IDP(Identity Provider) SP間の連携手法
SCIMプロトコルに対応しているSaaSアプリケーションの場合は、ユーザ、グループのプロビジョニング時にロールも付与することが可能です。
SAML/OIDC+SCIMだと、だいたいこんな使い方になってるケースが多いと思います。
SCIMのメリット
SAML、OIDC連携パターンでもアプリケーション側ロールの自動付与は可能なケースも多いですがSCIMを用いると以下の点に優れます。
・事前同期が可能
SAMLはログイン時に登録/変更されるため、入社前や配属前の段階では実機確認ができません。
各種IDPにマスタ情報連携がリアルタイムに可能になるのが魅力的ですね!
※EntraIDのSCIM同期は40分間隔、Oktaは即時反映が可能です
SCIM 対応アプリの検索
SCIMプロトコルはすべてのSaaSアプリケーションが対応しているわけではないのですが、EntraIDやOktaにて確認が可能です。
◆Entra ID 管理センター> アプリケーションプロビジョニング
アプリケーションがSCIMに対応しているケース(Boxの例)
対応していないケース(カオナビさんの例)
◆Okta インテグレーションアプリケーション(Web検索)
https://www.okta.com/integrations/
◆Okta Adminコンソール>[Applications(アプリケーション)]>[アプリカタログを参照]
自社ITシステムアーキテクチャのロードマップを考える際に「SCIM対応をしているアプリケーション」について探りを入れておくのは必要ですね。
ってことがよくあります。