内容来源：《Gartner：IAM 负责人实施 IGA 指南》

翻译：Authing 市场部

 

最近，随着「元宇宙」概念的爆发，相信在未来，我们会看到越来越多的在线化场景。在这些场景中，「身份」至关重要。

下面，让我们来看一下数字身份的发展脉络。

在「昨天」，身份是软件的一部分，但是不同账号之间相互割裂，比如软件服务商在卖一个软件时，会内置身份系统，但是不同身份系统之间是隔离的，无法互通。

在「今天」，互联网平台已经出现一些身份提供商和统一登录解决方案。我们在不同平台，都可以用微信登录。但是这中间存在一个问题，身份和业务耦合使身份服务商使用用户数据进行大数据“杀熟”。

所以，市场上急需一个中立的身份服务平台来支持越来越复杂、多样的数字身份场景，这正是 Authing 的目标和价值所在。

在构建数字身份平台的过程中，产生了 IAM （Identity and Access Management ），即“身份识别与访问管理”。

 

在实现身份管理的基础上，一些安全服务商正在向 IAM 系统整合更多能力，身份治理和管理（Identity Governance and Administration，IGA）应运而生。IGA 不仅可以证明身份治理的合规性，也支持持续为权限管理安全保驾护航，以确保数字身份没有错误地配置访问权限，保证访问速度与准确性。

在这篇文章中，Gartner 站在企业 IAM 实施负责人的视角，详解 IGA 部署过程中应重点关注哪些问题，可为商业线同学提供一个参考视角。

Highlight

1、一个组织良好的 IAM 项目必须考虑 IGA 如何与相邻项目相适应。而选择 IGA 工具和部署 IGA 流程应该在 IAM 远景、路线图、架构和业务案例定义之后进行。

2、IGA 应该使用“广泛而浅显”的部署方法，即为所有用户跨多个目标系统推出“最小可行”的能力，然后逐步增加能力的深度。

3、在使用 IGA 时优先考虑身份分析，并通过使用扩展工具进行不同类型的身份分析。不同类型的分析技术相互关联、相互补充，发挥更大价值。

4、IAM 负责人可参考 Gartner 的三维企业策略和角色管理框架，关注三个控制层面：业务角色、配置角色、技术角色。

5、成功的企业角色管理策略需要明确一个策略管理框架，最佳实践是用身份生命周期过程建立身份边界。

6、自动化实现是 IGA 部署项目中最不可预测、成本最高的部分，寻求间接实现 IGA 的策略是必要的，ITSM 是处理间接实现访问请求的最简单方法。

7、实施 IGA 的负责人应关注利益相关方的诉求，并定义 kpi 驱动的 IGA 指标。

截取报告核心部分译文

1、一个组织良好的 IAM 项目必须考虑 IGA 如何与相邻项目相适应。选择 IGA 工具和部署 IGA 流程应该在 IAM 远景、路线图、架构和业务案例定义之后进行。

应该做到：

• 提供所有 IAM 服务的结构。
• 协调需要身份相关服务的技术项目。
• 确保与业务需求保持一致。
• 通过治理和管理，监督正在进行的开发和运营活动。

2、Gartner 的身份治理和管理部署计划模型使价值最大化，风险最小化。

安全与风险管理负责人通常对 IGA 部署缺乏耐心，因为它带来的商业利益太少、速度太慢。负责 IAM 的人应该遵循一种系统的、灵活的、基于风险的方法，在 IGA 部署计划期间提供增量收益。

IGA 应该使用“广泛而浅显”的方法部署，而不是“狭隘而深入”的方法——即为所有用户跨多个目标系统推出“最小可行”的能力，然后逐步增加能力的深度。从用户群体和集成目标的角度来看，更好的做法是更浅、更广地覆盖用户群体，而不是深入控制少数用户群体或少数应用。最好从价值较高的治理功能开始，比如用于标记休眠和未使用帐户的分析，然后在降低数据质量问题和不必要特权的更大风险之后，在程序中实现流程自动化。

3、将 IGA 部署划分为两个不同的轨道：构建和运行。

• IGA 构建：清理和权利管理->身份和账户生命周期->工作流和认证->政策和角色框架
• IGA 运行（申请入职）：无监视的->监控->管理和治理->配置/实现

对应用程序采取分层迭代的立场，而不是“全有或全无”的方法。很常见的情况是，IAM 负责人优先选择适合入职的应用程序，然后对它们应用所有集成层（管理、治理和自动化配置），然后再转向其他候选应用程序。一种更有效的方法是使用成本效益分析，并根据请求量定义哪些应用程序应该一直采用自动化配置。

4、在使用 IGA 时优先考虑身份分析，并通过使用扩展工具进行不同类型的身份分析

在 IGA 部署过程中，获得更快 ROI 的最佳方法是，通过优先进行身份分析，在流程的早期重点关注风险缓解策略。

IGA 是一个复杂的 IAM 倡议，经常无法实现其功能、预算或时间目标。负责 IAM 的安全和风险管理负责人应该使用身份分析来降低身份风险，并深入了解部署 IGA 用例的情况。

传统的 IGA 方法并不能解决所有的身份治理和管理挑战。负责 IAM 的安全和风险管理负责人应该评估邻近和新生市场，以使用先进的分析工具来扩展 IGA，以简化身份治理负担。

在过去的五年中，身份分析在 IGA 中获得了越来越多的关注，它提供了支持决策的报告，例如，传统上用于角色挖掘、或计算可能用于解释发生了什么及其原因的风险评分。大多数 IGA 工具只提供了描述性和诊断类型的分析。

5、不同类型的分析技术

• 数据->分析->人工输入->决定->行动
• 描述：发生了什么事？
• 诊断：为什么会这样？
• 预测：会发生什么？
• 我应该做什么：决策支持、决定自动化

传统的 IGA 工具只能报告历史（通常是静态）数据，以计算风险评分。很少有 IGA 供应商开始提供预测功能（例如，在给定对等组相似性的情况下，预测特定授权的用户需求的建议）。

一些专业分析工具中实现了规范性分析，临近的新兴市场也开始使用，如云基础设施授权管理（CIEM）。CIEM 通过简化在多云 IaaS 场景中访问非常细粒度的授权的手动管理任务来扩展 IGA。

如何定义一个成功的企业策略和角色管理框架：一个成功的 IGA 计划需要一个正式的框架来实施和管理身份策略和企业角色。身份策略和企业角色是实现访问请求、SOD 和实现目标的重要组成部分。

传统的企业策略和角色管理方法（例如基于角色的访问控制【RBAC】）在动态环境中对每个用户具有数千个细粒度和短暂的授权，但由于遵从性和审计的原因，以及提供了减少 SOD 风险的方法，在例如 IaaS 环境中，像 CIEM 这样基于异常的、说明性的、基于分析的工具是对传统企业角色管理方法的很好的补充。

6、推荐使用 Gartner 的三维企业策略和角色管理框架，关注三个控制层面（业务角色、配置角色、技术角色）

使用 IGA 工具实施企业策略和角色管理的直观方法未能产生大多数组织所期望的结果。安全和风险管理负责人应该采用 Gartner 的三维企业策略和角色管理框架来有效地管理访问，在企业范围内使用角色。

当前大多数 IGA 工具部署由于依赖于手工操作模型的实现而存在控制缺陷。IAM 负责人应该关注三个控制层面，为其 IGA 部署建立一个可验证的模型。

在 IGA 部署项目的早期阶段，应重点关注大量系统和应用程序的授权管理，以提供“谁可以访问什么”的清晰图景。另外，应提高参与间接账户履行过程的实施效率，作为构建访问治理框架其他部分的过渡步骤。

7、成功的企业角色管理策略需要明确一个策略管理框架，最佳实践是用身份生命周期过程建立身份边界。

身份生命周期控制的第一个原则是，生命周期应该是一个闭环，例如雇佣关系中的从雇佣到分离，还包括与组织进行交互的所有身份关系（雇员、承包商、业务伙伴或客户）。身份边界控制的第二个原则是，一个人应该只由 IGA 工具的身份库中的一个身份表示。第三项原则是，应监测所有身份生命周期的完整性。

许多使用 IGA 工具的组织由于设计不良的身份生命周期过程在关键控制方面存在缺陷。IAM 负责人应该采用这些身份生命周期最佳实践，其中包括关键指标，为其 IGA 部署恰当地建立身份边界。

8、自动化实现是 IGA 部署项目中最不可预测、成本最高的部分，寻求间接实现 IGA 的策略是必要的，ITSM 是处理间接实现访问请求的最简单方法。

端到端自动化成本高昂，且充满集成挑战。在 IGA 部署的早期，过分强调自动化配置的 IAM 负责人会冒着将大部分项目风险提前加载的风险。

在 IAM 负责人中有一个常见的误解，即为了控制帐户存储库，IGA 平台需要提供端到端连接器驱动的自动化。他们的信念是，只有通过 IGA 系统分配访问权限，并在没有人为干预的情况下自动完成，控制需求才能得到满足。这导致许多组织将重点放在 IGA 产品部署的早期自动配置上。

自动化实现一开始看起来很简单，但实际上它是 IGA 部署项目中最不可预测、成本最高的部分。这一问题在 IGA 部署项目的早期阶段最为严重，在这一阶段进程尚未得到协调或精简。

经典的访问请求流程流在下图中进行了分解，显示了访问请求从生成到实现的生命周期。

这个请求流程没有必要同时将所有元素实现自动化。每个步骤都为过程增加了价值，同时需要花费时间和不同程度的情报（包括默认的和文档化的）。

参与者：

（1）用户或管理人员手工提交的请求经常是模糊的。

（2）第二步涉及安全分析师处理请求并使其可操作。这通常涉及到研究“考古学”，以检查该请求实际上需要哪些权利。在考古阶段，还需要找出谁是审批人。

（3）一旦存在可操作的请求，安全分析师必须确定请求是否符合策略，并获得和记录批准。然而，糟糕的文档和大量的请求使得这项工作非常容易出错。

（4）从人类参与的角度来看，最后一步是最简单的。实现不像步骤 2 和步骤 3 那样需要那么多的经验或脑力，所以可以让低成本资源（如服务台技术人员）用文档化的程序来执行这项任务。

为了避免这些类型的问题在早期阶段破坏 IGA 项目，有必要从端到端自动化的全有或全无的完美主义中退一步，认识到最后一英里的集成通常是提高行政效率和控制 IGA 帐户管理有效性的最不重要的因素。当您有了间接实现的可靠策略时，最后一英里集成的方法将得到极大的改进。IT 服务管理（ITSM）是处理间接实现访问请求的最简单方法，但是访问管理和机器人过程自动化（RPA）解决方案也是应该考虑的选项，如IGA、RPA和管理软件机器人身份中所描述的那样。

间接实现 IGA 的可靠策略：

当一个 ITSM 工具不可用时，或者集成 ITSM 不可行时，可以使用 IGA 产品用工作流来模拟 ITSM 流程。

平均而言，组织可以实际地期望 15% 到 25% 的目标管理系统通过连接器自动直接供应。75% 到 85% 的系统最终将间接实现。组织应该以自动化处理 IGA 工具生成的超过 50% 的完成交易为目标，通过对需要自动化的系统进行优先排序。

IGA 通常是 IAM 项目中风险最高的项目。负责 IAM 的负责人应该采用治理主导的部署方法，以便在最小化整体项目风险的同时快速交付业务价值。

建议，依靠间接 IGA 工具——通过生成服务实现策划的 ITSM 的工具，例如，对于大多数目标系统实现，特别是在早期阶段的部署目标系统，一个开箱即用的适配器是不可用的。

9、负责人应关注利益相关方的诉求，并定义 kpi 驱动的 IGA 指标

IGA 经常需要更快速、更灵活的交付方法，以应对不断变化的业务条件，IGA 服务应优先采用 DevOps 和敏捷方法。

在规划部署 IGA 产品时，IAM 负责人应与业务和技术利益相关者（包括产品专家）密切合作，以评估可以使用敏捷框架部署的离散功能和潜在集成。

IGA 的主要利益相关者应该包括人力资本管理（HCM）、安全和技术、基础设施、应用程序所有者，甚至销售或营销团队。最基本的是，涉众要在一个单一的愿景中保持一致，并且为测量 IGA 过程采用的有效性定义了适当的 kpi。

性能和覆盖指标通常更容易产生，但对 IGA 涉众（除了 IAM 负责人）的价值会更低。有效性度量标准通常是最难产生的，但是它们也可以是特定涉众最重要的度量标准之一。这些度量标准通常是通过说明不同组件值的比较或比率得到的。度量标准将 IAM 计划的价值传达给利益相关者，并使 IAM 服务的有效评估和管理成为可能。IAM 负责人必须清晰地表达和维护显示其 IAM 项目服务覆盖率、性能和有效性的度量标准。

IGA 有效 kpi 包括：

准入认证撤销率（百分比、趋势和演变）

从授权账户中移除的孤儿账户数量

基于低风险分析分数的自动审批数量

 

点击此处了解更多行业身份管理

「解决方案」以及「最佳实践案例」