Die SCIM-Steuer: Provisioning ist Infrastruktur, kein Premium-Feature
SCIM ist das unglamouröseste Protokoll der Identity-Welt. Es ist eine REST-API für Benutzerdatensätze: anlegen, aktualisieren, deaktivieren, standardisiert als RFC 7644, damit Verzeichnisse und Anwendungen sie nur ein einziges Mal bauen müssen. Wenn das IT-Team Ihres Kunden sein Entra- oder Okta-Verzeichnis mit Ihrem Produkt verbindet, sorgt SCIM dafür, dass neue Mitarbeiter am ersten Tag in Ihrer App auftauchen und Abgänger an ihrem letzten Tag verschwinden. Es ist Infrastruktur im buchstäblichsten Sinn: läuft unbeaufsichtigt, bleibt unsichtbar und fällt erst auf, wenn sie fehlt.
Der übliche Preis für diese Infrastruktur ist bemerkenswert. WorkOS verlangt $125 im Monat pro Directory-Sync-Verbindung, zusätzlich zu den $125 im Monat pro SSO-Verbindung. Ein SaaS mit zehn Enterprise-Kunden, die jeweils das Standardpaar wollen, Login plus Provisioning, zahlt $2.500 im Monat, bevor sich auch nur einer ihrer Benutzer anmeldet. Auth0 spielt den anderen Klassiker: Der Free-Tarif enthält technisch gesehen eine Enterprise-Verbindung, aber die bezahlten Consumer-Tarife entfernen die Enterprise-Features wieder und lenken jeden, der sie wirklich braucht, auf B2B-Pläne, wo Verbindungen als Add-ons rund $100 pro Stück kosten. Egal in welcher Form, die Botschaft ist dieselbe: Provisioning lebt hinter dem Enterprise-Gatter, neben SAML, bepreist pro Verbindung.
Es lohnt sich also zu fragen, was eine SCIM-Verbindung den Anbieter im Betrieb kostet. Auf Anbieterseite ist eine Verbindung ein Bearer-Token und eine Basis-URL. Der Traffic ist ein Rinnsal: eine HTTP-Anfrage, wenn jemand anfängt, eine, wenn er das Team oder den Namen wechselt, eine, wenn er geht. Kein Fan-out, keine nennenswerte Rechenlast, keine Storage-Geschichte. Die Spezifikation existiert genau deshalb, damit die Implementierung eine einmalige Investition ist: Wer /Users und /Groups mit PATCH-Semantik einmal gebaut hat, für den kostet Verbindung Nummer zweihundert exakt dasselbe wie Verbindung Nummer zwei, nämlich eine Zeile in einer Tabelle. $125 im Monat pro Verbindung ist keine Kostendeckung. Es ist ein Segmentierungszaun, aufgestellt dort, wo die Enterprise-Käufer stehen, weil Enterprise-Käufer zahlen können. Wir haben diese Rechnung für SSO bereits in Dollar aufgemacht; SCIM ist dieselbe Steuer, kassiert an einer zweiten Mautstelle.
Aber SCIM ist nicht SSO, und der Unterschied liegt darin, was passiert, wenn man nicht zahlt. Wer die SSO-Gebühr ablehnt, bekommt schlechtere Logins: mehr Passwörter, mehr Phishing-Angriffsfläche, eine genervte IT-Abteilung. Lästig, aber überlebbar. Wer die SCIM-Gebühr ablehnt, bei dem bricht das Offboarding. Die wichtigste Nachricht, die SCIM je überbringt, ist die, die sagt: Diese Person hat das Unternehmen verlassen, deaktiviert sie überall, sofort. Ohne sie besteht Deprovisioning darin, dass ein Mensch daran denken muss, sich am Tag, an dem jemand hinausbegleitet wird, durch die Admin-Konsole jedes einzelnen SaaS-Produkts der Firma zu klicken, ohne einen Schritt zu vergessen. In der Praxis heißt das: Ehemalige behalten tagelang funktionierende Konten, manchmal monatelang. Auditoren fragen in jedem SOC-2- und ISO-27001-Review aus gutem Grund nach zeitnahem Deprovisioning: Das schlafende Konto eines ausgeschiedenen Mitarbeiters, Passwort unverändert, ist eines der ältesten Einfallstore für Sicherheitsvorfälle überhaupt.
Deprovisioning ist also kein Komfort-Feature. Es ist eine Sicherheitskontrolle, und eine Gebühr pro Verbindung auf SCIM ist ein Preisschild auf dieser Kontrolle. Und man beachte, wohin das Risiko wandert, wenn ein Käufer die Gebühr ablehnt: nirgendwohin auf Anbieterseite. Der Anbieter liefert exakt dasselbe Produkt. Die Lücke öffnet sich beim Kunden, in der Offboarding-Checkliste, die jetzt von Gedächtnis statt von Automatisierung abhängt. Für SCIM Geld zu verlangen heißt, Geld für das Schloss an einer Tür zu verlangen, die man bereits verkauft hat.
Es gibt eine einfache Art, die Preisliste jedes Anbieters zu lesen: Was echtes Geld im Betrieb kostet, wird nach Nutzung bepreist, und was nichts kostet, wird danach bepreist, was man ablehnen kann. Preise pro Benutzer oder pro MAU folgen den tatsächlichen Kosten. Eine Gebühr pro Verbindung auf ein standardisiertes Protokoll folgt dem Hebel, und SCIM trägt den größten Hebel von allen, weil Enterprise-Sicherheitsfragebögen es vorschreiben. Der Käufer kann nicht Nein sagen, und der Preis ist entsprechend gesetzt. Das ist die SCIM-Steuer: keine Gebühr für eine Leistung, sondern ein Wegezoll auf eine Compliance-Anforderung.
Wir halten die Mautstelle für das falsche Geschäftsmodell. Authagonal enthält SCIM in jedem Tarif, den Free-Tarif eingeschlossen, mit unbegrenzten Verbindungen, genau wie SSO. Provisioning ist Infrastruktur. Wir berechnen das, was uns tatsächlich etwas kostet, nämlich aktive Benutzer, und der Schalter, der das Konto eines Abgängers überall abschaltet, ist kein Premium. Er ist der Job.