Инфраструктура управления привелегиями

Инфраструктура управления привилегиями (англ. Privilege Management Infrastructure, PMI) - инфраструктура, позволяющая связать сертификаты PKI с предоставлением каких-либо привилегий и полномочий. Для PMI используется выпуск атрибутных сертификатов, связывающих данный сертификат PKI с каким-либо набором привилегий и/или полномочий.

Главным отличием атрибутного сертификата от обычного сертификата в PKI, состоит в том, что идентичностью, для которой выписывается сертификат, выступает другой сертификат, а не фактическая идентичность владельца. Кроме того, атрибутные сертификаты обычно имеют меньший срок действия, чем личные сертификаты.

Необходимость появления атрибутных сертификатов связывается с более частым изменением прав/полномочий субъекта сертификата, чем его идентичности (смена должности, изменение круга должностных обязанностей, временная авторизация на веб-сервере и т.д.). Благодаря наличию атрибутных сертификатов есть возможность менять полномочия субъекта без перевыпуска сертификата субъекта (перевыпускаются и отзываются только атрибутные сертификаты).

PMI описывается в стандарте X.509.