重新思考企业中的 CIAM 所有权

1. 引言#

如果你问十家企业谁拥有客户或消费者身份（CIAM），你会得到十个不同的答案。有时是 CISO。有时是 CTO，因为 CIAM 必须直接集成到提供产品的应用程序、网站和 API 中。有时是 CPO。有时是欺诈团队接管了部分工作，因为没有人掌握全貌。通常情况下，完全没有人负责，系统只是由一位经历了三次重组继承下来的 DevOps 工程师勉强维持。

Gartner CIAM 魔力象限将客户 IAM 划分为五个功能模块——注册、身份验证、授权、自助服务和分析——这几乎无法清晰地映射到单个团队。根据 Grand View Research 的数据，2023 年全球 CIAM 市场价值为 81.2 亿美元，预计到 2030 年将达到 267.2 亿美元，复合年增长率为 17.4%。所有权问题随着这一支出的增加而扩大。

CIAM 是大多数 B2C 企业中跨职能性最强的项目之一。它处于安全、工程、产品、欺诈和增长的交叉点，这些职能部门各自为一个不同的指标进行优化。当它们发生冲突时，所有权决定了哪个指标胜出。所有权模糊意味着没有任何指标胜出，身份项目就会偏离正轨。

本文重新思考了现代企业中的 CIAM 所有权：常见的所有者资料、行业如何塑造答案、为什么分散的数据和“不是我的问题”的文化让这个问题悬而未决，以及在无法重组的情况下，共享的运营模式是怎样的。

1.1 本文解答的问题#

在本文中，我们探讨以下问题：

1. 为什么在大多数企业中 CIAM 的所有权是模糊的？这种模糊实际上带来了什么代价？
2. 常见的 CIAM 所有者有哪些？每个人又是如何以不同方式优化项目的？
3. 为什么所有权分散往往与缺失身份验证分析层有关？
4. 行业背景（电子商务、银行或受监管的 B2C 行业）如何改变这个答案？
5. 所有权分散在哪里造成的伤害最大？
6. 哪些 CIAM KPI 没有人完全拥有，但每个团队都需要？
7. 共享的 CIAM 计分卡是什么样的？在不进行重组的情况下，如何推广它？

2. 掷硬币问题#

2.1 为什么 CIAM 是你所拥有的跨职能性最强的项目#

客户和消费者身份触及方方面面。它决定了用户是否可以购买、续订、恢复访问权限或使用受监管的功能。CISO 办公室关心它，因为每次身份验证事件都是安全事件。CTO 办公室关心它，因为 CIAM 必须集成到应用程序、网站和 API 中，并且登录的每次更改都会与实际产品代码一起发布。CPO 办公室关心它，因为每次身份验证事件都是转化事件。欺诈团队关心它，因为每次升级身份验证都是欺诈信号。增长团队关心它，因为个性化取决于识别用户身份。没有其他系统会同时拥有五个合法的所有者。

2.2 所有权模糊的代价#

代价在通行密钥推广中显而易见。停滞在 5% 到 15% 采用率的部署几乎都有一个共同点：没有一个单一的所有者端到端地负责推广。安全部门资助了试点项目，产品部门拥有 UI，IT 部门拥有 IDP，欺诈部门拥有升级机制，而真正推动注册的群组推送却无人负责。项目进展的速度受限于最慢的负责方。

FIDO 联盟 2024 年在线身份验证晴雨表发现，全球对通行密钥的熟悉度上升至 57%，并且在熟悉通行密钥的受访者中，有 42% 已在至少一个账户上启用了它们。认知与启用之间的差距，正是 CIAM 所有权模糊最具体的体现：技术有效，但推广不力。正如 Gartner 分析师 David Mahdi 在融合 IAM 学科的背景下指出的，“组织必须重新思考其 IAM 架构，以应对身份和访问管理日益去中心化的趋势”。如果没有一个所有者，这种重新思考就不会发生。

2.3 分析脱节问题#

众多团队最终在 CIAM 中拥有利益的另一个原因是，一开始就没有共享的身份验证分析工具。下图展示了这种模式：四个系统掌握着身份验证旅程的四个片段，但上面没有任何系统可以将这些信号整合起来。

NIST 特别出版物 800-63-4 数字身份指南明确要求对身份验证器保证进行“持续评估”，如果没有端到端的事件视图，这是不可能的。在实践中，只有少数 B2C 项目拥有这种视图：2024 年 Ping Identity 消费者调查发现，63% 的消费者在经历两次糟糕的登录尝试后会放弃一个账户。这在 CIAM 团队中几乎是一个没有人追踪的指标，因为追踪所需的数据存在于三个不同的系统中。

然后，每个所有者都在保护自己的片段。部分原因是预算——为数据付费的团队觉得他们获得了控制权。部分原因是筹码——数据是在跨部门审查中展示价值的最简单方法。实际效果是，即使 CIAM 问题跨越所有四个系统，也没有一个人能端到端地看到它。专门的身份验证可观测性层消除了这个借口，并且通常会触发早就该进行的所有权对话。

3. 常见所有者#

五个职能部门通常宣称对 CIAM 的所有权，且每个部门都在为一个不同的指标进行优化。下面的对比总结了每种原型衡量的标准及其盲点所在。

3.1 CISO 办公室#

优化目标：欺诈率、MFA 覆盖率、受损账户率和审计结果。将 CIAM 视为安全控制手段。优势：在面临监管压力（DORA、NIS2 或 NIST 800-63）时具备清晰的 KPI 和预算控制权。盲点：摩擦对转化率的影响、破损流程的支持成本，以及那些设备悄然出故障的“长尾”用户的体验。

3.2 CTO 办公室#

优化目标：集成工作量、平台可靠性、SDK 质量、发布速度和工程成本。将 CIAM 视为产品集成问题，因为登录是与应用程序、网站和 API 一起发布的代码。优势：贴近产品、掌握客户端 SDK、能够快速修复破损的流程。盲点：监管细节、欺诈权衡，以及集成上线后长期的凭据卫生情况。在公共部门和高度集中 IT 的企业中，CIO 会扮演这个角色，但在大多数面向消费者的企业中，CTO 办公室更为契合。

3.3 CPO 或产品办公室#

优化目标：登录转化率、激活率、恢复成功率和首次价值实现时间。将 CIAM 视为产品。优势：注重用户体验严谨性、A/B 测试和客户同理心。盲点：欺诈风险暴露、监管限制和长期凭据卫生情况。

3.4 欺诈或风险办公室#

优化目标：升级触发率、误报率、拒付率和账户接管率。掌握部分身份管理，很少拥有全部。优势：风险建模、实时信号和事件响应。盲点：注册流程、恢复流程，以及身份管理中非交易的部分。

3.5 增长或营销办公室#

新兴所有者，尤其是在消费者订阅和零售领域。优化目标：重新参与率、交叉销售门槛登录以及个性化准备度。将身份视为增长循环的基础。优势：生命周期思维和实验文化。盲点：除了增长之外的任何事物。

4. 所有权分散在哪里造成的伤害最大#

4.1 配置与取消配置#

配置是一个效率问题：你能多快让一个用户进入系统。取消配置是一个安全问题：你能多快将受损或离职的用户移出系统。它们通常被作为一个工具购买，并且因为关注效率的所有者从不感受取消配置的痛苦，而关注安全的所有者从不感受配置的痛苦，因此往往没有得到充分优化。

4.2 欺诈团队的 UX 与产品团队的 UX#

欺诈团队增加摩擦是因为摩擦能阻止恶意行为者。产品团队消除摩擦是因为摩擦阻碍收入。当两个团队在没有共同所有者的情况下塑造相同的登录页面时，结果就是双方都不满意妥协：有足够的摩擦去惹恼用户，却没有足够的摩擦来阻止欺诈。基于风险评分的升级身份验证是技术上的答案。单一的旅程所有者是组织上的答案。

4.3 缺乏登录表现的共享视图#

所有权分散还会造成伤害，因为没有共享的分析层。真实的登录表现数据——端到端成功率、恢复成功率、升级触发率、按群组划分的回退比例和各方法层面（密码、OTP、社交登录、通行密钥）的成功率——散落在 IDP、产品分析套件、欺诈引擎、SIEM 以及其中的一些电子表格里。每个团队只看到自己的那一部分，没有人能看到整个旅程，而那些表面上看起来毫无问题的单个指标则掩盖了实际存在的根本问题。

对于使用旧版本 Android 的用户而言，缓慢的登录在 IDP 延迟中仅显示为一个小峰值，在转化率中显示为一个小幅下降，在支持票务中显示为小幅上升。这些单看都不可怕。连在一起，它们就是一个值得修复的倒退问题。如果没有单一的所有者和统一的视图，这种倒退可能会闲置几个季度无人问津。

5. 行业背景决定答案#

最终谁负责客户和消费者身份，也取决于所在的行业。对一个部门行之有效的组织架构图，在另一个部门看来可能治理过度或不足。

• 电子商务将 CIAM 视为一个转化问题。产品部门负责登录，增长部门负责重新参与，欺诈部门则与两者并肩作战。安全需求适中。实验节奏为每周一次。Baymard 研究所关于购物车放弃率的研究报告称，平均放弃率为 70.2%，其中很大一部分归因于账户摩擦，这也让产品部门稳坐所有权之位。
• 银行和金融服务将 CIAM 视为安全与合规问题。CISO 负责项目，风险部门负责升级，IT 部门运营平台。安全需求极高，节奏为季度审查并伴有严格审计。
• 电信、保险和医疗保健介于两者之间。合规压力将它们拉向银行业。客户体验压力将它们推向电子商务。治理模式通常是 CISO 和 CPO 之间的权责分担，并共享计分卡。
• 公共部门和受监管的 B2B 行业将可审计性置于实验之上。CIAM 归属于 CIO（在集中式 IT 仍然存在的地方）或专门的身份治理职能部门，具备合规驱动的节奏。NIST 800-63-4 身份保证级别要求设定了基准线。

下面的象限图根据驱动所有权答案的两个维度（安全要求和审查周期）绘制了各个行业的定位，并标明了每种定位下的主要所有者。

对零售商有效的计分卡，在银行看来可能治理不足。对银行有效的治理模式，在零售商看来可能过度设计。供应商委托发布的 Forrester 关于 CIAM 的总体经济影响（TEI）研究显示了很大的跨度：ForgeRock CIAM TEI 报告三年内 ROI 为 186%，而 WSO2 CIAM TEI 报告 ROI 为 332%。由于各部门的驱动因素组合（提升转化率 vs 减少欺诈 vs 审计成本）差异显著，导致 ROI 范围本身也各不相同。选择合适的所有者，首先要明确你实际运营所在的行业模式。

6. 劳动力身份 vs 客户身份#

劳动力 IAM 和客户 IAM 通常由不同的团队负责，这通常是正确的设置。两者都处理身份，但优化的目标不同。劳动力 IAM 在受管理的设备上管理已知的员工，具有长会话和较小的用户群体，通常为 1,000 到 100,000 名用户。CIAM 在未管理的设备上管理匿名潜客和客户，会话短暂且对转化敏感，用户群体规模大出几个数量级，通常数千万或数亿。威胁模型、KPI 和工具选择各不相同。

7. 没有单一的正确答案#

CIAM 到底该归属哪个部门，并没有绝对的对错。重要的是内部依赖关系能否有效运作：拥有所有权的团队应具备决策权，协助团队在决策中拥有正式席位，而且计分卡必须充分共享，以确保任何人都无法脱离大局去片面解读某个指标。

受监管的银行可以让 CIAM 归属 CISO 并取得成功。零售商可以让 CIAM 归属 CPO 并取得成功。电信公司可以在 CISO 和 CPO 之间运行分担模型并取得成功。到处都失败的是那些缺乏强制功能、没有共享分析层、也没有跨职能审查周期的隐式所有权。与其说组织模式重要，不如说建立在其上的运营模型更为关键。

8. 共享 CIAM 计分卡#

确定一份计分卡通常比确定一个所有者容易，而且无需进行重组就能奏效。理念很简单：每个高管按职能划分的仪表板局部是正确的，但在全局是不完整的。解决办法是一页纸，五个指标，由各相关部门的所有者每月共同审查一次。

8.1 没人完全拥有的指标#

这是五个跨职能的 KPI，它们落在 CISO、CTO、CPO、欺诈团队和增长团队的视角之间。每个 KPI 都承载着重要负荷，但在大多数企业中却都缺乏足够的测量工具。下图展示了每个指标如何处于多个所有者职能的交叉点，这也是为什么它们都不能清晰地落入单一团队的原因。

• 按群组划分的登录成功率。总体的登录成功率掩盖了一切。92% 的总体比例可能会掩盖特定操作系统、浏览器和凭据管理器组合上 70% 的成功率。仅报告总成功率是 CIAM 测量中最常见的错误。
• 首次身份验证操作时间。用户从加载登录页面到能够进行交易所经历的实际延迟。包括条件 UI (Conditional UI) 触发时间、凭据选择、生物识别提示和重定向返回。它与转化率相关，但没人负责它。
• 恢复路径使用率与成功率。有多少用户使用恢复功能、他们使用了哪些路径，以及有多少人成功恢复。恢复是欺诈、摩擦和支持成本交汇的地方。它同时属于 CISO、CPO 和 CTO，这通常意味着没人管。
• 通行密钥创建与使用对比。创建率是指符合条件的用户中注册的比例。使用率是指实际使用通行密钥进行登录的比例。如果注册用户出于习惯继续输入密码，那么一项部署的覆盖率可能达到 60%，而使用率只有 20%。同样的差距也适用于任何新的身份验证方法。
• 按验证方法划分的放弃率。会话以哪种方法开始，且没有完成的频率如何。密码、OTP、社交登录和通行密钥的放弃各有其根本原因——凭据卫生情况、传递失败、第三方故障、UI 放置或凭据管理器冲突。把它们平均起来就会掩盖所有这些问题。

8.2 一页纸，五个指标，每月审查#

这份计分卡是一份一页纸的工件，由各职能所有者每月共同审查一次。每个指标都有一个负责数据质量的主要所有者，一个负责行动计划的跨职能所有者，并且每季度初都会共同制定目标。一个 Notion 页面或 Google 表格就足够了——审查是在这份一页纸上进行的，而不是在底层的仪表板上。

每位所有者都会提供只有他们能看到的片段：

• 安全部门提供欺诈率、受损账户率以及按群组划分的升级身份验证结果。
• CTO / 工程部门提供正常运行时间、集成错误率、SDK 性能以及按方法划分的单次验证成本。
• 产品部门提供转化漏斗、各步骤流失率以及首次价值实现时间。
• 欺诈部门提供按群组划分的升级触发率和误报率。
• 增长部门提供匿名与已识别会话的比例以及重新参与率。

下面的矩阵总结了贡献模式并明确指出了覆盖范围的缺口——没有任何一个所有者能独自生成所有五个指标。

8.3 在不重组的情况下推广它#

大多数计分卡项目失败在测量工具上，而不是在治理上。如果底层可观测性层无法按操作系统、浏览器和凭据管理器对成功率进行细分，那么无论怎么审查，都不会产生一份有用的计分卡。在实践中行之有效的顺序是：

1. 先测量。 能够按群组细分成功率的客户端事件遥测是所有其他计分卡指标的先决条件。
2. 选择一个首先共同拥有的指标。 按群组划分的登录成功率通常是正确的首选，因为它推动了所有其他指标都依赖的跨群组测量体系。
3. 每月 60 分钟的审查。 第一次会议：就五个指标和当前基线达成一致。第二次会议：就季度目标达成一致。第三次会议：制定初步行动计划。用两个季度的时间逐步增加指标，而不是一次性全部加入。

在六个月时，成熟的部署可以报告按群组划分的登录成功率并为表现最差的三个指定负责人；将通行密钥覆盖率和使用率作为两个独立的数字；让 CISO/CPO 共同负责恢复成功率；对比升级触发率与误报率；以及报告按方法细分的单次验证成本。每月的审查将不再是争论数据，而是争论决策，这正是我们真正需要的可交付成果。

9. Corbado 如何补充身份验证缺失的数据层#

Corbado 不决定谁拥有 CIAM，也不会尝试去决定。所有权是组织的决策。Corbado 带来的是从一开始就缺失的数据层——那个在数据孤岛、预算分裂和“不是我的问题”的态度下永远无法自行产生的一层。现在，身份验证终于拥有了与产品分析、系统观测和欺诈工具在各自领域中同等重要的东西。

身份验证可观测性层位于 IDP、欺诈引擎和 SIEM 之上，并将它们的信号整合到登录旅程的单一视图中。后端尝试、客户端流程、凭据管理器行为、群组级别的成功率以及恢复结果都存在于一个系统中，并且可以相互对照。

• 单一的身份验证数据层。 后端、前端、欺诈和安全信号按会话、按群组、按旅程相互关联，这样真实的登录表现就不会再被掩埋在四个不同的系统中。
• 群组级别的成功率。 按操作系统、浏览器、凭据管理器和硬件细分的登录成功率——这是多数团队无法通过现有工具得出的首个关键计分卡指标。
• 创建与使用作为分开的指标。 通行密钥创建与通行密钥使用作为两个独立的 KPI 进行报告，这是大多数计分卡需要的最大的单个衡量修正。
• 恢复路径分析。 恢复流程的使用、成功率和流失率与登录流程共享同一套事件指标，因此 CISO 和 CPO 可以看到相同的数据。
• 按方法划分的放弃率。 各方法的流失率让计分卡能够将密码放弃（凭据卫生情况）与通行密钥放弃（UI 或凭据管理器冲突）区分开来。
• 推广安全护栏。 动态抑制、针对特定群组的提示和紧急开关（Kill Switch），让项目召集人能够在不直接触碰 IDP 的情况下进行变更。
• 参考基准。 来自 Corbado 的客户群的跨部署基准数据允许将内部数字与外部数字进行比较，这往往是将每月审查转化为实际决策的关键。

所有权争议并不会因为一个数据层而消失。但它们确实会更容易解决，因为大家不再争论“我的数据是什么样”，而是开始讨论该采取什么行动。

10. 结论#

CIAM 拥有多个合法的所有者，这一点不会改变。真正改变的是，企业是选择一个所有者，还是选择一张计分卡。选择所有者速度更快，但需要政治资本。选择计分卡虽然较慢，但无需组织重组也能奏效。这两条路径都比当前大多数企业那种碰运气的隐性做法要好。所有权模糊的代价，体现在推广受阻、流程割裂，以及安全指标和转化率在不知不觉中双双下滑。

关于 Corbado

Corbado 是面向大规模运行 consumer 身份验证的 CIAM 团队的Passkey Intelligence Platform。我们让你看到 IDP 日志和通用 analytics 工具看不到的内容：哪些设备、操作系统版本、浏览器和 credential manager 支持 passkey，为什么注册没有转化为登录，WebAuthn 流程在哪里失败，以及什么时候操作系统或浏览器更新会悄悄破坏登录 — 而且无需替换 Okta、Auth0、Ping、Cognito 或你自有的 IDP。两款产品：Corbado Observe 提供 针对 passkey 及任何其他登录方式的 observability。Corbado Connect 提供 内置 analytics 的 managed passkey（与你的 IDP 并存）。VicRoads 通过 Corbado 为 500 万以上用户运行 passkey（passkey 激活率 +80%）。 与 Passkey 专家交谈 →

FAQ#

在大型企业中，通常谁负责 CIAM？#

根据我们的经验，所有权分布在 CISO、CTO、CPO、欺诈团队和增长职能团队之间。在受监管的行业中，CISO 办公室拥有主要权限。在以消费者为主导的数字原生公司中，CPO 或 CTO 办公室通常拥有主要权限，因为 CIAM 必须集成到产品中。在这两种情况下，一种更成熟的模式是由一位专门负责身份产品的经理来推动一份共享的计分卡。

行业属性会改变 CIAM 的归属吗？#

会的。电子商务将 CIAM 视为转化问题，通常会落在产品或增长部门。银行业将其视为安全和合规问题，因而落在 CISO 部门。电信、保险和医疗保健则采用分担模式。正确的答案取决于行业的安全需求和审查节奏，而不是某种抽象的最佳实践。

为什么分散的 CIAM 所有权会损害新的身份验证推广计划？#

任何新的身份验证方法——从社交登录、MFA 升级身份验证到通行密钥——都需要在注册用户体验、恢复流程、风险策略和支持工具上进行协调。当这些各自分属于速度不同的部门时，推广进度就会受限于最慢的那个部门。通行密钥的部署是目前最明显的例子，其采用率通常会停滞在 5% 到 15% 之间。

劳动力 IAM 和客户 IAM 应该在同一个团队中吗？#

通常不应该。它们除了共享词汇外，几乎没有共通之处。劳动力 IAM 致力于优化受管理设备、已知用户以及成本效率。客户 IAM 致力于优化未管理设备、匿名用户以及转化率。大多数成熟的企业将它们置于不同的治理之下，并通过委员会而不是单一领导人来共享信息。有关这种分离在 CIAM 方面的内容，请参阅我们的身份验证可观测性指南。

最重要的 CIAM KPI 是什么？#

五个跨职能的指标落在了按职能划分的仪表板之间：按群组划分的登录成功率、首次身份验证操作时间、通行密钥覆盖率和使用率（作为两个独立的数字）、恢复路径成功率以及按验证方法划分的放弃率。每一个指标都非常关键，但在大多数企业中，它们的测量却往往不足。

为什么通行密钥覆盖率和通行密钥使用率不是同一个指标？#

覆盖率是指符合条件的用户中注册通行密钥的百分比。使用率是指实际使用通行密钥进行登录的百分比。如果注册用户出于习惯继续输入密码，那么一项部署的覆盖率可能很高，但使用率却很低。只报告一个指标会误导高管审查。

什么是共享 CIAM 计分卡？#

这是一份一页纸的工件，包含五个跨职能指标，每月由所有相关职能部门共同进行审查。每个指标都有一个负责数据质量的主要负责人，以及一个负责行动计划的跨部门负责人。相关目标在每季度初共同制定。审查仅基于这张计分卡进行，而非底层的仪表板。

计分卡应该多久审查一次？#

每月一次，在 60 分钟的跨职能会议中与所有者职能部门一起进行。太频繁的话，两次审查之间不会有什么变化。太少的话，系统性的漂移（特别是在操作系统或浏览器更新后群组级别的倒退）将不被察觉。

我们如何在不重组的情况下开始？#

挑选出最令人头疼的两个指标，让相关负责人每月进行一次 60 分钟的审查，且只针对这些指标。然后在接下来的两个季度逐步扩展。任何人的头衔都不需要改变。计分卡本身将成为治理层。大多数企业无需正式调整汇报路线，便能在 12 到 18 个月内达到一种成熟的模式。

供应商能帮助解决所有权纠纷吗？#

供应商无法为你决定所有权。但它能消除导致所有权纠纷难以解决的数据模糊性。一个共享的分析层能够让每个负责人都看到他们关心的那一块数据，同时保留全局视图，这通常足以将原本的政治争论转变为更具建设性的运营讨论。