This is the Trace Id: 4ed81174c0c2cb68bc468547b78e7349
Ugrás a tartalomtörzsre
Microsoft Biztonság

Mi az az SCIM?

Ismerje meg a System for Cross-domain Identity Management (SCIM) szolgáltatásait, és hogy miként segíthet a felhasználók átadásának automatizálásában.

Az SCIM definíciója

Az SCIM egy olyan protokoll, amely szabványosítja az entitások közötti identitásadat-cserét. Nyílt szabványú, és széles körben használják arra, hogy leegyszerűsítse az emberek vagy csoportok felhőalapú alkalmazásokhoz való hozzáférésének biztosítását. 

Az SCIM céljának megértéséhez a neve a kulcs:

  • System (rendszer) – Az SCIM közös formátumot hoz létre az identitásadatok cseréjéhez.
  • Cross-domain (tartományok közötti) – Az SCIM biztonságos módon kommunikálja az identitásadatokat a platformok között.
  • Identity Management (identitáskezelés) – Az SCIM automatizálja az információk áramlását egy identitásszolgáltató vagy identitás- és hozzáférés-kezelési (IAM) rendszer és a felhőalapú alkalmazások között.

Nagyvállalati munkakörnyezetben az SCIM használata csökkenti az alkalmazotti fiókok létrehozásához, módosításához és szinkronizálásához, valamint az alkalmazottak által elérhető erőforrások szabályozásához szükséges erőfeszítéseket. További előnye, hogy csökkenti az alkalmazottak informatikai terhelését, mivel más technológiákkal közösen működik, amelyek leegyszerűsítik a felhasználók alkalmazásokba való bejelentkezését.

Az SCIM-kiépítés ismertetése

Az SCIM azért jött létre, hogy az informatikai rendszergazdák egyszerűbben építhessenek ki felhasználókat – vagyis hozhassák létre, tarthassák karban és frissíthessék az emberek fiókjait, és adhassanak nekik jogosultságokat a munkájukhoz szükséges összes felhőalapú alkalmazás elérésére.

SCIM nélkül a kiépítés hosszadalmas és fárasztó manuális folyamat lehet. Az alkalmazások által igényelt azonosító adatoknak, amelyek alapján eldöntik, hogy az adott személy rendelkezik-e engedéllyel a használatukra, meglehetősen standard, mint például alkalmazottak nevei, e-mail címek, beosztások és részlegek. Azonban az alkalmazások által az információk egyes elemeinek ábrázolására használt formátumok, valamint az alkalmazások által az egyszerű műveletek végrehajtására használt módszerek gyakorta egy kissé eltérőek lehetnek.

A csupán néhány alkalmazottal és felhő-alkalmazással rendelkező vállalatok esetében nem feltétlenül túl problémás, ha az egyes alkalmazásokhoz minden alkalommal egy kicsit más módon kell manuálisan hozzárendelni az egyes felhasználókat. Viszont a sok alkalmazottal és több száz felhőalkalmazással rendelkező szervezetek esetében a manuális kiépítés költséges, stresszes és nem túl hatékony lehet.

Az SCIM azzal oldja meg ezt a problémát, hogy az identitásszolgáltatók és a felhőalkalmazások közötti zökkenőmentes és biztonságos adatcseréhez biztosít egy szabványt. Ez a szabványosítás kivitelezhetővé és biztonságossá teszi a kiépítési folyamat automatizálását.

Az SCIM által kínált néhány hatékonyságfokozó a következő:

  • Új fiókok automatikus kiépítése – az új alkalmazottak hatékonyan kapnak hozzáférést a megfelelő rendszerekhez, amikor csatlakoznak a csapathoz vagy a szervezethez.

  • Automatikus megszüntetés – amikor valaki kilép a szervezetből, központosított módon inaktiválhatja a fiók- és alkalmazásjogcímeit.

  • Adatok szinkronizálása a rendszerek között – egy fiók módosításakor az adatok mindenhol automatikusan frissülnek.

  • Csoportos kiépítés – teljes alkalmazott-csoportok kaphatnak hozzáférést a számukra szükséges alkalmazásokhoz.

  • Hozzáférés-vezérlés – az SCIM megkönnyíti a jogosultságok monitorozását és naplózását.

Az SCIM működése

Amellett, hogy előre definiált sémát biztosít az általános identitásattribútumokhoz, mint például csoportnevekhez, felhasználónevekhez, utónevekhez, vezetéknevekhez és e-mail-címekhez, az SCIM az ügyfél- és szolgáltatói szerepkörök szabványosított definícióját is biztosítja. Az ügyfél általában egy identitásszolgáltató vagy IAM-rendszer, például Microsoft Entra ID (korábbi nevén Microsoft Azure AD). A szolgáltató általában egy szolgáltatott szoftveralkalmazás. Az ügyfél kezeli azokat az alapvető identitásadatokat, amelyekre az alkalmazásoknak szükségük van a hozzáférés megadásához vagy elutasításához.

Az SCIM a JavaScript Open Notation (JSON) nyílt szabványú fájl- és adatcsere-formátumát használja a tartományok közötti zökkenőmentes együttműködés támogatására. Emellett REST (Representational State Transfer) API-t is használ az identitás-életciklusok kezeléséhez szükséges műveletek végrehajtásához. A CRUD adatbázis-műveleti betűszó az SCIM-kiépítés által használt alapvető REST-műveleteket írja le:

  • Create (létrehozás) – új felhasználók hozzáadása az alkalmazásokhoz.

  • Read (olvasás) – meglévő identitásokból és csoportokból származó információk lekérése vagy keresése.

  • Update (frissítés) – a frissített identitásadatokat szinkronizálja az ügyfél és az alkalmazások között.

  • Delete (törlés) – megszünteti az identitásokat.

Az alkalmazásfejlesztők SCIM kiépítési szabványok használatával biztosíthatják, hogy alkalmazásaik zökkenőmentesen integrálhatók legyenek a nagyvállalati rendszerekkel. Ezzel elkerülhető, hogy kissé eltérő API-kra legyen szükség ugyanazoknak az alapműveleteknek a végrehajtására. Az SCIM szabványnak megfelelő alkalmazásokat készítő fejlesztők azonnal kihasználhatják a már meglévő ügyfelek, eszközök és kódok előnyeit.

Miért fontos az SCIM?

Az SCIM azért fontos, mert biztosítja a szervezetek számára a növekedéshez szükséges méretezhetőséget és agilitást. A felhasználók kiépítésének SCIM által biztosított automatizálása leegyszerűsíti a felhasználói életciklusok kezelésével járó erőfeszítéseket és költségeket. Emellett a biztonságot is javítja azáltal, hogy robusztus szabályozási lehetőséget biztosít a szervezetek számára az erőforrásaikhoz hozzáférő identitásokra. Ez a hozzáférés-vezérlés lehetőséget ad arra, hogy az informatikai rendszergazdák gondoskodhassanak arról, hogy minden felhasználó pontosan a szerepköre sikeres teljesítéséhez szükséges engedélyekkel rendelkezzen, és a kilépések alkalmával gyorsan kiküszöbölhessék a megszűnt identitásokat.

Az SCIM biztosítja, hogy az egyes identitások és csoportok esetében egyszeres igazságforrás legyen az igazság több verziója helyett. A felhasználói adatok tárolásának és cseréjének konzisztens módjával egyszerűbb kikényszeríteni azokat a biztonsági és megfelelőségi házirendeket, amelyekre az üzlete működése támaszkodik.

 Az SCIM-kiépítés előnyei

Az SCIM számos előnyt kínál, amelyek pozitív hatással vannak a felhasználókra, az informatikai csapatokra, a költségvetésre és a biztonságra. A következőkben nyújt segítséget:

A hatékonyság fokozása

Az automatikus SCIM-kiépítés mentesíti a rendszergazdákat az identitások több alkalmazásban való manuális létrehozása és frissítése alól, így az idejüket értékesebb feladatra összpontosíthatják. Az automatizálás emellett feleslegessé teszi az informatikai és fejlesztői csapatok számára az egyéni integrációk fejlesztését és kezelését, valamint csökkenti a felhasználók hozzáadására, a felhasználók eltávolítására, az engedélyek módosítására vagy a jelszavak alaphelyzetbe állítására irányuló kérések számát.

Hibák csökkentése

Az SCIM kiküszöböli az üzembe helyezéshez egyébként szükséges manuális bevitel túlnyomó többségét, ezáltal jelentősen csökkenti az óhatatlan emberi hibák számát. Emellett segít a rendszergazdáknak eltávolítani az elavult és elfelejtett zombi-fiókokat, amelyek esetleg a rendszert zsúfolják, és a rosszindulatú szereplőknek extra biztonsági réseket kínálnak.

Egyszeri bejelentkezés (SSO) bevezetése

Az SCIM megkönnyíti az egyszeri bejelentkezésSSO megvalósítását, ami lehetővé teszi a felhasználók számára, hogy egyetlen hitelesítőadat-készletet használjanak az összes alkalmazásuk eléréséhez. Az egyszeri bejelentkezés használatával az alkalmazottak egyszer végighaladhatnak a hitelesítési folyamaton, majd zökkenőmentesen dolgozhatnak az összes erőforrásukkal. Nincs szükség több jelszó megjegyzésére – és nem áll fenn a csábítás azok többszöri felhasználására sem.

Biztonsági kockázatok mérséklése

Az egyszeri bejelentkezés engedélyezésével az SCIM segít a szervezeteknek csökkenteni a támadási felületüket, és növelni az olyan biztonsági szabályzatoknak való megfelelőséget, mint például a kétfaktoros hitelesítés vagy a többtényezős hitelesítés. Az identitások és engedélyek részletesebb szabályozása növeli az általános biztonságot. Kicsi a kockázata annak, hogy szem elől veszti a fiókokat.

Informatikai költségek csökkentése

A felhőbeli identitáskezelési életciklusok egyszerűsítése lehetővé teheti a szervezetek számára a felesleges és redundáns szoftverlicencek csökkentését. Az identitások egyszeres igazságforrása egyértelművé teszi, hogy hány licencre van szükség, az automatikus megszüntetés pedig biztosítja, hogy ne kelljen fizetni a már nem használt licencekért. Az SCIM emellett szükségtelenné teszi a költséges egyéni integrációkat is, amelyek fejlesztése és karbantartása jelentős alkalmazotti időt vehet igénybe.

Felhasználók és alkalmazások gyors hozzáadása

Az SCIM-kiépítés gyorsabbá teszi az alkalmazottak előkészítését, és az előre beállított szabályok és csoportengedélyek használatával azonnal hozzáférést biztosít számukra a megfelelő erőforrásokhoz. A szervezet növekedésével és innovációival az SCIM leegyszerűsíti az új alkalmazások és munkafolyamatok bevezetésének folyamatát.

SCIM vs. SAML

A Security Assertion Markup Language (SAML) és az SCIM is nyílt szabványú protokoll, ami leegyszerűsíti az identitásadatok cseréjét. A SAML-t gyakran használják a vállalati alkalmazásokhoz egyszeri bejelentkezés biztosítására, valamint az egyszeri bejelentkezés biztonsági tartományokra való kiterjesztésére. Az SCIM-hez hasonlóan ez is szerepet játszik abban, hogy a felhasználók ugyanazokat a hitelesítő adatokat használhassák több szolgáltatás eléréséhez. Az SCIM fekteti le a SAML működésének alapjait azzal, hogy a felhasználó számára egy alkalmazásba való bejelentkezéshez szükséges adatokkal létrehozza, frissíti vagy törli a felhasználói profilokat a célrendszerben. 

A SAML alapja az Extensible Markup Language (XML), és biztonsági helyességi feltételek megadására használja azt, amelyek a szolgáltatók által az erőforrásokhoz való hozzáférés engedélyezésére használt utasítások. Amikor a SAML hitelesíti, hogy az identitása hozzáférhet egy erőforráshoz, a böngészőben egyetlen munkamenetre biztosít hozzáférési jogkivonatot. Az SCIM és a SAML is gyakran használt mögöttes technológiák a vállalati IAM-megoldásokban.

SCIM vs. Egyszeri bejelentkezés

Az SCIM és az SSO két különböző technológia, amelyek némileg eltérő szerepet játszanak az identitások és a hozzáférés kezelésében. Az SCIM több alkalmazás identitásainak kiépítésére, az egyszeri bejelentkezés pedig arra használható, hogy több alkalmazásban hitelesítse a felhasználókat egyetlen hitelesítő adat készlettel.

Az SCIM támogatja az egyszeri bejelentkezést, és együttműködik vele. Az egyszeri bejelentkezéshez működő felhasználói jogosultságkiosztás szükséges. A nagyvállalati IAM-rendszerek általában a technológiák összetett keverékét használják a felhasználói élmény zökkenőmentessé tételéhez, és az SCIM, az SSO és az SAML mind olyan technológia, amelyek segítenek elérni ezt a célt.

Az SCIM-kiépítés használati esetei

Az SCIM-et használó automatikus kiépítés fokozhatja a szervezet hatékonyságát azáltal, hogy leegyszerűsíti az egyébként időigényes folyamatokat. Íme hat példa arra, hogyan javíthatja a belső folyamatokat az SCIM használatával:

  1. Az SSO alapjainak lefektetése. Valósítson meg SCIM-kompatibilis technológiát az SSO kiegészítéseként – ez egy olyan idő-megtakarító lehetőség, ami a szervezet minden tagja számára előnyös lehet.

  2. A felhasználók bevezetésének kezelése a növekedés idején. Biztosítson azonnali hozzáférést az új alkalmazottaknak az összes olyan alsóbb rétegbeli alkalmazáshoz, amelyre szükségük van a munkavégzés gyors megkezdéséhez.

  3. A nagyméretű áttelepítések elősegítése. Importáljon egyszerűen nagy számú felhasználót egy új alkalmazásba vagy rendszerbe, ezáltal időt és költségeket megtakarítva.

  4. A módosítások valós idejű szinkronizálása. Módosítsa automatikusan az engedélyeket, amikor a felhasználók beosztást váltanak a szervezeten belül, és szüntesse meg gyorsan a távozó személyek fiókját.

  5. A hozzáférési jogosultságok feletti ellenőrzés növelése. Érje el azt a részletes láthatóságot, amire szüksége van a jogosultságot igénylő hozzáférés kezelése esetére ajánlott eljárások megkönnyítéséhez. A legkritikusabb erőforrásokhoz való hozzáférés monitorozásával megvédheti szervezetét a kibertámadásokkal szemben.

  6. A szervezeti címtár naprakészen tartása. Az SCIM naprakészen tartja az olyan felhasználói adatokat, mint például telefonszámok, e-mail-címek és HR-adatok. Ezeket az információkat egy másik rendszer felhasználhatja a hozzáférés biztosítására vagy a munkafolyamatok megkönnyítésére. Az SCIM használatával például naprakészen tarthatja az alkalmazottak felettesi adatait, ami lehetővé teszi a költség-jóváhagyási rendszer számára, hogy tudja, kinek kell jóvá hagynia a kiadást. Egy naprakész rendszer csökkenti a hibák számát és a munkafolyamatok teljesítési idejét.

SCIM-integráció vállalatoknak

Annak érdekében, hogy az SCIM kiépítési rendszer megtérülése megfelelő legyen, olyan megoldást válasszon, ami számos alkalmazással, valamint egy, a kiberbiztonsági és automatizálási technológia élvonalában lévő szolgáltatóval integrálható. A Microsoft Entra ID (korábbi nevén Azure AD) SCIM-et használ az identitások életciklusának kiépítéséhez, automatizálásához, valamint az identitások megbízható rendszerek közötti szinkronizálásához. A Microsoft Entra ID több ezer alkalmazással integrálható – minden olyan erőforrással, amelyekre az alkalmazottainak szükségük van ahhoz, hogy a jövőben még sokáig hatékonyak és innovatívak maradjanak.

További információ a Microsoft Biztonságról

Microsoft Entra ID

Védje minden identitását és erőforrását a korábban Azure AD-ként ismert Microsoft Entra ID-val.

További információ

Microsoft Entra ID-kezelés

Adja meg a megfelelő személyeknek a megfelelő hozzáférést a megfelelő erőforrásokhoz – automatikusan.

További információ

Microsoft Entra Ellenőrzött azonosító

Vezessen be modern identitás-ellenőrzést, amivel biztosítja a felhasználók számára a digitális hitelesítő adataik tulajdonjogát.

További információ

Microsoft Entra Számítási feladat ID

Csökkentse a felhőbeli erőforrásaihoz hozzáférő számításifeladat-identitásokhoz kapcsolódó egyedi kockázatokat.

További információ

Microsoft Entra Külső ID

Biztosítson biztonságos ügyfél- és partnerhozzáférést bármely alkalmazáshoz erős és rugalmas hitelesítés révén.

További információ

Gyakori kérdések

  • Az SCIM automatizálja az identitásadatok áramlását egy identitásszolgáltató vagy IAM-rendszer és a felhőalapú alkalmazások vagy szolgáltatások között. Közös sémát biztosít az azonosító adatok biztonságos cseréjéhez, valamint biztosítja az egyszeri bejelentkezés alapjait.

  • Az SCIM egy olyan protokoll – adatok feldolgozására és formázására használt szabálykészlet –, amely szabványosítja az entitások közötti identitásadat-cserét. Széles körben használják arra, hogy leegyszerűsítse az emberek vagy csoportok felhőalapú alkalmazásokhoz való hozzáférésének biztosítását.

  • Az SCIM-kiépítéssel automatizálható a felhasználói fiókok létrehozásának, karbantartásának, eltávolításának és frissítésének folyamata, valamint az engedélyek megadása számukra a szervezet felhőalapú alkalmazásaihoz való hozzáférésre. Gyakran használják vállalati IAM-rendszerekben.

  • Az SCIM egy szabványos protokoll biztosításával automatizálja a kiépítést, hogy gördülékeny legyen az adatcsere az identitásszolgáltatók és a felhőalkalmazások között. Széles körben használják, mert biztonságos, és jelentős mértékben csökkenti az informatikai csapatok manuális munkáját.

  • Az SCIM API egy olyan protokoll, amely megkönnyíti az identitásszolgáltatók és az alkalmazások számára az identitásadatok cseréjét. Mivel az SCIM egy szoftveres felület, amely meghatározza az adatközlés módját, API-nak is tekinthető.

A Microsoft Biztonság követése