This is the Trace Id: 64280a9575a9fe3fb36355f7f1aa6c58
Passa a contenuti principali
Microsoft Security

Che cos'è SCIM?

Informazioni su SCIM (System for Cross-domain Identity Management) e su come può essere utile per automatizzare il provisioning degli utenti.

Definizione di SCIM

SCIM è un protocollo che standardizza le modalità di scambio delle informazioni sulle identità tra un'entità e un'altra. Si tratta di uno standard aperto ampiamente usato per semplificare la procedura di concessione dell'accesso alle applicazioni basate sul cloud a persone o gruppi. 

La chiave per comprendere lo scopo di SCIM è nel nome:

  • System (sistema): SCIM crea un formato comune per lo scambio dei dati di identità.
  • Cross-domain (interdominio): SCIM comunica in modo sicuro i dati di identità tra piattaforme.
  • Identity Management (gestione delle identità): SCIM automatizza il flusso di informazioni tra un provider di identità o un sistema per la gestione delle identità e degli accessi (IAM) e le applicazioni basate sul cloud.

In uno scenario aziendale, l'uso di SCIM riduce il lavoro necessario per creare, modificare e sincronizzare gli account dei dipendenti e gestire le risorse a cui i dipendenti hanno accesso. Offre l'ulteriore vantaggio di ridurre i problemi relativi all'IT per i dipendenti, perché funziona in combinazione con altre tecnologie che semplificano il modo in cui gli utenti accedono alle app.

Informazioni sul provisioning SCIM

SCIM è stato creato per rendere più semplice per gli amministratori IT eseguire il provisioning degli utenti, ovvero creare, gestire e aggiornare gli account delle persone e concedere loro le autorizzazioni per accedere a tutte le applicazioni basate sul cloud di cui hanno bisogno per lavorare.

Senza SCIM, il provisioning può essere un processo manuale lungo e tedioso. Le informazioni di identificazione necessarie alle app per determinare se una persona è autorizzata ad accedere sono piuttosto standardizzate, ad esempio nome del dipendente, indirizzo e-mail, posizione e reparto. Tuttavia, i formati usati dalle app per rappresentare ogni elemento di tali informazioni e il modo in cui le app eseguono azioni semplici sono spesso leggermente diversi.

Il fatto di dover aggiungere manualmente gli utenti a ogni app in modo leggermente diverso ogni volta può non rappresentare un grosso problema per le aziende con pochi dipendenti e app o servizi basati sul cloud. Tuttavia, per le organizzazioni con un numero elevato di dipendenti e centinaia di applicazioni cloud, il provisioning manuale può essere costoso, frustrante e antiproduttivo.

SCIM risolve questo problema fornendo uno standard per lo scambio semplice e sicuro di informazioni tra i provider di identità e le app cloud. Questa standardizzazione rende possibile e sicura l'automazione del processo di provisioning.

Ecco alcune efficienze generate da SCIM:

  • Provisioning automatico di nuovi account. I nuovi dipendenti ricevono in modo efficiente l'accesso ai sistemi giusti quando entrano a far parte del team o dell'organizzazione.

  • Deprovisioning automatico. Quando gli utenti lasciano l'organizzazione, esiste un modo centralizzato per disattivare l'account e i privilegi delle app.

  • Sincronizzazione dei dati tra sistemi. Quando vengono apportate modifiche agli account, vengono propagate automaticamente ovunque.

  • Provisioning di gruppi. È possibile concedere l'accesso alle app necessarie a interi gruppi di dipendenti.

  • Gestione dell'accesso. SCIM semplifica il monitoraggio e il controllo dei privilegi.

Funzionamento di SCIM

Oltre a fornire uno schema predefinito per gli attributi di identità comuni, come nome del gruppo, nome utente, nome, cognome e indirizzo, SCIM fornisce una definizione standardizzata dei ruoli di client e provider di servizi. Un client è in genere un provider di identità o un sistema IAM, ad esempio Microsoft Entra ID (precedentemente noto come Microsoft Azure AD). Un provider di servizi è in genere un'app Software as a Service. Il client gestisce le informazioni di identità di base necessarie alle app per concedere o rifiutare l'accesso.

SCIM usa JSON (JavaScript Open Notation), un formato open standard per lo scambio di file e dati, per supportare l'interoperabilità senza problemi tra domini. Usa anche un'API REST (Representational State Transfer, trasferimento di stato rappresentativo) per eseguire le azioni necessarie per gestire i cicli di vita delle identità. L'acronimo per le operazioni di database CRUD descrive le azioni REST di base usate dal provisioning SCIM:

  • Create (creare): aggiungere nuovi utenti nelle applicazioni.

  • Read (leggere): recuperare o cercare informazioni da identità e gruppi esistenti.

  • Update (aggiornare): sincronizzare le informazioni sull'identità aggiornate tra il client e le app.

  • Delete (eliminare): effettuare il deprovisioning delle identità.

Gli sviluppatori di applicazioni possono usare gli standard di provisioning SCIM per garantire che le app si integrino senza problemi con i sistemi aziendali. Evita il problema di dover avere API leggermente diverse per eseguire le stesse azioni di base. Gli sviluppatori che creano app conformi allo standard SCIM possono sfruttare immediatamente client, strumenti e codice preesistenti.

Perché SCIM è importante?

SCIM è importante perché offre alle organizzazioni la scalabilità e l'agilità di cui hanno bisogno per crescere. L'automazione del provisioning utenti con SCIM consente di ottimizzare il lavoro e i costi associati alla gestione del ciclo di vita degli utenti. Migliora anche la sicurezza, offrendo alle organizzazioni un solido controllo sulle identità che hanno accesso alle risorse. Con questo controllo di accesso, gli amministratori IT possono assicurarsi che ogni utente disponga solo delle autorizzazioni necessarie per svolgere al meglio il suo ruolo e possono eliminare rapidamente le identità inattive quando le persone lasciano l'organizzazione.

SCIM garantisce che esista un'unica origine di riferimento per ogni identità e gruppo. Con un metodo coerente per archiviare e scambiare i dati utente, è più facile applicare i criteri di sicurezza e conformità da cui dipende il funzionamento dell'azienda.

 Vantaggi del provisioning SCIM

SCIM offre svariati vantaggi che hanno un impatto positivo sugli utenti, i team IT, i budget e la sicurezza. Consente di:

Aumentare la produttività

Il provisioning SCIM automatizzato evita agli amministratori di dover creare e aggiornare manualmente le identità in più app, lasciandoli liberi di concentrarsi su attività più importanti. L'automazione elimina inoltre la necessità per i team IT e di sviluppo di sviluppare e gestire integrazioni personalizzate e riduce il numero di richieste di aggiunta di utenti, rimozione di utenti, modifica di autorizzazioni o reimpostazione delle password.

Ridurre gli errori

SCIM elimina gran parte del lavoro di immissione manuale dei dati altrimenti necessario per il provisioning, riducendo drasticamente gli inevitabili errori umani. Consente inoltre agli amministratori di eliminare gli account "zombie" obsoleti e dimenticati che potrebbero appesantire il sistema e offrire a utenti malintenzionati ulteriori percorsi da sfruttare.

Implementare il Single Sign-On (SSO)

SCIM semplifica l'implementazione di SSO, che consente agli utenti di usare un unico set di credenziali per accedere a tutte le app. Con l'accesso SSO, i dipendenti possono eseguire il processo di autenticazione una sola volta e lavorare senza problemi con tutte le risorse. Non è necessario memorizzare più password e non c'è più la tentazione di riutilizzarle.

Mitigare i rischi per la sicurezza

Abilitando il Single Sign-On, SCIM consente alle organizzazioni di ridurre le superfici di attacco e migliorare la conformità a criteri di sicurezza quali l'autenticazione a due fattori e l'autenticazione a più fattori. Un controllo più granulare sulle identità e le autorizzazioni rafforza la sicurezza complessiva. Il rischio di perdere la traccia degli account è minimo.

Ridurre i costi IT

La semplificazione del ciclo di vita di gestione delle identità cloud può potenzialmente offrire alle organizzazioni la possibilità di ridurre le licenze software in eccesso e ridondanti. La presenza di un'unica origine di riferimento per le identità rende chiaro il numero di licenze necessarie e il deprovisioning automatizzato assicura che non si paghino le licenze non più utilizzate. SCIM elimina inoltre la necessità di costose integrazioni personalizzate, che possono richiedere ai dipendenti molto tempo per lo sviluppo e la manutenzione.

Aggiungere rapidamente utenti e app

Il provisioning SCIM rende più veloce eseguire l'onboarding dei dipendenti e concedere immediato l'accesso alle risorse appropriate, mediante regole predefinite e autorizzazioni di gruppo. In più, m mano che l'organizzazione cresce e si evolve, SCIM semplifica il processo di adozione di nuove app e flussi di lavoro.

Confronto tra SCIM e SAML

SAML (Security Assertion Markup Language) e SCIM sono entrambi protocolli standard aperti che semplificano lo scambio di dati di identità. SAML viene comunemente usato per fornire l'accesso SSO per le applicazioni aziendali ed estendere l'accesso SSO tra domini di sicurezza. Analogamente a SCIM, svolge un ruolo importante nel consentire agli utenti di usare le stesse credenziali per accedere a più servizi. SCIM getta le basi per il funzionamento di SAML, creando, aggiornando o eliminando i profili utente nel sistema di destinazione con le informazioni necessarie perché l'utente possa accedere a un'app. 

SAML è basato su XML (Extensible Markup Language) e lo utilizza per creare asserzioni di sicurezza, ovvero istruzioni usate dai provider di servizi per decidere se concedere l'accesso a una risorsa. Quando SAML autentica che l'identità può avere accesso a una risorsa, fornisce un token di accesso per una singola sessione nel browser. Sia SCIM che SAML sono tecnologie sottostanti comunemente usate nelle soluzioni IAM aziendali.

Confronto tra SCIM e Single Sign-On

SCIM e SSO sono due tecnologie diverse che svolgono ruoli leggermente diversi nella gestione delle identità e dell'accesso. SCIM serve per effettuare il provisioning delle identità in più applicazioni e SSO per eseguire l'autenticazione degli utenti in più applicazioni con un unico set di credenziali.

SCIM supporta SSO e le due tecnologie operano in combinazione. SSO richiede il provisioning utenti per funzionare. I sistemi IAM aziendali tendono a usare una combinazione complessa di tecnologie per offrire un'esperienza utente semplice e fluida e SCIM, SSO e SAML sono tutte tecnologie che contribuiscono a raggiungere questo obiettivo.

Casi d'uso del provisioning SCIM

Il provisioning automatico con SCIM può migliorare la produttività dell'organizzazione, semplificando processi che altrimenti richiederebbero molto tempo. Ecco solo sei esempi di come migliorare i processi interni con SCIM:

  1. Porre le basi per l'accesso Single Sign-On. Introduci la tecnologia abilitata per SCIM come complemento all'accesso SSO, un risparmio di tempo che sarà utile a tutti gli utenti dell'organizzazione.

  2. Gestire l'onboarding degli utenti in un momento di crescita. Offri ai nuovi dipendenti l'accesso immediato a tutte le applicazioni downstream di cui hanno bisogno per diventare rapidamente operativi.

  3. Facilitare le migrazioni di grandi dimensioni. Importa facilmente un numero elevato di utenti in una nuova applicazione o sistema, risparmiando tempo e denaro.

  4. Sincronizzare le modifiche in tempo reale. Adatta automaticamente le autorizzazioni quando le persone cambiano ruolo all'interno dell'organizzazione e effettua rapidamente il deprovisioning degli account delle persone che la lasciano.

  5. Aumentare il controllo sui privilegi di accesso. Otteni la visibilità granulare necessaria per facilitare le procedure consigliate di Privileged Access Management. Proteggi l'organizzazione dalle minacce informatiche monitorando l'accesso alle risorse critiche.

  6. Mantenere aggiornata la directory dell'organizzazione. SCIM mantiene aggiornate le informazioni sugli utenti, ad esempio numeri di telefono, indirizzi e-mail e informazioni delle risorse umane. Queste informazioni possono a loro volta essere usate da un altro sistema per fornire l'accesso o facilitare un flusso di lavoro. Ad esempio, è possibile usare SCIM per mantenere aggiornate le informazioni sul manager per un dipendente, consentendo a un sistema di approvazione delle spese di sapere chi approverà la spesa. Avere un sistema aggiornato riduce gli errori e il tempo necessario per completare i flussi di lavoro.

Integrazione di SCIM per le aziende

Per ottenere un buon ritorno sull'investimento da un sistema di provisioning SCIM, scegli una soluzione che si integri con un ampio numero di app e un provider all'avanguardia nelle tecnologia di cybersecurity e automazione. Microsoft Entra ID (precedentemente noto come Azure AD) usa SCIM per il provisioning, l'automazione del ciclo di vita delle identità e la sincronizzazione delle identità tra sistemi attendibili. Microsoft Entra ID si integra con migliaia di applicazioni, praticamente con tutte le risorse necessarie ai dipendenti per rimanere produttivi e innovativi nel futuro.

Scopri di più su Microsoft Security

Microsoft Entra ID

Proteggi tutte le identità e le risorse con Microsoft Entra ID, precedentemente noto come Azure AD.

Scopri di più

Microsoft Entra ID Governance

Concedi automaticamente alle persone giuste l'accesso corretto alle risorse appropriate.

Scopri di più

ID verificato di Microsoft Entra

Adotta un sistema moderno di verifica dell'identità che offra agli utenti la proprietà delle credenziali digitali.

Scopri di più

ID dei carichi di lavoro di Microsoft Entra

Riduci i rischi peculiari correlati associati alle identità dei carichi di lavoro che accedono alle tue risorse cloud.

Scopri di più

Microsoft Entra per ID esterno

Proteggi l'accesso dei clienti e dei partner a qualsiasi app con una soluzione di autenticazione avanzata e flessibile.

Scopri di più

Domande frequenti

  • SCIM si usa per automatizzare il flusso di informazioni sull'identità tra un provider di identità o un sistema IAM e applicazioni o servizi basati sul cloud. Fornisce uno schema comune per lo scambio sicuro di informazioni di identificazione e costituisce una base per l'autenticazione SSO.

  • SCIM è un protocollo, vale a dire un set di regole per l'elaborazione e la formattazione dei dati, che standardizza le modalità di scambio delle informazioni sulle identità tra un'entità e un'altra. È ampiamente utilizzato per semplificare la procedura di concessione dell'accesso alle applicazioni basate sul cloud a persone o gruppi.

  • Il provisioning SCIM è un modo per automatizzare il processo di creazione, gestione, rimozione e aggiornamento degli account utente e concedere loro l'autorizzazione per accedere alle applicazioni basate sul cloud dell'organizzazione a cui appartengono. Viene frequentemente utilizzato nei sistemi IAM aziendali.

  • SCIM automatizza il provisioning, fornendo un protocollo standard per lo scambio continuo di dati tra provider di identità e app cloud. È ampiamente usato perché è sicuro e riduce notevolmente il lavoro manuale per i team IT.

  • L'API SCIM è un protocollo che semplifica lo scambio dei dati di identità tra provider di identità e applicazioni. Poiché SCIM è un'interfaccia software che determina la modalità di comunicazione dei dati, viene considerata anche un'API.

Segui Microsoft Security