حوكمة الهوية IGA تجاوب على سؤال واحد كبير يقلق كل CISO وكل مدقّق: مَن يملك صلاحية الوصول إلى ماذا، ولماذا، وهل ما زال يستحقها؟ هي تختلف عن مجرد IAM التشغيلي الذي يسجّل الدخول؛ IGA تضيف طبقة الحوكمة والمراجعة والـ audit فوقها. كعضو presales، شغلك أن تربط هذه القدرة بمخاطر تجارية ملموسة وبمتطلبات تنظيمية في الخليج مثل NCA ECC وSAMA CSF وPDPL.

• 1افصل المفهومين للعميل: IAM يجيب على "مَن أنت ودخّلني" (authentication و SSO)، بينما IGA يجيب على "هل يجب أن تملك هذا الوصول أصلاً" عبر provisioning محكوم ومراجعات وصول وفصل المهام SoD.
• 2اشرح دورة حياة الهوية كاملة Joiner-Mover-Leaver: عند التعيين يُمنح الموظف الوصول تلقائياً حسب دوره، عند النقل تتعدّل صلاحياته، وعند المغادرة تُسحب فوراً — وهذه أكبر فجوة أمنية في أغلب عملاء الخليج.
• 3موضِع مراجعات وشهادات الوصول Access Certifications كأداة الامتثال الأولى: حملات دورية يصادق فيها المدير على وصول فريقه، فتنتج دليلاً جاهزاً للمدقّق وتزيل "الوصول الزائد" المتراكم بصمت.
• 4اربط القيمة بأرقام يفهمها صاحب القرار: تقليص وقت onboarding من أيام إلى دقائق، إزالة الحسابات اليتيمة orphaned accounts، وتقليل ساعات إعداد تقارير التدقيق اليدوية التي تكلّف فرق الـ IT أسابيع كل سنة.
• 5احذر من خطأ التموضع الشائع: لا تبِع IGA كمشروع "تقني" بل كمشروع "حوكمة ومخاطر" يخصّ الـ GRC والتدقيق الداخلي؛ راعي الميزانية الحقيقي غالباً CISO أو رئيس المخاطر، لا فريق البنية التحتية.

• معمارياً، منصة IGA تجلس فوق مصادر الحقيقة (HR مثل SAP SuccessFactors كمصدر authoritative) وتتصل بالأنظمة المستهدفة عبر connectors؛ محرك السياسات يطبّق role-based access RBAC وقواعد SoD، ومحرك سير العمل يدير الموافقات والحملات. هذا الفصل بين "مصدر الهوية" و"الأنظمة المُدارة" هو ما يجب أن يفهمه المهندس المعماري عند العميل.
• مقارنة المنافسين بإيجاز: SailPoint (الآن Identity Security Cloud) هو القائد في الحوكمة العميقة والـ AI-driven access modeling لكنه الأغلى والأعقد؛ Oracle Identity Governance (OIG) قوي حيث توجد بيئة Oracle ضخمة (DB, EBS) لكنه ثقيل on-prem وتقادم نسبياً؛ Microsoft Entra ID Governance أرخص وأسرع تبنّياً للعملاء المُستثمرين أصلاً في M365 لكنه يضعف خارج عالم Microsoft. اختيارك يتبع نضج العميل وبيئته القائمة.
• سياق الخليج والتنظيم: في السعودية، NCA Essential Cybersecurity Controls تطلب صراحة إدارة هوية ووصول محكومة ومراجعات دورية، وSAMA Cybersecurity Framework يفرض ذلك على القطاع المالي، وPDPL يضيف بُعد حماية البيانات الشخصية. اربط كل ميزة IGA بضابط محدد، وادفع نحو نشر سحابي/هجين متوافق مع متطلبات data residency داخل المملكة — هذه هي اللغة التي تفتح ميزانيات Vision 2030.