【クラウドID管理解説】
クラウドユーザーID管理のためのオープン業界標準仕様「 SCIM 」について解説しています。
SCIMの特徴として、「RESTベースプロトコル」「標準化のメリット」「クロスドメインユーザープロビジョニング」「軽量アプローチ」「IDプロバイダー連携」「管理プロセス自動化」などについて参照できます。
コンテンツ
「SCIM」とは
業界標準仕様
「SCIM(System for Cross-domain Identity Management)」とは、クラウドベースでユーザーID一元管理プロセスを簡素化するためのオープンな業界標準仕様(プロトコル)です。
ドメインを超えるユーザーID管理
SCIMは「異なるドメイン(ITシステム)間でのユーザーID情報交換の自動化」と「複数ユーザーデータソースへの標準化データモデル適用」により、安価かつ簡単に、ドメインを超えるユーザーID管理方法を提供します。
効率化のための効果的な手段
企業はSCIMプロビジョニングにより、クラウド内および企業オンプレミス内のユーザーIDについて、統合的かつ効率的な管理が可能となります。
これにより「コスト削減」「リスク軽減」「ワークフロー合理化」などのメリットを得られます。
SCIMプロビジョニングは、すべての企業にとって「ID管理における効率化とセキュリティを高めるための効果的な手段」として注目され導入が進んでいます。
「SCIM」の特徴
RESTベースプロトコル
リソース管理プロトコル
SCIMは、JSONデータ形式を使用したリソース管理への直接的アプローチを提供するRESTベースプロトコルです。
技術的には、SCIMを使用して任意のリソースを表すことができますが、主にクラウドベースアプリケーション(サービス)のユーザー管理に使用されます。
実装が容易
SCIMプロビジョニングは、既存Webモデル標準と連携することで、容易に実装できます。
プログラミング言語内でHTTPリクエストメソッド(GET、POST、DELETEなど)を使用して動作させることができるため、IDライフサイクル全体において、さまざまなユーザーデータ管理機能を実装できます。
標準化のメリット
SCIMプロビジョニング最大の利点の1つとして「標準化」があります。
「アクセシビリティ」と「相互運用性」が組み込まれているSCIMは、「レコードトラッキング」「手動のオンボーディングおよびオフボーディング」「不十分なパートナー通信の問題」などの課題を解決し、安全なIDデータ交換を促進します。
また、クラウドベースアプリケーション間の通信を容易にし、「IDプロバイダー(ディレクトリ機能)」と「サービスプロバイダー(SaaSベンダー)」間の接続を標準化します。
データ同期機能
SCIMは、IDを効果的に一元化し、「IDプロバイダー」と「サービスプロバイダー」の間でデータ同期を維持します。
運用コストに関して、この同期だけでも大きなメリットがあります。
クロスドメインユーザープロビジョニング
SCIMは、名前が示すように、ドメイン(個別ITシステム)間のID管理を処理します。
SCIMは標準化されているため、すべてのITシステムを簡単に統合し、これらのホストされたSaaSアプリケーション全体でのID管理を効率化できます。
軽量アプローチ
「LDAP」「Active Directory」などのプロトコルと直接統合する場合と比較して、SCIMはより最新で軽量なアプローチとして利用できるため、開発者の観点からはSCIMのほうがはるかに簡単に操作できます。
SCIMはRESTベースプロトコルであるため、通信の観点からも優れています。
IDプロバイダー連携
SCIMは、SCIM対応の主要なIDプロバイダーとの連携が可能であるため、優先IDプロバイダーからユーザーIDライフサイクル全体を管理できます。
・Okta
・SailPoint IdentityIQ
・PingFederate
・OneLogin
・Azure ActiveDirectory など
オンボーディング(オフボーディング)プロセスの自動化
SCIMプロビジョニングを使用すると、管理者はユーザーのプロビジョニングおよびプロビジョニング解除について、ドメインを超えたプロセス自動化を作成できます。
すべてのパートナーアプリが同期されているため、管理者がユーザーをディレクトリから削除すると、それはすべてのSCIMベースアプリから同時に削除されます。
これにより、オフボーディングの一貫性が生まれ、ユーザー離脱後の企業データ侵害のリスクを大幅に軽減できます。
シングルサインオンのサポート
SCIMプロビジョニングはシングルサインオン(SSO)をサポートします。
ユーザーが1セットの資格情報(ユーザーID+パスワード)を使用してセッション中に1回ログインすることにより、許可されたアプリケーションスイートにアクセスできるようになります。
「ID+パスワード漏洩リスク」などを低減でき、ユーザーの利便性も向上できます。
SCIMプロビジョニング
背景
SCIMが普及する前の時代では、ユーザーID管理手法は多種多様に存在しており、それぞれが複雑な仕組みとなっていました。
既存のプロトコルやシステムを運用する場合に、古いカスタムAPIなどの規制に対応しなければならないため、システム管理において大きな負担となっていました。
そのような状況の中で、効率的にユーザー管理を実施できるSCIMという仕組みが登場し、IDプロバイダーを利用するクラウドベース統合のためのオープンスタンダードになりました。
ユーザー管理方法の発展経緯
ITシステムまたはアプリケーションでユーザーを管理する方法は、以下のような経緯で発展してきました。
①手動
・手動でユーザーの「作成」「更新」「削除」を実施
×何らかの変更が発生するたびにすべてのアプリケーションでの個別設定が必要
×運用コストがかかる
×大規模環境への拡張は困難
②ディレクトリサービス
・1つのユーザーディレクトリを「信頼できる情報源」として設定して機能する
・「Active Directory」「Open Directory」「LDAP」など
○管理者は1つのディレクトリのみを管理
○変更内容は連携しているシステムやアプリケーションに同期される
○ユーザー管理の自動化が可能
○運用コストは縮減
○大規模環境への拡張が可能
△クラウドアプリケーションとの統合が困難になるケースがある
③SCIMプロビジョニング
・信頼できる情報源として「プロビジョニングプロバイダー」に依存
・RESTとJSONを利用して通信
・バックエンドでディレクトリサービスに接続
SCIMプロビジョニングの「利点」
①標準化
・オープンスタンダードベース
・「IDプロバイダー」と「サービスプロバイダー」間の接続を標準化
・「アクセシビリティ」と「相互運用性」が組み込まれている
・既存のWebモデル標準と連携
・実装が容易
○IDメンテナンスの課題を解決—「レコードトラッキング」「オンボーディング+オフボーディング」「パートナー通信」など
○安全なIDデータ交換を促進
○社内ファイアウォールなどの障壁を超えて常に通信可能
○シームレスな統合に理想的なプロトコル
○クラウドアプリとの統合が容易
○大規模環境への拡張も容易
○IDライフサイクル全体でユーザーデータを管理
②プロセス自動化
・IDを効率的に一元化
・「IDプロバイダー」と「サービスプロバイダー」の間でデータの同期を維持
○クラウド内のユーザーIDを効率的に管理可能
○ユーザープロファイルと権限を更新
○運用コスト削減
○リスク軽減
○効率的なオンボーディングプロセス—「ユーザープロビジョニング」+「ユーザープロビジョニング解除」
すべてのパートナーアプリが同期されるため、管理者がユーザーをディレクトリから削除すると、それらはすべてのSCIMベースのアプリケーションから同時に削除されます。
これにより、オフボーディングの一貫性が生まれ、ユーザー離脱後の企業データ侵害リスクが大幅に軽減されます。
以下のような自動化が可能となります。
・従業員が入社時、ダウンストリームアプリケーションを自動的にプロビジョニング
・ユーザープロファイルの属性が変更されたときに、ダウンストリームアプリケーションを自動的に更新
・ユーザー退職時に「ダウンストリームアプリケーションへのアクセス権限」を自動的に削除
③シングルサインオン
SCIMプロビジョニングでは「シングルサインオン(SSO)」をサポートしているため、ユーザーが1セットの資格情報を使用してセッション中に1回ログインすることにより、許可されたアプリケーションスイートにアクセスできます。
パスワード関連のセキュリティ脆弱性を減少させつつ、ユーザーの日常的タスクを効率化できます。
SCIMプロビジョニングの「アクション」
概要
プロビジョニングは、「サービスプロバイダー」と「SCIMクライアント」の間の一連となるアクションで構成されます。
SCIMプロトコルは、RESTスタイルのアーキテクチャとJSONオブジェクトを使用して、ユーザーまたはグループに関するデータを通信します。
アプリケーション開発者は、必要なユースケースを定義してから、対応するSCIMアクションを統合に組み込みます。
特定プログラミング言語内でHTTPリクエストメソッド(GET、POST、DELETEなど)を使用して動作させます。
①作成(プロビジョニング)
ユーザープロファイルとグループ割り当ての値に基づいて、ダウンストリームアプリケーションに新しいユーザーを作成します。
②照会
ユーザー(グループ)のリソースに関する情報を照会します。
③更新
変更されたデータに基づいてアプリケーションのリソースを更新する必要がある場合、既存のユーザーまたはグループの属性を更新します。
④削除(プロビジョニング解除)
エンドユーザープロファイルの「削除」または「プロビジョニング解除」を実施します。
日本企業向けクラウドID管理サービス「Keyspider」とは?
Keyspiderオフィシャルサイトでは、Keyspiderに関する情報を紹介しています。
「日本企業向けである理由」「Keyspiderが必要である理由」「JSOX法対応」「業務自動化」などについて参照できます。
参考サイト
- →sailpoint.com →What is SCIM Provisioning?
- →support.workiva.com →Manage and provision users with SCIM
- →curity.io →User Provisioning With SCIM
- →curity.io →Managing Users With SCIM
- →support.templafy.com →What is SCIM and how does Templafy use it
- →support.code42.com →Introduction to SCIM provisioning
- →developer.okta.com →SCIM