What is an IGA solution?

Identity Governance and Administration (IGA) is a software category that manages the full lifecycle of user access to applications, systems, and data. It automates provisioning and deprovisioning, enforces access policies, runs access certification campaigns, and maintains the audit records required for compliance with regulations such as SOX, GDPR, and HIPAA.

What is the difference between IAM and IGA?

IAM (Identity and Access Management) covers authentication and access control confirming who a user is and granting or denying access. IGA adds a governance layer: visibility into all access rights across the environment, policy enforcement, access review workflows, and compliance reporting. IGA systems work alongside IAM tools and address access accumulation and auditability problems that IAM alone cannot solve.

What does IGA stand for in government?

IGA stands for Identity Governance and Administration. In a government context, it refers to the same category of tools described above, applied to managing access to government systems, applications, and sensitive data in compliance with public sector regulations and frameworks.

Ciberseguridad Identidad y acceso

Comparativa de soluciones IGA: 12 proveedores con características

Sena Sezer

actualizado el Mar 17, 2026

Vea nuestra normas éticas

La gestión y administración de identidades (IGA, por sus siglas en inglés) permite a los administradores de seguridad gestionar las identidades de los usuarios y el acceso en toda la empresa.

Investigamos 12 plataformas IGA, verificando las afirmaciones de los proveedores con la documentación oficial del producto, probando los flujos de trabajo de certificación de acceso y comparando las implementaciones de clientes de One Identity, Omada, Oracle, IBM, Lumos y otras. Consulte nuestro análisis comparativo de valor y rendimiento.

Comparación de las 12 mejores soluciones IGA

* Basado en datos de plataformas de reseñas B2B

** Basado en datos de LinkedIn

IGA vs IAM vs PAM

Estas tres categorías suelen confundirse porque sus ámbitos de aplicación se solapan, pero cada una resuelve un problema diferente.

IAM (Gestión de Identidades y Accesos) se encarga de la autenticación y el control de acceso: verifica la identidad de un usuario y decide si puede acceder a un sistema. El inicio de sesión único, la autenticación multifactor y las políticas de acceso condicional se incluyen en esta categoría. IAM responde a la pregunta: "¿Puedes iniciar sesión?".

IGA añade una capa de gobernanza sobre IAM. Mientras que IAM controla el acceso, IGA rastrea quién tiene claves, quién las emitió, si deberían conservarlas y si esto cumple con las expectativas de los auditores. Las revisiones de acceso, el ejemplo de roles, la aplicación de la segregación de funciones (SoD) y la elaboración de informes de cumplimiento son funciones de IGA. IGA responde a la pregunta: "¿Debería usted tener este acceso? ¿Podemos demostrarlo?".

La gestión de acceso privilegiado (PAM) se centra en el subconjunto de identidades con permisos elevados, como administradores de sistemas, propietarios de bases de datos y cuentas raíz. Controla cuándo pueden usar el acceso elevado, registra sus acciones y garantiza la asignación de privilegios justo a tiempo. PAM responde a la pregunta: "¿Quién puede actuar como administrador, cuándo y bajo qué condiciones?".

¿Cómo funciona IGA?

Recurso: AiMultiple

Los datos de identidad ingresan a la plataforma IGA desde fuentes autorizadas: el sistema de RR. HH., Active Directory, proveedores de identidad y HRIS. La plataforma mantiene un repositorio central de identidades, una fuente única de información fidedigna sobre quiénes existen en la organización, qué roles desempeñan y qué permisos tienen.

El motor de políticas traduce las reglas de negocio en decisiones de aprovisionamiento. Cuando un empleado se incorpora, cambia de rol o se marcha, la plataforma concede, ajusta o revoca automáticamente el acceso a las aplicaciones conectadas sin intervención del departamento de TI. La mayoría de las plataformas admiten aprobaciones de flujo de trabajo configurables para sistemas sensibles.

Las campañas de certificación de acceso se ejecutan periódicamente o bajo demanda, solicitando a los gerentes y responsables de recursos que confirmen si el acceso de cada usuario sigue siendo apropiado. Las plataformas basadas en IA complementan la revisión humana con análisis de grupos de pares, señalando a los usuarios cuyo acceso parece inusual en comparación con colegas que desempeñan funciones similares.

Los motores de aprovisionamiento envían las decisiones a las aplicaciones de destino mediante conectores, SCIM 2.0, API o adaptadores. Cada acción se registra en un registro de auditoría inmutable que alimenta los informes de cumplimiento que los auditores requieren para las revisiones SOX, GDPR y HIPAA.

Así es como se presenta el mercado de IGA: qué plataformas se adaptan a qué entornos, dónde el marketing de los proveedores difiere de la realidad de la implementación y qué nuevos participantes merecen ser evaluados junto con los líderes tradicionales.

Explicación de las soluciones IGA

1. One Identity Gerente

One Identity Manager es una plataforma IGA empresarial construida en torno a una profunda integración con Active Directory y SAP, que compite principalmente en profundidad de personalización y costes de licencia.

One Identity Manage introdujo manuales de procedimientos de ITDR que automatizan las acciones de remediación, la desactivación de cuentas, el marcado de incidentes y el lanzamiento de la atestación dirigida directamente dentro de los flujos de trabajo de gobernanza, acortando el período entre la detección y la acción durante los ataques basados en la identidad.

La integración certificada por SAP extiende la gobernanza de la segregación de funciones (SoD) de forma nativa a los entornos SAP, abarcando tanto la gestión de roles como la de autorizaciones.

La versión 10.0 añade además la ingesta de puntuaciones de riesgo de usuario externas procedentes de herramientas UEBA de terceros, la gobernanza basada en el comportamiento (BDG) de Entra ID a nivel de aplicación para aplicar el principio de mínimo privilegio mediante la identificación de derechos no utilizados, la importación de datos de uso de transacciones de SAP para admitir el análisis de segregación de funciones y la optimización de licencias, y el formato de Syslog CEF compatible con los estándares para una mejor interoperabilidad SIEM. ¹

La mayoría de las configuraciones se pueden realizar sin necesidad de programar. Sin embargo, los flujos de trabajo complejos suelen requerir un socio de implementación.

Limitaciones:

La calidad del soporte es una queja recurrente: respuestas tardías y comunicación insuficiente sobre parches urgentes.
Web Designer está basado en la versión anterior de ASP.NET, lo que genera problemas de rendimiento que son esperados pero aún no se han resuelto.
No hay interfaz móvil para el autoservicio del usuario final.
La gobernanza de la identidad de las máquinas más allá de las cuentas privilegiadas no es una capacidad claramente documentada.

2. ConductorUno

ConductorOne es una plataforma de gestión de identidades basada en IA dirigida a organizaciones que han superado los procesos manuales, pero que consideran que los sistemas IGA heredados son demasiado costosos y lentos de implementar.

El Gráfico de Identidad Unificada integra datos de acceso y permisos de más de 300 conectores de aplicaciones en la nube, infraestructura, locales y desarrolladas internamente en un único esquema en tiempo real, eliminando los silos de identidad que impiden la visibilidad del acceso en toda la organización. Los flujos de trabajo de acceso justo a tiempo reducen los privilegios permanentes al otorgar acceso bajo demanda y eliminarlo automáticamente cuando ya no es necesario.

Entre sus clientes se encuentran DoorDash, Instacart, Qualtrics, Ramp y Zscaler.

Limitaciones:

Orientado principalmente a entornos nativos de la nube y con gran cantidad de SaaS, la gobernanza profunda de derechos de SAP y mainframe no es una fortaleza documentada.
Red de socios más pequeña que la de los proveedores IGA establecidos.

3. Gobernanza de identidades de CyberArk

CyberArk entró en el mercado de IGA mediante la adquisición de Zilla Security en febrero de 2025 por 165 millones de dólares. La moderna plataforma SaaS de IGA de Zilla ahora está integrada en la plataforma de seguridad de identidad de CyberArk, junto con las capacidades PAM ya establecidas de CyberArk. ²

Definición moderna de seguridad de identidad

El principal elemento diferenciador de la plataforma son los perfiles de IA: modelos de aprendizaje automático que analizan los permisos reales en todo el entorno para identificar el acceso con privilegios mínimos adecuado para cada rol, reemplazando la gestión manual de roles con una administración continua basada en IA. CyberArk afirma que reduce en un 80 % el esfuerzo en las revisiones de acceso y en un 60 % las solicitudes de servicio para el aprovisionamiento en comparación con las implementaciones IGA tradicionales, según datos de clientes de Zilla previos a la adquisición. ³

El Mapa de Identidad proporciona una visión unificada de los permisos de identidad, tanto humanos como no humanos, en todas las aplicaciones conectadas. Universal Sync utiliza la automatización robótica de procesos para integrar aplicaciones que carecen de API estándar, reduciendo así la brecha entre el acceso controlado y el no controlado. ⁴

Con más de 1000 integraciones preconfiguradas y la plataforma subyacente CyberArk PAM, CyberArk está posicionado para organizaciones que desean gestión de IGA y acceso privilegiado de un único proveedor.

Limitaciones:

El módulo IGA se ha integrado recientemente y aún se encuentra en fase de desarrollo dentro de la plataforma CyberArk; los compradores deben validar la profundidad de sus capacidades en función de sus requisitos de gobernanza específicos.
El precio combina las licencias de PAM e IGA, lo que puede resultar complejo para las organizaciones que solo necesitan gobernanza.

4. Lumos

Lumos es una plataforma autónoma de gobernanza de identidades que sitúa la IA en el centro de su arquitectura, en lugar de como una capa adicional.

Albus, el agente de identidad con IA de Lumos, analiza patrones de acceso, asignaciones de roles, datos de HRIS y registros de uso para generar recomendaciones de políticas RBAC y ABAC. El lanzamiento de Agentic User Access Reviews en diciembre de 2025 implementa Albus para ejecutar de forma autónoma la primera fase de las campañas de revisión de acceso, separando el acceso de bajo riesgo y de uso común de las anomalías antes de presentar los resultados filtrados a los revisores humanos. Lumos afirma que la finalización de las campañas es hasta 6 veces más rápida. ⁵

Lumos presentó su capacidad de Gestión Autónoma de Políticas en abril de 2025, combinando el aprendizaje automático con la IA basada en agentes para crear, refinar y aplicar políticas RBAC y ABAC de forma continua. ⁶

Más allá de la gobernanza, Lumos incluye la optimización de licencias SaaS, identificando automáticamente las licencias no utilizadas y las aplicaciones de TI en la sombra que los equipos de TI pueden recuperar o integrar en la gobernanza. Esto sitúa a Lumos en la intersección de la gestión de licencias de software (IGA) y la gestión de SaaS, lo que la diferencia de las plataformas de gobernanza especializadas.

Con más de 300 integraciones y un enfoque en la implementación rápida, Lumos se dirige a empresas de tecnología y empresas de rápido crecimiento en lugar de los complejos entornos locales donde dominan SailPoint y One Identity.

Limitaciones:

No se documenta la profundidad de la gobernanza de derechos de SAP, la integración con el mainframe ni la compleja segregación de funciones a nivel de transacción.
Menos adecuado para grandes empresas con una infraestructura de identidad heredada y local compleja.
Las decisiones autónomas de IA requieren una sólida higiene de datos en el HRIS y el IdP subyacentes; los datos de origen deficientes degradan la calidad de las recomendaciones.

5. Microsoft Gobernanza de ID de Entrada

Microsoft Entra ID Governance es un complemento de gobernanza de identidades para la plataforma Microsoft Entra, disponible como licencia adicional sobre Entra ID P1 o P2. Para las organizaciones que ya forman parte del ecosistema Microsoft 365, proporciona gobernanza sin necesidad de añadir un producto de terceros.

Entre las funcionalidades principales se incluye la gestión de derechos, que agrupa las funciones de las aplicaciones, la pertenencia a grupos y los permisos de SharePoint en paquetes de acceso con flujos de trabajo de aprobación definidos, políticas de caducidad y revisiones de acceso. ⁷ Lifecycle Workflows automatizan los eventos de incorporación, traslado y baja de empleados mediante activadores de RR. HH. de Workday y SuccessFactors. Privileged Identity Management (PIM) proporciona activación justo a tiempo de roles elevados en Entra ID y Azure. ⁸

El Agente de Revisión de Acceso (versión preliminar) realiza revisiones a través de Teams en lenguaje natural, mostrando recomendaciones generadas por IA y guiando a los revisores hacia una decisión sin necesidad de que naveguen por un portal separado. ⁹

La gestión de derechos ahora admite paquetes de acceso con alcance definido por permisos de API para identificadores de agente, lo que abarca la gobernanza de agentes de IA dentro del ecosistema de Microsoft. ¹⁰

Limitaciones:

Las capacidades de gobernanza están estrictamente limitadas al ecosistema Microsoft; la cobertura para aplicaciones SaaS que no pertenecen a Microsoft requiere la configuración manual del conector.
La aplicación de la segregación de funciones (SoD) se basa en políticas dentro de los paquetes de acceso y no coincide con la granularidad a nivel de transacción disponible en las plataformas IGA dedicadas.
La concesión de licencias en los niveles P1, P2, Gobernanza y Entra Suite es compleja y requiere una planificación cuidadosa.

6. SailPoint Identity Security Cloud

SailPoint es el líder en cuota de mercado en IGA empresarial, utilizado por aproximadamente la mitad de las empresas de Fortune 500, y está construido sobre una plataforma de gobernanza de acceso impulsada por IA , con un producto local independiente para las organizaciones que no pueden migrar.

La capa de recomendaciones de IA de SailPoint produce un cambio de comportamiento cuantificable: los revisores revocan el acceso el doble de veces cuando hay recomendaciones de IA presentes, lo que sugiere que las revisiones manuales por sí solas sufren un problema de aprobación automática.

La segregación de funciones (SoD) y la gobernanza de identidades no humanas son complementos de pago, no incluidos en la licencia básica. La SoD se gestiona mediante el módulo de Gestión de Riesgos de Acceso (ARM). Las cuentas de servicio de cobertura no humana, los bots, la automatización robótica de procesos (RPA) y los agentes de IA requieren Seguridad de Identidad de Máquina y Seguridad de Identidad de Agente, ambos módulos independientes.

En 2026, SailPoint amplió los conectores de Agent Identity Security para incluir versiones SaaS de Salesforce, ServiceNow y Snowflake, lo que permite el descubrimiento y la gobernanza de los agentes de IA que operan dentro de esas plataformas. La gobernanza de las identidades de los agentes requiere una licencia independiente de Agent Identity Security. ¹¹

SailPoint formalizó su estrategia de "identidad adaptativa", posicionando la plataforma en torno a decisiones de acceso en tiempo real basadas en el contexto de riesgo, en lugar de políticas estáticas, citando un estudio encargado en el que el 96% de los líderes tecnológicos identificaron a los agentes de IA no controlados como una creciente amenaza para la seguridad empresarial. ¹²

Limitaciones:

Los módulos SoD y no humanos son complementos de pago; el costo de la licencia base subestima el gasto real de implementación.
Según varias reseñas de usuarios, la consola de administración es menos intuitiva que la de sus competidores más recientes que utilizan soluciones nativas en la nube.
Diseñado para grandes empresas con equipos de IAM dedicados, las organizaciones medianas lo encontrarán demasiado grande.
IdentityIQ e Identity Security Cloud tienen conjuntos de características diferentes, lo que crea una brecha de gobernanza para las organizaciones que utilizan ambos.

7. Gobernanza de identidades de Okta

Okta Identity Governance (OIG) es un módulo de gobernanza basado en SaaS, desarrollado de forma nativa sobre la plataforma de gestión del ciclo de vida y flujos de trabajo de Okta. Para las organizaciones que ya utilizan Okta para la autenticación y la gestión de directorios, OIG amplía la gobernanza sin necesidad de adquirir un producto adicional.

La plataforma consta de tres capas: Gestión del ciclo de vida para el aprovisionamiento y la integración de directorios, Flujos de trabajo de Okta para la automatización sin código de procesos de identidad personalizados y Gobernanza de acceso para certificaciones y solicitudes de acceso. Las más de 600 integraciones nativas de la Red de Integración de Okta se aplican a la gobernanza sin necesidad de desarrollar conectores personalizados. ¹³

Governance Analyzer proporciona recomendaciones basadas en inteligencia artificial durante las campañas de certificación, analizando la frecuencia de inicio de sesión, las fechas del último acceso y la pertenencia a grupos de pares, lo que ofrece a los revisores un contexto que va más allá de una simple decisión de aprobar o revocar. ¹⁴

Limitaciones:

Las capacidades de gobernanza son un complemento de la plataforma Okta, no un producto independiente; las organizaciones que no utilizan Okta como proveedor de identidad (IdP) se enfrentan a una mayor barrera de adopción.
La profundidad de la aplicación de la segregación de funciones y la visibilidad a nivel de derechos es menor que la de los proveedores de acuerdos interbancarios diseñados específicamente para este fin.
Los escenarios de ciclo de vida complejos pueden requerir la personalización de Okta Workflows.

8. Identidad de Ping (Gobernanza de PingOne Identity)

Ping Identity ofrece gobernanza como parte de su plataforma PingOne Advanced Identity Cloud. El módulo IGA proporciona campañas de certificación, flujos de trabajo de solicitudes de acceso y aplicación de políticas de segregación de funciones (SoD) con toma de decisiones asistida por IA y aprendizaje automático. La capa de IA de Ping evalúa millones de permisos por minuto, automatizando la aprobación de certificaciones de acceso de bajo riesgo y alta confianza, e indicando las desviaciones para su revisión humana. ¹⁵

Las plantillas prediseñadas y las microcertificaciones permiten realizar revisiones específicas de aplicaciones o grupos de usuarios concretos sin necesidad de ejecutar una campaña completa.

Las políticas de segregación de funciones (SoD) se definen y evalúan de forma centralizada durante las solicitudes de acceso, detectando combinaciones peligrosas antes de concederlo. Los análisis programados de políticas también funcionan como controles de detección, identificando cuentas no autorizadas o accesos conflictivos acumulados con el tiempo. ¹⁶

Ping sitúa la gobernanza de identidades dentro de una estrategia IAM federada más amplia, donde IGA y la autenticación trabajan conjuntamente. La plataforma se integra con PingOne, AD, AWS y 1936.

Limitaciones:

Las capacidades de IGA de Ping aún están en desarrollo en comparación con los proveedores de IGA especializados; la profundidad de la automatización del ciclo de vida y la visibilidad de los derechos son más limitadas.
Ideal para organizaciones que ya utilizan Ping para autenticación y federación y que desean ampliar la gobernanza sin añadir otra plataforma.

9. Saviynt Identity Cloud

Saviynt es una plataforma exclusivamente en la nube que integra la gestión de identidades y accesos privilegiados (IGA), la gestión de accesos privilegiados (PAM) y la gobernanza de accesos a aplicaciones en un único producto. Está dirigida a empresas que buscan consolidar la gestión de identidades y accesos privilegiados con un solo proveedor. Para las organizaciones que gestionan la gobernanza de identidades y el acceso privilegiado con proveedores independientes, esta consolidación reduce los costos de herramientas e integración. No existe una versión local.

La segregación de funciones (SoD) está incluida en la plataforma principal, no es un complemento de pago como en SailPoint. La versión 2025 rediseñó el panel de control de SoD y añadió conjuntos de reglas preconfigurados para SAP, Oracle, Salesforce y NetSuite. ¹⁷

Las identidades de humanos, máquinas y agentes de IA se gestionan dentro de la misma plataforma. En 2025, Saviynt amplió la cobertura para sistemas no humanos a cargas de trabajo y credenciales. Las identidades de terceros y contratistas se gestionan mediante un módulo específico de Gestión de Identidades Externas.

Saviynt añadió compatibilidad con servidores SCIM en 2025, lo que redujo la necesidad de desarrollo personalizado para las integraciones de aplicaciones en la nube.

Saviynt afirma haber automatizado el 75 % de las decisiones de revisión de acceso y haber reducido el tiempo de decisión en un 70 %. Ambas cifras son proporcionadas por el proveedor; no se dispone de verificación independiente. ¹⁸

Referencia de cliente: VF Corporation reemplazó su antigua plataforma manual con Saviynt para crear una plataforma de identidad única para 12 marcas. El CISO de Ingredion informó que la cancelación de accesos se volvió casi inmediata y que los nuevos empleados obtuvieron acceso desde el primer día. ¹⁹

Limitaciones:

No hay opción de instalación local; las organizaciones con requisitos estrictos de residencia de datos deben verificar el alojamiento regional antes de comprometerse.
Las integraciones de sistemas heredados requieren un esfuerzo considerable a pesar del catálogo de conectores preconfigurado.

10. IBM Verificar la gobernanza de identidad

IBM Verify Identity Governance es una plataforma IGA empresarial que se diferencia por su modelo SoD basado en la actividad empresarial, que gestiona las infracciones con acciones como "aprobar factura" en lugar de roles, y está diseñada para organizaciones donde la alineación de auditoría es el principal impulsor de la gobernanza.

El principal elemento diferenciador de la arquitectura es el modelo SoD. Mientras que otros proveedores gestionan el SoD mediante roles, IBM modela las infracciones utilizando actividades comerciales, como la creación de una orden de compra y la aprobación de una factura. Dado que las actividades comerciales son más estáticas que los roles, se corresponden más directamente con la forma en que los auditores evalúan el riesgo de acceso. ²⁰

La plataforma integral de Verify incluye detección y respuesta a amenazas de identidad (ITDR) con inteligencia artificial y gestión de la postura de seguridad de identidad (ISPM), que abarca identidades humanas y no humanas. Antes de la compra, se recomienda verificar el nivel de control de identidad de máquinas de Verify Governance con el documento IBM.

Referencia del cliente: Commercial International Bank, el banco privado más grande de Egipto, implementó la solución IBM Verify Identity Governance en un entorno de seguridad digital complejo. Exostar la utilizó para proteger los ecosistemas de sus socios en las cadenas de suministro globales de la industria aeroespacial y de defensa. ²¹

Limitaciones:

El desarrollo de conectores personalizados requiere habilidades de ingeniería específicas que son cada vez más escasas.
Los múltiples cambios de marca generan confusión en la documentación de adquisiciones y soporte.

11. Identidad Omada

Omada es una plataforma IGA nativa de la nube que ofrece una garantía de implementación a precio fijo de 12 semanas, dirigida a empresas medianas y grandes que buscan migrar desde sistemas de identidad locales heredados sin un proyecto de varios años.

Omada ha lanzado Cloud Application Gateway: una imagen Docker autohospedada que extiende la gobernanza a sistemas locales y heredados sin necesidad de modificar el firewall, y que puede implementarse en menos de 30 minutos. Admite claves de cifrado gestionadas por el cliente a través de Hashicorp o Key Vault (Azure).

Los flujos de trabajo de certificación utilizan un creador de arrastrar y soltar sin código, lo que reduce los conocimientos técnicos necesarios para mantener y modificar las campañas a lo largo del tiempo.

El bloqueo de emergencia, que permite la revocación inmediata del acceso a todos los sistemas conectados para una única identidad, es una función documentada y útil en escenarios de sospecha de violación de seguridad. ²²

Limitaciones:

La garantía de despliegue de 12 semanas es cuestionada por varios revisores independientes; los plazos reales varían.
Los informes se señalan sistemáticamente como débiles.
El aprovisionamiento en tiempo real es más lento que el de la competencia; algunos escenarios requieren un procesamiento casi por lotes.
La disponibilidad de socios de implementación es limitada en relación con SailPoint o One Identity.

12. Oracle Gobernanza de la identidad

Oracle ofrece dos productos IGA separados: una plataforma local madura (OIG) y un producto SaaS nativo de la nube más nuevo (OAG), lo que lo convierte en la opción natural para las grandes empresas que ya utilizan Oracle Fusion o E-Business Suite.

El modo híbrido es una opción práctica para las organizaciones en plena migración: las revisiones de acceso se ejecutan en OAG mientras que el aprovisionamiento continúa a través de OIG 12c. Para las organizaciones totalmente comprometidas con la nube de Oracle, OAG afirma una reducción del 70 % en los tickets de TI relacionados con la gobernanza de acceso, una cifra proporcionada por el proveedor. ²³

Oracle Identity Role Intelligence utiliza IA y ML para automatizar la extracción de roles y su publicación en la OIG en función de la estructura organizativa, los atributos del usuario y los patrones de actividad empresarial, lo que reduce el esfuerzo manual necesario para mantener el RBAC a gran escala.

Fuente: Oracle Gobernanza de identidad (OIG)

En entornos SAP, el módulo Application Access Governance de OAG gestiona la segregación de funciones (SoD) a nivel de transacción, lo que ofrece un nivel de detalle mayor que los controles a nivel de rol.

El marco de conectores que abarca mainframe, LDAP, bases de datos, Office 365, ServiceNow, Dropbox, Workspace y WebEx se cita constantemente como una de las características más destacadas de OIG. IGA Integrations Exchange proporciona un catálogo preconfigurado para ambos productos. ²⁴

Referencia del cliente: Cummins evaluó OAG para la gobernanza nativa en la nube, citando la ausencia de migración desde OIG 12c y el análisis basado en datos como factores clave. ²⁵

Limitaciones:

La OIG ha experimentado un desarrollo funcional mínimo en los últimos cinco años; se han documentado errores conocidos y problemas de estabilidad, incluidas interrupciones en la producción.
Las licencias de la base de datos y del conector son partidas separadas, lo que dificulta estimar el coste total de propiedad por adelantado; el retorno de la inversión suele tardar entre dos y tres años.
La gobernanza de identidades no humanas no es una capacidad definida en los mensajes IGA actuales de Oracle.
Fuera del ecosistema Oracle (Fusion, E-Business Suite), los costos de integración aumentan significativamente.

Características comunes

Las cinco plataformas incluyen las siguientes funcionalidades de serie:

Ciclo de vida de la identidad (JML) : Automatización de altas, bajas y cambios de empleados impulsada por datos de RR. HH. o asignaciones de roles, con aprovisionamiento y desaprovisionamiento automatizados en sistemas conectados.
Certificación de acceso : Campañas periódicas de revisión de acceso con flujos de trabajo de aprobación para gerentes de línea de negocio o equipos de TI.
Controles de separación de funciones : Aplicación de la separación de funciones mediante la detección de conflictos basada en políticas. SailPoint ofrece esta funcionalidad a través de un complemento de pago (Gestión de riesgos de acceso); el resto de proveedores la incluyen en su plataforma principal.
Control de acceso basado en roles : Se admiten la extracción de roles, el modelado de roles y la gestión de políticas RBAC, con distintos niveles de automatización asistida por IA.
Solicitudes de acceso de autoservicio : Portales de usuario final para solicitudes de acceso con flujos de trabajo de aprobación configurables.
Cobertura de cumplimiento : SOX y GDPR son compatibles explícitamente con todos. HIPAA está confirmado para SailPoint, Saviynt y IBM; no está confirmado para Oracle, One Identity y Omada en la documentación actual del producto.
Registros de auditoría : Todas las plataformas incluyen registros e informes listos para la auditoría.
Precios : Ninguno de los cinco proveedores publica sus precios públicamente. Todos utilizan modelos de suscripción o licencia por identidad con módulos adicionales.

IGA impulsada por IA

Los sistemas IGA tradicionales se basaban en reglas estáticas, certificaciones manuales y modelos de conducta mantenidos por equipos de TI centralizados. La IA cambia tres aspectos: cómo se toman las decisiones de acceso, cómo se realizan las revisiones y cómo se detectan las amenazas.

Decisiones de acceso asistidas por IA : El análisis de grupos de pares identifica qué constituye un acceso normal para una función laboral, ubicación y departamento determinados. Cuando un usuario solicita un acceso que no se ajusta al patrón de su grupo de pares, la IA lo marca para que lo revise un humano en lugar de aprobarlo automáticamente. Las recomendaciones de certificación de SailPoint y el motor de IA de Saviynt utilizan este enfoque; los proveedores afirman que los revisores revocan el acceso con mucha más frecuencia cuando se presenta el contexto del grupo de pares.

Revisiones de acceso con agentes : El desarrollo más reciente es la implementación de agentes de IA para realizar la primera revisión de una campaña de forma autónoma. El agente Albus de Lumos y Harbor Pilot de SailPoint pueden analizar docenas de puntos de datos por identidad, separar el acceso común y de bajo riesgo de las anomalías y presentar a los revisores una lista prefiltrada en lugar de un catálogo completo. Lumos informó de una finalización de campaña hasta seis veces más rápida en su anuncio de lanzamiento de diciembre de 2025.

Anomaly detección e ITDR : los modelos de IA entrenados en patrones de comportamiento de identidad pueden detectar cuándo la actividad de acceso de un usuario se desvía de su línea base, tiempos de inicio de sesión inusuales, movimiento lateral o acceso a sistemas que el usuario nunca ha utilizado. One Identity Manager 10.0 integró manuales de procedimientos de ITDR que ingieren puntuaciones de riesgo UEBA de herramientas de terceros y activan la remediación automatizada, la desactivación de cuentas, la señalización de incidentes y la certificación dirigida sin esperar al siguiente ciclo de auditoría.

Gobernanza en lenguaje natural : Harbor Pilot (SailPoint), los informes basados en LLM de One Identity y el servidor MCP de Saviynt permiten a los administradores y auditores consultar datos de identidad en lenguaje natural: "¿Quién tiene acceso a nuestros sistemas financieros sin haber iniciado sesión en 90 días?". Esto reemplaza las consultas a la base de datos y el desarrollo de informes personalizados.

La frontera entre la gobernanza asistida por IA y la autónoma se está difuminando. ConductorOne y Lumos se posicionan explícitamente como plataformas «nativas de IA» o «autónomas», donde la IA toma medidas en lugar de limitarse a hacer recomendaciones. Plataformas tradicionales como SailPoint y Saviynt están incorporando capas de agentes a la infraestructura de gobernanza existente. La diferencia clave para los compradores radica en si las decisiones de la IA son auditables y si los humanos siguen siendo responsables de las decisiones finales de acceso.

Los 8 principales casos de uso de IGA

Incorporación de empleados : Cuando un nuevo empleado aparece en el sistema de RR. HH., IGA le proporciona automáticamente el correo electrónico de acceso preferente, las herramientas de colaboración y las aplicaciones del departamento el primer día o antes, sin necesidad de abrir un ticket de TI.

Cambio de rol : Cuando un empleado pasa del departamento de Finanzas al de Ingeniería, IGA elimina el acceso que ya no es relevante para el nuevo rol y otorga los permisos necesarios. Sin automatización, el acceso anterior suele permanecer activo indefinidamente, lo que conlleva una acumulación de privilegios.

Desvinculación : Cuando un empleado se marcha, IGA revoca el acceso a todos los sistemas conectados de forma inmediata o según un calendario predefinido. Ingredion, cliente de Saviynt, mencionó las rescisiones de contrato casi inmediatas como el principal motivo para su implementación.

Gestión de la fuerza laboral externa : Los contratistas, socios y proveedores necesitan acceso con límite de tiempo y flujos de trabajo de renovación. El acuerdo intergubernamental (IGA) impone fechas de vencimiento y requiere una nueva aprobación antes de extender el acceso, en lugar de dejar las cuentas activas una vez finalizado el proyecto.

Certificaciones de acceso : Los gerentes de línea de negocio revisan periódicamente quién de su equipo tiene acceso a qué aplicaciones y confirman que esto sigue siendo apropiado. Las plataformas de IA reducen las aprobaciones automáticas al mostrar evidencia como la fecha del último inicio de sesión, comparaciones con grupos de pares y puntuaciones de riesgo.

Aplicación de la segregación de funciones : IGA detecta combinaciones de acceso perjudiciales, como que un mismo usuario pueda crear y aprobar una orden de compra, y bloquea la concesión o la marca para su revisión.

Gobernanza de identidades no humanas : Las cuentas de servicio, los bots de RPA, las claves API y los agentes de IA requieren los mismos controles de ciclo de vida que las identidades humanas. Todas las plataformas principales ofrecen actualmente algún tipo de gobernanza de identidades no humanas; la profundidad y la automatización varían considerablemente.

Informes de cumplimiento : Los auditores requieren evidencia de que solo los usuarios autorizados tuvieron acceso a los sistemas regulados durante un período definido. IGA genera informes de historial de acceso, registros de certificación y registros de violación de segregación de funciones (SoD) listos para las revisiones de SOX, GDPR y HIPAA.

Preguntas frecuentes

La administración y gestión de identidades (IGA, por sus siglas en inglés) es una categoría de software que administra el ciclo de vida completo del acceso de los usuarios a aplicaciones, sistemas y datos. Automatiza el aprovisionamiento y la desaprovisionamiento, aplica políticas de acceso, ejecuta campañas de certificación de acceso y mantiene los registros de auditoría necesarios para el cumplimiento de normativas como SOX, GDPR y HIPAA.

La gestión de identidades y accesos (IAM) abarca la autenticación y el control de acceso, confirmando la identidad de un usuario y otorgando o denegando el acceso. La gestión de accesos (IGA) añade una capa de gobernanza: visibilidad de todos los derechos de acceso en el entorno, aplicación de políticas, flujos de trabajo de revisión de accesos e informes de cumplimiento. Los sistemas IGA funcionan junto con las herramientas IAM y abordan los problemas de acumulación de accesos y auditabilidad que IAM por sí solo no puede resolver.

IGA son las siglas de Administración y Gobernanza de Identidades. En el ámbito gubernamental, se refiere a la misma categoría de herramientas descrita anteriormente, aplicadas a la gestión del acceso a sistemas, aplicaciones y datos confidenciales del gobierno, en cumplimiento de las normativas y marcos del sector público.