Pourquoi le SCIM remet-il en cause l’échange d’identités d’utilisateurs?
La norme System for Cross-domain Identity Management (SCIM) a été développée à l’origine pour simplifier la gestion et la synchronisation des identités des utilisateurs entre les systèmes. À première vue, il s’agit d’un objectif raisonnable – mais en y regardant de plus près, on constate que SCIM se heurte souvent dans la pratique à des problèmes résultant d’hypothèses et de décisions architecturales dépassées. C’est précisément dans les scénarios modernes et dynamiques tels que la gestion de la clientèle ou les environnements B2B qu’il apparaît clairement que SCIM n’est pas toujours le meilleur choix.
SCIM et les hypothèses sur les données des utilisateurs
SCIM est basé sur un schéma fixe pour les données des utilisateurs et des groupes. Cela représente un défi considérable, car de nombreux systèmes utilisent des modèles de données individuels qui ne correspondent pas aux attributs standard de SCIM.
OIDC comme meilleure approche
Un regard sur la norme OpenID Connect (OIDC) montre qu’une approche plus flexible et plus moderne est possible. OIDC définit également des attributs pour les profils d’utilisateurs, mais ceux-ci sont
- Largement établi: OIDC n’est pas seulement plus ancien que SCIM, il est également utilisé par un grand nombre d’applications modernes.
- plus flexible: OIDC permet de définir ses propres revendications spécifiques à l’application, ce qui permet une meilleure adaptation aux modèles de données individuels.
Le problème: les données doivent souvent être « traduites » entre SCIM et OIDC pour rendre les systèmes compatibles. Cela entraîne des processus de mappage bidirectionnels qui sont non seulement sujets à des erreurs, mais également coûteux à mettre en œuvre et à maintenir.
Le concept obsolète de groupes d’utilisateurs
SCIM reprend le modèle classique des groupes d’utilisateurs issu du monde des systèmes LDAP et des anciens systèmes IAM. Ce modèle part du principe que :
- les groupes peuvent référencer tous leurs membres dans un seul objet.
- Les groupes peuvent contenir d’autres groupes de manière récursive.
La réalité des systèmes modernes
Ces hypothèses sont souvent impraticables dans les scénarios modernes:
- Problèmes de mise à l’échelle: Dans les environnements clients ou les plateformes B2B, il y a souvent des groupes de centaines de milliers, voire de millions de membres. Le référencement complet de ces utilisateurs dans un objet de groupe est inefficace et pèse à la fois sur le système et sur les performances de l’API.
- Nécessité de groupes récursifs: Il est sous-entendu que les groupes peuvent contenir d’autres groupes – mais dans de nombreux scénarios, cela n’est ni nécessaire ni utile. Les structures de groupes complexes entraînent souvent des problèmes de performance et compliquent la gestion.
Anciens concepts issus du monde LDAP
Un autre problème clé est que SCIM a emprunté nombre de ses concepts de base au monde des serveurs LDAP et des systèmes IAM traditionnels. Ces systèmes ont été conçus à l’origine pour la gestion des employés dans les entreprises, et non pour les exigences flexibles et évolutives des plateformes modernes.
Pourquoi cela ne fonctionne plus aujourd’hui
- Environnement des collaborateurs: même dans les environnements d’entreprise où SCIM est utilisé en premier lieu, le standard atteint déjà ses limites. Les modèles de données plus flexibles et le besoin de synchronisation en temps réel ne sont pas suffisamment pris en charge par SCIM.
- Environnements clients et fournisseurs: dans les environnements B2C, B2B et fournisseurs, les exigences en matière de gestion des utilisateurs sont encore plus variées. Les différents systèmes, attributs et relations rendent une standardisation rigide comme SCIM difficilement praticable.
Des plates-formes d’intégration modernes comme alternative
Dans la pratique, la synchronisation des utilisateurs est souvent bien plus complexe et polyvalente que ce que SCIM avait prévu à l’origine. Les plates-formes d’intégration modernes comme cnips permettent de relever ces défis avec précision – et pas seulement en mode batch, mais aussi en mode événementiel. Cela permet une synchronisation en temps réel avec un minimum de frais généraux.
Un bref exemple:
Imaginons que pour un utilisateur, non seulement les données personnelles doivent être synchronisées, mais qu’une licence d’utilisateur doit également être attribuée dans le logiciel SaaS – disons un « plan E3 » dans une plateforme de collaboration.
Avec cnips, c’est une affaire triviale, car:
- Les APIs appropriées du logiciel SaaS sont utilisées.
- Les opérations sont exécutées dans le bon ordre.
- Des adaptations flexibles aux exigences spécifiques de la plateforme sont possibles.
Un tel flux de travail serait difficilement réalisable avec SCIM en raison de sa structure rigide et centrée sur les données, ou alors seulement au prix d’un effort supplémentaire considérable.
SCIM : une approche centrée sur les données héritée du passé
SCIM est trop axé sur les données et les schémas fixes et ignore de nombreuses problématiques des scénarios modernes de gestion des identités. Dans des environnements dynamiques tels que la gestion de la clientèle ou les plateformes B2B, cette approche atteint rapidement ses limites. C’est surtout lorsqu’il s’agit d’aller au-delà de la simple synchronisation des données – comme l’automatisation de l’attribution des licences ou d’autres processus complexes – qu’il apparaît que SCIM n’est plus adapté à notre époque.
SCIM permet peut-être en théorie une gestion unifiée des identités, mais la pratique montre que le standard est empreint de suppositions dépassées. Pour les systèmes modernes et évolutifs dans les environnements client, fournisseur ou B2B, SCIM n’est pas toujours le meilleur choix. L’avenir réside dans des approches plus flexibles qui s’appuient sur des normes éprouvées comme OIDC et qui, grâce à des plateformes d’intégration basées sur des événements comme cnips, répondent efficacement aux exigences des systèmes et des flux de travail actuels.
Apprenez-en plus sur les fonctions de cnips ou réservez directement une démo!