Toegangscontrole los van uw identity-bron werkt zelden lang. Cardholders worden handmatig aangemaakt, vertrekkers blijven dagen of weken in het systeem, en de autorisatiematrix wordt een schaduw-versie van uw HR- en IT-administratie. Door uw toegangscontrole te koppelen aan Active Directory of Microsoft Entra ID maakt u identity de master en toegangscontrole de volger. Een freelance specialist regelt deze koppeling zo dat fouten in HR niet propaganderen naar fysieke toegang, maar de juiste signalen wel automatisch doorwerken.
Wat doet een specialist voor deze koppeling?
De rol omvat keuze van het juiste integratie-patroon. Voor on-prem Active Directory met klassieke AEOS, Lenel OnGuard of Genetec Synergis werkt het meestal via LDAP-verbinding plus geplande synchronisatie-taken. Voor moderne cloud-eerst-stacks met Entra ID werkt het via SCIM-provisioning (System for Cross-domain Identity Management) of via een tussenliggende identity governance platform zoals Saviynt, SailPoint, of HelloID.
Een goede koppeling propageert de juiste velden: voornaam, achternaam, e-mailadres, employee-ID, kostenplaats, organisatie-eenheid, functietitel, en de groep-of-rollen-toewijzing die bepalen welke fysieke toegang iemand krijgt. De specialist ontwerpt de mapping tussen AD- of Entra-groepen en toegangscontrole-rollen zo dat een wijziging in functietitel automatisch leidt tot de juiste fysieke toegangsrechten.
Voor uittredingen is het kritieke moment. Een vertrekker moet binnen minuten zijn fysieke toegang verliezen, niet bij de volgende batch-synchronisatie van de dag erna. Voor moderne uitrollen ontwerpen we een event-gebaseerde flow waarbij een AD-account-deactivering direct via een trigger doorvalt naar AEOS, Lenel of het andere toegangscontroleplatform.
Wanneer past deze koppeling?
Voor elke organisatie boven ongeveer 50 cardholders is automatische koppeling kosten-effectief. Handmatig user-management in toegangscontrole groeit superlinear in beheer-tijd; automatisering reduceert dat naar minuten per week.
Specifiek bij organisaties die overstappen van Active Directory naar Entra ID (cloud-first transformatie) is dit een natuurlijk moment om de toegangscontrole-koppeling te moderniseren. AEOS, Lenel, Genetec en de meeste enterprise-platforms hebben SCIM-koppeling beschikbaar; voor mid-market platforms is dat in de afgelopen jaren ook standaard geworden.
Bij audit-vragen rond uittredings-discipline is automatische koppeling vrijwel altijd een aanbeveling. Een audit-bevinding dat ex-medewerkers nog fysieke toegang hadden, is een ernstige bevinding voor zowel security als HR; identity-koppeling neemt de oorzaak weg.
Onze aanpak
De eerste fase is identity-bron-vaststelling. Welke is uw single source of truth: HR-systeem (AFAS, SAP, Workday, Visma|Raet) dat naar AD/Entra ID feedt, of AD/Entra ID zelf? In de meeste organisaties is HR de bron, AD de spiegel, en toegangscontrole de volger op AD-state. Voor cloud-first organisaties is Entra ID vaak direct gekoppeld aan HR via SCIM.
De koppelings-architectuur ontwerpen we afhankelijk van uw stack. Voor LDAP-koppeling: scheduled sync via de native LDAP-connector van het toegangscontroleplatform, met juiste filters (alleen actieve users in de juiste OUs). Voor SCIM-koppeling: van Entra ID via SCIM-app naar het toegangscontroleplatform, met expliciete attribuut-mapping en provision/de-provision-regels.
Voor real-time uittredings-events configureren we Entra ID-webhooks of een tussenliggende identity governance-laag (HelloID, Saviynt, SailPoint, Microsoft Entra Identity Governance) die wijzigingen onmiddellijk doorzet. Voor klassiek AD gebruiken we een PowerShell-script of een Logic App die op AD-events triggert.
De autorisatie-mapping ontwerpen we via groepen. AD-groep 'Marketing Amsterdam' mapt naar toegangscontrole-rol 'Toegang kantoor Amsterdam + creatieve zones'. Wijziging van iemand naar 'Marketing Rotterdam' triggert automatische aanpassing van fysieke toegang. Dit voorkomt handmatige rol-toewijzing per individu.
Na inrichting volgt een audit-pass: we vergelijken de cardholders in toegangscontrole tegen actieve AD-accounts en signaleren mismatches. Een initiele opschoning levert vaak tientallen tot honderden stale cardholders op die anders onopgemerkt waren gebleven.
Valkuilen in de praktijk
Niet alle AD- of Entra-accounts mogen fysieke toegang krijgen. Service-accounts, externe consultants met IT-toegang, partner-accounts moeten worden gefilterd. Een naive sync zonder filters geeft duizenden onnodige cardholders.
Field-mapping vergeten. Velden in AD heten anders dan in het toegangscontroleplatform; zonder expliciete mapping krijgen cardholders ontbrekende of foute velden. Dit komt vaak pas naar boven bij audit.
Onvoldoende foutafhandeling. Synchronisatie-fouten (bijvoorbeeld een corrupte user of een afwijkend e-mailadres-formaat) moeten worden gelogd en geescaleerd. Stille fouten leiden tot drift tussen identity en toegang.
Te ruime AD-groep-mapping. Een groep 'AllStaff' mappen naar toegangsrol 'AllZones' geeft iedereen alle toegang. Goede ontwerpen werken met fijnmazige groepen en least-privilege als uitgangspunt.
Wat onderscheidt een goede specialist?
Praktijk in zowel klassieke LDAP-koppelingen als moderne SCIM-flows. Single-pattern specialisten missen de keuze-vrijheid voor verschillende stacks.
Identity governance ervaring. Voor enterprise-organisaties is de koppeling tussen identity, IAM en fysieke toegang een eigen specialisme met platforms als HelloID, Saviynt of SailPoint.
Audit-bewustzijn. Een goede specialist denkt vooruit aan de audit-vragen die over een jaar zullen worden gesteld en ontwerpt logging en rapportage zodat antwoord direct beschikbaar is.
Hoe wij u koppelen
Stuur ons uw identity-bron (AD on-prem, Entra ID, hybrid), uw toegangscontroleplatform en omvang. Wij reageren binnen één werkdag en dragen één freelance specialist voor. Voor brede identity-governance-vraagstukken zie ook freelance IAM consultant. Plan via het formulier hieronder.
Verwant: Interim specialist fysieke beveiliging, PIAM Physical Identity Access Management