Een Customer Identity & Access Management platform dat past bij uw klantflows, uw merk en uw integraties. Voor B2C-merken, B2B-SaaS, banken en verzekeraars die verder willen dan wat Auth0 of Microsoft Entra External ID standaard biedt.
IAM (Identity & Access Management) regelt identiteiten binnen uw organisatie — medewerkers, Active Directory, SSO naar Microsoft 365 en Salesforce. CIAM regelt identiteiten daarbuiten: klanten, burgers, partners. De aantallen zijn een veelvoud groter, de UX-eisen veel strenger, de regelgeving werkt anders, en het merk speelt mee. Een klant die zijn wachtwoord vergeet is een verloren conversie, geen interne helpdesk-ticket. Een 401-error tijdens checkout kost u omzet; een 401 op de medewerker-VPN kost u alleen een Slack-bericht.
Onder de Customer Identity-noemer vallen vandaag heel verschillende werelden: een loyalty-account voor een retailer, een klantportaal voor een verzekeraar met BSN-koppeling, een SaaS-product dat enterprise-klanten via SAML laat federen, een mediadienst met paywall en abonnement, een fintech-app met sterke klantverificatie. Wat ze gemeen hebben: identity is geen interne afdeling, het is een product-feature met directe impact op conversie, retentie en compliance.
Wij bouwen sinds 2015 maatwerk CIAM-platformen voor organisaties waar standaard SaaS-CIAM (Auth0, ForgeRock, Microsoft Entra External ID, Amazon Cognito, FusionAuth, Ping Identity) niet ver genoeg gaat. Vaak op basis van Keycloak met een eigen UX-laag, soms volledig from-scratch. Altijd geïntegreerd in de bestaande architectuur en — wanneer relevant — aangesloten op Nederlandse identiteiten als iDIN, DigiD, eHerkenning of de NL Wallet.
De scope van een CIAM-traject hangt af van het type identiteit, het aantal aansluitende systemen en het regulatorisch kader. Drie patronen waarbinnen we werken — in een eerste gesprek bepalen we welk patroon bij uw situatie past.
Een klantaccount voor uw merk: registratie, login (wachtwoord, social-login, magic-link, passkey/WebAuthn), self-service profiel en orderhistorie. Geïntegreerd met uw CDP, e-commerce-platform en marketing-tooling. Klant ziet uw merk, niet een generieke Auth0-popup. Progressive profiling spreidt de data-verzameling over meerdere bezoeken zodat u niet aan registratie alles tegelijk vraagt — beter voor conversie, beter voor compliance.
Organisatie-accounts met meerdere users, rollen en permissies. Klanten brengen hun eigen identity provider (Azure AD, Okta, Google Workspace) mee via SAML of OIDC. Self-service-onboarding voor nieuwe tenants, automatische provisioning via SCIM, en een admin-console waar uw customer-success-team tenant-issues kan oplossen zonder developer-betrokkenheid. Geschikt voor SaaS-leveranciers die richting enterprise-klanten groeien — vergelijkbaar met onze vendor-portal-builds, maar dan voor uw eindklanten.
High-assurance identiteit voor klantportalen in gereguleerde sectoren. iDIN, DigiD en eHerkenning voor sterke verificatie, BSN-koppeling waar wettelijk toegestaan, KYC-integratie, audit-log conform DNB/AFM en NEN 7510. Voorbereid op de EUDI Wallet en eIDAS 2.0 met OpenID for Verifiable Presentations (OpenID4VP) en SD-JWT credentials. Step-up-authenticatie voor risico-transacties: een klant logt licht in voor inzage, maar moet zich opnieuw via iDIN identificeren voor een wijziging.
Een volledig CIAM-platform combineert authenticatie, autorisatie, account-management, consent en risico-detectie. Wij implementeren ze niet allemaal blind — we kiezen per project welke nu nodig zijn en welke later.
Wachtwoord, social-login (Google, Apple, Facebook, LinkedIn, Microsoft), magic-link via e-mail, SMS-OTP, passkey/WebAuthn, hardware-keys (YubiKey, FIDO2), iDIN, DigiD, eHerkenning. Per gebruikerssegment selecteren we welke methodes worden aangeboden.
TOTP via authenticator-apps, SMS-OTP, push-notificaties, biometrie via mobile-SDK, hardware-keys. Risk-based: MFA wordt afgedwongen bij verdachte signalen, niet bij elke login — dat schaadt conversie zonder veiligheidswinst.
Profiel-bewerken, wachtwoord-reset, MFA-instellingen, gekoppelde apparaten, sessies intrekken, account verwijderen (AVG-recht), data exporteren (data-portability). Allemaal in uw huisstijl, zonder dat uw klantenservice elke vraag handmatig oppakt.
Role-based access control voor eenvoudige rolmodellen. Attribute-based voor situaties waar context bepaalt (locatie, tijd, transactiebedrag). Relationship-based voor B2B-tenants waar permissies via organisatie-lidmaatschap lopen. Op Open Policy Agent of een eigen policy-engine.
Granulair consent per verwerkingsdoel, versiebeheer van privacy-statements (wie wat wanneer accepteerde), cookie-consent-koppeling, kanaalvoorkeuren. API's voor inzage-, correctie- en wisverzoeken zodat uw DPO ze niet handmatig in databases hoeft op te zoeken.
Impossible-travel-detectie, device-fingerprinting, velocity-checks, IP-reputatie, behavior-analysis. Koppelbaar aan uw bestaande fraud-engine of leveranciers als Sift, Castle of Auth0 Adaptive MFA. Signalen leiden tot step-up of blokkade, niet automatisch tot lockout.
Een productieklaar CIAM-platform dat aansluit op uw applicaties, plus de operationele basis om het zelf te beheren of door ons te laten beheren.
Met OneDayBuild maken we je idee in één dag tastbaar voor €950, zodat je weet of verdere ontwikkeling de investering waard is. Besluit je door te gaan met de volledige bouw? Dan verrekenen we de kosten volledig.
Bekijk OneDayBuild →Wij raden standaard CIAM-platformen (Auth0, Microsoft Entra External ID, Amazon Cognito, FusionAuth, Ping Identity) zelf actief aan voor situaties waar dat past. Maatwerk wordt logisch in deze patronen.
U heeft sterke klantverificatie nodig met Nederlandse identity-bronnen. Standaard SaaS-CIAM ondersteunt deze vaak niet of slechts oppervlakkig. Maatwerk laat u iDIN- of DigiD-onboarding diep in uw flow integreren.
Met eIDAS 2.0 (vanaf 2026 verplicht voor lidstaten) komt de EUDI Wallet eraan. Verifiable credentials, OpenID4VP en SD-JWT zijn standaarden waar de meeste off-the-shelf CIAM-platformen nog niet voor klaar zijn.
Risk-based authentication aangesloten op uw fraud-engine, BSN-verwerking onder wettelijke grondslag, AFM/DNB-audit-eisen, NEN 7510 voor zorg. Standaard CIAM dekt 80%, de laatste 20% kost meer dan een eigen oplossing. Vaak gecombineerd met KYC- en AML-compliance-software in dezelfde stack.
De identity-laag moet bi-directioneel praten met uw core-systemen: profielwijzigingen, consent-updates, segmentatie. Bij standaard CIAM betaalt u per API-call en blijft u kwetsbaar voor rate-limits.
U levert zelf een platform en uw partners willen daar hun klanten op kunnen brengen. Multi-tenant, white-label, met per tenant een eigen branding, eigen federation-config en eigen consent-regime. Verwant aan ons werk rond een werknemersportaal en het bredere vendor-portal-werk, maar dan gericht op klantidentiteiten.
U groeit naar miljoenen identiteiten en de vendor-prijs schaalt mee — vaak harder dan uw revenue. Of u wilt geen afhankelijkheid meer van één leverancier voor zo'n kritiek onderdeel. Keycloak-custom of from-scratch geeft die controle terug.
Een CIAM-build is geen feature die je naast bestaand werk inschuift — het raakt elke applicatie die met klanten praat. We werken in vijf fases waarin we eerst begrijpen, dan scopen, dan bouwen, dan migreren, dan beheren.
Een gesprek waarin we de huidige identity-situatie in kaart brengen: welke applicaties moeten aansluiten, welke identity-providers worden gebruikt, waar zit klantdata vandaag, welke compliance speelt. Geen verkooppraat, wel scherpe vragen.
Workshop met uw team plus interviews met security en compliance. We leveren een threat-model, een data-flow-diagram en een concrete scope: welke flows in MVP, welke later, welke standaard-CIAM toch beter kan oplossen. Vaak schrappen we hier dingen die niet hoeven.
Iedere twee weken een werkende build op staging. We beginnen meestal met de pijnlijkste flow (registratie + login + MFA), zodat u snel echt kunt testen. Externe pen-test loopt parallel in de laatste sprints, niet als afronding.
Bestaande user-base wordt gemigreerd met zero-disruption: hashes worden mee-genomen, wachtwoord-rotatie gebeurt bij eerstvolgende login, niet als bulk-reset. Gefaseerd uitrollen per segment of merk.
Na livegang doorlopend beheer: security-patches, monitoring, dependency-updates, audit-log review. Plus doorontwikkeling: nieuwe identity-bronnen toevoegen (NL Wallet komt eraan), MFA-methodes uitbreiden, B2B-tenants onboarden.
Wat opdrachtgevers meestal willen weten voor we beginnen.
Een kennismaking van een half uur, vrijblijvend. We luisteren naar uw klantflow, de identity-bronnen waar u aan vastzit, en geven concrete richting — ook als de uitkomst is dat een standaard CIAM-platform voor u beter past.
Appfront gebruikt cookies en vergelijkbare technieken voor een goede werking van de website, voor analyse en voor marketing. Je kiest zelf wat je toestaat. Lees meer in ons privacybeleid.
