Enterprise

SCIM-Provisionierung von deinem Identitätsanbieter

Neue Mitarbeitende, Wechsel und Austritte fließen automatisch von deinem IdP — keine manuelle Kontoverwaltung, kein verwaister Zugriff, der auf einen Audit-Befund wartet.

SCIM-Provisionierung verbindet Ciao mit deinem Identitätsanbieter, sodass Nutzerkonten automatisch erstellt, aktualisiert und deaktiviert werden, während sich dein Verzeichnis ändert. Anders als manuelle Kontoverwaltung entfernt SCIM den menschlichen Schritt, an dem Offboarding scheitert: Wenn ein Nutzer in deinem IdP deaktiviert wird, propagiert die Änderung zu Ciao, und die umgebenden administrativen Aktionen landen im unveränderlichen Audit-Protokoll, das deine Prüfer einsehen können.

Ideal fürIT- und IdentitätsteamsVerantwortliche für ZugriffsprüfungenSicherheitsprüfer, die Offboarding bewerten

Veröffentlicht 2026-07-03 · Zuletzt aktualisiert 2026-07-03

Verwaiste Konten sind Audit-Befunde, die nur auf ihre Zeit warten

Jede Zugriffsprüfung findet sie: Konten von Menschen, die die Rolle gewechselt haben oder vor Monaten gegangen sind, immer noch aktiv, weil die Deprovisionierung von einem Ticket abhing, das nie jemand eingereicht hat. In den meisten SaaS-Tools ist das ein Expositionsproblem. In einer Plattform, in der ein angemeldeter Nutzer Änderungen an Produktionssoftware anstoßen kann, ist es auch ein Änderungskontrollproblem — ein Konto, das niemandem gehört, mit der Fähigkeit, Änderungen an Systemen vorzuschlagen, auf denen dein Geschäft läuft.

SCIM existiert, um den manuellen Schritt zu entfernen. Dein Identitätsanbieter ist bereits die maßgebliche Quelle dafür, wer hier arbeitet und zu welcher Gruppe er gehört; SCIM macht Ciao zu einem Abonnenten dieser Wahrheit statt zu einer separaten Liste, die ein Administrator abgleichen muss.

Prüfer sind zur selben Ansicht gelangt: Zugriffsprüfungen, die von manuellem Abgleich abhängen, sammeln Befunde, und Lebenszyklus-Automatisierung ist die akzeptierte Lösung. Wenn deine Organisation bereits SCIM für ihre anderen wichtigen Systeme betreibt, ist die Erweiterung auf die Plattform, die Software baut und bereitstellt, der konsistente Schritt — und wenn Ciao deine erste SCIM-Integration wäre, sind die untenstehenden Rollout-Schritte bewusst konservativ.

Was SCIM-Provisionierung abdeckt

Die Abdeckung umfasst die Lebenszyklus-Ereignisse, die deine Zugriffsprüfungen tatsächlich testen:

  • Kontoerstellung — Nutzer, die in deinem IdP Ciao zugewiesen werden, bekommen automatisch Konten provisioniert — keine Anfrage-Warteschlange, keine manuelle Erstellung.
  • Attribut-Updates — Namens- und Profiländerungen fließen aus dem Verzeichnis, sodass der Kontodatensatz der Person folgt, ohne administrativen Eingriff.
  • Gruppen-zu-Rollen-Zuordnung — IdP-Gruppen können auf Ciao-Rollen abgebildet werden, sodass rollenbasierte Zugriffskontrolle durch die Verzeichnisstruktur gesteuert wird, die dein Team bereits regelt.
  • Deaktivierung — Wenn dein IdP einen Nutzer deaktiviert, wird sein Ciao-Zugriff als Teil des Lebenszyklus-Flusses entfernt — der Schritt, den manuelles Offboarding am häufigsten verpasst.
  • Ein Audit-Nachweis — Provisionierungsänderungen sind administrative Aktionen, und administrative Aktionen werden im unveränderlichen Audit-Protokoll neben Prompts, Merges und Deploys erfasst.

Wie ein Rollout funktioniert

  1. 1. Von SSO ausgehen

    SCIM setzt voraus, dass SSO via SAML oder OIDC vorhanden ist, sodass Authentifizierung und Provisionierung eine Identitätsquelle teilen.

  2. 2. Den IdP verbinden

    Konfiguriere die SCIM-Integration während des Onboardings in deinem Identitätsanbieter, wobei das Enterprise-Team gemeinsam mit deinen Identitätsingenieuren arbeitet.

  3. 3. Gruppen auf Rollen abbilden

    Entscheide, welche IdP-Gruppen welchen Ciao-Rollen und Projekt-Umfängen entsprechen, und protokolliere die Zuordnung — sie wird Teil deiner Zugriffskontroll-Dokumentation.

  4. 4. Mit einer Gruppe pilotieren

    Weise eine kleine Gruppe zu, und verifiziere dann, dass Erstellungs-, Update- und Deaktivierungsereignisse wie erwartet ankommen, bevor du erweiterst. Nimm mindestens eine Deaktivierung in das Pilotprojekt auf — es ist das Ereignis, das am meisten zählt und das Teams am häufigsten zu testen vergessen.

  5. 5. Im Audit-Protokoll verifizieren

    Bestätige, dass Provisionierungsereignisse als administrative Aktionen im unveränderlichen Protokoll erscheinen, sodass deine Zugriffsprüfungen Beweise statt Annahmen haben.

SCIM, SSO, RBAC und der Audit-Trail als ein System

Diese vier Kontrollen sind so konzipiert, dass sie zusammen geprüft werden. SSO beantwortet, wie sich Menschen authentifizieren; SCIM beantwortet, wie Konten entstehen und aufhören zu existieren; rollenbasierte Zugriffskontrolle beantwortet, was eine authentifizierte Person tun darf; und das unveränderliche Audit-Protokoll erfasst, was sie tatsächlich getan haben — Prompts, Merges, Deploys und administrative Aktionen. Ein Prüfer kann eine einzelne Person von der Verzeichnisgruppe über die Ciao-Rolle bis zu einer bestimmten protokollierten Aktion nachvollziehen, was die Nachvollziehbarkeits-Geschichte ist, nach der die meisten Zugriffskontroll-Frameworks tatsächlich fragen.

In der Praxis verändert die Kombination die Textur einer Zugriffsprüfung. Statt Administratoren zu befragen, was ihrer Meinung nach passiert ist, liest der Prüfer, was passiert ist: das Verzeichnisereignis, die resultierende Rolle, die darunter ausgeführten Aktionen. Prüfzeit verschiebt sich von Beweissammlung zu Urteilsvermögen, wo sie hingehört.

Lebenszyklus-Ereignisse und ihre Wirkung

Nutze das als Checkliste für dein Pilotprojekt: Führe jedes Ereignis mit einem Testnutzer aus und verifiziere die Wirkung.

Lebenszyklus-EreignisWas in Ciao passiertWo du es verifizierst
Nutzer im IdP zugewiesenKonto mit zugeordneter Rolle provisioniertAdministrative Aktionen im Audit-Protokoll
Attribute ändern sichKontodatensatz aus dem Verzeichnis aktualisiertKontodetails und Audit-Protokoll
Gruppenmitgliedschaft ändert sichZugeordnete Rolle und Umfang folgen dem VerzeichnisRBAC-Konfiguration und Audit-Protokoll
Nutzer im IdP deaktiviertCiao-Zugriff über den Lebenszyklus-Fluss entferntAudit-Protokoll und Zugriffsprüfung
Workspace-InhaltApps und Code bleiben im Besitz des WorkspaceCode-Export jederzeit verfügbar

Verifikationshinweise

Provisionierung ist eine Kontrolle, die dein Team testen sollte, nicht auf Vertrauen nehmen. Führe während der Evaluierung den Lebenszyklus end-to-end mit einem Testnutzer durch — zuweisen, aktualisieren, deaktivieren — und beobachte die Ergebnisse im Audit-Protokoll. Integrationsdetails für deinen IdP werden während des Onboardings behandelt, und das Security-Pack, auf Anfrage über die Kontaktseite verfügbar, dokumentiert die Identitätsarchitektur für Prüfer, die die Details schriftlich brauchen.

Wenn dein Rollout ungewöhnliche Einschränkungen hat — gemeinsame Konten, die eliminiert werden müssen, Auftragnehmer auf einem separaten IdP, gestaffelte Migrationen — schreib sie dem Enterprise-Team vor dem Pilotprojekt, damit die Konfiguration gegen deine Realität entworfen wird, statt sie danach anzupassen.

Häufig gestellte Fragen

Welche Identitätsanbieter können SCIM-Provisionierung steuern?

SCIM ist ein Standard, und die Identitätsanbieter, die Unternehmen typischerweise betreiben — Okta, Microsoft Entra ID und ähnliche — implementieren ihn. Bestätige deinen spezifischen IdP und die Konfiguration mit dem Enterprise-Team während des Onboardings.

Was passiert mit der Arbeit einer Person, wenn sie deprovisioniert wird?

Ihr Zugriff wird entfernt; die Arbeit verschwindet nicht. Anwendungen und Code gehören dem Workspace, mit 100 % Code-Eigentum und Export in dein eigenes Repo jederzeit verfügbar — das Offboarding einer Person lässt die Software nie im Stich.

Ersetzt SCIM Just-in-Time-Provisionierung?

Sie lösen unterschiedliche Hälften. JIT erstellt ein Konto bei der ersten Anmeldung; SCIM verwaltet den laufenden Lebenszyklus einschließlich Updates und Deaktivierung. Viele Rollouts nutzen JIT während des Pilotprojekts und SCIM für das vollständige Deployment.

Werden Provisionierungs- und Deprovisionierungsaktionen protokolliert?

Ja. Sie sind administrative Aktionen, erfasst im unveränderlichen Audit-Protokoll neben Prompts, Merges und Deploys — sodass Zugriffsprüfungen protokollierte Ereignisse statt Screenshots zitieren können.

Wie validieren wir SCIM, bevor wir es unternehmensweit ausrollen?

Pilotiere mit einer Testgruppe: zuweisen, Attribute ändern, Gruppen wechseln, deaktivieren, und verifiziere jedes Ereignis im Audit-Protokoll. Das Enterprise-Team unterstützt das Pilotprojekt, und das Security-Pack dokumentiert die geprüfte Identitätsarchitektur.

Verwandte Seiten

Hol dir das Security-Pack.

SCIM-Nutzerprovisionierung | Ciao