Bezeichnung für einen Zugriff von einem Subjekt (Benutzer, Dienst, etc.) auf ein Objekt (z.B. Datei, Datenbank, Applikation, etc.)

Access Governance ist die Ausprägung von Governance, bezogen auf das Identity und Access Management im Unternehmen. Access Governance ermöglicht die Steuerung und Kontrolle von Berechtigungen.

Access Management umfasst alle Massnahmen für den sicheren Zugriff auf Anwendungen (Zugriffkontrolle).
Dazu gehören die Authentisierung [siehe Authentisierung], Authentifizierung [siehe Authentifizierung] und Autorisierung [siehe Autorisierung] sowie unterstützende und übergreifende Sicherheitstechniken bzw. Themenfelder wie Single Sign On (SSO), PKI, Verschlüsselung, Biometrie.

[siehe Benutzerkonto]

Access Control Entries – dies entspricht den einzelnen Einträgen der so genannten ACL [siehe ACL]. Ein ACE enthält die Information, ob ein Benutzer oder eine Benutzergruppe auf eine Ressource zugreifen darf oder nicht.

Access Control List (ACL), deutsch Zugriffssteuerungsliste. Eine ACL entspricht einer Software-Technik, die festlegt, in welchem Umfang Benutzer auf Ressourcen zugreifen dürfen.

Der Active Directory ist eine geschützte Bezeichnung von Microsoft. Es definiert den in der Windows-Server-Architektur integrierte Verzeichnisdienst (ADS). Active Directory basiert auf dem LDAP.

Seit Windows Server 2008 sind jedoch unter dem Begriff Active Directory 5 verschiedene Serverrollen zusammengefasst:
Active Directory Domain Services (Active-Directory-Domain-Verzeichnisdienst, ADDS) ist die aktuelle Version des ursprünglichen Verzeichnisdienstes und der zentrale Punkt der Domain- und Ressourcenverwaltung.

Active Directory Lightweight Directory Services (Active-Directory-Lightweight-Verzeichnisdienst, ADLDS) ist eine funktional eingeschränkte Version des ADDS, die der Anbindung von Anwendungen oder Diensten, die LDAP-konforme Informationen aus dem Verzeichnis benötigen, dient. Erstmals in Windows Server 2003 implementiert, wurde der Dienst dort als Active Directory Application Mode (ADAM) bezeichnet.

Active Directory Federation Services (Active-Directory-Verbunddienste, ADFS) dienen der webgestützten Authentifizierung von Benutzern, wenn diese sich in Bereichen außerhalb der ADDS-Infrastruktur befinden.

Active Directory Rights Management Services (Active-Directory-Rechteverwaltungsdienste, ADRMS) schützen Ressourcen durch kryptografische Methoden gegen unbefugte Einsicht.

Active Directory Certificate Services (Active-Directory-Zertifikatsdienste, ADCS) stellen eine Public-Key-Infrastruktur bereit.

siehe Active Directory

Benutzerkonten, denen administrative Berechtigungen [sieh Administrative Berechtigungen] zugewiesen sind. Solche Konten werden für sensible Konfigurationen oder z.B. auch Software-Installationen verwendet.

Rechte, welche erlauben, das System selbst zu verwalten und zu betreuen. Die Berechtigungen ermöglichen es, den Inhalt des Systems auf technischer Ebene zu verändern.

Dazu gehören z.B. auch Rechte zur Benutzer- und Rechteadministration oder Rechte zur Durchführung von Installationen.
[siehe „Privilegierte Berechtigungen“]

Die Vergabe von nur den Berechtigungen und Vollmachten, die ein Mitarbeiter zur Erfüllung seiner Aufgaben benötigt.
[siehe „Least Privilege“-Prinzip]

Ein Verfahren zur Beantragung und Genehmigung von Benutzerkonten oder Berechtigungen für IT-Systeme und Anwendungen. Mit Vorteil wird dieses Verfahren heute technisch unterstützt.

Als Anwender wird der Benutzer oder Nutzer des Computers bzw. von (IT-)Systemen und Applikationen bezeichnet.

Computersoftware, welche durch einen oder mehrere Benutzer zur Erfüllung von Aufgaben und Tätigkeiten genutzt wird.
Für IAM ist eine Anwendung insbesondere dann relevant, wenn sie über eine eigene Benutzerverwaltung verfügt oder auch eine bestehende Benutzerverwaltung, wie z.B. das Active Directory nutzt.

Der Anwendungseigentümer ist der Know-how-Träger einer Anwendung. Dieser ist auch der Verantwortliche über diese Anwendung. Der Anwendungseigentümer stellt in Zusammenhang mit einer Anbindung an ein à IAM-System, Informationen über das eigene Berechtigungssystem zur Verfügung, welche dafür benötig werden.
Der Anwendungseigentümer sollte auch über ein Berechtigungskonzept der eigenen Anwendung verfügen, welche die unabhängige Berechtigungsvergabe, die Berechtigungsstruktur und allfällige à technische Rollen (Rollenkonzepte) beschreibt.
Der Anwendungseigentümer stellt à Einzelrechte / Technische Rollen (inklusive Informationen) zur Geschäftsrollenbildung bereit. Der Anwendungseigentümer kann die Geschäftsrollenbildung beeinflussen. Er sollte neben dem Business-Bereich (Benutzer der Anwendung im Geschäftsprozess) auch Informationen über die Funktionstrennung abgeben können.

Eine Programmierschnittstelle, genauer Schnittstelle zur Anwendungsprogrammierung, oder oft kurz API (englisch application programming interface, wörtlich ‚Anwendungs­programmier­schnittstelle‘), ist ein Programmteil, der von einem Softwaresystem anderen Programmen zur Anbindung an das System zur Verfügung gestellt wird. Im Gegensatz zu einer Binärschnittstelle (ABI) definiert eine Programmierschnittstelle nur die Programmanbindung auf Quelltext-Ebene.[1] Zur Bereitstellung solch einer Schnittstelle gehört meist die detaillierte Dokumentation der Schnittstellen-Funktionen mit ihren Parametern auf Papier oder als elektronisches Dokument.
(Quelle: Wikipedia)

Genehmiger

Eine Zusicherung, Sicherstellung oder Assertion (lateinisch/englisch für Aussage, Behauptung) ist eine Aussage über den Zustand eines Computer-Programms oder einer elektronischen Schaltung. Mit Hilfe von Zusicherungen können logische Fehler im Programm oder Defekte in der umgebenden Hard- oder Software erkannt und das Programm kontrolliert beendet werden.
(Quelle: Wikipedia)
Siehe auch SAML (Security Assertion Markup Language)

Die Attestierung ist der eigentliche Vorgang zur Bestätigung, dass ein Prüfobjekt, beispielsweise eine Berechtigungszuweisung, korrekt ist.
(siehe auch Fachbericht "Rezertifizierung des Benutzermanagements")

Ein Attribut bezeichnet ein Informationsdetail eines Objektes. Z.B das Geburtsdatum eines Benutzers oder auch der Rollentyp einer Geschäftsrolle. (definierte Informationseinheit)

Ein Audit untersucht, ob Prozesse, Anforderungen und Richtlinien die geforderten Vorgaben erfüllen.
Es bezeichnet beispielsweise auch die systematische und regelmässige Überprüfung von Berechtigungszuweisungen.
Ein Audit stellt sicher, dass die Anforderungen und Regularien eingehalten werden.
Innerhalb des IDMs bezeichnet man aber das Auditing auch als Protokollierung (historische Speicherung) von Änderungen in Zusammenhang mit Berechtigungszuweisungen und Benutzerattributen. Ein solches Auditing ermöglicht meist auch Soll-Ist-Vergleiche.
Kurz: es wird geprüft ob Vorgaben erfüllt sind.

Protokolliert Benutzeraktivitäten, Ausnahmefälle, kritische Sicherheitsvorfälle und Systemzustände. Die Protokolle werden für eine definierte Zeitspanne aufbewahrt.

Das Austrittsdatum definiert den Zeitpunkt, an welchem ein Benutzer das Unternehmen verlässt. In Zusammenhang mit Identity Management ist es sinnvoll zwischen (meist) zwei verschiedenen Austrittsdaten zu unterscheiden.

Dies entspricht normal den folgenden zwei Daten:
- Effektives Austrittsdatum (entspricht dem effektiven letzten Arbeitstag)
- Theoretische Austrittsdatum (entspricht dem Vertragsende)

OASIS-Standard aus dem SAML-Standard für "Identity Provider" (IdP)

In der Informationstechnologie bezeichnet sie die Zuweisung und Überprüfung von Zugriffsrechten auf Daten und Dienste zu Benutzerkonten. Die Autorisierung erfolgt immer nach einer erfolgreichen Authentifizierung.

Typ / Ausprägung einer Geschäftsrolle. Eine Basisrolle enthält meist die Standardberechtigungen, welche beispielsweise alle Benutzer einer Firma erhalten. Die genaue Definition wird im Geschäftsrollenkonzept beschrieben. [siehe Geschäftsrollentyp]

Jede Person, die zumindest ein Informatikmittel nutzt. Dies kann ein Computer bzw. (IT-)System oder eine Applikationen (innerhalb einer Firma) nutzt.
Siehe auch Anwender oder Benutzerkonto

Eine Benutzerkennung (UserID) identifiziert an einem IT-System einen Benutzer bzw. ein dem Benutzer zugeordnetes Benutzerkonto. Die Eingabe der Benutzerkennung wird bei einer Anmeldung an ein IT-System und/oder eine IT-Anwendung angefordert. Die Benutzerkennung ist ein Attribut des Benutzerkontos.

Jeder Benutzer benötigt zur Anmeldung bzw. zur Nutzung einer Computeranwendung ein Benutzerkonto. Ein Benutzerkonto muss aufgrund der Nachvollziehbarkeit immer einer Person bzw. deren digitalen Identität zugeordnet sein. Ausnahmen bilden sogenannte „Technische Benutzerkonten“. Nach Möglichkeit sollten jedoch auch technische Benutzerkonten der Verantwortung einer natürlichen Person unterstellt sein.

Einem Benutzerkonto werden verschiedene Berechtigungen pro entsprechenden System zugeordnet. Ein Benutzer hat meistens pro System ein eigenes Benutzerkonto.

Jede digitale Identität, jeder Person, welche IT-Benutzer [siehe Benutzer] in einer Firma ist, sollte einem oder mehreren Benutzer-Typen zugeordnet werden.
Beispiele dafür sind Typen wie „interne Mitarbeiter“, „externe Mitarbeiter“, oder „Aussendienst“ (z.B. bei Versicherungen, welche diesen Benutzertyp je nach dem in einem anderen System pflegen). Die Differenzierung dient zur Klassifizierung und eventuellen anderen Handhabungen innerhalb des IAM-Systems.
Beispielsweise können sich auch die Prozesse des Benutzer-Lebenszyklus [siehe Life Cycle Management] je Benutzer-Typ unterscheiden.

[siehe Einzelrecht]

Unter Berechtigungsinformationen sind alle Daten zu verstehen, die es einer Anwendung oder einem System ermöglichen, die Zugriffsberechtigung eines Anwenders zu steuern. Ausprägungen von Berechtigungsinformationen können Berechtigungsobjekte z. B. Geschäftsrollen, IT-Rollen, Systemrollen, Gruppen sowie deren Inhalte sein und aber auch Attribute auf dem Benutzerkonto.

Ein Berechtigungskonzept beschreibt das Prinzip der Vergabe von Berechtigungen für ein IT System oder eine IT-Anwendung. Ebenfalls darin enthalten sind Informationen über den Schutzbedarf der Applikation und den entsprechenden Ressourcen.
Dem Berechtigungskonzept liegt ein Berechtigungsmodell zugrunde.

Entwicklung und Verwaltung von geschäftsorientierten Berechtigungskonzepten z.B. basierend auf Aufgaben, Funktionen, Rollen, Organisationen.

Ein Berechtigungsmodell beschreibt wie Berechtigungen in sich selber aufgebaut und Benutzerkonten zugewiesen sind. Ein Berechtigungsmodell kann innerhalb einer Applikation/System sein oder auch übergreifend im Sinne von Geschäftsrollen.

Regelt den Zugriff auf die IT-Systeme und deren Inhalte. Berechtigungsobjekte sind eine Abstraktion von allen verwendeten Begriffen von Berechtigungen. Konkret sind diese z.B. Gruppe, Berechtigung, Profil, Rolle.

Ein Berechtigungssystem ist eine Datenkontrollstruktur in einem System, einer Datenbank oder Anwendung um den Zugriff auf Informationen und Transaktionen zielgerichtet zu regeln. Meist sind Berechtigungssysteme von den fachlichen Anwendungen abgegrenzt.

(engl. von unten nach oben) In Bezug auf die Rollenmodellierung ist dies ein Verfahren zur Analyse der Berechtigungen auf Basis des ‚Ist-Zustandes‘ ohne Berücksichtigung von fachlichen Aufgaben oder Geschäftsprozessen
(entgegengesetzter Prozess von Top-Down)

Geschäftsprozess (GP) beschreibt die Aktivitäten und Aufgaben, welche in einer Firma in logischem Zusammenhang stehen um ein bestimmtes geschäftliches Ziel zu erreichen.

siehe Geschäftsrolle

Zertifizierungsstelle - In der Informationssicherheit ist eine Zertifizierungsstelle (englisch certificate authority oder certification authority, kurz CA) eine Organisation, die digitale Zertifikate herausgibt. Ein digitales Zertifikat dient dazu, einen bestimmten öffentlichen Schlüssel einer Person oder Organisation zuzuordnen. Diese Zuordnung wird von der Zertifizierungsstelle beglaubigt, indem sie sie mit ihrer eigenen digitalen Unterschrift versieht.
(Quelle: Wikipedia)

Das CMU Capability Maturity Model (Reifegradmodell) (kurz CMM) ist ein Reifegradmodell zur Beurteilung der Qualität („Reife“) des Softwareprozesses (Softwareentwicklung, Wartung, Konfiguration etc.) von Organisationen sowie zur Bestimmung der Maßnahmen zur Verbesserung desselben.
(Quelle: Wikipedia)

Innerhalb der IT in ITIL definierter Prozess, welcher beschreibt wie Änderungen in einer IT-Umgebung gehandhabt werden, damit Anpassungen kontrolliert, effizient und unter Minimierung der Risiken für den Betrieb bestehender Geschäftsprozesse durchgeführt werden.

Compliance beschreibt die Einhaltung der gesetzlichen, unternehmensinternen und/oder vertraglichen Regelungen ebenso beinhalten diese Vorgaben auch Verhaltensregeln.

Ein Softwareprodukt zur unternehmensweiten Analyse von Identitätsdaten, zur Rollenmodellierung sowie für ganzheitliches Risikomanagement.
à http://www.nexis-secure.de/
[siehe Rolemining]

Ein Berechtigungsnachweis (englisch credentials) ist ein Instrumentarium, das einem System die Identität eines anderen Systems oder eines Benutzers bestätigen soll. Dies geschieht meist in Form einer Benutzerkennung in Verbindung mit einem Authentifizierungsmerkmal.
(Quelle: Wikipedia)

Unter Datenschutz versteht man den Schutz (personenbezogener aber auch firmeneigenen) Daten und derer missbräuchlichen Verwendung.

Delegation ist der Prozess der Weiterreichung einer Tätigkeit.
Eine spezielle Form der Delegation ist die Vertretung, z. B. einer Urlaubs- bzw. Krankheitsvertretung.
In allen Formen der Delegation ist zu beachten dass der Delegat, Urlaubsvertreter befähigt ist seine Delegation / Urlaubsvertretung ausüben zu können. Er bedarf der richtigen Berechtigungen, Kompetenzen, Vollmachten, Qualifikationen (Skills) und muss örtlich und zeitlich verfügbar sein. I.d.R. ist er vor Übernahme von der Vertretung in Kenntnis zu setzen.

Bezeichnet das Entziehen von Daten (steht meist in Zusammenhang mit dem Entziehen von Berechtigungszuweisungen) - manuell oder aber meist automatisiert. [siehe Provisoning]

Die digitale Identität ist die Repräsentation einer Person in IT-Systemen. Eine digitale Identität ist klar einer natürlichen Person zuzuordnen.

Eine digitale Signatur, auch digitales Signaturverfahren, ist ein asymmetrisches Kryptosystem, bei dem ein Sender mit Hilfe eines geheimen Signaturschlüssels (dem Private Key) zu einer digitalen Nachricht (d. h. zu beliebigen Daten) einen Wert berechnet, der ebenfalls digitale Signatur genannt wird. Dieser Wert ermöglicht es jedem, mit Hilfe des öffentlichen Verifikationsschlüssels (dem Public Key) die nicht abstreitbare Urheberschaft und Integrität der Nachricht zu prüfen. Um eine mit einem Signaturschlüssel erstellte Signatur einer Person zuordnen zu können, muss der zugehörige Verifikationsschlüssel dieser Person zweifelsfrei zugeordnet sein.
(Quelle: Wikipedia)

Ein Verzeichnis bzw. ein Verzeichnisdienst (Directory- Service)

Bezeichnet eine Zuweisungsmethode, mit deren Hilfe Berechtigungsobjekte automatisiert zugewiesen werden können. Als Kriterien für die Zuweisung dienen dazu meist Attributausprägungen der digitalen Identitäten. Vielfach auch als regelbasierte Zuweisung bezeichnet.

Bezeichnung auf Ebene IAM. Eine Berechtigung oder eine Applikationsrolle, die den Zugriff innerhalb einer Anwendung für einen Benutzer steuert. Dies kann z.B. eine Active-Directory-Gruppe sein, welche den Zugriff auf ein Verzeichnis auf dem File-Server zulässt. Dieses Beispiel ist adaptierbar auf alle weiteren Anwendungen mit einer Berechtigungssteuerung.
Innerhalb des IAM versteht man hier die Einheit, welche von der zu berechtigenden Applikation für die Zuweisung zur Verfügung gestellt und in Geschäftsrollen gebündelt werden könnte.

Als Entität (auch Informationsobjekt genannt, englisch entity) wird in der Datenmodellierung ein eindeutig zu bestimmendes Objekt bezeichnet, über das Informationen gespeichert oder verarbeitet werden sollen. Das Objekt kann materiell oder immateriell, konkret oder abstrakt sein. Beispiele: Ein Fahrzeug, ein Konto, eine Person, ein Zustand.
(Quelle: Wikipedia)
Im NetIQ Identity Manager werden Objekte auf die über das Webportal zugegriffen werden kann auch als Entitäten bezeichnet. Diese können im Directory Abstraction Layer definiert werden.

Mit Entitlement werden innerhalb einer IAM-Umgebung die Berechtigungsobjekte bezeichnet, welche anhand von Informationen in die entsprechenden Zielsysteme geschrieben werden. à Provsioning

Enterprise Single Sign On – dies bezeichnet das Verfahren, das sich der Benutzer nur ein einziges Mal authentifizieren muss. Danach werden ihm alle entsprechenden Zugriffe innerhalb des Firmen-Netzwerkes auf die erlaubten Systeme und Anwendungen gewährt.

Federation beschreibt die gemeinsame, standardisierte Nutzung von Identitätsinformationen über Organisationsgrenzen oder Anwendungen hinweg. (z.B. für Zugriffe auf Anwendungen bei externen Kooperationspartnern)

Typ / Ausprägung einer Geschäftsrolle. Eine Funktionsrolle enthält meist die Berechtigungen, welche Benutzer zu eine Ausübung einer speziellen Funktion in einer Firma benötigen. Die genaue Definition wird im Geschäftsrollenkonzept beschrieben.

auch SoD. Der Begriff „Funktionstrennung“ bzw. „Kritische Berechtigungskombinationen“ beschreibt einen Zustand, der unter Berücksichtigung aller unternehmerischen und / oder gesetzlichen Anforderungen nicht erlaubt ist und zu einem Risiko für das Unternehmen führen kann.
Eine Möglichkeit ist die Definition von statischem SoD-constraints. Der RBAC-Standard sieht dazu die Definition von Beschränkungen für die Relation Benutzer / Rolle.

Innerhalb des IAM ist ein Genehmiger, eine Person, welche Anträgen (beispielsweise Berechtigungsanträgen) zustimmen muss. [siehe Approver]

Eine Geschäftsrolle ist eine Bündelung von Einzelrechten [siehe Einzelrecht], welche ein bzw. mehrere Mitarbeiter für die Erledigung seiner/Ihrer Aufgaben benötigt/benötigen. Dies können beispielsweise auch Zutrittsberechtigungen sein, welche über eine entsprechende Computersoftware verwaltet bzw. gesteuert werden. Die Bündelung ist in der Regel systemübergreifend und enthält somit Berechtigungen verschiedener Systeme / Anwendungen.
Der Aufbau von Geschäftsrollen kann je nach Konzept variieren (z.B. verschachtelt unter Verwendung von Komponentenrollen) – so auch die Ausprägungen und die Bezeichnung der jeweiligen Typen wie z.B. Organisations- oder Funktionsrollen.

Ein Geschäftsrollenkonzept beschreibt wie das Rollenmodell auszusehen hat, welche Typen verwendet werden und wie der Aufbau geschieht.
Ebenfalls sollen in einem Geschäftsrollenkonzept oder mindestens in Verbindung die (neu zu schaffenden) Tätigkeiten, welche damit in Zusammenhang stehen (während der Projektzeit und auch im künftigen Betrieb) und das Rollenmanagement beschrieben werden.
Ebenfalls sollen Konventionen berücksichtigt werden, welche künftig damit in Verbindung stehen. Damit gemeint sind Namen und Beschreibungen, welche für Geschäftsrollen verwendet werden.

Typ / Ausprägung einer Geschäftsrolle wie z.B. Organisationsrolle, Funktionsrolle, Projektrolle etc. Je Typ sind die entsprechenden Berechtigungen enthalten.
Wichtig dabei sind die Beschreibungen der Geschäftsrollen. Diese müssen aussagekräftig sein und den Inhalt wiederspiegeln.
Die verwendeten Typen und die genauen Definitionen werden Geschäftsrollenkonzept beschrieben.

IT-Governance besteht aus Führung, Organisationsstrukturen und Prozessen, die sicherstellen, dass die Informationstechnik (IT) die Unternehmensstrategie und -ziele unterstützt. Unter IT wird in diesem Zusammenhang die gesamte Infrastruktur verstanden, aber auch die Fähigkeiten und die Organisation, die die IT unterstützen und begründen. IT-Governance liegt in der Verantwortung des Vorstands und des Managements und ist ein wesentlicher Bestandteil der Unternehmensführung.
(Quelle: Wikipedia)

Graphical User Interface - Benutzeroberfläche, über welche der Benutzer die Programmfunktionen steuert.

Auch User Help Desk (UHD). Eine Anlaufstelle für Anwender mit IT-Problemen Der Help-Desk erfasst entsprechende Incidents und versucht eine Erstlösung zu präsentieren (mit Hilfe einer Knowledge Base – dt: Wissensdatenbank)
Ein Help Desk ist in der Regel eher technisch orientierter als ein Service Desk und stellt keinen Single Point of Contact (SPOC) für die gesamte Interaktion bereit. Der Begriff “Help Desk” wird häufig auch als Synonym für Service Desk (nach ITIL) verwendet.

Personal Administration

Identity- und Access-Management – hiermit wird Identity- und Access-Management zusammengefasst. [siehe Identity Management]

Reifegradmodelle werden herangezogen um die Qualität von Prozessen, Systemkonfiguration und weiteren Komponenten welche mit einem vorgesehenen IAM in Zusammenhang stehen zu beurteilen.
Der IAM-Reifegrad bestimmt, welche Vorbereitungen getätigt werden müssen um ein IAM-System zu implementieren.

Definiert die Richtlinien, welche für die Implementierung, jedoch auch für den Betrieb einer IAM-Infrastruktur technisch und organisatorisch zu berücksichtigen sind.

Ein Identifikator ist eine Zeichenkette, welche ein Subjekt oder eine Ressource innerhalb eines Namensraumes eindeutig bezeichnet. Dies entspricht meist dem Primärschlüssel.

Die Identität beschreibt innerhalb des IAM, im aktuellen Kontext, eine natürliche Person. Diese steht in Zusammenhang zur digitalen Identität (… und ist in Bezug auf Person und Benutzertyp eindeutig).

Als Identitätsmanagement wird der zielgerichtete und bewusste Umgang mit Identität, Anonymität und Pseudoanonymität bezeichnet.
Dies entspricht der Summe aller Massnahmen, die notwendig sind, um Personen, Identitäten und Benutzer in IT-Systemen eindeutig zu erkennen sowie ihnen genau die Zugriffe zu ermöglichen, die sie aktuell im Rahmen ihrer Tätigkeit benötigen.
Dabei sind alle Massnahmen im Rahmen von angemessenen, standardisierten, prüfbaren und dokumentierten Prozessen durchzuführen.

Bezeichnet zweierlei:
1.) einen Authentisierungsservice, der im Allgemeinen nach einer erfolgreichen Authentifizierung ein Security-Ticket, meist ein SAML-Ticket ausstellt, welches dazu bestimmt ist, dem Service-Provider Authentisierungs- und Identitätsdaten über das Internet, meist in XML (SAML 2.0 Ticket) zu übermitteln.
2.) eine Rolle, welche die Instanz in einem föderierten Business-Szenario bezeichnet, die ein Security-Ticket (z.B. ein SAML-Ticket) ausstellt.

Ein Internes Kontrollsystem (IKS) besteht aus systematisch gestalteten organisatorischen Massnahmen und Kontrollen im Unternehmen zur Einhaltung von Richtlinien und zur Abwehr von Schäden, die durch das eigene Personal oder böswillige Dritte verursacht werden können.
Seit 2008 werden nach Art. 728a OR Schweizer Unternehmen insofern zum Aufbau eines IKS verpflichtet, als dass die Revisionsstelle nun dessen Existenz prüfen muss.

Inkonsistenz (v. lat. in- „nicht“, con- „zusammen“, sistere „halten“) bezeichnet einen Zustand, in dem zwei Dinge, die beide als gültig angesehen werden sollen, nicht miteinander vereinbar sind. Die Konsistenz ist der gegensätzliche Begriff dazu. Inkonsistenz bedeutet insbesondere Widersprüchlichkeit oder Unbeständigkeit (Zusammenhanglosigkeit).
(Quelle: Wikipedia)

IT-Schutzziel, meint die Vertrauenswürdigkeit (vollständig und unverändert) einer Information.

Informationssicherheit

Die IT Infrastructure Library (ITIL) ist eine Sammlung von Best Practices in einer Reihe von Publikationen zur Umsetzung eines IT-Service-Managements (ITSM) und gilt inzwischen als internationaler De-facto-Standard im Bereich IT-Geschäftsprozesse.[1][2] In dem Regel- und Definitionswerk werden die für den Betrieb einer IT-Infrastruktur notwendigen Prozesse, die Aufbauorganisation und die Werkzeuge beschrieben. Die ITIL orientiert sich an dem durch den IT-Betrieb zu erbringenden wirtschaftlichen Mehrwert für den Kunden. Dabei werden die Planung, Erbringung, Unterstützung und Effizienz-Optimierung von IT-Serviceleistungen im Hinblick auf ihren Nutzen als relevante Faktoren zur Erreichung der Geschäftsziele eines Unternehmens betrachtet.

In der Standardkonfiguration des NetIQ Identity Managers stellen IT-Rollen die zweite von drei Rollenebenen dar. Diese Ebene kann auch als Komponentenrolle bezeichnet werden.

IT-Schutzziele:
- Integrität
- Verfügbarkeit
- Vertraulichkeit

siehe Passwort

Kerberos ist ein verteilter Authentifizierungsdienst (Netzwerkprotokoll) für offene und unsichere Computernetze (wie zum Beispiel das Internet), der von Steve Miller und Clifford Neuman basierend auf dem Needham-Schroeder-Protokoll zur Authentifizierung (1978) entwickelt wurde.

Bei Kerberos sind drei Parteien beteiligt:
- der Client
- der Server, den der Client nutzen will
- der Kerberos-Server

Der Kerberos-Dienst authentifiziert sowohl den Server gegenüber dem Client, als auch den Client gegenüber dem Server, um Man-in-the-middle-Angriffe zu unterbinden. Auch der Kerberos-Server selbst authentifiziert sich gegenüber dem Client und dem Server und verifiziert selbst deren Identität.
(Quelle: Wikipedia)

Komponentenrollen (in Bezug auf den Aufbau von Geschäftsrollen verwendet) werden im Aufbau Rollen als Hilfskonstrukt verwendet. Diese können in eine oder mehrere Geschäftsrollen vererbt werden.
Die Bündelung kann nach Systemen oder nach Verwendungszweck bestimmte werden. z.B. können alle Active Directory Gruppen zuerst in einer Komponentenrolle verschachtelt werden, anschliessend wird diese Komponentenrolle in die Geschäftsrolle verschachtelt. Eine weitere Möglichkeit ist es, anwendungsspezifisch die Rechte zu bündeln und dann diese Komponentenrolle in entsprechende Geschäftsrollen zu verschachteln.
--> IT-Rollen

Der KVP ist ein unternehmensweiter Geschäftsprozess für die kontinuierliche Verbesserung. Dieser Prozess regelt Meldung, Verbesserung und Kontrolle von für das Unternehmen positiven Veränderungen. In einer IAM Prozesslandkarte ist normalerweise ein Verweis zum KVP angebracht.

Der Benutzer erhält nur die für seine Aufgaben nötigen Berechtigungen. (Prinzip der minimalen Berechtigungen)

In Bezug auf die Rollenmodellierung muss genau betrachtet werden, wie weit dieses Prinzip eingehalten werden muss und besonders bei welchen Berechtigungen dieses Prinzip betrachtet werden muss. (Völlig unkritisch eingestufte Berechtigungen sollen somit hier nicht betrachtet werden, da dies die Rollenqualität negativ beeinflusst)

Verzeichnisdienst [siehe Lightweight Directory Access Protocol]

Beschreibt den Lebenszyklus eines Objektes. Im Bereich IAM verbindet man dies z.B. häufig mit dem User Life Cycle (Benutzer Lebenszyklus). Das Life Cycle Management beschreibt hier den Umgang mit der digitalen Identität und beginnt beim Eintritt eines Mitarbeiters, über deren Veränderungen während des Anstellungsverhältnisses, bis hin zum Austritt.
Weitere wichtige Lebenszyklen im Bereich IAM betreffen den Lebenszyklus der Geschäftsrollen oder auch der Organisation selbst. Es ist wichtig, dass diese Prozesse klar definiert und bekannt sind.

Ein Anwendungsprotokoll aus der Netzwerktechnik. Es erlaubt die Abfrage und die Modifikation von Informationen eines Verzeichnisdienstes (directory service).
Auch:
Definierter Standard zwecks objektorientierter und hierarchischer Ablage von Daten sowie deren Zugriff darauf

Das Login bezeichnet das Verfahren des Anmeldens (einloggen) an einem Computersystem / Netzwerk und benötigt die entsprechenden Credentials [siehe Credentials]

Mindestanforderungen an das Risikomanagement (herausgegeben von der Bundesanstalt für Finanzdienstleistungsaufsicht)

Metadaten sind Daten, die dazu dienen, Objekte, aber auch Daten strukturiert zu beschreiben. Auch Informationen zu Daten.
Im Bsp. eines Users/Mitarbeiters sind folgendes Metadaten:
- Vorname
- Nachname
- Geburtsdatum
- Abteilung

Ein zentraler Verzeichnisdienst, welcher auf einem LDAP-Server basiert. Sinn und Zweck dahinter ist es, Informationen aus verschiedenen unternehmensinternen Datenbanken zusammenzuführen um einen zentrale Pflege und Synchronisation zu ermöglichen. Ein wichtiger Vorteil dabei ist, dass ein solcher Verzeichnisdienst, gegenüber relationalen Datenbanken, sehr schnelle Zugriffe ermöglichen.
Ein solches zentrales Verzeichnis ermöglicht zudem eine strukturierte, prozessorientierte und plattformübergreifende Verwaltung von Objektklassen. Anhand der möglichen, zentralen Plege bleiben Datenbestände konsistent und können gemeinsam genutzt werden.

Ein MetaHub dient als zentrales Verzeichnis für den (automatisierten) Datenaustausch zwischen den IT-Systemen. [siehe auch Metadirectory]

"Systematische Erfassung, Überwachung und regelmässige Kontrolle der Nutzung informationsverarbeitender Systeme sowie der Identity und Access Managementprozesse, -Aktivitäten und -Zustände.
Das Monitoring ermöglicht einer Organisation die Konformität zu Regularien und internen Richtlinien sicherzustellen und nachzuweisen. Ebenso gehört dazu die frühzeitige Erkennung von ungewöhnlichen oder abnormalen Aktivitäten, die eventuell behandelt werden müssen."

Eine Multi-Faktor-Authentisierung bezeichnet die Authentisierung mit mindestens zwei (2FA) von drei möglichen Faktoren. Damit ist gemeint, dass ein Passwort alleine nicht reicht, sondern zusätzlich ein Token oder Fingerscan etc. benötigt wird.

Massgebend sind die drei Faktoren Wissen, Besitz und Eigenschaft.
- Besitz: Hardware-Token, Smartcard, Schlüssel
- Wissen: Passwort, PIN, TAN
- Untrennbar zum Nutzer: Fingerabdruck, Stimme, Iris

Bezeichnet innerhalb der Schweiz das Ändern und Anpassen von Daten. Besonders im Bereich HR genutzt.

Unter Nachvollziehbarkeit versteht man in diesem Kontext die Rückverfolgbarkeit. Das bedeutet, dass ein sachverständiger Dritter sich in angemessener Zeit einen Überblick über die Geschäftsvorfälle verschaffen kann. In diesem Kontext sind für alle Systeme die entsprechende Sicherheitslogs, -protokolle zu aktivieren und zu archivieren.

Der Namensraum (englisch namespace) ist ein Begriff aus der Programmierung. Dabei werden – vor allem bei der objektorientierten Programmierung – die Namen für Objekte in einer Art Baumstruktur angeordnet und über entsprechende Pfadnamen eindeutig angesprochen.
Vereinfacht bedeutet dies, dass innerhalb eines solchen Raumes jeder Name eindeutig ein Objekt bezeichnet. Der gleiche Name kann jedoch in einem anderen Namensraum wieder frei zur Bezeichnung eines anderen Objekts benutzt werden. Außerdem können diese unabhängigen Namensräume innerhalb einer Hierarchie verbunden werden.
(Quelle: Wikipedia)

Eine natürliche Person bezeichnet physikalisch existierende Personen. Sie muss nicht Angestellter der Firma sein, kann aber über Anstellungsverhältnisse innerhalb und ausserhalb der Firma verfügen.

Ein Attribut (von lateinisch attribuere ‚zuteilen‘, ‚zuordnen‘), auch Eigenschaft genannt, gilt im Allgemeinen als Merkmal, Kennzeichen, Informationsdetail etc., das einem konkreten Objekt zugeordnet ist. Dabei wird unterschieden zwischen der Bedeutung (z. B. „Augenfarbe“) und der konkreten Ausprägung (z. B. „blau“) des Attributs.
(Quelle: Wikipedia)

Abk. - siehe Organisationseinheit

Unter Organisationseinheit oder organisatorischer Einheit versteht man in der Organisationstheorie (oft auch Betriebswirtschaftslehre u. a.) einen Sammelbegriff für durch Zusammenfassung und Zuordnung von (Teil-) Aufgaben zu personalen Aufgabenträgern entstehenden organisatorischen Einheiten. Damit ist eine Organisationseinheit ein Element der Aufbauorganisation.

Typische Beispiele für Organisationseinheiten sind Stellen und Abteilungen; aber auch ganze Unternehmensbereiche oder einzelne Niederlassungen können als organisatorische Einheiten betrachtet werden. Die kleinste Organisationseinheit ist die Stelle. Diese wird umgangssprachlich oft ungenau als ein „Arbeitsplatz“ betrachtet, ist zunächst aber weder räumlich festgelegt noch an eine bestimmte Person gebunden.

Organisationseinheiten entstehen im Zuge von Aufgabenanalyse (gedanklicher Aufgliederung einer Gesamtaufgabe in analytische Teilaufgaben) und anschließender Aufgabensynthese (Zusammenfassung der Teilaufgaben). Diesen Vorgang nennt man Stellenbildung.

Organisationseinheiten sind die klassischen und grundlegenden Elemente einer formalen Organisation (durch offizielle Regeln festgelegt).

Wichtige Hilfsmittel zur Abbildung der Aufbauorganisation bzw. ihrer Teile sind Organigramme, Stellenbeschreibungen und Funktionsdiagramme.
Abk.: --> OE
(Quelle: Wikipedia)

Typ / Ausprägung einer Geschäftsrolle. Eine Organisationsrolle enthält die Berechtigungen, welche Benutzer innerhalb einer Organisationseinheit aufgrund dieser Angehörigkeit bekommt (z.B Abteilungsverzeichnisse und Verteilerlisten etc.). Die genaue Definition wird im Geschäftsrollenkonzept beschrieben. [siehe Geschäftsrollentyp]

Zuordnung zu einer Organisationseinheit. Alle Informationen, die die Position einer Person im Unternehmen bestimmen. Dazu gehören beispielsweise etwa Kostenstelle, Abteilung und Funktion einer Person.

One Time Password – dies bezeichnet ein Passwort, welches nur einmal zur Verwendung kommt. Beispiele dafür sind Streichlisten oder Token oder auch dafür ausgelegte SMS-Dienste.

Es bezeichnet in jeder Hinsicht den Eigentümer – im IAM-Umfeld spricht man vielfach vom Role Owner, vom Application Owner, etc.

Ein Passwort dient zur Authentifizierung im Anmeldeprozess.

Mit Hilfe eines Passwort Self-Service können Benutzer selbständig ihre Passworte für Anwendungen und Systeme bei Verlust zurücksetzen bzw. ändern.

Passwortmanagement ist die zentrale Verwaltung von Passwörtern und deren Zuordnung zu den Benutzerkonten.

Die Passwortrichtlinien beschreiben wie sich ein Passwort zusammensetzt, damit es zur Anwendung kommen darf. Dies entspricht der Vorschrift für die zu verwendende Komplexität und Länge. Die Richtlinie beschreibt aber auch die Verhaltensweise bei fehlgeschlagenen Anmeldeversuchen oder die Gültigkeitsdauer.

Berechtigung [siehe Einzelrecht]

siehe Personalnummer

Wird meist im HR-System geführt. Dies muss der führende Indikator pro Mitarbeiter darstellen und sollte im besten Fall auch nach einem Wiedereintritt derselbe sein.

PID (engl. personally identifiable information (PII)). Diese Daten helfen eine Person eindeutig zu identifizieren.

Dies bezeichnet Richtlinien und Regelwerke. Innerhalb von IAM benötigt es solche Regelwerke beispielsweise um Berechtigungen oder Geschäftsrollen automatisch zuzuweisen.

Ein Portal stellt seinem Benutzer verschiedene Funktionen zur Verfügung, wie beispielsweise Personalisierung, Navigation und Benutzerverwaltung. Außerdem koordiniert es die Suche und die Präsentation von Informationen und soll die Sicherheit gewährleisten.
(Quelle: Wikipedia)

siehe „Least Privilege“-Prinzip

Rechte mit denen das System selbst verwaltet und betreut wird, die wenig eingeschränkten Zugriff zum System gewähren oder ermöglichen den Inhalt des Systems auf technischer Ebene zu verändern. Auch Rechte zur Benutzeradministration und Rechteadministration, Rechte zur Durchführen von Installationen und Sicherungen, Jobs einzurichten und zu verwalten.

Unter einer Privilegierten Berechtigung wird beispielsweise auch ein Zugriffsrecht verstanden, mithilfe dessen ein Benutzerin der Lage ist, anderen Benutzern Berechtigungen zu vergeben, zu entziehen oder Sicherheitsmassnahmen und –Konfigurationen eines Systems oder einer Anwendung zu verändern.

Dafür sollten Administrative Benutzerkonten genutzt werden.

Die Definition, welche Berechtigungen, dass als „Privilegierte Berechtigungen“ bezeichnet werden, können aber von Kunde zu Kunde abweichen.

Hostprofil:
Im Hostumfeld ist ein Profil eine Bündelung von Attributen, welche für bestimmte Zugriffe benötigt werden. Ein Profil wird einem oder mehreren Benutzer zugewiesen.

AD-Profil:
Ein Ad-Profil speichert alle benutzerspezifischen Einstellungen

Provisioning bezeichnet (im Sinne von IAM) das automatisierte oder mindestens teilautomatisierte Bereitstellen von Ressourcen und/oder Benutzeraccounts in Zusammenhang mit Berechtigungssystemen. Aber auch Stammdaten werden über das Provisioning in den entsprechenden Systemen bereitsgestellt.
Das oberste Ziel des Provsioning ist es jedoch, den richtigen Personen zur richtigen Zeit die richtigen Ressourcebn zur Verfügung zu stellen.

Mit Public-Key-Infrastruktur (PKI, englisch public key infrastructure) bezeichnet man in der Kryptologie ein System, das digitale Zertifikate ausstellen, verteilen und prüfen kann. Die innerhalb einer PKI ausgestellten Zertifikate werden zur Absicherung rechnergestützter Kommunikation verwendet.
(Quelle: Wikipedia)

Resource Access Control Facility ist IBMs Implementierung der Sicherheitsschnittstelle der Großrechnerbetriebssysteme

Die Hauptfunktionen, die es erfüllt sind:
- Identifikation und Verifikation der Benutzer mittels Benutzerschlüssel und Passwortprüfung (Authentifizierung)
- Schutz von Ressourcen durch die Verwaltung der Zugriffsrechte (Autorisierung)
- Logging der Zugriffe auf geschützte Ressourcen (Auditing)

Role Based Access Control (rollenbasierte Berechtigungsvergabe) [siehe Geschäftsrollen]

siehe Einzelrecht

siehe Policy

Auch Registration – eine Registrierung kann eine Einrichtung eines (Online) Accounts, Profils oder einer Identität sein, eine Erfassung der Identität oder zur Ausstellung von  Berechtigungsnachweisen.

In Bezug auf IAM ein Prozess der Benutzerregistrierung, also der Aufnahme einer Person in die Organisation und der Verbindung mit ihrer Identität.

Berichterstattung, um relevante Informationen im Rahmen des Identity und Access Management, zeitgerecht und vollständig an die zutreffenden Adressaten zu übermitteln. Dieses Berichtssystem stellt wiederum die Voraussetzung für eine wirksame und effiziente Überwachungstätigkeit dar.

Ein Repository entspricht einem Verzeichnis. Beispiele: Metadaten-Repository, Software-Repository, CASE-Werkzeuge

Revisionssicher bezieht sich auf die Archivierung - die Bedeutung dabei setzt auf:
- Vollständigkeit
- Schutz vor Verlust
- Schutz gegen Manipulation
- Absicherung zur Nachvollziehbarkeit
- Nutzung durch Berechtigte
- Prüfbarkeit sichergestellt

Ein Zurückziehen oder ein Sperren eines Benutzerkontos oder eines Zertifikates.

Die Rezertifizierung ist der Prozess, welcher die Kontrolle und Abnahme eines bestimmten Zustandes bestätigt. Rezertifizierungen rund um das IAM werden vom Gesetzgeber, der Compliance, der Revision oder auch von Verantwortlichen innerhalb einer Firma verlangt.
Beispiele dafür, was rezertifiziert werden kann bzw. soll, sind Rollen-Rechte-Zuweisungen, Rollen-Identitäts-Zuweisungen oder auch Regelwerke, welche für solche Zuweisungen zuständig sind.
(siehe auch Fachbericht "Rezertifizierung des Benutzermanagements")

Dieser Begriff bezeichnet das Anwenden von Algorithmen zur Datengewinnung (engl. data mining), um zu geeigneten Repräsentanten von (Geschäfts-) Rollen zu gelangen.

siehe [siehe Rolleneigentümer]

siehe [siehe Geschäftsrollen (im IAM-Kontext)]

Der Rollenadministrator hat die Aufgaben Geschäftsrollen zu entwickeln, anzupassen und wieder zu löschen. Er ist die Kontaktperson bei allen Fragen rund um Geschäftsrollen.
Zudem ist der zuständig für den Optimierungsprozess rund um die Geschäftsrollen.

siehe RBAC

Der Rolleneigentümer ist für den Inhalt einer Geschäfts-Rolle (fachlich gesehen) verantwortlich und ist berechtigt Änderungen bei dem Rollenmanager in Auftrag zu geben. (auch als Role Owner bekannt).

steht hier in Zusammenhang mit Geschäftsrollen [siehe Rollenadministrator]

[siehe Geschäftsrollenkonzept]

Stehender Begriff für den Lebenszyklus von Geschäftsrollen. [siehe Life Cycle Management].
Geschäftsrollen werden entwicklet, verändern sich über die Zeit, können irgendwann aber auch obsolet und damit inaktiv gesetzt werden. Zu einem späteren Zeitpunkt werden diese dann evtl gelöscht.

Entwicklung von Geschäftsrollen auf Basis der vorhandenen Berechtigungen [siehe Top-Down] und unter Einbezug von organisatorischen Informationen [siehe Bottom-Up]. Dies muss unter Berücksichtigung des vorhandenen Rollenkonzeptes geschehen.
Natürlich kann die Rollenmodellierung auf der grünen Wiese stattfinden. Sinnvoll ist jedoch das Einbeziehen des Ist-Zustandes.

"Security Assertion Markup Language" - Standard der OASIS, seit 2012 in der Version 2.0. Definiert ein Framework zur XML-basierten Kommunikation von Identitätsdaten und Sicherheitsattributen zwischen Business-Entitäten und dem User.
Ziel des Standards ist es, föderierte Business-Szenarien webbasiert zu realisieren. Dafür definiert er "Assertions", "Protokolle", "Bindings" und "Profile".
De facto hat sich aus diesem Standard die "Security Assertion", d.h. das "SAML-Ticket", und das HTTP-Redirect-Binding durchgesetzt. Die "Security Assertion" definiert das Format, wie welche Informationen zwischen den Parteien ausgetauscht werden. Das geschieht mit dem sogenannten "Authentication-Request" (d.h. die Anfrage nach einer Assertion bzw. einer Zusicherung), bzw. die Beantwortung: "Authentication Response". Das HTTP-Redirect-Binding definiert, wie das Protokoll (AuthNRequest/AuthNResponse) mit einem Web-Browser umgesetzt werden muss.
Hauptakteure des föderierten Business-Szenarios ist der (oder die) Service-Provider (SP), der User und die im SAML-Standard genannten "Authentication Authority", dem Identity-Provider ("IdP"). 
Es gibt zwei "Muster" wie der User eine vom IdP ausgestellte "Security Assertion" für den Service-Provider, welcher den Informationen dieser Assertion vertraut, auslösen kann:
1.) IdP-Initiated SSO Post-Binding, welches einem Portal-Login gleichkommt
2.) SP-Initiated SSO Post-Binding, welches heutzutage als das Standard-Binding verwendet wird, da dieses allgemeiner  angewendet werden kann.
Vgl. http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-tech-overview-2.0.html

auch bekannt unter Separation of Duty. [siehe Funktionstrennung]

Ein Service Provider ist ein Service Dienstleister. In Zusammenhang mit Federated Identity eingesetzt und ist ein Service Provider fähig Informationen über die die Identität direkt aus dem jeweiligen Zugriff zu extrahieren. So werden den Identitäten von anderen Unternehmen eine Vertrauensstellung entgegen gebracht.

Ermöglicht dem Benutzer durch einmaliges Abmelden aus allen definierten Applikationen auszuloggen. Dies steht vorwiegend in Zusammenhang mit SSO und Web-Anwendungen.

SSO ermöglicht es dem Benutzer, nach einer einmaligen Authentifizierung, auf alle Anwendungen, Systeme und IT-Dienste, für die er berechtigt ist, zuzugreifen, ohne sich erneut anmelden zu müssen

Abkürzung für Segregation of Duties bzw. auch Separation of Duty [siehe Funktionstrennung]

siehe Privilegierte Berechtigungen

Das Sarbanes-Oxley Act of 2002 (auch SOX, SarbOx oder SOA) ist ein US-Bundesgesetz, das als Reaktion auf Bilanzskandale von Unternehmen wie Enron oder Worldcom die Verlässlichkeit der Berichterstattung von Unternehmen, die den öffentlichen Kapitalmarkt der USA in Anspruch nehmen, verbessern soll. Benannt wurde es nach seinen Verfassern, dem Vorsitzenden des Ausschusses für Bankwesen, Wohnungs- und Städtebau des Senats der Vereinigten Staaten, Paul Sarbanes (Demokrat), und dem Vorsitzenden des Ausschusses für Finanzdienstleistungen des Repräsentantenhauses der Vereinigten Staaten, Michael Oxley.
(Quelle: Wikipedia)

Die Service Provisioning Markup Language (SPML) ist ein XML-basiertes Framework, entwickelt von OASIS, für den Austausch von Benutzer-, Ressourcen- und Service-Provisioning-Informationen zwischen kooperierenden Organisationen.
(Quelle: Wikipedia)

Secure Sockets Layer ist die alte Bezeichnung für Transport Layer Security.
Transport Layer Security (TLS, deutsch Transportschichtsicherheit) ist ein hybrides Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet.

Stammdaten ist ein Begriff aus der Informatik (Datenmanagement) und der Betriebswirtschaft (im Zusammenhang mit dem Einsatz von betrieblicher Anwendungssoftware), mit dem Daten bezeichnet werden, die Grundinformationen über betrieblich relevante Objekte (wie Produkte, Lieferanten, Kunden, Mitarbeiter) enthalten (z. B. Bezeichnung und Preis, Rabattvereinbarungen, Namen und Adressen, Eintrittsdatum ...), die zur laufenden (z. B. periodischen) Verarbeitung erforderlich sind.
(Quelle: Wikipedia)

Berechtigungen, die in der Regel an alle Benutzer (oder Benutzer ohne Sonderaufgaben) vergeben werden.
Mit diesen Berechtigungen werden meist unkritische Tätigkeiten durchgeführt und sind zudem frei von Lizenzkosten.
Standardberechtigungen sind zudem geeignet in Basisrollen zu modellieren. [siehe Basisrolle]

Ein Subjekt ist ein wollender Aktor, der auf eine elektronische Ressource zugreift oder zugreifen möchte. Es kann sich um eine natürliche oder juristische Person oder auch um eine Maschine handeln.

Anm. Rainer: wenn es die Repräsentation ist, dann entspricht es eher den Applikationsrollen und Berechtigungen der Zielsysteme
Neu:
Repräsentationen von Berechtigungsstrukturen in den Zielsystemen. In rollenbasierten Zielsystemen entspricht dies den Applikationsrollen (siehe Applikationsrollen) und auch den Einzelberechtigungen.
Diese Systemrollen können dann innerhalb eines IAM in Geschäftsrollen modelliert werden.

Total Costs of Ownership. Gesamtkosten - dies entspricht einem Abrechnungsverfahren, welches nicht nur die Anschaffungskosten, sondern auch die spätere Nutzung ausweist. z.B. PC-Kosten inklusive Wartung und Administration

Technische Benutzerkonten werden für systemeigene Aufgaben, wie z.B. Batchverarbeitungen oder andere technische Zugriffe verwendet. Diese Accounts werden in der Rollenmodellierung ausgeschlossen. Wichtig ist es jedoch dies innerhalb der Security zu betrachten, da diese Konten eigentlich keinem Benutzer zugeordnete werden können.
Die Verantwortlichkeit über solche Konten muss jedoch geregelt und nachvollziehbar sein.

Technische Rollen entsprechen den Applikationsrollen [siehe Applikationsrolle]

Verfahren zur Analyse der Berechtigungen auf Basis von fachlichen Aufgaben oder Geschäftsprozessen (gegenteilig zu Bottom-Up)

Eine Benutzerkennung (englisch user identifier, UID) identifiziert an einem Computer (oder in einem Netzwerk) einen Benutzer eindeutig bzw. ein (dem Benutzer zugeordnetes) Benutzerkonto. In der Regel ist dieser Benutzer eine natürliche Person.

Die Eingabe der Benutzerkennung wird bei jeder Anmeldung am Computer angefordert.

Achtung: Die Bezeichnung wird auch von manchen Kunden als Abkürzung für "Unique ID" verwendet.

à Benutzer

Auch Benutzermanagement – es bezeichnet das Erstellen von Benutzerdaten, das Pflegen und das Löschen dieser (auch in Verbindung mit dem Benutzerkonto)

Stehender Begriff für den Lebenszyklus eines Mitarbeiters von seinem Eintritt in das Unternehmen über Änderungen (z.B. Organisationswechsel) die ein Mitarbeiter erfährt, bis hin zum Austritt aus dem Unternehmen (dt: Benutzer-Lebenszyklus).

Validierung (Informatik), Nachweisführung, dass ein System die Praxisanforderungen erfüllt.
(Quelle: Wikipedia)

Die Verfügbarkeite ist eines der IT-Schutzziele und muss denr Zugriff auf Daten innerhalb eines vereinbarten Zeitrahmens gewährleisten.

Die Vertraulichkeit ist eines der IT-Schutzziele und muss sicherstellen, dass Informationen und Ressourcen nur für autorisierte (berechtige) Benutzer bzw. Systemen zugreifbar oder änderbar sind

siehe Directory

VPN (Virtual Private Network,) und bietet von extern sicheren (verschlüsselten) Zugriff auf ein Firmennetzwerk

Innerhalb von Dell (D1IM) wird ein Warenkorb im Bestellworkflow genutzt

Bezeichnet den Umgang mit elektronisch unterstützten Prozessen in Form einer definierten Abfolge einer Tätigkeit.

Ein Zertifikat ist ein digitaler Datensatz, der bestimmte Eigenschaften von Personen oder Objekten bestätigt und dessen Authentizität und Integrität durch kryptografische Verfahren geprüft werden kann. Das digitale Zertifikat enthält insbesondere die zu seiner Prüfung erforderlichen Daten.
(Quelle: Wikipedia)

Die Erbringung des Nachweises, dass ein Inhalt integer und wahr ist.

Beispielsweise sollen Geschäftsrollen dadurch in Bezug auf Inhalt und auf Rollenmitgliedschaften regelmäßig durch den Rollenverantwortlichen bestätigt werden. [siehe Rezertifizierung].

Die für die Ausstellung der Zertifikate zuständige Stelle.

Zugangsberechtigungen erlauben einer Person, bestimmte Ressourcen wie IT-Systeme, Netze und Anwendungen zu nutzen oder Transaktionen auszuführen.

Zugangsschutz bezeichnet den Schutz der Nutzung von IT-Systemen, IT-Netzen und Anwendungen. Der Zugang beinhaltet den Zutritt und Zugriff.

Ein selbständig agierendes Subjekt (Benutzer, Dienst, etc.) greift auf ein passives Objekt (Datei, Datenbank, Applikation, etc.) zu.

Die Zugriffskontrolle sichert Datenverarbeitungssysteme gegen unberechtigten Zugriff ab und lässt anhand korrekter Authentisierung den Zugriff zu.

siehe Access Management

Zugriffsschutz bezeichnet den Schutz von Informationen bzw. Daten vor der Nutzung von nicht autorisierten Personen

Ein selbständig agierendes Subjekt (Person, Auto, etc.) passiert eine physikalische Barriere (Tür, Einfahrt, etc.).

Über Zutrittsberechtigungen erhalten befugte Personen Zutritt zu den für sie relevanten Räumlichkeiten und Sicherheitsbereichen.

Zutrittsschutz verhindert den Zutritt Unbefugter in Räumlichkeiten und Sicherheitsbereiche, um physischen Zugriff auf Systeme und/oder Informationen zu unterbinden.

Berechtigungen oder Geschäfts-Rollen können über verschiedene Methoden zugewiesen werden. Diese unterscheiden sich durch die manuelle Zuweisung oder die dynamische bzw. auch als regelbasierte Zuweisung genannt. Die regelbasierte Zuweisung weist beispielsweise einem Benutzer eine Berechtigung oder eine Geschäfts-Rolle anhand eines definierten Attributs zu.