Nu we bewust hebben gekozen om ons los te maken van de diepreikende cloudtentakels, is het tijd voor de eerste concrete stap: Identity & Access Management (IAM) in eigen beheer. Een centraal IAM-platform vormt de basis voor veilig, overzichtelijk en toekomstbestendig beheer van gebruikers, groepen en toegangsrechten.

Met een lokaal gehoste IAM-oplossing willen we:

• Alle gebruikers en groepen centraal beheren;
• Zoveel mogelijk CJ2-producten en apps koppelen voor eenvoudiger gebruikersbeheer;
• Centrale logging en monitoring realiseren;
• Multi-Factor Authentication (MFA) voor iedereen op alle apps afdwingen;
• Single Sign-On (SSO) voor gebruiksgemak.

Waarom lokaal gehost IAM?

Door IAM volledig zelf te hosten, verminderen we meerdere potentiële risico’s en vergroten we de controle:

• MFA voor applicaties zonder ingebouwde ondersteuning;
• Minder menselijke fouten bij onboarding en offboarding;
• Geen afhankelijkheid van cloudleveranciers;
• Volledige logging van wie wanneer welke applicatie gebruikt.

Deze aanpak sluit aan bij onze visie op veiligheid, autonomie en transparantie.

Onze eisen en wensen

Een geschikte IAM-oplossing moet in ieder geval voldoen aan:

• Self-hosted
• Open source
• OIDC-ondersteuning
• SAML-ondersteuning
• WebAuthn/Passkey (bijv. YubiKey)
• MFA-integratie
• Uitgebreide logging

Onderzoek naar mogelijke oplossingen

We hebben drie open-source IAM-platformen onderzocht: Authelia, Keycloak en Authentik.

Hieronder de belangrijkste bevindingen.

Authelia

Authelia is lichtgewicht en eenvoudig te deployen. Toch missen we cruciale functionaliteit. Authelia is hierdoor onvoldoende toekomstbestendig voor onze use-case.

Keycloak

Keycloak is een krachtige enterprise IAM-suite met uitgebreide mogelijkheden. Het biedt alles wat we nodig hebben, maar is voor ons een overkill. Hoewel Keycloak volwassen en betrouwbaar is, past de complexiteit niet bij de huidige behoefte.

Authentik

Authentik komt als beste match naar voren en voldoet aan alle eisen. De doorslaggevende voordelen:

• Uitstekende documentatie voor inrichting en applicatiekoppelingen (OIDC/SAML)
• Goed schaalbaar voor organisaties van onze grootte
• Bestaande interne kennis bij onze collega's
• Multi-tenant functionaliteit, handig voor de scheiding tussen CJ2 en NLhosting
• Moderne interface en actief ontwikkelde community

Auth­entik combineert technische functionaliteit met flexibiliteit en is daarmee de meest logische keuze.

Vervolgstappen: testfase en procedures

We hebben een testomgeving opgezet om Authentik in de praktijk te evalueren. Hierbij hebben we onder andere gelet op stabiliteit, integraties met bestaande applicaties en dagelijkse beheertaken. Daarnaast blijven reguliere logins op gekoppelde applicaties beschikbaar als fall-back voor calamiteiten. We hebben hiervoor een duidelijke back-door procedure uitgewerkt, zodat we altijd toegang houden, maar wel gecontroleerd en vastgelegd.

Conclusie

Uit ons onderzoek blijkt dat Authentik de beste balans biedt tussen functionaliteit, beheerbaarheid en toekomstvastheid. Het past bij de schaal van CJ2, sluit aan op onze security-eisen en past bij onze strategie om onafhankelijker en veiliger te opereren. De komende periode gebruiken we om Authentik uitgebreid te testen en verder in te richten als centraal IAM-platform voor CJ2.

Benieuwd hoe wij IAM veilig implementeren?

Neem contact op met ons team voor meer informatie over Identity & Access Management.

→ Neem contact op