Automatisering
Gebruikers-sync
Automatische provisioning, deprovisioning en rolaanpassingen vanuit je identity provider — Entra ID, Google Workspace of Okta. Joiner-mover-leaver afgehandeld zonder handmatige IT-tickets.
Bijgewerkt op 18 mei 2026
Configuratie · Automatisering · 9.3
De Gebruikers-sync zorgt dat het ledenbestand in Gfacility automatisch in lijn blijft met je identity provider — meestal Entra ID, soms Google Workspace of Okta. Nieuwe medewerkers krijgen direct toegang met de juiste rol; vertrekkers worden meteen geblokkeerd; rol-wijzigingen volgen HR-mutaties zonder dat IT manueel hoeft in te grijpen.
Waarom dit voor de business belangrijk is
"Nieuwe medewerker dag-1 zonder toegang"
SCIM-provisioning bij aanmaak in Entra → account klaar voor inlog.
"Ex-collega nog actief na een maand"
Deprovisioning binnen 5 min na deactivering in IdP — geen "leaver-gat".
"Promotie zonder rol-update"
Group-membership-mapping → IdP-groep "FM-managers" = Gfacility-rol "FM-coördinator".
"Permissions creep"
Sync overschrijft handmatige aanpassingen → één bron van waarheid, geen onzichtbare uitzonderingen.
Welke provisioning-modes
SCIM (push)
IdP duwt wijzigingen direct naar Gfacility. Real-time, schoonste optie voor Entra en Okta.
Just-in-time
Account aangemaakt bij eerste login. Geen pre-provisioning; rol bepaald uit SAML/OIDC-claims.
Scheduled sync
Gfacility leest IdP elke X minuten/uur. Werkt zonder SCIM-support; iets meer lag.
Wat je configureert
| Veld | Wat het stuurt |
|---|---|
| Bronsysteem | Entra · Google Workspace · Okta · AFAS · Workday. Eén leidend, eventueel een tweede voor specifieke velden. |
| Scope | Welke OUs, welke security groups, welke licenties? Beperk tot wie écht in Gfacility moet. |
| Veld-mapping | UPN → e-mail, displayName → naam, department → afdeling. Een-op-een of via transformatie. |
| Groep-naar-rol-mapping | Welke IdP-groep wordt welke Gfacility-rol? Eén-op-een of meerdere groepen → één rol. |
| Leaver-gedrag | Deactiveren · anonimiseren · 30 dagen uitgegrijsd · verwijderen na X dagen. |
| Conflict-policy | Wat doe je bij handmatige wijziging in Gfacility die de sync zou overschrijven? Mostly "IdP wins". |
| Frequentie | Real-time (SCIM) of scheduled (15min / 1u / dag). Snel = lage lag, vraagt meer quota. |
| Monitoring | Status-dashboard, error-log, alert bij > X failed records. |
Welke beslissingen ga je nemen?
Welke IdP is leidend?
Entra is gangbaar. AFAS kan een betere bron zijn voor afdeling en kostenplaats, met Entra voor auth.
Externe gebruikers
Contractors via guest-accounts of aparte tenant? Just-in-time bij eerste login is vaak praktisch.
Leaver-strategie
Direct deactiveren (security) vs 30 dagen uitgegrijsd (rapportage-continuïteit). DPO-afgestemd.
Periodieke review
Kwartaal: matchen actieve gebruikers in Gfacility met HR-actief? Verschil = sync-issue.