Identity & Access SSO · MFA · SCIM Workforce & CIAM

IAM systeem laten maken

Appfront ontwerpt en bouwt op maat gemaakte Identity & Access Management-systemen, en integreert bestaande IdP's als Microsoft Entra ID, Okta, Auth0, Keycloak, ForgeRock, Ping Identity, AWS Cognito, Google Identity en JumpCloud in uw applicatielandschap. Workforce IAM voor uw medewerkers, CIAM voor uw klanten, federation tussen domeinen via SAML/OIDC, MFA-roll-out met passkeys en conditional access — opgezet rond standaarden als OAuth 2.1, OIDC, SAML 2.0, SCIM en FIDO2 en gekoppeld aan AVG, NIS2, ISO 27001 en (waar relevant) NEN 7510 en DORA.

Wat is een IAM-systeem?

Identity & Access Management is het geheel aan processen, beleidsregels en software waarmee een organisatie bepaalt welke digitale identiteiten er bestaan, hoe die zich aanmelden, en wat zij vervolgens in welke applicatie mogen doen. In de praktijk komt het neer op vier nauw verbonden vraagstukken: wie is iemand (identity-store en attributen), hoe weet u zeker dat iemand het is (authenticatie, MFA, passkeys, conditional access), wat mag deze identiteit (autorisatie, rollen, policies, scopes) en hoe blijven die rechten kloppen door de tijd (lifecycle-management, provisioning, de-provisioning, periodieke access-reviews).

Voor de meeste organisaties is een IAM-systeem geen losse applicatie maar een laag onder het hele applicatielandschap. Medewerkers loggen in op honderd SaaS-tools, partners en klanten loggen in op portalen, scripts en services praten via API's tegen elkaar — en in alle gevallen moet duidelijk zijn welke identity erbij hoort en welke rechten van toepassing zijn. Doet u dat goed, dan vervangt een IAM-systeem het wildgroei-patroon van losse wachtwoorden, gedeelde accounts en handmatig rechtenbeheer door een geuniformeerde laag die u centraal kunt sturen, monitoren en aantoonbaar maken in audits.

Appfront bouwt IAM-oplossingen op maat voor organisaties waar een standaard-pakket niet meer past, en integreert in andere trajecten een bestaand platform als Microsoft Entra ID, Okta, Auth0, Keycloak, ForgeRock, Ping Identity, AWS Cognito, Google Identity, OneLogin of JumpCloud in een specifieke applicatie-stack. We richten ons op de technische schakel — single sign-on, federation, provisioning, role-based en attribute-based access control — en stemmen die af op uw werkelijke organisatiestructuur, security-beleid en compliance-eisen. Voor projecten die breder over de schutting van een API-platform gaan, sluiten we aan op onze bredere API-dienst en onze integratie-overzichtspagina als startpunt voor de architectuur.

Eén bron voor identiteit

Eén canonieke plek voor wie er bestaat in uw landschap, gevoed vanuit HR, CRM of self-service registratie. Alle applicaties praten daartegen via OIDC, SAML of SCIM — geen losse user-tabellen meer per tool.

MFA en passkeys

FIDO2/WebAuthn-passkeys als voorkeursfactor, TOTP en push als terugval, SMS alleen waar het echt moet. Conditional access bepaalt per actie of de step-up nodig is.

Auditbaar rechtenbeeld

Voor elke actie traceerbaar wie het deed, met welke factor, vanaf welk device, met welke rol-context. Logs in een formaat dat uw SOC of SIEM (Splunk, Sentinel, ELK) direct kan verwerken.

Ons proces voor een IAM-traject

Een IAM-traject staat of valt met goed voorwerk: welke identiteiten bestaan er, welke applicaties zijn betrokken, welke rollen leven er in HR en in de business, en welke compliance-eisen drukken op de uiteindelijke oplossing. We werken in vier fasen, met na elke fase een concreet artefact waar uw team mee verder kan — ook als u na de eerste fase besluit dat een pakket-only-keuze de juiste route is.

1
Discovery

We inventariseren applicaties, identiteiten, rollen en huidige inlogflows. Resultaat: een identity-landschap-kaart, een lijst gaten in MFA-dekking en een eerste oordeel over pakket vs. maatwerk.

2
Architectuur

We ontwerpen de IAM-architectuur, kiezen het primaire IdP, leggen federation- en SCIM-routes vast, en stellen het authenticatie- en autorisatie-model op. Ook conditional-access-policies en RBAC/ABAC-keuze vallen hier.

3
Implementatie

Implementatie in sprints met automated tests, integratie-tests tegen de applicaties en een pilot-groep van echte gebruikers. We schrijven beheer-handleidingen en lopen incident-procedures door met uw IT.

4
Roll-out & beheer

Gefaseerde uitrol per applicatie of populatie, met monitoring op login-failures, MFA-adoption en provisioning-fouten. Daarna doorlopend beheer, periodieke access-reviews en doorontwikkeling.

Wat een Appfront IAM-traject concreet oplevert

Elk IAM-traject wordt ingericht rond uw werkelijke organisatie, uw applicatielandschap en uw compliance-eisen — een gemeentelijke dienst, een Nederlandse zorginstelling, een SaaS-bedrijf met internationale klanten en een mid-market industrieel bedrijf krijgen niet dezelfde IAM. Hieronder de bouwstenen die we het vaakst opleveren, los van het gekozen IdP. Per stroom bepalen we of we OIDC, SAML 2.0 of SCIM gebruiken, afhankelijk van wat de doelapplicatie en uw primaire IdP ondersteunen.

Single sign-on via OIDC of SAML 2.0

Eén keer inloggen op uw primaire IdP geeft toegang tot het hele toegestane applicatielandschap. We koppelen interne tools, SaaS-applicaties en partner-portalen via OIDC of SAML 2.0, met juiste claims, scope-mapping en token-lifetimes per toepassing.

MFA-roll-out met passkeys

FIDO2/WebAuthn-passkeys als primaire factor, TOTP en push-notificaties als terugval. We koppelen MFA aan een conditional-access-policy zodat gebruikers alleen worden gevraagd om een sterkere factor wanneer device, locatie of actie dat rechtvaardigen.

SCIM-provisioning & deprovisioning

Accounts worden automatisch aangemaakt, gewijzigd of opgeheven op basis van een trigger uit HR of een ander leidend systeem. De-provisioning bij uitdiensttreding gebeurt binnen minuten in plaats van weken — kritisch voor NIS2- en ISO 27001-compliance.

Just-in-time & PAM

Privileged Access Management met tijdelijke, just-in-time toegekende rechten in plaats van permanent admin-recht. Beheerders vragen voor een specifieke taak verhoogde rechten aan, met approval-flow, audit-trail en automatische intrekking.

A B

Federation tussen domeinen

Cross-domain SSO via SAML of OIDC voor partners, dochterondernemingen en gefuseerde organisaties. Eén klant logt met zijn eigen account in bij uw omgeving, met heldere afspraken over attribute-release, lifetime van sessies en de-federatie.

Audit-trail & SIEM-doorvoer

Login-events, MFA-events, role-changes en privileged-actions belanden in een gestructureerde audit-log die wordt doorgezet naar uw SIEM (Splunk, Microsoft Sentinel, Elastic). Daar leveren we detectieregels bij voor typische identity-bedreigingen.

IdP's die we koppelen of vervangen

In de meeste trajecten staat al een IAM-platform overeind — soms goed ingericht, vaker organisch gegroeid met legacy-configuratie. Appfront werkt met de mainstream IdP's die in Nederlandse mid-market en enterprise voorkomen. Per IdP weten we de eigenaardigheden in claims-mapping, federation-quirks en de typische valkuilen in een upgrade-traject. Voor zorg en publieke sector vullen we dit aan met DigiD, eHerkenning, UZI-pas en eIDAS-knooppunten.

Microsoft Entra ID

Voorheen Azure AD. Veel gebruikt waar het bedrijf al op Microsoft 365 draait. Sterk in conditional access, soms minder soepel voor CIAM-scenario's.

Okta

Vendor-neutraal en sterk in workforce-IAM. Diepe SCIM-catalogus en degelijke RBAC. Geschikt als IdP-keuze voor hybride en multi-cloud landschappen.

Auth0

Onderdeel van Okta. Sterk in CIAM en SaaS-eindgebruikers. Veel developer-grip via Actions/Rules, en goede ondersteuning voor sociale logins en passkeys.

Keycloak

Open source, self-hosted. Sterk bij organisaties die regie willen over de runtime en data-residency. Vraagt meer beheer dan SaaS-IdP's.

ForgeRock

Enterprise-CIAM met sterke directory-services. Onderdeel van Ping na overname. Vaak in financiele dienstverlening en telecom.

Ping Identity

Enterprise-IdP met sterke federation-stack. Veel in financiele dienstverlening en grote zorg-conglomeraten waar veel cross-domain SSO speelt.

AWS Cognito

CIAM-oplossing die strak aansluit op het AWS-landschap. Schaalt prima richting miljoenen eindgebruikers, beperkter in workforce-scenario's.

Google Identity

Voor Workspace-gedreven organisaties. Soepel voor SSO op Google-applicaties, integratie met externe SaaS via SAML en OIDC.

OneLogin

Mid-market workforce-IdP, onderdeel van OneIdentity. Stabiel voor SaaS-SSO, ondersteuning voor SCIM en degelijke conditional access.

JumpCloud

Directory-as-a-service met device-management ingebouwd. Geschikt voor mid-market die geen klassiek AD wil en device + identity wil bundelen.

Wanneer maatwerk de juiste keuze is

In verreweg de meeste trajecten is een pakket de juiste keuze voor het overgrote deel van het IAM-vraagstuk — Entra ID, Okta of Auth0 dragen 80 tot 95 procent van wat een typische organisatie nodig heeft. Maatwerk komt in beeld waar het pakket wringt: een specifieke autorisatieregel die te complex is voor de policy-engine, een legacy-systeem dat geen moderne federation spreekt, of een CIAM-flow die uw klanten letterlijk in uw merkbeleving moet houden. Hieronder vier patronen waarin we maatwerk-IAM (of een dunne maatwerklaag bovenop een pakket) consistent terug zien komen.

Zorg met BSN, UZI-pas en patiëntcontext

Zorginstellingen werken met BSN als persoonsidentificator, UZI-passen voor zorgverleners en context-bewuste autorisatie: een arts mag alleen het dossier zien van een patiënt die op zijn afdeling is opgenomen. Dat soort context-regels valt zelden netjes in een pakket-RBAC. Een maatwerklaag bovenop Keycloak of Entra ID, met de juiste BSN-hashing en logging op behandelrelatie, sluit aan op AVG, NEN 7510 en de Wabvpz. Zie ook onze NEN 7510-pagina voor de bredere context.

B2B2C — uw klant heeft zelf weer klanten

U levert een platform waarop uw zakelijke klant (een SaaS-bedrijf, een franchisenemer, een dealer) zelf weer eindgebruikers beheert. Dat vraagt om een multi-tenant identity-model met tenant-administrators, scope-isolatie en per-tenant branding van inlogschermen. Auth0 en Cognito kunnen dat deels, maar de finishing touch zit vrijwel altijd in een eigen abstractielaag — die we koppelen aan onze bredere API-integratiedienst zodat de tenant-config via API beheerbaar is.

LEGACY

Legacy en mainframe naast moderne IdP

Een mainframe, AS/400, AIX-applicatie of klassieke client-server-tool spreekt geen OIDC en geen SAML. Voor die scenario's bouwen we een bridging-laag: token-exchange tussen modern IdP en legacy-authenticatie, met audit-trail aan beide kanten. Zo profiteert de medewerker van moderne SSO en MFA, terwijl het oude systeem zijn eigen authenticatie-protocol behoudt — tot het, op uw tempo, vervangen wordt.

Unieke RBAC-/ABAC-regels

Sommige organisaties kennen regels die zich niet laten vangen in een standaard policy-engine: een combinatie van rol, afdeling, klant-segment, geografisch werkgebied, contract-type en tijdvensters. We bouwen voor die scenario's een ABAC-laag (Attribute-Based Access Control) die naast het IdP draait — vaak met OPA (Open Policy Agent) — zodat policies declaratief, testbaar en auditbaar blijven.

Standaarden waarop we bouwen

Een IAM-systeem dat over jaren mee moet, leunt zoveel mogelijk op open standaarden. Dat houdt vendor-lock-in beperkt en maakt het mogelijk om individuele componenten — IdP, MFA-leverancier, directory-service — los van elkaar te vervangen wanneer dat nodig is. Appfront kiest standaardisatie boven exotisch, en lokaliseert maatwerk in de dunste laag die mogelijk is.

OIDC + OAuth 2.1

OpenID Connect en OAuth 2.1

De moderne standaard voor authenticatie en delegated authorization op web en mobile. Werkt met JWT-tokens, PKCE voor publieke clients, en past goed bij SPA-, mobile- en server-side flows. Wij bouwen elke nieuwe applicatie hierop tenzij er een dwingende reden is om SAML te kiezen.

SAML 2.0

SAML 2.0

De facto standaard voor enterprise-SSO. Veel oudere zakelijke SaaS-applicaties, ERP- en HRM-pakketten ondersteunen SAML eerder dan OIDC. We zetten federation op tussen uw IdP en die applicaties, met de juiste attribute-mapping en certificaat-rotatieplanning.

SCIM 2.0

SCIM voor provisioning

System for Cross-domain Identity Management is de moderne open standaard voor provisioning en deprovisioning van accounts tussen systemen. Een nieuwe medewerker in HR landt automatisch in uw IdP en in de aangesloten SaaS — en bij uitdiensttreding gebeurt het omgekeerde binnen minuten.

FIDO2 / WebAuthn

Passkeys met FIDO2/WebAuthn

De W3C-standaard voor phishing-bestendige authenticatie. Een passkey op uw telefoon of een hardware-key vervangt het wachtwoord-plus-MFA-scherm. Voor passkeys aan de klantkant geldt bovendien dat ze de UX van inloggen substantieel verbeteren — een commerciele winst naast de security-winst.

eIDAS & DigiD

eIDAS, DigiD en eHerkenning

Voor publieke dienstverlening en sectoren waar burgers met DigiD inloggen, of bedrijven met eHerkenning op een betrouwbaarheidsniveau (EH2+, EH3, EH4). We koppelen aan de DigiD-, eHerkenning- en eIDAS-knooppunten en zorgen dat attribute-handling aansluit op de geldende eisen.

NIS2 & ISO 27001

NIS2, ISO 27001 en DORA

NIS2 verplicht essentiele en belangrijke entities tot expliciete MFA, least-privilege, lifecycle-beheer en logging. ISO 27001 vraagt om een aantoonbaar gemanaged identity-proces. DORA voegt voor financiele dienstverleners eisen toe rond ICT-third-party risk — IAM zit precies op dat snijvlak. Onze ISO 27001-pagina geeft daar meer achtergrond bij.

Security en compliance — bij IAM is het uitgangspunt, niet de afterthought

Een IAM-systeem is per definitie een security-component: het is de poortwachter van uw applicatielandschap. Dat betekent dat security en compliance niet aan het einde van het traject worden geverifieerd, maar bij elke ontwerpkeuze meewegen. Appfront werkt volgens OWASP ASVS en de NIST 800-63-richtlijnen voor digitale identiteit. Voor elke nieuwe IAM-omgeving stellen we een threat-model op (STRIDE), bepalen we welke privacy-impact er is (DPIA voor gevoelige populaties zoals zorg of overheid) en zorgen we dat audit-logs landen op een onveranderlijke locatie. Onze bredere benadering ligt vast in ons informatiebeveiligingsbeleid.

Concreet betekent dat in elke IAM-build: secrets in een gemanaged secrets-store (HashiCorp Vault, AWS Secrets Manager, Azure Key Vault), certificaten met geautomatiseerde rotatie, encryptie in transit (TLS 1.3) en at-rest, en separation of duties tussen ontwikkel-, accept- en productie-omgevingen. Voor PAM (Privileged Access Management) gebruiken we just-in-time-toegang en periodieke access-reviews; permanente admin-rechten zijn de uitzondering, niet de regel. Voor CIAM komen daar consent-management, recht-op-vergetelheid-flows en GDPR-conform attribute-beheer bij.

Voor NIS2-plichtige organisaties leggen we vast hoe MFA-dekking is geborgd, hoe lifecycle-management is geautomatiseerd, hoe incidenten worden gedetecteerd en gerapporteerd, en hoe periodieke access-reviews verlopen. Voor zorgorganisaties stemmen we het ontwerp af op NEN 7510-3 (logging en monitoring), de NTA 7516 (veilig mail) en de richtlijnen voor BSN-verwerking. Voor financiele dienstverleners voegen we DORA-componenten toe rond third-party-risk en ICT-incident-rapportage.

Veelgestelde vragen over IAM

Wat opdrachtgevers ons aan het begin van een IAM-traject het vaakst vragen — en wat we doorgaans antwoorden voor we het concrete ontwerp ingaan.

FvD
Fabian van Dijk Business developer · Appfront

IAM staat voor Identity & Access Management — het geheel aan processen en software waarmee een organisatie bepaalt wie er bestaat in het digitale landschap, hoe diegene zich aanmeldt en wat hij of zij mag in welke applicatie. Een IAM-systeem combineert een identity-store (waar gebruikers en hun attributen leven), authenticatie (inlog plus MFA, passkeys, conditional access), autorisatie (rollen, policies, scopes) en lifecycle-beheer (provisioning, de-provisioning, rotatie van rechten bij rol-wissel).

Een pakket is verreweg de beste keuze voor klassieke workforce-IAM met standaard SaaS-applicaties. Maatwerk komt in beeld als de use-case wringt met wat een pakket out-of-the-box kan: niche-CIAM met klant-eigen huisregels, B2B2C waarin uw klanten zelf weer klanten beheren, zorgomgevingen met BSN/UZI-passen, een legacy-mainframe of AS/400 dat niet bij een standaard-connector past, of unieke autorisatieregels die complexere policies vragen dan een out-of-the-box engine accepteert. Vaak is de juiste oplossing een pakket voor de basis plus een dunne maatwerklaag voor de afwijkende stukken.

Appfront integreert met Microsoft Entra ID (voorheen Azure AD), Okta, Auth0, Keycloak, ForgeRock, Ping Identity, AWS Cognito, Google Identity, OneLogin en JumpCloud. Voor publieke- en zorgsector koppelen we daarnaast aan DigiD, eHerkenning, UZI-pas en eIDAS-knooppunten. De koppeling loopt via OIDC, SAML 2.0 of SCIM, afhankelijk van wat de doelapplicatie en het IdP ondersteunen.

Workforce IAM regelt toegang van uw eigen medewerkers tot interne applicaties — een gesloten populatie waarvan u de levenscyclus zelf in de hand heeft. CIAM (Customer IAM) regelt toegang van uw klanten of eindgebruikers tot uw producten — een open populatie waar self-service registratie, sociale logins, passkeys, consent-management en schaal richting miljoenen accounts spelen. De technische stack overlapt grotendeels, maar de eisen aan UX, performance en privacy zijn fundamenteel anders. CIAM raakt direct uw klantervaring; workforce IAM is grotendeels onzichtbaar voor de eindgebruiker zolang het werkt.

MFA bouwen we standaard met FIDO2/WebAuthn als voorkeursfactor (passkeys op telefoon of hardware-key), met TOTP-apps en push-notificaties als terugvalopties. SMS gebruiken we alleen waar wet- of klantcontract dat eist, omdat het inmiddels als zwakke factor geldt. We combineren MFA met conditional-access-regels op basis van device-trust, locatie, IP-reputatie en risicosignalen, en bouwen step-up-flows zodat een gebruiker alleen wordt gevraagd om een sterkere factor wanneer de actie dat rechtvaardigt. Voor CIAM zijn passkeys ook een aantoonbare conversie-winst, omdat de inlogfrictie meetbaar daalt.

NIS2 verplicht essentiele en belangrijke entities tot expliciete maatregelen rond toegang: aantoonbare MFA, least-privilege, gestructureerd lifecycle-beheer, logging en incident-response. Een goed ontworpen IAM-systeem is daarvoor het centrale stuk gereedschap. AVG raakt vooral de attribute-store (welke persoonsgegevens, welke grondslag) en de bewaartermijnen rondom audit-logs. Bij elk traject leggen we vast welke datastromen onder NIS2 vallen en welke verwerkingen onder AVG, zodat de oplossing aansluit op het beveiligingsbeleid en het verwerkingsregister. Voor zorginstellingen komt NEN 7510 erbij, voor financiele dienstverleners DORA.

Ja. Appfront wordt regelmatig ingeschakeld om bestaande Entra ID-, Okta-, Auth0- of Keycloak-omgevingen te reviewen, op te schonen en te professionaliseren. We voeren een access-review uit op rollen en groepen, fixen role-explosion, brengen orphaned accounts in kaart, herzien conditional-access-policies en zetten een werkende provisioning-flow op met SCIM waar dat zinvol is. Daarna kunnen we ofwel het beheer overdragen aan uw eigen team met heldere documentatie, ofwel doorlopend mee-beheren. Een opschoonactie levert vrijwel altijd direct meetbare resultaten op: minder accounts, minder permanente admin-rechten, betere MFA-dekking.

Een SOC of security-leverancier monitort breed op dreiging en respondeert op incidenten — IAM is daar een van de signaalbronnen voor (login-events, MFA-failures, privilege-escalation). Wij richten ons op het bouwen en integreren van de IAM-laag zelf en zorgen dat de audit-logs in een formaat landen dat uw SOC en SIEM kunnen verwerken. In een aantal trajecten werken we direct samen met de SOC-partner van de klant om detectieregels af te stemmen op de identity-signalen — denk aan impossible-travel detection, plotselinge MFA-bypass-pogingen, of een opvallend patroon in privileged-access-aanvragen.

Praat met ons over uw IAM-traject

Vertel ons hoe uw identity-landschap er nu uitziet — welk IdP er staat, welke applicaties er aanhaken, welke compliance speelt (NIS2, ISO 27001, NEN 7510, DORA) en waar u de meeste frictie ervaart. We denken graag mee over scope, prioriteiten, de keuze tussen pakket en maatwerk en het ontwerp van de federation-, MFA- en provisioning-laag. Een vrijblijvend eerste gesprek geeft u een scherp beeld van de mogelijkheden en de meest stabiele route — Entra ID, Okta, Auth0, Keycloak of een maatwerk-bovenlaag.

Edit Content