Was ist SCIM, und wie unterstützt es Joiner-Mover-Leaver-Provisionierung?
Kurzantwort
SCIM (System for Cross-domain Identity Management) ist eine standardisierte REST/JSON-API und ein Schema zum Erstellen, Aktualisieren und Löschen von Benutzerkonten über Anwendungen hinweg. An ein HR-System oder einen IdP angebunden, automatisiert es den Joiner-Mover-Leaver-Lebenszyklus: Konten und Berechtigungen werden bei Einstellung provisioniert, bei Rollenwechsel angepasst und — am wichtigsten — beim Austritt deprovisioniert, was die verwaisten Konten beseitigt, die Angreifer lieben.
Identität ist nicht nur Authentifizierung — es ist der gesamte Lebenszyklus eines Kontos von der Einstellung bis zum Austritt. SCIM ist der Standard, mit dem du diesen Lebenszyklus automatisierst, statt dich auf manuelle Tickets zu verlassen.
Was SCIM ist
Das System for Cross-domain Identity Management definiert eine gemeinsame REST/JSON-API und ein Benutzer-/Gruppen-Schema, sodass eine Identitätsquelle (ein IdP wie Entra oder Okta, oft von einem HR-System gespeist) Kontoänderungen automatisch in nachgelagerte Anwendungen pushen kann. Statt dass jede SaaS-App eine eigene Admin-API hat, sprechen sie denselben SCIM-Dialekt: POST zum Erstellen eines Benutzers, PATCH zum Aktualisieren, DELETE/Deaktivieren zum Entfernen.
Joiner-Mover-Leaver
- Joiner. Eine Neueinstellung erscheint im HR-System; der IdP provisioniert automatisch Konten und Basis-Berechtigungen in verbundenen Apps — Zugriff ab Tag eins, keine Ticket-Warteschlange.
- Mover. Bei einem Rollen- oder Abteilungswechsel werden Attribute aktualisiert und Berechtigungen hinzugefügt oder — entscheidend — entfernt, was Privilegienanhäufung ("Access Creep") verhindert, wenn Personen wechseln.
- Leaver. Bei Beendigung werden Konten innerhalb von Minuten deprovisioniert, nicht in Wochen.
Warum der Leaver-Schritt der Sicherheitsgewinn ist
Das gefährlichste IAM-Versagen ist das verwaiste Konto — ein Ex-Mitarbeiter oder Auftragnehmer, dessen Zugriff nie entzogen wurde. Solche Konten liegen ungenutzt (also fällt es niemandem auf), behalten oft stehende Privilegien und sind erstklassige Ziele für Credential Stuffing und Insider-Missbrauch. Manuelles Offboarding ist langsam und fehleranfällig; SCIM-gesteuerte Deprovisionierung schließt die Lücke deterministisch.
Wie es zu SSO passt
SCIM und SSO sind komplementär, keine Konkurrenten: SSO (SAML/OIDC) übernimmt die Authentifizierung zur Login-Zeit, während SCIM die Kontoexistenz und Berechtigungen in der App im Vorfeld übernimmt. SSO ohne Provisionierung lässt weiterhin veraltete Konten zurück; du willst beides.
Worauf Interviewer achten: Du definierst SCIM als standardisierte Provisionierung, gehst den Joiner-Mover-Leaver-Ablauf durch und hebst zeitnahe Deprovisionierung / verwaiste Konten als das Kernrisiko hervor, das es adressiert.
Wahrscheinliche Anschlussfragen
- Warum ist zeitnahe Deprovisionierung der wertvollste Teil des Lebenszyklus?
- Wie ergänzen sich SCIM und SSO (SAML/OIDC)?
- Was ist das Risiko, sich stattdessen auf manuelle Offboarding-Tickets zu verlassen?