当谈到信任身份管理时，大公司通常是从员工的具体角色入手，而不是依据其职别。

　　你可以向Cigna首席信息安全官Craig Shumard了解情况。他在基于角色访问权限的研究领域处于领先地位，该权限确保Cigna员工可以使用许多他们需要的系统——同时也保证公司履行许多管理责任。

　　这家健康保险公司在全球拥有4700万客户，与大约500000名内科医生、85000名牙医、57000家药房以及55000保健服务供应商建立了合作关系，与财富100强中的90家企业有业务往来。因此，无论是在健康方面还是金融领域，都有大量需要保护的资料并对其进行严格控制。

　　Shumard表示，根据工作需要，Cigna公司员工有权使用相关数据——但范围仅仅局限在其需求之内。这被称为“最小需要”政策，它为Health Insurance Portability and Accountability Act（健康保险便利及责任法案）的出台打下了基础。“那么你如何才能进入这种你有‘最低限度’需要的环境？”他问道。

　　Shumard表示，通过使用基于角色的访问权限控制手段，Cigna公司迈出了重要的一步。该公司过去在进行信任身份管理时使用的一直是一种“仿效”的方式，就是参照大体上从事相同工作的员工所拥有的权限为新员工提供访问权限。但是，由于一些老员工经常会将他们对相关系统的访问权限带到一个个新的岗位，从安全角度来看，这种“仿效”的方式对于新员工而言就像是一个等待被触发的地雷。

　　“这种管理方法会使一些人拥有不恰当的系统访问权限，” Shumard说。

　　基于角色的访问权限管理手段发源于业务领域而非IT行业，但我们需要用它来确定工作角色及其访问权限。我们需要依据员工在工作中所扮演的角色对其进行识别，来确保他们可以根据工作需要取得相关系统和应用程序的访问权限，但范围仅仅局限在其需求之内。而在Cigna公司这种情况下，我们谈论的是数千名角色的集合——他们拥有27000名员工，有300多个应用程序，以及数百万个访问资格。如今，在引入大批业务管理人员之后，其全体劳动力包括1800个工作角色、2400个“分角色”、以及一些“角色外”工作类别，他们会要求这些员工在某个指定的时间开展一些特殊的项目。

　　“如果考虑一下所有的工作角色和员工数量，以及工作环境中的数百个系统，你可以很快意识到，如果这些数据有所增加，需要处理的权限将会成百万地增加，” Shumard说。

　　Cigna公司有一个本土的流程工具，可以在发生人员变更或工作角色变更后启动配置系统。该工具缺乏的是一个对员工的访问权限进行定期审查的方法。而公司需要确保必要的权限能够得到及时可靠的配置。

　　“我们也希望能够确保这些工作角色尽可能是当前的、最新的，因为维持角色的过程可以改善整个访问进程，”他说。

　　该公司最近选择了企业访问权限管理产品供应商Aveksa公司的技术来对其访问进程进行自动化管理和审查。Aveksa成立于2004年，专门从事那些由于不恰当地访问信息引发的安全性、合规性问题以及相关规制风险的管理技术研发工作。

　　Cigna公司正试图使用Aveksa的技术为其IT部门的业务管理人员以及合规性管理人员的身份管理业务创建一个全自动的工作流程。Aveksa的这种工具对Cigna公司的权限规制管理很有帮助，其中包括身份审计、访问权限认证及报告生成工作，以及工作角色分析、筹划和维护等相关业务。

　　Aveksa公司负责产品生产和营销的副总裁Brian Cleary表示，Aveksa肩负着填补市场空白的使命。他还表示，信任身份和访问权限管理技术在控制信息访问权限方面做的不错；但是，他们的设计初衷并不是用来实施管理措施的，具体说，就是不能被用来制定一系列用户信息资源访问权限的管理政策和流程。他说，现有的这种只规定员工是否具有中央处理机应用程序或是兑换业务、或是ERP应用程序访问权限的授权政策给员工提供的访问权限过于笼统，而不能满足其现在实际的需求。

　　“在现有的企业权限监管环境下，你需要有更为精细的政策来帮你在诸如ERP应用程序这样的领域制定相关决策，” Cleary说。也就是说：如果一个员工拥有开出票据的特权，他就不应该拥有支付相关票据的权限。

　　让企业来负责信任身份管理

　　Shumard表示，Cigna公司对身份管理的自动化改造反应了这一业务正在经历从IT部门到企业级别的根本性转变。

　　“在过去大约15年间，我们经常看到有许多企业管理人员得到了与IT员工同样的访问权限。而这些权限并不适合其业务领域，确实需要回到其自身的业务领域。”Shumard说，“如果我们采用了基于角色的访问权限管理方法，这个问题就迎刃而解了。我们可以使相关人员重新获得其所需的系统访问权限，因为他们是这些领域的权威，”他说。

　　Shumard表示，企业管理人员可能想要得到权限配置的控制权，但该技术让这一想法很难实现，因为相关名称和名称配置系统都是“system-ese”格式的。“这对于企业管理人员来说几乎是象形文字。”

　　Shumard需要使用一个工具，来使“工作角色拥有者”担负起保持角色定义通用性的职责，也使管理人员能够在适当的基础上完成对这些角色的认证。“这就是Aveksa的这一工具在权限管理角度给予我们的实际帮助，”他说。

　　“而对于那些尚未被Aveksa工具所取代的早期设备，我们能做的只是给管理人员提供新的权限配备管理工具，使他们可以更为高效地实施业务流程，而理解起来也更为容易——这是很重要的一步，”他说。

　　作为Burton Group的身份和私密战略服务部高级分析师，Kevin Kampman表示基于角色的身份管理体制难以取得成功，除非是管理部门和技术部门共同努力。他还表示，事实上基于工作角色的管理体制历来就难以成功，因为它只是属于某一部门，而不是各部门共同所有。

　　“尽管说IT部门在利用和管理这类技术方面很擅长，但是如果没有管理人员的指导，他们也很难做到这一点，” Kampman说。

　　接下来企业需要引入一些技术工具来帮助管理人员确定相关职责，同时也找到将其与系统访问权限项匹配的方法。

　　“主管没有必要做出将具体技术工具分配给哪个部门的决定。这应该由管理层来决定，” Kampman说。他们可以轮流给权限监管工作提供支持。“但只要这一切都保持不变，监管人员就会更高兴。因为通过与管理部门的合作，他们可以清楚地了解到相关权限究竟被派发给了何种人群，也知道是谁认为这种权限是有必要、从而将其派发出去的，” Kampman说。

　　Shumard还表示，这种基于角色的自动化访问权限管理方法对IT部门是有好处的。“同时它可以使其工作更为轻松。因为现在你知道了明确的规则，也知道了明确的划定及审核标准。这也弥补了该系统存在的许多漏洞。当然，对每个人来讲还有更多的意义所在。”