SCIMとは？概要やSAMLとの違いについて解説

SCIMとは異なるドメイン間において、ユーザーのID情報のやりとりを自動的に行うために使用するプロトコルです。System for Cross-domain Identity Management の略でスキムと呼ばれます。

クラウドサービスは、2000年代から場所を問わず利用できる点や、保守運用コストを削減できる点などから利用が増え始め、2020年のコロナウイルス感染症対策としてリモートワークが増加したこともあり、急速に利用が増えていきました。

クラウドサービスはとても利便性が良いものですが、クラウドサービスそれぞれの環境にてユーザーのID情報管理を行わざるをえませんでした。

したがって、ユーザーID情報がクラウドサービスごとに個別管理されることとなり、運用する際に非常に煩雑となってしまい、管理に抜けや漏れが発生する可能性がありました。そこで、異なるクラウドサービス間においても、自動的にユーザーID情報のやり取りをすることが可能となる規格が求められました。

それを解決する仕組みとして、SCIMは2011年にSCIM1.0として策定されました。2015年にはSCIM2.0が公開され、現在ではさまざまなID管理製品に採用されることとなり、標準的な規格のひとつとなっています。

SCIMはJSON形式で記述されており、HTTPを使ったユーザー認証情報のやり取りをしています。そのため、多くの企業のファイアウォール制御の下でも問題なく動作します。

JSON形式とは、JavaScriptの表記をもとにしたデータ交換形式です。汎用的な形式のため、さまざまなサービスやシステムでのデータのやり取りに利用されています。
また、HTTPSを使用し暗号化して通信を行うため、ユーザーID認証情報を、安全に受け渡すことができます。    

SCIMを利用すれば、クラウドサービスへのアクセスに必要となるID情報が、自動的にSCIMプロトコルによってクラウドサービス間にて同期されます。
従って、ID情報の管理を手作業で行うときに発生するような、更新や削除漏れを防ぐことができます。

先述したように、オンプレミスからの移行による運用コストの削減効果や、リモートワークでの利便性もあり、クラウドサービスの利用が一般的となってきました。
しかし、この時に問題となるのはID管理です。

従来、オンプレミスの環境ではActive Directoryに代表されるディレクトリサービスを利用してID管理を行っていました。しかし、クラウドサービスでは、このActive Directoryなどのオンプレミスでのディレクトリサービスは一般的には使用できません。
（※Gluegent Gate の統合ID管理機能を用いることにより、IDの源泉にActive Directory などのオンプレミスのディレクトリサービスを指定することは可能ですが、このように何らかのシステムを経由せずに直接クラウドサービスとの連携することは困難です。）

また、クラウドサービスごとに使用するIDが異なっていることも多く、それぞれのクラウドサービスでIDを作成し、管理を行わなければなりません。
ID管理の煩雑さに加え、ユーザー側も、利用するクラウドサービスごとにIDとパスワードを覚え、入力することになり負担がかかります。

その結果、クラウドサービス間のユーザーID情報のやり取りをできるだけ自動化するために、SCIMが注目されたのです。SCIMはID管理を容易にするID同期の機能を実現するために、多くのID管理製品に採用されるようになりました。

2つの重要な違いとしてSCIMとSAMLは異なる役割を想定した規格であるという点があげられます。 

SAMLとは Security Assertion Markup Language の略称で、XML形式をベースとしたオンラインサービス間で認証および認可情報を安全に共有する規格です。

SAMLは一度でも認証されれば許可されたすべてのサービスやシステムを使用可能とします。一度でも認証が許可されれば、信頼されている他サービスへも認証情報が共有されていく仕様です。

SAMLはフェデレーションが主な役割となり認証情報をやり取りします。

対して、SCIMは様々な環境における適切なIDのプロビジョニングが主な役割であり、SCIMの認証にはOAuth 2.0が使用されることが多く、異なる環境にあるシステム間でID情報を正確、かつ効率的に提供することに特化しています。

以上の点からこの2つの機能は決して競合するプロトコルではなく、適切な場所で適切なプロトコルを用いることで、効率的な運用を実現することが可能な仕組みとなっています。

組織内において、SCIMを利用する際にうまれるメリットは2つあります。

• ID情報の一元管理によるセキュリティの向上

SCIMを導入することで、オンプレミスやクラウドサービスなどの環境を問わずにアクセス権を一元的に管理することが可能となり、さらにIDプロビジョニングの自動化ができます。これは、現代のID管理において非常に重要なメリットとなり、企業や組織にとってセキュリティを向上させるために非常に役立ちます。

• 管理者の負担を軽減できる

SCIMを利用することで、管理者によるアカウントの管理業務に関する負担を減らします。例えば、入社時のアカウント登録や退職者の情報削除を効率化、及び正確に行うことが可能となり、管理業務において非常に有用です。

そのためSCIMを導入することで、管理者の業務効率向上に貢献します。

以上により、組織全体のセキュリティと運用効率を高めるために非常に有益です。

SCIMはID管理者の負担を大幅に減らすことが可能である非常に便利なプロトコルであり、すでにいくつかの主要クラウドサービスで利用可能です。

現在、SCIMが利用できる代表的なクラウドサービスは以下の通りです。

• Google Workspace
• Salesforce
• Azure AD / Microsoft 365
• Slack
• SAPシステム

SAMLなどのフェデレーションプロトコルと同様に、さらなる普及が期待されています。

業務で利用するクラウドサービスは今後も増加することが想定されます。
そのため、ID管理の煩雑さからの解放や正確な管理を求めて、今後SCIMはますます必要となる機会が増えていくでしょう。 

IDaaS「Gluegent Gate」 はSAML、SCIMをはじめ、さまざまな方式でID連携を実現します。
ID管理業務についてのお悩み、お困りごとがございましたら、ぜひお気軽にご相談ください。