Loncat ke konten

IAM dan IGA: Keduanya merupakan dua rangkaian kemampuan keamanan identitas yang memiliki fungsi berbeda, namun saling melengkapi.

  • IAM berfokus pada pemberian dan pengelolaan akses yang aman bagi pengguna ke sumber daya digital (aplikasi, sistem, dan data) melalui otentikasi, single sign-on (SSO), serta fitur-fitur lain yang berkaitan dengan otentikasi dan akses.
  • IGA tidak hanya sekadar menangani aspek-aspek dasar dalam pemberian dan pengelolaan akses, melainkan juga 1) berfokus pada cara suatu organisasi memberikan akses ke sumber daya digital dan 2) memastikan bahwa akses yang diberikan sudah sesuai dan mematuhi ketentuan—serta mengambil tindakan jika tidak demikian.

Pada dasarnya, IAM menangani pertanyaan mendasar mengenai siapa yang masuk, bagaimana mereka masuk, dan apa saja yang berhak mereka akses setelah masuk, sedangkan IGA berfokus pada apakah akses yang telah diberikan kepada mereka memang sesuai dengan peran dan tugas yang diemban mereka sejak awal.

Apa itu IAM?

IAM mengacu pada kebijakan dan proses yang berkaitan dengan otentikasi identitas pengguna (manusia atau mesin) yang ingin mendapatkan akses aman ke satu atau beberapa sumber daya dalam suatu organisasi. Tujuan dari otentikasi identitas pengguna adalah 1) untuk memastikan bahwa pengguna memang berhak atas akses yang diminta berdasarkan peran dan tanggung jawabnya, serta 2) untuk memberikan akses (atau tidak memberikannya) sesuai dengan hal tersebut.

Fitur utama IAM

IAM berfokus pada otentikasi pengguna dan pemberian akses kepada mereka terhadap sumber daya dengan cara yang memprioritaskan baik keamanan organisasi maupun produktivitas pengguna. Sistem ini telah berkembang selama beberapa dekade untuk menangani kedua aspek tersebut secara bersamaan dengan cara yang semakin canggih.

  • Otentikasi: Pada dasarnya, otentikasi berarti pengguna memasukkan seperangkat kredensial konvensional—nama pengguna dan kata sandi—untuk membuktikan identitasnya. Namun, seiring dengan semakin luas dan kompleksnya lingkungan identitas serta lanskap ancaman, masalah kredensial yang sulit diingat oleh pengguna dan mudah dicuri oleh pelaku kejahatan menjadi semakin mendesak.
  • Otentikasi multi-faktor (MFA): Menambahkan faktor identifikasi lain, seperti data biometrik, meningkatkan standar otentikasi, sehingga meningkatkan keamanan. Hal ini sangat berguna terutama jika faktor tambahan tersebut tidak memberatkan. Misalnya, pemindaian wajah atau sidik jari hanya membutuhkan sedikit usaha dari pengguna, namun membuat pencurian kredensial menjadi jauh lebih sulit.
  • Single sign-on (SSO): Seiring bertambahnya jumlah sumber daya aman yang perlu diakses pengguna, SSO memungkinkan mereka mengakses berbagai aplikasi dengan otentikasi yang kuat melalui satu titik masuk, sehingga mempercepat dan menyederhanakan proses tersebut. SSO juga meminimalkan permukaan serangan dengan mengurangi peluang bagi penyerang untuk memanfaatkan kerentanan masuk yang terkait dengan proses masuk berulang.
  • Tanpa kata sandi: Otentikasi tanpa kata sandi menggantikan kredensial tradisional dengan data biometrik, passkey, aplikasi otentikator, dan metode lain untuk membuktikan identitas yang tidak mudah dicuri. Metode ini juga mempermudah proses otentikasi yang sah karena pengguna tidak lagi perlu mengingat banyak kredensial untuk mengakses sumber daya yang jumlahnya terus bertambah.

Fokus utama IAM: Nol Kepercayaan

Zero Trust adalah konsep keamanan yang didasarkan pada gagasan untuk membangun kepercayaan sebelum memberikan akses ke sumber daya—dan tidak pernah menganggap kepercayaan itu sudah ada. Hal ini menjadikan IAM sebagai landasan bagi organisasi yang berkomitmen untuk mengoperasikan lingkungan Zero Trust, di mana identitas harus diverifikasi setiap kali seseorang atau sesuatu meminta akses.

Lingkungan Zero Trust diwujudkan melalui kemampuan dan praktik inti IAM.

  • Otentikasi: Memverifikasi identitas dengan MFA dan otentikasi tanpa kata sandi
  • Akses: Penerapan kebijakan yang peka terhadap konteks dan bersyarat untuk pemberian akses
  • Sentralisasi: Penggunaan SSO di seluruh aplikasi dan lingkungan akses
Apa itu IGA?

Sementara IAM terutama berfokus pada otentikasi identitas pengguna sebelum pengguna tersebut diberi akses, IGA berfokus pada pengaturan bagaimana mengatur siapa yang diberi akses dan memastikan bahwa akses tersebut selalu sesuai dengan pengguna dan situasinya. Tujuan utama IGA adalah memastikan bahwa hak akses sesuai dengan kebijakan bisnis, memenuhi persyaratan kepatuhan, dan sejalan dengan praktik terbaik keamanan.

Kemampuan utama IGA

Sementara IAM berfokus pada siapa yang memiliki akses ke apa, IGA berfokus pada apakah akses tersebut diberikan secara tepat, berdasarkan faktor-faktor seperti peran pengguna dalam organisasi serta kebijakan dan praktik keamanan dan kepatuhan organisasi.

  • Permohonan dan persetujuan akses: Penyediaan akses berbasis alur kerja di lingkungan IGA menggabungkan otomatisasi dan keterlibatan manusia untuk mengevaluasi permohonan akses serta menyediakan akses bagi pengguna secara cepat dan akurat.
  • Sertifikasi akses: Mengingat peran dan tanggung jawab pengguna terus berubah, tata kelola identitas memerlukan sertifikasi akses secara berkala untuk memvalidasi kesesuaian tingkat akses. Upaya manual tidak mungkin mampu mengikuti perubahan tersebut, sehingga otomatisasi menjadi kunci.
  • Manajemen peran: Pembuatan peran bagi pengguna sangat penting untuk memastikan dengan mudah bahwa mereka memiliki akses ke sumber daya aman yang mereka butuhkan untuk menjalankan tugas mereka. Manajemen peran yang ketat juga sama pentingnya, guna memastikan mereka tidak memiliki hak akses berlebihan yang dapat menimbulkan risiko keamanan.
  • Manajemen siklus hidup identitas: Perubahan akses merupakan bagian dari perjalanan melalui siklus hidup identitas, mulai dari bergabung dengan suatu organisasi, menjalani berbagai peran, hingga akhirnya keluar dari organisasi tersebut. Manajemen siklus hidup identitas sangat penting untuk memastikan akses tetap sesuai dengan peran saat ini.
  • Audit dan pelaporan: Melakukan inventarisasi siapa saja yang memiliki akses ke sumber daya apa saja sangat penting untuk mematuhi persyaratan regulasi dan memahami risiko akses. Audit dan pelaporan merupakan hal mendasar untuk mencapai kedua hal tersebut.

Fokus utama IGA: Nol Kepercayaan

Pendekatan zero trust didasarkan pada asumsi bahwa kepercayaan tidak pernah ada secara otomatis, melainkan harus ditetapkan setiap kali seseorang atau sesuatu meminta akses. IGA menyediakan mekanisme pengendalian dan tata kelola yang dibutuhkan organisasi untuk secara berkelanjutan mengevaluasi apakah suatu akses sudah sesuai berdasarkan tingkat kepercayaan terhadap pengguna.

Lingkungan Zero Trust secara khusus diwujudkan melalui sejumlah kemampuan dan praktik inti IGA.

  • Penyediaan berbasis alur kerja: Memanfaatkan otomatisasi untuk memastikan pengawasan akses yang tepat
  • Sertifikasi akses: Melakukan validasi akses secara berkelanjutan dan menyesuaikannya sesuai kebutuhan
  • Manajemen peran: Mengenali dan menghindari kombinasi hak akses yang merugikan
  • Manajemen siklus hidup identitas: Segera memperbarui akses saat peran berubah atau berakhir
  • Audit dan pelaporan: Mendukung prinsip Zero Trust dalam membuktikan keputusan terkait kepercayaan

Fokus utama IGA: kepatuhan terhadap peraturan

SOX, HIPAA, GDPR, PCI-DSS, ISO 27001 IGA, dan peraturan lainnya mensyaratkan pengendalian akses yang ketat, serta kemampuan untuk membuktikan bahwa pengendalian akses yang diterapkan telah memenuhi standar yang ditetapkan oleh peraturan tersebut. Akuntabilitas dan kemampuan audit semacam inilah yang tepatnya disediakan oleh IGA.

Kepatuhan terhadap peraturan secara khusus didukung oleh beberapa kemampuan dan praktik inti IGA:

  • Sertifikasi akses: Memeriksa akses dan menunjukkan validasi hak akses
  • Audit dan pelaporan: Memenuhi persyaratan regulasi tertentu terkait bukti kepatuhan
  • Manajemen siklus hidup identitas: Menjaga kesesuaian akses yang tepat dengan peran saat ini
Perbedaan antara IGA dan IAM

Baik IGA maupun IAM sama-sama berfokus pada akses yang aman ke sumber daya. Namun, sementara IAM memungkinkan pengguna untuk mengakses sumber daya yang berhak mereka akses secara aman dan nyaman, IGA menilai apakah mereka memang berhak atas akses tersebut. Dalam konteks tersebut, perbedaan utamanya adalah:

IAM: Aktifkan Akses
IGA: Mengatur Akses
Tujuan/maksud
Memfasilitasi akses yang aman dan nyaman ke sumber daya yang berhak diakses oleh pengguna
Pastikan akses pengguna terhadap suatu sumber daya sesuai dengan peran dan tanggung jawabnya
Perhatian utama
Siapa Anda dan apa saja yang Anda miliki/perlukan aksesnya?
Siapa kamu dan apa harus yang bisa Anda akses?
Kemampuan utama
  • Otentikasi
  • Autentikasi multi-faktor (MFA)
  • Sistem Masuk Tunggal (SSO)
  • Tanpa kata sandi
  • Penyediaan berbasis alur kerja
  • Sertifikasi akses
  • Manajemen peran
  • Manajemen siklus hidup identitas
  • Audit dan pelaporan
Contoh metrik keberhasilan
  • Tingkat keberhasilan/kegagalan otentikasi
  • Tingkat adopsi MFA/tanpa kata sandi
  • Waktu rata-rata untuk pembuatan akun
  • Waktu rata-rata untuk menyelesaikan masalah otentikasi
  • Tingkat ketersediaan sistem dan waktu operasional
  • Waktu rata-rata untuk menyetujui permintaan akses
  • Persentase tinjauan akses yang telah diselesaikan
  • Terdeteksi adanya pelanggaran prinsip pemisahan tugas
  • Jumlah akun yang menerapkan prinsip hak akses minimal
  • Jumlah temuan audit terkait masalah

Tujuan/maksud

IAM: Aktifkan Akses

Memfasilitasi akses yang aman dan nyaman ke sumber daya yang berhak diakses oleh pengguna

IGA: Mengatur Akses

Pastikan akses pengguna terhadap suatu sumber daya sesuai dengan peran dan tanggung jawabnya

Perhatian utama

IAM: Aktifkan Akses

Siapa Anda dan apa saja yang Anda miliki/perlukan aksesnya?

IGA: Mengatur Akses

Siapa kamu dan apa harus yang bisa Anda akses?

Kemampuan utama

IAM: Aktifkan Akses

  • Otentikasi
  • Autentikasi multi-faktor (MFA)
  • Sistem Masuk Tunggal (SSO)
  • Tanpa kata sandi

IGA: Mengatur Akses

  • Penyediaan berbasis alur kerja
  • Sertifikasi akses
  • Manajemen peran
  • Manajemen siklus hidup identitas
  • Audit dan pelaporan

Contoh metrik keberhasilan

IAM: Aktifkan Akses

  • Tingkat keberhasilan/kegagalan otentikasi
  • Tingkat adopsi MFA/tanpa kata sandi
  • Waktu rata-rata untuk pembuatan akun
  • Waktu rata-rata untuk menyelesaikan masalah otentikasi
  • Tingkat ketersediaan sistem dan waktu operasional

IGA: Mengatur Akses

  • Waktu rata-rata untuk menyetujui permintaan akses
  • Persentase tinjauan akses yang telah diselesaikan
  • Terdeteksi adanya pelanggaran prinsip pemisahan tugas
  • Jumlah akun yang menerapkan prinsip hak akses minimal
  • Jumlah temuan audit terkait masalah
IAM dan IGA secara bersamaan: cakupan identitas yang menyeluruh

Untuk menangani seluruh aspek keamanan identitas, idealnya organisasi memerlukan kombinasi antara IAM (agar pengguna dapat mengakses sumber daya dengan aman dan nyaman) dan IGA (untuk memastikan dan membuktikan bahwa akses pengguna ke sumber daya sudah sesuai dan tidak menimbulkan risiko keamanan). Namun, organisasi yang berbeda akan memiliki persyaratan dan tingkat sumber daya yang berbeda pula, yang akan menentukan langkah selanjutnya, sebagaimana dijelaskan dalam skenario berikut.

Skenario: Apakah IAM dan IGA harus diterapkan secara bersamaan? Ya, jika memungkinkan.

Menerapkan IAM dan IGA secara bersamaan hampir selalu merupakan pilihan yang ideal, baik bagi organisasi yang berencana melakukan implementasi baru untuk keduanya, maupun bagi yang ingin menggantikan implementasi IAM yang sudah ada dan menambahkan IGA pula. Dengan menerapkan kemampuan IGA dan IAM dari vendor yang sama secara bersamaan, organisasi dijamin mendapatkan perlindungan keamanan identitas yang menyeluruh di dua bidang yang saling melengkapi dan sangat penting, tanpa risiko celah keamanan yang tidak perlu, masalah integrasi, atau masalah lain yang dapat timbul akibat penerapan yang dilakukan secara bertahap.

H3 Skenario: Menambahkan IGA ke implementasi IAM yang sudah ada? Mungkin saja.

Bagi organisasi yang sudah memiliki implementasi IAM yang menyediakan semua yang diperlukan untuk memberikan dan mengelola akses, mungkin sebaiknya mempertahankan implementasi tersebut guna melestarikan investasi awal mereka di bidang identitas sekaligus menambahkan IGA. Pendekatan ini akan berjalan lancar jika solusi IGA berasal dari vendor yang sama. Sebaliknya, pengelolaan keamanan identitas secara keseluruhan kemungkinan akan jauh lebih rumit; integrasi kedua sistem tersebut mungkin menantang; dan mungkin akan muncul masalah pemecahan masalah yang berkelanjutan terkait pengoperasian sistem yang berbeda-beda.

Skenario: Tetap menggunakan IAM saja? Tidak disarankan.

Memang mungkin untuk menerapkan IAM tanpa IGA, seperti yang dipertimbangkan oleh beberapa organisasi karena kendala anggaran atau operasional. Namun, hal itu belum tentu disarankan. Memang benar bahwa dengan adanya IAM untuk mengautentikasi pengguna, risiko bahwa seseorang yang tidak berhak mengakses akan mendapatkan akses tersebut menjadi lebih kecil. Namun, hal itu tidak memperhitungkan masalah apakah akses yang dimiliki pengguna tersebut adalah benar akses. Inilah sebabnya mengapa organisasi yang hanya menggunakan IAM berisiko menimbulkan masalah keamanan akibat pengguna yang mengumpulkan hak akses yang berlebihan. Organisasi yang tidak memiliki IGA juga tidak memiliki jejak audit dan bukti lain untuk membuktikan kepatuhan saat menghadapi pengawasan regulasi.

Skenario: Hanya menggunakan IGA? Itu bukan pilihan yang tepat.

Tidak masuk akal untuk menerapkan IGA tanpa IAM, karena penegakan kebijakan keamanan oleh IGA bergantung pada mekanisme otentikasi dan otorisasi yang disediakan oleh IAM. Dengan kata lain, tanpa IAM, IGA tidak memiliki landasan untuk beroperasi. Pilihan yang harus diambil hanyalah antara menggunakan IAM saja atau IAM dan IGA secara bersamaan.

Pertanyaan Umum (FAQ) tentang IGA vs IAM
Apa fungsi keamanan identitas?

Keamanan identitas adalah praktik melindungi identitas digital dengan memverifikasi identitas dan menerapkan kontrol akses, dengan tujuan mencegah akses yang tidak sah.

Apakah IAM merupakan bagian dari keamanan identitas?

Ya. IAM menggabungkan manajemen identitas dan manajemen akses untuk mengamankan identitas digital serta melindungi dari akses yang tidak sah terhadap sumber daya di lingkungan digital.

Apa itu manajemen identitas dan akses?

Manajemen identitas dan akses, atau IAM, memungkinkan penyimpanan sumber daya sensitif secara aman serta akses yang aman ke sumber daya tersebut menggunakan metode seperti SSO, MFA, dan tanpa kata sandi.

Apa tujuan dari manajemen identitas?

Tujuan dari manajemen identitas adalah untuk mengurangi risiko pelanggaran keamanan dengan memastikan bahwa orang yang berhak—dan hanya orang yang berhak—yang dapat mengakses sumber daya yang aman.

Apa saja manfaat dari manajemen identitas?

Manajemen identitas memungkinkan akses yang aman ke berbagai sumber daya, mendukung kepatuhan terhadap peraturan, serta mengoptimalkan pengalaman pengguna dengan menjadikan akses tersebut nyaman sekaligus aman.

Apa perbedaan antara IGA dan IAM?

IAM berfokus pada siapa yang memiliki akses, yaitu mengautentikasi pengguna dan mengelola akses pengguna ke sumber daya, sedangkan IGA berfokus pada apakah akses yang dimiliki pengguna sesuai dengan peran dan tanggung jawabnya.

Minta Demo

Dapatkan Demo