สารบัญ
มาถึงบทใหญ่ที่สุดของ Domain 5 แล้วครับ และน่าจะใหญ่สุดของทั้งซีรีส์เลยด้วย
Section 5.3 — Identity and Access Management (IAM) — เนื้อหาใน CRM ใหญ่กว่าทุก section อื่นใน Domain 5 เท่าตัว
📚 บทนี้ถ้าอ่าน CyberSecurity Foundation Part 2 (Identity) มาก่อน จะง่ายมาก: EP.10 IAM Lifecycle, EP.14 Kerberos, EP.15 Federation/SSO, EP.16 Authorization (RBAC/ABAC), EP.17 PAM & Zero Trust
เหตุผลที่ใหญ่ขนาดนี้ก็เพราะ IAM คือหัวใจของการป้องกันข้อมูล ไม่ว่าระบบจะใช้ encryption ดีแค่ไหน firewall ดีแค่ไหน ถ้าคนผิดเข้าระบบได้ในฐานะคนถูก ทุก control อื่นก็ไร้ความหมายหมด
ในมุมบ้านดิจิทัล IAM คือระบบกุญแจ บัตรเข้า และทะเบียนคนในบ้านทั้งหมด ใครเข้าได้ ใครเข้าไม่ได้ ใครเข้าห้องไหน เวลาใด แล้วก็เก็บประวัติว่าใครเข้าเมื่อไหร่ด้วย
บทนี้ยาวกว่าบทอื่น แบ่งเป็น 4 ส่วน:
- IAM lifecycle — กระบวนการตั้งแต่รับคนเข้าจนคนออก
- AAA — Authentication / Authorization / Accountability
- Zero Trust Architecture (ZTA) + PAM
- Access Control Types + IGA / IDaaS
ส่วนที่ 1 — IAM Lifecycle: กุญแจที่แจกแล้วต้องเรียกคืนได้
ปัญหาหลัก: กุญแจสะสม
ลองนึก scenario ที่ทำ access review ครั้งแรกในบริษัทใหญ่ — มักเจอพนักงานคนแบบนี้:
- เข้า ERP ในฐานะ accounting clerk (ตำแหน่งปัจจุบัน)
- เข้า HR system ในฐานะ HR officer (ตำแหน่งเก่าเมื่อ 2 ปีก่อน)
- เข้า inventory system ในฐานะ warehouse supervisor (ตำแหน่งเก่ากว่า เมื่อ 4 ปีก่อน)
- เข้า admin console ของ email server (ตำแหน่งช่วยทดลองช่วงโควิด)
พนักงานคนนี้ไม่ใช่คนไม่ดีนะครับ เธอแค่ทำงานในบริษัทมานาน ทุกครั้งที่ย้ายแผนก ฝ่าย IT ให้สิทธิ์ใหม่ แต่ไม่เคยเพิกถอนสิทธิ์เก่า
นี่แหละ privilege creep ปัญหาที่พบบ่อยที่สุดในการตรวจ IAM และเป็นเหตุผลที่ต้องมี IAM lifecycle
IAM Lifecycle 5 ขั้นตอน
Enrollment → Role Determination → Provisioning → Review/Update → DeprovisioningEnrollment — รับคนเข้าระบบครั้งแรก ตรวจตัวตน ออก credentials เริ่มต้น
Role Determination — กำหนดบทบาท คนนี้ทำหน้าที่อะไร เข้าระบบไหนได้บ้าง สิทธิ์ระดับไหน
Provisioning — ออกสิทธิ์จริงในระบบ — สร้าง user, ให้ permissions, แจกอุปกรณ์
Review/Update — ตรวจซ้ำเป็นระยะว่าสิทธิ์ที่มีอยู่ยังเหมาะกับบทบาทปัจจุบันไหม
- พนักงานทั่วไป — ทุก 6 เดือน
- Privileged accounts (admin) — ทุก 3 เดือน
Deprovisioning — เพิกถอนสิทธิ์เมื่อพนักงานออก ย้ายแผนก หรือเปลี่ยนบทบาท
ถ้าครบ 5 ขั้น = lifecycle ทำงาน ถ้าขาดขั้นไหน = privilege creep หรือ orphan account
Trap คลาสสิก: เร่งด่วนแค่ไหน?
ข้อสอบมักถามว่า “พนักงานถูกเลิกจ้าง — IAM action ที่ urgent ที่สุด?”
หลอก: แจ้ง HR จริง: เพิกถอน access ทุกอย่างทันที (ทั้ง logical และ physical)
หลักคือ ระยะเวลาระหว่างที่พนักงานรู้ว่าตัวเองถูกเลิก กับเวลาที่ access ถูกเพิกถอน คือ window of unauthorized access หน้าต่างที่อันตรายที่สุด
บางบริษัทจริงจังขนาดเพิกถอน access ก่อนเรียกพนักงานเข้ามาฟังคำเลิกจ้างเลย
Auditor มอง IAM Lifecycle ยังไง
- มี automated deprovisioning process ไหม (ผูกกับ HR system)
- Access review ทำตามรอบที่กำหนดไหม
- มี evidence ของการ review หรือเป็นแค่ rubber stamp
- Orphan accounts (user ที่ไม่มีเจ้าของแล้ว) มีกี่ตัว และจัดการยังไง
ส่วนที่ 2 — AAA: Authentication, Authorization, Accountability
หลายระบบทำผิดตรงนี้ ทำ Authentication ดี (พิสูจน์ว่าคุณเป็นใคร) แต่อ่อน Authorization (คุณทำอะไรได้บ้าง) แล้วก็ไม่มี Accountability เลย (ใครทำอะไรเมื่อไหร่)
ลองนึกร้านที่ตรวจบัตรประชาชนตอนเข้า แต่ไม่มีพนักงานเดินดู เข้ามาแล้วทำอะไรก็ได้ แล้วก็ไม่มีใครรู้ว่าใครหยิบของอะไรไป
Authentication — พิสูจน์ตัวตน
3 factors คลาสสิก:
- Something you know — รหัสผ่าน, PIN
- Something you have — token, smart card, มือถือที่รับ OTP
- Something you are — biometric (ลายนิ้วมือ, ใบหน้า, ม่านตา)
MFA (Multi-Factor Authentication) = ใช้ 2 factors ขึ้นไปจาก คนละกลุ่ม ไม่ใช่ password 2 อัน
หลักสำคัญคือ password อย่างเดียวเป็นวิธี authenticate ที่อ่อนที่สุด เพราะ password ถูกขโมยได้ทุกวิธีเลย (phishing, keylogger, brute force, leaked database)
Directory Services — ฐานข้อมูลของ identity
ก่อน SSO + Federation ต้องเข้าใจ infrastructure ที่อยู่ข้างใต้ก่อน — directory service = ฐานข้อมูลที่เก็บ identity ขององค์กร
LDAP — Protocol มาตรฐาน
LDAP (Lightweight Directory Access Protocol) = protocol สำหรับ query/manage directory data
ลักษณะ:
- ข้อมูลเก็บเป็น hierarchical tree (organization → department → user)
- Standard schema สำหรับ user attributes (uid, cn, mail, memberOf)
- Port 389 (plain), 636 (LDAPS — encrypted)
LDAP injection = attack ที่ฝัง LDAP query ใน input field (เหมือน SQL injection แต่กับ directory)
Active Directory — Implementation ของ Microsoft
Active Directory (AD) = directory service ของ Microsoft ที่ใช้แพร่หลายในองค์กร enterprise
หน้าที่:
- เก็บ user, group, computer
- Enforce policy ผ่าน Group Policy Object (GPO)
- Authenticate user ใน Windows domain
- Trust relationship ระหว่าง domain
ในมุม audit AD compromise = enterprise compromise เพราะ AD รู้ทุก user + ทุก permission
Kerberos — Authentication Protocol
Kerberos = ticket-based authentication ที่ AD + UNIX/Linux ใช้
หลักการ (สั้น ๆ):
- User authenticate ครั้งเดียวกับ Key Distribution Center (KDC)
- KDC ออก Ticket Granting Ticket (TGT)
- ทุกครั้งที่จะเข้า service — ใช้ TGT แลก Service Ticket
- ใช้ Service Ticket เข้า service โดยไม่ต้อง re-enter password
จุดอ่อน:
- Pass-the-ticket attack — ขโมย ticket จาก memory ใช้แทน user
- Golden Ticket — ถ้า attacker ได้ KDC’s master key (krbtgt account hash) → สร้าง ticket ปลอมที่ valid อายุ 10 ปี
กับดักของ exam: Kerberos = secure ไหม? Yes ถ้า implement ถูก (clock sync, strong krbtgt password, regular rotation) แต่ misconfiguration เป็นสาเหตุของ AD compromise ส่วนใหญ่
SSO — สะดวกแลกความเสี่ยง
Single Sign-On (SSO) = login ครั้งเดียว เข้าได้หลายระบบ
ข้อดี: สะดวก ลด password fatigue (พนักงานไม่ต้องจำ 20 password) จัดการ IAM ง่าย
ข้อเสียที่ออกข้อสอบบ่อยคือ single point of failure ถ้า credentials ของ SSO หลุด = เข้าได้ทุกระบบ ไม่ใช่แค่ระบบเดียว
ทางแก้: SSO + MFA = บังคับเสมอ
Federation — SSO ข้ามองค์กร / ข้ามระบบ
Federation = SSO ที่ขยายข้าม trust boundaries — login ที่บริษัท A ใช้ใน SaaS ของบริษัท B ได้
ตัวอย่าง: login ด้วย corporate credential เข้า Salesforce, ServiceNow, Slack ทั้งหมดที่ใช้ federation protocol
SAML — Federation มาตรฐานสำหรับ Enterprise
SAML (Security Assertion Markup Language) = XML-based protocol สำหรับ exchange authentication + authorization data
3 actors:
- User — คนที่จะ login
- IdP (Identity Provider) — ที่เก็บ identity (เช่น Okta, Azure AD)
- SP (Service Provider) — application ที่ user ต้องการเข้า (เช่น Salesforce)
flow:
- User ไปที่ SP → SP redirect ไป IdP
- IdP authenticate user → ออก SAML assertion (มี user identity + attributes)
- User กลับ SP พร้อม assertion → SP verify signature → grant access
OAuth 2.0 — Authorization (ไม่ใช่ Authentication)
OAuth 2.0 = framework สำหรับ delegated authorization
กับดักใหญ่: OAuth ≠ authentication มันเป็น authorization protocol ที่ให้ third-party app เข้า resource ของ user โดยไม่ต้องรู้ password
ตัวอย่าง: app ขอเข้า Google Drive ของคุณ Google ออก access token ให้ app แทนที่จะให้ password ของคุณ
flow:
- App redirect user ไป Authorization Server
- User authenticate + consent ว่าจะให้ scope ใด
- Authorization Server ออก authorization code
- App แลก code เป็น access token
- App ใช้ token เรียก API
OpenID Connect (OIDC) — Authentication on top of OAuth
OIDC = layer ที่เพิ่ม authentication ให้ OAuth ออก ID token (JWT) ที่ระบุว่า user เป็นใคร
ปัจจุบัน OIDC คือ standard ของ “Login with Google / Facebook / Apple”
SCIM — Provisioning Standard
SCIM (System for Cross-domain Identity Management) = standard protocol สำหรับ automate user provisioning/deprovisioning ข้าม system
ตัวอย่าง: HR สร้าง employee ใน HRMS → SCIM auto-provision account ใน Salesforce, Slack, Office 365 พร้อมกัน → พนักงานออก → SCIM auto-deprovision ทุกที่
มุม IS auditor: องค์กรที่มี SaaS หลายตัวแต่ provisioning ยัง manual = privilege creep + orphan account แน่นอน verify ว่ามี SCIM (หรือ equivalent automation) หรือไม่
Federation Trap Patterns
| สถานการณ์ | คำตอบหลอก | คำตอบจริง |
|---|---|---|
| OAuth ใช้ทำ authentication ได้ไหม | ใช้ได้เลย | ไม่ได้โดยตรง — ต้องใช้ OIDC ที่ build บน OAuth |
| SAML vs OAuth ต่างกันยังไง | ทำงานเหมือนกัน | SAML = enterprise SSO (XML); OAuth = API authorization (JSON token) |
| Federation = ปลอดภัยกว่า local account | ใช่เสมอ | ขึ้นกับ IdP — IdP compromise = ทุก SP ที่ trust IdP โดน |
| SCIM ทำอะไร | authentication | provisioning + deprovisioning automation |
Authorization — ทำอะไรได้บ้าง
หลังจาก authenticated แล้ว — สิทธิ์ที่จะทำอะไรในระบบ
ระดับของ access:
- Read — อ่านได้
- Write — เขียน/แก้ไขได้
- Execute — รันโปรแกรมได้
- Combinations — เช่น read + write แต่ไม่มี delete
หลัก Least Privilege (POLP) — ให้สิทธิ์ขั้นต่ำที่จำเป็นสำหรับงาน ไม่ให้เกิน
หลัก Need-to-know — สิทธิ์ขึ้นกับงานที่ทำ ไม่ใช่ตำแหน่ง
Accountability — ใครทำอะไรเมื่อไหร่
ส่วนสุดท้ายที่หลายระบบลืมคือ logging ทุก action เพื่อให้ trace ย้อนได้
โดยเฉพาะ admin actions ต้อง log อย่างเข้มงวด เพราะ admin มีสิทธิ์ bypass control ส่วนใหญ่ ถ้า admin ทำผิดและไม่มี log แล้วใครจะรู้?
จะลงรายละเอียดเรื่อง logging ใน Section 5.13 (ตอน 51)
ส่วนที่ 3 — Zero Trust Architecture + PAM
ทำไม “อยู่ในบ้านแล้วไว้วางใจได้” ใช้ไม่ได้แล้ว
โมเดลเก่า — Network perimeter security
- มี firewall ใหญ่กั้นข้างนอก
- คนที่อยู่ข้างใน network = “trusted”
- ถ้าผ่าน firewall เข้ามาได้ เดินไปได้ทุกห้องในบ้าน
ปัญหา:
- ถ้าโจรเข้ามาได้แม้แค่จุดเดียว = เข้าทุกห้องได้
- พนักงาน Work from Home — อยู่ “นอก” perimeter ตลอดเวลา
- Cloud + SaaS — ข้อมูลไม่ได้อยู่ใน perimeter ของบริษัทอีกแล้ว
- BYOD — อุปกรณ์ส่วนตัวไม่ได้อยู่ใต้ control ของบริษัท
โควิด-19 ทำให้ทุกคนเห็นชัดเลยว่า perimeter security ตายไปแล้ว
ZTA — “ปิดบ้านทุกห้อง ไม่ใช่แค่ประตูหน้า”
Zero Trust Architecture = “Never Trust, Always Verify”
หลักการ:
- ไม่มีใคร trusted แค่เพราะอยู่ใน network — ทุกคนต้องพิสูจน์ตัวเองทุกครั้ง
- Access ให้เป็น per-session ไม่ใช่ permanent
- ใช้ policy-based access control (PBAC) ที่พิจารณา context (อุปกรณ์, location, เวลา, behavior)
- Continuous monitoring — ดูตลอดว่า session ที่ active อยู่ ยังควรจะ active ไหม
- Identity-based (ไม่ใช่ network-location-based)
ตัวอย่างจริง: พนักงานเข้า ERP จากออฟฟิศบนคอม corporate ในเวลางาน access ปกติ พนักงานคนเดียวกันเข้า ERP จากต่างประเทศบนอุปกรณ์ใหม่ตี 3 ZTA จะถาม MFA เพิ่ม หรือไม่ก็ block ก่อน
องค์ประกอบ ZTA
- MFA บังคับ ทุก session
- Centralized identity management
- POLP enforcement อัตโนมัติ
- Session-based trust (ไม่ใช่ network-based)
- Continuous verification
ข้อสอบ trap: “ZTA หมายความว่าอะไรสำหรับ internal users?”
หลอก: internal users ยัง trusted โดยไม่ต้อง re-authenticate จริง: ทุกคน รวม internal users ต้อง authenticate ทุก session ไม่ว่าอยู่ที่ไหน
PAM — กุญแจมาสเตอร์ใน vault
Privileged Access Management (PAM) = ระบบจัดการบัญชี admin โดยเฉพาะ
ทำไมต้องมี PAM แยก? เพราะ admin accounts:
- มีอำนาจมหาศาล (สร้าง/ลบ user, เปลี่ยน config, อ่านข้อมูลทั้งหมด)
- ถ้าโดนขโมยก็เสียหายมหาศาลตาม
- มักเป็น shared accounts (root, admin) ทำให้ accountability ขาดหาย
ประเภทของ privileged accounts:
- Administrative accounts — admin ปกติ
- Emergency / Break-glass accounts — ใช้ในกรณีฉุกเฉินเมื่อบัญชี admin ปกติใช้ไม่ได้ ทุกการใช้ต้องบันทึกและ review
- Service accounts — บัญชีที่ application ใช้คุยกัน
- Application accounts — สำหรับ app ที่ต้องเข้า database
- SSH keys / Root access — สำหรับ Linux/Unix systems
PAM solutions ที่ดีจะมี:
- Password vaulting — เก็บ password ไว้ที่ส่วนกลาง ผู้ใช้ไม่เห็นจริง
- Session recording — บันทึกหน้าจอตอน admin ทำงาน
- Just-in-time access — ให้สิทธิ์เฉพาะตอนที่ต้องใช้ หมดเวลาก็ revoke
- Credential rotation — เปลี่ยน password อัตโนมัติทุก X ชั่วโมง/วัน
ข้อสอบ trap: “Break-glass account ใช้เมื่อไหร่?”
หลอก: ใช้ทำงาน admin ประจำวัน จริง: ใช้ในกรณีฉุกเฉินเมื่อบัญชี admin ปกติเข้าไม่ได้ และทุกการใช้ต้อง audit ทันที
มุมผู้บริหาร: PAM = ROI ที่พิสูจน์ได้
ถ้าผู้บริหารถามว่าทำไมต้องลงทุน PAM คำตอบคือ insider threat report ของ Verizon และ Ponemon ทุกปีแสดงตรงกันว่า credential compromise + privilege misuse เป็นหนึ่งใน top cause ที่ปรากฏซ้ำทุกปี ของ major data breach
ค่า license PAM แพง แต่ก็ยังถูกกว่า cost ของ breach แค่ครั้งเดียว
ส่วนที่ 4 — Access Control Types + IGA + IDaaS
Access Control Models
CISA exam ชอบถามให้แยก 5 แบบนี้ออกจากกัน:
MAC — Mandatory Access Control
- Admin (system) เป็นคนกำหนด — user ไม่มีสิทธิ์เปลี่ยน
- ใช้ในระบบที่ classification สำคัญ — กระทรวงกลาโหม, intelligence
DAC — Discretionary Access Control
- เจ้าของข้อมูลเป็นคนกำหนด — owner share ให้ใครก็ได้
- ใช้ใน file system ทั่วไป — Windows, Unix file permissions
- เสี่ยง: owner อาจ share ผิด
RBAC — Role-Based Access Control
- สิทธิ์ผูกกับ role ไม่ใช่กับ user — assign role ให้ user แล้วได้สิทธิ์ตาม role
- ใช้ในองค์กรขนาดกลาง-ใหญ่ทั่วไป
- ข้อดี: จัดการง่าย ขยายได้
- ข้อเสีย: role explosion (role เยอะเกินจัดการไม่ไหว)
Rule-Based Access Control
- สิทธิ์ผูกกับ rule (if-then logic)
- เช่น “ถ้า IP อยู่ในเครือข่ายบริษัท → access ได้, ถ้านอก → block”
ABAC — Attribute-Based Access Control
- สิทธิ์ขึ้นกับ attributes ของ user, resource, environment
- Flexible สุด — รองรับเงื่อนไขซับซ้อน
- เช่น “ผู้จัดการ + แผนกการเงิน + จากออฟฟิศ + ในเวลางาน → อนุญาต”
PBAC — Policy-Based Access Control
- คล้าย ABAC แต่ enforce ผ่าน policy engine ส่วนกลาง
- เป็นทิศของ ZTA
ข้อสอบมักถามให้แยก RBAC vs ABAC: RBAC ผูกกับ role, ABAC ผูกกับ attributes (ที่อาจรวม role + อื่นๆ ด้วย)
IGA — Identity Governance and Administration
IGA = IAM + governance + compliance
ขยายจาก IAM ปกติด้วย:
- Access certification — บังคับให้ manager review สิทธิ์ของลูกน้องเป็นระยะ
- SoD enforcement — ตรวจอัตโนมัติว่ามี role conflict ไหม (เช่น approver + requester ในคนเดียว)
- Audit reporting — ออก report สำหรับ compliance (SOX, PDPA)
- Workflow ของ access request — ขอ-อนุมัติ-เพิกถอน ผ่านระบบเดียว
IGA โดยทั่วไปเหมาะสำหรับองค์กรขนาดใหญ่ที่มี user หลายพันคนและ regulatory requirements
IDaaS — IAM ที่ส่งเป็น service
Identity as a Service (IDaaS) = IAM ที่เช่าใช้บน cloud (เช่น Okta, Microsoft Entra ID, Auth0)
ข้อดี:
- ไม่ต้อง deploy on-premise
- ขยายง่าย
- รองรับ SaaS ได้ตั้งแต่แรก
- มี SSO + MFA built-in
ความเสี่ยงที่ auditor ต้องดู:
- Vendor dependency — IDaaS provider ล่ม = ทุกระบบเข้าไม่ได้
- Data residency — identity data เก็บที่ประเทศไหน (PDPA implication)
- Right to audit — provider ให้ตรวจได้แค่ไหน
- SOC 2 Type II report — ต้องมีและ review ก่อน adopt
Logical Access Layers — ป้องกันเป็นชั้น
CRM ย้ำหลัก defense in depth ใน access control — มี 4 ชั้น:
Layer 1: Network access (ใช้ network ขององค์กรได้ไหม) ↓Layer 2: Platform access (เข้าระบบ OS / server ได้ไหม) ↓Layer 3: Database access (อ่าน database ได้ไหม) ↓Layer 4: Application access (ใช้ feature ใน app ได้ไหม)ทุกชั้นควรมี control แยก — ผ่าน network ไม่ได้แปลว่าผ่าน database ผ่าน database ไม่ได้แปลว่าผ่าน application
หลายองค์กรพลาดตรงนี้ Network firewall เข้มงวด แต่ database access เปิดให้ทุกคนใน network เข้าได้หมด ถ้าผู้ไม่หวังดีเข้า network ได้ = เข้า database ได้ทันที
DRM — เมื่อ access control ไม่พอ
Digital Rights Management (DRM) = ควบคุมว่าทำอะไรกับเอกสารได้บ้าง หลังจากเข้าถึงแล้ว
ตัวอย่าง:
- เอกสารเปิดอ่านได้ แต่ copy ไม่ได้
- เอกสาร print ได้แค่ 3 ครั้ง
- เอกสาร expire หลัง 30 วัน
- เอกสารเปิดได้เฉพาะใน network บริษัท
DRM สำคัญสำหรับ:
- IP-heavy companies (ผลิตเอกสาร confidential เยอะ)
- Legal documents
- M&A documents
- Source code
Trap Patterns ของทั้ง Section 5.3
| สถานการณ์ | คำตอบที่หลอก | คำตอบจริง |
|---|---|---|
| พนักงานถูกเลิก — action urgent ที่สุด | แจ้ง HR | เพิกถอน access ทุกอย่างทันที |
| SSO ใหม่ — risk หลัก | จำ password ยากขึ้น | Single point of failure — credential หลุด = ทุกระบบ |
| ZTA หมายความอะไรกับ internal users | trusted โดยไม่ re-auth | ทุกคนต้อง auth ทุก session ไม่เว้น |
| Break-glass account ใช้ตอนไหน | งาน admin ประจำ | ฉุกเฉินเมื่อ normal admin ใช้ไม่ได้ |
| MFA หมายความอะไร | password 2 ตัว | factors คนละกลุ่ม 2 อย่างขึ้นไป |
| Role-based + employee transfer — เมื่อไหร่ที่ access ต้องอัปเดต | ภายใน 30 วัน | ทันทีที่ transfer มีผล |
เชื่อมไปบทถัดไป
ตอนนี้เรามี:
- กฎ (Policy) — ตอน 43
- กำแพง (Physical) — ตอน 43
- กุญแจ (IAM) — ตอน 44
แต่บ้านดิจิทัลไม่ได้มีแค่ห้องเดียว มันมีหลายห้องที่เชื่อมกันด้วย “ถนน” คนเดินไปมา ข้อมูลไหลไปมา ของก็ออกได้ด้วย
บทถัดไป Network Security + DLP — จะคุยถนนระหว่างห้อง (network) และยามที่ตรวจของขาออก (DLP) ที่ทำให้ข้อมูลไม่หลุดออกจากบ้านโดยไม่รู้ตัว
อ้างอิง CRM (CISA Review Manual 28th Edition): Domain 5: Section 5.3 Identity and Access Management (รวม IAM lifecycle, AAA, ZTA, PAM, Directory Services, IGA, IDaaS, Access Control Types, External Parties, DRM, Logical Access)
