Einen Satz wirst du auf keiner SaaS-Preisseite lesen: "Wir verlangen Aufpreis für Sicherheit." Genau das passiert aber, wenn ein Anbieter SCIM-Provisionierung hinter seinem Enterprise-Tarif versteckt.
SCIM (System for Cross-domain Identity Management) ist das Protokoll, mit dem dein Identity Provider automatisch User-Accounts anlegt, aktualisiert und entfernt, wenn jemand neu anfängt, die Rolle wechselt oder das Unternehmen verlässt. Das ist kein Luxus-Feature. Das ist die Basis verantwortungsvoller Identitätsbereitstellung. Trotzdem sperren immer mehr Anbieter SCIM hinter ihre teuersten Pläne - und zwingen dich, entweder draufzuzahlen oder Zugriffe manuell zu steuern.
In der IT-Community heißt das die SCIM-Steuer. Und sobald du die realen Zahlen über einen typischen SaaS-Stack mit 50-100 Apps legst, ist die Rechnung schockierend.
Was die SCIM-Steuer tatsächlich bedeutet
Die SCIM-Steuer ist keine einmalige Zahlung. Es ist eine Preisstrategie, die pro App und pro Jahr greift - und sich über deinen gesamten Stack hinweg kumuliert.
Das Muster ist immer gleich:
- Du kaufst ein Tool im Business- oder Professional-Tarif
- In diesem Tarif ist SSO (Authentifizierung) inklusive
- Aber die automatische Identitätsbereitstellung - also das, was Zugriffe wirklich sauber hält - ist Enterprise-exklusiv
- Enterprise heißt: individuelle Enterprise Preise, Sales-Verhandlung und deutlicher Aufschlag pro User
- Du zahlst - oder du verwaltest diese App auf Dauer manuell
Die Lücke zwischen "SSO inklusive" und "SCIM inklusive" ist keine technische Einschränkung. Sie ist eine bewusste Monetarisierungsentscheidung. Du zahlst einen Aufpreis für etwas, das Standard sein sollte.
Das Preisschild pro App: Sechs Tools, echte Zahlen
Lass uns die Theorie weglassen. So viel kostet die SCIM-Steuer in der Praxis - für sechs Tools, die in fast jedem SaaS-lastigen Stack vorkommen.
Notion
Notion sperrt SCIM-Provisionierung hinter den Enterprise-Plan, mit individuellen Enterprise Preisen, die typischerweise zwischen 18-25 US-Dollar pro User und Monat liegen. Der Business-Plan - bei 20 US-Dollar/User/Monat - enthält bereits SAML-SSO. SCIM ist erst im nächsten Tarif freigeschaltet, das heißt: Authentifizierung ja, Lifecycle-Automatisierung nein. Für ein Team mit 100 Personen bedeutet dieser Sprung 1.800-5.000 US-Dollar zusätzliche Enterprise-Lizenzkosten pro Monat - nur um grundlegende Identitätsbereitstellung freizuschalten.
Das Frustrierende daran: Der Business-Plan von Notion enthält SAML-SSO, schließt SCIM-Provisionierung aber künstlich aus und zwingt Unternehmen damit in individuelle Enterprise-Preise, wenn sie automatisierte Provisionierung wollen. Du zahlst also einen Aufpreis, um Provisionierung zu der Authentifizierung dazuzubekommen, die du bereits gekauft hast. Wer nach "notion scim" sucht, landet genau an dieser Paywall.
Figma
Figma hat eine der steilsten SCIM-Klippen im Markt. Der Enterprise-Plan von Figma startet bei 90 US-Dollar pro Full Seat pro Jahr und enthält SCIM-Provisionierung, SSO und erweiterte Admin-Controls. Der Professional-Plan liegt bei 16 US-Dollar/User/Monat. Das ist ein Sprung von 74 US-Dollar/User/Monat - nur für automatisiertes Seat-Management mittels figma scim. Für ein 100-Personen-Team im Professional-Plan bedeutet der Zugang zu vollständigem SCIM-Seat-Management Mehrkosten von 88.800 US-Dollar pro Jahr.
Ein wichtiger Unterschied: Der Organization-Plan von Figma bietet zwar grundlegendes SCIM (User anlegen/aktualisieren/deaktivieren), aber alle per SCIM provisionierten User erhalten standardmäßig View-only-Seats - ein Upgrade auf Editor oder Admin erfordert manuellen Eingriff. Selbst der Zwischenplan bietet also nur Teilautomatisierung. Für vollständiges Seat-Management via figma scim ist Enterprise faktisch Pflicht.
Slack
Slack ist für viele Firmen die zentrale Kommunikationsschicht - und wird bei SCIM-Audits erstaunlich oft übersehen. Der Business+-Plan von Slack kostet 15 US-Dollar/User/Monat (jährliche Abrechnung) und enthält SAML-SSO und SCIM-Provisionierung, während der Pro-Plan für 8,75 US-Dollar/User/Monat ohne SCIM auskommt. Für ein Team mit 200 Personen sind das zusätzliche 14.700 US-Dollar pro Jahr, nur um automatisiertes User-Lifecycle-Management in dem Tool freizuschalten, das intern vermutlich am häufigsten genutzt wird.
Der Preissprung von Pro zu Business+ entspricht einer Preissteigerung von 107 %. Und anders als bei manchen "Enterprise Upgrades" ist dieser Sprung im Budget deutlich zu spüren.
Linear
Linear ist für viele Produkt- und Engineering-Teams der Projekt-Tracker der Wahl. Linear unterstützt SCIM 2.0 für automatisierte Identitätsbereitstellung, allerdings nur im Enterprise-Plan mit individuellen Preisen zwischen 192-240 US-Dollar pro User und Jahr. Teams im Business-Plan zu 9,60 US-Dollar/User/Monat sehen sich einem etwa 20-fachen Preisaufschlag gegenüber - nur um grundlegende Provisionierungsautomatisierung freizuschalten.
Dazu kommt eine zusätzliche Abhängigkeit: Linear verlangt, dass SAML-SSO aktiviert ist, bevor SCIM konfiguriert werden kann. Ohne SSO kein SCIM - und damit keine Automatisierung. Wer nach "linear scim" sucht, landet also direkt in der Enterprise-Ecke.
GitHub
Für Engineering-Teams ist GitHub der Ort, an dem die sensibelsten Assets liegen - Source Code, Repositories, Deployment-Credentials. Trotzdem unterstützt GitHub vollwertige SCIM-Provisionierung nur über Enterprise Managed Users (EMU) im Enterprise-Plan für 21 US-Dollar/User/Monat. Der Haken ist massiv: Die gesamte GitHub-Enterprise-Organisation muss von Anfang an als EMU-Organisation aufgesetzt werden - du kannst SCIM nicht einfach nachträglich für eine bestehende Enterprise-Organisation aktivieren. Standard-Enterprise-Organisationen bekommen eine "SCIM-Integration", die effektiv nur Einladungen verschickt - aber keine echte automatisierte Provisionierung umsetzt.
Für die meisten Teams bedeutet das: komplette Architekturänderung nur für ein Basis-Feature - oder dauerhaft manuelles Access-Management in einer der kritischsten Plattformen überhaupt.
Jira / Atlassian
Atlassian geht einen anderen Weg: Statt SCIM in einem Tarif zu verstecken, wird es als separates Add-on verkauft. Atlassian Guard Standard kostet zusätzlich 3-4 US-Dollar pro User und Monat - eine Organisation mit 100 Personen zahlt also 3.600-4.800 US-Dollar pro Jahr extra, nur für Provisionierungsfunktionen, zusätzlich zu bestehenden Jira- und Confluence-Lizenzen. Die Komplexität hört da nicht auf: Seit Januar 2025 laufen SCIM-API-Keys nach einem Jahr ab - eine jährliche Rotation ist verpflichtend.
Miro
Miro sperrt SCIM-Provisionierung hinter dem Enterprise-Plan, der für Teams mit 30 oder mehr Mitgliedern individuelle Enterprise Preise verlangt. Teams im Business-Plan für 16 US-Dollar/User/Monat haben zwar SSO - aber keine automatisierte Provisionierung. Das Ergebnis: Ein 50-Personen-Team im Miro-Business-Plan zahlt 9.600 US-Dollar pro Jahr und kann dennoch kein automatisiertes User-Lifecycle-Management umsetzen. Diese Unternehmen stehen vor der Wahl: hochstufen - oder Zugriffe manuell verwalten, inklusive verwaister Konten, sobald jemand das Unternehmen verlässt.
Die kumulative Stack-Rechnung
Jetzt alles zusammengezählt. So viel zahlt ein Unternehmen mit 100 Personen und einem typischen modernen SaaS-Stack tatsächlich, um SCIM-Provisionierung freizuschalten:
| App | Basisplan | Basispreis (pro Benutzer/Monat) | SCIM-erforderlicher Plan | SCIM-Planpreis (pro Benutzer/Monat) | Jährliche Upgrade-Gebühr (100 Benutzer) |
|---|---|---|---|---|---|
| Notion | Business | $20 | Enterprise (custom) | ~$25+ | ~$6,000+ |
| Figma | Professional | $16 | Enterprise | $90 | ~$88,800 |
| Slack | Pro | $8.75 | Business+ | $15 | ~$7,500 |
| Linear | Business ($9.60/user) | $9.60 | Enterprise (custom) | ~$16-20 | ~$7,680-$12,480 |
| Miro | Business | $16 | Enterprise (custom) | Benutzerdefiniert (30+ Benutzer) | Erheblicher Anstieg |
| GitHub | Team | $4 | Enterprise (EMU only) | $21 | ~$20,400 |
| Jira / Atlassian | Standard | $9.05 | Standard + Guard add-on | +$3-4/user/mo | ~$3,600-$4,800 |
Diese Zahlen sind nicht theoretisch. Ein 100er-Team, das die SCIM-Steuer über Figma, GitHub, Notion, Slack und Jira hinweg zahlt, landet bei über 120.000 US-Dollar pro Jahr an erzwungenen Enterprise-Upgrades - nur um User-Lifecycle-Management zu automatisieren. In Tools, die bereits im Einsatz und bezahlt sind.
Und das ist noch vor jeder IGA-Plattform. Das ist allein die Upgrade-Steuer der einzelnen Anbieter.
German (de-DE)
Berechnen Sie Ihren individuellen ROIRechner ausprobieren: Wie hoch ist deine SCIM-Steuer?
Die oben genannten Kosten basieren auf Listenpreisen. Dein Stack sieht anders aus. Nutze diesen Rechner, um deine eigene SCIM-Steuer anhand Teamgröße und App-Mix abzuschätzen - inklusive der versteckten sso zusatzkosten und saas preise über mehrere Tools hinweg:
Das tiefere Problem: SCIM deckt vielleicht 30 % deines Stacks ab
Das eigentlich Absurde an der SCIM-Steuer: Selbst wenn du sie für jede App mit SCIM-Unterstützung zahlst, erreichst du noch lange keine vollständige Identity Governance.
Die 30%-Abdeckungsfalle: Selbst wenn du die SCIM-Steuer an jeder App zahlst, die es unterstützt, automatisierst du immer noch nur 20–40% deines tatsächlichen SaaS-Stacks. Die übrigen 60–80% – Legacy-Tools, Nischen-SaaS, interne Apps, OT-Systeme – haben überhaupt keinen SCIM-Endpunkt. Die SCIM-Steuer ist der Preis für eine teilweise Governance.
Im Schnitt stellt ein Unternehmen mit 50-100 SaaS-Tools fest, dass nur 20-40 % davon zugängliche SCIM-Endpunkte haben - und "zugänglich" heißt oft: erst nach Enterprise-Upgrade. Die übrigen 60-80 % - Legacy-Systeme, Nischen-Verticals, interne Anwendungen, OT-Umgebungen, alles ohne moderne API - haben gar keinen SCIM-Endpunkt.
Das ehrliche Bild sieht so aus:
- Du zahlst die SCIM-Steuer -> Du bekommst automatisierte Provisionierung für 20-40 % deines Stacks
- Die restlichen 60-80 % bleiben manuell: Excel, Tickets und Daumendrücken
- Du hast weiterhin Identity Blindspots, verwaiste Konten und Compliance-Lücken über den Großteil deiner Apps
- Auditoren, die fragen "Wer hat worauf Zugriff - und seit wann?", erhalten immer noch keine vollständige Antwort
Das ist die 30-%-Coverage-Falle - und genau hier bleiben viele IGA-Implementierungen stecken.
Dazu kommt eine Ebene, über die viele IT-Teams ungern offen sprechen: Zombie-Lizenzen. Ex-Mitarbeitende, deren Zugriffe nie vollständig entzogen wurden, weil Deprovisionierung manuell, inkonsistent oder nur auf SCIM-fähige Apps begrenzt war. Jedes verwaiste Konto ist eine bezahlte Lizenz, die Budget verbrennt - und ein Sicherheitsrisiko, das nur darauf wartet, von einem Auditor oder von jemandem mit schlechten Absichten entdeckt zu werden.
Im Schnitt findet Iden bei der Erst-Einrichtung 47 verwaiste Konten in einem 100-Personen-Unternehmen. Die eingesparten SaaS-Ausgaben durch Rückgewinnung dieser Lizenzen gleichen häufig einen erheblichen Teil der Governance-Kosten aus.
SCIM hat auch eine Kontrollgrenze
Selbst dort, wo SCIM funktioniert, liefert es keine feingranulare Governance. Das SCIM-Datenmodell ist bewusst simpel gehalten: User, Gruppen und ein paar Attribute. Das ist Absicht - SCIM ist ein Synchronisationsprotokoll, kein Governance-Engine.
Was SCIM leisten kann:
- Einen User zur Gruppe "Engineering" in GitHub hinzufügen
- Ein Konto deaktivieren, wenn jemand im Identity Provider gelöscht wird
Was SCIM nicht leisten kann:
- Steuern, auf welche konkreten Repositories, Branches oder Umgebungen dieser User zugreifen darf
- Kanalberechtigungen in Slack auf Channel-Ebene setzen
- Projektbasierte Zugriffsregeln in Notion oder Linear durchsetzen
- Kontinuierliche Access-Reviews ausführen, die überprivilegierte Konten in Echtzeit markieren
- Erkennen, dass ein externer Contractor zwei Monate nach Vertragsende noch Edit-Rechte auf eine Design-Datei hat
Für Unternehmen auf dem Weg zu SOC 2, ISO 27001 oder DORA - wo Auditoren Belege für Least-Privilege-Zugriffe und rechtzeitige Deprovisionierung über den gesamten Stack verlangen - erzeugt eine reine SCIM-Abdeckung genau die Lücken, die später im Auditbericht landen.
Die Alternative: Universelle Konnektoren, keine SCIM-Steuer
Die SCIM-Steuer ist eine Preisstrategie der Anbieter, kein technisches Naturgesetz. Unternehmen zahlen sie, weil viele IGA-Lösungen rund um SCIM gebaut sind - und eine App ohne SCIM-Unterstützung oder mit SCIM nur im teuren Enterprise-Tarif schlicht durch das Raster fällt.
Universelle Konnektoren funktionieren anders. Statt einen SCIM-Endpunkt zu verlangen, binden sie jede App über API, Weboberfläche oder spezialisierte Konnektoren an - unabhängig vom Tarif. Das Ergebnis: Die universellen Konnektoren von Iden funktionieren mit über 175 Apps (Tendenz steigend) und verbinden sich mit jeder Applikation im gesamten Stack - unabhängig davon, ob sie SCIM unterstützt, nur eine API hat oder beides nicht.
Was das in der Praxis bedeutet:
- Notion im Business-Plan? Vollständige Provisionierung und Deprovisionierung automatisiert - kein Enterprise-Upgrade notwendig, egal was die offiziellen notion scim-Limits sagen.
- Figma im Professional-Tarif? Dasselbe. Kein Enterprise-Plan mit 90 US-Dollar/Seat nötig.
- Eine interne Anwendung ohne API? Abgedeckt über agentische Konnektoren, die auf Workflow-Ebene arbeiten.
- Ein Legacy-System ohne SCIM-Endpunkt? Angeschlossen.
Du bleibst in den Tarifen, die du ohnehin bezahlst. Die SCIM-Steuer fällt auf null.
German (de-DE)
Eliminieren Sie die SCIM-Steuern ab sofortÜber die reine Abdeckung hinaus gehen universelle Konnektoren tiefer als SCIM. Während SCIM User nur Gruppen zuordnet, setzen die feingranularen Konnektoren von Iden auf Channel-Ebene Berechtigungen in Slack, Repository-Level-Zugriffe in GitHub sowie Projektberechtigungen in Linear und Notion. Das ist der Unterschied zwischen grober Gruppensteuerung und echter Umsetzung des Least-Privilege-Prinzips.
Lifecycle-Automatisierung - Onboarding, Rollenwechsel, Offboarding - läuft als Richtlinien-gesteuerte, KI-gestützte Workflows (agentic workflows) über 100 % deines Stacks, nicht nur über die 20-40 % SCIM-fähigen Tools. Wenn jemand das Unternehmen verlässt, sorgt automatisierte Lizenzrückgewinnung dafür, dass in allen angebundenen Apps Seats freigeschaltet werden, statt sich als Zombie-Accounts anzusammeln.
Unternehmen, die Iden einsetzen, sehen typischerweise bis zu 80 % weniger Zugriffstickets, vollständige Lifecycle-Automatisierung ab Tag eins und SaaS-Ausgabensenkungen von bis zu 30 % allein durch automatisierte Lizenzrückgewinnung - oft genug, um einen erheblichen Teil der Plattformkosten über eingesparte Zombie-Lizenzen zu refinanzieren.
Für wen das besonders relevant ist
Die SCIM-Steuer trifft am härtesten Unternehmen im Bereich 200-1.000 Mitarbeitende: groß genug, um einen komplexen SaaS-Stack zu haben, aber nicht groß genug, um sechsstellige jährliche Upgrade-Kosten über alle Tools einfach zu schlucken. Typischerweise sind das Unternehmen, in denen:
- IT aus einem schlanken Team von ein bis zehn Personen besteht, das die Provisionierung für die ganze Organisation stemmt
- SSO (z. B. Okta, Entra ID) vorhanden ist, aber keine echte Governance-Schicht darüber
- Compliance plötzlich real wird - SOC 2, ISO 27001, DORA - aber "mehr Köpfe draufwerfen" keine Option ist
- Der SaaS-Stack viele Apps ohne jegliche SCIM-Unterstützung in irgendeinem Tarif enthält
Wenn du dich hier wiederfindest, ist die SCIM-Steuer nicht nur ein Budgetproblem. Es ist eine Governance-Lücke. Jede App, die du nicht automatisieren kannst, ist eine App, in der Zugriffe ausufern, Deprovisionierung scheitert und Zombie-Konten entstehen. Und wenn Auditoren kritische Fragen stellen, lautet die ehrliche Antwort meistens: "Wir automatisieren die einfachen Apps. Den Rest machen wir per Hand."
Das ist keine Position, mit der du in ein SOC-2-Audit oder ein Gespräch im Vorstand über Security-Budget gehen möchtest. Wenn du sehen willst, wie sich das aus Compliance-Perspektive stapelt, zeigt der Vergleich SCIM-only vs. universelle Abdeckung, wie sich verschiedene IGA-Ansätze auf Governance-Frameworks auswirken. Für Teams mit konkreten Regulierungszielen lohnt sich der komplette Guide zu regulatory-ready Identity Governance, der HIPAA, NIS2, DORA und SOC-2-Anforderungen im Detail abdeckt.
Häufig gestellte Fragen
Was genau ist SCIM und warum ist es wichtig für die Identitätsverwaltung?
SCIM (System for Cross-domain Identity Management) ist ein offener Standard, der es deinem Identitätsanbieter ermöglicht, Benutzerkonten in verbundenen Anwendungen automatisch zu erstellen, zu aktualisieren und zu deaktivieren. Wenn es funktioniert, laufen Onboarding und Offboarding automatisch ab. Das Problem: Die meisten Anbieter sperren SCIM hinter ihrer teuersten Enterprise-Stufe und zwingen dich, einen erheblichen Aufpreis zu zahlen, nur um grundlegende Lebenszyklus-Operationen zu automatisieren.
Ist die SCIM-Steuer wirklich so signifikant für ein mittelgroßes Unternehmen?
Ja – und es verschärft sich schnell. Ein Unternehmen mit ca. 200 Mitarbeitern, das eine typische SaaS-Stack-Landschaft aus Notion, Figma, Slack, GitHub und Jira betreibt, könnte leicht 30.000–50.000 USD pro Jahr durch erzwungene Enterprise-Upgrades ausgeben, nur um SCIM-Bereitstellung freizuschalten. Das kommt noch hinzu, bevor man den Anteil von 60–80 % deines Stacks berücksichtigt, der überhaupt kein SCIM unterstützt und den du weiterhin manuell verwalten müsstest.
Was ist die Alternative zum Bezahlen der SCIM-Steuer?
Universelle Konnektoren – wie die von Iden – automatisieren Bereitstellung und Deprovisioning für jede App, egal ob sie SCIM unterstützt, eine API hat oder weder. Du bleibst auf deinen aktuellen SaaS-Plänen und vermeidest die erzwungenen Enterprise-Upgrades vollständig. Das Ergebnis: vollständige Lebenszyklus-Automatisierung über 100% deines Stacks, nicht nur über die SCIM-freundlichen 20–40%.
Deckt SCIM tatsächlich die vollständige Governance ab, sobald du dafür bezahlst?
Nein. Selbst bei Apps, bei denen SCIM verfügbar ist, arbeitet es auf Gruppen- bzw. Rollenebene – nicht auf der feingranularen Berechtigungsstufe. SCIM kann einen Benutzer einer Gruppe wie 'Engineering' in GitHub hinzufügen, aber es kann nicht steuern, auf welche spezifischen Repositories, Branches oder Umgebungen sie zugreifen können. Für echte Governance benötigst du eine feingranulare Kontrolle, die über das hinausgeht, was SCIM bietet.
Was sind Zombie-Lizenzen und wie hängen sie mit der SCIM-Steuer zusammen?
Zombie-Lizenzen sind Bezahlte SaaS-Sitze, die Mitarbeitern zugewiesen sind, die dein Unternehmen bereits verlassen haben. Sie bleiben bestehen, weil Offboarding unvollständig ist – typischerweise, weil die App nicht durch SCIM-Bereitstellung abgedeckt ist und niemand das Konto manuell entfernt hat. Im Durchschnitt findet Iden 47 verwaiste Konten bei einem Unternehmen mit 100 Mitarbeitern während der Erstkonfiguration. Die Eliminierung dieser Konten kann SaaS-Ausgaben um bis zu 30 % senken.
Das Fazit
Die SCIM-Steuer ist real, spürbar und kumulativ. Ein einzelnes erzwungenes Enterprise-Upgrade wirkt vielleicht noch vertretbar. Aber über fünf, zehn oder zwanzig Tools im typischen Stack reden wir schnell über fünfstellige Beträge pro Jahr - gezahlt, um Provisionierung zu bekommen, die eigentlich Standard sein sollte, und die im besten Fall ein Drittel deiner Apps abdeckt.
Die Rechnung wird nicht besser, wenn du berücksichtigst, was SCIM nicht kann: Der Großteil deines Stacks bleibt ohne Automatisierung, du bekommst nur grobe Gruppensteuerung statt feingranularer Kontrolle - und in allen Tools ohne SCIM-Unterstützung bleiben Zombie-Konten bestehen.
Universelle Konnektoren sind der Ausweg. Automatisiere jede App - in den Tarifen, die du ohnehin nutzt - mit feingranularer Steuerung jenseits von Gruppen und Rollen und mit Lifecycle-Automatisierung, die Zugriffe wirklich sauber hält, statt sie nur zu synchronisieren.
Die SCIM-Steuer ist eine Entscheidung. Du musst sie nicht bezahlen.
