SCIM(System for Cross-domain Identity Management) は、ユーザーやグループの 作成・更新・削除(プロビジョニング)を自動化する標準 API です。SSO(ログインの一元化)とセットで導入することで、IDライフサイクル全体を管理できます。
SSO だけでは足りない理由
SSO は「ログインを一元化」しますが、各 SaaS にアカウントが存在することが前提です。SCIM がないと:
- 入社のたびに各 SaaS で手作業のアカウント作成が必要
- 退職者のアカウント削除が漏れる(重大なセキュリティリスク)
- 棚卸しが手作業で形骸化する
SCIM は IdP を「正」として、各 SaaS のアカウントを自動で同期します。
SCIM が扱う操作
| 操作 | 内容 |
|---|---|
| Create | 入社時にアカウントを自動作成 |
| Update | 異動・氏名変更・属性更新を反映 |
| Deactivate / Delete | 退職時にアカウントを無効化・削除 |
| Group | 部署・ロールに応じたグループ割当 |
退職者対応こそ本命
情報漏洩の典型例が「退職者のアカウントが生きていた」ケースです。SCIM で IdP のアカウントを止めれば、連携先 SaaS のアクセスも自動的に遮断されます。SSO + SCIM + MFA が、現代の ID 管理の基本セットです。
導入のポイント
- 連携先 SaaS が SCIM に対応しているかを確認(SaaS別SSO対応一覧 / IdP比較表)
- IdP 側を「信頼できる正」とするため、人事システムとの連携設計が重要
- 対応していない SaaS は API 連携や手順の運用でカバー
まとめ
SCIM は「入れて終わり」ではなく、IDライフサイクル運用の仕組みづくりです。全体像は 企業SSO完全ガイド、抜け漏れ防止は SSO導入チェックリスト を参照してください。