这些好处是诱人的，但是我们必须面对这些事实：使用一个统一的身份识别器需要许多繁重的工作，可能需要几年的时间。

      这个问题包含如下几个方面：

　　·智能卡个性化和发布

　　·升级物理访问控制系统

　　·应急访问程序

　　智能卡个性化和发布

　　让智能卡适合一个用户使用的过程称作个性化。这个过程包括：打印用户的照片、安装小程序和PKI(X.509)证书，然后把智能卡与用户和物理访问系统绑定在一起。

　　在大多数情况下，智能卡管理系统是一种部署需求，评估一个智能卡管理系统时的重要考虑包括：

　　·平台支持。这对于厂商物理访问系统、智能卡和打印机产品是必要的。

　　·远程小程序发布能力。Java卡程序提供大多数智能卡功能。智能卡管理系统能够在智能卡已经发布给用户之后提供新的小程序。

　　·密钥证书和恢复功能。一旦以前的智能卡被销毁或者丢失，这种功能可以在新的智能卡上创建用户的PKI证书。

　　·配置系统集成。集成能够提供身份识别信息和一致的访问权限的单一的授权来源。

　　·行政委托和管理范围。这些组件能够保证机构各个层次的智能卡管理的安全。

　　很容易看到为什么把智能卡发放给一个机构的员工是一项繁重的工作。这个过程可能需要几个月，甚至几年的时间。许多细节需要认真地进行规划。智能卡发放给很少访问机构园区的“虚拟”员工需要特别注意。

　　升级物理访问接入控制系统

　　很难说什么行动会使机构更担心：发放智能卡还是升级整个机构园区的物理访问系统。机构在其整个环境中也许会有广泛的物理访问技术，从钥匙、磁条、生物统计学身份识别到非接触式工具。作为这个规划过程的一部分，一个机构应该详细登记整个园区的物理访问系统目录，确定哪些升级对于实施通用身份识别器是必要的。

　　虽然变化性很大，但是，现代物理访问系统的典型组件包括读卡器、控制器、安全服务器(主机)、当然还有卡。即使有这些组件，机构也许还需要对这些组件进行升级。在逐步向通用身份识别器过渡的过程中，也许需要多种技术读卡器或者控制器来实现各种类型的卡的应用。控制器也许还需要升级以便在以太网上工作，而不是使用串行协议(如RS-232或者RS-485)。这样的改进能够更好地支持更现代的架构和支持一个机构的物理-逻辑融合的目标。

　　应急访问程序

　　这是一个生活的现实：用户会把自己的智能卡忘在家里。没有智能卡，他们就不能访问应用程序、工作站、办公楼，也许还不能使用停车场和洗澡间。拥有适当的应急访问措施，这种错误应该仅仅是一个临时的错误。机构的难题是实施应急访问程序，及时地向健忘的、没有智能卡的用户提供访问资源的能力。这个访问流程必须以节省成本的方式实现。实施应急访问程序的窍门包括：

　　·在办公楼入口处设置自助服务售货亭。员工能够在那里进行身份识别和获得临时的智能卡。

　　·IT软件管理工具临时允许用户使用口令进行身份识别而不用智能卡。这样的例子包括：Windows工作站政策管理工具和网络接入管理产品(如CA公司的SiteMinder)。

　　·配置PIN(个人识别码)码输入器的物理访问读卡器能够允许用户临时使用身份识别码进行身份识别。

　　即使面临上面介绍的许多细节，计划实施一个统一身份识别器似乎比实际情况更困难。如果机构确定一些可实现的里程碑，对扩张的诱惑保持警惕并且重新确定这个项目的目标，使用这种统一身份识别器还是可能的。