如何讓身份認(rèn)證管理省時(shí)又省錢

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

文章來(lái)源：泛普軟件 增加一個(gè)新用戶只需要5分鐘的時(shí)間，而不是45分鐘，這是管理員夢(mèng)寐以求的事情。借助身份認(rèn)證管理系統(tǒng)，美夢(mèng)將成為現(xiàn)實(shí)。   肖氏超級(jí)市場(chǎng)在整個(gè)新英格蘭的公司辦公室、配電中心以及零售商店內(nèi)約1400名員工可以使用個(gè)人電腦。這對(duì)于公司的信息技術(shù)安全隊(duì)伍而言，意味著一項(xiàng)源源不斷的用戶管理任務(wù)，其中包括建立、更改或刪除賬戶。雖然安全管理已相當(dāng)熟練，但肖氏超級(jí)市場(chǎng)安全小組還是把大部分時(shí)間都花費(fèi)在明確用戶的權(quán)利以及需要調(diào)用哪一份申請(qǐng)表上?！盀榱嗣鞔_用戶作業(yè)的要求以及是否存在可以作為范例的用戶，我們的安全管理員必須始終與部門經(jīng)理保持聯(lián)系?！毙な铣?jí)市場(chǎng)的系統(tǒng)安全及前臺(tái)系統(tǒng)高級(jí)經(jīng)理保羅·弗朗西斯說(shuō)。     另外，管理員必須依據(jù)其收集到的信息建立用戶檔案?！坝行┣闆r下，我們收集到了所有的準(zhǔn)確信息，而另一些情況下，我們錯(cuò)過(guò)了一些申請(qǐng)?！彼忉屨f(shuō)。   通過(guò)使用某公司的身份認(rèn)證管理產(chǎn)品，肖氏超級(jí)市場(chǎng)取消了與用戶管理相關(guān)的那些單調(diào)乏味的工作，并使其安全管理員能夠把寶貴時(shí)間投入到更重要的工作中去?！八剐掠脩艄芾砉ぷ鲝?5分鐘壓縮到5分鐘，”弗蘭西斯說(shuō)，“這項(xiàng)工作不再要求安全管理員的技能了，具備基本辦公技能的人員即可完成操作。”   起步階段   上面的例子很好地展現(xiàn)出了身份認(rèn)證管理系統(tǒng)可以發(fā)揮的作用，而在國(guó)內(nèi)，身份認(rèn)證管理系統(tǒng)還處于宣傳、教育和早期接受階段。像電信、保險(xiǎn)、航空（網(wǎng)上售票）行業(yè)對(duì)身份認(rèn)證管理系統(tǒng)比較感興趣。國(guó)內(nèi)用戶還沒(méi)有進(jìn)入大規(guī)模的部署，尚處在試驗(yàn)摸索階段，通常是在小規(guī)模系統(tǒng)上部署解決方案，等熟悉之后，再推廣開(kāi)來(lái)?？梢哉f(shuō)，成熟的身份認(rèn)證管理系統(tǒng)的用戶還極少。   在IT應(yīng)用不普及、用戶不多的時(shí)候，管理員可以比較容易的管理賬戶。當(dāng)應(yīng)用增多，用戶數(shù)量也大幅增長(zhǎng)時(shí)，一兩個(gè)管理員很難弄清楚各個(gè)系統(tǒng)上的用戶是誰(shuí)，是干什么用的，何時(shí)可以對(duì)哪些文件有訪問(wèn)權(quán)限。而且，企業(yè)中應(yīng)用往往是獨(dú)立的系統(tǒng)，相互間沒(méi)有聯(lián)系，有的用戶可能要訪問(wèn)幾個(gè)系統(tǒng)，在幾個(gè)系統(tǒng)上的用戶名都不一樣，這就帶來(lái)了管理上的混亂，也帶來(lái)了管理上的漏洞。比如黑客利用幽靈用戶（有用戶名，但無(wú)對(duì)應(yīng)的物理人）侵入系統(tǒng)。身份認(rèn)證管理系統(tǒng)可以幫助用戶解決這樣的問(wèn)題。身份認(rèn)證管理系統(tǒng)適用于大型的企業(yè)，這類用戶往往有多種復(fù)雜系統(tǒng)和多種用戶管理，據(jù)美國(guó)統(tǒng)計(jì)，一個(gè)人剛進(jìn)入公司時(shí)只有一兩個(gè)賬戶，等他離開(kāi)公司時(shí)賬號(hào)則會(huì)多達(dá)17個(gè)。國(guó)外的成功應(yīng)用可以達(dá)到100萬(wàn)個(gè)用戶的規(guī)模，而目前中國(guó)最大的應(yīng)用是買了幾千個(gè)用戶的許可證。   身份認(rèn)證管理系統(tǒng)還可以加快用戶的應(yīng)用部署，因?yàn)殚_(kāi)發(fā)應(yīng)用時(shí)，可以不把用戶身份寫到應(yīng)用里，這樣可以在跨平臺(tái)的應(yīng)用管理上統(tǒng)一設(shè)定用戶管理的策略。   兩種部署方式   身份認(rèn)證管理系統(tǒng)的部署方式有兩種，一種方式是基于Client/Server的訪問(wèn)方式。此類用戶是系統(tǒng)一級(jí)的用戶，他們是相對(duì)固定的物理人，在不同的系統(tǒng)上有不同的用戶。身份認(rèn)證管理系統(tǒng)把所有用戶的管理都接管過(guò)來(lái)，在物理人和賬戶之間建立對(duì)應(yīng)，同時(shí)根據(jù)角色賦予不同的訪問(wèn)權(quán)限，對(duì)用戶的生命周期進(jìn)行管理。如果物理人離開(kāi)了公司，對(duì)應(yīng)的賬號(hào)就會(huì)被自動(dòng)刪除。所有賬號(hào)的加減都是自動(dòng)的，這樣就不會(huì)留有幽靈用戶。   采用Client/Server訪問(wèn)方式，要在每一個(gè)需要管理用戶的服務(wù)器上裝代理（Agent），從主控臺(tái)（Console）增減用戶，代理去各個(gè)應(yīng)用系統(tǒng)增減用戶，管理員不用接觸真正的應(yīng)用系統(tǒng)。這種方式是根據(jù)Agent數(shù)量報(bào)價(jià)的。   另一種訪問(wèn)方式是Web訪問(wèn)。用戶進(jìn)行Web訪問(wèn)時(shí)，計(jì)算機(jī)會(huì)在后端訪問(wèn)若干應(yīng)用，若干應(yīng)用上就會(huì)有若干賬戶。最終用戶肯定不想多次輸入用戶名和密碼，或者被授權(quán)，用戶需要的是用一個(gè)用戶名和密碼訪問(wèn)所有應(yīng)用，這時(shí)就用到了基于Web的身份管理。   Web的身份認(rèn)證和管理是安裝在Web Server上，從Web Server去授權(quán)、認(rèn)證、訪問(wèn)。Web訪問(wèn)是根據(jù)支持的用戶數(shù)報(bào)價(jià)的。   Web訪問(wèn)從SSO（Single Sign-On，單點(diǎn)登錄）開(kāi)始的多，而Client/Server訪問(wèn)方式做SSO的不多，因?yàn)橹袊?guó)用戶的情況是，一套應(yīng)用有一套人員在用，另一套應(yīng)用由另一套人員在用，很少有人有跨業(yè)務(wù)部門的訪問(wèn)權(quán)限。一般中國(guó)企業(yè)的應(yīng)用沒(méi)有那么多，用不同的賬號(hào)訪問(wèn)兩三個(gè)系統(tǒng)還是可以容忍的。   據(jù)統(tǒng)計(jì)，部署了Web訪問(wèn)的身份認(rèn)證管理系統(tǒng)后，每年每用戶的管理費(fèi)用由13.4美元降為1.9美元；而每應(yīng)用每用戶的部署成本則從6.2美元降為1.1美元。   身份認(rèn)證管理四步走   部署身份認(rèn)證管理系統(tǒng)，首先從咨詢服務(wù)開(kāi)始，看企業(yè)內(nèi)部在身份認(rèn)證管理方面還有哪些缺陷需要彌補(bǔ)。每個(gè)用戶都有很多具有企業(yè)自身特色的規(guī)章制度，需要和專業(yè)的安全咨詢?nèi)藛T共同去做審查，找出改進(jìn)的方法。咨詢服務(wù)是非常重要的一步，身份認(rèn)證管理系統(tǒng)必須定制化，定義角色和相關(guān)的后端流程和策略，才能在企業(yè)中真正發(fā)揮作用。   第二步，定下了角色和相關(guān)的后端流程和策略，廠商就會(huì)給用戶推薦相關(guān)的產(chǎn)品。對(duì)用戶進(jìn)行梳理，對(duì)權(quán)限進(jìn)行設(shè)置。   第三步，審計(jì)功能。要定期進(jìn)行審計(jì)，看用戶行為是否符合規(guī)章制度，建立每個(gè)用戶的訪問(wèn)記錄和個(gè)人訪問(wèn)曲線。例如某用戶升職了，那么他的訪問(wèn)權(quán)限就將發(fā)生變化，這時(shí)審計(jì)功能和授權(quán)功能都將發(fā)揮作用。   第四步，企業(yè)里有CSO、Auditor、管理員等不同的角色，不同的人需要看到的信息不同，這就需要信息展現(xiàn)系統(tǒng)，需要身份認(rèn)證管理系統(tǒng)提供一個(gè)管理平臺(tái)，讓不同的人看到不同的、滿足角色需求的界面。   來(lái)源：CCW