/ Blog DE, CIAM, cidaas Features
Warum SCIM im Austausch von Benutzeridentitäten herausfordert?

Warum SCIM im Austausch von Benutzeridentitäten herausfordert?

Der System for Cross-domain Identity Management (SCIM)- Standard wurde ursprünglich entwickelt, um die Verwaltung und Synchronisation von Benutzeridentitäten zwischen Systemen zu vereinfachen. Auf den ersten Blick ein sinnvolles Ziel – doch bei genauerer Betrachtung zeigt sich, dass SCIM in der Praxis oft auf Probleme stößt, die aus veralteten Annahmen und Architekturentscheidungen resultieren. Gerade in modernen und dynamischen Szenarien wie dem Kundenmanagement oder B2B-Umfeldern wird deutlich, dass SCIM nicht immer die beste Wahl ist. 

SCIM und die Annahmen über Benutzerdaten

SCIM basiert auf einem festen Schema für Benutzer- und Gruppendaten. Dies stellt eine erhebliche Herausforderung dar, da viele Systeme individuelle Datenmodelle verwenden, die mit SCIMs Standard-Attributen nicht übereinstimmen.

OIDC als besserer Ansatz

Ein Blick auf den OpenID Connect (OIDC) Standard zeigt, dass ein flexiblerer und modernerer Ansatz möglich ist. OIDC definiert ebenfalls Attribute für Benutzerprofile, doch diese sind

  • Breiter etabliert: OIDC ist nicht nur älter als SCIM, sondern wird auch von einer Vielzahl moderner Anwendungen genutzt.
  • Flexibler: OIDC erlaubt die Definition eigener, anwendungsspezifischer Claims, was eine bessere Anpassung an individuelle Datenmodelle ermöglicht.

Das Problem: Daten müssen oft zwischen SCIM und OIDC „übersetzt“ werden, um die Systeme kompatibel zu machen. Dies führt zu bidirektionalen Mapping-Prozessen, die nicht nur fehleranfällig, sondern auch aufwendig zu implementieren und zu pflegen sind.

Das überholte Konzept von Benutzergruppen

SCIM übernimmt das klassische Modell von Benutzergruppen aus der Welt von LDAP- und älteren IAM-Systemen. Dieses Modell geht von der Annahme aus, dass:

  • Gruppen alle Mitglieder in einem einzigen Objekt referenzieren können.
  • Gruppen rekursiv andere Gruppen enthalten dürfen.

Die Realität moderner Systeme

Diese Annahmen sind in modernen Szenarien oft nicht praktikabel:

  • Skalierungsprobleme: In Kundenumgebungen oder B2B-Plattformen gibt es oft Gruppen mit Hunderttausenden oder sogar Millionen von Mitgliedern. Eine komplette Referenzierung dieser Benutzer in einem Gruppenobjekt ist ineffizient und belastet sowohl das System als auch die API-Leistung.
  • Notwendigkeit rekursiver Gruppen: Es wird impliziert, dass Gruppen andere Gruppen enthalten können – aber in vielen Szenarien ist das weder nötig noch sinnvoll. Komplexe Gruppenstrukturen führen oft zu Performance-Problemen und erschweren die Verwaltung.

Alte Konzepte aus der LDAP-Welt

Ein weiteres Kernproblem ist, dass SCIM viele seiner Grundkonzepte aus der Welt von LDAP-Servern und traditionellen IAM-Systemen übernommen hat. Diese Systeme waren ursprünglich für die Verwaltung von Mitarbeitern in Unternehmen konzipiert, nicht für die flexiblen und skalierbaren Anforderungen moderner Plattformen.

Warum das heute nicht mehr funktioniert

  • Mitarbeiterumfeld: Selbst in Unternehmensumgebungen, wo SCIM primär eingesetzt wird, stößt der Standard bereits an Grenzen. Flexiblere Datenmodelle und die Notwendigkeit von Echtzeit-Synchronisation werden von SCIM nur unzureichend unterstützt.
  • Kunden- und Lieferantenumfeld: In B2C-, B2B- und Lieferantenumfeldern sind die Anforderungen an Benutzerverwaltung noch vielfältiger. Unterschiedliche Systeme, Attribute und Beziehungen machen eine starre Standardisierung wie SCIM kaum praktikabel. 

Moderne Integrationsplattformen als Alternative

Die Synchronisation von Benutzern ist in der Praxis oft deutlich komplexer und vielseitiger, als SCIM es ursprünglich vorgesehen hat. Mit modernen Integrationsplattformen wie cnips lassen sich solche Herausforderungen passgenau lösen – und das nicht nur batch-orientiert, sondern auch ereignisbasiert. Dies ermöglicht eine zeitnahe Synchronisation mit minimalem Overhead.

Ein kurzes Beispiel:

Stellen wir uns vor, bei einem Benutzer sollen nicht nur die persönlichen Daten synchronisiert werden, sondern es soll auch eine Benutzerlizenz in der SaaS-Software zugeordnet werden – sagen wir einen „E3-Plan“ in einer Collaboration-Plattform.

Mit cnips ist das eine triviale Angelegenheit, da:

  • Die passenden APIs der SaaS-Software genutzt werden.
  • Die Vorgänge in der richtigen Reihenfolge ausgeführt werden.
  • Flexible Anpassungen an die spezifischen Anforderungen der Plattform möglich sind.

Ein solcher Workflow wäre mit SCIM aufgrund seiner starren, datenzentrierten Struktur kaum oder nur mit erheblichem Zusatzaufwand umsetzbar.

SCIM: Ein datenzentrierter Ansatz aus der Vergangenheit

SCIM ist zu stark auf Daten und feste Schemata fokussiert und ignoriert viele Fragestellungen moderner Identitätsmanagement-Szenarien. In dynamischen Umfeldern wie Kundenmanagement oder B2B-Plattformen stößt dieser Ansatz schnell an seine Grenzen. Besonders, wenn es um mehr als nur reine Datensynchronisation geht – wie die Automatisierung von Lizenzzuweisungen oder anderen komplexen Prozessen – zeigt sich, dass SCIM nicht mehr zeitgemäß ist.

SCIM mag in der Theorie eine vereinheitlichte Identitätsverwaltung ermöglichen, doch in der Praxis zeigt sich, dass der Standard von veralteten Annahmen geprägt ist. Für moderne, skalierbare Systeme im Kunden-, Lieferanten- oder B2B-Umfeld ist SCIM nicht immer die beste Wahl. Die Zukunft liegt in flexibleren Ansätzen, die auf bewährten Standards wie OIDC aufsetzen und mit ereignisbasierten Integrationsplattformen wie cnips die Anforderungen heutiger Systeme und Workflows effizient adressieren.

Erfahren Sie mehr über die Funktionen von cnips oder buchen Sie sich direkt eine Demo!

single sign on

Zum Single Sign On in 30 Minuten

Durch die steigende Anzahl verschiedener digitaler Dienste im Unternehmen und …
Weiterlesen …
The cidaas group management - delegated user administration quick and easy! For family & friends or B2B use cases.

Das cidaas Gruppenmanagement – delegierte Benutzeradministration schnell und einfach! Für Family & Friends oder B2B Use Cases.

Die Blog Reihe – „Das cidaas Gruppenmanagement in a Nutshell“ …
Weiterlesen …