Infoarchi 頤合資訊 | 首頁

SailPoint 身分治理與帳號盤點 — 產品說明

SailPoint 雲端身分安全治理平台

SailPoint 是全球身分治理(IGA)領域的市場領導者,連續多年在 Gartner IGA 魔力象限中位居領導者象限。旗艦產品 SailPoint Identity Security Cloud 是一個智慧且一體化的平台,旨在協助企業管理和保護每個身分對於重要資料及應用程式的存取權限。

頤合資訊 — 台灣 SailPoint 先驅與專業顧問團隊

頤合資訊(InfoArchi)是台灣第一家成功導入 SailPoint 並將其應用於大型企業客戶的服務商,自 2016 年完成台灣第一家 SailPoint 客戶簽約至今,累積超過十年的深厚實戰經驗。頤合資訊顧問團隊持有多張 SailPoint IDN(Identity Now)身分安全雲認證工程師資格,是台灣擁有最多 SailPoint 認證顧問的專業機構。

  • 台灣第一家 SailPoint 導入商:2016 年完成台灣第一家 SailPoint 客戶上線,開創台灣身分治理新時代
  • 大型客戶成功實績:成功協助台灣多家大型金融機構、製造業及科技集團完成 SailPoint 部署,每家客戶身分帳號規模均達數千名使用者,複雜度高、整合難度大
  • 最堅強顧問陣容:台灣少數同時具備 SailPoint Identity Security Cloud(雲端版)與 IdentityIQ(地端版)雙平台認證實戰能力的顧問團隊
  • 全生命週期服務:從需求分析、架構設計、系統整合、角色模型建立(Role Mining)、上線輔導到後續維運優化,提供端對端一站式服務

部署選項:雲端版 vs 地端版

SailPoint 提供兩種部署模式,企業可依據自身需求選擇:

  • Identity Security Cloud(SaaS 雲端版):完全雲端托管,無需維護基礎架構,自動更新至最新版本。最大優勢是內建完整的 AI/ML 功能(AI 角色挖掘、智慧存取建議、風險評分),讓 IAM 工作智慧化自動化。適合希望快速導入、降低維運負擔的企業。
  • IdentityIQ(地端版):部署於企業自有環境(本地端實體機或私有雲),提供最高度的客製化彈性,可深度整合企業既有系統(ERP、自建系統、特殊協定),支援複雜的業務流程客製。適合有嚴格資料主權要求、或有高度特殊化業務需求的企業,如金融機構、政府機關。

一、身分生命週期管理(Lifecycle Management)

SailPoint LCM

從員工入職的第一天到離職的最後一天,SailPoint 自動化管理身分的完整生命週期,確保適時授予或撤銷所有存取權限,徹底消除安全風險與運維負擔。

  • 自動化入職(Automated Onboarding):與 Workday、SAP SuccessFactors、BambooHR 等 HR 系統即時整合,新員工報到即可取得所需系統存取權限,無需 IT 人員手動開帳號
  • 角色型存取控制(RBAC):依職位、部門、地區、職務等屬性自動分配適當存取角色,確保「對的人,在對的時間,存取對的資源」
  • 自動化離職(Automated Offboarding):員工離職訊號觸發後,數分鐘內自動撤銷 Active Directory、雲端應用程式、特權系統等所有存取權限,同時撤銷對共享資料夾、網路磁碟機及敏感文件的存取,防止前員工遺留存取風險
  • 存取變更管理:職位調動、組織重整時,自動調整存取權限,移除舊職位不需要的權限,授予新職位所需的權限,包含對應的資料夾與檔案存取調整
  • 孤兒帳號偵測與治理:自動發現並關聯所有未連結至有效員工的孤兒帳號,包含共享資料夾中的廢棄存取權限,定期清理降低攻擊面

RBAC 角色化管理在 LCM 的核心價値

角色型存取控制(RBAC)是 SailPoint LCM 的核心設計理念,透過將存取權限從「個人帳號層級」提升至「業務角色層級」,帶來以下關鍵好處:

  • 一致性授權,消除人為錯誤:同一職位的員工自動獲得相同的存取組合(Role Bundle),無論由哪位 IT 人員操作,均可確保授權一致性,徹底消除手動操作的不一致風險
  • 入職效率大幅提升:新員工入職時,HR 系統觸發職位屬性後,SailPoint 自動比對角色定義、一次性開通數十個系統帳號,原本需要 IT 人員 2–5 個工作天的開帳號流程縮短至數分鐘自動完成
  • 離職撤銷全面且迅速:員工離職時只需撤銷其「角色」,與該角色綁定的所有系統存取(包含應用程式帳號、共享資料夾、特權系統)均自動一次撤銷,不留下任何遺漏的孤兒帳號
  • 職位變動自動換角:員工跨部門或跨職位調動時,SailPoint 自動移除舊角色的所有存取、授予新角色的對應存取,無需 IT 逐一清點確認,降低「過度授權堆積」的安全風險
  • SoD 職責分離天然落地:在角色設計階段即可植入職責分離規則(如財務審核角色不得與付款執行角色共存),系統在授角色前自動偵測衝突,防止內部舞弊風險從源頭產生
  • 稽核與合規報告效率倍增:所有存取行為均對應至業務角色,稽核人員可直接以「角色」為單位審查授權合理性,一鍵產生各業務角色的完整存取清單與核准記錄,大幅降低 SOX、GDPR、PCI-DSS 稽核工作量
  • AI 角色挖掘加速角色建立(雲端版):SailPoint AI 自動分析現有員工的存取模式,識別實際業務角色並提出角色定義建議,數週內完成傳統需要數個月人工訪談才能完成的角色模型建立工作

二、共享資料夾管控與個資多維盤點

SailPoint 資料存取

SailPoint 不僅管理應用程式帳號存取,更延伸至企業最複雜、最難管理的資料層——共享資料夾(檔案伺服器、SharePoint、OneDrive、NAS)的存取治理。

個資多樣態多維度盤點

SailPoint 的資料存取安全(Data Access Security)功能可自動掃描並盤點企業中所有非結構化資料,識別包含個人資料(PII)、機密文件、財務資料、醫療資訊等敏感內容:

  • 多樣態偵測:自動識別多種形式的個人資料,包含身分證號、護照號碼、信用卡號(PAN)、電話號碼、電子郵件地址、健保 ID、員工編號等,跨越 Office 文件(Word/Excel/PDF)、純文字檔、CSV 資料等各種檔案格式
  • 多維度分類:從多個維度同時進行資料分類——依資料類型(個資/財務/機密/法規相關)、依敏感等級(公開/內部/機密/極機密)、依法規框架(GDPR 個資、PCI-DSS 持卡人資料、HIPAA 醫療資料)、依資料位置(檔案伺服器/SharePoint/OneDrive/NAS)進行多維標記
  • 存取權限對應:自動建立「哪些身分可以存取哪些敏感資料」的完整對應清單,找出過度廣泛的資料存取(例如:全公司員工都能存取的個資檔案)

樹狀多層可視化

SailPoint 提供直覺化的樹狀結構可視化介面,完整呈現企業共享資料夾的多層次存取關係:

  • 多層資料夾樹狀展開:從頂層根目錄逐層展開至子資料夾,清楚顯示每一層的存取群組與授權使用者,支援無限層深的資料夾結構展示
  • 存取繼承視覺化:清楚顯示哪些存取權限是從上層資料夾繼承而來,哪些是在當層明確設定,讓管理員立即理解複雜的權限繼承關係
  • 群組成員展開:點擊安全群組(Security Group)即可展開所有成員清單,並可進一步追蹤每個成員的身分屬性(職位/部門/在職狀態),識別不應出現在群組中的成員
  • 敏感度標記:樹狀結構中的每個節點顯示該資料夾的敏感等級標記,讓審查人員快速聚焦高風險資料夾
  • 比較視圖:並排比較不同時間點的存取清單,快速找出新增或移除的存取授權變更

違規告警與即時通知

SailPoint 持續監控共享資料夾的存取狀態,發現違規或異常時即時告警:

  • SoD 衝突告警:當系統偵測到某一使用者同時擁有互相衝突的資料夾存取組合(例如:同時擁有財務資料讀取及修改權限,且未受監控),立即產生告警並要求主管確認
  • 政策違規告警:離職員工帳號仍保留資料夾存取權限、孤兒帳號存取敏感資料夾、非業務相關部門員工存取特定機密目錄等,均自動觸發告警
  • 異常存取行為告警:使用者在非常規時間大量下載敏感資料夾中的檔案、短時間內存取多個高敏感度目錄等異常行為,觸發 UEBA 風險告警
  • 新增存取變更告警:共享資料夾新增了未經核准流程的存取授權,立即通知資料擁有者(Data Owner)確認
  • 多通路通知:告警透過 Email、Microsoft Teams、Slack 即時推送給相關負責人,並可自動在 ServiceNow 建立處理工單

與身分帳號生命週期深度整合

共享資料夾管控功能與身分生命週期管理緊密整合,形成完整的資料存取治理閉環:

  • 入職自動授權:新員工入職時,依其職位與部門自動授予對應業務資料夾的存取權限,無需 IT 人員手動操作
  • 離職自動撤銷:員工離職時,一次性撤銷其對所有共享資料夾(檔案伺服器、SharePoint、OneDrive)的存取權限,確保資料不外洩
  • 職位變動自動調整:員工轉換部門或職位時,自動移除舊職位對應的資料夾存取,新增新職位所需的資料夾存取
  • 定期資料夾存取認證:定期自動發送資料夾存取審查任務給資料擁有者(Data Owner),確認每位員工的資料夾存取是否仍有業務需要,並提供樹狀視覺化介面方便快速審查

三、法規遵循管理(Compliance Management)

  • 存取認證(Access Certification):定期自動發送存取審查任務,以直覺化介面確認或撤銷存取,支援批次審查、風險評分排序,減少主管審查時間 70% 以上
  • 職責分離(SoD)強制執行:定義並即時偵測衝突存取組合,在授予存取前自動預警,防止內部舞弊
  • 合規報告一鍵產生:內建 SOX、GDPR、PCI-DSS、HIPAA 等合規框架報告範本,稽核時一鍵產生完整存取控制報告
  • 持續合規監控:持續監控存取政策合規狀態,發現違規即時告警,而非僅在年度稽核時才審查

四、AI 驅動存取模型(雲端版專屬)

SailPoint Identity Security Cloud 的 AI/ML 引擎是其核心差異化優勢(此功能為雲端版專屬):

  • AI 角色挖掘(Role Mining):自動分析現有員工的存取模式,建議最佳角色定義,數週完成傳統需要數月的角色建立工作
  • 智慧存取建議(Access Recommendations):員工申請存取時,AI 分析相似同事的存取情況,自動建議最可能被核准的存取組合,標記異常申請供主管重點審查
  • 風險評分:每個身分與存取請求都有 AI 計算的即時風險評分,高風險申請自動升級至更嚴格審核流程,低風險常規申請可自動核准

五、雲端基礎架構權限管理(CIEM)

跨 AWS、Azure、GCP 多雲環境的統一存取可見性與風險管控。自動識別擁有超出需求的雲端 IAM 權限,建議最小化設定;將職責分離政策延伸至雲端環境;管理 S3/Azure Blob/GCS 等雲端儲存資源的存取,防止資料外洩;支援 GDPR Article 30 個人資料存取記錄。

六、非正式員工與第三方存取管理

為承包商、顧問、供應商建立完整身分申請、核准、存取管理及到期自動撤銷流程。依據存取範圍、合約期限計算風險評分,高風險第三方需要更嚴格的驗證和更短的存取期限。存取自動設定到期日,到期前預警並要求主管主動展延,否則自動撤銷。

七、整合能力

  • 目錄服務:Microsoft Active Directory、Azure AD(Entra ID)、LDAP
  • HR 系統:Workday、SAP SuccessFactors、Oracle HCM、BambooHR
  • 雲端應用程式:Microsoft 365、Salesforce、ServiceNow、GitHub、Slack、Zoom 等 200+ 預建連接器
  • 特權存取管理:CyberArk PAM 整合,統一身分治理與特權存取,共享資料夾管控與 PAM 憑證管理協同運作
  • 檔案系統:Windows 檔案伺服器、SharePoint、OneDrive、NAS(NetApp、EMC)
  • SIEM 平台:Splunk、QRadar、Microsoft Sentinel、ArcSight