SCIM 2.0 - エンタイトルメントのプロビジョニング方法とグループへのリンク方法

Question

私はRFC7644とRFC7643を読んで、いくつか質問があります。

最初に、どのように資格をプロビジョニングしますか？プロビジョニンググループとユーザーのための既定の方法論があることがわかります。これには、グループ内のユーザー・メンバーシップ、それらが所有するエンタイトルメント、およびそれらの役割をプロビジョニングするためのかなり単純なメカニズムが含まれます。

プロビジョニング中にメンバーを含むグループを作成する仕組みがあることもわかります。

私には分かりませんが、グループを作成し、そのグループにエンタイトルメントをリンクする（またはグループにリンクされたエンタイトルメントを作成する）ための組み込みのメカニズムがあります。

グループのカスタムスキーマ拡張をビルドする必要はありますか？エンタイトルメントのカスタムスキーマを構築する必要がありますか？

私の2番目の質問は、カスタム拡張とスキーマをどのくらい正確に作成するのですか？ RFCは、標準に準拠している間にどのようにして行うのか非常に曖昧です。

Answer 1

SCIM標準を再読み込みした後、少なくとも私の質問の最初の部分に回答があります。

「グループ」のリソースは、明示的な 許可モデルが定義されていないものの、一般的な グループベースまたはロールベースのアクセス制御モデルの発現を可能にするために意図されています。 グループメンバシップのセマンティクス、およびメンバシップの結果として として与えられた動作または許可は、サービスプロバイダによって定義されます。これらは であり、この仕様の範囲外とみなされます。

これは、グループのメンバーシップによって付与されたエンタイトルメントがSCIMの対象外であることを意味します。資格（またはグループ以外のロール）をプロビジョニングする場合は、それを自分で実装するか、カスタムスキーマ拡張/カスタムスキーマを構築する必要があります。

残念ながら、RFCはあなたが実際にその最後のビットをどうやって行うのかはまだ明らかにしていません。