All
SaaS管理
デバイス管理
セキュリティ対策
脅威・インシデント対策
IT基盤・インフラ
情シス業務・組織形成
AI / テクノロジー
プロダクト
イベントレポート
その他
ガバナンス

新着記事

もっと見る

>

>

SCIMとは?自動プロビジョニングの仕組みとSAMLとの違い

SCIMとは?自動プロビジョニングの仕組みとSAMLとの違い

SCIMとは?自動プロビジョニングの仕組みとSAMLとの違い

SCIMとは?自動プロビジョニングの仕組みとSAMLとの違い

公開日

最終更新日

企業内で複数のSaaS利用が当たり前となる中、入退社時のアカウント管理を手作業で続ける運用は限界に近づいています。特に従業員50名を超え、Slack、Salesforce、Google Workspace、Microsoft 365などを並行利用する組織では、SCIMプロビジョニングによる自動化が現実的な選択肢になります。

本記事では、SCIMの読み方、System for Cross-domain Identity Managementの基本、SCIM APIの仕組み、SAMLとの違い、Google WorkspaceやOktaなどのIdP連携、SCIM未対応SaaSの管理方法まで、情シス担当者が導入判断に使える粒度で解説します。

【図解】SCIMの全体像

SCIMとは

SCIMは、複数のクラウドサービス間でユーザーID情報を標準APIにより自動同期する規格です。

本記事のポイント

  • SCIMの読み方は「スキム」で、正式名称はSystem for Cross-domain Identity Managementです。

  • SCIMはアカウントの作成・変更・削除を扱い、SAMLはログイン認証を扱います。

  • 従業員50名超、またはSaaSを10個以上使う組織では、SCIMプロビジョニングの導入効果が出やすくなります。

  • SCIM未対応SaaSは、AdminaのようなSaaS管理基盤で台帳化し、棚卸しと削除確認を一元管理します。

SCIMは、IETFによって標準化されたID管理の仕様です。従来はSaaSごとにユーザー登録、部署変更、退職時の停止を個別に行う必要がありました。SCIMを使うと、IdPであるID管理システム側の変更を、各SaaSへ自動的に反映できます。

SCIMが求められた背景

クラウド化で増えた複数システムのアカウントを一元管理するため、標準化されたプロビジョニング規格が必要になりました。

SCIMが規格化された背景には、クラウドベースのITシステムの普及、Active Directory中心の管理だけでは対応しきれないSaaSの増加、退職者IDの残存による情報セキュリティリスクがあります。2025年から2026年にかけては、ゼロトラスト移行に伴いJML、つまり入社・異動・退職のIDライフサイクル管理を厳格化する企業が増えています。

JIS Q 27001、ISO/IEC 27001(2022年改訂)の対応やITガバナンス監査でも、退職者アカウントが適切に無効化・削除されているかは確認対象になります。さらに生成AIエージェント、API、Botなどの非人間IDの管理需要も高まり、IGAやISPMの文脈でもSCIMが管理基盤として組み込まれるケースが増えています。

SSOだけでは不十分な理由

SSOだけではアカウント削除まで自動化できないため、SCIMを並行して設計する必要があります。

異なるドメイン間でのID・パスワード管理では、ログインの利便性とアカウントの正確な状態管理を分けて考えます。SAMLはSSOを目的とした認証プロトコルであり、SCIMはアカウント同期を目的としたプロビジョニング規格です。SAMLはXMLベース、SCIMはJSONベースで構成される点も異なります。

シングルサインオンの問題点

認証は一度で済んでも、各システムごとのアカウント作成・変更・削除が残る点がSSO単体の限界です。

SSOにより複数システムを一度の認証で利用できるようになっても、各SaaS側にアカウントが存在しなければ業務は始められません。人事情報が変わった際の部署名、権限、ライセンス種別の更新も手動のまま残ります。SCIMは、この運用上の空白を埋めるための仕組みです。

自社の規模とSaaS利用状況から選ぶ「SCIM導入・管理手法」の判断フロー

▲ 自社の規模とSaaS利用状況から選ぶ「SCIM導入・管理手法」の判断フロー

SCIMプロビジョニングとは

SCIMプロビジョニングとは、従業員の入退社や異動に伴うクラウドアカウントの作成・変更・削除を、IdPから各SaaSへ自動同期する仕組みです。

企業においてSaaSの利用が増えるほど、アカウントの手動管理は抜け漏れを起こしやすくなります。IDプロビジョニングとは、必要なユーザーに必要なアカウント、権限、ライセンスを付与し、不要になった時点で停止・削除する一連の処理です。SCIMプロビジョニングでは、この処理を標準APIで自動化します。

ジョーシスが2026年に公開したSaaS管理関連レポートでは、退職者などの未使用SaaSライセンスを放置しない運用により、企業全体で年間最大360万円のライセンスコスト削減効果が示されています。

比較項目

手動管理

SCIMプロビジョニング

入社時のアカウント作成

SaaSごとに管理者が個別登録

IdPの登録を起点に自動作成

異動時の権限変更

部署・役職ごとに手動で更新

グループや属性変更を自動反映

退職時の停止・削除

削除漏れが発生しやすい

退職処理と連動して無効化

監査対応

台帳と実態の突合に時間がかかる

IdPを基準に証跡を確認しやすい

主なリスク

幽霊アカウント、過剰ライセンス

属性マッピングミス、トークン期限切れ

SCIMプロビジョニング導入の判断フロー

従業員数、SaaS数、入退社・異動の頻度が増えるほど、手動管理からIDaaSを使った自動化へ移行すべきです。

情シス部門では一般的に、以下の基準で導入を判断します。

  1. 従業員50名未満: 手動管理でも運用可能。ただし、月次の棚卸しと退職時チェックリストは必須です。

  2. 従業員50〜300名: Slack、Salesforce、Google Workspaceなど、利用頻度の高い主要SaaSからSCIMプロビジョニングを導入します。

  3. 従業員300名超またはSaaS10個以上: IDaaSを用いた自動化を標準運用にします。PC1台・1アカウントあたりの設定工数が平均1〜2時間かかる場合、手作業はすぐに業務を圧迫します。

2026年調査では、ID管理ツールの導入率は大手企業64.9%、中堅企業46.1%、中小企業16.8%となっており、大手・中堅企業を中心に、SCIMを前提とした自動化がID管理インフラの標準になりつつあります。

導入前チェックリスト

  • 利用中SaaSの一覧、管理者、契約ライセンス数を棚卸しする

  • 入社・退職・異動の月間件数を確認する

  • 各SaaSのSCIM対応状況と対応プランを確認する

  • ユーザー識別子をメールアドレスに統一できるか確認する

  • SCIM未対応SaaSをAdminaなどで一元管理する方針を決める

SCIMプロビジョニングを深く理解するために、まずはプロビジョニングという概念の基礎知識やデプロイとの違いを体系的に学んでおくことをおすすめします。

SCIMの仕組み

SCIMは、REST APIとJSONを使い、IdPからSaaSへユーザー情報とグループ情報を同期するプロトコルです。

SCIMのアーキテクチャは、ID情報を管理するIdPから、ID情報を受け取ってサービスを提供するSPへ、変更内容を送信するクライアント・サーバーモデルで構成されます。RESTful APIをベースにしているため、クラウドサービス間の連携に適しています。

SCIMの通信形式

SCIMはHTTPS上で動作するため、一般的な企業ネットワークでもセキュアに利用できます。

SCIMはHTTPメソッドであるGET、POST、PUT、PATCH、DELETEを使い、ユーザーの取得、作成、更新、部分更新、削除を行います。通信は多くの場合HTTPSで暗号化されるため、ユーザーIDやメールアドレスなどの属性情報を安全に受け渡せます。

JSONとSCIM APIで認証情報をやり取りする

SCIM APIは軽量なJSON形式を使うため、複数ベンダー間の実装差を抑えながら連携できます。

SCIM 2.0の主要仕様は、コアスキーマを定義するRFC 7643と、プロトコルを定義するRFC 7644です。代表的なエンドポイントは、ユーザーを扱う/Usersと、部署・権限グループを扱う/Groupsです。入社時は/Usersへ作成リクエストを送り、部署異動時は/Groupsの所属変更として反映する構成が一般的です。

ユーザーID情報の変更も自動的に同期される

IdPでの変更が各SaaSへ反映されることで、退職者アカウントの放置や権限の取り忘れを防げます。

SCIMでは、利用者情報の作成、更新、無効化、削除がIdPからSPへ同期されます。たとえば人事システムをマスターにし、Microsoft Entra IDやOktaを経由して各SaaSへ配信すると、退職日を迎えたユーザーのアカウントを自動的に停止できます。

SCIMプロトコルとSCIMトークンの仕組み

SCIMトークンは、SCIM APIを操作できるIdPを識別する通行証として機能します。

OAuth 2.0のベアラートークンを使う構成では、SP側が「許可されたIdPからのリクエストか」を検証します。SCIMプロトコルが情報の運び方を定め、SCIMトークンがAPI操作の認可を担う関係です。OAuthとSCIMを組み合わせる場合でも、トークンを長期間放置する運用は避けます。

Atlassian Cloudは2024年末〜2025年1月にかけて、SCIM APIキーの有効期限を最長1年に変更する方針を示しました(Atlassian公式ドキュメント参照)。無期限トークンを避け、SCIMトークンを年1回以上ローテーションする運用は、2026年時点で新しい標準になりつつあります。数千人規模の一斉異動ではAPIレート制限に達することもあるため、同期バッチを分散し、失敗リクエストを再実行できる設計にします。

SCIMの特徴

SCIMは標準化されたWeb APIでありながら、自社固有の属性を追加できる拡張性も備えています。

SCIMはRFC 7642、RFC 7643、RFC 7644(いずれも2015年発行)で仕様が整理されており、ベンダーを問わず相互接続しやすい点が特徴です。標準属性に加えて、社員番号、雇用形態、拠点、職位などのスキーマ拡張も可能です。ただし、拡張属性はSaaS側が受け取れる範囲に限られるため、導入前のマッピング確認が必要です。

IdPからSaaSへREST APIとJSONを用いてアカウント情報を自動同期する仕組み

▲ IdPからSaaSへREST APIとJSONを用いてアカウント情報を自動同期する仕組み

SCIMとSAMLの役割の違い

SCIMはアカウント情報の同期、SAMLはログイン時の認証を担当するため、両者は競合せず補完関係にあります。

SCIMとSAMLは混同されやすいものの、解決する課題が異なります。SAMLは一度のログインで複数サービスを使えるSSOを実現します。SCIMは、そもそもそのサービスにアカウントを作成し、必要に応じて変更・停止するIDプロビジョニングを担います。

項目

SCIM

SAML

主な役割

ユーザー作成・変更・削除の同期

ログイン時の認証、SSO

扱う対象

アカウント、属性、グループ

認証要求、認証結果、属性クレーム

代表的な形式

JSON、REST API

XML

退職者アカウント削除

対応可能

単体では不可

導入目的

情シスの運用自動化と監査対応

ユーザー利便性と認証統制

SCIMとSAMLは組み合わせて使う

SAMLでログインを統制し、SCIMでアカウントのライフサイクルを統制する構成が標準です。

入社時はSCIMでSaaSアカウントを作成し、ログイン時はSAMLでIdP認証を行います。異動時はSCIMでグループや権限を変更し、退職時はSCIMでSaaS側アカウントを無効化します。この組み合わせにより、ユーザーの利便性を損なわずに、セキュリティと監査対応の要件をクリアできます。

認証を担うもう一方の主役であるSAML認証の仕組みやメリット、具体的なフローについて、さらに詳しく理解を深めてみましょう。

役割と動作タイミングで整理する「SCIM」と「SAML」の違い

▲ 役割と動作タイミングで整理する「SCIM」と「SAML」の違い

SCIMを導入するメリット

SCIM導入の主なメリットは、退職者IDの残存防止、権限管理の精度向上、情シス工数とライセンス費用の削減です。

SCIMは単なる技術仕様にとどまらず、JMLプロセスを自動化し安定稼働させるための運用基盤として機能します。特にSaaSの数が増えるほど、アカウント作成よりも退職時の停止漏れ、異動後の権限残存、不要ライセンスの放置が問題になります。

認可を強化できる

部署・役職・雇用形態に応じた権限変更を自動反映できるため、過剰権限を減らせます。

SCIMを利用すると、アクセス権の一元管理とIDプロビジョニングの自動化により、権限管理の精度を向上できます。たとえば部署異動の際、IdPでグループを変更するだけで連携先SaaS全体の権限を更新できます。アクセス権の過剰付与や取り忘れを、担当者の注意力ではなく仕組みで抑制できます。

管理者の負担を軽減できる

手作業でのアカウント登録や削除が減り、月次棚卸しと内部監査の対応も進めやすくなります。

SCIMを使うと、入社時のアカウント発行、異動時の属性変更、退職時の停止を一連の流れで処理できます。少人数の情シス体制では、定型作業を減らした分を、端末管理、セキュリティ対策、SaaS契約最適化に振り向けられます。未使用ライセンスの削減効果は、ユーザー数が多い企業ほど大きくなります。

監査証跡を説明しやすくなる

IdPをマスターにすると、誰にいつどの権限を付与し、いつ停止したかを追跡しやすくなります。

監査では「退職者のアカウントが残っていないか」「特権IDが過剰に付与されていないか」が確認されます。SCIMとIdPを組み合わせると、アカウント状態の根拠をIdP側のログやグループ履歴に集約できます。CSV台帳だけで説明する運用より、再現性のある統制を示しやすくなります。

SCIMによる自動同期と合わせて整備したい、RBAC(役割ベースのアクセス制御)の基本設計とABACとの違いはこちらの記事で詳しく解説しています。

SCIM導入時の注意点と失敗パターン

SCIM導入で失敗しやすい原因は、SAMLとの役割混同、SaaS側の手動編集、属性マッピングの不一致です。

SCIMは設定すれば終わりではありません。IdPをマスターにする運用ルール、トークン更新、同期エラーの監視まで含めて設計しないと、かえってアカウント不整合を増やします。

失敗パターン

何が起きるか

対策

SAMLを設定すれば削除も自動化されると誤解する

JITプロビジョニングによりログイン時にアカウントは自動作成されますが、退職時の無効化は行われないためSaaS側にアカウントが放置されます

SSOとは別にSCIMプロビジョニングを設定し、無効化・削除までテストする

双方向同期できると思いSaaS側を直接編集する

IdPのマスター情報とSaaS側の情報が競合し、同期エラーや上書きが発生する

ユーザー追加・変更・削除はIdPで実施し、SaaS側のローカル管理者権限を制限する

emailとloginの属性が一致していない

既存アカウントに紐づかず、別アカウント作成やサインイン不可が発生する

本番前に大文字小文字、エイリアス、プライマリメールの一致キーを検証する

SCIMトークンを無期限で放置する

漏えい時の影響範囲が広がり、期限切れ時には同期停止に気づけない

有効期限、保管場所、更新担当、更新月を台帳化し、年1回以上更新する

大量異動を一括同期する

SaaS側のAPIレート制限に達し、一部ユーザーだけ同期漏れが起きる

同期対象を分割し、失敗リクエストの再実行とアラート通知を設定する

やってはいけない運用

SCIM導入後にSaaS側の管理画面でユーザー情報を直接直す運用は避けるべきです。

一時的な修正のつもりでも、次回同期でIdPの値に上書きされます。例外対応が必要な場合は、IdP側の属性値を修正するか、例外グループを明示して管理します。SCIMは「どこを正」とするかを決めて初めて安定します。

アカウント同期と併せて理解を深めておくべき、SSO(シングルサインオン)の具体的な種類や導入の落とし穴についてはこちらをご参照ください。

SCIMを利用できるクラウドサービスとIdP連携

主要なグローバルSaaSやIdPの多くはSCIMに対応しており、Google WorkspaceやOkta、Microsoft Entra IDを起点に連携できます。

SCIMが利用できる代表的なクラウドサービスには、Google Workspace、Salesforce、Microsoft Entra IDとMicrosoft 365、Slack、SAP、Box、Dropbox、GitHub Enterprise、Atlassian Cloudなどがあります。ただし、SCIM対応の有無は契約プランによって異なる場合があるため、導入前に各サービスの公式ドキュメントで確認します。

Google WorkspaceをIdPとしたSCIM連携

Google WorkspaceやCloud IdentityをIdPにすると、Google側のユーザー管理を起点に連携先SaaSへアカウントを自動配信できます。

従業員が入社した際にGoogle側でアカウントを作成し、対象グループへ追加すると、SCIMプロビジョニングによってSlackやSalesforceなどのアカウント作成を自動化できます。Google WorkspaceをIdPとしたSCIM連携では、まず対象SaaSがSCIMに対応しているか、次にGoogle側の自動プロビジョニング対象アプリに含まれているかを確認します。

OktaやMicrosoft Entra IDを使った高度な連携

数百名から数千名規模では、OktaやMicrosoft Entra IDをハブにして人事情報を各SaaSへ配信する構成が有効です。

人事システムをマスター情報とし、OktaやMicrosoft Entra IDでグループ、部署、役職、雇用形態を管理し、各SaaSへSCIMで同期します。これにより、営業部にはCRM、開発部にはGitHub、管理部には経費精算ツールといった権限割り当てを自動化できます。

SCIMに未対応のSaaSはAdminaで一元管理する

SCIM未対応SaaSは、自動化できないものとして放置せず、Adminaで台帳・利用者・契約情報を一元管理します。

国産SaaSや中小ベンダー製品では、SCIMに未対応のケースがあります。この場合は、AdminaでSaaS一覧、契約ライセンス、利用者、管理者、退職者アカウントの有無を集約し、CSVインポート、独自API、定期棚卸しを組み合わせます。SCIM対応SaaSは自動化し、未対応SaaSはAdminaで可視化して削除漏れを防ぐ分担が現実的です。

SCIM連携の起点となる代表的なIdPとして、Microsoft Entra IDの基本的な機能や導入メリットについて解説した記事も合わせて参考にしてください。

SCIMが利用できるID管理システムと国内事例

IDaaS市場の拡大により、SCIM対応のID管理システムを中心にしたSaaS統制が国内企業でも広がっています。

ITRが2026年4月に発表した国内IDaaS市場データによると、2024年度の売上金額は前年度比23.9%増の303億5,000万円でした(ITR公式サイト)。SaaSの増加とゼロトラスト移行により、ID管理をSCIMで自動化する需要は拡大しています。

SCIM連携の国内企業事例

国内でも、SaaSの増加、ライセンス最適化、金融サービスの統制強化を目的にSCIM連携が使われています。

企業

業種・規模

導入時期

課題→施策→成果

株式会社カカクコム

インターネットサービス、複数SaaS運用

公表情報では具体年非公開、2026年時点で参照される導入事例

Teamsや社内システムなど増加するSaaSアカウント管理が課題。Microsoft Entra IDと各SaaSをSSO+SCIMで連携し、アカウント作成から退職時の無効化までを自動化。管理工数と不要ライセンスを削減する体制を構築。

サイボウズ株式会社

クラウドサービス、cybozu.com基盤

Okta連携対応の公表後、2026年時点で提供中

顧客企業の管理負荷軽減を目的に、提供するクラウド基盤『cybozu.com』でOktaとのSCIM連携機能を提供開始。kintone、Garoon、Mailwiseなど複数サービスにおけるユーザーの追加・更新・無効化を自動化できるようになった(部署・グループ単位での同期は対象外)。

株式会社UPSIDER

金融・法人カードサービス

Okta連携対応の公表後、2026年時点で提供中

提供する法人カードサービスの顧客向け機能として、OktaとのSCIM連携に対応。退職者アカウントの削除漏れというユーザー企業共通の課題に対応し、顧客がアカウント管理を自動化・即時無効化できる仕組みを提供している。

その他、ヌーラボのNulab PassはBacklogなどの管理でOktaとのSCIM連携に対応しています。FileforceでもMicrosoft Entra IDとのSCIM連携により、ファイル共有システムのアカウント作成や権限設定を自動化する事例があります。

SCIMによる自動同期を支える基盤となる、IDaaS(クラウド型ID管理・認証サービス)の主な機能や導入メリットについてはこちらの解説記事をご覧ください。

よくある質問

Q:SCIMとは何ですか?

A:SCIMは、クラウドサービス間でユーザーアカウントの作成、変更、削除を自動化する標準規格です。退職者アカウントの消し忘れや、SaaSごとの手動登録作業を減らせます。

Q:SCIMの読み方は?

A:SCIMの読み方は「スキム」です。正式名称はSystem for Cross-domain Identity Managementです。

Q:SCIMとSAMLの違いは?

A:SCIMはアカウント同期を行うプロビジョニングの仕組みです。SAMLはログイン認証、つまりシングルサインオンを実現する仕組みです。

Q:SCIM連携できるSaaSはどれですか?

A:Salesforce、Slack、Google Workspace、Microsoft 365、Box、Dropbox、GitHub Enterprise、Atlassian Cloudなど、多くの主要SaaSがSCIM連携に対応しています。対応可否は契約プランで変わるため、導入前に公式ドキュメントを確認します。

Q:SCIMに未対応のSaaSはどう管理しますか?

A:SCIM未対応のSaaSは、AdminaでSaaS台帳、契約、利用者、退職者アカウントを一元管理します。CSV更新、独自API、定期棚卸しを組み合わせ、削除漏れを防ぎます。

Q:SCIMを導入するメリットは?

A:退職者IDの残存防止、権限変更の自動反映、情シス工数の削減、不要ライセンス費用の削減が主なメリットです。監査時にも、IdPを基準にアカウント状態を説明しやすくなります。

Q:SCIMのAPIトークンの有効期限切れにどう対応すべきですか?

A:SCIMトークンは有効期限、保管場所、更新担当、更新予定月を台帳化し、期限前にローテーションします。更新後は少人数のテスト同期を行い、失敗ログが出ていないことを確認してから全体同期に戻します。

まとめ

SaaSの利用拡大に伴い、従業員のアカウント管理を手作業で続けることは、情報漏えいリスクとライセンス費用の無駄を生みます。SAMLでログインを統制し、SCIMプロビジョニングでアカウントの作成・変更・削除を自動化する構成が実務上の基本です。

明日からの最初の一歩は、自社で利用中のSaaS一覧、管理者、アカウント数、SCIM対応状況を棚卸しすることです。月10時間以上の入退社対応が発生している場合は、主要SaaSからSCIM連携を始め、未対応SaaSはAdminaで一元管理する運用へ切り替えます。

  • ✅ 自社で利用中のSaaS一覧・管理者・ライセンス数・SCIM対応状況を棚卸しする

  • ✅ 入退社・異動の月間件数を確認し、手動対応の工数を試算する

  • ✅ 主要SaaSのSCIM連携設定を開始し、SCIM未対応SaaSはAdminaで一元管理する体制を整える

📋 WHITE PAPER

SSO・SCIM だけでは管理しきれない SaaSアカウント運用 完全チェックリスト

主要50 SaaS の SSO/SCIM 対応状況と、SSO圏外で発生する運用課題を 4ステップで整理

SSO・SCIM だけでは管理しきれない SaaSアカウント運用 完全チェックリスト
─ この資料の内容
  • ✓ 主要50 SaaS(Slack / Notion / ChatGPT / Microsoft 365 等)の SSO/SCIM 対応状況一覧
  • ✓ 退職者アカウント残存ゼロを実現する 15項目チェック
  • ✓ ISMS / SOC2 監査対応エビデンス取得フロー+運用課題30項目マッピング
フォームを読み込んでいます...

本記事の内容に誤り等がございましたら、こちらからご連絡ください。

監修

橋爪兼続

ライトハウスコンサルタント代表。2013年海上保安大学校本科第Ⅲ群(情報通信課程)卒業。巡視船主任通信士を歴任し、退職後、大手私鉄の鉄道運行の基幹システムの保守に従事。一般社団法人情報処理安全確保支援士会の前身団体である情報処理安全確保支援士会の発起人。情報処理安全確保支援士(第000049号)。