Meerdere wachtwoorden onthouden, nieuwe medewerkers handmatig toegang geven en ervoor zorgen dat alle rechten ingetrokken worden als iemand vertrekt: allemaal taken die we bij Gomibo in meerdere systemen hadden verwerkt. Onze oude manier van identity management was simpelweg niet schaalbaar. Nu ons bedrijf overstapt van een monolithisch systeem naar een service georiënteerde architectuur (SOA), groeit de noodzaak voor een betrouwbare, centrale Identity & Access Management (IAM) oplossing.

Mijn naam is Jarno Jellesma en ik ben software engineer bij Gomibo. De afgelopen zes maanden heb ik het IAM-project geleid om ervoor te zorgen dat onze authenticatie- en autorisatie schaalbaar en veilig is voor al onze nieuwe services.

Dit project was een uitdagende en leerzame ervaring, waarbij ik veel verantwoordelijkheden kreeg. Denk aan het ontwerpen van de architectuur, het maken van technische keuzes en nauw samenwerken met verschillende teams. Daarnaast gaf het me de kans om diep in IAM te duiken, mijn expertise te verbreden en bij te dragen aan een stevig fundament voor ons groeiende platform.

Waarom deze verandering nodig was

In het oude systeem waren authenticatie en autorisatie verspreid over verschillende applicaties, waardoor medewerkers meerdere inloggegevens moesten beheren. Het handmatig beheren van toegang is niet alleen tijdrovend, maar ook foutgevoelig. Het was duidelijk dat we toe waren aan een betere oplossing.

Het handmatig beheren van toegang is niet alleen tijdrovend, maar ook foutgevoelig. Het was duidelijk dat we toe waren aan een betere oplossing.

Om deze uitdagingen aan te pakken, werken we aan een nieuw systeem dat:

• Authenticatie en autorisatie centraliseert binnen onze nieuwe service-georiënteerde architectuur.
• Onboarding en offboarding automatiseert door toegang te koppelen aan HR-data.
• Single Sign-On (SSO) mogelijk maakt, waardoor collega’s toegang hebben tot alle applicaties met één account.

Integratie in fasen

Terwijl we access control moderniseren, ondergaat Gomibo een bredere transitie naar een service georiënteerde architectuur. In plaats van een grote migratie in één keer, kozen we bewust voor een gefaseerde aanpak.

De eerste stap was de integratie van IAM/SSO met ons nieuw ontwikkelde systeem dat onze monolithische infrastructuur geleidelijk zal vervangen. Deze beslissing was noodzakelijk: het nieuwe systeem had vanaf de start een schaalbare en gestandaardiseerde aanpak nodig voor authenticatie en autorisatie. Door onze oplossing op dit fundamentele niveau in te bouwen, zorgen we ervoor dat toekomstige services vanaf dag één veilig en centraal beheerd zijn.

Zodra het nieuwe systeem volledig geïntegreerd is, breiden we SSO uit naar onze bestaande applicaties, inclusief software van externe partijen. Dankzij deze stapsgewijze aanpak behouden we de continuïteit van onze operaties en verbeteren we tegelijkertijd de veiligheid en gebruikerservaring.

Een verbeterde ervaring

Zoals bij elke grote transformatie draait het bij het implementeren van een nieuwe oplossing niet alleen om technologie, maar vooral om het creëren van de juiste gebruikerservaring voor iedereen binnen het bedrijf.

Om authenticatie voor al onze applicaties centraal te beheren, hebben we gekozen voor Okta als identity provider. Okta is een cloudgebaseerd identiteits- en toegangsbeheerplatform waarmee organisaties gebruikers kunnen authenticeren en autoriseren voor applicaties. Het biedt functies zoals Single Sign-On (SSO), Multi-Factor Authentication (MFA) en gebruikersbeheer.

We wilden dat medewerkers één keer inloggen en daarna overal toegang tot hebben zonder opnieuw in te loggen. We hebben gekozen om hiervoor de protocollen OAuth2 met OpenID Connect te gebruiken voor authenticatie, om te zorgen voor een veilige, uniforme inlogervaring voor al onze applicaties. Voor autorisatie hebben we gekozen voor Role-Based Access Control (RBAC), gebaseerd op data uit het HR-systeem. Zo worden rechten automatisch toegewezen op basis van functies, in plaats van handmatig per gebruiker. De architectuur ziet er als volgt uit:

Een van de verbeteringen is dat we geen gebruikersaccounts meer handmatig hoeven te beheren. In plaats van te vertrouwen op handmatige procedures of scripts, hebben we het SCIM (System for Cross-domain Identity Management) protocol geïntegreerd; een industriestandaard om automatisch gebruikers en groepsinformatie tussen identiteitsproviders en applicaties te synchroniseren. Wanneer een nieuwe collega start, wordt de juiste toegang automatisch toegekend. Als iemand vertrekt, wordt de toegang direct ingetrokken.

Om dit efficiënt te laten werken over alle services heen, hebben we een eigen service gebouwd die het SCIM-protocol implementeert en updates publiceert naar een centrale eventbus. Zo blijven alle verbonden services automatisch up-to-date, zonder directe koppeling met Okta:

Een andere manier van denken

De implementatie van het nieuwe systeem bracht de nodige uitdagingen met zich mee. De overstap van een monolithisch systeem naar een gedistribueerde architectuur vereist nieuwe manieren van denken en andere manieren van problemen oplossen.

Een belangrijke vereiste was het beheersen van verschillende identity-protocollen. OAuth2, OpenID Connect en SCIM mogen dan wel industriestandaarden zijn, het toepassen ervan in een dynamische, servicegerichte omgeving vereist écht diepgaande kennis. 

Werken met een gedistribueerd systeem betekent ook een mentale omschakeling. In tegenstelling tot een monoliet, waar alles in één codebase leeft, moeten services nu veilig met elkaar communiceren.

Tot slot leerden we het belang van een iteratieve aanpak. In plaats van te streven naar perfectie vanaf dag één, kozen we voor een MVP-aanpak: fasegewijs uitrollen, feedback verzamelen en continu verbeteren. Dat versnelt niet alleen de adoptie, maar helpt ook om het systeem stapsgewijs beter te maken.

Vervolg

Bij Gomibo lossen we niet zomaar problemen op met code; we ontwerpen slimme systemen die met ons meebewegen, hoe hard we ook groeien. De implementatie van IAM/SSO is daar een perfect voorbeeld van. Het vervangen van een versnipperde, verouderde aanpak door een moderne, veilige en gebruiksvriendelijke oplossing.

Dit is slechts één van de vele verbeteringen die we doorvoeren in onze transitie naar een service georiënteerde architectuur. Er liggen nog genoeg interessante uitdagingen in het verschiet. Voor iedereen die energie krijgt van technische puzzels, eigenaarschap durft te nemen, graag werkt met moderne technologieën en mee wil bouwen aan de toekomst van ons platform: bij Gomibo zit je goed.

Ben jij op zoek naar een dynamisch team waar jouw ideeën en expertise echt het verschil maken? Dan horen we graag van je. Wie weet tackelen we samen wel het volgende grote project!