EP1430379A2 - Verfahren zur rollenbasierten steuerung des zugriffs auf ressourcen eines datenverarbeitungssystems, datenverarbeitungssystem und computerprogramm - Google Patents

Verfahren zur rollenbasierten steuerung des zugriffs auf ressourcen eines datenverarbeitungssystems, datenverarbeitungssystem und computerprogramm

Info

Publication number
EP1430379A2
EP1430379A2 EP02776706A EP02776706A EP1430379A2 EP 1430379 A2 EP1430379 A2 EP 1430379A2 EP 02776706 A EP02776706 A EP 02776706A EP 02776706 A EP02776706 A EP 02776706A EP 1430379 A2 EP1430379 A2 EP 1430379A2
Authority
EP
European Patent Office
Prior art keywords
user
data processing
assigned
processing system
entry
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP02776706A
Other languages
English (en)
French (fr)
Inventor
Harald Kopper
Rudolf Wöhrl
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of EP1430379A2 publication Critical patent/EP1430379A2/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6227Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries

Definitions

  • a user role determines the function of a user within an organizational unit and serves to define the scope of his operational responsibility.
  • a user role access control comprises one or more user roles and access authorizations, by means of which a feasibility of actions on computer-based objects is determined.
  • User role access control is used to grant a request from a user when user access roles grant a user access permissions that authorize him to perform special actions on a computer-based object.
  • the present invention is based on the object of specifying a method, a data processing system and a computer program for automatically assigning access authorizations to users in role-based resource access control systems.
  • An essential aspect of the present invention is that role hierarchies can be mapped, for example, organization-wide in a data processing system by successively determining access rights assigned to user roles, hierarchically dependent user roles and assigned access rights. These successively determined serve as the basis for a system-wide automatic creation or adaptation of user access rights management lists in resource-providing data processing systems of the data processing system.
  • Figure 1 is a schematic representation of the operation of a role-based resource access control system
  • Figure 2 shows a data processing system with several data processing systems and role-based resource access control.
  • Figure 3 is a schematic representation of a user role hierarchy
  • FIG. 4 shows a flowchart for a method for role-based resource access control in the case of hierarchically dependent user roles
  • FIG. 1 shows the environment in which a role-based resource access control system is embedded.
  • Roles R1-R4 can be defined or derived for business processes P1-P4. Access rights to resources of an organization-wide data processing system with numerous data processing systems TSYSl-TSYSp are controlled via the defined or derived roles R1-R4.
  • the data processing systems TSYSl-TSYSp form target systems for role-based resource access control.
  • users U1-U3 are assigned to roles R1-R4, roles R1-R4 to authorizations and authorizations for resources of target systems TSYSl-TSYSp. Further details on role-based access control systems are described in David Ferraiolo, Richard Kuhn: "Role Based Access Control", Proceedings of the 15th National Computer Security Conference, 1992, Vol. II, pp. 554-563.
  • the data processing system shown in FIG. 2 has a plurality of databases DB1-DBn with user-specific data such as organization, locations, areas of responsibility, personnel master data and available services.
  • the user-specific data are not necessarily stored in the individual databases DB1-DBn in accordance with a uniform data structure.
  • the individual databases are linked with one another to form a single resulting user database MDIR, hereinafter referred to as a meta-directory.
  • data stored in the individual databases DB1-DBn is modeled in accordance with a total data. Any data redundancies in the individual databases DB1-DBn are eliminated during a data migration to the metadirectory MDIR.
  • the individual databases DB1-DBn and the meta-directory MDIR are synchronized.
  • the synchronization requirements REQ are transmitted via a data network NET, which connects the database server DBS1-DBSn with the metadirectory server MDS.
  • the metadirectory MDIR has memory areas M1-M3 with user master data, role definitions and access rights for resources.
  • the resources include program applications APPll-APPpn and memory areas MEMl-MEMp, which are provided by data processing systems TSYSl-TSYSp.
  • the resource-providing data processing systems TSYSl-TSYSp are referred to below as target systems.
  • the access authorizations for the resources provided by the target systems TSYSl-TSYSp are assigned using the predefined user roles stored in the MDIR meta-directory. Access rights and the access rights resources of the target systems TSYSl-TSYSp are assigned to the predefined user roles. Furthermore, assignments of users to roles are stored in the MDIR meta-directory, whereby the respective users are granted the access rights assigned to the respective roles. The assignments of users to roles are saved in the MDIR meta-directory, for example, as part of the HR master data.
  • the predefined user roles are advantageously made available for assignment by means of a role catalog stored in the MDIR meta-directory.
  • the metadirectory server MDS is connected to the target systems TSYSl-TSYSp via interface devices TSAl-TSAm.
  • the interface devices TSAl-TSAm are called target system agents below.
  • the target system agents TSAl-TSAm resolve user roles assigned to users of the data processing system into application-specific or operating system-specific access authorizations for program applications APPll-APPpn and memory areas MEMl-MEMp, which are provided by the target systems TSYSl-TSYSp.
  • Such application or operating system-specific access authorizations correspond, for example, to user authorizations or user access rights management lists ACL (Access Control List) in the target systems TSYSl-TSYSp managed authorizations.
  • the target system agents TSAl-TSAm thus have coordination functions with regard to program access control and data storage in the target systems TSYSl-TSYSp.
  • the target system agents TSAl-TSAm in FIG. 2 have LDAP converters (Lightweight Directory Access Protocol) and API access interfaces (application) which are not explicitly shown Programming Interface) and resolve the user roles in command sequences that can be interpreted by the respective target systems TSYSl-TSYSp.
  • LDAP converters Lightweight Directory Access Protocol
  • API access interfaces application
  • access authorizations 311-314 are inherited from hierarchically dependent, subordinate user roles 302-303, 304-307 to hierarchically superior user roles 301, 302-303.
  • user roles 301-307 are assigned to different levels 308-310.
  • the access authorizations 311-314 at a lowest level 310 contain specific access authorizations for resources provided by the target systems TSYS1-TSYS7. For the sake of simplicity, it is assumed for the sake of simplicity that the specific authorizations are all from a target system TSYS1-TSYS7 Program applications and memory areas provided by
  • An arrow pointing to a target system TSYS1-TSYS7 in FIG. 3 symbolizes a write right, while one of the respective
  • Target system TSYS1-TSYS7 pioneering arrow symbolizes read access.
  • a combined read and write right is symbolized by a double arrow.
  • the access authorizations 311-314 which are assigned to user roles 304-307 at the lowest level 310 of the role hierarchy, are subsequently passed on to user roles 302, 303 at a middle level 309. All authorizations 311-314 are passed on to a user role 301 at a top level 308 of the user role hierarchy.
  • the flowchart shown in FIG. 4 for a method for role-based resource access control in the case of hierarchically dependent user roles serves to explain the functionality of a target system agent TSAl-TSAm.
  • the starting point of the method is an assignment 401 of at least one user role to a user of the data processing system.
  • the access authorizations assigned to the at least one user role on resources provided by the target systems TSYS1-TSYS7 are then determined 402. These access authorizations are specific authorizations which are assigned directly to the respective user role.
  • hierarchically dependent user roles are determined 403 from the at least one user role. Access rights that represent specific authorizations and are assigned to the hierarchically dependent user roles are then determined 404.
  • the determination 403 dependent user roles roll and the determination 404 of access rights, which are assigned to the dependent user roles, is carried out iteratively. For this purpose, it is checked 405 whether there are further dependent user roles. If this is the case, a new determination 403 of dependent user roles and a new determination 404 of access authorizations assigned to these user roles takes place. Otherwise, it is checked 406 whether there are entries for the respective user in the user access rights management lists ACL, which are stored in the target systems TSYS1-TSYS7.
  • a primary entry is present. If a primary entry is present, the determined access authorizations are assigned 408 to the primary entry in the respective user access rights management list ACL. If there is no primary entry, it is checked 409 whether there is exactly one entry in the user access rights management lists ACL for the respective user. If there is exactly one entry in the user access rights management lists ACL, this entry is declared 410 as a primary entry and the determined access authorizations are assigned to it. If, on the other hand, there is more than one entry for the respective user in the user access rights management lists ACL, a new entry is created 411 for this user in the respective user access rights management list and the determined access authorizations are assigned 412.
  • a message MSG is transmitted to the respective target system agent TSAl-TSAm (see also FIG. 2).
  • the respective target system agent TSAl-TSAm checks the message MSG for a change in application or operating system-specific access authorizations, which may have to be signaled to the respective target systems TSYSl-TSYSp.
  • the resource access control method described above is implemented by a computer program which can be loaded into a RAM of the metadirectory server MDS and which has software code sections, the execution of which initiates the steps described above.
  • the metadirectory server MDS has a non-volatile storage medium MEM for the permanent storage of the computer program and a central processing unit CPU for its execution.

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

In einem Datenverarbeitungssystems mit zumindest einer Datenverarbeitungsanlage wird eine Mehrzahl von dem Datenverarbeitungssystem zugeordneten Datenbanken mit benutzerindividuellen Daten miteinander zur Bildung einer einzigen resultierenden Benutzerdatenbank verknüpft. Zugriffsberechtigungen für durch die zumindest eine Datenverarbeitungsanlage bereitgestellte Ressourcen werden mittels vordefinierter Benutzerrollen vergeben. Zumindest einem Benutzer des Datenverarbeitungssystems wird zumindest eine Benutzerrolle zugeordnet.

Description

Beschreibung
Verfahren zur rollenbasierten Steuerung des Zugriffs auf Ressourcen eines Datenverarbeitungssystems, Datenverarbeitungs- System und Computerprogramm
Markt- und kundenorientierte Organisationen verändern sich vielfach schneller als Datenverarbeitungssysteme, mit Hilfe derer die Organisationen ihre Geschäftsprozesse abbilden. Hieraus resultieren besondere Anforderungen im Hinblick auf eine Steuerung des Zugriffs auf Ressourcen von Datenverarbeitungssystemen in sich rasch verändernden Organisationseinheiten.
Aus DE 199 54 358 AI ist ein Verfahren zur Steuerung des Benutzerzugriffs in einer Netzumgebung unter Verwendung von Benutzerrollen bekannt. Eine Benutzerrolle bestimmt die Funktion eines Benutzers innerhalb einer Organisationseinheit und dient der Definition des Umfangs seiner Betriebsverantwor- tung. Eine Benutzerrollenzugriffssteuerung umfaßt eine oder mehrere Benutzerrollen und Zugriffsberechtigungen, durch die eine Durchführbarkeit von Handlungen an computerbasierten Objekten festgelegt wird. Die Benutzerrollenzugriffssteuerung wird verwendet, um eine Anfrage eines Benutzers zu bewilli- gen, wenn Benutzerzugriffsrollen einem Benutzer Zugriffsberechtigungen erteilen, die ihn zur Durchführung spezieller Handlungen an einem computerbasierten Objekt berechtigen.
Der vorliegenden Erfindung liegt die Aufgabe zugrunde, ein Verfahren, ein Datenverarbeitungssystem und ein Computerprogramm zur automatischen Zuweisung von Zugriffsberechtigungen an Benutzer in rollenbasierten Ressourcenzugriffssteuerungs- systemen anzugeben.
Diese Aufgabe wird erfindungsgemäß durch ein Verfahren mit den in Anspruch 1, ein Datenverarbeitungssystem mit den in Anspruch 9 und ein Computerprogramm mit den in Anspruch 10 angegebenen Merkmalen gelöst. Vorteilhafte Weiterbildungen des erfindungsgemäßen Verfahrens sind in den abhängigen Ansprüchen angegeben.
Ein wesentlicher Aspekt der vorliegenden Erfindung besteht darin, daß Rollenhierarchien durch eine sukzessive Ermittlung von Benutzerrollen zugeordneten Zugriffsberechtigungen, von hierarchisch abhängigen Benutzerrollen und diesen zugeordneten Zugriffsberechtigungen in einem Datenverarbeitungssystem beispielsweise organisationsweit abbildbar sind. Diese sukzessiv ermittelten dienen als Grundlage für eine systemweite automatische Erstellung bzw. Anpassung von Benutzerzugriffs- rechteverwaltungslisten in ressourcenbereitstellenden Datenverarbeitungsanlagen des Datenverarbeitungssystems.
Die vorliegende Erfindung wird nachfolgend an einem Ausführungsbeispiel anhand der Zeichnung näher erläutert. Es zeigt
Figur 1 eine schematische Darstellung der Wirkungsweise ei- nes rollenbasierten Ressourcenzugriffssteuerungs- systems und
Figur 2 ein Datenverarbeitungssystem mit mehreren Datenverarbeitungsanlagen und rollenbasierter Ressourcen- zugriffssteuerung.
Figur 3 eine schematische Darstellung einer Benutzerrollenhierarchie
Figur 4 ein Ablaufdiagramm für ein Verfahren zur rollenbasierten Ressourcenzugriffssteuerung bei hierarchisch abhängigen Benutzerrollen
In Figur 1 ist dargestellt, in welches Umfeld ein rollenba- siertes Ressourcenzugriffsteuerungssystem eingebettet ist. Anhand der Zugehörigkeit von Benutzern U1-U3 zu Organisationseinheiten ORG1-ORG4 sowie ihren Verantwortungsbereichen für Geschäftsprozesse P1-P4 sind Rollen R1-R4 definierbar bzw. ableitbar. Über die definierten bzw. abgeleiteten Rollen R1-R4 werden Zugriffsberechtigungen auf Ressourcen eines organisationsweiten Datenverarbeitungssystems mit zahlreichen Datenverarbeitungsanlagen TSYSl-TSYSp gesteuert. Die Datenverarbeitungsanlagen TSYSl-TSYSp bilden dabei Zielsysteme für die rollenbasierte Ressourcenzugriffssteuerung. Im Rahmen der rollenbasierten Ressourcenzugriffssteuerung werden Benutzer U1-U3 zu Rollen R1-R4, Rollen R1-R4 zu Berechtigungen und Be- rechtigungen zu Ressourcen von Zielsystemen TSYSl-TSYSp zugeordnet. Nähere Einzelheiten zu rollenbasierten Zugriffssteuerungssystemen sind in David Ferraiolo, Richard Kuhn: "Role Based Access Control", Proceedings of the 15th National Computer Security Conference, 1992, Vol. II, S. 554-563 be- schrieben.
Das in Figur 2 dargestellte Datenverarbeitungssystem weist eine Mehrzahl von Datenbanken DBl-DBn mit benutzerindividuellen Daten wie Organisation, Standorte, Verantwortungsberei- ehe, Personalstammdaten und verfügbare Dienste auf. Die benutzerindividuellen Daten sind in den einzelnen Datenbanken DBl-DBn nicht notwendigerweise entsprechend einer einheitlichen Datenstruktur gespeichert. Zur Bildung einer einzigen resultierenden Benutzerdatenbank MDIR, nachfolgend als Meta- Verzeichnis bezeichnet, werden die einzelnen Datenbanken miteinander verknüpft. Zur Verknüpfung werden in den einzelnen Datenbanken DBl-DBn gespeicherte Daten entsprechend einem Ge- samtdaten odell umgesetzt. Etwaige Datenredundanzen in den einzelnen Datenbanken DBl-DBn werden bei einer Datenmigration in das Meta-Verzeichnis MDIR eliminiert.
Bei einer Änderung von benutzerindividuellen Daten in den einzelnen Datenbanken DBl-DBn oder im Meta-Verzeichnis MDIR erfolgt eine Synchronisation zwischen den einzelnen Datenban- ken DBl-DBn und dem Meta-Verzeichnis MDIR. Zur Synchronisation des Meta-Verzeichnisses MDIR mit den einzelnen Datenbanken DBl-DBn werden Synchronisationsanforderungen REQ zwischen ei- nem dem Meta-Verzeichnis MDIR zugeordneten Server MDS, nachfolgend als Meta-Verzeichnis-Server bezeichnet, und Datenbankservern DBSl-DBSn ausgetauscht, die den einzelnen Datenbanken DBl-DBn zugeordnet sind. Die Synchronisationsanforde- rung REQ werden dabei über ein Datennetz NET übertragen, das die Datenbankserver DBSl-DBSn mit dem Meta-Verzeichnis-Server MDS verbindet .
Das Meta-Verzeichnis MDIR weist Speicherbereiche M1-M3 mit Benutzerstammdaten, Rollendefinitionen und Zugriffsberechtigungen für Ressourcen auf. Zu den Ressourcen zählen Programmanwendungen APPll-APPpn und Speicherbereiche MEMl-MEMp, die durch Datenverarbeitungsanlagen TSYSl-TSYSp bereitgestellt werden. Die ressourcenbereitstellenden Datenverarbeitungsan- lagen TSYSl-TSYSp werden nachfolgend als Zielsysteme bezeichnet.
Die Zugriffsberechtigungen für die durch die Zielsysteme TSYSl-TSYSp bereitgestellten Ressourcen werden mittels der im Meta-Verzeichnis MDIR gespeicherten vordefinierten Benutzerrollen vergeben. Dabei werden den vordefinierten Benutzerrollen Zugriffsberechtigungen und den Zugriffberechtigungen Ressourcen der Zielsysteme TSYSl-TSYSp zugeordnet. Des weiteren sind im Meta-Verzeichnis MDIR Zuordnungen von Benutzern zu Rollen gespeichert, wodurch den jeweiligen Benutzern die den jeweiligen Rollen zugeordneten Zugriffsberechtigungen gewährt werden. Die Zuordnungen von Benutzern zu Rollen werden im Meta-Verzeichnis MDIR beispielsweise als Teil der Personalstammdaten abgespeichert. Vorteilhafterweise werden die vor- definierten Benutzerrollen mittels eines im Meta-Verzeichnis MDIR abgespeicherten Rollenkataloges zur Zuordnung verfügbar gemacht .
Der Meta-Verzeichnis-Server MDS ist über Schnittstellenein- richtungen TSAl-TSAm mit den Zielsystemen TSYSl-TSYSp verbunden. Die Schnittstelleneinrichtungen TSAl-TSAm werden nachfolgend Zielsystemagenten genannt. Die Zielsystemagenten TSAl-TSAm lösen Benutzern des Datenverarbeitungssystems zugeordnete Benutzerrollen in applikationsspezifische bzw. betriebssystemspezifische Zugriffsberechtigungen für Programmanwendungen APPll-APPpn und Speicherbereiche MEMl-MEMp auf, die von den Zielsystemen TSYSl-TSYSp bereitgestellt werden. Solche applikations- bzw. betriebssystemspezifischen Zugriffsberechtigungen entsprechen beispielsweise durch Benutzergruppen oder Benutzerzugriffsrechteverwaltungslisten ACL (Access Control List) in den Zielsystemen TSYSl-TSYSp verwalteten Berechtigungen. Den Zielsystemagenten TSAl-TSAm kommen somit Koordinierungsfunktionen im Hinblick auf Programmzugriffssteuerung und Datenhaltung in den Zielsystemen TSYSl-TSYSp zu.
Zur Ankopplung des Meta-Verzeichnis-Servers MDS an die Programmzugriffssteuerung und die Datenhaltung der Zielsysteme TSYSl-TSYSp, weisen die Zielsystemagenten TSAl-TSAm in Figur 2 nicht explizit dargestellte LDAP-Umsetzer (Lightweight Directory Access Protocol) und API-Zugangsschnittstellen (Ap- plication Programming Interface) auf und lösen die Benutzerrollen in Befehlssequenzen auf, die von den jeweiligen Zielsystemen TSYSl-TSYSp interpretierbar sind.
Innerhalb der in Figur 3 schematisch dargestellten Benutzer- rollenhierarchie werden Zugriffsberechtigungen 311-314 von hierarchisch abhängigen, untergeordneten Benutzerrollen 302- 303, 304-307 an hierarchisch übergeordnete Benutzerrollen 301, 302-303 vererbt. Bei der in Figur 3 dargestellten Benutzerrollenhierarchie sind Benutzerrollen 301-307 unterschied- liehen Ebenen 308-310 zugeordnet. Die Zugriffsberechtigungen 311-314 auf einer untersten Ebene 310 beinhalten konkrete Zugriffsberechtigungen auf durch die Zielsysteme TSYS1-TSYS7 bereitgestellte Ressourcen. Für die folgende Betrachtung wird der Einfachheit halber angenommen, daß die konkreten Berech- tigungen jeweils sämtliche durch ein Zielsystem TSYS1-TSYS7 bereitgestellte Programmanwendungen und Speicherbereiche von
Speichermedien umfassen.
Ein in Figur 3 auf ein Zielsystem TSYS1-TSYS7 weisender Pfeil symbolisiert ein Schreibrecht, während ein vom jeweiligem
Zielsystem TSYS1-TSYS7 wegweisender Pfeil ein Leserecht symbolisiert. Ein kombiniertes Lese- und Schreibrecht wird durch einen Doppelpfeil symbolisiert. Die Zugriffsberechtigungen 311-314, die Benutzerrollen 304-307 auf der untersten Ebene 310 der Rollenhierarchie zugeordnet sind, werden nachfolgend an Benutzerrollen 302, 303 auf einer mittleren Ebene 309 weitervererbt. An eine Benutzerrolle 301 auf einer obersten Ebene 308 der Benutzerrollenhierarchie werden sämtliche Berechtigungen 311-314 weitervererbt.
Das in Figur 4 dargestellte Ablaufdiagramm für ein Verfahren zur rollenbasierten Ressourcenzugriffssteuerung bei hierarchisch abhängigen Benutzerrollen dient der Erläuterung der Funktionalität eines Zielsystemsagenten TSAl-TSAm. Der Aus- gangspunkt des Verfahrens ist eine Zuordnung 401 zumindest einer Benutzerrolle zu einem Benutzer des Datenverarbeitungs- systems. Danach werden der zumindest einen Benutzerrolle zugeordnete Zugriffsberechtigungen auf durch die Zielsysteme TSYS1-TSYS7 bereitgestellte Ressourcen ermittelt 402. Bei diesen Zugriffsberechtigungen handelt es sich um konkrete Berechtigungen, die der jeweiligen Benutzerrolle direkt zugeordnet sind.
Nachfolgend werden von der zumindest einen Benutzerrolle hie- rarchisch abhängige Benutzerrollen ermittelt 403. Anschließend werden den hierarchisch abhängigen Benutzerrollen zugeordnete, konkrete Berechtigungen darstellende Zugriffsberechtigungen ermittelt 404. Die Ermittlung 403 abhängiger Benut- zerrollen und die Ermittlung 404 von Zugriffsberechtigungen, die den abhängigen Benutzerrollen zugeordnet sind, erfolgt iterativ. Hierzu wird überprüft 405, ob weitere abhängige Benutzerrollen vorhanden sind. Ist dies der Fall, erfolgt eine erneute Ermittlung 403 abhängiger Benutzerrollen und eine erneute Ermittlung 404 diesen Benutzerrollen zugeordneter Zugriffsberechtigungen. Andernfalls wird überprüft 406, ob in den Benutzerzugriffsrechteverwaltungslisten ACL, die in den Zielsystemen TSYS1-TSYS7 gespeichert sind, für den jeweiligen Benutzer Einträge vorhanden sind.
Bei zumindest einem vorhandenen Eintrag in einer Benutzerzugriffsrechteverwaltungsliste ACL wird überprüft 407, ob ein Primäreintrag vorhanden ist. Ist ein Primäreintrag vorhanden, so werden die ermittelten Zugriffsberechtigungen dem Primäreintrag in der jeweiligen Benutzerzugriffsrechteverwaltungsliste ACL zugeordnet 408. Falls kein Primäreintrag vorhanden ist, wird überprüft 409, ob für den jeweiligen Benutzer genau ein Eintrag in den Benutzerzugriffsrechteverwaltungslisten ACL vorhanden ist. Bei genau einem Eintrag in den Benutzerzugriffsrechteverwaltungslisten ACL wird dieser Eintrag als Primäreintrag deklariert 410 und diesem die ermittelten Zugriffsberechtigungen zugeordnet. Ist dagegen mehr als ein Eintrag für den jeweiligen Benutzer in den Benutzerzugriffs- rechteverwaltungslisten ACL vorhanden, so wird für diesen Benutzer ein neuer Eintrag in der jeweiligen Benutzerzugriffs- rechteverwaltungsliste angelegt 411, und die ermittelten Zugriffsberechtigungen werden dem neuen Eintrag zugeordnet 412.
Ist in der Benutzerzugriffsrechteverwaltungsliste ACL des jeweiligen Zielsystems TSYS1-TSYS7 überhaupt gar kein Eintrag zugeordnet, so wird für den betreffenden Benutzer ein neuer Eintrag in der Benutzerzugriffsrechteverwaltungsliste ACL angelegt 411. Abschließend werden die ermittelten Zugriffsberechtigungen dem neuen Eintrag in der Benutzerzugriffsrechteverwaltungsliste ACL zugeordnet 412.
Bei einer Änderung von rollendefinierenden benutzerindividuellen Daten im Meta-Verzeichnis MDIR wird eine Meldung MSG an den jeweiligen Zielsystemagenten TSAl-TSAm übermittelt (siehe auch Figur 2). Der jeweilige Zielsystemagent TSAl-TSAm über- prüft daraufhin die Meldung MSG auf eine Änderung von appli- kations- bzw. betriebssystemspezifischen Zugriffsberechtigungen, die den jeweiligen Zielsystemen TSYSl-TSYSp gegebenenfalls zu signalisieren sind.
Das vorangehend beschriebene Ressourcenzugriffssteuerungsver- fahren wird durch ein Computerprogramm implementiert, das in einen Arbeitsspeicher RAM des Meta-Verzeichnis-Servers MDS ladbar ist und Software-Codeabschnitte aufweist, bei deren Ausführung die vorangehend beschriebenen Schritte eingeleitet werden. Der Meta-Verzeichnis-Server MDS weist ein nichtflüchtiges Speichermedium MEM zur dauerhaften Speicherung des Computerprogramms und eine zentrale Recheneinheit CPU für dessen Ausführung auf.
Die Anwendung der vorliegenden Erfindung ist nicht auf das hier beschriebene Ausführungsbeispiel beschränkt, insbesondere nicht auf eine Verwendung in einem Meta-Verzeichnis.

Claims

Patentansprüche
1. Verfahren zur rollenbasierten Steuerung des Zugriffs auf Ressourcen eines Datenverarbeitungssystem, bei dem - einem Benutzer (Ml) des Datenverarbeitungssystems zumindest eine Benutzerrolle (M2) zugeordnet wird,
- der zumindest einen Benutzerrolle (M2) zugeordnete Zugriffsberechtigungen (M3) auf durch zumindest eine Datenverarbeitungsanlage (TYSl-TSYSp) bereitgestellte Res- sourcen (APPll-APPpn, MEMl-MEMp) ermittelt werden,
- von der zumindest einen Benutzerrolle (M2) hierarchisch abhängige Benutzerrollen (M2) ermittelt werden,
- den hierarchisch abhängigen Benutzerrollen (M2) zugeordnete Zugriffsberechtigungen (M3) ermittelt werden, - die ermittelten Zugriffsberechtigungen (M3) zumindest einem Eintrag für den Benutzer (Ml) in einer Benutzerzugriffsrechteverwaltungsliste (ACL) zugeordnet wird, anhand der Zugriffsberechtigungen (M3) auf durch die zumindest eine Datenverarbeitungsanlage (TSYSl-TSYSp) bereitge- stellte Ressourcen (APPll-APPpn, MEMl-MEMp) gewährt werden.
2. Verfahren nach Anspruch 1 , bei dem die hierarchisch abhängigen Benutzerrollen (M2) und die den hierarchisch abhängigen Benutzerrollen (M2) zugeordneten Zugriffsberechtigungen (M3) iterativ ermittelt werden.
3. Verfahren nach einem der Ansprüche 1 oder 2 , bei dem mittels der vordefinierten Benutzerrollen (M2) Ver- antwortungsbereiche von Benutzern (Ml) in Geschäftsprozessen festgelegt werden.
4. Verfahren nach einem der Ansprüche 1 bis 3, bei dem durch die zumindest eine Datenverarbeitungsanlage (TSYSl-TSYSp) bereitgestellte Ressourcen Programmanwendungen (APPll-APPpn) und/oder Speicherbereiche eines Speichermediums (MEMl-MEMp) sind.
5. Verfahren nach einem der Ansprüche 1 bis 4, bei dem bei der Zuordnung der ermittelten Zugriffsberechtigungen (M3) zu dem zumindest einen Eintrag in der Benutzerzugriffsrechteverwaltungsliste (ACL) überprüft wird, ob be- reits ein Eintrag für den Benutzer (Ml) vorhanden ist, bei dem bei genau einem bereits vorhandenen oder genau einem als Primäreintrag gekennzeichneten Eintrag die ermittelten Zugriffsberechtigungen (M3) diesem Eintrag zugeordnet werden.
6. Verfahren nach Anspruch 5, bei dem bei keinem für den Benutzer (Ml) vorhandenen Eintrag ein neuer Eintrag für den Benutzer (Ml) in der Benutzerzugriffsrechteverwaltungsliste (ACL) angelegt wird und die ermittelten Zugriffsberechtigungen (M3) diesem Eintrag zuge- ordnet werden.
7. Verfahren nach einem der Ansprüche 5 oder 6, bei dem bei mehreren bereits vorhandenen Einträgen und keinem als Primäreintrag gekennzeichneten Eintrag ein neuer Eintrag für den Benutzer in der Benutzerzugriffsrechteverwaltungsliste (ACL) angelegt wird und die ermittelten Zugriffsberechtigungen (M3) diesem Eintrag zugeordnet werden.
8. Verfahren nach einem der Ansprüche 1 bis 7, bei eine Mehrzahl von dem Datenverarbeitungssystem zugeordneten Datenbanken (DB1-DB3) mit benutzerindividuellen Daten miteinander zur Bildung einer einzigen resultierenden Benutzerdatenbank (MDIR) verknüpft wird, bei dem die benutzindividuellen Daten die zumindest eine dem zumindest einen Benutzer (Ml) zugeordnete Benutzerrolle (M2) umfassen.
9. DatenverarbeitungsSystem mit zumindest einer Datenverarbeitungsanlage (TSYSl-TSYSp) , zumindest einem Mittel zur Zuordnung eines Benutzer (Ml) des Datenverarbeitungssystems zu zumindest eine Benutzer- rolle (M2) , zumindest einem Mittel zur Ermittlung von Zugriffsberechtigungen (M3), die der zumindest einen Benutzerrolle (M2) zugeordnet sind, auf durch die zumindest eine Datenverarbeitungsanlage (TSYSl-TSYSp) bereitgestellte Ressourcen (APPll-APPpn, MEMl-MEMp) , zumindest einem Mittel zur Ermittlung von Benutzerrollen (M2), die von der zumindest einen Benutzerrolle (M2) hierarchisch abhängig sind, zumindest einem Mittel zur Ermittlung von Zugriffsberech- tigungen (M3), die den hierarchisch abhängigen Benutzerrollen (M2) zugeordnet sind, zumindest einem Mittel zur Zuordnung der ermittelten Zugriffsberechtigungen (M3) zu zumindest einem Eintrag für den Benutzer (Ml) in einer Benutzerzugriffsrechteverwal- tungsliste (ACL) .
10. Computerprogramm, das in einen Arbeitsspeicher einer Datenverarbeitungsanlage ladbar ist und zumindest einen Softwarecodeabschnitt abweist, bei dessen Ausführung - einem Benutzer (Ml) des Datenverarbeitungssystems zumindest eine Benutzerrolle (M2) zugeordnet wird, der zumindest einen Benutzerrolle (M2) zugeordnete Zugriffsberechtigungen (M3) auf durch zumindest eine Datenverarbeitungsanlage (TSYSl-TSYSp) bereitgestellte Res- sourcen (APPll-APPpn, MEMl-MEMp) ermittelt werden,
- von der zumindest einen Benutzerrolle (M2) hierarchisch abhängige Benutzerrollen (M2) ermittelt werden,
- den hierarchisch abhängigen Benutzerrollen (M2) zugeordnete Zugriffsberechtigungen (M3) ermittelt werden, - die ermittelten Zugriffsberechtigungen (M3) zumindest einem Eintrag für den Benutzer (Ml) in einer Benutzerzugriffsrechteverwaltungsliste (ACL) zugeordnet wird, an- hand der Zugriffsberechtigungen (M3) auf durch die zumindest eine Datenverarbeitungsanlage (TSYSl-TSYSp) bereitgestellte Ressourcen (APPll-APPpn, MEMl-MEMp) gewährt werden, wenn das Computerprogramm auf der Datenverarbeitungsanlage abläuft.
EP02776706A 2001-09-26 2002-09-23 Verfahren zur rollenbasierten steuerung des zugriffs auf ressourcen eines datenverarbeitungssystems, datenverarbeitungssystem und computerprogramm Withdrawn EP1430379A2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE10147466 2001-09-26
DE10147466 2001-09-26
PCT/DE2002/003589 WO2003027834A2 (de) 2001-09-26 2002-09-23 Verfahren zur rollenbasierten steuerung des zugriffs auf ressourcen eines datenverarbeitungssystems, datenverarbeitungssystem und computerprogramm

Publications (1)

Publication Number Publication Date
EP1430379A2 true EP1430379A2 (de) 2004-06-23

Family

ID=7700353

Family Applications (1)

Application Number Title Priority Date Filing Date
EP02776706A Withdrawn EP1430379A2 (de) 2001-09-26 2002-09-23 Verfahren zur rollenbasierten steuerung des zugriffs auf ressourcen eines datenverarbeitungssystems, datenverarbeitungssystem und computerprogramm

Country Status (3)

Country Link
EP (1) EP1430379A2 (de)
AU (1) AU2002339318A1 (de)
WO (1) WO2003027834A2 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8993943B2 (en) 2010-10-20 2015-03-31 Trumpf Huettinger Gmbh + Co. Kg Systems for operating multiple plasma and/or induction heating systems and related methods
US9503006B2 (en) 2010-10-20 2016-11-22 Trumpf Huettinger Gmbh + Co. Kg Plasma and induction heating power supply systems and related methods

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9697373B2 (en) * 2004-11-05 2017-07-04 International Business Machines Corporation Facilitating ownership of access control lists by users or groups

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001041039A2 (en) * 1999-12-02 2001-06-07 Secure Computing Corporation Security management system in an heterogenous network environment

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO03027834A3 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8993943B2 (en) 2010-10-20 2015-03-31 Trumpf Huettinger Gmbh + Co. Kg Systems for operating multiple plasma and/or induction heating systems and related methods
US9503006B2 (en) 2010-10-20 2016-11-22 Trumpf Huettinger Gmbh + Co. Kg Plasma and induction heating power supply systems and related methods

Also Published As

Publication number Publication date
AU2002339318A1 (en) 2003-04-07
WO2003027834A3 (de) 2004-04-08
WO2003027834A2 (de) 2003-04-03

Similar Documents

Publication Publication Date Title
DE69635469T2 (de) Synchronisierung zwischen verschiedenen Computeranbieterumgebungen
DE69930855T2 (de) Verfahren und vorrichtung zur durchführung einer deterministischen speicherzuordnungsantwort in einem computer-system
DE69907919T2 (de) Mehrsprachige benutzeroberfläche für ein betriebssystem
EP1258812B1 (de) Virtuelle Datenbank heterogener Datenstrukturen
EP0829046B1 (de) Setup-verfahren und setup-system für benutzerprogramme, sowie benutzerrechner in einem rechnernetz
DE60311396T2 (de) Verfahren zur Gestaltung eines Peer-to-Peer Netzwerks mit Hilfe eines gemeinsamen Gruppenetiketts
DE112013002542T5 (de) Cloud-basierte Anwendungsressourcendateien
EP1298515A2 (de) Verfahren zur Steuerung des Zugriffs auf Ressourcen eines Datenverarbeitungssystems
CN1937608A (zh) 管理客户机-服务器通信的方法和计算机系统
EP0959588A2 (de) Netzelement mit einer Steuerungseinrichtung und Steuerungsverfahren
DE102005021854B4 (de) Eigenschaften-basierte Zuweisung von Ressourcen zu Sicherheitsdomänen
DE19809401A1 (de) Agentenidentifizierungsvorrichtung, Agentenvorrichtung mit Programmempfangsfunktion, und Netzwerksystem
EP2250588B1 (de) Verfahren und programm zum bereitstellen von datenkohärenz in netzwerken
EP2163961B1 (de) Verfahren zur Einräumung einer Zugriffsberechtigung auf ein rechnerbasiertes Objekt in einem Automatisierungssystem, Computerprogramm und Automatisierungssystem
EP1166228B1 (de) Verfahren zur nutzung von fraktalen semantischen netzen für alle arten von datenbank-anwendungen
EP1430379A2 (de) Verfahren zur rollenbasierten steuerung des zugriffs auf ressourcen eines datenverarbeitungssystems, datenverarbeitungssystem und computerprogramm
DE69838366T2 (de) Fädensynchronisierung durch selektive Objektverriegelung
DE102004004101A1 (de) Verfahren und System zum Schutz elektronischer Datenobjekte vor unberechtigtem Zugriff
WO2018130426A1 (de) Anonymisierung einer blockkette
DE112007002327T5 (de) Persistente Sperren auf Ressourcen zur Steuerung der Nebenläufigkeit
EP1801696B1 (de) Multithreading - fähige virtuelle Maschine
DE102019211908A1 (de) Verfahren und Vorrichtung zum Verteilen einer Anwendung
WO2007009884A2 (de) Verfahren zur dynamischen dienstekonfiguration eines technischen systems
WO2010026151A1 (de) Verfahren zur einräumung einer zugriffsberechtigung auf ein rechnerbasiertes objekt in einem automatisierungssystem, computerprogramm und automatisierungssystem
EP1628453B1 (de) Verfahren und Vorrichtung zur Verwaltung von Objekten eines Kommunikationsnetzes

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20040326

AK Designated contracting states

Kind code of ref document: A2

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR IE IT LI LU MC NL PT SE SK TR

AX Request for extension of the european patent

Extension state: AL LT LV MK RO SI

17Q First examination report despatched

Effective date: 20040715

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION HAS BEEN WITHDRAWN

18W Application withdrawn

Effective date: 20050127