Le SCIM (System for Cross-domain Identity Management) est un ensemble de protocoles au niveau applicatif qui utilisent JSON, REST et d’autres méthodes d’authentification pour automatiser la tâche du provisioning des données. Lorsqu’il est en place, le SCIM permet à une variété de comptes utilisateur d’être créés, mis à jour ou désactivés avec un minimum d’effort. Il transfère juste assez d’informations depuis le fournisseur d’identité vers l’appli pour que cette dernière puisse identifier l’utilisateur et s’assurer qu’il puisse se connecter et se déconnecter facilement sur les applications dont il a besoin.
Sans le SCIM, les administrateurs informatiques doivent ajouter manuellement les informations d’identification dont l’application a besoin concernant les utilisateurs autorisés à l’utiliser. Cette procédure manuelle prend plus de temps et connaît une plus grande marge d’erreur. L’utilisation du SCIM comme protocole standard pour les applications et les services basés dans le cloud résout ce problème et simplifie la gestion des utilisateurs, des groupes et des terminaux.
Dit autrement, le SCIM propose un provisioning basé sur des standards, automatise l’échange de données d’identification de l’utilisateur d’une entité à l’autre (dans différents domaines) et maintient ces comptes sur les plateformes. Cela rend les données disponibles de façon ordonnée et sécurisée pour les applications dont les utilisateurs ont besoin et/où sont autorisés à utiliser. Cela aide à gouverner les droits et les permissions ayant été établis pour chaque utilisateur individuel des ressources sécurisées de l’organisation.
Actuellement, la plupart des entreprises ont une matrice complexe des utilisateurs technologiques à gérer et ont besoin de simplifier les processus de connexion et de permission. De plus, les employés, les partenaires et les fournisseurs utilisent leur propre appareil intelligent (smartphone et tablette) pour réaliser des tâches liées au travail, et ils ont besoin d’accéder à des applications et des services sur cloud à la fois sur site et à distance à l’aide du single sign-on (SSO). Malheureusement, le SSO ne peut pas être utilisé sans le provisioning utilisateur. Le SCIM résout ce problème en partageant des informations d’identité entre les organisations, de façon standardisée. Il supprime le besoin d’avoir des API propriétaires, en gérant la tâche de configuration ressemblant à la façon dont les standards de fédération résolvent le problème du SSO. Avec le SCIM, les administrateurs informatiques peuvent paramétrer en amont les permissions pour les applis de sorte que l’utilisateur soit provisionné immédiatement après s’être connecté.
Le provisoning permet aux organisations de s’assurer que les utilisateurs puissent accéder uniquement aux ressources qu’ils sont autorisés à utiliser, ce qui protège les systèmes et les applications d’une utilisation non autorisée, et garantit que les comptes soient désactivés immédiatement.
Le SCIM fournit des schémas/définitions standards pour les utilisateurs et peut être utilisé pour gérer des opérations standard CRUD (create, read, update, delete, à savoir créer, lire, mettre à jour, supprimer). Pour les fournisseurs d’identité, un client SCIM tel que PingOne ou PingFederate se connecte à l’annuaire de l’utilisateur et surveille ses changements. Les changements sont ensuite poussés vers les annuaires cibles ou vers les terminaux SCIM des fournisseurs de services lorsque des utilisateurs sont ajoutés, modifiés ou supprimés.
Du côté du fournisseur de services, PingFederate fonctionne comme un serveur SCIM pour recevoir les demandes de gestion de l’utilisateur puis modifie l’annuaire cible comme demandé. PingFederate inclut une comptabilité intégrée avec Microsoft Active Directory ainsi qu’avec un SDK pour s’intégrer aux annuaires ou aux bases de données personnalisées.
La gestion automatisée du cycle de vie élimine l’emprunt ou le partage de mots de passe entre les employés pour accéder aux applications qu’ils n’ont peut-être pas la permission d’utiliser. Elle évite également l’accès involontaire lorsque statut d’un utilisateur change. Lorsque les utilisateurs quittent une entreprise, les fournisseurs d’identité peuvent supprimer ou fermer leurs comptes, ce qui renforce la sécurité au sein de l’organisation. Le deprovisioning automatique peut éliminer les coûts de licence imprévus, réduire les risques de faille de données et empêcher les utilisateurs non autorisés de se connecter à des applications auxquelles ils ne devraient plus avoir accès. Il élimine aussi le risque d’erreurs lors de la saisie manuelle des données sur l’utilisateur devant être partagées entre les organisations.
EXEMPLE
ABC Electronics engage un service d’identité qui utilise le SCIM pour provisionner les données de l’utilisateur sur les applis dont chaque employé de ABC Electronics a besoin.
Lorsqu’un employé quitte ABC Electronics, le fournisseur d’identité supprime ou ferme son compte, ce qui signifie qu’il ne pourra plus accéder aux applis.
L’adoption du SCIM permet une communication plus simple, plus performante et standardisée entre les référentiels de données d’identité. Cela évite de devoir développer des intégrations uniques et permet aux organisations d’utiliser des solutions commerciales telles que PingOne ou PingFederate, qui sont compatible avec le provisioning SCIM entrant et sortant.
Ressources annexes
Lancez-vous dès Aujourd'hui
Découvrez comment Ping peut vous aider à protéger vos employés et améliorer l'expérience de vos clients dans un monde digital en constante évolution.
Démonstration Gratuite
Nous vous remercions ! Veuillez consulter votre boîte email.