← Tüm terimler
Kimlik ve Erişim Yönetimi (IAM)

Kimlik ve Erişim Yönetimi (IAM) nedir?

IAM, kullanıcıların kim olduğunu doğrulayan ve kurum genelinde nelere erişebileceklerini denetleyen politika ve teknoloji çerçevesidir.

Son güncelleme: 13 Temmuz 2026

IAM nasıl çalışır

IAM iki temel işleve dayanır. Kimlik doğrulama, kullanıcının kim olduğu sorusunu yanıtlar; bu genellikle parola, çok faktörlü kimlik doğrulama veya geçiş anahtarları gibi parolasız yöntemlerle yapılır. Yetkilendirme ise doğrulanan kullanıcının neler yapabileceğini roller, grup üyelikleri, öznitelikler ve kurumun tanımladığı politikalar üzerinden belirler.

Uygulamada bir IAM platformu, kimliklerin tutulduğu merkezi bir dizini yönetir ve bunu çalışanların kullandığı uygulamalara bağlar. Kullanıcı oturum açtığında platform kimlik bilgilerini doğrular, politikaları değerlendirir ve uygulamaların güvendiği bir oturum ya da jeton üretir. SAML, OpenID Connect ve SCIM gibi protokoller bu sürecin yüzlerce bulut ve şirket içi sistemde tutarlı biçimde işlemesini sağlar.

IAM neden önemli

Modern ihlallerin çoğu, aşılan bir güvenlik duvarından değil, ele geçirilen bir kimlikten başlar. Çalınan parolalar, sahipsiz hesaplar ve gereğinden fazla yetkiler, saldırganlara kritik sistemlere sessizce ilerleyecekleri bir yol açar. Merkezi IAM, her yerde güçlü kimlik doğrulamayı zorunlu kılarak ve erişimi kişinin gerçekten ihtiyaç duyduğu kapsamda tutarak bu saldırı yüzeyini daraltır.

IAM ayrıca ciddi bir uyumluluk ve verimlilik yükünü taşır. ISO 27001, KVKK ve GDPR gibi düzenlemeler, kurumların kimin neye neden eriştiğini kanıtlamasını bekler. Aynı zamanda çalışanlar her araçta çalışan tek bir oturum ister; BT ekipleri de işe alım ve işten ayrılma süreçlerinin günler değil dakikalar sürmesine ihtiyaç duyar.

Uygulamada IAM

Tipik bir IAM projesi, kimlikleri tek bir doğru kaynakta birleştirmekle başlar; ardından en çok kullanılan uygulamalara tek oturum açma eklenir, MFA zorunlu hale getirilir ve SCIM ile hesap açma-kapatma süreçleri otomatikleştirilir. Sonrasında kurumlar; konum, cihaz ve davranış gibi risk sinyallerine göre doğrulama gereksinimlerini ayarlayan uyarlanabilir politikalar devreye alır.

En sık yapılan hatalar, IAM'ı sürekli bir program yerine tek seferlik bir proje gibi ele almak ve eski uygulamaları platformun dışında bırakmaktır. LDAP, RADIUS ve Kerberos gibi eski protokolleri aynı politika motoruna bağlamak bu boşlukları kapatır. Monosign, SAML ve OIDC federasyonundan SCIM ile otomatik hesap yönetimine ve eski protokol köprülerine kadar bu yelpazenin tamamını bulutta veya şirket içinde sunar.

Sık sorulan sorular

IAM ile PAM arasındaki fark nedir?
IAM tüm kullanıcıların tüm uygulamalardaki erişimini yönetirken, ayrıcalıklı erişim yönetimi (PAM) yönetici hesapları, servis hesapları ve root erişimi gibi yüksek riskli hesaplara odaklanır. PAM; parola kasası, oturum kaydı ve anlık yetki yükseltme gibi ek kontroller getirir. Çoğu kurumun ikisine de ihtiyacı vardır ve IAM temeli oluşturur.
IAM yalnızca büyük kurumlar için mi?
Hayır. Birkaç SaaS uygulamasından fazlasını kullanan her kurum merkezi kimlik yönetiminden fayda görür; çünkü parola karmaşası ve elle yürütülen işten çıkış süreçleri hızla riske dönüşür. Bulut tabanlı IAM, kurumsal düzey kontrolleri orta ölçekli ekipler için de erişilebilir kılmıştır.
Kimlik doğrulama ile yetkilendirme arasındaki fark nedir?
Kimlik doğrulama, iddia ettiğiniz kişi olduğunuzu kanıtlamaktır; örneğin parola ve ikinci bir faktörle yapılır. Yetkilendirme ise doğrulamadan sonra gelir ve roller ile politikalara göre neler yapabileceğinize karar verir. Güçlü bir IAM için ikisinin birlikte çalışması gerekir.