身份和訪問管理（IAM）長期以來一直是安全領導者職業生涯的關鍵“試煉場”，許多人在身份技術部署方面做出了事關成敗的決定。確保安全訪問和身份管理是網絡安全態勢的兩大基礎。同時，人員、應用程序和系統登錄的方式以及它們彼此集成的方式也是業務利益相關者的可見觸點。安全專家無疑像在走鋼絲，以努力尋求可用性和安全性方面的平衡。

薄弱的IAM控制和身份驗證機制使企業面臨攻擊、帳戶受損和安全可見性受限等風險，嚴重的話甚至還會擾亂業務流程。

IAM工具變化形勢

對于四處尋求IAM技術的組織來說，好消息/壞消息是，該領域已經變得更加微妙和強大，尤其是在過去五年間。這些工具使得在混合和多云環境中管理身份、處理特權帳戶、獲得對登錄模式的更大可見性，以及基于風險因素進行身份驗證變得更加容易。

德勤風險和財務咨詢的董事總經理Naresh Persaud表示：

“我們在IAM解決方案中看到了非常明顯的市場細分。無論解決方案可以通過AI簡化用戶體驗、與云服務提供商集成以改進工作負載管理，還是通過高級分析提供對IAM操作的更好洞察，如今的可用功能比以往任何時候都多，可供組織用于構建強大的計劃。”

與此同時，隨著新功能呈現爆炸式增長，IAM市場也創造了數量驚人的子市場，其功能有時是獨立產品，有時是更廣泛平臺的一部分。隨著供應商在該領域迅速融合，后者（更廣泛平臺的一部）變得越來越有可能，從而創造了子市場和功能的高度交叉。

托管服務提供商Nuspire的首席安全官（CSO）JR Cunningham解釋道：

“許多產品公司完全專注于身份治理和管理(IGA)，而其他公司則專注于特權訪問管理(PAM)，這兩者都是有效身份認證計劃的關鍵要素。身份認證可能是產品分布最廣泛的領域，業內有許多參與者都提供多因素身份驗證(MFA)技術。對于一個組織來說，定義他們當前的能力和要求以確保他們能夠選擇滿足其需求的產品至關重要。”

建立身份認證計劃

Cunningham解釋稱，構建身份認證計劃和選擇平臺需要一系列決策，如果組織能夠按照正確的順序進行決策，通常會取得最大的成功。例如，缺乏強大的基本身份認證功能（例如多因素身份認證[MFA]和單點登錄[SSO]功能）的組織將難以支撐特權訪問管理（PAM）。同樣地，缺乏這兩個組件以及定義良好的員工身份管理流程的組織，也將無法從身份治理和管理平臺（IGA）中獲得全部價值。成功的組織會“按順序”行事：身份驗證、特權訪問管理（PAM）/特權身份管理（PIM）、身份治理和管理平臺（IGA）。

在組織評估身份認證技術時，Persaud還建議考慮跨組織的應用程序組合、業務線和用戶群擴展部署的問題。他解釋稱，部署IAM平臺時面臨的最大挑戰之一就是大規模部署。雖然IAM工具在集成并連接到更多應用程序時絕對可以提供更多價值，但除非組織采用可預測、可重復的方法來擴展運營，否則很難實現這種價值。特別是，當他們使用面向服務的運營模式來擴展IAM平臺時，它將幫助應用程序所有者、利益相關者和業務線領導者在努力擴展IAM使用和實現其價值時都得到支持。

IAM工具

以下是IAM領域的一些頭部競爭者：

Avatier

憑借在IT服務管理（ITSM）和幫助臺領域的悠久歷史，Avatier主要依靠在自動化用戶配置和密碼管理方面的深厚根基來交付其IGA平臺。最近，該公司在現代化工作中投入了大量資金，將其Identity Anywhere平臺構建為可以云托管或非托管的容器化解決方案。其更新版本增加了無密碼SSO支持和跨移動、云和協作平臺（包括Slack、Teams和ServiceNow）的通用用戶體驗。它支持連接到90多個企業和5000個云應用程序和平臺，以及用于定制集成的通用低代碼/無代碼連接器。

這是一個備受分析師青睞的平臺，自稱是Forrester Wave或Gartner魔力象限等矩陣中“面向市場領導者的更實惠的解決方案”。

BeyondTrust

作為PAM利基市場的中流砥柱，BeyondTrust通過并購和內部創新，持續增強其管理特權賬戶、云授權和IT機密的能力，并增加了許多新功能。除了PAM之外，該公司的平臺還通過其Active Directory Bridge技術為遠程訪問、跨Windows和Mac以及Unix和Linux的端點權限管理提供集中管理能力。

它現在也是云基礎設施授權管理（CIEM）領域——PAM的自然分支——的參與者，通過其更新的Cloud Privilege Broker技術來管理跨多云環境的權限。據Gartner分析師稱，這是一家與合規和審計領域有著密切聯系的供應商，區別之一在于其報告和可視化能力；客戶可以通過該公司的BeyondInsight分析包進行高級分析。

CyberArk

根據Forrester Research的數據顯示，通過將PAM與身份認證即服務（IDaaS）交付相結合，CyberArk已成為收入最高的PAM供應商。2020年，它通過收購Idaptive鞏固了自己在SaaS領域的地位，并推出了員工SSO和端點MFA、客戶身份管理功能、無密碼選項和用于帳戶管理的自助服務功能。Gartner分析師指出，CyberArk某些員工用例的定價可能遠高于平均水平。它具有強大的分析能力，可以為更成熟的安全指標程序提供數據。它還提供基于風險的身份驗證（RBA），管理員可以針對高中低風險容忍度進行微調。

CyberArk還通過其Cloud Entitlements Manager平臺提供成熟的云基礎設施授權管理（CIEM）功能，包括權限暴露風險評分，該平臺適用于大規模和多云環境。在身份認證即服務（IDPaaS）方面，Forrester表示，對于那些想要“將基于風險的方法應用于IDaaS”并將其與特權身份管理功能同步的組織來說，CyberArk是個很好的選擇。不過，該分析師還警告稱，其性能方面可能存在問題，理由是最近的服務降級事件和缺乏產品可擴展性的可靠記錄。

ForgeRock

作為融合身份產品價值的典型代表，ForgeRock將員工、用戶和物聯網設備身份的訪問管理整合到一個產品集中，可以通過其身份認證即服務（IDPaaS）交付模型進行捆綁或解耦。該平臺包括強大的身份治理組件，適用于尋求身份生命周期管理等IGA功能的人。同時，它在有遠見的開發人員和DevOps人群中也特別受歡迎，不僅因為它的云優先原則，還因為它強大的REST API框架、開發人員工具、社區和API訪問控制。

Gartner分析師最近指責Forgerock的分析能力低于其他訪問管理族群的平均水平，這主要是因為迄今為止，它仍無法提供自己在2020年的路線圖中所承諾的用戶和實體行為分析（UEBA）能力。

Microsoft Azure Active Directory

據Forrester分析師稱，微軟正憑借其Microsoft Azure Active Directory產品迅速進入IAM競爭者名單，該產品擁有強大的IDaaS安裝基礎——超過300,000名付費客戶。Gartner將Azure AD在這方面的快速增長歸因于，它在2020年與Microsoft 365和Microsoft Enterprise Mobility and Security（EMS）的捆綁操作，數據顯示，此舉使該產品的安裝基數翻了一番。

它還通過內部創新迅速加快了PAM和IGA功能的發展速度，以及通過收購CloudKnox Security獲得了CIEM功能。不過，Gartner分析師指出，Azure AD的功能仍然落后于訪問管理領域的其他領導者。

Okta

盡管Okta在最近的數據泄露事件中名譽受損，但不可否認，它仍然是IAM領域的重要選擇之一。自2009年成立以來，Okta一直是一家“以云為中心”的企業——當時云部署仍然是許多企業的邊緣用例。其SaaS平臺提供了一系列捆綁或獨立的功能，可在混合和復雜的多云環境中工作，包括SSO、MFA、API訪問管理、生命周期和用戶管理，以及身份自動化和工作流編排。

它擁有市場上最強大的API和連接器生態系統之一，去年針對Auth0的收購活動也使其在客戶IAM領域的地位得以鞏固。此外，它還通過去年發布的Okta Privileged Access平臺順利進入PAM領域。

One Identity

在去年收購OneLogin之前，One Identity一直是一家PAM和IGA供應商，擁有豐富的企業友好型功能集，且深深植根于本地IAM領域。同時，OneLogin還是對價格敏感且無需大量管理或治理功能的中小型組織的輕量級、純IDaaS選項之一。

根據Forrester的看法，將OneLogin納入其中使得One Identity有機會加入IDaaS競爭行列，并將自己與不具備原生PAM或IGA功能的供應商區分開來。這與CyberArk對Idaptive的收購活動有異曲同工之妙。不過，此次結合仍處于早期階段，因此One Identity將如何整合OneLogin技術并交叉融合雙方的功能優勢還有待觀察，也不清楚合并會不會影響OneLogin產品的定價。

Ping Identity

Ping Identity通過結合Ping One（IdaaS平臺）和PingFederate（聯合SSO）跨越了SaaS和本地IAM之間的鴻溝。除了標準的員工和用戶IAM功能（如SSO、MFA和云身份功能）之外，PingOne還通過過去兩年進行的一系列收購將去中心化身份功能分層。Ping最近還開發了一個低代碼流程設計器并加強了RBA。

正如Gartner解釋的那樣，Ping不是一個完整的IAM一站式平臺，它對身份管理功能涉入不深，這也使其對小型組織或那些尋求嵌入式IGA或PAM功能的組織不太受用。

SailPoint

作為IGA市場的中堅力量，SailPoint專為具有復雜環境的分布式企業而設計，這些企業需要復雜的自動化和集成功能，通過改進配置、分析和基于風險的身份組合治理，幫助將身份認證計劃成熟度提升到一個新的水平。

Forrester表示，SailPoint平臺在用戶生命周期管理、合規性管理、與應用程序的強大集成以及對IAM系統的支持方面表現最佳。

原文鏈接：https://www.csoonline.com/article/3616829/8-top-identity-and-access-management-tools.html?upd=1654069253941