Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

SCIM

Technologie

Afkorting voor System for Cross-domain Identity Management

SCIM staat voor System for Cross-domain Identity Management en is een open standaardprotocol voor het automatiseren van identiteitsbeheer tussen verschillende IT-systemen. Met SCIM automatiseer je het aanmaken, wijzigen en verwijderen van gebruikersaccounts over meerdere applicaties en platformen heen. In plaats van handmatig accounts aan te maken in elke afzonderlijke applicatie, zorgt SCIM ervoor dat wijzigingen in je centrale identity provider automatisch worden doorgevoerd in alle gekoppelde systemen. Dit bespaart tijd, vermindert fouten en versterkt de beveiliging.

Het protocol is ontwikkeld onder toezicht van de IETF (Internet Engineering Task Force) en maakt gebruik van RESTful API's met JSON-formaat. Dit maakt SCIM lichtgewicht, eenvoudig te implementeren en compatibel met vrijwel alle moderne cloudapplicaties. Grote identiteitsplatformen zoals Microsoft Entra ID (voorheen Azure AD), Okta en Google Workspace ondersteunen SCIM als standaard voor geautomatiseerde gebruikersprovisioning. In 2025 is er een nieuw IETF-concept verschenen dat SCIM uitbreidt naar het beheer van AI-agents en geautomatiseerde applicaties, wat het protocol nog relevanter maakt in een snel veranderend IT-landschap.

Hoe werkt SCIM?

SCIM werkt op basis van een client-servermodel. De identity provider, zoals Okta of Microsoft Entra ID, fungeert als SCIM-client en stuurt verzoeken naar de SCIM-server die draait bij de doeltoepassingen. Wanneer je een nieuwe medewerker toevoegt aan je identity provider, stuurt de SCIM-client automatisch een POST-verzoek naar alle gekoppelde applicaties om daar een account aan te maken met de juiste rechten en roltoewijzingen.

Het protocol definieert gestandaardiseerde gebruikers- en groepsobjecten met vaste attributen zoals naam, e-mailadres, afdeling en rol. Wijzigingen worden doorgevoerd via standaard HTTP-methoden: POST voor het aanmaken, PUT en PATCH voor wijzigingen, en DELETE voor het verwijderen van accounts. Dit zorgt voor consistentie in hoe identiteitsgegevens worden uitgewisseld, ongeacht welke applicaties je gebruikt.

Een cruciaal beveiligingsaspect van SCIM is de deprovisioning. Wanneer een medewerker de organisatie verlaat of van rol verandert, worden diens accounts automatisch gedeactiveerd of verwijderd in alle gekoppelde systemen. Zonder SCIM blijven accounts vaak actief lang nadat iemand vertrokken is, wat een aanzienlijk beveiligingsrisico vormt. Onderzoek toont aan dat handmatige deprovisioning gemiddeld 28 dollar per gebruiker per applicatie kost, terwijl geautomatiseerde provisioning via SCIM dit terugbrengt tot minder dan 3,50 dollar per gebruiker.

Wanneer heb je SCIM nodig?

SCIM wordt relevant zodra je organisatie meerdere cloudapplicaties gebruikt en het handmatig beheren van gebruikersaccounts niet meer schaalbaar is. Bij tien medewerkers en drie applicaties is handmatig beheer nog haalbaar. Bij honderd medewerkers en twintig applicaties is het een beveiligingsrisico en een operationele last. Elke applicatie waar je handmatig accounts beheert, is een potentiele bron van fouten: vergeten accounts, verkeerde rechten of vertraagde offboarding.

Organisaties die te maken hebben met compliancevereisten zoals de AVG, ISO 27001 of NIS2, profiteren extra van SCIM. Het protocol creert automatisch een audit trail van alle identiteitswijzigingen, wat essentieel is voor het aantonen van compliance bij audits. Je kunt precies laten zien wanneer een account is aangemaakt, gewijzigd of verwijderd, en door wie deze actie is geinitieerd.

In het kader van Zero Trust-architectuur speelt SCIM een ondersteunende rol. Zero Trust vereist dat toegangsrechten continu worden afgestemd op de actuele rol en context van de gebruiker. SCIM zorgt ervoor dat deze afstemming geautomatiseerd plaatsvindt, zodat rechten nooit achterlopen op organisatorische wijzigingen. Als iemand van afdeling wisselt, worden de rechten in alle systemen direct aangepast.

Voordelen en beperkingen van SCIM

Het belangrijkste voordeel van SCIM is de automatisering van het volledige levenscyclusbeheer van gebruikersidentiteiten. Onboarding van nieuwe medewerkers gaat sneller omdat accounts automatisch worden aangemaakt in alle benodigde systemen. Offboarding is veiliger omdat accounts direct worden gedeactiveerd. Tussentijdse wijzigingen, zoals een functiewisseling of naamsverandering, worden consistent doorgevoerd. Dit vermindert het risico op orphaned accounts, accounts die nog actief zijn terwijl de gebruiker ze niet meer nodig heeft.

Een beperking is dat niet alle applicaties SCIM even goed ondersteunen. Hoewel de meeste grote SaaS-platformen SCIM-integratie bieden, kunnen oudere of nichesoftware geen of beperkte SCIM-ondersteuning hebben. In die gevallen is maatwerk of een alternatieve integratiemethode nodig. Daarnaast is SCIM primair gericht op provisioning en deprovisioning. Het protocol handelt geen multi-factor authenticatie of autorisatiebeslissingen af. Het werkt het beste in combinatie met protocollen zoals SAML of OpenID Connect voor authenticatie.

Voor organisaties die SCIM overwegen, is het raadzaam om te starten met een audit van het huidige provisioningproces. Breng in kaart hoeveel applicaties handmatig worden beheerd, hoeveel tijd dit kost en welke risico's het met zich meebrengt. Deze baseline maakt het mogelijk om na implementatie de tijdsbesparing en risicoreductie te kwantificeren, wat essentieel is voor de business case richting het management.

Een veelgemaakte fout bij SCIM-implementatie is het negeren van de groepssynchronisatie. Veel organisaties configureren alleen gebruikersprovisioning maar vergeten de groepen en rollen te koppelen. Dit leidt tot situaties waarin accounts wel worden aangemaakt maar zonder de juiste toegangsrechten, waardoor medewerkers alsnog handmatige interventie nodig hebben. Zorg ervoor dat je attribuutmapping niet alleen gebruikersattributen maar ook groepslidmaatschappen en rolassignments omvat voor een volledig geautomatiseerd provisioningproces.

SCIM implementeren in de praktijk

Een succesvolle SCIM-implementatie begint met het kiezen van een identity provider die SCIM 2.0 ondersteunt. De meest gebruikte opties zijn Microsoft Entra ID, Okta, OneLogin en JumpCloud. Inventariseer welke cloudapplicaties in je organisatie SCIM-provisioning ondersteunen. Prioriteer applicaties met de meeste gebruikers en de hoogste gevoeligheid van data. Start met een pilot op twee of drie applicaties om het proces te valideren voordat je uitrolt naar de volledige applicatiestack.

Configureer de attribuutmapping tussen je identity provider en de doeltoepassingen. Zorg dat velden zoals naam, e-mailadres, afdeling en rol correct worden gesynchroniseerd. Test het volledige levenscyclusproces: aanmaken, wijzigen en deactiveren van accounts. Besteed extra aandacht aan de deprovisioning: controleer dat accounts daadwerkelijk worden gedeactiveerd en dat er geen resttoegang overblijft. Documenteer de configuratie en stel monitoring in om synchronisatiefouten snel te detecteren.

Veelgestelde vragen over SCIM

Wat is het verschil tussen SCIM en SAML?

SCIM regelt het aanmaken, wijzigen en verwijderen van gebruikersaccounts (provisioning). SAML regelt het authenticeren van gebruikers bij het inloggen (single sign-on). Ze vullen elkaar aan: SCIM zorgt dat accounts bestaan, SAML zorgt dat gebruikers veilig kunnen inloggen.

Ondersteunt SCIM ook groepen en rollen?

Ja. SCIM definieert naast gebruikersobjecten ook groepsobjecten. Je kunt groepslidmaatschappen en roltoewijzingen automatisch synchroniseren tussen je identity provider en gekoppelde applicaties. Dit vereenvoudigt rolgebaseerde toegangscontrole aanzienlijk.

Hoe veilig is SCIM?

SCIM-communicatie verloopt via HTTPS en maakt gebruik van OAuth 2.0 bearer tokens voor authenticatie. Het protocol zelf schrijft encryptie in transit voor. De beveiliging van de endpoints hangt af van de implementatie bij zowel de identity provider als de doeltoepassing.

Wat kost SCIM-implementatie?

SCIM als protocol is een open standaard en gratis. De kosten zitten in de identity provider die SCIM-provisioning aanbiedt. Oplossingen zoals Okta, Microsoft Entra ID en JumpCloud bieden SCIM-ondersteuning als onderdeel van hun abonnementen, met prijzen die varieren op basis van het aantal gebruikers.

Kan SCIM ook AI-agents beheren?

Sinds 2025 werkt de IETF aan een uitbreiding van SCIM voor het beheer van AI-agents en geautomatiseerde applicaties. Dit concept maakt het mogelijk om niet alleen menselijke gebruikers maar ook softwarematige identiteiten gestandaardiseerd te provisioneren en te beheren.

Vergelijk aanbieders van identiteitsbeheer. Bekijk Identiteitsbeheer op IBgidsNL.