# SCIM-provisioning instellen voor automatisch gebruikersbeheer Handmatig accounts aanmaken en intrekken is foutgevoelig en traag. Vergeet je een vertrokken medewerker uit te schakelen, dan houdt die onnodig toegang. SCIM-provisioning lost dit op door je identity provider de baas te maken over de levenscyclus van accounts in Workspace. Eén bron van waarheid, automatisch doorgevoerd. ## Wat SCIM doet SCIM, voluit System for Cross-domain Identity Management, is een open standaard voor het automatisch beheren van gebruikersidentiteiten tussen systemen. Je identity provider, bijvoorbeeld Microsoft Entra ID (voorheen Azure AD) of Okta, is de centrale bron. Wijzigingen daar, zoals een nieuwe medewerker, een naamswijziging of een vertrek, worden automatisch naar Workspace doorgevoerd. De waarde zit in de levenscyclus. Een nieuwe medewerker krijgt automatisch een account. Verandert iemand van afdeling, dan worden de gegevens bijgewerkt. Vertrekt iemand, dan wordt het account uitgeschakeld, zonder dat een beheerder eraan hoeft te denken. :::info title="Provisioning versus authenticatie" SCIM gaat over provisioning: het aanmaken en beheren van accounts. Dat is iets anders dan authenticatie, wat via SSO en SAML loopt. In de praktijk combineer je beide: SCIM zorgt dat het account bestaat, SAML zorgt dat de gebruiker veilig kan inloggen. Ze vullen elkaar aan. ::: ## Voordelen van geautomatiseerd provisioning - Nieuwe medewerkers hebben snel een werkend account, zonder dat een beheerder handmatig hoeft aan te maken. - Vertrokken medewerkers verliezen hun toegang automatisch bij de eerstvolgende synchronisatie, wat het beveiligingsrisico verkleint. - Gegevens blijven consistent tussen je identity provider en Workspace. - Beheerders besparen tijd doordat het handwerk verdwijnt. ## SCIM instellen De exacte stappen verschillen per identity provider, maar het patroon is steeds hetzelfde: je richt Workspace in als doel-applicatie in je identity provider en autoriseert de provisioning-koppeling. Bij Microsoft Entra ID gebruik je hiervoor de galerij-app "Google Cloud / G Suite Connector by Microsoft". Houd er rekening mee dat je in de Google Beheerdersconsole eerst SCIM-provisioning moet inschakelen voordat de koppeling werkt. :::howto title="SCIM-provisioning instellen stap voor stap" 1. Schakel in de Google Beheerdersconsole automatische provisioning (SCIM) in voor je domein. 2. Open in je identity provider de Google Workspace-provisioning-app of galerij-app. 3. Autoriseer de koppeling met een Workspace-beheerdersaccount dat de juiste rechten heeft. 4. Configureer de attribuutmapping tussen je identity provider en de Workspace-velden. 5. Bepaal de scope: welke gebruikers of groepen worden geprovisioneerd. 6. Schakel provisioning in en controleer de eerste synchronisatie op fouten. ::: ## Attribuutmapping Een cruciaal onderdeel is de attribuutmapping. Je bepaalt welk veld in je identity provider overeenkomt met welk veld in Workspace: voornaam, achternaam, e-mailadres, organisatie-eenheid en meer. Een verkeerde mapping leidt tot accounts met onjuiste gegevens of in de verkeerde organisatie-eenheid. :::warn title="Test eerst met een kleine groep" Test SCIM-provisioning altijd eerst met een kleine groep testgebruikers voordat je het op je hele organisatie loslaat. Een fout in de attribuutmapping of scope kan in één synchronisatie tientallen accounts verkeerd aanmaken of, erger nog, accounts uitschakelen die actief hadden moeten blijven. Een gefaseerde uitrol voorkomt grootschalige ongelukken. ::: ## Synchronisatie verloopt op een cyclus Provisioning is niet altijd direct. Microsoft Entra ID synchroniseert bijvoorbeeld op een geplande cyclus, doorgaans elke veertig minuten. Een wijziging in je identity provider, of dat nu een nieuwe medewerker of een vertrek is, komt dus pas bij de volgende synchronisatieronde in Workspace aan. Voor het onmiddellijk blokkeren van toegang bij een vertrek combineer je SCIM daarom vaak met het direct opschorten van het account of het intrekken van de sessie via je identity provider. ## Deprovisioning en de gevolgen De keerzijde van automatisch uitschakelen is dat een fout grote impact heeft. Verdwijnt een gebruiker per ongeluk uit de scope in je identity provider, dan kan SCIM het Workspace-account uitschakelen. Begrijp daarom precies wat er gebeurt bij deprovisioning: wordt het account opgeschort of verwijderd, en wat betekent dat voor de data van de gebruiker. :::tip title="Schort op in plaats van verwijderen" Configureer deprovisioning bij voorkeur zo dat een account wordt opgeschort, niet direct verwijderd. Een opgeschort account behoudt zijn data en is eenvoudig te herstellen als iemand per ongeluk uit scope viel. Een verwijderd account is veel lastiger terug te halen en kan dataverlies betekenen. ::: ## Monitoring Provisioning is geen set-and-forget. Houd de synchronisatielogs van je identity provider in de gaten op fouten. Mislukte synchronisaties, bijvoorbeeld door een verlopen autorisatie of een gewijzigd attribuut, kunnen ervoor zorgen dat wijzigingen niet doorkomen. Periodieke controle voorkomt dat je er pas achter komt als een gebruiker klaagt. :::faq ### Wat is het verschil tussen SCIM en SAML? SCIM regelt provisioning, oftewel het aanmaken en beheren van accounts. SAML regelt authenticatie, oftewel het veilig inloggen. Je gebruikt ze samen voor een complete identiteitsoplossing. ### Welke identity providers ondersteunen SCIM voor Workspace? Bekende providers zoals Microsoft Entra ID (voorheen Azure AD) en Okta ondersteunen geautomatiseerde provisioning naar Workspace. De exacte configuratie verschilt per provider; raadpleeg hun documentatie. ### Is provisioning naar Workspace direct? Meestal niet. Identity providers synchroniseren op een geplande cyclus, bij Microsoft Entra ID doorgaans elke veertig minuten. Voor het direct blokkeren van toegang bij een vertrek schort je het account ook handmatig op of trek je de sessie in via je identity provider. ### Wat gebeurt er met de data van een gedeprovisioneerde gebruiker? Dat hangt af van je configuratie. Bij opschorten blijft de data behouden en is herstel eenvoudig. Bij verwijderen kan data verloren gaan, afhankelijk van je bewaarbeleid. ### Kan SCIM ook groepen synchroniseren? Veel implementaties ondersteunen naast gebruikers ook groepssynchronisatie, zodat groepslidmaatschappen automatisch meekomen. Controleer of jouw provider dit biedt. ### Moet ik nog iets in de Google Beheerdersconsole instellen? Ja. Je moet automatische provisioning (SCIM) eerst inschakelen voor je domein en domeinverificatie afronden voordat je identity provider accounts mag beheren. :::