What is an IGA solution?

Identity Governance and Administration (IGA) is a software category that manages the full lifecycle of user access to applications, systems, and data. It automates provisioning and deprovisioning, enforces access policies, runs access certification campaigns, and maintains the audit records required for compliance with regulations such as SOX, GDPR, and HIPAA.

What is the difference between IAM and IGA?

IAM (Identity and Access Management) covers authentication and access control confirming who a user is and granting or denying access. IGA adds a governance layer: visibility into all access rights across the environment, policy enforcement, access review workflows, and compliance reporting. IGA systems work alongside IAM tools and address access accumulation and auditability problems that IAM alone cannot solve.

What does IGA stand for in government?

IGA stands for Identity Governance and Administration. In a government context, it refers to the same category of tools described above, applied to managing access to government systems, applications, and sensitive data in compliance with public sector regulations and frameworks.

Segurança cibernética Identidade e Acesso

Comparação das soluções IGA: 12 fornecedores com recursos

Sena Sezer

atualizado em Mar 17, 2026

Veja o nosso normas éticas

A Governança e Administração de Identidades (IGA) permite que os administradores de segurança gerenciem as identidades dos usuários e o acesso em toda a empresa.

Pesquisamos 12 plataformas de IGA (Acesso Direto à Informação), verificando as alegações dos fornecedores com base na documentação oficial do produto, testando os fluxos de trabalho de certificação de acesso e comparando as implementações de clientes da One Identity, Omada, Lumos e outras. Veja nossa análise comparativa de valor e desempenho.

IGA vs IAM vs PAM

Essas três categorias são frequentemente confundidas porque seus escopos se sobrepõem, mas cada uma resolve um problema diferente.

O IAM (Gerenciamento de Identidade e Acesso) lida com a autenticação e o controle de acesso: verifica quem é um usuário e decide se ele pode entrar em um sistema. O logon único, a autenticação multifator e as políticas de acesso condicional se enquadram nessa categoria. O IAM responde à pergunta: "Você pode fazer login?"

A IGA adiciona uma camada de governança sobre a IAM. Enquanto a IAM controla o acesso, a IGA rastreia quem possui as chaves, quem as emitiu, se ainda devem tê-las e se isso corresponde às expectativas dos auditores. Revisões de acesso, modelagem de funções, aplicação de segregação de funções (SoD) e relatórios de conformidade são funções da IGA. A IGA responde à pergunta: "Você deveria ter esse acesso e podemos comprová-lo?"

O PAM (Gerenciamento de Acesso Privilegiado) concentra-se no subconjunto de identidades com permissões elevadas, como administradores de sistema, proprietários de banco de dados e contas root. Ele controla quando esses usuários podem usar o acesso elevado, registra o que fazem com ele e garante o provisionamento de privilégios sob demanda. O PAM responde à pergunta: "Quem pode agir como administrador, quando e sob quais condições?"

Como funciona a IGA?

Recurso: AiMultiple

Os dados de identidade entram na plataforma IGA a partir de fontes oficiais: o sistema de RH, o Active Directory, os provedores de identidade e o sistema de informação de RH (HRIS). A plataforma mantém um repositório central de identidades, uma única fonte de verdade sobre quem existe na organização, quais funções desempenham e a que tipo de acesso têm.

O mecanismo de políticas traduz as regras de negócio em decisões de provisionamento. Quando um funcionário entra, muda de função ou sai da empresa, a plataforma concede, ajusta ou revoga automaticamente o acesso em todos os aplicativos conectados, sem a necessidade de intervenção da TI. A maioria das plataformas oferece suporte a fluxos de trabalho de aprovação configuráveis para sistemas sensíveis.

As campanhas de certificação de acesso são executadas periodicamente ou sob demanda, solicitando aos gerentes e responsáveis pelos recursos que confirmem se o acesso de cada usuário ainda é apropriado. Plataformas baseadas em IA complementam a revisão humana com análises de grupos de pares, sinalizando usuários cujo acesso parece incomum em comparação com colegas em funções semelhantes.

Os mecanismos de provisionamento enviam decisões para os aplicativos de destino por meio de conectores, SCIM 2.0, APIs ou adaptadores. Cada ação é registrada em uma trilha de auditoria imutável que alimenta os relatórios de conformidade exigidos pelos auditores para as revisões SOX, GDPR e HIPAA.

Eis como se apresenta o mercado de IGA: quais plataformas são adequadas para quais ambientes, onde o marketing dos fornecedores diverge da realidade de implementação e quais novos participantes valem a pena avaliar juntamente com os líderes tradicionais.

Comparação das 12 principais soluções IGA

* Com base em dados de plataformas de avaliação B2B

** Com base em dados do LinkedIn

1. Um Gerenciador de Identidade

O One Identity Manager é uma plataforma IGA empresarial construída em torno da integração profunda com o Active Directory e o SAP, competindo principalmente em termos de profundidade de personalização e custos de licenciamento.

A One Identity Manage introduziu playbooks de ITDR que automatizam ações de remediação, desativação de contas, sinalização de incidentes e lançamento de atestados direcionados diretamente nos fluxos de trabalho de governança, reduzindo o intervalo entre a detecção e a ação durante ataques direcionados à identidade. ¹

A integração com certificação SAP estende a governança de Segregação de Funções (SoD) nativamente aos ambientes SAP, abrangendo o gerenciamento de funções e autorizações.

A versão 10.0 adiciona ainda a ingestão de pontuações de risco de usuários externos provenientes de ferramentas UEBA de terceiros, a Governança Orientada a Comportamento (BDG) da Entra ID no nível do aplicativo para impor o princípio do menor privilégio, identificando direitos não utilizados, a importação de dados de uso de transações SAP para dar suporte à análise de Segregação de Funções (SoD) e otimização de licenças, e a formatação Syslog CEF compatível com os padrões para melhor interoperabilidade com SIEM. ²

A maioria das configurações pode ser feita sem programação. No entanto, fluxos de trabalho complexos geralmente exigem um parceiro de implementação.

Limitações:

A qualidade do suporte é uma queixa recorrente: respostas atrasadas e comunicação insuficiente sobre correções urgentes.
O Web Designer é baseado na antiga plataforma ASP.NET, o que gera problemas de desempenho que são esperados, mas ainda não foram resolvidos.
Sem interface móvel para autoatendimento do usuário final
A governança de identidade de máquinas além de contas privilegiadas não é uma capacidade claramente documentada.

2. CondutorUm

A ConductorOne é uma plataforma de governança de identidade nativa de IA voltada para organizações que superaram os processos manuais, mas consideram os sistemas legados de governança de identidade muito caros e lentos para implementar. A empresa levantou US$ 79 milhões em uma rodada de financiamento Série B em outubro de 2025, liderada pela Greycroft com participação do CrowdStrike Falcon Fund. ³

O Unified Identity Graph ingere dados de acesso e permissões de mais de 300 conectores de aplicativos em nuvem, infraestrutura, locais e desenvolvidos internamente em um único esquema em tempo real, eliminando os silos de identidade que impedem a visibilidade do acesso em toda a organização. Os fluxos de trabalho de acesso just-in-time reduzem os privilégios permanentes, concedendo acesso sob demanda e removendo-o automaticamente quando não for mais necessário.

Em 2025, a ConductorOne lançou a Governança de Identidade Não Humana, adicionando descoberta, inventário, mapeamento de propriedade e alertas de risco para contas de serviço, chaves de API, tokens OAuth, certificados e agentes de IA na mesma plataforma da governança de identidade humana. ⁴

Entre os clientes estão DoorDash, Instacart, Qualtrics, Ramp e Zscaler.

Limitações:

Posicionada principalmente para ambientes nativos da nuvem e com forte presença de SaaS, a governança profunda de direitos de acesso a SAP e mainframe não é um ponto forte comprovado.
Rede de parceiros menor do que a de fornecedores IGA estabelecidos.

3. Governança de Identidade CyberArk

A CyberArk entrou no mercado de IGA (Identidade, Acesso e Gerenciamento) por meio da aquisição da Zilla Security em fevereiro de 2025 por US$ 165 milhões. A moderna plataforma SaaS de IGA da Zilla agora está integrada à Plataforma de Segurança de Identidade da CyberArk, juntamente com os recursos de PAM (Gerenciamento de Acesso Privilegiado) já estabelecidos pela CyberArk. ⁵

Definição moderna de segurança de identidade

O principal diferencial da plataforma são os Perfis de IA: modelos de aprendizado de máquina que analisam permissões reais em todo o ambiente para identificar o acesso com privilégios mínimos apropriado para cada função, substituindo a mineração manual de funções por um gerenciamento contínuo de funções orientado por IA. A CyberArk afirma que o esforço em revisões de acesso é 80% menor e a abertura de chamados de suporte é 60% menos frequente em comparação com as implementações IGA tradicionais, com base em dados de clientes da Zilla antes da aquisição. ⁶

O Mapa de Identidades oferece uma visão unificada das permissões de identidade humanas e não humanas em todos os aplicativos conectados. O Universal Sync utiliza automação robótica de processos para integrar aplicativos que não possuem APIs padrão, reduzindo a lacuna entre o acesso controlado e o não controlado. ⁷

Com mais de 1.000 integrações pré-configuradas e a plataforma subjacente CyberArk PAM, a CyberArk está posicionada para organizações que desejam IGA e gerenciamento de acesso privilegiado de um único fornecedor.

Limitações:

O módulo IGA foi recentemente integrado e ainda está em fase de amadurecimento dentro da plataforma CyberArk; os compradores devem validar a abrangência dos recursos em relação aos seus requisitos específicos de governança.
A precificação combina as licenças PAM e IGA, o que pode ser complexo para organizações que precisam apenas de governança.

4. Lumos

Lumos é uma plataforma autônoma de governança de identidade que posiciona a IA no centro de sua arquitetura, em vez de como uma camada adicional.

Albus, o agente de identidade com IA da Lumos, analisa padrões de acesso, atribuições de funções, dados de RH e registros de uso para gerar recomendações de políticas de RBAC e ABAC. O lançamento do Agentic User Access Reviews, previsto para dezembro de 2025, implanta o Albus para executar a primeira etapa das campanhas de revisão de acesso de forma autônoma, separando acessos comuns de baixo risco de anomalias antes de apresentar os resultados filtrados para revisores humanos. A Lumos afirma que a conclusão das campanhas é até 6 vezes mais rápida. ⁸

Em abril de 2025, a Lumos lançou sua funcionalidade de Gerenciamento Autônomo de Políticas, combinando aprendizado de máquina com IA agente para criar, refinar e aplicar políticas RBAC e ABAC continuamente. ⁹

Além da governança, o Lumos inclui a otimização de licenças SaaS, identificando automaticamente licenças não utilizadas e aplicativos de TI não oficiais que as equipes de TI podem recuperar ou integrar à governança. Isso posiciona o Lumos na interseção entre a governança de infraestrutura (IGA) e o gerenciamento de SaaS, o que o diferencia de plataformas de governança dedicadas.

Com mais de 300 integrações e foco em implantação rápida, a Lumos tem como alvo empresas de tecnologia e empresas em rápido crescimento, em vez dos ambientes complexos locais onde a SailPoint e a One Identity predominam.

Limitações:

A profundidade da governança de direitos de acesso SAP, a integração com mainframe e a complexa segregação de funções (SoD) no nível de transação não estão documentadas.
Menos adequado para grandes empresas com infraestrutura de identidade legada e local complexa.
Decisões autônomas baseadas em IA exigem alta qualidade de dados nos sistemas de RH e IdP subjacentes; dados de origem de baixa qualidade comprometem a qualidade das recomendações.

5. Microsoft Governança de ID de entrada

O Entra ID Governance é um complemento de governança de identidade para a plataforma Entra, disponível como uma licença adicional além do Entra ID P1 ou P2. Para organizações que já fazem parte do ecossistema do Office 365, ele oferece governança sem a necessidade de adicionar um produto de terceiros.

As principais funcionalidades incluem o Gerenciamento de Direitos, que agrupa funções de aplicativos, associações a grupos e permissões do SharePoint em pacotes de acesso com fluxos de trabalho de aprovação definidos, políticas de expiração e revisões de acesso. ¹⁰ fluxos de trabalho de ciclo de vida automatizam eventos de admissão, movimentação e desligamento usando gatilhos de RH do Workday e do SuccessFactors. O Gerenciamento de Identidade Privilegiada (PIM) fornece ativação sob demanda de funções elevadas no Entra ID e no Azure. ¹¹

O Agente de Revisão de Acesso (prévia) realiza revisões por meio do Microsoft Teams em linguagem natural, apresentando recomendações geradas por IA e orientando os revisores para uma decisão sem exigir que eles naveguem por um portal separado. ¹²

O gerenciamento de direitos agora oferece suporte a pacotes de acesso com escopo definido para permissões de API para IDs de agentes, abrangendo a governança de agentes de IA dentro do ecossistema do Microsoft. ¹³

Limitações:

As funcionalidades de governança são estritamente limitadas ao ecossistema Microsoft; a cobertura para aplicativos SaaS que não sejam Microsoft requer configuração manual do conector.
A aplicação da segregação de funções (SoD) é baseada em políticas dentro dos pacotes de acesso e não corresponde à granularidade em nível de transação disponível em plataformas IGA dedicadas.
O licenciamento nos níveis P1, P2, Governance e Entra Suite é complexo e requer planejamento cuidadoso.

6. SailPoint Identity Security Cloud

A SailPoint é líder de mercado em IGA empresarial, utilizada por aproximadamente metade das empresas da Fortune 500, e é construída sobre uma plataforma de governança de acesso orientada por IA , com um produto local separado para organizações que não podem migrar.

A camada de recomendação de IA da SailPoint produz uma mudança comportamental mensurável: os revisores revogam o acesso duas vezes mais frequentemente quando as recomendações da IA estão presentes, sugerindo que as revisões manuais, por si só, sofrem de um problema de aprovação automática.

A Segregação de Funções (SoD) e a governança de identidades não humanas são recursos adicionais pagos, não incluídos na licença básica. A SoD é executada por meio do módulo de Gerenciamento de Riscos de Acesso (ARM). Contas de serviço com cobertura não humana, bots, RPA e agentes de IA exigem Segurança de Identidade de Máquina e Segurança de Identidade de Agente, que são módulos separados.

Em 2026, a SailPoint expandiu os conectores do Agent Identity Security para incluir versões SaaS do ServiceNow e do Snowflake, permitindo a descoberta e a governança de agentes de IA que operam nessas plataformas. A governança das identidades dos agentes requer uma licença separada do Agent Identity Security. ¹⁴

A SailPoint formalizou sua estratégia de "identidade adaptativa", posicionando a plataforma em torno de decisões de acesso em tempo real e orientadas pelo contexto de risco, em vez de políticas estáticas, citando um estudo encomendado no qual 96% dos líderes de tecnologia identificaram agentes de IA não governados como uma crescente ameaça à segurança empresarial. ¹⁵

Limitações:

Os módulos SoD e não humanos são complementos pagos; o custo da licença base subestima os gastos reais com a implantação.
De acordo com diversas avaliações de usuários, o console administrativo é menos intuitivo do que o de concorrentes mais recentes nativos da nuvem.
Projetado para grandes empresas com equipes dedicadas de IAM (Gestão de Identidades e Acessos), organizações de médio porte o acharão desproporcional ao seu tamanho.
IdentityIQ e Identity Security Cloud possuem conjuntos de recursos diferentes, o que cria uma lacuna de governança para organizações que utilizam ambos.

7. Governança de identidade da Okta

O Okta Identity Governance (OIG) é um módulo de governança SaaS desenvolvido nativamente sobre a plataforma de gerenciamento de ciclo de vida e fluxos de trabalho do Okta. Para organizações que já utilizam o Okta para autenticação e gerenciamento de diretórios, o OIG amplia a governança sem a necessidade de um produto adicional.

A plataforma consiste em três camadas: Gerenciamento do Ciclo de Vida para provisionamento e integração de diretórios, Okta Workflows para automação sem código de processos de identidade personalizados e Governança de Acesso para certificações e solicitações de acesso. As mais de 600 integrações nativas da Okta Integration Network são integradas à governança sem a necessidade de desenvolvimento de conectores personalizados. ¹⁶

O Governance Analyzer fornece recomendações baseadas em IA durante campanhas de certificação, analisando a frequência de login, as datas dos últimos acessos e a participação em grupos de pares, oferecendo aos revisores um contexto que vai além de uma simples decisão de aprovar ou revogar. ¹⁷

Limitações:

Os recursos de governança são um complemento da plataforma Okta, não um produto independente; organizações que não utilizam o Okta como seu provedor de identidade (IdP) enfrentam uma barreira de adoção mais alta.
A abrangência da aplicação da Segregação de Funções (SoD) e a visibilidade em nível de direitos são mais limitadas do que as oferecidas por fornecedores de Acordos Intergovernamentais (IGAs) específicos para essa finalidade.
Cenários complexos de ciclo de vida podem exigir personalização dos fluxos de trabalho do Okta.

8. Ping Identity (Governança de Identidade PingOne)

A Ping Identity oferece governança como parte de sua solução PingOne Advanced Identity Cloud. O módulo IGA fornece campanhas de certificação, fluxos de trabalho de solicitação de acesso e aplicação de políticas de segregação de funções (SoD) com tomada de decisão assistida por IA e aprendizado de máquina. A camada de IA da Ping avalia milhões de permissões por minuto, automatizando a aprovação de certificações de acesso de baixo risco e alta confiabilidade e sinalizando desvios para revisão humana. ¹⁸

Modelos pré-configurados e microcertificações permitem avaliações direcionadas a aplicativos ou grupos de usuários específicos sem a necessidade de executar uma campanha completa.

As políticas de Segregação de Funções (SoD) são definidas e avaliadas centralmente durante as solicitações de acesso, detectando combinações tóxicas antes que o acesso seja concedido. As verificações de políticas agendadas também funcionam como controles de detecção, identificando contas não autorizadas ou acessos conflitantes que se acumularam ao longo do tempo. ¹⁹

A Ping posiciona a governança de identidade dentro de uma estratégia IAM federada mais ampla, onde a IGA e a autenticação trabalham juntas. A plataforma se integra com PingOne, Azure AD, AWS e Salesforce.

Limitações:

As funcionalidades de IGA da Ping ainda estão em fase de amadurecimento em comparação com fornecedores dedicados de IGA; o nível de automação do ciclo de vida e a visibilidade dos direitos de uso são mais limitados.
Ideal para organizações que já utilizam o Ping para autenticação e federação e que desejam ampliar a governança sem adicionar outra plataforma.

9. Saviynt Identity Cloud

Saviynt é uma plataforma exclusivamente em nuvem que integra IGA, PAM e Governança de Acesso a Aplicativos em um único produto, voltado para empresas que buscam consolidar o gerenciamento de identidade e acesso privilegiado em um único fornecedor. Para organizações que executam governança de identidade e gerenciamento de acesso privilegiado por meio de fornecedores separados, essa consolidação reduz a sobrecarga de ferramentas e integração. Não existe versão on-premises.

O SoD está incluído na plataforma principal, não sendo um complemento pago como no SailPoint. A versão 2025 redesenhou o painel do SoD e adicionou conjuntos de regras prontos para uso para SAP, Oracle, Salesforce e NetSuite. ²⁰

As identidades de humanos, máquinas e agentes de IA são gerenciadas na mesma plataforma. Em 2025, a Saviynt expandiu a cobertura não humana para incluir cargas de trabalho e credenciais. As identidades de terceiros e contratados são gerenciadas por meio de um módulo dedicado de Gerenciamento de Identidade Externa.

Em 2025, a Saviynt adicionou suporte a servidores SCIM, reduzindo a necessidade de desenvolvimento personalizado para integrações de aplicativos em nuvem.

A Saviynt afirma automatizar 75% das decisões de revisão de acesso e reduzir em 70% o tempo de decisão. Ambos os números são divulgados pelo fornecedor; não há como verificar essa informação de forma independente. ²¹

Referência do cliente: A VF Corporation substituiu sua plataforma manual legada pela Saviynt para criar uma plataforma de identidade única para 12 marcas. O CISO da Ingredion relatou que as rescisões de acesso passaram a ser quase imediatas e que os novos funcionários receberam acesso no primeiro dia. ²²

Limitações:

Sem opção de instalação local; organizações com requisitos rigorosos de residência de dados precisam verificar a disponibilidade de hospedagem regional antes de contratar o serviço.
A integração de sistemas legados exige um esforço considerável, apesar do catálogo de conectores pré-construídos.

10. IBM Verificar Governança de Identidade

IBM O Verify Identity Governance é uma plataforma IGA empresarial que se diferencia pelo seu modelo de Segregação de Funções (SoD) baseado em atividades de negócios, governando violações com ações como "aprovar fatura" em vez de funções, e foi projetada para organizações onde o alinhamento de auditoria é o principal fator de governança.

O principal diferencial arquitetônico é o modelo de Segregação de Funções (SoD). Enquanto outros fornecedores gerenciam a SoD por meio de funções, o modelo IBM identifica violações usando atividades de negócios, como criar uma ordem de compra e aprovar uma fatura. Como as atividades de negócios são mais estáticas do que as funções, elas se correlacionam mais diretamente com a forma como os auditores avaliam o risco de acesso. ²³

A plataforma mais abrangente da Verify inclui Detecção e Resposta a Ameaças de Identidade (ITDR) com inteligência artificial e Gestão da Postura de Segurança de Identidade (ISPM), abrangendo identidades humanas e não humanas. A profundidade da governança dedicada à identidade de máquinas dentro do Verify Governance, especificamente, deve ser verificada com a Verify antes da compra.

Referência do cliente: O Commercial International Bank, o maior banco privado do Egito, implementou o Verify Identity Governance (código IBM) em um ambiente complexo de segurança digital. A Exostar o utilizou para proteger ecossistemas de parceiros em cadeias de suprimentos globais dos setores aeroespacial e de defesa. ²⁴

Limitações:

O desenvolvimento de conectores personalizados exige habilidades de engenharia específicas para IBM, que estão cada vez mais escassas.
Múltiplas mudanças de marca geram confusão na documentação de compras e suporte.

11. Identidade Omada

O Omada é uma plataforma IGA nativa da nuvem que oferece uma garantia de implantação com custo fixo de 12 semanas, direcionada a empresas de médio a grande porte que buscam migrar de sistemas de identidade legados locais sem a necessidade de um projeto de vários anos.

A Omada lançou o Cloud Application Gateway: uma imagem Docker auto-hospedada que estende a governança a sistemas locais e legados sem exigir alterações no firewall e pode ser implantada em menos de 30 minutos. Ela oferece suporte a chaves de criptografia gerenciadas pelo cliente via HashiCorp ou Azure Key Vault.

Os fluxos de trabalho de certificação utilizam um construtor intuitivo, do tipo "arrastar e soltar", sem necessidade de código, reduzindo a expertise técnica exigida para manter e modificar as campanhas ao longo do tempo.

O bloqueio de emergência, com revogação imediata do acesso em todos os sistemas conectados para uma única identidade, é uma funcionalidade documentada e útil em cenários de suspeita de violação de segurança. ²⁵

Limitações:

A garantia de implementação em 12 semanas é contestada por diversos avaliadores independentes; os prazos reais variam.
Os relatórios são constantemente sinalizados como fracos.
O provisionamento em tempo real apresenta atrasos em comparação com os concorrentes; alguns cenários exigem processamento quase em lote.
A disponibilidade de parceiros de implementação é limitada em comparação com a SailPoint ou a One Identity.

12. Oracle Governança de Identidade

A Oracle oferece dois produtos IGA separados: uma plataforma on-premises madura (OIG) e um produto SaaS nativo da nuvem mais recente (OAG), tornando-se a escolha natural para grandes empresas que já executam o Oracle Fusion ou o E-Business Suite.

O modo híbrido é uma opção prática para organizações em meio à migração: as revisões de acesso são executadas no OAG enquanto o provisionamento continua por meio do OIG 12c. Para organizações totalmente comprometidas com a nuvem da OAG, o OAG afirma uma redução de 70% nos chamados de TI relacionados à governança de acesso, um número divulgado pelo fornecedor. ²⁶

Oracle Identidade Função Intel A Ligence usa IA e ML para automatizar a mineração e publicação de funções no OIG com base na estrutura organizacional, atributos do usuário e padrões de atividade comercial, reduzindo o esforço manual necessário para manter o RBAC em escala.

Fonte: Oracle Governança de Identidade (OIG)

Para ambientes SAP, o módulo Application Access Governance da OAG gerencia a segregação de funções (SoD) no nível da transação, o que é mais granular do que os controles no nível da função.

A estrutura de conectores que abrange mainframe, LDAP, bancos de dados, Office 365, ServiceNow, Dropbox, Workspace e WebEx é consistentemente citada como um dos pontos fortes do OIG. O IGA Integrations Exchange fornece um catálogo pré-configurado para ambos os produtos. ²⁷

Referência do cliente: A Cummins avaliou o OAG para governança nativa da nuvem, citando a migração zero do OIG 12c e a análise orientada por insights como fatores-chave. ²⁸

Limitações:

O OIG teve um desenvolvimento funcional mínimo ao longo de cinco anos; bugs conhecidos e problemas de estabilidade estão documentados, incluindo interrupções na produção.
O licenciamento do banco de dados e dos conectores são itens separados, o que dificulta a estimativa do custo total de propriedade antecipadamente; o retorno do investimento (ROI) normalmente leva de dois a três anos.
A governança de identidades não humanas não é uma capacidade definida nas mensagens atuais da IGA de Oracle
Fora do ecossistema Oracle (Fusion, E-Business Suite), a sobrecarga de integração aumenta significativamente.

Características comuns

Todas as cinco plataformas incluem as seguintes funcionalidades padrão:

Ciclo de vida da identidade (JML) : Automação de admissão, movimentação e desligamento de funcionários, orientada por dados de RH ou atribuições de funções, com provisionamento e desprovisionamento automatizados em sistemas conectados.
Certificação de acesso : Campanhas periódicas de revisão de acesso com fluxos de trabalho de aprovação para gerentes de linha de negócios ou equipes de TI.
Controles de Separação de Funções (SoD) : Aplicação da Separação de Funções por meio da detecção de conflitos baseada em políticas. A SailPoint oferece isso por meio de um complemento pago (Gerenciamento de Riscos de Acesso); todos os outros fornecedores o incluem na plataforma principal.
Controle de acesso baseado em funções : Mineração de funções, modelagem de funções e gerenciamento de políticas RBAC são suportados, com diferentes níveis de automação assistida por IA.
Solicitações de acesso em regime de autosserviço : Portais para usuários finais realizarem solicitações de acesso com fluxos de aprovação configuráveis.
Cobertura de conformidade : SOX e GDPR são explicitamente suportados por todos. A conformidade com HIPAA é confirmada para SailPoint, Saviynt e IBM; não é confirmada para Oracle, One Identity e Omada na documentação atual do produto.
Trilhas de auditoria : O registro e a geração de relatórios prontos para auditoria estão incluídos em todas as plataformas.
Preços : Nenhum dos cinco fornecedores divulga preços publicamente. Todos utilizam modelos de assinatura ou licenciamento por identidade, com adições baseadas em módulos.

IGA orientada por IA

A IGA tradicional dependia de regras estáticas, certificações manuais e modelos de funções mantidos por equipes de TI centralizadas. A IA muda três coisas: como as decisões de acesso são tomadas, como as revisões são conduzidas e como as ameaças são detectadas.

Decisões de acesso assistidas por IA : A análise de grupos de pares identifica o que constitui acesso normal para uma determinada função, local e departamento. Quando um usuário solicita acesso que não se enquadra no padrão do seu grupo de pares, a IA sinaliza a solicitação para revisão humana em vez de aprová-la automaticamente. As recomendações de certificação da SailPoint e o mecanismo de IA da Saviynt utilizam essa abordagem; os fornecedores afirmam que os revisores revogam o acesso com muito mais frequência quando o contexto do grupo de pares é apresentado.

Revisões de acesso automatizadas : O desenvolvimento mais recente é a implementação de agentes de IA para conduzir a primeira etapa de uma campanha de revisão de forma autônoma. O agente Albus da Lumos e o Harbor Pilot da SailPoint podem analisar dezenas de pontos de dados por identidade, separar acessos de baixo risco e comuns de anomalias e apresentar aos revisores uma lista pré-filtrada em vez de um catálogo completo. A Lumos relatou uma conclusão de campanha até 6 vezes mais rápida em seu anúncio de lançamento em dezembro de 2025.

Detecção de Anomaly e ITDR : Modelos de IA treinados em padrões de comportamento de identidade podem detectar quando a atividade de acesso de um usuário se desvia de sua linha de base, horários de login incomuns, movimentação lateral ou acesso a sistemas que o usuário nunca utilizou. O One Identity Manager 10.0 integra playbooks de ITDR que incorporam pontuações de risco UEBA de ferramentas de terceiros e acionam remediação automatizada, desativação de contas, sinalização de incidentes e atestação direcionada sem esperar pelo próximo ciclo de auditoria.

Governança em linguagem natural : o Harbor Pilot (SailPoint), os relatórios baseados em LLM da One Identity e o MCP Server da Saviynt permitem que administradores e auditores consultem dados de identidade em linguagem natural: “quem tem acesso aos nossos sistemas financeiros que não fez login nos últimos 90 dias?” Isso substitui consultas a bancos de dados e o desenvolvimento de relatórios personalizados.

A fronteira entre governança assistida por IA e governança autônoma está se tornando cada vez mais tênue. ConductorOne e Lumos se posicionam explicitamente como plataformas “nativas de IA” ou “autônomas”, onde a IA age em vez de apenas fazer recomendações. Plataformas tradicionais como SailPoint e Saviynt estão adicionando camadas de agentes à infraestrutura de governança existente. A principal diferença para os compradores é se as decisões da IA são auditáveis e se os humanos permanecem responsáveis pelas decisões finais de acesso.

Os 8 principais casos de uso do IGA

Integração de funcionários : Quando um novo funcionário aparece no sistema de RH, o IGA provisiona automaticamente o acesso por direito adquirido ao e-mail, às ferramentas de colaboração e aos aplicativos do departamento no primeiro dia ou antes, sem a necessidade de abrir um chamado de TI.

Mudança de função : Quando um funcionário é transferido da área de Finanças para a de Engenharia, o IGA remove os acessos que não são mais relevantes para a nova função e concede as permissões necessárias. Sem automação, o acesso antigo normalmente permanece ativo indefinidamente, levando ao acúmulo de privilégios.

Desligamento : Quando um funcionário se desliga da empresa, o IGA revoga o acesso a todos os sistemas conectados imediatamente ou em um cronograma definido. A Ingredion, cliente da Saviynt, citou demissões quase imediatas como o principal fator que motivou a implementação do sistema.

Governança da força de trabalho externa : Contratados, parceiros e fornecedores precisam de acesso com tempo limitado e fluxos de trabalho de renovação. O IGA impõe datas de expiração e aciona uma nova aprovação antes da prorrogação do acesso, em vez de manter as contas ativas após o término de um projeto.

Certificações de acesso : Os gerentes de linha de negócios revisam periodicamente quem em sua equipe tem acesso a quais aplicativos e confirmam se isso continua sendo apropriado. As plataformas de IA reduzem as aprovações automáticas, apresentando evidências como a data do último login, comparações com grupos de pares e pontuações de risco.

Aplicação da segregação de funções : o IGA detecta combinações problemáticas de acesso, como o mesmo usuário poder criar e aprovar uma ordem de compra, e bloqueia a concessão ou a sinaliza para revisão.

Governança de identidades não humanas : contas de serviço, bots de RPA, chaves de API e agentes de IA exigem os mesmos controles de ciclo de vida que as identidades humanas. Todas as principais plataformas agora oferecem alguma forma de governança de identidades não humanas; a abrangência e a automação variam significativamente.

Relatórios de conformidade : Os auditores exigem evidências de que apenas usuários autorizados tiveram acesso aos sistemas regulamentados durante um período definido. A IGA gera relatórios de histórico de acesso, registros de certificação e logs de violação de Segregação de Funções (SoD), prontos para auditorias SOX, GDPR e HIPAA.

Perguntas frequentes

A Governança e Administração de Identidades (IGA, na sigla em inglês) é uma categoria de software que gerencia todo o ciclo de vida do acesso do usuário a aplicativos, sistemas e dados. Ela automatiza o provisionamento e o desprovisionamento, aplica políticas de acesso, executa campanhas de certificação de acesso e mantém os registros de auditoria necessários para a conformidade com regulamentações como SOX, GDPR e HIPAA.

O IAM (Gerenciamento de Identidade e Acesso) abrange a autenticação e o controle de acesso, confirmando a identidade do usuário e concedendo ou negando acesso. O IGA adiciona uma camada de governança: visibilidade de todos os direitos de acesso em todo o ambiente, aplicação de políticas, fluxos de trabalho de revisão de acesso e relatórios de conformidade. Os sistemas de IGA funcionam em conjunto com as ferramentas de IAM e resolvem problemas de acúmulo de acesso e auditabilidade que o IAM sozinho não consegue solucionar.

IGA significa Governança e Administração de Identidades. No contexto governamental, refere-se à mesma categoria de ferramentas descrita acima, aplicadas à gestão do acesso a sistemas, aplicações e dados sensíveis do governo, em conformidade com as normas e regulamentações do setor público.