一位***信息安全官花費了兩年時間來為其網(wǎng)絡中15000名用戶部署身份識別和訪問管理，他將自己的親身實踐歸結(jié)為10個步驟。

Carlson Wagonlit Travel的***信息安全官Steve Jensen表示促使他進行身份識別和訪問管理項目主要有四個原因：符合合規(guī)要求、加強安全性、讓安全操作更加有效，讓業(yè)務線部門可以更容易地與安全工作人員協(xié)作。

Steve Jensen推薦選擇包括自動配置、密碼自助服務、web訪問管理、角色管理和自動單點登陸的身份識別和訪問管理的解決方案，十個步驟如下：

1. 為已經(jīng)存在的訪問權限特權用戶和使用目錄服務的聯(lián)合密碼創(chuàng)建一個身份倉庫以盡可能地減少手動輸入。

2. 購買企業(yè)角色管理解決方案來根據(jù)具體角色來為用戶定義訪問權限，這樣他們就只可以訪問他們需要的內(nèi)容，而無法訪問其他內(nèi)容。這需要讓業(yè)務管理人員來幫助定義他們雇員的角色。

3.從業(yè)務角度來定義角色，這樣管理人員就可以更好地理解角色，所以他們很清楚如何分配訪問權限。然后將這些訪問權限組映射到應用程序，也就是他們必須需要訪問的應用程序。

4. 讓業(yè)務管理人員來根據(jù)應用程序規(guī)則來分配應用程序訪問權限是正確的，這樣做的話，將會有30%到35%的訪問權限被移除，因為它們都是不必要的。

5. 部署一個請求系統(tǒng)以根據(jù)需要對用戶的訪問權限進行更改。這些角色可以是非常具體的，例如只能訪問在SAP內(nèi)可接收的帳戶。

6. 創(chuàng)建企業(yè)范圍內(nèi)的企業(yè)角色，這將可以適用于很多部門的用戶。

7. 對企業(yè)范圍內(nèi)的角色進行另外一種認證程序。這些角色及其依據(jù)的訪問規(guī)則可以便于審計人員的檢查，不管訪問權限是否符合規(guī)則。

8. 調(diào)整請求系統(tǒng)以適用于企業(yè)角色，這樣請求就不必指定所有（用戶的訪問權限管理更改所需要）的應用程序。

9. 隔離角色，這樣就不會有人分配過多的訪問權限，而過多訪問權限可能會造成利益沖突。

10. 使用自助服務自動化程序為業(yè)務合作伙伴和客戶部署身份識別和訪問管理架構。

【編輯推薦】

1. 如何選擇身份和訪問管理架構？
2. 吉大正元遠程安全訪問方案的演示