一位***信息安全官花費(fèi)了兩年時(shí)間來(lái)為其網(wǎng)絡(luò)中15000名用戶部署身份識(shí)別和訪問(wèn)管理，他將自己的親身實(shí)踐歸結(jié)為10個(gè)步驟。

Carlson Wagonlit Travel的***信息安全官Steve Jensen表示促使他進(jìn)行身份識(shí)別和訪問(wèn)管理項(xiàng)目主要有四個(gè)原因：符合合規(guī)要求、加強(qiáng)安全性、讓安全操作更加有效，讓業(yè)務(wù)線部門(mén)可以更容易地與安全工作人員協(xié)作。

Steve Jensen推薦選擇包括自動(dòng)配置、密碼自助服務(wù)、web訪問(wèn)管理、角色管理和自動(dòng)單點(diǎn)登陸的身份識(shí)別和訪問(wèn)管理的解決方案，十個(gè)步驟如下：

1. 為已經(jīng)存在的訪問(wèn)權(quán)限特權(quán)用戶和使用目錄服務(wù)的聯(lián)合密碼創(chuàng)建一個(gè)身份倉(cāng)庫(kù)以盡可能地減少手動(dòng)輸入。

2. 購(gòu)買(mǎi)企業(yè)角色管理解決方案來(lái)根據(jù)具體角色來(lái)為用戶定義訪問(wèn)權(quán)限，這樣他們就只可以訪問(wèn)他們需要的內(nèi)容，而無(wú)法訪問(wèn)其他內(nèi)容。這需要讓業(yè)務(wù)管理人員來(lái)幫助定義他們雇員的角色。

3.從業(yè)務(wù)角度來(lái)定義角色，這樣管理人員就可以更好地理解角色，所以他們很清楚如何分配訪問(wèn)權(quán)限。然后將這些訪問(wèn)權(quán)限組映射到應(yīng)用程序，也就是他們必須需要訪問(wèn)的應(yīng)用程序。

4. 讓業(yè)務(wù)管理人員來(lái)根據(jù)應(yīng)用程序規(guī)則來(lái)分配應(yīng)用程序訪問(wèn)權(quán)限是正確的，這樣做的話，將會(huì)有30%到35%的訪問(wèn)權(quán)限被移除，因?yàn)樗鼈兌际遣槐匾摹?/P>

5. 部署一個(gè)請(qǐng)求系統(tǒng)以根據(jù)需要對(duì)用戶的訪問(wèn)權(quán)限進(jìn)行更改。這些角色可以是非常具體的，例如只能訪問(wèn)在SAP內(nèi)可接收的帳戶。

6. 創(chuàng)建企業(yè)范圍內(nèi)的企業(yè)角色，這將可以適用于很多部門(mén)的用戶。

7. 對(duì)企業(yè)范圍內(nèi)的角色進(jìn)行另外一種認(rèn)證程序。這些角色及其依據(jù)的訪問(wèn)規(guī)則可以便于審計(jì)人員的檢查，不管訪問(wèn)權(quán)限是否符合規(guī)則。

8. 調(diào)整請(qǐng)求系統(tǒng)以適用于企業(yè)角色，這樣請(qǐng)求就不必指定所有（用戶的訪問(wèn)權(quán)限管理更改所需要）的應(yīng)用程序。

9. 隔離角色，這樣就不會(huì)有人分配過(guò)多的訪問(wèn)權(quán)限，而過(guò)多訪問(wèn)權(quán)限可能會(huì)造成利益沖突。

10. 使用自助服務(wù)自動(dòng)化程序?yàn)闃I(yè)務(wù)合作伙伴和客戶部署身份識(shí)別和訪問(wèn)管理架構(gòu)。

【編輯推薦】

1. 如何選擇身份和訪問(wèn)管理架構(gòu)？
2. 吉大正元遠(yuǎn)程安全訪問(wèn)方案的演示