IAM (Identity and Access Management, zarządzanie tożsamością i dostępem) to zestaw procesów, polityk i technologii których organizacje używają do zarządzania tożsamościami cyfrowymi i kontrolowania dostępu do systemów, aplikacji i danych. Klasyczna definicja: zapewnij, że właściwe osoby mają odpowiedni dostęp do właściwych zasobów w odpowiednim czasie z właściwych powodów. Nowoczesny IAM obejmuje pracowników, kontraktorów, klientów, partnerów i tożsamości maszynowe (usługi, API, urządzenia IoT). IAM jest fundamentem Zero Trust — bez silnej tożsamości same kontrole sieciowe nie mogą wymusić bezpieczeństwa. Dojrzały IAM łączy uwierzytelnianie (login + MFA), autoryzację (RBAC/policy-based), provisioning (joiner-mover-leaver), governance (przeglądy dostępu, certyfikacje) i privileged access management (konta admin).

Sześć podstawowych komponentów: (1) **Uwierzytelnianie** — udowadnia kim jest użytkownik (hasło + MFA, FIDO2, passkeys, biometria), (2) **Autoryzacja** — decyduje co może (RBAC, ABAC, conditional access), (3) **Identity Governance and Administration (IGA)** — cykl życia: provisioning, modyfikacje, de-provisioning, przeglądy dostępu, certyfikacje, segregation of duties, (4) **Privileged Access Management (PAM)** — wyspecjalizowany dla kont admin/root: vaulting, dostęp just-in-time, nagrywanie sesji, (5) **Single Sign-On (SSO) i Federation** — SAML/OIDC umożliwiające jedno logowanie do wielu aplikacji, (6) **Customer Identity and Access Management (CIAM)** — różne wymagania: skala, social login, B2B/B2C, integracja marketingowa. Nowoczesne platformy IAM unifikują je lub specjalizują się w jednym.

Pięciu liderów rynku: (1) **Microsoft Entra ID** (dawniej Azure AD) — wbudowany w M365, najszerszy zasięg enterprise, silny conditional access, zintegrowany z Defender, (2) **Okta** — niezależny lider tożsamości, najszerszy katalog pre-zintegrowanych aplikacji (8000+), silny B2B + Workforce Identity Cloud, (3) **Ping Identity** — silny w usługach finansowych i dużym enterprise, customer + workforce, (4) **ForgeRock** — enterprise-grade, szczególnie silny w CIAM, (5) **Auth0** (obecnie część Okta) — developer-first, popularny dla aplikacji SaaS. Dla PAM: CyberArk, BeyondTrust, Delinea. Dla IGA: Saviynt, SailPoint. Dla CIAM: Auth0, Microsoft Entra External ID, Curity. Open-source: Keycloak (Red Hat), Authentik, ZITADEL. Cloud-specific IAM: AWS IAM, Azure RBAC, Google Cloud IAM (osobno od Workforce IAM). Wybór zależy od istniejącego stacka i skali.

Zasada Zero Trust 'nigdy nie ufaj, zawsze weryfikuj' opiera się całkowicie na IAM żeby zweryfikować *kim* jest użytkownik i *do czego* powinien mieć dostęp. Pięć sposobów w jakie IAM umożliwia Zero Trust: (1) **Silna tożsamość** — MFA odporne na phishing, passkeys, conditional access, (2) **Ciągła weryfikacja** — risk-based authentication, monitoring sesji, re-prompt dla wrażliwych akcji, (3) **Najmniejsze uprawnienia** — fine-grained permissions per użytkownik/grupa/rola; PAM dla podwyższonego dostępu, (4) **Policy-based dostęp** — reguły oparte na atrybutach (ABAC) uwzględniające użytkownika, urządzenie, lokalizację, czas, zachowanie, (5) **Kompleksowy audyt** — każda decyzja dostępu zalogowana dla SIEM/XDR. Bez silnego IAM segmentacja sieci i EDR nie mogą wymusić Zero Trust. Dojrzałe roadmapy Zero Trust priorytetyzują IAM najpierw — dostarcza najwyższe natychmiastowe ulepszenie bezpieczeństwa.

Trzy powiązane ale różne kategorie tożsamości: (1) **IAM (Identity and Access Management)** — najszerszy parasol; zarządza wszystkimi tożsamościami i ich dostępem; pokrywa uwierzytelnianie i autoryzację. Dostawcy: Microsoft Entra ID, Okta, (2) **IGA (Identity Governance and Administration)** — fokus na *cykl życia* tożsamości: provisioning, de-provisioning, przeglądy dostępu, certyfikacje, segregation of duties, role mining. Dostawcy: Saviynt, SailPoint, Microsoft Entra ID Governance, (3) **PAM (Privileged Access Management)** — wyspecjalizowany dla kont z podwyższonymi uprawnieniami; vaulting, JIT access, nagrywanie sesji. Dostawcy: CyberArk, BeyondTrust. Dojrzałe programy używają wszystkich trzech; mid-market często łączy IAM + IGA na jednej platformie. PAM jest zwykle nabywany osobno ze względu na wymagania głębi.

8-fazowa roadmapa (typowo 18-36 miesięcy dla enterprise): (1) **Inwentaryzacja** — każda aplikacja, każdy typ użytkownika, aktualne mechanizmy uwierzytelniania, (2) **Fundamenty IdP** — wybierz Microsoft Entra ID, Okta lub Ping; federuj wszystko możliwe przez SAML/OIDC, (3) **Wymuszanie MFA** — MFA odporne na phishing (FIDO2, passkeys) na każdym koncie, (4) **Automatyzacja Joiner-Mover-Leaver (JML)** — HR-driven provisioning i de-provisioning przez SCIM, (5) **Przeglądy dostępu i certyfikacje** — okresowa recertyfikacja, (6) **Rollout PAM** — vault uprzywilejowane poświadczenia, JIT access dla adminów, (7) **CIAM** jeśli stosowne — osobna platforma dla tożsamości klientów, (8) **Integracja Zero Trust** — conditional access, device posture, ciągła weryfikacja. Nie próbuj robić wszystkiego naraz; priorytetyzuj MFA + fundamenty IdP + PAM w pierwszych 12 miesiącach.

Sześć trendów kształtujących IAM: (1) **Passwordless** — passkeys, FIDO2 trafiające do mainstream; Google, Microsoft, Apple wszyscy wspierają; główne aplikacje B2B dodają wsparcie, (2) **Identity Threat Detection and Response (ITDR)** — nowa kategoria wykrywająca ataki oparte na tożsamości (Microsoft Defender for Identity, Crowdstrike Falcon Identity Protection, Silverfort), (3) **AI/ML w tożsamości** — wykrywanie anomalii, zautomatyzowane przeglądy dostępu, inteligentny provisioning, (4) **Decentralised Identity (DID) / Verifiable Credentials** — wyłaniające się standardy W3C dla self-sovereign identity, (5) **Tożsamości maszynowe** — eksplodują z cloud-native, microservices, agentami AI; przewyższają liczbą tożsamości ludzkie 50:1+, (6) **Identity orchestration** — platformy jak Strata mostkujące legacy + nowoczesne IdP, umożliwiające stopniową migrację. Ubezpieczyciele cyber i regulatorzy (NIS2, DORA) coraz częściej wymagają możliwości klasy ITDR.