先問網絡管理人員兩個問題，在為新員工創建新賬戶，激活所有他可以使用的資源時，你需要多長時間？當有員工離職時，你能在多短的時間內將他的所有賬戶清除？企業的員工人數不多、IT應用也不多的時候，上面的問題也許不難，但當企業規模達到一定程度，企業內部的“信息孤島”帶來的將不只是信息溝通困難，你會發現，原來存在于各個獨立系統中的資源訪問權限管理和身份認證管理仍然是“各自為政”。當網絡中添加的資源越多，就越難加以控制，從而導致出現各種不安全可能。新的基于身份認證（Identity-based）技術的興起將有助于理順網絡秩序，下面的幾篇文章將從不同的層面來詮釋身份認證管理的發展現狀。

部署基于身份認證管理的IT基礎架構是今后的大方向。更重要的是，數字化的身份認證管理正在從安全到服務配置的各個層面改變網絡的外觀和內在管理機制。

傳統的企業安全模型是通過對少量數據中心進行參數化實現的，但這種方式已經無法滿足業務增長過程中遇到的適應性和擴展性需求。而新的基于身份認證的訪問系統能夠在幫助企業管理好復雜的網絡的同時，使得系統安全能夠與其商業目標更加接近，而不僅僅是從IT的角度考慮系統該如何管理。像IBM、Novell、Netegrity、Oblix等廠商現在都提供相應的身份認證管理（Identity Management）解決方案。

身份認證管理技術已經在SSO（Single Sign-On，單點登錄）領域成功應用，但其實SSO只是它的應用之一，基于身份認證管理的網絡管理才是它今后更為寬廣的發展方向。

“企業在身份認證管理上的投資正使以身份認證為中心的網絡管理成為可能。”Burton集團副總裁兼目錄和安全戰略部門服務總監Phil Schacter如是說。他特別指出，當今網絡在移動性和遠程訪問方面能力的增強逐漸成為網絡管理向基于身份認證系統遷移的驅動力量。

身份認證系統不僅定義了用戶是誰，而且把“誰”與“什么”直接聯系在一起。例如用戶在組織中的角色是什么？用戶需要訪問什么資源和信息？他/她能夠對信息進行什么操作，不能進行什么操作？身份認證提供了一個整體視圖，使企業的策略和流程一致地應用于整個企業當中。

通過強化管理每個用戶的訪問與授權信息，身份認證管理解決方案使得網絡能夠保持最新狀態:新員工能夠迅速訪問企業內外部網絡；無用賬戶將被盡快清理，以免離職員工利用其舊賬戶進行非法操作；它還能提供審核信息，確保企業對管理法規條例的遵守；并能保護員工隱私和加強訪問控制；最重要的是，基于身份認證的網絡管理使得安全脫離了數據中心，而且它基于角色管理的方式使得網絡管理與企業的業務需求更相符。

先集成目錄

將自己的網絡管理系統向基于身份認證的網絡管理遷移時要求很苛刻，但這并不意味著徹底推翻原有的軟件基礎架構。相反，身份認證系統能夠使現有的基礎架構更加強壯和智能化，并且更易于防范未經授權的訪問企圖。

要做的第一步工作就是建立身份認證倉庫(Identity storehouse)，將用戶的訪問信息獨立于應用程序來進行集中管理。典型的形式是采用網絡目錄，如LDAP目錄、微軟的活動目錄、Novell的eDirectory等。

事實上現在很多組織已經維護有多個網絡身份認證信息目錄，并且擁有多個合作伙伴、供應商和客戶的數據庫，里面常常包含有重復的、非公共的數據。也就是說目錄也需要集成。

目前正在形成的兩類目錄集成工具能夠擔此重任。例如Novell Nsure Identity Manager這樣的元目錄（Metadirectory）解決方案就可以建立單一的權威目錄作為所有數據的數據源。另一方面，像OctetString Virtual Directory Engine這樣的虛擬目錄產品能夠提供虛擬的單一數據庫，但實際上它是從各個數據源抽取數據，并使數據顯示來自同一位置。在企業選擇建立身份認證倉庫的工具時，需要考慮已有的組織架構，沒有哪種方式擁有絕對優勢。

如果不同的工作組對各自的數據有所有權問題，那虛擬目錄就是較好的選擇，它不會改動數據，只是指向數據的位置而已；如果數據的準確性在整個企業內部更加重要，那元目錄的方式當然更合適。

從單點登錄開始

建立起身份認證倉庫并部署了管理工具之后，就可以開始部署使用數字身份認證技術的應用程序了。

SSO是最常被引用的例子，它可以確保用戶使用一個用戶名和一個密碼登錄所有的應用程序。在SSO環境中，每個用戶的身份認證，而不是一系列瑣碎的用戶名和口令，定義了他/她在網絡上能做什么事情。因此，用戶只需簽到一次，即可得到相應應用程序和數據的訪問權限。

在實際應用中，用戶都非常喜歡SSO帶來的操作過程的簡化，但其實這并不是基于身份認證技術的最大好處。雖然一些IT管理員擔心，一次登錄就能夠訪問多個應用容易擴大攻擊者對網絡的破壞范圍，但實際上當用戶不得不維護多個用戶名和口令時，他們更傾向于選擇一些容易被猜出的密碼，安全性反而容易受到威脅。如果是由IT部門指定的不易猜測的密碼，用戶則會把登錄信息記錄在紙上或是電子文檔中，也很容易泄漏密碼。此外，用戶要記的密碼越多，就越有可能忘記其中的一兩個，要是有幾千用戶，光是重新設置忘記的密碼就會給IT支持部門造成很多不必要的工作量。而采用基于身份認證的單點登錄技術，將能顯著降低最終用戶支持的成本。

單點登錄之外的收獲

除了能實現SSO，基于身份認證的網絡管理還能幫助管理員集中創建和銷毀網絡賬戶。例如利用Netegrity Identity Minder eProvision等基于身份認證的配置（Provisioning）系統，在幾分鐘內就可以為新雇員設置好電子郵件、應用程序和網絡訪問權限。其中許可權限可以基于已經建立好的規則進行分配，管理員只需要向系統輸入一些簡單信息，如員工姓名、職位、編號等，身份認證管理解決方案就能自動完成其余的配置工作。

與設立新賬戶相對應，從系統中刪除賬戶也同樣迅速。與在多個相互割裂的企業IT系統中手工刪除所有信息（不能漏掉任何一個遠程訪問服務器、虛擬專用網、無線訪問點等）相比，身份認證管理解決方案的自動化程度和準確程度顯然更高，不滿的離職員工的密碼被遺漏在網絡某個角落的風險大大降低。

Burton集團的高級分析師Mike Neuenschwander表示，自動化配置能力將使大多數企業在身份認證管理上的投資得到快速而明顯的回報。他還指出，作為身份認證管理系統中最具吸引力和最易部署的組件，自動化配置的市場非常誘人。

當然，自動化配置并不是一件簡單的事情。除了為用戶設置許可權限外，它還涉及到為移動設備、應用程序等授予權限，以及管理其他IT資產。此外，很多企業把它們的身份認證管理系統擴展到了企業網絡之外，把合作伙伴、供應商、客戶等都包含進來。

“就像飛機飛行不能只是依賴自動檔，”Neuenschwander說道，“企業需要有專人負責策略設置、規則查看、進行必要的改動以及批準這些改動，最終對訪問批準或拒絕負責的應該是企業的管理人員，而不是身份認證管理系統。”