Puede usar la función Integración de Active Directory (ADI) de KnowBe4 para integrar el Active Directory (AD) de su organización con la consola de KSAT. Después de configurar ADI, los usuarios y los grupos se agregarán, cambiarán y archivarán de manera automática en la consola de KSAT según la información enviada desde AD. Es importante destacar que este es un proceso de sincronización unidireccional y que no se volverá a enviar ninguna información a AD desde la consola de KSAT. 

Para obtener información sobre los beneficios de configurar ADI para su organización, consulte nuestro artículo Beneficios de configurar la Integración de Active Directory (ADI). Si prefiere ver tutoriales en video para aprender a configurar ADI, consulte nuestro video Integración de Active Directory (ADI). O bien, si le interesa usar SCIM para sincronizar a sus usuarios, consulte nuestra Guía de configuración de SCIM.

Cómo funciona ADI para cuentas con usuarios existentes

Si ya agregó usuarios a su consola de KSAT, hay algunos aspectos que debe tener en cuenta antes de configurar ADI. Para obtener más información, consulte la lista siguiente:

• Una vez que haya configurado ADI, los datos que se sincronizan de AD se consideran fidedignos. En las sincronizaciones entre la consola de KSAT y AD, ocurrirán las siguientes acciones:
  • Los usuarios que no se encuentren en AD se archivarán en su consola de KSAT.
  • Si cambió la información de un usuario en la consola de KSAT, los datos que se encuentran en AD sobrescribirán esos cambios.
• Antes de configurar ADI, se considera que la consola de KSAT administra las cuentas de usuario. Cuando los usuarios están administrados por la consola, para editar la información del usuario, puede cargar un archivo CSV en la consola o editar los perfiles de usuario directamente en la consola. 
  • Una vez que configure ADI y ocurra la primera sincronización de AD, se considerará que los usuarios están administrados por AD. Cuando los usuarios están administrados por AD, debe editar la información del usuario en AD, y luego estos cambios se aplican en la consola de KSAT en la siguiente sincronización.
• En la primera sincronización de AD, la consola de KSAT combinará de manera automática las cuentas de usuario administradas por la consola con las cuentas en AD. Este proceso hará que sus usuarios pasen de estar administrados por la consola a estar administrados por AD. A continuación, detallamos cómo funciona este proceso:
  1. Deberá instalar y configurar la herramienta de sincronización de ADI en su entorno. Para más información, consulte la sección Instalación y configuración de este artículo.
  2. Deberá configurar la información que quiere sincronizar de AD. Para más información, consulte la sección Cómo definir las unidades organizativas, los grupos y los usuarios que quiere sincronizar de este artículo.
  3. Luego, el servicio de sincronización de ADI consultará su AD o directorio para obtener información de los usuarios y los grupos, y enviará los resultados a los servidores de KnowBe4.
  4. Los servidores de KnowBe4 revisarán la información enviada desde AD y actualizarán de manera automática los usuarios y los grupos en su consola de KSAT, en función de la siguiente lógica:

     Si un usuario de AD tiene una dirección de correo electrónico que coincide con una cuenta existente de la consola de KSAT, AD comienza a administrar esa cuenta.

     Si un usuario de AD no se encuentra en la consola de KSAT, se crea una cuenta de usuario administrada por AD.

     Después de que se hayan procesado todos los usuarios de AD, se archivarán todas las cuentas de la consola que no hayan pasado a estar administradas por AD.

Una vez que configure ADI, la información del usuario se mantendrá actualizada con la información en el AD de su organización.

Requisitos previos

Antes de configurar ADI, asegúrese de que su entorno cumpla con los requisitos básicos que se indican a continuación:

1. Su organización debe tener Microsoft Active Directory o Microsoft Entra ID. Para obtener más información, consulte la lista siguiente:
   1. Si su organización tiene Microsoft Active Directory, el nivel funcional del dominio debe ser Windows Server 2016 o una versión posterior.
   2. Si su organización tiene Microsoft Entra ID, puede sincronizar Microsoft Entra ID Domain Services con la consola de KSAT. Para obtener más información, consulte nuestro artículo Cómo utilizar la Integración de Active Directory (ADI) con Microsoft Entra Domain Services.
2. Le recomendamos que instale la herramienta de ADI en un servidor de aplicaciones, no en una estación de trabajo de usuarios. Asegúrese de que el sistema en el que instalará ADI cumpla con las siguientes especificaciones:
   1. El sistema utiliza Windows Desktop 10 o 11, o Windows Server 2016/2019 o 2022 (64 bits).
   2. Asegúrese de que el sistema pueda comunicarse con el servidor de la instancia de capacitación de su cuenta. Para obtener una lista de instancias, consulte nuestro artículo Instancias de capacitación de KnowBe4. Esta instancia de capacitación es la URL del servidor a la que la herramienta de sincronización de AD de KnowBe4 se conectará mediante una solicitud POST. Deberá permitir conexiones salientes a servidores remotos en el puerto 443 (SSL/HTTPS).
   3. La computadora tiene al menos 2 GB de RAM.
   4. La unidad del sistema de la computadora tiene al menos 1 GB de espacio disponible en la unidad de disco duro (hard disk drive, HDD).
   5. El Control de cuentas de usuario (User Account Control, UAC) está habilitado en la configuración de Control de cuentas de usuario de la computadora.

Consulte la siguiente sección para ver los pasos importantes que deberá seguir a fin de prepararse para configurar ADI.

Antes de comenzar: Pasos requeridos

Antes de instalar y configurar la herramienta de sincronización de AD de KnowBe4 en su sistema local, cumpla los siguientes pasos:

1. Recopile la siguiente información sobre su AD:
   Importante:Si sus usuarios se encuentran en más de un controlador de dominio, deberá reunir la siguiente información para cada uno de los controladores de dominio. También deberá configurar ADI para cada uno de estos dominios. Para obtener más información, consulte la sección Soporte para múltiples dominios de origen de nuestra Guía de configuración avanzada de Integración de Active Directory (ADI).
   • Busque la dirección IP o el nombre de dominio completo (Fully Qualified Domain Name, FQDN) para el controlador de dominio en el que se encuentra AD.
   • Asegúrese de que su controlador de dominio de AD pueda responder solicitudes mediante el protocolo ligero de acceso a directorios (Lightweight Directory Access Protocol, LDAP). De manera predeterminada, todos los controladores de dominio están configurados para responder solicitudes LDAP.
     Consejo:La herramienta de sincronización de AD puede comunicarse mediante el LDAP. Sin embargo, si prefiere, puede habilitar el protocolo ligero de acceso seguro a directorios (Lightweight Directory Access Protocol Secure, LDAPS) en su controlador de dominio antes de sincronizar AD. De manera predeterminada, el LDAPS no está habilitado en la mayoría de los controladores de dominio. Para obtener más información, consulte nuestras preguntas frecuentes sobre ADI.
   • Busque el nombre de dominio de AD. El nombre de dominio de AD es el dominio root controlado por su controlador de dominio de AD. En la siguiente imagen, verá un ejemplo de un nombre de dominio de AD.
   • Asegúrese de tener el nombre de usuario y la contraseña de una cuenta de administrador de AD que tenga los permisos para realizar consultas LDAP. De manera predeterminada, cualquier cuenta que se encuentre en el grupo “Usuarios de dominio” tiene estos permisos. Sin embargo, para mayor seguridad, le recomendamos que use una cuenta de servicio que solo tenga permisos “de lectura” para AD. Para ver los permisos “de lectura” que se necesitan para esta cuenta de servicio, consulte nuestra Guía de configuración avanzada de Integración de Active Directory (ADI).
2. Obtenga el token de sincronización de ADI y descargue la herramienta de sincronización de ADI en Configuración de la cuenta de KSAT. Siga estos pasos:
   1. Después de iniciar sesión en la consola de KSAT, haga clic en su dirección de correo electrónico en la esquina superior derecha de la página. Luego, haga clic en Configuración de la cuenta.
   2. Vaya a la sección Aprovisionamiento de usuarios. Seleccione la casilla Habilitar el aprovisionamiento de usuarios (sincronización de usuarios).
   3. Asegúrese de que la configuración Modo de prueba esté habilitada. Solo debe desactivar el Modo de prueba cuando haya completado la configuración de ADI y haya verificado que ADI funcione de manera correcta. Mientras el Modo de prueba esté habilitado, no podrá ejecutar las acciones de sincronización y aprovisionamiento de usuarios. En cambio, se generará un reporte que mostrará lo que habría ocurrido si se hubiera ejecutado el aprovisionamiento de usuarios. El Modo de prueba le permite resolver cualquier problema posible sin afectar a los usuarios actuales que tiene en su consola. 
      Consejo: Seleccionar la casilla Mostrar dominio de grupo puede ser útil si sus usuarios se dividen entre múltiples orígenes de dominio. Para obtener más información, consulte nuestras preguntas frecuentes sobre ADI.
      
   4. Copie su token de sincronización de ADI y guárdelo de manera local. Necesitará este token para completar la configuración. Su token de sincronización de ADI tiene 34 dígitos de longitud y se parece al ejemplo siguiente: US9X140X4829E37XX545401X97912X604X.
   5. Haga clic en el ícono de descarga junto a Herramienta de ADI (ADISyncSetup.exe) a fin de descargar el archivo para la herramienta de ADI. 
   6. Haga clic en el botón Guardar cambios en la parte inferior de la página de Configuración de la cuenta.
   7. Determine qué usuarios quiere sincronizar y familiarícese con el lugar en el que se ubicarán estos objetos de usuario en AD. 
3. Después de completar los pasos de esta sección y los pasos de la sección Instalación y configuración a continuación, deberá definir el lugar en el que se ubicarán los objetos de usuario en AD. Puede sincronizar objetos de usuario de uno o más de los siguientes elementos: unidades organizativas (Organization Unit, OU), grupos de seguridad y grupos de distribución. Para obtener información adicional sobre cómo definir los usuarios que desea sincronizar, consulte la sección Cómo definir las unidades organizativas, los grupos y los usuarios que quiere sincronizar de este artículo.

   Si sus objetos de usuario no se encuentran en OU, grupos de seguridad ni grupos de distribución, consulte la siguiente información:

   • Si los usuarios que quiere sincronizar se encuentran en el contenedor de usuarios incorporado en vez de una OU, no puede sincronizar los contenedores. Como solución alternativa, puede crear un grupo de seguridad, agregar esos usuarios a dicho grupo y luego sincronizar el grupo en lugar del contenedor. 
   • Si AD no está organizado de una forma ideal para sincronizarse con la consola de KSAT o si no lo sabe con certeza: Puede configurar uno o más grupos en AD para incluir todos los objetos de usuario y todos los grupos que quiere sincronizar. Luego, deberá especificar que quiere sincronizar solo esos grupos.
   • Si tiene un dominio root con AD secundarios, puede ejecutar el instalador de ADI para cada dominio secundario. Cada dominio secundario debe usar el mismo controlador de dominio como el dominio root.
4. Determine de qué campo deben extraerse las direcciones de correo electrónico de sus usuarios en AD. De manera predeterminada, el servicio de ADI extraerá las direcciones del proxy de sus usuarios para usarlas como sus direcciones de correo electrónico de la cuenta de KnowBe4. 
   • Si necesita usar otros elementos en lugar de las direcciones del proxy, deberá editar el campo emailAttrib en su archivo adisync.conf. Por ejemplo, si no está usando Microsoft Exchange o Microsoft 365 como su servidor de correo, es muy probable que el campo de dirección del proxy en AD esté en blanco. Edite el campo emailAttrib después de realizar la instalación, pero antes de iniciar el servicio de sincronización de ADI. Para obtener las instrucciones, consulte la sección Cómo cambiar el lugar de donde extraigo las direcciones de correo electrónico de Active Directory de nuestra Guía de configuración avanzada de Integración de Active Directory (ADI).
     Nota: El campo useMailAttrib se reemplazó con el campo emailAttribute.
   • Asegúrese de que todas las campañas tengan su configuración ajustada de manera adecuada para la entrada de usuarios. Vuelva a revisar la configuración de los grupos inteligentes en las campañas, ya que puede verse afectada por los usuarios nuevos que aparezcan mediante la sincronización de ADI.

Una vez que haya reunido la información mencionada, continúe con los pasos de la siguiente sección.

Instalación y configuración

Una vez que haya reunido la información detallada en la sección anterior, podrá instalar y configurar la sincronización de ADI. Continúe con los siguientes pasos:

1. Ejecute la herramienta de sincronización de Active Directory. Este es el archivo ADISyncSetup.exe que descargó desde la configuración de la cuenta de KSAT en el paso 2 de la sección Antes de comenzar: Pasos requeridos. La herramienta de sincronización de AD no debe instalarse en un controlador de dominio. Puede instalarse en cualquier lugar del entorno, siempre que el sistema pueda comunicarse con un controlador de dominio que acepte conexiones LDAP.
   Consejo:La herramienta de sincronización de AD puede comunicarse mediante el LDAP. Sin embargo, si prefiere, puede habilitar el protocolo ligero de acceso seguro a directorios (Lightweight Directory Access Protocol Secure, LDAPS) en su controlador de dominio antes de sincronizar Active Directory. De manera predeterminada, el LDAPS no está habilitado en la mayoría de los controladores de dominio. Para obtener más información, consulte nuestras preguntas frecuentes: artículo sobre Integración de Active Directory (ADI).

   Un símbolo del sistema se abrirá de manera automática en el directorio de instalación. La ubicación predeterminada del directorio de instalación en las plataformas de 64 bits es la siguiente: C:\Program Files\KnowBe4\ADI Sync

2. En la ventana del símbolo del sistema, se le indicará que ingrese la siguiente información:
   1. Escriba su token de sincronización ADI de 34 caracteres: Si esta es la primera vez que ejecuta este comando, se le indicará que ingrese su Token de sincronización de Active Directory. Este token es la cadena de caracteres que copió de la configuración de la cuenta de KSAT. Para obtener más información, consulte el paso 2 de la sección Antes de comenzar: Pasos requeridos.
   2. Ingrese el nombre de dominio de Active Directory: El nombre de dominio se refiere al dominio root de AD. Para ver un ejemplo, consulte la sección Antes de comenzar: Pasos requeridos. 
   3. Ingrese el nombre de host del controlador de dominio o la dirección IP de Active Directory: El nombre de host o la dirección IP de AD se refieren a la dirección IP o al nombre de dominio completo (Fully Qualified Domain Name, FQDN) para el controlador de dominio en el que se encuentra AD.
   4. Habilite la SSL (true/false): De manera predeterminada, el LDAPS no está habilitado en su controlador de dominio, y deberá escribir “false” o presionar la tecla Intro en el teclado para seleccionar false de manera automática. De lo contrario, si ha habilitado el LDAPS para hacer esta sincronización, escriba “true”.
   5. Habilitar los campos de SecurityCoach (verdadero/falso): Si usted compró SecurityCoach, ingrese "verdadero" para habilitar los campos de SecurityCoach. Estos campos le permitirán sincronizar la información para la asignación de usuarios. Para obtener más información, consulte la sección Campos de Security Coach, de nuestro artículo Cómo editar su archivo CONF para la Integración de Active Directory (ADI). Estos campos están deshabilitados de manera predeterminada. Para mantener estos campos deshabilitados, presione Enter en su teclado.
   6. Ingrese el número de puerto de Active Directory [389]: Ingrese el puerto del LDAP o del LDAPS correspondiente. De manera predeterminada, el puerto del LDAP es el 389 y el del LDAPS es el 636.
   7. Ingrese el nombre de usuario (usuario@dominio): Ingrese el nombre de usuario de la cuenta de administrador de AD que tenga los permisos de lectura necesarios para realizar consultas LDAP. El formato de este nombre de usuario debe ser “usuario@dominio”.
   8. Ingrese la contraseña: Ingrese la contraseña de la cuenta de administrador de AD que tenga los permisos de lectura necesarios para realizar consultas LDAP.
3. Si la conexión se estableció correctamente, verá un mensaje de confirmación indicando que la ADI se conectó y configuró para su dominio, como se muestra en el ejemplo anterior. 
4. Presione la tecla Intro en el teclado para salir de la ventana del símbolo del sistema.

   Si hubo problemas para autenticar o conectarse con su controlador de dominio, verá mensajes de error en la ventana del símbolo del sistema, y deberá repetir los pasos de esta sección con los datos de configuración correctos. Si siguen apareciendo estos errores, comuníquese con nuestro equipo de soporte técnico. 

   Una vez que la conexión se haya establecido correctamente, consulte la siguiente sección para poder especificar los usuarios y la información que quiere sincronizar con su consola de KSAT.

Cómo definir las unidades organizativas, los grupos y los usuarios que quiere sincronizar

Después de haber completado los pasos de las dos secciones anteriores, deberá editar el archivo <su dominio>.conf para configurar la información que quiere sincronizar con su cuenta de KSAT. Esta configuración es obligatoria para sincronizar los usuarios de AD.

Continúe la configuración de ADI con los siguientes pasos:

1. Asegúrese de tener permisos de edición en la carpeta C:\ProgramData\KnowBe4\ADI Sync\Config. 
2. Busque el archivo <su dominio>.conf en el directorio de instalación, como se muestra a continuación. Abra el archivo en un editor de texto, como Bloc de notas.

   El archivo <su dominio>.conf se usa para definir los usuarios, la información del usuario y los grupos que quiere sincronizar entre su cuenta de KSAT y AD. Para ver un ejemplo de este archivo, abra el archivo dominio_de_ejemplo.

   Nota: Asegúrese de editar el archivo <su dominio>.conf y no el archivo adisync.conf.
3. Edite el archivo <su dominio>.conf para especificar los criterios de la sincronización de su usuario y su grupo. Existen tres secciones del archivo <su dominio>.conf que puede modificar:
   • [sync.fields] (opcional): Edite esta área para especificar los campos de información del usuario que quiere sincronizar de AD. Para obtener más información, consulte la sección Cómo sincronizar otra información del usuario con KnowBe4 de nuestro artículo Cómo sincronizar información a través de Active Directory.
   • [sync.users] (obligatorio): Edite esta área para especificar qué usuarios quiere sincronizar de AD. Asegúrese de incluir al menos una OU, un grupo o un usuario en la sección [sync.users] del archivo .conf. Para obtener más información, consulte la sección Sincronizar usuarios mediante inclusión/exclusión de una unidad organizativa, un grupo o un usuario específico (obligatorio) de nuestro artículo Cómo sincronizar información a través de Active Directory.
   • [sync.groups] (opcional): Puede usar esta área para especificar los grupos que quiere sincronizar de AD. Estos grupos se crearán de manera automática en su consola de KnowBe4, y los usuarios correspondientes se agregarán a dichos grupos. Para obtener más información, consulte la sección Sincronizar grupos mediante inclusión/exclusión de una unidad organizativa o un grupo (opcional) de nuestro artículo Cómo sincronizar información a través de Active Directory.
   Nota:Si los nombres de sus unidades organizativas o sus grupos incluyen letras que no son parte del alfabeto inglés estándar, reemplace las comillas dobles (") por las comillas simples (') en el archivo <su dominio>.conf. Además, deberá usar la barra diagonal inversa doble de escape para caracteres especiales, como la coma, el numeral y el signo más. Para más información, consulte nuestro artículo Cómo usar los caracteres de escape con Integración de Active Directory.
4. Cuando haya finalizado, guarde los cambios que haya hecho en el archivo <su dominio>.conf.

Consulte la siguiente sección para comenzar la sincronización de ADI.

Inicie la sincronización de ADI

Si ha completado todos los pasos anteriores, su servicio de sincronización ADI KnowBe4 ahora está configurado y puede iniciar la sincronización de ADI. Continúe con los siguientes pasos:

Puede comenzar la sincronización usando el administrador de control del servicio de Windows para comenzar el servicio de ADI de KnowBe4.

El servicio de sincronización de la ADI de KnowBe4 se ejecutará de inmediato. Mientras los servicios estén conectados, habrá sincronizaciones entre AD y la consola de KSAT una vez cada seis horas.

Mientras el Modo de prueba esté habilitado en Configuración de la cuenta, verá una vista previa de cómo AD se sincronizará con KnowBe4. Para obtener una vista previa del Modo de prueba, diríjase a Usuarios > Aprovisionamiento en su consola de KSAT.

Mantenga el Modo de prueba habilitado hasta que tenga la certeza de haber configurado ADI de una manera que satisfaga las necesidades de su organización. Cuando esté conforme con la configuración de ADI, vaya a la configuración de la cuenta de KSAT y deshabilite el Modo de prueba. La siguiente sincronización de ADI aprovisionará a sus usuarios de manera automática.