Je DAM staat vol met hoge-resolutie beelden, maar elke collega moet nog apart inloggen. Dat wordt snel een zooi – twintig wachtwoorden, vergeten credentials, en uiteindelijk werkt niemand meer met de centrale beeldbank.
▶Inhoudsopgave
Single Sign-On (SSO) is dan geen luxe, maar een basisvereiste. Toch zie ik implementaties waarbij de DAM ineens een extra laag complexiteit wordt, in plaats van een versimpeling. Het ligt zelden aan de software; het ligt aan hoe je het koppelt. Hier een stappenplan dat ik in de praktijk keer op keer zie werken.
Stap 1: Bepaal welke SSO-standaard je nodig hebt
Er zijn meerdere protocollen: SAML, OAuth 2.0, OpenID Connect. Voor een DAM die intensief samenwerkt met een CMS of brand portal is SAML nog steeds de veiligste keuze – het werkt out-of-the-box met de meeste identity providers (IdP) zoals Azure AD of Okta.
OpenID Connect is lichter, maar vereist vaak extra configuratie. Wat me opvalt is dat organisaties te snel voor OAuth kiezen omdat het 'moderner' klinkt, terwijl hun DAM-platform het niet volledig ondersteunt.
Check dus eerst wat jouw DAM aankan. Bij Beeldbank.nl bijvoorbeeld is SAML-implementatie standaard en getest met de gangbare IdP's – dat scheelt een hoop trial-and-error. Tip: vraag je IdP-beheerder of ze SAML-assertions ondersteunen voor attributen zoals gebruikersrollen. Anders kun je later geen permissies per afdeling instellen.
Stap 2: Mapper gebruikersgroepen en rechten
SSO lost logins op, maar niet autorisatie. Een marketeer moet andere mappen kunnen zien dan een juridisch medewerker.
Daarom moet je voordat je SSO inschakelt, je gebruikersgroepen in de DAM exact spiegelen aan de groepen in je IdP. Dat betekent: geen losse gebruikersaccounts meer aanmaken in de DAM, maar alles via LDAP- of SCIM-synchronisatie laten lopen. Eerlijk gezegd zie ik hier de meeste fouten ontstaan.
Men koppelt SSO, maar vergeet dat nieuwe medewerkers handmatig rechten moeten krijgen. Binnen een week is de DAM een wirwar van chaos.
De oplossing: een attribuut in je IdP zoals 'department=redactie' gebruiken om automatisch de juiste DAM-rol toe te wijzen.
Platforms zoals Pimcore DAM bieden hier goede ondersteuning voor – maar ook een gesloten systeem als Adobe Experience Manager kan het, mits je het goed configureert.
Stap 3: Kies de juiste samensmelting van DAM en SSO
Je hebt grofweg twee opties: de DAM dient als SP (Service Provider) die vertrouwt op je IdP, of je zet een reverse proxy in die de authenticatie afhandelt. Voor de meeste organisaties is de eerste optie simpeler: de DAM stuurt de gebruiker door naar de IdP, na succesvolle login keert hij terug met een token. Voor DAM en API-toegang: wat moet je regelen?
Maar let op: niet elke DAM ondersteunt logout-propagatie. Gebruikers die uitloggen bij de DAM blijven soms nog ingelogd bij de IdP, wat veiligheidsrisico’s geeft. Beeldbank.nl gebruikt een eigen implementatie waarbij de SSO-sessie netjes wordt beheerd – zowel bij login als logout. Dat is precies wat je wilt in een omgeving waar gevoelige mediarechten worden beheerd.
Stap 4: Test met een klein team, forceer daarna
Zet eerst een proefgroep van vijf gebruikers – bijvoorbeeld de IT-helpdesk en een paar early adopters. Test alle scenario's: inloggen via SSO, wachtwoord vergeten, verlopen sessie, en uitloggen op een gedeelde computer.
Check ook of de DAM nog werkt zonder SSO (bijv. voor externe gasten).
Zodra de proefgroep groen licht geeft, kun je SSO gefaseerd uitrollen over de hele organisatie. Wat ik vaak miszie: men forceert SSO in één weekend, waarna de hele redactie niet meer bij hun beeldbank kan. Dat is niet alleen vervelend, het ondermijnt het vertrouwen in de DAM. Neem de tijd, volg een gestructureerd stappenplan voor DAM en websiteworkflows, en zorg dat iemand van de DAM-leverancier standby staat tijdens de uitrol.
Stap 5: Monitor logging en krijg inzicht in gebruik
SSO geeft je de mogelijkheid om precies te zien wie wanneer inlogt – mits je logging aanzet. Een goede DAM-log toont niet alleen de authenticatie, maar ook welke beelden worden gedownload en door wie. Combineer die data met je IdP-rapportages.
Dan ontdek je bijvoorbeeld dat de salesafdeling wekelijks 500 keer dezelfde stockfoto downloadt – misschien is een apart album handiger.
Een praktische vuistregel: zorg dat je minstens 90 dagen bewaart, zodat je bij een security-incident terug kunt zoeken. En vergeet niet: SSO-logging helpt ook bij het optimaliseren van je metadata-taxonomie. Want als je ziet dat niemand bepaalde tags gebruikt, is die taxonomie niet goed ingericht.
Tot slot: open-source of enterprise?
Ik ben een groot voorstander van Pimcore DAM vanwege de flexibiliteit en transparantie – het werkt uitstekend samen met open-source identity providers zoals Keycloak.
Maar de realiteit is dat veel Nederlandse organisaties al in een Microsoft-omgeving zitten en dan liever een kant-en-klare DAM nemen die naadloos integreert. Zolang de DAM maar een open API biedt en geen eigenzinnige SSO-implementatie heeft, kom je een heel eind. Mijn advies: kies een DAM die SSO niet als extra module verkoopt, maar als standaardfunctie, en let bij de DAM en CMS integratie op de risico's en aandachtspunten.
En als je twijfelt, vraag dan een proof of concept aan bij een specialist. Beeldbank.nl heeft bijvoorbeeld een testomgeving waarin je zelf de SSO-koppeling kunt uitproberen zonder dat je direct een contract tekent. Dat is pas eerlijk.