OktaのようなIDaaSのソリューションとSaaSなどが連携する際は、SAML(Security Assertion Markup Language)を用いることが多い。SAMLを使えば複数のサービス間でシングルサインオン環境を容易に実現でき、部署やユーザーごとのアクセス制御も可能となる。今やグローバルなSaaSのほとんどがSAMLに対応し、Oktaなどとコード開発なしに連携できる。国内のSaaSも最近はSAML対応が進みつつある。ところでID管理との連携では、SCIM(System for Cross-domain Identity Management)もある。国内のSaaSでいち早くSCIMに対応し、Oktaとの連携を果たしたのがSmartHRだ。
HRのシステム起点にしたいという要望に応えるSCIM連携
SCIMは、複数システム間でユーザーID情報のやり取りを自動化できるオープンな標準規格だ。SCIMでは、ユーザーIDの作成、更新、停止などの情報が、IdP(Identify Provider)とSP(Service Provider)の間で自動同期される。それぞれのサービスで、常に最新ID情報を利用できるのが利点だ。
SAMLの連携では、OktaのようなIdPを中心として周りに複数のSaaSがあり、シングルサインオンの環境が実現できる。一方SCIMを使えば、WorkdayやSmartHRのようなHR(人事情報)管理のサービスとIdPが連携することで、最新の従業員情報をIdPが取得でき、それを他のSaaSなどの制御に利用できる。
SmartHRでは、以前からOktaなどのIdPからID情報のプロビジョニングを実現しないかとの提案があった。また顧客からも、IdPからSmartHRのアカウントを作れるようにして欲しいとの要望もあった。とはいえ、SmartHRのサービス方針としては、顧客企業の従業員が入社する前からSmartHRのサービスに触れて欲しいというものがある。入社が決まった社員が、あらかじめSmartHRに名前や住所、マイナンバーなど入社時に必要な情報を入力する。社員として必要な情報が揃った形で、仕事がスタートできるようにするのだ。
「そのために、SmartHRのアカウントを入社前に発行して利用してもらいます。これがIdPからSmartHRのアカウントを作る思想とは相容れませんでした」と言うのは、株式会社SmartHR PMMグループ Product Marketing Managerの髙松泰嗣氏だ。こう考えていた際にOktaからSCIMを使った「HRドリブンITプロビジョニング」があるとの提案があったのだ。SCIMを使った際のID連携のフローを確認し、SmartHRを起点にして各種SaaSのIDコントロールができることが分かる。退職した人の退職後の処理も、SmartHRを起点にして確実に実現できる。SCIMを使ったIdP連携で「人事だけでなくITの工数削減のイメージができました」と髙松氏は言う。
この記事は参考になりましたか?
- この記事の著者
-
谷川 耕一(タニカワ コウイチ)
EnterpriseZine/DB Online チーフキュレーターかつてAI、エキスパートシステムが流行っていたころに、開発エンジニアとしてIT業界に。その後UNIXの専門雑誌の編集者を経て、外資系ソフトウェアベンダーの製品マーケティング、広告、広報などの業務を経験。現在はフリーランスのITジャーナリスト...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
