Ga naar hoofdinhoud
Stacklane

SSO + SCIM, de procurement-vragenlijst-oppervlakken, één keer gebouwd en vaak geaudit.

Twee oppervlakken, één budgetregel op elk enterprise-contract. SSO bewijst wie de gebruiker is; SCIM houdt de gebruikerslijst in sync met de identity provider van de koper. We bouwen beide tegen hetzelfde identity-model zodat een nieuwe IdP-integratie een config-change is, geen vier-weken-project.

Wat we bouwen

  • SAML 2.0 + OIDC onder één abstractie

    De identity-laag behandelt SAML en OIDC als transport-details, geen vertakkende codepaths. Nieuwe IdPs (Okta, Azure AD, Google Workspace, Auth0, Ping, JumpCloud) pluggen in via metadata XML of OIDC discovery; de applicatiecode eronder verandert niet.

  • SCIM 2.0-provisioning die partial syncs overleeft

    User- en group-sync via SCIM 2.0, idempotent op elke operatie. Deactivations landen real-time; group membership-changes propageren naar role-assignments. Partial syncs (één gebruiker faalt) rollen de hele batch niet terug.

  • Just-in-time provisioning voor de long tail

    Als SCIM geen optie is (kleinere klanten, providers zonder SCIM-support), maakt JIT-provisioning users op eerste SAML/OIDC-login aan. Attribute-mapping pikt department, role en entitlements uit de assertion.

  • Audit trails op elk identity-event

    Logins, role grants, group changes, SCIM-operations, allemaal weggeschreven naar de audit log met actor, target, before/after state en IP. Klanten kunnen hun eigen slice exporteren voor compliance reviews; het operator-dashboard surfacet anomalieën.

  • Tenant-niveau enforcement-policies

    Per-tenant enforcement: vereis SSO voor deze klant (geen password fallback), beperk tot specifieke IdP-domeinen, forceer SCIM-only user provisioning. De settings zijn tenant-scoped; de audit log bewijst dat ze aan stonden.

  • WorkOS of self-hosted, afhankelijk van het contract

    De meeste teams opleveren sneller met WorkOS als abstractielaag. Sommige enterprise-contracten verbieden third-party identity-routing, we bouwen dezelfde oppervlakken tegen passport-saml + een SCIM-library direct. De applicatiecode is sowieso identiek.

Waar dit past

  1. Je verliest B2B-deals op de procurement-checklist omdat het IT-team 'geen SCIM' of 'geen SAML' geflagd heeft.

  2. Je auth was in 2022 op Auth0 gebouwd en de klanten die om enterprise SSO vragen willen IdP-attributen die je niet kunt mappen.

  3. Je hebt SSO werkend voor twee klanten en een derde wil Azure AD-provisioning, en je hebt geen gegeneraliseerd pad.

Tech stack

  • TypeScript
  • SAML 2.0
  • OIDC
  • SCIM 2.0
  • WorkOS

Wil je dit voor je team?

30 minuten met een oprichter of ervaren ontwikkelaar. We bepalen wat je nodig hebt en zeggen je eerlijk of Stacklane past.

Plan een gesprek