误区一：IAM就是口令管理

许多人一提到IAM，以为就是对用户登录的用户名、密码的统一管理，而且与单一口令登录（SSO）画上了等号。但实际上，一套完整的IAM系统应该包括以下几个部分：

身份管理方面包括：口令管理、用户名管理、虚拟身份管理、目录管理、供应管理等5个方面；访问管理方面包括：联合访问管理、应用系统管理、Web服务管理、Web网站管理、操作系统管理以及企业中的单一口令登录（SSO）管理。这11个部件组成了一个完整的IAM系统，任何片面强调其中一个产品的方案都是不完整的。

误区二：IAM就是安全管理

事实上，IT管理包括安全管理，而安全管理则包括身份识别与访问控制管理。人们常常谈到的安全管理包括三个方面的内容：信息安全管理、安全威胁管理和身份识别与访问控制管理（IAM）。

IAM是安全管理中的一个部分，但不是首要的部分。其中，安全威胁管理对于一个企业来说是最基本的，是为了抵御和提前预防各种安全威胁而部署的设备，然后再根据自身的需求，选择是重点投入身份识别与访问控制管理还是信息安全管理。

误区三：IAM缺乏标准

实际上，认为IAM缺乏标准也是一个误区，IAM目前存在着一些事实上的标准。

一个好的IAM必须具备三个特点：全面性（Completed）、集成性（Integrated）和开放性（Open）。所谓全面性，就是上面所说的，必须包括11个完整的部件；所谓集成性，就是这些部件必须成为一个互相沟通的整体，而不是分离的部件；所谓开放性，就是必须要有通用的开放接口，能通过简单、灵活的开发，与各种应用系统紧密连接，能与竞争对手的产品实现互联互通。