SCIM が定義されています
SCIM は、エンティティ間での ID 情報の交換方法を標準化するプロトコルです。これはオープンな標準であり、クラウドベースのアプリケーションへのアクセスをユーザーまたはグループに許可するプロセスを簡素化するために広く使用されています。
SCIM の目的を理解するための鍵は、その名前にあります:
- System- SCIM は、ID データの交換方法に共通の形式を作成します。
- Cross-domain- SCIM は、プラットフォーム間で ID データを安全に通信します。
- ID Management - SCIM は、ID プロバイダーまたは ID とアクセス管理 (IAM) システムとクラウドベースのアプリケーションの間の情報フローを自動化します。
エンタープライズ作業シナリオでは、SCIM を使用すると、従業員アカウントの作成、変更、同期、従業員がアクセスできるリソースの管理にかかる労力が削減されます。これは、ユーザーがアプリにサインインする方法を簡素化する他のテクノロジと連携して動作するため、従業員の IT の摩擦を減らすという利点があります。
SCIM プロビジョニングの解釈
SCIM は、IT 管理者がユーザーをプロビジョニングしやすくするために作成されました。つまり、ユーザーのアカウントを作成、保守、更新し、自分の仕事に必要なすべてのクラウドベースのアプリケーションにアクセスするためのアクセス許可を付与します。
SCIM がない場合、プロビジョニングは長く面倒な手動プロセスになる可能性があります。識別情報アプリでは、従業員の名前、メール、役職、部署など、ユーザーがアクセス許可を持っているかどうかを判断する必要があります。ただし、アプリがその情報の各要素を表すために使用する形式と、アプリが単純なアクションを実行する方法は、多くの場合、少し異なる場合があります。
毎回少し異なる方法でユーザーを各アプリに手動で追加する必要がある場合、従業員数が少なく、クラウドベースのアプリやサービスを持つ企業にとって、それほど問題にならない場合があります。しかし、従業員数が多く、数百のクラウド アプリケーションを持つ組織の場合、手動プロビジョニングはコストがかかり、ストレスを感じ、逆効果になる可能性があります。
SCIM は、ID プロバイダーとクラウド アプリ間でシームレスかつ安全に情報を交換するための標準を提供することで、この問題を解決します。この標準化により、プロビジョニング プロセスの自動化が実現可能で安全になります。
SCIM によって有効になる効率性は次のとおりです:
- 新しいアカウントの自動プロビジョニング - 新しい従業員は、チームまたは組織に参加するときに、適切なシステムへのアクセス権を効率的に付与されます。
- 自動プロビジョニング解除 — ユーザーが組織を離れると、アカウントとアプリの特権を一元的に非アクティブ化できます。
- システム間でのデータの同期 - アカウントに変更が加えられた場合、すべての場所で自動的に更新されます。
- グループ プロビジョニング- 従業員のグループ全体に、必要なアプリへのアクセス権を付与できます。
- アクセスの管理 - SCIM を使用すると、特権の監視と監査が容易になります。
SCIM のしくみ
SCIM は、グループ名、ユーザー名、名、姓、メールなどの一般的な ID 属性に対して定義済みのスキーマを提供するだけでなく、クライアント ロールとサービス プロバイダー ロールの標準化された定義を提供します。クライアントは通常、Microsoft Entra ID (旧称 Microsoft Azure AD) などの ID プロバイダーまたは IAM システムです。サービス プロバイダーは通常、サービスとしてのソフトウェア アプリです。クライアントは、アプリがアクセスを許可または拒否するために必要なコア ID 情報を管理します。
SCIM は、オープン標準のファイルとデータ交換形式である JavaScript Open Notation (JSON) を使用して、ドメイン間のシームレスな相互運用性をサポートします。また、Representational State Transfer (REST) API を使用して、ID ライフサイクルを管理するために必要なアクションを実行します。データベース操作の頭字語 CRUD では、SCIM プロビジョニングで使用される基本的な REST アクションについて説明します。
- Create- アプリケーションに新しいユーザーを追加します。
- Read- 既存の ID とグループから情報を取得または検索します。
- Update- 更新された ID 情報をクライアントとアプリの間で同期します。
- Delete— ID のプロビジョニング解除。
アプリケーション開発者は、SCIM プロビジョニング標準を使用して、アプリがエンタープライズ システムとシームレスに統合されるようにすることができます。これは、同じ基本的なアクションを実行するために少し異なる API を持つという問題を回避します。SCIM 標準に準拠したアプリを作成する開発者は、既存のクライアント、ツール、コードをすぐに利用できます。
SCIM が重要な理由
SCIM は、組織が成長するために必要なスケーラビリティと機敏性を提供するため、重要です。SCIM を使用してユーザー プロビジョニングを自動化すると、ユーザー のライフサイクルを管理するために必要な労力とコストが効率化されます。また、組織がリソースにアクセスできる ID を堅牢に制御できるようにすることで、セキュリティも向上します。そのアクセスの制御により、IT 管理者は、各ユーザーが自分のロールで成功するために必要な適切なアクセス許可のみを持っていることを確認し、ユーザーが組織を離れたときに、機能しない ID をすばやく排除できます。
SCIM は、各 ID とグループに対して、複数のバージョンの信頼できる情報ではなく、1 つの信頼できる情報源があることを保証します。ユーザー データを一貫して格納および交換する方法により、ビジネスが運用に依存するセキュリティ ポリシーとコンプライアンス ポリシーを適用する方が簡単になります。
SCIM プロビジョニングのベネフィット
生産性を高める
SCIM プロビジョニングを自動化すると、管理者は複数のアプリで ID を手動で作成および更新する必要がなく、より貴重なタスクに集中する時間を確保できます。また、自動化により、IT チームと開発チームがカスタム統合を開発および管理する必要がなくなり、ユーザーの追加、ユーザーの削除、アクセス許可の変更、パスワードのリセットに対する要求の数が減ります。
エラーを減らす
SCIM は、それ以外の場合はプロビジョニングに入る手動エントリの多くを削減し、避けられない人的エラーを大幅に削減します。また、管理者は、システムを乱雑にし、悪意のあるアクターに悪用の余分な手段を提供している可能性のある古い "ゾンビ" アカウントを排除するのにも役立ちます。
IT コストを削減
クラウド ID 管理ライフサイクルの合理化により、組織は、冗長なソフトウェア ライセンスと冗長ソフトウェア ライセンスを削減できる可能性があります。ID の信頼できる 1 つのソースを使用すると、必要なライセンスの数が明確になり、自動プロビジョニング解除によって、使用されなくなったライセンスに対して支払いを行う必要がなくなります。SCIM では、コストのかかるカスタム統合も不要になり、従業員の開発と保守にかなりの時間がかかる可能性があります。
ユーザーとアプリをすばやく追加する
SCIM プロビジョニングを使用すると、従業員のオンボードが迅速になり、事前設定されたルールとグループのアクセス許可を使用して適切なリソースにすぐにアクセスできるようになります。また、組織の成長と革新に伴い、SCIM は新しいアプリとワークフローを採用するプロセスを簡素化します。
SCIM とSAML
Security Assertion Markup Language (SAML) と SCIM はどちらも、ID データの交換を効率化するオープンな標準プロトコルです。SAML は、エンタープライズ アプリケーションに SSO を提供し、セキュリティ ドメイン間で SSO を拡張するために一般的に使用されます。SCIM と同様に、ユーザーが同じ資格情報を使用して複数のサービスにアクセスできるようにする役割を果たします。SCIM は、ユーザーがアプリにサインインするために必要な情報を使用して、ターゲット システムでユーザー プロファイルを作成、更新、または削除することで、SAML が機能するための基盤を構築します。
SAML は拡張マークアップ言語 (XML) に基づいており、それを使用してセキュリティ アサーションを作成します。これは、サービス プロバイダーがリソースへのアクセスを許可するかどうかを決定するために使用するステートメントです。SAML は、ID がリソースにアクセスできることを認証すると、ブラウザー内の 1 つのセッションのアクセス トークンを提供します。SCIM と SAML はどちらも、エンタープライズ IAM ソリューションで一般的に使用される基盤となるテクノロジです。
SCIM とSSO
SCIM と SSO は、ID とアクセスの管理で少し異なる役割を果たす 2 つの異なるテクノロジです。SCIM は複数のアプリケーション間で ID をプロビジョニングするためのものであり、SSO は単一の資格情報セットを使用して複数のアプリケーションのユーザーを認証するものです。
SCIM は SSO をサポートし、SSO と連携します。SSO を機能させるには、ユーザー プロビジョニングが必要です。エンタープライズ IAM システムでは、複雑なテクノロジの組み合わせを使用してユーザー エクスペリエンスをシームレスにする傾向があり、SCIM、SSO、SAML はすべてその目的を達成するのに役立つテクノロジです。
SCIM プロビジョニングのユース ケース
SCIM を使用した自動プロビジョニングでは、時間のかかるプロセスを簡略化することで、組織の生産性を向上させることができます。SCIM を使用して内部プロセスを改善する方法の 6 つの例を次に示します:
- SSO の基盤を構築します。SSO を補完する SCIM 対応テクノロジを実装します。これは、組織内のすべてのユーザーにとって有益な時間の節約になります。
- 成長した時点でユーザー オンボーディングを管理します。新入社員が必要なすべてのダウンストリーム アプリケーションにすぐにアクセスできるようにして、迅速に業務を開始できるようにします。
- 大規模な移行を促進します。多数のユーザーを新しいアプリケーションまたはシステムに簡単にインポートできるため、時間とコストを節約できます。
- 変更をリアルタイムで同期します。ユーザーが組織内でロールを変更すると、アクセス許可を自動的に調整し、退職したユーザーのアカウントをすばやくプロビジョニング解除します。
- アクセス特権の制御を強化します。特権アクセス管理のベストプラクティスを促進するために必要な、きめ細かな可視性を得ることができます。最も重要なリソースへのアクセスを監視することで、サイバー脅威から組織を保護します。
- 組織のディレクトリを最新の状態に保ちます。SCIM は、電話番号、メール アドレス、人事情報などのユーザー情報を最新の状態に保ちます。この情報は、ワークフローへのアクセスを提供したり、ワークフローを容易にしたりするために、別のシステムによって順番に使用される場合があります。たとえば、SCIM を使用して、従業員のマネージャー情報を最新の状態に保つことができます。これにより、経費承認システムは経費を承認するユーザーを把握できます。最新のシステムを使用すると、ワークフローを完了するためのエラーと時間が短縮されます。
ビジネス向け SCIM 統合
SCIM プロビジョニング システムから適切な投資収益を得られるようにするには、膨大な数のアプリと、サイバーセキュリティと自動化テクノロジの最前線にあるプロバイダーと統合するソリューションを選択します。Microsoft Entra ID (旧称 Azure AD) は、プロビジョニング、ID ライフサイクルの自動化、信頼されたシステム間での ID の同期に SCIM を使用します。Microsoft Entra ID は、何千ものアプリケーションと統合されています。従業員が生産性を維持し、将来も革新的にするために必要なすべてのリソースです。
Microsoft Security の詳細情報
よく寄せられる質問
-
SCIM は、ID プロバイダーまたは IAM システムとクラウドベースのアプリケーションまたはサービス間の ID 情報のフローを自動化するために使用されます。識別情報を安全に交換するための共通スキーマを提供し、SSO の基盤を提供します。
-
SCIM は、データを処理および書式設定するための一連のルールであるプロトコルであり、エンティティ間での ID 情報の交換方法を標準化します。クラウドベースのアプリケーションへのアクセスをユーザーまたはグループに許可するプロセスを簡素化するために広く使用されています。
-
SCIM プロビジョニングは、ユーザー アカウントの作成、保守、削除、更新のプロセスを自動化し、組織のクラウドベースのアプリケーションにアクセスするためのアクセス許可を付与する方法です。エンタープライズ IAM システムでよく使用されます。
-
SCIM は、ID プロバイダーとクラウド アプリの間でデータをシームレスに交換するための標準プロトコルを提供することで、プロビジョニングを自動化します。これは、セキュリティで保護され、IT チームの手動作業が大幅に削減されるため、広く使用されています。
-
SCIM API は、ID プロバイダーとアプリケーションが ID データを簡単に交換できるようにするプロトコルです。SCIM はデータの通信方法を決定するソフトウェア インターフェイスであるため、API とも見なされます。
Microsoft Security をフォロー