まだID追加を手作業でやってるの！？SCIMによる自動化

はい、こんにちは。松井真也です。『ゼロトラスト用語辞典シリーズ』と題してブログを更新しております

今回のテーマは、「ユーザープロビジョニングの自動化」です。ID管理のお話しが続いておりますが、ID管理は日々複雑化して設定ミスが起こりえます。これをうまく防ぐ仕組みが必要そうですね？それは一体どのようなものでしょうか？

早速見てみましょう！

ユーザプロビジョニングとは？

本題に入る前にまず、「プロビジョニング」とは何でしょうか？英語本来の意味は、「提供する」「配布すること」のような意味ですね。

新しいスタッフが入社した際、その人がスムーズに業務を開始できるようにしたいです。そのためには、システムのID作成など、様々な設定が必要ですな。

それ以外にも、システムへのアクセス権の設定、必要なソフトウェアのインストール、個人用のファイル保存領域の確保などが含まれます。この一連のプロセスを「ユーザープロビジョニング」と呼びます。

企業が成長し、新しいスタッフの採用が頻繁になると、これらの作業は非常に時間を要するものとなります。加えて、設定ミスも起こりやすくなり、そこがセキュリティホールにもなりえます。

そこで、このプロセスをできるだけ効率化することが重要な課題となってきます。

ここまでOKですね。

SCIMでプロビジョニングを自動化！

では、ユーザープロビジョニングの自動化は、どうすればいいのでしょうか？そこで「SCIM」（スキム）の登場です！

SCIM（System for Cross-domain Identity Management）とは、ユーザープロビジョニングを効率的に行うために設計された国際標準規格です。

この規格は、異なるシステム間でユーザーアカウント情報を交換するための一連のプロトコルとデータ形式を定義しています。

具体的には、JSONやXMLをデータ形式として使用し、HTTPプロトコルに基づいたREST APIを通じて、ユーザー情報の取得や更新、アカウントの追加・削除などの操作が行われます。GET、POST、PUT、PATCH、DELETEといったHTTPメソッドを用いて、簡単に情報の取得や更新、削除が行えるため、効率的な運用が実現します。

このSCIMのお陰で、異なるシステムやアプリケーション間でのIDの互換性が保たれ、スムーズなアカウント情報の交換できるというわけです。人事部もIT部門も負担が軽減してうれしですね♪。

SCIMでIDP/IDaaSに自動連携

この便利なSCIMですが、先に紹介したIDプロバイダー（IDP）やアイデンティティ・アズ・ア・サービス（IDaaS）といったサービスと容易に統合できます。

手作業でIDPやIDaaSにID登録を行っていては、煩雑ですし、なにしろミスが起こります。そこで、人事系システムにユーザ登録を行うと、SCIMの仕組みでIDaaSやIDPへデータ連携するという運用が考えられます。

これにより、IT部門の作業負担が軽減されるだけでなく、セキュリティの向上にも寄与します！

はい、本日はここまで！今回はプロビジョニングを自動化する「SCIM」のお話しでした！