एंटरप्राइज़ में CIAM ओनरशिप पर पुनर्विचार

1. परिचय#

अगर आप दस एंटरप्राइज़ से पूछेंगे कि कस्टमर या कंज़्यूमर आइडेंटिटी (CIAM) का मालिक कौन है, तो आपको दस अलग-अलग जवाब मिलेंगे। कभी-कभी यह CISO होता है। कभी-कभी यह CTO होता है, क्योंकि CIAM को सीधे ऐप, वेबसाइट और API में इंटीग्रेट करना होता है। कभी-कभी यह CPO होता है। कभी-कभी यह एक फ्रॉड टीम होती है जो टुकड़ों में इसे संभाल लेती है क्योंकि किसी और के पास पूरी तस्वीर नहीं होती। और अक्सर, इसका कोई मालिक नहीं होता और सिस्टम को एक DevOps इंजीनियर द्वारा ज़िंदा रखा जाता है जिसे यह ज़िम्मेदारी तीन रीऑर्गनाइज़ेशन पहले मिली थी।

Gartner CIAM Magic Quadrant कस्टमर IAM को पाँच फ़ंक्शनल बकेट्स में बाँटता है - रजिस्ट्रेशन, ऑथेंटिकेशन, ऑथराइज़ेशन, सेल्फ़-सर्विस और एनालिटिक्स - जो लगभग कभी भी किसी एक टीम पर पूरी तरह फिट नहीं बैठते। Grand View Research के अनुसार, ग्लोबल CIAM मार्केट की वैल्यू 2023 में 8.12 बिलियन अमेरिकी डॉलर थी और 2030 तक इसके 26.72 बिलियन अमेरिकी डॉलर तक पहुँचने का अनुमान है, जो 17.4% कंपाउंड एनुअल ग्रोथ रेट (CAGR) है। इतने बड़े खर्च के साथ ओनरशिप के सवाल भी बढ़ते हैं।

CIAM ज़्यादातर B2C एंटरप्राइज़ द्वारा चलाए जाने वाले सबसे क्रॉस-फ़ंक्शनल प्रोग्राम्स में से एक है। यह सिक्योरिटी, इंजीनियरिंग, प्रोडक्ट, फ्रॉड और ग्रोथ के जंक्शन पर बैठता है, और इनमें से हर फ़ंक्शन एक अलग मीट्रिक के लिए ऑप्टिमाइज़ करता है। ओनरशिप यह तय करती है कि जब मीट्रिक्स आपस में टकराते हैं, तो कौन सा मीट्रिक जीतता है। अस्पष्ट ओनरशिप का मतलब है कि कोई नहीं जीतता, और आइडेंटिटी प्रोग्राम भटक जाता है।

यह आर्टिकल आधुनिक एंटरप्राइज़ के लिए CIAM ओनरशिप पर पुनर्विचार करता है: सामान्य ओनर प्रोफाइल्स क्या हैं, इंडस्ट्री कैसे जवाब तय करती है, क्यों बँटा हुआ डेटा और "यह मेरी समस्या नहीं है" वाला कल्चर सवाल को अनसुलझा छोड़ देता है, और जब रीऑर्गनाइज़ेशन संभव न हो तो एक शेयर्ड ऑपरेटिंग मॉडल कैसा दिखता है।

1.1 इस आर्टिकल में किन सवालों के जवाब दिए गए हैं#

इस आर्टिकल में, हम निम्नलिखित सवालों से निपटते हैं:

1. ज़्यादातर एंटरप्राइज़ में CIAM ओनरशिप अस्पष्ट क्यों है और इस अस्पष्टता की वास्तव में क्या कीमत चुकानी पड़ती है?
2. सामान्य CIAM ओनर्स कौन हैं और हर एक इस प्रोग्राम को अलग तरह से कैसे ऑप्टिमाइज़ करता है?
3. क्यों बँटी हुई ओनरशिप अक्सर एक मिसिंग ऑथेंटिकेशन एनालिटिक्स लेयर से जुड़ी होती है?
4. इंडस्ट्री का संदर्भ (ई-कॉमर्स बनाम बैंकिंग बनाम रेगुलेटेड B2C) इस जवाब को कैसे बदलता है?
5. बँटी हुई ओनरशिप सबसे ज़्यादा कहाँ नुकसान पहुँचाती है?
6. वे कौन से CIAM KPIs हैं जिनका कोई एक पूरी तरह मालिक नहीं है, लेकिन हर टीम को उनकी ज़रूरत है?
7. एक शेयर्ड CIAM स्कोरकार्ड कैसा दिखता है और आप इसे बिना रीऑर्गनाइज़ेशन के कैसे लागू करते हैं?

2. कॉइन-टॉस प्रॉब्लम#

2.1 क्यों CIAM आपका सबसे क्रॉस-फ़ंक्शनल प्रोग्राम है#

कस्टमर और कंज़्यूमर आइडेंटिटी हर चीज़ को छूती है। यह तय करता है कि कोई यूज़र खरीद सकता है, रिन्यू कर सकता है, एक्सेस रिकवर कर सकता है या किसी रेगुलेटेड फ़ीचर तक पहुँच सकता है। CISO ऑफिस परवाह करता है क्योंकि हर ऑथेंटिकेशन इवेंट एक सिक्योरिटी इवेंट है। CTO ऑफिस परवाह करता है क्योंकि CIAM को ऐप, वेबसाइट और API में इंटीग्रेट करना होता है, और लॉगिन में हर बदलाव असली प्रोडक्ट कोड के साथ शिप होता है। CPO ऑफिस परवाह करता है क्योंकि हर ऑथेंटिकेशन इवेंट एक कन्वर्ज़न इवेंट है। फ्रॉड टीम परवाह करती है क्योंकि हर स्टेप-अप एक फ्रॉड सिग्नल है। ग्रोथ टीम परवाह करती है क्योंकि पर्सनलाइज़ेशन यूज़र की पहचान करने पर निर्भर करता है। किसी और सिस्टम के एक साथ पाँच जायज़ मालिक नहीं होते।

2.2 अस्पष्ट ओनरशिप की कीमत#

इसकी कीमत पासकी रोलआउट्स में साफ़ दिखाई देती है। डिप्लॉयमेंट्स जो 5% से 15% अडॉप्शन पर रुक जाते हैं, उनमें लगभग हमेशा एक बात समान होती है: किसी भी सिंगल ओनर ने रोलआउट को एंड-टू-एंड नहीं संभाला। सिक्योरिटी ने पायलट को फ़ंड दिया, प्रोडक्ट ने UI का मालिकाना हक़ लिया, IT ने IDP को संभाला, फ्रॉड ने स्टेप-अप को अपने हाथ में लिया, और उस कोहोर्ट नजिंग (nudging) का कोई मालिक नहीं बना जो असल में एनरोलमेंट बढ़ाती है। प्रोग्राम सबसे धीमे ओनर की गति से आगे बढ़ा।

FIDO Alliance 2024 Online Authentication Barometer ने पाया कि विश्व स्तर पर पासकी के बारे में जागरूकता बढ़कर 57% हो गई है, और पासकी से परिचित 42% उत्तरदाताओं ने उन्हें कम से कम एक अकाउंट पर इनेबल कर लिया था। जागरूकता और इनेबलमेंट के बीच का यह अंतर वह जगह है जहाँ अस्पष्ट CIAM ओनरशिप सबसे ठोस रूप में दिखाई देती है: तकनीक काम करती है, लेकिन रोलआउट नहीं। जैसा कि Gartner एनालिस्ट David Mahdi ने कन्वर्जिंग IAM डिसिप्लिन्स के संदर्भ में कहा है, "ऑर्गेनाइज़ेशन्स को आइडेंटिटी और एक्सेस मैनेजमेंट के बढ़ते डिसेंट्रलाइज़ेशन से निपटने के लिए अपने IAM आर्किटेक्चर पर पुनर्विचार करना चाहिए।" बिना किसी ओनर के, यह पुनर्विचार नहीं होता।

2.3 डिस्कनेक्टेड एनालिटिक्स की समस्या#

CIAM में इतनी सारी टीमों के स्टेकहोल्डर बन जाने का एक कारण यह है कि शुरुआत में ही कोई शेयर्ड ऑथेंटिकेशन एनालिटिक्स टूल नहीं होता। नीचे दिया गया डायग्राम इस पैटर्न को दिखाता है: चार सिस्टम ऑथेंटिकेशन जर्नी के चार हिस्सों को होल्ड करते हैं और सिग्नल्स को जोड़ने के लिए उनके ऊपर कुछ भी नहीं बैठता है।

NIST Special Publication 800-63-4 डिजिटल आइडेंटिटी गाइडलाइन्स स्पष्ट रूप से ऑथेंटिकेटर एश्योरेंस के "कंटीन्यूअस इवैल्यूएशन" (continuous evaluation) की बात करती हैं, जो एंड-टू-एंड इवेंट व्यू के बिना असंभव है। व्यवहार में केवल कुछ ही B2C प्रोग्राम्स के पास यह व्यू होता है: 2024 Ping Identity Consumer Survey ने पाया कि 63% कंज़्यूमर्स दो खराब लॉगिन प्रयासों के बाद अकाउंट छोड़ देंगे, जो एक ऐसा मीट्रिक है जिसे बहुत कम CIAM टीमें ट्रैक करती हैं, क्योंकि इसे ट्रैक करने के लिए आवश्यक डेटा तीन अलग-अलग सिस्टम्स में बैठा होता है।

तब हर ओनर अपने हिस्से की सुरक्षा करता है। इसका एक हिस्सा बजट है - जिस टीम ने डेटा के लिए भुगतान किया, उसे लगता है कि उसने कंट्रोल हासिल कर लिया है। इसका दूसरा हिस्सा लेवरेज (leverage) है - क्रॉस-फ़ंक्शनल रिव्यू में वैल्यू दिखाने का डेटा सबसे आसान तरीका है। इसका व्यावहारिक प्रभाव यह है कि जब कोई CIAM समस्या सभी चार सिस्टम्स में फैली होती है, तब भी कोई एक व्यक्ति इसे एंड-टू-एंड नहीं देख सकता। एक डेडिकेटेड ऑथेंटिकेशन ऑब्ज़र्वेबिलिटी लेयर इस बहाने को खत्म कर देती है और आमतौर पर ओनरशिप पर उस बातचीत को ट्रिगर करती है जो लंबे समय से पेंडिंग थी।

3. सामान्य ओनर्स#

पाँच फ़ंक्शंस नियमित रूप से CIAM पर अपना दावा पेश करते हैं, और हर एक अलग मीट्रिक के लिए ऑप्टिमाइज़ करता है। नीचे दी गई तुलना इस बात का सारांश देती है कि प्रत्येक आर्केटाइप को किस आधार पर मापा जाता है और उनका ब्लाइंड स्पॉट कहाँ होता है।

3.1 CISO ऑफिस#

ऑप्टिमाइज़ करता है: फ्रॉड रेट, MFA कवरेज, कॉम्प्रोमाइज़्ड-अकाउंट रेट और ऑडिट फाइंडिंग्स। CIAM को एक सिक्योरिटी कंट्रोल मानता है। ताकत: रेगुलेटरी दबाव (DORA, NIS2 या NIST 800-63) के तहत स्पष्ट KPIs और बजट अथॉरिटी। ब्लाइंड स्पॉट्स: फ्रिक्शन का कन्वर्ज़न पर प्रभाव, टूटे हुए फ्लो की सपोर्ट कॉस्ट और उन यूज़र्स की लंबी कतार का अनुभव जिनकी डिवाइस साइलेंटली टूट जाती है।

3.2 CTO ऑफिस#

ऑप्टिमाइज़ करता है: इंटीग्रेशन एफ़र्ट, प्लेटफ़ॉर्म रिलायबिलिटी, SDK क्वालिटी, रिलीज़ वेलोसिटी और इंजीनियरिंग कॉस्ट। CIAM को एक प्रोडक्ट इंटीग्रेशन प्रॉब्लम मानता है क्योंकि लॉगिन वह कोड है जो ऐप, वेबसाइट और API के साथ शिप होता है। ताकत: प्रोडक्ट से निकटता, क्लाइंट-साइड SDK की ओनरशिप, टूटे हुए फ्लो को जल्दी ठीक करने की क्षमता। ब्लाइंड स्पॉट्स: रेगुलेटरी बारीकियां, फ्रॉड ट्रेडऑफ़ और इंटीग्रेशन लाइव होने के बाद लॉन्ग-टर्म क्रेडेंशियल हाइजीन। पब्लिक सेक्टर और भारी रूप से सेंट्रलाइज़्ड-IT एंटरप्राइज़ में इस रोल में CIO दिखाई देता है, लेकिन ज़्यादातर कंज़्यूमर-फेसिंग बिज़नेस में CTO ऑफिस अधिक उपयुक्त होता है।

3.3 CPO या प्रोडक्ट ऑफिस#

ऑप्टिमाइज़ करता है: लॉगिन कन्वर्ज़न, एक्टिवेशन रेट, रिकवरी सक्सेस और टाइम-टू-फर्स्ट-वैल्यू। CIAM को एक प्रोडक्ट मानता है। ताकत: UX रिगर (rigor), A/B टेस्टिंग और कस्टमर एम्पैथी। ब्लाइंड स्पॉट्स: फ्रॉड एक्सपोज़र, रेगुलेटरी प्रतिबंध और लॉन्ग-टर्म क्रेडेंशियल हाइजीन।

3.4 फ्रॉड या रिस्क ऑफिस#

ऑप्टिमाइज़ करता है: स्टेप-अप ट्रिगर रेट, फ़ॉल्स-पॉज़िटिव रेट, चार्जबैक रेट और अकाउंट टेकओवर रेट। आइडेंटिटी के एक हिस्से का मालिक है, शायद ही कभी पूरी आइडेंटिटी का। ताकत: रिस्क मॉडलिंग, रियल-टाइम सिग्नल्स और इंसिडेंट रिस्पॉन्स। ब्लाइंड स्पॉट्स: एनरोलमेंट फ्लो, रिकवरी फ्लो और आइडेंटिटी के वे हिस्से जो ट्रांज़ैक्शनल नहीं हैं।

3.5 ग्रोथ या मार्केटिंग ऑफिस#

उभरता हुआ ओनर, खासकर कंज़्यूमर सब्सक्रिप्शन और रिटेल में। ऑप्टिमाइज़ करता है: री-इंगेजमेंट रेट, क्रॉस-सेल-गेटेड लॉगिन्स और पर्सनलाइज़ेशन रेडीनेस। आइडेंटिटी को ग्रोथ लूप्स के लिए आधार मानता है। ताकत: लाइफ़साइकल थिंकिंग और एक्सपेरिमेंटेशन कल्चर। ब्लाइंड स्पॉट्स: वह सब कुछ जो ग्रोथ नहीं है।

4. बँटी हुई ओनरशिप वास्तव में कहाँ नुकसान पहुँचाती है#

4.1 प्रोविज़निंग बनाम डीप्रोविज़निंग#

प्रोविज़निंग एक एफ़िशिएंसी की समस्या है: आप किसी यूज़र को सिस्टम में कितनी तेज़ी से ला सकते हैं। डीप्रोविज़निंग एक सिक्योरिटी की समस्या है: आप किसी कॉम्प्रोमाइज़्ड या काम छोड़ चुके यूज़र को कितनी तेज़ी से बाहर निकाल सकते हैं। उन्हें लगभग हमेशा एक ही टूल के रूप में खरीदा जाता है और अंडर-ट्यून किया जाता है क्योंकि एफ़िशिएंसी पर फ़ोकस करने वाला ओनर कभी भी डीप्रोविज़निंग का दर्द महसूस नहीं करता और सिक्योरिटी पर फ़ोकस करने वाला ओनर कभी प्रोविज़निंग का दर्द महसूस नहीं करता।

4.2 फ्रॉड-ओन्ड UX बनाम प्रोडक्ट-ओन्ड UX#

फ्रॉड फ्रिक्शन जोड़ता है क्योंकि फ्रिक्शन बुरे तत्वों को रोकता है। प्रोडक्ट फ्रिक्शन हटाता है क्योंकि फ्रिक्शन रेवेन्यू को रोकता है। जब दोनों टीमें एक शेयर्ड ओनर के बिना एक ही लॉगिन पेज को आकार देती हैं, तो परिणाम एक ऐसा समझौता होता है जो किसी को संतुष्ट नहीं करता: यूज़र्स को परेशान करने के लिए पर्याप्त फ्रिक्शन, लेकिन फ्रॉड रोकने के लिए अपर्याप्त। रिस्क-स्कोर्ड स्टेप-अप इसका तकनीकी जवाब है। एक सिंगल जर्नी ओनर इसका संगठनात्मक जवाब है।

4.3 लॉगिन परफॉरमेंस का कोई शेयर्ड व्यू नहीं#

बँटी हुई ओनरशिप इसलिए भी नुकसान पहुँचाती है क्योंकि कोई शेयर्ड एनालिटिक्स लेयर नहीं होती। असली लॉगिन-परफॉरमेंस नंबर - एंड-टू-एंड सक्सेस रेट, रिकवरी सक्सेस, स्टेप-अप ट्रिगर रेट, कोहोर्ट के अनुसार फ़ॉलबैक शेयर और मेथड-लेवल सक्सेस (पासवर्ड, OTP, सोशल, पासकी) - IDP, प्रोडक्ट एनालिटिक्स सुइट, फ्रॉड इंजन, SIEM और बीच में कुछ स्प्रेडशीट में बिखरे पड़े होते हैं। हर टीम अपना खुद का हिस्सा देखती है, कोई भी जर्नी को नहीं देखता और लक्षण ऐसे मीट्रिक्स के अंदर दब जाते हैं जो अलग-अलग देखने पर ठीक लगते हैं लेकिन असली समस्या को छिपा लेते हैं।

पुराने Android वर्ज़न वाले यूज़र्स के लिए धीमा लॉगिन IDP लैटेंसी में एक छोटे उछाल, कन्वर्ज़न में एक छोटी गिरावट और सपोर्ट टिकट्स में एक छोटी बढ़ोतरी के रूप में दिखाई देता है। इनमें से कोई भी अपने आप में चिंताजनक नहीं है। लेकिन एक साथ जोड़ने पर, यह एक ऐसा रिग्रेशन है जिसे ठीक किया जाना चाहिए। एक ओनर और एक व्यू के बिना, यह रिग्रेशन कई तिमाहियों तक अनछुआ रह सकता है।

5. इंडस्ट्री तय करती है जवाब#

कस्टमर और कंज़्यूमर आइडेंटिटी का मालिक अंततः कौन है, यह इंडस्ट्री पर भी निर्भर करता है। एक सेक्टर के लिए काम करने वाला ऑर्गनाइज़ेशन चार्ट दूसरे सेक्टर में ओवर- या अंडर-गवर्नड (over- or under-governed) लग सकता है।

• ई-कॉमर्स CIAM को एक कन्वर्ज़न प्रॉब्लम मानता है। प्रोडक्ट लॉगिन को होल्ड करता है, ग्रोथ री-इंगेजमेंट को और फ्रॉड दोनों के साथ बैठता है। सिक्योरिटी एपेटाइट मध्यम होती है। कैडेंस साप्ताहिक एक्सपेरिमेंट्स का होता है। Baymard Institute cart-abandonment research 70.2% की औसत अबैंडनमेंट रेट रिपोर्ट करता है, और इसका एक बड़ा हिस्सा अकाउंट फ्रिक्शन के कारण होता है, जो प्रोडक्ट को मजबूती से ओनर की सीट पर बनाए रखता है।
• बैंकिंग और फाइनेंशियल सर्विसेज़ CIAM को एक सिक्योरिटी और कंप्लायंस प्रॉब्लम मानती हैं। CISO प्रोग्राम का मालिक होता है, रिस्क स्टेप-अप को होल्ड करता है और IT प्लेटफ़ॉर्म चलाता है। सिक्योरिटी एपेटाइट बहुत ज़्यादा होती है और कैडेंस भारी ऑडिट के साथ त्रैमासिक होता है।
• टेल्को, इंश्योरेंस और हेल्थकेयर बीच में आते हैं। कंप्लायंस का दबाव उन्हें बैंकिंग की ओर खींचता है। कस्टमर एक्सपीरियंस का दबाव उन्हें ई-कॉमर्स की ओर खींचता है। गवर्नेंस मॉडल आमतौर पर CISO और CPO के बीच एक शेयर्ड स्कोरकार्ड के साथ बँटा होता है।
• पब्लिक सेक्टर और रेगुलेटेड B2B एक्सपेरिमेंटेशन के बजाय ऑडिटेबिलिटी को प्राथमिकता देते हैं। CIAM CIO (जहाँ सेंट्रलाइज़्ड IT अभी भी मौजूद है) या एक डेडिकेटेड आइडेंटिटी गवर्नेंस फ़ंक्शन के अंतर्गत आता है जिसका कैडेंस कंप्लायंस-ड्रिवन होता है। NIST 800-63-4 Identity Assurance Level रिक्वायरमेंट्स इसकी बेसलाइन तय करते हैं।

नीचे दिया गया क्वाड्रेंट प्रत्येक इंडस्ट्री को उन दो डायमेंशन्स पर प्लॉट करता है जो ओनरशिप का जवाब तय करते हैं - सिक्योरिटी एपेटाइट और रिव्यू कैडेंस - और प्रत्येक पोज़ीशन से निकलने वाले डोमिनेंट ओनर को मैप करता है।

एक रिटेलर के लिए काम करने वाला स्कोरकार्ड बैंक में अंडर-गवर्नड लगता है। बैंक के लिए काम करने वाला गवर्नेंस मॉडल रिटेलर में ओवर-इंजीनियर्ड लगता है। पब्लिश्ड वेंडर-कमीशन्ड Forrester Total Economic Impact (TEI) स्टडीज़ से एक बड़ा अंतर दिखाई देता है: ForgeRock CIAM TEI ने तीन वर्षों में 186% ROI रिपोर्ट किया, जबकि WSO2 CIAM TEI ने 332% ROI रिपोर्ट किया। हर सेक्टर में ड्राइवर्स का मिक्स - कन्वर्ज़न अपलिफ्ट बनाम फ्रॉड रिडक्शन बनाम ऑडिट कॉस्ट - काफी अलग होता है, यही कारण है कि ROI रेंज भी अलग-अलग होती है। सही ओनर चुनना उस इंडस्ट्री पैटर्न को पहचानने से शुरू होता है जिसमें आप असल में काम करते हैं।

6. वर्कफोर्स आइडेंटिटी बनाम कस्टमर आइडेंटिटी#

वर्कफोर्स IAM और कस्टमर IAM आमतौर पर अलग-अलग टीमों में बैठते हैं, और यही सही सेटअप होता है। दोनों आइडेंटिटी से जुड़े हैं लेकिन वे अलग-अलग चीज़ों के लिए ऑप्टिमाइज़ करते हैं। वर्कफोर्स IAM मैनेज्ड डिवाइस वाले ज्ञात कर्मचारियों को मैनेज करता है, जिनके सेशन लंबे होते हैं और यूज़र पॉपुलेशन छोटी होती है, आमतौर पर 1,000 से 100,000 यूज़र्स। CIAM अनमैनेज्ड डिवाइस वाले अननोन प्रॉस्पेक्ट्स और ग्राहकों को मैनेज करता है, जिनके सेशन छोटे और कन्वर्ज़न-सेंसिटिव होते हैं, और यूज़र पॉपुलेशन बहुत बड़ी होती है, अक्सर करोड़ों में। थ्रेट मॉडल्स, KPIs और टूलिंग चॉइस अलग-अलग होती हैं।

7. कोई एक सही जवाब नहीं है#

CIAM को रखने के लिए कोई सार्वभौमिक रूप से सही या गलत जगह नहीं है। जो मायने रखता है वह यह है कि इंटरनल डिपेंडेंसीज़ काम करें: ओनर टीम के पास निर्णय लेने का अधिकार हो, कॉन्ट्रिब्यूटिंग टीमों की आधिकारिक रूप से बात सुनी जाए, और स्कोरकार्ड इतना शेयर्ड हो कि कोई भी मीट्रिक को संदर्भ से बाहर न निकाल सके।

एक रेगुलेटेड बैंक CISO के अंतर्गत CIAM चला सकता है और सफल हो सकता है। एक रिटेलर CPO के अंतर्गत CIAM चला सकता है और सफल हो सकता है। एक टेल्को CISO और CPO के बीच स्प्लिट मॉडल चला सकता है और सफल हो सकता है। जो चीज़ हर जगह फ़ेल होती है वह है बिना किसी फोर्सिंग फ़ंक्शन, बिना किसी शेयर्ड एनालिटिक्स लेयर और क्रॉस-फ़ंक्शनल रिव्यू के कैडेंस के बिना इम्प्लिसिट ओनरशिप। संगठनात्मक पैटर्न उसके ऊपर बैठे ऑपरेटिंग मॉडल से कम मायने रखता है।

8. शेयर्ड CIAM स्कोरकार्ड#

एक ओनर चुनने की तुलना में स्कोरकार्ड चुनना आमतौर पर आसान होता है, और यह बिना किसी रीऑर्गनाइज़ेशन के काम करता है। विचार सरल है: प्रत्येक एग्जीक्यूटिव का पर-फ़ंक्शन डैशबोर्ड स्थानीय रूप से सही और वैश्विक स्तर पर अपूर्ण है। इसका समाधान है एक पेज, पाँच मीट्रिक्स, जिसकी मासिक रूप से ओनर फ़ंक्शंस द्वारा एक साथ समीक्षा की जाती है।

8.1 ऐसे मीट्रिक्स जिनका कोई एक पूरा मालिक नहीं है#

ये वे पाँच क्रॉस-फ़ंक्शनल KPIs हैं जो CISO, CTO, CPO, फ्रॉड और ग्रोथ के बीच आते हैं। हर एक बेहद महत्वपूर्ण है और ज़्यादातर एंटरप्राइज़ में इन्हें ठीक से ट्रैक नहीं किया जाता। नीचे दिया गया डायग्राम दिखाता है कि प्रत्येक मीट्रिक कई ओनर फ़ंक्शंस के इंटरसेक्शन पर कैसे बैठता है, यही कारण है कि उनमें से कोई भी किसी एक टीम के पास पूरी तरह नहीं जाता।

• कोहोर्ट के अनुसार लॉगिन सक्सेस रेट। एग्रीगेट लॉगिन सक्सेस हर चीज़ को छिपा लेती है। 92% की ग्लोबल रेट किसी विशिष्ट OS, ब्राउज़र और क्रेडेंशियल मैनेजर कॉम्बिनेशन पर 70% रेट को छिपा सकती है। केवल एग्रीगेट लेवल पर सक्सेस रेट रिपोर्ट करना CIAM की सबसे आम मेज़रमेंट गलती है।
• टाइम-टू-फर्स्ट-ऑथेंटिकेटेड-एक्शन। वह लैटेंसी जो यूज़र असल में लॉगिन पेज पर आने से लेकर ट्रांज़ैक्शन कर पाने तक महसूस करता है। इसमें Conditional UI फ़ायर टाइम, क्रेडेंशियल सिलेक्शन, बायोमेट्रिक प्रॉम्प्ट और वापस रीडायरेक्ट होना शामिल है। यह कन्वर्ज़न से जुड़ा है और इसका कोई मालिक नहीं है।
• रिकवरी-पाथ यूसेज और सक्सेस। कितने यूज़र्स रिकवरी पर जाते हैं, वे किन पाथ्स का उपयोग करते हैं और कितने सफल होते हैं। रिकवरी वह जगह है जहाँ फ्रॉड, फ्रिक्शन और सपोर्ट कॉस्ट मिलते हैं। यह एक साथ CISO, CPO और CTO का हिस्सा है, जिसका मतलब है कि यह किसी का नहीं है।
• पासकी क्रिएशन बनाम पासकी यूसेज। क्रिएशन उन एलिजिबल यूज़र्स का शेयर है जिन्होंने एनरोल किया है। यूसेज उन लॉगिन्स का शेयर है जो असल में पासकी का उपयोग करते हैं। किसी डिप्लॉयमेंट की रीच 60% और यूसेज 20% हो सकता है यदि एनरोल किए गए यूज़र्स आदत के कारण पासवर्ड टाइप करना जारी रखते हैं। यही गैप किसी भी नए ऑथेंटिकेशन मेथड पर लागू होता है।
• ऑथेंटिकेशन मेथड के अनुसार अबैंडनमेंट। सेशन किस मेथड से शुरू हुआ और कितनी बार वह पूरा नहीं हुआ। पासवर्ड, OTP, सोशल और पासकी अबैंडनमेंट के अलग-अलग मूल कारण हैं - क्रेडेंशियल हाइजीन, डिलीवरी फ़ेल्योर, थर्ड-पार्टी आउटेज, UI प्लेसमेंट या क्रेडेंशियल मैनेजर कॉन्फ्लिक्ट। उनका औसत निकालना उन सभी को छिपा देता है।

8.2 एक पेज, पांच मीट्रिक्स, मासिक रिव्यू#

स्कोरकार्ड एक एक-पेज का आर्टिफैक्ट है जिसकी मासिक रूप से ओनर फ़ंक्शंस द्वारा एक साथ समीक्षा की जाती है। प्रत्येक मीट्रिक में डेटा क्वालिटी के लिए एक प्राइमरी ओनर, एक्शन प्लान के लिए एक क्रॉस-फ़ंक्शनल ओनर होता है और प्रत्येक तिमाही की शुरुआत में संयुक्त रूप से एक लक्ष्य निर्धारित किया जाता है। एक Notion पेज या Google Sheet पर्याप्त है - रिव्यू वन-पेजर पर होता है, न कि अंडरलाइंग डैशबोर्ड्स पर।

प्रत्येक ओनर केवल वही हिस्सा देता है जो वे देख सकते हैं:

• सिक्योरिटी फ्रॉड रेट, कॉम्प्रोमाइज़्ड-अकाउंट रेट और कोहोर्ट के अनुसार स्टेप-अप आउटकम्स का योगदान देती है।
• CTO / इंजीनियरिंग अपटाइम, इंटीग्रेशन एरर रेट, SDK परफॉरमेंस और मेथड के अनुसार कॉस्ट-पर-ऑथ (cost-per-auth) का योगदान देते हैं।
• प्रोडक्ट कन्वर्ज़न फ़नल्स, स्टेप के अनुसार ड्रॉप-ऑफ़ और टाइम-टू-फर्स्ट-वैल्यू का योगदान देता है।
• फ्रॉड कोहोर्ट के अनुसार स्टेप-अप ट्रिगर रेट और फ़ॉल्स-पॉज़िटिव रेट का योगदान देता है।
• ग्रोथ एनोनिमस-बनाम-आइडेंटिफाइड सेशन रेशियो और री-इंगेजमेंट रेट का योगदान देती है।

नीचे दिया गया मैट्रिक्स कॉन्ट्रिब्यूशन पैटर्न का सारांश देता है और कवरेज गैप्स को स्पष्ट करता है - कोई भी सिंगल ओनर अकेले सभी पाँच मीट्रिक्स नहीं बनाता।

8.3 बिना रीऑर्गनाइज़ेशन के इसे लागू करना#

ज़्यादातर स्कोरकार्ड प्रोग्राम्स इंस्ट्रूमेंटेशन पर फ़ेल होते हैं, गवर्नेंस पर नहीं। यदि अंडरलाइंग ऑब्ज़र्वेबिलिटी लेयर सक्सेस रेट को OS, ब्राउज़र और क्रेडेंशियल मैनेजर के अनुसार नहीं तोड़ सकती, तो कोई भी रिव्यू कैडेंस एक उपयोगी स्कोरकार्ड नहीं बना पाएगा। जो सीक्वेंस व्यवहार में काम आता है:

1. पहले इंस्ट्रूमेंट करें। क्लाइंट-साइड इवेंट टेलीमेट्री जो सक्सेस रेट को कोहोर्ट के अनुसार तोड़ सकती है, हर दूसरे स्कोरकार्ड मीट्रिक के लिए पूर्व शर्त है।
2. पहले को-ओन (co-own) करने के लिए एक मीट्रिक चुनें। कोहोर्ट के अनुसार लॉगिन सक्सेस रेट आमतौर पर सही पहला चुनाव होता है क्योंकि यह क्रॉस-कोहोर्ट इंस्ट्रूमेंटेशन को मजबूर करता है जिस पर हर दूसरा मीट्रिक निर्भर करता है।
3. मासिक 60-मिनट का रिव्यू। मीटिंग एक: पाँच मीट्रिक्स और वर्तमान बेसलाइन पर सहमत हों। मीटिंग दो: त्रैमासिक लक्ष्यों पर सहमत हों। मीटिंग तीन: पहला एक्शन प्लान। मीट्रिक्स को एक बार में जोड़ने के बजाय दो तिमाहियों में जोड़ें।

छह महीने में, एक मैच्योर डिप्लॉयमेंट कोहोर्ट के अनुसार लॉगिन सक्सेस रेट रिपोर्ट करता है जिसमें सबसे खराब तीन के लिए नामजद ओनर होते हैं, पासकी रीच और यूसेज दो अलग-अलग नंबरों के रूप में होते हैं, एक शेयर्ड CISO/CPO ओनर के साथ रिकवरी सक्सेस, फ़ॉल्स-पॉज़िटिव रेट के साथ स्टेप-अप ट्रिगर रेट और मेथड के अनुसार कॉस्ट पर ऑथ का ब्रेकडाउन होता है। मासिक रिव्यू डेटा के बारे में बहस करने से हटकर निर्णयों के बारे में बहस करने पर आ जाता है, जो कि असल डिलीवरेबल है।

9. Corbado ऑथेंटिकेशन के लिए मिसिंग डेटा लेयर कैसे जोड़ता है#

Corbado यह तय नहीं करता कि CIAM का मालिक कौन है और वह कोशिश भी नहीं करता। ओनरशिप एक संगठनात्मक निर्णय है। Corbado जो लेकर आता है वह वह डेटा लेयर है जो शुरुआत में मिसिंग थी - वह लेयर जिसे साइलो (silos), बँटे हुए बजट और "यह मेरी समस्या नहीं है" वाले एटीट्यूड ने कभी अपने आप नहीं बनाया। ऑथेंटिकेशन के पास आखिरकार वही है जो प्रोडक्ट एनालिटिक्स, ऑब्ज़र्वेबिलिटी और फ्रॉड टूलिंग के पास पहले से अपने डोमेन में मौजूद है।

ऑथेंटिकेशन ऑब्ज़र्वेबिलिटी लेयर IDP, फ्रॉड इंजन और SIEM के ऊपर बैठती है और उनके सिग्नल्स को लॉगिन जर्नी के एक व्यू में जोड़ती है। बैकएंड एटेम्प्स, क्लाइंट-साइड सेरेमनीज़ (ceremonies), क्रेडेंशियल मैनेजर बिहेवियर, कोहोर्ट-लेवल सक्सेस और रिकवरी आउटकम्स एक ही सिस्टम में रहते हैं और एक-दूसरे के खिलाफ मापे जाते हैं।

• ऑथेंटिकेशन के लिए एक डेटा लेयर। बैकएंड, फ्रंटएंड, फ्रॉड और सिक्योरिटी सिग्नल्स को प्रति सेशन, प्रति कोहोर्ट और प्रति जर्नी कोरिलेट किया जाता है, ताकि असली लॉगिन परफॉरमेंस चार सिस्टम्स में दबना बंद हो जाए।
• कोहोर्ट-लेवल सक्सेस रेट। OS, ब्राउज़र, क्रेडेंशियल मैनेजर और हार्डवेयर के अनुसार लॉगिन सक्सेस का ब्रेकडाउन - पहला स्कोरकार्ड मीट्रिक जिसे ज़्यादातर टीमें अपने मौजूदा टूलिंग से नहीं बना सकतीं।
• क्रिएशन और यूसेज अलग-अलग नंबरों के रूप में। पासकी क्रिएशन और पासकी यूसेज को दो अलग-अलग KPIs के रूप में रिपोर्ट किया जाता है, जो ज़्यादातर स्कोरकार्ड्स के लिए सबसे बड़ा मेज़रमेंट फिक्स है।
• रिकवरी-पाथ एनालिटिक्स। रिकवरी फ्लो यूसेज, सक्सेस और ड्रॉप-ऑफ़ उसी इवेंट टैक्सोनॉमी (taxonomy) में दिखाई देते हैं जिसमें लॉगिन फ्लो होते हैं, इसलिए CISO और CPO एक ही नंबर देखते हैं।
• मेथड के अनुसार अबैंडनमेंट। प्रति-मेथड ड्रॉप-ऑफ़ स्कोरकार्ड को पासवर्ड अबैंडनमेंट (क्रेडेंशियल हाइजीन) को पासकी अबैंडनमेंट (UI या क्रेडेंशियल मैनेजर कॉन्फ्लिक्ट) से अलग करने देता है।
• रोलआउट सेफ़्टी रेल्स। डायनेमिक सप्रेशन, कोहोर्ट-विशिष्ट नजिंग (nudging) और किल-स्विचेस जो कोई भी प्रोग्राम को कन्वीन (convene) कर रहा है, उसे सीधे IDP को छुए बिना बदलाव करने देते हैं।
• रेफरेंस बेंचमार्क्स। Corbado के कस्टमर बेस से क्रॉस-डिप्लॉयमेंट बेसलाइन्स इंटरनल नंबरों की एक्सटर्नल नंबरों से तुलना करने देते हैं, जो अक्सर एक मासिक रिव्यू को निर्णय में बदल देता है।

एक डेटा लेयर से ओनरशिप विवाद गायब नहीं होते। उन्हें सुलझाना आसान हो जाता है, क्योंकि "मेरा डेटा कहता है" वाली बहसें रुक जाती हैं और क्या करना है, इसके बारे में बहसें शुरू हो जाती हैं।

10. निष्कर्ष#

CIAM के कई जायज़ ओनर्स हैं और यह नहीं बदलेगा। जो बदलता है वह यह है कि क्या एंटरप्राइज़ एक ओनर चुनता है, या एक स्कोरकार्ड चुनता है। एक ओनर चुनना तेज़ है लेकिन इसके लिए पॉलिटिकल कैपिटल की आवश्यकता होती है। एक स्कोरकार्ड चुनना धीमा है लेकिन यह बिना किसी रीऑर्गनाइज़ेशन के काम करता है। दोनों ही रास्ते उस इम्प्लिसिट कॉइन-टॉस (coin-toss) से बेहतर हैं जिसे ज़्यादातर एंटरप्राइज़ आज चलाते हैं। अस्पष्ट ओनरशिप की कीमत रुके हुए रोलआउट्स, टूटे हुए फ्लो और एक ही समय में सिक्योरिटी और कन्वर्ज़न दोनों नंबरों में खामोशी से हो रही गिरावट से मापी जाती है।

Corbado के बारे में

Corbado बड़े पैमाने पर consumer authentication चलाने वाली CIAM टीमों के लिए Passkey Intelligence Platform है। हम आपको वह दिखाते हैं जो IDP logs और सामान्य analytics tools नहीं दिखा सकते: कौन-से devices, OS versions, browsers और credential managers passkeys को support करते हैं, क्यों enrollments login में नहीं बदलते, WebAuthn flow कहाँ fail होता है, और कब कोई OS या browser update चुपचाप login को तोड़ देता है — और यह सब Okta, Auth0, Ping, Cognito या आपके in-house IDP को बदले बिना। दो products: Corbado Observe जोड़ता है passkeys और किसी भी अन्य login method के लिए observability। Corbado Connect देता है analytics के साथ built-in managed passkeys (आपके IDP के साथ-साथ)। VicRoads, Corbado के साथ 5M+ users के लिए passkeys चला रहा है (+80% passkey activation)। Passkey विशेषज्ञ से बात करें →

FAQ#

बड़े एंटरप्राइज़ में आमतौर पर CIAM का मालिक कौन होता है?#

हमारे अनुभव में, ओनरशिप CISO, CTO, CPO, फ्रॉड और ग्रोथ फ़ंक्शंस के बीच बँटी होती है। रेगुलेटेड इंडस्ट्रीज़ में CISO ऑफिस के पास मुख्य अधिकार होता है। डिजिटल-नेटिव कंपनियों में CPO या CTO ऑफिस आमतौर पर मुख्य अधिकार रखता है, क्योंकि CIAM को प्रोडक्ट में इंटीग्रेट करना होता है। दोनों में ही एक डेडिकेटेड आइडेंटिटी प्रोडक्ट मैनेजर और शेयर्ड स्कोरकार्ड का होना एक मैच्योर पैटर्न है।

क्या इंडस्ट्री के अनुसार CIAM का ओनर बदल जाता है?#

हाँ। ई-कॉमर्स CIAM को एक कन्वर्ज़न समस्या मानता है और यह आमतौर पर प्रोडक्ट या ग्रोथ के पास जाता है। बैंकिंग इसे एक सिक्योरिटी और कंप्लायंस समस्या मानती है और यह CISO के पास जाता है। टेल्को, इंश्योरेंस और हेल्थकेयर स्प्लिट मॉडल्स चलाते हैं। सही जवाब किसी अमूर्त बेस्ट प्रैक्टिस के बजाय इंडस्ट्री की सिक्योरिटी एपेटाइट और रिव्यू कैडेंस पर निर्भर करता है।

बँटी हुई CIAM ओनरशिप नए ऑथेंटिकेशन रोलआउट्स को क्यों नुकसान पहुँचाती है?#

कोई भी नया ऑथेंटिकेशन मेथड - सोशल लॉगिन और MFA स्टेप-अप से लेकर पासकी तक - कोऑर्डिनेटेड एनरोलमेंट UX, रिकवरी फ्लो, रिस्क पॉलिसी और सपोर्ट टूलिंग की मांग करता है। जब हर चीज़ अलग-अलग गति वाले अलग-अलग ओनर्स के अंतर्गत रहती है, तो रोलआउट सबसे धीमे ओनर की गति से आगे बढ़ता है। पासकी डिप्लॉयमेंट इसके सबसे ताज़ा उदाहरण हैं और नियमित रूप से 5% से 15% अडॉप्शन पर रुक जाते हैं।

क्या वर्कफोर्स IAM और कस्टमर IAM को एक ही टीम में बैठना चाहिए?#

आमतौर पर नहीं। वे केवल शब्दावली साझा करते हैं, और बहुत कम। वर्कफोर्स IAM मैनेज्ड डिवाइस, ज्ञात यूज़र्स और कॉस्ट एफ़िशिएंसी के लिए ऑप्टिमाइज़ करता है। कस्टमर IAM अनमैनेज्ड डिवाइस, अननोन यूज़र्स और कन्वर्ज़न के लिए ऑप्टिमाइज़ करता है। अधिकांश मैच्योर एंटरप्राइज़ उन्हें अलग-अलग गवर्नेंस पर रखते हैं और एक लीडर के बजाय एक काउंसिल साझा करते हैं। इस बँटवारे के CIAM साइड के लिए हमारी ऑथेंटिकेशन ऑब्ज़र्वेबिलिटी गाइड देखें।

सबसे महत्वपूर्ण CIAM KPIs कौन से हैं?#

पाँच क्रॉस-फ़ंक्शनल मीट्रिक्स जो पर-फ़ंक्शन डैशबोर्ड्स के बीच आते हैं: कोहोर्ट के अनुसार लॉगिन सक्सेस रेट, टाइम-टू-फर्स्ट-ऑथेंटिकेटेड-एक्शन, पासकी रीच और यूसेज दो अलग-अलग नंबरों के रूप में, रिकवरी-पाथ सक्सेस और ऑथेंटिकेशन मेथड के अनुसार अबैंडनमेंट। हर एक बेहद महत्वपूर्ण है और ज़्यादातर एंटरप्राइज़ में इन्हें ठीक से ट्रैक नहीं किया जाता।

पासकी रीच और पासकी यूसेज एक ही मीट्रिक क्यों नहीं हैं?#

रीच उन एलिजिबल यूज़र्स का प्रतिशत है जिन्होंने पासकी एनरोल किया है। यूसेज उन लॉगिन्स का प्रतिशत है जो वास्तव में पासकी का उपयोग करते हैं। किसी डिप्लॉयमेंट की रीच अधिक और यूसेज कम हो सकता है यदि एनरोल किए गए यूज़र्स आदत के कारण पासवर्ड टाइप करना जारी रखते हैं। केवल एक मीट्रिक रिपोर्ट करना एग्जीक्यूटिव रिव्यू को गुमराह करता है।

शेयर्ड CIAM स्कोरकार्ड क्या है?#

पाँच क्रॉस-फ़ंक्शनल मीट्रिक्स वाला एक एक-पेज का आर्टिफैक्ट, जिसकी मासिक रूप से ओनर फ़ंक्शंस द्वारा एक साथ समीक्षा की जाती है। प्रत्येक मीट्रिक में डेटा क्वालिटी के लिए एक प्राइमरी ओनर, एक्शन प्लान के लिए एक क्रॉस-फ़ंक्शनल ओनर होता है और प्रत्येक तिमाही की शुरुआत में संयुक्त रूप से एक लक्ष्य निर्धारित किया जाता है। रिव्यू वन-पेजर पर होता है, न कि अंडरलाइंग डैशबोर्ड्स पर।

स्कोरकार्ड का रिव्यू कितनी बार किया जाना चाहिए?#

मासिक, ओनर फ़ंक्शंस के साथ 60 मिनट की क्रॉस-फ़ंक्शनल मीटिंग में। इससे अधिक बार करने पर रिव्यू के बीच कुछ नहीं बदलता। इससे कम बार करने पर सिस्टमिक ड्राफ्ट (systemic drift) पर ध्यान नहीं जाता, खासकर OS या ब्राउज़र अपडेट्स के बाद कोहोर्ट-लेवल रिग्रेशंस के लिए।

हम बिना किसी रीऑर्गनाइज़ेशन के कैसे शुरुआत कर सकते हैं?#

वे दो मीट्रिक्स चुनें जो सबसे ज़्यादा दर्द देते हैं, ओनर्स को केवल उन मीट्रिक्स के लिए मासिक 60-मिनट के रिव्यू में लाएँ और दो तिमाहियों में इसका विस्तार करें। कोई पद (title) नहीं बदलता है। स्कोरकार्ड अपने आप में गवर्नेंस लेयर बन जाता है। अधिकांश एंटरप्राइज़ औपचारिक रूप से रिपोर्टिंग लाइन्स को बदले बिना 12 से 18 महीनों के भीतर एक मैच्योर पैटर्न पर पहुँच जाते हैं।

क्या कोई वेंडर ओनरशिप विवादों को सुलझाने में मदद कर सकता है?#

एक वेंडर आपके लिए ओनरशिप तय नहीं कर सकता। यह उस डेटा की अस्पष्टता को दूर कर सकता है जो ओनरशिप विवादों को सुलझाना कठिन बनाती है। एक शेयर्ड एनालिटिक्स लेयर प्रत्येक ओनर को वह हिस्सा देती है जिसकी वे परवाह करते हैं जबकि एग्रीगेट व्यू को बनाए रखती है, जो अक्सर किसी राजनीतिक बहस को ऑपरेशनल बहस में बदलने के लिए पर्याप्त होता है।