Puede emplear la función de integración con Active Directory (ADI) de KnowBe4 para integrar el Active Directory (AD) de su organización con su consola KSAT. Una vez que configure la ADI, los usuarios y grupos se añadirán, modificarán y archivarán automáticamente en la consola KSAT según la información enviada desde su AD. Tenga en cuenta que se trata de un proceso de sincronización unidireccional y que no se devolverá información de la consola KSAT a su AD. 

Para obtener información sobre las ventajas de configurar la ADI para su organización, consulte nuestro artículo Ventajas de configurar la integración de Active Directory (ADI). Si prefiere ver un tutorial de vídeo para aprender a configurar la ADI, acceda al vídeo Integración con Active Directory (ADI). Por otro lado, si le interesa usar SCIM para sincronizar los usuarios, consulte nuestra Guía de configuración de SCIM.

Cómo funciona la ADI para las cuentas con usuarios existentes

Si ya ha añadido usuarios a su consola KSAT, debe saber varias cosas antes de configurar la integración con ADI. Para obtener más información, consulte la siguiente lista:

• Una vez que haya configurado la ADI, los datos sincronizados desde su AD se considerarán acreditados. Durante las sincronizaciones entre la consola KSAT y su AD se producirán las siguientes acciones:
  • Los usuarios que no se encuentren en su AD se archivarán en su consola KSAT.
  • Los datos contenidos en su AD sobrescribirán cualquier cambio que haya realizado en la información de los usuarios en la consola KSAT.
• Antes de implementar la ADI, las cuentas de usuario presentes en la consola KSAT se consideran gestionadas por la consola. Si los usuarios están gestionados por la consola, puede editar la información de usuario cargando un archivo CSV en la consola o editando los perfiles de usuario directamente en la consola. 
  • Una vez que configure la ADI y se produzca la primera sincronización de AD, los usuarios se considerarán gestionados por AD. Si los usuarios están gestionados por AD, deberá editar la información de usuario en su AD, y estos cambios se insertarán en la consola KSAT durante la siguiente sincronización.
• Durante la primera sincronización de AD, la consola KSAT emparejará automáticamente las cuentas de usuario gestionadas por la consola con las cuentas de su AD. Este proceso convertirá a sus usuarios de forma que pasarán de estar gestionados por la consola a estar gestionados por AD. Funciona de la siguiente manera:
  1. Usted instalará y configurará la herramienta de sincronización de la ADI en su entorno. Para obtener más información, consulte el apartado Instalación y configuración de este artículo.
  2. Usted configurará qué información quiere sincronizar desde su AD. Para obtener más información, consulte el apartado Definir qué unidades organizativas, grupos y usuarios sincronizar de este artículo.
  3. A continuación, el servicio de sincronización de la ADI busca información de usuario y grupo en su AD o directorios, y envía los resultados a los servidores de KnowBe4.
  4. Los servidores de KnowBe4 revisan la información enviada desde su AD y actualizan automáticamente los usuarios y grupos en su consola KSAT de acuerdo con la siguiente lógica:

     Si un usuario de AD tiene una dirección de correo electrónico que coincide con una cuenta existente gestionada por la consola KSAT, la cuenta de usuario de la consola KSAT pasa a estar gestionada por AD.

     Si un usuario de AD no se encuentra en la consola KSAT, se crea una cuenta de usuario gestionada por AD.

     Una vez que se hayan procesado todos los usuarios de AD, se archivarán todas las cuentas gestionadas por la consola que no hayan pasado a estar gestionadas por AD.

Una vez que configure la ADI, la información de usuario se mantendrá actualizada con la información del AD de su organización.

Requisitos previos

Antes de configurar la ADI, asegúrese de que su entorno cumpla los requisitos básicos que enumeramos a continuación:

1. Su organización debe tener Microsoft Active Directory o Microsoft Entra ID. Consulte la siguiente lista para obtener más información:
   1. Si su organización tiene Microsoft Active Directory, el nivel funcional de su dominio debe ser Windows Server 2016 o posterior.
   2. Si su organización tiene Microsoft Entra ID, puede sincronizar Microsoft Entra ID Domain Services con su consola KSAT. Para obtener más información, consulte el artículo Cómo utilizar la integración de Active Directory (ADI) con Microsoft Entra Domain Services.
2. Le recomendamos instalar la herramienta de la ADI en un servidor de aplicaciones y no en una estación de trabajo de usuario. Asegúrese de que el sistema donde va a instalar la ADI cumpla las siguientes especificaciones:
   1. El sistema usa Windows Desktop 10 u 11 o Windows Server 2016/2019 o 2022 (64 bits).
   2. Asegúrese de que el sistema puede conectarse al servidor de la instancia de formación para su cuenta. Para ver una lista de las instancias, consulte el artículo Instancias de formación de KnowBe4. Esta instancia de formación es la URL de servidor que necesitará la herramienta de sincronización de AD de KnowBe4 para ponerse en contacto a través de una solicitud POST. Deberá permitir las conexiones salientes a servidores remotos en el puerto 443 (SSL/HTTPS).
   3. El equipo cuenta al menos con 2 GB de RAM.
   4. La unidad de sistema del equipo cuenta al menos con un 1 GB de espacio disponible en el disco duro (HDD).
   5. El control de cuentas de usuario (UAC) se ha habilitado en la configuración del control de cuentas de usuario del equipo.

En el siguiente apartado encontrará pasos importantes que tendrá que seguir para preparar la configuración de la ADI.

Antes de empezar: pasos requeridos

Antes de poder instalar y configurar la herramienta de sincronización de AD de KnowBe4, realice los siguientes pasos:

1. Reúna la siguiente información sobre su AD:
   Importante: Si sus usuarios están ubicados en más de un controlador de dominio, deberá recopilar la siguiente información para cada controlador de dominio. Asimismo, deberá configurar la ADI para cada uno de los dominios. Para obtener más información, consulte el artículo Asistencia para dominios de múltiples fuentes de nuestra Guía de configuración avanzada de la integración con Active Directory (ADI).
   • Busque la dirección IP o el nombre de dominio completo (FQDN) para el controlador de dominio en el que se ubica su AD.
   • Asegúrese de que su controlador de dominio de AD pueda responder a las solicitudes LDAP. De forma predeterminada, todos los controladores de dominio están configurados para responder a las solicitudes LDAP.
     Consejo: Su sincronización de AD puede comunicarse por LDAP. No obstante, si lo prefiere, puede habilitar LDAPS en su controlador de dominio antes de sincronizar su AD. De forma predeterminada, LDAPS no está habilitado en la mayoría de los controladores de dominio. Para obtener más información, consulte las preguntas frecuentes de la ADI.
   • Busque el nombre de dominio de AD. El nombre de dominio de AD es el dominio raíz que está controlado por su controlador de dominio de AD. La siguiente imagen muestra un ejemplo de un nombre de dominio de AD.
   • Asegúrese de contar con el nombre de usuario y contraseña de una cuenta de administrador de AD que tenga los permisos para realizar consultas LDAP. De forma predeterminada, todas las cuentas del grupo «Usuarios de dominio» tienen estos permisos. No obstante, para mayor seguridad, recomendamos usar una cuenta de servicio que solo tenga permisos «de lectura» para su AD. Para ver los permisos de «lectura» necesarios para esta cuenta de servicio, consulte nuestra Guía de configuración avanzada de la integración con Active Directory (ADI).
2. Obtenga su token de sincronización de la ADI y descargue la herramienta de sincronización de la ADI desde Configuración de la cuenta en KSAT. Lleve a cabo los siguientes pasos:
   1. Una vez que haya iniciado sesión en la consola KSAT, haga clic en su dirección de correo electrónico en la esquina superior derecha de la página. A continuación, haga clic en Configuración de cuenta.
   2. Vaya a la sección Aprovisionamiento de usuarios. Marque la casilla Habilitar aprovisionamiento de usuarios (sincronización de usuarios).
   3. Asegúrese de que la opción Modo de prueba esté habilitada. Debe desactivar el modo de prueba una vez que haya completado la configuración de la ADI y verificado que esta funciona correctamente. Mientras la opción Modo de prueba esté habilitada, no se producirá aprovisionamiento de usuarios ni sincronización. En su lugar, se generará un informe que reflejará lo que habría ocurrido si hubiera tenido lugar el aprovisionamiento de usuarios. El modo de prueba le permite resolver posibles problemas sin que esto afecte a los usuarios que tiene en la consola. 
      Consejo: Marcar la casilla Mostrar dominio de grupo puede resultar útil si los usuarios están repartidos entre múltiples fuentes de dominio. Para obtener más información, consulte las preguntas frecuentes de la ADI.
      
   4. Copie su token de sincronización de la ADI y guárdelo localmente. Lo necesitará para completar la configuración. El token de sincronización de la ADI tiene 34 dígitos y un formato similar al siguiente ejemplo: US9X140X4829E37XX545401X97912X604X.
   5. Haga clic en el icono de descarga que aparece junto a Herramienta de la ADI (ADISyncSetup.exe) para descargar el archivo para la herramienta de la ADI. 
   6. Haga clic en el botón Guardar cambios en la parte inferior de la página Configuración de cuenta.
   7. Decida qué usuarios quiere sincronizar y familiarícese con la ubicación de los objetos de usuario en su AD. 
3. Una vez que complete los pasos de este apartado y los del siguiente, titulado Instalación y configuración, deberá definir la ubicación de los objetos de usuario en su AD. Puede sincronizar los objetos de usuario desde una o varias unidades organizativas, grupos de seguridad y grupos de distribución. Para obtener información más detallada sobre cómo definir los usuarios que quiere sincronizar, consulte el apartado Definir qué unidades organizativas, grupos y usuarios sincronizar de este artículo.

   Si sus objetos de usuario no están ubicados en unidades organizativas, grupos de seguridad ni grupos de distribución, consulte la siguiente información:

   • Si los usuarios que quiere sincronizar se ubican en los contenedores de usuarios integrados en lugar de en una unidad organizativa: no puede sincronizar los contenedores. Como solución alternativa, puede crear un grupo de seguridad, añadir los usuarios al grupo y, a continuación, sincronizar el grupo en lugar del contenedor. 
   • Si cree o sabe que su AD no está organizado de forma idónea para sincronizarse con la consola KSAT: puede configurar uno o varios grupos en AD para que contengan todos los objetos de usuario y grupos que quiere sincronizar. A continuación, deberá especificar que solo desea sincronizar esos grupos.
   • Si tiene un dominio raíz con AD secundarios, puede ejecutar el instalador de la ADI para cada dominio secundario. Cada dominio secundario se debe usar para el mismo controlador de dominio como el dominio raíz.
4. Determine de qué campos deben extraerse las direcciones de correo electrónico de sus usuarios en AD. De forma predeterminada, el servicio de ADI extraerá las direcciones de proxy de sus usuarios para utilizarlas como sus direcciones de correo electrónico de la cuenta de KnowBe4. 
   • Si necesita utilizar algo más aparte de las direcciones de proxy, deberá editar el campo emailAttrib en su archivo adisync.conf. Por ejemplo, si no utiliza Microsoft Exchange ni Microsoft 365 como servidor de correo electrónico, lo más probable es que el campo de la dirección de proxy en AD esté en blanco. Edite el campo emailAttrib después de completar la instalación, pero antes de iniciar el servicio de sincronización de la ADI. Para obtener instrucciones, consulte el apartado Cambiar de dónde se extraen las direcciones de correo electrónico en Active Directory de nuestra Guía de configuración avanzada de la integración con Active Directory (ADI).
     Nota: El campo useMailAttrib se ha reemplazado con el campo emailAttribute.
   • Asegúrese de que la configuración de todas las campañas se haya ajustado adecuadamente a la afluencia de usuarios. Vuelva a comprobar su configuración de grupos inteligentes para las campañas, pues puede verse afectada por los nuevos usuarios que aparezcan por sincronización de la ADI.

Una vez que haya recopilado la información anterior, continúe con los pasos del siguiente apartado.

Instalación y configuración

Una vez que haya recopilado la información descrita en el apartado anterior, ya puede instalar y configurar la sincronización de la ADI. Continúe con los siguientes pasos:

1. Ejecute la herramienta de sincronización de Active Directory. Este es el archivo ADISyncSetup.exe que ha descargado desde Configuración de la cuenta de KSAT en el paso 2 del apartado anterior Antes de empezar: pasos requeridos. No es necesario instalar la herramienta de sincronización de AD en un controlador de dominio. Puede instalarse en cualquier lugar del entorno, siempre y cuando el sistema pueda comunicarse con un controlador de dominio que admita conexiones LDAP.
   Consejo: Su sincronización de AD puede comunicarse por LDAP. No obstante, si lo prefiere, puede habilitar LDAPS en su controlador de dominio antes de sincronizar su Active Directory. De forma predeterminada, LDAPS no está habilitado en la mayoría de los controladores de dominio. Para obtener más información, consulte nuestro artículo Preguntas frecuentes: integración con Active Directory (ADI).

   Un símbolo del sistema se abrirá automáticamente en el directorio de instalación. La siguiente es la ubicación predeterminada del directorio de instalación en las plataformas de 64 bits: C:\Program Files\KnowBe4\ADI Sync

2. En la ventana del símbolo del sistema, se le solicitará que introduzca la siguiente información:
   1. Introduzca su token de sincronización de ADI de 34 caracteres: si es la primera vez que ejecuta este comando, se le solicitará que introduzca su token de sincronización de Active Directory. Este token es la cadena de caracteres que copió de la Configuración de la cuenta de KSAT. Para obtener más información, consulte el paso 2 en el apartado anterior Antes de empezar: pasos requeridos.
   2. Introduzca el nombre de dominio de Active Directory: el nombre de dominio se refiere al dominio raíz para su AD. Si desea ver un ejemplo, consulte el apartado anterior Antes de empezar: pasos requeridos. 
   3. Introduzca la dirección IP o el nombre de host de su controlador de dominio de Active Directory: la dirección IP o el nombre de host de AD se refieren a la dirección IP o el nombre de dominio completo (FQDN) para el controlador de dominio en el que se ubica su AD.
   4. Habilitar SSL (verdadero/falso): de forma predeterminada, LDAPS no está habilitado en su controlador de dominio y deberá escribir «false» (falso) o pulsar la tecla Entrar en su teclado para seleccionar automáticamente esta opción. Como alternativa, si ha habilitado LDAPS para esta sincronización, escriba «true» (verdadero) en su lugar.
   5. Habilitar campos de SecurityCoach Fields (verdadero/falso): si ha adquirido SecurityCoach, introduzca «verdadero» para habilitar los campos de SecurityCoach. Estos campos le permiten sincronizar información para la asignación de usuarios. Para obtener más información, consulte el apartado Campos de SecurityCoach de nuestro artículo Cómo editar el archivo CONF para la integración con Active Directory. Estos campos están desactivados de forma predeterminada. Para mantenerlos desactivados, pulse Intro en su teclado.
   6. Introduzca el número de puerto de Active Directory [389]: introduzca el puerto LDAP o LDAPS correspondiente. De forma predeterminada, el puerto es 389 para LDAP y 636 para LDAPS.
   7. Introduzca el nombre de usuario (usuario@dominio): introduzca el nombre de usuario de la cuenta de administrador de AD que tenga los permisos de lectura necesarios para realizar consultas LDAP. El nombre de usuario debe tener el siguiente formato: «usuario@dominio».
   8. Introducir contraseña: introduzca la contraseña de la cuenta de administrador de AD que tenga los permisos de lectura necesarios para realizar consultas LDAP.
3. Si se ha logrado establecer la conexión, verá un mensaje de confirmación de que la ADI se ha conectado y configurado para su dominio, como se muestra en el ejemplo de arriba. 
4. Pulse la tecla Entrar en su teclado para cerrar la ventana del símbolo del sistema.

   Si se han producido problemas de conexión o autenticación con el controlador de dominio, verá mensajes de error en la ventana del símbolo del sistema y deberá repetir los pasos de este apartado con los datos de configuración correctos. En el caso de que continúe experimentando errores, no dude en ponerse en contacto con nuestro servicio de asistencia técnica. 

   Una vez que se haya logrado establecer la conexión, consulte el siguiente apartado para saber cómo especificar los usuarios y la información que quiere sincronizar con su consola KSAT.

Definir qué unidades organizativas, grupos y usuarios sincronizar

Una vez que haya completado los pasos de los dos apartados anteriores, deberá editar el archivo <su dominio>.conf para configurar la información que desea sincronizar con su cuenta de KSAT. Esta configuración es necesaria para sincronizar usuarios desde su AD.

Continúe la configuración de la ADI con los siguientes pasos:

1. Asegúrese de contar con permisos de edición en la carpeta C:\ProgramData\KnowBe4\ADI Sync\Config. 
2. Busque el archivo <su dominio>.conf en el directorio de instalación, como se muestra a continuación. Abra el archivo en un editor de texto, como Notepad.

   El archivo <su dominio>.conf se utiliza para definir los usuarios, la información de usuario y los grupos que quiere sincronizar entre su cuenta de KSAT y su AD. Para consultar un ejemplo de este archivo, abra el archivo muestra_dominio.

   Nota: Asegúrese de que está editando el archivo <su dominio>.conf y no el archivo adisync.conf.
3. Edite el archivo <su dominio>.conf a fin de especificar los criterios para la sincronización de sus usuarios y grupos. Hay tres secciones del archivo <su dominio>.conf que puede modificar:
   • [sync.fields] (opcional): edite esta área para especificar los campos de información de usuario que quiere sincronizar desde su AD. Para obtener más información, consulte el apartado Sincronizar otra información de usuario con KnowBe4 de nuestro artículo Cómo sincronizar información mediante Active Directory.
   • [sync.users] (obligatorio): edite esta área para especificar los usuarios que quiere sincronizar desde su AD. Asegúrese de incluir al menos una unidad organizativa, grupo o usuario en la sección [sync.users] del archivo .conf. Para obtener más información, consulte el apartado Sincronizar usuarios por inclusión/exclusión de unidades organizativas, grupos o usuarios específicos (obligatorio) de nuestro artículo Cómo sincronizar información mediante Active Directory.
   • [sync.groups] (opcional): puede utilizar esta área para especificar los grupos que quiere sincronizar desde su AD. Estos grupos se crearán automáticamente en su consola de KnowBe4 y se les añadirán los usuarios correspondientes. Para obtener más información, consulte el apartado Sincronizar grupos por inclusión/exclusión de unidades organizativas o grupos (opcional) de nuestro artículo Cómo sincronizar información mediante Active Directory.
   Nota: Si los nombres de las unidades organizativas o grupos contienen letras que no forman parte del alfabeto inglés estándar, sustituya las comillas inglesas (") por comillas simples (') en el archivo <su dominio>.conf. Asimismo, deberá utilizar una doble barra invertida como carácter de escape para caracteres especiales como comas, almohadillas y signos más. Para obtener más información, consulte el artículo Cómo utilizar los caracteres de escape con la integración con Active Directory.
4. Una vez que haya terminado, guarde los cambios realizados en el archivo <su dominio>.conf.

Consulte el siguiente apartado para iniciar la sincronización de la ADI.

Iniciar la sincronización de la ADI

Si ha completado todos los pasos anteriores, el servicio de sincronización de la ADI de KnowBe4 está ya configurado y puede iniciar la sincronización de la ADI. Continúe con los siguientes pasos:

Puede iniciar la sincronización utilizando el Administrador de control de servicios de Windows para poner en marcha el servicio de sincronización de la ADI de KnowBe4.

El servicio de sincronización de la ADI de KnowBe4 se ejecutará inmediatamente y, mientras los servicios estén conectados, su AD se sincronizará con la consola KSAT cada seis horas.

Si el modo de prueba está habilitado en Configuración de la cuenta, obtendrá una vista previa de cómo se sincronizará su AD con KnowBe4. Para obtener la vista previa del modo de prueba, haga clic en Usuarios > Aprovisionamiento en su consola KSAT.

Mantenga el modo de prueba habilitado hasta tener la certeza de que la configuración de la ADI satisface las necesidades de su organización. Una vez que la configuración de la ADI sea satisfactoria, vaya a Configuración de la cuenta en KSAT y deshabilite el modo de prueba. Los usuarios se aprovisionarán automáticamente la próxima vez que la ADI se sincronice.