Management identit Terminologie

Následující článek je zaměřen na systémy managementu identit, tj. centralizovanou správu identit a přístupů pro střední a velké organizace.

Takový systém spravuje, organizuje a doručuje identifikační údaje. Dále zajišťuje udržování, poskytování, autorizaci a ověřování totožnosti (identity). Článek navazuje na předchozí terminologická témata: Identifikace osob a Elektronická identifikace, autentizace a důvěryhodné služby. Text rovněž vychází z článků české a anglické wikipedie.

Systém managementu identit je informační systém, který lze použít pro správu identit v síti organizace nebo v rozlehlých sítích (WAN) a na internetu. Používají se rovněž alternativní termíny:

• systém správy identit a přístupů;
• systém správy přístupů;
• systém správy oprávnění;
• systém správy uživatelů.

Základní termíny [24760-1]

Obecné termíny (general terms)

• Entita (entity) se nachází uvnitř nebo vně systému ICT (Information and Communication Technologies) a je použitelná pro entitu, která má rozpoznatelně zřejmou existenci.
• Identita (identity) je sadou atributů, které se vztahují na entitu (viz obr. 1).
• Atribut (attribute) je charakteristika vlastnosti entity, která vhodně popisuje entitu pro systém managementu identit.
• Identifikátor (identifier) jednoznačně rozlišuje jednu entitu od jiné entity v dané doméně.
• Řízení přístupu (access control) je proces, při kterém je ověřována míra oprávnění a uživatelských práv při přístupu ke zdrojům.

Identifikace (identification)

• Identifikace (identification) je proces rozpoznání entity v konkrétní doméně jako odlišné od dalších entit.
• Ověření (verification) je proces stanovení, že předložená informace o identitě související s konkrétní entitou, je aplikovatelná na konkrétní entitu, která je rozpoznávána v konkrétní doméně, v daném časovém okamžiku.
• Doména (domain) je prostředí, kde lze pro entitu používat řadu atributů pro její identifikaci.

Autentizace identity (authenticating an identity)

• Autentizace (authentication) je formalizovaný proces ověřování, který (pokud je úspěšný) má za výsledek autentizovanou identitu pro jistou entitu.

Klasifikace souvisejících termínů

Systémy managementu jsou dnes pro řadu organizací závazně certifikované [CQS]; příklady:

• systémy managementu kvality (quality management systems) ‒ ČSN EN ISO 9001;
• systémy řízení bezpečnosti informací (information security management systems) ‒ ČSN ISO/IEC 27001;
• systémy správy identit (identity management systems) ‒ ISO/IEC 24760;
• systémy managementu služeb (service management systems) ‒ ČSN ISO/IEC 20000-1.

Entitou, která je identifikována, může být:

• fyzická osoba (natural person);
• právnická osoba (legal person);
• fyzická osoba zastupující právnickou osobu (natural person representing a legal person);
• zařízení v rámci internetu věcí (internet of things).

Autentizační data/předměty (credentials) jsou reprezentací identity; příklady autentizace:

• autentizace jménem uživatele a znalostí hesla (username and password);
• autentizace vlastnictvím ‒ bezpečnostním předmětem, např. čipovou kartou (chipcard);
• autentizace prokázáním vlastností ‒ např. otiskem prstu (fingerprint).

Fáze managementu identit a přístupů (viz obr. 2):

• konfigurační fáze (configuration phase);
• registrace identity uživatele (registration of user identity);
• zajištění příslušného dokladu(ů) (provisioning of credential(s));
• autorizace přístupu (access authorization);
• provozní fáze (operational phase);
• předložení identity uživatele (present user identity);
• autentizace příslušným dokladem (authentication by credintial(s));
• řízení přístupu (access control).

Související legislativa:

• Nařízení EU 2014/910 eIDAS, o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu. Jeho cílem je zajistit, aby u přístupu k přeshraničním on-line službám poskytovaným členskými státy byla možná bezpečná elektronická identifikace a autentizace.
• COM/2021/281 je připravovaná změna k 2014/910, která vytváří rámec pro Evropskou digitální identitu (European digital identity).

Studium v oboru, např:

• VŠE Praha, Fakulta informatiky a statistiky [VŠE].

Související normy:

• ISO/IEC JTC 1/SC 27 WG5, Management identit a technologie soukromí (Identity management and privacy technologies)
• ISO/IEC 24760, Informační technologie ‒ Bezpečnostní techniky ‒ Rámec pro management identit (Information technology ‒ Security techniques ‒ A framework for identity management)
• Část 1: Terminologie a pojmy (Terminology and concepts) [24760-1];
• Část 2: Referenční architektura a požadavky (Reference architecture and requirements);
• Část 3: Praxe (Practice).

Vysvětlivky k souvisejícím termínům a zkratkám:

• AMI Praha používá SW Oracle identity management (SUN Identity Manager/SUN Access Manager) při zavádění systémů managementu identity a managementu přístupu pro řadu organizací, např.: ČEZ, Magistrát hl. m. Prahy, Pražská plynárenská a. s., Telefonica O2 Slovakia.
• Digitální identita (digital identity) je informace o entitě používaná počítačovými systémy pro reprezentaci vnějšího agenta. Tímto agentem může být osoba, organizace, aplikace nebo zařízení.
• Identity Manager je SW nástroj, který zajišťuje management identit.
• Biometrické průkazy totožnosti (nové občanské průkazy) musí obsahovat zobrazení obličeje držitele průkazu a dva otisky prstů.
• Role (role) v informační technologii určuje rozsah povolených činností uživatele v informačním systému.
• Soukromí (privacy) je schopnost jednotlivce nebo skupiny se izolovat nebo skrývat informace o sobě.
• Sun Identity Manager umožňuje implementaci centrální správy identit a rolí v rozsáhlé skupině organizací, kde je např. připojeno 10 typových systémů, řízeno 40 000 účtů a 100 000 rolí [AMI].
• Uživatelský profil je v informatice souhrn dat, která reprezentují uživatele (v počítači, na sociální síti atp.).
• Systém jednotného přihlášení (single sign on, SSO) dovoluje uživatelům jedno přihlášení pro získání přístupu k informačním zdrojům z více systémů, bez opakovaného přihlašování.

Literatura:

[CQS] Certifikace systémů managementu (ISO/IEC 27001, ISO/IEC 20000-1, ISO 9001), https://www.cqs.cz/

[VŠE] Správa identit a řízení přístupů v organizaci, Dipl. práce, 2020.

Služby/produkty pro management identit nabízí např.:

• [AMI] AMI Praha a.s., https://www.ami.cz/;
• [BCV] BCV solutions s.r.o., https://www.bcvsolutions.eu/;
• Newps.cz, https://www.newps.cz/;
• [Oracle] Oracle Corporation, zakoupil Sun Microsystems, Inc., https://www.oracle.com/cz/middleware/technologies/identitymanagement-downloads.html.

[24760-1] ISO/IEC 24760-1, info, https://www.iso.org/obp/ui/#iso:std:iso-iec:24760:-1:ed-2:v1:en

[csWiki] csWikipedia:

• Správa identit
• Sun Microsystems

[DPS-AZ]

• Identifikace osob: klasifikace a terminologie, DPS-AZ, 2/2014
• Elektronická identifikace, autentizace a důvěryhodné služby, DPS-AZ, 1/2018

[enWiki]

• Access control
• Digital identity
• Federated identity
• Identity management
• Identity management system
• Oracle Identity Management

[WikiComm] Wikimedia Commons: (obr. 1, 2)

• File: Identity-concept.svg, autor: Adun Josang
• File: Fig-IAM-phases.png, autor: Josang