Nederlands
  • identity management
  • enterprise
  • auth

Hoe kies je een identity provider: Het evaluatiekader van het engineeringsteam

Een praktisch IdP-evaluatiekader gebaseerd op echte bedrijfsbehoeften. Behandelt protocol-diepte, migratie, multi-tenancy, AI-gereedheid en de criteria die op de meeste checklists ontbreken.

Yijun
Yijun
Developer

Stop met weken verspillen aan gebruikersauthenticatie
Lanceer veilige apps sneller met Logto. Integreer gebruikersauthenticatie in minuten en focus op je kernproduct.
Aan de slag
Product screenshot

De meeste artikelen waarin identity providers vergeleken worden, zijn geschreven door identity providers zelf. Verrassend, toch? Ze benoemen de functies die hun product heeft, slaan de tekortkomingen over en noemen het een "objectieve gids".

Dit is niet zo'n gids.

We hebben tientallen echte evaluatieverzoeken van ondernemingen bekeken — de daadwerkelijke spreadsheets en RFP-documenten die inkoopteams naar leveranciers sturen. De patronen zijn duidelijk: engineeringteams onderschatten consequent de criteria die het meest van belang zijn en overschatten juist de minst relevante.

Het resultaat? Teams kiezen een IdP na een demo, ontdekken dat migreren een nachtmerrie is na zes maanden, en beginnen opnieuw met evalueren.

Hier is het evaluatiekader waarvan we hadden gewild dat iemand het ons had gegeven voordat we begonnen. Het is gemaakt voor engineeringteams bij B2B SaaS-bedrijven — de teams die producten bouwen, niet de teams die workforce SSO kopen voor hun werknemers.

Kort antwoord: Wat bepaalt een IdP-beslissing

Als je aan het scannen bent, hier is de korte versie:

  1. Protocol-diepte is belangrijker dan het aantal functies. Zeggen dat men "OAuth2 ondersteunt" betekent niets. Welke grant types? Kun je tokenclaims aanpassen? Kun je zelf een OIDC-provider worden?
  2. Migratiemogelijkheid is het meest onderschatte criterium. Als je je bestaande gebruikers niet kunt migreren zonder hen te dwingen hun wachtwoord te resetten, is de IdP onbruikbaar — hoe goed de rest er ook uitziet.
  3. Multi-tenancy moet native zijn, niet achteraf aangebouwd. Als organisatiemodellen en tenant-specifieke configuraties om trucjes vragen, blijf je vechten tegen het systeem.
  4. AI-gereedheid is geen toekomstmuziek — het is binnen 12 maanden vereist. Token exchange, agent-identiteit, gedelegeerde scopes. Als de IdP deze niet ondersteunt, zit je volgend jaar wéér te evalueren.

De rest van deze gids doorloopt elk evaluatiedomein in detail, met concrete vragen en rode vlaggen om op te letten.

Voor wie deze gids is (en niet is)

Deze gids is voor jou als:

  • Je bent CTO, VP Engineering of platformarchitect bij een B2B SaaS-bedrijf van 50-300 personen
  • Je hebt +100K bestaande gebruikers en kunt je geen verstorende migratie veroorloven
  • Je gaat richting enterpriseklanten die SSO, organisatiemodellen en audit logs nodig hebben
  • Je moet een technische evaluatierapport schrijven en wil een kader dat niet uit de koker van een leverancier komt

Deze gids is NIET voor jou als:

  • Je zoekt workforce IAM (SSO voor werknemers voor interne tools) — dat is een ander aankooptraject
  • Je hebt een startup met 500 gebruikers en nog geen enterpriseklanten — kies gewoon het beste SDK en ga verder
  • Je hebt identiteitsverificatie nodig (KYC/KYB) — dat is een volledig andere categorie

Dimensie 1: Protocolmogelijkheden — Niet alleen "ondersteunt OAuth2"

Elke IdP op de markt zegt OAuth2 en OIDC te ondersteunen. Dat is vanzelfsprekend. De echte vragen gaan over de diepgang.

Grant types: Welke en waarom ze belangrijk zijn

Vereist:

  • Authorization Code + PKCE — De enige flow die je zou moeten gebruiken voor browser-based en mobiele apps. Als een leverancier nog steeds Implicit flow aanbeveelt, verder zoeken. PKCE is geen optie, maar een vereiste voor security.
  • Client Credentials — Voor service-naar-service communicatie. Je backendservices moeten met elkaar kunnen authenticeren zonder gebruiker.
  • Refresh Token — Lijkt basis, maar implementatiedetails verschillen sterk. Kun je rotatie instellen? Vervaltijd? Kun je een specifieke refresh token intrekken zonder de hele sessie te beëindigen?

Steeds crucialer:

  • Token Exchange (RFC 8693) — Dit grant type maakt AI-agent-authenticatie, impersonatie-flows en delegatie mogelijk. Als het ontbreekt, vraag naar de roadmap. Is er geen roadmap? Rode vlag.

OIDC Provider-vermogen

Vraag die veel teams vergeten: Kun je deze IdP als OIDC-provider gebruiken — niet alleen als OIDC-consument?

Waarom het telt: Als je SaaS groeit, willen partners en klanten mogelijk je identity-systeem gebruiken voor login op hun eigen tools. Je moet tokens kunnen uitgeven, consent beheren en registratie van derden regelen. Kan je IdP alleen externe identity providers consumeren en niet zelf als provider fungeren, dan loop je op een gegeven moment vast.

Vraag:

  • Heeft de IdP een OpenID Discovery endpoint dat je kunt whitelabelen?
  • Kun je first-party en third-party applicaties met verschillende vertrouwensniveaus registreren?
  • Kunnen first-party apps het consentscherm overslaan en third-party apps niet?

JWT-aanpassing

Het token is het contract tussen je IdP en je services. Kun je het niet aanpassen, dan moet elke afnemende service extra API-calls doen om rechten van de gebruiker te achterhalen.

Vraag:

  • Kun je custom claims toevoegen aan access- en ID-tokens?
  • Kun je organisatiecontext (in welke tenant de gebruiker werkt) opnemen in het token?
  • Kun je custom scopes definiëren die mappen op het permissiemodel van je applicatie?
  • Worden claims bepaald bij token-uitgifte, of kunnen ze dynamisch via webhook/script aangevuld worden?

Een token met { "org_id": "org_123", "role": "admin", "auth_level": 2 } betekent dat je API-middleware authorisatie beslist in één regel. Een token met alleen { "sub": "user_456" } betekent dat elke service terug moet naar de IdP of database voor meer info. Op schaal is het verschil 2ms versus 200ms per verzoek.

Dimensie 2: Authenticatie-flows — De details die je opbreken

Elke IdP ondersteunt email/wachtwoord en sociale login. Gefeliciteerd, nu vallen alleen alle IdP’s nog af.

Het verschil zit 'm in de details die in demo's onbesproken blijven.

De aanmeldflow

  • Auto-login na registratie: Is de gebruiker na aanmelding direct ingelogd of moet hij opnieuw inloggen? Gebruiker direct opnieuw inloggen na registratie doodt je conversie. Je zou verbaasd zijn hoeveel IdPs dit fout doen.
  • Custom registratievelden: Kun je rol, bedrijfsnaam of use-case uitvragen tijdens aanmelden, of moet er een losse onboarding-flow achteraan?
  • Progressieve profilering: Kan je aanvullende gegevens verspreid over meerdere sessies ophalen, in plaats van alles direct?

De loginflow

  • login_hint ondersteuning: Kan je bij klikken vanuit een marketingmail het emailadres alvast invullen? Klinkt triviaal, maar het verschil tussen 40% en 60% conversie in je mailcampagnes.
  • Organisatie-specifiek beleid: Kan Org A SAML SSO eisen en Org B email/wachtwoord? Kun je MFA alleen voor enterprise-tenants verplichten? Vereisen per-tenant-authregelingen codewijzigingen i.p.v. configuratie, dan kost elke onboarding je development-tijd.
  • Branding aanpassingen: Kun je de loginervaring per tenant aanpassen? Niet alleen logo/kleuren — volledige CSS, custom domeinen, white-labeled emails. "Hosted UI of eigen UI" moet een keuze zijn, geen beperking.

Wat de meeste checklists missen

  • Stille authenticatie: Kan de app bij token-verval stilletjes verversen zonder redirect? Wat als de refresh token ook verlopen is — is er een fallback (zoals een sliding session via iframe)?
  • Accountkoppeling: Gebruiker meldt zich eerste keer aan via Google, daarna met email. Zijn dat twee accounts of één? Hoe koppelt de IdP identiteiten? Fout hier resulteert altijd in dubbele accounts.
  • Passwordless opties: Magic links, passkeys, WebAuthn. Niet omdat iedereen het nu vraagt, maar je enterpriseklant over 6 maanden wel.

Dimensie 3: Sessie- en tokenbeheer — Het diepe water

Hier gaan demo's uiteenlopen. Sessie- en tokenmanagement is saai tot het misgaat — dan wordt je hele gebruikerspopulatie tegelijk uitgelogd.

Cookiebeveiliging

Niet sexy, wel essentieel.

  • HttpOnly, Secure, SameSite attributen: Alle drie moeten correct staan. IdP zonder HttpOnly op sessiecookies = niet productie-waardig.
  • Cross-subdomain ondersteuning: Draait je app op app.jouwproduct.com en je API op api.jouwproduct.com, kunnen sessies die domeinen overspannen? Hoe?
  • Afschaffen third-party cookies: Chrome schaft ze af. Hoe ondersteunt de IdP cross-origin auth zonder deze cookies? "We werken eraan" is onvoldoende.

Onthoud mij & persistente sessies

Gebruikers willen weken, geen minuten, ingelogd blijven. Een sessie van 180 dagen heeft totaal andere beveiligingsimplicaties dan 30 minuten.

Vraag:

  • Kun je sessieduur los configureren van tokenlevensduur?
  • Is er een "onthoud mij"-optie die sessie verlengt zonder tokens langer geldig te maken?
  • Kun je voor gevoelige acties herauthenticatie afdwingen zonder de sessie te beeïndigen?

Refresh-token beveiliging

  • Tokenrotatie: Ververs de IdP refresh tokens bij elke gebruik? (Moet!)
  • Versleutelde opslag: Zijn refresh tokens encrypted in de database?
  • Fijnmazige intrekking: Kan je één sessie op één device intrekken zonder alles te beëindigen?
  • Instelbare vervaldatum: Hebben verschillende apps hun eigen refresh-token levensduur, of is het globaal ingesteld?

Dimensie 4: Autorisatiemodel — Verder dan simpele RBAC

Role-Based Access Control is de ondergrens. Heeft de IdP geen RBAC, dan hoef je niet verder te kijken. Maar voor B2B SaaS is alleen RBAC niet genoeg.

Organisatiegebonden rechten

Je gebruikers horen bij organisaties. Hun rechten binnen iedere organisatie verschillen van hun platformrechten.

Eén gebruiker kan admin zijn in Org A en alleen-lezer in Org B. Dezelfde gebruiker, twee verschillende rollen. Kan de IdP dit niet natively modellen, bouw je dus je eigen permissiesysteem — twee bronnen van waarheid.

Vragen:

  • Kun je rollen op organisatieniveau definiëren, niet alleen op gebruikersniveau?
  • Kan een gebruiker verschillende rollen in meerdere organisaties hebben?
  • Zit de actieve organisatiecontext in het token, zodat jouw API weet voor welke org de gebruiker werkt?

Multi-level autorisatie (auth_level)

Voor financiële, zorgapplicaties, of situaties met risicovolle acties: niet elke sessie is gelijkwaardig.

Dashboard bekijken? Sessie-cookie is genoeg. Overschrijving starten? Verse MFA-verificatie, ook als gebruiker al is ingelogd.

Step-up-authenticatie vereist het concept authenticatieniveau (auth_level) als first-class in tokens.

Vraag:

  • Draagt het token een auth_level claim die je backend kan controleren?
  • Kan je step-up-authenticatie vanuit je app starten zonder een volledige herlogin?
  • Heeft auth_level een eigen geldigheid los van de sessie?

Als je IdP dit niet standaard heeft, ga je het zelf bouwen — precies het type logic waarvoor je juist een IdP koopt.

Autorisatie op basis van tokens

Het ideaal: je API leest het token, ziet org, rol en auth_level van gebruiker, en bepaalt autorisatie zonder externe service.

De realiteit bij veel IdPs: het token zegt wie de gebruiker is, maar voor rechten heb je aparte API call(s) nodig.

Extra call betekent latency, afhankelijkheid, faalrisico. Bij 1.000 requests per seconde wil je geen authorizationcheck over het netwerk sturen.

Dimensie 5: Migratie — Het allesbepalende criterium

Een statistiek die niemand graag noemt: de meeste IdP-evaluaties stranden niet omdat de nieuwe IdP onvoldoende is, maar omdat het team hun gebruikers niet kan migreren.

Bij 100K+ gebruikers is migratie geen "nice to have" — het is het hele project.

Drie migratiestrategieën (die de IdP moet ondersteunen)

1. Bulk import met bestaande password-hashes

Je gebruikers hebben wachtwoorden gehasht met bcrypt, argon2 of anders. Kan de IdP die hashes importeren en wachtwoorden daarop valideren?

Ja? Gebruikers loggen in met hun huidige wachtwoord, alles blijft gelijk. Beste scenario.

Nee? Iedereen krijgt een "reset je wachtwoord" mail. Je verliest 30-50% van je gebruikers. Dit is niet hypothetisch — het gebeurt.

2. Progressieve (lazy) migratie

Migreer niet iedereen tegelijk, maar bij de eerstvolgende login. Oude systeem checkt het wachtwoord, maakt gebruiker aan in ruime IdP, volgende logins lopen direct via de IdP.

Dit is veiligst bij grote gebruikersaantallen, maar vereist dat de IdP:

  • Een custom authenticatiehook naar je legacy systeem ondersteunt
  • Tijdens login users "on the fly" kan aanmaken
  • Kan bijhouden wie al gemigreerd is, en wie nog niet

3. Dual-write (systemen parallel laten draaien)

Tijdens overgang blijven beide systemen actief. Writes naar allebei, reads verschuiven geleidelijk. Geeft rollback-mogelijkheid, maar maakt het operationeel complexer.

Migratie rode vlaggen

  • "We ondersteunen CSV-import" — Betekent bulkimport van userprofielen, geen wachtwoorden. Je moet alsnog passwords resetten.
  • "We hebben een migratiegids" — Lees goed. Staat er "gebruikers moeten nieuw wachtwoord instellen," dan verlies je dus 30-50% van je users.
  • Geen vermelding van hash-compatibiliteit — Heeft de leverancier niet aan password-hash migratie gedacht, dan hebben ze geen ervaring met teams op jullie schaal.

Vragen om te stellen

  • Welke hashingalgoritmes kun je importeren? (bcrypt, argon2, scrypt, PBKDF2, custom?)
  • Kunnen we een progressieve migratie uitvoeren waarbij gebruikers worden gemigreerd bij eerste login?
  • Kunnen we migratievoortgang bijhouden — welk percentage gebruikers is gemigreerd?
  • Wat is de rollback-strategie als migratie misloopt?
  • Kunnen sessies doorlopen — zodat gebruikers niet uitgelogd worden tijdens migratie?

Kan de leverancier deze vragen niet goed beantwoorden, dan geen verdere tijd verspillen.

Dimensie 6: Multi-tenancy — Native vs. aangekleefd

B2B SaaS is multi-tenancy: je klanten zijn organisaties met meerdere gebruikers, rollen en toegangsregels. De IdP moet hier native weet van hebben.

Wat betekent "native multi-tenancy"

  • Organisatie als first-class entity: Niet als custom veld op gebruikersprofiel, maar als aparte datamodel met eigen ID, instellingen, ledelijst.
  • Per-organisatie authenticatiebeleid: Org A SAML SSO, Org B email/wachtwoord (evt. MFA), Org C Google Workspace login. Allemaal via UI of API in te stellen, niet via codewijziging.
  • Uitnodigingen en lidmaatschapsbeheer: Beheerders binnen een org moeten leden kunnen uitnodigen, rollen toeken, leden verwijderen. De IdP verzorgt uitnodiging, emailverificatie en roltoewijzing.
  • Organisatiespecifieke tokens: Werkt een gebruiker in een organisatie, dan draagt het token die context. Jouw API weet welke orgdata bij dit verzoek hoort.

De “custom metadata”-truc

Sommige IdPs hebben geen native organisatiemodel en raden custom metadata (user.app_metadata.org_id = "123") aan als workaround.

Dit gaat snel mis:

  • Lidschappen in meerdere orgs vereisen array management in metadata
  • Geen ingebouwd uitnodigings- of ledenbeheer
  • Geen per-org auth policies
  • Geen org-scoped tokens — context moet je van elders afleiden
  • Audit logs kennen geen organisaties

Zegt de leverancier "je kunt orgs modelleren via metadata," dan bewaar je relationele data in een JSON-kolom. Werkt tot het niet meer werkt.

Vragen om te stellen

  • Is het organisatiemodel native of gebouwd bovenop user metadata?
  • Kunnen gebruikers lid zijn van meerdere organisaties tegelijk?
  • Kunnen we verschillende authenticatievereisten per organisatie configureren?
  • Worden organisatiegebonden rollen en rechten native ondersteund?
  • Kunnen beheerders zelf leden beheren via de UI?
  • Bevat het token organisatiecontext?

Dimensie 7: AI-gereedheid — Het criterium waar niemand nog aan denkt

Twaalf maanden geleden stond "AI-agent authenticatie" nergens op een checklist. Vandaag — als je AI in je product bouwt (copilots, autonome agents, AI-gestuurde workflows) — moet je IdP een nieuw identiteitstype aankunnen: de agent.

Waarom agents niet in het oude model passen

Traditioneel zijn er twee actoren: gebruiker en applicatie. OAuth2 is hierop gebouwd.

AI agents brengen een derde actor: een niet-menselijk entiteit die namens een gebruiker optreedt, met beperkte rechten en een eigen auditspoor nodig heeft.

  • Een agent is geen gebruiker — geen wachtwoord of browsersessie
  • Een agent is geen machine-to-machine service — werkt namens een specifieke gebruiker
  • Een agent heeft beperkt, tijdelijk recht nodig — niet de volledige useraccess

Wat je IdP hiervoor moet bieden

Token Exchange (RFC 8693): De agent toont z’n eigen credential plus toestemming van de gebruiker en krijgt een scoped token terug. Het token omvat: wie (de gebruiker), wat (de agent), scope (toestemmingsgrens) en wanneer (vervaldatum).

Agent als client type: De agent moet als volwaardige OAuth2-client met eigen client_id te modelleren zijn, niet gehackt via API keys of usertokens.

Gedelegeerd scope beheer: Gebruiker kan specifieke rechten aan een agent toekennen — lezen, geen schrijven, toegang tot slechts deel van de resources.

Audit-onderscheid: Je logs moeten kunnen tonen: "gebruiker deed X" en "agent deed X namens gebruiker". Anders faal je de komende SOC2 audit op "wie voerde deze actie uit?"

MCP (Model Context Protocol) compatibiliteit

MCP wordt snel dé standaard voor AI-agents die met tools en services praten. Ondersteunt je IdP OAuth-based auth naar MCP servers, dan kunnen agents formeel authenticeren — geen API keys meer.

Vragen om te stellen

  • Ondersteunen jullie OAuth2 Token Exchange?
  • Kunnen agents als eigen clienttypes worden gemodelleerd?
  • Kunnen tokens delegatie-informatie (wie, waarvoor toestemming) dragen?
  • Onderscheiden audit logs agent-acties van menselijke acties?
  • Is er MCP-server integratie of OAuth support voor agent-to-tool authenticatie?

Heeft de leverancier hier niet aan gedacht, dan bouwen ze voor 2020, niet voor 2026.

Dimensie 8: Niet-functionele eisen — Wat je ’s nachts wakker houdt

Features verkopen. Operaties bepalen of je verlengt.

Performance

  • Authenticatiedoorvoer: Kan het systeem 100+ auth requests/seconde aan? Wat bij pieken van 1.000+?
  • Tokenvalidatielatentie: Valideren je services JWTs lokaal (zoals het hoort) dan is het sub-millisec. Vereist de IdP introspection-calls, wat is de P99-latency?
  • Schaalplafond: Wat is het maximum aantal MAUs? Gaat het trackrecord tot jullie schaal?

Compliance

  • SOC2 Type II: NIET Type I. Type II is over een periode geaudit, Type I is op één moment. Alleen Type I? Vraag wanneer Type II volgt.
  • Audit logs: Elke authenticatie, permissiewijziging en admin-actie gelogd. Kun je ze exporteren naar je SIEM? Zijn logs onveranderlijk?
  • Data residency: Kun je opslaglocatie van gebruikersdata bepalen? Voor EU klanten verplicht.

Betrouwbaarheid

  • Uptime SLA: 99,9% klinkt goed, maar is 8,7 uur uitval per jaar. 99,99% is 52 minuten. Voor authenticatie — de voordeur van je app — telt het verschil.
  • Failover: Wat gebeurt er bij providerstoring? Fallback? Multi-regio deployment?
  • Incidenthistorie: Kijk statuspagina terug: niet wat ze beloven, maar wat er écht gebeurde.

Dataportabiliteit

  • User export: Kan je alle gebruikersdata exporteren, inclusief metadata, org-lidmaatschappen en rollen? In welk formaat?
  • Standaardprotocol ondersteuning: Zijn standaarden als OIDC, SCIM ondersteund zodat migreren kan?
  • Geen lock-in signalen: Proprietary API’s, custom protocols, niet-standaard tokens = lock-in. Hoe propriëtairer, hoe moeilijker afscheid.

De evaluatiematrix: Een praktisch scoresysteem

Na alle dimensies heb je een vergelijkingsmethode nodig. Hier is het prioriteitskader:

P1 — Knock-outs (eis, bij falen afvallen)

CriteriumWaarom P1
Password hash import of progressieve migratieOnbruikbaar zonder migratie
Authorization Code + PKCE supportSecurity ondergrens
Native organisatiemodelEis voor B2B SaaS
SOC2 Type II of duidelijke roadmapEnterprise klant eist het
99,9%+ uptime SLAAuth down = product down

P2 — Sterk gewenst (veel engineeringwerk als het ontbreekt)

CriteriumWaarom P2
Custom JWT claimsVoorkomt per-request permission lookups
Per-org authentication policiesEnterprise onboarding
Organisatiescoped rollen & tokensMulti-tenant autorisatie
Refresh token rotatie & intrekbaarheidSecurity best practice
Hosted UI + custom UI-optieFlexibel voor verschillende use-cases

P3 — Belangrijk (binnen 12 maanden implementeren)

CriteriumWaarom P3
Token Exchange (RFC 8693)AI agent authenticatie
OIDC Provider mogelijkheidPartner federatie
Step-up authenticatie / auth_levelFinanciële of gevoelige handelingen
SCIM provisioningDirectory-sync voor enterpriseklanten
Passkey / WebAuthn supportPasswordless richting

P4 — Nice to have (beslissing niet afhankelijk)

CriteriumWaarom P4
Ingebouwd analytics dashboardKan uit audit logs worden gebouwd
White-labeled emailtemplatesGemak
Visuele flow builderGemak
Out-of-the-box social connectors (meer dan de top 5)Long tail providers

Hoe toe te passen: Start met P1. Faalt een leverancier op één P1-criterium, stop dan. Scoreer dan P2 en P3. De partij met de beste P2+P3-score is jouw winnaar.

Veel voorkomende beoordelingsfouten

We zien teams steeds dezelfde fouten maken. Zo vermijd je ze:

Fout 1: Oordelen op features, niet op architectuur

Featurevergelijkingstabel zegt wat er is, niet hoe het is gebouwd. Een IdP kan organisaties "ondersteunen" door een org_id in metadata, maar dat geeft in productie problemen.

Oplossing: Vraag bij elke feature "hoe is dit geïmplementeerd?" — niet alleen "heb je dit?"

Fout 2: Migratie vergeten tot ná de selectie

Teams kiezen de "beste" IdP, starten de implementatie, en ontdekken dan dat migreren alleen kan via massale password resets. Nu vast, of opnieuw beginnen.

Oplossing: Maak migratievereiste je eerste filter.

Fout 3: Blindvaren op de demo

Elke demo is gepolijst. Alleen het ideale pad met gladde data. Jouw productie heeft users met samengevoegde accounts, rare unicode en spooksessies.

Oplossing: Vraag proof-of-concept met echte data van jou. Importeer 1.000 users en test echte flows.

Fout 4: Niet de juiste mensen betrekken

Doet alleen het platformteam de evaluatie, dan kiezen ze technisch schoonste. Alleen product? Dan telt integratiegemak. Alleen security? Dan compliance.

Oplossing: Betrek platform-engineering, product én security. Ieder bewaakt z’n eigen P1/P2.

Fout 5: Vergeten dat je ooit wilt vertrekken

Vendor lock-in is echt. Proprietary SDK’s/APIs of tokens maken migratie daarna moeilijk.

Oplossing: Kies IdPs die standaarden (OIDC, OAuth2, SCIM) gebruiken. Je toekomstige zelf zal je dankbaar zijn.

FAQ

Hoe lang duurt een IdP-evaluatie meestal?

Voor een grondige selectie met proof-of-concept: reken op 4-8 weken. Haasten leidt tot de migratiefout hierboven. Reken 2 weken voor eiseninventarisatie, 2-3 weken voor leveranciers-selectie en PoC, en 1-2 weken voor afstemming met stakeholders.

Moeten we beter eigen authenticatie bouwen?

Hangt van je stadium af. Minder dan 10.000 gebruikers en geen enterprise klanten? Dan is een simpele auth-library misschien oké. Maar bij SSO, multi-tenancy, MFA en compliancekosten zijn eigen systemen duurder dan een IdP. We zien teams 2-3 fte besteden aan auth-onderhoud — dat is $300-500K/jaar aan misgelopen waarde.

Wat is het verschil tussen CIAM en workforce IAM?

Customer Identity and Access Management (CIAM) is wat je eindgebruikers van je product gebruiken — aanmelden, login, profielbeheer. Workforce IAM is wat je medewerkers gebruiken voor interne tools (Okta voor Slack, Google Workspace, etc). Dat zijn aparte beslissingen en beoordelingscriteria. Deze gids gaat over CIAM.

Hoe belangrijk is open-source versus proprietair?

Open source IdPs bieden transparantie (je kunt de code bekijken), portabiliteit (zelf hosten als nodig) en community-bijdragen. Proprietaire IdPs bieden vaak fraaiere UIs en managed services. Belangrijkste vraag is niet "open of gesloten", maar "kan ik weg als het moet?" Open source maakt vertrekken makkelijker dankzij publiek bekende datamodellen en API's.

Wanneer is AI-agent authenticatie P1 in plaats van P3?

Bouw je nú al AI die toegang heeft tot userdata namens users (copilots, automatisering, AI-assistants), maak het dan P1. Staat AI op 6-12 maanden roadmap, blijft het P3 maar geef het extra gewicht. AI nu niet relevant? Hou het P4 — check over een halfjaar opnieuw.

Hoe vergelijk je prijzen als leveranciers andere modellen gebruiken?

Meeste IdPs rekenen op Monthly Active Users (MAU). Maar "MAU" betekenissen verschillen: sommige elke login, andere unieke users, weer anderen M2M-tokens apart. Vraag altijd offerte voor jouw scenario: X users, Y orgs, Z M2M-verbindingen, met jouw authvolume. Vergelijk totalen, niet eenheidsprijs.

Bottom line

Het kiezen van een identity provider is een infra-beslissing, geen feature-beslissing. Je kiest een systeem dat elke eerste gebruikersactie, elke permissiecheck en elk auditlogmoment in je product afhandelt.

Het evaluatiekader hierboven raakt wat ertoe doet — niet alleen de marketingclaims. Gebruik het om kandidaten snel te filteren (P1-criteria eerst), diep te testen (P2 en P3 met PoC), en een keuze voor jaren vast te leggen.

De teams die dit goed doen, behandelen identiteit als infrastructuur — niet als een feature om op te leveren en dan te vergeten.