認証システム、画像形成装置とその処理方法及びプログラム
【課題】ユーザの操作に従って入力されたユーザ識別情報を用いた認証で複数のユーザ情報が得られた場合に、ログインするユーザ情報を選択可能に表示することで、画像形成装置の利用を容易に行わせる仕組みを提供すること。
【解決手段】複合機100でユーザによって入力されたユーザ識別情報を用いて認証し、複数のユーザ情報が得られた際に、複合機100の表示部に複数のユーザ情報を表示する。ユーザの指示に従ってユーザ情報を選択し、選択したユーザ情報を用いて複合機100にログインし、複数のユーザ情報が得られない際には、複数のユーザ情報を表示することなく得られた1つのユーザ情報を用いてログインする。
【解決手段】複合機100でユーザによって入力されたユーザ識別情報を用いて認証し、複数のユーザ情報が得られた際に、複合機100の表示部に複数のユーザ情報を表示する。ユーザの指示に従ってユーザ情報を選択し、選択したユーザ情報を用いて複合機100にログインし、複数のユーザ情報が得られない際には、複数のユーザ情報を表示することなく得られた1つのユーザ情報を用いてログインする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証処理を行う認証システム、画像形成装置に関するものである。
【背景技術】
【0002】
近年、複合機を使用する際に、使用者を限定する目的から例えばICカードを複合機のカードリーダにかざすことによって、ICカードからよみとられた認証情報について認証情報管理装置(ICカード認証サーバ)へ問い合わせを行い、認証情報が登録されていれば認証成功を複合機に応答し、複合機を使用可能とするシステムが既に存在する。
【0003】
この様なシステムではユーザに複合機で使用できる機能を制限したい場合がある。例えばユーザAはコピーのみ使用可能、ユーザBはコピーとFAXが使用可能など、ユーザ毎に機能を制限したい場合がある。
【0004】
このように、ユーザ単位で使用可能な機能を設定する、または複合機単位/複合機を纏めたグループ単位で使用可能な機能を設定するシステムが特許文献1に開示されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2007−286908号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
特許文献1のシステムでは、複合機で使用可能な機能をユーザ単位もしくは複合機単位/複合機を纏めたグループ単位で設定可能としている。
【0007】
しかし、この場合、新たに複合機を導入する毎に再度設定を行う必要がある為、管理者の作業負荷が大きいという課題があった。
【0008】
また、複合機を利用する際には、ICカードなどをかざすことでユーザ認証を行い、ユーザ認証された場合に複合機が利用できる仕組みが存在するが、一般的に、ユーザはどの複合機であれば自分が使えるのかといったことまで意識せず、自社に設置してある複合機を利用する。
【0009】
そのため、ユーザごとに使える複合機を設定しておくような仕組みを用いた運用がされている場合には、いつも利用している複合機以外の複合機を利用する際、ICカードをかざして認証を行った結果、認証は成功したが使えない複合機として設定されているため、ICカードをかざしたユーザが複合機を利用できないといったことが生じる。この場合、ユーザは利用できる複合機を探すか、いつも使っている複合機までいって複合機を利用しなければならず、不便であった。
【0010】
また、1ユーザに対して複数のICカードを付与して、ユーザがICカードを使い分けるなどの運用が求められている。例えば、複数のグループ会社に出向いて業務を行うユーザには、それぞれの会社で利用するICカードが付与され、ユーザがICカードを使い分けるなどがある。そしてそれぞれのICカードに紐付いた利用権限を用いて制限された複合機をユーザは使用する。
【0011】
さらに、複合機では、ICカードを用いた認証の他、ユーザがユーザID、パスワード等を入力して認証するキーボード認証を行うことが可能となっている。
【0012】
通常はICカードを用いた認証を行うが、ユーザがICカードを忘れた場合には、キーボード認証を用いて複合機を利用するが、上述のように1ユーザに対して複数のICカードが紐付いていると、複数のユーザ情報(カードID、ユーザ名、メールアドレス、権限情報等)が検索され、複合機にログインできないことが発生する。
【0013】
複数のユーザ情報が検索された場合に、いずれかのユーザ情報を用いてログインさせることも考えられるが、現在操作している複合機がいつも利用しているユーザ情報が選ばれなかった場合には権限が異なり、通常利用している複合機の機能が利用できない、或いはユーザごとに使える複合機が決まっている場合には、その複合機自体が利用できないといった問題が発生してしまう。
【0014】
そこで、本発明の目的は、ユーザの操作に従って入力されたユーザ識別情報を用いた認証で複数のユーザ情報が得られた場合に、ログインするユーザ情報を選択可能に表示することで、画像形成装置の利用を容易に行わせる仕組みを提供することである。
【0015】
また、その他の目的は、ユーザの操作に従ってユーザ識別情報が入力された画像形成装置で利用可能なユーザ情報を表示させることで、画像形成装置の利用を容易に行わせる仕組みを提供することである。
【課題を解決するための手段】
【0016】
本発明の目的を達成するために、ユーザ識別情報を含むユーザ情報を管理するユーザ情報管理装置と画像形成装置と通信可能に接続される認証システムであって、前記画像形成装置は、当該画像形成装置へログインするために、ユーザ識別情報の入力を受け付ける入力受付手段と、前記画像形成装置へログイン可能なユーザ識別情報かを判断するために、前記入力受付手段で受け付けたユーザ識別情報を前記ユーザ情報管理装置に送信するユーザ識別情報送信手段と、前記ユーザ識別情報送信手段によって送信したユーザ識別情報に対応するユーザ情報を前記ユーザ情報管理装置から受信するユーザ情報受信手段と、前記ユーザ情報受信手段によって受信したユーザ情報が複数存在するか否かを判定する判定手段と、前記判定手段によりユーザ情報が複数存在すると判定された場合に、前記複数のユーザ情報を表示制御する表示制御手段と、ユーザの操作に従って、前記表示制御手段により表示した複数のユーザ情報から1つのユーザ情報を選択する選択手段と、前記判定手段によりユーザ情報が複数存在しないと判定された場合に、前記表示制御手段で複数のユーザ情報を表示することなく、前記ユーザ情報受信手段で受信したユーザ情報を用いてログインし、前記判定手段によりユーザ情報が複数存在すると判定された場合に、前記選択手段により選択されたユーザ情報を用いてログインするログイン手段とを備え、前記ユーザ情報管理装置は、前記画像形成装置からユーザ識別情報を受信するユーザ識別情報受信手段と、前記ユーザ識別情報受信手段により受信したユーザ識別情報に従って、ユーザ情報を取得するユーザ情報取得手段と、前記ユーザ情報取得手段によって取得されたユーザ情報を前記画像形成装置に送信するユーザ情報送信手段とを備えることを特徴とする。
【0017】
また、前記ユーザ識別情報送信手段は、前記ユーザ識別情報とともに当該画像形成装置の識別情報を前記ユーザ情報管理装置に送信し、前記ユーザ識別情報受信手段は、前記前記ユーザ識別情報とともに当該画像形成装置の識別情報を前記画像形成装置から受信し、前記ユーザ情報取得手段は、前記受信した画像形成装置の識別情報に従って、前記受信した画像形成装置で利用可能なユーザ情報を取得することを特徴とする。
【0018】
また、前記画像形成装置は、前記ユーザ情報受信手段によって受信したユーザ情報が複数存在すると判定される場合に、前記ユーザ情報を保持する保持手段と、前記ログインユーザを切り換えるユーザ切換手段とを更に備え、前記表示制御手段は、前記ユーザ切換手段によるユーザ切換に応じて、前記入力受付手段で再度ユーザ識別情報の入力を受け付けることなく、前記保持手段で保持したユーザ情報を表示制御することを特徴とする。
【0019】
また、前記画像形成装置は、前記ユーザ情報受信手段によって受信したユーザ情報が当該画像形成装置で利用可能なユーザ情報でない場合に、当該ユーザ情報が通常利用可能な画像形成装置の検索を指示する検索指示手段を更に備えることを特徴とする。
【0020】
また、前記画像形成装置は、ユーザを識別するための第1の識別情報を読み取る読取手段と、前記第1の識別情報を前記ユーザ情報管理装置に送信する第1の識別情報送信手段とを更に備え、前記ユーザ情報受信手段は、前記第1の識別情報に対応するユーザ情報を受信し、前記ログイン手段は、前記第1の識別情報に対応するユーザ情報の受信に応じてログインすることを特徴とする。
【0021】
また、前記表示制御手段で表示するユーザ情報は、ユーザ名又はメールアドレス又は費用コードであることを特徴とする。
【0022】
また、ユーザ識別情報を含むユーザ情報を管理するユーザ情報管理装置と通信可能に接続される画像形成装置であって、前記画像形成装置へログインするために、ユーザ識別情報の入力を受け付ける入力受付手段と、前記画像形成装置へログイン可能なユーザ識別情報かを判断するために、前記入力受付手段で受け付けたユーザ識別情報を前記ユーザ情報管理装置に送信するユーザ識別情報送信手段と、前記ユーザ識別情報送信手段によって送信したユーザ識別情報に対応するユーザ情報を前記ユーザ情報管理装置から受信するユーザ情報受信手段と、前記ユーザ情報受信手段によって受信したユーザ情報が複数存在するか否かを判定する判定手段と、前記判定手段によりユーザ情報が複数存在すると判定された場合に、前記複数のユーザ情報を表示制御する表示制御手段と、ユーザの操作に従って、前記表示制御手段により表示した複数のユーザ情報から1つのユーザ情報を選択する選択手段と、前記判定手段によりユーザ情報が複数存在しないと判定された場合に、前記表示制御手段で複数のユーザ情報を表示することなく、前記ユーザ情報受信手段で受信したユーザ情報を用いてログインし、前記判定手段によりユーザ情報が複数存在すると判定された場合に、前記選択手段により選択されたユーザ情報を用いてログインするログイン手段とを備えることを特徴とする。
【発明の効果】
【0023】
画像形成装置のグループを設定し、設定されたグループを、ユーザが利用可能なグループとしてユーザ情報に設定することで、認証に応じた画像形成装置の利用を制限し、セキュリティを高めることができる。
【0024】
また、認証要求のあった画像形成装置が、ユーザが利用可能な画像形成装置のグループの画像形成装置でない場合の権限を設定することで、他の画像形成装置の利用を可能にするとともに、不要な利用を制限し、セキュリティを高めることができる。
【0025】
さらに、画像形成装置からユーザが利用可能なグループの画像形成装置を検索することができ、利便性の高めることができる。
【図面の簡単な説明】
【0026】
【図1】ICカード認証システムの構成の一例を示すシステム構成図
【図2】ICカード認証サーバ200、ディレクトリサービスサーバ300、クライアントPC700に適用可能な情報処理装置のハードウェア構成図
【図3】複合機100のハードウェア構成図
【図4】ICカード認証システムにおける複合機100とICカード認証サーバ200の機能ブロック図
【図5】ICカード認証用テーブルの構成を示す図
【図6】デバイス管理画面の一例を示す図
【図7】ユーザ情報編集画面の一例を示す図
【図8】機能制限確認画面800Aと検索結果表示画面800Bの一例を示す図
【図9】デバイスグループの登録処理を示すフローチャート
【図10】ICカードがカードリーダにかざされた場合の処理を示すフローチャート
【図11】認証処理を示すフローチャート
【図12】デバイスグループの検索処理を示すフローチャート
【図13】機能制限情報の構成を示す図
【図14】機能制限情報と権限グループとの対応付けテーブルを示す図
【図15】ICカード認証用テーブルに記憶されたユーザ情報の一例を示す図
【図16】ユーザ名とパスワードが入力された場合の認証処理を示すフローチャート
【図17】キーボード認証処理を示すフローチャート
【図18】ログイン後のログイン情報変更処理を示すフローチャート
【図19】ログイン情報選択画面
【発明を実施するための形態】
【0027】
以下、図面を参照して、本発明の実施形態を詳細に説明する。
【0028】
図1は、本発明のICカード認証システムの構成の一例を示すシステム構成図である。
【0029】
図1は、1又は複数の複合機100、ICカード認証サーバ200、複数のディレクトリサービスサーバ300がローカルエリアネットワーク(LAN)400を介して通信可能に接続される構成となっている。
【0030】
ICカード認証サーバ200(ユーザ情報管理装置)は、ICカード認証用テーブル(後述する図5に示す)を記憶し、複合機100(画像形成装置)からのICカードによる認証依頼、またはユーザ名とパスワードによる認証依頼に応じて、該ICカード認証用テーブルを用いて認証処理を行う。
【0031】
ディレクトリサービスサーバ300は、ネットワーク上に存在するサーバ、クライアント等のハードウェア資源や、それらを使用するユーザの属性(例えば、マイクロソフト社のWindows(登録商標)のログインユーザ名,パスワード)、アクセス権等の情報を一元記憶管理するものであり、例えば、アクティブディレクトリ(Active Directory(商標、以下省略))機能を搭載したサーバである。
【0032】
クライアントPC700は、ICカード認証サーバ管理ツールをインストールしたクライアントPCである。ICカード認証サーバ管理ツールからICカード認証サーバにアクセスし、ICカード認証サーバ管理ツールの図6や図7の画面から設定作業を行う事が可能である。
【0033】
ICカード認証サーバ管理ツールは、ICカード認証サーバ200にインストールされている構成でも良く、ICカード認証サーバ200で設定を行うことも可能である。
【0034】
また、本実施形態のICカード認証システムは、上述した構成の1又は複数の複合機100,ICカード認証サーバ200,ディレクトリサービスサーバ300がLAN400を介して接続されるWAN500を介して接続される構成であってもよい。
【0035】
さらに、ICカード認証に限らず、指紋などの生体認証を用いた認証システムにも適用可能である。
【0036】
なお、ICカード認証サーバ200で記憶するICカード認証用テーブルを、複合機100のHDD304に記憶し、認証処理(図11)を複合機100内で行うような構成を取ることも可能である。
【0037】
以下、図2を用いて、図1に示したICカード認証サーバ200,ディレクトリサービスサーバ300、クライアントPC700に適用可能な情報処理装置のハードウェア構成について説明する。
【0038】
図2は、図1に示したICカード認証サーバ200、ディレクトリサービスサーバ300、クライアントPC700に適用可能な情報処理装置のハードウェア構成を示すブロック図である。
【0039】
図2において、201はCPUで、システムバス204に接続される各デバイスやコントローラを統括的に制御する。また、ROM202あるいは外部メモリ211には、CPU201の制御プログラムであるBIOS(Basic Input / Output System)やオペレーティングシステムプログラム(以下、OS)や、各サーバ或いは各PCの実行する機能を実現するために必要な後述する各種プログラム等が記憶されている。
【0040】
203はRAMで、CPU201の主メモリ、ワークエリア等として機能する。CPU201は、処理の実行に際して必要なプログラム等をROM202あるいは外部メモリ211からRAM203にロードして、該ロードしたプログラムを実行することで各種動作を実現するものである。
【0041】
また、205は入力コントローラで、キーボード(KB)209や不図示のマウス等のポインティングデバイス等からの入力を制御する。206はビデオコントローラで、液晶ディスプレイなどのディスプレイ210への表示を制御する。これらは必要に応じて管理者が使用するものである。
【0042】
207はメモリコントローラで、ブートプログラム,各種のアプリケーション,フォントデータ,ユーザファイル,編集ファイル,各種データ等を記憶する外部記憶装置(ハードディスク(HD))や、フレキシブルディスク(FD)、或いはPCMCIAカードスロットにアダプタを介して接続されるコンパクトフラッシュ(登録商標)メモリ等の外部メモリ211へのアクセスを制御する。
【0043】
208は通信I/Fコントローラで、ネットワーク(例えば、図1に示したLAN400)を介して外部機器と接続・通信するものであり、ネットワークでの通信制御処理を実行する。例えば、TCP/IPを用いた通信等が可能である。
【0044】
なお、CPU201は、例えばRAM203内の表示情報用領域へアウトラインフォントの展開(ラスタライズ)処理を実行することにより、ディスプレイ210上での表示を可能としている。また、CPU201は、ディスプレイ210上の不図示のマウスカーソル等でのユーザ指示を可能とする。
【0045】
本発明を実現するための後述する各種プログラムは、外部メモリ211に記録されており、必要に応じてRAM203にロードされることによりCPU201によって実行されるものである。さらに、上記プログラムの実行時に用いられる定義ファイル及び各種情報テーブル等も、外部メモリ211に格納されており、これらについての詳細な説明も後述する。
【0046】
次に、図3を用いて、本発明の画像形成装置としての複合機100のハードウェア構成について説明する。
【0047】
図3は、図1に示した複合機100のハードウェア構成の一例を示すブロック図である。
【0048】
図3において、316はコントローラユニットで、画像入力デバイスとして機能するスキャナ部314や、画像出力デバイスとして機能するプリンタ部312と接続する一方、LAN(例えば、図1に示したLAN400)や公衆回線(WAN)(例えば、PSTNまたはISDN等)と接続することで、画像データやデバイス情報の入出力を行う。
【0049】
コントローラユニット316において、301はCPUで、システム全体を制御するプロセッサである。302はRAMで、CPU301が動作するためのシステムワークメモリであり、プログラムを記録するためのプログラムメモリや、画像データを一時記録するための画像メモリでもある。
【0050】
303はROMで、システムのブートプログラムや各種制御プログラムが格納されている。304は外部記憶装置(ハードディスクドライブ(HDD))で、システムを制御するための各種プログラム,画像データ等を格納する。
【0051】
307は操作部インタフェース(操作部I/F)で、操作部(UI)308とのインタフェース部であり、操作部308に表示する画像データを操作部308に対して出力する。また、操作部I/F307は、操作部308から本システム使用者が入力した情報(例えば、ユーザ情報等)をCPU301に伝える役割をする。なお、操作部308はタッチパネルを有する表示部を備え、該表示部に表示されたボタンを、ユーザが押下(指等でタッチ)することにより、各種指示を行うことができる。
【0052】
305はネットワークインタフェース(Network I/F)で、ネットワーク(LAN)に接続し、データの入出力を行う。306はモデム(MODEM)で、公衆回線に接続し、FAXの送受信等のデータの入出力を行う。
【0053】
318は外部インタフェース(外部I/F)で、USB、IEEE1394,プリンタポート,RS−232C等の外部入力を受け付けるI/F部であり、本実施形態においては認証で必要となるICカード(記憶媒体)の読み取り用のカードリーダ319が外部I/F部318に接続されている。そして、CPU301は、この外部I/F318を介してカードリーダ319によるICカードからの情報読み取りを制御し、該ICカードから読み取られた情報を取得可能である。以上のデバイスがシステムバス309上に配置される。
【0054】
320はイメージバスインタフェース(IMAGE BUS I/F)であり、システムバス309と画像データを高速で転送する画像バス315とを接続し、データ構造を変換するバスブリッジである
【0055】
画像バス315は、PCIバスまたはIEEE1394で構成される。画像バス315上には以下のデバイスが配置される。
【0056】
310はラスタイメージプロセッサ(RIP)で、例えば、PDLコード等のベクトルデータをビットマップイメージに展開する。311はプリンタインタフェース(プリンタI/F)で、プリンタ部312とコントローラユニット316を接続し、画像データの同期系/非同期系の変換を行う。また、313はスキャナインタフェース(スキャナI/F)で、スキャナ部314とコントローラユニット316を接続し、画像データの同期系/非同期系の変換を行う。
【0057】
317は画像処理部で、入力画像データに対し補正、加工、編集を行ったり、プリント出力画像データに対して、プリンタの補正、解像度変換等を行う。また、これに加えて、画像処理部317は、画像データの回転や、多値画像データに対してはJPEG、2値画像データはJBIG、MMR、MH等の圧縮伸張処理を行う。
【0058】
スキャナ部314は、原稿となる紙上の画像を照明し、CCDラインセンサで走査することで、ラスタイメージデータとして電気信号に変換する。原稿用紙は原稿フィーダのトレイにセットし、装置使用者が操作部308から読み取り起動指示することにより、CPU301がスキャナ部314に指示を与え、フィーダは原稿用紙を1枚ずつフィードし原稿画像の読み取り動作を行う。
【0059】
プリンタ部312は、ラスタイメージデータを用紙上の画像に変換する部分であり、その方式は感光体ドラムや感光体ベルトを用いた電子写真方式、微少ノズルアレイからインクを吐出して用紙上に直接画像を印字するインクジェット方式等があるが、どの方式でも構わない。プリント動作の起動は、CPU301からの指示によって開始する。なお、プリンタ部312には、異なる用紙サイズまたは異なる用紙向きを選択できるように複数の給紙段を持ち、それに対応した用紙カセットがある。
【0060】
操作部308は、LCD表示部を有し、LCD上にタッチパネルシートが貼られており、システムの操作画面を表示するとともに、表示してあるキーが押されるとその位置情報を操作部I/F307を介してCPU301に伝える。また、操作部308は、各種操作キーとして、例えば、スタートキー、ストップキー、IDキー、リセットキー等を備える。
【0061】
ここで、操作部308のスタートキーは、原稿画像の読み取り動作を開始する時などに用いる。スタートキーの中央部には、緑と赤の2色LEDがあり、その色によってスタートキーが使える状態にあるかどうかを示す。また、操作部308のストップキーは、稼働中の動作を止める働きをする。また、操作部308のIDキーは、使用者のユーザIDを入力する時に用いる。リセットキーは、操作部からの設定を初期化する時に用いる。
【0062】
カードリーダ319は、CPU301からの制御により、ICカード(例えば、ソニー社のフェリカ(FeliCa)(登録商標))内に記憶されている情報を読み取り、該読み取った情報を外部I/F318を介してCPU301へ通知する。 なお、コントローラユニット316とプリンタ部312とスキャナ部314と操作部308とカードリーダ319は、複合機100で同一筐体に備えている。
【0063】
次に、図4のICカード認証システムにおける複合機100とICカード認証サーバ200の機能ブロック図を用いて、ICカード認証システムの処理を説明する。
【0064】
複合機100は、401〜407の各機能部を有しており、CPU301が各機能部を実行する。ICカード認証サーバ200は、408〜412の各機能部を有しており、CPU201が各機能部を実行する。
【0065】
まず、複合機100のユーザ情報設定部408は、ユーザ情報をディレクトリサービスサーバ300から取得し、図5のICカード認証用テーブルに記憶する。記憶されたユーザ情報に対して、図7のユーザ情報編集画面を介して、カード番号511や機能制限情報507やデバイス制限情報520デバイスグループ以外の場合の機能制限情報530を設定する。また、図6のデバイス管理画面を介して、デバイスグループを生成し、デバイスグループにIPアドレスやサブネットマスクを設定する。
【0066】
認証情報取得部401は、カードリーダ319により読み取り可能なICカードを検知すると、該ICカード内の個人認証情報を取得する。認証情報送信部402は、取得した個人認証情報を認証要求としてICカード認証サーバ200に送信する。この認証要求では、複合機100のIPアドレスも送信される。このIPアドレスはTCP/IP通信上で送信されるIPアドレスも含む。個人認証情報は、認証に用いられる情報であり該ICカードの製造番号でも良い。
【0067】
ICカード認証サーバ200の認証情報受信部409は、複合機100より個人認証情報を受信する。認証部410は、受信した個人認証情報の認証処理をICカード認証サーバ200の外部記憶装置上に記憶されるICカード認証用テーブル(図5)に基づいて行い、ICカード認証用テーブル(図5)に個人認証情報がある場合には、個人認証情報を受信した際に取得できるIPアドレスと図5のデバイス制限情報520とに従って、ユーザが通常利用する権限で複合機100を利用できるかを判断する。認証情報受信部409で受信する情報は、少なくともユーザ名(ユーザ識別情報)を含み、ユーザの入力に応じてパスワード、認証先の情報と複合機100のIPアドレス(画像形成装置の識別情報)を含む情報である。
【0068】
認証結果送信部411は、デバイスグループ情報に取得したIPアドレスが含まれる場合には、ユーザが通常利用可能な権限(機能制限情報507)を含むユーザ情報と認証OKの認証結果を複合機100に送信する。また、認証結果送信部411は、デバイスグループ情報に取得したIPアドレスが含まれない場合には、デバイスグループに含まれないデバイスを利用する際の権限(機能制限情報530)を含むユーザ情報と認証OKの認証結果を複合機100に送信する。さらに、認証結果送信部411は、ICカード認証用テーブル(図5)に個人認証情報がない場合と、デバイスグループ情報に取得したIPアドレスが含まれない場合でデバイスグループが設定されていない場合には、認証NGの認証結果を複合機100に送信する。
【0069】
なお、認証結果は、ユーザが通常利用可能な権限(機能制限情報507)か、デバイスグループに含まれないデバイスを利用する際の権限(機能制限情報530)かを識別する情報を含んでいる。この識別情報は、ユーザが通常利用可能な権限(機能制限情報507)をフラグ「0」、デバイスグループに含まれないデバイスを利用する際の権限(機能制限情報530)をフラグ「1」として、認証結果にフラグを含むようにする。或いは、機能制限情報をユーザが通常利用可能な権限(機能制限情報507)の場合と、デバイスグループに含まれないデバイスを利用する際の権限(機能制限情報530)の場合のそれぞれを定義しておき、機能制限情報名に識別可能な情報を付し、その機能制限情報名を認証結果に含めるような構成としてもよい。
【0070】
また、デバイスを利用する際の権限(機能制限情報530)は、ユーザが通常利用可能な権限(機能制限情報507)より低い権限が設定されているものとするが、権限の一部がデバイスを利用する際の権限(機能制限情報530)の方が高い権限であった場合には、その権限が一致しない項目については、低い権限を利用するものとする。
【0071】
複合機100の認証結果受信部403は、ICカード認証サーバ200から認証結果を受信し、認証結果記憶部404は、認証結果のユーザ情報をRAM302に記憶する。権限判定部405は、RAM302に記憶されたユーザ情報に含まれる権限情報が、ユーザが通常利用可能な権限(機能制限情報507)である場合には、この機能制限情報507に従って、複合機100へのログインを行う。このログインは、複合機100のプラットフォーム(例えば、オペレーティングシステム)に対して機能制限情報507を用いて、ログイン要求することである。ログイン要求を受け付けた複合機100のプラットフォーム側は、この機能制限情報507を参照し、複合機100のプリント機能やスキャン機能を使えないように制限する。
【0072】
また、ユーザ情報に含まれる権限情報が、デバイスグループに含まれないデバイスを利用する際の権限(機能制限情報530)である場合には、図8の機能制限確認画面800Aを操作部308に表示させ、ユーザが通常利用可能な権限(機能制限情報507)より低い権限である、デバイスグループに含まれないデバイスを利用する際の権限(機能制限情報530)に従って、複合機100へのログインを行う。このログインは、複合機100のプラットフォーム(例えば、オペレーティングシステム)に対して機能制限情報530を用いて、ログイン要求することである。ログイン要求を受け付けた複合機100のプラットフォーム側は、この機能制限情報530を参照し、複合機100のプリント機能やスキャン機能を使えないように制限する。
【0073】
また、デバイスグループに含まれないデバイスを利用する際の権限(機能制限情報530)を用いる場合には、ユーザの指示に従って、デバイスグループ検索要求部407はユーザが通常利用可能な権限(機能制限情報507)で利用できる複合機又は複合機が設置してある場所(フロア名)を取得するために、ICカード認証サーバ200へユーザ情報(例えば、ユーザ名もしくはカード番号)を用いて要求を行う。また、ICカード認証サーバ200のデバイスグループ検索部412は、要求に含まれるユーザ情報に従って、デバイスグループ521を取得し、複合機100へ送信する。
【0074】
複合機100の表示制御部406は、ICカード認証サーバ200から受信したデバイスグループを用いて図8の検索結果表示画面800Bを表示する。また、複数のユーザ情報をICカード認証サーバ200から受信した場合に、複数のユーザ情報の中からログインするためのユーザを1つ選択可能なように複数のユーザ情報を表示する。
【0075】
複合機100の複数ユーザ判定部414は、ICカード認証サーバ200から受信したユーザ情報が複数存在するか否かを判定する。ユーザ情報選択部415では、複数ユーザ判定部414で複数のユーザ情報が存在すると判定され、表示制御部406で複数のユーザ情報が表示され、ユーザが複数のユーザ情報のいずれか1つを押下することによって、ログインするユーザ情報を選択(決定)する。そして、ログイン部416は、ユーザ情報選択部415で選択したユーザ情報を用いてログイン処理を行う。
【0076】
次に、図5を参照して、ICカード認証用テーブルについて説明する。
【0077】
図5は、本実施形態のICカード認証システムにおけるICカード認証用テーブルの一例を示すデータ構成図である。なお、ICカード認証テーブルは、ICカード認証サーバ200の外部メモリ211に記憶される。
【0078】
図5に示すように、ICカード認証用テーブルは、カード番号511、正当性情報512、カード名称515、ユーザ名501、認証ドメイン名502、メールアドレス504、有効期限505、有効/無効506、機能制限情報507、部門ID508、部門パスワード509、デバイス制限情報520、デバイスグループ以外の場合の機能制限情報530等から構成される。デバイス制限情報520は、デバイスグループ521、IPアドレス522、サブネットマスク523を含む。
【0079】
ICカード認証用テーブルの情報はカード番号をキーとして管理される。
【0080】
カード番号511、正当性情報512、カード名称513は、ユーザが複合機100を使用するためのICカードのカード情報である。本実施形態において、ICカードのカード情報は、すなわち複合機100(画像形成装置)の使用を許可する(ユーザ認証する)キー情報である。
【0081】
カード番号511は、個々のカードを識別するための数字、文字の列であり、このカード番号と、カードリーダ319がICカードから読み出したカード番号と比較するための情報で、一致した場合には認証成功となり、一致しない場合には認証失敗となる。なお、正当性情報512、カード名称513については後述する。
【0082】
ユーザ名501は、複合機100を使用するユーザの名称であり、認証結果に含まれる情報である。このユーザ名で複合機100へのログインがなされる。また、ログインされるとこのユーザ名が操作部308へユーザ名が表示される。
【0083】
認証ドメイン名502は、認証先のサーバがネットワーク上で何処にあるかを示す。認証先は、ICカード認証サーバ200やディレクトリサービスサーバ300などである。
【0084】
メールアドレス504は、ユーザの所有するメールアドレスであり、複合機100の使用に関する通知をユーザに行う際などに使用される。有効期限505は、ユーザに定められた複合機100の使用の有効期限である。有効期限を超えると、そのユーザが複合機100を使用することができなくなる。
【0085】
有効/無効506は、そのユーザが複合機100を使用できるかどうかを示す情報である。有効期限を超えるなどの理由により、複合機100を使用できない場合には、無効を示す情報が書き込まれる。
【0086】
機能制限情報507は、そのユーザに設定されているデバイスグループに含まれる複合機100を使用にする際に複合機の機能を制限する内容を示すもので、ユーザが通常利用する複合機(例えば、ユーザが普段利用するフロアの複合機)の機能を制限するものある。機能制限情報507は、図13の機能制限情報を紐付ける事で実現する。機能制限情報の詳細は、図13にて記載する。なお、機能制限情報507に記憶される情報は、機能制限情報に紐付く名称が記憶される。なお、機能制限情報507は、デバイスグループに含まれる複合機100の利用可能な機能を定義する第1の機能制限情報と言い換えることができる。
【0087】
部門ID508は、ユーザの所属する社内部門を示すIDである。部門パスワード509は、部門ID508に付随するパスワードである。
【0088】
パスワード531は、ユーザ名501に対応するユーザパスワードである。キーボード認証時に、認証先にICカード認証を選択した場合には、ユーザ名501とパスワード531を用いて認証を行う。
【0089】
表示名532は、複合機100を使用するユーザの名称であり、全角文字に対応した情報である。ログインされると、ユーザ名501もしくは、表示名532が操作部308に表示される。
【0090】
費用負担コード533は、複合機を使用した時の費用負担元を示す情報となる。印刷などで発生した費用を、この費用負担元に対して請求する、といった運用を行う際や、複数のユーザ情報を持つユーザがどの情報でログインするかを選択する際に使用する。
【0091】
具体的には費用負担コードには、ユーザが所属する部署のコード等を設定する。
【0092】
会社コード534は、ユーザが所属する会社コードを示す情報である。会社コード534は、費用負担コード533と同様の使い方を想定した情報となる。
【0093】
以下に正当性情報512、カード名称513に関しての概要を説明する。
【0094】
正当性情報512とは、ICカード内に登録された数値の情報である。この情報は、例えば、ICカードを紛失した際に、紛失したICカードと再発行したICカードを区別する為に使用する。
【0095】
例えば、紛失したICカードの正当性情報から値を1つ加算してICカードを再発行する事で、紛失したICカードとの区別をする事が可能となる。紛失したICカードの悪用を防ぎ、セキュリティを保つ事ができる。
【0096】
カード名称513は、カード情報削除画面(不図示)などでICカードのカード番号を表示する際に、ともに表示し、ユーザが判別し易いようにするものである。カード名称は、カード情報登録時のカード登録・カード名称入力画面(不図示)で設定が可能である。
【0097】
以下にデバイスグループ521、IPアドレス522、サブネットマスク523に関しての概要を説明する。
【0098】
デバイスグループ521は、デバイスグループの名称を表し、一意の情報となる。IPアドレス522は、デバイスグループのIPアドレスであり、1つのデバイスグループに複数設定可能である。また、サブネットマスク523はIPアドレスの範囲が設定される。
【0099】
このデバイス制限情報520は、図7のユーザ編集画面で設定されることによって記憶される情報である。また、図7のユーザ編集画面で設定することのできるデバイス制限情報は図6のデバイス管理画面で設定することができる情報である。
【0100】
デバイスグループ以外の場合の機能制限情報530は、デバイスグループに含まれない複合機100の機能を制限する内容を示す。なお、機能制限情報530は、デバイスグループに含まれない複合機100の利用可能な機能を定義する第1の機能制限情報と言い換えることができる。
【0101】
また、IPアドレス522、サブネットマスク523は、ユーザが利用可能な複合機を特定するための第1のアドレス(識別情報)と言い換えることができる。
【0102】
なお、本実施形態では、デバイスグループは複合機のIPアドレスを管理するように構成したが、複合機のMACアドレスなどの複合機の識別情報を管理し、この複合機の識別情報を用いてデバイスグループを特定するようにすることも可能である。
【0103】
また、図15は、前述の各ユーザ情報をICカード認証用テーブルに記憶した際の、一例を示す図となる。
【0104】
図15に示す通り、1ユーザに複数のカード番号が紐付いている。例えば、ユーザ01(user01)に対して、複数のカード番号、sid00001とsid00002が登録されている。本実施形態では、ユーザ情報は管理者によって予め登録されているものとする。
【0105】
なお、図16のカード番号について、初めはカード番号の値が入っておらず、複合機のカードリーダにユーザがICカードをかざすことによって、カード番号を登録するような構成をとることも可能である。
【0106】
次に、図6と図9を参照して、デバイスグループを登録する処理を説明する。
【0107】
なお、図9のステップS901〜ステップS905の処理は、CPU201によって実行される。
【0108】
ステップS901では、テキストエリア611にデバイスグループの名称を入力し、グループ追加ボタン612を押下してデバイスグループを登録する。登録されたデバイスグループは、601や603の様にツリー構造の上位に表示される。
【0109】
ステップS902では、登録したデバイスグループに対してデバイス情報(IPアドレス、またはIPアドレスとサブネットマスク)を登録する。IPアドレスのみで登録する場合は、テキストエリア613にIPアドレスを入力して、デバイス追加ボタン616を押下して登録する。登録されたIPアドレスは602のようにツリー構造の下位に表示される。
【0110】
IPアドレスとサブネットマスクで登録する場合は、テキストエリア614にIPアドレスを入力し、テキストエリア615にサブネットマスクを入力して、デバイス追加ボタン616を押下して登録する。登録されたIPアドレスは604のように「IPアドレス/サブネットマスク値」の形式でツリー構造の下位に表示される。デバイス情報は、1つのデバイスグループに対して複数登録可能である。
【0111】
登録した情報は、ICカード認証サーバ200の外部メモリ211に記憶される。IPアドレスとサブネットマスクで登録する場合は、特定のネットワーク(ネットワークアドレス(ネットワーク情報))を指定するもので、そのネットワーク内の複合機を対象とするための設定である。
【0112】
次に図7と図9を参照して、図6で登録したデバイスグループをユーザ情報に登録する処理を説明する。
【0113】
ステップS903では、ユーザの指示に従って、デバイスグループをユーザ情報に登録するか否かを判定する。登録すると判定した場合にはステップS904へ処理を移す。登録しない、つまり終了指示がなされたら処理を終了とする。
【0114】
ステップS904では、ユーザ編集画面にてユーザ情報に登録するデバイスグループをプルダウンメニュー703から選択し、追加ボタン704を押下してユーザにデバイスグループを登録する(デバイス制限情報設定)。ユーザには複数のデバイスグループを登録することが可能である。なお、プルダウンメニュー703は、図6で登録したデバイスグループがセットされる。
【0115】
ステップS905では、ユーザがラジオボタン705、706を選択することによって、認証時の複合機100のIPアドレスがユーザに登録されたデバイスグループに該当しなかった場合の動作を設定する(第2の機能制限情報を設定)。ラジオボタン705(ログインできない)が選択されると、認証NGとなるように、デバイス制限情報520には情報が登録されない(NULL値となる)。
【0116】
また、ラジオボタン706(以下のグループの使用制限でログインする)を選択すると、プルダウンメニュー707で指定した機能制限情報で認証OKとなるように、プルダウンメニュー707で指定した機能制限情報がデバイス制限情報520に登録される。
【0117】
次に、図10を参照して、ICカードがカードリーダにかざされた場合の処理を説明する。また、ICカードを用いたICカード認証を行わない場合に、ユーザの操作に従ってキーボード入力を用いたキーボード認証を行うことが可能な構成となっている。キーボード認証についての処理は図16で説明する。なお、図8の「カードを持たない方はこちらから」のボタンを押下することでキーボード認証の画面に移行する。
【0118】
なお、ステップS1001、ステップS1012〜ステップS1017の処理は、複合機100のCPU301が実行し、ステップS1001−1はICカード認証サーバ200のCPU201が実行する。なお、ステップS1001−1の処理については、図11にて説明する。
【0119】
まず、ステップS1001では、ユーザによってかざされたICカードからカード情報を取得し(第1の識別情報を取得)、また、複合機100が有するIPアドレスを取得する(第2のアドレスを取得)。取得したカード情報と複合機100のIPアドレスをICカード認証サーバ200に送信する(認証要求送信)。
【0120】
ステップS1001−1では、ICカード認証サーバ200はカード情報と複合機100のIPアドレスを受信し、認証処理を行う。
ここで、図11を用いて、認証処理について説明する。
【0121】
なお、ステップS1002〜ステップS1011の処理はICカード認証サーバ200のCPU201が実行する。
【0122】
ステップS1002では、カード情報と複合機100のIPアドレスを受信する(認証要求受信)。
【0123】
ステップS1003では、ステップS1002で受信したカード情報を元に、図5のICカード認証用テーブルからユーザ情報を検索する。
【0124】
ステップS1004では、ステップS1003の検索結果、ユーザ情報(ICカード認証用テーブルの501〜530の情報)を取得できた場合には認証成功(認証OK)としてステップS1005へ処理を移す。ユーザ情報を取得できない場合(ユーザ情報が登録されていない場合)には、ステップS1011へ処理を移す。
【0125】
ステップS1005では、ステップS1002で受信した複合機100のIPアドレスとステップS1003で取得したユーザ情報のデバイス制限情報との比較を行う。具体的には、IPアドレス522又は/IPアドレス522及びサブネットマスク523を用いて、デバイスグループに含まれる複合機100のIPアドレスかを検査する(利用判定)。
【0126】
ステップS1006では、ステップS1005の比較結果、デバイスグループに含まれる複合機と判定された場合には、ステップS1007へ処理を移す。またデバイスグループに含まれない複合機と判定された場合には、ステップS1008へ処理を移す。
【0127】
ステップS1007では、デバイスグループに含まれる複合機と判定されると、認証OKの結果とユーザ情報(メールアドレス504、機能制限情報507等)の認証結果を複合機100に送信する(認証結果送信)。なお、この認証結果には、ユーザが通常利用する機能制限情報507が含まれていることを示す識別情報(フラグ等)を有している。
【0128】
ステップS1008では、デバイスグループに含まれない複合機と判定されると、デバイスグループ以外からの複合機からの認証要求があった場合に、認証とするかを判定する。認証とするかは、デバイスグループ以外の場合の機能制限情報530で判断する。デバイスグループ以外の場合の機能制限情報530に機能制限情報が含まれる場合、つまり、図7で707が設定されている場合には、ステップS1009へ処理を移す。デバイスグループ以外の場合の機能制限情報530に機能制限情報が含まれない場合(NULL値の場合)、つまり、図7で706が設定されている場合には、ステップS1011へ処理を移す。
【0129】
ステップS1009では、デバイスグループ以外の場合の機能制限情報530から機能制限情報を取得する。
【0130】
ステップS1010では、認証OK(デバイスグループ以外の場合の機能制限情報で認証OK)の結果とユーザ情報(メールアドレス504、デバイスグループ以外の場合の機能制限情報530等)の認証結果を複合機100に送信する(認証結果送信)。なお、この認証結果には、デバイスグループ以外の場合の機能制限情報530が含まれていることを示す識別情報(フラグ等)を有している。
【0131】
ステップS1011では、複合機100に認証NGの認証結果を送信する。
【0132】
続いて、図10に戻り、ステップS1012では、複合機100はICカード認証サーバ200から認証結果を受信する。
【0133】
ステップS1013では、ステップS1012で受信したICカード認証サーバ200からの認証結果の判断を行う。認証OKであった場合には、ステップS1014へ処理を移し、認証NGであった場合には、ステップS1017へ処理を移す。
【0134】
認証OKであった場合には、RAM302に認証結果に含まれるユーザ情報を記憶する。
【0135】
ステップS1017では、認証ができなかったことを示す認証NG画面(不図示)を操作部308に表示する。
【0136】
ステップS1014では、デバイスグループ以外の場合の機能制限情報530で認証OKであったかを、認証結果に含まれる識別情報で判断する。デバイスグループ以外の場合の機能制限情報530で認証OKであった場合には、ステップS1016へ処理を移し、ユーザが通常利用する機能制限情報507で認証OKであった場合には、ステップS1015へ処理を移す。
【0137】
なお、ステップS1014の処理は、言い換えると、機能制限情報507(第1の機能制限情報)を用いてログイン可能な複合機か否かを判定する処理である。機能制限情報507(第1の機能制限情報)を用いてログイン可能な複合機である場合には、ステップS1015へ処理を移し、機能制限情報507(第1の機能制限情報)を用いてログイン可能でない複合機の場合には、ステップS1016へ処理を移す。
【0138】
ステップS1015では、RAM302に記憶されているユーザ情報の機能制限情報507に従って、複合機100にログインをし、ログイン後の初期画面(不図示)を操作部308に表示する。初期画面とは、ログイン後にデフォルト表示する画面であり、管理者が任意に設定することができる。初期画面の一例として、プリント操作画面、スキャン操作画面などがあげられる。このログインは、複合機100のプラットフォーム(例えば、オペレーティングシステム)に対して機能制限情報507を用いて、ログイン要求することである。ログイン要求を受け付けた複合機100のプラットフォーム側は、この機能制限情報507を参照し、複合機100のプリント機能やスキャン機能を使えないように制限する。
【0139】
なお、初期画面を表示後、ユーザによって選択された機能制限されていない機能を実行する。例えば印刷機能を実行する場合、クライアントPC700から出力された、クライアントPC700にログインしたユーザのユーザ名を含む印刷ジョブが複合機100のHDD304に記憶されており、この印刷ジョブからログインしたユーザ名に対応する印刷ジョブを取得して、印刷ジョブ一覧を表示する。一覧表示した印刷ジョブをユーザが選択することによって、印刷ジョブをHDD304から取得してプリンタ部312から出力される。
【0140】
ステップS1016では、ユーザが通常利用する機能制限情報507を用いず、デバイスグループ以外の場合の機能制限情報530を用いてログイン処理が行われるため、ユーザに対して通常の機能制限と異なる機能制限になることを通知するべく、
図8の機能制限確認画面800Aを操作部308に表示する。
【0141】
ここで、図8の画面について説明する。ユーザが通常利用する機能制限情報507を用いてログイン処理する場合には、機能制限確認画面800Aは表示されず、デバイスグループ以外の場合の機能制限情報530を用いる場合に、の機能制限確認画面800Aが表示される。
【0142】
機能制限確認画面800Aには、ユーザが通常利用する機能制限情報507を用いてログイン処理することが可能な複合機を検索するための検索ボタン801と、デバイスグループ以外の場合の機能制限情報530を用いてログイン処理を行うことを指示することが可能なOKボタン804を有している。
【0143】
検索ボタン801がユーザによって押下されると、複合機100からICカード認証サーバ200へ、ユーザ情報を送信することで得られるデバイスグループの名称を検索結果表示画面800Bに表示する。なお、検索結果表示画面800Bには、ユーザが通常利用する機能制限情報507を用いてログイン処理することが可能な複合機を特定するための情報を表示するようにすることも可能である。この複合機を特定するための情報とは、図6の602のIPアドレスやDNS(Domain Name Service)を用いて、IPアドレスから変換されるコンピュータ名(複合機名称(デバイス名))である。
【0144】
検索結果表示画面800Bには、機能制限確認画面800Aが表示されている画面に戻るための戻るボタン802と、デバイスグループ以外の場合の機能制限情報530が適用されログインすることで、ユーザが期待する処理ができないと考えた場合などにログインをしないようにする終了ボタン803を備えている。
【0145】
なお、終了ボタン803がユーザによって指示されると、指示を検知した複合機100は、ログインすることなく処理を終了する。そして、ユーザによってカードがカードリーダ319にかざされた場合に、ステップS1001へ処理が移れるように待機する。
【0146】
続いて、図10に戻り、ステップS1018では、機能制限確認画面800Aの検索ボタン801が押下されたか否かを判定する。検索ボタン801が押下された場合には、図12のステップS1201へ処理を移す。OKボタン804が押下された場合には、ステップS1015へ処理を移す。この場合、ステップS1015では、デバイスグループ以外の場合の機能制限情報530が適用されログインし、初期画面を操作部308に表示する。このログインは、複合機100のプラットフォーム(例えば、オペレーティングシステム)に対して機能制限情報530を用いて、ログイン要求することである。ログイン要求を受け付けた複合機100のプラットフォーム側は、この機能制限情報530を参照し、複合機100のプリント機能やスキャン機能を使えないように制限する。
【0147】
なお、初期画面を表示後、ユーザによって選択された機能制限されていない機能を実行する。例えば印刷機能を実行する場合、クライアントPC700から出力された、クライアントPC700にログインしたユーザのユーザ名を含む印刷ジョブが複合機100のHDD304に記憶されており、この印刷ジョブからログインしたユーザ名に対応する印刷ジョブを取得して、印刷ジョブ一覧を表示する。一覧表示した印刷ジョブをユーザが選択することによって、印刷ジョブをHDD304から取得してプリンタ部312から出力される。
【0148】
次に、図12を用いて、デバイスグループの検索処理について説明する。
【0149】
なお、ステップS1201、ステップS1205〜ステップS1207の処理は、複合機100のCPU301が実行する。また、ステップS1202〜ステップS1204の処理は、ICカード認証サーバ200のCPU201が実行する。
【0150】
ステップS1201では、ユーザが通常利用する機能制限情報507を用いてログインすることができる複合機又は、デバイスグループの名称(例えば、複合機の設置場所となるフロア)を取得するために、ICカード認証サーバ200にRAM302に記憶されているユーザ情報(例えば、ユーザ名やカード情報)を含むデバイスグループ要求を送信する(検索要求送信)。なお、RAM302に記憶されているユーザ情報以外に、ステップS1001で取得したカード情報を用いることも可能である。
【0151】
ステップS1202では、複合機100からユーザ情報(例えば、ユーザ名やカード情報)を含むデバイスグループ要求を受信する(検索要求受信)。
【0152】
ステップS1203では、ユーザ情報を元に、ICカード認証サーバ200の外部メモリに記憶されている図5のICカード認証用テーブルを検索して、デバイス制限情報520(521、522、523)を取得する。
【0153】
ステップS1204では、取得したデバイス制限情報520からデバイスグループ521を要求のあった複合機100へ送信する(デバイス制限情報送信)。なお、本実施形態では、取得したデバイス制限情報520のデバイスグループ521を送信するように構成したが、IPアドレス522或いはIPアドレス522から変換されたコンピュータ名(複合機名)を送るようにしてもよい。これは管理者が任意に設定できるものとし、設定に応じた情報を複合機100に送信する。
【0154】
ステップS1205では、ICカード認証サーバ200からデバイスグループ521を受信する。
【0155】
ステップS1206では、受信したデバイス制限情報520に従って、図8の検索結果表示画面800Bを複合機100の操作部308に表示する(デバイス制限情報表示)。
【0156】
ステップS1207では、検索結果表示画面800Bの戻るボタン802が押下されたか否かを判定する。戻るボタン802が押下されたと判定した場合には図8の機能制限確認画面800Aが表示されている画面に戻り、ユーザによって検索ボタン801かOKボタン804が押下されたことを検知するまで待機する。また、終了ボタン803が押下された場合には処理を終了し、複合機100のRAM302に記憶されているユーザ情報を削除する。
【0157】
次に、図13と図14を用いて機能制限情報について説明する。図13は、機能制限情報507とデバイスグループ以外の場合の機能制限情報530に記憶される機能制限情報の設定を示す図である。図14は、機能制限情報と権限グループを対応付ける対応付けテーブルを示す図である。
【0158】
機能制限情報は、複合機100の各機能の使用制限を詳細に設定する事が可能で、例えばデバイス制限項目の印刷を「許可する/許可しない」を設定する事で印刷可否の制限を指定できる。この機能制限情報は、管理者があらかじめ設定するもので、図14の権限グループ設定情報に示すように、管理者が任意に付けた権限グループ名1401に対応付けて記憶されている。
【0159】
なお、複数の機能制限情報を1つの権限グループ名1401に紐付けることも可能である。また、機能制限情報ごとに機能制限情報名1402を持たせて、この機能制限情報名1402を用いて紐づけを行っている。
【0160】
本実施形態では、機能制限情報507とデバイスグループ以外の場合の機能制限情報530には、機能制限情報名1402が記憶され、この機能制限情報名1402に対応づく、図13で設定されている機能制限情報が複合機100へ送信される。
【0161】
なお、図7の707で設定される情報は、図14の権限グループであり、ここで権限グループが設定されると、その権限グループに対応する機能制限情報名を図14から導き出し、機能制限情報名がデバイスグループ以外の場合の機能制限情報530に格納される。なお、707はGeneralUaserが設定されている例で、この場合、図14を参照すると機能制限情報Bが取得できるため、デバイスグループ以外の場合の機能制限情報530には、「機能制限情報B」が格納される。
【0162】
機能制限情報530に、707で設定した権限グループ(例えば、GeneralUaser)が格納するような構成であっても実現可能である。
【0163】
次に、図16を参照して、ユーザ名とパスワードが入力された場合の認証処理(キーボード認証)を説明する。
【0164】
なお、ステップS2001、ステップS2003〜ステップS2013の処理は、複合機100のCPU301が実行し、ステップS2002はICカード認証サーバ200のCPU201が実行する。なお、ステップS2002の処理については、図17にて説明する。
【0165】
まず、ステップS2001では、ユーザによって入力されたユーザ名(ユーザ識別情報)、パスワード、認証先の情報の入力を受け付け(入力受付)、当該情報をを取得し(第2の識別情報を取得)、また、複合機100が有するIPアドレスを取得する(第2のアドレスを取得)。取得したユーザ名、パスワード、認証先の情報と複合機100のIPアドレス(画像形成装置の識別情報)をICカード認証サーバ200に送信する(ユーザ識別情報送信)。
【0166】
ステップS2002では、ICカード認証サーバ200はユーザ名、パスワード、認証先の情報と複合機100のIPアドレスを受信し、キーボード認証処理を行う。
【0167】
ここで、図17を用いて、キーボード認証処理について説明する。
【0168】
なお、ステップS3001〜ステップS3016の処理はICカード認証サーバ200のCPU201が実行する。
【0169】
ステップS3001では、ユーザ名、パスワード、認証先と複合機100のIPアドレスを受信する(キーボード認証要求受信)。
【0170】
ステップS3002では、ステップS3001で受信したユーザ名、パスワード、認証先の情報を元に、指定の認証先に対して、ユーザ名とパスワードを使用して認証を実行する。認証先は、ICカード認証、ディレクトリサービス(ActiveDirectory(登録商標)等)が存在する。
【0171】
認証先がICカード認証サーバの場合は、図5のICカード認証用テーブルに対して、ユーザ名、パスワードを使用して認証を行う。(ユーザ名、パスワードを使用して検索を行う。)
【0172】
ステップS3003では、ステップS3002の認証結果を判定する。認証に成功した場合は、ステップS3004へ処理を移す。認証に失敗した場合は、ステップS3007へ処理を移す。(ステップS3007にはついては後述する。)
【0173】
ステップS3004では、図5のICカード認証用テーブルに対して、ユーザ名を使用してユーザ情報を検索する。検索されたユーザ名に紐付くユーザ情報をRAM203に保持する。
【0174】
ステップS3005では、ステップS3004の検索結果の判定を行う。ユーザ情報を取得できた場合、ステップS3006へ処理を移す。取得できなかった場合は、ステップS3007へ処理を移す。(ステップS3007については後述する。)
【0175】
ステップS3006からS3015では、取得したユーザ情報の数だけ繰り返し処理を実行する。つまりユーザ名に紐付く1又は複数のユーザ情報を取得する。
【0176】
ステップS3008では、ステップS3001で受信した複合機100のIPアドレスとステップS3004で取得したユーザ情報のデバイス制限情報との比較を行う。具体的には、IPアドレス522又は/IPアドレス522及びサブネットマスク523を用いて、デバイスグループに含まれる複合機100のIPアドレスかを検査する(利用判定)。
【0177】
ステップS3009では、ステップS3008の比較結果より、デバイスグループに含まれる複合機と判定された場合には、ステップS3010へ処理を移す。またデバイスグループに含まれない複合機と判定された場合には、ステップS3011へ処理を移す。デバイスグループに含まれる複合機は、ユーザが利用可能な複合機であることを示す。
【0178】
ステップS3010では、デバイスグループに含まれる複合機と判定されると、認証OKの結果とユーザ情報(メールアドレス504、機能制限情報507等)をRAM203に保持して、ステップS3015へ処理を移す。
【0179】
ステップS3011では、デバイスグループに含まれない複合機と判定されると、デバイスグループ以外からの複合機からの認証要求があった場合に機能制限をして認証OKとするかを判定する。認証OKとするかは、デバイスグループ以外の場合の機能制限情報530で判断する。デバイスグループ以外の場合の機能制限情報530に機能制限情報が含まれる場合、つまり、図7で707が設定されている場合には、ステップS3012へ処理を移す。デバイスグループ以外の場合の機能制限情報530に機能制限情報が含まれない場合(NULL値の場合)、つまり、図7で706が設定されている場合には、ステップS3014へ処理を移す。
【0180】
ステップS3012では、デバイスグループ以外の場合の機能制限情報530から機能制限情報を取得する。
【0181】
ステップS3013では、認証OK(デバイスグループ以外の場合の機能制限情報で認証OK)の結果とユーザ情報(メールアドレス504、デバイスグループ以外の場合の機能制限情報530等)をRAM203に保持して、ステップS3015へ処理を移す。なお、この認証結果には、デバイスグループ以外の場合の機能制限情報530が含まれていることを示す識別情報(フラグ等)を有している。
【0182】
ステップS3014では、該当ユーザ情報は認証NGの情報である為、ユーザ情報を破棄して、ステップS3015へ処理を移す。つまり、デバイスグループ以外の場合には利用できないユーザであるため、RAM203に保持しないようにステップS3004で取得したユーザ情報から削除する。
【0183】
ステップS3015では、繰り返し処理の判定を行う。ステップS3004で取得し、RAM203で保持しているユーザ情報のうちステップS3008〜ステップ3014の処理をしていないユーザ情報がまだ残っている場合は、ステップS3008へ処理を移す。ステップS3004で取得しRAM203で保持しているユーザ情報のうちステップS3008〜ステップ3014の処理をしていないユーザ情報が残っていない場合は、ステップS3016へ処理を移す。この処理によって、ステップS3001で認証要求を受信した先の複合機で利用可能なユーザが決定される。
【0184】
ステップS3016では、ステップS3006からステップS3015の処理結果より、認証OKのユーザ情報が存在するかを判定する。認証OKのユーザ情報が存在する場合(RAM203にユーザ情報が存在する場合)には、ステップS3017へ処理を移す。認証OKのユーザ情報が存在しない場合(RAM203にユーザ情報が存在しない場合)には、ステップS3007へ処理を移す。
【0185】
ステップS3017では、認証OKのユーザ情報と認証結果(認証OK、またはデバイスグループ以外の場合の機能制限情報で認証OK)を全て複合機100に送信する(キーボード認証結果送信)
【0186】
ステップS3007では、複合機100に認証NGの認証結果を送信する。
【0187】
続いて、図16に戻り、ステップS2003では、複合機100はICカード認証サーバ200から認証結果を受信する。
【0188】
ステップS2004では、ステップS2003で受信したICカード認証サーバ200からの認証結果の判断を行う。認証NGであった場合には、ステップS2005へ処理を移し、認証NGでなかった場合には、ステップS2006へ処理を移す。(ステップS2005については後述する。)
【0189】
ステップS2006では、ステップS2003で受信したICカード認証サーバ200からの認証結果であるユーザ情報が複数存在するかを判定する。ユーザ情報が複数存在する場合は、ステップS2007へ処理を移す。ユーザ情報が複数存在せず単一である場合は、ステップS2010へ処理を移す。(ステップS2010については後述する。)
【0190】
ステップS2007では、ユーザ情報が複数存在する為、どの情報でログインするかを選択する為のログイン情報選択画面1900(図19)を操作部308に表示する。
【0191】
ここで、図19の画面について説明する。図19のログイン情報選択画面1900は、ユーザ情報が複数存在する場合(ICカード認証用テーブルにて、同じユーザ名で複数のユーザ情報を保持する場合)で、キーボード認証を行った際に、どのユーザ情報でログイン処理するかを選択する為の画面である。
【0192】
なお、図19では、選択する際の情報として費用負担コードを選択する画面としているが、その他のユーザ情報(メールアドレス、表示名、等)を表示する画面とすることも可能である。または、全てのユーザ情報を表示する画面(メールアドレス、表示名、等を全て表示した画面)とすることも可能である。つまり、ログインするユーザ情報が1つ決定できるように選択可能な画面の構成とする。
【0193】
ログイン情報選択画面1900には、どのユーザ情報でログインするかを選択する為に使用する費用負担コード一覧1901と、選択した費用負担コードでログインする為のログインボタン1903と、初期画面に戻るためのキャンセルボタン1902を有している。
【0194】
費用負担コード一覧1901には、前述の通り、費用負担コードではなくメールアドレスや表示名の一覧を表示することも可能である。
【0195】
また、1項目の表示だけではなく複数項目のユーザ情報を表示することも可能である。(表示名、メールアドレス、費用負担コードを表示する、等。)
【0196】
この場合は、一覧形式の表示ではなく、ページ形式で「次のユーザへ」のボタンの押下に従って次のユーザ情報を表示して選択する画面構成であってもよい。(不図示)
【0197】
続いて、図16に戻り、ステップS2008では、ユーザに押下されたユーザ情報を決定(選択)し、選択されたユーザ情報をログイン情報として使用する為に情報を保持(取得)する。
【0198】
ステップS2009では、ステップS2003で受信した複数のユーザ情報と認証結果(認証OK、またはデバイスグループ以外の場合の機能制限情報で認証OK)をRAM302に全て保持する。この情報はログイン後に再度、違うユーザ情報でログインする場合に使用する(図18参照)。
【0199】
ステップS2010では、デバイスグループ以外の場合の機能制限情報530で認証OKであったかを、認証結果に含まれる識別情報で判断する。デバイスグループ以外の場合の機能制限情報530で認証OKであった場合には、ステップS2011へ処理を移し、ユーザが通常利用する機能制限情報507で認証OKであった場合には、ステップS2013へ処理を移す。
【0200】
認証OKであった場合には、RAM302に認証結果に含まれるユーザ情報を記憶する。より具体的には、ログインしたユーザを管理する領域(ログインコンテキスト)に記憶する。なお、ステップS2013の処理の際にユーザ情報を記憶する構成としたが、ステップS2008の処理後にユーザ情報を記憶するように構成することも可能である。複合機にログインするタイミングであればどのタイミングで記憶してもよい。
【0201】
なお、ステップS2010の処理は、言い換えると、機能制限情報507(第1の機能制限情報)を用いてログイン可能な複合機か否かを判定する処理である。機能制限情報507(第1の機能制限情報)を用いてログイン可能な複合機である場合には、ステップS2011へ処理を移し、機能制限情報507(第1の機能制限情報)を用いてログイン可能でない複合機の場合には、ステップS2013へ処理を移す。
【0202】
ステップS2013では、RAM302に記憶されているユーザ情報の機能制限情報507に従って、複合機100にログインをし、ログイン後の初期画面(不図示)を操作部308に表示する。初期画面とは、ログイン後にデフォルト表示する画面であり、管理者が任意に設定することができる。初期画面の一例として、プリント操作画面、スキャン操作画面などがあげられる。このログインは、複合機100のプラットフォーム(例えば、オペレーティングシステム)に対して機能制限情報507を用いて、ログイン要求することである。ログイン要求を受け付けた複合機100のプラットフォーム側は、この機能制限情報507を参照し、複合機100のプリント機能やスキャン機能を使えないように制限する。
【0203】
なお、ステップS2013でのログインは、ユーザ情報が複数存在しないと判定された場合には、ICカード認証サーバから取得した1つのユーザ情報を用いてログインし、ユーザが複数存在すると判定された場合には、選択されたユーザ情報を用いてログインする。
【0204】
なお、初期画面を表示後、ユーザによって選択された機能制限されていない機能を実行する。例えば印刷機能を実行する場合、クライアントPC700から出力された、クライアントPC700にログインしたユーザのユーザ名を含む印刷ジョブが複合機100のHDD304に記憶されており、この印刷ジョブからログインしたユーザ名に対応する印刷ジョブを取得して、印刷ジョブ一覧を表示する。一覧表示した印刷ジョブをユーザが選択することによって、印刷ジョブをHDD304から取得してプリンタ部312から出力される。
【0205】
ステップS2011では、ユーザが通常利用する機能制限情報507を用いず、デバイスグループ以外の場合の機能制限情報530を用いてログイン処理が行われるため、ユーザに対して通常の機能制限と異なる機能制限になることを通知するべく、図8の機能制限確認画面800Aを操作部308に表示する。
(図8の説明は、前述の通りである。)
【0206】
ステップS2012では、機能制限確認画面800Aの検索ボタン801が押下されたか否かを判定する(検索指示判定)。検索ボタン801が押下された場合には、図12のステップS1201(図12)へ処理を移す。なお、本実施形態では、ICカード認証サーバへ通常の機能制限で利用できる複合機の情報(デバイスグループ)を取得するために要求をするように構成したが、ステップS2003で受信した認証結果(ユーザ情報)に通常の機能制限で利用できる複合機の情報(デバイスグループ)を含め、ICカード認証サーバに要求することなくその複合機の情報(デバイスグループ)をステップS1207で表示させるように構成してもよい。
【0207】
OKボタン804が押下された場合には、ステップS2013へ処理を移す。この場合、ステップS2013では、デバイスグループ以外の場合の機能制限情報530が適用されログインし、初期画面を操作部308に表示する。このログインは、複合機100のプラットフォーム(例えば、オペレーティングシステム)に対して機能制限情報530を用いて、ログイン要求することである。ログイン要求を受け付けた複合機100のプラットフォーム側は、この機能制限情報530を参照し、複合機100のプリント機能やスキャン機能を使えないように制限する。
【0208】
なお、初期画面を表示後、ユーザによって選択された機能制限されていない機能を実行する。例えば印刷機能を実行する場合、クライアントPC700から出力された、クライアントPC700にログインしたユーザのユーザ名を含む印刷ジョブが複合機100のHDD304に記憶されており、この印刷ジョブからログインしたユーザ名に対応する印刷ジョブを取得して、印刷ジョブ一覧を表示する。一覧表示した印刷ジョブをユーザが選択することによって、印刷ジョブをHDD304から取得してプリンタ部312から出力される。
【0209】
ステップS2005では、認証ができなかったことを示す認証NG画面(不図示)を操作部308に表示する。
【0210】
次に、図18を用いて、ログイン後のログイン情報変更処理の説明を記載する。
【0211】
ステップS4001では、ユーザにより操作部308でログイン情報変更のボタン(不図示)が押されたかを判断する。ログイン情報変更のボタンが押された場合は、ステップS4002に処理を移す(ユーザ切換)。なお、ログイン変更のボタンは操作部308のタッチパネル上に表示されているものとするが、ログイン情報の変更が可能な構成であればよく、操作部308の各種操作キーとしてボタン(ハード的に備えるボタン)が構成されていてもよい。
【0212】
また、ログイン情報の変更はユーザが任意のタイミングで行うことができる。
【0213】
ステップS4002では、ステップS2009でRAM302に保持したユーザ情報を取得し、取得したユーザ情報のうちどのユーザ情報でログインするかを選択する為の画面を操作部308に表示する(図19)。
【0214】
ステップS4003では、選択されたユーザ情報をログイン情報として使用する為にユーザ情報を取得する。
【0215】
ステップS4004では、ステップS4002で表示した複数のユーザ情報と認証結果(認証OK、またはデバイスグループ以外の場合の機能制限情報で認証OK)を全てRAM302に保持(記憶)する。この情報はログイン後に再度、違うユーザ情報でログインする場合に使用する情報である。なお、既にRAM302にユーザ情報を記憶しているため、本処理を省略することも可能である。
【0216】
また、上述のステップS2008とステップS4004では、選択したユーザ情報は保持しないように構成することも可能である。
【0217】
以下、ステップS4005〜ステップS4008は、図16のステップS2010〜ステップS2013の処理と同様である。
【0218】
ステップS4005では、ステップS4003で保持したログイン情報が、デバイスグループ以外の場合の機能制限情報530で認証OKであったかを、ログイン情報に含まれる識別情報で判断する。デバイスグループ以外の場合の機能制限情報530で認証OKであった場合には、ステップS4006へ処理を移し、ユーザが通常利用する機能制限情報507で認証OKであった場合には、ステップS4008へ処理を移す。
【0219】
ステップS4006では、ユーザが通常利用する機能制限情報507を用いず、デバイスグループ以外の場合の機能制限情報530を用いてログイン処理が行われるため、ユーザに対して通常の機能制限と異なる機能制限になることを通知するべく、図8の機能制限確認画面800Aを操作部308に表示する。(図8の説明は、前述の通りである。)
【0220】
ステップS4007では、機能制限確認画面800Aの検索ボタン801が押下されたか否かを判定する。検索ボタン801が押下された場合には、図12のステップS1201へ処理を移す。OKボタン804が押下された場合には、ステップS4008へ処理を移す。この場合、ステップS4008では、デバイスグループ以外の場合の機能制限情報530が適用されログインし、初期画面を操作部308に表示する。
【0221】
ステップS2009で複数のユーザ情報を保持することで、ログインを切り換える際に、再度ICカード認証サーバに対して認証を要求することなく複合機にログインできるので、認証効率をあげる或いはユーザの認証情報入力の手間を軽減することが可能となる。
【0222】
特にキーボード認証時に、操作のしづらい複合機の操作部308からユーザ名やパスワードの入力が減り、ユーザビリティが格段に向上する。
【0223】
以上説明した形態によれば、ユーザの操作に従って入力されたユーザ識別情報を用いた認証で複数のユーザ情報が得られた場合に、ログインするユーザ情報を選択可能に表示することで、画像形成装置の利用を容易に行わせる仕組みを提供することである。
【0224】
また、ユーザの操作に従ってユーザ識別情報が入力された画像形成装置で利用可能なユーザ情報を表示させることで、画像形成装置の利用を容易に行わせる仕組みを提供することである。
【0225】
その他、ユーザが利用可能な複合機(画像形成装置)のグループを設定し、設定されたグループをユーザごとに設定することで、認証に応じた複合機(画像形成装置)の利用を制限することができ、セキュリティの高い仕組みを実現することができる。
【0226】
また、認証要求のあった複合機(画像形成装置)が、設定されたユーザが利用可能な複合機(画像形成装置)のグループでない場合の権限を設定することで、他の複合機(画像形成装置)の機能を制限しつつも、複合機の利用を可能にし、利便性を高めることができる。また、他の複合機(画像形成装置)の機能を制限することで不要な利用を制限したセキュリティの高い仕組みを実現することができる。
【0227】
さらに、通常利用する複合機(画像形成装置)より利用権限の低い他の複合機(画像形成装置)から、ユーザが通常利用している複合機の権限を用いて利用できる複合機(画像形成装置)を検索することができ、利便性の高い仕組みを実現できる。
【0228】
なお、上述した各種データの構成及びその内容はこれに限定されるものではなく、用途や目的に応じて、様々な構成や内容で構成されることは言うまでもない。
【0229】
以上、一実施形態について示したが、本発明は、例えば、システム、装置、方法、プログラムもしくは記録媒体等としての実施態様をとることが可能であり、具体的には、複数の機器から構成されるシステムに適用しても良いし、また、一つの機器からなる装置に適用しても良い。
【0230】
また、本発明におけるプログラムは、図9〜図12の処理方法をコンピュータが実行可能なプログラムであり、本発明の記憶媒体は図9〜図12の処理方法をコンピュータが実行可能なプログラムが記憶されている。なお、本発明におけるプログラムは図9〜図12の各装置の処理方法ごとのプログラムであってもよい。
【0231】
以上のように、前述した実施形態の機能を実現するプログラムを記録した記録媒体を、システムあるいは装置に供給し、そのシステムあるいは装置のコンピュータ(またはCPUやMPU)が記録媒体に格納されたプログラムを読出し実行することによっても、本発明の目的が達成されることは言うまでもない。
【0232】
この場合、記録媒体から読み出されたプログラム自体が本発明の新規な機能を実現することになり、そのプログラムを記憶した記録媒体は本発明を構成することになる。
【0233】
プログラムを供給するための記録媒体としては、例えば、フレキシブルディスク,ハードディスク,光ディスク,光磁気ディスク,CD−ROM,CD−R,DVD−ROM,磁気テープ,不揮発性のメモリカード,ROM,EEPROM,シリコンディスク等を用いることができる。
【0234】
また、コンピュータが読み出したプログラムを実行することにより、前述した実施形態の機能が実現されるだけでなく、そのプログラムの指示に基づき、コンピュータ上で稼働しているOS(オペレーティングシステム)等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0235】
さらに、記録媒体から読み出されたプログラムが、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書き込まれた後、そのプログラムコードの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPU等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0236】
また、本発明は、複数の機器から構成されるシステムに適用しても、1つの機器からなる装置に適用してもよい。また、本発明は、システムあるいは装置にプログラムを供給することによって達成される場合にも適応できることは言うまでもない。この場合、本発明を達成するためのプログラムを格納した記録媒体を該システムあるいは装置に読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。
【0237】
さらに、本発明を達成するためのプログラムをネットワーク上のサーバ,データベース等から通信プログラムによりダウンロードして読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。
【0238】
なお、上述した各実施形態およびその変形例を組み合わせた構成も全て本発明に含まれるものである。
【符号の説明】
【0239】
100 複合機
200 ICカード認証サーバ
300 ディレクトリサービスサーバ
400 ローカルエリアネットワーク(LAN)
500 WAN
700 クライアントPC
201 CPU
211 外部メモリ
301 CPU
302 RAM
308 操作部
319 カードリーダ
【技術分野】
【0001】
本発明は、認証処理を行う認証システム、画像形成装置に関するものである。
【背景技術】
【0002】
近年、複合機を使用する際に、使用者を限定する目的から例えばICカードを複合機のカードリーダにかざすことによって、ICカードからよみとられた認証情報について認証情報管理装置(ICカード認証サーバ)へ問い合わせを行い、認証情報が登録されていれば認証成功を複合機に応答し、複合機を使用可能とするシステムが既に存在する。
【0003】
この様なシステムではユーザに複合機で使用できる機能を制限したい場合がある。例えばユーザAはコピーのみ使用可能、ユーザBはコピーとFAXが使用可能など、ユーザ毎に機能を制限したい場合がある。
【0004】
このように、ユーザ単位で使用可能な機能を設定する、または複合機単位/複合機を纏めたグループ単位で使用可能な機能を設定するシステムが特許文献1に開示されている。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2007−286908号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
特許文献1のシステムでは、複合機で使用可能な機能をユーザ単位もしくは複合機単位/複合機を纏めたグループ単位で設定可能としている。
【0007】
しかし、この場合、新たに複合機を導入する毎に再度設定を行う必要がある為、管理者の作業負荷が大きいという課題があった。
【0008】
また、複合機を利用する際には、ICカードなどをかざすことでユーザ認証を行い、ユーザ認証された場合に複合機が利用できる仕組みが存在するが、一般的に、ユーザはどの複合機であれば自分が使えるのかといったことまで意識せず、自社に設置してある複合機を利用する。
【0009】
そのため、ユーザごとに使える複合機を設定しておくような仕組みを用いた運用がされている場合には、いつも利用している複合機以外の複合機を利用する際、ICカードをかざして認証を行った結果、認証は成功したが使えない複合機として設定されているため、ICカードをかざしたユーザが複合機を利用できないといったことが生じる。この場合、ユーザは利用できる複合機を探すか、いつも使っている複合機までいって複合機を利用しなければならず、不便であった。
【0010】
また、1ユーザに対して複数のICカードを付与して、ユーザがICカードを使い分けるなどの運用が求められている。例えば、複数のグループ会社に出向いて業務を行うユーザには、それぞれの会社で利用するICカードが付与され、ユーザがICカードを使い分けるなどがある。そしてそれぞれのICカードに紐付いた利用権限を用いて制限された複合機をユーザは使用する。
【0011】
さらに、複合機では、ICカードを用いた認証の他、ユーザがユーザID、パスワード等を入力して認証するキーボード認証を行うことが可能となっている。
【0012】
通常はICカードを用いた認証を行うが、ユーザがICカードを忘れた場合には、キーボード認証を用いて複合機を利用するが、上述のように1ユーザに対して複数のICカードが紐付いていると、複数のユーザ情報(カードID、ユーザ名、メールアドレス、権限情報等)が検索され、複合機にログインできないことが発生する。
【0013】
複数のユーザ情報が検索された場合に、いずれかのユーザ情報を用いてログインさせることも考えられるが、現在操作している複合機がいつも利用しているユーザ情報が選ばれなかった場合には権限が異なり、通常利用している複合機の機能が利用できない、或いはユーザごとに使える複合機が決まっている場合には、その複合機自体が利用できないといった問題が発生してしまう。
【0014】
そこで、本発明の目的は、ユーザの操作に従って入力されたユーザ識別情報を用いた認証で複数のユーザ情報が得られた場合に、ログインするユーザ情報を選択可能に表示することで、画像形成装置の利用を容易に行わせる仕組みを提供することである。
【0015】
また、その他の目的は、ユーザの操作に従ってユーザ識別情報が入力された画像形成装置で利用可能なユーザ情報を表示させることで、画像形成装置の利用を容易に行わせる仕組みを提供することである。
【課題を解決するための手段】
【0016】
本発明の目的を達成するために、ユーザ識別情報を含むユーザ情報を管理するユーザ情報管理装置と画像形成装置と通信可能に接続される認証システムであって、前記画像形成装置は、当該画像形成装置へログインするために、ユーザ識別情報の入力を受け付ける入力受付手段と、前記画像形成装置へログイン可能なユーザ識別情報かを判断するために、前記入力受付手段で受け付けたユーザ識別情報を前記ユーザ情報管理装置に送信するユーザ識別情報送信手段と、前記ユーザ識別情報送信手段によって送信したユーザ識別情報に対応するユーザ情報を前記ユーザ情報管理装置から受信するユーザ情報受信手段と、前記ユーザ情報受信手段によって受信したユーザ情報が複数存在するか否かを判定する判定手段と、前記判定手段によりユーザ情報が複数存在すると判定された場合に、前記複数のユーザ情報を表示制御する表示制御手段と、ユーザの操作に従って、前記表示制御手段により表示した複数のユーザ情報から1つのユーザ情報を選択する選択手段と、前記判定手段によりユーザ情報が複数存在しないと判定された場合に、前記表示制御手段で複数のユーザ情報を表示することなく、前記ユーザ情報受信手段で受信したユーザ情報を用いてログインし、前記判定手段によりユーザ情報が複数存在すると判定された場合に、前記選択手段により選択されたユーザ情報を用いてログインするログイン手段とを備え、前記ユーザ情報管理装置は、前記画像形成装置からユーザ識別情報を受信するユーザ識別情報受信手段と、前記ユーザ識別情報受信手段により受信したユーザ識別情報に従って、ユーザ情報を取得するユーザ情報取得手段と、前記ユーザ情報取得手段によって取得されたユーザ情報を前記画像形成装置に送信するユーザ情報送信手段とを備えることを特徴とする。
【0017】
また、前記ユーザ識別情報送信手段は、前記ユーザ識別情報とともに当該画像形成装置の識別情報を前記ユーザ情報管理装置に送信し、前記ユーザ識別情報受信手段は、前記前記ユーザ識別情報とともに当該画像形成装置の識別情報を前記画像形成装置から受信し、前記ユーザ情報取得手段は、前記受信した画像形成装置の識別情報に従って、前記受信した画像形成装置で利用可能なユーザ情報を取得することを特徴とする。
【0018】
また、前記画像形成装置は、前記ユーザ情報受信手段によって受信したユーザ情報が複数存在すると判定される場合に、前記ユーザ情報を保持する保持手段と、前記ログインユーザを切り換えるユーザ切換手段とを更に備え、前記表示制御手段は、前記ユーザ切換手段によるユーザ切換に応じて、前記入力受付手段で再度ユーザ識別情報の入力を受け付けることなく、前記保持手段で保持したユーザ情報を表示制御することを特徴とする。
【0019】
また、前記画像形成装置は、前記ユーザ情報受信手段によって受信したユーザ情報が当該画像形成装置で利用可能なユーザ情報でない場合に、当該ユーザ情報が通常利用可能な画像形成装置の検索を指示する検索指示手段を更に備えることを特徴とする。
【0020】
また、前記画像形成装置は、ユーザを識別するための第1の識別情報を読み取る読取手段と、前記第1の識別情報を前記ユーザ情報管理装置に送信する第1の識別情報送信手段とを更に備え、前記ユーザ情報受信手段は、前記第1の識別情報に対応するユーザ情報を受信し、前記ログイン手段は、前記第1の識別情報に対応するユーザ情報の受信に応じてログインすることを特徴とする。
【0021】
また、前記表示制御手段で表示するユーザ情報は、ユーザ名又はメールアドレス又は費用コードであることを特徴とする。
【0022】
また、ユーザ識別情報を含むユーザ情報を管理するユーザ情報管理装置と通信可能に接続される画像形成装置であって、前記画像形成装置へログインするために、ユーザ識別情報の入力を受け付ける入力受付手段と、前記画像形成装置へログイン可能なユーザ識別情報かを判断するために、前記入力受付手段で受け付けたユーザ識別情報を前記ユーザ情報管理装置に送信するユーザ識別情報送信手段と、前記ユーザ識別情報送信手段によって送信したユーザ識別情報に対応するユーザ情報を前記ユーザ情報管理装置から受信するユーザ情報受信手段と、前記ユーザ情報受信手段によって受信したユーザ情報が複数存在するか否かを判定する判定手段と、前記判定手段によりユーザ情報が複数存在すると判定された場合に、前記複数のユーザ情報を表示制御する表示制御手段と、ユーザの操作に従って、前記表示制御手段により表示した複数のユーザ情報から1つのユーザ情報を選択する選択手段と、前記判定手段によりユーザ情報が複数存在しないと判定された場合に、前記表示制御手段で複数のユーザ情報を表示することなく、前記ユーザ情報受信手段で受信したユーザ情報を用いてログインし、前記判定手段によりユーザ情報が複数存在すると判定された場合に、前記選択手段により選択されたユーザ情報を用いてログインするログイン手段とを備えることを特徴とする。
【発明の効果】
【0023】
画像形成装置のグループを設定し、設定されたグループを、ユーザが利用可能なグループとしてユーザ情報に設定することで、認証に応じた画像形成装置の利用を制限し、セキュリティを高めることができる。
【0024】
また、認証要求のあった画像形成装置が、ユーザが利用可能な画像形成装置のグループの画像形成装置でない場合の権限を設定することで、他の画像形成装置の利用を可能にするとともに、不要な利用を制限し、セキュリティを高めることができる。
【0025】
さらに、画像形成装置からユーザが利用可能なグループの画像形成装置を検索することができ、利便性の高めることができる。
【図面の簡単な説明】
【0026】
【図1】ICカード認証システムの構成の一例を示すシステム構成図
【図2】ICカード認証サーバ200、ディレクトリサービスサーバ300、クライアントPC700に適用可能な情報処理装置のハードウェア構成図
【図3】複合機100のハードウェア構成図
【図4】ICカード認証システムにおける複合機100とICカード認証サーバ200の機能ブロック図
【図5】ICカード認証用テーブルの構成を示す図
【図6】デバイス管理画面の一例を示す図
【図7】ユーザ情報編集画面の一例を示す図
【図8】機能制限確認画面800Aと検索結果表示画面800Bの一例を示す図
【図9】デバイスグループの登録処理を示すフローチャート
【図10】ICカードがカードリーダにかざされた場合の処理を示すフローチャート
【図11】認証処理を示すフローチャート
【図12】デバイスグループの検索処理を示すフローチャート
【図13】機能制限情報の構成を示す図
【図14】機能制限情報と権限グループとの対応付けテーブルを示す図
【図15】ICカード認証用テーブルに記憶されたユーザ情報の一例を示す図
【図16】ユーザ名とパスワードが入力された場合の認証処理を示すフローチャート
【図17】キーボード認証処理を示すフローチャート
【図18】ログイン後のログイン情報変更処理を示すフローチャート
【図19】ログイン情報選択画面
【発明を実施するための形態】
【0027】
以下、図面を参照して、本発明の実施形態を詳細に説明する。
【0028】
図1は、本発明のICカード認証システムの構成の一例を示すシステム構成図である。
【0029】
図1は、1又は複数の複合機100、ICカード認証サーバ200、複数のディレクトリサービスサーバ300がローカルエリアネットワーク(LAN)400を介して通信可能に接続される構成となっている。
【0030】
ICカード認証サーバ200(ユーザ情報管理装置)は、ICカード認証用テーブル(後述する図5に示す)を記憶し、複合機100(画像形成装置)からのICカードによる認証依頼、またはユーザ名とパスワードによる認証依頼に応じて、該ICカード認証用テーブルを用いて認証処理を行う。
【0031】
ディレクトリサービスサーバ300は、ネットワーク上に存在するサーバ、クライアント等のハードウェア資源や、それらを使用するユーザの属性(例えば、マイクロソフト社のWindows(登録商標)のログインユーザ名,パスワード)、アクセス権等の情報を一元記憶管理するものであり、例えば、アクティブディレクトリ(Active Directory(商標、以下省略))機能を搭載したサーバである。
【0032】
クライアントPC700は、ICカード認証サーバ管理ツールをインストールしたクライアントPCである。ICカード認証サーバ管理ツールからICカード認証サーバにアクセスし、ICカード認証サーバ管理ツールの図6や図7の画面から設定作業を行う事が可能である。
【0033】
ICカード認証サーバ管理ツールは、ICカード認証サーバ200にインストールされている構成でも良く、ICカード認証サーバ200で設定を行うことも可能である。
【0034】
また、本実施形態のICカード認証システムは、上述した構成の1又は複数の複合機100,ICカード認証サーバ200,ディレクトリサービスサーバ300がLAN400を介して接続されるWAN500を介して接続される構成であってもよい。
【0035】
さらに、ICカード認証に限らず、指紋などの生体認証を用いた認証システムにも適用可能である。
【0036】
なお、ICカード認証サーバ200で記憶するICカード認証用テーブルを、複合機100のHDD304に記憶し、認証処理(図11)を複合機100内で行うような構成を取ることも可能である。
【0037】
以下、図2を用いて、図1に示したICカード認証サーバ200,ディレクトリサービスサーバ300、クライアントPC700に適用可能な情報処理装置のハードウェア構成について説明する。
【0038】
図2は、図1に示したICカード認証サーバ200、ディレクトリサービスサーバ300、クライアントPC700に適用可能な情報処理装置のハードウェア構成を示すブロック図である。
【0039】
図2において、201はCPUで、システムバス204に接続される各デバイスやコントローラを統括的に制御する。また、ROM202あるいは外部メモリ211には、CPU201の制御プログラムであるBIOS(Basic Input / Output System)やオペレーティングシステムプログラム(以下、OS)や、各サーバ或いは各PCの実行する機能を実現するために必要な後述する各種プログラム等が記憶されている。
【0040】
203はRAMで、CPU201の主メモリ、ワークエリア等として機能する。CPU201は、処理の実行に際して必要なプログラム等をROM202あるいは外部メモリ211からRAM203にロードして、該ロードしたプログラムを実行することで各種動作を実現するものである。
【0041】
また、205は入力コントローラで、キーボード(KB)209や不図示のマウス等のポインティングデバイス等からの入力を制御する。206はビデオコントローラで、液晶ディスプレイなどのディスプレイ210への表示を制御する。これらは必要に応じて管理者が使用するものである。
【0042】
207はメモリコントローラで、ブートプログラム,各種のアプリケーション,フォントデータ,ユーザファイル,編集ファイル,各種データ等を記憶する外部記憶装置(ハードディスク(HD))や、フレキシブルディスク(FD)、或いはPCMCIAカードスロットにアダプタを介して接続されるコンパクトフラッシュ(登録商標)メモリ等の外部メモリ211へのアクセスを制御する。
【0043】
208は通信I/Fコントローラで、ネットワーク(例えば、図1に示したLAN400)を介して外部機器と接続・通信するものであり、ネットワークでの通信制御処理を実行する。例えば、TCP/IPを用いた通信等が可能である。
【0044】
なお、CPU201は、例えばRAM203内の表示情報用領域へアウトラインフォントの展開(ラスタライズ)処理を実行することにより、ディスプレイ210上での表示を可能としている。また、CPU201は、ディスプレイ210上の不図示のマウスカーソル等でのユーザ指示を可能とする。
【0045】
本発明を実現するための後述する各種プログラムは、外部メモリ211に記録されており、必要に応じてRAM203にロードされることによりCPU201によって実行されるものである。さらに、上記プログラムの実行時に用いられる定義ファイル及び各種情報テーブル等も、外部メモリ211に格納されており、これらについての詳細な説明も後述する。
【0046】
次に、図3を用いて、本発明の画像形成装置としての複合機100のハードウェア構成について説明する。
【0047】
図3は、図1に示した複合機100のハードウェア構成の一例を示すブロック図である。
【0048】
図3において、316はコントローラユニットで、画像入力デバイスとして機能するスキャナ部314や、画像出力デバイスとして機能するプリンタ部312と接続する一方、LAN(例えば、図1に示したLAN400)や公衆回線(WAN)(例えば、PSTNまたはISDN等)と接続することで、画像データやデバイス情報の入出力を行う。
【0049】
コントローラユニット316において、301はCPUで、システム全体を制御するプロセッサである。302はRAMで、CPU301が動作するためのシステムワークメモリであり、プログラムを記録するためのプログラムメモリや、画像データを一時記録するための画像メモリでもある。
【0050】
303はROMで、システムのブートプログラムや各種制御プログラムが格納されている。304は外部記憶装置(ハードディスクドライブ(HDD))で、システムを制御するための各種プログラム,画像データ等を格納する。
【0051】
307は操作部インタフェース(操作部I/F)で、操作部(UI)308とのインタフェース部であり、操作部308に表示する画像データを操作部308に対して出力する。また、操作部I/F307は、操作部308から本システム使用者が入力した情報(例えば、ユーザ情報等)をCPU301に伝える役割をする。なお、操作部308はタッチパネルを有する表示部を備え、該表示部に表示されたボタンを、ユーザが押下(指等でタッチ)することにより、各種指示を行うことができる。
【0052】
305はネットワークインタフェース(Network I/F)で、ネットワーク(LAN)に接続し、データの入出力を行う。306はモデム(MODEM)で、公衆回線に接続し、FAXの送受信等のデータの入出力を行う。
【0053】
318は外部インタフェース(外部I/F)で、USB、IEEE1394,プリンタポート,RS−232C等の外部入力を受け付けるI/F部であり、本実施形態においては認証で必要となるICカード(記憶媒体)の読み取り用のカードリーダ319が外部I/F部318に接続されている。そして、CPU301は、この外部I/F318を介してカードリーダ319によるICカードからの情報読み取りを制御し、該ICカードから読み取られた情報を取得可能である。以上のデバイスがシステムバス309上に配置される。
【0054】
320はイメージバスインタフェース(IMAGE BUS I/F)であり、システムバス309と画像データを高速で転送する画像バス315とを接続し、データ構造を変換するバスブリッジである
【0055】
画像バス315は、PCIバスまたはIEEE1394で構成される。画像バス315上には以下のデバイスが配置される。
【0056】
310はラスタイメージプロセッサ(RIP)で、例えば、PDLコード等のベクトルデータをビットマップイメージに展開する。311はプリンタインタフェース(プリンタI/F)で、プリンタ部312とコントローラユニット316を接続し、画像データの同期系/非同期系の変換を行う。また、313はスキャナインタフェース(スキャナI/F)で、スキャナ部314とコントローラユニット316を接続し、画像データの同期系/非同期系の変換を行う。
【0057】
317は画像処理部で、入力画像データに対し補正、加工、編集を行ったり、プリント出力画像データに対して、プリンタの補正、解像度変換等を行う。また、これに加えて、画像処理部317は、画像データの回転や、多値画像データに対してはJPEG、2値画像データはJBIG、MMR、MH等の圧縮伸張処理を行う。
【0058】
スキャナ部314は、原稿となる紙上の画像を照明し、CCDラインセンサで走査することで、ラスタイメージデータとして電気信号に変換する。原稿用紙は原稿フィーダのトレイにセットし、装置使用者が操作部308から読み取り起動指示することにより、CPU301がスキャナ部314に指示を与え、フィーダは原稿用紙を1枚ずつフィードし原稿画像の読み取り動作を行う。
【0059】
プリンタ部312は、ラスタイメージデータを用紙上の画像に変換する部分であり、その方式は感光体ドラムや感光体ベルトを用いた電子写真方式、微少ノズルアレイからインクを吐出して用紙上に直接画像を印字するインクジェット方式等があるが、どの方式でも構わない。プリント動作の起動は、CPU301からの指示によって開始する。なお、プリンタ部312には、異なる用紙サイズまたは異なる用紙向きを選択できるように複数の給紙段を持ち、それに対応した用紙カセットがある。
【0060】
操作部308は、LCD表示部を有し、LCD上にタッチパネルシートが貼られており、システムの操作画面を表示するとともに、表示してあるキーが押されるとその位置情報を操作部I/F307を介してCPU301に伝える。また、操作部308は、各種操作キーとして、例えば、スタートキー、ストップキー、IDキー、リセットキー等を備える。
【0061】
ここで、操作部308のスタートキーは、原稿画像の読み取り動作を開始する時などに用いる。スタートキーの中央部には、緑と赤の2色LEDがあり、その色によってスタートキーが使える状態にあるかどうかを示す。また、操作部308のストップキーは、稼働中の動作を止める働きをする。また、操作部308のIDキーは、使用者のユーザIDを入力する時に用いる。リセットキーは、操作部からの設定を初期化する時に用いる。
【0062】
カードリーダ319は、CPU301からの制御により、ICカード(例えば、ソニー社のフェリカ(FeliCa)(登録商標))内に記憶されている情報を読み取り、該読み取った情報を外部I/F318を介してCPU301へ通知する。 なお、コントローラユニット316とプリンタ部312とスキャナ部314と操作部308とカードリーダ319は、複合機100で同一筐体に備えている。
【0063】
次に、図4のICカード認証システムにおける複合機100とICカード認証サーバ200の機能ブロック図を用いて、ICカード認証システムの処理を説明する。
【0064】
複合機100は、401〜407の各機能部を有しており、CPU301が各機能部を実行する。ICカード認証サーバ200は、408〜412の各機能部を有しており、CPU201が各機能部を実行する。
【0065】
まず、複合機100のユーザ情報設定部408は、ユーザ情報をディレクトリサービスサーバ300から取得し、図5のICカード認証用テーブルに記憶する。記憶されたユーザ情報に対して、図7のユーザ情報編集画面を介して、カード番号511や機能制限情報507やデバイス制限情報520デバイスグループ以外の場合の機能制限情報530を設定する。また、図6のデバイス管理画面を介して、デバイスグループを生成し、デバイスグループにIPアドレスやサブネットマスクを設定する。
【0066】
認証情報取得部401は、カードリーダ319により読み取り可能なICカードを検知すると、該ICカード内の個人認証情報を取得する。認証情報送信部402は、取得した個人認証情報を認証要求としてICカード認証サーバ200に送信する。この認証要求では、複合機100のIPアドレスも送信される。このIPアドレスはTCP/IP通信上で送信されるIPアドレスも含む。個人認証情報は、認証に用いられる情報であり該ICカードの製造番号でも良い。
【0067】
ICカード認証サーバ200の認証情報受信部409は、複合機100より個人認証情報を受信する。認証部410は、受信した個人認証情報の認証処理をICカード認証サーバ200の外部記憶装置上に記憶されるICカード認証用テーブル(図5)に基づいて行い、ICカード認証用テーブル(図5)に個人認証情報がある場合には、個人認証情報を受信した際に取得できるIPアドレスと図5のデバイス制限情報520とに従って、ユーザが通常利用する権限で複合機100を利用できるかを判断する。認証情報受信部409で受信する情報は、少なくともユーザ名(ユーザ識別情報)を含み、ユーザの入力に応じてパスワード、認証先の情報と複合機100のIPアドレス(画像形成装置の識別情報)を含む情報である。
【0068】
認証結果送信部411は、デバイスグループ情報に取得したIPアドレスが含まれる場合には、ユーザが通常利用可能な権限(機能制限情報507)を含むユーザ情報と認証OKの認証結果を複合機100に送信する。また、認証結果送信部411は、デバイスグループ情報に取得したIPアドレスが含まれない場合には、デバイスグループに含まれないデバイスを利用する際の権限(機能制限情報530)を含むユーザ情報と認証OKの認証結果を複合機100に送信する。さらに、認証結果送信部411は、ICカード認証用テーブル(図5)に個人認証情報がない場合と、デバイスグループ情報に取得したIPアドレスが含まれない場合でデバイスグループが設定されていない場合には、認証NGの認証結果を複合機100に送信する。
【0069】
なお、認証結果は、ユーザが通常利用可能な権限(機能制限情報507)か、デバイスグループに含まれないデバイスを利用する際の権限(機能制限情報530)かを識別する情報を含んでいる。この識別情報は、ユーザが通常利用可能な権限(機能制限情報507)をフラグ「0」、デバイスグループに含まれないデバイスを利用する際の権限(機能制限情報530)をフラグ「1」として、認証結果にフラグを含むようにする。或いは、機能制限情報をユーザが通常利用可能な権限(機能制限情報507)の場合と、デバイスグループに含まれないデバイスを利用する際の権限(機能制限情報530)の場合のそれぞれを定義しておき、機能制限情報名に識別可能な情報を付し、その機能制限情報名を認証結果に含めるような構成としてもよい。
【0070】
また、デバイスを利用する際の権限(機能制限情報530)は、ユーザが通常利用可能な権限(機能制限情報507)より低い権限が設定されているものとするが、権限の一部がデバイスを利用する際の権限(機能制限情報530)の方が高い権限であった場合には、その権限が一致しない項目については、低い権限を利用するものとする。
【0071】
複合機100の認証結果受信部403は、ICカード認証サーバ200から認証結果を受信し、認証結果記憶部404は、認証結果のユーザ情報をRAM302に記憶する。権限判定部405は、RAM302に記憶されたユーザ情報に含まれる権限情報が、ユーザが通常利用可能な権限(機能制限情報507)である場合には、この機能制限情報507に従って、複合機100へのログインを行う。このログインは、複合機100のプラットフォーム(例えば、オペレーティングシステム)に対して機能制限情報507を用いて、ログイン要求することである。ログイン要求を受け付けた複合機100のプラットフォーム側は、この機能制限情報507を参照し、複合機100のプリント機能やスキャン機能を使えないように制限する。
【0072】
また、ユーザ情報に含まれる権限情報が、デバイスグループに含まれないデバイスを利用する際の権限(機能制限情報530)である場合には、図8の機能制限確認画面800Aを操作部308に表示させ、ユーザが通常利用可能な権限(機能制限情報507)より低い権限である、デバイスグループに含まれないデバイスを利用する際の権限(機能制限情報530)に従って、複合機100へのログインを行う。このログインは、複合機100のプラットフォーム(例えば、オペレーティングシステム)に対して機能制限情報530を用いて、ログイン要求することである。ログイン要求を受け付けた複合機100のプラットフォーム側は、この機能制限情報530を参照し、複合機100のプリント機能やスキャン機能を使えないように制限する。
【0073】
また、デバイスグループに含まれないデバイスを利用する際の権限(機能制限情報530)を用いる場合には、ユーザの指示に従って、デバイスグループ検索要求部407はユーザが通常利用可能な権限(機能制限情報507)で利用できる複合機又は複合機が設置してある場所(フロア名)を取得するために、ICカード認証サーバ200へユーザ情報(例えば、ユーザ名もしくはカード番号)を用いて要求を行う。また、ICカード認証サーバ200のデバイスグループ検索部412は、要求に含まれるユーザ情報に従って、デバイスグループ521を取得し、複合機100へ送信する。
【0074】
複合機100の表示制御部406は、ICカード認証サーバ200から受信したデバイスグループを用いて図8の検索結果表示画面800Bを表示する。また、複数のユーザ情報をICカード認証サーバ200から受信した場合に、複数のユーザ情報の中からログインするためのユーザを1つ選択可能なように複数のユーザ情報を表示する。
【0075】
複合機100の複数ユーザ判定部414は、ICカード認証サーバ200から受信したユーザ情報が複数存在するか否かを判定する。ユーザ情報選択部415では、複数ユーザ判定部414で複数のユーザ情報が存在すると判定され、表示制御部406で複数のユーザ情報が表示され、ユーザが複数のユーザ情報のいずれか1つを押下することによって、ログインするユーザ情報を選択(決定)する。そして、ログイン部416は、ユーザ情報選択部415で選択したユーザ情報を用いてログイン処理を行う。
【0076】
次に、図5を参照して、ICカード認証用テーブルについて説明する。
【0077】
図5は、本実施形態のICカード認証システムにおけるICカード認証用テーブルの一例を示すデータ構成図である。なお、ICカード認証テーブルは、ICカード認証サーバ200の外部メモリ211に記憶される。
【0078】
図5に示すように、ICカード認証用テーブルは、カード番号511、正当性情報512、カード名称515、ユーザ名501、認証ドメイン名502、メールアドレス504、有効期限505、有効/無効506、機能制限情報507、部門ID508、部門パスワード509、デバイス制限情報520、デバイスグループ以外の場合の機能制限情報530等から構成される。デバイス制限情報520は、デバイスグループ521、IPアドレス522、サブネットマスク523を含む。
【0079】
ICカード認証用テーブルの情報はカード番号をキーとして管理される。
【0080】
カード番号511、正当性情報512、カード名称513は、ユーザが複合機100を使用するためのICカードのカード情報である。本実施形態において、ICカードのカード情報は、すなわち複合機100(画像形成装置)の使用を許可する(ユーザ認証する)キー情報である。
【0081】
カード番号511は、個々のカードを識別するための数字、文字の列であり、このカード番号と、カードリーダ319がICカードから読み出したカード番号と比較するための情報で、一致した場合には認証成功となり、一致しない場合には認証失敗となる。なお、正当性情報512、カード名称513については後述する。
【0082】
ユーザ名501は、複合機100を使用するユーザの名称であり、認証結果に含まれる情報である。このユーザ名で複合機100へのログインがなされる。また、ログインされるとこのユーザ名が操作部308へユーザ名が表示される。
【0083】
認証ドメイン名502は、認証先のサーバがネットワーク上で何処にあるかを示す。認証先は、ICカード認証サーバ200やディレクトリサービスサーバ300などである。
【0084】
メールアドレス504は、ユーザの所有するメールアドレスであり、複合機100の使用に関する通知をユーザに行う際などに使用される。有効期限505は、ユーザに定められた複合機100の使用の有効期限である。有効期限を超えると、そのユーザが複合機100を使用することができなくなる。
【0085】
有効/無効506は、そのユーザが複合機100を使用できるかどうかを示す情報である。有効期限を超えるなどの理由により、複合機100を使用できない場合には、無効を示す情報が書き込まれる。
【0086】
機能制限情報507は、そのユーザに設定されているデバイスグループに含まれる複合機100を使用にする際に複合機の機能を制限する内容を示すもので、ユーザが通常利用する複合機(例えば、ユーザが普段利用するフロアの複合機)の機能を制限するものある。機能制限情報507は、図13の機能制限情報を紐付ける事で実現する。機能制限情報の詳細は、図13にて記載する。なお、機能制限情報507に記憶される情報は、機能制限情報に紐付く名称が記憶される。なお、機能制限情報507は、デバイスグループに含まれる複合機100の利用可能な機能を定義する第1の機能制限情報と言い換えることができる。
【0087】
部門ID508は、ユーザの所属する社内部門を示すIDである。部門パスワード509は、部門ID508に付随するパスワードである。
【0088】
パスワード531は、ユーザ名501に対応するユーザパスワードである。キーボード認証時に、認証先にICカード認証を選択した場合には、ユーザ名501とパスワード531を用いて認証を行う。
【0089】
表示名532は、複合機100を使用するユーザの名称であり、全角文字に対応した情報である。ログインされると、ユーザ名501もしくは、表示名532が操作部308に表示される。
【0090】
費用負担コード533は、複合機を使用した時の費用負担元を示す情報となる。印刷などで発生した費用を、この費用負担元に対して請求する、といった運用を行う際や、複数のユーザ情報を持つユーザがどの情報でログインするかを選択する際に使用する。
【0091】
具体的には費用負担コードには、ユーザが所属する部署のコード等を設定する。
【0092】
会社コード534は、ユーザが所属する会社コードを示す情報である。会社コード534は、費用負担コード533と同様の使い方を想定した情報となる。
【0093】
以下に正当性情報512、カード名称513に関しての概要を説明する。
【0094】
正当性情報512とは、ICカード内に登録された数値の情報である。この情報は、例えば、ICカードを紛失した際に、紛失したICカードと再発行したICカードを区別する為に使用する。
【0095】
例えば、紛失したICカードの正当性情報から値を1つ加算してICカードを再発行する事で、紛失したICカードとの区別をする事が可能となる。紛失したICカードの悪用を防ぎ、セキュリティを保つ事ができる。
【0096】
カード名称513は、カード情報削除画面(不図示)などでICカードのカード番号を表示する際に、ともに表示し、ユーザが判別し易いようにするものである。カード名称は、カード情報登録時のカード登録・カード名称入力画面(不図示)で設定が可能である。
【0097】
以下にデバイスグループ521、IPアドレス522、サブネットマスク523に関しての概要を説明する。
【0098】
デバイスグループ521は、デバイスグループの名称を表し、一意の情報となる。IPアドレス522は、デバイスグループのIPアドレスであり、1つのデバイスグループに複数設定可能である。また、サブネットマスク523はIPアドレスの範囲が設定される。
【0099】
このデバイス制限情報520は、図7のユーザ編集画面で設定されることによって記憶される情報である。また、図7のユーザ編集画面で設定することのできるデバイス制限情報は図6のデバイス管理画面で設定することができる情報である。
【0100】
デバイスグループ以外の場合の機能制限情報530は、デバイスグループに含まれない複合機100の機能を制限する内容を示す。なお、機能制限情報530は、デバイスグループに含まれない複合機100の利用可能な機能を定義する第1の機能制限情報と言い換えることができる。
【0101】
また、IPアドレス522、サブネットマスク523は、ユーザが利用可能な複合機を特定するための第1のアドレス(識別情報)と言い換えることができる。
【0102】
なお、本実施形態では、デバイスグループは複合機のIPアドレスを管理するように構成したが、複合機のMACアドレスなどの複合機の識別情報を管理し、この複合機の識別情報を用いてデバイスグループを特定するようにすることも可能である。
【0103】
また、図15は、前述の各ユーザ情報をICカード認証用テーブルに記憶した際の、一例を示す図となる。
【0104】
図15に示す通り、1ユーザに複数のカード番号が紐付いている。例えば、ユーザ01(user01)に対して、複数のカード番号、sid00001とsid00002が登録されている。本実施形態では、ユーザ情報は管理者によって予め登録されているものとする。
【0105】
なお、図16のカード番号について、初めはカード番号の値が入っておらず、複合機のカードリーダにユーザがICカードをかざすことによって、カード番号を登録するような構成をとることも可能である。
【0106】
次に、図6と図9を参照して、デバイスグループを登録する処理を説明する。
【0107】
なお、図9のステップS901〜ステップS905の処理は、CPU201によって実行される。
【0108】
ステップS901では、テキストエリア611にデバイスグループの名称を入力し、グループ追加ボタン612を押下してデバイスグループを登録する。登録されたデバイスグループは、601や603の様にツリー構造の上位に表示される。
【0109】
ステップS902では、登録したデバイスグループに対してデバイス情報(IPアドレス、またはIPアドレスとサブネットマスク)を登録する。IPアドレスのみで登録する場合は、テキストエリア613にIPアドレスを入力して、デバイス追加ボタン616を押下して登録する。登録されたIPアドレスは602のようにツリー構造の下位に表示される。
【0110】
IPアドレスとサブネットマスクで登録する場合は、テキストエリア614にIPアドレスを入力し、テキストエリア615にサブネットマスクを入力して、デバイス追加ボタン616を押下して登録する。登録されたIPアドレスは604のように「IPアドレス/サブネットマスク値」の形式でツリー構造の下位に表示される。デバイス情報は、1つのデバイスグループに対して複数登録可能である。
【0111】
登録した情報は、ICカード認証サーバ200の外部メモリ211に記憶される。IPアドレスとサブネットマスクで登録する場合は、特定のネットワーク(ネットワークアドレス(ネットワーク情報))を指定するもので、そのネットワーク内の複合機を対象とするための設定である。
【0112】
次に図7と図9を参照して、図6で登録したデバイスグループをユーザ情報に登録する処理を説明する。
【0113】
ステップS903では、ユーザの指示に従って、デバイスグループをユーザ情報に登録するか否かを判定する。登録すると判定した場合にはステップS904へ処理を移す。登録しない、つまり終了指示がなされたら処理を終了とする。
【0114】
ステップS904では、ユーザ編集画面にてユーザ情報に登録するデバイスグループをプルダウンメニュー703から選択し、追加ボタン704を押下してユーザにデバイスグループを登録する(デバイス制限情報設定)。ユーザには複数のデバイスグループを登録することが可能である。なお、プルダウンメニュー703は、図6で登録したデバイスグループがセットされる。
【0115】
ステップS905では、ユーザがラジオボタン705、706を選択することによって、認証時の複合機100のIPアドレスがユーザに登録されたデバイスグループに該当しなかった場合の動作を設定する(第2の機能制限情報を設定)。ラジオボタン705(ログインできない)が選択されると、認証NGとなるように、デバイス制限情報520には情報が登録されない(NULL値となる)。
【0116】
また、ラジオボタン706(以下のグループの使用制限でログインする)を選択すると、プルダウンメニュー707で指定した機能制限情報で認証OKとなるように、プルダウンメニュー707で指定した機能制限情報がデバイス制限情報520に登録される。
【0117】
次に、図10を参照して、ICカードがカードリーダにかざされた場合の処理を説明する。また、ICカードを用いたICカード認証を行わない場合に、ユーザの操作に従ってキーボード入力を用いたキーボード認証を行うことが可能な構成となっている。キーボード認証についての処理は図16で説明する。なお、図8の「カードを持たない方はこちらから」のボタンを押下することでキーボード認証の画面に移行する。
【0118】
なお、ステップS1001、ステップS1012〜ステップS1017の処理は、複合機100のCPU301が実行し、ステップS1001−1はICカード認証サーバ200のCPU201が実行する。なお、ステップS1001−1の処理については、図11にて説明する。
【0119】
まず、ステップS1001では、ユーザによってかざされたICカードからカード情報を取得し(第1の識別情報を取得)、また、複合機100が有するIPアドレスを取得する(第2のアドレスを取得)。取得したカード情報と複合機100のIPアドレスをICカード認証サーバ200に送信する(認証要求送信)。
【0120】
ステップS1001−1では、ICカード認証サーバ200はカード情報と複合機100のIPアドレスを受信し、認証処理を行う。
ここで、図11を用いて、認証処理について説明する。
【0121】
なお、ステップS1002〜ステップS1011の処理はICカード認証サーバ200のCPU201が実行する。
【0122】
ステップS1002では、カード情報と複合機100のIPアドレスを受信する(認証要求受信)。
【0123】
ステップS1003では、ステップS1002で受信したカード情報を元に、図5のICカード認証用テーブルからユーザ情報を検索する。
【0124】
ステップS1004では、ステップS1003の検索結果、ユーザ情報(ICカード認証用テーブルの501〜530の情報)を取得できた場合には認証成功(認証OK)としてステップS1005へ処理を移す。ユーザ情報を取得できない場合(ユーザ情報が登録されていない場合)には、ステップS1011へ処理を移す。
【0125】
ステップS1005では、ステップS1002で受信した複合機100のIPアドレスとステップS1003で取得したユーザ情報のデバイス制限情報との比較を行う。具体的には、IPアドレス522又は/IPアドレス522及びサブネットマスク523を用いて、デバイスグループに含まれる複合機100のIPアドレスかを検査する(利用判定)。
【0126】
ステップS1006では、ステップS1005の比較結果、デバイスグループに含まれる複合機と判定された場合には、ステップS1007へ処理を移す。またデバイスグループに含まれない複合機と判定された場合には、ステップS1008へ処理を移す。
【0127】
ステップS1007では、デバイスグループに含まれる複合機と判定されると、認証OKの結果とユーザ情報(メールアドレス504、機能制限情報507等)の認証結果を複合機100に送信する(認証結果送信)。なお、この認証結果には、ユーザが通常利用する機能制限情報507が含まれていることを示す識別情報(フラグ等)を有している。
【0128】
ステップS1008では、デバイスグループに含まれない複合機と判定されると、デバイスグループ以外からの複合機からの認証要求があった場合に、認証とするかを判定する。認証とするかは、デバイスグループ以外の場合の機能制限情報530で判断する。デバイスグループ以外の場合の機能制限情報530に機能制限情報が含まれる場合、つまり、図7で707が設定されている場合には、ステップS1009へ処理を移す。デバイスグループ以外の場合の機能制限情報530に機能制限情報が含まれない場合(NULL値の場合)、つまり、図7で706が設定されている場合には、ステップS1011へ処理を移す。
【0129】
ステップS1009では、デバイスグループ以外の場合の機能制限情報530から機能制限情報を取得する。
【0130】
ステップS1010では、認証OK(デバイスグループ以外の場合の機能制限情報で認証OK)の結果とユーザ情報(メールアドレス504、デバイスグループ以外の場合の機能制限情報530等)の認証結果を複合機100に送信する(認証結果送信)。なお、この認証結果には、デバイスグループ以外の場合の機能制限情報530が含まれていることを示す識別情報(フラグ等)を有している。
【0131】
ステップS1011では、複合機100に認証NGの認証結果を送信する。
【0132】
続いて、図10に戻り、ステップS1012では、複合機100はICカード認証サーバ200から認証結果を受信する。
【0133】
ステップS1013では、ステップS1012で受信したICカード認証サーバ200からの認証結果の判断を行う。認証OKであった場合には、ステップS1014へ処理を移し、認証NGであった場合には、ステップS1017へ処理を移す。
【0134】
認証OKであった場合には、RAM302に認証結果に含まれるユーザ情報を記憶する。
【0135】
ステップS1017では、認証ができなかったことを示す認証NG画面(不図示)を操作部308に表示する。
【0136】
ステップS1014では、デバイスグループ以外の場合の機能制限情報530で認証OKであったかを、認証結果に含まれる識別情報で判断する。デバイスグループ以外の場合の機能制限情報530で認証OKであった場合には、ステップS1016へ処理を移し、ユーザが通常利用する機能制限情報507で認証OKであった場合には、ステップS1015へ処理を移す。
【0137】
なお、ステップS1014の処理は、言い換えると、機能制限情報507(第1の機能制限情報)を用いてログイン可能な複合機か否かを判定する処理である。機能制限情報507(第1の機能制限情報)を用いてログイン可能な複合機である場合には、ステップS1015へ処理を移し、機能制限情報507(第1の機能制限情報)を用いてログイン可能でない複合機の場合には、ステップS1016へ処理を移す。
【0138】
ステップS1015では、RAM302に記憶されているユーザ情報の機能制限情報507に従って、複合機100にログインをし、ログイン後の初期画面(不図示)を操作部308に表示する。初期画面とは、ログイン後にデフォルト表示する画面であり、管理者が任意に設定することができる。初期画面の一例として、プリント操作画面、スキャン操作画面などがあげられる。このログインは、複合機100のプラットフォーム(例えば、オペレーティングシステム)に対して機能制限情報507を用いて、ログイン要求することである。ログイン要求を受け付けた複合機100のプラットフォーム側は、この機能制限情報507を参照し、複合機100のプリント機能やスキャン機能を使えないように制限する。
【0139】
なお、初期画面を表示後、ユーザによって選択された機能制限されていない機能を実行する。例えば印刷機能を実行する場合、クライアントPC700から出力された、クライアントPC700にログインしたユーザのユーザ名を含む印刷ジョブが複合機100のHDD304に記憶されており、この印刷ジョブからログインしたユーザ名に対応する印刷ジョブを取得して、印刷ジョブ一覧を表示する。一覧表示した印刷ジョブをユーザが選択することによって、印刷ジョブをHDD304から取得してプリンタ部312から出力される。
【0140】
ステップS1016では、ユーザが通常利用する機能制限情報507を用いず、デバイスグループ以外の場合の機能制限情報530を用いてログイン処理が行われるため、ユーザに対して通常の機能制限と異なる機能制限になることを通知するべく、
図8の機能制限確認画面800Aを操作部308に表示する。
【0141】
ここで、図8の画面について説明する。ユーザが通常利用する機能制限情報507を用いてログイン処理する場合には、機能制限確認画面800Aは表示されず、デバイスグループ以外の場合の機能制限情報530を用いる場合に、の機能制限確認画面800Aが表示される。
【0142】
機能制限確認画面800Aには、ユーザが通常利用する機能制限情報507を用いてログイン処理することが可能な複合機を検索するための検索ボタン801と、デバイスグループ以外の場合の機能制限情報530を用いてログイン処理を行うことを指示することが可能なOKボタン804を有している。
【0143】
検索ボタン801がユーザによって押下されると、複合機100からICカード認証サーバ200へ、ユーザ情報を送信することで得られるデバイスグループの名称を検索結果表示画面800Bに表示する。なお、検索結果表示画面800Bには、ユーザが通常利用する機能制限情報507を用いてログイン処理することが可能な複合機を特定するための情報を表示するようにすることも可能である。この複合機を特定するための情報とは、図6の602のIPアドレスやDNS(Domain Name Service)を用いて、IPアドレスから変換されるコンピュータ名(複合機名称(デバイス名))である。
【0144】
検索結果表示画面800Bには、機能制限確認画面800Aが表示されている画面に戻るための戻るボタン802と、デバイスグループ以外の場合の機能制限情報530が適用されログインすることで、ユーザが期待する処理ができないと考えた場合などにログインをしないようにする終了ボタン803を備えている。
【0145】
なお、終了ボタン803がユーザによって指示されると、指示を検知した複合機100は、ログインすることなく処理を終了する。そして、ユーザによってカードがカードリーダ319にかざされた場合に、ステップS1001へ処理が移れるように待機する。
【0146】
続いて、図10に戻り、ステップS1018では、機能制限確認画面800Aの検索ボタン801が押下されたか否かを判定する。検索ボタン801が押下された場合には、図12のステップS1201へ処理を移す。OKボタン804が押下された場合には、ステップS1015へ処理を移す。この場合、ステップS1015では、デバイスグループ以外の場合の機能制限情報530が適用されログインし、初期画面を操作部308に表示する。このログインは、複合機100のプラットフォーム(例えば、オペレーティングシステム)に対して機能制限情報530を用いて、ログイン要求することである。ログイン要求を受け付けた複合機100のプラットフォーム側は、この機能制限情報530を参照し、複合機100のプリント機能やスキャン機能を使えないように制限する。
【0147】
なお、初期画面を表示後、ユーザによって選択された機能制限されていない機能を実行する。例えば印刷機能を実行する場合、クライアントPC700から出力された、クライアントPC700にログインしたユーザのユーザ名を含む印刷ジョブが複合機100のHDD304に記憶されており、この印刷ジョブからログインしたユーザ名に対応する印刷ジョブを取得して、印刷ジョブ一覧を表示する。一覧表示した印刷ジョブをユーザが選択することによって、印刷ジョブをHDD304から取得してプリンタ部312から出力される。
【0148】
次に、図12を用いて、デバイスグループの検索処理について説明する。
【0149】
なお、ステップS1201、ステップS1205〜ステップS1207の処理は、複合機100のCPU301が実行する。また、ステップS1202〜ステップS1204の処理は、ICカード認証サーバ200のCPU201が実行する。
【0150】
ステップS1201では、ユーザが通常利用する機能制限情報507を用いてログインすることができる複合機又は、デバイスグループの名称(例えば、複合機の設置場所となるフロア)を取得するために、ICカード認証サーバ200にRAM302に記憶されているユーザ情報(例えば、ユーザ名やカード情報)を含むデバイスグループ要求を送信する(検索要求送信)。なお、RAM302に記憶されているユーザ情報以外に、ステップS1001で取得したカード情報を用いることも可能である。
【0151】
ステップS1202では、複合機100からユーザ情報(例えば、ユーザ名やカード情報)を含むデバイスグループ要求を受信する(検索要求受信)。
【0152】
ステップS1203では、ユーザ情報を元に、ICカード認証サーバ200の外部メモリに記憶されている図5のICカード認証用テーブルを検索して、デバイス制限情報520(521、522、523)を取得する。
【0153】
ステップS1204では、取得したデバイス制限情報520からデバイスグループ521を要求のあった複合機100へ送信する(デバイス制限情報送信)。なお、本実施形態では、取得したデバイス制限情報520のデバイスグループ521を送信するように構成したが、IPアドレス522或いはIPアドレス522から変換されたコンピュータ名(複合機名)を送るようにしてもよい。これは管理者が任意に設定できるものとし、設定に応じた情報を複合機100に送信する。
【0154】
ステップS1205では、ICカード認証サーバ200からデバイスグループ521を受信する。
【0155】
ステップS1206では、受信したデバイス制限情報520に従って、図8の検索結果表示画面800Bを複合機100の操作部308に表示する(デバイス制限情報表示)。
【0156】
ステップS1207では、検索結果表示画面800Bの戻るボタン802が押下されたか否かを判定する。戻るボタン802が押下されたと判定した場合には図8の機能制限確認画面800Aが表示されている画面に戻り、ユーザによって検索ボタン801かOKボタン804が押下されたことを検知するまで待機する。また、終了ボタン803が押下された場合には処理を終了し、複合機100のRAM302に記憶されているユーザ情報を削除する。
【0157】
次に、図13と図14を用いて機能制限情報について説明する。図13は、機能制限情報507とデバイスグループ以外の場合の機能制限情報530に記憶される機能制限情報の設定を示す図である。図14は、機能制限情報と権限グループを対応付ける対応付けテーブルを示す図である。
【0158】
機能制限情報は、複合機100の各機能の使用制限を詳細に設定する事が可能で、例えばデバイス制限項目の印刷を「許可する/許可しない」を設定する事で印刷可否の制限を指定できる。この機能制限情報は、管理者があらかじめ設定するもので、図14の権限グループ設定情報に示すように、管理者が任意に付けた権限グループ名1401に対応付けて記憶されている。
【0159】
なお、複数の機能制限情報を1つの権限グループ名1401に紐付けることも可能である。また、機能制限情報ごとに機能制限情報名1402を持たせて、この機能制限情報名1402を用いて紐づけを行っている。
【0160】
本実施形態では、機能制限情報507とデバイスグループ以外の場合の機能制限情報530には、機能制限情報名1402が記憶され、この機能制限情報名1402に対応づく、図13で設定されている機能制限情報が複合機100へ送信される。
【0161】
なお、図7の707で設定される情報は、図14の権限グループであり、ここで権限グループが設定されると、その権限グループに対応する機能制限情報名を図14から導き出し、機能制限情報名がデバイスグループ以外の場合の機能制限情報530に格納される。なお、707はGeneralUaserが設定されている例で、この場合、図14を参照すると機能制限情報Bが取得できるため、デバイスグループ以外の場合の機能制限情報530には、「機能制限情報B」が格納される。
【0162】
機能制限情報530に、707で設定した権限グループ(例えば、GeneralUaser)が格納するような構成であっても実現可能である。
【0163】
次に、図16を参照して、ユーザ名とパスワードが入力された場合の認証処理(キーボード認証)を説明する。
【0164】
なお、ステップS2001、ステップS2003〜ステップS2013の処理は、複合機100のCPU301が実行し、ステップS2002はICカード認証サーバ200のCPU201が実行する。なお、ステップS2002の処理については、図17にて説明する。
【0165】
まず、ステップS2001では、ユーザによって入力されたユーザ名(ユーザ識別情報)、パスワード、認証先の情報の入力を受け付け(入力受付)、当該情報をを取得し(第2の識別情報を取得)、また、複合機100が有するIPアドレスを取得する(第2のアドレスを取得)。取得したユーザ名、パスワード、認証先の情報と複合機100のIPアドレス(画像形成装置の識別情報)をICカード認証サーバ200に送信する(ユーザ識別情報送信)。
【0166】
ステップS2002では、ICカード認証サーバ200はユーザ名、パスワード、認証先の情報と複合機100のIPアドレスを受信し、キーボード認証処理を行う。
【0167】
ここで、図17を用いて、キーボード認証処理について説明する。
【0168】
なお、ステップS3001〜ステップS3016の処理はICカード認証サーバ200のCPU201が実行する。
【0169】
ステップS3001では、ユーザ名、パスワード、認証先と複合機100のIPアドレスを受信する(キーボード認証要求受信)。
【0170】
ステップS3002では、ステップS3001で受信したユーザ名、パスワード、認証先の情報を元に、指定の認証先に対して、ユーザ名とパスワードを使用して認証を実行する。認証先は、ICカード認証、ディレクトリサービス(ActiveDirectory(登録商標)等)が存在する。
【0171】
認証先がICカード認証サーバの場合は、図5のICカード認証用テーブルに対して、ユーザ名、パスワードを使用して認証を行う。(ユーザ名、パスワードを使用して検索を行う。)
【0172】
ステップS3003では、ステップS3002の認証結果を判定する。認証に成功した場合は、ステップS3004へ処理を移す。認証に失敗した場合は、ステップS3007へ処理を移す。(ステップS3007にはついては後述する。)
【0173】
ステップS3004では、図5のICカード認証用テーブルに対して、ユーザ名を使用してユーザ情報を検索する。検索されたユーザ名に紐付くユーザ情報をRAM203に保持する。
【0174】
ステップS3005では、ステップS3004の検索結果の判定を行う。ユーザ情報を取得できた場合、ステップS3006へ処理を移す。取得できなかった場合は、ステップS3007へ処理を移す。(ステップS3007については後述する。)
【0175】
ステップS3006からS3015では、取得したユーザ情報の数だけ繰り返し処理を実行する。つまりユーザ名に紐付く1又は複数のユーザ情報を取得する。
【0176】
ステップS3008では、ステップS3001で受信した複合機100のIPアドレスとステップS3004で取得したユーザ情報のデバイス制限情報との比較を行う。具体的には、IPアドレス522又は/IPアドレス522及びサブネットマスク523を用いて、デバイスグループに含まれる複合機100のIPアドレスかを検査する(利用判定)。
【0177】
ステップS3009では、ステップS3008の比較結果より、デバイスグループに含まれる複合機と判定された場合には、ステップS3010へ処理を移す。またデバイスグループに含まれない複合機と判定された場合には、ステップS3011へ処理を移す。デバイスグループに含まれる複合機は、ユーザが利用可能な複合機であることを示す。
【0178】
ステップS3010では、デバイスグループに含まれる複合機と判定されると、認証OKの結果とユーザ情報(メールアドレス504、機能制限情報507等)をRAM203に保持して、ステップS3015へ処理を移す。
【0179】
ステップS3011では、デバイスグループに含まれない複合機と判定されると、デバイスグループ以外からの複合機からの認証要求があった場合に機能制限をして認証OKとするかを判定する。認証OKとするかは、デバイスグループ以外の場合の機能制限情報530で判断する。デバイスグループ以外の場合の機能制限情報530に機能制限情報が含まれる場合、つまり、図7で707が設定されている場合には、ステップS3012へ処理を移す。デバイスグループ以外の場合の機能制限情報530に機能制限情報が含まれない場合(NULL値の場合)、つまり、図7で706が設定されている場合には、ステップS3014へ処理を移す。
【0180】
ステップS3012では、デバイスグループ以外の場合の機能制限情報530から機能制限情報を取得する。
【0181】
ステップS3013では、認証OK(デバイスグループ以外の場合の機能制限情報で認証OK)の結果とユーザ情報(メールアドレス504、デバイスグループ以外の場合の機能制限情報530等)をRAM203に保持して、ステップS3015へ処理を移す。なお、この認証結果には、デバイスグループ以外の場合の機能制限情報530が含まれていることを示す識別情報(フラグ等)を有している。
【0182】
ステップS3014では、該当ユーザ情報は認証NGの情報である為、ユーザ情報を破棄して、ステップS3015へ処理を移す。つまり、デバイスグループ以外の場合には利用できないユーザであるため、RAM203に保持しないようにステップS3004で取得したユーザ情報から削除する。
【0183】
ステップS3015では、繰り返し処理の判定を行う。ステップS3004で取得し、RAM203で保持しているユーザ情報のうちステップS3008〜ステップ3014の処理をしていないユーザ情報がまだ残っている場合は、ステップS3008へ処理を移す。ステップS3004で取得しRAM203で保持しているユーザ情報のうちステップS3008〜ステップ3014の処理をしていないユーザ情報が残っていない場合は、ステップS3016へ処理を移す。この処理によって、ステップS3001で認証要求を受信した先の複合機で利用可能なユーザが決定される。
【0184】
ステップS3016では、ステップS3006からステップS3015の処理結果より、認証OKのユーザ情報が存在するかを判定する。認証OKのユーザ情報が存在する場合(RAM203にユーザ情報が存在する場合)には、ステップS3017へ処理を移す。認証OKのユーザ情報が存在しない場合(RAM203にユーザ情報が存在しない場合)には、ステップS3007へ処理を移す。
【0185】
ステップS3017では、認証OKのユーザ情報と認証結果(認証OK、またはデバイスグループ以外の場合の機能制限情報で認証OK)を全て複合機100に送信する(キーボード認証結果送信)
【0186】
ステップS3007では、複合機100に認証NGの認証結果を送信する。
【0187】
続いて、図16に戻り、ステップS2003では、複合機100はICカード認証サーバ200から認証結果を受信する。
【0188】
ステップS2004では、ステップS2003で受信したICカード認証サーバ200からの認証結果の判断を行う。認証NGであった場合には、ステップS2005へ処理を移し、認証NGでなかった場合には、ステップS2006へ処理を移す。(ステップS2005については後述する。)
【0189】
ステップS2006では、ステップS2003で受信したICカード認証サーバ200からの認証結果であるユーザ情報が複数存在するかを判定する。ユーザ情報が複数存在する場合は、ステップS2007へ処理を移す。ユーザ情報が複数存在せず単一である場合は、ステップS2010へ処理を移す。(ステップS2010については後述する。)
【0190】
ステップS2007では、ユーザ情報が複数存在する為、どの情報でログインするかを選択する為のログイン情報選択画面1900(図19)を操作部308に表示する。
【0191】
ここで、図19の画面について説明する。図19のログイン情報選択画面1900は、ユーザ情報が複数存在する場合(ICカード認証用テーブルにて、同じユーザ名で複数のユーザ情報を保持する場合)で、キーボード認証を行った際に、どのユーザ情報でログイン処理するかを選択する為の画面である。
【0192】
なお、図19では、選択する際の情報として費用負担コードを選択する画面としているが、その他のユーザ情報(メールアドレス、表示名、等)を表示する画面とすることも可能である。または、全てのユーザ情報を表示する画面(メールアドレス、表示名、等を全て表示した画面)とすることも可能である。つまり、ログインするユーザ情報が1つ決定できるように選択可能な画面の構成とする。
【0193】
ログイン情報選択画面1900には、どのユーザ情報でログインするかを選択する為に使用する費用負担コード一覧1901と、選択した費用負担コードでログインする為のログインボタン1903と、初期画面に戻るためのキャンセルボタン1902を有している。
【0194】
費用負担コード一覧1901には、前述の通り、費用負担コードではなくメールアドレスや表示名の一覧を表示することも可能である。
【0195】
また、1項目の表示だけではなく複数項目のユーザ情報を表示することも可能である。(表示名、メールアドレス、費用負担コードを表示する、等。)
【0196】
この場合は、一覧形式の表示ではなく、ページ形式で「次のユーザへ」のボタンの押下に従って次のユーザ情報を表示して選択する画面構成であってもよい。(不図示)
【0197】
続いて、図16に戻り、ステップS2008では、ユーザに押下されたユーザ情報を決定(選択)し、選択されたユーザ情報をログイン情報として使用する為に情報を保持(取得)する。
【0198】
ステップS2009では、ステップS2003で受信した複数のユーザ情報と認証結果(認証OK、またはデバイスグループ以外の場合の機能制限情報で認証OK)をRAM302に全て保持する。この情報はログイン後に再度、違うユーザ情報でログインする場合に使用する(図18参照)。
【0199】
ステップS2010では、デバイスグループ以外の場合の機能制限情報530で認証OKであったかを、認証結果に含まれる識別情報で判断する。デバイスグループ以外の場合の機能制限情報530で認証OKであった場合には、ステップS2011へ処理を移し、ユーザが通常利用する機能制限情報507で認証OKであった場合には、ステップS2013へ処理を移す。
【0200】
認証OKであった場合には、RAM302に認証結果に含まれるユーザ情報を記憶する。より具体的には、ログインしたユーザを管理する領域(ログインコンテキスト)に記憶する。なお、ステップS2013の処理の際にユーザ情報を記憶する構成としたが、ステップS2008の処理後にユーザ情報を記憶するように構成することも可能である。複合機にログインするタイミングであればどのタイミングで記憶してもよい。
【0201】
なお、ステップS2010の処理は、言い換えると、機能制限情報507(第1の機能制限情報)を用いてログイン可能な複合機か否かを判定する処理である。機能制限情報507(第1の機能制限情報)を用いてログイン可能な複合機である場合には、ステップS2011へ処理を移し、機能制限情報507(第1の機能制限情報)を用いてログイン可能でない複合機の場合には、ステップS2013へ処理を移す。
【0202】
ステップS2013では、RAM302に記憶されているユーザ情報の機能制限情報507に従って、複合機100にログインをし、ログイン後の初期画面(不図示)を操作部308に表示する。初期画面とは、ログイン後にデフォルト表示する画面であり、管理者が任意に設定することができる。初期画面の一例として、プリント操作画面、スキャン操作画面などがあげられる。このログインは、複合機100のプラットフォーム(例えば、オペレーティングシステム)に対して機能制限情報507を用いて、ログイン要求することである。ログイン要求を受け付けた複合機100のプラットフォーム側は、この機能制限情報507を参照し、複合機100のプリント機能やスキャン機能を使えないように制限する。
【0203】
なお、ステップS2013でのログインは、ユーザ情報が複数存在しないと判定された場合には、ICカード認証サーバから取得した1つのユーザ情報を用いてログインし、ユーザが複数存在すると判定された場合には、選択されたユーザ情報を用いてログインする。
【0204】
なお、初期画面を表示後、ユーザによって選択された機能制限されていない機能を実行する。例えば印刷機能を実行する場合、クライアントPC700から出力された、クライアントPC700にログインしたユーザのユーザ名を含む印刷ジョブが複合機100のHDD304に記憶されており、この印刷ジョブからログインしたユーザ名に対応する印刷ジョブを取得して、印刷ジョブ一覧を表示する。一覧表示した印刷ジョブをユーザが選択することによって、印刷ジョブをHDD304から取得してプリンタ部312から出力される。
【0205】
ステップS2011では、ユーザが通常利用する機能制限情報507を用いず、デバイスグループ以外の場合の機能制限情報530を用いてログイン処理が行われるため、ユーザに対して通常の機能制限と異なる機能制限になることを通知するべく、図8の機能制限確認画面800Aを操作部308に表示する。
(図8の説明は、前述の通りである。)
【0206】
ステップS2012では、機能制限確認画面800Aの検索ボタン801が押下されたか否かを判定する(検索指示判定)。検索ボタン801が押下された場合には、図12のステップS1201(図12)へ処理を移す。なお、本実施形態では、ICカード認証サーバへ通常の機能制限で利用できる複合機の情報(デバイスグループ)を取得するために要求をするように構成したが、ステップS2003で受信した認証結果(ユーザ情報)に通常の機能制限で利用できる複合機の情報(デバイスグループ)を含め、ICカード認証サーバに要求することなくその複合機の情報(デバイスグループ)をステップS1207で表示させるように構成してもよい。
【0207】
OKボタン804が押下された場合には、ステップS2013へ処理を移す。この場合、ステップS2013では、デバイスグループ以外の場合の機能制限情報530が適用されログインし、初期画面を操作部308に表示する。このログインは、複合機100のプラットフォーム(例えば、オペレーティングシステム)に対して機能制限情報530を用いて、ログイン要求することである。ログイン要求を受け付けた複合機100のプラットフォーム側は、この機能制限情報530を参照し、複合機100のプリント機能やスキャン機能を使えないように制限する。
【0208】
なお、初期画面を表示後、ユーザによって選択された機能制限されていない機能を実行する。例えば印刷機能を実行する場合、クライアントPC700から出力された、クライアントPC700にログインしたユーザのユーザ名を含む印刷ジョブが複合機100のHDD304に記憶されており、この印刷ジョブからログインしたユーザ名に対応する印刷ジョブを取得して、印刷ジョブ一覧を表示する。一覧表示した印刷ジョブをユーザが選択することによって、印刷ジョブをHDD304から取得してプリンタ部312から出力される。
【0209】
ステップS2005では、認証ができなかったことを示す認証NG画面(不図示)を操作部308に表示する。
【0210】
次に、図18を用いて、ログイン後のログイン情報変更処理の説明を記載する。
【0211】
ステップS4001では、ユーザにより操作部308でログイン情報変更のボタン(不図示)が押されたかを判断する。ログイン情報変更のボタンが押された場合は、ステップS4002に処理を移す(ユーザ切換)。なお、ログイン変更のボタンは操作部308のタッチパネル上に表示されているものとするが、ログイン情報の変更が可能な構成であればよく、操作部308の各種操作キーとしてボタン(ハード的に備えるボタン)が構成されていてもよい。
【0212】
また、ログイン情報の変更はユーザが任意のタイミングで行うことができる。
【0213】
ステップS4002では、ステップS2009でRAM302に保持したユーザ情報を取得し、取得したユーザ情報のうちどのユーザ情報でログインするかを選択する為の画面を操作部308に表示する(図19)。
【0214】
ステップS4003では、選択されたユーザ情報をログイン情報として使用する為にユーザ情報を取得する。
【0215】
ステップS4004では、ステップS4002で表示した複数のユーザ情報と認証結果(認証OK、またはデバイスグループ以外の場合の機能制限情報で認証OK)を全てRAM302に保持(記憶)する。この情報はログイン後に再度、違うユーザ情報でログインする場合に使用する情報である。なお、既にRAM302にユーザ情報を記憶しているため、本処理を省略することも可能である。
【0216】
また、上述のステップS2008とステップS4004では、選択したユーザ情報は保持しないように構成することも可能である。
【0217】
以下、ステップS4005〜ステップS4008は、図16のステップS2010〜ステップS2013の処理と同様である。
【0218】
ステップS4005では、ステップS4003で保持したログイン情報が、デバイスグループ以外の場合の機能制限情報530で認証OKであったかを、ログイン情報に含まれる識別情報で判断する。デバイスグループ以外の場合の機能制限情報530で認証OKであった場合には、ステップS4006へ処理を移し、ユーザが通常利用する機能制限情報507で認証OKであった場合には、ステップS4008へ処理を移す。
【0219】
ステップS4006では、ユーザが通常利用する機能制限情報507を用いず、デバイスグループ以外の場合の機能制限情報530を用いてログイン処理が行われるため、ユーザに対して通常の機能制限と異なる機能制限になることを通知するべく、図8の機能制限確認画面800Aを操作部308に表示する。(図8の説明は、前述の通りである。)
【0220】
ステップS4007では、機能制限確認画面800Aの検索ボタン801が押下されたか否かを判定する。検索ボタン801が押下された場合には、図12のステップS1201へ処理を移す。OKボタン804が押下された場合には、ステップS4008へ処理を移す。この場合、ステップS4008では、デバイスグループ以外の場合の機能制限情報530が適用されログインし、初期画面を操作部308に表示する。
【0221】
ステップS2009で複数のユーザ情報を保持することで、ログインを切り換える際に、再度ICカード認証サーバに対して認証を要求することなく複合機にログインできるので、認証効率をあげる或いはユーザの認証情報入力の手間を軽減することが可能となる。
【0222】
特にキーボード認証時に、操作のしづらい複合機の操作部308からユーザ名やパスワードの入力が減り、ユーザビリティが格段に向上する。
【0223】
以上説明した形態によれば、ユーザの操作に従って入力されたユーザ識別情報を用いた認証で複数のユーザ情報が得られた場合に、ログインするユーザ情報を選択可能に表示することで、画像形成装置の利用を容易に行わせる仕組みを提供することである。
【0224】
また、ユーザの操作に従ってユーザ識別情報が入力された画像形成装置で利用可能なユーザ情報を表示させることで、画像形成装置の利用を容易に行わせる仕組みを提供することである。
【0225】
その他、ユーザが利用可能な複合機(画像形成装置)のグループを設定し、設定されたグループをユーザごとに設定することで、認証に応じた複合機(画像形成装置)の利用を制限することができ、セキュリティの高い仕組みを実現することができる。
【0226】
また、認証要求のあった複合機(画像形成装置)が、設定されたユーザが利用可能な複合機(画像形成装置)のグループでない場合の権限を設定することで、他の複合機(画像形成装置)の機能を制限しつつも、複合機の利用を可能にし、利便性を高めることができる。また、他の複合機(画像形成装置)の機能を制限することで不要な利用を制限したセキュリティの高い仕組みを実現することができる。
【0227】
さらに、通常利用する複合機(画像形成装置)より利用権限の低い他の複合機(画像形成装置)から、ユーザが通常利用している複合機の権限を用いて利用できる複合機(画像形成装置)を検索することができ、利便性の高い仕組みを実現できる。
【0228】
なお、上述した各種データの構成及びその内容はこれに限定されるものではなく、用途や目的に応じて、様々な構成や内容で構成されることは言うまでもない。
【0229】
以上、一実施形態について示したが、本発明は、例えば、システム、装置、方法、プログラムもしくは記録媒体等としての実施態様をとることが可能であり、具体的には、複数の機器から構成されるシステムに適用しても良いし、また、一つの機器からなる装置に適用しても良い。
【0230】
また、本発明におけるプログラムは、図9〜図12の処理方法をコンピュータが実行可能なプログラムであり、本発明の記憶媒体は図9〜図12の処理方法をコンピュータが実行可能なプログラムが記憶されている。なお、本発明におけるプログラムは図9〜図12の各装置の処理方法ごとのプログラムであってもよい。
【0231】
以上のように、前述した実施形態の機能を実現するプログラムを記録した記録媒体を、システムあるいは装置に供給し、そのシステムあるいは装置のコンピュータ(またはCPUやMPU)が記録媒体に格納されたプログラムを読出し実行することによっても、本発明の目的が達成されることは言うまでもない。
【0232】
この場合、記録媒体から読み出されたプログラム自体が本発明の新規な機能を実現することになり、そのプログラムを記憶した記録媒体は本発明を構成することになる。
【0233】
プログラムを供給するための記録媒体としては、例えば、フレキシブルディスク,ハードディスク,光ディスク,光磁気ディスク,CD−ROM,CD−R,DVD−ROM,磁気テープ,不揮発性のメモリカード,ROM,EEPROM,シリコンディスク等を用いることができる。
【0234】
また、コンピュータが読み出したプログラムを実行することにより、前述した実施形態の機能が実現されるだけでなく、そのプログラムの指示に基づき、コンピュータ上で稼働しているOS(オペレーティングシステム)等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0235】
さらに、記録媒体から読み出されたプログラムが、コンピュータに挿入された機能拡張ボードやコンピュータに接続された機能拡張ユニットに備わるメモリに書き込まれた後、そのプログラムコードの指示に基づき、その機能拡張ボードや機能拡張ユニットに備わるCPU等が実際の処理の一部または全部を行い、その処理によって前述した実施形態の機能が実現される場合も含まれることは言うまでもない。
【0236】
また、本発明は、複数の機器から構成されるシステムに適用しても、1つの機器からなる装置に適用してもよい。また、本発明は、システムあるいは装置にプログラムを供給することによって達成される場合にも適応できることは言うまでもない。この場合、本発明を達成するためのプログラムを格納した記録媒体を該システムあるいは装置に読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。
【0237】
さらに、本発明を達成するためのプログラムをネットワーク上のサーバ,データベース等から通信プログラムによりダウンロードして読み出すことによって、そのシステムあるいは装置が、本発明の効果を享受することが可能となる。
【0238】
なお、上述した各実施形態およびその変形例を組み合わせた構成も全て本発明に含まれるものである。
【符号の説明】
【0239】
100 複合機
200 ICカード認証サーバ
300 ディレクトリサービスサーバ
400 ローカルエリアネットワーク(LAN)
500 WAN
700 クライアントPC
201 CPU
211 外部メモリ
301 CPU
302 RAM
308 操作部
319 カードリーダ
【特許請求の範囲】
【請求項1】
ユーザ識別情報を含むユーザ情報を管理するユーザ情報管理装置と画像形成装置と通信可能に接続される認証システムであって、
前記画像形成装置は、
当該画像形成装置へログインするために、ユーザ識別情報の入力を受け付ける入力受付手段と、
前記画像形成装置へログイン可能なユーザ識別情報かを判断するために、前記入力受付手段で受け付けたユーザ識別情報を前記ユーザ情報管理装置に送信するユーザ識別情報送信手段と、
前記ユーザ識別情報送信手段によって送信したユーザ識別情報に対応するユーザ情報を前記ユーザ情報管理装置から受信するユーザ情報受信手段と、
前記ユーザ情報受信手段によって受信したユーザ情報が複数存在するか否かを判定する判定手段と、
前記判定手段によりユーザ情報が複数存在すると判定された場合に、前記複数のユーザ情報を表示制御する表示制御手段と、
ユーザの操作に従って、前記表示制御手段により表示した複数のユーザ情報から1つのユーザ情報を選択する選択手段と、
前記判定手段によりユーザ情報が複数存在しないと判定された場合に、前記表示制御手段で複数のユーザ情報を表示することなく、前記ユーザ情報受信手段で受信したユーザ情報を用いてログインし、前記判定手段によりユーザ情報が複数存在すると判定された場合に、前記選択手段により選択されたユーザ情報を用いてログインするログイン手段と
を備え、
前記ユーザ情報管理装置は、
前記画像形成装置からユーザ識別情報を受信するユーザ識別情報受信手段と、
前記ユーザ識別情報受信手段により受信したユーザ識別情報に従って、ユーザ情報を取得するユーザ情報取得手段と、
前記ユーザ情報取得手段によって取得されたユーザ情報を前記画像形成装置に送信するユーザ情報送信手段と
を備えることを特徴とする認証システム。
【請求項2】
前記ユーザ識別情報送信手段は、前記ユーザ識別情報とともに当該画像形成装置の識別情報を前記ユーザ情報管理装置に送信し、
前記ユーザ識別情報受信手段は、前記前記ユーザ識別情報とともに当該画像形成装置の識別情報を前記画像形成装置から受信し、
前記ユーザ情報取得手段は、前記受信した画像形成装置の識別情報に従って、前記受信した画像形成装置で利用可能なユーザ情報を取得することを特徴とする請求項2に記載の認証システム。
【請求項3】
前記画像形成装置は、
前記ユーザ情報受信手段によって受信したユーザ情報が複数存在すると判定される場合に、前記ユーザ情報を保持する保持手段と、
前記ログインユーザを切り換えるユーザ切換手段とを更に備え、
前記表示制御手段は、前記ユーザ切換手段によるユーザ切換に応じて、前記入力受付手段で再度ユーザ識別情報の入力を受け付けることなく、前記保持手段で保持したユーザ情報を表示制御することを特徴とする請求項1又は2に記載の認証システム。
【請求項4】
前記画像形成装置は、
前記ユーザ情報受信手段によって受信したユーザ情報が当該画像形成装置で利用可能なユーザ情報でない場合に、当該ユーザ情報が通常利用可能な画像形成装置の検索を指示する検索指示手段
を更に備えることを特徴とする請求項1乃至3のいずれか1項に記載の認証システム。
【請求項5】
前記画像形成装置は、
ユーザを識別するための第1の識別情報を読み取る読取手段と、
前記第1の識別情報を前記ユーザ情報管理装置に送信する第1の識別情報送信手段とを更に備え、
前記ユーザ情報受信手段は、前記第1の識別情報に対応するユーザ情報を受信し、
前記ログイン手段は、前記第1の識別情報に対応するユーザ情報の受信に応じてログインすることを特徴とする請求項1乃至4のいずれか1項に記載の認証システム。
【請求項6】
前記表示制御手段で表示するユーザ情報は、ユーザ名又はメールアドレス又は費用コードであることを特徴とする請求項1乃至5のいずれか1項に記載の認証システム。
【請求項7】
ユーザ識別情報を含むユーザ情報を管理するユーザ情報管理装置と通信可能に接続される画像形成装置であって、
前記画像形成装置へログインするために、ユーザ識別情報の入力を受け付ける入力受付手段と、
前記画像形成装置へログイン可能なユーザ識別情報かを判断するために、前記入力受付手段で受け付けたユーザ識別情報を前記ユーザ情報管理装置に送信するユーザ識別情報送信手段と、
前記ユーザ識別情報送信手段によって送信したユーザ識別情報に対応するユーザ情報を前記ユーザ情報管理装置から受信するユーザ情報受信手段と、
前記ユーザ情報受信手段によって受信したユーザ情報が複数存在するか否かを判定する判定手段と、
前記判定手段によりユーザ情報が複数存在すると判定された場合に、前記複数のユーザ情報を表示制御する表示制御手段と、
ユーザの操作に従って、前記表示制御手段により表示した複数のユーザ情報から1つのユーザ情報を選択する選択手段と、
前記判定手段によりユーザ情報が複数存在しないと判定された場合に、前記表示制御手段で複数のユーザ情報を表示することなく、前記ユーザ情報受信手段で受信したユーザ情報を用いてログインし、前記判定手段によりユーザ情報が複数存在すると判定された場合に、前記選択手段により選択されたユーザ情報を用いてログインするログイン手段と
を備えることを特徴とする画像形成装置。
【請求項8】
ユーザ識別情報を含むユーザ情報を管理するユーザ情報管理装置と画像形成装置と通信可能に接続される認証システムの処理方法であって、
前記画像形成装置が、
当該画像形成装置へログインするために、ユーザ識別情報の入力を受け付ける入力受付ステップと、
前記画像形成装置へログイン可能なユーザ識別情報かを判断するために、前記入力受付ステップで受け付けたユーザ識別情報を前記ユーザ情報管理装置に送信するユーザ識別情報送信ステップと、
前記ユーザ識別情報送信ステップによって送信したユーザ識別情報に対応するユーザ情報を前記ユーザ情報管理装置から受信するユーザ情報受信ステップと、
前記ユーザ情報受信ステップによって受信したユーザ情報が複数存在するか否かを判定する判定ステップと、
前記判定ステップによりユーザ情報が複数存在すると判定された場合に、前記複数のユーザ情報を表示制御する表示制御ステップと、
ユーザの操作に従って、前記表示制御ステップにより表示した複数のユーザ情報から1つのユーザ情報を選択する選択ステップと、
前記判定ステップによりユーザ情報が複数存在しないと判定された場合に、前記ユーザ情報受信ステップで受信したユーザ情報を用い、前記判定ステップによりユーザ情報が複数存在すると判定された場合に、前記選択ステップにより選択されたユーザ情報を用いてログインするログインステップと
を実行し、
前記ユーザ情報管理装置は、
前記画像形成装置からユーザ識別情報を受信するユーザ識別情報受信ステップと、
前記ユーザ識別情報受信ステップにより受信したユーザ識別情報に従って、ユーザ情報を取得するユーザ情報取得ステップと、
前記ユーザ情報取得ステップによって取得されたユーザ情報を前記画像形成装置に送信するユーザ情報送信ステップと
を実行することを特徴とする処理方法。
【請求項9】
ユーザ識別情報を含むユーザ情報を管理するユーザ情報管理装置と通信可能に接続される画像形成装置の処理方法であって、
前記画像形成装置が、
前記画像形成装置へログインするために、ユーザ識別情報の入力を受け付ける入力受付ステップと、
前記画像形成装置へログイン可能なユーザ識別情報かを判断するために、前記入力受付ステップで受け付けたユーザ識別情報を前記ユーザ情報管理装置に送信するユーザ識別情報送信ステップと、
前記ユーザ識別情報送信ステップによって送信したユーザ識別情報に対応するユーザ情報を前記ユーザ情報管理装置から受信するユーザ情報受信ステップと、
前記ユーザ情報受信ステップによって受信したユーザ情報が複数存在するか否かを判定する判定ステップと、
前記判定ステップによりユーザ情報が複数存在すると判定された場合に、前記複数のユーザ情報を表示制御する表示制御ステップと、
ユーザの操作に従って、前記表示制御ステップにより表示した複数のユーザ情報から1つのユーザ情報を選択する選択ステップと、
前記判定ステップによりユーザ情報が複数存在しないと判定された場合に、表示部に複数のユーザ情報を表示することなく、前記ユーザ情報受信ステップで受信したユーザ情報を用いてログインし、前記判定ステップによりユーザ情報が複数存在すると判定された場合に、前記選択ステップにより選択されたユーザ情報を用いてログインするログインステップと
を実行することを特徴とする処理方法。
【請求項10】
ユーザ識別情報を含むユーザ情報を管理するユーザ情報管理装置と画像形成装置と通信可能に接続される認証システムにおけるプログラムであって、
前記画像形成装置を、
当該画像形成装置へログインするために、ユーザ識別情報の入力を受け付ける入力受付手段と、
前記画像形成装置へログイン可能なユーザ識別情報かを判断するために、前記入力受付手段で受け付けたユーザ識別情報を前記ユーザ情報管理装置に送信するユーザ識別情報送信手段と、
前記ユーザ識別情報送信手段によって送信したユーザ識別情報に対応するユーザ情報を前記ユーザ情報管理装置から受信するユーザ情報受信手段と、
前記ユーザ情報受信手段によって受信したユーザ情報が複数存在するか否かを判定する判定手段と、
前記判定手段によりユーザ情報が複数存在すると判定された場合に、前記複数のユーザ情報を表示制御する表示制御手段と、
ユーザの操作に従って、前記表示制御手段により表示した複数のユーザ情報から1つのユーザ情報を選択する選択手段と、
前記判定手段によりユーザ情報が複数存在しないと判定された場合に、前記表示制御手段で複数のユーザ情報を表示することなく、前記ユーザ情報受信手段で受信したユーザ情報を用いてログインし、前記判定手段によりユーザ情報が複数存在すると判定された場合に、前記選択手段により選択されたユーザ情報を用いてログインするログイン手段と
して機能させ、
前記ユーザ情報管理装置を、
前記画像形成装置からユーザ識別情報を受信するユーザ識別情報受信手段と、
前記ユーザ識別情報受信手段により受信したユーザ識別情報に従って、ユーザ情報を取得するユーザ情報取得手段と、
前記ユーザ情報取得手段によって取得されたユーザ情報を前記画像形成装置に送信するユーザ情報送信手段と
して機能させることを特徴とするプログラム。
【請求項11】
ユーザ識別情報を含むユーザ情報を管理するユーザ情報管理装置と通信可能に接続される画像形成装置で実行可能なプログラムあって、
前記画像形成装置を、
前記画像形成装置へログインするために、ユーザ識別情報の入力を受け付ける入力受付手段と、
前記画像形成装置へログイン可能なユーザ識別情報かを判断するために、前記入力受付手段で受け付けたユーザ識別情報を前記ユーザ情報管理装置に送信するユーザ識別情報送信手段と、
前記ユーザ識別情報送信手段によって送信したユーザ識別情報に対応するユーザ情報を前記ユーザ情報管理装置から受信するユーザ情報受信手段と、
前記ユーザ情報受信手段によって受信したユーザ情報が複数存在するか否かを判定する判定手段と、
前記判定手段によりユーザ情報が複数存在すると判定された場合に、前記複数のユーザ情報を表示制御する表示制御手段と、
ユーザの操作に従って、前記表示制御手段により表示した複数のユーザ情報から1つのユーザ情報を選択する選択手段と、
前記判定手段によりユーザ情報が複数存在しないと判定された場合に、前記表示制御手段で複数のユーザ情報を表示することなく、前記ユーザ情報受信手段で受信したユーザ情報を用いてログインし、前記判定手段によりユーザ情報が複数存在すると判定された場合に、前記選択手段により選択されたユーザ情報を用いてログインするログイン手段
として機能させることを特徴とするプログラム。
【請求項1】
ユーザ識別情報を含むユーザ情報を管理するユーザ情報管理装置と画像形成装置と通信可能に接続される認証システムであって、
前記画像形成装置は、
当該画像形成装置へログインするために、ユーザ識別情報の入力を受け付ける入力受付手段と、
前記画像形成装置へログイン可能なユーザ識別情報かを判断するために、前記入力受付手段で受け付けたユーザ識別情報を前記ユーザ情報管理装置に送信するユーザ識別情報送信手段と、
前記ユーザ識別情報送信手段によって送信したユーザ識別情報に対応するユーザ情報を前記ユーザ情報管理装置から受信するユーザ情報受信手段と、
前記ユーザ情報受信手段によって受信したユーザ情報が複数存在するか否かを判定する判定手段と、
前記判定手段によりユーザ情報が複数存在すると判定された場合に、前記複数のユーザ情報を表示制御する表示制御手段と、
ユーザの操作に従って、前記表示制御手段により表示した複数のユーザ情報から1つのユーザ情報を選択する選択手段と、
前記判定手段によりユーザ情報が複数存在しないと判定された場合に、前記表示制御手段で複数のユーザ情報を表示することなく、前記ユーザ情報受信手段で受信したユーザ情報を用いてログインし、前記判定手段によりユーザ情報が複数存在すると判定された場合に、前記選択手段により選択されたユーザ情報を用いてログインするログイン手段と
を備え、
前記ユーザ情報管理装置は、
前記画像形成装置からユーザ識別情報を受信するユーザ識別情報受信手段と、
前記ユーザ識別情報受信手段により受信したユーザ識別情報に従って、ユーザ情報を取得するユーザ情報取得手段と、
前記ユーザ情報取得手段によって取得されたユーザ情報を前記画像形成装置に送信するユーザ情報送信手段と
を備えることを特徴とする認証システム。
【請求項2】
前記ユーザ識別情報送信手段は、前記ユーザ識別情報とともに当該画像形成装置の識別情報を前記ユーザ情報管理装置に送信し、
前記ユーザ識別情報受信手段は、前記前記ユーザ識別情報とともに当該画像形成装置の識別情報を前記画像形成装置から受信し、
前記ユーザ情報取得手段は、前記受信した画像形成装置の識別情報に従って、前記受信した画像形成装置で利用可能なユーザ情報を取得することを特徴とする請求項2に記載の認証システム。
【請求項3】
前記画像形成装置は、
前記ユーザ情報受信手段によって受信したユーザ情報が複数存在すると判定される場合に、前記ユーザ情報を保持する保持手段と、
前記ログインユーザを切り換えるユーザ切換手段とを更に備え、
前記表示制御手段は、前記ユーザ切換手段によるユーザ切換に応じて、前記入力受付手段で再度ユーザ識別情報の入力を受け付けることなく、前記保持手段で保持したユーザ情報を表示制御することを特徴とする請求項1又は2に記載の認証システム。
【請求項4】
前記画像形成装置は、
前記ユーザ情報受信手段によって受信したユーザ情報が当該画像形成装置で利用可能なユーザ情報でない場合に、当該ユーザ情報が通常利用可能な画像形成装置の検索を指示する検索指示手段
を更に備えることを特徴とする請求項1乃至3のいずれか1項に記載の認証システム。
【請求項5】
前記画像形成装置は、
ユーザを識別するための第1の識別情報を読み取る読取手段と、
前記第1の識別情報を前記ユーザ情報管理装置に送信する第1の識別情報送信手段とを更に備え、
前記ユーザ情報受信手段は、前記第1の識別情報に対応するユーザ情報を受信し、
前記ログイン手段は、前記第1の識別情報に対応するユーザ情報の受信に応じてログインすることを特徴とする請求項1乃至4のいずれか1項に記載の認証システム。
【請求項6】
前記表示制御手段で表示するユーザ情報は、ユーザ名又はメールアドレス又は費用コードであることを特徴とする請求項1乃至5のいずれか1項に記載の認証システム。
【請求項7】
ユーザ識別情報を含むユーザ情報を管理するユーザ情報管理装置と通信可能に接続される画像形成装置であって、
前記画像形成装置へログインするために、ユーザ識別情報の入力を受け付ける入力受付手段と、
前記画像形成装置へログイン可能なユーザ識別情報かを判断するために、前記入力受付手段で受け付けたユーザ識別情報を前記ユーザ情報管理装置に送信するユーザ識別情報送信手段と、
前記ユーザ識別情報送信手段によって送信したユーザ識別情報に対応するユーザ情報を前記ユーザ情報管理装置から受信するユーザ情報受信手段と、
前記ユーザ情報受信手段によって受信したユーザ情報が複数存在するか否かを判定する判定手段と、
前記判定手段によりユーザ情報が複数存在すると判定された場合に、前記複数のユーザ情報を表示制御する表示制御手段と、
ユーザの操作に従って、前記表示制御手段により表示した複数のユーザ情報から1つのユーザ情報を選択する選択手段と、
前記判定手段によりユーザ情報が複数存在しないと判定された場合に、前記表示制御手段で複数のユーザ情報を表示することなく、前記ユーザ情報受信手段で受信したユーザ情報を用いてログインし、前記判定手段によりユーザ情報が複数存在すると判定された場合に、前記選択手段により選択されたユーザ情報を用いてログインするログイン手段と
を備えることを特徴とする画像形成装置。
【請求項8】
ユーザ識別情報を含むユーザ情報を管理するユーザ情報管理装置と画像形成装置と通信可能に接続される認証システムの処理方法であって、
前記画像形成装置が、
当該画像形成装置へログインするために、ユーザ識別情報の入力を受け付ける入力受付ステップと、
前記画像形成装置へログイン可能なユーザ識別情報かを判断するために、前記入力受付ステップで受け付けたユーザ識別情報を前記ユーザ情報管理装置に送信するユーザ識別情報送信ステップと、
前記ユーザ識別情報送信ステップによって送信したユーザ識別情報に対応するユーザ情報を前記ユーザ情報管理装置から受信するユーザ情報受信ステップと、
前記ユーザ情報受信ステップによって受信したユーザ情報が複数存在するか否かを判定する判定ステップと、
前記判定ステップによりユーザ情報が複数存在すると判定された場合に、前記複数のユーザ情報を表示制御する表示制御ステップと、
ユーザの操作に従って、前記表示制御ステップにより表示した複数のユーザ情報から1つのユーザ情報を選択する選択ステップと、
前記判定ステップによりユーザ情報が複数存在しないと判定された場合に、前記ユーザ情報受信ステップで受信したユーザ情報を用い、前記判定ステップによりユーザ情報が複数存在すると判定された場合に、前記選択ステップにより選択されたユーザ情報を用いてログインするログインステップと
を実行し、
前記ユーザ情報管理装置は、
前記画像形成装置からユーザ識別情報を受信するユーザ識別情報受信ステップと、
前記ユーザ識別情報受信ステップにより受信したユーザ識別情報に従って、ユーザ情報を取得するユーザ情報取得ステップと、
前記ユーザ情報取得ステップによって取得されたユーザ情報を前記画像形成装置に送信するユーザ情報送信ステップと
を実行することを特徴とする処理方法。
【請求項9】
ユーザ識別情報を含むユーザ情報を管理するユーザ情報管理装置と通信可能に接続される画像形成装置の処理方法であって、
前記画像形成装置が、
前記画像形成装置へログインするために、ユーザ識別情報の入力を受け付ける入力受付ステップと、
前記画像形成装置へログイン可能なユーザ識別情報かを判断するために、前記入力受付ステップで受け付けたユーザ識別情報を前記ユーザ情報管理装置に送信するユーザ識別情報送信ステップと、
前記ユーザ識別情報送信ステップによって送信したユーザ識別情報に対応するユーザ情報を前記ユーザ情報管理装置から受信するユーザ情報受信ステップと、
前記ユーザ情報受信ステップによって受信したユーザ情報が複数存在するか否かを判定する判定ステップと、
前記判定ステップによりユーザ情報が複数存在すると判定された場合に、前記複数のユーザ情報を表示制御する表示制御ステップと、
ユーザの操作に従って、前記表示制御ステップにより表示した複数のユーザ情報から1つのユーザ情報を選択する選択ステップと、
前記判定ステップによりユーザ情報が複数存在しないと判定された場合に、表示部に複数のユーザ情報を表示することなく、前記ユーザ情報受信ステップで受信したユーザ情報を用いてログインし、前記判定ステップによりユーザ情報が複数存在すると判定された場合に、前記選択ステップにより選択されたユーザ情報を用いてログインするログインステップと
を実行することを特徴とする処理方法。
【請求項10】
ユーザ識別情報を含むユーザ情報を管理するユーザ情報管理装置と画像形成装置と通信可能に接続される認証システムにおけるプログラムであって、
前記画像形成装置を、
当該画像形成装置へログインするために、ユーザ識別情報の入力を受け付ける入力受付手段と、
前記画像形成装置へログイン可能なユーザ識別情報かを判断するために、前記入力受付手段で受け付けたユーザ識別情報を前記ユーザ情報管理装置に送信するユーザ識別情報送信手段と、
前記ユーザ識別情報送信手段によって送信したユーザ識別情報に対応するユーザ情報を前記ユーザ情報管理装置から受信するユーザ情報受信手段と、
前記ユーザ情報受信手段によって受信したユーザ情報が複数存在するか否かを判定する判定手段と、
前記判定手段によりユーザ情報が複数存在すると判定された場合に、前記複数のユーザ情報を表示制御する表示制御手段と、
ユーザの操作に従って、前記表示制御手段により表示した複数のユーザ情報から1つのユーザ情報を選択する選択手段と、
前記判定手段によりユーザ情報が複数存在しないと判定された場合に、前記表示制御手段で複数のユーザ情報を表示することなく、前記ユーザ情報受信手段で受信したユーザ情報を用いてログインし、前記判定手段によりユーザ情報が複数存在すると判定された場合に、前記選択手段により選択されたユーザ情報を用いてログインするログイン手段と
して機能させ、
前記ユーザ情報管理装置を、
前記画像形成装置からユーザ識別情報を受信するユーザ識別情報受信手段と、
前記ユーザ識別情報受信手段により受信したユーザ識別情報に従って、ユーザ情報を取得するユーザ情報取得手段と、
前記ユーザ情報取得手段によって取得されたユーザ情報を前記画像形成装置に送信するユーザ情報送信手段と
して機能させることを特徴とするプログラム。
【請求項11】
ユーザ識別情報を含むユーザ情報を管理するユーザ情報管理装置と通信可能に接続される画像形成装置で実行可能なプログラムあって、
前記画像形成装置を、
前記画像形成装置へログインするために、ユーザ識別情報の入力を受け付ける入力受付手段と、
前記画像形成装置へログイン可能なユーザ識別情報かを判断するために、前記入力受付手段で受け付けたユーザ識別情報を前記ユーザ情報管理装置に送信するユーザ識別情報送信手段と、
前記ユーザ識別情報送信手段によって送信したユーザ識別情報に対応するユーザ情報を前記ユーザ情報管理装置から受信するユーザ情報受信手段と、
前記ユーザ情報受信手段によって受信したユーザ情報が複数存在するか否かを判定する判定手段と、
前記判定手段によりユーザ情報が複数存在すると判定された場合に、前記複数のユーザ情報を表示制御する表示制御手段と、
ユーザの操作に従って、前記表示制御手段により表示した複数のユーザ情報から1つのユーザ情報を選択する選択手段と、
前記判定手段によりユーザ情報が複数存在しないと判定された場合に、前記表示制御手段で複数のユーザ情報を表示することなく、前記ユーザ情報受信手段で受信したユーザ情報を用いてログインし、前記判定手段によりユーザ情報が複数存在すると判定された場合に、前記選択手段により選択されたユーザ情報を用いてログインするログイン手段
として機能させることを特徴とするプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【公開番号】特開2011−258085(P2011−258085A)
【公開日】平成23年12月22日(2011.12.22)
【国際特許分類】
【出願番号】特願2010−133428(P2010−133428)
【出願日】平成22年6月10日(2010.6.10)
【出願人】(390002761)キヤノンマーケティングジャパン株式会社 (656)
【Fターム(参考)】
【公開日】平成23年12月22日(2011.12.22)
【国際特許分類】
【出願日】平成22年6月10日(2010.6.10)
【出願人】(390002761)キヤノンマーケティングジャパン株式会社 (656)
【Fターム(参考)】
[ Back to top ]