Hannes Riehl
Head of Architecture
B2B mitdenken
Lieferanten, Reseller und Partner sind weder klassische Mitarbeitende noch klassische Endkunden. Ob du sie innerhalb deines CIAM abbildest oder separat aufstellst, sie brauchen eigene Regeln, sonst entsteht entweder ein Compliance Risiko oder ein Usability Problem.
Eigene Bausteine
Multi Tenant, Delegated Administration, Federation und Just in Time Provisioning sind die Bausteine, die Partner Identity Management ausmachen, ganz gleich, ob du sie im CIAM oder separat umsetzt.
Compliance Treiber
NIS2 und DORA machen sauberes Drittparteien Management zur Pflicht. Wer Partner Zugriffe nicht sauber dokumentiert, fällt im Audit auf.
Partner Identity Management
Wenn der neue Reseller plötzlich vor der Tür steht
Stell dir vor, ein neuer Vertriebspartner will ab nächster Woche deine Plattform nutzen. Du hast jetzt zwei naheliegende Optionen. Entweder legst du ihn ins Active Directory wie einen normalen Mitarbeiter, oder du machst ihm einen einfachen Endkunden Account auf, so als wäre er ein Privatkunde. Beides funktioniert irgendwie, ist aber nicht so elegant gelöst.
Externe Geschäftspartner gehören weder zur eigenen Belegschaft noch zur klassischen Endkundengruppe. Für sie gelten eigene Spielregeln. Genau deshalb braucht Partner Identity Management besondere Aufmerksamkeit.
Wer Lieferanten und Partner einfach ins Workforce IAM steckt, baut sich ein Compliance Risiko ins Haus. Wer sie wie gewöhnliche Endkunden behandelt, also ohne Firmen, Mandanten und Delegationslogik, bekommt schnell ein Usability und Verwaltungsproblem. Genau hier setzt Partner Identity Management an, oft als eigener Baustein im CIAM. Und mit NIS2 sowie DORA bekommt das Thema gerade eine ganz neue Dringlichkeit.
Die drei Bereiche
Workforce, CIAM und das oft vergessene Partner Identity Management
Die meisten Unternehmen denken Identity Management in zwei Zielgruppen. Da ist einmal Workforce IAM für interne Mitarbeitende, der Klassiker mit Active Directory, Entra ID und der ganzen HR Anbindung. Und es gibt CIAM, das Customer Identity Management für Endkunden, die sich im Shop, Service Portal oder in der App anmelden. Wer noch nicht so tief im Thema CIAM drin ist, findet bei uns einen eigenen Blogartikel, der das Thema von Grund auf erklärt.
Eine dritte Gruppe wird oft übersehen: Partner Identity Management für Lieferanten, Reseller, Partneragenturen und alle anderen externen Firmen, mit denen du strukturiert zusammenarbeitest. Diese Identitäten sind weder Mitarbeitende noch Endkunden. Sie agieren im Namen einer eigenen Firma, mit eigener IT, eigenen Compliance Regeln und einem definierten Vertragsverhältnis.
Wichtig ist dabei eine Einordnung, die in der Praxis oft untergeht. Die Grenze zwischen CIAM und Partner Management ist fließend, und je nach Plattform wird B2B als Teil von CIAM mitgedacht, etwa über ein zusätzliches Organisations und Mandantenmodell. Egal, wie du es einordnest, der entscheidende Punkt bleibt derselbe: B2B muss von Anfang an mitgedacht werden, weil für Lieferanten und Partner eigene Regeln gelten.
Diese eigenen Regeln entstehen, sobald eine Identität nicht mehr für sich selbst handelt, sondern für eine andere Firma mit eigenem Vertrag und eigenen Mitarbeitenden. Eine Endkundin verwaltet niemanden außer sich selbst. Ein Partner Admin verwaltet ein ganzes Team, vergibt Rollen und sperrt Kollegen. Dazu kommen harte Mandantentrennung und die Bindung an den Vertragslebenszyklus. Ob du das nun B2B CIAM oder Partner Identity Management nennst, ist zweitrangig. Entscheidend ist, dass du diese Anforderungen bewusst berücksichtigst und nicht nebenbei im Endkundenportal mitlaufen lässt.
Wer diese Gruppe nicht eigenständig denkt, sieht die Symptome im Alltag. Da kursieren gewachsene Excel Listen mit Partner Logins, ganze Lieferantenfirmen teilen sich einen Shared Account und externe Mitarbeitende haben Monate nach Vertragsende noch immer einen aktiven AD Account. Genau diese Stellen schlagen im nächsten Audit unangenehm zurück.
Die Merkmale
Was Partner Identity Management technisch ausmacht
Drei Merkmale unterscheiden Partner Identity Management von Workforce IAM und klassischem CIAM. An jedem dieser Punkte stoßen die anderen beiden Ansätze in der Praxis an ihre Grenzen.
Unterstützung gefällig?
Du willst deine Partner und Lieferanten sauber statt improvisiert managen? Wir bei amiconsult bringen Erfahrung aus echten Projekten mit und finden mit dir den passenden Weg.
Aus der Praxis
Drei typische Szenarien aus der Praxis
Damit klarer wird, wo das Thema schon heute Realität ist, drei Beispiele aus unseren Projekten.
Lieferantenportal in der Industrie
Ein Automobilzulieferer betreibt ein Portal, in das hunderte Lieferanten ihre Daten hochladen, Qualitätsnachweise dokumentieren und ihre eigenen Bestellungen einsehen. Die Krux dabei: Viele dieser Lieferanten beliefern auch direkte Wettbewerber des Zulieferers. Eine saubere Mandantentrennung ist hier Pflicht. Werden Bestellmengen, Preise oder Spezifikationen versehentlich für andere Partner sichtbar, ist das ein massiver Vertrauensbruch. Dazu kommt das Audit Thema, denn jeder Zugriff auf sensible Konstruktionsdaten muss nachvollziehbar bleiben. In solchen Setups laufen oft hunderte aktive Partnerfirmen parallel, und ohne automatisierte Mandanten Provisionierung wird das Modell schnell zur Bremse.
Reseller Plattform im Vertrieb
Ein Softwarehersteller verkauft seine Produkte nicht direkt, sondern über ein dichtes Netz an Vertriebspartnern. Diese Reseller konfigurieren Angebote für ihre Endkunden, sehen ihre Margen, melden Leads und kümmern sich um First Level Support. Hier zählt Geschwindigkeit. Ein neuer Reseller muss innerhalb von Stunden produktiv sein, nicht erst nach zwei Wochen IT Ticket Ping Pong. Self Service Onboarding mit klarem Approval Pfad macht den Vertrieb skalierbar. Branding pro Partner ist in diesem Szenario oft ein hartes Anforderungskriterium, weil Reseller ihren Endkunden gegenüber als eigene Marke auftreten wollen. Das Portal soll also nicht nach dem Hersteller aussehen, sondern nach dem Reseller selbst.
Klinikverbünde und Gesundheitswesen
Ein regionaler Klinikverbund arbeitet mit hunderten externen Ärztinnen, Laboren, Pflegediensten und Reha Einrichtungen zusammen. Alle brauchen geregelten Zugriff auf bestimmte Patientendaten, Befunde oder Termine. Hier wird Delegated Administration zum Lebensretter, denn ohne sie würde die zentrale Krankenhaus IT zur Onboarding Hotline für jede externe Praxis im Umkreis. Stattdessen verwaltet jede Partner Einrichtung ihre eigenen Leute, innerhalb klar gesetzter Datenschutzgrenzen. Dazu kommt eine extreme Sensibilität bei Berechtigungen, denn Patientendaten sind heilig. Rezertifizierungen müssen regelmäßig laufen und jeder Zugriff muss dokumentiert sein. Das Ganze auch noch DSGVO konform und im Einklang mit den Sonderregeln für Gesundheitsdaten.
Die Bausteine
Drei Komponenten, die in jedem Setup auftauchen
Dazu kommen Themen, die oft erst spät auf den Tisch kommen. Auditing, Rezertifizierung von Partner Zugriffen und automatische Sperrung bei abgelaufenem Vertrag. Genau diese Punkte werden im NIS2 Kontext zur Pflicht. Wer das größere Bild sucht, findet in unserem Artikel zur Identity Fabric, wie diese drei IAM Bereiche technisch sauber zusammenspielen.
Unser Expertenrat
Worauf wir in Projekten besonders achten
Aus unserer Projektpraxis sind es drei Punkte, die in fast jedem Partner Identity Management Vorhaben den Unterschied machen.
Vertragslebenszyklus mitdenken. Identitäten müssen automatisch deaktiviert werden, wenn Verträge enden. Das ist die häufigste Lücke, die wir in Projekten aufdecken. Ein Lieferant, der seit zehn Monaten nicht mehr liefert, sollte auch seit zehn Monaten keinen Zugriff mehr haben.
Partner Onboarding muss skalieren. Wenn jeder neue Lieferant ein IT Ticket auslöst, hat das Modell schon verloren. Self Service mit klarem Approval Pfad ist Pflicht, sonst wird die zentrale IT zum Engpass.
Compliance Pfade früh einplanen. NIS2 und DORA fragen konkret nach Drittparteien Zugriffen. Wer das im Logging und in der Rezertifizierung nicht abbildet, fällt im Audit auf. Beim BSI findest du die offiziellen Hinweise zu den NIS2 Pflichten in Deutschland, die europäischen Aufsichtsbehörden EBA, ESMA und EIOPA stellen zu DORA gemeinsam umfangreiche Materialien zum Thema Drittparteien Risiko bereit.
Fazit
Partner Identity Management gehört in jede IAM Strategie
Wer 2026 nur an interne Mitarbeitende und Endkunden denkt, lässt eine wichtige Gruppe unbeachtet. Ob du B2B als Teil deines CIAM mitdenkst oder als eigene Disziplin behandelst, spielt am Ende keine große Rolle. Wichtig ist, dass du Lieferanten, Reseller und Partneragenturen bewusst planst und ihnen ihre eigenen Regeln zugestehst, statt zu improvisieren.
Drei Dinge solltest du mitnehmen: Partner Identitäten brauchen eigene Bausteine wie Multi Tenant Logik, Delegated Administration und Federation. Vertragslebenszyklus und Compliance Themen wie NIS2 und DORA bestimmen, wie sauber dein Setup wirklich sein muss. Und Self Service mit klarem Approval Pfad ist die einzige Variante, die langfristig skaliert.
Wenn du gerade merkst, dass deine bestehende Plattform diesen dritten Bereich eher improvisiert abbildet, sprich uns an. Wir bei amiconsult kennen die Lösungen, Anbieter und Best Practices rund um Partner Identity Management und unterstützen dich dabei, eine Architektur zu entwickeln, die zu deinem Unternehmen passt. Wir freuen uns auf deine Nachricht!
