Introductie
SCIM (System for Cross-domain Identity Management) is een oplossing voor gebruikersvoorziening. Met SCIM synchroniseer je gebruikers, groepen en groepslidmaatschappen vanuit Microsoft Entra ID naar Workspace 365.
SCIM draait direct vanuit Microsoft Entra ID. Je hebt daardoor geen aparte machine nodig. Dit is anders dan bij de Azure AD-synctool.
Elke Workspace 365-omgeving is gekoppeld aan een eigen Microsoft Entra ID-tenant. Daarom configureer je SCIM per Workspace 365-omgeving. Voor de koppeling genereer je een API-sleutel in Workspace 365. Deze sleutel gebruikt de SCIM-applicatie voor authenticatie tussen Microsoft Entra ID en Workspace 365.
Dit artikel is bedoeld voor medewerkers die verantwoordelijk zijn voor gebruikersbeheer, Microsoft Entra ID en het automatisch synchroniseren van gebruikers en groepen naar Workspace 365.
Vereisten
SCIM is alleen beschikbaar voor gehoste partners en klanten.
Je hebt een Azure Global Administrator-account nodig met een Microsoft Entra ID Premium P1- of P2-licentie om de SCIM-applicatie in te stellen.
Gebruikers hoeven geen SCIM-licentie te hebben om gesynchroniseerd te worden.
Gebruikers moeten in Microsoft Entra ID deze gegevens hebben:
Voornaam.
Achternaam.
User Principal Name (UPN).
Groepen moeten in Microsoft Entra ID een unieke DisplayName hebben.
Hoe werkt SCIM?
De SCIM-applicatie gebruikt REST API-eindpunten om gebruikers en groepen aan te maken, bij te werken en te verwijderen.
Wanneer je bijvoorbeeld een gebruiker toevoegt, stuurt SCIM een HTTP POST met een JSON-object naar het gebruikerseindpunt. Workspace 365 gebruikt dit object om een nieuwe gebruiker aan te maken.
De SCIM-applicatie gebruikt een vooraf gedefinieerd schema van Workspace 365. Dit schema gebruikt standaardattributen, zoals:
Groepsnaam.
UPN.
Voornaam.
Achternaam.
E-mailadres.
Gebruik het artikel Azure SCIM client setup om SCIM in te stellen.
Gebruik het artikel Troubleshooting SCIM wanneer je problemen ondervindt.
Houd bij het gebruik van SCIM rekening met de volgende punten:
De Workspace-beheerdersrol wordt altijd beheerd vanuit Workspace 365.
SCIM synchroniseert met een vast interval van ongeveer 40 minuten.
Je kunt het synchronisatie-interval niet aanpassen.
SCIM synchroniseert geen profielfoto’s.
Workspace 365 laadt of wijzigt profielfoto’s wanneer gebruikers inloggen.
Voor het telefoonnummer in het Workspace-profiel gebruikt Workspace 365 het veld Mobile phone in Microsoft Entra ID.
Gebruikers en groepen verwijderen
SCIM verwerkt verwijderingen op verschillende manieren.
Actie | Gevolg in Workspace 365 |
Je verwijdert een gebruiker uit de SCIM-scope. | De gebruiker komt op de lijst met verwijderde gebruikers. Dit is een soft delete. Je kunt de gebruiker herstellen. |
Je verwijdert een groep uit de SCIM-scope. | De groep wordt permanent verwijderd uit Workspace 365. Dit is een hard delete. |
Je verwijdert een gebruiker permanent in Microsoft Entra ID. | De gebruiker wordt permanent verwijderd uit Workspace 365. Dit is een hard delete. |
Je verwijdert een groep permanent in Microsoft Entra ID. | De groep wordt permanent verwijderd uit Workspace 365. Dit is een hard delete. |
Overstappen naar SCIM
Wanneer je overstapt vanaf de Azure AD-synctool, moet de SCIM-scope alle gebruikers en groepen bevatten die je in Workspace 365 wilt behouden. Gebruikers en groepen blijven alleen behouden wanneer deze binnen de SCIM-scope vallen.
Wanneer je overstapt vanaf handmatig geïmporteerde gebruikers, koppelt SCIM bestaande Workspace-gebruikers aan de overeenkomstige gebruikers in Microsoft Entra ID.
Beperkingen
Je kunt per Workspace 365-omgeving maximaal 100.000 gebruikers synchroniseren via SCIM.
Je kunt per Workspace 365-omgeving maximaal 10.000 groepen synchroniseren via SCIM.
Leden van geneste groepen worden niet direct geïmporteerd.
Je kunt geen groepen synchroniseren zonder unieke DisplayName in Microsoft Entra ID.
Je kunt geen gebruikers importeren uit distributielijsten.
Je kunt geen gebruikers importeren uit mail-enabled beveiligingsgroepen.