近年來，基于身份的攻擊和未授權訪問已經成為企業最為頭疼的安全威脅之一，從Okta、Xfinity到微軟，無數知名企業因脆弱的IAM系統被犯罪分子利用，遭受了影響廣泛、損失慘重的網絡攻擊。

根據網絡風險聯盟(CRA)的一項新調查，網絡安全行業中四分之三的受訪者表示，與12個月前相比，現在更加擔心未授權訪問。58%的受訪者還表示，最近的數據泄露事件促使他們的企業加大對IAM解決方案的投資，以阻止此類攻擊。

盡管IAM日益受到重視且采用率逐年上升，但至少三分之一的受訪者(35%)仍未實施IAM。即使是那些已經實施IAM的企業也大多表示面臨很多挑戰和阻礙。

根據CRA的調查，企業成功實施IAM主要面臨以下七大挑戰（附企業安全主管的真實反饋）：

一、成本

• “缺乏真正有效的解決方案的（充足）預算。”
• “我理解IAM的重要性，但價格通常非常高。”
• “我們的困難在于沒有足夠的預算來支付外部顧問的費用。”

二、平衡安全性與用戶效率

• “找到安全和生產力之間的界限對我們來說是一個挑戰，比如讓員工以最小的風險高效工作。”
• “安全性和便利性之間的平衡。重點是教育員工，任何給他們帶來的不便，如果沒有經過細致的解釋，可能會導致項目遭投訴被撤銷。”

三、與已有技術集成

• “最大的挑戰之一是確保IAM與相關系統和應用程序的集成。這是一個復雜且耗時的過程，特別是對于擁有許多不同系統和應用程序的大型組織而言。”
• “定制IAM的實施和維護可能會很復雜且繁瑣，并且可能會擾亂正常的業務運營。”
• “如何將IAM與其他基礎設施集成并集成遺留應用程序？我們還沒搞明白。”
• “我們對IAM的最大挑戰是與公司所有移動部分的集成，并非所有內容在支持方面都是最新的，并且一些內部系統需要重寫來支持它。”

四、說服懷疑者

• “很難讓每個人都達成共識來實施。”
• “缺乏對明確需求的支持，最高管理層缺乏執行意愿。”
• “如果沒有企業各級（領導）的支持，IAM實施可能會面臨延遲和障礙。”
• “企業用戶對IAM的接受度是實施IAM的最大挑戰。”

五、缺乏合格的專家

• “尋找具備適當IAM技能的員工。”
• “缺乏IAM產品實施的內部員工和經驗。”
• “大多數IAM功能都需要專家來設置，并且在使用中需要進一步幫助。用戶采用的時間長短、產品的復雜性與最終用戶的興趣成反比。誰愿意花幾個小時來了解一個不能提高工作效率和業績的產品？”

六、正確配置IAM

• “實施PAM和PIM是我們目前面臨的巨大挑戰，它很令人困惑，而且沒有共享具體信息。”
• “我們面臨的挑戰是讓所有合作伙伴采用SSO/SAML，以便我們可以針對AD進行聯合身份驗證。”
• “缺乏專門的支持來幫助關鍵管理員進行配置。功能已經有了，但需要大量的時間和規劃。如能提供用于常見和最佳實踐配置的開發套件會很有幫助。”

七、打擊影子IT和根深蒂固的用戶習慣

• “我們擁有龐大的用戶群，但IT人員相對較少。我們在實施IAM時面臨的最大挑戰是員工對影子IT的使用。我們的很多員工都在個人電腦和智能手機上工作，這違反了我們公司的政策。”
• “我們大部分的時間都用于打擊影子IT和糾正用戶的不安全行為。”