AG-IZ - Identity Management Glossar - E

Transcription

AG-IZ - Identity Management Glossar - E
Arbeitsgruppe: AG-IZ
IDM Glossar
Konvention
AG-IZ - Identity
Management Glossar
AG-IZ-IDM-Glossar-1.0.0
Empfehlung
Kurzbeschreibung
Sammlung der in den Dokumenten und der Diskussion der Arbeitsgruppe
„Integration und Zugänge“ verwendeten Begriffe für den Bereich
Federated Identity Management mit Referenzen zu internationalen
Projekten und Normen.
Bevorzugt werden die in österreichischen Gesetzen und Normen
definierten Begriffe, dann international gebräuchliche Begriffe
verwendet.
Autor(en):
Rainer Hörbe (Wien)
Projektteam / Arbeitsgruppe
AG Integration und Zugänge (AG-IZ)
AG-Leiter: Peter Pfläging (Wien)
Stellvertreter: D.I. Peter Reichstädter (BKA)
Beiträge von:
Version 1.0.0 : 31.8.2011
Angenommen: 14.10.2011
VST-1712/455
AG-IZ-IDM-Glossar
Seite 1/18
31. August 2011
Arbeitsgruppe: AG-IZ
IDM Glossar
Inhaltsverzeichnis
1 Account ............................................................................................................................. 4
2 Antragsteller – Applicant ...................................................................................................... 4
3 Anwendbarkeitsfeststellung - Statement of Applicability (SOA) ............................................... 4
4 Anwendungsverantwortlicher – Service Provider (SP)............................................................. 4
5 Assertion ........................................................................................................................... 5
6 Attribute Provider (AP) ....................................................................................................... 5
7 Authentifizierung – Authentication (AuthN) ........................................................................... 6
8 Authentifizierungsinstanz ..................................................................................................... 6
9 Authentifizierungsprotokoll................................................................................................... 7
10 Authentifizierungstoken (siehe
Token) ............................................................................ 7
11 Autorisierung .................................................................................................................... 7
12 Benutzer ........................................................................................................................... 7
13 Benutzer- und Rechteverwaltung - User Provisioning ........................................................... 7
14 Bestandgeber.................................................................................................................... 8
15 Betroffener ....................................................................................................................... 8
16 Circle of Trust (CoT), Föderation ........................................................................................ 8
17 Claim................................................................................................................................ 9
18 Credential ......................................................................................................................... 9
19 Credential Service Provider (CSP) ....................................................................................... 9
20 Cross-Federation ............................................................................................................. 10
21 Föderierte Identität – Federated Identity .......................................................................... 10
22 Geschützer Bereich .......................................................................................................... 10
23 Identität ......................................................................................................................... 10
24 Identity Provider (IdP) ..................................................................................................... 11
25 IdP-Discovery ................................................................................................................. 12
26 Informationssicherheit ..................................................................................................... 12
27 Informationssicherheits-Managementsystem Information Security Management System (ISMS) .................................................................... 12
28 IT-Grundschutz - Baseline Security ................................................................................... 12
29 Kompromittierung ........................................................................................................... 12
30 Policy ............................................................................................................................. 13
31 Principal ......................................................................................................................... 13
32 Principal Identifier ........................................................................................................... 13
33 Registrierungsstelle (RA) – Registration Authority .............................................................. 14
AG-IZ-IDM-Glossar
Seite 2/18
31. August 2011
Arbeitsgruppe: AG-IZ
IDM Glossar
34 Relying Party (RP) ........................................................................................................... 14
35 Recht ............................................................................................................................. 14
36 Rolle .............................................................................................................................. 14
37 Selbst behauptete Identität .............................................................................................. 15
38 Session ........................................................................................................................... 15
39 Security Context .............................................................................................................. 15
40 Sicherheitsklasse – Assurance Level (AL) .......................................................................... 16
41 Stammorganisation – User Home Organization ................................................................. 17
42 Teilnehmer ..................................................................................................................... 17
43 Token, Authentifizierungstoken ........................................................................................ 17
44 Verbindlichkeit, Nicht-Bestreitbarkeit - Non-Repudiation ..................................................... 18
AG-IZ-IDM-Glossar
Seite 3/18
31. August 2011
Arbeitsgruppe: AG-IZ
IDM Glossar
1 Account
1.1 AG-IZ
Eine lokale Repräsentation eines Principals bei einem Provider.
Erläuterung: Ein Account kann ein Eintrag in einem Verzeichnis beim IdP sein, ein Zertifikat
auf einem HW-Token, ein Objekt in der Benutzerdatenbank eines SP.
1.2 MA14
Eine elektronische Identität eines Benutzers, dessen Identität nicht verifiziert ist.
1.3 STORK, SAML
Typically a formal business agreement for providing regular transactions and services
between a principal and the business service providers.
1.4 Wikipedia.org
Ein Benutzerkonto oder kurz Nutzerkonto (engl. user account) ist eine Zugangsberechtigung
zu einem zugangsbeschränkten IT-System.
2 Antragsteller – Applicant
2.1 AG-IZ
Ein Betroffener, der ein Credential bei einer Registrierungsstelle beantragt.
2.2 NIST SP 800-63
An individual applying for one or more services.
3 Anwendbarkeitsfeststellung - Statement of Applicability (SOA)
3.1 ISO 27001:2005 (3.16 Feststellung der Anwendbarkeit)
Dokument, das die Maßnahmenziele und Maßnahmen beschreibt, die für das ISMS einer
Organisation relevant und anwendbar sind.
ANMERKUNG: Maßnahmenziele und Maßnahmen basieren auf den Ergebnissen und
Schlussfolgerungen der Risikobewertungs- und Risikobehandlungsprozesse, gesetzlichen
oder behördlichen Anforderungen, vertraglichen Verpflichtungen und den
Geschäftsanforderungen der Organisation an Informationssicherheit.
4 Anwendungsverantwortlicher – Service Provider (SP)
4.1 AG-IZ
Ein Anwendungsverantwortlicher ist definiert als jener Rechtsträger oder dessen Organ, in
dessen Verantwortung die Einräumung von Zugriffsrechten auf eine Datenanwendung fällt;
dies ist der Auftraggeber (§ 4 Z 4 DSG 2000) bzw. bei einem Informationsverbundsystem iSd
§ 4 Z 13 DSG 2000 dessen Betreiber (§ 50 DSG 2000). Der Begriff der Datenanwendung wird
erweitert auf jede elektronischen Kommunikation zwischen autonomen Teilnehmern, auch
Vermittlungsdienstleistungen und Datenanwendungen, die nicht dem österreichischen DSG
AG-IZ-IDM-Glossar
Seite 4/18
31. August 2011
Arbeitsgruppe: AG-IZ
IDM Glossar
2000 unterliegen.
4.2 PVV
Ein Anwendungsverantwortlicher ist definiert als jener Rechtsträger oder dessen Organ, in
dessen Verantwortung die Einräumung von Zugriffsrechten auf eine Datenanwendung fällt;
dies ist der Auftraggeber (§ 4 Z 4 DSG 2000) bzw. bei einem Informationsverbundsystem iSd
§ 4 Z 13 DSG dessen Betreiber (§ 50 DSG 2000).
4.3 STORK
A role donned by a system entity where the system entity provides services to Principals or
other system entities. This would usually refer to a web site or other application provider.
5 Assertion
5.1 AG-IZ
Die Bestätigung einer Identität oder von Attributen eines Principals durch einen Verifier. Ein
Verifier ist der technische Agent eines IdP.
5.2 Kantara Initiative
A statement from a verifier to a relying party that contains identity or other information
about a subscriber.
5.3 SAML 2.0
A piece of data produced by a SAML authority regarding either an act of authentication
performed on a subject, attribute information about the subject, or authorization data
applying to the subject with respect to a specified resource.
5.4 STORK
A set of statements that can be evaluated by an authority (usually an Identity Provider)
concerning a principal. The statements can be concerning identifying information (e.g.
name) as well as attributes (e.g. role). An assertion can also be thought of as being a set of
claims about a principal.
6 Attribute Provider (AP)
6.1 AG-IZ
Ein Provider der Attribute, Rechte und Rollen zu Principals verwaltet und gegenüber SP
bestätigt.
Anmerkung: Derzeit wird in der Terminologie keine Unterscheidung getroffen zwischen den
Stellen, die einerseits für die Verwaltung und Richtigkeit der Attribute und andererseits für
die Bereitstellung des technischen Dienstes zuständig sind.
6.2 Kantara Initiative
Attribute authority: Allows trusted partner sites to query a subject’s attributes.
6.3 STORK
Attribute Provider: A type of service provider that creates, maintains, and manages attributes
AG-IZ-IDM-Glossar
Seite 5/18
31. August 2011
Arbeitsgruppe: AG-IZ
IDM Glossar
for Principals and may provide User Attribute Transfer/ attribute verification to service
providers (e.g. within a federation).
6.4 X.509:2005
Attribute authority: An authority which assigns privileges by issuing attribute certificates.
7 Authentifizierung – Authentication (AuthN)
7.1 AG-IZ
Die Bestätigung der behaupteten Identität eines Betroffenen in einer elektronischen
Kommunikation mit einer definierten Vertrauensstufe.
7.2 PVV
Überprüfung der Identität eines Benutzers im Zuge des Anmeldevorganges.
7.3 STORK
The corroboration of a claimed information (e.g. a set of attributes) with a specified, or
understood, level of confidence.
Authentication may be used during any identity management process.
Authentication serves to demonstrate the integrity (i.e. equivalence to a corresponding
reality) and origin (i.e. the source) of what is being pretended (the claimed information).
The security and reliability of authentication mechanisms may vary dependant on the desired
authentication level. The stronger the authentication, the higher the confidence that an
entity corresponds with the claimed set of attributes.
Authentication is typically subdivided into two separate classes: data authentication and
entity authentication. For this reason, autonomous use of the term “authentication” (without
specifying the term of authentication) should be avoided, as it is subject to
(mis)interpretation.
Authentication can be unilateral or mutual. Unilateral authentication provides assurance of
the identity of only one entity, where mutual authentication provides assurance of the
identities of both entities.
8 Authentifizierungsinstanz
8.1 AG-IZ
In jeder authentifizierten Transaktion muss eine Prüfinstanz verifizieren, dass das Token im
Eigentum und unter Kontrolle des Benutzers ist, die seine Identität nachweisen. Diese
Authentifizierungsinstanz kann Teil des CSP, Teil des Service Providers oder unabhängig von
beiden sein. Viele Authentifizierungsprotokolle sind so konzipiert, dass die Prüfinstanz weder
vor noch durch die Prüfung von geheimen Schlüsselmaterial oder biometrischen Eigenschaften Wissen erwirbt. Wenn die Authentifizierungsinstanz und die Relying Party getrennt
sind, wird das Resultat einer Authentifizierung in Form einer Zusicherung (Assertion) an die
Relying Party weiter geleitet.
9 Authentifizierungsprotokoll
9.1 AG-IZ
Ein Authentifizierungsprotokoll ist eine definierte Sequenz von Meldungen zwischen einer
AG-IZ-IDM-Glossar
Seite 6/18
31. August 2011
Arbeitsgruppe: AG-IZ
IDM Glossar
Person oder einem Agenten, das der Authentifizierungsinstanz ermöglicht zu überprüfen, ob
die Person oder der Agent die Kontrolle über ein gültiges Token besitzt.
9.2 NIST SP 800-63
A well specified message exchange process that verifies possession of a token to remotely
authenticate a claimant. Some authentication protocols also generate cryptographic keys
that are used to protect an entire session, so that the data transferred in the session is
cryptographically protected.
10 Authentifizierungstoken (siehe
Token)
11 Autorisierung
11.1 AG-IZ
Das für den Zugriff auf bestimmte Dienste eines SP bestätigte Rechteprofil eines Principals.
11.2 Kantara Initiative
A right or a permission that is granted to a system entity to perform an action.
12 Benutzer
12.1 AG-IZ
Principals, die natürliche Personen sind.
13 Benutzer- und Rechteverwaltung - User Provisioning
13.1 AG-IZ
Das Management von Principals über ihren Lebenszyklus, in dem eine Person identifiziert
wird und ihre Attribute bestätigt werden. Der Lebenszyklus besteht aus folgenden Phasen:
ñ Registratur/Erstellung: Die Registratur prüft die Identität des Antragstellers. Das
Ergebnis ist, dass für einen Principal die Verknüpfung zwischen seinen
Identitätsdaten, einem (oder mehreren) Principal Identifier(n), einem (der
mehreren) Authentifizierungstoken und die Verbindung zum Antragsteller (z.B. der
Stammorganisation) hergestellt ist.
ñ Provisioning: Dem Principal werden Attribute, öffentliche und organisatorische
Rollen und Rechte zugewiesen und wieder entfernt. Identitätsdaten (Namen)
können geändert werden.
ñ Account Linking: Der Principal wird mit seinem jeweiligen Account bei SP
zusammengeführt.
ñ Beendigung: Der Principal und seine Accounts werden deaktiviert und nach einer
definierten Zeit gelöscht.
13.2 Wikipedia.org
User provisioning refers to the creation, maintenance and deactivation of user objects and
user attributes, as they exist in one or more systems, directories or applications, in response
to automated or interactive business processes. User provisioning software may include one
AG-IZ-IDM-Glossar
Seite 7/18
31. August 2011
Arbeitsgruppe: AG-IZ
IDM Glossar
or more of the following processes: change propagation, self service workflow, consolidated
user administration, delegated user administration, and federated change control. User
objects may represent employees, contractors, vendors, partners, customers or other
recipients of a service. Services may include electronic mail, inclusion in a published user
directory, access to a database, access to a network or mainframe, etc. User provisioning is
a type of identity management software, particularly useful within organizations, where users
may be represented by multiple objects on multiple systems.
13.3 STORK
The process in which the entity is identified and/or other attributes are corroborated.
Because of the registration, a partial identity is assigned to the entity for a certain context.
14 Bestandgeber
14.1 AG-IZ
Einrichtung, die als Attribute Provider öffentliche Rollen von Betroffenen bestätigt, die in
einer separaten Spezifikation (geeignet wäre „Object Identifier der öffentlichen Verwaltung“)
definiert und fortgeschrieben werden, wie z.B.:
ñ Berufsstand (Apotheker, Arzt, Rechtsanwalt, ..)
ñ Qualifikationen (z.B. Neurologe)
ñ Gesetzlich definierte Rollen wie die diversen Vertretungsbefugten von Personen, wie
Geschäftsführer, Approbationsbefugte, Sachwalter, Postvollmacht ..
ñ Unternehmereigenschaften (UID, Firmenbuchnummer, Kammerzugehörigkeit)
ñ Zulassungen (gerichtlich beeideter SV, gewerbliche Konzessionen, ..).
15 Betroffener
15.1 AG-IZ, eGovG
Jede natürliche Person, juristische Person sowie sonstige Personenmehrheit oder
Einrichtung, der bei ihrer Teilnahme am Rechts- oder Wirtschaftsverkehr eine eigene
Identität zukommt.
Anmerkung: Auch Bevollmächtige sind Betroffene.
16 Circle of Trust (CoT), Föderation
16.1 AG-IZ
Ein CoT ist ein sicherer Verbund zwischen kooperierenden Organisationen, welche
verschiedene IT-Systeme verwenden, um elektronische Identitäten und Attribute
vertrauensvoll untereinander auszutauschen.
Der Verwaltungsportalverbund ist ein Beispiel für einen CoT.
16.2 iam-wiki.org
CoT: Sicherer Verbund zwischen verschiedenen IT-Systemen kooperierenden Unternehmen,
um digitale Identitätsinformationen vertrauensvoll untereinander auszutauschen.
16.3 Kantara Initiative
CoT: A federation of service providers and identity providers that have business relationships
based on Liberty architecture and operational agreements and with whom users can transact
business in a secure and apparently seamless environment.
AG-IZ-IDM-Glossar
Seite 8/18
31. August 2011
Arbeitsgruppe: AG-IZ
IDM Glossar
16.4 PVV
Portalverbundsystem: die Gesamtheit der mit gegenseitigem Vertrauen ausgestatteten
Stamm- und Anwendungsportale, die von den Teilnehmern (Z 5) eingerichtet sind oder in
ihrem Auftrag betrieben werden, um den elektronischen Zugriff auf Datenanwendungen
durch Bedienstete oder sonstige Beauftragte von Teilnehmern im e-Government zu
organisieren.
17 Claim
Von der AG-IZ wird dafür der Begriff Attribut verwendet.
17.1 STORK
An statement made by one entity about itself or another entity that a relying party considers
to be “in doubt” until it passes “Claims Approval”.
17.2 OASIS/WS-Security
Declaration made by an entity (e.g. name, identity, key, group, privilege, capability, etc).
18 Credential
18.1 AG-IZ
Ein Credential ist ein Datenobjekt, das einen Principal an ein Authentifizierungs-Token
bindet.
Beispiele für Credentials sind: X.509-Zertifikate, Kerberos-Tickets, UserID/Passwort-Paar.
18.2 NIST SP 800-63
An object that authoritatively binds an identity (and optionally, additional attributes) to a
token possessed and controlled by a person.
18.3 STORK
Data issued to an individual by a third party with a relevant authority or assumed
competence to do so that is presented to provide evidence of a claim. A credential is a piece
of information asserting to the integrity of certain stated facts.
19 Credential Service Provider (CSP)
19.1 AG-IZ
Der CSP stellt Credentials aus, um eine eindeutige Verbindung von Principal und
Authentication-Token zu erstellen.
19.2 NIST SP 800-63
A trusted entity that issues or registers subscriber tokens and issues electronic credentials to
subscribers. The CSP may encompass Registration Authorities and verifiers that it operates.
A CSP may be an independent third party, or may issue credentials for its own use.
19.3 Kantara/Kantara Initiative
An electronic trust service provider that operates one or more credential services. A CSP can
include a Registration Authority.
AG-IZ-IDM-Glossar
Seite 9/18
31. August 2011
Arbeitsgruppe: AG-IZ
IDM Glossar
20 Cross-Federation
20.1 AG-IZ
Die formelle Abstimmung von Sicherheitsvereinbarungen zwischen verschiedenen CoT.
21 Föderierte Identität – Federated Identity
21.1 AG-IZ
Die Erweiterung des Geltungsbereichs eines Accounts von einem einzelnen organisatorischen
Kontext zu anderen SP in einem Circle of Trust.
21.2 STORK
Credential of an entity that links an entity’s partial identity from one context to a partial
identity from another context.
21.3 Kantara Initiative
Identity federation: Associating, connecting, or binding multiple accounts for a given
Principal at various Kantara Initiative entities within a circle of trust.
22 Geschützer Bereich
22.1 AG-IZ (SecClass 3.0)
Durch physische Zutrittskontrolle und netzwerktechnische Abschottung geschaffener Bereich
für den Betrieb von IT-Systemen.
22.2 AG-IZ (SecClass 2.1)
Die zugriffsberechtigte Stelle hat in ihrer Sicherheitsrichtlinie festzulegen, wie die physische
und netzwerktechnische Kontrolle umzusetzen ist. Mit der physischen Kontrolle muss
verhindert werden, dass unbekannte oder nicht vertrauenswürdige Personen Zutritt zum
Gerät haben. Mit der netzwerktechnischen Kontrolle ist möglichst zu unterbinden, dass
unerlaubte Zugriffe überhaupt das Gerät erreichen, etwa durch den Einsatz von Firewalls und
Content-Filtern.
23 Identität
Anmerkung: Der Begriff Identität wird im Kontext der physischen und elektronischen Identität
verwendet. Einerseits bei der Registratur als Ergebnis der Identitätsfeststellung einer Person,
andererseits bei der Authentifizierung, wo die Identität eines Principals einem Service Provider
nachgewiesen wird. Das Wort „identifizieren“ ist kein Synonym für „authentifizieren“, sondern nur im
Kontext der Registratur gültig.
23.1 AG-IZ, EgovG
Die Bezeichnung der Nämlichkeit von Betroffenen ( Z7) durch Merkmale, die in besonderer
Weise geeignet sind, ihre Unterscheidbarkeit von anderen zu ermöglichen; solche Merkmale
sind insbesondere der Name, das Geburtsdatum und der Geburtsort, aber auch etwa die
Firma oder (alpha)numerische Bezeichnungen.
Für Geräte, Dienste und Netzwerke ist die Identität eine von ihrem Verantwortlichkeiten
zugewiesene Kennung die sie eindeutig unterscheidbar macht.
AG-IZ-IDM-Glossar
Seite 10/18
31. August 2011
Arbeitsgruppe: AG-IZ
IDM Glossar
23.2 Kantara Initiative
The essence of an entity and often described by its characteristics.
23.3 STORK
The fact of being what an entity (person or a thing) is, and the characteristics determining
this. It is a collection of attributes.
23.4 NIST SP 800-63
A unique name of an individual person. Since the legal names of persons are not necessarily
unique, the identity of a person must include sufficient additional information (for example
an address, or some unique identifier such as an employee or account number) to make the
complete name unique.
23.5 ITU-T X.1250
Identität ist die strukturierte Darstellung einer Entität durch eine oder mehrere
Echtheitsbestätigungen, Bezeichner, Attribute oder Verhaltensmuster in einem bestimmten
Kontext.
23.6 ITU-T Rec. Y.2720
Information about an entity that is sufficient to identify that entity in a particular context.
23.7 Wordnet, Princeton University
The individual characteristics by which a thing or person is recognized or known.
24 Identity Provider (IdP)
Der Begriff meistens für die betrieblichen und technischen Aspekte einer Entität verwendet,
die Registrierungsstelle, Credential Service-Provider und Attribute-Provider in einem ist. IdP
wird auch als Synonym zu CSP oder CSP/RA verwendet.
24.1 AG-IZ
Ein IdP bestätigt einem SP die Identität eines Principals.
Ein Identity Provider besteht aus mindestens einer Registrierungsstelle (RA) und mindestens
einem Credential Service Provider (CSP). RA und CSP können organisatorisch unabhängig
oder auch ident sein. Ein Service kann gleichzeitig IdP und Attribute Authority sein.
24.2 Kantara Initiative
A Liberty-enabled entity that creates, maintains, and manages identity information for
Principals and provides Principal authentication to other service providers within a circle of
trust.
24.3 OASIS/WS-Trust
Security Token Service (STS): A (STS) is a Web service that issues security tokens [ WSSecurity]. That is, it makes assertions based on evidence that it trusts, to whoever trusts it
(or to specific recipients). To communicate trust, a service requires proof, such as a
signature to prove knowledge of a security token or set of security tokens. A service itself
can generate tokens or it can rely on a separate STS to issue a security token with its own
trust statement (note that for some security token formats this can just be a re-issuance or
co-signature). This forms the basis of trust brokering.
AG-IZ-IDM-Glossar
Seite 11/18
31. August 2011
Arbeitsgruppe: AG-IZ
IDM Glossar
24.4 STORK
A service provider that creates, maintains, and manages identity information for Principals
and may provide User Authentication to service providers (e.g within a federation).
25 IdP-Discovery
25.1 AG-IZ
Der IDP-Discovery-Dienst ermöglicht einem SP dem Benutzer automatisch seinen IdP vor der
Authentifizierung zuzuordnen.
Anmerkung: Die Zuordnung kann vom Netzwerk des Benutzers oder einer erstmaligen
manuellen Einstellung abgeleitet werden.
26 Informationssicherheit
26.1 ISO 27005:2005
Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen;
andere Eigenschaften wie Authentizität, Zurechenbarkeit, Nichtabstreitbarkeit und
Verlässlichkeit können ebenfalls berücksichtigt werden
27 Informationssicherheits-Managementsystem Information Security Management System (ISMS)
27.1 ISO 27001:2005
Der Teil des gesamten Managementsystems, der auf der Basis eines Geschäftsrisikoansatzes die
Errichtung, die Umsetzung, den Betrieb, die Überwachung, die Überprüfung, die Instandhaltung und die
Verbesserung der Informationssicherheit abdeckt.
ANMERKUNG: Das Managementsystem enthält die Struktur, Grundsätze, Planungsaktivitäten,
Verantwortlichkeiten, Praktiken, Verfahren, Prozesse und Ressourcen der Organisation.
28 IT-Grundschutz - Baseline Security
28.1 BSI
umfasst Standard-Sicherheitsmaßnahmen für typische IT-Systeme mit ‚normalem’
Schutzbedarf“.
29 Kompromittierung
29.1 AG-IZ
Die Beeinträchtigung von Sicherheitsmaßnahmen oder Sicherheitstechnik, sodass das im
Informationssicherheitskonzept definierte Sicherheitsniveau nicht eingehalten ist.
29.2 SigG
Die Beeinträchtigung von Sicherheitsmaßnahmen oder Sicherheitstechnik, sodaß das vom
ZDA (Zertifizierungsdienstanbieter) zugrundegelegte Sicherheitsniveau nicht eingehalten ist.
AG-IZ-IDM-Glossar
Seite 12/18
31. August 2011
Arbeitsgruppe: AG-IZ
IDM Glossar
30 Policy
30.1 AG-IZ
Die Policy bestimmt die Attribute von Principals, die für eine Zugriffsentscheidung
erforderlich sind. Policies werden auf verschiedenen Ebenen definiert: Federation, Service
und Principal. Beim Zugriff eines Principals auf ein Service wird die für das Service relevante
Policy des Benutzers übergeben und vom Service interpretiert.
31 Principal
31.1 AG-IZ
Principals sind Datenobjekte die Betroffene repräsentieren, die bei einem Identity Provider
(z.B. für die Durchführung von Transaktionen, Zugriff auf Datenanwendungen und
Kommunikation) registriert und berechtigt sind.
Principals haben Accounts.
31.2 NIST SP 800-63
Subject: The person whose identity is bound in a particular credential.
31.3 PVV
Bedienstete oder sonstige von einer zugriffsberechtigten Stelle beauftragte physische
Personen, welchen in einem Stammportal Zugriffsrechte auf Datenanwendungen im
Portalverbundsystem zugeordnet sind.
31.4 SAML 2.0
Principal: A system entity whose identity can be authenticated. [X.811]
Subject: A principal in the context of a security domain. SAML assertions make declarations
about subjects.
31.5 STORK
A principal is synonymous with an Identifiable Entity. A principal could be any identifiable
entity, e.g a computer system, but it usually refers to an identifiable user of a system.
32 Principal Identifier
32.1 AG-IZ
Ein Datenelement, das einen Principal eindeutig repräsentiert. Der Identifier kann
verschlüsselt sein.
32.2 PVP 1.9
Die Spezifikation des PVP-Tokens kennt folgende Identifier im Kontext der Authentifizierung:
ñ die UserId, mit der der Benutzer am Stammportal authentifiziert ist. (LDAP:
gvOrgPerson/uid) oder abgekürzte Bezeichnung des System-Principals in der Form
Anwendung.Subsystem,
ñ die gvGid, das ist ein global eindeutiger Identifier
ñ die bPK der Person, und
ñ die participantId, das ist Org-ID des Participants, bei dem der Benutzer registriert
AG-IZ-IDM-Glossar
Seite 13/18
31. August 2011
Arbeitsgruppe: AG-IZ
IDM Glossar
ist.
32.3 SAML 2.0
SAML definiert den Name Identifier um einen Principal zu repräsentieren. Der NameIdentifier
kann ein String, ein verschlüsseltes Element oder für eine für eine Sicherheitsdomäne
spezifische Definition sein. Er hat kann ein definiertes Format und optional eine Qualifikation
haben.
33 Registrierungsstelle (RA) – Registration Authority
Eine RA ist die äquivalente Funktion zur
Registratur der Benutzer- und Rechteverwaltung.
33.1 AG-IZ
Die RA verbürgt dass der durch ein oder mehrere Attribut(e) identifizierte Antragsteller Besitz
und Kontrolle eines diesem Antragsteller zugeordneten Authentifizierungstokens ausübt.
34 Relying Party (RP)
Anmerkung: Der Begriff Relying Party kommt aus einer anwendungszentrischen Sichtweise,
bei der in erster Linie das Vertrauen des Anwendungsverantwortlichen in die Identität des
Benutzers zu sichern ist.
RP ist auch ein Überbegriff von Service-Provider, Network-Provider (Telefonie, ..) und
Dokumentempfänger (Überprüfer eine digitalen Signatur).
Im Portalverbund wird statt RP der Begriff SP verwendet.
34.1 STORK
An individual, organization or service that depends on claims provider about a subject to
control access to and personalization of a service.
35 Recht
35.1 PVV
Im Portalverbund wird statt dem Begriff Rolle nur das Zugriffsrecht ohne weitere Definition
verwendet, da Berechtigungen unabhängig vom Modell des Berechtigungssystem (DAC,
MAC, RBAC, ABAC) gelten.
Weiters wird der Begriff Rechteprofil (oder Zugriffsprofil) verwendet, womit eine Sammlung
von Rechten für einen Benutzer oder eine Nutzergruppe für eine bestimmte Anwendung
(also meistens einen bestimmten URL-Namensraum) gemeint ist.
Praktisch werden aber zwischen Stamm- und Anwendungsportalen Rollen übertragen, und
das entsprechende Element im PVP-Token heißt auch Authorize-role.
36 Rolle
Der Begriff Rolle wird im Kontext des Identity Management mehrfach verwendet, um
Eigenschaften unabhängig von einer konkreten Person zu definieren:
ñ Eine Rolle aggregiert Einzelrechte einer Anwendung unter einer spezifischen
Bedeutung für die Anwendergruppen.
ñ Eine Rolle beschreibt Aufgaben oder organisatorische Funktionen.
AG-IZ-IDM-Glossar
Seite 14/18
31. August 2011
Arbeitsgruppe: AG-IZ
IDM Glossar
ñ Eine Rolle beschreibt Eigenschaften von Berufsgruppen (Rechtsanwalt, Arzt)
ñ Eine Rolle beschreibt eine spezifische Qualifikation eines GDA (Neurologe)
ñ Eine Rolle kennzeichnet Eigenschaften von juristischen Personen (Behörde)
RBAC (rollenbasierte Zugriffskontrolle) basiert jedoch immer darauf, dass zwischen
Benutzerverwaltung und Anwendung ein gemeinsames Verständnis der Rollen erreicht
wurde, unabhängig davon wer die Hoheit über die Rollendefinition hat.
In Enterprise-Umgebungen fallen diese Definitionen von Rollen seltener auseinander,
zwischen Organisationen kann jedoch kein einheitliches Rollenmodell erstellt werden. Für die
klare Bedeutungsunterscheidung werden daher in der AG-IZ nur spezifische Begriffe
definiert.
36.1 AG-IZ
Öffentliche Rollen sind durch Bestandgeber bestätigte Eigenschaften eines Principals.
Organisatorische Rollen sind durch Principals bestätigte Eigenschaften von seinen Benutzern.
Typischerweise sind das Funktionsträger in der Aufbauorganisation oder Projekten.
Anwendungsrollen sind von der Anwendung vorgegebene, funktional gegliederte
Aggregationen von Rechten.
36.2 RBAC
Job function or title which defines an authority level.
37 Selbst behauptete Identität
37.1 AG-IZ
Die Bezeichnung von Betroffenen in der Weise, dass zwar nicht ihre eindeutige Identität,
aber ihre Wiedererkennung im Hinblick auf zeitlich verteile Interaktionen gesichert ist.
38 Session
38.1 AG-IZ
Der Zeitraum zwischen erfolgreicher Authentifizierung von B durch A bis A aufhört der
Identitätszusicherung von B zu vertrauen und eine Reauthentifizierung fordert. Anders
betrachtet der Zustand zwischen erfolgreichem Login und Logout/Timeout eines Principals.
38.2 Kantara Initiative
The period of time starting after A has authenticated B and until A stops trusting B’s identity
assertion and requires reauthentication. Also known just as “session,” it is the state between
a successful login and a successful logout by the Principal. (Synonymous: authentication
session)
39 Security Context
39.1 AG-IZ
Der Zusammenhang von Sicherheitsattributen, -regeln und -Token die bestimmen welche
Operationen auf welchen Objekten in einer Transaktion oder Session zwischen identifizierten
Partnern erlaubt sind.
AG-IZ-IDM-Glossar
Seite 15/18
31. August 2011
Arbeitsgruppe: AG-IZ
IDM Glossar
39.2 STORK
With respect to an individual SAML protocol message, the message's security context is the
semantic union of the message's security header blocks (if any) along with other security
mechanisms that may be employed in the message's delivery to a recipient. With respect to
the latter, an examples are security mechanisms employed at lower network stack layers
such as HTTP, TLS/SSL, IPSEC, etc.
With respect to a system entity, "Alice", interacting with another system entity, "Bob", a
security context is nominally the semantic union of all employed security mechanisms across
all network connections between Alice and Bob. Alice and Bob may each individually be, for
example, a provider or a user agent. This notion of security context is similar to the notion of
"security contexts" as employed in [RFC2743], and in the Distributed Computing
Environment [DCE], for example.
40 Sicherheitsklasse – Assurance Level (AL)
40.1 AG-IZ
Eine Sicherheitsklasse spezifiziert Risikokategorie eines zu schützenden Objekts und die zur
Erfüllung der Schutzziele erforderlichen Maßnahmen.
Die Reduktion von anwendungsspezifischen Risikoprofilen auf Sicherheitsklassen vereinfacht
die Aushandlung von Zugriffsrechten, indem spezifische Sicherheitsanforderungen
weitgehend vermieden werden.
40.2 STORK
A relative measure (e.g., low, medium, high) of the strength of assurance that can be placed
in an identity claim. A lower level of assurance means less certainty in an identity claim,
while a higher level of assurance indicates a higher degree of certainty.
Assurance levels cannot be pre-established. They are established through authentication
events and are dependent on a number of factors including: the rigorousness of the original
registration and identity proofing process; the strength of the presented credential; the
authentication event itself (i.e., successful log-on, in person verification); and, the underlying
infrastructure/environment within which the authentication event occurs.
40.3 PVV
Die in „SecClass“ verbindlich festgelegten Standards für das Sicherheitsmanagement im
Portalverbundsystem.
40.4 Kantara/Kantara Initiative (Level of Assurance)
A degree of certainty that a claimant has presented a credential that refers to the claimant’s
identity. Each assurance level expresses a degree of confidence in the process used to
establish the identity of the individual to whom the credential was issued and a degree of
confidence that the individual who uses the credential is the individual to whom the
credential was issued.
41 Stammorganisation – User Home Organization
41.1 AG-IZ
Jene Betroffene, der ihr zugeteilte Zugriffsrechte an natürliche Personen delegiert,
mit denen eine rechtliche (vertragliche) Beziehung besteht, die zur Ausübung der
AG-IZ-IDM-Glossar
Seite 16/18
31. August 2011
Arbeitsgruppe: AG-IZ
IDM Glossar
Zugriffsberechtigtigungen ermächtigt.
41.2 RFC 2904
A User Home Organization (UHO) that has an agreement with the user and checks whether
the user is allowed to obtain the requested service or resource. This entity may carry
information required to authorize the User, which might not be known to the Service
Provider (such as a credit limit).
41.3 PVV
zugriffsberechtigte Stelle: Einrichtung, der aufgrund ihrer gesetzlichen Aufgaben und der
Vorgaben des Anwendungsverantwortlichen Zugriffsrechte auf eine oder mehrere
Datenanwendungen eingeräumt wurden.
42 Teilnehmer
42.1 AG-IZ
Anbieter von Diensten in einem Circle of Trust, wie etwa Identity-, Attribute- oder ServiceProvider..
42.2 PVV
Jene (Organe von) Gebietskörperschaften, anderen Körperschaften des öffentlichen Rechts
oder sonstigen staatliche Aufgaben besorgenden Institutionen, die gemäß § 1 erklärt haben,
als Portalbetreiber oder Anwendungsverantwortlicher am Portalverbundsystem [ Circle of
Trust] teilzunehmen.
43 Token, Authentifizierungstoken
Der Begriff Token ist je nach Kontext unterschiedlich besetzt und wird für sich in der AG-IZBegriffswelt nicht alleine stehend verwendet.
43.1 AG-IZ
Authentifizierungs-Token sind Objekte, die Benutzer unmittelbar haben oder wissen, und
werden benutzt um ihre Identität gegenüber einem Provider zu überprüfen. Daher müssen
Token geschützt1 sein.
Allgemein werden Token nach ihren Faktoren unterschieden: Wissen, Besitz oder
biometrische Eigenschaft.
Token werden entsprechend ihrer Robustheit gegen Angriffe klassifiziert.
43.2 NIST SP 800-63
Something that the claimant possesses and controls (typically a key or password) used to
authenticate the claimant’s identity.
43.3 STORK
Token: Any hardware or software that contains credentials related to attributes. Tokens may
take any form, ranging from a digital data set to smart cards or mobile phones. Tokens can
be used for both data/entity authentication (authentication tokens) and authorisation
purposes (authorisation tokens). Tokens can be separated into “Hardware Tokens” and
1
Biometrische Merkmale werden als geschützt betrachtet.
AG-IZ-IDM-Glossar
Seite 17/18
31. August 2011
Arbeitsgruppe: AG-IZ
IDM Glossar
“Software Tokens”.
Hardware Token: A hardware token is a physical token (see “Token), that contains
credentials, i.e. information attesting to the integrity of identity attributes. Proving physical
possession of the token may involve one of several techniques, including the supply of a PIN
or biometric.
Identity Token: Any hardware or software or combination thereof that contains credentials.
It is a token given to a specific entity to prove his/her identity. Examples include smart
cards/USB sticks/cell phones containing PKI certificates, etc.
43.4 WS-Security
Security Token: A security token represents a collection (one or more) of claims.
Signed Security Token: Security token that is cryptographically endorsed by a specific
authority, e.g. SAML assertion, X.509 certificate, kerberos ticket.
44 Verbindlichkeit, Nicht-Bestreitbarkeit - Non-Repudiation
Anmerkung: Der Begriff wird primär zur Beschreibung eines kryptographischen
Sicherheitsmerkmals verwendet. Aus rechtlicher und ISMS-Sicht ist dagegen die
Zurechenbarkeit wichtig, die üblicherweise aus Protokollen abgeleitet wird.
44.1 AG-IZ
Der kryptographische Nachweis, dass eine Aktivität, etwa eine Willenserklärung, durch den
Verfüger des Schlüsselmaterials erfolgte.
44.2 STORK
The ability to link an action to an identity in such a way that the person can not claim they
did not perform the action at a later date.
AG-IZ-IDM-Glossar
Seite 18/18
31. August 2011

Similar documents