Identity & Access Management English

Je eerste enterprise deal loopt vast op de security review

Ik implementeer SSO en SCIM in je .NET SaaS zodat het door de security assessment komt en de deal doorgaat.

Enterprise prospects die ISO 27001, SOC 2 of NIS2 compliant moeten zijn, eisen SSO en SCIM van hun SaaS-leveranciers. Zonder dat blokkeert een deal van tienduizenden euro's. Ik heb dit meerdere keren gebouwd in .NET SaaS-producten, onder andere met Azure Entra ID en Auth0.

Neem contact op Hoe het werkt
OAuth2 / OpenID Connect SCIM 2.0 Azure Entra ID .NET 20+ jaar ervaring
Chaïm Zonnenberg

Het probleem dat ik oplos

Je prospect moet ISO 27001 / SOC 2 / NIS2 compliant zijn

De meeste SSO-trajecten beginnen niet bij een feature request, maar bij een compliance-eis van je prospect. Enterprise bedrijven die ISO 27001 (A.9 Access Control), SOC 2 (CC6.1) of NIS2 gecertificeerd zijn, moeten centraal identity management afdwingen bij al hun leveranciers. Dat betekent: zij eisen SSO en SCIM van jouw SaaS. Kun je dat niet leveren, dan kom je niet door hun security review.

Deal van tienduizenden euro's geblokkeerd

Je enterprise prospect stuurt een security vragenlijst. "Ondersteunen jullie SSO?" Nee. "SCIM provisioning?" Nee. Deal geblokkeerd. Sales cycle vertraagt 3-6 maanden, of de prospect wordt stil. Hun IT-afdeling keurt geen SaaS product goed dat aparte inloggegevens vereist.

Handmatig userbeheer schaalt niet

De IT-admin van je klant moet handmatig accounts aanmaken, wachtwoorden resetten en vertrekkers deactiveren. Met 500 medewerkers is dat een dagtaak. Met SCIM gebeurt het automatisch vanuit hun Azure AD of Auth0.

Je team heeft geen identity expertise

OAuth2, OpenID Connect, SCIM: identity management is een vak apart. Je team bouwt productfeatures, geen token services. Dit verkeerd doen betekent security kwetsbaarheden. Het goed doen kost maanden aan leertijd.

Hoe ik werk

Van audit tot enterprise-ready in weken, niet maanden
1

Audit

Ik bekijk je huidige authenticatie-stack, databasemodel en de identity providers van je doelklanten. Je krijgt een concreet plan: wat moet veranderen, wat blijft, en hoe lang het duurt.

2

Implementeren

Ik bouw SSO (OpenID Connect) en SCIM endpoints in je .NET applicatie. Ik integreer met je bestaande usermodel. Je team reviewt elke PR. Geen black box.

3

Onboarden

Ik help je eerste enterprise klant onboarden. We testen de SSO flow met hun Azure Entra ID of Auth0 tenant, verifiëren SCIM provisioning, en zorgen dat hun security team akkoord geeft.

4

Overdragen

Ik draag kennis over aan een of meer teamleden zodat je team zelfstandig de identity-integratie kan beheren, nieuwe klanten kan onboarden en problemen kan oplossen.

Wat ik meeneem

  • Meerdere secure token services from scratch gebouwd met IdentityServer4, OpenIddict en custom implementaties. Ik weet waar ze stuk gaan.
  • SCIM 2.0 provisioning endpoints voor user en group provisioning die werken met Azure Entra ID en Auth0. Getest tegen echte enterprise tenants.
  • IdentityServer4 migraties omdat de open-source versie niet meer onderhouden wordt. Ik heb applicaties gemigreerd naar Duende IdentityServer en OpenIddict.
  • 20+ jaar ervaring in .NET en enterprise software bij grote financiële instellingen en overheidsorganisaties. Ik begrijp enterprise eisen omdat ik er zelf gewerkt heb.
  • Aparte Microsoft Entra testomgeving opzetten. Ik help je een aparte Entra test-tenant inrichten voor SSO en SCIM, zodat je kunt ontwikkelen en testen zonder productie aan te raken.
  • Eigen SaaS producten in productie. Ik draai Invullen.nl en Factuur-Assist.nl op Azure. Ik implementeer identity ook voor mijn eigen producten.

Waar mijn SSO- en SCIM-implementaties draaien

Overheid / opsporing
10.000+ medewerkers
Transport / openbaar vervoer
3.000+ medewerkers
Financiële dienstverlening / bankwezen
300.000+ klanten
Onderwijs / landelijke toetsing
8.000+ deelnemers/jaar

Waarom niet WorkOS of een ander SSO-platform?

Producten als WorkOS, Stytch en Descope bieden SSO-as-a-service. Keycloak is een open-source alternatief. Waarom dan toch custom bouwen in .NET?

Eenmalige investering vs. eeuwig betalen

WorkOS rekent $125 per SSO-connectie per maand. Bij 10 enterprise klanten is dat $15.000 per jaar, en dat bedrag groeit mee. Een custom implementatie is een eenmalige investering. Na oplevering betaal je niks meer per connectie.

Een SDK is maar 20% van het werk

Zelfs met een SDK van een SSO-platform moet je alsnog significant integreren. Multi-tenant auth flows, just-in-time provisioning, role reconciliation, SCIM PATCH complexiteit, Entra quirks, audit logging, error handling bij provisioning failures. Dat is 80% architectuur en edge cases die geen platform voor je oplost.

Data sovereignty (NIS2 / AVG)

WorkOS, Stytch en Descope zijn Amerikaans. Met een custom implementatie blijven alle identity-gegevens in je eigen infrastructuur. Steeds relevanter door NIS2 en AVG, zeker voor Europese enterprise klanten.

Past op je bestaande logica

Je hebt al een eigen usermodel, rollen en permissions. Een SSO-platform vereist dat je dat aanpast aan hun model. Custom bouwen integreert met wat er al staat, zonder je bestaande authenticatielogica om te gooien.

Volledige controle

Geen vendor lock-in, geen afhankelijkheid van een derde partij voor je authenticatie-flow. Je team begrijpt de code, kan debuggen, en kan zelfstandig nieuwe klanten onboarden.

Waarom niet Keycloak?

Keycloak is open-source en gratis, maar het is een Java-applicatie die je apart moet hosten, patchen en onderhouden. Het integreert niet in je bestaande .NET authenticatielogica, je past je applicatie aan op het model van Keycloak. Voor een .NET SaaS-product betekent dat een tweede tech stack, extra operationele overhead en SCIM-support die beperkt is. Met een native .NET implementatie zit alles in dezelfde codebase en deployment.

Mijn aanpak: open-source + expertise

Ik bouw met open-source componenten en custom SCIM endpoints. Geen licentiekosten, volledig in je eigen .NET stack. Het enige wat je nodig hebt is iemand die weet hoe het moet. Dat is waar ik inkom. Inclusief documentatie, kennisoverdracht aan je team en integration tests. Je team kan zelfstandig nieuwe klanten onboarden en basisonderhoud doen. Voor grotere wijzigingen zoals een nieuwe identity provider, SCIM uitbreiden of migraties kun je me opnieuw inschakelen.

Technologieën

OAuth2 OpenID Connect SCIM 2.0 Azure Entra ID Auth0 IdentityServer4 Duende IdentityServer OpenIddict .NET C# ASP.NET Core Azure SQL Server

Artikelen

Technische verdieping over identity in .NET

Replacing IdentityServer4 in .NET

IdentityServer4 wordt niet meer onderhouden. Wat zijn je opties? Ik vergelijk Duende IdentityServer, OpenIddict en Azure Entra ID, met praktisch migratieadvies.

Lees artikel

SCIM User Provisioning in .NET

Enterprise klanten verwachten geautomatiseerde user provisioning. Ik leg uit wat SCIM is, waarom je het nodig hebt, en hoe je SCIM endpoints bouwt in .NET.

Lees artikel

SSO of SCIM nodig in je .NET applicatie?

Stuur me je security vragenlijst of beschrijf je situatie. Ik vertel je binnen een dag wat er nodig is en hoe lang het duurt.

Mail me Bel me

Chaïm Zonnenberg | Senior .NET Developer | Ik werk met maximaal twee SaaS-bedrijven tegelijk