DE102004016654A1 - Network component access controlling method for use in network system, involves checking access authorization of user to component by another component based on instruction, and provisioning access for user based on checked result - Google Patents

Network component access controlling method for use in network system, involves checking access authorization of user to component by another component based on instruction, and provisioning access for user based on checked result Download PDF

Info

Publication number
DE102004016654A1
DE102004016654A1 DE200410016654 DE102004016654A DE102004016654A1 DE 102004016654 A1 DE102004016654 A1 DE 102004016654A1 DE 200410016654 DE200410016654 DE 200410016654 DE 102004016654 A DE102004016654 A DE 102004016654A DE 102004016654 A1 DE102004016654 A1 DE 102004016654A1
Authority
DE
Germany
Prior art keywords
network component
network
user
access
component
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE200410016654
Other languages
German (de)
Other versions
DE102004016654B4 (en
Inventor
Andreas Schülke
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens Healthcare GmbH
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE200410016654 priority Critical patent/DE102004016654B4/en
Priority to US11/093,281 priority patent/US7873661B2/en
Publication of DE102004016654A1 publication Critical patent/DE102004016654A1/en
Application granted granted Critical
Publication of DE102004016654B4 publication Critical patent/DE102004016654B4/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Abstract

The method involves calculating unique user identification (3) for a user of a network component (10), and registering an order from the user. A right checking instruction is created by another network component (20) based on the identification. An access authorization of the user to the component (20) is checked by the component (10) based on the instruction. The access for the user is provisioned based on the checked result. Independent claims are also included for the following: (A) a network system comprising a network component (B) a primary network component for use in a network having primary access controller (C) a secondary network component having secondary access controller (D) a computer program adapted to execute on a computer to cause the computer to carry out a network component access controlling method.

Description

Die vorliegende Erfindung betrifft ein Verfahren zur Steuerung eines Zugangs einer ersten Netzwerkkomponente zu wenigstens einer zweiten Netzwerkkomponente und ein Netzwerksystem mit den Merkmalen des Oberbegriffs des unabhängigen Anspruches 15, welches zur Durchführung des Verfahrens geeignet ist.The The present invention relates to a method for controlling a Access of a first network component to at least one second Network component and a network system with the characteristics of Generic term of the independent Claim 15, which is suitable for carrying out the method is.

Weiter betrifft die vorliegende Erfindung erste und zweite Netzwerkkomponenten, die für eine Verwendung in dem Netzwerksystem ausgebildet sind.Further the present invention relates to first and second network components, the for a use are formed in the network system.

In einem Netzwerksystem, bei dem mehrere Computer miteinander über ein Netzwerk verbunden sind, ist es beispielsweise bei besonderes zeitintensiven Rechenarbeiten wegen der begrenzten Rechenleistung der einzelnen Computer des Netzwerks häufig erforderlich, die Rechenarbeit auf mehrere andere Computer zu verlagern. Auch mangelnde Speicherkapazitäten der einzelnen Computer oder eine zentral abgelegte Datenbank können einen Netzwerkzugriff erforderlich machen. Dabei müssen Zugriffs- und Ausführungsrechte der Computer und Einrichtungen des Netzwerkes, auf die zugegriffen werden soll, um beispielsweise die Rechenarbeit zu verlagern, berücksichtigt werden.In a network system where multiple computers interconnect with each other Network are connected, for example, it is particularly time-consuming Arithmetic work due to the limited computing power of the individual Computer of the network frequently required to relocate the computational work to several other computers. Also lack of storage capacity the single computer or a centrally stored database can have one Require network access. There must be access and execution rights the computer and facilities of the network being accessed is to be considered, for example, to shift the computational work into account become.

Üblicherweise ist ein Benutzer auf einem mit dem Netzwerk verbundenen ersten Computer angemeldet. Soll eine zeitintensive Rechenarbeit auf diesem ersten Computer ausgeführt werden, versucht eine auf dem ersten Computer laufende Anwendung die Rechenarbeit auf mehrere zweite Computer, die mit dem ersten Computer über das Netzwerk verbunden sind, zu verteilen. Hierzu versendet die auf dem ersten Computer laufende Anwendung entsprechende Aufträge über das Netzwerk an den oder die jeweiligen zweiten Computer.Usually is a user on a first computer connected to the network Registered. Should be a time-consuming arithmetic work on this first Computer running an application running on the first computer tries to use the Work on several second computers connected to the first computer via the computer Network are distributed, distribute. For this purpose send the the first computer running application corresponding orders over the Network to the or the respective second computer.

Um die Aufträge bearbeiten zu können, ist es für den oder die zweiten Computer üblicherweise erforderlich, zunächst anhand der Zugriffs- und/oder Ausführungsrechte des Benutzers des ersten Computers zu überprüfen, ob der Benutzer zu einem Zugriff auf den oder die zweiten Computer berechtigt ist. Hierfür sind verschiedene Ansätze bekannt:
Gemäß einem ersten Ansatz ist der Benutzer sowohl auf dem ersten als auch auf dem oder den zweiten Computern bekannt und angemeldet. In diesem Falle kann jeder Computer selber die Zugriffs- und/oder Ausführungsrechte des angemeldeten Benutzers überprüfen.In order to be able to process the jobs, it is usually necessary for the second computer (s) to first check, based on the access and / or execution rights of the user of the first computer, whether the user is authorized to access the second computer (s). For this purpose, various approaches are known:
In a first approach, the user is known and logged on both the first and second computers. In this case, each computer itself can check the access and / or execution rights of the logged-in user.

In einem zweiten Ansatz werden die Zugriffs- und/oder Ausführungsrechte zentral durch einen Zentralrechner des Netzwerks für das ganze Netzwerk verwaltet, wodurch der Benutzer des ersten Computers über den Zentralrechner im ganzen Netzwerk bekannt ist.In a second approach is the access and / or execution rights centrally through a central computer of the network for the whole Network, which allows the user of the first computer via the Central computer throughout the network is known.

Dieser Ansatz bedingt somit ein konfiguriertes Computernetzwerk mit einem Zentralrechner zur Durchführung der Überprüfung von Zugriffs- und/oder Ausführungsrechte.This Approach thus requires a configured computer network with a Central computer for execution the review of Access and / or Execution Rights.

Ein dritter vorbekannter Lösungsansatz ist unter dem Namen "Corba Call Chain" bekannt und wird unter Bezugnahme auf 4 im Folgenden näher beschrieben.A third prior art approach is known by the name "Corba Call Chain" and will be described with reference to 4 described in more detail below.

In dem in 4 gezeigten Beispiel möchte ein Benutzer mittels einer Benutzeranfrage 50 auf ein Zielobjekt 48 zugreifen, welches in einer Subdomain 45 einer Domain 40 enthalten ist.In the in 4 As shown, a user wishes to do so by means of a user request 50 on a target object 48 which is in a subdomain 45 a domain 40 is included.

Die Benutzeranfrage 50 wird zunächst von einer Zugriffssteuerung 41 der Domain 40 daraufhin geprüft, ob der Benutzer zu einem Zugriff auf in der Domain 40 enthaltene Objekte 42, 43, 44 bzw. Subdomains 45 berechtigt ist.The user request 50 is first of an access control 41 the domain 40 then checked to see if the user has access to the domain 40 contained objects 42 . 43 . 44 or subdomains 45 is entitled.

Ist der Benutzer zu einem Zugang berechtigt, lässt die Zugriffssteuerung 41 der Domain 40 den Zugriff zu. Anderenfalls verweigert die Zugriffssteuerung 41 der Domain 40 den Zugang des Benutzers und die Weiterleitung der Benutzeranfrage 50.If the user is authorized to access, the access control fails 41 the domain 40 access to. Otherwise denied access control 41 the domain 40 the access of the user and the forwarding of the user request 50 ,

Wird ein Zugriff des Benutzers von der Zugriffssteuerung 41 der Domain 40 zugelassen, wird die Benutzeranfrage 50 an die in der Domain 40 enthaltene Subdomain 45 weitergeleitet.Is an access of the user from the access control 41 the domain 40 approved, the user request 50 to those in the domain 40 included subdomain 45 forwarded.

Anschließend wird die Benutzeranfrage 50 von einer Zugriffssteuerung 46 der Subdomain 45 daraufhin geprüft, ob der Benutzer auch zu einem Zugriff auf in der Subdomain 45 enthaltene Objekte 47,48, 49 bzw. Sub-Subdomains (in 4 nicht gezeigt) berechtigt ist.Subsequently, the user request 50 from an access control 46 the subdomain 45 then checked if the user also has access to in the subdomain 45 contained objects 47 . 48 . 49 or sub-subdomains (in 4 not shown).

Ist der Benutzer zu einem Zugriff auf in der Subdomain 45 enthaltenen Objekte 47, 48, 49 berechtigt, so ermöglicht die Zugriffssteuerung 46 der Subdomain 45 den Zugriff und der Benutzer kann über die Benutzeranfrage 50 auf das in der Subdomain 45 enthaltene Zielobjekt 48 zugreifen. Anderenfalls verweigert die Zugriffssteuerung 46 den Zugang des Benutzers auf in der Subdomain 45 enthaltene Objekte 47, 48, 49.Is the user accessing the subdomain 45 contained objects 47 . 48 . 49 authorized, so allows access control 46 the subdomain 45 the access and the user can through the user request 50 on that in the subdomain 45 included target object 48 access. Otherwise denied access control 46 the user's access to in the subdomain 45 contained objects 47 . 48 . 49 ,

Die Corba Call Chain basiert somit auf einer Kette funktioneller Abläufe bis zu einem Zielobjekt. Für die Überprüfung der Zugriffsberechtigung ist es erforderlich, die Identität des Benutzers, die Identität einer an der Kette liegenden Zugriffssteuerung oder sowohl die Identität des Benutzers als auch die Identität der in der Kette liegenden Zugriffssteuerung zusammen mit der Benutzeranfrage weiterzureichen. Erst durch Übermittlung dieser Informationen ist eine Überprüfung der Zugriffsberechtigung durch in der Kette liegende Zugriffssteuerungen möglich.The Corba Call Chain is thus based on a chain of functional processes up to a target object. To verify access authorization, it is necessary to know the identity of the user, the identity of an in-chain access control, or both the identity of the user and the identities the chaining access control along with the user request. Only by transmitting this information is it possible to check the access authorization through chain-linked access controls.

Wie aus 4 deutlich hervorgeht erfolgt die Überprüfung der Zugriffsberechtigung bei der Corba Call Chain physikalisch immer innerhalb der Kette an der Stelle der jeweiligen Bearbeitung. Somit wird die Überprüfung der Zugriffsberechtigung hierarchisch vor Genehmigung eines Zutritts zu einer Domain oder Subdomain und von demjenigen Computer durchgeführt, auf den zugegriffen werden soll.How out 4 As can be clearly seen, the Corba Call Chain's access authorization is always physically located within the chain at the point of processing. Thus, the access authorization check is performed hierarchically before permission to access a domain or subdomain and the computer to be accessed.

Die im Stand der Technik vorbekannten Lösungsansätze haben diverse z. T. gravierende Nachteile.The in the prior art previously known approaches have various z. T. serious Disadvantage.

Eine Anmeldung eines Benutzers auf allen Computern eines Netzwerkes, auf die möglicherweise zugegriffen werden soll, ist mit einem unvertretbaren Aufwand verbunden. Weiter besteht bei einer mehrfachen Anmeldung des Benutzers das Problem, dass die Computer, auf denen der Benutzer angemeldet ist, nicht alle gleichzeitig beaufsichtigt werden können, so dass ein unbefugter Dritter über einen unbeaufsichtigten angemeldeten Computer leicht unbefugten Zutritt zu dem Netzwerk erlangen kann. Auch ist bei einer Mehrfachanmeldung eines Benutzers die Gefahr sehr groß, dass der Benutzer vergisst, sich nach Beendigung der Arbeit wieder von allen Computern abzumelden.A Login of a user on all computers of a network, on the possible is to be accessed, is associated with an unreasonable effort. Next is the multiple logon of the user the Problem that the computers on which the user is logged in not all at the same time can be supervised, leaving an unauthorized Third over an unattended registered computer slightly unauthorized Gain access to the network. Also is in a multiple application a user's danger is very large that the user forgets to log out of all computers after finishing work.

Eine zentrale Zugriffssteuerung über einen Zentralrechner des Netzwerks wiederum beinhaltet den Nachteil, dass sie ein Netzwerk mit einem Zentralrechner voraussetzt und der Zentralrechner sowie die im Netzwerk verbundenen Computer für eine zentrale Zugriffssteuerung eingerichtet sein müssen. Im Falle einer Fehlfunktion des Zentralrechners kann der Zugang zum Netzwerk für alle Benutzer unmöglich sein. Weiter können Zugriffsberechtigungen normalerweise nur von einem Systemadministrator des Zentralrechners vergeben werden, so dass dieses System sehr unflexibel ist.A central access control via a central computer of the network in turn involves the disadvantage that it requires a network with a central computer and the Central computer and the network connected computer for a central Access control must be set up. In case of malfunction The central computer can provide access to the network for all users impossible be. Next you can Access permissions usually only from a system administrator of the central computer, so this system is very is inflexible.

Bei der Corba Call Chain wiederum ist es nachteilig, dass zur Überprüfung der Zugriffsberechtigung zusammen mit der Benutzeranfrage jeweils die Identität des Clients oder zumindest die Identität der in der Kette liegenden Zugriffssteuerungen übergeben werden muss. Hierdurch wird das Verfahren sehr anfällig für Manipulationen, da die der Benutzeranfrage beigefügten Informationen leicht ausgespäht und missbraucht werden können. Außerdem müssen die einzelnen Zugriffssteuerungen der Kette die mit der Identität des jeweiligen Benutzers bzw. die mit den in der Kette liegenden Zugriffssteuerungen verbundenen Zugriffs- und/oder Ausführungsrechte kennen, wodurch die Einrichtung einer Corba Call Chain sehr aufwändig und langwierig ist. Deshalb ist die Corba Call Chain sehr inflexibel.at The Corba Call Chain, in turn, is detrimental to the review of the Access authorization together with the user request respectively identity of the client, or at least the identity of those in the chain Pass access controls must become. This makes the method very susceptible to manipulation, because the information attached to the user request is easily spied out and misused can be. In addition, the individual access controls the chain with the identity of the respective User or those associated with the in-chain access controls Know access and / or execution rights, making the setup of a Corba Call Chain very time consuming and complex is tedious. That's why the Corba Call Chain is very inflexible.

Ausgehend hiervon ist es Aufgabe der vorliegenden Erfindung, ein Netzwerksystem und ein Verfahren zur Steuerung eines Zugangs einer ersten Netzwerkkomponente zu wenigstens einer zweiten Netzwerkkomponente bereitzustellen, das bei größtmöglicher Zugriffssicherheit ein hohes Maß an Flexibilität beinhaltet und keine zusätzlichen Hardwarekomponenten benötigt.outgoing It is the object of the present invention to provide a network system and a method of controlling access of a first network component to provide at least a second network component, the largest possible Access security a high level flexibility includes and no additional Hardware components needed.

Weiter ist es Aufgabe der vorliegenden Erfindung, geeignete erste und zweite Netzwerkkomponenten für das erfindungsgemäße Netzwerksystem bereitzustellen.Further It is an object of the present invention, suitable first and second Network components for to provide the network system according to the invention.

Die Aufgabe wird durch ein Verfahren mit den Merkmalen des unabhängigen Anspruchs 1 gelöst.The The object is achieved by a method having the features of the independent claim 1 solved.

Weiter wird die Aufgabe bei einem Netzwerksystem mit den Merkmalen des Oberbegriffs des unabhängigen Anspruchs 15 durch die Merkmale des kennzeichnenden Teiles des unabhängigen Anspruchs 15 gelöst.Further is the task in a network system with the characteristics of Generic term of the independent Claim 15 by the features of the characterizing part of the independent claim 15 solved.

Ferner wird die Aufgabe durch erste und zweite Netzwerkkomponenten mit den Merkmalen der unabhängigen Ansprüche 21 bzw. 26 gelöst.Further the task is accomplished by first and second network components the characteristics of the independent claims 21 and 26 solved.

Vorteilhafte Ausgestaltungen befinden sich in den jeweiligen Unteransprüchen.advantageous Embodiments are in the respective subclaims.

Gemäß der vorliegenden Erfindung wird ein Verfahren zur Steuerung eines Zugangs einer ersten Netzwerkkomponente zu wenigstens einer zweite Netzwerkkomponente vorgeschlagen, wobei die erste Netzwerkkomponente und die wenigstens eine zweite Netzwerkkomponente über ein Netzwerk verbunden sind und das Verfahren die folgenden Schritte umfasst:

  • – Berechnen einer eindeutigen Benutzeridentifikation für einen Benutzer der ersten Netzwerkkomponente durch die erste Netzwerkkomponente;
  • – Registrierung eines Auftrages des Benutzers an die erste Netzwerkkomponente durch die erste Netzwerkkomponente, wobei der Auftrag eine Einbindung der wenigstens einen zweiten Netzwerkkomponente über das Netzwerk bedingt;
  • – Übermittlung einer durch die erste Netzwerkkomponente anhand des Auftrages erstellten Anfrage zusammen mit der eindeutigen Benutzeridentifikation durch die erste Netzwerkkomponente über das Netzwerk an die zweite Netzwerkkomponente;
  • – Detektion der der Anfrage beigefügten eindeutigen Benutzeridentifikation durch die zweite Netzwerkkomponente;
  • – Erstellung eines Rechte-Prüfungsauftrages durch die zweite Netzwerkkomponente anhand der detektierten eindeutigen Benutzeridentifikation;
  • – Übermittlung des Rechte-Prüfungsauftrages durch die zweite Netzwerkkomponente über das Netzwerk an die erste Netzwerkkomponente;
  • – Überprüfung der Zugangsberechtigung des Benutzers zu der zweiten Netzwerkkomponente durch die erste Netzwerkkomponente anhand des Rechte-Prüfungsauftrages;
  • – Übermittlung eines Ergebnisses der Überprüfung durch die erste Netzwerkkomponente über das Netzwerk an die zweite Netzwerkkomponente; und
  • – Bereitstellung des Zugangs des Benutzers zu der zweiten Netzwerkkomponente durch die zweite Netzwerkkomponente, wenn das übermittelte Ergebnis der Überprüfung angibt, dass der Benutzer zum Zugang zu der zweiten Netzwerkkomponente berechtigt ist.
According to the present invention, a method for controlling access of a first network component to at least one second network component is proposed, wherein the first network component and the at least one second network component are connected via a network and the method comprises the following steps:
  • Calculating by the first network component a unique user identification for a user of the first network component;
  • - Registering an order of the user to the first network component by the first network component, wherein the order requires an integration of the at least one second network component via the network;
  • - Transmission of a request generated by the first network component based on the order together with the unique user identification by the first network component via the network to the second network component;
  • - Detection of the unique user identification attached to the request by the second network component;
  • - Creation of a rights audit order by the second network component based on the detected unique user identification;
  • - transmission of the rights audit order by the second network component via the network to the first network component;
  • - checking the access authorization of the user to the second network component by the first network component based on the rights examination order;
  • - transmitting a result of the check by the first network component to the second network component via the network; and
  • Providing the user's access to the second network component by the second network component if the transmitted result of the verification indicates that the user is authorized to access the second network component.

Somit wird gemäß der vorliegenden Erfindung durch die Übermittlung der eindeutigen Benutzeridentifikation kein mit dem jeweiligen Benutzer verbundenes Zugriffs- und/oder Ausführungsrecht übermittelt, sondern lediglich eine Referenzierung auf die Zugriffs- bzw. Ausführungsrechte des jeweiligen Benutzers auf der jeweiligen ersten Netzwerkkomponente weitergegeben. Die eindeutige Benutzeridentifikation wird von der zweiten Netzwerkkomponente somit nur zum Zwecke der Delegierung der Überprüfung der Zugriffs- und/oder Ausführungsrechte des Benutzers hinsichtlich der zweiten Netzwerkkomponente an die erste Netzwerkkomponente ausgewertet und nicht, um der eindeutigen Benutzeridentifikation direkt die Zugriffs- und/oder Ausführungsrechte des Benutzers zu entnehmen.Consequently is in accordance with the present Invention by the transmission the unique user identification no associated with the respective user Transmitted access and / or execution right, but only a reference to the access or execution rights of the respective user on the respective first network component passed. The unique user identification is provided by the second network component thus only for the purpose of delegation the review of Access and / or Execution Rights of the user with respect to the second network component evaluated first network component and not to the unique User identification directly the user's access and / or execution rights refer to.

Aufgrund des Inhalts der von der zweiten Netzwerkkomponente detektierten eindeutigen Benutzeridentifikation wird die physikalische Überprüfung der Zugriffs- und/oder Ausführungsrechte erfindungsgemäß von der zweiten Netzwerkkomponente auf die erste Netzwerkkomponente zurückdelegiert. Folglich erfolgt die physikalische Überprüfung der Zugriffs- und/oder Ausführungsrechte außerhalb des direkten Zugriffs auf die jeweilige zweite Netzwerkkomponente.by virtue of the content of the detected by the second network component unique user identification will be the physical verification of Access and / or Execution Rights According to the invention of the second network component back to the first network component. consequently the physical verification of the access and / or execution rights outside direct access to the respective second network component.

Aufgrund der Delegation der Überprüfung der Zugriffs- und/oder Ausführungsrechte des Benutzers hinsichtlich der zweiten Netzwerkkomponente von der zweiten Netzwerkkomponente an die erste Netzwerkkomponente durch Erstellung und Übermittlung eines Rechte-Prüfungsauftrages ist dieses Verfahren äußerst flexibel, da es ohne einen Zentralrechner im Netzwerk auskommt und der jeweilige Benutzer der zweiten Netzwerkkomponente nicht einmal bekannt sein muss. Eine Konfiguration der Zugriffs- und/oder Ausführungsrechte des Benutzers auf der zweiten Netzwerkkomponente oder eine Anmeldung des Benutzers bei der zweiten Netzwerkkomponente ist somit nicht er forderlich. Hierdurch kann das Netzwerk flexibel erweitert werden und die erste Netzwerkkomponente Anfragen an eine beliebige Anzahl von zweiten Netzwerkkomponenten verteilen.by virtue of the delegation of the review of Access and / or execution rights of the user with respect to the second network component of the second network component to the first network component Creation and transmission a rights exam order this process is extremely flexible, as it does without a central computer in the network and the respective Users of the second network component may not even be known got to. A configuration of access and / or execution rights the user on the second network component or a login the user at the second network component is thus not he required. This allows flexible expansion of the network and the first network component requests to any number from second network components.

Da zudem zusammen mit der eindeutigen Benutzeridentifikation keine direkten Zugriffs- und/oder Ausführungsrechte übermittelt werden, können diese von einem unbefugten Dritten auch nicht abgefangen und missbraucht werden, so dass das erfindungsgemäße Verfahren ein hohes Maß an Sicherheit gegenüber Manipulation gewährleistet.There moreover, together with the unique user identification none direct access and / or execution rights can, can they were not intercepted and misused by an unauthorized third party so that the inventive method a high level of security across from Tampering guaranteed.

Vorzugweise weist das erfindungsgemäße Verfahren ferner die folgenden Schritte auf:

  • – Anmeldung des Benutzers bei der ersten Netzwerkkomponente;
  • – Überprüfung der Anmeldung durch die erste Netzwerkkomponente; und
  • – Bereitstellung eines Zugangs des Benutzers zu der ersten Netzwerkkomponente durch die erste Netzwerkkomponente, wenn die Überprüfung ergibt, dass der Benutzer zum Zugriff zu der ersten Netzwerkkomponente berechtigt ist.
Preferably, the inventive method further comprises the following steps:
  • - registration of the user with the first network component;
  • - checking the registration by the first network component; and
  • Providing the user with access to the first network component by the first network component if the verification indicates that the user is authorized to access the first network component.

Durch die Überprüfung der Berechtigung des Benutzers auf Zugang zu der ersten Netzwerkkomponente wird sichergestellt, dass die Zugriffs- und/oder Ausführungsrechte des Benutzers durch die erste Netzwerkkomponente richtig erfasst werden und die tatsächliche Identität des Benutzers sichergestellt ist.By the review of Authorization of the user for access to the first network component will ensure that the access and / or execution rights of the user correctly detected by the first network component be and the actual identity the user is ensured.

In diesem Fall ist es besonders vorteilhaft, wenn die Berechnung der eindeutigen Benutzeridentifikation für den Benutzer der ersten Netzwerkkomponente automatisch unmittelbar nach der Bereitstellung des Zugangs des Benutzers zu der ersten Netzwerkkomponente erfolgt.In In this case, it is particularly advantageous if the calculation of the unique user identification for the user of the first network component automatically immediately after the provision of access of the User to the first network component.

Bevorzugt weist das Verfahren ferner die folgenden Schritte auf:

  • – Bearbeitung der Anfrage durch die zweite Netzwerkkomponente zur Gewinnung eines Anfrageergebnisses;
  • – Übermittlung des Anfrageergebnisses durch die zweite Netzwerkkomponente über das Netzwerk an die erste Netzwerkkomponente; und
  • – Ausgabe des empfangenen Anfrageergebnisses durch die erste Netzwerkkomponente an den Benutzer.
Preferably, the method further comprises the following steps:
  • Processing the request by the second network component to obtain a request result;
  • - Transmission of the request result by the second network component via the network to the first network component; and
  • - Output of the received request result by the first network component to the user.

Dabei sind die Schritte der Übermittlung des Anfrageergebnisses durch die zweite Netzwerkkomponente über das Netzwerk an die erste Netzwerkkomponente und der Ausgabe des empfangenen Anfrageergebnisses durch die erste Netzwerkkomponente an den Benutzer nur fakultativ falls die Art bzw. Natur des Anfrageergebnisses eine Übermittlung und Ausgabe zulässt.Here are the steps of the transmission of the Query result by the second network component via the network to the first network component and the output of the received request result by the first network component to the user only optionally if the nature of the request result allows a transmission and output.

Gemäß einer bevorzugten Ausführungsform der vorliegenden Erfindung enthält die eindeutige Benutzeridentifikation den Namen des Benutzers sowie eine Kommunikationsadresse der ersten Netzwerkkomponente.According to one preferred embodiment of present invention the unique user identification the name of the user as well as a Communication address of the first network component.

Hierdurch erhält die zweite Netzwerkkomponente über die eindeutige Benutzeridentifikation alle Informationen, die zu einer Delegation der Überprüfung der Zugriffs- und/oder Ausführungsrechte des Benutzers zu der zweiten Netzwerkkomponente von der zweiten Netzwerkkomponente an die erste Netzwerkkomponente erforderlich sind.hereby receives the second network component via the unique user identification all information that belongs to a delegation of the review of the Access and / or Execution Rights the user to the second network component of the second Network component to the first network component required are.

In diesem Fall ist es weiter vorteilhaft, wenn die eindeutige Benutzeridentifikation ferner die Domäne der ersten Netzwerckomponente im Netzwerk angibt.In In this case, it is also advantageous if the unique user identification furthermore, the domain indicates the first network component in the network.

Gemäß einer besonders bevorzugten Ausführungsform beinhaltet der von der zweiten Netzwerkkomponente erstellte Rechte-Prüfungsauftrag individuelle Zugangskriterien der jeweiligen zweiten Netzwerkkomponente.According to one particularly preferred embodiment The rights exam order created by the second network component includes individual ones Access criteria of the respective second network component.

Anhand der in dem Rechte-Prüfungsauftrag enthaltenen individuellen Zugangskriterien ist es der ersten Netzwerkkomponente möglich, die Zugriffs- und/oder Ausführungsrechte des Benut zers der ersten Netzwerkkomponente zu der zweiten Netzwerckomponente individuell für die jeweilige zweite Netzwerkkomponente zu überprüfen.Based the one contained in the Rights Audit Order individual access criteria, it is the first network component possible, the access and / or execution rights the user of the first network component to the second network component individually for to check the respective second network component.

Vorzugsweise erfolgen die Schritte der Anmeldung des Benutzers bei der ersten Netzwerkkomponente, der Überprüfung der Anmeldung durch die erste Netzwerkkomponente und der Bereitstellung des Zugangs des Benutzers zu der ersten Netzwerkkomponente und/oder des Berechnen einer eindeutigen Benutzeridentifikation für einen Benutzer der ersten Netzwerkkomponente und/oder der Überprüfung der Zugangsberechtigung des Benutzers zu der zweiten Netzwerkkomponente anhand des Rechte-Prüfungsauftrages und/oder der Übermittlung des Überprüfungsergebnisses über das Netzwerk an die zweite Netzwerkkomponente durch eine erste Zugriffssteuerung der ersten Netzwerkkomponente.Preferably The steps of logging in the user at the first take place Network component, checking the Login by the first network component and the provision of the Access the user to the first network component and / or of computing a unique user identification for a Users of the first network component and / or the review of the Access authorization of the user to the second network component on the basis of the rights examination order and / or the transmission of the verification result about the Network to the second network component through a first access control the first network component.

In diesem Falle ist es besonders vorteilhaft, wenn die eindeutige Benutzeridentifikation den Namen des Benutzers sowie eine Kommunikationsadresse der ersten Zugriffssteuerung enthält.In In this case, it is particularly advantageous if the unique user identification the name of the user as well as a communication address of the first Includes access control.

Bevorzugt erfolgen die Schritte der Registrierung des Auftrags des Benutzers an die erste Netzwerkkomponente und/oder der Übermittlung der anhand des Auftrags erstellten Anfrage zusammen mit der eindeutigen Benutzeridentifikation über das Netzwerk an die zweite Netzwerkkomponente und/oder der Ausgabe des Anfrageergebnisses an den Benutzer durch eine auf der ersten Netzwerkkomponente laufende erste Anwendung.Prefers The steps of registering the user's job are done to the first network component and / or the transmission of the basis of the Job created request together with the unique user identification via the Network to the second network component and / or the output of the Request Result to the user by running on the first network component first application.

In diesem Fall erzeugt die erste Anwendung die Anfrage vorzugsweise durch Modifizierung des von dem Benutzer erhaltenen Auftrages.In In this case, the first application preferably generates the request by modifying the order received from the user.

Vorzugsweise erfolgen die Schritte der Detektion der der Anfrage beigefügten eindeutigen Benutzeridentifikation und/oder der Erstellung eines Rechte-Prüfungsauftrages anhand der ein deutigen Benutzeridentifikation und/oder der Übermittlung des Rechte-Prüfungsauftrages über das Netzwerk an die erste Netzwerkkomponente und/oder der Bereitstellung des Zugangs des Benutzer zu der zweiten Netzwerkkomponente durch eine zweite Zugriffssteuerung der zweiten Netzwerkkomponente.Preferably the steps of detection of the unique appended to the request take place User identification and / or the creation of a rights exam order based on a clear user identification and / or the transmission of the Rights Examination Contract on the Network to the first network component and / or the deployment the user's access to the second network component a second access control of the second network component.

Weiter ist es vorteilhaft, wenn die Schritte der Detektion der der Anfrage beigefügten eindeutigen Benutzeridentifikation und/oder der Bearbeitung der Anfrage zur Gewinnung eines Anfrageergebnisses und/oder der Übermittlung des Anfrageergebnisses über das Netzwerk an die erste Netzwerkkomponente durch eine zweite Anwendung der zweiten Netzwerkkomponente erfolgen.Further It is advantageous if the steps of detection of the request attached unique user identification and / or processing of the request for obtaining a request result and / or the transmission of the inquiry result over the network to the first network component through a second application the second network component.

Erfolgt die Detektion der der Anfrage beigefügten eindeutigen Benutzeridentifikation durch die zweite Anwendung der zweiten Netzwerkkomponente, so kann das Format der eindeutigen Benutzeridentifikation unabhängig von einem von der zweiten Zugriffssteuerung üblicherweise verwendeten Format gewählt werden, da eine Umsetzung durch die zweite Anwendung möglich ist. Hierdurch ist das erfindungsgemäße Verfahren besonders flexibel.He follows the detection of the unique user identification attached to the request through the second application of the second network component, so may the format of the unique user identification independent of a format commonly used by the second access controller chosen since implementation by the second application is possible. As a result, the inventive method especially flexible.

Die vorliegende Erfindung wird auch durch ein Computerprogrammprodukt gelöst, dass geeignet ist, ein Verfahren nach einem der Ansprüche 1 bis 13 auszuführen, wenn es in einen Computer geladen ist.The The present invention is also realized by a computer program product solved, that is suitable, a method according to any one of claims 1 to 13 perform, when it is loaded into a computer.

Weiter wird die vorstehende Aufgabe durch ein Netzwerksystem mit wenigstens einer ersten Netzwerkkomponente, die über ein Netzwerk mit wenigstens einer zweiten Netzwerkkomponente verbunden ist, gelöst, wobei die erste Netzwerkkomponente wenigstens eine erste Zugriffssteuerung sowie eine erste Anwendung und die zweite Netzwerkkomponente wenigstens eine zweite Zugriffssteuerung aufweist, wobei
die erste Zugriffssteuerung ausgebildet ist, um eine eindeutige Benutzeridentifikation für einen Benutzer der ersten Netzwerkkomponente zu berechnen und an die erste Anwendung auszugeben;
die erste Anwendung ausgebildet ist, um einen Auftrag des Benutzers an die erste Netzwerkkomponente, welcher eine Einbindung der zweiten Netzwerkkomponente über das Netzwerk bedingt, zu registrieren, anhand des Auftrages eine Anfrage an die zweite Netzwerkkomponente zu erstellen und die Anfrage zusammen mit der eindeutigen Benutzeridentifikation über das Netzwerk an die zweite Netzwerkkomponente zu übermitteln;
die zweite Zugriffssteuerung ausgebildet ist, um anhand der eindeutigen Benutzeridentifikation einen Rechte-Prüfungsauftrag zu erstellen und den Rechte-Prüfungsauftrag über das Netzwerk an die erste Zugriffssteuerung zu übermitteln;
die erste Zugriffssteuerung ferner ausgebildet ist, um die Zugangsberechtigung des Benutzers zu der zweiten Netzwerkkomponente anhand des empfangenen Rechte-Prüfungsauftrages zu überprüfen und ein Ergebnis der Überprüfung über das Netzwerk an die zweite Zugriffssteuerung zu übermitteln; und
die zweite Zugriffssteuerung ferner ausgebildet ist, um den Zugang des Benutzers zu der zweiten Netzwerkkomponente bereitzustellen, wenn das von der ersten Zugriffssteuerung übermittelte Ergebnis der Überprüfung angibt, dass der Benutzer zum Zugang zu der zweiten Netzwerkkomponente berechtigt ist.Furthermore, the above object is achieved by a network system having at least a first network component which is connected via a network to at least one second network component, the first network component having at least a first access controller and a first application and the second network component having at least one second access controller, in which
the first access control is adapted to a calculate unique user identification for a user of the first network component and output to the first application;
the first application is adapted to register a job of the user to the first network component which implies an integration of the second network component via the network, to make a request to the second network component based on the request and to transmit the request together with the unique user identification to transmit the network to the second network component;
the second access controller is adapted to create a rights check job based on the unique user identification and to transmit the rights check job to the first access controller via the network;
the first access controller is further configured to check the access authorization of the user to the second network component based on the received rights check job and to transmit a result of the check over the network to the second access controller; and
the second access controller is further configured to provide the user's access to the second network component if the result of the verification communicated by the first access control indicates that the user is authorized to access the second network component.

Dabei ist offensichtlich, dass die Übermittlung des Ergebnisses der Überprüfung des empfangenen Rechte-Prüfungsauftrages durch die erste Zugriffssteuerung an die zweite Zugriffssteuerung nicht nur direkt sondern auch indirekt über andere Elemente der zweiten Netzwerkkomponente erfolgen kann.there is obvious that the transmission the result of the review of the Received Rights Examination Contract by the first access control to the second access controller not only directly but also indirectly via other elements of the second Network component can be done.

Vorzugweise ist die erste Zugriffssteuerung ferner ausgebildet, um eine Anmeldung des Benutzers bei der ersten Netzwerckomponente zu überprüfen und einen Zugang des Benutzers zu der ersten Netzwerkkomponente bereitzustellen, wenn die Über prüfung ergibt, dass der Benutzer zum Zugang zu der ersten Netzwerkkomponente berechtigt ist.preferably, the first access control is further adapted to log on of the user at the first network component and to provide an access of the user to the first network component, if the over test shows, that the user is entitled to access the first network component is.

Besonders vorteilhaft ist es, wenn die zweite Netzwerkkomponente ferner eine zweite Anwendung aufweist, die ausgebildet ist, um die der Anfrage beigefügte eindeutige Benutzeridentifikation zu detektieren und an die zweite Zugriffssteuerung zum Zwecke der Erstellung des Rechte-Prüfungsauftrages auszugeben und/oder um die Anfrage zur Gewinnung eines Anfrageergebnis zu bearbeiten und das Anfrageergebnis über das Netzwerk an die erste Anwendung zu übermitteln, und die erste Anwendung ferner ausgebildet ist, um das empfangene Anfrageergebnis an den Benutzer auszugeben.Especially It is advantageous if the second network component also has a second application, which is adapted to that of the request attached to detect unique user identification and to the second Access control for the purpose of creating the rights audit order issue and / or the request to obtain a request result to process and the query result over the network to the first Application to submit and the first application is further adapted to receive the received one Request result to the user.

Dabei sind die Übermittlung des Anfrageergebnisses über das Netzwerk an die erste Anwendung und die Ausgabe des empfangenen Anfrageergebnisses durch die erste Anwendung an den Benutzer nur fakultativ falls die Art bzw. Natur des jeweiligen Anfrageergebnisses eine Übermittlung und Ausgabe zulässt.there are the transmission of the inquiry result over the network to the first application and the output of the received Query result by the first application to the user only optional if the nature or nature of the respective query result a transmission and edition permits.

Erfolgt die Detektion der der Anfrage beigefügten eindeutigen Benutzeridentifikation und die Ausgabe der der Anfrage beigefügten eindeutigen Benutzeridentifikation an die zweite Zugriffssteuerung zum Zwecke der Erstellung des Rechte-Prüfungsauftrages durch die zweite Anwendung, so kann sowohl die Nomenklatur der Anfrage als auch die Nomenklatur der eindeutigen Benutzeridentifikation unabhängig von einer Nomenklatur der zweiten Zugriffssteuerung gewählt werden, da eine entsprechende Umsetzung durch die zweite Anwendung erfolgen kann. Hierdurch ist das erfindungsgemäße Netzwerksystem besonders flexibel.He follows the detection of the unique user identification attached to the request and the output of the unique user identification attached to the request to the second access control for the purpose of creating the rights exam order through the second application, so can both the nomenclature of the request as well as the nomenclature of unique user identification independently be chosen from a nomenclature of the second access control, since a corresponding implementation by the second application can. As a result, the network system according to the invention is particular flexible.

Bevorzugt enthält die von der ersten Zugriffssteuerung berechnete eindeutige Benutzeridentifikation den Namen des Benutzers sowie eine Kommunikationsadresse der ersten Zugriffssteuerung.Prefers contains the unique user identification calculated by the first access control the name of the user as well as a communication address of the first Access control.

In diesem Falle ist es vorteilhaft, wenn die von der ersten Zugriffssteuerung berechnete eindeutige Benutzeridentifikation ferner die Domäne der ersten Netzwerkkomponente im Netzwerk angibt.In In this case, it is advantageous if that of the first access control Furthermore, unique user identification computes the domain of the first one Network component on the network.

Vorzugsweise beinhaltet der von der zweiten Netzwerkkomponente erstellte Rechte-Prüfungsauftrag individuelle Zugangskriterien der jeweiligen zweiten Netzwerkkomponente.Preferably includes the rights audit job created by the second network component individual access criteria of the respective second network component.

Weiter wird die vorstehend genannte Aufgabe durch eine erste Netzwerkkomponente zur Verwendung in einem Netzwerk, in dem die erste Netzwerkkomponente über das Netzwerk mit wenigstens einer zweiten Netzwerkkomponente verbunden ist, gelöst, mit einer ersten Zugriffssteuerung die ausgebildet ist, um eine eindeutige Benutzeridentifikation für einen Benutzer der ersten Netzwerkkomponente zu berechnen und an eine erste Anwendung der ersten Netzwerkkomponente auszugeben, wobei die erste Anwendung ausgebildet ist, um einen Auftrag des Benutzers an die erste Netzwerkkomponente, welcher eine Einbindung der zweiten Netzwerkkomponente über das Netzwerk bedingt, zu registrieren, anhand des Auftrages eine Anfrage an die zweite Netzwerkkomponente zu erstellen und die Anfrage zusammen mit der eindeutigen Benutzeridentifikation über das Netzwerk an die zweite Netzwerkkomponente zu übermitteln, und wobei die erste Zugriffssteuerung ferner ausgebildet ist, um die Zugangsberechtigung des Benutzers zu der zweiten Netzwerkkomponente anhand eines von der zweiten Netzwerkkomponente in Folge der übermittelten eindeutigen Benutzeridentifikation erstellten und an die erste Netzwerkkomponente übermittelten Rechte-Prüfungsauftrages zu überprüfen und ein Ergebnis der Überprüfung über das Netzwerk an die zweite Netzwerkkomponente zu übermitteln.Further, the above object is achieved by a first network component for use in a network in which the first network component is connected to at least one second network component via the network, with a first access control configured to provide a unique user identification for a user first network component to compute and output to a first application of the first network component, wherein the first application is adapted to register an order of the user to the first network component, which requires an integration of the second network component via the network, a request based on the order to the second network component and to transmit the request along with the unique user identification via the network to the second network component, and wherein the first access control is further configured to control the access authorization of the user z u the second network component on the basis of one of the second network component as a result of the transmitted unique user identification created and transmitted to the first network component rights check check job and submit a result of the check over the network to the second network component.

Dabei ist es besonders vorteilhaft, wenn die erste Zugriffssteuerung ferner ausgebildet ist, um eine Anmeldung des Benutzers bei einer ersten Netzwerkkomponente zu überprüfen und den Zugang des Benutzer zu der ersten Netzwerkkomponente be reitzustellen, wenn die Überprüfung ergibt, dass der Benutzer zum Zugang zu der ersten Netzwerkkomponente berechtigt ist.there it is particularly advantageous if the first access control further is designed to register the user at a first Network component to check and provide the user's access to the first network component, if the review shows that the user is entitled to access the first network component is.

Vorzugweise ist die erste Anwendung ferner ausgebildet, um ein von der zweiten Netzwerkkomponente gewonnenes und an die erste Netzwerkkomponente übermitteltes Anfrageergebnis an den Benutzer auszugeben.preferably, the first application is further adapted to be one of the second Network component obtained and transmitted to the first network component Request result to the user.

Bevorzugt enthält die von der ersten Zugriffssteuerung berechnete eindeutige Benutzeridentifikation den Namen des Benutzers sowie eine Kommunikationsadresse der ersten Zugriffssteuerung, wobei die von der ersten Zugriffssteuerung berechnete eindeutige Benutzeridentifikation vorzugsweise ferner die Domäne der ersten Netzwerkkomponente im Netzwerk angibt.Prefers contains the unique user identification calculated by the first access control the name of the user as well as a communication address of the first Access control, which is calculated by the first access control unique user identification preferably also the domain of the first Network component on the network.

Die vorstehend genannte Aufgabe wird auch durch eine zweite Netzwerkkomponente zur Verwendung in einem Netzwerk, in dem die zweite Netzwerkkomponente über das Netzwerk mit wenigstens einer ersten Netzwerkkomponente verbunden ist, gelöst, wobei die zweite Netzwerkkomponente aufweist:
eine zweite Zugriffssteuerung, um eine einer von der ersten Netzwerkkomponente übermittelten Anfrage beigefügte eindeutige Benutzeridentifikation eines Benutzers der ersten Netzwerkkomponente zu detektieren, anhand der eindeutigen Benutzeridentifikation einen Rechte-Prüfungsauftrag zu erstellen und den Rechte-Prüfungsauftrag über das Netzwerk an die erste Netzwerkkomponente zu übermitteln, wobei die zweite Zugriffssteuerung ferner ausgebildet ist, um einen Zugang des Benutzers zu der zweiten Netzwerkkomponente bereitzustellen, wenn ein von der ersten Zugriffssteuerung übermitteltes Ergebnis einer Überprüfung des Rechte-Prüfungsauftrag ergibt, dass der Benutzer zum Zugang zu der zweiten Netzwerkkomponente berechtigt ist.The above object is also achieved by a second network component for use in a network in which the second network component is connected via the network to at least one first network component, the second network component comprising:
a second access control to detect a unique user identification of a user of the first network component attached to a request transmitted by the first network component, to create a rights audit request based on the unique user identification, and to transmit the rights audit request to the first network component via the network the second access controller is further configured to provide an access of the user to the second network component if a result of a review of the rights check job transmitted by the first access control indicates that the user is authorized to access the second network component.

Dabei kann die Detektion der der von der ersten Netzwerkkomponente übermittelten Anfrage beigefügten eindeutigen Benutzeridentifikation eines Benutzers der ersten Netzwerkkompo nente durch die zweite Zugriffssteuerung sowohl mittelbar als auch unmittelbar erfolgen.there may be the detection of the transmitted from the first network component Request attached unique user identification of a user of the first network component by the second access control both indirectly and immediately respectively.

Bevorzugt weist die zweite Netzwerkkomponente ferner eine zweite Anwendung auf, die ausgebildet ist, um die der Anfrage beigefügte eindeutige Benutzeridentifikation zu detektieren und an die zweite Zugriffssteuerung zum Zwecke der Erstellung des Rechte-Prüfungsauftrages auszugeben und/oder um die Anfrage zur Gewinnung eines Anfrageergebnisses zu bearbeiten und das Anfrageergebnis über das Netzwerk an die erste Netzwerkkomponente zu übermitteln.Prefers the second network component further has a second application which is adapted to the unique user identification attached to the request to detect and to the second access control for the purpose of Creation of the rights examination contract issue and / or the request to obtain a request result to process and the query result over the network to the first Network component to submit.

Weiter ist es vorteilhaft, wenn der von der zweiten Netzwerckomponente erstellte Rechte-Prüfungsauftrag individuelle Zugangskriterien der zweiten Netzwerkkomponente beinhaltet.Further it is advantageous if that of the second network component created rights exam order includes individual access criteria of the second network component.

Im Folgenden werden Ausführungsbeispiele der vorliegenden Erfindung unter Bezugnahme auf die beigefügten Zeichnungen, in denen gleiche Bezugszeichen gleiche Elemente kennzeichnen, näher beschrieben. Dabei zeigtin the Below are embodiments of the present invention with reference to the accompanying drawings, in which like reference numerals designate like elements, described in more detail. It shows

1 schematisch den Aufbau des erfindungsgemäßen Netzwerksystems gemäß einer bevorzugen Ausführungsform; 1 schematically the structure of the network system according to the invention according to a preferred embodiment;

2 ein Ablaufschema des erfindungsgemäßen Verfahrens in dem erfindungsgemäßen Netzwerksystem gemäß der bevorzugten Ausführungsform; 2 a flow chart of the inventive method in the network system according to the invention according to the preferred embodiment;

3a und 3b ein Flussdiagramm des erfindungsgemäßen Verfahrens gemäß einer bevorzugten Ausführungsform; und 3a and 3b a flow chart of the method according to the invention according to a preferred embodiment; and

4 eine Corba Call Chain nach dem Stand der Technik. 4 a Corba call chain according to the prior art.

1 zeigt schematisch den Aufbau eines Netzwerksystems gemäß einer bevorzugten Ausführungsform der vorliegenden Erfindung. 1 schematically shows the structure of a network system according to a preferred embodiment of the present invention.

Das in 1 gezeigte Netzwerksystem weist eine erste Netzwerkkomponente 10 auf, die über ein Netzwerk 1 mit zwei zweiten Netzwerkkomponenten 20 und 30 verbunden ist.This in 1 shown network system has a first network component 10 on that over a network 1 with two second network components 20 and 30 connected is.

In dem gezeigten besonders bevorzugten Ausführungsbeispiel weisen die erste Netzwerkkomponente 10 und die zweiten Netzwerkkomponenten 20, 30 jeweils eine erste Zugriffssteuerung 11 bzw. zweite Zugriffssteuerungen 21 bzw. 31 sowie eine erste Anwendung 12 bzw. zweite Anwendungen 22 bzw. 32 auf.In the particularly preferred embodiment shown, the first network component 10 and the second network components 20 . 30 each a first access control 11 or second access controls 21 respectively. 31 as well as a first application 12 or second applications 22 respectively. 32 on.

In 1 handelt es sich bei der ersten Netzwerkkomponente 10 und den zweiten Netzwerkkomponenten 20 bzw. 30 um miteinander über das Netzwerk 1 vernetzte Computer. Die erste Zugriffssteuerung 11 bzw. die zweiten Zugriffssteuerungen 21, 31 und die erste Anwendung 12 bzw. die zweiten Anwendungen 22, 32 sind in diesem Ausführungsbeispiel auf den jeweiligen Computern 10, 20, 30 laufende Anwendungen. Alternativ können die Zugriffssteuerungen und/oder die Anwendungen jedoch beispielsweise in Form von Mikroprozessor-gesteuerten separaten Bauteilen realisiert sein.In 1 this is the first network component 10 and the second network components 20 respectively. 30 to each other over the network 1 networked computers. The first access control 11 or the second access controls 21 . 31 and the first application 12 or the second An applications 22 . 32 are in this embodiment on the respective computers 10 . 20 . 30 running applications. Alternatively, however, the access controls and / or the applications may be implemented, for example, in the form of microprocessor-controlled separate components.

Auch wenn das in 1 gezeigte Netzwerksystem nur eine einzelne erste Netzwerkkomponente 10 über das Netzwerk 1 mit zwei zweiten Netzwerkkomponenten 20, 30 verbindet, kann alternativ eine beliebige Anzahl von ersten Netzwerkkomponenten über das Netzwerk 1 mit einer beliebigen Anzahl von zweiten Netzwerkkomponenten verbunden sein.Even if that is in 1 network system shown only a single first network component 10 over the network 1 with two second network components 20 . 30 Alternatively, any number of first network components may connect over the network 1 be connected to any number of second network components.

Die in der ersten Netzwerkkomponente 10 enthaltene erste Zugriffssteuerung 11 ist ausgebildet, um eine Anmeldung eines Benutzers bei der ersten Netzwerkkomponente 10 zu überprüfen und einen Zugang eines Benutzers zu der ersten Netzwerkkomponente 10 bereitzustellen, wenn die Überprüfung ergibt, dass der Benutzer zum Zugang zu der ersten Netzwerkkomponente 10 berechtigt ist. Die Anmeldung kann wie bei Computern allgemein üblich beispielsweise über eine Passworteingabe erfolgen.The in the first network component 10 included first access control 11 is configured to register a user with the first network component 10 to check and access a user to the first network component 10 when the verification reveals that the user has access to the first network component 10 is entitled. The registration can be done as usual in computers, for example via a password.

Ferner ist die erste Zugriffssteuerung 11 ausgebildet, um automatisch eine eindeutige Benutzeridentifikation für einen Benutzer der ersten Netzwerkkomponente zu berechnen und an die erste Anwendung 12 der ersten Netzwerkkomponente 10 auszugeben.Furthermore, the first access control is 11 configured to automatically calculate a unique user identification for a user of the first network component and to the first application 12 the first network component 10 issue.

In dem in 1 gezeigten besonders bevorzugten Ausführungsbeispiel enthält die von der ersten Zugriffssteuerung 11 berechnete eindeutige Benutzeridentifikation den Namen des Benutzers sowie eine Kommunikationsadresse der ersten Zugriffssteuerung 11 und gibt ferner die Domäne der ersten Netzwerkkomponente 10 im Netzwerk 1 an. Somit kann die eindeutige Benutzeridentifikation beispielsweise das Format <Benutzername>\<Name der Domäne der ersten Netzwerkkomponente >\<Rechnername>\<Portnummer der Zugriffssteuerung> haben.In the in 1 The particularly preferred embodiment shown includes that of the first access control 11 unique user ID calculated the name of the user as well as a communication address of the first access control 11 and also gives the domain of the first network component 10 in the network 1 at. Thus, the unique user identification may, for example, have the format <username> \ <name of the domain of the first network component> \ <computer name> \ <port number of access control>.

Hierdurch erhält die zweite Netzwerkkomponente über die eindeutige Benutzeridentifikation alle Informationen, die zu einer Delegation der Überprüfung der Zugriffs- und/oder Ausführungsrechte des Benutzers zu der zweiten Netzwerkkomponente von der zweiten Netzwerkkomponente an die erste Netzwerkkomponente erforderlich sind.hereby receives the second network component via the unique user identification all information that belongs to a delegation of the review of the Access and / or Execution Rights the user to the second network component of the second Network component to the first network component required are.

Die in der ersten Netzwerkkomponente 10 enthaltene erste Anwendung 12 ist ausgebildet, um über eine in der 1 nicht explizit gezeigte Benutzerschnittstelle (über welche auch die Anmeldung des Benutzers bei der ersten Zugriffssteuerung 11 erfolgen kann), beispielsweise eine Maus oder eine Tastatur, einen Auftrag des Benutzers an die erste Netzwerkkomponente 10 zu registrieren und festzustellen, ob der Auftrag eine Einbindung von einer oder beiden der zweiten Netzwerkkomponenten 20 und 30 über das Netzwerk 1 bedingt.The in the first network component 10 included first application 12 is trained to have one in the 1 not explicitly shown user interface (via which also the user's login in the first access control 11 can be done), such as a mouse or a keyboard, a job of the user to the first network component 10 to register and determine if the order involves an integration of one or both of the second network components 20 and 30 over the network 1 conditionally.

Die Einbindung von einer oder beiden der zweiten Netzwerkkomponenten 20 und 30 über das Netzwerk 1 kann beispielsweise erforderlich sein, wenn die Rechenkapazität oder Speicherka pazität der ersten Netzwerkkomponente 10 für eine Bearbeitung des Auftrages nicht ausreicht oder für die Bearbeitung in einer oder beiden der zweiten Netzwerkkomponenten 20 und 30 gespeicherte Daten benötigt werden.The integration of one or both of the second network components 20 and 30 over the network 1 may be required, for example, if the computing capacity or storage capacity of the first network component 10 is not sufficient for processing the order or for processing in one or both of the second network components 20 and 30 stored data will be needed.

Anhand des Auftrags erstellt die erste Anwendung 12 automatisch durch geeignete Modifikation des Auftrags eine Anfrage an eine oder beide zweiten Netzwerkkomponenten 20, 30 und übermittelt die Anfrage zusammen mit der von der ersten Zugriffssteuerung 11 erhaltenen eindeutigen Benutzeridentifikation über das Netzwerk 1 an eine oder beide zweite Netzwerkkomponenten 20, 30.Based on the job created the first application 12 automatically by a suitable modification of the order, a request to one or both second network components 20 . 30 and transmits the request along with that from the first access control 11 received unique user identification over the network 1 to one or both of the second network components 20 . 30 ,

Die zweiten Zugriffssteuerungen 21 bzw. 31 der zweiten Netzwerkkomponenten 20 bzw. 30 sind in dem in 1 gezeigten bevorzugten Ausführungsbeispiel ausgebildet, um die der von der ersten Netzwerkkomponente 10 übermittelten Anfrage beigefügte eindeutige Benutzeridentifikation des Benutzers der ersten Netzwerkkomponente 10 zu detektieren und anhand der eindeutigen Benutzeridentifikation einen Rechte-Prüfungsauftrag zu erstellen.The second access controls 21 respectively. 31 the second network components 20 respectively. 30 are in the in 1 shown preferred to that of the first network component 10 Submitted request unique user identification of the user of the first network component 10 to detect and create based on the unique user identification a rights audit order.

Dabei enthält der Rechte-Prüfungsauftrag individuelle Zugangskriterien zu der jeweiligen zweiten Netzwerkkomponente 20 bzw. 30, so dass für eine Genehmigung eines Zugangs des Benutzers zu der jeweiligen zweiten Netzwerkkomponenten 20 bzw. 30 (beispielsweise aufgrund von auf einer der zweiten Netzwerkkomponenten 20 bzw. 30 gespeicherten besonders sensiblen Daten) unterschiedliche Anforderungen gestellt werden können.The rights check order contains individual access criteria for the respective second network component 20 respectively. 30 , allowing for authorization of user access to the respective second network components 20 respectively. 30 (For example, due to on one of the second network components 20 respectively. 30 stored particularly sensitive data) different requirements can be made.

Gemäß einer alternativen Ausführungsform (deren Aufbau gleichwohl dem in 1 gezeigten Aufbau entspricht) erfolgt die Detektion der der Anfrage beigefügten eindeutigen Benutzeridentifikation nicht durch die zweiten Zugriffssteuerungen 21 bzw. 31 sondern durch die zweiten Anwendungen 22, 32.According to an alternative embodiment (the structure of which nevertheless corresponds to that in 1 shown construction), the detection of the unique user identification attached to the request is not performed by the second access controls 21 respectively. 31 but through the second applications 22 . 32 ,

Dies hat den Vorteil, dass die Nomenklatur der eindeutigen Benutzeridentifikation und der Anfrage nur von den zweiten Anwendungen 22, 32 und nicht von den zweiten Zugriffssteuerungen 21, 31 abhängt.This has the advantage that the nomenclature of the unique user identification and the request only from the second applications 22 . 32 and not the second access controls 21 . 31 depends.

Gemäß dieser alternativen Ausführungsform wird eine detektierte eindeutige Benutzeridentifikation von den zweiten Anwendungen 22, 32 zum Zwecke der Erstellung des Rechte-Prüfungsauftrages automatisch an die jeweilige zweite Zugriffssteuerung 21 bzw. 31 ausgegeben. Hierfür kann die eindeutige Benutzeridentifikation durch die jeweilige zweite Anwendung 22, 32 zuvor geeignet kodiert worden sein.According to this alternative embodiment, a detected unique user identification will be from the second applications 22 . 32 for two automatically create the rights audit job to the respective second access control 21 respectively. 31 output. For this purpose, the unique user identification by the respective second application 22 . 32 previously encoded appropriately.

Der von der jeweiligen zweiten Zugriffssteuerung 21 bzw. 31 der zweiten Netzwerkkomponenten 20 bzw. 30 erstellte Rechte-Prüfungsauftrag wird von der jeweiligen zweiten Netzwerkkomponente 20 bzw. 30 über das Netzwerk 1 an die erste Zugriffssteuerung 11 der ersten Netzwerkkomponente 10 übermittelt.That of the respective second access control 21 respectively. 31 the second network components 20 respectively. 30 created rights audit order is from the respective second network component 20 respectively. 30 over the network 1 to the first access control 11 the first network component 10 transmitted.

Die erste Zugriffssteuerung 11 der ersten Netzwerkkomponente 10 erhält die übermittelten Rechte-Prüfungsaufträge der zweiten Netzwerkkomponenten 20 bzw. 30 und überprüft anhand der in den Rechte-Prüfungsaufträgen enthaltenen individuellen Zugangskriterien zu den jeweiligen zweiten Netzwerkkomponenten 20 bzw. 30 die Zugangsberechtigung des Benutzers zu der jeweiligen zweiten Netzwerkkomponente 20 bzw. 30.The first access control 11 the first network component 10 Receives the transmitted rights check jobs of the second network components 20 respectively. 30 and checks against the individual second network components based on the individual access criteria contained in the rights audit jobs 20 respectively. 30 the access authorization of the user to the respective second network component 20 respectively. 30 ,

Das so ermittelte Ergebnis, welches angibt, ob der Benutzer der ersten Netzwerkkomponente 10 zu einem Zugang zu der jeweiligen zweiten Netzwerkkomponente 20 bzw. 30 berechtigt ist, wird von der ersten Zugriffssteuerung 11 über das Netzwerk 1 an die jeweilige zweite Netzwerkkomponente 20 bzw. 30 übermittelt.The result thus determined, which indicates whether the user of the first network component 10 to an access to the respective second network component 20 respectively. 30 is authorized by the first access control 11 over the network 1 to the respective second network component 20 respectively. 30 transmitted.

Die zweiten Zugriffssteuerungen 21 bzw. 31 der zweiten Netzwerkkomponenten 20 bzw. 30 stellen in Abhängigkeit vom Inhalt eines von der ersten Zugriffssteuerung 11 der ersten Netz werkkomponente 10 übermittelten Ergebnisses einen Zugang des Benutzers der ersten Netzwerkkomponente 10 zu der zweiten Netzwerkkomponente 20 bzw. 30 bereit.The second access controls 21 respectively. 31 the second network components 20 respectively. 30 depending on the content of one of the first access control 11 the first network component 10 transmitted result access the user of the first network component 10 to the second network component 20 respectively. 30 ready.

Wenn der Benutzer der ersten Netzwerkkomponente 10 zu einem Zugang zu der jeweiligen zweiten Netzwerkkomponente 20 bzw. 30 berechtigt ist, wird die Anfrage der ersten Anwendung 12 der ersten Netzwerkkomponente 10 automatisch von der jeweiligen zweiten Zugriffssteuerung 21 bzw. 31 an die jeweilige zweite Anwendung 22 bzw. 32 der jeweiligen zweiten Netzwerckomponente 20 bzw. 30 weitergeleitet und von dieser bearbeitet, um ein entsprechendes Anfrageergebnis zu gewinnen.If the user of the first network component 10 to an access to the respective second network component 20 respectively. 30 is entitled, the request is the first application 12 the first network component 10 automatically from the respective second access control 21 respectively. 31 to the respective second application 22 respectively. 32 the respective second network component 20 respectively. 30 forwarded and processed by this, in order to win a corresponding query result.

Das Anfrageergebnis wird von der jeweiligen zweiten Anwendung 22 bzw. 32 der jeweiligen zweiten Netzwerkkomponente 20 bzw. 30 automatisch über das Netzwerk 1 an die erste Anwendung 12 der ersten Netzwerkkomponente 10 übermittelt und von dieser durch eine geeignete, in 1 nicht ausdrücklich gezeigte Schnittstelle, beispielsweise einen Monitor oder Drucker, an den Benutzer der ersten Netzwerkkomponente 10 ausgegeben.The request result is from the respective second application 22 respectively. 32 the respective second network component 20 respectively. 30 automatically over the network 1 to the first application 12 the first network component 10 and transmitted by it through a suitable, in 1 not explicitly shown interface, such as a monitor or printer, to the user of the first network component 10 output.

Es ist offensichtlich dass die Übermittlung des Anfrageergebnisses von der jeweiligen zweiten Anwendung 22 bzw. 32 über das Netzwerk 1 an die erste Anwendung 12 und die Ausgabe des empfangenen Anfrageergebnisses durch die erste Anwendung 12 an den Benutzer nur fakultativ sind, falls die jeweilige Art bzw. Natur des Anfrageergebnisses eine Übermittlung und Ausgabe zulässt.It is obvious that the transmission of the request result from the respective second application 22 respectively. 32 over the network 1 to the first application 12 and the output of the received request result by the first application 12 to the user are only optional, if the respective nature or nature of the request result allows a transmission and output.

Besteht die Anfrage beispielsweise in einem Druckauftrag an die jeweilige zweite Anwendung 22 bzw. 32, wobei der Druck durch die jeweilige zweite Anwendung 22 bzw. 32 erfolgen soll, so ist eine Übermittlung des Anfrageergebnisses von der jeweiligen zweiten Anwendung 22 bzw. 32 über das Netzwerk 1 an die erste Anwendung 12 und die Ausgabe des empfangenen Anfrageergebnisses durch die erste Anwendung 12 an den Benutzer nicht sinnvoll.If the request exists, for example, in a print job to the respective second application 22 respectively. 32 wherein the pressure is through the respective second application 22 respectively. 32 should be done, so is a transmission of the request result of the respective second application 22 respectively. 32 over the network 1 to the first application 12 and the output of the received request result by the first application 12 to the user does not make sense.

Im Folgenden wird die Arbeitsweise des in 1 gezeigten erfindungsgemäßen Netzwerksystems unter Bezugnahme auf das in 2 gezeigte Ablaufschema und das in den 3a und 3b gezeigte Flussdiagramm näher erläutert.The following is the operation of the in 1 shown network system according to the invention with reference to the in 2 shown flow chart and that in the 3a and 3b Flowchart shown explained in more detail.

In einem ersten Schritt S1 erfolgt eine Anmeldung 9 eines Benutzer 2 bei der ersten Zugriffssteuerung 11 der ersten Netzwerkkomponente 10.In a first step S1, an application is made 9 a user 2 at the first access control 11 the first network component 10 ,

Im folgenden Schritt S2 wird die Anmeldung 9 durch die erste Zugriffssteuerung 11 überprüft.In the following step S2, the application 9 through the first access control 11 checked.

Wenn die erste Zugriffssteuerung 11 entscheidet, dass der Benutzer 2 zum Zugang zu der ersten Netzwerkkomponente 10 berechtigt ist, stellt die erste Zugriffssteuerung 11 einen Zugang des Benutzers 2 zu der ersten Netzwerkkomponente 10 in Schritt S3 bereit.If the first access control 11 decides that the user 2 for access to the first network component 10 is authorized, represents the first access control 11 an access of the user 2 to the first network component 10 ready in step S3.

Stellt die erste Zugriffssteuerung 11 hingegen fest, dass der Benutzer 2 aufgrund der Anmeldung 9 nicht zum Zugang zu der ersten Netzwerkkomponente 10 berechtigt ist, so verweigert die erste Zugriffssteuerung 11 der ersten Netzwerkkomponente 10 in Schritt S16 den Zugang des Benutzers 2 zu der ersten Netzwerkkomponente 10 und terminiert das Verfahren.Represents the first access control 11 however, it states that the user 2 due to the registration 9 not to access the first network component 10 is authorized, so denied the first access control 11 the first network component 10 in step S16, the user's access 2 to the first network component 10 and terminate the procedure.

Wurde in Schritt S3 ein Zugang des Benutzers 2 zu der ersten Netzwerkkomponente 10 hergestellt, so berechnet die erste Zugriffssteuerung 11 im folgenden Schritt S4 automatisch eine eindeutige Benutzeridentifikation 3 für den Benutzer 2 der ersten Netzwerkkomponente 10, wobei die eindeutige Benutzeridentifikation 3 den Namen des Benutzers 2, eine Kommunikationsadresse der ersten Zugriffssteuerung 11 der ersten Netzwerkkomponente 10 sowie die Domäne der ersten Netzwerkkomponente 10 im Netzwerk enthält.Was in step S3, an access of the user 2 to the first network component 10 established, the first access control calculates 11 in the following step S4 automatically a unique user identification 3 for the user 2 the first network component 10 where the unique user identification 3 the name of the user 2 , a communication address of the first access control 11 the first network component 10 and the domain of the first network component 10 on the network.

Im folgenden Schritt S5 registriert die erste Anwendung 12 der ersten Netzwerkkomponente 10 automatisch einen Auftrag 4 des Benutzers 2, wobei der Auftrag 4 aufgrund seiner Art eine Einbindung der wenigstens einen zweiten Netzwerkkomponente 20 über das Netzwerk bedingt.In the following step S5 registers the first application 12 the first network component 10 automatically an order 4 the user 2 , where the order 4 due to its nature, an integration of the at least one second network component 20 over the network conditionally.

Anschließend erzeugt die erste Anwendung 12 der ersten Netzwerkkomponente 10 in Schritt S6 durch Modifikation des Auftrags 4 automatisch eine Anfrage 5 und übermittelt die so erstellte Anfrage 5 automatisch zusammen mit der eindeutigen Benutzeridentifikation 3 über das Netzwerk an die zweite Netzwerkkomponente 20.Subsequently, the first application generates 12 the first network component 10 in step S6 by modifying the job 4 automatically a request 5 and transmits the request created in this way 5 automatically together with the unique user identification 3 over the network to the second network component 20 ,

Dabei kann die eindeutige Benutzeridentifikation 3 der ersten Anwendung 12 der ersten Netzwerkkomponente 10 gemäß einem ersten Ausführungsbeispiel zuvor durch die erste Zugriffssteuerung 11 mitgeteilt worden sein.This can be the unique user identification 3 the first application 12 the first network component 10 according to a first embodiment previously by the first access control 11 have been communicated.

Alternativ wird die eindeutige Benutzeridentifikation 3 der von der ersten Anwendung 12 übermittelten Anfrage 5 durch die erste Zugriffssteuerung 11 bei der Übermittlung der Anfrage 5 an die zweite Netzwerkkomponente 20 automatisch beigefügt, so dass keine Mitteilung der eindeutigen Benutzeridentifikation 3 durch die erste Zugriffssteuerung 11 an die erste Anwendung 12 erfolgen muss.Alternatively, the unique user identification 3 the one from the first application 12 submitted request 5 through the first access control 11 when submitting the request 5 to the second network component 20 automatically attached, so no message of unique user identification 3 through the first access control 11 to the first application 12 must be done.

Die der Anfrage 5 beigefügte eindeutige Benutzeridentifikation 3 wird von der zweiten Zugriffssteuerung 21 der zweiten Netzwerkkomponente 20 in Schritt S7 automatisch detektiert.The request 5 attached unique user identification 3 is from the second access control 21 the second network component 20 automatically detected in step S7.

Alternativ kann die Übermittlung der Anfrage 5 zusammen mit der eindeutigen Benutzeridentifikation 3 in Schritt S6 auch direkt an die zweite Anwendung 22 der zweiten Netzwerkkomponente 20 erfolgen, welche die der Anfrage 5 beigefügte eindeutige Benutzeridentifikation in Schritt S7 detektiert und zum Zwecke der Prüfung der Zugriffsberechtigung an die zweite Zugriffssteuerung 21 weiterleitet.Alternatively, the transmission of the request 5 together with the unique user identification 3 in step S6 also directly to the second application 22 the second network component 20 which are the request 5 attached unique user identification detected in step S7 and for the purpose of checking the access authorization to the second access control 21 forwards.

Im folgenden Schritt S8 erstellt die zweite Zugriffssteuerung 21 anhand der detektierten eindeutigen Benutzeridentifikation 3 und basierend auf individuellen Zugangskriterien der zweiten Netzwerkkomponente 20 automatisch einen Rechte-Prüfungsauftrag 6.In the following step S8 creates the second access control 21 based on the detected unique user identification 3 and based on individual access criteria of the second network component 20 automatically a rights exam order 6 ,

Anschließend übermittelt die zweite Zugriffssteuerung 21 der zweiten Netzwerkkomponente 20 den Rechte-Prüfungsauftrag 6 in Schritt S9 automatisch über das Netzwerk an die erste Netzwerkkomponente 10.Subsequently, the second access control transmits 21 the second network component 20 the rights exam order 6 in step S9 automatically over the network to the first network component 10 ,

Der von der zweiten Zugriffssteuerung 21 übermittelte Rechte-Prüfungsauftrag 6 wird von der ersten Zugriffssteuerung 11 der ersten Netzwerkkomponente 10 empfangen. Die erste Zugriffssteuerung 11 prüft in Schritt S10 automatisch die Zugangsberechtigung des Benutzers 2 zu der zweiten Netzwerkkomponente 20 anhand des Rechte-Prüfungsauftrages 6 unter Berücksichtung der in dem Rechte-Prüfungsauftrag 6 enthaltenen individuellen Zugangskriterien für die zweite Netzwerkkomponente 20.The second access control 21 Submitted rights examination order 6 is from the first access control 11 the first network component 10 receive. The first access control 11 automatically checks the access authorization of the user in step S10 2 to the second network component 20 on the basis of the rights examination order 6 taking into account the rights examination commission 6 contained individual access criteria for the second network component 20 ,

Das Ergebnis 7 der Überprüfung wird im folgenden Schritt S11 von der ersten Zugriffssteuerung 11 der ersten Netzwerkkomponente 10 automatisch über das Netzwerk an die zweite Zugriffssteuerung 21 der zweiten Netzwerkkomponente 20 übermittelt.The result 7 the check is made in the following step S11 from the first access control 11 the first network component 10 automatically over the network to the second access control 21 the second network component 20 transmitted.

Die zweite Zugriffssteuerung 21 prüft, ob das übermittelte Ergebnis 7 angibt, dass der Benutzer 2 zum Zugang zu der zweiten Netzwerkkomponente 10 berechtigt ist.The second access control 21 checks if the submitted result 7 indicates that the user 2 accesses the second network component 10 is entitled.

Ist dies nicht der Fall, verweigert die zweite Zugriffssteuerung 21 den Zugang des Benutzers 2 zu der zweiten Netzwerckomponente 20 in Schritt S17 und terminiert das Verfahren.If not, the second access control is denied 21 the user's access 2 to the second network component 20 in step S17 and terminates the process.

Anderenfalls stellt die zweite Zugriffssteuerung 21 den Zugang des Benutzers 2 zu der zweiten Netzwerkkomponente 20 in Schritt S12 bereit.Otherwise, the second access control 21 the user's access 2 to the second network component 20 ready in step S12.

Sofern nicht bereits in einem früheren Stadium erfolgt, übermittelt die zweite Zugriffssteuerung 21 anschließend die Anfrage 5 and die zweite Anwendung 22. Dabei kann erforderlichenfalls zusätzlich auch das Ergebnis 7 der Überprüfung der Zugriffsberechtigung des Benutzers 2 zu der zweiten Netzwerckomponente 20 von der zweiten Zugriffssteuerung 21 an die zweite Anwendung 22 übermittelt werden.Unless already done at an earlier stage, the second access control submits 21 then the request 5 and the second application 22 , If necessary, in addition, the result 7 checking the access authorization of the user 2 to the second network component 20 from the second access control 21 to the second application 22 be transmitted.

Wird das Ergebnis 7 der Überprüfung der Zugriffsberechtigung des Benutzers 2 zu der zweiten Netzwerkkomponente 20 von der zweiten Zugriffssteuerung 21 an die zweite Anwendung 22 übertragen, so erlangt die zweite Anwendung 22 Kenntnis darüber, ob sie für den Benutzer 2 der ersten Netzwerkkomponente 10 tätig werden darf.Will the result 7 checking the access authorization of the user 2 to the second network component 20 from the second access control 21 to the second application 22 transferred, then obtained the second application 22 Knowing if they are for the user 2 the first network component 10 may act.

Im folgenden Schritt S13 bearbeitet die zweite Anwendung 22 die Anfrage 5 zur Gewinnung eines Anfrageergebnisses 8.In the following step S13, the second application processes 22 the request 5 to obtain a request result 8th ,

Das Anfrageergebnis 8 wird anschließend (Schritt S14) von der zweiten Anwendung 22 über die zweite Zugriffssteuerung 21 über das Netzwerk an die erste Netzwerkkomponente 10 übermittelt.The request result 8th is subsequently (step S14) of the second application 22 via the second access control 21 over the network to the first network component 10 transmitted.

Eine derartige Übermittlung des Anfrageergebnisses 8 von der zweiten Anwendung 22 an die erste Netzwerkkomponente 10 erfolgt natürlich nur wenn die Art des Anfrageergebnisses 8 eine Übermittlung erforderlich macht.Such a transmission of the request result 8th from the second application 22 to the first network component 10 Of course, this only happens if the nature of the request result 8th requires a transmission.

Das Anfrageergebnis 8 wird von der ersten Anwendung 12 der ersten Netzwerkkomponente 10 über die erste Zugriffssteuerung 11 empfangen und in Schritt S15 an den Benutzer 2 der ersten Netzwerkkomponente 10 ausgegeben. Damit endet das Verfahren.The request result 8th is from the first application 12 the first network component 10 via the first access control 11 received and in step S15 to the user 2 the first network component 10 output. This ends the procedure.

Gemäß einer besonders bevorzugten Ausführungsform ist die Erfindung in Form eines Computerprogramms implementiert, welches zur Ausführung des erfindungsgemäßen Verfahrens nach einem der Ansprüche 1 bis 13 geeignet ist, wenn es in einen Computer geladen ist.According to one particularly preferred embodiment the invention is implemented in the form of a computer program, which for execution the method according to the invention according to one of the claims 1 to 13 when loaded into a computer.

Somit wird gemäß der vorliegenden Erfindung durch die Übermittlung der eindeutigen Benutzeridentifikation 3 kein mit dem jeweiligen Benutzer 2 verbundenes Zugriffs- und/oder Ausführungsrecht übermittelt, sondern lediglich eine Referenzierung auf die Zugriffs- bzw. Ausführungsrechte des jeweiligen Benutzer 2 auf der jeweiligen ersten Netzwerkkomponente 10 weitergegeben. Die eindeutige Benutzeridentifikation 3 wird von der zweiten Netzwerkkomponente 20, 30 somit nur zum Zwecke der Delegierung der Überprüfung der Zugriffs- und/oder Ausführungsrechte des Benutzers 2 hinsichtlich der zweiten Netzwerkkomponente 20, 30 an die erste Netzwerkkomponente 10 ausgewertet und nicht, um der eindeutigen Benutzeridentifikation 3 direkt die Zugriffs- und/oder Ausführungsrechte des Benutzers zu entnehmen.Thus, according to the present invention, the transmission of the unique user identification 3 none with the respective user 2 connected access and / or execution right, but only a reference to the access or execution rights of each user 2 on the respective first network component 10 passed. The unique user identification 3 is from the second network component 20 . 30 thus only for the purpose of delegating the review of the user's access and / or execution rights 2 with regard to the second network component 20 . 30 to the first network component 10 evaluated and not to the unique user identification 3 directly to remove the access and / or execution rights of the user.

Aufgrund des Inhalts der von der zweiten Netzwerkkomponente 20, 30 detektierten eindeutigen Benutzeridentifikation 3 wird die physikalische Überprüfung der Zugriffs- und/oder Ausführungsrechte erfindungsgemäß von der zweiten Netzwerkkomponente 20, 30 auf die erste Netzwerkkomponente 10 zurückdelegiert. Folglich erfolgt die physikalische Überprüfung der Zugriffs- und/oder Ausführungsrechte außerhalb des direkten Zugriffs auf die jeweilige zweite Netzwerkkomponente 20, 30.Due to the content of the second network component 20 . 30 detected unique user identification 3 is the physical verification of access and / or execution rights according to the invention of the second network component 20 . 30 to the first network component 10 back delegated. Consequently, the physical checking of the access and / or execution rights takes place outside the direct access to the respective second network component 20 . 30 ,

Aufgrund der Delegation der Überprüfung der Zugriffs- und/oder Ausführungsrechte des Benutzers hinsichtlich der zweiten Netzwerkkomponente 20, 30 von der zweiten Netzwerckomponente 20, 30 an die erste Netzwerkkomponente 10 durch Erstellung und Übermittlung eines Rechte-Prüfungsauftrages 6 ist die erfindungsgemäße Lösung äußerst flexibel, da sie ohne einen Zentralrechner im Netzwerk 1 auskommt und der jeweilige Benutzer 2 der jeweiligen zweiten Netzwerkkomponente 20, 30 nicht einmal bekannt sein muss. Eine Konfiguration der Zugriffs- und/oder Ausführungsrechte des Benutzers 2 auf der jeweiligen zweiten Netzwerkkomponente 20, 30 oder eine Anmeldung des Benutzers 2 bei der jeweiligen zweiten Netzwerkkomponente 20, 30 ist somit nicht erforderlich. Hierdurch kann das Netzwerk 1 flexibel erweitert werden und die erste Netzwerkkomponente 10 Anfragen an eine beliebige Anzahl von zweiten Netzwerkkomponenten 20, 30 verteilen.Due to the delegation of verification of the user's access and / or execution rights with respect to the second network component 20 . 30 from the second network component 20 . 30 to the first network component 10 through the creation and transmission of a rights examination contract 6 the solution according to the invention is extremely flexible, since it is without a central computer in the network 1 gets along and the respective user 2 the respective second network component 20 . 30 does not even have to be known. A configuration of the user's access and / or execution rights 2 on the respective second network component 20 . 30 or a user login 2 at the respective second network component 20 . 30 is not required. This allows the network 1 be flexibly expanded and the first network component 10 Requests to any number of second network components 20 . 30 to distribute.

Da zudem zusammen mit der eindeutigen Benutzeridentifikation 3 keine direkten Zugriffs- und/oder Ausführungsrechte übermittelt werden, können diese von einem unbefugten Dritten auch nicht abgefangen und missbraucht werden, so dass die erfindungsgemäße Lösung ein hohes Maß an Sicherheit gegenüber Manipulation gewährleistet.In addition, together with the unique user identification 3 no direct access and / or execution rights are transmitted, they can not be intercepted and misused by an unauthorized third party, so that the inventive solution ensures a high degree of security against manipulation.

Durch die automatische Überprüfung der Berechtigung des Benutzers 2 auf Zugang zu der ersten Netzwerkkomponente 10 gemäß der vorstehend beschriebenen bevorzugten Ausführungsform wird zudem sichergestellt, dass die Zugriffs- und/oder Ausführungsrechte des Benutzers 2 durch die erste Netzwerkkomponente 10 richtig erfasst werden und die tatsächliche Identität des Benutzers 2 sichergestellt ist.By automatically checking the authorization of the user 2 access to the first network component 10 In addition, according to the preferred embodiment described above, it is ensured that the user's access and / or execution rights 2 through the first network component 10 be properly recorded and the actual identity of the user 2 is ensured.

Anhand der in dem Rechte-Prüfungsauftrag 6 vorzugsweise enthaltenen individuellen Zugangskriterien ist es der ersten Netzwerkkomponente 10 möglich, die Zugriffs- und/oder Ausführungsrechte des Benutzers 2 der ersten Netzwerkkomponente 10 zu der zweiten Netzwerkkomponente 20, 30 individuell für die jeweilige zweite Netzwerkkomponente 20, 30 zu überprüfen.Based on the in the rights exam order 6 preferably containing individual access criteria, it is the first network component 10 possible, the access and / or execution rights of the user 2 the first network component 10 to the second network component 20 . 30 individually for the respective second network component 20 . 30 to check.

Claims (28)

Verfahren zur Steuerung eines Zugangs einer ersten Netzwerkkomponente (10) zu wenigstens einer zweiten Netzwerkkomponente (20, 30), wobei die erste Netzwerkkomponente (10) und die wenigstens eine zweite Netzwerkkomponente (20, 30) über ein Netzwerk (1) verbunden sind und das Verfahren die folgenden Schritte umfasst: – (S4) Berechnen einer eindeutigen Benutzeridentifikation (3) für einen Benutzer (2) der ersten Netzwerkkomponente (10) durch die erste Netzwerkkomponente (10); – (S5) Registrierung eines Auftrages (4) des Benutzers (2) an die erste Netzwerkkomponente (10) durch die erste Netzwerckomponente (10), wobei der Auftrag (4) eine Einbindung der wenigstens einen zweiten Netzwerkkomponente (20, 30) über das Netzwerk (1) bedingt; – (S6) Übermittlung einer durch die erste Netzwerkkomponente (10) anhand des Auftrages (4) erstellten Anfrage (5) zusammen mit der eindeutigen Benutzeridentifikation (3) durch die erste Netzwerkkomponente (10) über das Netzwerk (1) an die zweite Netzwerkkomponente (20, 30); – (S7) Detektion der der Anfrage (5) beigefügten eindeutigen Benutzeridentifikation (3) durch die zweite Netzwerkkomponente (20, 30); – (S8) Erstellung eines Rechte-Prüfungsauftrages (6) durch die zweite Netzwerkkomponente (20, 30) anhand der detektierten eindeutigen Benutzeridentifikation (3); – (S9) Übermittlung des Rechte-Prüfungsauftrages (6) durch die zweite Netzwerkkomponente (20, 30) über das Netzwerk (1) an die erste Netzwerkkomponente (10); – (S10) Überprüfung der Zugangsberechtigung des Benutzers (2) zu der zweiten Netzwerkkomponente (20, 30) durch die erste Netzwerkkomponente (10) anhand des Rechte-Prüfungsauftrages (6); – (S11) Übermittlung eines Ergebnisses (7) der Überprüfung durch die erste Netzwerkkomponente (10) über das Netzwerk (1) an die zweite Netzwerkkomponente (20, 30); und – (S12) Bereitstellung des Zugangs des Benutzers (2) zu der zweiten Netzwerkkomponente (20, 30) durch die zweite Netzwerkkomponente (20, 30), wenn das übermittelte Ergebnis (7) der Überprüfung angibt, dass der Benutzer (2) zum Zugang zu der zweiten Netzwerkkomponente (20, 30) berechtigt ist.Method for controlling access of a first network component ( 10 ) to at least one second network component ( 20 . 30 ), the first network component ( 10 ) and the at least one second network component ( 20 . 30 ) over a network ( 1 ) and the method comprises the following steps: - (S4) calculating a unique user identification ( 3 ) for a user ( 2 ) of the first network component ( 10 ) by the first network component ( 10 ); - (S5) Registration of an order ( 4 ) of the user ( 2 ) to the first network component ( 10 ) by the first network component ( 10 ), whereby the order ( 4 ) an integration of the at least one second network component ( 20 . 30 ) over the network ( 1 ) conditionally; - (S6) Transmission of a message by the first network component ( 10 ) based on the order ( 4 ) ( 5 ) together with the unique user identification ( 3 ) by the first network component ( 10 ) over the network ( 1 ) to the second network component ( 20 . 30 ); - (S7) Detection of the request ( 5 ) attached unique user identification ( 3 ) by the second network component ( 20 . 30 ); - (S8) Creation of a rights examination contract ( 6 ) by the second network component ( 20 . 30 ) at hand of the detected unique user identification ( 3 ); - (S9) Transmission of the Rights Audit Order ( 6 ) by the second network component ( 20 . 30 ) over the network ( 1 ) to the first network component ( 10 ); - (S10) checking the access authorization of the user ( 2 ) to the second network component ( 20 . 30 ) by the first network component ( 10 ) on the basis of the rights examination order ( 6 ); - (S11) transmission of a result ( 7 ) checking by the first network component ( 10 ) over the network ( 1 ) to the second network component ( 20 . 30 ); and - (S12) providing the user's access ( 2 ) to the second network component ( 20 . 30 ) by the second network component ( 20 . 30 ), if the transmitted result ( 7 ) the verification indicates that the user ( 2 ) for access to the second network component ( 20 . 30 ) is entitled. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das Verfahren ferner die folgenden Schritte aufweist: – (S1) Anmeldung des Benutzers (2) bei der ersten Netzwerckomponente (10); – (S2) Überprüfung der Anmeldung durch die erste Netzwerkkomponente (10); und – (S3) Bereitstellung eines Zugangs des Benutzers (2) zu der ersten Netzwerkkomponente (10) durch die erste Netzwerkkomponente (10), wenn die Überprüfung ergibt, dass der Benutzer (2) zum Zugang zu der ersten Netzwerkkomponente (10) berechtigt ist.Method according to claim 1, characterized in that the method further comprises the following steps: - (S1) user's registration ( 2 ) at the first network component ( 10 ); - (S2) Verification of the application by the first network component ( 10 ); and - (S3) providing a user's access ( 2 ) to the first network component ( 10 ) by the first network component ( 10 ), if the verification shows that the user ( 2 ) for access to the first network component ( 10 ) is entitled. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass die Berechnung (S4) der eindeutigen Benutzeridentifikation (3) für den Benutzer (2) der ersten Netzwerkkomponente (10) unmittelbar nach der (S3) Bereitstellung des Zugangs des Benutzers (2) zu der ersten Netzwerkkomponente (10) erfolgt.Method according to Claim 2, characterized in that the calculation (S4) of the unique user identification (S4) 3 ) for the user ( 2 ) of the first network component ( 10 ) immediately after the (S3) provision of the user's access ( 2 ) to the first network component ( 10 ) he follows. Verfahren nach Anspruch 1, 2 oder 3, dadurch gekennzeichnet, dass das Verfahren ferner die folgenden Schritte aufweist: – (S13) Bearbeitung der Anfrage (5) durch die zweite Netzwerkkomponente (20, 30) zur Gewinnung eines Anfrageergebnisses (8); – (S14) Übermittlung des Anfrageergebnisses (8) durch die zweite Netzwerkkomponente (20, 30) über das Netzwerk (1) an die erste Netzwerkkomponente (10); und – (S15) Ausgabe des empfangenen Anfrageergebnisses (8) durch die erste Netzwerkkomponente (10) an den Benutzer (2).A method according to claim 1, 2 or 3, characterized in that the method further comprises the following steps: - (S13) processing of the request ( 5 ) by the second network component ( 20 . 30 ) to obtain a query result ( 8th ); - (S14) transmission of the request result ( 8th ) by the second network component ( 20 . 30 ) over the network ( 1 ) to the first network component ( 10 ); and - (S15) output the received request result ( 8th ) by the first network component ( 10 ) to the user ( 2 ). Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass die eindeutige Benutzeridentifikation (3) den Namen des Benutzers (2) sowie eine Kommunikationsadresse der ersten Netzwerkkomponente (10) enthält.Method according to one of the preceding claims, characterized in that the unique user identification ( 3 ) the name of the user ( 2 ) as well as a communication address of the first network component ( 10 ) contains. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass die eindeutige Benutzeridentifikation (3) ferner die Domäne der ersten Netzwerkkomponente (10) im Netzwerk (1) angibt.Method according to claim 5, characterized in that the unique user identification ( 3 ) the domain of the first network component ( 10 ) in the network ( 1 ) indicates. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass der von der zweiten Netzwerkkomponente (20, 30) erstellte Rechte-Prüfungsauftrag (6) individuelle Zugangskriterien der jeweiligen zweiten Netzwerkkomponente (20, 30) beinhaltet.Method according to one of the preceding claims, characterized in that that of the second network component ( 20 . 30 ) created rights examination order ( 6 ) individual access criteria of the respective second network component ( 20 . 30 ) includes. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass die Schritte der (S1) Anmeldung des Benutzers (2) bei der ersten Netzwerkkomponente (10), der (S2) Überprüfung der Anmeldung durch die erste Netzwerkkomponente (10) und der (S3) Bereitstellung des Zugangs des Benutzers (2) zu der ersten Netzwerkkomponente (10) und/oder des (S4) Berechnen einer eindeutigen Benutzeridentifikation (3) für einen Benutzer (2) der ersten Netzwerkkomponente (10) und/oder der (S10) Überprüfung der Zugangsberechtigung des Benutzers (2) zu der zweiten Netzwerkkomponente (20, 30) anhand des Rechte-Prüfungsauftrages (6) und/oder der (S9) Übermittlung des Überprüfungsergebnisses (7) über das Netzwerk (1) an die zweite Netzwerkkomponente (20, 30) durch eine erste Zugriffssteuerung (11) der ersten Netzwerkkomponente (10) erfolgen.Method according to one of the preceding claims, characterized in that the steps of the (S1) application of the user ( 2 ) at the first network component ( 10 ), the (S2) check of the registration by the first network component ( 10 ) and the (S3) provision of the user's access ( 2 ) to the first network component ( 10 ) and / or (S4) calculating a unique user identification ( 3 ) for a user ( 2 ) of the first network component ( 10 ) and / or the (S10) checking the access authorization of the user ( 2 ) to the second network component ( 20 . 30 ) on the basis of the rights examination order ( 6 ) and / or the (S9) transmission of the check result ( 7 ) over the network ( 1 ) to the second network component ( 20 . 30 ) by a first access control ( 11 ) of the first network component ( 10 ) respectively. Verfahren nach Anspruch 8, dadurch gekennzeichnet, dass die eindeutige Benutzeridentifikation (3) den Namen des Benutzers (2) sowie eine Kommunikationsadresse der ersten Zugriffssteuerung (11) enthält.Method according to claim 8, characterized in that the unique user identification ( 3 ) the name of the user ( 2 ) as well as a communication address of the first access control ( 11 ) contains. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass die Schritte der (S5) Registrierung des Auftrages (4) des Benutzers (2) an die erste Netzwerkkomponente (10) und/oder der (S6) Übermittlung der anhand des Auftrages (4) erstellten Anfrage (5) zusammen mit der eindeutigen Benutzeridentifikation (3) über das Netzwerk (1) an die zweite Netzwerkkomponente (20, 30) und/oder der (S15) Ausgabe des Anfrageergebnisses (8) an den Benutzer (2) durch eine auf der ersten Netzwerkkomponente (10) laufende erste Anwendung (12) erfolgen.Method according to one of the preceding claims, characterized in that the steps of the (S5) registration of the order ( 4 ) of the user ( 2 ) to the first network component ( 10 ) and / or the (S6) transmission of the order ( 4 ) ( 5 ) together with the unique user identification ( 3 ) over the network ( 1 ) to the second network component ( 20 . 30 ) and / or the (S15) output of the request result ( 8th ) to the user ( 2 ) by one on the first network component ( 10 ) running first application ( 12 ) respectively. Verfahren nach Anspruch 10, dadurch gekennzeichnet, dass die erste Anwendung (12) die Anfrage (5) durch Modifizierung des Auftrages (4) erzeugt.Method according to claim 10, characterized in that the first application ( 12 ) the request ( 5 ) by modifying the order ( 4 ) generated. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass die Schritte der (S7) Detektion der der Anfrage (5) beigefügten eindeutigen Benutzeridentifikation (3) und/oder der (S8) Erstellung eines Rechte-Prüfungsauftrages (6) anhand der eindeutigen Benutzeridentifikation (3) und/oder der (S9) Übermittlung des Rechte-Prüfungsauftrages (6) über das Netzwerk (1) an die erste Netzwerkkomponente (10) und/oder der (S12) Bereitstellung des Zugangs des Benutzers (2) zu der zweiten Netzwerkkomponente (20, 30) durch eine zweite Zugriffssteuerung (21, 31) der zweiten Netzwerkkomponente (20, 30) erfolgen.Method according to one of the preceding claims, characterized in that the Steps of (S7) detection of the request ( 5 ) attached unique user identification ( 3 ) and / or the (S8) creation of a rights examination order ( 6 ) based on the unique user identification ( 3 ) and / or the (S9) transmission of the rights audit order ( 6 ) over the network ( 1 ) to the first network component ( 10 ) and / or the (S12) provision of the user's access ( 2 ) to the second network component ( 20 . 30 ) by a second access control ( 21 . 31 ) of the second network component ( 20 . 30 ) respectively. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass die Schritte der (S7) Detektion der der Anfrage (5) beigefügten eindeutigen Benutzeridentifikation (3) und/oder der (S13) Bearbeitung der Anfrage (5) zur Gewinnung eines Anfrageergebnisses (8) und/oder der (S14) Übermittlung des Anfrageergebnisses (8) über das Netzwerk (1) an die erste Netzwerkkomponente (10) durch eine zweite Anwendung (22, 32) der zweiten Netzwerkkomponente (20, 30) erfolgen.Method according to one of the preceding claims, characterized in that the steps of the (S7) detection of the request ( 5 ) attached unique user identification ( 3 ) and / or the (S13) processing of the request ( 5 ) to obtain a query result ( 8th ) and / or the (S14) transmission of the request result ( 8th ) over the network ( 1 ) to the first network component ( 10 ) by a second application ( 22 . 32 ) of the second network component ( 20 . 30 ) respectively. Computerprogrammprodukt das geeignet ist, ein Verfahren nach einem der Ansprüche 1 bis 13 auszuführen, wenn es in einen Computer geladen ist.Computer program product that is suitable, a method according to one of the claims Perform 1 to 13, when it is loaded into a computer. Netzwerksystem mit wenigstens einer ersten Netzwerkkomponente (10), die über ein Netzwerk (1) mit wenigstens einer zweiten Netzwerkkomponente (20, 30) verbunden ist, wobei die erste Netzwerkkomponente (10) wenigstens eine erste Zugriffssteuerung (11) sowie eine erste Anwendung (12) und die zweite Netzwerkkomponente (20, 30) wenigstens eine zweite Zugriffssteuerung (21, 31) aufweist, dadurch gekennzeichnet, dass die erste Zugriffssteuerung (11) ausgebildet ist, um eine eindeutige Benutzeridentifikation (3) für einen Benutzer (2) der ersten Netzwerkkomponente (10) zu berechnen und an die erste Anwendung (12) auszugeben; die erste Anwendung (12) ausgebildet ist, um einen Auftrag (4) des Benutzers (2) an die erste Netzwerkkomponente (10), welcher eine Einbindung der zweiten Netzwerkkomponente (20, 30) über das Netzwerk (1) bedingt, zu registrieren, anhand des Auftrages (4) eine Anfrage (5) an die zweite Netzwerkkomponente (20, 30) zu erstellen und die Anfrage (5) zusammen mit der eindeutigen Benutzeridentifikation (3) über das Netzwerk (1) an die zweite Netzwerkkomponente (20, 30) zu übermitteln; die zweite Zugriffssteuerung (21, 31) ausgebildet ist, um anhand der eindeutigen Benutzeridentifikation (3) einen Rechte- Prüfungsauftrag (6) zu erstellen und den Rechte-Prüfungsauftrag (6) über das Netzwerk (1) an die erste Zugriffssteuerung (11) zu übermitteln; die erste Zugriffssteuerung (11) ferner ausgebildet ist, um die Zugangsberechtigung des Benutzers (2) zu der zweiten Netzwerkkomponente (20, 30) anhand des empfangenen Rechte-Prüfungsauftrages (6) zu überprüfen und ein Ergebnis (7) der Überprüfung über das Netzwerk (1) an die zweite Zugriffssteuerung (21, 31) zu übermitteln; und die zweite Zugriffssteuerung (21, 31) ferner ausgebildet ist, um den Zugang des Benutzers (2) zu der zweiten Netzwerkkomponente (20, 30) bereitzustellen, wenn das von der ersten Zugriffssteuerung (11) übermittelte Ergebnis (7) der Überprüfung angibt, dass der Benutzer (2) zum Zugang zu der zweiten Netzwerkkomponente (20, 30) berechtigt ist.Network system with at least one first network component ( 10 ) over a network ( 1 ) with at least one second network component ( 20 . 30 ), the first network component ( 10 ) at least one first access control ( 11 ) and a first application ( 12 ) and the second network component ( 20 . 30 ) at least one second access control ( 21 . 31 ), characterized in that the first access control ( 11 ) is designed to provide a unique user identification ( 3 ) for a user ( 2 ) of the first network component ( 10 ) and to the first application ( 12 ) issue; the first application ( 12 ) is designed to perform an order ( 4 ) of the user ( 2 ) to the first network component ( 10 ), which involves an integration of the second network component ( 20 . 30 ) over the network ( 1 ), to register, based on the order ( 4 ) a request ( 5 ) to the second network component ( 20 . 30 ) and the request ( 5 ) together with the unique user identification ( 3 ) over the network ( 1 ) to the second network component ( 20 . 30 ) to transmit; the second access control ( 21 . 31 ) is designed to be based on the unique user identification ( 3 ) a rights audit mandate ( 6 ) and the rights examination order ( 6 ) over the network ( 1 ) to the first access control ( 11 ) to transmit; the first access control ( 11 ) is further adapted to the access authorization of the user ( 2 ) to the second network component ( 20 . 30 ) on the basis of the received rights examination order ( 6 ) and a result ( 7 ) the review over the network ( 1 ) to the second access control ( 21 . 31 ) to transmit; and the second access control ( 21 . 31 ) is further adapted to prevent the user ( 2 ) to the second network component ( 20 . 30 ) when the first access control ( 11 ) transmitted result ( 7 ) the verification indicates that the user ( 2 ) for access to the second network component ( 20 . 30 ) is entitled. Netzwerksystem nach Anspruch 15, dadurch gekennzeichnet, dass die erste Zugriffssteuerung (11) ferner ausgebildet ist, um eine Anmeldung des Benutzers (2) bei der ersten Netzwerkkomponente (10) zu überprüfen und einen Zugang des Benutzers (2) zu der ersten Netzwerkkomponente (10) bereitzustellen, wenn die Überprüfung ergibt, dass der Benutzer (2) zum Zugang zu der ersten Netzwerkkomponente (10) berechtigt ist.Network system according to claim 15, characterized in that the first access control ( 11 ) is further adapted to register the user ( 2 ) at the first network component ( 10 ) and a user's access ( 2 ) to the first network component ( 10 ), if the verification shows that the user ( 2 ) for access to the first network component ( 10 ) is entitled. Netzwerksystem nach Anspruch 15 oder 16, dadurch gekennzeichnet, die zweite Netzwerkkomponente (20, 30) ferner eine zweite Anwendung (22, 32) aufweist, die ausgebildet ist, um die der Anfrage (5) beigefügte eindeutige Benutzeridentifikation (3) zu detektieren und an die zweite Zugriffssteuerung (21, 31) zum Zwecke der Erstellung des Rechte-Prüfungsauftrages (6) auszugeben und/oder um die Anfrage (5) zur Gewinnung eines Anfrageergebnisses (8) zu bearbeiten und das Anfrageergebnisses (8) über das Netzwerk (1) an die erste Anwendung (12) zu übermitteln, und die erste Anwendung (12) ferner ausgebildet ist, um das empfangene Anfrageergebnis (8) an den Benutzer (2) auszugeben.Network system according to Claim 15 or 16, characterized in that the second network component ( 20 . 30 ), a second application ( 22 . 32 ), which is designed to correspond to the request ( 5 ) attached unique user identification ( 3 ) and to the second access control ( 21 . 31 ) for the purpose of the preparation of the rights examination contract ( 6 ) and / or the request ( 5 ) to obtain a query result ( 8th ) and the query result ( 8th ) over the network ( 1 ) to the first application ( 12 ) and the first application ( 12 ) is further adapted to receive the received query result ( 8th ) to the user ( 2 ). Netzwerksystem nach Anspruch 15, 16 oder 17, dadurch gekennzeichnet, dass die von der ersten Zugriffssteuerung (11) berechnete eindeutige Benutzeridentifikation (3) den Namen des Benutzers (2) sowie eine Kommunikationsadresse der ersten Zugriffssteuerung (11) enthält.A network system according to claim 15, 16 or 17, characterized in that that of the first access control ( 11 ) calculated unique user identification ( 3 ) the name of the user ( 2 ) as well as a communication address of the first access control ( 11 ) contains. Netzwerksystem nach Anspruch 18, dadurch gekennzeichnet, dass die von der ersten Zugriffssteuerung (11) berechnete eindeutige Benutzeridentifikation (3) ferner die Domäne der ersten Netzwerkkomponente (10) im Netzwerk (1) angibt.Network system according to claim 18, characterized in that the information provided by the first access control ( 11 ) calculated unique user identification ( 3 ) the domain of the first network component ( 10 ) in the network ( 1 ) indicates. Netzwerksystem nach einem der Ansprüche 15 bis 19, dadurch gekennzeichnet, dass der von der zweiten Netzwerkkomponente (20, 30) erstellte Rechte-Prüfungsauftrag (6) individuelle Zugangskriterien der jeweiligen zweiten Netzwerkkomponente (20, 30) beinhaltet.Network system according to one of Claims 15 to 19, characterized in that that of the second network component ( 20 . 30 ) created rights examination order ( 6 ) individual access criteria of the respective second network component ( 20 . 30 ) includes. Erste Netzwerkkomponente zur Verwendung in einem Netzwerk (1), in dem die erste Netzwerkkomponente (10) über das Netzwerk (1) mit wenigstens einer zweiten Netzwerkkomponente (20, 30) verbunden ist, mit einer ersten Zugriffssteuerung (11) die ausgebildet ist, um eine eindeutige Benutzeridentifikation (3) für einen Benutzer (2) der ersten Netzwerkkomponente (10) zu berechnen und an eine erste Anwendung (12) der ersten Netzwerkkomponente (10) auszugeben, wobei die erste Anwendung (12) ausgebildet ist, um einen Auftrag (4) des Benutzers (2) an die erste Netzwerkkomponente (10), welcher eine Einbindung der zweiten Netzwerkkomponente (20, 30) über das Netzwerk (1) bedingt, zu registrieren, anhand des Auftrages (4) eine Anfrage (5) an die zweite Netzwerkkom ponente (20, 30) zu erstellen und die Anfrage (5) zusammen mit der eindeutigen Benutzeridentifikation (3) über das Netzwerk (1) an die zweite Netzwerkkomponente (20, 30) zu übermitteln, und wobei die erste Zugriffssteuerung (11) ferner ausgebildet ist, um die Zugangsberechtigung des Benutzers (1) zu der zweiten Netzwerkkomponente (20, 30) anhand eines von der zweiten Netzwerkkomponente (20, 30) in Folge der übermittelten eindeutigen Benutzeridentifikation (3) erstellten und an die erste Netzwerkkomponente (10) übermittelten Rechte-Prüfungsauftrages (6) zu überprüfen und ein Ergebnis (7) der Überprüfung über das Netzwerk (1) an die zweite Netzwerkkomponente (20, 30) zu übermitteln.First network component for use in a network ( 1 ), in which the first network component ( 10 ) over the network ( 1 ) with at least one second network component ( 20 . 30 ) connected to a first access control ( 11 ) which is designed to provide a unique user identification ( 3 ) for a user ( 2 ) of the first network component ( 10 ) and to a first application ( 12 ) of the first network component ( 10 ), the first application ( 12 ) is designed to perform an order ( 4 ) of the user ( 2 ) to the first network component ( 10 ), which involves an integration of the second network component ( 20 . 30 ) over the network ( 1 ), to register, based on the order ( 4 ) a request ( 5 ) to the second network component ( 20 . 30 ) and the request ( 5 ) together with the unique user identification ( 3 ) over the network ( 1 ) to the second network component ( 20 . 30 ), and wherein the first access control ( 11 ) is further adapted to the access authorization of the user ( 1 ) to the second network component ( 20 . 30 ) based on one of the second network component ( 20 . 30 ) as a result of the transmitted unique user identification ( 3 ) and to the first network component ( 10 ) transmitted rights examination order ( 6 ) and a result ( 7 ) the review over the network ( 1 ) to the second network component ( 20 . 30 ). Erste Netzwerkkomponente nach Anspruch 21, dadurch gekennzeichnet, dass die erste Zugriffssteuerung (11) ferner ausgebildet ist, um eine Anmeldung des Benutzers (2) bei der ersten Netzwerckomponente (10) zu überprüfen und den Zugang des Benutzers (2) zu der ersten Netzwerkkomponente (10) bereitzustellen, wenn die Überprüfung ergibt, dass der Benutzer (2) zum Zugang zu der ersten Netzwerkkomponente (10) berechtigt ist.First network component according to claim 21, characterized in that the first access control ( 11 ) is further adapted to register the user ( 2 ) at the first network component ( 10 ) and the access of the user ( 2 ) to the first network component ( 10 ), if the verification shows that the user ( 2 ) for access to the first network component ( 10 ) is entitled. Erste Netzwerkkomponente nach Anspruch 21 oder 22, dadurch gekennzeichnet, dass die erste Anwendung (12) ferner ausgebildet ist, um ein von der zweiten Netzwerkkomponente (20, 30) gewonnenes und an die erste Netzwerkkomponente (10) übermitteltes Anfrageergebnis (8) an den Benutzer (2) auszugeben.First network component according to claim 21 or 22, characterized in that the first application ( 12 ) is further adapted to receive one of the second network component ( 20 . 30 ) and to the first network component ( 10 ) transmitted query result ( 8th ) to the user ( 2 ). Erste Netzwerkkomponente nach Anspruch 21, 22 oder 23, dadurch gekennzeichnet, dass die von der ersten Zugriffssteuerung (11) berechnete eindeutige Benutzeridentifikation (3) den Namen des Benutzers (2) sowie eine Kommunikationsadresse der ersten Zugriffssteuerung (11) enthält.First network component according to claim 21, 22 or 23, characterized in that that of the first access control ( 11 ) calculated unique user identification ( 3 ) the name of the user ( 2 ) as well as a communication address of the first access control ( 11 ) contains. Erste Netzwerkkomponente nach Anspruch 24, dadurch gekennzeichnet, dass die von der ersten Zugriffssteuerung (11) berechnete eindeutige Benutzeridentifikation (3) ferner die Domäne der ersten Netzwerkkomponente (10) im Netzwerk (1) angibt.First network component according to claim 24, characterized in that that of the first access control ( 11 ) calculated unique user identification ( 3 ) the domain of the first network component ( 10 ) in the network ( 1 ) indicates. Zweite Netzwerkkomponente zur Verwendung in einem Netzwerk (1), in dem die zweite Netzwerkkomponente (20, 30) über das Netzwerk (1) mit wenigstens einer ersten Netzwerkkomponente (10) verbunden ist, mit einer zweiten Zugriffssteuerung (21, 31), um eine einer von der ersten Netzwerkkomponente (10) übermittelten Anfrage (5) beigefügte eindeutige Benutzeridentifikation (3) eines Benutzers (2) der ersten Netzwerkkomponente (10) zu detektieren, anhand der eindeutigen Benutzeridentifikation (3) einen Rechte-Prüfungsauftrag (6) zu erstellen und den Rechte-Prüfungsauftrag (6) über das Netzwerk (1) an die erste Netzwerkkomponente (10) zu übermitteln, wobei die zweite Zugriffssteuerung (21, 31) ferner ausgebildet ist, um einen Zugang des Benutzers (2) zu der zweiten Netzwerkkomponente (20, 30) bereitzustellen, wenn ein von der ersten Zugriffssteuerung (11) übermitteltes Ergebnis (7) einer Überprüfung des Rechte-Prüfungsauftrages (6) ergibt, dass der Benutzer (2) zum Zugang zu der zweiten Netzwerkkomponente (20, 30) berechtigt ist.Second network component for use in a network ( 1 ), in which the second network component ( 20 . 30 ) over the network ( 1 ) with at least one first network component ( 10 ), with a second access control ( 21 . 31 ) to one of the first network component ( 10 ) ( 5 ) attached unique user identification ( 3 ) of a user ( 2 ) of the first network component ( 10 ), based on the unique user identification ( 3 ) a rights examination order ( 6 ) and the rights examination order ( 6 ) over the network ( 1 ) to the first network component ( 10 ), the second access control ( 21 . 31 ) is further adapted to allow access by the user ( 2 ) to the second network component ( 20 . 30 ) when one of the first access control ( 11 ) transmitted result ( 7 ) a review of the rights examination order ( 6 ) shows that the user ( 2 ) for access to the second network component ( 20 . 30 ) is entitled. Zweite Netzwerkkomponente nach Anspruch 26, dadurch gekennzeichnet, die zweite Netzwerkkomponente (20, 30) ferner eine zweite Anwendung (22, 32) aufweist, die ausgebildet ist, um die der Anfrage (5) beigefügte eindeutige Benutzeridentifikation (3) zu detektieren und an die zweite Zugriffssteuerung (21, 31) zum Zwecke der Erstellung des Rechte-Prüfungsauftrages (6) auszugeben und/oder um die Anfrage (5) zur Gewinnung eines Anfrageergebnisses (8) zu bearbeiten und das Anfrageergebnis (8) über das Netzwerk (1) an die erste Netzwerkkomponente (10) zu übermitteln.Second network component according to claim 26, characterized in that the second network component ( 20 . 30 ), a second application ( 22 . 32 ), which is designed to correspond to the request ( 5 ) attached unique user identification ( 3 ) and to the second access control ( 21 . 31 ) for the purpose of the preparation of the rights examination contract ( 6 ) and / or the request ( 5 ) to obtain a query result ( 8th ) and the query result ( 8th ) over the network ( 1 ) to the first network component ( 10 ). Zweite Netzwerkkomponente nach Anspruch 26 oder 27, dadurch gekennzeichnet, dass der von der zweiten Netzwerkkomponente (20, 30) erstellte Rechte-Prüfungsauftrag (6) individuelle Zugangskriterien der zweiten Netzwerkkomponente (20, 30) beinhaltet.Second network component according to claim 26 or 27, characterized in that that of the second network component ( 20 . 30 ) created rights examination order ( 6 ) individual access criteria of the second network component ( 20 . 30 ) includes.
DE200410016654 2004-03-31 2004-03-31 Network component access controlling method for use in network system, involves checking access authorization of user to component by another component based on instruction, and provisioning access for user based on checked result Expired - Fee Related DE102004016654B4 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE200410016654 DE102004016654B4 (en) 2004-03-31 2004-03-31 Network component access controlling method for use in network system, involves checking access authorization of user to component by another component based on instruction, and provisioning access for user based on checked result
US11/093,281 US7873661B2 (en) 2004-03-31 2005-03-30 Network system as well as a method for controlling access from a first network component to at least one second network component

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE200410016654 DE102004016654B4 (en) 2004-03-31 2004-03-31 Network component access controlling method for use in network system, involves checking access authorization of user to component by another component based on instruction, and provisioning access for user based on checked result

Publications (2)

Publication Number Publication Date
DE102004016654A1 true DE102004016654A1 (en) 2005-10-27
DE102004016654B4 DE102004016654B4 (en) 2006-02-23

Family

ID=35062206

Family Applications (1)

Application Number Title Priority Date Filing Date
DE200410016654 Expired - Fee Related DE102004016654B4 (en) 2004-03-31 2004-03-31 Network component access controlling method for use in network system, involves checking access authorization of user to component by another component based on instruction, and provisioning access for user based on checked result

Country Status (1)

Country Link
DE (1) DE102004016654B4 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8191110B2 (en) 2008-01-16 2012-05-29 Siemens Aktiengesellschaft Data processing network and method for operating a data processing network

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5315657A (en) * 1990-09-28 1994-05-24 Digital Equipment Corporation Compound principals in access control lists

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5315657A (en) * 1990-09-28 1994-05-24 Digital Equipment Corporation Compound principals in access control lists

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8191110B2 (en) 2008-01-16 2012-05-29 Siemens Aktiengesellschaft Data processing network and method for operating a data processing network

Also Published As

Publication number Publication date
DE102004016654B4 (en) 2006-02-23

Similar Documents

Publication Publication Date Title
DE69934207T2 (en) Method for access checking of a user
DE102007033615B4 (en) Method and apparatus for converting authentication tokens to enable interactions between applications
DE60309553T2 (en) Methods and apparatus for the overall use of a network resource with a user without access
DE19722424C5 (en) Method of securing access to a remote system
DE69838378T2 (en) PROCEDURE AND DEVICE FOR SECURITY TO ENSURE THAT SERVER USERS PROGRAMS RECEIVED VIA THE NETWORK HAVE BEEN GUARANTEED
DE60006451T2 (en) Distributed authentication mechanisms for handling different authentication systems in a company computer system
DE69732882T2 (en) Method and apparatus for trusted processing
DE60308692T2 (en) METHOD AND SYSTEM FOR USER-DEFINED AUTHENTICATION AND UNIQUE REGISTRATION IN A FEDERALIZED ENVIRONMENT
DE69833929T2 (en) Network access authentication system
DE69816400T2 (en) Distributed object system and method for offering services therein
DE69911101T2 (en) Access to software
DE602004012300T2 (en) METHOD AND DEVICES FOR SCALABLE SAFE REMOTE DESKTOP ACCESS
DE112013007160T5 (en) Development environment system, development environment device, development environment deployment process, and program
DE102020133597A1 (en) PERSONNEL PROFILES AND FINGERPRINT AUTHENTICATION FOR CONFIGURATION ENGINEERING AND RUNTIME APPLICATIONS
DE10296804T5 (en) Method and system for authorizing access to resources on a server
DE60212969T3 (en) METHOD AND DEVICE FOR FOLLOWING THE STATUS OF AN OPERATING MEANS IN A SYSTEM FOR MANAGING THE USE OF THE OPERATING MEANS
DE112020000538T5 (en) FINE-GRAINED TOKEN-BASED ACCESS CONTROL
DE102015003236A1 (en) Method and system for providing temporary, secure access enabling virtual resources
EP3743844B1 (en) Blockchain-based identity system
EP2351320B1 (en) Server system and method providing at least a merit
DE112011102224T5 (en) Identity mediation between client and server applications
DE10125955A1 (en) Authorization access checking system for intelligent agents in a computer network using position locating system
DE10024347B4 (en) Security service layer
WO2019110196A1 (en) Method and confirmation device for confirming the integrity of a system
DE102004016654B4 (en) Network component access controlling method for use in network system, involves checking access authorization of user to component by another component based on instruction, and provisioning access for user based on checked result

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8364 No opposition during term of opposition
R081 Change of applicant/patentee

Owner name: SIEMENS HEALTHCARE GMBH, DE

Free format text: FORMER OWNER: SIEMENS AKTIENGESELLSCHAFT, 80333 MUENCHEN, DE

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee