一是根據(jù)你所知道的信息來(lái)證明身份（what you know），知道的內(nèi)容可以是一個(gè)密碼，個(gè)人身份號(hào)碼，自己的乳名，或一把鎖的密碼等。通過(guò)知道的內(nèi)容來(lái)進(jìn)行認(rèn)證是最經(jīng)濟(jì)的，但這種方法的不利方面，就是其他人也能很容易獲得這個(gè)信息，然后對(duì)系統(tǒng)進(jìn)行非授權(quán)的訪問；

二是根據(jù)你所擁有的物品來(lái)證明身份(what you have) 。假設(shè)某一物品只有某人才有，比如印章等，通過(guò)出示該物品也可以確認(rèn)個(gè)人的身份，但證明容易丟失或被盜，從而導(dǎo)致非授權(quán)訪問；

三是直接根據(jù)你獨(dú)一無(wú)二的身體特征來(lái)證明身份(who you are)，比如指紋、面貌，視網(wǎng)膜，語(yǔ)音等。

這三種方式僅通過(guò)一個(gè)條件來(lái)驗(yàn)證一個(gè)人的身份，稱之為單因子認(rèn)證。由于只使用一種條件判斷用戶的身份，單因子認(rèn)證很容易被仿冒。而雙因子認(rèn)證或加強(qiáng)認(rèn)證是通過(guò)組合兩種或多種不同條件（如通過(guò)密碼和芯片組合）來(lái)證明一個(gè)人的身份，安全性有了明顯提高。如你不僅需要知道什么，同時(shí)還需要證明你是誰(shuí)，或你擁有什么等。因此在高級(jí)別的信息體系中，一般都采用雙因子或多因子認(rèn)證。

集成身份管理

身份認(rèn)證是身份管理的基礎(chǔ)。在完成了身份認(rèn)證之后，接下來(lái)需要進(jìn)行身份管理。

在許多企業(yè)里，某個(gè)員工離開原公司后，仍然還能通過(guò)原來(lái)的賬戶訪問企業(yè)內(nèi)部信息和資源，原來(lái)的信箱仍然可以使用。為什么會(huì)出現(xiàn)這種現(xiàn)象呢？原因在于，當(dāng)員工離開公司后，盡管人事部門將其除名，但在IT系統(tǒng)中相應(yīng)的多個(gè)用戶授權(quán)卻沒有被及時(shí)刪除。

據(jù)統(tǒng)計(jì)，每個(gè)員工在公司里注冊(cè)的用戶賬號(hào)最多可以達(dá)到17個(gè)之多，如E-mail賬號(hào)、登錄內(nèi)部網(wǎng)絡(luò)賬號(hào)、訪問企業(yè)特定應(yīng)用的賬號(hào)等。當(dāng)員工數(shù)量越來(lái)越多時(shí)，管理員不可能對(duì)每一個(gè)離職員工的系統(tǒng)賬號(hào)進(jìn)行徹底刪除。只要存在一個(gè)沒有被刪除的賬號(hào)，就會(huì)給系統(tǒng)留下后門。身份管理系統(tǒng)能夠解決以上問題。

自員工工作加入公司、合作伙伴簽約后，身份管理系統(tǒng)就開始追蹤和管理所有的關(guān)系。隨著身份的變更，身份識(shí)別管理可以自動(dòng)實(shí)現(xiàn)所要求的訪問變更，并且啟動(dòng)所有的工作流程和批準(zhǔn)過(guò)程。

對(duì)于一個(gè)內(nèi)部用戶而言，身份識(shí)別管理的時(shí)間跨度從員工加入公司開始直到這名員工離開公司。進(jìn)入公司后，新員工最先接觸的系統(tǒng)是人力資源系統(tǒng)，然后會(huì)獲得門卡、辦公設(shè)備等工具，然后還會(huì)獲得網(wǎng)絡(luò)的授權(quán)，通過(guò)授權(quán)訪問公司的資源。這些不同的應(yīng)用系統(tǒng)可能來(lái)自于不同的廠商，而身份管理系統(tǒng)可以把這些資源都集中起來(lái)。

新員工的資料一旦添加到人力資源管理系統(tǒng)之后，系統(tǒng)就會(huì)自動(dòng)生成各種口令和授權(quán)，基于Web的授權(quán)也可以在這個(gè)流程中一次性完成，而且還會(huì)把這名員工在公司里所做的任何訪問都記錄下來(lái)。當(dāng)員工離開時(shí)，網(wǎng)管員只需將其從人力資源管理系統(tǒng)中刪除，身份識(shí)別管理系統(tǒng)就會(huì)自動(dòng)地到所有的后臺(tái)系統(tǒng)中，把與該員工相關(guān)的授權(quán)全面刪除，這是一個(gè)非常自動(dòng)化的過(guò)程，也是目前企業(yè)推崇的身份管理系統(tǒng)模型。

yajing