A identidade digital é a forma como uma plataforma de sistemas computacionais armazena um conjunto de características mensuráveis para poder identificar, unicamente, uma entidade externa. Essa entidade externa pode ser uma pessoa, uma organização, um programa de software, dispositivos eletrônicos, dentre outros. A adoção de identidade digital é essencial para a construção de sistemas computacionais confiáveis, capazes de rastrear e auditar os responsáveis pelas ações executadas.

O controle de acesso define quais dados ou sistemas computacionais (serviços) um usuário, detentor de uma identidade digital, pode operar. É imprescindível que os usuários possuam acesso ao conjunto mínimo de dados ou serviços, indispensáveis ao exercício de suas atribuições em âmbito institucional, ou seja, a adoção de padrões internacionais de acesso mínimo e confiabilidade zero (zero trust). Alterações nas atribuições funcionais devem ser atualizadas, idealmente, através de mecanismos automatizados, para fins de preservação do controle de acesso neste patamar mínimo e indispensável.

Dois conceitos são fundamentais para a construção de mecanismo de controle de acesso: 1) autenticação; e 2) autorização. Autenticação é o processo de verificação de identidade digital, no qual o sistema de controle de acesso verifica um conjunto de características de usuários ou dispositivos. Dentre os principais fatores verificados têm-se: 1) conhecimento - algo que o usuário sabe, por exemplo, uma senha; 2) posse - algo que o usuário possui - por exemplo, um token físico; e 3) qualidades inerentes - algo que o usuário é, por exemplo, reconhecimento biométrico. Autorização é o processo de verificação dos privilégios que a identidade digital, já autenticada, possui perante determinado dado ou sistema computacional. A autorização pode garantir acesso integral a um determinado sistema, como também pode garantir acesso a um subconjunto de funcionalidades, a depender do perfil atribuído ao detentor da identidade digital.

O gerenciamento de identidade e acesso inclui várias tecnologias que trabalham juntas para gerenciar e rastrear identidades digitais, juntamente com os privilégios associados a cada identidade.