《孙子兵法》“胜兵先胜而后求战，败兵先战而后求胜”。意思是“能取胜的，总是先创造取胜的条件，然后才同敌人决战，失败的总是冒然开战，然后祈求侥幸取胜”。

目前，物联网技术、人工智能技术、云计算等技术崛起，为网络空间发展建设带来更多机遇，网络安全也遇到了的威胁与挑战。尤其对于企业而言，越来越多的业务应用开始依托云端构建，使得云端平台储存的数据资源变得日益庞大，价值也不断攀升。一旦储存的数据泄露或遭到攻击，将对一家甚至多家企业造成难以估量的损失。

本文主要就是从IAM选型角度来分析。

考察方式：参加过IAM厂家的活动或者看过两次讲解，对IAM产品了解不够全面，仅仅认为是简单的单点登录，或者认为仅仅是多了一种多因素认证。

此时决定：凶多吉少，项目失败率较高，或者做的程度很浅，达不到真实管理需求，前期没有充分准备，项目付出成本较高。

正确方式：通过初步了解，认识到身份安全的重要性，了解上IAM系统的价值所在，结合企业自身的情况，初步判断自身的需求。通过此步一般能了解到如下信息：

1、国内外由于身份管理不到位导致的企业敏感数据日益增多；

2、国内外均出具相应的法律法规来保障身份安全，如欧盟的GDPR和国内的等保；

3、企业缺乏统一身份认证以及更高级别的安全认证；

4、建立统一的身份管理，实现账号的全生命周期管理服务企业内部标准规范；

5、建立员工自助服务平台，减少运维工作量；

6、实现员工行为审计，服务内部审计要求；

7、实现单点登录，方便员工操作及提升安全；

8、实现一点清权等操作，降低安全风险。

基于以上的了解，还不够全面，仅仅知道了需要这样的产品，但是究竟是选择什么样的合作伙伴来实施这个项目，还需要进一步选型。

考察方式：除了看厂家的产品演示，还参观过厂家的案例客户，多方面横评。对IAM产品有一定了解，对各厂家客户情况了解。

此时决定：胜负各半，只看别人的效果，很难和自身企业结合起来。甚至软件公司与案例客户结合起来，夸大产品功能和效果。

正确方式：通过观察各个厂家的演示及案例参考，对各个厂家有了进一步的了解，应通过此步了解如下信息：

1、厂商系统架构是否服务公司未来架构要求，例如：微服务架构等；

2、随着互联网发展，必定有API暴露于外网，知否具备API认证及API网关；

3、内部存在着CS系统，是否支持CS系统认证；

4、内部有些系统只支持某种浏览器，系统是否支持夸浏览器的系统访问；

5、系统的安全性如何，是否通过了一些的安全渗透攻击；

6、产品厂商客户数量如何，成功案例数是否较多；

7、产品厂商实施能力如何，是否具备良好的售后服务能力；

通过以上信息的了解，其实已经对IAM产品有了很清晰的认识，也对各个厂商有了清楚的认知，但还远远不够，因为IAM产品是内部所有系统源头，不能出现任何问题，此时做出决定只能说是胜负各半，所以我们要进行进一步的了解。

考察方式：除了完成以上两个阶段，还要进行POC，找出几个经典场景，例如：智能风险因子、跨浏览器登录、微服务架构部署、API安全认证、CS系统集成等，让软件公司现场开发，自己从侧面评估工作量和实现技术手段，以及顾问的专业水平。

此时决定：已经进行了很专业、很全面的了解，成功把握较大，不会被表象迷惑，失败率较低。

正确方式：通过厂家的介绍、POC，亲自试用，通过系统的集成，服务框架的部署，并亲自体验产品的功能和稳定性，评估对接的工作量和难度。通过此步了解到的信息：

1、系统稳定性；

2、功能易用性；

3、厂商的实现方式；

4、工作量的大小；

5、集成的难易程度；

6、之前沟通过程中承诺的功能是否属实；

7、厂商的顾问的专业水平。

通过以上步骤的选型，并向高层说明实施IAM产品重要性，并得到的支持。此时决定，在充分评估供应商产品、功能以及售后服务能力低情况下，项目失败的风险相对就比较低了。