SCIM: Wichtige Informationen und Empfehlungen
SCIM (System for Cross-domain Identity Management) ist ein Protokoll, das die Integration von extern verwalteten Benutzerdaten in ein System ermöglicht. Durch die Implementierung dieses Protokolls im SoSafe Manager können Sie die Erstellung und laufende Aktualisierung von Benutzerdaten, einschließlich Vorname, Nachname, E-Mail-Adresse, Geschlecht und Benutzergruppe, automatisieren. Diese Automatisierung stellt sicher, dass Änderungen wie neue Mitarbeitende, Namensänderungen oder Austritte, wenn sie in Azure Entra ID aktualisiert werden, auch in der SoSafe-Datenbank reflektiert werden.
Kurz gesagt: SCIM macht die manuelle Verwaltung von Benutzerdaten überflüssig.
Voraussetzungen und Limitationen
Die SCIM Anbindung an den SoSafe Manager unterstützt nur Datentransfers aus dem Microsoft Azure AD, es werden keine On-Premise Active Directories unterstützt.
Die SCIM Anbindung unterstützt nur die Anbindung eines Azure-Tenants. Alle zu übertragenen Nutzerdaten müssen kundenseitig in einem Azure-Tenant verwaltet werden. Die Anbindung mehrerer Tenants wird nicht unterstützt.
Wenn eine SCIM Anbindung an den SoSafe Manager hergestellt wird, erfolgt die Nutzerverwaltung ausschließlich über das Azure AD kundenseitig, es ist nicht möglich parallel weitere Nutzerinnen und Nutzer per Excel- oder CSV-Import in die SoSafe Datenbank einzuspielen.
Derzeit ist lediglich die Hinterlegung von persönlichen E-Mail Adressen/Einzeladressen möglich. Sammeladressen können nicht hinterlegt werden.
Die Provisionierung von Azure-Sicherheitsgruppen ist erst ab einer "Azure Entra ID / Active Directory Premium P1" Lizenz möglich. Das bedeutet, dass ohne diese Lizenz, Nutzende nur einzeln der SoSafe Applikation hinzugefügt werden können.
Technische Empfehlungen
Für eine optimale Nutzung unseres Dienstes machen Sie sich bitte frühzeitig Gedanken über die Zuordnung in Nutzergruppen. Zur Befüllung der Nutzergruppen legen Sie bitte eigene Azure-Sicherheitsgruppen an, die dynamisch mit den passenden Personen befüllt werden. Bitte beachten Sie, dass Microsoft Azure keine Provisionierung von verschachtelten Gruppen unterstützt und, dass sich keine Person in mehr als einer Gruppe befinden sollte.
Bei der Nutzung mehrerer Sprachen, befüllen Sie bitte das Attribut „preferredLanguage“ mit der für die jeweiligen Nutzerinnen und Nutzer passenden Sprache. Wir unterstützen ISO639-1 Sprachcodes (wie z.B. “de” oder “en”). Kombinationen wie de-DE und en-US mit ISO-639 und ISO-3166 funktionieren ebenfalls. Zudem besteht die Möglichkeit eine Standardsprache festzulegen, die jede*r eingetragene Mitarbeitende bekommen soll, sofern keine Sprache hinterlegt ist.
Gehen Sie sicher, dass die Domains der E-Mail-Adressen, die Sie übermitteln wollen, alle von Ihnen administriert werden und geben Sie Ihrem Ansprechpartner/ Ihrer Ansprechpartnerin bei SoSafe eine entsprechende Liste durch, um die Domains für den weiteren Gebrauch freizuschalten.
Weitere Empfehlungen
Um die Qualität der Phishing-Simulation zu maximieren, empfehlen wir, die Merkmale Geschlecht und evtl. akademischer Grad mit in die Nutzerdatenübertragung aufzunehmen. Bei diesen Informationen handelt es sich nicht um Azure Standarddaten, diese können aber über ein extensionAttribute angelegt und übertragen werden. Wir empfehlen Ihnen diese Informationen nachzupflegen, sollten sie nicht in Ihrem AD angelegt sein. Das Attribut für Geschlecht können Sie befüllen, wie Sie möchten (z.B. “m, w, d” oder “Mann, Frau, divers”). Bitte lassen Sie uns im Anschluss wissen, welche Werte Sie verwendet haben. Grundsätzlich funktioniert die Simulation aber auch ohne diese Informationen. Genauere Hinweise dazu, wie die verschiedenen Kategorien der Nutzerdaten in der Simulation verwendet werden, sind in unserem Vertrag zur Auftragsdatenverarbeitung enthalten.
Wir unterstützen derzeit eine SCIM-Anbindung mit Azure AD und Okta AD. Wir unterstützen ausdrücklich keine Anbindung durch Shibboleth oder ADFS, sowie keine Multi-AD-Anbindungen.
Entfernung von Nutzern
Wenn Sie eine Mitarbeiterin oder ein Mitarbeiter von der Awareness-Maßnahme entfernen möchten, bspw. bei Verlassen des Unternehmens, entfernen Sie die Person einfach aus der SoSafe-Applikation in Ihrem Azure AD.
Die Person wird im Anschluss innerhalb des Synchronisationszyklus (40 Minuten) automatisch in der SoSafe-Nutzerliste deaktiviert. Erst nach 90 Tagen wird sie endgültig gelöscht.
Möchten Sie die Löschung rückgängig machen?
Innerhalb von 90 Tagen kann die entfernte Person jederzeit wieder hinzugefügt werden und das Training fortsetzen.
Nach Überschreitung der 90 Tage wird sie SoSafe-seitig gelöscht. Wenn sie wieder hinzugefügt wird, beginnt das Training von Neuem.