- ARTIKEL -

Das SCIM und seine Funktionsweise

Die Synchronisierung von Benutzeridentitäten über mehrere verteilte Datenspeicher hinweg war schon immer eine Herausforderung für große Unternehmen. Selbst mit Identitätsföderation und Single Sign-On führt oft kein Weg daran vorbei, Benutzerdatensätze über IAM-Systeme hinweg zu erstellen, damit die Anwendungen relevante Benutzerinformationen in einem lokalen Repository speichern und abrufen können. Dies gilt in noch höherem Maße für SaaS-Anwendungen, da sich die Datenspeicher in verschiedenen Sicherheitsdomänen befinden und auch für Kunden zunehmend eine Optimierung des On- und Offboarding von Benutzern gefordert wird.

Die Service Provisioning Markup Language (SPML) war ein XML-basiertes Framework, das sich bereits 2003 bei der Lösung dieses Problems bewährt hat, allerdings war die Implementierung und Nutzung des Protokolls etwas umständlich, weshalb der Standard nur zögerlich angenommen wurde. Daher folgte 2011 die Entwicklung des System for Cross-Domain Identity Management (SCIM) , das moderne Protokolle wie REST und JSON nutzte, um die Komplexität zu reduzieren und einen geradlinigen Ansatz für die Benutzerverwaltung zu liefern.

Im Zuge der Veröffentlichung von SCIM 1.1 im Juli 2012 wurden Probleme behoben, die bei den Interoperabilitätstests aufgefallen waren. Mittlerweile ist das Protokoll erfolgreich bei einer Reihe von Unternehmen und SaaS-Anbietern im Einsatz, darunter auch Salesforce. Obwohl viele SaaS-Anbieter sowohl proprietäre Schnittstellen als auch Mechanismen wie Just-In-Time-Provisioning unterstützen, ermöglicht die Einführung von SCIM eine fließendere, effizientere und vor allem standardisierte Kommunikation zwischen Identitätsdatenspeichern. Dadurch fällt die Notwendigkeit weg, einmalige Integrationen vorzunehmen. Außerdem können Unternehmen im Handel erhältliche Lösungen wie PingFederate einsetzen, die bereits eine integrierte Unterstützung sowohl für die Inbound- als auch Outbound-Bereitstellung von SCIM bereitstellen.

Bei Identitätsprovidern stellt ein SCIM-Client wie PingFederate eine Verbindung zum Benutzerverzeichnis her und überprüft es auf Änderungen. Die Änderungen werden daraufhin an die Zielverzeichnisse oder an die SCIM-Endpunkte eines Serviceproviders weitergeleitet, sofern Benutzer hinzugefügt, geändert oder entfernt wurden.

Auf der Seite des Serviceproviders fungiert PingFederate als SCIM-Server, der Anfragen zur Benutzerverwaltung entgegennimmt und dann das Zielverzeichnis nach Bedarf modifiziert. PingFederate sieht eine integrierte Unterstützung für LDAP sowie ein SDK für die Einbindung benutzerdefinierter Verzeichnisse oder Datenbanken vor.