Magister ondersteunt SCIM v2.0 voor identity management. De Magister SCIM API vervangt bestaande SOAP webkoppelingen die uitgefaseerd zullen worden.
LET OP: Dit is een andere functionaliteit dan de ECK-ID SCIM waarmee Magister kan koppelen aan een externe SCIM provider waar het ECK-iD aan de identiteit toegevoegd kan worden.
Toegevoegd op 9-8-2024: Het stamnummer/leerlingnummer kan nu ook gelezen worden via scim en komt als custom attribuut mee in het bericht.
Beschikbare functionaliteit
De onderstaande tabel geeft een overzicht van de doelen waarvoor u de Magister SCIM API op dit moment kunt gebruiken en welke bestaande API's deels of compleet vervangen worden door de SCIM API. De Magister SCIM API wordt nog verder uitgebreid. Neem contact op indien u aanvullende SCIM functies/mogelijkheden nodig heeft.
| Doel | Magister SCIM | Vervangt SOAP API |
|---|---|---|
| Bijwerken van wachtwoorden | PATCH op User | Data.SetPassword |
| Bijwerken van gebruikersnaam Bijwerken van actief of geblokkeerd zijn Bijwerken van "active directory gebruiker" | PATCH op User | AdFuncties.UpdateGebruiker AdFuncties.UpdateGebruiker2 |
| Lezen van gebruikersaccounts | SEARCH op User GET op User | Data.GetData * AdFuncties.GetActiveStudents * AdFuncties.GetActiveEmployees * |
* = De SCIM API vervangt deze API gedeeltelijk
Beschikbare informatie / Schemas / Documentatie
Het meest actuele schema vraagt u via het schema discover endpoint op.
https://accounts.magister.net/scim/Schemas
De uitgebreide API-documentatie vindt u hier:
https://accounts.magister.net/scim/docs
We lichten de belangrijkste informatie toe die u via de Magister SCIM api uit kunt wisselen met uw eigen en andere applicaties.
| SCIM veld | Opmerking | Lezen/Schrijven* |
|---|---|---|
| User.id | Magister user id (zelfde als voor UWLR en SSO) | lezen |
| User.userName | Login naam | lezen, schrijven |
| User.name | Complex type met voornaam, tussenvoegsel en achternaam | lezen |
| User.userType | Employee/Parent/Student | lezen |
| User.active | Lezen: geeft aan of het account toegang heeft. schrijven: Dit zet het veld 'blocked' op de geïnverteerde waarde. Als blocked 'true' wordt kan het account nog steeds geblokkeerd zijn om andere redenen. | lezen, schrijven |
| User.password | Kan niet direct gezet worden bij creatie, aparte PATCH vereist | schrijven |
| User.emails | Één emailadres wordt ondersteund | lezen |
| User.created | Datum aanmaak | lezen |
| User.lastModified | Datum laatste wijziging | lezen |
| MagisterIamUser.blocked | Geblokkeerd | lezen, schrijven |
| MagisterIamUser.expired | Vervallen | lezen, schrijven |
| MagisterIamUser.expiresOn | Datum waarop account geblokkeerd moet worden | lezen, schrijven |
| MagisterIamUser.mandatory2FA | 2FA verplicht voor dit specifieke account laat niet zien of 2FA beleid actief is. | lezen, schrijven |
| MagisterIamUser.authenticationType | Local, external, LDAP, Radius | lezen, schrijven |
| MagisterIamUser.externalUser | Heet in Magister "Active Directory gebruiker" (gekoppelde externe gebruiker) | lezen, schrijven |
| MagisterIamUser.configuredSecondFactors | Op dit moment één 2e factor: hardware of software token | lezen |
| MagisterAttributes.studentNumber | stamnummer / leerlingnummer (string) | lezen |
| MagisterAttributes ... | binnenkort volgt de personeelscode | nog niet beschikbaar |
* = Lezen of schrijven van aangegeven veld is beschikbaar en kan aangezet worden indien uw toepassing aantoonbaar doelbinding heeft om deze velden te moeten kunnen lezen of schrijven.
Magister IAM SCIM Client voor partners
Indien u een client voor de Magister IAM SCIM API wilt, kunt u deze aanvragen via https://www.magister.nl/partners/
Door middel van scopes wordt uw client beperkt tot de gegevens die u moet kunnen lezen/schrijven voor de doeleinden die u in de aanvraag omschreven heeft.
Testomgeving voor partners & aansluitinformatie
Het is ook mogelijk om een testomgeving aan te vragen voor ontwikkeling van een client. Deze vraagt u ook aan via https://www.magister.nl/partners/
Scopes van de testomgeving
Op dit moment bieden we de volgende scopes aan voor testen:
| Scope | Geeft toegang tot |
|---|---|
| iam.scim.group.read | Ophalen van groepen en lidmaatschappen |
| iam.scim.user.manage | Bijwerken van een gebruikersaccount, inclusief status- en authenticatieinstellingen |
| iam.scim.user.password.manage | Bijwerken van het wachtwoord van een gebruiker |
| iam.scim.user.read | Ophalen van alle gebruikersaccounts, inclusief status- en authenticatieinstellingen |
Magister IAM URL's
| IAM Authority | https://accounts.zenacc.nl |
| IAM Authority OpenId discovery document | https://accounts.zenacc.nl/.well-known/openid-configuration |
| IAM Accountbeheer omgeving | https://accounts.zenacc.nl/admin |
| SCIM root url | https://accounts.zenacc.nl/scim |
| SCIM Schema’s endpoint | https://accounts.zenacc.nl/scim/Schemas |
| SCIM Swagger docs | https://accounts.zenacc.nl/scim/docs |
Magister IAM SCIM Client voor directe integratie met Entra ID (Azure AD)
Microsoft Entra ID is compatibel met de Magister SCIM API en biedt via deze route de mogelijkheid om de Magister Accounts te beheren via Entra ID. Wanneer de Magister SCIM API uitgebreid wordt, levert dit ook nieuwe mogelijkheden op voor deze directe koppeling.
Het is nog niet mogelijk om als school zelf de koppeling aan te maken en te beheren. U kunt uw interesse in deze manier van koppelen kenbaar maken via een ticket op Magister service. Het ontwikkelteam stemt de verdere implementatie dan met u af.
