为什么要用IAM

　　从传统意义上来看，机构在IAM 实践上进行投资的目的是为了提高运营效率，并满足法规、隐私和数据保护等方面的需求：

　　提高运营效率

　　架构良好的IAM 技术和流程可以使诸如用户入职等的重复性工作实现自动化，从而提高效率(例如，自助重置用户请求口令，无须系统管理员使用帮助台派单系统介入)。

　　合规性管理

　　为了保护系统、应用程序和信息不受内部和外部的威胁(如心怀不满的员工删除敏感数据)，以及符合各种法规、隐私和数据保护的需求，机构会实施“IT 通用和应用程序级控制”框架，而这个框架来自于行业标准框架，如ISO 27002 和信息技术基础架构库(ITIL )。IAM 程序和实践可以帮助机构实现访问控制和运行安全方面的目标(例如，合规性要求的执行情况，如“职责分离”及工作人员履行职责的最小权限分配)。审计员通常将内部控制映射为IT 控制，以支持合规性管理过程，如支付卡行业(PCI )数据安全标准(DSS )以及2003 年的萨班斯法案(SOX )。

　　除了提高运行效率和合规性管理效率，IAM 可以实现新的IT 交付和部署模式(如云计算服务)。例如，身份联合，作为IAM 的关键组成部分，实现跨信任边界的身份信息连接和携带。因此，IAM 使企业和云计算服务提供商通过Web 单点登录及联合的用户开通，在安全信任域间建立通道。

　　一些需要云计算服务提供商提供IAM 支持的云计算用例包括：

　　l 机构的员工及相关承包商使用身份联合来访问SaaS 服务(例如，销售和支持人员使用企业身份和凭证访问Salesforce.com )。

　　l IT 管理员访问云计算服务提供商控制台，为使用企业身份的用户提供资源和访问能力(例如，Newco.com 的IT 管理员在亚马逊弹性计算云中提供虚拟机及VM ，并在其中配置了虚拟机操作(如开始、停止、挂起和删除等)的身份、权利和证书)。

　　l 开发人员在PaaS 平台为其合作伙伴用户创建账户(例如，Newco.com 开发人员在Force.com 中为签约的Partnerco.com 员工提供账户，而后者执行Newco.com 的业务流程)。

　　l 终端用户使用访问策略管理功能在域内及域外访问云计算中的存储服务(如亚马逊简单储存服务)并与用户分享文件和对象。

　　l 云计算服务提供商内的应用程序(如亚马逊弹性计算云)通过其他云计算服务(如Mosso )访问存储。

　　由于IAM 如SSO 允许应用程序具体化认证功能，这使得企业可以快速采用*aaS 服务(Salesforce.com 是一个例子)以减少与服务提供商进行业务集成的时间。IAM 的功能也同样可以帮助企业将某些流程或服务外包给合作伙伴，并减少对企业隐私和安全的影响，例如，履行订单的商业合作伙伴的员工，可以使用身份联合来访问存储在商业应用中的实时信息，并管理产品实现过程。简言之，IAM 策略、实践和架构的延伸可以使机构延伸云计算中用户访问管理实践和过程。因此，实施IAM 的机构可以快速采用云计算服务，并维护其安全控制的效率和效果。