Article

SCIM : Fonctionnement

Contexte du système de gestion des identités sur plusieurs domaines

Il a toujours été difficile pour les organisations de synchroniser les identités sur plusieurs data stores différents. Même avec la fédération des identités et le single sign-on, il est souvent impératif d’avoir des antécédents de l’utilisateur établis dans des systèmes d’IAM pour que les applications puissent stocker et récupérer les informations des utilisateurs depuis un référentiel local. Cela est encore plus important pour les applications SaaS car les data stores sont dans des domaines de sécurité différents, et les clients demandent de plus en plus que l’ajout et la suppression d’utilisateurs soit facilitée.

Le Service Provisioning Markup Language (SPML) est une structure basée sur format XML et approuvée en 2003 pour résoudre ce problème, mais la mise en oeuvre et l’utilisation de ce protocole étant lourde, ce standard fut peu adopté. Le standard System for Cross-domain Identity Management (SCIM) a donc été développé en 2011 sur la base de protocoles modernes tels que REST et JSON afin de simplifier la gestion des utilisateurs et d’en assurer une approche plus simple.

La sortie de SCIM 1.1 en juillet 2012 a résolu les problèmes identifiés lors des tests intermédiaires, et le protocole est désormais utilisé avec succès par plusieurs entreprises et fournisseurs de SaaS, Salesforce inclus. Alors que plusieurs fournisseurs de SaaS sont compatibles avec les interfaces propriétaires et des mécanismes tels que le provisioning en temps réel, l’adoption du SCIM facilite la communication entre les data stores d’identité, tout en rendant celle-ci plus puissante et plus standardisée. Cela évite de devoir développer des intégrations uniques et permet aux organisations d’utiliser des solutions commerciales telles que PingFederate, qui est compatible avec le provisioning SCIM entrant et sortant.

Fonctionnement de SCIM

Pour les fournisseurs d’identités, un client SCIM tel que PingFederate se connecte à l’annuaire de l’utilisateur et surveille ses changements. Les changements sont ensuite poussés vers les annuaires cibles ou vers les terminaux SCIM des fournisseurs de services lorsque des utilisateurs sont ajoutés, modifiés ou supprimés.

Du côté du fournisseur de services, PingFederate fonctionne comme un serveur SCIM pour recevoir les demandes de gestion de l’utilisateur puis modifie l’annuaire cible comme demandé. PingFederate inclut une comptabilité intégrée avec LDAP ainsi qu’avec un SDK pour s’intégrer aux annuaires ou aux bases de données personnalisées.