許多組織以錯誤的方式看待合規性。他們認為如果有到位的技術工具，流程評審并且實施風險評估，就滿足合規要求。但是合規遵從不是提供更加安全的流程及技術，它是確定這些流程和技術確實提供了一個更為安全的環境。

提交新的文字合規性流程并不意味著人們遵循它們。同樣地，部署IAM工具也不意味著它會提升組織合規遵從的狀態。在本文中我們會提到那些能夠影響合規性的IAM問題，以及如何確保IAM技術和流程有效地支持企業的合規遵從。

身份管理有兩種保障機制，它們被認為是許多規章和行業安全倡議的支柱。它們是：

1. 最小權限：這個概念是只能讓用戶的帳號完成用戶必要的工作。

2. 職責分離(SoD)：這是個概念是要求不止一個人來完成某項任務。

當涉及合規遵從時這些概念是十分重要的，造成***風險的活動是某個人做出的變更危害到受保護數據集的安全性，并且沒有審計或是監督能夠偵測和防范此類事件發生。組織已經努力開始解決此類問題，他們求助于身份管理系統來尋找答案。

更準確地看待身份管理與合規遵從的關系，IAM系統可以劃分為兩個域：預先決定和實時訪問控制。預先決定的訪問控制提前決定用戶應該能有什么訪問權限、用戶應該訪問什么系統以及用戶如何和這些系統上的數據交互。實時訪問控制是用戶有了一個帳號，并且可以發出訪問請求時管理的機制。理想情況下，在用戶發出訪問請求時這些技術應該判斷用戶在哪里、他們正在使用什么設備、是否能夠在請求的時間段訪問這些數據、允許執行哪些請求以及確保返回正確的數據。

預先決定的訪問策略主要是通過供應服務提供。就合規性而言，不僅要能夠表明用戶有了帳號，還要知道為用戶提供的帳號是從哪里發起。是一個自助請求么?如果是這樣的話，應用了哪些邏輯條件來確保用戶被授權發出請求，并且確實應用了SoD規則?或者是由另外一個人代表這個用戶發出訪問請求，例如他們的主管?如果是這樣的話，組織怎么知道這個人被授權來判斷某個用戶的訪問恰當?對于合規遵從來說，只是記錄下用戶被授權訪問還不夠。如何判斷訪問恰當、授權誰來批準這種訪問，以及如何驗證請求以便判斷恰當的訪問，這些都是要追溯和保存的重要信息。通過保存這些信息，可以由第三方檢查這些授權的邏輯性來驗證企業的合規性。

實時訪問控制是由IAM系統來控制。這些工具以串聯的方式存在于發出訪問請求的用戶和系統/數據之間。無論它們是否是基于Web的、基于門戶或是API的，這些服務詢問用戶的請求以確保憑證是正確的，以及確定發出請求的系統位置安全，可以讓用戶獲得他想訪問的數據。實時訪問控制通過記錄用戶信息、訪問命令和請求返回的數據可以滿足合規性。這些日志***存儲在一個日志管理系統中，在那里可以存儲合規性規則、并且第三方能夠評審發生的事務以確保它們滿足公司的訪問規則。

假設這些活動都正確地運轉的話，認可是合規遵從必須維護的另一個概念。換句話說，采用的訪問方法是用戶唯一可用的方法。組織經常在新的IAM系統上投入時間和金錢，但是沒有關閉原有的人工訪問方法。讓這些“后門”保持大開，數據可以通過控制手段以外的途徑訪問，這不僅無法提供滿足合規的訪問，還存在數據丟失或是泄漏的風險。只是創造新的“數據訪問公路”還不夠，還需要讓“雜草叢生的鐵路”退役并關閉。大型、地理分布廣泛的組織做到可能不容易，而對于許多滿足合規性的組織來說這也仍是努力解決的主要問題之一。

安裝新的IAM應用無法保證合規性。所有的IAM必須提供期望交付的服務。此外，需要分配資源來記錄如何配置系統，并且必須指導操作人員來捕捉和維護每天產生的日志。在產品部署的末期，必須實行記錄評審以確保舊的訪問及運行系統已經關閉、或是***退役，以便確保不能再使用未經批準的方法來訪問敏感信息。