盘点：9款身份和访问管理工具

身份和访问管理（IAM）长期以来一直是安全领导者职业生涯的关键“试炼场”，许多人在身份技术部署方面做出了事关成败的决定。
确保安全访问和身份管理是网络安全态势的两大基础
。同时，人员、应用程序和系统登录的方式以及它们彼此集成的方式也是业务利益相关者的可见触点。安全专家无疑像在走钢丝，以努力寻求可用性和安全性方面的平衡。

薄弱的IAM控制和身份验证机制使企业面临攻击、帐户受损和安全可见性受限等风险，严重的话甚至还会扰乱业务流程。

IAM工具变化形势

对于四处寻求IAM技术的组织来说，好消息/坏消息是，该领域已经变得更加微妙和强大，尤其是在过去五年间。这些工具使得在混合和多云环境中管理身份、处理特权帐户、获得对登录模式的更大可见性，以及基于风险因素进行身份验证变得更加容易。

德勤风险和财务咨询的董事总经理Naresh Persaud表示，

“我们在IAM解决方案中看到了非常明显的市场细分。无论解决方案可以通过AI简化用户体验、与云服务提供商集成以改进工作负载管理，还是通过高级分析提供对IAM操作的更好洞察，如今的可用功能比以往任何时候都多，可供组织用于构建强大的计划。”

与此同时，随着新功能呈现爆炸式增长，IAM市场也创造了数量惊人的子市场，其功能有时是独立产品，有时是更广泛平台的一部分。随着供应商在该领域迅速融合，后者（更广泛平台的一部）变得越来越有可能，从而创造了子市场和功能的高度交叉。

托管服务提供商Nuspire的首席安全官（CSO）JR Cunningham解释道，

“许多产品公司完全专注于身份治理和管理（IGA），而其他公司则专注于特权访问管理（PAM），这两者都是有效身份认证计划的关键要素。身份认证可能是产品分布最广泛的领域，业内有许多参与者都提供多因素身份验证（MFA）技术。对于一个组织来说，定义他们当前的能力和要求以确保他们能够选择满足其需求的产品至关重要。”

建立身份认证计划****

Cunningham解释称，构建身份认证计划和选择平台需要一系列决策，如果组织能够按照正确的顺序进行决策，通常会取得最大的成功。例如，缺乏强大的基本身份认证功能（例如多因素身份认证[MFA]和单点登录[SSO]功能）的组织将难以支撑特权访问管理（PAM）。同样地，缺乏这两个组件以及定义良好的员工身份管理流程的组织，也将无法从身份治理和管理平台（IGA）中获得全部价值。成功的组织会“按顺序”行事：
身份验证、特权访问管理（PAM）/特权身份管理（PIM）、身份治理和管理平台（IGA） 。

在组织评估身份认证技术时，Persaud还建议考虑跨组织的应用程序组合、业务线和用户群扩展部署的问题。他解释称，部署IAM平台时面临的最大挑战之一就是大规模部署。虽然IAM工具在集成并连接到更多应用程序时绝对可以提供更多价值，但除非组织采用可预测、可重复的方法来扩展运营，否则很难实现这种价值。特别是，当他们使用面向服务的运营模式来扩展IAM平台时，它将帮助应用程序所有者、利益相关者和业务线领导者在努力扩展IAM使用和实现其价值时都得到支持。

IAM工具****

以下是IAM领域的一些头部竞争者：

Avatier

凭借在IT服务管理（ITSM）和帮助台领域的悠久历史，Avatier主要依靠在自动化用户配置和密码管理方面的深厚根基来交付其IGA平台。最近，该公司在现代化工作中投入了大量资金，将其Identity
Anywhere平台构建为可以云托管或非托管的容器化解决方案。其更新版本增加了无密码SSO支持和跨移动、云和协作平台（包括Slack、Teams和ServiceNow）的通用用户体验。它支持连接到90多个企业和5000个云应用程序和平台，以及用于定制集成的通用低代码/无代码连接器。

这是一个备受分析师青睐的平台，自称是Forrester Wave或Gartner魔力象限等矩阵中“面向市场领导者的更实惠的解决方案”。

BeyondTrust

作为PAM利基市场的中流砥柱，BeyondTrust通过并购和内部创新，持续增强其管理特权账户、云授权和IT机密的能力，并增加了许多新功能。除了PAM之外，该公司的平台还通过其Active
Directory Bridge技术为远程访问、跨Windows和Mac以及Unix和Linux的端点权限管理提供集中管理能力。

它现在也是云基础设施授权管理（CIEM）领域——PAM的自然分支——的参与者，通过其更新的Cloud Privilege
Broker技术来管理跨多云环境的权限。据Gartner分析师称，这是一家与合规和审计领域有着密切联系的供应商，区别之一在于其报告和可视化能力；客户可以通过该公司的BeyondInsight分析包进行高级分析。

CyberArk

根据Forrester
Research的数据显示，通过将PAM与身份认证即服务（IDaaS）交付相结合，CyberArk已成为收入最高的PAM供应商。2020年，它通过收购Idaptive巩固了自己在SaaS领域的地位，并推出了员工SSO和端点MFA、客户身份管理功能、无密码选项和用于帐户管理的自助服务功能。Gartner分析师指出，CyberArk某些员工用例的定价可能远高于平均水平。它具有强大的分析能力，可以为更成熟的安全指标程序提供数据。它还提供基于风险的身份验证（RBA），管理员可以针对高中低风险容忍度进行微调。

CyberArk还通过其Cloud Entitlements
Manager平台提供成熟的云基础设施授权管理（CIEM）功能，包括权限暴露风险评分，该平台适用于大规模和多云环境。在身份认证即服务（IDPaaS）方面，Forrester表示，对于那些想要“将基于风险的方法应用于IDaaS”并将其与特权身份管理功能同步的组织来说，CyberArk是个很好的选择。不过，该分析师还警告称，其性能方面可能存在问题，理由是最近的服务降级事件和缺乏产品可扩展性的可靠记录。

ForgeRock

作为融合身份产品价值的典型代表，ForgeRock将员工、用户和物联网设备身份的访问管理整合到一个产品集中，可以通过其身份认证即服务（IDPaaS）交付模型进行捆绑或解耦。该平台包括强大的身份治理组件，适用于寻求身份生命周期管理等IGA功能的人。同时，它在有远见的开发人员和DevOps人群中也特别受欢迎，不仅因为它的云优先原则，还因为它强大的REST
API框架、开发人员工具、社区和API访问控制。

Gartner分析师最近指责Forgerock的分析能力低于其他访问管理族群的平均水平，这主要是因为迄今为止，它仍无法提供自己在2020年的路线图中所承诺的用户和实体行为分析（UEBA）能力。

Microsoft Azure Active Directory

据Forrester分析师称，微软正凭借其Microsoft Azure Active
Directory产品迅速进入IAM竞争者名单，该产品拥有强大的IDaaS安装基础——超过300,000名付费客户。Gartner将Azure
AD在这方面的快速增长归因于，它在2020年与Microsoft 365和Microsoft Enterprise Mobility and
Security（EMS）的捆绑操作，数据显示，此举使该产品的安装基数翻了一番。

它还通过内部创新迅速加快了PAM和IGA功能的发展速度，以及通过收购CloudKnox
Security获得了CIEM功能。不过，Gartner分析师指出，Azure AD的功能仍然落后于访问管理领域的其他领导者。

Okta

尽管Okta在最近的数据泄露事件中名誉受损，但不可否认，它仍然是IAM领域的重要选择之一。自2009年成立以来，Okta一直是一家“以云为中心”的企业——当时云部署仍然是许多企业的边缘用例。其SaaS平台提供了一系列捆绑或独立的功能，可在混合和复杂的多云环境中工作，包括SSO、MFA、API访问管理、生命周期和用户管理，以及身份自动化和工作流编排。

它拥有市场上最强大的API和连接器生态系统之一，去年针对Auth0的收购活动也使其在客户IAM领域的地位得以巩固。此外，它还通过去年发布的Okta
Privileged Access平台顺利进入PAM领域。

One Identity

在去年收购OneLogin之前，One
Identity一直是一家PAM和IGA供应商，拥有丰富的企业友好型功能集，且深深植根于本地IAM领域。同时，OneLogin还是对价格敏感且无需大量管理或治理功能的中小型组织的轻量级、纯IDaaS选项之一。

根据Forrester的看法，将OneLogin纳入其中使得One
Identity有机会加入IDaaS竞争行列，并将自己与不具备原生PAM或IGA功能的供应商区分开来。这与CyberArk对Idaptive的收购活动有异曲同工之妙。不过，此次结合仍处于早期阶段，因此One
Identity将如何整合OneLogin技术并交叉融合双方的功能优势还有待观察，也不清楚合并会不会影响OneLogin产品的定价。

Ping Identity

Ping Identity通过结合Ping
One（IdaaS平台）和PingFederate（联合SSO）跨越了SaaS和本地IAM之间的鸿沟。除了标准的员工和用户IAM功能（如SSO、MFA和云身份功能）之外，PingOne还通过过去两年进行的一系列收购将去中心化身份功能分层。Ping最近还开发了一个低代码流程设计器并加强了RBA。

正如Gartner解释的那样，Ping不是一个完整的IAM一站式平台，它对身份管理功能涉入不深，这也使其对小型组织或那些寻求嵌入式IGA或PAM功能的组织不太受用。