身分識別管理再造工程

通用汽車這家巨大的汽車製造業者，過去花費大筆的金額來處理被提出的技術支援請求，而這些請求通常是要求新增存取權限。新增請求中，大多數還是需要人工作業來進行一些矯正，而導致整個程序延遲超過一星期。現有的使用者也沒有過的太快樂，經常會抱怨在不同的目錄系統上發生數位身分識別衝突（例如，你的帳號在另一個系統已經被佔用了）的情況。最糟的狀況下，使用者必須記憶大約40個帳號、密碼的組合才能使用不同的應用程式來完成他們的工作。通用汽車公司在170個以上的國家進行生意，如同進行跨國生意時會發生的語言、法規障礙之外，這家世界最大的汽車製造商為了處理隱私權的問題，每年花費2千2百萬的直接或間接成本，來為1百萬個使用者管理他們的身分識別。

於是有人決定要打破這樣的僵局。

通用汽車的目標非常清楚。要將數天才能創建、發送帳號的工作時間降低到變成在幾分鐘內就可以被完成，讓使用者使用一個身分識別，來登入到企業數千個應用系統或入口系統中。大約30個月後，這個計畫案幾乎已經達成當初設定的目標。使用者和通用汽車的應用系統有著明顯較好的互動經驗、成本下降、資料被員工、合作伙伴、供應商、以及顧客安全的存取；以及日常的工作被更快速的完成。

當美國許多汽車製造商正在想辦法提升稅收的時候，通用汽車正在使用他們的身分識別與存取管理機制來達成這個目標。

「從商業的觀點來說，我們讓公司在開始這個計畫之前，更有效的設計與銷售汽車。」該計畫的主要設計師傑羅賈司伯（Jarrod Jasper）說。

資訊收集活動
你必須努力的從便利貼上40組的密碼組合表中，找出一組密碼輸入鍵盤來登入系統。如果你是3年前通用汽車的工程師，就必須進行上述的行為才能存取到各個不同的電腦輔助設計、電腦輔助製造系統以及共同合作入口系統。Jasper和他的5人小組對於製作出華麗的投資報酬率計算報表並不感興趣（Jasper並沒有指出該專案花費了多少成本）。Jasper認為使用者經驗的改善提升，才是真正而且充足的理由，讓通用汽車對身分識別管理進行再造工程。

「今日，你在走廊上隨機抽問，使用者會告訴你事情真的獲得改善了⋯」Jasper說。「現在要存取到應用程式較容易，而且許多簡單的問題都被解決了—而依照這樣的狀況我們衡量這個專案是成功的。」

工程師們也許就是使用者經驗改善最佳的驗證證據。工程師不只要負責管理帳號密碼的組合，還必須指派哪些帳號可以存取哪些應用系統。工程與設計工作的優先順序是排在存取管理之後。

「我們利用中央管理的身分識別功能，來幫助他們解決這些額外的作業，且降低多重帳號登入的需求。」Jasper說：「現在，他們可以專注於他們的主要工作，不需要額外支援的狀況下，通用汽車全球的工程師與設計師一起合作來建造、設計大量的汽車與貨車。」

身分識別管理計畫在2004年啟動，第一步工作就是製作出紀錄所有系統和程式的資料目錄，並且調整這些系統、程式讓單一使用者的身分識別和資料，可以透過通用汽車的基礎架構來取得存取權限。標準化的建立以及工作成果的再利用是下一步要進行的任務。

在2005年底，每一位通用汽車的員工和內部使用者都被賦予一個單一通用的身分識別。使用者還是必須多次的進行認證行為，但是每一次需要認證的時候只需要使用同樣的登入帳號。到了2006年底，共同合資企業的研究者、供應商、業者的這些企業伙伴也都擁有了自己唯一的身分識別。

建立通用汽車企業中每一位使用者的員工資料檔案，是很重要卻又繁重的工作。為了事倍功半的進行這個工作，通用汽車的人力資源部分被指派負責主導這項計畫。人力資源部門了解到企業的商業目標，和收集多少員工資料檔案是息息相關的，而且必須注意所收集的資料，不能超越法律及企業管理規定對於個人資料保護的邊界。

收集員工資料檔案不只讓人力資源成為計畫主導者，也讓計畫小組有了存取使用者資料的直接通道。Jasper想要建立起一個名叫DNA的員工資料檔案—可以用來辨識出通用汽車每一個獨立使用者的資料，「我們盡量只收集可用來辨識出唯一個人的最少資料」Jasper解釋說明。「這個DNA是使用者帶到通用汽車來的資訊。我們盡量在能力範圍中只收集不違反個人隱私以及法律的資訊。舉例來說，雖然在今日的程序中，我們會收集社會安全碼做為背景檢查，以及確定是唯一性的資料，但是我們也在積極的尋找不容易偽造的替代資料，來取代國家所發予的識別資料。」

依據使用者的資料和角色會被指派和給予存取權限。透過這個專案不只可以找出生產力上的問題，也擴大了安全性，尤其對汽車製造業之間的相互合作更有助益。不同製造商的工程師在任何被指定的計畫中，都會和通用汽車的設計師面對面的坐在一起。為了能夠分派適當的權限，Jasper必須確保系統間會有與生俱來的信任關係、管理身分識別與資料庫權限之間的關係、以及進行資料分類。也為了避免只需要攻擊一個單一點就可取得所有權限的問題，整個計畫傾向發展通用身分識別，不是發展單一登入解決方案。

一旦員工資料檔案被建立，不同平台間互相通透的技術障礙就會自然消失。

如同通用汽車，大部分企業都是一點一滴慢慢的隨著時間建立起基礎建設，然而這樣的狀況也增加了系統間的複雜性。身分識別管理使用了兩種系統—微軟的Active Directory伺服器以及昇陽電腦的LDAP，由於兩套系統之間的通透性很差，導致成為通用汽車帳號密碼過多的罪魁禍首。

「我們很快的被分為兩種控制範圍」Jasper說：「建置身分識別系統來取代企業的人工服務，卻造成帳號密碼建立的數量超出我們需求的問題。我們必須整合不同系統的共用帳號密碼以及使用者概述資料。」

通用汽車曾經找來這兩個廠商一起坐下來商討，希望能藉由購買者需求的力量要求微軟和昇陽一起合作簡化，在兩個平台間進行使用者識別以及登入帳號更動、設定或者刪除的動作。同時，通用汽車目前佈署了西門子（Siemens）的meta-directory同步引擎，來同時對AD和昇陽系統所管理的帳號做更改或設定。
由於通透性不良的缺點也衝擊著企業的合作伙伴帶給企業的痛苦，因為這些伙伴必須等待一段很長的身分確認期。針對每個系統建立不同的身分識別和權限創建分配程序：建立新存取權限的請求中有20%的請求還是需要進行微調，這其中還有一半需要聯繫到該個人才能進行微調。當這樣的問題越來越多時，就必須人工作業來降低這樣的問題。通用汽車雇用了名叫SWAT的顧問小組，負責讓使用者可以存取到系統。

通用汽車現有的使用者帳號還是有一半需要存取權限方面的協助，其中一些需求還是需要花費10天的時間才能解決。除了給付技術支援人員提供協助的直接成本花費外，生產效率的降低也嚴重的挑戰著收益盈虧。

「每當有1分鐘被影響無法設計新車時，就表示多損失了1分鐘進行新車行銷的時機」Jasper說。「如果一名工程師需要花費3週的時間才能存取某個系統，請問你會損失多少錢？我們關心的就是行銷機會的損失。」


微軟扮演的角色
看起來使用產品總是會往微軟靠攏，而通用汽車也不例外。Burton Group的分析師Dan Beckett說，大部分公司第一個技術上的任務就是要找出微軟，以及Active Directory在組織的身分辨識架構中要扮演怎樣的角色。

Beckett舉例像是微軟Active Director中的Microsoft Identity Integration Server（MIIS,身分整合伺服器）提供了某些必備的後台作業（back-end）能力，但是對於進行管理作業，以及即時認證的前台作業所提供的能力卻是不足夠的。

「你必須讓每樣東西都取得AD的認證，可是在公司存在不同作業環境和系統的狀況下，就無法達成讓每樣東西都取得AD的認證。」Beckett說。「這也是為什麼我說找出並決定AD應該扮演什麼樣的角色是很重要的原因。你必須找出這些限制，並寫在指導方針中讓發展者可以研究，如何讓身分管理架構可以支援微軟並沒有提供的功能。」

「除非你只購買微軟的產品或者完全不使用任何微軟的產品這幾乎是微乎其微的機會而這卻也是我所建議的方式。」

通用汽車的身分管理專案亦無法避免經歷到整合所帶來的痛苦。通用汽車竭力的對供應商施壓，要求供應商在各自的利益上進行合作，雖然大部分的時候供應商拒絕合作。Jasper的小組決定使用現成的軟體，以及改寫程式碼來讓不同供應商的系統可以合力工作。

「這樣的執行方式可以在不需要我們自己花費太多力氣下立即進行多個供應商系統間的整合」Jasper說。 「這樣的執行方式每年也花費我們數百萬的經費。」

Jasper嘗試調解供應商間的關係，來降低可擴充性的問題。為了建立全球性的系統，Jasper致力要求供應商製作不單是只有使用者人數上增加、還要是在當地是可擴充性的產品。

「身分管理是一系列的決策」Beckett說。「將應用程式送給使用者使用。很多時候我們會忘了這個基本的需求，請記住，提供使用者他們需要的應用程式是非常重要的。」

過去因為網際網路造成龐大的使用人口，以及對於客戶導向應用程式的大量需求而驅使企業要進行身分識別管理計畫。而今日，由於安全科技廠商的影響、沙賓法案以及其他政府規定都強迫著類似像通用汽車這樣的製造業，去修改他們的身分識別管理。除了法規中所明文規定的，這些法規迫使組織調整分派帳號時的工作控制流程。像是智慧財產權這類的資料安全法規，也促使企業要做到更好的個人資料安全的保護。

未來通用汽車也會努力將資料分為未分類、已分類、個人資料，並依據資料的分類給予存取權限。因此，這樣的作法不僅只會影響認證的方式，也會強迫網頁應用程式使用以角色為基礎的安全控管機制，達成個人化的存取控管。

「身分識別資料檔以及存取控制規則兩項資訊分類規則，讓我們擁有了令人驕傲的安全系統。」Jasper說。「我們必須更努力在不影響安全的狀況下，增進使用者經驗。我們會繼續試著在不造成使用者困擾的情形下，增加財富以及安全系統的複雜性。」