Auth, Permissions und Audit als integraler Plattform-Bestandteil - nicht als nachträgliches Add-on. Wir bauen Plattformen, in denen Tenant-Trennung, Compliance und Support-Workflows von Tag eins funktionieren.
Führende Unternehmen weltweit vertrauen WZ-IT
Die ersten 80 Prozent jeder Member- oder Tenant-Plattform sind in zwei Wochen gebaut. Die letzten 20 Prozent - Impersonation für Support, Audit-konforme Logs, Soft-Delete ohne Datenverlust, sichere Permission-Vererbung, MFA-Onboarding ohne Lockouts - fressen drei Monate, wenn man sie nicht von Anfang an mitdenkt.
Wir bringen die Architektur-Patterns aus produktiven Plattformen mit. Sie überspringen die Lehrgeld-Phase und starten direkt mit einem Modell, das auch das fünfte Compliance-Audit übersteht.
Login, Single Sign-On gegen Ihre vorhandene Identitätsverwaltung, Anbindung an OIDC oder SAML - herstellerunabhängig und auf Wunsch selbst gehostet. Konten lassen sich deaktivieren, ohne dass Sie Audit-Historien verlieren.
Globale Rollen, Mandanten-Level, Projekt- oder Anlagen-Level, optional bis auf einzelne Geräte oder Datensätze. Vererbung und Sonderfälle sauber modelliert - und tief im Datenmodell verankert, nicht nur im UI.
Jede schreibende Aktion wird protokolliert - wer hat wann was geändert, von wo. Wenn ein Admin im Namen eines Endkunden handelt (Support-Case), bleibt seine Identität im Log erhalten - die Verantwortlichkeit geht nicht verloren.
Mehrstufige Drosselung gegen Brute-Force-Angriffe, Erkennung von ungewöhnlichen Login-Mustern, generische Fehlermeldungen ohne Datenpreisgabe. Optionaler Mehrfaktor-Layer für sensible Bereiche.
API-Keys, hinterlegte Zugangsdaten und sensible Konfigurationen werden verschlüsselt gespeichert. Pro Installation eigener Schlüssel, Schlüssel-Rotation ohne Downtime - auch dann, wenn Compliance-Vorgaben das verlangen.
Tenant-Trennung wird auf Datenbank-Ebene durchgesetzt - nicht erst in der Anwendung. So bleibt die Trennung auch dann bestehen, wenn ein Endpoint mal eine Prüfung vergisst. Defense-in-Depth statt blindes Vertrauen ins Frontend.
Ein SaaS-Produkt, das von Reseller-Partnern an deren Endkunden verteilt wird. Reseller-Admin sieht alle eigenen Endkunden, Endkunden sehen nur sich selbst, Plattform-Operator sieht alles und kann eingreifen - alles im selben Code-Base.
Vereine, Verbände, Genossenschaften - mit Rollen (Vorstand, Mitglied, Gast), Mitgliedsbeitrags-Workflows, Wahlen und Beschlussfassung. Inkl. DSGVO-konformer Datenhaltung und Right-to-Forget.
Tools für Ihre Mitarbeiter zur Verwaltung von Kunden, Tickets, Geräten oder Lizenzen. Single-Sign-On gegen Ihre bestehende IdP, Audit-Trail für jede Aktion, Export für Compliance-Reports.
Pro Tenant unterschiedliche Features, Limits, UI-Branding. Self-Service-Konfiguration durch den Tenant-Admin, zentral steuerbar durch den Plattform-Operator. Feature-Toggles als First-Class-Citizen.
Member- und Tenant-Plattformen werden meist im Kontext anderer Plattform-Aufgaben gebaut. Wir kombinieren sie nahtlos mit Remote-Site-Management, Custom-Dashboards oder klassischen Business-Apps.
Das hängt vom Ziel ab. Für schnelles Time-to-Market und SaaS: Supabase. Für Enterprise-Compliance mit SAML/OIDC und bestehender IdP-Landschaft: Keycloak. Für moderne, leichtgewichtige Self-Hosting-Setups: Authentik. Wir entscheiden im Workshop gemeinsam und beraten produktneutral.
Ja. Wir kapseln Auth hinter einer Service-Schicht in der API, sodass ein Wechsel von Supabase auf Keycloak (oder umgekehrt) möglich ist, ohne Permissions oder Audit-Daten zu verlieren. Das ist ein architektonischer Aufwand, kein Datenverlust-Risiko.
MVP mit Auth, Tenant-Modell, Audit und einem Permission-Level: 40.000-80.000 EUR. Vollständige Plattform mit Multi-Level-Permissions, Impersonation, MFA, Self-Service-Tenant-Konfiguration: 100.000-250.000 EUR. Festpreis nach Architektur-Workshop.
MVP: 6-10 Wochen. Vollausbau: 4-8 Monate. Wir liefern in iterativen Releases - ab Woche 4 ist meistens etwas Nutzbares produktiv.
Nicht zwingend. Wir hosten in europäischen Rechenzentren (Hetzner, IONOS, OVHcloud, STACKIT) - DSGVO-konform und auf Wunsch mit dediziertem VPC. Alternativ läuft die Plattform auf Ihrer Proxmox-Infrastruktur oder in einem Hyperscaler Ihrer Wahl.
Standard: alle Daten in der EU, Backups in der EU, kein Daten-Transfer in Drittländer. Auf Wunsch dokumentieren wir das in einem Datenschutz-Konzept-Dokument, das Sie an Auftragsverarbeitungs-Vereinbarungen anhängen können.
11.05.2026
Am 3. Mai 2026 hat das Vaultwarden-Maintainer-Team Version 1.36.0 veröffentlicht — und damit sechs Security-Advisories geschlossen, eines davon eine Server-Side-Request-Forgery, die in Cloud-Setups bis zum...
01.04.2026
Wer eine Okta- oder Auth0-Alternative sucht, landet schnell bei zwei Open-Source-Projekten: Authentik und Zitadel. Beide lösen das gleiche Problem – zentrales Identity & Access Management...
Ob konkrete IT-Herausforderung oder einfach eine Idee - wir freuen uns auf den Austausch. In einem kurzen Gespräch prüfen wir gemeinsam, ob und wie Ihr Projekt zu WZ-IT passt.
Führende Unternehmen vertrauen WZ-IT
Timo Wevelsiep & Robin Zins
Geschäftsführer
