Automatisierung
Nutzer-Sync
Automatische Provisionierung, Deprovisionierung und Rollen-Updates aus deinem Identity Provider – Entra ID, Google Workspace oder Okta. Joiner-Mover-Leaver ohne manuelle IT-Tickets.
Aktualisiert am 18. Mai 2026
Konfiguration · Automatisierung · 9.3
Der Nutzer-Sync hält die Nutzerbasis in Gfacility automatisch mit deinem Identity Provider abgestimmt – meist Entra ID, manchmal Google Workspace oder Okta. Neue Mitarbeiter bekommen sofort die richtige Rolle; Ausscheidende werden sofort gesperrt; Rollenänderungen folgen HR-Mutationen, ohne dass IT eingreifen muss.
Warum das für das Business wichtig ist
„Neuer Mitarbeiter, Tag eins, kein Zugang"
SCIM-Provisionierung bei Anlage in Entra → Konto bereit zur Anmeldung.
„Ex-Kollege noch einen Monat aktiv"
Deprovisionierung innerhalb von 5 Min nach Deaktivierung im IdP – keine Leaver-Lücke.
„Beförderung ohne Rollen-Update"
Mapping der Gruppenzugehörigkeit → IdP-Gruppe „FM-managers" = Gfacility-Rolle „FM Coordinator".
„Permissions Creep"
Sync überschreibt manuelle Anpassungen → Single Source of Truth, keine unsichtbaren Ausnahmen.
Welche Provisionierungs-Modi
SCIM (Push)
IdP pusht Änderungen direkt an Gfacility. Echtzeit, sauberste Option für Entra und Okta.
Just-in-Time
Konto bei erster Anmeldung erstellt. Keine Vorabprovisionierung; Rolle aus SAML-/OIDC-Claims abgeleitet.
Geplanter Sync
Gfacility liest den IdP alle X Minuten/Stunden. Funktioniert ohne SCIM-Unterstützung; etwas Verzögerung.
Was du konfigurierst
| Feld | Was es steuert |
|---|---|
| Quellsystem | Entra · Google Workspace · Okta · AFAS · Workday. Eines führt, optional ein zweites für bestimmte Felder. |
| Scope | Welche OUs, welche Sicherheitsgruppen, welche Lizenzen? Auf die begrenzen, die Gfacility wirklich brauchen. |
| Feld-Mapping | UPN → E-Mail, displayName → Name, department → Abteilung. Eins-zu-eins oder über Transformation. |
| Gruppe-zu-Rolle-Mapping | Welche IdP-Gruppe wird welche Gfacility-Rolle? Eins-zu-eins oder mehrere Gruppen → eine Rolle. |
| Leaver-Verhalten | Deaktivieren · anonymisieren · 30 Tage ausgrauen · nach X Tagen löschen. |
| Konfliktrichtlinie | Was bei manueller Änderung in Gfacility, die Sync überschreiben würde? Meist „IdP gewinnt". |
| Frequenz | Echtzeit (SCIM) oder geplant (15 Min / 1 h / Tag). Schnell = wenig Verzögerung, mehr Quota. |
| Monitoring | Status-Dashboard, Fehler-Log, Alarm bei > X fehlgeschlagenen Datensätzen. |
Welche Entscheidungen triffst du?
Welcher IdP führt?
Entra ist Standard. AFAS kann bessere Quelle für Abteilung und Kostenstelle sein, mit Entra für Auth.
Externe Nutzer
Auftragnehmer über Gastkonten oder separaten Tenant? Just-in-Time bei erster Anmeldung ist oft praktisch.
Leaver-Strategie
Sofort deaktivieren (Sicherheit) vs. 30 Tage ausgrauen (Reporting-Kontinuität). Mit DSB abgestimmt.
Regelmäßige Prüfung
Quartalsweise: stimmen aktive Gfacility-Nutzer mit HR-aktiven überein? Diskrepanz = Sync-Problem.