身份管理联盟最佳实践

人不是生活在真空之中，公司也不应该这样。为了在当今的市场上取得成功，金融公司不得不重新思考他们的商业运作模式。对传统实体金融公司而言，他们已经意识到利用所有的人事、系统和服务资源为公司内部的信息服务这种策略已经过时，游戏规则已经开始改变了。为了维持高效率、低成本的商业运作，他们不得不开始寻找第三方合作伙伴来扮演那些不再增加价值的角色，比如效益管理、人力资源、信息中心、旅游服务、保险和股票估价。

虽然商业领袖们很容易明白这些关系的价值，比如支付给专家更低的工资，但是实现起来却比较困难。PCI DSS和 HIPAA等都明确规定将严惩入侵以及传输含有敏感信息、金融信息和个人信息的数据。另外，美国具体处理违约通知条例表明，企业应为个人信息以及金融信息泄露负责，即使这是由第三方的安全缺陷造成的。出于这些风险考虑，许多金融公司选择将信息保存在公司内部以保证其安全性，但是允许他们的合作伙伴来管理这些数据。这就导致身份管理联盟技术的兴起，OASIS的安全声明标记语言（SAML）就是其中的一种。然而，就像90年代的公钥基础设施（PKI）的发展一样，采用“信任通道”的安全策略来管理企业与其合作伙伴的合作仍然滞后于商业发展的需要。

身份管理联盟

身份管理联盟发展滞后是有一些原因的。其中最主要的原因是金融公司与其合作伙伴之间缺乏如何进行“信任通道”的合同规范。没有适当的合同规范，公司就没有办法确定采用第三方之后给他们带来的风险，如果第三方违反条例后他们的责任会在多大程度上得到缓解。

另一个主要问题是，在身份管理联盟中，一个身份管理服务供应商要向多家合作伙伴提供信息身份管理服务。而运作这么多的身份管理要经过很多版本的多项条约，管理的复杂性不言而喻，所以很少有公司愿意成为身份管理服务供应商。

而信任关系信息传输过程中的主要技术也是造成管理复杂性的一部分原因。数据联合技术的采用使得“安全声明”的传输得以完成。数据联合技术包括：安全声明标记语言和自由联盟（Liberty Alliance，一个致力于解决数字身份问题的业界联盟）的身份认证联盟框架（ID-FF），这两者都是切实可行的解决方案。现在已有三个版本的安全声明标记语言被金融产业采用，它们分别是：V1.0、V1.1 和V2.0；还有两个版本的ID-FF被采用：V1.1 和V1.2。虽然它们都是可行的，但是互相之间却不兼容。这就需要公司支持多种技术，甚至所有的技术。

最后，很难保证第三方能通过正确的授权进行系统查看和管理金融公司的信息。

身份认证联盟的关键考虑因素

怎么才能使身份认证管理的效率提高呢？可以根据以下这些步骤：

◆了解商业内容 ——在公司寻找合作伙伴之前必须了解外包公司的职能，并将其分类，战略性的运作必须排除在外包考虑之外。

◆了解工作流程——一个寻找外部合作伙伴的公司，必须了解其合作伙伴进入和离开公司业务的关键点。公司还必须知道数据是会继续在自己的限制范围之内还是会被合作伙伴带走。要反映新的商业运作流程，就必须对现有的工序和程序进行适当修改。

◆确定信息敏感度——公司必须清楚各个职能中包含的信息种类，其中是否包含敏感信息、金融信息或者个人信息。公司还需要清楚有无与这些信息相关的法律法规。公司必须与可能的合作伙伴共同决定接触这些信息的人员是否需要其他的背景，在被授权接触这些信息之前是否需要其他的确认。最后，公司必须决定这些信息有没有价值，如果出现信息丢失或者泄露时，有没有必要采取补救措施。

◆确定准入合作方的资源要求——一旦公司知道每个职能包含怎样的信息，就必须制定合作方进行职能管理的权限：身份管理联盟技术的行政身份，管理联盟关系的管理身份，使用联盟服务的应用服务和项目的系统准入以及使用联盟技术的终端用户的权限。

◆定义安全声明，确保信息安全——在得知了信息敏感性和访问需求后，金融公司就有能力定义合同义务、安全控制和通信需要，以确保合作伙伴的授权用户可以安全地就与业务功能有关的信息进行交流。这些都应传达给合作伙伴公司征求同意。

◆确定安全声明协议需要沟通渠道的支持——在这一点上，公司应该与它的合作伙伴确定合适的协议——安全声明标记语言、自由身份认证联合框架，或两者都有——并且各个版本都将要予以支持。如有可能，该协议的最新版本应该是用来提供给请求者尽可能多的信息量，他们将在与金融公司的信息交互发挥作用。　　

这一点会很有争论。金融公司理所当然想支持一个最小的协议以减少他们的支持成本，而合作伙伴想支持他们所使用的标准。另外还存在合作伙伴不具备任何联合能力的风险。虽然不是最佳选择，但其他方法可能需要授权，如同步登陆/密码信息，但这应该被视为一种短期减损控制。在任何情况下，只要是同意的就应该纳入到合同中和未来的迁移，即从用户名/密码到安全声明标记语言在未来的两年应该与将会蒙受的损失和转换的时间表一起归档。

◆定义审计水平和报告要求——金融公司与它的合作伙伴共同确定审计和报告的水平是十分必要的，这可以确保合同条款和条件的规定。

◆定义如何管理沟通渠道——如果金融组织不希望提供身份服务，它必须把这一责任推给合伙人或寻求国际知名公司，如平安身份认证公司，它为公司及其合作伙伴提供第三方联合经营服务。利用第三方企业的明显优势是它可以提供联系到一家公司的所有合作伙伴，并且在必要的时候进行协议转换，而该公司不用承担正在进行的联系和管理费用。缺点是，公司必须为使用该合作伙伴的服务做额外的预算。

◆制定计划——在达成一项合作伙伴如何接触金融公司以及它会履行什么职能的协议后，该公司应建立一个执行计划，包括时间表、所需资源、结构变化、流程定义、筹资模式和商业抗辩理由。这些在执行之前都应该经过专门的渠道正式批准。　　

在理解了与第三方合作如何有利于公司，以及理解了围绕使用他们的服务而制定的周密计划之后，金融公司可以降低为他们的股东、客户和合作伙伴提供优化服务的风险。虽然通讯部分只在一个方面起作用，但如果没有它，你的系统将继续在真空中工作，而其他金融行业将把你的公司远远抛在后面。

【编辑推荐】