Enterprise SSO
Single sign-on tussen Microsoft Entra en een Laravel-platform. Eén identiteit, rollen en rechten komen automatisch mee uit bestaande Entra-groepen.
Inloggen met de bestaande Microsoft-identiteit
Aparte wachtwoorden om te beheren
Toegang centraal beheerd in Entra
Rollen volgen de Entra-groepen bij elke login
De uitdaging
Medewerkers logden overal in met hun Microsoft-account, behalve in het Laravel-platform dat je voor ze bouwde. Daar was een apart wachtwoord nodig, met een eigen gebruikerslijst die de IT-afdeling handmatig moest bijhouden. Nieuwe collega's kregen te laat toegang, vertrekkers hielden te lang een account, en de rollen in het platform liepen uit de pas met de groepen die IT al in Entra beheerde. De vraag was om die dubbele administratie weg te halen en het platform mee te laten bewegen met de identiteit die elders al de bron van waarheid was.
Wat we bouwden
Je koppelt het platform via OpenID Connect aan Microsoft Entra. Gebruikers loggen in met één klik op de Microsoft-knop; een apart wachtwoord is er niet meer. Bij het inloggen leest het platform de Entra-groepen van de gebruiker uit en vertaalt die naar rollen en rechten in de applicatie. Komt iemand in een andere groep, dan verandert zijn rol bij de eerstvolgende login mee. De IT-afdeling beheert toegang op één plek in Entra en het platform volgt. Provisioning en deprovisioning gebeuren daarmee automatisch: wie geen toegang meer heeft in Entra, komt het platform niet meer in.
Onze aanpak
Entra-app en OIDC-flow
We registreerden een applicatie in Entra en zetten de OpenID Connect-flow op met de juiste scopes en redirect-URI's. Tokens worden server-side gevalideerd tegen de sleutels van Entra, zodat alleen geldige Microsoft-identiteiten binnenkomen.
Groepen vertalen naar rollen
Samen met IT brachten we de bestaande Entra-groepen in kaart en legden we vast welke groep welke rol in het platform geeft. Die mapping staat centraal, zodat een wijziging in het rollenbeleid niet door de code hoeft.
Rollen synchroniseren bij login
Bij elke login leest het platform de actuele groepen uit het token en stemt het de rollen van de gebruiker daarop af. Geen handmatige rechtentoekenning meer en geen rollen die achterlopen op de werkelijkheid.
Automatische provisioning
Een nieuwe medewerker die in de juiste Entra-groep zit kan direct inloggen zonder dat iemand vooraf een account aanmaakt. Verliest iemand zijn toegang in Entra, dan vervalt die toegang ook in het platform.
Veilig uitrollen
We testten de koppeling eerst op staging met testaccounts en een beperkte groep, voordat de oude wachtwoord-login uitging. Zo kon niemand buitengesloten raken tijdens de overgang.
We beheren toegang nu op één plek. Een nieuwe medewerker kan meteen aan de slag in het platform, en als iemand vertrekt vervalt de toegang vanzelf. Voor onze gebruikers is het simpelweg dezelfde Microsoft-knop die ze overal kennen.
Klaar voor een vergelijkbare impact?
Vertel waar je vastloopt. Je krijgt binnen 10 tot 14 weken een platform in productie dat klopt bij hoe jij werkt.
Volgende cases
Alle cases
Skyler Store
Integration-hub die Exact, Moneybird en Shopify samen synchroon houdt - geen dubbel werk, geen stille misfires.
Asset Management platform
Assets, contracten en kosten in één platform. Dashboards tonen direct wat aandacht nodig heeft.
Delmation
AI-middleware die WooCommerce en Exact Online slimmer laat samenwerken - medewerkers blijven in hun eigen tools.