Konfiguration der Active Directory-Integration
Mit der Active Directory-Integration (ADI) von KnowBe4 können Sie das Active Directory (AD) Ihrer Organisation mit Ihrer KMSAT-Konsole verbinden. Nach der ADI-Konfiguration werden Nutzer:innen und Gruppen in der KMSAT-Konsole basierend auf den von Ihrem Active Directory gesendeten Informationen automatisch hinzugefügt, geändert und archiviert. Beachten Sie, dass die Synchronisierung einseitig verläuft. Es werden keine Informationen von der KMSAT-Konsole zurück an Ihr Active Directory gesendet.
Im Artikel Vorteile beim Einrichten der Active Directory-Integration (ADI) sind die Vorteile der ADI-Konfiguration für Ihre Organisation aufgeführt. Wenn Sie Videotutorials bevorzugen, können Sie sich das Video Active Directory-Integration (ADI) mit Informationen zur ADI-Konfiguration ansehen. Wenn Sie stattdessen Ihre Nutzer:innen mit SCIM synchronisieren möchten, lesen Sie unseren Leitfaden für die SCIM-Konfiguration.
Navigieren zu:
So funktioniert die ADI bei Konten mit bestehenden Nutzer:innen
Voraussetzungen
Vorab: erforderliche Schritte
Installation und Konfiguration
Definition von zu synchronisierenden OUs, Gruppen und Nutzer:innen
Starten der ADI-Synchronisierung
So funktioniert die ADI bei Konten mit bestehenden Nutzer:innen
Wenn Sie bereits Nutzer:innen zu Ihrer KMSAT-Konsole hinzugefügt haben, sollten Sie vor der ADI-Konfiguration ein paar Dinge beachten. Weitere Informationen sind nachfolgend aufgeführt:
- Nach der ADI-Konfiguration sind die Daten maßgeblich, die von Ihrem Active Directory (AD) synchronisiert werden. Während der Synchronisierung zwischen der KMSAT-Konsole und Ihrem AD geschieht Folgendes:
- Nutzer:innen, die nicht in Ihrem AD gefunden werden, werden in Ihrer KMSAT-Konsole archiviert.
- Wenn Sie die Nutzerinformationen in Ihrer KMSAT-Konsole geändert haben, werden diese Änderungen mit den Daten von Ihrem AD überschrieben.
- Vor der ADI-Konfiguration werden die Nutzerkonten in Ihrer KMSAT-Konsole über die Konsole verwaltet. Wenn Nutzer:innen über die Konsole verwaltet werden, können Nutzerinformationen wie folgt bearbeitet werden: Hochladen einer CSV-Datei in die Konsole oder Bearbeiten der Nutzerprofile direkt in der Konsole.
- Wenn nach der ADI-Konfiguration die erste AD-Synchronisierung erfolgt, werden die Nutzer:innen über das AD verwaltet. Wenn Nutzer:innen über das AD verwaltet werden, müssen Sie die Nutzerinformationen in Ihrem AD bearbeiten. Die Änderungen werden bei der nächsten Synchronisierung in die KMSAT-Konsole übertragen.
- Bei der ersten AD-Synchronisierung werden die über die KMSAT-Konsole verwalteten Nutzerkonten den Konten in Ihrem AD automatisch von der Konsole zugeordnet. Dabei verlieren Ihre Nutzer:innen den Status „über die Konsole verwaltet“ und erhalten den Status „über das AD verwaltet“. Der Ablauf ist wie folgt:
- Sie installieren und konfigurieren das ADI-Synchronisierungstool in Ihrer Umgebung. Ausführliche Informationen finden Sie im Abschnitt Installation und Konfiguration dieses Artikels.
- Sie legen fest, welche Informationen von Ihrem AD synchronisiert werden sollen. Ausführliche Informationen finden Sie im Abschnitt Definition von zu synchronisierenden OUs, Gruppen und Nutzer:innen dieses Artikels.
- Im Anschluss fragt der ADI-Synchronisierungsdienst Ihr AD oder Ihre Verzeichnisse nach Nutzer- und Gruppeninformationen ab und sendet die Ergebnisse an KnowBe4-Server.
- Die KnowBe4-Server überprüfen die von Ihrem AD gesendeten Informationen. Nutzer:innen und Gruppen in Ihrer KMSAT-Konsole werden von den Servern gemäß folgender Logik automatisch aktualisiert:
- Ist dem oder der AD-Nutzer:in eine E-Mail-Adresse zugewiesen, die mit der E-Mail-Adresse eines vorhandenen Nutzerkontos in der KMSAT-Konsole übereinstimmt, dann wird dieses Nutzerkonto ab sofort über das AD verwaltet.
- Wird der oder die AD-Nutzer:in nicht in der KMSAT-Konsole gefunden, wird ein Nutzerkonto erstellt, das über das AD verwaltet wird.
- Nach der Verarbeitung aller AD-Nutzer:innen werden alle Nutzerkonten in der Konsole, die nicht über das AD verwaltet werden, archiviert.
Nach der ADI-Konfiguration bleiben die Nutzerinformationen in der Konsole anhand der Informationen im AD Ihrer Organisation auf dem neuesten Stand.
Voraussetzungen
Stellen Sie vor der ADI-Konfiguration sicher, dass Ihre Umgebung die folgenden grundlegenden Anforderungen erfüllt:
1. Ihre Organisation muss über Microsoft Active Directory oder Azure Active Directory verfügen. Weitere Informationen sind nachfolgend aufgeführt:
- Wenn Ihre Organisation über Microsoft Active Directory verfügt, benötigen Sie die Domänenfunktionsebene Windows Server 2003 oder höher.
- Wenn Ihre Organisation über Azure Active Directory verfügt, können Sie Azure Active Directory Domain Services mit der KMSAT-Konsole synchronisieren. Weitere Informationen finden Sie im Artikel So verwenden Sie die Active Directory-Integration mit Azure Active Directory Domain Services.
2. Installieren Sie, sofern möglich, das ADI-Tool auf einem Anwendungsserver und nicht auf einem normalen (im Gebrauch befindlichen) Computer. Stellen Sie sicher, dass das System für die ADI-Installation die folgenden Anforderungen erfüllt:
- Das System verwendet Windows Desktop 7/Vista/8/10 oder Windows Server 2008/2012/2016/2019 (64 Bit).
- Stellen Sie sicher, dass das System den Server der Trainingsinstanz für Ihr Konto erreichen kann. Eine Liste aller Instanzen finden Sie im Artikel KnowBe4-Trainingsinstanzen.
- Bei dieser Trainingsinstanz handelt es sich um die Server-URL, die das AD-Synchronisierungstool von KnowBe4 über eine POST-Anforderung kontaktieren muss. Sie müssen ausgehende Verbindungen zu Remoteservern auf Port 443 (SSL/HTTPS) zulassen.
Hinweis: Wenn Sie die ADI über einen Proxyserver konfigurieren, müssen Sie eine HTTP_PROXY-Variable zu Ihren Umgebungsvariablen hinzufügen. Im Artikel Wie konfiguriere ich die Active Directory-Integration (ADI) bei Verwendung eines Proxyservers? finden Sie weitere Informationen.
Im nächsten Abschnitt finden Sie wichtige Schritte, die vor der ADI-Konfiguration durchgeführt werden müssen.
Vorab erforderliche Schritte
Bevor Sie das AD-Synchronisierungstool von KnowBe4 auf Ihrem lokalen System installieren und konfigurieren können, müssen die folgenden Schritte durchgeführt werden:
1. Tragen Sie die folgenden Informationen über Ihr AD zusammen:
- Suchen Sie die IP-Adresse oder den vollqualifizierten Domain Namen (Fully Qualified Domain Name, FQDN) für den Domänencontroller, auf dem sich Ihr AD befindet.
-
Stellen Sie sicher, dass Ihr AD-Domänencontroller auf LDAP-Anforderungen antworten kann. Hierbei handelt es sich um die Standardeinstellung aller Domänencontroller.
Tipp: Ihre AD-Synchronisierung kann über LDAP kommunizieren. Sie können vor der AD-Synchronisierung auch LDAPS auf Ihrem Domänencontroller aktivieren, sofern Sie diese Kommunikationsmethode bevorzugen. Hierbei handelt es sich nicht um eine Standardeinstellung von Domänencontrollern. Weitere Informationen finden Sie in unseren FAQ zur ADI. -
Suchen Sie den AD-Domain Name. Beim AD-Domain Name handelt es sich um die Stammdomäne, die von Ihrem AD-Domänencontroller gesteuert wird. In der folgenden Abbildung finden Sie ein Beispiel für einen AD-Domain Name.
- Stellen Sie sicher, dass Benutzername und Passwort für ein AD-Administratorkonto mit der Berechtigung zur Durchführung von LDAP-Anforderungen zur Verfügung stehen. Standardmäßig verfügt jedes Konto in der Gruppe „Domänenbenutzer“ über diese Berechtigungen. Aus Sicherheitsgründen empfehlen wir jedoch, ein Dienstkonto zu verwenden, das für Ihr AD lediglich eine Leseberechtigung hat. Im Leitfaden für die Konfiguration der Active Directory-Integration (ADI) sind die für dieses Dienstkonto erforderlichen Leseberechtigungen aufgeführt.
2. Rufen Sie Ihr ADI-Synchronisierungstoken ab und laden Sie das ADI-Synchronisierungstool in den KMSAT-Kontoeinstellungen herunter. Gehen Sie wie folgt vor:
-
- Klicken Sie nach der Anmeldung bei der KMSAT-Konsole oben rechts auf Ihre E-Mail-Adresse. Klicken Sie auf Kontoeinstellungen.
- Navigieren Sie zum Abschnitt Nutzerbereitstellung. Aktivieren Sie das Kontrollkästchen Nutzerbereitstellung (Nutzersynchronisierung) aktivieren.
- Stellen Sie sicher, dass die Einstellung Testmodus aktiviert ist. Deaktivieren Sie den Testmodus erst, nachdem Sie die ADI-Einrichtung abgeschlossen und überprüft haben, dass die ADI ordnungsgemäß funktioniert. Im aktivierten Testmodus wird keine Nutzerbereitstellung oder -synchronisierung durchgeführt. Stattdessen wird ein Report erstellt, aus dem ersichtlich wird, was bei einer Durchführung der Nutzerbereitstellung passiert wäre. Im Testmodus können Sie mögliche Probleme beheben, ohne dass aktuelle Nutzer:innen in der Konsole davon betroffen sind.
Tipp: Die Option Gruppendomain anzeigen eignet sich insbesondere dann, wenn Ihre Nutzer:innen auf mehrere Domänenquellen aufgeteilt sind. Weitere Informationen finden Sie in unseren FAQ zur ADI.
- Kopieren Sie Ihr ADI-Synchronisierungstoken und speichern Sie es in einem lokalen Ordner. Sie benötigen dieses Token zum Abschluss der Einrichtung. Das ADI-Synchronisierungstoken umfasst 32 Stellen und sieht in etwa wie folgt aus: 9X140X4829E37XX545401X97912X604X.
- Klicken Sie neben ADI-Tool (KnowBe4_AD_Sync.msi) auf das Download-Symbol, um die Datei für das ADI-Tool herunterzuladen.
- Klicken Sie unten auf der Seite mit den Kontoeinstellungen auf Änderungen speichern.
- Legen Sie fest, welche Nutzer:innen synchronisiert werden sollen, und ermitteln Sie den Speicherort dieser Objekte in Ihrem AD.
3. Nachdem Sie die Schritte in diesem Abschnitt und im Abschnitt Installation und Konfiguration weiter unten abgeschlossen haben, muss das Verzeichnis angegeben werden, in dem die Nutzerobjekte in Ihrem AD gespeichert sind. Sie können Nutzerobjekte aus einer oder mehreren der folgenden Gruppen synchronisieren: Organisationseinheiten (OUs), Sicherheitsgruppen und Verteilergruppen. Weitere Einzelheiten zum Definieren der zu synchronisierenden Nutzer:innen finden Sie im Abschnitt Definition von zu synchronisierenden OUs, Gruppen und Nutzer:innen dieses Artikels.
Wenn sich Ihre Nutzerobjekte nicht in OUs, Sicherheitsgruppen oder Verteilergruppen befinden, beachten Sie die folgenden Informationen:
- Die zu synchronisierenden Nutzer:innen befinden sich im integrierten Benutzercontainer und nicht in einer OU: Container können nicht synchronisiert werden. Sie können dieses Problem wie folgt umgehen: Erstellen Sie eine Sicherheitsgruppe, fügen Sie diese Nutzer:innen zur Sicherheitsgruppe hinzu und synchronisieren Sie dann diese Gruppe anstelle des Containers.
- Ihr AD ist für eine Synchronisierung mit der KMSAT-Konsole nicht optimal organisiert oder Sie sind sich unsicher: Sie können eine oder mehrere Gruppen in AD einrichten, die alle zu synchronisierenden Nutzerobjekte und Gruppen enthält bzw. enthalten. Geben Sie im Anschluss an, dass Sie nur diese Gruppen synchronisieren möchten.
- Wenn Sie über eine Stammdomäne mit untergeordneten ADs verfügen, können Sie das ADI-Installationsprogramm für jede untergeordnete Domäne ausführen. Dabei muss jede untergeordnete Domäne denselben Domänencontroller wie die Stammdomäne verwenden.
4. Legen Sie fest, aus welchem Feld im AD die E-Mail-Adressen Ihrer Nutzer:innen abgerufen werden sollen. Standardmäßig ruft der ADI-Dienst die Proxyadressen Ihrer Nutzer:innen ab und verwendet diese als E-Mail-Adressen für deren KnowBe4-Konten.
- Wenn Sie die Proxyadressen nicht verwenden möchten, müssen Sie in der ADIsync.conf-Datei das Feld emailAttrib bearbeiten. Wenn Sie als E-Mail-Server nicht Microsoft Exchange oder Microsoft 365 verwenden, ist das Proxyadressfeld in Ihrem AD höchstwahrscheinlich leer. Bearbeiten Sie das Feld emailAttrib, nachdem Sie die Installation durchgeführt haben, jedoch bevor Sie den ADI-Synchronisierungsdienst starten. Entsprechende Anweisungen finden Sie im Abschnitt Ändern des Verzeichnisses für den Abruf der E-Mail-Adressen aus Active Directory des Leitfadens für die Konfiguration der Active Directory-Integration (ADI).
Hinweis: Das Feld useMailAttrib wurde durch das Feld emailAttribute ersetzt.
- Stellen Sie sicher, dass alle Kampagneneinstellungen ordnungsgemäß für den Nutzerzuwachs konfiguriert sind. Überprüfen Sie die Einstellungen der Smart Groups in den Kampagnen. Diese können durch ADI-Synchronisierung beeinflusst werden.
Wenn Sie die oben genannten Informationen zusammengetragen haben, fahren Sie mit den Schritten im nächsten Abschnitt fort.
Installation und Konfiguration
Wenn Sie die oben genannten Informationen zusammengetragen haben, können Sie das ADI-Synchronisierungstool installieren und konfigurieren. Gehen Sie wie folgt vor:
1. Führen Sie das Active Directory-Synchronisierungstool aus. Dies ist die Datei KnowBe4_AD_Sync.msi, die Sie aus Ihren KMSAT-Kontoeinstellungen in Schritt 2 im Abschnitt Vorab: erforderliche Schritte weiter oben heruntergeladen haben. Das AD-Synchronisierungstool muss nicht auf einem Domänencontroller installiert werden. Die Installation ist in Ihrer gesamten Umgebung möglich. Das System muss lediglich mit einem Domänencontroller kommunizieren und LDAP-Verbindungen akzeptiert können.
Eine Eingabeaufforderungsfenster zum Festlegen des Installationsverzeichnisses wird automatisch geöffnet. Der standardmäßige Speicherort für das Installationsverzeichnis auf 64-Bit-Plattformen lautet wie folgt:
2. Im Eingabeaufforderungsfenster müssen Sie die unten abgebildeten Informationen eingeben:
-
- Active Directory-Synchronisierungstoken eingeben: Wenn Sie diesen Befehl zum ersten Mal ausführen, werden Sie zur Eingabe Ihres Active Directory-Synchronisierungstokens aufgefordert. Bei diesem Token handelt es sich um die Zeichenfolge, die Sie aus den KMSAT-Kontoeinstellungen kopiert haben. Weitere Informationen finden Sie in Schritt 2 des Abschnitts Vorab: erforderliche Schritte weiter oben.
- Domain Name Eingeben: Der Domain Name bezieht sich auf die Stammdomäne für Ihr AD. Ein Beispiel finden Sie im Abschnitt Vorab: erforderliche Schritte weiter oben.
- Hostnamen oder IP-Adresse für Active Directory eingeben: Der Hostname bzw. die IP-Adresse für das AD bezieht sich auf die IP-Adresse oder den vollqualifizierten Domain Name (Fully Qualified Domain Name, FQDN) für den Domänencontroller, auf dem sich Ihr AD befindet.
- SSL aktivieren (true/false): Standardmäßig ist LDAPS nicht auf Ihrem Domänencontroller aktiviert. Geben Sie „false“ ein oder drücken die Eingabetaste auf Ihrer Tastatur, um „false“ automatisch auszuwählen. Wenn Sie LDAPS für diese Synchronisierung bereits aktiviert haben, geben Sie stattdessen „true“ ein.
- Enable SecurityCoach Fields (true/false): Geben Sie „Wahr“ ein, wenn Sie SecurityCoach erworben haben, um die SecurityCoach-Felder zu aktivieren. Mit diesen Feldern können Sie Informationen für die Nutzerzuordnung synchronisieren. Weitere Informationen finden Sie im Abschnitt Security Coach Fields in unserem Artikel So bearbeiten Sie Ihre CONF-Datei für die Active Directory-Integration (ADI). Standardmäßig sind diese Felder deaktiviert. Drücken Sie auf die Eingabetaste auf Ihrer Tastatur, um diese Felder deaktiviert zu lassen.
- Active Directory-Portnummer eingeben: Geben Sie den entsprechenden LDAP- oder LDAPS-Port ein. Der standardmäßige Port für LDAP lautet 389 und für LDAPS 636.
- Benutzernamen eingeben: Geben Sie den Benutzernamen und das Kennwort für ein AD-Administratorkonto mit der erforderlichen Leseberechtigung zur Durchführung von LDAP-Anforderungen ein. Der Benutzername muss das Format „user@domain“ aufweisen.
- Kennwort eingeben: Geben Sie das Passwort für das AD-Administratorkonto mit der erforderlichen Leseberechtigung zur Durchführung von LDAP-Anforderungen ein.
3. Wenn eine Verbindung hergestellt werden konnte, wird im Eingabeaufforderungsfenster eine Bestätigungsmeldung angezeigt (siehe folgendes Beispiel).
4. Drücken Sie die Eingabetaste auf Ihrer Tastatur, um das Eingabeaufforderungsfenster zu schließen.
Sofern beim Erreichen oder bei der Authentifizierung ein Problem mit Ihrem Domänencontroller aufgetreten ist, werden im Eingabeaufforderungsfenster Fehlermeldungen angezeigt. In diesem Fall müssen die Schritte in diesem Abschnitt mit den richtigen Konfigurationsdaten wiederholen. Wenn weiterhin Fehler auftreten, wenden Sie sich bitte an unser Supportteam.
Wenn eine Verbindung hergestellt wurde, können Sie im nächsten Abschnitt die Nutzer:innen und Informationen angeben, die mit der KMSAT-Konsole synchronisiert werden sollen.
Definition von zu synchronisierenden OUs, Gruppen und Nutzer:innen
Nachdem Sie die Schritte in den beiden vorherigen Abschnitten durchgeführt haben, bearbeiten Sie die <Name Ihrer Domain>.conf-Datei, um die Informationen zu konfigurieren, die mit Ihrem KMSAT-Konto synchronisiert werden sollen. Diese Konfiguration ist erforderlich, damit Nutzer:innen aus Ihrem AD synchronisiert werden können.
Führen Sie die ADI-Einrichtung wie folgt fort:
1. Stellen Sie sicher, dass Sie über Bearbeitungsberechtigungen für den Ordner ADISync verfügen.
2. Suchen Sie die <Name Ihrer Domain>.conf-Datei im Installationsverzeichnis (siehe Abbildung unten). Öffnen Sie die Datei in einem Texteditor, z. B. Notepad.
In der <Name Ihrer Domain>.conf-Datei werden die Nutzer:innen, Nutzerinformationen und Gruppen definiert, die zwischen Ihrem KMSAT-Konto und Ihrem AD synchronisiert werden sollen. Öffnen Sie diese sample_domain-Datei, um ein Beispiel anzuzeigen.
3. Legen Sie in der <Name Ihrer Domain>.conf-Datei die Kriterien für die Nutzer- und Gruppensynchronisierung fest. Sie können in der <Name Ihrer Domain>.conf-Datei drei Abschnitte ändern:
- [sync.fields] (optional): Bearbeiten Sie diesen Bereich, um die Felder mit Nutzerinformationen anzugeben, die aus Ihrem AD synchronisiert werden sollen. Weitere Informationen finden Sie im Abschnitt Synchronisieren von anderen Nutzerinformationen mit KnowBe4 des Artikels Synchronisieren von Informationen mit Active Directory.
- [sync.users] (erforderlich): In diesem Bereich können Sie festlegen, welche Nutzer:innen aus Ihrem AD synchronisiert werden sollen. Fügen Sie im Abschnitt [sync.users] der .conf-Datei mindestens eine OU, eine Gruppe oder eine:n Nutzer:in ein. Weitere Informationen finden Sie im Abschnitt Synchronisieren von Nutzer:innen nach Einschluss/Ausschluss einer OU, einer Gruppe oder einem:einer bestimmten Nutzer:in (erforderlich) des Artikels Synchronisieren von Informationen mit Active Directory.
- [sync.groups] (optional): In diesem Bereich können Sie die Gruppen angeben, die aus Ihrem AD synchronisiert werden sollen. Diese Gruppen werden automatisch in Ihrer KnowBe4-Konsole erstellt und die entsprechenden Nutzer:innen werden zu den Gruppen hinzugefügt. Weitere Informationen finden Sie im Abschnitt Synchronisieren von Gruppen nach Einschluss/Ausschluss einer OU oder einer Gruppe (optional) des Artikels Synchronisieren von Informationen mit Active Directory.
4. Speichern Sie im Anschluss die Änderungen an der <Name Ihrer Domain>.conf-Datei.
Im nächsten Abschnitt finden Sie Informationen zum Start Ihrer ADI-Synchronisierung.
Starten der ADI-Synchronisierung
Wenn alle oben genannten Schritte abgeschlossen sind, ist Ihr ADI-Dienst konfiguriert und Sie können die ADI-Synchronisierung starten. Gehen Sie wie folgt vor:
Sie können die Synchronisierung wie folgt starten:
- Verwenden Sie den Dienststeuerungs-Manager von Windows (der ADI-Dienst lautet „Active Directory-Integration Synchronisierungsdienst“).
- Öffnen Sie als Administrator:in eine Eingabeaufforderung und gehen Sie dann wie folgt vor:
- Navigieren Sie zum entsprechenden Verzeichnis. Der standardmäßige Speicherort für das Installationsverzeichnis auf 64-Bit-Plattformen lautet wie folgt:
C:\Program Files (x86)\KnowBe4\ADISync
- Geben Sie ADIsync.exe service start ein und drücken Sie die Eingabetaste auf Ihrer Tastatur.
- Navigieren Sie zum entsprechenden Verzeichnis. Der standardmäßige Speicherort für das Installationsverzeichnis auf 64-Bit-Plattformen lautet wie folgt:
Der ADI-Synchronisierungsdienst wird sofort ausgeführt. Besteht eine Verbindung zwischen den Diensten, werden Ihr AD und die KMSAT-Konsole alle sechs Stunden synchronisiert.
Wenn in den Kontoeinstellungen der Testmodus aktiviert ist, wird eine Vorschau des Synchronisierungsverhaltens zwischen AD und KnowBe4 angezeigt. Navigieren Sie in der KMSAT-Konsole zu Nutzer > Bereitstellung, um die Vorschau des Testmodus anzuzeigen.
Lassen Sie den Testmodus aktiviert, bis die ADI so eingerichtet ist, dass diese den Anforderungen Ihrer Organisation entspricht. Wenn Sie mit Ihrer ADI-Einrichtung zufrieden sind, deaktivieren Sie in den KMSAT-Kontoeinstellungen den Testmodus. Bei der nächsten ADI-Synchronisierung werden Ihre Nutzer:innen automatisch bereitgestellt.
Kommentare
0 Kommentare
Zu diesem Beitrag können keine Kommentare hinterlassen werden.