大多数人第一次意识到 IGA, 都不是因为“想把权限管得更好”。
而是因为某一天, 事情开始变得说不清楚了。
比如:
- 这个人不是早就走了吗?
- 为什么他还有权限?
- 当时是谁给他开的?
- 现在到底算不算违规?
你会发现, 问题已经不是“权限有没有”, 而是没人能把“过程”讲完整。
一开始大家都会很自信。
“我们有权限系统。” “我们有审批。” “权限都是走流程的。”
但当你真去追一条权限的来龙去脉时, 往往会卡在几个地方:
- 人是从哪来的?
- 是入职带的,还是后来加的?
- 是临时的,还是永久的?
- 到期了吗?
- 谁该负责回收?
这些问题, 单独看都不复杂, 但没有一个系统愿意把它们串起来负责。
IGA 其实就是干这件“脏活”的。
它不创造权限, 也不负责登录。 它只是盯着一件事不放:
这个人,在这个时间点, 为什么拥有这些权限?
而且这个“为什么”, 不是一句话解释, 而是能翻出记录的那种。
很多人对 IGA 的第一反应是: “这不就是流程吗?”
但真跑起来你就会发现, 流程只是表面。
真正麻烦的是后面的这些事:
- 组织变了,权限要不要跟着变?
- 角色变了,历史权限算不算?
- 项目结束了,临时权限怎么收?
- 人走了,系统账号谁来兜底?
如果没有一个地方专门盯着这些, 事情迟早会烂在角落里。
我见过不少企业, 权限系统做得不差, 但依然对审计很心虚。
不是因为权限乱, 而是因为回答问题的时候, 全靠“经验判断”。
“按理说应该是这样的。” “当时可能是这么操作的。”
这种话, 在内部沟通还行, 在审计、合规、问责面前, 基本等于没说。
真正的 IGA, 存在感其实很低。
它不会天天弹窗提醒你, 也不会让你觉得“好高级”。 但它会在你需要解释的时候, 帮你把线索一条条摆出来。
不急、不吵、也不模糊。
还有一个现实情况。
IGA 往往不是一次性上线的。
它更像是在不断“补账”:
- 先补入职
- 再补离职
- 再补转岗
- 再补临时授权
补着补着, 你才意识到: 原来这么多年, 很多权限一直是“默认放着的”。
