SCIM(System for Cross-domain Identity Management) は、アイデンティティ情報の管理やプロビジョニングを自動化するための標準プロトコルです。ユーザーやグループの作成、更新、削除などの操作を効率的に行うことができます。
主な特徴
-
標準化されたプロトコル
- SCIMは、REST APIをベースにしたオープンスタンダードであり、JSON形式を使用してデータを交換します。
- プロトコルの標準化により、異なるシステム間でのユーザー情報の同期が容易です。
-
アイデンティティ管理の効率化
- システム間でユーザー情報を同期・管理でき、手動での管理作業を削減します。
- 例えば、新しい従業員のアカウント作成や、退職者のアカウント削除を自動化可能。
-
クロスドメイン管理
- 複数のシステムやアプリケーションにまたがるアイデンティティ管理を一元化できます。
SCIMが解決する課題
-
手動プロビジョニングの煩雑さ
手作業によるユーザーアカウントの作成・削除・更新は時間がかかり、エラーの原因になりやすいです。SCIMを使えばこれらの操作を自動化できます。 -
複数システム間の同期の手間
各システムで個別にユーザー情報を管理する必要がなくなり、統一されたプロファイル情報を維持できます。 -
セキュリティリスク
退職者や役割が変更されたユーザーのアクセス権をすぐに削除することで、不要なアクセスを防止できます。
SCIMの基本的な動作
SCIMを使用すると、アイデンティティプロバイダー(IdP)からアプリケーション(サービスプロバイダー、SP)に対して以下の操作を実行できます。
- ユーザー作成: 新規ユーザーがIdPに登録されると、SPにも自動的にユーザーアカウントが作成されます。
- ユーザー更新: ユーザー情報が変更されると、SPにも変更が反映されます。
- ユーザー削除: IdPでユーザーが削除されると、SPのアカウントも削除されます。
- グループ管理: グループへのユーザーの追加・削除も自動的に同期されます。
主要なSCIM対応サービス
SCIMをサポートする多くのクラウドサービスやアプリケーションがあります。例えば:
-
AWS SSO(現在はIAM Identity Center)
AWSアカウントと連携し、ユーザー・グループのプロビジョニングを自動化。 -
Microsoft Azure AD
SCIMを使ったアプリケーションやサービスとのアイデンティティ同期をサポート。 -
Okta
アプリケーションへのSCIM連携機能を提供。 -
Google Workspace
ユーザーとグループのプロビジョニングをSCIMを通じてサポート。 -
SaaSアプリケーション
Zoom、Slack、Box、GitHubなど多くのSaaSプロバイダーがSCIMをサポートしています。
SCIMのAPI例
SCIMのAPIはRESTをベースにしており、代表的なエンドポイントは次の通りです:
-
ユーザー管理:
- GET
/Users: 全ユーザーの取得 - POST
/Users: ユーザーの作成 - PUT
/Users/{id}: ユーザー情報の更新 - DELETE
/Users/{id}: ユーザーの削除
- GET
-
グループ管理:
- GET
/Groups: 全グループの取得 - POST
/Groups: グループの作成 - PATCH
/Groups/{id}: グループへのユーザー追加・削除
- GET
メリット
- コスト削減: 手動作業の削減による運用効率の向上。
- 一貫性: 複数システム間でのデータ整合性を維持。
- セキュリティ向上: ユーザー管理のリアルタイム更新で不正アクセスを防止。
SCIMを導入することで、クラウド環境やオンプレミス環境でのアイデンティティ管理をより効率的に行うことができます。設定や運用について詳しく知りたい場合は、お知らせください!