Identity und Access Management 

Bezeichnung für einen Zugriff von einem Subjekt (Benutzer, Dienst, etc.) auf ein Objekt (z.B. Datei, Datenbank, Applikation, etc.)

Access Governance ist die Ausprägung von Governance bezogen auf das Identity und Access Management im Unternehmen. Access Governance ermöglicht die Steuerung und Kontrolle von Berechtigungen.

Access Management umfasst alle Maßnahmen für den sicheren Zugriff auf Anwendungen (Zugriffkontrolle). Dazu gehören die Authentisierung, Authentifizierung und Autorisierung  sowie unterstützende und übergreifende Sicherheitstechniken bzw. Themenfelder wie Single Sign On (SSO), PKI, Verschlüsselung, Biometrie.

[siehe Benutzerkonto]

Der Active Directory (AD) ist eine geschützte Marke von Microsoft. AD ist er in der Windows-Server-Architektur integrierte Verzeichnisdienst. Active Directory basiert auf dem LDAP.

Active Directory Lightweight Directory Services (AD LDS) ist eine funktional eingeschränkte Version des AD, die der Anbindung von Anwendungen oder Diensten dient, die LDAP-konforme Informationen aus dem Verzeichnis benötigen. Erstmals in Windows Server 2003 implementiert, wurde der Dienst dort als Active Directory Application Mode (ADAM) bezeichnet. AD LDS wird häufig eingesetzt, um das Active Directory von zu vielen Berechtigungsgruppen zu entlasten.

Active Directory Federation Services (Active-Directory-Verbunddienste, ADFS) dienen der webgestützten Authentifizierung von Benutzern, wenn diese sich in Bereichen außerhalb der ADDS-Infrastruktur befinden.

Active Directory Rights Management Services (Active-Directory-Rechteverwaltungsdienste, ADRMS) schützen Ressourcen durch kryptografische Methoden gegen unbefugte Einsicht.

Active Directory Certificate Services (Active-Directory-Zertifikatsdienste, ADCS) stellen eine Public-Key-Infrastruktur bereit.

Azure Active Directory (AAD) ist die Cloud-Variante des Active Directory. Häufig werden das „on-prem“ AD und AAD automatisch synchronisiert.

Benutzerkonten, denen administrative Berechtigungen zugewiesen sind. Solche Konten werden für sensible Konfigurationen oder z.B. auch Software-Installationen verwendet.

Diese Rechte erlauben, das System selbst zu verwalten und zu betreuen. Die Berechtigungen ermöglichen es, den Inhalt des Systems auf technischer Ebene zu verändern.

Dazu gehören z.B. auch Rechte zur Benutzer- und Rechteadministration oder Rechte zur Durchführung von Installationen. (Privilegierte Berechtigungen)

Die Vergabe von nur den Berechtigungen und Vollmachten, die ein Mitarbeiter zur Erfüllung seiner Aufgaben benötigt.
(„Least Privilege“-Prinzip)

Ein Verfahren zur Beantragung und Genehmigung von Benutzerkonten oder Berechtigungen für IT-Systeme und Anwendungen. Dadurch wird typischerweise ein Vier-Augen-Prinzip bei der Berechtigungsvergabe umgesetzt. Neben Vorgesetzten können auch fachlich Verantwortliche oder auch Complianceverantwortliche in den Workflow eingebunden sein. Zusätzlich können automatisierte Genehmigungsschritte beispielsweise Compliance-Überprüfungen durchführen. 

Als Anwender wird der Benutzer oder Nutzer des Computers bzw. von (IT-)Systemen und Applikationen bezeichnet. 

Computersoftware, die durch einen oder mehrere Benutzer zur Erfüllung von Aufgaben und Tätigkeiten genutzt wird. Für IAM ist eine Anwendung insbesondere dann relevant, wenn sie über eine eigene Benutzerverwaltung verfügt oder auch eine bestehende Benutzerverwaltung, wie z.B. das Active Directory nutzt.

Der Anwendungseigentümer (Application Owner) ist der Know-how-Träger einer Anwendung. Dieser ist auch der Verantwortliche für diese Anwendung sowie deren Berechtigungen. Der Anwendungseigentümer stellt in Zusammenhang mit einer Anbindung an ein IDM System, Informationen über das eigene Berechtigungssystem zur Verfügung, welche dafür benötig werden.

Der Anwendungseigentümer sollte auch über ein Berechtigungskonzept der eigenen Anwendung verfügen, welche die Berechtigungsstruktur und allfällige technische Rollen (Rollenkonzepte) beschreibt.

Der Anwendungseigentümer stellt Einzelrechte / Technische Rollen (inklusive Informationen) zur Geschäftsrollenbildung bereit. Der Anwendungseigentümer kann die Geschäftsrollenbildung beeinflussen. Er sollte neben dem Business-Bereich (Benutzer der Anwendung im Geschäftsprozess) auch Informationen über die Funktionstrennung abgeben können.

Die Attestierung ist der eigentliche Vorgang zur Bestätigung, dass ein Prüfobjekt, beispielsweise eine Berechtigungszuweisung, korrekt ist. Der Begriff wird vor allem in der Produkt-Welt des One Identity Managers verwendet und ist ein allgemeines Rahmenwerk u.a. für Rezertifizierungen: Diese sind die periodische Attestierung von Berechtigungszuweisungen. 

Ein Attribut bezeichnet ein Informationsdetail eines Objektes. Z.b. das Geburtsdatum eines Benutzers oder auch der Rollentyp einer Geschäftsrolle. (definierte Informationseinheit)

Ein Audit untersucht, ob Prozesse, Anforderungen und Richtlinien die geforderten Vorgaben erfüllen. Es bezeichnet beispielsweise auch die systematische und regelmäßige Überprüfung von Berechtigungszuweisungen.
Ein Audit stellt sicher, dass die Anforderungen und Regularien eingehalten werden.
Innerhalb des IDMs bezeichnet man aber das Auditing auch als Protokollierung (historische Speicherung) von Änderungen in Zusammenhang mit Berechtigungszuweisungen und Benutzerattributen. Ein solches Auditing ermöglicht meist auch Soll-Ist-Vergleiche.

Protokolliert Benutzeraktivitäten, Ausnahmefälle, kritische Sicherheitsvorfälle und Systemzustände. Die Protokolle werden für eine definierte Zeitspanne aufbewahrt.

Das Austrittsdatum definiert den Zeitpunkt, an welchem ein Mitarbeitender das Unternehmen verlässt. In Zusammenhang mit Identity Management ist es sinnvoll zwischen (meist) zwei verschiedenen Austrittsdaten zu unterscheiden:

• Effektives Austrittsdatum (entspricht dem effektiven letzten Arbeitstag)
• Vertragliches Austrittsdatum (entspricht dem Vertragsende)

Die Authentisierung stellt den Nachweis einer Person dar, dass sie tatsächlich diejenige Person ist, die sie vorgibt zu sein. Eine Person präsentiert also Nachweise, die ihre Identität bestätigen. Das ist auf unterschiedlichen Wegen möglich:

• sie hat geheime Informationen, die nur ihr bekannt sind (z.B. Passwort)
• sie besitzt einen Identifizierungsgegenstand (z.B. Mitarbeiterausweis)
• sie ist selbst das Identifizierungsobjekt (z.B. biometrische Merkmale wie Fingerabdruck).

Die Authentifizierung stellt eine Prüfung der behaupteten Authentisierung dar. Bei der Authentifizierung ist nun der Prüfer an der Reihe. Er überprüft die Angaben auf ihre Echtheit. Zeitlich betrachtet findet eine „Authentifizierung“ also nach einer „Authentisierung“ statt.

(nach: https://www.dr-datenschutz.de/authentisierung-authentifizierung-und-autorisierung/)

Die Autorisierung ist die Prüfung von Zugriffsrechten und folgt der Authentifizierung einer Person. Die Autorisierung entscheidet über die Einräumung von Rechten und Zugriffen.

Typ / Ausprägung einer Geschäftsrolle. Eine Basisrolle enthält meist die Standardberechtigungen, welche beispielsweise alle Benutzer einer Firma erhalten. Die genaue Definition wird im Geschäftsrollenkonzept beschrieben. Synonym: Birthrights.

Eine Benutzerkennung (UserID) identifiziert an einem IT-System einen Benutzer bzw. ein dem Benutzer zugeordnetes Benutzerkonto. Die Eingabe der Benutzerkennung wird bei einer Anmeldung an ein IT-System und/oder eine IT-Anwendung angefordert. Die Benutzerkennung ist ein Attribut des Benutzerkontos.

Jeder Benutzer benötigt zur Anmeldung bzw. zur Nutzung einer Computeranwendung ein Benutzerkonto. Ein Benutzerkonto muss aufgrund der Nachvollziehbarkeit immer einer Person bzw. deren digitalen Identität zugeordnet sein. Ausnahmen bilden sogenannte „Technische Benutzerkonten“. Nach Möglichkeit sollten jedoch auch technische Benutzerkonten der Verantwortung einer natürlichen Person unterstellt sein.

Einem Benutzerkonto werden verschiedene Berechtigungen pro entsprechendes System zugeordnet. Ein Benutzer hat meistens pro System ein eigenes Benutzerkonto.

Jeder IT-Benutzer sollte einem oder mehreren Benutzer-Typen zugeordnet werden.
Beispiele dafür sind Typen wie „interne Mitarbeiter“, „externe Mitarbeiter“, oder „Außendienst“ (z.B. bei Versicherungen, welche diesen Benutzertyp je nach dem in einem anderen System pflegen). Die Differenzierung dient zur Klassifizierung und eventuellen anderen Handhabungen innerhalb des IDM-Systems.
Beispielsweise können sich auch die Prozesse des Benutzer-Lebenszyklus [siehe Life Cycle Management] je Benutzer-Typ unterscheiden.

Unter Berechtigungsinformationen sind alle Daten zu verstehen, die es einer Anwendung oder einem System ermöglichen, die Zugriffsberechtigung eines Anwenders zu steuern. Ausprägungen von Berechtigungsinformationen können Berechtigungsobjekte z. B. Geschäftsrollen, IT-Rollen, Systemrollen, Gruppen sowie deren Inhalte sein und aber auch Attribute auf dem Benutzerkonto.

Ein Berechtigungskonzept beschreibt das Prinzip der Vergabe von Berechtigungen für ein IT System oder eine IT-Anwendung. Ebenfalls darin enthalten sind Informationen über den Schutzbedarf der Applikation und den entsprechenden Ressourcen.
Dem Berechtigungskonzept liegt ein Berechtigungsmodell zugrunde.

Ein Berechtigungsmodell beschreibt wie Berechtigungen in sich selber aufgebaut und Benutzerkonten zugewiesen sind. Ein Berechtigungsmodell kann innerhalb einer Applikation/System sein oder auch übergreifend im Sinne von Geschäftsrollen.

Regelt den Zugriff auf die IT-Systeme und deren Inhalte. Berechtigungsobjekte sind eine Abstraktion von allen verwendeten Begriffen von Berechtigungen. Konkret sind diese z.B. Gruppe, Berechtigung, Profil, Rolle.

In der SAP-Welt wird unterschieden zwischen Transaktionen (diese entsprechen ausführbaren Programmen) und Berechtigungsobjekten, die die Zugriffe regeln. 

Zertifizierungsstelle - In der Informationssicherheit ist eine Zertifizierungsstelle (englisch certificate authority oder certification authority, kurz CA) eine Organisation, die digitale Zertifikate herausgibt. Ein digitales Zertifikat dient dazu, einen bestimmten öffentlichen Schlüssel einer Person oder Organisation zuzuordnen. Diese Zuordnung wird von der Zertifizierungsstelle beglaubigt, indem sie sie mit ihrer eigenen digitalen Unterschrift versieht.
(Quelle: Wikipedia)

Compliance beschreibt die Einhaltung der gesetzlichen, unternehmensinternen und/oder vertraglichen Regelungen ebenso beinhalten diese Vorgaben auch Verhaltensregeln.

Ein Berechtigungsnachweis (englisch credentials) ist ein Instrumentarium, das einem System die Identität eines anderen Systems oder eines Benutzers bestätigen soll. Dies geschieht meist in Form einer Benutzerkennung in Verbindung mit einem Authentifizierungsmerkmal.
(Quelle: Wikipedia)

Delegation ist der Prozess der Weiterreichung einer Tätigkeit.
Eine spezielle Form der Delegation ist die Vertretung, z. B. einer Urlaubs- bzw. Krankheitsvertretung.
In allen Formen der Delegation ist zu beachten dass der Delegat, Urlaubsvertreter befähigt ist seine Delegation / Urlaubsvertretung ausüben zu können. Er bedarf der richtigen Berechtigungen, Kompetenzen, Vollmachten, Qualifikationen (Skills) und muss örtlich und zeitlich verfügbar sein. I.d.R. ist er vor Übernahme von der Vertretung in Kenntnis zu setzen.

Bezeichnet das Entziehen von Berechtigungszuweisungen und/oder die Deaktivierung von Accounts - manuell oder aber meist automatisiert. (Provisoning)

Die digitale Identität ist die Repräsentation einer Person in IT-Systemen. Eine digitale Identität ist klar einer natürlichen Person zuzuordnen.

Ein Verzeichnis bzw. ein Verzeichnisdienst (Directory-Service). In der Regel werden dafür LDAP-basierende Verzeichnisdienste verwendet; alternativ können auch Datenbank-basierende System verwendet werden. 

Bezeichnet eine Zuweisungsmethode, mit deren Hilfe Berechtigungsobjekte automatisiert zugewiesen werden können. Als Kriterien für die Zuweisung dienen dazu meist Attributausprägungen der digitalen Identitäten. Vielfach auch als regelbasierte Zuweisung bezeichnet.

Eine Berechtigung oder eine Applikationsrolle, die den Zugriff innerhalb einer Anwendung für einen Benutzer steuert. Dies kann z.B. eine Active-Directory-Gruppe sein, welche den Zugriff auf ein Verzeichnis auf dem File-Server zulässt. Dieses Beispiel ist adaptierbar auf alle weiteren Anwendungen mit einer Berechtigungssteuerung.
Innerhalb des IAM versteht man hier die Einheit, welche von der zu berechtigenden Applikation für die Zuweisung zur Verfügung gestellt und in Geschäftsrollen gebündelt werden könnte.

Enterprise Single Sign On – dies bezeichnet das Verfahren, das sich der Benutzer nur ein einziges Mal authentifizieren muss. Danach werden ihm alle entsprechenden Zugriffe innerhalb des Firmen-Netzwerkes auf die erlaubten Systeme und Anwendungen gewährt. 

Federation beschreibt die gemeinsame, standardisierte Nutzung von Identitätsinformationen über Organisationsgrenzen oder Anwendungen hinweg. (z.B. für Zugriffe auf Anwendungen bei externen Kooperationspartnern). Federation Services wirken sich derzeit ausschließlich auf webbasierte Anwendungen aus. 

Darunter versteht man den Typ / Ausprägung einer Geschäftsrolle. Eine Funktionsrolle enthält meist die Berechtigungen, welche Benutzer zur Ausübung einer speziellen Funktion in einer Firma benötigen. Die genaue Definition wird im Geschäftsrollenkonzept beschrieben.

Der Begriff „Funktionstrennung“ bzw. „Kritische Berechtigungskombinationen“ beschreibt einen Zustand, der unter Berücksichtigung aller unternehmerischen und / oder gesetzlichen Anforderungen nicht erlaubt ist und zu einem Risiko für das Unternehmen führen kann.

Funktionstrennung besteht neben der Definition des Regelwerks selbst aus den folgenden Kernprozessen:

• aufdeckende Kontrollen (detective controls) stellen Regelverletzungen in den bereits vorhandenen Rechtezuweisungen fest
• präventive Kontrollen (preventive controls) sollen Regelverletzungen im Rahmen von Antrags- und Genehmigungsprozessen verhindern
• kompensierende Kontrollen (mitigation, mitigierende Kontrollen) regeln den Umgang mit ggf. unvermeidlichen Regelverletzungen.

Synonyme: Segregation of Duties, Separation of Duties, SoD

Innerhalb des IAM ist ein Genehmiger, eine Person, welche Anträgen (beispielsweise Berechtigungsanträgen) zustimmen muss.

Synonym: Approver

Eine Geschäftsrolle ist eine Bündelung von Einzelrechten (Einzelrecht), welche ein bzw. mehrere Mitarbeiter für die Erledigung seiner/Ihrer Aufgaben benötigt/benötigen. Dies können beispielsweise auch Zutrittsberechtigungen sein, welche über eine entsprechende Computersoftware verwaltet bzw. gesteuert werden. Die Bündelung ist in der Regel systemübergreifend und enthält somit Berechtigungen verschiedener Systeme / Anwendungen.
Der Aufbau von Geschäftsrollen kann je nach Konzept variieren, z.B. verschachtelt.
Siehe auch (Geschäftsrollentyp)

Ein Geschäftsrollenkonzept beschreibt wie das Rollenmodell auszusehen hat, welche Typen verwendet werden und wie der Aufbau geschieht.
Ebenfalls sollen in einem Geschäftsrollenkonzept oder mindestens in Verbindung die (neu zu schaffenden) Tätigkeiten, welche damit in Zusammenhang stehen (während der Projektzeit und auch im künftigen Betrieb) und das Rollenmanagement beschrieben werden.
Ebenfalls sollen Konventionen berücksichtigt werden, welche künftig damit in Verbindung stehen. Damit gemeint sind Namen und Beschreibungen, welche für Geschäftsrollen verwendet werden.

Typ / Ausprägung einer Geschäftsrolle wie z.B. Organisationsrolle, Funktionsrolle, Projektrolle etc. Je Typ sind die entsprechenden Berechtigungen enthalten.
Wichtig dabei sind die Beschreibungen der Geschäftsrollen. Diese müssen aussagekräftig sein und den Inhalt widerspiegeln.
Die verwendeten Typen und die genauen Definitionen werden Geschäftsrollenkonzept beschrieben.

IT-Governance besteht aus Führung, Organisationsstrukturen und Prozessen, die sicherstellen, dass die Informationstechnik (IT) die Unternehmensstrategie und -ziele unterstützt. Unter IT wird in diesem Zusammenhang die gesamte Infrastruktur verstanden, aber auch die Fähigkeiten und die Organisation, die die IT unterstützen und begründen. IT-Governance liegt in der Verantwortung des Vorstands und des Managements und ist ein wesentlicher Bestandteil der Unternehmensführung.
(Quelle: Wikipedia)

Unter Historisierung versteht man die Aufzeichnung des zeitlichen Verlaufs, z.B. von Berechtigungszuweisungen oder Attributen. Die Historisierung ist ein wichtiger Bestandteil zur Sicherstellung der Nachvollziehbarkeit für Compliancezwecke.

Identity- und Access-Management – hiermit wird Identity- und Access-Management zusammengefasst. (siehe Identity Management)

Reifegradmodelle werden herangezogen um die Qualität von Prozessen, Systemkonfigurationen und weiteren Komponenten, welche mit einem vorgesehenen IAM in Zusammenhang stehen, zu beurteilen.
Der IAM-Reifegrad bestimmt, welche Vorbereitungen getätigt werden müssen, um ein IAM-System zu implementieren.

Definiert die Richtlinien, welche für die Implementierung, jedoch auch für den Betrieb einer IAM-Infrastruktur technisch und organisatorisch zu berücksichtigen sind.

Streng genommen bedeutet IAM-System die Gesamtheit aller technischen Lösungen, um sowohl das Identity Management mit allen seinen Aspekten als auch das Access Management abzudecken. In vielen Unternehmen wird als IAM-System jedoch nur der Teil der IT-Landschaft bezeichnet, der das Identäts- und Berechtigungsmangement leistet.

Die Identität beschreibt innerhalb des IDM eine natürliche Person. Diese steht in Zusammenhang zur digitalen Identität. 

Als Identitätsmanagement wird der zielgerichtete und bewusste Umgang mit Identität, Anonymität und Pseudoanonymität bezeichnet.
Dies entspricht der Summe aller Maßnahmen, die notwendig sind, um Personen, Identitäten und Benutzer in IT-Systemen eindeutig zu erkennen sowie ihnen genau die Zugriffe zu ermöglichen, die sie aktuell im Rahmen ihrer Tätigkeit benötigen.
Dabei sind alle Maßnahmen im Rahmen von angemessenen, standardisierten, prüfbaren und dokumentierten Prozessen durchzuführen. Die wesentlichen Funktionen eines Identitätsmanagementsystems sind:

• Identitätslebenszyklus [Identity Lifecycle]
• Antrags- und Genehmigungsprozesse
• (Geschäfts-)Rollenmanagement
• Complianceprozesse wie Audit, Reporting, Funktionstrennung, Rezertifizierung etc.
• Automatisierte Verwaltung der Berechtigungen in den Zielsystemen (Provisionierung)

In den vergangenen Jahren hat sich die ursprüngliche Kernbedeutung des Identity Managements immer mehr ausgeweitet, weshalb z.B. die Analysten von Gartner von „Identity Governance and Adminstration“, kurz IGA sprechen. 

Bezeichnet zweierlei:
1.) einen Authentisierungsservice, der im Allgemeinen nach einer erfolgreichen Authentifizierung ein Security-Ticket, meist ein SAML-Ticket ausstellt, welches dazu bestimmt ist, dem Service-Provider Authentisierungs- und Identitätsdaten über das Internet, meist in XML (SAML 2.0 Ticket) zu übermitteln.

2.) eine Rolle, welche die Instanz in einem föderierten Business-Szenario bezeichnet, die ein Security-Ticket (z.B. ein SAML-Ticket) ausstellt.

IT-Schutzziel, meint die Vertrauenswürdigkeit (vollständig und unverändert) einer Information.

IT-Rollen stellen in vielen IDM Systemen, z.B. im Microfocus Identity Manager die zweite von drei Rollenebenen dar. Diese Ebene kann auch als Komponentenrolle bezeichnet werden.

Kerberos ist ein verteilter Authentifizierungsdienst (Netzwerkprotokoll) für offene und unsichere Computernetze (wie zum Beispiel das Internet), der von Steve Miller und Clifford Neuman basierend auf dem Needham-Schroeder-Protokoll zur Authentifizierung (1978) entwickelt wurde.

Bei Kerberos sind drei Parteien beteiligt:

• der Client
• der Server, den der Client nutzen will
• der Kerberos-Server

Der Kerberos-Dienst authentifiziert sowohl den Server gegenüber dem Client, als auch den Client gegenüber dem Server, um man-in-the-middle-Angriffe zu unterbinden. Auch der Kerberos-Server selbst authentifiziert sich gegenüber dem Client und dem Server und verifiziert selbst deren Identität.
(Quelle: Wikipedia)

Komponentenrollen (in Bezug auf den Aufbau von Geschäftsrollen verwendet) werden im Aufbau Rollen als Hilfskonstrukt verwendet. Diese können in eine oder mehrere Geschäftsrollen vererbt werden.
Die Bündelung kann nach Systemen oder nach Verwendungszweck bestimmt werden. z.B. können alle Active Directory Gruppen zuerst in einer Komponentenrolle verschachtelt werden, anschließend wird diese Komponentenrolle in die Geschäftsrolle verschachtelt. Eine weitere Möglichkeit ist es, anwendungsspezifisch die Rechte zu bündeln und dann diese Komponentenrolle in entsprechende Geschäftsrollen zu verschachteln.

Der Benutzer erhält nur die für seine Aufgaben nötigen Berechtigungen. (Prinzip der minimalen Berechtigungen)

In Bezug auf die Rollenmodellierung muss genau betrachtet werden, wie weit dieses Prinzip eingehalten werden muss und besonders bei welchen Berechtigungen dieses Prinzip betrachtet werden muss. (Völlig unkritisch eingestufte Berechtigungen sollen somit hier nicht betrachtet werden, da dies die Rollenqualität negativ beeinflusst)

Verzeichnisdienst (siehe Lightweight Directory Access Protocol)

Beschreibt den Lebenszyklus eines Objektes. Im Bereich IAM verbindet man dies z.B. häufig mit dem User Life Cycle (Benutzer Lebenszyklus). Das Life Cycle Management beschreibt hier den Umgang mit der digitalen Identität und beginnt beim Eintritt eines Mitarbeiters, über deren Veränderungen während des Anstellungsverhältnisses, bis hin zum Austritt.
Weitere wichtige Lebenszyklen im Bereich IAM betreffen den Lebenszyklus der Geschäftsrollen, der Applikationen oder auch der Organisation selbst. Es ist wichtig, dass diese Prozesse klar definiert und bekannt sind.

Ein Anwendungsprotokoll aus der Netzwerktechnik. Es erlaubt die Abfrage und die Modifikation von Informationen eines Verzeichnisdienstes (directory service).

Auch: Definierter Standard zwecks objektorientierter und hierarchischer Ablage von Daten sowie deren Zugriff darauf.

Das Login bezeichnet das Verfahren des Anmeldens (einloggen) an einem Computersystem / Netzwerk und benötigt die entsprechenden Credentials (Credentials).

Die Mindestanforderungen an das Risikomanagement, abgekürzt MaRisk, sind Verwaltungsanweisungen, die mit einem Rundschreiben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) für die Ausgestaltung des Risikomanagements in deutschen Kreditinstituten veröffentlicht wurden.

Die MaRisk konkretisieren die allgemeinen Vorgaben des § 25a KWG sowie weiterer internationaler Regelwerke. 

Metadaten sind Daten, die dazu dienen, Objekte, aber auch Daten strukturiert zu beschreiben. Auch Informationen zu Daten.
Im Beispiel eines Users/Mitarbeiters sind folgende Metadaten:

• Vorname
• Nachname
• Geburtsdatum
• Abteilung

Ein zentraler Verzeichnisdienst, welcher auf einem LDAP-Server basiert. Sinn und Zweck dahinter ist es, Informationen aus verschiedenen unternehmensinternen Datenbanken zusammenzuführen, um eine zentrale Pflege und Synchronisation zu ermöglichen. Ein wichtiger Vorteil dabei ist, dass ein solcher Verzeichnisdienst, gegenüber relationalen Datenbanken, sehr schnelle Zugriffe ermöglichen.
Ein solches zentrales Verzeichnis ermöglicht zudem eine strukturierte, prozessorientierte und plattformübergreifende Verwaltung von Objektklassen. Anhand der möglichen, zentralen Pflege bleiben Datenbestände konsistent und können gemeinsam genutzt werden.

Mitigierende oder auch kompensierende Kontrollen sind ein Teil der Funktionstrennungsprozesse. Sie regeln den Umgang mit bereits vorhandenen oder drohenden Funktionstrennungskonflikten. Beispiele können (befristete) Ausnahmegenehmigungen oder begleitende organisatorische Maßnahmen sein. 

Systematische Erfassung, Überwachung und regelmäßige Kontrolle der Nutzung informationsverarbeitender Systeme sowie der Identity und Access Managementprozesse, -Aktivitäten und -Zustände.
Das Monitoring ermöglicht einer Organisation die Konformität zu Regularien und internen Richtlinien sicherzustellen und nachzuweisen. Ebenso gehört dazu die frühzeitige Erkennung von ungewöhnlichen oder abnormalen Aktivitäten, die eventuell behandelt werden müssen.

Eine Multi-Faktor-Authentisierung bezeichnet die Authentisierung mit mindestens zwei (2FA) von drei möglichen Faktoren. Damit ist gemeint, dass ein Passwort alleine nicht reicht, sondern zusätzlich ein Token oder Fingerscan etc. benötigt wird.

Maßgebend sind die drei Faktoren Wissen, Besitz und Eigenschaft.

• Besitz: Hardware-Token, Smartcard, Schlüssel
• Wissen: Passwort, PIN, TAN
• Untrennbar zum Nutzer: Fingerabdruck, Stimme, Iris

Bezeichnet innerhalb der Schweiz das Ändern und Anpassen von Daten. Typische Geschäftsprozesse in diesem Zusammenhang sind Namensänderungen einer Person und Versetzungen in eine andere Abteilung.

Unter Nachvollziehbarkeit versteht man in diesem Kontext die Rückverfolgbarkeit. Das bedeutet, dass ein sachverständiger Dritter sich in angemessener Zeit einen Überblick über die Geschäftsvorfälle verschaffen kann.

Der Namensraum (englisch namespace) ist ein Begriff aus der Programmierung. Dabei werden – vor allem bei der objektorientierten Programmierung – die Namen für Objekte in einer Art Baumstruktur angeordnet und über entsprechende Pfadnamen eindeutig angesprochen.

Vereinfacht bedeutet dies, dass innerhalb eines solchen Raumes jeder Name eindeutig ein Objekt bezeichnet. Der gleiche Name kann jedoch in einem anderen Namensraum wieder frei zur Bezeichnung eines anderen Objekts benutzt werden. Außerdem können diese unabhängigen Namensräume innerhalb einer Hierarchie verbunden werden.
(Quelle: Wikipedia)

Im IAM Kontext wird unter einem Namespace häufig die Repräsention von Quell- und Zielsystemen im IDM System verstanden. 

Eine natürliche Person bezeichnet physikalisch existierende Personen. Sie muss nicht Angestellter der Firma sein, kann aber über Anstellungsverhältnisse innerhalb und außerhalb der Firma verfügen.

Unter Organisationseinheit oder organisatorischer Einheit versteht man in der Organisationstheorie (oft auch Betriebswirtschaftslehre u. a.) einen Sammelbegriff für durch Zusammenfassung und Zuordnung von (Teil-) Aufgaben zu personalen Aufgabenträgern entstehenden organisatorischen Einheiten. Damit ist eine Organisationseinheit ein Element der Aufbauorganisation.
(Quelle: Wikipedia)

Im IAM Kontext wird häufig ein generalisiertes Konzept verwendet, das unterschiedliche Dimensionen von Organisationen subsummiert: Aufbauorganisation, Ablauforganisation, Standorte, Projekte etc. 

Typ / Ausprägung einer Geschäftsrolle. Eine Organisationsrolle enthält die Berechtigungen, welche Benutzer innerhalb einer Organisationseinheit aufgrund dieser Angehörigkeit bekommt (z.B Abteilungsverzeichnisse und Verteilerlisten etc.). Die genaue Definition wird im Geschäftsrollenkonzept beschrieben. [siehe Geschäftsrollentyp.

One Time Password – dies bezeichnet ein Passwort, welches nur einmal zur Verwendung kommt. Beispiele dafür sind Streichlisten oder Token oder auch dafür ausgelegte SMS-Dienste.

Es bezeichnet in jeder Hinsicht den Eigentümer – im IAM-Umfeld spricht man vielfach vom Role Owner, vom Application Owner, etc.

Ein Passwort dient zur Authentisierung im Anmeldeprozess. (Kennwort)

Mit Hilfe eines Passwort Self-Service können Benutzer selbstständig ihre Passwörter für Anwendungen und Systeme bei Verlust zurücksetzen bzw. ändern. 

Passwortmanagement ist die zentrale Verwaltung von Passwörtern und deren Zuordnung zu den Benutzerkonten.

Die Passwortrichtlinien beschreiben, wie sich ein Passwort zusammensetzt, damit es zur Anwendung kommen darf. Dies entspricht der Vorschrift für die zu verwendende Komplexität und Länge. Die Richtlinie beschreibt aber auch die Verhaltensweise bei fehlgeschlagenen Anmeldeversuchen oder die Gültigkeitsdauer.

Wird meist im HR-System geführt. Idealerweise ist die Personalnummer der Identifikator von Mitarbeitenden. Allerdings muss sichergestellt sein, dass auch bei mehreren Arbeitsverträgen EINE zentrale Personalnummer gepflegt wird und diese auch bei einem Wiedereintritt ins Unternehmen erneut zugewiesen wird. 

Dies bezeichnet Richtlinien und Regelwerke. Innerhalb von IAM benötigt es solche Regelwerke beispielsweise, um Berechtigungen oder Geschäftsrollen automatisch zuzuweisen.

Rechte mit denen das System selbst verwaltet und betreut wird, die wenig eingeschränkten Zugriff zum System gewähren oder ermöglichen den Inhalt des Systems auf technischer Ebene zu verändern. Auch Rechte zur Benutzeradministration und Rechteadministration, Rechte zur Durchführen von Installationen und Sicherungen, Jobs einzurichten und zu verwalten.

Unter einer Privilegierten Berechtigung wird beispielsweise auch ein Zugriffsrecht verstanden, mit dem ein User der Lage ist, anderen Benutzern Berechtigungen zu vergeben, zu entziehen oder Sicherheitsmaßnahmen und –Konfigurationen eines Systems oder einer Anwendung zu verändern.

Dafür sollten Administrative Benutzerkonten genutzt werden.

Die Definition, welche Berechtigungen, dass als „Privilegierte Berechtigungen“ bezeichnet werden, können aber von Kunde zu Kunde abweichen.

Hostprofil:
Im Hostumfeld ist ein Profil eine Bündelung von Attributen, welche für bestimmte Zugriffe benötigt werden. Ein Profil wird einem oder mehreren Benutzer zugewiesen.

AD-Profil
Ein AD-Profil speichert alle benutzerspezifischen Einstellungen.

Provisioning bezeichnet (im Sinne von IAM) das automatisierte oder mindestens teilautomatisierte Bereitstellen von Ressourcen und/oder Benutzeraccounts in Zusammenhang mit Berechtigungssystemen. Aber auch Stammdaten werden über das Provisioning in den entsprechenden Systemen bereitgestellt.

Gerade im Bankenumfeld sprechen Kunden oft auch dann von Provisioning, wenn keine automatisierte Schnittstelle zur Verfügung steht und Änderungen an Zielsystemen aufgrund eines Tickets im Helpdesksystem manuell umgesetzt werden.

Resource Access Control Facility ist IBMs Implementierung der Sicherheitsschnittstelle der Großrechnerbetriebssysteme

Die Hauptfunktionen, die es erfüllt sind:

• Identifikation und Verifikation der Benutzer mittels Benutzerschlüssel und Passwortprüfung (Authentifizierung)
• Schutz von Ressourcen durch die Verwaltung der Zugriffsrechte (Autorisierung)
• Logging der Zugriffe auf geschützte Ressourcen (Auditing)

Auch Registration – eine Registrierung kann eine Einrichtung eines (Online) Accounts, Profils oder einer Identität sein, eine Erfassung der Identität oder zur Ausstellung von Berechtigungsnachweisen.

Berichterstattung, um relevante Informationen im Rahmen des Identity und Access Management, zeitgerecht und vollständig an die zutreffenden Adressaten zu übermitteln. Dieses Berichtssystem stellt wiederum die Voraussetzung für eine wirksame und effiziente Überwachungstätigkeit dar.

Ein Repository entspricht einem Verzeichnis.
Beispiele: Metadaten-Repository, Software-Repository, CASE-Werkzeuge

Revisionssicher bezieht sich auf die Archivierung - die Bedeutung dabei setzt auf:

• Vollständigkeit
• Schutz vor Verlust
• Schutz gegen Manipulation
• Absicherung zur Nachvollziehbarkeit
• Nutzung durch Berechtigte
• Prüfbarkeit sichergestellt

Ein Zurückziehen oder ein Sperren eines Benutzerkontos oder eines Zertifikates.

Die Rezertifizierung ist der Prozess, welcher die Kontrolle und Abnahme eines bestimmten Zustandes bestätigt. Rezertifizierungen im IAM Umfeld werden von Aufsichtsbehörden, der Compliance, der Revision oder auch von Verantwortlichen innerhalb einer Firma verlangt.
Beispiele dafür, was rezertifiziert werden kann bzw. soll, sind Rollen-Rechte-Zuweisungen, Rollen-Identitäts-Zuweisungen oder auch Regelwerke, welche für solche Zuweisungen zuständig sind.

Rezertifizierungen erfolgen in der Regel periodisch, beispielsweise jährlich für unkritische und viertel- oder halbjährlich für kritische Berechtigungen.
(Attestierung)

Dieser Begriff bezeichnet das Anwenden von Algorithmen der Datenanalyse, um typische Muster von Berechtigungszuweisungen aufzufinden. Diese sind dann typischerweise Grundlage für die Definition von (Geschäfts-) Rollen. Role Mining ist ein klassischer bottom-up Ansatz zur Rollenmodellierung.

Der Rollenadministrator hat die Aufgaben Geschäftsrollen zu entwickeln, anzupassen und wieder zu löschen. Er ist die Kontaktperson bei allen Fragen rund um Geschäftsrollen.
Zudem ist der zuständig für den Optimierungsprozess rund um die Geschäftsrollen.

Der Rolleneigentümer bzw. Rollenverantwortliche ist für den Inhalt einer Geschäfts-Rolle (fachlich gesehen) verantwortlich und ist berechtigt Änderungen bei dem Rollenmanager in Auftrag zu geben. (auch als Role Owner bekannt).

Stehender Begriff für den Lebenszyklus von Geschäftsrollen. (Life Cycle Management).
Geschäftsrollen werden entwickelt, verändern sich über die Zeit, können irgendwann aber auch obsolet und damit inaktiv gesetzt werden. Zu einem späteren Zeitpunkt werden diese dann eventuell gelöscht.

Entwicklung von Geschäftsrollen auf Basis der vorhandenen Berechtigungen (bottom-up) oder mit Hilfe einer Organisationsanalyse (top-down). Dies muss unter Berücksichtigung des vorhandenen Rollenkonzeptes geschehen. Bewährt hat sich eine Kombination der beiden Ansätze, da eine reine top-down Vorgehensweise dazu tendiert „nie fertig“ zu werden und eine reine bottom-up Analyse unter Umständen wichtige fachliche und organisatorische Rahmenbedingungen ausblendet.

"Security Assertion Markup Language" - Standard der OASIS, seit 2012 in der Version 2.0: Definiert ein Framework zur XML-basierten Kommunikation von Identitätsdaten und Sicherheitsattributen zwischen Business-Entitäten und dem User.
Ziel des Standards ist es, föderierte Business-Szenarien webbasiert zu realisieren. Dafür definiert er "Assertions", "Protokolle", "Bindings" und "Profile".

Ein Service Provider ist ein Service Dienstleister. In Zusammenhang mit Federated Identity eingesetzt und ist ein Service Provider fähig Informationen über die die Identität direkt aus dem jeweiligen Zugriff zu extrahieren. So werden den Identitäten von anderen Unternehmen eine Vertrauensstellung entgegengebracht.

Ermöglicht dem Benutzer durch einmaliges Abmelden aus allen definierten Applikationen auszuloggen. Dies steht vorwiegend in Zusammenhang mit SSO und Web-Anwendungen.

SSO ermöglicht es dem Benutzer, nach einer einmaligen Authentifizierung, auf alle Anwendungen, Systeme und IT-Dienste, für die er berechtigt ist, zuzugreifen, ohne sich erneut anmelden zu müssen

Die Service Provisioning Markup Language (SPML) ist ein XML-basiertes Framework, entwickelt von OASIS, für den Austausch von Benutzer-, Ressourcen- und Service-Provisioning-Informationen zwischen kooperierenden Organisationen.
(Quelle: Wikipedia)

SPML kann für die standardisierte Kommunikation von IDM Systemen mit Zielsystemen verwendet werden, aber auch für die Kommunikation unterschiedlicher IDM Systeme untereinander.

Secure Sockets Layer ist die alte Bezeichnung für Transport Layer Security.
Transport Layer Security (TLS, deutsch Transportschichtsicherheit) ist ein hybrides Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet.

Berechtigungen, die in der Regel an alle Benutzer (oder Benutzer ohne Sonderaufgaben) vergeben werden.
Mit diesen Berechtigungen werden meist unkritische Tätigkeiten durchgeführt und sind zudem frei von Lizenzkosten.
Standardberechtigungen sind zudem geeignet in Basisrollen zu modellieren. (Basisrolle)

Häufiges Synonym für Technische Rollen und Applikationsrollen: Systemrollen bündeln mehrere Einzelberechtigungen einer einzigen Applikation. Diese werden dann häufig als Grundlage für die Definition von anwendungsübergreifenden Geschäftsrollen verwendet. 

Technische Benutzerkonten werden für systemeigene Aufgaben, wie z.B. Batchverarbeitungen oder andere technische Zugriffe verwendet. Diese Accounts werden in der Rollenmodellierung ausgeschlossen. Wichtig ist es jedoch dies innerhalb der Security zu betrachten, da diese Konten eigentlich keinem Benutzer zugeordnete werden können.
Die Verantwortlichkeit über solche Konten muss jedoch geregelt und nachvollziehbar sein.

Eine Benutzerkennung (englisch user identifier, UID) identifiziert an einem Computer (oder in einem Netzwerk) einen Benutzer eindeutig bzw. ein (dem Benutzer zugeordnetes) Benutzerkonto. In der Regel ist dieser Benutzer eine natürliche Person.

Die Eingabe der Benutzerkennung wird bei jeder Anmeldung am Computer angefordert.

Achtung: Die Bezeichnung wird auch von manchen Kunden als Abkürzung für "Unique ID" verwendet.

Je nach Anforderung oder Perspektive können Use Cases unterschiedliche Arten von Prozessen beschreiben:

• Geschäftsprozesse aus Benutzersicht, z.B. für das Onboarding von Mitarbeitenden
• Geschäftsprozesse aus Systemsicht, z.B. die Anlage eines neuen Benutzers im Active Directory

Auch Benutzermanagement – es bezeichnet das Erstellen von Benutzerdaten, das Pflegen und das Löschen dieser (auch in Verbindung mit dem Benutzerkonto).

Stehender Begriff für den Lebenszyklus eines Mitarbeiters von seinem Eintritt in das Unternehmen über Änderungen (z.B. Organisationswechsel) die ein Mitarbeiter erfährt, bis hin zum Austritt aus dem Unternehmen (dt: Benutzer-Lebenszyklus).

Die Vertraulichkeit ist eines der IT-Schutzziele und muss sicherstellen, dass Informationen und Ressourcen nur für autorisierte (berechtige) Benutzer bzw. Systemen zugreifbar oder änderbar sind.

VPN (Virtual Private Network,) und bietet von extern sicheren (verschlüsselten) Zugriff auf ein Firmennetzwerk.

Die Extensible Access Control Markup Language (XACML) ist ein XML-basierter OASIS Standard. Die Grundidee ist dabei, dass die Autorisierung, d.h. der Zugriff auf Daten bzw. Transaktionen nicht von der Applikation selbst durchgeführt wird, sondern von einer externen Instanz, die damit Policies anwendungsübergreifen durchsetzen kann. Dadurch ist es auch möglich, die vielfach redundante Definition von Zugriffsregeln zu zentralisieren und dadurch besser pflegbar zu machen. 

Zugangsberechtigungen erlauben einer Person, bestimmte Ressourcen wie IT-Systeme, Netze und Anwendungen zu nutzen oder Transaktionen auszuführen.

Zugangsschutz bezeichnet den Schutz der Nutzung von IT-Systemen, IT-Netzen und Anwendungen. Der Zugang beinhaltet den Zutritt und Zugriff.

Die Zugriffskontrolle sichert Datenverarbeitungssysteme gegen unberechtigten Zugriff ab und lässt anhand korrekter Authentisierung den Zugriff zu.

siehe Access Management

Zugriffsschutz bezeichnet den Schutz von Informationen bzw. Daten vor der Nutzung von nicht autorisierten Personen.

Ein selbständig, agierendes Subjekt (Person, Auto, etc.) passiert eine physikalische Barriere (Tür, Einfahrt, etc.).

Über Zutrittsberechtigungen erhalten befugte Personen Zutritt zu den für sie relevanten Räumlichkeiten und Sicherheitsbereichen.

Zutrittsschutz verhindert den Zutritt Unbefugter in Räumlichkeiten und Sicherheitsbereiche, um physischen Zugriff auf Systeme und/oder Informationen zu unterbinden.

Berechtigungen oder Geschäfts-Rollen können über verschiedene Methoden zugewiesen werden. Diese unterscheiden sich durch die manuelle Zuweisung oder die dynamische bzw. auch als regelbasierte Zuweisung genannt. Die regelbasierte Zuweisung weist beispielsweise einem Benutzer eine Berechtigung oder eine Geschäfts-Rolle anhand eines definierten Attributs zu.