当员上流动越来越频繁的时候，作为公司的主管，您是不是有过这样的经历公司的一个员工离开半年之后，你某天发现他仍然还能通过原来的账户访问公司有关的信息和资源，原来的e-mail信箱也可以照样使用?这让你百思不得其解。事实上，这名员工离开公司后，人事部门虽然已经将他除了名，但在IT系统里面相应的多个用户授权却没有被及时删掉。
　　其实这并不是企业面临的个别现象。据统计，每个员工在公司里注册的用户最多达17个之多，如e-mail账号、登录内部网络账号、访问企业特定应用的账号等。当员工数量越来越多时，管理员是不可能对每一个离开公司的员工的系统账号进行彻底删除的。只要留下一个没有删除的账号，就会给系统留下安全隐患。
　　如果这样的员工流动到公司竞争那里，“天哪，后果真的不堪设想!”您是不是会为此惊出一身冷汗?难道要手工去搜索这个即将离职的员工都在哪些领域留下了使用的痕迹?是不是太繁琐，而且低效了?
　　
　　基于角色的管理模式
　　
　　有没有更好的解决之道呢?CA公司eTrust资深产品经理白培莹一语道破天机：“身份识别管理解决方案，是一种使用简单而且高效的解决办法。”
　　在他看来，一套设计合理的身份识别管理解决方案可以管理企业身份识别的各个环节，自员工工作、合作伙伴签约客户访问系统开始，就追踪和管理所有关系。而随着身份的变更，身份识别管理可以自动实现所要求的系统访问变更，并且启动所有的工作流程和批准过程。
　　身份识别管理是一种基于角色 (ROLE)的用户管理。它将是国际信息安全技术的一个发展趋势，利用身份识别管理技术，管理员无须知道某一员工叫什么名字，而是根据员工在公司的角色和身份来定义。比如做市场的员工，就只能拥有市场部员工的权限；做销售的，就只能访问销售人员才能看到的内容。一旦员工的角色发生变化，管理人员只需要调整员工的角色，对该员工的授权就可以相应地发生变化，而无须一个系统、一个模块地去调整了。因此，基于角色的管理使用起来非常方便。
　　
　　一站式管理构想
　　
　　为了让这种管理更加简单有效，目前比较前沿的身份识别管理方面还集成了许多包含有用户独一无二信息的工具，比如生物安全识别技术(如虹膜、指纹)、PKI(公钥基础设施)、单点登录等。用户只要输入自己的识别信息，其他系统的身份识别都可以通过后台来完成，这就方便了管理员的管理。
　　在这方面，有着丰富技术经验的 CA公司在业界第一个提出了身份识别生命周期管理的概念。对于一个内部用户而言，身份识别的生命周期是指从员工加入公司开始，直到这名员工离开公司的这段时间。
　　白培莹进一步举例说，一名员工从进入公司开始，最先接触的系统可能是人事系统(HR)，然后他会获得门卡、办公设备等工具，然后他还会获得网络的授权，通过授权访问公司的资源。这些不同的应用系统可能来自于不同的厂商，现在通过CA的身份识别系统，可以把它们都集成起来。这名员工一旦添加到HR系统之后，系统就会自动地生成各种口令和授权，基于WEB的授权也可以在这个流程中一次性完成，而且还会把这名员工在公司里所做的任何访问都记录下来。
　　当这个人离开的时候，企业只要把他从HR系统里删除，身份识别管理系统就会自动地到所有的后台系统中把与这个人有关的授权都删掉，这就避免了漏删、错删事件的发生。这是一个非常自动化的过程。