SCIM2-Provisionierung

Benutzer automatisch provisionieren und IdP-Gruppen auf Rollen abbilden

Ihr Identity Provider entscheidet bereits, wer hinzukommt, wechselt und ausscheidet — das DPMS bildet jede Änderung über SCIM2 ab, sodass der Zugriff der Autorisierung entspricht, ohne manuelles Onboarding-Ticket und ohne zurückbleibendes verwaistes Konto.
Für
CISO
ISO
SCIM2 (RFC 7644)
ISO 27001:2022 Annex A 5.16
SOC 2 CC6.3
Demo buchen Mit einem Priverion-Experten sprechen
Die Herausforderung

Zugriffsrechte driften, sobald die Übergabe manuell wird

In einer grossen Organisation werden Zugriffe an einer Stelle gewährt und an einer anderen genutzt. HR oder Ihr Verzeichnis legt Personen an und entfernt sie; die Anwendung muss Schritt halten. Wird diese Übergabe manuell erledigt, gerät die Deprovisionierung ins Hintertreffen — ein Ausgeschiedener behält ein aktives Konto, ein Wechsler behält die Rechte aus seiner letzten Rolle, und das Least-Privilege-Prinzip erodiert unbemerkt.

Im Audit ist diese Lücke am schwersten zu verteidigen. Ein Prüfer, der ISO 27001:2022 Annex A 5.18 oder SOC 2 CC6.3 testet, verlangt von Ihnen, kürzlich Ausgeschiedene mit aktiven Konten abzugleichen. Sind Ihr Verzeichnis und Ihre Anwendung auseinandergedriftet, können Sie nicht belegen, dass der Zugriff entzogen wurde, als er hätte entzogen werden müssen.

Eine Tabelle mit «wer hat was» ist an dem Tag veraltet, an dem sie exportiert wird. Die Pflicht besteht nicht darin, eine Liste zu führen — sondern fortlaufend nachzuweisen, dass der Zugriff der Autorisierung entspricht.

Was Sie tun können

Was Sie mit der SCIM2-Provisionierung tun können

  • Benutzer automatisch provisionieren und deprovisionieren über das SCIM2-Protokoll, sobald sich Ihr IdP ändert.
  • Jede externe IdP-Gruppe auf eine interne Rolle abbilden, sodass die Zugehörigkeit zu Unternehmensgruppen den Anwendungszugriff steuert.
  • Azure-AD- / Entra-ID-Gruppen direkt synchronisieren aus Ihren SAML- oder OAuth-Assertions ins DPMS.
  • Während der Synchronisation entfernte Gruppen soft-löschen mit einem Deleted-Flag und so einen umkehrbaren Nachweis statt einer harten Löschung bewahren.
  • Berechtigungen auf zugeordnete Benutzer synchronisieren, wenn sich eine Zuordnung ändert, sodass sich eine Rollenänderung ohne erneute Eingabe fortpflanzt.
  • Den Synchronisationsstatus in den IAM-Einstellungen verfolgen — letzte Synchronisation, synchronisierte Konten, synchronisierte Gruppen — auf einen Blick.
Geschäftlicher Nutzen

Was es Ihrem Programm bringt

  • Ausgeschiedene verlieren den Zugriff bei der nächsten Synchronisation, nicht erst beim nächsten Access Review — und schliessen damit die Deprovisionierungslücke, die Prüfer zuerst testen.
  • Least Privilege bleibt erhalten, wenn Personen wechseln, weil die Rollenzuweisung der IdP-Gruppenzugehörigkeit folgt statt manuellen Eingriffen.
  • Die Provisionierung skaliert mit der Mitarbeiterzahl, nicht mit Admin-Stunden — kein Onboarding-Ticket pro Benutzer.
  • Zugriffsnachweise sind auf Abruf bereit, mit als Datensätze persistierten Zuordnungen und für den Betrieb sichtbaren Synchronisationszahlen.
  • Eine einzige massgebliche Quelle für den Zugriff — Ihr IdP — beseitigt die Drift, die Sie sonst von Hand abgleichen müssten.
Für Compliance gebaut

Für Compliance gebaut

Die DPMS-Provisionierung hilft Ihnen, die Zugriffskontrollpflichten nachzuweisen, die Auditoren testen — zugeordnet zu der konkreten Massnahme, die sie zitieren, niemals nur zu «ISO-zertifiziert».

Was das DPMS tutZugeordnet zuWie
Provisioniert und deprovisioniert Identitäten über ein StandardprotokollSCIM2 (RFC 7644)SCIM2-Lebenszyklus für Benutzer und Gruppen, abgeglichen mit dem SCIM-Enable-Flag im IAM
Verwaltet Identitäten über ihren gesamten LebenszyklusISO 27001:2022 Annex A 5.16IdP-gesteuerte Provisionierung mit im IAM sichtbarem Synchronisationsstatus
Gewährt, ändert und entzieht Zugriffsrechte zentralISO 27001:2022 Annex A 5.18Als Datensätze persistierte Gruppe-zu-Rolle-Zuordnungen; Berechtigungssynchronisation bei Änderung
Beschränkt den Zugriff rollenbasiert auf Least PrivilegeISO 27001:2022 Annex A 5.15Abbildung externe Gruppe auf interne Rolle
Autorisiert, ändert und entfernt logischen ZugriffSOC 2 CC6.2 / CC6.3Automatisierte Provisionierung plus Soft-Delete bei Gruppenentfernung
Sehen Sie, wie sich das auf Ihre Zugriffskontrollpflichten abbildet — buchen Sie eine 30-minütige Demo mit Fokus auf die SCIM2-Provisionierung.
Demo buchen
Warum Priverion

Warum Priverion

Anders als universelle GRC-Tools, die Identität als das Problem anderer behandeln, verknüpft das DPMS den Zugriff mit derselben Plattform, die Ihr Verarbeitungsverzeichnis, Ihre DSFA, Ihre Risiken und Ihre Lieferantendaten enthält — die provisionierten Identitäten sind die Identitäten, die für die Arbeit verantwortlich sind, ohne separaten Abgleich. Gruppe-zu-Rolle-Zuordnungen werden als erstklassige Datensätze mit revisionsfreundlichen Soft-Deletes gespeichert, und der Synchronisationsstatus — letzte Synchronisation, synchronisierte Konten, synchronisierte Gruppen — wird in Ihren IAM-Einstellungen für die operative Sichtbarkeit angezeigt.

FAQ

Fragen, die CISOs vor einer Demo stellen

Funktioniert das mit Azure AD / Entra ID?
Ja. Das DPMS synchronisiert Entra-ID-Gruppen direkt, extrahiert Gruppen-Claims aus Ihren SAML- oder OAuth-Assertions und gleicht sie mit dem SCIM-Enable-Flag im IAM ab.
Ersetzt es meinen Identity Provider?
Nein. Ihr IdP bleibt die massgebliche Quelle. Das DPMS empfängt die Provisionierung über SCIM2 und bildet Ihre Gruppen auf interne Rollen ab — es steht neben Ihrem IAM, es ersetzt es nicht.
Was passiert, wenn eine Gruppe während einer Synchronisation entfernt wird?
Sie wird mit einem Deleted-Flag soft-gelöscht statt hart entfernt, sodass die Zuordnung umkehrbar bleibt und die Änderung einen revisionsfreundlichen Nachweis hinterlässt.
Wie erreichen Rollenänderungen die Benutzer?
Wenn sich eine Gruppe-zu-Rolle-Zuordnung ändert, synchronisiert das DPMS die betroffenen Berechtigungen auf die zugeordneten Benutzer, sodass sich die Änderung ohne manuelle Eingriffe fortpflanzt.
Verwandte Features

Verwandte Funktionen entdecken

Enterprise-Plattformsicherheit & AI-Backbone
Mandantenfähig, SSO/SCIM, RBAC, Audit, KI und Übersetzung integriert
Mandantenfähige Architektur & Isolation der Unternehmensdaten
Isolieren Sie die Daten jedes Unternehmens hart mit automatischem mandantenbezogenem Collection-Scoping.
Single Sign-On mit SAML2 & Azure AD / Entra ID
Lassen Sie Mitarbeitende über Ihren Enterprise-IdP per SAML2 oder Azure Entra ID anmelden.
Rollen- & zielgruppenbasierte Zugriffskontrolle
Beschränken Sie nach Rolle und Zielgruppe, wer welche Datensätze sieht — bis auf jeden Objekttyp.
Alle Features durchsuchen

Bereit, die Deprovisionierungslücke zu schliessen?

Sehen Sie, wie Leavers, Movers und Joiners mit Ihrem Verzeichnis synchron bleiben. Buchen Sie eine 30-minütige Demo mit Fokus auf die SCIM2-Provisionierung oder sprechen Sie mit einem Priverion-Experten.
Demo buchen
Ihr vertrauenswürdiger Partner für einen intelligenteren, effizienteren Ansatz im Datenschutzmanagement.
Produkt
Priverion-Plattform Systemstatus
über uns
Über Priverion Karriere
© 2024 Priverion
Impressum Datenschutzerklärung Nutzungsbedingungen Rückerstattungsrichtlinie
OneTrust, TrustArc, Drata, Vanta, BigID, DataGuard, Kertos, Securiti und Sprinto sind Marken ihrer jeweiligen Inhaber. Die Priverion Solutions AG ist ein unabhängiges Schweizer Unternehmen und steht in keiner Verbindung zu diesen Unternehmen und wird von ihnen weder gesponsert noch unterstützt. Verweise auf diese Produkte erfolgen im Rahmen der Ausnahme für vergleichende Werbung (Schweizer UWG Art. 3 Abs. 1 lit. a, b, e; EU-Richtlinie 2006/114/EG Art. 4) und dienen ausschliesslich der Information potenzieller Kunden. Methodik und Quellen für vergleichende Aussagen werden auf jeder Seite offengelegt, die solche enthält; siehe auch unsere Richtlinie für vergleichende Werbung. Um eine bestimmte Aussage zu beanstanden, schreiben Sie an [email protected].