Správa identit

Správa identit (IdM) má za úkol řídit informace o uživatelích v počítačích (online identita). Spravuje jejich autentizaci, role a hierarchie s cílem zvýšit zabezpečení a produktivitu a zároveň snížit náklady, prostoje a opakující se úkoly. V širším smyslu může IdM řídit i autorizaci a oprávnění uživatelů v rámci politik a technologií k zajištění toho, aby správní lidé v podniku měli odpovídající přístup k technologickým zdrojům (IAM koncept, který kombinuje obchodní procesy, politiky a technologie). Systémy pro správu identit patří do oblasti IT bezpečnosti a správy dat. IdM systémy identifikují a autentizují nejen uživatele IT zdrojů, ale také hardware a aplikace, k nimž mají uživatelé přístup. IdM se zabývá otázkami jako jak uživatelé získávají identitu a členství ve skupině (role), ochranou identity před zcizením (krádež identity) a technologiemi, které podporují tuto ochranu, řízením životního cyklu apod.

Rozsah IdM

Vývoj správy identit úzce sleduje vývoj informatiky a internetových technologií. V prostředí statických webových stránek a statických portálů na počátku 90. +more let minulého století zkoumaly korporace dodávku informačního webového obsahu, jako jsou bílé stránky zaměstnanců. Novější IdM aplikace mohou řídit celý životní cyklus online identit (dat) včetně synchronizací, implementace firemních politik atd. Funkce správy identit zasahují do následujících oblastí:.

* AAA protokoly - architektura v oblasti počítačové bezpečnosti, česky autentizační, autorizační a účtovací protokol * řízení přístupu * cloud computing * správa digitální identity (eIdentita), federované identity * software pro správu hesel a samoobslužné resetování hesla * automatizace pracovních postupů * provisioning uživatelských účtů * jednotná přihlášení a synchronizace hesel * bezpečnostní tokeny * Řízení přístupu na základě rolí (RBAC) včetně delegované správy * řízení rizik * adresářové služby * synchronizace, replikace metadat

Správa identit také řeší odvěký problém "N + 1", kde každá nová aplikace hrozí vznikem nových datových úložišť uživatelů. Součástí procesu identitního řízení je i schopnost centrálně spravovat spojování a oddělování jednotlivých identit a konsolidovat rozšiřování identitních úložišť.

Systémy správy identit

Termín Systém správy identit odkazuje na informační systém nebo na sadu technologií, které lze použít pro správu identit v podnikové síti nebo ve WAN sítích a na internetu. Jako synonyma se používají termíny Systém správy přístupu, Systém správy identit a přístupu, Systém správy oprávnění, Systém správy uživatelů apod.

Účelem systémů řízení identity je: * Ztotožnění: Kdo je uživatel - používá se při přihlášení nebo vyhledávání v databázi * Autentizace: Je to opravdu ten uživatel. Systémy potřebují důkaz. +more * Autorizace a neodmítnutelnost: Autorizace dokumentů nebo transakce pomocí nějakého eID systému, nejčastěji s digitálním podpisem na základě e-ID.

Mezi technologie, služby a podmínky týkající se správy identit patří Active Directory (Microsoft), adresáře X. +more500, LDAP/OpenLDAP, NetIQ eDirectory (totéž co NDS, NetWare Directory Services), virtuální adresáře, webové služby, správci hesel, jednotné přihlášení (SSO, Shibboleth, ADFS), bezpečnostní tokeny a služby (STS), pracovní postupy, protokoly jako Central Authentication Service, Extensible Provisioning Protocol, Network Information Service (NIS), WS-Security, WS-Trust, RBAC, XML Enabled Directory, Yadis.

Provisioning

Poskytovatel identity (Identity provider, zkráceně IdP) je entita informačního systému, která vytváří, udržuje a spravuje informace o identitě ověřených prvků systému (principál) a také poskytuje služby ověřování spoléhajícím se aplikacím v rámci federované nebo distribuované sítě. Poskytovatelé identity nabízejí ověřování uživatelů jako službu. +more Aplikace důvěřuajících stran, jako jsou webové aplikace, outsourcují krok ověření uživatele u důvěryhodného poskytovatele identity. O takové aplikaci poskytovatele služeb se říká, že je federovaná, to znamená, že spotřebovává federovanou identitu. Poskytovatel identity je „důvěryhodný poskytovatel, který umožňuje používat jednotné přihlášení (SSO) pro přístup k jiným webům nebo sítím. ” Jednotné přihlášení zlepšuje použitelnost tím, že snižuje únavu z mnoha hesel. Poskytuje také lepší zabezpečení tím, že snižuje plochu (počet vektorů) pro potenciální útok. Poskytovatelé identity mohou také usnadnit propojení uživatelů s cloudovými informačními zdroji tím, že sníží nutnost opětovného ověřování uživatelů v mobilních a roamingových aplikacích. Jako typy IdP jsou uváděny OpenID Connect (OIDC), MojeID, poskytovatel služeb SAML, OAuth, FIDO2/WebAuthn a pod.

Provisioning nebo také poskytování uživatelů se týká vytváření, údržby nebo deaktivace uživatelských účtů v systémech, adresářích nebo aplikacích, a to v reakci na automatizované nebo interaktivní obchodní procesy. Provisioning je tedy činnost poskytovatele identity. +more Například v lokální síti menší firmy se autentizace uživatelů může odehrávat v jednom systému a poskytování této informace se může redukovat na jednotné přihlášení (SSO, SAML).

Software poskytující data uživatelů může však zasahovat i další procesy: šíření změn, samoobslužné pracovní postupy (workflow), konsolidovaná správa uživatelů, delegovaná správa uživatelů a federovaná kontrola změn. Objekty uživatelů mohou představovat zaměstnance, smluvní strany, dodavatele, partnery, zákazníky a podobné příjemce služby. +more Služba může zahrnovat i elektronickou poštu, zahrnutí do veřejného adresáře uživatelů, přístup k databázi, přístup k síti nebo serveru atd. Poskytování uživatelů je zvláště užitečné v organizacích, kde mohou být uživatelé zastoupeni více objekty na více systémech a ve více instancích.

Poskytovatelé identit a služeb mohou tvořit federaci, příkladem je Česká akademická federace identit eduID, kterou provozuje sdružení CESNET.

Reference

Související články

Elektronický podpis * Access Control List * Deklarovaná identita (Claims-based identity) * Cestovní uživatelský profil * Uživatelský profil * E-SENS, část e-Identita * Mezinárodní standardní identifikátor jména (ISNI)

Externí odkazy

[url=https://www.zakonyprolidi.cz/cs/2017-250]250/2017 Sb. Zákon o elektronické identifikaci[/url], * [url=https://archi.gov.cz/nap:nia]Seznam poskytovatelů identity Min. vnitra[/url]

Kategorie:Řízení přístupu Kategorie:Počítačová bezpečnost