Benutzerverwaltung
Benutzer aus Ihrer Organisation hinzufügen, bearbeiten und entfernen. Verwalten Sie Rollen, Team-Zuweisungen und überwachen Sie den individuellen Fortschritt.
Benutzerliste
Die Benutzer-Seite zeigt alle Organisationsmitglieder in einer sortierbaren, durchsuchbaren Tabelle. Jede Zeile zeigt den Namen, die E-Mail, das Team, die Rolle und die letzte Anmeldung des Benutzers. Deaktivierte Benutzer werden inline mit einer kleinen DISABLED-Pille markiert — es gibt keine separate Statusspalte. Ein CSV exportieren-Button oben auf der Seite lädt die vollständige Benutzerliste mit Fortschrittssummen herunter.
| Spalte | Beschreibung |
|---|---|
| Name | Einzelnes Anzeigenamenfeld (nicht aufgeteilt in Vor- / Nachname). |
| Anmelde-E-Mail-Adresse — verwendet für Magic-Code-Anmeldung. | |
| Team | Team, zu dem der Benutzer gehört (leer, wenn nicht zugewiesen). |
| Rolle | org_admin oder learner. |
| Letzte Anmeldung | Datum und Uhrzeit der letzten Anmeldung des Benutzers. Leer für Benutzer, die sich noch nicht angemeldet haben. |
Benutzer hinzufügen
Es gibt zwei Möglichkeiten, Benutzer zu Ihrer Organisation hinzuzufügen:
Manuell
Klicken Sie auf + Benutzer hinzufügen und geben Sie Namen, E-Mail, Rolle (learner oder org_admin) und optional ein Team des Benutzers ein. Es wird keine Einladungs-E-Mail gesendet. Teilen Sie die Anmelde-URL selbst mit dem Benutzer; er fordert auf der Anmeldeseite einen Magic Code an und meldet sich mit dem sechsstelligen Code an, den wir per E-Mail senden.
SCIM-Bereitstellung
Richten Sie SCIM ein, um Benutzer automatisch von Ihrem Identitätsanbieter (Okta, Azure AD) zu synchronisieren. Benutzer werden automatisch erstellt und deaktiviert, wenn sich Ihr Verzeichnis ändert.
Sitzplatzlimits
Ihre Organisation hat eine maximale Anzahl von Sitzplätzen basierend auf Ihrem Plan. Das Hinzufügen eines Benutzers über diese Obergrenze hinaus schlägt mit dem Fehler Seat limit reached (N). Contact support to increase. fehl — die Benutzer-Seite selbst zeigt heute keinen Live-Sitzplatzzähler an; verwenden Sie die Berichte-Seite oder die öffentliche API GET /api/public/v1/org, um maxSeats gegen die aktuelle Benutzerzahl zu lesen.
Benutzer bearbeiten
Klicken Sie auf eine Benutzerzeile, um die Benutzerdetail-Seite zu öffnen; der Bearbeiten-Button öffnet einen Modal, mit dem Organisationsadministratoren die folgenden vier Eigenschaften ändern können. Jedes Feld ist erforderlich, und die Bearbeitung wirkt als vollständige Ersetzung — um ein Feld unverändert zu lassen, lassen Sie den aktuellen Wert dort.
| Feld | Bearbeitbar |
|---|---|
| Name | Ja — einzelnes Anzeigenamenfeld. |
| Ja — die Änderung sendet keine E-Mail erneut. | |
| Rolle | Ja — learner ↔ org_admin. |
| Team | Ja — wählen Sie ein Team oder lassen Sie es nicht zugewiesen. |
| Passwort | Nein — es gibt kein Passwortfeld. Benutzer melden sich mit einem Magic Code oder SSO an; nichts, das Administratoren festlegen oder zurücksetzen müssen. |
Benutzer entfernen
Die Aktion Entfernen auf der Benutzerdetail-Seite löscht den Benutzerdatensatz selbst. Nach dem Entfernen kann die Person sich nicht mehr anmelden. Das Entfernen eines Benutzers gibt einen Sitzplatz gegen Ihre maxSeats-Obergrenze frei.
Die historischen Daten des Benutzers — Ergebnisse der Übungs-Challenges, Lernszenario-Fortschritt, Zuweisungs-Abschlüsse, verdiente Zertifikate — werden nicht aus der Datenbank gelöscht, weil diese Tabellen nicht kaskadierend mit dem Benutzerdatensatz löschen. In der Praxis werden diese Daten jedoch unsichtbar: Jeder Bericht, jede Bestenliste, jede Zertifikatsverifizierung und jede Benutzerdetail-Seite verbindet sich durch den Benutzerdatensatz, um sie anzuzeigen, sodass die Zeilen nach dem Verschwinden der Benutzerzeile als Waisen herumhängen, die die UI nicht anzeigt.
Das erneute Hinzufügen derselben E-Mail nach einer Entfernung erstellt einen brandneuen Benutzer mit einer neuen internen ID. Die alten verwaisten Zeilen werden nicht wieder verbunden — in der Administrator-UI gibt es keinen "Wiederherstellen"-Pfad.
Wenn Sie die Schulungshistorie des Benutzers für die Nachweisaufbewahrung, Compliance-Audits oder Wiedereinstellungsszenarien sichtbar halten möchten, verwenden Sie Entfernen nicht. Deprovisionieren Sie den Benutzer entweder upstream über SCIM (was ihn inaktiv setzt, aber den Benutzerdatensatz an Ort und Stelle hält) oder lassen Sie das Konto einfach in Ruhe — sie können sich nicht anmelden, wenn ihr Postfach den Magic Code nicht mehr empfängt.
Rollen
SecureCodingHub unterstützt zwei Rollen auf Organisationsebene:
| Rolle | Kann tun |
|---|---|
| Organisationsadministrator | Verwaltet Benutzer, Teams, Zuweisungen, sieht Dashboard, konfiguriert SSO/SCIM/SCORM |
| Lernender | Absolviert Challenges, sieht eigenen Fortschritt, verwaltet Einstellungen |
Sitzplatzverwaltung
Ihre Organisation hat ein maxSeats-Limit, das durch Ihren Abonnementplan bestimmt wird. Es gibt heute keinen Live-Sitzplatzzähler im Header der Benutzer-Seite; wenn Sie die Nutzung überwachen müssen, lesen Sie sie über die öffentliche API (GET /api/public/v1/org gibt maxSeats zurück) und vergleichen Sie sie mit der aktuellen Benutzerzahl. Kontaktieren Sie Ihren Account Manager, um die Obergrenze zu erhöhen, wenn Sie zusätzliche Sitzplätze benötigen.
Benutzerlisten-Oberfläche
So sieht die Benutzerverwaltungsseite aus:
Benutzer-hinzufügen-Modal
Das Klicken auf + Benutzer hinzufügen öffnet das folgende Formular. Der Rollen-Picker verwendet zwei nebeneinander liegende Karten anstelle eines Dropdowns:
Warum durchdachte Benutzerverwaltung wichtig ist
Die meisten Organisationen bemerken Sitzplatz-Wildwuchs erst, wenn er auf der Verlängerungsrechnung erscheint. Eine Handvoll Vertragspartner beenden ein Projekt und bleiben im Verzeichnis. Ein Team organisiert sich neu und die alte Team-Mitgliedschaft wird nie bereinigt. Zwei Engineers verlassen das Unternehmen, aber das Offboarding-Ticket hat die Schulungsplattform verpasst. Innerhalb eines Jahres gehören zwanzig Prozent der Sitzplätze, für die Ihr Finanzteam zahlt, Menschen, die sich nicht anmelden, und die verbleibenden Konten spiegeln nicht wider, wer heute tatsächlich im Team ist.
Sitzplatz-Wildwuchs ist auch ein Sicherheitsproblem. Jedes inaktive Konto ist ein Anmeldedaten, das ein Angreifer durch Passwort-Wiederverwendung, Phishing oder Session-Hijacking ins Visier nehmen kann. Dasselbe SSO, das Zugang zu Ihrer Code-Review-Plattform gewährt, kann hier Zugang gewähren, und ein Konto, das niemand beobachtet, ist das am leichtesten still kompromittierbare. Die Behandlung der Benutzerliste als lebendes Artefakt, nicht als Backlog, schließt diese Lücke, bevor sie zu einem Vorfall wird.
Vierteljährliche Überprüfung der Benutzer-Team-Zuordnung
Eine einfache vierteljährliche Überprüfung hält die Liste ehrlich. Exportieren Sie die Benutzerliste, filtern Sie nach letzter Anmeldung älter als neunzig Tage, und fragen Sie den Vorgesetzten, ob jede Person bleiben soll. Vergleichen Sie die Team-Spalte mit Ihrem HR-System oder Organigramm — jeder, dessen Team-Mitgliedschaft nicht mehr seiner tatsächlichen Rolle entspricht, ist ein Kandidat für eine Neuzuweisung. Achten Sie besonders auf Benutzer ohne festgelegtes Team, da sie typischerweise durch Team-Zuweisungen durchrutschen und die Abschlussraten nach unten verzerren, ohne dass es jemand bemerkt.
Wenn Sie SCIM-Bereitstellung verwenden, geschieht die meiste dieser Arbeit automatisch. Gruppenmitgliedschaft in Okta oder Azure AD fließt durch die Team-Zuordnung, und das Deprovisionieren eines Benutzers im Identitätsanbieter deaktiviert ihn im nächsten Synchronisationszyklus in SecureCodingHub. Die Überprüfung wird dann zu einer Sanity-Prüfung statt zu einer manuellen Abstimmung.
Warum Deprovisionierung für Compliance-Nachweise wichtig ist
PCI DSS 8.1.3 und ISO 27001 Kontrolle A.9.2.6 erfordern beide, dass der Zugriff für gekündigte Benutzer umgehend widerrufen wird. Auditoren suchen nach Nachweisen — einem zeitgestempelten Ereignis, das zeigt, wann das Konto nicht mehr in der Lage war, sich anzumelden, idealerweise an das Offboarding-Datum in HR gebunden. Der Entfernen-Button erfüllt die Zugriffswiderrufung, aber er löscht auch den Benutzerdatensatz, was bedeutet, dass die abgeschlossenen Schulungen in Berichten nicht mehr sichtbar sind — die Zeilen existieren weiterhin als Waisen, aber keine UI zeigt sie an. Wenn Ihre Prüfung diese Historie benötigt, um weiterhin als Nachweis zu erscheinen, deprovisionieren Sie über SCIM (was das Konto inaktiv setzt, während der Benutzerdatensatz an Ort und Stelle bleibt), anstatt Entfernen zu verwenden. Das Audit-Protokoll erfasst beide Aktionen.
Für Teams, die Secure-Coding-Schulungen als Teil ihres PCI DSS 6.2.2 Nachweispakets durchführen, dient die Benutzerliste als Beweis dafür, wer während des Audit-Zeitraums im Geltungsbereich war. Erstellen Sie zur Audit-Zeit einen Snapshot — entweder über den CSV-Export-Button oder über die öffentliche API — und bewahren Sie ihn zusammen mit dem Rest Ihres Nachweispakets auf.