Mitglieder, Mandanten, Operator — auf einer Plattform
Auth, Permissions und Audit als integraler Plattform-Bestandteil — nicht als nachträgliches Add-on. Wir bauen Plattformen, in denen Tenant-Trennung, Compliance und Support-Workflows von Tag eins funktionieren.
Führende Unternehmen weltweit vertrauen WZ-IT
Permissions sehen einfach aus, bis man sie produktiv betreiben muss
Die ersten 80 Prozent jeder Member- oder Tenant-Plattform sind in zwei Wochen gebaut. Die letzten 20 Prozent — Impersonation für Support, Audit-konforme Logs, Soft-Delete ohne Datenverlust, sichere Permission-Vererbung, MFA-Onboarding ohne Lockouts — fressen drei Monate, wenn man sie nicht von Anfang an mitdenkt.
Wir bringen die Architektur-Patterns aus produktiven Plattformen mit. Sie überspringen die Lehrgeld-Phase und starten direkt mit einem Modell, das auch das fünfte Compliance-Audit übersteht.
Was Auditoren sehen wollen
- Wer hat wann was geändert (Audit-Trail mit Aktor und Zeitstempel)
- Datenresidenz und Backup-Lokalisierung
- Right-to-Forget-Workflow ohne Audit-Lücke
- Mandanten-Trennung tief im Datenmodell, nicht nur in der Anwendung
- Verschlüsselungs-Strategie für gespeicherte Secrets
Sechs Bausteine für robuste Member- und Tenant-Plattformen
Robuster Auth-Stack
Login, Single Sign-On gegen Ihre vorhandene Identitätsverwaltung, Anbindung an OIDC oder SAML — herstellerunabhängig und auf Wunsch selbst gehostet. Konten lassen sich deaktivieren, ohne dass Sie Audit-Historien verlieren.
Mehrstufige Berechtigungen
Globale Rollen, Mandanten-Level, Projekt- oder Anlagen-Level, optional bis auf einzelne Geräte oder Datensätze. Vererbung und Sonderfälle sauber modelliert — und tief im Datenmodell verankert, nicht nur im UI.
Audit-Trail mit Impersonation
Jede schreibende Aktion wird protokolliert — wer hat wann was geändert, von wo. Wenn ein Admin im Namen eines Endkunden handelt (Support-Case), bleibt seine Identität im Log erhalten — die Verantwortlichkeit geht nicht verloren.
Schutz vor Missbrauch
Mehrstufige Drosselung gegen Brute-Force-Angriffe, Erkennung von ungewöhnlichen Login-Mustern, generische Fehlermeldungen ohne Datenpreisgabe. Optionaler Mehrfaktor-Layer für sensible Bereiche.
Verschlüsselte Secrets
API-Keys, hinterlegte Zugangsdaten und sensible Konfigurationen werden verschlüsselt gespeichert. Pro Installation eigener Schlüssel, Schlüssel-Rotation ohne Downtime — auch dann, wenn Compliance-Vorgaben das verlangen.
Tiefe Mandanten-Trennung
Tenant-Trennung wird auf Datenbank-Ebene durchgesetzt — nicht erst in der Anwendung. So bleibt die Trennung auch dann bestehen, wenn ein Endpoint mal eine Prüfung vergisst. Defense-in-Depth statt blindes Vertrauen ins Frontend.
Wer profitiert
B2B-SaaS mit Sub-Mandanten
Ein SaaS-Produkt, das von Reseller-Partnern an deren Endkunden verteilt wird. Reseller-Admin sieht alle eigenen Endkunden, Endkunden sehen nur sich selbst, Plattform-Operator sieht alles und kann eingreifen — alles im selben Code-Base.
Mitgliederverwaltung & Vereine
Vereine, Verbände, Genossenschaften — mit Rollen (Vorstand, Mitglied, Gast), Mitgliedsbeitrags-Workflows, Wahlen und Beschlussfassung. Inkl. DSGVO-konformer Datenhaltung und Right-to-Forget.
Interne Operator-Konsolen
Tools für Ihre Mitarbeiter zur Verwaltung von Kunden, Tickets, Geräten oder Lizenzen. Single-Sign-On gegen Ihre bestehende IdP, Audit-Trail für jede Aktion, Export für Compliance-Reports.
Feature-Flagging & Tenancy-Configs
Pro Tenant unterschiedliche Features, Limits, UI-Branding. Self-Service-Konfiguration durch den Tenant-Admin, zentral steuerbar durch den Plattform-Operator. Feature-Toggles als First-Class-Citizen.
Auth-Stack alleine reicht selten
Member- und Tenant-Plattformen werden meist im Kontext anderer Plattform-Aufgaben gebaut. Wir kombinieren sie nahtlos mit Remote-Site-Management, Custom-Dashboards oder klassischen Business-Apps.
Das hängt vom Ziel ab. Für schnelles Time-to-Market und SaaS: Supabase. Für Enterprise-Compliance mit SAML/OIDC und bestehender IdP-Landschaft: Keycloak. Für moderne, leichtgewichtige Self-Hosting-Setups: Authentik. Wir entscheiden im Workshop gemeinsam und beraten produktneutral.
Ja. Wir kapseln Auth hinter einer Service-Schicht in der API, sodass ein Wechsel von Supabase auf Keycloak (oder umgekehrt) möglich ist, ohne Permissions oder Audit-Daten zu verlieren. Das ist ein architektonischer Aufwand, kein Datenverlust-Risiko.
MVP mit Auth, Tenant-Modell, Audit und einem Permission-Level: 40.000 €–80.000 €. Vollständige Plattform mit Multi-Level-Permissions, Impersonation, MFA, Self-Service-Tenant-Konfiguration: 100.000 €–250.000 €. Festpreis nach Architektur-Workshop.
MVP: 6–10 Wochen. Vollausbau: 4–8 Monate. Wir liefern in iterativen Releases — ab Woche 4 ist meistens etwas Nutzbares produktiv.
Nicht zwingend. Wir hosten in europäischen Rechenzentren (Hetzner, IONOS, OVHcloud, STACKIT) — DSGVO-konform und auf Wunsch mit dediziertem VPC. Alternativ läuft die Plattform auf Ihrer Proxmox-Infrastruktur oder in einem Hyperscaler Ihrer Wahl.
Standard: alle Daten in der EU, Backups in der EU, kein Daten-Transfer in Drittländer. Auf Wunsch dokumentieren wir das in einem Datenschutz-Konzept-Dokument, das Sie an Auftragsverarbeitungs-Vereinbarungen anhängen können.
Branchenführende Unternehmen vertrauen auf uns
Was sagen Kunden über uns?
Lassen Sie uns über Ihre Idee sprechen
Ob konkrete IT-Herausforderung oder einfach eine Idee – wir freuen uns auf den Austausch. In einem kurzen Gespräch prüfen wir gemeinsam, ob und wie Ihr Projekt zu WZ-IT passt.
Führende Unternehmen vertrauen WZ-IT
Timo Wevelsiep & Robin Zins
Geschäftsführer