IAM (Identity and Access Management) là hệ thống quản lý định danh và quyền truy cập, giúp doanh nghiệp biết ai là ai, người đó được vào đâu, làm gì và khi nào cần thu hồi quyền. Nếu lớp IT Security là cánh cổng tổng thể, thì IAM là bộ quy tắc giữ cho cánh cổng đó không bị mở quá rộng.
Tóm tắt nhanh
- IAM gom các lớp identity, authentication, authorization, provisioning và audit vào một khung quản trị thống nhất.
- IAM thường đi cùng SSO, MFA và Zero Trust.
- Cần thiết khi doanh nghiệp có nhiều ứng dụng SaaS, nhân sự làm việc từ xa hoặc tài khoản thay đổi liên tục.
- Không có IAM, quyền thường bị cấp thủ công, offboarding chậm và audit rất dễ bị thiếu sót.
IAM là gì?
Hiểu đơn giản, IAM là cách doanh nghiệp tổ chức toàn bộ vòng đời của danh tính số: tạo tài khoản, xác thực người dùng, cấp quyền, theo dõi hoạt động, thay đổi quyền khi vai trò thay đổi và xóa quyền khi nhân sự rời đi. Nói cách khác, IAM trả lời bốn câu hỏi rất thực tế: ai đang đăng nhập, họ được phép làm gì, họ đã làm gì và ai chịu trách nhiệm cho quyền đó.
Nếu không có IAM, các quyền truy cập thường nằm rải rác trong từng ứng dụng, từng file Excel hoặc trong trí nhớ của quản trị viên. Khi công ty lớn dần, cách làm đó tạo ra ba rủi ro: quyền bị cấp dư, quyền cũ không bị thu hồi và không ai biết một tài khoản đang có quyền gì ở đâu.
IAM gồm những lớp nào?
Một khung IAM tốt không chỉ là đăng nhập. Nó gồm nhiều lớp phối hợp với nhau để doanh nghiệp vừa an toàn vừa dễ vận hành.
- Identity: xác định người dùng là ai, thuộc phòng ban nào, vai trò nào và có thuộc nhóm đặc quyền hay không.
- Authentication: xác minh danh tính qua mật khẩu, SSO, MFA, token hoặc thiết bị tin cậy.
- Authorization: quyết định người đó được xem, sửa, tải xuống hay quản trị tài nguyên nào.
- Provisioning / deprovisioning: tạo, điều chỉnh và thu hồi tài khoản theo vòng đời nhân sự.
- Audit và logging: ghi lại ai đã vào đâu, khi nào, bằng cách nào và với quyền gì.
Khi các lớp này đi cùng nhau, doanh nghiệp không còn phải dựa vào kiểm tra thủ công hay nhắc miệng. Quyền truy cập trở thành một quy trình có thể lặp lại, đo được và audit được.
IAM hoạt động như thế nào trong thực tế?
- Người dùng mở ứng dụng hoặc cổng đăng nhập.
- Hệ thống IAM hoặc Identity Provider kiểm tra thông tin xác thực và yêu cầu thêm MFA nếu cần.
- Chính sách truy cập quyết định user này có được vào ứng dụng đó hay không, có cần giới hạn theo thiết bị, vị trí hoặc nhóm vai trò hay không.
- Nếu đạt điều kiện, hệ thống cấp phiên đăng nhập và ghi log.
- Khi người dùng đổi phòng ban, được thăng chức hoặc nghỉ việc, quyền được cập nhật hoặc thu hồi theo đúng vòng đời.
Trong môi trường hiện đại, IAM hiếm khi đứng một mình. Nó thường đi cùng SSO để giảm số lần đăng nhập, đi cùng Zero Trust để kiểm soát theo ngữ cảnh, và đi cùng SOC an ninh mạng hoặc SIEM để cảnh báo những hành vi bất thường.
IAM khác gì SSO, MFA, PAM và Zero Trust?
Nhiều đội ngũ mua công cụ rồi mới phát hiện họ đang trộn lẫn khái niệm. Cách hiểu đúng là: IAM là khung quản trị tổng thể, còn SSO, MFA, PAM và Zero Trust là các lớp hoặc cơ chế phục vụ mục tiêu đó.
| Khái niệm | Vai trò chính | Có thay thế IAM không? | Khi nào cần nhất |
|---|---|---|---|
| IAM | Quản lý định danh, vòng đời tài khoản, quyền truy cập và audit | Không | Khi doanh nghiệp có nhiều người dùng, nhiều ứng dụng hoặc cần kiểm soát quyền bài bản |
| SSO | Cho phép đăng nhập một lần để vào nhiều ứng dụng | Không | Khi người dùng phải vào nhiều SaaS hoặc app nội bộ mỗi ngày |
| MFA | Thêm một lớp xác thực ngoài mật khẩu | Không | Khi muốn giảm rủi ro tài khoản bị chiếm dụng |
| PAM | Kiểm soát tài khoản đặc quyền và phiên admin | Không | Khi có tài khoản quản trị, root hoặc quyền nhạy cảm |
| Zero Trust | Chỉ cấp quyền theo ngữ cảnh, không tin cậy mặc định | Không | Khi muốn siết truy cập theo thiết bị, vị trí và rủi ro |
IAM là khung quản trị tổng thể; SSO, MFA và PAM là các lớp vận hành bên trong khung đó.
Cách triển khai IAM hiệu quả trong 6 bước
- Kiểm kê toàn bộ tài khoản, ứng dụng và nhóm quyền đang tồn tại.
- Chuẩn hóa vai trò theo chức danh hoặc theo nhóm công việc để tránh cấp quyền theo cảm tính.
- Chọn Identity Provider, bật SSO cho các ứng dụng quan trọng và ép MFA cho nhóm rủi ro cao.
- Tự động hóa quy trình joiner, mover, leaver, rồi đưa log IAM vào SOC an ninh mạng hoặc SIEM để review định kỳ.
Khi đã có khung IAM, bạn sẽ thấy onboarding nhanh hơn, offboarding an toàn hơn và việc audit nhẹ nhàng hơn nhiều. Cùng một thay đổi nhân sự, trước đây phải chạm vào nhiều hệ thống; sau IAM, chỉ cần chỉnh ở trung tâm rồi đồng bộ xuống các ứng dụng phụ thuộc.
Những lỗi thường gặp khi làm IAM
- Cấp quyền quá rộng “cho tiện”, rồi để đó rất lâu.
- Không có quy trình thu hồi quyền khi nhân sự nghỉ việc hoặc đổi bộ phận.
- Dùng chung tài khoản admin hoặc tài khoản đặc quyền cho nhiều người.
- Bật SSO nhưng quên ép MFA cho nhóm rủi ro cao.
- Không review quyền định kỳ nên quyền cũ âm thầm tích tụ.
- Không có log hoặc có log nhưng không ai theo dõi và điều tra.
Một IAM tốt là hệ thống giảm phụ thuộc vào trí nhớ và thao tác thủ công.
FAQ về IAM
IAM có thay thế được SSO hoặc MFA không?
Không. IAM là khung quản lý định danh và quyền truy cập; SSO và MFA là các cơ chế cụ thể nằm bên trong hoặc đi cùng khung đó.
Nên bắt đầu IAM từ đâu?
Hãy bắt đầu bằng việc kiểm kê tài khoản và nhóm quyền quan trọng nhất, sau đó bật SSO, MFA và quy trình offboarding cho các nhóm đó trước.
Nếu bạn đang dùng nhiều ứng dụng SaaS, SSO và MFA nhưng quyền truy cập vẫn rời rạc, hãy bắt đầu bằng một assessment IAM nhỏ: liệt kê 3 nhóm quyền quan trọng nhất, bật xác thực mạnh cho nhóm đó, rồi review quyền admin và log truy cập định kỳ.
