頤合資訊 Infoarchi

Infoarchi 頤合資訊 | 首頁

SailPoint 身分治理與帳號盤點 — 產品說明

SailPoint 雲端身分安全治理平台

SailPoint 是全球身分治理安全(IGA)領域的市場領導者,連續多年在 Gartner IGA 魔力象限中位居領導者象限。旗艦產品 SailPoint Identity Security Cloud 是一個智慧且一體化的平台,旨在協助企業管理和保護每個身分對於重要資料及應用程式的存取權限。

頤合資訊 — 台灣 SailPoint 先驅與專業顧問團隊

頤合資訊(InfoArchi)是台灣第一家成功導入 SailPoint 並將其應用於大型企業客戶的服務商,自 2016 年完成台灣第一家 SailPoint 客戶簽約至今,累積超過十年的深厚實戰經驗。頤合資訊顧問團隊持有多張 SailPoint IDN(Identity Now)身分安全雲認證工程師資格,是台灣擁有最多 SailPoint 認證顧問的專業機構。

  • 台灣第一家 SailPoint 導入商:2016 年完成台灣第一家 SailPoint 客戶上線,開創台灣身分治理新時代
  • 大型客戶成功實績:第一家成功幫臺灣客戶建立全公司應用系統帳號生命週期管理及帳號自動化盤點機制
  • 最堅強顧問陣容:台灣少數同時具備 SailPoint Identity Security Cloud(雲端版)與 IdentityIQ(地端版)雙平台認證實戰能力的顧問團隊
  • 全生命週期服務:從需求分析、架構設計、系統整合、角色模型建立(Role Mining)、上線輔導到後續維運優化,提供端對端一站式服務

部署選項:雲端版 vs 地端版

SailPoint 提供兩種部署模式,企業可依據自身需求選擇:

  • Identity Security Cloud(SaaS 雲端版):完全雲端托管,無需維護基礎架構,自動更新至最新版本。最大優勢是內建完整的 AI/ML 功能(AI 角色挖掘、智慧存取建議、風險評分),讓 IAM 工作智慧化自動化。適合希望快速導入、降低維運負擔的企業。
  • IdentityIQ(地端版):部署於企業自有環境(本地端實體機或私有雲),提供最高度的客製化彈性,可深度整合企業既有系統(ERP、自建系統、特殊協定),支援複雜的業務流程客製。適合有嚴格資料主權要求、或有高度特殊化業務需求的企業,如金融機構、政府機關。

一、身分生命週期管理(Lifecycle Management)

SailPoint LCM

從員工入職的第一天到離職的最後一天,SailPoint 自動化管理身分的完整生命週期,確保適時授予或撤銷所有存取權限,徹底消除安全風險與運維負擔。

  • 自動化入職(Automated Onboarding):與 Workday、SAP SuccessFactors、BambooHR 等 HR 系統即時整合,新員工報到即可取得所需系統存取權限,無需 IT 人員手動開帳號
  • 權限角色化治理(RBAC):依職位、部門、地區、職務等屬性自動分配適當存取角色,確保「對的人,在對的時間,存取對的資源」
  • 自動化離職(Automated Offboarding):員工離職訊號觸發後,數分鐘內自動撤銷 Active Directory、雲端應用程式、特權系統等所有存取權限,同時撤銷對共享資料夾、網路磁碟機及敏感文件的存取,防止前員工遺留存取風險
  • 職權變更自動化:職位調動、組織重整時,自動調整存取權限,移除舊職位不需要的權限,授予新職位所需的權限,包含對應的資料夾與檔案存取調整
  • 孤兒帳號偵測與治理:自動發現並關聯所有未連結至有效員工的孤兒帳號,包含共享資料夾中的廢棄存取權限,定期清理降低攻擊面

RBAC 角色化管理在 LCM 的核心價値

角色型存取控制(RBAC)是 SailPoint LCM 的核心設計理念,透過將存取權限從「個人帳號層級」提升至「業務角色層級」,帶來以下關鍵好處:

  • 一致性授權,消除人為錯誤:同一職位的員工自動獲得相同的存取組合(Role Bundle),無論由哪位 IT 人員操作,均可確保授權一致性,徹底消除手動操作的不一致風險
  • 入職效率大幅提升:新員工入職時,HR 系統觸發職位屬性後,SailPoint 自動比對角色定義、一次性開通數十個系統帳號,原本需要 IT 人員 2–5 個工作天的開帳號流程縮短至數分鐘自動完成
  • 離職撤銷全面且迅速:員工離職時只需撤銷其「角色」,與該角色綁定的所有系統存取(包含應用程式帳號、共享資料夾、特權系統)均自動一次撤銷,不留下任何遺漏的孤兒帳號
  • 職位變動自動換角:員工跨部門或跨職位調動時,SailPoint 自動移除舊角色的所有存取、授予新角色的對應存取,無需 IT 逐一清點確認,降低「過度授權堆積」的安全風險
  • SoD 職責分離天然落地:在角色設計階段即可植入職責分離規則(如財務審核角色不得與付款執行角色共存),系統在授角色前自動偵測衝突,防止內部舞弊風險從源頭產生
  • 稽核與合規報告效率倍增:所有存取行為均對應至業務角色,稽核人員可直接以「角色」為單位審查授權合理性,一鍵產生各業務角色的完整存取清單與核准記錄,大幅降低 SOX、GDPR、PCI-DSS 稽核工作量
  • AI 角色挖掘加速角色建立(雲端版):SailPoint AI 自動分析現有員工的存取模式,識別實際業務角色並提出角色定義建議,數週內完成傳統需要數個月人工訪談才能完成的角色模型建立工作

從理論到實戰——國際大型企業的 LCM 自動化治理實踐

SailPoint 的身分生命週期管理(Lifecycle Management, LCM)在全球已被廣泛應用於員工人數超過萬人的大型企業與跨國金融機構。以下深入解析國際企業如何透過 LCM 實現完全自動化的職權變更治理。

SailPoint LCM 生命週期三階段示意:Joiner 入職、Mover 調動、Leaver 離職自動化治理
SailPoint LCM 三大核心 Lifecycle Event:Joiner(入職)、Mover(調動)、Leaver(離職)自動化權限變更治理

Joiner / Mover / Leaver——三大核心 Lifecycle Event

國際大型企業的 LCM 自動化核心,是將 HR 系統(如 Workday、SAP SuccessFactors)設定為唯一的身分真實來源(Authoritative Source)。HR 系統中的每一次人事異動,都會自動觸發 SailPoint 的 Lifecycle Event,驅動對應的權限變更流程:

Joiner(入職)——Day-1 Ready 是國際企業的標準目標:HR 系統發出 Hire Event 後,SailPoint 即時接收新員工的職位、部門、地區、職等等屬性,自動比對預先建立的角色模型,一次性向 20 至 50 個目標系統(AD、Email、ERP、CRM、VPN 等)發出帳號建立請求。新員工報到當天所有系統帳號已全部就緒,過去需要 IT 團隊花 2 到 5 個工作天的流程現在幾分鐘內自動完成。

Mover(調動)——消除權限堆積是最關鍵的治理目標:員工跨部門調動時,SailPoint 的 Role Diff Engine 自動計算新舊角色差異,精確列出需新增與需撤銷的權限。如果新舊權限組合觸發 SoD(職責分離)規則衝突,系統自動攔截並通知合規團隊。最常見的資安隱患不是駭客入侵,而是權限堆積(Entitlement Creep):員工經歷多次調動後坠擁橫跨所有部門的超級權限,成為最大的內部風險。

Leaver(離職)——零殘留是底線:HR 發出 Termination Event 後,SailPoint 自動執行全面的帳號停用或刪除,涵蓋所有納管系統,同時自動產出「離職清查報告」供稽核留存。在金融機構中,Leaver 流程通常包含階段性設計:離職前 7 天限縮為唯讀權限、當天停用帳號保留 30 天供法務調查、之後永久刪除。

成熟企業的 10+ 種 Lifecycle Event

國際大型企業的 LCM 設計遠不止三種事件,成熟的導入會設計 10 種以上的 Lifecycle Event 來應對各種真實業務場景:

Lifecycle Event觸發條件自動化動作
Contractor Onboard外包/顧問入場建立有到期日的帳號,權限範圍受限
Contractor Extension合約展延延長帳號到期日,需主管重新核准
Contractor Termination外包離場立即停用所有帳號
Leave of Absence留職停薪 / 育嬰假暫時停用帳號但不刪除
Return from LOA復職恢復帳號與原有權限
Rehire離職後重新僱用建立新帳號,參考歷史角色但不自動繼承
Internal Transfer跨法人/跨公司調動舊法人帳號撤銷 + 新法人帳號建立
Promotion / Demotion升遷 / 降職角色與審批權限對應調整
Org Restructure組織重整 / 部門合併批次角色重新比對與權限遷移
Acquisition Merge併購整合被併企業身分批量匯入與角色對應

為什麼大型企業必須做到自動化 LCM

  • 合規壓力:SOX 法案要求對財務系統存取每季進行認證(Access Certification),手動封一審查數萬筆權限根本不可能完成。SailPoint 的自動化認證流程搭配 AI 智慧推薦,將審查時間從數週壓縮至數天
  • 效率壓力:萬人企業每月平均產生數百筆人事異動,如果每筆都要 IT 手動處理,IT 團隊大半精力耗在重複性操作上
  • 資安壓力:遺留帳號(孤兒帳號)是駭客橫向移動的溫床,超過 74% 的資料外洩涉及憑證遭竊或濫用,其中大量來自離職員工或調動後未收回的帳號
SailPoint AI Role Mining 角色挖掘概念圖——AI 自動分析存取模式識別業務角色
SailPoint AI Role Mining:自動分析員工存取模式,探索與建立最佳角色模型

LCM 導入關鍵——Role Mining 與角色模型設計

再好的 LCM 自動化引擎,也需要正確的角色模型才能運作。Role Mining(角色挖掘)是 LCM 導入的關鍵前置作業。SailPoint AI 可自動分析現有員工的存取模式,識別實際存在的業務角色並提出角色定義建議。在地端版(IdentityIQ)中,則透過頤合資訊的顧問團隊以 Workshop 方式與客戶逐部門訪談,梳理出合理的角色模型。

頤合資訊——台灣第一個做到全公司 LCM 自動化的服務商

頤合資訊是台灣第一家成功幫客戶建立全公司應用系統帳號生命週期管理及帳號自動化盤點機制的服務商。我們的顧問團隊具備從 Role Mining、角色模型設計、Lifecycle Event 流程規劃、目標系統 Connector 整合到上線後持續調校的全方位能力。無論您的企業正在規劃首次導入身分治理,或希望將現有的帳號盤點機制升級為完整的 LCM 自動化平台,頤合資訊都是最具實戰經驗的導入夥伴。

二、共享資料夾管控與個資多維盤點

SailPoint 資料存取

SailPoint 不僅管理應用程式帳號存取,更延伸至企業最複雜、最難管理的資料層——共享資料夾(檔案伺服器、SharePoint、OneDrive、NAS)的存取治理。

個資多樣態多維度盤點

SailPoint 的資料存取安全(Data Access Security)功能可自動掃描並盤點企業中所有非結構化資料,識別包含個人資料(PII)、機密文件、財務資料、醫療資訊等敏感內容:

  • 多樣態偵測:自動識別多種形式的個人資料,包含身分證號、護照號碼、信用卡號(PAN)、電話號碼、電子郵件地址、健保 ID、員工編號等,跨越 Office 文件(Word/Excel/PDF)、純文字檔、CSV 資料等各種檔案格式
  • 多維度分類:從多個維度同時進行資料分類——依資料類型(個資/財務/機密/法規相關)、依敏感等級(公開/內部/機密/極機密)、依法規框架(GDPR 個資、PCI-DSS 持卡人資料、HIPAA 醫療資料)、依資料位置(檔案伺服器/SharePoint/OneDrive/NAS)進行多維標記
  • 存取權限對應:自動建立「哪些身分可以存取哪些敏感資料」的完整對應清單,找出過度廣泛的資料存取(例如:全公司員工都能存取的個資檔案)

樹狀多層可視化

SailPoint 提供直覺化的樹狀結構可視化介面,完整呈現企業共享資料夾的多層次存取關係:

  • 多層資料夾樹狀展開:從頂層根目錄逐層展開至子資料夾,清楚顯示每一層的存取群組與授權使用者,支援無限層深的資料夾結構展示
  • 存取繼承視覺化:清楚顯示哪些存取權限是從上層資料夾繼承而來,哪些是在當層明確設定,讓管理員立即理解複雜的權限繼承關係
  • 群組成員展開:點擊安全群組(Security Group)即可展開所有成員清單,並可進一步追蹤每個成員的身分屬性(職位/部門/在職狀態),識別不應出現在群組中的成員
  • 敏感度標記:樹狀結構中的每個節點顯示該資料夾的敏感等級標記,讓審查人員快速聚焦高風險資料夾
  • 比較視圖:並排比較不同時間點的存取清單,快速找出新增或移除的存取授權變更

違規告警與即時通知

SailPoint 持續監控共享資料夾的存取狀態,發現違規或異常時即時告警:

  • SoD 衝突告警:當系統偵測到某一使用者同時擁有互相衝突的資料夾存取組合(例如:同時擁有財務資料讀取及修改權限,且未受監控),立即產生告警並要求主管確認
  • 政策違規告警:離職員工帳號仍保留資料夾存取權限、孤兒帳號存取敏感資料夾、非業務相關部門員工存取特定機密目錄等,均自動觸發告警
  • 異常存取行為告警:使用者在非常規時間大量下載敏感資料夾中的檔案、短時間內存取多個高敏感度目錄等異常行為,觸發 UEBA 風險告警
  • 新增存取變更告警:共享資料夾新增了未經核准流程的存取授權,立即通知資料擁有者(Data Owner)確認
  • 多通路通知:告警透過 Email、Microsoft Teams、Slack 即時推送給相關負責人,並可自動在 ServiceNow 建立處理工單

與身分帳號生命週期深度整合

共享資料夾管控功能與身分生命週期管理緊密整合,形成完整的資料存取治理閉環:

  • 入職自動授權:新員工入職時,依其職位與部門自動授予對應業務資料夾的存取權限,無需 IT 人員手動操作
  • 離職自動撤銷:員工離職時,一次性撤銷其對所有共享資料夾(檔案伺服器、SharePoint、OneDrive)的存取權限,確保資料不外洩
  • 職位變動自動調整:員工轉換部門或職位時,自動移除舊職位對應的資料夾存取,新增新職位所需的資料夾存取
  • 定期資料夾存取認證:定期自動發送資料夾存取審查任務給資料擁有者(Data Owner),確認每位員工的資料夾存取是否仍有業務需要,並提供樹狀視覺化介面方便快速審查

三、法規遵循管理(Compliance Management)

  • 存取認證(Access Certification):定期自動發送存取審查任務,以直覺化介面確認或撤銷存取,支援批次審查、風險評分排序,減少主管審查時間 70% 以上
  • 職責分離(SoD)強制執行:定義並即時偵測衝突存取組合,在授予存取前自動預警,防止內部舞弊
  • 合規報告一鍵產生:內建 SOX、GDPR、PCI-DSS、HIPAA 等合規框架報告範本,稽核時一鍵產生完整存取控制報告
  • 持續合規監控:持續監控存取政策合規狀態,發現違規即時告警,而非僅在年度稽核時才審查

四、AI 驅動存取模型(雲端版專屬)

SailPoint Identity Security Cloud 的 AI/ML 引擎是其核心差異化優勢(此功能為雲端版專屬):

  • AI 角色挖掘(Role Mining):自動分析現有員工的存取模式,建議最佳角色定義,數週完成傳統需要數月的角色建立工作
  • 智慧存取建議(Access Recommendations):員工申請存取時,AI 分析相似同事的存取情況,自動建議最可能被核准的存取組合,標記異常申請供主管重點審查
  • 風險評分:每個身分與存取請求都有 AI 計算的即時風險評分,高風險申請自動升級至更嚴格審核流程,低風險常規申請可自動核准

五、雲端基礎架構權限管理(CIEM)

跨 AWS、Azure、GCP 多雲環境的統一存取可見性與風險管控。自動識別擁有超出需求的雲端 IAM 權限,建議最小化設定;將職責分離政策延伸至雲端環境;管理 S3/Azure Blob/GCS 等雲端儲存資源的存取,防止資料外洩;支援 GDPR Article 30 個人資料存取記錄。

六、非正式員工與第三方存取管理

為承包商、顧問、供應商建立完整身分申請、核准、存取管理及到期自動撤銷流程。依據存取範圍、合約期限計算風險評分,高風險第三方需要更嚴格的驗證和更短的存取期限。存取自動設定到期日,到期前預警並要求主管主動展延,否則自動撤銷。

七、整合能力

  • 目錄服務:Microsoft Active Directory、Azure AD(Entra ID)、LDAP
  • HR 系統:Workday、SAP SuccessFactors、Oracle HCM、BambooHR
  • 雲端應用程式:Microsoft 365、Salesforce、ServiceNow、GitHub、Slack、Zoom 等 200+ 預建連接器
  • 特權存取管理:CyberArk PAM 整合,統一身分治理與特權存取,共享資料夾管控與 PAM 憑證管理協同運作
  • 檔案系統:Windows 檔案伺服器、SharePoint、OneDrive、NAS(NetApp、EMC)
  • SIEM 平台:Splunk、QRadar、Microsoft Sentinel、ArcSight

從「企業身分倉儲」到智慧身分治理 — 頤合的 SailPoint 實戰觀點

頤合資訊在 2016 年為台灣第一家客戶導入 SailPoint 時,將系統定位為「企業身分倉儲」——建立集中可視的企業身分帳號權限管理系統,達到自動化、可控的職權變更流程作業。這個觀念至今仍是 SailPoint 導入的核心價值:先建立完整的身分可視性,再透過自動化流程實現高效率的身分治理。

SailPoint 之所以持續獨佔 Gartner IGA 領導者象限,關鍵在於產品全面性的流程設計廣泛的系統支援度。即使部分客戶僅將 SailPoint 用於帳號盤點與帳號清查,也因其嚴謹的設計,在環境整合介接與確保不漏盤方面,遠優於其他 IDM 解決方案。頤合資訊的顧問團隊從早期 IDM 方案(IBM、Oracle)一路走來,擁有超過 20 年的身分管理領域經驗,能為客戶提供最深入的產品選型建議與導入規劃。

立即諮詢,取得專屬方案報價

頤合資訊的資安顧問將依您的企業規模與需求,提供客製化評估與建議。

📩 立即諮詢
📞 電話聯繫

1–2 個工作天內回覆・免費初步評估・無壓力諮詢