Für ein bestmögliches Web-Erlebnis verwenden Sie IE11+, Chrome, Firefox oder Safari.

SCIM 101: Effizientes domänenübergreifendes Identity Management

SCIM, oder System for Cross-Domain Identity Management, ist ein Protokoll, das die Verwaltung digitaler Identitäten in mehreren verschiedenen Anwendungen und Plattformen vereinfacht. Die SCIM-APIs ermöglichen eine automatische Provisionierung und Deprovisionierung sowie die Synchronisierung von Benutzerattributen und Kennwörtern.

Da wir heutzutage immer stärker auf cloudbasierte Technologien angewiesen sind, müssen wir Identitäten für verschiedene Anwendungen erstellen, die auf unterschiedlichen Public- und Private-Cloud-Plattformen laufen. Die manuelle Verwaltung all dieser Identitäten, einschließlich der Erstellung und Aktualisierung von Rollen, der Zuweisung von Berechtigungen und der Absicherung von privilegierten Benutzern, kann jedoch eine anspruchsvolle und fehleranfällige Aufgabe sein.

Hier kommt SCIM ins Spiel, das ein standardisiertes Framework für den Datenaustausch zwischen IT-Systemen und Identitätsanbietern bietet. Mit SCIM werden neue Benutzer, die in einem Identitätssystem erstellt werden, automatisch in verschiedenen IT-Anwendungen (sowohl SaaS als auch On-Premises) bereitgestellt.

SCIM unterstützt auch die Synchronisierung von Identitätsdaten zwischen verschiedenen Identitätsprodukten. Wenn Sie beispielsweise eine ältere Unternehmensidentitätslösung haben, können Sie diese über SCIM in die cloudbasierte Lösung eines Identitätsanbieters integrieren. Dadurch müssen Administratoren keine Identitätsdaten mehr für mehrere Anwendungen und Systeme definieren, was das Risiko von Fehlern und Fehlkonfigurationen verringert.

Was ist SCIM?

Was bedeutet SCIM-Provisionierung in der Cybersicherheit?

SCIM-Provisionierung ist der Prozess der automatischen Verwaltung von Benutzerkonten und der Gewährung von Zugriffsrechten über das SCIM-Protokoll. SCIM-fähige IT-Tools implementieren das Protokoll, um APIs für die Benutzerverwaltung bereitzustellen.

SCIM-fähige Identitätsprodukte können diese APIs zum Erstellen, Aktualisieren und Löschen von Benutzerkonten verwenden. Ein Identitätsanbieter kann etwa den API-Endpunkt „/Users/create“ aufrufen, um einen neuen Benutzer in der Zielanwendung zu erstellen.

SCIM-Provisionierung reduziert den manuellen Aufwand für die Verwaltung von Benutzern und deren Berechtigungen in verschiedenen Systemen. Außerdem erhöht sie die Sicherheit, indem sie die rechtzeitige Deprovisionierung von Benutzerkonten gewährleistet, wodurch das Risiko eines unbefugten Zugriffs und von Datenverletzungen verringert wird.

Wie funktioniert das SCIM-Protokoll?

Obwohl die Implementierung des SCIM-Protokolls je nach Unternehmen unterschiedlich sein kann, sind in der Regel die folgenden Schritte erforderlich:
  1. Ein Administrator verwendet die Identitätsanwendung, um ein Benutzerkonto zu erstellen, zu ändern oder zu löschen.
  2. Die Identitätsanwendung teilt die Änderung einer SCIM-fähigen Anwendung mit (die SCIM-fähige Anwendung ist ein eigenständiger SCIM-Client, der für die Erzeugung und den Versand von SCIM-Nachrichten an Zielanwendungen zuständig ist).
  3. Die SCIM-fähige Anwendung sendet eine SCIM-Nachricht im JSON-Format an die Zielanwendung.
  4. Die Zielanwendung, in der Regel ein SCIM-fähiges SaaS-Tool, das aktuelle Identitätsdaten benötigt, überprüft die SCIM-Nachricht, aktualisiert ihre Identitätsdaten entsprechend und antwortet der SCIM-Anwendung mit einem Statuscode.
  5. Schließlich informiert die SCIM-Anwendung die Identitätsanwendung darüber, ob der Synchronisierungsversuch erfolgreich war oder nicht.

Wie fügt sich SCIM in Ihre Cybersicherheitsstrategie ein?

Die Vielfalt und Komplexität moderner IT-Infrastrukturen kann die Verwaltung von Identitäten und die Steuerung des Zugriffs auf sensible Ressourcen zu einer Herausforderung machen. Administratoren müssen sicherstellen, dass alle Anwendungen, egal ob sie sich in der Cloud oder On-Premises befinden, aktuelle Identitätsdaten verwenden. Für diesen Verwendungszweck erweist sich SCIM als eine unschätzbare Lösung.

SCIM fungiert als Bindeglied, das die Lücke zwischen den ansonsten ungleichen Komponenten einer IT-Infrastruktur überbrückt. Es sorgt für einen nahtlosen Identity-Management-Prozess, indem es die Synchronisierung von Daten zwischen Identitätssystemen und IT-Anwendungen automatisiert.

Daher ist es wichtig, Identitätsanbieter und IT-Tools zu wählen, die SCIM-Unterstützung bieten. Wenn Sie Legacy-Anwendungen haben, die SCIM nicht unterstützen, sollten Sie einen SCIM-Adapterservice schreiben, der die Integration in den SCIM-fähigen Identitätsanbieter ermöglicht.

SCIM und SSO im Vergleich

SCIM und SSO (Single Sign-on) sind weitverbreitete Identity and Access Management (IAM)-Techniken, die unterschiedlichen Zwecken dienen. SCIM ist ein Protokoll, das den Austausch von Identitätsdaten zwischen verschiedenen Systemen automatisiert. Im Gegensatz dazu ist SSO eine Anmeldetechnik, die es Benutzern ermöglicht, sich einmal zu authentifizieren und Zugriff auf mehrere Anwendungen zu erhalten. SSO vereinfacht die Benutzeranmeldung und verbessert die Sicherheit, da sich die Benutzer nicht mehr mehrere Benutzernamen und Kennwörter merken müssen.

SCIM und SAML im Vergleich

SCIM und SAML (Security Assertion Markup Language) sind beides IAM-Protokolle, die für unterschiedliche Anwendungsfälle konzipiert wurden. SAML definiert einen Standard für den Austausch von SAML Assertions, digital signierten XML-Dokumenten, die Informationen über die Identität und die Berechtigungen des Benutzers enthalten, zwischen Identitäts- und Serviceanbietern. Der Hauptzweck von SAML besteht darin, eine nahtlose Authentifizierung und Autorisierung durchzusetzen (z. B. SAML-basiertes SSO). Der Hauptzweck von SCIM besteht hingegen darin, Daten aus einem Identitätssystem automatisch mit IT-Anwendungen zu synchronisieren.

SCIM- und JIT-Provisionierung im Vergleich

SCIM- und JIT-Provisionierung (Just in Time) sind miteinander verwandte, aber unterschiedliche IAM-Konzepte. Die JIT-Provisionierung ermöglicht die bedarfsgerechte Erstellung von Benutzerkonten nach der ersten erfolgreichen Anmeldung. Sie rationalisiert das Benutzer-Onboarding und reduziert den Verwaltungsaufwand. Umgekehrt bietet SCIM Administratoren die Möglichkeit, Identitäten von einem zentralen Ort aus zu erstellen, zu verwalten und zu löschen. Bei der JIT-Provisionierung wird in der Regel SAML verwendet, während für SCIM REST-APIs zum Einsatz kommen.

Vor- und Nachteile von SCIM

Hier sind einige Möglichkeiten, wie Ihr Unternehmen von SCIM profitieren kann:

  • Sie können den Identity-Management-Prozess effizienter, effektiver und widerstandsfähiger gestalten.
  • Sie verbessern Ihre Sicherheitslage, indem Sie allen IT-Systemen die neuesten Identitätsdaten bereitstellen.
  • Sie verbessern die Compliance und Auditierung durch die einheitliche Anwendung von Sicherheitskontrollen in allen Systemen.
  • Sie sparen Verwaltungskosten, indem Sie die Provisionierung, Änderung und Deprovisionierung von Benutzern automatisieren.
  • Sie stellen sicher, dass der Zugriff rechtzeitig und konsequent gewährt und entzogen wird, um das Risiko eines unbefugten Zugriffs zu verringern.
  • Sie verbessern die Benutzererfahrung, indem Sie sicherstellen, dass aktualisierte Zugriffsrechte sofort auf die entsprechenden Zielanwendungen angewendet werden
  • Sie verwenden ein Protokoll, das auf die Verwaltung von Tausenden Benutzern und Ressourcen ausgelegt ist und sich daher gut für Unternehmen eignet.

Obwohl SCIM viele Vorteile bietet, gibt es auch einige (mögliche) Nachteile, die Sie berücksichtigen sollten:

  • Wenn Ihre Infrastruktur mehrere Legacy-Anwendungen umfasst, erfordert die Integration von SCIM viel Zeit, Aufwand und technisches Fachwissen.
  • Wenn SCIM-REST-APIs nicht richtig abgesichert werden, können sie Ihre Angriffsfläche vergrößern. Dies wäre beispielsweise dann der Fall, wenn eine Sicherheitsverletzung in einem mit SCIM verbundenen System zu einem unbefugten Zugriff auf mehrere Systeme führen kann.

Fazit

SCIM ist ein Protokoll, das für die Integration von Identitätsplattformen in IT-Anwendungen entwickelt wurde. Es ermöglicht Unternehmen, von einem zentralen Ort aus dieselben Sicherheitskontrollen für Legacy- und Cloud-Anwendungen durchzusetzen. SCIM ist ein Muss für sicherheitsorientierte Unternehmen mit unterschiedlichen Infrastrukturen.

OneLogin kostenlos testen

Testen Sie das Access Management von OneLogin 30 Tage kostenlos und überzeugen Sie sich selbst.