česky english Vítejte, dnes je úterý 28. květen 2024

Management identit Terminologie

DPS 1/2022 | Články
Autor: RNDr. Karel Jurák, Ph.D., Ing. Zuzana Nejezchlebová, CSc.

Následující článek je zaměřen na systémy managementu identit, tj. centralizovanou správu identit a přístupů pro střední a velké organizace.

Takový systém spravuje, organizuje a doručuje identifikační údaje. Dále zajišťuje udržování, poskytování, autorizaci a ověřování totožnosti (identity). Článek navazuje na předchozí terminologická témata: Identifikace osob a Elektronická identifikace, autentizace a důvěryhodné služby. Text rovněž vychází z článků české a anglické wikipedie.

Systém managementu identit je informační systém, který lze použít pro správu identit v síti organizace nebo v rozlehlých sítích (WAN) a na internetu. Používají se rovněž alternativní termíny:

  • systém správy identit a přístupů;
  • systém správy přístupů;
  • systém správy oprávnění;
  • systém správy uživatelů.

Základní termíny [24760-1]

Obecné termíny (general terms)

  • Entita (entity) se nachází uvnitř nebo vně systému ICT (Information and Communication Technologies) a je použitelná pro entitu, která má rozpoznatelně zřejmou existenci.
  • Identita (identity) je sadou atributů, které se vztahují na entitu (viz obr. 1).
  • Atribut (attribute) je charakteristika vlastnosti entity, která vhodně popisuje entitu pro systém managementu identit.
  • Identifikátor (identifier) jednoznačně rozlišuje jednu entitu od jiné entity v dané doméně.
  • Řízení přístupu (access control) je proces, při kterém je ověřována míra oprávnění a uživatelských práv při přístupu ke zdrojům.

Obr. 1  (jpg)

Identifikace (identification)

  • Identifikace (identification) je proces rozpoznání entity v konkrétní doméně jako odlišné od dalších entit.
  • Ověření (verification) je proces stanovení, že předložená informace o identitě související s konkrétní entitou, je aplikovatelná na konkrétní entitu, která je rozpoznávána v konkrétní doméně, v daném časovém okamžiku.
  • Doména (domain) je prostředí, kde lze pro entitu používat řadu atributů pro její identifikaci.

Autentizace identity (authenticating an identity)

  • Autentizace (authentication) je formalizovaný proces ověřování, který (pokud je úspěšný) má za výsledek autentizovanou identitu pro jistou entitu.

Klasifikace souvisejících termínů

Systémy managementu jsou dnes pro řadu organizací závazně certifikované [CQS]; příklady:

  • systémy managementu kvality (quality management systems) ‒ ČSN EN ISO 9001;
  • systémy řízení bezpečnosti informací (information security management systems) ‒ ČSN ISO/IEC 27001;
  • systémy správy identit (identity management systems) ‒ ISO/IEC 24760;
  • systémy managementu služeb (service management systems) ‒ ČSN ISO/IEC 20000-1.

Entitou, která je identifikována, může být:

  • fyzická osoba (natural person);
  • právnická osoba (legal person);
  • fyzická osoba zastupující právnickou osobu (natural person representing a legal person);
  • zařízení v rámci internetu věcí (internet of things).

Autentizační data/předměty (credentials) jsou reprezentací identity; příklady autentizace:

  • autentizace jménem uživatele a znalostí hesla (username and password);
  • autentizace vlastnictvím ‒ bezpečnostním předmětem, např. čipovou kartou (chipcard);
  • autentizace prokázáním vlastností ‒ např. otiskem prstu (fingerprint).

Fáze managementu identit a přístupů (viz obr. 2):

  • konfigurační fáze (configuration phase);
  • registrace identity uživatele (registration of user identity);
  • zajištění příslušného dokladu(ů) (provisioning of credential(s));
  • autorizace přístupu (access authorization);
  • provozní fáze (operational phase);
  • předložení identity uživatele (present user identity);
  • autentizace příslušným dokladem (authentication by credintial(s));
  • řízení přístupu (access control).

Obr. 2 (jpg)

Související legislativa:

  • Nařízení EU 2014/910 eIDAS, o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu. Jeho cílem je zajistit, aby u přístupu k přeshraničním on-line službám poskytovaným členskými státy byla možná bezpečná elektronická identifikace a autentizace.
  • COM/2021/281 je připravovaná změna k 2014/910, která vytváří rámec pro Evropskou digitální identitu (European digital identity).

Studium v oboru, např:

  • VŠE Praha, Fakulta informatiky a statistiky [VŠE].

Související normy:

  • ISO/IEC JTC 1/SC 27 WG5, Management identit a technologie soukromí (Identity management and privacy technologies)
  • ISO/IEC 24760, Informační technologie ‒ Bezpečnostní techniky ‒ Rámec pro management identit (Information technology ‒ Security techniques ‒ A framework for identity management)
  • Část 1: Terminologie a pojmy (Terminology and concepts) [24760-1];
  • Část 2: Referenční architektura a požadavky (Reference architecture and requirements);
  • Část 3: Praxe (Practice).

Vysvětlivky k souvisejícím termínům a zkratkám:

  • AMI Praha používá SW Oracle identity management (SUN Identity Manager/SUN Access Manager) při zavádění systémů managementu identity a managementu přístupu pro řadu organizací, např.: ČEZ, Magistrát hl. m. Prahy, Pražská plynárenská a. s., Telefonica O2 Slovakia.
  • Digitální identita (digital identity) je informace o entitě používaná počítačovými systémy pro reprezentaci vnějšího agenta. Tímto agentem může být osoba, organizace, aplikace nebo zařízení.
  • Identity Manager je SW nástroj, který zajišťuje management identit.
  • Biometrické průkazy totožnosti (nové občanské průkazy) musí obsahovat zobrazení obličeje držitele průkazu a dva otisky prstů.
  • Role (role) v informační technologii určuje rozsah povolených činností uživatele v informačním systému.
  • Soukromí (privacy) je schopnost jednotlivce nebo skupiny se izolovat nebo skrývat informace o sobě.
  • Sun Identity Manager umožňuje implementaci centrální správy identit a rolí v rozsáhlé skupině organizací, kde je např. připojeno 10 typových systémů, řízeno 40 000 účtů a 100 000 rolí [AMI].
  • Uživatelský profil je v informatice souhrn dat, která reprezentují uživatele (v počítači, na sociální síti atp.).
  • Systém jednotného přihlášení (single sign on, SSO) dovoluje uživatelům jedno přihlášení pro získání přístupu k informačním zdrojům z více systémů, bez opakovaného přihlašování.

Literatura:

[CQS] Certifikace systémů managementu (ISO/IEC 27001, ISO/IEC 20000-1, ISO 9001), https://www.cqs.cz/

[VŠE] Správa identit a řízení přístupů v organizaci, Dipl. práce, 2020.

Služby/produkty pro management identit nabízí např.:

[24760-1] ISO/IEC 24760-1, info, https://www.iso.org/obp/ui/#iso:std:iso-iec:24760:-1:ed-2:v1:en

[csWiki] csWikipedia:

  • Správa identit
  • Sun Microsystems

[DPS-AZ]

  • Identifikace osob: klasifikace a terminologie, DPS-AZ, 2/2014
  • Elektronická identifikace, autentizace a důvěryhodné služby, DPS-AZ, 1/2018

[enWiki]

  • Access control
  • Digital identity
  • Federated identity
  • Identity management
  • Identity management system
  • Oracle Identity Management

[WikiComm] Wikimedia Commons: (obr. 1, 2)

  • File: Identity-concept.svg, autor: Adun Josang
  • File: Fig-IAM-phases.png, autor: Josang