已授權：您的身分是業務經理

法規遵循與其他益處
雖然中型企業的數據不容易取得，但根據Gartner的研究，IAM的總體市場呈現每年20%的快速成長。Burton Group的Lewis表示，中型企業的IT高層主管面對著同樣的內部安全問題與法規壓力，使得企業也開始採納。以Unicco Service公司為例，不需直接接受HIPAA或是沙賓法案的控制，但「我們的顧客會」IT資深主任，Bill Jenkins說。

「他們總是會問我們是如何進行控管，如何管理使用者帳戶等問題。如果我們不遵循安全法規規定的話，我們便會成為他們的負擔。這還不算是個大問題，但我們的CFO希望我們朝正確的方向前進。」Jenkins最近便佈署了一套有限制，預先包裝版的IBM Tivoli Identity Manager。財務顧問公司Financial Engines的CISO兼風險與技術作業副總，Matthew Todd說，「我們要遵循金融服務法（Gramm-Leach-Bliley）規範，也要遵守沙賓法案，即使我們不是公共事業，但會向金融公司提供服務。」該公司已建立了正式的離職員工存取權終止程序，並利用Serena Software的TeamTrack將雇用與辭退等程序自動化。在重要程式上採用雙層驗證。若要存取重要的財務程式，使用者必須輸入自己的密碼，以及RSA SecurID所提供的一次性密碼。
法規遵循僅是IAM的益處之一；另外則是能減少支援中心的電話通數。「我們曾經看過一家真實的案例，藉由密碼管理，減少了支援中心將近80%關於密碼問題的來電！」Lewis說。「它就像是自助式的密碼重設主控台一樣。」Burton Group估計有將近30%至40%的支援中心來電與密碼相關，自助式的密碼管理可節省大量的IT人力時間，即使是中型企業也是如此。

單一簽入（SSO, single signon）不但可以減少支援中心的求助電話，還有助於安全性與使用者滿意度。RSA Security在2005年中對大約1,700位使用者進行的一項調查顯示，有25%的受訪者將他們的密碼存在PC上的試算表或其他文件中，22%的人存在PDA或手持設備上，而有15%的人則是寫在紙上。SSO可讓員工只利用一個密碼便可存取所有可用的系統，不但可簡化員工的生活，更可讓使用者改掉這不安全的壞習慣。而這樣還能讓IT人員強制實施強通行碼政策，不但強化安全性，也不致於過於擾民，Forrester Research首席分析師Jonathan Penn表示。



綜合套餐讓你一次吃飽
過去幾年來，像CA、HP、IBM、Oracle及Siemens AG等公司，都提供了制式的IAM組合包，其中包括了自助式密碼服務、User provisioning系統，以及SSO等。這些具競爭性的整合式軟體通常會建立在中立的目錄服務上，再向各種目錄服務及資料庫蒐集資料，消除了重覆與不一致性，並在集中的儲存區中建立出單一的項目集合。使用者身分識別與存取權限都可透過政策來集中管理。使用者帳戶的變更都會自動傳播到所有的使用者資料庫中。

直到最近， 這種軟體組合都只會針對大型企業客戶，主要是因為要設立中介的目錄服務本身就是一項大計畫，需要高度的IT資源與知識，這通常是中型企業所無法負荷的。「中型企業不太喜歡利用中介的目錄服務來做為自己的User provisioning，」IBM Tivoli部門IAM解決方案主任Joe Anthony說。通常會透過系統整合商來實作。一般IAM組合方案不便宜，「這些都是昂貴的工具，」Gartner研究副總，Ray Wagner說。「內部使用的User provisioning系統，若加上完整的ID管理與維護功能，通常要價每個使用者80~100美元。」

而授權費不過是個開端罷了。「你不能只是買個工具就希望問題會煙消雲散。」Wagner警告。「你必須檢視現行的程序，並將其定義成你希望的樣子。」對於中型企業來說，「第一次規劃、購買，以及安裝軟體，並對5~10項重要程式（如電子郵件與Active Directory等）提供ID管理功能，平均就得花費6~10個月，有時還得更久。」Wagner說。但情況已有了改觀。大多數領先的IAM廠商，都已為IT資源與預算有限的中型企業提供產品。預先設定好的應用以及企業組合的「精簡」版功能較少，且不容易客製化，但卻更為便宜，並容易佈署。
許多的組合產品都可以一次購買一個模組。以Novell的Identity Manager為例，便可讓顧客以基本的ID管理組合包作為開始，它包括了中介目錄、識別整合、User provisioning，以及密碼同步等功能。接下來他們可視需求加入以工作流程為基礎的供給或Web SSO功能。一些廠商除了以電腦為基礎的授權外，也提供了以使用者為基礎的授權方案。

「只要企業願意以Active Directory作為他們的中央驗證服務，並以Windows伺服器作為存取控制的基礎建設，那麼他們就不會需要太多的使用者ID，剩下的就是Active Directory帳戶管理的問題，」Gartner表示。他們在User provisioning系統的2006 Magic Quadrant報告中，這家研究公司指出，「顧客表示其軟體授權費用以及整合成本要比其他〔User provisioning〕產品的佈署要便宜的許多，因此值得這麼做。」



大興土木
IAM技術對中型企業已不再遙不可及，但企業的安全基礎建設必須正常運作，否則便無法帶來效益。若要像廣告說的方式運作，IAM系統如Web存取管理、SSO，以及User provisioning自動化等，得需要一致且同步的ID、使用者設定檔，以及存取權限。

「SSO算是容易實作的技術，」BCBSKC的Sparks說，但由於它讓使用者能夠透過一次登入來存取廣泛的資源，因此IT必須立即填補安全漏洞以及異常的存取權限，如「棄嬰帳戶」（例如離職員工仍有存取權限）。
Sparks的多年計畫必須深入考量這些因素。隨著完整的IAM平台剛上線，他正等著看投資會帶來如何的報酬。「我們中型企業的需求是想要找尋能夠讓我們心安的東西，但又不能麻煩到讓人們無法使用我們網站或應用程式所提供的功能，」他說。「IAM理應可以做到：目前仍無法自ROI得出評斷，但我們會拭目以待。」
Elisabeth Horwitt是自由作家。