Enterprise
Single sign-on via SAML en OIDC
Breng Ciao onder de identiteitscontrols die je al draait — SAML of OIDC, optionele MFA, just-in-time provisioning en sessiebeleid afgedwongen waar het hoort: bij je IdP.
Ciao ondersteunt single sign-on via SAML en OIDC, met optionele MFA en rolgebaseerde toegangscontrole. In tegenstelling tot tools met wachtwoorden die een aparte identiteitssilo creëren, plaatst SSO Ciao achter je bestaande identity provider — nieuwe medewerkers krijgen toegang via je directory, sessie- en herauthenticatiebeleid volgt de regels van je IdP, en vertrekkende medewerkers verliezen toegang zodra je IdP hen deactiveert.
Gepubliceerd 2026-07-03 · Laatst bijgewerkt 2026-07-03
Waarom SSO meestal de eerste enterprise-eis is
Elke tool die zijn eigen wachtwoorden beheert, is een tool die je offboardingproces kan missen. Voor een platform waar een ingelogde gebruiker wijzigingen aan productiesoftware kan prompten, is dat risico scherper dan bij een dashboardproduct: een vergeten account is niet alleen een blootstellingsvraag maar ook een wijzigingsbeheervraag. Securityreviews doen er goed aan SSO bovenaan de eisenlijst te zetten.
SSO verplaatst authenticatie voor Ciao achter de identity provider die je al bestuurt. Toegangsreviews gebeuren op één plek, MFA-beleid wordt consistent afgedwongen, en het joiner-mover-leaver-proces dat je auditors al accepteren, breidt zich uit naar AI-assisted development zonder een aparte accountopslag om te verzoenen.
Er is ook een stiller voordeel voor de mensen die het werk doen: één wachtwoord minder, één loginritueel minder, en toegang die al op dag één klaarstaat omdat de directory — niet een ticketqueue — de bron van waarheid is. Controls die het veilige pad het handige pad maken, zijn de controls die mensen daadwerkelijk volgen, en SSO is het duidelijkste voorbeeld in de identiteitsstack.
Wat Ciao biedt
Onderstaande identiteitsmogelijkheden maken deel uit van het enterprise-platform, en elk is verifieerbaar tijdens onboarding of evaluatie:
- SAML en OIDC — SSO via beide grote protocollen, zodat Ciao werkt met de IdP die je vandaag draait in plaats van een specifieke leverancier te vereisen.
- Optionele MFA — MFA kan worden afgedwongen via het beleid van je IdP, met optionele MFA beschikbaar aan de kant van Ciao als onderdeel van de identiteitsinrichting.
- Rolgebaseerde toegangscontrole — SSO gaat samen met RBAC, zodat authenticatie beantwoordt wie je bent en rollen beantwoorden wat je mag doen — over workspaces en projecten heen.
- Just-in-time provisioning — Accounts kunnen worden aangemaakt bij de eerste succesvolle aanmelding via je IdP, zodat onboarding niet afhankelijk is van handmatige accountaanmaak.
- Geauditeerde admin-acties — Identiteits- en toegangswijzigingen zijn admin-acties, en admin-acties worden vastgelegd in de append-only audit trail.
Hoe de inrichting werkt
1. Kies het protocol
SAML of OIDC, gebaseerd op wat je IdP-team verkiest. Geen van beide is de 'mindere' optie — kies degene die je identiteitstooling het best beheert.
2. Maak de applicatie aan in je IdP
Registreer Ciao in je identity provider zoals je elke SSO-applicatie registreert, en wijs de gebruikers of groepen toe die toegang moeten krijgen.
3. Wissel configuratie uit
Metadata, endpoints en certificaten worden tijdens onboarding uitgewisseld tussen je IdP en Ciao, met het enterprise-team dat het samen met je identiteitsengineers doorloopt.
4. Test met een pilotgroep
Verifieer aanmelding, just-in-time accountaanmaak en roltoewijzing met een kleine groep voordat je toegang breder opent.
5. Rol uit en beoordeel
Breid toewijzing uit naar de volledige populatie, en bevestig daarna in de audit trail dat toegangsgebeurtenissen en admin-acties worden vastgelegd zoals je review verwacht.
Just-in-time provisioning en wat het niet oplost
Just-in-time provisioning maakt een Ciao-account aan de eerste keer dat een gebruiker zich via je IdP aanmeldt. Dat elimineert de handmatige stap bij onboarding en voorkomt dat vooraf aangemaakte accounts ongebruikt blijven staan. Wat JIT niet doet, is deprovisioning: een gebruiker die zich nooit meer aanmeldt, heeft nog steeds toegangsverwijdering nodig bij de IdP, en levenscyclusautomatisering wordt beter door SCIM afgehandeld. De meeste enterprise-deployments draaien SSO met JIT voor binnenkomst en SCIM voor de volledige levenscyclus — de SCIM-pagina behandelt die andere helft.
Test tijdens evaluatie het JIT-pad expliciet: wijs een testgebruiker toe in de IdP, meld je één keer aan, en bevestig dat het account arriveert met de rol die je mapping bedoelde. De test van vijf minuten vertelt je meer dan elk architectuurdiagram.
Sessiebeleid en MFA
Sessieduur, herauthenticatiefrequentie en step-up-regels horen bij de identity provider, waar je securityteam ze al afstemt, en SSO betekent dat Ciao-sessies het beleid volgen dat je IdP bij aanmelding afdwingt. MFA werkt op dezelfde manier: dwing het af in het IdP-beleid dat toegang tot Ciao bestuurt, met optionele MFA beschikbaar aan de platformkant. Het praktische resultaat voor reviewers is één beleidsoppervlak om te auditen in plaats van sessie-instellingen per tool die uiteenlopen.
Wanneer je beleid verandert — kortere sessies, strengere step-up-regels — verander je het één keer, bij de IdP, en toegang tot Ciao volgt zonder een parallelle instellingenaudit aan de platformkant.
Verificatienotities
Identiteitsclaims zijn goedkoop om te verifiëren: configureer een testverbinding tijdens de evaluatie en zie aanmelding, JIT-accountaanmaak en rolmapping gebeuren tegen je eigen IdP. Het security pack, op aanvraag beschikbaar via de contactpagina, documenteert de identiteitsarchitectuur schriftelijk, en SOC 2 Type II-rapporten onder NDA dekken de geauditeerde toegangsbeheercontrols erachter.
Mogelijkheden in één oogopslag
| Mogelijkheid | Mechanisme | Notities |
|---|---|---|
| Single sign-on | SAML of OIDC | Werkt met standaardconforme identity providers |
| Multi-factor authenticatie | IdP-beleid, plus optionele MFA op Ciao | Afdwingen waar je team MFA al bestuurt |
| Accountaanmaak | Just-in-time bij eerste aanmelding | Gaat samen met SCIM voor de volledige levenscyclus |
| Autorisatie | Rolgebaseerde toegangscontrole | Scoping per workspace en project |
| Bewijs | Append-only audit trail | Admin-acties vastgelegd voor review |
Veelgestelde vragen
Welke identity providers worden ondersteund?
Elke identity provider die SAML of OIDC implementeert — de IdP's die enterprises doorgaans draaien, zoals Okta, Microsoft Entra ID en Google Workspace, spreken allemaal deze protocollen. Configuratie wordt tijdens onboarding samen met je identiteitsteam doorlopen.
Kunnen we vereisen dat alle gebruikers alleen via SSO inloggen?
Het afdwingen van SSO als enige aanmeldpad is een identiteitsconfiguratievraag die tijdens onboarding wordt behandeld — leg het voor aan het enterprise-team en je inrichting wordt tegen de eis bevestigd in plaats van aangenomen.
Wat gebeurt er als een medewerker vertrekt?
Deactiveer ze bij de IdP en ze kunnen niet meer authenticeren bij Ciao. Met SCIM-provisioning ingeschakeld, verspreidt deactivering zich ook als levenscyclusgebeurtenis, en de omliggende admin-acties worden vastgelegd in de append-only audit trail.
Wat is het verschil tussen JIT en SCIM?
JIT maakt een account aan wanneer een gebruiker zich voor het eerst aanmeldt; het behandelt alleen binnenkomst. SCIM stuurt aanmaak-, update- en deactiveringsgebeurtenissen doorlopend vanuit je IdP, en dekt de hele levenscyclus. De meeste enterprise-uitrollen gebruiken beide samen.
Is SSO inbegrepen, of een add-on?
SSO via SAML en OIDC maakt deel uit van de enterprise-mogelijkheden van Ciao. Serieuze productieprogramma's beginnen bij USD 10.000 per jaar — bevestig de planomvang met sales zodat identiteitseisen vanaf het begin in de overeenkomst staan.