Active Directory-Integration

Teilen

Ist dieser Artikel hilfreich?

Letzte Aktualisierung:

So bearbeiten Sie Ihre CONF-Datei für die Active Directory-Integration (ADI)

Wenn Sie Nutzerinnen und Nutzer über Active Directory-Integration (ADI) verwalten möchten, müssen Sie definieren, welche Nutzerinnen und Nutzer und Gruppen mit Ihrer KSAT-Konsole synchronisiert werden sollen. Um festzulegen, welche Nutzerinnen und Nutzer und Gruppen synchronisiert werden sollen, können Sie die ADI-Konfigurationsdatei (CONF) bearbeiten, die Sie während des Konfigurationsprozesses herunterladen.

In diesem Artikel erfahren Sie, wie Sie Ihre CONF-Datei bearbeiten, um bestimmte Nutzerinnen und Nutzer, Gruppen und Nutzerinformationen zu synchronisieren. Allgemeine Informationen über die ADI finden Sie im Leitfaden für die Konfiguration der Active Directory-Integration (ADI). Wenn Sie lieber SCIM verwenden möchten, lesen Sie unseren Leitfaden für die SCIM-Konfiguration. In der Student Edition können Sie das Feld Nutzertyp KSAT über das Feld user-role in der CONF-Datei festlegen.

Festlegung, welche Nutzerinnen und Nutzer synchronisiert werden sollen

In diesem Abschnitt erfahren Sie, wie Sie Ihre CONF-Datei bearbeiten, um festzulegen, welche Nutzerinnen und Nutzer von Ihrem AD mit Ihrer KSAT-Konsole synchronisiert werden sollen. Diese AD-Nutzerinnen und -Nutzer werden als Nutzerinnen und Nutzer in Ihrer KSAT-Konsole eingetragen. Sie müssen bestimmte Nutzerinnen und Nutzer synchronisieren, bevor Sie Gruppen synchronisieren können.

Führen Sie die folgenden Schritte aus, um Ihre CONF-Datei zu bearbeiten und festzulegen, welche Nutzerinnen und Nutzer Sie synchronisieren möchten:

  1. Öffnen Sie Ihre <domain>.conf-Datei in einem Texteditor. Weitere Informationen zum Auffinden Ihrer CONF-Datei finden Sie in unserem Leitfaden für die Konfiguration der Active Directory-Integration (ADI).
  2. Bearbeiten Sie die folgenden Felder im Abschnitt [sync.users] der Datei. Weitere Informationen zu diesen Feldern finden Sie in der folgenden Tabelle.
Hinweis: Bei diesen Feldern wird zwischen Groß- und Kleinschreibung unterschieden.
Wichtig: Wenn Ihre OE oder Gruppennamen Zeichen enthalten, die nicht Teil des englischen Standardalphabets sind, ersetzen Sie die Anführungszeichen (") durch einfache Anführungszeichen ('). Maskieren Sie Sonderzeichen wie Kommas (,), Nummernzeichen (#) und Pluszeichen (+), indem Sie einen doppelten Backslash (\\) verwenden. Weitere Informationen finden Sie im Artikel So verwenden Sie Escapezeichen bei der Active Directory-Integration.
Feldname Feldbeschreibung
includedOUs

Geben Sie in dieses Feld die Liste der OUs ein, die durchsucht werden sollen, um Ihre Nutzerinnen und Nutzer zu synchronisieren.

  • Die angegebenen OUs werden nach Nutzerinnen und Nutzern durchsucht, die die E-Mail-Aktivierung eingeschaltet haben.

    Wichtig: Dieses Feld enthält keine Nutzerinnen und Nutzer in Gruppen innerhalb der angegebenen OUs. Informationen zum Synchronisieren von Nutzerinnen und Nutzern innerhalb dieser Gruppen finden Sie unten in der Zeile includedGroups.
  • Wenn Sie eine OE angeben möchten, die sich unter einer anderen OE befindet, müssen Sie den Namen des OE-Standorts in umgekehrter Syntax schreiben und den Dateipfad durch einen Schrägstrich trennen. Wenn Sie beispielsweise eine OE namens „Buchhaltung“ angeben möchten, die sich unter einer OE namens „Alle Nutzer“ befindet, würden Sie die Syntax als „Buchhaltung/Alle Nutzer“ formatieren.
  • Wenn Sie mehrere OUs in Ihre Liste der enthaltenen OUs aufnehmen möchten, müssen Sie diesen Text auf eine bestimmte Weise formatieren. Sie müssen die OUs in Anführungszeichen setzen, die OUs durch Kommas trennen und die OUs in Klammern setzen. Ein Beispiel für die Syntax dieses Felds finden Sie unten:
    • includedOUs = ["Buchhaltung/Alle Nutzer","Entwicklung/Alle Nutzer"]
excludedOUs

Geben Sie in dieses Feld die Liste der OUs ein, die nach auszuschließenden Nutzerinnen und Nutzern durchsucht werden.

  • Wenn während der Suche ausgeschlossene Nutzerinnen und Nutzer gefunden werden, überschreiben sie alle entsprechenden OU-Nutzerinnen und -Nutzer, die in die Synchronisierung eingeschlossen werden sollten.
  • Ein Beispiel für die Syntax dieses Felds finden Sie unten:
    • excludedOUs = ["Auftragnehmer/Entwicklung/Alle Nutzer"]
includedGroups

Geben Sie in dieses Feld die Liste der Gruppen ein, aus denen Nutzerinnen und Nutzer synchronisiert werden sollen. Diese Gruppen müssen entweder AD-Sicherheitsgruppen oder Verteilergruppen sein.

  • Nutzerinnen und Nutzer im Feld includedGroups überschreiben alle entsprechenden Nutzerinnen und Nutzer, die im Feld excludedOUs definiert sind.
  • Wenn Sie mehrere Gruppen in dieses Feld aufnehmen, stellen Sie sicher, dass Sie die Syntax korrekt formatieren. Sie müssen die Gruppen in Anführungszeichen setzen, die Gruppen durch Kommas trennen und die Gruppen in Klammern setzen. Ein Beispiel für die Syntax für mehrere Gruppen finden Sie unten:
    • includedGroups = ["Buchhaltung","Personalabteilung"]
excludedGroups

Geben Sie in dieses Feld die Liste der Gruppen ein, die Nutzerinnen und Nutzer ausschließen, die Mitglieder der angegebenen AD-Sicherheits- oder Verteilergruppen sind.

  • Wenn während dieser Suche ausgeschlossene Nutzerinnen und Nutzer gefunden werden, überschreiben sie die entsprechenden Nutzerinnen und Nutzer, die entweder in includedOUs oder includedGroups gefunden werden.
  • Ein Beispiel für die Syntax dieses Felds finden Sie unten:
    • excludedGroups = ["Vertragsangestellte"]
includedUsers

Geben Sie in diesem Feld die Liste der Nutzerinnen und Nutzer ein, die explizit aufgenommen werden sollen.

  • In diesem Feld angegebene Nutzerinnen und Nutzer überschreiben alle entsprechenden Nutzerinnen und Nutzer im Feld excludedGroups oder im Feld excludedOUs.
  • Geben Sie alle Nutzerinnen und Nutzer an, indem Sie die E-Mail-Adresse eingeben. Sie können beliebig viele Nutzerinnen und Nutzer angeben.
  • Ein Beispiel für die Syntax dieses Felds finden Sie unten:
    • includedUsers = ["nutzer@beispiel.com"]
excludedUsers

Geben Sie in diesem Feld die Liste der Nutzerinnen und Nutzer ein, die explizit ausgeschlossen werden sollen.

  • In diesem Feld angegebene Nutzerinnen und Nutzer werden unabhängig von anderen Einschlussregeln ausgeschlossen.
  • Geben Sie alle Nutzerinnen und Nutzer an, indem Sie die E-Mail-Adresse eingeben. Sie können beliebig viele Nutzerinnen und Nutzer angeben. Ein Beispiel für die Syntax dieses Felds finden Sie unten:
    • excludedUsers = ["nutzer@beispiel.com","nutzer2@beispiel.com"]

Wenn Sie Gruppen synchronisieren möchten, lesen Sie den Abschnitt Festlegen, welche Gruppen synchronisiert werden sollen weiter unten.

Festlegen, welche Gruppen synchronisiert werden sollen

Nachdem Sie die Kriterien für die Synchronisierung bestimmter Nutzerinnen und Nutzer definiert haben, können Sie auch Ihre CONF-Datei bearbeiten, um die Kriterien für alle AD-Gruppen zu definieren, die Sie synchronisieren möchten. Diese AD-Gruppen werden als Gruppen in Ihrer KSAT-Konsole eingetragen.

Wenn Nutzerinnen und Nutzer Mitglieder einer Gruppe in AD sind, sind sie Mitglied der entsprechenden Gruppe in der KSAT-Konsole. KnowBe4 unterstützt keine Gruppen innerhalb von Gruppen und auch keine verschachtelten Gruppen.

Es ist wichtig zu beachten, dass Sie Nutzerinnen und Nutzer zuerst synchronisieren müssen, bevor sie in synchronisierte Gruppen aufgenommen werden können. Wenn Sie eine Gruppe synchronisieren möchten, die Gruppe jedoch keine synchronisierten Nutzerinnen und Nutzer enthält, wird die Gruppe nicht synchronisiert.

Wichtig: Die einzigen Gruppentypen, die mit Ihrer KSAT-Konsole synchronisiert werden, sind Sicherheitsgruppen und Verteilergruppen. Gruppen innerhalb eingeschlossener OUs werden als Gruppen in der Konsole hinzugefügt oder synchronisiert. Die OE selbst wird jedoch nicht mit der Konsole synchronisiert.

Um Ihre CONF-Datei zu bearbeiten und die Gruppen zu definieren, die Sie synchronisieren möchten, führen Sie die folgenden Schritte aus:

  1. Stellen Sie sicher, dass Sie bestimmte Nutzerinnen und Nutzer synchronisiert haben. Weitere Informationen finden Sie oben im Abschnitt Festlegung, welche Nutzerinnen und Nutzer synchronisiert werden sollen.
  2. Bearbeiten Sie die folgenden Felder im Abschnitt [sync.groups] Ihrer CONF-Datei. Weitere Informationen zu diesen Feldern finden Sie in der folgenden Tabelle.
Hinweis: Bei diesen Feldern wird zwischen Groß- und Kleinschreibung unterschieden:
Feldname Feldbeschreibung
includedOUs

Geben Sie in dieses Feld die Liste der Organisationseinheiten ein, die Sie durchsuchen möchten, um Ihre Sicherheits- oder Verteilergruppen zu synchronisieren.

  • Nur Gruppen, die unter der angegebenen OE gefunden werden, werden Ihrer KSAT-Konsole als Gruppen hinzugefügt.
  • Wenn Sie mehrere Organisationseinheiten einschließen, stellen Sie sicher, dass Sie die Syntax korrekt formatieren. Sie müssen die OUs in Anführungszeichen setzen, die OUs durch Kommas trennen und die OUs in Klammern setzen. Ein Beispiel für die Syntax für mehrere OUs finden Sie unten:
    • includedOUs = ["Buchhaltung/Alle Nutzer","Entwicklung/Alle Nutzer"]
excludedOUs

Geben Sie in dieses Feld die Liste der OUs ein, die Sie nach Sicherheits- oder Verteilergruppen durchsuchen möchten, die nicht synchronisiert werden.

  • Ein Beispiel für die Syntax dieses Felds finden Sie unten:
    • excludedOUs = ["Auftragnehmer/Entwicklung/Alle Nutzer"]
includedGroups

Geben Sie in dieses Feld die Liste bestimmter AD-Sicherheits- oder Verteilergruppen ein, die Sie synchronisieren möchten.

  • Wenn diese Gruppen synchronisiert werden, werden nur Nutzerinnen und Nutzer, die Sie in die Nutzersynchronisierung aufgenommen haben, zur entsprechenden KSAT-Gruppe hinzugefügt. Diese Option überschreibt alle ausgeschlossenen Gruppen aus dem Feld excludedOUs im Abschnitt [sync.groups].
  • Ein Beispiel für die Syntax dieses Felds finden Sie unten:
    • includedGroups = ["Vertrieb","Buchhaltung"]
excludedGroups

Geben Sie in dieses Feld die Liste bestimmter Gruppen ein, die Sie von der Synchronisierung ausschließen möchten.

  • Diese Option überschreibt alle Gruppen im Feld includedOUs oder im Feld includedGroups im Abschnitt [sync.groups].
  • Ein Beispiel für die Syntax dieses Felds finden Sie unten:
    • excludedGroups = ["Berater"]

Nachdem Sie diese Felder nach Ihren Wünschen bearbeitet haben, speichern Sie die CONF-Datei. Um die Datei zu speichern, benötigen Sie Schreibrechte.

Synchronisieren von anderen Nutzerinformationen

Nachdem Sie die spezifischen Nutzerinnen und Nutzer und Gruppen ausgewählt haben, die Sie synchronisieren möchten, können Sie auch Ihre CONF-Datei bearbeiten, um festzulegen, welche Nutzerinformationen von Ihrem AD-Konto mit Ihrem KSAT-Konto synchronisiert werden. Um festzulegen, welche Nutzerinformationen synchronisiert werden sollen, können Sie den Abschnitt [sync.fields] der Datei bearbeiten. Standardmäßig füllen die Felder im Abschnitt [sync.fields] automatisch die Nutzerinformationsfelder in Ihrer KSAT-Konsole mit den in Ihrem AD definierten Informationen aus.

Um das Feld in AD aufzunehmen, in dem Ihre Nutzerinformationen vorhanden sind, können Sie den Wert in den Anführungszeichen für jedes Feld bearbeiten. Wenn ein Feld leer ist, gibt es kein übereinstimmendes Feld in AD. Sie können definieren, welche AD-Felder Sie mit KSAT synchronisieren möchten, indem Sie manuell einen Wert zwischen den Anführungszeichen für jedes Feld hinzufügen.

Wenn Sie verhindern möchten, dass bestimmte Felder synchronisiert werden, können Sie den Wert in den Anführungszeichen für dieses Feld löschen. Achten Sie jedoch darauf, dass Sie nicht die Anführungszeichen oder die gesamte Textzeile löschen. Sollten Sie die gesamte Textzeile löschen, fügt AD die Textzeile automatisch wieder dem Feld hinzu und synchronisiert den Wert.

Hinweis: Die Phishing- und Trainingssprachen der Nutzerinnen und Nutzer werden standardmäßig über das Feld AD preferredLanguage synchronisiert. Sie können dieses AD-Feld ändern oder diese Felder von der Synchronisierung ausschließen, indem Sie die Schritte im Abschnitt Anwendungsbeispiele für die Synchronisierung unten befolgen.
Tipp: Sie haben auch die Möglichkeit, die Daten zu begrenzen, die Ihr AD mit Ihrer KSAT-Konsole synchronisiert. Weitere Informationen finden Sie im Abschnitt Synchronisierung von Informationen des Artikels FAQ zur Active Directory-Integration (ADI).

Eine Liste der verfügbaren Standardfelder im Abschnitt [sync.fields] Ihrer CONF-Datei finden Sie unten.

Hinweis: Bei diesen Feldern wird zwischen Groß- und Kleinschreibung unterschieden.

[sync.fields]

comment = ""
custom-date-1 = ""
custom-date-2 = ""
custom-field-1 = ""
custom-field-2 = ""
custom-field-3 = ""
custom-field-4 = ""
department = "department"
division = ""
employee-number = "employeeNumber"
employee-start-date = "whenCreated"
first-name = "givenName"
last-name = ""
location = "physicalDeliveryOfficeName"
manager = "manager"
mobile-number = ""
organization = "o"
out-of-office-end = ""
phishing-language = "preferredLanguage"
phone-number = "telephoneNumber"
training-language = "preferredLanguage"
title = "title"
user-role = ""
Hinweis: Die Zuordnung für das Attribut "manager" kann nicht geändert werden.

SecurityCoach-Felder

Wenn Sie bei der ADI-Konfiguration die SecurityCoach Felder aktiviert haben, werden acht zusätzliche Felder im Abschnitt [sync.fields] Ihrer CONF-Datei angezeigt. Diese Felder können verwendet werden, um KSAT-Nutzerinnen und -Nutzer SecurityCoach-Ereignissen automatisch zuzuordnen. Zusätzlich können Sie diese Felder bei der Zuordnung von Nutzerinnen und Nutzern zu Identifikatoren in SecurityCoach verwenden. Wenn diese Informationen synchronisiert werden, werden sie im Abschnitt SecurityCoach-Felder auf der Seite mit den Nutzerinformationen hinzugefügt.

Eine Liste dieser SecurityCoach-Felder und ihrer Standardzuordnungen finden Sie im Folgenden:

Hinweis: Bei diesen Feldern wird zwischen Groß- und Kleinschreibung unterschieden.
company-name = "company"
country = "co"
employee-type = "employee type"
hostname = "userWorkstations"
last-password-change-date-time = "pwdLastSet"
mail-nickname = "mail"
on-premises-sam-account-name = "sAMAccountName"
on-premises-security-identifier = "objectSid"
user-principal-name = "userPrincipalName"

Anwendungsbeispiele für die Synchronisierung

Nachfolgend finden Sie Anwendungsbeispiele für die Festlegung der AD-Felder, die mit Ihrer KSAT-Konsole synchronisiert werden sollen.

Anwendungsbeispiel: Ausschließen von Feldern aus Ihrer AD-Synchronisierung

Wenn Sie benutzerdefinierte Felder in Ihrer KSAT-Konsole verwalten möchten, können Sie diese Felder von Ihrer AD-Synchronisierung ausschließen. Diese Ausnahme gilt nur für benutzerdefinierte Felder. Wenn Sie andere Felder als benutzerdefinierte Felder leer lassen, werden die Werte in KSAT gelöscht.

Um benutzerdefinierte Felder von Ihrer AD-Synchronisierung auszuschließen, fügen Sie die folgende Syntax in den Abschnitt [sync.fields] Ihrer CONF-Datei ein. In der folgenden Syntax sind alle benutzerdefinierten Felder leer oder die Werte in den Anführungszeichen wurden entfernt:

[sync.fields]

comment = ""
custom-date-1 = ""
custom-date-2 = ""
custom-field-1 = ""
custom-field-2 = ""
custom-field-3 = ""
custom-field-4 = ""
department = "department"
division = ""
employee-number = "employeeNumber"
employee-start-date = "whenCreated"
first-name = "givenName"
last-name = ""
location = "physicalDeliveryOfficeName"
manager = "manager"
mobile-number = ""
organization = "o"
out-of-office-end = ""
phishing-language = "preferredLanguage"
phone-number = "telephoneNumber"
title = "title"
training-language = "preferredLanguage"
user-role = ""

Anwendungsbeispiel: Ausschließen von Geschäftsbereichen und Standorten von Nutzerinnen und Nutzern

Wenn Sie zwar die Abteilungen Ihrer Nutzerinnen und Nutzer, nicht jedoch ihre Geschäftsbereiche oder Standorte synchronisieren möchten, fügen Sie die folgende Syntax in den Abschnitt [sync.fields] Ihrer CONF-Datei ein. In der folgenden Syntax sind die Felder „Geschäftsbereich“ und „Standort“ leer, oder die Werte in den Anführungszeichen wurden entfernt:

[sync.fields]

comment = ""
custom-date-1 = ""
custom-date-2 = ""
custom-field-1 = ""
custom-field-2 = ""
custom-field-3 = ""
custom-field-4 = ""
department = "department"
division = ""
employee-number = "employeeNumber"
employee-start-date = "whenCreated"
first-name = "givenName"
last-name = ""
location = ""
manager = "manager"
mobile-number = ""
organization = "o"
out-of-office-end = ""
phishing-language = "preferredLanguage"
phone-number = "telephoneNumber"
title = "title"
training-language = "preferredLanguage"
user-role = ""

Anwendungsbeispiel: Schließen Sie alle Felder in Ihre AD-Synchronisierung ein

Wenn Sie alle Felder in Ihre AD-Synchronisierung einbeziehen möchten, fügen Sie die folgende Syntax in den Abschnitt [sync.fields] Ihrer CONF-Datei ein. In der folgenden Syntax haben alle Felder einen Wert in Anführungszeichen:

[sync.fields]

comment = “This is a comment!“
custom-date-1 = “This is my custom-date-1 field.“
custom-date-2 = "This is my custom-date-2 field."
custom-field-1 = "This is my custom-field-1”
custom-field-2 = "This is my custom-field-2.”
custom-field-3 = "This is my custom-field-3”
custom-field-4 = "This is my custom-field-4”
department = "department"
division = “division”
employee-number = "employeeNumber"
employee-start-date = "whenCreated"
first-name = "givenName"
last-name = “last-name”
location = "physicalDeliveryOfficeName"
manager = "manager"
mobile-number = “mobile“
organization = "o"
out-of-office-end = ""
phishing-language = "preferredLanguage"
phone-number = "telephoneNumber"
title = "title"
training-language = "preferredLanguage"
user-role = ""

War dieser Artikel hilfreich?

10 von 13 fanden dies hilfreich

Sie finden nicht, wonach Sie suchen?

Support kontaktieren