Cloudflare AccessとCloudflare GatewayがSCIMプロトコルに対応

　米Cloudflareは、同社の「Cloudflare Access」と「Cloudflare Gateway」が、System for Cross-domain Identity Management（SCIM）プロトコルをサポートするようになったことを、1月12日（現地時間）に発表した。

　SCIMは、組織が複数のシステムとドメインにわたって、ユーザーIDとリソースへのアクセスを管理できるようにするプロトコルであり、ユーザーアカウントと権限の作成、更新、削除のプロセスを自動化し、これらのアカウントと権限を異なるシステム間で同期させる場合などによく用いられる。

　Cloudflare Accessは社内のアプリケーションとリソースへの安全なアクセスを提供し、既存のIDプロバイダと統合することでユーザーに強力な認証を適用し、承認されたユーザーのみが組織のリソースにアクセス可能になる。ユーザーがIDプロバイダ経由で正常に認証されると、Cloudflare Accessはそのユーザーのセッションを開始し、セッションが期限切れになるとユーザーをIDプロバイダにリダイレクトする。

　一方、包括的なセキュアWebゲートウェイ（SWG）であるCloudflare Gatewayでは、Cloudflare Accessと同じIDプロバイダ設定を活用して、管理者がIDに基づいてDNS、ネットワーク、HTTP検査ポリシーを構築できるようにする。ユーザーがIDプロバイダ経由でWARPクライアントを使用してログインすると、ユーザーのIDがログに記録され、組織の管理者によって作成されたポリシーに対して評価される。

　現在、SCIMへの対応によって、ユーザーがIDプロバイダで非アクティブ化された後、Cloudflare AccessとCloudflare Gatewayは自動的にユーザーのプロビジョニングを解除して、IDプロバイダグループの同期が可能になる。IDプロバイダグループの同期によって、適切なグループのアクティブなユーザーのみが組織のリソースにアクセスできるようになり、ネットワークのセキュリティが向上する。

　SCIMを通じたユーザーのプロビジョニング解除は、IDプロバイダでユーザーの非アクティブ化イベントをリッスンし、そのユーザーのすべてのアクティブなセッションの取り消しを行う。すべてのアクティブなセッションの取り消しによって、Cloudflare Accessによって保護されているアプリケーションへのアクセスと、WARP for Gatewayを通じたセッションが即座に遮断される。

　さらに、SCIMへの対応によって、AccessとGatewayのポリシーでIDプロバイダグループ情報の同期が可能になり、すべてのIDプロバイダグループがAccessポリシービルダとGatewayポリシービルダの両方で、自動的に使用できるようになる。また、グループメンバーシップが変更された場合に、ユーザーに自動で再認証を強制するオプションも用意している。

　現在、Azure Active DirectoryとOkta for Self-Hosted AccessアプリケーションにてSCIMサポートが利用でき、将来的にはさらに多くのIDプロバイダとAccess for SaaSへのサポート拡張も予定する。なお、SCIMは現在、すべてのゼロトラストのユーザーが利用可能となっており、運用と全体的なセキュリティの向上に使用できる。