SCIM

Konfigurieren von SCIM für Microsoft Entra ID

In diesem Artikel erfahren Sie, wie Sie SCIM mithilfe von Microsoft Entra ID (vormals Azure Active Directory) konfigurieren. Durch die Konfiguration von SCIM für Microsoft Entra ID können Sie mithilfe von Microsoft Entra ID Nutzer:innen und Gruppen in Ihrer KSAT-Konsole hinzufügen und verwalten.

Die Anweisungen in diesem Artikel beziehen sich auf Software von Drittanbietern. Wenn Sie Probleme mit der Nutzerbereitstellung in Microsoft Entra ID haben, empfehlen wir Ihnen, sich an Microsoft Entra zu wenden, um spezifische Anweisungen zu erhalten. Sie können auch unser Support-Team kontaktieren und wir helfen Ihnen gerne weiter.  

Hinweis:Um Nutzer:innen und Gruppen mit SCIM zu synchronisieren, benötigen Sie ein Microsoft Entra-Abonnement. Weitere Informationen zum Synchronisieren von Nutzer:innen und Gruppen über Microsoft Entra finden Sie im Microsoft-Artikel Zuweisen von Benutzern und Gruppen zu einer Anwendung.

Konfigurieren des SCIM

In diesem Abschnitt erfahren Sie, wie Sie Ihre SCIM-Einstellungen mit Microsoft Entra konfigurieren. Bitte beachten Sie, dass Sie diese Schritte konfigurieren sollten, nachdem Sie Ihre Einstellungen in Ihrer KSAT-Konsole konfiguriert haben. Weitere Informationen zum Konfigurieren des SCIM in Ihrer KSAT-Konsole finden Sie in unserem Leitfaden für die SCIM-Konfiguration.

Führen Sie die folgenden Schritte aus, um Ihre SCIM-Einstellungen mit Microsoft Entra zu konfigurieren:

  1. Melden Sie sich im Microsoft Entra.Portal an und navigieren Sie anschließend zu Microsoft Entra ID.
  2. Klicken Sie im Drop-down-Menü Anwendungen auf die Option Unternehmensanwendungen.
  3. Klicken Sie auf + Neue Anwendung.
  4. Geben Sie in der Suchleiste „KnowBe4“ ein, um Ihre Ergebnisse zu filtern. 
  5. Klicken Sie auf die Kachel KnowBe4 Security Awareness Training.
  6. Klicken Sie dann auf Erstellen. Nachdem Sie auf Erstellen geklickt haben, werden Sie zur Seite Übersicht für die von Ihnen erstellte Anwendung weitergeleitet. Wenn Sie nicht zur Seite Übersicht weitergeleitet werden, müssen Sie die Anwendung aus der Liste der Unternehmensanwendungen öffnen.
  7. Wählen Sie im Menü links auf der Seite die Registerkarte Bereitstellung aus.
  8. Klicken Sie auf Los geht's.
  9. Klicken Sie auf das Dropdown-Menü Bereitstellungsmodus und wählen Sie dann Automatisch aus.
  10. Als Nächstes müssen Sie die Informationen von Ihrer Seite Kontoeinstellungen eingeben. Weitere Informationen dazu, wo Sie diese Informationen finden können, erhalten Sie im Leitfaden für die SCIM-Konfiguration. Geben Sie in das Feld Mandanten-URL die Mandanten-URL und in das Feld Geheimes Token das SCIM-Token ein. 
    Wichtig:Diese Funktion unterstützt derzeit keine On-Demand-Bereitstellung.
  11. Nachdem Sie Ihre Informationen eingegeben haben, klicken Sie auf die Schaltfläche Verbindung testen. Wenn Sie auf diese Schaltfläche klicken, können Sie sicherstellen, dass Sie die richtigen Informationen eingegeben haben. Wenn die Verbindung erfolgreich ist, wird ein Erfolgsbanner in der oberen rechten Ecke Ihres Bildschirms angezeigt.
  12. Klicken Sie oben auf dem Bildschirm auf die Schaltfläche Speichern.

Als Nächstes müssen Sie definieren, welche Nutzer:innen und Gruppen Microsoft Entra ID mit Ihrer KSAT-Konsole synchronisieren soll.

Festlegung, welche Nutzer:innen und Gruppen von Microsoft Entra synchronisiert werden sollen

Nachdem Sie die Schritte im obigen Abschnitt Konfigurieren des SCIM ausgeführt haben, können Sie entscheiden, welche Nutzer:innen und Gruppen Sie synchronisieren möchten. Diese Konfiguration ist erforderlich, um Nutzer:innen und Gruppen von Ihrem Identitätsanbieter (IdP) zu synchronisieren.

Hinweis:Die Anweisungen in diesem Abschnitt beziehen sich auf das Definieren bestimmter zu synchronisierender Nutzer:innen und Gruppen. Wenn Sie alle Ihre Nutzer:innen und Gruppen aus Microsoft Entra ID synchronisieren möchten, lesen Sie bitte den Abschnitt Häufig gestellte Fragen (FAQ) dieses Artikels.
Wichtig:Verschachtelte Gruppen werden derzeit nicht von der SCIM- und Microsoft Entra ID-Bereitstellung unterstützt. Weitere Informationen finden Sie im Abschnitt „Bereichsdefinition“ des Microsoft-Artikels Funktionsweise der Anwendungsbereitstellung in Azure Active Directory.

Führen Sie die folgenden Schritte aus, um festzulegen, welche Nutzer:innen und Gruppen Sie aus Microsoft Entra ID synchronisieren möchten:

  1. Navigieren Sie von Microsoft Entra ID aus zu Unternehmensanwendungen.
  2. Wählen Sie die Anwendung aus, die Sie für Ihre KnowBe4-Verbindung erstellt haben.
  3. Klicken Sie im Menü links auf der Seite auf Nutzer:innen und Gruppen.
  4. Klicken Sie auf Nutzer/Gruppe hinzufügen, um die Nutzer:innen oder Gruppen auszuwählen, die Sie synchronisieren möchten.
  5. Klicken Sie auf Nutzer:innen und Gruppen, um nach Nutzer:innen oder Gruppen zu suchen, die Sie in Ihre Synchronisierung aufnehmen möchten. Um Nutzer:innen oder eine Gruppe hinzuzufügen, klicken Sie auf den Namen der Nutzerin bzw. des Nutzers oder der Gruppe. Sie werden jetzt in der Kategorie Ausgewählte Elemente angezeigt.
    Hinweis:Wir empfehlen, dass Sie bei der ersten Konfiguration Ihrer Einstellungen nur wenige Nutzer:innen einbeziehen. Wenn Sie mit wenigen Nutzer:innen beginnen, können Sie sicherstellen, dass die Verbindung ordnungsgemäß funktioniert, bevor Sie alle Nutzer:innen und Gruppen hinzufügen, die Sie einbeziehen möchten.
  6. Nachdem Sie die Nutzer:innen und Gruppen hinzugefügt haben, die Sie der Kategorie Ausgewählte Elemente hinzufügen möchten, klicken Sie auf Auswählen.
  7. Klicken Sie auf Zuweisen.

Die ausgewählten Nutzer:innen und Gruppen werden nun in der Tabelle angezeigt.

Starten Ihrer Synchronisierung

Nachdem Sie SCIM konfiguriert und die Nutzer:innen und Gruppen hinzugefügt haben, die Sie synchronisieren möchten, müssen Sie die Synchronisierung starten. Sobald Sie die Synchronisierung starten, prüft das System automatisch alle 40 Minuten auf Änderungen an Ihren Nutzer:innen und Gruppen in Microsoft Entra ID und initiiert eine Synchronisierung, wenn Änderungen vorgenommen wurden.

Hinweis:Wenn Sie mehr als einige tausend Nutzer:innen in Ihrer SCIM-Bereitstellungsanwendung haben, werden wahrscheinlich nicht alle Ihre Nutzer:innen in Ihre anfängliche Synchronisierung eingeschlossen. Stattdessen werden die Nutzer:innen schrittweise mit Ihrem Konto synchronisiert. Wir empfehlen, dass Sie die Nutzerbereitstellung im Testmodus belassen, bis Sie nur wenige Änderungen zwischen Ihren Synchronisierungsberichten sehen. Wenn Sie warten, bis Sie nur noch wenige Änderungen sehen, wird verhindert, dass Nutzer:innen in Ihrer KSAT-Konsole archiviert werden. Außerdem kann das Synchronisieren von Gruppenmitgliedschaften länger dauern als das Synchronisieren von Nutzer:innen. Wenn Sie ein größeres Konto haben, können Sie regelmäßige Synchronisierungen in Ihrer KSAT-Konsole erwarten.

Führen Sie die folgenden Schritte aus, um Ihre Synchronisierung zu starten:

  1. Navigieren Sie von Microsoft Entra ID aus zu Unternehmensanwendungen.
  2. Wählen Sie die Anwendung aus, die Sie für Ihre KnowBe4-Verbindung erstellt haben.
  3. Wählen Sie im Menü auf der linken Seite die Option Bereitstellung aus.
  4. Klicken Sie auf Bereitstellung starten.

Die Synchronisierung wird sofort initiiert. Nach Ihrer ersten Synchronisierung prüft das System alle 40 Minuten auf Änderungen in Microsoft Entra ID und initiiert eine Synchronisierung, wenn Änderungen vorgenommen wurden.

Wichtig:Sobald Sie sicher sind, dass Ihre Nutzer:innen korrekt synchronisiert wurden, müssen Sie den Testmodus in Ihren KSAT-Kontoeinstellungen deaktivieren. Wenn Sie den Testmodus deaktivieren, können Nutzer:innen während der nächsten Synchronisierung hinzugefügt und archiviert werden. Weitere Informationen zum Testmodus finden Sie im Leitfaden für die SCIM-Konfiguration.

Um den Status dieser Synchronisierungen sowie Fehler und zusätzliche Informationen zu Ihren Synchronisierungen anzuzeigen, navigieren Sie in Ihrer KSAT-Konsole zu Nutzer:innen > Bereitstellung.

Erweiterte Konfigurationsoptionen

Durch die Aktivierung von SCIM werden die Felder bei Ihrem Identitätsanbieter automatisch mit den entsprechenden Feldern in Ihrer KSAT-Konsole verbunden. Wenn Sie die Standardzuordnung ändern oder benutzerdefinierte Felder hinzufügen möchten, haben Sie die Möglichkeit, diese Felder in Microsoft Entra ID zu aktualisieren.

Wichtig:E-Mail-Aliasse werden derzeit nicht von der SCIM-Bereitstellung unterstützt.

Weitere Informationen zu erweiterten Konfigurationsoptionen für Microsoft Entra finden Sie in den folgenden Unterabschnitten:

Standardzuordnungen

Die Standardfeldzuordnungen sind unten dargestellt:

Standardattribut für Azure Active Directory KSAT-Attribut KSAT-Feld
userPrincipalName
userName
E-Mail
givenName
name.givenName
Vorname
surname
name.familyName
Nachname
employeeId
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber
Mitarbeiternummer
jobTitle
title
Stellenbezeichnung
companyName
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization
Organisation
department
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department
Abteilung
manager
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager.value
Hinweis:Damit die Managerinformationen synchronisiert werden können, müssen die betreffenden Manager in die Synchronisierung einbezogen werden. Lesen Sie den Abschnitt Festlegung, welche Nutzer:innen und Gruppen von Microsoft Entra synchronisiert werden sollen, um diese Manager zur Synchronisierung hinzuzufügen.
E-Mail-Adresse des Managers oder der Managerin
displayName aus dem Entra ID-Profil des Managers
displayName
Hinweis:Der den einzelnen Nutzer:innen zugeordnete displayName stammt aus dem Entra ID-Profil ihres jeweiligen Managers. Infolgedessen wird der displayName einer Nutzerin oder eines Nutzers nicht in dem zugehörigen Nutzerprofil in KSAT angezeigt, da der Name über andere Attribute synchronisiert wird. Er erscheint allerdings in den Nutzerprofilen direkt unterstellter Mitarbeitender.
Managername
Hinweis:Die Felder Geschäftsbereich und Organisation sind standardmäßig nicht zugeordnet. Wenn Sie diese Felder verwenden möchten, müssen Sie die Zuordnung hinzufügen. Sie können diese Attribute hinzufügen, indem Sie die Anweisungen im Abschnitt Hinzufügen einer Attributzuordnung für benutzerdefinierte Benutzerfelder weiter unten befolgen.
Standardattribut für Azure Active Directory KSAT-Attribut KSAT-Feld
N. z. N. z. Zeitzone
N. z. N. z. Durchwahl
N. z. N. z. Sprache
N. z. N. z. Kommentar
N. z. N. z. Startdatum des Mitarbeitenden

Ändern der Standardzuordnungen

Sie können die Standardzuordnungen ändern, um die Nutzerinformationen anzupassen, die zwischen Microsoft Entra und Ihrer KSAT-Konsole synchronisiert werden.

Führen Sie die folgenden Schritte aus, um die Standardzuordnungen zu ändern:

  1. Navigieren Sie von Microsoft Entra ID aus zu Unternehmensanwendungen.
  2. Wählen Sie die Anwendung aus, die Sie für Ihre KnowBe4-Verbindung erstellt haben.
  3. Wählen Sie im Menü links auf der Seite die Option Bereitstellung aus.
  4. Klicken Sie im Fenster Bereitstellung unter Bereitstellung verwalten auf Attributzuordnung bearbeiten.
  5. Klicken Sie auf den Dropdown-Pfeil neben Zuordnungen, um die Registerkarte Zuordnungen zu erweitern.
  6. Klicken Sie auf Azure Active Directory-Benutzer bereitstellen.
  7. Scrollen Sie nach unten zum Abschnitt Attributzuordnungen. In diesem Abschnitt sehen Sie eine Liste aller zugeordneten Attribute. Die Spalte Azure Active Directory-Attribut zeigt den Namen des Attributs in Microsoft Entra an. Die Spalte KnowBe4-Attribut zeigt den SCIM-Standardnamen für dieses Attribut an.
  8. Wählen Sie das Attribut aus, das Sie bearbeiten möchten.
  9. Passen Sie das Attribut im Seitenbereich Attribut bearbeiten an. Einzelheiten zu den Anpassungsoptionen finden Sie in der folgenden Liste:

    1. Zuordnungstyp: Wählen Sie im Dropdown-Menü den Eintrag Direkt aus.
    2. Quellattribut: Wählen Sie das Azure-Feld aus, das Sie diesem benutzerdefinierten Feld zuordnen möchten.
      Hinweis:Bei Verwendung von SCIM für Microsoft Entra ID muss dieses Attribut mit dem Quellattribut von SCIM übereinstimmen. Standardmäßig lautet das SSO-Quellattribut wie folgt: user.userprincipalname. Weitere Informationen finden Sie im Abschnitt Hinzufügen der KnowBe4-Anwendung zu Azure AD in unserem Artikel Wie konfiguriere ich SSO/SAML mit Azure Active Directory (AD)?
    3. Standardwert, wenn null: Dieses Feld ist optional und wir empfehlen, es leer zu lassen.
    4. Zielattribut: Wählen Sie das benutzerdefinierte Feld aus, das Sie dem ausgewählten Azure-Feld zuordnen möchten.
    5. Objekte mit diesem Attribut abgleichen: Wir empfehlen Ihnen, Nein auszuwählen.
    6. Diese Zuordnung anwenden: Wir empfehlen Ihnen, Immer auszuwählen.
      Hinweis:Wenn Sie ein Attribut nicht synchronisieren möchten, können Sie neben diesem Attribut auf die Schaltfläche Löschen klicken, um die Synchronisierung zu deaktivieren. Diese Aktion entfernt nur die Verbindung zwischen diesem Attribut und dem entsprechenden Feld in Ihrer KSAT-Konsole. Es werden keine Daten aus Azure gelöscht.
  10. Nachdem Sie die gewünschten Änderungen vorgenommen haben, klicken Sie auf Ok.
    Hinweis:Wir empfehlen, nur das Feld Quellattribut zu ändern. Das Ändern der anderen Einstellungen für das Attribut kann die Verbindung zwischen Microsoft Entra und Ihrer KSAT-Konsole unterbrechen.

Hinzufügen einer Attributzuordnung für benutzerdefinierte Benutzerfelder

Sie haben auch die Möglichkeit, sechs benutzerdefinierte Felder hinzuzufügen. Diese Felder werden standardmäßig nicht zugeordnet, aber Sie können sie Microsoft Entra hinzufügen, indem Sie die folgenden Schritte ausführen:

  1. Navigieren Sie von Microsoft Entra ID aus zu Unternehmensanwendungen.
  2. Wählen Sie die Anwendung aus, die Sie für Ihre KnowBe4-Verbindung erstellt haben.
  3. Wählen Sie im Menü links auf der Seite die Option Bereitstellung aus.
  4. Wählen Sie im Fenster Bereitstellung unter Bereitstellung verwalten die Option Attributzuordnungen bearbeiten.
  5. Klicken Sie auf den Dropdown-Pfeil neben Zuordnungen, um die Registerkarte Zuordnungen zu erweitern.
  6. Klicken Sie auf Azure Active Directory-Benutzer bereitstellen.
  7. Klicken Sie unten in der Tabelle auf Neue Zuordnung hinzufügen.
  8. Wählen Sie im Fenster Attribut bearbeiten das Quellattribut aus, das Sie verwenden möchten.
  9. Wählen Sie dann das Zielattribut aus, das Sie verwenden möchten. Wir bieten die folgenden benutzerdefinierten Felder an:
    KSAT-Feld Zielattribut
    Benutzerdefiniertes Feld 1
    							urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField1
    						
    Benutzerdefiniertes Feld 2
    							urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField2
    						
    Benutzerdefiniertes Feld 3
    							urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField3
    						
    Benutzerdefiniertes Feld 4
    							urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField4
    						
    Benutzerdefiniertes Datum 1
    							urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customDate1
    						
    Benutzerdefiniertes Datum 2
    							urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customDate2
    						
    Geschäftsbereich
    							urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division
    						
    Organisation
    							urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization
    						
  10. Wir empfehlen, die restlichen Einstellungen auf den Standardeinstellungen zu belassen.
  11. Wiederholen Sie Schritt 9 für alle benutzerdefinierten Felder, die Sie in Schritt 8 hinzugefügt haben.
  12. Klicken Sie oben auf dem Bildschirm auf Speichern, um Ihre Änderungen zu speichern.

Diese benutzerdefinierten Felder werden jetzt mit Ihrer KSAT-Konsole synchronisiert.

Häufig gestellte Fragen (FAQ)

Nachfolgend finden Sie eine Liste häufig gestellter Fragen zur Verwendung von SCIM mit Microsoft Entra ID.

Wie oft finden Synchronisierungen statt?

Das System sucht alle 40 Minuten nach Updates für die Nutzer:innen und Gruppen in Microsoft Entra ID. Wenn Änderungen gefunden werden, beginnt automatisch eine Synchronisierung. Sie können jedoch jederzeit eine Synchronisierung erzwingen, indem Sie auf die Schaltfläche Synchronisierung jetzt erzwingen im Abschnitt SCIM-Einstellungen Ihrer KSAT-Kontoeinstellungen klicken.

Wie stellen Sie die Standardzuordnungen wieder her?

Sie können die Standardzuordnung jederzeit wiederherstellen, indem Sie die folgenden Schritte ausführen:

  1. Navigieren Sie zu Unternehmensanwendungen.
  2. Wählen Sie die Anwendung aus, die Sie für Ihre KnowBe4-Verbindung erstellt haben.
  3. Wählen Sie im Menü auf der linken Seite die Option Bereitstellung aus.
  4. Klicken Sie unter Bereitstellung verwalten auf Attributzuordnung bearbeiten.
  5. Klicken Sie auf den Dropdown-Pfeil neben Zuordnungen, um das Dropdown-Menü Zuordnungen zu erweitern.
  6. Wählen Sie Standardzuordnungen wiederherstellen aus.
  7. Klicken Sie oben auf dem Bildschirm auf Speichern.

Wie synchronisiere ich alle meine Nutzer:innen und Gruppen?

Wenn Sie alle Nutzer:innen und Gruppen aus Microsoft Entra ID synchronisieren möchten, gehen Sie folgendermaßen vor:

  1. Navigieren Sie zu der Anwendung, die Sie für Ihre SCIM-Verbindung eingerichtet haben.
  2. Navigieren Sie zu Bereitstellung.
  3. Wählen Sie oben auf dem Bildschirm Bereitstellung bearbeiten oder unter Bereitstellung verwalten die Option Bereichsfilter hinzufügen aus.
  4. Klicken Sie auf das Dropdown-Menü Einstellungen.
  5. Wählen Sie im Dropdown-Menü Bereich die Option Alle Benutzer und Gruppen synchronisieren aus.
  6. Klicken Sie oben auf der Seite auf Speichern.

Ich kann Nutzer:innen einer Anwendung nicht nach Gruppe zuweisen. Wie kann ich die Nutzer:innen einschränken, die mit meiner KSAT-Konsole synchronisiert werden?

Antwort: Um die mit Ihrer KSAT-Konsole zu synchronisierenden Nutzer:innen einzuschränken, können Sie einen Bereichsfilter einrichten. Weitere Informationen zum Erstellen eines Bereichsfilters finden Sie im Microsoft-Artikel Attributbasierte Anwendungsbereitstellung mit Bereichsfiltern.

Sie finden nicht, wonach Sie suchen?

Support kontaktieren