身份管理的精细化考量

从身份识别到访问管理，两个不同的流程组成了一个看似简单的术语“身份管理”。然而要正确实施身份管理，却远非“1+1=2”那么简单。

各个企业组织都在不断提高对其客户、伙伴、厂商、供应商和员工的访问能力。由于这些企业组织的结构起初不是为了这种访问能力而建立的，由此需要增加一系列彼此独立的单点解决方案来解决出现的具体的身份和访问问题。然而，这些应用漏洞百出，其安全模式不兼容、身份管理不一致、审计机制各不相同――导致了效率低下、剽窃身份和非法访问的风险增加，不能满足管理一致性的要求。这样就会形成身份“存储库”和数不清的重复工作的例子，甚至在管理这些用户和身份上造成更加严峻的挑战。有效的安全管理始于身份识别和访问管理――作为IT管理员，这个实施过程远非是做两个简单的步骤，而是必须要了解并且控制“谁将干什么”，并且对访问者所进行的全部行为进行记录。

即将到来的身份危机？

用户身份是业务的核心所在。随着在线操作成为今天商业模式的标准，身份同时也成为了各个层面商业经营的关键资产。为了使用户从今天各种应用和服务中获益，各种类型的企业组织为个人分配身份标识来代表他们的权利和特权。个人利用这些身份标识作为他们的数字身份来扮演企业组织内的各个角色。这些身份标识可能随着交易的进行（从一桩生意到一桩生意或者从供应商到制造商）而变化。所有用户都要求有身份，包括员工、客户和商业伙伴。

经常出现多种并行管理身份的方法―即使是在一个公司内部。但是，在“存储库”中不能对身份进行安全、合算的管理。我们需要一个连贯、有效并且安全的方法来管理内部以及外部的身份。现在管理这一复杂环境中的身份和身份标识是企业组织得以生存的一项核心技能，它要求连贯、合算的管理，以及实现对所有与身份有关的活动进行端到端审计的访问权限的加强。

为了在保护公司资源的同时安全地管理端到端身份生命周期，企业组织必须在身份识别和访问管理中采取完整综合模块化的方法来完全管理他们的环境并且与他们的业务流程整合起来。这一方法必须考虑到企业组织已经投资建立的现有系统。在今天风险日增的世界中，我们需要聚集有关一个员工、一个客户和/或一个伙伴信息的工具。例如，没有有效地管理身份，就不可能满足大多数安全主管都会有的一个小小要求：“告诉我有关某个人（用户）的一切吧”，这包括了他们访问了什么系统、他们能做什么事情以及他们在这些系统上做了什么。

完整的IAM解决方案

身份识别和访问管理解决方案还需要支持企业组织的整体安全管理战略。身份识别和访问管理不可能在“存储库”中存在，相反其授权和保护功能要受到集成的安全管理工具的监视。比如，身份识别和访问管理在简化了用户访问加强的管理的同时，它还需要保留用户活动和违规访问的跟踪记录。需要将这些安全事件提交给企业组织集成的威胁控制台进行评估从而确定它们总体的安全重要性如何（比如，如果它是有关一次攻击）。

理想的身份识别和访问管理解决方案联合了用户服务、策略加强和端到端审计，帮助确保身份生命周期的各个方面得到安全有效的管理，包括对业务关键型资产进行访问的身份活动的影响。将各单点产品联合起来的费用相当昂贵，包括重叠的功能，这可能造成潜在的安全漏洞。一个综合的解决方案降低了成本、简化了部署和管理、兼容并且联系了多个身份目录，帮助确保对所有与身份和访问有关的活动进行连贯审计。

身份识别和访问管理解决方案中所需的关键特征有：基于角色和规则的用户服务（如员工、客户和伙伴）；分布式平台、Web、Web服务和大型主机上基于角色的访问控制；以及管理、账号活动和访问权限的审计。整合的解决方案应当包括开放的接口，与现有基础架构进行集成；同时也不需要对现有应用或者系统进行变动。

整合与模块化

为了实现商业价值的最大化，身份识别和访问管理解决方案的功能组件应当是集成的，可与其他厂商或与定制开发的应用程序的组件能实现互操作。这使得企业组织能选择各种方式:从一个厂商手中购买全部整合的解决方案、从各个不同的厂商手中选择性购买组件组合在一起工作，或者阶段性购买完整的身份和访问管理解决方案的一部分。最理想的状况是所有解决方案能够共享通用的基础架构、数据存储和用户界面。

伸缩性 身份识别和访问管理解决方案必须具有可伸缩性。它必须能够支持任何数量的身份和实例，比如:能够保护任何数量的系统、文件、数据库或者Web服务，能够很轻松地完成全球实施。通用服务，比如报表或者审计必须在全球的层面上进行工作。

一致性 身份识别和访问管理应当通过提供不同环境和特定策略的一致性管理方法来减少复杂性，降低成本和风险。应当允许进行阶段性的部署，避免需要对企业所有系统的整个身份识别和访问管理解决方案进行同时部署。

综合性 身份识别和访问管理解决方案必须为企业内部和外部的环境提供完整综合的覆盖。它需要向企业组织内部和外部环境中任何系统、应用、资源或者服务提供用户服务的灵活性。它必须在随时随地都能够提供对任何资源所进行的安全访问。另外，它需要保护环境中的每项资源。它必须自动发现所有的身份、关联的角色和关联的资源。对所有活动都必须进行审计。

随需应变 身份识别和访问管理解决方案需要集成到按需计算环境中，当新系统上线时提供用户帐号并且在新系统资源上（比如:文件、数据库和目录）自动安装访问控制。按需身份识别和访问管理同时还会随着员工变动工作岗位调整其访问权限，以及在员工离开公司时取消该名员工的用户服务。

互操作性 企业所需要的身份识别和访问管理解决方案正是能够安全地促成业务在企业内部和外部克服传统障碍进行自由流动的解决方案。必须能够轻松地建立身份和与业务的联系并且它们的使用也必须能够轻松地得到监控。再者，必须确保对开放环境中的高价值资源进行保护。解决方案应当是基于标准的，从而能够将企业的集成能力最大化，保护企业对现有基础的投资。

身份识别和访问管理解决方案必须为企业内部和外部的环境提供完整综合的覆盖。它需要向企业组织内部和外部环境中任何系统、应用、资源或者服务提供用户服务的灵活性。在实践中，身份识别和访问管理应当成为实现安全管理各个方面综合方法的一个要素，包括威胁和脆弱性管理，而安全基础架构的有效性、质量和实力则受益于各个安全解决方案之间的相互协作和互操作性。

实现身份管理的关键

・ 数据格式――可扩展性标记语言（XML）是Web服务使用的数据标记语言。XML是标准化规则集，利用标记性标识系统向任何形式的数据中添加结构。

・ 消息结构――简单对象访问协议（SOAP）是Web服务消息的标准。在XML的基础上，SOAP定义了一个封装格式以及描述其内容的各种规则。

・ 信任管理――安全声明标记语言（SAML），一种XML标准，它描述了认证的属性和授权决定对象，能够跨多个Internet域在信任的伙伴或者信任的圈子中进行交换。

・ 用户服务――服务用户服务标记语言（SPML），是一种基于XML的框架，是专门为合作组织间交换用户、资源和服务用户服务信息而开发的。SPML允许业务部署并且使用Web服务，通过一种通用语言来实现对用户身份更加安全的管理，包括了对他们相关资源/Web服务跨信任边界的动态分配。

・ 目录服务――X.500是目录服务系统，它提供了“寻找”人和目标的全球服务。X.500标准定义了分级树结构的目录，其中国家作为目录的顶层，组织或者组织单位为树的分支。目录服务标记语言（DSML）是一种XML语言的应用，使得不同的计算机网络目录格式能够以通用格式进行表达并且能为不同的目录系统所共享。

・ 服务描述和发现――统一描述、发现和集成（UDDI），一种Web服务的目录模式。UDDI是维护Web服务标准化信息目录的规范，以普遍认可的格式来记录它们的能力、位置和要求。Web服务安全(WS-Security)基于SOAP的保证Web服务安全的规范。Web服务安全定义了可加在SOAP消息前的报头从而实现了完整性和私密性。它提供了三大安全特征消息完整性、用户认证和私密性。

・ 服务描述和发现――Web服务描述语言（WSDL）是描述Web服务的标准格式。

・ 数据安全――XML加密详细说明了加密数字内容的方法、加密内容使用的XML语法和指定的收方对加密内容进行解密所需的信息。XML签名是用来在数字内容上代表签名的语法和计算以及认证此类签名的程序。签名为数据提供了完整性和认证。