Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7476738B2 - Information processing device and information processing program - Google Patents
[go: Go Back, main page]

JP7476738B2 - Information processing device and information processing program - Google Patents

Information processing device and information processing program Download PDF

Info

Publication number
JP7476738B2
JP7476738B2 JP2020151846A JP2020151846A JP7476738B2 JP 7476738 B2 JP7476738 B2 JP 7476738B2 JP 2020151846 A JP2020151846 A JP 2020151846A JP 2020151846 A JP2020151846 A JP 2020151846A JP 7476738 B2 JP7476738 B2 JP 7476738B2
Authority
JP
Japan
Prior art keywords
service
user
authentication
authenticator
information processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020151846A
Other languages
Japanese (ja)
Other versions
JP2022046024A (en
Inventor
俊彦 田鍋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Fujifilm Business Innovation Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd, Fujifilm Business Innovation Corp filed Critical Fuji Xerox Co Ltd
Priority to JP2020151846A priority Critical patent/JP7476738B2/en
Publication of JP2022046024A publication Critical patent/JP2022046024A/en
Application granted granted Critical
Publication of JP7476738B2 publication Critical patent/JP7476738B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Facsimiles In General (AREA)

Description

本発明は、情報処理装置及び情報処理プログラムに関する。 The present invention relates to an information processing device and an information processing program.

従来、サービスが利用者を認証する認証処理として、認証器を用いた認証処理が提案されている。具体的には、サービスに対応する認証器を予め登録しておき、利用者がサービスを利用するに当たって、認証器を用いた認証処理を行うことでサービスが利用者を認証する。 Conventionally, authentication processing using an authenticator has been proposed as an authentication process in which a service authenticates a user. Specifically, an authenticator corresponding to a service is registered in advance, and when a user uses the service, the service authenticates the user by performing authentication processing using the authenticator.

特許文献1には、サービス提供システムからの認証要求を受けた場合に第1の認証器に対して認証処理を要求し、第1の認証器に対して認証処理を要求してから所定の条件を満たした場合に、第1の認証器とは異なる第2の認証器に認証処理を要求する情報処理装置が開示されている。 Patent document 1 discloses an information processing device that requests a first authenticator to perform authentication processing when it receives an authentication request from a service providing system, and requests a second authenticator, different from the first authenticator, to perform authentication processing if a predetermined condition is satisfied after the authentication processing is requested from the first authenticator.

特開2019-101504号公報JP 2019-101504 A

ところで、認証器を用いて利用者の認証処理を行う複数のサービスに対して、1人の利用者が利用登録をした場合を考える。この場合、複数のサービスそれぞれから認証を受けるための複数の認証器が用意されることとなるが、当該複数の認証器が互いに異なる場合がある。このような場合、当該利用者としては、あるサービスを利用したいときに、どの認証器を用いて認証処理をすればよいか分からなくなる場合がある。 Now, consider the case where one user registers for multiple services that use an authenticator to perform user authentication processing. In this case, multiple authenticators will be prepared to receive authentication from each of the multiple services, but these multiple authenticators may be different from each other. In such a case, when the user wants to use a certain service, he or she may not know which authenticator to use for authentication processing.

本発明の目的は、複数のサービスそれぞれへの利用者の認証処理のために、互いに異なる認証器を用いる必要がある場合に、利用者が利用可能なサービスへの認証処理に必要な認証器を当該利用者が把握可能とすることにある。 The object of the present invention is to enable a user to know which authenticator is required for authentication processing for the services available to the user when different authenticators need to be used for authentication processing for each of the services.

請求項1に係る発明は、プロセッサを備え、前記プロセッサは、サービスへの利用者の認証処理を実行する認証装置と、前記認証処理に必要である当該サービスに対応する認証器との間において、前記認証処理に係る認証データを中継し、前記利用者を識別する利用者IDと、前記サービスを識別するサービスIDと、前記認証器を識別する認証器IDとが互いに関連付けられ、1つの前記利用者IDに対して、サービスIDと認証器IDとの組が複数関連付けられている認証器対応情報、及び、前記利用者の前記利用者IDに基づいて、前記利用者が利用可能な前記サービスに対応する前記認証器を前記利用者に通知する、ことを特徴とする情報処理装置である。
請求項2に係る発明は、前記プロセッサは、前記認証器対応情報、並びに、前記利用者の前記利用者ID及び前記サービスIDに基づいて、前記利用者ID及び前記サービスIDに対応する前記認証器を前記利用者に通知する、ことを特徴とする請求項1に記載の情報処理装置である。
請求項3に係る発明は、前記プロセッサは、前記利用者が前記情報処理装置に認証された場合に、前記利用者が利用する前記サービスに対応する前記認証器を前記利用者に通知する、ことを特徴とする請求項1又は2に記載の情報処理装置である。
請求項4に係る発明は、前記プロセッサは、前記情報処理装置に認証された前記利用者からの指示に応じて、前記サービスの利用を伴うサービス付帯処理を実行する、ことを特徴とする請求項1から3のいずれか1項に記載の情報処理装置である。
請求項5に係る発明は、前記プロセッサは、前記利用者が前記サービスに認証されたことをもって、前記情報処理装置への前記利用者の認証状態を形成する、ことを特徴とする請求項4に記載の情報処理装置である。
請求項6に係る発明は、前記プロセッサは、前記サービスへの認証の認証強度が、前記情報処理装置への認証の認証強度以上である場合に、前記利用者が前記サービスに認証されたことをもって、前記情報処理装置への前記利用者の認証状態を形成する、ことを特徴とする請求項5に記載の情報処理装置である。
請求項7に係る発明は、前記プロセッサは、互いに異なる前記サービスの利用を伴う複数の前記サービス付帯処理を実行可能であり、前記サービス付帯処理の実行指示を入力するための、複数の前記サービス付帯処理にそれぞれ対応した複数のボタンを、各前記サービス付帯処理で利用される前記サービスに対応する前記認証器を前記利用者が把握可能な態様で前記情報処理装置のディスプレイに表示させる、ことを特徴とする請求項4に記載の情報処理装置である。
請求項8に係る発明は、前記プロセッサは、第1認証器を用いて前記利用者を認証する第1サービスの利用を伴う第1サービス付帯処理、及び、第2認証器を用いて前記利用者を認証する第2サービスの利用を伴う第2サービス付帯処理を実行可能であり、前記利用者が前記第1サービス付帯処理の実行指示を入力した場合であって、前記利用者が前記第2認証器を用いて前記認証処理を行った場合に、前記第2サービス付帯処理を実行してよいか否かを前記利用者に問い合わせる、ことを特徴とする請求項4又は7に記載の情報処理装置である。
請求項9に係る発明は、前記プロセッサは、互いに異なる前記認証器を用いて前記利用者を認証する複数のサービスの利用を伴うマルチサービス付帯処理を実行可能であり、前記利用者が前記マルチサービス付帯処理の実行指示を入力した場合であって、前記利用者が前記複数のサービスのうちの一部に認証された場合に、前記利用者を認証していないサービスの利用を伴わず前記利用者を認証したサービスの利用を伴う前記マルチサービス付帯処理を実行する、ことを特徴とする請求項4、7、又は8に記載の情報処理装置である。
請求項10に係る発明は、コンピュータに、サービスへの利用者の認証処理を実行する認証装置と、前記認証処理に必要である当該サービスに対応する認証器との間において、前記認証処理に係る認証データを中継し、前記利用者を識別する利用者IDと、前記サービスを識別するサービスIDと、前記認証器を識別する認証器IDとが互いに関連付けられ、1つの前記利用者IDに対して、サービスIDと認証器IDとの組が複数関連付けられている認証器対応情報、及び、前記利用者の前記利用者IDに基づいて、前記利用者が利用可能な前記サービスに対応する前記認証器を前記利用者に通知させる、ことを特徴とする情報処理プログラムである。
The invention of claim 1 is an information processing device comprising a processor, which relays authentication data related to the authentication process between an authentication device that executes authentication processing of a user for a service and an authentication device corresponding to the service required for the authentication process, and notifies the user of the authentication device corresponding to the service available to the user based on authenticator correspondence information in which a user ID that identifies the user, a service ID that identifies the service, and an authenticator ID that identifies the authenticator are associated with each other, and multiple pairs of service IDs and authenticator IDs are associated with one user ID, and the user ID of the user.
The invention of claim 2 is the information processing device described in claim 1, characterized in that the processor notifies the user of the authentication device corresponding to the user ID and the service ID based on the authentication device compatibility information, as well as the user ID and the service ID of the user.
The invention of claim 3 is an information processing device as described in claim 1 or 2, characterized in that, when the user is authenticated by the information processing device, the processor notifies the user of the authentication device corresponding to the service used by the user.
The invention of claim 4 is an information processing device described in any one of claims 1 to 3, characterized in that the processor executes service-related processing involving the use of the service in response to instructions from the user authenticated by the information processing device.
The invention of claim 5 is the information processing device described in claim 4, characterized in that the processor forms an authentication status of the user to the information processing device when the user is authenticated to the service.
The invention of claim 6 is an information processing device as described in claim 5, characterized in that when the authentication strength of authentication to the service is equal to or greater than the authentication strength of authentication to the information processing device, the processor forms an authentication status of the user to the information processing device on the basis that the user has been authenticated to the service.
The invention of claim 7 is an information processing device as described in claim 4, characterized in that the processor is capable of executing a plurality of service-attached processes involving the use of different services, and a plurality of buttons corresponding to the plurality of service-attached processes for inputting instructions to execute the service-attached processes, and the authentication device corresponding to the service used in each of the service-attached processes is displayed on the display of the information processing device in a manner that allows the user to understand.
The invention of claim 8 is an information processing device as described in claim 4 or 7, characterized in that the processor is capable of executing a first service-attached process involving the use of a first service to authenticate the user using a first authentication device, and a second service-attached process involving the use of a second service to authenticate the user using a second authentication device, and when the user inputs an instruction to execute the first service-attached process and the user performs the authentication process using the second authentication device, the processor inquires the user as to whether or not it is OK to execute the second service-attached process.
The invention of claim 9 is an information processing device as described in claim 4, 7, or 8, characterized in that the processor is capable of executing multi-service accompanying processing involving the use of multiple services that authenticate the user using different authentication devices, and when the user inputs an instruction to execute the multi-service accompanying processing and the user is authenticated by some of the multiple services, the processor executes the multi-service accompanying processing involving the use of services that have authenticated the user without the use of services that have not authenticated the user.
The invention of claim 10 is an information processing program characterized in that a computer relays authentication data related to the authentication process between an authentication device that executes authentication processing of a user for a service and an authentication device corresponding to the service necessary for the authentication process, and notifies a user of authenticator correspondence information in which a user ID that identifies the user, a service ID that identifies the service, and an authenticator ID that identifies the authenticator are associated with each other, and multiple pairs of service IDs and authenticator IDs are associated with one user ID, and notifies the user of the authenticator corresponding to the service available to the user based on the user ID of the user.

請求項1、2又は10に係る発明によれば、複数のサービスそれぞれへの利用者の認証処理のために、互いに異なる認証器を用いる必要がある場合に、利用者が利用可能なサービスへの認証処理に必要な認証器を当該利用者が把握可能となる。
請求項3に係る発明によれば、情報処理装置が認証していない者に対しては、認証器を通知しないようにすることが可能となる。
請求項4に係る発明によれば、利用者は、サービスの利用に伴い、情報処理装置にサービス付帯処理を実行させることが可能となる。
請求項5に係る発明によれば、情報処理装置は、利用者を認証する処理を省略することが可能となる。
請求項6に係る発明によれば、情報処理装置への認証の認証強度よりも低い認証強度であるサービスへの認証処理によって、利用者が情報処理装置へ認証されてしまうことを防止することが可能となる。
請求項7に係る発明によれば、利用者は、各サービスへの認証に必要な認証器を把握した上で、各サービスを利用する各サービス付帯処理の実行指示を情報処理装置に入力することが可能となる。
請求項8に係る発明によれば、利用者は、利用を希望するサービスが第1サービス及び第2サービスのいずれでもよい場合、第1サービスの利用を伴う第1サービス付帯処理の実行指示を情報処理装置に入力したが第2サービスへの認証のための第2認証器を用いて認証処理をしてしまった場合でも、改めて第2サービスの利用を伴う第2サービス付帯処理の実行指示を情報処理装置に入力する必要なく、第2サービスを利用すること可能となる。
請求項9に係る発明によれば、利用者が、マルチサービス付帯処理の実行指示を情報処理装置に入力した場合であって、当該マルチサービス付帯処理に伴う複数のサービスに対応する複数の認証器の全てが使用できない場合、少なくとも使用可能な認証器に対応するサービスを利用することが可能となる。
According to the invention of claim 1, 2 or 10, when it is necessary to use different authentication devices for authentication processing of a user for each of multiple services, the user can grasp the authentication device required for authentication processing for the services available to the user.
According to the third aspect of the present invention, it is possible to prevent the authentication device from being notified to a person who has not been authenticated by the information processing device.
According to the fourth aspect of the present invention, a user can cause an information processing device to execute a service-accompanying process when using a service.
According to the fifth aspect of the present invention, the information processing device can omit the process of authenticating a user.
According to the invention of claim 6, it is possible to prevent a user from being authenticated into an information processing device through authentication processing for a service having an authentication strength lower than the authentication strength of authentication into the information processing device.
According to the invention of claim 7, a user can understand the authentication device required for authentication to each service, and then input an instruction to execute each service-related process that uses each service into an information processing device.
According to the invention of claim 8, when a user wishes to use either the first service or the second service, even if the user inputs an instruction to execute a first service-accompanying process involving the use of the first service into an information processing device, but has already performed authentication processing using a second authentication device for authentication to the second service, the user can use the second service without having to again input an instruction to execute a second service-accompanying process involving the use of the second service into the information processing device.
According to the invention of claim 9, when a user inputs an instruction to execute a multi-service associated processing into an information processing device, and all of the multiple authentication devices corresponding to the multiple services associated with the multi-service associated processing are unavailable, it is possible to use at least the service corresponding to the available authentication device.

本実施形態に係る認証システムの構成概略図である。1 is a schematic diagram illustrating a configuration of an authentication system according to an embodiment of the present invention. 本実施形態に係る画像処理装置の構成概略図である。1 is a schematic diagram illustrating the configuration of an image processing device according to an embodiment of the present invention. 登録処理の流れを示すフローチャートである。13 is a flowchart showing the flow of a registration process. 認証器対応情報の内容の例を示す概念図である。FIG. 13 is a conceptual diagram showing an example of the contents of authenticator correspondence information. 認証処理の流れを示すフローチャートである。13 is a flowchart showing the flow of an authentication process. 認証器通知画面の第1の例を示す図である。FIG. 13 is a diagram showing a first example of an authentication device notification screen. 認証器通知画面の第2の例を示す図である。FIG. 13 is a diagram showing a second example of an authentication device notification screen. 複数のサービス付帯処理にそれぞれ対応した複数のボタンの第1の表示例を示す図である。FIG. 13 is a diagram showing a first display example of a plurality of buttons respectively corresponding to a plurality of service-associated processes. 数のサービス付帯処理にそれぞれ対応した複数のボタンの第2の表示例を示す図である。FIG. 13 is a diagram showing a second example of displaying a plurality of buttons each corresponding to a number of service-related processes. ユーザへの問い合わせ画面の例を示す図である。FIG. 13 is a diagram showing an example of an inquiry screen for a user. 本実施形態に係る画像処理装置の処理の流れを示すフローチャートである。5 is a flowchart showing a flow of processing of the image processing apparatus according to the present embodiment.

図1は、本実施形態に係る認証システム10の構成概略図である。認証システム10は、本発明に係る情報処理装置としての画像処理装置12、利用者(すなわちユーザ)にサービスを提供する1又は複数のサービス提供装置14、複数の認証器16、及び、認証装置としての認証サーバ18を含んで構成される。画像処理装置12、サービス提供装置14、認証器16、及び認証サーバ18は、LAN(Local Area Network)あるいはインターネットなどの通信回線20により通信可能に接続されている。また、画像処理装置12と認証器16は、BLE(Bluetooth(登録商標) Low Energy)あるいはNFC(Near Field Communication)などの近距離無線通信、又は、有線によって互いに通信可能に接続可能となっている。 Fig. 1 is a schematic diagram of an authentication system 10 according to this embodiment. The authentication system 10 includes an image processing device 12 as an information processing device according to the present invention, one or more service providing devices 14 that provide services to users (i.e., users), multiple authenticators 16, and an authentication server 18 as an authentication device. The image processing device 12, the service providing devices 14, the authenticators 16, and the authentication server 18 are communicatively connected by a communication line 20 such as a LAN (Local Area Network) or the Internet. In addition, the image processing device 12 and the authenticator 16 are communicatively connected to each other by short-range wireless communication such as BLE (Bluetooth (registered trademark) Low Energy) or NFC (Near Field Communication), or by wire.

画像処理装置12の詳細は、図2などを参照しながら後述する。 Details of the image processing device 12 will be described later with reference to FIG. 2 etc.

サービス提供装置14は、代表的にはサーバコンピュータから構成されるが、サービス提供装置14は、認証されたユーザに対してサービスを提供する限りにおいてどのような装置であってもよい。サービス提供装置14は、通信回線20を介して他の装置と通信する機能を発揮する通信インターフェース、HDD(Hard Disk Drive)やROM(Read Only Memory)あるいはRAM(Random Access Memory)などから構成されるメモリ、CPU(Central Processing Unit)などから構成されるプロセッサを含んで構成される。 The service providing device 14 is typically composed of a server computer, but the service providing device 14 may be any device as long as it provides services to authenticated users. The service providing device 14 includes a communication interface that performs the function of communicating with other devices via the communication line 20, memory composed of a HDD (Hard Disk Drive), ROM (Read Only Memory) or RAM (Random Access Memory), and a processor composed of a CPU (Central Processing Unit), etc.

詳しくは後述するように、サービス提供装置14が提供するサービス(以下、単に「サービス」と記載する)をユーザが利用するに先立って、サービスに対してユーザ登録を行う登録処理が実行される。当該登録処理において、認証器16を用いた認証処理によりユーザがサービスから認証を受けるために必要な情報がサービス提供装置14及び認証サーバ18に登録される。当該登録処理により、当該サービスから認証を受けるために必要な認証器16が決定される。その上で、当該認証器16を用いた認証処理によりサービスがユーザを認証すると、当該ユーザはサービスを利用可能となる。後述するように、登録処理及び認証処理は、認証器16と認証サーバ18との間で実行される。 As will be described in detail later, before a user uses a service provided by the service providing device 14 (hereinafter simply referred to as "service"), a registration process is executed to register the user with the service. In the registration process, information necessary for the user to be authenticated by the service through authentication process using the authenticator 16 is registered in the service providing device 14 and the authentication server 18. Through the registration process, the authenticator 16 necessary for being authenticated by the service is determined. After that, when the service authenticates the user through authentication process using the authenticator 16, the user can use the service. As will be described later, the registration process and authentication process are executed between the authenticator 16 and the authentication server 18.

本実施形態に係る認証システム10においては、1人のユーザは、複数のサービスに対してユーザ登録をすることができる。つまり、1人のユーザは複数のサービスを利用可能である。当該複数のサービスは、それぞれ異なるサービス提供装置14から提供される。また、1つのサービス提供装置14が複数の異なるサービスをユーザに提供するようにしてもよい。 In the authentication system 10 according to this embodiment, one user can register for multiple services. In other words, one user can use multiple services. The multiple services are provided by different service providing devices 14. Also, one service providing device 14 may provide multiple different services to a user.

これに限られるものではないが、サービスとしては、例えば電子文書の管理を行う文書管理サービスが挙げられる。文書管理サービスは、電子文書に対して種々の処理を施した上で当該電子文書を管理するものであってもよい。サービス提供装置14がサーバコンピュータで構成される場合、サービスは通信回線20を介して提供され、すなわち当該サービスはクラウドサービスとなる。 Although not limited to this, an example of the service is a document management service that manages electronic documents. The document management service may manage the electronic documents after performing various processes on the electronic documents. When the service providing device 14 is configured as a server computer, the service is provided via the communication line 20, i.e., the service is a cloud service.

認証器16は、例えば、認証用アプリケーションがインストールされたスマートフォン若しくはスマートウォッチ、又は、USBメモリと当該USBメモリを読み込み可能なコンピュータとのセットなどから構成される。認証器16は、サービスから認証を受ける際にユーザによって用いられるものである。サービス毎に、当該サービスから認証を受けるために必要な認証器16が上述の登録処理により予め認証サーバ18に登録される。サービス毎に互いに異なる認証器16が登録される場合もある。1人のユーザが複数のサービスを利用可能である場合には、当該ユーザは、各サービスに対応した複数の認証器16を用意しておき、利用を希望するサービスからの認証処理においては、当該サービスに対応した認証器16を適宜選択して用いる必要がある。 The authenticator 16 is composed of, for example, a smartphone or smartwatch on which an authentication application is installed, or a set of a USB memory and a computer capable of reading the USB memory. The authenticator 16 is used by the user when receiving authentication from a service. For each service, the authenticator 16 required to receive authentication from that service is registered in advance in the authentication server 18 by the above-mentioned registration process. Different authenticators 16 may be registered for each service. When one user can use multiple services, the user needs to prepare multiple authenticators 16 corresponding to each service, and appropriately select and use the authenticator 16 corresponding to the service in the authentication process from the service he or she wishes to use.

なお、認証用アプリケーションがインストールされた装置を認証器16として用いる場合、複数の認証用アプリケーション、例えば認証用アプリケーションA及び認証用アプリケーションBが1つの認証器16にインストールされる場合も考えられる。そのような場合、本明細書においては、ハードウェアとしては1つの認証器16であっても、認証用アプリケーションAを起動した装置と、認証用アプリケーションBを起動した装置とでは、それらは互いに異なる認証器16であるものとみなすこととする。すなわち、互いに異なる認証器16とは、ハードウェアが互いに異なる認証器16のみならず、認証用アプリケーションが互いに異なる認証器16も含む概念である。 When a device on which an authentication application is installed is used as the authenticator 16, it is conceivable that multiple authentication applications, for example authentication application A and authentication application B, are installed on one authenticator 16. In such a case, in this specification, even if there is one authenticator 16 in terms of hardware, the device on which authentication application A is activated and the device on which authentication application B is activated are considered to be different authenticators 16. In other words, different authenticators 16 is a concept that includes not only authenticators 16 with different hardware, but also authenticators 16 with different authentication applications.

認証サーバ18は、代表的にはサーバコンピュータから構成されるが、サービス提供装置14は、認証器16を用いてユーザを認証する認証処理を実行可能な限りにおいてどのような装置であってもよい。認証サーバ18は、通信回線20を介して他の装置と通信する機能を発揮する通信インターフェース、HDDやROMあるいはRAMなどから構成されるメモリ、CPUなどから構成されるプロセッサを含んで構成される。 The authentication server 18 is typically composed of a server computer, but the service providing device 14 may be any device as long as it can execute the authentication process of authenticating a user using the authentication device 16. The authentication server 18 is composed of a communication interface that performs the function of communicating with other devices via the communication line 20, a memory composed of a HDD, ROM, RAM, etc., and a processor composed of a CPU, etc.

認証サーバ18による認証器16を用いたユーザの認証処理の詳細については後述する。 Details of the user authentication process by the authentication server 18 using the authentication device 16 will be described later.

図2は、画像処理装置12の構成概略図である。画像処理装置12は、例えば、プリント機能、スキャン機能、コピー機能、電子文書送信機能などを発揮する複合機である。詳しくは後述するが、画像処理装置12は、認証器16と認証サーバ18との間において、サービスがユーザを認証する認証処理に係る認証データを中継する処理を行う。 Figure 2 is a schematic diagram of the configuration of the image processing device 12. The image processing device 12 is, for example, a multifunction device that performs functions such as printing, scanning, copying, and electronic document transmission. As will be described in detail later, the image processing device 12 performs a process of relaying authentication data related to the authentication process in which the service authenticates the user between the authenticator 16 and the authentication server 18.

なお、本実施形態では、本発明に係る情報処理装置として画像処理装置12が用いられているが、情報処理装置としては、認証データの中継処理を実行可能であり、ユーザへの通知手段を有する限りにおいてどのような装置であってもよい。 In this embodiment, an image processing device 12 is used as the information processing device according to the present invention, but the information processing device may be any device as long as it is capable of relaying authentication data and has a means of notifying the user.

通信インターフェース30は、例えばネットワークアダプタなどを含んで構成される。通信インターフェース30は、通信回線20を介して他の装置(例えばサービス提供装置14及び認証サーバ18)と通信する機能を発揮する。また、通信インターフェース30は、近距離無線通信又は有線通信にて認証器16と通信する機能を発揮する。 The communication interface 30 is configured to include, for example, a network adapter. The communication interface 30 performs a function of communicating with other devices (for example, the service providing device 14 and the authentication server 18) via the communication line 20. The communication interface 30 also performs a function of communicating with the authentication device 16 via short-range wireless communication or wired communication.

ディスプレイ32は、例えば液晶パネルなどを含んで構成される。ディスプレイ32には、後述の通知処理部46の処理により、ユーザに種々の情報を通知するための画面が表示される。 The display 32 includes, for example, a liquid crystal panel. A screen for notifying the user of various information is displayed on the display 32 through processing by the notification processing unit 46 described below.

入力インターフェース34は、例えばタッチパネルあるいはボタンなどを含んで構成される。入力インターフェース34は、ユーザが画像処理装置12に種々の指示を入力するために用いられる。 The input interface 34 includes, for example, a touch panel or buttons. The input interface 34 is used by the user to input various instructions to the image processing device 12.

メモリ36は、例えばHHD、SSD(Solid State Drive)、ROM、あるいはRAMなどを含んで構成されている。メモリ36は、後述のプロセッサ40とは別に設けられてもよいし、少なくとも一部がプロセッサ40の内部に設けられていてもよい。メモリ36には、画像処理装置12の各部を動作させるための情報処理プログラムが記憶される。また、図2に示す通り、メモリ36には認証器対応情報38が記憶される。 The memory 36 includes, for example, a hard disk drive, a solid state drive (SSD), a read-only memory (ROM), or a random access memory (RAM). The memory 36 may be provided separately from the processor 40 described below, or at least a portion of the memory 36 may be provided inside the processor 40. The memory 36 stores an information processing program for operating each unit of the image processing device 12. Also, as shown in FIG. 2, the memory 36 stores authentication device compatibility information 38.

認証器対応情報38は、ユーザを識別する利用者IDとしてのユーザIDと、サービスを識別するサービスIDと、当該サービスに対する当該ユーザの認証に用いられる認証器16を示す認証器IDとが互いに関連付けられた情報である。認証器対応情報38の詳細については、後述する登録部42の処理と共に説明する。 The authenticator compatibility information 38 is information that associates a user ID as a user ID that identifies a user, a service ID that identifies a service, and an authenticator ID that indicates the authenticator 16 used to authenticate the user for the service. Details of the authenticator compatibility information 38 will be explained together with the processing of the registration unit 42 described later.

プロセッサ40は、広義的な処理装置を指し、汎用的な処理装置(例えばCPUなど)、及び、専用の処理装置(例えばGPU(Graphics Processing Unit)、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)、あるいは、プログラマブル論理デバイスなど)の少なくとも1つを含んで構成される。プロセッサ40としては、1つの処理装置によるものではなく、物理的に離れた位置に存在する複数の処理装置の協働により構成されるものであってもよい。図2に示す通り、プロセッサ40は、メモリ36に記憶された情報処理プログラムにより、登録部42、認証部44、通知処理部46、及び処理実行部48としての機能を発揮する。 The processor 40 refers to a processing device in a broad sense, and is configured to include at least one of a general-purpose processing device (such as a CPU) and a dedicated processing device (such as a GPU (Graphics Processing Unit), an ASIC (Application Specific Integrated Circuit), an FPGA (Field Programmable Gate Array), or a programmable logic device). The processor 40 may not be configured by a single processing device, but by the cooperation of multiple processing devices located in physically separate locations. As shown in FIG. 2, the processor 40 performs the functions of a registration unit 42, an authentication unit 44, a notification processing unit 46, and a processing execution unit 48 by the information processing program stored in the memory 36.

登録部42は、認証器16と認証サーバ18との間において、サービスへのユーザ登録を行う登録処理に係る登録データを中継する。本実施形態では、認証システム10に含まれる各サービス提供装置14が提供する各サービスは、FIDO(Fast IDentity Online)認証によってユーザを認証する。したがって、登録処理においては、FIDO認証を行うために必要な登録データがサービス提供装置14及び認証サーバ18に登録される。 The registration unit 42 relays registration data related to the registration process for registering a user to a service between the authenticator 16 and the authentication server 18. In this embodiment, each service provided by each service providing device 14 included in the authentication system 10 authenticates a user by FIDO (Fast IDentity Online) authentication. Therefore, in the registration process, the registration data required for FIDO authentication is registered in the service providing device 14 and the authentication server 18.

以下、図3に示すフローチャートに従って、本実施形態における登録処理の流れを説明する。 The flow of the registration process in this embodiment will be explained below according to the flowchart shown in Figure 3.

ステップS10において、ユーザは、認証器16を操作して、ユーザ登録を希望するサービス(すなわちサービス提供装置14)に対して、認証器16から登録リクエストを送信する。当該登録リクエストには、当該サービスにおいて当該ユーザを一意に識別するサービスユーザID及び当該認証器16のアドレス情報が含まれる。 In step S10, the user operates the authenticator 16 to send a registration request from the authenticator 16 to the service for which the user wishes to register (i.e., the service providing device 14). The registration request includes a service user ID that uniquely identifies the user in the service and address information of the authenticator 16.

ステップS12において、サービスは、ステップS10で受信した登録リクエストに含まれるサービスユーザID及び認証器16のアドレス情報、自サービスを一意に識別するサービスID、並びに、自サービスのサービス名を認証サーバ18に送信する。サービスは、受信したサービスユーザIDを保持しておく。 In step S12, the service transmits to the authentication server 18 the service user ID and address information of the authenticator 16 included in the registration request received in step S10, a service ID that uniquely identifies the service, and the service name of the service. The service retains the received service user ID.

ステップS14において、認証サーバ18は、チャレンジと呼ばれる情報(例えばランダムに生成された文字列)を生成し、ステップS12でサービスから受信したアドレス情報、サービスID、及びサービス名と共に、生成したチャレンジを画像処理装置12に送信する。認証サーバ18は、ステップS12で受信したサービスユーザID、及び、生成したチャレンジを保持しておく。 In step S14, the authentication server 18 generates information called a challenge (e.g., a randomly generated character string) and transmits the generated challenge to the image processing device 12 together with the address information, service ID, and service name received from the service in step S12. The authentication server 18 retains the service user ID received in step S12 and the generated challenge.

ステップS16において、画像処理装置12の登録部42は、ステップS14でアドレス情報、サービスID、サービス名、及びチャレンジを受信すると、当該アドレス情報が示す認証器16に対してチャレンジを送信する。登録部42は、受信したサービスID及びサービス名を保持しておく。 In step S16, when the registration unit 42 of the image processing device 12 receives the address information, service ID, service name, and challenge in step S14, it transmits the challenge to the authentication device 16 indicated by the address information. The registration unit 42 stores the received service ID and service name.

ステップS18において、認証器16は、種々の方法でユーザを認証する。例えば、生体認証やパスワードによってユーザを認証する。ユーザが認証器16に対する認証に必要な情報は予め認証器16に登録されている。認証器16がユーザを認証すると、ステップS20に進む。なお、認証器16がユーザを認証できなかった場合には、以後のステップの処理を実行せずに登録処理を終了する。 In step S18, the authentication device 16 authenticates the user using various methods. For example, the authentication device 16 authenticates the user using biometric authentication or a password. Information required for the user to authenticate with the authentication device 16 is registered in advance in the authentication device 16. When the authentication device 16 authenticates the user, the process proceeds to step S20. Note that if the authentication device 16 is unable to authenticate the user, the registration process ends without executing the processes in the subsequent steps.

ステップS20において、認証器16は、公開鍵及び当該公開鍵に対応する秘密鍵を生成する。なお、公開鍵及び秘密鍵は、既知の方法にて生成可能であるため、ここでは詳細な説明は省略する。 In step S20, the authentication device 16 generates a public key and a private key corresponding to the public key. Note that the public key and private key can be generated by a known method, and therefore a detailed description is omitted here.

ステップS22において、認証器16は、ステップS20で生成した秘密鍵を用いて、ステップS16で受信したチャレンジに対して署名をする。具体的には、当該秘密鍵でしか生成できない文字列をチャレンジに付与する。署名されたチャレンジを署名データと呼ぶ。 In step S22, the authenticator 16 uses the private key generated in step S20 to sign the challenge received in step S16. Specifically, the authenticator 16 assigns to the challenge a character string that can only be generated by the private key. The signed challenge is called signature data.

ステップS24において、認証器16は、ステップS20で生成された公開鍵、ステップS22で生成された署名データ、画像処理装置12においてユーザを一意に識別するユーザID(上述のサービスユーザIDとは異なっていてもよいし同じであってもよい)、当該認証器16を一意に識別する認証器ID、及び、認証器名を画像処理装置12に送信する。好適には、これらの情報に加え、当該サービスへの認証処理における認証器16によるユーザの認証方法(ステップS18における認証の認証方法と同じであってよい)を示す情報を画像処理装置12に送信する。ここで、認証器16は、ステップS20で生成した秘密鍵を認証器16のメモリに保持しておく。認証器16として、USBメモリとコンピュータとのセットを用いる場合は、FIDOセキュリティキーとしてのUSBメモリに当該秘密鍵を記憶させる。 In step S24, the authenticator 16 transmits to the image processing device 12 the public key generated in step S20, the signature data generated in step S22, a user ID (which may be different from or the same as the above-mentioned service user ID) that uniquely identifies the user in the image processing device 12, an authenticator ID that uniquely identifies the authenticator 16, and an authenticator name. In addition to this information, the authenticator 16 preferably transmits to the image processing device 12 information indicating the authentication method of the user by the authenticator 16 in the authentication process for the service (which may be the same as the authentication method in step S18). Here, the authenticator 16 holds the private key generated in step S20 in the memory of the authenticator 16. When a set of a USB memory and a computer is used as the authenticator 16, the private key is stored in the USB memory as a FIDO security key.

ステップS26において、登録部42は、ステップS24で受信した公開鍵及び署名データを認証サーバ18に送信する。登録部42は、ステップS24で受信したユーザID、認証器ID、及び認証器名を保持しておく。ステップS24で認証器16によるユーザの認証方法を示す情報を受信している場合には、登録部42は、当該情報も保持しておく。 In step S26, the registration unit 42 transmits the public key and signature data received in step S24 to the authentication server 18. The registration unit 42 holds the user ID, authenticator ID, and authenticator name received in step S24. If information indicating the method of authenticating the user by the authenticator 16 has been received in step S24, the registration unit 42 also holds that information.

ステップS28において、認証サーバ18は、ステップS26で公開鍵及び署名データを受信すると、当該公開鍵を用いて当該署名データを検証する。検証の結果、署名データが受信した公開鍵に対応する秘密鍵で署名されたものであることが確認できると、認証サーバ18は、ステップS12で受信したサービスユーザID及びサービスID、並びに、ステップS26で受信した公開鍵とを関連付けて、認証サーバ18のメモリに記憶させておく。本明細書では、当該情報を公開鍵情報と呼ぶ。 In step S28, upon receiving the public key and signature data in step S26, the authentication server 18 verifies the signature data using the public key. If the verification confirms that the signature data has been signed with the private key corresponding to the received public key, the authentication server 18 associates the service user ID and service ID received in step S12 with the public key received in step S26 and stores them in the memory of the authentication server 18. In this specification, this information is referred to as public key information.

ステップS30において、認証サーバ18は、登録完了通知を画像処理装置12及びサービスに送信する。サービスは、認証サーバ18から登録完了通知を受信すると、ステップS10で受信したサービスユーザIDを当該サービスにユーザ登録済みであるユーザとして登録する。 In step S30, the authentication server 18 sends a registration completion notification to the image processing device 12 and the service. When the service receives the registration completion notification from the authentication server 18, it registers the service user ID received in step S10 as a user who has already been registered with the service.

ステップS32において、登録部42は、ステップS14で受信したサービスID及びサービス名、並びに、ステップS24で受信したユーザID、認証器ID及び認証器名を互いに関連付けてメモリ36に記憶させておく。当該情報が認証器対応情報38である。認証器16によるユーザの認証方法を示す情報を保持している場合には、登録部42は、サービスID、ユーザID、及び認証器IDに関連付けて当該情報も認証器対応情報38に含めてメモリ36に記憶させておく。なお、画像処理装置12が、サービスIDに基づいてサービス名を何らかの方法で特定可能である場合は、認証器対応情報38にサービス名が含まれていなくてもよい。また、画像処理装置12が、認証器IDに基づいて認証器名を何らかの方法で特定可能である場合は、認証器対応情報38に認証器名が含まれていなくてもよい。 In step S32, the registration unit 42 stores the service ID and service name received in step S14, and the user ID, authenticator ID, and authenticator name received in step S24 in memory 36 in association with each other. This information is the authenticator compatibility information 38. When information indicating the method of authenticating a user by the authenticator 16 is held, the registration unit 42 stores this information in memory 36 in association with the service ID, user ID, and authenticator ID, including it in the authenticator compatibility information 38. Note that if the image processing device 12 can identify the service name based on the service ID in some way, the authenticator compatibility information 38 does not need to include the service name. Also, if the image processing device 12 can identify the authenticator name based on the authenticator ID in some way, the authenticator compatibility information 38 does not need to include the authenticator name.

ステップS34において、登録部42は、当該サービスへのユーザ登録が完了したことを認証器16(すなわちユーザ)に通知する。 In step S34, the registration unit 42 notifies the authentication device 16 (i.e., the user) that user registration for the service has been completed.

各ユーザの各サービスに関する上述の登録処理を行うことにより、認証器対応情報38として、ユーザID、サービスID、サービス名、認証器ID、及び認証器名(好適にはさらに認証方法)の組み合わせが複数記憶される。図4に、認証器対応情報38の例が示されている。特に、本実施形態では、1人のユーザは複数のサービスを利用可能、すなわち、1人のユーザは複数のサービスに対してユーザ登録可能であるから、認証器対応情報38において、1つのユーザIDに対して、サービスIDと認証器IDとの組み合わせが複数関連付けられている。 By carrying out the above-mentioned registration process for each service for each user, multiple combinations of user ID, service ID, service name, authenticator ID, and authenticator name (preferably also authentication method) are stored as authenticator correspondence information 38. FIG. 4 shows an example of authenticator correspondence information 38. In particular, in this embodiment, one user can use multiple services, that is, one user can register as a user for multiple services, so in the authenticator correspondence information 38, multiple combinations of service ID and authenticator ID are associated with one user ID.

認証部44は、認証器16と認証サーバ18との間において、サービスがユーザを認証する(換言すればユーザがサービスにログインする)認証処理に係る認証データを中継する。本実施形態では、認証データは、サービスがFIDO認証によりユーザを認証するために必要なデータとなる。 The authentication unit 44 relays authentication data related to the authentication process in which the service authenticates the user (in other words, the user logs in to the service) between the authenticator 16 and the authentication server 18. In this embodiment, the authentication data is data necessary for the service to authenticate the user through FIDO authentication.

以下、図5に示すフローチャートに従って、本実施形態における認証処理の流れを説明する。 The flow of authentication processing in this embodiment will be explained below according to the flowchart shown in FIG.

ステップS40において、ユーザは、認証器16を操作して、利用を希望するサービス(すなわちサービス提供装置14)に対して、当該サービスに対応する認証器16を選択した上で、当該認証器16からログインリクエストを送信する。当該ログインリクエストには、当該サービスにおいて当該ユーザを一意に識別するサービスユーザID及び当該認証器16のアドレス情報が含まれる。 In step S40, the user operates the authenticator 16 to select an authenticator 16 corresponding to the service that the user wishes to use (i.e., the service providing device 14), and then transmits a login request from the authenticator 16. The login request includes a service user ID that uniquely identifies the user in the service, and address information of the authenticator 16.

ステップS42において、サービスは、認証リクエストを認証サーバ18に送信する。認証サーバ18には、ステップS10で受信した登録リクエストに含まれるサービスユーザID及び認証器16のアドレス情報、並びに、自サービスを一意に識別するサービスIDとが含まれる。サービスは、受信したサービスユーザIDを保持しておく。 In step S42, the service sends an authentication request to the authentication server 18. The authentication server 18 receives the service user ID and address information of the authenticator 16 included in the registration request received in step S10, as well as a service ID that uniquely identifies the service. The service retains the received service user ID.

ステップS44において、認証サーバ18は、チャレンジを生成し、ステップS42でサービスから受信した認証リクエストに含まれるアドレス情報及びサービスIDと共に、生成したチャレンジを画像処理装置12に送信する。認証サーバ18は、ステップS42で受信したサービスユーザID、サービスID、及び、生成したチャレンジを保持しておく。 In step S44, the authentication server 18 generates a challenge and transmits the generated challenge to the image processing device 12 together with the address information and service ID contained in the authentication request received from the service in step S42. The authentication server 18 retains the service user ID and service ID received in step S42, and the generated challenge.

ステップS46において、画像処理装置12の認証部44は、ステップS44でアドレス情報及びチャレンジを受信すると、当該アドレス情報が示す認証器16に対してチャレンジを送信する。 In step S46, when the authentication unit 44 of the image processing device 12 receives the address information and the challenge in step S44, it transmits the challenge to the authentication device 16 indicated by the address information.

ステップS48において、認証器16はユーザを認証する。認証器16がユーザを認証すると、ステップ50に進む。なお、認証器16がユーザを認証できなかった場合には、以後のステップの処理を実行せずに認証処理を終了する。 In step S48, the authentication device 16 authenticates the user. If the authentication device 16 authenticates the user, the process proceeds to step 50. If the authentication device 16 is unable to authenticate the user, the authentication process ends without executing the subsequent steps.

ステップS50において、認証器16は、メモリに記憶されている秘密鍵を用いて、ステップS46で受信したチャレンジを署名する。 In step S50, the authenticator 16 signs the challenge received in step S46 using the private key stored in memory.

ステップS52において、認証器16は、ステップS50で生成された署名データを画像処理装置12に送信する。 In step S52, the authenticator 16 transmits the signature data generated in step S50 to the image processing device 12.

ステップS54において、認証部44は、ステップS52で受信した署名データを認証サーバ18に送信する。 In step S54, the authentication unit 44 transmits the signature data received in step S52 to the authentication server 18.

ステップS56において、認証サーバ18は、メモリに記憶されている公開鍵情報を参照し、ステップS42で受信したサービスユーザID及びサービスIDに関連付けられている公開鍵を特定する。その上で、認証サーバ18は、特定した公開鍵を用いて、ステップS54で受信した署名データを検証する。検証の結果、当該署名データが当該公開鍵に対応する秘密鍵で署名されたものであることが確認できると認証成功となり、ステップS56に進む。一方、当該署名データが当該公開鍵に対応する秘密鍵で署名されたものではないと判定した場合は認証失敗となる。 In step S56, the authentication server 18 refers to the public key information stored in memory and identifies the public key associated with the service user ID and service ID received in step S42. The authentication server 18 then uses the identified public key to verify the signature data received in step S54. If the verification confirms that the signature data has been signed with the private key corresponding to the public key, the authentication is successful and the process proceeds to step S56. On the other hand, if it is determined that the signature data has not been signed with the private key corresponding to the public key, the authentication fails.

仮に、ステップS40で、ユーザが当該サービスに対応していない認証器16を誤って選択している場合、つまり、当該認証器16が当該サービスに対応したものではない場合、署名データは、当該サービスに対応しない秘密鍵によって署名されたものとなる。したがって、この場合、ステップS56における認証サーバ18の検証処理により、当該署名データが当該公開鍵に対応する秘密鍵で署名されたものではないと判定され、ユーザはサービスから認証を得ることができない。 If, in step S40, the user mistakenly selects an authenticator 16 that does not correspond to the service, that is, if the authenticator 16 does not correspond to the service, the signature data will be signed with a private key that does not correspond to the service. Therefore, in this case, the verification process of the authentication server 18 in step S56 determines that the signature data was not signed with a private key that corresponds to the public key, and the user cannot obtain authentication from the service.

ステップS58において、認証サーバ18は、認証結果を画像処理装置12及びサービスに通知する。サービスは、認証サーバ18から認証成功通知を受信すると、ステップS10で受信したサービスユーザIDが示すユーザを認証済みのユーザとして扱う。すなわち、サービスは、当該ユーザの認証状態を形成する。一方、サービスは、認証サーバ18から認証失敗通知を受信すると、当該ユーザの認証状態を形成しない。 In step S58, the authentication server 18 notifies the image processing device 12 and the service of the authentication result. When the service receives a notification of successful authentication from the authentication server 18, it treats the user indicated by the service user ID received in step S10 as an authenticated user. In other words, the service creates an authentication state for the user. On the other hand, when the service receives a notification of failed authentication from the authentication server 18, it does not create an authentication state for the user.

ステップS60において、認証部44は、当該サービスへの認証が完了したことを認証器16(すなわちユーザ)に通知する。 In step S60, the authentication unit 44 notifies the authenticator 16 (i.e., the user) that authentication for the service has been completed.

また、認証部44は、画像処理装置12がユーザを認証するため、換言すればユーザが画像処理装置12にログインするための処理を行う。サービスがユーザを認証するための認証処理と区別して、当該処理を装置認証処理と呼ぶ。装置認証処理は、既知の方法、例えば、生体認証やパスワードなどの方法で行うことができる。装置認証処理に必要な情報は予め登録されメモリ36に記憶される。 The authentication unit 44 also performs processing for the image processing device 12 to authenticate the user, in other words, for the user to log in to the image processing device 12. This processing is called device authentication processing to distinguish it from authentication processing for a service to authenticate a user. The device authentication processing can be performed by a known method, such as biometric authentication or a password. Information required for the device authentication processing is registered in advance and stored in the memory 36.

図2に戻り、通知処理部46は、上述の認証処理によってサービスがユーザを認証するに先立って、認証器対応情報38に基づいて、ユーザが利用可能な各サービスに対応する認証器16をユーザに通知する処理を実行する。 Returning to FIG. 2, the notification processing unit 46 executes a process of notifying the user of the authenticator 16 corresponding to each service available to the user based on the authenticator compatibility information 38 before the service authenticates the user through the above-mentioned authentication process.

具体的には、まず、画像処理装置12は、通知の対象となるユーザのユーザIDを取得する。当該ユーザIDの取得方法はどのような方法であってもよい。例えば、画像処理装置12が装置認証処理によりユーザを認証することで(すなわちユーザが画像処理装置12にログインすることで)ユーザIDを取得する。また、ユーザIDの取得に当たり、必ずしも画像処理装置12は当該ユーザを認証する必要はなく、例えば、画像処理装置12が認証していないユーザが入力インターフェース34からユーザIDを入力することで取得するようにしてもよい。あるいは、画像処理装置12に備えられた非接触読取器によって、ユーザが所持している、ユーザIDが記憶された記憶媒体(例えばIDカードなど)からユーザIDを読み取るようにしてもよい。 Specifically, first, the image processing device 12 acquires the user ID of the user to be notified. Any method may be used to acquire the user ID. For example, the image processing device 12 acquires the user ID by authenticating the user through device authentication processing (i.e., the user logs in to the image processing device 12). In addition, when acquiring the user ID, the image processing device 12 does not necessarily need to authenticate the user. For example, the user ID may be acquired by a user who has not been authenticated by the image processing device 12 inputting the user ID from the input interface 34. Alternatively, the user ID may be read by a contactless reader provided in the image processing device 12 from a storage medium (e.g., an ID card) held by the user and on which the user ID is stored.

通知処理部46は、認証器対応情報38(図4参照)を参照し、取得したユーザIDに関連付けられているサービスID及び認証器IDを特定する。その上で、通知処理部46は、特定したサービスIDが示すサービスと、特定した認証器IDが示す認証器16(すなわち当該サービスに対応する認証器16)を当該ユーザに通知する。例えば、通知処理部46は、特定したサービスIDが示すサービスのサービス名と、特定した認証器IDが示す認証器16の認証器名との組み合わせを示す認証器通知画面をディスプレイ32に表示することで、ユーザが利用可能なサービスに対応する認証器16を通知することができる。 The notification processing unit 46 refers to the authenticator correspondence information 38 (see FIG. 4) and identifies the service ID and authenticator ID associated with the acquired user ID. The notification processing unit 46 then notifies the user of the service indicated by the identified service ID and the authenticator 16 indicated by the identified authenticator ID (i.e., the authenticator 16 corresponding to the service). For example, the notification processing unit 46 can notify the user of the authenticator 16 corresponding to the service available to the user by displaying on the display 32 an authenticator notification screen indicating a combination of the service name of the service indicated by the identified service ID and the authenticator name of the authenticator 16 indicated by the identified authenticator ID.

そのような認証器通知画面の例が図6に示されている。図6の例では、当該ユーザがサービスA、サービスB、サービスCが利用可能であり、サービスAに対応する認証器16はスマートフォンの認証アプリケーションXであり、サービスBに対応する認証器16はUSBキーであり、サービスCに対応する認証器16はスマートフォンの認証アプリケーションYであることが示されている。 An example of such an authenticator notification screen is shown in FIG. 6. In the example of FIG. 6, it is shown that the user can use service A, service B, and service C, the authenticator 16 corresponding to service A is authentication application X of a smartphone, the authenticator 16 corresponding to service B is a USB key, and the authenticator 16 corresponding to service C is authentication application Y of a smartphone.

このように、ユーザが利用可能な各サービスに対応する認証器16を通知処理部46がユーザに通知することで、ユーザは、各サービスへの認証処理に必要な認証器16を把握することができる。 In this way, the notification processing unit 46 notifies the user of the authenticator 16 corresponding to each service available to the user, so that the user can know which authenticator 16 is required for authentication processing for each service.

なお、本実施形態では、通知処理部46は、認証器通知画面をディスプレイ32に表示させることで、各サービスに対応する認証器16をユーザに通知していたが、通知の方法はこれに限られない。例えば、通知処理部46は、音声出力により通知を行ってもよい。あるいは、通知処理部46は、画像処理装置12のディスプレイ32ではなく、当該ユーザが使用する端末に対して認証器通知画面を表示させるようにしてもよい。 In this embodiment, the notification processing unit 46 notifies the user of the authenticator 16 corresponding to each service by displaying an authenticator notification screen on the display 32, but the notification method is not limited to this. For example, the notification processing unit 46 may notify by audio output. Alternatively, the notification processing unit 46 may display the authenticator notification screen on the terminal used by the user, rather than on the display 32 of the image processing device 12.

通知処理部46は、ユーザIDのみならず、ユーザが利用を希望しているサービスのサービスIDを取得できた場合には、認証器対応情報38を参照し、取得したユーザID及びサービスIDに関連付けられている認証器IDを特定し、特定した認証器IDが示す認証器16を当該ユーザに通知するようにしてもよい。 When the notification processing unit 46 is able to acquire not only the user ID but also the service ID of the service that the user wishes to use, it may refer to the authenticator correspondence information 38, identify the authenticator ID associated with the acquired user ID and service ID, and notify the user of the authenticator 16 indicated by the identified authenticator ID.

その場合の認証器通知画面の例が図7に示されている。図7の例では、当該ユーザがサービスAを利用を希望している場合であり、当該認証器通知画面においては、サービスAに対応する認証器16はスマートフォンの認証アプリケーションXであることが示されている。 An example of the authenticator notification screen in this case is shown in Figure 7. In the example of Figure 7, the user wishes to use service A, and the authenticator notification screen shows that the authenticator 16 corresponding to service A is authentication application X of the smartphone.

ユーザが利用を希望しているサービスのサービスIDの取得方法はどのような方法であってもよい。例えば、ユーザが利用を希望しているサービスには対応していない、誤った認証器16を用いて認証処理を行った場合、当該ユーザはサービスには認証されないが、その認証処理の過程において、当該サービスのサービスIDが画像処理装置12に送信される(図5のステップS44)。これにより、画像処理装置12は、当該サービスのサービスIDを取得することができる。また、ユーザが入力インターフェース34からサービスIDを入力することで取得するようにしてもよい。 The method of acquiring the service ID of the service that the user wishes to use may be any method. For example, if an authentication process is performed using an incorrect authenticator 16 that is not compatible with the service that the user wishes to use, the user will not be authenticated by the service, but the service ID of the service will be sent to the image processing device 12 during the authentication process (step S44 in Figure 5). This allows the image processing device 12 to acquire the service ID of the service. Alternatively, the service ID may be acquired by the user inputting it from the input interface 34.

画像処理装置12がユーザIDを取得しただけで、当該ユーザIDが示すユーザが利用可能な複数のサービス及び各サービスに対応する認証器16を通知する場合、セキュリティの観点から問題が生じる場合がある。例えば、ユーザAのユーザIDが記憶されたIDカードを何らかの方法でユーザBが取得し、ユーザBが当該IDカードを用いてユーザAのユーザIDを画像処理装置12に入力すると、ユーザAが望まなかったとしても、ユーザAが利用可能な複数のサービスと、各サービスに対応する認証器16がユーザBに対して通知されることとなる。 If the image processing device 12 merely acquires a user ID and notifies the user identified by the user ID of multiple services available to the user and the authenticators 16 corresponding to each service, problems may arise from the perspective of security. For example, if user B somehow acquires an ID card on which user A's user ID is stored and user B uses the ID card to input user A's user ID into the image processing device 12, user B will be notified of multiple services available to user A and the authenticators 16 corresponding to each service, even if user A does not wish it.

このような場合に備え、通知処理部46は、取得したユーザIDが示すユーザが装置認証処理によって画像処理装置12に認証された場合にのみ、当該ユーザが利用可能な各サービスに対応する認証器16を通知するようにしてもよい。これにより、上述の例では、ユーザAが画像処理装置12に認証されない限り、ユーザAが利用可能な複数のサービスと、各サービスに対応する認証器16がユーザBに対して通知されないこととなる。 In preparation for such a case, the notification processing unit 46 may notify the authenticator 16 corresponding to each service available to the user only when the user indicated by the acquired user ID is authenticated by the image processing device 12 through device authentication processing. As a result, in the above example, unless user A is authenticated by the image processing device 12, the multiple services available to user A and the authenticators 16 corresponding to each service will not be notified to user B.

また、通知処理部46が、サービスに対応する認証器16をユーザに通知するか否かを予め画像処理装置12に設定しておくことができるようになっていてもよい。当該設定は、画像処理装置12の管理者やユーザ自身によって行うことができる。通知の有無は、ユーザ毎に設定可能であってもよい。通知処理部46は、認証器16の認証を通知するという設定になっている場合にのみ、上述の方法にて、各サービスに対応する認証器16をユーザに通知し、認証器16の認証を通知しないという設定になっている場合には、ユーザには、各サービスに対応する認証器16を通知しない。 The notification processing unit 46 may be able to set in advance in the image processing device 12 whether or not to notify the user of the authentication device 16 corresponding to the service. This setting can be made by an administrator of the image processing device 12 or the user himself. Whether or not to notify may be set for each user. The notification processing unit 46 notifies the user of the authentication device 16 corresponding to each service in the above-mentioned manner only when the setting is such that the authentication of the authentication device 16 is notified, and when the setting is such that the authentication of the authentication device 16 is not notified, the user is not notified of the authentication device 16 corresponding to each service.

再度図2に戻り、処理実行部48は、ユーザからの指示に応じて、サービス提供装置14が提供するサービスの利用を伴う処理を実行する。本明細書では、このような処理をサービス付帯処理と呼ぶ。これに限るものではないが、サービス付帯処理としては、紙文書を画像処理装置12が有するスキャナ(不図示)により光学的に読み取ることで画像データを取得し、当該画像データをサービスに送信するという処理が挙げられる。ユーザは、サービス付帯処理を処理実行部48に指示するに先立って、画像処理装置12に認証されている必要がある。すなわち、処理実行部48は、画像処理装置12に認証されたユーザからの指示に応じて、サービス付帯処理を実行する。 Returning to FIG. 2 again, the process execution unit 48 executes a process involving the use of a service provided by the service providing device 14 in response to an instruction from a user. In this specification, such a process is referred to as a service-attached process. Although not limited to this, an example of a service-attached process is a process in which a paper document is optically read by a scanner (not shown) possessed by the image processing device 12 to obtain image data, and the image data is then sent to a service. The user must be authenticated by the image processing device 12 before instructing the process execution unit 48 to execute a service-attached process. That is, the process execution unit 48 executes a service-attached process in response to an instruction from a user authenticated by the image processing device 12.

ユーザがサービスを利用するには当該サービスに認証されていることが必要であるから、ユーザが画像処理装置12にサービス付帯処理を実行させるには、ユーザは、サービスと画像処理装置12の両方に認証される必要がある。ここで、認証部44は、画像処理装置12がユーザを認証していない状態において、サービスがユーザを認証した場合、当該画像処理装置12が当該ユーザを認証したとみなすようにしてもよい。換言すれば、認証部44は、ユーザがサービスにログインしたことをもって、画像処理装置12への当該ユーザの認証状態を形成するようにしてもよい。これにより、サービス付帯処理を実行するに当たり、画像処理装置12がユーザを認証する装置認証処理を省略することができる。 Because a user needs to be authenticated by a service in order to use that service, in order for the user to have the image processing device 12 execute service-attached processing, the user needs to be authenticated by both the service and the image processing device 12. Here, if the service authenticates the user when the image processing device 12 has not authenticated the user, the authentication unit 44 may be configured to consider that the image processing device 12 has authenticated the user. In other words, the authentication unit 44 may create an authentication state for the user on the image processing device 12 when the user logs in to the service. This allows the image processing device 12 to omit device authentication processing for authenticating the user when executing service-attached processing.

好適には、認証部44は、サービスへの認証の認証強度が、画像処理装置12への認証の認証強度以上である場合に、当該ユーザがサービスに認証されたことをもって、画像処理装置12への当該ユーザの認証状態を形成するようにしてもよい。認証強度とは、認証したユーザが、確かに当該ユーザ本人であることの保証の度合いを示すものである。換言すれば、認証強度とは、第三者が他人に成りすまして認証されることの困難性を示すものである。認証強度は、認証方法に応じて定められる。例えば、生体認証とパスワード認証を比較すると、生体情報よりもパスワードの方が他人に流出し易いことから、パスワード認証に比して生体認証の方が認証強度が高いと言える。生体認証の中にも種々の方法があるため、各方法に応じて認証強度が定められていてよい。 Preferably, when the authentication strength of the authentication to the service is equal to or greater than the authentication strength of the authentication to the image processing device 12, the authentication unit 44 may form an authentication state of the user to the image processing device 12 by the user being authenticated to the service. The authentication strength indicates the degree of assurance that the authenticated user is indeed the user himself. In other words, the authentication strength indicates the difficulty of a third party impersonating another person and being authenticated. The authentication strength is determined according to the authentication method. For example, when comparing biometric authentication and password authentication, it can be said that biometric authentication has a higher authentication strength than password authentication because passwords are more likely to be leaked to others than biometric information. There are various methods of biometric authentication, and the authentication strength may be determined according to each method.

認証部44は、自ら装置認証処理を実行するから、画像処理装置12へのユーザの認証方法はもとより把握している。したがって、画像処理装置12への認証方法に基づいて、画像処理装置12への認証の認証強度を取得することができる。また、本実施形態では、各サービスはユーザをFIDO認証により認証するから、各サービスへの認証の認証強度をFIDO認証に応じた強度として取得することができる。さらに、FIDO認証においては、認証器16におけるユーザの認証方法が種々考えられるところ、認証部44は、認証器16におけるユーザの認証方法を考慮して、サービスへの認証の認証強度を取得するようにしてもよい。認証部44は、各サービスへの認証処理における認証器16におけるユーザの認証方法は、認証器対応情報38(図4参照)に基づいて取得することができる。 Because the authentication unit 44 itself executes the device authentication process, it is already aware of the authentication method of the user for the image processing device 12. Therefore, it is possible to obtain the authentication strength of authentication for the image processing device 12 based on the authentication method for the image processing device 12. Also, in this embodiment, since each service authenticates the user by FIDO authentication, it is possible to obtain the authentication strength of authentication for each service as a strength corresponding to the FIDO authentication. Furthermore, in FIDO authentication, various methods of authenticating the user in the authenticator 16 are possible, and the authentication unit 44 may obtain the authentication strength of authentication for the service taking into account the authentication method of the user in the authenticator 16. The authentication unit 44 can obtain the authentication method of the user in the authenticator 16 in the authentication process for each service based on the authenticator compatibility information 38 (see FIG. 4).

サービスへの認証の認証強度が、画像処理装置12への認証の認証強度以上である場合に、当該ユーザがサービスに認証されたことをもって、画像処理装置12への当該ユーザの認証状態を形成するようにすることで、画像処理装置12への認証の認証強度未満の認証方法によって画像処理装置12へのユーザの認証状態が形成されてしまうことを防止することができる。 When the authentication strength of the authentication to the service is equal to or greater than the authentication strength of the authentication to the image processing device 12, the authentication status of the user to the image processing device 12 is established when the user is authenticated to the service, thereby preventing the authentication status of the user to the image processing device 12 from being established by an authentication method that is weaker than the authentication strength of the authentication to the image processing device 12.

処理実行部48は、互いに異なるサービスの利用を伴う複数のサービス付帯処理を実行可能である。例えば、処理実行部48は、紙文書をスキャンして得られた画像データをサービスAに送信するサービス付帯処理A、及び、紙文書をスキャンして得られた画像データをサービスBに送信するサービス付帯処理Bを実行することができる。 The process execution unit 48 can execute multiple service-attached processes that involve the use of different services. For example, the process execution unit 48 can execute a service-attached process A that scans a paper document and transmits image data obtained from the scanned paper document to service A, and a service-attached process B that transmits image data obtained from the scanned paper document to service B.

この場合、通知処理部46は、サービス付帯処理の実行指示を入力するための複数のサービス付帯処理にそれぞれ対応した複数のボタンをディスプレイ32に表示させる。例えば、図8に示すように、通知処理部46は、サービス付帯処理Aの実行指示を入力するための指示ボタン60、及び、サービス付帯処理Bの実行指示を入力するための指示ボタン62をディスプレイ32に表示させる。 In this case, the notification processing unit 46 causes the display 32 to display a plurality of buttons corresponding to a plurality of service-attached processes for inputting an instruction to execute the service-attached processes. For example, as shown in FIG. 8, the notification processing unit 46 causes the display 32 to display an instruction button 60 for inputting an instruction to execute service-attached process A, and an instruction button 62 for inputting an instruction to execute service-attached process B.

ここで、通知処理部46は、各サービス付帯処理に対応する各ボタンを、対応するサービス付帯処理で利用されるサービスに対応する認証器16をユーザが把握可能な態様で表示させるとよい。例えば、図8に示すように、通知処理部46は、サービス付帯処理Aに対応する指示ボタン60の近傍に、サービス付帯処理Aで利用されるサービスAから認証を受けるために必要な認証器16を示す文字列を表示させ、サービス付帯処理Bに対応する指示ボタン62の近傍に、サービス付帯処理Bで利用されるサービスBから認証を受けるために必要な認証器16を示す文字列を表示させる。もちろん、各サービス付帯処理で利用させるサービスに対応する認証器16をユーザが把握可能となる限りにおいて、その他の表示態様でもよい。 Here, the notification processing unit 46 may display each button corresponding to each service-attached process in a manner that allows the user to grasp the authenticator 16 corresponding to the service used in the corresponding service-attached process. For example, as shown in FIG. 8, the notification processing unit 46 displays a character string indicating the authenticator 16 required to receive authentication from service A used in service-attached process A near the instruction button 60 corresponding to service-attached process A, and displays a character string indicating the authenticator 16 required to receive authentication from service B used in service-attached process B near the instruction button 62 corresponding to service-attached process B. Of course, other display modes may be used as long as the user can grasp the authenticator 16 corresponding to the service to be used in each service-attached process.

また、複数のボタンに対応する複数のサービス付帯処理で利用される複数のサービスのうち、既に当該ユーザを認証済みのサービス(すなわちユーザがログイン済みのサービス)が有る場合、通知処理部46は、認証済みのサービスを利用するサービス付帯処理に対応するボタンと、当該ユーザを未だ認証していないサービスを利用するサービス付帯処理に対応するボタンとを異なる表示態様で表示するとよい。例えば、図9に示すように、通知処理部46は、ユーザを認証済みのサービスAを利用するサービス付帯処理Aに対応する指示ボタン60の近傍に、サービスAにより認証されていることを示す文字列を表示させ、ユーザを認証していないサービスBを利用するサービス付帯処理Bに対応する指示ボタン62の近傍に、サービスBには認証されていないことを示す文字列を表示させる。このとき、サービスBから認証を受けるために必要な認証器16を示すのが好適である。もちろん、各サービス付帯処理で利用させるサービスからの認証の有無をユーザが把握可能となる限りにおいて、その他の表示態様でもよい。例えば、ボタン60とボタン62とを異なる色で表示する、などの表示態様であってもよい。 Furthermore, when there is a service for which the user has already been authenticated (i.e., a service for which the user has already logged in) among the multiple services used in the multiple service-attached processes corresponding to the multiple buttons, the notification processing unit 46 may display the button corresponding to the service-attached process using the authenticated service and the button corresponding to the service-attached process using the service for which the user has not yet been authenticated in different display modes. For example, as shown in FIG. 9, the notification processing unit 46 displays a character string indicating that the user has been authenticated by service A near the instruction button 60 corresponding to the service-attached process A using the service A for which the user has been authenticated, and displays a character string indicating that the user has not been authenticated by service B near the instruction button 62 corresponding to the service-attached process B using the service B for which the user has not been authenticated. At this time, it is preferable to display the authentication device 16 required for authentication from service B. Of course, other display modes may be used as long as the user can grasp the presence or absence of authentication from the service to be used in each service-attached process. For example, the button 60 and the button 62 may be displayed in different colors.

また、処理実行部48が、第1認証器としての認証器Aを用いてユーザを認証する第1サービスとしてのサービスAの利用を伴う第1サービス付帯処理としてのサービス付帯処理A、及び、第2認証器としての認証器Bを用いてユーザを認証する第2サービスとしてのサービスBの利用を伴う第2サービス付帯処理としてのサービス付帯処理Bを実行可能な場合であって、ユーザがサービス付帯処理Aの実行指示を画像処理装置12に入力したときに、誤って(認証器Aではなく)認証器Bを用いたサービスAへの認証処理を行った場合を考える。例えば、図8に示されたボタン60及びボタン62がディスプレイ32に表示されており、ユーザがボタン60を操作して、サービスAへの認証処理の際に、サービスBに対応する認証器Bを用いた場合である。 Consider a case where the process execution unit 48 is capable of executing service-attached process A as a first service-attached process involving the use of service A as a first service that authenticates a user using authenticator A as a first authenticator, and service-attached process B as a second service-attached process involving the use of service B as a second service that authenticates a user using authenticator B as a second authenticator, and when a user inputs an instruction to execute service-attached process A into the image processing device 12, the user mistakenly performs authentication process for service A using authenticator B (instead of authenticator A). For example, consider a case where buttons 60 and 62 shown in FIG. 8 are displayed on the display 32, and the user operates button 60 to use authenticator B corresponding to service B during authentication process for service A.

この場合、ユーザは、サービスAから認証を受けることはできない。しかしながら、当該ユーザとしては、利用するサービスは、サービスAでもサービスBでもどちらでもよいと考えている場合がある。本例であると、ユーザは、電子文書の送信先(管理先)としては、サービスAでもサービスBでもどちらでもよいと考えている場合がある。 In this case, the user cannot be authenticated by service A. However, the user may think that it does not matter whether the service to be used is service A or service B. In this example, the user may think that it does not matter whether the service to be used is service A or service B as the destination (management destination) of the electronic document.

そこで、通常であれば、ユーザは、画像処理装置12に実行指示を入力したサービス付帯処理Aにより利用されるサービスAに対応する認証器Aを用意した上で、当該認証器Aを用いてサービスAから認証を受ける必要があるところ、通知処理部46は、ユーザが用いた認証器Bに対応するサービスBを利用するサービス付帯処理Bを実行してよいか否かをユーザに問い合わせるようにしてもよい。例えば、図8の画面において、ユーザがボタン60を操作してサービス付帯処理Aの実行指示を入力して、サービスBに対応する認証器Bを用いてサービスAに対する認証処理を行った場合、通知処理部46は、図10に示すように、「サービスBに文書を送信してもよいですか?」というメッセージと共に「はい」及び「いいえ」のボタンをディスプレイ32に表示させる。ここで、ユーザが「はい」ボタンを操作すると、認証部44がサービスBへの認証処理によりサービスBが当該ユーザを認証した上で、処理実行部48は、当該電子文書をサービスBに送信する。ユーザが「いいえ」のボタンを操作した場合は、処理実行部48は当該電子文書をサービスBに送信しない。 In this case, normally, the user needs to prepare an authentication device A corresponding to the service A used by the service-attached process A for which an execution instruction has been input to the image processing device 12, and then be authenticated by the service A using the authentication device A. However, the notification processing unit 46 may inquire of the user as to whether or not it is acceptable to execute the service-attached process B using the service B corresponding to the authentication device B used by the user. For example, in the screen of FIG. 8, when the user operates the button 60 to input an execution instruction for the service-attached process A and performs authentication processing for the service A using the authentication device B corresponding to the service B, the notification processing unit 46 displays "Yes" and "No" buttons on the display 32 together with the message "May I send a document to service B?" as shown in FIG. 10. Here, when the user operates the "Yes" button, the authentication unit 44 performs authentication processing for service B, and the processing execution unit 48 transmits the electronic document to service B. When the user operates the "No" button, the processing execution unit 48 does not transmit the electronic document to service B.

具体的には、通知処理部46は、サービスAへの認証処理により(誤って)用いられた認証器16を、当該認証処理の過程において識別することができる。例えば、当該認証器16から画像処理装置12に署名データを送信する際(図5のステップS52)に、認証器16が、認証器IDを共に送信するようにすれば、通知処理部46は、当該認証器IDに基づいて、ユーザが使用した認証器16を把握することができる。その上で、通知処理部46は、認証器対応情報38を参照し、ユーザが使用した認証器16に対応するサービスを特定する。その上で、ユーザに、当該サービスの利用を伴いサービス付帯処理を実行してよいか否かの問い合わせを行う。 Specifically, the notification processing unit 46 can identify the authenticator 16 that was (mistakenly) used in the authentication process for service A during the authentication process. For example, if the authenticator 16 transmits an authenticator ID when transmitting signature data from the authenticator 16 to the image processing device 12 (step S52 in FIG. 5), the notification processing unit 46 can identify the authenticator 16 used by the user based on the authenticator ID. The notification processing unit 46 then refers to the authenticator correspondence information 38 to identify the service that corresponds to the authenticator 16 used by the user. Then, it inquires of the user as to whether or not it is OK to execute a service-accompanying process that involves the use of that service.

また、処理実行部48は、互いに異なる認証器16を用いてユーザを認証する複数のサービスの利用を伴うマルチサービス付帯処理を実行可能であってもよい。例えば、認証器Aを用いてユーザを認証するサービスA、及び、認証器Bを用いてユーザを認証するサービスBの利用を伴うマルチサービス付帯処理を実行可能であってもよい。これに限るものではないが、マルチサービス付帯処理としては、紙文書を画像処理装置12が有するスキャナにより光学的に読み取ることで画像データを取得し、当該画像データを複数のサービスに送信するという処理が挙げられる。 The process execution unit 48 may also be capable of executing a multi-service associated process involving the use of multiple services that authenticate a user using different authentication devices 16. For example, the process execution unit 48 may be capable of executing a multi-service associated process involving the use of service A that authenticates a user using authentication device A and service B that authenticates a user using authentication device B. Although not limited to this, an example of the multi-service associated process is a process in which a paper document is optically read by a scanner possessed by the image processing device 12 to obtain image data, and the image data is then transmitted to multiple services.

マルチサービス付帯処理を実行するためには、ユーザは、互いに異なる複数の認証器16を用いて、複数のサービスそれぞれに認証されている必要がある。しかしながら、ユーザが当該複数の認証器16のうちの一部の認証器16しかすぐには用意できずに、マルチサービス付帯処理が利用する複数のサービスの全部から認証されることができず、当該複数のサービスのうちの一部からしか認証されない場合が考えられる。 To execute the multi-service attached processing, the user needs to be authenticated for each of the multiple services using multiple, mutually different, authenticators 16. However, it is conceivable that the user may only have some of the multiple authenticators 16 immediately available, and may not be authenticated by all of the multiple services used by the multi-service attached processing, and may be authenticated only by some of the multiple services.

そこで、処理実行部48は、ユーザがマルチサービス付帯処理の実行指示を入力した場合であって、ユーザが当該マルチサービス付帯処理で利用される複数のサービスのうちの一部に認証された場合に、当該複数のサービスのうち、ユーザを認証していないサービスの利用を伴わず、ユーザを認証したサービスの利用を伴うマルチサービス付帯処理を実行するようにしてもよい。例えば、認証器Aを用いてユーザを認証するサービスA、及び、認証器Bを用いてユーザを認証するサービスBの利用を伴うマルチサービス付帯処理の実行指示をユーザが入力し、当該ユーザが認証器Bを用意できずに、認証器Aを用いた認証処理によりサービスAから認証されたが、サービスBからは認証されていない状況を考える。この場合、処理実行部48は、サービスBの利用を伴わず、サービスAの利用を伴う当該マルチサービス付帯処理を実行する。 Therefore, when a user inputs an instruction to execute a multi-service-attached process and the user is authenticated by some of the multiple services used in the multi-service-attached process, the process execution unit 48 may execute the multi-service-attached process involving the use of a service that authenticates the user, but not the use of a service that does not authenticate the user. For example, consider a situation in which a user inputs an instruction to execute a multi-service-attached process involving the use of service A that authenticates the user using authenticator A and service B that authenticates the user using authenticator B, and the user is unable to prepare authenticator B and is authenticated by service A through authentication processing using authenticator A, but is not authenticated by service B. In this case, the process execution unit 48 executes the multi-service-attached process involving the use of service A, but not the use of service B.

なお、この場合、処理実行部48は、ユーザを認証していないサービスBの利用を伴う当該マルチサービス付帯処理の実行指示を保留しておいてもよい。当該実行指示の保留状態において、ユーザが認証器Bを用いた認証処理によりサービスBから認証された場合には、ユーザは改めて当該マルチサービス付帯処理の実行指示を画像処理装置12に入力することなく、処理実行部48は、サービスBの利用を伴う当該マルチサービス付帯処理を実行する。 In this case, the process execution unit 48 may reserve the instruction to execute the multi-service-attached process involving the use of service B, which has not authenticated the user. If the user is authenticated by service B through authentication processing using authentication device B while the execution instruction is in a reserved state, the process execution unit 48 executes the multi-service-attached process involving the use of service B without the user inputting a new instruction to execute the multi-service-attached process to the image processing device 12.

本実施形態に係る画像処理装置12の概要は以上の通りである。以下、図11に示すフローチャートに従って、画像処理装置12の処理の流れについて説明する。 The overview of the image processing device 12 according to this embodiment has been described above. Below, the flow of processing by the image processing device 12 will be explained according to the flowchart shown in FIG. 11.

ステップS70において、画像処理装置12は、通知の対象となるユーザのユーザIDを取得する。 In step S70, the image processing device 12 obtains the user ID of the user to be notified.

ステップS72において、通知処理部46は、画像処理装置12の設定が、サービスに対応する認証器16をユーザに通知する設定となっているか否かを判定する。通知する設定となっている場合はステップS74に進み、通知しない設定となっている場合はステップS74~80の処理をバイパスしてステップS82に進む。 In step S72, the notification processing unit 46 determines whether the image processing device 12 is set to notify the user of the authentication device 16 corresponding to the service. If the setting is to notify, the process proceeds to step S74. If the setting is to notify, the process bypasses steps S74 to S80 and proceeds to step S82.

ステップS74において、通知処理部46は、認証部44による装置認証処理により、画像処理装置12がユーザを認証済みであるか否かを判定する。画像処理装置12がユーザを認証していない場合はステップS76に進み、認証済みである場合はステップS76及びS78をバイパスしてステップS80に進む。 In step S74, the notification processing unit 46 determines whether the image processing device 12 has authenticated the user through device authentication processing by the authentication unit 44. If the image processing device 12 has not authenticated the user, the process proceeds to step S76, and if the user has been authenticated, the process bypasses steps S76 and S78 and proceeds to step S80.

ステップS76において、認証部44は、画像処理装置12にログインするようにユーザに要求する。例えば、ディスプレイ32に「ログインしてください」などの文字列を表示させる。 In step S76, the authentication unit 44 requests the user to log in to the image processing device 12. For example, the authentication unit 44 displays a character string such as "Please log in" on the display 32.

ステップS78において、認証部44は、ステップS76の認証要求に対してユーザが画像処理装置12にログインしたか否かを判定する。本例では、画像処理装置12がユーザを認証していることを条件として、サービスに対応する認証器16を通知することとなっているため、ユーザが画像処理装置12にログインしなかった場合、処理を終了する。ユーザが画像処理装置12にログインしたならばステップS80に進む。 In step S78, the authentication unit 44 determines whether or not the user has logged in to the image processing device 12 in response to the authentication request in step S76. In this example, the authentication device 16 corresponding to the service is notified on the condition that the image processing device 12 has authenticated the user, so if the user has not logged in to the image processing device 12, the process ends. If the user has logged in to the image processing device 12, the process proceeds to step S80.

ステップS80において、通知処理部46は、ステップS70で取得したユーザID、及び認証器対応情報38に基づいて、当該ユーザが利用可能な各サービスに対応する各認証器16を通知する。ステップS80に先立って、当該ユーザが利用を希望するサービスのサービスIDを画像処理装置12が取得できた場合には、ユーザID、当該サービスID、及び認証器対応情報38に基づいて、当該ユーザが当該サービスへの認証処理に必要な認証器16を特定して当該ユーザに通知するようにしてもよい。 In step S80, the notification processing unit 46 notifies the user of each authenticator 16 corresponding to each service available to the user, based on the user ID acquired in step S70 and the authenticator compatibility information 38. If the image processing device 12 has acquired the service ID of the service that the user wishes to use prior to step S80, the authenticator 16 required by the user for authentication processing to the service may be identified based on the user ID, the service ID, and the authenticator compatibility information 38, and notified to the user.

ステップS82において、認証器16を用いた当該サービスへの認証処理が開始されると、認証部44は、認証器16及び認証サーバ18との間において、当該認証処理に係る認証データを中継する。 In step S82, when authentication processing for the service using the authentication device 16 is started, the authentication unit 44 relays authentication data related to the authentication processing between the authentication device 16 and the authentication server 18.

ステップS84において、認証部44は、当該サービスが当該ユーザを認証したか否かを判定する。当該サービスによって当該ユーザが認証された場合はステップS86に進み、当該サービスによる当該ユーザの認証が失敗した場合には処理を終了する。 In step S84, the authentication unit 44 determines whether or not the service has authenticated the user. If the user has been authenticated by the service, the process proceeds to step S86. If the service has failed to authenticate the user, the process ends.

ステップS86において、処理実行部48は、当該ユーザからの実行指示に応じて、当該サービスの利用を伴うサービス付帯処理を実行する。 In step S86, the process execution unit 48 executes a service-related process involving the use of the service in response to an execution instruction from the user.

以上、本発明に係る実施形態を説明したが、本発明は上記実施形態に限られるものではなく、本発明の趣旨を逸脱しない限りにおいて種々の変更が可能である。 Although the embodiment of the present invention has been described above, the present invention is not limited to the above embodiment, and various modifications are possible without departing from the spirit of the present invention.

例えば、認証サーバ18の機能をサービス提供装置14が発揮するようにしてもよい。その場合、サービス提供装置14が認証装置に相当し、サービスへのユーザ登録をする登録処理、及び、サービスがユーザを認証する認証処理は、画像処理装置12を中継して、認証器16とサービス提供装置14との間で行われる。 For example, the function of the authentication server 18 may be performed by the service providing device 14. In this case, the service providing device 14 corresponds to an authentication device, and the registration process for registering a user to the service and the authentication process for the service to authenticate the user are performed between the authenticator 16 and the service providing device 14 via the image processing device 12.

10 認証システム、12 画像処理装置、14 サービス提供装置、16 認証器、18 認証サーバ、20 通信回線、30 通信インターフェース、32 ディスプレイ、34 入力インターフェース、36 メモリ、38 認証器対応情報、40 プロセッサ、42 登録部、44 認証部、46 通知処理部、48 処理実行部。 10 Authentication system, 12 Image processing device, 14 Service providing device, 16 Authenticator, 18 Authentication server, 20 Communication line, 30 Communication interface, 32 Display, 34 Input interface, 36 Memory, 38 Authenticator compatibility information, 40 Processor, 42 Registration unit, 44 Authentication unit, 46 Notification processing unit, 48 Processing execution unit.

Claims (10)

プロセッサを備え、
前記プロセッサは、
サービスへの利用者の認証処理を実行する認証装置と、前記認証処理に必要である当該サービスに対応する認証器との間において、前記認証処理に係る認証データを中継し、
前記利用者を識別する利用者IDと、前記サービスを識別するサービスIDと、前記認証器を識別する認証器IDとが互いに関連付けられ、1つの前記利用者IDに対して、サービスIDと認証器IDとの組が複数関連付けられている認証器対応情報、及び、前記利用者の前記利用者IDに基づいて、前記利用者が利用可能な前記サービスに対応する前記認証器を前記利用者に通知する、
ことを特徴とする情報処理装置。
A processor is provided.
The processor,
relaying authentication data relating to the authentication process between an authentication device that executes authentication processing of a user for a service and an authentication device corresponding to the service that is necessary for the authentication processing;
a user ID for identifying the user, a service ID for identifying the service, and an authenticator ID for identifying the authenticator are associated with each other, and based on authenticator correspondence information in which a plurality of pairs of service IDs and authenticator IDs are associated with one user ID, and on the user ID of the user, the authenticator corresponding to the service available to the user is notified;
23. An information processing apparatus comprising:
前記プロセッサは、
前記認証器対応情報、並びに、前記利用者の前記利用者ID及び前記サービスIDに基づいて、前記利用者ID及び前記サービスIDに対応する前記認証器を前記利用者に通知する、
ことを特徴とする請求項1に記載の情報処理装置。
The processor,
notifying the user of the authentication device corresponding to the user ID and the service ID based on the authentication device correspondence information, and the user ID and the service ID of the user;
2. The information processing apparatus according to claim 1,
前記プロセッサは、
前記利用者が前記情報処理装置に認証された場合に、前記利用者が利用する前記サービスに対応する前記認証器を前記利用者に通知する、
ことを特徴とする請求項1又は2に記載の情報処理装置。
The processor,
When the user is authenticated by the information processing device, the user is notified of the authentication device corresponding to the service used by the user.
3. The information processing apparatus according to claim 1, wherein the information processing apparatus is a computer.
前記プロセッサは、
前記情報処理装置に認証された前記利用者からの指示に応じて、前記サービスの利用を伴うサービス付帯処理を実行する、
ことを特徴とする請求項1から3のいずれか1項に記載の情報処理装置。
The processor,
executes a service-related process involving use of the service in response to an instruction from the user authenticated by the information processing device;
4. The information processing apparatus according to claim 1, wherein the information processing apparatus is a computer.
前記プロセッサは、
前記利用者が前記サービスに認証されたことをもって、前記情報処理装置への前記利用者の認証状態を形成する、
ことを特徴とする請求項4に記載の情報処理装置。
The processor,
When the user is authenticated to the service, an authentication state of the user to the information processing device is established.
5. The information processing apparatus according to claim 4.
前記プロセッサは、
前記サービスへの認証の認証強度が、前記情報処理装置への認証の認証強度以上である場合に、前記利用者が前記サービスに認証されたことをもって、前記情報処理装置への前記利用者の認証状態を形成する、
ことを特徴とする請求項5に記載の情報処理装置。
The processor,
When an authentication strength of the authentication to the service is equal to or greater than an authentication strength of the authentication to the information processing device, an authentication state of the user to the information processing device is formed based on the fact that the user has been authenticated to the service.
6. The information processing apparatus according to claim 5,
前記プロセッサは、
互いに異なる前記サービスの利用を伴う複数の前記サービス付帯処理を実行可能であり、
前記サービス付帯処理の実行指示を入力するための、複数の前記サービス付帯処理にそれぞれ対応した複数のボタンを、各前記サービス付帯処理で利用される前記サービスに対応する前記認証器を前記利用者が把握可能な態様で前記情報処理装置のディスプレイに表示させる、
ことを特徴とする請求項4に記載の情報処理装置。
The processor,
A plurality of the service-related processes involving the use of the services different from each other can be executed,
displaying a plurality of buttons corresponding to the plurality of service-accompanying processes, respectively, for inputting an instruction to execute the service-accompanying processes, on a display of the information processing device in a manner that allows the user to grasp the authentication device corresponding to the service used in each of the service-accompanying processes;
5. The information processing apparatus according to claim 4.
前記プロセッサは、
第1認証器を用いて前記利用者を認証する第1サービスの利用を伴う第1サービス付帯処理、及び、第2認証器を用いて前記利用者を認証する第2サービスの利用を伴う第2サービス付帯処理を実行可能であり、
前記利用者が前記第1サービス付帯処理の実行指示を入力した場合であって、前記利用者が前記第2認証器を用いて前記認証処理を行った場合に、前記第2サービス付帯処理を実行してよいか否かを前記利用者に問い合わせる、
ことを特徴とする請求項4又は7に記載の情報処理装置。
The processor,
A first service-attaching process involving the use of a first service that authenticates the user using a first authenticator, and a second service-attaching process involving the use of a second service that authenticates the user using a second authenticator,
when the user inputs an instruction to execute the first service-accompanying process and when the user performs the authentication process using the second authentication device, the device inquires of the user as to whether or not the second service-accompanying process may be executed.
8. The information processing apparatus according to claim 4, wherein the information processing apparatus is a computer.
前記プロセッサは、
互いに異なる前記認証器を用いて前記利用者を認証する複数のサービスの利用を伴うマルチサービス付帯処理を実行可能であり、
前記利用者が前記マルチサービス付帯処理の実行指示を入力した場合であって、前記利用者が前記複数のサービスのうちの一部に認証された場合に、前記利用者を認証していないサービスの利用を伴わず前記利用者を認証したサービスの利用を伴う前記マルチサービス付帯処理を実行する、
ことを特徴とする請求項4、7、又は8に記載の情報処理装置。
The processor,
A multi-service incidental process involving the use of a plurality of services that authenticate the user using different authentication devices is executable;
When the user inputs an instruction to execute the multi-service auxiliary process and the user is authenticated for some of the plurality of services, the multi-service auxiliary process is executed with the use of a service for which the user has been authenticated, without the use of a service for which the user has not been authenticated.
9. The information processing apparatus according to claim 4, 7, or 8.
コンピュータに、
サービスへの利用者の認証処理を実行する認証装置と、前記認証処理に必要である当該サービスに対応する認証器との間において、前記認証処理に係る認証データを中継し、
前記利用者を識別する利用者IDと、前記サービスを識別するサービスIDと、前記認証器を識別する認証器IDとが互いに関連付けられ、1つの前記利用者IDに対して、サービスIDと認証器IDとの組が複数関連付けられている認証器対応情報、及び、前記利用者の前記利用者IDに基づいて、前記利用者が利用可能な前記サービスに対応する前記認証器を前記利用者に通知させる、
ことを特徴とする情報処理プログラム。
On the computer,
relaying authentication data relating to the authentication process between an authentication device that executes authentication processing of a user for a service and an authentication device corresponding to the service that is necessary for the authentication processing;
a user ID for identifying the user, a service ID for identifying the service, and an authenticator ID for identifying the authenticator are associated with each other, and based on authenticator correspondence information in which a plurality of pairs of service IDs and authenticator IDs are associated with one user ID, and based on the user ID of the user, the authenticator corresponding to the service available to the user is notified to the user;
2. An information processing program comprising:
JP2020151846A 2020-09-10 2020-09-10 Information processing device and information processing program Active JP7476738B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2020151846A JP7476738B2 (en) 2020-09-10 2020-09-10 Information processing device and information processing program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020151846A JP7476738B2 (en) 2020-09-10 2020-09-10 Information processing device and information processing program

Publications (2)

Publication Number Publication Date
JP2022046024A JP2022046024A (en) 2022-03-23
JP7476738B2 true JP7476738B2 (en) 2024-05-01

Family

ID=80779735

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020151846A Active JP7476738B2 (en) 2020-09-10 2020-09-10 Information processing device and information processing program

Country Status (1)

Country Link
JP (1) JP7476738B2 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001282998A (en) 2000-03-31 2001-10-12 Kyocera Communication Systems Co Ltd Service system
WO2007066480A1 (en) 2005-12-07 2007-06-14 Sharp Kabushiki Kaisha Authenticating apparatus, program and recording medium
JP2017055154A (en) 2015-09-07 2017-03-16 ヤフー株式会社 Generation device, terminal device, generation method, generation program, and authentication processing system
JP2020095687A (en) 2018-12-06 2020-06-18 富士通株式会社 Information processing device, information processing method, and information processing program

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001282998A (en) 2000-03-31 2001-10-12 Kyocera Communication Systems Co Ltd Service system
WO2007066480A1 (en) 2005-12-07 2007-06-14 Sharp Kabushiki Kaisha Authenticating apparatus, program and recording medium
JP2017055154A (en) 2015-09-07 2017-03-16 ヤフー株式会社 Generation device, terminal device, generation method, generation program, and authentication processing system
JP2020095687A (en) 2018-12-06 2020-06-18 富士通株式会社 Information processing device, information processing method, and information processing program

Also Published As

Publication number Publication date
JP2022046024A (en) 2022-03-23

Similar Documents

Publication Publication Date Title
US10326758B2 (en) Service provision system, information processing system, information processing apparatus, and service provision method
US10761793B2 (en) Information processing system and control method to execute a function of printer using local authentication information associated with the function on client device logging into cloud server
US10750050B2 (en) IMAGE PROCESSING APPARATUS, METHOD FOR CONTROLLING IMAGE Processing apparatus, program storage medium, system, and method for controlling system for use in biometric authentication
KR102778224B1 (en) Image forming apparatus having multi-factor authentication function
JP6942541B2 (en) Image forming device, its control method, and program
US20190129664A1 (en) Information processing apparatus including access point function, control method for controlling information processing apparatus, and storage medium
US20160026414A1 (en) Information processing apparatus that requires authentication of user, control method therefor, and storage medium
US12034891B2 (en) Mediation server mediating between terminal device and communication device
US11989313B2 (en) Printing apparatus, method for controlling printing apparatus, and storage medium
JP7589498B2 (en) Output system, information processing system, authentication method
JP6237740B2 (en) Security information update system, information processing apparatus, and security information update program
US20210182007A1 (en) Authentication system using a code with a mobile application
US11614904B2 (en) Printing device, information processing device, and control method and medium for the same
CN113196263B (en) User authentication system, user authentication server, and user authentication method
JP4922958B2 (en) Image forming apparatus, image forming method, and image forming program
JP7476738B2 (en) Information processing device and information processing program
JP5359127B2 (en) Authentication control apparatus, authentication control method, and program
US12363103B2 (en) Mobile terminal, control method, and storage medium
US12008277B2 (en) Image forming apparatus with having multi-factor authentication function executable for any kind of remote access for using image processing functions of the image forming apparatus, control method, and non-transitory computer-readable storage medium
JP6540642B2 (en) Authentication system and authentication method
JP2020154767A (en) Service providing device, service providing program, and service providing system
US10768873B1 (en) Authentication system for printing at a device using a mobile application
JP2018206087A (en) Information processing apparatus and information processing program
US20250071228A1 (en) Image forming apparatus, control method for image forming apparatus, server, control method for server and storage medium
JP6652074B2 (en) Authentication system and authentication method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230830

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20240313

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240319

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240401

R150 Certificate of patent or registration of utility model

Ref document number: 7476738

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150