SCIM 定义
SCIM 是一种协议,用于标准化在实体间交换身份信息的方式。它是一种开放标准,广泛用于简化向人员或组授予访问基于云的应用程序的权限的过程。
要了解 SCIM 的目的,关键在于它的名称:
- 系统 (S) - SCIM 为身份数据的交换方式创建了通用格式。
- 跨域 (C) - SCIM 跨平台安全地传输身份数据。
- 身份管理 (IM) - SCIM 自动执行标识提供者/身份和访问管理 (IAM) 系统与基于云的应用程序之间的信息流。
在企业工作场景中,使用 SCIM 可减少创建、修改和同步员工帐户以及管理员工有权访问的资源所需的工作量。它还有助于减少员工的 IT 摩擦,因为它与其他技术协同工作,简化了用户登录应用的方式。
了解 SCIM 预配
创建 SCIM 的目的是使 IT 管理员能够更轻松地预配用户,即创建、维护和更新人员的帐户,并向他们授予权限来访问完成其工作所需的所有基于云的应用程序。
如果没有 SCIM,预配过程可能需要手动、很耗时而且繁琐。应用需要身份信息来确定人员是否具有访问它们的权限,这些信息是相对标准的,例如员工姓名、电子邮件地址、职位和部门。但是,应用用来表示这些信息的每个元素的格式,以及应用执行简单操作的方式,往往会稍有不同。
对于只有少量员工和基于云的应用/服务的企业来说,每次都必须以略微不同的方式手动将用户添加到每个应用,这可能问题不大。但是对于拥有大量员工和数百个云应用程序的组织来说,手动预配可能成本高昂、令人不满意,而且适得其反。
SCIM 通过为标识提供者与云应用之间无缝安全地交换信息提供一个标准来解决这个问题。这种标准化使自动化预配过程变得可行和安全。
SCIM 实现的一些效率包括:
- 新帐户的自动预配 - 当新员工加入团队或组织时,系统会向其有效地授予访问适当系统的权限。
- 自动取消预配 - 当人员离开组织时,可以集中停用其帐户和应用权限。
- 在系统之间同步数据 - 对帐户进行更改时,这些更改会在任何位置自动更新。
- 组预配 - 可向整个员工组授予访问其所需应用的权限。
- 管理访问权限 - 通过 SCIM 可更轻松地监视和审核权限。
SCIM 的工作原理
除了为常见的身份属性(例如组名、用户名、名字、姓氏和电子邮件地址)提供预定义的架构外,SCIM 还为客户端和服务提供商角色提供标准化定义。客户端通常是标识提供者或 IAM 系统,例如 Microsoft Entra ID(以前称为 Microsoft Azure AD)。服务提供商通常是软件即服务应用。客户端管理应用授予或拒绝访问所需的核心身份信息。
SCIM 使用 JavaScript 开放表示法 (JSON)(一种开放标准文件和数据交换格式)来支持无缝跨域互操作性。它还使用表述性状态转移 (REST) API 来执行管理身份生命周期所需的操作。数据库操作首字母缩写 CRUD 描述了 SCIM 预配使用的基本 REST 操作:
- 创建 (C) - 在应用程序中添加新用户。
- 读取 (R) - 检索或搜索现有身份和组中的信息。
- 更新 (U) - 在客户端和应用之间同步已更新的身份信息。
- 删除 (D) - 取消设置身份。
应用程序开发人员可以使用 SCIM 预配标准来确保其应用与企业系统无缝集成。它避免了使用略有不同的 API 来执行相同的基本操作的问题。创建符合 SCIM 标准的应用的开发人员可以立即利用已有的客户端、工具和代码。
SCIM 为何很重要?
SCIM 为组织提供了发展所需的可伸缩性和灵活性,所以非常重要。使用 SCIM 自动预配用户可简化管理用户生命周期所需的工作量和成本。它还通过为组织提供对有权访问其资源的身份的可靠控制来提高安全性。使用该访问控制,IT 管理员可以确保每位用户都拥有在其角色中取得成功所需的适当权限,并且可以在人员离开组织时快速消除失效的身份。
SCIM 可确保每个身份和组都有单一事实来源,而不是多个真实版本。通过一致的方式存储和交换用户数据,可以更轻松地强制实施企业运营所依赖的安全性和合规性策略。
SCIM 预配的优势
提高工作效率
自动 SCIM 预配使管理员无需在多个应用中手动创建和更新身份,从而使他们有时间专注于更有价值的任务。自动化还使得 IT 和开发团队无需开发和管理自定义集成,还减少了关于添加用户、删除用户、更改权限或重置密码的请求数量。
减少错误
SCIM 减少了大量原本要进入配置的手动输入,显著减少不可避免的人为错误。它还有助于管理员删除过时和被遗忘的“僵尸”帐户,这些帐户可能会使系统混乱,并为恶意参与者提供额外的攻击途径。
降低 IT 成本
简化云身份管理生命周期可能会使组织能够减少多余和冗余的软件许可证。拥有身份的单一事实来源可以清楚地知道需要多少个许可证,而自动取消预配可确保你不必为不再使用的许可证付费。SCIM 还消除了对成本高昂的自定义集成的需求,这些集成可能需要员工花费大量时间来进行开发和维护。
快速添加用户和应用
通过 SCIM 预配,可以更快地进行员工入职培训,并立即使用预设规则和组权限向其授予对适当资源的访问权限。随着组织的发展和创新,SCIM 简化了采用新应用和工作流的过程。
SCIM 与SAML
安全断言标记语言 (SAML) 和 SCIM 都是简化身份数据交换的开放标准协议。SAML 通常用于为企业应用程序提供 SSO,并跨安全域扩展 SSO。与 SCIM 类似,它的作用是使用户能够使用相同的凭据访问多个服务。SCIM 使用用户登录应用所需的信息在目标系统中创建、更新或删除用户配置文件,为 SAML 工作打下基础。
SAML 基于可扩展标记语言 (XML),并使用它来进行安全断言,这些断言是服务提供商用来决定是否授予资源访问权限的语句。当 SAML 验证你的身份是否可以访问资源时,它会为浏览器中的单个会话提供访问令牌。SCIM 和 SAML 都是企业 IAM 解决方案中常用的基础技术。
SCIM 与SSO
SCIM 和 SSO 是两种不同的技术,它们在管理身份和访问方面的作用略有不同。SCIM 用于跨多个应用程序预配身份,而 SSO 用于使用一组凭据对多个应用程序中的用户进行身份验证。
SCIM 支持 SSO 并与之协同工作。SSO 需要用户预配才能正常工作。企业 IAM 系统往往使用复杂的技术组合来实现用户无缝体验,而 SCIM、SSO 和 SAML 都是有助于实现这一目标的技术。
SCIM 预配用例
使用 SCIM 进行自动预配可以简化本来非常耗时的流程,从而提高组织的工作效率。下面 6 个示例展示如何使用 SCIM 改进内部进程:
- 为 SSO 打下基础。实现支持 SCIM 的技术来对 SSO 进行补充 - 这可节省时间,对组织中的每个人都有好处。
- 在发展阶段管理用户载入。让新员工立即访问他们快速启动和运行所需的所有下游应用程序。
- 促进大规模迁移。将大量用户轻松导入到新的应用程序或系统中,从而节省时间和成本。
- 实时同步更改。当人员在组织中的角色发生变化时自动调整权限,并快速取消预配离开组织的人员的帐户。
- 增强对访问权限的控制。获取促进特权访问管理最佳做法所需的精细可见性。通过监视对最关键资源的访问,保护组织免受网络威胁。
- 使组织目录保持最新。SCIM 使电话号码、电子邮件地址和人力资源信息等用户信息保持最新。另一个系统可能会反过来使用此信息来提供访问权限或促进工作流。例如,SCIM 可用于保持员工的经理信息是最新的,这样费用审批系统就可以知道谁将审批费用。具有最新的系统可减少完成工作流的错误和时间。
适用于企业的 SCIM 集成
为了确保从 SCIM 预配系统获得良好的投资回报,请选择与大量应用集成的解决方案,以及处于网络安全和自动化技术最前沿的提供商。Microsoft Entra ID(以前称为 Azure AD)使用 SCIM 进行预配、自动执行身份生命周期并跨受信任的系统同步身份。Microsoft Entra ID 与数千款应用程序集成,员工需要所有这些资源在未来保持高效和创新。
详细了解 Microsoft 安全
常见问题解答
-
SCIM 用于自动执行标识提供者/IAM 系统与基于云的应用程序/服务之间的身份信息流。它提供了一个用于安全交换身份信息的常用架构,并为 SSO 提供了基础。
-
SCIM 是一种协议,即一组用于处理和格式化数据的规则,它可标准化在实体间交换身份信息的方式。它广泛用于简化向人员或组授予访问基于云的应用程序的权限的过程。
-
SCIM 预配是一种自动创建、维护、删除和更新用户帐户,并向他们授予访问其组织基于云的应用程序的权限的过程。它经常用于企业 IAM 系统。
-
SCIM 通过提供标准协议在标识提供者和云应用之间无缝交换数据,自动执行预配。它很安全,并且可大大减少了 IT 团队的手动工作量,因此被广泛使用。
-
SCIM API 是一种协议,它使标识提供者和应用程序能够更轻松地交换身份数据。SCIM 是一个确定数据通信方式的软件接口,因此它也被视为 API。
关注 Microsoft 安全