Adcyma vs bygga eget
Du har en duktig utvecklare, en helg och en AI-kodassistent. Hur svårt kan identitetsstyrning egentligen vara? Vi är ärliga: du kommer förvånansvärt långt de första 48 timmarna. Det är de nästa 48 månaderna som tar dig.
Skippa byggandet - starta en gratis provperiodVi forstar lockelsen
Att bygga sitt eget IGA-verktyg har aldrig kant mer lockande. AI-kodassistenter kan scaffolda en fungerande app på några timmar. Du känner din miljö bättre än någon leverantör. Och du vill inte betala för funktioner du inte behöver.
Problemet är inte att bygga version 1. Det är allt efter: revisionsloggar som håller under granskning, kantfall som dyker upp klockan tre på natten, efterlevnadsevidens som tillfredsställer en riktig revisor, och att underhålla alltihop medan ditt team egentligen ska göra sina riktiga jobb.
Adcyma byggdes av personer som startade precis där du är - och insåg att identitetsstyrning är en produkt, inte ett helgprojekt.
Vecka 1 kommer känna fantastisk
Låt oss vara ärliga om vad som händer när en duktig utvecklare satter sig med Cursor, Claude eller Copilot och börjar bygga ett IGA-verktyg:
Dag 1-2: Det fungerar
Du har ett skript som laser användare från Entra ID, en grundläggande dashboard som visar vem som har vilken åtkomst, och kanske till och med lite automatiserad provisioneringslogik. AI-assistenten skrev 80% av Graph API-integrationen. Du känner dig bra.
Dag 3-5: Det är faktiskt bra
Du har lagt till rollmallar, lite grundläggande offboardingautomation och ett enkelt åtkomstgranskningsarbetsflöde där chefer kan godkänna eller återkalla åtkomst via e-post. Din demo för teamet får genuin entusiasm. Någon säger "varför skulle vi någonsin köpa ett verktyg når vi kan bygga det har?"
Vecka 2: De första sprickorna
Du upptäcker att Graph API har hastighetsbegränsning som dina bulkoperationer hela tiden träder på. Åtkomstgranskningsarbetsflödet går sönder när en chef är på semester och inte svarar. Ditt offboardingskript missade en delad brevladedelegering som inte fanns i det uppenbara API-andpunkten. Någon frågar "kan det generera en efterlevnadsrapport?" och du inser att det är ett helt annat projekt.
Vecka 3+: Det riktiga arbetet börjar
Och det är har historien blir mindre rolig.
De 90% du inte ser komma
De första 10% av ett IGA-verktyg - delen som laser data och automatiserar grundläggande arbetsflöden - är den lätta delen. Här är vad som finns under ytan:
Revisionsloggar som faktiskt håller
Inte bara loggning. Manipuleringssäkra, tidsstamplade register över varje åtgärd, varje ändring, varje godkännande - kopplade till specifika användare, med före- och eftertillstånd, exporterbara i format din revisor accepterar. SOC 2-revisorer accepterar inte "vi har loggar." De vill ha oändringsbar evidens som bevisar vem som godkände vad, när och varför. Att bygga detta ordentligt är en betydande insats som de flesta vibe-kodade projekt hoppar över tills revisionstid.
Kantfall i livscykelhantering
Vad händer när någon byter avdelning samma dag som de befordras? När en konsults slutdatum förlängs men ingen uppdaterar systemet? När två personer delar en rollbenaming men behöver olika åtkomst för att de är på olika affärsenheter? När en anställd går på föräldraledighet - återkallar du åtkomst eller pausar den? Varje kantfall är en potentiell säkerhetslucka eller ett trasigt arbetsflöde. Enterprise-IGA-leverantörer har katalogiserat hundratals av dessa under decennier. Du upptäcker dem en i taget, vanligtvis när något går fel.
Felhantering och återhämtning
Ditt provisioneringsskript misslyckades halvvägs på grund av ett tillfalligt API-fel. Användaren har nu halva sin åtkomst. Vad händer? Försöker systemet igen? Rullar tillbaka? Varnar någon? Lämnar användaren i ett trasigt tillstånd tills IT markor? Robust felhantering, retry-logik och tillståndshantering är oglamorösa men nödvändiga - och de tredubblar vanligtvis komplexiteten i all automationskod.
Styrning av åtkomstgranskningar
Inte bara "skicka ett mejl som frågar om åtkomst är ok." Strukturerade kampanjer med deadlines. Eskalering når chefer inte svarar. Delegering när en granskare är otillgänglig. Undantagsspårning. Evidens att varje användares åtkomst granskades, inte bara de vars chefer råkade svara. Revisorer bryr sig om 100% täckning, inte 70%.
Löpande underhåll
Microsoft ändrar API-andpunkter. Graph API-behörigheter andras mellan förhandsvisning och GA. Nya Entra ID-funktioner fasar ut gamla. Din egen kod behöver folja allt detta. Plus varje intern ändring - nya avdelningar, nya applikationer, nya efterlevnadskrav - kräver utvecklartid. Du har i princip förbundit dig till att underhålla en produkt på obegränsad tid.
Stöd för flera administratörer och RBAC
Ditt solobyggda verktyg fungerar utmärkt när en administratör använder det. Vad händer när tre personer behöver olika nivaer av åtkomst till själva verktyget? När du behöver en revisionslogg över vem som ändrade styrningskonfigurationen? Du bygger ett verktyg som behöver sin egen identitetsstyrning.
Vad "gratis" egentligen kostar
Det vanligaste argumentet för att bygga själv är kostnad. Låt oss göra den faktiska kalkylen.
Det "gratis" verktyget som byggdes på en helg kostar mer än produkten det skulle ersätta. Och det är innan du räknar in alternativkostnaden av en utvecklare som inte jobbar på er faktiska produkt.
| Bygga eget | Adcyma | |
|---|---|---|
| Initialt bygge | 2-4 veckor utvecklartid (~€5 000-€15 000 i lön) | 1-2 dagar att driftsatta |
| Göra det granskningsredo | 4-8 ytterligare veckor (~€10 000-€30 000) | Inbyggt |
| Ärligt underhåll | 15-25% av en utvecklares tid (~€10 000-€20 000/år) | Inkluderat i prenumerationen |
| Säkerhetsuppdateringar och API-ändringar | Löpande utvecklartid | Hanterat av Adcyma |
| Personberoende | 1 person (byggaren) | Leverantörshanterat |
| Efterlevnadsansvar | På ditt team | Delat med leverantören |
| Totalkostnad är 1 | €25 000-€65 000 (konservativt) | Brakdel av det |
| Årskostnad är 2+ | €10 000-€20 000+ | Förutsägbar prenumeration |
Revisorer bryr sig inte om hur smart din kod är
Det är den här delen som dodar de flesta vibe-kodade IGA-projekt. När din SOC 2- eller ISO 27001-revisor frågar efter evidens för identitetsstyrningskontroller vill de se:
Ett egenbyggt verktyg kan teoretiskt uppfylla alla dessa krav. I praktiken gör de flesta det inte, för att bygga efterlevnadsfunktioner är inte kul och gör inte demon snyggare. De skjuts upp, nedprioriteras och flaggas till slut som revisionsanmärkningar.
En revisor kommer också att ställa hårdare frågor om ett egenbyggt styrningsverktyg än en specialbyggd produkt: Vem validerar verktyget? Vem testar det? Hur ser ändringshanteringsprocessen ut? Var finns dokumentationen? Det är rimliga frågor, och svaren för ett vibe-kodat verktyg är oftast obekväma.
- Dokumenterade, repeterbara processer - inte "var utvecklare kör ett skript"
- Oändringsbar revisionslogg - inte applikationsloggar som administratören kan redigera
- Evidens på periodiska åtkomstgranskningar - inte "vi kollar når vi kommer ihåg"
- Uppgiftsseparering - personen som provisionerar åtkomst bör inte vara den enda som granskar den
- Ändringskontroll - styrningsverktygets ändringar bör sparas och godkännas, inte pushas via git commit -m "fixade grej"
Vi är ärliga - ibland bör du bygga
Det finns situationer där eget verktyg är rätt val:
Om inget av detta stämmer - om du är ett medelstort företag med 50-500 användare, ett litet IT-team och revisioner på väg - är att bygga eget nästan säkert fel val.
- Hogspecialiserat arbetsflöde som ingen produkt täcker. Om din identitetslivscykel involverar genuint unik affärslogik som inte kan konfigureras i någon produkt är ett eget integrationslager logiskt.
- Du har ett dedikerat plattformsteam. Om du redan har ingenjörer som underhåller interna verktyg och detta naturligt passar in i deras portfolio är underhållsbördan fördelad.
- Du bygger något annat. Om identitetshantering är en funktion i en större intern plattform du redan bygger kan det vara effektivare att lägga till det internt än att integrera ett tredjepartsverktyg.
- Du är under 30 användare med noll efterlevnadskrav. I den skalan kan ett väldokumenterat skript genuint vara tillräckligt. Men var ärlig med om det är där du stannar.
Bygga vs köpa - hela bilden
| Vibe-kodad IGA | Adcyma | |
|---|---|---|
| Tid till "det fungerar" | 1-2 veckor | 1-2 dagar |
| Tid till "granskningsredo" | 2-4 månader (om någonsin) | Dag 1 |
| Revisionslogg | Vad du byggt (om du byggt det) | Inbyggd, oändringsbar |
| Åtkomstgranskningar | Grundläggande (mejlbaserade, manuell spårning) | Strukturerade kampanjer med deadlines och eskalering |
| Efterlevnadsrapporter | Bygg själv (per ramverk, per granskning) | Fardiga för SOC 2, ISO 27001, NIS2 |
| Kantfallshantering | Upptäcks i produktion, en i taget | Katalogiserade och hanterade |
| Felhantering och återhämtning | Så bra som utvecklarens framförhållning | Inbyggd retry, rollback, varningar |
| Personberoende | 1 person | Leverantörshanterat |
| Microsoft API-ändringsspårning | Ditt ansvar | Adcymas ansvar |
| Entra ID-stöd | Ja (du byggde det) | Ja |
| Active Directory-stöd | Om du byggde det | Ja |
| Rollmining | Om du byggde det | Ja |
| AI-drivna rekommendationer | Om du byggde det (och det är träffsäkert) | På roadmappen |
| RBAC för flera administratörer | Om du byggde det | Inbyggt |
| Leverantörsansvar | Du är leverantören | Delat ansvar |
Frågor från team som överväger att bygga eget
Var utvecklare har redan byggt en prototyp och den ser bra ut. Varför byta?
- Prototypen är den lätta delen. Fråga din utvecklare hur lång tid det tar att göra den granskningsredo - med oändringsbar loggning, strukturerade åtkomstgranskningar, efterlevnadsrapportering, full felhantering och stöd för flera administratörer. Om svaret är "några veckor till" underskattar de. Om svaret är "några månader till" är det ärligt - och det är den verkliga kostnaden du bör jämföra.
AI-kodverktyg blir allt bättre. Kommer inte det här bli lättare?
- AI-assistenter är bra på att generera kod. De är inte bra på att första dina efterlevnadskrav, förutse kantfall i din specifika miljö eller underhålla en kodbas når Microsoft ändrar sina API:er. Den svara delen av att bygga ett IGA-verktyg har aldrig varit koden - det är styrningsmodellen, revisionsloggsdesignen och det löpande underhållsåtagandeT.
Vi litar inte på leverantörer med var identitetsdata.
- Först och ärligt. Adcyma ansluter till din Entra ID-tenant och Active Directory med delegerade behörigheter. Din identitetsdata stannar i Microsofts moln - vi replikerar inte din katalog eller lagrar autentiseringsuppgifter. Säkerhetsmodellen är designad för precis den här oron.
Vi använder redan Terraform/Pulumi för infrastruktur. Kan vi inte bara lägga till identitetsstyrning?
- Infrastructure-as-code-verktyg är utmärkta för att provisionera molnresurser. Identitetsstyrning är ett annat problem - det involverar mänskliga arbetsflöden (åtkomstgranskningar), temporal logik (livscykelhindelser), efterlevnadsevidens och revisionsloggar. Dessa mappar inte rent till infrastrukturmonster. Att försöka tvinga in dem skapar vanligtvis något som är svårt att underhålla och inte tillfredsställer revisorer.
Hur är det med IGA-verktyg med öppen källkod?
- Det finns några alternativ med öppen källkod (MidPoint är det mest anmärkningsvärda). De är riktiga produkter med riktiga funktioner. De är också komplexa att driftsatta och underhålla - krävs ofta liknande insats som enterpriseplattformar. Om du utvärderar öppen källkod, utvärdera det som en "billigare enterpriseplattform" snarare än ett "gratisverktyg", för implementerings- och underhållskostnaderna är verkliga.
Ärligt talat vill jag bara bygga något. Det later kul.
- Respekt för det. Att bygga verktyg är genuint kul, särskilt med AI-assistenter. Övervag att bygga de anpassade integrationerna som sitter bredvid Adcyma - ansluta ditt specifika HR-system, bygga anpassade varningar, skapa interna dashboards. Bygg de unika delarna. Köp styrningsgrunden.
Frågor från team som överväger att bygga eget
Prototypen är den lätta delen. Fråga din utvecklare hur lång tid det tar att göra den granskningsredo - med oändringsbar loggning, strukturerade åtkomstgranskningar, efterlevnadsrapportering, full felhantering och stöd för flera administratörer. Om svaret är "några veckor till" underskattar de. Om svaret är "några månader till" är det ärligt - och det är den verkliga kostnaden du bör jämföra.
AI-assistenter är bra på att generera kod. De är inte bra på att första dina efterlevnadskrav, förutse kantfall i din specifika miljö eller underhålla en kodbas når Microsoft ändrar sina API:er. Den svara delen av att bygga ett IGA-verktyg har aldrig varit koden - det är styrningsmodellen, revisionsloggsdesignen och det löpande underhållsåtagandeT.
Först och ärligt. Adcyma ansluter till din Entra ID-tenant och Active Directory med delegerade behörigheter. Din identitetsdata stannar i Microsofts moln - vi replikerar inte din katalog eller lagrar autentiseringsuppgifter. Säkerhetsmodellen är designad för precis den här oron.
Infrastructure-as-code-verktyg är utmärkta för att provisionera molnresurser. Identitetsstyrning är ett annat problem - det involverar mänskliga arbetsflöden (åtkomstgranskningar), temporal logik (livscykelhindelser), efterlevnadsevidens och revisionsloggar. Dessa mappar inte rent till infrastrukturmonster. Att försöka tvinga in dem skapar vanligtvis något som är svårt att underhålla och inte tillfredsställer revisorer.
Det finns några alternativ med öppen källkod (MidPoint är det mest anmärkningsvärda). De är riktiga produkter med riktiga funktioner. De är också komplexa att driftsatta och underhålla - krävs ofta liknande insats som enterpriseplattformar. Om du utvärderar öppen källkod, utvärdera det som en "billigare enterpriseplattform" snarare än ett "gratisverktyg", för implementerings- och underhållskostnaderna är verkliga.
Respekt för det. Att bygga verktyg är genuint kul, särskilt med AI-assistenter. Övervag att bygga de anpassade integrationerna som sitter bredvid Adcyma - ansluta ditt specifika HR-system, bygga anpassade varningar, skapa interna dashboards. Bygg de unika delarna. Köp styrningsgrunden.
Skippa byggandet. Börja styra.
Gratis för upp till 25 användare. Inget kreditkort. Inga konsulter. Inga månaders utveckling. Anslut din Entra ID-tenant eller Active Directory och se hur styrning ser ut när det är byggt rätt.