另参见:信任身份管理(Identity Management)—上
在上部里,我们主要关注的是身份在企业IT基础构建中所扮演的重要角色,并且探讨了访问身份和安全身份的不同。在下部里,我们将重点探讨一下几点:身份管理的组成部分,身份管理如何运作以及进行身份管理的最佳方法。
让我们从功能性的角度来看看身份管理的组成部分:
企业目录服务
这一服务在企业信息系统结构中扮演着非常关键的角色,渐渐成为身份管理的重要基础。企业开始意识到这一服务所能带来的好处,它几乎能无限升级储存库,加强员工和客户管理。目录服务能提供用户资料(user-profile)服务,一览entity,因此能减少管理不同验证数据库(authentication database)需要,提高整个系统的安全。
定购(Provisioning)
用户定购(User Provisioning)无疑是身份管理构架的最重要组件。它在企业IT系统内部的整个生命周期内,基于商业策略设定用户访问权限。
现在,越来越多的电子商业应用软件都需要企业提供综合的安全解决方案,而且跨系统管理个人安全账号和用户资料变得十分重要。对于上万人的大企业来说,如果终端用户调到不同部门,或者部门和商业线重组,那么定购过程将变得非常复杂。这是用户定购的最大弱点,因为如果失效或过期的账号没有注销,将可能导致巨大的安全隐患。因此,我们需要集中管理或单点管理,只用一个管理员跨IT系统管理所有用户的ID、密码、身份、访问权限和其它安全信息。用户定购可以与网站权限和目录服务管理解决方案共同使用,以保证所有商业流程和互动的安全。
鉴定
如果要有效进行身份管理,则需要在企业内部网上建立起诚信,尤其是在身份上。要建立诚信,必须将每一个身份同唯一的特性或凭证绑定。可以通过检查用户身份来认证这一绑定,以此批准或拒绝用户访问重要资源。鉴定是建立信任的重要组成部分,也是所有身份管理战略的关键。鉴定技术包括基本的鉴定方法(如绑定用户ID和密码)和高级的鉴定方法(如双重鉴定、生物测定法、数码认证和智能卡等)。
访问控制
一旦在数码身份方面建立起了诚信,就应该加强政策来限制对重要资源的访问。这一方法并不仅仅是为了简化管理,它还能为每个用户提供最大的弹性,因为用户的一组特定信息被翻译成一组特定的访问优先权,保证用户能获得合适访问权限。
工作流管理
工作流是定购中的重要部分,保证身份变更要求批准程序管理。在企业中,典型的工作流包括招聘新员工以及授予他们访问软件和网络资源的访问权限。还包括提供一套电脑系统,允许搭建工作流批准框架。这种内置的批准程序将正确的用户优先级、访问权限和其他安全设置与用户的个人资料捆绑在一起,这些个人资料是基于用户的工作职责确定的。
代表管理与自助服务
代表管理允许企业在各部门间传递管理权,保证管理员、部门经理或人力资源部门有效管理用户。每一个公司都能通过网站自助管理模式增强安全管理,如自我注册、自我管理和自我服务密码管理等等。
自我注册允许用户(内部用户或外部用户)注册获取软件访问权限,自我管理允许用户鉴定自己的身份,然后将个人信息升级。这种方式减少了管理干预,提高了生产力。
密码管理是安全管理中的重要部分,因为大多数的恶意攻击都是针对密码而来得。据一项研究表明,近65%的客户服务中心电话与密码问题有关。
自我服务密码管理系统则提供了一个管理界面,允许用户更换或重设密码。用户还可以通过回答注册时设定的提示问题来找回忘记的密码。自我服务密码管理系统节省乐时间和金钱。
整合
一个典型的企业往往要保留不同的用户数据,如网络数据、操作系统数据、软件数据、人力资源管理系统数据和电子邮件软件数据等。然而,大多数系统都缺少跨目录或数据管理的能力。对互操作性需求的增长使供货商采用了目录服务方法。
元目录(meta-directory)能实现数据同步,深受企业欢迎。元目录使企业将分散的数据整合成一个单独的目录,看到所有企业用户的全貌。此外,元目录提供了通用的访问模式,能通过多种数据源命名、搜索或升级数据。现在,定购系统能目录驱动,实现互操作性。其中大多数带有内置的工作流引擎。元目录与定购工具都非常强大,需要有效的整合。
审计与报告
审计是身份管理的一部分,因为审计保证了安全策略的有效性。一项综合的身份审计和报告工具能使企业发现安全风险,积极采取预防措施。
总结
商业流程自动化及减少行政管理开销可以降低企业成本。整合操作流程、增强与合作伙伴和客户的交流和信息交换可以提高效率。而配置供应链和工作流系统能减少新用户在商业流程中等待的时间。
虽然企业可以在成本、时间、生产力和效率方面获取商业优势和收益,但请不要忽略或轻视接踵而至的技术挑战。
相关内容
