Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

エンタープライズITにおけるSCIM利用ガイドライン by NEC桑田雅彦様

6,513 views

Published on

  • Be the first to comment

エンタープライズITにおけるSCIM利用ガイドライン by NEC桑田雅彦様

  1. 1. NEC  桑⽥田  雅彦 エンタープライズITにおける SCIM利利⽤用ガイドライン
  2. 2. Copyright 2013 OpenID Foundation Japan - All Rights Reserved. ⽬目次 I.  エンタープライズITにおけるクラウドサービスに対する アイデンティティ・プロビジョニング要件 II.  要件に対するSCIMの対応可否 III.  SCIM標準仕様の利利⽤用ガイドライン IV.  SCIM拡張仕様(共通)とその利利⽤用ガイドライン V.  SCIM拡張仕様(サービス個別)の拡張⽅方法ガイドライン 2
  3. 3. Copyright 2013 OpenID Foundation Japan - All Rights Reserved. Ⅰ.エンタープライズITにおけるクラウドサービスに対する アイデンティティ・プロビジョニング要件 ①  対象が企業の組織とそれに所属する多数の個⼈人であること ②  深い組織階層や多数の兼務所属を扱えること ③  アイデンティティ属性の多様な⾔言語表現が求められること ④  多数の組織、グループ、個⼈人の中から複雑な条件を指定して抽出する検索索が できること ⑤  アイデンティティのライフサイクル上の運⽤用が、企業における組織と⼈人の変 動に応じて発⽣生すること ⑥  定期的な組織改編や⼀一⻫斉の⼈人事異異動を扱えること ⑦  アイデンティティ・プロバイダが企業イントラネットの中に存在すること 3 ⽇日本のエンタープライズITにおけるクラウドサービスに対する アイデンティティ・プロビジョニング要件は、 コンシューマITとは異異なる。また、欧⽶米とも異異なる。 ⽇日 ⽇日 ⽇日 E E E E E E
  4. 4. Copyright 2013 OpenID Foundation Japan - All Rights Reserved. Ⅱ.要件に対するSCIMの対応可否(1) 要件 標準仕様による対応 拡張仕様による対応 残課題 標準スキーマ 標準プロトコル ①対象が企業の組織 とそれに所属する多 数の個⼈人であること ü アカウント名属性 ü パスワード属性 ü 電⼦子メールアドレス 属性 ü 電話番号属性 ü 従業員番号属性  等 ü Bulk操作 ü 組織リソース ü 役職リソース ü 所属組織・役職属性 ü 各種コード属性 ü Bulk操作のト ランザクショ ン処理理 ②深い組織階層や多 数の兼務所属を扱え ること ü 組織リソース ü 所属組織・役職属性 ③アイデンティティ 属性の多様な⾔言語表 現が求められること ü ローカル名(マルチ⾔言語 表現)属性 ④多数の組織、グ ループ、個⼈人の中か ら複雑な条件を指定 して抽出する検索索が できること ü 属性値の有無、同 値、含有、順序に 関する条件 ü 条件の論論理理演算(論論 理理積、論論理理和)によ る組合せ ü 表⽰示順属性 ü 条件の論論理理演 算(論論理理否定) 4
  5. 5. Copyright 2013 OpenID Foundation Japan - All Rights Reserved. Ⅱ.要件に対するSCIMの対応可否(2) 要件 標準仕様による対応 拡張仕様による対応 残課題 標準スキーマ 標準プロトコル ⑤アイデンティティのラ イフサイクル上の運⽤用 が、企業における組織 と⼈人の変動に応じて発 ⽣生すること ü CRUD操作 ü Bulk操作 ⑥定期的な組織改編や⼀一 ⻫斉の⼈人事異異動を扱える こと ü Bulk操作 ü 開始⽇日属性 ü 終了了⽇日属性 ü Bulk操作のトラ ンザクション処 理理 ⑦アイデンティティ・プ ロバイダが企業イント ラネットの中に存在す ること ü HTTPメソッド 5
  6. 6. Copyright 2013 OpenID Foundation Japan - All Rights Reserved. Ⅲ-1.SCIM標準仕様の利利⽤用ガイドライン  〜~  プロトコル編  〜~ SCIM操作 (HTTPメソッド) 機能 利利⽤用場⾯面 備考 Retrieve - Read (GET) 単⼀一のリソースを読み出す 特定のリソースの内容を読み出 して確認したい場合 Retrieve - Search (GET) 複数のリソースを検索索する 条件に合致するリソースを検索索 して⼀一覧で確認したい場合 Create (POST) 単⼀一のリソースを⽣生成する 対話的に即座に、単⼀一のリソー スを更更新したい場合 Modify - Replace (PUT) 単⼀一のリソースを置換する (全部) Modify - Update (PATCH) 単⼀一のリソースを変更更する (部分) ü 実装オプション ü パラメタの指定⽅方法 が複雑 Delete (DELETE) 単⼀一のリソースを削除する Bulk (POST) 複数のリソースを⼀一括で更更新 する (=単⼀一リソースの⽣生成、置 換、変更更、削除の組合せ) 定期的にバッチ処理理で⼀一括して、 複数(⼤大量量)のリソースを更更新 したい場合 ü 実装オプション ü CSV→JSON変換要 ü 複数リソースにわた るトランザクション 処理理には未対応 6
  7. 7. Copyright 2013 OpenID Foundation Japan - All Rights Reserved. Ⅲ-2.SCIM標準仕様の利利⽤用ガイドライン  〜~  スキーマ編  〜~ 標準スキーマ ⽤用途(例例) 標準スキーマ ⽤用途(例例) ユーザ(User)リソース ユーザ addresses属性 住所(会社、⾃自宅宅等) userName属性 アカウント名 groups属性 所属グループのid属性値 のリスト name.familyName属性 姓(ローマ字) エンタープライズユーザ (Enterprise User)リソース 企業ユーザ name.givenName属性 名(ローマ字) employeeNumber属性 従業員番号 displayName属性 表⽰示名(ローマ字) organization属性 会社名(英語) title属性 肩書き、役職名(英語) division属性 事業部名(英語) userType属性 雇⽤用形態(英語) department属性 部名、課名(英語) active属性 アカウントの有効/無効 manager.managerId属性 上司のid属性値 password属性 パスワード グループ(Group)リソース グループ emails属性 電⼦子メールアドレス (会社、⾃自宅宅等) displayName属性 表⽰示名(英語) phoneNumbers属性 電話番号(会社、⾃自宅宅、 モバイル等) members属性 メンバ(ユーザ、グルー プ)のid属性値のリスト 7
  8. 8. Copyright 2013 OpenID Foundation Japan - All Rights Reserved. Ⅳ-1.SCIM拡張仕様(共通)とその利利⽤用ガイドライン 〜~  組織リソース、役職リソースの新規追加  〜~ 拡張スキーマ(共通) ⽤用途(例例) 拡張スキーマ(共通) ⽤用途(例例) 組織(OrganizationalUnit) リソース 組織 役職(Title)リソース 役職 orgUnitCode属性 組織コード titleCode属性 役職コード localNames属性 組織名(漢字、仮名、 ローマ字、英語等) localNames属性 役職名(漢字、仮名、 ローマ字、英語等) parentOrgUnitCode属性 上位組織コード displayOrder属性 表⽰示順 level属性 組織レベル startDate属性 開始⽇日 type属性 組織種別(business unit, division, department等) endDate属性 終了了⽇日 displayOrder属性 表⽰示順 description属性 説明 startDate属性 開始⽇日 endDate属性 終了了⽇日 description属性 説明 members属性 所属メンバのid属性値の リスト 8
  9. 9. Copyright 2013 OpenID Foundation Japan - All Rights Reserved. Ⅳ-2.SCIM拡張仕様(共通)とその利利⽤用ガイドライン 〜~  ユーザリソース、グループリソースの属性拡張  〜~ 拡張スキーマ(共通) ⽤用途(例例) 拡張スキーマ(共通) ⽤用途(例例) ⽇日本エンタープライズ ユーザ (JapanEnterpriseUser) リソース ⽇日本企業ユーザ ⽇日本エンタープライズ グループ (JapanEnterpriseGroup) リソース ⽇日本企業グループ localNames属性 姓名(漢字、仮名、ロー マ字、英語等) type属性 グループ種別 position属性 職位 filter属性 動的グループの⽣生成フィ ルタ記述 registrationDate ⼊入社⽇日 displayOrder属性 表⽰示順 displayOrder属性 表⽰示順 startDate属性 開始⽇日 startDate属性 開始⽇日 endDate属性 終了了⽇日 endDate属性 終了了⽇日 description属性 説明 description属性 説明 organizationalUnits属性 所属組織・役職 9
  10. 10. Copyright 2013 OpenID Foundation Japan - All Rights Reserved. Ⅴ.SCIM拡張仕様(サービス個別)の拡張⽅方法ガイドライン n  基本⽅方針 1.  SCIM: Protocol 1.1, Core Schema 1.1 で定義されている標準仕様(リソ ースや属性など)の定義には⼿手を加えない。 2.  できるだけ既定の仕様(属性やサブ属性など)をそのまま活⽤用する。 3.  他のサービスでも共通に必要となる仕様は、OpenIDFJ/EIdWGで拡張仕 様(共通)として拡張定義する。 4.  相互接続性を損なうことのないよう、⼗十分に配慮する。 n  拡張⼿手順 ①  拡張仕様(サービス個別)を識識別するURIを定義する。 ②  標準仕様の規定や慣例例に従い、プロトコル(パラメタ)、リソース、エン ドポイント、属性などの必要な仕様を拡張定義する。 ③  スキーマ拡張定義に必要な項⽬目や形式は、SCIM: Core Schema 1.1 の  10. Resource Schema を参照。 10

×