Skip to main contentMagiq Minds
All projects
Identity & Access Management

SCIM-provisioning: Entra ID ↔ MAS

Configuratie en validatie van SCIM 2.0-provisioning tussen Microsoft Entra ID en IBM MAS, voor geautomatiseerd gebruikersbeheer en toegangscontrole op basis van groepen in een enterprise-omgeving met meerdere locaties.

SectorNutsbedrijven / Enterprise IT
ProtocolSCIM 2.0 / OIDC
Identity ProviderMicrosoft Entra ID
DoelplatformIBM MAS
Beheerde accountsEnterprise, meerdere locaties
Challenge

The challenge

De organisatie beheerde duizenden gebruikersaccounts verspreid over meerdere locaties, met frequente in- en uitdiensttreding en rolwijzigingen. Handmatige provisioning van MAS-accounts leidde tot vertragingen en inconsistenties — gebruikers behielden toegang na uitdiensttreding en rolkoppelingen dreven af van de HR-registratie. De SCIM-integratie tussen Entra ID en MAS bracht uitdagingen op het gebied van groepssynchronisatie: Entra ID-beveiligingsgroepen kwamen niet één-op-één overeen met MAS-beveiligingsgroepen, en het SCIM-endpoint in MAS had specifieke vereisten voor de payloadstructuur van groepsleden die afweken van de standaard Entra ID-provisioning-uitvoer.
Approach

The approach

  1. Gedetailleerde mapping opgesteld tussen Entra ID-beveiligingsgroepen en MAS-beveiligingsgroepen, inclusief documentatie van de beoogde toegangsmatrix per rol en locatie.
  2. De Entra ID-bedrijfsapplicatie geconfigureerd voor SCIM-provisioning naar het MAS SCIM-endpoint, inclusief attribuutmapping voor gebruikersvelden: gebruikersnaam, e-mail, weergavenaam en aangepaste extensie-attributen.
  3. Payloadstructuurverschillen in groepslidmaatschap geïdentificeerd en opgelost: Entra ID stuurde groepsleden als een platte array, terwijl MAS een gestructureerd ledenreferentieformaat verwachtte. Opgelost via aangepaste attribuutmapping in de provisioningconfiguratie.
  4. Bereikfilters geconfigureerd om provisioning te beperken tot gebruikers in specifieke Entra ID-groepen, waarmee onbedoelde provisioning van serviceaccounts en gedeelde mailboxen werd voorkomen.
  5. Provisioning gevalideerd via end-to-end testcycli: gebruiker aanmaken in HR → synchroniseren naar Entra ID → provisioneren naar MAS → toegang verifiëren. Validatie uitgevoerd voor onboarding-, rolwijzigings- en offboardingscenario's.
  6. Monitoring geconfigureerd via Entra ID-provisioninglogs en MAS-auditlogs voor detectie en waarschuwing bij provisioningsfouten.

Kernoplossing

De SCIM-provisioning van Entra ID verstuurt groepsleden met een `value`-referentiearray. Het MAS SCIM-endpoint verwachtte een `$ref` URI per lid. De oplossing was een aangepaste attribuutexpressie in de provisioningattribuutmapping van Entra ID die het correcte `$ref`-formaat construeerde — waarmee alle groepssynchronisatiefouten werden geëlimineerd zonder aanpassingen aan het MAS-endpoint.

Outcome

The result

  • Volledig geautomatiseerde gebruikersprovisioning en -deprovisioning tussen Entra ID en MAS.
  • Gebruikerstoegang weerspiegelt nu de HR-bronregistratie binnen minuten na een rolwijziging.
  • Handmatig MAS-accountbeheer geëlimineerd, wat IT-overhead vermindert en toegangsinconsistenties opheft.
  • Offboardingflow deactiveert MAS-accounts binnen de Entra ID-provisioningcyclus — geen handmatige tussenkomst vereist.
  • Audittrail beschikbaar in zowel Entra ID-provisioninglogs als MAS-beveiligingsaudit voor compliance-rapportage.
Technology

Technology stack

SCIM 2.0Microsoft Entra IDIBM MASAzure ADSSOOIDC
Previous Automation Scripts & Legacy PL/SQL Vervanging

Similar challenge in your environment?

Discuss the specifics with Magiq Minds. No generic advice — just a direct technical conversation about your situation.

Start a conversation