مصطلحات إدارة الهوية والوصول في Keeper

قائمة بالأذونات تحدد أي مستخدمين أو أنظمة تم منحها الوصول أو يوفض وصولها لموارد نظام محددة، فضلاً عن العمليات التي تستطيع القيام بها على تلك الموارد.

العملية التي يستطيع عبرها مسؤولي تكنولوجيا المعلومات

Active Directory (AD) هي خدمة دليل مطورة من قبل Microsoft لشبكات ذات مجال Windows. وبالأساس كن يتم استخدام AD لإدارة المجال المركزي فقط، ولكنه أصبح الآن مصطلح شامل يشير إلى نطاق واسع من خدمات الهوية القائمة على الدليل. وتمكن المنظمات من إدارة عدة عناصر وأنظمة بنية تحتية داخل المقر باستخدام هوية واحدة لكل مستخدم. ولا يجب الخلط بينه وبين Azure Active Directory، وهي أداة تستخدم بالاقتران مع AD.

حيث إن Active Directory تتحكم في وصول كل أنظمة المنظمة، ويُعد أمن Active Directory الفعال أمراً حساماً لتأمين بيئة البيانات بالكامل.

أداة مكملة إلى Active Directory (AD) والتي تقوم بتوسيع الهويات في المقر لتطبيقات السحابة؛ حيث تشبه أداة حل تسجيل دخول آحادي ولكن يتم استخدامها داخل المقر عوضاً عن السحابة. وكما هو الحال مع Azure AD لا تحل AD FS محل Active Directory ولكنها أداة مكملة لها.

تُعرف أيضاً باسم المصادقة القابلة للتكيف أو المصادقة القائمة على المخاطر. وهي طريقة تعدل بها معاملات تسجيل الدخول ديناميكياً وفقاً إلى الخطورة التي يمثلها طلب وصول محدد. على سبيل المثال مستخدم يقوم بتسجيل الدخول على خدمة من على جهاز يستخدمه طوال الوقت قيد يطلب فقط توفير كلمة مرور، ولكن إن حاول تسجيل الدخول من جهاز جديد أو حتى متصفح جديد، قد يُطلب منه أيضاً الإجابة عن أسئلة الأمن أو توفير رمز وصول يستخدم لمرة واحدة

مجموعة من التعريفات والبروتوكولات التي تسمح لتطبيقات البرامج المختلفة من التحدث مع بعضها البعض. على سبيل المثال، تستخدم تطبيقات الطقس واجهات برمجة تطبيقات من مكاتب الطقس الحكومية لعرض بيانات الطقس. وتستخدم معظم مواقع الويب والتطبيقات الحديثة القليل من واجهات برمجة التطبيقات الخارجية.

هناك أربعة أنواع مختلفة من واجهات برمجة التطبيقات:

يستطيع أي شخص استخدام واجهات برمجة التطبيقات العامة، على الرغم من أن بعض واجهات برمجة التطبيقات العامة تتطلب تفويض مسبق و/أو تستخدم رسوم.

واجهات برمجة التطبيقات الخاصة هي فقط: خاصة. تكون داخلية لمنظمة ما وتستخدم فقط خلال الأعمال.

واجهات برمجة التطبيقات الشريكة شبيهة لواجهات برمجة التطبيقات الخاصة. يمكن استخدامها فقط من خلال شركاء الأعمال المفوضين الخارجيين لتيسير التطبيقات والمعاملات بين الشركات.

واجهات برمجة التطبيقات المركبة هي مزيج من نوعين أو أكثر من واجهات برمجة التطبيقات.

معرف فريد يستخدم لمصادقة مستخدم أو مطو أو تطبيق لواجهة برمجة تطبيقات. وعادة ما يتضمن مجموعة من حقوق الوصول على واجهة برمجة التطبيقات.

التأكد من أن مستخدم ما هو من يدعي أن يكون. راجع إدارة الهوية

التأكد من أن مستخدم ما مفوض للوصول إلى أنظمة وبيانات محددة. راجع إدارة الوصول.

أدوات وطرق تخزين أسرار البنية في بيئة تكنولوجيا المعلومات التحتية والوصول إليها وإدارتها بأمان، مثل مفاتيح واجهة برمجة التطبيقات، والشهادات الرقمية، وبيانات اعتماد الحساب المتميز. وتُعرف أيضاً باسم إدارة كلمة المرور من تطبيق لتطبيق (AAPM).

حل الهوية كخدمة (IDaaS) الذي تستطيع المنظمات استخدامه لكل تطبيقاتها عبر بيئة البيانات، على السحابة وفي المقر. ولا تُعد Azure Active Directory (Azure AD) استبدالاً إلى Active Directory، ولكن يتم استخدامها بالتكامل مع AD.

الخصائص البدنية الفريدة لشخص ما، مثل بصمة الإصبع، ومسح بصمة العين، والتعرف على الوجه، ويتم استخدامها لمصادقة المستخدم والتحكم في وصوله.

هجوم مؤتمت حيث يستخدم ممثل التهديد نص لإرسال عدد كبير جداً من كلمات المرور أو عبارات المرور، ليتحقق بشكل نظامي من كل التركيبات الممكنة حتى يتم العثور على مجموعة صالحة من بيانات الاعتماد.

تُشير عملية أتمتة الأعمال ((BPA إلى برنامج يقوم بأتمتة المهمات المتكررة أو اليدوية لتحسين الكفاءة التنظيمية. وتتضمن أمثلة عملية أتمتة الأعمال ((BPA ردود مؤتمتة على إجراءات العميل، مثل تأكيد الأوامر وإعادة تعيين كلمات مرور الخدمات الشخصية (SSPR).

إطار إدارة الهوية والوصول (IAM) قديم حيث يتم الوثوق ضمنياً بجميع المستخدمين داخل محيط محدد لشبكة، بينما لا يتم الوثوق بمن هم خارجها. حيث جعلت الحوسبة السحابية والتنقل والوصول عن بُعد واسع الانتشار castle and moat قديم وتم استبعاده لصالح مبدأ انعدام الثقة.

عنصر أساسي لمجموعة خصائص FIDO2، حيث يمكن برتوكول المصدق للعميل (CTAP) مصدق خارجي مثل هاتف ذكي أو مفتاح أمن، للعمل مع متصفحات تدعم WebAuthn ويعمل كمصدق لخدمات الويب وتطبيقات سطح المكتب.

يُعرف أيضاً باسم أمن السحابة. وهو مصطلح شامل يضم السياسات والإجراءات وأدوات التحكم والأدوات المستخدمة لحماية البيانات والتطبيقات والخدمات المخزنة والمستخدمة داخل السحابة، بالإضافة إلى البنية التحتية السحابية الأساسية.

عادة ما تعمل الخدمات السحابية العامة تحت نموذج مسؤولية مشترك، حيث يكون موفر الخدمات السحابية مسؤولاً عن أمن السحابة، بينما تكون المنظمة التي تشتري الخدمات مسؤولة عن الأمن *داخل* السحابة. مما يعني أن موفر الخدمات السحابية يقوم بتأمين النية التحتية الأساسية، وتشمل مراكز البيانات المادية وكل الخوادم والمعدات بداخلها، بينما تقوم المنظمة بتأمين البيانات وأحمال العمل التي تضعها في نشر السحابة الخاصة بهم.

خدمة قائمة على السحابة توفر حلول لإدارة الهوية والوصول لخدمات أخرى قائمة على السحابة.

عملية يراقب من خلالها النظام سلوك المستخدم خلال جلسة، ويقارنه بخط الأساس، ويبحث عن حالات غير طبيعية، ويطلب من المستخدم إعادة المصادقة في حال تم تحديد سلوك غير طبيعي.

هجوم يستغل حقيقة وجود العديد من الأشخاص الذين يستخدمون نفس بيانات اعتماد تسجيل الدخول على حسابات متعددة. في هجوم ضغط بيانات الاعتماد، يقوم ممثلي التهديد بمحاولة استخدام مجموعة من بيانات اعتماد تسجيل الدخول الصالحة من موقع واحد، في أكبر قدر ممكن من المواقع.

العملية التي تدير بموجبها المنظمات هويات العملاء ومستويات وصولهم. وهي بشكل أساسي نوع فرعي من إدارة الهوية والوصول يُشير فقط إلى العملاء، على عكس المستخدمين الداخليين أو شركاء الأعمال.

الدفاع العميق (DiD) هو نهج متعدد الطبقات لأمن الإنترنت، وتركز كل طبقة على نوع مختلف من الأمن، لإنشاء دفاعات شاملة وقوية ضد التهديدات الإلكترونية. وتكون الفكرة وراء ذلك إنه في حال فشلت طبقة، تكون الطبقة التالية قائمة في وجه ممثل التهديد. ومن بين العناصر الأكثر شيوعاً في استراتيجية الدفاع العميق هي برامج مكافحة الفيروسات، وأدوات وتحكم أمن الشبكة، وحلول إدارة الهوية والوصول، وحلول منع فقدان البيانات.

عملية إزالة وصول مستخدم لأنظمة كاملة أو تطبيقات فردية. حيث يتم إلغاء تزويد موظف يغادر الشركة من النظام بالكامل، ويتم إلغاء تزويد موظف ينتقل لموقع أو قسم آخر من على أنظمة هذا الموقع أو القسم.

أمن DevOps، ويطلق عليه أيضاً DevSecOps، هو ممارسة أمن تطبيقات يسعى إلى "تغيير الأمن لليسار"، مما يعني تقديمه في أبكر وقت ممكن خلال دورة حياة تكوين البرنامج (SDLC) مع هدف بناء تطبيقات آمنة. فضلاً عن ذلك، مثل DevOps، DevSecOps يصنف المنظمة المنعزلة ويحسن التواصل والتعاون بين فرق التطوير والتشغيل والأمن عبر دورة حياة تكوين البرنامج.

يُطلق عليه في بعض الأحيان كشف ورد تهديد نقطة النهاية (ETDR)، وحل كشف ورد نقطة النهاية هو أداة مدمجة لأمن نقطة النهاية يضم الرصد المستمر في الوقت الحقيقي وجمع بيانات نقطة النهاية باستخدام رد وتحليل مؤتمت قائم على القواعد. ويراقب كشف ورد نقطة النهاية كل أنشطة نقطة النهاية ويحللها لتحديد أنماط التهديد ويرد تلقائياً لإزالة أو تضمين التهديدات المحددة، ويوفر إخطارات لموظفي الأمن البشري. وتتمثل أهداف نظام كشف ورد نقطة النهاية في تحديد التهديدات في الوقت الفعلي، والتخفيف من أثرها أو احتوائها تلقائياً إن أمكن، وتيسير الرد السريع من الموظفين البشريين.

تضم إدارة امتياز نقطة النهاية أدوات التحكم في التطبيق مع الحد الأدنى من امتياز الوصول لضمان أن المستخدمين يقومون بتشغيل التطبيقات الموثوقة فقط مع أقل امتياز ممكن.

تاريخياً، تم قسم وصول الشبكة داخل منظمة ما إلى فئتين رئيسيتين: المستخدمون المعياريون والمسؤولون. وهو غير كافي بشكل مؤسف للحماية من الهجمات الإلكترونية المتعلقة ببيانات الاعتماد في بيئات البيانات الحالية الموزعة عالية التعقيد. وتتحكم إدارة امتياز نقطة النهاية مستويات وصول المستخدم ليمنح امتيازات إدارية لأقل عدد ممكن من المستخدمين. فضلاً عن الحماية من التهديدات الداخلية، تحد إدارة امتياز نقطة النهاية من قدرة ممثلي التهديد على التحرك أفقياً داخل الشبكة في حال تمكنوا من اختراق مجموعة من بيانات اعتماد المستخدم العاملة.

منصة حماية نقطة النهاية (EPP) هي حل متكامل يكشف النشاط الضار على أجهزة نقطة النهاية ويحميها من الوصول غير المفوضين، والتصيد الاحتيالي، وهجمات البرامج الضارة القائمة على الملفات. وعادة ما تكون منصات حماية نقطة النهاية الحديثة قائمة على السحابة، ويتضمن بعضها جدار حماية شخصي، وحماية بيانات، وميزات منع فقدان البيانات، وتكامل مع حلول الثغرات الأمنية والتصحيح وإدارة التكوين.

مدير كلمات مرور المؤسسة (EPM) هي منصة لإدارة كلمات المرور التي تم تصميمها خاصة للاستخدام التجاري. ويُعد مدير كلمات مرور المؤسسة جزء أساسي من أمن أي منظمة ومكدسات إدارة الهوية والوصول.

يقوم مدير كلمات مرور المؤسسة بكل شيء يقوم به مدراء كلمات مرور المستهلكين، مثل توليد كلمات مرور قوية تلقائياً وتزويد المستخدمين بخزينة رقمية آمنة يمكنهم استخدامها لتخزين كلمات مرورهم والوصول إليها من عدة أجهزة. ولكنها تتضمن أيضاً ميزات ثرية مخصصة للمنظمات مثل لوحة معلومات إدارية يستطيع موظفي تكنولوجيا المعلومات والأمن استخدامها لتزويد المستخدمين وإلغاء تزويدهم، ولمراقبة استخدام كلمات المرور والتحكم به عبر المنظمة، ولضبط أداوت تحكم الوصول القائمة على الأدوار (RBAC) والحد الأدنى من امتياز الوصول، وتشغيل تقارير التدقيق، وإدارة كلمات المرور المشتركة.

علاوة على ذلك، يوفر بعض مدراء كلمات مرور المؤسسات حلولاً مصممة خصيصاً لتلبية احتياجات مقدمي الخدمات المدارة (مثل KeeperMSP) والوكالات الحكومية الأمريكية (مثل Keeper Security Government Cloud، المعروفة أيضاً باسم KSGC).

إدارة الهوية الموحدة (FIM) هي طريقة مصادقة تشارك من خلالها عدة أنظمة برامج بيانات الهوية من أنظمة مركزية أكبر، وبناء عليه يمكن المستخدمين من لتطبيقات وأنظمة متعددة مع مجموعة واحدة من بيانات الاعتماد. بينما يتم استخدام إدارة الهوية الموحدة بشكل مترادف مع تسجيل الدخول الأحادي، تمكن إدارة الهوية الموحدة الوصول لأنظمة وتطبيقات عبر مجالات (تُعرف باسم "المنظمات الموحدة")، بينما يمكن تسجيل الدخول الأحادي الوصول داخل مجال واحد.

كثراً ما تستخدم المنظمات كل من تسجيل الدخول الأحادي وإدارة الهوية الموحدة.

رابطة صناعية مفتوحة بمهمة محددة لتعزيز "معايير مصادقة للمساعدة في تقليل الاعتماد العالمي المفرط على كلمات المرور.

جهد مشترك بين FIDO Alliance وجمعية شبكة الإنترنت العالمية (W3C) التي تسعى إلى تمكين المستخدمين من زيادة الأجهزة الشائعة مثل الهواتف الذكية والرموز المميزة لأمن الأجهزة، لمصادقة خدمات الإنترنت على كل من بيئات سطح المكتب والهاتف الجوال. واستناداً إلى معايير مصادقة U2F بدرجة كبيرة يتكون FIDO2 من مجموعة معايير WebAuthn وبروتوكول المصدق للعميل (CTAP) من FIDO.

إدارة الهوية والوصول (IAM) مصطلح شامل يضم السياسات والإجراءات وأدوات التحكم والأدوات التكنولوجية التي تستخدمها المنظمات لإدارة الهويات الرقمية للمستخدمين النهائيين والتحكم في الوصول للشبكات والتطبيقات والبيانات التنظيمية. وتُعد إدارة الهوية والوصول جزء أساسي من الدفاع العميق (DiD).

يُعد كل من إدارة الوصول المتميز (PAM)، وإدارة الجلسات المتميزة (PSM)، وحوكمة وإدارة الهوية (IGA)، وإدارة هوية ووصول العميل (CIAM) فئات فرعية لإدارة الهوية والوصول.

الهوية كخدمة (IDaaS) هو حل مصادقة قائمة على السحابة. ويُطلق عليها في بعض الأحيان إدارة الهوية والوصول المسلم من قبل SaaS (Gartner) أو إدارة الهوية والوصول كخدمة (IaaS). والهوية كخدمة هو مصطلح شامل يُشير إلى مجموعة كبيرة متنوعة من حلول SaaS لإدارة الهوية والوصول، بداية من منصات تسجيل الدخول الأحادي وصولاً إلى مديري كلمات المرور.

حوكمة وإدارة الهوية (IGA) هي فئة فرعية من إدارة الهوية والوصول وتُشير إلى السياسات والأدوات التكنولوجية التي تمكن المنظمات من ضمان أن سياسات إدارة الهوية والوصول متسقة ومفروضة عالمياً عبر بيئة البيانات. وتمكن أدوات حوكمة وإدارة الهوية المنظمات من إدارة الهويات الرقمية والتخفيف من مخاطر الوصول المتعلقة بالهوية بصورة أكثر فاعلية عبر أتمتة إنشاء وإدارة واعتماد حسابات وأدوار وحقوق وصول المستخدم.

بينما يتم استخدام حوكمة وإدارة الهوية وإدارة الهوية والوصول في بعض الأحيان بشكل مترادف، إلا أن حوكمة وإدارة الهوية تختلف عن إدارة الهوية والوصول في أن، على حسب صياغة Gartner، حوكمة وإدارة الهوية "تمكن المنظمات ليس فقط من تحديد وإنفاذ سياسة إدارة الهوية والوصول، ولكن أيضاً توصيل وظائف إدارة الهوية والوصول لتلبية متطلبات التدقيق والامتثال.

إدارة دورة حياة الهوية (ILM) هي فئة فرعية من إدارة الهوية والوصول وتُشير إلى السياسات والإجراءات والأدوات التكنولوجية لإنشاء هويات رقمية والأذونات المصاحبة لها وإدارتها وتحديثها خلال دورة حياتها وحذفها عندما لا تكون هناك حاجة لها. ويمكن أن تنتمي الهوية الرقمية إلى مستخدم بشري، ويشمل ذلك موظف أو مقاول أو مورد أو شريك أعمال أو تطبيق.

تتطور امتيازات المستخدم عبر الوقت. إذا تم ترقية موظف أو حصل على مهام وظيفية إضافية، قد تكون هناك حاجة لتعديل امتيازات الشبكة الخاصة به. وعندما يترك الموظف المنظمة، يجب أن يتم إبطال وصوله فوراً. وهذه هي المواقف التي يظهر بها دور إدارة دورة حياة الهوية.

العملية التي تحدد بموجبها الأنظمة أن المستخدمين هم الأشخاص الذين يدعون أنهم هم. وتشمل الأمثلة أسماء المستخدمين وكلمات مرورهم، فضلاً عن المصادقة متعددة العوامل. وتعمل بالاقتران مع إدارة الوصول.

موفر الهوية (IdP) هي خدمة تخزن وتدير هويات المستخدم. ويجوز أن يتحقق موفر الهوية من المستخدمين مقابل القوائم المخزنة لمجموعات أسماء المستخدمين وكلمات المرور، أو قد توفر قائمة بهويات المستخدمين التي يتدقق منها موفر آخر. موفري تسجيل الدخول الأحادي هم موفري الهوية.

JSON Web Token (JWT) هو معيار مفتوح يستخدم لمشاركة معلومات الأمن بين العملاء والخوادم. ويتم توقيع JWT باستخدام مفتاح سري خاص أو مفتاح عام/خاص، حتى لا يتم تغيير المطالبات بعد إصدار الرمز المميز.

الوصول في نفس الوقت، المعروف أيضاً باسم وصول JIT، هو ممارسة إدارة وصول متميز (PAM) حيث يتم ترقية امتيازات المستخدم البشري وغير البشري في الوقت الفعلي ويتم حد وقت الجلسة بوقت محدد مسبقاً. ويضمن هذا أن المستخدم البشري أو التطبيق يستطيع الوصول لتطبيق أو نظام متميز فقط عندما يكون بحاجة لهذا، وفقط لفترة زمنية محددة.

بروتوكول مصادقة شبكة مفتوح المصدر يستخدم تشفير المفتاح المتطابق لمصادقة الطلبات بين المضيفين الموثوقين عبر شبكة غير موثوقة، مثل الإنترنت. Kerberos هو بروتوكول المصادقة الافتراضي في Microsoft Windows وعنصر أساسي في Windows Active Directory. وتم بناء دعم Kerberos في كل أنظمة التشغيل الكبيرة. ويستخدم على نطاق واسع في عمليات نشر تسجيل الدخول الأحادي الكبيرة، يحث يدعم طرق مصادقة متعددة.

أفضل ممارسة أمنية حيث يمتلك المستخدمين البشريين والتطبيقات أدنى مستوى مطلوب ممكن من الوصول للأنظمة للقيام بمهامهم فقط.

البروتوكول الخفيف لتغيير بيانات الدليل (LDAP) هو معيار بروتوكول تطبيق مفتوح للوصول إلى خدمات معلومات الدليل الموزعة عبر شبكة IP. ويتم استخدام البروتوكول الخفيف لتغيير بيانات الدليل بشكل شائع كمصدر وحيد لحقيقة أسماء المستخدمين وكلمات المرور؛ حيث تستطيع التطبيقات الاتصال بخادم البروتوكول الخفيف لتغيير بيانات الدليل وإضافة وحذف مستخدمين تلقائياً مثل الموظفين الوافدين لمنظمة أو المغادرين من منظمة. ويستخدم البروتوكول الخفيف لتغيير بيانات الدليل كأساس إلى Microsoft Active Directory.

راجع أيضاً نظام إدارة الهوية عبر المجالات، بديل البروتوكول الخفيف لتغيير بيانات الدليل تزداد شعبيته بسرعة كبيرة.

تحكم إدارة هوية الآلة (MIM) الهويات الرقمية للمستخدمين غير البشريين، ويعني هذا الشهادات والمفاتيح الرقمية المستخدمة من قبل الأجهزة (بما في ذلك أجهزة إنترنت الأشياء)، وأحمال العمل، والتطبيقات، والحاويات، وما إلى ذلك. وتُعد إدارة هوية الآلة مجموعة فرعية لكل من إدارة الهوية والوصول وإدارة الأسرار.

البرامج الضارة، والمعروفة بشكل أكبر باسم "malware" هي ما يُشير إليها اسمها تماماً، شكل من أشكال البرامج الضارة التي تصيب الأجهزة عبر عدة أساليب، على سبيل المثال عبر نقر الضحايا على رسائل البريد الإلكتروني للتصيد الاحتيالي أو تنزيل ملفات ضارة مثل الألعاب أو الأفلام أو البرامج.

كلمة المرور الرئيسية، يتم اختصارها في بعض الأحيان باسم MP، وهي كلمة المرور التي ينشئها المستخدم النهائي خلال تثبيت وإعداد مدير كلمات مرور مثل Keeper. وتكون كلمة المرور الرئيسية هي كلمة المرور الوحيدة التي يجب على المستخدم تذكرها، حيث إنها مفتاح وصوله لخزينة كلمات مروره الرقمية، ومن الضروري أن تكون قوية وفرية وألا يفقدها المستخدم أو ينساها مطلقاً. ولهذا السبب تُعد عبارة المرور طريقة جيدة لإنشاء كلمة مرور رئيسية.

المصادقة المتعددة العوامل (MFA)/المصادقة الثنائية (2FA) هما طريقتين للمصادقة تطلبا من المستخدم توفير عاملين أو أكثر من عوامل المصادقة للحصول على وصول لمورد، مثل تطبيق، أو مجلد، أو نظام. ويجب أن يكون كل عامل تحقق من فئة مختلفة "ليؤهل" كعامل مصادقة ثنائية/مصادقة متعددة العوامل، على النحو الموضح فيما يلي:

شيء تعرفه - مثل كلمة مرور أو رمز PIN.

شيء تملكه – مثل مفتاح أمن أو بطاقة.

شيء أنت عليه – مقياس حيوي، مثل بصمة إصبع أو بصمة عين.

مكان أنت به – عنوان IP والموقع الجغرافي الخاصين بك. لا يتم استخدامه بنفس المعدل.

تُعد ماكينة صرف آلي مثلاً على المصادقة المتعددة العوامل حيث يجب على المستخدمين إدخال بطاقة (شيء يمتلكونه) وإدخال رمز PIN (شيء يعرفونه).

في الأساس المصادقة الثنائية والمصادقة متعددة العوامل مترادفان، مع اختلاف واحد هو إن المصادقة الثنائية تتطل عاملين مصادقة فقط، مثل ما هو الأمر في مثال ميكنة الصرف الآلي، بينما المصادقة متعددة العوامل قد تتطلب نظرياً 3 عوامل أو أكثر (مثل بطاقة ذكية، رمز PIN، وبصمة إصبع).

معيار مفتوح لتفويض الوصول لمعلومات مستخدم في تطبيقات الويب أو على مواقع الويب. ويستخدم من قبل الشركات مثل أمازون، وجوجل، وفيسبوك، وMicrosoft، وتويتر ليسمح للمستخدمين بمشاركة معلومات بشأن حساباتهم مع تطبيقات أو مواقع خارجية من دون إعطاء كلمات مرورهم لهذه الجهات الخارجية.

كلمة مرور لمرة واحدة (OTP) أو كلمة المرور لمرة واحدة المستندة إلى الوقت (TOTP) هي سلسلة من الأحرف المولدة تلقائياً التي تقوم بمصادقة المستخدم لمعاملة أو جلسة تسجيل دخول واحدة. ويمكن تسليم كلمات المرور لمرة واحدة (OTP) عبر البريد الإلكتروني أو الرسائل النصية القصيرة أو عبر تطبيق تصديق. وعادة يتم استخدامه كمعامل مصادقة للمصادقة الثنائية/المصادقة متعددة العوامل.

كلمة المرور الصالحة لمرة واحدة المستندة إلى الوقت (TOTP) هي مثل كلمة المرور لمرة واحدة ولكنها صالحة فقط لفترة زمنية قصيرة، عادةً ما تكون من 30-60 ثانية.

هوية الارتباط المفتوحة (OIDC) هو نظام مصادقة مريح تم إنشاؤه فوق إطار OAuth 2.0 الذي يستخدم JSON web tokens. ويمكن التطبيقات الخارجية من التحقق من هويات المستخدم والحصول على معلومات ملف التعريف المستخدم الرئيسية، مما يتيح تسجيل الدخول الأحادي عبر عدة تطبيقات.

في هجوم pass-the-hash (PtH)، تقوم الجهة المهددة بسرقة كلمات المرور المجزئة من اختراقها، ويحاول استخدامها ليخدع النظام لإنشاء جلسة مستخدم جدية مصدقة. وعادة ما يتم استخدام Pass-the-hash للتحرك بشكل أفقي داخل شبكة تم اختراقها بالفعل. وتُعد الأجهزة التي تعمل بنظام تشغيل Windows عرضة بشكل خاص إلى pass-the-hash بسبب تغرة أمنية في تجزئة مدير شبكة المنطقة المحلية التكنولوجية الجديدة (NTLM)، مما يمكن الجهات المهددة من الاستفادة من حسابات المجال المخترقة باستخدام تجزئة كلمة المرور من دون الحاجة إلى كلمة مرور فعلية مطلقاً.

عبارة المرور هي طريقة سهلة للمستخدمين لإنشاء كلمات مرور قوية وفريدة. ولهذا السبب يتم استخدام عبارات المرور بصورة كبيرة لإنشاء كلمات المرور الرئيسية.

لإنشاء عبارة مرور يحتاج المستخدم إلى إنشاء جملة أو عبارة تتضمن مزيج من الأحرف الكبيرة والصغيرة والأرقام والرموز الخاصة وعلامات الترقيم.

مثال على عبارات المرور غير المقبولة: “My first apartment was in Alexandria, Virginia.” حيث ينتج عن هذا كلمة مرور "MfawiAV"، وهي قصيرة (فقط 7 أحرف) ولا تتضمن أي رموز خاصة أو أرقام. وتستطيع أي جهة فاعلة مهددة اكتشاف كلمة المرور هذه بسرعة باستخدام مخترق كلمات مرور تلقائي.

مثال على عبارات المرور المقبولة: “My first apartment was at 2630 Hegal Place #42 Alexandria, Virginia 23242.” حيث ينتج عن هذا كلمة مرور " Mfawa2630HP#42AV23242"، طولها 21 حرفاً وتتضمن أحرف كبيرة وصغيرة وأرقام ورمز خاص. حتى مخترق كلمات مرور تلقائي يحتاج إلى قرون لاختراق كلمة المرور هذه!

هجوم قوة غاشمة يستغل حقيقة أن العديد من كلمات المرور "شائعة" بين المستخدمين. على بيل المثال يستخدم العديد من الأشخاص نمط لوحة المفاتيح "qwerty" أو ببساطة كلمة " password." يأخذ هجوم رش كلمات المرور قائمة من كلمات المرور "الشائعة" ويجربها مع كل اسم مستخدم في النظام.

طريقة للتحقق من هوية المستخدم من دون استخدام كلمة مرور، عبر وسائل مثل المقاييس الحيوية، أو مفاتيح الأمن، أو كلمات مرور لمرة واحدة (OTPs).

تُعرف أيضاً باسم إدارة امتياز المستخدم المتميز (SUPM)، وتُعد رفع الامتيازات وإدارة التفويض (PEDM) مجموعة فرعية من إدارة الجلسات المتميزة التي تمد المستخدمين غير الإداريين بوصول مؤقت للأنظمة المتميزة استناداً إلى حدود معينة. على سبيل المثال يجوز أن يمنح المستخدم الوصول لتطبيق محدد لفترة زمنية محددة. وبعد انتهاء حدود الجلسة، يتم إبطال حقوق وصول المستخدم تلقائياً.

تمكن حلول رفع الامتيازات وإدارة التفويض (PEDM) المنظمات من الاستفادة من الوصول في الوقت للحد من عدد المستخدمين ذوي الامتيازات الإدارية.

تطبق حوكمة الوصول المتميز (PAG) قواعد إدارة الهوية والوصول للمستخدمين المميزين، لتضمن أن حتى وصول المستخدم المميز يتبع مبدأ الحد الأدنى من الامتياز. وتتضمن العمليات المرتبطة بحوكمة الوصول المتميز تزويد وإلغاء تزويد تلقائي للحساب، وهي عملية اعتماد رسمية لمنح وصول متميز جديد ومراجعات دورية للحسابات المتميزة لضمان أن مستويات الوصول لا تزال ملائمة.

تُشير إدارة الوصول المتميز (PAM) إلى الأدوات التكنولوجيا التي تستخدمها المنظمات لتأمين والتحكم في ومراقبة الوصول إلى معلوماتها ومواردها الأهم، مثل الحسابات المحلية وحسابات المجال الإدارية.

في بعض الأحيان يُطلق عليها اسم PAM-as-a-Service، إدارة الوصول المتميز كخدمة (PAMaaS) هو حل إدارة وصول متميز قائم على السحابة.

محطة عمل الوصول المتميز (PAW)، يُطلق عليها في بعض الأحيان محطة عمل الوصول الآمن (SAW)، هي محطة أعمال تم تضيقها مصممة خصيصاً لتنفيذ المهمات عالية التميز ولهذا الغرض فقط. ويتم تهيئة محطات عمل الوصول المتميز بأدوات تحكم وسياسات أمنية تحظر الوصول الإداري المحلي وتحظر رسائل البريد الإلكتروني، وأدوات إنتاجية مكتبية وتصفح ويب؛ ويتم تزويدها فقط بالأدوات اللازمة بالضرورة لإجراء المهمات عاليو التميز. ويحظر هذا معظم النواقل الشائعة من هجمات التصيد الاحتيالي (البريد الإلكتروني وتصفح الويب)، ويحد بشكل كبير من مخاطر اختراق محطة عمل الوصول المتميز.

يمتلك الحساب المتميز مستويات وصول لليكة أعلى بكثير من حسابات المستخدم المعيارية. على سبيل المثال قد تتمكن الحسابات المتميزة من تزويد وإلغاء تزويد المستخدمين، أو تغيير مستويات وصول المستخدم، أو تعديل تكوين نظام أو تطبيق.

وعادة ما يُطلق على الحسابات المتميزة اسم حسابات المسؤول، ولكن لا يتم استخدام كل الحسابات المتميزة من قبل البشر. فحسابات الخدمة التي يتم استخدامها من قبل التطبيقات هي حسابات متميزة.

علاوة على ذلك، قد يُشير مصطلح "الحساب المتميز" إلى مستخدم غير تقني عالي المستوى، مثل مدير تنفيذي أو مدير مالي لديه وصول إلى بيانات حساسة للغاية، مثل ملفات حكومية سرية، أو سجلات طبية، أو معلومات مالية لمنظمة.

الإدارة المتميزة للحسابات والجلسات (PASM) هي جزء من إدارة الوصول المتميز (PAM) وتوفر للمنظمات طريقة لتأمين الحسابات المتميزة للمستخدمين والتحكم بها ومراقبتها. وتمكن فرق تكنولوجيا المعلومات من الحصول على حوكمة قوية على جلسات المستخدم الإدارية المهمة.

تعمل إدارة الهوية المتميزة (PIM) بشكل مترادف مع إدارة الوصول المتميز. وبينما تُشير إدارة الوصول المتميز إلى السياسات والحلول التقنية لإدارة حسابات المستخدم المتميز، تتضمن إدارة الهوية المتميزة إدارة الموارد التي يستطيع المستخدمون المتميزون الوصول إليها. حيث تمكن إدارة الهوية المتميزة المنظمات من التحكم في وإدارة ومراقبة أذونات وصول المستخدمون المتميزون إلى بيانات وأنظمة محددة.

تعمل إدارة الجلسة المتميزة (PSM) بشكل مترادف مع إدارة الوصول المتميز (PAM) لتأمين الوصول للأنظمة والبيانات الأكثر حساسية وخطورة لمنظمة. وبينما تركز إدارة الوصول المتميز على تأمين بيانات اعتماد المستخدم المتميز، تتحكم إدارة وصول الجلسة في الجلسات المتميزة وتراقبها وتسجلها، ويعني ذلك ما هي الإجراءات التي يقوم بها المستخدمون المتميزون فور تسجيل الدخول إلى الشبكة.

فضلاً عن منع المستخدمون المتميزون من إساءة استخدام وصولهم، تمكن إدارة الجلسة المتميزة المنظمات من تلبية لوائح الامتثال الخاصة بها مثل SOX، وHIPAA، وPCI DSS، وICS CERT، وGLBA، وFDCC، وFISMA، والتي تتطلب نشاط متميز ليتم تسجيله ومراقبته.

تستخدم إدارة المستخدم المتميز (PUM) في بعض الأحيان كمرادف لإدارة الوصول المتميز (PAM) وإدارة الهوية المتميزة (PIM). ولكن هناك بعض الاختلافات الرئيسية، فعلى عكس حسابات إدارة الوصول المتميز، عادة ما يتم مشاركة حسابات إدارة المستخدم المتميز ولا تستخدم مصادقة ثنائية/مصادقة متعددة العوامل؛ ويصل المستخدمون إلى حسابات إدارة المستخدم المتميز باستخدام كلمة مرور فقط. لهذا السبب يجب تجنب استخدام حسابات إدارة المستخدم المتميز.

عملية إنشاء وصول مستخدم لكامل الأنظمة والتطبيقات الفردية. يتم تزويد الموظفين المعينين حديثاً إلى كل الأنظمة والتطبيقات التي يحتاجون إليها لأداء وظائفهم؛ قد يحتاج موظف يتحمل أعباء وظيفية إضافية أن يتم تزويده إلى تطبيقات وأنظمة إضافية.

يُعرف أيضاً باسم تشفير المفتاح العام أو تشفير غير متماثل. هي طريقة لتشفير البيانات تستخدم مفتاحين، مفتاح عام متاح للاستخدام من جانب كل الأشخاص، ومفتاح خاص. ولا يمكن فك تشفير البيانات المشفرة من خلال المفتاح العام إلا باستخدام المفتاح الخاص، والعكس صحيح.

PWN هي كلمة من اللغة عامة للمتسللين نشأت من مجتمع الألعاب عبر الإنترنت ككتابة خاطئة لكلمة "مملوك" (لهذا تنطق كلمة PWN مثل "يمتلك (pown) وليس "بيدق (pawn)) وتعني استحواذ أو سيطرة، مثل ما يتم عبر اختراق حساب أو شبكة بنجاح.

خادم خدمة مصادقة عن بُعد لمستخدم طلب هاتفي (RADIUS) هو بروتوكول خادم عميل يتيح المصادقة المركزية، والمصادقة، وإدارة الحسابات للوصول للشبكة عن بُعد ولاسلكياً. يعمل خادم خدمة مصادقة عن بُعد لمستخدم طلب هاتفي على طبقة تطبيق ويمكن المنظمات من الحفاظ على ملفاتها التعريفية في مستودع مركزي مشترك بين كل الخوادم البعيدة.

بروتوكول سطح المكتب البعيد (RDP) هو بروتوكول اتصال خاص بالشبكة تم تكويره من قبل شركة Microsoft، ويمكن بروتوكول سطح المكتب البعيد الوصول الآمن عن بُعد لمحطات العمل والخوادم. ويمكن استخدام بروتوكول سطح المكتب البعيد من قبل المستخدمين النهائيين غير الفنيين للوصول عن بُعد إلى محطات العمل الخاصة بهم، كما يستطيع مسؤولي تكنولوجيا المعلومات وفرق DevOps استخدامه للقيام بعمليات الصيانة أو التشخيص وإصلاح المشكلات للأنظمة عن يبُعد. باستخدام واجهة مستخدم بيانية، يستطيع المستخدمين عن بُعد فتح التطبيقات وتحرير الملفات بنفس الطريقة كما لو كانوا أمام جهاز بعيدة.

فضلاً عن نظام تشغيل Windows، متاح عملاء بروتوكول سطح المكتب البعيد لأنظمة تشغيل Mac OS، وLinux/Unix، وGoogle Android، وApple iOS. ومتاح إصدارات مفتوحة المصدر من برنامج بروتوكول سطح المكتب البعيد.

نقل الحالة التمثيلية، واجهة برمجة تطبيقات حديثة وعديمة الحالة ومرنة للغاية تحدد مجموعة من الوظائف مثل GET وPUT وDELETE، والتي يستطيع العميل استخدامها للوصول إلى بيانات الخادم. ويقوم العملاء والخوادم بتبادل البيانات باستخدام HTTP.

على غرار عملية أتمتة الأعمال (BPA)، يُشير التشغيل التلقائي للعمليات (RPA) إلى برنامج يقوم بأتمتة العمل اليدوي والمتكرر. ولكن، خلافاً لحلول عملية أتمتة الأعمال يستفيد التشغيل التلقائي للعمليات بصورة أكبر من الذكاء الاصطناعي وتعلم الآلة لتتمكن الروبوتات من محاكاة المستخدمين البشر والتكيف مع الظروف الديناميكية. على سبيل المثال، بينما يتم استخدام عملية أتمتة الاعمال لإرسال رد جاهز عبر رسالة بريد إلكتروني لعميل (مثل طلب أو تأكيد شحن)، يُستخدم التشغيل التلقائي للعمليات لبناء روبوت محاثة تفاعلي يمكنه تحليل استفسارات العميل في الوقت الفعلي.

التحكم في الوصول استناداً إلى الدور (RBAC)، يُعرف أيضاً بالأمن استناداً إلى الدور، هو نموذج تحكم وصول حيث يحدد دور المستخدم داخل منظمة ما هي مصادر الشبكة التي يستطيع الوصول إليها. ويتمثل الهدف من التحكم في الوصول استناداً إلى الدور في التأكد من أن المستخدمين لا يستطيعون الوصول إلى أنظمة وبيانات بخلاف تلك المتعلقة بمهام وظائفهم، وتحسبن الامتثال، ومنع تسرب البيانات، وفي حال تم اختراق بيانات اعتماد أي من المستخدمين يعوق قدرة ممثل التهديد على التحرك أفقياً داخل الشبكة. ويعمل بشكل مترادف مع الحد الأدنى من امتياز الوصول.

لغة علامات تأكيد الأمن. معيار مفتوح لتبادل بيانات المصادقة والتفويض بين الأطراف. وعادة ما يتم استخدامه من قبل مقدمي هوية تسجيل الدخول الأحادي للتواصل مع مقدمي الخدمة، ليسمح لتسجيل الدخول الأحادي من التمدد عبر مجالات الأمن وجعل تسجيل الدخول الأحادي ممكن عبر متصفح الويب.

في بيئة تكنولوجيا المعلومات يُعد السر هو أي مرجع اسناد مدمج يجب أن يظل سري. وعادة ما يتم استخدامه من قبل غير البشر للمصادقة للأنظمة والبيانات غالية التميز. وتشمل أمثلة أسرار تكنولوجيا المعلومات بيانات اعتماد بروتوكول سطح المكتب البعيد، ومفاتيح SSH، ومفاتيح واجهة برمجة التطبيقات، وبيانات اعتماد الحساب المتميز.

أدوات وطرق تخزين أسرار البنية في بيئة تكنولوجيا المعلومات التحتية والوصول إليها وإدارتها بأمان، مثل مفاتيح واجهة برمجة التطبيقات، والشهادات الرقمية، وبيانات اعتماد الحساب المتميز. وتُعرف أيضاً باسم إدارة كلمة المرور من تطبيق لتطبيق (AAPM).

بروتوكول النقل الآمن (SSH) هو بروتوكول تشفير شبكة يمكن جهازي كمبيوتر من التواصل بأمان. وقد تم تطوير بروتوكول النقل الآمن كبديل آمن لبروتوكول Telnet وبروتوكولات النقل عن بُعد غير الآمنة من Unix، والتي تقوم بنقل البيانات (بما في ذلك كلمات المرور) في هيئة نص عادي. ويستخدم بروتوكول النقل الآمن مفتاح تشفير عمومي لمصادقة جهاز الكمبيوتر عن بُعد ويمكنه من مصادقة المستخدم، ويقوم بتشفير كل المراسلات بين جهازي الكمبيوتر. ويُعد تسجيل الدخول وتنفيذ سطر الأوامر هي أحدى استخدامات بروتوكول النقل الآمن الأكثر شيوعاً

الأمن كخدمة (SaaS / SecaaS) هو نموذج أعمال تستعين المنظمات فيه بحلول وخدمات أمن إنترنت خارجية عوضاً عن استخدام مصادر داخلية. وقد يكون الأمن كخدمة عند حده الأدنى مثل نشر منصة إدارة الوصول المتميز أو إدارة الهوية والوصول القائمة على السحابة أو وساع النطاق مثل إسناد كل وظائف أمن المنظمة لجهة خارجية.

نظام إدارة أمن المعلومات والأحداث (SIEM) هو منصة برنامج يجمع بيانات الأمن من بيئة بيانات منظمة ما ويحللها ويخطر موظفي الأمن البشريين بالمخاطر المحتملة. وتقوم إدارة أمن المعلومات والأحداث بجمع وتحليل البيانات من الأجهزة والتطبيقات بما في ذلك أجهزة الشبكة والخوادم وأدوات تحكم المجال.

جهاز مادي أو منطقي يستفيد منه مستخدم نهائي ليثبت هويته ويصل إلى مورد رقمي. ويتم استخدام رموز الأمن المميزة بالإضافة إلى كلمات المرور، كعامل مصادقة ثنائية/مصادقة متعددة العوامل أو عوضاً عن كلمة المرور في إعداد المصادقة من دون كلمة مرور.

تتضمن رموز الأمان المميزة بطاقات الدخول أو مفاتيح الأمن (مثل YubiKey). وتشمل رموز الأمان المميزة كلمة مرور لمرة واحدة (OTP)/كلمة المرور لمرة واحدة المستندة إلى الوقت (TOTP) المولدة عبر تطبيقات المصادقة.

الخدمة الذاتية لإعادة تعيين كلمة المرور (SSPR) هي ميزة أتمتة عملية أعمال تمكن المستخدمين من إعادة تعيين كلمات المرور الخاصة بهم من دون الحاجة إلى التعامل مع موظفي تكنولوجي المعلومات البشر، مما يوفر الوقت لكل من المستخدمين النهائيين وموظفي مكتب المساعدة. وعادة يتم استخدام الخدمة الذاتية لإعادة تعيين كلمة المرور لإعادة تعيين كلمات المرور المفقودة أو المنسية أو المنتهية الصلاحية.

نوع خاص من الحساب المتميز يستخدم من قبل المستخدمين غير البشريين، وخاصة التطبيقات. من بين الاستخدامات الشائعة لحسابات الخدمة حالات تشغيل أحمال العمل على جهاز افتراضي (VM)، أو تشغيل أحمال العمل على محطات العمل أو مراكز البيانات التي تتصل بواجهة برمجة التطبيقات والعمليات الأخرى المؤتمتة في المقر.

لا يشارك المستخدمون البشر بشكل مباشر في إنشاء أو استخدام حسابات الخدمة. هادة يتم إنشاؤها وتهيئتها من قبل مدير حزمة خلال تثبيت البرنامج، ويفترض التطبيق هوية حساب الخدمة للاتصال بواجهة برمجة التطبيقات أو تشغيل العمليات الأخرى. وتوفر هذه الأتمتة وقت فريق تكنولوجيا المعلومات، ولكن مثل الحسابات المتميزة الأخرى، تتضمن حسابات الخدمة مخاطر أمن إنترنت كبيرة ويجب إدارتها والتحكم فيها بشكل محكم.

يُعد مفتاح المرور تقنية مصادقة حديثة من دون كلمات مرور تمكن المستخدمين من تسجيل الدخول إلى الحسابات والتطبيقات باستخدام مفتاح مشفر عوضاً عن كلمة المرور. يستخدم مفتاح المرور المقاييس الحيوية (بصمة الإصبع، التعرف على الوجه، وما إلى ذلك) لتأكيد هوية المستخدم.

مجموعة فرعية من إدارة الأسرار، تُشير حوكمة حساب الخدمة (SAG) إلى السياسات والإجراءات والأدوات التكنولوجية المستخدمة لتأمين وإدارة حسابات الخدمة، ويشمل ذلك التزويد وإلغاء التزويد، وإدارة كلمات المرور، وإدارة التبعية.

إدارة كلمة مرور الحساب المشترك (SAPM) تشبه إدارة المستخدم المتميز (PUM). وتُشير إلى إدارة الحسابات المميزة المشتركة – وهو شيء يجب على المنظمات بذل الجهد لتجنبه، حيث إنه يجب إدارة ومراقبة الحسابات المميزة بشكل محكم لأغراض الأمن والامتثال.

تسجيل الدخول الأحادي (SSO) هو طريقة مصادقة يستفيد عبرها المستخدم من موجوعة واحدة من بيانات الاعتماد للوصول إلى عدة تطبيقات وأنظمة. وبينما يتم عادة استخدام تسجيل الدخول الأحادي بشكل مترادف مع إدارة الهوية الموحدة (FIM)، يمكن تسجيل الدخول الأحادي الوصول داخل مجال واحد، بينما تمكن إدارة الهوية الموحدة الوصول لأنظمة وتطبيقات عبر المجالات.

مثال على تسجيل الدخول الأحادي: يستخدم الموظفون مجموعة واحدة من بيانات الاعتماد للوصول إلى البريد الإلكتروني الخاص بعملهم ولبوابة الموارد البشرية وللموارد الداخلية.

مثال على إدارة الهوية الموحدة: يستخدم الموظفون مجموعة واحدة من بيانات الاعتماد للوصول إلى التطبيقات الخارجية مثل تطبيقات مؤتمرات الفيديو وأنظمة إصدار التذاكر.

يتم استخدام تسجيل الدخول الأحادي وإدارة هوية الوصول كثيراً مقترنين مع بعضهم البعض.

هي واجهة برمجة تطبيقات أقدم لم تعج في حيز الاستخدام مقابل خيارات أكثر مرونة مثل REST. ويستخدم البروتوكول للوصول البسيط إلى الأجسام مع العملاء والخوادم التي تتبادل الرسائل باستخدام XML.

يُعرف Gartner إدارة تغيير وتكوين البرنامج (SCCM) على إنها أدوات تستخدم لإدارة إصدارات وتكوينات البرامج والتحكم بها. كما يعتبر Gartner حلول "إدارة تغيير التطوير، وتعقب العيوب، وأتمتة التغيير، وإدارة إصدار التطوير، وإدارة الاختبار المتكامل، وإدارة البناء المتكامل، والعمليات الأخرى ذات الصلة" على إنها جزء من إدارة تغيير وتكوين البرنامج.

نظام إدارة الهوية عبر المجالات (SCIM) هو معيار مفتوح لأتمتة تزويد وإلغاء تزويد المستخدمين. ويمكن نظام إدارة الهوية عبر المجالات تبادل معلومات هوية المستخدم بين مجالات الهوية أو أنظمة تكنولوجيا المعلومات عبر واجهة برمجة تطبيقات معيارية عبر REST، مع بيانات بتنسيق JSON أو XML.وتستخدم المنظمات نظام إدارة الهوية عبر المجالات لإضافة أو حذف المستخدمين بشكل تلقائي من المنصات الخارجية، مثل حزم الإنتاجية المكتبية، وإدارة علاقات العملاء، وأنظمة إصدار التذاكر، مثل إلحاق ومغادرة الموظفين.

بينما تتبنى المنظمات المزيد من حلول SaaS، تزداد شعبية نظام إدارة الهوية عبر المجالات كبديل للبروتوكول الخفيف لتغيير بيانات الدليل. ويدعم موفرو الهوية الرئيسيون بما في ذلك Azure Active Directory، نظام إدارة الهوية عبر المجالات، كما تفعل العديد من منصات SaaS، بما في ذلك Microsoft Office وGoogle Workspace.

بروتوكول أمان طبقة النقل (TLS) وطبقة المقابس الآمنة (SSL) هي بروتوكولات تشفير تقوم بتشفير البيانات وتصادق الاتصالات عند نقل البيانات عبر الإنترنت.

تطور بروتوكول أمان طبقة النقل من طبقة المقابس الآمنة؛ وقد كان من المفترض أن يُطلق على بروتوكول أمان طبقة النقل اسم طبقة المقابس الآمنة 3.0. وتم تغيير الاسم قبل النشر لإلغاء اقرانه مع Netscape، والشركة البائدة الآن قامت بإنشاء طبقة المقابس الآمنة. وبينما عادة ما يتم استخدام مصطلحات بروتوكول أمان طبقة النقل (TLS) وطبقة المقابس الآمنة (SSL) بشكل متبادل، ولم تعد طبقة المقابس الآمنة مستخدمة حيث تتضمن ثغرات أمنية، قد تم تطوير بروتوكول أمان طبقة النقل لمعالجة هذه الثغرات.

طريقة يستطيع من خلالها المستخدمون المصادقة مع تطبيق ما باستخدام ملف تعريف ارتباط موقع يتضمن معلومات حالة الجلسة. وبشكل عام يتم استخدام المصادقة القائمة على الرمز المميز بالاقتران مع وسائل المصادقة الأخرى. وفي هذه الحالة، سيتم استخدام طريقة أخرى لمصادقة الهوية الأولي، ويتم استخدام المصادقة القائمة على الرمز المميز لإعادة المصادقة عندما يعود المستخدم مرة أخرى لموقع ويب أو تطبيق.

إطار المصادقة العالمي هو معيار مفتوح مطور من قبل FIDO Alliance بهدف تمكين المصادقة من دون كلمات مرور كعامل مصادقة أساسي عوضاً عن كونه عامل مصادقة ثانوي.

العامل الثاني الشمال (U2F) هو معيار مفتوح يستخدم رموز الأمن المميزة للأجهزة، أو المتصلة عبر USB أو الاتصال بالحقل القريب ((NFC، كعوامل إضافية في المصادقة الثنائية/المصادقة متعددة العوامل. وقد تم تطويره بشكل أساسي من قبل Google وYubico، بمساهمة من أشباه مواصلات NXP، يتم الآن استضافة معيار العامل الثاني الشمال من قبل FIDO Alliance. وخلفة مشروع FIDO2.

التحكم في حساب المستخدم (UAC) هو ميزة إلزامية لفرض التحكم في الوصول تتضمن أنظمة Microsoft Windows. ويساعد التحكم في حساب المستخدم في التخفيف من أثر البرامج الضارة عبر منع المستخدمون البشر، والتطبيقات، والبرامج الضارة من إجراء تغييرات غير مأذونة على نظام التشغيل. وتعمل عبر إجبار كل تطبيق يتضمن رمز مميز لوصول المسؤول إلى طلب موافقة قبل تشغيل بعض العمليات مثل تثبيت برنامج جديد.

تستفيد تحليلات سلوك المستخدم والكيان (UEBA) من خوارزميات الذكاء الاصطناعي وتعلم الآلة لإنشاء خطوط أساس سلوكية للمستخدمين البشر والنواقل والخوادم ونقاط النهاية في شبكة منظمة ما، ثم مراقبتهم بحثاً عن الانحرافات عن خط الأساس. ويُعد مثال على تحليلات سلوك المستخدم والكيان القائمة هو عندما تقوم شركة بطاقات ائتمان بتجميد حساب مستخدم بشكل مؤقت بسبب اكتشاف الخوارزمية لتغيير كبير في سلوك المستخدم، مثل قيام العميل بإجراء عدة طلبات كبيرة للغاية بشكل مفاجئ.

إدارة الوصول المميز للمورد (VPAM) هي مجموعة فرعية من إدارة الوصول المتميز تتعامل مع الموردين الذين يحتاجون إلى الوصول إلى نظم حساسة؛ على سبيل المثال، مطور خارجي أو مقدم خدمات أمنية أو شركة كشف رواتب. وتضمن حلول إدارة الوصول المميز للمورد أن وصول المورد المتميز يتبع نفس القيود مثل حسابات إدارة الوصول المتميز للمؤسسة، مثل الامتياز الأقل، والوصول في الوقت المناسب، وتسجيل/مراقبة الجلسات.

حوسبة الشبكات الظاهرية هي نظام مشاركة شاشة عابر للمنصات يستخدم للتحكم عن بُعد في كمبيوترات سطح المكتب من كمبيوتر آخر. باستخدام حوسبة الشبكات، يمكن لمستخدم من بُعد استخدام شاشة الكمبيوتر ولوحة المفاتيح والماوس كما لو كان يجلس أمامه.

تعمل حوسبة الشبكات الظاهرية على نموذج وكيل/خادم، وهو ما يتطلب تثبيت مكون خادم على الجهاز الذي يتم الوصول إليه عن بُعد، وعارض لحوسبة الشبكات الظاهرية، أو وكيل، على الجهاز الذي تستخدمه للوصول إلى الجهاز البعيد. وتستخدم حوسبة الشبكات الظاهرية بروتوكول مخزن الإطار المؤقت عن بٌعد (RFB) لإدارة تنسيق البيانات العابرة بين الوكيل والخادم.

حوسبة الشبكات الظاهرية تشبه بروتوكول كمبيوتر سطح المكتب البعيد، ولكن حوسبة الشبكات الظاهرية تعمل عبر أنظمة تشغيل متعددة وتتصل بشكل مباشر بالكمبيوتر البعيد بدلاً من العبور من خلال خادم.

إدارة الوصول إلى الويب كانت سابقة لإدارة الهوية والوصول التي كانت شائعة في التسعينيات من القرن الماضي وفي أوائل القرن الحادي والعشرين. وقدمت حلول الوصول إلى الويب القدرة على التحكم والإدارة في وصول المستخدمين إلى مصادر الويب التي كانت تتم استضافتها محلياً داخل مراكز بيانات المؤسسات. ولأن أدوات الوصول إلى الويب فشلت في التكيف مع ظهور الحوسبة السحابية والتنقل وواجهات برمجة التطبيقات والوصول عن بُعد، فتم استبدالها بحلول إدارة الهوية والوصول.

WebAuthn (Web Authentication) هي واجهة برمجة تطبيقات قائمة على الويب تم إصدارها من رابطة الشبكة العالمية (W3C) ومكون أساسي من مجموعة خصائص FIDO2، ويسمح WebAuthn لمواقع الويب بتحديث صفحات تسجيل الدخول لديها لإضافة مصادقة قائمة على FIDO على المتصفحات والمنصات المدعومة.

لغة ترميز التحكم في الوصول القابلة للتمدد (eXtensible Access Control Markup Language). وهي لغة مهيكلة تستخدمها حلول إدارة الهوية والوصول التي تدعم التحكم في الوصول القائم على السمات، والتحكم في الوصول القائم على السياسات، وغير ذلك من آليات التخويل المعقدة التي تمنح حقوق الوصول وفقاً لمجموعة من سمات المستخدمين الدقيقة التي تعمل معاً.

صفر المعرفة هو نموذج أمان يستخدم إطاراً فريداً للتشفير وفصل البيانات يعمل على الحماية من عمليات اختراقات البيانات عن بُعد من خلال ضمان عدم معرفة مقدمي خدمات تكنولوجيا المعلومات ببيانات العملاء المخزنة على خوادمهم.

وفي بيئة صفر المعرفة، يتم تشفير البيانات وفك تشفيرها على مستوى الأجهزة وليس الخادم. ولا يتلقى الخادم أبداً البيانات أو يخزنها على شكل نص عادي، ولا يمكن لمقدم خدمات تكنولوجيا المعلومات الوصول إلى مفاتيح تشفير العملاء. وكنتيجة لذلك، لا يمكن لأحد باستثناء العميل الوصول إلى البيانات المشفرة، ولا حتى موظفي مقدم خدمات تكنولوجيا المعلومات أنفسهم.

Keeper Security هي مقدم لخدمات أمان صفر المعرفة. يتم تشفير البيانات على جهاز المستخدم قبل إرسالها وتخزينها في الخزينة الرقمية في Keeper. عند مزامنة البيانات إلى جهاز آخر، تبقى البيانات مشفرة حتى يتم فك تشفيرها على الجهاز الآخر. وليس بإمكان Keeper الوصول إلى كلمات المرور الرئيسية لعملائنا، ولا يمكننا الوصول إلى مفاتيح تشفير العملاء لفك تشفير بياناتهم.

هو إطار حديث لإدارة الهوية والوصول يفترض احتمال تعرض كل المستخدمين والأجهزة للخطر، ويجب التحقق من الجميع، البشر أو الآلات، قبل أن يمكنهم الوصول إلى الشبكة، ويجب منحهم وصولاً بأقل الامتيازات لمصادر الشبكة.

وصول الشبكة القائم على مبدأ انعدام الثقة (ZTNA) هو إطار أمن الشبكة الذي يركز على الحفاظ على آليات صارمة للتحكم في الوصول والمصادقة، بغض النظر عما إذا كان موقع المستخدم أو الجهاز داخل أم خارج محيط الشبكة.

بيانات الاعتماد القابلة للاكتشاف، والمعروفة أيضاً باسم مفاتيح المقيمين، تسمح لواجهة برمجة تطبيقات WebAuthn بتقديم مصادقة متعددة العوامل عالية الضمان مع تجربة تسجيل دخول من دون كلمة مرور.

في إعداد المصادقة "التقليدية"، يتم تخزين بيانات اعتماد المستخدم على خادم جهة الاعتماد. ويجعل هذا من الضروري على الخادم أن يعيد بيانات الاعتماد إلى المصدّق قبل أن يمكن للمصدّق أن يفك تشفيرها ويستخدمها. علاوة على ذلك، يجب على المستخدم إدخال اسم مستخدم، وكلمة مرور في المعتاد، لتأكيد هويته.

في إعداد بيانات الاعتماد القابلة للاكتشاف، يتم تخزين المفتاح الخاص للمستخدم وبيانات التعريف ذات الصلة على المصدّق بدلاً من خادم جهة الاعتماد. وخلال عملية التسجيل الأولية، يقوم خادم جهة الاعتماد بتوليد اسم مستخدم يضم معرف فريد. ويم تخزين اسم المستخدم هذا، إلى جانب المفتاح الخاص، على المصدّق.

ثم خلال عملية المصادقة، يعيد المصدّق اسم المستخدم، ما يسمح للخادم بالبحث عن المستخدم ذي الصلة، بدلاً من أن يضطر المستخدم لإدخال اسم المستخدم الخاص به لتسجيل الدخول. وإذا كان المصدّق يدعم رمز PIN أو التحقق البيومتري أيضاً، تحصل جهة الاعتماد على مصادقة متعددة العوامل عالية الضمان بخطوة تسجيل دخول واحدة، من دون إرسال أي كلمات مرور.

يشير الإثبات إلى دليل على شيء ما. وتستخدم مجموعة المواصفات الأمنية FIDO 2.0 الإثبات لتقديم دليل إعدادات التشفير لنموذج المصدّق لجهة الاعتماد، والتي يمكن أن تستمد منها جهة الاعتماد السمات الأمنية للمصدّق.

وفي FIDO 2.0 ترتبط بيانات الإثبات بالبيانات السياقية. وتتم ملاحظة البيانات وإضافتها بينما يمر طلب توقيع من الخادم إلى المصدّق. ولتأكيد توقيع ما، يتحقق الخادم من البيانات التي يتلقاها مقابل القيم المتوقعة.

في سياق FIDO 2.0، جهة الاعتماد هي موقع ويب أو أي كيان آخر يستخدم بروتوكول FIDO لمصادقة المستخدم مباشرة.

في الحالات التي يتم فيها دمج FIDO مع بروتوكولات إدارة الهوية الموحدة، مثل SAML وOpenID Connect، يكون مقدم خدمات الهوية هو جهة اعتماد FIDO كذلك.