Magister ondersteunt SCIM v2.0 voor identity management. De Magister SCIM API vervangt bestaande SOAP webkoppelingen die uitgefaseerd zullen worden.
LET OP: Dit is een andere functionaliteit dan de ECK-ID SCIM waarmee Magister kan koppelen aan een externe SCIM provider waar het ECK-iD aan de identiteit toegevoegd kan worden.
Toestemming geven kan nu per organisatieonderdeel
Beschikbare functionaliteit
De onderstaande tabel geeft een overzicht van de doelen waarvoor u de Magister SCIM API op dit moment kunt gebruiken en welke bestaande API's deels of compleet vervangen worden door de SCIM API. De Magister SCIM API wordt nog verder uitgebreid. Neem contact op indien u aanvullende SCIM functies/mogelijkheden nodig heeft.
| Doel | Magister SCIM | Vervangt SOAP API |
|---|---|---|
| Bijwerken van wachtwoorden | PATCH op User | Data.SetPassword |
| Bijwerken van gebruikersnaam Bijwerken van actief of geblokkeerd zijn Bijwerken van "active directory gebruiker" | PATCH op User | AdFuncties.UpdateGebruiker AdFuncties.UpdateGebruiker2 |
| Lezen van gebruikersaccounts | SEARCH op User GET op User | Data.GetData * AdFuncties.GetActiveStudents * AdFuncties.GetActiveEmployees * |
| Nieuw personeelsaccount aanmaken, inclusief personeelsrecord als dat nog niet bestond | POST op User | Was niet mogelijk met SOAP API |
| UPN bijwerken rechtstreeks vanuit extern IAM systeem (zoals Entra ID) | PATCH op User | Was niet mogelijk met SOAP API |
* = De SCIM API vervangt deze API gedeeltelijk
Toestemming door school
Sinds 22 mei 2026 is het mogelijk om de toestemming per organisatieonderdeel te verstrekken. Dit heeft dan effect op de scopes iam.scim.group.read en iam.scim.user.read. Als schrijven naar Magister via SCIM aanstaat via één van de schrijfscopes, dan geldt de toestemming voor de hele Magister omgeving (tenant), omdat in dat geval informatie over het organisatieonderdeel niet gegarandeerd beschikbaar is en daardoor niet gecontroleerd kan worden.
Beschikbare informatie / Schemas / Documentatie
Het meest actuele schema vraagt u via het schema discover endpoint op.
https://accounts.magister.net/scim/Schemas
De uitgebreide API-documentatie vindt u hier:
https://accounts.magister.net/scim/docs
We lichten de belangrijkste informatie toe die u via de Magister SCIM api uit kunt wisselen met uw eigen en andere applicaties.
| SCIM veld | Opmerking | Lezen/Schrijven* |
|---|---|---|
| User.id | Magister user id (zelfde als voor UWLR en SSO) | lezen |
| User.userName | Login naam | lezen, schrijven |
| User.name | Complex type met voornaam, tussenvoegsel en achternaam | lezen, schrijven** |
| User.userType | Employee/Parent/Student | lezen, schrijven** |
| User.active | Lezen: geeft aan of het account toegang heeft. schrijven: Dit zet het veld 'blocked' op de geïnverteerde waarde. Als blocked 'true' wordt kan het account nog steeds geblokkeerd zijn om andere redenen. | lezen, schrijven |
| User.password | Kan niet direct gezet worden bij creatie, aparte PATCH vereist | schrijven |
| User.emails | Één emailadres wordt ondersteund | lezen, schrijven** |
| User.created | Datum aanmaak | lezen |
| User.lastModified | Datum laatste wijziging | lezen |
| MagisterIamUser.blocked | Geblokkeerd | lezen, schrijven |
| MagisterIamUser.expired | Vervallen | lezen, schrijven |
| MagisterIamUser.expiresOn | Datum waarop account geblokkeerd moet worden | lezen, schrijven |
| MagisterIamUser.mandatory2FA | 2FA verplicht voor dit specifieke account laat niet zien of 2FA beleid actief is. | lezen, schrijven |
| MagisterIamUser.authenticationType | Local, external, LDAP, Radius | lezen, schrijven |
| MagisterIamUser.externalUser | Heet in Magister "Active Directory gebruiker" (gekoppelde externe gebruiker) | lezen, schrijven |
| MagisterIamUser.configuredSecondFactors | Op dit moment één 2e factor: hardware of software token | lezen |
| MagisterAttributes.studentNumber | stamnummer / leerlingnummer (string) | lezen |
| MagisterAttributes.employeeCode | personeelsnummer | lezen, schrijven** |
| MagisterAttributes.organizationalUnits | Organisatieonderdelen (vestigingen, locaties, scholen, etc.) | lezen, schrijven** |
| MagisterAttributes ... | nader te bepalen | nog niet beschikbaar |
* = Lezen of schrijven van aangegeven veld is beschikbaar en kan aangezet worden indien uw toepassing aantoonbaar doelbinding heeft om deze velden te moeten kunnen lezen of schrijven.
** = Schrijven is éénmalig mogelijk bij creatie. Bijwerken is (nog) niet mogelijk.
Magister IAM SCIM Client voor partners
Indien u een client voor de Magister IAM SCIM API wilt, kunt u deze aanvragen via https://www.magister.nl/partners/
Door middel van scopes wordt uw client beperkt tot de gegevens die u moet kunnen lezen/schrijven voor de doeleinden die u in de aanvraag omschreven heeft.
Testomgeving voor partners & aansluitinformatie
Het is ook mogelijk om een testomgeving aan te vragen voor ontwikkeling van een client. Deze vraagt u ook aan via https://www.magister.nl/partners/
Scopes van de testomgeving
Op dit moment bieden we de volgende scopes aan voor testen:
| Scope | Geeft toegang tot |
|---|---|
| iam.scim.group.read | Ophalen van groepen en lidmaatschappen |
| iam.scim.user.manage | Bijwerken van een gebruikersaccount, inclusief status- en authenticatieinstellingen |
| iam.scim.user.password.manage | Bijwerken van het wachtwoord van een gebruiker |
| iam.scim.user.read | Ophalen van alle gebruikersaccounts, inclusief status- en authenticatieinstellingen |
| iam.scim.user.create | Aanmaken nieuw personeelsaccount (andere types worden nog niet ondersteund). Geef de employeeCode mee om te zorgen dat het account gekoppeld kan worden aan een personeelslid. |
| iam.scim.user.attributes.manage | Toevoegen van attributen, waaronder de employeeCode. |
Magister IAM URL's
| IAM Authority | https://accounts.zenacc.nl |
| IAM Authority OpenId discovery document | https://accounts.zenacc.nl/.well-known/openid-configuration |
| IAM Accountbeheer omgeving | https://accounts.zenacc.nl/admin |
| SCIM root url | https://accounts.zenacc.nl/scim |
| SCIM Schema’s endpoint | https://accounts.zenacc.nl/scim/Schemas |
| SCIM Swagger docs | https://accounts.zenacc.nl/scim/docs |
Magister IAM SCIM Client voor directe integratie met externe IAM
Als u als school directe intergratie tussen uw IDP/IAM en Magister wilt uitproberen als onderdeel van het pilot programma, kunt u daarvoor een ticket aanmaken op Magister Service. Het ontwikkelteam stemt de verdere implementatie dan met u af.
Directe koppeling Magister met Microsoft Entra ID (Azure AD)
Microsoft Entra ID is compatibel met de Magister SCIM API en biedt via deze route de mogelijkheid om de Magister Accounts te beheren via Entra ID. Dit is in pilot vorm beschikbaar voor scholen die hiermee willen testen.
- De UPN van gebruikers kan automatisch bijgewerkt worden vanuit Entra ID.
- Een nieuw personeelslid, met account, kan vanuit Entra ID in Magister aangemaakt worden.
Directe koppeling Magister met Google
Volgens de documentatie van Google ondersteunt Google Workforce for Education de SCIM standaard en biedt deze veel mogelijkheden voor synchronisatie zowel naar Google als naar Magister. Graag onderzoeken we samen met geïnteresseerde scholen de mogelijkheid om:
- Automatisch leerling- en personeelsaccounts vanuit Magister te synchroniseren naar Google Workspace for Education
- Automatisch gebruikersaccounts in Magister bij te werken uit Google Workspace for Education
- Automatisch personeelsleden en hun account aan te maken in Magister vanuit Google Workspace for Education
