What is an IGA solution?

Identity Governance and Administration (IGA) is a software category that manages the full lifecycle of user access to applications, systems, and data. It automates provisioning and deprovisioning, enforces access policies, runs access certification campaigns, and maintains the audit records required for compliance with regulations such as SOX, GDPR, and HIPAA.

What is the difference between IAM and IGA?

IAM (Identity and Access Management) covers authentication and access control confirming who a user is and granting or denying access. IGA adds a governance layer: visibility into all access rights across the environment, policy enforcement, access review workflows, and compliance reporting. IGA systems work alongside IAM tools and address access accumulation and auditability problems that IAM alone cannot solve.

What does IGA stand for in government?

IGA stands for Identity Governance and Administration. In a government context, it refers to the same category of tools described above, applied to managing access to government systems, applications, and sensitive data in compliance with public sector regulations and frameworks.

Sicurezza informatica Identità e accesso

Soluzioni IGA a confronto: 12 fornitori con le relative funzionalità

Sena Sezer

aggiornato il Mar 17, 2026

Guarda il nostro norme etiche

La governance e l'amministrazione delle identità (IGA) consentono agli amministratori della sicurezza di gestire le identità e gli accessi degli utenti in tutta l'azienda.

Abbiamo analizzato 12 piattaforme IGA, verificando le affermazioni dei fornitori rispetto alla documentazione ufficiale dei prodotti, testando i flussi di lavoro di certificazione degli accessi e confrontando le implementazioni dei clienti con One Identity, Omada, Oracle, IBM, Lumos e altre ancora. Consulta la nostra analisi comparativa in termini di valore e prestazioni.

IGA contro IAM contro PAM

Queste tre categorie vengono spesso confuse perché i loro ambiti di applicazione si sovrappongono, ma ognuna risolve un problema diverso.

La gestione delle identità e degli accessi (IAM) si occupa dell'autenticazione e del controllo degli accessi: verifica chi è un utente e decide se può accedere a un sistema. Il single sign-on, l'autenticazione a più fattori e le politiche di accesso condizionale rientrano in questa categoria. L'IAM risponde alla domanda: "Puoi accedere?".

IGA aggiunge un livello di governance al di sopra di IAM. Mentre IAM controlla l'accesso, IGA traccia chi possiede le chiavi, chi le ha emesse, se dovrebbero ancora possederle e se ciò corrisponde alle aspettative degli auditor. Le revisioni degli accessi, la definizione dei ruoli, l'applicazione della separazione dei compiti (SoD) e la reportistica di conformità sono funzioni di IGA. IGA risponde alla domanda: "Hai diritto a questo accesso e possiamo dimostrarlo?".

La gestione degli accessi privilegiati (PAM - Privileged Access Management) si concentra sul sottoinsieme di identità con permessi elevati, come gli amministratori di sistema, i proprietari di database e gli account root. Regolamenta quando possono utilizzare l'accesso privilegiato, registra le azioni che compiono con tale accesso e garantisce l'assegnazione dei privilegi just-in-time. La PAM risponde alla domanda "chi può agire come amministratore, quando e a quali condizioni?".

Come funziona l'IGA?

Risorsa: AiMultiple

I dati di identità entrano nella piattaforma IGA da fonti autorevoli: il sistema HR, Active Directory, i provider di identità e l'HRIS. La piattaforma mantiene un repository centrale di identità, un'unica fonte di verità su chi esiste nell'organizzazione, quali ruoli ricopre e quali permessi ha.

Il motore delle policy traduce le regole aziendali in decisioni di provisioning. Quando un dipendente viene assunto, cambia ruolo o lascia l'azienda, la piattaforma concede, modifica o revoca automaticamente l'accesso alle applicazioni connesse senza l'intervento del reparto IT. La maggior parte delle piattaforme supporta approvazioni del flusso di lavoro configurabili per i sistemi sensibili.

Le campagne di certificazione degli accessi vengono eseguite periodicamente o su richiesta, chiedendo a manager e responsabili delle risorse di confermare se l'accesso di ciascun utente sia ancora appropriato. Le piattaforme basate sull'intelligenza artificiale integrano la revisione umana con l'analisi comparativa, segnalando gli utenti il cui accesso appare insolito rispetto ai colleghi con ruoli simili.

I motori di provisioning inviano le decisioni alle applicazioni di destinazione tramite connettori, SCIM 2.0, API o adattatori. Ogni azione viene registrata in una traccia di controllo immutabile che alimenta i report di conformità richiesti dai revisori per le verifiche SOX, GDPR e HIPAA.

Ecco come si presenta il mercato IGA: quali piattaforme sono più adatte a quali ambienti, dove il marketing dei fornitori si discosta dalla realtà dell'implementazione e quali nuovi operatori meritano di essere valutati insieme ai leader storici.

Confronto delle 12 migliori soluzioni IGA

* Basato sui dati provenienti da piattaforme di recensioni B2B

** Basato sui dati di LinkedIn

1. Un gestore di identità

One Identity Manager è una piattaforma IGA aziendale basata sulla profonda integrazione con Active Directory e SAP, che compete principalmente in termini di livello di personalizzazione e costi di licenza.

One Identity Manage ha introdotto playbook ITDR che automatizzano le azioni di correzione, la disabilitazione degli account, la segnalazione degli incidenti e l'avvio di attestazioni mirate direttamente all'interno dei flussi di lavoro di governance, riducendo i tempi tra il rilevamento e l'intervento durante gli attacchi basati sull'identità. ¹

L'integrazione certificata SAP estende la governance SoD in modo nativo negli ambienti SAP, coprendo sia la gestione dei ruoli che quella delle autorizzazioni.

La versione 10.0 aggiunge inoltre l'acquisizione di punteggi di rischio utente esterni da strumenti UEBA di terze parti, Entra ID Behavior-Driven Governance (BDG) a livello applicativo per garantire il principio del minimo privilegio identificando i diritti non utilizzati, l'importazione di dati di utilizzo delle transazioni SAP per supportare l'analisi SoD e l'ottimizzazione delle licenze, e la formattazione CEF Syslog conforme agli standard per una migliore interoperabilità SIEM. ²

La maggior parte delle configurazioni può essere effettuata senza programmazione. Tuttavia, i flussi di lavoro complessi in genere richiedono un partner per l'implementazione.

Limitazioni:

La qualità dell'assistenza è un problema ricorrente: tempi di risposta ritardati e comunicazione insufficiente in merito alle patch correttive.
Web Designer è basato su ASP.NET legacy, il che crea problemi di prestazioni che sono previsti ma non ancora risolti.
Nessuna interfaccia mobile per il self-service dell'utente finale
La gestione dell'identità delle macchine al di là degli account privilegiati non è una funzionalità chiaramente documentata

2. ConductorOne

ConductorOne è una piattaforma di governance delle identità nativa dell'IA, pensata per le organizzazioni che hanno superato i limiti dei processi manuali ma che trovano i sistemi IGA tradizionali troppo costosi e lenti da implementare. L'azienda ha raccolto 79 milioni di dollari in un round di finanziamento di Serie B nell'ottobre 2025, guidato da Greycroft con la partecipazione di CrowdStrike Falcon Fund. ³

Il Unified Identity Graph integra i dati di accesso e autorizzazione provenienti da oltre 300 connettori per applicazioni cloud, infrastrutturali, on-premise e proprietarie in un unico schema in tempo reale, eliminando i silos di identità che impediscono la visibilità degli accessi a livello aziendale. I flussi di lavoro di accesso just-in-time riducono i privilegi permanenti concedendo l'accesso su richiesta e revocandolo automaticamente quando non è più necessario.

Nel 2025, ConductorOne ha lanciato Non-Human Identity Governance, aggiungendo funzionalità di individuazione, inventario, mappatura della proprietà e avvisi di rischio per account di servizio, chiavi API, token OAuth, certificati e agenti AI all'interno della stessa piattaforma utilizzata per la gestione dell'identità umana. ⁴

Tra i clienti figurano DoorDash, Instacart, Qualtrics, Ramp e Zscaler.

Limitazioni:

Pensato principalmente per ambienti cloud-native e fortemente orientati al SaaS, la profonda conoscenza della governance dei diritti di accesso SAP e mainframe non è un punto di forza documentato.
Rete di partner più ristretta rispetto ai fornitori IGA consolidati.

3. CyberArk Identity Governance

CyberArk è entrata nel mercato IGA con l'acquisizione di Zilla Security nel febbraio 2025 per 165 milioni di dollari. La moderna piattaforma SaaS IGA di Zilla è ora integrata nella CyberArk Identity Security Platform, insieme alle consolidate funzionalità PAM di CyberArk. ⁵

Definizione moderna di sicurezza dell'identità

Il principale elemento distintivo della piattaforma sono i profili AI: modelli di machine learning che analizzano le autorizzazioni reali nell'ambiente per identificare l'accesso con i privilegi minimi appropriati per ciascun ruolo, sostituendo l'estrazione manuale dei ruoli con una gestione continua dei ruoli basata sull'intelligenza artificiale. CyberArk afferma di aver ridotto dell'80% lo sforzo nelle revisioni degli accessi e del 60% il numero di ticket di assistenza per il provisioning rispetto alle implementazioni IGA tradizionali, sulla base dei dati dei clienti Zilla precedenti all'acquisizione. ⁶

La Mappa delle Identità offre una visione unificata dei diritti di identità, sia umani che non umani, su tutte le applicazioni connesse. Universal Sync utilizza l'automazione robotica dei processi per integrare applicazioni prive di API standard, riducendo il divario tra accesso regolamentato e non regolamentato. ⁷

Grazie a oltre 1.000 integrazioni predefinite e alla piattaforma CyberArk PAM sottostante, CyberArk si posiziona come soluzione ideale per le organizzazioni che desiderano una gestione integrata degli accessi (IGA) e degli accessi privilegiati da un unico fornitore.

Limitazioni:

Il modulo IGA è stato integrato di recente ed è ancora in fase di sviluppo all'interno della piattaforma CyberArk; gli acquirenti dovrebbero verificarne la completezza in base ai propri specifici requisiti di governance.
Il prezzo combina le licenze PAM e IGA, il che può risultare complesso per le organizzazioni che necessitano solo di governance.

4. Lumos

Lumos è una piattaforma autonoma per la gestione delle identità che pone l'intelligenza artificiale al centro della sua architettura, anziché considerarla un livello aggiuntivo.

Albus, l'agente di identità basato sull'intelligenza artificiale di Lumos, analizza i modelli di accesso, le assegnazioni di ruolo, i dati HRIS e i registri di utilizzo per generare raccomandazioni sulle policy RBAC e ABAC. Il lancio di Agentic User Access Reviews, previsto per dicembre 2025, prevede l'utilizzo di Albus per eseguire autonomamente la prima fase delle campagne di revisione degli accessi, separando gli accessi comuni a basso rischio dalle anomalie prima di presentare i risultati filtrati ai revisori umani. Lumos afferma che il completamento delle campagne è fino a 6 volte più veloce. ⁸

Nell'aprile del 2025, Lumos ha introdotto la sua funzionalità di gestione autonoma delle policy, che combina l'apprendimento automatico con l'intelligenza artificiale agentiva per creare, perfezionare e applicare continuamente le policy RBAC e ABAC. ⁹

Oltre alla governance, Lumos include l'ottimizzazione delle licenze SaaS, identificando automaticamente le licenze inutilizzate e le applicazioni IT non autorizzate che i team IT possono recuperare o sottoporre a governance. Questo posiziona Lumos all'intersezione tra IGA e gestione SaaS, differenziandolo dalle piattaforme di governance dedicate.

Con oltre 300 integrazioni e un'attenzione particolare alla rapidità di implementazione, Lumos si rivolge alle aziende tecnologiche e alle imprese in rapida crescita, piuttosto che ai complessi ambienti on-premise in cui SailPoint e One Identity dominano il mercato.

Limitazioni:

La profondità della governance dei diritti SAP, l'integrazione con il mainframe e la complessa SoD a livello di transazione non sono documentate
Meno adatto alle grandi aziende con infrastrutture di identità legacy e on-premise complesse.
Le decisioni autonome basate sull'IA richiedono una solida igiene dei dati nei sistemi informativi sanitari (HRIS) e nei provider di identità (IdP) sottostanti; dati di origine scadenti compromettono la qualità delle raccomandazioni.

5. Microsoft Governance dell'ID Entra

Entra ID Governance è un componente aggiuntivo per la gestione delle identità della piattaforma Entra, disponibile come licenza aggiuntiva per Entra ID P1 o P2. Per le organizzazioni già presenti nell'ecosistema Microsoft 365, offre funzionalità di governance senza la necessità di aggiungere un prodotto di terze parti.

Tra le funzionalità principali rientra la Gestione dei diritti, che raggruppa ruoli delle app, appartenenze ai gruppi e autorizzazioni di SharePoint in pacchetti di accesso con flussi di lavoro di approvazione definiti, criteri di scadenza e revisioni degli accessi. ¹⁰ flussi di lavoro del ciclo di vita automatizzano gli eventi di assunzione, trasferimento e cessazione del rapporto di lavoro utilizzando i trigger HR di Workday e SuccessFactors. La gestione delle identità privilegiate (PIM) fornisce l'attivazione just-in-time dei ruoli con privilegi elevati in Entra ID e Azure. ¹¹

L'agente di revisione degli accessi (anteprima) conduce le revisioni tramite i team Microsoft in linguaggio naturale, mostrando raccomandazioni generate dall'IA e guidando i revisori verso una decisione senza richiedere loro di navigare in un portale separato. ¹²

La gestione dei diritti ora supporta pacchetti di accesso limitati alle autorizzazioni API per gli ID agente, coprendo la governance degli agenti AI all'interno dell'ecosistema di Microsoft. ¹³

Limitazioni:

Le funzionalità di governance sono strettamente limitate all'ecosistema Microsoft; la copertura per applicazioni SaaS non Microsoft richiede la configurazione manuale del connettore.
L'applicazione della separazione dei compiti (SoD) si basa su policy all'interno dei pacchetti di accesso e non raggiunge la granularità a livello di transazione disponibile nelle piattaforme IGA dedicate.
La gestione delle licenze per i livelli P1, P2, Governance ed Entra Suite è complessa e richiede un'attenta pianificazione.

6. SailPoint Identity Security Cloud

SailPoint è leader di mercato nel settore IGA aziendale, utilizzato da circa la metà delle aziende Fortune 500, ed è basato su una piattaforma di governance degli accessi guidata dall'intelligenza artificiale , con un prodotto on-premise separato per le organizzazioni che non possono migrare.

Il livello di raccomandazione basato sull'intelligenza artificiale di SailPoint produce un cambiamento comportamentale misurabile: i revisori revocano l'accesso con una frequenza doppia quando sono presenti le raccomandazioni dell'IA, il che suggerisce che le revisioni manuali da sole soffrono di un problema di approvazione automatica.

La separazione dei compiti (SoD) e la gestione delle identità non umane sono componenti aggiuntivi a pagamento, non inclusi nella licenza base. La SoD viene eseguita tramite il modulo di gestione del rischio di accesso (ARM). Gli account di servizio di copertura non umani, i bot, l'RPA e gli agenti di intelligenza artificiale richiedono la sicurezza dell'identità della macchina e la sicurezza dell'identità dell'agente, entrambi moduli separati.

Nel 2026, SailPoint ha esteso i connettori di Agent Identity Security per includere le versioni SaaS di Salesforce, ServiceNow e Snowflake, consentendo l'individuazione e la gestione degli agenti AI operanti all'interno di tali piattaforme. La gestione delle identità degli agenti richiede una licenza Agent Identity Security separata. ¹⁴

SailPoint ha formalizzato la sua strategia di "identità adattiva", posizionando la piattaforma attorno a decisioni di accesso in tempo reale basate sul contesto di rischio, piuttosto che su politiche statiche, citando uno studio commissionato in cui il 96% dei leader tecnologici ha identificato gli agenti di intelligenza artificiale non controllati come una minaccia crescente per la sicurezza aziendale. ¹⁵

Limitazioni:

SoD e i moduli non umani sono componenti aggiuntivi a pagamento; il costo della licenza base non rispecchia la spesa reale per l'implementazione.
Secondo diverse recensioni degli utenti, la console di amministrazione è meno intuitiva rispetto alle soluzioni cloud-native concorrenti più recenti.
Progettato per le grandi aziende con team IAM dedicati, risulterà sovradimensionato per le organizzazioni di medie dimensioni.
IdentityIQ e Identity Security Cloud hanno set di funzionalità diversi, il che crea un divario di governance per le organizzazioni che li utilizzano entrambi

7. Governance dell'identità di Okta

Okta Identity Governance (OIG) è un modulo di governance SaaS, sviluppato nativamente sulla piattaforma di gestione del ciclo di vita e dei flussi di lavoro di Okta. Per le organizzazioni che già utilizzano Okta per l'autenticazione e la gestione delle directory, OIG estende le funzionalità di governance senza la necessità di un prodotto separato.

La piattaforma si compone di tre livelli: Lifecycle Management per il provisioning e l'integrazione con le directory, Okta Workflows per l'automazione senza codice dei processi di identità personalizzati e Access Governance per le certificazioni e le richieste di accesso. Le oltre 600 integrazioni native di Okta Integration Network si estendono alla governance senza la necessità di sviluppare connettori personalizzati. ¹⁶

Governance Analyzer fornisce raccomandazioni basate sull'intelligenza artificiale durante le campagne di certificazione, analizzando la frequenza di accesso, le date dell'ultimo accesso e l'appartenenza a gruppi di pari, offrendo ai revisori un contesto che va oltre la semplice decisione di approvazione o revoca. ¹⁷

Limitazioni:

Le funzionalità di governance sono un componente aggiuntivo della piattaforma Okta, non un prodotto a sé stante; le organizzazioni che non utilizzano Okta come provider di identità (IdP) incontrano maggiori difficoltà nell'adozione.
La profondità dell'applicazione della SoD e la visibilità a livello di diritto sono più limitate rispetto ai fornitori IGA appositamente creati
Gli scenari complessi del ciclo di vita potrebbero richiedere la personalizzazione di Okta Workflows.

8. Identità Ping (Governance dell'identità PingOne)

Ping Identity offre funzionalità di governance nell'ambito della sua soluzione PingOne Advanced Identity Cloud. Il modulo IGA fornisce campagne di certificazione, flussi di lavoro per le richieste di accesso e applicazione delle policy SoD (Separation of Duty) con processi decisionali supportati da IA e machine learning. Il livello di IA di Ping valuta milioni di autorizzazioni al minuto, automatizzando l'approvazione di certificazioni di accesso a basso rischio e ad alta affidabilità e segnalando le anomalie per una revisione umana. ¹⁸

I modelli predefiniti e le micro-certificazioni consentono di effettuare revisioni mirate su applicazioni specifiche o gruppi di utenti senza dover avviare una campagna completa.

Le policy SoD (Separation of Duty) sono definite e valutate centralmente durante le richieste di accesso, rilevando combinazioni pericolose prima che l'accesso venga concesso. Le scansioni programmate delle policy fungono anche da controlli di rilevamento, identificando account non autorizzati o accessi in conflitto che si sono accumulati nel tempo. ¹⁹

Ping posiziona la governance delle identità all'interno di una più ampia strategia IAM federata, in cui IGA e autenticazione lavorano insieme. La piattaforma si integra con PingOne, Azure AD, AWS e Salesforce.

Limitazioni:

Le funzionalità IGA di Ping sono ancora in fase di sviluppo rispetto ai fornitori IGA dedicati; la profondità dell'automazione del ciclo di vita e la visibilità dei diritti sono più limitate.
Ideale per le organizzazioni che già utilizzano Ping per l'autenticazione e la federazione e che desiderano estendere la governance senza aggiungere un'altra piattaforma.

9. Saviynt Identity Cloud

Saviynt è una piattaforma esclusivamente cloud che integra IGA, PAM e Application Access Governance in un unico prodotto, pensato per le aziende che desiderano consolidare la gestione delle identità e degli accessi privilegiati sotto un unico fornitore. Per le organizzazioni che utilizzano sistemi di gestione delle identità e degli accessi privilegiati separati, questo consolidamento riduce il carico di lavoro relativo a strumenti e integrazioni. Non esiste una versione on-premise.

La Segreteria di Divisione (SoD) è inclusa nella piattaforma principale, non è un componente aggiuntivo a pagamento come nel caso di SailPoint. La versione 2025 ha riprogettato la dashboard SoD e aggiunto set di regole preconfigurati per SAP, Oracle, Salesforce e NetSuite. ²⁰

Le identità di esseri umani, macchine e agenti di intelligenza artificiale sono gestite all'interno della stessa piattaforma. Nel 2025, Saviynt ha esteso la copertura non umana ai carichi di lavoro e alle credenziali. Le identità di terze parti e appaltatori sono gestite tramite un modulo dedicato alla gestione delle identità esterne.

Saviynt ha aggiunto il supporto per il server SCIM nel 2025, riducendo la necessità di sviluppo personalizzato per le integrazioni con le applicazioni cloud.

Saviynt dichiara un'automazione del 75% delle decisioni di revisione degli accessi e una riduzione del 70% dei tempi decisionali. Entrambi i dati sono forniti dal produttore; non è disponibile una verifica indipendente. ²¹

Esempio di cliente: VF Corporation ha sostituito la sua vecchia piattaforma manuale con Saviynt per creare un'unica piattaforma di gestione delle identità per 12 marchi. Il CISO di Ingredion ha riferito che le revocazioni degli accessi sono diventate quasi immediate e i nuovi assunti hanno ottenuto l'accesso fin dal primo giorno. ²²

Limitazioni:

Nessuna opzione on-premise; le organizzazioni con requisiti rigorosi di residenza dei dati devono verificare l'hosting regionale prima di impegnarsi
L'integrazione con i sistemi legacy richiede uno sforzo considerevole, nonostante il catalogo di connettori predefinito.

10. IBM Verifica della governance dell'identità

IBM Verify Identity Governance è una piattaforma IGA aziendale che si distingue per il suo modello SoD basato sulle attività aziendali, gestendo le violazioni con azioni come "approva fattura" anziché con ruoli, ed è progettata per le organizzazioni in cui l'allineamento con gli audit è il principale fattore trainante della governance.

La principale differenza architetturale risiede nel modello SoD (Separation of Duty). Mentre altri fornitori gestiscono la SoD tramite ruoli, IBM modella le violazioni utilizzando attività aziendali, come la creazione di un ordine di acquisto e l'approvazione di una fattura. Poiché le attività aziendali sono più statiche dei ruoli, si adattano più direttamente al modo in cui gli auditor valutano il rischio di accesso. ²³

La piattaforma più ampia di Verify include il rilevamento e la risposta alle minacce all'identità (ITDR) basati sull'intelligenza artificiale e la gestione della postura di sicurezza dell'identità (ISPM), che coprono sia le identità umane che quelle non umane. La profondità della governance dedicata all'identità delle macchine all'interno di Verify Governance, in particolare, dovrebbe essere verificata con Verify prima dell'acquisto.

Riferimento cliente: Commercial International Bank, la più grande banca privata egiziana, ha implementato IBM Verify Identity Governance in un ambiente di sicurezza digitale complesso. Exostar lo ha utilizzato per proteggere gli ecosistemi dei partner nelle catene di fornitura globali del settore aerospaziale e della difesa. ²⁴

Limitazioni:

Lo sviluppo di connettori personalizzati richiede competenze ingegneristiche specifiche IBM che sono sempre più rare
I molteplici cambi di marchio creano confusione nella documentazione relativa agli acquisti e al supporto.

11. Identità Omada

Omada è una piattaforma IGA nativa del cloud che offre una garanzia di implementazione a costo fisso di 12 settimane, rivolta alle aziende di medie e grandi dimensioni che desiderano migrare da sistemi di identità on-premise obsoleti senza dover intraprendere un progetto pluriennale.

Omada ha rilasciato Cloud Application Gateway: un'immagine Docker self-hosted che estende la governance ai sistemi on-premise e legacy senza richiedere modifiche al firewall e può essere implementata in meno di 30 minuti. Supporta chiavi di crittografia gestite dal cliente tramite Hashicorp o Azure Key Vault.

I flussi di lavoro di certificazione utilizzano un generatore drag-and-drop senza codice, riducendo le competenze tecniche necessarie per gestire e modificare le campagne nel tempo.

Il blocco di emergenza e la revoca immediata dell'accesso a tutti i sistemi connessi per una singola identità sono funzionalità documentate, utili in caso di sospetta violazione dei dati. ²⁵

Limitazioni:

La garanzia di implementazione di 12 settimane è contestata da diversi revisori indipendenti; le tempistiche effettive variano.
La segnalazione viene costantemente segnalata come debole
Il provisioning in tempo reale presenta dei ritardi rispetto alla concorrenza; alcuni scenari richiedono un'elaborazione quasi in batch.
La disponibilità di partner per l'implementazione è limitata rispetto a SailPoint o One Identity.

12. Oracle Governance dell'identità

Oracle offre due prodotti IGA separati: una piattaforma on-premise matura (OIG) e un prodotto SaaS cloud-native più recente (OAG), il che lo rende la scelta naturale per le grandi aziende che già utilizzano Oracle Fusion o E-Business Suite.

La modalità ibrida è un'opzione pratica per le organizzazioni in fase di migrazione: le revisioni degli accessi vengono eseguite in OAG mentre il provisioning continua tramite OIG 12c. Per le organizzazioni che hanno pienamente adottato il cloud di Oracle, OAG dichiara una riduzione del 70% dei ticket IT relativi alla governance degli accessi, un dato fornito dal fornitore. ²⁶

Oracle Identity Role Intelligence utilizza l'IA e l'ML per automatizzare l'estrazione dei ruoli e la pubblicazione su OIG in base alla struttura organizzativa, agli attributi degli utenti e ai modelli di attività aziendale, riducendo lo sforzo manuale richiesto per mantenere RBAC su larga scala.

Fonte: Oracle Governance dell'identità (OIG)

Negli ambienti SAP, il modulo Application Access Governance di OAG gestisce la separazione dei compiti (SoD) a livello di transazione, che offre un livello di granularità maggiore rispetto ai controlli a livello di ruolo.

Il framework di connettori che copre mainframe, LDAP, database, Office 365, ServiceNow, Dropbox, Workspace e WebEx è costantemente citato come una delle caratteristiche più forti di OIG. IGA Integrations Exchange fornisce un catalogo preconfigurato per entrambi i prodotti. ²⁷

Referenza del cliente: Cummins ha valutato OAG per la governance cloud-native, citando la migrazione zero da OIG 12c e l'analisi basata sui dati come fattori chiave. ²⁸

Limitazioni:

OIG ha registrato uno sviluppo funzionale minimo negli ultimi cinque anni; i bug noti e i problemi di stabilità sono documentati, comprese le interruzioni di produzione.
Le licenze per database e connettori sono voci separate, il che rende difficile stimare in anticipo il costo totale di proprietà; il ritorno sull'investimento (ROI) in genere richiede da due a tre anni.
La gestione dell'identità non umana non è una capacità definita nella messaggistica IGA attuale di Oracle
Al di fuori dell'ecosistema Oracle (Fusion, E-Business Suite), i costi di integrazione aumentano significativamente

Caratteristiche comuni

Tutte e cinque le piattaforme includono le seguenti funzionalità standard:

Ciclo di vita dell'identità (JML) : automazione dei processi di assunzione, trasferimento e cessazione del rapporto di lavoro, basata sui dati delle risorse umane o sulle assegnazioni di ruolo, con provisioning e deprovisioning automatizzati su sistemi interconnessi.
Certificazione degli accessi : campagne periodiche di revisione degli accessi con flussi di lavoro di approvazione per i responsabili di settore o i team IT.
Controlli SoD : applicazione della separazione dei compiti tramite rilevamento dei conflitti basato su policy. SailPoint offre questa funzionalità tramite un componente aggiuntivo a pagamento (Access Risk Management); tutti gli altri fornitori la includono nella piattaforma principale.
Controllo degli accessi basato sui ruoli : sono supportati il role mining, il role modeling e la gestione delle policy RBAC, con diversi livelli di automazione assistita dall'intelligenza artificiale.
Richieste di accesso self-service : portali per gli utenti finali per le richieste di accesso con flussi di lavoro di approvazione configurabili.
Copertura di conformità : SOX e GDPR sono esplicitamente supportati da tutti. La conformità HIPAA è confermata per SailPoint, Saviynt e IBM; non è confermata per Oracle, One Identity e Omada nella documentazione attuale del prodotto.
Tracce di controllo : la registrazione e la creazione di report pronti per le verifiche sono incluse in tutte le piattaforme.
Prezzi : Nessuno dei cinque fornitori pubblica i prezzi pubblicamente. Tutti utilizzano modelli di abbonamento o licenza per identità con aggiunte basate su moduli.

IGA basato sull'intelligenza artificiale

I sistemi IGA tradizionali si basavano su regole statiche, certificazioni manuali e modelli di ruolo gestiti da team IT centralizzati. L'intelligenza artificiale cambia tre aspetti: il modo in cui vengono prese le decisioni di accesso, il modo in cui vengono condotte le revisioni e il modo in cui vengono rilevate le minacce.

Decisioni di accesso assistite dall'IA : l'analisi del gruppo di pari identifica cosa costituisce un accesso normale per una determinata funzione lavorativa, sede e reparto. Quando un utente richiede un accesso che non rientra nel modello del suo gruppo di pari, l'IA lo segnala per una revisione umana anziché approvarlo automaticamente. Le raccomandazioni di certificazione di SailPoint e il motore di IA di Saviynt utilizzano entrambi questo approccio; i fornitori affermano che i revisori revocano l'accesso con una frequenza significativamente maggiore quando viene presentato il contesto del gruppo di pari.

Revisioni degli accessi tramite agenti : lo sviluppo più recente è l'impiego di agenti di intelligenza artificiale per condurre autonomamente la prima fase di una campagna di revisione. L'agente Albus di Lumos e Harbor Pilot di SailPoint possono analizzare decine di punti dati per identità, distinguere gli accessi a basso rischio e di uso comune dalle anomalie e presentare ai revisori un elenco prefiltrato anziché un catalogo completo. Lumos ha dichiarato, nel suo annuncio di lancio di dicembre 2025, un completamento delle campagne fino a 6 volte più rapido.

Rilevamento e ITDR : i modelli di intelligenza artificiale addestrati sui modelli di comportamento dell'identità possono rilevare quando l'attività di accesso di un utente si discosta dalla sua linea di base, orari di accesso insoliti, movimenti laterali o accesso a sistemi che l'utente non ha mai utilizzato. One Identity Manager 10.0 ha integrato playbook ITDR che acquisiscono i punteggi di rischio UEBA da strumenti di terze parti e attivano la correzione automatica, la disabilitazione dell'account, la segnalazione degli incidenti e l'attestazione mirata senza attendere il successivo ciclo di audit.

Governance in linguaggio naturale : Harbor Pilot (SailPoint), la reportistica basata su LLM di One Identity e MCP Server di Saviynt consentono ad amministratori e revisori di interrogare i dati di identità in linguaggio naturale: "chi ha accesso ai nostri sistemi finanziari pur non avendo effettuato l'accesso negli ultimi 90 giorni?". Questo sostituisce le interrogazioni al database e lo sviluppo di report personalizzati.

Il confine tra governance assistita dall'IA e governance autonoma si sta assottigliando. ConductorOne e Lumos si presentano esplicitamente come piattaforme "native per l'IA" o "autonome", in cui l'IA agisce concretamente anziché limitarsi a fornire raccomandazioni. Piattaforme tradizionali come SailPoint e Saviynt stanno aggiungendo livelli di interazione con gli agenti alle infrastrutture di governance esistenti. La differenza fondamentale per gli acquirenti risiede nella possibilità di verificare le decisioni dell'IA e nella responsabilità finale degli accessi da parte degli esseri umani.

Gli 8 principali casi d'uso dell'IGA

Onboarding dei dipendenti : quando un nuovo assunto viene registrato nel sistema HR, IGA configura automaticamente l' accesso tramite e-mail, gli strumenti di collaborazione e le applicazioni dipartimentali entro il primo giorno di lavoro, senza necessità di aprire un ticket IT.

Cambio di ruolo : quando un dipendente passa dal reparto Finanza a quello di Ingegneria, IGA rimuove gli accessi non più pertinenti al nuovo ruolo e concede le autorizzazioni necessarie. Senza l'automazione, i vecchi accessi in genere rimangono attivi a tempo indeterminato, portando all'accumulo di privilegi.

Offboarding : Quando un dipendente lascia l'azienda, IGA revoca l'accesso a tutti i sistemi connessi immediatamente o secondo una pianificazione predefinita. Il cliente di Saviynt, Ingredion, ha indicato la possibilità di cessare il rapporto di lavoro quasi immediatamente come principale motivazione aziendale per l'implementazione del sistema.

Gestione della forza lavoro esterna : appaltatori, partner e fornitori necessitano di un accesso a tempo limitato con flussi di lavoro di rinnovo. IGA impone date di scadenza e richiede una nuova approvazione prima che l'accesso venga esteso, anziché lasciare gli account attivi al termine di un progetto.

Certificazioni di accesso : i responsabili di settore verificano periodicamente chi, all'interno del proprio team, ha accesso a quali applicazioni e confermano che tale accesso rimanga appropriato. Le piattaforme di intelligenza artificiale riducono le approvazioni automatiche, fornendo prove concrete come la data dell'ultimo accesso, i confronti con gruppi simili e i punteggi di rischio.

Applicazione della separazione dei compiti : IGA rileva combinazioni di accesso problematiche, come ad esempio la possibilità per lo stesso utente di creare e approvare un ordine di acquisto, e blocca la concessione o la segnala per una revisione.

Gestione delle identità non umane : account di servizio, bot RPA, chiavi API e agenti di intelligenza artificiale richiedono gli stessi controlli del ciclo di vita delle identità umane. Tutte le principali piattaforme offrono ormai una qualche forma di gestione delle identità non umane; la profondità e l'automazione variano notevolmente.

Reportistica di conformità : i revisori richiedono la prova che solo gli utenti autorizzati abbiano avuto accesso ai sistemi regolamentati durante un periodo definito. IGA genera report sulla cronologia degli accessi, registri di certificazione e registri delle violazioni della separazione dei compiti (SoD) pronti per le verifiche SOX, GDPR e HIPAA.

FAQ

La gestione e l'amministrazione delle identità (Identity Governance and Administration, IGA) è una categoria di software che gestisce l'intero ciclo di vita dell'accesso degli utenti ad applicazioni, sistemi e dati. Automatizza il provisioning e il deprovisioning, applica le policy di accesso, gestisce le campagne di certificazione degli accessi e mantiene i registri di audit necessari per la conformità a normative quali SOX, GDPR e HIPAA.

L'IAM (Identity and Access Management) si occupa dell'autenticazione e del controllo degli accessi, confermando l'identità di un utente e concedendo o negando l'accesso. L'IGA (Identity and Global Administration) aggiunge un livello di governance: visibilità su tutti i diritti di accesso nell'intero ambiente, applicazione delle policy, flussi di lavoro di revisione degli accessi e reporting di conformità. I sistemi IGA lavorano in sinergia con gli strumenti IAM e affrontano i problemi di accumulo degli accessi e di tracciabilità che l'IAM da solo non è in grado di risolvere.

IGA è l'acronimo di Identity Governance and Administration (Governance e amministrazione delle identità). In un contesto governativo, si riferisce alla stessa categoria di strumenti descritta in precedenza, applicati alla gestione dell'accesso a sistemi, applicazioni e dati sensibili governativi, nel rispetto delle normative e dei quadri normativi del settore pubblico.