Kategorien: Software-Lizenzierung
Zwei Seiten der Lizenzierung
Ein Haupteinsatzgebiet von CodeMeter ist der Schutz und die Lizenzierung von Software. Im Lizenzmanagement zeigt CodeMeter zwei komplett verschiedene Seiten. Auf der einen Seite steht der Softwarehersteller (Independent Software Vendor – ISV) und auf der anderen Seite steht der Anwender der Software (User).
Die Sicht des ISVs
CodeMeter bietet für dem ISV viele Lösungen und Mehrwerte, unter anderem:
- Technische Kontrolle der Lizenzierung beim User
- Abbildung der gewünschten Lizenzmodelle
- Auslieferung und Verwaltung der Lizenzen
Lizenzkontrolle
Der ISV integriert die Lizenzkontrolle in seine Software. Dies kann wahlweise individuell per CodeMeter API oder automatisch durch die Wibu Protectoren Suite erfolgen. Die automatische Integration erfolgt einfach und schnell durch Verschlüsselung der fertigen Anwendung. Diese Technology ist für Windows, Linux und
OS X als AxProtector und IxProtector verfügbar. Für Java- und .NET-Anwendungen stehen ebenfalls automatische Verschlüsselungs- und Obfuskations-Werkzeuge zur Verfügung. Auf Embedded Devices bietet der ExProtector zusätzlich zur Verschlüsselung die Möglichkeit, die Ausführung von nicht autorisierten
Software-Modulen im Gerät zu verhindern.
Die Wibu Protectoren Suite bietet einen hohen Schutz bei niedrigem Integrationsaufwand. Durch die Implementierung von zusätzlichen Sicherheitsmechanismen mittels API kann der Schutz noch weiter erhöht werden.
Lizenzmodelle
Mit CodeMeter konnten bisher alle gewünschten Lizenzmodelle abgebildet werden. Die gebräuchlichsten Lizenzmodelle sind bereits schlüsselfertig in CodeMeter enthalten. Zu den Lizenzmodellen gehören unter anderem Einzelplatzlizenzen, Netzwerklizenzen, Freischaltung von Features On Demand, Demo- und Trial-Versionen sowie Softwaremiete und benutzungsbasierte Lizenzmodelle.
Ein herausragendes Beispiel für ein schlüsselfertiges Lizenzmodell ist die Abbildung eines Wartungsvertrags. Der ISV gibt beim Erstellen der Lizenz Anfang und Ende des Wartungsvertrags an. Beim Schützen der Software definiert der ISV das Release-Datum der Software. Den Rest erledigt CodeMeter automatisch und vor allem sicher, da das Release-Datum Bestandteil der Kryptografie ist. Wenn ein Angreifer das Release-Datum in der Software modifiziert, läuft die Software nicht, da damit der kryptografische Schlüssel falsch ist.
Ausgefallene und ungewöhnliche Lizenzmodelle können mit geringem Integrationsaufwand umgesetzt werden.
Lizenzauslieferung und Verwaltung
Ein wesentlicher Bestandteil für den ISV ist die Erzeugung, Auslieferung und Verwaltung von Lizenzen. Mit der CodeMeter License Central bietet Wibu-Systems flexible Ausbaustufen: vom Stand-Alone-Betrieb im Falle von wenigen Lizenzen bis zur vollständigen Integration in den Vertriebsprozess und die ERP- und CRM-Systeme des ISVs, als lokale Appliance oder als cloudbasierte Lösung.
CodeMeter License Central ist in den folgenden Editionen verfügbar:
- Desktop Edition: Stand-Alone als lokale Appliance.
- Internet Edition: als lokale Appliance zur Integration in die Systeme des ISVs. Mit Anbindung an das Internet zur Online -Aktivierung über die Cloud.
- Datacenter Edition: Cloud basierte Lösung. Von Wibu-Systems für den ISV in der Wibu-Cloud als Stand-Alone-Anwendung betrieben.
- Dedicated Server Edition: Cloud basierte Lösung. Von Wibu-Systems für den ISV in der Wibu-Cloud betrieben mit der Möglichkeit zur Integration in Backend-Systeme wie SAP, SalesForce und weitere.
Skalierbare Lizenzierung
Bei CodeMeter entscheidet der ISV, auf welche Art und Weise die Lizenz beim Kunden gebunden und gespeichert werden kann. Der User wählt zwischen den von ISV zur Verfügung gestellten Optionen. Die möglichen Optionen sind:
- CmDongle: Die Lizenz wird an einen CmDongle gebunden und mit allen kryptografischen Schlüsseln im CmDongle gespeichert. Die Schlüssel können von der Software verwendet werden, verlassen den CmDongle aber nie.
- CmActLicense: Die Lizenz wird an einen dynamischen Fingerabdruck des Rechners gebunden und in einer verschlüsselten Lizenzdatei gespeichert. Der Fingerabdruck ist tolerant (SmartBind®) gegen Veränderungen des Rechners in einem vom ISV vorgegebenen Rahmen. Anti-Debug Maßnahmen und das Verwenden des Fingerabdrucks als Schlüssel verhindern das nicht autorisierte Übertragen der Lizenzen auf einen anderen Rechner.
- License Server: Die Lizenz wird auf einen Lizenzserver übertragen und dort in einem CmDongle oder einer CmActLicense gespeichert. Durch entsprechende Wahl des Fingerabdrucks kann der Lizenzserver in der Cloud betrieben werden, wenn der ISV dies erlaubt. Die Lizenzen werden im Netzwerk (LAN, WAN, Cloud) entsprechend der vom User eingestellten Regeln für seine Mitarbeiter zur Verfügung gestellt.
Durch diese Skalierung kann der ISV das Sicherheitslevel definieren und maximale Flexibilität für seinen User vorgeben. Hierbei gilt, dass eine Lösung mit CmDongle am sichersten ist und die Lizenz dabei auf einfache Art und Weise mobil verwendet werden kann. Eine Lösung mit einem Lizenzserver in der Cloud des ISVs bietet ebenfalls eine sehr hohe Sicherheit. Eine CmActLicense auf einem Rechner oder einem Lizenzserver bietet eine Sicherheit, die nach Stand der Technik als hoch bezeichnet werden kann.
Der Weg vom ISV zum User
Die Auslieferung einer Lizenz vom ISV zum User erfolgt flexibel über mehrere Wege. Doch das Beispiel des Hi-Fi-Liebhabers, der unverrichteter Dinge aus dem Fachmarkt zurückkommt, weil er sich nicht zwischen den vielen verschiedenen Stereo-Anlagen entscheiden konnte, zeigt, dass zu viel Auswahl auch kontraproduktiv sein kann. Als Best-Practice hat sich die Auswahl eines zielgruppengerechten Weges durch den ISV bewährt. Meist wird hier ein Online-Weg ausgewählt. Dieser wird dem User als Standardweg angeboten. Im Fehlerfall wird automatisch in einen oder mehrere sinnvolle Fallbacks verzweigt. Unter den Fallbackszenarien befindet sich in der Regel mindestens ein Offline-Weg.
Die vielfältigen Auslieferungsoptionen für Lizenzen sind im nachfolgenden Kasten beschrieben.
Die Wahl des optimalen Wegs hängt von unterschiedlichen Faktoren ab: Habe ich mehr Neukunden oder mehr wiederkehrende Kunden? Ist mein Kunde in der Regel online mit dem Internet verbunden oder ist er offline? Werden die Lizenzen von einem Administrator verwaltet? Ist mein Kunde technikaffin?
Die Lizenzierungsexperten von Wibu-Systems stehen Ihnen mit Know-how und Best-Practice-Tipps bei der Auswahl der optimalen Wege gerne zur Verfügung.
Die Sicht des Users
Für den User muss die Lizenzierung einfach sein und darf ihn bei der täglichen Arbeit nicht behindern; vor allem will er wissen:
- Welche Lizenzen habe ich gekauft und wo sind diese?
- Welcher meiner Mitarbeiter darf welche Lizenzen verwenden?
- Welcher Mitarbeiter hat welche Lizenzen wie lange verwendet?
Vielfältige Auslieferungsoptionen bringen die Lizenzen zum User:
- Der ISV programmiert einen CmDongle und schickt diesen dem User als Paket zu.
- Der ISV erzeugt ein Ticket und der User aktiviert die Lizenz aus der Software des ISVs heraus. Dabei entscheidet der ISV, ob die Lizenz als CmActLicense an den PC gebunden wird, in einen CmDongle übertragen wird oder ob der User dies auswählen kann.
- Der ISV hinterlegt eine Lizenz für einen bestimmten PC (Seriennummer der CmActLicense) oder einen bestimmten CmDongle (Seriennummer) und der User klickt in der Software des ISVs auf „Automatisches Update“.
- Der ISV bietet die Aktivierung per Web-Portal an. Er schickt dem User ein Ticket und der User überträgt die Lizenz direkt im Webbrowser.
- Der ISV hinterlegt eine Lizenz für einen PC oder einen CmDongle und der User überträgt die Lizenz direkt im Webbrowser.
- Der ISV integriert die Aktivierung in ein Kunden-Portal. Der ISV hinterlegt eine Lizenz für einen User (gebunden an den Account des Users). Der User meldet sich im Kunden-Portal an und überträgt die Lizenz direkt im Webbrowser.
- Der ISV bietet in seiner Software die Möglichkeit, dass sich ein User eine Lizenzanfragedatei erzeugen kann. Diese überträgt der User offline auf einen PC mit Internetzugang. Auf diesem PC verwendet der User das Ticket und die Lizenzanfragedatei, um sich im Web-Portal eine Lizenzaktivierungsdatei herunterzuladen. Diese überträgt er offline auf das Zielgerät und schaltet damit eine Lizenz im CmDongle oder als rechnergebundene CmActLicense frei.
- Die Aktivierung erfolgt analog zu Fall (G). Anstelle des Tickets wird der Account des Users verwendet.
- Die Aktivierung erfolgt analog zu Fall (G). Anstelle des Tickets wird die Seriennummer eines CmDongles oder einer CmActLicense verwendet.
- Analog zu den Fällen (G) bis (I). Anstelle der Software des ISVs werden vorhandene Standard-Werkzeuge von Wibu-Systems verwendet (CodeMeter Kontrollzentrum, das Kommandozeilenprogramm cmu oder Doppelklick auf die Lizenzaktivierungsdatei).
- Der User erzeugt die Lizenzanfragedatei in der Software des ISVs und schickt diese per E-Mail an den ISV. Der ISV erzeugt die Lizenzaktivierungsdatei und schickt diese per E-Mail an den User zurück.
- Wie Fall (K). Anstelle der Software des ISVs werden die Standard-Werkzeuge von Wibu-Systems verwendet. Alternativ kann die Lizenzanfragedatei über das Netzwerk erzeugt werden. Dies kann vom Arbeitsplatz eines Administrators erfolgen, wenn der Lizenzserver im Netzwerk steht oder auch vom Laptop eines Servicetechnikers, wenn die Lizenz auf eine Steuerung übertragen werden soll.
User Portal in der CodeMeter License Central
Das Web Depot der CodeMeter License Central bietet dem User nicht nur die Möglichkeit seine Lizenzen zu übertragen, sondern auch einen Überblick über alle gekauften Lizenzen.
Über die verfügbare SOAP-Schnittstelle der CodeMeter License Central hat der ISV die Option, eine Lizenzübersicht in ein eigenes User-Portal zu integrieren. Der User meldet sich hier in der Regel mit Benutzername und Passwort an. Danach erhält er eine Übersicht aller Tickets und aller in den Tickets enthaltenen Lizenzen. Je nach Konfiguration des ISVs werden pro Lizenz die folgenden Daten angezeigt:
- Artikelname
- Artikelnumme
- Ticket
- Abholstatus
- Verkaufdatum
- Seriennummer des CmContainers, in dem sich die Lizenz befindet
Der ISV legt fest, ob der User Lizenzen zurückgeben und somit in einen anderen CmContainer verschieben kann. Ein weiterer Parameter, den der der ISV vorgibt, ist die Anzahl und die zeitliche Abfolge von Re-Aktivierungen ohne Rückgabe. Dies ist vor allem bei der softwarebasierten Lizenzierung mit einer rechnergebundenen CmActLicense eine wichtige Einstellung, da User in regelmäßigen Abständen die Rechner wechseln und man beim Rechnertausch meist vergisst, bestehende Lizenzen zurückzugeben. Durch eine kulante Regelung der Re-Aktivierung kann der Supportaufwand reduziert werden. Um einen Missbrauch zu verhindern, darf die Regelung nicht zu kulant sein.
CodeMeter License Server – License Tracking
Der CodeMeter License Server stellt Lizenzen im Netzwerk zur Verfügung. Der ISV gibt die Anzahl der gleichzeitig zu nutzenden Lizenzen und die Metrik vor. Als Metrik stehen unter anderem die Zählung pro gestartete Anwendung oder die Zählung pro Bildschirmarbeitsplatz zur Verfügung. Bei der Zählung pro Bildschirmarbeitsplatz werden jede virtuelle Maschine und jede Terminal Server Session wie ein echter Rechner gezählt.
Der User schaltet das CodeMeter License Tracking ein. Der CodeMeter License Server protokolliert alle Zugriffe auf die vorhandenen Lizenzen und alle Ablehnungen. Dabei werden Username, Rechnername/IP-Adresse und Lizenz festgehalten. Über ein Interface im CodeMeter WebAdmin erzeugt sich der User einfache Auswertungen über genutzte Lizenzen. Für umfangreichere Auswertungen können die License Tracking Daten als Datei exportiert und weiterverarbeitet werden.
Mit dem CodeMeter License Tracking kann eine Kostenstelle-bezogene Abrechnung von Lizenzen in Großunternehmen umgesetzt werden. Aus der Übersicht der belegten Lizenzen durch die entsprechenden Benutzer kann eine Auslastung der Lizenz pro Kostenstelle errechnet werden.
Neben der Kostentransparenz bietet das CodeMeter License Tracking auch die Möglichkeit, unbenutzte Lizenzen oder fehlende Lizenzen zu identifizieren. Dies bietet User und ISV neue Möglichkeiten, die optimale Lizenzierung zu finden. In Kombination mit Overflow-Lizenzen (der ISV erlaubt dem User die Verwendung von mehr Lizenzen als der User gekauft hat), kann eine genaue Verwendung dieser Lizenzen nachgewiesen und eine entsprechende Abrechnung umgesetzt werden.
CodeMeter License Server – Access Privileges
Mit der Version 5.20 wird das vorhandene Access Control durch ein Access Privileges Modul in CodeMeter kompatibel ersetzt. Mit ihm können Lizenzen für einzelne Mitarbeiter und für komplette Active Directory Gruppen reserviert werden. Ein Konfigurations-Datensatz besteht aus folgenden Daten:
- Username / AD-Gruppe / IP-Adresse
- Minimale Anzahl an Lizenzen
- Maximale Anzahl an Lizenzen
Die minimale Anzahl an Lizenzen gibt an, wie viele Lizenzen für diesen Mitarbeiter (oder diese Gruppe, diese IP-Adresse) reserviert sind. Diese Mindestanzahl darf von niemand anders belegt werden. Die maximale Anzahl definiert, wie viele Lizenzen maximal von diesem Mitarbeiter werden dürfen. Eine Konfiguration von Minimum = 1 und Maximum = 1 legt fest, dass eine Lizenz exklusiv für diesen Mitarbeiter reserviert ist. Sie steht dem Mitarbeiter immer zur Verfügung.
Die Konfiguration kann für jede Lizenz (jedes Product Item) in einem CmContainer separat erstellt werden. Die Berechtigungen können ebenso global als Standardwerte für den ganzen Server vorgegeben werden. Auf einer Detailseite können alle Berechtigungen für einen Benutzernamen (bzw. eine Gruppe oder eine IP-Adresse) angezeigt und modifiziert werden.
Mit diesem Feature kann zum Beispiel eine Verteilung zwischen zwei Abteilungen realisiert werden. Es werden 10 Lizenzen einer Software angeschafft, die sowohl Vertrieb, als auch Support benötigen. Jeweils eine Lizenz wird den beiden Abteilungsleitern exklusiv zugewiesen. Der Gruppe Support sollen 5 Lizenzen und der Gruppe Vertrieb soll eine Lizenz garantiert sein. Die Konfiguration sieht wie folgt aus:
CodeMeter License Server – Access Privileges
User:rk@wibu.de; Minimum = 1; Maximum = 1
User:wv@wibu.de; Minimum = 1; Maximum = 1
Group:support@wibu.de; Minimum = 5; Maximum = 7
Group:sales@wibu.de; Minimum = 1; Maximum = 3
Die Erkennung des Benutzernamens und der Gruppenzugehörigkeit erfolgt automatisch durch CodeMeter, ohne spezielle Integration des ISVs. Wird der Benutzername mit einer für ihn definierten Regel gefunden, dann wird explizit diese verwendet und die Gruppenzugehörigkeiten dieses Benutzers ignoriert. Wird der Benutzername nicht in der Konfiguration gefunden, dann wird die erste gefundene Gruppe verwendet, zu der dieser Benutzer gehört. Mit diesem einfachen Regelwerk können nahezu alle Konfigurationen abgebildet werden.
KEYnote 27 – Frühjahrsausgabe 2014