Định hình lại Quyền sở hữu CIAM trong Doanh nghiệp

1. Giới thiệu#

Hỏi mười doanh nghiệp xem ai sở hữu danh tính khách hàng hoặc người tiêu dùng (CIAM) và bạn sẽ nhận được mười câu trả lời khác nhau. Đôi khi đó là CISO. Đôi khi là CTO, bởi vì CIAM phải được tích hợp trực tiếp vào ứng dụng, trang web và các API đi kèm với sản phẩm. Đôi khi là CPO. Đôi khi là một nhóm chống gian lận tiếp quản từng phần vì không ai khác nắm được toàn bộ bức tranh. Thường thì không ai cả và hệ thống được giữ hoạt động bởi một kỹ sư DevOps, người được thừa kế nó từ ba lần tổ chức lại trước đó.

Gartner CIAM Magic Quadrant phân loại IAM khách hàng xung quanh năm nhóm chức năng - đăng ký, xác thực, ủy quyền, tự phục vụ và phân tích - những thứ hầu như không bao giờ được ánh xạ một cách rõ ràng cho một nhóm duy nhất. Theo Grand View Research, thị trường CIAM toàn cầu được định giá 8,12 tỷ USD vào năm 2023 và dự báo đạt 26,72 tỷ USD vào năm 2030, tỷ lệ tăng trưởng kép hàng năm là 17,4%. Các câu hỏi về quyền sở hữu cũng tăng theo mức chi tiêu đó.

CIAM là một trong những chương trình liên chức năng nhất mà hầu hết các doanh nghiệp B2C vận hành. Nó nằm ở điểm giao cắt của bảo mật, kỹ thuật, sản phẩm, gian lận và tăng trưởng, và mỗi chức năng này tối ưu hóa cho một số liệu khác nhau. Quyền sở hữu quyết định số liệu nào chiến thắng khi chúng xung đột. Quyền sở hữu mơ hồ có nghĩa là không có gì chiến thắng, và chương trình danh tính cứ trôi dạt.

Bài viết này định hình lại quyền sở hữu CIAM cho doanh nghiệp hiện đại: các hồ sơ chủ sở hữu phổ biến, cách thức ngành định hình câu trả lời, tại sao dữ liệu bị phân mảnh và văn hóa "không phải việc của tôi" khiến câu hỏi bị bỏ ngỏ, và mô hình hoạt động dùng chung trông như thế nào khi việc tái tổ chức không nằm trong kế hoạch.

2. Vấn đề Tung đồng xu#

2.1 Tại sao CIAM là Chương trình liên chức năng nhất bạn có#

Danh tính khách hàng và người tiêu dùng chạm đến mọi thứ. Nó quyết định liệu người dùng có thể mua, gia hạn, khôi phục quyền truy cập hay đạt được một tính năng được quản lý hay không. Văn phòng CISO quan tâm vì mọi sự kiện xác thực đều là một sự kiện bảo mật. Văn phòng CTO quan tâm vì CIAM phải được tích hợp vào ứng dụng, trang web và các API, và mọi thay đổi đối với đăng nhập đều được chuyển đi cùng với mã sản phẩm thực. Văn phòng CPO quan tâm vì mọi sự kiện xác thực đều là một sự kiện chuyển đổi. Bộ phận gian lận quan tâm vì mỗi lần step-up là một tín hiệu gian lận. Bộ phận tăng trưởng quan tâm vì cá nhân hóa phụ thuộc vào việc xác định người dùng. Không có hệ thống nào khác có tới năm chủ sở hữu hợp pháp cùng lúc.

2.2 Cái giá của Quyền sở hữu mơ hồ#

Cái giá phải trả có thể thấy rõ trong các đợt triển khai passkey. Các đợt triển khai bị đình trệ ở mức từ 5% đến 15% mức độ chấp nhận hầu như luôn có một điểm chung: không có chủ sở hữu duy nhất nào nắm giữ quá trình triển khai từ đầu đến cuối. Bảo mật tài trợ cho bản thử nghiệm, sản phẩm sở hữu UI, IT sở hữu IDP, gian lận sở hữu step-up và không ai sở hữu việc thúc đẩy các nhóm người dùng thực sự thúc đẩy việc đăng ký. Chương trình di chuyển với tốc độ của chủ sở hữu chậm nhất.

FIDO Alliance 2024 Online Authentication Barometer nhận thấy rằng sự quen thuộc với passkey đã tăng lên 57% trên toàn cầu, và 42% số người được hỏi quen thuộc với passkey đã bật chúng trên ít nhất một tài khoản. Khoảng cách giữa nhận thức và việc kích hoạt là nơi quyền sở hữu CIAM mơ hồ thể hiện rõ ràng nhất: công nghệ hoạt động tốt, nhưng quá trình triển khai thì không. Như nhà phân tích David Mahdi của Gartner đã chỉ ra trong bối cảnh hội tụ các nguyên tắc IAM, "các tổ chức phải suy nghĩ lại về kiến trúc IAM của họ để giải quyết sự phi tập trung ngày càng tăng của quản lý truy cập và danh tính". Không có một người chủ, sự suy nghĩ lại này sẽ không xảy ra.

2.3 Vấn đề Phân tích bị ngắt kết nối#

Một lý do khiến quá nhiều nhóm cuối cùng cùng nắm giữ cổ phần trong CIAM là do ban đầu không có công cụ phân tích xác thực dùng chung. Biểu đồ dưới đây cho thấy mô hình: bốn hệ thống giữ bốn phần của hành trình xác thực và không có gì nằm phía trên chúng để kết nối các tín hiệu.

Các hướng dẫn danh tính kỹ thuật số của NIST Special Publication 800-63-4 yêu cầu rõ ràng "đánh giá liên tục" về sự đảm bảo của trình xác thực (authenticator), điều này là không thể nếu không có chế độ xem sự kiện từ đầu đến cuối. Trong thực tế, chỉ một số ít các chương trình B2C có chế độ xem đó: Cuộc khảo sát Người tiêu dùng Ping Identity 2024 cho thấy 63% người tiêu dùng sẽ từ bỏ một tài khoản sau hai lần thử đăng nhập không thành công, đây là một số liệu mà ít nhóm CIAM nào theo dõi, bởi vì dữ liệu cần thiết để theo dõi nó nằm rải rác trong ba hệ thống khác nhau.

Mỗi chủ sở hữu sau đó bảo vệ phần của mình. Một phần nguyên nhân là ngân sách - nhóm trả tiền cho dữ liệu cảm thấy họ giành được quyền kiểm soát. Một phần là đòn bẩy - dữ liệu là cách dễ nhất để chứng minh giá trị trong một đánh giá liên chức năng. Hiệu ứng thực tế là ngay cả khi một vấn đề CIAM kéo dài trên cả bốn hệ thống, không một người nào có thể nhìn thấy nó từ đầu đến cuối. Một lớp quan sát xác thực chuyên dụng sẽ loại bỏ cái cớ đó và thường châm ngòi cho cuộc trò chuyện về quyền sở hữu vốn đã quá hạn.

3. Chủ sở hữu phổ biến#

Năm chức năng thường xuyên khẳng định quyền với CIAM, và mỗi chức năng tối ưu hóa cho một số liệu khác nhau. So sánh dưới đây tóm tắt những gì mỗi nguyên mẫu được đo lường và điểm mù của họ nằm ở đâu.

3.1 Văn phòng CISO#

Tối ưu hóa cho: tỷ lệ gian lận, độ bao phủ MFA, tỷ lệ tài khoản bị xâm phạm và kết quả kiểm toán. Coi CIAM là một kiểm soát bảo mật. Điểm mạnh: KPI rõ ràng và thẩm quyền ngân sách dưới áp lực pháp lý (DORA, NIS2 hoặc NIST 800-63). Điểm mù: tác động chuyển đổi của ma sát, chi phí hỗ trợ của các luồng bị hỏng và trải nghiệm của cái đuôi dài những người dùng có thiết bị bị hỏng một cách âm thầm.

3.2 Văn phòng CTO#

Tối ưu hóa cho: nỗ lực tích hợp, độ tin cậy của nền tảng, chất lượng SDK, tốc độ phát hành và chi phí kỹ thuật. Coi CIAM là một vấn đề tích hợp sản phẩm vì đăng nhập là mã (code) được vận chuyển cùng với ứng dụng, trang web và API. Điểm mạnh: gần gũi với sản phẩm, sở hữu SDK phía client, khả năng sửa các luồng bị hỏng một cách nhanh chóng. Điểm mù: sắc thái quy định, sự đánh đổi rủi ro gian lận và vệ sinh thông tin xác thực dài hạn một khi quá trình tích hợp đi vào hoạt động. CIO xuất hiện trong vai trò này trong các doanh nghiệp khu vực công và các doanh nghiệp có IT tập trung cao, nhưng trong hầu hết các doanh nghiệp hướng tới người tiêu dùng, văn phòng CTO là sự phù hợp chặt chẽ hơn.

3.3 Văn phòng CPO hoặc Sản phẩm#

Tối ưu hóa cho: chuyển đổi đăng nhập, tỷ lệ kích hoạt, thành công trong khôi phục và thời gian để đạt giá trị đầu tiên (time-to-first-value). Coi CIAM là một sản phẩm. Điểm mạnh: sự khắt khe về UX, thử nghiệm A/B và sự đồng cảm với khách hàng. Điểm mù: phơi nhiễm gian lận, các ràng buộc quy định và vệ sinh thông tin xác thực dài hạn.

3.4 Văn phòng Gian lận hoặc Rủi ro#

Tối ưu hóa cho: tỷ lệ kích hoạt step-up, tỷ lệ dương tính giả, tỷ lệ bồi hoàn và tỷ lệ chiếm đoạt tài khoản. Sở hữu một phân khúc danh tính, hiếm khi là toàn bộ. Điểm mạnh: lập mô hình rủi ro, tín hiệu thời gian thực và phản ứng sự cố. Điểm mù: các luồng đăng ký, luồng khôi phục và các phần của danh tính không mang tính giao dịch.

3.5 Văn phòng Tăng trưởng hoặc Tiếp thị#

Chủ sở hữu mới nổi, đặc biệt là trong đăng ký tiêu dùng và bán lẻ. Tối ưu hóa cho: tỷ lệ tái tương tác, số lần đăng nhập bị giới hạn bán chéo (cross-sell-gated logins) và tính sẵn sàng cá nhân hóa. Coi danh tính là nền tảng cho các vòng lặp tăng trưởng. Điểm mạnh: tư duy vòng đời và văn hóa thử nghiệm. Điểm mù: bất cứ thứ gì không phải là tăng trưởng.

4. Phân chia quyền sở hữu thực sự gây tổn hại ở đâu#

4.1 Cấp phát (Provisioning) so với Thu hồi (Deprovisioning)#

Cấp phát là một vấn đề về hiệu quả: bạn có thể đưa một người dùng vào hệ thống nhanh như thế nào. Thu hồi là một vấn đề bảo mật: bạn có thể loại bỏ một người dùng bị xâm phạm hoặc đã rời đi khỏi hệ thống nhanh như thế nào. Chúng hầu như luôn được mua như một công cụ duy nhất và được tinh chỉnh kém vì chủ sở hữu tập trung vào hiệu quả không bao giờ cảm nhận được nỗi đau của việc thu hồi và chủ sở hữu tập trung vào bảo mật không bao giờ cảm nhận được nỗi đau của việc cấp phát.

4.2 UX do Bộ phận Gian lận sở hữu so với UX do Sản phẩm sở hữu#

Bộ phận gian lận thêm ma sát vì ma sát ngăn chặn các tác nhân xấu. Sản phẩm loại bỏ ma sát vì ma sát cản trở doanh thu. Khi cả hai nhóm cùng định hình trang đăng nhập mà không có chủ sở hữu chung, kết quả là một sự thỏa hiệp không làm thỏa mãn bên nào: đủ ma sát để làm phiền người dùng, nhưng không đủ để ngăn chặn gian lận. Step-up được chấm điểm rủi ro là câu trả lời về mặt kỹ thuật. Một chủ sở hữu hành trình duy nhất là câu trả lời về mặt tổ chức.

4.3 Không có Chế độ xem chung về Hiệu suất Đăng nhập#

Quyền sở hữu bị chia cắt cũng gây tổn hại vì không có lớp phân tích dùng chung. Các con số hiệu suất đăng nhập thực tế - tỷ lệ thành công từ đầu đến cuối, thành công khôi phục, tỷ lệ kích hoạt step-up, tỷ trọng dự phòng (fallback) theo nhóm và tỷ lệ thành công theo phương thức (mật khẩu, OTP, đăng nhập xã hội, passkey) - nằm rải rác trên IDP, bộ phân tích sản phẩm, công cụ gian lận, SIEM và một vài bảng tính ở giữa. Mỗi nhóm nhìn thấy phần của riêng mình, không ai nhìn thấy toàn bộ hành trình và các triệu chứng bị vùi lấp bên trong các số liệu trông có vẻ ổn khi đứng riêng lẻ nhưng lại che giấu vấn đề thực sự.

Việc đăng nhập diễn ra chậm chạp đối với người dùng trên các phiên bản Android cũ hơn chỉ thể hiện dưới dạng một điểm nhỏ trên độ trễ của IDP, sự sụt giảm nhỏ trong chuyển đổi và sự gia tăng nhỏ trong các phiếu yêu cầu hỗ trợ. Không có yếu tố nào trong số này tự thân báo động. Nhưng khi kết hợp lại, chúng tạo thành một sự hồi quy đáng để khắc phục. Không có một chủ sở hữu và một góc nhìn, sự hồi quy đó có thể nằm nguyên không được đụng tới trong nhiều quý.

5. Ngành định hình câu trả lời#

Ai cuối cùng sở hữu danh tính khách hàng và người tiêu dùng cũng phụ thuộc vào ngành. Cùng một sơ đồ tổ chức hoạt động cho một lĩnh vực lại có thể bị coi là quản lý quá mức hoặc dưới mức ở lĩnh vực khác.

• Thương mại điện tử coi CIAM là một vấn đề chuyển đổi. Sản phẩm sở hữu phần đăng nhập, bộ phận tăng trưởng sở hữu quá trình tái tương tác và bộ phận gian lận nằm song song với cả hai. Nhu cầu về bảo mật ở mức vừa phải. Tần suất là các thử nghiệm hàng tuần. Nghiên cứu về tỷ lệ từ bỏ giỏ hàng của Viện Baymard báo cáo tỷ lệ từ bỏ trung bình là 70,2%, và một phần đáng kể là do ma sát tài khoản, điều này giữ cho bộ phận sản phẩm vững chắc ở vị trí chủ sở hữu.
• Ngân hàng và dịch vụ tài chính coi CIAM là một vấn đề bảo mật và tuân thủ. CISO sở hữu chương trình, bộ phận rủi ro sở hữu quá trình step-up và bộ phận IT chạy nền tảng. Nhu cầu bảo mật là cao và nhịp độ là hàng quý với việc kiểm toán nặng nề.
• Viễn thông, bảo hiểm và chăm sóc sức khỏe nằm ở giữa. Áp lực tuân thủ kéo họ về phía ngân hàng. Áp lực trải nghiệm khách hàng kéo họ về phía thương mại điện tử. Mô hình quản trị thường là sự phân chia giữa CISO và CPO với một thẻ điểm chung.
• Khu vực công và B2B chịu sự quản lý ưu tiên khả năng kiểm toán hơn là thử nghiệm. CIAM nằm dưới quyền của CIO (nơi IT tập trung vẫn còn tồn tại) hoặc dưới một chức năng quản trị danh tính chuyên dụng với tần suất định hướng theo sự tuân thủ. Các yêu cầu về Mức độ Đảm bảo Danh tính của NIST 800-63-4 thiết lập mức tối thiểu.

Góc phần tư bên dưới biểu thị mỗi ngành trên hai khía cạnh thúc đẩy câu trả lời về quyền sở hữu - nhu cầu bảo mật và tần suất đánh giá - và lập bản đồ chủ sở hữu thống trị ứng với từng vị trí.

Một thẻ điểm hoạt động tốt cho nhà bán lẻ có thể bị coi là quản lý yếu kém trong một ngân hàng. Một mô hình quản trị hoạt động cho một ngân hàng lại có thể bị coi là kỹ thuật quá mức trong một nhà bán lẻ. Các nghiên cứu về Tác động Kinh tế Tổng thể (TEI) của Forrester được các nhà cung cấp ủy quyền công bố cho thấy một khoảng cách lớn: ForgeRock CIAM TEI báo cáo ROI 186% trong ba năm, trong khi WSO2 CIAM TEI báo cáo ROI 332%. Sự kết hợp của các động lực - gia tăng chuyển đổi so với giảm thiểu gian lận so với chi phí kiểm toán - khác nhau đáng kể giữa các lĩnh vực, đó là lý do tại sao phạm vi ROI cũng thay đổi. Chọn đúng chủ sở hữu bắt đầu từ việc gọi tên chính xác mô hình ngành mà bạn đang hoạt động.

6. Danh tính lực lượng lao động so với Danh tính khách hàng#

IAM cho lực lượng lao động (Workforce IAM) và IAM cho khách hàng (Customer IAM) thường nằm ở các nhóm khác nhau, và đó thường là thiết lập đúng. Cả hai đều đối phó với danh tính nhưng tối ưu hóa cho những thứ khác nhau. IAM cho lực lượng lao động quản lý các nhân viên đã biết trên các thiết bị được quản lý với phiên dài và dân số người dùng nhỏ, thường từ 1.000 đến 100.000 người dùng. CIAM quản lý các khách hàng tiềm năng và khách hàng ẩn danh trên các thiết bị không được quản lý với các phiên ngắn, nhạy cảm với chuyển đổi và quy mô người dùng lớn hơn nhiều bậc, thường là hàng chục hoặc hàng trăm triệu. Mô hình mối đe dọa, KPI và lựa chọn công cụ là khác nhau.

7. Không có câu trả lời duy nhất đúng#

Không có nơi nào hoàn toàn đúng hoặc sai để CIAM định vị. Điều quan trọng là các sự phụ thuộc nội bộ hoạt động hiệu quả: nhóm sở hữu có thẩm quyền đưa ra quyết định, các nhóm đóng góp có một ghế chính thức tại bàn làm việc và thẻ điểm được chia sẻ đủ để không ai có thể rút một số liệu ra khỏi ngữ cảnh.

Một ngân hàng được quản lý có thể chạy CIAM dưới quyền của CISO và thành công. Một nhà bán lẻ có thể chạy CIAM dưới quyền của CPO và thành công. Một công ty viễn thông có thể chạy mô hình phân chia giữa CISO và CPO và thành công. Điều thất bại ở khắp mọi nơi là quyền sở hữu ngầm định mà không có chức năng thúc đẩy, không có lớp phân tích chia sẻ và không có tần suất xem xét liên chức năng. Mô hình tổ chức ít quan trọng hơn mô hình hoạt động nằm trên nó.

8. Thẻ điểm CIAM chia sẻ#

Việc chọn một thẻ điểm thường dễ hơn so với việc chọn một chủ sở hữu, và nó hoạt động mà không cần phải tái tổ chức. Ý tưởng rất đơn giản: trang tổng quan chức năng của mỗi giám đốc điều hành đều đúng về mặt cục bộ nhưng lại thiếu tính toàn cầu. Giải pháp là một trang duy nhất, năm số liệu, được các chức năng chủ sở hữu đánh giá chung hàng tháng.

8.1 Những số liệu không ai hoàn toàn sở hữu#

Đây là năm KPI liên chức năng nằm giữa tầm nhìn của CISO, CTO, CPO, gian lận và tăng trưởng. Mỗi số liệu đều có sức chịu tải và mỗi số liệu đều được đo lường chưa đầy đủ trong hầu hết các doanh nghiệp. Biểu đồ dưới đây cho thấy cách mỗi số liệu nằm ở giao điểm của nhiều chức năng chủ sở hữu, đó là lý do tại sao không có số liệu nào rơi hoàn toàn vào một nhóm duy nhất.

• Tỷ lệ đăng nhập thành công theo Nhóm (Cohort). Việc đăng nhập thành công ở mức tổng hợp (aggregate) có thể che giấu mọi thứ. Một tỷ lệ toàn cầu 92% có thể che đậy một tỷ lệ 70% trên sự kết hợp giữa một hệ điều hành, trình duyệt và trình quản lý thông tin xác thực (credential manager) cụ thể. Việc báo cáo tỷ lệ thành công chỉ ở mức tổng hợp là sai lầm phổ biến nhất trong việc đo lường CIAM.
• Thời gian cho hành động được xác thực đầu tiên (Time-to-first-authenticated-action). Độ trễ mà người dùng thực sự trải qua từ khi truy cập vào trang đăng nhập đến khi có thể giao dịch. Bao gồm thời gian khởi chạy Conditional UI, quá trình lựa chọn thông tin xác thực, dấu nhắc sinh trắc học và chuyển hướng trở lại. Số liệu này tương quan với tỷ lệ chuyển đổi và không ai sở hữu nó.
• Sử dụng và Thành công của Đường dẫn Khôi phục. Có bao nhiêu người dùng nhấn vào phần khôi phục, các đường dẫn nào họ sử dụng và bao nhiêu người thành công. Khôi phục là nơi sự gian lận gặp phải ma sát và chi phí hỗ trợ. Nó đồng thời thuộc về CISO, CPO và CTO, điều này thường có nghĩa là không thuộc về ai cả.
• Tạo Passkey so với Sử dụng Passkey. Tỷ lệ tạo là phần trăm người dùng đủ điều kiện đã đăng ký. Tỷ lệ sử dụng là tỷ lệ số lần đăng nhập thực sự dùng passkey. Một đợt triển khai có thể có 60% phạm vi tiếp cận và 20% mức sử dụng nếu người dùng đã đăng ký vẫn tiếp tục nhập mật khẩu theo thói quen. Khoảng cách tương tự cũng áp dụng cho bất kỳ phương thức xác thực mới nào.
• Bỏ ngang theo Phương thức Xác thực. Phiên hoạt động đã bắt đầu bằng phương thức nào và bao nhiêu lần nó không được hoàn thành. Sự bỏ ngang ở mật khẩu, OTP, đăng nhập xã hội và passkey có những nguyên nhân cốt lõi khác nhau - vệ sinh thông tin xác thực, lỗi phân phối, sự cố mất mạng từ bên thứ ba, vị trí giao diện người dùng (UI) hoặc xung đột từ trình quản lý thông tin xác thực. Lấy mức trung bình của chúng sẽ che giấu tất cả.

8.2 Một Trang, Năm Số liệu, Đánh giá Hàng tháng#

Thẻ điểm là một tài liệu dài một trang được các chức năng sở hữu đánh giá chung hàng tháng. Mỗi số liệu có một chủ sở hữu chính về chất lượng dữ liệu, một chủ sở hữu liên chức năng về kế hoạch hành động và một mục tiêu được đặt ra chung vào đầu mỗi quý. Một trang Notion hoặc Google Sheet là đủ - quá trình đánh giá diễn ra trên tài liệu một trang, không phải trên các trang tổng quan cơ sở (underlying dashboards).

Mỗi chủ sở hữu đóng góp phần mà chỉ họ có thể thấy:

• Bảo mật đóng góp tỷ lệ gian lận, tỷ lệ tài khoản bị xâm phạm và kết quả step-up theo nhóm.
• CTO / Kỹ thuật đóng góp thời gian hoạt động (uptime), tỷ lệ lỗi tích hợp, hiệu suất SDK và chi phí cho mỗi lần xác thực theo phương thức.
• Sản phẩm đóng góp các phễu chuyển đổi, tỷ lệ rời bỏ theo bước và thời gian đến giá trị đầu tiên (time-to-first-value).
• Gian lận đóng góp tỷ lệ kích hoạt step-up và tỷ lệ dương tính giả theo nhóm.
• Tăng trưởng đóng góp tỷ lệ phiên ẩn danh so với phiên đã xác định và tỷ lệ tái tương tác.

Ma trận dưới đây tóm tắt mô hình đóng góp và làm rõ những khoảng trống trong vùng phủ sóng - không một chủ sở hữu nào đứng một mình tạo ra cả năm số liệu.

8.3 Triển khai mà không cần tái tổ chức#

Hầu hết các chương trình thẻ điểm thất bại ở khâu cung cấp công cụ, không phải ở quản trị. Nếu lớp khả năng quan sát (observability layer) cơ sở không thể phân tách tỷ lệ thành công theo hệ điều hành, trình duyệt và trình quản lý thông tin xác thực, thì mọi nỗ lực đều vô nghĩa. Trình tự hiệu quả trong thực tế:

1. Trang bị công cụ trước. Đo lường dữ liệu từ xa (telemetry) của các sự kiện phía client có khả năng phân tích tỷ lệ thành công theo nhóm là điều kiện tiên quyết cho mọi số liệu trên thẻ điểm.
2. Chọn một số liệu để đồng sở hữu trước. Tỷ lệ đăng nhập thành công theo nhóm thường là lựa chọn đầu tiên phù hợp vì nó thúc đẩy công cụ đo chéo nhóm mà mọi số liệu khác phụ thuộc vào.
3. Đánh giá 60 phút hàng tháng. Cuộc họp thứ nhất: thống nhất về năm số liệu và đường cơ sở hiện tại. Cuộc họp thứ hai: thống nhất về các mục tiêu hàng quý. Cuộc họp thứ ba: kế hoạch hành động đầu tiên. Hãy bổ sung thêm các số liệu qua hai quý thay vì đưa ra tất cả cùng một lúc.

Vào thời điểm sáu tháng, một quá trình triển khai trưởng thành báo cáo tỷ lệ đăng nhập thành công theo nhóm với các chủ sở hữu cụ thể cho ba nhóm kém nhất, phạm vi tiếp cận passkey và sử dụng passkey được xem là hai con số riêng biệt, tỷ lệ thành công khi khôi phục với chủ sở hữu chung giữa CISO và CPO, tỷ lệ kích hoạt step-up bên cạnh tỷ lệ dương tính giả và chi phí cho mỗi lần xác thực được chia nhỏ theo phương thức. Đánh giá hàng tháng chuyển từ việc tranh cãi về dữ liệu sang tranh luận về các quyết định, đây chính là sản phẩm thực tế cần bàn giao.

9. Cách Corbado bổ sung lớp Dữ liệu còn thiếu cho Xác thực#

Corbado không quyết định ai sở hữu CIAM và cũng không cố gắng làm việc đó. Quyền sở hữu là một quyết định mang tính tổ chức. Những gì Corbado mang lại là lớp dữ liệu đã bị thiếu ngay từ đầu - lớp mà các hầm chứa, các ngân sách bị chia nhỏ và thái độ "không phải việc của tôi" không bao giờ tự tạo ra. Cuối cùng, chức năng xác thực cũng có được điều tương đương như các phân tích sản phẩm, khả năng quan sát (observability) và các công cụ chống gian lận đã có trong lĩnh vực riêng của chúng.

Lớp khả năng quan sát xác thực nằm phía trên IDP, công cụ chống gian lận và SIEM để kết hợp các tín hiệu của chúng thành một góc nhìn thống nhất về hành trình đăng nhập. Các nỗ lực backend, nghi thức (ceremonies) client-side, hành vi của trình quản lý thông tin xác thực, thành công cấp nhóm và các kết quả khôi phục cùng tồn tại trong một hệ thống và được đối chiếu với nhau.

• Một Lớp Dữ liệu chung cho Xác thực. Các tín hiệu backend, frontend, gian lận và bảo mật được tương quan trên mỗi phiên, mỗi nhóm và mỗi hành trình, vì vậy hiệu suất đăng nhập thực tế không còn bị chôn vùi trong bốn hệ thống riêng rẽ.
• Tỷ lệ thành công theo Nhóm (Cohort). Việc đăng nhập thành công được phân tích chi tiết theo hệ điều hành, trình duyệt, trình quản lý thông tin xác thực và phần cứng - đây là số liệu thẻ điểm đầu tiên mà hầu hết các nhóm không thể trích xuất từ các công cụ hiện có.
• Số lượng Tạo mới và Số lượng Sử dụng được tách riêng. Tạo passkey và sử dụng passkey được báo cáo như hai KPI khác biệt, đây là một điểm điều chỉnh trong đo lường lớn nhất mà hầu hết các thẻ điểm cần đến.
• Phân tích Đường dẫn Khôi phục (Recovery-Path). Tần suất sử dụng, thành công và mức độ bỏ dở ở các luồng khôi phục hiển thị trong cùng một nguyên tắc phân loại sự kiện với các luồng đăng nhập, để CISO và CPO có thể xem cùng một số liệu.
• Tỷ lệ Bỏ dở theo Phương thức. Tỷ lệ bỏ dở cho mỗi phương thức cho phép thẻ điểm phân biệt việc bỏ dở nhập mật khẩu (vệ sinh thông tin xác thực) với bỏ dở passkey (xung đột từ giao diện hoặc trình quản lý thông tin xác thực).
• Các Hàng rào An toàn khi Triển khai. Việc chặn tự động (dynamic suppression), nhắc nhở theo nhóm cụ thể và tính năng ngắt tự động (kill-switches) cho phép bất kỳ ai triệu tập chương trình đều có thể chạy các thay đổi mà không phải trực tiếp động đến IDP.
• Benchmarks Tham chiếu. Các đường cơ sở giữa các đợt triển khai khác nhau từ tệp khách hàng của Corbado cho phép đối chiếu những số liệu nội bộ với số liệu bên ngoài, điều này thường biến cuộc họp hàng tháng thành một quyết định cụ thể.

Các cuộc tranh chấp về quyền sở hữu không biến mất với một lớp dữ liệu. Nhưng chúng trở nên dễ giải quyết hơn, bởi vì những cuộc cãi vã "dữ liệu của tôi nói rằng" sẽ dừng lại để nhường chỗ cho các lập luận về việc phải làm gì tiếp theo.

10. Kết luận#

CIAM có nhiều chủ sở hữu hợp pháp và điều đó sẽ không thay đổi. Điều thay đổi là liệu doanh nghiệp có chọn một chủ sở hữu, hay chọn một thẻ điểm. Việc chọn chủ sở hữu sẽ nhanh hơn nhưng yêu cầu vốn chính trị (political capital). Việc chọn thẻ điểm thì chậm hơn nhưng lại hoạt động hiệu quả mà không cần đến việc phải tái cơ cấu tổ chức. Dù theo con đường nào thì đó cũng sẽ tốt hơn nhiều so với việc ngầm hiểu dựa vào trò tung đồng xu mà hầu hết các doanh nghiệp hiện đang vận hành. Cái giá của sự mơ hồ trong quyền sở hữu được tính bằng những lần triển khai bị đình trệ, những luồng hoạt động rời rạc và sự suy giảm âm thầm đối với cả tính bảo mật và tỷ lệ chuyển đổi cùng lúc.

Về Corbado

Corbado là Passkey Intelligence Platform dành cho các đội CIAM vận hành xác thực consumer ở quy mô lớn. Chúng tôi giúp bạn nhìn thấy điều mà log IDP và các công cụ analytics thông thường không thấy: những thiết bị, phiên bản OS, trình duyệt và trình quản lý credential nào hỗ trợ passkey, tại sao quá trình đăng ký không chuyển thành đăng nhập, luồng WebAuthn fail ở đâu, và khi nào một bản cập nhật OS hay trình duyệt làm hỏng đăng nhập một cách âm thầm — tất cả mà không cần thay thế Okta, Auth0, Ping, Cognito hay IDP nội bộ của bạn. Hai sản phẩm: Corbado Observe bổ sung observability cho passkey và mọi phương thức đăng nhập khác. Corbado Connect mang đến managed passkey với analytics tích hợp (song hành cùng IDP của bạn). VicRoads vận hành passkey cho hơn 5M người dùng với Corbado (kích hoạt passkey +80%). Trao đổi với chuyên gia Passkey →

FAQ#

Ai thường sở hữu CIAM trong một Doanh nghiệp lớn?#

Theo kinh nghiệm của chúng tôi, quyền sở hữu bị chia nhỏ giữa các chức năng CISO, CTO, CPO, chống gian lận và tăng trưởng. Tại các ngành bị quản lý nghiêm ngặt, văn phòng CISO nắm quyền chính yếu. Tại các công ty ưu tiên người tiêu dùng và hoạt động chủ yếu trên nền tảng số, văn phòng CPO hoặc CTO thường nắm quyền chính yếu, vì CIAM phải được tích hợp vào trong sản phẩm. Một giám đốc sản phẩm về danh tính tận tâm để vận hành một thẻ điểm chung sẽ là một mô hình trưởng thành cho cả hai phía.

Ngành nghề có ảnh hưởng đến việc ai nên sở hữu CIAM không?#

Có. Thương mại điện tử coi CIAM là một vấn đề về chuyển đổi và thường giao về cho đội ngũ Sản phẩm hoặc Tăng trưởng. Ngân hàng coi đó là một vấn đề về bảo mật và tuân thủ nên thường thuộc về CISO. Các ngành Viễn thông, Bảo hiểm và Y tế thường áp dụng các mô hình chia sẻ quyền lợi. Câu trả lời đúng sẽ đi theo mức độ rủi ro (security appetite) và tần suất đánh giá của ngành, chứ không phụ thuộc vào một phương pháp thực tiễn trừu tượng nào.

Tại sao Quyền sở hữu CIAM bị chia rẽ lại gây tổn hại cho các đợt Triển khai Xác thực mới?#

Mọi phương pháp xác thực mới - từ đăng nhập mạng xã hội và MFA step-up đến passkey - đều cần sự phối hợp giữa UX đăng ký, luồng khôi phục, chính sách rủi ro và các công cụ hỗ trợ. Khi mỗi khía cạnh nằm trong tay một chủ sở hữu khác nhau với tốc độ làm việc khác nhau, việc triển khai sẽ tiến triển theo tốc độ của người chậm nhất. Các đợt triển khai passkey là ví dụ hiện thời rõ ràng nhất và thường bị chững lại ở mức tỷ lệ áp dụng từ 5% đến 15%.

IAM cho Lực lượng Lao động (Workforce IAM) và IAM cho Khách hàng (Customer IAM) có nên thuộc về cùng một nhóm không?#

Thường là không. Chúng chỉ chia sẻ từ vựng và hầu như không còn điều gì khác. IAM cho Lực lượng lao động ưu tiên các thiết bị có quản lý, những người dùng đã biết và hiệu suất chi phí. IAM cho Khách hàng tối ưu cho các thiết bị không có quản lý, người dùng ẩn danh và tỷ lệ chuyển đổi. Đa số các doanh nghiệp trưởng thành đều áp dụng các quy trình quản trị riêng rẽ và sử dụng chung một hội đồng tư vấn thay vì chỉ phụ thuộc vào một lãnh đạo duy nhất. Hãy xem hướng dẫn của chúng tôi về khả năng quan sát trong xác thực (authentication observability) đối với vấn đề CIAM từ sự chia tách này.

Các KPIs CIAM nào là quan trọng nhất?#

Có năm chỉ số liên chức năng (cross-functional) thường rơi vào khoảng trống giữa các báo cáo điều hành riêng rẽ: tỷ lệ đăng nhập thành công theo từng nhóm (cohort), thời gian cho thao tác có xác thực đầu tiên, mức tiếp cận (reach) và mức sử dụng passkey (tính là hai con số riêng biệt), tỷ lệ thành công khi sử dụng luồng khôi phục, và tỷ lệ rời dở dang theo phương thức xác thực. Mỗi số liệu đóng vai trò quyết định, thế nhưng lại bị đo lường thiếu hụt ở hầu hết doanh nghiệp.

Tại sao Mức độ Tiếp cận Passkey và Mức độ Sử dụng Passkey không phải là cùng một số liệu?#

Mức độ tiếp cận (Reach) là tỷ lệ những người dùng đủ tiêu chuẩn đã đăng ký một passkey. Mức độ sử dụng (Usage) là phần trăm các lượt đăng nhập thực tế dùng passkey. Một đợt triển khai có thể đạt mức tiếp cận cao nhưng có lượt dùng thấp nếu như người đã đăng ký cứ nhập mật khẩu theo thói quen cũ. Báo cáo chung một số liệu sẽ dễ dàng đánh lừa hội đồng đánh giá.

Thẻ điểm CIAM chia sẻ là gì?#

Là một tài liệu báo cáo trang duy nhất bao gồm năm chỉ số liên chức năng, được đánh giá chung hàng tháng bởi tất cả các bên sở hữu. Mỗi số liệu sẽ có một chủ sở hữu chính về chất lượng dữ liệu, một chủ sở hữu xuyên suốt cho kế hoạch hành động, và một mức chỉ tiêu được thiết lập chung tại đầu mỗi quý. Đánh giá được diễn ra trực tiếp trên văn bản trang nhất này, thay vì trên các hệ thống báo cáo cơ sở.

Nên đánh giá Thẻ điểm bao lâu một lần?#

Hàng tháng, tại một cuộc họp chéo khoảng 60 phút với sự có mặt của tất cả những người sở hữu quyền liên quan. Nếu dày đặc hơn thì chẳng kịp nhận thấy điều thay đổi nào ở giữa các kỳ đánh giá. Nếu thưa thớt hơn thì những sai lệch hệ thống sẽ không bị phát hiện, đặc biệt ở các hồi quy cấp nhóm (cohort-level regressions) mỗi khi vừa có phiên bản nâng cấp của OS hay trình duyệt.

Làm thế nào để bắt đầu mà không cần thay đổi Cơ cấu Tổ chức (Reorg)?#

Chọn ra hai chỉ số nào có vấn đề nhất, tập hợp những người giữ thẩm quyền để đánh giá 60 phút trong hàng tháng chỉ chuyên biệt về các số liệu này, sau đó sẽ tiến hành mở rộng qua vòng hai quý. Chẳng chức danh nào cần sửa lại. Riêng Thẻ điểm sẽ đóng vai trò như tầng lớp quản trị mới. Rất nhiều doanh nghiệp bắt kịp mức ổn định trưởng thành trong vòng 12 đến 18 tháng mà không cần đến việc chính thức sửa các luồng báo cáo công việc.

Liệu một nhà cung cấp (Vendor) có giải quyết được những vướng mắc về Quyền Sở Hữu?#

Một nhà cung cấp không thể tự định đoạt luôn cho cơ cấu của bạn. Nó chỉ tháo gỡ đi mớ bòng bong dữ liệu mập mờ, thứ mà gây cản trở nhất cho những tranh cãi khi đưa ra quyết định ở mỗi đợt họp phân ranh sở hữu. Một lớp nền phân tích chung (analytics layer) chia sẻ cho mọi bên những góc độ cần thiết của họ, nhưng vẫn giữ được hệ thống đối chiếu bao quát, một công cụ thường là quá đủ cho việc chuyển hướng một cuộc cãi vã lợi ích qua cho một phiên thảo luận hướng giải quyết thực thi.