ID管理技術

【クラウドID管理解説】知っておきたい「 SCIM 」

【クラウドID管理解説】
クラウドユーザーID管理のためのオープン業界標準仕様「 SCIM 」について解説しています。
SCIMの特徴として、「RESTベースプロトコル」「標準化のメリット」「クロスドメインユーザープロビジョニング」「軽量アプローチ」「IDプロバイダー連携」「管理プロセス自動化」などについて参照できます。

「SCIM」とは

業界標準仕様

「SCIM(System for Cross-domain Identity Management)」とは、クラウドベースでユーザーID一元管理プロセスを簡素化するためのオープンな業界標準仕様(プロトコル)です。

ドメインを超えるユーザーID管理

SCIMは「異なるドメイン(ITシステム)間でのユーザーID情報交換の自動化」と「複数ユーザーデータソースへの標準化データモデル適用」により、安価かつ簡単に、ドメインを超えるユーザーID管理方法を提供します。

効率化のための効果的な手段

企業はSCIMプロビジョニングにより、クラウド内および企業オンプレミス内のユーザーIDについて、統合的かつ効率的な管理が可能となります。

これにより「コスト削減」「リスク軽減」「ワークフロー合理化」などのメリットを得られます。

SCIMプロビジョニングは、すべての企業にとって「ID管理における効率化とセキュリティを高めるための効果的な手段」として注目され導入が進んでいます。

「SCIM」の特徴

RESTベースプロトコル

リソース管理プロトコル

SCIMは、JSONデータ形式を使用したリソース管理への直接的アプローチを提供するRESTベースプロトコルです。

技術的には、SCIMを使用して任意のリソースを表すことができますが、主にクラウドベースアプリケーション(サービス)のユーザー管理に使用されます。

実装が容易

SCIMプロビジョニングは、既存Webモデル標準と連携することで、容易に実装できます。

プログラミング言語内でHTTPリクエストメソッド(GET、POST、DELETEなど)を使用して動作させることができるため、IDライフサイクル全体において、さまざまなユーザーデータ管理機能を実装できます。

標準化のメリット

SCIMプロビジョニング最大の利点の1つとして「標準化」があります。

「アクセシビリティ」と「相互運用性」が組み込まれているSCIMは、「レコードトラッキング」「手動のオンボーディングおよびオフボーディング」「不十分なパートナー通信の問題」などの課題を解決し、安全なIDデータ交換を促進します。

また、クラウドベースアプリケーション間の通信を容易にし、「IDプロバイダー(ディレクトリ機能)」と「サービスプロバイダー(SaaSベンダー)」間の接続を標準化します。

データ同期機能

SCIMは、IDを効果的に一元化し、「IDプロバイダー」と「サービスプロバイダー」の間でデータ同期を維持します。

運用コストに関して、この同期だけでも大きなメリットがあります。

クロスドメインユーザープロビジョニング

SCIMは、名前が示すように、ドメイン(個別ITシステム)間のID管理を処理します。

SCIMは標準化されているため、すべてのITシステムを簡単に統合し、これらのホストされたSaaSアプリケーション全体でのID管理を効率化できます。

軽量アプローチ

「LDAP」「Active Directory」などのプロトコルと直接統合する場合と比較して、SCIMはより最新で軽量なアプローチとして利用できるため、開発者の観点からはSCIMのほうがはるかに簡単に操作できます。

SCIMはRESTベースプロトコルであるため、通信の観点からも優れています。

IDプロバイダー連携

SCIMは、SCIM対応の主要なIDプロバイダーとの連携が可能であるため、優先IDプロバイダーからユーザーIDライフサイクル全体を管理できます。

・Okta
・SailPoint IdentityIQ
・PingFederate
・OneLogin
・Azure ActiveDirectory など

オンボーディング(オフボーディング)プロセスの自動化

SCIMプロビジョニングを使用すると、管理者はユーザーのプロビジョニングおよびプロビジョニング解除について、ドメインを超えたプロセス自動化を作成できます。

すべてのパートナーアプリが同期されているため、管理者がユーザーをディレクトリから削除すると、それはすべてのSCIMベースアプリから同時に削除されます。

これにより、オフボーディングの一貫性が生まれ、ユーザー離脱後の企業データ侵害のリスクを大幅に軽減できます。

シングルサインオンのサポート

SCIMプロビジョニングはシングルサインオン(SSO)をサポートします。

ユーザーが1セットの資格情報(ユーザーID+パスワード)を使用してセッション中に1回ログインすることにより、許可されたアプリケーションスイートにアクセスできるようになります。

「ID+パスワード漏洩リスク」などを低減でき、ユーザーの利便性も向上できます。

SCIMプロビジョニング

背景

SCIMが普及する前の時代では、ユーザーID管理手法は多種多様に存在しており、それぞれが複雑な仕組みとなっていました。

既存のプロトコルやシステムを運用する場合に、古いカスタムAPIなどの規制に対応しなければならないため、システム管理において大きな負担となっていました。

そのような状況の中で、効率的にユーザー管理を実施できるSCIMという仕組みが登場し、IDプロバイダーを利用するクラウドベース統合のためのオープンスタンダードになりました。

ユーザー管理方法の発展経緯

ITシステムまたはアプリケーションでユーザーを管理する方法は、以下のような経緯で発展してきました。

①手動

・手動でユーザーの「作成」「更新」「削除」を実施

×何らかの変更が発生するたびにすべてのアプリケーションでの個別設定が必要
×運用コストがかかる
×大規模環境への拡張は困難

②ディレクトリサービス

・1つのユーザーディレクトリを「信頼できる情報源」として設定して機能する
・「Active Directory」「Open Directory」「LDAP」など

○管理者は1つのディレクトリのみを管理
○変更内容は連携しているシステムやアプリケーションに同期される
○ユーザー管理の自動化が可能
○運用コストは縮減
○大規模環境への拡張が可能

△クラウドアプリケーションとの統合が困難になるケースがある

③SCIMプロビジョニング

・信頼できる情報源として「プロビジョニングプロバイダー」に依存
・RESTとJSONを利用して通信
・バックエンドでディレクトリサービスに接続

SCIMプロビジョニングの「利点」

①標準化

・オープンスタンダードベース
・「IDプロバイダー」と「サービスプロバイダー」間の接続を標準化
・「アクセシビリティ」と「相互運用性」が組み込まれている
・既存のWebモデル標準と連携
・実装が容易

○IDメンテナンスの課題を解決—「レコードトラッキング」「オンボーディング+オフボーディング」「パートナー通信」など
○安全なIDデータ交換を促進

○社内ファイアウォールなどの障壁を超えて常に通信可能
○シームレスな統合に理想的なプロトコル
○クラウドアプリとの統合が容易
○大規模環境への拡張も容易
○IDライフサイクル全体でユーザーデータを管理

②プロセス自動化

・IDを効率的に一元化
・「IDプロバイダー」と「サービスプロバイダー」の間でデータの同期を維持

○クラウド内のユーザーIDを効率的に管理可能
○ユーザープロファイルと権限を更新
○運用コスト削減
○リスク軽減
○効率的なオンボーディングプロセス—「ユーザープロビジョニング」+「ユーザープロビジョニング解除」

すべてのパートナーアプリが同期されるため、管理者がユーザーをディレクトリから削除すると、それらはすべてのSCIMベースのアプリケーションから同時に削除されます。
これにより、オフボーディングの一貫性が生まれ、ユーザー離脱後の企業データ侵害リスクが大幅に軽減されます。

以下のような自動化が可能となります。
・従業員が入社時、ダウンストリームアプリケーションを自動的にプロビジョニング
・ユーザープロファイルの属性が変更されたときに、ダウンストリームアプリケーションを自動的に更新
・ユーザー退職時に「ダウンストリームアプリケーションへのアクセス権限」を自動的に削除

③シングルサインオン

SCIMプロビジョニングでは「シングルサインオン(SSO)」をサポートしているため、ユーザーが1セットの資格情報を使用してセッション中に1回ログインすることにより、許可されたアプリケーションスイートにアクセスできます。

パスワード関連のセキュリティ脆弱性を減少させつつ、ユーザーの日常的タスクを効率化できます。

SCIMプロビジョニングの「アクション」

概要

プロビジョニングは、「サービスプロバイダー」と「SCIMクライアント」の間の一連となるアクションで構成されます。

SCIMプロトコルは、RESTスタイルのアーキテクチャとJSONオブジェクトを使用して、ユーザーまたはグループに関するデータを通信します。

アプリケーション開発者は、必要なユースケースを定義してから、対応するSCIMアクションを統合に組み込みます。

特定プログラミング言語内でHTTPリクエストメソッド(GET、POST、DELETEなど)を使用して動作させます。

①作成(プロビジョニング)

ユーザープロファイルとグループ割り当ての値に基づいて、ダウンストリームアプリケーションに新しいユーザーを作成します。

②照会

ユーザー(グループ)のリソースに関する情報を照会します。

③更新

変更されたデータに基づいてアプリケーションのリソースを更新する必要がある場合、既存のユーザーまたはグループの属性を更新します。

④削除(プロビジョニング解除)

エンドユーザープロファイルの「削除」または「プロビジョニング解除」を実施します。

日本企業向けクラウドID管理サービス「Keyspider」とは?

Keyspiderオフィシャルサイトでは、Keyspiderに関する情報を紹介しています。

「日本企業向けである理由」「Keyspiderが必要である理由」「JSOX法対応」「業務自動化」などについて参照できます。


参考サイト