This is the Trace Id: ae07452b1323ddaa281c05701c2f8b40
דלג לתוכן הראשי
האבטחה של Microsoft

מהו SCIM?

קבל מידע על System for Cross-domain Identity Management (SCIM) ועל האופן שבו הוא יכול לעזור לך להפוך את הקצאת המשתמשים לאוטומטית.

הגדרת SCIM

SCIM הוא פרוטוקול המתקנן את אופן החלפת פרטי הזהות בין ישות אחת לאחרת. זהו תקן פתוח והוא משמש באופן רחב כדי לפשט את התהליך של מתן גישה לאנשים או לקבוצות ליישומים מבוססי ענן. 

המפתח להבנת המטרה של SCIM הוא בשם שלו:

  • מערכת – SCIM יוצרת תבנית נפוצה לאופן ההחלפה של נתוני זהות.
  • חוצה תחומים – SCIM מספק תקשורת מאובטחת של נתוני זהות בין פלטפורמות.
  • ניהול זהויות – SCIM הופך את זרימת המידע בין ספק זהויות או מערכת ניהול זהויות וגישה (IAM) לאוטומטית לבין יישומים מבוססי ענן.

בתרחיש עבודה ארגוני, השימוש ב- SCIM מפחית את המאמץ הנדרש כדי ליצור, לשנות ולסנכרן חשבונות עובדים ולפקח על המשאבים שלעובדים יש גישה אליהם. יש לו יתרון נוסף של הפחתת חיכוך ה-IT לעובדים מכיוון שהוא פועל במקביל לטכנולוגיות אחרות המפשטות את אופן הכניסה לאפליקציות.

הבנת הקצאת משאבים של SCIM

SCIM נוצר כדי להקל על מנהלי IT להקצות משתמשים - כלומר ליצור, לתחזק ולעדכן חשבונות של אנשים ולתת להם הרשאה לגשת לכל היישומים מבוססי הענן שהם צריכים כדי לבצע את עבודתם.

ללא SCIM, הקצאת משאבים יכולה להיות תהליך ידני ארוך ומייגע. אפליקציות המידע המזהה דורשות לקבוע אם לאדם יש הרשאה לגשת אליהם היא סטנדרטית למדי, כגון שמות עובדים, מיילים, כותרות עבודה ומחלקות. עם זאת, התבניות שבהן אפליקציות משתמשות כדי לייצג כל רכיב במידע זה, והאופן שבו האפליקציות מבצעות פעולות פשוטות, יכולות לעתים קרובות להיות שונות במקצת.

הצורך להוסיף משתמשים באופן ידני לכל אפליקציה באופן מעט שונה בכל פעם עשוי שלא להיות בעייתי מדי עבור עסקים עם מעט עובדים ואפליקציות או שירותים מבוססי ענן. אך עבור ארגונים עם מספר גדול של עובדים ומאות יישומי ענן, הקצאה ידנית יכולה להיות יקרה, מתסכלת ולא יעילה.

SCIM פותר בעיה זו על ידי מתן תקן להחלפת מידע בצורה חלקה ומאובטחת בין ספקי זהות ואפליקציות ענן. תקנים אלה מאפשרים להפוך את תהליך הקצאת המשאבים לאוטומטי ובטוח.

חלק מהיעילות ש- SCIM מאפשר הן:

  • הקצאה אוטומטית של חשבונות חדשים – לעובדים חדשים תינתן גישה יעילה למערכות המתאימות כאשר הם מצטרפים לצוות או לארגון שלך.

  • ביטול הקצאה אוטומטי – כאשר אנשים עוזבים את הארגון, יש דרך מרכזית לבטל את ההפעלה של הרשאות החשבון והאפליקציות שלהם.

  • מסנכרן נתונים בין מערכות – כאשר בוצעו שינויים בחשבונות, הם מתעדכנים באופן אוטומטי בכל מקום.

  • הקצאת משאבים לקבוצה – ניתן לתת לקבוצות שלמות של עובדים גישה לאפליקציות הדרושות להם.

  • פיקוח על הגישה – SCIM מקל עליך לנטר ולבצע ביקורת על הרשאות.

כיצד SCIM פועל

בנוסף לאספקת סכימה מוגדרת מראש עבור תכונות זהות נפוצות כמו שם קבוצה, שם משתמש, שם פרטי, שם משפחה ודואר אלקטרוני, SCIM מספק הגדרה סטנדרטית של תפקידי לקוח וספקי שירות. לקוח הוא בדרך כלל ספק זהות או מערכת IAM, כגון Microsoft Entra ID (שנקרא בעבר בשם Microsoft Azure AD). ספק שירות הוא בדרך כלל אפליקציית תוכנה כשירות. הלקוח מנהל את פרטי הזהות המרכזיים שאפליקציות צריכות להעניק או לסרב לגישה אליהן.

SCIM משתמש ב- JavaScript Open Notation (JSON), תבנית סטנדרטית פתוחה של קבצים וחילופי נתונים, כדי לתמוך ביכולת פעולה הדדית חלקה בין תחומים. הוא משתמש גם ב- API של העברת מצב ייצוגי (REST) כדי לבצע את הפעולות הדרושות לניהול מחזורי חיים של זהות. ראשי התיבות של פעולת מסד הנתונים CRUD מתארים את פעולות REST הבסיסיות בהקצאת משאבים SCIM:

  • צור – הוסף משתמשים חדשים באפליקציות.

  • קרא – אחזר או חפש מידע מזהויות וקבוצות קיימות.

  • עדכון – סנכרן פרטי זהות מעודכנים בין הלקוח לאפליקציות.

  • מחק – בטל הקצאה של זהויות.

מפתחי אפליקציות יכולים להשתמש בתקני הקצאת משאבים של SCIM כדי להבטיח שהאפליקציות שלהם ישתלבו בצורה חלקה עם מערכות ארגוניות. זה מונע את הבעיה של ממשקי API שונים במקצת לבצע את אותן פעולות בסיסיות. מפתחים שיוצרים אפליקציות התואמות לתקן SCIM יוכלו להפיק את המרב באופן מידי מלקוחות, כלים וקוד קיימים מראש.

מדוע SCIM חשוב?

SCIM חשוב מכיוון שהוא נותן לארגונים את המדרגיות והזריזות שהם צריכים כדי לצמוח. הפיכת הקצאת משאבים של משתמשים לאוטומטית באמצעות SCIM מייעלת את המאמץ והעלות הדרושים לניהול מחזורי החיים של המשתמשים. היא גם משפרת את האבטחה בכך שהיא מעניקה לארגונים שליטה איתנה על הזהויות שיש להן גישה למשאבים שלהם. באמצעות בקרת גישה זו, מנהלי IT יכולים להבטיח שלמשתמשים יש בדיוק את ההרשאות המתאימות הדרושות להם כדי להצליח בתפקידם, והם יכולים לבטל במהירות זהויות לא חוקיות כאשר אנשים עוזבים את הארגון.

SCIM מבטיח שיש מקור אחד של אמת, ולא מספר גרסאות של האמת, לכל זהות וקבוצה. עם דרך עקבית לאחסון והחלפה של נתוני משתמשים, קל יותר לאכוף את מדיניות האבטחה והתאימות שהעסק שלך תלוי בה כדי לפעול.

 היתרונות של הקצאת משאבים של SCIM

ל- SCIM יש מגוון יתרונות בעלי השפעה חיובית על משתמשים, צוותי IT, תקציבים ואבטחה. הוא עוזר לך לבצע:

לשפר את הפרודוקטיביות

הקצאת SCIM אוטומטית משחררת מנהלים מהצורך ליצור ולעדכן ידנית זהויות במספר אפליקציות, מה שנותן להם זמן להתמקד במשימות בעלות ערך רב יותר. אוטומציה גם מבטלת את הצורך של צוותי IT ופיתוח לפתח ולנהל אינטגרציות מותאמות אישית ומקטינה את מספר הבקשות להוספת משתמשים, הסרת משתמשים, שינוי הרשאות או איפוס סיסמאות.

הפחת שגיאות

SCIM מצמצם חלק ניכר מההזנה הידנית שאחרת הייתה נכנסת להקצאה, ומצמצם באופן דרמטי טעויות אנוש בלתי נמנעות. זה גם עוזר למנהלים לגזום חשבונות "זומבי" מיושנים ונשכחים שעלולים להעמיס על המערכת שלך ולתת לשחקנים זדוניים דרכים נוספות לניצול.

ישם כניסה יחידה (SSO)

SCIM מקל עליך ליישם SSO, המאפשר למשתמשים להשתמש בערכת אישורים אחת כדי לגשת לכל האפליקציות שלהם. באמצעות SSO, העובדים יכולים לעבור את תהליך האימות פעם אחת ולעבוד בצורה חלקה עם כל המשאבים שלהם. אין צורך לשנן סיסמאות מרובות – ואין פיתוי לעשות בהן שימוש חוזר.

מיתון סיכוני האבטחה

על-ידי הפעלת SSO‏, SCIM מסייע לארגונים לצמצם את משטחי התקיפה שלהם ולהגביר את התאימות למדיניות אבטחה כגון אימות דו-שלבי וגם אימות רב-גורמי. שליטה מפורטת יותר על זהויות והרשאות מחזקת את האבטחה הכללית. יש סיכון קטן לאבד את המעקב אחר חשבונות.

הפחת את עלויות ה- IT

ייעול מחזורי החיים של ניהול זהויות בענן עשוי להעניק לארגונים את היכולת להפחית רישיונות תוכנה עודפים ומיותרים. מקור אמת יחיד עבור זהויות מבהיר כמה רישיונות נדרשים, וביטול תצורה אוטומטי מבטיח שאינך משלם עבור רישיונות שאינם בשימוש עוד. SCIM גם מבטל את הצורך באינטגרציות מותאמות אישית יקרות, שעשויים לקחת זמן רב לעובדים לפתח ולתחזק.

הוסף במהירות משתמשים ואפליקציות

הקצאת SCIM מקלה על קליטת עובדים ומעניקה להם גישה מיידית למשאבים הנכונים באמצעות כללים מוגדרים מראש והרשאות קבוצה. וככל שהארגון שלך גדל ומתחדש, SCIM מפשט את התהליך של אימוץ אפליקציות וזרימות עבודה חדשות.

SCIM לעומת SAML

Security Assertion Markup Language (SAML) ו- SCIM הם שניהם פרוטוקולים בסטנדרט פתוח המייעלים את חילופי נתוני הזהות. SAML משמש בדרך כלל כדי לספק SSO עבור אפליקציות ארגוניות ולהרחבת SSO על פני תחומי אבטחה. בדומה ל- SCIM, הוא ממלא תפקיד המאפשר לאנשים להשתמש באותם אישורים כדי לגשת לשירותים מרובים. SCIM מניח את הבסיס לעבודה של SAML על-ידי יצירה, עדכון או מחיקה של פרופילי משתמשים במערכת היעד עם המידע הדרוש למשתמש כדי להיכנס לאפליקציה. 

SAML מבוסס על שפת סימון מורחבת (XML) ומשתמש בו כדי לקבוע קביעות אבטחה, שהם הצהרות שספקי שירות משתמשים בהן כדי להחליט אם להעניק גישה למשאב. כאשר SAML מאמת שלזהות שלך יכולה להיות גישה למשאב, זה נותן לך אסימון גישה להפעלה בודדת בדפדפן שלך. SCIM ו- SAML הם טכנולוגיות המשמשות בדרך כלל בפתרונות IAM ארגוניים.

SCIM לעומת כניסה יחידה (SSO)

SCIM ו- SSO הם שתי טכנולוגיות שונות שמשחקות תפקידים שונים מעט בניהול זהויות וגישה. SCIM מיועד להקצאת זהויות באפליקציות מרובות, ו- SSO מיועד לאימות משתמשים באפליקציות מרובות עם ערכה יחידה של אישורים.

SCIM תומך ב- SSO ופועל יחד איתו. SSO דורש הקצאת משאבים של משתמשים כדי לפעול. מערכות IAM ארגוניות נוטות להשתמש בתמהיל מורכב של טכנולוגיה כדי להפוך את חווית המשתמש לחלקה, ו-SCIM‏, SSO ו- SAML הן כולן טכנולוגיות שעוזרות להשיג מטרה זו.

מקרי שימוש בהקצאת משאבים של SCIM

הקצאה אוטומטית עם SCIM יכולה לשפר את הפרודוקטיביות של הארגון שלך על ידי פישוט תהליכים שאחרת היו גוזלים זמן. הנה רק שש דוגמאות לשיפור התהליכים הפנימיים שלך באמצעות SCIM:

  1. הנח את היסודות עבור SSO. יישם טכנולוגיה המונעת על-ידי SCIM כהשלמה ל- SSO – חיסכון בזמן אשר יוטב לכל האנשים בארגון שלך.

  2. נהל את קליטת המשתמשים בזמן של צמיחה. הענק לעובדים חדשים גישה מידית לכל האפליקציות במורד הזרם שהם יצטרכו כדי להפעיל אותם במהירות.

  3. להקל על העברות גדולות. יבא בקלות מספר רב של משתמשים לאפליקציה או למערכת חדשה, וחסוך זמן ועלות.

  4. סנכרן שינויים בזמן אמת. התאם הרשאות באופן אוטומטי כאשר אנשים מחליפים תפקידים בארגון ובטל במהירות את הקצאת החשבונות של אנשים שעוזבים.

  5. הגבר את השליטה בהרשאות גישה. קבל את הנראות המפורטת הדרושה לך כדי לאפשר שיטות מומלצות לניהול גישה מורשית. הגן על הארגון שלך מפני איומי סייבר על-ידי ניטור גישה למשאבים הקריטיים ביותר שלך.

  6. שמור את מדריך הכתובות הארגוני שלך מעודכן. SCIM שומר על עדכניות פרטי המשתמש, כגון מספרי טלפון, כתובות דואר אלקטרוני ומידע משאבי אנוש. ייתכן שמידע זה ישמש מערכת אחרת כדי לספק גישה או להקל על זרימת עבודה. לדוגמה, ניתן להשתמש ב- SCIM כדי לשמור על עדכניות פרטי המנהל עבור עובד, מה שיאפשר למערכת אישור הוצאות לדעת מי יאשר את ההוצאה. מערכת עדכנית מפחיתה שגיאות וזמן להשלמת זרימות עבודה.

אינטגרציית SCIM לעסקים

כדי להבטיח שתקבל החזר טוב על ההשקעה שלך ממערכת הקצאת משאבים של SCIM, בחר פתרון שמשתלב עם מספר עצום של אפליקציות וספק שנמצא בחזית טכנולוגיית אבטחת הסייבר והאוטומציה. מזהה Microsoft Entra (שנקרא בעבר Azure AD) משתמש ב- SCIM להקצאת משאבים, לאוטומציה של מחזור חיי הזהות שלך ולסנכרון זהויות במערכות מהימנות. מזהה Microsoft Entra משתלב עם אלפי יישומים – כל המשאבים שהעובדים שלך צריכים כדי להישאר פרודוקטיביים וחדשניים גם בעתיד.

קבל מידע נוסף על האבטחה של Microsoft

מזהה Microsoft Entra

הגן על כל הזהויות והמשאבים שלך באמצעות מזהה Microsoft Entra, שנקרא בעבר Azure AD.

מידע נוסף

ניהול מזהה Microsoft Entra

הענק לאנשים המתאימים את הגישה הנכונה למשאבים המתאימים – באופן אוטומטי.

מידע נוסף

מזהה מאומת ב- Microsoft Entra

אמץ אימות זהות מודרני שמספק למשתמשים בעלות על האישורים הדיגיטליים שלהם.

מידע נוסף

זהות עומסי עבודה של Microsoft Entra

צמצם את הסיכונים הייחודיים הקשורים לזהויות עומס עבודה בגישה למשאבי הענן שלך.

מידע נוסף

זהויות חיצוניות של Microsoft Entra

אבטח גישת לקוח ושותף לכל אפליקציה באמצעות אימות חזק וגמיש.

מידע נוסף

שאלות נפוצות

  • SCIM משמש לאוטומציה של זרימת פרטי זהות בין ספק זהויות או מערכת IAM לבין אפליקציות או שירותים מבוססי ענן. הוא מספק סכימה משותפת להחלפת מידע מזהה באופן מאובטח ומספק בסיס עבור SSO.

  • SCIM הוא פרוטוקול – ערכה של כללים לעיבוד ולעיצוב של נתונים - המגדירה את אופן ההחלפה של מידע זהות בין ישות אחת לישות אחרת. הוא משמש בדרך כלל כדי לפשט את התהליך של הענקת גישה של אנשים או קבוצות ליישומים מבוססי ענן.

  • הקצאת SCIM היא דרך להפוך את תהליך היצירה, התחזוקה, ההסרה והעדכון של חשבונות משתמשים לאוטומטי ולהעניק להם הרשאה לגשת ליישומים מבוססי הענן של הארגון שלהם. הוא משמש לעתים קרובות במערכות IAM ארגוניות.

  • SCIM הופך את ההקצאה לאוטומטית על ידי אספקת פרוטוקול סטנדרטי להחלפה חלקה של נתונים בין ספקי זהות ואפליקציות ענן. הוא נמצא בשימוש נרחב מכיוון שהוא מאובטח ומפחית ביעילות את המאמץ הידני עבור צוותי IT.

  • ה- API של SCIM הוא פרוטוקול שמקל על ספקי זהויות ואפליקציות להחליף נתוני זהות. מאחר ש- SCIM הוא ממשק תוכנה שקובע את אופן העברת הנתונים, הוא נחשב גם ל- API.

עקוב אחר 'האבטחה של Microsoft'