【TechTarget中国原创】在90年代末，安全从业人员认为，把分散的操作系统和网络目录集成为一个“企业”目录就可以解决访问控制问题。我们后来发现，虽然使用meta目录进行身份识别和访问控制会使数据面临风险，但是，它们在获得遵守法规所需要的详细控制服务目录方面是很有用的。

　　Meta目录汇总来自多个数据源的信息，或者与逻辑和过滤器一起把信息从一个目录存储点转移到另一个存储点，同时还可以改变信息传送的方式。使用汇总的目录(meta目录)进行身份识别和访问控制是有风险的。如果这个目录环境被黑客攻破，这个单一的和统一的目录就是黑客的一个虚拟的金矿。这种落后的(从安全和遵守法规的方面看)目录模式还应该把你的整个访问控制环境当作一个单个的、定义广泛的(也就是对所有用户开放的)的安全区。

　　然而，Meta目录在获得遵守法规(如SOX法)所需要的详细控制服务目录方面是很有用的。为了遵守外部法规的审计规定，有必要超越职务的范围把最终用户隔离开来，并且认定最终用户的数据输入和申报的财务报告的责任。Meta目录最适合充当每个具体用户的信息发送器和翻译器。采用通过meta目录提供的身份和角色信息可以实现详细的控制，然后与身份识别管理和配置工具一起使用组成一个服务目录，并且在一个合适的目录计划中实施详细的访问控制。

　　要根据人名识别和控制谁可以访问或者谁可以修改一个具体数据字段中的数据，可以采用具体人口识别和接入服务目录。人口在这里的定义是指一群有同样身份和访问控制要求的用户。例如，这些用户在同一个目录里进行在线采购，访问同一个门户网站，他们者甚至在同一个网络中。这些用户像你的财务部门内部的用户那样是重复出现的用户，因此是不需要的。这里采用的原则是隔离。你隔离的最终用户群越多，你控制他们访问、使用和他们的在线经历的能力就越强。同时，你还将挫败潜在的黑客。

　　同样，当安全政策的制定和和执行要求实施访问控制的时候，不适当的和无人看管的接入机会就减少了。把这个做法增加到职责分离的财会原则中，人们就可以描绘出设计和实施适当的身份识别和访问控制目录框架的要求。

　　对于遵守SOX法规来说，第一个重点是创建公司财务报告中的信息的那些最终用户。例如，对于一个大型的espresso咖啡连锁企业来说，那些最终用户就是商店中的咖啡吧员、商店经理、地区工作人员、公司办公室财务官员、审计员和负责财务的副总裁等各种职位的雇员。把这些最终用户隔离开来对于那些甚至让门卫和审计员都在一个接入目录中的公司来说是一个巨大的进步。这里要考虑的问题是这是否足以把其他的雇员隔离开。或者是否需要把与财务报告有关的用户群按照工作的职责进一步细分?请记住，把应用程序和具体数据的访问权限分开可以在LDAP目录计划中进行控制。这个答案仍是肯定的。在一个大型的连锁点公司，商店级的人员不能与他的工作人员在同一个接入服务目录中。对于任何地区性和总公司财务应用程序，他们也不应该能够看到、访问，也不能拥有“只读权限”以外的任何权利。他们只能看复制的“仅供报告使用”的数据。这样可以减少内部破坏的机会。

　　采用正确的访问控制模式是不容易的。它需要很多细致的工作，要求IT部门采用适当的控制框架，而且其结果要为办公人员提供更多的方便。然而，有一些身份管理和身份识别配置软件工具能够利用meta目录功能在你的理想的框架中做一些事情，并且利用其优势对访问在线资源保持适当的控制。