クラウドサービスの普及に伴い、企業のID管理はますます複雑になっています。
新入社員のアカウント発行や退職者の削除を手作業で行い、管理の手間やセキュリティリスクに悩んでいませんか?
そんな課題を解決するのが「SCIM(System for Cross-domain Identity Management)」です。
本記事では、SCIMとは何か、その仕組みやメリット、SAMLやOAuthとの違い、具体的な導入方法や活用事例まで詳しく解説します。
SCIMを活用すれば、ID管理を自動化し、セキュリティと業務効率を大幅に向上できます。
クラウド時代に欠かせないSCIMのすべてを、今すぐチェックしましょう!
この記事は以下のような人におすすめ!
- SCIMとは何か知りたい人
- SAMLやOAuthなど、他のプロトコルとの違いが分からない
- 自社で利用しているSaaSがSCIMに対応しているか知りたい
SCIMの基礎知識
SCIM(System for Cross-domain Identity Management)は、クラウドサービスの普及に伴い、ID管理の自動化と効率化を実現するために開発されたプロトコルです。
本章では、SCIMとは何か、その背景、そして基本用語と概念について詳しく解説します。
1-1. SCIMとは何か
1-1-1. SCIMの定義
SCIM(System for Cross-domain Identity Management)とは、異なるシステム間でユーザーのアイデンティティ情報(アカウントや属性)を自動的に同期・管理するための標準化されたプロトコルです。
クラウド環境や複数のSaaS(Software as a Service)を利用する企業にとって、SCIMはユーザー管理の負担を大幅に軽減する役割を果たします。
1-1-2. SCIMの目的
SCIMは、以下のような目的で開発されました。
- ID管理の自動化: ユーザーの追加・変更・削除を一元管理し、手動作業を減らす。
- 異なるサービス間の統合: 複数のクラウドサービスを利用する際に、ID情報の一貫性を維持する。
- セキュリティ強化: ID管理の効率化により、アカウントの不正利用や管理ミスを防ぐ。
1-1-3. SCIMの基本的な仕組み
SCIMは、RESTful APIとJSONベースのデータ形式を使用して、IdP(Identity Provider)とSP(Service Provider)間でデータを同期します。
SCIMの基本構造
| 項目 | 説明 |
|---|---|
| IdP(IDプロバイダー) | ID情報を管理し、SCIMを通じてSPへ同期する(例:Azure AD, Okta) |
| SP(サービスプロバイダー) | IdPから受け取ったID情報を活用し、サービスを提供する(例:Google Workspace, Salesforce) |
| SCIM API | REST APIを利用して、ユーザー情報をCRUD(作成・読み取り・更新・削除)する |
1-2. SCIMが生まれた背景
1-2-1. 従来のID管理の課題
SCIMが登場する前、企業のID管理には以下のような課題がありました。
- 手動管理の負担が大きい: 新規ユーザーの追加や削除を手作業で行う必要があり、時間がかかる。
- データの不整合が発生しやすい: システムごとにID情報を登録すると、更新漏れや不一致が発生する。
- セキュリティリスクが増大: 退職者のアカウントが適切に削除されず、不正アクセスのリスクが高まる。
1-2-2. クラウド時代のID管理の変化
クラウドサービスの普及により、多くの企業が複数のSaaSを利用するようになりました。
これにより、各サービスごとにIDを管理するのではなく、一元的に管理できる仕組みが求められるようになりました。
SCIMは、このようなニーズに応えるために開発されました。
1-2-3. SCIMの標準化
SCIMは、Internet Engineering Task Force(IETF) によって標準化され、現在では SCIM 2.0 が広く使用されています。
標準化により、多くのクラウドサービスがSCIMをサポートするようになり、異なるサービス間で統一的にID管理ができるようになりました。
1-3. SCIMの基本用語と概念
SCIMを理解する上で重要な用語と概念を整理します。
1-3-1. SCIMの主要用語
| 用語 | 説明 |
|---|---|
| SCIM 2.0 | 現在主流となっているSCIMのバージョン |
| REST API | SCIMが使用するWeb APIの通信方式 |
| JSON | SCIMがデータをやり取りする際に使用するデータ形式 |
| Schema | SCIMで定義されるユーザー情報の構造 |
1-3-2. SCIMのデータモデル
SCIMでは、以下のデータモデルが定義されています。
- Userリソース: ユーザー情報(ID、メールアドレス、所属部署など)
- Groupリソース: ユーザーのグループ情報(チーム、ロールなど)
- Enterprise User: 企業向けに拡張されたユーザー情報(社員番号、所属部署など)
1-3-3. SCIMの認証・認可の仕組み
SCIMは、一般的に OAuth 2.0 や Bearer Token を使用して、APIへのアクセスを認証・認可します。
これにより、セキュアなデータ同期が可能となります。
SCIMの仕組み
SCIM(System for Cross-domain Identity Management)は、クラウド時代のID管理を効率化するための標準プロトコルです。
本章では、SCIMのアーキテクチャ、データモデル、プロトコルとAPIについて詳しく解説します。
2-1. SCIMのアーキテクチャ
SCIMのアーキテクチャは、ID管理をシンプルにするために設計されており、IdP(アイデンティティプロバイダー) と SP(サービスプロバイダー) の2つの主要なコンポーネントで構成されています。
2-1-1. SCIMの基本構造
SCIMの基本的な構造を以下の表にまとめます。
| 項目 | 説明 |
|---|---|
| IdP(Identity Provider) | ユーザーのID情報を管理し、SCIMを通じてSPに同期する(例:Azure AD, Okta) |
| SP(Service Provider) | IdPから受け取ったID情報を利用し、サービスを提供する(例:Google Workspace, Salesforce) |
| SCIM API | REST APIを通じて、IdPとSP間でユーザー情報をやり取りする |
| データフォーマット | JSON形式を使用し、ユーザーやグループ情報を標準化 |
この構造により、SCIMはクラウド環境でのID管理を統一し、シンプルかつ効率的な運用を可能にします。
2-1-2. SCIMが解決する課題
SCIMのアーキテクチャは、以下のような課題を解決します。
- 複数サービスのアカウント管理の一元化
SCIMを利用することで、企業は複数のクラウドサービスのアカウントを一元管理できる。 - 手動作業の削減と人的ミスの防止
APIを通じて自動同期されるため、手動での登録・削除作業が不要になる。 - セキュリティの向上
退職者のアカウント削除を自動化し、不正アクセスリスクを低減。
2-2. SCIMのデータモデル
SCIMは、ID管理の標準化を目的として、ユーザーやグループ情報を一定のデータモデルに基づいて定義しています。
2-2-1. SCIMの主要リソース
SCIMで管理する主要なデータリソースは以下の通りです。
| リソース名 | 説明 |
|---|---|
| User | ユーザー情報(名前、メールアドレス、所属部署など) |
| Group | ユーザーのグループ情報(チーム、ロールなど) |
| EnterpriseUser | 企業向けの拡張ユーザー情報(社員番号、雇用形態など) |
2-2-2. Userリソースのデータ構造
SCIMのUserリソースは、以下のようなデータ構造を持っています。
{
“schemas”: [“urn:ietf:params:scim:schemas:core:2.0:User”],
“id”: “12345”,
“userName”: “jdoe”,
“name”: {
“givenName”: “John”,
“familyName”: “Doe”
},
“emails”: [
{
“value”: “jdoe@example.com”,
“type”: “work”,
“primary”: true
}
],
“groups”: [
{
“value”: “Engineering”,
“display”: “Engineering Team”
}
]
}
このデータモデルにより、SCIMは統一されたフォーマットでユーザー情報を管理できるようになります。
2-2-3. Groupリソースのデータ構造
グループ情報は、以下のような形で管理されます。
{
“schemas”: [“urn:ietf:params:scim:schemas:core:2.0:Group”],
“id”: “67890”,
“displayName”: “Engineering Team”,
“members”: [
{
“value”: “12345”,
“display”: “John Doe”
}
]
}
SCIMでは、IdPがユーザーとグループを統一的に管理し、SPに自動的に同期できる仕組みを提供しています。
2-3. SCIMのプロトコルとAPI
SCIMは、REST APIをベースとしたプロトコルを使用し、シンプルな操作でID情報を管理・同期できます。
2-3-1. SCIMの主要APIエンドポイント
SCIMのAPIでは、以下の主要なエンドポイントが用意されています。
| HTTPメソッド | エンドポイント | 説明 |
|---|---|---|
| GET | /Users | すべてのユーザー情報を取得 |
| GET | /Users/{id} | 指定したIDのユーザー情報を取得 |
| POST | /Users | 新しいユーザーを作成 |
| PUT | /Users/{id} | 指定したIDのユーザー情報を更新 |
| DELETE | /Users/{id} | 指定したIDのユーザーを削除 |
SCIMのAPIを利用することで、クラウドサービス間でユーザー情報の管理を自動化できます。
2-3-2. SCIM APIのリクエスト例
例えば、新しいユーザーを追加する場合、以下のようなPOSTリクエストを送信します。
POST /Users
Content-Type: application/json
Authorization: Bearer
{
“schemas”: [“urn:ietf:params:scim:schemas:core:2.0:User”],
“userName”: “jdoe”,
“name”: {
“givenName”: “John”,
“familyName”: “Doe”
},
“emails”: [
{
“value”: “jdoe@example.com”,
“type”: “work”,
“primary”: true
}
]
}
このリクエストを送ることで、SCIM対応のサービス(SP)にユーザー情報が登録されます。
2-3-3. SCIMの認証・認可
SCIM APIでは、OAuth 2.0を利用した認証・認可が一般的です。
- Bearer Tokenを使用
APIリクエスト時に、OAuth 2.0で発行されたトークンをAuthorizationヘッダーに設定し、認証を行います。 - セキュアな通信を確保
SCIM APIはHTTPSを利用し、安全にユーザー情報を送受信します。
SCIMと他のプロトコルとの比較
SCIM(System for Cross-domain Identity Management)は、ID管理の標準プロトコルとして広く利用されています。
しかし、企業のID管理では、SAML(Security Assertion Markup Language)、OAuth(Open Authorization)、LDAP(Lightweight Directory Access Protocol)など、さまざまなプロトコルが併用されることが一般的です。
本章では、それぞれのプロトコルとの違いを詳しく解説します。
3-1. SCIMとSAMLの違い
SCIMとSAMLは、どちらもID管理に関連する技術ですが、目的や役割が異なります。
3-1-1. SCIMとSAMLの基本的な役割
| プロトコル | 役割 |
|---|---|
| SCIM | ユーザーアカウントの作成・更新・削除を自動化する(ID管理の同期) |
| SAML | ユーザー認証を行い、シングルサインオン(SSO)を実現する(IDの認証) |
SCIMはユーザー情報の同期を目的とするのに対し、SAMLは認証情報のやり取りに特化している点が大きな違いです。
3-1-2. SCIMとSAMLの動作の違い
- SCIM → ユーザーアカウントの作成・更新・削除をIdPからSPへ同期する
- SAML → ユーザーがログインする際に、IdPがSPに認証情報を渡す
例えば、SCIMは「社員が退職した際にアカウントを自動削除」するのに対し、SAMLは「社員が会社のポータルにログインすると、クラウドサービスにも自動ログイン」できる仕組みです。
3-2. SCIMとOAuthの関係
SCIMとOAuthは、どちらもクラウド環境におけるID管理で重要な役割を果たしますが、用途が異なります。
3-2-1. SCIMとOAuthの比較
| プロトコル | 目的 |
|---|---|
| SCIM | ID情報の同期・管理 |
| OAuth | アプリケーション間での認可(アクセス制御) |
OAuthは、ユーザーの認証情報を管理するのではなく、「どのアプリがどのデータにアクセスできるか」という認可(Authorization)を制御するプロトコルです。
3-2-2. SCIMとOAuthの連携
SCIMのAPIは、多くの場合、OAuth 2.0を使用して認証・認可を行います。
具体的には、SCIM APIにリクエストを送る際、OAuthのアクセストークン(Bearer Token)を使用することで、認証されたユーザーのみがデータを操作できるようになっています。
- SCIM → ユーザー情報の作成・更新・削除をAPIで管理
- OAuth → APIリクエストのセキュリティを確保し、不正なアクセスを防止
このように、SCIMとOAuthは補完的な関係にあります。
3-3. SCIMとLDAPの比較
LDAP(Lightweight Directory Access Protocol)は、長年オンプレミス環境でID管理に使用されてきたプロトコルです。
SCIMは、LDAPをクラウド向けに最適化したような存在とも言えます。
3-3-1. SCIMとLDAPの違い
| プロトコル | 特徴 |
|---|---|
| SCIM | クラウド環境向け、REST APIを使用、JSON形式 |
| LDAP | オンプレミス環境向け、ディレクトリサービス、バイナリ形式 |
3-3-2. SCIMとLDAPの使い分け
| 使用シナリオ | 適したプロトコル |
|---|---|
| クラウドベースのSaaSとID管理を統合したい | SCIM |
| 企業内のオンプレミス環境でActive Directoryと連携したい | LDAP |
LDAPはActive Directory(AD)と連携しやすく、社内ネットワークでの利用に向いています。
一方、SCIMはクラウドサービスと連携しやすく、ID管理の標準規格として広がりつつあります。
SCIMの導入と活用方法
SCIM(System for Cross-domain Identity Management)は、企業のID管理を効率化し、クラウドサービスのアカウント管理を自動化するための重要なプロトコルです。
本章では、SCIMの導入手順、主要なIdPとSPの設定方法、SCIMをサポートする主要なサービスについて解説します。
4-1. SCIMの導入手順
SCIMを導入することで、ユーザーのプロビジョニング(アカウント作成)やデプロビジョニング(アカウント削除)を自動化できます。
以下の手順でSCIMの導入を進めていきます。
4-1-1. 導入前の準備
SCIMを導入する前に、以下のポイントを確認しておきましょう。
- IdP(Identity Provider)の選定
- 例:Azure AD, Okta, Google Workspace
- SCIMに対応しているか確認する
- SP(Service Provider)の確認
- SCIMをサポートしているSaaSやアプリを確認
- 例:Slack, Zoom, Google Workspace, AWS IAM
- 既存のID管理方式との整合性チェック
- SAMLやLDAPとの連携の必要性を確認
- 手動管理しているアカウントとの統合を検討
4-1-2. SCIMの基本設定
SCIMの導入は、以下のステップで進めます。
- IdPでSCIMの設定を有効化
- SCIMをサポートしているIdP(Azure AD、Oktaなど)でSCIMプロビジョニングを有効にする
- APIエンドポイントを設定し、SPと接続する
- SPでSCIMの受け入れ設定を行う
- SP(Google Workspace、Zoom、Slackなど)でSCIMの設定を有効化
- APIキーを生成し、IdPと接続する
- SCIMの同期テスト
- ユーザーの作成・更新・削除が正しく同期されるか検証
- 例:IdPで新規ユーザーを追加→SPに自動同期されるか確認
- 運用開始
- ユーザー管理の自動化を開始
- 退職者のアカウント削除が正しく機能するか定期的にチェック
4-2. 主要なIdPとSPの設定方法
SCIMの導入では、IdP(Identity Provider)とSP(Service Provider)の適切な設定が必要です。
4-2-1. 主要なIdP(Identity Provider)の設定
以下のIdPはSCIMをサポートしており、クラウド環境でのユーザー管理に利用されます。
| IdP | 特徴 |
|---|---|
| Azure AD | MicrosoftのクラウドID管理。SCIM対応サービスと容易に連携可能 |
| Okta | 多くのSaaSと統合可能。SCIMプロビジョニングを簡単に設定できる |
| Google Workspace | GoogleアカウントのID管理に特化。SCIMを介してSPと同期可能 |
Azure ADのSCIM設定手順(例)
- Azure AD管理センターにログイン
- 「エンタープライズアプリ」からSCIMを設定するアプリを選択
- 「プロビジョニング」タブを開き、「SCIMプロビジョニング」を有効化
- SCIMエンドポイントとAPIキーを入力
- 同期テストを実施し、動作を確認
4-2-2. 主要なSP(Service Provider)の設定
SCIMをサポートするSPでは、APIを利用してユーザー情報を受け取ります。
| SP | SCIM対応の特徴 |
|---|---|
| Google Workspace | SCIMを使ったユーザー管理が可能 |
| Slack | SCIMでチームメンバーの追加・削除を自動化 |
| Zoom | SCIMを使ってユーザーアカウントを自動作成・削除 |
SlackのSCIM設定手順(例)
- Slack管理コンソールにログイン
- 「ユーザー管理」→「SCIM API」を選択
- APIトークンを取得し、IdPに設定
- SCIMプロビジョニングを有効化
- ユーザー同期が正常に行われるかテスト
4-3. SCIMをサポートする主要なサービス
SCIMは、多くのSaaSやクラウドサービスで採用されています。
以下の表は、SCIMをサポートする主要なサービスの一覧です。
| サービス | SCIM対応の機能 |
|---|---|
| Azure AD | SCIMを利用したユーザー同期、グループ管理 |
| Google Workspace | SCIM APIを通じたアカウント管理 |
| Okta | 多くのSaaSとのSCIM連携が可能 |
| Slack | SCIMを利用したユーザーの追加・削除 |
| Zoom | SCIM経由でユーザーアカウントを同期 |
| Salesforce | SCIM対応のID管理機能 |
4-3-1. SCIM対応サービスの選定ポイント
SCIMを導入する際、以下の点を考慮するとスムーズに運用できます。
- 利用しているIdPがSCIMをサポートしているか
- 主要なSaaS(Slack、Google Workspaceなど)がSCIMに対応しているか
- SCIM APIの提供状況(カスタムAPIが必要か)
- グループ管理や権限設定の柔軟性
SCIMのメリットと課題
SCIM(System for Cross-domain Identity Management)は、クラウド時代のID管理を効率化し、企業のアカウント管理の負担を軽減するプロトコルです。
しかし、導入にはいくつかの注意点も存在します。
本章では、SCIMのメリット、導入時の課題、そして今後の展望について詳しく解説します。
5-1. SCIM導入のメリット
SCIMを導入することで、企業のID管理が大幅に改善され、セキュリティと運用効率が向上します。
主なメリットを以下に整理します。
5-1-1. ID管理の自動化による運用負担の軽減
SCIMを活用すると、ユーザーの追加・更新・削除を自動化でき、手作業による管理負担が減ります。
- 新規ユーザーの自動登録
- 例:Azure ADで新しい社員のアカウントを作成すると、自動的にSlackやZoomのアカウントも作成される
- 退職者のアカウント削除を自動化
- 退職者が発生した際、手作業なしですべてのSaaSアカウントを削除
5-1-2. セキュリティの向上
SCIMは、適切なアクセス管理を実現し、セキュリティリスクを低減します。
| セキュリティリスク | SCIM導入後の改善点 |
|---|---|
| 退職者アカウントの残存 | 自動削除により不正アクセスを防止 |
| 手作業によるID管理ミス | 一元管理により、人的エラーを防ぐ |
| 過剰な権限の付与 | 権限を適切に管理し、最小権限の原則を適用 |
5-1-3. クラウド環境との親和性
SCIMはクラウドベースのSaaSに適したプロトコルです。
- 複数のクラウドサービスと統合
- Google Workspace、Slack、SalesforceなどのSaaSと簡単に連携可能
- オンプレミスとの連携も可能
- LDAPやActive Directoryとの統合により、ハイブリッド環境でも利用可能
5-2. SCIM導入時の注意点
SCIMは多くの利点がありますが、導入時にはいくつかの課題があるため、事前に考慮する必要があります。
5-2-1. SCIM対応状況の確認が必要
SCIMは標準化されたプロトコルですが、すべてのSaaSがSCIMをサポートしているわけではありません。
- 一部のSaaSはSCIM非対応
- 例:カスタムアプリやレガシーシステム
- SCIMサポートのバージョンが異なる
- SCIM 1.1とSCIM 2.0で仕様が異なるため、互換性を確認する必要あり
5-2-2. 初期設定の手間がかかる
SCIM導入には、IdPとSPの設定が必要です。
| 項目 | 設定作業 |
|---|---|
| IdPの設定 | SCIMプロビジョニングの有効化、APIエンドポイントの登録 |
| SPの設定 | SCIM APIの利用設定、ユーザー属性のマッピング |
| 同期テスト | ユーザー作成・削除が正しく機能するか検証 |
初期設定には手間がかかりますが、一度設定すれば管理の負担は大幅に軽減されます。
5-2-3. SCIM APIの制限とコスト
SCIMはAPIベースのプロトコルのため、APIコール数に制限がある場合があります。
- APIリクエストの上限
- 例:無料プランのSaaSではSCIM APIの使用回数に制限があることがある
- コストの発生
- 一部のSaaSはSCIM機能を有料オプションとして提供
導入前に、利用するSaaSのSCIM API制限とコストを確認することが重要です。
5-3. SCIMの今後の展望
SCIMはクラウド環境におけるID管理の標準として普及が進んでいます。今後、さらなる進化が期待される分野について解説します。
5-3-1. SCIM対応サービスの拡大
現在、主要なSaaSはSCIMをサポートしていますが、今後さらに多くのサービスが対応することが予想されます。
| 現在のSCIM対応サービス | 今後の展望 |
|---|---|
| Azure AD、Okta、Google Workspace | より多くのIdPがSCIMを標準サポート |
| Slack、Zoom、Salesforce | 新規SaaSやレガシーシステムとの統合が進む |
5-3-2. より高度なID管理機能の追加
今後のSCIMの進化として、以下のような機能が追加される可能性があります。
- 細かい権限管理の強化
- SCIM経由で、役職ごとの権限管理をさらに細かく設定可能に
- イベントベースのID管理
- SCIMによるリアルタイムのイベント処理(例:退職時に即時アカウント削除)
- ゼロトラスト環境との統合
- SCIMを利用した動的なアクセス制御の実現
5-3-3. SCIM 3.0の可能性
現在のSCIMはSCIM 2.0が主流ですが、将来的にはSCIM 3.0が登場し、より柔軟なID管理が可能になるかもしれません。
- カスタム属性のサポート強化
- 複数IdPとの統合
- エンタープライズ向け機能の充実
SCIMの実践事例
SCIM(System for Cross-domain Identity Management)は、多くの企業や組織でID管理の効率化に活用されています。
本章では、SCIMの具体的な導入事例や活用方法、他のセキュリティプロトコルとの連携について解説します。
6-1. 企業におけるSCIM導入事例
SCIMを導入することで、企業はID管理を自動化し、業務の効率化とセキュリティの向上を実現できます。以下に、実際の導入事例を紹介します。
6-1-1. 事例①:グローバル企業のSCIM導入によるアカウント管理の効率化
企業概要
- 業種:グローバルIT企業
- 従業員数:10,000人以上
- 課題:
- 各国の拠点で異なるID管理システムを運用していたため、アカウント管理が煩雑
- 退職者のアカウント削除が遅れ、不正アクセスのリスクが高まっていた
SCIM導入後の効果
- Azure ADとGoogle WorkspaceをSCIMで連携し、一元管理
- 退職者のアカウントが即時削除され、不正アクセスリスクを削減
- クラウドサービスのアカウント発行を自動化し、IT部門の工数を50%削減
6-1-2. 事例②:スタートアップ企業のSCIM導入によるSaaS管理の最適化
企業概要
- 業種:スタートアップ(SaaS開発企業)
- 従業員数:200人
- 課題:
- さまざまなSaaSを活用しているが、従業員ごとにアカウントを手動で発行していた
- 業務の拡大に伴い、ID管理の負担が増大
SCIM導入後の効果
- OktaとSlack、Notion、GitHubをSCIMで連携
- 新入社員が入社した際に、自動で必要なアカウントが発行される仕組みを構築
- 手作業が不要になり、オンボーディングの時間を大幅に短縮
6-2. SCIMを活用したID管理の効率化
SCIMを適切に活用することで、企業のID管理をより効率的に運用できます。ここでは、具体的な方法を紹介します。
6-2-1. ユーザーのライフサイクル管理の自動化
SCIMを活用することで、従業員のライフサイクル(入社・異動・退職)に応じたアカウント管理を自動化できます。
| ユーザーの状態 | SCIMによる自動処理 |
|---|---|
| 新規入社 | IdP(Azure ADなど)でユーザーを作成すると、SCIM経由でSaaSのアカウントが自動発行 |
| 部署異動 | 異動に応じて、新しい部門のアクセス権限がSCIMで自動更新 |
| 退職 | 退職者のアカウントがSCIM経由でSPから削除され、アクセス権が即時無効化 |
6-2-2. SCIMを活用した権限管理
SCIMを利用すれば、ユーザーの役職や部門に応じた権限管理を自動化できます。
- グループ管理を活用
- SCIMのGroupリソースを利用し、所属部門ごとにアクセス権を設定
- 例:「営業チーム」はSalesforce、「開発チーム」はGitHubに自動的にアクセス可能
- ロールベースのアクセス管理(RBAC)の実装
- 役職ごとに利用可能なSaaSをSCIMで一括管理
6-2-3. マルチクラウド環境での統合
SCIMはマルチクラウド環境に適しており、異なるクラウドサービス間でのID管理を統合できます。
- AWS IAM、Azure AD、Google WorkspaceをSCIMで連携
- 一つのIdPで全クラウドサービスのユーザー情報を管理
- 異なるクラウドサービス間でID情報の一貫性を維持
6-3. SCIMと他のセキュリティプロトコルの連携
SCIMは、SAMLやOAuth、LDAPなどのプロトコルと連携することで、より強固なセキュリティ管理を実現できます。
6-3-1. SCIMとSAMLの連携
SCIMとSAMLを組み合わせることで、ID管理と認証を一元化できます。
| プロトコル | 役割 |
|---|---|
| SCIM | ユーザー情報の作成・更新・削除を管理(ID同期) |
| SAML | ユーザー認証を行い、SSO(シングルサインオン)を実現 |
利用シナリオ
- SCIMでユーザーアカウントを作成し、SAMLでシングルサインオンを実施
- 例:Azure ADがSCIMでZoomのアカウントを作成し、SAMLでSSOを提供
6-3-2. SCIMとOAuthの連携
SCIMはOAuth 2.0を使用してAPIの認可を行います。
- SCIM APIにアクセスする際、OAuthのアクセストークンを利用
- SCIMによるユーザー情報管理と、OAuthによるアクセス制御を統合
利用シナリオ
- SCIMで新規ユーザーを作成 → OAuthでAPIアクセス権限を発行
6-3-3. SCIMとLDAPの連携
LDAP(Lightweight Directory Access Protocol)は、オンプレミス環境のID管理に用いられます。
| 項目 | SCIM | LDAP |
|---|---|---|
| 対象環境 | クラウド | オンプレミス |
| プロトコル | REST API(JSON) | TCP/IP(バイナリ) |
| 主な用途 | SaaSのユーザー管理 | Active Directoryとの連携 |
利用シナリオ
- オンプレミスのLDAP(Active Directory)とクラウドのSCIMを統合
- LDAPで管理しているID情報をSCIMを使ってSaaSと同期
