已定義 SCIM
SCIM 是一種通訊協定,可標準化一個實體與另一個實體之間如何交換身分識別資訊。它是個開放式標準,並廣泛用來簡化將雲端型應用程式存取權授與人員或群組的流程。
了解 SCIM 用途的關鍵在其名稱中:
系統—SCIM 會針對身分識別資料交換的方式建立通用格式。
跨網域—SCIM 會安全地跨平台傳輸身分識別資料。
身分識別管理—SCIM 會在身分識別提供者或 身分識別與存取管理 (IAM) 系統 與雲端式應用程式之間,自動化資訊的流程。
在企業工作案例中,使用 SCIM 可減少建立、修改及同步處理員工帳戶,以及管理員工可存取的資源。它對於減少員工的 IT 衝突有額外的權益,因為它會與其他技術一起簡化使用者登入應用程式的方式。
了解 SCIM 佈建
SCIM 的建立的目的是爲了讓 IT 系統管理員更容易佈建使用者,以建立、維護及更新人員帳戶,並給與他們完成自己工作所需的所有雲端式應用程式的權限。
若沒有 SCIM,佈建的手動流程可能冗長又麻煩。應用程式需要用來判斷人員是否具有存取其權限的資訊相當標準,例如員工名稱、電子郵件、職稱和部門。不過,應用程式用於代表該資訊每個元素的格式,以及應用程式執行簡單動作的方式通常就稍微有所不同。
對於只有少數員工和雲端式應用程式或服務的企業來說,每次都需手動以不同的方式將使用者新增至每個應用程式,可能不算太麻煩。但是,對於擁有大量員工和數百個雲端應用程式的組織來說,手動佈建可能成本非常高、令人感到挫折,而且有反效果。
SCIM 會透過提供一個標準,在身分識別提供者與雲端應用程式之間順暢且安全地交換資訊,以解決此問題。這樣的標準化讓自動化佈建的流程可行且安全。
SCIM 啟用的一些效率包括:
- 自動化佈建新帳戶 - 新進員工加入您的團隊或組織時,可有效率地獲得正確系統的存取權。
- 自動化解除佈建 - 人員離開組織時,自動解除佈建,有一個集中式的方式可以停用其帳戶與應用程式權限。
- 同步系統之間的資料 - 帳戶有變更時,會自動更新到所有地方。
- 群組佈建 - 可以一次給與整個群組的員工其所需的應用程式存取權。
- 管理存取 - SCIM 讓監視和稽核權限更加輕鬆容易。
SCIM 的運作方式
除了為一般身分識別屬性 (例如群組名稱、用戶名稱、名字、姓氏和電子郵件) 提供預先定義的結構描述之外,SCIM 還提供用戶端和服務提供者角色的標準化定義。用戶端通常是身分識別提供者或 IAM 系統,例如 Microsoft Entra ID (之前稱為 Microsoft Azure AD)。服務提供者通常是軟體即服務應用程式。用戶端會管理應用程式需要授權或拒絕存取的核心身分識別資訊。
SCIM 會使用 JavaScript 物件標記法 (JSON) 這個開放式標準檔案和資料交換格式,來支援跨網域的無縫互通性。它也會使用具象狀態傳輸 (REST) API 來執行管理身分識別生命週期所需的動作。資料庫操作縮寫 CRUD 描述了 SCIM 佈建使用的基本 REST 動作:
- 建立 - 在應用程式中新增新使用者。
- 讀取 - 從現有的身分識別和群組中,進行資訊擷取或搜尋。
- 更新 - 客戶端和應用程式之間同步處理更新的身分識別資訊。
- 刪除 - 取消佈建身分識別。
應用程式開發人員可以使用 SCIM 佈建標準,以確保其應用程式與企業系統無縫整合。它可避免使用稍微不同的 API 來執行相同基本動作的問題。建立符合 SCIM 標準之應用程式的開發人員可以立即利用預先存在的用戶端、工具和程式碼。
為什麼 SCIM 很重要?
SCIM 很重要,因為它提供組織成長所需的可擴縮性和靈活度。使用 SCIM 自動化使用者佈建,可簡化管理使用者生命週期所花的工作和成本。它也提供組織對可存取其資源之身分識別的健全控制,以提升安全性。有了這個存取控制,IT 系統管理員可以確保每位使用者都只有其成功完成其角色所需的正確權限,並在人員離開組織時快速消除不復存在的身分識別。
SCIM 可確保每個身分識別與群組都有單一事實來源,而不是多個真實版本。透過一致的方法儲存和交換使用者資料,可更輕鬆地強制執行企業運作所依賴的安全性與合規性原則。
SCIM 佈建的權益
提高生產力
自動的 SCIM 佈建讓系統管理員不必在多個應用程式中手動建立和更新身分識別,好讓他們有時間專注在更有價值的工作上。自動化也不需要 IT 和開發團隊開發及管理自訂整合,並減少新增使用者、移除使用者、變更權限或重設密碼的要求數量。
減少錯誤
SCIM 減少了佈建過程中的大量手動輸入,從而大幅減少了不可避免的人為錯誤。它也可以協助系統管理員清除過時的和被遺忘的「殭屍」帳戶,這些帳戶可能會讓系統變得雜亂無章,並讓惡意執行者有機可乘。
降低 IT 成本
簡化雲端身分識別管理生命週期可能會讓組織能夠減少過剩和冗餘的軟體授權。擁有身分識別的單一事實來源可清楚顯示需要多少授權,而自動取消佈建可確保您不用支付不再使用之授權的費用。SCIM 也不需要昂貴的自訂整合,這可能需要相當多的員工時間來開發和維護。
快速新增使用者和應用程式
SCIM 佈建讓員工快速上線,並使用預先設定的規則和群組權限,立即讓他們存取正確的資源。隨著貴組織的成長與創新,SCIM 簡化了採用新應用程式和工作流程的程序。
SCIM vs.SAML
安全性聲明標記語言 (SAML) 和 SCIM 都是簡化身分識別資料交換的開放標準通訊協定。SAML 通常用於為企業應用程式提供 SSO,以及跨安全性網域延伸 SSO。它和 SCIM 一樣,能在讓人員使用相同的認證來存取多個服務方面發揮作用。SCIM 為 SAML 提供基礎,可建立、更新或刪除目標系統中使用者設定檔,並提供使用者在登入應用程式時必要的資訊。
SAML 是以可延伸標記語言 (XML) 為基礎,並使用它來做出安全性聲明,這是服務提供者用來決定是否要授與資源存取權的陳述式。當 SAML 驗證您的身分識別可以存取資源時,它會提供您瀏覽器中單一工作階段的存取權杖。SCIM 和 SAML 都是企業 IAM 解決方案中常用的基礎技術。
SCIM vs.SSO
SCIM 和 SSO 是兩種不同的技術,在管理身分識別和存取上扮演稍微不同的角色。SCIM 會用於跨多個應用程式佈建身分識別,而 SSO 則用於使用一組認證在多個應用程式中驗證使用者。
SCIM 支援 SSO 並可以一起運作。SSO 需要使用者佈建才能運作。企業 IAM 系統通常會使用複雜的技術組合,讓使用者體驗順暢無間,而 SCIM、SSO 和 SAML 都是有助於達成該目標的技術。
SCMIM 佈建使用案例
使用 SCIM 自動佈建,可以簡化原本很耗時的流程,繼而提升貴組織的生產力。以下是如何使用 SCIM 改善內部流程的六個範例:
- 設定 SSO 的基礎。實作啟用 SCIM 的技術作為 SSO 的補充,不但可以節省時間,對貴組織的所有人也都有好處。
- 在成長時管理使用者上線。讓新員工立即存取所需的所有下游應用程式,以讓他們快速上手。
- 促進大型移轉。輕鬆將大量使用者匯入新的應用程式或系統,節省時間和成本。
- 即時同步變更。在人員變更組織内角色時,自動調整權限,並快速取消佈建離職人員的帳戶。
- 提高對存取權限的控制。取得所需的細微可見度,以促進 PAM 最佳做法。監視您最重要的資源的存取權,以保護貴組織免受網路威脅。
- 將組織目錄保持在最新狀態。SCIM 會讓使用者資訊 (例如電話號碼、電子郵件地址和人力資源資訊) 保持最新狀態。其他系統可能會使用此資訊來提供存取權或協助工作流程。例如,SCIM 可用來讓員工的經理資訊保持在最新狀態,這將使費用審批系統知道誰負責批准費用。擁有最新的系統,可減少錯誤並縮短完成工作流程的時間。
商務用 SCIM 整合
若要確保您從 SCIM 佈建系統獲得良好的投資收益,請選擇與大量應用程式整合的解決方案,以及網路安全性與自動化技術最前端的提供者。Microsoft Entra ID (之前稱為 Azure AD) 會使用 SCIM 來佈建、自動化您的身分識別生命週期,以及跨受信任系統同步處理身分識別。Microsoft Entra ID 會與數千個應用程式整合,這是員工在未來保持生產力與創新所需的所有資源。
深入了解 Microsoft 安全性
常見問題集
-
SCIM 是用來自動化身分識別提供者或 IAM 系統與雲端式應用程式或服務之間的身分識別資訊流程。它提供了一般的結構描述,可安全地交換身份識別資訊,並提供 SSO 的基礎。
-
SCIM 是一組用於處理和格式化資料的通訊協定,可標準化一個實體與另一個實體之間如何交換身分識別資訊。它廣泛用來簡化將雲端式應用程式存取權授與人員或群組的流程。
-
SCIM 佈建是一種自動化建立、維護、移除和更新使用者帳戶,並給與他們存取其組織雲端式應用程式之權限的方法。企業 IAM 系統經常使用它。
-
SCIM 會提供標準通訊協定,在身分識別提供者和雲端應用程式之間順暢地交換資料,以自動化佈建。它會受到廣泛使用是因為它既安全又可大幅減少 IT 團隊的手動工作。
-
SCIM API 是一個讓身分識別提供者和應用程式更容易交換身分識別資料的通訊協定。因為 SCIM 是決定資料通訊方式的軟體介面,所以它也被視為 API。
關注 Microsoft 安全性