Cómo configurar Integración de Active Directory

Puede usar la función Integración de Active Directory (ADI) de KnowBe4 para integrar el Active Directory (AD) de su organización con la consola de KMSAT. Después de configurar ADI, los usuarios y los grupos se agregarán, cambiarán y archivarán de manera automática en la consola de KMSAT según la información enviada desde AD. Es importante destacar que este es un proceso de sincronización unidireccional, y no se volverá a enviar ninguna información a AD desde la consola de KMSAT. 

Para obtener información sobre los beneficios de configurar ADI para su organización, consulte nuestro artículo Beneficios de configurar la Integración de Active Directory (ADI). Si prefiere ver tutoriales en video para aprender a configurar ADI, consulte nuestro video Integración de Active Directory (ADI). O bien, si le interesa usar SCIM para sincronizar a sus usuarios, consulte nuestra Guía de configuración de SCIM.

Vaya a:

Cómo funciona ADI para cuentas con usuarios existentes

Requisitos previos
Antes de comenzar: Pasos requeridos
Instalación y configuración
Cómo definir las unidades organizativas, los grupos y los usuarios que quiere sincronizar
Inicie la sincronización de ADI

Cómo funciona ADI para cuentas con usuarios existentes

Si ya ha agregado usuarios a su consola de KMSAT, hay algunos aspectos que debe tener en cuenta antes de configurar ADI. Para obtener más información, consulte la lista siguiente:

• Una vez que haya configurado ADI, los datos que se sincronizan de AD se consideran fidedignos. En las sincronizaciones entre la consola de KMSAT y AD, ocurrirán las siguientes acciones:
  • Los usuarios que no se encuentren en AD se archivarán en su consola de KMSAT.
  • Si ha hecho cambios a la información de un usuario en la consola de KMSAT, los datos que se encuentran en AD sobrescribirán dichos cambios.
• Antes de configurar ADI, se considera que la consola de KMSAT administra las cuentas de usuario. Cuando los usuarios están administrados por la consola, para editar la información del usuario, puede cargar un archivo CSV en la consola o editar los perfiles de usuario directamente en la consola. 
  • Una vez que configure ADI y ocurra la primera sincronización de AD, se considerará que los usuarios están administrados por AD. Cuando los usuarios están administrados por AD, debe editar la información del usuario en AD, y luego estos cambios se aplican en la consola de KMSAT en la siguiente sincronización.
• En la primera sincronización de AD, la consola de KMSAT combinará de manera automática las cuentas de usuario administradas por la consola con las cuentas en AD. Este proceso hará que sus usuarios pasen de estar administrados por la consola a estar administrados por AD. A continuación, detallamos cómo funciona este proceso:
  1. Deberá instalar y configurar la herramienta de sincronización de ADI en su entorno. Para más información, consulte la sección Instalación y configuración de este artículo.
  2. Deberá configurar la información que quiere sincronizar de AD. Para más información, consulte la sección Cómo definir las unidades organizativas, los grupos y los usuarios que quiere sincronizar de este artículo.
  3. Luego, el servicio de sincronización de ADI consultará su AD o directorio para obtener información de los usuarios y los grupos, y enviará los resultados a los servidores de KnowBe4.
  4. Los servidores de KnowBe4 revisarán la información enviada desde AD y actualizarán de manera automática los usuarios y los grupos en su consola de KMSAT, en función de la siguiente lógica:
     
     • Si un usuario de AD tiene una dirección de correo electrónico que coincide con una cuenta existente de la consola de KMSAT, AD comienza a administrar dicha cuenta.
     • Si un usuario de AD no se encuentra en la consola de KMSAT, se crea una cuenta de usuario administrada por AD.
     • Después de que se hayan procesado todos los usuarios de AD, se archivarán todas las cuentas de la consola que no hayan pasado a estar administradas por AD.

Una vez que configure ADI, la información del usuario se mantendrá actualizada con la información en el AD de su organización.

Regresar al principio

Requisitos previos

Antes de configurar ADI, asegúrese de que su entorno cumpla con los requisitos básicos que se indican a continuación:

1. Su organización debe tener Microsoft Active Directory o Azure Active Directory. Para obtener más información, consulte la lista siguiente:

• Si su organización tiene Microsoft Active Directory, el nivel funcional del dominio debe ser Windows Server 2003 o una versión posterior.
• Si su organización tiene Azure Active Directory, puede sincronizar Azure Active Directory Domain Services con la consola de KMSAT. Para obtener más información, consulte nuestro artículo Cómo usar Integración de Active Directory con Azure Active Directory Domain Services.

2. Le recomendamos que instale la herramienta de ADI en un servidor de aplicaciones, no en una estación de trabajo de usuarios. Asegúrese de que el sistema en el que instalará ADI cumpla con las siguientes especificaciones:

• El sistema usa Windows Desktop 7/Vista/8/10 o Windows Server 2008/2012/2016/2019 (64 bits).
• Asegúrese de que el sistema pueda comunicarse con el servidor de la instancia de capacitación de su cuenta. Para obtener una lista de instancias, consulte nuestro artículo Instancias de capacitación de KnowBe4.
  • Esta instancia de capacitación es la URL del servidor a la que la herramienta de sincronización de AD de KnowBe4 se conectará mediante una solicitud POST. Deberá permitir conexiones salientes a servidores remotos en el puerto 443 (SSL/HTTPS).

Consulte la siguiente sección para ver los pasos importantes que deberá seguir a fin de prepararse para configurar ADI.

Regresar al principio

Antes de comenzar: Pasos requeridos

Antes de instalar y configurar la herramienta de sincronización de AD de KnowBe4 en su sistema local, cumpla los siguientes pasos:

1. Recopile la siguiente información acerca de su AD:

• Busque la dirección IP o el nombre de dominio completo (Fully Qualified Domain Name, FQDN) para el controlador de dominio en el que se encuentra AD.

• Asegúrese de que su controlador de dominio de AD pueda responder solicitudes mediante el protocolo ligero de acceso a directorios (Lightweight Directory Access Protocol, LDAP). De manera predeterminada, todos los controladores de dominio están configurados para responder solicitudes LDAP.

  Consejo: La herramienta de sincronización de AD puede comunicarse mediante el LDAP. Sin embargo, si prefiere, puede habilitar el protocolo ligero de acceso seguro a directorios (Lightweight Directory Access Protocol Secure, LDAPS) en su controlador de dominio antes de sincronizar AD. De manera predeterminada, el LDAPS no está habilitado en la mayoría de los controladores de dominio. Para obtener más información, consulte nuestras preguntas frecuentes sobre ADI.

• Busque el nombre de dominio de AD. El nombre de dominio de AD es el dominio root controlado por su controlador de dominio de AD. En la siguiente imagen, verá un ejemplo de un nombre de dominio de AD.

  

• Asegúrese de tener el nombre de usuario y la contraseña de una cuenta de administrador de AD que tenga los permisos para realizar consultas LDAP. De manera predeterminada, cualquier cuenta que se encuentre en el grupo “Usuarios de dominio” tiene estos permisos. Sin embargo, para mayor seguridad, le recomendamos que use una cuenta de servicio que solo tenga permisos “de lectura” para AD. Para ver los permisos “de lectura” que se necesitan para esta cuenta de servicio, consulte nuestra Guía de configuración avanzada de Integración de Active Directory (ADI).

2. Obtenga el token de sincronización de ADI y descargue la herramienta de sincronización de ADI en Configuración de la cuenta de KMSAT. Siga estos pasos:

1. 1. Después de iniciar sesión en la consola de KMSAT, haga clic en su dirección de correo electrónico en la esquina superior derecha de la página. Luego, haga clic en Configuración de la cuenta.
   2. Vaya a la sección Aprovisionamiento de usuarios. Seleccione la casilla Activar el aprovisionamiento de usuarios (sincronización de usuarios).
      
   3. Asegúrese de que la configuración Modo de prueba esté habilitada. Solo debe desactivar el Modo de prueba cuando haya completado la configuración de ADI y haya verificado que ADI funcione de manera correcta. Mientras el Modo de prueba esté habilitado, no podrá ejecutar las acciones de sincronización y aprovisionamiento de usuarios. En cambio, se generará un reporte que mostrará lo que habría ocurrido si se hubiera ejecutado el aprovisionamiento de usuarios. El modo de prueba le permite resolver cualquier problema posible sin afectar a los usuarios actuales que tiene en su consola.
      

      Consejo: Seleccionar la casilla Mostrar dominio de grupo puede ser útil si sus usuarios se dividen entre múltiples orígenes de dominio. Para obtener más información, consulte nuestras preguntas frecuentes sobre ADI.

   4. Copie su token de sincronización de ADI y guárdelo de manera local. Necesitará este token para completar la configuración. Su token de sincronización de ADI tiene 32 dígitos de longitud y se parece al ejemplo siguiente: 9X140X4829E37XX545401X97912X604X.
   5. Haga clic en el ícono de descarga junto a Herramienta de ADI (KnowBe4_AD_Sync.msi) a fin de descargar el archivo para la herramienta de ADI. 
   6. Haga clic en el botón Guardar cambios en la parte inferior de la página de Configuración de la cuenta.
   7. Determine qué usuarios quiere sincronizar y familiarícese con el lugar en el que se ubicarán estos objetos de usuario en AD. 

3. Después de completar los pasos de esta sección y los pasos de la sección Instalación y configuración a continuación, deberá definir el lugar en el que se ubicarán los objetos de usuario en AD. Puede sincronizar objetos de usuario de uno o más de los siguientes elementos: unidades organizativas (Organization Unit, OU), grupos de seguridad y grupos de distribución. Para obtener información adicional sobre cómo definir los usuarios que desea sincronizar, consulte la sección Cómo definir las unidades organizativas, los grupos y los usuarios que quiere sincronizar de este artículo.

Si sus objetos de usuario no se encuentran en OU, grupos de seguridad ni grupos de distribución, consulte la siguiente información:

• Si los usuarios que quiere sincronizar se encuentran en el contenedor de usuarios incorporado en vez de una OU, no puede sincronizar los contenedores. Como solución alternativa, puede crear un grupo de seguridad, agregar esos usuarios a dicho grupo y luego sincronizar el grupo en lugar del contenedor. 
• Si AD no está organizado de una forma ideal para sincronizarse con la consola de KMSAT o si no lo sabe con certeza: Puede configurar uno o más grupos en AD para incluir todos los objetos de usuario y todos los grupos que quiere sincronizar. Luego, deberá especificar que quiere sincronizar solo esos grupos.
• Si tiene un dominio root con AD secundarios, puede ejecutar el instalador de ADI para cada dominio secundario. Cada dominio secundario debe usar el mismo controlador de dominio como el dominio root.

4. Determine de qué campo deben extraerse las direcciones de correo electrónico de sus usuarios en AD. De manera predeterminada, el servicio de ADI extraerá las direcciones del proxy de sus usuarios para usarlas como sus direcciones de correo electrónico de la cuenta de KnowBe4. 

• Si necesita usar otros elementos en lugar de las direcciones del proxy, deberá editar el campo emailAttrib en su archivo ADIsync.conf. Por ejemplo, si no está usando Microsoft Exchange o Microsoft 365 como su servidor de correo, es muy probable que el campo de dirección del proxy en AD esté en blanco. Edite el campo emailAttrib después de realizar la instalación, pero antes de iniciar el servicio de sincronización de ADI. Para obtener las instrucciones, consulte la sección Cómo cambiar el lugar de donde extraigo las direcciones de correo electrónico de Active Directory de nuestra Guía de configuración avanzada de Integración de Active Directory (ADI).
  

  Nota: El campo useMailAttrib se reemplazó con el campo emailAttribute.

• Asegúrese de que todas las campañas tengan su configuración ajustada de manera adecuada para la entrada de usuarios. Vuelva a revisar la configuración de los grupos inteligentes en las campañas, ya que puede verse afectada por los usuarios nuevos que aparezcan mediante la sincronización de ADI.

Una vez que haya reunido la información mencionada, continúe con los pasos de la siguiente sección.

Regresar al principio

Instalación y configuración

Una vez que haya reunido la información detallada en la sección anterior, podrá instalar y configurar la sincronización de ADI. Continúe con los siguientes pasos:

1. Ejecute la herramienta de sincronización de Active Directory. Este es el archivo KnowBe4_AD_Sync.msi que descargó desde la configuración de la cuenta de KMSAT en el paso 2 de la sección Antes de comenzar: Pasos requeridos. La herramienta de sincronización de AD no debe instalarse en un controlador de dominio. Puede instalarse en cualquier lugar del entorno, siempre que el sistema pueda comunicarse con un controlador de dominio que acepte conexiones LDAP.

Un símbolo del sistema se abrirá de manera automática en el directorio de instalación. La ubicación predeterminada del directorio de instalación en las plataformas de 64 bits es la siguiente:

• C:\Program Files (x86)\KnowBe4\ADISync

2. En la ventana del símbolo del sistema, se le indicará que ingrese la siguiente información:

1. 1. Escriba el token de sincronización de Active Directory: Si esta es la primera vez que ejecuta este comando, se le indicará que ingrese su Token de sincronización de Active Directory. Este token es la cadena de caracteres que copió de la configuración de la cuenta de KMSAT. Para obtener más información, consulte el paso 2 de la sección Antes de comenzar: Pasos requeridos.
   2. Ingrese el nombre de dominio: El nombre de dominio se refiere al dominio root de AD. Para ver un ejemplo, consulte la sección Antes de comenzar: Pasos requeridos. 
   3. Ingrese el nombre de host o la dirección IP de Active Directory: El nombre de host o la dirección IP de AD se refieren a la dirección IP o al nombre de dominio completo (Fully Qualified Domain Name, FQDN) para el controlador de dominio en el que se encuentra AD.
   4. Habilite la SSL (true/false): De manera predeterminada, el LDAPS no está habilitado en su controlador de dominio, y deberá escribir “false” o presionar la tecla Intro en el teclado para seleccionar false de manera automática. De lo contrario, si ha habilitado el LDAPS para hacer esta sincronización, escriba “true”.
   5. Habilitar los campos de SecurityCoach (verdadero/falso): Si usted compró SecurityCoach, ingrese "verdadero" para habilitar los campos de SecurityCoach. Estos campos le permitirán sincronizar la información para la asignación de usuarios. Para obtener más información, consulte la sección Campos de Security Coach, de nuestro artículo Cómo editar su archivo CONF para la Integración de Active Directory (ADI). Estos campos están deshabilitados de manera predeterminada. Para mantener estos campos deshabilitados, presione Enter en su teclado.
   6. Ingrese el número de puerto de Active Directory: Ingrese el puerto del LDAP o del LDAPS correspondiente. De manera predeterminada, el puerto del LDAP es el 389 y el del LDAPS es el 636.
   7. Ingrese el nombre de usuario: Ingrese el nombre de usuario de la cuenta de administrador de AD que tenga los permisos de lectura necesarios para realizar consultas LDAP. El formato de este nombre de usuario debe ser “usuario@dominio”.
   8. Ingrese la contraseña: Ingrese la contraseña de la cuenta de administrador de AD que tenga los permisos de lectura necesarios para realizar consultas LDAP.

3. Si se estableció con éxito la conexión, verá mensajes de confirmación en la ventana del símbolo del sistema, como se muestra en el siguiente ejemplo. 

4. Presione la tecla Intro en el teclado para salir de la ventana del símbolo del sistema.

Si hubo problemas para autenticar o conectarse con su controlador de dominio, verá mensajes de error en la ventana del símbolo del sistema, y deberá repetir los pasos de esta sección con los datos de configuración correctos. Si siguen apareciendo estos errores, comuníquese con nuestro equipo de soporte técnico. 

Una vez que se haya establecido con éxito la conexión, consulte la siguiente sección para poder especificar los usuarios y la información que quiere sincronizar con su consola de KMSAT.

Regresar al principio

Cómo definir las unidades organizativas, los grupos y los usuarios que quiere sincronizar

Después de haber completado los pasos de las dos secciones anteriores, deberá editar el archivo <su dominio>.conf para configurar la información que quiere sincronizar con su cuenta de KMSAT. Esta configuración es obligatoria para sincronizar los usuarios de AD.

Continúe la configuración de ADI con los siguientes pasos:

1. Asegúrese de tener permisos de edición en la carpeta ADISync. 

2. Busque el archivo su dominio.conf en el directorio de instalación, como se muestra a continuación. Abra el archivo en un editor de texto, como Bloc de notas.

El archivo su dominio.conf se usa para definir los usuarios, la información del usuario y los grupos que quiere sincronizar entre su cuenta de KMSAT y AD. Para ver un ejemplo de este archivo, abra el archivo dominio_de_ejemplo.

3. Edite el archivo su dominio.conf para especificar los criterios de la sincronización de su usuario y su grupo. Existen tres secciones del archivo su dominio.conf que puede modificar:

• [sync.fields] (opcional): Edite esta área para especificar los campos de información del usuario que quiere sincronizar de AD. Para obtener más información, consulte la sección Cómo sincronizar otra información del usuario con KnowBe4 de nuestro artículo Cómo sincronizar información a través de Active Directory.
• [sync.users] (obligatorio): Edite esta área para especificar qué usuarios quiere sincronizar de AD. Asegúrese de incluir al menos una OU, un grupo o un usuario en la sección [sync.users] del archivo .conf. Para obtener más información, consulte la sección Sincronizar usuarios mediante inclusión/exclusión de una unidad organizativa, un grupo o un usuario específico (obligatorio) de nuestro artículo Cómo sincronizar información a través de Active Directory.
• [sync.groups] (opcional): Puede usar esta área para especificar los grupos que quiere sincronizar de AD. Estos grupos se crearán de manera automática en su consola de KnowBe4, y los usuarios correspondientes se agregarán a dichos grupos. Para obtener más información, consulte la sección Sincronizar grupos mediante inclusión/exclusión de una unidad organizativa o un grupo (opcional) de nuestro artículo Cómo sincronizar información a través de Active Directory.

4. Cuando haya finalizado, guarde los cambios que haya hecho en el archivo su dominio.conf.

Consulte la siguiente sección para comenzar la sincronización de ADI.

Regresar al principio

Inicie la sincronización de ADI

Si ha completado todos los pasos mencionados, el servicio de ADI estará configurado y podrá comenzar la sincronización de ADI. Continúe con los siguientes pasos:

Puede comenzar la sincronización de una de dos formas:

1. Use el Administrador de control de servicios de Windows (el servicio de ADI se llama “Servicio de sincronización de Integración de Active Directory”).
2. Abra un símbolo del sistema en modo de administrador y luego siga estos dos pasos:
   1. Vaya al directorio correspondiente. La ubicación predeterminada del directorio de instalación en las plataformas de 64 bits es la siguiente: C:\Program Files (x86)\KnowBe4\ADISync
   2. Escriba ADIsync.exe service start y presione la tecla Intro en el teclado.

El servicio de sincronización de ADI se ejecutará de inmediato y, mientras los servicios estén conectados, habrá sincronizaciones entre AD y la consola de KMSAT una vez cada seis horas.

Mientras el Modo de prueba esté habilitado en Configuración de la cuenta, verá una vista previa de cómo AD se sincronizará con KnowBe4. Para obtener una vista previa del Modo de prueba, diríjase a Usuarios > Aprovisionamiento en su consola de KMSAT.

Mantenga el Modo de prueba habilitado hasta que tenga la certeza de haber configurado ADI de una manera que satisfaga las necesidades de su organización. Cuando esté conforme con la configuración de ADI, vaya a la configuración de la cuenta de KMSAT y deshabilite el Modo de prueba. La siguiente sincronización de ADI aprovisionará a sus usuarios de manera automática.

Regresar al principio