Моя безопасность

Не секрет, что есть три вещи, которые разработчики в большинстве случаев не очень любят: тестирование, внешние API доступа/управления и безопасность.
Внутрикорпоративные разработчики - в особенности.
"Зачем все это если мы под рукой", "когда надо будет - допишем то, что надо и проинтегрируем" и т.п.
Однако, когда речь идет об интеграции, тут второй и, особенно, третий вопрос становятся головной болью не только разработчиков.
А ведь и API и безопасность - то, что необходимо закладывать на уровне архитектуры.
Но от чего отталкиваться? Если с API уже повелось публиковать Web-службы, то с безопасностью вопросов больше.
Надеюсь, что следующий материал InformationWeek в какой-то степени даст представление на какие технологии стоит посмотреть в контексте SOA:SOA Security: One Treacherous Journey+ небольшое дополнение, касающееся стандартов identity management & user provisioning (а как же еще обеспечить первичное разграничение доступа к разным сервисам?):Identity Management End-to-End.
The identity management standards jungle*.