事務局メンバーによる、OpenID関連のあれやこれや
Mike Kiser、Jen Schreiber
CAEPイベントを通じて通信を管理するというShared Signals Frameworkの直接的な用途のほかにも、長期的なアイデンティティの課題に対処するための有力な道筋を提供します。その一つの課題が、アイデンティティライフサイクル管理、つまりプロビジョニングとデプロビジョニングです。
多くの人はプロビジョニングの課題を過小評価しています。プロビジョニングについて考えたことがない人にとっては、外部から見ると比較的シンプルに見えるかもしれません。それは、才能ある大道芸人が、例えばロンドンのような国際的な街でジャグリングをしている姿を見るのに似ています。この例を挙げた理由は特にありませんが、最近その素晴らしい街で行われた相互運用性の実証イベントを念頭に置いています。
大道芸人のジャグリングは、最初は比較的簡単なものに始まります。いくつかのボールが空中に飛んで、パフォーマーの手の間を行き来するだけ。物体が行ったり来たりする様子は簡単でスムーズに見えます。
そして、プロビジョニングも確かにそれに似ています。たとえば、HR(人事システム)がローカルの従業員ディレクトリに同期する場合のように、比較的似たスキーマや利用ケースを持つ2つの独立したシステム間であれば簡単です。
しかし、大道芸人を見続けてください...事態は急速に複雑化します。そのうちに、2つのオブジェクトではなく、6つまたは8つのオブジェクトがあります。ボールは棒と交換され、棒に火がつけられます。そうなると、物事はそれほど単純でも簡単でもありませんよね?
実際のプロビジョニングの世界も、ほぼ同じようにエスカレートします。システムの数が増えるにつれて、維持しなければならない接続関係も増えます。これはすぐに解決困難な問題になります(火をつけなくても)。
ID のライフサイクル管理の課題に対処するために、System for Cross-Domain Identity Management (SCIM) が作成されました。SCIMはIDリポジトリの接続にある程度の成功を収めていますが、イベントベースのアーキテクチャの台頭は、SCIMがトランザクションや一括更新から、相互接続されたシステムがIDコンテキストとデータをほぼリアルタイムで共有できるようにするイベントベースの非同期アプローチに移行する必要性を示しています。
セキュリティイベントトークンのSCIMプロファイルは、イベントベースのアーキテクチャでSCIMの連携を可能にすることを目指しています。
SCIM イベントでは、CAEP イベントや Risk Incident Sharing and Coordination (RISC) イベントと同じ形式のセキュリティイベントトークンを使用して、この目標を達成するために既存の標準を使用します。SCIM イベントでは、トランスポート層として Shared Signals Framework を使用する場合がありますが、必須ではないことに注意してください。ジャグラーは、空中や水中で物体を投げているかもしれませんし、クラブ、リング、またはボールを投げているかもしれません。そのすべてが楽しいのです。
SCIM イベントは、HTTP、Kafka や Kinesis などのストリーミングテクノロジ、Webhook、SSFを介したプッシュ/プルを介して転送できます。この仕様は特定の技術や方法に依存していません。とはいえ、Shared Signals Frameworkの人気で、推奨される方法になるかもしれません。
イベントベースのアプローチを採用することで、SCIMは単なる更新情報の流通以上のことを可能にします。一部のシステムはイベントのストリームを処理する必要があり、またそれが可能な場合もありますし、他のシステムは変更の通知だけを受け取ることを好むかもしれません。
実際には、これによりそれぞれが関心のある変更だけをセキュアなバックチャネルを通じてリクエストでき、労力を節約しつつプライバシーを保護することが可能になります。他のシステムは非同期で処理を進め、新しい情報を独自のスケジュールで対応する必要があるかもしれません。この標準では、こうしたカスタマイズ可能なアプローチを可能にしており、多様なアーキテクチャに柔軟に対応できる仕組みとなっています。
SCIMがリアルタイムプロビジョニングをサポートする機能は重要です。インテグレーションが行われ、リアルタイムの更新がエンタープライズシステム内で共有できるようになると、ゼロスタンディング特権(およびゼロトラスト)が現実に一歩近づきます。リアルタイムで変更を加えられるようになると、アクセスは永続的ではなくなり、ID で必要なときにプロビジョニングされ、不要になったら削除されます。
SCIMイベントは、プロビジョニングだけでなく、さまざまなソースからデータをリアルタイムで取り込むことで、システムが真のセキュリティの可能性を見つけることができると期待されています。組織が採用するアクセスポリシーには、最新のデータと属性が必要です。SCIMイベントからの入力とCAEPおよびRISCをリアルタイムの情報源として使用することで、ポリシーは可能な限り最新のものになります。
データ最小化によるプライバシーは、SCIMイベントの採用によって大きなメリットが得られます。データ収集を必要なものだけに制限することは、プライバシーアプローチの基本です。最小限の情報: SCIM イベントを使用すると、受信側は、受け入れることができる属性またはリソース ライフサイクルの変更を決定できます。または、送信機が受信ドメインを制限する場合です。取得するデータが少ないほど、組織のリスクは少なくなります。
システム内では、SCIM イベントを CAEP イベントと RISC イベントへの対応のために利用できます。これらのイベントがセッション終了されたことを中継すると、システムは基になる属性データとアカウント自体に反応して、将来の使用を防ぐことができます。
最後に、組織内で行われるすべてのことの監査可能な記録は、企業内のコンプライアンスとリスク検出を証明するために不可欠です。無効なセッションを排除したり、アクセスやエンタイトルメントを調整したりするだけでは不十分で、システム内で行われたすべてのアクションを記録して、システムが「独自のルールに従ってライフタイムマネジメント」を実施し、責任を果たしていることを確認する必要があります。したがって、SCIMイベントは、リアルタイムでのプロビジョニングだけでなく、監査とガバナンスも可能にします。
SCIMイベントを採用することで、断片化されたデータストア、独自のインターフェース、アイデンティティへのばらばらなアプローチ(歴史的にジャグリングのような問題)など、プロビジョニングの長期的な問題への対処に近づくことができます。しかし、この新しいパラダイムに移行すると、ポリシーに基づく意思決定を強化するためのリアルタイムのコンテキストが得られるという、それ以上のことを達成できます。データを最小限に抑えるためのプライバシー強化アプローチを強化します。CAEPやRISCのイベントに対して、具体的な対応をします。そして、私たちは、必要なとき以外はアクセスできない世界という目標に近づいていることを証明する監査記録を使用して、それをすべて行っています。
つまり、SCIM Events は、プロビジョニングを単純に見えるタスクから、実際には単純なタスクに移行します。(著者たちは、もう1つの難解な問題、つまり5本の燃え盛るボウリングのピンを同時に空中に浮かせておくことについて、まだ取り組んでいます。