Kurumsalda CIAM Sahipliğini Yeniden Düşünmek

1. Giriş#

On kuruma müşteri veya tüketici kimliğinin (CIAM) kime ait olduğunu sorarsanız, on farklı cevap alırsınız. Bazen CISO ofisindedir. Bazen CTO ofisindedir, çünkü CIAM'ın uygulamaya, web sitesine ve ürünü sunan API'lere doğrudan entegre edilmesi gerekir. Bazen CPO ofisindedir. Bazen tüm resmi kimse görmediği için parça parça devralan bir dolandırıcılık ekibindedir. Çoğu zaman hiç kimseye ait değildir ve sistem, onu üç yeniden yapılanma öncesinde devralan bir DevOps mühendisi tarafından ayakta tutulur.

Gartner CIAM Magic Quadrant müşteri IAM'ını neredeyse hiçbir zaman tek bir ekibe temiz bir şekilde uymayan beş işlevsel grupta (kayıt, kimlik doğrulama, yetkilendirme, self servis ve analitik) konumlandırır. Grand View Research raporuna göre, küresel CIAM pazarının 2023 yılında 8,12 milyar ABD doları değerinde olduğu tahmin edilmiş olup 2030 yılına kadar %17,4'lük bir bileşik yıllık büyüme oranıyla 26,72 milyar ABD dolarına ulaşması beklenmektedir. Sahiplik sorunları bu harcamalarla birlikte büyür.

CIAM, çoğu B2C kurumunun yürüttüğü en çapraz işlevli programlardan biridir. Güvenlik, mühendislik, ürün, dolandırıcılık ve büyüme noktalarının kesiştiği yerde durur ve bu işlevlerin her biri farklı bir metrik için optimizasyon yapar. Sahiplik, bunlar çeliştiğinde hangi metriğin kazanacağını belirler. Belirsiz sahiplik, hiçbirinin kazanamaması ve kimlik programının sürüklenmesi anlamına gelir.

Bu makale, modern kurumsal yapılar için CIAM sahipliğini yeniden düşünmektedir: ortak sahip profilleri, sektörün yanıtı nasıl şekillendirdiği, parçalanmış verilerin ve "benim problemim değil" kültürünün soruyu neden açık tuttuğu ve yeniden yapılanma masada olmadığında paylaşılan bir işletim modelinin neye benzediği.

1.1 Bu Makalenin Yanıtladığı Sorular#

Bu makalede aşağıdaki soruları ele alıyoruz:

1. Çoğu kurumda CIAM sahipliği neden belirsizdir ve bu belirsizliğin gerçek maliyeti nedir?
2. Ortak CIAM sahipleri kimlerdir ve her biri programı nasıl farklı şekilde optimize eder?
3. Parçalanmış sahiplik neden genellikle eksik bir kimlik doğrulama analitiği katmanıyla ilişkilidir?
4. Sektör bağlamı (e-ticaret, bankacılık, düzenlenmiş B2C) yanıtı nasıl değiştirir?
5. Bölünmüş sahiplik en çok nerede zarar verir?
6. Hangi CIAM KPI'ları kimsenin tam olarak sahip olmadığı ancak her ekibin ihtiyaç duyduğu metriklerdir?
7. Paylaşılan bir CIAM puan kartı neye benzer ve yeniden yapılanma olmadan bunu nasıl sunarsınız?

2. Yazı-Tura Problemi#

2.1 CIAM Neden Sahip Olduğunuz En Çapraz İşlevli Programdır?#

Müşteri ve tüketici kimliği her şeye dokunur. Bir kullanıcının satın alıp alamayacağını, yenileyip yenileyemeyeceğini, erişimi kurtarıp kurtaramayacağını veya düzenlenmiş bir özelliğe ulaşıp ulaşamayacağını belirler. CISO ofisi önemser, çünkü her kimlik doğrulama olayı bir güvenlik olayıdır. CTO ofisi önemser, çünkü CIAM'ın uygulamaya, web sitesine ve API'lere entegre edilmesi gerekir ve oturum açmadaki her değişiklik gerçek ürün koduyla birlikte yayınlanır. CPO ofisi önemser, çünkü her kimlik doğrulama olayı bir dönüşüm olayıdır. Dolandırıcılık ekipleri önemser, çünkü her ek kimlik doğrulama adımı bir dolandırıcılık sinyalidir. Büyüme ekipleri önemser, çünkü kişiselleştirme kullanıcıyı tanımlamaya bağlıdır. Başka hiçbir sistem aynı anda beş meşru sahibe sahip değildir.

2.2 Belirsiz Sahipliğin Maliyeti#

Maliyet, geçiş anahtarı sunumlarında görünür durumdadır. %5 ila %15 benimseme oranında takılı kalan dağıtımların neredeyse her zaman ortak bir noktası vardır: tek bir sahip sunumu uçtan uca yürütmemiştir. Güvenlik ekibi pilot uygulamayı finanse etmiş, ürün ekibi kullanıcı arayüzüne sahip olmuş, BT ekibi IDP'ye sahip olmuş, dolandırıcılık ekibi ek kimlik doğrulama adımlarına sahip olmuş ve aslında kaydı yönlendiren kohort yönlendirmesine kimse sahip olmamıştır. Program, en yavaş sahibin hızında ilerlemiştir.

FIDO Alliance 2024 Çevrimiçi Kimlik Doğrulama Barometresi (FIDO Alliance 2024 Online Authentication Barometer), geçiş anahtarı aşinalığının küresel olarak %57'ye yükseldiğini ve geçiş anahtarlarına aşina olan katılımcıların %42'sinin bunları en az bir hesapta etkinleştirdiğini tespit etti. Farkındalık ve etkinleştirme arasındaki boşluk, belirsiz CIAM sahipliğinin en somut şekilde ortaya çıktığı yerdir: teknoloji çalışır, ancak sunum çalışmaz. Gartner analisti David Mahdi'nin birbirine yaklaşan IAM disiplinleri bağlamında belirttiği gibi, "kuruluşlar, kimlik ve erişim yönetiminin artan merkeziyetsizliğini ele almak için IAM mimarilerini yeniden düşünmelidir." Bir sahip olmadan, bu yeniden düşünme gerçekleşmez.

2.3 Kopuk Analitik Problemi#

Birçok ekibin CIAM'da pay sahibi olmasının bir nedeni, başlangıçta paylaşılan bir kimlik doğrulama analitiği aracı olmamasıdır. Aşağıdaki diyagram paterni göstermektedir: dört sistem kimlik doğrulama yolculuğunun dört parçasını tutar ve sinyalleri birleştirmek için üzerlerinde hiçbir şey oturmaz.

NIST Özel Yayını 800-63-4 dijital kimlik yönergeleri, uçtan uca bir olay görünümü olmadan imkansız olan doğrulayıcı güvencesinin "sürekli olarak değerlendirilmesi" çağrısında bulunur. Pratikte yalnızca azınlıkta B2C programı bu görünüme sahiptir: 2024 Ping Identity Tüketici Anketi, tüketicilerin %63'ünün iki kötü giriş denemesinden sonra bir hesabı terk edeceğini tespit etti. Bu, birkaç CIAM ekibinin takip ettiği bir metriktir, çünkü onu takip etmek için gereken veriler üç farklı sistemde yer almaktadır.

Daha sonra her sahip kendi parçasını korur. Bunun bir kısmı bütçedir - veriyi ödeyen ekip kontrolü kazandığını hisseder. Bir kısmı güçtür - veri, çapraz işlevli bir incelemede değeri göstermenin en kolay yoludur. Pratik etki, bir CIAM sorunu dört sistemi de kapsadığında bile, tek bir kişinin onu uçtan uca görememesidir. Özel bir kimlik doğrulama gözlemlenebilirliği katmanı bu mazereti ortadan kaldırır ve genellikle gecikmiş olan sahiplik konuşmasını tetikler.

3. Ortak Sahipler#

Beş işlev rutin olarak CIAM üzerinde hak iddia eder ve her biri farklı bir metrik için optimizasyon yapar. Aşağıdaki karşılaştırma, her bir arketipin neyle ölçüldüğünü ve kör noktalarının nerede olduğunu özetlemektedir.

3.1 CISO Ofisi#

Şunlar için optimize eder: dolandırıcılık oranı, MFA kapsamı, güvenliği ihlal edilmiş hesap oranı ve denetim bulguları. CIAM'ı bir güvenlik kontrolü olarak ele alır. Güçlü yönler: net KPI'lar ve düzenleyici baskı (DORA, NIS2 veya NIST 800-63) altında bütçe yetkisi. Kör noktalar: sürtünmenin dönüşüme etkisi, bozuk akışların destek maliyeti ve cihazları sessizce bozulan uzun kuyruklu kullanıcıların deneyimi.

3.2 CTO Ofisi#

Şunlar için optimize eder: entegrasyon çabası, platform güvenilirliği, SDK kalitesi, sürüm hızı ve mühendislik maliyeti. CIAM'ı bir ürün entegrasyon problemi olarak ele alır çünkü giriş yapma süreci uygulama, web sitesi ve API'lerle birlikte gönderilen koddur. Güçlü yönleri: ürüne yakınlık, istemci tarafı SDK'sının sahipliği, bozuk akışları hızla düzeltebilme yeteneği. Kör noktalar: düzenleyici nüanslar, dolandırıcılık dengeleri ve entegrasyon yayına girdikten sonra uzun vadeli kimlik bilgisi hijyeni. CIO, kamu sektörü ve büyük ölçüde merkezileştirilmiş BT kurumsal yapılarında bu rolde ortaya çıkar, ancak tüketiciye yönelik işletmelerin çoğunda CTO ofisi daha uygundur.

3.3 CPO veya Ürün Ofisi#

Şunlar için optimize eder: oturum açma dönüşümü, etkinleştirme oranı, kurtarma başarısı ve ilk değere ulaşma süresi (time-to-first-value). CIAM'ı bir ürün olarak ele alır. Güçlü yönleri: UX titizliği, A/B testi ve müşteri empatisi. Kör noktalar: dolandırıcılığa maruz kalma, düzenleyici kısıtlamalar ve uzun vadeli kimlik bilgisi hijyeni.

3.4 Dolandırıcılık veya Risk Ofisi#

Şunlar için optimize eder: ek kimlik doğrulama tetiklenme oranı, yanlış pozitif oranı, ters ibraz (chargeback) oranı ve hesap ele geçirme oranı. Kimliğin bir bölümüne sahiptir, nadiren tamamına. Güçlü yönleri: risk modelleme, gerçek zamanlı sinyaller ve olaylara müdahale. Kör noktalar: kayıt akışları, kurtarma akışları ve kimliğin işleme dayalı olmayan kısımları.

3.5 Büyüme veya Pazarlama Ofisi#

Özellikle tüketici aboneliği ve perakende sektöründe ortaya çıkan sahiptir. Şunlar için optimize eder: yeniden etkileşim oranı, çapraz satışa bağlı oturum açmalar ve kişiselleştirmeye hazır olma. Kimliği, büyüme döngülerinin alt yapısı olarak ele alır. Güçlü yönleri: yaşam döngüsü düşüncesi ve deney kültürü. Kör noktalar: büyüme dışındaki her şey.

4. Bölünmüş Sahiplik Aslında Nerede Zarar Verir?#

4.1 Sağlama ve Sağlamayı İptal Etme#

Sağlama (provisioning) bir verimlilik problemidir: bir kullanıcıyı sisteme ne kadar hızlı dahil edebilirsiniz. Sağlamayı iptal etme (deprovisioning) bir güvenlik problemidir: güvenliği ihlal edilmiş veya ayrılmış bir kullanıcıyı sistemden ne kadar hızlı çıkarabilirsiniz. Neredeyse her zaman tek bir araç olarak satın alınırlar ve yetersiz ayarlanırlar çünkü verimlilik odaklı sahip hiçbir zaman iptal etme acısını hissetmez ve güvenlik odaklı sahip hiçbir zaman sağlama acısını hissetmez.

4.2 Dolandırıcılık Odaklı UX ve Ürün Odaklı UX#

Dolandırıcılık ekipleri sürtünme ekler çünkü sürtünme kötü niyetli aktörleri engeller. Ürün ekipleri sürtünmeyi ortadan kaldırır çünkü sürtünme geliri engeller. Her iki ekip de ortak bir sahip olmadan aynı giriş sayfasını şekillendirdiğinde, sonuç hiçbirini tatmin etmeyen bir uzlaşma olur: kullanıcıları kızdıracak kadar sürtünme, ancak dolandırıcılığı durdurmaya yetmeyecek kadar az. Risk puanlı ek kimlik doğrulama teknik yanıttır. Tek bir yolculuk sahibi ise organizasyonel yanıttır.

4.3 Oturum Açma Performansına İlişkin Ortak Bir Görünüm Yok#

Bölünmüş sahiplik aynı zamanda paylaşılan bir analitik katmanı olmadığı için de zarar verir. Gerçek oturum açma performansı sayıları - uçtan uca başarı oranı, kurtarma başarısı, ek doğrulama tetiklenme oranı, kohorta ve yönteme göre geri dönüş payı (parolalar, OTP, sosyal, geçiş anahtarları) - IDP, ürün analitiği paketi, dolandırıcılık motoru, SIEM ve aradaki birkaç e-tabloya dağılmış durumdadır. Her ekip kendi dilimini görür, kimse tüm yolculuğu görmez ve belirtiler ayrı ayrı iyi görünen ancak asıl sorunu gizleyen metriklerin içine gömülür.

Eski Android sürümlerindeki kullanıcılar için yavaş olan bir oturum açma, IDP gecikmesinde küçük bir artış, dönüşümde küçük bir düşüş ve destek biletlerinde küçük bir artış olarak ortaya çıkar. Bunların hiçbiri kendi başlarına endişe verici değildir. Birleştirildiklerinde düzeltmeye değer bir gerilemedir. Tek bir sahip ve tek bir görünüm olmadan, bu gerileme çeyrekler boyunca dokunulmadan kalabilir.

5. Sektör Yanıtı Şekillendirir#

Müşteri ve tüketici kimliğinin nihayetinde kime ait olduğu aynı zamanda sektöre de bağlıdır. Bir sektörde işe yarayan organizasyon şeması, diğerinde aşırı veya yetersiz yönetiliyor olarak okunur.

• E-ticaret, CIAM'ı bir dönüşüm problemi olarak ele alır. Ürün ekibi oturum açmaya sahip olur, büyüme ekibi yeniden etkileşime sahip olur ve dolandırıcılık ekibi her ikisinin de yanında yer alır. Güvenlik iştahı orta düzeydedir. Süreç haftalık deneylerdir. Baymard Institute sepet terk etme araştırması ortalama %70,2'lik bir terk etme oranı bildiriyor ve önemli bir pay, ürün ekibini sıkıca sahip koltuğunda tutan hesap sürtünmesine bağlanıyor.
• Bankacılık ve finansal hizmetler CIAM'ı bir güvenlik ve uyumluluk sorunu olarak ele alır. Programın sahibi CISO'dur, ek doğrulamalara risk ekibi sahiptir ve platformu BT çalıştırır. Güvenlik iştahı yüksektir ve süreç ağır denetimlerle üç ayda birdir.
• Telekom, sigorta ve sağlık hizmetleri ikisinin arasında yer alır. Uyum baskısı onları bankacılığa doğru çeker. Müşteri deneyimi baskısı onları e-ticarete doğru çeker. Yönetişim modeli genellikle paylaşılan bir puan kartıyla CISO ve CPO arasındaki bir bölünmedir.
• Kamu sektörü ve düzenlenmiş B2B, denetlenebilirliği deneye tercih eder. CIAM, CIO'nun (merkezi BT'nin hala var olduğu yerlerde) veya uyumluluk odaklı bir düzene sahip özel bir kimlik yönetişim işlevinin altında yer alır. NIST 800-63-4 Kimlik Güvence Seviyesi gereksinimleri tabanı belirler.

Aşağıdaki kadran, sahiplik yanıtını yönlendiren iki boyutta - güvenlik iştahı ve inceleme döngüsü - her sektörü çizer ve her pozisyondan çıkan baskın sahibi eşleştirir.

Bir perakendeci için işe yarayan bir puan kartı, bir bankada yetersiz yönetiliyor olarak algılanır. Bir banka için işe yarayan bir yönetişim modeli, bir perakendecide aşırı mühendislik olarak algılanır. Yayınlanan satıcı siparişli Forrester CIAM üzerine Toplam Ekonomik Etki çalışmaları geniş bir yelpaze göstermektedir: ForgeRock CIAM TEI üç yılda %186 yatırım getirisi bildirirken, WSO2 CIAM TEI %332 yatırım getirisi bildirmiştir. Sürücü karışımı - dönüşüm artışına karşı dolandırıcılığın azaltılmasına karşı denetim maliyeti - sektörler arasında önemli ölçüde farklılık gösterir, bu nedenle ROI aralığının kendisi de değişir. Doğru sahibin seçilmesi, aslında içinde faaliyet gösterdiğiniz sektör modelinin adlandırılmasıyla başlar.

6. Çalışan Kimliği ile Müşteri Kimliği#

Çalışan IAM ve müşteri IAM genellikle farklı ekiplerde yer alır ve bu çoğunlukla doğru kurulumdur. Her ikisi de kimlikle ilgilenir ancak farklı şeyler için optimize ederler. Çalışan IAM, yönetilen cihazlarda, uzun oturumlara sahip ve küçük bir kullanıcı popülasyonuna (tipik olarak 1.000 ila 100.000 kullanıcı) sahip bilinen çalışanları yönetir. CIAM, yönetilmeyen cihazlarda, kısa ve dönüşüme duyarlı oturumlara sahip ve büyüklük olarak birkaç kat daha büyük, genellikle on milyonlarca veya yüz milyonlarca kullanıcıdan oluşan anonim adayları ve müşterileri yönetir. Tehdit modelleri, KPI'lar ve araç seçimleri birbirinden ayrılır.

7. Tek Bir Doğru Yanıt Yok#

CIAM'ın nerede durması gerektiğine dair evrensel olarak doğru veya yanlış bir yer yoktur. Önemli olan iç bağımlılıkların çalışmasıdır: sahip olan ekibin karar verme yetkisine sahip olması, katkıda bulunan ekiplerin masada resmi bir yere sahip olması ve puan kartının yeterince paylaşılmasıyla kimsenin bir metriği bağlamından koparamamasıdır.

Düzenlemeye tabi bir banka, CIAM'ı CISO altında yürütebilir ve başarılı olabilir. Bir perakendeci, CIAM'ı CPO altında yürütebilir ve başarılı olabilir. Bir telekomünikasyon şirketi, CISO ve CPO arasında bölünmüş bir model yürütebilir ve başarılı olabilir. Her yerde başarısız olan şey; hiçbir zorlayıcı işlevi olmayan, paylaşılan bir analitik katmanı olmayan ve çapraz işlevli inceleme için bir döngüsü olmayan örtülü sahipliktir. Organizasyonel model, onun üzerinde duran işletim modelinden daha az önemlidir.

8. Paylaşılan CIAM Puan Kartı#

Bir puan kartı seçmek, genellikle bir sahip seçmekten daha kolaydır ve yeniden yapılanma olmadan işe yarar. Fikir basittir: Her yöneticinin kendi işlevine ait panosu yerel olarak doğru ve küresel olarak eksiktir. Çözüm tek bir sayfadır, beş metrik içerir ve sahip olan işlevler tarafından aylık olarak birlikte incelenir.

8.1 Kimsenin Tam Olarak Sahip Olmadığı Metrikler#

Bunlar; CISO, CTO, CPO, dolandırıcılık ve büyüme görünümleri arasına düşen beş çapraz işlevli KPI'dır. Her biri yük taşıyıcı niteliktedir ve çoğu kurumda yeterince ölçülmez. Aşağıdaki diyagram, her bir metriğin birden fazla sahip işlevinin kesişme noktasında nasıl yer aldığını göstermektedir; işte bu nedenle hiçbiri tek bir ekibe tam olarak oturmaz.

• Kohorta Göre Oturum Açma Başarı Oranı. Toplam oturum açma başarısı her şeyi gizler. %92'lik bir küresel oran, belirli bir işletim sistemi, tarayıcı ve kimlik bilgisi yöneticisi kombinasyonundaki %70'lik bir oranı maskeleyebilir. Başarı oranını yalnızca toplamda raporlamak, en yaygın CIAM ölçüm hatasıdır.
• Kimliği Doğrulanmış İlk Eyleme Kadar Geçen Süre. Bir kullanıcının oturum açma sayfasına inmesinden işlem yapabilmesine kadar fiilen deneyimlediği gecikme. Conditional UI tetiklenme süresini, kimlik bilgisi seçimini, biyometrik istemi ve geri yönlendirmeyi içerir. Dönüşümle ilişkilidir ve kimse buna sahip değildir.
• Kurtarma Yolu Kullanımı ve Başarısı. Kaç kullanıcının kurtarmaya başvurduğu, hangi yolları kullandıkları ve kaçının başarılı olduğu. Kurtarma; dolandırıcılığın, sürtünmenin ve destek maliyetinin buluştuğu yerdir. CISO'ya, CPO'ya ve CTO'ya aynı anda aittir, bu da genellikle kimseye ait olmadığı anlamına gelir.
• Geçiş Anahtarı Oluşturmaya Karşı Geçiş Anahtarı Kullanımı. Oluşturma, kayıt yaptıran uygun kullanıcıların oranıdır. Kullanım ise gerçekte bir geçiş anahtarı kullanan oturum açma işlemlerinin oranıdır. Kayıtlı kullanıcılar alışkanlık gereği parola yazmaya devam ederse, bir dağıtımın %60 erişimi ve %20 kullanımı olabilir. Aynı boşluk, herhangi bir yeni kimlik doğrulama yöntemi için geçerlidir.
• Doğrulama Yöntemine Göre Terk Etme. Oturum hangi yöntemle başladı ve ne sıklıkla bitmedi? Parola, OTP, sosyal ağ ve geçiş anahtarını terk etmenin farklı temel nedenleri vardır: kimlik bilgisi hijyeni, teslim hatası, üçüncü taraf kesintisi, kullanıcı arayüzü yerleşimi veya kimlik bilgisi yöneticisi çatışması. Bunların ortalamasını almak hepsini gizler.

8.2 Tek Sayfa, Beş Metrik, Aylık İnceleme#

Puan kartı, sahip işlevlerin her ay birlikte incelediği tek sayfalık bir araçtır. Her metriğin veri kalitesi için bir birincil sahibi, eylem planı için çapraz işlevli bir sahibi ve her çeyreğin başında ortaklaşa belirlenen bir hedefi vardır. Bir Notion sayfası veya Google E-Tablo yeterlidir; inceleme tek sayfa üzerinden yapılır, altta yatan panolarda değil.

Her sahip yalnızca kendi görebileceği kısmı sunar:

• Güvenlik, dolandırıcılık oranı, güvenliği ihlal edilmiş hesap oranı ve kohort başına ek doğrulama sonuçlarıyla katkıda bulunur.
• CTO / Mühendislik, çalışma süresi, entegrasyon hata oranı, SDK performansı ve yönteme göre doğrulama başına maliyetle katkıda bulunur.
• Ürün, dönüşüm hunileri, adıma göre düşüş ve ilk değere ulaşma süresi ile katkıda bulunur.
• Dolandırıcılık, ek doğrulama tetiklenme oranı ve kohorta göre yanlış pozitif oranı ile katkıda bulunur.
• Büyüme, anonim ve tanımlanmış oturum oranları ve yeniden etkileşim oranı ile katkıda bulunur.

Aşağıdaki matris, katkı modelini özetler ve kapsama boşluklarını belirginleştirir - hiçbir sahip tek başına beş metriği birden üretemez.

8.3 Yeniden Yapılanma Olmadan Sunmak#

Puan kartı programlarının çoğu yönetişimde değil, araçlandırmada başarısız olur. Eğer altta yatan gözlemlenebilirlik katmanı başarı oranını işletim sistemi, tarayıcı ve kimlik bilgisi yöneticisine göre ayıramıyorsa, hiçbir inceleme döngüsü faydalı bir puan kartı üretmeyecektir. Pratikte işe yarayan sıra şöyledir:

1. Önce araçlandırın. İstemci tarafındaki etkinlik telemetrisi başarı oranını kohorta göre kırabilmelidir; bu diğer her puan kartı metriğinin ön koşuludur.
2. Önce ortaklaşa sahip olmak için bir Metrik seçin. Kohorta göre oturum açma başarı oranı genellikle doğru olan ilk seçimdir, çünkü diğer her metriğin bağlı olduğu kohortlar arası araçlandırmayı zorlar.
3. Aylık 60 dakikalık İnceleme. Birinci toplantı: beş metrik ve mevcut başlangıç çizgisi üzerinde anlaşın. İkinci toplantı: üç aylık hedefler üzerinde anlaşın. Üçüncü toplantı: ilk eylem planı. Metrikleri tek seferde değil, iki çeyrek boyunca ekleyin.

Altıncı ayda olgun bir dağıtım şunları raporlar: En kötü üçü için adlandırılmış sahiplerle birlikte kohorta göre oturum açma başarı oranı, iki ayrı sayı olarak geçiş anahtarı erişimi ve kullanımı, ortak bir CISO/CPO sahibiyle kurtarma başarısı, yanlış pozitif oranıyla birlikte ek doğrulama tetikleme oranı ve yönteme göre kırılmış doğrulama başına maliyet. Aylık inceleme veriler hakkında tartışmaktan, asıl teslim edilebilir olan kararlar hakkında tartışmaya kayar.

9. Corbado, Kimlik Doğrulama için Eksik Veri Katmanını Nasıl Ekler?#

Corbado, CIAM'ın kime ait olduğuna karar vermez ve bunu denemez. Sahiplik, organizasyonel bir karardır. Corbado'nun getirdiği şey, en başından beri eksik olan veri katmanıdır - siloların, bölünmüş bütçelerin ve "benim problemim değil" tutumlarının kendi başlarına asla üretemediği katman. Kimlik doğrulama, nihayet ürün analitiğinin, gözlemlenebilirliğin ve dolandırıcılık araçlarının kendi alanlarında zaten sahip olduklarının eşdeğerine sahiptir.

Kimlik doğrulama gözlemlenebilirlik katmanı IDP, dolandırıcılık motoru ve SIEM'in üzerinde oturur ve onların sinyallerini oturum açma yolculuğunun tek bir görünümünde birleştirir. Arka uç denemeleri, istemci tarafı merasimleri, kimlik bilgisi yöneticisi davranışı, kohort düzeyinde başarı ve kurtarma sonuçları tek bir sistemde yaşar ve birbirlerine karşı ölçülür.

• Kimlik Doğrulama için tek bir Veri Katmanı. Arka uç, ön uç, dolandırıcılık ve güvenlik sinyalleri oturum başına, kohort başına ve yolculuk başına ilişkilendirilir, böylece gerçek giriş performansı dört sistem arasında gömülü olmaktan çıkar.
• Kohort Düzeyinde Başarı Oranı. İşletim sistemi, tarayıcı, kimlik bilgisi yöneticisi ve donanıma göre kırılmış giriş başarısı; çoğu ekibin mevcut araçlarından üretemediği ilk puan kartı metriğidir.
• Ayrı Sayılar olarak Oluşturma ve Kullanım. Geçiş anahtarı oluşturma ve geçiş anahtarı kullanımı iki ayrı KPI olarak raporlanır ki bu, çoğu puan kartının ihtiyaç duyduğu en büyük ölçüm düzeltmesidir.
• Kurtarma Yolu Analitiği. Kurtarma akışı kullanımı, başarısı ve düşüşü, giriş akışlarıyla aynı olay sınıflandırmasında yüzeye çıkar, böylece CISO ve CPO aynı sayıları görür.
• Yönteme Göre Terk Etme. Yöntem başına terk etme oranları puan kartının, parola terk etmeyi (kimlik bilgisi hijyeni), geçiş anahtarı terk etmeden (kullanıcı arayüzü veya kimlik bilgisi yöneticisi çatışması) ayırmasını sağlar.
• Sunum Güvenlik Rayları. Dinamik baskılama, kohorta özel yönlendirme ve acil durdurma anahtarları (kill-switch), programı yürüten kişinin IDP'ye doğrudan dokunmadan değişiklik yapmasını sağlar.
• Referans Kıyaslamaları. Corbado'nun müşteri tabanından alınan dağıtımlar arası temel çizgiler, kurum içi sayıların dış sayılarla karşılaştırılmasına olanak tanır, bu da genellikle aylık bir incelemeyi karara dönüştüren şeydir.

Sahiplik anlaşmazlıkları veri katmanıyla ortadan kalkmaz. Çözülmeleri daha kolay hale gelir, çünkü "benim verilerim söylüyor" şeklindeki argümanlar biter ve ne yapılması gerektiği konusundaki tartışmalar başlar.

10. Sonuç#

CIAM'ın birden fazla meşru sahibi vardır ve bu değişmeyecektir. Değişen şey kurumsal yapının bir sahip mi yoksa bir puan kartı mı seçeceğidir. Bir sahip seçmek daha hızlıdır ancak politik sermaye gerektirir. Bir puan kartı seçmek daha yavaştır ancak yeniden yapılanma olmadan da işe yarar. Her iki yol da bugün çoğu işletmenin yürüttüğü örtük yazı-tura atışından daha iyidir. Belirsiz sahipliğin maliyeti takılı kalan dağıtımlarla, kopuk akışlarla ve aynı anda hem güvenlik hem de dönüşüm sayılarının sessizce erozyona uğramasıyla ölçülür.

Corbado Hakkında

Corbado, büyük ölçekte tüketici kimlik doğrulaması yöneten CIAM ekipleri için Passkey Intelligence Platform'tur. IDP loglarının ve genel analytics araçlarının göremediğini görmenizi sağlarız: hangi cihazların, OS sürümlerinin, tarayıcıların ve credential manager'ların passkey desteklediğini; kayıtların neden girişe dönüşmediğini; WebAuthn akışının nerede başarısız olduğunu; bir OS ya da tarayıcı güncellemesinin girişi sessizce ne zaman bozduğunu — hem de Okta, Auth0, Ping, Cognito veya kendi IDP'nizi değiştirmeden. İki ürün: Corbado Observe, passkey'ler ve diğer tüm giriş yöntemleri için observability sağlar. Corbado Connect, analytics entegre managed passkey'ler sunar (IDP'nizin yanında). VicRoads, Corbado ile 5M+ kullanıcı için passkey çalıştırıyor (%80+ passkey aktivasyonu). Bir Passkey uzmanıyla görüşün →

SSS#

Büyük bir Kurumsalda CIAM genellikle kime aittir?#

Deneyimlerimize göre sahiplik; CISO, CTO, CPO, dolandırıcılık ve büyüme işlevleri arasında bölünmüştür. Düzenlemeye tabi sektörlerde CISO ofisi birincil yetkiye sahiptir. Tüketici odaklı, dijital yerlisi şirketlerde ise CIAM'ın ürüne entegre edilmesi gerektiği için genellikle CPO veya CTO ofisi birincil yetkiye sahiptir. Paylaşılan bir puan kartı çalıştıran özel bir kimlik ürün yöneticisi, her ikisi için de olgunlaşmış yapıdır.

Sektör CIAM'ın kime ait olması gerektiğini değiştirir mi?#

Evet. E-ticaret, CIAM'ı bir dönüşüm sorunu olarak ele alır ve genellikle ürün veya büyümeye bırakır. Bankacılık bunu bir güvenlik ve uyumluluk sorunu olarak ele alır ve CISO'ya bırakır. Telekom, sigorta ve sağlık hizmetleri bölünmüş modeller yürütür. Doğru cevap, soyut bir en iyi uygulamayı değil, sektörün güvenlik iştahını ve inceleme döngüsünü takip eder.

Bölünmüş CIAM Sahipliği neden yeni Kimlik Doğrulama Sunumlarına zarar verir?#

Sosyal oturum açma ve ek MFA adımlarından geçiş anahtarlarına kadar herhangi bir yeni kimlik doğrulama yöntemi, koordineli kayıt kullanıcı arayüzüne, kurtarma akışlarına, risk politikasına ve destek araçlarına ihtiyaç duyar. Bunların her biri farklı hızlara sahip farklı bir sahibin altında olduğunda, sunum en yavaş sahibin hızında ilerler. Geçiş anahtarı dağıtımları şu anki en görünür örnektir ve rutin olarak %5 ila %15 benimseme oranlarında takılır.

Çalışan IAM ve Müşteri IAM aynı Ekipte mi yer almalıdır?#

Genellikle hayır. Kelime dağarcığını paylaşırlar ama başka çok az şeyi paylaşırlar. Çalışan IAM yönetilen cihazlar, bilinen kullanıcılar ve maliyet verimliliği için optimize eder. Müşteri IAM yönetilmeyen cihazlar, anonim kullanıcılar ve dönüşüm için optimize eder. Çoğu olgun kurum, onları ayrı yönetişimde tutar ve bir lideri değil bir konseyi paylaşır. Bu ayrımın CIAM tarafı için kimlik doğrulama gözlemlenebilirliği hakkındaki kılavuzumuza bakın.

En önemli CIAM KPI'ları nelerdir?#

İşlevlere özel panoların arasına düşen beş çapraz işlevli metrik: kohorta göre oturum açma başarı oranı, kimliği doğrulanmış ilk eyleme kadar geçen süre, iki ayrı metrik olarak geçiş anahtarı erişimi ve kullanımı, kurtarma yolu başarısı ve doğrulama yöntemine göre terk etme. Her biri yük taşıyıcıdır ve çoğu kurumda eksik araçlandırılmıştır.

Geçiş Anahtarı Erişimi ve Geçiş Anahtarı Kullanımı Neden Aynı Metrik Değildir?#

Erişim, kaydolan uygun kullanıcıların yüzdesidir. Kullanım, bir geçiş anahtarını fiilen kullanan girişlerin yüzdesidir. Kayıtlı kullanıcılar alışkanlık gereği parola yazmaya devam ederse, bir dağıtım yüksek erişime ve düşük kullanıma sahip olabilir. Sadece tek bir metriği raporlamak, yönetici incelemesini yanıltır.

Paylaşılan CIAM Puan Kartı nedir?#

Sahip işlevlerin her ay birlikte incelediği beş çapraz işlevli metriğe sahip tek sayfalık bir araçtır. Her metriğin veri kalitesi için bir birincil sahibi, eylem planı için çapraz işlevli bir sahibi ve her çeyreğin başında ortaklaşa belirlenen bir hedefi vardır. İnceleme tek sayfa üzerinden yapılır, altta yatan panolarda değil.

Puan Kartı ne sıklıkla incelenmelidir?#

Sahip olan işlevlerle aylık, 60 dakikalık çapraz işlevli bir toplantıda. Daha sık yapıldığında incelemeler arasında hiçbir şey değişmez. Daha seyrek yapıldığında, özellikle işletim sistemi veya tarayıcı güncellemelerinden sonraki kohort düzeyindeki gerilemeler için sistemik sapmalar fark edilmez.

Yeniden Yapılanma Olmadan Nasıl Başlarız?#

En çok zarar veren iki metriği seçin, sahiplerin bu metrikler için aylık 60 dakikalık bir incelemede bir araya gelmesini sağlayın ve iki çeyrek boyunca genişletin. Hiçbir unvan değişmez. Puan kartının kendisi yönetişim katmanı haline gelir. Çoğu kurum, raporlama hatlarını resmi olarak hiç taşımadan 12 ila 18 ay içinde olgun bir yapıya ulaşır.

Bir Satıcı Sahiplik Anlaşmazlıklarını Çözmeye Yardımcı Olabilir mi?#

Bir satıcı sizin yerinize sahipliğe karar veremez. Sahiplik anlaşmazlıklarını çözmeyi zorlaştıran veri belirsizliğini ortadan kaldırabilir. Paylaşılan bir analitik katmanı, genel görünümü korurken her sahibin ilgilendiği dilimi ona verir; bu da genellikle politik bir tartışmayı operasyonel bir tartışmaya dönüştürmek için yeterlidir.