を登録しないためカード登録失敗画面(図18の1800C)をステップS2010で表示する。
【0225】
ステップS2007では、カードリーダで読み取られたカード番号の登録を行う。カード番号の登録は図23を用いて後述する。
【0226】
ステップS2008では、ステップS2007のカード番号の登録結果から登録が成功したか否かを判定する。カード番号の登録が成功した場合にはでカード登録成功画面(図18の1800B)をステップS2009で表示する。カード番号の登録が失敗した場合には、カード登録失敗画面(図18の1800C)をステップS2010で表示する。
【0227】
次に、図22を用いて、ステップS2003のユーザ認証処理について説明する。
【0228】
なお、ステップS3000〜ステップS3007については第2の実施形態と同様のため説明を省略する。
【0229】
ステップS2201では、ステップS3004で検索(取得)したユーザ情報のうち、カード番号が空(NULL)でデバイスグループが空(NULL)のユーザ情報があるかを判定する。カード番号が空(NULL)でデバイスグループが空(NULL)のユーザ情報がある場合には、ステップS2203へ処理を移し、カード番号が空(NULL)でデバイスグループが空(NULL)のユーザ情報がない場合には、ステップS2202へ処理を移す。なお、カード番号が空(NULL)でデバイスグループが空(NULL)のユーザ情報が複数存在した場合には、後述するステップS2204で複数送信し、複合機でユーザにどのユーザ情報に登録するかを選択させるようにすることも可能である。
【0230】
ステップS2202では、登録可能なユーザ情報が存在しなかったため登録NGの登録結果を複合機に送信する。
【0231】
ステップS2203では、ステップS3001で受信したIPアドレスと図6で設定の613〜615で設定し、デバイスグループ情報テーブルに記憶されたアドレス情報とに従って、受信したIPアドレスが含まれるデバイスグループを特定(決定)する。
【0232】
ステップS2204では、ステップS2203で特定されたデバイスグループと、認証結果の認証OKを示す情報と、カード番号が空(NULL)でデバイスグループが空(NULL)のユーザ情報を複合機に送信する。
【0233】
なお、デバイスグループは送信しないように構成することも可能である。この場合、図21の画面では、デバイスグループ(例えば、Bill−B)を表示させず、「この複合機が所属するグループで使えるカードになります。」と表示させる。
【0234】
ステップS2205では、複合機は、ステップS2204、S2202、S3007で送信された認証結果を受信する。
【0235】
次に、図23を用いて、ステップS2007のカード登録処理について説明する。
【0236】
ステップS2301では、複合機は、ステップS2002又はステップS1001で送信したカード情報(カード番号)をRAM302から取得し、このカード情報(カード番号)と、ステップS2205で受信したユーザ情報をICカード認証サーバに送信する。なお、デバイスグループをステップS2205で受信している場合にはデバイスグループも送信するように構成してもよいが、デバイスグループはステップS2203で説明したように、ICカード認証サーバで特定することができるため、デバイスグループを送らない構成をとることも可能である。また、デバイスグループを特定するためには複合機のIPアドレスが必要となるが、TCP/IPの通信プロトコルで送信されるIPアドレスと用いてもよいし、複合機がICカード認証サーバに送信するメッセージ内に含ませてるようにしてもよい。
【0237】
また、本実施形態ではIPアドレスを用いてデバイスグループを特定するように構成しているが、MACアドレスなど複合機を特定することが可能な情報であればよい。
【0238】
ステップS2302では、カード情報、ユーザ情報を受信する。なお、ステップS2301でデバイスグループが送信された場合には、デバイスグループも受信する。
【0239】
ステップS2303では、ICカード認証用テーブル(図19の1900B)を参照し、受信したユーザ情報のカード番号を取得する。
【0240】
ステップS2304では、ステップS2303で取得したカード番号が空であるかを判定する。カード番号が空である場合にはステップS2305へ処理を移し、カード番号がからでない場合には、S2307へ処理を移す。
【0241】
ステップS2305では、空であるユーザ情報に対応付けるべく、カード番号を登録する。また、ステップS2303で受信したデバイスグループや、複合機から受信したIPアドレスと図24のデバイスグループ情報テーブルに従って特定されるデバイスグループを空であるデバイスグループに対応付けるべく記憶する。
【0242】
なお、図19の1900Bはカード番号の登録前のICカード認証テーブルと、カード番号の登録後のICカード認証テーブルを示す図である。
【0243】
ステップ2306では、登録に成功したことを示す登録結果を複合機に送信する。ステップS2307では、登録できなかった(失敗した)ことを示す登録結果を複合機に送信する。
【0244】
ステップS2308では、ICカード認証サーバから登録結果を受信する。
【0245】
なお、本実施形態では、図19の1900Bに示すように、カード番号が空で、デバイスグループが空のレコードがある場合に登録する例を説明したが。カード番号に値が入っているがデバイスグループの値が空の場合にも適用可能である。
【0246】
具体的には、カードを登録する際に、カード番号が一致し、デバイスグループが空のレコードを特定し、複合機のIPアドレスと図24のデバイスグループ情報テーブルとに従って特定されるデバイスグループを空の値に登録する。なお、この構成をとる場合、ICカード認証の場合、デバイスグループが空になっているユーザ情報は認証の対象外として処理される。
【0247】
以上説明した処理により、複合機はカードの識別情報で当該複合機にログイン可能にするために、複合機のアドレス情報とカードの識別情報を含む登録要求をICカード認証サーバに送信し、ICカード認証サーバは、複合機から登録要求を受信し、登録要求のアドレス情報に従って、デバイスグループを特定(取得)し、特定したデバイスグループを、受信したカードの識別情報と一致するICカード認証テーブルに登録されているカードの識別情報又は受信したカードの識別情報と対応付けることが実現できる。
【0248】
以上説明したように、本実施形態によれば、第1の実施形態に加えICカードを登録する際に登録作業を行う複合機に従ってデバイスグループを設定することができる。
【0249】
これにより、ユーザが利用可能なグループ(デバイスグループ)をユーザ情報に容易に設定できる。
【0250】
なお、図24はデバイスグループ情報テーブルを示す図で、図6などでデバイスグループを設定した際にICカード認証サーバの外部メモリ211に登録されるものである。図24は第1の実施形態〜第3の実施形態それぞれにおいて、デバイスグループをユーザ情報に登録する際に用いられる。
【0251】
デバイスグループ情報テーブルは、デバイスグループと、このデバイスグループに含まれる複合機を特定するためのアドレス情報が対応付いて記憶されている。
【0252】
なお、上述した各種データの構成及びその内容はこれに限定されるものではなく、用途や目的に応じて、様々な構成や内容で構成されることは言うまでもない。
【0253】
以上、一実施形態について示したが、本発明は、例えば、システム、装置、方法、プログラムもしくは記録媒体等としての実施態様をとることが可能であり、具体的には、複数の機器から構成されるシステムに適用しても良いし、また、一つの機器からなる装置に適用しても良い。
【0254】
また、本発明におけるプログラムは、図9〜図12、図15〜図17、図20、図21〜図23の処理方法をコンピュータが実行可能なプログラムであり、本発明の記憶媒体は図9〜図12の処理方法をコンピュータが実行可能なプログラムが記憶されている。なお、本発明におけるプログラムは図9〜図12、図15〜図17、図20、図21〜図23の各装置の処理方法ごとのプログラムであってもよい。
【0255】
以上のように、前述した実施形態の機能を実現するプログラムを記録した記録媒体を、システムあるいは装置に供給し、そのシステムあるいは装置のコンピュータ(またはCPUやMPU)が記録媒体に格納されたプログラムを読出し実行することによっても、本発明の目的が達成されることは言うまでもない。
【0256】
この場合、記録媒体から読み出されたプログラム自体が本発明の新規な機能を実現することになり、そのプログラムを記憶した記録媒体は本発明を構成することになる。
【0257】
プログラムを供給するための記録媒体としては、例えば、フレキシブルディスク,ハードディスク,光ディスク,光磁気ディスク,CD−ROM,CD−R,DVD−ROM,磁気テープ,不揮発性のメモリカード,ROM,EEPROM,シリコンディスク等を用いることができる。
【0258】
また、コンピュータが読み出したプログラムを実行することにより、前述した実施形態の機能が実現されるだけでなく、そのプログラムの指示に基づき、コンピュータ上で稼働しているOS(オペレーティングシステム)等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0259】
さらに、記録媒体から読み出されたプログラムが、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書き込まれた後、そのプログラムコードの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPU等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0260】
また、本発明は、複数の機器から構成されるシステムに適用しても、1つの機器からなる装置に適用してもよい。また、本発明は、システムあるいは装置にプログラムを供給することによって達成される場合にも適応できることは言うまでもない。この場合、本発明を達成するためのプログラムを格納した記録媒体を該システムあるいは装置に読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。
【0261】
さらに、本発明を達成するためのプログラムをネットワーク上のサーバ,データベース等から通信プログラムによりダウンロードして読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。
【0262】
なお、上述した各実施形態およびその変形例を組み合わせた構成も全て本発明に含まれるものである。
【符号の説明】
【0263】
100 複合機
200 ICカード認証サーバ
300 ディレクトリサービスサーバ
400 ローカルエリアネットワーク(LAN)
500 WAN
700 クライアントPC
201 CPU
211 外部メモリ
301 CPU
302 RAM
308 操作部
319 カードリーダ
【技術分野】
【0001】
本発明は、認証処理を行う認証システム、画像形成装置、ユーザ管理装置に関するものである。
【背景技術】
【0002】
近年、複合機を使用する際に、使用者を限定する目的から例えばICカードを複合機のカードリーダにかざすことによって、ICカードからよみとられた認証情報について認証情報管理装置(ICカード認証サーバ)へ問い合わせを行い、認証情報が登録されていれば認証成功を複合機に応答し、複合機を使用可能とするシステムが既に存在する。
【0003】
この様なシステムではユーザに複合機で使用できる機能を制限したい場合がある。例えばユーザAはコピーのみ使用可能、ユーザBはコピーとFAXが使用可能など、ユーザ毎に機能を制限したい場合がある。
【0004】
このように、ユーザ単位で使用可能な機能を設定する、または複合機単位/複合機を纏めたグループ単位で使用可能な機能を設定するシステムが特許文献1に開示されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2007−286908号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
特許文献1のシステムでは、複合機で使用可能な機能をユーザ単位もしくは複合機単位/複合機を纏めたグループ単位で設定可能としている。
【0007】
しかし、この場合、新たに複合機を導入する毎に再度設定を行う必要がある為、管理者の作業負荷が大きいという課題があった。
【0008】
また、複合機を利用する際には、ICカードなどをかざすことでユーザ認証を行い、ユーザ認証された場合に複合機が利用できる仕組みが存在するが、一般的に、ユーザはどの複合機であれば自分が使えるのかといったことまで意識せず、自社に設置してある複合機を利用する。
【0009】
そのため、ユーザごとに使える複合機を設定しておくような仕組みを用いた運用がされている場合には、いつも利用している複合機以外の複合機を利用する際、ICカードをかざして認証を行った結果、認証は成功したが使えない複合機として設定されているため、ICカードをかざしたユーザが複合機を利用できないといったことが生じる。この場合、ユーザは利用できる複合機を探すか、いつも使っている複合機までいって複合機を利用しなければならず、不便であった。
【0010】
そこで、本発明の目的は、画像形成装置のグループを設定し、設定されたグループを、ユーザが利用可能なグループとしてユーザ情報に設定することで、認証に応じた画像形成装置の利用を制限し、セキュリティの高い仕組みを提供する。
【0011】
また、認証要求のあった画像形成装置が、ユーザが利用可能な画像形成装置のグループの画像形成装置でない場合の権限を設定することで、他の画像形成装置の利用を可能にするとともに、不要な利用を制限したセキュリティの高い仕組みを提供する。
【0012】
さらに、画像形成装置からユーザが利用可能なグループの画像形成装置を検索することができ、利便性の高い仕組みを提供する。
【0013】
画像形成装置のグループに従って、画像形成装置からの記憶媒体(例えばICカード)の登録の制御を行うことができ、不要な記憶媒体の登録を防ぐことができる。また、不要な記憶媒体の登録を防ぐことによってセキュリティの高い仕組みを提供する。
【課題を解決するための手段】
【0014】
本発明の目的を達成するために、画像形成装置と、ユーザが利用可能な画像形成装置を特定するための第1のアドレスを含むデバイス制限情報と、ユーザ認証するための第1の識別情報を含むユーザ情報とを管理するユーザ管理装置とを含む認証システムであって、前記画像形成装置は、ユーザ認証するための第2の識別情報を取得する識別情報取得手段と、前記識別情報取得手段で取得した第2の識別情報と、当該画像形成装置の第2のアドレスとを含む認証要求を送信する認証要求送信手段と、前記認証要求送信手段に従って、前記ユーザ管理装置から認証結果を受信する認証結果受信手段と、前記認証結果受信手段で受信した認証結果に従ってログインするログイン手段とを備え、前記ユーザ管理装置は、前記画像形成装置から前記認証要求を受信する認証要求受信手段と、前記認証要求受信手段で受信した認証要求に含まれる第2の識別情報と前記第1の識別情報によって特定されるユーザ情報に含まれる前記第1のアドレスと、認証要求に含まれる前記第2のアドレスとに従って、認証要求のあった前記画像形成装置が前記第2の識別情報に対応するユーザが利用可能な画像形成装置かであるか否かを判定する利用判定手段と、前記利用判定手段で、認証要求のあった前記画像形成装置が利用可能であると判定される場合に、認証成功を示す情報を含む認証結果を送信し、前記利用判定手段で、認証要求のあった前記画像形成装置が利用可能でないと判定される場合に、前記認証失敗を示す情報を含む認証結果を送信する認証結果送信手段とを備えることを特徴とする。
【0015】
また、前記ユーザ管理装置は、前記デバイス制限情報と、当該第1のアドレスに含まれる画像形成装置を利用する際の、画像形成装置の利用可能な機能を定義する第1の機能制限情報と、当該第1のアドレスに含まれない画像形成装置を利用する際の、画像形成装置の利用可能な機能を定義する第2の機能制限情報とを、前記第1の識別情報と対応付けて管理し、前記ユーザ認証するための第1の識別情報と前記デバイス制限情報を対応付ける第1のデバイス制限情報設定手段を更に備え、前記デバイス制限情報設定手段は、前記デバイス制限情報に含まれる第1のアドレスに含まれない画像形成装置を利用する際の第2の機能制限情報を設定することを特徴とする。
【0016】
また、前記画像形成装置は、前記認証結果受信手段で受信した認証結果に従って、前記第1の機能制限情報を用いてログイン可能な画像形成装置か否かを判定する判定手段と、前記判定手段で、前記第1の機能制限情報を用いてログイン可能な画像形成装置でないと判定される場合に、前記第2の機能制限情報を用いてログインすることを通知する通知手段とを更に備えることを特徴とする。
【0017】
また、前記認証結果は、前記第1の識別情報を含むユーザ情報を含み、前記通知手段は、前記第1の機能制限情報を用いてログイン可能な画像形成装置を検索するために、前記ユーザ情報を含む検索要求を送信する検索要求送信手段を更に備え、前記ユーザ管理装置は、前記画像形成装置から検索要求を受信する検索要求受信手段と、前記検索要求受信手段で受信した検索要求に含まれるユーザ情報に従って、前記デバイス制限情報を前記画像形成装置に送信するデバイス制限情報送信手段とを更に備えることを特徴とする。
【0018】
また、前記画像形成装置は、前記デバイス制限情報を表示するデバイス制限情報表示手段を更に備えることを特徴とする。
【0019】
また、前記画像形成装置は、前記第2の識別情報で当該画像形成装置にログイン可能にするべく、当該画像形成装置の第2のアドレス情報と前記第2の識別情報を含む登録要求を送信する登録要求送信手段を更に備え、前記ユーザ管理装置は、前記画像形成装置から前記登録要求を受信する登録要求受信手段と、
【0020】
前記登録要求の第2のアドレス情報に従って、前記デバイス制限情報を取得するデバイス制限情報取得手段と、前記取得したデバイス制限情報を、前記第2の識別情報と一致する第1の識別情報又は前記第2の識別情報と対応付ける第1のデバイス制限情報設定手段とを更に備えることを特徴とする。
【0021】
また、前記デバイス制限情報は、第1のアドレスに対応付いて記憶されるデバイスグループ名又はデバイス名であることを特徴とする。
【0022】
また、前記第1のアドレスは、IPアドレス又はネットワーク情報であり、前記第2のアドレスはIPアドレスであることを特徴とする。
【0023】
また、前記ユーザ管理装置は、前記画像形成装置に含まれることを特徴とする。
【発明の効果】
【0024】
画像形成装置のグループを設定し、設定されたグループを、ユーザが利用可能なグループとしてユーザ情報に設定することで、認証に応じた画像形成装置の利用を制限し、セキュリティを高めることができる。
【0025】
また、認証要求のあった画像形成装置が、ユーザが利用可能な画像形成装置のグループの画像形成装置でない場合の権限を設定することで、他の画像形成装置の利用を可能にするとともに、不要な利用を制限し、セキュリティを高めることができる。
【0026】
さらに、画像形成装置からユーザが利用可能なグループの画像形成装置を検索することができ、利便性の高めることができる。
【図面の簡単な説明】
【0027】
【図1】ICカード認証システムの構成の一例を示すシステム構成図
【図2】ICカード認証サーバ200、ディレクトリサービスサーバ300、クライアントPC700に適用可能な情報処理装置のハードウェア構成図
【図3】複合機100のハードウェア構成図
【図4】ICカード認証システムにおける複合機100とICカード認証サーバ200の機能ブロック図
【図5】ICカード認証用テーブルの構成を示す図
【図6】デバイス管理画面の一例を示す図
【図7】ユーザ情報編集画面の一例を示す図
【図8】機能制限確認画面800Aと検索結果表示画面800Bの一例を示す図
【図9】デバイスグループの登録処理を示すフローチャート
【図10】ICカードがカードリーダにかざされた場合の処理を示すフローチャート
【図11】認証処理を示すフローチャート
【図12】デバイスグループの検索処理を示すフローチャート
【図13】機能制限情報の構成を示す図
【図14】機能制限情報と権限グループとの対応付けテーブルを示す図
【図15】ICカードがカードリーダにかざされた場合の処理を示すフローチャート(第2の実施形態)
【図16】キーボード認証処理を示すフローチャート(第2の実施形態)
【図17】カード登録処理を示すフローチャート(第2の実施形態)
【図18】ユーザ確認画面1800Aとカード登録成功画面1800Bと認証NG画面1800CAの一例を示す図
【図19】ICカード認証用テーブルに記憶されたユーザ情報の一例を示す図
【図20】キーボード認証処理を示すフローチャート(第3の実施形態)
【図21】登録通知画面の一例を示す図
【図22】キーボード認証処理を示すフローチャート(第3の実施形態)
【図23】カード登録処理を示すフローチャート(第3の実施形態)
【図24】デバイスグループ情報テーブルを示す図
【発明を実施するための形態】
【0028】
〔第1の実施形態〕
以下、図面を参照して、本発明の実施形態を詳細に説明する。
【0029】
図1は、本発明のICカード認証システムの構成の一例を示すシステム構成図である。
【0030】
図1は、1又は複数の複合機100、ICカード認証サーバ200、複数のディレクトリサービスサーバ300がローカルエリアネットワーク(LAN)400を介して通信可能に接続される構成となっている。
【0031】
ICカード認証サーバ200(ユーザ管理装置)は、ICカード認証用テーブル(後述する図5に示す)を記憶し、複合機100からのICカードによる認証依頼、またはユーザ名とパスワードによる認証依頼に応じて、該ICカード認証用テーブルを用いて認証処理を行う。
【0032】
ディレクトリサービスサーバ300は、ネットワーク上に存在するサーバ、クライアント等のハードウェア資源や、それらを使用するユーザの属性(例えば、マイクロソフト社のWindows(登録商標)のログインユーザ名,パスワード)、アクセス権等の情報を一元記憶管理するものであり、例えば、アクティブディレクトリ(Active Directory(商標、以下省略))機能を搭載したサーバである。
【0033】
クライアントPC700は、ICカード認証サーバ管理ツールをインストールしたクライアントPCである。ICカード認証サーバ管理ツールからICカード認証サーバにアクセスし、ICカード認証サーバ管理ツールの図6や図7の画面から設定作業を行う事が可能である。
【0034】
ICカード認証サーバ管理ツールは、ICカード認証サーバ200にインストールされている構成でも良く、ICカード認証サーバ200で設定を行うことも可能である。
【0035】
また、本実施形態のICカード認証システムは、上述した構成の1又は複数の複合機100,ICカード認証サーバ200,ディレクトリサービスサーバ300がLAN400を介して接続されるWAN500を介して接続される構成であってもよい。
【0036】
さらに、ICカード認証に限らず、指紋などの生体認証を用いた認証システムにも適用可能である。
【0037】
なお、ICカード認証サーバ200で記憶するICカード認証用テーブルを、複合機100のHDD304に記憶し、認証処理(図11)を複合機100内で行うような構成を取ることも可能である。
【0038】
以下、図2を用いて、図1に示したICカード認証サーバ200,ディレクトリサービスサーバ300、クライアントPC700に適用可能な情報処理装置のハードウェア構成について説明する。
【0039】
図2は、図1に示したICカード認証サーバ200、ディレクトリサービスサーバ300、クライアントPC700に適用可能な情報処理装置のハードウェア構成を示すブロック図である。
【0040】
図2において、201はCPUで、システムバス204に接続される各デバイスやコントローラを統括的に制御する。また、ROM202あるいは外部メモリ211には、CPU201の制御プログラムであるBIOS(Basic Input / Output System)やオペレーティングシステムプログラム(以下、OS)や、各サーバ或いは各PCの実行する機能を実現するために必要な後述する各種プログラム等が記憶されている。
【0041】
203はRAMで、CPU201の主メモリ、ワークエリア等として機能する。CPU201は、処理の実行に際して必要なプログラム等をROM202あるいは外部メモリ211からRAM203にロードして、該ロードしたプログラムを実行することで各種動作を実現するものである。
【0042】
また、205は入力コントローラで、キーボード(KB)209や不図示のマウス等のポインティングデバイス等からの入力を制御する。206はビデオコントローラで、液晶ディスプレイなどのディスプレイ210への表示を制御する。これらは必要に応じて管理者が使用するものである。
【0043】
207はメモリコントローラで、ブートプログラム,各種のアプリケーション,フォントデータ,ユーザファイル,編集ファイル,各種データ等を記憶する外部記憶装置(ハードディスク(HD))や、フレキシブルディスク(FD)、或いはPCMCIAカードスロットにアダプタを介して接続されるコンパクトフラッシュ(登録商標)メモリ等の外部メモリ211へのアクセスを制御する。
【0044】
208は通信I/Fコントローラで、ネットワーク(例えば、図1に示したLAN400)を介して外部機器と接続・通信するものであり、ネットワークでの通信制御処理を実行する。例えば、TCP/IPを用いた通信等が可能である。
【0045】
なお、CPU201は、例えばRAM203内の表示情報用領域へアウトラインフォントの展開(ラスタライズ)処理を実行することにより、ディスプレイ210上での表示を可能としている。また、CPU201は、ディスプレイ210上の不図示のマウスカーソル等でのユーザ指示を可能とする。
【0046】
本発明を実現するための後述する各種プログラムは、外部メモリ211に記録されており、必要に応じてRAM203にロードされることによりCPU201によって実行されるものである。さらに、上記プログラムの実行時に用いられる定義ファイル及び各種情報テーブル等も、外部メモリ211に格納されており、これらについての詳細な説明も後述する。
【0047】
次に、図3を用いて、本発明の画像形成装置としての複合機100のハードウェア構成について説明する。
【0048】
図3は、図1に示した複合機100のハードウェア構成の一例を示すブロック図である。
【0049】
図3において、316はコントローラユニットで、画像入力デバイスとして機能するスキャナ部314や、画像出力デバイスとして機能するプリンタ部312と接続する一方、LAN(例えば、図1に示したLAN400)や公衆回線(WAN)(例えば、PSTNまたはISDN等)と接続することで、画像データやデバイス情報の入出力を行う。
【0050】
コントローラユニット316において、301はCPUで、システム全体を制御するプロセッサである。302はRAMで、CPU301が動作するためのシステムワークメモリであり、プログラムを記録するためのプログラムメモリや、画像データを一時記録するための画像メモリでもある。
【0051】
303はROMで、システムのブートプログラムや各種制御プログラムが格納されている。304は外部記憶装置(ハードディスクドライブ(HDD))で、システムを制御するための各種プログラム,画像データ等を格納する。
【0052】
307は操作部インタフェース(操作部I/F)で、操作部(UI)308とのインタフェース部であり、操作部308に表示する画像データを操作部308に対して出力する。また、操作部I/F307は、操作部308から本システム使用者が入力した情報(例えば、ユーザ情報等)をCPU301に伝える役割をする。なお、操作部308はタッチパネルを有する表示部を備え、該表示部に表示されたボタンを、ユーザが押下(指等でタッチ)することにより、各種指示を行うことができる。
【0053】
305はネットワークインタフェース(Network I/F)で、ネットワーク(LAN)に接続し、データの入出力を行う。306はモデム(MODEM)で、公衆回線に接続し、FAXの送受信等のデータの入出力を行う。
【0054】
318は外部インタフェース(外部I/F)で、USB、IEEE1394,プリンタポート,RS−232C等の外部入力を受け付けるI/F部であり、本実施形態においては認証で必要となるICカード(記憶媒体)の読み取り用のカードリーダ319が外部I/F部318に接続されている。そして、CPU301は、この外部I/F318を介してカードリーダ319によるICカードからの情報読み取りを制御し、該ICカードから読み取られた情報を取得可能である。以上のデバイスがシステムバス309上に配置される。
【0055】
320はイメージバスインタフェース(IMAGE BUS I/F)であり、システムバス309と画像データを高速で転送する画像バス315とを接続し、データ構造を変換するバスブリッジである
【0056】
画像バス315は、PCIバスまたはIEEE1394で構成される。画像バス315上には以下のデバイスが配置される。
【0057】
310はラスタイメージプロセッサ(RIP)で、例えば、PDLコード等のベクトルデータをビットマップイメージに展開する。311はプリンタインタフェース(プリンタI/F)で、プリンタ部312とコントローラユニット316を接続し、画像データの同期系/非同期系の変換を行う。また、313はスキャナインタフェース(スキャナI/F)で、スキャナ部314とコントローラユニット316を接続し、画像データの同期系/非同期系の変換を行う。
【0058】
317は画像処理部で、入力画像データに対し補正、加工、編集を行ったり、プリント出力画像データに対して、プリンタの補正、解像度変換等を行う。また、これに加えて、画像処理部317は、画像データの回転や、多値画像データに対してはJPEG、2値画像データはJBIG、MMR、MH等の圧縮伸張処理を行う。
【0059】
スキャナ部314は、原稿となる紙上の画像を照明し、CCDラインセンサで走査することで、ラスタイメージデータとして電気信号に変換する。原稿用紙は原稿フィーダのトレイにセットし、装置使用者が操作部308から読み取り起動指示することにより、CPU301がスキャナ部314に指示を与え、フィーダは原稿用紙を1枚ずつフィードし原稿画像の読み取り動作を行う。
【0060】
プリンタ部312は、ラスタイメージデータを用紙上の画像に変換する部分であり、その方式は感光体ドラムや感光体ベルトを用いた電子写真方式、微少ノズルアレイからインクを吐出して用紙上に直接画像を印字するインクジェット方式等があるが、どの方式でも構わない。プリント動作の起動は、CPU301からの指示によって開始する。なお、プリンタ部312には、異なる用紙サイズまたは異なる用紙向きを選択できるように複数の給紙段を持ち、それに対応した用紙カセットがある。
【0061】
操作部308は、LCD表示部を有し、LCD上にタッチパネルシートが貼られており、システムの操作画面を表示するとともに、表示してあるキーが押されるとその位置情報を操作部I/F307を介してCPU301に伝える。また、操作部308は、各種操作キーとして、例えば、スタートキー、ストップキー、IDキー、リセットキー等を備える。
【0062】
ここで、操作部308のスタートキーは、原稿画像の読み取り動作を開始する時などに用いる。スタートキーの中央部には、緑と赤の2色LEDがあり、その色によってスタートキーが使える状態にあるかどうかを示す。また、操作部308のストップキーは、稼働中の動作を止める働きをする。また、操作部308のIDキーは、使用者のユーザIDを入力する時に用いる。リセットキーは、操作部からの設定を初期化する時に用いる。
【0063】
カードリーダ319は、CPU301からの制御により、ICカード(例えば、ソニー社のフェリカ(FeliCa)(登録商標))内に記憶されている情報を読み取り、該読み取った情報を外部I/F318を介してCPU301へ通知する。 なお、コントローラユニット316とプリンタ部312とスキャナ部314と操作部308とカードリーダ319は、複合機100で同一筐体に備えている。
【0064】
次に、図4のICカード認証システムにおける複合機100とICカード認証サーバ200の機能ブロック図を用いて、ICカード認証システムの処理を説明する。
【0065】
複合機100は、401〜407の各機能部を有しており、CPU301が各機能部を実行する。ICカード認証サーバ200は、408〜412の各機能部を有しており、CPU201が各機能部を実行する。
【0066】
まず、複合機100のユーザ情報設定部408は、ユーザ情報をディレクトリサービスサーバ300から取得し、図5のICカード認証用テーブルに記憶する。記憶されたユーザ情報に対して、図7のユーザ情報編集画面を介して、カード情報503や機能制限情報507やデバイス制限情報520デバイスグループ以外の場合の機能制限情報530を設定する。また、図6のデバイス管理画面を介して、デバイスグループを生成し、デバイスグループにIPアドレスやサブネットマスクを設定する。
【0067】
認証情報取得部401は、カードリーダ319により読み取り可能なICカードを検知すると、該ICカード内の個人認証情報を取得する。認証情報送信部402は、取得した個人認証情報を認証要求としてICカード認証サーバ200に送信する。この認証要求では、複合機100のIPアドレスも送信される。このIPアドレスはTCP/IP通信上で送信されるIPアドレスも含む。個人認証情報は、認証に用いられる情報であり該ICカードの製造番号でも良い。
【0068】
ICカード認証サーバ200の認証情報受信部409は、複合機100より個人認証情報を受信する。認証部410は、受信した個人認証情報の認証処理をICカード認証サーバ200の外部記憶装置上に記憶されるICカード認証用テーブル(図5)に基づいて行い、ICカード認証用テーブル(図5)に個人認証情報がある場合には、個人認証情報を受信した際に取得できるIPアドレスと図5のデバイス制限情報520とに従って、ユーザが通常利用する権限で複合機100を利用できるかを判断する。
【0069】
認証結果送信部411は、デバイスグループ情報に取得したIPアドレスが含まれる場合には、ユーザが通常利用可能な権限(機能制限情報507)を含むユーザ情報と認証OKの認証結果を複合機100に送信する。また、認証結果送信部411は、デバイスグループ情報に取得したIPアドレスが含まれない場合には、デバイスグループに含まれないデバイスを利用する際の権限(機能制限情報530)を含むユーザ情報と認証OKの認証結果を複合機100に送信する。さらに、認証結果送信部411は、ICカード認証用テーブル(図5)に個人認証情報がない場合と、デバイスグループ情報に取得したIPアドレスが含まれない場合でデバイスグループが設定されていない場合には、認証NGの認証結果を複合機100に送信する。
【0070】
なお、認証結果は、ユーザが通常利用可能な権限(機能制限情報507)か、デバイスグループに含まれないデバイスを利用する際の権限(機能制限情報530)かを識別する情報を含んでいる。この識別情報は、ユーザが通常利用可能な権限(機能制限情報507)をフラグ「0」、デバイスグループに含まれないデバイスを利用する際の権限(機能制限情報530)をフラグ「1」として、認証結果にフラグを含むようにする。或いは、機能制限情報をユーザが通常利用可能な権限(機能制限情報507)の場合と、デバイスグループに含まれないデバイスを利用する際の権限(機能制限情報530)の場合のそれぞれを定義しておき、機能制限情報名に識別可能な情報を付し、その機能制限情報名を認証結果に含めるような構成としてもよい。
【0071】
また、デバイスを利用する際の権限(機能制限情報530)は、ユーザが通常利用可能な権限(機能制限情報507)より低い権限が設定されているものとするが、権限の一部がデバイスを利用する際の権限(機能制限情報530)の方が高い権限であった場合には、その権限が一致しない項目については、低い権限を利用するものとする。
【0072】
複合機100の認証結果受信部403は、ICカード認証サーバ200から認証結果を受信し、認証結果記憶部404は、認証結果のユーザ情報をRAM302に記憶する。権限判定部405は、RAM302に記憶されたユーザ情報に含まれる権限情報が、ユーザが通常利用可能な権限(機能制限情報507)である場合には、この機能制限情報507に従って、複合機100へのログインを行う。このログインは、複合機100のプラットフォーム(例えば、オペレーティングシステム)に対して機能制限情報507を用いて、ログイン要求することである。ログイン要求を受け付けた複合機100のプラットフォーム側は、この機能制限情報507を参照し、複合機100のプリント機能やスキャン機能を使えないように制限する。
【0073】
また、ユーザ情報に含まれる権限情報が、デバイスグループに含まれないデバイスを利用する際の権限(機能制限情報530)である場合には、図8の機能制限確認画面800Aを操作部308に表示させ、ユーザが通常利用可能な権限(機能制限情報507)より低い権限である、デバイスグループに含まれないデバイスを利用する際の権限(機能制限情報530)に従って、複合機100へのログインを行う。このログインは、複合機100のプラットフォーム(例えば、オペレーティングシステム)に対して機能制限情報530を用いて、ログイン要求することである。ログイン要求を受け付けた複合機100のプラットフォーム側は、この機能制限情報530を参照し、複合機100のプリント機能やスキャン機能を使えないように制限する。
【0074】
また、デバイスグループに含まれないデバイスを利用する際の権限(機能制限情報530)を用いる場合には、ユーザの指示に従って、デバイスグループ検索要求部407はユーザが通常利用可能な権限(機能制限情報507)で利用できる複合機又は複合機が設置してある場所(フロア名)を取得するために、ICカード認証サーバ200へユーザ情報(例えば、ユーザ名)を用いて要求を行う。また、ICカード認証サーバ200のデバイスグループ検索部412は、要求に含まれるユーザ情報に従って、デバイスグループ521を取得し、複合機100へ送信する。複合機100の表示制御部406は、ICカード認証サーバ200から受信したデバイスグループを用いて図8の検索結果表示画面800Bを表示する。
【0075】
次に、図5を参照して、ICカード認証用テーブルについて説明する。
【0076】
図5は、本実施形態のICカード認証システムにおけるICカード認証用テーブルの一例を示すデータ構成図である。なお、ICカード認証テーブルは、ICカード認証サーバ200の外部メモリ211に記憶される。
【0077】
図5に示すように、ICカード認証用テーブルは、ユーザ名501、認証ドメイン名502、カード情報503、メールアドレス504、有効期限505、有効/無効506、機能制限情報507、部門ID508、部門パスワード509、デバイス制限情報520、デバイスグループ以外の場合の機能制限情報530等から構成される。また、カード情報503は、カード番号511、正当性情報512、カード名称513を含む。カード情報は、1ユーザに対して複数登録可能となっている。デバイス制限情報520は、デバイスグループ521、IPアドレス522、サブネットマスク523を含む。
【0078】
ユーザ名501は、複合機100を使用するユーザの名称であり、認証結果に含まれる情報である。このユーザ名で複合機100へのログインがなされる。また、ログインされるとこのユーザ名が操作部308へユーザ名が表示される。
【0079】
認証ドメイン名502は、認証先のサーバがネットワーク上で何処にあるかを示す。認証先は、ICカード認証サーバ200やディレクトリサービスサーバ300などである。
【0080】
カード情報503は、ユーザが複合機100を使用するためのICカードのカード情報である。本実施形態において、ICカードのカード情報503はすなわち複合機100(画像形成装置)の使用を許可する(ユーザ認証する)キー情報である。カード情報503は、カード番号511、正当性情報512、カード名称513を含む。
【0081】
カード番号511は、個々のカードを識別するための数字、文字の列であり、このカード番号と、カードリーダ319がICカードから読み出したカード番号と比較するための情報で、一致した場合には認証成功となり、一致しない場合には認証失敗となる。なお、正当性情報512、カード名称513については後述する。
【0082】
メールアドレス504は、ユーザの所有するメールアドレスであり、複合機100の使用に関する通知をユーザに行う際などに使用される。有効期限505は、ユーザに定められた複合機100の使用の有効期限である。有効期限を超えると、そのユーザが複合機100を使用することができなくなる。
【0083】
有効/無効506は、そのユーザが複合機100を使用できるかどうかを示す情報である。有効期限を超えるなどの理由により、複合機100を使用できない場合には、無効を示す情報が書き込まれる。
【0084】
機能制限情報507は、そのユーザに設定されているデバイスグループに含まれる複合機100を使用にする際に複合機の機能を制限する内容を示すもので、ユーザが通常利用する複合機(例えば、ユーザが普段利用するフロアの複合機)の機能を制限するものある。機能制限情報507は、図13の機能制限情報を紐付ける事で実現する。機能制限情報の詳細は、図13にて記載する。なお、機能制限情報507に記憶される情報は、機能制限情報に紐付く名称が記憶される。なお、機能制限情報507は、デバイスグループに含まれる複合機100の利用可能な機能を定義する第1の機能制限情報と言い換えることができる。
【0085】
部門ID508は、ユーザの所属する社内部門を示すIDである。部門パスワード509は、部門ID508に付随するパスワードである。
【0086】
以下にカード情報503内の正当性情報512、カード名称513に関しての概要を説明する。
【0087】
カード情報503内の正当性情報512とは、ICカード内に登録された数値の情報である。この情報は、例えば、ICカードを紛失した際に、紛失したICカードと再発行したICカードを区別する為に使用する。
【0088】
例えば、紛失したICカードの正当性情報から値を1つ加算してICカードを再発行する事で、紛失したICカードとの区別をする事が可能となる。紛失したICカードの悪用を防ぎ、セキュリティを保つ事ができる。
【0089】
カード名称513は、カード情報削除画面(不図示)などでICカードのカード番号を表示する際に、ともに表示し、ユーザが判別し易いようにするものである。カード名称は、カード情報登録時のカード登録・カード名称入力画面(不図示)で設定が可能である。
【0090】
以下にデバイスグループ521、IPアドレス522、サブネットマスク523に関しての概要を説明する。
【0091】
デバイスグループ521は、デバイスグループの名称を表し、一意の情報となる。IPアドレス522は、デバイスグループのIPアドレスであり、1つのデバイスグループに複数設定可能である。また、サブネットマスク523はIPアドレスの範囲が設定される。
【0092】
このデバイス制限情報520は、図7のユーザ編集画面で設定されることによって記憶される情報である。また、図7のユーザ編集画面で設定することのできるデバイス制限情報は図6のデバイス管理画面で設定することができる情報である。
【0093】
デバイスグループ以外の場合の機能制限情報530は、デバイスグループに含まれない複合機100の機能を制限する内容を示す。なお、機能制限情報530は、デバイスグループに含まれない複合機100の利用可能な機能を定義する第1の機能制限情報と言い換えることができる。
【0094】
また、IPアドレス522、サブネットマスク523は、ユーザが利用可能な複合機を特定するための第1のアドレスと言い換えることができる。
【0095】
また、図19は、前述の各ユーザ情報をICカード認証用テーブルに記憶した際の、一例を示す図となる。
【0096】
次に、図6と図9を参照して、デバイスグループを登録する処理を説明する。
【0097】
なお、図9のステップS901〜ステップS905の処理は、CPU201によって実行される。
【0098】
ステップS901では、テキストエリア611にデバイスグループの名称を入力し、グループ追加ボタン612を押下してデバイスグループを登録する。登録されたデバイスグループは、601や603の様にツリー構造の上位に表示される。
【0099】
ステップS902では、登録したデバイスグループに対してデバイス情報(IPアドレス、またはIPアドレスとサブネットマスク)を登録する。IPアドレスのみで登録する場合は、テキストエリア613にIPアドレスを入力して、デバイス追加ボタン616を押下して登録する。登録されたIPアドレスは602のようにツリー構造の下位に表示される。
【0100】
IPアドレスとサブネットマスクで登録する場合は、テキストエリア614にIPアドレスを入力し、テキストエリア615にサブネットマスクを入力して、デバイス追加ボタン616を押下して登録する。登録されたIPアドレスは604のように「IPアドレス/サブネットマスク値」の形式でツリー構造の下位に表示される。デバイス情報は、1つのデバイスグループに対して複数登録可能である。
【0101】
登録した情報は、ICカード認証サーバ200の外部メモリ211に記憶される。IPアドレスとサブネットマスクで登録する場合は、特定のネットワーク(ネットワークアドレス(ネットワーク情報))を指定するもので、そのネットワーク内の複合機を対象とするための設定である。
【0102】
次に図7と図9を参照して、図6で登録したデバイスグループをユーザ情報に登録する処理を説明する。
【0103】
ステップS903では、ユーザの指示に従って、デバイスグループをユーザ情報に登録するか否かを判定する。登録すると判定した場合にはステップS904へ処理を移す。登録しない、つまり終了指示がなされたら処理を終了とする。
【0104】
ステップS904では、ユーザ編集画面にてユーザ情報に登録するデバイスグループをプルダウンメニュー703から選択し、追加ボタン704を押下してユーザにデバイスグループを登録する(デバイス制限情報設定)。ユーザには複数のデバイスグループを登録することが可能である。なお、プルダウンメニュー703は、図6で登録したデバイスグループがセットされる。
【0105】
ステップS905では、ユーザがラジオボタン705、706を選択することによって、認証時の複合機100のIPアドレスがユーザに登録されたデバイスグループに該当しなかった場合の動作を設定する(第2の機能制限情報を設定)。ラジオボタン705(ログインできない)が選択されると、認証NGとなるように、デバイス制限情報520には情報が登録されない(NULL値となる)。
【0106】
また、ラジオボタン706(以下のグループの使用制限でログインする)を選択すると、プルダウンメニュー707で指定した機能制限情報で認証OKとなるように、プルダウンメニュー707で指定した機能制限情報がデバイス制限情報520に登録される。
【0107】
次に、図10を参照して、ICカードがカードリーダにかざされた場合の処理を説明する。
【0108】
なお、ステップS1001、ステップS1012〜ステップS1017の処理は、複合機100のCPU301が実行し、ステップS1001−1はICカード認証サーバ200のCPU201が実行する。なお、ステップS1001−1の処理については、図11にて説明する。
【0109】
まず、ステップS1001では、ユーザによってかざされたICカードからカード情報を取得し(第2の識別情報を取得)、また、複合機100が有するIPアドレスを取得する(第2のアドレスを取得)。取得したカード情報と複合機100のIPアドレスをICカード認証サーバ200に送信する(認証要求送信)。RAM302にカード情報を保持する。
【0110】
ステップS1001−1では、ICカード認証サーバ200はカード情報と複合機100のIPアドレスを受信し、認証処理を行う。
ここで、図11を用いて、認証処理について説明する。
【0111】
なお、ステップS1002〜ステップS1011の処理はICカード認証サーバ200のCPU201が実行する。
【0112】
ステップS1002では、カード情報と複合機100のIPアドレスを受信する(認証要求受信)。
【0113】
ステップS1003では、ステップS1002で受信したカード情報を元に、図5のICカード認証用テーブルからユーザ情報を検索する。
【0114】
ステップS1004では、ステップS1003の検索結果、ユーザ情報(ICカード認証用テーブルの501〜530の情報)を取得できた場合には認証成功(認証OK)としてステップS1005へ処理を移す。ユーザ情報を取得できない場合(ユーザ情報が登録されていない場合)には、ステップS1011へ処理を移す。
【0115】
ステップS1005では、ステップS1002で受信した複合機100のIPアドレスとステップS1003で取得したユーザ情報のデバイス制限情報との比較を行う。具体的には、IPアドレス522又は/及びサブネットマスク523を用いて、デバイスグループに含まれる複合機100のIPアドレスかを検査する(利用判定)。
【0116】
ステップS1006では、ステップS1005の比較結果、デバイスグループに含まれる複合機と判定された場合には、ステップS1007へ処理を移す。またデバイスグループに含まれない複合機と判定された場合には、ステップS1008へ処理を移す。
【0117】
ステップS1007では、デバイスグループに含まれる複合機と判定されると、認証OKの結果とユーザ情報(メールアドレス504、機能制限情報507等)の認証結果を複合機100に送信する(認証結果送信)。なお、この認証結果には、ユーザが通常利用する機能制限情報507が含まれていることを示す識別情報(フラグ等)を有している。
【0118】
ステップS1008では、デバイスグループに含まれない複合機と判定されると、デバイスグループ以外からの複合機からの認証要求があった場合に、認証とするかを判定する。認証とするかは、デバイスグループ以外の場合の機能制限情報530で判断する。デバイスグループ以外の場合の機能制限情報530に機能制限情報が含まれる場合、つまり、図7で707が設定されている場合には、ステップS1009へ処理を移す。デバイスグループ以外の場合の機能制限情報530に機能制限情報が含まれない場合(NULL値の場合)、つまり、図7で706が設定されている場合には、ステップS1011へ処理を移す。
【0119】
ステップS1009では、デバイスグループ以外の場合の機能制限情報530から機能制限情報を取得する。
【0120】
ステップS1010では、認証OK(デバイスグループ内で認証OK(通常認証OK)/デバイスグループ以外の場合の機能制限情報で認証OK)認証NGの結果とユーザ情報(メールアドレス504、デバイスグループ以外の場合の機能制限情報530等)の認証結果を複合機100に送信する(認証結果送信)。なお、この認証結果には、デバイスグループ以外の場合の機能制限情報530が含まれていることを示す識別情報(フラグ等)を有している。
【0121】
ステップS1011では、複合機100に認証NGの認証結果を送信する。
【0122】
続いて、図10に戻り、ステップS1012では、複合機100はICカード認証サーバ200から認証結果を受信する。
【0123】
ステップS1013では、ステップS1012で受信したICカード認証サーバ200からの認証結果の判断を行う。認証OKであった場合には、ステップS1014へ処理を移し、認証NGであった場合には、ステップS1017へ処理を移す。
【0124】
認証OKであった場合には、RAM302に認証結果に含まれるユーザ情報を記憶する。
【0125】
ステップS1017では、認証ができなかったことを示す認証NG画面(不図示)を操作部308に表示する。
【0126】
ステップS1014では、デバイスグループ以外の場合の機能制限情報530で認証OKであったかを、認証結果に含まれる識別情報で判断する。デバイスグループ以外の場合の機能制限情報530で認証OKであった場合には、ステップS1016へ処理を移し、ユーザが通常利用する機能制限情報507で認証OKであった場合には、ステップS1015へ処理を移す。
【0127】
なお、ステップS1014の処理は、言い換えると、機能制限情報507(第1の機能制限情報)を用いてログイン可能な複合機か否かを判定する処理である。機能制限情報507(第1の機能制限情報)を用いてログイン可能な複合機である場合には、ステップS1015へ処理を移し、機能制限情報507(第1の機能制限情報)を用いてログイン可能でない複合機の場合には、ステップS1016へ処理を移す。
【0128】
ステップS1015では、RAM302に記憶されているユーザ情報の機能制限情報507に従って、複合機100にログインをし、ログイン後の初期画面(不図示)を操作部308に表示する。初期画面とは、ログイン後にデフォルト表示する画面であり、管理者が任意に設定することができる。初期画面の一例として、プリント操作画面、スキャン操作画面などがあげられる。このログインは、複合機100のプラットフォーム(例えば、オペレーティングシステム)に対して機能制限情報507を用いて、ログイン要求することである。ログイン要求を受け付けた複合機100のプラットフォーム側は、この機能制限情報507を参照し、複合機100のプリント機能やスキャン機能を使えないように制限する。
【0129】
なお、初期画面を表示後、ユーザによって選択された機能制限されていない機能を実行する。例えば印刷機能を実行する場合、クライアントPC700から出力された、クライアントPC700にログインしたユーザのユーザ名を含む印刷ジョブが複合機100のHDD304に記憶されており、この印刷ジョブからログインしたユーザ名に対応する印刷ジョブを取得して、印刷ジョブ一覧を表示する。一覧表示した印刷ジョブをユーザが選択することによって、印刷ジョブをHDD304から取得してプリンタ部312から出力される。
【0130】
ステップS1016では、ユーザが通常利用する機能制限情報507を用いず、デバイスグループ以外の場合の機能制限情報530を用いてログイン処理が行われるため、ユーザに対して通常の機能制限と異なる機能制限になることを通知するべく、図8の機能制限確認画面800Aを操作部308に表示する。
【0131】
ここで、図8の画面について説明する。ユーザが通常利用する機能制限情報507を用いてログイン処理する場合には、機能制限確認画面800Aは表示されず、デバイスグループ以外の場合の機能制限情報530を用いる場合に、の機能制限確認画面800Aが表示される。
【0132】
機能制限確認画面800Aには、ユーザが通常利用する機能制限情報507を用いてログイン処理することが可能な複合機を検索するための検索ボタン801と、デバイスグループ以外の場合の機能制限情報530を用いてログイン処理を行うことを指示することが可能なOKボタン804を有している。
【0133】
検索ボタン801がユーザによって押下されると、複合機100からICカード認証サーバ200へ、ユーザ情報を送信することで得られるデバイスグループの名称を検索結果表示画面800Bに表示する。なお、検索結果表示画面800Bには、ユーザが通常利用する機能制限情報507を用いてログイン処理することが可能な複合機を特定するための情報を表示するようにすることも可能である。この複合機を特定するための情報とは、図6の602のIPアドレスやDNS(Domain Name Service)を用いて、IPアドレスから変換されるコンピュータ名(複合機名称(デバイス名))である。
【0134】
検索結果表示画面800Bには、機能制限確認画面800Aが表示されている画面に戻るための戻るボタン802と、デバイスグループ以外の場合の機能制限情報530が適用されログインすることで、ユーザが期待する処理ができないと考えた場合などにログインをしないようにする終了ボタン803を備えている。
【0135】
なお、終了ボタン803がユーザによって指示されると、指示を検知した複合機100は、ログインすることなく処理を終了する。そして、ユーザによってカードがカードリーダ319にかざされた場合に、ステップS1001へ処理が移れるように待機する。
【0136】
続いて、図10に戻り、ステップS1018では、機能制限確認画面800Aの検索ボタン801が押下されたか否かを判定する。検索ボタン801が押下された場合には、図12のステップS1201へ処理を移す。OKボタン804が押下された場合には、ステップS1015へ処理を移す。この場合、ステップS1015では、デバイスグループ以外の場合の機能制限情報530が適用されログインし、初期画面を操作部308に表示する。このログインは、複合機100のプラットフォーム(例えば、オペレーティングシステム)に対して機能制限情報530を用いて、ログイン要求することである。ログイン要求を受け付けた複合機100のプラットフォーム側は、この機能制限情報530を参照し、複合機100のプリント機能やスキャン機能を使えないように制限する。
【0137】
なお、初期画面を表示後、ユーザによって選択された機能制限されていない機能を実行する。例えば印刷機能を実行する場合、クライアントPC700から出力された、クライアントPC700にログインしたユーザのユーザ名を含む印刷ジョブが複合機100のHDD304に記憶されており、この印刷ジョブからログインしたユーザ名に対応する印刷ジョブを取得して、印刷ジョブ一覧を表示する。一覧表示した印刷ジョブをユーザが選択することによって、印刷ジョブをHDD304から取得してプリンタ部312から出力される。
【0138】
次に、図12を用いて、デバイスグループの検索処理について説明する。
【0139】
なお、ステップS1201、ステップS1205〜ステップS1207の処理は、複合機100のCPU301が実行する。また、ステップS1202〜ステップS1204の処理は、ICカード認証サーバ200のCPU201が実行する。
【0140】
ステップS1201では、ユーザが通常利用する機能制限情報507を用いてログインすることができる複合機又は、デバイスグループの名称(例えば、複合機の設置場所となるフロア)を取得するために、ICカード認証サーバ200にRAM302に記憶されているユーザ情報(例えば、ユーザ名やカード情報)を含むデバイスグループ要求を送信する(検索要求送信)。なお、RAM302に記憶されているユーザ情報以外に、ステップS1001で取得したカード情報を用いることも可能である。
【0141】
ステップS1202では、複合機100からユーザ情報(例えば、ユーザ名やカード情報)を含むデバイスグループ要求を受信する(検索要求受信)。
【0142】
ステップS1203では、ユーザ情報を元に、ICカード認証サーバ200の外部メモリに記憶されている図5のICカード認証用テーブルを検索して、デバイス制限情報520(521、522、523)を取得する。
【0143】
ステップS1204では、取得したデバイス制限情報520からデバイスグループ521を要求のあった複合機100へ送信する(デバイス制限情報送信)。なお、本実施形態では、取得したデバイス制限情報520のデバイスグループ521を送信するように構成したが、IPアドレス522或いはIPアドレス522から変換されたコンピュータ名(複合機名)を送るようにしてもよい。これは管理者が任意に設定できるものとし、設定に応じた情報を複合機100に送信する。
【0144】
ステップS1205では、ICカード認証サーバ200からデバイスグループ521を受信する。
【0145】
ステップS1206では、受信したデバイス制限情報520に従って、図8の検索結果表示画面800Bを複合機100の操作部308に表示する(デバイス制限情報表示)。
【0146】
ステップS1207では、検索結果表示画面800Bの戻るボタン802が押下されたか否かを判定する。戻るボタン802が押下されたと判定した場合には図8の機能制限確認画面800Aが表示されている画面に戻り、ユーザによって検索ボタン801かOKボタン804が押下されたことを検知するまで待機する。また、終了ボタン803が押下された場合には処理を終了し、複合機100のRAM302に記憶されているユーザ情報を削除する。
【0147】
次に、図13と図14を用いて機能制限情報について説明する。図13は、機能制限情報507とデバイスグループ以外の場合の機能制限情報530に記憶される機能制限情報の設定を示す図である。図14は、機能制限情報と権限グループを対応付ける対応付けテーブルを示す図である。
【0148】
機能制限情報は、複合機100の各機能の使用制限を詳細に設定する事が可能で、例えばデバイス制限項目の印刷を「許可する/許可しない」を設定する事で印刷可否の制限を指定できる。この機能制限情報は、管理者があらかじめ設定するもので、図14の権限グループ設定情報に示すように、管理者が任意に付けた権限グループ名1401に対応付けて記憶されている。
【0149】
なお、複数の機能制限情報を1つの権限グループ名1401に紐付けることも可能である。また、機能制限情報ごとに機能制限情報名1402を持たせて、この機能制限情報名1402を用いて紐づけを行っている。
【0150】
本実施形態では、機能制限情報507とデバイスグループ以外の場合の機能制限情報530には、機能制限情報名1402が記憶され、この機能制限情報名1402に対応づく、図13で設定されている機能制限情報が複合機100へ送信される。
【0151】
なお、図7の707で設定される情報は、図14の権限グループであり、ここで権限グループが設定されると、その権限グループに対応する機能制限情報名を図14から導き出し、機能制限情報名がデバイスグループ以外の場合の機能制限情報530に格納される。なお、707はGeneralUaserが設定されている例で、この場合、図14を参照すると機能制限情報Bが取得できるため、デバイスグループ以外の場合の機能制限情報530には、「機能制限情報B」が格納される。
【0152】
機能制限情報530に、707で設定した権限グループ(例えば、GeneralUaser)が格納するような構成であっても実現可能である。
【0153】
以上説明した形態によれば、ユーザが利用可能な複合機(画像形成装置)のグループを設定し、設定されたグループをユーザごとに設定することで、認証に応じた複合機(画像形成装置)の利用を制限することができ、セキュリティの高い仕組みを実現することができる。
【0154】
また、認証要求のあった複合機(画像形成装置)が、設定されたユーザが利用可能な複合機(画像形成装置)のグループでない場合の権限を設定することで、他の複合機(画像形成装置)の機能を制限しつつも、複合機の利用を可能にし、利便性を高めることができる。また、他の複合機(画像形成装置)の機能を制限することで不要な利用を制限したセキュリティの高い仕組みを実現することができる。
【0155】
さらに、通常利用する複合機(画像形成装置)より利用権限の低い他の複合機(画像形成装置)から、ユーザが通常利用している複合機の権限を用いて利用できる複合機(画像形成装置)を検索することができ、利便性の高い仕組みを実現できる。
【0156】
〔第2の実施形態〕
第1の実施形態では、デバイスグループを作成し、ユーザ情報に作成したデバイスグループを設定して、複合機の利用を制限する仕組みについて説明した。
【0157】
本実施形態では、デバイスグループに従って、利用可能な複合機からICカードを登録可能にし、複合機の利用を制限する仕組みについて説明する。
【0158】
次に、図15を参照して、ICカードがカードリーダにかざされた場合の処理にて、ICカード認証用テーブルにICカードが登録されていなかった場合にカード登録を行う実施形態について説明する。
【0159】
なお、図15のステップS1001、ステップS1001−1、ステップS1012〜ステップS1018の処理は、図10及び図11の説明で記載した処理と同様の処理である。その為、ここでは上記ステップの説明は省略する。
【0160】
図15のステップS1013で、ステップS1012で受信したICカード認証サーバ200からの認証結果の判断を行い、認証OKであった場合には、ステップS1014へ処理を移し、認証NGであった場合には、ステップS1020へ処理を移す。
【0161】
上述した通り認証結果は、認証OK(デバイスグループ内で認証OK(機能制限情報507で認証OK)/デバイスグループ以外の場合の機能制限情報で認証OK)認証NGの結果とユーザ情報(メールアドレス504、機能制限情報507或いはデバイスグループ以外の場合の機能制限情報530等)である。また、認証NGの場合、認証NGの理由を示すフラグ、例えばカードがICカード認証用テーブルに登録されていなかったことを示すフラグを認証結果に含まれる。
【0162】
なお、ステップS1014以降の処理(ステップS1014〜1016、ステップS1018)は、図11にて説明済みの為、説明を省略する。
【0163】
ステップS1020では、認証NGの内容を判断する。カードがICカード認証用テーブルに登録されていなかった為、認証NGであった場合には、ステップS1021に処理を移す。それ以外の理由で認証NGであった場合には、ステップS1017に処理を移す。(ステップS1017は、図11にて説明済みの為、ここでは説明を省略する。)
【0164】
なお、本実施形態の場合には、1800Cの画面を操作部に表示し、この複合機からは登録できないことを通知する。
【0165】
ステップS1021では、かざされたカードが登録可能なカードであるかを判断する。登録可能なカードである場合には、ステップS1021に処理を移す。それ以外の理由で認証NGであった場合には、ステップS1017に処理を移す。なおステップS1017は、図11にて説明済みの為、説明を省略する。
【0166】
登録可能なカードであるかの判定は、読み取ったカード番号の内容から行う。複合機側で、カード番号の範囲(桁数、英数字の規則、等)をあらかじめ定義しておく事で、登録可能/不可能のカードを判定する。
【0167】
ステップS1022では、カード登録前に、カード登録が可能なユーザであるかを確認する為に、図18のユーザ確認画面1800Aを操作部308に表示する。
【0168】
ステップS1023では、ユーザ確認画面1800Aでユーザによって入力されたユーザ名、パスワード、認証先の情報を取得し、また、複合機100が有するIPアドレスを取得する。取得したユーザ名、パスワード、認証先の情報と複合機100のIPアドレスをICカード認証サーバ200に送信する(ユーザ確認用キーボード認証要求送信)。
【0169】
ここで、図16を用いて、ユーザ確認用キーボード認証処理について説明する。
【0170】
なお、ステップS3000、ステップS3018の処理は、複合機100のCPU301が実行し、ステップS3001〜ステップS3005、ステップS3007〜ステップS3009、ステップS3011〜ステップS3013、ステップS3017はICカード認証サーバ200のCPU201が実行する。
【0171】
まず、ステップS3000では、ユーザによって入力されたユーザ名、パスワード、認証先の情報を取得し、また、複合機100が有するIPアドレスを取得する。取得したユーザ名、パスワード、認証先の情報と複合機100のIPアドレスをICカード認証サーバ200に送信する(キーボード認証要求送信)。
【0172】
ステップS3001では、ICカード認証サーバ200はユーザ名、パスワード、認証先の情報と複合機100のIPアドレスを受信し、キーボード認証処理を行う。(キーボード認証要求受信)
【0173】
ステップS3002では、ステップS3001で受信したユーザ名、パスワード、認証先の情報を元に、指定の認証先に対して、ユーザ名とパスワードを使用して認証を実行する。認証先は、ICカード認証、ディレクトリサービス(ActiveDirectory等)が存在する。
【0174】
認証先がICカード認証の場合は、図5のICカード認証用テーブルに対して、ユーザ名、パスワードを使用して認証を行う。(ユーザ名、パスワードを使用して検索を行う。)
【0175】
ステップS3003では、ステップS3002の認証結果を判定する。認証に成功した場合は、ステップS3004へ処理を移す。認証に失敗した場合は、ステップS3007へ処理を移す。(ステップS3007にはついては後述する。)
【0176】
ステップS3004では、図5のICカード認証用テーブルに対して、ユーザ名を使用してユーザ情報を検索する。
【0177】
ステップS3005では、ステップS3004の検索結果の判定を行う。ユーザ情報を取得できた場合、ステップS3008へ処理を移す。取得できなかった場合は、ステップS3007へ処理を移す。(ステップS3007については後述する。)
【0178】
ステップS3008では、ステップS3001で受信した複合機100のIPアドレスとステップS3004で取得したユーザ情報のデバイス制限情報との比較を行う。具体的には、IPアドレス522又は/IPアドレス522及びサブネットマスク523を用いて、デバイスグループに含まれる複合機100のIPアドレスかを検査する(利用判定)。
【0179】
ステップS3009では、ステップS3008の比較結果より、デバイスグループに含まれる複合機と判定された場合には、ステップS3010へ処理を移す。またデバイスグループに含まれない複合機と判定された場合には、ステップS3011へ処理を移す。
【0180】
ステップS3010では、デバイスグループに含まれる複合機と判定されると、認証OKの結果とユーザ情報(メールアドレス504、機能制限情報507等)の認証結果を複合機100に送信する(認証結果送信)。なお、この認証結果には、ユーザが通常利用する機能制限情報507が含まれていることを示す識別情報(フラグ等)を有している。
【0181】
ステップS3011では、デバイスグループに含まれない複合機と判定されると、デバイスグループ以外からの複合機からの認証要求があった場合に、認証とするかを判定する。認証とするかは、デバイスグループ以外の場合の機能制限情報530で判断する。デバイスグループ以外の場合の機能制限情報530に機能制限情報が含まれる場合、つまり、図7で707が設定されている場合には、ステップS3012へ処理を移す。デバイスグループ以外の場合の機能制限情報530に機能制限情報が含まれない場合(NULL値の場合)、つまり、図7で705が設定されている場合には、ステップS3007へ処理を移す。
【0182】
ステップS3012では、デバイスグループ以外の場合の機能制限情報530から機能制限情報を取得する。
【0183】
ステップS3013では、認証OK(デバイスグループ以外の場合の機能制限情報で認証OK)の結果とユーザ情報(メールアドレス504、デバイスグループ以外の場合の機能制限情報530等)の認証結果を複合機100に送信する(認証結果送信)。なお、この認証結果には、デバイスグループ以外の場合の機能制限情報530が含まれていることを示す識別情報(フラグ等)を有している。
【0184】
ステップS3007では、複合機100に認証NGの認証結果を送信する。
【0185】
ステップS3018では、複合機100はICカード認証サーバ200から認証結果を受信する。
【0186】
続いて、図15に戻り、ステップS1024では、複合機100はICカード認証サーバ200からの認証結果を判定する。
【0187】
認証OK(認証OK/デバイスグループ以外の場合の機能制限情報で認証OK)の場合は、ステップS1028へ処理を移す。
【0188】
認証NGの場合は、ステップS1017へ処理を移す。(ステップS1017は、図11にて説明済みの為、ここでは説明を省略する。)
【0189】
ステップS1028では、ステップS1001でユーザによってかざされたカード情報を基にカード登録を行う。(カード登録処理)。
【0190】
ここで、図17を用いて、カード登録処理について説明する。
【0191】
なお、ステップS711、ステップS706の処理は、複合機100のCPU301が実行し、ステップS705、ステップS714〜ステップ722はICカード認証サーバ200のCPU201が実行する。
【0192】
ステップS711で、複合機100は図15のステップS1001で取得したカード情報(カード番号、正当性情報)と図15のステップS1022で取得したユーザ情報(ユーザ名、ユーザ認証先)をICカード認証サーバ200へ送信する。
【0193】
ステップS714で、ICカード認証サーバ200はステップS711で送信されたカード情報とユーザ情報を受信する。
【0194】
ステップS716で、ICカード認証サーバ200は、ステップS714で受信したユーザ情報に紐付けられたカード情報をICカード認証用テーブル5から検索する。
【0195】
ステップS717で、ICカード認証サーバ200はステップS714で受信したカード情報とステップS716で検索したカード情報を比較する。
【0196】
ステップS718で、ICカード認証サーバ200は、ステップS717で実行した比較結果より、ステップS714で受信したカード情報のカード番号と同じカード番号のカード情報が、ステップS716で検索したカード情報に存在した場合はステップS719の処理を実行する。
【0197】
同じカード番号のカード情報が存在しなかった場合は、新規のカード情報追加である為、ステップS715の処理を実行する。
【0198】
ステップS715で、ICカード認証サーバ200は、ICカード認証用テーブル5の該当のユーザに対してステップS714で受信したカード情報を登録する。
【0199】
尚、ICカード認証用テーブル5に該当のユーザが存在しない場合(つまりWindows(登録商標)のActive Directory(登録商標)、LDAPサーバなどのディレクトリサービスサーバ300にはユーザが存在するケース)、ICカード認証用テーブル5にユーザ名とカード情報を登録することも可能である。
【0200】
続いて、ステップS705で、登録結果(登録OK)を複合機100に送信する。
【0201】
一方、ステップS717で実行した比較結果より、ステップS714で受信したカード情報のカード番号と同じカード番号のカード情報が、ステップS716で検索したカード情報に存在した場合は、ステップS718の分岐はYESとなり、ステップS719の分岐に移る。
【0202】
ステップS719で、ICカード認証サーバ200は、ステップS717で実行した比較結果より、同じカード番号のカード情報について、正当性情報も同じであると判定した場合は、既に同じICカードのカード情報が登録済みである為、ステップS720でカード情報登録失敗(登録NG)を複合機100に送信する。
【0203】
同じカード番号のカード情報で、正当性情報が異なると判定した場合は、カード情報の更新であると判断し、ステップS721でカード情報の更新処理(正当性情報の更新、カード名称の更新)を実行し、ステップS714で受信したカード情報で既存の(同じカード番号の)カード情報を更新する。
【0204】
その後、ステップS722でカード情報更新結果と登録結果(登録OK)を複合機100に送信する。
【0205】
ただし、同じカード番号のカード情報で、正当性情報が異なる場合であっても、ステップS714で受信したカード情報の正当性情報の数値がより小さい場合は、それがICカードを再発行する前のカードであると判断されるため、カード情報の更新を行わず、登録NGを複合機100に送信する。
【0206】
正当性情報は再発行を示す情報であるが、再発行したのにカード番号が一致するケースは、運用で例えば、カード内に社員番号などを任意に入れているケースである。この社員番号をカード番号と同じように用いて運用するケースにおいて、紛失等の理由により再発行されたICカードのカード番号は再発行前のICカードと一致するが、正当性情報が一致しない。さらに、カードを再発行する際は、正当性情報を表す数値に値を1つ加算してICカードを再発行するので、正当性情報を表す数値がより小さいものは、紛失等した以前のICカードと判断される。よって、上記の処理により、紛失等した以前のカードを登
【0207】
録しようとしても、正当性情報が小さい数値であるので、登録が行われなくなる。これにより紛失等したICカードの悪用を防ぎ、セキュリティを保つことができる。
【0208】
ステップS705、ステップS722、ステップS720で送信された登録結果は、ステップS706で複合機100が受信する。
【0209】
続いて、図15に戻り、ステップS1029では、複合機100はICカード認証サーバ200からカード登録結果を判定する。
【0210】
登録成功の場合は、ステップS1030へ処理を移し、登録失敗の場合は、ステップS1031へ処理を移す。
【0211】
ステップS1030では、図18のカード登録成功画面1800Bを操作部308に表示する。
【0212】
ステップS1031では、図18のカード登録失敗画面(不図示)を操作部308に表示する。
【0213】
以上説明したように、本実施形態によれば、デバイスグループによって、登録を制御することで、利用できない複合機(画像形成装置)からのカード登録をなくし、ユーザに利用できる複合機と利用できない複合機をカード登録時に識別させることが可能となる。
【0214】
〔第3の実施形態〕
第1の実施形態では、図9で説明した通り、ICカード認証サーバで、ユーザ情報にデバイスグループを設定する仕組みについて説明した。本実施形態では、複合機からICカードを登録する際にデバイスグループを自動設定する仕組みについて説明する。
図20を用いて、本実施形態の処理について説明する。
【0215】
なお、第1の実施形態と第2の実施形態と同じ図、同じ処理については説明を省略する。
【0216】
まず、本実施形態では、カードがかざされ認証がNGとなった場合にカード登録できる第1のモードと、ユーザがカード登録ボタンを押下した場合にカード登録できる第2のモードを備えている。
【0217】
第1のモードはステップS1001から処理がスタートし、第2のモードはS2001から処理がスタートする。
【0218】
なお第1のモードは、第1の実施形態で説明済みのため説明を省略し、第2のモードについて説明をする。
【0219】
ステップS2001では、ユーザによって複合機のカード登録ボタンが押下されたことを検知する。カード登録ボタンが押下された場合には、第2のモードになる。
【0220】
ステップS2002では、ユーザにICカードをカードリーダにかざすように通知し、ICカードがかざされた場合にICカードから読み取ったカード情報(カード番号)を取得する。カード情報を取得した場合、ステップS1021へ処理を移す。
【0221】
ステップS1021、S1022の後、ステップS2003では、キーボード認証処理を行う。ステップS2003の処理の説明は図21を用いて後述する。
【0222】
ステップS2004では、ステップS2003の認証の結果を判定する。認証OKの場合には、ステップS2005へ処理を移し、認証NGの場合にはステップS1017へ、登録NGの場合にはステップS2010へ処理を移す。
【0223】
ステップS2005では、受信した認証結果に含まれるデバイスグループ(名称)を用いて、図21の登録確認画面を表示する。
【0224】
ステップS2006では、図21の登録確認画面でOK又はキャンセルが押下されたことを判定して、OKボタンが押下された場合にはカード番号を登録するためステップS2007へ処理を移す。キャンセルボタンが押下された場合には、カード番号を登録しないためカード登録失敗画面(図18の1800C)をステップS2010で表示する。
【0225】
ステップS2007では、カードリーダで読み取られたカード番号の登録を行う。カード番号の登録は図23を用いて後述する。
【0226】
ステップS2008では、ステップS2007のカード番号の登録結果から登録が成功したか否かを判定する。カード番号の登録が成功した場合にはでカード登録成功画面(図18の1800B)をステップS2009で表示する。カード番号の登録が失敗した場合には、カード登録失敗画面(図18の1800C)をステップS2010で表示する。
【0227】
次に、図22を用いて、ステップS2003のユーザ認証処理について説明する。
【0228】
なお、ステップS3000〜ステップS3007については第2の実施形態と同様のため説明を省略する。
【0229】
ステップS2201では、ステップS3004で検索(取得)したユーザ情報のうち、カード番号が空(NULL)でデバイスグループが空(NULL)のユーザ情報があるかを判定する。カード番号が空(NULL)でデバイスグループが空(NULL)のユーザ情報がある場合には、ステップS2203へ処理を移し、カード番号が空(NULL)でデバイスグループが空(NULL)のユーザ情報がない場合には、ステップS2202へ処理を移す。なお、カード番号が空(NULL)でデバイスグループが空(NULL)のユーザ情報が複数存在した場合には、後述するステップS2204で複数送信し、複合機でユーザにどのユーザ情報に登録するかを選択させるようにすることも可能である。
【0230】
ステップS2202では、登録可能なユーザ情報が存在しなかったため登録NGの登録結果を複合機に送信する。
【0231】
ステップS2203では、ステップS3001で受信したIPアドレスと図6で設定の613〜615で設定し、デバイスグループ情報テーブルに記憶されたアドレス情報とに従って、受信したIPアドレスが含まれるデバイスグループを特定(決定)する。
【0232】
ステップS2204では、ステップS2203で特定されたデバイスグループと、認証結果の認証OKを示す情報と、カード番号が空(NULL)でデバイスグループが空(NULL)のユーザ情報を複合機に送信する。
【0233】
なお、デバイスグループは送信しないように構成することも可能である。この場合、図21の画面では、デバイスグループ(例えば、Bill−B)を表示させず、「この複合機が所属するグループで使えるカードになります。」と表示させる。
【0234】
ステップS2205では、複合機は、ステップS2204、S2202、S3007で送信された認証結果を受信する。
【0235】
次に、図23を用いて、ステップS2007のカード登録処理について説明する。
【0236】
ステップS2301では、複合機は、ステップS2002又はステップS1001で送信したカード情報(カード番号)をRAM302から取得し、このカード情報(カード番号)と、ステップS2205で受信したユーザ情報をICカード認証サーバに送信する。なお、デバイスグループをステップS2205で受信している場合にはデバイスグループも送信するように構成してもよいが、デバイスグループはステップS2203で説明したように、ICカード認証サーバで特定することができるため、デバイスグループを送らない構成をとることも可能である。また、デバイスグループを特定するためには複合機のIPアドレスが必要となるが、TCP/IPの通信プロトコルで送信されるIPアドレスと用いてもよいし、複合機がICカード認証サーバに送信するメッセージ内に含ませてるようにしてもよい。
【0237】
また、本実施形態ではIPアドレスを用いてデバイスグループを特定するように構成しているが、MACアドレスなど複合機を特定することが可能な情報であればよい。
【0238】
ステップS2302では、カード情報、ユーザ情報を受信する。なお、ステップS2301でデバイスグループが送信された場合には、デバイスグループも受信する。
【0239】
ステップS2303では、ICカード認証用テーブル(図19の1900B)を参照し、受信したユーザ情報のカード番号を取得する。
【0240】
ステップS2304では、ステップS2303で取得したカード番号が空であるかを判定する。カード番号が空である場合にはステップS2305へ処理を移し、カード番号がからでない場合には、S2307へ処理を移す。
【0241】
ステップS2305では、空であるユーザ情報に対応付けるべく、カード番号を登録する。また、ステップS2303で受信したデバイスグループや、複合機から受信したIPアドレスと図24のデバイスグループ情報テーブルに従って特定されるデバイスグループを空であるデバイスグループに対応付けるべく記憶する。
【0242】
なお、図19の1900Bはカード番号の登録前のICカード認証テーブルと、カード番号の登録後のICカード認証テーブルを示す図である。
【0243】
ステップ2306では、登録に成功したことを示す登録結果を複合機に送信する。ステップS2307では、登録できなかった(失敗した)ことを示す登録結果を複合機に送信する。
【0244】
ステップS2308では、ICカード認証サーバから登録結果を受信する。
【0245】
なお、本実施形態では、図19の1900Bに示すように、カード番号が空で、デバイスグループが空のレコードがある場合に登録する例を説明したが。カード番号に値が入っているがデバイスグループの値が空の場合にも適用可能である。
【0246】
具体的には、カードを登録する際に、カード番号が一致し、デバイスグループが空のレコードを特定し、複合機のIPアドレスと図24のデバイスグループ情報テーブルとに従って特定されるデバイスグループを空の値に登録する。なお、この構成をとる場合、ICカード認証の場合、デバイスグループが空になっているユーザ情報は認証の対象外として処理される。
【0247】
以上説明した処理により、複合機はカードの識別情報で当該複合機にログイン可能にするために、複合機のアドレス情報とカードの識別情報を含む登録要求をICカード認証サーバに送信し、ICカード認証サーバは、複合機から登録要求を受信し、登録要求のアドレス情報に従って、デバイスグループを特定(取得)し、特定したデバイスグループを、受信したカードの識別情報と一致するICカード認証テーブルに登録されているカードの識別情報又は受信したカードの識別情報と対応付けることが実現できる。
【0248】
以上説明したように、本実施形態によれば、第1の実施形態に加えICカードを登録する際に登録作業を行う複合機に従ってデバイスグループを設定することができる。
【0249】
これにより、ユーザが利用可能なグループ(デバイスグループ)をユーザ情報に容易に設定できる。
【0250】
なお、図24はデバイスグループ情報テーブルを示す図で、図6などでデバイスグループを設定した際にICカード認証サーバの外部メモリ211に登録されるものである。図24は第1の実施形態〜第3の実施形態それぞれにおいて、デバイスグループをユーザ情報に登録する際に用いられる。
【0251】
デバイスグループ情報テーブルは、デバイスグループと、このデバイスグループに含まれる複合機を特定するためのアドレス情報が対応付いて記憶されている。
【0252】
なお、上述した各種データの構成及びその内容はこれに限定されるものではなく、用途や目的に応じて、様々な構成や内容で構成されることは言うまでもない。
【0253】
以上、一実施形態について示したが、本発明は、例えば、システム、装置、方法、プログラムもしくは記録媒体等としての実施態様をとることが可能であり、具体的には、複数の機器から構成されるシステムに適用しても良いし、また、一つの機器からなる装置に適用しても良い。
【0254】
また、本発明におけるプログラムは、図9〜図12、図15〜図17、図20、図21〜図23の処理方法をコンピュータが実行可能なプログラムであり、本発明の記憶媒体は図9〜図12の処理方法をコンピュータが実行可能なプログラムが記憶されている。なお、本発明におけるプログラムは図9〜図12、図15〜図17、図20、図21〜図23の各装置の処理方法ごとのプログラムであってもよい。
【0255】
以上のように、前述した実施形態の機能を実現するプログラムを記録した記録媒体を、システムあるいは装置に供給し、そのシステムあるいは装置のコンピュータ(またはCPUやMPU)が記録媒体に格納されたプログラムを読出し実行することによっても、本発明の目的が達成されることは言うまでもない。
【0256】
この場合、記録媒体から読み出されたプログラム自体が本発明の新規な機能を実現することになり、そのプログラムを記憶した記録媒体は本発明を構成することになる。
【0257】
プログラムを供給するための記録媒体としては、例えば、フレキシブルディスク,ハードディスク,光ディスク,光磁気ディスク,CD−ROM,CD−R,DVD−ROM,磁気テープ,不揮発性のメモリカード,ROM,EEPROM,シリコンディスク等を用いることができる。
【0258】
また、コンピュータが読み出したプログラムを実行することにより、前述した実施形態の機能が実現されるだけでなく、そのプログラムの指示に基づき、コンピュータ上で稼働しているOS(オペレーティングシステム)等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0259】
さらに、記録媒体から読み出されたプログラムが、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書き込まれた後、そのプログラムコードの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPU等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0260】
また、本発明は、複数の機器から構成されるシステムに適用しても、1つの機器からなる装置に適用してもよい。また、本発明は、システムあるいは装置にプログラムを供給することによって達成される場合にも適応できることは言うまでもない。この場合、本発明を達成するためのプログラムを格納した記録媒体を該システムあるいは装置に読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。
【0261】
さらに、本発明を達成するためのプログラムをネットワーク上のサーバ,データベース等から通信プログラムによりダウンロードして読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。
【0262】
なお、上述した各実施形態およびその変形例を組み合わせた構成も全て本発明に含まれるものである。
【符号の説明】
【0263】
100 複合機
200 ICカード認証サーバ
300 ディレクトリサービスサーバ
400 ローカルエリアネットワーク(LAN)
500 WAN
700 クライアントPC
201 CPU
211 外部メモリ
301 CPU
302 RAM
308 操作部
319 カードリーダ
【特許請求の範囲】
【請求項1】
画像形成装置と、ユーザが利用可能な画像形成装置を特定するための第1のアドレスを含むデバイス制限情報と、ユーザ認証するための第1の識別情報を含むユーザ情報とを管理するユーザ管理装置とを含む認証システムであって、
前記画像形成装置は、
ユーザ認証するための第2の識別情報を取得する識別情報取得手段と、
前記識別情報取得手段で取得した第2の識別情報と、当該画像形成装置の第2のアドレスとを含む認証要求を送信する認証要求送信手段と、
前記認証要求送信手段に従って、前記ユーザ管理装置から認証結果を受信する認証結果受信手段と、
前記認証結果受信手段で受信した認証結果に従ってログインするログイン手段とを備え、
前記ユーザ管理装置は、
前記画像形成装置から前記認証要求を受信する認証要求受信手段と、
前記認証要求受信手段で受信した認証要求に含まれる第2の識別情報と前記第1の識別情報によって特定されるユーザ情報に含まれる前記第1のアドレスと、認証要求に含まれる前記第2のアドレスとに従って、認証要求のあった前記画像形成装置が前記第2の識別情報に対応するユーザが利用可能な画像形成装置かであるか否かを判定する利用判定手段と、
前記利用判定手段で、認証要求のあった前記画像形成装置が利用可能であると判定される場合に、認証成功を示す情報を含む認証結果を送信し、前記利用判定手段で、認証要求のあった前記画像形成装置が利用可能でないと判定される場合に、前記認証失敗を示す情報を含む認証結果を送信する認証結果送信手段と
を備えることを特徴とする認証システム。
【請求項2】
前記ユーザ管理装置は、
前記デバイス制限情報と、当該第1のアドレスに含まれる画像形成装置を利用する際の、画像形成装置の利用可能な機能を定義する第1の機能制限情報と、当該第1のアドレスに含まれない画像形成装置を利用する際の、画像形成装置の利用可能な機能を定義する第2の機能制限情報とを、前記第1の識別情報と対応付けて管理し、
前記ユーザ認証するための第1の識別情報と前記デバイス制限情報を対応付ける第1のデバイス制限情報設定手段を更に備え、
前記デバイス制限情報設定手段は、前記デバイス制限情報に含まれる第1のアドレスに含まれない画像形成装置を利用する際の第2の機能制限情報を設定することを特徴とする請求項1に記載の認証システム。
【請求項3】
前記画像形成装置は、
前記認証結果受信手段で受信した認証結果に従って、前記第1の機能制限情報を用いてログイン可能な画像形成装置か否かを判定する判定手段と、
前記判定手段で、前記第1の機能制限情報を用いてログイン可能な画像形成装置でないと判定される場合に、前記第2の機能制限情報を用いてログインすることを通知する通知手段と
を更に備えることを特徴とする請求項1又は2に記載の認証システム。
【請求項4】
前記認証結果は、前記第1の識別情報を含むユーザ情報を含み、
前記通知手段は、前記第1の機能制限情報を用いてログイン可能な画像形成装置を検索するために、前記ユーザ情報を含む検索要求を送信する検索要求送信手段を更に備え、
前記ユーザ管理装置は、
前記画像形成装置から検索要求を受信する検索要求受信手段と、
前記検索要求受信手段で受信した検索要求に含まれるユーザ情報に従って、前記デバイス制限情報を前記画像形成装置に送信するデバイス制限情報送信手段と
を更に備えることを特徴とする請求項3に記載の認証システム。
【請求項5】
前記画像形成装置は、
前記デバイス制限情報を表示するデバイス制限情報表示手段
を更に備えることを特徴とする請求項4に記載の認証システム。
【請求項6】
前記画像形成装置は、
前記第2の識別情報で当該画像形成装置にログイン可能にするべく、当該画像形成装置の第2のアドレス情報と前記第2の識別情報を含む登録要求を送信する登録要求送信手段を更に備え、
前記ユーザ管理装置は、
前記画像形成装置から前記登録要求を受信する登録要求受信手段と、
前記登録要求の第2のアドレス情報に従って、前記デバイス制限情報を取得するデバイス制限情報取得手段と、
前記取得したデバイス制限情報を、前記第2の識別情報と一致する第1の識別情報又は前記第2の識別情報と対応付ける第1のデバイス制限情報設定手段と
を更に備えることを特徴とする請求項1に記載の認証システム。
【請求項7】
前記デバイス制限情報は、第1のアドレスに対応付いて記憶されるデバイスグループ名又はデバイス名であることを特徴とする請求項1乃至6のいずれか1項に記載の認証システム。
【請求項8】
前記第1のアドレスは、IPアドレス又はネットワーク情報であり、前記第2のアドレスはIPアドレスであることを特徴とする請求項1乃至7のいずれか1項に記載の認証システム。
【請求項9】
前記ユーザ管理装置は、前記画像形成装置に含まれることを特徴とする請求項1に記載の認証システム。
【請求項10】
ユーザが利用可能な画像形成装置を特定するための第1のアドレスを含むデバイス制限情報と、ユーザ認証するための第1の識別情報を含むユーザ情報とを管理し、前記画像形成装置から前記認証要求を受信する認証要求受信手段と、前記認証要求受信手段で受信した認証要求に含まれる第2の識別情報と前記第1の識別情報によって特定されるユーザ情報に含まれる前記第1のアドレスと、認証要求に含まれる前記第2のアドレスとに従って、認証要求のあった前記画像形成装置が前記第2の識別情報に対応するユーザが利用可能な画像形成装置かであるか否かを判定する利用判定手段と、前記利用判定手段で、認証要求のあった前記画像形成装置が利用可能であると判定される場合に、認証成功を示す情報を含む認証結果を送信し、前記利用判定手段で、認証要求のあった前記画像形成装置が利用可能でないと判定される場合に、前記認証失敗を示す情報を含む認証結果を送信する認証結果送信手段とを備えるユーザ管理装置と通信可能な画像形成装置であって、
ユーザ認証するための第2の識別情報を取得する識別情報取得手段と、
前記識別情報取得手段で取得した第2の識別情報と、当該画像形成装置の第2のアドレスとを含む認証要求を送信する認証要求送信手段と、
前記認証要求送信手段に従って、前記ユーザ管理装置から認証結果を受信する認証結果受信手段と、
前記認証結果受信手段で受信した認証結果に従ってログインするログイン手段と
を備えることを特徴とする画像形成装置。
【請求項11】
ユーザ認証するための第2の識別情報を取得する識別情報取得手段と、前記識別情報取得手段で取得した第2の識別情報と、当該画像形成装置の第2のアドレスとを含む認証要求を送信する認証要求送信手段と、前記認証要求送信手段に従って、前記ユーザ管理装置から認証結果を受信する認証結果受信手段と、前記認証結果受信手段で受信した認証結果に従ってログインするログイン手段とを備える画像形成装置と通信可能に接続する、ユーザが利用可能な画像形成装置を特定するための第1のアドレスを含むデバイス制限情報と、ユーザ認証するための第1の識別情報を含むユーザ情報とを管理するユーザ管理装置あって、
前記画像形成装置から前記認証要求を受信する認証要求受信手段と、
前記認証要求受信手段で受信した認証要求に含まれる第2の識別情報と前記第1の識別情報によって特定されるユーザ情報に含まれる前記第1のアドレスと、認証要求に含まれる前記第2のアドレスとに従って、認証要求のあった前記画像形成装置が前記第2の識別情報に対応するユーザが利用可能な画像形成装置かであるか否かを判定する利用判定手段と、
前記利用判定手段で、認証要求のあった前記画像形成装置が利用可能であると判定される場合に、認証成功を示す情報を含む認証結果を送信し、前記利用判定手段で、認証要求のあった前記画像形成装置が利用可能でないと判定される場合に、前記認証失敗を示す情報を含む認証結果を送信する認証結果送信手段と
を備えることを特徴とするユーザ管理装置。
【請求項12】
画像形成装置と、ユーザが利用可能な画像形成装置を特定するための第1のアドレスを含むデバイス制限情報と、ユーザ認証するための第1の識別情報を含むユーザ情報とを管理するユーザ管理装置とを含む認証システムの処理方法であって、
前記画像形成装置が、
ユーザ認証するための第2の識別情報を取得する識別情報取得ステップと、
前記識別情報取得ステップで取得した第2の識別情報と、当該画像形成装置の第2のアドレスとを含む認証要求を送信する認証要求送信ステップと、
前記認証要求送信ステップに従って、前記ユーザ管理装置から認証結果を受信する認証結果受信ステップと、
前記認証結果受信ステップで受信した認証結果に従ってログインするログインステップとを実行し、
前記ユーザ管理装置が、
前記画像形成装置から前記認証要求を受信する認証要求受信ステップと、
前記認証要求受信ステップで受信した認証要求に含まれる第2の識別情報と前記第1の識別情報によって特定されるユーザ情報に含まれる前記第1のアドレスと、認証要求に含まれる前記第2のアドレスとに従って、認証要求のあった前記画像形成装置が前記第2の識別情報に対応するユーザが利用可能な画像形成装置かであるか否かを判定する利用判定ステップと、
前記利用判定ステップで、認証要求のあった前記画像形成装置が利用可能であると判定される場合に、認証成功を示す情報を含む認証結果を送信し、前記利用判定ステップで、認証要求のあった前記画像形成装置が利用可能でないと判定される場合に、前記認証失敗を示す情報を含む認証結果を送信する認証結果送信ステップと
を実行することを特徴とする処理方法。
【請求項13】
ユーザが利用可能な画像形成装置を特定するための第1のアドレスを含むデバイス制限情報と、ユーザ認証するための第1の識別情報を含むユーザ情報とを管理し、前記画像形成装置から前記認証要求を受信する認証要求受信手段と、前記認証要求受信手段で受信した認証要求に含まれる第2の識別情報と前記第1の識別情報によって特定されるユーザ情報に含まれる前記第1のアドレスと、認証要求に含まれる前記第2のアドレスとに従って、認証要求のあった前記画像形成装置が前記第2の識別情報に対応するユーザが利用可能な画像形成装置かであるか否かを判定する利用判定手段と、前記利用判定手段で、認証要求のあった前記画像形成装置が利用可能であると判定される場合に、認証成功を示す情報を含む認証結果を送信し、前記利用判定手段で、認証要求のあった前記画像形成装置が利用可能でないと判定される場合に、前記認証失敗を示す情報を含む認証結果を送信する認証結果送信手段とを備えるユーザ管理装置と通信可能な画像形成装置の処理であって、
前記画像形成装置が、
ユーザ認証するための第2の識別情報を取得する識別情報取得ステップと、
前記識別情報取得ステップで取得した第2の識別情報と、当該画像形成装置の第2のアドレスとを含む認証要求を送信する認証要求送信ステップと、
前記認証要求送信ステップに従って、前記ユーザ管理装置から認証結果を受信する認証結果受信ステップと、
前記認証結果受信ステップで受信した認証結果に従ってログインするログインステップと
を実行することを特徴とする処理方法。
【請求項14】
ユーザ認証するための第2の識別情報を取得する識別情報取得手段と、前記識別情報取得手段で取得した第2の識別情報と、当該画像形成装置の第2のアドレスとを含む認証要求を送信する認証要求送信手段と、前記認証要求送信手段に従って、前記ユーザ管理装置から認証結果を受信する認証結果受信手段と、前記認証結果受信手段で受信した認証結果に従ってログインするログイン手段とを備える画像形成装置と通信可能に接続する、ユーザが利用可能な画像形成装置を特定するための第1のアドレスを含むデバイス制限情報と、ユーザ認証するための第1の識別情報を含むユーザ情報とを管理するユーザ管理装置の処理方法あって、
前記ユーザ管理装置が、
前記画像形成装置から前記認証要求を受信する認証要求受信ステップと、
前記認証要求受信ステップで受信した認証要求に含まれる第2の識別情報と前記第1の識別情報によって特定されるユーザ情報に含まれる前記第1のアドレスと、認証要求に含まれる前記第2のアドレスとに従って、認証要求のあった前記画像形成装置が前記第2の識別情報に対応するユーザが利用可能な画像形成装置かであるか否かを判定する利用判定ステップと、
前記利用判定ステップで、認証要求のあった前記画像形成装置が利用可能であると判定される場合に、認証成功を示す情報を含む認証結果を送信し、前記利用判定ステップで、認証要求のあった前記画像形成装置が利用可能でないと判定される場合に、前記認証失敗を示す情報を含む認証結果を送信する認証結果送信ステップと
を実行することを特徴とする処理方法。
【請求項15】
画像形成装置と、ユーザが利用可能な画像形成装置を特定するための第1のアドレスを含むデバイス制限情報と、ユーザ認証するための第1の識別情報を含むユーザ情報とを管理するユーザ管理装置とを含む認証システムで実行可能なプログラムであって、
前記画像形成装置を、
ユーザ認証するための第2の識別情報を取得する識別情報取得手段と、
前記識別情報取得手段で取得した第2の識別情報と、当該画像形成装置の第2のアドレスとを含む認証要求を送信する認証要求送信手段と、
前記認証要求送信手段に従って、前記ユーザ管理装置から認証結果を受信する認証結果受信手段と、
前記認証結果受信手段で受信した認証結果に従ってログインするログイン手段として機能させ、
前記ユーザ管理装置を、
前記画像形成装置から前記認証要求を受信する認証要求受信手段と、
前記認証要求受信手段で受信した認証要求に含まれる第2の識別情報と前記第1の識別情報によって特定されるユーザ情報に含まれる前記第1のアドレスと、認証要求に含まれる前記第2のアドレスとに従って、認証要求のあった前記画像形成装置が前記第2の識別情報に対応するユーザが利用可能な画像形成装置かであるか否かを判定する利用判定手段と、
前記利用判定手段で、認証要求のあった前記画像形成装置が利用可能であると判定される場合に、認証成功を示す情報を含む認証結果を送信し、前記利用判定手段で、認証要求のあった前記画像形成装置が利用可能でないと判定される場合に、前記認証失敗を示す情報を含む認証結果を送信する認証結果送信手段
として機能させることを特徴とするプログラム。
【請求項16】
ユーザが利用可能な画像形成装置を特定するための第1のアドレスを含むデバイス制限情報と、ユーザ認証するための第1の識別情報を含むユーザ情報とを管理し、前記画像形成装置から前記認証要求を受信する認証要求受信手段と、前記認証要求受信手段で受信した認証要求に含まれる第2の識別情報と前記第1の識別情報によって特定されるユーザ情報に含まれる前記第1のアドレスと、認証要求に含まれる前記第2のアドレスとに従って、認証要求のあった前記画像形成装置が前記第2の識別情報に対応するユーザが利用可能な画像形成装置かであるか否かを判定する利用判定手段と、前記利用判定手段で、認証要求のあった前記画像形成装置が利用可能であると判定される場合に、認証成功を示す情報を含む認証結果を送信し、前記利用判定手段で、認証要求のあった前記画像形成装置が利用可能でないと判定される場合に、前記認証失敗を示す情報を含む認証結果を送信する認証結果送信手段とを備えるユーザ管理装置と通信可能な画像形成装置で実行可能なプログラムあって、
前記画像形成装置を、
ユーザ認証するための第2の識別情報を取得する識別情報取得手段と、
前記識別情報取得手段で取得した第2の識別情報と、当該画像形成装置の第2のアドレスとを含む認証要求を送信する認証要求送信手段と、
前記認証要求送信手段に従って、前記ユーザ管理装置から認証結果を受信する認証結果受信手段と、
前記認証結果受信手段で受信した認証結果に従ってログインするログイン手段
として機能させることを特徴とするプログラム。
【請求項17】
ユーザ認証するための第2の識別情報を取得する識別情報取得手段と、前記識別情報取得手段で取得した第2の識別情報と、当該画像形成装置の第2のアドレスとを含む認証要求を送信する認証要求送信手段と、前記認証要求送信手段に従って、前記ユーザ管理装置から認証結果を受信する認証結果受信手段と、前記認証結果受信手段で受信した認証結果に従ってログインするログイン手段とを備える画像形成装置と通信可能に接続する、ユーザが利用可能な画像形成装置を特定するための第1のアドレスを含むデバイス制限情報と、ユーザ認証するための第1の識別情報を含むユーザ情報とを管理するユーザ管理装置で実行可能なプログラムあって、
前記ユーザ管理装置を、
前記画像形成装置から前記認証要求を受信する認証要求受信手段と、
前記認証要求受信手段で受信した認証要求に含まれる第2の識別情報と前記第1の識別情報によって特定されるユーザ情報に含まれる前記第1のアドレスと、認証要求に含まれる前記第2のアドレスとに従って、認証要求のあった前記画像形成装置が前記第2の識別情報に対応するユーザが利用可能な画像形成装置かであるか否かを判定する利用判定手段と、
前記利用判定手段で、認証要求のあった前記画像形成装置が利用可能であると判定される場合に、認証成功を示す情報を含む認証結果を送信し、前記利用判定手段で、認証要求のあった前記画像形成装置が利用可能でないと判定される場合に、前記認証失敗を示す情報を含む認証結果を送信する認証結果送信手段
として機能させることを特徴とするプログラム。
【請求項1】
画像形成装置と、ユーザが利用可能な画像形成装置を特定するための第1のアドレスを含むデバイス制限情報と、ユーザ認証するための第1の識別情報を含むユーザ情報とを管理するユーザ管理装置とを含む認証システムであって、
前記画像形成装置は、
ユーザ認証するための第2の識別情報を取得する識別情報取得手段と、
前記識別情報取得手段で取得した第2の識別情報と、当該画像形成装置の第2のアドレスとを含む認証要求を送信する認証要求送信手段と、
前記認証要求送信手段に従って、前記ユーザ管理装置から認証結果を受信する認証結果受信手段と、
前記認証結果受信手段で受信した認証結果に従ってログインするログイン手段とを備え、
前記ユーザ管理装置は、
前記画像形成装置から前記認証要求を受信する認証要求受信手段と、
前記認証要求受信手段で受信した認証要求に含まれる第2の識別情報と前記第1の識別情報によって特定されるユーザ情報に含まれる前記第1のアドレスと、認証要求に含まれる前記第2のアドレスとに従って、認証要求のあった前記画像形成装置が前記第2の識別情報に対応するユーザが利用可能な画像形成装置かであるか否かを判定する利用判定手段と、
前記利用判定手段で、認証要求のあった前記画像形成装置が利用可能であると判定される場合に、認証成功を示す情報を含む認証結果を送信し、前記利用判定手段で、認証要求のあった前記画像形成装置が利用可能でないと判定される場合に、前記認証失敗を示す情報を含む認証結果を送信する認証結果送信手段と
を備えることを特徴とする認証システム。
【請求項2】
前記ユーザ管理装置は、
前記デバイス制限情報と、当該第1のアドレスに含まれる画像形成装置を利用する際の、画像形成装置の利用可能な機能を定義する第1の機能制限情報と、当該第1のアドレスに含まれない画像形成装置を利用する際の、画像形成装置の利用可能な機能を定義する第2の機能制限情報とを、前記第1の識別情報と対応付けて管理し、
前記ユーザ認証するための第1の識別情報と前記デバイス制限情報を対応付ける第1のデバイス制限情報設定手段を更に備え、
前記デバイス制限情報設定手段は、前記デバイス制限情報に含まれる第1のアドレスに含まれない画像形成装置を利用する際の第2の機能制限情報を設定することを特徴とする請求項1に記載の認証システム。
【請求項3】
前記画像形成装置は、
前記認証結果受信手段で受信した認証結果に従って、前記第1の機能制限情報を用いてログイン可能な画像形成装置か否かを判定する判定手段と、
前記判定手段で、前記第1の機能制限情報を用いてログイン可能な画像形成装置でないと判定される場合に、前記第2の機能制限情報を用いてログインすることを通知する通知手段と
を更に備えることを特徴とする請求項1又は2に記載の認証システム。
【請求項4】
前記認証結果は、前記第1の識別情報を含むユーザ情報を含み、
前記通知手段は、前記第1の機能制限情報を用いてログイン可能な画像形成装置を検索するために、前記ユーザ情報を含む検索要求を送信する検索要求送信手段を更に備え、
前記ユーザ管理装置は、
前記画像形成装置から検索要求を受信する検索要求受信手段と、
前記検索要求受信手段で受信した検索要求に含まれるユーザ情報に従って、前記デバイス制限情報を前記画像形成装置に送信するデバイス制限情報送信手段と
を更に備えることを特徴とする請求項3に記載の認証システム。
【請求項5】
前記画像形成装置は、
前記デバイス制限情報を表示するデバイス制限情報表示手段
を更に備えることを特徴とする請求項4に記載の認証システム。
【請求項6】
前記画像形成装置は、
前記第2の識別情報で当該画像形成装置にログイン可能にするべく、当該画像形成装置の第2のアドレス情報と前記第2の識別情報を含む登録要求を送信する登録要求送信手段を更に備え、
前記ユーザ管理装置は、
前記画像形成装置から前記登録要求を受信する登録要求受信手段と、
前記登録要求の第2のアドレス情報に従って、前記デバイス制限情報を取得するデバイス制限情報取得手段と、
前記取得したデバイス制限情報を、前記第2の識別情報と一致する第1の識別情報又は前記第2の識別情報と対応付ける第1のデバイス制限情報設定手段と
を更に備えることを特徴とする請求項1に記載の認証システム。
【請求項7】
前記デバイス制限情報は、第1のアドレスに対応付いて記憶されるデバイスグループ名又はデバイス名であることを特徴とする請求項1乃至6のいずれか1項に記載の認証システム。
【請求項8】
前記第1のアドレスは、IPアドレス又はネットワーク情報であり、前記第2のアドレスはIPアドレスであることを特徴とする請求項1乃至7のいずれか1項に記載の認証システム。
【請求項9】
前記ユーザ管理装置は、前記画像形成装置に含まれることを特徴とする請求項1に記載の認証システム。
【請求項10】
ユーザが利用可能な画像形成装置を特定するための第1のアドレスを含むデバイス制限情報と、ユーザ認証するための第1の識別情報を含むユーザ情報とを管理し、前記画像形成装置から前記認証要求を受信する認証要求受信手段と、前記認証要求受信手段で受信した認証要求に含まれる第2の識別情報と前記第1の識別情報によって特定されるユーザ情報に含まれる前記第1のアドレスと、認証要求に含まれる前記第2のアドレスとに従って、認証要求のあった前記画像形成装置が前記第2の識別情報に対応するユーザが利用可能な画像形成装置かであるか否かを判定する利用判定手段と、前記利用判定手段で、認証要求のあった前記画像形成装置が利用可能であると判定される場合に、認証成功を示す情報を含む認証結果を送信し、前記利用判定手段で、認証要求のあった前記画像形成装置が利用可能でないと判定される場合に、前記認証失敗を示す情報を含む認証結果を送信する認証結果送信手段とを備えるユーザ管理装置と通信可能な画像形成装置であって、
ユーザ認証するための第2の識別情報を取得する識別情報取得手段と、
前記識別情報取得手段で取得した第2の識別情報と、当該画像形成装置の第2のアドレスとを含む認証要求を送信する認証要求送信手段と、
前記認証要求送信手段に従って、前記ユーザ管理装置から認証結果を受信する認証結果受信手段と、
前記認証結果受信手段で受信した認証結果に従ってログインするログイン手段と
を備えることを特徴とする画像形成装置。
【請求項11】
ユーザ認証するための第2の識別情報を取得する識別情報取得手段と、前記識別情報取得手段で取得した第2の識別情報と、当該画像形成装置の第2のアドレスとを含む認証要求を送信する認証要求送信手段と、前記認証要求送信手段に従って、前記ユーザ管理装置から認証結果を受信する認証結果受信手段と、前記認証結果受信手段で受信した認証結果に従ってログインするログイン手段とを備える画像形成装置と通信可能に接続する、ユーザが利用可能な画像形成装置を特定するための第1のアドレスを含むデバイス制限情報と、ユーザ認証するための第1の識別情報を含むユーザ情報とを管理するユーザ管理装置あって、
前記画像形成装置から前記認証要求を受信する認証要求受信手段と、
前記認証要求受信手段で受信した認証要求に含まれる第2の識別情報と前記第1の識別情報によって特定されるユーザ情報に含まれる前記第1のアドレスと、認証要求に含まれる前記第2のアドレスとに従って、認証要求のあった前記画像形成装置が前記第2の識別情報に対応するユーザが利用可能な画像形成装置かであるか否かを判定する利用判定手段と、
前記利用判定手段で、認証要求のあった前記画像形成装置が利用可能であると判定される場合に、認証成功を示す情報を含む認証結果を送信し、前記利用判定手段で、認証要求のあった前記画像形成装置が利用可能でないと判定される場合に、前記認証失敗を示す情報を含む認証結果を送信する認証結果送信手段と
を備えることを特徴とするユーザ管理装置。
【請求項12】
画像形成装置と、ユーザが利用可能な画像形成装置を特定するための第1のアドレスを含むデバイス制限情報と、ユーザ認証するための第1の識別情報を含むユーザ情報とを管理するユーザ管理装置とを含む認証システムの処理方法であって、
前記画像形成装置が、
ユーザ認証するための第2の識別情報を取得する識別情報取得ステップと、
前記識別情報取得ステップで取得した第2の識別情報と、当該画像形成装置の第2のアドレスとを含む認証要求を送信する認証要求送信ステップと、
前記認証要求送信ステップに従って、前記ユーザ管理装置から認証結果を受信する認証結果受信ステップと、
前記認証結果受信ステップで受信した認証結果に従ってログインするログインステップとを実行し、
前記ユーザ管理装置が、
前記画像形成装置から前記認証要求を受信する認証要求受信ステップと、
前記認証要求受信ステップで受信した認証要求に含まれる第2の識別情報と前記第1の識別情報によって特定されるユーザ情報に含まれる前記第1のアドレスと、認証要求に含まれる前記第2のアドレスとに従って、認証要求のあった前記画像形成装置が前記第2の識別情報に対応するユーザが利用可能な画像形成装置かであるか否かを判定する利用判定ステップと、
前記利用判定ステップで、認証要求のあった前記画像形成装置が利用可能であると判定される場合に、認証成功を示す情報を含む認証結果を送信し、前記利用判定ステップで、認証要求のあった前記画像形成装置が利用可能でないと判定される場合に、前記認証失敗を示す情報を含む認証結果を送信する認証結果送信ステップと
を実行することを特徴とする処理方法。
【請求項13】
ユーザが利用可能な画像形成装置を特定するための第1のアドレスを含むデバイス制限情報と、ユーザ認証するための第1の識別情報を含むユーザ情報とを管理し、前記画像形成装置から前記認証要求を受信する認証要求受信手段と、前記認証要求受信手段で受信した認証要求に含まれる第2の識別情報と前記第1の識別情報によって特定されるユーザ情報に含まれる前記第1のアドレスと、認証要求に含まれる前記第2のアドレスとに従って、認証要求のあった前記画像形成装置が前記第2の識別情報に対応するユーザが利用可能な画像形成装置かであるか否かを判定する利用判定手段と、前記利用判定手段で、認証要求のあった前記画像形成装置が利用可能であると判定される場合に、認証成功を示す情報を含む認証結果を送信し、前記利用判定手段で、認証要求のあった前記画像形成装置が利用可能でないと判定される場合に、前記認証失敗を示す情報を含む認証結果を送信する認証結果送信手段とを備えるユーザ管理装置と通信可能な画像形成装置の処理であって、
前記画像形成装置が、
ユーザ認証するための第2の識別情報を取得する識別情報取得ステップと、
前記識別情報取得ステップで取得した第2の識別情報と、当該画像形成装置の第2のアドレスとを含む認証要求を送信する認証要求送信ステップと、
前記認証要求送信ステップに従って、前記ユーザ管理装置から認証結果を受信する認証結果受信ステップと、
前記認証結果受信ステップで受信した認証結果に従ってログインするログインステップと
を実行することを特徴とする処理方法。
【請求項14】
ユーザ認証するための第2の識別情報を取得する識別情報取得手段と、前記識別情報取得手段で取得した第2の識別情報と、当該画像形成装置の第2のアドレスとを含む認証要求を送信する認証要求送信手段と、前記認証要求送信手段に従って、前記ユーザ管理装置から認証結果を受信する認証結果受信手段と、前記認証結果受信手段で受信した認証結果に従ってログインするログイン手段とを備える画像形成装置と通信可能に接続する、ユーザが利用可能な画像形成装置を特定するための第1のアドレスを含むデバイス制限情報と、ユーザ認証するための第1の識別情報を含むユーザ情報とを管理するユーザ管理装置の処理方法あって、
前記ユーザ管理装置が、
前記画像形成装置から前記認証要求を受信する認証要求受信ステップと、
前記認証要求受信ステップで受信した認証要求に含まれる第2の識別情報と前記第1の識別情報によって特定されるユーザ情報に含まれる前記第1のアドレスと、認証要求に含まれる前記第2のアドレスとに従って、認証要求のあった前記画像形成装置が前記第2の識別情報に対応するユーザが利用可能な画像形成装置かであるか否かを判定する利用判定ステップと、
前記利用判定ステップで、認証要求のあった前記画像形成装置が利用可能であると判定される場合に、認証成功を示す情報を含む認証結果を送信し、前記利用判定ステップで、認証要求のあった前記画像形成装置が利用可能でないと判定される場合に、前記認証失敗を示す情報を含む認証結果を送信する認証結果送信ステップと
を実行することを特徴とする処理方法。
【請求項15】
画像形成装置と、ユーザが利用可能な画像形成装置を特定するための第1のアドレスを含むデバイス制限情報と、ユーザ認証するための第1の識別情報を含むユーザ情報とを管理するユーザ管理装置とを含む認証システムで実行可能なプログラムであって、
前記画像形成装置を、
ユーザ認証するための第2の識別情報を取得する識別情報取得手段と、
前記識別情報取得手段で取得した第2の識別情報と、当該画像形成装置の第2のアドレスとを含む認証要求を送信する認証要求送信手段と、
前記認証要求送信手段に従って、前記ユーザ管理装置から認証結果を受信する認証結果受信手段と、
前記認証結果受信手段で受信した認証結果に従ってログインするログイン手段として機能させ、
前記ユーザ管理装置を、
前記画像形成装置から前記認証要求を受信する認証要求受信手段と、
前記認証要求受信手段で受信した認証要求に含まれる第2の識別情報と前記第1の識別情報によって特定されるユーザ情報に含まれる前記第1のアドレスと、認証要求に含まれる前記第2のアドレスとに従って、認証要求のあった前記画像形成装置が前記第2の識別情報に対応するユーザが利用可能な画像形成装置かであるか否かを判定する利用判定手段と、
前記利用判定手段で、認証要求のあった前記画像形成装置が利用可能であると判定される場合に、認証成功を示す情報を含む認証結果を送信し、前記利用判定手段で、認証要求のあった前記画像形成装置が利用可能でないと判定される場合に、前記認証失敗を示す情報を含む認証結果を送信する認証結果送信手段
として機能させることを特徴とするプログラム。
【請求項16】
ユーザが利用可能な画像形成装置を特定するための第1のアドレスを含むデバイス制限情報と、ユーザ認証するための第1の識別情報を含むユーザ情報とを管理し、前記画像形成装置から前記認証要求を受信する認証要求受信手段と、前記認証要求受信手段で受信した認証要求に含まれる第2の識別情報と前記第1の識別情報によって特定されるユーザ情報に含まれる前記第1のアドレスと、認証要求に含まれる前記第2のアドレスとに従って、認証要求のあった前記画像形成装置が前記第2の識別情報に対応するユーザが利用可能な画像形成装置かであるか否かを判定する利用判定手段と、前記利用判定手段で、認証要求のあった前記画像形成装置が利用可能であると判定される場合に、認証成功を示す情報を含む認証結果を送信し、前記利用判定手段で、認証要求のあった前記画像形成装置が利用可能でないと判定される場合に、前記認証失敗を示す情報を含む認証結果を送信する認証結果送信手段とを備えるユーザ管理装置と通信可能な画像形成装置で実行可能なプログラムあって、
前記画像形成装置を、
ユーザ認証するための第2の識別情報を取得する識別情報取得手段と、
前記識別情報取得手段で取得した第2の識別情報と、当該画像形成装置の第2のアドレスとを含む認証要求を送信する認証要求送信手段と、
前記認証要求送信手段に従って、前記ユーザ管理装置から認証結果を受信する認証結果受信手段と、
前記認証結果受信手段で受信した認証結果に従ってログインするログイン手段
として機能させることを特徴とするプログラム。
【請求項17】
ユーザ認証するための第2の識別情報を取得する識別情報取得手段と、前記識別情報取得手段で取得した第2の識別情報と、当該画像形成装置の第2のアドレスとを含む認証要求を送信する認証要求送信手段と、前記認証要求送信手段に従って、前記ユーザ管理装置から認証結果を受信する認証結果受信手段と、前記認証結果受信手段で受信した認証結果に従ってログインするログイン手段とを備える画像形成装置と通信可能に接続する、ユーザが利用可能な画像形成装置を特定するための第1のアドレスを含むデバイス制限情報と、ユーザ認証するための第1の識別情報を含むユーザ情報とを管理するユーザ管理装置で実行可能なプログラムあって、
前記ユーザ管理装置を、
前記画像形成装置から前記認証要求を受信する認証要求受信手段と、
前記認証要求受信手段で受信した認証要求に含まれる第2の識別情報と前記第1の識別情報によって特定されるユーザ情報に含まれる前記第1のアドレスと、認証要求に含まれる前記第2のアドレスとに従って、認証要求のあった前記画像形成装置が前記第2の識別情報に対応するユーザが利用可能な画像形成装置かであるか否かを判定する利用判定手段と、
前記利用判定手段で、認証要求のあった前記画像形成装置が利用可能であると判定される場合に、認証成功を示す情報を含む認証結果を送信し、前記利用判定手段で、認証要求のあった前記画像形成装置が利用可能でないと判定される場合に、前記認証失敗を示す情報を含む認証結果を送信する認証結果送信手段
として機能させることを特徴とするプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【公開番号】特開2011−123865(P2011−123865A)
【公開日】平成23年6月23日(2011.6.23)
【国際特許分類】
【出願番号】特願2010−134579(P2010−134579)
【出願日】平成22年6月11日(2010.6.11)
【出願人】(390002761)キヤノンマーケティングジャパン株式会社 (656)
【Fターム(参考)】
【公開日】平成23年6月23日(2011.6.23)
【国際特許分類】
【出願日】平成22年6月11日(2010.6.11)
【出願人】(390002761)キヤノンマーケティングジャパン株式会社 (656)
【Fターム(参考)】
[ Back to top ]