Správa identit
Správa identit (IdM) má za úkol řídit informace o uživatelích v počítačích (online identita). Spravuje jejich autentizaci, role a hierarchie s cílem zvýšit zabezpečení a produktivitu a zároveň snížit náklady, prostoje a opakující se úkoly.[1] V širším smyslu může IdM řídit i autorizaci a oprávnění uživatelů v rámci politik a technologií k zajištění toho, aby správní lidé v podniku měli odpovídající přístup k technologickým zdrojům (IAM koncept, který kombinuje obchodní procesy, politiky a technologie). Systémy pro správu identit patří do oblasti IT bezpečnosti[2] a správy dat. IdM systémy identifikují a autentizují nejen uživatele IT zdrojů, ale také hardware a aplikace, k nimž mají uživatelé přístup. IdM se zabývá otázkami jako jak uživatelé získávají identitu a členství ve skupině (role), ochranou identity před zcizením (krádež identity) a technologiemi, které podporují tuto ochranu, řízením životního cyklu apod.
Rozsah IdM
Vývoj správy identit úzce sleduje vývoj informatiky a internetových technologií. V prostředí statických webových stránek a statických portálů na počátku 90. let minulého století zkoumaly korporace dodávku informačního webového obsahu, jako jsou bílé stránky zaměstnanců. Novější IdM aplikace mohou řídit celý životní cyklus online identit (dat) včetně synchronizací, implementace firemních politik atd. Funkce správy identit zasahují do následujících oblastí:
- AAA protokoly - RFC architektura v oblasti počítačové bezpečnosti, česky autentizační, autorizační a účtovací protokol
- řízení přístupu
- cloud computing[3]
- správa digitální identity (eIdentita), federované identity
- software pro správu hesel a samoobslužné resetování hesla
- automatizace pracovních postupů
- provisioning uživatelských účtů
- jednotná přihlášení a synchronizace hesel
- bezpečnostní tokeny
- Řízení přístupu na základě rolí (RBAC) včetně delegované správy
- řízení rizik
- adresářové služby
- synchronizace, replikace metadat
Správa identit také řeší odvěký problém "N + 1", kde každá nová aplikace hrozí vznikem nových datových úložišť uživatelů. Součástí procesu identitního řízení je i schopnost centrálně spravovat spojování a oddělování jednotlivých identit a konsolidovat rozšiřování identitních úložišť.
Systémy správy identit
Termín Systém správy identit odkazuje na informační systém nebo na sadu technologií, které lze použít pro správu identit v podnikové síti nebo ve WAN sítích a na internetu. Jako synonyma se používají termíny Systém správy přístupu, Systém správy identit a přístupu, Systém správy oprávnění, Systém správy uživatelů apod.
Účelem systémů řízení identity je:
- Ztotožnění: Kdo je uživatel – používá se při přihlášení nebo vyhledávání v databázi
- Autentizace: Je to opravdu ten uživatel? Systémy potřebují důkaz.
- Autorizace a neodmítnutelnost: Autorizace dokumentů nebo transakce pomocí nějakého eID systému, nejčastěji s digitálním podpisem na základě e-ID.
Mezi technologie, služby a podmínky týkající se správy identit patří Active Directory (Microsoft), adresáře X.500, LDAP/OpenLDAP, NetIQ eDirectory (totéž co NDS, NetWare Directory Services), virtuální adresáře, webové služby, správci hesel, jednotné přihlášení (SSO, Shibboleth, ADFS), bezpečnostní tokeny a služby (STS), pracovní postupy, protokoly jako Central Authentication Service, Extensible Provisioning Protocol, Network Information Service (NIS), WS-Security, WS-Trust, RBAC, XML Enabled Directory, Yadis.[4]
Provisioning
Poskytovatel identity (Identity provider, zkráceně IdP) je entita informačního systému, která vytváří, udržuje a spravuje informace o identitě ověřených prvků systému (principál) a také poskytuje služby ověřování spoléhajícím se aplikacím v rámci federované nebo distribuované sítě. Poskytovatelé identity nabízejí ověřování uživatelů jako službu. Aplikace důvěřuajících stran, jako jsou webové aplikace, outsourcují krok ověření uživatele u důvěryhodného poskytovatele identity. O takové aplikaci poskytovatele služeb se říká, že je federovaná, to znamená, že spotřebovává federovanou identitu. Poskytovatel identity je „důvěryhodný poskytovatel, který umožňuje používat jednotné přihlášení (SSO) pro přístup k jiným webům nebo sítím.”[5] Jednotné přihlášení zlepšuje použitelnost tím, že snižuje únavu z mnoha hesel. Poskytuje také lepší zabezpečení tím, že snižuje plochu (počet vektorů) pro potenciální útok. Poskytovatelé identity mohou také usnadnit propojení uživatelů s cloudovými informačními zdroji tím, že sníží nutnost opětovného ověřování uživatelů v mobilních a roamingových aplikacích. Jako typy IdP jsou uváděny OpenID Connect (OIDC), MojeID, poskytovatel služeb SAML, OAuth, FIDO2/WebAuthn a pod.
Provisioning nebo také poskytování uživatelů se týká vytváření, údržby nebo deaktivace uživatelských účtů v systémech, adresářích nebo aplikacích, a to v reakci na automatizované nebo interaktivní obchodní procesy. Provisioning je tedy činnost poskytovatele identity. Například v lokální síti menší firmy se autentizace uživatelů může odehrávat v jednom systému a poskytování této informace se může redukovat na jednotné přihlášení (SSO, SAML).
Software poskytující data uživatelů může však zasahovat i další procesy: šíření změn, samoobslužné pracovní postupy (workflow), konsolidovaná správa uživatelů, delegovaná správa uživatelů a federovaná kontrola změn. Objekty uživatelů mohou představovat zaměstnance, smluvní strany, dodavatele, partnery, zákazníky a podobné příjemce služby. Služba může zahrnovat i elektronickou poštu, zahrnutí do veřejného adresáře uživatelů, přístup k databázi, přístup k síti nebo serveru atd. Poskytování uživatelů je zvláště užitečné v organizacích, kde mohou být uživatelé zastoupeni více objekty na více systémech a ve více instancích.
Poskytovatelé identit a služeb mohou tvořit federaci, příkladem je Česká akademická federace identit eduID, kterou provozuje sdružení CESNET.[6]
Reference
V tomto článku byly použity překlady textů z článků Provisioning (telecommunications) na anglické Wikipedii, Identity management system na anglické Wikipedii a Identity-management system na anglické Wikipedii.
- ↑ Správa identit a její firemní nastavení [online]. Dostupné online.
- ↑ Správa identit jako komponenta IT bezpečnosti [online]. Dostupné online.
- ↑ Mell, Peter; Grance, Timothy. "Cloud computing podle NIST", Zvláštní vydání 800-145, National Institute of Standards and Technology
- ↑ Bezpečnost správy identit [online]. Dostupné online.
- ↑ Identity Providers and Service Providers Archivováno 22. 10. 2016 na Wayback Machine., salesforce.com. Retrieved 25 July 2016.
- ↑ Česká akademická federace identit eduID.cz
Související články
- Elektronický podpis
- Access Control List
- Deklarovaná identita (Claims-based identity)
- Cestovní uživatelský profil
- Uživatelský profil
- E-SENS, část e-Identita
- Mezinárodní standardní identifikátor jména (ISNI)