peccato che tu non abbia accesso alla parte di codice che genera il pdf

perche' e' il posto migliore per tracciare l'utente che fa la richiesta e - attraverso meccanismi come le sessioni - non permettergli piu' di un accesso al file.

Ad ogni modo lato server tu puoi far puntare l'ocx ad una pagina da te creata che a sua volta include la pagina non gestita da te.

In questa tua pagina fai i controlli del caso