WO2005091106A1 - Verfahren und steuerungsprogramm zur überprüfung und/oder einräumung einer berechtigung zum zugriff auf ein computerbasiertes objekt - Google Patents

Verfahren und steuerungsprogramm zur überprüfung und/oder einräumung einer berechtigung zum zugriff auf ein computerbasiertes objekt Download PDF

Info

Publication number
WO2005091106A1
WO2005091106A1 PCT/EP2005/050929 EP2005050929W WO2005091106A1 WO 2005091106 A1 WO2005091106 A1 WO 2005091106A1 EP 2005050929 W EP2005050929 W EP 2005050929W WO 2005091106 A1 WO2005091106 A1 WO 2005091106A1
Authority
WO
WIPO (PCT)
Prior art keywords
request
access
message
computer
person
Prior art date
Application number
PCT/EP2005/050929
Other languages
English (en)
French (fr)
Inventor
Rainer Hillebrand
Michael Schäfer
Original Assignee
Fujitsu Siemens Computers Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Siemens Computers Gmbh filed Critical Fujitsu Siemens Computers Gmbh
Publication of WO2005091106A1 publication Critical patent/WO2005091106A1/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]

Definitions

  • a user role determines the function of a user within an organizational unit and serves to define the scope of his operational responsibility.
  • a user role access control comprises one or more user roles and access authorizations, by means of which a feasibility of actions on computer-based objects is determined.
  • User role access control is used to grant a request from a user when user access roles grant a user access permissions that authorize him to perform special actions on a computer-based object.
  • the present invention has for its object to provide a reliable method for checking and / or granting authorization to access a computer-based object and a suitable implementation of the method.
  • a message with a request for an access code to access the computer-based object is first transmitted to a control device.
  • the message includes an identifier of a person entitled to request.
  • a control message about the request for the access code is transmitted to the person entitled to request, which can be answered by a confirmation message from the person entitled to request.
  • a message with the access code for the computer-based object is transmitted to a specifiable person authorized to access. This offers the advantage of reliably checking and granting access to a computer-based object.
  • Computer-based objects are, for example, without restricting the generality of this term, operating systems, control or application programs, services provided by operating systems, control or application programs, features, functions or procedures, access rights to peripheral devices and data stored on a storage medium.
  • control message when the control message is confirmed, it is checked whether a user account has already been set up for the person entitled to request and / or for an organizational unit assigned to the latter. If the result of the check is negative, a user account is set up and user master data is requested. In the case of an already existing user account, user master data are requested from a data record assigned to the user account in order to process the request for the access code. This ensures a quick and efficient process flow. In the case of a collective request for access codes by an authenticated person entitled to request, a transmission of the control message to the person entitled to the request is advantageously prevented. A confirmation of the control message is then omitted. This enables rapid and efficient processing of collection requests.
  • a transmission of a message with a request for an access code for access to the computer-based object is first monitored to a control device.
  • the message includes an identifier of an entitled party.
  • a control message about the request for the access code is transmitted to the person entitled to the request, which can be answered by a confirmation message from the person entitled to request.
  • a message with the access code for the computer-based object is transmitted to a predefinable person authorized to access when the control program runs in a program control device.
  • Program control devices include, for example, without restricting the generality of this term, PCs, notebooks, servers, PDAs, mobile telephones, ATMs, control modules in automation, vehicle, communication to understand ons or medical technology - generally facilities in which computer programs run.
  • FIG. 1 shows a system for ordering and registering software licenses
  • FIG. 2 shows a flowchart for an ordering process
  • Figure 3 is a schematic representation of a network environment for the distribution of licensed software products.
  • the system described in FIG. 1 makes it possible to order and register software licenses electronically and to grant access to software products included in the software licenses.
  • the system registers users. This includes, for example, authentication via a unique e-mail address, an order approval by e-mail to a person entitled to request or responsible for a cost center, an order via a framework contract with a distributor, licensing by a software manufacturer, billing to one Customers or licensees and continuous intranet access to ordered and licensed software.
  • An authorized user or customer orders his licenses, for example MSDN licenses, via an SSL-encrypted web front end.
  • his email address is against Checked LDAP directory.
  • User-specific data and contract data are now taken over from the LDAP directory as well
  • a 5 cost center and a cost center manager should be named by providing an email address. Information about the cost center manager is also stored in the database. 0 The customer will then receive an email about the status of their order. The person responsible for the cost center receives an email with a link that can be used to approve or reject an order. 5 With approval by the cost center manager, user and contract data are given a status of "active user and contract" in the database. A user account is taken over - or, if necessary, generated - and added to a selectable access group. Login-0 Information about the user account is saved in a database and sent to the customer via email.
  • the user and contract data are preferably deleted from the database.
  • the customer also receives a notification that his order has not been approved within the past 30 days.
  • COLLECTIVE ORDER5 A collective order form contains required user information in accordance with the applicable contract. Entries entered and can be imported and maintained centrally by an operator of the ordering and registration system. Compliance with commercial guidelines is also checked • in the ordering and registration system.
  • an order can be entered manually. Due to the use of a suitable non-electronic order form, the order has already been approved by the person responsible for the cost center. Therefore, the control email to the person responsible for the cost center can also be omitted in this case.
  • a user can only order a contract for a software product once with the 3 described ordering methods. This avoids double or multiple orders for the same software product.
  • the customer After a successful order and registration in the database, the customer has immediate access to his contract and the software available to him on a file server. Access to the contract data is controlled via an Active Directory and the database.
  • the file servers are preferably accessed exclusively via the Active Directory.
  • user information such as the company address, e-mail address and the respective contract with the associated term are stored in the database.
  • a cost center manager can log in and authenticate with his email address in the ordering and registration system via a web front end.
  • a check is carried out in the database as to whether a specified cost center is available and whether a different cost center has been given email address for a person responsible for costs.
  • the account manager is sent access data to a newly created user account and saved in the database.
  • the cost center manager has access to contract data that is assigned to his cost center via a uniform web front end. This provides an overview of concluded contracts, authorized users or users of ordered software products and the respective contract term. Orders that are still to be approved are displayed with the "for approval" option.
  • a cost center manager can request a transfer of a software license from user A to user B via the operator of the ordering and registration system.
  • the new user will also be
  • the previous contract is automatically marked as expired in the database and a new contract is created for the new user with the billing data of the previous contract.
  • the previous user account is automatically deactivated in the Active Directory and replaced with a new one.
  • MSDN software licenses for example, the individual users are registered by name with Microsoft. After registration, the new MSDN subscribers receive a subscription ID with which they have access to the Microsoft resources made available online. These subscription IDs can be issued by the operator of the ordering and registration system or an MSDN Access Desk via a predefined interface from Microsoft exported. This information is automatically entered into the database via the web frontend. Existing e-mail addresses are searched for and the respective subscription ID is assigned to them.
  • the operator can change all user-specific information via the administrative pages of the MSDN Access Desk.
  • new license orders are automatically aggregated according to commercial requirements and sent to an operator's billing system via an XML interface, for example SAP R / 3.
  • SAP R / 3 the invoices are generated and forwarded automatically.
  • SAP R / 3 also monitors the complete transfer.
  • SAP R / 3 Once a month, new license orders for software products suppliers are aggregated and sent to SAP R / 3 via an XML interface. In SAP R / 3, orders are also created and forwarded to the respective suppliers. SAP R / 3 also monitors the complete transfer here.
  • Figure 3 gives an overview of a network environment for the distribution of licensed software products.
  • the user administration of the MSDN Access Desk is mapped in a separate or in an existing domain.
  • access control to the file server is implemented via user groups in the Active Directory.
  • the user has access to the required resources.
  • the web frontend and database server run on the same hardware.
  • a certificate for SSL encryption is installed on the web server. For security reasons, these two services are not installed together on one domain controller.
  • the required software is made available on at least one file server. Depending on the distribution of users to individual locations and the required disk capacity, it may be necessary to set up several file servers in an internal company intranet.
  • the method described here is preferably implemented by at least one control program, during the execution of which the steps described above are carried out.

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

Zur Überprüfung und/oder Einräumung einer Berechtigung zum Zugriff auf ein computerbasiertes Objekt wird eine Meldung mit einer Anforderung eines Zugriffscodes zum Zugriff auf das computerbasierte Objekt an eine Kontrolleinrichtung übermit­telt, wobei die Meldung eine Angabe eines Identifikators ei­nes Anforderungsberechtigten umfasst. Eine Kontrollmeldung ü­ber die Anforderung des Zugriffscodes wird an den Anforde­rungsberechtigten übermittelt, die durch eine Bestätigungs­meldung des Anforderungsberechtigten beantwortbar ist. Nach einer Bestätigung der Kontrollmeldung durch den Anforderungs­berechtigten wird eine Meldung mit dem Zugriffscode für das computerbasierte Objekt an einen vorgebbaren Zugriffsberech­tigten übermittelt.

Description

Verfahren und Steuerungsprogramm zur Überprüfung -und/oder Einräumung einer Berechtigung zum Zugriff auf ein computerba- siertes Objekt
Markt- und kundenorientierte Organisationen verändern sich vielfach schneller als Datenverarbeitungssysteme, mit Hilfe derer die Organisationen ihre Geschäftsprozesse abbilden. Hieraus resultieren besondere Anforderungen im Hinblick auf eine Steuerung des Zugriffs auf Ressourcen von Datenverarbeitungssystemen in sich rasch verändernden Organisationseinheiten.
Aus DE 199 54 358 AI ist ein Verfahren zur Steuerung des Benutzerzugriffs in einer Netzumgebung unter Verwendung von Benutzerrollen bekannt. Eine Benutzerrolle bestimmt die Funktion eines Benutzers innerhalb einer Organisationseinheit und dient der Definition des Umfangs seiner Betriebsverantwor- tung. Eine Benutzerrollenzugriffssteuerung umfaßt eine oder mehrere Benutzerrollen und Zugriffsberechtigungen, durch die eine Durchführbarkeit von Handlungen an computerbasierten Objekten festgelegt wird. Die Benutzerrollenzugriffssteuerung wird verwendet, um eine Anfrage eines Benutzers zu bewilli- gen, wenn Benutzerzugriffsrollen einem Benutzer Zugriffsberechtigungen erteilen, die ihn zur Durchführung spezieller Handlungen an einem computerbasierten Objekt berechtigen.
Der vorliegenden Erfindung liegt die Aufgabe zugrunde, ein zuverlässiges Verfahren zur Überprüfung und/oder Einräumung einer Berechtigung zum Zugriff auf ein computerbasiertes Objekt und eine geeignete Implementierung des Verfahrens zu schaffen.
Erfindungsgemäß wird diese Aufgabe durch ein Verfahren mit den in Anspruch 1 angegebenen Merkmalen und ein Steuerungsprogramm mit den in Anspruch 5 angegebenen Merkmalen gelöst. Vorteilhafte Weiterbildungen der vorliegenden Erfindung sind in den abhängigen Ansprüchen angegeben.
Entsprechend dem erfindungsgemäßen Verfahren wird zunächst eine Meldung mit einer Anforderung eines Zugriffscodes zum Zugriff auf das computerbasierte Objekt an eine Kontrolleinrichtung übermittelt. Die Meldung umfaßt dabei eine Angabe eines Identifikators eines Anforderungsberechtigten. Außerdem wird eine Kontrollmeldung über die Anforderung des Zugriffs- codes an den Anforderungsberechtigten übermittelt, die durch eine Bestätigungsmeldung des Anforderungsberechtigten beantwortbar ist. Nach einer Bestätigung der Kontrollmeldung durch den Anforderungsberechtigten wird eine Meldung mit dem Zugriffscode für das computerbasierte Objekt an einen vorgeb- baren Zugriffsberechtigten übermittelt. Dies bietet den Vorteil einer zuverlässigen Überprüfung und Einräumung eines Zugriffs auf ein computerbasiertes Objekt.
Computerbasierten Objekte sind beispielsweise ohne Beschrän- kung der Allgemeinheit dieses Begriffs Betriebssysteme, Steu- erungs- oder Anwendungsprogramme, durch Betriebssysteme, Steuerungs- oder Anwendungsprogramme bereitgestellte Dienste, Leistungsmerkmale, Funktionen oder Prozeduren, Zugriffsrechte auf Peripheriegeräte sowie auf einem Speichermedium befindli- ehe Daten.
Entsprechend einer vorteilhaften Weiterbildung der vorliegenden Erfindung wird bei einer Bestätigung der Kontrollmeldung überprüft, ob für den Anforderungsberechtigten und/oder für eine diesem zugeordneten Organisationseinheit bereits ein Benutzerkonto eingerichtet ist. Bei einem negativen Überprüfungsergebnis wird ein Benutzerkonto eingerichtet, und es werden Benutzerstammdaten abgefragt. Bei einem bereits bestehenden Benutzerkonto werden zur Bearbeitung der Anforderung des Zugriffscodes Benutzerstammdaten aus einem dem Benutzerkonto zugeordneten Datensatz abgefragt. Dies stellt einen raschen und effizienten Verfahrensablauf sicher. Vorteilhafterweise wird bei einer Sammelanforderung von ' Zugriffscodes durch einen authentisierten Änforderungsberech- tigten eine Übermittlung der Kontrollmeldung an den Anforde- rungsberechtigten unterbunden. Eine Bestätigung der Kontrollmeldung entfällt dann. Hierdurch wird eine rasche und effiziente Bearbeitung von Sammelanforderungen erzielt.
Entsprechend einer weiteren Ausgestaltung der vorliegenden Erfindung wird bei einer Anforderung eines Zugriffscodes auf nicht-elektronischem Weg durch einen authentisierten Anforderungsberechtigten eine Übermittlung der Kontrollmeldung an den Anforderungsberechtigten unterbunden, so daß eine Bestätigung der Kontrollmeldung entfallen kann. Dies bietet eine rasche und effiziente Bearbeitung von nicht-elektronischen Zugriffscode-Anforderungen.
Bei der Ausführung des erfindungsgemäßen Steuerungsprogramms wird zunächst eine Übermittlung einer Meldung mit einer An- forderung eines Zugriffscodes zum Zugriff auf das computerbasierte Objekt an eine Kontrolleinrichtung überwacht. Die Meldung umfaßt eine Angabe eines Identifikators eines Anforderungsberechtigten. Bei einer Anforderung eines Zugriffscodes wird eine Kontrollmeldung über die Anforderung des Zugriffs- codes an den Anforderungsberechtigten übermittelt, die durch eine Bestätigungsmeldung des Anforderungsberechtigten beantwortbar ist. Nach einer Bestätigung der Kontrollmeldung durch den Anforderungsberechtigten wird eine Meldung mit dem Zugriffscode für das computerbasierte Objekt an einen vorgeb- baren Zugriffsberechtigten übermittelt, wenn das Steuerungsprogramm in einer Programmsteuerungseinrichtung abläuft.
Unter Programmsteuerungseinrichtung sind beispielsweise ohne Beschränkung der Allgemeinheit dieses Begriffs PCs, Notebooks, Server, PDAs, Mobiltelefone, Geldautomaten, Steuerungsmodule in der Automatisierungs-, Fahrzeug-, Kommunikati- ons- oder Medizintechnik zu verstehen - allgemein Einrichtungen, in denen Computerprogramme ablaufen.
Die vorliegende Erfindung wird nachfolgend an einem Ausfüh- rungsbeispiel anhand der Zeichnung näher erläutert. Es zeigt
Figur 1 ein System zur Bestellung und Registrierung von Software-Lizenzen, Figur 2 ein Ablaufdiagramm zu einem Bestellprozeß,
Figur 3 eine schematische Darstellung einer Netzwerkumgebung zur Verteilung von lizensierten Software- Produkten.
Das in Figur 1 beschriebene System ermöglicht auf elektronischem Weg eine Bestellung und Registrierung von Software- Lizenzen sowie eine Einräumung eines Zugriffs auf von den Software-Lizenzen umfaßte Software-Produkte. Das System über- nimmt dabei eine Registrierung von Benutzern. Dies schließt beispielsweise eine Authentifizierung über eine eindeutige E- Mail-Adresse, eine Bestellgenehmigung per E-Mail an einen Anforderungsberechtigten bzw. Kostenstellenverantwortlicher, eine Bestellung über einen Rahmenvertrag mit einem Distribu- tor, eine Lizenzierung durch einen Software-Hersteller, eine Verrechnung an einen Kunden bzw. Lizenznehmer und einen durchgängigen Intranet-Zugriff auf bestellte und lizensierte Software ein.
In Figur 2 ist der Bestellprozeß für einige ausgewählte Bestellwege veranschaulicht.
EINZELBESTELLUNG
Ein Nutzungsberechtigter bzw. Kunde bestellt über ein SSL- verschlüsseltes Web-Frontend seine Lizenzen, beispielsweise MSDN-Lizenzen. Hierbei wird seine E-Mail-Adresse gegen ein LDAP-Verzeichnis geprüft. Aus dem LDAP-Verzeichnis werden nun benutzerspezifische Daten und Vertragsdaten übernommen sowie
' ' in einer Datenbank im Status "Vertrag vor Genehmigung" gespeichert. Zusätzlich zu Benutzerinformationen sollten eine 5 Kostenstelle und ein Kostenstellenverantwortlicher durch Angabe einer E-Mail-Adresse benannt werden. Angaben zum Kostenstellenverantwortlichen werden ebenfalls in der Datenbank gespeichert. 0 Nachfolgend erhält der Kunde eine E-Mail über den Status seiner Bestellung. Der Kostenstellenverantwortliche erhält eine Mail mit einem Link, über den er eine Bestellung genehmigen bzw. ablehnen kann. 5 Bei einer Genehmigung durch dem Kostenstellenverantwortlichen werden Benutzer- und Vertragsdaten in der Datenbank mit einem Status "aktiver Benutzer und Vertrag" versehen. Ein Benutzerkonto wird übernommen - oder falls erforderlich generiert - und in eine wählbare Zugriffsgruppe aufgenommen. Login-0 Informationen zum Benutzerkonto werden in einer Datenbank gespeichert und dem Kunden mittels einer E-Mail zugesendet.
Bei einer Ablehnung des Kostenstellenverantwortlichen werden Benutzer- und Vertragsdaten aus der Datenbank gelöscht. Der5 Kunde erhält eine Benachrichtigung darüber, daß seine Bestellung abgelehnt wurde .
Nimmt der Kostenstellenverantwortlichen innerhalb von 30 Tagen keine Aktion vor, so werden die Benutzer- und Vertragsda-0 ten vorzugsweise aus der Datenbank gelöscht. Außerdem erhält der Kunde eine Benachrichtigung darüber, daß seine Bestellung innerhalb der letzten 30 Tage nicht genehmigt wurde.
SAMMELBESTELLUNG5 Über ein Sammelbestellformular werden erforderliche Benutzerinformationen entsprechend jeweils anzuwendender Vertragsvor- gaben eingegeben und können zentral über einen Betreiber des Bestell- und Registrierungssystems eingelesen und gepflegt werden. Eine Einhaltung von kaufmännischen Richtlinien wird im Bestell- und Registrierungssystem ebenfalls überprüft.
Da Bestellungen durch Verwendung des Sammelbestellformulars genehmigt sind, entfällt eine Kontroll-E-Mail an den Kostenstellenverantwortlichen. Auch bei einer Sammelbestellung erfolgt eine Prüfung von Kunden und Kostenstellenverantwortli- chen im LDAP-Verzeichnis. Nach erfolgreicher Prüfung werden Angaben zu Kunden einschließlich Vertrag entsprechend dem Status "aktiver Benutzer und Vertrag" und Angaben zum Kostenstellenverantwortlichen in der Datenbank gespeichert. Außerdem wird ein Benutzerkonto generiert bzw. übernommen und in eine wählbare Zugriffsgruppe aufgenommen. Informationen zum Benutzerkonto werden ebenfalls in der Datenbank gespeichert und abschließend per E-Mail an die Kunden übermittelt.
PAPIERBESTELLUNG
Sollte eine Bestellung nicht auf elektronischem Weg an den Betreiber des Bestell- und Registrierungssystems gelangen, kann eine Bestellung auf manuell erfaßt werden. Aufgrund einer Verwendung eines geeigneten nicht-elektronischen Bestell- formulars ist eine Genehmigung der Bestellung durch den Kostenstellenverantwortlichen bereits gegeben. Daher kann auch in diesem Fall die Kontroll-E-Mail an den Kostenstellenverantwortlichen entfallen.
Entsprechend einer bevorzugten Realisierungsform kann ein Benutzer bei den 3 beschriebenen Bestellwegen nur einmal einen Vertrag zu einem Software-Produkt bestellen. Hierdurch wird eine Doppel- oder Mehrfachbestellung ein und desselben Software-Produkts vermieden.
Der Kunde hat nach einer erfolgreichen Bestellung und Registrierung in der Datenbank sofort Zugriff auf seine Vertragsda- ten und auf die für ihn auf einem Datei-Server verfügbare Software. Die Zugriffe auf die Vertragsdaten werden über ein Active Directory und die Datenbank gesteuert. Der Zugriff auf die Datei-Server erfolgt vorzugsweise ausschließlich über das Active Directory.
VERTRAGSVERLANGERUNG
Die Kunden erhalten automatisch einen Monat vor Ablauf ihre Software-Lizenzen eine Benachrichtigung mit der Möglichkeit, ihre Lizenzen zu vertraglich vereinbarten Bedingungen zu verlängern. Diese Funktion wird innerhalb des Bestell- und Registrierungssystems wie der Bestellweg "Einzelbestellung" behandelt. Beim Bestellprozess werden dem Kunden die zugehöri- gen Vertragsdaten aus der Datenbank angezeigt. Des weiteren besteht hier die Möglichkeit, ein Softwarepaket zu wechseln.
VERTRAGSWIEDERAUFNAHME
Wenn ein Kunde nach Lizenzablauf seinen Vertrag verlängern will, werden ihm bei der Bestellung seine bisherigen benutzerspezifischen Daten aus der Datenbank angezeigt. Diese Funktion wird innerhalb des Systems wie der Bestellweg "Einzelbestellung" behandelt. Auch hier besteht die Möglichkeit, ein Softwarepaket zu wechseln.
Je nach Anforderung werden Benutzerinformationen wie die Firmenadresse, E-Mail-Adresse und jeweiliger Vertag mit zugehöriger Laufzeit in der Datenbank gespeichert.
LIZENZVERWALTUNG
Über ein Web-Frontend kann sich ein Kostenstellenverantwortlicher mit seiner E-Mail-Adresse im Bestell- und Registrie- rungssystem anmelden und authentifizieren. Hierbei erfolgt eine Überprüfung in der Datenbank, ob eine angegebene Kostenstelle vorhanden ist, und ob bei dieser Kostenstelle eine an- gegebene E-Mail-Adresse für einen Kostenverantwortlichen hinterlegt ist. Nach erfolgreicher Prüfung werden dem Kostenstellenverantwortlichen Zugangsdaten zu einem neu eingerichteten Benutzerkonto zugeschickt und in der Datenbank gespei- chert.
Der Kostenstellenverantwortliche hat über ein einheitliches Web-Frontend Zugriff auf Vertragsdaten, die seiner Kostenstelle zugeordnet sind. Hierbei erhält einen Überblick über abgeschlossene Verträge, Nutzungsberechtigte bzw. Benutzer bestellter Software-Produkte und die jeweilige Vertragslaufzeit. Noch zu genehmigende Bestellungen werden mit der Option "zur Genehmigung" angezeigt.
VERTRAGSÜBERNAHME
Über den Betreiber des Bestell- und Registrierungssystems kann ein Kostenstellenverantwortlicher eine Übertragung einer Software-Lizenz von einem Benutzer A auf einen Benutzer B be- antragen. Der neue Benutzer wird ebenfalls anhand seine E-
Mail-Adresse authentifiziert. Anschließend erfolgt eine Neuzuordnung des betreffenden Vertrags .
In der Datenbank wird automatisch der bisherige Vertag als abgelaufen markiert und für den neuen Benutzer ein neuer Ver- trag mit den Verrechnungsdaten des bisherigen Vertrags angelegt. Das bisherige Benutzerkonto wird im Active Directory automatisch deaktiviert und durch ein neues ersetzt.
Benutzerinformationen werden entsprechend für die jeweiligen Software-Produkte anzuwendenden Richtlinien erfaßt. Bei MSDN- Software-Lizenzen werden beispielsweise die einzelnen Benutzer namentlich bei Microsoft registriert. Nach erfolgter Registrierung erhalten die neuen MSDN-Subscriber eine Subscrip- tion-ID, mit der sie Zugang zu den online bereitgestellten Microsoft-Ressourcen haben. Diese Subscription-IDs können vom Betreiber des Bestell- und Registrieungssystems bzw eines MSDN Access Desk über eine vorgegebene Schnittstelle von Microsoft exportiert werden. Über das Web-Frontend werden diese Informationen automatisch in die Datenbank eingetragen. Hierbei wird nach bestehenden E-Mail-Adressen gesucht und diesen die jeweilige Subscription-ID zugeordnet.
Über die administrativen Seiten den MSDN Access Desk kann der Betreiber alle benutzerspezifischen Angaben ändern.
AUTOMATISCHE VERRECHNUNG
Einmal wöchentlich werden automatisch neue Lizenzbestellungen entsprechend kaufmännischen Vorgaben aggregiert und über eine XML-Schnittstelle an ein Abrechnungssystem des Betreibers geleitet, beispielsweise SAP R/3. In SAP R/3 werden die Rech- nungen automatisch generiert und weitergeleitet. Des weiteren übernimmt SAP R/3 eine Überwachung der vollständigen Übertragung.
AUTOMATISCHE BESTELLUNG
Einmal monatlich werden neue Lizenzbestellungen in bezug auf Software-Produkte Lieferanten aggregiert und über eine XML- Schnittstelle an SAP R/3 geleitet. In SAP R/3 werden außerdem die Bestellungen bei den jeweiligen Lieferanten erstellt und weitergeleitet. SAP R/3 übernimmt auch hier eine Überwachung der vollständigen Übertragung.
Figur 3 gibt einen Überblick über eine Netzwerkumgebung zur Verteilung von lizensierten Software-Produkten. Die Benutzer- Verwaltung des MSDN Access Desk wird je nach Anforderung in einer separaten oder in einer bestehenden Domäne abgebildet. In beiden Modellen wird die Zugriffssteuerung auf die Datei- Server über Benutzergruppen im Active Directory realisiert. Je nach bestellter Software-Lizenz erhält der Benutzer Zugriff auf die benötigten Ressourcen. Wenn mit einer separaten Domäne gearbeitet wird, solten mindestens zwei Domänen- Controller installiert sein. Web-Frontend und Datenbank-Server laufen auf der gleichen Hardware. Auf dem Web-Server ist ein Zertifikat für SSL- Verschlüsselung installiert. Aus Sicherheitsgründen werden diese beiden Dienste nicht zusammen auf einem Domänen- Controller installiert.
Die benötigte Software wird auf mindestens einem Datei-Server zur Verfügung gestellt. Je nach Verteilung der Benutzer auf einzelne Standorte und je nach benötigten Plattenkapazität kann es erforderlich sein, daß mehrere Datei-Server in einem firmeninternen Intranet aufgestellt werden.
Aktuelle Software-Produkte, die in MSDN-Paketen enthalten sind, werden bei Änderungen vorzugsweise täglich aktualisiert. Hierzu wird eine entsprechende Dateiverglichen und Informationen über neue bzw. gelöschte Software-Produkte an den Betreiber des MSDN Access Desk geschickt. Der Betreiber kommt dann die Aufgabe zu, den Download der Software-Pakete für den zentralen Datei-Server anstoßen. Weitere Datei-Server können dann beispielsweise in der folgenden Nacht miteinander synchronisiert werden.
Das hier beschriebene Verfahren wird vorzugsweise durch zu- mindest ein Steuerungsprogramm implementiert, bei dessen Ablauf die zuvor beschriebenen Schritte ausgeführt werden.
Die Anwendung der vorliegenden Erfindung ist nicht auf die beschriebenen Ausführungsbeispiele beschränkt.

Claims

Patentansprüche
1. Verfahren zur Überprüfung, und/oder Einräumung einer Berechtigung zum Zugriff auf ein computerbasiertes Objekt, bei dem eine Meldung mit einer Anforderung eines Zugriffscodes zum Zugriff auf das computerbasierte Objekt an eine Kontrolleinrichtung übermittelt wird, wobei die Meldung eine Angabe eines Identifikators eines Anforderungsberechtigten um- faßt, eine Kontrollmeldung über die Anforderung des Zugriffscodes an den Anforderungsberechtigten übermittelt wird, die durch eine Bestätigungsmeldung des Anforderungsberechtigten beantwortbar ist, - nach einer Bestätigung der Kontrollmeldung durch den Anforderungsberechtigten eine Meldung mit dem Zugriffscode für das computerbasierte Objekt an einen vorgebbaren Zugriffsberechtigten übermittelt wird.
2. Verfahren nach Anspruch 1, bei dem - bei einer Bestätigung der Kontrollmeldung überprüft wird, ob für den Anforderungsberechtigten und/oder für eine diesem zugeordneten Organisationseinheit bereits ein Benutzerkonto eingerichtet ist, - bei einem negativen Überprüfungsergebnis ein Benutzerkonto eingerichtet wird und Benutzerstammdaten abgefragt werden, •- bei einem bereits bestehenden Benutzerkonto zur Bearbeitung der Anforderung des Zugriffscodes Benutzerstammdaten aus einem dem Benutzerkonto zugeordneten Datensatz abge- fragt werden.
3. Verfahren nach einem der Ansprüche 1 oder 2, bei dem bei einer Sammelanforderung von Zugriffscodes durch einen authentisierten Anforderungsberechtigten eine Übermittlung der Kontrollmeldung an den Anforderungsberechtigten unterbunden wird und eine Bestätigung der Kontrollmeldung entfällt.
4. Verfahren nach einem der Ansprüche 1 oder 2, bei dem bei einer Anforderung eines Zugriffscodes auf nicht-elektronischem Weg durch einen authentisierten Anforderungsberechtigten eine Übermittlung der Kontrollmeldung an den Anforde- rungsberechtigten unterbunden wird und eine Bestätigung der Kontrollmeldung entfällt.
5. Steuerungsprogramm, das in einen Arbeitsspeicher einer Programmsteuerungseinrichtung ladbar ist und zumindest einen Codeabschnitt aufweist, bei dessen Ausführung eine Übermittlung einer Meldung mit einer Anforderung eines Zugriffscodes zum Zugriff auf das computerbasierte Objekt an eine Kontrolleinrichtung überwacht wird, wobei die Meldung eine Angabe eines Identifikators eines Anforde- rungsberechtigten umfaßt, bei einer Anforderung eines Zugriffscodes eine Kontrollmeldung über die Anforderung des Zugriffscodes an den Anforderungsberechtigten übermittelt wird, die durch eine Bestätigungsmeldung des Anforderungsberechtigten beant- wortbar ist,
- nach einer Bestätigung der Kontrollmeldung durch den Anforderungsberechtigten eine Meldung mit dem Zugriffscode für das computerbasierte Objekt an einen vorgebbaren Zugriffsberechtigten übermittelt wird, wenn das Steuerungsprogramm in der Programmsteuerungseinrichtung abläuft.
PCT/EP2005/050929 2004-03-17 2005-03-02 Verfahren und steuerungsprogramm zur überprüfung und/oder einräumung einer berechtigung zum zugriff auf ein computerbasiertes objekt WO2005091106A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP04006356 2004-03-17
EP04006356.2 2004-03-17

Publications (1)

Publication Number Publication Date
WO2005091106A1 true WO2005091106A1 (de) 2005-09-29

Family

ID=34924505

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2005/050929 WO2005091106A1 (de) 2004-03-17 2005-03-02 Verfahren und steuerungsprogramm zur überprüfung und/oder einräumung einer berechtigung zum zugriff auf ein computerbasiertes objekt

Country Status (1)

Country Link
WO (1) WO2005091106A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007098642A1 (en) * 2006-03-04 2007-09-07 Intel Corporation MECHANlSM FOR ACCESS CONTROL OF COMPUTING SYSTEM IN PRE-OS STAGE
AT504214B1 (de) * 2007-01-03 2008-04-15 Bernhard Hans Peter Dipl Ing D Verfahren zur dynamischen, datenabhängigen bestimmung und anwendung von berechtigungen in hierarchischen und relationalen umgebungen

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5917912A (en) * 1995-02-13 1999-06-29 Intertrust Technologies Corporation System and methods for secure transaction management and electronic rights protection
EP1243998A1 (de) * 2001-03-21 2002-09-25 Fully Licensed GmbH Ein Verfahren für Lizenzverwaltung und online Software-Lizenzerzwingung
US20020164025A1 (en) * 2001-01-05 2002-11-07 Leonid Raiz Software usage/procurement management
US20020174356A1 (en) * 2001-03-27 2002-11-21 Microsoft Corporation Method and system for licensing a software product

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5917912A (en) * 1995-02-13 1999-06-29 Intertrust Technologies Corporation System and methods for secure transaction management and electronic rights protection
US20020164025A1 (en) * 2001-01-05 2002-11-07 Leonid Raiz Software usage/procurement management
EP1243998A1 (de) * 2001-03-21 2002-09-25 Fully Licensed GmbH Ein Verfahren für Lizenzverwaltung und online Software-Lizenzerzwingung
US20020174356A1 (en) * 2001-03-27 2002-11-21 Microsoft Corporation Method and system for licensing a software product

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
MICROSOFT: "eOpen Software Assurance Benefit Administration User Guide", INTERNET, 31 December 2003 (2003-12-31), XP002301295, Retrieved from the Internet <URL:https://eopen.microsoft.com/EN/sub/SAUserGuide.doc> [retrieved on 20041018] *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007098642A1 (en) * 2006-03-04 2007-09-07 Intel Corporation MECHANlSM FOR ACCESS CONTROL OF COMPUTING SYSTEM IN PRE-OS STAGE
AT504214B1 (de) * 2007-01-03 2008-04-15 Bernhard Hans Peter Dipl Ing D Verfahren zur dynamischen, datenabhängigen bestimmung und anwendung von berechtigungen in hierarchischen und relationalen umgebungen

Similar Documents

Publication Publication Date Title
DE60212920T3 (de) Verfahren und system zur verwaltung von digitalen abonnementrechten
DE68926176T2 (de) Verwaltungssystem für lizenzierte Programme
EP1607824A2 (de) Verfahren und eine Vorrichtung zur Lizenzverwaltung und Verwaltung von Ressourcen in einem Computersystem
DE19838055B4 (de) Kommunikationssystem und Verfahren zum Zuordnen von Benutzern zu Kommunikationsgruppen
DE60221299T2 (de) System und Verfahren zur selektiven Aktivierung und Deaktivierung des Zugangs zu Software-Anwendungen über ein Netzwerk
EP1574007A1 (de) Automatische anschlussbezogene terminal- oder nutzerauthentifizierung in kommunikationsnetzen
WO2010026152A1 (de) Verfahren zur einräumung einer zugriffsberechtigung auf ein rechnerbasiertes objekt in einem automatisierungssystem, computerprogramm und automatisierungssystem
DE102005015830A1 (de) System zum Verwalten einer Vorrichtung
DE60212969T3 (de) Verfahren und vorrichtung zum verfolgen des status eines betriebsmittels in einem system zur verwaltung der benutzung der betriebsmittel
EP1010052B1 (de) Verfahren zur steuerung der verteilung und nutzung von software-objekten bei vernetzten rechnern
WO2005091106A1 (de) Verfahren und steuerungsprogramm zur überprüfung und/oder einräumung einer berechtigung zum zugriff auf ein computerbasiertes objekt
WO2020164974A1 (de) Verfahren zur überwachung einer funktionalität eines fahrzeuginformationssystems eines kraftfahrzeugs, sowie elektronische recheneinrichtung, computerprogramm und datenträger
AT504141B1 (de) Verfahren zur vergabe von zugriffsrechten auf daten
WO2005050418A1 (de) Verfahren zum zugriff auf eine datenverarbeitungsanlage
DE102005049510B4 (de) Verfahren zum Verwalten eines Sicherheitssystems
BE1030391B1 (de) Dienstleister-Kunden-Kommunikationssystem mit zentraler Datenspeicherung und -verwaltung, integriertem-synchronisiertem Zeiterfassungssystem sowie lokalen Terminals
WO2014067776A1 (de) Verfahren und system zum zugreifen auf daten in einem verteilten netzwerksystem
DE102005017102A1 (de) System zur Verarbeitung von ausführbaren Anwendungen, um zur Distribution geeignet zu sein
EP1973298B1 (de) Verfahren zum Bereitstellen von Internetdiensten auf Internetplattformen
EP3471011A1 (de) System und verfahren zum verwalten von personenbezogenen daten
EP3487127A1 (de) Verfahren und vorrichtung zur analyse und verarbeitung von elektronischen nachrichten
WO2003009079A2 (de) Elektronisches verfahren und vorrichtung zum elektronischen konfigurieren und/oder bestellen von fahrzeugen
EP2245530A2 (de) Wägesystem
DE102007022104A1 (de) System zur Steuerung von Projekten und Unterstützung von Geschäftsprozessen in einem Unternehmen
EP1443447A2 (de) Drahtloses System und Verfahren zum Einfügen von kryptographischen Daten

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BW BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE EG ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NA NI NO NZ OM PG PH PL PT RO RU SC SD SE SG SK SL SM SY TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): BW GH GM KE LS MW MZ NA SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LT LU MC NL PL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
NENP Non-entry into the national phase

Ref country code: DE

WWW Wipo information: withdrawn in national office

Country of ref document: DE

122 Ep: pct application non-entry in european phase