JP7476738B2 - Information processing device and information processing program - Google Patents
Information processing device and information processing program Download PDFInfo
- Publication number
- JP7476738B2 JP7476738B2 JP2020151846A JP2020151846A JP7476738B2 JP 7476738 B2 JP7476738 B2 JP 7476738B2 JP 2020151846 A JP2020151846 A JP 2020151846A JP 2020151846 A JP2020151846 A JP 2020151846A JP 7476738 B2 JP7476738 B2 JP 7476738B2
- Authority
- JP
- Japan
- Prior art keywords
- service
- user
- authentication
- authenticator
- information processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000010365 information processing Effects 0.000 title claims description 54
- 238000012545 processing Methods 0.000 claims description 170
- 238000000034 method Methods 0.000 claims description 168
- 230000004044 response Effects 0.000 claims description 6
- 238000004891 communication Methods 0.000 description 16
- 238000010586 diagram Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 7
- 238000012795 verification Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 1
- 239000003086 colorant Substances 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Landscapes
- Facsimiles In General (AREA)
Description
本発明は、情報処理装置及び情報処理プログラムに関する。 The present invention relates to an information processing device and an information processing program.
従来、サービスが利用者を認証する認証処理として、認証器を用いた認証処理が提案されている。具体的には、サービスに対応する認証器を予め登録しておき、利用者がサービスを利用するに当たって、認証器を用いた認証処理を行うことでサービスが利用者を認証する。 Conventionally, authentication processing using an authenticator has been proposed as an authentication process in which a service authenticates a user. Specifically, an authenticator corresponding to a service is registered in advance, and when a user uses the service, the service authenticates the user by performing authentication processing using the authenticator.
特許文献1には、サービス提供システムからの認証要求を受けた場合に第1の認証器に対して認証処理を要求し、第1の認証器に対して認証処理を要求してから所定の条件を満たした場合に、第1の認証器とは異なる第2の認証器に認証処理を要求する情報処理装置が開示されている。 Patent document 1 discloses an information processing device that requests a first authenticator to perform authentication processing when it receives an authentication request from a service providing system, and requests a second authenticator, different from the first authenticator, to perform authentication processing if a predetermined condition is satisfied after the authentication processing is requested from the first authenticator.
ところで、認証器を用いて利用者の認証処理を行う複数のサービスに対して、1人の利用者が利用登録をした場合を考える。この場合、複数のサービスそれぞれから認証を受けるための複数の認証器が用意されることとなるが、当該複数の認証器が互いに異なる場合がある。このような場合、当該利用者としては、あるサービスを利用したいときに、どの認証器を用いて認証処理をすればよいか分からなくなる場合がある。 Now, consider the case where one user registers for multiple services that use an authenticator to perform user authentication processing. In this case, multiple authenticators will be prepared to receive authentication from each of the multiple services, but these multiple authenticators may be different from each other. In such a case, when the user wants to use a certain service, he or she may not know which authenticator to use for authentication processing.
本発明の目的は、複数のサービスそれぞれへの利用者の認証処理のために、互いに異なる認証器を用いる必要がある場合に、利用者が利用可能なサービスへの認証処理に必要な認証器を当該利用者が把握可能とすることにある。 The object of the present invention is to enable a user to know which authenticator is required for authentication processing for the services available to the user when different authenticators need to be used for authentication processing for each of the services.
請求項1に係る発明は、プロセッサを備え、前記プロセッサは、サービスへの利用者の認証処理を実行する認証装置と、前記認証処理に必要である当該サービスに対応する認証器との間において、前記認証処理に係る認証データを中継し、前記利用者を識別する利用者IDと、前記サービスを識別するサービスIDと、前記認証器を識別する認証器IDとが互いに関連付けられ、1つの前記利用者IDに対して、サービスIDと認証器IDとの組が複数関連付けられている認証器対応情報、及び、前記利用者の前記利用者IDに基づいて、前記利用者が利用可能な前記サービスに対応する前記認証器を前記利用者に通知する、ことを特徴とする情報処理装置である。
請求項2に係る発明は、前記プロセッサは、前記認証器対応情報、並びに、前記利用者の前記利用者ID及び前記サービスIDに基づいて、前記利用者ID及び前記サービスIDに対応する前記認証器を前記利用者に通知する、ことを特徴とする請求項1に記載の情報処理装置である。
請求項3に係る発明は、前記プロセッサは、前記利用者が前記情報処理装置に認証された場合に、前記利用者が利用する前記サービスに対応する前記認証器を前記利用者に通知する、ことを特徴とする請求項1又は2に記載の情報処理装置である。
請求項4に係る発明は、前記プロセッサは、前記情報処理装置に認証された前記利用者からの指示に応じて、前記サービスの利用を伴うサービス付帯処理を実行する、ことを特徴とする請求項1から3のいずれか1項に記載の情報処理装置である。
請求項5に係る発明は、前記プロセッサは、前記利用者が前記サービスに認証されたことをもって、前記情報処理装置への前記利用者の認証状態を形成する、ことを特徴とする請求項4に記載の情報処理装置である。
請求項6に係る発明は、前記プロセッサは、前記サービスへの認証の認証強度が、前記情報処理装置への認証の認証強度以上である場合に、前記利用者が前記サービスに認証されたことをもって、前記情報処理装置への前記利用者の認証状態を形成する、ことを特徴とする請求項5に記載の情報処理装置である。
請求項7に係る発明は、前記プロセッサは、互いに異なる前記サービスの利用を伴う複数の前記サービス付帯処理を実行可能であり、前記サービス付帯処理の実行指示を入力するための、複数の前記サービス付帯処理にそれぞれ対応した複数のボタンを、各前記サービス付帯処理で利用される前記サービスに対応する前記認証器を前記利用者が把握可能な態様で前記情報処理装置のディスプレイに表示させる、ことを特徴とする請求項4に記載の情報処理装置である。
請求項8に係る発明は、前記プロセッサは、第1認証器を用いて前記利用者を認証する第1サービスの利用を伴う第1サービス付帯処理、及び、第2認証器を用いて前記利用者を認証する第2サービスの利用を伴う第2サービス付帯処理を実行可能であり、前記利用者が前記第1サービス付帯処理の実行指示を入力した場合であって、前記利用者が前記第2認証器を用いて前記認証処理を行った場合に、前記第2サービス付帯処理を実行してよいか否かを前記利用者に問い合わせる、ことを特徴とする請求項4又は7に記載の情報処理装置である。
請求項9に係る発明は、前記プロセッサは、互いに異なる前記認証器を用いて前記利用者を認証する複数のサービスの利用を伴うマルチサービス付帯処理を実行可能であり、前記利用者が前記マルチサービス付帯処理の実行指示を入力した場合であって、前記利用者が前記複数のサービスのうちの一部に認証された場合に、前記利用者を認証していないサービスの利用を伴わず前記利用者を認証したサービスの利用を伴う前記マルチサービス付帯処理を実行する、ことを特徴とする請求項4、7、又は8に記載の情報処理装置である。
請求項10に係る発明は、コンピュータに、サービスへの利用者の認証処理を実行する認証装置と、前記認証処理に必要である当該サービスに対応する認証器との間において、前記認証処理に係る認証データを中継し、前記利用者を識別する利用者IDと、前記サービスを識別するサービスIDと、前記認証器を識別する認証器IDとが互いに関連付けられ、1つの前記利用者IDに対して、サービスIDと認証器IDとの組が複数関連付けられている認証器対応情報、及び、前記利用者の前記利用者IDに基づいて、前記利用者が利用可能な前記サービスに対応する前記認証器を前記利用者に通知させる、ことを特徴とする情報処理プログラムである。
The invention of claim 1 is an information processing device comprising a processor, which relays authentication data related to the authentication process between an authentication device that executes authentication processing of a user for a service and an authentication device corresponding to the service required for the authentication process, and notifies the user of the authentication device corresponding to the service available to the user based on authenticator correspondence information in which a user ID that identifies the user, a service ID that identifies the service, and an authenticator ID that identifies the authenticator are associated with each other, and multiple pairs of service IDs and authenticator IDs are associated with one user ID, and the user ID of the user.
The invention of claim 2 is the information processing device described in claim 1, characterized in that the processor notifies the user of the authentication device corresponding to the user ID and the service ID based on the authentication device compatibility information, as well as the user ID and the service ID of the user.
The invention of claim 3 is an information processing device as described in claim 1 or 2, characterized in that, when the user is authenticated by the information processing device, the processor notifies the user of the authentication device corresponding to the service used by the user.
The invention of claim 4 is an information processing device described in any one of claims 1 to 3, characterized in that the processor executes service-related processing involving the use of the service in response to instructions from the user authenticated by the information processing device.
The invention of claim 5 is the information processing device described in claim 4, characterized in that the processor forms an authentication status of the user to the information processing device when the user is authenticated to the service.
The invention of claim 6 is an information processing device as described in claim 5, characterized in that when the authentication strength of authentication to the service is equal to or greater than the authentication strength of authentication to the information processing device, the processor forms an authentication status of the user to the information processing device on the basis that the user has been authenticated to the service.
The invention of claim 7 is an information processing device as described in claim 4, characterized in that the processor is capable of executing a plurality of service-attached processes involving the use of different services, and a plurality of buttons corresponding to the plurality of service-attached processes for inputting instructions to execute the service-attached processes, and the authentication device corresponding to the service used in each of the service-attached processes is displayed on the display of the information processing device in a manner that allows the user to understand.
The invention of claim 8 is an information processing device as described in claim 4 or 7, characterized in that the processor is capable of executing a first service-attached process involving the use of a first service to authenticate the user using a first authentication device, and a second service-attached process involving the use of a second service to authenticate the user using a second authentication device, and when the user inputs an instruction to execute the first service-attached process and the user performs the authentication process using the second authentication device, the processor inquires the user as to whether or not it is OK to execute the second service-attached process.
The invention of claim 9 is an information processing device as described in claim 4, 7, or 8, characterized in that the processor is capable of executing multi-service accompanying processing involving the use of multiple services that authenticate the user using different authentication devices, and when the user inputs an instruction to execute the multi-service accompanying processing and the user is authenticated by some of the multiple services, the processor executes the multi-service accompanying processing involving the use of services that have authenticated the user without the use of services that have not authenticated the user.
The invention of
請求項1、2又は10に係る発明によれば、複数のサービスそれぞれへの利用者の認証処理のために、互いに異なる認証器を用いる必要がある場合に、利用者が利用可能なサービスへの認証処理に必要な認証器を当該利用者が把握可能となる。
請求項3に係る発明によれば、情報処理装置が認証していない者に対しては、認証器を通知しないようにすることが可能となる。
請求項4に係る発明によれば、利用者は、サービスの利用に伴い、情報処理装置にサービス付帯処理を実行させることが可能となる。
請求項5に係る発明によれば、情報処理装置は、利用者を認証する処理を省略することが可能となる。
請求項6に係る発明によれば、情報処理装置への認証の認証強度よりも低い認証強度であるサービスへの認証処理によって、利用者が情報処理装置へ認証されてしまうことを防止することが可能となる。
請求項7に係る発明によれば、利用者は、各サービスへの認証に必要な認証器を把握した上で、各サービスを利用する各サービス付帯処理の実行指示を情報処理装置に入力することが可能となる。
請求項8に係る発明によれば、利用者は、利用を希望するサービスが第1サービス及び第2サービスのいずれでもよい場合、第1サービスの利用を伴う第1サービス付帯処理の実行指示を情報処理装置に入力したが第2サービスへの認証のための第2認証器を用いて認証処理をしてしまった場合でも、改めて第2サービスの利用を伴う第2サービス付帯処理の実行指示を情報処理装置に入力する必要なく、第2サービスを利用すること可能となる。
請求項9に係る発明によれば、利用者が、マルチサービス付帯処理の実行指示を情報処理装置に入力した場合であって、当該マルチサービス付帯処理に伴う複数のサービスに対応する複数の認証器の全てが使用できない場合、少なくとも使用可能な認証器に対応するサービスを利用することが可能となる。
According to the invention of
According to the third aspect of the present invention, it is possible to prevent the authentication device from being notified to a person who has not been authenticated by the information processing device.
According to the fourth aspect of the present invention, a user can cause an information processing device to execute a service-accompanying process when using a service.
According to the fifth aspect of the present invention, the information processing device can omit the process of authenticating a user.
According to the invention of claim 6, it is possible to prevent a user from being authenticated into an information processing device through authentication processing for a service having an authentication strength lower than the authentication strength of authentication into the information processing device.
According to the invention of claim 7, a user can understand the authentication device required for authentication to each service, and then input an instruction to execute each service-related process that uses each service into an information processing device.
According to the invention of claim 8, when a user wishes to use either the first service or the second service, even if the user inputs an instruction to execute a first service-accompanying process involving the use of the first service into an information processing device, but has already performed authentication processing using a second authentication device for authentication to the second service, the user can use the second service without having to again input an instruction to execute a second service-accompanying process involving the use of the second service into the information processing device.
According to the invention of claim 9, when a user inputs an instruction to execute a multi-service associated processing into an information processing device, and all of the multiple authentication devices corresponding to the multiple services associated with the multi-service associated processing are unavailable, it is possible to use at least the service corresponding to the available authentication device.
図1は、本実施形態に係る認証システム10の構成概略図である。認証システム10は、本発明に係る情報処理装置としての画像処理装置12、利用者(すなわちユーザ)にサービスを提供する1又は複数のサービス提供装置14、複数の認証器16、及び、認証装置としての認証サーバ18を含んで構成される。画像処理装置12、サービス提供装置14、認証器16、及び認証サーバ18は、LAN(Local Area Network)あるいはインターネットなどの通信回線20により通信可能に接続されている。また、画像処理装置12と認証器16は、BLE(Bluetooth(登録商標) Low Energy)あるいはNFC(Near Field Communication)などの近距離無線通信、又は、有線によって互いに通信可能に接続可能となっている。
Fig. 1 is a schematic diagram of an
画像処理装置12の詳細は、図2などを参照しながら後述する。
Details of the
サービス提供装置14は、代表的にはサーバコンピュータから構成されるが、サービス提供装置14は、認証されたユーザに対してサービスを提供する限りにおいてどのような装置であってもよい。サービス提供装置14は、通信回線20を介して他の装置と通信する機能を発揮する通信インターフェース、HDD(Hard Disk Drive)やROM(Read Only Memory)あるいはRAM(Random Access Memory)などから構成されるメモリ、CPU(Central Processing Unit)などから構成されるプロセッサを含んで構成される。
The
詳しくは後述するように、サービス提供装置14が提供するサービス(以下、単に「サービス」と記載する)をユーザが利用するに先立って、サービスに対してユーザ登録を行う登録処理が実行される。当該登録処理において、認証器16を用いた認証処理によりユーザがサービスから認証を受けるために必要な情報がサービス提供装置14及び認証サーバ18に登録される。当該登録処理により、当該サービスから認証を受けるために必要な認証器16が決定される。その上で、当該認証器16を用いた認証処理によりサービスがユーザを認証すると、当該ユーザはサービスを利用可能となる。後述するように、登録処理及び認証処理は、認証器16と認証サーバ18との間で実行される。
As will be described in detail later, before a user uses a service provided by the service providing device 14 (hereinafter simply referred to as "service"), a registration process is executed to register the user with the service. In the registration process, information necessary for the user to be authenticated by the service through authentication process using the
本実施形態に係る認証システム10においては、1人のユーザは、複数のサービスに対してユーザ登録をすることができる。つまり、1人のユーザは複数のサービスを利用可能である。当該複数のサービスは、それぞれ異なるサービス提供装置14から提供される。また、1つのサービス提供装置14が複数の異なるサービスをユーザに提供するようにしてもよい。
In the
これに限られるものではないが、サービスとしては、例えば電子文書の管理を行う文書管理サービスが挙げられる。文書管理サービスは、電子文書に対して種々の処理を施した上で当該電子文書を管理するものであってもよい。サービス提供装置14がサーバコンピュータで構成される場合、サービスは通信回線20を介して提供され、すなわち当該サービスはクラウドサービスとなる。
Although not limited to this, an example of the service is a document management service that manages electronic documents. The document management service may manage the electronic documents after performing various processes on the electronic documents. When the
認証器16は、例えば、認証用アプリケーションがインストールされたスマートフォン若しくはスマートウォッチ、又は、USBメモリと当該USBメモリを読み込み可能なコンピュータとのセットなどから構成される。認証器16は、サービスから認証を受ける際にユーザによって用いられるものである。サービス毎に、当該サービスから認証を受けるために必要な認証器16が上述の登録処理により予め認証サーバ18に登録される。サービス毎に互いに異なる認証器16が登録される場合もある。1人のユーザが複数のサービスを利用可能である場合には、当該ユーザは、各サービスに対応した複数の認証器16を用意しておき、利用を希望するサービスからの認証処理においては、当該サービスに対応した認証器16を適宜選択して用いる必要がある。
The
なお、認証用アプリケーションがインストールされた装置を認証器16として用いる場合、複数の認証用アプリケーション、例えば認証用アプリケーションA及び認証用アプリケーションBが1つの認証器16にインストールされる場合も考えられる。そのような場合、本明細書においては、ハードウェアとしては1つの認証器16であっても、認証用アプリケーションAを起動した装置と、認証用アプリケーションBを起動した装置とでは、それらは互いに異なる認証器16であるものとみなすこととする。すなわち、互いに異なる認証器16とは、ハードウェアが互いに異なる認証器16のみならず、認証用アプリケーションが互いに異なる認証器16も含む概念である。
When a device on which an authentication application is installed is used as the
認証サーバ18は、代表的にはサーバコンピュータから構成されるが、サービス提供装置14は、認証器16を用いてユーザを認証する認証処理を実行可能な限りにおいてどのような装置であってもよい。認証サーバ18は、通信回線20を介して他の装置と通信する機能を発揮する通信インターフェース、HDDやROMあるいはRAMなどから構成されるメモリ、CPUなどから構成されるプロセッサを含んで構成される。
The
認証サーバ18による認証器16を用いたユーザの認証処理の詳細については後述する。
Details of the user authentication process by the
図2は、画像処理装置12の構成概略図である。画像処理装置12は、例えば、プリント機能、スキャン機能、コピー機能、電子文書送信機能などを発揮する複合機である。詳しくは後述するが、画像処理装置12は、認証器16と認証サーバ18との間において、サービスがユーザを認証する認証処理に係る認証データを中継する処理を行う。
Figure 2 is a schematic diagram of the configuration of the
なお、本実施形態では、本発明に係る情報処理装置として画像処理装置12が用いられているが、情報処理装置としては、認証データの中継処理を実行可能であり、ユーザへの通知手段を有する限りにおいてどのような装置であってもよい。
In this embodiment, an
通信インターフェース30は、例えばネットワークアダプタなどを含んで構成される。通信インターフェース30は、通信回線20を介して他の装置(例えばサービス提供装置14及び認証サーバ18)と通信する機能を発揮する。また、通信インターフェース30は、近距離無線通信又は有線通信にて認証器16と通信する機能を発揮する。
The
ディスプレイ32は、例えば液晶パネルなどを含んで構成される。ディスプレイ32には、後述の通知処理部46の処理により、ユーザに種々の情報を通知するための画面が表示される。
The
入力インターフェース34は、例えばタッチパネルあるいはボタンなどを含んで構成される。入力インターフェース34は、ユーザが画像処理装置12に種々の指示を入力するために用いられる。
The
メモリ36は、例えばHHD、SSD(Solid State Drive)、ROM、あるいはRAMなどを含んで構成されている。メモリ36は、後述のプロセッサ40とは別に設けられてもよいし、少なくとも一部がプロセッサ40の内部に設けられていてもよい。メモリ36には、画像処理装置12の各部を動作させるための情報処理プログラムが記憶される。また、図2に示す通り、メモリ36には認証器対応情報38が記憶される。
The
認証器対応情報38は、ユーザを識別する利用者IDとしてのユーザIDと、サービスを識別するサービスIDと、当該サービスに対する当該ユーザの認証に用いられる認証器16を示す認証器IDとが互いに関連付けられた情報である。認証器対応情報38の詳細については、後述する登録部42の処理と共に説明する。
The
プロセッサ40は、広義的な処理装置を指し、汎用的な処理装置(例えばCPUなど)、及び、専用の処理装置(例えばGPU(Graphics Processing Unit)、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)、あるいは、プログラマブル論理デバイスなど)の少なくとも1つを含んで構成される。プロセッサ40としては、1つの処理装置によるものではなく、物理的に離れた位置に存在する複数の処理装置の協働により構成されるものであってもよい。図2に示す通り、プロセッサ40は、メモリ36に記憶された情報処理プログラムにより、登録部42、認証部44、通知処理部46、及び処理実行部48としての機能を発揮する。
The
登録部42は、認証器16と認証サーバ18との間において、サービスへのユーザ登録を行う登録処理に係る登録データを中継する。本実施形態では、認証システム10に含まれる各サービス提供装置14が提供する各サービスは、FIDO(Fast IDentity Online)認証によってユーザを認証する。したがって、登録処理においては、FIDO認証を行うために必要な登録データがサービス提供装置14及び認証サーバ18に登録される。
The
以下、図3に示すフローチャートに従って、本実施形態における登録処理の流れを説明する。 The flow of the registration process in this embodiment will be explained below according to the flowchart shown in Figure 3.
ステップS10において、ユーザは、認証器16を操作して、ユーザ登録を希望するサービス(すなわちサービス提供装置14)に対して、認証器16から登録リクエストを送信する。当該登録リクエストには、当該サービスにおいて当該ユーザを一意に識別するサービスユーザID及び当該認証器16のアドレス情報が含まれる。
In step S10, the user operates the
ステップS12において、サービスは、ステップS10で受信した登録リクエストに含まれるサービスユーザID及び認証器16のアドレス情報、自サービスを一意に識別するサービスID、並びに、自サービスのサービス名を認証サーバ18に送信する。サービスは、受信したサービスユーザIDを保持しておく。
In step S12, the service transmits to the
ステップS14において、認証サーバ18は、チャレンジと呼ばれる情報(例えばランダムに生成された文字列)を生成し、ステップS12でサービスから受信したアドレス情報、サービスID、及びサービス名と共に、生成したチャレンジを画像処理装置12に送信する。認証サーバ18は、ステップS12で受信したサービスユーザID、及び、生成したチャレンジを保持しておく。
In step S14, the
ステップS16において、画像処理装置12の登録部42は、ステップS14でアドレス情報、サービスID、サービス名、及びチャレンジを受信すると、当該アドレス情報が示す認証器16に対してチャレンジを送信する。登録部42は、受信したサービスID及びサービス名を保持しておく。
In step S16, when the
ステップS18において、認証器16は、種々の方法でユーザを認証する。例えば、生体認証やパスワードによってユーザを認証する。ユーザが認証器16に対する認証に必要な情報は予め認証器16に登録されている。認証器16がユーザを認証すると、ステップS20に進む。なお、認証器16がユーザを認証できなかった場合には、以後のステップの処理を実行せずに登録処理を終了する。
In step S18, the
ステップS20において、認証器16は、公開鍵及び当該公開鍵に対応する秘密鍵を生成する。なお、公開鍵及び秘密鍵は、既知の方法にて生成可能であるため、ここでは詳細な説明は省略する。
In step S20, the
ステップS22において、認証器16は、ステップS20で生成した秘密鍵を用いて、ステップS16で受信したチャレンジに対して署名をする。具体的には、当該秘密鍵でしか生成できない文字列をチャレンジに付与する。署名されたチャレンジを署名データと呼ぶ。
In step S22, the
ステップS24において、認証器16は、ステップS20で生成された公開鍵、ステップS22で生成された署名データ、画像処理装置12においてユーザを一意に識別するユーザID(上述のサービスユーザIDとは異なっていてもよいし同じであってもよい)、当該認証器16を一意に識別する認証器ID、及び、認証器名を画像処理装置12に送信する。好適には、これらの情報に加え、当該サービスへの認証処理における認証器16によるユーザの認証方法(ステップS18における認証の認証方法と同じであってよい)を示す情報を画像処理装置12に送信する。ここで、認証器16は、ステップS20で生成した秘密鍵を認証器16のメモリに保持しておく。認証器16として、USBメモリとコンピュータとのセットを用いる場合は、FIDOセキュリティキーとしてのUSBメモリに当該秘密鍵を記憶させる。
In step S24, the
ステップS26において、登録部42は、ステップS24で受信した公開鍵及び署名データを認証サーバ18に送信する。登録部42は、ステップS24で受信したユーザID、認証器ID、及び認証器名を保持しておく。ステップS24で認証器16によるユーザの認証方法を示す情報を受信している場合には、登録部42は、当該情報も保持しておく。
In step S26, the
ステップS28において、認証サーバ18は、ステップS26で公開鍵及び署名データを受信すると、当該公開鍵を用いて当該署名データを検証する。検証の結果、署名データが受信した公開鍵に対応する秘密鍵で署名されたものであることが確認できると、認証サーバ18は、ステップS12で受信したサービスユーザID及びサービスID、並びに、ステップS26で受信した公開鍵とを関連付けて、認証サーバ18のメモリに記憶させておく。本明細書では、当該情報を公開鍵情報と呼ぶ。
In step S28, upon receiving the public key and signature data in step S26, the
ステップS30において、認証サーバ18は、登録完了通知を画像処理装置12及びサービスに送信する。サービスは、認証サーバ18から登録完了通知を受信すると、ステップS10で受信したサービスユーザIDを当該サービスにユーザ登録済みであるユーザとして登録する。
In step S30, the
ステップS32において、登録部42は、ステップS14で受信したサービスID及びサービス名、並びに、ステップS24で受信したユーザID、認証器ID及び認証器名を互いに関連付けてメモリ36に記憶させておく。当該情報が認証器対応情報38である。認証器16によるユーザの認証方法を示す情報を保持している場合には、登録部42は、サービスID、ユーザID、及び認証器IDに関連付けて当該情報も認証器対応情報38に含めてメモリ36に記憶させておく。なお、画像処理装置12が、サービスIDに基づいてサービス名を何らかの方法で特定可能である場合は、認証器対応情報38にサービス名が含まれていなくてもよい。また、画像処理装置12が、認証器IDに基づいて認証器名を何らかの方法で特定可能である場合は、認証器対応情報38に認証器名が含まれていなくてもよい。
In step S32, the
ステップS34において、登録部42は、当該サービスへのユーザ登録が完了したことを認証器16(すなわちユーザ)に通知する。
In step S34, the
各ユーザの各サービスに関する上述の登録処理を行うことにより、認証器対応情報38として、ユーザID、サービスID、サービス名、認証器ID、及び認証器名(好適にはさらに認証方法)の組み合わせが複数記憶される。図4に、認証器対応情報38の例が示されている。特に、本実施形態では、1人のユーザは複数のサービスを利用可能、すなわち、1人のユーザは複数のサービスに対してユーザ登録可能であるから、認証器対応情報38において、1つのユーザIDに対して、サービスIDと認証器IDとの組み合わせが複数関連付けられている。
By carrying out the above-mentioned registration process for each service for each user, multiple combinations of user ID, service ID, service name, authenticator ID, and authenticator name (preferably also authentication method) are stored as
認証部44は、認証器16と認証サーバ18との間において、サービスがユーザを認証する(換言すればユーザがサービスにログインする)認証処理に係る認証データを中継する。本実施形態では、認証データは、サービスがFIDO認証によりユーザを認証するために必要なデータとなる。
The
以下、図5に示すフローチャートに従って、本実施形態における認証処理の流れを説明する。 The flow of authentication processing in this embodiment will be explained below according to the flowchart shown in FIG.
ステップS40において、ユーザは、認証器16を操作して、利用を希望するサービス(すなわちサービス提供装置14)に対して、当該サービスに対応する認証器16を選択した上で、当該認証器16からログインリクエストを送信する。当該ログインリクエストには、当該サービスにおいて当該ユーザを一意に識別するサービスユーザID及び当該認証器16のアドレス情報が含まれる。
In step S40, the user operates the
ステップS42において、サービスは、認証リクエストを認証サーバ18に送信する。認証サーバ18には、ステップS10で受信した登録リクエストに含まれるサービスユーザID及び認証器16のアドレス情報、並びに、自サービスを一意に識別するサービスIDとが含まれる。サービスは、受信したサービスユーザIDを保持しておく。
In step S42, the service sends an authentication request to the
ステップS44において、認証サーバ18は、チャレンジを生成し、ステップS42でサービスから受信した認証リクエストに含まれるアドレス情報及びサービスIDと共に、生成したチャレンジを画像処理装置12に送信する。認証サーバ18は、ステップS42で受信したサービスユーザID、サービスID、及び、生成したチャレンジを保持しておく。
In step S44, the
ステップS46において、画像処理装置12の認証部44は、ステップS44でアドレス情報及びチャレンジを受信すると、当該アドレス情報が示す認証器16に対してチャレンジを送信する。
In step S46, when the
ステップS48において、認証器16はユーザを認証する。認証器16がユーザを認証すると、ステップ50に進む。なお、認証器16がユーザを認証できなかった場合には、以後のステップの処理を実行せずに認証処理を終了する。
In step S48, the
ステップS50において、認証器16は、メモリに記憶されている秘密鍵を用いて、ステップS46で受信したチャレンジを署名する。 In step S50, the authenticator 16 signs the challenge received in step S46 using the private key stored in memory.
ステップS52において、認証器16は、ステップS50で生成された署名データを画像処理装置12に送信する。
In step S52, the
ステップS54において、認証部44は、ステップS52で受信した署名データを認証サーバ18に送信する。
In step S54, the
ステップS56において、認証サーバ18は、メモリに記憶されている公開鍵情報を参照し、ステップS42で受信したサービスユーザID及びサービスIDに関連付けられている公開鍵を特定する。その上で、認証サーバ18は、特定した公開鍵を用いて、ステップS54で受信した署名データを検証する。検証の結果、当該署名データが当該公開鍵に対応する秘密鍵で署名されたものであることが確認できると認証成功となり、ステップS56に進む。一方、当該署名データが当該公開鍵に対応する秘密鍵で署名されたものではないと判定した場合は認証失敗となる。
In step S56, the
仮に、ステップS40で、ユーザが当該サービスに対応していない認証器16を誤って選択している場合、つまり、当該認証器16が当該サービスに対応したものではない場合、署名データは、当該サービスに対応しない秘密鍵によって署名されたものとなる。したがって、この場合、ステップS56における認証サーバ18の検証処理により、当該署名データが当該公開鍵に対応する秘密鍵で署名されたものではないと判定され、ユーザはサービスから認証を得ることができない。
If, in step S40, the user mistakenly selects an
ステップS58において、認証サーバ18は、認証結果を画像処理装置12及びサービスに通知する。サービスは、認証サーバ18から認証成功通知を受信すると、ステップS10で受信したサービスユーザIDが示すユーザを認証済みのユーザとして扱う。すなわち、サービスは、当該ユーザの認証状態を形成する。一方、サービスは、認証サーバ18から認証失敗通知を受信すると、当該ユーザの認証状態を形成しない。
In step S58, the
ステップS60において、認証部44は、当該サービスへの認証が完了したことを認証器16(すなわちユーザ)に通知する。
In step S60, the
また、認証部44は、画像処理装置12がユーザを認証するため、換言すればユーザが画像処理装置12にログインするための処理を行う。サービスがユーザを認証するための認証処理と区別して、当該処理を装置認証処理と呼ぶ。装置認証処理は、既知の方法、例えば、生体認証やパスワードなどの方法で行うことができる。装置認証処理に必要な情報は予め登録されメモリ36に記憶される。
The
図2に戻り、通知処理部46は、上述の認証処理によってサービスがユーザを認証するに先立って、認証器対応情報38に基づいて、ユーザが利用可能な各サービスに対応する認証器16をユーザに通知する処理を実行する。
Returning to FIG. 2, the
具体的には、まず、画像処理装置12は、通知の対象となるユーザのユーザIDを取得する。当該ユーザIDの取得方法はどのような方法であってもよい。例えば、画像処理装置12が装置認証処理によりユーザを認証することで(すなわちユーザが画像処理装置12にログインすることで)ユーザIDを取得する。また、ユーザIDの取得に当たり、必ずしも画像処理装置12は当該ユーザを認証する必要はなく、例えば、画像処理装置12が認証していないユーザが入力インターフェース34からユーザIDを入力することで取得するようにしてもよい。あるいは、画像処理装置12に備えられた非接触読取器によって、ユーザが所持している、ユーザIDが記憶された記憶媒体(例えばIDカードなど)からユーザIDを読み取るようにしてもよい。
Specifically, first, the
通知処理部46は、認証器対応情報38(図4参照)を参照し、取得したユーザIDに関連付けられているサービスID及び認証器IDを特定する。その上で、通知処理部46は、特定したサービスIDが示すサービスと、特定した認証器IDが示す認証器16(すなわち当該サービスに対応する認証器16)を当該ユーザに通知する。例えば、通知処理部46は、特定したサービスIDが示すサービスのサービス名と、特定した認証器IDが示す認証器16の認証器名との組み合わせを示す認証器通知画面をディスプレイ32に表示することで、ユーザが利用可能なサービスに対応する認証器16を通知することができる。
The
そのような認証器通知画面の例が図6に示されている。図6の例では、当該ユーザがサービスA、サービスB、サービスCが利用可能であり、サービスAに対応する認証器16はスマートフォンの認証アプリケーションXであり、サービスBに対応する認証器16はUSBキーであり、サービスCに対応する認証器16はスマートフォンの認証アプリケーションYであることが示されている。
An example of such an authenticator notification screen is shown in FIG. 6. In the example of FIG. 6, it is shown that the user can use service A, service B, and service C, the
このように、ユーザが利用可能な各サービスに対応する認証器16を通知処理部46がユーザに通知することで、ユーザは、各サービスへの認証処理に必要な認証器16を把握することができる。
In this way, the
なお、本実施形態では、通知処理部46は、認証器通知画面をディスプレイ32に表示させることで、各サービスに対応する認証器16をユーザに通知していたが、通知の方法はこれに限られない。例えば、通知処理部46は、音声出力により通知を行ってもよい。あるいは、通知処理部46は、画像処理装置12のディスプレイ32ではなく、当該ユーザが使用する端末に対して認証器通知画面を表示させるようにしてもよい。
In this embodiment, the
通知処理部46は、ユーザIDのみならず、ユーザが利用を希望しているサービスのサービスIDを取得できた場合には、認証器対応情報38を参照し、取得したユーザID及びサービスIDに関連付けられている認証器IDを特定し、特定した認証器IDが示す認証器16を当該ユーザに通知するようにしてもよい。
When the
その場合の認証器通知画面の例が図7に示されている。図7の例では、当該ユーザがサービスAを利用を希望している場合であり、当該認証器通知画面においては、サービスAに対応する認証器16はスマートフォンの認証アプリケーションXであることが示されている。 An example of the authenticator notification screen in this case is shown in Figure 7. In the example of Figure 7, the user wishes to use service A, and the authenticator notification screen shows that the authenticator 16 corresponding to service A is authentication application X of the smartphone.
ユーザが利用を希望しているサービスのサービスIDの取得方法はどのような方法であってもよい。例えば、ユーザが利用を希望しているサービスには対応していない、誤った認証器16を用いて認証処理を行った場合、当該ユーザはサービスには認証されないが、その認証処理の過程において、当該サービスのサービスIDが画像処理装置12に送信される(図5のステップS44)。これにより、画像処理装置12は、当該サービスのサービスIDを取得することができる。また、ユーザが入力インターフェース34からサービスIDを入力することで取得するようにしてもよい。
The method of acquiring the service ID of the service that the user wishes to use may be any method. For example, if an authentication process is performed using an
画像処理装置12がユーザIDを取得しただけで、当該ユーザIDが示すユーザが利用可能な複数のサービス及び各サービスに対応する認証器16を通知する場合、セキュリティの観点から問題が生じる場合がある。例えば、ユーザAのユーザIDが記憶されたIDカードを何らかの方法でユーザBが取得し、ユーザBが当該IDカードを用いてユーザAのユーザIDを画像処理装置12に入力すると、ユーザAが望まなかったとしても、ユーザAが利用可能な複数のサービスと、各サービスに対応する認証器16がユーザBに対して通知されることとなる。
If the
このような場合に備え、通知処理部46は、取得したユーザIDが示すユーザが装置認証処理によって画像処理装置12に認証された場合にのみ、当該ユーザが利用可能な各サービスに対応する認証器16を通知するようにしてもよい。これにより、上述の例では、ユーザAが画像処理装置12に認証されない限り、ユーザAが利用可能な複数のサービスと、各サービスに対応する認証器16がユーザBに対して通知されないこととなる。
In preparation for such a case, the
また、通知処理部46が、サービスに対応する認証器16をユーザに通知するか否かを予め画像処理装置12に設定しておくことができるようになっていてもよい。当該設定は、画像処理装置12の管理者やユーザ自身によって行うことができる。通知の有無は、ユーザ毎に設定可能であってもよい。通知処理部46は、認証器16の認証を通知するという設定になっている場合にのみ、上述の方法にて、各サービスに対応する認証器16をユーザに通知し、認証器16の認証を通知しないという設定になっている場合には、ユーザには、各サービスに対応する認証器16を通知しない。
The
再度図2に戻り、処理実行部48は、ユーザからの指示に応じて、サービス提供装置14が提供するサービスの利用を伴う処理を実行する。本明細書では、このような処理をサービス付帯処理と呼ぶ。これに限るものではないが、サービス付帯処理としては、紙文書を画像処理装置12が有するスキャナ(不図示)により光学的に読み取ることで画像データを取得し、当該画像データをサービスに送信するという処理が挙げられる。ユーザは、サービス付帯処理を処理実行部48に指示するに先立って、画像処理装置12に認証されている必要がある。すなわち、処理実行部48は、画像処理装置12に認証されたユーザからの指示に応じて、サービス付帯処理を実行する。
Returning to FIG. 2 again, the
ユーザがサービスを利用するには当該サービスに認証されていることが必要であるから、ユーザが画像処理装置12にサービス付帯処理を実行させるには、ユーザは、サービスと画像処理装置12の両方に認証される必要がある。ここで、認証部44は、画像処理装置12がユーザを認証していない状態において、サービスがユーザを認証した場合、当該画像処理装置12が当該ユーザを認証したとみなすようにしてもよい。換言すれば、認証部44は、ユーザがサービスにログインしたことをもって、画像処理装置12への当該ユーザの認証状態を形成するようにしてもよい。これにより、サービス付帯処理を実行するに当たり、画像処理装置12がユーザを認証する装置認証処理を省略することができる。
Because a user needs to be authenticated by a service in order to use that service, in order for the user to have the
好適には、認証部44は、サービスへの認証の認証強度が、画像処理装置12への認証の認証強度以上である場合に、当該ユーザがサービスに認証されたことをもって、画像処理装置12への当該ユーザの認証状態を形成するようにしてもよい。認証強度とは、認証したユーザが、確かに当該ユーザ本人であることの保証の度合いを示すものである。換言すれば、認証強度とは、第三者が他人に成りすまして認証されることの困難性を示すものである。認証強度は、認証方法に応じて定められる。例えば、生体認証とパスワード認証を比較すると、生体情報よりもパスワードの方が他人に流出し易いことから、パスワード認証に比して生体認証の方が認証強度が高いと言える。生体認証の中にも種々の方法があるため、各方法に応じて認証強度が定められていてよい。
Preferably, when the authentication strength of the authentication to the service is equal to or greater than the authentication strength of the authentication to the
認証部44は、自ら装置認証処理を実行するから、画像処理装置12へのユーザの認証方法はもとより把握している。したがって、画像処理装置12への認証方法に基づいて、画像処理装置12への認証の認証強度を取得することができる。また、本実施形態では、各サービスはユーザをFIDO認証により認証するから、各サービスへの認証の認証強度をFIDO認証に応じた強度として取得することができる。さらに、FIDO認証においては、認証器16におけるユーザの認証方法が種々考えられるところ、認証部44は、認証器16におけるユーザの認証方法を考慮して、サービスへの認証の認証強度を取得するようにしてもよい。認証部44は、各サービスへの認証処理における認証器16におけるユーザの認証方法は、認証器対応情報38(図4参照)に基づいて取得することができる。
Because the
サービスへの認証の認証強度が、画像処理装置12への認証の認証強度以上である場合に、当該ユーザがサービスに認証されたことをもって、画像処理装置12への当該ユーザの認証状態を形成するようにすることで、画像処理装置12への認証の認証強度未満の認証方法によって画像処理装置12へのユーザの認証状態が形成されてしまうことを防止することができる。
When the authentication strength of the authentication to the service is equal to or greater than the authentication strength of the authentication to the
処理実行部48は、互いに異なるサービスの利用を伴う複数のサービス付帯処理を実行可能である。例えば、処理実行部48は、紙文書をスキャンして得られた画像データをサービスAに送信するサービス付帯処理A、及び、紙文書をスキャンして得られた画像データをサービスBに送信するサービス付帯処理Bを実行することができる。
The
この場合、通知処理部46は、サービス付帯処理の実行指示を入力するための複数のサービス付帯処理にそれぞれ対応した複数のボタンをディスプレイ32に表示させる。例えば、図8に示すように、通知処理部46は、サービス付帯処理Aの実行指示を入力するための指示ボタン60、及び、サービス付帯処理Bの実行指示を入力するための指示ボタン62をディスプレイ32に表示させる。
In this case, the
ここで、通知処理部46は、各サービス付帯処理に対応する各ボタンを、対応するサービス付帯処理で利用されるサービスに対応する認証器16をユーザが把握可能な態様で表示させるとよい。例えば、図8に示すように、通知処理部46は、サービス付帯処理Aに対応する指示ボタン60の近傍に、サービス付帯処理Aで利用されるサービスAから認証を受けるために必要な認証器16を示す文字列を表示させ、サービス付帯処理Bに対応する指示ボタン62の近傍に、サービス付帯処理Bで利用されるサービスBから認証を受けるために必要な認証器16を示す文字列を表示させる。もちろん、各サービス付帯処理で利用させるサービスに対応する認証器16をユーザが把握可能となる限りにおいて、その他の表示態様でもよい。
Here, the
また、複数のボタンに対応する複数のサービス付帯処理で利用される複数のサービスのうち、既に当該ユーザを認証済みのサービス(すなわちユーザがログイン済みのサービス)が有る場合、通知処理部46は、認証済みのサービスを利用するサービス付帯処理に対応するボタンと、当該ユーザを未だ認証していないサービスを利用するサービス付帯処理に対応するボタンとを異なる表示態様で表示するとよい。例えば、図9に示すように、通知処理部46は、ユーザを認証済みのサービスAを利用するサービス付帯処理Aに対応する指示ボタン60の近傍に、サービスAにより認証されていることを示す文字列を表示させ、ユーザを認証していないサービスBを利用するサービス付帯処理Bに対応する指示ボタン62の近傍に、サービスBには認証されていないことを示す文字列を表示させる。このとき、サービスBから認証を受けるために必要な認証器16を示すのが好適である。もちろん、各サービス付帯処理で利用させるサービスからの認証の有無をユーザが把握可能となる限りにおいて、その他の表示態様でもよい。例えば、ボタン60とボタン62とを異なる色で表示する、などの表示態様であってもよい。
Furthermore, when there is a service for which the user has already been authenticated (i.e., a service for which the user has already logged in) among the multiple services used in the multiple service-attached processes corresponding to the multiple buttons, the
また、処理実行部48が、第1認証器としての認証器Aを用いてユーザを認証する第1サービスとしてのサービスAの利用を伴う第1サービス付帯処理としてのサービス付帯処理A、及び、第2認証器としての認証器Bを用いてユーザを認証する第2サービスとしてのサービスBの利用を伴う第2サービス付帯処理としてのサービス付帯処理Bを実行可能な場合であって、ユーザがサービス付帯処理Aの実行指示を画像処理装置12に入力したときに、誤って(認証器Aではなく)認証器Bを用いたサービスAへの認証処理を行った場合を考える。例えば、図8に示されたボタン60及びボタン62がディスプレイ32に表示されており、ユーザがボタン60を操作して、サービスAへの認証処理の際に、サービスBに対応する認証器Bを用いた場合である。
Consider a case where the
この場合、ユーザは、サービスAから認証を受けることはできない。しかしながら、当該ユーザとしては、利用するサービスは、サービスAでもサービスBでもどちらでもよいと考えている場合がある。本例であると、ユーザは、電子文書の送信先(管理先)としては、サービスAでもサービスBでもどちらでもよいと考えている場合がある。 In this case, the user cannot be authenticated by service A. However, the user may think that it does not matter whether the service to be used is service A or service B. In this example, the user may think that it does not matter whether the service to be used is service A or service B as the destination (management destination) of the electronic document.
そこで、通常であれば、ユーザは、画像処理装置12に実行指示を入力したサービス付帯処理Aにより利用されるサービスAに対応する認証器Aを用意した上で、当該認証器Aを用いてサービスAから認証を受ける必要があるところ、通知処理部46は、ユーザが用いた認証器Bに対応するサービスBを利用するサービス付帯処理Bを実行してよいか否かをユーザに問い合わせるようにしてもよい。例えば、図8の画面において、ユーザがボタン60を操作してサービス付帯処理Aの実行指示を入力して、サービスBに対応する認証器Bを用いてサービスAに対する認証処理を行った場合、通知処理部46は、図10に示すように、「サービスBに文書を送信してもよいですか?」というメッセージと共に「はい」及び「いいえ」のボタンをディスプレイ32に表示させる。ここで、ユーザが「はい」ボタンを操作すると、認証部44がサービスBへの認証処理によりサービスBが当該ユーザを認証した上で、処理実行部48は、当該電子文書をサービスBに送信する。ユーザが「いいえ」のボタンを操作した場合は、処理実行部48は当該電子文書をサービスBに送信しない。
In this case, normally, the user needs to prepare an authentication device A corresponding to the service A used by the service-attached process A for which an execution instruction has been input to the
具体的には、通知処理部46は、サービスAへの認証処理により(誤って)用いられた認証器16を、当該認証処理の過程において識別することができる。例えば、当該認証器16から画像処理装置12に署名データを送信する際(図5のステップS52)に、認証器16が、認証器IDを共に送信するようにすれば、通知処理部46は、当該認証器IDに基づいて、ユーザが使用した認証器16を把握することができる。その上で、通知処理部46は、認証器対応情報38を参照し、ユーザが使用した認証器16に対応するサービスを特定する。その上で、ユーザに、当該サービスの利用を伴いサービス付帯処理を実行してよいか否かの問い合わせを行う。
Specifically, the
また、処理実行部48は、互いに異なる認証器16を用いてユーザを認証する複数のサービスの利用を伴うマルチサービス付帯処理を実行可能であってもよい。例えば、認証器Aを用いてユーザを認証するサービスA、及び、認証器Bを用いてユーザを認証するサービスBの利用を伴うマルチサービス付帯処理を実行可能であってもよい。これに限るものではないが、マルチサービス付帯処理としては、紙文書を画像処理装置12が有するスキャナにより光学的に読み取ることで画像データを取得し、当該画像データを複数のサービスに送信するという処理が挙げられる。
The
マルチサービス付帯処理を実行するためには、ユーザは、互いに異なる複数の認証器16を用いて、複数のサービスそれぞれに認証されている必要がある。しかしながら、ユーザが当該複数の認証器16のうちの一部の認証器16しかすぐには用意できずに、マルチサービス付帯処理が利用する複数のサービスの全部から認証されることができず、当該複数のサービスのうちの一部からしか認証されない場合が考えられる。
To execute the multi-service attached processing, the user needs to be authenticated for each of the multiple services using multiple, mutually different,
そこで、処理実行部48は、ユーザがマルチサービス付帯処理の実行指示を入力した場合であって、ユーザが当該マルチサービス付帯処理で利用される複数のサービスのうちの一部に認証された場合に、当該複数のサービスのうち、ユーザを認証していないサービスの利用を伴わず、ユーザを認証したサービスの利用を伴うマルチサービス付帯処理を実行するようにしてもよい。例えば、認証器Aを用いてユーザを認証するサービスA、及び、認証器Bを用いてユーザを認証するサービスBの利用を伴うマルチサービス付帯処理の実行指示をユーザが入力し、当該ユーザが認証器Bを用意できずに、認証器Aを用いた認証処理によりサービスAから認証されたが、サービスBからは認証されていない状況を考える。この場合、処理実行部48は、サービスBの利用を伴わず、サービスAの利用を伴う当該マルチサービス付帯処理を実行する。
Therefore, when a user inputs an instruction to execute a multi-service-attached process and the user is authenticated by some of the multiple services used in the multi-service-attached process, the
なお、この場合、処理実行部48は、ユーザを認証していないサービスBの利用を伴う当該マルチサービス付帯処理の実行指示を保留しておいてもよい。当該実行指示の保留状態において、ユーザが認証器Bを用いた認証処理によりサービスBから認証された場合には、ユーザは改めて当該マルチサービス付帯処理の実行指示を画像処理装置12に入力することなく、処理実行部48は、サービスBの利用を伴う当該マルチサービス付帯処理を実行する。
In this case, the
本実施形態に係る画像処理装置12の概要は以上の通りである。以下、図11に示すフローチャートに従って、画像処理装置12の処理の流れについて説明する。
The overview of the
ステップS70において、画像処理装置12は、通知の対象となるユーザのユーザIDを取得する。
In step S70, the
ステップS72において、通知処理部46は、画像処理装置12の設定が、サービスに対応する認証器16をユーザに通知する設定となっているか否かを判定する。通知する設定となっている場合はステップS74に進み、通知しない設定となっている場合はステップS74~80の処理をバイパスしてステップS82に進む。
In step S72, the
ステップS74において、通知処理部46は、認証部44による装置認証処理により、画像処理装置12がユーザを認証済みであるか否かを判定する。画像処理装置12がユーザを認証していない場合はステップS76に進み、認証済みである場合はステップS76及びS78をバイパスしてステップS80に進む。
In step S74, the
ステップS76において、認証部44は、画像処理装置12にログインするようにユーザに要求する。例えば、ディスプレイ32に「ログインしてください」などの文字列を表示させる。
In step S76, the
ステップS78において、認証部44は、ステップS76の認証要求に対してユーザが画像処理装置12にログインしたか否かを判定する。本例では、画像処理装置12がユーザを認証していることを条件として、サービスに対応する認証器16を通知することとなっているため、ユーザが画像処理装置12にログインしなかった場合、処理を終了する。ユーザが画像処理装置12にログインしたならばステップS80に進む。
In step S78, the
ステップS80において、通知処理部46は、ステップS70で取得したユーザID、及び認証器対応情報38に基づいて、当該ユーザが利用可能な各サービスに対応する各認証器16を通知する。ステップS80に先立って、当該ユーザが利用を希望するサービスのサービスIDを画像処理装置12が取得できた場合には、ユーザID、当該サービスID、及び認証器対応情報38に基づいて、当該ユーザが当該サービスへの認証処理に必要な認証器16を特定して当該ユーザに通知するようにしてもよい。
In step S80, the
ステップS82において、認証器16を用いた当該サービスへの認証処理が開始されると、認証部44は、認証器16及び認証サーバ18との間において、当該認証処理に係る認証データを中継する。
In step S82, when authentication processing for the service using the
ステップS84において、認証部44は、当該サービスが当該ユーザを認証したか否かを判定する。当該サービスによって当該ユーザが認証された場合はステップS86に進み、当該サービスによる当該ユーザの認証が失敗した場合には処理を終了する。
In step S84, the
ステップS86において、処理実行部48は、当該ユーザからの実行指示に応じて、当該サービスの利用を伴うサービス付帯処理を実行する。
In step S86, the
以上、本発明に係る実施形態を説明したが、本発明は上記実施形態に限られるものではなく、本発明の趣旨を逸脱しない限りにおいて種々の変更が可能である。 Although the embodiment of the present invention has been described above, the present invention is not limited to the above embodiment, and various modifications are possible without departing from the spirit of the present invention.
例えば、認証サーバ18の機能をサービス提供装置14が発揮するようにしてもよい。その場合、サービス提供装置14が認証装置に相当し、サービスへのユーザ登録をする登録処理、及び、サービスがユーザを認証する認証処理は、画像処理装置12を中継して、認証器16とサービス提供装置14との間で行われる。
For example, the function of the
10 認証システム、12 画像処理装置、14 サービス提供装置、16 認証器、18 認証サーバ、20 通信回線、30 通信インターフェース、32 ディスプレイ、34 入力インターフェース、36 メモリ、38 認証器対応情報、40 プロセッサ、42 登録部、44 認証部、46 通知処理部、48 処理実行部。 10 Authentication system, 12 Image processing device, 14 Service providing device, 16 Authenticator, 18 Authentication server, 20 Communication line, 30 Communication interface, 32 Display, 34 Input interface, 36 Memory, 38 Authenticator compatibility information, 40 Processor, 42 Registration unit, 44 Authentication unit, 46 Notification processing unit, 48 Processing execution unit.
Claims (10)
前記プロセッサは、
サービスへの利用者の認証処理を実行する認証装置と、前記認証処理に必要である当該サービスに対応する認証器との間において、前記認証処理に係る認証データを中継し、
前記利用者を識別する利用者IDと、前記サービスを識別するサービスIDと、前記認証器を識別する認証器IDとが互いに関連付けられ、1つの前記利用者IDに対して、サービスIDと認証器IDとの組が複数関連付けられている認証器対応情報、及び、前記利用者の前記利用者IDに基づいて、前記利用者が利用可能な前記サービスに対応する前記認証器を前記利用者に通知する、
ことを特徴とする情報処理装置。 A processor is provided.
The processor,
relaying authentication data relating to the authentication process between an authentication device that executes authentication processing of a user for a service and an authentication device corresponding to the service that is necessary for the authentication processing;
a user ID for identifying the user, a service ID for identifying the service, and an authenticator ID for identifying the authenticator are associated with each other, and based on authenticator correspondence information in which a plurality of pairs of service IDs and authenticator IDs are associated with one user ID, and on the user ID of the user, the authenticator corresponding to the service available to the user is notified;
23. An information processing apparatus comprising:
前記認証器対応情報、並びに、前記利用者の前記利用者ID及び前記サービスIDに基づいて、前記利用者ID及び前記サービスIDに対応する前記認証器を前記利用者に通知する、
ことを特徴とする請求項1に記載の情報処理装置。 The processor,
notifying the user of the authentication device corresponding to the user ID and the service ID based on the authentication device correspondence information, and the user ID and the service ID of the user;
2. The information processing apparatus according to claim 1,
前記利用者が前記情報処理装置に認証された場合に、前記利用者が利用する前記サービスに対応する前記認証器を前記利用者に通知する、
ことを特徴とする請求項1又は2に記載の情報処理装置。 The processor,
When the user is authenticated by the information processing device, the user is notified of the authentication device corresponding to the service used by the user.
3. The information processing apparatus according to claim 1, wherein the information processing apparatus is a computer.
前記情報処理装置に認証された前記利用者からの指示に応じて、前記サービスの利用を伴うサービス付帯処理を実行する、
ことを特徴とする請求項1から3のいずれか1項に記載の情報処理装置。 The processor,
executes a service-related process involving use of the service in response to an instruction from the user authenticated by the information processing device;
4. The information processing apparatus according to claim 1, wherein the information processing apparatus is a computer.
前記利用者が前記サービスに認証されたことをもって、前記情報処理装置への前記利用者の認証状態を形成する、
ことを特徴とする請求項4に記載の情報処理装置。 The processor,
When the user is authenticated to the service, an authentication state of the user to the information processing device is established.
5. The information processing apparatus according to claim 4.
前記サービスへの認証の認証強度が、前記情報処理装置への認証の認証強度以上である場合に、前記利用者が前記サービスに認証されたことをもって、前記情報処理装置への前記利用者の認証状態を形成する、
ことを特徴とする請求項5に記載の情報処理装置。 The processor,
When an authentication strength of the authentication to the service is equal to or greater than an authentication strength of the authentication to the information processing device, an authentication state of the user to the information processing device is formed based on the fact that the user has been authenticated to the service.
6. The information processing apparatus according to claim 5,
互いに異なる前記サービスの利用を伴う複数の前記サービス付帯処理を実行可能であり、
前記サービス付帯処理の実行指示を入力するための、複数の前記サービス付帯処理にそれぞれ対応した複数のボタンを、各前記サービス付帯処理で利用される前記サービスに対応する前記認証器を前記利用者が把握可能な態様で前記情報処理装置のディスプレイに表示させる、
ことを特徴とする請求項4に記載の情報処理装置。 The processor,
A plurality of the service-related processes involving the use of the services different from each other can be executed,
displaying a plurality of buttons corresponding to the plurality of service-accompanying processes, respectively, for inputting an instruction to execute the service-accompanying processes, on a display of the information processing device in a manner that allows the user to grasp the authentication device corresponding to the service used in each of the service-accompanying processes;
5. The information processing apparatus according to claim 4.
第1認証器を用いて前記利用者を認証する第1サービスの利用を伴う第1サービス付帯処理、及び、第2認証器を用いて前記利用者を認証する第2サービスの利用を伴う第2サービス付帯処理を実行可能であり、
前記利用者が前記第1サービス付帯処理の実行指示を入力した場合であって、前記利用者が前記第2認証器を用いて前記認証処理を行った場合に、前記第2サービス付帯処理を実行してよいか否かを前記利用者に問い合わせる、
ことを特徴とする請求項4又は7に記載の情報処理装置。 The processor,
A first service-attaching process involving the use of a first service that authenticates the user using a first authenticator, and a second service-attaching process involving the use of a second service that authenticates the user using a second authenticator,
when the user inputs an instruction to execute the first service-accompanying process and when the user performs the authentication process using the second authentication device, the device inquires of the user as to whether or not the second service-accompanying process may be executed.
8. The information processing apparatus according to claim 4, wherein the information processing apparatus is a computer.
互いに異なる前記認証器を用いて前記利用者を認証する複数のサービスの利用を伴うマルチサービス付帯処理を実行可能であり、
前記利用者が前記マルチサービス付帯処理の実行指示を入力した場合であって、前記利用者が前記複数のサービスのうちの一部に認証された場合に、前記利用者を認証していないサービスの利用を伴わず前記利用者を認証したサービスの利用を伴う前記マルチサービス付帯処理を実行する、
ことを特徴とする請求項4、7、又は8に記載の情報処理装置。 The processor,
A multi-service incidental process involving the use of a plurality of services that authenticate the user using different authentication devices is executable;
When the user inputs an instruction to execute the multi-service auxiliary process and the user is authenticated for some of the plurality of services, the multi-service auxiliary process is executed with the use of a service for which the user has been authenticated, without the use of a service for which the user has not been authenticated.
9. The information processing apparatus according to claim 4, 7, or 8.
サービスへの利用者の認証処理を実行する認証装置と、前記認証処理に必要である当該サービスに対応する認証器との間において、前記認証処理に係る認証データを中継し、
前記利用者を識別する利用者IDと、前記サービスを識別するサービスIDと、前記認証器を識別する認証器IDとが互いに関連付けられ、1つの前記利用者IDに対して、サービスIDと認証器IDとの組が複数関連付けられている認証器対応情報、及び、前記利用者の前記利用者IDに基づいて、前記利用者が利用可能な前記サービスに対応する前記認証器を前記利用者に通知させる、
ことを特徴とする情報処理プログラム。 On the computer,
relaying authentication data relating to the authentication process between an authentication device that executes authentication processing of a user for a service and an authentication device corresponding to the service that is necessary for the authentication processing;
a user ID for identifying the user, a service ID for identifying the service, and an authenticator ID for identifying the authenticator are associated with each other, and based on authenticator correspondence information in which a plurality of pairs of service IDs and authenticator IDs are associated with one user ID, and based on the user ID of the user, the authenticator corresponding to the service available to the user is notified to the user;
2. An information processing program comprising:
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020151846A JP7476738B2 (en) | 2020-09-10 | 2020-09-10 | Information processing device and information processing program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020151846A JP7476738B2 (en) | 2020-09-10 | 2020-09-10 | Information processing device and information processing program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2022046024A JP2022046024A (en) | 2022-03-23 |
| JP7476738B2 true JP7476738B2 (en) | 2024-05-01 |
Family
ID=80779735
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020151846A Active JP7476738B2 (en) | 2020-09-10 | 2020-09-10 | Information processing device and information processing program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7476738B2 (en) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001282998A (en) | 2000-03-31 | 2001-10-12 | Kyocera Communication Systems Co Ltd | Service system |
| WO2007066480A1 (en) | 2005-12-07 | 2007-06-14 | Sharp Kabushiki Kaisha | Authenticating apparatus, program and recording medium |
| JP2017055154A (en) | 2015-09-07 | 2017-03-16 | ヤフー株式会社 | Generation device, terminal device, generation method, generation program, and authentication processing system |
| JP2020095687A (en) | 2018-12-06 | 2020-06-18 | 富士通株式会社 | Information processing device, information processing method, and information processing program |
-
2020
- 2020-09-10 JP JP2020151846A patent/JP7476738B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001282998A (en) | 2000-03-31 | 2001-10-12 | Kyocera Communication Systems Co Ltd | Service system |
| WO2007066480A1 (en) | 2005-12-07 | 2007-06-14 | Sharp Kabushiki Kaisha | Authenticating apparatus, program and recording medium |
| JP2017055154A (en) | 2015-09-07 | 2017-03-16 | ヤフー株式会社 | Generation device, terminal device, generation method, generation program, and authentication processing system |
| JP2020095687A (en) | 2018-12-06 | 2020-06-18 | 富士通株式会社 | Information processing device, information processing method, and information processing program |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2022046024A (en) | 2022-03-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10326758B2 (en) | Service provision system, information processing system, information processing apparatus, and service provision method | |
| US10761793B2 (en) | Information processing system and control method to execute a function of printer using local authentication information associated with the function on client device logging into cloud server | |
| US10750050B2 (en) | IMAGE PROCESSING APPARATUS, METHOD FOR CONTROLLING IMAGE Processing apparatus, program storage medium, system, and method for controlling system for use in biometric authentication | |
| KR102778224B1 (en) | Image forming apparatus having multi-factor authentication function | |
| JP6942541B2 (en) | Image forming device, its control method, and program | |
| US20190129664A1 (en) | Information processing apparatus including access point function, control method for controlling information processing apparatus, and storage medium | |
| US20160026414A1 (en) | Information processing apparatus that requires authentication of user, control method therefor, and storage medium | |
| US12034891B2 (en) | Mediation server mediating between terminal device and communication device | |
| US11989313B2 (en) | Printing apparatus, method for controlling printing apparatus, and storage medium | |
| JP7589498B2 (en) | Output system, information processing system, authentication method | |
| JP6237740B2 (en) | Security information update system, information processing apparatus, and security information update program | |
| US20210182007A1 (en) | Authentication system using a code with a mobile application | |
| US11614904B2 (en) | Printing device, information processing device, and control method and medium for the same | |
| CN113196263B (en) | User authentication system, user authentication server, and user authentication method | |
| JP4922958B2 (en) | Image forming apparatus, image forming method, and image forming program | |
| JP7476738B2 (en) | Information processing device and information processing program | |
| JP5359127B2 (en) | Authentication control apparatus, authentication control method, and program | |
| US12363103B2 (en) | Mobile terminal, control method, and storage medium | |
| US12008277B2 (en) | Image forming apparatus with having multi-factor authentication function executable for any kind of remote access for using image processing functions of the image forming apparatus, control method, and non-transitory computer-readable storage medium | |
| JP6540642B2 (en) | Authentication system and authentication method | |
| JP2020154767A (en) | Service providing device, service providing program, and service providing system | |
| US10768873B1 (en) | Authentication system for printing at a device using a mobile application | |
| JP2018206087A (en) | Information processing apparatus and information processing program | |
| US20250071228A1 (en) | Image forming apparatus, control method for image forming apparatus, server, control method for server and storage medium | |
| JP6652074B2 (en) | Authentication system and authentication method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230830 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20240313 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240319 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240401 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7476738 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |