Je enterprise klant eist SSO en SCIM. Je zoekt een oplossing en stuit op WorkOS, Keycloak, Auth0. Plug-and-play SSO, klinkt goed. Maar wat kost het echt, en wat lever je in?
WorkOS
WorkOS is een SaaS-platform dat SSO en SCIM als API aanbiedt. Je integreert hun SDK, zij handelen de SAML/OIDC-connecties met je klanten af. Setup kost een paar uur.
Wat je betaalt:
- $125 per SSO-connectie per maand. 10 enterprise klanten = $1.250/maand = $15.000/jaar. 50 klanten = $75.000/jaar.
- SCIM provisioning zit in het Enterprise-plan - nog duurder.
Wat je inlevert:
- Vendor lock-in. De SSO-connecties lopen via WorkOS. Als je wilt migreren, moet je elke klant opnieuw onboarden.
- Data sovereignty. Identity-data gaat door hun servers (VS). Voor klanten in overheid, zorg of finance is dat een probleem.
- Geen controle. Je kunt het protocol-gedrag niet aanpassen. Custom claims, specifieke SCIM-mapping, afwijkende flows - je bent afhankelijk van wat zij ondersteunen.
Keycloak
Keycloak is een open-source identity platform van Red Hat. Het kan SSO, federation, user management en meer. Het is gratis en bewezen op enterprise-schaal.
Het probleem voor .NET-teams:
- Java-stack. Keycloak draait op Java (Quarkus). Je .NET-team moet een aparte Java-applicatie deployen, monitoren en patchen.
- Aparte infrastructuur. Keycloak is een volledige applicatie met eigen database, eigen configuratie, eigen upgrade-cyclus. Dat is een extra systeem om te onderhouden.
- Complexiteit. Keycloak kan alles, maar die flexibiliteit maakt configuratie complex. De admin-console heeft honderden opties. De leercurve is steil.
- Geen native integratie. Je .NET SaaS praat met Keycloak via HTTP. Custom logica vereist Keycloak SPI's in Java.
Auth0 / Okta
Auth0 (nu onderdeel van Okta) is identity-as-a-service. Vergelijkbaar met WorkOS, maar breder: login, MFA, user management, SSO.
Waar het wringt:
- Pricing. Auth0 rekent per actieve gebruiker. Bij B2B SaaS met duizenden enterprise-gebruikers lopen kosten snel op. Enterprise SSO-features zitten in de duurste plannen.
- Vendor lock-in. Zelfde verhaal als WorkOS. Identity-data zit bij Auth0. Migreren is een project op zich.
- Overkill. Als je alleen SSO en SCIM nodig hebt voor je bestaande .NET-applicatie, is Auth0 een breed platform waar je 80% niet van gebruikt.
Custom bouwen in .NET
De vierde optie: SSO en SCIM bouwen als onderdeel van je eigen .NET-applicatie. Geen externe afhankelijkheid, geen maandelijkse kosten per connectie.
Wat je krijgt:
- Geen vendor lock-in. De code is van jou. Je kunt het aanpassen, uitbreiden, of van hosting wisselen zonder iets te migreren.
- Geen per-connectie kosten. Of je nu 5 of 500 enterprise klanten hebt, de kosten blijven gelijk.
- Data sovereignty. Identity-data blijft in je eigen database, op je eigen infrastructuur. Dat maakt compliance eenvoudiger.
- Volledige controle. Custom claims, specifieke SCIM-mappings, afwijkende SAML-configuraties - je past het aan op wat je klanten nodig hebben.
- Native .NET. Geen Java, geen externe SDK's. Alles draait in je bestaande ASP.NET Core applicatie.
Wat het kost:
- Eenmalige investering van 4-6 weken development.
- Kennis van OAuth2, OpenID Connect, SAML en SCIM is vereist. Dit is geen weekend-project.
De vergelijking
| WorkOS | Keycloak | Auth0 | Custom .NET | |
|---|---|---|---|---|
| Kosten bij 50 klanten | ~$75.000/jaar | Gratis (+ ops) | Variabel (hoog) | Eenmalig |
| Vendor lock-in | Ja | Nee | Ja | Nee |
| Data sovereignty | Nee (VS) | Ja (self-hosted) | Nee (VS/EU) | Ja |
| Tech stack | SaaS API | Java | SaaS API | .NET native |
| Setup-tijd | Uren | Weken | Uren | 4-6 weken |
| Aanpasbaarheid | Beperkt | Hoog (Java) | Beperkt | Volledig |
Wanneer kies je wat?
- WorkOS/Auth0 - als je snel SSO nodig hebt, weinig enterprise klanten verwacht, en de maandelijkse kosten acceptabel zijn.
- Keycloak - als je team Java-ervaring heeft en je een breed identity platform wilt draaien naast je .NET-applicatie.
- Custom in .NET - als je meer dan een handvol enterprise klanten verwacht, data sovereignty belangrijk is, of je geen externe afhankelijkheid wilt voor een kernfunctie van je product.
Hoe ik hierbij help
Ik bouw SSO (SAML + OIDC) en SCIM provisioning als native onderdeel van je .NET SaaS. In 4-6 weken is het enterprise-ready, gedocumenteerd, en overgedragen aan je team. Geen doorlopende kosten, geen vendor lock-in.