Sähköinen identiteetti osana tietojärjestelmien pääsynhallintaa

Abstract

Identiteetin- ja pääsynhallinta on merkittävä osa tietojärjestelmien tietoturvaa. Tietojärjestelmän on mahdollistettava sen kohderesurssien suojaaminen luvattomalta tiedonkululta ja muokkaukselta sallien kuitenkin pääsy valtuutetuille käyttäjille ja käyttöoikeuksille. Ennen pääsyoikeuksien toteutumista tulee käyttäjän tai muun pääsyoikeuspyyntöä esittävän sähköisen identiteetin alkuperä todentaa. Sähköisellä identiteetillä tarkoitetaan verkkoympäristössä ilmenevää entiteettiä, johonka liitetyillä attribuuttien arvoilla entiteetti pystytään yksilöimään. Esimerkkinä attribuutin arvoista käy muun muassa käyttäjän sijainti tai puhelinnumero. Identiteetin todentaminen tapahtuu autentikoinnilla, jossa nämä entiteetin ominaisuudet varmennetaan todenmukaisiksi. Sähköisen identiteetin todentaminen on yksi prosesseista, jotka luetaan osaksi identiteetinhallintaa. Pääsynhallinnalla tarkoitetaan puolestaan menettelyitä, joilla varmistetaan, että käyttäjät, laitteet, sovellukset ja järjestelmät pääsevät käyttämään tietojärjestelmissä olevaa tietoa roolinsa mukaisesti. Pääsynhal-linnan keskeisin tehtävä on valvoa tietojärjestelmän pääsyoikeuksia siten, että vain valtuutetut pääsyoikeudet voivat tapahtua. Valtuutetulla eli auktorisoidulla pääsyoikeudella tarkoitetaan myönnettyä oikeutta käyttää resursseja todentamisen jälkeen. Eri pääsynhallintamalleja ja -mekanismeja on useita ja tässä kandidaatintutkielmassa tarkastellaan lähemmin harkinnanvaraista, pakollista ja roolipohjaista pääsynhallintaa. Tutkielma on toteutettu kirjallisuuskatsauksena ja siinä pyritään vastaamaan kysymyksiin ”Miten sähköistä identiteettiä hyödynnetään pääsynhallinnassa?” ja ”Mitä pääsynhallintamalleja on olemassa ja tarjolla?”.

Identity and access management is a major part of the security of information systems. The information system must protect its target resources from unauthorized data transmissions and edits while allowing entrance to authorized users and access rights. User or other digital identity requesting access must have their source verified before access rights can be fulfilled. Digital identity signifies to an entity that appears in a network and it can be identified using attribute values that are associated with specific entity. User’s location and phone number are examples of attribute values. Identity’s attestation takes place through authentication, where entity properties are verified to be true. The authentication of digital identity is one of the processes associated with identity management. Access management, in turn, refers to procedures that ensure users, devices, applications and systems have access to information according to their role. The main task of access control is to navigate access rights to the information system thereby only authorized access rights can take a place. Authorized access rights mean admitted rights to use resources after authentication. There are many recognized access control models and policies. This study examines discretionary, mandatory and role-based access control. The study is made as a literature review and its attempts to answer questions “How is digital identity utilized in access control?” and “What access control models exist and are available?”.