Zum Inhalt springen

IPG Glossar

Begriffe und Definitionen im Themengebiet Identity. Access. Governance. Für ein gemeinsames Verständnis.

  weiter   jetzt persönlich beraten lassen

Begriffe

A

Access

Bezeichnung für einen Zugriff von einem Subjekt (Benutzer, Dienst, etc.) auf ein Objekt (z.B. Datei, Datenbank, Applikation, etc.)

mehr erfahren
Access Governance

Access Governance ist die Ausprägung von Governance, bezogen auf das Identity und Access Management im Unternehmen. Access Governance ermöglicht die Steuerung und Kontrolle von Berechtigungen.

mehr erfahren
Access Management

Access Management umfasst alle Massnahmen für den sicheren Zugriff auf Anwendungen (Zugriffkontrolle).
Dazu gehören die Authentisierung [siehe Authentisierung], Authentifizierung [siehe Authentifizierung] und Autorisierung [siehe Autorisierung] sowie unterstützende und übergreifende Sicherheitstechniken bzw. Themenfelder wie Single Sign On (SSO), PKI, Verschlüsselung, Biometrie.

mehr erfahren
Account

[siehe Benutzerkonto]

mehr erfahren
ACE

Access Control Entries – dies entspricht den einzelnen Einträgen der so genannten ACL [siehe ACL]. Ein ACE enthält die Information, ob ein Benutzer oder eine Benutzergruppe auf eine Ressource zugreifen darf oder nicht.

mehr erfahren
ACL

Access Control List (ACL), deutsch Zugriffssteuerungsliste. Eine ACL entspricht einer Software-Technik, die festlegt, in welchem Umfang Benutzer auf Ressourcen zugreifen dürfen.

mehr erfahren
Active Directory

Der Active Directory ist eine geschützte Bezeichnung von Microsoft. Es definiert den in der Windows-Server-Architektur integrierte Verzeichnisdienst (ADS). Active Directory basiert auf dem LDAP.

Seit Windows Server 2008 sind jedoch unter dem Begriff Active Directory 5 verschiedene Serverrollen zusammengefasst:
Active Directory Domain Services (Active-Directory-Domain-Verzeichnisdienst, ADDS) ist die aktuelle Version des ursprünglichen Verzeichnisdienstes und der zentrale Punkt der Domain- und Ressourcenverwaltung.

Active Directory Lightweight Directory Services (Active-Directory-Lightweight-Verzeichnisdienst, ADLDS) ist eine funktional eingeschränkte Version des ADDS, die der Anbindung von Anwendungen oder Diensten, die LDAP-konforme Informationen aus dem Verzeichnis benötigen, dient. Erstmals in Windows Server 2003 implementiert, wurde der Dienst dort als Active Directory Application Mode (ADAM) bezeichnet.

Active Directory Federation Services (Active-Directory-Verbunddienste, ADFS) dienen der webgestützten Authentifizierung von Benutzern, wenn diese sich in Bereichen außerhalb der ADDS-Infrastruktur befinden.

Active Directory Rights Management Services (Active-Directory-Rechteverwaltungsdienste, ADRMS) schützen Ressourcen durch kryptografische Methoden gegen unbefugte Einsicht.

Active Directory Certificate Services (Active-Directory-Zertifikatsdienste, ADCS) stellen eine Public-Key-Infrastruktur bereit.

mehr erfahren

siehe Active Directory

mehr erfahren
Administrative Benutzerkonten

Benutzerkonten, denen administrative Berechtigungen [sieh Administrative Berechtigungen] zugewiesen sind. Solche Konten werden für sensible Konfigurationen oder z.B. auch Software-Installationen verwendet.

mehr erfahren
Administrative Berechtigungen

Rechte, welche erlauben, das System selbst zu verwalten und zu betreuen. Die Berechtigungen ermöglichen es, den Inhalt des Systems auf technischer Ebene zu verändern.

Dazu gehören z.B. auch Rechte zur Benutzer- und Rechteadministration oder Rechte zur Durchführung von Installationen.
[siehe „Privilegierte Berechtigungen“]

mehr erfahren
Angemessene Berechtigungsvergabe

Die Vergabe von nur den Berechtigungen und Vollmachten, die ein Mitarbeiter zur Erfüllung seiner Aufgaben benötigt.
[siehe „Least Privilege“-Prinzip]

mehr erfahren
Antragsworkflow

Ein Verfahren zur Beantragung und Genehmigung von Benutzerkonten oder Berechtigungen für IT-Systeme und Anwendungen. Mit Vorteil wird dieses Verfahren heute technisch unterstützt.

mehr erfahren
Anwender

Als Anwender wird der Benutzer oder Nutzer des Computers bzw. von (IT-)Systemen und Applikationen bezeichnet.

mehr erfahren
Anwendung

Computersoftware, welche durch einen oder mehrere Benutzer zur Erfüllung von Aufgaben und Tätigkeiten genutzt wird.
Für IAM ist eine Anwendung insbesondere dann relevant, wenn sie über eine eigene Benutzerverwaltung verfügt oder auch eine bestehende Benutzerverwaltung, wie z.B. das Active Directory nutzt.

mehr erfahren
Anwendungseigentümer

Der Anwendungseigentümer ist der Know-how-Träger einer Anwendung. Dieser ist auch der Verantwortliche über diese Anwendung. Der Anwendungseigentümer stellt in Zusammenhang mit einer Anbindung an ein à IAM-System, Informationen über das eigene Berechtigungssystem zur Verfügung, welche dafür benötig werden.
Der Anwendungseigentümer sollte auch über ein Berechtigungskonzept der eigenen Anwendung verfügen, welche die unabhängige Berechtigungsvergabe, die Berechtigungsstruktur und allfällige à technische Rollen (Rollenkonzepte) beschreibt.
Der Anwendungseigentümer stellt à Einzelrechte / Technische Rollen (inklusive Informationen) zur Geschäftsrollenbildung bereit. Der Anwendungseigentümer kann die Geschäftsrollenbildung beeinflussen. Er sollte neben dem Business-Bereich (Benutzer der Anwendung im Geschäftsprozess) auch Informationen über die Funktionstrennung abgeben können.

mehr erfahren
API

Eine Programmierschnittstelle, genauer Schnittstelle zur Anwendungsprogrammierung, oder oft kurz API (englisch application programming interface, wörtlich ‚Anwendungs­programmier­schnittstelle‘), ist ein Programmteil, der von einem Softwaresystem anderen Programmen zur Anbindung an das System zur Verfügung gestellt wird. Im Gegensatz zu einer Binärschnittstelle (ABI) definiert eine Programmierschnittstelle nur die Programmanbindung auf Quelltext-Ebene.[1] Zur Bereitstellung solch einer Schnittstelle gehört meist die detaillierte Dokumentation der Schnittstellen-Funktionen mit ihren Parametern auf Papier oder als elektronisches Dokument.
(Quelle: Wikipedia)

mehr erfahren
Applikationsrolle

mehr erfahren
Approver

Genehmiger

mehr erfahren
Assertion

Eine Zusicherung, Sicherstellung oder Assertion (lateinisch/englisch für Aussage, Behauptung) ist eine Aussage über den Zustand eines Computer-Programms oder einer elektronischen Schaltung. Mit Hilfe von Zusicherungen können logische Fehler im Programm oder Defekte in der umgebenden Hard- oder Software erkannt und das Programm kontrolliert beendet werden.
(Quelle: Wikipedia)
Siehe auch SAML (Security Assertion Markup Language)

mehr erfahren
Attestierung

Die Attestierung ist der eigentliche Vorgang zur Bestätigung, dass ein Prüfobjekt, beispielsweise eine Berechtigungszuweisung, korrekt ist.
(siehe auch Fachbericht "Rezertifizierung des Benutzermanagements")

mehr erfahren
Attribut

Ein Attribut bezeichnet ein Informationsdetail eines Objektes. Z.B das Geburtsdatum eines Benutzers oder auch der Rollentyp einer Geschäftsrolle. (definierte Informationseinheit)

mehr erfahren
Audit

Ein Audit untersucht, ob Prozesse, Anforderungen und Richtlinien die geforderten Vorgaben erfüllen.
Es bezeichnet beispielsweise auch die systematische und regelmässige Überprüfung von Berechtigungszuweisungen.
Ein Audit stellt sicher, dass die Anforderungen und Regularien eingehalten werden.
Innerhalb des IDMs bezeichnet man aber das Auditing auch als Protokollierung (historische Speicherung) von Änderungen in Zusammenhang mit Berechtigungszuweisungen und Benutzerattributen. Ein solches Auditing ermöglicht meist auch Soll-Ist-Vergleiche.
Kurz: es wird geprüft ob Vorgaben erfüllt sind.

mehr erfahren
Audit Logging

Protokolliert Benutzeraktivitäten, Ausnahmefälle, kritische Sicherheitsvorfälle und Systemzustände. Die Protokolle werden für eine definierte Zeitspanne aufbewahrt.

mehr erfahren
Austrittsdatum

Das Austrittsdatum definiert den Zeitpunkt, an welchem ein Benutzer das Unternehmen verlässt. In Zusammenhang mit Identity Management ist es sinnvoll zwischen (meist) zwei verschiedenen Austrittsdaten zu unterscheiden.

Dies entspricht normal den folgenden zwei Daten:
- Effektives Austrittsdatum (entspricht dem effektiven letzten Arbeitstag)
- Theoretische Austrittsdatum (entspricht dem Vertragsende)

mehr erfahren
Authentication Authority (AA)

OASIS-Standard aus dem SAML-Standard für "Identity Provider" (IdP)

mehr erfahren
Authentifizierung

mehr erfahren
Authentisierung

mehr erfahren
Autorisierung

In der Informationstechnologie bezeichnet sie die Zuweisung und Überprüfung von Zugriffsrechten auf Daten und Dienste zu Benutzerkonten. Die Autorisierung erfolgt immer nach einer erfolgreichen Authentifizierung.

mehr erfahren

B

Basel III

mehr erfahren
Basisrolle

Typ / Ausprägung einer Geschäftsrolle. Eine Basisrolle enthält meist die Standardberechtigungen, welche beispielsweise alle Benutzer einer Firma erhalten. Die genaue Definition wird im Geschäftsrollenkonzept beschrieben. [siehe Geschäftsrollentyp]

mehr erfahren
Benutzer

Jede Person, die zumindest ein Informatikmittel nutzt. Dies kann ein Computer bzw. (IT-)System oder eine Applikationen (innerhalb einer Firma) nutzt.
Siehe auch Anwender oder Benutzerkonto

mehr erfahren
Benutzerkennung

Eine Benutzerkennung (UserID) identifiziert an einem IT-System einen Benutzer bzw. ein dem Benutzer zugeordnetes Benutzerkonto. Die Eingabe der Benutzerkennung wird bei einer Anmeldung an ein IT-System und/oder eine IT-Anwendung angefordert. Die Benutzerkennung ist ein Attribut des Benutzerkontos.

mehr erfahren
Benutzerkonto

Jeder Benutzer benötigt zur Anmeldung bzw. zur Nutzung einer Computeranwendung ein Benutzerkonto. Ein Benutzerkonto muss aufgrund der Nachvollziehbarkeit immer einer Person bzw. deren digitalen Identität zugeordnet sein. Ausnahmen bilden sogenannte „Technische Benutzerkonten“. Nach Möglichkeit sollten jedoch auch technische Benutzerkonten der Verantwortung einer natürlichen Person unterstellt sein.

Einem Benutzerkonto werden verschiedene Berechtigungen pro entsprechenden System zugeordnet. Ein Benutzer hat meistens pro System ein eigenes Benutzerkonto.

mehr erfahren
Benutzer-Typ

Jede digitale Identität, jeder Person, welche IT-Benutzer [siehe Benutzer] in einer Firma ist, sollte einem oder mehreren Benutzer-Typen zugeordnet werden.
Beispiele dafür sind Typen wie „interne Mitarbeiter“, „externe Mitarbeiter“, oder „Aussendienst“ (z.B. bei Versicherungen, welche diesen Benutzertyp je nach dem in einem anderen System pflegen). Die Differenzierung dient zur Klassifizierung und eventuellen anderen Handhabungen innerhalb des IAM-Systems.
Beispielsweise können sich auch die Prozesse des Benutzer-Lebenszyklus [siehe Life Cycle Management] je Benutzer-Typ unterscheiden.

mehr erfahren
Berechtigung

[siehe Einzelrecht]

mehr erfahren
Berechtigungsinformationen

Unter Berechtigungsinformationen sind alle Daten zu verstehen, die es einer Anwendung oder einem System ermöglichen, die Zugriffsberechtigung eines Anwenders zu steuern. Ausprägungen von Berechtigungsinformationen können Berechtigungsobjekte z. B. Geschäftsrollen, IT-Rollen, Systemrollen, Gruppen sowie deren Inhalte sein und aber auch Attribute auf dem Benutzerkonto.

mehr erfahren
Berechtigungskonzept

Ein Berechtigungskonzept beschreibt das Prinzip der Vergabe von Berechtigungen für ein IT System oder eine IT-Anwendung. Ebenfalls darin enthalten sind Informationen über den Schutzbedarf der Applikation und den entsprechenden Ressourcen.
Dem Berechtigungskonzept liegt ein Berechtigungsmodell zugrunde.

mehr erfahren
Berechtigungsmanagement

Entwicklung und Verwaltung von geschäftsorientierten Berechtigungskonzepten z.B. basierend auf Aufgaben, Funktionen, Rollen, Organisationen.

mehr erfahren
Berechtigungsmodell

Ein Berechtigungsmodell beschreibt wie Berechtigungen in sich selber aufgebaut und Benutzerkonten zugewiesen sind. Ein Berechtigungsmodell kann innerhalb einer Applikation/System sein oder auch übergreifend im Sinne von Geschäftsrollen.

mehr erfahren
Berechtigungsobjekt

Regelt den Zugriff auf die IT-Systeme und deren Inhalte. Berechtigungsobjekte sind eine Abstraktion von allen verwendeten Begriffen von Berechtigungen. Konkret sind diese z.B. Gruppe, Berechtigung, Profil, Rolle.

mehr erfahren
Berechtigungssystem

Ein Berechtigungssystem ist eine Datenkontrollstruktur in einem System, einer Datenbank oder Anwendung um den Zugriff auf Informationen und Transaktionen zielgerichtet zu regeln. Meist sind Berechtigungssysteme von den fachlichen Anwendungen abgegrenzt.

mehr erfahren
Bottom-Up

(engl. von unten nach oben) In Bezug auf die Rollenmodellierung ist dies ein Verfahren zur Analyse der Berechtigungen auf Basis des ‚Ist-Zustandes‘ ohne Berücksichtigung von fachlichen Aufgaben oder Geschäftsprozessen
(entgegengesetzter Prozess von Top-Down)

mehr erfahren
Business Process

Geschäftsprozess (GP) beschreibt die Aktivitäten und Aufgaben, welche in einer Firma in logischem Zusammenhang stehen um ein bestimmtes geschäftliches Ziel zu erreichen.

mehr erfahren
Business Role

siehe Geschäftsrolle

mehr erfahren

C

CA (Certificate Authority)

Zertifizierungsstelle - In der Informationssicherheit ist eine Zertifizierungsstelle (englisch certificate authority oder certification authority, kurz CA) eine Organisation, die digitale Zertifikate herausgibt. Ein digitales Zertifikat dient dazu, einen bestimmten öffentlichen Schlüssel einer Person oder Organisation zuzuordnen. Diese Zuordnung wird von der Zertifizierungsstelle beglaubigt, indem sie sie mit ihrer eigenen digitalen Unterschrift versieht.
(Quelle: Wikipedia)

mehr erfahren
Capability Maturity Model Integration

Das CMU Capability Maturity Model (Reifegradmodell) (kurz CMM) ist ein Reifegradmodell zur Beurteilung der Qualität („Reife“) des Softwareprozesses (Softwareentwicklung, Wartung, Konfiguration etc.) von Organisationen sowie zur Bestimmung der Maßnahmen zur Verbesserung desselben.
(Quelle: Wikipedia)

mehr erfahren
Change Management

Innerhalb der IT in ITIL definierter Prozess, welcher beschreibt wie Änderungen in einer IT-Umgebung gehandhabt werden, damit Anpassungen kontrolliert, effizient und unter Minimierung der Risiken für den Betrieb bestehender Geschäftsprozesse durchgeführt werden.

mehr erfahren
Compliance

Compliance beschreibt die Einhaltung der gesetzlichen, unternehmensinternen und/oder vertraglichen Regelungen ebenso beinhalten diese Vorgaben auch Verhaltensregeln.

mehr erfahren
contROLE

Ein Softwareprodukt zur unternehmensweiten Analyse von Identitätsdaten, zur Rollenmodellierung sowie für ganzheitliches Risikomanagement.
à http://www.nexis-secure.de/
[siehe Rolemining]

mehr erfahren
Credentials

Ein Berechtigungsnachweis (englisch credentials) ist ein Instrumentarium, das einem System die Identität eines anderen Systems oder eines Benutzers bestätigen soll. Dies geschieht meist in Form einer Benutzerkennung in Verbindung mit einem Authentifizierungsmerkmal.
(Quelle: Wikipedia)

mehr erfahren

D

Dateitypen

mehr erfahren
Datenschutz

Unter Datenschutz versteht man den Schutz (personenbezogener aber auch firmeneigenen) Daten und derer missbräuchlichen Verwendung.

mehr erfahren
Delegation und Vertretung

Delegation ist der Prozess der Weiterreichung einer Tätigkeit.
Eine spezielle Form der Delegation ist die Vertretung, z. B. einer Urlaubs- bzw. Krankheitsvertretung.
In allen Formen der Delegation ist zu beachten dass der Delegat, Urlaubsvertreter befähigt ist seine Delegation / Urlaubsvertretung ausüben zu können. Er bedarf der richtigen Berechtigungen, Kompetenzen, Vollmachten, Qualifikationen (Skills) und muss örtlich und zeitlich verfügbar sein. I.d.R. ist er vor Übernahme von der Vertretung in Kenntnis zu setzen.

mehr erfahren
Deprovisionierung

Bezeichnet das Entziehen von Daten (steht meist in Zusammenhang mit dem Entziehen von Berechtigungszuweisungen) - manuell oder aber meist automatisiert. [siehe Provisoning]

mehr erfahren
Digitale Identität

Die digitale Identität ist die Repräsentation einer Person in IT-Systemen. Eine digitale Identität ist klar einer natürlichen Person zuzuordnen.

mehr erfahren
Digitale Signatur

Eine digitale Signatur, auch digitales Signaturverfahren, ist ein asymmetrisches Kryptosystem, bei dem ein Sender mit Hilfe eines geheimen Signaturschlüssels (dem Private Key) zu einer digitalen Nachricht (d. h. zu beliebigen Daten) einen Wert berechnet, der ebenfalls digitale Signatur genannt wird. Dieser Wert ermöglicht es jedem, mit Hilfe des öffentlichen Verifikationsschlüssels (dem Public Key) die nicht abstreitbare Urheberschaft und Integrität der Nachricht zu prüfen. Um eine mit einem Signaturschlüssel erstellte Signatur einer Person zuordnen zu können, muss der zugehörige Verifikationsschlüssel dieser Person zweifelsfrei zugeordnet sein.
(Quelle: Wikipedia)

mehr erfahren
Directory

Ein Verzeichnis bzw. ein Verzeichnisdienst (Directory- Service)

mehr erfahren
Dynamische Zuweisung

Bezeichnet eine Zuweisungsmethode, mit deren Hilfe Berechtigungsobjekte automatisiert zugewiesen werden können. Als Kriterien für die Zuweisung dienen dazu meist Attributausprägungen der digitalen Identitäten. Vielfach auch als regelbasierte Zuweisung bezeichnet.

mehr erfahren

E

Einzelrecht

Bezeichnung auf Ebene IAM. Eine Berechtigung oder eine Applikationsrolle, die den Zugriff innerhalb einer Anwendung für einen Benutzer steuert. Dies kann z.B. eine Active-Directory-Gruppe sein, welche den Zugriff auf ein Verzeichnis auf dem File-Server zulässt. Dieses Beispiel ist adaptierbar auf alle weiteren Anwendungen mit einer Berechtigungssteuerung.
Innerhalb des IAM versteht man hier die Einheit, welche von der zu berechtigenden Applikation für die Zuweisung zur Verfügung gestellt und in Geschäftsrollen gebündelt werden könnte.

mehr erfahren
Entität

Als Entität (auch Informationsobjekt genannt, englisch entity) wird in der Datenmodellierung ein eindeutig zu bestimmendes Objekt bezeichnet, über das Informationen gespeichert oder verarbeitet werden sollen. Das Objekt kann materiell oder immateriell, konkret oder abstrakt sein. Beispiele: Ein Fahrzeug, ein Konto, eine Person, ein Zustand.
(Quelle: Wikipedia)
Im NetIQ Identity Manager werden Objekte auf die über das Webportal zugegriffen werden kann auch als Entitäten bezeichnet. Diese können im Directory Abstraction Layer definiert werden.

mehr erfahren
Entitlement

Mit Entitlement werden innerhalb einer IAM-Umgebung die Berechtigungsobjekte bezeichnet, welche anhand von Informationen in die entsprechenden Zielsysteme geschrieben werden. à Provsioning

mehr erfahren
E-SSO

Enterprise Single Sign On – dies bezeichnet das Verfahren, das sich der Benutzer nur ein einziges Mal authentifizieren muss. Danach werden ihm alle entsprechenden Zugriffe innerhalb des Firmen-Netzwerkes auf die erlaubten Systeme und Anwendungen gewährt.

mehr erfahren

F

Federation

Federation beschreibt die gemeinsame, standardisierte Nutzung von Identitätsinformationen über Organisationsgrenzen oder Anwendungen hinweg. (z.B. für Zugriffe auf Anwendungen bei externen Kooperationspartnern)

mehr erfahren
Funktionsrollen

Typ / Ausprägung einer Geschäftsrolle. Eine Funktionsrolle enthält meist die Berechtigungen, welche Benutzer zu eine Ausübung einer speziellen Funktion in einer Firma benötigen. Die genaue Definition wird im Geschäftsrollenkonzept beschrieben.

mehr erfahren
Funktionstrennung

auch SoD. Der Begriff „Funktionstrennung“ bzw. „Kritische Berechtigungskombinationen“ beschreibt einen Zustand, der unter Berücksichtigung aller unternehmerischen und / oder gesetzlichen Anforderungen nicht erlaubt ist und zu einem Risiko für das Unternehmen führen kann.
Eine Möglichkeit ist die Definition von statischem SoD-constraints. Der RBAC-Standard sieht dazu die Definition von Beschränkungen für die Relation Benutzer / Rolle.

mehr erfahren

G

Genehmiger

Innerhalb des IAM ist ein Genehmiger, eine Person, welche Anträgen (beispielsweise Berechtigungsanträgen) zustimmen muss. [siehe Approver]

mehr erfahren
Geschäftsrolle

Eine Geschäftsrolle ist eine Bündelung von Einzelrechten [siehe Einzelrecht], welche ein bzw. mehrere Mitarbeiter für die Erledigung seiner/Ihrer Aufgaben benötigt/benötigen. Dies können beispielsweise auch Zutrittsberechtigungen sein, welche über eine entsprechende Computersoftware verwaltet bzw. gesteuert werden. Die Bündelung ist in der Regel systemübergreifend und enthält somit Berechtigungen verschiedener Systeme / Anwendungen.
Der Aufbau von Geschäftsrollen kann je nach Konzept variieren (z.B. verschachtelt unter Verwendung von Komponentenrollen) – so auch die Ausprägungen und die Bezeichnung der jeweiligen Typen wie z.B. Organisations- oder Funktionsrollen.

mehr erfahren
Geschäftsrollenkonzept

Ein Geschäftsrollenkonzept beschreibt wie das Rollenmodell auszusehen hat, welche Typen verwendet werden und wie der Aufbau geschieht.
Ebenfalls sollen in einem Geschäftsrollenkonzept oder mindestens in Verbindung die (neu zu schaffenden) Tätigkeiten, welche damit in Zusammenhang stehen (während der Projektzeit und auch im künftigen Betrieb) und das Rollenmanagement beschrieben werden.
Ebenfalls sollen Konventionen berücksichtigt werden, welche künftig damit in Verbindung stehen. Damit gemeint sind Namen und Beschreibungen, welche für Geschäftsrollen verwendet werden.

mehr erfahren
Geschäftsrollentyp

Typ / Ausprägung einer Geschäftsrolle wie z.B. Organisationsrolle, Funktionsrolle, Projektrolle etc. Je Typ sind die entsprechenden Berechtigungen enthalten.
Wichtig dabei sind die Beschreibungen der Geschäftsrollen. Diese müssen aussagekräftig sein und den Inhalt wiederspiegeln.
Die verwendeten Typen und die genauen Definitionen werden Geschäftsrollenkonzept beschrieben.

mehr erfahren
Governance

IT-Governance besteht aus Führung, Organisationsstrukturen und Prozessen, die sicherstellen, dass die Informationstechnik (IT) die Unternehmensstrategie und -ziele unterstützt. Unter IT wird in diesem Zusammenhang die gesamte Infrastruktur verstanden, aber auch die Fähigkeiten und die Organisation, die die IT unterstützen und begründen. IT-Governance liegt in der Verantwortung des Vorstands und des Managements und ist ein wesentlicher Bestandteil der Unternehmensführung.
(Quelle: Wikipedia)

mehr erfahren
Gruppen

mehr erfahren
GUI

Graphical User Interface - Benutzeroberfläche, über welche der Benutzer die Programmfunktionen steuert.

mehr erfahren

H

Help Desk

Auch User Help Desk (UHD). Eine Anlaufstelle für Anwender mit IT-Problemen Der Help-Desk erfasst entsprechende Incidents und versucht eine Erstlösung zu präsentieren (mit Hilfe einer Knowledge Base – dt: Wissensdatenbank)
Ein Help Desk ist in der Regel eher technisch orientierter als ein Service Desk und stellt keinen Single Point of Contact (SPOC) für die gesamte Interaktion bereit. Der Begriff “Help Desk” wird häufig auch als Synonym für Service Desk (nach ITIL) verwendet.

mehr erfahren
Historisierung

mehr erfahren
Human Resources (HR)

Personal Administration

mehr erfahren

I

IAM

Identity- und Access-Management – hiermit wird Identity- und Access-Management zusammengefasst. [siehe Identity Management]

mehr erfahren
IAM-Reifegrad

Reifegradmodelle werden herangezogen um die Qualität von Prozessen, Systemkonfiguration und weiteren Komponenten welche mit einem vorgesehenen IAM in Zusammenhang stehen zu beurteilen.
Der IAM-Reifegrad bestimmt, welche Vorbereitungen getätigt werden müssen um ein IAM-System zu implementieren.

mehr erfahren
IAM-Richtlinien

Definiert die Richtlinien, welche für die Implementierung, jedoch auch für den Betrieb einer IAM-Infrastruktur technisch und organisatorisch zu berücksichtigen sind.

mehr erfahren
IAM-System

mehr erfahren
Identifikator

Ein Identifikator ist eine Zeichenkette, welche ein Subjekt oder eine Ressource innerhalb eines Namensraumes eindeutig bezeichnet. Dies entspricht meist dem Primärschlüssel.

mehr erfahren
Identität

Die Identität beschreibt innerhalb des IAM, im aktuellen Kontext, eine natürliche Person. Diese steht in Zusammenhang zur digitalen Identität (… und ist in Bezug auf Person und Benutzertyp eindeutig).

mehr erfahren
Identitätsmanagement

Als Identitätsmanagement wird der zielgerichtete und bewusste Umgang mit Identität, Anonymität und Pseudoanonymität bezeichnet.
Dies entspricht der Summe aller Massnahmen, die notwendig sind, um Personen, Identitäten und Benutzer in IT-Systemen eindeutig zu erkennen sowie ihnen genau die Zugriffe zu ermöglichen, die sie aktuell im Rahmen ihrer Tätigkeit benötigen.
Dabei sind alle Massnahmen im Rahmen von angemessenen, standardisierten, prüfbaren und dokumentierten Prozessen durchzuführen.

mehr erfahren
Identity Management System (IAMS)

mehr erfahren
Identity Provider

Bezeichnet zweierlei:
1.) einen Authentisierungsservice, der im Allgemeinen nach einer erfolgreichen Authentifizierung ein Security-Ticket, meist ein SAML-Ticket ausstellt, welches dazu bestimmt ist, dem Service-Provider Authentisierungs- und Identitätsdaten über das Internet, meist in XML (SAML 2.0 Ticket) zu übermitteln.
2.) eine Rolle, welche die Instanz in einem föderierten Business-Szenario bezeichnet, die ein Security-Ticket (z.B. ein SAML-Ticket) ausstellt.

mehr erfahren
Identity Services

mehr erfahren
Identity und Access Management

mehr erfahren
IKS (Internes Kontrollsystem)

Ein Internes Kontrollsystem (IKS) besteht aus systematisch gestalteten organisatorischen Massnahmen und Kontrollen im Unternehmen zur Einhaltung von Richtlinien und zur Abwehr von Schäden, die durch das eigene Personal oder böswillige Dritte verursacht werden können.
Seit 2008 werden nach Art. 728a OR Schweizer Unternehmen insofern zum Aufbau eines IKS verpflichtet, als dass die Revisionsstelle nun dessen Existenz prüfen muss.

mehr erfahren
Incident

mehr erfahren
Inkonsistenz

Inkonsistenz (v. lat. in- „nicht“, con- „zusammen“, sistere „halten“) bezeichnet einen Zustand, in dem zwei Dinge, die beide als gültig angesehen werden sollen, nicht miteinander vereinbar sind. Die Konsistenz ist der gegensätzliche Begriff dazu. Inkonsistenz bedeutet insbesondere Widersprüchlichkeit oder Unbeständigkeit (Zusammenhanglosigkeit).
(Quelle: Wikipedia)

mehr erfahren
Integrität

IT-Schutzziel, meint die Vertrauenswürdigkeit (vollständig und unverändert) einer Information.

mehr erfahren
IS

Informationssicherheit

mehr erfahren
IT Infrastructure Library (ITIL)

Die IT Infrastructure Library (ITIL) ist eine Sammlung von Best Practices in einer Reihe von Publikationen zur Umsetzung eines IT-Service-Managements (ITSM) und gilt inzwischen als internationaler De-facto-Standard im Bereich IT-Geschäftsprozesse.[1][2] In dem Regel- und Definitionswerk werden die für den Betrieb einer IT-Infrastruktur notwendigen Prozesse, die Aufbauorganisation und die Werkzeuge beschrieben. Die ITIL orientiert sich an dem durch den IT-Betrieb zu erbringenden wirtschaftlichen Mehrwert für den Kunden. Dabei werden die Planung, Erbringung, Unterstützung und Effizienz-Optimierung von IT-Serviceleistungen im Hinblick auf ihren Nutzen als relevante Faktoren zur Erreichung der Geschäftsziele eines Unternehmens betrachtet.

mehr erfahren
IT Service Management

mehr erfahren
IT-Rollen

In der Standardkonfiguration des NetIQ Identity Managers stellen IT-Rollen die zweite von drei Rollenebenen dar. Diese Ebene kann auch als Komponentenrolle bezeichnet werden.

mehr erfahren
IT-Schutzziel

IT-Schutzziele:
- Integrität
- Verfügbarkeit
- Vertraulichkeit

mehr erfahren

K

Kennwort

siehe Passwort

mehr erfahren
Kerberos

Kerberos ist ein verteilter Authentifizierungsdienst (Netzwerkprotokoll) für offene und unsichere Computernetze (wie zum Beispiel das Internet), der von Steve Miller und Clifford Neuman basierend auf dem Needham-Schroeder-Protokoll zur Authentifizierung (1978) entwickelt wurde.

Bei Kerberos sind drei Parteien beteiligt:
- der Client
- der Server, den der Client nutzen will
- der Kerberos-Server

Der Kerberos-Dienst authentifiziert sowohl den Server gegenüber dem Client, als auch den Client gegenüber dem Server, um Man-in-the-middle-Angriffe zu unterbinden. Auch der Kerberos-Server selbst authentifiziert sich gegenüber dem Client und dem Server und verifiziert selbst deren Identität.
(Quelle: Wikipedia)

mehr erfahren
Klassifizierung von Assets

mehr erfahren
Komponentenrollen

Komponentenrollen (in Bezug auf den Aufbau von Geschäftsrollen verwendet) werden im Aufbau Rollen als Hilfskonstrukt verwendet. Diese können in eine oder mehrere Geschäftsrollen vererbt werden.
Die Bündelung kann nach Systemen oder nach Verwendungszweck bestimmte werden. z.B. können alle Active Directory Gruppen zuerst in einer Komponentenrolle verschachtelt werden, anschliessend wird diese Komponentenrolle in die Geschäftsrolle verschachtelt. Eine weitere Möglichkeit ist es, anwendungsspezifisch die Rechte zu bündeln und dann diese Komponentenrolle in entsprechende Geschäftsrollen zu verschachteln.
--> IT-Rollen

mehr erfahren
Kontinuierlicher Verbesserungsprozess (KVP)

Der KVP ist ein unternehmensweiter Geschäftsprozess für die kontinuierliche Verbesserung. Dieser Prozess regelt Meldung, Verbesserung und Kontrolle von für das Unternehmen positiven Veränderungen. In einer IAM Prozesslandkarte ist normalerweise ein Verweis zum KVP angebracht.

mehr erfahren
Konzept

mehr erfahren
Kritikalität

mehr erfahren

L

„Least Privilege“-Prinzip

Der Benutzer erhält nur die für seine Aufgaben nötigen Berechtigungen. (Prinzip der minimalen Berechtigungen)

In Bezug auf die Rollenmodellierung muss genau betrachtet werden, wie weit dieses Prinzip eingehalten werden muss und besonders bei welchen Berechtigungen dieses Prinzip betrachtet werden muss. (Völlig unkritisch eingestufte Berechtigungen sollen somit hier nicht betrachtet werden, da dies die Rollenqualität negativ beeinflusst)

mehr erfahren
LDAP

Verzeichnisdienst [siehe Lightweight Directory Access Protocol]

mehr erfahren
Life Cycle Management

Beschreibt den Lebenszyklus eines Objektes. Im Bereich IAM verbindet man dies z.B. häufig mit dem User Life Cycle (Benutzer Lebenszyklus). Das Life Cycle Management beschreibt hier den Umgang mit der digitalen Identität und beginnt beim Eintritt eines Mitarbeiters, über deren Veränderungen während des Anstellungsverhältnisses, bis hin zum Austritt.
Weitere wichtige Lebenszyklen im Bereich IAM betreffen den Lebenszyklus der Geschäftsrollen oder auch der Organisation selbst. Es ist wichtig, dass diese Prozesse klar definiert und bekannt sind.

mehr erfahren
Lightweight Directory Access Protocol (LDAP)

Ein Anwendungsprotokoll aus der Netzwerktechnik. Es erlaubt die Abfrage und die Modifikation von Informationen eines Verzeichnisdienstes (directory service).
Auch:
Definierter Standard zwecks objektorientierter und hierarchischer Ablage von Daten sowie deren Zugriff darauf

mehr erfahren
Login

Das Login bezeichnet das Verfahren des Anmeldens (einloggen) an einem Computersystem / Netzwerk und benötigt die entsprechenden Credentials [siehe Credentials]

mehr erfahren

M

MaRisk

Mindestanforderungen an das Risikomanagement (herausgegeben von der Bundesanstalt für Finanzdienstleistungsaufsicht)

mehr erfahren
Metadaten

Metadaten sind Daten, die dazu dienen, Objekte, aber auch Daten strukturiert zu beschreiben. Auch Informationen zu Daten.
Im Bsp. eines Users/Mitarbeiters sind folgendes Metadaten:
- Vorname
- Nachname
- Geburtsdatum
- Abteilung

mehr erfahren
Metadirectory

Ein zentraler Verzeichnisdienst, welcher auf einem LDAP-Server basiert. Sinn und Zweck dahinter ist es, Informationen aus verschiedenen unternehmensinternen Datenbanken zusammenzuführen um einen zentrale Pflege und Synchronisation zu ermöglichen. Ein wichtiger Vorteil dabei ist, dass ein solcher Verzeichnisdienst, gegenüber relationalen Datenbanken, sehr schnelle Zugriffe ermöglichen.
Ein solches zentrales Verzeichnis ermöglicht zudem eine strukturierte, prozessorientierte und plattformübergreifende Verwaltung von Objektklassen. Anhand der möglichen, zentralen Plege bleiben Datenbestände konsistent und können gemeinsam genutzt werden.

mehr erfahren
Metahub

Ein MetaHub dient als zentrales Verzeichnis für den (automatisierten) Datenaustausch zwischen den IT-Systemen. [siehe auch Metadirectory]

mehr erfahren
Mitigierende Kontrolle

mehr erfahren
Monitoring

"Systematische Erfassung, Überwachung und regelmässige Kontrolle der Nutzung informationsverarbeitender Systeme sowie der Identity und Access Managementprozesse, -Aktivitäten und -Zustände.
Das Monitoring ermöglicht einer Organisation die Konformität zu Regularien und internen Richtlinien sicherzustellen und nachzuweisen. Ebenso gehört dazu die frühzeitige Erkennung von ungewöhnlichen oder abnormalen Aktivitäten, die eventuell behandelt werden müssen."

mehr erfahren
Multi-Faktor-Authentisierung

Eine Multi-Faktor-Authentisierung bezeichnet die Authentisierung mit mindestens zwei (2FA) von drei möglichen Faktoren. Damit ist gemeint, dass ein Passwort alleine nicht reicht, sondern zusätzlich ein Token oder Fingerscan etc. benötigt wird.

Massgebend sind die drei Faktoren Wissen, Besitz und Eigenschaft.
- Besitz: Hardware-Token, Smartcard, Schlüssel
- Wissen: Passwort, PIN, TAN
- Untrennbar zum Nutzer: Fingerabdruck, Stimme, Iris

mehr erfahren
Mutation

Bezeichnet innerhalb der Schweiz das Ändern und Anpassen von Daten. Besonders im Bereich HR genutzt.

mehr erfahren

N

Nachvollziehbarkeit

Unter Nachvollziehbarkeit versteht man in diesem Kontext die Rückverfolgbarkeit. Das bedeutet, dass ein sachverständiger Dritter sich in angemessener Zeit einen Überblick über die Geschäftsvorfälle verschaffen kann. In diesem Kontext sind für alle Systeme die entsprechende Sicherheitslogs, -protokolle zu aktivieren und zu archivieren.

mehr erfahren
Namensraum

Der Namensraum (englisch namespace) ist ein Begriff aus der Programmierung. Dabei werden – vor allem bei der objektorientierten Programmierung – die Namen für Objekte in einer Art Baumstruktur angeordnet und über entsprechende Pfadnamen eindeutig angesprochen.
Vereinfacht bedeutet dies, dass innerhalb eines solchen Raumes jeder Name eindeutig ein Objekt bezeichnet. Der gleiche Name kann jedoch in einem anderen Namensraum wieder frei zur Bezeichnung eines anderen Objekts benutzt werden. Außerdem können diese unabhängigen Namensräume innerhalb einer Hierarchie verbunden werden.
(Quelle: Wikipedia)

mehr erfahren
Natürliche Person

Eine natürliche Person bezeichnet physikalisch existierende Personen. Sie muss nicht Angestellter der Firma sein, kann aber über Anstellungsverhältnisse innerhalb und ausserhalb der Firma verfügen.

mehr erfahren

O

Objekt

Ein Attribut (von lateinisch attribuere ‚zuteilen‘, ‚zuordnen‘), auch Eigenschaft genannt, gilt im Allgemeinen als Merkmal, Kennzeichen, Informationsdetail etc., das einem konkreten Objekt zugeordnet ist. Dabei wird unterschieden zwischen der Bedeutung (z. B. „Augenfarbe“) und der konkreten Ausprägung (z. B. „blau“) des Attributs.
(Quelle: Wikipedia)

mehr erfahren
OE

Abk. - siehe Organisationseinheit

mehr erfahren
Onboarding

mehr erfahren
Organisationseinheit

Unter Organisationseinheit oder organisatorischer Einheit versteht man in der Organisationstheorie (oft auch Betriebswirtschaftslehre u. a.) einen Sammelbegriff für durch Zusammenfassung und Zuordnung von (Teil-) Aufgaben zu personalen Aufgabenträgern entstehenden organisatorischen Einheiten. Damit ist eine Organisationseinheit ein Element der Aufbauorganisation.

Typische Beispiele für Organisationseinheiten sind Stellen und Abteilungen; aber auch ganze Unternehmensbereiche oder einzelne Niederlassungen können als organisatorische Einheiten betrachtet werden. Die kleinste Organisationseinheit ist die Stelle. Diese wird umgangssprachlich oft ungenau als ein „Arbeitsplatz“ betrachtet, ist zunächst aber weder räumlich festgelegt noch an eine bestimmte Person gebunden.

Organisationseinheiten entstehen im Zuge von Aufgabenanalyse (gedanklicher Aufgliederung einer Gesamtaufgabe in analytische Teilaufgaben) und anschließender Aufgabensynthese (Zusammenfassung der Teilaufgaben). Diesen Vorgang nennt man Stellenbildung.

Organisationseinheiten sind die klassischen und grundlegenden Elemente einer formalen Organisation (durch offizielle Regeln festgelegt).

Wichtige Hilfsmittel zur Abbildung der Aufbauorganisation bzw. ihrer Teile sind Organigramme, Stellenbeschreibungen und Funktionsdiagramme.
Abk.: --> OE
(Quelle: Wikipedia)

mehr erfahren
Organisationsrolle

Typ / Ausprägung einer Geschäftsrolle. Eine Organisationsrolle enthält die Berechtigungen, welche Benutzer innerhalb einer Organisationseinheit aufgrund dieser Angehörigkeit bekommt (z.B Abteilungsverzeichnisse und Verteilerlisten etc.). Die genaue Definition wird im Geschäftsrollenkonzept beschrieben. [siehe Geschäftsrollentyp]

mehr erfahren
Organisatorische Zuordnung

Zuordnung zu einer Organisationseinheit. Alle Informationen, die die Position einer Person im Unternehmen bestimmen. Dazu gehören beispielsweise etwa Kostenstelle, Abteilung und Funktion einer Person.

mehr erfahren
OTP

One Time Password – dies bezeichnet ein Passwort, welches nur einmal zur Verwendung kommt. Beispiele dafür sind Streichlisten oder Token oder auch dafür ausgelegte SMS-Dienste.

mehr erfahren
Owner

Es bezeichnet in jeder Hinsicht den Eigentümer – im IAM-Umfeld spricht man vielfach vom Role Owner, vom Application Owner, etc.

mehr erfahren

P

Passwort

Ein Passwort dient zur Authentifizierung im Anmeldeprozess.

mehr erfahren
Passwort Self-Service

Mit Hilfe eines Passwort Self-Service können Benutzer selbständig ihre Passworte für Anwendungen und Systeme bei Verlust zurücksetzen bzw. ändern.

mehr erfahren
Passwortmanagement

Passwortmanagement ist die zentrale Verwaltung von Passwörtern und deren Zuordnung zu den Benutzerkonten.

mehr erfahren
Passwortrichtlinie

Die Passwortrichtlinien beschreiben wie sich ein Passwort zusammensetzt, damit es zur Anwendung kommen darf. Dies entspricht der Vorschrift für die zu verwendende Komplexität und Länge. Die Richtlinie beschreibt aber auch die Verhaltensweise bei fehlgeschlagenen Anmeldeversuchen oder die Gültigkeitsdauer.

mehr erfahren
Permission

Berechtigung [siehe Einzelrecht]

mehr erfahren
Permission Set

mehr erfahren
Person ID

siehe Personalnummer

mehr erfahren
Personalnummer

Wird meist im HR-System geführt. Dies muss der führende Indikator pro Mitarbeiter darstellen und sollte im besten Fall auch nach einem Wiedereintritt derselbe sein.

mehr erfahren
Personenidentifizierbare Daten (PID)

PID (engl. personally identifiable information (PII)). Diese Daten helfen eine Person eindeutig zu identifizieren.

mehr erfahren
Policy

Dies bezeichnet Richtlinien und Regelwerke. Innerhalb von IAM benötigt es solche Regelwerke beispielsweise um Berechtigungen oder Geschäftsrollen automatisch zuzuweisen.

mehr erfahren
Portal

Ein Portal stellt seinem Benutzer verschiedene Funktionen zur Verfügung, wie beispielsweise Personalisierung, Navigation und Benutzerverwaltung. Außerdem koordiniert es die Suche und die Präsentation von Informationen und soll die Sicherheit gewährleisten.
(Quelle: Wikipedia)

mehr erfahren
Prinzip der minimalen Berechtigungen

siehe „Least Privilege“-Prinzip

mehr erfahren
Privilegierte Berechtigungen

Rechte mit denen das System selbst verwaltet und betreut wird, die wenig eingeschränkten Zugriff zum System gewähren oder ermöglichen den Inhalt des Systems auf technischer Ebene zu verändern. Auch Rechte zur Benutzeradministration und Rechteadministration, Rechte zur Durchführen von Installationen und Sicherungen, Jobs einzurichten und zu verwalten.

Unter einer Privilegierten Berechtigung wird beispielsweise auch ein Zugriffsrecht verstanden, mithilfe dessen ein Benutzerin der Lage ist, anderen Benutzern Berechtigungen zu vergeben, zu entziehen oder Sicherheitsmassnahmen und –Konfigurationen eines Systems oder einer Anwendung zu verändern.

Dafür sollten Administrative Benutzerkonten genutzt werden.

Die Definition, welche Berechtigungen, dass als „Privilegierte Berechtigungen“ bezeichnet werden, können aber von Kunde zu Kunde abweichen.

mehr erfahren
Profil

Hostprofil:
Im Hostumfeld ist ein Profil eine Bündelung von Attributen, welche für bestimmte Zugriffe benötigt werden. Ein Profil wird einem oder mehreren Benutzer zugewiesen.

AD-Profil:
Ein Ad-Profil speichert alle benutzerspezifischen Einstellungen

mehr erfahren
Provisioning (Provisionieren)

Provisioning bezeichnet (im Sinne von IAM) das automatisierte oder mindestens teilautomatisierte Bereitstellen von Ressourcen und/oder Benutzeraccounts in Zusammenhang mit Berechtigungssystemen. Aber auch Stammdaten werden über das Provisioning in den entsprechenden Systemen bereitsgestellt.
Das oberste Ziel des Provsioning ist es jedoch, den richtigen Personen zur richtigen Zeit die richtigen Ressourcebn zur Verfügung zu stellen.

mehr erfahren
PKI – Public Key Infrastructure

Mit Public-Key-Infrastruktur (PKI, englisch public key infrastructure) bezeichnet man in der Kryptologie ein System, das digitale Zertifikate ausstellen, verteilen und prüfen kann. Die innerhalb einer PKI ausgestellten Zertifikate werden zur Absicherung rechnergestützter Kommunikation verwendet.
(Quelle: Wikipedia)

mehr erfahren

R

RACF

Resource Access Control Facility ist IBMs Implementierung der Sicherheitsschnittstelle der Großrechnerbetriebssysteme

Die Hauptfunktionen, die es erfüllt sind:
- Identifikation und Verifikation der Benutzer mittels Benutzerschlüssel und Passwortprüfung (Authentifizierung)
- Schutz von Ressourcen durch die Verwaltung der Zugriffsrechte (Autorisierung)
- Logging der Zugriffe auf geschützte Ressourcen (Auditing)

mehr erfahren
RBAC

Role Based Access Control (rollenbasierte Berechtigungsvergabe) [siehe Geschäftsrollen]

mehr erfahren
Recht

siehe Einzelrecht

mehr erfahren
Regeln

siehe Policy

mehr erfahren
Registrierung

Auch Registration – eine Registrierung kann eine Einrichtung eines (Online) Accounts, Profils oder einer Identität sein, eine Erfassung der Identität oder zur Ausstellung von  Berechtigungsnachweisen.

mehr erfahren
Registrierungsprozess

In Bezug auf IAM ein Prozess der Benutzerregistrierung, also der Aufnahme einer Person in die Organisation und der Verbindung mit ihrer Identität.

mehr erfahren
Reporting

Berichterstattung, um relevante Informationen im Rahmen des Identity und Access Management, zeitgerecht und vollständig an die zutreffenden Adressaten zu übermitteln. Dieses Berichtssystem stellt wiederum die Voraussetzung für eine wirksame und effiziente Überwachungstätigkeit dar.

mehr erfahren
Repository

Ein Repository entspricht einem Verzeichnis. Beispiele: Metadaten-Repository, Software-Repository, CASE-Werkzeuge

mehr erfahren
Revisionssicherheit

Revisionssicher bezieht sich auf die Archivierung - die Bedeutung dabei setzt auf:
- Vollständigkeit
- Schutz vor Verlust
- Schutz gegen Manipulation
- Absicherung zur Nachvollziehbarkeit
- Nutzung durch Berechtigte
- Prüfbarkeit sichergestellt

mehr erfahren
Revocation

Ein Zurückziehen oder ein Sperren eines Benutzerkontos oder eines Zertifikates.

mehr erfahren
Rezertifizierung

Die Rezertifizierung ist der Prozess, welcher die Kontrolle und Abnahme eines bestimmten Zustandes bestätigt. Rezertifizierungen rund um das IAM werden vom Gesetzgeber, der Compliance, der Revision oder auch von Verantwortlichen innerhalb einer Firma verlangt.
Beispiele dafür, was rezertifiziert werden kann bzw. soll, sind Rollen-Rechte-Zuweisungen, Rollen-Identitäts-Zuweisungen oder auch Regelwerke, welche für solche Zuweisungen zuständig sind.
(siehe auch Fachbericht "Rezertifizierung des Benutzermanagements")

mehr erfahren
Role mining

Dieser Begriff bezeichnet das Anwenden von Algorithmen zur Datengewinnung (engl. data mining), um zu geeigneten Repräsentanten von (Geschäfts-) Rollen zu gelangen.

mehr erfahren
Role Owner

siehe [siehe Rolleneigentümer]

mehr erfahren
Rollen

siehe [siehe Geschäftsrollen (im IAM-Kontext)]

mehr erfahren
Rollenadministrator

Der Rollenadministrator hat die Aufgaben Geschäftsrollen zu entwickeln, anzupassen und wieder zu löschen. Er ist die Kontaktperson bei allen Fragen rund um Geschäftsrollen.
Zudem ist der zuständig für den Optimierungsprozess rund um die Geschäftsrollen.

mehr erfahren
Rollenbasierte Zugriffskontrolle

siehe RBAC

mehr erfahren
Rolleneigentümer

Der Rolleneigentümer ist für den Inhalt einer Geschäfts-Rolle (fachlich gesehen) verantwortlich und ist berechtigt Änderungen bei dem Rollenmanager in Auftrag zu geben. (auch als Role Owner bekannt).

mehr erfahren
Rollenentwickler

steht hier in Zusammenhang mit Geschäftsrollen [siehe Rollenadministrator]

mehr erfahren
Rollenkonzept

[siehe Geschäftsrollenkonzept]

mehr erfahren
Rollen-Lebenszyklus

Stehender Begriff für den Lebenszyklus von Geschäftsrollen. [siehe Life Cycle Management].
Geschäftsrollen werden entwicklet, verändern sich über die Zeit, können irgendwann aber auch obsolet und damit inaktiv gesetzt werden. Zu einem späteren Zeitpunkt werden diese dann evtl gelöscht.

mehr erfahren
Rollenmodellierung

Entwicklung von Geschäftsrollen auf Basis der vorhandenen Berechtigungen [siehe Top-Down] und unter Einbezug von organisatorischen Informationen [siehe Bottom-Up]. Dies muss unter Berücksichtigung des vorhandenen Rollenkonzeptes geschehen.
Natürlich kann die Rollenmodellierung auf der grünen Wiese stattfinden. Sinnvoll ist jedoch das Einbeziehen des Ist-Zustandes.

mehr erfahren

S

SAML (Security Assertion Markup Language)

"Security Assertion Markup Language" - Standard der OASIS, seit 2012 in der Version 2.0. Definiert ein Framework zur XML-basierten Kommunikation von Identitätsdaten und Sicherheitsattributen zwischen Business-Entitäten und dem User.
Ziel des Standards ist es, föderierte Business-Szenarien webbasiert zu realisieren. Dafür definiert er "Assertions", "Protokolle", "Bindings" und "Profile".
De facto hat sich aus diesem Standard die "Security Assertion", d.h. das "SAML-Ticket", und das HTTP-Redirect-Binding durchgesetzt. Die "Security Assertion" definiert das Format, wie welche Informationen zwischen den Parteien ausgetauscht werden. Das geschieht mit dem sogenannten "Authentication-Request" (d.h. die Anfrage nach einer Assertion bzw. einer Zusicherung), bzw. die Beantwortung: "Authentication Response". Das HTTP-Redirect-Binding definiert, wie das Protokoll (AuthNRequest/AuthNResponse) mit einem Web-Browser umgesetzt werden muss.
Hauptakteure des föderierten Business-Szenarios ist der (oder die) Service-Provider (SP), der User und die im SAML-Standard genannten "Authentication Authority", dem Identity-Provider ("IdP"). 
Es gibt zwei "Muster" wie der User eine vom IdP ausgestellte "Security Assertion" für den Service-Provider, welcher den Informationen dieser Assertion vertraut, auslösen kann:
1.) IdP-Initiated SSO Post-Binding, welches einem Portal-Login gleichkommt
2.) SP-Initiated SSO Post-Binding, welches heutzutage als das Standard-Binding verwendet wird, da dieses allgemeiner  angewendet werden kann.
Vgl. http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-tech-overview-2.0.html

mehr erfahren
Segregation of Duties (SoD)

auch bekannt unter Separation of Duty. [siehe Funktionstrennung]

mehr erfahren
Self Service Administration

mehr erfahren
Service Provider

Ein Service Provider ist ein Service Dienstleister. In Zusammenhang mit Federated Identity eingesetzt und ist ein Service Provider fähig Informationen über die die Identität direkt aus dem jeweiligen Zugriff zu extrahieren. So werden den Identitäten von anderen Unternehmen eine Vertrauensstellung entgegen gebracht.

mehr erfahren
Single Log-Out (SLO)

Ermöglicht dem Benutzer durch einmaliges Abmelden aus allen definierten Applikationen auszuloggen. Dies steht vorwiegend in Zusammenhang mit SSO und Web-Anwendungen.

mehr erfahren
Single Sign On (SSO)

SSO ermöglicht es dem Benutzer, nach einer einmaligen Authentifizierung, auf alle Anwendungen, Systeme und IT-Dienste, für die er berechtigt ist, zuzugreifen, ohne sich erneut anmelden zu müssen

mehr erfahren
Smartcard

mehr erfahren
SoD

Abkürzung für Segregation of Duties bzw. auch Separation of Duty [siehe Funktionstrennung]

mehr erfahren
Sonderrecht

siehe Privilegierte Berechtigungen

mehr erfahren
SOX

Das Sarbanes-Oxley Act of 2002 (auch SOX, SarbOx oder SOA) ist ein US-Bundesgesetz, das als Reaktion auf Bilanzskandale von Unternehmen wie Enron oder Worldcom die Verlässlichkeit der Berichterstattung von Unternehmen, die den öffentlichen Kapitalmarkt der USA in Anspruch nehmen, verbessern soll. Benannt wurde es nach seinen Verfassern, dem Vorsitzenden des Ausschusses für Bankwesen, Wohnungs- und Städtebau des Senats der Vereinigten Staaten, Paul Sarbanes (Demokrat), und dem Vorsitzenden des Ausschusses für Finanzdienstleistungen des Repräsentantenhauses der Vereinigten Staaten, Michael Oxley.
(Quelle: Wikipedia)

mehr erfahren
SPML

Die Service Provisioning Markup Language (SPML) ist ein XML-basiertes Framework, entwickelt von OASIS, für den Austausch von Benutzer-, Ressourcen- und Service-Provisioning-Informationen zwischen kooperierenden Organisationen.
(Quelle: Wikipedia)

mehr erfahren
SSL (Secure Sockets Layer)

Secure Sockets Layer ist die alte Bezeichnung für Transport Layer Security.
Transport Layer Security (TLS, deutsch Transportschichtsicherheit) ist ein hybrides Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet.

mehr erfahren
Stammdaten

Stammdaten ist ein Begriff aus der Informatik (Datenmanagement) und der Betriebswirtschaft (im Zusammenhang mit dem Einsatz von betrieblicher Anwendungssoftware), mit dem Daten bezeichnet werden, die Grundinformationen über betrieblich relevante Objekte (wie Produkte, Lieferanten, Kunden, Mitarbeiter) enthalten (z. B. Bezeichnung und Preis, Rabattvereinbarungen, Namen und Adressen, Eintrittsdatum ...), die zur laufenden (z. B. periodischen) Verarbeitung erforderlich sind.
(Quelle: Wikipedia)

mehr erfahren
Standardberechtigungen

Berechtigungen, die in der Regel an alle Benutzer (oder Benutzer ohne Sonderaufgaben) vergeben werden.
Mit diesen Berechtigungen werden meist unkritische Tätigkeiten durchgeführt und sind zudem frei von Lizenzkosten.
Standardberechtigungen sind zudem geeignet in Basisrollen zu modellieren. [siehe Basisrolle]

mehr erfahren
Subjekt

Ein Subjekt ist ein wollender Aktor, der auf eine elektronische Ressource zugreift oder zugreifen möchte. Es kann sich um eine natürliche oder juristische Person oder auch um eine Maschine handeln.

mehr erfahren
Systemrolle

Anm. Rainer: wenn es die Repräsentation ist, dann entspricht es eher den Applikationsrollen und Berechtigungen der Zielsysteme
Neu:
Repräsentationen von Berechtigungsstrukturen in den Zielsystemen. In rollenbasierten Zielsystemen entspricht dies den Applikationsrollen (siehe Applikationsrollen) und auch den Einzelberechtigungen.
Diese Systemrollen können dann innerhalb eines IAM in Geschäftsrollen modelliert werden.

mehr erfahren

T

TCO

Total Costs of Ownership. Gesamtkosten - dies entspricht einem Abrechnungsverfahren, welches nicht nur die Anschaffungskosten, sondern auch die spätere Nutzung ausweist. z.B. PC-Kosten inklusive Wartung und Administration

mehr erfahren
Technische Benutzerkonten

Technische Benutzerkonten werden für systemeigene Aufgaben, wie z.B. Batchverarbeitungen oder andere technische Zugriffe verwendet. Diese Accounts werden in der Rollenmodellierung ausgeschlossen. Wichtig ist es jedoch dies innerhalb der Security zu betrachten, da diese Konten eigentlich keinem Benutzer zugeordnete werden können.
Die Verantwortlichkeit über solche Konten muss jedoch geregelt und nachvollziehbar sein.

mehr erfahren
Technische Rollen

Technische Rollen entsprechen den Applikationsrollen [siehe Applikationsrolle]

mehr erfahren
Top-Down

Verfahren zur Analyse der Berechtigungen auf Basis von fachlichen Aufgaben oder Geschäftsprozessen (gegenteilig zu Bottom-Up)

mehr erfahren

U

UID

Eine Benutzerkennung (englisch user identifier, UID) identifiziert an einem Computer (oder in einem Netzwerk) einen Benutzer eindeutig bzw. ein (dem Benutzer zugeordnetes) Benutzerkonto. In der Regel ist dieser Benutzer eine natürliche Person.

Die Eingabe der Benutzerkennung wird bei jeder Anmeldung am Computer angefordert.

Achtung: Die Bezeichnung wird auch von manchen Kunden als Abkürzung für "Unique ID" verwendet.

mehr erfahren
Use Case

mehr erfahren
User

à Benutzer

mehr erfahren
User Management

Auch Benutzermanagement – es bezeichnet das Erstellen von Benutzerdaten, das Pflegen und das Löschen dieser (auch in Verbindung mit dem Benutzerkonto)

mehr erfahren
User-Life-Cycle

Stehender Begriff für den Lebenszyklus eines Mitarbeiters von seinem Eintritt in das Unternehmen über Änderungen (z.B. Organisationswechsel) die ein Mitarbeiter erfährt, bis hin zum Austritt aus dem Unternehmen (dt: Benutzer-Lebenszyklus).

mehr erfahren

V

Validierung

Validierung (Informatik), Nachweisführung, dass ein System die Praxisanforderungen erfüllt.
(Quelle: Wikipedia)

mehr erfahren
Verfügbarkeit

Die Verfügbarkeite ist eines der IT-Schutzziele und muss denr Zugriff auf Daten innerhalb eines vereinbarten Zeitrahmens gewährleisten.

mehr erfahren
Vertraulichkeit

Die Vertraulichkeit ist eines der IT-Schutzziele und muss sicherstellen, dass Informationen und Ressourcen nur für autorisierte (berechtige) Benutzer bzw. Systemen zugreifbar oder änderbar sind

mehr erfahren
Verzeichnis

siehe Directory

mehr erfahren
VPN

VPN (Virtual Private Network,) und bietet von extern sicheren (verschlüsselten) Zugriff auf ein Firmennetzwerk

mehr erfahren

W

Warenkorb

Innerhalb von Dell (D1IM) wird ein Warenkorb im Bestellworkflow genutzt

mehr erfahren
Web SSO

mehr erfahren
Workflow Management

Bezeichnet den Umgang mit elektronisch unterstützten Prozessen in Form einer definierten Abfolge einer Tätigkeit.

mehr erfahren

X

Z

Zertifikat

Ein Zertifikat ist ein digitaler Datensatz, der bestimmte Eigenschaften von Personen oder Objekten bestätigt und dessen Authentizität und Integrität durch kryptografische Verfahren geprüft werden kann. Das digitale Zertifikat enthält insbesondere die zu seiner Prüfung erforderlichen Daten.
(Quelle: Wikipedia)

mehr erfahren
Zertifizierung

Die Erbringung des Nachweises, dass ein Inhalt integer und wahr ist.

mehr erfahren
Zertifizierung (Rezertifizierung)

Beispielsweise sollen Geschäftsrollen dadurch in Bezug auf Inhalt und auf Rollenmitgliedschaften regelmäßig durch den Rollenverantwortlichen bestätigt werden. [siehe Rezertifizierung].

mehr erfahren
Zertifizierungsstelle

Die für die Ausstellung der Zertifikate zuständige Stelle.

mehr erfahren
Zugangsberechtigungen

Zugangsberechtigungen erlauben einer Person, bestimmte Ressourcen wie IT-Systeme, Netze und Anwendungen zu nutzen oder Transaktionen auszuführen.

mehr erfahren
Zugangsschutz

Zugangsschutz bezeichnet den Schutz der Nutzung von IT-Systemen, IT-Netzen und Anwendungen. Der Zugang beinhaltet den Zutritt und Zugriff.

mehr erfahren
Zugriff

Ein selbständig agierendes Subjekt (Benutzer, Dienst, etc.) greift auf ein passives Objekt (Datei, Datenbank, Applikation, etc.) zu.

mehr erfahren
Zugriffskontrolle

Die Zugriffskontrolle sichert Datenverarbeitungssysteme gegen unberechtigten Zugriff ab und lässt anhand korrekter Authentisierung den Zugriff zu.

mehr erfahren
Zugriffsmanagement

siehe Access Management

mehr erfahren
Zugriffsschutz

Zugriffsschutz bezeichnet den Schutz von Informationen bzw. Daten vor der Nutzung von nicht autorisierten Personen

mehr erfahren
Zutritt

Ein selbständig agierendes Subjekt (Person, Auto, etc.) passiert eine physikalische Barriere (Tür, Einfahrt, etc.).

mehr erfahren
Zutrittsberechtigungen

Über Zutrittsberechtigungen erhalten befugte Personen Zutritt zu den für sie relevanten Räumlichkeiten und Sicherheitsbereichen.

mehr erfahren
Zutrittsschutz

Zutrittsschutz verhindert den Zutritt Unbefugter in Räumlichkeiten und Sicherheitsbereiche, um physischen Zugriff auf Systeme und/oder Informationen zu unterbinden.

mehr erfahren
Zuweisungsmethoden

Berechtigungen oder Geschäfts-Rollen können über verschiedene Methoden zugewiesen werden. Diese unterscheiden sich durch die manuelle Zuweisung oder die dynamische bzw. auch als regelbasierte Zuweisung genannt. Die regelbasierte Zuweisung weist beispielsweise einem Benutzer eine Berechtigung oder eine Geschäfts-Rolle anhand eines definierten Attributs zu.

mehr erfahren
Marcel Weber - Sales Manager Schweiz
Marcel Weber
Sales Manager Schweiz


+41 79 907 84 47

Platzhalter-Person - Placeholder Expert
Platzhalter-Person
Placeholder Expert


081 750 67 83

Otto Mustermeier
IAM Advanced DE


Hanna Mustermüller
IAM Advisory DE


Stefan Vielhauer - Sales Manager Deutschland und Österreich
Stefan Vielhauer
Sales Manager Deutschland und Österreich


+49 178 586 00 52

Martin Muster
Placeholder


+41 123 45 67

Arne Vodegel - Sales Manager Germany
Arne Vodegel
Sales Manager Germany


+49 170 908 04 32

Jan Johannsen - Sales Manager Deutschland
Jan Johannsen
Sales Manager Deutschland


+49 170 90 80 876

Achim Stolz - Lead IAM Advisor
Achim Stolz
Lead IAM Advisor


+41 79 954 90 03

Frank Pevestorf - Senior IAM Consultant
Frank Pevestorf
Senior IAM Consultant


+49 175 724 58 98

Claudio Fuchs - Head of Project Delivery Switzerland/Austria
Claudio Fuchs
Head of Project Delivery Switzerland/Austria


+41 79 828 59 02