許多組織以錯誤的方式看待合規(guī)性。他們認為如果有到位的技術工具，流程評審并且實施風險評估，就滿足合規(guī)要求。但是合規(guī)遵從不是提供更加安全的流程及技術，它是確定這些流程和技術確實提供了一個更為安全的環(huán)境。

提交新的文字合規(guī)性流程并不意味著人們遵循它們。同樣地，部署IAM工具也不意味著它會提升組織合規(guī)遵從的狀態(tài)。在本文中我們會提到那些能夠影響合規(guī)性的IAM問題，以及如何確保IAM技術和流程有效地支持企業(yè)的合規(guī)遵從。

身份管理有兩種保障機制，它們被認為是許多規(guī)章和行業(yè)安全倡議的支柱。它們是：

1. 最小權限：這個概念是只能讓用戶的帳號完成用戶必要的工作。

2. 職責分離(SoD)：這是個概念是要求不止一個人來完成某項任務。

當涉及合規(guī)遵從時這些概念是十分重要的，造成***風險的活動是某個人做出的變更危害到受保護數(shù)據(jù)集的安全性，并且沒有審計或是監(jiān)督能夠偵測和防范此類事件發(fā)生。組織已經(jīng)努力開始解決此類問題，他們求助于身份管理系統(tǒng)來尋找答案。

更準確地看待身份管理與合規(guī)遵從的關系，IAM系統(tǒng)可以劃分為兩個域：預先決定和實時訪問控制。預先決定的訪問控制提前決定用戶應該能有什么訪問權限、用戶應該訪問什么系統(tǒng)以及用戶如何和這些系統(tǒng)上的數(shù)據(jù)交互。實時訪問控制是用戶有了一個帳號，并且可以發(fā)出訪問請求時管理的機制。理想情況下，在用戶發(fā)出訪問請求時這些技術應該判斷用戶在哪里、他們正在使用什么設備、是否能夠在請求的時間段訪問這些數(shù)據(jù)、允許執(zhí)行哪些請求以及確保返回正確的數(shù)據(jù)。

預先決定的訪問策略主要是通過供應服務提供。就合規(guī)性而言，不僅要能夠表明用戶有了帳號，還要知道為用戶提供的帳號是從哪里發(fā)起。是一個自助請求么?如果是這樣的話，應用了哪些邏輯條件來確保用戶被授權發(fā)出請求，并且確實應用了SoD規(guī)則?或者是由另外一個人代表這個用戶發(fā)出訪問請求，例如他們的主管?如果是這樣的話，組織怎么知道這個人被授權來判斷某個用戶的訪問恰當?對于合規(guī)遵從來說，只是記錄下用戶被授權訪問還不夠。如何判斷訪問恰當、授權誰來批準這種訪問，以及如何驗證請求以便判斷恰當?shù)脑L問，這些都是要追溯和保存的重要信息。通過保存這些信息，可以由第三方檢查這些授權的邏輯性來驗證企業(yè)的合規(guī)性。

實時訪問控制是由IAM系統(tǒng)來控制。這些工具以串聯(lián)的方式存在于發(fā)出訪問請求的用戶和系統(tǒng)/數(shù)據(jù)之間。無論它們是否是基于Web的、基于門戶或是API的，這些服務詢問用戶的請求以確保憑證是正確的，以及確定發(fā)出請求的系統(tǒng)位置安全，可以讓用戶獲得他想訪問的數(shù)據(jù)。實時訪問控制通過記錄用戶信息、訪問命令和請求返回的數(shù)據(jù)可以滿足合規(guī)性。這些日志***存儲在一個日志管理系統(tǒng)中，在那里可以存儲合規(guī)性規(guī)則、并且第三方能夠評審發(fā)生的事務以確保它們滿足公司的訪問規(guī)則。

假設這些活動都正確地運轉的話，認可是合規(guī)遵從必須維護的另一個概念。換句話說，采用的訪問方法是用戶唯一可用的方法。組織經(jīng)常在新的IAM系統(tǒng)上投入時間和金錢，但是沒有關閉原有的人工訪問方法。讓這些“后門”保持大開，數(shù)據(jù)可以通過控制手段以外的途徑訪問，這不僅無法提供滿足合規(guī)的訪問，還存在數(shù)據(jù)丟失或是泄漏的風險。只是創(chuàng)造新的“數(shù)據(jù)訪問公路”還不夠，還需要讓“雜草叢生的鐵路”退役并關閉。大型、地理分布廣泛的組織做到可能不容易，而對于許多滿足合規(guī)性的組織來說這也仍是努力解決的主要問題之一。

安裝新的IAM應用無法保證合規(guī)性。所有的IAM必須提供期望交付的服務。此外，需要分配資源來記錄如何配置系統(tǒng)，并且必須指導操作人員來捕捉和維護每天產(chǎn)生的日志。在產(chǎn)品部署的末期，必須實行記錄評審以確保舊的訪問及運行系統(tǒng)已經(jīng)關閉、或是***退役，以便確保不能再使用未經(jīng)批準的方法來訪問敏感信息。