<div dir="auto"><div><div style="max-height:999999px;font-family:"google sans",roboto,arial,sans-serif;font-size:16px;line-height:24px;margin:16px 20px;color:rgb(230,232,240);background-color:rgb(16,18,24)" dir="auto">Changing an identity lifecycle stage like IL1 or AL1 to focus solely on deprovisioning is a strategic move that aligns with modern security priorities. While the specific terms (IL1, AL1) likely refer to an internal framework, the core concept of prioritizing automated offboarding reflects a critical trend in identity management.<span style="max-height:999999px"><span style="max-height:999999px"> <button style="max-height:999999px;margin:0px 6px 0px 0px;background:none 0% 0%/auto repeat scroll padding-box border-box rgb(37,38,46);border-width:initial;border-style:none;border-color:initial;border-radius:10px;height:20px;padding:0px;width:20px;outline:0px"><span style="max-height:999999px;color:rgb(230,232,240);display:inline-block"></span></button></span></span></div><div style="max-height:999999px;font-family:"google sans",roboto,arial,sans-serif;font-size:16px;line-height:24px;margin:16px 20px;color:rgb(230,232,240);background-color:rgb(16,18,24)" dir="auto">The premise that deprovisioning constitutes 80% of directory sync's value, while not a universal, citable metric from "Karl and ChatGPT," holds significant weight in cybersecurity discussions. Inadequate deprovisioning is a major security risk that can lead to data breaches, compliance violations, and unnecessary license costs.<span style="max-height:999999px"><span style="max-height:999999px"> <button style="max-height:999999px;margin:0px 6px 0px 0px;background:none 0% 0%/auto repeat scroll padding-box border-box rgb(37,38,46);border-width:initial;border-style:none;border-color:initial;border-radius:10px;height:20px;padding:0px;width:20px;outline:0px"><span style="max-height:999999px;color:rgb(230,232,240);display:inline-block"></span></button></span></span></div><div style="max-height:999999px;font-family:"google sans",roboto,arial,sans-serif;font-size:16px;line-height:24px;margin:16px 20px;color:rgb(230,232,240);background-color:rgb(16,18,24)" dir="auto">Here is an analysis of the pros, cons, and implications of this approach.</div><div style="max-height:999999px;color:rgb(230,232,240);font-family:"google sans",roboto,arial,sans-serif;font-size:small;background-color:rgb(16,18,24)" dir="auto"></div><div style="max-height:999999px;margin:30px 20px;color:rgb(230,232,240);font-family:"google sans",roboto,arial,sans-serif;font-size:20px;line-height:28px;background-color:rgb(16,18,24)" dir="auto">Pros of prioritizing deprovisioning</div><ul style="max-height:999999px;margin:16px 20px;padding:0px;font-family:"google sans",roboto,arial,sans-serif;font-size:16px;line-height:24px;color:rgb(230,232,240);background-color:rgb(16,18,24)"><li style="max-height:999999px;margin:0px 0px 16px;padding:0px;list-style:disc"><span style="max-height:999999px"><span style="max-height:999999px">Enhanced security posture:</span> Prompt and automated deprovisioning immediately revokes access for departing employees, contractors, or users whose roles have changed. This eliminates the risk of "orphan" or "zombie" accounts that are often exploited by malicious actors.</span></li><li style="max-height:999999px;margin:0px 0px 16px;padding:0px;list-style:disc"><span style="max-height:999999px"><span style="max-height:999999px">Reduced compliance risk:</span> Many regulations, such as GDPR and HIPAA, mandate timely removal of access to sensitive data. An automated deprovisioning process provides a verifiable audit trail, helping to prove compliance and avoid steep penalties.</span></li><li style="max-height:999999px;margin:0px 0px 16px;padding:0px;list-style:disc"><span style="max-height:999999px"><span style="max-height:999999px">Financial savings:</span> By immediately removing user accounts and access from licensed applications, organizations can stop paying for unused software licenses and other resources, leading to significant cost savings.</span></li><li style="max-height:999999px;margin:0px 0px 16px;padding:0px;list-style:disc"><span style="max-height:999999px"><span style="max-height:999999px">Elimination of human error:</span> Manual offboarding is prone to human error, including forgetting to disable accounts in certain applications. Automating this critical step ensures consistency and completeness every time.</span></li><li style="max-height:999999px;margin:0px 0px 16px;padding:0px;list-style:disc"><span style="max-height:999999px"><span style="max-height:999999px">Improved operational efficiency:</span> An automated process frees up IT and security staff from tedious, time-consuming offboarding tasks. It allows them to focus on more strategic initiatives.</span><span style="max-height:999999px"><span style="max-height:999999px"> <button style="max-height:999999px;margin:0px 6px 0px 0px;background:none 0% 0%/auto repeat scroll padding-box border-box rgb(37,38,46);border-width:initial;border-style:none;border-color:initial;border-radius:10px;height:20px;padding:0px;width:20px;outline:0px"><span style="max-height:999999px;color:rgb(230,232,240);display:inline-block"></span></button></span></span></li></ul><div style="max-height:999999px;color:rgb(230,232,240);font-family:"google sans",roboto,arial,sans-serif;font-size:small;background-color:rgb(16,18,24)" dir="auto"></div><div style="max-height:999999px;margin:30px 20px;color:rgb(230,232,240);font-family:"google sans",roboto,arial,sans-serif;font-size:20px;line-height:28px;background-color:rgb(16,18,24)" dir="auto">Cons and considerations for implementation</div><ul style="max-height:999999px;margin:16px 20px;padding:0px;font-family:"google sans",roboto,arial,sans-serif;font-size:16px;line-height:24px;color:rgb(230,232,240);background-color:rgb(16,18,24)"><li style="max-height:999999px;margin:0px 0px 16px;padding:0px;list-style:disc"><span style="max-height:999999px"><span style="max-height:999999px">Diminished focus on provisioning and access management:</span> If the initial lifecycle stage is entirely dedicated to offboarding, it could de-emphasize the importance of robust, policy-driven provisioning and role-based access control (RBAC). A comprehensive identity lifecycle management (ILM) solution needs to handle the full user journey, including joiner and mover events.</span></li><li style="max-height:999999px;margin:0px 0px 16px;padding:0px;list-style:disc"><span style="max-height:999999px"><span style="max-height:999999px">Business continuity challenges:</span> While immediate deprovisioning is good for security, it can create problems for business operations. For example, access may be revoked before a departing employee's files or email can be transferred. The process must account for the transfer of data and knowledge to another employee.</span></li><li style="max-height:999999px;margin:0px 0px 16px;padding:0px;list-style:disc"><span style="max-height:999999px"><span style="max-height:999999px">Temporary access needs:</span> Some scenarios, like a suspension or leave of absence, require temporary access revocation rather than full deprovisioning. A simple, binary deprovisioning stage would not differentiate between these nuanced events.</span></li><li style="max-height:999999px;margin:0px 0px 16px;padding:0px;list-style:disc"><span style="max-height:999999px"><span style="max-height:999999px">Lack of identity proofing:</span> Traditional identity lifecycle models often start with a stage focused on identity proofing (such as NIST's IAL1-3 framework). If the first stage is deprovisioning, it assumes the identity has already been securely proven, which might not be a valid assumption.</span></li><li style="max-height:999999px;margin:0px 0px 16px;padding:0px;list-style:disc"><span style="max-height:999999px"><span style="max-height:999999px">Internal terminology confusion:</span> Re-labeling or redefining an existing lifecycle stage like IL1/AL1 could cause confusion for employees familiar with the previous framework. This could require significant change management to communicate the new purpose.</span><span style="max-height:999999px"><span style="max-height:999999px"> <button style="max-height:999999px;margin:0px 6px 0px 0px;background:none 0% 0%/auto repeat scroll padding-box border-box rgb(37,38,46);border-width:initial;border-style:none;border-color:initial;border-radius:10px;height:20px;padding:0px;width:20px;outline:0px"><span style="max-height:999999px;color:rgb(230,232,240);display:inline-block"></span></button></span></span></li></ul><div style="max-height:999999px;color:rgb(230,232,240);font-family:"google sans",roboto,arial,sans-serif;font-size:small;background-color:rgb(16,18,24)" dir="auto"></div><div style="max-height:999999px;margin:30px 20px;color:rgb(230,232,240);font-family:"google sans",roboto,arial,sans-serif;font-size:20px;line-height:28px;background-color:rgb(16,18,24)" dir="auto">Recommendations and best practices</div><div style="max-height:999999px;font-family:"google sans",roboto,arial,sans-serif;font-size:16px;line-height:24px;margin:16px 20px;color:rgb(230,232,240);background-color:rgb(16,18,24)" dir="auto">Instead of replacing IL1/AL1 entirely with deprovisioning, a more comprehensive approach would be to:</div><ol style="max-height:999999px;margin:16px 20px;padding:0px;font-family:"google sans",roboto,arial,sans-serif;font-size:16px;line-height:24px;color:rgb(230,232,240);background-color:rgb(16,18,24)"><li style="max-height:999999px;margin:0px 0px 16px;padding:0px;list-style:decimal"><span style="max-height:999999px"><span style="max-height:999999px">Introduce a specific, high-priority offboarding stage:</span> Create a dedicated lifecycle state for terminated users that automatically triggers immediate deprovisioning actions across all systems. This can run in parallel with other lifecycle stages.</span></li><li style="max-height:999999px;margin:0px 0px 16px;padding:0px;list-style:decimal"><span style="max-height:999999px"><span style="max-height:999999px">Use event-driven triggers:</span> Base lifecycle actions on events from the source-of-truth HR system (e.g., "termination date" or "employee status = inactive"). This ensures deprovisioning happens automatically, in real-time, based on reliable data.</span></li><li style="max-height:999999px;margin:0px 0px 16px;padding:0px;list-style:decimal"><span style="max-height:999999px"><span style="max-height:999999px">Implement multi-stage deprovisioning:</span> For complex environments, a multi-stage process might be best. The first stage can immediately revoke high-privilege access, while subsequent stages can handle data archiving and account deletion after a waiting period.</span></li><li style="max-height:999999px;margin:0px 0px 16px;padding:0px;list-style:decimal"><span style="max-height:999999px"><span style="max-height:999999px">Integrate with a robust IAM/IGA platform:</span> Leverage a platform that offers automated workflow capabilities. This is the most effective way to manage the complexity of user lifecycles, from provisioning to deprovisioning, in a consistent and automated way.</span><span style="max-height:999999px"><span style="max-height:999999px"> </span></span></li></ol></div><div><br></div><div data-smartmail="gmail_signature">Shannon Day</div></div><br><div class="gmail_quote gmail_quote_container"><div dir="ltr" class="gmail_attr">On Tue, Sep 16, 2025, 12:29 PM Dick Hardt via Openid-specs-ipsie <<a href="mailto:openid-specs-ipsie@lists.openid.net">openid-specs-ipsie@lists.openid.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div dir="ltr"><a href="https://github.com/openid/ipsie/pull/113" target="_blank" rel="noreferrer">https://github.com/openid/ipsie/pull/113</a></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Sep 16, 2025 at 4:14 PM Dick Hardt <<a href="mailto:dick.hardt@gmail.com" target="_blank" rel="noreferrer">dick.hardt@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Quoting both Karl and ChatGPT, 80% of the value in directory sync is deprovisioning.<br><br>What does everyone think of changing IL1 (or AL1 if we move to account lifecycle) to be deprovisioning? <br><br>I'm proposing that we describe that the users may have been provisioned via JIT or manually, and provisioning is out of scope for IL1.<br><br>In IL1, the identity service MUST do account resolution to link the app identifiers with the identity service identifiers, and then the app must deprovision an account when directed by the identity service. <br><br>An app delegating provisioning to the identity service would be included in IL2 and would include profile and group membership.<br><br>Hopefully we will have some time to discuss today<div><br></div><div>/Dick</div></div>
</blockquote></div>
-- <br>
Openid-specs-ipsie mailing list<br>
<a href="mailto:Openid-specs-ipsie@lists.openid.net" target="_blank" rel="noreferrer">Openid-specs-ipsie@lists.openid.net</a><br>
<a href="https://lists.openid.net/mailman/listinfo/openid-specs-ipsie" rel="noreferrer noreferrer" target="_blank">https://lists.openid.net/mailman/listinfo/openid-specs-ipsie</a><br>
</blockquote></div>