Skip to content

¿Qué es SCIM y cómo da soporte al aprovisionamiento joiner-mover-leaver?

Respuesta breve

SCIM (System for Cross-domain Identity Management) es una API REST/JSON y un esquema estándar para crear, actualizar y eliminar cuentas de usuario en todas las aplicaciones. Conectado a un sistema de RR. HH. o a un IdP, automatiza el ciclo de vida joiner-mover-leaver: las cuentas y los permisos se aprovisionan en la contratación, se ajustan en el cambio de rol y —lo más importante— se desaprovisionan en la salida, eliminando las cuentas huérfanas que tanto gustan a los atacantes.

La identidad no es solo autenticación: es todo el ciclo de vida de una cuenta, desde la contratación hasta la salida. SCIM es el estándar que te permite automatizar ese ciclo de vida en lugar de depender de tickets manuales.

Qué es SCIM

El System for Cross-domain Identity Management define una API REST/JSON común y un esquema de usuarios/grupos para que una fuente de identidad (un IdP como Entra u Okta, a menudo alimentado por un sistema de RR. HH.) pueda enviar cambios de cuenta a las aplicaciones downstream automáticamente. En lugar de que cada app SaaS tenga una API de administración a medida, todas hablan el mismo dialecto SCIM: POST para crear un usuario, PATCH para actualizar, DELETE/desactivar para eliminar.

Joiner-mover-leaver

  • Joiner. Un nuevo empleado aparece en el sistema de RR. HH.; el IdP aprovisiona automáticamente cuentas y permisos base en las apps conectadas — acceso desde el primer día, sin cola de tickets.
  • Mover. Ante un cambio de rol o departamento, los atributos se actualizan y los permisos se añaden o —de forma crucial— se eliminan, evitando la acumulación de privilegios ("access creep") a medida que la gente se mueve.
  • Leaver. Ante una baja, las cuentas se desaprovisionan en minutos, no en semanas.

Por qué el paso del leaver es la recompensa de seguridad

El fallo de IAM más peligroso es la cuenta huérfana — la de un exempleado o contratista cuyo acceso nunca se revocó. Esas cuentas quedan sin usar (así que nadie se fija en ellas), suelen mantener privilegios permanentes y son objetivos de primera para el credential stuffing y el abuso interno. El offboarding manual es lento y propenso a errores; el desaprovisionamiento impulsado por SCIM cierra la brecha de forma determinista.

Cómo encaja con el SSO

SCIM y el SSO son complementarios, no competidores: el SSO (SAML/OIDC) gestiona la autenticación en el momento del login, mientras que SCIM gestiona la existencia de la cuenta y los permisos en la app de antemano. El SSO sin aprovisionamiento sigue dejando cuentas obsoletas detrás; quieres ambos.

Qué buscan los entrevistadores: que definas SCIM como aprovisionamiento estandarizado, que recorras el flujo joiner-mover-leaver y que señales el desaprovisionamiento oportuno / las cuentas huérfanas como el riesgo central que aborda.

Posibles preguntas de seguimiento

  • ¿Por qué el desaprovisionamiento oportuno es la parte de mayor valor del ciclo de vida?
  • ¿Cómo se complementan SCIM y el SSO (SAML/OIDC)?
  • ¿Cuál es el riesgo de depender de tickets de offboarding manuales en su lugar?

Fuentes

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.