Обзор SCIM — Токен SCIM, провижининг и аутентификация

Что такое SCIM?

SCIM автоматически синхронизирует события жизненного цикла пользователя из Вашего поставщика идентификации в SecureCodingHub: создаёт пользователя при найме, обновляет атрибуты при изменении и деактивирует при оффбординге. Он полностью устраняет ручное управление пользователями.

Поддерживаемые операции

Эндпоинт SCIM 2.0 SecureCodingHub поддерживает следующие ресурсы и операции:

Аутентификация

API SCIM использует аутентификацию по Bearer-токену. Сгенерируйте токен из админ-панели SecureCodingHub и настройте его в Вашем поставщике идентификации.

Как это работает

Настройка SCIM-провижининга — это прямолинейный четырёхшаговый процесс:

Почему SCIM важен для доказательств соответствия

SCIM — это не просто операционное удобство. Для организаций, работающих под SOC 2, ISO 27001 или HIPAA, автоматическая деактивация — это элемент управления, который аудиторы фактически тестируют. ISO 27001 Annex A 9.2.6 требует удаления прав доступа при прекращении трудоустройства, а SOC 2 Common Criteria 6.2 и 6.3 ожидают, что логический доступ будет своевременно отозван, когда он больше не требуется. Ручные процессы оффбординга чаще проваливают этот тест, чем люди ожидают, потому что след доказательств зависит от поданного тикета и человека, помнящего, что нужно прокликать через каждый downstream-инструмент.

Когда SCIM подключён к Вашему поставщику идентификации, оффбординг становится единым событием: HR помечает пользователя как уволенного в HRIS, IdP распространяет деактивацию, и SecureCodingHub устанавливает пользователя неактивным в следующем цикле провижининга. Аудиторы получают чистый журнал автоматических деактиваций, коррелированных с событиями IdP, что именно то, что они хотят видеть во время окна наблюдения Type II. Если Вы готовитесь к первому SOC 2 аудиту, раннее включение SCIM и предоставление ему возможности произвести шесть месяцев чистых логов — одна из самых дешёвых побед по генерации доказательств.

Распространённые шаблоны развёртывания

Три шаблона развёртывания покрывают большинство сред. Greenfield-развёртывания самые простые: в SecureCodingHub нет существующих пользователей, SCIM включён до выхода первых приглашений, и каждый пользователь происходит из IdP. Это самая чистая модель и та, которую мы рекомендуем, когда это возможно. Частичная синхронизация — следующий шаблон: Вы ограничиваете SCIM одной группой или отделом, проверяете, что события жизненного цикла ведут себя правильно, и расширяете оттуда. Это полезно для организаций с тысячами мест, где неправильно настроенное сопоставление атрибутов может одновременно повлиять на много учётных записей.

Третий шаблон — слияние SCIM с существующими пользователями, созданными вручную. SecureCodingHub сопоставляет входящих SCIM-пользователей с существующими учётными записями по email-адресу, поэтому слияние, как правило, неразрушающее. Риск в том, что пользователи, созданные вручную, с несоответствующим регистром, alias-адресами или устаревшими email-значениями создадут дубликаты. Прежде чем переключить, экспортируйте текущий список пользователей, сверьте его с реестром IdP и разрешите любые несоответствия адресов в IdP. Для деталей по настройке провайдеров см. руководства Настройка SCIM в Okta и Настройка SCIM в Azure AD.