SCIM概要 — SCIMトークン、プロビジョニング、認証

SCIMとは？

SCIMは、IDプロバイダーからSecureCodingHubへのユーザーライフサイクルイベントを自動的に同期します: 採用時にユーザーを作成し、変更時に属性を更新し、オフボーディング時に非アクティブ化します。手動のユーザー管理を完全に排除します。

サポートされる操作

SecureCodingHubのSCIM 2.0エンドポイントは、以下のリソースと操作をサポートします:

認証

SCIM APIはBearerトークン認証を使用します。SecureCodingHub管理パネルからトークンを生成し、IDプロバイダーで設定します。

仕組み

SCIMプロビジョニングのセットアップは、簡単な4ステッププロセスです:

SCIMがコンプライアンスエビデンスにとって重要な理由

SCIMは単なる運用上の便利さではありません。SOC 2、ISO 27001、HIPAAの下で運営されている組織にとって、自動デプロビジョニングは監査員が実際にテストするコントロールです。ISO 27001 Annex A 9.2.6は雇用終了時のアクセス権の削除を要求し、SOC 2 Common Criteria 6.2と6.3は、必要なくなったときに論理アクセスがタイムリーに取り消されることを期待しています。手動オフボーディングプロセスは、エビデンストレイルがチケットが提出されることと、人間がすべての下流ツールをクリックすることを覚えていることに依存しているため、思っているよりも頻繁にこのテストに失敗します。

SCIMがIDプロバイダーに配線されている場合、オフボーディングは単一のイベントになります: HRがHRISでユーザーを終了とマークし、IdPが非アクティブ化を伝播し、SecureCodingHubが次のプロビジョニングサイクル内でユーザーを非アクティブに設定します。監査員はIdPイベントに相関する自動非アクティブ化のクリーンなログを取得します。これはまさにType II観察ウィンドウで見たいものです。初めてのSOC 2監査の準備をしている場合、SCIMを早めにオンにして6か月分のクリーンログを生成させることは、利用可能な最も安価なエビデンス生成の勝利の1つです。

一般的なデプロイパターン

3つのデプロイパターンがほとんどの環境をカバーします。グリーンフィールドロールアウトは最も単純です: SecureCodingHubに既存ユーザーはなく、最初の招待が送られる前にSCIMが有効になり、すべてのユーザーがIdPから発生します。これは最もクリーンなモデルであり、実現可能な場合はいつでもお勧めするものです。部分同期は次のパターンです: SCIMを単一のグループまたは部門にスコープし、ライフサイクルイベントが正しく動作することを検証し、そこから拡張します。これは、誤って構成された属性マッピングが多くのアカウントに同時に影響する可能性がある数千のシートを持つ組織に役立ちます。

3つ目のパターンは、SCIMを既存の手動ユーザーとマージすることです。SecureCodingHubは、メールアドレスで受信SCIMユーザーを既存アカウントと一致させるため、マージは一般的に非破壊的です。リスクは、大文字小文字が一致しない、エイリアスアドレス、または古いメール値を持つ手動で作成されたユーザーが重複を作成することです。スイッチを切り替える前に、現在のユーザーリストをエクスポートし、IdPロスターと照合し、IdPでアドレスの不一致を解決してください。プロバイダーの構成の詳細については、Okta SCIM設定とAzure AD SCIM設定ガイドを参照してください。