隨著身份管理人員工作量的不斷增加，許多機(jī)構(gòu)都在尋找一種自助式的身份管理模式，這種模式使IT終端用戶能夠管理自己的身份管理文件和訪問。

然而，就像快餐店允許顧客自取飲料而不是允許顧客動手自制漢堡包一樣，用戶能夠進(jìn)行身份管理的程度也應(yīng)該有一些限制。這樣機(jī)構(gòu)就會產(chǎn)生這樣的問題：“對于身份和訪問管理（IAM）來說，自助到什么程度才是剛剛好的呢？”

在IAM中使用自助服務(wù)模式有兩大風(fēng)險。***個風(fēng)險就是，在沒有嚴(yán)格的控制下通過自助式IAM接口輸入的數(shù)據(jù)的質(zhì)量問題。當(dāng)這些信息被用于商業(yè)領(lǐng)域時，不良數(shù)據(jù)會對機(jī)構(gòu)的運(yùn)營和項目產(chǎn)生巨大的影響。第二個風(fēng)險是未授權(quán)用戶擁有敏感信息的訪問權(quán)限?？梢灶A(yù)料，這將導(dǎo)致機(jī)構(gòu)違反一些規(guī)章制度，造成非法的風(fēng)險。下面我們將詳細(xì)分析這兩點(diǎn)。

IAM數(shù)據(jù)質(zhì)量

白頁（white page）應(yīng)用程序中的商業(yè)資料和個人資料管理是廣泛使用自助服務(wù)的一個領(lǐng)域。這種情況下，終端用戶的一部分資料會從用戶原始的人力資源記錄中預(yù)導(dǎo)入到應(yīng)用程序里。當(dāng)機(jī)構(gòu)意識到這些信息不完整，而且有可能過時時，機(jī)構(gòu)就會啟用自助服務(wù)，允許終端用戶對他們的記錄進(jìn)行更改和更新，這通常是通過Web界面進(jìn)行的。大多數(shù)情況下可以修改的信息有：聯(lián)系方式、公司地址（包括內(nèi)部編號）、工作電話和手機(jī)號碼、職位和諸如職位代碼、部門信息、家庭聯(lián)系方式之類的其他商業(yè)信息等。之所以允許更改這些信息是因?yàn)樗鼈円话悴辉跈C(jī)構(gòu)的企業(yè)庫里；然而跟蹤這些信息的變化可能會引起其它的問題；但是不管怎樣，終端用戶是唯一能驗(yàn)證這些信息的人，這一點(diǎn)是不變的。如果內(nèi)部白頁能嚴(yán)格使用這些信息，那么這就是自助服務(wù)的一個良好的應(yīng)用。

但是機(jī)構(gòu)必須明白，正如快餐店可以隨時供應(yīng)飲料一樣，自助服務(wù)應(yīng)該用于可以節(jié)省成本、增加商業(yè)機(jī)會，同時降低風(fēng)險的情況。機(jī)構(gòu)在終端用戶沒有經(jīng)過意識培訓(xùn)或者嚴(yán)格控制的情況下，將工作人員輸入的信息用作商業(yè)目的是有一定風(fēng)險的。機(jī)構(gòu)要求員工對其所管理的用于重要商業(yè)用途的信息負(fù)責(zé)任，但卻沒能使員工對一些固有的危險（可能使機(jī)構(gòu)需要應(yīng)急服務(wù)來處理各種有形的、無形的緊急問題）得到適當(dāng)?shù)睦斫狻＠?，企業(yè)團(tuán)隊的成員，無論是員工還是經(jīng)理——在如火災(zāi)、洪水和災(zāi)害緊急情況下的事故聯(lián)絡(luò)小組——可能無法保持他們的聯(lián)系信息是***的。這種風(fēng)險出現(xiàn)在一家大公司的現(xiàn)實(shí)情況中，由于火警警報它不得不全體撤離大樓。高層管理團(tuán)隊在近1000人的人群中尋找實(shí)體安全主管。原來，他是唯一可以授予當(dāng)?shù)叵啦块T進(jìn)入火警警報的敏感區(qū)域的人，但他們卻聯(lián)系不到他，因?yàn)樗麤]有更新公司員工電話簿里的手機(jī)號碼。

另一個與自助服務(wù)有關(guān)的例子是，公司用員工自己維護(hù)的員工白頁里的“頭銜”信息作為輸入的一部分來確定用戶能否進(jìn)入基于角色的訪問控制（RBAC）系統(tǒng)。由于RBAC系統(tǒng)提供了一系列的接入服務(wù)，當(dāng)一個軟件工程師把他的頭銜從“網(wǎng)絡(luò)工程分析師”改為“宇宙統(tǒng)治者”時，RBAC系統(tǒng)會返回一個錯誤。這樣的頭銜不能映射到接入服務(wù)器，這就會造成進(jìn)度的延誤。

另一個自助服務(wù)引起問題的例子是，一家公司的人力資源部門想要完成一個巨大的郵寄工作——寄送盈利信息到全體員工的家庭住址。由于該公司廣泛使用自動存款，大多數(shù)員工在本地住宅改變時根本就不會聯(lián)系人力資源部門進(jìn)行修改。人事部門決定，由于該公司使用自助服務(wù)管理其企業(yè)電子郵件目錄的個人資料，他們會利用這里面 的“***資料”，而不利用他們所掌握的員工的個人資料（明顯已經(jīng)過時）。然而，當(dāng)從公司的電子郵件系統(tǒng)提取資料時，人力資源部門的工作人員發(fā)現(xiàn)，在個人家庭住址信息這一欄中，許多人要么沒填寫，要么寫得不完整。例如，有人沒有留下郵政編碼，街道意外拼寫錯誤，以及狀態(tài)信息有時丟失。這就需要人力資源部門對它的資料和從公司的電子郵件系統(tǒng)所得出的資料進(jìn)行比較分析。即使在這個龐大的項目完成后，還有5%的員工的家庭信息仍然是不正確或不完整的，人事部門要在郵寄之前直接聯(lián)系這些員工以獲得他們的資料。

雖然這里只列舉了三個數(shù)據(jù)質(zhì)量影響一個機(jī)構(gòu)的例子，但是它們只是自助服務(wù)不能正確管理所引起的問題中的冰山一角。低劣的數(shù)據(jù)質(zhì)量就像一支可以射中任何IAM架構(gòu)心臟的箭：沒有高質(zhì)量的身份數(shù)據(jù)，使用這個數(shù)據(jù)的流程和控件為下游應(yīng)用使用和配置，那么服務(wù)錯誤將會劇增。

【編輯推薦】

1. 身份管理聯(lián)盟***實(shí)踐
2. 如何合并SIM和IAM系統(tǒng)以降低企業(yè)風(fēng)險