扩展身份管理角色

随着应用程序和用户数量的增加,公司开始使用ID管理软件来改善对应用程序的访问,密码管理和资源配置。

西南航空公司刚刚实施了一项软件,该软件使数百名工程师和技工可以使用一次Web登录从其飞机供应商的系统访问专有信息。

到年底,雷曼兄弟控股公司将拥有一种技术,该技术可以在整个公司中自动创建,修改和删除用户帐户,而所需时间仅为手动完成该任务的一小部分。

8月,Sharp Healthcare Inc.推出了用于在其主要IT系统上进行安全的自助式密码重置和密码同步的软件。

这些是公司为简化对应用程序的访问并减少与管理企业标识信息相关的成本而进行的项目类型的示例。

总部位于马萨诸塞州沃尔瑟姆的ID管理产品供应商Netegrity Inc.的首席技术官Deepak Taneja说,此类项目还有其他诱因。 Taneja说:“在某些情况下,业务驱动程序正在削减成本。在某些情况下,它正在增加收入。在其他情况下,它可能是在管理风险和合规性。”

身份管理的工作重点是控制员工,客户或业务合作伙伴对信息的访问。大多数ID管理项目属于以下三类之一:Web访问控制,用户帐户设置或密码管理。

  • Web访问控制 通常的工作是处理身份管理,以使用一次登录来认证和授权用户使用多个Web应用程序。电子商务,企业对企业和Web服务计划的增长推动了公司为业务合作伙伴,客户和员工提供对Web应用程序的安全访问。
  • 用户配置 同时,这些计划还涉及使用身份信息在企业网络上创建或撤销单个用户帐户的方式。帐户配置工具使公司可以比手动流程更快,更安全,更便宜地完成这两项任务。
  • 密码管理 公司需要降低一些与身份管理相关的管理成本,这极大地刺激了人们的努力。它们使自助服务密码管理和同步,密码的委派管理以及对多个应用程序实施一致的密码策略成为可能。

用户和应用爆炸

马萨诸塞州贝德福德的RSA 安全 Inc.副总裁约翰·沃拉尔(John Worral)说:“访问应用程序和网络资源的用户数量大大增加,”这导致对ID管理技术的需求。

Discovery Communications Inc.公司技术总监Giuseppe Cimmino表示,电子商务和企业对企业应用程序的增长以及Web服务的趋势使企业应用程序向内部和外部用户开放的范围越来越大。在纽约。

因此,需要一种可以帮助公司集中跟踪和管理用户身份的工具。

这家位于凤凰城的航空公司的应用程序框架经理Brian Buege说,对西南航空而言,收益来自提高生产力和降低管理成本。

该公司使用来自加利福尼亚州库比蒂诺的Oblix Inc.的NetPoint来实现对多个Web应用程序的单点登录访问。

Oblix的技术使Southwest可以为用于验证和授权对Web应用程序访问权限的每个员工创建中央身份配置文件。

NetPoint对安全断言标记语言(SAML)的支持还使Southwest建立了一个更高效的过程,用于将维护人员和工程师登录到供应商波音公司的Extranet。 NetPoint允许西南航空与波音交换SAML安全断言,以证明其雇员的身份,因此可以将其自动登录到波音的应用程序中。以前,西南航空的工程师必须分别登录并在波音网站上进行身份验证。

布格说:“我们为成为低成本航空公司而感到自豪。在维护基础设施方面,我们承担不起任何额外的费用。”

佛罗里达州雷蒙德·詹姆斯金融服务公司(Raymond James Financial Services Inc.)的身份验证和目录服务经理唐·里奇曼(Don Richman)说,Web访问控制产品还允许公司应用共享的安全措施来访问多个Web服务器和应用程序。

Buege说,这种方法比具有与每个应用程序关联的单独的身份存储和访问策略更为有效。

Raymond James正在使用RSA的ClearTrust Web访问软件对Web应用程序实施基于策略的集中式访问。

ClearTrust允许Raymond James集中控制,管理和审核功能,例如用户访问权限和身份验证策略。它还使Raymond James可以根据需要将某些管理任务(例如密码管理)委派给业务部门。

Richman说:“它使我们能够将通用规则和系统访问策略集中在一个位置,而不是让应用程序具有自己的应用程序级别的安全性和访问权限。”

新进和孤儿

用户配置项目处理的问题包括新员工如何快速访问适当的企业应用程序和服务,或如何消除孤立帐户。

宾夕法尼亚州马尔文市Spire 安全 LLC的分析师Pete Lindstrom说,这两个都是至关重要的问题,特别是在大公司中。在大公司中,新员工通常需要等待几周才能访问他们所使用的所有企业应用程序和资源,这并不罕见。新泽西州罗谢尔公园(Rochelle Park)帐户配置产品供应商Business Layers Inc.的副总裁David Lavenda说,需要做好工作

Lindstrom说,更普遍的是在雇员离开公司后很长一段时间内,孤儿帐户仍然存在于系统中。

总部位于纽约的公司信息安全副总裁拉明·萨法伊(Ramin Safai)表示,正是这种孤立帐户所带来的安全风险,促使雷曼实施了第三方帐户配置技术。萨法伊说:“对于基于法规和其他(安全)审计的要求,我们需要采取一些措施来回答谁有权使用哪种系统的问题。”

因此,雷曼兄弟正在部署第三方工具,该工具使用公司主要人力资源数据库中的员工记录来创建或删除用户帐户。萨法伊说,公司政策不允许他透露雷曼兄弟用来实现该功能的技术。

当新用户进入雷曼兄弟的人力资源系统时,其第三方配置软件会根据公司政策和该人在组织中的角色,立即分配适当的网络和系统访问权限。雷曼兄弟内部对该用户状态的任何更改(例如促销)都会立即触发访问级别更改。

同样,当员工离开雷曼兄弟时,预配软件会立即禁用访问权限并定期进行检查,以确保访问权限保持禁用状态。

Safai说:“使用配置技术可以在几分钟内完成过去需要一周的时间。”

Lindstrom说,这种自动化可以带来的好处也推动了密码管理工作。

首席信息官威廉·斯普纳(William Spooner)说,例如,夏普医疗保健公司(Sharp Healthcare)使用波士顿的Courion Corp.公司的PasswordCourier产品来使用户能够管理自己的密码。

Spooner说,PasswordCourier还使总部位于圣地亚哥的Sharp能够执行与密码的创建和管理有关的更严格的规则。

Spooner说,投资回报来自“对公司服务台重新设置密码的呼声越来越少,以及更简单的[密码]支持要求”。

用户说,部署这样的技术存在许多不容忽视的挑战。其中许多与拥有可靠的身份信息源有关。用户说,由于ID管理工具可以自动执行手动流程,因此首先要制定好的策略来管理身份也至关重要。

Southwest的Buege说,选择适用于多厂商环境的技术也很重要。没有产品提供公司管理身份和控制对应用程序访问所需的所有功能。

有关:

版权© 2003 IDG通讯,Inc.

  
在亚马逊上购买技术产品