JP2016009466A - Webサービスシステム、認証認可装置、情報処理装置、情報処理方法及びプログラム - Google Patents
Webサービスシステム、認証認可装置、情報処理装置、情報処理方法及びプログラム Download PDFInfo
- Publication number
- JP2016009466A JP2016009466A JP2014131715A JP2014131715A JP2016009466A JP 2016009466 A JP2016009466 A JP 2016009466A JP 2014131715 A JP2014131715 A JP 2014131715A JP 2014131715 A JP2014131715 A JP 2014131715A JP 2016009466 A JP2016009466 A JP 2016009466A
- Authority
- JP
- Japan
- Prior art keywords
- information
- token
- user
- authorization
- processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】Webサービスを利用する異なるデバイス間のセキュアな連携を、デバイス間の認証を行うことなく可能にすることを目的とする。
【解決手段】認証認可サーバーが情報処理装置からの登録要求に応じて、前記情報処理装置を前記認証認可サーバーの配下のリソースサーバーの一部として動的に登録し、認証認可サーバーから認可されたクライアント端末は、認証認可サーバーの配下のリソースサーバーへアクセスする方法と同様の方法で前記情報処理装置へアクセスする。
【選択図】図7
【解決手段】認証認可サーバーが情報処理装置からの登録要求に応じて、前記情報処理装置を前記認証認可サーバーの配下のリソースサーバーの一部として動的に登録し、認証認可サーバーから認可されたクライアント端末は、認証認可サーバーの配下のリソースサーバーへアクセスする方法と同様の方法で前記情報処理装置へアクセスする。
【選択図】図7
Description
本発明は、Webサービスシステム、認証認可装置、情報処理装置、情報処理方法及びプログラムに関する。
近年、インターネット上で提供されるクラウドサービスを携帯端末、デジタル家電、オフィス機器といった各種デバイスから利用するサービスの普及が進んでいる。また、一人のユーザーが複数のデバイスを保持し、様々なクラウドサービスを利用するユースケースも増えてきている。更には、携帯端末で提供されるアプリケーションでクラウドサービスを利用し何らかの処理を行い、前記処理の結果に基づいて携帯端末から別のデバイスのアプリケーションを利用するといった形態も普及している。前記形態において、クラウドサービスとデバイスの処理だけでなく、デバイスアプリケーション間での処理連携が必要となる。
一人のユーザーが複数のデバイスを利用し、更にはデバイス間でも機能の連携があるとき、ユーザーは、各デバイスからクラウドサービスを利用するためのIDとパスワードといった認証情報の入力を行う必要がある。更には、ユーザーは、デバイスアプリケーション間の連携のためにIDとパスワードといった認証情報の入力を行う必要がある。
特許文献1では、同一端末内での複数アプリケーション間でのシングルサインオン技術が述べられている。特許文献1の技術は、同一端末内のアプリケーションであるという条件と、それぞれのアプリケーションを事前に設定しておくという条件と、を必要とする。前記2つの条件を満たすことで、特許文献1の技術は、アプリケーション間での認証を省略し、クラウドサービスへアクセスするための情報の共有を行い、クラウド・アプリケーション間の認証を簡易にしている。
一人のユーザーが複数のデバイスを利用し、更にはデバイス間でも機能の連携があるとき、ユーザーは、各デバイスからクラウドサービスを利用するためのIDとパスワードといった認証情報の入力を行う必要がある。更には、ユーザーは、デバイスアプリケーション間の連携のためにIDとパスワードといった認証情報の入力を行う必要がある。
特許文献1では、同一端末内での複数アプリケーション間でのシングルサインオン技術が述べられている。特許文献1の技術は、同一端末内のアプリケーションであるという条件と、それぞれのアプリケーションを事前に設定しておくという条件と、を必要とする。前記2つの条件を満たすことで、特許文献1の技術は、アプリケーション間での認証を省略し、クラウドサービスへアクセスするための情報の共有を行い、クラウド・アプリケーション間の認証を簡易にしている。
複数デバイスを利用したクラウドサービス連携では、各デバイスがクラウドサービスを利用するための各デバイスへの認証情報の入力だけでなく、各デバイスアプリケーション間の連携をするための認証情報の入力も必要となる。したがって、ユーザーは、連携機能を利用するため多数の設定を行う必要があり、不便である。特許文献1の方法では、アプリケーションが同じ端末上にあれば、事前に前記アプリケーションで連携可能設定をしておくことで、アプリケーション間連携が実現可能となる。しかし、アプリケーションが別々のデバイスで動作している場合では、先行技術の方法ではアプリケーション同士の通信をセキュアにすることができず、認証を省略できない。また、アプリケーション同士の事前設定も必要なため、前記事前設定の作業も面倒である。
そこで、本発明は、Webサービスを利用する異なるデバイス間のセキュアな連携を、デバイス間の認証を行うことなく可能にすることを目的とする。
そこで、本発明は、Webサービスを利用する異なるデバイス間のセキュアな連携を、デバイス間の認証を行うことなく可能にすることを目的とする。
そこで、本発明のWebサービスシステムは、認証認可装置と、情報処理装置と、端末装置と、を含むWebサービスシステムであって、前記認証認可装置は、ネットワークを介して通信可能な前記情報処理装置からの登録要求に応じて、前記情報処理装置を配下の資源として登録する登録手段と、前記情報処理装置に対して前記登録手段での登録の内容に対応するリソーストークンを送信する第1の送信手段と、前記登録手段で登録された前記情報処理装置からのリソーストークンと認可トークンと処理情報とを含む検証要求に応じて、前記情報処理装置での前記処理情報に対応する処理の実行が許可されているか否か検証する検証手段と、を有し、前記端末装置は、ネットワークを介して通信可能な前記情報処理装置へ処理の依頼を行う際に、前記情報処理装置に対し前記認証認可装置から取得した認可トークンを送信する第2の送信手段を有し、前記情報処理装置は、前記情報処理装置を前記認証認可装置の配下の資源として登録するよう前記認証認可装置に対して要求する登録要求手段と、前記端末装置からの処理要求に応じて、前記認証認可装置からのリソーストークンと前記端末装置からの認可トークンと前記端末装置から依頼された処理の処理情報とを前記認証認可装置に対して送信し、前記情報処理装置での前記処理情報に対応する処理の実行が許可されているか否かの検証を前記送信した情報に基づき行うよう前記認証認可装置に対して要求する検証要求手段と、前記認証認可装置による前記検証の結果が肯定だった場合、前記端末装置から依頼された処理を実行する実行手段と、を有する。
本発明によれば、Webサービスを利用する異なるデバイス間のセキュアな連携を、デバイス間の認証を行うことなく可能にすることができる。
以下、本発明の実施形態について図面に基づいて説明する。
<実施形態>
<実施形態>
本実施形態においては、インターネット上のサーバーに印刷サービスが設置されていることを想定している。また、印刷サービスは、携帯端末から印刷データを受け取り、変換・保存する機能、任意の携帯端末より印刷データと画像形成装置を指定して印刷する機能等を提供することを想定している。
以降、前記印刷サービス等のインターネット上で機能を提供しているサービスを、リソースサービスとする。
また、本実施形態においては、画像形成装置上にインストールされた印刷アプリケーションと携帯端末上にインストールされた印刷アプリケーションとリソースサービスとが連携することを想定している。前記印刷アプリケーション等のリソースサービスと連携するアプリケーションをリソースサービス連携アプリケーションとする。
本実施の形態における権限の移譲処理には、OAuthの仕組みが利用される。OAuthでは、ユーザーから移譲された権限の証明するための情報として、トークンと呼ばれる情報が利用される。OAuthの仕組みにおいては、例えば、携帯端末がリソースサーバーのリソースを利用する際、携帯端末はリソースサーバーに対して認証認可サーバーから取得したトークンを含むリソース要求を行う。前記リソースサーバーと認証認可サーバーとは、前記要求に付随する情報に含まれるトークンに基づいて、前記要求の処理を許可するか否かを判定する。前記判定の結果が許可である場合、リソースサーバーは、前記要求の処理を実行する。
更に、本実施形態において、画像形成装置や携帯端末に対応したサーバー上の仮想的なユーザーをデバイスクライアントとする。
以下では、例えば「Aであるか否かの検証」において検証結果が「Aである」ことを「検証結果が正しい」、又は「検証結果が肯定である」と表現する。
以降、前記印刷サービス等のインターネット上で機能を提供しているサービスを、リソースサービスとする。
また、本実施形態においては、画像形成装置上にインストールされた印刷アプリケーションと携帯端末上にインストールされた印刷アプリケーションとリソースサービスとが連携することを想定している。前記印刷アプリケーション等のリソースサービスと連携するアプリケーションをリソースサービス連携アプリケーションとする。
本実施の形態における権限の移譲処理には、OAuthの仕組みが利用される。OAuthでは、ユーザーから移譲された権限の証明するための情報として、トークンと呼ばれる情報が利用される。OAuthの仕組みにおいては、例えば、携帯端末がリソースサーバーのリソースを利用する際、携帯端末はリソースサーバーに対して認証認可サーバーから取得したトークンを含むリソース要求を行う。前記リソースサーバーと認証認可サーバーとは、前記要求に付随する情報に含まれるトークンに基づいて、前記要求の処理を許可するか否かを判定する。前記判定の結果が許可である場合、リソースサーバーは、前記要求の処理を実行する。
更に、本実施形態において、画像形成装置や携帯端末に対応したサーバー上の仮想的なユーザーをデバイスクライアントとする。
以下では、例えば「Aであるか否かの検証」において検証結果が「Aである」ことを「検証結果が正しい」、又は「検証結果が肯定である」と表現する。
図1は、本実施形態に係る情報処理システムのシステム構成の一例を示す図である。前記情報処理システムは、Webサービスシステムの一例である。
WAN100は、Wide Area Networkであり、本実施形態ではWorld Wide Web(WWW)システムが構築されている。LAN101は、各構成要素を接続するLocal Area Networkである。認証認可サーバー110は、ユーザーの認証、OAuthの仕組み等を実現するための認証認可サーバーである。リソースサーバー120には、印刷サービスが設置されている。また、本実施形態において各サーバーは、1台ずつ設置されているが複数台で構成されていてもよく、例えば複数のサーバーで構成される認証認可サーバーシステムとして提供されてもよい。クライアント端末150は、例えばスマートフォンといったモバイル端末である。スマートフォンには、Webブラウザやリソース連携アプリケーションがインストールされている。画像形成装置140には、1つ又は複数のリソースサービス連携アプリケーションがインストールされている。ユーザーは、クライアント端末150、画像形成装置140のリソースサービス連携アプリケーション等を介してリソースサービスを利用する。
認証認可サーバー110、リソースサーバー120、画像形成装置140、クライアント端末150は、それぞれWAN100及びLAN101を介して接続されている。なお認証認可サーバー110、リソースサーバー120、画像形成装置140、クライアント端末150は、それぞれ個別のLAN上に構成されていてもよいし、同一のLAN上に構成されていてもよい。認証認可サーバー110、リソースサーバー120は、同一のサーバー上に構成されていてもよい。
WAN100は、Wide Area Networkであり、本実施形態ではWorld Wide Web(WWW)システムが構築されている。LAN101は、各構成要素を接続するLocal Area Networkである。認証認可サーバー110は、ユーザーの認証、OAuthの仕組み等を実現するための認証認可サーバーである。リソースサーバー120には、印刷サービスが設置されている。また、本実施形態において各サーバーは、1台ずつ設置されているが複数台で構成されていてもよく、例えば複数のサーバーで構成される認証認可サーバーシステムとして提供されてもよい。クライアント端末150は、例えばスマートフォンといったモバイル端末である。スマートフォンには、Webブラウザやリソース連携アプリケーションがインストールされている。画像形成装置140には、1つ又は複数のリソースサービス連携アプリケーションがインストールされている。ユーザーは、クライアント端末150、画像形成装置140のリソースサービス連携アプリケーション等を介してリソースサービスを利用する。
認証認可サーバー110、リソースサーバー120、画像形成装置140、クライアント端末150は、それぞれWAN100及びLAN101を介して接続されている。なお認証認可サーバー110、リソースサーバー120、画像形成装置140、クライアント端末150は、それぞれ個別のLAN上に構成されていてもよいし、同一のLAN上に構成されていてもよい。認証認可サーバー110、リソースサーバー120は、同一のサーバー上に構成されていてもよい。
図2は、認証認可サーバー110、リソースサーバー120、画像形成装置140、クライアント端末150等を抽象化した装置200のハードウェア構成の一例を示す図である。なお、装置200を認証認可サーバー110、リソースサーバー120、クライアント端末150に適用した場合、印刷部I/F250、スキャナ部I/F251、印刷部252、スキャナ部253はハードウェア構成として含まれない。
CPU231は、ROM233のプログラム用ROMに記憶された、或いはハードディスク(HD)等の外部メモリ241からRAM232にロードされたOSやアプリケーション等のプログラムを実行する。また、CPU231は、システムバス234に接続される各ブロックを制御する。OSは、コンピューター上で稼動するオペレーティングシステムの略語であり、以下オペレーティングシステムのことをOSとする。図4、図6及び図7で後述する各シーケンスの処理は、CPU231がRAM232にロードされたプログラムを実行することにより実現できる。RAM232は、CPU231の主メモリ、ワークエリア等として機能する。CPU231は、操作部I/F235を介して操作部239からの入力を制御する。CPU231は、CRTコントローラ(CRTC)236を介して、CRTディスプレイ240の表示を制御する。CPU231は、ディスクコントローラ(DKC)237を介して各種データを記憶するハードディスク(HD)等の外部メモリ241におけるデータアクセスを制御する。CPU231は、ネットワークコントローラ(NC)238を制御することにより、WAN100若しくはLAN101を介して接続されたサーバーコンピューターや他の機器との通信制御処理を実行する。
CPU231は、ROM233のプログラム用ROMに記憶された、或いはハードディスク(HD)等の外部メモリ241からRAM232にロードされたOSやアプリケーション等のプログラムを実行する。また、CPU231は、システムバス234に接続される各ブロックを制御する。OSは、コンピューター上で稼動するオペレーティングシステムの略語であり、以下オペレーティングシステムのことをOSとする。図4、図6及び図7で後述する各シーケンスの処理は、CPU231がRAM232にロードされたプログラムを実行することにより実現できる。RAM232は、CPU231の主メモリ、ワークエリア等として機能する。CPU231は、操作部I/F235を介して操作部239からの入力を制御する。CPU231は、CRTコントローラ(CRTC)236を介して、CRTディスプレイ240の表示を制御する。CPU231は、ディスクコントローラ(DKC)237を介して各種データを記憶するハードディスク(HD)等の外部メモリ241におけるデータアクセスを制御する。CPU231は、ネットワークコントローラ(NC)238を制御することにより、WAN100若しくはLAN101を介して接続されたサーバーコンピューターや他の機器との通信制御処理を実行する。
画像形成装置140は、印刷部252やスキャナ部253等のハードウェアを保持する。画像形成装置140のCPU231は、印刷データを、印刷部I/F250を通して、印刷部252に出力情報として出力する。画像形成装置140のCPU231は、スキャナ部253にて読み取ったスキャンデータをスキャナ部I/F251経由で取得する。
認証認可サーバー110のCPU231が、認証認可サーバー110のROM233又は外部メモリ241に記憶されたプログラムに基づき処理を実行することで、後述する認証認可サーバー110の機能及びフローチャート、シーケンスの処理が実現される。
リソースサーバー120のCPU231が、リソースサーバー120のROM233又は外部メモリ241に記憶されたプログラムに基づき処理を実行することで、後述するリソースサーバー120の機能及びシーケンスの処理が実現される。
画像形成装置140のCPU231が、画像形成装置140のROM233又は外部メモリ241に記憶されたプログラムに基づき処理を実行することで、後述の画像形成装置140の機能及び後述のフローチャート、シーケンスの処理が実現される。
クライアント端末150のCPU231が、クライアント端末150のROM233又は外部メモリ241に記憶されたプログラムに基づき処理を実行することで、後述のクライアント端末150の機能及び後述のシーケンスの処理が実現される。
認証認可サーバー110のCPU231が、認証認可サーバー110のROM233又は外部メモリ241に記憶されたプログラムに基づき処理を実行することで、後述する認証認可サーバー110の機能及びフローチャート、シーケンスの処理が実現される。
リソースサーバー120のCPU231が、リソースサーバー120のROM233又は外部メモリ241に記憶されたプログラムに基づき処理を実行することで、後述するリソースサーバー120の機能及びシーケンスの処理が実現される。
画像形成装置140のCPU231が、画像形成装置140のROM233又は外部メモリ241に記憶されたプログラムに基づき処理を実行することで、後述の画像形成装置140の機能及び後述のフローチャート、シーケンスの処理が実現される。
クライアント端末150のCPU231が、クライアント端末150のROM233又は外部メモリ241に記憶されたプログラムに基づき処理を実行することで、後述のクライアント端末150の機能及び後述のシーケンスの処理が実現される。
図3は、各装置のソフトウェアモジュール構成の一例を示す図である。
認証認可サーバー110は、ログインUIモジュール310を持つ。リソースサーバー120は、リソースサーバーモジュール320を持つ。
クライアント端末150は、WWWを利用するためのユーザーエージェントであるWebブラウザ350と、リソースサーバー120と連携するためのリソースサービス連携アプリケーションと、を持つ。
画像形成装置140は、CPU231がROM233、或いは外部メモリ241に記憶されたOSを実行することで各アプリケーションを制御する。OS342は、オペレーティングシステムである。OSは、リアルタイムOSであってもよいし、Linux(登録商標)等の汎用OSであってもよい。仮想マシン341は、例えばJava(登録商標)VMである。仮想マシン341は、CPU231によりOS342を介して制御されるアプリケーションとして動作する仮想的なアプリケーション実行環境である。アプリケーション管理フレームワーク340は、仮想マシン341が提供するアプリケーション実行環境上で動作する管理対象のアプリケーションのライフサイクルを管理する機能と、前記機能を制御するI/Fと、を備えている。更に、アプリケーション管理フレームワーク340は、各アプリケーション間で処理要求を仲介するためのI/F公開機能を備えている。ライフサイクルは、アプリケーションのインストール、起動、停止、アンインストール等のアプリケーションの状態を示すものである。本実施形態におけるアプリケーション管理フレームワーク340は、OSGi(Open Services Gateway initiative)アライアンスで規定されたOSGi(登録商標)として説明する。
認証認可サーバー110は、ログインUIモジュール310を持つ。リソースサーバー120は、リソースサーバーモジュール320を持つ。
クライアント端末150は、WWWを利用するためのユーザーエージェントであるWebブラウザ350と、リソースサーバー120と連携するためのリソースサービス連携アプリケーションと、を持つ。
画像形成装置140は、CPU231がROM233、或いは外部メモリ241に記憶されたOSを実行することで各アプリケーションを制御する。OS342は、オペレーティングシステムである。OSは、リアルタイムOSであってもよいし、Linux(登録商標)等の汎用OSであってもよい。仮想マシン341は、例えばJava(登録商標)VMである。仮想マシン341は、CPU231によりOS342を介して制御されるアプリケーションとして動作する仮想的なアプリケーション実行環境である。アプリケーション管理フレームワーク340は、仮想マシン341が提供するアプリケーション実行環境上で動作する管理対象のアプリケーションのライフサイクルを管理する機能と、前記機能を制御するI/Fと、を備えている。更に、アプリケーション管理フレームワーク340は、各アプリケーション間で処理要求を仲介するためのI/F公開機能を備えている。ライフサイクルは、アプリケーションのインストール、起動、停止、アンインストール等のアプリケーションの状態を示すものである。本実施形態におけるアプリケーション管理フレームワーク340は、OSGi(Open Services Gateway initiative)アライアンスで規定されたOSGi(登録商標)として説明する。
認証認可サーバー連携クライアント346、リソースサービス連携アプリケーション347、ローカルログインアプリケーション345は、仮想マシン341が提供するアプリケーション実行環境にて動作する各種アプリケーションである。また、前記アプリケーションは、アプリケーション管理フレームワーク340にてライフサイクルを管理されている。アプリケーション管理アプリケーション343は、アプリケーション管理フレームワーク340が公開するライフサイクル管理用の制御I/Fを介して、ユーザーからの各種アプリケーションのインストール操作、開始リクエスト操作等を受け付け実行する。画像形成装置140は、認証認可サーバー連携クライアント346、リソースサービス連携アプリケーション347、ローカルログインアプリケーション345を既定で持つことができる。また、画像形成装置140は、認証認可サーバー連携クライアント346、リソースサービス連携アプリケーション347、ローカルログインアプリケーション345を、後からインストールすることもできる。画像形成装置140は、前記インストールを、アプリケーション管理アプリケーション343及びアプリケーション管理フレームワーク340を介して行うことができる。更に、画像形成装置140は、WWWを利用するためのユーザーエージェントであるWebブラウザ348を備える。
クライアント端末150は、WWWを利用するためのユーザーエージェントであるWebブラウザ350とリソースサービス連携アプリケーション351とを持つ。
クライアント端末150は、WWWを利用するためのユーザーエージェントであるWebブラウザ350とリソースサービス連携アプリケーション351とを持つ。
認証認可サーバー110が外部メモリ241にて記憶するデータテーブルに関して説明する。前記データテーブルは、認証認可サーバー110の外部メモリ241ではなく、LAN101を介して通信可能に構成された別のサーバーに記憶するようにすることもできる。
認証認可サーバー110のCPU231は、ユーザー管理テーブルに記憶することで、ユーザーの情報を管理する。ユーザー管理テーブルは、ユーザーを一意に識別する「ユーザーID」、ユーザーが所属するテナントを一意に識別する「テナントID」、ユーザーが通常のユーザーかデバイスとしての仮想ユーザーかを識別する「種別」を含む。前記テナントは、所属情報の一例である。ユーザー管理テーブルは、更に、ユーザーの「メールアドレス」、ユーザーのシステム上の役割を管理する「ロール」を含む。「ロール」にはテナントの管理者を示すロール、一般者を表すロール、印刷サービスを利用するためのロール等が設定される。「ロール」に管理者が設定されていることは、管理者権限が設定されていることの一例である。「ユーザーID」、「テナントID」、「ロール」の組みは、ユーザー権限情報の一例である。ユーザー管理テーブルは、ユーザー権限データの一例である。
認証認可サーバー110のCPU231は、ユーザー管理テーブルに記憶することで、ユーザーの情報を管理する。ユーザー管理テーブルは、ユーザーを一意に識別する「ユーザーID」、ユーザーが所属するテナントを一意に識別する「テナントID」、ユーザーが通常のユーザーかデバイスとしての仮想ユーザーかを識別する「種別」を含む。前記テナントは、所属情報の一例である。ユーザー管理テーブルは、更に、ユーザーの「メールアドレス」、ユーザーのシステム上の役割を管理する「ロール」を含む。「ロール」にはテナントの管理者を示すロール、一般者を表すロール、印刷サービスを利用するためのロール等が設定される。「ロール」に管理者が設定されていることは、管理者権限が設定されていることの一例である。「ユーザーID」、「テナントID」、「ロール」の組みは、ユーザー権限情報の一例である。ユーザー管理テーブルは、ユーザー権限データの一例である。
認証認可サーバー110のCPU231は、テナント管理テーブルに記憶することで、テナントの情報を管理する。テナントは、サービスの利用契約を結んだ顧客ごとに割り当てられる管理単位である。ユーザーの管理やデータの管理は、テナント単位で行われる。テナント管理テーブルの「テナントID」は、ユーザー管理テーブルで示したものと同様であり、「テナント名」は、例えばテナントを契約している会社の名称が設定される。
認証認可サーバー110のCPU231は、クライアント管理テーブルに記憶することで、デバイスクライアントの情報を管理する。クライアント管理テーブルは、「クライアントID」、「クライアント名」「リダイレクトURL」「シリアル番号」を含む。「クライアントID」は、ユーザー管理テーブルの「ユーザーID」と関連付いており、互いに参照可能となっている。「クライアント名」、「リダイレクトURL」は、OAuthのシーケンスで利用される値である。「シリアル番号」は、デバイスクライアントを一意に識別可能な値である。認証認可サーバー110は、前記クライアントIDを基に接続元の画像形成装置140やクライアント端末150を一意に識別することが可能となる。
認証認可サーバー110のCPU231は、認可トークン管理テーブルに記憶することで、OAuthのためのトークンを管理する。認可トークン管理テーブルは、「認可トークンID」、「種別」、「スコープ」、「有効期限」、「リフレッシュトークンID」、「リフレッシュ期限」、「クライアントID」、「ユーザーID」を含む。認可トークン管理テーブルの処理詳細については、図4、6、8、9で後述する。認証認可サーバー110のCPU231は、ユーザーによる操作部239への操作等に基づいて、認可トークン管理テーブルのそれぞれの値を設定してもよい。「クライアントID」は、装置情報の一例である。「ユーザーID」は、ユーザー情報の一例である。「スコープ」、「クライアントID」、「ユーザーID」の組みは、識別情報の一例である。「認可トークンID」は、識別情報を一意に特定する特定情報の一例である。前記識別情報に前記特定情報を加えたものは、登録情報の一例である。
認証認可サーバー110のCPU231は、スコープ管理テーブルに記憶することで、OAuthのためのスコープを管理する。スコープ管理テーブルは、「スコープ」、「ロール」を含む。認証認可サーバー110のCPU231は、スコープ管理テーブルからスコープに対応する「ロール」の値を参照することで、前記スコープに対応する処理の内容を取得できる。
以上が、認証認可サーバー110が外部メモリ241にて記憶するデータテーブルに関する説明である。
次に、画像形成装置140やクライアント端末150が外部メモリ241に記憶するデータテーブルの説明を行う。
画像形成装置140、クライアント端末150のCPU231は、デバイスユーザー管理テーブルに記憶することで、画像形成装置140やクライアント端末150のユーザーを管理する。例えば、画像形成装置140へのアクセスの際には、画像形成装置140のCPU231は、画像形成装置140に入力された「ユーザーID」と「パスワード」との組みが、前記デバイスユーザー管理テーブル内に存在する場合、認証を行う。また、画像形成装置140、クライアント端末150のCPU231は、前記デバイスユーザー管理テーブルの「権限情報」に基づいて、アクセス制御を行う。なお、クライアント端末150では、画像形成装置140と同様に複数のユーザーを管理する場合、ユーザーを管理しない場合等が想定される。ユーザーを管理しない場合、デバイスユーザー管理テーブルの「ユーザーID」や「権限情報」は存在しない場合がある。また、本実施形態では、認証方法は、ユーザーIDとパスワードによる認証を想定しているが、ICカード認証、指紋といった生体認証、パターンロック認証といった異なる認証方法であってもよい。認証方法がユーザーIDとパスワードとによる認証ではない場合、デバイスユーザー管理テーブルには「パスワード」の代わりに前記認証方法の情報が管理される。更に、クライアント端末150でユーザー管理をしない場合には、認証なしといった構成でもよく、デバイスユーザー管理テーブルは存在しない場合がある。本実施形態では画像形成装置140やクライアント端末150での認証方法は問わず、デバイスの利用者が前記デバイス内で一意に識別できさえすればよい。
画像形成装置140、クライアント端末150のCPU231は、デバイスユーザー管理テーブルに記憶することで、画像形成装置140やクライアント端末150のユーザーを管理する。例えば、画像形成装置140へのアクセスの際には、画像形成装置140のCPU231は、画像形成装置140に入力された「ユーザーID」と「パスワード」との組みが、前記デバイスユーザー管理テーブル内に存在する場合、認証を行う。また、画像形成装置140、クライアント端末150のCPU231は、前記デバイスユーザー管理テーブルの「権限情報」に基づいて、アクセス制御を行う。なお、クライアント端末150では、画像形成装置140と同様に複数のユーザーを管理する場合、ユーザーを管理しない場合等が想定される。ユーザーを管理しない場合、デバイスユーザー管理テーブルの「ユーザーID」や「権限情報」は存在しない場合がある。また、本実施形態では、認証方法は、ユーザーIDとパスワードによる認証を想定しているが、ICカード認証、指紋といった生体認証、パターンロック認証といった異なる認証方法であってもよい。認証方法がユーザーIDとパスワードとによる認証ではない場合、デバイスユーザー管理テーブルには「パスワード」の代わりに前記認証方法の情報が管理される。更に、クライアント端末150でユーザー管理をしない場合には、認証なしといった構成でもよく、デバイスユーザー管理テーブルは存在しない場合がある。本実施形態では画像形成装置140やクライアント端末150での認証方法は問わず、デバイスの利用者が前記デバイス内で一意に識別できさえすればよい。
画像形成装置140、クライアント端末150のCPU231は、デバイスクライアント管理テーブルに記憶することで、デバイスクライアントの情報を管理する。デバイスクライアント管理テーブルは、「クライアントID」、「シークレット」、「エンドポイントURL」、「リダイレクトURL」を含む。「クライアントID」、「シークレット」は、予め認証認可サーバー110によって発行され、ユーザー管理テーブルに記憶された「ユーザーID」、「パスワード」にそれぞれ対応している。更に、「リダイレクトURL」は、認証認可サーバー110のクライアント管理テーブルに登録されている情報と同一のデータとなっている。デバイスクライアント管理テーブルへの情報の登録方法としては、例えば、画像形成装置140やクライアント端末150がLAN101、WAN100を介してオンラインで登録する方法でもよい。また、画像形成装置140、クライアント端末150のCPU231は、ユーザーによる操作部239への操作に基づいて、デバイスクライアント管理テーブルのそれぞれの値を設定してもよい。なお、「エンドポイントURL」は、認証認可サーバー110が公開するOAuthのためのエンドポイントのURLである。
画像形成装置140、クライアント端末150のCPU231は、デバイストークン管理テーブルに記憶することで、認証認可サーバー110によって発行されたトークンを管理する。デバイストークン管理テーブルは、「ユーザーID」、「トークンID」、「種別」、「リフレッシュトークンID」、「認証認可サーバーユーザーID」を含む。デバイストークン管理テーブルの処理詳細については、図4、6、7で後述する。ユーザーを管理していないクライアント端末150では、「ユーザーID」の情報は存在しない。「ユーザーID」の情報が存在しない場合、一般的には、クライアント端末150のCPU231は、デバイストークン管理テーブルをリソースサービス連携アプリケーション351の固有の情報として管理する。
以上が、画像形成装置140やクライアント端末150が外部メモリ241に記憶するデータテーブルの説明である。
ここで、画像形成装置140をリソースサーバー120の一部として認証認可サーバー110に対して登録を行うリソース登録処理を説明する。前記処理により画像形成装置140は、仮想的にリソースサーバー120の一部となる。したがって、クライアント端末150は、リソースサーバー120にアクセスする方法と同様の方法で画像形成装置140のリソースサービス連携アプリケーション347にアクセス可能となる。
リソース登録処理に関する本実施形態のシーケンスを図4、図5を用いて説明する。
前記シーケンスは、ユーザーが画像形成装置140にて一度だけ行う操作であり、一般的なOAuthの認可トークンを取得するシーケンスと同様の処理を利用しリソース登録処理を実現している。
図4は、画像形成装置を認証認可サーバーへ登録する処理の一例を示す図である。
S401において、画像形成装置140のCPU231は、ユーザーによる画像形成装置140へのローカルログインアプリケーション345を介したログイン操作を検知し、前記操作に基づき前記ユーザーを画像形成装置140へログインさせる。本実施形態では、画像形成装置140のCPU231は、前記ユーザーにより入力されたユーザーIDとパスワードとを、デバイスユーザー管理テーブルにて検証し、ログイン処理を行う。
S402において、画像形成装置140のCPU231は、例えば「ユーザーID」が「User」のユーザーがログインした場合、ローカルログインアプリケーション345を介して、「User」を含むログインコンテキストを生成する。画像形成装置140のCPU231は、前記ログインコンテキストを、アプリケーション管理フレームワーク340を介して各アプリケーションから取得可能なよう、RAM232に格納する。
S403において、画像形成装置140のCPU231は、ユーザーによるWebブラウザ348への操作に基づいて、認証認可サーバー連携クライアント346の認証認可サーバー110へのリソース登録の開始のためのURLへアクセスする。
画像形成装置140のCPU231は、認証認可サーバー連携クライアント346を介して、リソース登録の開始を検知したら、デバイスクライアント管理テーブルの「エンドポイントURL」に記載のURLを取得する。
前記シーケンスは、ユーザーが画像形成装置140にて一度だけ行う操作であり、一般的なOAuthの認可トークンを取得するシーケンスと同様の処理を利用しリソース登録処理を実現している。
図4は、画像形成装置を認証認可サーバーへ登録する処理の一例を示す図である。
S401において、画像形成装置140のCPU231は、ユーザーによる画像形成装置140へのローカルログインアプリケーション345を介したログイン操作を検知し、前記操作に基づき前記ユーザーを画像形成装置140へログインさせる。本実施形態では、画像形成装置140のCPU231は、前記ユーザーにより入力されたユーザーIDとパスワードとを、デバイスユーザー管理テーブルにて検証し、ログイン処理を行う。
S402において、画像形成装置140のCPU231は、例えば「ユーザーID」が「User」のユーザーがログインした場合、ローカルログインアプリケーション345を介して、「User」を含むログインコンテキストを生成する。画像形成装置140のCPU231は、前記ログインコンテキストを、アプリケーション管理フレームワーク340を介して各アプリケーションから取得可能なよう、RAM232に格納する。
S403において、画像形成装置140のCPU231は、ユーザーによるWebブラウザ348への操作に基づいて、認証認可サーバー連携クライアント346の認証認可サーバー110へのリソース登録の開始のためのURLへアクセスする。
画像形成装置140のCPU231は、認証認可サーバー連携クライアント346を介して、リソース登録の開始を検知したら、デバイスクライアント管理テーブルの「エンドポイントURL」に記載のURLを取得する。
S404において、画像形成装置140のCPU231は、認証認可サーバー連携クライアント346を介して、前記URLに対してOAuthの認可リクエストをするようWebブラウザ348にリダイレクト要求する。前記認可リクエストに付随する情報は、デバイスクライアント管理テーブルの「クライアントID」、「リダイレクトURL」の情報を含む。また、前記認可リクエストに付随する情報は、認可を受けたい権限範囲を示す情報として「Resource」の値が設定された「スコープ」の情報を含む。前記認可リクエストは、登録要求の処理の一例である。
S405において、画像形成装置140のCPU231は、前記認可リクエストを受け付けた認証認可サーバー110から送信される図5aに示すログイン画面501をWebブラウザ348に示す。
S406において、画像形成装置140のCPU231は、ユーザーによるWebブラウザ348に示されたログイン画面501へのユーザーIDとパスワードとの入力を受け付ける。画像形成装置140のCPU231は、Webブラウザ348を介して示された前記ユーザーIDと前記パスワードとを認証認可サーバーへと送信する。認証認可サーバー110のCPU231は、前記ユーザーID、前記パスワードの組みがユーザー管理テーブルに登録されている情報と合致するか否かを検証する。認証認可サーバー110のCPU231は、前記ユーザーIDと前記パスワードとの組みがユーザー管理テーブルに登録されている情報と合致する場合、ユーザーIDと紐づいた認証情報を生成する。認証認可サーバー110のCPU231は、認可リクエストに含まれている「クライアントID」と「リダイレクトURL」との組みが、クライアント管理テーブルに登録された情報と合致するか否か、「スコープ」が「Resource」であるか否かを検証する。
S405において、画像形成装置140のCPU231は、前記認可リクエストを受け付けた認証認可サーバー110から送信される図5aに示すログイン画面501をWebブラウザ348に示す。
S406において、画像形成装置140のCPU231は、ユーザーによるWebブラウザ348に示されたログイン画面501へのユーザーIDとパスワードとの入力を受け付ける。画像形成装置140のCPU231は、Webブラウザ348を介して示された前記ユーザーIDと前記パスワードとを認証認可サーバーへと送信する。認証認可サーバー110のCPU231は、前記ユーザーID、前記パスワードの組みがユーザー管理テーブルに登録されている情報と合致するか否かを検証する。認証認可サーバー110のCPU231は、前記ユーザーIDと前記パスワードとの組みがユーザー管理テーブルに登録されている情報と合致する場合、ユーザーIDと紐づいた認証情報を生成する。認証認可サーバー110のCPU231は、認可リクエストに含まれている「クライアントID」と「リダイレクトURL」との組みが、クライアント管理テーブルに登録された情報と合致するか否か、「スコープ」が「Resource」であるか否かを検証する。
S407において、認証認可サーバー110のCPU231は、前記「クライアントID」と前記「リダイレクトURL」との組みがクライアント管理テーブルに登録された情報と合致し、前記「スコープ」が「Resource」である場合、次の処理を実行する。即ち、認証認可サーバー110のCPU231は、クライアント管理テーブルの前記検証で合致した登録された情報から「クライアント名」を取得し、図5bに示すリソース登録確認画面502を生成し、Webブラウザ348に送信する。また、認証認可サーバー110のCPU231は、認証情報をWebブラウザ348に対してCookie情報として格納させる。なお、図5bでは、リソース登録確認画面502にクライアント名を表示されるとして示したが、リソース登録確認画面502にクライアントの詳細な説明を追加して表示させることや、ログインしているユーザーの情報を表示させるようにすることもできる。
S408において、画像形成装置140のCPU231は、Webブラウザ348に示されたリソース登録確認画面502へのユーザーによる操作に基づいて、認証認可サーバー110に対して許可であることを示す情報を送信する。より具体的には、画像形成装置140のCPU231は、ユーザーによりリソース登録確認画面502の許可ボタンが押されたことを検知した場合、認証認可サーバー110に対して画像形成装置140のリソース登録が許可であることを示す情報を送信する。
S408において、画像形成装置140のCPU231は、Webブラウザ348に示されたリソース登録確認画面502へのユーザーによる操作に基づいて、認証認可サーバー110に対して許可であることを示す情報を送信する。より具体的には、画像形成装置140のCPU231は、ユーザーによりリソース登録確認画面502の許可ボタンが押されたことを検知した場合、認証認可サーバー110に対して画像形成装置140のリソース登録が許可であることを示す情報を送信する。
前記許可を受けた認証認可サーバー110のCPU231は、認可トークン管理テーブルに認可コードを発行し、登録する処理を行う。前記登録する処理は、画像形成装置140を認証認可サーバー110の配下の資源として登録する処理の一例である。認証認可サーバー110のCPU231は、認可トークン管理テーブルの「認可トークンID」に前記発行した認可コードの「ID」を、「種別」に「認可コード」を、「スコープ」に「Resource」を、「有効期限」にトークンの有効期限を、登録する。更には、認証認可サーバー110のCPU231は、認可リクエスト時に受け付けたクライアントIDを「クライアントID」に、Webブラウザ348からCookieとして送信された認証情報に紐づくユーザーIDを「ユーザーID」に登録する。例えば、認可トークン管理テーブルの1行目に記載したAT_0000が前記登録された情報の一例である。
S409において、認証認可サーバー110のCPU231は、認可コードの認可トークンIDを付与したリダイレクトURLに対してWebブラウザ348にリダイレクト要求する。画像形成装置140のCPU231は、前記リダイレクト要求に基づき、Webブラウザ348を介して、認証認可サーバー連携クライアント346へ前記認可トークンIDを送信する。
S409において、認証認可サーバー110のCPU231は、認可コードの認可トークンIDを付与したリダイレクトURLに対してWebブラウザ348にリダイレクト要求する。画像形成装置140のCPU231は、前記リダイレクト要求に基づき、Webブラウザ348を介して、認証認可サーバー連携クライアント346へ前記認可トークンIDを送信する。
S410において、画像形成装置140のCPU231は、認証認可サーバー連携クライアント346を介して、認証認可サーバー110に対してトークン要求を行う。前記トークン要求に付随する情報は、前記認可トークンID、デバイスクライアント管理テーブルの「クライアントID」、「シークレット」、「リダイレクトURL」を含む。
S411において、認証認可サーバー110のCPU231は、以下の検証処理を行い、前記検証処理の結果が全て正しい場合、リソーストークンを生成する。認証認可サーバー110のCPU231は、前記トークン要求で受けつけたクライアントIDとクライアントシークレットとの組みが、ユーザー管理テーブルに登録されている「ユーザーID」、「パスワード」の組みと合致するか否か検証する。認証認可サーバー110のCPU231は、トークン要求で受けつけた認可トークンIDが、認可トークン管理テーブルに登録されているか否か、有効期限内か否かを検証する。認証認可サーバー110のCPU231は、前記トークン要求で受けつけたクライアントIDと、認可トークン管理テーブルの「認可トークンID」で特定される「クライアントID」と、が合致するか否かを検証する。更には、認証認可サーバー110のCPU231は、前記トークン要求で受け付けたリダイレクトURLと、クライアント管理テーブルの「リダイレクトURL」と、が合致するか否かを検証する。前記「リダイレクトURL」は、クライアント管理テーブルで管理されるのではなく、認可トークン管理テーブルに「リダイレクトURL」のカラムを追加することにより認可トークン管理テーブルで管理されていてもよい。「リダイレクトURL」が認可トークン管理テーブルで管理される場合、認可コードの発行のときに前記認可コードに対応するリダイレクトURLも前記追加された「リダイレクトURL」のカラムに登録される。前記検証において、認証認可サーバー110のCPU231は、前記トークン要求で受け付けたリダイレクトURLと、認可トークン管理テーブルの「リダイレクトURL」と、が合致するか否か検証するようにしてもよい。S411の全ての検証の結果が正しい場合、認証認可サーバー110のCPU231は、リソーストークンを生成する。
S411において、認証認可サーバー110のCPU231は、以下の検証処理を行い、前記検証処理の結果が全て正しい場合、リソーストークンを生成する。認証認可サーバー110のCPU231は、前記トークン要求で受けつけたクライアントIDとクライアントシークレットとの組みが、ユーザー管理テーブルに登録されている「ユーザーID」、「パスワード」の組みと合致するか否か検証する。認証認可サーバー110のCPU231は、トークン要求で受けつけた認可トークンIDが、認可トークン管理テーブルに登録されているか否か、有効期限内か否かを検証する。認証認可サーバー110のCPU231は、前記トークン要求で受けつけたクライアントIDと、認可トークン管理テーブルの「認可トークンID」で特定される「クライアントID」と、が合致するか否かを検証する。更には、認証認可サーバー110のCPU231は、前記トークン要求で受け付けたリダイレクトURLと、クライアント管理テーブルの「リダイレクトURL」と、が合致するか否かを検証する。前記「リダイレクトURL」は、クライアント管理テーブルで管理されるのではなく、認可トークン管理テーブルに「リダイレクトURL」のカラムを追加することにより認可トークン管理テーブルで管理されていてもよい。「リダイレクトURL」が認可トークン管理テーブルで管理される場合、認可コードの発行のときに前記認可コードに対応するリダイレクトURLも前記追加された「リダイレクトURL」のカラムに登録される。前記検証において、認証認可サーバー110のCPU231は、前記トークン要求で受け付けたリダイレクトURLと、認可トークン管理テーブルの「リダイレクトURL」と、が合致するか否か検証するようにしてもよい。S411の全ての検証の結果が正しい場合、認証認可サーバー110のCPU231は、リソーストークンを生成する。
S412において、認証認可サーバー110のCPU231は、S411で生成されたリソーストークンの認可トークンIDを認証認可サーバー連携クライアント346に対して送信する。更に、認証認可サーバー110のCPU231は、前記リソーストークンと同時に発行したリフレッシュトークンID、認証認可サーバー110へログインしたユーザーIDも認証認可サーバー連携クライアント346へ送信する。認証認可サーバー110のCPU231は、認可トークン管理テーブルに「認可トークンID」に発行したトークンのID、「トークン種別」にリソーストークン、「有効期限」、を登録する。更に、認証認可サーバー110のCPU231は、認可トークン管理テーブルに対して、前記認可コードから引き継ぐ情報として、「クライアントID」、「ユーザーID」を登録する。また、認証認可サーバー110のCPU231は、リソーストークンをリフレッシュするためのリフレッシュトークンを発行し、認可トークン管理テーブルの「リフレッシュトークンID」、「リフレッシュ期限」に登録する。リフレッシュの処理については、図6のS614−S616等で、後述する。認可トークン管理テーブルの2行目に記載したAT_0001は、前記登録された情報の一例である。
S413において、画像形成装置140のCPU231は、認証認可サーバー連携クライアント346を介して、アプリケーション管理フレームワーク340を介して画像形成装置140にログインしているユーザーのログインコンテキストを取得する。そして、画像形成装置140のCPU231は、認証認可サーバー連携クライアント346を介して、前記ログインコンテキストからデバイスユーザーIDを取得する。
S414において、画像形成装置140のCPU231は、認証認可サーバー連携クライアント346を介して、デバイストークン管理テーブルに対して登録を行う。画像形成装置140のCPU231は、前記登録において、「ユーザーID」にデバイスユーザーIDを、「認可トークンID」にリソーストークンの認可トークンIDを、「リフレッシュトークンID」にリフレッシュトークンIDを、登録する。また、画像形成装置140のCPU231は、前記登録において、「認証認可サーバーユーザーID」に認証認可サーバー110へログインしたユーザーIDを、登録する。
S415において、画像形成装置140のCPU231は、認証認可サーバー連携クライアント346を介して、リソース登録完了の旨を示す画面をWebブラウザ348に応答し、リソース登録処理の処理を終了する。
S414において、画像形成装置140のCPU231は、認証認可サーバー連携クライアント346を介して、デバイストークン管理テーブルに対して登録を行う。画像形成装置140のCPU231は、前記登録において、「ユーザーID」にデバイスユーザーIDを、「認可トークンID」にリソーストークンの認可トークンIDを、「リフレッシュトークンID」にリフレッシュトークンIDを、登録する。また、画像形成装置140のCPU231は、前記登録において、「認証認可サーバーユーザーID」に認証認可サーバー110へログインしたユーザーIDを、登録する。
S415において、画像形成装置140のCPU231は、認証認可サーバー連携クライアント346を介して、リソース登録完了の旨を示す画面をWebブラウザ348に応答し、リソース登録処理の処理を終了する。
次に、図5、6を用いて、クライアント端末150から、リソースサーバー120及び画像形成装置140のリソースサービス連携アプリケーション347にアクセスする処理を説明する。
図6は、クライアント端末によるリソースサーバーの利用処理の一例を示す図である。
図6のシーケンスは、クライアント端末150が、リソースサーバー120にアクセスするまでのシーケンスである。前記シーケンスは、2つのシーケンスに分かれる。1つ目のシーケンスは、クライアント端末150が、リソースサーバー120を利用するための認可トークンを取得するためのシーケンス(S601−S611)である。2つ目のシーケンスは、前記認可トークンを利用してリソースサーバー120へアクセスするためのシーケンス(S612−S625)である。なお、前記2つのシーケンスは一般的なOAuthの仕組みを利用した端末装置がリソースサーバーにアクセスするためのシーケンスと同様である。また、本実施形態では、クライアント端末150は、ユーザーを管理していない端末を想定している。クライアント端末150が画像形成装置140と同様の構成でユーザーやリソースサービス連携アプリケーション347を管理する場合、クライアント端末150は、図4で示したリソース登録処理と同様の処理で認可トークンを取得する。
図6は、クライアント端末によるリソースサーバーの利用処理の一例を示す図である。
図6のシーケンスは、クライアント端末150が、リソースサーバー120にアクセスするまでのシーケンスである。前記シーケンスは、2つのシーケンスに分かれる。1つ目のシーケンスは、クライアント端末150が、リソースサーバー120を利用するための認可トークンを取得するためのシーケンス(S601−S611)である。2つ目のシーケンスは、前記認可トークンを利用してリソースサーバー120へアクセスするためのシーケンス(S612−S625)である。なお、前記2つのシーケンスは一般的なOAuthの仕組みを利用した端末装置がリソースサーバーにアクセスするためのシーケンスと同様である。また、本実施形態では、クライアント端末150は、ユーザーを管理していない端末を想定している。クライアント端末150が画像形成装置140と同様の構成でユーザーやリソースサービス連携アプリケーション347を管理する場合、クライアント端末150は、図4で示したリソース登録処理と同様の処理で認可トークンを取得する。
S601において、クライアント端末150のCPU231は、ユーザーによる操作に基づいて、リソースサービス連携アプリケーション351を起動する。クライアント端末150のCPU231は、リソースサービス連携アプリケーション351を介して、デバイストークン管理テーブルにて認可トークンを保持しているか否かを確認し、保持していない場合、S602の処理へ進む。クライアント端末150のCPU231は、デバイストークン管理テーブルにて認可トークンを保持している場合、S612の処理に進む。
S602において、クライアント端末150のCPU231は、OAuthの認可リクエストを行う。クライアント端末150のCPU231は、リソースサービス連携アプリケーション351を介して、Webブラウザ350を起動する。クライアント端末150のCPU231は、リソースサービス連携アプリケーション351を介して、Webブラウザ350に対してデバイスクライアント管理テーブルの「エンドポイントURL」のURLへリダイレクトを要求する。クライアント端末150のCPU231は、前記認可リクエストに、デバイスクライアント管理テーブルの「クライアントID」、「リダイレクトURL」の情報を含めることができる。また、クライアント端末150のCPU231は、前記認可リクエストに、認可を受けたい権限範囲を示すスコープを含めることができる。例えば、クライアント端末150のCPU231は、リソースサーバー120を利用するためのスコープとしてPrintを指定することができる。
S602において、クライアント端末150のCPU231は、OAuthの認可リクエストを行う。クライアント端末150のCPU231は、リソースサービス連携アプリケーション351を介して、Webブラウザ350を起動する。クライアント端末150のCPU231は、リソースサービス連携アプリケーション351を介して、Webブラウザ350に対してデバイスクライアント管理テーブルの「エンドポイントURL」のURLへリダイレクトを要求する。クライアント端末150のCPU231は、前記認可リクエストに、デバイスクライアント管理テーブルの「クライアントID」、「リダイレクトURL」の情報を含めることができる。また、クライアント端末150のCPU231は、前記認可リクエストに、認可を受けたい権限範囲を示すスコープを含めることができる。例えば、クライアント端末150のCPU231は、リソースサーバー120を利用するためのスコープとしてPrintを指定することができる。
S603において、認証認可サーバー110のCPU231は、ユーザーを認証するために図5aに示すログイン画面501をWebブラウザ350に送信する。
S604において、クライアント端末150のCPU231は、ユーザーによるWebブラウザ350に示されたS603で送信されたログイン画面501へのユーザーIDとパスワードとの入力を検知する。クライアント端末150のCPU231は、Webブラウザ350を介して、前記ユーザーIDとパスワードとを認証認可サーバー110へ送信する。認証認可サーバー110のCPU231は、前記ユーザーIDとパスワードとの組みがユーザー管理テーブルに登録されている情報と合致するか否かを検証し、合致する場合は前記ユーザーIDと紐づいた認証情報を生成し、次の処理を実行する。認証認可サーバー110のCPU231は、前記認可リクエストのクライアントIDとリダイレクトURLとの組みがクライアント管理テーブルに登録されている情報と合致するか否かを検証する。また、認証認可サーバー110のCPU231は、ログインしたユーザーに前記認可リクエストのスコープへの権限があるか否かを検証する。前記2つの検証の結果、前記認可リクエストのクライアントIDとリダイレクトURLとの組みがクライアント管理テーブルに登録されている情報と合致し、ログインしたユーザーに前記認可リクエストのスコープへの権限がある場合、次の処理が行われる。即ち、認証認可サーバー110のCPU231は、S605の処理へ進む。
S604において、クライアント端末150のCPU231は、ユーザーによるWebブラウザ350に示されたS603で送信されたログイン画面501へのユーザーIDとパスワードとの入力を検知する。クライアント端末150のCPU231は、Webブラウザ350を介して、前記ユーザーIDとパスワードとを認証認可サーバー110へ送信する。認証認可サーバー110のCPU231は、前記ユーザーIDとパスワードとの組みがユーザー管理テーブルに登録されている情報と合致するか否かを検証し、合致する場合は前記ユーザーIDと紐づいた認証情報を生成し、次の処理を実行する。認証認可サーバー110のCPU231は、前記認可リクエストのクライアントIDとリダイレクトURLとの組みがクライアント管理テーブルに登録されている情報と合致するか否かを検証する。また、認証認可サーバー110のCPU231は、ログインしたユーザーに前記認可リクエストのスコープへの権限があるか否かを検証する。前記2つの検証の結果、前記認可リクエストのクライアントIDとリダイレクトURLとの組みがクライアント管理テーブルに登録されている情報と合致し、ログインしたユーザーに前記認可リクエストのスコープへの権限がある場合、次の処理が行われる。即ち、認証認可サーバー110のCPU231は、S605の処理へ進む。
S605において、認証認可サーバー110のCPU231は、図5cに示す認可確認画面503を生成し、Webブラウザ350に送信する。認証認可サーバー110のCPU231は、前記認証情報をWebブラウザ350に対してCookie情報として格納する。なお、図5cでは、認可確認画面503にリソース名を表示するよう示したが、ここにクライアントの詳細な説明を追加して表示することや、ログインしているユーザーの情報を表示するようにすることもできる。
S606において、クライアント端末150のCPU231は、Webブラウザ350に示された認可確認画面へのユーザーによる操作に基づいて、認証認可サーバーへ認可の許可を示す情報を送信する。認証認可サーバー110のCPU231は、認可トークン管理テーブルに認可コードを発行し、前記認可コードに対応する情報を登録する。認可トークン管理テーブルに登録される前記情報は、「認可トークンID」に発行した認可コードのID、「種別」に認可コード、「スコープ」にPrint、「有効期限」にトークンの有効期限を含む。更には、認可トークン管理テーブルに登録される前記情報は、「クライアントID」に認可リクエスト時に受け付けたクライアントIDを、「ユーザーID」にWebブラウザ350からCookieとして送信された認証情報に紐づくユーザーIDを、含む。例えば、認可トークン管理テーブルの3行目に記載したAT_0002は、認可トークン管理テーブルに登録される前記情報の一例である。
S607において、認証認可サーバー110のCPU231は、認可応答として、認可コードのIDを付与したリダイレクトURLに対してWebブラウザ350にリダイレクト要求する。
S606において、クライアント端末150のCPU231は、Webブラウザ350に示された認可確認画面へのユーザーによる操作に基づいて、認証認可サーバーへ認可の許可を示す情報を送信する。認証認可サーバー110のCPU231は、認可トークン管理テーブルに認可コードを発行し、前記認可コードに対応する情報を登録する。認可トークン管理テーブルに登録される前記情報は、「認可トークンID」に発行した認可コードのID、「種別」に認可コード、「スコープ」にPrint、「有効期限」にトークンの有効期限を含む。更には、認可トークン管理テーブルに登録される前記情報は、「クライアントID」に認可リクエスト時に受け付けたクライアントIDを、「ユーザーID」にWebブラウザ350からCookieとして送信された認証情報に紐づくユーザーIDを、含む。例えば、認可トークン管理テーブルの3行目に記載したAT_0002は、認可トークン管理テーブルに登録される前記情報の一例である。
S607において、認証認可サーバー110のCPU231は、認可応答として、認可コードのIDを付与したリダイレクトURLに対してWebブラウザ350にリダイレクト要求する。
S608において、クライアント端末150のCPU231は、リソースサービス連携アプリケーション351を介して、認証認可サーバー110に対してトークン要求を行う。前記トークン要求に付随する情報は、認可応答で取得した認可コードの認可トークンID、デバイスクライアント管理テーブルの「クライアントID」、「シークレット」、「リダイレクトURL」を含む。
前記トークン要求を受けた認証認可サーバー110のCPU231は、以下の検証を行い、全て正しい場合は認可トークンを生成する。認証認可サーバー110のCPU231は、トークン要求のクライアントIDとクライアントシークレットとの組みが、ユーザー管理テーブルに登録されている「ユーザーID」、「パスワード」の組みと合致するか否か検証する。認証認可サーバー110のCPU231は、トークン要求の認可コードの認可トークンIDが、認可トークン管理テーブルに登録されているか否か、前記認可トークンIDが有効期限内か否かを検証する。また、認証認可サーバー110のCPU231は、トークン要求で受けつけたクライアントIDと認可トークン管理テーブルの「認可トークンID」で特定される「クライアントID」とが合致するか否かを検証する。更には、認証認可サーバー110のCPU231は、前記トークン要求のリダイレクトURLがクライアント管理テーブルの「リダイレクトURL」と合っているか否かを検証する。前記「リダイレクトURL」は、クライアント管理テーブルで管理されるのではなく、認可トークン管理テーブルに「リダイレクトURL」のカラムを追加することにより認可トークン管理テーブルで管理されていてもよい。「リダイレクトURL」が認可トークン管理テーブルで管理される場合、認可コードの発行のときに前記認可コードに対応するリダイレクトURLも前記追加された「リダイレクトURL」のカラムに登録される。前記検証において、認証認可サーバー110のCPU231は、前記トークン要求で受け付けたリダイレクトURLと、認可トークン管理テーブルの「リダイレクトURL」と、が合致するか否か検証するようにしてもよい。前記すべての検証が正しい場合に、認証認可サーバー110のCPU231は、認可トークンを生成する。
前記トークン要求を受けた認証認可サーバー110のCPU231は、以下の検証を行い、全て正しい場合は認可トークンを生成する。認証認可サーバー110のCPU231は、トークン要求のクライアントIDとクライアントシークレットとの組みが、ユーザー管理テーブルに登録されている「ユーザーID」、「パスワード」の組みと合致するか否か検証する。認証認可サーバー110のCPU231は、トークン要求の認可コードの認可トークンIDが、認可トークン管理テーブルに登録されているか否か、前記認可トークンIDが有効期限内か否かを検証する。また、認証認可サーバー110のCPU231は、トークン要求で受けつけたクライアントIDと認可トークン管理テーブルの「認可トークンID」で特定される「クライアントID」とが合致するか否かを検証する。更には、認証認可サーバー110のCPU231は、前記トークン要求のリダイレクトURLがクライアント管理テーブルの「リダイレクトURL」と合っているか否かを検証する。前記「リダイレクトURL」は、クライアント管理テーブルで管理されるのではなく、認可トークン管理テーブルに「リダイレクトURL」のカラムを追加することにより認可トークン管理テーブルで管理されていてもよい。「リダイレクトURL」が認可トークン管理テーブルで管理される場合、認可コードの発行のときに前記認可コードに対応するリダイレクトURLも前記追加された「リダイレクトURL」のカラムに登録される。前記検証において、認証認可サーバー110のCPU231は、前記トークン要求で受け付けたリダイレクトURLと、認可トークン管理テーブルの「リダイレクトURL」と、が合致するか否か検証するようにしてもよい。前記すべての検証が正しい場合に、認証認可サーバー110のCPU231は、認可トークンを生成する。
S609において、認証認可サーバー110のCPU231は、前記認可トークンの認可トークンID、リフレッシュトークンID、認証認可サーバー110へログインしたユーザーIDをリソースサービス連携アプリケーション351に送信する。認証認可サーバー110のCPU231は、認可トークン管理テーブルに、「認可トークンID」に前記認可トークンのID、「トークン種別」に「認可トークン」、「有効期限」を登録する。また、認証認可サーバー110のCPU231は、認可コードから引き継ぐ情報として、「クライアントID」、「ユーザーID」を登録する。更に、認証認可サーバー110のCPU231は、認可トークンをリフレッシュするためのリフレッシュトークンを発行し、「リフレッシュトークンID」、「リフレッシュ期限」に登録する。例えば、認可トークン管理テーブルの4行目に記載したAT_0003は、前記登録された情報の一例である。なお、リフレッシュの処理については、図6のS614−S616等で、後述する。
S610において、クライアント端末150のCPU231は、リソースサービス連携アプリケーション351を介して、デバイストークン管理テーブルに前記認可トークンの情報を保存する。クライアント端末150のCPU231は、デバイストークン管理テーブルの「認可トークンID」に認可トークンIDを、「リフレッシュトークンID」にリフレッシュトークンIDを、保存する。更に、クライアント端末150のCPU231は、デバイストークン管理テーブルの「認証認可サーバーユーザーID」に認証認可サーバー110へログインしたユーザーIDを、保存する。
S611において、クライアント端末150のCPU231は、リソースサービス連携アプリケーション351を介して、認可完了の旨を示す画面をWebブラウザ350に示す。
S610において、クライアント端末150のCPU231は、リソースサービス連携アプリケーション351を介して、デバイストークン管理テーブルに前記認可トークンの情報を保存する。クライアント端末150のCPU231は、デバイストークン管理テーブルの「認可トークンID」に認可トークンIDを、「リフレッシュトークンID」にリフレッシュトークンIDを、保存する。更に、クライアント端末150のCPU231は、デバイストークン管理テーブルの「認証認可サーバーユーザーID」に認証認可サーバー110へログインしたユーザーIDを、保存する。
S611において、クライアント端末150のCPU231は、リソースサービス連携アプリケーション351を介して、認可完了の旨を示す画面をWebブラウザ350に示す。
続いて、取得した認可トークンを利用したクライアント端末150によるリソースサーバー120へのアクセスについてのシーケンスを説明する。
S612において、クライアント端末150のCPU231は、ユーザーによるクライアント端末150への操作に基づいて、リソースサービス連携アプリケーション351を利用する。クライアント端末150のCPU231は、リソースサービス連携アプリケーション351を介して、ユーザーから要求された処理を実現するため、リソースサーバー120へ前記処理の要求を行う。
S612において、クライアント端末150のCPU231は、ユーザーによるクライアント端末150への操作に基づいて、リソースサービス連携アプリケーション351を利用する。クライアント端末150のCPU231は、リソースサービス連携アプリケーション351を介して、ユーザーから要求された処理を実現するため、リソースサーバー120へ前記処理の要求を行う。
S613−S617の処理は、認可トークンの有効期限が切れている場合に新たな認可トークンを認証認可サーバー110に対してクライアント端末150により要求される認可トークンのリフレッシュ処理である。認可トークンの有効期限が切れていない場合は、前記リフレッシュ処理を実施せず、S618へ進んでもよい。
S613において、クライアント端末150のCPU231は、リソースサービス連携アプリケーション351を介して、デバイストークン管理テーブルより、認可トークンの「リフレッシュトークンID」を取得する。
S614において、クライアント端末150のCPU231は、リソースサービス連携アプリケーション351を介して認証認可サーバー110にトークンリフレッシュ要求を行う。前記トークンリフレッシュ要求に付随する情報は、前記「リフレッシュトークンID」とデバイスクライアント管理テーブルの「クライアントID」と「シークレット」とを含む。認証認可サーバー110のCPU231は、前記トークンリフレッシュ要求を受け付けると、以下の処理を実行する。まず、認証認可サーバー110のCPU231は、前記トークンリフレッシュ要求に付随する情報に含まれるクライアントIDとクライアントシークレットとの組みがユーザー管理テーブルの「ユーザーID」と「パスワード」との組みと合致するか否かを検証する。前記検証の結果、合致するとされた場合、認証認可サーバー110のCPU231は、前記トークンリフレッシュ要求のリフレッシュトークンIDが認可トークン管理テーブルに登録されているか否かを検証する。更に、認証認可サーバー110のCPU231は、認可トークン管理テーブルの前記リフレッシュトークンIDに対応する「リフレッシュ期限」が有効期限内か否かを検証する。更に、認証認可サーバー110のCPU231は、トークンリフレッシュ要求に付随する情報に含まれるクライアントIDが認可トークン管理テーブルの「クライアントID」と一致するか検証する。
S613において、クライアント端末150のCPU231は、リソースサービス連携アプリケーション351を介して、デバイストークン管理テーブルより、認可トークンの「リフレッシュトークンID」を取得する。
S614において、クライアント端末150のCPU231は、リソースサービス連携アプリケーション351を介して認証認可サーバー110にトークンリフレッシュ要求を行う。前記トークンリフレッシュ要求に付随する情報は、前記「リフレッシュトークンID」とデバイスクライアント管理テーブルの「クライアントID」と「シークレット」とを含む。認証認可サーバー110のCPU231は、前記トークンリフレッシュ要求を受け付けると、以下の処理を実行する。まず、認証認可サーバー110のCPU231は、前記トークンリフレッシュ要求に付随する情報に含まれるクライアントIDとクライアントシークレットとの組みがユーザー管理テーブルの「ユーザーID」と「パスワード」との組みと合致するか否かを検証する。前記検証の結果、合致するとされた場合、認証認可サーバー110のCPU231は、前記トークンリフレッシュ要求のリフレッシュトークンIDが認可トークン管理テーブルに登録されているか否かを検証する。更に、認証認可サーバー110のCPU231は、認可トークン管理テーブルの前記リフレッシュトークンIDに対応する「リフレッシュ期限」が有効期限内か否かを検証する。更に、認証認可サーバー110のCPU231は、トークンリフレッシュ要求に付随する情報に含まれるクライアントIDが認可トークン管理テーブルの「クライアントID」と一致するか検証する。
S615において、認証認可サーバー110のCPU231は、S614における検証が全て正しい場合、認可トークンを再度発行する。認証認可サーバー110のCPU231は、新たに認可トークンID、リフレッシュトークンIDを発行して認可トークン管理テーブルに登録する。認証認可サーバー110のCPU231は、前記トークンリフレッシュ要求で受けつけたリフレッシュトークンIDに対応する「トークン種別」、「スコープ」、「クライアントID」の値を引き継いで認可トークン管理テーブルに登録する。また、認証認可サーバー110のCPU231は、元のリフレッシュトークンIDを、再度リフレッシュできないよう無効化、より具体的には有効期限を強制的に期限切れにしてもよい。認証認可サーバー110のCPU231は、リフレッシュトークンIDを新規発行せず、新たな認可トークンIDに対応する「リフレッシュトークンID」に引き継ぐようにしてもよい。
S616、前記認可トークンの認可トークンIDと、リフレッシュトークンIDをリソースサービス連携アプリケーション351に送信する。
S617において、クライアント端末150のCPU231は、リソースサービス連携アプリケーション351を介して、デバイストークン管理テーブルの「トークンID」を、S615で発行された認可トークンの認可トークンIDで上書きする。また、クライアント端末150のCPU231は、リソースサービス連携アプリケーション351を介して、デバイストークン管理テーブルの「リフレッシュトークンID」を、S615で発行された認可トークンのリフレッシュトークンIDで上書きする。
S616、前記認可トークンの認可トークンIDと、リフレッシュトークンIDをリソースサービス連携アプリケーション351に送信する。
S617において、クライアント端末150のCPU231は、リソースサービス連携アプリケーション351を介して、デバイストークン管理テーブルの「トークンID」を、S615で発行された認可トークンの認可トークンIDで上書きする。また、クライアント端末150のCPU231は、リソースサービス連携アプリケーション351を介して、デバイストークン管理テーブルの「リフレッシュトークンID」を、S615で発行された認可トークンのリフレッシュトークンIDで上書きする。
S618において、クライアント端末150のCPU231は、リソースサービス連携アプリケーション351を介して、リソースサーバー120に認可トークンIDを含む情報を付随させたリソース要求を行う。
S619において、リソースサーバー120のCPU231は、前記リソース要求に付随する情報に含まれる認可トークンIDのトークン検証を、認証認可サーバー110に対して要求する。前記要求に付随する情報は、スコープを含めることができ、例えばPrintのスコープを含めることができる。スコープは、処理情報の一例である。
S620において、認証認可サーバー110は、前記認可トークンIDが、認可トークン管理テーブルに登録されているか否か、有効期限内か否か及び受け付けたスコープが認可トークンのスコープの範囲内否か、を検証する。そして、認証認可サーバー110は、前記検証の結果をリソースサーバー120に送信する。
S621において、リソースサーバー120のCPU231は、認証認可サーバー110に対して、前記認可トークンIDを送信しトークン情報取得を要求する。
S619において、リソースサーバー120のCPU231は、前記リソース要求に付随する情報に含まれる認可トークンIDのトークン検証を、認証認可サーバー110に対して要求する。前記要求に付随する情報は、スコープを含めることができ、例えばPrintのスコープを含めることができる。スコープは、処理情報の一例である。
S620において、認証認可サーバー110は、前記認可トークンIDが、認可トークン管理テーブルに登録されているか否か、有効期限内か否か及び受け付けたスコープが認可トークンのスコープの範囲内否か、を検証する。そして、認証認可サーバー110は、前記検証の結果をリソースサーバー120に送信する。
S621において、リソースサーバー120のCPU231は、認証認可サーバー110に対して、前記認可トークンIDを送信しトークン情報取得を要求する。
S622において、認証認可サーバー110のCPU231は、認可トークン管理テーブルから前記認可トークンIDに対応する情報を取得し、前記情報をリソースサーバー120に送信する。前記送信に付随する情報は、例えば、認可トークン管理テーブルの「スコープ」、「クライアントID」、「ユーザーID」等の情報を含む。更には、前記送信に付随する情報は、クライアントIDにて特定されるクライアント管理テーブルに登録されている「シリアル番号」を含む。
S623において、リソースサーバー120のCPU231は、S622で送信された情報に基づいて、要求されたリソースに対するアクセスを許可するか否かを判断し、許可する場合に処理を実行する。
S624において、リソースサーバー120のCPU231は、処理の結果をリソースサービス連携アプリケーション351に送信する。
S625において、クライアント端末150のCPU231は、リソースサービス連携アプリケーション351を介して、ユーザーに対して結果を表示する。
前記シーケンスに係る処理によって、クライアント端末150と画像形成装置140とは、クライアント端末150と画像形成装置140との間の新たな認証処理を要することなく連携処理が可能となる。
以上が、クライアント端末150がリソースサーバー120を利用するシーケンスである。
S623において、リソースサーバー120のCPU231は、S622で送信された情報に基づいて、要求されたリソースに対するアクセスを許可するか否かを判断し、許可する場合に処理を実行する。
S624において、リソースサーバー120のCPU231は、処理の結果をリソースサービス連携アプリケーション351に送信する。
S625において、クライアント端末150のCPU231は、リソースサービス連携アプリケーション351を介して、ユーザーに対して結果を表示する。
前記シーケンスに係る処理によって、クライアント端末150と画像形成装置140とは、クライアント端末150と画像形成装置140との間の新たな認証処理を要することなく連携処理が可能となる。
以上が、クライアント端末150がリソースサーバー120を利用するシーケンスである。
続いて、クライアント端末150が画像形成装置140のリソースサービス連携アプリケーション347を利用するシーケンスについて、図7、8、9、10、11を用いて説明する。
図7は、クライアント端末150が図6のS601−S611の処理で認可トークンを取得したことを前提とするシーケンスである。クライアント端末150のCPU231がリソースサーバー120へのアクセスに利用した認可トークンをそのまま画像形成装置140へのアクセスで利用可能なため、クライアント端末150と画像形成装置140との間の認証処理が不要となる。
図7は、クライアント端末150が図6のS601−S611の処理で認可トークンを取得したことを前提とするシーケンスである。クライアント端末150のCPU231がリソースサーバー120へのアクセスに利用した認可トークンをそのまま画像形成装置140へのアクセスで利用可能なため、クライアント端末150と画像形成装置140との間の認証処理が不要となる。
S701において、クライアント端末150のCPU231は、ユーザーによるクライアント端末150への操作に基づいて、リソースサービス連携アプリケーション351を利用する。クライアント端末150のCPU231は、ユーザーによる操作に基づいてアクセスする画像形成装置140を特定し、リソースサービス連携アプリケーション347の機能を利用する。画像形成装置140の特定方法としては、事前にクライアント端末150に登録しておいた画像形成装置140の一覧から選択するといった方法等がある。また、クライアント端末150と画像形成装置140とにNFC(Near Field Communication)等が実装されていれば、クライアント端末150で対象の画像形成装置140のNFCを読み取り画像形成装置140を特定する方法でもよい。更に、クライアント端末150にカメラ等のハードウェアが実装されていれば、画像形成装置140にて2次元バーコード等を表示し、前記カメラで前記2次元バーコード等を読み取って画像形成装置140を特定する方法でもよい。本実施形態では画像形成装置140の特定方法は限定しない。
S702において、クライアント端末150のCPU231は、リソースサービス連携アプリケーション351を介して、利用する画像形成装置140に対して、リソース要求を行う。前記リソース要求に付随する情報は、図6のS617で保存した認可トークンの認可トークンIDを含む。画像形成装置140の印刷性能(カラー/モノクロやフィニッシャーの性能)の取得、取得した印刷情報に基づいた印刷設定付きの印刷指示は、前記リソース要求の一例である。
S702において、クライアント端末150のCPU231は、リソースサービス連携アプリケーション351を介して、利用する画像形成装置140に対して、リソース要求を行う。前記リソース要求に付随する情報は、図6のS617で保存した認可トークンの認可トークンIDを含む。画像形成装置140の印刷性能(カラー/モノクロやフィニッシャーの性能)の取得、取得した印刷情報に基づいた印刷設定付きの印刷指示は、前記リソース要求の一例である。
S703において、画像形成装置140のCPU231は、リソースサービス連携アプリケーション347を介して、次の処理を行う。即ち、画像形成装置140のCPU231は、前記リソース要求に付随する情報に含まれる前記認可トークンについて認証認可サーバー連携クライアント346に検証するようトークン検証要求する。なお、前記トークン検証要求に付随する情報は、スコープの指定を含むことができる。本実施形態では、前記トークン検証要求に付随する情報は、Printスコープの指定を含むものとする。
S704において、画像形成装置140のCPU231は、認証認可サーバー連携クライアント346を介して、認証認可サーバー110に対して、前記認可トークンに対応するユーザーの情報を要求するトークンユーザー情報要求を行う。前記要求に付随する情報は、テナントクライアント管理テーブルの「クライアントID」、「シークレット」及びリソースサービス連携アプリケーション347からの認可トークンを含む。
S705において、認証認可サーバー110のCPU231は、前記認可トークンに対応するユーザーの情報を特定するユーザー情報特定処理を実施する。
S705の前記ユーザー情報特定処理の詳細に関して図8のフローチャートを用いて説明する。
S704において、画像形成装置140のCPU231は、認証認可サーバー連携クライアント346を介して、認証認可サーバー110に対して、前記認可トークンに対応するユーザーの情報を要求するトークンユーザー情報要求を行う。前記要求に付随する情報は、テナントクライアント管理テーブルの「クライアントID」、「シークレット」及びリソースサービス連携アプリケーション347からの認可トークンを含む。
S705において、認証認可サーバー110のCPU231は、前記認可トークンに対応するユーザーの情報を特定するユーザー情報特定処理を実施する。
S705の前記ユーザー情報特定処理の詳細に関して図8のフローチャートを用いて説明する。
図8は、認証認可サーバー110でのユーザー情報特定処理の一例を示すフローチャートである。
S801において、認証認可サーバー110のCPU231は、前記トークンユーザー情報要求のクライアントIDとシークレットとの組みが、ユーザー管理テーブルに登録されている「ユーザーID」と「パスワード」との組みと合致するか否かを検証する。
S802において、前記検証の結果、合致するとされた場合、認証認可サーバー110のCPU231は、クライアント管理テーブルの「クライアントID」を取得し、S702のリソース要求のアクセス元を特定する。
S803において、認証認可サーバー110のCPU231は、前記トークンユーザー情報要求の認可トークンIDの検証を行う。認証認可サーバー110のCPU231は、前記認可トークンIDが、認可トークン管理テーブルに登録されているか否か、有効期限内か否かを検証することで、前記認可トークンIDが有効か否かを検証する。
S804において、認証認可サーバー110のCPU231は、前記認可トークンIDが有効である場合、認可トークン管理テーブルの前記認可トークンIDに対応する「ユーザーID」からトークン発行ユーザーの情報を取得する。
S805において、認証認可サーバー110のCPU231は、S804で取得したユーザーIDの情報に基づいて、認可トークン管理テーブルよりリソーストークンの検索を行う。認証認可サーバー110のCPU231は、次の条件を全て満たすトークンを、認可トークン管理テーブルに登録されているトークンの中から検索する。前記条件は、「種別」がリソーストークン、「スコープ」がResource、「クライアント」がS802で取得したクライアントID、「ユーザーID」がS804で取得したユーザーID、「リフレッシュ期限」が切れていないこと、である。認証認可サーバー110のCPU231は、前記条件を満たすトークンが検索できた場合、S806の処理に進み、前記条件を満たすトークンが検索できなかった場合、S807の処理に進む。
S801において、認証認可サーバー110のCPU231は、前記トークンユーザー情報要求のクライアントIDとシークレットとの組みが、ユーザー管理テーブルに登録されている「ユーザーID」と「パスワード」との組みと合致するか否かを検証する。
S802において、前記検証の結果、合致するとされた場合、認証認可サーバー110のCPU231は、クライアント管理テーブルの「クライアントID」を取得し、S702のリソース要求のアクセス元を特定する。
S803において、認証認可サーバー110のCPU231は、前記トークンユーザー情報要求の認可トークンIDの検証を行う。認証認可サーバー110のCPU231は、前記認可トークンIDが、認可トークン管理テーブルに登録されているか否か、有効期限内か否かを検証することで、前記認可トークンIDが有効か否かを検証する。
S804において、認証認可サーバー110のCPU231は、前記認可トークンIDが有効である場合、認可トークン管理テーブルの前記認可トークンIDに対応する「ユーザーID」からトークン発行ユーザーの情報を取得する。
S805において、認証認可サーバー110のCPU231は、S804で取得したユーザーIDの情報に基づいて、認可トークン管理テーブルよりリソーストークンの検索を行う。認証認可サーバー110のCPU231は、次の条件を全て満たすトークンを、認可トークン管理テーブルに登録されているトークンの中から検索する。前記条件は、「種別」がリソーストークン、「スコープ」がResource、「クライアント」がS802で取得したクライアントID、「ユーザーID」がS804で取得したユーザーID、「リフレッシュ期限」が切れていないこと、である。認証認可サーバー110のCPU231は、前記条件を満たすトークンが検索できた場合、S806の処理に進み、前記条件を満たすトークンが検索できなかった場合、S807の処理に進む。
S806において、認証認可サーバー110のCPU231は、S804で取得した認可トークン発行者のユーザーIDを戻り値として、図8のユーザー情報特定処理を終了する。
S807において、認証認可サーバー110のCPU231は、S804で取得した認可トークン発行者のユーザーの管理者である管理者ユーザーの情報に基づいて、認可トークン管理テーブルよりリソーストークンの検索を行う。まず、認証認可サーバー110のCPU231は、ユーザー管理テーブルから、「テナントID」がS804で取得した認可トークンの発行者ユーザーと同一であり、「ロール」が管理者であるユーザーの「ユーザーID」を全て取得する。次に、認証認可サーバー110のCPU231は、次の条件を全て満たすトークンを、認可トークン管理テーブルに登録されているトークンから検索する。前記条件は、「種別」がリソーストークン、「スコープ」がResource、「クライアント」がS802で取得したクライアントID、「ユーザーID」が取得した管理者のユーザーID、「リフレッシュ期限」が切れていないこと、である。認証認可サーバー110のCPU231は、前記条件を全て満たすトークンを検索できた場合、S808の処理に進み、前記条件を全て満たすトークンを検索できなかった場合、S809に進む。
S808において、認証認可サーバー110のCPU231は、前記管理者のユーザーIDを戻り値にして、図8のユーザー情報特定処理を終了する。もし、S807での検索の結果、複数のトークンが見つかった場合、認証認可サーバー110のCPU231は、前記複数のトークンの中から特定のルールに則ったものを1つ返せばよい。認証認可サーバー110のCPU231は、例えば最初に見つかったトークンのユーザーIDを返すようにしてよい。また認証認可サーバー110のCPU231は、リフレッシュ期限が一番未来、つまりもっとも新しいトークンのユーザーIDを返すようにしてよい。
S809において、認証認可サーバー110のCPU231は、エラー処理を行うことができる。
以上が、図8のユーザー情報特定処理(S705)の詳細である。
S807において、認証認可サーバー110のCPU231は、S804で取得した認可トークン発行者のユーザーの管理者である管理者ユーザーの情報に基づいて、認可トークン管理テーブルよりリソーストークンの検索を行う。まず、認証認可サーバー110のCPU231は、ユーザー管理テーブルから、「テナントID」がS804で取得した認可トークンの発行者ユーザーと同一であり、「ロール」が管理者であるユーザーの「ユーザーID」を全て取得する。次に、認証認可サーバー110のCPU231は、次の条件を全て満たすトークンを、認可トークン管理テーブルに登録されているトークンから検索する。前記条件は、「種別」がリソーストークン、「スコープ」がResource、「クライアント」がS802で取得したクライアントID、「ユーザーID」が取得した管理者のユーザーID、「リフレッシュ期限」が切れていないこと、である。認証認可サーバー110のCPU231は、前記条件を全て満たすトークンを検索できた場合、S808の処理に進み、前記条件を全て満たすトークンを検索できなかった場合、S809に進む。
S808において、認証認可サーバー110のCPU231は、前記管理者のユーザーIDを戻り値にして、図8のユーザー情報特定処理を終了する。もし、S807での検索の結果、複数のトークンが見つかった場合、認証認可サーバー110のCPU231は、前記複数のトークンの中から特定のルールに則ったものを1つ返せばよい。認証認可サーバー110のCPU231は、例えば最初に見つかったトークンのユーザーIDを返すようにしてよい。また認証認可サーバー110のCPU231は、リフレッシュ期限が一番未来、つまりもっとも新しいトークンのユーザーIDを返すようにしてよい。
S809において、認証認可サーバー110のCPU231は、エラー処理を行うことができる。
以上が、図8のユーザー情報特定処理(S705)の詳細である。
図7の説明に戻る。
S706において、認証認可サーバー110のCPU231は、S705で取得したユーザーIDを認証認可サーバー連携クライアント346に送信する。
画像形成装置140のCPU231は、認証認可サーバー連携クライアント346を介して、次の処理を実行する。即ち、画像形成装置140のCPU231は、デバイストークン管理テーブルから、「種別」がリソーストークンであり、「認証認可サーバーユーザーID」がS706で取得したユーザーIDと同一であるトークンを取得する。
S707において、画像形成装置140のCPU231は、認証認可サーバー連携クライアント346を介して、取得したトークンを認証認可サーバー110に対してリフレッシュ要求する。
S708において、認証認可サーバー110のCPU231は、リフレッシュしたリソーストークンを認証認可サーバー連携クライアント346へ送信する。
S707−S708の処理は、S614−S616の処理と同様の処理である。
S709において、画像形成装置140のCPU231は、認証認可サーバー連携クライアント346を介して、認証認可サーバー110に対して、前記認可トークンを検証するようトークン検証要求を行う。前記トークン検証要求に付随する情報は、前記リソーストークンと、S703でリソースサービス連携アプリケーション347から検証依頼された前記認可トークンと、スコープと、を含む。
S710において、認証認可サーバー110のCPU231は、トークン検証処理を実施する。
S706において、認証認可サーバー110のCPU231は、S705で取得したユーザーIDを認証認可サーバー連携クライアント346に送信する。
画像形成装置140のCPU231は、認証認可サーバー連携クライアント346を介して、次の処理を実行する。即ち、画像形成装置140のCPU231は、デバイストークン管理テーブルから、「種別」がリソーストークンであり、「認証認可サーバーユーザーID」がS706で取得したユーザーIDと同一であるトークンを取得する。
S707において、画像形成装置140のCPU231は、認証認可サーバー連携クライアント346を介して、取得したトークンを認証認可サーバー110に対してリフレッシュ要求する。
S708において、認証認可サーバー110のCPU231は、リフレッシュしたリソーストークンを認証認可サーバー連携クライアント346へ送信する。
S707−S708の処理は、S614−S616の処理と同様の処理である。
S709において、画像形成装置140のCPU231は、認証認可サーバー連携クライアント346を介して、認証認可サーバー110に対して、前記認可トークンを検証するようトークン検証要求を行う。前記トークン検証要求に付随する情報は、前記リソーストークンと、S703でリソースサービス連携アプリケーション347から検証依頼された前記認可トークンと、スコープと、を含む。
S710において、認証認可サーバー110のCPU231は、トークン検証処理を実施する。
図9にて、認証認可サーバー110が実施するS710のトークン検証処理の詳細を説明する。
図9は、認証認可サーバーでのトークン検証処理のフローチャートである。
S901において、認証認可サーバー110のCPU231は、S709で受けつけたリソーストークンの検証を行う。前記リソーストークンの認可トークンIDが、認可トークン管理テーブルに登録されているか否か、有効期限内か否かを検証する。より具体的には、認証認可サーバー110のCPU231は、認可トークン管理テーブルに登録されているトークンの中で前記認可トークンIDに対応するトークンを検索する。認証認可サーバー110のCPU231は、前記認可トークンIDに対応するトークンが検出できた場合、前記認可トークンの認可トークンIDが認可トークン管理テーブルに登録されていると検証する。認証認可サーバー110のCPU231は、前記検索したトークンに対応する「有効期限」を参照して、有効期限内か否かを検証する。認証認可サーバー110のCPU231は、前記検証の結果、前記リソーストークンの認可トークンIDが認可トークン管理テーブルに登録されており、有効期限内である場合、S902の処理へ進む。認証認可サーバー110のCPU231は、前記検証の結果、前記リソーストークンの認可トークンIDが、認可トークン管理テーブルに登録されていない、又は、有効期限内ではない場合、検証失敗とする。
図9は、認証認可サーバーでのトークン検証処理のフローチャートである。
S901において、認証認可サーバー110のCPU231は、S709で受けつけたリソーストークンの検証を行う。前記リソーストークンの認可トークンIDが、認可トークン管理テーブルに登録されているか否か、有効期限内か否かを検証する。より具体的には、認証認可サーバー110のCPU231は、認可トークン管理テーブルに登録されているトークンの中で前記認可トークンIDに対応するトークンを検索する。認証認可サーバー110のCPU231は、前記認可トークンIDに対応するトークンが検出できた場合、前記認可トークンの認可トークンIDが認可トークン管理テーブルに登録されていると検証する。認証認可サーバー110のCPU231は、前記検索したトークンに対応する「有効期限」を参照して、有効期限内か否かを検証する。認証認可サーバー110のCPU231は、前記検証の結果、前記リソーストークンの認可トークンIDが認可トークン管理テーブルに登録されており、有効期限内である場合、S902の処理へ進む。認証認可サーバー110のCPU231は、前記検証の結果、前記リソーストークンの認可トークンIDが、認可トークン管理テーブルに登録されていない、又は、有効期限内ではない場合、検証失敗とする。
S902において、認証認可サーバー110のCPU231は、S709で受けつけた認可トークンの検証を行う。認証認可サーバー110のCPU231は、前記認可トークンの認可トークンIDが、認可トークン管理テーブルに登録されているか否か、有効期限内か否か、前記トークン検証要求のスコープが合致するか否か、を検証する。より具体的には、認証認可サーバー110のCPU231は、認可トークン管理テーブルに登録されているトークンの中で前記認可トークンIDに対応するトークンを検索する。認証認可サーバー110のCPU231は、前記認可トークンIDに対応するトークンが検出できた場合、前記認可トークンの認可トークンIDが認可トークン管理テーブルに登録されていると検証する。認証認可サーバー110のCPU231は、前記検索したトークンに対応する「有効期限」を参照して、有効期限内か否かを検証する。また、認証認可サーバー110のCPU231は、前記スコープと前記検索したトークンに対応する「スコープ」の値とに基づいて、前記スコープが合致するか否かを検証する。例えば、認証認可サーバー110のCPU231は、前記スコープと前記検索したトークンに対応する「スコープ」の値とが同一である場合、前記スコープが合致すると検証する。認証認可サーバー110のCPU231は、前記検証の結果、受け付けたリソーストークンの認可トークンIDが認可トークン管理テーブルに登録されており、有効期限内であり、前記スコープが合致する場合、S903の処理へ進む。認証認可サーバー110のCPU231は、前記検証の結果、受け付けたリソーストークンの認可トークンIDが認可トークン管理テーブルに登録されていない、又は有効期限内でない、又は前記スコープが合致しない場合、検証失敗とする。
S903において、認証認可サーバー110のCPU231は、リソーストークンと認可トークンとの発行者ユーザーをチェックする。認証認可サーバー110のCPU231は、認可トークン管理テーブルからリソーストークンと認可トークンとの「ユーザーID」を取得し比較する。認証認可サーバー110のCPU231は、リソーストークンと認可トークンとのユーザーIDが同一である場合、S904の処理へ進む。認証認可サーバー110のCPU231は、リソーストークンと認可トークンとのユーザーIDが異なる場合、S905の処理へ進む。
S903において、認証認可サーバー110のCPU231は、リソーストークンと認可トークンとの発行者ユーザーをチェックする。認証認可サーバー110のCPU231は、認可トークン管理テーブルからリソーストークンと認可トークンとの「ユーザーID」を取得し比較する。認証認可サーバー110のCPU231は、リソーストークンと認可トークンとのユーザーIDが同一である場合、S904の処理へ進む。認証認可サーバー110のCPU231は、リソーストークンと認可トークンとのユーザーIDが異なる場合、S905の処理へ進む。
S904において、認証認可サーバー110のCPU231は、トークン検証を成功として図9のトークン検証処理を終了する。
S905において、認証認可サーバー110のCPU231は、ユーザー管理テーブルのリソーストークンのユーザーの「テナントID」と認可トークンのユーザーの「テナントID」とが一致するか否かを検証する。認証認可サーバー110のCPU231は、前記検証の結果、前記2つの「テナントID」が一致するとされた場合、さらに前記リソーストークンのユーザーの「ロール」が管理者を含むか否かを検証する。認証認可サーバー110のCPU231は、前記検証の結果、前記「ロール」に管理者を含む場合、S906の処理へ進み、前記「ロール」に管理者を含まない場合、S907の処理へ進む。
S906において、認証認可サーバー110のCPU231は、トークン検証を成功として図9のトークン検証処理を終了する。
S907において、認証認可サーバー110のCPU231は、トークン検証を失敗として図9のトークン検証処理を終了する。
以上が、トークン検証処理(S710)の処理の詳細である。
S905において、認証認可サーバー110のCPU231は、ユーザー管理テーブルのリソーストークンのユーザーの「テナントID」と認可トークンのユーザーの「テナントID」とが一致するか否かを検証する。認証認可サーバー110のCPU231は、前記検証の結果、前記2つの「テナントID」が一致するとされた場合、さらに前記リソーストークンのユーザーの「ロール」が管理者を含むか否かを検証する。認証認可サーバー110のCPU231は、前記検証の結果、前記「ロール」に管理者を含む場合、S906の処理へ進み、前記「ロール」に管理者を含まない場合、S907の処理へ進む。
S906において、認証認可サーバー110のCPU231は、トークン検証を成功として図9のトークン検証処理を終了する。
S907において、認証認可サーバー110のCPU231は、トークン検証を失敗として図9のトークン検証処理を終了する。
以上が、トークン検証処理(S710)の処理の詳細である。
図7の説明に戻る。
S711において、認証認可サーバー110のCPU231は、S710の検証結果と、認可トークンのユーザーIDを、認証認可サーバー連携クライアント346にトークン検証結果として送信する。
S712において、画像形成装置140のCPU231は、認証認可サーバー連携クライアント346は、S711の検証結果が成功だった場合、ユーザー特定処理を実施する。
S711において、認証認可サーバー110のCPU231は、S710の検証結果と、認可トークンのユーザーIDを、認証認可サーバー連携クライアント346にトークン検証結果として送信する。
S712において、画像形成装置140のCPU231は、認証認可サーバー連携クライアント346は、S711の検証結果が成功だった場合、ユーザー特定処理を実施する。
図10にて、S712で画像形成装置140のCPU231が認証認可サーバー連携クライアント346を介して実施するユーザー特定処理の詳細を説明する。
図10は、画像形成装置140でのユーザー特定処理のフローチャートである。
S1001において、画像形成装置140のCPU231は、認証認可サーバー連携クライアント346を介して、S711で受信したユーザーIDとS706の処理で受信したユーザーIDとを比較するユーザーチェック処理を行う。画像形成装置140のCPU231は、前記ユーザーチェック処理の結果ユーザーIDが同一である場合、S1002の処理へ進み、前記ユーザーチェック処理の結果ユーザーIDが同一でない場合、S1003の処理へ進む。
S1002において、画像形成装置140のCPU231は、デバイストークン管理テーブルから「認証認可サーバーユーザーID」がS706の処理で受信したユーザーIDであり、「種別」がリソーストークンであるトークンを取得する。画像形成装置140のCPU231は、前記取得したトークンに対応する「ユーザーID」を取得する。S1002の処理により、認証認可サーバー110で管理されているユーザーから、画像形成装置140を管理しているユーザーを特定できる。
図10は、画像形成装置140でのユーザー特定処理のフローチャートである。
S1001において、画像形成装置140のCPU231は、認証認可サーバー連携クライアント346を介して、S711で受信したユーザーIDとS706の処理で受信したユーザーIDとを比較するユーザーチェック処理を行う。画像形成装置140のCPU231は、前記ユーザーチェック処理の結果ユーザーIDが同一である場合、S1002の処理へ進み、前記ユーザーチェック処理の結果ユーザーIDが同一でない場合、S1003の処理へ進む。
S1002において、画像形成装置140のCPU231は、デバイストークン管理テーブルから「認証認可サーバーユーザーID」がS706の処理で受信したユーザーIDであり、「種別」がリソーストークンであるトークンを取得する。画像形成装置140のCPU231は、前記取得したトークンに対応する「ユーザーID」を取得する。S1002の処理により、認証認可サーバー110で管理されているユーザーから、画像形成装置140を管理しているユーザーを特定できる。
S1003において、画像形成装置140のCPU231は、設定に応じたユーザーマッピング処理を実施する。前記ユーザーマッピング処理は、認可トークンを取得したユーザーが画像形成装置140にて、リソース登録していないが、認可トークンを取得したユーザーの管理者ユーザーが画像形成装置140にて、リソース登録していた場合の処理である。画像形成装置140のCPU231は、前記認可トークンを取得したユーザーに対応づけられたユーザーとして前記管理者を、クライアント端末150から要求された処理を画像形成装置140上で実行する主体として取得する。設定の方法や内容の詳細は、図11で後述する。S1003にて画像形成装置の何らかのユーザーが特定される。
S1004において、画像形成装置140のCPU231は、画像形成装置140のユーザーを特定したらログインコンテキストの生成処理を実施する。S1003で特定されたユーザーによって、クライアント端末150から要求された処理が画像形成装置140上で実行されることになる。
以上が、図10で説明するS712で認証認可サーバー連携クライアント346が実施するユーザー特定処理の詳細である。
S1004において、画像形成装置140のCPU231は、画像形成装置140のユーザーを特定したらログインコンテキストの生成処理を実施する。S1003で特定されたユーザーによって、クライアント端末150から要求された処理が画像形成装置140上で実行されることになる。
以上が、図10で説明するS712で認証認可サーバー連携クライアント346が実施するユーザー特定処理の詳細である。
図7の説明に戻る。
S713において、画像形成装置140のCPU231は、認証認可サーバー連携クライアント346を介して、S711で取得した検証結果が成功であるという情報をリソースサービス連携アプリケーション347に送信する。更に、画像形成装置140のCPU231は、S712で取得したログインコンテキストをリソースサービス連携アプリケーション347に送信する。また、画像形成装置140のCPU231は、S711の検証結果が失敗である場合、即座にリソースサービス連携アプリケーション347にS711で取得した検証結果が失敗である情報を送信する。
S714において、画像形成装置140のCPU231は、リソースサービス連携アプリケーション347を介して、S702でクライアント端末150より要求されたリソースの処理を実施する。
S715において、画像形成装置140のCPU231は、S714のリソースの処理の結果をクライアント端末150のリソースサービス連携アプリケーション351に送信する。
S716において、クライアント端末150のCPU231は、リソースサービス連携アプリケーション351を介して、ユーザーに処理結果を示す。
S713において、画像形成装置140のCPU231は、認証認可サーバー連携クライアント346を介して、S711で取得した検証結果が成功であるという情報をリソースサービス連携アプリケーション347に送信する。更に、画像形成装置140のCPU231は、S712で取得したログインコンテキストをリソースサービス連携アプリケーション347に送信する。また、画像形成装置140のCPU231は、S711の検証結果が失敗である場合、即座にリソースサービス連携アプリケーション347にS711で取得した検証結果が失敗である情報を送信する。
S714において、画像形成装置140のCPU231は、リソースサービス連携アプリケーション347を介して、S702でクライアント端末150より要求されたリソースの処理を実施する。
S715において、画像形成装置140のCPU231は、S714のリソースの処理の結果をクライアント端末150のリソースサービス連携アプリケーション351に送信する。
S716において、クライアント端末150のCPU231は、リソースサービス連携アプリケーション351を介して、ユーザーに処理結果を示す。
前述した図10のS1003の処理に関して図11を用いて補足する。
図11は、ユーザー特定処理における設定のための画面の一例を示す図である。
ユーザーアンマッチ時の処理設定画面1101は、画像形成装置140の管理者が予め画像形成装置140にて設定を行うための画面である。ユーザーアンマッチ時の処理設定画面1101は、設定画面の一例である。
ユーザーアンマッチ時の処理1102は、S1001にてユーザーIDが一致しなかった場合の処理、つまりS1003での処理方法の設定を行うための項目である。ユーザーアンマッチ時の処理1102内の項目は、操作者による例えばユーザーインターフェース部等に表示された前記ユーザーアンマッチ時の処理設定画面1101への操作に基づいて、設定することができる。
リソース登録者として実行1103は、リソース登録したユーザーとしてクライアント端末150から依頼された処理を実行する設定を選択する項目である。より具体的には、検証に利用したリソーストークンのユーザーとして実行することを意味する。
自動生成して実行1104は、新規に画像形成装置140にユーザーを生成し実行する設定を選択する項目である。画像形成装置140のCPU231は、S711で取得した認証認可サーバーのユーザーIDに紐づけて画像形成装置140に自動的にユーザーを作成するようにできる。なお、前記自動的なユーザーの作成時に、すでに同じ認証認可サーバーのユーザーIDに紐づけて作成されていたユーザーがいれば前記ユーザーを利用するようにしてよい。したがって、画像形成装置140のCPU231は、前回実行した処理で画像形成装置に作成、保存されたデータ(個人アドレス帳といったユーザー毎の設定等)を再度利用できる。
図11は、ユーザー特定処理における設定のための画面の一例を示す図である。
ユーザーアンマッチ時の処理設定画面1101は、画像形成装置140の管理者が予め画像形成装置140にて設定を行うための画面である。ユーザーアンマッチ時の処理設定画面1101は、設定画面の一例である。
ユーザーアンマッチ時の処理1102は、S1001にてユーザーIDが一致しなかった場合の処理、つまりS1003での処理方法の設定を行うための項目である。ユーザーアンマッチ時の処理1102内の項目は、操作者による例えばユーザーインターフェース部等に表示された前記ユーザーアンマッチ時の処理設定画面1101への操作に基づいて、設定することができる。
リソース登録者として実行1103は、リソース登録したユーザーとしてクライアント端末150から依頼された処理を実行する設定を選択する項目である。より具体的には、検証に利用したリソーストークンのユーザーとして実行することを意味する。
自動生成して実行1104は、新規に画像形成装置140にユーザーを生成し実行する設定を選択する項目である。画像形成装置140のCPU231は、S711で取得した認証認可サーバーのユーザーIDに紐づけて画像形成装置140に自動的にユーザーを作成するようにできる。なお、前記自動的なユーザーの作成時に、すでに同じ認証認可サーバーのユーザーIDに紐づけて作成されていたユーザーがいれば前記ユーザーを利用するようにしてよい。したがって、画像形成装置140のCPU231は、前回実行した処理で画像形成装置に作成、保存されたデータ(個人アドレス帳といったユーザー毎の設定等)を再度利用できる。
[ XX ]日後に削除1105の設定項目は、自動生成して実行1104の設定に則って自動生成されたユーザーをいつ削除するのかを設定するための項目である。[ XX ]日後に削除1105が設定されていない場合、ユーザーは削除されず残り続け、設定した場合、最後にユーザーが利用したのち設定日数経過後に自動削除されるようにできる。
ユーザーマッピング1106は、画像形成装置140のユーザーと認証認可サーバーのユーザーの対応付け情報を管理している項目である。ユーザーマッピング1106には、自動生成して実行1104による自動生成で作成されたユーザーの対応付け情報が保持される。ユーザーマッピング1106は、画像形成装置140のユーザーに対応する認証認可サーバー110のユーザーが表示されるようにできる。また、画像形成装置140のCPU231は、ユーザーマッピング1106への操作者による操作によって、ユーザーマッピング1106に任意のユーザーを記述できるようにできる。画像形成装置140のCPU231は、ユーザーにより設定1107を押下されることを検知することで、前記記述されたユーザーを、画像形成装置140の既存のユーザーに対応した認証認可サーバーのユーザーとして登録するようにできる。また、画像形成装置140のCPU231は、ユーザーにより設定1107を押下されることを検知することで、マッピング情報の解除や、自動生成したユーザーの手動削除等を行うようにもすることができる。
画像形成装置140のCPU231は、ユーザーアンマッチ時の処理設定画面1101の設定を全て行わなかった場合、次の設定にすることもできる。即ち、画像形成装置140のCPU231は、クライアント端末150を利用しているユーザーと画像形成装置140でリソース登録したユーザーとが一致しなければ利用できないという設定にすることもできる。
以上、本実施形態によれば、次の効果が得られる。操作者、管理者等が予め画像形成装置140等をリソースサーバーの一部として認証認可サーバー110に登録することで、クライアント端末150は、画像形成装置140等との間の認証処理を行わずに、セキュアに画像形成装置140等へアクセス可能となる。したがって、クライアント端末150は、認証認可サーバーの配下のリソースサーバーと画像形成装置140等の異なるデバイスとの間の連携処理をシームレスに行うことができるようになる。
以上が本実施形態の説明である。
ユーザーマッピング1106は、画像形成装置140のユーザーと認証認可サーバーのユーザーの対応付け情報を管理している項目である。ユーザーマッピング1106には、自動生成して実行1104による自動生成で作成されたユーザーの対応付け情報が保持される。ユーザーマッピング1106は、画像形成装置140のユーザーに対応する認証認可サーバー110のユーザーが表示されるようにできる。また、画像形成装置140のCPU231は、ユーザーマッピング1106への操作者による操作によって、ユーザーマッピング1106に任意のユーザーを記述できるようにできる。画像形成装置140のCPU231は、ユーザーにより設定1107を押下されることを検知することで、前記記述されたユーザーを、画像形成装置140の既存のユーザーに対応した認証認可サーバーのユーザーとして登録するようにできる。また、画像形成装置140のCPU231は、ユーザーにより設定1107を押下されることを検知することで、マッピング情報の解除や、自動生成したユーザーの手動削除等を行うようにもすることができる。
画像形成装置140のCPU231は、ユーザーアンマッチ時の処理設定画面1101の設定を全て行わなかった場合、次の設定にすることもできる。即ち、画像形成装置140のCPU231は、クライアント端末150を利用しているユーザーと画像形成装置140でリソース登録したユーザーとが一致しなければ利用できないという設定にすることもできる。
以上、本実施形態によれば、次の効果が得られる。操作者、管理者等が予め画像形成装置140等をリソースサーバーの一部として認証認可サーバー110に登録することで、クライアント端末150は、画像形成装置140等との間の認証処理を行わずに、セキュアに画像形成装置140等へアクセス可能となる。したがって、クライアント端末150は、認証認可サーバーの配下のリソースサーバーと画像形成装置140等の異なるデバイスとの間の連携処理をシームレスに行うことができるようになる。
以上が本実施形態の説明である。
<その他の実施形態>
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピューターにおける1つ以上のプロセッサーがプログラムを読み出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
本発明は、上述の実施形態の1以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピューターにおける1つ以上のプロセッサーがプログラムを読み出し実行する処理でも実現可能である。また、1以上の機能を実現する回路(例えば、ASIC)によっても実現可能である。
110 認証認可サーバー、120 リソースサーバー、140 画像形成装置、150 クライアント端末、231 CPU
Claims (19)
- 認証認可装置と、情報処理装置と、端末装置と、を含むWebサービスシステムであって、
前記認証認可装置は、
ネットワークを介して通信可能な前記情報処理装置からの登録要求に応じて、前記情報処理装置を配下の資源として登録する登録手段と、
前記情報処理装置に対して前記登録手段での登録の内容に対応するリソーストークンを送信する第1の送信手段と、
前記登録手段で登録された前記情報処理装置からのリソーストークンと認可トークンと処理情報とを含む検証要求に応じて、前記情報処理装置での前記処理情報に対応する処理の実行が許可されているか否か検証する検証手段と、
を有し、
前記端末装置は、
ネットワークを介して通信可能な前記情報処理装置へ処理の依頼を行う際に、前記情報処理装置に対し前記認証認可装置から取得した認可トークンを送信する第2の送信手段を有し、
前記情報処理装置は、
前記情報処理装置を前記認証認可装置の配下の資源として登録するよう前記認証認可装置に対して要求する登録要求手段と、
前記端末装置からの処理要求に応じて、前記認証認可装置からのリソーストークンと前記端末装置からの認可トークンと前記端末装置から依頼された処理の処理情報とを前記認証認可装置に対して送信し、前記情報処理装置での前記処理情報に対応する処理の実行が許可されているか否かの検証を前記送信した情報に基づき行うよう前記認証認可装置に対して要求する検証要求手段と、
前記認証認可装置による前記検証の結果が肯定だった場合、前記端末装置から依頼された処理を実行する実行手段と、
を有するWebサービスシステム。 - 前記登録手段は、前記登録要求を行ったユーザーのユーザー情報と前記情報処理装置の装置情報と前記認証認可装置の配下であることを示す権限情報とを含む識別情報に前記識別情報を一意に特定する特定情報を加えた登録情報を記憶手段に記憶することで、前記情報処理装置を配下の資源として登録し、
前記第1の送信手段は、前記特定情報をリソーストークンとして前記情報処理装置に送信し、
前記検証手段は、前記情報処理装置からのリソーストークンに対応する識別情報の権限情報が前記認証認可装置の配下の資源となっているか否か、前記情報処理装置からの認可トークンに対応する識別情報の権限情報に、前記端末装置により前記情報処理装置に対して依頼された処理情報に対応する処理が許可されているか否か、を検証し、前記検証の結果が共に肯定だった場合、前記リソーストークンに対応する識別情報のユーザー情報と前記認可トークンに対応する識別情報のユーザー情報とが同一であるか否かを検証する請求項1記載のWebサービスシステム。 - 前記第2の送信手段は、前記処理の依頼を行うユーザー情報と、前記端末装置の装置情報と、前記ユーザー情報と装置情報とに対応する権限情報と、を一意に特定する前記認証認可装置から取得した特定情報を認可トークンとして前記情報処理装置に送信する請求項2記載のWebサービスシステム。
- 前記登録要求手段は、登録要求を行うユーザーのユーザー情報と前記情報処理装置の装置情報とを送信し、前記送信した情報に基づき前記情報処理装置を前記認証認可装置の配下の資源として登録するよう要求し、
前記検証要求手段は、前記端末装置からの処理要求に応じて、前記認証認可装置から取得した認可トークンと前記端末装置から取得したリソーストークンと前記端末装置から依頼された処理の処理情報とを前記認証認可装置に送信し、前記依頼に応じた前記情報処理装置での前記処理の実行が許可されているか否かを検証することを要求する請求項3記載のWebサービスシステム。 - 前記認証認可装置は、
ユーザー情報とユーザーの所属情報とユーザーの権限情報とを対応付けたユーザー権限情報を保持するユーザー権限データを取得する取得手段を更に有し、
前記検証手段は、前記リソーストークンに対応する識別情報のユーザー情報と前記認可トークンに対応する識別情報のユーザー情報とが同一でなかった場合、前記取得手段で取得されたユーザー権限データの中の前記リソーストークンに対応するユーザー権限情報の所属情報と前記ユーザー権限データの中の前記認可トークンに対応するユーザー権限情報の所属情報とが同一か否か、前記リソーストークンに対応するユーザー権限情報のユーザー権限情報が管理者権限となっているか否か、を検証し、前記検証の結果が共に肯定だった場合、前記検証手段の結果を肯定であるとする請求項4記載のWebサービスシステム。 - 前記情報処理装置は、
前記認証認可装置から送信された前記認可トークンに係るユーザー情報と前記リソーストークンに係るユーザー情報とが同一でなかった場合、処理を実行するユーザーを特定する特定手段と、
を更に有し、
前記実行手段は、前記特定手段で特定されたユーザーが前記端末装置から依頼された処理を実行する請求項1乃至5何れか1項記載のWebサービスシステム。 - 前記特定手段は、ユーザーインターフェースに設定画面を表示し、操作者に前記設定画面を介した操作を促し、前記操作に基づいて、処理を実行するユーザーを特定する請求項6記載のWebサービスシステム。
- ネットワークを介して通信可能な情報処理装置からの登録要求に応じて、前記情報処理装置を配下の資源として登録する登録手段と、
前記情報処理装置に対して前記登録手段での登録の内容に対応するリソーストークンを送信する送信手段と、
前記登録手段で登録された前記情報処理装置からのリソーストークンと認可トークンと処理情報とを含む検証要求に応じて、前記情報処理装置での前記処理情報に対応する処理の実行が許可されているか否か検証する検証手段と、
を有する認証認可装置。 - 前記登録手段は、前記登録要求を行ったユーザーのユーザー情報と前記情報処理装置の装置情報と前記認証認可装置の配下であることを示す権限情報とを含む識別情報に前記識別情報を一意に特定する特定情報を加えた登録情報を記憶手段に記憶することで、前記情報処理装置を配下の資源として登録し、
前記送信手段は、前記特定情報をリソーストークンとして前記情報処理装置に送信し、
前記検証手段は、前記情報処理装置からのリソーストークンに対応する識別情報の権限情報が前記認証認可装置の配下の資源となっているか否か、前記情報処理装置からの認可トークンに対応する識別情報の権限情報に、端末装置により前記情報処理装置に対して依頼された処理情報に対応する処理が許可されているか否か、を検証し、前記検証の結果が共に肯定だった場合、前記リソーストークンに対応する識別情報のユーザー情報と前記認可トークンに対応する識別情報のユーザー情報とが同一であるか否かを検証する請求項8記載の認証認可装置。 - ユーザー情報とユーザーの所属情報とユーザーの権限情報とを対応付けたユーザー権限情報を保持するユーザー権限データを取得する取得手段を更に有し、
前記検証手段は、前記リソーストークンに対応する識別情報のユーザー情報と前記認可トークンに対応する識別情報のユーザー情報とが同一でなかった場合、前記取得手段で取得されたユーザー権限データの中の前記リソーストークンに対応するユーザー権限情報の所属情報と前記ユーザー権限データの中の前記認可トークンに対応するユーザー権限情報の所属情報とが同一か否か、前記リソーストークンに対応するユーザー権限情報のユーザー権限情報が管理者権限となっているか否か、を検証し、前記検証の結果が共に肯定だった場合、前記検証手段の結果を肯定であるとする請求項9記載の認証認可装置。 - ネットワークを介して通信可能な認証認可装置の配下の資源として情報処理装置を登録するよう前記認証認可装置に対して要求する登録要求手段と、
ネットワークを介して通信可能な端末装置からの処理要求に応じて、前記認証認可装置からのリソーストークンと前記端末装置からの認可トークンと前記端末装置から依頼された処理の処理情報とを前記認証認可装置に対して送信し、前記情報処理装置での前記処理情報に対応する処理の実行が許可されているか否かの検証を前記送信した情報に基づき行うよう前記認証認可装置に対して要求する検証要求手段と、
前記認証認可装置による前記検証の結果が肯定だった場合、前記端末装置から依頼された処理を実行する実行手段と、
を有する情報処理装置。 - 前記登録要求手段は、登録要求を行うユーザーのユーザー情報と前記情報処理装置の装置情報とを送信し、前記送信した情報に基づき前記情報処理装置を前記認証認可装置の配下の資源として登録するよう前記認証認可装置に対して要求し、
前記検証要求手段は、前記端末装置からの処理要求に応じて、前記認証認可装置からの認可トークンと前記端末装置からのリソーストークンと前記端末装置から依頼された処理の処理情報とを前記認証認可装置に送信し、前記情報処理装置での前記処理の実行が許可されているか否かを検証することを要求する請求項11記載の情報処理装置。 - 前記認証認可装置から送信された前記認可トークンに係るユーザー情報と前記リソーストークンに係るユーザー情報とが同一でなかった場合、処理を実行するユーザーを特定する特定手段と、
を更に有し、
前記実行手段は、前記特定手段で特定されたユーザーが前記端末装置から依頼された処理を実行する請求項11又は12記載の情報処理装置。 - 前記情報処理装置は、画像を形成する画像形成装置である請求項11乃至13何れか1項記載の情報処理装置。
- 認証認可装置と、情報処理装置と、端末装置と、を含むWebサービスシステムにおける情報処理方法であって、
前記情報処理装置が、前記情報処理装置を、ネットワークを介して通信可能な前記認証認可装置の配下の資源として登録するよう前記認証認可装置に対して要求する登録要求ステップと、
前記認証認可装置が、前記情報処理装置からの登録要求に応じて、前記情報処理装置を配下の資源として登録する登録ステップと、
前記情報処理装置に対して前記登録の内容に対応するリソーストークンを送信する第1の送信ステップと、
前記端末装置が、ネットワークを介して通信可能な前記情報処理装置へ処理の依頼を行う際に、前記情報処理装置に対し前記認証認可装置から取得した認可トークンを送信する第2の送信ステップと、
前記情報処理装置が、前記端末装置からの処理要求に応じて、前記認証認可装置からのリソーストークンと前記端末装置からの認可トークンと前記端末装置から依頼された処理の処理情報とを前記認証認可装置に対して送信し、前記情報処理装置での前記処理情報に対応する処理の実行が許可されているか否かの検証を前記送信した情報に基づき行うよう前記認証認可装置に対して要求する検証要求ステップと、
前記認証認可装置が、前記登録ステップで登録された前記情報処理装置からのリソーストークンと認可トークンと処理情報とを含む検証要求に応じて、前記情報処理装置での前記処理情報に対応する処理の実行が許可されているか否か検証する検証ステップと、
前記情報処理装置が、前記認証認可装置による前記検証の結果が肯定だった場合、前記端末装置から依頼された処理を実行する実行ステップと、
を含む情報処理方法。 - 認証認可装置が実行する情報処理方法であって、
ネットワークを介して通信可能な情報処理装置からの登録要求に応じて、前記情報処理装置を配下の資源として登録する登録ステップと、
前記情報処理装置に対して前記登録の内容に対応するリソーストークンを送信する送信ステップと、
前記登録ステップで登録された前記情報処理装置からのリソーストークンと認可トークンと処理情報とを含む検証要求に応じて、前記情報処理装置での前記処理情報に対応する処理の実行が許可されているか否か検証する検証ステップと、
を含む情報処理方法。 - 情報処理装置が実行する情報処理方法であって、
ネットワークを介して通信可能な認証認可装置の配下の資源として前記情報処理装置を登録するよう前記認証認可装置に対して要求する登録要求ステップと、
ネットワークを介して通信可能な端末装置からの処理要求に応じて、前記認証認可装置からのリソーストークンと前記端末装置からの認可トークンと前記端末装置から依頼された処理の処理情報とを前記認証認可装置に対して送信し、前記情報処理装置での前記処理情報に対応する処理の実行が許可されているか否かの検証を前記送信した情報に基づき行うよう前記認証認可装置に対して要求する検証要求ステップと、
前記認証認可装置による前記検証の結果が肯定だった場合、前記端末装置から依頼された処理を実行する実行ステップと、
を含む情報処理方法。 - コンピューターに、
ネットワークを介して通信可能な情報処理装置からの登録要求に応じて、前記情報処理装置を配下の資源として登録する登録ステップと、
前記情報処理装置に対して前記登録の内容に対応するリソーストークンを送信する送信ステップと、
前記登録ステップで登録された前記情報処理装置からのリソーストークンと認可トークンと処理情報とを含む検証要求に応じて、前記情報処理装置での前記処理情報に対応する処理の実行が許可されているか否か検証する検証ステップと、
を実行させるためのプログラム。 - コンピューターに、
ネットワークを介して通信可能な認証認可装置の配下の資源として前記コンピューターを登録するよう前記認証認可装置に対して要求する登録要求ステップと、
ネットワークを介して通信可能な端末装置からの処理要求に応じて、前記認証認可装置からのリソーストークンと前記端末装置からの認可トークンと前記端末装置から依頼された処理の処理情報とを前記認証認可装置に対して送信し、前記コンピューターでの前記処理情報に対応する処理の実行が許可されているか否かの検証を前記送信した情報に基づき行うよう前記認証認可装置に対して要求する検証要求ステップと、
前記認証認可装置による前記検証の結果が肯定だった場合、前記端末装置から依頼された処理を実行する実行ステップと、
を実行させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014131715A JP2016009466A (ja) | 2014-06-26 | 2014-06-26 | Webサービスシステム、認証認可装置、情報処理装置、情報処理方法及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014131715A JP2016009466A (ja) | 2014-06-26 | 2014-06-26 | Webサービスシステム、認証認可装置、情報処理装置、情報処理方法及びプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2016009466A true JP2016009466A (ja) | 2016-01-18 |
Family
ID=55226947
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014131715A Pending JP2016009466A (ja) | 2014-06-26 | 2014-06-26 | Webサービスシステム、認証認可装置、情報処理装置、情報処理方法及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2016009466A (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019160786A1 (en) | 2018-02-14 | 2019-08-22 | Roku, Inc. | Production console authorization permissions |
| CN111819544A (zh) * | 2018-03-06 | 2020-10-23 | 亚马逊科技公司 | 用于虚拟计算资源的部署前安全分析器服务 |
| JP2021005420A (ja) * | 2020-10-07 | 2021-01-14 | 株式会社リコー | 情報処理システム及び認可方法 |
| CN112395604A (zh) * | 2019-08-15 | 2021-02-23 | 奇安信安全技术(珠海)有限公司 | 系统监控登录防护方法、客户端、服务端、及存储介质 |
| US11755265B2 (en) | 2020-07-29 | 2023-09-12 | Canon Kabushiki Kaisha | Printing system, server system for setting information to permit registration of printing apparatus based on a registration request from a user |
-
2014
- 2014-06-26 JP JP2014131715A patent/JP2016009466A/ja active Pending
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019160786A1 (en) | 2018-02-14 | 2019-08-22 | Roku, Inc. | Production console authorization permissions |
| EP3752946A4 (en) * | 2018-02-14 | 2021-10-27 | Roku, Inc. | AUTHORIZATION PERFORMANCE FOR PRODUCTION CONSOLE |
| US11238181B2 (en) | 2018-02-14 | 2022-02-01 | Roku, Inc. | Production console authorization permissions |
| US11822703B2 (en) | 2018-02-14 | 2023-11-21 | Roku, Inc. | Production console authorization permissions |
| CN111819544A (zh) * | 2018-03-06 | 2020-10-23 | 亚马逊科技公司 | 用于虚拟计算资源的部署前安全分析器服务 |
| CN111819544B (zh) * | 2018-03-06 | 2024-04-16 | 亚马逊科技公司 | 用于虚拟计算资源的部署前安全分析器服务 |
| CN112395604A (zh) * | 2019-08-15 | 2021-02-23 | 奇安信安全技术(珠海)有限公司 | 系统监控登录防护方法、客户端、服务端、及存储介质 |
| CN112395604B (zh) * | 2019-08-15 | 2022-09-30 | 奇安信安全技术(珠海)有限公司 | 系统监控登录防护方法、客户端、服务端、及存储介质 |
| US11755265B2 (en) | 2020-07-29 | 2023-09-12 | Canon Kabushiki Kaisha | Printing system, server system for setting information to permit registration of printing apparatus based on a registration request from a user |
| JP2021005420A (ja) * | 2020-10-07 | 2021-01-14 | 株式会社リコー | 情報処理システム及び認可方法 |
| JP7078090B2 (ja) | 2020-10-07 | 2022-05-31 | 株式会社リコー | 情報処理システム及び認可方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6177020B2 (ja) | 認証システム、その制御方法、サービス提供装置およびコンピュータプログラム | |
| US11489671B2 (en) | Serverless connected app design | |
| JP6061633B2 (ja) | デバイス装置、制御方法、およびそのプログラム。 | |
| JP6727799B2 (ja) | 権限委譲システム、情報処理装置、認可サーバ、制御方法およびプログラム | |
| CN110138718B (zh) | 信息处理系统及其控制方法 | |
| JP6066647B2 (ja) | デバイス装置、その制御方法、およびそのプログラム | |
| US9043591B2 (en) | Image forming apparatus, information processing method, and storage medium | |
| CN106856475B (zh) | 授权服务器以及认证协作系统 | |
| JP6198477B2 (ja) | 権限移譲システム、認可サーバーシステム、制御方法、およびプログラム | |
| US9390247B2 (en) | Information processing system, information processing apparatus and information processing method | |
| JP6929181B2 (ja) | デバイスと、その制御方法とプログラム | |
| US9626137B2 (en) | Image forming apparatus, server device, information processing method, and computer-readable storage medium | |
| US9185102B2 (en) | Server system and control method | |
| JP7058949B2 (ja) | 情報処理システム、制御方法及びそのプログラム | |
| CN105991614B (zh) | 一种开放授权、资源访问的方法及装置、服务器 | |
| US9886222B2 (en) | Image forming apparatus that displays button for accessing server, method of controlling the same, and storage medium | |
| JP7096736B2 (ja) | システム、及びデータ処理方法 | |
| JP2015046153A (ja) | サービス提供システム、データ提供方法及びプログラム | |
| JP2019086937A (ja) | 画像処理装置、画像処理装置の制御方法、プログラム、システム、およびシステムの制御方法 | |
| JP2016009466A (ja) | Webサービスシステム、認証認可装置、情報処理装置、情報処理方法及びプログラム | |
| JP6859195B2 (ja) | 情報処理システム、制御方法及びそのプログラム | |
| JP6848275B2 (ja) | プログラム、認証システム及び認証連携システム | |
| JP2016085638A (ja) | サーバー装置、端末装置、システム、情報処理方法及びプログラム | |
| JP2014142732A (ja) | 権限委譲システム | |
| JP2020154447A (ja) | 情報処理システム及びプログラム |