---
title: "Identity Governance"
type: concept
tags:
  - Identity-Governance
  - IAM
  - Compliance
  - Access-Management
sources:
  - learning-sessions-identity-governance-vsm-replacement-20231128-160326-meeting-re
last_updated: 2023-11-28
---

## Identity Governance

身份治理（Identity Governance）是一个用于高效管理数字身份、最小化风险并保持合规的框架。

## Core Framework

身份治理围绕三个核心问题展开：

1. **谁当前有访问权限？** — 当前权限状态审计（Who currently has access to our systems?）
2. **谁应该有访问权限？** — 权限需求评估（Who should have access?）
3. **如何执行访问？** — 访问控制机制（How is the access being done?）

## Components

### Identity Management（身份管理）
- 数字身份的创建、维护和生命周期管理
- 用户、组和角色的定义

### Access Management（访问管理）
- 控制谁可以访问哪些资源
- 认证（Authentication）和授权（Authorization）

### Identity Auditing（身份审计）
- 权限变更追踪
- 合规性报告
- 异常检测

## Identity Governance vs IAM

| 维度 | 身份治理（IG） | 身份与访问管理（IAM） |
|------|----------------|----------------------|
| 焦点 | 治理、合规、策略 | 操作、技术实现 |
| 问题 | 谁应该有权访问？ | 如何实现访问控制？ |
| 受众 | 审计员、合规官、业务经理 | IT 管理员、安全工程师 |
| 工具 | 审批工作流、策略引擎 | 目录服务、SSO、MFA |

## Use Cases

- **内部用户治理**：员工入职/转岗/离职的权限生命周期管理
- **外部用户治理**：承包商、合作伙伴的临时权限管理
- **合规审计**：SOX、HIPAA、GDPR 等合规要求的身份报告
- **权限优化**：发现并清理过度授权（Privilege Creep）

## Implementation Example

Micro Focus IGA 的实现架构：
```
User → IGA Portal (申请) → 审批工作流 → AD 组更新 → AWS IAM → 云资源访问
```

## Related Concepts

- [[Micro-Focus-IGA]]：身份治理的具体产品实现
- [[AWS-Identity-Center]]：AWS 云平台的身份治理服务
- [[Federated-Access]]：联合身份认证
- [[Service-Control-Policies-SCPs]]：AWS 组织层面的权限控制策略