身份管理是个复杂问题。它包括口令维护、用户配置和访问控制管理。本文着重介绍了身份管理中被SAML大大简化了的一部分，即基于角色的访问控制（RBAC）。越来越多的厂商在支持RBAC，因为它可以让管理员简化访问控制列表。

　　曾经调查过一个数据：内部用户和外部伙伴同时在使用的口令有多少？回答居然超过15个。当然，他们可以把这15个口令全记在脑子里，每次需要访问新的资源、新的应用或者新的数据库时，找到相应的管理员。管理员会随叫随到，永不休假，而且始终会有后备管理员。当用户离开公司、被解雇或伙伴转眼间变成对手后，管理员总是会被告知要迅速取消他们的访问权限。在这种理想情况下，我们知道，CIO们总是会因为得到了用户反映的能非常容易地访问数据的夸奖而开心不已。

　　解决这些问题的一个方法是身份管理。身份管理是指对用户配置、口令和访问控制的管理。访问权限通常存放在不同的位置，不同的应用和资源有着不同的访问控制列表。身份管理必须控制分布在不同位置上的数据、人员和资源的使用情况。过去，身份管理功能由许多不同的系统完成，比如，某一个程序处理用户的配置，另一个程序管理口令，轻型目录访问协议（LDAP）可保存验证信息，而每个应用程序（或管理员）则维持不同的用户访问控制列表。那时，维护、同步及更新这些不同功能是一件费力又费钱的事。

　　为此，有人开发了结合身份管理等多项功能的验证/授权（AA）Web服务，向整个企业推行联合的单次登录方案，向加强身份管理这一目标迈出了第一步。这种AA Web服务是一种系列的多级服务，可以让用户登录一次，然后就可以调用Web服务、访问很多应用系统和数据资源。这种方法有两大好处：首先，它有助于简化身份管理，因为它把对访问控制的管理从本地的多个应用系统转移到了管理中心，如LDAP。其次，它提供了让Web服务可以访问数据的一般的方法。

　　集中是关键

　　使用LDAP作为管理中心的办法可采用Jericho Systems公司提供的规则集。这家软件公司开发的EnterSpace产品将SAML服务和规则引擎作为安全包的一个部分。之所以选择Jericho Systems，是因为这家公司提供的产品物美价廉，而且愿意迁就各种限制。利用EnterSpace，你可以结合使用SAML、规则集以及定制的规则，把身份管理的所有部分与作为管理中心的LDAP联系起来。

　　集中及联系配置、口令管理和访问控制让生活更简单。把身份管理流程与作为参考点和管理中心的LDAP联系起来是很自然的事。不过，LDAP通常用于验证，而不是用于授权。SAML便于把LDAP验证和访问授权联系起来。