[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

DE19954358A1 - User role access controller has computer-legible storage media and program code resident in the media for generating one or more user roles - Google Patents

User role access controller has computer-legible storage media and program code resident in the media for generating one or more user roles

Info

Publication number
DE19954358A1
DE19954358A1 DE1999154358 DE19954358A DE19954358A1 DE 19954358 A1 DE19954358 A1 DE 19954358A1 DE 1999154358 DE1999154358 DE 1999154358 DE 19954358 A DE19954358 A DE 19954358A DE 19954358 A1 DE19954358 A1 DE 19954358A1
Authority
DE
Germany
Prior art keywords
user
access
given
computer
roles
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE1999154358
Other languages
German (de)
Inventor
Lawrence M Besaw
Bruce C Welti
Judith C Walker
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
HP Inc
Original Assignee
Hewlett Packard Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hewlett Packard Co filed Critical Hewlett Packard Co
Publication of DE19954358A1 publication Critical patent/DE19954358A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

The arrangement has one or more computer-legible storage media and program code resident in the media for generating one or more user roles. Each role has a set of access rights associated with a set of users and each access right enables actions that a user in a set of users can perform on a set of computer based objects. An Independent claim is also included for a method of controlling user access to computer-based objects.

Description

Diese Erfindung bezieht sich auf das Gebiet der Systemsi­ cherheitsführung und insbesondere auf ein Verfahren zum Implementieren einer Benutzerzugriffssteuerung, um eine leichte Führung (Management) und Sicherheit in einer Netz­ umgebung durch die Verwendung von Benutzerrollen zu fördern.This invention relates to the field of systems security management and in particular to a method for Implement a user access control to a easy management (management) and security in one network promote the environment through the use of user roles.

Um eine leichte Führung (Benutzer sehen lediglich das, was sie benötigen, um ihre Arbeit auszuführen) und Sicherheit (Benutzer können lediglich Handlungen durchführen, zu denen sie berechtigt sind) in einer Netzumgebung zu fördern, ist es wichtig, steuern zu können, was Benutzer in einem System durchführen können. Um diese Ziele zu fördern, wird die Be­ nutzerzugriffssteuerung, die definiert, welche Objekte ein Benutzer verwalten kann, und welche Operationen ein Benutzer durchführen kann, weit verbreitet verwendet, indem es ermög­ licht wird, daß unterschiedlichen Benutzern unterschiedliche Privilegebenen zugewiesen werden können, und daß unter­ schiedliche Teile des Netzes geführt werden können.For easy guidance (users only see what they need to do their job) and security (Users can only take actions on those they are entitled) to promote in a network environment it is important to be able to control what users in a system can perform. To promote these goals, the Be user access control that defines which objects User can manage and what operations a user perform widely used by enabling It becomes clear that different users have different Privileged can be assigned, and that under different parts of the network can be managed.

Die Benutzerzugriffsteuerung wird bei existierenden Produk­ ten durch Domänen definiert. Der Ausdruck Domäne besitzt verschiedene Anwendungen, wird jedoch inoffiziell zum Be­ schreiben einer Gruppe von Objekten verwendet, die eine ge­ meinsame Führung (Management), eine gemeinsame Position oder gemeinsame Standards aufweist. Bei einer verteilten Umgebung ist es unumgänglich Komponenten oder Leute in eine Einheit (oder Domäne) zu gruppieren, da die Größe und die Komplexi­ tät einer derartigen Umgebung es unmöglich macht, jede Kom­ ponente oder jeden Benutzer als unabhängige Entität für Führungszwecke zu behandeln. Domänen werden daher verwendet, um die Größe und die Komplexität einer Führungsumgebung zu reduzieren, indem die Umgebung in interessierende Bereiche und Verantwortungsbereiche aufgeteilt wird. Im Zusammenhang mit einer Benutzerzugriffssteuerung kann sich eine Domäne auf einen Satz von Objekten, wie z. B. Ressourcen (Betriebs­ mittel), Leute, Privilegien oder Prozesse beziehen, die ei­ ner einzigen Führungspolitik unterworfen sind. Eine Domäne sollte derart gruppiert sein, daß die Elemente in der Gruppe mit einer einzigen Politik (Verfahrensweise) verwaltet wer­ den können. Beispielsweise kann eine Benutzerdomäne ein Satz von Benutzern sein, die für eine Lohnliste verantwortlich sind und die einer einzigen Politik unterworfen sind, die bestimmt, auf was sie zugreifen können, und eine Objektdomä­ ne kann ein Satz von Lohnlistendateien sein, die den gleichen Zugriffsrechten unterworfen sind. Die Mitglieder einer Domäne können einzelne Entitäten und/oder Domänen sein, und die gleiche Entität/die gleiche Domäne kann zu ei­ ner oder mehreren Domänen gehören.User access control is used with existing products defined by domains. The term domain owns various applications, but unofficially becomes a Be write a group of objects that uses a ge joint leadership (management), a common position or has common standards. In a distributed environment it is inevitable components or people in one unit (or domain) group because of the size and complexi Such an environment makes it impossible to component or each user as an independent entity for Treat leadership purposes. Domains are therefore used to increase the size and complexity of a leadership environment reduce by dividing the environment into areas of interest and areas of responsibility are divided. In connection  with a user access control can become a domain on a set of objects, such as B. Resources (operating medium), people, privileges or processes related to egg subject to a single management policy. A domain should be grouped so that the elements in the group who manages with a single policy that can. For example, a user domain can be a sentence of users responsible for a payroll are subject to a single policy that determines what they can access and an object domain ne can be a set of payroll files that the are subject to the same access rights. The members A domain can have individual entities and / or domains and the same entity / domain can be too belong to one or more domains.

Bei einer typischen Benutzerzugriffssteuerungsimplementation gibt es eine oder mehrere Benutzerdomänen, die einer oder mehreren Objektdomänen zugeordnet sind. Diese Zuordnung wird durch eine Zugriffsregel bestimmt, die spezifiziert, welche Operationen eine Benutzerdomäne an einer Objektdomäne durch­ führen kann. Eine Grundzugriffsregel spezifiziert eine Be­ nutzerdomäne, eine Objektdomäne und einen Operationssatz der Objektdomäne. Der Zugriff wird ermöglicht, wenn sich der Be­ nutzer, der die Anfrage durchführt, in der Benutzerdomäne der Regel befindet, sich das Objekt der Anfrage in der Ob­ jektdomäne der Regel befindet und sich der Operationsname in dem Operationssatz der Objektdomäne befindet. Der Zugriff wird verweigert, wenn der Benutzer, das Objekt, oder die Operation in der Anfrage auf keine existierende Zugriffs­ regel anwendbar ist. Beispielsweise spezifiziert die Zu­ griffsregel {Lohnliste, Lohnlisten_Dateien, {Lesen, Schrei­ ben}}, daß alle Benutzer in der Lohnlistenbenutzerdomäne Objekte der Benutzerrollen_Datei-Objektdomäne lesen können, und in dieselben schreiben können. Wenn unterschiedliche Benutzer unterschiedliche Teilsätze von Operationen inner­ halb der Lohnlistendomäne erfordern, dann müssen mehrere Zugriffsregeln erzeugt werden. Wenn dann die Lohnlistenbe­ nutzerdomäne eine Lohnlisten_Personal-Benutzerdomäne und eine Lohnlisten_Führung-Benutzerdomäne (Domänenmitglieder können andere Domänen sein) aufweist, und es dem Lohn­ listen_Personal lediglich ermöglicht ist, Lohnlisten_Dateien zu lesen, während es der Lohnlisten_Führung ermöglicht ist, zu lesen und zu schreiben, dann wird eine Zugriffsregel für das Lohnlisten_Personal {Lohnlisten_Personal, Lohnlisten_Da­ teien, Lesen} und eine weitere Zugriffsregel für die Lohn­ listen_Führung {Lohnlisten_Führung, Lohnlisten_Datei, {Lesen, Schreiben}} erzeugt.In a typical user access control implementation there are one or more user domains that one or are assigned to several object domains. This assignment will determined by an access rule that specifies which Operations through a user domain on an object domain can lead. A basic access rule specifies a Be user domain, an object domain, and an operation set of Object domain. Access is made possible if the Be user who makes the request in the user domain As a rule, the object of the request is in Ob rule domain and the operation name is in the operation set of the object domain. The access is denied if the user, the object, or the Operation in the request for no existing access rule is applicable. For example, the Zu specifies general rules {payroll, payroll_files, {read, scream ben}} that all users in the payroll user domain Read user role_file object domain objects, and can write to them. If different Users of different subsets of operations inside half of the payroll domain, then multiple Access rules are generated. Then when the payroll  user domain, a payroll user domain and a payroll_guide user domain (domain members can be other domains), and it is rewarding listen_Personal is only allowed to payroll_files to read while payroll management is enabled to read and write, then an access rule for das Lohnlisten_Personal {Payroll_Personal, Payroll_Da share, read} and another access rule for wages listen_führung {payroll management, payroll file, {Read, write}} generated.

Ein Problem des existierenden Modells der Benutzerzugriffs­ steuerung besteht darin, daß eine Berechtigung oftmals über­ bewilligt (übermäßig bewilligt) oder unterbewilligt (zu wenig bewilligt) wird. Das Überbewilligen und das Unterbe­ willigen einer Berechtigung kann von den Zielen der Objekt­ führung und der Sicherheitssteuerung abweichen. Das Überbe­ willigen einer Berechtigung kann ein System gegenüber Sicherheitslücken anfällig machen. Es sei beispielsweise an­ genommen, daß die Objektdomäne 1 mit einem Zugriff {Lesen, Schreiben, Erzeugen} definiert ist; und die Zugriffsregeln versehen die Benutzerdomäne 1 mit einem Lesezugriff auf die Objektdomäne 1 {Benutzerdomäne 1, Objektdomäne 1, Lesen}, die Benutzerdomäne 2 mit einem Lese/Schreib-Zugriff auf die Objektdomäne 1 {Benutzerdomäne 2, Objektdomäne 1, {Lesen, Schreiben}}, und die Benutzerdomäne 3 mit einem Lese/Schreib/Erzeugen-Zugriff auf die Objektdomäne 1 {Be­ nutzerdomäne 3, Objektdomäne 1, {Lesen, Schreiben, Erzeu­ gen}}. Es wird weiter angenommen, daß der Benutzer 1 ein Mitglied der Benutzerdomäne 1 für Führungszwecke, der Be­ nutzerdomäne 2 für Verwaltungszwecke und der Benutzerdomäne 3 für Operationszwecke ist, wie es der Fall sein kann, wenn ein Benutzer mehrere Rollen einnimmt oder für einen anderen Arbeitnehmer einspringt. Wenn sich der Benutzer 1 in dem System einträgt bzw. anmeldet, wird derselbe als ein Mit­ glied der Benutzerdomäne 1, der Benutzerdomäne 2 und der Benutzerdomäne 3 erkannt. Als ein Resultat kann ein Über­ bewilligen einer Berechtigung dort auftreten, wo die norma­ len Pflichten des Benutzers 1 lediglich verwaltend sind, und derselbe lediglich Zugriffsrechte der Benutzerdomäne 1 benö­ tigt, aber aufgrund seiner Benutzerdomänenmitgliedschaften die Zugriffsrechte für die Benutzerdomäne 2 und die Be­ nutzerdomäne 3 besitzt, was mehr Rechte sind, als für seine Arbeit nötigt ist.A problem with the existing user access control model is that an authorization is often over-granted (under-approved) or under-approved (under-approved). The over-approval and the sub-approval of an authorization can deviate from the objectives of the property management and the security control. Excessive authorization can make a system vulnerable to security vulnerabilities. For example, suppose that object domain 1 is defined with one access {read, write, create}; and the access rules provide user domain 1 with read access to object domain 1 {user domain 1 , object domain 1 , read}, user domain 2 with read / write access to object domain 1 {user domain 2 , object domain 1 , {read, write} }, and the user domain 3 with read / write / create access to the object domain 1 {user domain 3 , object domain 1 , {read, write, generate}}. It is further assumed that the user 1 is a member of the user domain 1 for management purposes, the user domain 2 for administrative purposes and the user domain 3 for operational purposes, as may be the case when a user takes on multiple roles or takes over for another employee . When the user 1 registers in the system, the same is recognized as a member of the user domain 1 , the user domain 2 and the user domain 3 . As a result, an over grant an authorization occur where the norma len obligations of the user 1 are only administratively, and the same only access the user domain 1 Need Beer Untitled, but due to its user domain memberships permissions for the user domain 2 and the loading user domain 3 has what are more rights than are necessary for his work.

Aufgrund der Zeit, die benötigt wird, um die notwendige Berechtigung beizubehalten, kann das Unterbewilligen einer Berechtigung wertvolle Zeit verbrauchen. Das Unterbewilligen einer Berechtigung kann dort auftreten, wo eine strenge Sicherheit vorhanden ist und einem Benutzer eine Berechti­ gung bedarfsmäßig bewilligt wird. Es wird beispielsweise angenommen, daß der Benutzer 1 der Benutzerdomäne 1 für einen Zugriff auf die Objektdomäne 1 zugewiesen ist, da derselbe regelmäßig die Rolle eines Verwaltungsarbeitnehmers einnimmt. Wenn der Benutzer 1 gelegentlich die Rolle einer Führungskraft (eines Managers) einnehmen muß, muß eine Zu­ griffsregel, die dem Benutzer 1 die Führungsberechtigung der Verwaltungsdomäne 2 bewilligt, erzeugt werden. Wenn der Be­ nutzer 1 gelegentlich die Rolle eines Operationsarbeits­ nehmers einnehmen muß, muß ähnlich eine Zugriffsregel für diesen Zweck erzeugt werden. Sobald die vorübergehende Zu­ weisung des Benutzers 1 entfernt wird, wird entweder Zeit benötigt, um die Zugriffsregel zu entfernen, oder das System ist einer Überbewilligung einer Berechtigung unterworfen.Because of the time it takes to maintain the necessary authorization, sub-granting an authorization can waste valuable time. The sub-approval of an authorization can occur where there is strict security and a user authorization is granted as required. For example, it is assumed that user 1 is assigned to user domain 1 for access to object domain 1 , since he regularly assumes the role of an administrative worker. If the user 1 occasionally has to assume the role of a manager (a manager), an access rule that grants the user 1 the management authority of the administrative domain 2 must be generated. Similarly, if the user 1 must occasionally take the role of an operation worker, an access rule must be created for this purpose. As soon as the temporary assignment of user 1 is removed, either time is required to remove the access rule or the system is subject to an over-authorization.

Ein weiteres Problem des existierenden Modells der Benut­ zerzugriffssteuerung tritt auf, wenn dasselbe in mehreren Anwendungen auf der gleichen Plattform implementiert ist. Die Notwendigkeit einer Benutzerzugriffssteuerfunktionalität ist so groß, daß es bei Anwendungen als notwendig empfunden wurde, Sicherheitsmerkmale auf den Plattformen zu implemen­ tieren, auf denen die Anwendungen existieren. Es wird bei­ spielsweise angenommen, daß die Domäne 1 durch den Satz von Operationen {Lesen, Schreiben, Erzeugen} definiert ist, und die Plattform definiert die Führungspolitik (Management­ politik) {Benutzergruppe 1, Domäne 1, Lesen} dort, wo ein Mitglied der Benutzergruppe 1 einen Lesezugriff auf die Domäne 1 besitzt, und die Anwendung 1 definiert unabhängig die Führungspolitik {Benutzergruppe 1, Domäne 1, {Lesen, Schreiben}} dort, wo ein Mitglied der Benutzergruppe 1 einen Lese- und Schreib-Zugriff auf die Domäne 1 besitzt, wenn derselbe bei dieser Anwendung angemeldet ist. Das erste Pro­ blem besteht darin, daß ein Benutzer, der zu der Benutzer­ gruppe 1 gehört und der auf ein Objekt in der Domäne 1 zu­ greift, mit einem widersprüchlichen Berechtigungsbild zwi­ schen der Plattform und der Anwendung konfrontiert ist, da gemäß der Plattform der Benutzer einen Lesezugriff auf die Objekte der Domäne 1 besitzt, und der Benutzer in der Anwen­ dung einen Lese- und Schreib-Zugriff auf die gleichen Objek­ te besitzt. Außerdem stellt dieses Problem ein Problem für die Anwendungsintegration oder die Fähigkeit dar, daß zwei Anwendungen Objekte quer über die Domänen gemeinsam verwen­ den. Es kann beispielsweise, wenn die Anwendung 1 die glei­ che Führungspolitik wie die Plattform {Benutzergruppe 1, Do­ mäne 1, {Lesen}} definiert, eine Sicherheitslücke dort auf­ treten, wo ein Benutzer der Anwendung 1 keinen Schreibzu­ griff auf die Objekte der Domäne 1 haben sollte, denselben jedoch aufgrund einer Führungspolitik, die unabhängig für die Anwendung 2 erzeugt wird, besitzt. Als ein Resultat ist die Anwendungsintegration schwerer zu implementieren.Another problem with the existing user access control model arises when implemented in multiple applications on the same platform. The need for user access control functionality is so great that in applications it has been felt necessary to implement security features on the platforms on which the applications exist. For example, it is assumed that Domain 1 is defined by the set of operations {read, write, create}, and the platform defines the management policy {user group 1 , domain 1 , read} where a member of the User group 1 has read access to domain 1 , and application 1 independently defines the management policy {user group 1 , domain 1 , {read, write}} where a member of user group 1 has read and write access to domain 1 if the user is logged in to this application. The first problem is that a user who belongs to user group 1 and who accesses an object in domain 1 is faced with a contradictory authorization image between the platform and the application, since according to the platform the user has read access to the objects of domain 1 , and the user in the application has read and write access to the same objects. This problem also presents a problem for application integration or the ability for two applications to share objects across domains. For example, if application 1 defines the same management policy as platform {user group 1 , domain 1 , {read}}, a security vulnerability may arise where a user of application 1 does not have write access to the objects of domain 1 should have, but has the same due to a management policy that is generated independently for application 2 . As a result, application integration is more difficult to implement.

Die Aufgabe der vorliegenden Erfindung besteht darin eine Vorrichtung zum Steuern eines Benutzerzugriffs auf Compu­ terbasierte Objekte und ein Verfahren zum Steuern eines Be­ nutzerzugriffs auf Computer-basierte Objekte zu schaffen, die eine Berechtigung bewilligen können, die auf die spezielle Tätigkeit des Benutzers angepaßt ist, und eine An­ wendungswiderspruchsfreiheit und eine Anwendungsintegration fördern.The object of the present invention is Device for controlling user access to Compu ter-based objects and a method for controlling a loading create user access to computer-based objects, who can grant an authorization that is based on the special activity of the user is adapted, and an freedom from contradictions and application integration promote.

Diese Aufgabe wird durch eine Vorrichtung zum Steuern eines Benutzerzugriffs auf Computer-basierte Objekte gemäß An­ spruch 1 und ein Verfahren zum Steuern eines Benutzerzu­ griffs auf Computer-basierte Objekte gemäß Anspruch 21 ge­ löst.This task is accomplished by a device for controlling a User access to computer-based objects as per An claim 1 and a method of controlling a user handles computer-based objects according to claim 21 ge  solves.

Die vorliegende Erfindung verwendet das Konzept der Benut­ zerrollen, um einen flexibleren und leistungsvolleren Lösungsansatz der Benutzerzugriffssteuerung zu implementie­ ren. Dort wo ein Domänenmodell den Zugriff auf ein Objekt basierend auf Zugriffsrechten bestimmt, die der Benutzer zu einem oder mehreren Operationssätzen/Objektdomänen-Paarungen besitzt, bestimmt die vorliegende Erfindung einen Zugriff gemäß Rechten, die für eine oder mehrere Benutzerrollen de­ finiert sind, von denen der Benutzer ein Mitglied ist. Durch die gesamte Beschreibung hindurch ist ein "Benutzer" durch einen einzigartigen I. D. identifiziert, der für die Be­ nutzerbeglaubigung verwendet wird, und derselbe bezieht sich auf entweder eine Person oder einen Server, der Benutzer­ rollen für eine spezielle Anfrage vererbt. Ein Benutzer kann ein Mitglied von einer oder mehreren Benutzerrollen sein, und derselbe kann die Merkmale von einer oder mehreren Be­ nutzerrollen erben, wenn sich der Benutzer einloggt bzw. an­ meldet. Eine Benutzerrolle ist ein Satz von Handlungen, die durch einen Benutzer durchgeführt werden können, der ein Mitglied dieser Benutzerrolle ist. (Eine Benutzerrolle kann ferner durch andere Benutzerrollen definiert werden.) Eine Benutzerrolle gibt einem Benutzer Zugriffsrechte, die be­ stimmen, welche Handlungen zu einer Benutzerrolle gehören. Wenn sich ein Benutzer bei einer oder mehreren Benutzer­ rollen anmeldet, von denen derselbe ein Mitglied ist, be­ sitzt der Benutzer Zugriffsrechte zu den Handlungen dieser Benutzerrollen, die dem Benutzer die Berechtigung geben, diese Handlungen vorzunehmen. Ähnlicherweise kann ein Server Zugriffsrechte erhalten, indem derselbe anfangs einem Be­ nutzer zugeordnet ist oder die Identität des Benutzers für eine spezielle Anfrage erbt, so daß der Server als ein Fil­ ter für berechtigte Handlungen wirkt.The present invention uses the concept of user roll up to a more flexible and powerful Solution to implement user access control ren. Where a domain model has access to an object determined based on access rights that the user has one or more operation sets / object domain pairings the present invention determines access according to rights de. for one or more user roles of which the user is a member. By the entire description is a "user" through identified a unique I.D. user authentication is used, and refers to it on either a person or a server, the user roles inherited for a special request. A user can be a member of one or more user roles, and it can have the characteristics of one or more Be inherit user roles when the user logs in or on reports. A user role is a set of actions that can be performed by a user who has a Is a member of this user role. (A user role can further defined by other user roles.) A User role gives a user access rights, the be agree which actions belong to a user role. If a user is one or more users registers roles, of which the same is a member, be the user sits access rights to the actions of this User roles that give the user permission to perform these acts. Similarly, a server Obtain access rights by initially assigning a Be is associated with user or the identity of the user for inherits a special request so that the server acts as a fil acts for legitimate acts.

Das Implementieren der Benutzerzugriffssteuerung durch Be­ nutzerrollen verfeinert ferner die Ziele der leichten Füh­ rung und der Sicherheit in einer Netzumgebung. Allgemein fördert die Benutzerzugriffssteuerung diese Ziele, indem dieselbe die Unordnung reduziert und es Benutzern ermög­ licht, lediglich das zu betrachten, was sie für ihre Arbeit benötigen. Dies ist insbesondere dort wichtig, wo mehrere Anwendungen auf einer Plattform installiert sind, und wo eine stückchenweise Steuerung des Objektzugriffes zu einer Verwirrung, einem Fehler und einer Sicherheitslücke führen kann. Benutzerrollen eliminieren die Verwirrung, indem eine Führbarkeits/Sicherheits-Schicht injiziert wird, die die Handlungen steuert, die an Objekten durchgeführt werden können, die über mehrere Anwendungen hinweg gemeinsam ver­ wendet werden. Beispielsweise kann eine Benutzerrolle ver­ wendet werden, um Menüpunkte in einem verteilten System oder URLs (URL = Uniform Ressource Locator = Einheits-Ressourcen- Positionsanzeiger; eine Adresse für eine Ressource im Inter­ net) in einem Web-Browser (einer Netzsuchvorrichtung) auszu­ blenden. Da es Benutzerrollen ermöglichen, daß Zugriffsre­ geln insbesondere für die Verantwortlichkeiten eines Be­ nutzers in einer bestimmten Rolle erzeugt werden, ist ein dynamisches Rollenwechseln möglich, was die Probleme elimi­ niert, die dem Überbewilligen und Unterbewilligen einer Be­ rechtigung zugeordnet sind. Die Erfindung kann verwendet werden, um sicherzustellen, daß Benutzer widerspruchsfrei lediglich das durchführen können, für was sie über mehrere Anwendungen berechtigt: sind. Es ist weniger wahrscheinlich, daß ein Benutzer mit einem widersprüchlichen Bild einer Be­ rechtigung dort konfrontiert wird, wo die Berechtigungs­ erteilung durch eine einzige Steuerschicht und nicht durch mehrere Schichten implementiert ist. Zusätzlich wird durch Entfernen einer widersprüchlichen Berechtigungsanwendung die Anwendungsintegration durch eine widerspruchsfreie Zu­ griffs-Berechtigung oder -Verweigerung auf gemeinsam ver­ wendete Objekte unterstützt.Implementing user access control by Be User roles also refine the goals of light leadership and security in a network environment. Generally  User Access Control encourages these goals by it reduces clutter and allows users light just to look at what they do for their work need. This is particularly important where there are several Applications are installed on a platform, and where a piecewise control of object access to one Confusion, a bug and a security hole can. User roles eliminate the confusion by creating one Feasibility / safety layer is injected into the Controls actions that are performed on objects that can be shared across multiple applications be applied. For example, a user role can ver be applied to menu items in a distributed system or URLs (URL = Uniform Resource Locator = unit resource Position indicators; an address for a resource in the Inter net) in a web browser (a network search device) dazzle. Because user roles allow access re apply in particular to the responsibilities of a Be user in a specific role is a dynamic role change possible, which elimi the problems niert, the over-approval and under-approval of a Be rights are assigned. The invention can be used to ensure that users are consistent only can do for what they have multiple Applications are authorized:. It is less likely that a user with a contradicting picture of a Be right is confronted where the right issued by a single tax layer and not by multiple layers is implemented. In addition, by Remove a conflicting authorization application Application integration through a contradictory Zu Grip authorization or refusal to jointly ver supported objects.

Bei einem ersten bevorzugten Ausführungsbeispiel der Erfin­ dung wird ein netzbasiertes Modell verwendet, um eine Be­ nutzerrollenzugriffssteuerung dort zu implementieren, wo es kein Konzept von Objekten und Domänen gibt. Bei einem zwei­ ten bevorzugten Ausführungsbeispiel der Erfindung stehen die Benutzerrollen mit Objekt- und Domänen-Konzepten in einer Wechselbeziehung, um die Benutzerrollenzugriffssteuerung zu implementieren. Bei beiden Ausführungsbeispielen kann die Benutzerrollenzugriffssteuerung auf zwei Arten verwendet werden: als Graphikbenutzerschnittstellen- (im folgenden GUI-) Filtern (GUI = Graphical User Interface) und als Lauf­ zeitzugriffsprüfen (Run-Time-Zugriffsprüfen) der ausgewähl­ ten Handlung. Beides ist durch die Zugriffsrechte der Be­ nutzerrollen definiert, die definieren, welche URLs oder Menüpunkte beispielsweise angezeigt und für einen Zugriff berechtigt sind.In a first preferred embodiment of the invention A network-based model is used to determine a load implement user role access control where it is there is no concept of objects and domains. With a two  th preferred embodiment of the invention User roles with object and domain concepts in one Interrelation to user role access control too to implement. In both embodiments, the User role access control is used in two ways as: graphical user interfaces - (hereinafter GUI) filtering (GUI = Graphical User Interface) and as a run time access checks (run-time access checks) of the selected action. Both are due to the access rights of the Be defined user roles that define which URLs or Menu items, for example, are displayed and for access are entitled.

Die Benutzerrollenzugriffssteuerung ist flexibler als das Zuordnenden von Zugriffsrechten zu entweder dem Objekt oder dem Benutzer, wie es in der Vergangenheit durchgeführt wur­ de. Das Zuordnen von Zugriffsrechten zu Objekten macht es schwer, eine Konfiguration zu modifizieren, wenn einem neuen Benutzer der Zugriff auf Objekte gegeben werden muß, insbe­ sondere, wenn es eine große Anzahl von Objekten gibt, und die neuen Rechte lediglich vorübergehend sind (z. B. wenn eine Person für einen Mitarbeiter eingesetzt wird). Das Zu­ ordnen von Rechten zu einem Benutzer kann insbesondere dann schwer beibehalten werden, wenn neue Objekte hinzugefügt werden (da sich dieselben häufig in einer dynamischen Netz­ umgebung befinden) und Benutzer Zugriffsrechte basierend auf unterschiedlichen Rollen, die dieselben spielen müssen (mög­ licherweise vorübergehend, um für jemanden einzuspringen, der krank oder im Urlaub ist), ändern müssen. Die Benutzer­ rollenzugriffssteuerung sieht die höchste Flexibilität und die geringste Konfigurationskomplexitäts- und Mehraufwands- Menge vor. Bei dem zweiten bevorzugten Ausführungsbeispiel beeinflußt das Ändern der Definition einer Domäne (d. h. durch Hinzufügen von neuen Objekten) alle Benutzerrollen, die eine Zugriffsregel für diese Domäne umfassen. Das Ändern der Definition eines Operationssatzes (d. h. durch Hinzufü­ gen von neuen Operationen, da eine neue Anwendung gerade installiert wurde) beeinflußt alle Benutzerrollen, die eine Zugriffsregel für diesen Operationssatz umfassen. Das Ändern der Definition einer Benutzerrolle (durch Hinzufügen oder Entfernen einer Zugriffsregel) ändert die Zugriffsrechte für alle Benutzer, die dieser Benutzerrolle zugewiesen sind. Es besteht keine Notwendigkeit, die Zugriffsrechte für jeden betroffenen Benutzer zu aktualisieren. Außerdem erleichtert es die Benutzerrollenzugriffssteuerung Zugriffsrechte Be­ nutzern in großen gut definierten Gruppierungen zu bewilli­ gen oder zu verweigern. Beispielsweise können einem Benutzer "Netzbetreiber"-Rechte gegeben werden, indem dem Benutzer die "Netzbetreiber"-Benutzerrolle zugewiesen wird, statt daß dem Benutzer eine große Anzahl von einzelnen Zugriffsrechten für verschiedene Operationen in verschiedenen Objekten zuge­ wiesen wird.User role access control is more flexible than that Assign access rights to either the object or the user, as has been done in the past de. Mapping access rights to objects does it hard to modify a configuration when a new one Users must be given access to objects, esp especially if there are a large number of objects, and the new rights are only temporary (e.g. if one person is employed for an employee). The To then assign rights to a user in particular hard to keep when adding new objects (since they are often in a dynamic network environment) and user access rights based on different roles that the same must play (possible temporarily to jump in for someone who is sick or on vacation) must change. The users role access control sees the greatest flexibility and the least configuration complexity and overhead Amount before. In the second preferred embodiment affects changing the definition of a domain (i.e. by adding new objects) all user roles, that include an access rule for that domain. Change this the definition of an operation set (i.e. by adding new operations because of a new application installed) affects all user roles, one  Include access rule for this operation set. Change this the definition of a user role (by adding or Removing an access rule) changes the access rights for all users assigned to this user role. It there is no need to have access rights for everyone update affected users. Also relieved it the user role access control access rights users in large, well-defined groups to refuse or to refuse. For example, a user "Network operator" rights are given by the user the "network operator" user role is assigned instead of the user a large number of individual access rights for different operations in different objects will be shown.

Bevorzugte Ausführungsbeispiele der vorliegenden Erfindung werden nachfolgend unter Bezugnahme auf die beigefügten Zeichnungen näher erläutert. Es zeigen:Preferred embodiments of the present invention are appended below with reference to the Drawings explained in more detail. Show it:

Fig. 1 das Domänenmodell der Benutzerzugriffssteuerung; FIG. 1 is the domain model of the user access control;

Fig. 2 das Benutzerrollenmodell der Zugriffssteuerung, das in der vorliegenden Erfindung ausgeführt ist; Fig. 2 shows the access control user role model embodied in the present invention;

Fig. 3 Komponenten, die bei einer Sitzungsanmeldung be­ troffen sind; Fig. 3 components that are affected by a session registration;

Fig. 4 eine Beispielsdefinition einer Java-Klasse zum Zu­ greifen auf Sitzungseigenschaften; Fig. 4 is an example definition of a Java class for the session to access to properties;

Fig. 5 eine Beispielsdefinition einer C-APT zum Zugreifen auf Sitzungseigenschaften; Figure 5 is an example definition of a C-APT for accessing session properties.

Fig. 6 eine Beispielsstarterregistrierungsdatei;6 shows an example starter registration file ;

Fig. 7 Komponenten, die bei der Benutzerrollenzugriffs­ steuerung betroffen sind, die in einem Web-Browser implementiert ist, indem die graphische Benutzer­ schnittstelle durch eine Starterinitialisierung gefiltert wird; Fig. 7 components involved in user role access control implemented in a web browser by filtering the graphical user interface through a starter initialization;

Fig. 8 Komponenten, die bei der Benutzerrollenzugriffs­ steuerung betroffen sind, die in einem Web-Browser durch ein Laufzeitzugriffsprüfen implementiert ist, wenn ein URL unter Verwendung der ovlaunch-Kompo­ nente ausgeführt wird; Fig. 8 components involved in user role access control, which is implemented in a web browser by a runtime access check when a URL is executed using the ovlaunch component;

Fig. 9 Komponenten, die bei der Benutzerrollenzugriffs­ steuerung in einem Web-Browser betroffen sind, der durch ein Laufzeitzugriffsprüfen implementiert ist, wenn ein URL ohne die ovlaunch-Komponente ausge­ führt wird; Fig. 9 components involved in user role access control in a web browser implemented by a runtime access check when a URL is executed without the ovlaunch component;

Fig. 10 eine Beispielssicherheitskonfiguration für ein zweites bevorzugtes Ausführungsbeispiel; und10 shows an example security configuration for a second preferred embodiment; and

Fig. 11 ein Beispielssicherheitsmodell für ein zweites be­ vorzugtes Ausführungsbeispiel. Fig. 11 shows an example security model for a second be vorzugtes embodiment.

Die vorliegende Erfindung ist ein Verfahren und eine Vor­ richtung zum Implementieren der Benutzerzugriffssteuerung durch Benutzerrollen. Durch die gesamte Beschreibung bezieht sich ein "Benutzer" entweder auf eine Person oder einen Ser­ ver, der Benutzerrollen für eine spezielle Anfrage vererbt. Ein Benutzer ist durch einen einzigartigen ID identifiziert, der für die Benutzerbeglaubigung benutzt wird. Eine Benut­ zerrolle ist ein Satz von Handlungen, der bestimmt, was die Funktion eines Benutzers ist. Dieselbe kann den Bereich einer Betriebsverantwortung definieren, wie z. B. als Si­ cherheitsverwalter, als Netzverwalter oder als Systemverwal­ ter. Die Benutzerrollenzugriffssteuerung kann in einem oder mehreren Computer-lesbaren Speichermedien 232 (Fig. 2) und Programmcode, der auf dem einen oder den mehreren Computer­ lesbaren Speichermedien 232 zum Erzeugen von einer oder mehreren Benutzerrollen 200, 202, 204 liegt, ausgeführt sein, wobei jede der einen oder der mehreren Benutzerrollen 200, 202, 204 einen Satz von Zugriffsrechten 226, 228, 230 aufweist, der einem Satz von Benutzern zugeordnet ist, und jedes der Zugriffsrechte 226, 228, 230 Handlungen 206, 208, 210, 212, 214, 216, 218, 220, 222 darlegt, die durch einen Benutzer in dem Satz von Benutzern an einen Satz von Compu­ terbasierten Objekten durchgeführt werden können. Die Be­ nutzerrollenzugriffssteuerung kann ferner in einem verfah­ ren, um den Benutzerzugriff zu steuern, ausgeführt sein, das das Empfangen einer Anfrage von einem Benutzer, um eine Handlung während einer Computersitzung durchzuführen, und das Wiedergewinnen ansprechend auf die Anfrage von einer oder mehreren Benutzerrollen 200, 202, 204, von denen der Benutzer für die Sitzung ein Mitglied ist, wobei jede der einen oder mehreren Benutzerrollen 200, 202, 204 eines oder mehrere Zugriffsrechte 226, 228, 230 bestimmt, die der Be­ nutzer für die Sitzung besitzt, und wobei das eine oder die mehreren Zugriffsrechte 226, 228, 230 eine oder mehrere Handlungen 206, 208, 210, 212, 214, 216, 218, 220, 222 be­ stimmen, die der Benutzer während der Sitzung durchführen kann, und das Bestimmen aufweist, ob der Benutzer berechtigt ist, die angefragte Handlung durchzuführen, indem bestimmt wird, ob eine oder mehrere Benutzerrollen 200, 202, 204, von denen der Benutzer ein Mitglied ist, ein Zugriffsrecht 226, 228, 230 aufweisen, das die angefragte Handlung erlaubt.The present invention is a method and apparatus for implementing user access control through user roles. Throughout the description, a "user" refers to either a person or a server who inherits user roles for a particular request. A user is identified by a unique ID that is used for user authentication. A user role is a set of actions that determines what a user's role is. It can define the area of operational responsibility, such as: B. as a security manager, as a network administrator or as a system administrator. User role access control may be implemented in one or more computer readable storage media 232 ( FIG. 2) and program code residing on the one or more computer readable storage media 232 for creating one or more user roles 200 , 202 , 204 , each the one or more user roles 200 , 202 , 204 has a set of access rights 226 , 228 , 230 associated with a set of users and each of the access rights 226 , 228 , 230 acts 206 , 208 , 210 , 212 , 214 , 216 , 218 , 220 , 222 that can be performed by a user in the set of users on a set of computer-based objects. User role access control may also be implemented in a method to control user access, receiving a request from a user to perform an action during a computer session, and retrieving in response to the request from one or more user roles 200 , 202 , 204 , of which the user is a member of the session, each of the one or more user roles 200 , 202 , 204 determining one or more access rights 226 , 228 , 230 that the user has for the session, and wherein one or more of the access rights 226 , 228 , 230 determine one or more actions 206 , 208 , 210 , 212 , 214 , 216 , 218 , 220 , 222 that the user can perform during the session and includes determining whether the User is authorized to perform the requested action by determining whether one or more user roles 200 , 202 , 204 , of which the user is a member ied, have an access right 226 , 228 , 230 that allows the requested action.

Fig. 1 stellt das Domänenmodell für die Benutzerzugriffs­ steuerung dar, bei dem die Zugriffsrechte des Benutzers durch eine oder mehrere Paarungen eines Operationssatzes 100, 102, 104 zu einer Objektdomäne 106, 108, 110 bestimmt sind. Bei diesem Modell ist ein Benutzer zu einer Handlung an einem Objekt berechtigt, wenn dem Benutzer ein Zugriffs­ recht zugewiesen ist, das eine Paarung eines Operations­ satzes definiert, der die angefragte Handlung zu einer Ob­ jektdomäne enthält, die das angefragte Objekt enthält. Fig. 1 represents the domain model for the user access is control in which the access rights of the user by one or more pairings of a set of operation 100, 102, 104 are determined to be an object domain 106, 108, 110. In this model, a user is authorized to perform an action on an object if the user is assigned an access right which defines a pairing of an operation set which contains the requested action for an object domain which contains the requested object.

Fig. 2 stellt ein Ausführungsbeispiel der vorliegenden Er­ findung, eine Benutzerrollenzugriffssteuerung, dar, bei der die spezielle Anfrage eines Benutzers berechtigt ist, wenn der Benutzer ein Mitglied von einer oder mehreren Benutzer­ rollen 200, 202, 204 ist, die eines oder mehrere Zugriffs­ rechte 226, 228, 230 zu einer oder mehreren Handlungen 206, 208, 210, 212, 214, 216, 218, 220, 222 enthalten, wobei min­ destens ein Zugriffsrecht die angefragte Handlung umfaßt. Mit anderen Worten ist eine Handlung berechtigt, wenn der Benutzer einer Benutzerrolle zugeordnet ist, die mindestens ein Zugriffsrecht zu der angefragten Handlung enthält. FIG. 2 illustrates an embodiment of the present invention, a user role access control, in which a user's special request is authorized if the user is a member of one or more users 200 , 202 , 204 who have one or more access rights 226 , 228 , 230 for one or more actions 206 , 208 , 210 , 212 , 214 , 216 , 218 , 220 , 222 , wherein at least one access right includes the requested action. In other words, an action is authorized if the user is assigned to a user role that contains at least one access right to the requested action.

Bei einem ersten bevorzugten Ausführungsbeispiel der Erfin­ dung ist die Benutzerrollenzugriffssteuerung in einer netz­ basierten Umgebung implementiert, um einen Benutzer zu be­ rechtigen oder ihm zu verweigern, eine Handlung aufzurufen, wobei ein URL die Zugriffsrechte eines Benutzers zu einer speziellen Handlung bestimmt. Dieses Ausführungsbeispiel ist ein Web-Browser (Netz-Suchvorrichtung) und eine Web- Ser­ ver-unabhängige (Netz-Server-unabhängige) Vorrichtung für ein netzbasiertes Benutzerrollenmodell. Die netzbasierte Benutzerrollenzugriffssteuerung ist in einer Netzanwendung implementiert, auf die hierin als der Starter (Launcher) Bezug genommen wird, die dem Benutzer Handlungen durch die URLs zur Verfügung stellt.In a first preferred embodiment of the invention is the user role access control in a network based environment implemented to be a user justify or refuse to take an action, where a URL is a user's access rights to a specific action. This embodiment is a web browser (network search device) and a web server ver-independent (network server-independent) device for a network-based user role model. The network-based User role access control is in a network application implemented on here as the starter (launcher) Reference is made to the user's actions through the Provides URLs.

Ein Aspekt der Erfindung besteht darin, daß die Benutzerrol­ lenzugriffssteuerung auf die Anzeige eines Starterfensters (Launcher-Fensters) angewendet wird, um die GUI auf Handlun­ gen zu filtern, die für die aktiven Benutzerrollen definiert sind. Ein Benutzer ist zu einem URL berechtigt und kann je­ den beliebigen auf der Anzeige verfügbaren URL auswählen. Ein weiterer Aspekt der Erfindung besteht darin, daß die Be­ nutzerrollenzugriffssteuerung für ein Laufzeitzugriffsprüfen verwendet wird, bei dem ein Benutzer berechtigt ist, eine Handlung durchzuführen, wenn der URL für die Handlung für die eine oder die mehreren Benutzerrollen für die Sitzung des Benutzers definiert ist. One aspect of the invention is that the user role Control of access to the display of a starter window (Launcher window) is applied to the GUI on Handlun to filter conditions defined for the active user roles are. A user is authorized to use a URL and can do so select any URL available on the ad. Another aspect of the invention is that the loading User role access control for a runtime access check where a user is authorized to use a Act if the url for the act for the one or more user roles for the session of the user is defined.  

Benutzeranmeldung und SitzungsinitialisierungUser login and session initialization

Um beglaubigt zu werden und die Berechtigung zu erhalten, die Zugriffsrechte anzunehmen, die durch eine oder mehrere Benutzerrollen definiert sind, muß der Benutzer eine Netz­ sitzung (Web-Sitzung) starten. Eine Sitzung ist eine Gruppe von Anwendungen, die einem speziellen Benutzer auf einer speziellen Anzeige zugeordnet sind. Alle Anwendungen, die direkt oder indirekt von einem Starterfenster (d. h. der GUI auf der obersten Ebene für die Netzsitzung) gestartet wer­ den, sind Teil einer Sitzung, und können gemeinsam Informa­ tionen verwenden. Es ist erforderlich, daß sich ein Benutzer durch eine Anmeldeprozedur immer dann anmeldet, wenn eine Netzsitzung nicht existiert. Dies kann entweder dann passie­ ren, wenn noch keine Anmeldung für einen gegebenen Web- Browser-Prozeß (Netz-Suchvorrichtungs-Prozeß) durchgeführt wurde, oder wenn die Netzsitzung aufgrund einer konfigurier­ baren Aktivitätszeitdauer abgelaufen ist. Teil des Zustands einer Netzsitzung ist die Identität (der Benutzername) des Benutzers und eine Liste von Benutzerrollen, die definieren, zu was der Benutzer berechtigt ist. Sobald eine Netzsitzung erzeugt wird, kann der Benutzer frei auf URLs zugreifen, die durch die Benutzerrollen für die Sitzung erlaubt sind. Die Benutzerrollen sind die aktiven Benutzerrollen des Be­ nutzers. Diese aktiven Benutzerrollen bestimmen, welche Art von Benutzerschnittstelle der Benutzer hinsichtlich dessen sieht, welche URLs angezeigt werden. Dieselben bestimmen ferner, welche Laufzeit-URLs der Benutzer aufrufen kann. Bei diesem Ausführungsbeispiel nimmt ein Benutzer alle Benutzer­ rollen an, von denen derselbe ein Mitglied ist, wobei alle Benutzerrollen für den Benutzer aktiv sind. Die Erfindung umfaßt ferner das Konzept, dem Benutzer zu ermöglichen, aus­ zuwählen, welche Benutzerrollen aktiv sind, und welche Be­ nutzerrollen inaktiv sind, um die Rechte dieser Person zu begrenzen oder zu erweitern.In order to be certified and to obtain authorization, to accept the access rights granted by one or more User roles are defined, the user must have a network start session (web session). A session is a group of applications that a specific user on a are assigned to a specific ad. All applications that directly or indirectly from a starter window (i.e. the GUI at the top level for the network session) who started are part of a meeting and can informa together use ions. It is required that a user through a registration procedure always registers when a Network session does not exist. This can either happen then if you have not yet registered for a given web Browser process (network searcher process) performed or if the network session is configured due to a active period of time has expired. Part of the state A network session is the identity (the user name) of the User and a list of user roles that define what the user is authorized to do. Once a network session is generated, the user can freely access URLs that allowed by the user roles for the session. The User roles are the active user roles of the Be user. These active user roles determine which type of user interface of the user regarding that sees which URLs are displayed. Determine the same which runtime URLs the user can call. At In this embodiment, one user takes all users roll on, of which the same is a member, all User roles for the user are active. The invention also includes the concept of enabling the user from select which user roles are active and which loading user roles are inactive to protect that person's rights limit or expand.

In Fig. 3 startet ein Benutzer eine Sitzung, indem derselbe den URL für den Starter in einen Web-Browser 300 eingibt. In Fig. 3, a user starts a session by using the same types the URL for the starter in a Web browser 300th

Der URL für den Starter (Launcher) wird als http:://host­ name/OvCgi/ovlaunch.exe aufgerufen, der ein URL-Argument akzeptieren kann, das automatisch ausgeführt werden kann, wenn eine Sitzung beginnt, die Zugriffsrechten unterworfen ist. (Wenn kein URL für ovlaunch spezifiziert ist, wird ein Standardstarterfenster nach der Anmeldung angezeigt, in dem ein Benutzer einen URL durch den Starter oder durch einen Web-Browser aufrufen kann.) Die URL-Anfrage für den Starter wird zu einem Web-Server 302 durch ein Dient/Server-Proto­ koll übertragen, das verwendet wird, um auf Informationen in dem weltweiten Netz (World Wide Web) zuzugreifen. Dieses Protokoll wird ein Hypertext-Übertragungsprotokoll (im fol­ genden HTTP; HTTP = Hypertext Transfer Protocol) genannt. Der Web-Server ruft das CGI- (CGI = Common Gateway Interface = Allgemeine Netzübergangsschnittstelle) Programm ovlaunch 308 auf 306, das einen HTML-Anmeldebildschirm darstellt und den Benutzer auffordert, einen Benutzernamen und ein Paßwort einzugeben. Der Bildschirm wird zu dem Web-Server zurückge­ leitet 338.The launcher URL is called http: // host name / OvCgi / ovlaunch.exe, which can accept a URL argument that can be executed automatically when a session begins that is subject to access rights. (If no URL is specified for ovlaunch, a standard launcher window is displayed after login, in which a user can access a URL through the launcher or through a web browser.) The URL request for the launcher becomes a web server 302 transmitted through a serving / server protocol used to access information on the World Wide Web. This protocol is called a hypertext transfer protocol (hereinafter HTTP; HTTP = Hypertext Transfer Protocol). The web server calls the CGI (Common Gateway Interface) program ovlaunch 308 to 306 , which is an HTML login screen and prompts the user to enter a user name and password. The screen is returned 338 to the web server.

Der Web-Server liest den Bildschirm und ruft 310 ovlogin (ovAnmeldung) 312 auf, das den Benutzernamen und das Paß­ wort, die durch den Benutzer eingegeben werden, einreicht, um zu bestimmen, ob es eine Sitzung für diesen Browser (Suchvorrichtung) gibt. Dies wird durchgeführt, indem ge­ prüft wird, ob ein Browser-Cookie (Browser-Plätzchen), das ovWebSession (ovNetzSitzung) genannt wird (das detaillierter im folgenden erörtert ist) eingestellt wurde. Wenn dieses Cookie eingestellt ist, wird eine Nachricht zurückgegeben, die anzeigt, daß der Benutzer bereits angemeldet ist, und ovlogin erhält eine Sitzungsnummer von dem Cookie, um die­ selbe zum Verifizieren der Sitzung mit dem ovsessionmgr (ovSitzungsFührung) zu verwenden. Wenn kein Cookie einge­ stellt ist, fragt ovlogin eine neue Sitzung an. In beiden Fällen versucht ovlogin sich mit ovsessionmgr 316 zu verbin­ den 314, das als ein Server für die. Sitzungsinformationen dient. Sobald eine Verbindung mit dem ovsessionmgr herge­ stellt ist, verifiziert ovlogin entweder die existierende Sitzung, indem die Cookie-Sitzungsnummer eingereicht wird 318, oder fragt eine neue Sitzung an, indem sowohl der Be­ nutzername und das Paßwort als auch die Fern-IP-Adresse (Re­ mote-IP-Address), wie durch die aktuelle Umgebung bestimmt, bei dem ovsessionmgr eingereicht werden.The web server reads the screen and calls 310 ovlogin (ovlogin) 312 , which submits the user name and password entered by the user to determine if there is a session for this browser (search device). This is done by checking whether a browser cookie (browser cookie) called ovWebSession (ovNetzSitzung) (which is discussed in more detail below) has been set. If this cookie is set, a message is returned indicating that the user is already logged in, and ovlogin receives a session number from the cookie to use to verify the session with the ovsessionmgr (ovSessionFuhrung). If no cookie is set, ovlogin requests a new session. In both cases, ovlogin tries to connect to ovsessionmgr 316, which acts as a server for the 314 . Serves session information. Once connected to the ovsessionmgr, ovlogin either verifies the existing session by submitting the cookie session number 318 , or requests a new session using both the username and password and the remote IP address ( Remote-IP-Address), as determined by the current environment, to which ovsessionmgr should be submitted.

Wenn der Benutzername und das Paßwort nicht gültig sind, leitet der ovsessionmgr diese Information zu ovlogin weiter 328, das dieselben zu dem Web-Server sendet 340. Die Anmel­ deseite wird durch eine Fehleranzeige ersetzt, die durch den Netz-Browser empfangen und dann angezeigt wird. Wenn der Benutzername und das Paßwort gültig sind und die existie­ rende Sitzung verifiziert ist, sendet 328 das ovsessionmgr eine Nachricht zurück zu ovlogin, das eine Nachricht zurück 340 zu dem Web-Server und dann zu 304 dem Web-Browser sen­ det, die anzeigt, daß der Benutzer bereits angemeldet ist. Wenn der Benutzername und das Paßwort gültig sind und eine neue Sitzung angefragt wird, sendet 328 das ovsessionmgr eine Nachricht zu ovlogin, das eine Nachricht zurück zu dem Web-Server sendet 340 und dann zu dem Web-Browser sendet 304, die anzeigt, daß die Anmeldung erfolgreich ist.If the username and password are not valid, the ovsessionmgr passes this information to further ovlogin 328, the same to the Web server sends the 340th The login page is replaced by an error message that is received by the network browser and then displayed. If the username and password are valid and the existing session is verified, the ovsessionmgr sends 328 a message back to ovlogin, which sends a message back 340 to the web server and then 304 to the web browser indicating that the user is already logged on. If the username and password are valid and a new session is requested, the ovsessionmgr sends 328 a message to ovlogin, which sends a message back 340 to the web server and then 304 to the web browser, indicating that the Registration is successful.

Wenn die Anmeldung erfolgreich ist, liest das ovsessionmgr die Sitzungskonfigurationsdatei 320, die globale Sitzungs­ informationen enthält. Das ovsessionmgr empfängt 321 Werte für die folgenden Felder:
If the login is successful, the ovsessionmgr reads the session configuration file 320 , which contains global session information. The ovsessionmgr receives 321 values for the following fields:

  • - Benutzeranmeldung: ermöglicht es, daß eine Sitzung mit oder ohne eine Benutzerbeglaubigung erzeugt wird. Die Werte sind Ein/Aus. Der Standardwert bzw. Vorgabewert ist Aus.- User login: allows a session with or is generated without user authentication. The Values are on / off. The default or default value is off.
  • - Anmeldungsprotokollieren: protokolliert erfolgreiche und fehlgeschlagene Anmeldungsversuche. Die Werte sind Ein/Aus. Der Vorgabewert ist Aus.- Log on registration: logs successful and failed login attempts. The values are On off. The default is Off.
  • - Zugriffsprotokollieren: protokolliert URLs, auf die er­ folgreich zugegriffen wird. Die Werte sind Ein/Aus. Der Vorgabewert ist Aus.- Log access: logs URLs to which he is accessed successfully. The values are on / off. The  The default value is Off.
  • - Sitzungszeitüberschreitung: spezifiziert den Zeitbetrag in Stunden, in dem eine Sitzung abläuft. Die Werte sind Ganzzahlen, die größer als 0 sind. Der Vorgabewert ist 9.- Session timeout: specifies the amount of time in hours during which a session expires. The values are Integers that are greater than 0. The default is 9.

Wenn einer dieser Werte sich seit der letzten Sitzung geän­ dert hat, aktualisiert das ovsessionmgr die inneren Konfigu­ rationswerte desselben. Wenn die Benutzeranmeldung aus ist, wird eine Sitzung ohne eine weitere Beglaubigung erzeugt. Wenn die Benutzeranmeldung ein ist, beglaubigt ovsessionmgr den Benutzer, indem die Benutzerpaßwortdatei 322 gelesen wird, die ein Behälter von verschlüsselten Benutzerpaßwör­ tern ist, der durch einen Verwalter eingestellt wird und durch das Programm htpasswd (htPaßwort) 324 gespeichert wird 323. Die Benutzerpaßwortdatei besitzt das folgende Format: banana: FXDFRAxjRkuFA, wobei der erste Wert der Benutzername und der zweite Wert das verschlüsselte Paßwort ist.If any of these values have changed since the last session, the ovsessionmgr updates its inner configuration values. If the user login is off, a session is created without further authentication. If the user login is, authenticated ovsessionmgr the user by the user password is read 322, which is a container tern of encrypted Benutzerpaßwör, which is set by an administrator and is stored by the program htpasswd (htPaßwort) 324 323rd The user password file has the following format: banana: FXDFRAxjRkuFA, where the first value is the user name and the second value is the encrypted password.

Wenn das Paßwort, das durch die Benutzerpaßwortdatei zu­ rückgegeben 325 wird, mit dem eingegebenen Benutzerpaßwort übereinstimmt, wird der Benutzer beglaubigt, eine Sitzung wird erzeugt und die folgenden Sitzungsinformationen werden mit ovsessionmgr gespeichert:
If the password returned by the user password file 325 matches the entered user password, the user is authenticated, a session is created, and the following session information is saved with ovsessionmgr:

  • - der Benutzername- the username
  • - das Paßwort: das Paßwort wird in einer "zersetzten" (d. h. ein logisches XOR wird bei jedem Buchstaben durchge­ führt) Art gespeichert, so daß es nicht möglich ist, dasselbe in Klartext durch Lesen des Verarbeitungsspei­ chers zu sehen.- the password: the password is in a "decomposed" (i.e. a logical XOR is run through for each letter leads) kind of stored so that it is not possible the same in plain text by reading the processing file to see.
  • - Benutzerrollen: ovsessionmgr erhält diese Informationen durch Lesen der Datei htpgroup (htp-Gruppe) 326, die spezifiziert, welche Benutzer zu welchen Benutzerrollen gehören, wobei jeder Benutzer zu einer oder mehreren Benutzerrollen gehören kann. Die Benutzerrollendatei besitzt das folgende Format: Meine-Benutzer: pumpkin peanuts almonds walnuts, wobei der erste Wert die Be­ nutzerrolle und die folgenden Werte die Benutzer sind, die zu dieser Benutzergruppe gehören. Die Benutzer­ rollendatei gibt alle Benutzerrollen zu ovsessionmgr zurück 324, in denen der aktuelle Benutzer ein Mitglied ist, so daß einem Benutzer alle Zugriffsrechte für alle Benutzerrollen des Benutzers bewilligt werden. Die Er­ findung kann es ferner ermöglichen, daß sich ein Be­ nutzer in einer Benutzerrolle anmeldet und zwischen Rollen wechselt; undUser roles: ovsessionmgr obtains this information by reading the file htpgroup (htp group) 326 , which specifies which users belong to which user roles, where each user can belong to one or more user roles. The user role file has the following format: My users: pumpkin peanuts almonds walnuts, where the first value is the user role and the following values are the users belonging to this user group. The user role file returns all user roles to ovsessionmgr 324 of which the current user is a member, so that a user is granted all access rights to all user roles of the user. The invention may also allow a user to log on to a user role and switch roles; and
  • - die Fern-IP-Adresse: diese wird für eine zusätzliche Gültigkeitsprüfung des Anrufers basierend auf der Sit­ zungsnummer verwendet.- the remote IP address: this is used for an additional Caller validation based on the sit quote number used.

Die Netzanwendungen, die zu einer Netzsitzung gehören, (d. h. die in dem Zusammenhang einer Netzsitzung gestartet wer­ den) besitzen einen Zugriff zu den Sicherheits- und Zu­ griffs-Steuerinformationen für den aktuellen Benutzer. (Netzanwendungen können beispielsweise Java-Applets und CGI-Programme sein.) Diese Informationen werden den Netzan­ wendungen durch Sitzungseigenschaften zur Verfügung ge­ stellt, auf die durch eine Anwendung, die zu der Netzsitzung gehört, durch die Anwendungsprogrammierschnittstellen (im folgenden API; API Application Programming Interface) zugegriffen werden kann. Fig. 4 ist eine Beispielsdefinition einer Java-Klasse zum Zugreifen auf Sitzungseigenschaften, und Fig. 5 ist eine Beispielsdefinition einer C-API zum Zugreifen auf Sitzungseigenschaften. In Fig. 4 wird eine Sitzung eingeleitet 400 und ein Sitzungs-ID für die aktuelle Sitzung wird von dem Starter erhalten 406. Wenn die Sitzung nicht gültig ist (d. h. der Benutzer nicht beglaubigt ist), kann das Java-Applet enden oder eine andere geeignete Hand­ lung 402 vornehmen. Sobald eine Sitzung gestartet ist, kann das Java-Applet den Anmeldenamen des Benutzers 408 erhalten, wenn die Anmeldung aktiviert ist 404. Dasselbe kann eine Li­ ste von Benutzerrollen 410 für diesen Benutzer solange wie­ dergewinnen, bis die Anmeldung deaktiviert wird. Dieses Ja­ va-Applet kann ferner das Laufzeitzugriffsprüfen 412 imple­ mentieren, das eine feinkörnigere Zugriffssteuerung ermög­ licht, als es durch die GUI sichtbar sein kann. In Fig. 5 prüft ein CGI-Programm, ob der Benutzer bereits angemeldet ist, wenn die Variable Abgesichert wahr ist 500. Wenn der Benutzer derzeit nicht angemeldet ist, wird das Aufrufen von OVwwwInit, wobei das Argument Abgesichert auf WAHR einge­ stellt ist, dazu führen, daß dem Benutzer die Anmeldeseite gezeigt wird. Nachdem sich der Benutzer erfolgreich angemel­ det hat, wird das CGI-Programm neu aufgerufen. Wie das Java-Applet in Fig. 4, kann das CGI-Programm beenden oder eine andere geeignete Handlung vornehmen, wenn die Sitzung nicht gültig 502 ist. Wenn die Sitzung gültig ist, wird ein Sitzungs-ID erhalten 504. Die CGI wird den Namen des Be­ nutzer 508 wiedergewinnen, wenn die Anmeldung aktiviert ist 406. Dieselbe kann ferner die Rollen des Benutzers 510 wie­ dergewinnen und überprüfen, ob der Benutzer zu einer speziellen Rolle 512 gehört. Diese CGI kann ferner ein Lauf­ zeitzugriffsprüfen implementieren 514.The network applications belonging to a network session (ie those started in the context of a network session) have access to the security and access control information for the current user. (Network applications can be, for example, Java applets and CGI programs.) This information is made available to the network applications through session properties, to which an application belonging to the network session can access the application programming interfaces (in the following API; API Application Programming Interface) can be accessed. FIG. 4 is an example definition of a Java class for accessing session properties, and FIG. 5 is an example definition of a C-API for accessing session properties. In FIG. 4, a session is initiated 400 and a session ID for the current session is obtained from the starter 406th If the session is not valid (ie, the user is not authenticated), the Java applet may end or take another suitable action 402 . Once a session is started, the Java applet can get the user's 408 login name if login is enabled 404 . The same can continue to win a list of user roles 410 for that user until login is deactivated. This Ja va applet can also implement the runtime access check 412 , which enables more granular access control than can be seen through the GUI. In FIG. 5, a CGI program checks whether the user is already logged on if the variable Secured is true 500 . If the user is not currently logged on, going to OVwwwInit with the Safe option set to TRUE will result in the user being shown the login page. After the user has successfully logged on, the CGI program is called again. Like the Java applet in FIG. 4, if the session is not valid 502 , the CGI program may exit or take some other appropriate action. If the session is valid, a session ID is obtained 504 . The CGI will retrieve the name of the user 508 when the login is activated 406 . It can also recover the roles of user 510 and check if the user belongs to a particular role 512 . This CGI may also implement 514 runtime access checking.

Bezugnehmend zurück auf Fig. 3 wird, wenn die Sitzungseigen­ schaft Anmeldungsprotokollieren aktiv ist, eine Anmeldungs­ nachricht zu der Anmeldungsprotokolldatei 332 geschrieben 330. Wenn eine neue Sitzung erzeugt wird, gibt ovsessionmgr 328 eine zufällig erzeugte Sitzungsnummer zu ovlogin zurück und erzeugt das Browser-Cookie OvWebSession (OvNetzSizung), das als ein Ausweis dafür dient, daß sich der Benutzer ange­ meldet hat. Das Cookie läuft ab, und die Sitzung endet, wenn der Benutzer den Browser verläßt, oder wenn die Sitzung nach einer konfigurierbaren Zeitdauer fehlender Aktivität ab­ läuft. Sobald ovsessionmgr die Sitzungsnummer in dem Browser-Cookie OvWebSession für eine spätere Gültigkeits­ prüfung der Sitzung (dieses Cookie wird durch ovlogin ver­ wendet, um nach einer existierenden Sitzung zu prüfen) speichert, kann ein Benutzer eine Handlung durch Ausführen eines URL durchführen. Referring back to FIG. 3, when the logon session property is active, a logon message is written 330 to logon log file 332 . When a new session is created, ovsessionmgr 328 returns a randomly generated session number to ovlogin and creates the browser cookie OvWebSession (OvNetzSizung), which serves as proof that the user has logged on. The cookie expires and the session ends when the user leaves the browser or when the session expires after a configurable period of inactivity. As soon as ovsessionmgr stores the session number in the OvWebSession browser cookie for a later validation of the session (this cookie is used by ovlogin to check for an existing session), a user can perform an action by executing a URL.

Ein URL kann durch Auswählen des URL aus einem Starterfen­ ster ausgeführt werden, das ein URL-Argument zu dem Starter liefert, so daß derselbe automatisch bei der Benutzeranmel­ dung ausgeführt wird, oder der URL kann direkt von einem Web-Browser aufgerufen werden. Zugriffsrechte bei dem ersten Verfahren zum Ausführen eines URL werden bei der Starterini­ tialisierung definiert, bei der eine Benutzerrollenzugriffs­ steuerung durch Filtern der GUI auf jene URLs, die durch die Rollen des Benutzers berechtigt sind, implementiert ist. Die Zugriffsrechte bei den letzteren zwei Verfahren werden bei der URL-Ausführung definiert, bei der die Benutzerrollenzu­ griffssteuerung durch ein Laufzeitzugriffsprüfen implemen­ tiert ist.A URL can be selected by selecting the URL from a starter ster, which is a url argument to the starter returns so that the same automatically at the user login or the URL can be directly from a Web browser can be called. Access rights for the first Procedures for executing a URL are at the Starterini tialization defines where a user role access control by filtering the GUI on those URLs through the Roles of the user are authorized is implemented. The Access rights to the latter two methods are given at the URL execution where the user roles handle control implemented by a runtime access check is.

Starterinitialisierung und GUI-FilternStarter initialization and GUI filtering

Das Vorgabeverhalten bei der Ausführung des ovlaunch-CGI- Programms (nach der Anmeldungsprozedur) besteht darin, daß dasselbe ein. Starterfenster öffnet. (Das Vorgabeverhalten bezieht sich auf das Anfragen des CGI-Programms ovlaunch ohne ein URL-Argument.) Ein Starterfenster ist eine GUI, die dem Benutzer die gesamae Funktionalität zur Verfügung stel­ len kann, die durch die Benutzerrollen für die aktuelle Sitzung ermöglicht sind. Ein Starterfenster ist lediglich einer von vielen Wegen zum Darstellen der für den Benutzer durch die Benutzerrollenkonfiguration möglichen Operationen. Die allgemeine Idee besteht darin, daß die GUI das Filtern durchführt, um dem Benutzer lediglich jene Handlungen zu zeigen, für die der Benutzer berechtigt ist.The default behavior when executing the ovlaunch CGI Program (after the registration procedure) is that the same one. Starter window opens. (The default behavior relates to inquiries from the CGI program ovlaunch without a url argument.) A launcher is a GUI that provide the entire functionality to the user len by user roles for the current Session are enabled. A starter window is only one of many ways to present that to the user operations possible through user role configuration. The general idea is that the GUI is filtering to only perform those actions for the user for which the user is authorized.

Ein Starterfenster ist ein Java-Applet, das eine Anzeige einer Führungsfunktionalität (d. h. Handlungen) basierend auf Benutzerrollen und das Starten dieser Funktionalität durch URLs liefern kann. Ein Starterfenster ist in zwei Tei­ le geteilt, wobei die Inhalte desselben von dem Starterre­ gistrierungsdateien erhalten werden: Führungsfunktionalität und aktive Hilfe. Der Führungsfunktionalitätsbereich enthält einen Satz von Etiketten (Tabs), die Kategorien von Führungsoperationen anzeigen. Jede Kategorie wird durch ein kleines Icon angezeigt. Die Liste der Kategorien kann bei­ spielsweise Aufgaben, Werkzeuge, Objektansichten, den Führungsbereich und Hilfe umfassen. Innerhalb jeder Katego­ rie gibt es eine hierarchische (Baumlisten-) Darstellung der relevanten Operationen. Die Inhalte dieser Baumlisten sind durch (1) die Benutzerrollen des Benutzers; und (2) den Ort der Startersitzung bestimmt. Die Benutzerrollen, für die der Benutzer konfiguriert ist (alle kombiniert) bestimmen die Handlungen, die in dem Starterfenster erscheinen, obwohl es für den Benutzer ferner möglich ist, einen Teilsatz von Rollen auszuwählen. Der Benutzer navigiert durch die Baum­ liste unter Verwendung einer Standardeinrichtung zum Öffnen und Schließen von Behälterknoten. Ein einziger Klick auf einen Behälterknoten erweitert den Knotenpunkt. Ein einziger Klick auf einen Behälterknoten startet die zugeordnete Hand­ lung, die darin bestehen kann, einen URL auszuführen. Wenn eine Starterkategorie leer ist (d. h. es gibt keine Listen­ objekte in derselben) wird die Kategorie dem Benutzer nicht gezeigt. Wenn ein Starterbehältereintrag leer ist, wird der Behältereintrag nicht angezeigt. (Dies ist ähnlich zu leeren Menükaskaden. Es wird kein Menüschrumpfen durchgeführt, wenn es lediglich ein Objekt unter dem Behälter gibt.) Der Be­ reich der aktiven Hilfe zeigt eine kurze Hilfenachricht an, die die Funktion dieser Operation erklärt, über der der Cur­ sor plaziert ist.A starter window is a Java applet that displays based on leadership functionality (i.e., actions) on user roles and starting this functionality can deliver through URLs. A starter window is in two parts le shared, the contents of which are from the Starterre registration files are obtained: leadership functionality  and active help. The leadership functionality area includes a set of labels (tabs), the categories of Show leadership operations. Each category is marked by a small icon is displayed. The list of categories can be found at for example tasks, tools, object views, the Include leadership and help. Within each category There is a hierarchical (tree list) representation of the relevant operations. The contents of these tree lists are by (1) the user's roles; and (2) the location the starter session. The user roles for which the User configured (all combined) determine the Actions that appear in the starter window, though it is also possible for the user to have a subset of To select roles. The user navigates through the tree list using standard opening facility and closing container nodes. A single click on a container node extends the node. A single Clicking on a container node starts the assigned hand development, which can consist of executing a URL. If a starter category is empty (i.e. there are no lists objects in the same) the category is not the user shown. If a starter container entry is empty, the Container entry not displayed. (This is similar to emptying Menu cascades. Menu shrinking is not performed if there is only one object under the container.) The Be active help displays a short help message, which explains the function of this operation over which the cur sor is placed.

Die Handlungen, die in dem Starterfenster angezeigt werden, sind von den aktiven Benutzerrollen für die Sitzung ab­ hängig. Benutzerrollen werden durch die Starterregistrie­ rungsdateien, die normalerweise durch Entwickler vorgesehen werden, jedoch durch einen Verwalter modifiziert oder er­ gänzt werden können, konfiguriert. Die Starterregistrie­ rungsdateien weisen folgende Merkmale auf:
The actions that appear in the launcher window depend on the active user roles for the session. User roles are configured through the starter registry files, which are normally provided by developers but can be modified or added by an administrator. The starter registration files have the following characteristics:

  • - Anwendungsinformationen, die einen Anzeigezeichensatz, die Version, das Urheberrecht und die Beschreibung auf­ weisen. Obwohl diese Informationen nicht durch den Starter angezeigt werden, wird dieser Block lediglich verwendet, um nützliche Informationen in der Starter­ registerierungsdatei zu liefern.- application information including a display character set,  the version, the copyright and the description point. Although this information is not provided by the Starter will appear, this block is only used to find useful information in the starter deliver registry file.
  • - Der Etikettblock (Tab-Block) ermöglicht es, daß ein optionaler Icondateiname auf dem Etikett angezeigt wird, das die Listengegenstandseinträge enthält. Dieser Block enthält ferner einen optionalen aktiven Hilfe­ text, der dargestellt wird, wenn der Benutzer das Eti­ kett auswählt.- The label block (tab block) enables a optional icon file name shown on the label that contains the list item entries. This Block also contains an optional active help text that is displayed when the user enters the eti chain selects.
  • - Der Listenblock weist Listengegenstandseinträge auf. Die Komponenten der Listengegenstände umfassen einen Vorrangwert, einen Listengegenstandsnamen, das Icon, die aktive Hilfe und Funktionen. Zwei mögliche Funktio­ nen sind: eine Handlungsfunktion, die einen Endlisten­ gegenstand anzeigt, der zu einem Handlungsblock zeigt, der die Handlungsdefinition aufweist; und eine Listen­ funktion, die ein Komponentenlistenobjekt anzeigt, das zu einem Listenblock zeigt, um eine Definition einer hierarchischen Baumliste zu ermöglichen.- The list block has list item entries. The components of the list items include one Priority value, a list item name, the icon, the active help and functions. Two possible functions are: an action function that has an end list object that points to an action block, who has the definition of action; and a lists function that displays a component list object that to a list block shows a definition of a to enable hierarchical tree lists.
  • - Der Handlungsblock umfaßt mehrere Anweisungen.- The action block comprises several instructions.
  • - Eine URL-Anweisung, die einen URL enthält, um die Handlung zu starten.- A URL statement that contains a URL to the Action to start.
  • - Eine Zugriffsanweisung, die aufgelistet wird und die eine Liste der Benutzerrollen ist, die einen Zugriff auf diese Handlung besitzen. Wenn die Zu­ griffsanweisung nicht vorhanden ist, können alle gültigen Benutzer auf die Handlung zugreifen. Der Schlüssel zu der Benutzerrollenzugriffssteuerung ist in dieser Anweisung definiert.- An access instruction that is listed and which is a list of user roles that one Have access to this action. If the Zu Grip instructions are not available, everyone can access to the action by valid users. The Key to user role access control is defined in this instruction.
  • - Eine Netzfensteranweisung, die die Charakteristika des Fensters,, in das der URL geladen wird, spezifi­ ziert.- A net window instruction that shows the characteristics  of the window into which the URL is loaded, spec graces.

Fig. 6 ist eine Beispielsstarterregistrierungsdatei, die An­ wendungsinformationen 600, einen Etikettblock (Tab-Block) 602, der einen Listengegenstandeintrag definiert, und zwei Icons mit aktiver Hilfe, einen Listenblock 604, der einen Listeneintrag enthält, der zu einem Handlungsblock zeigt, und zwei Handlungsblöcke 606(a), 606(b) enthält, die jeweils den URL, der für diese Handlung aufgerufen wird, und die Be­ nutzerrollen, die berechtigt sind, um diese Handlung durch­ zuführen, enthalten. Fig. 6 is an example of starter registry file to turn information 600, a tag block (Tab) block 602, which defines a list object entry, and two icons with the active assistance, a list block 604 that contains a list entry pointing to an action block, and two Action blocks 606 (a), 606 (b), each containing the URL that is called for that action and the user roles that are authorized to perform that action.

Die Benutzerrollenzugriffssteuerung in einem Web-Browser, die durch das GUI-Filtern während der Starterzeitinitia­ lisierung implementiert wird, ist in Fig. 7 dargestellt. Ein Benutzer ruft den ovlaunch-URL durch einen Web-Browser 300 auf, der eine Anfrage zu dem Web-Server 302 sendet 304. Der Web-Server 302 ruft das ovlaunchreg (ovstartreg) 702 auf 700, um Registrierungsinformationen aus den Starterregi­ strierungsdateien 706 wiederzugewinnen 704. Das ovlaunchreg gewinnt dann Sitzungsinformationen (d. h. Benutzer und Be­ nutzerrollen) aus Informationen wieder 708, die mit dem ovsessionmgr 316 gespeichert sind. Das Ovlaunchreg ruft eine Analysebibliothek auf, um die Registerierungsinformationen zu analysieren und basierend auf den Benutzerrollen, für die der Benutzer berechtigt ist, zu filtern. Ein Eintrag wird zu dem Web-Server 302, dem Web-Browser 300 bzw. einem Starter­ fenster 714 zurückgegeben 710, 304, 712, wenn die zugeordne­ te Handlung desselben eine Handlung ist, für die der Be­ nutzer berechtigt ist. Mehrere Baumlisten werden in dem Starterfenster jeweils in einem etikettierten bzw. ta­ bellierten Feld aufgebaut. Als ein Resultat besitzt der Benutzer einen Zugriff zu einem beliebigen URL, der in dem Starterfenster zur Verfügung gestellt wird, da der Benutzer lediglich das sieht, für was er berechtigt ist. The user role access control in a web browser, which is implemented by GUI filtering during starter time initialization, is shown in FIG. 7. A user accesses the ovlaunch URL through a web browser 300 that sends 304 a request to the web server 302 . Web server 302 calls ovlaunchreg (ovstartreg) 702 to 700 to retrieve 704 registration information from starter registration files 706 . The ovlaunchreg then retrieves session information (ie, users and user roles) from information 708 that is stored with the ovsessionmgr 316 . The Ovlaunchreg invokes an analysis library to analyze the registration information and to filter based on the user roles for which the user is authorized. An entry is returned to the web server 302 , the web browser 300 or a starter window 714 710 , 304 , 712 if the assigned action of the same is an action for which the user is authorized. Several tree lists are created in the starter window in a labeled or labeled field. As a result, the user has access to any URL that is provided in the launcher window because the user sees only what he is authorized to do.

Handlungsaufruf und LaufzeitzugriffsprüfenCall to action and runtime access checks

Zusätzlich zu dem GUI-Filtern der für den Benutzer relevan­ ten Operationen ist die Zugriffssteuerung ferner durch ein Laufzeitzugriffsprüfen implementiert, wenn ein Benutzer tat­ sächlich eine Handlung aufruft. Ein Benutzer kann eine Hand­ lung durch die Verwendung des CGI-Programms ovlaunch, wie es durch die ersten zwei Verfahren im folgenden dargestellt ist, oder ohne ovlaunch aufrufen, wie es durch das letzte Verfahren im folgenden dargestellt ist.In addition to the GUI filtering that is relevant to the user Access control is further through a Run-time access checks implemented when a user did calls an action. A user can have a hand by using the CGI program ovlaunch as it represented by the first two methods below is, or call without ovlaunch as it was through the last The procedure is shown below.

Ein Verfahren, mit dem ein Benutzer eine Handlung aufrufen kann, besteht darin, auf einen Gegenstand in dem Starter­ fenster zu klicken, der einem URL und der zugeordneten Hand­ lung desselben entspricht. Das Laufzeitzugriffsprüfen kann bei diesem Szenario implementiert werden, wenn das GUI-Fil­ tern nicht implementiert ist, oder kann sogar als eine zu­ sätzliche Sicherheitsschicht implementiert werden. Das Auf­ rufen einer Handlung führt zu dem Aufrufen des ovlaunch- CGI-Programms mit dem URL der angeforderten Handlung als Argument. Das ovlaunch-CGI-Programm verwendet die C-Netz- Sitzung-API, um mit dem Programm ovsessionmgr zu sprechen, um zu verifizieren, ob es eine gültige Sitzung gibt. Das­ selbe kann ferner den API-Ruf verwenden, um zu verifizieren, ob es dem Benutzer erlaubt ist, die spezielle Handlung basierend auf der aktiven Benutzerrolle für die Sitzung aus­ zuführen.A process by which a user calls an action may be on an item in the starter window to click the URL and the associated hand the same corresponds. Check the runtime access be implemented in this scenario if the GUI-Fil tern is not implemented, or can even be considered one additional security layer can be implemented. The up calling an action leads to calling the ovlaunch CGI program with the URL of the requested action as Argument. The ovlaunch CGI program uses the C network Session API to speak to the ovsessionmgr program to verify if there is a valid session. That it can also use the API call to verify whether the user is allowed to do the special action based on the active user role for the session respectively.

Ein weiteres Verfahren für den Benutzer, um eine Handlung aufzurufen, besteht darin, den Web-Browser zu verwenden, um den URL für das ovlaunch mit einem URL-Argument (z. B. http://OvCgi/ovlaunch.exe?URL = http://some/path) auf­ zurufen. Das Ovlaunch wird dann die angefragte Handlung starten, die durch den URL spezifiziert ist, der den Zu­ griffsrechten des Benutzers für die Sitzung unterworfen ist. Dies ist zum Erhalten eines Zugriffs zu einer Handlung nütz­ lich, die als eine Lesezeichen (Bookmark) gesichert ist. Another method for the user to take an action is to use the web browser to the URL for the ovlaunch with a URL argument (e.g. http: //OvCgi/ovlaunch.exe? URL = http: // some / path) shout. The ovlaunch then becomes the requested action start, which is specified by the URL that the Zu the user's rights to the session. This is useful for gaining access to an action Lich, which is saved as a bookmark.  

Dieses Verhalten kann ferner verwendet werden, um eine "alternative Konsole" anstelle des Starterfensters zu star­ ten.This behavior can also be used to create a "alternative console" to star instead of the starter window ten.

Schließlich kann ein Benutzer eine Handlung aufrufen, indem derselbe den zugeordneten URL desselben direkt aus dem Web- Browser (ohne die Verwendung des eingreifenden ovlaunch- CGI-Programms) aufruft. Da dies eine potentielle "Hinter­ tür"-Einrichtung zum Zugreifen auf eine beschränkte Funktio­ nalität bildet, sind zusätzliche Sicherheitseinrichtungen erforderlich. Zuerst können HTML-Dokumente in einem spe­ ziellen "geschützten" Verzeichnis plaziert sein, das nicht konfiguriert ist, um für den Web-Browser sichtbar zu sein. Ein Zugriff zu diesen HTML-Dokumenten ist dann lediglich möglich, indem dieselben als ein URL-Argument zu dem ov­ launch-CGI-Programm angefordert werden, das das "geschützte" Verzeichnis nach HTML-Dokumenten überprüft und dieselben zurückgibt, wenn der Benutzer die geeigneten Zugriffsrechte besitzt. Die HTML-Dokumente in dem "geschützten" Verzeichnis können nicht wiedergewonnen werden, indem dieselben direkt angefordert werden. Zweitens können Netz-Anwendungen (bei diesem Ausführungsbeispiel CGI-Programme und Java-Applets) die Netz-Sitzungs-APIs verwenden, um ein Laufzeitzugriffs­ prüfen durchzuführen. Diese Programme können prüfen, um si­ cherzustellen, daß es eine Sitzung gibt (d. h. daß sich der Benutzer angemeldet hat und berechtigt ist) und daß sich die Handlung, die angefordert wird, in der Benutzerrolle für den aktuellen Benutzer befindet. Wenn der Benutzer keine Erlaub­ nis für die Handlung besitzt, die durch die Netz-Anwendung dargestellt ist, können dieselben enden bzw. aussteigen oder eine andere geeignete Handlung durchführen.Finally, a user can invoke an action by the same the assigned URL of the same directly from the web Browser (without using the engaging ovlaunch- CGI program). Since this is a potential "behind door "device for accessing a limited function formality are additional safety devices required. First, HTML documents can be saved in one the "protected" directory, which is not configured to be visible to the web browser. Access to these HTML documents is then only possible by using them as a url argument to the ov launch CGI program can be requested, which is the "protected" Directory checked for HTML documents and the same returns if the user has the appropriate access rights owns. The HTML documents in the "protected" directory cannot be recovered by doing the same directly be requested. Second, network applications (at CGI programs and Java applets) use the network session APIs to make a runtime access check perform. These programs can check to si to ensure that there is a session (i.e. that the User has registered and is authorized) and that the Action that is requested in the user role for the current user. If the user has no permission nis for the act possessed by the network application is shown, they can end or get out or perform another appropriate action.

Obwohl der Benutzer möglicherweise das ovlaunch-CGI-Programm umgehen kann, ist es aus mehreren Gründen notwendig. Erstens besitzt ein ovlaunch-CGI-Programm andere Rollen, die sich nicht auf die Sicherheit beziehen, wie z. B. das Erzeugen eines Kunden-Web-Browser-Fensters, in dem ein URL auszu­ führen ist. Zweitens stellt ovlaunch einen sicheren Zugriff auf HTML-Dokumente in dem "geschützten" Verzeichnis sicher. Drittens liefert ovlaunch ein bestimmtes Zugriffsebene für Netz-Anwendungen, die nicht modifiziert wurden, um die Netz-Sitzungs-APIs zu verwenden. Dies ist insbesondere wahr, wenn der Benutzer nicht den URL zum Aufrufen der Handlung kennt. Dies erleichtert es, existierende Netz-Anwendungen zu integrieren. Für ein höheres Sicherheitsniveau ist es jedoch bei Netz-Anwendungen notwendig, die Netz-Sitzungs-APIs zu verwenden, die sich auf die Benutzerrollensicherheit be­ ziehen.Although the user may be using the ovlaunch CGI program can handle it, it is necessary for several reasons. First owns an ovlaunch CGI program that has other roles not related to security, such as B. generating of a customer's web browser window in which to set a URL lead is. Second, ovlaunch provides secure access  to HTML documents in the "protected" directory. Third, ovlaunch provides a specific access level for Network applications that have not been modified to meet the Use network session APIs. This is particularly true if the user doesn't have the url to call the action knows. This makes it easier to use existing network applications integrate. However, for a higher level of security it is necessary for network applications, the network session APIs use that relate to user role security pull.

Fig. 8 stellt die Benutzerrollenzugriffssteuerung in einem Web-Browser, die durch ein Laufzeitzugriffsprüfen implemen­ tiert ist, dar, wenn ein Benutzer eine Handlung durch einen URL aufruft, wenn derselbe das CGI-Programm ovlaunch verwen­ det. Ein Benutzer kann eine Handlung durch ein Starter­ fenster 714, indem ein Menügegenstand angeklickt wird, der nicht gefiltert wurde, oder durch einen Web-Browser 300 aufrufen, indem ein URL-Argument zu dem ovlaunch-URL direkt geliefert wird. Beide Anfragen werden zu einem Web-Server 302 weitergeleitet 304, 816 und führen zu der Ausführung 338 des CGI-Programms ovlaunch. Nach dem Verifizieren, daß eine Sitzung existiert, kann ovlaunch verifizieren, ob die ange­ forderte Handlung durch eine der aktiven Benutzerrollen des Benutzers ermöglicht ist, indem das ovsessionmgr nach diesen Informationen abgefragt wird. Das ovsessionmgr, das Be­ nutzerrolleninformationen versteckt hat, die aus dem ovlaunchreg 702 bei der Sitzungsinitialisierung erhalten wurden 708, gibt das Resultat zu dem ovlaunch 308 zurück 802. Wenn der Benutzer berechtigt ist, die Handlung durchzu­ führen, gibt das ovlaunch eine HTML-Seite zu dem Web-Browser zurück 338, 304, was zu einer automatischen Anfrage 304 an den Web-Server 302 führt, um das CGI-Programm 810 auszu­ führen 812, das durch den aufgerufenen URL angezeigt wird. Fig. 8 illustrates user role access control in a web browser, implemented by runtime access checking, when a user calls an action through a URL when using the CGI program ovlaunch. A user can invoke an action through a launcher window 714 by clicking on a menu item that has not been filtered, or by a web browser 300 by providing a URL argument to the ovlaunch URL directly. Both requests are forwarded 304 , 816 to a web server 302 and lead to execution 338 of the CGI program ovlaunch. After verifying that a session exists, ovlaunch can verify whether the requested action is enabled by one of the user's active user roles by querying the ovsessionmgr for this information. The ovsessionmgr, which has hidden user role information 708 obtained from ovlaunchreg 702 during session initialization, returns the result to ovlaunch 308 802 . If the user is authorized to perform the action, the ovlaunch returns 338 , 304 an HTML page to the web browser, resulting in an automatic request 304 to the web server 302 to execute the CGI program 810 812 , which is indicated by the called URL.

Fig. 9 stellt die Benutzerrollenzugriffssteuerung in einem Web-Browser, die durch ein Laufzeitzugriffsprüfen implemen­ tiert ist, dar, wenn ein Benutzer eine Handlung durch einen URL ohne das CGI-Programm ovlaunch aufruft. Wenn ein Be­ nutzer eine Handlung durch direktes Eintippen in einen URL durch den Web-Browser 300 ohne das CGI-Programm ovlaunch aufruft, führt ein Web-Server 302 das CGI-Programm 810 aus 812, das durch den aufgerufenen URL angezeigt wird. Das CGI-Programm des aufgerufenen URL verwendet eine Netz- Sitzung-C-API, um mit dem ovsessionmgr 316 zu kommunizieren 906, um zu verifizieren, daß eine Sitzung existiert, und daß die angefragte Handlung durch die Benutzerrollen für den aktuellen Benutzer ermöglicht ist. (Wie im vorhergehenden erörtert, erhält 708 das ovsessionmgr Benutzerrolleninfor­ mationen von dem ovlaunchreg 702 bei der Sitzungsinitiali­ sierung und versteckt diese Informationen.) Wenn es eine Sitzung gibt, und der Benutzer für die Handlung berechtigt ist, fährt das CGI-Programm die Ausführung fort, und führt die Handlung durch, für die dasselbe entworfen wurde (d. h. führt einen URL aus). FIG. 9 illustrates user role access control in a web browser, implemented by runtime access checking, when a user calls an action through a URL without the CGI program ovlaunch. When a user calls an action by typing directly into a URL through the web browser 300 without the CGI program ovlaunch, a web server 302 executes the CGI program 810 from 812 , which is indicated by the called URL. The called URL's CGI program uses a network session C API to communicate 906 with the ovsessionmgr 316 to verify that a session exists and that the requested action is enabled by the user roles for the current user. (As discussed above, receives 708 ovsessionmgr Benutzerrolleninfor mation from the ovlaunchreg 702 tion in Sitzungsinitiali and hiding this information.) If there is a meeting, and the user is authorized to act, the CGI program continues to run, and performs the action for which it was designed (ie executes a URL).

Bei einem zweiten bevorzugten Ausführungsbeispiel der Er­ findung ist die Benutzerrollenzugriffssteuerung in einer Netzumgebung implementiert, um einen Benutzer eine Berechti­ gung zu erteilen oder zu verweigern, eine Handlung aufzu­ rufen, wobei eine Zugriffsregel einem Benutzer Zugriffs­ rechte zu einer Handlung erteilt. Eine Zugriffsregel ist eine Beziehung zwischen einem spezifischen Operationssatz und einer spezifischen Domäne. Ein Operationssatz oder kurz Op-Satz, ist ein Satz von Handlungen, die an Objekten vorge­ nommen werden können. Die meisten Operationen dienen für ei­ ne spezifische Klasse von Objekten, einige derselben sind jedoch allgemeine Operationen, die nicht objektspezifisch sind. Beispiele von Operationen umfassen das Neustarten ei­ nes Systems, das Hinzufügen eines ATM-Schalters, das Finden eines Leitwegs und das Hinzufügen eines Datensatzes. Ein Operationssatz ist typischerweise eine Gruppierung von logisch verwandten Handlungen, wie z. B. alle Handlungen, die notwendig sind, um einen Drucker zu verwalten. Eine Domäne ist ein Satz von Objekten und/oder anderen Domänen, die verwendet werden, um die Größe und Komplexität der Führungsumgebung durch Aufteilen derselben in interes­ sierende Bereiche und Verantwortlichkeitsbereiche zu redu­ zieren. Domänen definieren die Zielobjekte, die geführt wer­ den, und sind für den Zweck des Anwendens einer allgemeinen Zugriffssteuerungspolitik auf alle Objekte in der Domäne gruppiert. Domänen können für eine Vielfalt von Zwecken, wie z. B. für geographische Zwecke, Netztopologiezwecke, funk­ tionelle Zwecke und organisatorische Zwecke definiert sein. Eine Domäne kann hinsichtlich eines Satzes von Regeln (z. B. "alle Leitvorrichtungen" (Router) oder "alle PCs, die mit Windows-NT-4.0 laufen") oder als explizit definierte Mit­ glieder definiert sein. Typischerweise sind die Objekte, die geführt werden, in der Benutzerrollendefinition inbegriffen. Beispielsweise könnte eine Benutzerrolle der Netzverwalter für die östlichen U. S. sein, während eine weitere Benutzer­ rolle der Netzverwalter für die westlichen U. S. sein könn­ te. Daher ist ein Benutzer berechtigt, eine Operation an einem Objekt durchzuführen, wenn der Benutzer eine Benutzer­ rolle aufweist, die eine Zugriffsregel enthält, die es er­ möglicht, daß die angeforderte Operation an dem angeforder­ ten Objekt durchgeführt wird. Beispielsweise ist ein Be­ nutzer berechtigt, eine Operation A an einem Objekt X durch­ zuführen, wenn dem Benutzer eine Benutzerrolle bewilligt wurde, die eine Zugriffsregel enthält, die als eine Paarung zwischen dem Operationssatz P und der Domäne Q definiert ist, derart, daß A ein Mitglied von P und X ein Mitglied von Q ist. Dieses Ausführungsbeispiel ermöglicht es ferner, daß Zugriffsbeschränkungen oder zusätzliche Einschränkungen des Benutzerzugriffs definiert werden können und auf den Zu­ griffsrechten eines Benutzers definiert hinzugefügt werden können. Beispielsweise kann eine Zeitbeschränkung einen Be­ nutzer begrenzen, sich zwischen den Stunden 8:00 und 17:00 anzumelden, und eine Positionsbeschränkung kann einen Be­ nutzer begrenzen, einen Zugriff zu erlangen, wenn derselbe in einem bestimmten physisch sicheren System angemeldet ist. Die Benutzerrollenzugriffssteuerung bei diesem Ausführungs­ beispiel kann in Hewlett-Packard OpenView® Anwendungen im­ plementiert sein. In a second preferred embodiment, the Er Invention is user role access control in one Network environment implemented to give a user an authorization to give or refuse to act call, an access rule to access a user rights granted to an act. An access rule is a relationship between a specific set of operations and a specific domain. An operation kit or short Op set, is a set of actions that are featured on objects can be taken. Most operations are for egg ne specific class of objects, some of which are the same however, general operations that are not object-specific are. Examples of operations include restarting system, adding an ATM switch, finding a route and adding a record. On Operation set is typically a grouping of logically related actions, such as B. all actions, necessary to manage a printer. A Domain is a set of objects and / or other domains, which are used to measure the size and complexity of the  Management environment by dividing it into interes reducing areas and areas of responsibility adorn. Domains define the target objects that are managed den, and are for the purpose of applying a general Access control policy on all objects in the domain grouped. Domains can be used for a variety of purposes, such as e.g. B. for geographic purposes, network topology purposes, radio tional and organizational purposes. A domain can be set in terms of a set of rules (e.g. "all guidance devices" (routers) or "all PCs with Windows NT 4.0 run ") or as an explicitly defined Mit limbs defined. Typically the objects are those are included in the user role definition. For example, a user role could be the network administrator for the eastern U.S. while another user role of network administrator for the western U.S. te. Therefore, a user is authorized to perform an operation perform an object when the user is a user role that contains an access rule that it allows the requested operation on the requested object is carried out. For example, a Be user authorized to perform an operation A on an object X if the user is granted a user role that contains an access rule called a pairing defined between the operation set P and the domain Q. is such that A is a member of P and X is a member of Q is. This embodiment also enables that Access restrictions or additional restrictions on the User access can be defined and on the To user rights are defined can. For example, a time limit may apply to a Be users limit themselves between the hours 8:00 and 17:00 to register, and a position restriction can be a Be Limit users to gain access if they are the same is logged into a certain physically secure system. The user role access control in this execution For example, in Hewlett-Packard OpenView® applications in be implemented.  

Wenn sich ein Benutzer bei einer OpenView-Anwendung anmel­ det, meldet sich ein Benutzer an, und nimmt eine oder mehre­ re Benutzerrollen bei diesem Ausführungsbeispiel ein. Der Benutzer besitzt einen Satz von bewilligten Benutzerrollen, die alle Benutzerrollen sind, für die dem Benutzer eine Erlaubnis gegeben wurde. Wenn sich der Benutzer anmeldet, beansprucht der Benutzer einen Teilsatz der verfügbaren be­ willigten Benutzerrollen, die als die beanspruchten zu­ griffsrechte oder aktiven Benutzerrollen bekannt sind. Diese aktiven Benutzerrollen bestimmen, welche Art der Benutzer­ schnittstelle der Benutzer hinsichtlich dessen sieht, welche Menüs angezeigt sind und welche Objekte sichtbar sind. Alle Operationen in den Operationssätzen für die aktiven Be­ nutzerrollen werden durch die GUI-Steuerungen verfügbar gemacht, wie z. B. durch Menüs und Knöpfe. Operationen, die nicht in den Operationssätzen für die aktiven Benutzerrollen erscheinen, erscheinen nicht in den GUI-Steuerungen. Wenn der Benutzer dynamisch eine neue Rolle zu der Liste der aktiven Benutzerrollen hinzufügt, erscheinen die GUI-Steue­ rungen für diese Operation in der Benutzerschnittstelle. Ähnlicherweise sind alle Objekte in jeder der Domänen, die in den Zugriffsregeln für die aktiven Benutzerrollen umfaßt sind, durch die Benutzerschnittstelle sichtbar. Objekte, die sich nicht in diesen Domänen befinden, sind nicht durch die Benutzerschnittstelle sichtbar. Die aktiven Benutzerrollen eines Benutzers bestimmen ferner, welche Laufzeitoperationen der Benutzer durchführen kann. Bei diesem Ausführungsbei­ spiel kann ein Benutzer ferner zwischen Rollen dynamisch wechseln, um ein Privileg hinzuzufügen oder zu entfernen, das nützlich ist, wenn ein Benutzer bestimmte Rollen ge­ legentlich (d. h. wenn ein Mitarbeiter krank ist) benötigt. Die Existenz einer Operation und eines Objekts in der Benut­ zerschnittstelle, bedeutet nicht, daß der Benutzer diese Operation an diesem Objekt durchführen kann, da die Opera­ tion und das Objekt zu unterschiedlichen Zugriffsrollen ge­ hören können. Wenn es beispielsweise eine Zugriffsregel gibt, die es dem Benutzer ermöglicht, eine Operation A an einem Objekt X durchzuführen, und eine Operation B an einem Objekt Y durchzuführen, bedeutet dies nicht, daß der Be­ nutzer eine Operation A an dem Objekt Y durchführen kann. Aus diesen und anderen Gründen, wie z. B. der Tatsache, daß ein Sicherheitsverwalter die Zugriffsrechte eines Betreibers ändern kann, umfaßt die Erfindung ferner das Laufzeitzu­ griffsprüfen. Zu dem Zeitpunkt, zu dem der Benutzer anfragt, eine Handlung A an dem Objekt X durchzuführen, wird eine Prüfung durchgeführt, um festzustellen, daß es eine Zu­ griffsregel (d. h. ein Op-Satz/Domänen-Paar) in einer der aktiven Benutzerrollen gibt, in der A ein Mitglied des Ope­ rationssatzes für die aktiven Benutzerrollen ist, und X ein Mitglied der Domäne für diese Zugriffsregel ist. Diese Hand­ lung ist möglich, wenn beide Bedingungen wahr sind.When a user logs on to an OpenView application detects, a user logs in and takes one or more re user roles in this embodiment. The User has a set of approved user roles, which are all user roles for which the user has a Permission was given. When the user logs in, the user claims a subset of the available be agreed to user roles as the claimed ones rights to handle or active user roles are known. This active user roles determine what type of user interface the user sees in terms of which Menus are displayed and which objects are visible. All Operations in the operation sets for the active loading user roles are available through the GUI controls made such. B. through menus and buttons. Operations that not in the operation sets for the active user roles appear, do not appear in the GUI controls. If the user dynamically added a new role to the list of If you add active user roles, the GUI control appears for this operation in the user interface. Similarly, all objects are in each of the domains that included in the access rules for active user roles are visible through the user interface. Objects that are not in these domains are not through the User interface visible. The active user roles of a user also determine which runtime operations the user can perform. In this execution case A user can also play dynamically between roles switch to add or remove a privilege, which is useful when a user has certain roles needed occasionally (i.e. when an employee is sick). The existence of an operation and an object in the user interface, does not mean that the user of this Operation can be performed on this object because the Opera tion and the object to different access roles can hear. For example, if there is an access rule  that enables the user to perform an operation A. an object X, and an operation B on one Performing object Y does not mean that the Be user can perform an operation A on the object Y. For these and other reasons, such as B. the fact that a security administrator the access rights of an operator can change, the invention further includes the runtime grip tests. At the time the user requests, performing an action A on the object X becomes a Test carried out to determine that there is a To handle rule (i.e. an op set / domain pair) in one of the active user roles in which A is a member of the Ope ration set for the active user roles, and X a Is a member of the domain for this access rule. That hand It is possible if both conditions are true.

Fig. 10 stellt ein Beispielsicherheitsmodell für ein zweites bevorzugtes Ausführungsbeispiel dar, das eine Benutzerregel 1000, einen Operationssatz 1002 und eine Domäne 1004 defi­ niert. Bei diesem Beispiel sind die Benutzer 1014 Joe Smith und Sue Edwards Mitglieder der Benutzerrolle NFS Verwalter 1006. Dieselben besitzen Zugriffsregeln 1024, 1026, 1028, 1030, um einen Satz von Operationen in einem oder mehreren Operationssätzen 1008 an einem Satz von Objekten in einer oder mehreren Objektdomänen 1010 durchzuführen. Die Op-Sätze sind dort definiert, wo der Op-Satz NFS_Verwalter 1016 die Operationen und/oder Operationssätze 1018 NFS-Server-Lesen, NFS-Server-Konfigurieren, Knoten-Lesen und Sichtbarkeit um­ faßt. Die Domänen sind ferner dort definiert, wo die Domäne Osten 1020 die Objekte und/oder Domänen 1022 doc_serv1, Kno­ ten-Osten, doc_serv1:/,, und doc_serv:/ProjDocs enthält. Wenn sich daher beispielsweise Joe Smith in der Benutzerrolle NFS_Verwalter anmeldet und versucht, eine NFS-Server-Lesen- Operation (die in dem NFS Verwalter-Op-Satz definiert ist) in der Domäne Osten durchzuführen, wird die Zugriffsregel, die {NFS_Verwalter, Osten} definiert, ihm einen Zugriff erteilen. Auf der anderen Seite wird ihm, wenn er versucht, dasselbe in der Domäne Süden durchzuführen, der Zugriff ver­ weigert, da es keine Zugriffsregel gibt, die {NFS Verwalter, Süden} definiert. Fig. 10 illustrates an example security model for a second preferred embodiment, the defined one user rule 1000 a set of operations 1002 and 1004 a domain defi. In this example, users 1014 Joe Smith and Sue Edwards are members of the NFS Administrator 1006 user role. They have access rules 1024 , 1026 , 1028 , 1030 to perform a set of operations in one or more operation sets 1008 on a set of objects in one or more object domains 1010 . The op sets are defined where the op set NFS_Manager 1016 comprises the operations and / or operation sets 1018 NFS server reading, NFS server configuration, node reading and visibility. The domains are also defined where the east 1020 domain contains the objects and / or domains 1022 doc_serv1, node east, doc_serv1: / ,, and doc_serv: / ProjDocs. Therefore, for example, if Joe Smith logs on to the NFS Administrator role and tries to perform an NFS server read operation (defined in the NFS Administrator op record) in the East domain, the access rule, the {NFS Administrator, East } defined, give it access. On the other hand, if he tries to do the same in the South domain, he will be denied access because there is no access rule defining {NFS Administrator, South}.

Fig. 11 stellt ferner eine Benutzerrollenzugriffssteuerung bei einem zweiten bevorzugten Ausführungsbeispiel dar, bei dem die Benutzer 1100, 1102, 1104 einer oder mehreren Be­ nutzerrollen 1114, 1116 zugewiesen sind 1106, 1108, 1110, 1112. Jede Benutzerrolle kann durch eine oder mehrere Zu­ griffsregeln 1118, 1120, 1122, 1124 oder Paarungen von Operationssätzen 1126, 1128 zu Domänen 1130, 1132 definiert sein. Beispielsweise besitzt die Benutzerrolle Betreiber Osten zwei Zugriffsregeln: {Router-Verwalter, Osten} und {Sicherheits-Verwalter, Osten}. Fig. 11 further provides a user role access control in a second preferred embodiment is in which the user 1100, 1102, 1104 one or more user roles Be 1114, assigned to 1116 1106 1108, 1110, 1112. Each user role can be defined by one or more access rules 1118 , 1120 , 1122 , 1124 or pairs of operation sets 1126 , 1128 to domains 1130 , 1132 . For example, the user role operator east has two access rules: {router administrator, east} and {security administrator, east}.

Die Benutzerrollenzugriffssteuerung ist ein leistungsvolles und vielseitiges Sicherheitsmodell, das es einem Benutzer ermöglicht, sich in einer oder mehreren Benutzerrollen an­ zumelden und/oder zwischen Rollen dynamisch zu wechseln. Bei den bevorzugten Ausführungsbeispielen der Erfindung ist die Benutzerrollenzugriffssteuerung in einer Netzumgebung imple­ mentiert, um zu filtern, was der Benutzer sieht, und/oder um ein Laufzeitzugriffsprüfen dafür zu implementieren, welche Handlung der Benutzer durchführt. Die Merkmale dieses Sicherheitsmodells lösen existierende Probleme, die bei ak­ tuellen Modellen angetroffen werden, wie z. B. die Domänen­ modellsicherheit, indem eine flexible Konfiguration und Im­ plementation vorgesehen wird.The user role access control is a powerful one and versatile security model that it gives a user allows you to log in to one or more user roles register and / or switch dynamically between roles. At the preferred embodiments of the invention is User role access control in a network environment imple mentions to filter what the user sees and / or to to implement a runtime access check for which Action performed by the user. The characteristics of this Security models solve existing problems, which at ak current models are encountered, such as. B. the domains Model security by flexible configuration and Im implementation is provided.

Obwohl die Ausführungsbeispiele der Benutzerrollenzugriffs­ steuerung, die in der Beschreibung beschrieben sind, auf das Bestimmen von Handlungen gerichtet sind, die ein Benutzer durchführen kann, indem diese Handlungen in einer GUI ge­ filtert werden, ist es offensichtlich, daß eine Benutzer­ rollenzugriffssteuerung auf eine andere Art und Weise ausge­ führt sein kann. Die Benutzerrollenzugriffssteuerung kann ferner verwendet werden, um Handlungen zu bestimmen, die ein Benutzer durchführen kann, indem dieselbe jene Handlungen "im Hintergrund" filtert, bei denen es für einen Benutzer durchsichtig ist, worauf der Benutzer einen Zugriff besitzt oder nicht. Beispielsweise kann eine Benutzerrolle ferner Handlungen bestimmen, die ein Benutzer durchführen kann, indem die Vorrichtungen gefiltert werden, zu denen der Be­ nutzer einen Zugriff besitzt oder an denen der Benutzer Handlungen durchführen kann. Bei diesem Beispiel kann eine Benutzerrolle bestimmen, daß ein Benutzer einen Zugriff zu Datendateien besitzt, die in einer Vorrichtung 1 und einer Vorrichtung 2 jedoch beispielsweise nicht in einer Vorrich­ tung 3 liegen. Obwohl der Benutzer einen Zugriff auf Daten­ dateien in der Vorrichtung 1 und der Vorrichtung 2 besitzt, werden dieselben nicht in einer GUI, so daß der Benutzer dieselben sehen kann, angezeigt, sondern dieselben werden vielmehr durch eine oder mehrere aktive Benutzerrollen "im Hintergrund" bestimmt.Although the embodiments of the user role access control described in the description are directed to determining actions that a user can perform by filtering those actions in a GUI, it is obvious that a user has access to roles in a different way and how it can be carried out. User role access control can also be used to determine actions that a user can perform by filtering those actions "in the background" that are transparent to a user and to which the user has access or not. For example, a user role can also determine actions that a user can perform by filtering the devices to which the user has access or on which the user can perform actions. In this example, a user role may determine that a user has access to data files that are in device 1 and device 2 but not, for example, in device 3 . Although the user has access to data files in device 1 and device 2 , they are not displayed in a GUI so that the user can see them, but rather are determined by one or more active user roles "in the background" .

Claims (22)

1. Vorrichtung zum Steuern eines Benutzerzugriffs auf Com­ puterbasierte Objekte, mit folgenden Merkmalen:
  • a) einem oder mehreren Computer-lesbaren Speicherme­ dien (232);
  • b) einem Programmcode, der in dem einen oder den mehreren Computer-lesbaren Speichermedien (232) liegt, zum Erzeugen von einer oder mehreren Be­ nutzerrollen (200, 202, 204),
    • a) wobei jede der einen oder mehreren Benutzer­ rollen einen Satz von Zugriffsrechten (226, 228, 230) aufweist, der einem Satz von Be­ nutzern zugeordnet ist; und
    • b) wobei jedes der Zugriffsrechte Handlungen (206, 208, 210, 212, 214, 216, 218, 220, 222), die durch einen Benutzer in dem Satz von Benutzern durchgeführt werden können, an einem Satz der Computer-basierten Objekte.
1. Device for controlling user access to computer-based objects, with the following features:
  • a) one or more computer readable storage media ( 232 );
  • b) a program code, which is located in the one or more computer-readable storage media ( 232 ), for generating one or more user roles ( 200 , 202 , 204 ),
    • a) wherein each of the one or more users roles has a set of access rights ( 226 , 228 , 230 ) associated with a set of users; and
    • b) wherein each of the access rights acts ( 206 , 208 , 210 , 212 , 214 , 216 , 218 , 220 , 222 ) that can be performed by a user in the set of users on a set of the computer-based objects.
2. Vorrichtung gemäß Anspruch 1, bei der mindestens ein Benutzer in einem gegebenen Satz von Benutzern ein Com­ puter-basierter Server ist.2. Device according to claim 1, wherein at least one Users in a given set of users a com computer-based server. 3. Vorrichtung gemäß Anspruch 1 oder 2, die ferner einen Programmcode aufweist, der in dem einen oder den mehre­ ren Computer-lesbaren Speichermedien (232) liegt, zum
  • a) Bestimmen, jedesmal, wenn ein gegebener Benutzer eine Computersitzung einleitet, welche der einen oder mehreren Benutzerrollen (200, 202, 204) aktiv sind und auf den gegebenen Benutzer Bezug nehmen; und
  • b) Filtern der Handlungen (206, 208, 210, 212, 214, 216, 218, 220, 222), die durch einen Benutzer in dem Satz von Benutzern an einem Satz der Compu­ terbasierten Objekte durchgeführt werden können, basierend auf der einen oder den mehreren Benut­ zerrollen, die aktiv sind und auf den gegebenen Benutzer Bezug nehmen, und wie es durch beliebige Zugriffsrechte (226, 228, 230) bestimmt ist, die dem gegebenen Benutzer in der einen oder den mehreren Benutzerrollen zugeordnet sind.
3. The apparatus of claim 1 or 2, further comprising a program code residing in one or more of the computer readable storage media ( 232 ) for
  • a) determining each time a given user initiates a computer session which of the one or more user roles ( 200 , 202 , 204 ) are active and referencing the given user; and
  • b) filtering actions ( 206 , 208 , 210 , 212 , 214 , 216 , 218 , 220 , 222 ) that can be performed by a user in the set of users on a set of computer-based objects based on the one or control the multiple users that are active and refer to the given user and as determined by any access rights ( 226 , 228 , 230 ) assigned to the given user in the one or more user roles.
4. Vorrichtung gemäß Anspruch 3, bei der das Filtern der Handlungen (206, 208, 210, 212, 214, 216, 218, 220, 222), die durch einen Benutzer in dem Satz von Benut­ zern durchgeführt werden können, an einem Satz der Com­ puterbasierten Objekte, das Filtern von Elementen von einer oder mehreren graphischen Benutzerschnittstellen aufweist, die dem gegebenen Benutzer dargestellt wer­ den, um dem gegebenen Benutzer lediglich jene Elemente aktiv anzuzeigen, auf die der gegebene Benutzer zugrei­ fen darf.4. The apparatus of claim 3, wherein filtering the actions ( 206 , 208 , 210 , 212 , 214 , 216 , 218 , 220 , 222 ) that can be performed by a user in the set of users on a set the computer-based objects that includes filtering elements from one or more graphical user interfaces that are presented to the given user to actively display to the given user only those elements that the given user is allowed to access. 5. Vorrichtung gemäß Anspruch 4, bei der das Filtern das Filtern von angezeigten Icons aufweist.5. The device according to claim 4, wherein the filtering Filters displayed icons. 6. Vorrichtung gemäß Anspruch 4, bei der das Filtern das Filtern von angezeigten Menügegenständen aufweist.6. The device according to claim 4, wherein the filtering Filtering displayed menu items. 7. Vorrichtung gemäß Anspruch 1, die ferner einen Pro­ grammcode aufweist, der in dem einen oder den mehreren Computer-lesbaren Speichermedien (232) liegt, zum
  • a) Bestimmen, jedesmal, wenn ein gegebener Benutzer eine Anwendung startet, welche der einen oder mehreren Benutzerrollen (200, 202, 204) aktiv sind und auf den gegebenen Benutzer Bezug nehmen; und
  • b) Filtern der Handlungen (206, 208, 210, 212, 214, 216, 218, 220, 222), die durch einen Benutzer in dem Satz von Benutzern an einem Satz der Compu­ terbasierten Objekte durchgeführt werden können, basierend auf der einen oder den mehreren Be­ nutzerrollen, die aktiv sind und auf den gegebenen Benutzer Bezug nehmen, und wie es durch beliebige Zugriffsrechte (226, 228, 230) definiert ist, die dem gegebenen Benutzer zugeordnet sind.
7. The apparatus of claim 1, further comprising a program code residing in the one or more computer readable storage media ( 232 ) for
  • a) determining each time a given user starts an application which of the one or more user roles ( 200 , 202 , 204 ) are active and referencing the given user; and
  • b) filtering actions ( 206 , 208 , 210 , 212 , 214 , 216 , 218 , 220 , 222 ) that can be performed by a user in the set of users on a set of computer-based objects based on the one or the multiple user roles that are active and refer to the given user and as defined by any access rights ( 226 , 228 , 230 ) associated with the given user.
8. Vorrichtung gemäß Anspruch 7, bei der das Filtern der Handlungen (206, 208, 210, 212, 214, 216, 218, 220, 222), die durch einen Benutzer in dem Satz von Benut­ zern durchgeführt werden können, an einem Satz der Com­ puterbasierten Objekte, das Filtern von Elementen von einer oder mehreren graphischen Benutzerschnittstellen aufweist, die dem gegebenen Benutzer dargestellt wer­ den, um dem gegebenen Benutzer lediglich jene Elemente aktiv anzeigen, auf die der gegebene Benutzer zugreifen darf.The apparatus of claim 7, wherein filtering the actions ( 206 , 208 , 210 , 212 , 214 , 216 , 218 , 220 , 222 ) that can be performed by a user in the set of users on a set the computer-based objects that include filtering elements from one or more graphical user interfaces that are presented to the given user, to actively display to the given user only those elements that the given user may access. 9. Vorrichtung gemäß Anspruch 8, bei der das Filtern das Filtern von angezeigten Icons aufweist.9. The device according to claim 8, wherein the filtering Filters displayed icons. 10. Vorrichtung gemäß Anspruch 8, bei der das Filtern das Filtern von angezeigten Menügegenständen aufweist.10. The apparatus of claim 8, wherein the filtering Filtering displayed menu items. 11. Vorrichtung gemäß Anspruch 1, die ferner einen Pro­ grammcode aufweist, der in dem einen oder den mehreren Computer-lesbaren Speichermedien (232) liegt, zum
  • a) Verifizieren, jedesmal, wenn ein gegebener Be­ nutzer versucht, eine Handlung (206, 208, 210, 212, 214, 216, 218, 220, 222) an einem gegebenen Computer-basierten Objekte durchzuführen, ob der gegebene Benutzer und das gegebene Computerba­ sierte Objekt in einer aktiven der einen oder mehreren Benutzerrollen (200, 202, 204) zugeordnet sind; und
  • b) Bewilligen lediglich des gegebenen Benutzerzu­ griffs auf das gegebene Computer-basierte Objekt, wenn der gegebene Benutzer und das gegebene Compu­ terbasierte Objekt in einer aktiven der einen oder mehreren Benutzerrollen zugeordnet sind.
11. The apparatus of claim 1, further comprising a program code residing in the one or more computer readable storage media ( 232 ) for
  • a) Verify, each time a given user tries to perform an action ( 206 , 208 , 210 , 212 , 214 , 216 , 218 , 220 , 222 ) on a given computer-based object, whether the given user and the given Computer-based object in an active one of the one or more user roles ( 200 , 202 , 204 ) are assigned; and
  • b) Grant only the given user access to the given computer-based object if the given user and the given computer-based object are assigned in an active one or more user roles.
12. Vorrichtung gemäß Anspruch 1, bei der gegebene der Handlungen (206, 208, 210, 212, 214, 216, 218, 220, 222) einen Zugriff zu Einheits-Ressourcen-Positions­ anzeigern (URLs; URL = Uniform Resource Locator) in einer Netz-basierten Umgebung aufweisen.12. The apparatus of claim 1, wherein given of the actions ( 206 , 208 , 210 , 212 , 214 , 216 , 218 , 220 , 222 ) indicate access to unit resource locations (URLs) in in a network-based environment. 13. Vorrichtung gemäß Anspruch 12, die ferner einen Pro­ grammcode aufweist, der in dem einen oder den mehreren Computer-lesbaren Speichermedien (232) liegt, zum
  • a) Bestimmen, jedesmal, wenn ein gegebener Benutzer eine Computersitzung einleitet, welche der einen oder mehreren Benutzerrollen (200, 202, 204) aktiv sind und auf den gegebenen Benutzer Bezug nehmen; und
  • b) Filtern von Elementen, die auf einen oder mehrere URLs in einer oder mehreren graphischen Benutzer­ schnittstellen Bezug nehmen, die dem gegebenen Be­ nutzer dargestellt werden, um dem gegebenen Be­ nutzer lediglich jene Elemente, die auf URLs Bezug nehmen, anzuzeigen, auf die der gegebene Benutzer zugreifen darf, basierend auf der einen oder den mehreren Benutzerrollen (200, 202, 204), die aktiv sind und auf den gegebenen Benutzer Bezug nehmen, und wie es durch beliebige Zugriffsrechte (226, 228, 230) bestimmt ist, die dem gegebenen Benutzer zugeordnet sind.
13. The apparatus of claim 12, further comprising a program code residing in the one or more computer readable storage media ( 232 ) for
  • a) determining each time a given user initiates a computer session which of the one or more user roles ( 200 , 202 , 204 ) are active and referencing the given user; and
  • b) filtering elements that refer to one or more URLs in one or more graphical user interfaces that are presented to the given user in order to display to the given user only those elements that refer to URLs that the given user may access based on the one or more user roles ( 200 , 202 , 204 ) that are active and referenced to the given user and as determined by any access rights ( 226 , 228 , 230 ) assigned to the are assigned to given users.
14. Vorrichtung gemäß Anspruch 13, die ferner einen Pro­ grammcode aufweist, der in dem einen oder den mehreren Computer-lesbaren Speichermedien (232) liegt, zum
  • a) Verifizieren, jedesmal, wenn ein gegebener Be­ nutzer versucht, auf den gegebenen URL zuzugrei­ fen, ob der gegebene Benutzer und der gegebene URL in einer aktiven der einen oder mehreren Benutzer­ rollen (200, 202, 204) zugeordnet sind; und
  • b) Bewilligen lediglich des gegebenen Benutzerzu­ griffs zu dem gegebenen URL, wenn der gegebene Be­ nutzer und der gegebene URL in einer aktiven der einen oder mehreren Benutzerrollen (200, 202, 204) zugeordnet sind.
14. The apparatus of claim 13, further comprising a program code residing in the one or more computer readable storage media ( 232 ) for
  • a) Verify, each time a given user tries to access the given URL, whether the given user and the given URL are assigned to an active one of the one or more user roles ( 200 , 202 , 204 ); and
  • b) Only grant the given user access to the given URL if the given user and the given URL are assigned in an active one of the one or more user roles ( 200 , 202 , 204 ).
15. Vorrichtung gemäß Anspruch 12, die ferner einen Pro­ grammcode aufweist, der in dem einen oder den mehreren Computer-lesbaren Speichermedien (232) liegt, zum
  • a) Verifizieren, jedesmal, wenn ein gegebener Be­ nutzer versucht, auf einen gegebenen URL zuzugrei­ fen, ob der gegebene Benutzer und der gegebene URL in einer aktiven der einen oder mehreren Benutzer­ rollen (200, 202, 204) zugeordnet sind; und
  • b) Bewilligen lediglich des gegebenen Benutzerzu­ griffs auf den gegebenen URL, wenn der gegebene Benutzer und der gegebene URL in einer aktiven der einen oder mehreren Benutzerrollen (200, 202, 204) zugeordnet sind.
15. The apparatus of claim 12, further comprising a program code residing in the one or more computer readable storage media ( 232 ) for
  • a) Verify, each time a given user tries to access a given URL, whether the given user and the given URL are assigned to an active one of the one or more user roles ( 200 , 202 , 204 ); and
  • b) Only grant the given user access to the given URL if the given user and the given URL are assigned in an active one of the one or more user roles ( 200 , 202 , 204 ).
16. Vorrichtung gemäß Anspruch 12, die ferner folgende Merkmale aufweist:
  • a) ein Starterobjekt, das in dem einen oder mehreren Computer-lesbaren Speichermedien liegt, zum
    • a) Darstellen einem Benutzer eines Anmeldebild­ schirms, der den Benutzer nach Benutzerinfor­ mationen auffordert; und
    • b) Aufrufen eines Anmeldeobjekts;
  • b) wobei das Anmeldeobjekt in dem einen oder den mehreren Computer-lesbaren Speichermedien (232) liegt, zum
    • a) Lesen der Benutzerinformationen;
    • b) Verifizieren der Computersitzung, Aufrufen eines Sitzungsführungsobjekts und Weiterlei­ ten der Benutzerinformationen zu dem Sitzungsführungsobjekt, wenn der Benutzer be­ reits eine Computersitzung eingeleitet hat; und
    • c) Einleiten einer Computersitzung durch Aufru­ fen des Sitzungsführungsobjekts und Weiter­ leiten der Benutzerinformationen zu dem Sitzungsführungsobjekt, wenn der Benutzer nicht bereits eine Computersitzung eingelei­ tet hat; und
  • c) wobei das Sitzungsführungsobjekt, in dem einen oder den mehreren Computer-lesbaren Speichermedien (232) liegt, zum
    • a) Beglaubigen der Benutzerinformationen;
    • b) Bestimmen, welche der einen oder mehreren Be­ nutzerrollen (200, 202, 204) auf den gegebe­ nen Benutzer Bezug nehmen, wenn die Benutzer­ informationen beglaubigt sind; und
    • c) Verweigern des Benutzerzugriffs zu einer Com­ putersitzung, wenn die Benutzerinformationen nicht beglaubigt sind.
16. The apparatus of claim 12, further comprising:
  • a) a starter object, which is in the one or more computer-readable storage media for
    • a) representing a user of a login screen that prompts the user for user information; and
    • b) calling up a login object;
  • b) wherein the registration object is located in the one or more computer-readable storage media ( 232 ) for
    • a) reading the user information;
    • b) verifying the computer session, calling a session guidance object and forwarding the user information to the session guidance object if the user has already initiated a computer session; and
    • c) initiating a computer session by calling the session guidance object and forwarding the user information to the session guidance object if the user has not already initiated a computer session; and
  • c) wherein the session management object in which the one or more computer-readable storage media ( 232 ) resides, for
    • a) authentication of user information;
    • b) determining which of the one or more user roles ( 200 , 202 , 204 ) refer to the given user when the user information is authenticated; and
    • c) Denying user access to a computer session if the user information is not authenticated.
17. Vorrichtung gemäß Anspruch 1, bei der jedes der einen oder mehreren Zugriffsrechte (226, 228, 230) durch eine oder mehrere Zugriffsregeln bestimmt wird, wobei jede der einen oder mehreren Zugriffsregeln ein Operations­ satz/Objektdomänen-Paar aufweist, wobei
  • a) die Objektdomäne eines oder mehrere Objekte auf­ weist, auf die ein Benutzer, auf den in einer Be­ nutzerrolle (200, 202, 204) Bezug genommen wird, einen Zugriff besitzt; und
  • b) der Operationssatz eine oder mehrere Handlungen (206, 208, 210, 212, 214, 216, 218, 220, 222) auf­ weist, die ein Benutzer, auf den in einer Benut­ zerrolle Bezug genommen wird, durchführen kann.
17. The apparatus of claim 1, wherein each of the one or more access rights ( 226 , 228 , 230 ) is determined by one or more access rules, each of the one or more access rules comprising an operation set / object domain pair, wherein
  • a) the object domain has one or more objects to which a user referred to in a user role ( 200 , 202 , 204 ) has access; and
  • b) the operation set has one or more actions ( 206 , 208 , 210 , 212 , 214 , 216 , 218 , 220 , 222 ) that a user referred to in a user role can perform.
18. Vorrichtung gemäß Anspruch 17, die ferner einen Pro­ grammcode aufweist, der in dem einen oder den mehreren Computer-lesbaren Speichermedien (232) liegt, zum Er­ zeugen der einen oder der mehreren Zugriffsregeln.18. The apparatus of claim 17, further comprising a program code residing in the one or more computer readable storage media ( 232 ) for generating the one or more access rules. 19. Vorrichtung gemäß Anspruch 17 oder 18, bei der das eine oder die mehreren Zugriffsrechte (226, 228, 230) durch eine oder mehrere Zugriffsbeschränkungen begrenzt sind.19. The apparatus of claim 17 or 18, wherein the one or more access rights ( 226 , 228 , 230 ) are limited by one or more access restrictions. 20. Vorrichtung gemäß Anspruch 19, die ferner einen Pro­ grammcode aufweist, der in dem einen oder den mehreren Computer-lesbaren Speichermedien (232) liegt, zum Er­ zeugen der einen oder mehreren Zugriffsbeschränkungen.20. The apparatus of claim 19, further comprising a program code residing in the one or more computer readable storage media ( 232 ) for generating the one or more access restrictions. 21. Ein Verfahren zum Steuern eines Benutzerzugriffs auf Computer-basierte Objekte, mit folgenden Schritten:
  • a) Empfangen einer Anfrage von einem Benutzer, eine Handlung während einer Computersitzung durch­ zuführen;
  • b) Wiedergewinnen ansprechend auf die Anfrage von einer oder mehreren Benutzerrollen (200, 202, 204), von denen der Benutzer ein Mitglied für die Sitzung ist, wobei jede der einen oder mehreren Benutzerrollen eines oder mehrere Zugriffsrechte (226, 228, 230) bestimmt, die der Benutzer für die Sitzung besitzt, wobei das eine oder die mehreren Zugriffsrechte eine oder mehrere Handlungen (206, 208, 210, 212, 214, 216, 218, 220, 222) bestimmen, die der Benutzer während der Sitzung durchführen kann; und
  • c) Bestimmen, ob der Benutzer berechtigt ist, die angefragte Handlung durchzuführen, durch Be­ stimmen, ob die eine oder die mehreren Benutzer­ rollen, von denen der Benutzer ein Mitglied ist, ein Zugriffsrecht aufweisen, das die angefragte Handlung erlaubt.
21. A method of controlling user access to computer-based objects, comprising the following steps:
  • a) receiving a request from a user to perform an action during a computer session;
  • b) retrieving in response to the request from one or more user roles ( 200 , 202 , 204 ), of which the user is a member of the session, each of the one or more user roles determining one or more access rights ( 226 , 228 , 230 ) the user owns for the session, the one or more privileges determining one or more actions ( 206 , 208 , 210 , 212 , 214 , 216 , 218 , 220 , 222 ) that the user can perform during the session; and
  • c) Determining whether the user is authorized to perform the requested action by determining whether the one or more users, of which the user is a member, have an access right that allows the requested action.
22. Verfahren gemäß Anspruch 21, bei dem eines der einen oder mehreren Zugriffsrechte (226, 228, 230) bestimmt, ob ein Benutzer auf einen oder mehrere Einheits-Res­ sourcen-Positionsanzeiger (URLs) in einer Netzbasier­ ten Umgebung zugreifen kann.22. The method of claim 21, wherein one of the one or more access rights ( 226 , 228 , 230 ) determines whether a user can access one or more unit resource location indicators (URLs) in a network-based environment.
DE1999154358 1999-01-07 1999-11-11 User role access controller has computer-legible storage media and program code resident in the media for generating one or more user roles Withdrawn DE19954358A1 (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US22712499A 1999-01-07 1999-01-07

Publications (1)

Publication Number Publication Date
DE19954358A1 true DE19954358A1 (en) 2000-07-20

Family

ID=22851847

Family Applications (1)

Application Number Title Priority Date Filing Date
DE1999154358 Withdrawn DE19954358A1 (en) 1999-01-07 1999-11-11 User role access controller has computer-legible storage media and program code resident in the media for generating one or more user roles

Country Status (2)

Country Link
JP (1) JP2000207363A (en)
DE (1) DE19954358A1 (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003092198A2 (en) 2002-04-26 2003-11-06 Intelligent Views Gmbh Method and device for controlling the access to knowledge networks
WO2006100196A1 (en) * 2005-03-23 2006-09-28 Endress+Hauser Process Solutions Ag Method for safely operating an automation technology field device
WO2008063417A2 (en) * 2006-11-17 2008-05-29 Network Appliance, Inc. Resource level role based access control for storage management
US7712127B1 (en) 2006-11-17 2010-05-04 Network Appliance, Inc. Method and system of access control based on a constraint controlling role assumption
US7730093B2 (en) 2001-09-26 2010-06-01 Siemens Aktiengesellschaft Method for controlling access to the resources of a data processing system, data processing system, and computer program
US8402514B1 (en) 2006-11-17 2013-03-19 Network Appliance, Inc. Hierarchy-aware role-based access control

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3745207B2 (en) * 2000-08-23 2006-02-15 キヤノン株式会社 Network print system, information processing apparatus and control method therefor
JP3798935B2 (en) * 2000-09-08 2006-07-19 日本電信電話株式会社 Data display method
ATE370451T1 (en) * 2001-03-20 2007-09-15 Sap Ag METHOD, COMPUTER PROGRAM PRODUCT AND COMPUTER SYSTEM FOR MODIFYING APPLICATION SERVICE ROLES
WO2003090103A1 (en) * 2002-04-22 2003-10-30 Placeware, Inc. Application sharing security
US7373347B2 (en) 2002-07-22 2008-05-13 Ricoh Company, Ltd. Information processing apparatus and information processing method
JP4765295B2 (en) * 2004-10-27 2011-09-07 株式会社島津製作所 Analytical instrument management device
JP4135950B2 (en) 2005-06-09 2008-08-20 インターナショナル・ビジネス・マシーンズ・コーポレーション Access management device, access management method, and program
JP5030528B2 (en) * 2006-10-25 2012-09-19 中国電力株式会社 Operation and maintenance management device
JP5667219B2 (en) * 2010-03-08 2015-02-12 ヴイエムウェア インクVMware, Inc. Task-based access control in virtualized environments
JP5787640B2 (en) * 2011-06-24 2015-09-30 キヤノン株式会社 Authentication system, authentication method and program

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7730093B2 (en) 2001-09-26 2010-06-01 Siemens Aktiengesellschaft Method for controlling access to the resources of a data processing system, data processing system, and computer program
WO2003092198A2 (en) 2002-04-26 2003-11-06 Intelligent Views Gmbh Method and device for controlling the access to knowledge networks
WO2003092198A3 (en) * 2002-04-26 2004-06-17 Intelligent Views Gmbh Method and device for controlling the access to knowledge networks
DE10218905B4 (en) * 2002-04-26 2016-03-17 Intelligent Views Gmbh Method and data structure for access control in knowledge networks
WO2006100196A1 (en) * 2005-03-23 2006-09-28 Endress+Hauser Process Solutions Ag Method for safely operating an automation technology field device
WO2008063417A2 (en) * 2006-11-17 2008-05-29 Network Appliance, Inc. Resource level role based access control for storage management
WO2008063417A3 (en) * 2006-11-17 2008-11-06 Network Appliance Inc Resource level role based access control for storage management
US7712127B1 (en) 2006-11-17 2010-05-04 Network Appliance, Inc. Method and system of access control based on a constraint controlling role assumption
US8402514B1 (en) 2006-11-17 2013-03-19 Network Appliance, Inc. Hierarchy-aware role-based access control

Also Published As

Publication number Publication date
JP2000207363A (en) 2000-07-28

Similar Documents

Publication Publication Date Title
DE69530128T2 (en) SECURITY FOR COMPUTER EQUIPMENT
DE60006451T2 (en) Distributed authentication mechanisms for handling different authentication systems in a company computer system
DE69923503T2 (en) Authentication and access control in a management terminal program for managing services on a computer network
DE69332633T2 (en) Procedure and system for discovering aliases based on certification
DE69838378T2 (en) PROCEDURE AND DEVICE FOR SECURITY TO ENSURE THAT SERVER USERS PROGRAMS RECEIVED VIA THE NETWORK HAVE BEEN GUARANTEED
DE69921455T2 (en) SYSTEM AND METHOD FOR ACCESS CONTROL TO STORED DOCUMENTS
DE69905705T2 (en) INTELLIGENT SECURITY MANAGEMENT PROCEDURE AND SYSTEM
DE19954358A1 (en) User role access controller has computer-legible storage media and program code resident in the media for generating one or more user roles
DE10296804B4 (en) Method and system for authorizing access to resources on a server
DE69929772T2 (en) FILE ACCESS CONTROL IN A MULTIPROTOCLE FILE SERVER
DE60006065T2 (en) METHOD AND SYSTEM FOR THE DEVELOPMENT, APPLICATION, REMOTE LOADING, AND EXECUTION OF WEBSITES CONTROLLED BY DATABASE
DE69736697T2 (en) Method and apparatus for controlling access to system resources
DE69933329T2 (en) Device and method for secure transmission of documents sent by a web agent
DE60127557T2 (en) FILTERING A PERMIT WITH THE HELP OF PERMISSIONS LINKED TO A COORDINATING ARRANGEMENT
DE69706440T2 (en) PROTECTIVE AGENTS IN A DISTRIBUTED COMPUTER SYSTEM
McDaniel On context in authorization policy
DE19741239C2 (en) Generalized security policy management system and procedures
DE112018004411T5 (en) ACCESS CONTROL IN MICRO-SERVICE ARCHITECTURES
DE102012210887B4 (en) Method for setting up a securely managed execution environment for a virtual machine and a computing device
DE60308489T2 (en) Application window closure in response to an event in a parent window
EP2642395B1 (en) Method and apparatus for executing work flow scripts
DE112020000538T5 (en) FINE-GRAINED TOKEN-BASED ACCESS CONTROL
DE69707022T2 (en) SYSTEM AND METHOD FOR SECURE MANAGEMENT OF DESKTOP ENVIRONMENTS OVER A NETWORK
DE112010004526T5 (en) A system, method and apparatus for concurrently establishing and enforcing access control and integrity policies
DE69229588T2 (en) Safe object equivalence determination

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8127 New person/name/address of the applicant

Owner name: HEWLETT-PACKARD CO. (N.D.GES.D.STAATES DELAWARE),

8130 Withdrawal