Sicherheit & Vertrauen

Sicherheit, Compliance & Abrechnung

Wie CentaurNexus Ihre Zscaler-Welt schützt – und wie Lizenzen und Abrechnung funktionieren.

Sicherheitsarchitektur

Mandantentrennung wird auf drei unabhängigen Ebenen erzwungen: signiertes JWT (Transport), requireAuth-Middleware (Applikation) und PostgreSQL Row-Level-Security (Datenbank). Fällt eine Ebene, hält die nächste – Cross-Tenant-Zugriffe sind technisch unmöglich.

Authentifizierung & Sessions

JWT (HS256), bcrypt-Hashing, httpOnly-Cookies, CSRF-Double-Submit und Refresh-Token-Rotation sind die Basis aller Sessions. Kunden-API-Keys liegen AES-256-GCM-verschlüsselt auf Datenbankebene.

MFA / TOTP

Alle Nutzer können (und sollen) TOTP-basierte Zwei-Faktor-Authentifizierung aktivieren. Der Enrollment-Flow läuft direkt in der Plattform: QR-Code scannen, Code bestätigen, Backup-Codes sichern. Ab diesem Moment wird beim Login ein zweiter Faktor verlangt. Admins können MFA-Pflicht per Rolle erzwingen.

  • Enrollment: Einstellungen → Sicherheit → „Zwei-Faktor-Authentifizierung einrichten".
  • TOTP-App: Google Authenticator, Authy, 1Password, Microsoft Authenticator und jede RFC 6238-kompatible App funktionieren.
  • Backup-Codes: Werden beim Enrollment einmalig angezeigt und sollten sicher gespeichert werden.
  • Reset: Helpdesk kann per IAM-Self-Service (UC 470) einen MFA-Skip für einen Login-Versuch ausstellen – auditiert.

SSO / Single Sign-On (OIDC & SAML2)

Enterprise-Tenants können ihren eigenen Identity Provider (IdP) anbinden – sowohl über OIDC (OAuth 2.0 Authorization Code + PKCE) als auch über SAML2. Die Konfiguration erfolgt in den Einstellungen unter „Identity Provider":

  • OIDC: Issuer-URL, Client-ID, Client-Secret (AES-256-GCM verschlüsselt gespeichert), Scopes.
  • SAML2: Metadata-URL oder manueller Upload der IdP-Metadaten; SP-Metadata zum Download.
  • Gruppen-Rollen-Mapping: IdP-Gruppen werden CentaurNexus-Rollen zugeordnet (z. B. cn-admins → Admin).
  • SCIM 2.0: Automatisierte Benutzer-Provisionierung und -Deprovisionierung aus dem IdP heraus – Token-basiert, Audit-Trail jeder Sync-Aktion.

Solange SSO konfiguriert ist, ist der lokale Login deaktiviert (außer für den ersten Super-Admin als Notfallzugang). Die IdP-Konfiguration ist nur für Super-Admins sichtbar.

Das Vier-Augen-Prinzip

Sicherheitsrelevante Aktionen werden von einer Person beantragt und von einer anderen genehmigt (Antragsteller ≠ Genehmiger). Alle Schritte sind auditiert; bei vielen Funktionen ist per Policy einstellbar, ob sofort oder per Freigabe.

Souveränität & DSGVO

Gehostet auf STACKIT in Deutschland, kontrolliert nach EU-Recht – keine US-Cloud, keine Drittland-Übermittlung. Der EU-Datenraum erzwingt die Log-Anonymisierung am Egress (UC 711).

NIS2 / DORA / ISO 27001

RBAC, revisionssichere Audit-Logs und Vier-Augen unterstützen NIS2- und DORA-Anforderungen. Der Compliance-Evidence-Collector (UC 480) erstellt auditorenfertige Nachweis-Pakete. ISO 27001 ist in Vorbereitung. Hinweis: Diese Darstellung ersetzt keine Rechtsberatung.

Lizenzen & Abrechnung

Plattform-Fee je Mandant + Preis pro Seat/Monat. Funktionen sind im JWT lizenzgesteuert und serverseitig gegen die Datenbank-Policy geprüft. Details finden Sie auf der Preisseite.

Verwandte Artikel

Preise im Detail Admin & Governance