区别于上述传统的认证模式，我们针对企业中用到的SaaS，采用了云身份认证。它可以被理解为是将SSO 的服务延伸到了云端。通过所谓身份认证即服务（IDaaS）的方式，我们补足并实现了企业在如下方面的应用需求：

· 当员工拥有并使用多台移动设备去访问企业服务时，能结合双/多因素信息实现身份认证。

· 打通了云上与云下，将IDaaS的存储库与企业现有的AD及LDAP目录无缝集成，实现了联合高效的服务认证。

· 通过各种API，企业不但可以将身份认证服务转交给云端处理，还能前瞻性地为耗费流量的、将来可能上马的各种可穿戴设备、以及物联网（IoT）设备做好了技术和策略上的准备。

遵循经典的基于角色控制（RBAC）和按需而用（Need to Use）原则，我们实现第二A，即Authorization。具体在企业的实践管控中，我们从如下方面进行了治理：

· 通过梳理现有资产、系统与服务，根据相关“等保”的要求和初步风险评估的结果，来构建不同的访问级别。

· 通过诸如：No Access(NA)、Read(R)、Write(R)、Execute(X)、Delete(D)、List(L)、Full Control(FC)的权限定义，和诸如Guest(R-L)、Group(R-X)、Owner(R-W-X-D)、Admin(FC)的角色对应，细粒度地管理电子和纸质的文件及服务。

· 在上述普通用户通用配置文件的基础上，丰富最小权限的具体基线内容。进而通过该基线来设定预期的正常活动类型集，并将其作为异常检测系统的参考依据。

· 针对各类用户对于权限的申请、增加、削减和变更需求，引入委员会的标准批复与管理流程，并文档化全程记录。

· 实现技术部门与人事的联动关系，保证在接报有关岗位变动的24小时内，完成系统权限的相应调整。

如今，随着移动办公和云服务的广泛应用，我们企业IT系统所面对的安全风险，无论是在时间上还是在空间上，都已突破了旧的规律和屏障。因此我们需要通过如下方面管理好外部人员，通过互联网运用手持设备对系统的各种访问。

· 罗列出提供远程访问的所有服务条目，一般包括：虚拟桌面，Web版邮箱、VPN、移动应用、及MDM/MAM管理界面等。

· 对不同的外部应用设置不同的会话保持时限（idle session）。

· 执行严格的权限申请流程，通过预定义各种风险向量和相应的权值，得出申请方基于风险的评估值（Risk Based Assessment，RBA）。

· 以明确且特定的任务为导向，仅授予最小权限。

如果说上面提到的六点是针对账号与权限管理的“充分条件”的话，那么它的“必要条件”就是问责与审查（Account and Review）。只有记录和掌握了各类ID的各种活动，我们才能形成正反馈，去不断地调整和改进控制措施。具体内容包括如下方面：

· 借用日志系统或安全信息与事件管理（SecurityInformation and Event Management，SIEM）工具，记录各个ID从登录系统时所检验的信任凭证、获取的相应权限、执行的各类操作、到结果成功与否、以及是否安全退出的全过程。

· 对历史信息的汇总和保存，报告的生成与趋势的分析。

· 设定管理委员会定期（如每90天）引导各个部门人员对当前系统中的各种ID和相应的权限列表进行自查；定期与各类所有者合作，对资源秘级要求进行核实；定期对账号相关的违规事件进行审查，及时注销ID或回收权限。