知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-07-08
(45)【発行日】2024-07-17
(54)【発明の名称】情報処理装置及び情報処理プログラム
(51)【国際特許分類】
G06F 21/32 20130101AFI20240709BHJP
G06F 3/12 20060101ALI20240709BHJP
G03G 21/00 20060101ALI20240709BHJP
G03G 21/14 20060101ALI20240709BHJP
B41J 29/00 20060101ALI20240709BHJP
B41J 29/38 20060101ALI20240709BHJP
H04N 1/00 20060101ALI20240709BHJP
【FI】
G06F21/32
G06F3/12 338
G06F3/12 322
G06F3/12 304
G06F3/12 385
G03G21/00 388
G03G21/14
B41J29/00 Z
B41J29/38 203
H04N1/00 127A
【請求項の数】
7
(21)【出願番号】P 2021011939
(22)【出願日】2021-01-28
(65)【公開番号】P2022115373
(43)【公開日】2022-08-09
【審査請求日】2023-12-19
(73)【特許権者】
【識別番号】000005496
【氏名又は名称】富士フイルムビジネスイノベーション株式会社
(74)【代理人】
【識別番号】100115129
【弁理士】
【氏名又は名称】清水 昇
(74)【代理人】
【識別番号】100102716
【弁理士】
【氏名又は名称】在原 元司
(74)【代理人】
【識別番号】100122275
【弁理士】
【氏名又は名称】竹居 信利
(72)【発明者】
【氏名】島本 努
【審査官】岸野 徹
(56)【参考文献】
【文献】特開2003-263595(JP,A)
【文献】特開2019-086937(JP,A)
【文献】特開2019-028805(JP,A)
【文献】特開2008-059445(JP,A)
【文献】特開2004-013341(JP,A)
【文献】特開2012-137874(JP,A)
【文献】米国特許第10860621(US,B1)
【文献】米国特許出願公開第2004/0122901(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/32
G06F 3/12
G03G 21/00
G03G 21/14
B41J 29/00
B41J 29/38
H04N 1/00
(57)【特許請求の範囲】
【請求項1】
プロセッサを備え、前記プロセッサは、
機器又はサービスを利用することが可能なグループへの加入の操作がユーザーによって行われた場合は、認証機を用いた生体認証を利用した認証サーバーによる認証の処理を行わせ、
前記認証サーバーによる前記ユーザーの認証が成功した場合は、前記グループを管理しているグループ管理サーバーに対して、前記ユーザーを該グループに加入させる処理を行わせ、
前記プロセッサは、
前記認証サーバーによる認証が成功した場合は、前記グループに既に加入している第2のユーザーについて、認証機を用いた生体認証を利用した認証サーバーによる認証の処理を行わせ、
前記認証サーバーによる前記第2のユーザーの認証が成功した場合は、前記グループ管理サーバーに対して、前記ユーザーを前記グループに加入させる処理を行わせる、
情報処理装置。
【請求項2】
前記プロセッサは、前記第2のユーザーは予め定められたユーザーであることを条件として、前記グループ管理サーバーに対して、前記ユーザーを前記グループに加入させる処理を行わせる、
請求項1に記載の情報処理装置。
【請求項3】
プロセッサを備え、前記プロセッサは、
機器又はサービスを利用することが可能なグループへの加入の操作がユーザーによって行われた場合は、認証機を用いた生体認証を利用した認証サーバーによる認証の処理を行わせ、
前記認証サーバーによる前記ユーザーの認証が成功した場合は、前記グループを管理しているグループ管理サーバーに対して、前記ユーザーを該グループに加入させる処理を行わせ、
前記ユーザーが前記グループに登録された後であって、
前記プロセッサは、
機器又はサービスを利用することが可能な第2のグループへの加入の操作が前記ユーザーによって行われた場合は、認証機を用いた生体認証を利用した認証サーバーによる認証の処理を行わせ、
前記認証サーバーによる前記ユーザーの認証が失敗した場合は、前記第2のグループに既に加入している第3のユーザーについて、認証機を用いた生体認証を利用した認証サーバーによる認証の処理を行わせ、
前記認証サーバーによる前記第3のユーザーの認証が成功した場合は、前記グループ管理サーバーに対して、前記ユーザーを前記第2のグループに加入させる処理を行わせる、
情報処理装置。
【請求項4】
前記プロセッサは、既に前記ユーザーが該認証サーバーに登録されている旨の通知を受け取った場合は、前記認証サーバーによる前記ユーザーの認証が失敗した場合として扱う、
請求項3に記載の情報処理装置。
【請求項5】
前記プロセッサは、前記第3のユーザーは予め定められたユーザーであることを条件として、前記グループ管理サーバーに対して、前記ユーザーを前記第2のグループに加入させる処理を行わせる、
請求項4に記載の情報処理装置。
【請求項6】
プロセッサを備えたコンピュータの前記プロセッサに、機器又はサービスを利用することが可能なグループへの加入の操作がユーザーによって行われた場合は、認証機を用いた生体認証を利用した認証サーバーによる認証の処理を行わせ、
前記認証サーバーによる前記ユーザーの認証が成功した場合は、前記グループを管理しているグループ管理サーバーに対して、前記ユーザーを該グループに加入させる処理を行わせ、
前記プロセッサに、
前記認証サーバーによる認証が成功した場合は、前記グループに既に加入している第2のユーザーについて、認証機を用いた生体認証を利用した認証サーバーによる認証の処理を行わせ、
前記認証サーバーによる前記第2のユーザーの認証が成功した場合は、前記グループ管理サーバーに対して、前記ユーザーを前記グループに加入させる処理を行わせる、
処理を実行させるための情報処理プログラム。
【請求項7】
プロセッサを備えたコンピュータの前記プロセッサに、機器又はサービスを利用することが可能なグループへの加入の操作がユーザーによって行われた場合は、認証機を用いた生体認証を利用した認証サーバーによる認証の処理を行わせ、
前記認証サーバーによる前記ユーザーの認証が成功した場合は、前記グループを管理しているグループ管理サーバーに対して、前記ユーザーを該グループに加入させる処理を行わせ、
前記ユーザーが前記グループに登録された後であって、
前記プロセッサに、
機器又はサービスを利用することが可能な第2のグループへの加入の操作が前記ユーザーによって行われた場合は、認証機を用いた生体認証を利用した認証サーバーによる認証の処理を行わせ、
前記認証サーバーによる前記ユーザーの認証が失敗した場合は、前記第2のグループに既に加入している第3のユーザーについて、認証機を用いた生体認証を利用した認証サーバーによる認証の処理を行わせ、
前記認証サーバーによる前記第3のユーザーの認証が成功した場合は、前記グループ管理サーバーに対して、前記ユーザーを前記第2のグループに加入させる処理を行わせる、
処理を実行させるための情報処理プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、情報処理装置及び情報処理プログラムに関する。
【背景技術】
【0002】
特許文献1には、画像処理装置でネットワークサービスを利用する場合に、セキュアな認証の仕組みを採用しつつ、サービス提供する対象の装置も制御し得る仕組を提供することを課題とし、生体認証のための認証モジュールをもつユーザーの携帯端末と通信できる画像処理装置であって、サービス提供システムで発行された検証用データを受信した場合に生体認証に携帯端末の有する認証モジュールを利用し、さらに、サービス提供システムと連携する機器認証システムに、認証トークンの発行を要求することが開示されている。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2018-205906号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
機器又はサービスを利用することが可能なグループにユーザーを加入させる場合に、管理者がユーザーの加入の操作を行う構成においては、その管理者が操作を開始しなければならない。そのため、加入したいユーザーは、管理者に依頼する必要があった。そこで、機器又はサービスを利用することが可能なグループにユーザーを加入させる場合に、加入するユーザーが操作を開始することによって、そのユーザーを加入させることができる情報処理装置及び情報処理プログラムを提供することを目的としている。
【課題を解決するための手段】
【0005】
かかる目的を達成するための本発明の要旨とするところは、次の各項の発明に存する。なお、以下の「請求項」とあるのは、出願当初の請求項である。
請求項1の発明は、プロセッサを備え、前記プロセッサは、機器又はサービスを利用することが可能なグループへの加入の操作がユーザーによって行われた場合は、認証機を用いた生体認証を利用した認証サーバーによる認証の処理を行わせ、前記認証サーバーによる前記ユーザーの認証が成功した場合は、前記グループを管理しているグループ管理サーバーに対して、前記ユーザーを該グループに加入させる処理を行わせる、情報処理装置である。
請求項1の発明は、プロセッサを備え、前記プロセッサは、機器又はサービスを利用することが可能なグループへの加入の操作がユーザーによって行われた場合は、認証機を用いた生体認証を利用した認証サーバーによる認証の処理を行わせ、前記認証サーバーによる前記ユーザーの認証が成功した場合は、前記グループを管理しているグループ管理サーバーに対して、前記ユーザーを該グループに加入させる処理を行わせる、情報処理装置である。
【0006】
請求項2の発明は、前記プロセッサは、前記認証サーバーによる認証が成功した場合は、前記グループに既に加入している第2のユーザーについて、認証機を用いた生体認証を利用した認証サーバーによる認証の処理を行わせ、前記認証サーバーによる前記第2のユーザーの認証が成功した場合は、前記グループ管理サーバーに対して、前記ユーザーを前記グループに加入させる処理を行わせる、請求項1に記載の情報処理装置である。
【0007】
請求項3の発明は、前記プロセッサは、前記第2のユーザーは予め定められたユーザーであることを条件として、前記グループ管理サーバーに対して、前記ユーザーを前記グループに加入させる処理を行わせる、請求項2に記載の情報処理装置である。
【0008】
請求項4の発明は、前記ユーザーが前記グループに登録された後であって、前記プロセッサは、機器又はサービスを利用することが可能な第2のグループへの加入の操作が前記ユーザーによって行われた場合は、認証機を用いた生体認証を利用した認証サーバーによる認証の処理を行わせ、前記認証サーバーによる前記ユーザーの認証が失敗した場合は、前記第2のグループに既に加入している第3のユーザーについて、認証機を用いた生体認証を利用した認証サーバーによる認証の処理を行わせ、前記認証サーバーによる前記第3のユーザーの認証が成功した場合は、前記グループ管理サーバーに対して、前記ユーザーを前記第2のグループに加入させる処理を行わせる、請求項1に記載の情報処理装置である。
【0009】
請求項5の発明は、前記プロセッサは、既に前記ユーザーが該認証サーバーに登録されている旨の通知を受け取った場合は、前記認証サーバーによる前記ユーザーの認証が失敗した場合として扱う、請求項4に記載の情報処理装置である。
【0010】
請求項6の発明は、前記プロセッサは、前記第3のユーザーは予め定められたユーザーであることを条件として、前記グループ管理サーバーに対して、前記ユーザーを前記第2のグループに加入させる処理を行わせる、請求項5に記載の情報処理装置である。
【0011】
請求項7の発明は、プロセッサを備えたコンピュータの前記プロセッサに、機器又はサービスを利用することが可能なグループへの加入の操作がユーザーによって行われた場合は、認証機を用いた生体認証を利用した認証サーバーによる認証の処理を行わせ、前記認証サーバーによる前記ユーザーの認証が成功した場合は、前記グループを管理しているグループ管理サーバーに対して、前記ユーザーを該グループに加入させる処理を行わせる、処理を実行させるための情報処理プログラムである。
【発明の効果】
【0012】
請求項1の情報処理装置によれば、機器又はサービスを利用することが可能なグループにユーザーを加入させる場合に、加入するユーザーが操作を開始することによって、そのユーザーを加入させることができる。
【0013】
請求項2の情報処理装置によれば、グループに既に加入している第2のユーザーを、認証機を用いた生体認証を利用した認証サーバーによる認証が成功した場合は、ユーザーをグループに加入させることができる。
【0014】
請求項3の情報処理装置によれば、第2のユーザーは予め定められたユーザーであることを条件として、ユーザーをグループに加入させることができる。
【0015】
請求項4の情報処理装置によれば、ユーザーがグループに登録された後に、第2のグループへの加入の操作がユーザーによって行われた場合は、認証機を用いた生体認証を利用した認証サーバーによる認証の処理を行わせ、認証サーバーによるユーザーの認証が失敗した場合は、第2のグループに既に加入している第3のユーザーを、認証機を用いた生体認証を利用した認証サーバーによる認証の処理を行わせ、認証サーバーによる第3のユーザーの認証が成功した場合は、グループ管理サーバーに対して、ユーザーを第2のグループに加入させる処理を行わせることができる。
【0016】
請求項5の情報処理装置によれば、既にユーザーが認証サーバーに登録されている旨の通知を受け取った場合は、認証サーバーによるユーザーの認証が失敗した場合として扱うことができる。
【0017】
請求項6の情報処理装置によれば、第3のユーザーは予め定められたユーザーであることを条件として、ユーザーを第2のグループに加入させることができる。
【0018】
請求項7の情報処理プログラムによれば、機器又はサービスを利用することが可能なグループにユーザーを加入させる場合に、加入するユーザーが操作を開始することによって、そのユーザーを加入させることができる。
【図面の簡単な説明】
【0019】
【図1】本実施の形態の構成例についての概念的なモジュール構成図である。
【図2】本実施の形態を利用したシステム構成例を示す説明図である。
【図3】前提技術(FIDO認証技術)の例を示す説明図である。
【図4】前提技術(FIDO認証技術)による処理例を示すフローチャートである。
【図5A】本実施の形態による処理例を示すフローチャートである。
【図5B】本実施の形態による処理例を示すフローチャートである。
【図5C】本実施の形態による処理例を示すフローチャートである。
【図6】グループ管理テーブルのデータ構造例を示す説明図である。
【図7】ユーザー・デバイス管理テーブルのデータ構造例を示す説明図である。
【図8】グループ・デバイス管理テーブルのデータ構造例を示す説明図である。
【図9】グループ・ユーザー管理テーブルのデータ構造例を示す説明図である。
【図10】本実施の形態による処理例を示すフローチャートである。
【図11】本実施の形態による処理例を示すフローチャートである。
【発明を実施するための形態】
【0020】
以下、図面に基づき本発明を実現するにあたっての好適な一実施の形態の例を説明する。
図1は、本実施の形態の構成例についての概念的なモジュール構成図を示している。
なお、モジュールとは、一般的に論理的に分離可能なソフトウェア(「ソフトウェア」の解釈として、コンピュータ・プログラムを含む)、ハードウェア等の部品を指す。したがって、本実施の形態におけるモジュールはコンピュータ・プログラムにおけるモジュールのことだけでなく、ハードウェア構成におけるモジュールも指す。それゆえ、本実施の形態は、それらのモジュールとして機能させるためのコンピュータ・プログラム(例えば、コンピュータにそれぞれの手順を実行させるためのプログラム、コンピュータをそれぞれの手段として機能させるためのプログラム、コンピュータにそれぞれの機能を実現させるためのプログラム)、システム及び方法の説明をも兼ねている。ただし、説明の都合上、「記憶する」、「記憶させる」、これらと同等の文言を用いるが、これらの文言は、実施の形態がコンピュータ・プログラムの場合は、記憶装置に記憶させる、又は記憶装置に記憶させるように制御するという意味である。また、モジュールは機能に一対一に対応していてもよいが、実装においては、1モジュールを1プログラムで構成してもよいし、複数モジュールを1プログラムで構成してもよく、逆に1モジュールを複数プログラムで構成してもよい。また、複数モジュールは1コンピュータによって実行されてもよいし、分散又は並列環境におけるコンピュータによって1モジュールが複数コンピュータで実行されてもよい。なお、1つのモジュールに他のモジュールが含まれていてもよい。また、以下、「接続」とは物理的な接続の他、論理的な接続(例えば、データの授受、指示、データ間の参照関係、ログイン等)の場合にも用いる。「予め定められた」とは、対象としている処理の前に定まっていることをいい、本実施の形態による処理が始まる前はもちろんのこと、本実施の形態による処理が始まった後であっても、対象としている処理の前であれば、そのときの状況・状態にしたがって、又はそれまでの状況・状態にしたがって定まることの意を含めて用いる。「予め定められた値」が複数ある場合は、それぞれ異なった値であってもよいし、2以上の値(「2以上の値」には、もちろんのことながら、全ての値も含む)が同じであってもよい。また、「Aである場合、Bをする」という記載は、「Aであるか否かを判断し、Aであると判断した場合はBをする」の意味で用いる。ただし、Aであるか否かの判断が不要である場合を除く。また、「A、B、C」等のように事物を列挙した場合は、断りがない限り例示列挙であり、その1つのみを選んでいる場合(例えば、Aのみ)を含む。
また、システム又は装置とは、複数のコンピュータ、ハードウェア、装置等がネットワーク(「ネットワーク」には、一対一対応の通信接続を含む)等の通信手段で接続されて構成されるほか、1つのコンピュータ、ハードウェア、装置等によって実現される場合も含まれる。「装置」と「システム」とは、互いに同義の用語として用いる。もちろんのことながら、「システム」には、人為的な取り決めである社会的な「仕組み」(つまり、社会システム)にすぎないものは含まない。
また、各モジュールによる処理毎に又はモジュール内で複数の処理を行う場合はその処理毎に、対象となる情報を記憶装置から読み込み、その処理を行った後に、処理結果を記憶装置に書き出すものである。したがって、処理前の記憶装置からの読み込み、処理後の記憶装置への書き出しについては、説明を省略する場合がある。
図1は、本実施の形態の構成例についての概念的なモジュール構成図を示している。
なお、モジュールとは、一般的に論理的に分離可能なソフトウェア(「ソフトウェア」の解釈として、コンピュータ・プログラムを含む)、ハードウェア等の部品を指す。したがって、本実施の形態におけるモジュールはコンピュータ・プログラムにおけるモジュールのことだけでなく、ハードウェア構成におけるモジュールも指す。それゆえ、本実施の形態は、それらのモジュールとして機能させるためのコンピュータ・プログラム(例えば、コンピュータにそれぞれの手順を実行させるためのプログラム、コンピュータをそれぞれの手段として機能させるためのプログラム、コンピュータにそれぞれの機能を実現させるためのプログラム)、システム及び方法の説明をも兼ねている。ただし、説明の都合上、「記憶する」、「記憶させる」、これらと同等の文言を用いるが、これらの文言は、実施の形態がコンピュータ・プログラムの場合は、記憶装置に記憶させる、又は記憶装置に記憶させるように制御するという意味である。また、モジュールは機能に一対一に対応していてもよいが、実装においては、1モジュールを1プログラムで構成してもよいし、複数モジュールを1プログラムで構成してもよく、逆に1モジュールを複数プログラムで構成してもよい。また、複数モジュールは1コンピュータによって実行されてもよいし、分散又は並列環境におけるコンピュータによって1モジュールが複数コンピュータで実行されてもよい。なお、1つのモジュールに他のモジュールが含まれていてもよい。また、以下、「接続」とは物理的な接続の他、論理的な接続(例えば、データの授受、指示、データ間の参照関係、ログイン等)の場合にも用いる。「予め定められた」とは、対象としている処理の前に定まっていることをいい、本実施の形態による処理が始まる前はもちろんのこと、本実施の形態による処理が始まった後であっても、対象としている処理の前であれば、そのときの状況・状態にしたがって、又はそれまでの状況・状態にしたがって定まることの意を含めて用いる。「予め定められた値」が複数ある場合は、それぞれ異なった値であってもよいし、2以上の値(「2以上の値」には、もちろんのことながら、全ての値も含む)が同じであってもよい。また、「Aである場合、Bをする」という記載は、「Aであるか否かを判断し、Aであると判断した場合はBをする」の意味で用いる。ただし、Aであるか否かの判断が不要である場合を除く。また、「A、B、C」等のように事物を列挙した場合は、断りがない限り例示列挙であり、その1つのみを選んでいる場合(例えば、Aのみ)を含む。
また、システム又は装置とは、複数のコンピュータ、ハードウェア、装置等がネットワーク(「ネットワーク」には、一対一対応の通信接続を含む)等の通信手段で接続されて構成されるほか、1つのコンピュータ、ハードウェア、装置等によって実現される場合も含まれる。「装置」と「システム」とは、互いに同義の用語として用いる。もちろんのことながら、「システム」には、人為的な取り決めである社会的な「仕組み」(つまり、社会システム)にすぎないものは含まない。
また、各モジュールによる処理毎に又はモジュール内で複数の処理を行う場合はその処理毎に、対象となる情報を記憶装置から読み込み、その処理を行った後に、処理結果を記憶装置に書き出すものである。したがって、処理前の記憶装置からの読み込み、処理後の記憶装置への書き出しについては、説明を省略する場合がある。
【0021】
本実施の形態である情報処理装置100は、グループにユーザーを加入させる処理を行う機能を有している。図1の例に示すように、情報処理装置100は、少なくともプロセッサ105、メモリ110を有しており、それらをつないでデータのやりとりをするためのバス198により構成されている。この他に、情報処理装置100は、出力装置185、受付装置190、通信装置195を有していてもよい。そして、バス198を介して、プロセッサ105、メモリ110、出力装置185、受付装置190、通信装置195の間でデータのやりとりが行われる。
【0022】
なお、図1の例に示すブロック図は、本実施の形態を実現するコンピュータのハードウェア構成例をも示している。本実施の形態としてのプログラムが実行されるコンピュータのハードウェア構成は、図1に例示するようなコンピュータであり、具体的にはパーソナルコンピュータ、サーバーとなり得るコンピュータ等である。具体例として、処理部としてプロセッサ105を用い、記憶装置としてメモリ110を用いている。
【0023】
プロセッサ105は、1つであってもよいし、複数あってもよい。プロセッサ105として、例えば、CPU(Central Processing Unitの略)、マイクロプロセッサ等を含む。複数のプロセッサ105を用いる場合は、密結合マルチプロセッサ、疎結合マルチプロセッサのいずれの形態であってもよい。例えば、1つのプロセッサ105内に複数のプロセッサ・コアが搭載されていてもよい。さらに、複数のコンピュータを通信路で結んで仮想的に一台のコンピュータのように振る舞わせるシステムとしてもよい。具体例として、疎結合マルチプロセッサであって、クラスタシステム、コンピュータクラスタとして構成してもよい。プロセッサ105は、プログラムメモリ140内のプログラムを実行する。
【0024】
メモリ110として、例えば、レジスタやキャッシュメモリ等のプロセッサ105内部の半導体メモリを含めてもよいし、RAM(Random Access Memoryの略)やROM(Read Only Memoryの略)等によって構成される主記憶装置であるメインメモリであってもよいし、永続性記憶装置としての機能を有するHDD(Hard Disk Driveの略)やSSD(Solid State Driveの略)の内部記憶装置、CD、DVD、Blu-ray(登録商標) Disc、USBメモリ、メモリーカード等の外部記憶装置又は補助記憶装置であってもよいし、また、通信回線を介して接続されたサーバー等の記憶装置を含めてもよい。
メモリ110は、主にデータを記憶するデータメモリ120と主にプログラムを記憶するプログラムメモリ140を有している。なお、データメモリ120、プログラムメモリ140には、図示している情報、モジュールのプログラムの他、本コンピュータを起動するためのOS等のプログラム、モジュールの実行において適宜変化するパラメータ等のデータが格納されていてもよい。
メモリ110は、主にデータを記憶するデータメモリ120と主にプログラムを記憶するプログラムメモリ140を有している。なお、データメモリ120、プログラムメモリ140には、図示している情報、モジュールのプログラムの他、本コンピュータを起動するためのOS等のプログラム、モジュールの実行において適宜変化するパラメータ等のデータが格納されていてもよい。
【0025】
出力装置185は、例えば、表示装置187、印刷装置189等を有している。液晶ディスプレイ、有機ELディスプレイ、3次元ディスプレイ、プロジェクター等の表示装置187は、プロセッサ105による処理結果、データメモリ120内のデータ等を、テキストやイメージ情報等として表示する。プリンタ、複合機等の印刷装置189は、プロセッサ105による処理結果、データメモリ120内のデータ等を印刷する。また、出力装置185として、スピーカー、機器を振動させるアクチュエータ等を含んでいてもよい。
受付装置190は、例えば、指示受付装置192、文書読取装置194等を有している。キーボード、マウス、マイク、カメラ(視線検知カメラ等を含む)等の指示受付装置192は、これらに対する利用者の操作(動作、音声、視線等を含む)に基づいたデータを受け付ける。
また、タッチスクリーンのように、表示装置187と指示受付装置192の両方の機能を備えているものがあってもよい。その場合、キーボードの機能の実現について、物理的なキーが存在しなくても、タッチスクリーン上にソフトウェアでキーボード(いわゆるソフトウェアキーボード、スクリーンキーボード等ともいわれる)を描画して、キーボードの機能を実現するようにしてもよい。
なお、ユーザーインタフェースとして、主に、表示装置187、指示受付装置192が用いられる。
スキャナ、カメラ等の文書読取装置194は、文書を読み取り又は撮影して、発生する画像データを受け付ける。
通信装置195は、通信回線を介して他の装置と接続するためのネットワークカード等の通信回線インタフェースである。
受付装置190は、例えば、指示受付装置192、文書読取装置194等を有している。キーボード、マウス、マイク、カメラ(視線検知カメラ等を含む)等の指示受付装置192は、これらに対する利用者の操作(動作、音声、視線等を含む)に基づいたデータを受け付ける。
また、タッチスクリーンのように、表示装置187と指示受付装置192の両方の機能を備えているものがあってもよい。その場合、キーボードの機能の実現について、物理的なキーが存在しなくても、タッチスクリーン上にソフトウェアでキーボード(いわゆるソフトウェアキーボード、スクリーンキーボード等ともいわれる)を描画して、キーボードの機能を実現するようにしてもよい。
なお、ユーザーインタフェースとして、主に、表示装置187、指示受付装置192が用いられる。
スキャナ、カメラ等の文書読取装置194は、文書を読み取り又は撮影して、発生する画像データを受け付ける。
通信装置195は、通信回線を介して他の装置と接続するためのネットワークカード等の通信回線インタフェースである。
【0026】
本実施の形態のうち、コンピュータ・プログラムによるものについては、本ハードウェア構成のプログラムメモリ140にソフトウェアであるコンピュータ・プログラムを読み込ませ、ソフトウェアとハードウェア資源とが協働して、本実施の形態が実現される。つまり、ソフトウェアによる情報処理がハードウェア資源(少なくともプロセッサ105、メモリ110、場合によっては出力装置185、受付装置190、通信装置195を含む)を用いて、本実施の形態が具体的に実現されており、全体として自然法則を利用している。
なお、図1に示すハードウェア構成は、1つの構成例を示すものであり、本実施の形態は、図1に示す構成に限らず、本実施の形態において説明したモジュールを実行可能な構成であればよい。例えば、プロセッサ105として、GPU(Graphics Processing Unitの略、GPGPU(General-Purpose computing on Graphics Processing Unitsの略)を含む)を用いてもよいし、一部のモジュールの実行を専用のハードウェア(例えば特定用途向け集積回路(具体例として、ASIC(Application Specific Integrated Circuitの略)等がある)や再構成可能な集積回路(具体例として、FPGA(Field-Programmable Gate Arrayの略)等がある)で構成してもよく、一部のモジュールは外部のシステム内にあり通信回線で接続している形態でもよく、さらに図1に示すシステムが複数互いに通信回線によって接続されていて互いに協調動作するようにしてもよい。また、特に、パーソナルコンピュータの他、携帯情報通信機器(携帯電話、スマートフォン、モバイル機器、ウェアラブルコンピュータ等を含む)、情報家電、ロボット、複写機、ファックス、スキャナ、プリンタ、複合機(スキャナ、プリンタ、複写機、ファックス等のいずれか2つ以上の機能を有している画像処理装置)等に組み込まれていてもよい。
なお、図1に示すハードウェア構成は、1つの構成例を示すものであり、本実施の形態は、図1に示す構成に限らず、本実施の形態において説明したモジュールを実行可能な構成であればよい。例えば、プロセッサ105として、GPU(Graphics Processing Unitの略、GPGPU(General-Purpose computing on Graphics Processing Unitsの略)を含む)を用いてもよいし、一部のモジュールの実行を専用のハードウェア(例えば特定用途向け集積回路(具体例として、ASIC(Application Specific Integrated Circuitの略)等がある)や再構成可能な集積回路(具体例として、FPGA(Field-Programmable Gate Arrayの略)等がある)で構成してもよく、一部のモジュールは外部のシステム内にあり通信回線で接続している形態でもよく、さらに図1に示すシステムが複数互いに通信回線によって接続されていて互いに協調動作するようにしてもよい。また、特に、パーソナルコンピュータの他、携帯情報通信機器(携帯電話、スマートフォン、モバイル機器、ウェアラブルコンピュータ等を含む)、情報家電、ロボット、複写機、ファックス、スキャナ、プリンタ、複合機(スキャナ、プリンタ、複写機、ファックス等のいずれか2つ以上の機能を有している画像処理装置)等に組み込まれていてもよい。
【0027】
プロセッサ105は、バス198を介してメモリ110、出力装置185、受付装置190、通信装置195と接続されている。プロセッサ105は、プログラムメモリ140内のプログラムである各モジュールの実行シーケンスを記述したコンピュータ・プログラムにしたがった処理を実行する。例えば、指示受付装置192がユーザーの操作を受け付けたことを契機として、プログラムメモリ140内のその操作に対応するモジュールによる処理を実行し、その処理結果をデータメモリ120に記憶させたり、表示装置187に出力したり、通信装置195を制御して他の装置に送信したりする。
【0028】
メモリ110は、データメモリ120、プログラムメモリ140を有しており、バス198を介してプロセッサ105、出力装置185、受付装置190、通信装置195と接続されている。
データメモリ120は、グループ情報記憶モジュール122を有している。
グループ情報記憶モジュール122は、グループに関する情報を記憶している。グループに関する情報として、グループに属しているユーザーを管理するために、グループとユーザーを対応させて記憶している。また、さらにユーザーが利用する情報処理装置100を管理するために、グループとユーザーと情報処理装置100を対応させて記憶していてもよい。なお、グループ情報記憶モジュール122内のデータは、グループ管理サーバー230から取得し、また、逆に、グループ情報記憶モジュール122内のデータが更新された場合は、グループ管理サーバー230に送信して、グループ管理サーバー230内のデータを更新する。
さらに、グループ情報記憶モジュール122は、グループに関する情報として、情報処理装置100とグループを対応付けている情報を記憶していてもよい。情報処理装置100とグループの対応は、グループが利用できる情報処理装置100を管理するために用いる。
データメモリ120は、グループ情報記憶モジュール122を有している。
グループ情報記憶モジュール122は、グループに関する情報を記憶している。グループに関する情報として、グループに属しているユーザーを管理するために、グループとユーザーを対応させて記憶している。また、さらにユーザーが利用する情報処理装置100を管理するために、グループとユーザーと情報処理装置100を対応させて記憶していてもよい。なお、グループ情報記憶モジュール122内のデータは、グループ管理サーバー230から取得し、また、逆に、グループ情報記憶モジュール122内のデータが更新された場合は、グループ管理サーバー230に送信して、グループ管理サーバー230内のデータを更新する。
さらに、グループ情報記憶モジュール122は、グループに関する情報として、情報処理装置100とグループを対応付けている情報を記憶していてもよい。情報処理装置100とグループの対応は、グループが利用できる情報処理装置100を管理するために用いる。
【0029】
プログラムメモリ140は、グループ加入操作検知モジュール142、認証制御モジュール144、グループ加入モジュール146を記憶している。
グループ加入操作検知モジュール142は、指示受付装置192に対して、ユーザーによって、機器又はサービスを利用することが可能なグループへの加入の操作が行われたことを検知する。例えば、表示装置187に「グループXへの加入」ボタンを表示させ、そのボタンが選択されたことを、グループ加入操作検知モジュール142が検知する。
グループ加入操作検知モジュール142は、指示受付装置192に対して、ユーザーによって、機器又はサービスを利用することが可能なグループへの加入の操作が行われたことを検知する。例えば、表示装置187に「グループXへの加入」ボタンを表示させ、そのボタンが選択されたことを、グループ加入操作検知モジュール142が検知する。
【0030】
認証制御モジュール144は、機器又はサービスを利用することが可能なグループへの加入の操作がユーザーによって行われた場合は、認証機を用いた生体認証を利用した認証サーバーによる認証の処理を行わせる。つまり、グループ加入操作検知モジュール142によって、ユーザーによるグループへの加入の操作を検知した場合は、ユーザーが所有している認証機を用いた生体認証を利用した認証サーバーによる認証の処理を行わせる。この認証として、生体認証を用いたものであればよい。例えば、FIDO認証を用いてもよい。「FIDO認証」は、認証技術のひとつであり、FIDO Allianceによって策定された規格に準拠したものである。なお、「FIDO」は、Fast IDentity Onlineの略である。FIDO認証を用いた場合、情報処理装置100は、FIDOクライアントとしての役割を有する。「FIDOクライアント」は、認証サーバーである認証サーバー/サービスサーバー220と認証機とが接続するにあたって、両者の間に位置するものであり、認証サーバー/サービスサーバー220からの認証用パラメータを認証機に渡し、認証機にアサーションを生成させ、そのアサーションを認証サーバー/サービスサーバー220に送信する役割を有している。FIDOクライアントの詳細な処理内容については、図3~図4の例を用いて後述する。ここでの生体情報として、例えば、ユーザーの指紋、静脈、顔、網膜、虹彩、手のひらの静脈パターン等がある。
【0031】
グループ加入モジュール146は、認証サーバーによるユーザーの認証が成功した場合は、グループを管理しているグループ管理サーバーに対して、ユーザーをそのグループに加入させる処理を行わせる。
ユーザーをグループに加入させる条件として、さらに、そのユーザーが用いている認証機が予め定められた認証機であることを付加してもよい。「予め定められた認証機」として、例えば、加入しようとしているグループで利用されている認証機としてもよい。
ユーザーをグループに加入させる条件として、さらに、そのユーザーが用いている認証機が予め定められた認証機であることを付加してもよい。「予め定められた認証機」として、例えば、加入しようとしているグループで利用されている認証機としてもよい。
【0032】
さらに、認証制御モジュール144は、認証サーバーによる認証が成功した場合は、グループに既に加入している第2のユーザーについて、認証機を用いた生体認証を利用した認証サーバーによる認証の処理を行わせるようにしてもよい。つまり、グループに加入しようとしているユーザーの認証が済んだ後に、もう1人(少なくとも1人)の認証を、グループ加入の条件として付加したものである。「もう1人」は、加入しようとしているグループのグループ員であり、ここでは第2のユーザーである。
この場合、グループ加入モジュール146は、認証サーバーによる第2のユーザーの認証が成功した場合は、グループ管理サーバーに対して、加入を希望しているユーザーをグループに加入させる処理を行わせるようにしてもよい。
特に、第2のユーザーは予め定められたユーザーであることを条件として、グループ管理サーバーに対して、加入を希望しているユーザーをグループに加入させる処理を行わせるようにしてもよい。
ここで「予め定められたユーザー(つまり、第2のユーザー)」として、新規のユーザーが加入しようとしているグループを構成しているユーザーであることの他に、グループへの加入を許可する役割を有しているユーザーであることを意味している。例えば、グループの管理者、グループのリーダー、又は、新規のユーザーの上司(この上司もグループの一員である)等が該当する。なお、予め定められたユーザーであるか否かは、ユーザーとそのユーザーの役割(管理者等)を対応させて管理するデータを用いて、判断すればよい。
この場合、グループ加入モジュール146は、認証サーバーによる第2のユーザーの認証が成功した場合は、グループ管理サーバーに対して、加入を希望しているユーザーをグループに加入させる処理を行わせるようにしてもよい。
特に、第2のユーザーは予め定められたユーザーであることを条件として、グループ管理サーバーに対して、加入を希望しているユーザーをグループに加入させる処理を行わせるようにしてもよい。
ここで「予め定められたユーザー(つまり、第2のユーザー)」として、新規のユーザーが加入しようとしているグループを構成しているユーザーであることの他に、グループへの加入を許可する役割を有しているユーザーであることを意味している。例えば、グループの管理者、グループのリーダー、又は、新規のユーザーの上司(この上司もグループの一員である)等が該当する。なお、予め定められたユーザーであるか否かは、ユーザーとそのユーザーの役割(管理者等)を対応させて管理するデータを用いて、判断すればよい。
【0033】
また、認証制御モジュール144は、機器又はサービスを利用することが可能な第2のグループへの加入の操作がユーザーによって行われた場合は、認証機を用いた生体認証を利用した認証サーバーによる認証の処理を行わせるようにしてもよい。
そして、認証制御モジュール144は、認証サーバーによるユーザーの認証が失敗した場合は、第2のグループに既に加入している第3のユーザーについて、認証機を用いた生体認証を利用した認証サーバーによる認証の処理を行わせるようにしてもよい。
次に、グループ加入モジュール146は、認証サーバーによる第3のユーザーの認証が成功した場合は、グループ管理サーバーに対して、ユーザーを第2のグループに加入させる処理を行わせるようにしてもよい。
また、ここで既にユーザーが認証サーバーに登録されている旨の通知を受け取った場合は、認証サーバーによるユーザーの認証が失敗した場合として扱うようにしてもよい。
その場合、第3のユーザーは予め定められたユーザーであることを条件として、グループ管理サーバーに対して、ユーザーを第2のグループに加入させる処理を行わせるようにしてもよい。
ここで「予め定められたユーザー(つまり、第3のユーザー)」として、新規のユーザーが加入しようとしている第2のグループを構成しているユーザーであることの他に、第2のグループへの加入を許可する役割を有しているユーザーであることを意味している。例えば、第2のグループの管理者、第2のグループのリーダー、又は、新規のユーザーの上司(この上司も第2のグループの一員である)等が該当する。なお、予め定められたユーザーであるか否かは、ユーザーとそのユーザーの役割(管理者等)を対応させて管理するデータを用いて、判断すればよい。
そして、認証制御モジュール144は、認証サーバーによるユーザーの認証が失敗した場合は、第2のグループに既に加入している第3のユーザーについて、認証機を用いた生体認証を利用した認証サーバーによる認証の処理を行わせるようにしてもよい。
次に、グループ加入モジュール146は、認証サーバーによる第3のユーザーの認証が成功した場合は、グループ管理サーバーに対して、ユーザーを第2のグループに加入させる処理を行わせるようにしてもよい。
また、ここで既にユーザーが認証サーバーに登録されている旨の通知を受け取った場合は、認証サーバーによるユーザーの認証が失敗した場合として扱うようにしてもよい。
その場合、第3のユーザーは予め定められたユーザーであることを条件として、グループ管理サーバーに対して、ユーザーを第2のグループに加入させる処理を行わせるようにしてもよい。
ここで「予め定められたユーザー(つまり、第3のユーザー)」として、新規のユーザーが加入しようとしている第2のグループを構成しているユーザーであることの他に、第2のグループへの加入を許可する役割を有しているユーザーであることを意味している。例えば、第2のグループの管理者、第2のグループのリーダー、又は、新規のユーザーの上司(この上司も第2のグループの一員である)等が該当する。なお、予め定められたユーザーであるか否かは、ユーザーとそのユーザーの役割(管理者等)を対応させて管理するデータを用いて、判断すればよい。
【0034】
なお、グループ加入モジュール146による処理は、加入しようとしているグループが利用できる情報処理装置100における処理としてもよい。具体的には、グループ情報記憶モジュール122内の「情報処理装置100とグループを対応付けている情報」を用いて、本情報処理装置100を利用できるグループを抽出し、情報処理装置100を操作しているユーザーにそのグループを提示し、ユーザーが選択したグループへの加入の処理としてもよい。
【0035】
図2は、本実施の形態を利用したシステム構成例を示す説明図である。
画像処理装置200、認証サーバー/サービスサーバー220、グループ管理サーバー230、機器認証サーバー240は、通信回線290を介してそれぞれ接続されている。通信回線290は、無線、有線、これらの組み合わせであってもよく、例えば、通信インフラとしてのインターネット、イントラネット等であってもよい。また、認証サーバー/サービスサーバー220、グループ管理サーバー230、機器認証サーバー240による機能は、クラウドサービスとして実現してもよい。
画像処理装置200は、情報処理装置100の一実施形態である。ここでは、画像処理装置200は、情報処理装置100の機能を有しており、FIDO認証におけるFIDOクライアントとしての機能を有している複合機である。
認証サーバー/サービスサーバー220は、ユーザー250の認証を行う。例えば、FIDO認証におけるRP(Relying Partyの略)サーバーとしてもよい。具体的には、ユーザー250が画像処理装置200と認証機210を用いてFIDO認証ができるように、FIDOサーバーとWebサーバーを実装し、所定のWebアプリケーションを公開している。
グループ管理サーバー230は、グループを管理している。グループ、そのグループに加入しているグループ員を管理する。例えば、組織の人事管理サーバー等が該当する。
機器認証サーバー240は、機器認証サーバー240に登録されている画像処理装置200等を一意に特定するために、認証トークンを用いた機器認証を行うために用意されたサーバーである。機器認証サーバー240は、認証サーバー/サービスサーバー220に対して適切な画像処理装置200を保証するために、認証サーバー/サービスサーバー220と連携している。
認証機210(Authenticator)は、ユーザー250の生体を認証する機器である。例えば、携帯端末であるスマートフォン、ウェアラブルコンピュータ等が該当する。
画像処理装置200、認証サーバー/サービスサーバー220、グループ管理サーバー230、機器認証サーバー240は、通信回線290を介してそれぞれ接続されている。通信回線290は、無線、有線、これらの組み合わせであってもよく、例えば、通信インフラとしてのインターネット、イントラネット等であってもよい。また、認証サーバー/サービスサーバー220、グループ管理サーバー230、機器認証サーバー240による機能は、クラウドサービスとして実現してもよい。
画像処理装置200は、情報処理装置100の一実施形態である。ここでは、画像処理装置200は、情報処理装置100の機能を有しており、FIDO認証におけるFIDOクライアントとしての機能を有している複合機である。
認証サーバー/サービスサーバー220は、ユーザー250の認証を行う。例えば、FIDO認証におけるRP(Relying Partyの略)サーバーとしてもよい。具体的には、ユーザー250が画像処理装置200と認証機210を用いてFIDO認証ができるように、FIDOサーバーとWebサーバーを実装し、所定のWebアプリケーションを公開している。
グループ管理サーバー230は、グループを管理している。グループ、そのグループに加入しているグループ員を管理する。例えば、組織の人事管理サーバー等が該当する。
機器認証サーバー240は、機器認証サーバー240に登録されている画像処理装置200等を一意に特定するために、認証トークンを用いた機器認証を行うために用意されたサーバーである。機器認証サーバー240は、認証サーバー/サービスサーバー220に対して適切な画像処理装置200を保証するために、認証サーバー/サービスサーバー220と連携している。
認証機210(Authenticator)は、ユーザー250の生体を認証する機器である。例えば、携帯端末であるスマートフォン、ウェアラブルコンピュータ等が該当する。
【0036】
ユーザー250Aは、認証機210Aを所持している。画像処理装置200と認証機210Aは、通信回線を介して接続されている。
ユーザー250Bは、認証機210Bを所持している。画像処理装置200と認証機210Bは、通信回線を介して接続されている。
ユーザー250Aは、グループXのグループ員ではなく、グループXに加入しようとしている。ユーザー250Bは、グループXのグループ員である。
ユーザー250Aが、自らをグループXに加入させるための操作を行う。つまり、グループXへの加入の起点は、ユーザー250A自身による操作であって、グループXの管理者による操作を必要としない。そして、認証機210Aを用いてユーザー250Aの生体認証を行い、その結果を認証サーバー/サービスサーバー220へ送信し、認証サーバー/サービスサーバー220でのユーザー250Aの認証が成功したならば、グループ管理サーバー230を用いてユーザー250AをグループXへ加入させる。もちろんのことながら、認証サーバー/サービスサーバー220でのユーザー250Aの認証が失敗したならば、ユーザー250AのグループXへの加入はさせない。
さらに、ユーザー250AのグループXへの加入条件として、ユーザー250Aの認証の他に、グループXのグループ員であるユーザー250Bの認証を必要としてもよい。具体的には、ユーザー250Aの認証が済んだ後に、ユーザー250Bの認証を必要とするものである。認証機210Bを用いてユーザー250Bの生体認証を行い、その結果を認証サーバー/サービスサーバー220へ送信し、認証サーバー/サービスサーバー220でのユーザー250Bの認証が成功したならば、グループ管理サーバー230を用いてユーザー250AをグループXへ加入させる。もちろんのことながら、認証サーバー/サービスサーバー220でのユーザー250Bの認証が失敗したならば、ユーザー250AのグループXへの加入はさせない。
ユーザー250Bは、認証機210Bを所持している。画像処理装置200と認証機210Bは、通信回線を介して接続されている。
ユーザー250Aは、グループXのグループ員ではなく、グループXに加入しようとしている。ユーザー250Bは、グループXのグループ員である。
ユーザー250Aが、自らをグループXに加入させるための操作を行う。つまり、グループXへの加入の起点は、ユーザー250A自身による操作であって、グループXの管理者による操作を必要としない。そして、認証機210Aを用いてユーザー250Aの生体認証を行い、その結果を認証サーバー/サービスサーバー220へ送信し、認証サーバー/サービスサーバー220でのユーザー250Aの認証が成功したならば、グループ管理サーバー230を用いてユーザー250AをグループXへ加入させる。もちろんのことながら、認証サーバー/サービスサーバー220でのユーザー250Aの認証が失敗したならば、ユーザー250AのグループXへの加入はさせない。
さらに、ユーザー250AのグループXへの加入条件として、ユーザー250Aの認証の他に、グループXのグループ員であるユーザー250Bの認証を必要としてもよい。具体的には、ユーザー250Aの認証が済んだ後に、ユーザー250Bの認証を必要とするものである。認証機210Bを用いてユーザー250Bの生体認証を行い、その結果を認証サーバー/サービスサーバー220へ送信し、認証サーバー/サービスサーバー220でのユーザー250Bの認証が成功したならば、グループ管理サーバー230を用いてユーザー250AをグループXへ加入させる。もちろんのことながら、認証サーバー/サービスサーバー220でのユーザー250Bの認証が失敗したならば、ユーザー250AのグループXへの加入はさせない。
【0037】
さらに、ユーザー250Aが、グループXに加入した後に、別のグループYに加入しようとした場合も、同じような処理を行うようにしてもよい。つまり、グループYへの加入の起点は、ユーザー250A自身による操作であって、グループYの管理者による操作を必要としない。
ただし、その場合、ユーザー250AはグループXに既に加入しているので、認証サーバー/サービスサーバー220では登録済みとなっている。そのため、認証サーバー/サービスサーバー220から登録済みである旨の通知を受けた場合は、グループYのグループ員の認証を必要としてもよい。
ただし、その場合、ユーザー250AはグループXに既に加入しているので、認証サーバー/サービスサーバー220では登録済みとなっている。そのため、認証サーバー/サービスサーバー220から登録済みである旨の通知を受けた場合は、グループYのグループ員の認証を必要としてもよい。
【0038】
図3、図4を用いて、本実施の形態で用いるFIDO認証技術について説明する。
図3は、前提技術(FIDO認証技術)の例を示す説明図である。図4は、前提技術(FIDO認証技術)による処理例を示すフローチャートである。
図3は、前提技術(FIDO認証技術)の例を示す説明図である。図4は、前提技術(FIDO認証技術)による処理例を示すフローチャートである。
【0039】
画像処理装置300が仲介して、認証機310と認証サーバー/サービスサーバー320の間でFIDO認証が行われる。
認証機310と画像処理装置300の間は、例えば、USB、BLE(Bluetooth Low Energyの略)、NFC(Near Field Communicationの略)等によって接続されている。
認証機310と画像処理装置300の間は、例えば、USB、BLE(Bluetooth Low Energyの略)、NFC(Near Field Communicationの略)等によって接続されている。
【0040】
ステップS402では、画像処理装置300は、ユーザー350に対して認証画面を表示して、認証サーバー/サービスサーバー320に対して認証開始を要求する。
ステップS404では、認証サーバー/サービスサーバー320は、画像処理装置300に対して、FIDO認証におけるチャレンジを送信する。チャレンジとは、認証サーバー/サービスサーバー320が生成したランダム(疑似乱数を含む)な文字列である。
ステップS404では、認証サーバー/サービスサーバー320は、画像処理装置300に対して、FIDO認証におけるチャレンジを送信する。チャレンジとは、認証サーバー/サービスサーバー320が生成したランダム(疑似乱数を含む)な文字列である。
【0041】
ステップS406では、画像処理装置300は、認証機310に対して、FIDO認証におけるアサーションを要求する。アサーションとは、検証結果の証明書であり、具体的には、署名付きチャレンジである。
ステップS408では、ユーザー350は、認証機310を用いて、生体情報を用いたユーザー認証を行う。ここでの生体情報として、例えば、ユーザー350の指紋、顔、網膜、虹彩、手のひらの静脈パターン等がある。
ステップS408では、ユーザー350は、認証機310を用いて、生体情報を用いたユーザー認証を行う。ここでの生体情報として、例えば、ユーザー350の指紋、顔、網膜、虹彩、手のひらの静脈パターン等がある。
【0042】
ステップS410では、認証機310は、画像処理装置300に対して、FIDO認証におけるアサーションを送信する。
ステップS412では、画像処理装置300は、ステップS410で受信したアサーションを、認証サーバー/サービスサーバー320に対して送信する。
ステップS414では、認証サーバー/サービスサーバー320は、ステップS404で送信したチャレンジ及びステップS412で受信したアサーションを用いて認証を行い、画像処理装置300に対して、認証結果を送信する。
ステップS412では、画像処理装置300は、ステップS410で受信したアサーションを、認証サーバー/サービスサーバー320に対して送信する。
ステップS414では、認証サーバー/サービスサーバー320は、ステップS404で送信したチャレンジ及びステップS412で受信したアサーションを用いて認証を行い、画像処理装置300に対して、認証結果を送信する。
【0043】
生体認証を含む認証システムとして、FIDO認証技術がある。
生体認証で用いられる指紋や静脈といった生体情報は、外部に情報が流出してしまった場合に、IDとパスワードによる認証におけるパスワードと異なり情報を書き換えることができないため、情報漏洩が致命的になる。
これに対して、FIDO認証技術では生体情報を用いた認証作業を、インターネット等の通信回線を経由してサーバー上で行うのではなく、ユーザーの手元にある認証機上で行うため、生体情報が通信回線上に流れることがなく、情報漏洩のリスクが少ないといえる。なお、通信回線を経由したサーバーでは、認証機で行われた認証作業の結果を用いたチャレンジ・レスポンス方式による認証を行う。
このような、生体情報が通信回線上に流出する懸念が低い、特殊な認証の仕組みにおいては、生体情報は認証を行う認証機内のセキュアな領域で厳密に管理される。
従来から、オフィスや公共の場で、セキュリティを担保するために、認証を行った上でネットワークサービスを利用できる機器上で、ユーザーに対してサービスを提供するシステムが存在する。
ネットワークサービスをユーザーに提供するために設置された画像処理装置を含むシステムでの認証に、前述のFIDO認証技術のような特殊な認証の仕組みを適用した場合を想定する。
このような仕組みでは、仕様上、ユーザーは認証が成功した場合であればどこに設置された画像処理装置でもサービス提供を受けられることになる。
例えば、提供サービスによって出力されるデータが機密などである場合には、提供する画像処理装置を、設置場所や機器性能などの条件に応じて制限したい場合がある。そのために、事前にユーザーIDとグループID、グループIDとデバイスIDの管理テーブルをグループ管理サーバーに持たせることで、ユーザーが使用可能なデバイスを制限することが可能である。
しかしながら、ユーザーの出入りが多い職場において、このような技術を用いた場合、管理者による管理テーブルの更新の頻度が高く、その都度ユーザーの追加が必要となり、管理者の手間がかかってしまう。
本実施の形態では、管理テーブルへのユーザー追加を自動で行うものである。
生体認証で用いられる指紋や静脈といった生体情報は、外部に情報が流出してしまった場合に、IDとパスワードによる認証におけるパスワードと異なり情報を書き換えることができないため、情報漏洩が致命的になる。
これに対して、FIDO認証技術では生体情報を用いた認証作業を、インターネット等の通信回線を経由してサーバー上で行うのではなく、ユーザーの手元にある認証機上で行うため、生体情報が通信回線上に流れることがなく、情報漏洩のリスクが少ないといえる。なお、通信回線を経由したサーバーでは、認証機で行われた認証作業の結果を用いたチャレンジ・レスポンス方式による認証を行う。
このような、生体情報が通信回線上に流出する懸念が低い、特殊な認証の仕組みにおいては、生体情報は認証を行う認証機内のセキュアな領域で厳密に管理される。
従来から、オフィスや公共の場で、セキュリティを担保するために、認証を行った上でネットワークサービスを利用できる機器上で、ユーザーに対してサービスを提供するシステムが存在する。
ネットワークサービスをユーザーに提供するために設置された画像処理装置を含むシステムでの認証に、前述のFIDO認証技術のような特殊な認証の仕組みを適用した場合を想定する。
このような仕組みでは、仕様上、ユーザーは認証が成功した場合であればどこに設置された画像処理装置でもサービス提供を受けられることになる。
例えば、提供サービスによって出力されるデータが機密などである場合には、提供する画像処理装置を、設置場所や機器性能などの条件に応じて制限したい場合がある。そのために、事前にユーザーIDとグループID、グループIDとデバイスIDの管理テーブルをグループ管理サーバーに持たせることで、ユーザーが使用可能なデバイスを制限することが可能である。
しかしながら、ユーザーの出入りが多い職場において、このような技術を用いた場合、管理者による管理テーブルの更新の頻度が高く、その都度ユーザーの追加が必要となり、管理者の手間がかかってしまう。
本実施の形態では、管理テーブルへのユーザー追加を自動で行うものである。
【0044】
図5A~Cは、本実施の形態による処理例を示すフローチャートである。
認証機210から、画像処理装置200を経由し、認証サーバー/サービスサーバー220へ登録する手順とすることで、認証サーバー/サービスサーバー220にユーザーIDとデバイスIDを送ることができる。ユーザーIDは、本実施の形態においてユーザーを一意に特定する情報であり、デバイスIDは、本実施の形態において画像処理装置200を一意に特定する情報である。
認証サーバー/サービスサーバー220は受信したユーザーIDとデバイスIDをグループ管理サーバー230に送信する。
認証サーバー/サービスサーバー220は受信したデバイスIDをもとにグループIDを特定し、そのグループIDにそのユーザーIDを関連付ける。
なお、認証サーバー/サービスサーバー220にユーザーIDはすでに登録されているとする。また、ネットワークサービスとして印刷サービスを行う例を示す。もちろんのことながら、現在(少なくともステップS502の時)、ユーザー250は、いずれのグループにも属していない状況である。
認証機210から、画像処理装置200を経由し、認証サーバー/サービスサーバー220へ登録する手順とすることで、認証サーバー/サービスサーバー220にユーザーIDとデバイスIDを送ることができる。ユーザーIDは、本実施の形態においてユーザーを一意に特定する情報であり、デバイスIDは、本実施の形態において画像処理装置200を一意に特定する情報である。
認証サーバー/サービスサーバー220は受信したユーザーIDとデバイスIDをグループ管理サーバー230に送信する。
認証サーバー/サービスサーバー220は受信したデバイスIDをもとにグループIDを特定し、そのグループIDにそのユーザーIDを関連付ける。
なお、認証サーバー/サービスサーバー220にユーザーIDはすでに登録されているとする。また、ネットワークサービスとして印刷サービスを行う例を示す。もちろんのことながら、現在(少なくともステップS502の時)、ユーザー250は、いずれのグループにも属していない状況である。
【0045】
ステップS502~S518は、ユーザー250のグループへの登録シーケンスである。
ステップS502では、画像処理装置200は、認証サーバー/サービスサーバー220に対して、生体情報の登録を要求する。具体的には、ユーザー250は認証機210をもって、画像処理装置200から生体情報の登録処理を開始する。画像処理装置200は、ユーザーIDとともに生体情報登録要求を、認証サーバー/サービスサーバー220に送信する。
ステップS504では、認証サーバー/サービスサーバー220は、画像処理装置200に対して、チャレンジを送信する。ここでのチャレンジとは、認証サーバー/サービスサーバー220が生成したランダム(疑似乱数を含む)な文字列である。
ステップS502では、画像処理装置200は、認証サーバー/サービスサーバー220に対して、生体情報の登録を要求する。具体的には、ユーザー250は認証機210をもって、画像処理装置200から生体情報の登録処理を開始する。画像処理装置200は、ユーザーIDとともに生体情報登録要求を、認証サーバー/サービスサーバー220に送信する。
ステップS504では、認証サーバー/サービスサーバー220は、画像処理装置200に対して、チャレンジを送信する。ここでのチャレンジとは、認証サーバー/サービスサーバー220が生成したランダム(疑似乱数を含む)な文字列である。
【0046】
ステップS506では、画像処理装置200は、認証機210に対して、ステップS504で受信したチャレンジとともに認証パラメータの要求を送信する。ここでの認証パラメータは、アサーションとも呼ばれているものであり、検証結果の証明書であり、具体的には、署名付きチャレンジである。
ステップS508では、認証機210は、画像処理装置200に対して、認証パラメータを送信する。具体的には、認証機210は、ユーザー250の生体認証を行う。認証が成功すると、認証パラメータを作成し、画像処理装置200に送信する。
ステップS508では、認証機210は、画像処理装置200に対して、認証パラメータを送信する。具体的には、認証機210は、ユーザー250の生体認証を行う。認証が成功すると、認証パラメータを作成し、画像処理装置200に送信する。
【0047】
ステップS510では、画像処理装置200は、認証サーバー/サービスサーバー220に対して、認証パラメータと共にレスポンスを送信する。
ステップS512では、認証サーバー/サービスサーバー220は、画像処理装置200に対して、登録成功を通知する。具体的には、認証サーバー/サービスサーバー220は、ユーザーIDにステップS510で受信した認証パラメータを関連付けて保存し、登録成功通知を画像処理装置200に送信する。
ステップS512では、認証サーバー/サービスサーバー220は、画像処理装置200に対して、登録成功を通知する。具体的には、認証サーバー/サービスサーバー220は、ユーザーIDにステップS510で受信した認証パラメータを関連付けて保存し、登録成功通知を画像処理装置200に送信する。
【0048】
ステップS514では、画像処理装置200は、グループ管理サーバー230に対して、ユーザーID、デバイスIDを送信する。登録成功通知を受信した画像処理装置200は、ユーザーIDと、画像処理装置200毎に割り振られているデバイスIDと共にグループ管理サーバー230にユーザー・グループの関連付け要求を送信する。
ステップS516では、グループ管理サーバー230は、ユーザーIDを、デバイスIDに対応するグループIDに追加する。具体的には、グループ管理サーバー230は、ステップS514で受信したデバイスIDに関連するグループIDを取り出し、そのグループIDをステップS514で受信したユーザーIDに関連付ける。
ステップS518では、グループ管理サーバー230は、画像処理装置200に対して、追加完了を通知する。
ステップS516では、グループ管理サーバー230は、ユーザーIDを、デバイスIDに対応するグループIDに追加する。具体的には、グループ管理サーバー230は、ステップS514で受信したデバイスIDに関連するグループIDを取り出し、そのグループIDをステップS514で受信したユーザーIDに関連付ける。
ステップS518では、グループ管理サーバー230は、画像処理装置200に対して、追加完了を通知する。
【0049】
ステップS552~S596は、ユーザー250の認証シーケンスである。つまり、ステップS502からステップS518の手順で登録を行った認証用パラメータ、ユーザーIDとグループIDとの関連付け情報を使って、ユーザーが使用可能な画像処理装置200を制限する方法である。
ステップS552では、画像処理装置200は、認証サーバー/サービスサーバー220にアクセスし、ドキュメントを要求する。
ステップS554では、認証サーバー/サービスサーバー220は、認証用パラメータを生成する。
ステップS552では、画像処理装置200は、認証サーバー/サービスサーバー220にアクセスし、ドキュメントを要求する。
ステップS554では、認証サーバー/サービスサーバー220は、認証用パラメータを生成する。
【0050】
ステップS556では、認証サーバー/サービスサーバー220は、画像処理装置200に対して、認証用パラメータを返却する。
ステップS558では、画像処理装置200は、認証機210に対して、生体認証を要求する。
ステップS558では、画像処理装置200は、認証機210に対して、生体認証を要求する。
【0051】
ステップS560では、認証機210は、生体認証処理を行う。
ステップS562では、認証機210は、画像処理装置200に対して、アサーションを送信する。
ステップS562では、認証機210は、画像処理装置200に対して、アサーションを送信する。
【0052】
ステップS564では、画像処理装置200は、機器認証サーバー240に対して、機器認証を要求する。
ステップS566では、機器認証サーバー240は、機器認証処理を行う。
ステップS566では、機器認証サーバー240は、機器認証処理を行う。
【0053】
ステップS568では、機器認証サーバー240は、画像処理装置200に対して、認証トークンを返却する。
ステップS570では、画像処理装置200は、認証サーバー/サービスサーバー220に対して、アサーションと認証トークンの組み合わせを送信する。
ステップS570では、画像処理装置200は、認証サーバー/サービスサーバー220に対して、アサーションと認証トークンの組み合わせを送信する。
【0054】
ステップS572では、認証サーバー/サービスサーバー220は、アサーションを検証する。
ステップS574では、認証サーバー/サービスサーバー220は、機器認証サーバー240に対して、認証トークンの検証を要求する。
ステップS574では、認証サーバー/サービスサーバー220は、機器認証サーバー240に対して、認証トークンの検証を要求する。
【0055】
ステップS576では、機器認証サーバー240は、トークンを検証する。
ステップS578では、機器認証サーバー240は、認証サーバー/サービスサーバー220に対して、機器情報を返却する。
ステップS578では、機器認証サーバー240は、認証サーバー/サービスサーバー220に対して、機器情報を返却する。
【0056】
ステップS580では、認証サーバー/サービスサーバー220は、グループ管理サーバー230に対して、グループ確認を要求する。
ステップS582では、グループ管理サーバー230は、ユーザーID、デバイスIDから、グループIDが一致するかを確認する。
ステップS582では、グループ管理サーバー230は、ユーザーID、デバイスIDから、グループIDが一致するかを確認する。
【0057】
ステップS584では、グループ管理サーバー230は、認証サーバー/サービスサーバー220に対して、グループ確認結果を送信する。
ステップS586では、認証サーバー/サービスサーバー220は、印刷可能ドキュメントリストを作成する。
ステップS586では、認証サーバー/サービスサーバー220は、印刷可能ドキュメントリストを作成する。
【0058】
ステップS588では、認証サーバー/サービスサーバー220は、画像処理装置200に対して、印刷可能ドキュメントリストを返却する。
ステップS590では、画像処理装置200は、ドキュメントリストを表示する。
ステップS590では、画像処理装置200は、ドキュメントリストを表示する。
【0059】
ステップS592では、画像処理装置200は、認証サーバー/サービスサーバー220に対して、ドキュメント取得を要求する。
ステップS594では、認証サーバー/サービスサーバー220は、画像処理装置200に対して、ドキュメントデータを返却する。
ステップS596では、画像処理装置200は、印刷処理を行う。
ステップS594では、認証サーバー/サービスサーバー220は、画像処理装置200に対して、ドキュメントデータを返却する。
ステップS596では、画像処理装置200は、印刷処理を行う。
【0060】
図6は、グループ管理テーブル600のデータ構造例を示す説明図である。
グループ管理テーブル600は、グループID欄610、デバイスID欄620、ユーザーID欄630を有している。グループID欄610は、本実施の形態において、グループを一意に識別するための情報(具体的にはグループID:IDentification)を記憶している。デバイスID欄620は、本実施の形態において、画像処理装置200(又は情報処理装置100)を一意に識別するための情報(具体的にはデバイスID)を記憶している。ユーザーID欄630は、本実施の形態において、ユーザーを一意に識別するための情報(具体的にはユーザーID)を記憶している。
このグループ管理テーブル600によって、グループに加入しているユーザー、そして、グループ(又はそのグループに加入しているユーザー)が利用できる画像処理装置200を管理している。
グループ管理テーブル600は、グループID欄610、デバイスID欄620、ユーザーID欄630を有している。グループID欄610は、本実施の形態において、グループを一意に識別するための情報(具体的にはグループID:IDentification)を記憶している。デバイスID欄620は、本実施の形態において、画像処理装置200(又は情報処理装置100)を一意に識別するための情報(具体的にはデバイスID)を記憶している。ユーザーID欄630は、本実施の形態において、ユーザーを一意に識別するための情報(具体的にはユーザーID)を記憶している。
このグループ管理テーブル600によって、グループに加入しているユーザー、そして、グループ(又はそのグループに加入しているユーザー)が利用できる画像処理装置200を管理している。
【0061】
グループ管理テーブル600の代わりに、ユーザー・デバイス管理テーブル700、グループ・デバイス管理テーブル800、グループ・ユーザー管理テーブル900を用いるようにしてもよい。
図7は、ユーザー・デバイス管理テーブル700のデータ構造例を示す説明図である。
ユーザー・デバイス管理テーブル700は、ユーザーID欄710、デバイスID欄720を有している。ユーザーID欄710は、ユーザーIDを記憶している。デバイスID欄720は、デバイスIDを記憶している。
このユーザー・デバイス管理テーブル700によって、ユーザーが利用できる画像処理装置200を管理している。
図7は、ユーザー・デバイス管理テーブル700のデータ構造例を示す説明図である。
ユーザー・デバイス管理テーブル700は、ユーザーID欄710、デバイスID欄720を有している。ユーザーID欄710は、ユーザーIDを記憶している。デバイスID欄720は、デバイスIDを記憶している。
このユーザー・デバイス管理テーブル700によって、ユーザーが利用できる画像処理装置200を管理している。
【0062】
図8は、グループ・デバイス管理テーブル800のデータ構造例を示す説明図である。
グループ・デバイス管理テーブル800は、グループID欄810、デバイスID欄820を有している。グループID欄810は、グループIDを記憶している。デバイスID欄820は、デバイスIDを記憶している。
このグループ・デバイス管理テーブル800によって、グループが利用できる画像処理装置200を管理している。
グループ・デバイス管理テーブル800は、グループID欄810、デバイスID欄820を有している。グループID欄810は、グループIDを記憶している。デバイスID欄820は、デバイスIDを記憶している。
このグループ・デバイス管理テーブル800によって、グループが利用できる画像処理装置200を管理している。
【0063】
図9は、グループ・ユーザー管理テーブル900のデータ構造例を示す説明図である。
グループ・ユーザー管理テーブル900は、グループID欄910、ユーザーID欄920を有している。グループID欄910は、グループIDを記憶している。ユーザーID欄920は、ユーザーIDを記憶している。
このグループ・ユーザー管理テーブル900によって、グループに加入しているユーザーを管理している。
グループ・ユーザー管理テーブル900は、グループID欄910、ユーザーID欄920を有している。グループID欄910は、グループIDを記憶している。ユーザーID欄920は、ユーザーIDを記憶している。
このグループ・ユーザー管理テーブル900によって、グループに加入しているユーザーを管理している。
【0064】
図5Aの例で示したステップS502からステップS518までの処理の代わりに、図10の例に示したフローチャートを用いてもよい。
図10は、本実施の形態による処理例を示すフローチャートである。このフローチャートでは、ユーザー250Aのグループへの加入に際し、既にグループに加入しているユーザー250Bの認証を必要としたものである。ステップS1002からステップS1012までの処理は、図5の例で示したステップS502からステップS512までの処理と同等である。なお、認証機210Aは、グループに加入を希望しているユーザー250Aが有しており、認証機210Bは、既にグループに加入しているユーザー250Bが有している。また、ユーザー250Aは、ユーザー250Bを同伴して、画像処理装置200の近辺にいる状況である。もちろんのことながら、現在(少なくともステップS1002の時)、ユーザー250Aは、ユーザー250Bが加入しているグループには、属していない状況である。
図10は、本実施の形態による処理例を示すフローチャートである。このフローチャートでは、ユーザー250Aのグループへの加入に際し、既にグループに加入しているユーザー250Bの認証を必要としたものである。ステップS1002からステップS1012までの処理は、図5の例で示したステップS502からステップS512までの処理と同等である。なお、認証機210Aは、グループに加入を希望しているユーザー250Aが有しており、認証機210Bは、既にグループに加入しているユーザー250Bが有している。また、ユーザー250Aは、ユーザー250Bを同伴して、画像処理装置200の近辺にいる状況である。もちろんのことながら、現在(少なくともステップS1002の時)、ユーザー250Aは、ユーザー250Bが加入しているグループには、属していない状況である。
【0065】
ステップS1002では、画像処理装置200は、認証サーバー/サービスサーバー220に対して、生体情報の登録を要求する。
ステップS1004では、認証サーバー/サービスサーバー220は、画像処理装置200に対して、チャレンジを送信する。
ステップS1004では、認証サーバー/サービスサーバー220は、画像処理装置200に対して、チャレンジを送信する。
【0066】
ステップS1006では、画像処理装置200は、認証機210Aに対して、認証パラメータを要求する。
ステップS1008では、認証機210Aは、画像処理装置200に対して、認証パラメータを送信する。
ステップS1008では、認証機210Aは、画像処理装置200に対して、認証パラメータを送信する。
【0067】
ステップS1010では、画像処理装置200は、認証サーバー/サービスサーバー220に対して、レスポンスを送信する。
ステップS1012では、認証サーバー/サービスサーバー220は、画像処理装置200に対して、認証成功を通知する。
ステップS1012では、認証サーバー/サービスサーバー220は、画像処理装置200に対して、認証成功を通知する。
【0068】
ステップS1014以降で、画像処理装置200は、加入先グループに属するユーザー250Bの認証を行う。
ステップS1016からステップS1026までの処理は、ステップS1002からステップS1012までの処理と同等であり、認証するユーザーをユーザー250Aではなく、既にグループに加入しているユーザー250Bとしたものである。
ステップS1016では、画像処理装置200は、認証サーバー/サービスサーバー220に対して、認証を要求する。
ステップS1016からステップS1026までの処理は、ステップS1002からステップS1012までの処理と同等であり、認証するユーザーをユーザー250Aではなく、既にグループに加入しているユーザー250Bとしたものである。
ステップS1016では、画像処理装置200は、認証サーバー/サービスサーバー220に対して、認証を要求する。
【0069】
ステップS1018では、認証サーバー/サービスサーバー220は、画像処理装置200に対して、チャレンジを送信する。
ステップS1020では、画像処理装置200は、認証機210Bに対して、認証パラメータを要求する。
ステップS1020では、画像処理装置200は、認証機210Bに対して、認証パラメータを要求する。
【0070】
ステップS1022では、認証機210Bは、画像処理装置200に対して、認証パラメータを送信する。
ステップS1024では、画像処理装置200は、認証サーバー/サービスサーバー220に対して、レスポンスを送信する。
ステップS1024では、画像処理装置200は、認証サーバー/サービスサーバー220に対して、レスポンスを送信する。
【0071】
ステップS1026では、認証サーバー/サービスサーバー220は、画像処理装置200に対して、認証成功を通知する。
ステップS1028では、画像処理装置200は、グループ管理サーバー230に対して、ステップS1026でユーザー250Bの認証が成功したことを条件として、ユーザーAのユーザーID、デバイスIDを送信する。ステップS1028からステップS1032までの処理は、図5の例で示したステップS514からステップS518までの処理と同等である。
ステップS1028では、画像処理装置200は、グループ管理サーバー230に対して、ステップS1026でユーザー250Bの認証が成功したことを条件として、ユーザーAのユーザーID、デバイスIDを送信する。ステップS1028からステップS1032までの処理は、図5の例で示したステップS514からステップS518までの処理と同等である。
【0072】
ステップS1030では、グループ管理サーバー230は、受信したユーザーIDをデバイスIDに対応するグループIDに追加する。
ステップS1032では、グループ管理サーバー230は、画像処理装置200に対して、変更完了を通知する。
ステップS1032では、グループ管理サーバー230は、画像処理装置200に対して、変更完了を通知する。
【0073】
図11は、本実施の形態による処理例を示すフローチャートである。
この処理例は、ユーザー250Aが所属する組織が変わったときなど、ユーザー250Aに関連付けているグループIDの付け替えが必要になるケースであり、所属するグループを変更する場合の処理例を示す。現在、グループ1と紐づいているユーザー250Aは、グループ2への付け替えを行いたい。そして、ユーザー250Bはグループ2に所属している場合を例に説明する。
この処理例は、ユーザー250Aが所属する組織が変わったときなど、ユーザー250Aに関連付けているグループIDの付け替えが必要になるケースであり、所属するグループを変更する場合の処理例を示す。現在、グループ1と紐づいているユーザー250Aは、グループ2への付け替えを行いたい。そして、ユーザー250Bはグループ2に所属している場合を例に説明する。
【0074】
ステップS1102では、画像処理装置200は、認証サーバー/サービスサーバー220に対して、生体情報の登録を要求する。具体的には、ユーザー250Aは、グループ2に属する画像処理装置200を使って登録処理を開始する。
ステップS1104では、認証サーバー/サービスサーバー220は、画像処理装置200に対して、登録済みエラーを送信する。つまり、ユーザー250Aの生体情報の登録は、既に行われているため、認証サーバー/サービスサーバー220は登録済みエラーを送信する。
ステップS1104では、認証サーバー/サービスサーバー220は、画像処理装置200に対して、登録済みエラーを送信する。つまり、ユーザー250Aの生体情報の登録は、既に行われているため、認証サーバー/サービスサーバー220は登録済みエラーを送信する。
【0075】
ステップS1106では、画像処理装置200は、グループを変更するかの確認画面を表示する。つまり、ステップS1104で登録済みエラーを受信した場合、画像処理装置200は、グループの関連付けの変更を行うかの確認画面を表示する。
ステップS1108では、画像処理装置200は、認証サーバー/サービスサーバー220に対して、認証を要求する。つまり、ステップS1106でユーザー250Aの操作により、グループ変更を行うとの操作があった場合、画像処理装置200は、認証サーバー/サービスサーバー220に対し、認証要求を送信する。
ステップS1108では、画像処理装置200は、認証サーバー/サービスサーバー220に対して、認証を要求する。つまり、ステップS1106でユーザー250Aの操作により、グループ変更を行うとの操作があった場合、画像処理装置200は、認証サーバー/サービスサーバー220に対し、認証要求を送信する。
【0076】
ステップS1110からステップS1118までの処理は、図10の例で示したステップS1004からステップS1012までの処理と同等である。
ステップS1110では、認証サーバー/サービスサーバー220は、画像処理装置200に対して、チャレンジを送信する。
ステップS1112では、画像処理装置200は、認証機210Aに対して、認証パラメータを要求する。
ステップS1110では、認証サーバー/サービスサーバー220は、画像処理装置200に対して、チャレンジを送信する。
ステップS1112では、画像処理装置200は、認証機210Aに対して、認証パラメータを要求する。
【0077】
ステップS1114では、認証機210Aは、画像処理装置200に対して、認証パラメータを送信する。
ステップS1116では、画像処理装置200は、認証サーバー/サービスサーバー220に対して、レスポンスを送信する。
ステップS1116では、画像処理装置200は、認証サーバー/サービスサーバー220に対して、レスポンスを送信する。
【0078】
ステップS1118では、認証サーバー/サービスサーバー220は、画像処理装置200に対して、認証成功を通知する。
ステップS1120以降で、画像処理装置200は、変更先グループに属するユーザー250Bの認証を行う。
ステップS1120以降で、画像処理装置200は、変更先グループに属するユーザー250Bの認証を行う。
【0079】
ステップS1122からステップS1132までの処理は、図10の例で示したステップS1016からステップS1026までの処理と同等である。
ステップS1122では、画像処理装置200は、認証サーバー/サービスサーバー220に対して、認証を要求する。
ステップS1124では、認証サーバー/サービスサーバー220は、画像処理装置200に対して、チャレンジを送信する。
ステップS1122では、画像処理装置200は、認証サーバー/サービスサーバー220に対して、認証を要求する。
ステップS1124では、認証サーバー/サービスサーバー220は、画像処理装置200に対して、チャレンジを送信する。
【0080】
ステップS1126では、画像処理装置200は、認証機210Bに対して、認証パラメータを要求する。
ステップS1128では、認証機210Bは、画像処理装置200に対して、認証パラメータを送信する。
ステップS1128では、認証機210Bは、画像処理装置200に対して、認証パラメータを送信する。
【0081】
ステップS1130では、画像処理装置200は、認証サーバー/サービスサーバー220に対して、レスポンスを送信する。
ステップS1132では、認証サーバー/サービスサーバー220は、画像処理装置200に対して、認証成功を通知する。
ステップS1132では、認証サーバー/サービスサーバー220は、画像処理装置200に対して、認証成功を通知する。
【0082】
ステップS1134では、画像処理装置200は、グループ管理サーバー230に対して、登録グループ変更を要求する。その際に、ユーザー250AのユーザーID、ユーザー250BのユーザーID、画像処理装置200のデバイスIDを送信する。
ステップS1136では、グループ管理サーバー230は、ユーザー250Aのグループを変更する。つまり、ユーザー250Aが加入しているグループから削除し、ユーザー250Bが加入しているグループに登録する。
ステップS1138では、グループ管理サーバー230は、画像処理装置200に対して、変更完了を通知する。
ステップS1136では、グループ管理サーバー230は、ユーザー250Aのグループを変更する。つまり、ユーザー250Aが加入しているグループから削除し、ユーザー250Bが加入しているグループに登録する。
ステップS1138では、グループ管理サーバー230は、画像処理装置200に対して、変更完了を通知する。
【0083】
上記各実施形態において、プロセッサとは広義的なプロセッサを指し、汎用的なプロセッサ(例えば CPU: Central Processing Unitの略、等)や、専用のプロセッサ(例えば GPU: Graphics Processing Unitの略、ASIC: Application Specific Integrated Circuitの略、FPGA: Field Programmable Gate Arrayの略、プログラマブル論理デバイス、等)を含むものである。
また上記各実施形態におけるプロセッサの動作は、1つのプロセッサによって成すのみでなく、物理的に離れた位置に存在する複数のプロセッサが協働して成すものであってもよい。また、プロセッサの各動作の順序は上記各実施形態において記載した順序のみに限定されるものではなく、適宜変更してもよい。
なお、説明したプログラムについては、記録媒体に格納して提供してもよく、また、そのプログラムを通信手段によって提供してもよい。その場合、例えば、前記説明したプログラムについて、「プログラムを記録したコンピュータ読み取り可能な記録媒体」の発明として捉えてもよい。
「プログラムを記録したコンピュータ読み取り可能な記録媒体」とは、プログラムのインストール、実行、プログラムの流通等のために用いられる、プログラムが記録されたコンピュータで読み取り可能な記録媒体をいう。
なお、記録媒体としては、例えば、デジタル・バーサタイル・ディスク(DVD)であって、DVDフォーラムで策定された規格である「DVD-R、DVD-RW、DVD-RAM等」、DVD+RWで策定された規格である「DVD+R、DVD+RW等」、コンパクトディスク(CD)であって、読出し専用メモリ(CD-ROM)、CDレコーダブル(CD-R)、CDリライタブル(CD-RW)等、ブルーレイ・ディスク(Blu-ray(登録商標) Disc)、光磁気ディスク(MO)、フレキシブルディスク(FD)、磁気テープ、ハードディスク、読出し専用メモリ(ROM)、電気的消去及び書換可能な読出し専用メモリ(EEPROM(登録商標))、フラッシュ・メモリ、ランダム・アクセス・メモリ(RAM)、SD(Secure Digitalの略)メモリーカード等が含まれる。
そして、前記のプログラムの全体又はその一部は、前記記録媒体に記録して保存や流通等させてもよい。また、通信によって、例えば、ローカル・エリア・ネットワーク(LAN)、メトロポリタン・エリア・ネットワーク(MAN)、ワイド・エリア・ネットワーク(WAN)、インターネット、イントラネット、エクストラネット等に用いられる有線ネットワーク、又は無線通信ネットワーク、さらにこれらの組み合わせ等の伝送媒体を用いて伝送させてもよく、また、搬送波に乗せて搬送させてもよい。
さらに、前記のプログラムは、他のプログラムの一部分若しくは全部であってもよく、又は別個のプログラムと共に記録媒体に記録されていてもよい。また、複数の記録媒体に分割して記録されていてもよい。また、圧縮や暗号化等、復元可能であればどのような態様で記録されていてもよい。
また上記各実施形態におけるプロセッサの動作は、1つのプロセッサによって成すのみでなく、物理的に離れた位置に存在する複数のプロセッサが協働して成すものであってもよい。また、プロセッサの各動作の順序は上記各実施形態において記載した順序のみに限定されるものではなく、適宜変更してもよい。
なお、説明したプログラムについては、記録媒体に格納して提供してもよく、また、そのプログラムを通信手段によって提供してもよい。その場合、例えば、前記説明したプログラムについて、「プログラムを記録したコンピュータ読み取り可能な記録媒体」の発明として捉えてもよい。
「プログラムを記録したコンピュータ読み取り可能な記録媒体」とは、プログラムのインストール、実行、プログラムの流通等のために用いられる、プログラムが記録されたコンピュータで読み取り可能な記録媒体をいう。
なお、記録媒体としては、例えば、デジタル・バーサタイル・ディスク(DVD)であって、DVDフォーラムで策定された規格である「DVD-R、DVD-RW、DVD-RAM等」、DVD+RWで策定された規格である「DVD+R、DVD+RW等」、コンパクトディスク(CD)であって、読出し専用メモリ(CD-ROM)、CDレコーダブル(CD-R)、CDリライタブル(CD-RW)等、ブルーレイ・ディスク(Blu-ray(登録商標) Disc)、光磁気ディスク(MO)、フレキシブルディスク(FD)、磁気テープ、ハードディスク、読出し専用メモリ(ROM)、電気的消去及び書換可能な読出し専用メモリ(EEPROM(登録商標))、フラッシュ・メモリ、ランダム・アクセス・メモリ(RAM)、SD(Secure Digitalの略)メモリーカード等が含まれる。
そして、前記のプログラムの全体又はその一部は、前記記録媒体に記録して保存や流通等させてもよい。また、通信によって、例えば、ローカル・エリア・ネットワーク(LAN)、メトロポリタン・エリア・ネットワーク(MAN)、ワイド・エリア・ネットワーク(WAN)、インターネット、イントラネット、エクストラネット等に用いられる有線ネットワーク、又は無線通信ネットワーク、さらにこれらの組み合わせ等の伝送媒体を用いて伝送させてもよく、また、搬送波に乗せて搬送させてもよい。
さらに、前記のプログラムは、他のプログラムの一部分若しくは全部であってもよく、又は別個のプログラムと共に記録媒体に記録されていてもよい。また、複数の記録媒体に分割して記録されていてもよい。また、圧縮や暗号化等、復元可能であればどのような態様で記録されていてもよい。
【符号の説明】
【0084】
100…情報処理装置
105…プロセッサ
110…メモリ
120…データメモリ
122…グループ情報記憶モジュール
140…プログラムメモリ
142…グループ加入操作検知モジュール
144…認証制御モジュール
146…グループ加入モジュール
185…出力装置
187…表示装置
189…印刷装置
190…受付装置
192…指示受付装置
194…文書読取装置
195…通信装置
198…バス
200…画像処理装置
210…認証機
220…認証サーバー/サービスサーバー
230…グループ管理サーバー
240…機器認証サーバー
250…ユーザー
290…通信回線
105…プロセッサ
110…メモリ
120…データメモリ
122…グループ情報記憶モジュール
140…プログラムメモリ
142…グループ加入操作検知モジュール
144…認証制御モジュール
146…グループ加入モジュール
185…出力装置
187…表示装置
189…印刷装置
190…受付装置
192…指示受付装置
194…文書読取装置
195…通信装置
198…バス
200…画像処理装置
210…認証機
220…認証サーバー/サービスサーバー
230…グループ管理サーバー
240…機器認証サーバー
250…ユーザー
290…通信回線
【図1】
【図2】
【図3】
【図4】
【図5A】
【図5B】
【図5C】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】