Unser Glossar macht IAM verständlich.

Access Management (Zugriffsmanagement), ist eine der Kerndisziplinen des Identity and Access Management (IAM). Es steuert und kontrolliert, wer worauf zugreifen darf, und stellt sicher, dass nur autorisierte Benutzer oder Systeme auf digitale Ressourcen wie Anwendungen, Daten oder Services zugreifen können.

Active Directory (AD) ist ein lokaler, zentraler Verzeichnisdienst von Microsoft, der in vielen Organisationen als Dreh- und Angelpunkt für die Verwaltung von Benutzern, Gruppen, Geräten und Zugriffsrechten dient. Eingeführt mit Windows Server, ermöglicht AD die zentrale Steuerung von Authentifizierung, Autorisierung und Systemverwaltung innerhalb eines Netzwerks.

Attestierung bedeutet, dass Verantwortliche regelmäßig prüfen und bestätigen, ob Zugriffsrechte noch korrekt und notwendig sind. Rezertifizierung wiederholt diesen Prozess in festen Intervallen. Dies ist ein zentraler Teil moderner Identity Governance und oft regulatorisch vorgeschrieben.

Customer Identity and Access Management (CIAM) beschreibt Technologien und Prozesse, mit denen Unternehmen digitale Identitäten ihrer externen Nutzenden, also von Kund:innen oder Partner:innen sicher verwalten. Im Unterschied zum klassischen IAM, das sich auf Mitarbeitende konzentriert, steht beim CIAM die Kundenerfahrung, Sicherheit und Datenschutz im Fokus.

Deprovisioning bezeichnet den Prozess, bei dem digitale Identitäten und Zugriffsrechte kontrolliert entzogen werden, z. B. wenn ein Mitarbeitender das Unternehmen verlässt oder in eine neue Rolle wechselt. Ziel ist es, unberechtigten Zugriff auf Systeme, Daten und Anwendungen zu verhindern.

Die digitale Identität beschreibt die Gesamtheit aller Informationen, die eine Person, ein Gerät oder ein System im digitalen Raum eindeutig identifizierbar machen. Dazu zählen u. a. Benutzerkonten, Zugangsdaten, Rollen, Berechtigungen oder biometrische Merkmale, unabhängig davon, ob sie lokal, in der Cloud oder hybrid gespeichert sind.

Das EUDI-Wallet (European Digital Identity Wallet) ist die neue digitale Brieftasche der EU. Sie soll es allen EU-Bürger:innen ermöglichen, sich online auszuweisen, mit Nachweisen wie Personalausweis, Altersbestätigung, Bildungsabschluss oder Berufslizenz. Die Wallet basiert auf standardisierten, verifizierbaren Nachweisen und ist datensparsam aufgebaut. Unternehmen müssen das Wallet spätestens ab 2026 in bestimmten Prozessen akzeptieren (z. B. Kontoeröffnung, Bewerbung, Vertragsabschluss).

Federation (auch: Identity Federation) bezeichnet eine Vertrauensbeziehung zwischen mehreren eigenständigen Identitätsquellen. Sie ermöglicht es Benutzer:innen, sich über Organisationsgrenzen hinweg sicher anzumelden, ohne ein neues Konto anlegen zu müssen.

Eine Identity Fabric (deutsch: „Identitätsgeflecht“) ist ein ganzheitlicher, architekturübergreifender Ansatz zur Verwaltung digitaler Identitäten in komplexen IT-Landschaften. Sie verbindet bestehende Systeme wie Identity Provider, Access Management, Verzeichnisdienste oder Governance-Lösungen zu einer logischen Schicht, ohne dass einzelne Anwendungen oder Infrastrukturen neu entwickelt werden müssen.

Identitäts-Governance und -Verwaltung (IGA) bezeichnet den Teilbereich des Identity & Access Management (IAM), der sich auf die Kontrolle, Nachvollziehbarkeit und Automatisierung von Benutzeridentitäten und Zugriffsrechten konzentriert. Während IAM den Zugang ermöglicht, sorgt IGA dafür, dass dieser Zugang den Sicherheits- und Compliance-Vorgaben entspricht.

Identity Lifecycle Management (ILM) bezeichnet den gesteuerten, regelbasierten Umgang mit digitalen Identitäten über deren gesamten Lebenszyklus hinweg – von der Erstellung bis zur Deaktivierung oder Löschung. Ziel ist es, Identitäten und Berechtigungen stets aktuell, korrekt und sicher zu halten. ILM ist ein zentraler Bestandteil moderner IAM-Architekturen und bildet die Grundlage für eine automatisierte, compliance-konforme Benutzerverwaltung.

Identity and Access Management (IAM) ist ein Framework aus Richtlinien, Prozessen und Technologien zur Verwaltung digitaler Identitäten und der Steuerung von Zugriffsrechten. Ziel ist es, sicherzustellen, dass nur autorisierte Personen Zugriff auf IT-Systeme und sensible Daten erhalten, und das nachvollziehbar, regelkonform und sicher.

Least Privilege, auch Principle of Least Privilege (PoLP) genannt, ist ein zentrales Sicherheitsprinzip im Identity & Access Management (IAM). Es besagt, dass Nutzer, Systeme, Anwendungen oder Geräte ausschließlich die minimal nötigen Zugriffsrechte erhalten sollen, die sie zur Erfüllung ihrer Aufgaben benötigen.

OpenID Connect (OIDC) ist ein modernes, offenes Authentifizierungsprotokoll, das auf dem OAuth 2.0-Standard aufbaut. Es ermöglicht Benutzern, sich sicher und bequem bei verschiedenen Anwendungen mit nur einem zentralen Login-Dienst (Identity Provider, kurz IdP) anzumelden. OpenID Connect erweitert OAuth 2.0 um eine standardisierte Methode zur Authentifizierung von Nutzern.

Ein Orphaned Account ist ein Benutzerkonto in einem System, das nicht mehr einer aktiven Person zugeordnet werden kann, zum Beispiel, weil ein Mitarbeitender das Unternehmen verlassen hat und der Zugang nie deaktiviert wurde. Solche „verwaisten“ Konten sind oft über Jahre hinweg unbemerkt aktiv, mit teils weitreichenden Zugriffsrechten.

Password Vaulting ist ein zentraler Bestandteil moderner Privileged Access Management (PAM)-Strategien. Dabei werden hochprivilegierte Zugangsdaten wie Admin-Passwörter, Root-Konten oder Service-Credentials in einem geschützten, verschlüsselten Passwort-Tresor (Vault) gespeichert. Der Zugriff auf diese Informationen erfolgt ausschließlich kontrolliert, protokolliert und idealerweise temporär.

Privileged Access Management (PAM) bezeichnet Maßnahmen, Prozesse und Technologien, die den Zugriff auf besonders sensible Konten und Systeme steuern und überwachen. Ziel ist es, den Missbrauch privilegierter Berechtigungen zu verhindern und die Sicherheit kritischer IT-Ressourcen zu gewährleisten.

Benutzer-Provisionierung bezeichnet den automatisierten Prozess zur Erstellung, Aktualisierung und Verwaltung von Benutzerkonten und Zugriffsrechten in Anwendungen und Systemen. Die Deprovisionierung entfernt oder deaktiviert diese Zugriffe, sobald ein Benutzer das Unternehmen verlässt oder die Rolle wechselt.

SAML (Security Assertion Markup Language) ist ein offener Standard für die sichere Übertragung von Authentifizierungs- und Autorisierungsdaten zwischen einem Identitätsanbieter (IdP) und einem Dienstanbieter (Service Provider, SP). Das Protokoll basiert auf XML und wird vor allem im Unternehmens- und Behördenumfeld für Single Sign-On (SSO) eingesetzt.

Segregation of Duties (SoD), also known as Separation of Duties, is a fundamental governance and security principle that ensures no single individual has full control over an entire process. Its purpose is to prevent errors, misuse, and fraud by distributing responsibilities and establishing clear accountability.

Single Sign-On (SSO), auf Deutsch Einmalanmeldung, bezeichnet ein Authentifizierungsverfahren, bei dem sich Nutzerinnen und Nutzer nur einmal anmelden müssen, um anschließend auf mehrere Dienste oder Anwendungen zugreifen zu können. Dabei übernimmt ein zentraler Anbieter die Prüfung der Identität und gibt diese Bestätigung an andere Dienste weiter.

Zero Trust ist ein Sicherheitsansatz, der davon ausgeht, dass kein Benutzer, Gerät oder System automatisch vertrauenswürdig ist, unabhängig davon, ob es sich innerhalb oder außerhalb des Unternehmensnetzwerks befindet. Jeder Zugriff muss kontinuierlich überprüft, autorisiert und überwacht werden. Ziel ist es, Risiken zu minimieren und unbefugte Zugriffe effektiv zu verhindern.