IAM vs IGA: Wat zijn de verschillen?
Identity Access Management (IAM) en Identity Governance & Administration (IGA) zijn twee termen die regelmatig voorbijkomen. Hoewel de termen op het eerste oog wellicht veel op elkaar lijken, zijn er grote verschillen. In dit artikel duiken we in de wereld van IAM en IGA, zetten de verschillen uiteen en belichten we hun rol in IT-beveiliging.
Wat is IAM?
De term IAM staat voor Identity & Access Management en verwijst naar het beheer van digitale identiteiten en toegangsrechten. Enerzijds stel je via IAM zeker dat bevoegde gebruikers tijdig over een account beschikken. Anderzijds zorg je via toegangsrechten, ook wel autorisaties genoemd, dat deze identiteiten toegang hebben tot de juiste systemen, applicaties en data.
Wat is IGA?
IGA, Identity Governance & Administration, is een term die eveneens verwijst naar het beheer van digitale identiteiten en toegangsrechten. De focus ligt daarbij echter op het voldoen aan beveiligings- en compliance-eisen.
Dit betekent onder meer dat je je bij IGA richt op het beheer van de levenscyclus van gebruikers, van het aanmaken tot het uiteindelijk verwijderen van een gebruiker. Denk echter ook aan het monitoren van toegangsrechten, zodat je zeker weet dat autorisaties up-to-date zijn en gebruikers alleen toegang hebben tot systemen waartoe zij daadwerkelijk bevoegd zijn.
Wat zijn de verschillen tussen IAM en IGA?
Hoewel IAM en IGA beide gerelateerd zijn aan het beheer van identiteiten en autorisaties, zijn er dus wezenlijke verschillen. We zetten enkele belangrijke verschillen op een rij.
Primaire focus
De focus van IAM ligt op het beheer van identiteiten en autorisaties, met als doel veilige en efficiënte toegang tot systemen en data. IGA legt de focus juist op governance en compliance met zowel wet- en regelgeving als eisen voor certificeringen.
Accounts en rechten of levenscyclus beheren
IAM draait primair om het inregelen van accounts en toekennen van de juiste autorisaties, zodat gebruikers veilig en efficiënt toegang krijgen tot de middelen die zij nodig hebben. IGA gaat een stap verder en richt zich op het beheer van de volledige levenscyclus van een gebruiker. Belangrijk, want indien een werknemer uit dienst treedt of een andere functie krijgt wil je dat het account van deze gebruiker hierop snel en correct wordt aangepast.
Verschillende functionaliteiten
Doordat de focus van IAM en IGA verschilt, omvatten beide andere functionaliteiten voor het ondersteunen van deze focus. Zo omvat IAM functionaliteiten zoals authenticatie, autorisatie, gebruikersbeheer en toegangsbeheer. Je verifieert hiermee de identiteit van gebruikers, bepaalt welke autorisaties zij mogen hebben en beheert zowel accounts als autorisaties. IGA omvat juist functionaliteiten zoals gebruikerslevenscyclusbeheer, toegangscertificering, RBAC en compliance- en auditrapportages. Je zet deze functionaliteiten in voor het beheren van de levenscyclus van identiteiten, uitvoeren van periodieke reviews van autorisaties en het opstellen van rapporten voor onder meer audits.
Wie is de gebruiker?
IAM is een term waarmee zowel beheerders als eindgebruikers direct te maken hebben. Zo beheren beheerders de accounts en autorisaties van gebruikers via IAM, en krijgen gebruikers dankzij IAM toegang tot de middelen en systemen die zij nodig hebben voor het uitvoeren van hun werk. Bij IGA is dat minder het geval; met name beheerders, auditors en compliance officers krijgen direct te maken met IGA. De focus van IGA ligt immers op governance en compliance met wet- en regelgeving en het voldoen aan de eisen voor bijvoorbeeld certificeringen.
Andere integraties
Een ander belangrijk verschil is de wijze waarop IAM en IGA integreren met andere systemen. Zo integreer je bij IAM direct met applicaties en systemen die eindgebruikers inzetten, onder meer zodat je gebruikers efficiënt de juiste toegang kunt geven. Voor IGA zijn juist integraties met andere IAM-systemen en governance-tools van belang, zodat je kunt zekerstellen dat accounts en autorisaties compliant zijn met wet- en regelgeving en je audits met succes kunt doorlopen.
De bovenstaande punten zijn een greep uit de verschillen tussen IAM en IGA. Kortgezegd kan IAM worden gezien als een component van IGA, met een specifieke focus op de identiteiten van gebruikers en hun toegangsrechten binnen het netwerk van een organisatie. IGA is daarbij de overkoepelende term die verwijst naar processen waarmee organisaties waarborgen dat identiteiten en autorisaties in lijn met zowel wet- en regelgeving als certificeringseisen worden beheerd, beveiligd en gevolgd.
Meer informatie
Wil je meer weten over IAM en IGA? Bekijk dan ook onze kennisbank, waarin we dieper ingaan op zowel IAM als IGA.
Geschreven door:
Arnout van der Vorst
Maak kennis met Arnout van der Vorst, de inspirerende Identity Management Architect bij Tools4ever sinds het jaar 2000. Na zijn studie Hogere Informatica aan de Hogeschool van Utrecht is hij begonnen als Supportmedewerker bij Tools4ever. Daarna heeft Arnout zich opgewerkt tot een sleutelfiguur in het bedrijf. Zijn bijdragen strekken zich uit van klantondersteuning tot strategische pre-sales activiteiten, en hij deelt zijn kennis via webinars en artikelen.