企业角色管理是有效地管理用户访问权限和执行如职责分工的准入政策的关键。角色帮助企业集团对不同的访问权限（如访问和审批财务账目申请）分组，这叫做企业角色。这些企业的角色映射到工作职能，只允许不违反职责分工的访问权利。例如，一个金融办事员不能拥有彻底的访问权限，诸如允许那个角色的用户获取金融申请的应收账款和应付账款信息。

　　有效的角色管理必需的进程和工具包括角色挖掘和设计（基于现有的访问权利和现有的授权访问数据，自动发现和管理角色） ，角色重新认证（典型的过程是每6个月企业角色管理员认证一个角色应该有什么访问权利），和获得重新认证（这个过程一般表现为每3-6个月，确保以审计方式让所有用户访问被理解和认为是理应如此）。

　　要取得成功，组织机构应按照如下方式来实施和维护企业角色分工：

　　1 .建立一个闭环流程-如果组织希望从企业角色中获益，它需要使用一个闭环流程，以确保角色是根据目前的业务需求定期更新。 （重组后这一点尤为重要，因为重组后，业务流程可能发生了变化，角色需要反映这些变化 。） Forrester Research公司了解到，企业至少经历两次角色设计周期，然后才能为基于角色的访问控制（RBAC）建立一个坚实的基础。这个周期包括七个阶段：

• 制定或更新基于角色的访问控制的视野-基于Forrester的初步发现交流，成功的组织界定，就他们为什么广泛地执行基于角色的访问控制和他们的长期RBAC计划是什么，进行完善和广泛的交流。
• 收集需求-采访管理人员及商界领袖，了解他们的期望和对支持这一进程以获利的阐释。
• 内建应用程序和组织-组织需要接近应用程序的所有者和商业用户，并对如何获取存储，发放和撤销，和存在什么应用级的角色进行详细的面谈。
• 角色挖掘-角色挖掘（基于现有的访问权利和现有的授权访问数据，自动发现角色）是自下而上的发现组织雇员在那些应用软件中所拥有的应用权限和权益。结果被用来对角色调整提出建议。每次申请角色挖掘通常需要大约两个星期。
• 角色调整-一旦挖掘过程已确定角色建议，这些角色就需要加以调整。这一调整本质上是权衡新定义的角色将会产生的各种访问情况。
• 角色认证— 一旦角色被调整和确保不会过度授权的措施被采取，角色就必须经角色管理员认证。这通常是有关业务部门的一个成员，而不是IT安全人员。角色管理员需要持续负责，确保角色保持最新并映射到业务流程反映实际的集团访问权利和授权。
• 访问认证-当角色架构开始运行，角色管理或者用户账户的供应系统发送电子邮件通知给管理人员或者应用程序所有者，要求根据角色的职员分工批准其雇员和用户访问权利和应享权利。

　　2. 在角色设计过程中避免的易犯错误-企业角色设计不完全基于角色挖掘的结果。企业应该有基于访问的控制的审查、再利用和延长的存储信息：

• 等待人力资源库数据质量的改善-有些组织将不得不接受这样的事实，他们人力资源数据库的数据质量和数量还不够充分用来创建角色。很多时候，缺乏人力资源的记录，或没有认真记录充分的关键用户属性，如地理位置，职业代码，部门代码，报告结构，楼层位置等。有时基于角色的访问控制不能建立于角色，因为没有统一的人力资源数据库，或者是因为实际事件（特别是转换）发生很久以后人力资源数据库才更新。
• 自动将申请角色等同于一个企业角色-这些高度细分水平的权利的相关程序不能自动加入工作角色中。许多应用角色太精细或对于企业角色直接等同来说定义过于隐秘。某个复杂的AD组名称或者SAP公司收集的权利并不会映射到金融办事员角色。
• 使用大型科技术语描述角色-在我们的采访中一个信息已经非常地明确：企业角色系统的作用就是揭露出来方便商业人士的IT权限管理（创造出一种描述工具清楚地描述某一角色的员工被赋予的工作职能）。
• 仅需获知入职的办事员和管理人员信息。采访那些员工和管理人员，当他们为新雇用的员工申请权限和被解雇的员工撤销权限时提供了关于如何申请获得授权的丰富信息。

　　3. 定位于产量高回报的简单地区-几乎Forrester公司采访的所有关于角色管理的组织（包括银行，医疗保健机构，运输公司，能源和公用事业公司，高校等），当他们确定了最初实施企业RBAC的地区时，都参照了这些最佳时间：

• 员工流动率高的领域-这些工作的责任领域需要很多传统IT管理努力和构成了更高的安全危险。确保这些领域的员工迅速获得权限，但只给予最低限度的访问，然后在适当的时候迅速去配置，这样做会和高级管理人员产生共鸣。
• 相对简单和标准化职能的领域-在用户的访问越少存在分歧的环境中，就越容易定义和实施RBAC。在这些组织中，您可以预计将有成千上万的人是相同的角色。
• 新收购的组织-有时当把注意力集中在新收购的公司时，更容易带来IT整合和清理活动。在新收购的企业实施企业角色的试点项目时，对比在收购公司的遗产组织对象来说，会更容易出售给现在的高级经理。

　　确定企业角色，即使有自动挖掘，也并不容易。为了减轻负担，请按照上文中的这些最佳实践，并记住与您的业务代表进行一对一的工作，获得他们的支持，并慎重地实施一项分阶段的角色实施进程。