觀點

已授權:您的身分是業務經理

2007 / 03 / 19
ELISABETH HORWITT
已授權:您的身分是業務經理

法規遵循與其他益處
雖然中型企業的數據不容易取得,但根據Gartner的研究,IAM的總體市場呈現每年20%的快速成長。Burton Group的Lewis表示,中型企業的IT高層主管面對著同樣的內部安全問題與法規壓力,使得企業也開始採納。以Unicco Service公司為例,不需直接接受HIPAA或是沙賓法案的控制,但「我們的顧客會」IT資深主任,Bill Jenkins說。

「他們總是會問我們是如何進行控管,如何管理使用者帳戶等問題。如果我們不遵循安全法規規定的話,我們便會成為他們的負擔。這還不算是個大問題,但我們的CFO希望我們朝正確的方向前進。」Jenkins最近便佈署了一套有限制,預先包裝版的IBM Tivoli Identity Manager。財務顧問公司Financial Engines的CISO兼風險與技術作業副總,Matthew Todd說,「我們要遵循金融服務法(Gramm-Leach-Bliley)規範,也要遵守沙賓法案,即使我們不是公共事業,但會向金融公司提供服務。」該公司已建立了正式的離職員工存取權終止程序,並利用Serena Software的TeamTrack將雇用與辭退等程序自動化。在重要程式上採用雙層驗證。若要存取重要的財務程式,使用者必須輸入自己的密碼,以及RSA SecurID所提供的一次性密碼。
法規遵循僅是IAM的益處之一;另外則是能減少支援中心的電話通數。「我們曾經看過一家真實的案例,藉由密碼管理,減少了支援中心將近80%關於密碼問題的來電!」Lewis說。「它就像是自助式的密碼重設主控台一樣。」Burton Group估計有將近30%至40%的支援中心來電與密碼相關,自助式的密碼管理可節省大量的IT人力時間,即使是中型企業也是如此。

單一簽入(SSO, single signon)不但可以減少支援中心的求助電話,還有助於安全性與使用者滿意度。RSA Security在2005年中對大約1,700位使用者進行的一項調查顯示,有25%的受訪者將他們的密碼存在PC上的試算表或其他文件中,22%的人存在PDA或手持設備上,而有15%的人則是寫在紙上。SSO可讓員工只利用一個密碼便可存取所有可用的系統,不但可簡化員工的生活,更可讓使用者改掉這不安全的壞習慣。而這樣還能讓IT人員強制實施強通行碼政策,不但強化安全性,也不致於過於擾民,Forrester Research首席分析師Jonathan Penn表示。



綜合套餐讓你一次吃飽
過去幾年來,像CA、HP、IBM、Oracle及Siemens AG等公司,都提供了制式的IAM組合包,其中包括了自助式密碼服務、User provisioning系統,以及SSO等。這些具競爭性的整合式軟體通常會建立在中立的目錄服務上,再向各種目錄服務及資料庫蒐集資料,消除了重覆與不一致性,並在集中的儲存區中建立出單一的項目集合。使用者身分識別與存取權限都可透過政策來集中管理。使用者帳戶的變更都會自動傳播到所有的使用者資料庫中。

直到最近, 這種軟體組合都只會針對大型企業客戶,主要是因為要設立中介的目錄服務本身就是一項大計畫,需要高度的IT資源與知識,這通常是中型企業所無法負荷的。「中型企業不太喜歡利用中介的目錄服務來做為自己的User provisioning,」IBM Tivoli部門IAM解決方案主任Joe Anthony說。通常會透過系統整合商來實作。一般IAM組合方案不便宜,「這些都是昂貴的工具,」Gartner研究副總,Ray Wagner說。「內部使用的User provisioning系統,若加上完整的ID管理與維護功能,通常要價每個使用者80~100美元。」

而授權費不過是個開端罷了。「你不能只是買個工具就希望問題會煙消雲散。」Wagner警告。「你必須檢視現行的程序,並將其定義成你希望的樣子。」對於中型企業來說,「第一次規劃、購買,以及安裝軟體,並對5~10項重要程式(如電子郵件與Active Directory等)提供ID管理功能,平均就得花費6~10個月,有時還得更久。」Wagner說。但情況已有了改觀。大多數領先的IAM廠商,都已為IT資源與預算有限的中型企業提供產品。預先設定好的應用以及企業組合的「精簡」版功能較少,且不容易客製化,但卻更為便宜,並容易佈署。
許多的組合產品都可以一次購買一個模組。以Novell的Identity Manager為例,便可讓顧客以基本的ID管理組合包作為開始,它包括了中介目錄、識別整合、User provisioning,以及密碼同步等功能。接下來他們可視需求加入以工作流程為基礎的供給或Web SSO功能。一些廠商除了以電腦為基礎的授權外,也提供了以使用者為基礎的授權方案。

「只要企業願意以Active Directory作為他們的中央驗證服務,並以Windows伺服器作為存取控制的基礎建設,那麼他們就不會需要太多的使用者ID,剩下的就是Active Directory帳戶管理的問題,」Gartner表示。他們在User provisioning系統的2006 Magic Quadrant報告中,這家研究公司指出,「顧客表示其軟體授權費用以及整合成本要比其他〔User provisioning〕產品的佈署要便宜的許多,因此值得這麼做。」



大興土木
IAM技術對中型企業已不再遙不可及,但企業的安全基礎建設必須正常運作,否則便無法帶來效益。若要像廣告說的方式運作,IAM系統如Web存取管理、SSO,以及User provisioning自動化等,得需要一致且同步的ID、使用者設定檔,以及存取權限。

「SSO算是容易實作的技術,」BCBSKC的Sparks說,但由於它讓使用者能夠透過一次登入來存取廣泛的資源,因此IT必須立即填補安全漏洞以及異常的存取權限,如「棄嬰帳戶」(例如離職員工仍有存取權限)。
Sparks的多年計畫必須深入考量這些因素。隨著完整的IAM平台剛上線,他正等著看投資會帶來如何的報酬。「我們中型企業的需求是想要找尋能夠讓我們心安的東西,但又不能麻煩到讓人們無法使用我們網站或應用程式所提供的功能,」他說。「IAM理應可以做到:目前仍無法自ROI得出評斷,但我們會拭目以待。」
Elisabeth Horwitt是自由作家。