บทนำ: ทำไม Identity and Access Management ถึงสำคัญในปี 2026
ในยุคที่องค์กรใช้ Cloud Application หลายสิบตัว พนักงานทำงานจากทุกที่ และภัยคุกคามไซเบอร์ทวีความรุนแรงขึ้นทุกวัน การจัดการตัวตนและสิทธิ์การเข้าถึง (Identity and Access Management หรือ IAM) ได้กลายเป็น Foundation ที่สำคัญที่สุดของ Cybersecurity ในองค์กรทุกขนาด ข้อมูลจาก Verizon Data Breach Report ระบุว่ากว่า 80% ของ Data Breach มีสาเหตุมาจาก Credential Compromise หรือการใช้สิทธิ์ที่ไม่เหมาะสม ซึ่งทั้งหมดนี้สามารถป้องกันได้ด้วยระบบ IAM ที่ดี
IAM ไม่ใช่แค่เรื่องของ Username และ Password อีกต่อไป ในปี 2026 IAM ครอบคลุมตั้งแต่ Identity Governance, Privileged Access Management, Multi-Factor Authentication, Single Sign-On, Passwordless Authentication, Identity Threat Detection ไปจนถึง Decentralized Identity สำหรับ IT Admin และ Security Engineer ที่ต้องการปกป้ององค์กร การเข้าใจและ Implement IAM อย่างถูกต้องเป็นเรื่องที่หลีกเลี่ยงไม่ได้
บทความนี้จะอธิบาย IAM ตั้งแต่พื้นฐานจนถึงระดับ Advanced ครอบคลุม Component ทั้งหมด ตั้งแต่ Directory Services, Authentication Protocol, Authorization Model, PAM, Identity Lifecycle Management, IAM Platform ชั้นนำ, การ Integrate กับ Zero Trust Architecture, Compliance Requirements จนถึง Implementation Roadmap ที่สามารถนำไปใช้ได้จริง
IAM คืออะไร ทำความเข้าใจ Identity and Access Management
นิยามและขอบเขตของ IAM
Identity and Access Management (IAM) คือ Framework ของ Policy, Process และ Technology ที่ใช้จัดการ Digital Identity และควบคุมการเข้าถึง Resource ในองค์กร IAM ตอบคำถามสำคัญ 3 ข้อ คือ Who are you (Authentication คุณเป็นใคร), What can you do (Authorization คุณทำอะไรได้บ้าง) และ What did you do (Audit คุณทำอะไรไปแล้วบ้าง)
Digital Identity ในบริบทของ IAM ไม่ได้หมายถึงแค่พนักงาน แต่รวมถึง Contractor, Partner, Customer, Service Account, API Key, IoT Device, Bot และ Machine Identity ทั้งหมด ทุก Entity ที่ต้องเข้าถึง Resource ขององค์กรล้วนต้องมี Identity ที่ถูกจัดการอย่างเป็นระบบ
IAM ที่ดีต้องสร้างสมดุลระหว่าง Security (ป้องกันการเข้าถึงที่ไม่ได้รับอนุญาต), Usability (ผู้ใช้สามารถเข้าถึง Resource ที่จำเป็นได้ง่ายและรวดเร็ว), Compliance (ปฏิบัติตามกฎหมายและมาตรฐานที่เกี่ยวข้อง) และ Efficiency (ลดภาระงาน IT ในการจัดการสิทธิ์)
ส่วนประกอบหลักของ IAM
ระบบ IAM ที่สมบูรณ์ประกอบด้วย Component หลักดังนี้
Identity Management: การจัดการวงจรชีวิตของ Identity ตั้งแต่การสร้าง Account (Provisioning), การปรับเปลี่ยนสิทธิ์ (Modification), การระงับ (Suspension) จนถึงการลบ (Deprovisioning) รวมถึง Directory Services ที่เก็บข้อมูล Identity
Access Management: การควบคุมว่า Identity ใดสามารถเข้าถึง Resource ใดได้บ้าง รวมถึง Authentication (การยืนยันตัวตน) และ Authorization (การอนุญาตสิทธิ์) รวมถึง SSO (Single Sign-On) ที่ให้ผู้ใช้ Login ครั้งเดียวแล้วเข้าถึงหลาย Application ได้
Identity Governance and Administration (IGA): การกำกับดูแลและบริหาร Identity รวมถึง Access Request Workflow, Access Review/Certification, Segregation of Duties (SoD), Policy Enforcement และ Compliance Reporting
Privileged Access Management (PAM): การจัดการสิทธิ์ระดับสูงพิเศษ เช่น Admin Account, Root Access, Service Account ที่มีสิทธิ์กว้างขวาง PAM เป็น Critical Component เพราะ Privileged Account เป็นเป้าหมายหลักของ Attacker
Directory Services พื้นฐานของ IAM
Active Directory (AD)
Active Directory เป็น Directory Service จาก Microsoft ที่ใช้กันอย่างแพร่หลายในองค์กรทั่วโลกมากว่า 20 ปี AD เป็น Central Identity Store ที่เก็บข้อมูล User, Computer, Group, Organizational Unit (OU) และ Object อื่นๆ ในรูปแบบ Hierarchical Structure
AD ใช้ LDAP (Lightweight Directory Access Protocol) เป็น Protocol หลักในการ Query และ Modify ข้อมูล ใช้ Kerberos เป็น Authentication Protocol และใช้ Group Policy Object (GPO) ในการ Enforce Policy บน Computer และ User ทั้ง Domain
สิ่งสำคัญที่ IT Admin ต้องดูแลใน AD คือ Domain Controller Redundancy (ควรมี DC อย่างน้อย 2 ตัว), SYSVOL Replication, AD Security Hardening เช่น การป้องกัน Kerberoasting Attack, Golden Ticket Attack, DCSync Attack และ AD Tiering Model ที่แบ่ง Admin Level เป็น Tier 0 (Domain Admin), Tier 1 (Server Admin) และ Tier 2 (Workstation Admin)
Azure Active Directory / Microsoft Entra ID
Microsoft Entra ID (ชื่อเดิมคือ Azure Active Directory) เป็น Cloud-based Identity Platform ที่ออกแบบมาเพื่อรองรับ Modern Authentication สำหรับ Cloud Application และ Hybrid Environment ในปี 2026 องค์กรส่วนใหญ่ใช้ Entra ID ควบคู่กับ On-premises AD ผ่าน Azure AD Connect (Entra Connect) เพื่อ Sync Identity ระหว่าง Cloud และ On-premises
Entra ID มี Feature ที่เหนือกว่า Traditional AD อย่างมาก เช่น Conditional Access Policy ที่ให้กำหนดเงื่อนไขการเข้าถึงตาม Risk Level, Device Compliance, Location, Application Sensitivity และ User Behavior, Identity Protection ที่ใช้ Machine Learning ตรวจจับ Suspicious Sign-in และ Risky User, Privileged Identity Management (PIM) ที่ให้ Just-in-Time Admin Access และ Access Review ในตัว
Entra ID มี License หลายระดับ ได้แก่ Free (รวมอยู่กับ Microsoft 365), P1 (Conditional Access, Group-based Assignment) และ P2 (Identity Protection, PIM, Access Review) องค์กรที่ต้องการ IAM Feature ครบถ้วนควรใช้ P2
LDAP Directory Services อื่นๆ
นอกจาก Active Directory ยังมี Directory Service อื่นที่ใช้ในองค์กร เช่น OpenLDAP ซึ่งเป็น Open-source LDAP Server ที่นิยมใช้ในสภาพแวดล้อม Linux, FreeIPA ที่เป็น Identity Management Solution สำหรับ Linux ที่รวม LDAP, Kerberos, DNS และ Certificate Authority ไว้ด้วยกัน และ Apache Directory Server ที่เป็น Java-based LDAP Server สำหรับองค์กรที่ต้องการ Cross-platform Solution
สำหรับองค์กรที่ใช้ Multi-platform (Windows, Linux, macOS) การเลือก Directory Service ต้องพิจารณาว่า Platform ไหนรองรับ Client ของแต่ละ OS ได้ดีที่สุด ในปัจจุบัน Entra ID กลายเป็นตัวเลือกที่ดีที่สุดสำหรับ Multi-platform เพราะใช้ Modern Protocol (OAuth, OIDC) ที่ทุก OS รองรับ
Authentication ยืนยันตัวตนอย่างปลอดภัย
Multi-Factor Authentication (MFA)
MFA เป็น Security Control ที่สำคัญที่สุดในปี 2026 Microsoft รายงานว่า MFA สามารถป้องกัน Account Compromise ได้ถึง 99.9% MFA ทำงานโดยการบังคับให้ผู้ใช้ยืนยันตัวตนด้วย Factor อย่างน้อย 2 ใน 3 ประเภท ได้แก่ Something you know (Password, PIN), Something you have (Phone, Security Key, Smart Card) และ Something you are (Fingerprint, Face Recognition, Voice)
SMS OTP: เป็นวิธี MFA ที่ง่ายที่สุด ส่ง OTP ผ่าน SMS ไปยังเบอร์โทรศัพท์ แต่ในปี 2026 ไม่แนะนำให้ใช้เป็น MFA หลักเพราะ SIM Swap Attack และ SMS Interception ทำให้ SMS OTP ไม่ปลอดภัยเพียงพอ NIST และหน่วยงาน Security หลายแห่งแนะนำให้ย้ายไปใช้วิธีอื่น
Authenticator App: Application เช่น Microsoft Authenticator, Google Authenticator, Authy ที่ Generate TOTP (Time-based One-Time Password) หรือรับ Push Notification เพื่อ Approve Login แนะนำให้ใช้ Number Matching Push Notification แทน Simple Approve/Deny เพื่อป้องกัน MFA Fatigue Attack
FIDO2 Security Key: เป็น Hardware Device เช่น YubiKey, Feitian, Google Titan Key ที่ใช้ Cryptographic Challenge-Response แทน Password เป็นวิธี MFA ที่ปลอดภัยที่สุดเพราะ Phishing-resistant ไม่สามารถถูกหลอกให้ส่ง Credential ไปยัง Fake Website ได้
Biometric: การใช้ลายนิ้วมือ, ใบหน้า หรือม่านตาในการยืนยันตัวตน Windows Hello for Business รองรับ Biometric MFA ที่ผูกกับ TPM Chip บนเครื่อง ทำให้ทั้งสะดวกและปลอดภัย
Passwordless Authentication
Passwordless Authentication เป็นเทรนด์สำคัญในปี 2026 ที่มุ่งเน้นการกำจัด Password ออกจากกระบวนการ Authentication ทั้งหมด เหตุผลหลักคือ Password เป็นจุดอ่อนที่สุดของ Security ไม่ว่าจะ Enforce Password Policy อย่างไร ผู้ใช้ก็ยังคง Reuse Password, ใช้ Password ที่อ่อนแอ หรือถูก Phishing ได้
วิธี Passwordless ที่นิยมในปัจจุบัน ได้แก่ FIDO2/WebAuthn ที่ใช้ Security Key หรือ Platform Authenticator (เช่น Touch ID, Windows Hello), Microsoft Authenticator Passwordless Sign-in ที่ใช้ Phone เป็น Credential, Certificate-based Authentication ที่ใช้ Smart Card หรือ Virtual Smart Card และ Passkeys ที่เป็นมาตรฐานใหม่ที่ Apple, Google และ Microsoft ร่วมกันพัฒนา ให้ผู้ใช้ Login ด้วย Biometric บน Device โดยไม่ต้องจำ Password ใดๆ
การ Migrate ไปสู่ Passwordless ไม่สามารถทำได้ในทันที ควรเริ่มจากการ Deploy MFA ให้ครอบคลุมทุก User ก่อน จากนั้น Pilot Passwordless กับ IT Team และ Executive ก่อนขยายไปทั้งองค์กร และให้ Password เป็น Fallback Method ในช่วง Transition
Single Sign-On (SSO) และ Federation Protocol
SSO คืออะไรและทำงานอย่างไร
Single Sign-On (SSO) เป็น Authentication Mechanism ที่ให้ผู้ใช้ Login ครั้งเดียวแล้วสามารถเข้าถึง Application หลายตัวได้โดยไม่ต้อง Login ซ้ำ SSO ช่วยลดจำนวน Password ที่ผู้ใช้ต้องจำ ลด Help Desk Call สำหรับ Password Reset เพิ่ม Productivity เพราะไม่ต้องเสียเวลา Login หลายครั้ง และเพิ่ม Security เพราะ IT สามารถ Enforce Strong Authentication ที่จุดเดียว
SSO ทำงานผ่าน Identity Provider (IdP) ที่เป็น Centralized Authentication Service เมื่อผู้ใช้พยายามเข้าถึง Application (Service Provider หรือ SP) SP จะ Redirect ผู้ใช้ไปยัง IdP เพื่อ Login เมื่อ Login สำเร็จ IdP จะออก Token หรือ Assertion ส่งกลับไปยัง SP เพื่อยืนยันว่าผู้ใช้คนนี้ผ่านการ Authenticate แล้ว
SAML 2.0 (Security Assertion Markup Language)
SAML 2.0 เป็น XML-based Protocol ที่ใช้สำหรับ SSO ระหว่าง IdP และ SP SAML ใช้งานมานานกว่า 15 ปี และยังคงเป็น Standard หลักสำหรับ Enterprise SSO โดยเฉพาะกับ Web Application แบบ Traditional
SAML Flow ทำงานดังนี้ ผู้ใช้เข้า SP, SP สร้าง SAML AuthnRequest แล้ว Redirect ไปที่ IdP, ผู้ใช้ Login ที่ IdP, IdP สร้าง SAML Assertion (มีข้อมูล User, Group, Attribute) แล้ว POST กลับไปที่ SP, SP Validate Assertion แล้วให้ Access ข้อดีของ SAML คือ Mature, รองรับ Enterprise Application แทบทุกตัว และ Identity Federation ข้ามองค์กร
OAuth 2.0 และ OpenID Connect (OIDC)
OAuth 2.0 เป็น Authorization Framework ที่ออกแบบมาเพื่อให้ Application เข้าถึง Resource ของผู้ใช้โดยไม่ต้องรู้ Password เช่น การให้ App ของ Third-party เข้าถึง Google Drive ของเรา OAuth ไม่ได้ออกแบบมาสำหรับ Authentication โดยตรง จึงมี OpenID Connect (OIDC) ที่เป็น Layer บน OAuth 2.0 เพิ่ม Authentication Capability เข้าไป
OIDC เป็น Modern Protocol ที่เหมาะกับ Mobile Application, Single Page Application (SPA) และ API Access ใช้ JSON Web Token (JWT) แทน XML ของ SAML ทำให้ Lightweight และ Developer-friendly กว่า ในปี 2026 Application ใหม่ส่วนใหญ่ใช้ OIDC สำหรับ Authentication และ OAuth 2.0 สำหรับ Authorization
OAuth 2.0 มี Grant Type หลายแบบ ที่สำคัญคือ Authorization Code Flow (เหมาะกับ Web Application ที่มี Backend), Authorization Code Flow with PKCE (เหมาะกับ Mobile App และ SPA ที่ไม่มี Backend), Client Credentials Flow (เหมาะกับ Machine-to-Machine Communication) และ Device Authorization Flow (เหมาะกับ Device ที่ไม่มี Browser เช่น Smart TV, IoT Device)
การเลือก Federation Protocol
สำหรับ Enterprise Application แบบ Traditional (เช่น SAP, Salesforce Enterprise) ใช้ SAML 2.0 สำหรับ Modern Web Application และ Mobile App ใช้ OIDC สำหรับ API Protection ใช้ OAuth 2.0 สำหรับ Legacy Application ที่ไม่รองรับ Federation ใช้ Reverse Proxy หรือ Application Gateway ที่ Inject Header Authentication
Authorization Model: RBAC vs ABAC
Role-Based Access Control (RBAC)
RBAC เป็น Authorization Model ที่นิยมมากที่สุดในองค์กร RBAC กำหนดสิทธิ์การเข้าถึงตาม Role ที่ผู้ใช้ได้รับ ไม่ได้กำหนดสิทธิ์ให้ User โดยตรง แต่กำหนดให้ Role แล้ว Assign Role ให้ User
ตัวอย่าง RBAC ในองค์กร Role ชื่อ HR Manager มีสิทธิ์ Read/Write ข้อมูลพนักงานทุกคน, Approve Leave Request, Access Payroll System เมื่อ User ได้รับ Role HR Manager ก็จะได้สิทธิ์ทั้งหมดนี้โดยอัตโนมัติ เมื่อย้ายไปตำแหน่งอื่น แค่เปลี่ยน Role ก็เปลี่ยนสิทธิ์ทั้งหมด
ข้อดีของ RBAC คือ Simple to Understand, Easy to Audit, Scalable สำหรับองค์กรขนาดกลาง ข้อเสียคือเมื่อองค์กรมี Role จำนวนมาก (Role Explosion) การจัดการจะซับซ้อน เช่น องค์กรที่มี 200 ตำแหน่งงานอาจต้องสร้าง 500+ Role เพื่อรองรับ Permission ที่แตกต่างกันในแต่ละแผนก
Attribute-Based Access Control (ABAC)
ABAC เป็น Authorization Model ที่ยืดหยุ่นกว่า RBAC โดยกำหนดสิทธิ์การเข้าถึงตาม Attribute หลายตัว เช่น User Attribute (Department, Job Title, Clearance Level), Resource Attribute (Classification, Owner, Type), Action Attribute (Read, Write, Delete) และ Environment Attribute (Time, Location, Device, Network)
ตัวอย่าง ABAC Policy อาจเป็น ผู้ใช้ที่อยู่ใน Department=Finance AND Job Level>=Manager AND เข้าถึงจาก Location=Office AND ในเวลาทำงาน (8:00-18:00) สามารถ Read ข้อมูลที่มี Classification=Confidential ได้ Policy แบบนี้สามารถ Express ด้วย RBAC ได้ยากมากเพราะต้องสร้าง Role จำนวนมากเพื่อ Cover ทุก Combination
ABAC เหมาะกับองค์กรขนาดใหญ่ที่มี Complex Access Requirement และต้องการ Fine-grained Access Control แต่การ Implement และ Audit ยากกว่า RBAC หลายองค์กรใช้ Hybrid Approach โดยใช้ RBAC เป็นหลักแล้วเสริมด้วย ABAC Policy สำหรับ Edge Case
Just-in-Time (JIT) Access
Just-in-Time Access เป็น Concept ที่ให้สิทธิ์การเข้าถึงเฉพาะเมื่อต้องการใช้งานจริงและถอนสิทธิ์ออกเมื่อไม่ใช้ แทนที่จะให้ Standing Access (สิทธิ์ตลอดเวลา) ตัวอย่างเช่น IT Admin ไม่ได้มีสิทธิ์ Domain Admin ตลอดเวลา แต่เมื่อต้องการทำงานที่ต้องใช้สิทธิ์สูง จะ Request Access ผ่านระบบ PAM ได้รับอนุมัติ และได้สิทธิ์ Domain Admin เป็นเวลา 2 ชั่วโมง หลังหมดเวลา สิทธิ์จะถูกถอนอัตโนมัติ
JIT Access ลด Attack Surface อย่างมาก เพราะแม้ Attacker จะ Compromise Account ของ Admin ในช่วงที่ไม่ได้ Activate JIT ก็จะไม่มีสิทธิ์สูง ต้อง Request ผ่าน PAM ซึ่งมี Additional Verification
Privileged Access Management (PAM)
ทำไม PAM ถึงสำคัญ
Privileged Account คือ Account ที่มีสิทธิ์เข้าถึง Resource สำคัญขององค์กร เช่น Domain Admin, Root, Database Admin, Network Device Admin, Cloud Admin เหล่านี้เป็นเป้าหมายหลักของ Attacker เพราะเพียงแค่ได้ Privileged Account 1 ตัว ก็สามารถเข้าถึงข้อมูลทั้งองค์กรได้
ปัญหาที่พบบ่อยในองค์กรที่ไม่มี PAM คือ Shared Password สำหรับ Admin Account (ทุกคนใน IT Team ใช้ Password เดียวกัน), Password ไม่เคยเปลี่ยน, ไม่มี Audit Trail ว่าใครใช้ Privileged Account ทำอะไร, Service Account ที่มี Password Hard-coded ในโค้ดหรือ Script และ Admin ใช้ Privileged Account สำหรับงานปกติ (เช่น อ่าน Email ด้วย Domain Admin Account)
PAM Solution หลักในตลาด
CyberArk: เป็น Market Leader ในตลาด PAM มานานหลายปี CyberArk Privileged Access Manager มี Feature ครบถ้วนตั้งแต่ Password Vault (เก็บ Password Privileged Account ใน Encrypted Vault), Session Management (บันทึก Video ทุก Session ที่ใช้ Privileged Account), Automatic Password Rotation, Threat Analytics ที่ตรวจจับ Anomalous Privileged Activity และ Application Access Manager สำหรับจัดการ Credential ที่ Application ใช้
BeyondTrust: มี Product หลายตัว ได้แก่ Password Safe สำหรับ Privileged Credential Management, Privilege Management สำหรับ Endpoint Privilege Management (ลด Local Admin บน Workstation), Remote Support สำหรับ Secure Remote Access ของ IT Support จุดเด่นคือ Integration ที่ดีกับ ServiceNow และ ITSM Tool อื่นๆ
Delinea (เดิมคือ Thycotic + Centrify): มี Secret Server ที่เป็น Password Vault ที่ใช้งานง่าย เหมาะกับองค์กรขนาดกลาง มี Server PAM สำหรับ Unix/Linux Server, Privilege Manager สำหรับ Endpoint Privilege Management และ Connection Manager สำหรับ Secure Remote Session ข้อดีคือ Deployment ง่ายกว่า CyberArk และราคาจับต้องได้มากกว่า
HashiCorp Vault: เป็น Open-source Secret Management Tool ที่นิยมมากในสภาพแวดล้อม DevOps และ Cloud ใช้สำหรับจัดเก็บ Secret (API Key, Database Password, Certificate), Dynamic Secret Generation (สร้าง Database Credential ที่มีอายุจำกัดให้ Application), Encryption as a Service และ PKI/Certificate Management HashiCorp Vault เหมาะกับองค์กรที่มี DevOps Culture และต้องการ Automate Secret Management
PAM Best Practices
การ Implement PAM อย่างมีประสิทธิภาพควรทำตามหลักการดังนี้ Discover ทุก Privileged Account ในองค์กร (หลายองค์กรไม่รู้ด้วยซ้ำว่ามี Privileged Account กี่ตัว), Vault ทุก Privileged Password ไว้ใน PAM Solution ห้ามจำ Password ด้วยตัวเอง, Rotate Password อัตโนมัติทุก 30 วันหรือหลังทุกครั้งที่ใช้, บันทึก Session ทุกครั้งที่ใช้ Privileged Account เพื่อ Audit, ใช้ Just-in-Time Access ไม่ให้ Standing Privileged Access, แยก Privileged Account ออกจาก Daily Use Account (ห้ามใช้ Admin Account อ่าน Email) และ Review Privileged Access เป็นประจำทุกไตรมาส
Identity Lifecycle Management
Joiner Process (พนักงานเข้าใหม่)
เมื่อพนักงานใหม่เข้าทำงาน HR จะบันทึกข้อมูลใน HR System (เช่น Workday, SAP SuccessFactors, BambooHR) ระบบ IAM จะรับข้อมูลจาก HR System ผ่าน Integration (API หรือ SCIM Protocol) แล้ว Provision Account และสิทธิ์ให้โดยอัตโนมัติ
Automated Joiner Process ที่ดีควรทำงานดังนี้ HR สร้าง Record ใน HR System ระบบ IAM อ่านข้อมูล (ชื่อ, แผนก, ตำแหน่ง, วันเริ่มงาน, Manager) สร้าง Account ใน Active Directory และ Entra ID Assign Role ตาม Department และ Job Title Provision License (เช่น Microsoft 365 E3) สร้าง Email Account Provision Access ให้ Application ที่จำเป็น (ERP, CRM, Project Management) ส่ง Welcome Email พร้อม Credential และคำแนะนำการตั้ง MFA ทั้งหมดนี้ควรเกิดขึ้นก่อนวันแรกของพนักงาน
Mover Process (พนักงานย้ายตำแหน่ง)
เมื่อพนักงานย้ายแผนกหรือเลื่อนตำแหน่ง สิทธิ์ที่เคยได้รับจากตำแหน่งเดิมอาจไม่เหมาะสมอีกต่อไป ปัญหาที่พบบ่อยคือ Privilege Creep ที่พนักงานสะสมสิทธิ์จากทุกตำแหน่งที่เคยอยู่โดยไม่มีการถอนสิทธิ์เก่าออก เช่น พนักงานที่ย้ายจาก Finance ไป HR ยังคงเข้าถึง Financial System ได้อยู่
Mover Process ที่ถูกต้องควรมี Trigger จาก HR System เมื่อมีการเปลี่ยนตำแหน่ง ระบบ IAM ควร Revoke สิทธิ์จาก Role เดิมทั้งหมด Assign สิทธิ์ใหม่ตาม Role ใหม่ แจ้ง Manager ใหม่และเก่าให้ Review สิทธิ์ ถ้ามี Exception ที่ต้องการเข้าถึง Resource เดิม ต้องมี Manager Approval ชัดเจน
Leaver Process (พนักงานลาออก)
Leaver Process เป็น Process ที่สำคัญที่สุดจากมุมมอง Security เพราะ Account ที่ไม่ได้ถูก Disable หลังพนักงานลาออก (Orphan Account) เป็นช่องทางที่ Attacker หรืออดีตพนักงานสามารถใช้เข้าถึงข้อมูลองค์กรได้
Leaver Process ควรทำทันทีในวันสุดท้ายของพนักงาน (หรือทันทีกรณี Termination) ขั้นตอนคือ Disable Account ทั้งหมด (AD, Entra ID, Email) ห้าม Delete ทันทีเพราะอาจต้องการ Data Retention, Revoke MFA Token และ Authenticator, Revoke Active Session ทุก Application, Block Sign-in จาก Device ทั้งหมด, Wipe Corporate Data จาก Mobile Device (ผ่าน MDM/Intune), Transfer Ownership ของ File, Email, Project ไปยัง Manager, Archive Email และ OneDrive Data ตาม Retention Policy และ Disable VPN, Remote Access ทั้งหมด
Access Review และ Certification
ทำไมต้องทำ Access Review
Access Review (หรือ Access Certification) คือกระบวนการตรวจสอบว่าสิทธิ์ที่ผู้ใช้มีอยู่ยังคงเหมาะสมหรือไม่ เป็น Requirement ของ Compliance Standard หลายตัว เช่น SOX (Sarbanes-Oxley) กำหนดให้ Review Access ของระบบ Financial ทุกไตรมาส, ISO 27001 Control A.9.2.5 กำหนด Review of User Access Rights, PDPA (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) กำหนดให้ควบคุมการเข้าถึงข้อมูลส่วนบุคคลอย่างเหมาะสม
Access Review ที่ดีควรทำเป็น Periodic (เช่น ทุก 90 วัน) และ Event-driven (เมื่อมีการเปลี่ยนตำแหน่ง) Manager ของแต่ละ Team เป็นคน Review สิทธิ์ของ Team Member ระบบ IAM จะแสดงรายการสิทธิ์ทั้งหมดของแต่ละคน Manager ตัดสินใจ Certify (ยืนยันว่าเหมาะสม) หรือ Revoke (ถอนสิทธิ์) สำหรับ Privileged Access ควร Review ถี่กว่า เช่น ทุก 30 วัน
Automation ของ Access Review
การทำ Access Review แบบ Manual ด้วย Spreadsheet เป็นเรื่องที่ยุ่งยากและ Error-prone มาก องค์กรควรใช้ IAM Platform ที่มี Built-in Access Review Feature เช่น Microsoft Entra ID Access Reviews (สำหรับ Azure AD Group, Application, Entra ID Role), SailPoint IdentityNow, Saviynt, CyberArk Identity Governance หรือ One Identity ที่สามารถ Automate ทั้ง Review Cycle, Notification ถึง Manager, Auto-revoke สิทธิ์ที่ไม่ได้ Certify และ Compliance Report
IAM Platform ชั้นนำในปี 2026
Okta
Okta เป็น Cloud-native Identity Platform ที่เป็น Leader ในตลาด IAM มาหลายปี Okta มี Product หลัก ได้แก่ Workforce Identity Cloud สำหรับจัดการ Identity ของพนักงาน (SSO, MFA, Lifecycle Management, Universal Directory) และ Customer Identity Cloud (Auth0) สำหรับจัดการ Identity ของลูกค้าใน Application ที่องค์กรพัฒนา
จุดเด่นของ Okta คือ Integration ที่กว้างมาก มี Pre-built Connector กับ Application กว่า 7,000 ตัว ทำให้ SSO และ Provisioning ง่ายมาก Okta Workflows ให้สร้าง Automation แบบ No-code/Low-code ได้ เช่น เมื่อ User ถูก Deactivate ให้ส่ง Notification ไปยัง Slack และ Archive Data อัตโนมัติ
Ping Identity
Ping Identity เป็น IAM Platform ที่เน้น Enterprise ขนาดใหญ่ มี Product ครอบคลุมทั้ง SSO (PingFederate), MFA (PingID), Directory (PingDirectory), API Security (PingAccess), Identity Governance (PingOne Identity Governance) จุดเด่นคือรองรับ Hybrid Deployment ได้ดี (On-premises + Cloud) เหมาะกับองค์กรที่ไม่สามารถย้ายไป Cloud ได้ทั้งหมด
ForgeRock
ForgeRock เป็น Identity Platform ที่เน้น Customer Identity และ IoT Identity มี Feature ที่โดดเด่นคือ Identity Tree ที่ให้สร้าง Authentication Flow แบบ Visual, AI-driven Identity Governance และ IoT Edge Controller สำหรับจัดการ Identity ของ IoT Device ForgeRock เป็นที่นิยมในอุตสาหกรรม Banking, Healthcare และ Telecom
Microsoft Entra
Microsoft Entra เป็น Identity Platform ที่ครอบคลุมที่สุดสำหรับองค์กรที่ใช้ Microsoft Ecosystem ประกอบด้วย Entra ID (Cloud Identity), Entra ID Governance (Access Lifecycle, Access Reviews, Entitlement Management), Entra Permissions Management (Cloud Infrastructure Entitlement Management), Entra Verified ID (Decentralized Identity) และ Entra Workload ID (Machine Identity Management)
ข้อดีของ Entra คือ Integration ที่ Seamless กับ Microsoft 365, Azure, Defender for Cloud Apps และ Intune ทำให้เป็น End-to-End Solution สำหรับ Microsoft Shop แต่สำหรับองค์กรที่ใช้ Multi-cloud หรือมี Non-Microsoft Application จำนวนมาก Okta หรือ Ping Identity อาจเป็นตัวเลือกที่ดีกว่า
IAM กับ Zero Trust Architecture
Identity เป็น New Perimeter
ในยุค Zero Trust Security ที่ไม่เชื่อใจ Network Location อีกต่อไป Identity กลายเป็น Perimeter ใหม่ของ Security ทุก Access Request ต้องถูก Verify โดยอาศัย Identity เป็นหลัก ไม่ว่าจะเข้าถึงจาก Network ภายในหรือภายนอก
Zero Trust ใช้ IAM เป็น Foundation ดังนี้ Strong Authentication (MFA/Passwordless) สำหรับทุก User และทุก Access Request, Conditional Access ที่ Evaluate Risk ก่อนให้ Access ทุกครั้ง (เช่น ถ้า Sign-in จาก Location ใหม่ + Device ที่ไม่รู้จัก = ต้อง MFA + Manager Approval), Least Privilege Access ให้สิทธิ์น้อยที่สุดที่จำเป็นต่อการทำงาน, Continuous Evaluation ไม่ใช่แค่ Verify ตอน Login แต่ Monitor ตลอด Session ถ้าพบ Anomaly ให้ Revoke ทันที
Continuous Access Evaluation Protocol (CAEP)
CAEP เป็น Standard ใหม่ที่ช่วยให้ IdP และ SP สามารถแลกเปลี่ยน Security Event แบบ Real-time เช่น เมื่อ Admin Disable User Account ใน Entra ID ข้อมูลนี้จะถูกส่งไปยังทุก Application ที่ User กำลังใช้งานอยู่ทันที ทำให้ Session ถูก Revoke ภายในวินาที แทนที่จะต้องรอจนกว่า Token หมดอายุ (ซึ่งอาจนานหลายชั่วโมง)
Microsoft Entra ID รองรับ CAEP แล้วกับ Microsoft 365 Application ส่วน Okta และ Ping Identity ก็กำลังพัฒนา CAEP Support ในปี 2026 CAEP จะกลายเป็น Standard ที่ IAM Platform ทุกตัวรองรับ
IAM กับ Compliance: PDPA และ ISO 27001
PDPA และ IAM
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) กำหนดให้องค์กรต้องมีมาตรการรักษาความปลอดภัยที่เหมาะสมในการปกป้องข้อมูลส่วนบุคคล IAM มีบทบาทสำคัญในการปฏิบัติตาม PDPA ดังนี้
Access Control ต้องจำกัดการเข้าถึงข้อมูลส่วนบุคคลเฉพาะผู้ที่มีความจำเป็น (Least Privilege) ใช้ RBAC/ABAC เพื่อควบคุม ทำ Access Review เป็นประจำ Audit Trail ต้องบันทึกว่าใครเข้าถึงข้อมูลส่วนบุคคลเมื่อไหร่ ทำอะไร ต้องสามารถตอบคำถาม Data Subject (เจ้าของข้อมูล) ได้ว่าข้อมูลถูกเข้าถึงโดยใครบ้าง Data Breach Response ต้อง Revoke Access ได้ทันทีเมื่อพบ Breach ต้องมี Process ในการแจ้ง สคส. ภายใน 72 ชั่วโมง
ISO 27001 Controls ที่เกี่ยวกับ IAM
ISO 27001:2022 มี Control หลายตัวที่เกี่ยวข้องกับ IAM โดยตรง ได้แก่ A.5.15 Access Control กำหนด Access Control Policy, A.5.16 Identity Management ต้องมี Process จัดการ Identity ตลอด Lifecycle, A.5.17 Authentication Information ต้องจัดการ Password และ Authentication Credential อย่างปลอดภัย, A.5.18 Access Rights ต้อง Provision และ Revoke Access Rights ตาม Policy, A.8.2 Privileged Access Rights ต้องจำกัดและควบคุม Privileged Access, A.8.5 Secure Authentication ต้องใช้ Secure Authentication Method เช่น MFA
การ Implement IAM ที่ดีจะช่วยให้องค์กร Comply กับ ISO 27001 Control เหล่านี้ได้อย่างเป็นธรรมชาติ และ IAM Platform ส่วนใหญ่มี Compliance Report ที่ Map กับ ISO 27001 Control ให้ Auditor สามารถ Review ได้ง่าย
IAM Implementation Roadmap
Phase 1: Foundation (เดือนที่ 1-3)
เริ่มจากการประเมินสถานะปัจจุบัน ทำ Identity Inventory สำรวจว่าองค์กรมี User Account, Service Account, Admin Account ทั้งหมดกี่ตัว อยู่ที่ไหนบ้าง (AD, LDAP, Local Account, Cloud Application) มี Orphan Account กี่ตัว มี Shared Account กี่ตัว
Deploy MFA ให้ครอบคลุมทุก User โดยเริ่มจาก Admin Account ก่อน (ภายในสัปดาห์แรก) จากนั้นขยายไปยัง Executive และ User ทั่วไป ใช้ Microsoft Authenticator, Google Authenticator หรือ FIDO2 Key ตามความเหมาะสม
จัดระเบียบ Active Directory ทำ AD Cleanup ลบ Orphan Account, Disable Inactive Account ที่ไม่ได้ Login เกิน 90 วัน, จัดโครงสร้าง OU ให้เรียบร้อย, Implement AD Tiering Model
Phase 2: SSO และ Access Management (เดือนที่ 3-6)
Deploy SSO สำหรับ Application หลักขององค์กร เลือก IdP (Entra ID, Okta, Ping Identity) ตาม Ecosystem ที่ใช้ Integrate Application ทีละตัว เริ่มจาก Application ที่รองรับ SAML/OIDC สำเร็จรูป ตั้ง Conditional Access Policy เช่น Block Legacy Authentication, Require MFA from Untrusted Network, Block Access from Non-compliant Device
Implement Automated Provisioning/Deprovisioning เชื่อม HR System กับ IAM Platform ใช้ SCIM Protocol สำหรับ Provisioning Application ที่รองรับ ตั้ง Lifecycle Workflow สำหรับ Joiner, Mover, Leaver
Phase 3: Privileged Access Management (เดือนที่ 6-9)
Deploy PAM Solution (CyberArk, BeyondTrust, Delinea หรือ HashiCorp Vault) เริ่มจาก Discover ทุก Privileged Account Vault Password ของ Domain Admin, Root, Database Admin ก่อน ตั้ง Password Rotation Policy Enable Session Recording สำหรับทุก Privileged Session Implement Just-in-Time Access สำหรับ Admin
Phase 4: Governance และ Continuous Improvement (เดือนที่ 9-12)
Implement Access Review Process ตั้ง Quarterly Review สำหรับ Regular Access และ Monthly Review สำหรับ Privileged Access ใช้ IAM Platform ที่มี Built-in Access Review Feature เพื่อ Automate Process
Deploy Identity Threat Detection ใช้ Entra ID Identity Protection หรือ CrowdStrike Identity Threat Detection เพื่อตรวจจับ Suspicious Identity Activity เช่น Impossible Travel, Password Spray, Token Theft
Review และ Optimize Policy อย่างต่อเนื่อง วัด KPI เช่น MFA Adoption Rate, Average Time to Provision/Deprovision, Number of Orphan Accounts, Access Review Completion Rate และ Mean Time to Revoke Access after Termination
Machine Identity Management
Service Account และ Non-Human Identity
ในองค์กรปัจจุบัน Non-Human Identity (Service Account, API Key, Bot, IoT Device) มีจำนวนมากกว่า Human Identity หลายเท่า และมักมี Privilege สูงกว่า Human Identity ด้วย (เพราะต้อง Access หลาย System) แต่กลับได้รับการดูแลน้อยกว่า
ปัญหาที่พบบ่อยกับ Non-Human Identity คือ Service Account ที่ไม่มีใครรับผิดชอบ (No Owner), API Key ที่ไม่เคย Rotate, Hard-coded Credential ใน Source Code, Over-privileged Service Account ที่มีสิทธิ์มากเกินความจำเป็น และ Certificate ที่หมดอายุแล้วไม่มีใคร Renew
Best Practice สำหรับ Machine Identity Management คือ Inventory ทุก Non-Human Identity, กำหนด Owner สำหรับทุก Service Account, ใช้ Secret Management Tool (HashiCorp Vault, Azure Key Vault, AWS Secrets Manager) แทนการ Hard-code Credential, Rotate Credential อัตโนมัติ, ใช้ Managed Identity หรือ Workload Identity Federation แทน Static Credential เมื่อเป็นไปได้ และ Monitor Activity ของ Non-Human Identity เช่นเดียวกับ Human Identity
IAM สำหรับ Multi-Cloud Environment
ความท้าทายของ IAM ใน Multi-Cloud
องค์กรในปี 2026 ส่วนใหญ่ใช้ Cloud มากกว่า 1 Provider (Azure + AWS, Azure + GCP, หรือทั้ง 3 Platform) แต่ละ Cloud Provider มี IAM System ของตัวเอง (Azure AD/Entra ID, AWS IAM, Google Cloud IAM) ที่มี Concept และ Terminology ที่แตกต่างกัน
ความท้าทายหลักคือ Inconsistent Access Policy ข้าม Cloud (Policy ที่ Enforce ใน Azure อาจไม่มีใน AWS), Over-privileged Cloud Identity (ให้สิทธิ์ Admin เกินความจำเป็นเพื่อให้ง่ายในการ Deploy), ไม่มี Centralized Visibility ว่าใครมีสิทธิ์อะไรใน Cloud ไหน และ Permission Creep เมื่อ Developer ขอสิทธิ์เพิ่มเรื่อยๆ แต่ไม่มีใคร Review
Cloud Infrastructure Entitlement Management (CIEM)
CIEM เป็น Category ใหม่ของ Security Tool ที่ช่วยจัดการ Permission ใน Cloud ทำหน้าที่ Discover ทุก Identity ใน Multi-Cloud Environment, Analyze Permission ว่าแต่ละ Identity ใช้สิทธิ์ที่มีอยู่กี่เปอร์เซ็นต์ (Usage Analytics), Recommend Right-sizing (ลดสิทธิ์ที่ไม่ได้ใช้), Detect Anomalous Permission Usage และ Automate Remediation
Microsoft Entra Permissions Management, CrowdStrike Falcon Cloud Security, Wiz, Orca Security และ Prisma Cloud ล้วนมี CIEM Feature สำหรับ Multi-Cloud
Identity Threat Detection and Response (ITDR)
ITDR คืออะไร
ITDR เป็น Category ใหม่ที่ Gartner Define ในปี 2022 เน้นการตรวจจับและตอบสนองต่อ Identity-based Attack เช่น Credential Theft, Lateral Movement ด้วย Stolen Token, Privilege Escalation, Golden Ticket Attack, Kerberoasting และ MFA Bypass
ITDR ทำงานโดยการ Monitor Activity ของ Identity ทั้ง On-premises (AD) และ Cloud (Entra ID, Okta) ใช้ Machine Learning วิเคราะห์ Behavior ตรวจจับ Anomaly เช่น Login จาก Location ที่ไม่เคยไปมาก่อน, การใช้ Privileged Command ที่ผิดปกติ, การสร้าง Account จำนวนมากใน Short Time หรือ Access Pattern ที่ต่างจาก Baseline
Product ที่มี ITDR Capability ได้แก่ Microsoft Defender for Identity, CrowdStrike Falcon Identity Threat Detection, Semperis Directory Services Protector, Attivo Networks (ถูก SentinelOne ซื้อไป) และ Silverfort
Decentralized Identity และ Verifiable Credentials
อนาคตของ Identity
Decentralized Identity เป็น Concept ที่กำลังเติบโตในปี 2026 แนวคิดคือแทนที่จะให้องค์กรหรือ Platform เป็นผู้ควบคุม Identity ของผู้ใช้ ผู้ใช้เองเป็นเจ้าของและควบคุม Identity ของตัวเอง (Self-Sovereign Identity) โดยใช้ Verifiable Credentials ที่ออกโดยหน่วยงานที่น่าเชื่อถือ (เช่น มหาวิทยาลัยออก Verifiable Diploma, รัฐบาลออก Verifiable ID Card)
Microsoft Entra Verified ID เป็น Commercial Implementation ของ Decentralized Identity ที่องค์กรสามารถ Issue และ Verify Credentials ได้ ตัวอย่างการใช้งาน เช่น บริษัทสามารถ Verify ว่าผู้สมัครงานจบจากมหาวิทยาลัยจริงโดยที่ผู้สมัครเป็นคน Share Credential เอง โดยไม่ต้องให้บริษัทติดต่อมหาวิทยาลัยโดยตรง
สรุป IAM Implementation Checklist
สำหรับ IT Admin ที่ต้องการเริ่มต้น Implement IAM ในองค์กร นี่คือ Checklist สำคัญ
ทำ Identity Inventory สำรวจ User Account, Service Account, Admin Account ทั้งหมด Deploy MFA สำหรับทุก User โดยเฉพาะ Admin Account (ทำทันที) จัดระเบียบ Active Directory ลบ Orphan Account, Disable Inactive Account Deploy SSO สำหรับ Application หลัก ใช้ SAML/OIDC Implement Automated Provisioning/Deprovisioning เชื่อมกับ HR System Deploy PAM Solution สำหรับ Privileged Account Implement Access Review Process ทำ Quarterly Review ตั้ง Conditional Access Policy สำหรับ Zero Trust Deploy Identity Threat Detection Monitor KPI และ Optimize อย่างต่อเนื่อง
IAM ไม่ใช่ Project ที่ทำครั้งเดียวแล้วจบ แต่เป็น Ongoing Program ที่ต้อง Evolve ตาม Threat Landscape, Technology และ Business Requirement องค์กรที่ Invest ใน IAM อย่างจริงจังจะมี Security Posture ที่แข็งแกร่ง, ลดความเสี่ยงจาก Data Breach, ปฏิบัติตาม Compliance ได้ง่าย และเพิ่ม Productivity ให้พนักงานในเวลาเดียวกัน
