在竞争日益激烈的今天,由于IAM给企业带来的竞争力、生产力、完整性和可信性等方面的各种积极影响,已经促使其成为企业应用中非常关键的解决方案之一。
|
|
|||
事实上,IAM解决方案的确能提高员工的生产力、降低管理和维护费用、缩短组织与市场的距离,并使法规遵从能持续自动地成为工作中的一部分。通过自动管理访问者、日志记录和报表,以及执行业务、机密和安全政策,身份识别与访问管理对于密码管理以及组织运营的各个方面均有所改善。另外,IAM还将扩展到包含消费者、合作伙伴和供应商在内的多种身份,以便于相互协作。
企业在明确了IAM的作用并决定应用IAM之后,首先就需要将IAM作为企业流程的一部分,并且将IAM流程与其他相关业务流程相匹配,从而明确自己真正的IAM需求是什么,进而制定出相应的IAM策略。
首要就是要确定IAM流程的“健康”程度,找出最薄弱的IAM流程,并优化和自动化这些流程的优点;以及评估IAM流程的成熟度。这样,企业就能选择一个合适的切入点,从容开始IAM应用之旅了。
那么,一个完整的“IAM旅程”都包括哪些内容呢?也就是说企业需要通过哪些步骤,才能顺序地完成IAM的应用呢?
第一步:密码管理
通过密码管理,集中管理用户的账户。
在企业IT服务支持中,密码问题占据了很大的部分。因此设置密码管理系统可集中管理用户账户,并可列出密码政策的详细说明,最终用户可以自己重新设置密码,由帮助台人员而不是系统管理员负责密码的管理。而单点登录可以让用户访问所有授权应用,通过认证能一次性简单登录,用户只需记住一个密码,而无需记住一堆密码,这样便可做到高效且安全。
密码管理中对新成员的访问权利的批准以及访问权利的更改,仍然是手工操作程序,但对用户账户格式和密码质量需要做标准规定。通常一个虚拟目录链接用户账户并对密码进行管理。
通过密码管理系统,企业能根据业务的需求,方便地更改密码政策;提高最终用户体验,并通过提供对密码的自助服务,降低了技术支持的成本;此外,密码管理能对应用和平台的访问提供更有效的控制,降低丢失/被盗密码的风险,并通过对密码管理政策的定义,来提高法规的遵从性。
而密码管理是IAM应用过程的第一阶段,因此建议在采用解决方案之前,可以先从一个部门的用户开始。不要担心选择哪一种的认证系统(密码、智能卡、生物识别设备等),你可以考虑将单点登录作为中期解决方案,同时它还可以承担经纪服务或“中间件”的责任。
第二步:统一身份识别管理
实现统一的身份识别管理,为新员工提供快捷、安全的访问权限,并在该员工离职后将其全部删除。
在实现统一身份识别管理之前,首先需要设定一个授权源,通常由人力资源部门批准新员工对系统和资源的访问权限,而批准程序则由首席信息安全经理定义。同时设定一些正式的工作流程序,对如何要求更改特权的制定、批准和执行做出定义。还可对个别业务部门赋予管理授权能力,这可使他们在职权范围内定义和维护自己的用户和访问权利。此外,系统还应能探测到“幽灵”账户,并自动产生更改和活动报告,但审核仍由手工进行。企业中的应用和平台可以使用自己的身份存储器和安全系统,但新应用需要使用公共目录和安全模型。
这样一来,企业可以根据业务目标定义用户访问策略,新员工也可以快速访问他们工作所需的系统和应用。同时,企业将用户身份链接到如HR和薪水数据等授权源上,当离职时可快速地删除访问权限。IAM的自动化流程还可以使政策遵从性一直能对企业的发展提供支持,为管理流程收集审计数据,并可追踪访问权限是如何获得的。
在此阶段,需要考虑如何定义和分配“角色”,不仅是根据人员及他们各自的工作描述,而且还要根据资历、对敏感信息的访问权限以及其他因素来决定,并要确定已经将临时或兼职用户也包含在内,如合同工等不在人事数据库内的和其他没有访问权限的人员。
第三步:集成角色和权利
集成了角色和权利的管理,这确保了对关键系统和应用的访问严格按照业务需求来设定。
当实现了IAM的前两步之后,接下来要做的就是实现当用户的责任和角色发生变化时,权限里的身份识别与访问管理系统可自动同步进行更改。这需要有对角色进行定义、修正和删除设定的程序和工作流,或许还有为不同类型的用户(如合同工)设定的多种信息管理源。
多数应用现在都通过目录服务作为用户信息的公共源。对业务流程进行定义,可使企业的安全团队根据标准进行检验。而自动化操作的权限审核程序,在特殊情况下,可根据用户角色进行侦测。此外,用户的虚拟目录还要包括角色信息。
这样做的目的就是为了让用户访问权限与业务更改自动保持一致,快速地响应业务需求;还可以在更改后及时交付新用户的访问权限,而用户访问权限与工作角色相连接时,当工作变更时访问权限也能随之变化,这也就可以降低潜在的风险。
在此阶段,还需要考虑将角色和工作流相结合,换句话说,用户在他们的职业生命周期内需要信息和资源来处理他们的工作。而用户的角色也需要结合其他数据进行定义,如提升、海外派遣或新型手机的预配置等。
第四步:联合身份识别与管理
实现了联合身份识别与管理,以便使企业可以与其他组织、消费者、合作伙伴和供应商通力协作。
当具备企业级的IAM系统之后,可以通过联合信任来管理合作伙伴的访问,使外部合作伙伴通过使用共享标准来访问业务系统;更改请求可通过公共定制系统自动进行,可以在身份识别管理和预配置工作流上显示请求,并采用Web服务集成业务应用;最后,通过联合信任对流程进行定义,以便于管理对访问特权的请求,其中包括在组织内将管理权利委派给合作伙伴。
通过联合身份识别管理,可使企业的IT系统与消费者、供应商和合作伙伴的安全连接,还可使他们的用户在你的安全域内访问资源,而无需管理或认证这些用户。这为合作伙伴和消费者提供了简单安全的访问,并授予管理权利,这样可以提高服务质量并降低用户管理的成本。
需要强调的是,IT流程的改造与包括联合身份识别管理在内的所有IAM的完全执行,是否是最终的目标还有待论证,IAM解决方案的执行应作为一个逐步进行的项目。
正如前面所说,在通往完善的IAM解决方案的旅程中,并不需要完成所有步骤,同时这个旅程也不是每一个企业的最终结果。实际上,很多组织在一定程度上都已经实现了IAM解决方案,它们是通过由不同供应商提供的各种不同产品或解决方案实现的。
更多内容请看网络管理实用手册专题,或进入讨论组讨论。
|
|||
| ·ACDSEE专题教程-下载使用 ·迅雷专题教程-下载使用 ·Windows XP频道 ·Windows Vista频道 ·Windows 2000频道 ·win2003频道 ·Freebsd频道 ·Oracle频道 |
·Linux频道 ·Windows频道 ·邮件服务器专题 ·协议大全 ·数据恢复指南教程 ·FreeBSD使用教程 ·Linux数据库宝典 ·Linux基础知识 |
||
 新闻资讯 |
电脑技巧 |
| · 秘密:Vista隐蔽的动态屏保 · 腾讯开发新电子宠物--QQ熊 · 惠普否认2999元PC有价无货 |
· 驱逐Win系统“流氓”文件 · WinXP中获取未使用的IP地址 · 尝试format C:格式化硬盘? |
| 操作系统 |
常用软件 |
| · 在DOS下恢复回收站中的文件 · 拯救WinXP崩溃的救命稻草 · Linux系统中超级权限的应用 |
· 搜狗PK谷歌:谁能代言拼... · 昨日重现,一键GHOST轻松.. · 实现Web迅雷在空闲时杀毒 |
| 桌面开发 |
网络编程 |
| · AVIFile函数制做AVI文件 · VC中链接动态链接库的方法 · 熊猫烧香核心源码(Delphi) |
· DateDiff函数祥解 · JavaScript去除空格的三种 · js效果 图片加载进度实时.. |
| 数据库 |
图像处理 |
| · SQL Server数据库优化方案 · Oracle的初学者入门心得 · JSP连接Mysql数据库 |
· Photoshop为美女做艺术处理 · 用Freehand创建发光字特效 · 设计自己的个性QQ动态表情 |
