[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP2012093801A - 権限委譲システム、権限委譲方法、認証装置、情報処理装置、制御方法、およびプログラム - Google Patents

権限委譲システム、権限委譲方法、認証装置、情報処理装置、制御方法、およびプログラム Download PDF

Info

Publication number
JP2012093801A
JP2012093801A JP2010237914A JP2010237914A JP2012093801A JP 2012093801 A JP2012093801 A JP 2012093801A JP 2010237914 A JP2010237914 A JP 2010237914A JP 2010237914 A JP2010237914 A JP 2010237914A JP 2012093801 A JP2012093801 A JP 2012093801A
Authority
JP
Japan
Prior art keywords
authority
user
processing
request
delegation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2010237914A
Other languages
English (en)
Other versions
JP5623234B2 (ja
Inventor
Tamotsu Tamura
存 田村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Priority to JP2010237914A priority Critical patent/JP5623234B2/ja
Priority to US13/227,808 priority patent/US8875245B2/en
Publication of JP2012093801A publication Critical patent/JP2012093801A/ja
Application granted granted Critical
Publication of JP5623234B2 publication Critical patent/JP5623234B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】委譲者が委譲可能な権限を知らない場合でも、委譲者が委譲する権限の範囲を指定して被委譲者である権限利用サービスに権限を委譲する。
【解決手段】ユーザが有する権限を、当該権限に応じて処理する第一の装置に対して処理を依頼する第二の装置に委譲する権限委譲システムに含まれる認証装置であって、前記第二の装置から権限委譲要求を受け付ける受付手段と、当該ユーザが有する権限の情報を記憶部から取得する取得手段と、前記取得手段にて取得した権限の情報を前記ユーザに提示し、当該ユーザが有する権限のうちいずれの権限を前記第二の装置に委譲するか否かの指示を受け付ける確認手段と、前記確認手段により、前記第二の装置に権限を委譲するとの指示を受け付けた場合、前記指示を一意に識別する識別子と前記ユーザが委譲すると指示した権限とを対応付けて記憶する記憶手段とを備える。
【選択図】図3

Description

ユーザの利便性を損なうことなく、保護されたユーザの権限を他の主体に委譲する権限委譲システム、権限委譲方法、認証装置、情報処理装置、制御方法、およびプログラムに関する。
従来、あるユーザが有する保護されたリソースに対する処理のアクセス権限を、他の主体に権限委譲する方法が提案されている。例えば、特許文献1では、権限委譲者であるユーザが有する保護されたリソースへのアクセス権限を、被委譲者である他のユーザに委譲する方法が提案されている。これは、保護されたリソースの所有者である権限委譲者が、そのリソースへのアクセスが許可された証拠としてのアクセストークンを取得し、取得したアクセストークンをリソースへのアクセスを希望する被委譲者に譲渡する事によって実現している。
またインターネット上で展開されるサービス間での連携への要望の高まりを受け、ユーザのアクセス権限を、他の主体に対して委譲するプロトコルが検討されている。例えば、IETF(The Internet Engineering Task Force)において検討されている、WRAP(OAuth Web Resource Authorization Profiles)などが挙げられる。
特開2006−221506号公報
しかしながら従来の方法では、アクセストークンを発行する主体はクライアントである。昨今注目されているクラウドサービスのように、インターネット上で展開されるサービスにおいて、クライアントは汎用なWebブラウザのみで利用できることが多く、クライアントに追加の機能を新たに持たせることは、その利便性を低下させることにつながる。そのため、従来の方式はインターネット上で展開されるサービスには適さない。
さらに従来の方法では、ユーザが権限を委譲する際に、どの権限であれば被委譲者に対して委譲することができるかユーザが知っておく必要があり、適切な権限委譲が困難という問題もあった。
本発明の目的は、クライアントアプリケーションを変更・追加することなく、また権限委譲者であるユーザが委譲可能な権限を知らない場合でも、権限委譲者が権限の範囲を指定して、被委譲者である権限利用サービスに権限を委譲することである。
上述した課題を解決するため、本発明は以下の構成を有する。すなわち、認証装置を備え、ユーザが有する権限を、当該権限に応じて処理を実行する第一の装置に対して処理を依頼する第二の装置に委譲する権限委譲システムであって、前記認証装置は、前記第二の装置から権限委譲要求を受け付ける受付手段と、当該ユーザが有する権限の情報を記憶部から取得する取得手段と、前記取得手段にて取得した権限の情報を前記ユーザに提示し、当該ユーザが有する権限のうちいずれの権限を前記第二の装置に委譲するか否かの指示を受け付ける確認手段と、前記確認手段により、前記第二の装置に権限を委譲するとの指示を受け付けた場合、前記指示を一意に識別する識別子と前記ユーザが委譲すると指示した権限とを対応付けて記憶する記憶手段と、ユーザからの前記指示に基づいた、権限の委譲を示す認証情報を前記第二の装置へ送信する送信手段とを備え、前記第一の装置は、前記第二の装置から処理依頼と前記認証情報とを受け付ける依頼受信手段と、前記認証情報を用いて、前記第二の装置がユーザからいずれの権限を委譲されたかを検証する検証手段と、前記検証手段による検証の結果、前記第二の装置が当該処理依頼に基づく処理を実行するための権限を委譲されていた場合、当該リソースへの処理依頼を実行する実行手段とを備える。
本発明によれば、クライアントアプリケーションを変更することなく、また権限委譲者があらかじめ委譲可能な権限を知らない場合でも、権限委譲者が委譲する権限の範囲を指定して、被委譲者である権限利用サービスに権限を委譲できる。
ネットワーク構成を示す図。 サービスを利用または提供するPCの構成を示す図。 本実施形態に係るサービス間の関連を示す図。 本実施形態に係る各サービスのモジュール構成を示す図。 本実施形態に係る文書管理サービス処理のフローを示す図。 本実施形態に係る権限委譲確認処理のフローを示す図。 本実施形態に係るアクセストークン発行処理のフローを示す図。 本実施形態に係る委譲許可された権限一覧の返却処理のフローを示す図。 本実施形態に係るプリントサービス処理のフローを示す図。 第二実施形態に係る各サービスのモジュール構成を示す図。 第二実施形態に係るアクセストークン発行処理のフローを示す図。 第二実施形態に係るプリントサービス処理のフローを示す図。 第三実施形態に係る各サービスのモジュール構成を示す図。 第三実施形態に係る文書管理サービス処理のフローを示す図。 第三実施形態に係る権限委譲確認処理のフローを示す図。 第三実施形態に係る必要権限確認処理のフローを示す図。
<第一実施形態>
[システム構成]
以下、本発明を実施するための形態について図面を用いて説明する。なお、本明細書において、所定のファイルや情報に対して有する権限を委譲する権限委譲者を単に委譲者、権限を委譲される側を被委譲者と記載する。なお、委譲者とは、権限を委譲する指示を行うユーザを意味するが、被委譲者とは、本実施形態において、当該権限を用いてサービスを提供する手段、もしくは装置を意味する。また、本実施形態において、“権限”と記載した場合は、特に明記しない限り、リソースに対するアクセス権限を意味する。つまり、ユーザのリソースに対する処理の実行可否に対する権限である。しかし、この方法に限定するものではなく、例えば、“権限”は、リソースごとに定義された権限ではなく、サービス提供装置が提供するサービス(機能)自体の利用可否に対する権限として扱っても構わない。また、両方の権限(サービスおよびリソースに対する権限)を扱えるように処理しても構わない。本実施形態に係る権限委譲システムは、図1に示すような構成のネットワーク上に実現される。
WAN(Wide Area Network)100は、本発明ではWWW(World Wide Web)システムが構築されている。LAN(Local Area Network)101は、各構成要素を接続する。
クライアントPC110は委譲者により操作され、提供される各サービスに対して指示を行う。権限委譲サービス120は、委譲者に権限委譲の許可を求め、委譲が許可された証拠となるアクセストークン(認証情報)を発行する。権限利用サービス130は、権限委譲サービス120からアクセストークンを受け取り、サービス提供サービス140に処理を依頼する。サービス提供サービス140は、権限利用サービス130からの要求に応えて処理を行う。またクライアントPC110、権限委譲サービス120、権限利用サービス130、およびサービス提供サービス140はそれぞれ、WANネットワーク100およびLAN101を介して接続されている。なお権限委譲サービス120、権限利用サービス130、およびサービス提供サービス140はそれぞれ個別のLAN上に構成されていてもよいし同一のLAN上に構成されていてもよい。また同一の装置上に構成されていてもよい。また、1つのサービスを複数の装置にて実現されても良い。なお、本明細書において、サービス提供サービス140(もしくはそのサービスを提供する装置)を第一の装置、権限利用サービス130(もしくはそのサービスを提供する装置)を第二の装置とも記載する。
クライアントPC110にて権限利用サービス130に対する処理要求が発生すると、権限利用サービス130は権限委譲サービス120に権限委譲を要求する。権限委譲要求を受けた権限委譲サービス120はクライアントPC110に対し、権限委譲の許可を求める。権限委譲の許可が得られると権限委譲サービス120は権限利用サービス130に対しアクセストークンを発行する。権限利用サービス130は受け取ったアクセストークンをサービス提供サービス140に渡し、処理を依頼する。
なお、本実施形態において、クライアントPC110を用いて、委譲者が各サービスに対して操作・指示を行う場合には、クライアントPC110が備えるWebブラウザ(不図示)を用いて行うものとする。
図2は本実施形態に係るサービスを利用するまたはサービスを提供する情報処理装置であるPCの構成を示す図である。尚、図2に示されるハードウェアブロック図は一般的な情報処理装置のハードウェアブロック図に相当するものとし、本実施形態のクライアントPC110には一般的な情報処理装置のハードウェア構成を適用できる。また、各サービスを提供する情報処理装置においても同様の構成を適用できる。
図2において、CPU201は、ROM203のプログラム用ROMに記憶された、或いはハードディスク211からRAM202にロードされたOSやアプリケーション等のプログラムを実行する。ここでOSとはコンピュータ上で稼動するオペレーティングシステムの略語であり、以下オペレーティングシステムのことをOSと呼ぶ。後述する各フローチャートの処理はこのプログラムの実行により実現できる。RAM202は、CPU201の主メモリ、ワークエリア等として機能する。キーボードコントローラ(KBC)205は、キーボード209やポインティングデバイス(不図示)からのキー入力を制御する。CRTコントローラ(CRTC)206は、CRTディスプレイ210の表示を制御する。ディスクコントローラ(DKC)207は各種データを記憶するハードディスク(HD)211やフロッピー(登録商標)ディスク(FD)等におけるデータアクセスを制御する。NC208はネットワークに接続されて、ネットワークに接続された他の機器との通信制御処理を実行する。
尚、後述の全ての説明において、特に明記しない限り、ハード上において処理の実行の主体はCPU201であり、ソフトウェア上の主体はハードディスク(HD)211にインストールされたアプリケーションプログラムである。
[サービス間連携]
以下では権限委譲サービス120として認証サービス400を想定している。また権限利用サービス130として文書管理サービス500を、サービス提供サービス140としてプリントサービス600を想定している。サービス間の関連を図3に示す。
委譲者はまず、Webブラウザを介して文書管理サービス500に、文書管理サービス500内の文書のプリントを指示する。文書管理サービス500は、委譲者に指定された文書データ(以下、単に文書)をプリントサービス600にプリント指示するため、認証サービス400に委譲者の権限委譲を要求する。権限が委譲されると文書管理サービス500は、委譲者に指定された文書を指定して、プリントサービス600にプリント指示を行う。プリントサービス600は、委譲者が委譲を許可した権限を確認し、文書管理サービス500に指定された文書のプリントを行う。なお権限委譲サービス120は認証サービス400に限定されるものではない。同様に権限利用サービス130は文書管理サービス500に限定されるものではなく、サービス提供サービス140もプリントサービス600に限定されるものではない。
[モジュール構成]
図4(A)は本実施形態に係る、認証サービス400のモジュール構成を示す図である。認証サービス400は権限委譲モジュール411、委譲確認モジュール412、および委譲許可識別子管理モジュール413を備える。更に、認証サービス400は、権限一覧取得モジュール414、委譲範囲管理モジュール415、アクセストークン発行モジュール421、および委譲範囲確認モジュール431を備える。
権限委譲モジュール411は、文書管理サービス500の要求に応じて委譲者が権限の委譲を許可した場合、その旨を示す委譲許可情報を文書管理サービス500に返す。この委譲許可情報を利用して、文書管理サービス500はリソースアクセスのためのアクセストークンを取得できる。委譲確認モジュール412は、権限一覧取得モジュール414で取得した権限を委譲者に提示し、委譲を許可された権限を委譲範囲管理モジュール415に渡して保管する。委譲範囲確認モジュール431は、プリントサービス600の要求に応じて、委譲者が委譲を許可した権限の範囲(種類)を返す。
図4(B)は本実施形態に係る、文書管理サービス500のモジュール構成を示す図である。文書管理サービス500は、ユーザ要求受信モジュール511、権限委譲要求モジュール512、アクセストークン要求モジュール513、サービス実行要求モジュール514、および結果通知モジュール515を備える。
ユーザ要求受信モジュール511は、委譲者の指示に基づくクライアントPC110からの指定文書プリント要求を受信する。本実施形態において、指定文書プリント要求を処理するには、プリントサービス600に対する委譲者の権限を必要とする。従って、権限委譲要求モジュール512は、認証サービス400に対して権限委譲を要求する。また、権限が委譲されるとアクセストークン要求モジュール513が認証サービス400に対してアクセストークンを要求する。サービス実行要求モジュール514は取得したアクセストークンをプリントサービス600に渡し、プリント処理の実行を要求する。そして、結果通知モジュール515はプリント結果をクライアントPC110に返す。
図4(C)は本実施形態に係る、プリントサービス600のモジュール構成を示す図である。プリントサービス600は、サービス利用要求受信モジュール611、アクセストークン検証モジュール612、委譲範囲検証モジュール613、およびサービス実施モジュール614を備える。
サービス利用要求受信モジュール611は、文書管理サービス500からのプリント処理依頼を受信する。アクセストークン検証モジュール612は、処理依頼時に渡されたアクセストークンの正当性を確認する。委譲範囲検証モジュール613は、認証サービス400に問い合わせ、文書管理サービス500からの処理依頼を実行するのに十分な権限が委譲されているか否かを判定する。例えば、文書管理サービス500がカラープリントを実施しようとしているのに対し、文書に対するカラープリント権限が委譲されたか否かを判定する。サービス実施モジュール614は、委譲者から十分な権限が委譲されていた場合に、サービス利用要求受信モジュール611が受信した処理依頼を実施する。
[文書管理サービス処理]
図5は本実施形態に係る、文書管理サービス500による文書管理サービス処理のフローを示す図である。なお本処理は、本実施形態において、文書管理サービス500が実現される装置が有するCPUが記憶部であるROM等に格納されたプログラムを実行することにより、実現される。
S1101で、ユーザ要求受信モジュール511は、委譲者が操作するクライアントPC110から、文書管理サービス500内の文書を指定したプリント実行の要求を受け付ける。ここでユーザ要求受信モジュール511は、委譲者の要求の内容を確認する。たとえばここで委譲者の要求がプリント処理を含むものであった場合、ユーザ要求受信モジュール511はプリントサービス600を利用する必要があると判断する。
S1102で、権限委譲要求モジュール512は、S1101でプリントサービス600に対する権限が必要と判断されたため、認証サービス400に権限委譲を要求する。S1103で、権限委譲要求モジュール512は、認証サービス400の権限委譲モジュール411から権限委譲要求の結果を受信する。
S1104で、権限委譲要求モジュール512は、S1103で受信した権限委譲要求の結果を確認し、権限が委譲されている場合(S1104にてYES)は、S1105に遷移する。権限が委譲されていない場合(S1104にてNO)は、S1150に遷移する。
S1105で、アクセストークン要求モジュール513は、認証サービス400に、S1103で受信した委譲者に権限の委譲を許可されたことを示す委譲許可情報を送信してリソースアクセスのためのアクセストークンを要求する。S1106で、アクセストークン要求モジュール513は、S1105のアクセストークン要求の結果を受信する。
S1107で、アクセストークン要求モジュール513は、S1106にて受信したアクセストークン要求の結果を確認する。このとき、アクセストークンが発行されている場合(S1107にてYES)は、S1108に遷移する。またアクセストークンが発行されていない場合(S1107にてNO)は、S1151に遷移する。
S1108でサービス実行要求モジュール514は、S1106で受信したアクセストークンをプリントサービス600に渡し、S1101で委譲者に指定された文書のプリントを依頼する。このとき、処理依頼のデータに、文書そのものを含めても良いし、文書の格納先の情報を含めても良い。S1109でサービス実行要求モジュール514は、S1108でプリントサービス600のプリント処理結果を受信する。S1110で結果通知モジュール515は、S1109で受信した結果を、委譲者が操作するクライアントPC110に通知し、フローを終了する。
S1150で権限委譲要求モジュール512は、権限委譲が実行されなかったために、委譲者が操作するクライアントPC110から受信した処理を達成できなかった旨を、クライアントPC110に通知し、フローを終了する。
S1151でアクセストークン要求モジュール513は、トークンが発行されなかったために、委譲者が操作するクライアントPC110から受信した処理を達成できなかった旨を、委譲者が操作するクライアントPC110に通知し、フローを終了する。
[権限委譲確認処理]
図6は本実施形態に係る、権限委譲要求を受けた認証サービス400による権限委譲確認処理のフローを示す図である。なお本処理は、本実施形態において、認証サービス400が実現される装置が有するCPUが記憶部であるROM等に格納されたプログラムを実行することにより、実現される。
S1201で権限委譲モジュール411は、文書管理サービス500からの権限委譲要求を受け付ける。本工程は、図5のS1102に対応する。これにより、受付手段を実現する。S1202で権限一覧取得モジュール414は、プリントサービス600に対する委譲者の権限一覧を取得する。ここで用いられる権限一覧とは、例えば、委譲者がプリントサービス600に対してカラープリント権限、モノクロプリント権限を有する場合、取得した権限一覧にはカラープリント権限およびモノクロプリント権限が含まれる。S1203で委譲確認モジュール412は、委譲者が操作するクライアントPC110に対し、委譲者の権限一覧を提示するとともに、どの権限の委譲を許可するかを問い合わせる。つまり、委譲者に対して、権限一覧を提示し、委譲者がどの権限を委譲するかを指示できるUIを提供する。このとき、委譲者が有する権限をすべて委譲するようにしてもよいし、セキュリティの観点から一部のみを委譲するようにしても構わない。例えばここで、カラープリント権限およびモノクロプリント権限それぞれについて委譲を許可するかを委譲者に問い合わせる。
S1204で委譲確認モジュール412は、S1203で権限が委譲されたか否かを判定し、委譲されている場合(S1204にてYES)は、S1205に遷移する。また委譲されていない場合(S1204にてNO)は、S1250に遷移する。例えば、権限一覧として提示した中から、カラープリント権限もしくはモノクロプリント権限の少なくとも一方の委譲が委譲者から許可されていた場合は、S1205に遷移する。いずれの権限の委譲も許可されていなかったら、S1250に遷移する。
S1205で、委譲許可識別子管理モジュール413が、委譲を許可された委譲許可識別子を記憶する。例えばここでカラープリント権限の委譲が許可されていた場合、カラープリント権限の委譲が許可されたことを一意に識別するための識別子として、委譲許可識別子を記憶する。なお委譲許可識別子は、委譲許可要求に先立ち文書管理サービス500が生成し、S1201で権限委譲モジュール411が受信した権限委譲要求に含めて送っていてもよい。またS1203で権限が委譲されていた場合に認証サービス400が生成したものでもよい。またそれらのいずれに限定されるものでもない。また、委譲許可識別子のデータ構造についても、例えば特定の桁数として、シーケンシャルに付与しても良いし、ランダムに付与しても良い。
S1206で、委譲範囲管理モジュール415は、S1203で委譲者から委譲を許可された権限を、S1205で記憶された委譲許可識別子に対応付けて記憶する。例えばここでは、カラープリント権限が委譲されるとして、その情報を委譲許可識別子と紐付けて記憶する。S1207で権限委譲モジュール411は、S1205で記憶された委譲許可識別子を含む委譲許可情報を文書管理サービス500に送信し、フローを終了する。
S1250で権限委譲モジュール411は、委譲者の指示により権限委譲が拒否された旨を文書管理サービス500に通知し、本フローを終了する。
[アクセストークン発行処理]
図7は本実施形態に係る、アクセストークン発行要求を受けた認証サービス400によるアクセストークン発行処理のフローを示す図である。なお本処理は、本実施形態において、認証サービス400が実現される装置が有するCPUが記憶部であるROM等に格納されたプログラムを実行することにより、実現される。
S1301で、権限委譲モジュール411は、文書管理サービス500からアクセストークン発行要求を受信する。本工程は図6のS1103に対応する。S1302で、権限委譲モジュール411は、S1301のアクセストークン発行要求に含まれる委譲許可識別子が、委譲許可識別子管理モジュール413に記憶されているか否かを確認する。
S1303で、権限委譲モジュール411は、S1302で委譲許可識別子が記憶されていたか否かを判定し、記憶されている場合(S1303にてYES)は、S1304に遷移する。また記憶されていない場合(S1303にてNO)は、S1350に遷移する。
S1304で、アクセストークン発行モジュール421は、アクセストークンを発行し、文書管理サービス500にアクセストークンを送信してフローを終了する。なお、アクセストークンには、委譲された権限を識別するための委譲許可識別子が含まれて発行されているものとする。S1350でアクセストークン発行モジュール421は、アクセストークンを発行できない旨を文書管理サービス500に通知してフローを終了する。
[権限一覧返却処理]
図8は本実施形態に係る、委譲許可された権限の一覧を要求された認証サービス400による権限一覧返却処理のフローを示す図である。なお本処理は、本実施形態において、認証サービス400が実現される装置が有するCPUが記憶部であるROM等に格納されたプログラムを実行することにより、実現される。
S1401で、委譲範囲確認モジュール431は、プリントサービス600から権限一覧の問い合わせを受ける。S1402で、委譲範囲確認モジュール431は、S1401にて受けた問い合わせに含まれる委譲許可識別子を委譲範囲管理モジュール415に渡し、委譲許可された権限一覧を取得する。S1403で、委譲範囲確認モジュール431は、プリントサービス600に取得した権限一覧を送信し、フローを終了する。
[プリントサービス処理]
図9は本実施形態に係る、処理依頼を受けたプリントサービス600によるプリントサービス処理のフローを示す図である。なお本処理は、本実施形態において、プリントサービス600が実現される装置が有するCPUが記憶部であるROM等に格納されたプログラムを実行することにより、実現される。
S1501でサービス利用要求受信モジュール611は、文書管理サービス500からアクセストークンとともにプリント依頼を受信する。これにより、依頼受信手段を実現する。S1502でアクセストークン検証モジュール612は、S1501で受信したアクセストークンの正当性を確認する。ここでアクセストークンを認証サービス400に渡し、アクセストークンの正当性を確認してもよい。またプリントサービス600と認証サービス400との間で事前に鍵交換するなどして、アクセストークンに電子署名することで当該アクセストークンの正当性を確認してもよい。またそのいずれに限定されるものでもない。
S1503で、アクセストークン検証モジュール612は、S1502でアクセストークンが正当であったか否かを判定し、正当であれば(S1503にてYES)、S1504に遷移する。また正当でなければ(S1503にてNO)、S1550に遷移する。
S1504で、委譲範囲検証モジュール613は、S1501で受信したアクセストークンに含まれる委譲許可識別子を認証サービス400に渡し、委譲を許可された権限の一覧を要求する。この際、認証サービス400にて、図8に示した処理が行われる。S1505で委譲範囲検証モジュール613は、委譲を許可された権限の一覧を取得する。
S1506で、委譲範囲検証モジュール613は、S1505で受信した権限の一覧が、S1501で受信した処理依頼を実行するのに十分か否かを判定する。判定の結果、権限が十分であれば(S1506にてYES)、S1507に遷移する。また処理を実行するのに権限が十分でなければ(S1506にてNO)、S1551に遷移する。
S1507で、サービス実施モジュール614は、S1501で受信した処理依頼を処理し、結果を文書管理サービス500に返す。S1508で、委譲範囲検証モジュール613は、S1505で、受信した権限の一覧の削除を認証サービス400に依頼し、フローを終了する。
S1550でアクセストークン検証モジュール612は、アクセストークンが不正で処理を実行できない旨を文書管理サービス500に通知し、フローを終了する。S1551で、委譲範囲検証モジュール613は、権限不足のため処理を実行できない旨を文書管理サービス500に通知し、フローを終了する。
なお、認証サービス400の委譲範囲管理モジュール415は、プリントサービス600から権限一覧の削除を依頼された後(図12のS1508)、記憶していた識別子および権限一覧を削除する。
本実施形態によれば、クライアントPC110が備えるクライアントアプリケーションを変更・追加することなく、また委譲者が委譲可能な権限を把握していない場合でも、委譲者が権限の範囲を指定して、被委譲者である権限利用サービスに権限を委譲できる。
<第二実施形態>
次に、本発明を実施するための第二実施形態について図面を用いて説明する。第一実施形態では、権限委譲サービス120(認証サービス400)が、委譲者が委譲した権限に対するサービス提供サービス140(プリントサービス600)からの問い合わせに対応するため、追加の記憶領域が必要になる。これに対し、第二実施形態では、この記憶領域なしに、委譲する権限の範囲を指定した権限委譲を可能とする。
[モジュール構成]
図10は本実施形態に係る各モジュールの構成を示した図である。まず、図4に示した第一実施形態における各モジュールとの構成の差分を述べる。
図10(A)は本実施形態に係る、認証サービス400のモジュール構成を示す図である。認証サービス400は第2のアクセストークン発行モジュール441を備える。これに対し、本実施形態の認証サービス400は、第一実施形態の図4(A)にて示したアクセストークン発行モジュール421および委譲範囲確認モジュール431を備えていない。図10(B)は本実施形態に係る、プリントサービス600のモジュール構成を示す図である。プリントサービス600は第2の委譲範囲検証モジュール621を備える。これに対し、本実施形態のプリントサービス600は、第一実施形態の図4(C)にて示した委譲範囲検証モジュール613を備えていないものとする。
[アクセストークン発行処理]
図11は本実施形態に係る、アクセストークン発行要求を受けた認証サービス400のフローを示す図である。なお本処理は、本実施形態において、認証サービス400が実現される装置が有するCPUが記憶部であるROM等に格納されたプログラムを実行することにより、実現される。なお、図7と同様のフローにおいては、同じ符号を付与しており、以下、差異部分のみ説明する。なお、本実施形態においてアクセストークンと記載する場合は、特に明記しない限りは第2のアクセストークン発行モジュール441が発行する第2のアクセストークンを意味する。
S1303で、権限委譲モジュール411は、S1302で権限委譲を許可された委譲許可識別子が記憶されていたか否かを判定し、記憶されていれば(S1303にてYES)、S2301に遷移する。また記憶されていなければ(S1303にてNO)、S1350に遷移する。ここで、委譲許可識別子が記憶されている場合には、委譲者によって少なくとも一部の権限委譲が許可されていることを意味する。
S2301で第2のアクセストークン発行モジュール441は、S1301で受信した委譲許可識別子を用い、委譲範囲管理モジュール415から委譲を許可された権限の一覧を取得する。S2302で第2のアクセストークン発行モジュール441は、S2301で取得した権限の一覧を含む第2のアクセストークンを発行する。そして、委譲範囲管理モジュール415は、発行された第2のアクセストークンに対応する権限一覧の情報を削除する。S2303で第2のアクセストークン発行モジュール441は、S2302で発行した第2のアクセストークンを文書管理サービス500に送信し、フローを終了する。
[プリントサービス処理]
図12は本実施形態に係る、処理依頼を受けたプリントサービス600によるプリントサービス処理のフローを示す図である。なお本処理は、本実施形態において、プリントサービス600が実現される装置が有するCPUが記憶部であるROM等に格納されたプログラムを実行することにより、実現される。なお、図9と同様のフローにおいては、同じ符号を付与しており、以下、差異部分のみ説明する。
S1503でアクセストークン検証モジュール612は、S1502でアクセストークンが正当であったか否かを判定し、正当であれば(S1503にてYES)、S2501に遷移する。また正当でなければ(S1503にてNO)、S1550に遷移する。S2501で、第2の委譲範囲検証モジュール621は、S1501で受信した第2のアクセストークンに含まれる、委譲を許可された権限の一覧を取得し、S1506に遷移する。
なお、第一実施形態の図9に示した処理では、S1508にて権限一覧の削除依頼を行っているが、本実施形態では、認証サービス400にてアクセストークンの発行・送信後に削除されるため、この処理は行われない。
以上のように、第二実施形態では、権限委譲の際に文書管理サービス500に送信されるアクセストークン(本実施形態では、第2のアクセストークン)に委譲された権限一覧を含めて発行する。
なお、上記構成により、プリントサービス600からの問い合わせ(図9のS1504に相当)が生じず、この問い合わせの処理のための記憶領域(権限一覧を保持するための領域)は必要とされない。
第二実施形態によれば、第一実施形態の効果に加え、権限委譲サービスは、委譲者が委譲した権限を記憶・保持するための追加の記憶領域なしに、委譲する権限の範囲を指定した権限委譲が可能になる。
<第三実施形態>
次に、本発明を実施するための第三実施形態について図面を用いて説明する。第三実施形態においては、ユーザが処理を依頼する場合に、ユーザが有する権限ではその処理が実行できないことが想定される。その場合において、本実施形態では、ユーザが有する権限にて実行できる範囲の処理を提示し、その提示した処理の中から選択された処理に基づいて権限の委譲を行う。
[モジュール構成]
図13は本実施形態に係る各モジュールの構成を示した図である。まず、図4に示した第一実施形態における各モジュールとの構成の差分を述べる。
図13(A)は本実施形態に係る、認証サービス400のモジュール構成を示す図である。認証サービス400は第2の権限委譲モジュール451と第2の委譲確認モジュール452を備える。これに対し、本実施形態の認証サービス400は、第一実施形態の図4(A)にて示した委譲確認モジュール412を備えていない。
図13(B)は本実施形態に係る、文書管理サービス500のモジュール構成を示す図である。文書管理サービス500は必要権限確認モジュール521と第2の権限委譲要求モジュール522を備える。これに対し、本実施形態の文書管理サービス500は、第一実施形態の図4(B)にて示した権限委譲要求モジュール512を備えていない。
図13(C)は本実施形態に係る、プリントサービス600のモジュール構成を示す図である。プリントサービス600は必要権限判断モジュール631と代替権限判断モジュール632を備える。
[文書管理サービス処理]
図14は本実施形態に係る、文書管理サービス500による文書管理サービス処理のフローを示す図である。なお本処理は、本実施形態において、文書管理サービス500が実現される装置が有するCPUが記憶部であるROM等に格納されたプログラムを実行することにより、実現される。なお、図5と同様のフローにおいては、同じ符号を付与しており、以下、差異部分のみ説明する。
S1101で、ユーザ要求受信モジュール511は委譲者の指示によりクライアントPC110から、文書管理サービス500内の文書を指定したプリント実行の要求を受け付ける。S3101で必要権限確認モジュール521は、S1101で受信した処理内容をプリントサービス600に通知し、プリントサービス600から処理に必要な権限の情報を取得する。このプリントサービス600に対する処理を実行するための権限の確認依頼に対し、例えば、権限一覧に相当する情報を取得しても構わない。なお、プリントサービス600が提供する各種処理に必要な権限の情報は、予めプリントサービス600が保持しているものとする。S3102で第2の権限委譲要求モジュール522は、S3101で受信した必要な権限の情報とあわせて、認証サービス400に権限委譲を要求し、S1103に遷移する。
[権限委譲確認処理]
図15は本実施形態に係る、権限委譲要求を受けた認証サービス400による権限委譲確認処理のフローを示す図である。なお本処理は、本実施形態において、認証サービス400が実現される装置が有するCPUが記憶部であるROM等に格納されたプログラムを実行することにより、実現される。なお、図6と同様のフローにおいては、同じ符号を付与しており、以下、差異部分のみ説明する。
S1201で、第2の権限委譲モジュール451は、文書管理サービス500からの権限委譲要求を受け付ける。このとき、文書管理サービス500がプリントサービスから取得した権限の情報も併せて取得する(図14のS3102に対応)。S3201で、第2の権限委譲モジュール451は、文書管理サービス500が委譲を求める権限を、S3201で受信した権限委譲要求から取り出す。S1202で、権限一覧取得モジュール414は、プリントサービス600に対する委譲者の権限一覧を取得し、S3202に遷移する。S3202で、第2の委譲確認モジュール452は、S1202で取得した委譲者の権限一覧と、S3201で取り出した権限の情報とを、委譲者が操作するクライアントPC110に提示する。本実施形態において、Webブラウザを介したUIを提供する。ここで委譲者がどの権限を文書管理サービス500に委譲するかを確認し、S1204に遷移する。
[プリントサービス処理]
図16は本実施形態に係る、必要権限の確認を受けたプリントサービス600によるプリントサービス処理のフローを示す図である。なお本処理は、本実施形態において、プリントサービス600が実現される装置が有するCPUが記憶部であるROM等に格納されたプログラムを実行することにより、実現される。また、本処理は、図14のS3101にて文書管理サービス500からの問い合わせに対応して実行される。
S3601で、必要権限判断モジュール631は、文書管理サービス500から処理に必要な権限の問い合わせを受信する。S3602で、必要権限判断モジュール631は、S3601で受信した処理内容から、その処理に必要な権限を判断する。S3603で、必要権限判断モジュール631は、S3601で受信した処理を依頼した委譲者の権限の情報を認証サービス400から取得する。このとき、認証サービス400は、第一実施形態にて述べた図8の処理を実行する。これにより、権限取得手段を実現する。
S3604で、必要権限判断モジュール631は、S3603で取得した委譲者の権限の情報と処理に必要な権限とを比較することにより、S3602で判断した必要権限に対して充足しているか否かを判定する。判定の結果、権限が充足していれば(S3604にてYES)、S3605に遷移する。また処理に必要な権限が不足していて充足していなければ、(S3604にてNO)、S3610に遷移する。例えばここで、必要な権限はカラー印刷権限であったが、委譲者が有する権限にはカラー印刷権限がなかった場合、処理に対する権限不足と判定され、S3610に遷移する。
S3605で、必要権限判断モジュール631は、S3602で判断した必要権限を文書管理サービス500に送信し、フローを終了する。S3610で代替権限判断モジュール632は、S3603で取得した委譲者の権限のうち、S3602で判断された必要権限の代替となる権限を判定する。例えばここで、処理に必要な権限はカラー印刷権限であったとする。それに対し委譲者は、カラー印刷権限は有さないが、モノクロ印刷権限は有しているとする。そこでS3602では、代替の権限としてモノクロ印刷権限を取り上げる。そして、代替となると判定された権限を文書管理サービス500に送信し、フローを終了する。
なお、文書管理サービス500は、プリントサービス600にて送信された代替となる権限を図14に示すS3102にて受信し、その結果に応じて権限委譲を要求する。
本実施形態によれば、委譲者は、権限利用サービスが要求する権限を考慮した上で権限委譲することが可能になる。また処理を要求する委譲者の権限が不足している場合に、代替となる権限を委譲者に提示することで、委譲者が望むのに近い結果を得られる権限の委譲が可能になる。
<その他の実施形態>
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(またはCPUやMPU等)がプログラムを読み出して実行する処理である。

Claims (12)

  1. 認証装置を備え、ユーザが有する権限を、当該権限に応じて処理を実行する第一の装置に対して処理を依頼する第二の装置に委譲する権限委譲システムであって、
    前記認証装置は、
    前記第二の装置から権限委譲要求を受け付ける受付手段と、
    当該ユーザが有する権限の情報を記憶部から取得する取得手段と、
    前記取得手段にて取得した権限の情報を前記ユーザに提示し、当該ユーザが有する権限のうちいずれの権限を前記第二の装置に委譲するか否かの指示を受け付ける確認手段と、
    前記確認手段により、前記第二の装置に権限を委譲するとの指示を受け付けた場合、前記指示を一意に識別する識別子と前記ユーザが委譲すると指示した権限とを対応付けて記憶する記憶手段と、
    前記ユーザからの前記指示に基づいた、権限の委譲を示す認証情報を前記第二の装置へ送信する送信手段と
    を備え、
    前記第一の装置は、
    前記第二の装置から処理依頼と前記認証情報とを受け付ける依頼受信手段と、
    前記認証情報を用いて、前記第二の装置がユーザからいずれの権限を委譲されたかを検証する検証手段と、
    前記検証手段による検証の結果、前記第二の装置が当該処理依頼に基づく処理を実行するための権限を委譲されていた場合、当該処理依頼に基づく処理を実行する実行手段と、
    を備えることを特徴とする権限委譲システム。
  2. 前記認証装置は、前記認証情報としてアクセストークンを発行する発行手段を更に備え、
    前記第一の装置の検証手段は、前記アクセストークンを用いて、前記第二の装置がユーザからいずれの権限を委譲されたかを検証することを特徴とする請求項1に記載の権限委譲システム。
  3. 前記認証装置の発行手段は、前記記憶手段にて記憶した前記識別子を含めてアクセストークンを発行し、
    前記第一の装置の検証手段は、当該アクセストークンに含まれる識別子を用いて、前記認証装置に問い合わせ、前記第二の装置がユーザからいずれの権限を委譲されたかを検証する
    ことを特徴とする請求項2に記載の権限委譲システム。
  4. 前記認証装置の発行手段は、前記記憶手段にて記憶したユーザが委譲すると指示した権限の情報を含めてアクセストークンを発行し、
    前記第一の装置の検証手段は、当該アクセストークンに含まれる権限の情報を用いて、前記第二の装置がユーザからいずれの権限を委譲されたかを検証する
    ことを特徴とする請求項2に記載の権限委譲システム。
  5. 前記第一の装置は、
    前記第二の装置から受け付けた処理依頼に基づく処理を実行するために必要な権限の確認依頼に対し、当該第一の装置が当該処理依頼に基づく処理を実行するために必要な権限を判断する権限判断手段と、
    前記認証装置から当該ユーザが有する権限の情報を取得する権限取得手段と、
    前記権限判断手段により判断された当該処理依頼に基づく処理を実行するために必要な権限と、前記権限取得手段により取得された権限の情報に基づく当該ユーザが有する権限とを比較する比較手段と、
    当該処理依頼に基づく処理に必要な権限を提示する提示手段と
    を更に有し、
    前記提示手段は、
    前記比較手段により、当該第一の装置が前記処理依頼に基づく処理を実行するために必要な権限が、前記ユーザが有する権限に含まれない場合、当該処理依頼に基づく処理の代替となりうる処理、および当該代替となりうる処理を実行するために必要な権限を提示し、
    前記比較手段により、当該第一の装置が前記処理依頼に基づく処理を実行するために必要な権限が、前記ユーザが有する権限に含まれる場合、当該処理依頼に基づく処理を実行するために必要な権限を提示する
    ことを特徴とする請求項1乃至4のいずれか一項に記載の権限委譲システム。
  6. ユーザが有する権限を、当該権限に応じて処理を実行する第一の装置に対して処理を依頼する第二の装置に委譲する権限委譲システムに含まれる認証装置であって、
    前記第二の装置から権限委譲要求を受け付ける受付手段と、
    当該ユーザが有する権限の情報を記憶部から取得する取得手段と、
    前記取得手段にて取得した権限の情報を前記ユーザに提示し、当該ユーザが有する権限のうちいずれの権限を前記第二の装置に委譲するか否かの指示を受け付ける確認手段と、
    前記確認手段により、前記第二の装置に権限を委譲するとの指示を受け付けた場合、前記指示を一意に識別する識別子と前記ユーザが委譲すると指示した権限とを対応付けて記憶する記憶手段と、
    前記ユーザからの前記指示に基づいた、権限の委譲を示す認証情報を前記第二の装置へ送信する送信手段と
    を備えることを特徴とする認証装置。
  7. 認証装置を備え、ユーザが権限を、当該権限に応じて処理を実行する第一の装置に対して処理を依頼する第二の装置に委譲する権限委譲システムにおける第一の装置としての情報処理装置であって、
    前記第二の装置から、処理依頼と前記認証装置が発行した認証情報とを受け付ける依頼受信手段と、
    前記認証情報を用いて、前記第二の装置がユーザからいずれの権限を委譲されたかを検証する検証手段と、
    前記検証手段による検証の結果、前記第二の装置が当該処理依頼に基づく処理を実行するための権限を委譲されていた場合、当該処理依頼に基づく処理を実行する実行手段と、
    を備えることを特徴とする情報処理装置。
  8. 認証装置を備え、ユーザが有する権限を、当該権限に応じて処理を実行する第一の装置に対して処理を依頼する第二の装置に委譲する権限委譲システムにおける権限委譲方法であって、
    前記認証装置において、
    受付手段が、前記第二の装置から権限委譲要求を受け付ける受付工程と、
    取得手段が、当該ユーザが有する権限の情報を記憶部から取得する取得工程と、
    確認手段が、前記取得工程にて取得した権限の情報を前記ユーザに提示し、当該ユーザが有する権限のうちいずれの権限を前記第二の装置に委譲するか否かの指示を受け付ける確認工程と、
    記憶手段が、前記確認工程において、前記第二の装置に権限を委譲するとの指示を受け付けた場合、前記指示を一意に識別する識別子と前記ユーザが委譲すると指示した権限とを対応付けて記憶部に記憶させる記憶工程と、
    送信手段が、前記ユーザからの前記指示に基づいた、権限の委譲を示す認証情報を前記第二の装置へ送信する送信工程と
    を有し、
    前記第一の装置において、
    依頼受信手段が、前記第二の装置から処理依頼と前記認証情報とを受け付ける依頼受信工程と、
    検証手段が、前記認証情報を用いて、前記第二の装置がユーザからいずれの権限を委譲されたかを検証する検証工程と、
    実行手段が、前記検証工程における検証の結果、前記第二の装置が当該処理依頼に基づく処理を実行するための権限を委譲されていた場合、当該処理依頼に基づく処理を実行する実行工程と、
    を有することを特徴とする権限委譲方法。
  9. ユーザが有する権限を、当該権限に応じて処理を実行する第一の装置に対して処理を依頼する第二の装置に委譲する権限委譲システムに含まれる認証装置の制御方法であって、
    受付手段が、前記第二の装置から権限委譲要求を受け付ける受付工程と、
    取得手段が、当該ユーザが有する権限の情報を記憶部から取得する取得工程と、
    確認手段が、前記取得工程にて取得した権限の情報を前記ユーザに提示し、当該ユーザが有する権限のうちいずれの権限を前記第二の装置に委譲するか否かの指示を受け付ける確認工程と、
    記憶手段が、前記確認工程において、前記第二の装置に権限を委譲するとの指示を受け付けた場合、前記指示を一意に識別する識別子と前記ユーザが委譲すると指示した権限とを対応付けて記憶部に記憶させる記憶工程と、
    送信手段が、前記ユーザからの前記指示に基づいた、権限の委譲を示す認証情報を前記第二の装置へ送信する送信工程と
    を有することを特徴とする制御方法。
  10. 認証装置を備え、ユーザが有する権限を、当該権限に応じて処理を実行する第一の装置に対して処理を依頼する第二の装置に委譲する権限委譲システムにおける第一の装置の制御方法であって、
    依頼受信手段が、前記第二の装置から処理依頼と前記認証装置が発行した認証情報とを受け付ける依頼受信工程と、
    検証手段が、前記認証情報を用いて、前記第二の装置がユーザからいずれの権限を委譲されたかを検証する検証工程と、
    実行手段が、前記検証工程における検証の結果、前記第二の装置が当該処理依頼に基づく処理を実行するための権限を委譲されていた場合、当該処理依頼に基づく処理を実行する実行工程と、
    を有することを特徴とする制御方法。
  11. コンピュータを、
    情報処理装置から権限委譲要求を受け付ける受付手段、
    ユーザが有する権限の情報を記憶部から取得する取得手段、
    前記取得手段にて取得した権限の情報を前記ユーザに提示し、当該ユーザが有する権限のうちいずれの権限を前記情報処理装置に委譲するか否かの指示を受け付ける確認手段、
    前記確認手段により、前記情報処理装置に権限を委譲するとの指示を受け付けた場合、前記指示を一意に識別する識別子と前記ユーザが委譲すると指示した権限とを対応付けて記憶する記憶手段、
    前記ユーザからの前記指示に基づいた、権限の委譲を示す認証情報を前記情報処理装置へ送信する送信手段
    として機能させるためのプログラム。
  12. コンピュータを、
    情報処理装置から処理依頼と認証装置が発行した認証情報とを受け付ける依頼受信手段、
    前記認証情報を用いて、前記情報処理装置がユーザからいずれの権限を委譲されたかを検証する検証手段、
    前記検証手段による検証の結果、前記情報処理装置が当該処理依頼に基づく処理を実行するための権限を委譲されていた場合、当該処理依頼に基づく処理を実行する実行手段、
    として機能させるためのプログラム。
JP2010237914A 2010-10-22 2010-10-22 権限委譲システム、権限委譲方法、情報処理装置およびその制御方法、並びにプログラム Expired - Fee Related JP5623234B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2010237914A JP5623234B2 (ja) 2010-10-22 2010-10-22 権限委譲システム、権限委譲方法、情報処理装置およびその制御方法、並びにプログラム
US13/227,808 US8875245B2 (en) 2010-10-22 2011-09-08 Authority delegating system, authority delegating method, authentication apparatus, information processing apparatus, control method, and computer-readable medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010237914A JP5623234B2 (ja) 2010-10-22 2010-10-22 権限委譲システム、権限委譲方法、情報処理装置およびその制御方法、並びにプログラム

Publications (2)

Publication Number Publication Date
JP2012093801A true JP2012093801A (ja) 2012-05-17
JP5623234B2 JP5623234B2 (ja) 2014-11-12

Family

ID=45974129

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010237914A Expired - Fee Related JP5623234B2 (ja) 2010-10-22 2010-10-22 権限委譲システム、権限委譲方法、情報処理装置およびその制御方法、並びにプログラム

Country Status (2)

Country Link
US (1) US8875245B2 (ja)
JP (1) JP5623234B2 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014038608A (ja) * 2012-08-20 2014-02-27 Naver Corp 認証共有によるアプリケーションログインシステム、方法およびコンピュータ読み取り可能な記録媒体
JP2014067378A (ja) * 2012-09-27 2014-04-17 Canon Inc 認可サーバーシステム、権限移譲システム、その制御方法、およびプログラム
JP2014092823A (ja) * 2012-10-31 2014-05-19 Ricoh Co Ltd システム及びサービス提供装置
JP2017084378A (ja) * 2016-12-07 2017-05-18 株式会社リコー クラウドサービス提供システム及びクラウドサービス提供方法
JP2017151514A (ja) * 2016-02-22 2017-08-31 富士ゼロックス株式会社 プログラム及び情報処理装置

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5562143B2 (ja) * 2010-06-28 2014-07-30 キヤノン株式会社 権限委譲システム、権限委譲方法、情報処理装置、及びプログラム
JP5870679B2 (ja) * 2011-12-22 2016-03-01 ブラザー工業株式会社 プリンタ
US9098675B1 (en) * 2012-09-13 2015-08-04 Amazon Technologies, Inc. Authorized delegation of permissions
US9641344B1 (en) * 2013-09-20 2017-05-02 Mobile Iron, Inc. Multiple factor authentication in an identity certificate service
US9858016B2 (en) 2014-04-08 2018-01-02 Hewlett-Packard Development Company, L.P. Providing device functionality utilizing authorization tokens
JP6168415B2 (ja) * 2014-05-27 2017-07-26 パナソニックIpマネジメント株式会社 端末認証システム、サーバ装置、及び端末認証方法
US9635010B2 (en) 2014-06-13 2017-04-25 Verizon Patent And Licensing Inc. Network-based authentication for third party content
EP3418893B1 (en) * 2016-02-15 2021-12-22 Fujitsu Limited Process control program, process control method, information processing device, and communication device
JP6882641B2 (ja) * 2016-08-23 2021-06-02 富士フイルムビジネスイノベーション株式会社 情報処理装置及びプログラム
CN109661794B (zh) * 2016-09-02 2022-08-09 亚萨合莱有限公司 一种用于控制对访问对象的访问的方法及设备
US10043036B1 (en) * 2017-08-22 2018-08-07 TokenEx, LLC Systems and methods for tokenization to support pseudononymization of sensitive data
WO2019195143A1 (en) * 2018-04-05 2019-10-10 Visa International Service Association System, method, and apparatus for authenticating a user
US10742646B2 (en) * 2018-05-10 2020-08-11 Visa International Service Association Provisioning transferable access tokens
FI3671663T3 (fi) * 2018-12-20 2024-09-11 Assa Abloy Ab Yhteisallekirjoitusvaltuutukset
JP7301668B2 (ja) 2019-08-07 2023-07-03 キヤノン株式会社 システム、制御方法、プログラム
JP2021077040A (ja) 2019-11-07 2021-05-20 キヤノン株式会社 権限委譲システム、サーバ及びその制御方法、並びにプログラム
CN116232778B (zh) * 2023-05-10 2023-09-12 北京芯盾时代科技有限公司 一种权限处理方法、装置、电子设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050120211A1 (en) * 2003-11-27 2005-06-02 Canon Kabushiki Kaisha Server apparatus, client apparatus, object administration system, object administration method, computer program, and storage medium
JP2006221506A (ja) * 2005-02-14 2006-08-24 Hitachi Software Eng Co Ltd ユーザパスワード認証システムにおける権限委譲方法
JP2006235757A (ja) * 2005-02-22 2006-09-07 Canon Inc データ処理装置及びデータ処理方法並びにプログラム
WO2009084601A1 (ja) * 2007-12-27 2009-07-09 Nec Corporation アクセス権限管理システム、アクセス権限管理方法及びアクセス権限管理用プログラム
JP2010218291A (ja) * 2009-03-17 2010-09-30 Sony Corp 情報処理装置、代行権限付与方法、プログラムおよび情報処理システム

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6189103B1 (en) * 1998-07-21 2001-02-13 Novell, Inc. Authority delegation with secure operating system queues
US6584466B1 (en) * 1999-04-07 2003-06-24 Critical Path, Inc. Internet document management system and methods
US20040073530A1 (en) * 2000-12-06 2004-04-15 David Stringer-Calvert Information management via delegated control
US7130829B2 (en) * 2001-06-29 2006-10-31 International Business Machines Corporation Digital rights management
US7770212B2 (en) * 2002-08-15 2010-08-03 Activcard System and method for privilege delegation and control
GB2410658B (en) * 2002-10-14 2006-03-01 Toshiba Res Europ Ltd Methods and systems for flexible delegation
US7827595B2 (en) * 2003-08-28 2010-11-02 Microsoft Corporation Delegated administration of a hosted resource
JP4719610B2 (ja) * 2006-03-31 2011-07-06 キヤノン株式会社 情報処理装置及びデータ出力管理システム
US20070245414A1 (en) * 2006-04-14 2007-10-18 Microsoft Corporation Proxy Authentication and Indirect Certificate Chaining
JP4933149B2 (ja) * 2006-05-22 2012-05-16 キヤノン株式会社 情報処理装置、電子データ転送方法及びプログラム
US8201215B2 (en) * 2006-09-08 2012-06-12 Microsoft Corporation Controlling the delegation of rights
JP5011959B2 (ja) * 2006-11-01 2012-08-29 富士ゼロックス株式会社 認証代行装置、認証代行プログラム、及び認証代行システム
US8510796B2 (en) * 2008-01-25 2013-08-13 Oracle International Corporation Method for application-to-application authentication via delegation
US8402508B2 (en) * 2008-04-02 2013-03-19 Microsoft Corporation Delegated authentication for web services
US8776204B2 (en) * 2010-03-12 2014-07-08 Alcatel Lucent Secure dynamic authority delegation

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050120211A1 (en) * 2003-11-27 2005-06-02 Canon Kabushiki Kaisha Server apparatus, client apparatus, object administration system, object administration method, computer program, and storage medium
JP2005157881A (ja) * 2003-11-27 2005-06-16 Canon Inc サーバ端末装置、クライアント端末装置、オブジェクト管理システム、オブジェクト管理方法、コンピュータプログラム及び記録媒体
JP2006221506A (ja) * 2005-02-14 2006-08-24 Hitachi Software Eng Co Ltd ユーザパスワード認証システムにおける権限委譲方法
JP2006235757A (ja) * 2005-02-22 2006-09-07 Canon Inc データ処理装置及びデータ処理方法並びにプログラム
WO2009084601A1 (ja) * 2007-12-27 2009-07-09 Nec Corporation アクセス権限管理システム、アクセス権限管理方法及びアクセス権限管理用プログラム
JP2010218291A (ja) * 2009-03-17 2010-09-30 Sony Corp 情報処理装置、代行権限付与方法、プログラムおよび情報処理システム

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014038608A (ja) * 2012-08-20 2014-02-27 Naver Corp 認証共有によるアプリケーションログインシステム、方法およびコンピュータ読み取り可能な記録媒体
JP2014067378A (ja) * 2012-09-27 2014-04-17 Canon Inc 認可サーバーシステム、権限移譲システム、その制御方法、およびプログラム
JP2014092823A (ja) * 2012-10-31 2014-05-19 Ricoh Co Ltd システム及びサービス提供装置
JP2017151514A (ja) * 2016-02-22 2017-08-31 富士ゼロックス株式会社 プログラム及び情報処理装置
JP2017084378A (ja) * 2016-12-07 2017-05-18 株式会社リコー クラウドサービス提供システム及びクラウドサービス提供方法

Also Published As

Publication number Publication date
US8875245B2 (en) 2014-10-28
US20120102548A1 (en) 2012-04-26
JP5623234B2 (ja) 2014-11-12

Similar Documents

Publication Publication Date Title
JP5623234B2 (ja) 権限委譲システム、権限委譲方法、情報処理装置およびその制御方法、並びにプログラム
JP5458888B2 (ja) 証明書生成配布システム、証明書生成配布方法およびプログラム
JP6857065B2 (ja) 認証認可サーバー、リソースサーバー、認証認可システム、認証方法及びプログラム
CN110138718B (zh) 信息处理系统及其控制方法
JP5562143B2 (ja) 権限委譲システム、権限委譲方法、情報処理装置、及びプログラム
JP4108461B2 (ja) 認証システム、認証振り分けサーバ、認証方法およびプログラム
JP6166596B2 (ja) 認可サーバーシステムおよびその制御方法、並びにプログラム
JP6141076B2 (ja) システムおよびその制御方法、アクセス管理サービスシステムおよびその制御方法、並びにプログラム
JP6929181B2 (ja) デバイスと、その制御方法とプログラム
JP5701983B2 (ja) プリント要求の処理
JP6806543B2 (ja) 権限検証システムおよびリソースサーバー、認証サーバー、権限検証方法
JP2018205840A (ja) システム、その方法およびそのプログラム
JP5511463B2 (ja) 画像形成装置、画像処理システム、画像処理システムを制御する方法、およびプログラム
JP6815744B2 (ja) サーバ装置、システム、情報処理方法及びプログラム
JP2002334056A (ja) ログイン代行システム及びログイン代行方法
JP2004514988A (ja) サービスへの匿名アクセス
JP2012137960A (ja) プルプリントシステムおよびプログラム
JP4579597B2 (ja) 情報処理装置、情報処理方法およびプログラム
JP4470384B2 (ja) 情報処理装置、ジョブ処理装置、指示データ作成装置及び署名プロキシ装置
JP2019164758A (ja) 情報処理システム、情報処理装置、管理装置及びプログラム
CN110741371B (zh) 信息处理设备、保护处理设备和使用终端
JP4462343B2 (ja) 情報利用制御システム、情報利用制御装置、および情報利用制御プログラム
CN110941848A (zh) 文档管理系统
JP4729365B2 (ja) アクセス制御システム、認証サーバ、アクセス制御方法およびアクセス制御プログラム
JP2008287359A (ja) 認証装置及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20131021

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140530

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140606

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140707

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140825

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140924

R151 Written notification of patent or utility model registration

Ref document number: 5623234

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

LAPS Cancellation because of no payment of annual fees