Integración de Active Directory

Compartir

¿Este artículo es útil?

Última actualización:

Cómo editar su archivo CONF para la Integración de Active Directory (ADI)

Si desea administrar los usuarios a través de la Integración de Active Directory (ADI), debe definir qué usuarios y grupos desea sincronizar con su consola KSAT. Para definir qué usuarios y grupos desea sincronizar, puede editar el archivo de configuración de ADI (CONF) que descarga durante el proceso de configuración.

En este artículo, aprenderá cómo editar su archivo CONF para sincronizar usuarios, grupos e información de usuarios específicos. Para obtener información general sobre ADI, consulte nuestra Guía de configuración de Integración de Active Directory (ADI). Si prefiere utilizar SCIM, consulte nuestra Guía de configuración de SCIM. Si compró Student Edition, puede establecer el campo User Type KSAT (Tipo de usuario KSAT) al usar el campo user-role (Función de usuario) en el archivo .conf.

Definir qué usuarios desea sincronizar

En esta sección, aprenderá cómo editar su archivo CONF para definir qué usuarios deben sincronizarse con su consola KSAT desde su AD. Estos usuarios de AD aparecerán como usuarios en su consola KSAT. Antes de poder sincronizar grupos, debe sincronizar los usuarios específicos.

Para editar su archivo CONF y definir qué usuarios desea sincronizar, siga estos pasos:

  1. Abra su archivo <domain>.conf en un editor de texto. Para obtener más información sobre cómo encontrar su archivo CONF, consulte nuestra Guía de configuración de la Integración de Active Directory (ADI).
  2. Edite los siguientes campos en la sección [sync.users] del archivo. Para obtener más información sobre estos campos, consulte la tabla a continuación.
Nota: Estos campos distinguen entre mayúsculas y minúsculas.
Importante: Si sus unidades organizativas (OU, por sus siglas en inglés) o nombres de grupo contienen caracteres que no forman parte del alfabeto inglés estándar, sustituya las comillas (“) por comillas simples (‘). Evite los caracteres especiales, como comas (,), signos numerales (#) y signos de suma (+) al utilizar una doble barra invertida (\\). Para obtener más información, consulte el artículo Cómo utilizar los caracteres de escape con la Integración de Active Directory.
Nombre del campo Descripción del campo
includedOUs

En este campo, ingrese la lista de OU que debe buscar para sincronizar sus usuarios.

  • Se buscará en las OU especificadas cualquier usuario que tenga habilitado el correo.

    Importante: Este campo no incluye a los usuarios dentro de grupos ni de las OU especificadas. Para sincronizar usuarios dentro de estos grupos, consulte la información de la fila includedGroups que aparece a continuación.
  • Si desea especificar una OU que está debajo de otra OU, debe escribir con sintaxis inversa el nombre de la ubicación de la OU y separar la ruta del archivo con una barra diagonal. Por ejemplo, si quiere especificar una OU llamada “Contabilidad” que está debajo de una OU llamada “Todos los usuarios”, la sintaxis debe seguir el formato de “Contabilidad/Todos los usuarios”.
  • Si quiere incluir varias OU en su lista de OU incluidas, debe dar un formato específico a este texto. También debe encerrar las OU entre comillas, separar las OU con comas y encerrar las OU entre paréntesis. Este es un ejemplo de la sintaxis de este campo:
    • includedOUs = [“Contabilidad/Todos los usuarios”, “Desarrollo/Todos los usuarios”]
excludedOUs

En este campo, ingrese la lista de OU que se buscarán para los usuarios que se excluyen.

  • Si se encuentran usuarios excluidos durante la búsqueda, estos se encargan de anular los correspondientes usuarios de la OU que se iban a incluir en la sincronización.
  • Este es un ejemplo de la sintaxis de este campo:
    • excludedOUs = [“Contratistas/Desarrollo/Todos los usuarios”]
includedGroups

En este campo, ingrese la lista de grupos con los que se deben sincronizar los usuarios. Estos grupos deben ser grupos de distribución o grupos de seguridad de AD.

  • Los usuarios que se encuentren en el campo includedGroups anulan cualquier usuario correspondiente definido en el campo excludedOUs.
  • Si incluye varios grupos en este campo, asegúrese de que el formato de la sintaxis sea correcto. Debe encerrar los grupos entre comillas, separar los grupos con comas y encerrar los grupos entre paréntesis. Este es un ejemplo de la sintaxis de grupos múltiples:
    • includedGroups = [“Contabilidad”, “Recursos Humanos”]
excludedGroups

En este campo, ingrese la lista de grupos que excluyen a los usuarios que sean miembros de los grupos de distribución o seguridad de AD especificados.

  • Si se encuentran usuarios excluidos durante esta búsqueda, se encargarán de anular los usuarios correspondientes que se encuentren en includedOUs o includedGroups.
  • Este es un ejemplo de la sintaxis de este campo:
    • excludedGroups = [“Empleados con contrato”]
includedUsers

En este campo, ingrese la lista de usuarios que deben incluirse explícitamente.

  • Los usuarios especificados en este campo anulan los usuarios correspondientes del campo excludedGroups o del campo excludedOUs.
  • Especifique cada usuario al escribir su dirección de correo electrónico. Puede especificar tantos usuarios como desee.
  • Este es un ejemplo de la sintaxis de este campo:
    • includedUsers = [“usuario@ejemplo.com”]
excludedUsers

En este campo, ingrese la lista de usuarios que deben excluirse explícitamente.

  • Los usuarios especificados en este campo se excluyen, independientemente de cualquier otra regla de inclusión.
  • Especifique cada usuario al escribir su dirección de correo electrónico. Puede especificar tantos usuarios como desee. Este es un ejemplo de la sintaxis de este campo:
    • excludedUsers = [“usuario@ejemplo.com”,“usuario2@ejemplo.com”]

Si desea sincronizar grupos, consulte la sección Definir qué grupos desea sincronizar más adelante.

Definir qué grupos desea sincronizar

Una vez que defina los criterios para la sincronización de usuarios específicos, también puede editar su archivo CONF para definir los criterios de los grupos de AD que desee sincronizar. Estos grupos de AD aparecen como grupos en su consola KSAT.

Si un usuario es miembro de un grupo en AD, entonces será miembro del grupo correspondiente en su consola KSAT. KnowBe4 no admite grupos dentro de grupos ni grupos anidados.

Es importante tener en cuenta que primero hay que sincronizar a los usuarios para poder incluirlos en los grupos sincronizados. Si quiere sincronizar un grupo pero este no incluye ningún usuario sincronizado, el grupo no se sincronizará.

Importante: Los únicos tipos de grupos que se sincronizan con su consola KMSAT son los grupos de seguridad y los grupos de distribución. Los grupos dentro de las OU incluidas se agregan o sincronizan como grupos en la consola. Sin embargo, la propia OU no se sincroniza con la consola.

Para editar su archivo CONF y definir los grupos que quiere sincronizar, siga estos pasos:

  1. Asegúrese de que sincronizó usuarios específicos. Para obtener más información, consulte la sección Definir qué usuarios desea sincronizar que se encuentra arriba.
  2. Edite los siguientes campos en la sección [sync.groups] de su archivo CONF. Para obtener más información sobre estos campos, consulte la tabla a continuación.
Nota: Estos campos distinguen entre mayúsculas y minúsculas.
Nombre del campo Descripción del campo
includedOUs

En este campo, ingrese la lista de OU que desea buscar para sincronizar sus grupos de seguridad o distribución.

  • Solo los grupos que se encuentren debajo de la OU especificada se agregan como grupos en su consola KSAT.
  • Si incluye varias OU, asegúrese de que la sintaxis tenga el formato correcto. También debe encerrar las OU entre comillas, separar las OU con comas y encerrar las OU entre paréntesis. Este es un ejemplo de la sintaxis de varias OU:
    • includedOUs = [“Contabilidad/Todos los usuarios”, “Desarrollo/Todos los usuarios”]
excludedOUs

En este campo, ingrese la lista de OU que desea buscar para los grupos de seguridad o distribución que no se sincronizarán.

  • Este es un ejemplo de la sintaxis de este campo:
    • excludedOUs = [“Contratistas/Desarrollo/Todos los usuarios”]
includedGroups

En este campo, ingrese la lista de grupos de seguridad o distribución de AD específicos que desea sincronizar.

  • Cuando estos grupos se sincronizan, solo se agregan al grupo KSAT correspondiente los usuarios que haya incluido en la sincronización de usuarios. Esta opción anula a los grupos excluidos del campo excludedOUs de la sección [sync.groups].
  • Este es un ejemplo de la sintaxis de este campo:
    • includedGroups = [“Ventas”, “Contabilidad”]
excludedGroups

En este campo, ingrese la lista de grupos específicos que desea excluir de la sincronización.

  • Esta opción anula cualquier grupo del campo includedOUs o del campo includedGroups de la sección [sync.groups].
  • Este es un ejemplo de la sintaxis de este campo:
    • excludedGroups = [“Consultores”]

Una vez que haya editado estos campos como desea, guarde el archivo CONF. Para guardar el archivo, necesita permisos de escritura.

Sincronizar otra información del usuario

Una vez que haya seleccionado los usuarios y grupos específicos que desea sincronizar, también puede editar su archivo CONF para definir qué información de usuario se sincroniza de su cuenta AD a su cuenta KSAT. Para definir la información del usuario que desea sincronizar, puede editar la sección [sync.fields] del archivo. De manera predeterminada, los campos de la sección [sync.fields] completan automáticamente los campos de información del usuario en su consola KMSAT con la información definida en su AD.

Para incluir el campo en AD donde existe la información de su usuario, puede editar el valor entre comillas de cada campo. Si un campo está en blanco, entonces no hay ningún campo coincidente en AD. Para definir los campos de AD que desea sincronizar con KSAT, agregue manualmente un valor entre las comillas de cada campo.

Si desea evitar que se sincronicen campos específicos, puede eliminar el valor entre las comillas de ese campo. Sin embargo, asegúrese de no borrar las comillas ni toda la línea de texto. Si lo hace, AD agrega automáticamente la línea de texto al campo y sincroniza el valor.

Nota: Los idiomas de phishing y capacitación del usuario se sincronizan desde el campo AD preferredLanguage (Idioma preferido de AD) de forma predeterminada. Para modificar ese campo AD o quitar la sincronización de estos campos, siga la sección Sync Use Cases (Casos de uso de la sincronización) a continuación.
Consejo: También tiene la opción de limitar los datos que su AD sincroniza con su consola KSAT. Para obtener más información, consulte la sección Sincronizar información de nuestro artículo Preguntas frecuentes sobre la Integración de Active Directory (ADI).

Podrá ver una lista de los campos predeterminados disponibles en la sección [sync.fields] de su archivo CONF a continuación:

Nota: Estos campos distinguen entre mayúsculas y minúsculas.

[sync.fields]

comment = ""
custom-date-1 = ""
custom-date-2 = ""
custom-field-1 = ""
custom-field-2 = ""
custom-field-3 = ""
custom-field-4 = ""
department = “department”
division = ""
employee-number = “employeeNumber”
employee-start-date = “whenCreated”
first-name = “givenName”
last-name = ""
location = “physicalDeliveryOfficeName”
manager = “manager”
mobile-number = ""
organization = “o”
out-of-office-end = ""
phishing-language = "preferredLanguage"
phone-number = "telephoneNumber"
training-language = "preferredLanguage"
title = “title”
user-role = ""
Nota: La asignación del atributo "manager" no se puede modificar.

Campos de SecurityCoach

Si usted habilitó los campos de SecurityCoach al configurar ADI, se mostrarán ocho campos adicionales en la sección [sync.fields] de su archivo CONF. Estos campos se pueden usar para asignar automáticamente usuarios de KMSAT a eventos de SecurityCoach. Además, puede usar estos campos al asignar usuarios a identificadores en SecurityCoach. Cuando esta información se sincronice, se agregará a la sección Campos de SecurityCoach de la página Información del usuario.

Podrá ver una lista de estos campos de SecurityCoach y sus asignaciones predeterminadas a continuación:

Nota: Estos campos distinguen entre mayúsculas y minúsculas.
company-name = "company"
country = "co"
employee-type = "employee type"
hostname = "userWorkstations"
last-password-change-date-time = "pwdLastSet"
mail-nickname = "mail"
on-premises-sam-account-name = "sAMAccountName"
on-premises-security-identifier = "objectSid"
user-principal-name = "userPrincipalName"

Casos de uso de la sincronización

Abajo verá ejemplos de casos de uso para controlar qué campos de AD se sincronizan con su consola KSAT.

Caso de uso: excluir los campos de la sincronización de AD

Si desea administrar los campos personalizados en su consola KSAT, puede excluir esos campos de su sincronización de AD. Esta exclusión aplica solo a los campos personalizados. Si intenta dejar campos en blanco que no sean los campos personalizados, los valores se borrarán en KSAT.

Para excluir campos personalizados de la sincronización de AD, incluya la siguiente sintaxis en la sección [sync.fields] de su archivo CONF. En la siguiente sintaxis, todos los campos personalizados están en blanco o se han eliminado los valores entre comillas:

[sync.fields]

comment = ""
custom-date-1 = ""
custom-date-2 = ""
custom-field-1 = ""
custom-field-2 = ""
custom-field-3 = ""
custom-field-4 = ""
department = “department”
division = ""
employee-number = “employeeNumber”
employee-start-date = “whenCreated”
first-name = “givenName”
last-name = ""
location = “physicalDeliveryOfficeName”
manager = “manager”
mobile-number = ""
organization = “o”
out-of-office-end = ""
phishing-language = "preferredLanguage"
phone-number = "telephoneNumber"
title = "title"
training-language = "preferredLanguage"
user-role = ""

Caso de uso: excluir las divisiones y ubicaciones de los usuarios

Si desea sincronizar los departamentos de sus usuarios, pero no sus divisiones ni ubicaciones, incluya la siguiente sintaxis en la sección [sync.fields] de su archivo CONF. En la siguiente sintaxis, los campos de división y ubicación están en blanco o se han eliminado los valores entre comillas:

[sync.fields]

comment = ""
custom-date-1 = ""
custom-date-2 = ""
custom-field-1 = ""
custom-field-2 = ""
custom-field-3 = ""
custom-field-4 = ""
department = “department”
division = ""
employee-number = “employeeNumber”
employee-start-date = “whenCreated”
first-name = “givenName”
last-name = ""
location = ""
manager = “manager”
mobile-number = ""
organization = “o”
out-of-office-end = ""
phishing-language = "preferredLanguage"
phone-number = "telephoneNumber"
title = "title"
training-language = "preferredLanguage"
user-role = ""

Caso de uso: incluir todos los campos en su sincronización de AD

Si desea incluir todos los campos en su sincronización de AD, incluya la siguiente sintaxis en la sección [sync.fields] de su archivo CONF. En la siguiente sintaxis, todos los campos tienen un valor entre comillas:

[sync.fields]

comentario = “¡Esto es un comentario!”
custom-date-1 = “Este es mi campo custom-date-1.”
custom-date-2 = “Este es mi campo custom-date-2.”
custom-field-1 = “Este es mi custom-field-1.”
custom-field-2 = “Este es mi custom-field-2.”
custom-field-3 = “Este es mi custom-field-3.”
custom-field-4 = “Este es mi custom-field-4.”
department = “department”
division = “division”
employee-number = “employeeNumber”
employee-start-date = “whenCreated”
first-name = “givenName”
last-name = “last-name”
location = “physicalDeliveryOfficeName”
manager = “manager”
mobile-number = “mobile“
organization = “o”
out-of-office-end = ""
phishing-language = "preferredLanguage"
phone-number = "telephoneNumber"
title = "title"
training-language = "preferredLanguage"
user-role = ""

¿Este artículo fue útil?

Usuarios a los que les pareció útil: 10 de 13

¿No encuentra lo que busca?

Contacte a soporte