ID管理に必要なSCIMとは?

近年、ID管理が非常に重視されるようになっています。その理由は、セキュリティ対策としての基盤になるだけでなく、「認可」を正しく行うための重要な要素になっているからです。今回は、ID管理の中でも、ID管理システムに備わっているSCIMについて詳しく説明します。

ID管理の詳細はこちらの記事をご覧ください。
「ID管理とは?メリットやシステム選定ポイントをわかりやすく解説」

SCIMとは

SCIM(読み方:スキム)は「Systems for Cross-domain Identity Management」の頭文字をとった略語です。SCIMの目的は、自動的にIDのプロビジョニング(同期)を実現することです。現在では、ID管理を簡単に実現するための標準規格となっています。まずは、登場した背景からご説明します。

SCIMが登場した背景

SCIMが登場した2011年ごろより、将来的にクラウドサービス・システムが主流になることが予見されていました。そのため、異なるドメイン間でIDやパスワードなどの認証情報をやり取りできる規格が求められていました。

実際に、この時より、社内でユーザー情報を管理・運用する情報システム部門では、大きく3つの問題がありました。
①入社する人を人事DBだけでなく、各クラウドサービスのアカウント情報の登録を手作業で行う必要がある
②退社時に、各アカウントの削除が行われず、情報漏洩のリスクになる
③定期的なアカウントの確認の際に、抜け漏れが発生する

以上のような課題を解消すべく、古くからIDを管理するためのプロトコルは多く登場していました。その中でも、SCIMはユーザー管理の標準化や複雑な仕様を減らすことで、標準規格として確立されるようになっています。2011年にSCIM1.0が誕生し、2015年以降はSCIM2.0が利用されています。

SCIMの仕様

SCIMはJSON形式でHTTPを用いて連携します。SCIMによって、JSON形式の認証情報データをIdP(SPと認証情報をやり取りするサービス)やSP(クラウドサービス)と連携できるようになります。これによって、プロビジョニングの自動化を実現しています。

SCIMを利用するメリットとは

SCIMを利用する最大のメリットは、ユーザーの認証情報を自動で連携できるようになることです。具体的には、「ユーザーの作成・削除」という基本的な部分から、ユーザー属性情報、属性スキーマ、グループへのアクセス権などの情報を管理できます。これによって、2つのメリットが生まれます。

認可を強化できる

SCIMを利用することで、アクセス権を全システムに対して正しく定義できます。これにより、簡単に「認可」を強化することができます。ID管理が重要になった要因でもあるため、大きなメリットと言えるでしょう。

認可の詳細はこちらの記事をご覧ください。
「認証と認可の違いとは|セキュリティの強化について説明」

管理者の負担を軽減できる

実務的なメリットでいえば、管理者の負担を大幅に軽減できることが大きいでしょう。手動でアカウントを登録している場合、入退社や異動が多い時期には、ID登録に人員を割かなければなりません。その際には、抜け漏れなどのミスも発生する可能性があります。つまり、管理者にとって非常に大きな負荷がかかる業務と言えます。
そこで、SCIMを利用すると、人事DB内のデータは常にIdPやSPと連携できるようになり、手入力の回数を減らすことができます。さらに、退職したユーザの情報を削除するのも簡単になります。これにより、管理者の負担を減らすことができます。そのほかにも、内部監査への対応時の負担も軽減できるため、管理者にとっては、非常に利便性の高いメリットと言えるでしょう。

内部統制や監査などの詳細はこちらの記事をご覧ください。
「内部統制におけるアクセス管理とは?その概要と対策について」

SCIMを利用できるクラウドサービスとは

以上で見てきたように、SCIMはID管理の負担を減らすためには、非常に便利な規格です。しかし、現状としてSCIMを利用できるクラウドサービスは多くありません。機能は大きく異なりますが、よく比較されるSSOのフェデレーション規格であるSAMLよりも少ないのが現状です。ただし、SCIMよりも優れているIDプロビジョニングの規格は登場していないため、今後も徐々に普及していくと考えられます。

SCIMを利用できるクラウドサービスは以下のものが挙げられます。

  • GoogleWorkspace
  • Salesforce
  • Azure AD/Microsoft365
  • Slack
  • SAP

SCIMが利用できるID管理システムとは

ID管理システムの重要な機能は、クラウドサービスとのIDプロビジョニングです。そのため、ほとんどすべてのID管理システムがSCIMを利用できます。実際に、OktaやLDAP Manager、KeyspiderなどはSCIMを利用して、クラウドサービスのID連携を実現しています。

ID管理システム製品を比較されたい方は、以下の記事をご覧ください。
「ID管理システム4選の機能・特徴を比較!」

まとめ

SCIMは登場から10年程しか経っていない規格ですが、単純なID管理だけでなく、セキュリティリスクを低減できる「認可」も可能にすることができます。その一方で、連携できるクラウドサービスが少なく、ID管理の負担を大幅に減らすことができないのも現状です。
また、ID管理システムの導入には、技術とノウハウを備えたインテグレータを活用することも重要です。かもめエンジニアリングでは、SCIMだけでなく、あらゆるID連携の規格に対応し、国産クラウドサービスとも連携できるID管理クラウドサービスKeyspiderを提供しており、様々な構築実績がございます。ご興味ある方は、以下のお問合せフォームよりご連絡ください。

事業・商品・サービスに関するお問い合わせ

製品に関するお問い合わせはこちら

※フリーメールでのお問い合わせは受け付けておりません。

必須
必須
必須
必須
必須
必須
必須