IAM Architect en Developer

ml. T168481

Technische Universiteit Eindhoven

Aanleiding en doelstelling van de opdracht

De TU/e is op zoek naar een IAM Architect en een IAM Developer. Inschrijver dient in één inschrijving een IAM Architect én Developer aan te bieden, wat gezien en beoordeeld wordt als één kandidaat.

De TU/e zal de huidige IAM-oplossing vervangen door een op Entra ID (Governance) gebaseerde oplossing. De implementatie moet worden uitgevoerd volgens de SURF-controles (Controles - Security Expertise Centrum - door SURF). De huidige IAM-implementatie moet uiterlijk op 1 december 2026 worden vervangen.

Identity en Access Management (IAM) is een beveiligings- en bedrijfsdiscipline die meerdere technologieën en bedrijfsprocessen omvat om de juiste mensen of machines toegang te geven tot de juiste middelen op het juiste moment voor de juiste redenen, terwijl ongeautoriseerde toegang en fraude worden voorkomen. Het team bestaat uit 4 personen. Het team werkt volgens de DevOps/Agile principes (Scrum).

Architect

Implementation steps;

Inbound provisioning steps:

1. Ontwerp twee XML-inkomende inrichtingsstromen voor studenten en werknemers met behulp van de Entra ID Provisioning API. Bepaal of een persoon lid is van beide inkomende XML-bestanden. Er zal hybride provisioning worden geïmplementeerd. De XML-bestanden bevatten de scenario's Join, Update en Leave. De xml-bestanden geven wijzigingen in AFAS (Medewerkers) en Osiris (Studenten) weer.

2. Ontwerp een derde Identiteitsstroom voor 'Derden'. Aanvragen (Aanmelden, Updaten en Verlaten) worden door TU/e-geautoriseerde personen gedaan via TopDesk-tickets. Implementeer een inkomende inrichtingsstroom met behulp van SharePoint-lijsten en Microsoft Forms. 

1. Ontwerp de benodigde kenmerken in de Provisioning API. 
2. Maak een Ontwerp voor een uniek Relatienummer iedere identiteit 
3. Maak een ontwerp voor het toewijzen van kenmerken aan bestaande Active Directorykenmerken.
4. Maak een ontwerp voor een uniek e-mailadres.
5. Maak een ontwerp voor wachtwoord of TAP-tokens voor nieuwe identiteiten.

3. Ontwerp een lokale provisionings agent als onderdeel van de inkomende inrichtingsstroom.

4. Ontwerp levenscyclusworkflows voor deelname-, update- en vertrekscenario's. Gebruik Hybrid Exchange Write-back.

5. Er is een migratieplan opgesteld voor de identiteiten die in het huidige IDM-systeem worden beheerd.

Outbound provisiong.

• Ontwerp uitgaande inrichting stroom voor lokale toepassingen (10-15).
• Ontwerp een ECMA-host om via PowerShell met een Service Bus te communiceren.

Entra ID Governance (Authorisation Management)

• Ontwerp automatisch toegewezen toegangspakketten. Configureer governance- en administratiestromen voor studenten en werknemers.
• Ontwerp Cloud Sync om groepsinrichting naar Active Directory te activeren. Voor native groepen van Entra ID en op Active Directory gebaseerde groepen (SOA).

General

• Ontwerp de oplossing met behulp van automatisering.
• Tijdens het werktuig moet kennis worden overgedragen aan leden van het IAM-team.
• Documentatie is een onderdeel van de implementatie.

Planning

To DO

1 Migration van user provisioning.

1. Employees
2. Students
3. Derden

2 Migration of outbound provisioning

3 Migration of Authorization management

Planning Phases:

Phase 1:Oktober 2025 - February 2026: Design, Build, Test and Migration of 1C and 3.

Phase 2:Oktober 2025 - May 2026: Design, Build, Test and Migration of 2.

Phase 3:Oktober 2025 - July 2026: Design, Build, Test and Migration of 1a.

Phase 4:Oktober 2025 - November 2026: Design, Build, Test and Migration 1b.

Developer

Implementation steps;

Inbound provisioning

1. Implementeer 2 XML-inkomende provisioningstromen voor studenten en medewerkers met behulp van de Entra ID Provisioning API. Bepaal of een persoon lid is van beide XML-inkomende bestanden. Hybride provisioning wordt geïmplementeerd. De XML-bestanden bevatten scenario's voor deelname, updates en uitdiensttreding. De XML-bestanden vertegenwoordigen wijzigingen in AFAS (medewerkers) en Osiris (studenten).
2. Creëer een derde identiteitsstroom voor 'Derden'. Aanvragen (Join, Update en Leave) worden afgehandeld door geautoriseerde TU/e-medewerkers via TopDesk-tickets. Implementeer een inkomende provisioning stroom met behulp van SharePoint-lijsten en Microsoft Forms. 
3. Configureer kenmerken in de Provisioning API.
   1. Maak een uniek relatienummer voor elke identiteit.
   2. Wijs kenmerken toe aan bestaande Active Directory-kenmerken.
   3. Genereer een uniek e-mailadres.
   4. Provision een wachtwoord of TAP-token voor nieuwe identiteiten.
4. Implementeer een on-premise provisioning-agent als onderdeel van de inkomende provisioningstroom. 
5. Implementeer een on-premise provisioning agent als onderdeel van de inkomende provisioning flow. Implementeer levenscyclusworkflows voor deelname-, update- en vertrekscenario's. Gebruik Hybrid Exchange Write-back.
6. Er is een migratieplan voor de identiteiten die in het huidige IDM-systeem worden beheerd.

Outbound provisiong.

• Implementeer uitgaande provisioning voor on-premises applicaties (10-15).
• Implementeer een ECMA-host om via PowerShell te communiceren met een Service Bus. 

Entra ID Governance (Authorisation Management)

• Maak automatisch toegewezen toegangspakketten. Configureer governance- en beheerstromen voor studenten en medewerkers.
• Implementeer Cloud Sync om groepsprovisioning naar Active Directory te activeren. Voor Entra IDnative groepen en Active Directory-gebaseerde groepen (SOA).

General

• Implementeer de oplossing met behulp van automatisering.
• Tijdens de implementatie moet kennis worden overgedragen aan leden van het IAM-team 
• Documentatie is een onderdeel van de implementatie.

Planning To DO

1. Migratie van gebruikersvoorzieningen
   1. Medewerkers
   2. Studenten
   3. Derden
2. Migration van outbound provisioning
3. Migration van Authorisatie management

Planning Phases:

Phase 1:Oktober 2025 - February 2026: Design, Build, Test and Migration of 1C and 3.

Phase 2:Oktober 2025 - May 2026: Design, Build, Test and Migration of 2.

Phase 3:Oktober 2025 - July 2026: Design, Build, Test and Migration of 1a.

Phase 4:Oktober 2025 - November 2026: Design, Build, Test and Migration 1b.

Functieprofiel en kernvaardigheden

Architect: Knock Out Criteria:

• HBO
• Ervaring met implementaties en ontwerp van Entra ID Governance, Inbound en Outbound provisioning. Bewijs van succesvolle implementatie van IGA-projecten.
• Referentieprojecten of casestudies.
• Ervaring en bewezen succesvolle implementaties en ontwerpen van IAM- en/of IGA-oplossingen in het Microsoft Domein.
• Architect- en ontwerpervaring in de IAM-gemeenschap gedurende 5 tot 10 jaar. 
• Vloeiend Nederlands en Engels spreken en schrijven.
• Je beschikt over een sterke technische kennis, waardoor je vanuit architectonisch oogpunt technisch en infrastructureel ontwerp tegenmaatregelen kunt nemen
• Communiceer duidelijk over complexe onderwerpen in krachtige en eenvoudige taal wanneer u belanghebbenden helpt;
• Je hebt organisatiegevoeligheid;
• Je bent een teamspeler, vertegenwoordigt het team en kunt zelfstandig werken.
• Vermogen om zelfstandig een technisch ontwerp te maken te begeleiden naar realisatie (conform norm en richtlijnen);
• Je kunt de opgeleverde oplossing documenteren en overdragen (overdracht exploitatie/beheer);
• Resultaatgericht.

Developer: Knock Out Criteria:

• HBO
• Ervaring met implementaties van Entra ID Governance, Inbound en Outbound provisioning.
• Aantoonbare succesvolle implementatie van IGA-projecten. Referentieprojecten of casestudies.
• Ervaring met en bewezen succesvolle implementatie van IAM en/of IGA-oplossingen in de Microsoft-omgeving. 5 jaar implementatie-ervaring in de IAM-community.
• Vloeiend Nederlands en Engels spreken en schrijven.
• Je hebt een sterke technische kennis, waardoor je technische en infrastructurele inzichten kunt weerleggen.
• Je communiceert helder over complexe onderwerpen in krachtige en eenvoudige taal bij het ondersteunen van stakeholders.
• Je hebt organisatiegevoeligheid.
• Je bent een teamspeler, je vertegenwoordigt het team en je kunt zelfstandig werken.
• Je kunt zelfstandig technisch ontwerp vertalen naar realisatie (conform standaarden en richtlijnen).
• Je kunt de opgeleverde oplossing documenteren en overdragen (overdracht van exploitatie/beheer).
• Resultaatgericht.

Let op: Om je sollicitatie correct te verwerken, verzoeken wij je vriendelijk om de screeningsvragen onder deze vacature te beantwoorden. Dit helpt ons om je profiel snel en zorgvuldig te beoordelen.

Voordelen voor detacheerders (uitzendovereenkomst) om via All About Work te werken

• Je sollicitatie wordt binnen 24 uur verwerkt en je krijgt een snelle terugkoppeling.
• All About Work hanteert geen relatie- of concurrentiebeding.
• Vanaf dag 1 opbouw pensioen via Stipp
• Keuze loon uitbetaling per week of per vier weken.
• CAO van de opdrachtgever is van toepassing.

• 1. HBO
  2. Ervaring met implementaties en ontwerp van Entra ID Governance, Inbound en Outbound provisioning. Bewijs van succesvolle implementatie van IGA-projecten.
  3. Referentieprojecten of casestudies.
  4. Ervaring en bewezen succesvolle implementaties en ontwerpen van IAM- en/of IGA-oplossingen in het Microsoft Domein.
  5. Architect- en ontwerpervaring in de IAM-gemeenschap gedurende 5 tot 10 jaar. 
  6. Vloeiend Nederlands en Engels spreken en schrijven.
  7. Je beschikt over een sterke technische kennis, waardoor je vanuit architectonisch oogpunt technisch en infrastructureel ontwerp tegenmaatregelen kunt nemen
  8. Aantoonbare succesvolle implementatie van IGA-projecten. Referentieprojecten of casestudies.
  9. Wat is je gewenste bruto fulltime maandsalaris voor deze functie?
  10. Voor deze vacature is het schrijven van een motivatiebrief verplicht, graag toevoegen.