← Tüm terimler
Kimlik Yönetişimi ve Yönetimi (IGA)

Kimlik Yönetişimi ve Yönetimi (IGA) nedir?

IGA, dijital kimlikleri ve erişim haklarını sistemler genelinde yönetme disiplinidir; yaşam döngüsü otomasyonunu erişim gözden geçirme gibi yönetişim kontrolleriyle birleştirir.

Son güncelleme: 13 Temmuz 2026

IGA neleri kapsar

Kimlik Yönetişimi ve Yönetimi, birbiriyle yakından ilişkili iki yeteneği birleştirir. Yönetim tarafı operasyonel işleri üstlenir: hesap oluşturma, kişiler işe girdiğinde veya rol değiştirdiğinde erişim sağlama ve ayrıldıklarında erişimi kaldırma. İK sistemleri ve dizinler gibi yetkili kaynaklara bağlanır, ardından değişiklikleri alt uygulamalara aktarır.

Yönetişim tarafı ise farklı bir soruya yanıt verir: Kişilerin şu anda sahip olduğu erişim gerçekten uygun mu? Kimin neye erişebildiğine dair görünürlük sağlar, periyodik erişim gözden geçirmeleri yürütür, görevler ayrılığı politikalarını uygular ve denetçilerin talep ettiği kanıtları üretir.

Pratikte bir IGA platformu, kimliklerin ve yetkilendirmelerin merkezi bir envanterini tutar, teknik izinleri iş odaklı rollere eşler ve erişim talep edildiğinde, verildiğinde veya gözden geçirildiğinde politika uygular.

IGA neden önemlidir

Yönetişim olmadan erişim birikir. Çalışanlar ekip değiştirir ancak eski izinlerini korur, yükleniciler projeler bittikten sonra hesaplarını elinde tutar ve sahipsiz hesaplar kritik sistemlerde varlığını sürdürür. Bunların her biri istismar edilmeyi bekleyen bir saldırı yolu ve denetim raporunda ortaya çıkmayı bekleyen bir bulgudur.

SOC 2, ISO 27001, GDPR ve KVKK gibi düzenlemeler ve çerçeveler, kuruluşlardan erişimin bilmesi gereken prensibiyle verildiğini ve düzenli olarak gözden geçirildiğini kanıtlamalarını bekler. IGA, bu beklentiyi elektronik tablo egzersizinden tekrarlanabilir ve kanıtlanabilir bir sürece dönüştürür.

Doğrudan bir güvenlik kazanımı da vardır: Kalıcı yetkilendirmeleri azaltmak, ele geçirilen bir hesabın etki alanını daraltır; düzgün işleyen işe giriş, görev değişikliği ve işten ayrılış süreçleri saldırganların yararlandığı boşlukları kapatır.

Pratikte IGA uygulaması

Çoğu kuruluş, IGA sisteminin kimlerin var olduğuna ve neye sahip olduğuna dair güvenilir bir resme sahip olması için önce yetkili kaynakları — İK platformları, Active Directory, LDAP veya veritabanları — bağlayarak başlar. Ardından ekipler rolleri ve yetkilendirme eşlemelerini tanımlar, en yoğun kullanılan uygulamalar için sağlamayı otomatikleştirir ve öncelikle en hassas sistemler için erişim gözden geçirmeleri planlar.

Aşamalı bir yaklaşım, tek seferde büyük bir geçişten daha iyi sonuç verir: Önce görünürlük ve raporlama, ardından sertifikasyon kampanyaları, sonra otomatik düzeltme. Başarı genellikle gözden geçirme tamamlanma oranları, ayrılan kişilerin erişiminin kaldırılma süresi ve tespit edilip kaldırılan sahipsiz veya aşırı yetkilendirme sayısıyla ölçülür.

Monosync gibi platformlar; AD, LDAP, İK ve SQL kaynaklarından kimlikleri senkronize ederek, yetkilendirmeleri eşleyerek ve SOC 2, ISO 27001, KVKK ve GDPR programları için kanıt niteliğinde denetim raporlarıyla erişim gözden geçirmeleri yürüterek bu süreci destekler.

Sık sorulan sorular

IGA ile IAM arasındaki fark nedir?
IAM; kimlik doğrulama, yetkilendirme ve günlük erişim yönetimini kapsayan daha geniş bir disiplindir. IGA ise bunun üzerindeki yönetişim katmanıdır: Erişimin uygun olup olmadığına odaklanır, yetkilendirmeleri gözden geçirip onaylar, görevler ayrılığı gibi politikaları uygular ve denetim kanıtı üretir. Çoğu kuruluşun her ikisine de ihtiyacı vardır.
IGA uyumluluk için zorunlu mu?
Hiçbir çerçeve IGA'yı ürün olarak zorunlu kılmaz; ancak SOC 2, ISO 27001, GDPR ve KVKK'nın tamamı kontrollü erişim sağlama, periyodik erişim gözden geçirme ve zamanında erişim kaldırma bekler. Bunları ölçekli ortamlarda manuel yapmak hataya açıktır; bu nedenle denetçiler olgun ortamlarda genellikle IGA araçlarıyla karşılaşır.
Bir IGA kurulumu ne kadar sürer?
Temel kaynakları bağlamak ve görünürlük kazanmak genellikle haftalar alır. Kapsamlı rol modelleme, çok sayıda uygulamada otomatik erişim sağlama ve olgun sertifikasyon kampanyaları ise genellikle birkaç çeyreğe yayılır. Kritik sistemlerden oluşan küçük bir kapsamla başlamak erken değer sağlar.