将身份认证过程标准化，就可以创建直接的基于角色和基于策略的安全控制。通过准确定义用户身份和用户在网络中以及跨网络的角色和职责，数据可以被更好地保护起来避免不正当的使用。

访问控制同时适用于内部用户和外部用户的身份认证。例如可以通过允许外部用户访问公司数据库的特定部分，实现对外部用户的访问控制，从而客户只需点击鼠标即可进行自助服务、查看订单状态或添加新的服务，无需打电话或者为服务付费。

策略的部署能够加强对隐私的保护，使敏感数据只对需要的人开放，对那些身份数据访问已经相对规范化的行业（如医疗、银行等）来说，这一点尤为重要。

基于身份认证的基础架构的另一个优点是：它使授权管理更加容易，管理某个角色和身份认证的责任被下发到最熟悉它们的部门，而无需赋予该部门对整个网络的完全管理权。

信用联盟国家协会（CUNA）目录服务经理 Steve Devoti表示，“我们可以将管理权授予支持人员和呼叫中心，使他们能够维护目录中人们的身份认证管理。”CUNA为1万多个信用联盟提供了在线服务，而这些信用联盟服务的消费者数量超过8000万。CUNA早在2001年9月就已部署了Oblix身份认证管理系统，支持人员能够重置密码，但不能删除某个人的社会保险号码。

恰当的审核带来真正的安全

基于集中身份认证管理的基础架构的另一个优势在于，它可以自动完成详尽的日志和审核功能。许多专家认为，没有恰当的审核，就没有真正的安全性。

Gartner信息安全策略研究主管Roberta Witty说道，“所谓审核其实就是事件日志，你要能够看一眼就知道谁在什么时候登录了系统，谁在什么时候退出了系统，以及他们都请求了哪些访问。”基于身份认证的安全性优势在于：它将各种应用程序和工具生成的日志和审查跟踪统一起来并相互关联。

如果无法记录对安全策略的遵循程度，那么建立安全策略就毫无意义。用户需要了解策略的意义，策略不只是建议，而是强制性的措施。根据企业所在行业的不同，审核制度要么已经、要么很快即将成为法律规定必须做的。

最初，驱动企业转向身份认证管理的动力是竞争、减少成本和增加安全性；而现在，遵守制度和规范成为另一方面的动力，HIPAA法案、Sarbanes-Oxley等法规使得人们视身份认证管理为有效遵守这类法规的惟一途径。

几乎所有的商业软件都自带事件日志，从操作系统、应用程序等不同的层面记录谁做了什么，但设想一下，如果出现了安全漏洞，或者要统计用户访问信息的时间和原因，那要查询的日志就太多了，重复查询和遗漏查询的情况无法避免。如果能够将这些日志信息集中存放并相互关联，那事情就简单多了。

走出即插即用误区

Burton集团的Neuenschwander和Gartner的Witty都表示，对企业来说重要的是找到适合自己独特需求的身份认证管理系统，而不是改动自身的业务管理机制去套用某个解决方案。

“曾有一位客户问我，他应该买什么身份认证管理系统，一个周末就能安装好吗？” Neuenschwander说道，“身份认证管理系统并不是即插即用、经过简单安装就能使用的产品，用户在开始进行产品选型之前要有战略规划，要挑出目前无法妥善解决的问题，并对希望产品完成哪些工作心里有数。”

没有哪种身份认证管理解决方案能够普遍适用于任何组织，事实上成功的身份认证应用开始时规模反而比较小。用户应该从削减成本、遵守法规、理顺工作流等问题中挑出自己希望最先解决的问题，然后从那里开始。对于企业规模较大的用户来说，还需要了解该项目部署可能涉及的范围，通常身份认证管理将跨越若干个业务部门进行。

还需要告诫企业用户的是，不要期望立刻能从基于身份认证的网络管理中获得回报，跟任何大型IT项目一样，希望它能够更好地为业务服务需要时间。可能需要几个月的时间来搭建基础的工作架构，然后还需要几个月时间让最早的几个方面正常运转起来，或许系统部署两三个月之后，才开始看到它的价值，其价值的完全展现则可能需要6个月时间，项目的整个周期将长达一年甚至更长。

小资料：身份认证在SOA中的作用

是SOA（Service Oriented Architecture，面向服务架构）导致了身份认证的产生，还是企业对身份认证的采用使得SOA被更广泛接受，Burton集团的CEO Jamie Lewis认为这是一个“鸡生蛋还是蛋生鸡”的问题。

Lewis表示，当涉及安全问题时，开发者过去不得不做很多重复工作，虽然C#、Java、Python等现代编程语言将开发者从内存管理这类底层工作中解放出来，但实现用户身份认证和授权这样的基本功能并没有标准的工具可以使用。

通过创建标准的安全机制并将其发布为Web Services应用，不仅使网络管理员能够加强安全策略的一致性，而且使开发者从创建显式安全控件这样的低层次工作中解放出来。

基于身份认证的安全控件是SOA的必然选择，这些控件不依赖于某种具体的应用程序设计技术，从简单的密码到数字证书、Kerberos，再到生物认证技术，都可以用来验证某个用户的身份与特定的身份认证是否相符。

随着SOA的演进，身份认证的作用还将继续扩展，它将不再局限于实现目前与用户账户和许可权限的关联，而将进一步包含服务自身的身份认证。尤其当服务在没有人工干预的情况下互连时，验证服务请求来源有效性的需求将日益迫切。

根据IBM公司安全策略总监Chris O'Connor透露，蓝色巨人的Tivoli部门正在为机器身份认证建立与人的身份认证相同的标准。将来，我们可以设想一台服务器能够测试自身当前的操作状态，并能与一套公认的、静态的属性相比较以确定其操作系统是否已改变或者硬盘是否已被去除——即验证其自身身份认证的有效性。这样一个系统的实现将意味着在分布式Web Services之间自动建立不同层次信任的道路上迈出的一大步。

“目前大部分身份认证工作都是针对人，”Lewis 说道，“但长远来看，物的身份认证将会更重要。”