SCIM (System for Cross-domain Identity Management) ist ein Standard, der genutzt werden kann, um extern verwaltete Nutzerdaten an ein System anzuschließen. Es besteht die Möglichkeit diesen Standard für den SoSafe Manager einzurichten und die initiale Anlegung von Nutzerdaten (Vorname, Name, E-Mail-Adresse, Geschlecht und Nutzergruppe) und deren kontinuierliche Aktualisierung in unserer Datenbank zu automatisieren. Dies bedeutet, dass Namensänderungen, Neueinstellungen oder Firmenaustritte, welche in Azure Active Directory gepflegt werden, sich auch automatisch in der SoSafe Datenbank entsprechend aktualisieren. Damit entfällt die Notwendigkeit einer manuellen Nutzerdatenpflege. 

 

Die Verwendung des SCIM Standards ist an bestimmte technische Voraussetzungen gebunden und unterliegt gewissen Limitationen. 

 

Technische Voraussetzungen und Limitationen:

  1. Die SCIM Anbindung an den SoSafe Manager unterstützt nur Datentransfers aus dem Microsoft Azure AD, es werden keine On-Premise Active Directories unterstützt. 
  2. Die SCIM Anbindung unterstützt nur die Anbindung eines Azure-Tenants. Alle zu übertragenen Nutzerdaten müssen kundenseitig in einem Azure-Tenant verwaltet werden. Die Anbindung mehrerer Tenants wird nicht unterstützt.
  3. Wenn eine SCIM Anbindung an den SoSafe Manager hergestellt wird, erfolgt die Nutzerverwaltung ausschließlich über das Azure AD kundenseitig, es ist nicht möglich parallel weitere Nutzerinnen und Nutzer per Excel- oder CSV-Import in die SoSafe Datenbank einzuspielen.
  4. Derzeit ist lediglich die Hinterlegung von persönlichen E-Mail Adressen/Einzeladressen möglich. Sammeladressen können nicht hinterlegt werden.
  5. Die Provisionierung von Azure-Sicherheitsgruppen ist erst ab einer "Azure Active Directory Premium P1" Lizenz möglich. Das bedeutet, dass ohne diese Lizenz, Nutzende nur einzeln der SoSafe Applikation hinzugefügt werden können.  

 

Für eine möglichst reibungslose Anbindung achten Sie bitte auf folgende Punkte:

 

  1. Für eine optimale Nutzung unseres Dienstes machen Sie sich bitte frühzeitig Gedanken über die Zuordnung in Nutzergruppen. Zur Befüllung der Nutzergruppen legen Sie bitte eigene Azure-Sicherheitsgruppen an, die dynamisch mit den passenden Personen befüllt werden. Bitte beachten Sie, dass Microsoft Azure keine Provisionierung von verschachtelten Gruppen unterstützt und, dass sich keine Person in mehr als einer Gruppe befinden sollte.  
  2. Bei der Nutzung mehrerer Sprachen, befüllen Sie bitte das Attribut „preferredLanguage“ mit der für die jeweiligen Nutzerinnen und Nutzer passenden Sprache. Wir unterstützen ISO639-1 Sprachcodes (wie z.B. “de” oder “en”). Kombinationen wie de-DE und en-US mit ISO-639 und ISO-3166 funktionieren ebenfalls. Zudem besteht die Möglichkeit eine Standardsprache festzulegen, die jede*r eingetragene Mitarbeitende bekommen soll, sofern keine Sprache hinterlegt ist. 

  3. Gehen Sie sicher, dass die Domains der E-Mail-Adressen, die Sie übermitteln wollen, alle von Ihnen administriert werden und geben Sie Ihrem Ansprechpartner/ Ihrer Ansprechpartnerin bei SoSafe eine entsprechende Liste durch, um die Domains für den weiteren Gebrauch freizuschalten.


Hinweis: 

Um die Qualität der Phishing-Simulation zu maximieren, empfehlen wir, die Merkmale Geschlecht und evtl. akademischer Grad mit in die Nutzerdatenübertragung aufzunehmen. Bei diesen Informationen handelt es sich nicht um Azure Standarddaten, diese können aber über ein extensionAttribute angelegt und übertragen werden. Wir empfehlen Ihnen diese Informationen nachzupflegen, sollten sie nicht in Ihrem AD angelegt sein. Das Attribut für Geschlecht können Sie befüllen, wie Sie möchten (z.B. “m, w, d” oder “Mann, Frau, divers”). Bitte lassen Sie uns im Anschluss wissen, welche Werte Sie verwendet haben. Grundsätzlich funktioniert die Simulation aber auch ohne diese Informationen. Genauere Hinweise dazu, wie die verschiedenen Kategorien der Nutzerdaten in der Simulation verwendet werden, sind in unserem Vertrag zur Auftragsdatenverarbeitung enthalten. 


Wir unterstützen derzeit eine SCIM-Anbindung mit Azure AD und Okta AD. Wir unterstützen ausdrücklich keine Anbindung durch Shibboleth oder ADFS, sowie keine Multi-AD-Anbindungen.