Kundenportal & IAM — Sicherheit ab Tag 1, in jeder Krafteq-Software inklusive

Beide Komponenten kommen zusammen. IAM liefert das zentrale Login mit Keycloak — E-Mail und Passwort, optional SSO via OIDC, MFA, Rollen, Audit-Log, Mandanten-Trennung, DSGVO-konformer Account-Lifecycle. Das Customer Portal ist die Web-Oberfläche zwischen Ihnen und krafteq: Projekt-Status, Verträge, AVV, Tickets, Releases, Rechnungen und Backup-Status an einem Ort. Beides ist von Tag 1 an aktiv, sobald Ihre Software live geht.

Portal und IAM werden nicht separat verkauft. Beide sind feste Bestandteile jedes Krafteq-Pakets — ohne Aufpreis, ohne separate Lizenz. Im Krafteq Cloud Server-Betrieb ab 250 € jährlich pro Software (1. Jahr inklusive) ist der Betrieb von Portal und IAM bereits enthalten. Wir kommunizieren bewusst keinen Einzelpreis, weil das Bundling der Punkt ist: Sie bekommen den vollständigen produktisierten Stack, nicht eine minimale Login-Lösung mit teuren Erweiterungen.

Wenn Ihr Betrieb Microsoft 365 nutzt, richten wir Single-Sign-On via OIDC gegen Microsoft Entra ID ein. Ihre Mitarbeitenden melden sich mit dem gewohnten Microsoft-Konto an, On- und Offboarding laufen zentral über Ihre Microsoft-365-Nutzerverwaltung. Die Einrichtung dauert typischerweise wenige Stunden auf Krafteq-Seite und benötigt eine OIDC-App-Registrierung in Ihrem Microsoft-Mandanten. Klassisches E-Mail-und-Passwort-Login bleibt parallel möglich.

Standard-Retention ist mindestens 30 Tage. Audit-Logs sind exportierbar als strukturierte Daten und enthalten Login-Events, Rollenänderungen, kritische Datenzugriffe und Account-Lifecycle-Aktionen. Längere Aufbewahrungsfristen — etwa wenn Ihre eigene ISMS-Policy 12 oder 24 Monate verlangt — kalkulieren wir transparent als Add-on innerhalb von Krafteq Cloud.

Das Recht auf Vergessenwerden (Art. 17 DSGVO) ist im IAM und im Portal implementiert. Wir können einzelne Konten und die zugehörigen personenbezogenen Daten DSGVO-konform löschen — entweder über Self-Service durch Sie als Inhaber, oder auf schriftliche Anfrage. Audit-Log-Einträge mit Personenbezug werden im selben Vorgang anonymisiert oder gelöscht, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

Ja — Custom Branding ist Standard. Sie nutzen das Portal unter Ihrer eigenen Domain (zum Beispiel portal.ihrbetrieb.de) und Ihrem Logo. Farben und Schriften lassen sich anpassen. Was wir bewusst nicht anbieten: ein vollständiges White-Label-Portal mit eigenständiger Marke und ohne Krafteq-Bezug — das ist mit dem produktisierten Modell nicht vereinbar.

Nein. Das Portal ist die Beziehungs-Schicht zwischen Ihrem Betrieb und krafteq — nicht ein Wiederverkaufs-Werkzeug für eine eigene Marke. Branding (Logo, Domain, Farben) ist möglich, eigenständige IP nicht. Wenn Sie Software unter eigener Marke vertreiben wollen, ist das ein anderes Engagement-Modell und kein Kleinbetriebs-Paket — sprechen Sie uns gerne im Erstgespräch darauf an.

Nein. Jeder Krafteq-Kunde ist ein eigener, strikt getrennter Mandant im IAM. Federated Identity über mehrere Kunden hinweg — also dass ein Login bei Kunde A gleichzeitig Zugang bei Kunde B gibt — ist bewusst nicht vorgesehen, weil es die Mandanten-Trennung untergraben würde. Innerhalb Ihres Mandanten können Sie SSO gegen Microsoft 365 oder Google Workspace nutzen.

Dann nutzen Sie das Standard-Login mit E-Mail und Passwort, optional mit MFA. Das ist der Default — kein Microsoft-Konto, kein Google-Konto erforderlich. Self-Service-Passwort-Reset über bestätigten E-Mail-Versand ist Standard, sodass Sie Ihre Mitarbeitenden ohne IT-Aufwand einladen können. Sobald Sie zu einem späteren Zeitpunkt SSO einführen wollen, lässt sich das nachträglich konfigurieren, ohne Datenverlust.

Jeder Krafteq-Kunde bekommt einen eigenen logischen Mandanten in Keycloak (Realm) und eine eigene Datenbank-Instanz oder zumindest ein eigenes Schema. Anwendungs-Logik prüft Mandanten-Zugehörigkeit auf jeder Datenebene. Ein Nutzer eines Kunden kann technisch und logisch nie auf Daten eines anderen Kunden zugreifen. Audit-Log-Einträge sind ebenfalls pro Mandant getrennt.