Identity Lifecycle Management (ILM) is the framework within Identity and Access Management (IAM) that automates and governs the entire lifespan of a user’s digital identity—from the day they join an organization to the day they leave.
In simple terms, it ensures the right people have the right access to the right resources at the right time, and crucially, that this access is removed when it is no longer needed.
The "JML" Framework (Joiner, Mover, Leaver)
Industry professionals often explain ILM using the JML framework. Here is how it works with concrete examples:
1. Joiner (Provisioning / Onboarding)
This stage begins when a user enters the organization. The goal is "birthright provisioning"—giving them immediate access to the basic tools they need to be productive on Day 1.
The Process: HR creates a record for a new employee. The IAM system detects this new record and automatically creates a digital identity (username, email) and assigns baseline permissions.
Example:
Sarah is hired as a Junior Accountant.
HR Action: HR inputs Sarah’s details into the HR portal.
IAM Action: The system automatically creates
sarah.jones@company.com, generates a temporary password, and grants her access to Email, Slack, and the Payroll System.
2. Mover (Managing / Mid-Lifecycle)
This is often the most complex stage. As employees stay with a company, their roles, titles, or departments change. Their access rights must be updated to reflect their current job, not their old one. This prevents "privilege creep" (accumulating unnecessary access).
The Process: A change in the HR system (e.g., promotion, transfer) triggers an update in the IAM system. It adds new necessary permissions and revokes old, unnecessary ones.
Example:
Sarah is promoted from Junior Accountant to Marketing Manager.
HR Action: HR updates her title and department code.
IAM Action: The system revokes her access to the Payroll System (she no longer needs it) and grants her access to the Social Media Dashboard and Marketing Budget Folder.
3. Leaver (De-provisioning / Offboarding)
This is the most critical stage for security. When a user leaves, their access must be cut off immediately to prevent data theft or malicious activity.
The Process: When a termination date is reached in the HR system, the IAM system triggers a "kill switch" workflow.
Example:
Sarah resigns to join a competitor.
HR Action: HR sets her employment status to "Terminated" effective 5:00 PM Friday.
IAM Action: At 5:00 PM, the system disables her Active Directory account, revokes all valid tokens, wipes company data from her mobile device, and transfers her email ownership to her manager.
Summary of Differences
| Stage | Trigger Event | Key Action | Security Goal |
| Joiner | Hiring / Contract Start | Create Identity & Account | Productivity (Day 1 access) |
| Mover | Promotion / Transfer | Update Permissions | Least Privilege (Prevent creep) |
| Leaver | Firing / Resignation | Disable & Delete Account | Risk Reduction (Prevent data theft) |
Why is this important?
Without automated ILM, IT teams have to manually create and delete users. This leads to Human Error:
Ghost Accounts: Accounts of former employees that were never deleted, leaving an open door for hackers.
Privilege Creep: Employees retaining access to sensitive data from previous roles that they should no longer see.
---------------------------------------
IAM లో ఐడెంటిటీ లైఫ్సైకిల్ మేనేజ్మెంట్ (Identity Lifecycle Management - ILM) గురించి తెలుగులో వివరణ ఇక్కడ ఉంది:
ఐడెంటిటీ లైఫ్సైకిల్ మేనేజ్మెంట్ (ILM) అనేది ఒక సంస్థలో ఉద్యోగి చేరనప్పటి నుండి, ఆ సంస్థను విడిచి వెళ్ళే వరకు వారి 'డిజిటల్ ఐడెంటిటీ'ని (యూజర్ నేమ్, పాస్వర్డ్, యాక్సెస్ వంటివి) ఆటోమేటిక్గా నిర్వహించే ప్రక్రియ.
సరళంగా చెప్పాలంటే: సరైన వ్యక్తులకు, సరైన సమయంలో, సరైన సమాచారాన్ని యాక్సెస్ చేయడానికి మరియు పని పూర్తయ్యాక ఆ యాక్సెస్ను తొలగించడానికి ఇది ఉపయోగపడుతుంది.
ఈ ప్రక్రియను పరిశ్రమలో "JML" (Joiner, Mover, Leaver) ఫ్రేమ్వర్క్ అని పిలుస్తారు. ఉదాహరణలతో దీనిని కింద చూడండి:
1. జాయినర్ (Joiner - కొత్తగా చేరేవారు)
ఇది ఉద్యోగి కంపెనీలో చేరే మొదటి దశ. దీని ముఖ్య ఉద్దేశం "బర్త్రైట్ ప్రొవిజనింగ్" (Birthright Provisioning) - అంటే మొదటి రోజు నుండే ఉద్యోగికి అవసరమైన టూల్స్ అందుబాటులో ఉంచడం.
ప్రక్రియ: హెచ్.ఆర్ (HR) కొత్త ఉద్యోగి వివరాలను నమోదు చేయగానే, IAM సిస్టమ్ ఆటోమేటిక్గా వారికి ఒక డిజిటల్ ఐడెంటిటీని (యూజర్ ఐడి) సృష్టిస్తుంది.
ఉదాహరణ:
సారా ఒక కంపెనీలో "జూనియర్ అకౌంటెంట్" గా చేరారు.
HR పని: సారా వివరాలను హెచ్.ఆర్ పోర్టల్లో ఎంటర్ చేస్తారు.
IAM పని: సిస్టమ్ వెంటనే
sarah.jones@company.comఅనే ఈమెయిల్ను క్రియేట్ చేసి, ఆమెకు పేరోల్ సిస్టమ్ (Payroll) మరియు స్లాక్ (Slack) యాక్సెస్ ఇస్తుంది.
2. మూవర్ (Mover - బదిలీ లేదా ప్రమోషన్)
ఉద్యోగికి ప్రమోషన్ వచ్చినప్పుడు లేదా వేరే శాఖకు మారినప్పుడు ఈ దశ మొదలవుతుంది. వారి పాత అనుమతులను తొలగించి, కొత్త పనికి సరిపోయే అనుమతులను ఇవ్వాలి.
ప్రక్రియ: ఉద్యోగి రోల్ (Role) మారినప్పుడు, IAM సిస్టమ్ పాత యాక్సెస్ను తీసివేసి, కొత్త యాక్సెస్ను జతచేస్తుంది.
ఉదాహరణ:
సారా కు "మార్కెటింగ్ మేనేజర్" గా ప్రమోషన్ వచ్చింది.
HR పని: ఆమె టైటిల్ మరియు డిపార్ట్మెంట్ మారుస్తారు.
IAM పని: ఆమెకు ఇకపై అకౌంటింగ్ పని ఉండదు కాబట్టి పేరోల్ సిస్టమ్ యాక్సెస్ను తొలగిస్తుంది. కొత్త పని కోసం సోషల్ మీడియా పాస్వర్డ్లను మరియు మార్కెటింగ్ ఫోల్డర్ యాక్సెస్ను ఇస్తుంది.
3. లీవర్ (Leaver - వెళ్ళిపోతున్నవారు)
ఇది భద్రతా పరంగా అత్యంత ముఖ్యమైన దశ. ఉద్యోగి సంస్థను విడిచి వెళ్ళినప్పుడు, వారి యాక్సెస్ వెంటనే నిలిపివేయాలి.
ప్రక్రియ: ఉద్యోగి చివరి పని దినం (Last working day) ముగియగానే, IAM సిస్టమ్ అన్ని రకాల యాక్సెస్లను ఆపేస్తుంది.
ఉదాహరణ:
సారా ఉద్యోగానికి రాజీనామా చేశారు.
HR పని: ఆమె చివరి పని దినం శుక్రవారం సాయంత్రం 5:00 గంటలుగా నిర్ణయిస్తారు.
IAM పని: సరిగ్గా 5:00 గంటలకు, సిస్టమ్ ఆమె అకౌంట్ను డిజేబుల్ (Disable) చేస్తుంది. కంపెనీ మొబైల్ నుండి డేటాను తుడిచేస్తుంది.
సారాంశం (Summary Table)
| దశ (Stage) | ఎప్పుడు జరుగుతుంది? | ముఖ్యాంశం (Action) | లక్ష్యం (Goal) |
| Joiner | ఉద్యోగంలో చేరినప్పుడు | అకౌంట్ సృష్టించడం | మొదటి రోజే పని మొదలుపెట్టడం |
| Mover | ప్రమోషన్ వచ్చినప్పుడు | అనుమతులను మార్చడం | పాత యాక్సెస్ తొలగించడం |
| Leaver | రాజీనామా చేసినప్పుడు | అకౌంట్ తొలగించడం | డేటా దొంగతనాన్ని ఆపడం |
ఇది ఎందుకు ముఖ్యం?
ఒకవేళ ఈ ప్రక్రియ ఆటోమేటిక్గా జరగకపోతే, కింది సమస్యలు వస్తాయి:
ఘోస్ట్ ఖాతాలు (Ghost Accounts): ఉద్యోగి వెళ్ళిపోయినా వారి ఖాతాలు ఇంకా యాక్టివ్గానే ఉంటాయి. హ్యాకర్లు వీటిని వాడుకునే ప్రమాదం ఉంది.
ప్రివిలేజ్ క్రీప్ (Privilege Creep): ఉద్యోగులు డిపార్ట్మెంట్ మారినా, పాత డిపార్ట్మెంట్ ఫైల్స్ యాక్సెస్ అలాగే ఉండిపోవడం.
No comments:
Post a Comment
Note: only a member of this blog may post a comment.