Management identit Terminologie

DPS 1/2022 | Články
Autor: RNDr. Karel Jurák, Ph.D., Ing. Zuzana Nejezchlebová, CSc.

Následující článek je zaměřen na systémy managementu identit, tj. centralizovanou správu identit a přístupů pro střední a velké organizace.

Takový systém spravuje, organizuje a doručuje identifikační údaje. Dále zajišťuje udržování, poskytování, autorizaci a ověřování totožnosti (identity). Článek navazuje na předchozí terminologická témata: Identifikace osob a Elektronická identifikace, autentizace a důvěryhodné služby. Text rovněž vychází z článků české a anglické wikipedie.

Systém managementu identit je informační systém, který lze použít pro správu identit v síti organizace nebo v rozlehlých sítích (WAN) a na internetu. Používají se rovněž alternativní termíny:

systém správy identit a přístupů;
systém správy přístupů;
systém správy oprávnění;
systém správy uživatelů.

Základní termíny [24760-1]

Obecné termíny (general terms)

Entita (entity) se nachází uvnitř nebo vně systému ICT (Information and Communication Technologies) a je použitelná pro entitu, která má rozpoznatelně zřejmou existenci.
Identita (identity) je sadou atributů, které se vztahují na entitu (viz obr. 1).
Atribut (attribute) je charakteristika vlastnosti entity, která vhodně popisuje entitu pro systém managementu identit.
Identifikátor (identifier) jednoznačně rozlišuje jednu entitu od jiné entity v dané doméně.
Řízení přístupu (access control) je proces, při kterém je ověřována míra oprávnění a uživatelských práv při přístupu ke zdrojům.

Obr. 1 (jpg)

Identifikace (identification)

Identifikace (identification) je proces rozpoznání entity v konkrétní doméně jako odlišné od dalších entit.
Ověření (verification) je proces stanovení, že předložená informace o identitě související s konkrétní entitou, je aplikovatelná na konkrétní entitu, která je rozpoznávána v konkrétní doméně, v daném časovém okamžiku.
Doména (domain) je prostředí, kde lze pro entitu používat řadu atributů pro její identifikaci.

Autentizace identity (authenticating an identity)

Autentizace (authentication) je formalizovaný proces ověřování, který (pokud je úspěšný) má za výsledek autentizovanou identitu pro jistou entitu.

Klasifikace souvisejících termínů

Systémy managementu jsou dnes pro řadu organizací závazně certifikované [CQS]; příklady:

systémy managementu kvality (quality management systems) ‒ ČSN EN ISO 9001;
systémy řízení bezpečnosti informací (information security management systems) ‒ ČSN ISO/IEC 27001;
systémy správy identit (identity management systems) ‒ ISO/IEC 24760;
systémy managementu služeb (service management systems) ‒ ČSN ISO/IEC 20000-1.

Entitou, která je identifikována, může být:

fyzická osoba (natural person);
právnická osoba (legal person);
fyzická osoba zastupující právnickou osobu (natural person representing a legal person);
zařízení v rámci internetu věcí (internet of things).

Autentizační data/předměty (credentials) jsou reprezentací identity; příklady autentizace:

autentizace jménem uživatele a znalostí hesla (username and password);
autentizace vlastnictvím ‒ bezpečnostním předmětem, např. čipovou kartou (chipcard);
autentizace prokázáním vlastností ‒ např. otiskem prstu (fingerprint).

Fáze managementu identit a přístupů (viz obr. 2):

konfigurační fáze (configuration phase);
registrace identity uživatele (registration of user identity);
zajištění příslušného dokladu(ů) (provisioning of credential(s));
autorizace přístupu (access authorization);
provozní fáze (operational phase);
předložení identity uživatele (present user identity);
autentizace příslušným dokladem (authentication by credintial(s));
řízení přístupu (access control).

Obr. 2 (jpg)

Související legislativa:

Nařízení EU 2014/910 eIDAS, o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu. Jeho cílem je zajistit, aby u přístupu k přeshraničním on-line službám poskytovaným členskými státy byla možná bezpečná elektronická identifikace a autentizace.
COM/2021/281 je připravovaná změna k 2014/910, která vytváří rámec pro Evropskou digitální identitu (European digital identity).

Studium v oboru, např:

VŠE Praha, Fakulta informatiky a statistiky [VŠE].

Související normy:

ISO/IEC JTC 1/SC 27 WG5, Management identit a technologie soukromí (Identity management and privacy technologies)
ISO/IEC 24760, Informační technologie ‒ Bezpečnostní techniky ‒ Rámec pro management identit (Information technology ‒ Security techniques ‒ A framework for identity management)
Část 1: Terminologie a pojmy (Terminology and concepts) [24760-1];
Část 2: Referenční architektura a požadavky (Reference architecture and requirements);
Část 3: Praxe (Practice).

Vysvětlivky k souvisejícím termínům a zkratkám:

AMI Praha používá SW Oracle identity management (SUN Identity Manager/SUN Access Manager) při zavádění systémů managementu identity a managementu přístupu pro řadu organizací, např.: ČEZ, Magistrát hl. m. Prahy, Pražská plynárenská a. s., Telefonica O2 Slovakia.
Digitální identita (digital identity) je informace o entitě používaná počítačovými systémy pro reprezentaci vnějšího agenta. Tímto agentem může být osoba, organizace, aplikace nebo zařízení.
Identity Manager je SW nástroj, který zajišťuje management identit.
Biometrické průkazy totožnosti (nové občanské průkazy) musí obsahovat zobrazení obličeje držitele průkazu a dva otisky prstů.
Role (role) v informační technologii určuje rozsah povolených činností uživatele v informačním systému.
Soukromí (privacy) je schopnost jednotlivce nebo skupiny se izolovat nebo skrývat informace o sobě.
Sun Identity Manager umožňuje implementaci centrální správy identit a rolí v rozsáhlé skupině organizací, kde je např. připojeno 10 typových systémů, řízeno 40 000 účtů a 100 000 rolí [AMI].
Uživatelský profil je v informatice souhrn dat, která reprezentují uživatele (v počítači, na sociální síti atp.).
Systém jednotného přihlášení (single sign on, SSO) dovoluje uživatelům jedno přihlášení pro získání přístupu k informačním zdrojům z více systémů, bez opakovaného přihlašování.