Trace Id is missing
Saltar al contenido principal
Seguridad de Microsoft

¿Qué es SCIM?

Obtenga información acerca de System for Cross-domain Identity Management (SCIM) y cómo puede ayudarle a automatizar el aprovisionamiento de usuarios.

SCIM definido

SCIM es un protocolo que normaliza cómo se intercambia la información de identidad entre una entidad y otra. Es un estándar abierto y se usa ampliamente para simplificar el proceso de conceder acceso a personas o grupos a aplicaciones basadas en la nube. 

La clave para comprender el propósito de SCIM está en su nombre:

Sistema: SCIM crea un formato común para el intercambio de datos de identidad.

Entre dominios: SCIM comunica de forma segura los datos de identidad entre plataformas.

Administración de identidades: SCIM automatiza el flujo de información entre un proveedor de identidades o un sistema de administración de identidades y acceso (IAM) y aplicaciones basadas en la nube.

En un escenario de trabajo empresarial, el uso de SCIM reduce el esfuerzo necesario para crear, modificar y sincronizar cuentas de empleados y controlar los recursos a los que tienen acceso los empleados. Tiene la ventaja adicional de reducir la fricción de TI para los empleados porque funciona junto con otras tecnologías que simplifican la forma en que los usuarios inician sesión en las aplicaciones.

Descripción del aprovisionamiento de SCIM

SCIM se ha creado para facilitar a los administradores de TI el aprovisionamiento de usuarios, es decir, crear, mantener y actualizar las cuentas de los usuarios y concederles permiso para acceder a todas las aplicaciones basadas en la nube que necesitan para realizar su trabajo.

Sin SCIM, el aprovisionamiento puede ser un proceso manual largo y tedioso. Las aplicaciones de información de identificación requieren determinar si una persona tiene permiso para acceder a ellas es bastante estándar, como nombres de empleados, correos electrónicos, puestos de trabajo y departamentos. Sin embargo, los formatos que usan las aplicaciones para representar cada elemento de esa información y cómo las aplicaciones realizan acciones sencillas a menudo pueden ser un poco diferentes.

Tener que agregar manualmente usuarios a cada aplicación de una manera ligeramente diferente cada vez podría no ser demasiado problemático para empresas con solo unos pocos empleados y aplicaciones o servicios basados en la nube. Pero para las organizaciones con un gran número de empleados y cientos de aplicaciones en la nube, el aprovisionamiento manual puede ser costoso, frustrante y contraproducente.

SCIM resuelve este problema proporcionando un estándar para intercambiar información sin problemas y de forma segura entre proveedores de identidades y aplicaciones en la nube. Esta estandarización hace que la automatización del proceso de aprovisionamiento sea factible y segura.

Algunas eficiencias que SCIM habilita son:

  • Aprovisionamiento automático de nuevas cuentas: a los nuevos empleados se les concede acceso eficazmente a los sistemas adecuados cuando se unen a su equipo u organización.

  • Desaprovisionamiento automático: cuando los usuarios abandonan la organización, hay una manera centralizada de desactivar sus privilegios de cuenta y aplicación.

  • Sincronización de datos entre sistemas: cuando se realizan cambios en las cuentas, se actualiza automáticamente en todas partes.

  • Aprovisionamiento de grupos: se puede conceder acceso a todos los grupos de empleados a las aplicaciones que necesitan.

  • Control del acceso: SCIM facilita la supervisión y la auditoría de privilegios.

Funcionamiento de SCIM

Además de proporcionar un esquema predefinido para atributos de identidad comunes como nombre de grupo, nombre de usuario, nombre de usuario, apellidos y correo electrónico, SCIM proporciona una definición estandarizada de los roles de cliente y proveedor de servicios. Normalmente, un cliente es un proveedor de identidades o un sistema IAM, como Microsoft Entra ID (anteriormente conocido como Microsoft Azure AD). Un proveedor de servicios suele ser una aplicación de software como servicio. El cliente administra la información de identidad básica que las aplicaciones necesitan para conceder o rechazar el acceso.

SCIM usa JavaScript Open Notation (JSON), un formato de intercambio de datos y archivos de estándar abierto, para admitir una interoperabilidad perfecta entre dominios. También usa una API de transferencia de estado representacional (REST) para realizar las acciones necesarias para administrar los ciclos de vida de la identidad. El acrónimo de operación de base de datos CRUD describe las acciones básicas de REST que usa el aprovisionamiento SCIM:

  • Crear: agregar nuevos usuarios a las aplicaciones.

  • Lectura: recuperar o buscar información de identidades y grupos existentes.

  • Actualizar: sincronice la información de identidad actualizada entre el cliente y las aplicaciones.

  • Eliminar: desaprovisione identidades.

Los desarrolladores de aplicaciones pueden usar estándares de aprovisionamiento SCIM para asegurarse de que sus aplicaciones se integran perfectamente con los sistemas empresariales. Evita el problema de tener API ligeramente diferentes para realizar las mismas acciones básicas. Los desarrolladores que crean aplicaciones que se ajustan al estándar SCIM pueden aprovechar al instante los clientes, las herramientas y el código ya existentes.

¿Por qué es importante SCIM?

SCIM es importante porque proporciona a las organizaciones la escalabilidad y agilidad que necesitan para crecer. La automatización del aprovisionamiento de usuarios con SCIM simplifica el esfuerzo y el coste necesarios para administrar los ciclos de vida de los usuarios. También mejora la seguridad al proporcionar a las organizaciones un control sólido sobre las identidades que tienen acceso a sus recursos. Con ese control de acceso, los administradores de TI pueden asegurarse de que cada usuario tiene los permisos adecuados que necesitan para tener éxito en su rol y pueden eliminar rápidamente las identidades inactivas cuando los usuarios abandonan la organización.

SCIM garantiza que hay una única fuente de veracidad, en lugar de varias versiones de la verdad, para cada identidad y grupo. Con una manera coherente de almacenar e intercambiar datos de usuario, es más fácil aplicar las directivas de seguridad y cumplimiento de las que depende su empresa para operar.

 Ventajas del aprovisionamiento de SCIM

SCIM tiene una variedad de ventajas que tienen un impacto positivo en los usuarios, los equipos de TI, los presupuestos y la seguridad. Le ayuda a:

  • Aumentar la productividad

    El aprovisionamiento de SCIM automatizado libera a los administradores de tener que crear y actualizar manualmente identidades en varias aplicaciones, lo que les da tiempo para centrarse en tareas más valiosas. La automatización también elimina la necesidad de que los equipos de TI y desarrollo desarrollen y administren integraciones personalizadas y reduce el número de solicitudes para agregar usuarios, quitar usuarios, cambiar permisos o restablecer contraseñas.

  • Reducir errores

    SCIM reduce gran parte de la entrada manual que, de lo contrario, entraría en el aprovisionamiento, reduciendo drásticamente los errores humanos inevitables. También ayuda a los administradores a eliminar cuentas obsoletas y olvidadas de "zombies" que pueden estar desordenando el sistema y proporcionando a actores malintencionados vías adicionales para aprovecharse.

  • Implementa el inicio de sesión único (SSO)

    SCIM facilita la implementación del inicio de sesión SSO, lo que permite a los usuarios usar un único conjunto de credenciales para acceder a todas sus aplicaciones. Con SSO, los empleados pueden pasar por el proceso de autenticación una vez y trabajar sin problemas con todos sus recursos. No es necesario memorizar varias contraseñas y no hay ninguna tentación de reutilizarlas.

  • Mitigar los riesgos de seguridad

    Al habilitar SSO, SCIM ayuda a las organizaciones a reducir sus superficies susceptibles de ataque y aumentar el cumplimiento de las directivas de seguridad como la autenticación de dos factores y la autenticación multifactor. Tener un control más pormenorizado sobre las identidades y los permisos refuerza la seguridad general. Hay poco riesgo de perder el seguimiento de las cuentas.

  • Reducir costes de TI

    La optimización de los ciclos de vida de administración de identidades en la nube puede proporcionar potencialmente a las organizaciones la capacidad de reducir las licencias de software redundantes y redundantes. Tener una única fuente de veracidad para las identidades deja claro cuántas licencias se necesitan y el desaprovisionamiento automatizado garantiza que no se paga por licencias que ya no se usan. SCIM también elimina la necesidad de costosas integraciones personalizadas, que pueden tardar mucho tiempo en desarrollar y mantener a los empleados.

  • Agregar rápidamente usuarios y aplicaciones

    El aprovisionamiento de SCIM acelera la incorporación de empleados y les proporciona acceso inmediatamente a los recursos adecuados mediante reglas preestablecidas y permisos de grupo. Y a medida que su organización crece e innova, SCIM simplifica el proceso de adopción de nuevas aplicaciones y flujos de trabajo.

SCIM frente a. SAML

Lenguaje de marcado de aserción de seguridad (SAML) y SCIM son protocolos de estándar abierto que simplifican el intercambio de datos de identidad. SAML se usa comúnmente para proporcionar SSO para aplicaciones empresariales y para extender el inicio de sesión único a través de dominios de seguridad. De forma similar a SCIM, desempeña un papel en permitir que los usuarios usen las mismas credenciales para acceder a varios servicios. SCIM establece la base para que SAML funcione mediante la creación, actualización o eliminación de perfiles de usuario en el sistema de destino con la información necesaria para que el usuario inicie sesión en una aplicación. 

SAML se basa en lenguaje de marcado extensible (XML) y lo usa para realizar aserciones de seguridad, que son instrucciones que los proveedores de servicios usan para decidir si conceder acceso a un recurso. Cuando SAML autentica que su identidad puede tener acceso a un recurso, le proporciona un token de acceso para una sola sesión en el explorador. Tanto SCIM como SAML son tecnologías subyacentes que se usan habitualmente en soluciones IAM empresariales.

SCIM frente a. SSO

SCIM y SSO son dos tecnologías diferentes que desempeñan roles ligeramente diferentes en la administración de identidades y acceso. SCIM sirve para aprovisionar identidades en varias aplicaciones y SSO para autenticar usuarios en varias aplicaciones con un único conjunto de credenciales.

SCIM admite SSO y funciona junto con él. SSO requiere el aprovisionamiento de usuarios para funcionar. Los sistemas IAM empresariales tienden a usar una combinación compleja de tecnología para que la experiencia del usuario sea perfecta, y SCIM, SSO y SAML son todas tecnologías que ayudan a lograr ese objetivo.

Casos de uso de aprovisionamiento de SCIM

El aprovisionamiento automático con SCIM puede mejorar la productividad de su organización simplificando los procesos que, de lo contrario, requerirían mucho tiempo. Estos son solo seis ejemplos de cómo mejorar los procesos internos con SCIM:

  1. Se establecen las bases para el inicio de sesión único. Implemente tecnología habilitada para SCIM como complemento de SSO, un ahorro de tiempo que será beneficioso para todos los usuarios de su organización.

  2. Administre la incorporación de usuarios en un momento de crecimiento. Proporcione a los nuevos empleados acceso inmediato a todas las aplicaciones de nivel inferior que necesitarán para ponerlas en marcha rápidamente.

  3. Facilite migraciones de gran tamaño. Importe fácilmente un gran número de usuarios en una nueva aplicación o sistema, lo que ahorra tiempo y costes.

  4. Sincronice los cambios en tiempo real. Ajuste automáticamente los permisos a medida que los usuarios cambien de roles dentro de la organización y desaprovisione rápidamente las cuentas de las personas que se van.

  5. Aumente el control sobre los privilegios de acceso. Obtenga la visibilidad pormenorizada que necesita para facilitar la Administración de acceso con privilegios procedimientos recomendados. Proteja su organización contra ciberamenazas supervisando el acceso a los recursos más críticos.

  6. Mantenga actualizado el directorio de la organización. SCIM mantiene actualizada la información de usuario, como números de teléfono, direcciones de correo electrónico e información de RR. HH. Esta información puede ser usada a su vez por otro sistema para proporcionar acceso o facilitar un flujo de trabajo. Por ejemplo, SCIM se puede usar para mantener la información del administrador actualizada para un empleado, lo que permitirá que un sistema de aprobación de gastos sepa quién aprobará el gasto. Tener un sistema actualizado reduce los errores y el tiempo necesarios para completar los flujos de trabajo.

Integración de SCIM para empresas

Para asegurarse de obtener una buena rentabilidad de su inversión desde un sistema de aprovisionamiento SCIM, elija una solución que se integre con un gran número de aplicaciones y un proveedor a la vanguardia de la tecnología de automatización y ciberseguridad. Microsoft Entra ID (anteriormente conocido como Azure AD) usa SCIM para aprovisionar, automatizar el ciclo de vida de la identidad y sincronizar identidades entre sistemas de confianza. Microsoft Entra ID se integra con miles de aplicaciones, todos los recursos que sus empleados necesitan para mantenerse productivos e innovadores en el futuro.

Más información acerca de la seguridad de Microsoft

Microsoft Entra ID

Proteja todas sus identidades y recursos con Microsoft Entra ID, conocido anteriormente como Azure AD.

Más información

Gobierno de Microsoft Entra ID

Conceda a las personas adecuadas el acceso adecuado a los recursos adecuados automáticamente.

Más información

Administración de permisos de Microsoft Entra

Supervise los riesgos de los permisos e implemente directivas de seguridad coherentes en varias nubes.

Más información

Id. verificada por Microsoft Entra

Adopte la verificación de identidad moderna que proporcione a los usuarios la propiedad de sus credenciales digitales.

Más información

Id. de carga de trabajo de Microsoft Entra

Reduzca los riesgos únicos asociados a las identidades de carga de trabajo que acceden a los recursos en la nube.

Más información

Identidades externas de Microsoft Entra

Proteja el acceso de clientes y asociados a cualquier aplicación con autenticación sólida y flexible.

Más información

Preguntas más frecuentes

  • SCIM se usa para automatizar el flujo de información de identidad entre un proveedor de identidades o un sistema IAM y aplicaciones o servicios basados en la nube. Proporciona un esquema común para intercambiar información de identificación de forma segura y proporciona una base para el inicio de sesión único.

  • SCIM es un protocolo (un conjunto de reglas para procesar y dar formato a los datos) que estandariza cómo se intercambia la información de identidad entre una entidad y otra. Se usa ampliamente para simplificar el proceso de conceder acceso a personas o grupos a aplicaciones basadas en la nube.

  • El aprovisionamiento de SCIM es una manera de automatizar el proceso de creación, mantenimiento, eliminación y actualización de cuentas de usuario y su concesión de permiso para acceder a las aplicaciones basadas en la nube de su organización. Se usa con frecuencia en sistemas IAM empresariales.

  • SCIM automatiza el aprovisionamiento proporcionando un protocolo estándar para intercambiar datos sin problemas entre proveedores de identidades y aplicaciones en la nube. Se usa ampliamente porque es seguro y reduce considerablemente el esfuerzo manual para los equipos de TI.

  • La API de SCIM es un protocolo que facilita a los proveedores de identidades y a las aplicaciones el intercambio de datos de identidad. Dado que SCIM es una interfaz de software que determina cómo se comunican los datos, también se considera una API.

Seguir a Seguridad de Microsoft