De aankondiging van SCIM 2.0 support in Microsoft Entra ID klinkt voor veel organisaties als precies datgene waar al jaren op gewacht wordt. Eindelijk een standaard voor identity provisioning die minder afhankelijk is van maatwerk, scripts en losse connectors. Eindelijk iets dat “gewoon werkt” over systemen heen.
En technisch gezien is dat ook grotendeels waar. Maar zodra je omgeving verder gaat dan een simpele cloud-first setup, en je ook een lokale Active Directory hebt die nog steeds een belangrijke rol speelt, wordt het verhaal meteen een stuk minder strak dan de marketing doet vermoeden.
De belofte van SCIM 2.0
System for Cross-domain Identity Management is ooit ontworpen om identity provisioning te standaardiseren. In plaats van voor elk systeem een eigen API, formaat en logica te bouwen, is er één generieke manier gekomen om gebruikers en groepen te beheren tussen systemen.
Met SCIM 2.0 wordt dat nog verder gestroomlijnd. Het is gebaseerd op JSON, gebruikt gestandaardiseerde REST API’s en ondersteunt uitbreidbare schema’s zodat organisaties extra attributen kunnen toevoegen zonder het protocol te breken. Foutafhandeling is duidelijker en integraties worden voorspelbaarder.
In theorie betekent dit dat HR-systemen zoals Workday of SAP SuccessFactors direct identities kunnen aanleveren aan Microsoft Entra ID, waarna diezelfde identities automatisch kunnen worden doorgezet naar SaaS-platformen zoals Salesforce en ServiceNow.
In een ideale wereld is dit een strak en voorspelbaar model waarin identity lifecycle management grotendeels geautomatiseerd kan verlopen zonder tussenkomst van maatwerkoplossingen.
De realiteit: je omgeving is al gebouwd voordat dit bestond
De meeste organisaties zitten echter niet in die ideale wereld. Ze hebben een landschap dat in de loop van jaren is gegroeid in plaats van ontworpen.
Daarin speelt een on-prem Active Directory vaak nog steeds een centrale rol, waarbij synchronisatie richting Entra wordt geregeld via Microsoft Entra Connect. Daarbovenop komen SaaS-applicaties, HR-systemen en lokale processen die allemaal op hun eigen manier identiteit interpreteren.
Het gevolg is dat identity in veel organisaties geen strak model is, maar een keten van afhankelijkheden waarin verschillende systemen elk een deel van de waarheid beheren.
Het echte spanningsveld: wie is leidend?
De kernvraag in elke identity-architectuur is niet technisch, maar organisatorisch. Waar ligt de bron van waarheid voor een gebruiker en zijn attributen.
In theorie zou dat steeds vaker bij HR moeten liggen, waarna identity via Entra naar de rest van het landschap wordt gedistribueerd. In de praktijk is het echter vaak nog steeds Active Directory dat leidend is, waarna wijzigingen worden gesynchroniseerd richting Entra en vervolgens doorgezet naar SaaS-systemen.
Soms bestaat zelfs een hybride situatie waarin verschillende systemen gedeeltelijk leidend zijn, afhankelijk van het type attribuut of proces. Dat maakt het geheel niet alleen complex, maar ook kwetsbaar voor inconsistenties.
SCIM 2.0 verandert niets aan deze fundamentele keuze. Het automatiseert alleen de laatste stap in de keten.
Wat SCIM 2.0 wél oplost
De waarde van SCIM 2.0 wordt pas zichtbaar als je kijkt naar de randen van je landschap. Daar waar nu vaak custom connectors, scripts en ad-hoc integraties draaien, kan SCIM zorgen voor standaardisatie.
Provisioning richting SaaS-applicaties wordt consistenter, omdat er één uniforme manier ontstaat om gebruikers, groepen en memberships te beheren. Dit vermindert de afhankelijkheid van systeem-specifieke integraties en maakt het landschap voorspelbaarder.
In dat opzicht is het vooral een vereenvoudiging van integratiecomplexiteit aan de buitenkant van je identity-architectuur.
Wat SCIM 2.0 niet oplost
Wat SCIM 2.0 nadrukkelijk niet oplost, is alles wat daarvoor al niet goed gedefinieerd was. Slechte datakwaliteit in Active Directory blijft bestaan, inconsistente attributen blijven inconsistent en onduidelijke groepsstructuren blijven onduidelijk.
Sterker nog, door automatisering worden deze problemen sneller en breder verspreid over het hele applicatielandschap. Wat vroeger misschien beperkt bleef tot één systeem, wordt nu consistent doorgevoerd naar tientallen SaaS-applicaties.
Het resultaat is dat je niet minder problemen hebt, maar dezelfde problemen op meer plekken tegelijk ziet.
De verborgen complexiteit van hybride identity
Hybride identity wordt vaak gepresenteerd als een technisch integratievraagstuk, maar in werkelijkheid gaat het vooral over governance en eigenaarschap. Wie mag identities aanpassen, waar gebeurt dat en hoe wordt dat consistent gehouden over systemen heen.
Zonder duidelijke afspraken over deze vragen blijft elke technische optimalisatie oppervlakkig. Tools veranderen dan wel, maar de onderliggende chaos blijft bestaan.
De valkuil van moderniseren zonder keuzes
In veel organisaties zie je dat nieuwe technologie zoals SCIM 2.0 wordt toegevoegd bovenop bestaande structuren zonder fundamentele heroverweging van architectuur.
Active Directory blijft leidend, Entra wordt uitgebreid en SCIM wordt toegevoegd als nieuwe transportlaag richting SaaS. Op papier lijkt dit modernisering, maar in werkelijkheid ontstaat er vaak een extra laag complexiteit bovenop een al bestaande complexiteit.
Het resultaat is dat troubleshooting moeilijker wordt, afhankelijkheden toenemen en het steeds lastiger wordt om te begrijpen waar een wijziging precies vandaan komt.
Wanneer SCIM 2.0 wél waarde toevoegt
SCIM 2.0 levert echte waarde wanneer het onderdeel is van een bewust ontworpen identity-architectuur. Dat betekent dat er een duidelijke bron van waarheid is, idealiter vanuit HR-systemen, en dat Microsoft Entra ID functioneert als centrale distributielaag richting SaaS-applicaties.
In zo’n model wordt Active Directory meer een technische component voor legacy en compatibiliteit, in plaats van de primaire bron van identity. Pas dan kan SCIM zijn rol volledig vervullen als gestandaardiseerd provisioningmechanisme zonder afhankelijk te zijn van omwegen en uitzonderingen.
De ongemakkelijke conclusie
SCIM 2.0 is geen revolutie die bestaande problemen oplost, maar eerder een evolutie die laat zien waar de echte problemen zitten. Het maakt provisioning beter, consistenter en beter onderhoudbaar, maar alleen binnen de grenzen van een goed ontworpen architectuur.
Zonder duidelijke keuzes over bron van waarheid, governance en datakwaliteit verandert SCIM vooral de vorm van de complexiteit, niet de hoeveelheid ervan.
De belangrijkste vraag is daarom niet hoe SCIM 2.0 geïmplementeerd kan worden, maar of de huidige identity-architectuur eigenlijk wel logisch is opgebouwd.
En dat is precies het soort vraag waar geen enkele vendor zich echt aan wil branden, maar waar elke organisatie uiteindelijk toch zelf een antwoord op moet geven.