Waarom SSO de deal-breaker is die je SaaS-roadmap niet kan negeren

"We tekenen zodra jullie SSO ondersteunen."

Als je B2B SaaS bouwt, hoor je deze zin vroeg of laat. Meestal op het slechtst mogelijke moment: net als de deal bijna rond is, eist de IT-afdeling van je prospect enterprise-grade authenticatie. SAML, OIDC, SCIM provisioning. Je team heeft er nog nooit mee gewerkt.

Ik heb 4 SSO-implementaties gedaan, van ABN AMRO tot SaaS-scale-ups. Ik ben Microsoft Certified: Identity and Access Administrator Associate (SC-300). Dit is wat ik founders wil meegeven.

Het is complexer dan je denkt

SSO klinkt simpel: "login via de klant z'n Azure AD." In werkelijkheid moet je rekening houden met:

• Meerdere identity providers: de ene klant zit op Entra ID, de andere op Okta
• User provisioning en deprovisioning (SCIM): als iemand uit dienst gaat, moet die toegang direct stoppen
• Tenant-isolatie: elke klant z'n eigen configuratie, zonder dat ze elkaars data zien
• Migratie van bestaande gebruikers naar SSO zonder dat ze opnieuw moeten registreren

Wat het je kost als je het uitstelt

Zonder SSO blokkeren enterprise klanten de deal simpelweg in hun security review. Je sales cycle vertraagt, je pipeline loopt vast, en je verliest momentum bij prospects die je product eigenlijk willen gebruiken.

Ondertussen bouwt je concurrent het wél in.

Zelf bouwen of een platform gebruiken?

Platforms zoals Auth0 of WorkOS kunnen een goede start zijn. Maar zodra je te maken krijgt met edge cases (ADFS, custom claims, afwijkende SCIM-implementaties) moet je alsnog begrijpen hoe de protocollen zelf werken.

Op dat moment heb je iemand nodig die het protocol snapt, niet alleen de SDK.

Hoe ik het aanpak

Bij een typische SaaS-klant werk ik in een aantal fases toe naar een volledige SSO-integratie:

• Week 1-3: Inventarisatie, architectuur en tenant-model. Eerste IdP-koppeling (Entra ID of Okta) werkend in een testomgeving.
• Week 4-6: SCIM provisioning, migratiestrategie voor bestaande gebruikers, eerste productie-koppeling met een pilotkant.
• Week 7-9: Tweede IdP, hardening, edge cases, tests samen met de klant.
• Week 10-12: Documentatie, overdracht aan je team, begeleiding bij de eerste zelfstandige onboarding van een nieuwe klant-IdP.

Het exacte tempo hangt af van je product en de complexiteit van je gebruikersmodel. Maar na afloop kan je team zelfstandig nieuwe klant-IdPs toevoegen.

Het resultaat

Je prospect krijgt enterprise-grade security. Je sales cycle versnelt. En je team hoeft zich niet maanden vast te bijten in een spec die ze niet kennen.