問：目前的身份管理產(chǎn)品所使用的方法可以分為兩種：以供應(yīng)商為中心（provider-centric）和以用戶為中心（user-centric）。這兩種方法都有它們自己的局限，作為這個(gè)領(lǐng)域的專家，您能給我們提供一個(gè)可以解決身份管理問題的新模式嗎？關(guān)于這兩種模式，您覺得哪種更安全？

答：實(shí)際上，我的身份和訪問管理架構(gòu)，既使用以供應(yīng)商為中心（provider-centric）的方法，又使用以用戶為中心的（user-centric）方法。就像你用手拉橡皮筋一樣，不管你是用左手拉還是右手，橡皮筋的延伸長(zhǎng)度都是一樣的。

使用以供應(yīng)商為中心的方法，你必須在所有的系統(tǒng)上使用一致的安全策略、過程和訪問。要是有這樣一個(gè)身份管理環(huán)境，即在不同的系統(tǒng)上訪問相同的信息時(shí)需要使用不同的權(quán)限，這就提高了暴露的風(fēng)險(xiǎn)。

法規(guī)也要求兩者都要使用，一些法規(guī)規(guī)定如何管理個(gè)人的訪問/拒絕授權(quán)或未授權(quán)的信息——如HIPAA或PCI DSS，而其它的一些法規(guī)則考慮應(yīng)用程序和服務(wù)中信息的丟失或暴露，如州際身份泄露法。對(duì)于身份管理，我覺得兩個(gè)方面都要抓：我個(gè)人認(rèn)為要保持兩個(gè)身份認(rèn)證架構(gòu)。***個(gè)是我所說的身份管理架構(gòu)，采用以供應(yīng)商為中心的方法；這是系統(tǒng)和服務(wù)預(yù)定義訪問工作流和信息存儲(chǔ)被定義的地方。另一個(gè)架構(gòu)是用戶訪問架構(gòu)，利用以用戶為中心實(shí)時(shí)訪問的方法，定義訪問的一致性和監(jiān)控。這兩個(gè)架構(gòu)中使用的組件有60-70%是相同的，但是看起來是完全不同的。通過同步執(zhí)行這兩個(gè)架構(gòu)，我既可以解決以供應(yīng)商為中心的問題，又可以解決以用戶為中心的問題。

對(duì)于，哪一個(gè)更安全，我要說的是，如果我不能使用兩個(gè)，我會(huì)選擇以用戶為中心的方法（只是因?yàn)轱L(fēng)險(xiǎn)的范圍）。如果我誤配置了一個(gè)用戶，我只影響一個(gè)用戶。如果我弄亂了系統(tǒng)訪問控制，它會(huì)影響大多數(shù)用戶群。通常情況下，以供應(yīng)商為中心的方法為主，然后是以用戶為中心的方法：此外，在你確定一些人如何訪問它們之前，你必須知道你需要保護(hù)的資源。

另外，基于角色的訪問可以用作這兩種方法的橋梁 。通過將用戶職責(zé)和功能與提供的服務(wù)相匹配，角色能很容易定義，可以成為這兩個(gè)架構(gòu)之間的中心點(diǎn)。  

【編輯推薦】

1. 創(chuàng)建一個(gè)有安全文件訪問管理的內(nèi)聯(lián)網(wǎng)
2. 身份認(rèn)證與安全一線牽