安全实践:身份管理联盟最佳实践(下)

身份认证联盟的关键考虑因素

怎么才能使身份认证管理的效率提高呢?可以根据以下这些步骤:

了解商业内容 ——在公司寻找合作伙伴之前必须了解外包公司的职能,并将其分类,战略性的运作必须排除在外包考虑之外。

了解工作流程——一个寻找外部合作伙伴的公司,必须了解其合作伙伴进入和离开公司业务的关键点。公司还必须知道数据是会继续在自己的限制范围之内还是会被合作伙伴带走。要反映新的商业运作流程,就必须对现有的工序和程序进行适当修改。

确定信息敏感度——公司必须清楚各个职能中包含的信息种类,其中是否包含敏感信息、金融信息或者个人信息。公司还需要清楚有无与这些信息相关的法律法规。公司必须与可能的合作伙伴共同决定接触这些信息的人员是否需要其他的背景,在被授权接触这些信息之前是否需要其他的确认。最后,公司必须决定这些信息有没有价值,如果出现信息丢失或者泄露时,有没有必要采取补救措施。

确定准入合作方的资源要求——一旦公司知道每个职能包含怎样的信息,就必须制定合作方进行职能管理的权限:身份管理联盟技术的行政身份,管理联盟关系的管理身份,使用联盟服务的应用服务和项目的系统准入以及使用联盟技术的终端用户的权限。

定义安全声明,确保信息安全——在得知了信息敏感性和访问需求后,金融公司就有能力定义合同义务、安全控制和通信需要,以确保合作伙伴的授权用户可以安全地就与业务功能有关的信息进行交流。这些都应传达给合作伙伴公司征求同意。

确定安全声明协议需要沟通渠道的支持——在这一点上,公司应该与它的合作伙伴确定合适的协议——安全声明标记语言、自由身份认证联合框架,或两者都有——并且各个版本都将要予以支持。如有可能,该协议的最新版本应该是用来提供给请求者尽可能多的信息量,他们将在与金融公司的信息交互发挥作用。

这一点会很有争论。金融公司理所当然想支持一个最小的协议以减少他们的支持成本,而合作伙伴想支持他们所使用的标准。另外还存在合作伙伴不具备任何联合能力的风险。虽然不是最佳选择,但其他方法可能需要授权,如同步登陆/密码信息,但这应该被视为一种短期减损控制。在任何情况下,只要是同意的就应该纳入到合同中和未来的迁移,即从用户名/密码到安全声明标记语言在未来的两年应该与将会蒙受的损失和转换的时间表一起归档。

定义审计水平和报告要求——金融公司与它的合作伙伴共同确定审计和报告的水平是十分必要的,这可以确保合同条款和条件的规定。

定义如何管理沟通渠道——如果金融组织不希望提供身份服务,它必须把这一责任推给合伙人或寻求国际知名公司,如平安身份认证公司,它为公司及其合作伙伴提供第三方联合经营服务。利用第三方企业的明显优势是它可以提供联系到一家公司的所有合作伙伴,并且在必要的时候进行协议转换,而该公司不用承担正在进行的联系和管理费用。缺点是,公司必须为使用该合作伙伴的服务做额外的预算。

制定计划——在达成一项合作伙伴如何接触金融公司以及它会履行什么职能的协议后,该公司应建立一个执行计划,包括时间表、所需资源、结构变化、流程定义、筹资模式和商业抗辩理由。这些在执行之前都应该经过专门的渠道正式批准。

在理解了与第三方合作如何有利于公司,以及理解了围绕使用他们的服务而制定的周密计划之后,金融公司可以降低为他们的股东、客户和合作伙伴提供优化服务的风险。虽然通讯部分只在一个方面起作用,但如果没有它,你的系统将继续在真空中工作,而其他金融行业将把你的公司远远抛在后面。

身份管理联盟最佳实践(上)