Provisioning (SCIM 2.0)
Met SCIM 2.0 maakt je IdP of HR-systeem automatisch gebruikers en groepen aan in BeID — en deactiveert ze weer bij uitdiensttreding. Zo regel je de volledige joiner/mover/leaver-levenscyclus zonder handwerk.
Instellen
- Ga naar het ontwikkelaarsportaal → SCIM 2.0 provisioning.
- Maak een SCIM-token aan (wordt eenmalig getoond).
- Vul in je IdP de basis-URL en het token in.
| SCIM-basis-URL | https://id.becyber.nl/scim/v2 |
|---|---|
| Authenticatie | HTTP-bearer-token (beid_scim_…) |
| Content-Type | application/scim+json |
Microsoft Entra / Okta
Kies in Entra (Enterprise Application → Provisioning) of Okta (Provisioning → Integration) de optie SCIM 2.0. Vul de Tenant URL (de basis-URL) en het Secret Token in en test de verbinding.Ondersteunde endpoints
GET
/scim/v2/ServiceProviderConfigMogelijkheden van de SCIM-server.
GET
/scim/v2/UsersSCIM-tokenLijst + filter
userName eq "…", paginatie.POST
/scim/v2/UsersSCIM-tokenGebruiker aanmaken (provisioning).
GET
/scim/v2/Users/:idSCIM-tokenEén gebruiker ophalen.
PUT
/scim/v2/Users/:idSCIM-tokenGebruiker vervangen.
PATCH
/scim/v2/Users/:idSCIM-tokenWijzigen — o.a.
active=false om te deactiveren.DELETE
/scim/v2/Users/:idSCIM-tokenDeactiveren (soft-delete, data blijft bewaard).
GET
/scim/v2/GroupsSCIM-tokenGroepen ophalen.
POST
/scim/v2/GroupsSCIM-tokenGroep aanmaken.
PATCH
/scim/v2/Groups/:idSCIM-tokenLeden toevoegen/verwijderen.
DELETE
/scim/v2/Groups/:idSCIM-tokenGroep verwijderen.
Voorbeeld — gebruiker provisionen
POST /scim/v2/Users
{
"schemas": ["urn:ietf:params:scim:schemas:core:2.0:User"],
"userName": "jan@bedrijf.nl",
"name": { "givenName": "Jan", "familyName": "Jansen" },
"active": true
}Voorbeeld — deactiveren (leaver)
PATCH /scim/v2/Users/:id
{
"schemas": ["urn:ietf:params:scim:api:messages:2.0:PatchOp"],
"Operations": [{ "op": "replace", "path": "active", "value": false }]
}Gedeactiveerde gebruikers kunnen niet meer inloggen, hun sessies worden ingetrokken en ze tellen niet meer mee als actieve seat. Hun gegevens blijven bewaard tot je ze definitief verwijdert.
Belangrijk over wachtwoorden
SCIM zet geen wachtwoord. Geprovisionde gebruikers loggen in via SSO, of stellen een wachtwoord in via "wachtwoord vergeten". Hun e-mailadres geldt als geverifieerd.