Help Center
News
Help Center
News
Sign in
Dokumentieren
Dokumente und RichtlinienFragebögenTechnische- und Organisatorische Massnahmen (TOMs)BerichteVerzeichnis der AssetsFrameworksVerzeichnis der Verarbeitungstätigkeiten (VVT)Verzeichnis der Verarbeitungstätigkeiten als Excel-Datei exportierenLieferantenFolgenabschätzungenDokumentation Ihres berechtigten InteressesMeetings und AktivitätenAufbewahrungs- und Löschfristen Datenerhebungspunkte (DEP)Dokumente zu Lieferanten hinzufügen
Datenschutz-Folgenabschätzung (DPIA)
Assessments
Verarbeitungstätigkeiten (ROPA)
Assets
Internationale Standards & Rahmenwerke
TOMs & Kontrollen
Kategorien & Attribute
Datenerhebungspunkte
Rechtsgrundlage
Berechtigtes Interesse
Dokumente & Richtlinien
Aufbewahrung & Löschung
Datenfluss
Lieferanten
Fragebögen
Verwalten
Prozessrisiko ÜbersichtData flow
Dashboards
KI-Unterstützung & Automatisierung
Projekte
Aufgaben
Besprechungen & Aktivitäten
Workflows & Automatisierungen
Berichte
Reagieren & Lösen
AufgabenProjekteEreignisse und VorfälleBetroffenenrechte
Risikoszenarien & Behandlungen
Vorfälle & Datenpannen
Versionshinweise
Q2 2026
Q1 2026
Q4 2025
Q3 2025
Q2 2025
Q1 2025
Q4 2024
Q3 2024
Q2 2024
Q1 2024
Q4 2023
Q3 2023
Q2 2023
Q1 2023
Q4 2022
Q3 2022
Erste Schritte
Anleitung zum EinstiegFragebögenAufgabenProzessrisiko ÜbersichtIT Einstellungen FrameworksDas Risikomodell für Informationssicherheit / AssetsBetroffenenrechteDownload von ElementenDokumentation Ihres berechtigten InteressesZugang von Gruppen auf ElementeDokumente und RichtlinienTechnische- und Organisatorische Massnahmen (TOMs)Compliance EinstellungenErstellen von passenden Attributen für Ihre BrancheDokumentenliste für das OnboardingDas DatenschutzrisikomodellEreignisse und VorfälleProjekteGruppenverwaltungDokumente zu Lieferanten hinzufügenAnleitung zum Beantworten von Assessments (Fragebögen)Einrichtung der ersten Organisation oder des ersten UnternehmensDatenerhebungspunkte (DEP)Elemente erstellen mittels AIRisko Modelle in Allgemeinen EinstellungenTeilen von ElementenWie kann ein Benutzer die Sprache ändern?Data flowVerzeichnis der Verarbeitungstätigkeiten (VVT)Time machineAssessments erstellen und auswerten Company Widget FeatureVerzeichnis der AssetsLieferantenFolgenabschätzungenOrganisatorische Einheiten erstellenVerzeichnis der Verarbeitungstätigkeiten als Excel-Datei exportierenMeetings und AktivitätenBegriffe der rechtmässigen VerarbeitungAufbewahrungs- und Löschfristen Anlegen von neuen Benutzer:innen und Ändern des Passworts für die AnmeldungBerichteDas ReifegradmodellHinzufügen von Risikoszenarien zu Assets oder Asset-GruppenRelevante RiskoszenarienÜbersicht der Priverion GRC PlattformDokumentenliste für das OnboardingWie kann ein Benutzer die Sprache ändern?Einrichtung der ersten Organisation oder des ersten UnternehmensErstellen von passenden Attributen für Ihre Branche
Benutzerkonto
Teilen und Gruppenfunktionen
Features
Anleitungen & Tipps
Unterstützung erhalten
Einstellungen
Allgemeine Einstellungen
Compliance-Einstellungen
Identitäts- und Zugriffsverwaltung
SCIM-ÜbersichtSCIM-KonfigurationAPI-TokensÜbersicht Identitäts- und ZugriffsverwaltungLokale AuthentifizierungSAML- und OAuth-EinstellungenIAM-LogsIAM-BenachrichtigungenRollen-Mapping Gruppen
IT Einstellungen
Risiko Einstellungen

Rollen-Mapping Gruppen

Ordnen Sie externe Gruppen Plattform-Audiences und -Rollen zu.

Rollen-Mapping Gruppen

Der Bereich Gruppen ist der zentrale Ort, an dem IT-Administratoren die Bibliothek externer Identitätsgruppen pflegen, die DPMS beim Zuweisen von Plattformrollen an föderierte Benutzerinnen und Benutzer verwenden kann. Sobald Ihr Unternehmen einen Identity Provider verbindet – beispielsweise Microsoft Entra ID, Google Workspace oder ein SCIM-kompatibles Verzeichnis – melden sich Benutzerinnen und Benutzer automatisch an. DPMS muss jedoch wissen, welche Berechtigungen sie erhalten sollen. Diese Entscheidung basiert auf Rollen-Mappings, und Rollen-Mappings können nur Gruppen referenzieren, die in diesem Katalog vorhanden sind. Stellen Sie sich den Gruppen-Bereich als verbindliches Adressbuch vor: Sie pflegen es hier, und das Rollenzuweisungsformular auf der Registerkarte „Allgemein" greift darauf zurück.

Compliance-Beauftragte und Prüferinnen oder Prüfer besuchen häufig die schreibgeschützte Rollen-Mapping-Übersicht, um den aktuellen Stand zu prüfen. IT-Administratoren kommen gezielt hierher, um neue Gruppen hinzuzufügen, bestehende Einträge zu korrigieren oder veraltete Einträge zu entfernen.

So öffnen Sie diesen Bereich

Sie benötigen die IAM-Leseberechtigung, um das Menü „Identitäts- und Zugangsverwaltung" überhaupt zu sehen. Um Gruppen zu erstellen, zu bearbeiten oder zu löschen, benötigen Sie zusätzlich die IAM-Bearbeitungsberechtigung. Wenn Sie nur Lesezugriff haben, ist die Schaltfläche zum Bearbeiten in der Rollen-Mapping-Übersicht ausgeblendet oder zeigt einen Hinweis zur fehlenden Berechtigung.

So gelangen Sie zum Bereich „Gruppen":

  • Klicken Sie in der linken Seitenleiste auf IT-Einstellungen.
  • Öffnen Sie unter „IT-Einstellungen" den Bereich Identitäts- und Zugangsverwaltung (IAM).
  • Klicken Sie auf Rollen-Mapping.
  • Klicken Sie in der daraufhin geladenen Rollen-Mapping-Übersicht auf die Schaltfläche Bearbeiten (Bleistift-Symbol).
  • Klicken Sie in der sich öffnenden Bearbeitungsansicht auf die Registerkarte Gruppen in der Registerkartenleiste oben.

Überblick über die Ansicht

Die Bearbeitungsansicht enthält direkt unterhalb des Seitentitels eine Registerkartenleiste mit zwei Tabs. Der linke Tab heißt Allgemein — dort weisen Sie Gruppen Plattformrollen zu. Der rechte Tab, Gruppen, ist die aktuell angezeigte Ansicht.

Unterhalb der Registerkartenleiste zeigt der Hauptbereich eine Tabelle externer Gruppen. Der Tabellentitel Gruppen erscheint fett über den Zeilen. Jede Zeile repräsentiert eine Gruppe, die DPMS kennt. In der oberen rechten Ecke des Tabellenbereichs befindet sich die Schaltfläche Erstellen — der primäre Weg, um eine neue Gruppe hinzuzufügen. Am rechten Ende jeder Zeile bietet ein Aktionsmenü (Drei-Punkte-Symbol) die Option Löschen für den jeweiligen Eintrag. Oben in der Tabelle ist ein einzelner Filterreiter Alle aktiv — es gibt keine weiteren Filteransichten auf diesem Bildschirm, sodass stets alle Gruppen angezeigt werden.

Ein wichtiges Detail zum Seitenkopf: Auf dem Tab „Gruppen" ist die Schaltfläche Speichern, die auf dem Tab „Allgemein" erscheint, absichtlich ausgeblendet. Gruppenoperationen werden jeweils einzeln gespeichert, sodass es hier kein übergeordnetes Formular zum Absenden gibt. Wechseln Sie zurück zum Tab „Allgemein", erscheint die Speichern-Schaltfläche wieder.

Arbeiten mit diesem Bereich

Eine neue externe Gruppe vor einer SCIM-Synchronisierung hinzufügen

Der häufigste Grund, eine Gruppe manuell hinzuzufügen, ist das Timing: Eine neue Abteilungsgruppe wurde soeben in Ihrem Identity Provider erstellt, die nächste SCIM-Synchronisierung ist jedoch noch nicht erfolgt, und Sie müssen die Gruppe jetzt einer Plattformrolle zuweisen.

  • Klicken Sie auf dem Tab „Gruppen" auf die Schaltfläche Erstellen in der oberen rechten Ecke der Tabelle. Es erscheint ein kleines Dropdown-Menü mit der Option Gruppe erstellen — klicken Sie darauf.
  • Ein Erstellungsformular öffnet sich. Tragen Sie den Anzeigenamen der Gruppe in das Feld Name ein — zum Beispiel Rechtsabteilung. Dieser Name wird in den Rollenzuweisungs-Dropdowns angezeigt.
  • Geben Sie im Feld Externer Bezeichner den genauen Bezeichner ein, den Ihr Identity Provider für diese Gruppe verwendet. Bei Entra ID ist das typischerweise die Objekt-GUID der Gruppe. Bei SCIM-Anbietern ist es der Wert des Feldes externalId. Der Bezeichner muss exakt mit dem des Anbieters übereinstimmen. Stimmt er nicht überein, kann DPMS diesen Eintrag nicht mit zukünftig per SCIM bereitgestellten Daten abgleichen, und es können Duplikate entstehen.
  • Klicken Sie auf dem Erstellungsformular auf Speichern. DPMS speichert die Gruppe und kehrt zum Tab „Gruppen" zurück, wo der neue Eintrag nun in der Tabelle erscheint.
  • Wechseln Sie zum Tab Allgemein. Die soeben erstellte Gruppe erscheint jetzt in den Mehrfachauswahl-Dropdowns und kann einer Plattformrolle zugewiesen werden.

Den Namen oder Bezeichner einer Gruppe korrigieren

Nach einem Rebranding oder einer internen Umstrukturierung können sich Gruppenbezeichnungen in Ihrem Identity Provider ändern. Zeigt DPMS noch den alten Namen, erkennen Benutzerinnen und Benutzer die Gruppe in den Rollenzuweisungs-Dropdowns möglicherweise nicht wieder. So aktualisieren Sie den Eintrag:

  • Suchen Sie die Gruppe in der Tabelle. Wenn Ihre Liste lang ist, scrollen Sie nach unten — die Tabelle lädt weitere Einträge automatisch nach, sobald Sie das Ende erreichen.
  • Klicken Sie auf die Zeile der betreffenden Gruppe. Das Bearbeitungsformular öffnet sich mit den aktuellen Werten für Name und Externer Bezeichner vorausgefüllt.
  • Aktualisieren Sie das Feld Name mit dem neuen Anzeigenamen. Lassen Sie den Externen Bezeichner unverändert, es sei denn, der Bezeichner hat sich auch im Identity Provider geändert — die Änderung eines noch genutzten Bezeichners unterbricht den Abgleich zwischen DPMS und Ihrem Verzeichnis.
  • Klicken Sie auf dem Bearbeitungsformular auf Speichern. DPMS aktualisiert den Eintrag und kehrt zum Tab „Gruppen" zurück. Der neue Name erscheint sofort in der Tabelle und ab sofort auch in den Rollenzuweisungs-Dropdowns auf dem Tab „Allgemein".

Eine veraltete Gruppe entfernen

Wenn eine Abteilungsgruppe in Ihrem Identity Provider abgeschafft wird, sollten Sie sie aus DPMS entfernen, um den Katalog sauber zu halten und Verwechslungen in den Rollenzuweisungs-Dropdowns zu vermeiden.

  • Suchen Sie die Gruppe in der Tabelle.
  • Klicken Sie auf das Aktionsmenü (das Drei-Punkte-Symbol) am rechten Ende der betreffenden Zeile.
  • Wählen Sie Löschen. Eine Bestätigungsaufforderung erscheint — dies ist der Standard-Löschablauf in DPMS. Bestätigen Sie den Vorgang.
  • Die Gruppe wird aus dem Katalog entfernt, und die Zeile verschwindet aus der Tabelle.
  • Wichtig: Prüfen Sie vor oder nach dem Löschen auf dem Tab Allgemein, ob diese Gruppe einer Plattformrolle zugewiesen war. Wenn ja, wird diese Zuordnung zu einem verwaisten Verweis — sie wird nicht automatisch entfernt. Öffnen Sie die betroffenen Rollenzuweisungen, entfernen Sie die gelöschte Gruppe aus der Auswahl und klicken Sie auf dem Tab „Allgemein" auf Speichern. Weitere Details finden Sie unter Tipps und häufige Fallstricke.

Den Gruppenkatalog vor Änderungen prüfen

Wenn Sie neu in der Organisation sind oder den aktuellen Stand verstehen möchten, bevor Sie Änderungen vornehmen, eignet sich der Tab „Gruppen" ebenso gut als schreibgeschützte Prüfansicht.

  • Navigieren Sie zum Tab „Gruppen" (siehe So öffnen Sie diesen Bereich).
  • Scrollen Sie durch die Tabelle. Jede Zeile zeigt den Namen der Gruppe und ihr Erstellungsdatum. Das Erstellungsdatum gibt an, wann der Eintrag in DPMS hinzugefügt wurde — entweder manuell oder über eine SCIM-Synchronisierung.
  • Wenn Sie fertig sind, klicken Sie auf den Zurück-Pfeil oben links, um zur schreibgeschützten Rollen-Mapping-Übersicht zurückzukehren. Es werden keine Änderungen gespeichert.

Feldreferenz

Die folgenden Felder erscheinen im Gruppen-Erstellungs- und Bearbeitungsformular, das sich öffnet, wenn Sie auf Gruppe erstellen klicken oder eine Zeile in der Tabelle anklicken.

  • Name — Der Anzeigename der Gruppe, wie er in DPMS angezeigt wird, einschließlich der Rollenzuweisungs-Dropdowns auf dem Tab „Allgemein". Pflichtfeld. Wenn Ihre DPMS-Instanz mehrere Sprachen unterstützt, kann das Feld lokalisierte Werte aufnehmen; der englische Wert dient als primäre Bezeichnung.
  • Externer Bezeichner — Der eindeutige Bezeichner, den Ihr Identity Provider für diese Gruppe verwendet. Bei Microsoft Entra ID ist das typischerweise eine GUID (beispielsweise a1b2c3d4-e5f6-7890-abcd-ef1234567890). Bei generischen SCIM-Anbietern ist es der Wert des Feldes externalId. Dieses Feld ist erforderlich und muss exakt mit dem Wert im Identity Provider übereinstimmen. DPMS verwendet diesen Wert, um manuell erstellte Einträge mit SCIM-bereitgestellten Gruppen abzugleichen. Weicht der Bezeichner vom echten Wert ab, können nach der nächsten SCIM-Synchronisierung doppelte Einträge entstehen.

Zusammenhang mit dem Rest von DPMS

Der Gruppenkatalog existiert, um einen nachgelagerten Zweck zu erfüllen: die Befüllung der Rollenzuweisungs-Dropdowns auf dem Tab Allgemein desselben Rollen-Mapping-Bearbeitungsbildschirms. Immer wenn eine Administratorin oder ein Administrator den Tab „Allgemein" öffnet und auswählt, welche Gruppen eine bestimmte Plattformrolle erhalten sollen, stammen die verfügbaren Optionen in diesen Dropdowns aus dem Gruppenkatalog, den Sie hier pflegen.

Wenn sich eine föderierte Benutzerin oder ein föderierter Benutzer über den Identity Provider anmeldet, gleicht DPMS die Gruppenmitgliedschaften mit den auf dem Tab „Allgemein" konfigurierten Rollen-Mappings ab. Das Ergebnis dieses Abgleichs bestimmt, welche Plattformrolle — und damit welche Berechtigungen — die Person in jedem Modul von DPMS erhält. Was Sie hier konfigurieren, hat also direkte Auswirkungen darauf, wer Risikoanalysen einsehen, ROPA-Einträge bearbeiten, Lieferantenverträge verwalten und auf jeden anderen Bereich des Systems zugreifen kann.

Es gibt auch einen alternativen Gruppen-Erstellungsweg, den Sie kennen sollten: Auf dem Tab „Allgemein" kann eine Administratorin oder ein Administrator einen neuen Gruppennamen direkt in das Mehrfachauswahl-Dropdown eingeben und die Eingabetaste drücken, um eine Gruppe spontan zu erstellen. Dabei wird eine Gruppe im selben Katalog angelegt, aber der externe Bezeichner wird auf den eingegebenen Text gesetzt — dieser stimmt möglicherweise nicht mit dem echten Bezeichner in Ihrem Identity Provider überein. Wenn Sie diese Schnellerstellungsfunktion nutzen, kehren Sie anschließend zum Tab „Gruppen" zurück und korrigieren Sie den externen Bezeichner.

Wenn in Ihrer Organisation SCIM-Provisionierung aktiviert ist (in den IAM-Einstellungen konfiguriert), sendet Ihr Identity Provider Gruppen ebenfalls automatisch in diesen Katalog. Manuell erstellte Gruppen und SCIM-bereitgestellte Gruppen koexistieren in derselben Tabelle.

Nach dem Aufbau Ihres Gruppenkatalogs ist der logische nächste Schritt, zum Tab Allgemein zu wechseln, Gruppen Plattformrollen zuzuweisen und die Konfiguration anschließend in der schreibgeschützten Rollen-Mapping-Übersicht zu überprüfen.

Tipps und häufige Fallstricke

Achtung: Das Löschen einer Gruppe bereinigt keine Rollen-Mappings. Wenn eine Gruppe bereits einer oder mehreren Plattformrollen auf dem Tab „Allgemein" zugewiesen ist, hinterlässt das Löschen aus dem Gruppenkatalog einen verwaisten Verweis in dieser Konfiguration. Das Rollen-Mapping wird nicht automatisch entfernt. Prüfen Sie stets nach dem Löschen einer Gruppe den Tab „Allgemein" und speichern Sie betroffene Rollenzuweisungen erneut, um den verwaisten Eintrag zu bereinigen.
  • Die Speichern-Schaltfläche fehlt auf dem Tab „Gruppen" — das ist beabsichtigt. Jede Gruppenoperation (Erstellen, Bearbeiten, Löschen) wird sofort gespeichert, wenn Sie das Einzelformular abschließen oder die Löschung bestätigen. Es gibt kein übergeordnetes Formular zum Absenden. Die Speichern-Schaltfläche erscheint nur auf dem Tab „Allgemein".
Tipp: Der externe Bezeichner muss exakt mit Ihrem Identity Provider übereinstimmen. Kopieren Sie den Bezeichner beim manuellen Erstellen einer Gruppe aus Ihrem Verzeichnis, anstatt ihn aus dem Gedächtnis einzutippen. Selbst ein einzelnes abweichendes Zeichen verhindert, dass DPMS den Eintrag mit SCIM-bereitgestellten Daten abgleichen kann, was zu doppelten Einträgen führen kann.
  • Manuell erstellte Gruppen und SCIM-bereitgestellte Gruppen teilen dieselbe Tabelle. Beide Typen erscheinen gemeinsam im Katalog und in den Rollenzuweisungs-Dropdowns. Wenn Sie vor einer SCIM-Synchronisierung eine Gruppe manuell erstellen, kann nach der Synchronisierung ein doppelter Eintrag erscheinen. Vergleichen Sie externe Bezeichner sorgfältig, wenn Sie Duplikate vermuten.
  • Die Schnellerstellung auf dem Tab „Allgemein" setzt den externen Bezeichner auf den eingegebenen Text. Wenn Sie im Rollenzuweisungs-Dropdown einen Namen eintippen und die Eingabetaste drücken, erstellt DPMS eine Gruppe, bei der sowohl Name als auch externer Bezeichner dem eingegebenen Text entsprechen. Sofern dieser Text nicht zufällig der echte Bezeichner in Ihrem Verzeichnis ist, müssen Sie anschließend zum Tab „Gruppen" zurückkehren und den externen Bezeichner korrigieren.
  • Es gibt keine Archivierungs- oder Deaktivierungsoption. Anders als der Tokens-Bereich, der die Tabs „Aktiv" und „Abgelaufen" enthält, zeigt die Gruppentabelle alle Einträge unter einem einzigen Tab Alle. Eine Gruppe ist entweder im Katalog vorhanden oder gelöscht. Wenn Sie einen Gruppeneintrag aus Revisionsgründen behalten, ihn aber nicht mehr in den Rollenzuweisungs-Dropdowns anzeigen möchten, bleibt Ihnen nur die Wahl, ihn zu belassen oder zu löschen. Planen Sie Ihren Katalog entsprechend.
  • Die in Rollenzuweisungs-Dropdowns angezeigten Mitgliederzahlen spiegeln den letzten Synchronisierungsstand wider, keine Echtzeitdaten. Die Anzahl der Mitglieder, die neben Gruppennamen im Dropdown des Tabs „Allgemein" angezeigt wird, wird bei SCIM- oder Active-Directory-Synchronisierungen aktualisiert, nicht in Echtzeit. Wenn Genauigkeit entscheidend ist, lösen Sie vor der Überprüfung eine manuelle Synchronisierung über den Active-Directory-Bereich aus.


Was this article helpful?

German
Powered by Product Fruits