Správa identit

proces

Správa identit (IdM) má za úkol řídit informace o uživatelích v počítačích (online identita). Spravuje jejich autentizaci, role a hierarchie s cílem zvýšit zabezpečení a produktivitu a zároveň snížit náklady, prostoje a opakující se úkoly.[1] V širším smyslu může IdM řídit i autorizaci a oprávnění uživatelů v rámci politik a technologií k zajištění toho, aby správní lidé v podniku měli odpovídající přístup k technologickým zdrojům (IAM, viz článek autentizace uživatele a řízení přístupu). Systémy pro správu identit patří do oblasti IT bezpečnosti[2] a správy dat. IdM systémy identifikují a autentizují nejen uživatele IT zdrojů, ale také hardware a aplikace, k nimž mají uživatelé přístup. IdM se zabývá otázkami jako jak uživatelé získávají identitu a členství ve skupině (role), ochranou identity před zcizením (krádež identity) a technologiemi, které podporují tuto ochranu, řízením životního cyklu apod.

Rozsah IdMEditovat

Vývoj správy identit úzce sleduje vývoj informatiky a internetových technologií. V prostředí statických webových stránek a statických portálů na počátku 90. let minulého století zkoumaly korporace dodávku informačního webového obsahu, jako jsou bílé stránky zaměstnanců. Novější IdM aplikace mohou řídit celý životní cyklus online identit (dat) včetně synchronizací, implementace firemních politik atd. Funkce správy identit zasahují do následujících oblastí:

Správa identit také řeší odvěký problém "N + 1", kde každá nová aplikace hrozí vznikem nových datových úložišť uživatelů. Součástí procesu identitního řízení je i schopnost centrálně spravovat spojování a oddělování jednotlivých identit a konsolidovat rozšiřování identitních úložišť.

Systémy správy identitEditovat

Termín Systém správy identit odkazuje na informační systém nebo na sadu technologií, které lze použít pro správu identit v podnikové síti nebo ve WAN sítích a na internetu. Jako synonyma se používají termíny Systém správy přístupu, Systém správy identit a přístupu, Systém správy oprávnění, Systém správy uživatelů apod.

Účelem systémů řízení identity je:

  • Ztotožnění: Kdo je uživatel – používá se při přihlášení nebo vyhledávání v databázi
  • Autentizace: Je to opravdu ten uživatel? Systémy potřebují důkaz.
  • Autorizace a neodmítnutelnost: Autorizace dokumentů nebo transakce pomocí nějakého eID systému, nejčastěji s digitálním podpisem na základě e-ID.

Poskytovatel identity (Identity provider, zkráceně IdP) je entita informačního systému, která vytváří, udržuje a spravuje informace o identitě ověřených prvků systému (principál) a také poskytuje služby ověřování spoléhajícím se aplikacím v rámci federované nebo distribuované sítě. Poskytovatelé identity nabízejí ověřování uživatelů jako službu. Aplikace důvěřuajících stran, jako jsou webové aplikace, outsourcují krok ověření uživatele u důvěryhodného poskytovatele identity. O takové aplikaci spoléhající se strany se říká, že je federovaná, to znamená, že spotřebovává federovanou identitu. Poskytovatel identity je „důvěryhodný poskytovatel, který umožňuje používat jednotné přihlášení (SSO) pro přístup k jiným webům nebo sítím.”[4] Jednotné přihlášení zlepšuje použitelnost tím, že snižuje únavu z mnoha hesel. Poskytuje také lepší zabezpečení tím, že snižuje plochu (počet vektorů) pro potenciální útok. Poskytovatelé identity mohou také usnadnit propojení uživatelů s cloudovými informačními zdroji tím, že sníží nutnost opětovného ověřování uživatelů v mobilních a roamingových aplikacích. Jako typy IdP jsou uváděny OpenID Connect (OIDC), MojeID, poskytovatel služeb SAML, OAuth, FIDO2/WebAuthn a pod.

Mezi technologie, služby a podmínky týkající se správy identit patří Active Directory (Microsoft), adresáře X.500, LDAP/OpenLDAP, NetIQ eDirectory (totéž co NDS, NetWare Directory Services), virtuální adresáře, webové služby, správci hesel, jednotné přihlášení (SSO, Shibboleth, ADFS), bezpečnostní tokeny a služby (STS), pracovní postupy, protokoly jako Central Authentication Service, Extensible Provisioning Protocol, Network Information Service (NIS), WS-Security, WS-Trust, RBAC, XML Enabled Directory, Yadis.[5]

ProvisioningEditovat

Poskytování nebo také provisioning uživatelů se týká vytváření, údržby nebo deaktivace uživatelských účtů v systémech, adresářích nebo aplikacích, a to v reakci na automatizované nebo interaktivní obchodní procesy. Provisioning je tedy činnost providera, poskytovatele uživatelských účtů. Například v lokální síti menší firmy se autentizace uživatelů může odehrávat v jednom systému a poskytování této informace se může redukovat na jednotné přihlášení (SSO).

Software poskytující data uživatelů může však zasahovat i další procesy: šíření změn, samoobslužné pracovní postupy (workflow), konsolidovaná správa uživatelů, delegovaná správa uživatelů a federovaná kontrola změn. Objekty uživatelů mohou představovat zaměstnance, smluvní strany, dodavatele, partnery, zákazníky a podobné příjemce služby. Služba může zahrnovat i elektronickou poštu, zahrnutí do veřejného adresáře uživatelů, přístup k databázi, přístup k síti nebo serveru atd. Poskytování uživatelů je zvláště užitečné v organizacích, kde mohou být uživatelé zastoupeni více objekty na více systémech a ve více instancích.

ReferenceEditovat

V tomto článku byly použity překlady textů z článků Provisioning (telecommunications) na anglické Wikipedii, Identity management system na anglické Wikipedii a Identity-management system na anglické Wikipedii.

  1. Správa identit a její firemní nastavení [online]. Dostupné online. (anglicky) 
  2. Správa identit jako komponenta IT bezpečnosti [online]. Dostupné online. (anglicky) 
  3. Mell, Peter; Grance, Timothy. "Cloud computing podle NIST", Zvláštní vydání 800-145, National Institute of Standards and Technology
  4. Identity Providers and Service Providers Archivováno 22. 10. 2016 na Wayback Machine, salesforce.com. Retrieved 25 July 2016.
  5. Bezpečnost správy identit [online]. Dostupné online. (anglicky) 

Související článkyEditovat

Externí odkazyEditovat