Novinky

Více než 30 IDM realizací v České republice i zahraničí

AMI Praha Slovník – průvodce identity managementem
Slovník – průvodce identity managementem

Slovník – průvodce identity managementem

ABAC, Attribute-Based Access Control

Atributově řízený přístup ke zdrojům; například uživateli je přidělen účet na informačním systému na základě jeho oddělení.

Access Management

Služba, která poskytuje autentizaci, autorizaci, kontrolu a vynucování politiky nad firemními systémy.

Atestace

Proces, při němž je potvrzena uživatelská identita z pohledu přiřazených oprávnění.

Atribut identity

Vlastnost svázaná s určitou osobou. Může to být telefonní číslo, adresa trvalého bydliště, emailová adresa a další detaily. Zpravidla existují pravidla, jak s takovými atributy zacházet, ať už na podnikové úrovni (běžné obchodní praktiky), nebo vládní (Zákon na ochranu osobních informací).

Autentizace

Ověření uživatele pomocí přihlašovacích údajů, typicky jména a hesla.

Autoritativní zdroj

Systém, či přesněji systémové úložiště, které slouží jako zdroj informací o definovaných atributech identity. Rozdílné atributy identity mohou mít rozdílné autoritativní zdroje. Příklad: personální systém je autoritativním zdrojem pro osobní informace o zaměstnanci.

Autorizace

Bezpečnostní mechanismus, který povoluje nebo odpírá přístupová práva k firemním zdrojům, jako jsou aplikace, soubory a data.

Autorizační audit

Proces, který poskytuje přehled o oprávněních napříč celou firmou. Autorizační audit může být komplexní – zobrazuje všechny přístupy do všech systémů, ale obecně se používá spíše ke zjištění kdo má přístup k určitému zdroji (informačnímu systému), nebo k jakým zdrojům má určitá osoba přístup.

BYOD, Bring Your Own Device

Bezpečnostní politika, umožňující pracovníkům používat k pracovním účelům soukromá zařízení. Obsahuje bezpečnostní rizika vyplývající z prostředí, které nemá firma plně pod kontrolou. Souvisí s MDM a MIM.

BYOID, Bring Your Own Identity

Přístup v řízení identit, umožňující (zpravidla zákazníkům) přistupovat k chráněným zdrojům identitou vydanou jiným Identity Providerem (příklad: přihlašování účtem z Facebooku, Googlu, Yahoo). Viz Federace, OpenID, OAuth.

Cloud Service Provider

Poskytovatel služby, který nabízí kapacitu nebo softwarovou službu dostupnou jako hostované řešení nebo on-premises v privátním cloudu (dedikovaný hosting jen pro potřeby zákazníka).

Credential

Přístupové údaje, kterými uživatel ověřuje svoji identitu. Příklady credential: uživatelské jméno, uživatelské heslo, PIN ke kartě, SMS token, smartcard, hardwarový klíč.

Deprovisioning

Odebrání identity uživatele z úložiště identit a účtů uživatele ze systémů a služeb (například, když někdo opouští firmu). Tato akce odstraní zároveň uživatelská oprávnění, která v průběhu své existence identita získala. Klíčový prvek v životním cyklu identit z pohledu bezpečnosti.

Digitální identita

viz Identita.

Dvoufaktorová autentizace

Nejrozšířenější případ vícefaktorové autentizace (MFA) pro dva faktory. Typicky se používá uživatelské heslo + jednorázové heslo (OTP).

Entita

Pojem se širokým záběrem, obecný význam je objekt (osoba, zvíře, věc či jev). V prostředí identity and access managementu tím je zpravidla míněna buď osoba ve vztahu k informačnímu systému, organizační jednotka, či objekt oprávnění.

Entitlement

Schopnost nebo nárok přistupovat ke službě či zdroji. Příklad: nový zaměstnanec má nárok (entitlement) na přístup k firemnímu emailu. Ten je mu však přidělen až poté, co je založen v informačních systémech (proběhne provisioning) a jsou mu nastavena patřičná oprávnění.

Federace

Vztah důvěry mezi poskytovateli identit (identity provider) a poskytovateli služeb (service provider), který umožňuje výměnu informací. Umožňuje uživateli přihlásit se k službě použitím identity providera, kde již má účet, čímž se zvyšuje uživatelský komfort. Například, Facebook Connect umožňuje uživatelům přihlásit se na různé webové služby použitím Facebook účtu. Viz BYOID.

IaaS, Infrastructure as a Service

Způsob řízení IT zdrojů, ve kterém společnost outsourcuje část své IT infrastruktury poskytovateli služeb, který se o ní stará. Příklady outsourcingu z této kategorie: virtualizace desktopů, Internetové připojení, administrativní úkony.

IAM, Identity and Access Management

Řešení obalující informační systémy, které zajišťuje autentizaci, autorizaci a SSO uživatelů. Taktéž dovoluje společnostem řídit a kontrolovat bezpečnost těchto přístupů (kdo má kam přístup a proč, kdo kdy kam přistoupil). Viz Identity management a Access management.

IAMaaS, Identity and Access Management as a Service

Způsob řízení IT zdrojů, ve kterém společnost outsourcuje IAM poskytovateli služeb, který se o ní stará. Poskytovatel je zde odpovědný za fyzické zabezpečení řešení.

IDaaS, Identity as a Service

Řešení z IAM oblasti, ve kterém společnost outsourcuje autentizaci a SSO poskytovateli služeb, který tuto část infrastruktury následně spravuje.

Identifikace

Proces sběru a vyhodnocení osobních informací z důvodu ověření uživatele. Příkladem je ověření osoby v oddělení lidských zdrojů, které následně ověřené údaje zapíše do repository identit. Úspěšná identifikace je prerekvizitou registrace.

Identifikátor

Štítek (jméno, zaměstnanecké číslo nebo jiný text), který dává určité osobě označení. Toto označení zjednodušuje identifikaci, kdo co dělá nebo používá. Například: označení „Karel Novák“ může být přiřazení emailu int001@spolecnost.cz. Osoby mohou mít identifikátorů více, což se může pro různé případy ukázat jako prospěšné.

Identita

Sada atributů (viz Atributy identity), které jsou udržované identity providerem a přidružené k určité osobě.

Identity management, správa identit

Integrovaný systém sestávající z business pravidel, procesů a technologií, který umožňuje organizaci kontrolovat přístup k interním a externím zdrojům (informačním systémům, službám a zařízením), včetně ochrany citlivých data před neautorizovaným přístupem. Zahrnuje škálu řešení, která vzájemně spolupracují s cílem spravovat autentizaci, přístupová práva a omezení, profily, hesla a další atributy, které jsou svázána s uživatelem.

Identity provider, IdP

Též poskytovatel identity. Služba, která vytváří vztah mezi uživateli a service providery a zprostředkovává transakce dat mezi nimi. Díky tomuto mohou service provideři využívat přihlašovacích údajů identity providera, místo toho, aby si service provideři vytvářeli vlastní nové záznamy pro každého nového uživatele.

Jednofaktorová autentizace

Ověření uživatele pouze jedním autentizačním prostředkem – typicky jménem a heslem.

Level of Assurance, LoA (doslova „míra jistoty“)

Stupeň jistoty, s jakým byl uživatel správně identifikován na základě svých přihlašovacích údajů. V této oblasti vznikají nové standardy, jako je americký NIST 800-63.

MDM, Mobile Device Management

Správa mobilních zařízení. Uplatňuje se tam, kde je potřeba řízeného prostředí pro běh aplikací a přístup k datům. Zpravidla je řešeno softwarově, například virtualizovaným prostředím v mobilním zařízení.

MFA, Multi-factor authentization

viz Vícefaktorová autentizace.

MIM, Mobile Identity Management

Správa identit v mobilních zařízeních, kde SIM karta funguje jako nástroj identifikace. Mobilní identita umožňuje svázání autentizace s podepisováním transakcí pro online bankovnictví, potvrzení plateb, korporátní služby a online obsah.

Nástup nového zaměstnance, Onboarding

Proces zavedení nového zaměstnance do korporátního systému řízení identit a oprávnění (IAM).

OAuth

Otevřený standard pro autorizaci, který umožňuje jistým aplikacím přistupovat programově ke zdrojům v informačním systému jménem koncového uživatele. Například v případě Facebooku nebo Google účtu tento mechanismus umožňuje uživateli zvolit, ke kterým informacím daného účtu uživatele má aplikace třetí strany přístup.

Odchod zaměstnance

Proces odstranění uživatele z korporátního IAM systému. Identity and Access management systém zde zajišťuje definovaný stupeň jistoty, že uživatel pozbyl svá přidělená oprávnění a je korektně odebrán z informačních systémů společnosti.

Offboarding

viz Odchod zaměstnance.

Onboarding

viz Nástup nového zaměstnance.

On-demand software

Služba poskytující software na vyžádání, viz SaaS.

On-premises

Kapacita, nebo softwarová služba, která je provozovaná v prostorách zákazníka (premise = budova, on-premises = v budovách). Původní – a dnes stále dominantní – způsob provozování. Je postupně doplňován a nahrazován provozováním v cloudu.

OpenID

Standardizovaná metoda decentralizované autentizace. Jedná se o otevřenou podobu správy federované identity (viz Federace).

OTP, One-Time Password

Jednorázové heslo. Heslo, které je platné pro jedno přihlášení. Může být časově omezené nebo předgenerováno dopředu z řady hesel. Příkladem je  Google Authenticator (OTP přes aplikaci) nebo OTP pomocí SMS kódu, který zasílá server.

Outsourcing

Vyčlenění různých podpůrných a vedlejších činností a svěření smluvně jiné společnosti čili subkontraktorovi, specializovanému na příslušnou činnost. Jedná se o druh dělby práce, kdy činnost není zajišťována vlastními zaměstnanci firmy, nýbrž na základě smlouvy.

PaaS, Platform as a Service

Služba, jejímž účelem je umožnit zákazníkovi vytvářet vlastní online aplikace. Poskytovatel PaaS služby (PaaS provider) dává zákazníkům nástroje a knihovny nezbytné pro vývoj těchto aplikaci. Obvykle je takto aplikace vytvořena rychleji a jednodušeji, než kdyby si ji zákazník vyvíjel od základu sám.

Persona (latinsky „maska“)

Digitální identita, kterou si uživatel může zvolit, aby jej reprezentovala v určitém kontextu. Například, IT pracovník může mít přístup k digitálním identitám „uživatel“ a „administrátor“. Zatímco identita „administrátor“ dává IT pracovníkovi schopnost jednat jako administrátor v definovaném rozsahu, identita „uživatel“ mu umožňuje pracovat na úrovni běžných uživatelů. Tyto různé digitální identity mají i různé přihlašovací údaje. Dalším důvodem pro zavedení person může být snaha zabránit administrativním přehmatům, kdy privilegovaní uživatelé používají běžně své uživatelské persony, a pouze pro administrativní úkony se přehlásí do jiné persony – digitální identity.

Poskytovatel služby

V kontextu autentizace a autorizace systém, na kterém uživatelé konzumují službu. Poskytovatel služby udržuje vztah důvěry s poskytovatelem identity.

Privilegium, výsada

Konstrukt, který zrychluje a zjednodušuje řízení přístupů. Privilegia umožňují entitám mít určené pravomoce v rámci infrastruktury. Tato privilegia jsou obvykle definována entitlementy (viz Entitlement) a přístupovými politikami aplikací.

Příklad použití: představme si systémové privilegium, které umožňuje uživatelům s rolí „Business analytik“ vydávat faktury do výše 100.000 Kč v rámci aplikace „Účetnictví“. Tato akce však musí nastat během pracovní doby, ale ne během 3 dní před čtvrtletní uzávěrkou.

Výraz použitý pro toto privilegium bude mít formu: „identita s danými atributy/rolí“ smí zavolat danou „metodu“ nad definovaným „objektem“ za „určitých okolností“, které nejsou v rozporu s „jinými okolnostmi“.

Privilege management

viz Správa privilegií.

Privileged Identity Management (PIM)

IAM řešení, které se specializuje na privilegované účty v aplikacích a operačních systémech – root, Administrator. Součástí řešení je důsledný monitoring činnosti uživatelů tak, aby bylo možné prokázat provedené akce, s cílem zajistit nepopiratelnost aktivity daného uživatele.

Prokázání identity

Proces, kterým je fyzická osoba (entita) svázána se svou digitální identitou. Toto může být zajištěno například ve fázi registrace, kdy dotyčná osoba odešle kopii svého pasu nebo řidičského průkazu.

Provisioning

Obvykle automatizovaný proces, který zajišťuje, že uživatelé se správnými oprávněními (viz Entitlement) získají přístup k požadovanému systému nebo službě. Během provisioningu typicky vzniká účet v informačním systému a jsou nastaveny jeho atributy. Opačná aktivita se nazývá deprovisioning.

RAdAC, Risk-Adaptable Access Control

Pokročilý model řízení přístupu, kde rozhodnutí o poskytnutí nebo zamítnutí požadavku na přístup k systému nebo službě závisí na dynamickém posouzení rizik. RAdAC je systém na řízení privilegií a může být implementován například pomocí XACML protokolu.

Příklad použití RAdACu: v prostředí lokální sítě je administrátorovi umožněno hlásit se k informačnímu systému pomocí jména a hesla. Pokud však přistupuje z vnějšího prostředí, nebo mimo pracovní dobu, je vyžadována dvoufaktorová autentizace.

RBAC, Role-Based Access Control

Model, ve kterém jsou uživateli přiřazeny role, které mu dávají určitý stupeň přístupu ke zdroji. Přiřazení role garantuje uživateli definovanou sadu entitlementů (nároků na oprávnění), které jsou přiřazeny buď automaticky, nebo po splnění určité podmínky, nebo na základě schválení odpovědnými osobami. Výhodou modelu RBAC je znovupoužitelnost přidělených rolí a možnost definování atributů role – např. popis.

Recertifikace

Proces znovuspuštění schvalovacích workflow nad skupinou oprávnění, za účelem potvrzení aktuálnosti a oprávněnosti těchto oprávnění. Používá se tam, kde existuje méně formální dohled nad identitami, například u dodavatelů.

Remediace

Proces vypořádání se s nálezy z auditních reportů. Do remediace se dostanou výjimky z firemních pravidel. Protože řešení těchto výjimek je mimo hranice remediace, označí remediátor výjimku buď za vyřízenou (a příště se znovu zkontroluje shoda) nebo za akceptovanou (pak je prostě přeskakována).

Registrace

Proces, který poskytuje uživatelům elektronické přihlašovací údaje a váže jejich identitu k dané službě. Tento proces může obsahovat i ověření pravosti identity uživatele (viz Identifikace).

Repozitář (repository) identit

Systém, vyčleněný jako úložiště dat pro IAM systém. Obsahuje digitální identity, jejich atributy a přidělená oprávnění. Typicky se jedná o relační nebo hierarchickou databázi. Korporátní infrastruktura pak repozitář identit využívá jako zdroj autentizace a autorizace.

Reset hesla

Proces, kterým si uživatel mění vlastní heslo. Cílem této samoobslužné funkce je redukovat čas, který věnují IT administrátoři odpovídáním na žádosti o podporu. Reset hesla se obvykle odehrává v prostředí prohlížeče a umožňuje uživateli znovunastavit své zapomenuté heslo po správném zodpovězení otázek, které ověřují identitu uživatele.

Role

Samostatná entita, která nese oprávnění do aplikace (viz Entitlement) nebo označuje skupinu uživatelů (pokud skupina definuje uživatele s úmyslem zajistit jim stejnou sadu privilegií). Role je základ autorizace v moderních informačních systémech. Výhodou role je znovupoužitelnost a možnost přiřadit roli další atributy, čímž je zvýšena srozumitelnost pro koncového uživatele. Viz RBAC.

Skupina, Group

Softwarově vytvořená skupina, která umožňuje správu různých identit jednou kategorií. Skupiny se používají například na definici rolí a jiných příslušností.  Skupiny zjednodušují řízení přístupu. Příklady skupin jsou: seznam e-mailových adres v rámci jednoho newsletteru, seznam lidí, kteří smějí vstoupit do budovy. Skupiny je možné hierarchicky vnořovat, příkladem může být organizační struktura.

SaaS, Software as a Service

Model, ve kterém běh softwaru je outsourcován na cloudový server. Software je zpravidla přístupný přes webový prohlížeč, ale není to podmínka. Software a data s ním spojená jsou hostována v cloudu. Někdy je tento model též označován jako „on-demand software“, software na vyžádání.

SAML, Security Assertion Markup Language

Standard pro výměnu informací o uživateli ve federovaném prostředí mezi poskytovatelem identity a poskytovatelem služby, se zaměřením na autentizaci, autorizaci a uživatelské atributy. Příklad použití: přihlášení na webovou stránku pomocí Facebookového účtu. Standard je založený na XML. Viz Federace.

SCIM, System for Cross-domain Identity Management

Standard rozhraní pro identity management v aplikacích v cloudu.

Security principal

Entita, která může být autentizována počítačem, nebo sítí. Může se jednat o uživatelský účet, počítačový účet, výpočetní vlákno nebo výpočetní proces. Obecný termín je „principal“, „security principal“ je pojem ze světů Javy a Microsoftu.

Service provider

viz Poskytovatel služby.

Session

Relace, která nastane mezi dvěma entitami, které si vyměňují informace. V rámci session tečou mezi těmito entitami data. Důležitou součástí session je délka jejího trvání (ůplatnosti), která může být uměle omezena pro zabránění zneužití session, a tvrzení o jedné nebo druhé entitě, účastnící se relace.

SSO, Single Sign-On

Model služby, ve kterém se uživatel přihlásí k jednomu systému nebo službě, na základě čehož získá automatické přihlášení do jiných aplikací. Tento přístup může být časově omezený. V tomto modelu uživatel používá pouze jednu sadu přihlašovacích údajů (nemusí si tedy například pamatovat heslo do každé aplikace zvlášť). Single Sign-On do webových aplikací se nazývá „Web SSO“ a je nejznámějším případem SSO.

SPML, Service Provisioning Markup Language

Standard, založený na XML, který umožňuje zapojeným stranám vyměňovat si informace o uživatelích, zdrojích a službách. Používá se převážně v on-premises systémech.

Správa privilegií

Systém, který umožňuje vlastníkovi informačního systému (obecně zdroje) modifikovat nebo přiřazovat politiky v souladu s korporátními politikami a obchodními praktikami. Správně nastavený systém pro správu privilegií (privilege management system) vyžaduje previzní kooperaci mezi vlastníky informačních systémů, správci korporátních politik a systémovými architekty.

Správa životního cyklu identity

Sada procesů, které vytváří a spravují digitální identity. Správa životního cyklu se obvykle sestává ze synchronizace, zakládání (provisioningu) a rušení (deprovisioningu) uživatelských účtů a správy technologií, které zpracovávají uživatelská data identity.

Správce rolí

Určená odpovědná osoba na pozici metodika. Jeho starost je, aby každá vytvořená role odpovídala business požadavkům.

Synchronizace identit

Proces, kterým je úložiště identit (repozitář, repozitory) synchronizováno s databází daného informačního systému za účelem zajištění konzistence a aktuálnosti veškerých dat všech identit.

TFA, Two-Factor Authentization

viz Dvoufaktorová autentizace.

Vícefaktorová autentizace (MFA)

Způsob ověření uživatele při autentizaci vůči systému nebo službě vícero na sobě nezávislými faktory. Obecně sestává z něčeho, co uživatel zná (heslo, osobní údaje), něčeho co uživatel má v držení (hardwarový token, mobilní telefon, občanský průkaz) a něčeho, co reprezentuje fyzickou identitu uživatele (otisk prstu, sken sítnice, hlas, DNA).

eXtensible Access Control Markup Language (XACML)

Standard pro autorizaci, založený na XML, používaný se záměrem zlepšit interoperability mezi různými dodavateli řešení a uživatelský komfort.