如何讓身份認證管理省時又省錢

申請免費試用、咨詢電話：400-8352-114

文章來源：泛普軟件 增加一個新用戶只需要5分鐘的時間，而不是45分鐘，這是管理員夢寐以求的事情。借助身份認證管理系統(tǒng)，美夢將成為現(xiàn)實。   肖氏超級市場在整個新英格蘭的公司辦公室、配電中心以及零售商店內(nèi)約1400名員工可以使用個人電腦。這對于公司的信息技術(shù)安全隊伍而言，意味著一項源源不斷的用戶管理任務(wù)，其中包括建立、更改或刪除賬戶。雖然安全管理已相當(dāng)熟練，但肖氏超級市場安全小組還是把大部分時間都花費在明確用戶的權(quán)利以及需要調(diào)用哪一份申請表上。“為了明確用戶作業(yè)的要求以及是否存在可以作為范例的用戶，我們的安全管理員必須始終與部門經(jīng)理保持聯(lián)系?！毙な铣壥袌龅南到y(tǒng)安全及前臺系統(tǒng)高級經(jīng)理保羅·弗朗西斯說。     另外，管理員必須依據(jù)其收集到的信息建立用戶檔案。“有些情況下，我們收集到了所有的準(zhǔn)確信息，而另一些情況下，我們錯過了一些申請?！彼忉屨f。   通過使用某公司的身份認證管理產(chǎn)品，肖氏超級市場取消了與用戶管理相關(guān)的那些單調(diào)乏味的工作，并使其安全管理員能夠把寶貴時間投入到更重要的工作中去?！八剐掠脩艄芾砉ぷ鲝?5分鐘壓縮到5分鐘，”弗蘭西斯說，“這項工作不再要求安全管理員的技能了，具備基本辦公技能的人員即可完成操作。”   起步階段   上面的例子很好地展現(xiàn)出了身份認證管理系統(tǒng)可以發(fā)揮的作用，而在國內(nèi)，身份認證管理系統(tǒng)還處于宣傳、教育和早期接受階段。像電信、保險、航空（網(wǎng)上售票）行業(yè)對身份認證管理系統(tǒng)比較感興趣。國內(nèi)用戶還沒有進入大規(guī)模的部署，尚處在試驗摸索階段，通常是在小規(guī)模系統(tǒng)上部署解決方案，等熟悉之后，再推廣開來?？梢哉f，成熟的身份認證管理系統(tǒng)的用戶還極少。   在IT應(yīng)用不普及、用戶不多的時候，管理員可以比較容易的管理賬戶。當(dāng)應(yīng)用增多，用戶數(shù)量也大幅增長時，一兩個管理員很難弄清楚各個系統(tǒng)上的用戶是誰，是干什么用的，何時可以對哪些文件有訪問權(quán)限。而且，企業(yè)中應(yīng)用往往是獨立的系統(tǒng)，相互間沒有聯(lián)系，有的用戶可能要訪問幾個系統(tǒng)，在幾個系統(tǒng)上的用戶名都不一樣，這就帶來了管理上的混亂，也帶來了管理上的漏洞。比如黑客利用幽靈用戶（有用戶名，但無對應(yīng)的物理人）侵入系統(tǒng)。身份認證管理系統(tǒng)可以幫助用戶解決這樣的問題。身份認證管理系統(tǒng)適用于大型的企業(yè)，這類用戶往往有多種復(fù)雜系統(tǒng)和多種用戶管理，據(jù)美國統(tǒng)計，一個人剛進入公司時只有一兩個賬戶，等他離開公司時賬號則會多達17個。國外的成功應(yīng)用可以達到100萬個用戶的規(guī)模，而目前中國最大的應(yīng)用是買了幾千個用戶的許可證。   身份認證管理系統(tǒng)還可以加快用戶的應(yīng)用部署，因為開發(fā)應(yīng)用時，可以不把用戶身份寫到應(yīng)用里，這樣可以在跨平臺的應(yīng)用管理上統(tǒng)一設(shè)定用戶管理的策略。   兩種部署方式   身份認證管理系統(tǒng)的部署方式有兩種，一種方式是基于Client/Server的訪問方式。此類用戶是系統(tǒng)一級的用戶，他們是相對固定的物理人，在不同的系統(tǒng)上有不同的用戶。身份認證管理系統(tǒng)把所有用戶的管理都接管過來，在物理人和賬戶之間建立對應(yīng)，同時根據(jù)角色賦予不同的訪問權(quán)限，對用戶的生命周期進行管理。如果物理人離開了公司，對應(yīng)的賬號就會被自動刪除。所有賬號的加減都是自動的，這樣就不會留有幽靈用戶。   采用Client/Server訪問方式，要在每一個需要管理用戶的服務(wù)器上裝代理（Agent），從主控臺（Console）增減用戶，代理去各個應(yīng)用系統(tǒng)增減用戶，管理員不用接觸真正的應(yīng)用系統(tǒng)。這種方式是根據(jù)Agent數(shù)量報價的。   另一種訪問方式是Web訪問。用戶進行Web訪問時，計算機會在后端訪問若干應(yīng)用，若干應(yīng)用上就會有若干賬戶。最終用戶肯定不想多次輸入用戶名和密碼，或者被授權(quán)，用戶需要的是用一個用戶名和密碼訪問所有應(yīng)用，這時就用到了基于Web的身份管理。   Web的身份認證和管理是安裝在Web Server上，從Web Server去授權(quán)、認證、訪問。Web訪問是根據(jù)支持的用戶數(shù)報價的。   Web訪問從SSO（Single Sign-On，單點登錄）開始的多，而Client/Server訪問方式做SSO的不多，因為中國用戶的情況是，一套應(yīng)用有一套人員在用，另一套應(yīng)用由另一套人員在用，很少有人有跨業(yè)務(wù)部門的訪問權(quán)限。一般中國企業(yè)的應(yīng)用沒有那么多，用不同的賬號訪問兩三個系統(tǒng)還是可以容忍的。   據(jù)統(tǒng)計，部署了Web訪問的身份認證管理系統(tǒng)后，每年每用戶的管理費用由13.4美元降為1.9美元；而每應(yīng)用每用戶的部署成本則從6.2美元降為1.1美元。   身份認證管理四步走   部署身份認證管理系統(tǒng)，首先從咨詢服務(wù)開始，看企業(yè)內(nèi)部在身份認證管理方面還有哪些缺陷需要彌補。每個用戶都有很多具有企業(yè)自身特色的規(guī)章制度，需要和專業(yè)的安全咨詢?nèi)藛T共同去做審查，找出改進的方法。咨詢服務(wù)是非常重要的一步，身份認證管理系統(tǒng)必須定制化，定義角色和相關(guān)的后端流程和策略，才能在企業(yè)中真正發(fā)揮作用。   第二步，定下了角色和相關(guān)的后端流程和策略，廠商就會給用戶推薦相關(guān)的產(chǎn)品。對用戶進行梳理，對權(quán)限進行設(shè)置。   第三步，審計功能。要定期進行審計，看用戶行為是否符合規(guī)章制度，建立每個用戶的訪問記錄和個人訪問曲線。例如某用戶升職了，那么他的訪問權(quán)限就將發(fā)生變化，這時審計功能和授權(quán)功能都將發(fā)揮作用。   第四步，企業(yè)里有CSO、Auditor、管理員等不同的角色，不同的人需要看到的信息不同，這就需要信息展現(xiàn)系統(tǒng)，需要身份認證管理系統(tǒng)提供一個管理平臺，讓不同的人看到不同的、滿足角色需求的界面。   來源：CCW