A ferramenta de Gestão de Identidades (Identity Management System ou IdMS) geralmente mantém um repositório próprio (v. Arquitetura) que conterá as definições da gestão propriamente dita, além de informações relevantes sobre os sistemas gerenciados. Por exemplo: caso o usuário do IdMS queira consultar um determinado atributo de uma conta de usuário no sistema ERP (ilustrando: nome do usuário registrado no SAP), o IdMS consultará seu repositório, ao invés de fazê-lo diretamente no ERP, em tempo real. Isto se deve a alguns fatores, entre os quais, questões de performance e segurança. O IdMS deve, então, manter o sincronismo das informações entre seu repositório e os dos sistemas gerenciados.

As ações de concessão de acesso, por sua vez, podem ocorrer de duas formas:

• A partir do IdMS (que executará a respectiva ação no sistema gerenciado)
• Diretamente no sistema gerenciado

A situação 1 é compreendida naturalmente, pois é parte da essência do IdMS.
A situação 2 também deve ocorrer simultaneamente. O IdMS deve permitir que as ações de concessão de acesso sejam realizadas nas duas formas, sem perder o sincronismo destas informações em seu repositório. Para isto, o IdMS deve capturar os eventos ocorridos diretamente nos sistemas gerenciados.

A captura destes eventos pode ocorrer:

• Em tempo real
• Periodicamente (a cada hora, diariamente, etc.)
• Por solicitação manual de sincronismo

Cada uma das alternativas implica em benefícios e correspondentes impactos no ambiente.