This is the Trace Id: 86c71a876cb7e5259f20c9c1a8698e1d
Bỏ qua để tới nội dung chính
Microsoft Security

SCIM là gì?

Tìm hiểu về Hệ thống Quản lý Danh tính Chéo miền (SCIM) và cách hệ thống này có thể giúp bạn tự động hóa việc cấp quyền cho người dùng.

Định nghĩa về SCIM

SCIM là giao thức tiêu chuẩn hóa cách trao đổi thông tin định danh giữa một thực thể và thực thể khác. Đây là một tiêu chuẩn mở và được sử dụng rộng rãi để đơn giản hóa quy trình cấp quyền truy nhập vào các ứng dụng trên nền điện toán đám mây cho cá nhân hoặc nhóm. 

Chìa khóa để hiểu mục đích của SCIM là tên của nó:

  • Hệ thống—SCIM tạo định dạng phổ biến cho cách thức trao đổi dữ liệu định danh.
  • Miền chéo—SCIM truyền đạt an toàn dữ liệu định danh trên các nền tảng.
  • Quản lý danh tính—SCIM tự động hóa dòng thông tin giữa hệ thống quản lý danh tính hoặc quản lý danh tính và truy nhập (IAM) và các ứng dụng trên nền điện toán đám mây.

Trong kịch bản làm việc của doanh nghiệp, việc sử dụng SCIM sẽ giảm nỗ lực cần thiết để tạo, sửa đổi và đồng bộ hóa các tài khoản nhân viên cũng như quản lý các tài nguyên mà nhân viên có quyền truy nhập. Sản phẩm này có thêm lợi ích từ việc giảm xung đột về CNTT cho nhân viên vì ứng dụng hoạt động song song với các công nghệ khác giúp đơn giản hóa cách người dùng đăng nhập vào ứng dụng.

Tìm hiểu về cấp phép SCIM

SCIM được tạo ra để giúp người quản trị CNTT cung cấp người dùng dễ dàng hơn—nghĩa là tạo, duy trì và cập nhật tài khoản của mọi người, đồng thời cấp cho họ quyền truy nhập vào tất cả các ứng dụng trên nền điện toán đám mây mà họ cần để thực hiện công việc của mình.

Nếu không có SCIM, cấp phép có thể là một quy trình thủ công dài và chậm chạp. Các ứng dụng thông tin danh tính yêu cầu xác định xem một người có quyền truy nhập hay không là tương đối tiêu chuẩn, như tên nhân viên, email, chức danh và phòng ban. Tuy nhiên, các định dạng mà ứng dụng sử dụng để đại diện cho từng yếu tố của thông tin đó và cách ứng dụng thực hiện các hành động đơn giản, thường có thể khác nhau đôi chút.

Việc phải thêm người dùng vào từng ứng dụng mỗi lần theo cách hơi khác nhau có thể không quá khó khăn đối với các doanh nghiệp chỉ có vài nhân viên và các ứng dụng hoặc dịch vụ trên nền điện toán đám mây. Nhưng đối với các tổ chức có số lượng nhân viên lớn và hàng trăm ứng dụng đám mây, việc cung phép thủ công có thể tốn phí, gây khó chịu và phản tác dụng.

SCIM giải quyết vấn đề này bằng cách cung cấp một tiêu chuẩn để trao đổi thông tin liền mạch và an toàn giữa các nhà cung cấp định danh và ứng dụng đám mây. Tiêu chuẩn hóa đó giúp việc tự động hóa quy trình cung cấp trở nên khả thi và an toàn.

Một số hiệu quả mà SCIM cho phép là:

  • Tự động cấp phép tài khoản mới—nhân viên mới được cấp quyền truy nhập vào các hệ thống phù hợp một cách hiệu quả khi họ tham gia nhóm hoặc tổ chức của bạn.

  • Tự động hủy cấp phép—khi một người rời khỏi tổ chức, có một cách tập trung để hủy kích hoạt đặc quyền tài khoản và ứng dụng của họ.

  • Đồng bộ hóa dữ liệu giữa các hệ thống—khi có thay đổi đối với tài khoản, dữ liệu sẽ tự động được cập nhật ở mọi nơi.

  • Cấp phép nhóm—toàn bộ nhóm nhân viên có thể được cấp quyền truy nhập vào các ứng dụng mà họ cần.

  • Quản lý quyền truy nhập—SCIM giúp giám sát và kiểm tra các đặc quyền dễ dàng hơn.

Cách thức hoạt động của SCIM

Ngoài việc cung cấp một sơ đồ được xác định trước cho các thuộc tính danh tính chung như tên nhóm, tên người dùng, tên, họ và email, SCIM còn cung cấp định nghĩa tiêu chuẩn hóa về vai trò nhà cung cấp dịch vụ và máy khách. Máy khách thường là một nhà cung cấp định danh hoặc hệ thống IAM, chẳng hạn như Microsoft Entra ID (trước đây được gọi là Microsoft Azure AD). Nhà cung cấp dịch vụ thường là một ứng dụng phần mềm dưới dạng dịch vụ. Máy khách quản lý thông tin danh tính cốt lõi mà các ứng dụng cần cấp hoặc từ chối truy nhập.

SCIM sử dụng Ký hiệu mở JavaScript (JSON), một định dạng trao đổi dữ liệu và tệp mở tiêu chuẩn, để hỗ trợ khả năng liên tác liền mạch giữa các miền. Nó cũng sử dụng API chuyển trạng thái đại diện (REST) để thực hiện các hành động cần thiết để quản lý vòng đời định danh. Từ viết tắt hoạt động cơ sở dữ liệu CRUD mô tả các hành động REST cơ bản mà SCIM cấp phép sử dụng:

  • Tạo—thêm người dùng mới trong ứng dụng.

  • Đọc—truy xuất hoặc tìm kiếm thông tin từ danh tính và nhóm hiện có.

  • Cập nhật—đồng bộ hóa thông tin danh tính được cập nhật giữa máy khách và ứng dụng.

  • Xóa—hủy cấp phép danh tính.

Nhà phát triển ứng dụng có thể sử dụng các tiêu chuẩn cung cấp SCIM để đảm bảo ứng dụng của họ tích hợp liền mạch với các hệ thống doanh nghiệp. Điều này giúp tránh sự cố khi có các API hơi khác nhau để thực hiện các hành động cơ bản tương tự. Các nhà phát triển tạo ra các ứng dụng phù hợp với tiêu chuẩn SCIM có thể tận dụng ngay các máy khách, công cụ và mã có sẵn.

Tại sao SCIM lại quan trọng?

SCIM rất quan trọng vì SCIM cung cấp cho các tổ chức khả năng mở rộng và sự linh hoạt mà họ cần để phát triển. Việc tự động cấp phép người dùng bằng SCIM sẽ hợp lý hóa nỗ lực và chi phí cần thiết để quản lý vòng đời người dùng. Hệ thống này cũng cải thiện công tác bảo mật bằng cách mang đến cho các tổ chức quyền kiểm soát mạnh mẽ đối với các danh tính có quyền truy nhập vào tài nguyên của họ. Với kiểm soát truy nhập đó, người quản trị CNTT có thể đảm bảo rằng mỗi người dùng chỉ có quyền phù hợp mà họ cần để thành công trong vai trò của họ và có thể nhanh chóng loại bỏ danh tính không còn tồn tại khi một người rời khỏi tổ chức.

SCIM đảm bảo rằng có một nguồn đáng tin cậy duy nhất, chứ không phải nhiều phiên bản đáng tin cậy, cho từng danh tính và nhóm. Với cách lưu trữ và trao đổi dữ liệu người dùng nhất quán, việc thực thi các chính sách bảo mật và tuân thủ mà doanh nghiệp của bạn phụ thuộc vào hoạt động sẽ dễ dàng hơn.

 Lợi ích của cấp phép SCIM

SCIM có nhiều lợi ích có tác động tích cực đến người dùng, nhóm CNTT, ngân sách và bảo mật. Tính năng này giúp bạn:

Tăng năng suất

Cấp phép SCIM tự động giúp người quản trị không phải tạo và cập nhật danh tính theo cách thủ công trong nhiều ứng dụng, giúp họ có thời gian tập trung vào các tác vụ có giá trị hơn. Tự động hóa cũng loại bỏ nhu cầu có các nhóm CNTT và phát triển để phát triển và quản lý các tích hợp tùy chỉnh và giảm số lượng yêu cầu để thêm người dùng, loại bỏ người dùng, thay đổi quyền hoặc đặt lại mật khẩu.

Giảm lỗi

SCIM giảm rất nhiều mục nhập thủ công mà nếu không sẽ cần thiết để cấp quyền, giảm đáng kể các lỗi không thể tránh khỏi của con người. Việc này cũng giúp người quản trị quên các tài khoản "xác sống" đã lỗi thời mà có thể làm lộn xộn hệ thống của bạn và cho các tác nhân độc hại có thêm cơ hội để khai thác.

Triển khai đăng nhập một lần (SSO)

SCIM giúp triển khai SSO dễ dàng hơn, cho phép người dùng sử dụng một tập hợp thông tin xác thực duy nhất để truy nhập vào tất cả các ứng dụng của họ. Với SSO, nhân viên có thể thực hiện quy trình xác thực một lần và làm việc liền mạch với tất cả các tài nguyên của họ. Không cần ghi nhớ nhiều mật khẩu—và không có mong muốn sử dụng lại mật khẩu.

Giảm bớt rủi ro bảo mật

Bằng cách bật SSO, SCIM giúp các tổ chức giảm bề mặt tấn công và tăng mức độ tuân thủ các chính sách bảo mật như xác thực hai yếu tốxác thực đa yếu tố. Việc có thêm quyền kiểm soát danh tính và quyền tăng cường bảo mật chung. Có ít rủi ro khi mất dấu theo dõi tài khoản.

Giảm chi phí CNTT

Việc hợp lý hóa vòng đời quản lý danh tính đám mây có thể giúp các tổ chức giảm bớt giấy phép phần mềm dư thừa và không còn cần thiết. Việc sở hữu một nguồn thông tin đáng tin cậy duy nhất cho danh tính sẽ giải thích rõ số lượng giấy phép cần thiết và tính năng hủy cấp quyền tự động đảm bảo bạn không thanh toán cho các giấy phép không còn được sử dụng nữa. SCIM cũng loại bỏ nhu cầu tích hợp tùy chỉnh tốn kém mà có thể mất nhiều thời gian để nhân viên phát triển và duy trì.

Nhanh chóng thêm người dùng và ứng dụng

Cung quyền qua SCIM giúp nhân viên triển khai nhanh hơn và ngay lập tức cấp cho họ quyền truy nhập vào đúng tài nguyên bằng cách sử dụng các quy tắc đặt sẵn và quyền nhóm. Đồng thời, khi tổ chức của bạn phát triển và đổi mới, SCIM sẽ đơn giản hóa quy trình áp dụng các ứng dụng và quy trình làm việc mới.

SCIM so với SAML

Ngôn ngữ Đánh dấu Đòi hỏi Bảo mật (SAML) và SCIM đều là các giao thức mở tiêu chuẩn giúp hợp lý hóa việc trao đổi dữ liệu danh tính. SAML thường được sử dụng để cung cấp SSO cho các ứng dụng doanh nghiệp và mở rộng SSO trên các miền bảo mật. Tương tự như SCIM, SCIM đóng vai trò trong việc cho phép mọi người sử dụng cùng một thông tin xác thực để truy nhập vào nhiều dịch vụ. SCIM đặt nền tảng để SAML hoạt động bằng cách tạo, cập nhật hoặc xóa hồ sơ người dùng trong hệ thống đích với thông tin cần thiết để người dùng đăng nhập vào ứng dụng. 

SAML dựa trên Ngôn ngữ Đánh dấu Có thể mở rộng (XML) và sử dụng ngôn ngữ này để đưa ra xác nhận bảo mật, đây là những tuyên bố mà nhà cung cấp dịch vụ sử dụng để quyết định có cấp quyền truy nhập vào tài nguyên hay không. Khi SAML xác thực rằng danh tính của bạn có thể có quyền truy nhập vào tài nguyên, SAML sẽ cung cấp cho bạn mã thông báo truy nhập cho một phiên đơn trong trình duyệt của bạn. Cả SCIM và SAML đều là những công nghệ cơ bản thường được sử dụng trong các giải pháp IAM dành cho doanh nghiệp.

SCIM so với SSO

SCIM và SSO là hai công nghệ khác nhau đóng vai trò hơi khác nhau trong việc quản lý danh tính và quyền truy nhập. SCIM dùng để cung cấp danh tính trên nhiều ứng dụng và SSO dùng để xác thực người dùng trong nhiều ứng dụng bằng một bộ thông tin xác thực duy nhất.

SCIM hỗ trợ SSO và hoạt động cùng với nó. SSO yêu cầu cung cấp người dùng để hoạt động. Các hệ thống IAM dành cho doanh nghiệp thường sử dụng kết hợp công nghệ phức tạp để làm cho trải nghiệm người dùng liền mạch và SCIM, SSO và SAML là tất cả các công nghệ giúp đạt được mục tiêu đó.

Các trường hợp sử dụng cấp phép SCIM

Cấp phép tự động với SCIM có thể cải thiện năng suất của tổ chức bạn bằng cách đơn giản hóa các quy trình nếu không sẽ tốn thời gian. Dưới đây là chỉ sáu ví dụ về cách cải thiện quy trình nội bộ của bạn với SCIM:

  1. Đặt nền tảng cho SSO. Triển khai công nghệ hỗ trợ SCIM như một biện pháp bổ sung cho SSO—một trình tiết kiệm thời gian sẽ có lợi cho tất cả mọi người trong tổ chức của bạn.

  2. Quản lý triển khai người dùng trong thời điểm phát triển. Cấp cho nhân viên mới quyền truy nhập ngay vào tất cả các ứng dụng xuôi tuyến mà họ sẽ cần để nhanh chóng thiết lập và sử dụng.

  3. Hỗ trợ di chuyển lớn. Dễ dàng nhập một lượng lớn người dùng vào một ứng dụng hoặc hệ thống mới, giúp tiết kiệm thời gian và chi phí.

  4. Đồng bộ hóa các thay đổi theo thời gian thực. Tự động điều chỉnh quyền khi mọi người thay đổi vai trò trong tổ chức và nhanh chóng hủy cung cấp tài khoản của những người rời đi.

  5. Tăng quyền kiểm soát đặc quyền truy nhập. Có được khả năng hiển thị chi tiết mà bạn cần để tạo điều kiện cho các biện pháp quản lý quyền truy nhập đặc quyền tốt nhất. Bảo vệ tổ chức của bạn chống lại mối đe dọa trên mạng bằng cách giám sát quyền truy nhập vào các tài nguyên quan trọng nhất của bạn.

  6. Luôn cập nhật thư mục tổ chức của bạn. SCIM duy trì cập nhật các thông tin người dùng như số điện thoại, địa chỉ email và thông tin nhân sự. Thông tin này có thể được hệ thống khác sử dụng lần lượt để cung cấp quyền truy nhập hoặc tạo điều kiện cho dòng công việc. Ví dụ: SCIM có thể được sử dụng để duy trì cập nhật thông tin người quản lý cho một nhân viên, điều này sẽ cho phép hệ thống phê duyệt chi phí biết ai sẽ chấp thuận chi phí. Việc có hệ thống cập nhật giúp giảm lỗi và thời gian để hoàn thành dòng công việc.

Tích hợp SCIM dành cho doanh nghiệp

Để đảm bảo rằng bạn có được lợi thế tốt từ khoản đầu tư của mình từ hệ thống cung cấp SCIM, hãy chọn một giải pháp tích hợp với nhiều ứng dụng và nhà cung cấp ở phía trước là công nghệ tự động hóa và an ninh mạng. Microsoft Entra ID (trước đây gọi là Azure AD) sử dụng SCIM để cung cấp, tự động hóa vòng đời danh tính của bạn và đồng bộ hóa danh tính trên các hệ thống đáng tin cậy. Microsoft Entra ID tích hợp với hàng ngàn ứng dụng—tất cả các tài nguyên mà nhân viên của bạn cần để luôn làm việc hiệu quả và sáng tạo trong tương lai.

Tìm hiểu thêm về Microsoft Security

Microsoft Entra ID

Bảo vệ tất cả danh tính và tài nguyên của bạn bằng Microsoft Entra ID, trước đây được gọi là Azure AD.

Tìm hiểu thêm

Quản trị Microsoft Entra ID

Tự động cấp cho đúng người quyền truy nhập vào đúng tài nguyên.

Tìm hiểu thêm

ID Xác minh của Microsoft Entra

Áp dụng xác minh danh tính hiện đại cung cấp cho người dùng quyền sở hữu thông tin xác thực kỹ thuật số của họ.

Tìm hiểu thêm

Microsoft Entra Workload ID

Giảm rủi ro duy nhất liên quan đến danh tính khối lượng công việc truy nhập vào tài nguyên đám mây của bạn.

Tìm hiểu thêm

Danh tính bên ngoài Microsoft Entra

Bảo mật quyền truy nhập của khách hàng và đối tác vào mọi ứng dụng với xác thực mạnh và linh hoạt.

Tìm hiểu thêm

Câu hỏi thường gặp

  • SCIM được sử dụng để tự động hóa dòng thông tin định danh giữa nhà cung cấp định danh hoặc hệ thống IAM và các ứng dụng hoặc dịch vụ trên nền điện toán đám mây. Nó cung cấp một sơ đồ phổ biến để trao đổi thông tin xác định một cách an toàn và cung cấp nền tảng cho SSO.

  • SCIM là một giao thức—một tập hợp các quy tắc để xử lý và định dạng dữ liệu—tiêu chuẩn hóa cách trao đổi thông tin danh tính giữa thực thể này với thực thể khác. Việc này được sử dụng rộng rãi để đơn giản hóa quy trình cấp quyền truy nhập vào các ứng dụng trên nền điện toán đám mây cho cá nhân hoặc nhóm.

  • Cấp phép SCIM là một cách để tự động hóa quy trình tạo, duy trì, loại bỏ và cập nhật tài khoản người dùng, đồng thời cấp cho họ quyền truy nhập vào các ứng dụng trên nền điện toán đám mây của tổ chức họ. Tính năng này thường được sử dụng trong các hệ thống IAM doanh nghiệp.

  • SCIM tự động hóa việc cung cấp bằng cách cung cấp giao thức tiêu chuẩn để trao đổi dữ liệu liền mạch giữa các nhà cung cấp định danh và ứng dụng đám mây. Ứng dụng này được sử dụng rộng rãi vì tính năng này an toàn và giảm đáng kể nỗ lực thủ công cho các nhóm CNTT.

  • API SCIM là giao thức giúp các nhà cung cấp định danh và ứng dụng trao đổi dữ liệu định danh dễ dàng hơn. Vì SCIM là một giao diện phần mềm xác định cách thức truyền dữ liệu nên nó cũng được coi là API.

Theo dõi Microsoft Security