Wat is ABAC in Microsoft Entra ID?

ABAC (Attribute-Based Access Control) is een model waarbij toegang wordt bepaald door attributen van de gebruiker, niet door vooraf toegewezen rollen. Wie je bent, waar je werkt, welke functie je hebt. De toegang volgt die attributen automatisch.

TL;DR

• ABAC = toegang op basis van attributen zoals functie, afdeling, locatie
• In Entra ID gebruik je ABAC met dynamic groups, custom claims en conditional access
• Verschil met RBAC: RBAC wijst rollen handmatig toe, ABAC leidt ze af uit de user
• Meer onderhoudbaar bij veel gebruikers, veel rolwisselingen, veel locaties
• Je bestaande Entra-groepen blijven werken, ABAC voegt de automatische laag toe

Het probleem

Stel je hebt 500 medewerkers. Elke maand stromen er 15 in, gaan er 10 uit, wisselen er 25 van rol. Zonder automatisering betekent dat: elke week iemand die handmatig groepen moet aanpassen. 20 tickets per week. Een week later merkt iemand dat ze ergens nog bij kunnen waar ze allang niet meer hoorden.

Dat is RBAC zonder proces eromheen.

Hoe ABAC werkt

In plaats van elke gebruiker handmatig in een groep te zetten, definieer je een regel: "iedereen met job title = Developer en department = Platform Engineering zit in de PlatformDevs-groep." Entra ID pakt die regel op, kijkt welke users matchen, en zet ze in de groep. Wijzigt iemands job title, dan past de groep zich vanzelf aan.

Entra ID implementeert ABAC via drie mechanismen:

• Dynamic groups met membership rules (user.jobTitle -eq "Developer")
• Custom claims voor applicatie-specifieke logica
• Conditional access voor runtime-beslissingen zoals "alleen toegang als het apparaat compliant is en de locatie Nederland is"

ABAC vs RBAC

Aspect	RBAC	ABAC
Wie krijgt toegang	Rol-toewijzing	Attribuut-match
Onderhoud bij nieuwe hire	Handmatig	Automatisch
Flexibiliteit	Laag	Hoog
Leercurve	Laag	Hoger
Werkt voor 10 gebruikers	Prima	Overkill
Werkt voor 500 gebruikers	Lastig	Perfect

RBAC is niet verkeerd. Voor een team van 20 man met vaste rollen werkt RBAC prima. ABAC wint zodra je hoeveelheid en verloop toeneemt.

Wanneer kies je ABAC

Kies ABAC als je tenminste een van deze herkent:

• Je verwerkt meer dan 10 onboardings per maand
• Je hebt meer dan 3 locaties of afdelingen met eigen rechten
• Je kent het probleem "iemand heeft nog toegang terwijl ze van rol wisselden"
• Je wilt compliance-audits in minuten doen in plaats van dagen

Pitfalls

1. Attribute quality. ABAC werkt alleen zo goed als je HR-data. Inconsistente job titles (Developer vs Dev vs Software Engineer) breken je regels. Begin met een Data Cleaner-stap voor je ABAC-regels uitrolt.
2. Regels die elkaar tegenspreken. Twee dynamic groups die dezelfde user op verschillende manieren raken. Test eerst op een kleine testgroep.
3. Performance. Dynamic groups met complexe rules worden traag bij veel users. Splits in kleinere regels.

FAQ

Kan ABAC naast mijn bestaande Entra-groepen? Ja. ABAC is geen vervanging, het is een automatiseringslaag bovenop. Handmatige groepen blijven werken.

Werkt ABAC ook voor on-prem AD? Via Entra Connect kun je attributen syncen van AD naar Entra ID en ABAC-regels op Entra toepassen. De access rolt dan via Connect terug naar AD.

Hoeveel ABAC-regels kan ik maken? Praktische limiet bij Entra ID is ongeveer 15.000 dynamic groups per tenant. Ruim voldoende voor de meeste organisaties.

Klaar om regels te schrijven? In ABAC in Entra ID staan de concrete membership rules en de valkuilen die je vooraf wilt kennen.

Volgende stap

Wil je ABAC-regels uitrollen zonder handmatig memberships uit te tekenen? ServiceChanger bouwt en onderhoudt je ABAC-model op Entra ID. Plan een demo of lees de ABAC-documentatie.