SCIM とは?
クロスドメインID管理システム(SCIM)は、IT システムやドメインをまたいだユーザーID情報の管理と交換を自動化できる、業界標準のオープンなプロトコルです。SCIM は、同じく標準である RESTful API を利用して、データベース上で操作やコマンドを実行します。
これにより、IT 管理者は SaaS 製品、社内ツールなどを含む IT システム向けにユーザーを簡単にプロビジョニングおよび管理できます。会社で利用しているさまざまなサービスすべてに対して新入社員のアカウントを手動で作成する代わりに、IT 管理者は新しいユーザーを ID 管理システムに追加します。すると、そのシステムが SCIM を使用してアカウントを自動的に作成します。
重要なのは、ユーザーが退職した場合には逆方向にも機能し、その従業員のアカウントを閉鎖して、退職に伴うセキュリティリスクを低減できる点です。
最後に、SCIM はユーザーを特定のグループに割り当て、特定のツール向けにプロビジョニングするためにも使用できます。たとえば、人事チームに加わった人に対して、従業員の詳細を管理するために必要な権限を付与した状態で、SaaS の人事ポータル(人事ツールなど)にアカウントを自動作成できます。
Bitwarden における SCIM の実装方法
Bitwarden サーバーは SCIM エンドポイントを提供しており、有効な SCIM API キーがあれば、ユーザーとグループのプロビジョニングおよびディレクトリ同期のためのリクエストを ID プロバイダー(IdP)から受け付けます。ID プロバイダー → Bitwarden の通信を有効にするには、Bitwarden クライアントから提供される API キーと SCIM URL を IdP の設定に入力します。サポートされている各サービスのドキュメントは、ヘルプセンターで確認できます:Azure Active Directory;Okta;OneLogin;JumpCloud
SCIM とシングルサインオン
企業で SCIM と SSO の両方を併用すると、認証情報の管理と自動化が大幅に簡単になり、オーバーヘッドも削減されます。この 2 つは非常によく補完し合います。SSO を使用すると、Bitwarden を含む社内ツールへのアクセスを自動化できます。一方 Bitwarden は、SSO の対象外のツールにも簡単にアクセスできるようにします。SCIM プロビジョニングを使用すると、管理者は 1 回の操作で、SSO または SCIM のいずれにも対応していないツールを含むすべてのツールへのアクセスを付与または取り消せます。Bitwarden はそれらの機能を拡張するものとして機能し、これらの Web サイトやツールへのアクセスを制御します。
SCIM と Bitwarden Directory Connector
SCIM と Bitwarden Directory Connector はどちらも、Bitwarden 組織向けのユーザーのプロビジョニングを自動化する方法を提供します。どちらのソリューションでも、ディレクトリに基づいてユーザーアカウントと権限を適切に作成できます。
Bitwarden Directory Connector は、既存のディレクトリサービスから Bitwarden 組織へユーザーとグループを 1 回の操作で能動的に同期するために使用されるスタンドアロンアプリケーションです。ソースディレクトリを照会し、ユーザー、グループ、グループ関連付けを自動的にプロビジョニングし、削除されたユーザーのアカウントを閉鎖します。以降の更新には、同期操作を再度実行する必要があります。オンプレミスの ID プロバイダーソリューションにも対応しています。
SCIM により、Bitwarden は新しいユーザーやグループの変更などの更新を、ディレクトリまたは ID プロバイダーからいつでも受信できます。ディレクトリまたは ID プロバイダーが変更をプッシュすると、ユーザーを自動的にプロビジョニングまたは変更します。
ソリューション | 実行方法 | 同期タイプ | 同期スケジュール | パートナーと互換性 |
|---|---|---|---|---|
SCIM | Bitwardenに統合 | 変更をBitwardenにプッシュ | 常時稼働 | Azure AD、Okta、OneLogin、JumpCloud、Ping Identity |
Bitwarden Directory Connector | ローカルマシン上でスタンドアロン | ディレクトリに照会して変更を取得 | 同期間隔はカスタマイズ可能 | Active Directory、Azure AS、Okta、OneLogin、Google Workspace、LDAPベースのディレクトリ、自己ホスト型IdP |
SCIMサポートはEnterpriseプランで利用できます。Bitwarden Directory Connectorは、TeamsプランとEnterpriseプランの両方で利用できます。
FAQ:
Q: SCIMはSSOと同じですか?
A: いいえ。SSOはIDプロバイダーの情報を使用してログインを認証しますが、SCIMは特にユーザーのプロビジョニングと管理を可能にします。
Q: Bitwarden Directory Connectorの使用からSCIMに切り替えることはできますか?
A: はい。次の項目にご注意ください。
Directory Connectorが使用していたものと同じディレクトリでSCIM連携を使用してください
ディレクトリ内に存在するもののBitwardenでプロビジョニングされていないユーザーまたはグループは、プロビジョニングされます
Bitwardenに既に存在していて、ディレクトリ内に存在しないユーザーまたはグループは、そのまま残ります。
現時点では、SCIMで実行できるのはユーザーアクセスの取り消しのみです。組織からユーザーを完全に削除する機能は、今後のリリースで追加される予定です。
Directory Connectorの実行を自動化するために作成したスクリプトがある場合は、必ず無効にしてください。
移行を支援する追加ツールを開発中です。詳細なドキュメントは、こちらのヘルプセンター記事をご覧ください。
Q: これはクラウド版と自己ホスト型インストールの両方で機能しますか?
A: はい。SCIMは両方のタイプのEnterpriseインストールで利用できます。
Q: SCIMを始めるにはどうすればよいですか?
A: ステップごとのドキュメントは、こちらのヘルプセンター記事をご覧ください。
Q: BitwardenはSCIMでどのIDプロバイダーをサポートしていますか?
A: Azure AD、Okta、OneLogin、JumpCloud、Ping Identityを完全にサポートしています。