SCIMとは? アカウントプロビジョニング標準の概念
SCIM(アカウントプロビジョニング標準)の定義と動作を整理します。システム間でアカウントを自動で作成・変更・無効化する標準がなぜ必要かを説明します。
SCIM(System for Cross-domain Identity Management)は、システム間でユーザーアカウント情報を標準的な方式でやり取りするためのプロトコルです。アカウントの作成・変更・無効化を一つのソースから複数のシステムへ自動で反映する規約で、スキーマ(RFC 7643)とプロトコル(RFC 7644)として定義されています。
SCIMが解決する問題
アカウント管理が手作業だと、アプリが増えるほど漏れが生じます。入社者にアプリごとにアカウントを手で作り、退職者のアカウントをアプリごとに探して無効化する方式は、時間がかかり、ミスも起きやすいものです。特に退職者のアカウント回収が遅れると、セキュリティとコンプライアンスのリスクになります。
SCIMはこの過程を自動化します。アカウント情報が標準形式でやり取りされるため、一か所でアカウントを作ったり無効化したりすれば、連携したシステムにその変化が反映されます。
SCIMはどう動くのか
SCIMはRESTとJSONを使い、ユーザーとグループをそれぞれ/Users、/Groupsエンドポイントで扱います。アカウントを作る側(通常は人事システムや上位のディレクトリ)が要求を送り、アカウントを受け取る側がSCIM APIでその要求を処理します。つまりSCIMには送る側と受け取る側の役割があります。どのシステムがどの役割を担うかを導入前に明確にしておくことで、アカウントが両側で別々に作られる混乱を避けられます。
SCIM導入前に確認すること
会社が使うアプリのうちどれがSCIMに対応しているか、アカウントの源泉をどこに置くか、グループとロールをどう設計するかを先に決める必要があります。この設計がそのままアクセス権限ポリシーになります。
AxiPassはSCIM 2.0 APIを受信サーバーとして提供します。人事システムや上位のディレクトリからAxiPassへ、アカウントの作成・変更・無効化を自動で反映できます。SCIMでオン・オフボーディングを自動化する実務は、退職者のアカウント、数日間生きたままで大丈夫ですかへと続き、無料で始めることでご自身で確認できます。
