SCIM

Compartir

¿Este artículo es útil?

Última actualización:

Cómo configurar SCIM para Microsoft Entra ID

En este artículo, aprenderá cómo configurar SCIM con Microsoft Entra ID (anteriormente, Azure Active Directory). La configuración de SCIM para Microsoft Entra ID le permite agregar usuarios y grupos a su consola KSAT, y administrarlos con Microsoft Entra ID.

Las instrucciones de este artículo son para el software de terceros. Si tiene problemas con el aprovisionamiento de usuarios en Microsoft Entra ID, le recomendamos ponerse en contacto con Microsoft Entra para obtener instrucciones específicas. También puede contactar a nuestro equipo de soporte equipo de soporte (el enlace se abre en una ventana nueva) y estaremos encantados de ayudarle.

Nota:Para sincronizar usuarios y grupos con SCIM, debe tener una suscripción a Microsoft Entra. Para obtener más información sobre cómo sincronizar usuarios y grupos a través de Microsoft Entra, consulte el artículo de Microsoft Administrar la asignación de usuarios y grupos a una aplicación Administrar la asignación de usuarios y grupos a una aplicación (el enlace se abre en una ventana nueva).

Configurar SCIM

En esta sección, aprenderá cómo configurar SCIM con Microsoft Entra. Tenga en cuenta que debe configurar estos pasos después de establecer los ajustes en su consola KSAT. Para obtener más información sobre cómo configurar SCIM en su consola de KSAT, consulte nuestra Guía de configuración de SCIM.

Para configurar sus ajustes de SCIM con Microsoft Entra, siga los pasos a continuación:

  1. Inicie sesión en su portal de Azure en https://portal.azure.com/ https://portal.azure.com/ (el enlace se abre en una ventana nueva).

  2. Seleccione el botón Vista del mosaico Administrar Microsoft Entra ID de la página de inicio del Portal de Azure.

  3. En el menú desplegable + Agregar, seleccione Aplicación empresarial.

  4. En la barra de búsqueda de la Galería de Microsoft Entra, escriba “KnowBe4” para filtrar sus resultados.

  5. Seleccione la casilla Capacitación en concientización sobre seguridad de KnowBe4.

  6. Seleccione Crear en la ventana emergente que aparece a la derecha de la pantalla.

  7. Después de hacer clic en Crear, será redirigido a la página Descripción general de la aplicación que creó.

    1. Si no se lo redirige a la página Descripción general, debe abrir la aplicación desde la lista de Aplicaciones empresariales. Aplicaciones empresariales se puede encontrar haciendo clic en Todos los servicios en el panel del extremo izquierdo, y haciendo clic en Recientes en el menú que aparece, y luego en Aplicaciones empresariales.

  8. Seleccione el enlace Comenzar en el mosaico Aprovisionar cuentas de usuario debajo del encabezado Primeros pasos.

  9. Seleccione + Nueva configuración.

  10. A continuación, debe ingresar la información de su página Configuración de la cuenta. Lea más sobre dónde puede encontrar esta información en nuestra Guía de configuración de SCIM. En el campo URL de inquilino, ingrese la URL de inquilino. En el campo Token secreto, ingrese el Token de SCIM.

    Importante: Esta característica no funciona actualmente con el aprovisionamiento a pedido.

  11. Una vez ingresada la información, seleccione el botón Probar conexión. Al hacer clic en este botón, podrá asegurarse de que ingresó la información correcta. Si la conexión se realiza correctamente, aparecerá un banner de éxito en la esquina superior derecha de la pantalla.

  12. Seleccione el botón Guardar en la parte superior de la pantalla.

Definir qué usuarios y grupos desea sincronizar desde Microsoft Entra

Nota: Las instrucciones de esta sección definen cómo se deben sincronizar los usuarios y grupos específicos. Si desea sincronizar todos sus usuarios y grupos desde Microsoft Entra ID, consulte la sección Preguntas frecuentes de este artículo.

Después de completar los pasos de la sección Configuración de SCIM anterior, puede decidir qué usuarios y grupos desea sincronizar. Esta configuración es necesaria para sincronizar usuarios y grupos desde su proveedor de identidad (IdP).

Importante:Los grupos anidados no son compatibles actualmente con el aprovisionamiento del SCIM y Microsoft Entra. Para obtener más información, consulte la sección Alcance del artículo de Microsoft Funcionamiento del aprovisionamiento de aplicaciones en Microsoft Entra ID Funcionamiento del aprovisionamiento de aplicaciones en Microsoft Entra ID (el enlace se abre en una ventana nueva).

Para definir los usuarios y grupos que desea sincronizar desde Microsoft Entra ID, siga los pasos a continuación:

  1. Desde su Microsoft Entra ID, vaya a Aplicaciones empresariales.
  2. Seleccione la aplicación que creó para su conexión con KnowBe4.

  3. Seleccione Asignar usuarios y grupos de la casilla Asignar usuarios y grupos.

  4. Seleccione + Agregar usuario/grupo para seleccionar los usuarios o grupos que desea sincronizar.

  5. Seleccione Ninguno seleccionado para buscar los usuarios o grupos que quiera incluir en la sincronización. Para agregar un usuario o grupo, haga clic en el nombre del usuario o grupo Aparecerán en el panel lateral Seleccionados.

    Nota: Le recomendamos que solo incluya unos pocos usuarios cuando realice la configuración por primera vez. Empezar con unos pocos usuarios le permite asegurarse de que la conexión funcione correctamente antes de agregar todos los usuarios y grupos que quiera incluir.

  6. Una vez que haya agregado los usuarios y grupos que desea incluir en la categoría Seleccionados, haga clic en Seleccionar.
  7. Seleccione Asignar.

Los usuarios y grupos seleccionados aparecerán en la tabla.

Comenzar su sincronización

Una vez que haya configurado el SCIM y haya agregado los usuarios y grupos que desea sincronizar, debe iniciar la sincronización. Una vez que inicie la sincronización, el sistema comprobará automáticamente si hay cambios en sus usuarios y grupos en Microsoft Entra ID cada 40 minutos e iniciará una sincronización si se realizaron cambios.

Nota:Si tiene más de miles de usuarios en su aplicación de aprovisionamiento del SCIM, es probable que no se incluyan todos los usuarios en la sincronización inicial. En cambio, los usuarios se sincronizarán con su cuenta por etapas. Le recomendamos que mantenga el aprovisionamiento de usuarios en Modo de prueba hasta que vea solo unos pocos cambios entre sus informes de sincronización. Si espera hasta que solo se vean unos pocos cambios, evitará que los usuarios se archiven en su consola KSAT. Además, la sincronización de las membresías de los grupos puede tardar más que la de los usuarios. Si tiene una cuenta más grande, es posible que vea sincronizaciones periódicas en su consola KSAT.

Para iniciar la sincronización, siga los pasos a continuación:

  1. Desde su Microsoft Entra ID, vaya a Aplicaciones empresariales.
  2. Seleccione la aplicación que creó para su conexión con KnowBe4.
  3. En el menú de la izquierda de la página, seleccione Aprovisionamiento.

  4. Haga clic en Comenzar aprovisionamiento.

La sincronización se iniciará inmediatamente. Después de la sincronización inicial, el sistema comprueba si hay cambios en su Microsoft Entra ID cada 40 minutos e inicia una sincronización si se realizaron cambios.

Importante:Una vez que esté conforme con que sus usuarios se hayan sincronizado correctamente, debe desactivar el Modo de prueba en la Configuración de la cuenta de KSAT. Si se desactiva el Modo de prueba, se podrán agregar y archivar usuarios durante la siguiente sincronización. Para obtener más información sobre el Modo de prueba, consulte nuestra Guía de configuración de SCIM.

Para ver el estado de estas sincronizaciones, así como cualquier error e información adicional sobre sus sincronizaciones, vaya a Aprovisionamiento de usuarios en su consola KSAT.

Opciones de configuración avanzada

Al habilitar la sincronización SCIM con Entra ID, el proveedor de identidad de SCIM sobrescribirá los datos de usuario existentes en la consola de KnowBe4. Antes de continuar, previsualice una campaña en modo de prueba para verificar la información y asegurarse de que los estados de los grupos y usuarios estén configurados correctamente en Entra ID. Este paso evitará la pérdida accidental de datos. Los usuarios no incluidos en la sincronización se archivarán automáticamente para conservar sus datos y mantener sus registros históricos.

Importante: Los alias de correo electrónico no son compatibles actualmente con el aprovisionamiento del SCIM.

Para obtener más información sobre las opciones de configuración avanzada de Microsoft Entra, consulte las subsecciones a continuación:

Asignaciones predeterminadas

Las asignaciones de campo predeterminadas se muestran a continuación:

Atributo predeterminado de Azure Active Directory Atributo de KSAT Campo KSAT
userPrincipalName userName Correo electrónico
givenName name.givenName Nombre
surname name.familyName Apellido
employeeId urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber Número de empleado
jobTitle title Puesto laboral
department urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department Departamento
manager

urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager.value

Nota:Para que la información del administrador se sincronice, los administradores correspondientes deben estar incluidos en la sincronización. Para agregar estos administradores a la sincronización, consulte la sección anterior Definir qué usuarios y grupos desea sincronizar desde Microsoft Entra.
 Correo electrónico del gerente
displayName del perfil de Entra ID del administrador

displayName

Nota:El displayName de un usuario proviene del perfil de Entra ID de su administrador. Como resultado, el displayName de un usuario no se mostrará en su perfil de usuario en KSAT, ya que su nombre se sincroniza a partir de otros atributos. Pero se mostrará en los perfiles de usuario de sus informes directos.
 Nombre del gerente
Nota:Los campos División y Organización están sin asignar de forma predeterminada. Si piensa usar estos campos, deberá agregar la asignación. Para agregar estos atributos, siga las instrucciones de la sección Agregar asignación de atributos para campos de usuario personalizados que aparece a continuación.
Atributo predeterminado de Azure Active Directory Atributo de KSAT Campo KSAT
N/C N/C Zona horaria
N/C N/C Extension
N/C N/C Comment
N/C N/C Fecha de inicio del empleado

Cambiar las asignaciones predeterminadas

Puede cambiar las asignaciones predeterminadas para personalizar la información del usuario que se sincroniza entre Microsoft Entra y su consola KSAT.

Para cambiar las asignaciones predeterminadas, siga los pasos a continuación:

  1. Desde su Microsoft Entra ID, vaya a Aplicaciones empresariales.
  2. Seleccione la aplicación que creó para su conexión con KnowBe4.

  3. En el menú de la izquierda de la página, seleccione Aprovisionamiento.

  4. En la ventana Aprovisionamiento, haga clic en Editar asignación de atributos en Administrar aprovisionamiento.

  5. Haga clic en la flecha del menú desplegable Asignaciones para ampliar la pestaña Asignaciones.

  6. Haga clic en Aprovisionar usuarios de Azure Active Directory.

  7. Desplácese hacia abajo hasta la sección Asignaciones de atributos. Desde esta sección, verá una lista de todos los atributos que se asignaron. La columna Atributo de Azure Active Directory muestra el nombre del atributo en Microsoft Entra. La columna Atributo KnowBe4 muestra el nombre estándar de SCIM para este atributo.

  8. Seleccione el atributo que desea editar.
  9. En el panel lateral Editar atributo, personalice el atributo. Para obtener más detalles sobre las opciones de personalización, consulte la lista a continuación:
    1. Tipo de asignación: seleccione Directo en el menú desplegable.

    2. Atributo fuente: seleccione el campo Azure que desea asignar a este campo personalizado.

      Nota:Si usted usa SSO para Microsoft Entra ID, este atributo debe ser el mismo que el atributo fuente SSO. El Atributo fuente de SSO predeterminado es user.userprincipalname. Para obtener más información, consulte la sección Agregar la aplicación KnowBe4 a Azure AD, de nuestro artículo ¿Cómo configuro SSO/SAML con Azure Active Directory?
    3. Valor predeterminado si es nulo: este campo es opcional; le recomendamos que lo deje en blanco.
    4. Atributo objetivo: seleccione el campo personalizado que desea asignar al campo Azure que seleccionó.
    5. Coincidir los objetos que utilizan este atributo: le recomendamos seleccionar No.

    6. Aplicar esta asignación: le recomendamos seleccionar Siempre.

      Nota:Si hay un atributo que no quiera sincronizar, puede hacer clic en el botón Eliminar junto a ese atributo para deshabilitar la sincronización. Esta acción solo elimina la conexión entre este atributo y el campo correspondiente en su consola KSAT. No se eliminarán datos de Azure.

  10. Una vez que haya realizado los cambios deseados, haga clic en Aceptar.

    Nota:Le recomendamos que solo cambie el campo Atributo de origen. Si cambia otros ajustes en el atributo, podría interrumpirse la conexión entre Microsoft Entra y su consola KSAT.

Agregar asignación de atributos para campos de usuario personalizados

También tiene la opción de agregar seis campos personalizados. Estos campos no están asignados de forma predeterminada, pero puede agregarlos a Microsoft Entra siguiendo los pasos que se indican a continuación:

  1. Desde su Microsoft Entra ID, vaya a Aplicaciones empresariales.
  2. Seleccione la aplicación que creó para su conexión con KnowBe4.

  3. En el menú de la izquierda de la página, seleccione Aprovisionamiento.

  4. Desde la ventana Aprovisionamiento, seleccione Editar asignaciones de atributos en Administrar aprovisionamiento.

  5. Haga clic en la flecha del menú desplegable Asignaciones para ampliar la pestaña Asignaciones.

  6. Haga clic en Aprovisionar usuarios de Azure Active Directory.
  7. Haga clic en Agregar nueva asignación en la parte inferior de la tabla.
  8. En la ventana Editar atributo, seleccione el Atributo fuente que desea utilizar.

  9. Luego, seleccione el Atributo objetivo que desea utilizar. Ofrecemos los siguientes campos personalizados:

    Nota:Es importante respetar el formato de los idiomas compatibles, y prestar atención a las letras mayúsculas y minúsculas específicas.
    Campo KSAT Atributo objetivo
    Custom Field 1 urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField1
    Custom Field 2 urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField2
    Custom Field 3 urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField3
    Custom Field 4 urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField4
    Custom Date 1

    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customDate1

    Importante:Las fechas en este campo deben estar en formato ISO 8601. El formato es el siguiente: AAAA-MM-DD “T” hh:mm:ssZ. Por ejemplo, 2022-04-04T04:23:30Z.
    Custom Date 2

    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customDate2

    Importante:Las fechas en este campo deben estar en formato ISO 8601. El formato es el siguiente: AAAA-MM-DD “T” hh:mm:ssZ. Por ejemplo, 2022-04-04T04:23:30Z.
    Division urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division
    Organization urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization
    Finalización del aviso de ausencia urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:outOfOfficeEnd
    Idioma de phishing urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:phishingLanguage
    Idioma de la capacitación urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:trainingLanguage
    Tipo de usuario urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:userRole
    Atributo predeterminado de Microsoft Entra ID Atributo de KSAT Campo KSAT
    physicalDeliveryOfficeName addresses[type eq "work"].formatted Location
    telephoneNumber phoneNumbers[type eq "work"].value Phone Number
    móvil phoneNumbers[type eq "mobile"].value Mobile Phone Number
    Atributos que aparecen en el esquema de forma predeterminada:
    Campo KSAT Atributo objetivo
    Nombre de la organización urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:companyName
    País urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:country
    Tipo de empleado userType
    Hostname urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:hostname
    Apodo de correo electrónico urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:mailNickName
    Nombre de la cuenta de SAM urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:onPremisesSamAccountName
    Identificador de seguridad urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:onPremisesSecurityIdentifier
    Nombre principal del usuario urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:userPrincipalName
    Último cambio de contraseña

    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:lastPasswordChangeDateTime

    Importante: En el campo Último cambio de contraseña, el tipo de atributo objetivo debe configurarse en DateTime.
    También ofrecemos los siguientes campos personalizados para la asignación de usuarios en SecurityCoach:
  10. Recomendamos dejar el resto de la configuración de forma predeterminada.
  11. Repita el paso 8 para todos los campos personalizados que agregó en el paso 7.
  12. Haga clic en Guardar en la parte superior de la pantalla para guardar los cambios.

Estos campos personalizados se sincronizan con su consola KSAT.

Preguntas frecuentes

A continuación, encontrará una lista de preguntas frecuentes sobre el uso de SCIM con Microsoft Entra ID.

¿Con qué frecuencia se producen las sincronizaciones?

El sistema comprueba las actualizaciones de los usuarios y los grupos de Microsoft Entra ID cada 40 minutos. Si hay cambios, la sincronización se inicia automáticamente. Sin embargo, puede forzar una sincronización en cualquier momento si hace clic en el botón Forzar sincronización ahora en la sección Configuración de SCIM de la Configuración de la cuenta de su KSAT.

¿Cómo se restablecen las asignaciones predeterminadas?

Puede restaurar la asignación predeterminada en cualquier momento siguiendo los pasos que se indican a continuación:

  1. Vaya a Aplicaciones empresariales.
  2. Seleccione la aplicación que creó para su conexión con KnowBe4.
  3. En el menú de la izquierda de la página, seleccione Aprovisionamiento.
  4. Haga clic en Editar asignación de atributos en Administrar aprovisionamiento.
  5. Haga clic en la flecha del menú desplegable Asignaciones para ampliar el menú desplegable Asignaciones.
  6. Seleccione Restaurar asignaciones predeterminadas.
  7. Haga clic en Guardar en la parte superior de la pantalla.

¿Cómo puedo sincronizar todos mis usuarios y grupos?

Si desea sincronizar todos los usuarios y grupos de Microsoft Entra ID, siga los pasos a continuación:

  1. Vaya a la aplicación que configuró para su conexión SCIM.
  2. Vaya a Aprovisionamiento.
  3. Seleccione Editar aprovisionamiento en la parte superior de la pantalla o seleccione Agregar filtros de ámbito en Administrar aprovisionamiento.
  4. Haga clic en el menú desplegable Configuración.
  5. En el menú desplegable Alcance, seleccione Sincronizar todos los usuarios y grupos.
  6. Haga clic en Guardar en la parte superior de la página.

No puedo asignar usuarios a una aplicación por grupo. ¿Cómo puedo limitar los usuarios que se sincronizan a mi consola KSAT?

Para limitar los usuarios que se sincronizan a su consola KSAT, puede configurar un filtro de ámbito. Para obtener más información sobre cómo crear un filtro de ámbito, consulte el artículo de Microsoft Asignación de ámbito a los usuarios o grupos que se van a aprovisionar con filtros de ámbito Asignación de ámbito a los usuarios o grupos que se van a aprovisionar con filtros de ámbito (el enlace se abre en una ventana nueva).

¿Este artículo fue útil?

Usuarios a los que les pareció útil: 11 de 13

¿No encuentra lo que busca?

Contacte a soporte