Met SCIM-provisioning automatiseer je het volledige levenscyclusbeheer van gebruikersaccounts in Google Workspace vanuit je centrale identity provider. In dit artikel leer je wat SCIM is, hoe je het instelt en hoe je het veilig houdt.
Wat is SCIM en waarom gebruik je het
SCIM staat voor System for Cross-domain Identity Management. Het is een open standaard waarmee identiteitssystemen automatisch accounts beheren in aangesloten apps. In de praktijk betekent dit dat je centrale provider, zoals Microsoft Entra ID of Okta, bepaalt wie toegang heeft tot Google Workspace. De provider stuurt wijzigingen via een beveiligde REST-koppeling naar Workspace.
Het voordeel is groot bij groei en verloop. Een nieuwe medewerker krijgt automatisch een Workspace-account zodra die in het bronsysteem staat, met de juiste groepen en rechten. Vertrekt iemand, dan vervalt de toegang bij de volgende synchronisatieronde, zonder dat een beheerder eraan hoeft te denken. Dat sluit een belangrijk beveiligingsgat: vergeten actieve accounts van ex-medewerkers.
SCIM en SSO horen samen
SCIM regelt wie er bestaat en welke rechten ze hebben, SSO regelt het inloggen zelf. Samen vormen ze een sluitend toegangsbeheer: accounts worden automatisch beheerd en gebruikers loggen centraal in.
SCIM instellen met je provider
De inrichting verloopt vanuit je identity provider, die de verbinding met Google Workspace legt. Je geeft de provider toestemming om accounts in Workspace te beheren via een beveiligde koppeling. Houd er rekening mee dat providers zoals Entra ID en Okta hiervoor doorgaans een account met superbeheerdersrechten vragen, omdat ze accounts moeten kunnen aanmaken en uitschakelen.
SCIM-provisioning naar Workspace inrichten
- Controleer in de Admin-console of provisioning vanuit een externe provider is toegestaan en of je domein geverifieerd is.
- Open in je identity provider de Google Workspace-provisioningapp of -connector.
- Autoriseer de verbinding met een beheerdersaccount dat gebruikersbeheer mag doen, meestal een superbeheerder.
- Wijs de attributen toe, zoals naam, mailadres en afdeling, van provider naar Workspace.
- Bepaal welke groepen of organisatie-eenheden worden geprovisioneerd.
- Test met een klein aantal gebruikers en schakel daarna automatische provisioning in.
Test eerst met een kleine groep
Test SCIM altijd eerst met een kleine testgroep voordat je het op je hele organisatie loslaat. Een verkeerde attribuuttoewijzing kan in een keer honderden accounts fout aanmaken of, erger, onbedoeld uitschakelen.
De levenscyclus van een account
SCIM beheert de volledige levenscyclus. Elke fase verloopt automatisch op basis van de gegevens in je centrale systeem, wat consistentie en veiligheid oplevert. Synchronisatie gebeurt meestal op een vaste cyclus (bij Entra ID bijvoorbeeld ongeveer elke 40 minuten), dus wijzigingen zijn niet altijd direct zichtbaar maar wel betrouwbaar.
| Fase | Wat er gebeurt |
|---|---|
| Indienst | Nieuwe medewerker komt in het HR- of bronsysteem. |
| Aanmaken | Provider maakt het Workspace-account aan met de juiste groepen. |
| Wijzigen | Een functieverandering past rechten en groepslidmaatschap automatisch aan. |
| Schorsen | Bij langdurig verlof schakelt de provider het account tijdelijk uit. |
| Uitdienst | Het account wordt automatisch uitgeschakeld en de toegang ingetrokken. |
Deze automatische intrekking bij uitdiensttreding is een van de sterkste beveiligingsargumenten voor SCIM. Vergeten accounts zijn een geliefd doelwit voor aanvallers, en SCIM sluit dat gat structureel.
Beveiliging en valkuilen
SCIM geeft je provider verregaande macht over je Workspace-accounts. Die macht moet je goed beschermen, want een gecompromitteerde provider raakt direct je hele gebruikersbestand.
Beveilig het koppelingsaccount maximaal
Beveilig het beheerdersaccount dat de SCIM-koppeling autoriseert met de sterkst beschikbare meervoudige authenticatie. Wie dit account overneemt, kan accounts aanmaken, rechten ophogen of iedereen buitensluiten. Behandel deze koppeling als een van je meest kritieke beveiligingspunten.
Let daarnaast op deze valkuilen:
- Te brede scope. Provision alleen de groepen of organisatie-eenheden die je echt nodig hebt, niet je hele directory in een keer.
- Geen monitoring. Stel een melding in als de synchronisatie faalt, zodat je niet pas na weken merkt dat nieuwe medewerkers geen account kregen.
- Onverwachte uitschakelingen. Een verkeerde filterregel in je provider kan actieve gebruikers buiten de scope laten vallen, waarna SCIM ze uitschakelt. Controleer filters voor elke uitbreiding.
Attribuuttoewijzing zorgvuldig inrichten
Het hart van een goede SCIM-koppeling is de attribuuttoewijzing: de regels die bepalen welk veld in je identity provider overeenkomt met welk veld in Workspace. Een fout hierin werkt door op elk geprovisioneerd account, dus dit verdient nauwkeurigheid. Denk aan de toewijzing van naam, mailadres, afdeling en organisatie-eenheid, en controleer per veld of het formaat aan beide kanten klopt.
Bijzondere aandacht verdienen de velden die bepalen waar een gebruiker terechtkomt. De toewijzing van de organisatie-eenheid bepaalt welke beleidsregels en rechten een gebruiker krijgt, dus een fout hier plaatst mensen in de verkeerde groep met mogelijk te veel of te weinig toegang. Test deze toewijzing extra grondig met accounts uit verschillende afdelingen voordat je breed uitrolt.
Houd er ook rekening mee dat niet elk veld in beide systemen identiek heet of werkt. Soms moet je een waarde transformeren, bijvoorbeeld een afdelingscode omzetten naar een organisatie-eenheidpad. Documenteer je toewijzingen volledig, zodat een collega die het later overneemt begrijpt waarom welke keuze is gemaakt. Een goed gedocumenteerde, geteste attribuuttoewijzing is het verschil tussen een provisioning die jarenlang betrouwbaar draait en een die bij elke organisatiewijziging onverwachte fouten oplevert.
Begin met een proefkoppeling
Maak eerst een aparte testgroep met een handvol accounts uit verschillende afdelingen. Zo zie je de aanmaak, de groepstoewijzing en de uitschakeling in actie voordat een fout je hele organisatie raakt.
Veelgestelde vragen
Welke providers ondersteunen SCIM voor Workspace?
Grote providers zoals Microsoft Entra ID en Okta ondersteunen SCIM-provisioning naar Google Workspace, net als veel andere identiteitsplatforms. Controleer de actuele ondersteuning en stappen in de documentatie van je eigen provider.
Wat gebeurt er met bestaande accounts?
Bij het inschakelen koppel je bestaande accounts op basis van een uniek attribuut, meestal het mailadres. Een zorgvuldige attribuuttoewijzing voorkomt dubbele of losgekoppelde accounts.
Kan ik bepalen welke gebruikers worden geprovisioneerd?
Ja, je beperkt provisioning meestal tot specifieke groepen of organisatie-eenheden, zodat alleen relevante gebruikers worden beheerd.
Worden wijzigingen direct doorgevoerd?
Niet altijd. De meeste providers synchroniseren op een vaste cyclus, bij Entra ID bijvoorbeeld ongeveer elke 40 minuten. Reken dus op een korte vertraging tussen een wijziging in je bronsysteem en het zichtbare effect in Workspace.
Welke rechten heeft het koppelingsaccount nodig?
Providers vragen doorgaans een account met superbeheerdersrechten, omdat het accounts moet kunnen aanmaken, wijzigen en uitschakelen. Beveilig dit account met sterke meervoudige authenticatie.
Wat als de synchronisatie faalt?
Providers loggen provisioningfouten en bieden meestal automatische herhaling. Controleer de logs regelmatig en stel waar mogelijk een melding in, zodat je gemiste of mislukte wijzigingen op tijd opmerkt.
Naar sluitend toegangsbeheer
SCIM is de hoeksteen van geautomatiseerd gebruikersbeheer. Gecombineerd met SSO en sterke meervoudige authenticatie krijg je een toegangsbeheer dat veilig, consistent en bijna onderhoudsvrij is. Begin klein, test grondig en breid daarna uit naar je hele organisatie.