---
url: 'https://www.corbado.com/tr/blog/ciam-sahipligi'
title: 'Kurumsalda CIAM Sahipliğini Yeniden Düşünmek'
description: 'Müşteri kimlik sahipliğinin neden CISO, CTO, CPO, dolandırıcılık ve büyüme ekipleri arasında sürüklendiği ve parçalanmış CIAM sahipliğinin modern kurumsal yapılara maliyeti.'
lang: 'tr'
author: 'Vincent Delitz'
date: '2026-05-19T14:53:23.828Z'
lastModified: '2026-05-20T06:05:19.745Z'
keywords: 'ciam kime ait, ciam sahipliği, kimlik ekibi organizasyon yapısı, kimlik yönetişimi, ciam program sahibi'
category: 'Passkeys Strategy'
---

# Kurumsalda CIAM Sahipliğini Yeniden Düşünmek

## Key Facts

- CIAM sahipliği **tasarlanarak değil, örtülü olarak belirlenir**. CISO, CTO, CPO,
    dolandırıcılık ve büyüme ekiplerinin her biri farklı bir metrik için optimizasyon
    yapar ve en yüksek sesle tepki veren kazanır. - Küresel CIAM pazarı **2023'te 8,12
    milyar ABD dolarından** **2030 yılına kadar 26,72 milyar ABD dolarına** doğru büyüdü
    (**%17,4 YBBO**), ancak çoğu kurumsal yapı hala tek bir sorumlu sahibe sahip değil. -
    Arka uç günlükleri, istemci telemetrisi, dolandırıcılık sinyalleri ve güvenlik
    verileri genelinde **paylaşılan bir kimlik doğrulama analitiği** katmanı mevcut
    değildir; bu nedenle her işlev kendi parçasını korur ve kesişen düzeltmeleri engeller.
    - Belirsiz sahiplik, **%5-15 benimseme oranında takılı kalan geçiş anahtarı
    sunumları**, kopuk kurtarma akışları ve istemci tarafı gerilemelerine yavaş yanıt
    verilmesi şeklinde kendini gösterir. - Sektör yanıtı şekillendirir: **E-ticaret CIAM'ı
    dönüşüm olarak ele alırken**, **bankacılık güvenlik ve uyumluluk olarak**, kamu
    sektörü ise denetlenebilirlik olarak ele alır. - **Çalışan IAM ve müşteri IAM ayrı
    ekiplerde olmalıdır** - aynı kimlik temelleri kullanılır, ancak kullanıcılar,
    cihazlar, temel performans göstergeleri (KPI'lar) ve sürtünme toleransı farklıdır. -
    Paylaşılan **beş metrikli CIAM puan kartı** boşluğu kapatır: kohorta göre oturum açma
    başarısı, kimliği doğrulanmış ilk eyleme kadar geçen süre, geçiş anahtarı erişimi ile
    kullanımı, kurtarma yolu başarısı ve doğrulama yöntemine göre terk etme oranı. - CIAM
    için **evrensel olarak doğru tek bir yer yoktur** - önemli olan açık sahiplik, net
    bağımlılıklar ve paylaşılan tek bir puan kartıdır.

## 1. Giriş

On kuruma müşteri veya tüketici kimliğinin (CIAM) kime ait olduğunu sorarsanız, on farklı
cevap alırsınız. Bazen [CISO](https://www.corbado.com/glossary/ciso) ofisindedir. Bazen CTO ofisindedir, çünkü
CIAM'ın uygulamaya, web sitesine ve ürünü sunan API'lere doğrudan entegre edilmesi
gerekir. Bazen CPO ofisindedir. Bazen tüm resmi kimse görmediği için parça parça devralan
bir dolandırıcılık ekibindedir. Çoğu zaman hiç kimseye ait değildir ve sistem, onu üç
yeniden yapılanma öncesinde devralan bir DevOps mühendisi tarafından ayakta tutulur.

[Gartner CIAM Magic Quadrant](https://www.gartner.com/en/documents/4018879) müşteri
IAM'ını neredeyse hiçbir zaman tek bir ekibe temiz bir şekilde uymayan beş işlevsel grupta
(kayıt, [kimlik doğrulama](https://www.corbado.com/tr/blog/digital-credentials-api), yetkilendirme, self servis
ve analitik) konumlandırır.
[Grand View Research](https://www.grandviewresearch.com/industry-analysis/customer-identity-access-management-ciam-market-report)
raporuna göre, küresel CIAM pazarının 2023 yılında 8,12 milyar ABD doları değerinde olduğu
tahmin edilmiş olup 2030 yılına kadar %17,4'lük bir bileşik yıllık büyüme oranıyla 26,72
milyar ABD dolarına ulaşması beklenmektedir. Sahiplik sorunları bu harcamalarla birlikte
büyür.

CIAM, çoğu B2C kurumunun yürüttüğü en çapraz işlevli programlardan biridir. Güvenlik,
mühendislik, ürün, dolandırıcılık ve büyüme noktalarının kesiştiği yerde durur ve bu
işlevlerin her biri farklı bir metrik için optimizasyon yapar. Sahiplik, bunlar
çeliştiğinde hangi metriğin kazanacağını belirler. Belirsiz sahiplik, hiçbirinin
kazanamaması ve kimlik programının sürüklenmesi anlamına gelir.

Bu makale, modern kurumsal yapılar için CIAM sahipliğini yeniden düşünmektedir: ortak
sahip profilleri, sektörün yanıtı nasıl şekillendirdiği, parçalanmış verilerin ve "benim
problemim değil" kültürünün soruyu neden açık tuttuğu ve yeniden yapılanma masada
olmadığında paylaşılan bir işletim modelinin neye benzediği.

### 1.1 Bu Makalenin Yanıtladığı Sorular

Bu makalede aşağıdaki soruları ele alıyoruz:

1. Çoğu kurumda CIAM sahipliği neden belirsizdir ve bu belirsizliğin gerçek maliyeti
   nedir?
2. Ortak CIAM sahipleri kimlerdir ve her biri programı nasıl farklı şekilde optimize eder?
3. Parçalanmış sahiplik neden genellikle eksik bir
   [kimlik doğrulama](https://www.corbado.com/tr/blog/digital-credentials-api) analitiği katmanıyla ilişkilidir?
4. Sektör bağlamı (e-ticaret, bankacılık, düzenlenmiş B2C) yanıtı nasıl değiştirir?
5. Bölünmüş sahiplik en çok nerede zarar verir?
6. Hangi CIAM KPI'ları kimsenin tam olarak sahip olmadığı ancak her ekibin ihtiyaç duyduğu
   metriklerdir?
7. Paylaşılan bir CIAM puan kartı neye benzer ve yeniden yapılanma olmadan bunu nasıl
   sunarsınız?

## 2. Yazı-Tura Problemi

### 2.1 CIAM Neden Sahip Olduğunuz En Çapraz İşlevli Programdır?

Müşteri ve tüketici kimliği her şeye dokunur. Bir kullanıcının satın alıp alamayacağını,
yenileyip yenileyemeyeceğini, erişimi kurtarıp kurtaramayacağını veya düzenlenmiş bir
özelliğe ulaşıp ulaşamayacağını belirler. [CISO](https://www.corbado.com/glossary/ciso) ofisi önemser, çünkü her
[kimlik doğrulama](https://www.corbado.com/tr/blog/digital-credentials-api) olayı bir güvenlik olayıdır. CTO
ofisi önemser, çünkü CIAM'ın uygulamaya, web sitesine ve API'lere entegre edilmesi gerekir
ve oturum açmadaki her değişiklik gerçek ürün koduyla birlikte yayınlanır. CPO ofisi
önemser, çünkü her kimlik doğrulama olayı bir dönüşüm olayıdır. Dolandırıcılık ekipleri
önemser, çünkü her ek kimlik doğrulama adımı bir dolandırıcılık sinyalidir. Büyüme
ekipleri önemser, çünkü kişiselleştirme kullanıcıyı tanımlamaya bağlıdır. Başka hiçbir
sistem aynı anda beş meşru sahibe sahip değildir.

### 2.2 Belirsiz Sahipliğin Maliyeti

Maliyet, geçiş anahtarı sunumlarında görünür durumdadır. %5 ila %15 benimseme oranında
takılı kalan dağıtımların neredeyse her zaman ortak bir noktası vardır: tek bir sahip
sunumu uçtan uca yürütmemiştir. Güvenlik ekibi pilot uygulamayı finanse etmiş, ürün ekibi
kullanıcı arayüzüne sahip olmuş, BT ekibi IDP'ye sahip olmuş, dolandırıcılık ekibi ek
kimlik doğrulama adımlarına sahip olmuş ve aslında kaydı yönlendiren kohort
yönlendirmesine kimse sahip olmamıştır. Program, en yavaş sahibin hızında ilerlemiştir.

[FIDO Alliance 2024 Çevrimiçi Kimlik Doğrulama Barometresi](https://fidoalliance.org/online-authentication-barometer/)
(FIDO Alliance 2024 Online Authentication Barometer), geçiş anahtarı aşinalığının küresel
olarak %57'ye yükseldiğini ve geçiş anahtarlarına aşina olan katılımcıların %42'sinin
bunları en az bir hesapta etkinleştirdiğini tespit etti. Farkındalık ve etkinleştirme
arasındaki boşluk, belirsiz CIAM sahipliğinin en somut şekilde ortaya çıktığı yerdir:
teknoloji çalışır, ancak sunum çalışmaz. Gartner analisti David Mahdi'nin birbirine
yaklaşan IAM disiplinleri bağlamında
[belirttiği gibi](https://www.gartner.com/en/newsroom/press-releases/2022-11-21-gartner-identifies-top-trends-in-ciam-solution-design),
"kuruluşlar, kimlik ve erişim yönetiminin artan merkeziyetsizliğini ele almak için IAM
mimarilerini yeniden düşünmelidir." Bir sahip olmadan, bu yeniden düşünme gerçekleşmez.

### 2.3 Kopuk Analitik Problemi

Birçok ekibin CIAM'da pay sahibi olmasının bir nedeni, başlangıçta paylaşılan bir kimlik
doğrulama analitiği aracı olmamasıdır. Aşağıdaki diyagram paterni göstermektedir: dört
sistem kimlik doğrulama yolculuğunun dört parçasını tutar ve sinyalleri birleştirmek için
üzerlerinde hiçbir şey oturmaz.

[NIST Özel Yayını 800-63-4](https://pages.nist.gov/800-63-4/)
[dijital kimlik](https://www.corbado.com/tr/glossary/open-id-4-vp) yönergeleri, uçtan uca bir olay görünümü
olmadan imkansız olan doğrulayıcı güvencesinin "sürekli olarak değerlendirilmesi"
çağrısında bulunur. Pratikte yalnızca azınlıkta B2C programı bu görünüme sahiptir:
[2024 Ping Identity Tüketici Anketi](https://www.pingidentity.com/en/resources/blog/post/global-consumer-survey-what-customers-really-think-about-their-online-identity.html),
tüketicilerin %63'ünün iki kötü giriş denemesinden sonra bir hesabı terk edeceğini tespit
etti. Bu, birkaç CIAM ekibinin takip ettiği bir metriktir, çünkü onu takip etmek için
gereken veriler üç farklı sistemde yer almaktadır.

Daha sonra her sahip kendi parçasını korur. Bunun bir kısmı bütçedir - veriyi ödeyen ekip
kontrolü kazandığını hisseder. Bir kısmı güçtür - veri, çapraz işlevli bir incelemede
değeri göstermenin en kolay yoludur. Pratik etki, bir CIAM sorunu dört sistemi de
kapsadığında bile, tek bir kişinin onu uçtan uca görememesidir. Özel bir kimlik doğrulama
gözlemlenebilirliği katmanı bu mazereti ortadan kaldırır ve genellikle gecikmiş olan
sahiplik konuşmasını tetikler.

## 3. Ortak Sahipler

Beş işlev rutin olarak CIAM üzerinde hak iddia eder ve her biri farklı bir metrik için
optimizasyon yapar. Aşağıdaki karşılaştırma, her bir arketipin neyle ölçüldüğünü ve kör
noktalarının nerede olduğunu özetlemektedir.

### 3.1 CISO Ofisi

Şunlar için optimize eder: dolandırıcılık oranı, MFA kapsamı, güvenliği ihlal edilmiş
hesap oranı ve denetim bulguları. CIAM'ı bir güvenlik kontrolü olarak ele alır. Güçlü
yönler: net KPI'lar ve düzenleyici baskı
([DORA](https://www.digital-operational-resilience-act.com/),
[NIS2](https://digital-strategy.ec.europa.eu/en/policies/nis2-directive) veya
[NIST](https://www.corbado.com/blog/nist-passkeys) 800-63) altında bütçe yetkisi. Kör noktalar: sürtünmenin
dönüşüme etkisi, bozuk akışların destek maliyeti ve cihazları sessizce bozulan uzun
kuyruklu kullanıcıların deneyimi.

### 3.2 CTO Ofisi

Şunlar için optimize eder: entegrasyon çabası, platform güvenilirliği, SDK kalitesi, sürüm
hızı ve mühendislik maliyeti. CIAM'ı bir ürün entegrasyon problemi olarak ele alır çünkü
giriş yapma süreci uygulama, web sitesi ve API'lerle birlikte gönderilen koddur. Güçlü
yönleri: ürüne yakınlık, istemci tarafı SDK'sının sahipliği, bozuk akışları hızla
düzeltebilme yeteneği. Kör noktalar: düzenleyici nüanslar, dolandırıcılık dengeleri ve
entegrasyon yayına girdikten sonra uzun vadeli kimlik bilgisi hijyeni. CIO, kamu sektörü
ve büyük ölçüde merkezileştirilmiş BT kurumsal yapılarında bu rolde ortaya çıkar, ancak
tüketiciye yönelik işletmelerin çoğunda CTO ofisi daha uygundur.

### 3.3 CPO veya Ürün Ofisi

Şunlar için optimize eder: oturum açma dönüşümü, etkinleştirme oranı, kurtarma başarısı ve
ilk değere ulaşma süresi (time-to-first-value). CIAM'ı bir ürün olarak ele alır. Güçlü
yönleri: UX titizliği, A/B testi ve müşteri empatisi. Kör noktalar: dolandırıcılığa maruz
kalma, düzenleyici kısıtlamalar ve uzun vadeli kimlik bilgisi hijyeni.

### 3.4 Dolandırıcılık veya Risk Ofisi

Şunlar için optimize eder: ek kimlik doğrulama tetiklenme oranı, yanlış pozitif oranı,
ters ibraz (chargeback) oranı ve hesap ele geçirme oranı. Kimliğin bir bölümüne sahiptir,
nadiren tamamına. Güçlü yönleri: risk modelleme, gerçek zamanlı sinyaller ve olaylara
müdahale. Kör noktalar: kayıt akışları, kurtarma akışları ve kimliğin işleme dayalı
olmayan kısımları.

### 3.5 Büyüme veya Pazarlama Ofisi

Özellikle tüketici aboneliği ve perakende sektöründe ortaya çıkan sahiptir. Şunlar için
optimize eder: yeniden etkileşim oranı, çapraz satışa bağlı oturum açmalar ve
kişiselleştirmeye hazır olma. Kimliği, büyüme döngülerinin alt yapısı olarak ele alır.
Güçlü yönleri: yaşam döngüsü düşüncesi ve deney kültürü. Kör noktalar: büyüme dışındaki
her şey.

## 4. Bölünmüş Sahiplik Aslında Nerede Zarar Verir?

### 4.1 Sağlama ve Sağlamayı İptal Etme

Sağlama (provisioning) bir verimlilik problemidir: bir kullanıcıyı sisteme ne kadar hızlı
dahil edebilirsiniz. Sağlamayı iptal etme (deprovisioning) bir güvenlik problemidir:
güvenliği ihlal edilmiş veya ayrılmış bir kullanıcıyı sistemden ne kadar hızlı
çıkarabilirsiniz. Neredeyse her zaman tek bir araç olarak satın alınırlar ve yetersiz
ayarlanırlar çünkü verimlilik odaklı sahip hiçbir zaman iptal etme acısını hissetmez ve
güvenlik odaklı sahip hiçbir zaman sağlama acısını hissetmez.

### 4.2 Dolandırıcılık Odaklı UX ve Ürün Odaklı UX

Dolandırıcılık ekipleri sürtünme ekler çünkü sürtünme kötü niyetli aktörleri engeller.
Ürün ekipleri sürtünmeyi ortadan kaldırır çünkü sürtünme geliri engeller. Her iki ekip de
ortak bir sahip olmadan aynı giriş sayfasını şekillendirdiğinde, sonuç hiçbirini tatmin
etmeyen bir uzlaşma olur: kullanıcıları kızdıracak kadar sürtünme, ancak dolandırıcılığı
durdurmaya yetmeyecek kadar az. Risk puanlı ek kimlik doğrulama teknik yanıttır. Tek bir
yolculuk sahibi ise organizasyonel yanıttır.

### 4.3 Oturum Açma Performansına İlişkin Ortak Bir Görünüm Yok

Bölünmüş sahiplik aynı zamanda paylaşılan bir analitik katmanı olmadığı için de zarar
verir. Gerçek oturum açma performansı sayıları - uçtan uca başarı oranı, kurtarma
başarısı, ek doğrulama tetiklenme oranı, kohorta ve yönteme göre geri dönüş payı
(parolalar, OTP, sosyal, geçiş anahtarları) - IDP, ürün analitiği paketi, dolandırıcılık
motoru, SIEM ve aradaki birkaç e-tabloya dağılmış durumdadır. Her ekip kendi dilimini
görür, kimse tüm yolculuğu görmez ve belirtiler ayrı ayrı iyi görünen ancak asıl sorunu
gizleyen metriklerin içine gömülür.

Eski [Android](https://www.corbado.com/blog/how-to-enable-passkeys-android) sürümlerindeki kullanıcılar için
yavaş olan bir oturum açma, IDP gecikmesinde küçük bir artış, dönüşümde küçük bir düşüş ve
destek biletlerinde küçük bir artış olarak ortaya çıkar. Bunların hiçbiri kendi başlarına
endişe verici değildir. Birleştirildiklerinde düzeltmeye değer bir gerilemedir. Tek bir
sahip ve tek bir görünüm olmadan, bu gerileme çeyrekler boyunca dokunulmadan kalabilir.

## 5. Sektör Yanıtı Şekillendirir

Müşteri ve tüketici kimliğinin nihayetinde kime ait olduğu aynı zamanda sektöre de
bağlıdır. Bir sektörde işe yarayan organizasyon şeması, diğerinde aşırı veya yetersiz
yönetiliyor olarak okunur.

- E-ticaret, CIAM'ı bir dönüşüm problemi olarak ele alır. Ürün ekibi oturum açmaya sahip
  olur, büyüme ekibi yeniden etkileşime sahip olur ve dolandırıcılık ekibi her ikisinin de
  yanında yer alır. Güvenlik iştahı orta düzeydedir. Süreç haftalık deneylerdir.
  [Baymard Institute sepet terk etme araştırması](https://baymard.com/lists/cart-abandonment-rate)
  ortalama %70,2'lik bir terk etme oranı bildiriyor ve önemli bir pay, ürün ekibini sıkıca
  sahip koltuğunda tutan hesap sürtünmesine bağlanıyor.
- Bankacılık ve finansal hizmetler CIAM'ı bir güvenlik ve uyumluluk sorunu olarak ele
  alır. Programın sahibi [CISO](https://www.corbado.com/glossary/ciso)'dur, ek doğrulamalara risk ekibi sahiptir
  ve platformu BT çalıştırır. Güvenlik iştahı yüksektir ve süreç ağır denetimlerle üç ayda
  birdir.
- Telekom, sigorta ve sağlık hizmetleri ikisinin arasında yer alır. Uyum baskısı onları
  bankacılığa doğru çeker. Müşteri deneyimi baskısı onları e-ticarete doğru çeker.
  Yönetişim modeli genellikle paylaşılan bir puan kartıyla CISO ve CPO arasındaki bir
  bölünmedir.
- Kamu sektörü ve düzenlenmiş B2B, denetlenebilirliği deneye tercih eder. CIAM, CIO'nun
  (merkezi BT'nin hala var olduğu yerlerde) veya uyumluluk odaklı bir düzene sahip özel
  bir kimlik yönetişim işlevinin altında yer alır.
  [NIST 800-63-4 Kimlik Güvence Seviyesi](https://pages.nist.gov/800-63-4/sp800-63a.html)
  gereksinimleri tabanı belirler.

Aşağıdaki kadran, sahiplik yanıtını yönlendiren iki boyutta - güvenlik iştahı ve inceleme
döngüsü - her sektörü çizer ve her pozisyondan çıkan baskın sahibi eşleştirir.

Bir perakendeci için işe yarayan bir puan kartı, bir bankada yetersiz yönetiliyor olarak
algılanır. Bir banka için işe yarayan bir yönetişim modeli, bir perakendecide aşırı
mühendislik olarak algılanır. Yayınlanan satıcı siparişli Forrester CIAM üzerine Toplam
Ekonomik Etki çalışmaları geniş bir yelpaze göstermektedir:
[ForgeRock CIAM TEI](https://www.businesswire.com/news/home/20210615005166/en/) üç yılda
%186 yatırım getirisi bildirirken,
[WSO2 CIAM TEI](https://wso2.com/resources/analyst-reports/the-total-economic-impact-of-wso2-customer-identity-and-access-management/)
%332 yatırım getirisi bildirmiştir. Sürücü karışımı - dönüşüm artışına karşı
dolandırıcılığın azaltılmasına karşı denetim maliyeti - sektörler arasında önemli ölçüde
farklılık gösterir, bu nedenle ROI aralığının kendisi de değişir. Doğru sahibin seçilmesi,
aslında içinde faaliyet gösterdiğiniz sektör modelinin adlandırılmasıyla başlar.

## 6. Çalışan Kimliği ile Müşteri Kimliği

Çalışan IAM ve müşteri IAM genellikle farklı ekiplerde yer alır ve bu çoğunlukla doğru
kurulumdur. Her ikisi de kimlikle ilgilenir ancak farklı şeyler için optimize ederler.
Çalışan IAM, yönetilen cihazlarda, uzun oturumlara sahip ve küçük bir kullanıcı
popülasyonuna (tipik olarak 1.000 ila 100.000 kullanıcı) sahip bilinen çalışanları
yönetir. CIAM, yönetilmeyen cihazlarda, kısa ve dönüşüme duyarlı oturumlara sahip ve
büyüklük olarak birkaç kat daha büyük, genellikle on milyonlarca veya yüz milyonlarca
kullanıcıdan oluşan anonim adayları ve müşterileri yönetir. Tehdit modelleri, KPI'lar ve
araç seçimleri birbirinden ayrılır.

## 7. Tek Bir Doğru Yanıt Yok

CIAM'ın nerede durması gerektiğine dair evrensel olarak doğru veya yanlış bir yer yoktur.
Önemli olan iç bağımlılıkların çalışmasıdır: sahip olan ekibin karar verme yetkisine sahip
olması, katkıda bulunan ekiplerin masada resmi bir yere sahip olması ve puan kartının
yeterince paylaşılmasıyla kimsenin bir metriği bağlamından koparamamasıdır.

Düzenlemeye tabi bir banka, CIAM'ı CISO altında yürütebilir ve başarılı olabilir. Bir
perakendeci, CIAM'ı CPO altında yürütebilir ve başarılı olabilir. Bir telekomünikasyon
şirketi, CISO ve CPO arasında bölünmüş bir model yürütebilir ve başarılı olabilir. Her
yerde başarısız olan şey; hiçbir zorlayıcı işlevi olmayan, paylaşılan bir analitik katmanı
olmayan ve çapraz işlevli inceleme için bir döngüsü olmayan örtülü sahipliktir.
Organizasyonel model, onun üzerinde duran işletim modelinden daha az önemlidir.

## 8. Paylaşılan CIAM Puan Kartı

Bir puan kartı seçmek, genellikle bir sahip seçmekten daha kolaydır ve yeniden yapılanma
olmadan işe yarar. Fikir basittir: Her yöneticinin kendi işlevine ait panosu yerel olarak
doğru ve küresel olarak eksiktir. Çözüm tek bir sayfadır, beş metrik içerir ve sahip olan
işlevler tarafından aylık olarak birlikte incelenir.

### 8.1 Kimsenin Tam Olarak Sahip Olmadığı Metrikler

Bunlar; CISO, CTO, CPO, dolandırıcılık ve büyüme görünümleri arasına düşen beş çapraz
işlevli KPI'dır. Her biri yük taşıyıcı niteliktedir ve çoğu kurumda yeterince ölçülmez.
Aşağıdaki diyagram, her bir metriğin birden fazla sahip işlevinin kesişme noktasında nasıl
yer aldığını göstermektedir; işte bu nedenle hiçbiri tek bir ekibe tam olarak oturmaz.

- **Kohorta Göre Oturum Açma Başarı Oranı.** Toplam oturum açma başarısı her şeyi gizler.
  %92'lik bir küresel oran, belirli bir işletim sistemi, tarayıcı ve kimlik bilgisi
  yöneticisi kombinasyonundaki %70'lik bir oranı maskeleyebilir. Başarı oranını yalnızca
  toplamda raporlamak, en yaygın CIAM ölçüm hatasıdır.
- **Kimliği Doğrulanmış İlk Eyleme Kadar Geçen Süre.** Bir kullanıcının oturum açma
  sayfasına inmesinden işlem yapabilmesine kadar fiilen deneyimlediği gecikme.
  [Conditional UI](https://www.corbado.com/glossary/conditional-ui) tetiklenme süresini, kimlik bilgisi seçimini,
  biyometrik istemi ve geri yönlendirmeyi içerir. Dönüşümle ilişkilidir ve kimse buna
  sahip değildir.
- **Kurtarma Yolu Kullanımı ve Başarısı.** Kaç kullanıcının kurtarmaya başvurduğu, hangi
  yolları kullandıkları ve kaçının başarılı olduğu. Kurtarma; dolandırıcılığın,
  sürtünmenin ve destek maliyetinin buluştuğu yerdir. CISO'ya, CPO'ya ve CTO'ya aynı anda
  aittir, bu da genellikle kimseye ait olmadığı anlamına gelir.
- **Geçiş Anahtarı Oluşturmaya Karşı Geçiş Anahtarı Kullanımı.** Oluşturma, kayıt yaptıran
  uygun kullanıcıların oranıdır. Kullanım ise gerçekte bir geçiş anahtarı kullanan oturum
  açma işlemlerinin oranıdır. Kayıtlı kullanıcılar alışkanlık gereği parola yazmaya devam
  ederse, bir dağıtımın %60 erişimi ve %20 kullanımı olabilir. Aynı boşluk, herhangi bir
  yeni kimlik doğrulama yöntemi için geçerlidir.
- **Doğrulama Yöntemine Göre Terk Etme.** Oturum hangi yöntemle başladı ve ne sıklıkla
  bitmedi? Parola, OTP, sosyal ağ ve
  [geçiş anahtarı](https://www.corbado.com/tr/blog/androidde-gecis-anahtarlari-nasil-etkinlestirilir)nı terk
  etmenin farklı temel nedenleri vardır: kimlik bilgisi hijyeni, teslim hatası, üçüncü
  taraf kesintisi, kullanıcı arayüzü yerleşimi veya kimlik bilgisi yöneticisi çatışması.
  Bunların ortalamasını almak hepsini gizler.

### 8.2 Tek Sayfa, Beş Metrik, Aylık İnceleme

Puan kartı, sahip işlevlerin her ay birlikte incelediği tek sayfalık bir araçtır. Her
metriğin veri kalitesi için bir birincil sahibi, eylem planı için çapraz işlevli bir
sahibi ve her çeyreğin başında ortaklaşa belirlenen bir hedefi vardır. Bir Notion sayfası
veya Google E-Tablo yeterlidir; inceleme tek sayfa üzerinden yapılır, altta yatan
panolarda değil.

Her sahip yalnızca kendi görebileceği kısmı sunar:

- **Güvenlik**, dolandırıcılık oranı, güvenliği ihlal edilmiş hesap oranı ve kohort başına
  ek doğrulama sonuçlarıyla katkıda bulunur.
- **CTO / Mühendislik**, çalışma süresi, entegrasyon hata oranı, SDK performansı ve
  yönteme göre doğrulama başına maliyetle katkıda bulunur.
- **Ürün**, dönüşüm hunileri, adıma göre düşüş ve ilk değere ulaşma süresi ile katkıda
  bulunur.
- **Dolandırıcılık**, ek doğrulama tetiklenme oranı ve kohorta göre yanlış pozitif oranı
  ile katkıda bulunur.
- **Büyüme**, anonim ve tanımlanmış oturum oranları ve yeniden etkileşim oranı ile katkıda
  bulunur.

Aşağıdaki matris, katkı modelini özetler ve kapsama boşluklarını belirginleştirir - hiçbir
sahip tek başına beş metriği birden üretemez.

### 8.3 Yeniden Yapılanma Olmadan Sunmak

Puan kartı programlarının çoğu yönetişimde değil, araçlandırmada başarısız olur. Eğer
altta yatan gözlemlenebilirlik katmanı başarı oranını işletim sistemi, tarayıcı ve kimlik
bilgisi yöneticisine göre ayıramıyorsa, hiçbir inceleme döngüsü faydalı bir puan kartı
üretmeyecektir. Pratikte işe yarayan sıra şöyledir:

1. **Önce araçlandırın.** İstemci tarafındaki etkinlik telemetrisi başarı oranını kohorta
   göre kırabilmelidir; bu diğer her puan kartı metriğinin ön koşuludur.
2. **Önce ortaklaşa sahip olmak için bir Metrik seçin.** Kohorta göre oturum açma başarı
   oranı genellikle doğru olan ilk seçimdir, çünkü diğer her metriğin bağlı olduğu
   kohortlar arası araçlandırmayı zorlar.
3. **Aylık 60 dakikalık İnceleme.** Birinci toplantı: beş metrik ve mevcut başlangıç
   çizgisi üzerinde anlaşın. İkinci toplantı: üç aylık hedefler üzerinde anlaşın. Üçüncü
   toplantı: ilk eylem planı. Metrikleri tek seferde değil, iki çeyrek boyunca ekleyin.

Altıncı ayda olgun bir dağıtım şunları raporlar: En kötü üçü için adlandırılmış sahiplerle
birlikte kohorta göre oturum açma başarı oranı, iki ayrı sayı olarak geçiş anahtarı
erişimi ve kullanımı, ortak bir CISO/CPO sahibiyle kurtarma başarısı, yanlış pozitif
oranıyla birlikte ek doğrulama tetikleme oranı ve yönteme göre kırılmış doğrulama başına
maliyet. Aylık inceleme veriler hakkında tartışmaktan, asıl teslim edilebilir olan
kararlar hakkında tartışmaya kayar.

## 9. Corbado, Kimlik Doğrulama için Eksik Veri Katmanını Nasıl Ekler?

Corbado, CIAM'ın kime ait olduğuna karar vermez ve bunu denemez. Sahiplik, organizasyonel
bir karardır. Corbado'nun getirdiği şey, en başından beri eksik olan veri katmanıdır -
siloların, bölünmüş bütçelerin ve "benim problemim değil" tutumlarının kendi başlarına
asla üretemediği katman. Kimlik doğrulama, nihayet ürün analitiğinin, gözlemlenebilirliğin
ve dolandırıcılık araçlarının kendi alanlarında zaten sahip olduklarının eşdeğerine
sahiptir.

Kimlik doğrulama gözlemlenebilirlik katmanı IDP, dolandırıcılık motoru ve SIEM'in üzerinde
oturur ve onların sinyallerini oturum açma yolculuğunun tek bir görünümünde birleştirir.
Arka uç denemeleri, istemci tarafı merasimleri, kimlik bilgisi yöneticisi davranışı,
kohort düzeyinde başarı ve kurtarma sonuçları tek bir sistemde yaşar ve birbirlerine karşı
ölçülür.

- **Kimlik Doğrulama için tek bir Veri Katmanı.** Arka uç, ön uç, dolandırıcılık ve
  güvenlik sinyalleri oturum başına, kohort başına ve yolculuk başına ilişkilendirilir,
  böylece gerçek giriş performansı dört sistem arasında gömülü olmaktan çıkar.
- **Kohort Düzeyinde Başarı Oranı.** İşletim sistemi, tarayıcı, kimlik bilgisi yöneticisi
  ve donanıma göre kırılmış giriş başarısı; çoğu ekibin mevcut araçlarından üretemediği
  ilk puan kartı metriğidir.
- **Ayrı Sayılar olarak Oluşturma ve Kullanım.**
  [Geçiş anahtarı oluşturma](https://www.corbado.com/tr/blog/passkey-olusturma-en-iyi-uygulamalari) ve geçiş
  anahtarı kullanımı iki ayrı KPI olarak raporlanır ki bu, çoğu puan kartının ihtiyaç
  duyduğu en büyük ölçüm düzeltmesidir.
- **Kurtarma Yolu Analitiği.** Kurtarma akışı kullanımı, başarısı ve düşüşü, giriş
  akışlarıyla aynı olay sınıflandırmasında yüzeye çıkar, böylece CISO ve CPO aynı sayıları
  görür.
- **Yönteme Göre Terk Etme.** Yöntem başına terk etme oranları puan kartının, parola terk
  etmeyi (kimlik bilgisi hijyeni), geçiş anahtarı terk etmeden (kullanıcı arayüzü veya
  kimlik bilgisi yöneticisi çatışması) ayırmasını sağlar.
- **Sunum Güvenlik Rayları.** Dinamik baskılama, kohorta özel yönlendirme ve acil durdurma
  anahtarları (kill-switch), programı yürüten kişinin IDP'ye doğrudan dokunmadan
  değişiklik yapmasını sağlar.
- **Referans Kıyaslamaları.** Corbado'nun müşteri tabanından alınan dağıtımlar arası temel
  çizgiler, kurum içi sayıların dış sayılarla karşılaştırılmasına olanak tanır, bu da
  genellikle aylık bir incelemeyi karara dönüştüren şeydir.

Sahiplik anlaşmazlıkları veri katmanıyla ortadan kalkmaz. Çözülmeleri daha kolay hale
gelir, çünkü "benim verilerim söylüyor" şeklindeki argümanlar biter ve ne yapılması
gerektiği konusundaki tartışmalar başlar.

## 10. Sonuç

CIAM'ın birden fazla meşru sahibi vardır ve bu değişmeyecektir. Değişen şey kurumsal
yapının bir sahip mi yoksa bir puan kartı mı seçeceğidir. Bir sahip seçmek daha hızlıdır
ancak politik sermaye gerektirir. Bir puan kartı seçmek daha yavaştır ancak yeniden
yapılanma olmadan da işe yarar. Her iki yol da bugün çoğu işletmenin yürüttüğü örtük
yazı-tura atışından daha iyidir. Belirsiz sahipliğin maliyeti takılı kalan dağıtımlarla,
kopuk akışlarla ve aynı anda hem güvenlik hem de dönüşüm sayılarının sessizce erozyona
uğramasıyla ölçülür.

## SSS

### Büyük bir Kurumsalda CIAM genellikle kime aittir?

Deneyimlerimize göre sahiplik; CISO, CTO, CPO, dolandırıcılık ve büyüme işlevleri arasında
bölünmüştür. Düzenlemeye tabi sektörlerde CISO ofisi birincil yetkiye sahiptir. Tüketici
odaklı, dijital yerlisi şirketlerde ise CIAM'ın ürüne entegre edilmesi gerektiği için
genellikle CPO veya CTO ofisi birincil yetkiye sahiptir. Paylaşılan bir puan kartı
çalıştıran özel bir kimlik ürün yöneticisi, her ikisi için de olgunlaşmış yapıdır.

### Sektör CIAM'ın kime ait olması gerektiğini değiştirir mi?

Evet. E-ticaret, CIAM'ı bir dönüşüm sorunu olarak ele alır ve genellikle ürün veya
büyümeye bırakır. Bankacılık bunu bir güvenlik ve uyumluluk sorunu olarak ele alır ve
CISO'ya bırakır. Telekom, sigorta ve sağlık hizmetleri bölünmüş modeller yürütür. Doğru
cevap, soyut bir en iyi uygulamayı değil, sektörün güvenlik iştahını ve inceleme döngüsünü
takip eder.

### Bölünmüş CIAM Sahipliği neden yeni Kimlik Doğrulama Sunumlarına zarar verir?

Sosyal oturum açma ve ek MFA adımlarından geçiş anahtarlarına kadar herhangi bir yeni
kimlik doğrulama yöntemi, koordineli kayıt kullanıcı arayüzüne, kurtarma akışlarına, risk
politikasına ve destek araçlarına ihtiyaç duyar. Bunların her biri farklı hızlara sahip
farklı bir sahibin altında olduğunda, sunum en yavaş sahibin hızında ilerler. Geçiş
anahtarı dağıtımları şu anki en görünür örnektir ve rutin olarak %5 ila %15 benimseme
oranlarında takılır.

### Çalışan IAM ve Müşteri IAM aynı Ekipte mi yer almalıdır?

Genellikle hayır. Kelime dağarcığını paylaşırlar ama başka çok az şeyi paylaşırlar.
Çalışan IAM yönetilen cihazlar, bilinen kullanıcılar ve maliyet verimliliği için optimize
eder. Müşteri IAM yönetilmeyen cihazlar, anonim kullanıcılar ve dönüşüm için optimize
eder. Çoğu olgun kurum, onları ayrı yönetişimde tutar ve bir lideri değil bir konseyi
paylaşır. Bu ayrımın CIAM tarafı için kimlik doğrulama gözlemlenebilirliği hakkındaki
kılavuzumuza bakın.

### En önemli CIAM KPI'ları nelerdir?

İşlevlere özel panoların arasına düşen beş çapraz işlevli metrik: kohorta göre oturum açma
başarı oranı, kimliği doğrulanmış ilk eyleme kadar geçen süre, iki ayrı metrik olarak
geçiş anahtarı erişimi ve kullanımı, kurtarma yolu başarısı ve doğrulama yöntemine göre
terk etme. Her biri yük taşıyıcıdır ve çoğu kurumda eksik araçlandırılmıştır.

### Geçiş Anahtarı Erişimi ve Geçiş Anahtarı Kullanımı Neden Aynı Metrik Değildir?

Erişim, kaydolan uygun kullanıcıların yüzdesidir. Kullanım, bir
[geçiş anahtarı](https://www.corbado.com/tr/blog/androidde-gecis-anahtarlari-nasil-etkinlestirilir)nı fiilen
kullanan girişlerin yüzdesidir. Kayıtlı kullanıcılar alışkanlık gereği parola yazmaya
devam ederse, bir dağıtım yüksek erişime ve düşük kullanıma sahip olabilir. Sadece tek bir
metriği raporlamak, yönetici incelemesini yanıltır.

### Paylaşılan CIAM Puan Kartı nedir?

Sahip işlevlerin her ay birlikte incelediği beş çapraz işlevli metriğe sahip tek sayfalık
bir araçtır. Her metriğin veri kalitesi için bir birincil sahibi, eylem planı için çapraz
işlevli bir sahibi ve her çeyreğin başında ortaklaşa belirlenen bir hedefi vardır.
İnceleme tek sayfa üzerinden yapılır, altta yatan panolarda değil.

### Puan Kartı ne sıklıkla incelenmelidir?

Sahip olan işlevlerle aylık, 60 dakikalık çapraz işlevli bir toplantıda. Daha sık
yapıldığında incelemeler arasında hiçbir şey değişmez. Daha seyrek yapıldığında, özellikle
işletim sistemi veya tarayıcı güncellemelerinden sonraki kohort düzeyindeki gerilemeler
için sistemik sapmalar fark edilmez.

### Yeniden Yapılanma Olmadan Nasıl Başlarız?

En çok zarar veren iki metriği seçin, sahiplerin bu metrikler için aylık 60 dakikalık bir
incelemede bir araya gelmesini sağlayın ve iki çeyrek boyunca genişletin. Hiçbir unvan
değişmez. Puan kartının kendisi yönetişim katmanı haline gelir. Çoğu kurum, raporlama
hatlarını resmi olarak hiç taşımadan 12 ila 18 ay içinde olgun bir yapıya ulaşır.

### Bir Satıcı Sahiplik Anlaşmazlıklarını Çözmeye Yardımcı Olabilir mi?

Bir satıcı sizin yerinize sahipliğe karar veremez. Sahiplik anlaşmazlıklarını çözmeyi
zorlaştıran veri belirsizliğini ortadan kaldırabilir. Paylaşılan bir analitik katmanı,
genel görünümü korurken her sahibin ilgilendiği dilimi ona verir; bu da genellikle politik
bir tartışmayı operasyonel bir tartışmaya dönüştürmek için yeterlidir.