Configuración de la integración con Active Directory

Puede emplear la función de integración con Active Directory (ADI) de KnowBe4 para integrar el Active Directory (AD) de su organización con su consola KMSAT. Una vez que configure la ADI, los usuarios y grupos se añadirán, modificarán y archivarán automáticamente en la consola KMSAT según la información enviada desde su AD. Tenga en cuenta que se trata de un proceso de sincronización unidireccional y que no se devolverá información de la consola KMSAT a su AD. 

Para obtener información sobre las ventajas de configurar la ADI para su organización, consulte nuestro artículo Ventajas de configurar la integración de Active Directory (ADI). Si prefiere ver un tutorial de vídeo para aprender a configurar la ADI, acceda al vídeo Integración con Active Directory (ADI). Por otro lado, si le interesa usar SCIM para sincronizar los usuarios, consulte nuestra Guía de configuración de SCIM.

Ir a:

Cómo funciona la ADI para las cuentas con usuarios existentes

Requisitos previos
Antes de empezar: pasos requeridos
Instalación y configuración
Definir qué unidades organizativas, grupos y usuarios sincronizar
Iniciar la sincronización de la ADI

Cómo funciona la ADI para las cuentas con usuarios existentes

Si ya ha añadido usuarios a su consola KMSAT, debe saber varias cosas antes de configurar la integración con ADI. Para obtener más información, consulte la siguiente lista:

• Una vez que haya configurado la ADI, los datos sincronizados desde su AD se considerarán acreditados. Durante las sincronizaciones entre la consola KMSAT y su AD se producirán las siguientes acciones:
  • Los usuarios que no se encuentren en su AD se archivarán en su consola KMSAT.
  • Los datos contenidos en su AD sobrescribirán cualquier cambio que haya realizado en la información de los usuarios en la consola KMSAT.
• Antes de implementar la ADI, las cuentas de usuario presentes en la consola KMSAT se consideran gestionadas por la consola. Si los usuarios están gestionados por la consola, puede editar la información de usuario cargando un archivo CSV en la consola o editando los perfiles de usuario directamente en la consola. 
  • Una vez que configure la ADI y se produzca la primera sincronización de AD, los usuarios se considerarán gestionados por AD. Si los usuarios están gestionados por AD, deberá editar la información de usuario en su AD, y estos cambios se insertarán en la consola KMSAT durante la siguiente sincronización.
• Durante la primera sincronización de AD, la consola KMSAT emparejará automáticamente las cuentas de usuario gestionadas por la consola con las cuentas de su AD. Este proceso convertirá a sus usuarios de forma que pasarán de estar gestionados por la consola a estar gestionados por AD. Funciona de la siguiente manera:
  1. Usted instalará y configurará la herramienta de sincronización de la ADI en su entorno. Para obtener más información, consulte el apartado Instalación y configuración de este artículo.
  2. Usted configurará qué información quiere sincronizar desde su AD. Para obtener más información, consulte el apartado Definir qué unidades organizativas, grupos y usuarios sincronizar de este artículo.
  3. A continuación, el servicio de sincronización de la ADI busca información de usuario y grupo en su AD o directorios, y envía los resultados a los servidores de KnowBe4.
  4. Los servidores de KnowBe4 revisan la información enviada desde su AD y actualizan automáticamente los usuarios y grupos en su consola KMSAT de acuerdo con la siguiente lógica:
     
     • Si un usuario de AD tiene una dirección de correo electrónico que coincide con una cuenta existente gestionada por la consola KMSAT, la cuenta de usuario de la consola KMSAT pasa a estar gestionada por AD.
     • Si un usuario de AD no se encuentra en la consola KMSAT, se crea una cuenta de usuario gestionada por AD.
     • Una vez que se hayan procesado todos los usuarios de AD, se archivarán todas las cuentas gestionadas por la consola que no hayan pasado a estar gestionadas por AD.

Una vez que configure la ADI, la información de usuario se mantendrá actualizada con la información del AD de su organización.

Volver al principio

Requisitos previos

Antes de configurar la ADI, asegúrese de que su entorno cumpla los requisitos básicos que enumeramos a continuación:

1. Su organización debe tener Microsoft Active Directory o Azure Active Directory. Consulte la siguiente lista para obtener más información:

• Si su organización tiene Microsoft Active Directory, el nivel funcional de su dominio debe ser Windows Server 2003 o posterior.
• Si su organización tiene Azure Active Directory, puede sincronizar Azure Active Directory Domain Services con su consola KMSAT. Para obtener más información, consulte el artículo Cómo utilizar la integración con Active Directory con Azure Active Directory Domain Services.

2. Le recomendamos instalar la herramienta de la ADI en un servidor de aplicaciones y no en una estación de trabajo de usuario. Asegúrese de que el sistema donde va a instalar la ADI cumpla las siguientes especificaciones:

• El sistema usa Windows Desktop 7/Vista/8/10 o Windows Server 2008/2012/2016/2019 (64 bits).
• Asegúrese de que el sistema puede conectarse al servidor de la instancia de formación para su cuenta. Para ver una lista de las instancias, consulte el artículo Instancias de formación de KnowBe4.
  • Esta instancia de formación es la URL de servidor que necesitará la herramienta de sincronización de AD de KnowBe4 para ponerse en contacto a través de una solicitud POST. Deberá permitir las conexiones salientes a servidores remotos en el puerto 443 (SSL/HTTPS).

En el siguiente apartado encontrará pasos importantes que tendrá que seguir para preparar la configuración de la ADI.

Volver al principio

Antes de empezar: pasos requeridos

Antes de poder instalar y configurar la herramienta de sincronización de AD de KnowBe4, realice los siguientes pasos:

1. Reúna la siguiente información sobre su AD:

• Busque la dirección IP o el nombre de dominio completo (FQDN) para el controlador de dominio en el que se ubica su AD.

• Asegúrese de que su controlador de dominio de AD pueda responder a las solicitudes LDAP. De forma predeterminada, todos los controladores de dominio están configurados para responder a las solicitudes LDAP.

  Consejo: Su sincronización de AD puede comunicarse por LDAP. No obstante, si lo prefiere, puede habilitar LDAPS en su controlador de dominio antes de sincronizar su AD. De forma predeterminada, LDAPS no está habilitado en la mayoría de los controladores de dominio. Para obtener más información, consulte las preguntas frecuentes de la ADI.

• Busque el nombre de dominio de AD. El nombre de dominio de AD es el dominio raíz que está controlado por su controlador de dominio de AD. La siguiente imagen muestra un ejemplo de un nombre de dominio de AD.

  

• Asegúrese de contar con el nombre de usuario y contraseña de una cuenta de administrador de AD que tenga los permisos para realizar consultas LDAP. De forma predeterminada, todas las cuentas del grupo «Usuarios de dominio» tienen estos permisos. No obstante, para mayor seguridad, recomendamos usar una cuenta de servicio que solo tenga permisos «de lectura» para su AD. Para ver los permisos de «lectura» necesarios para esta cuenta de servicio, consulte nuestra Guía de configuración avanzada de la integración con Active Directory (ADI).

2. Obtenga su token de sincronización de la ADI y descargue la herramienta de sincronización de la ADI desde Configuración de cuenta en KMSAT. Lleve a cabo los siguientes pasos:

1. 1. Una vez que haya iniciado sesión en la consola KMSAT, haga clic en su dirección de correo electrónico en la esquina superior derecha de la página. A continuación, haga clic en Configuración de cuenta.
   2. Vaya a la sección Aprovisionamiento de usuarios. Marque la casilla Habilitar aprovisionamiento de usuarios (sincronización de usuarios).
      
   3. Asegúrese de que la opción Modo de prueba esté habilitada. Debe desactivar el modo de prueba una vez que haya completado la configuración de la ADI y verificado que esta funciona correctamente. Mientras la opción Modo de prueba esté habilitada, no se producirá aprovisionamiento de usuarios ni sincronización. En su lugar, se generará un informe que reflejará lo que habría ocurrido si hubiera tenido lugar el aprovisionamiento de usuarios. El modo de prueba le permite resolver problemas potenciales sin que eso afecte a los usuarios actuales que tiene en su consola.
      

      Consejo: Marcar la casilla Mostrar dominio de grupo puede resultar útil si los usuarios están repartidos entre múltiples fuentes de dominio. Para obtener más información, consulte las preguntas frecuentes de la ADI.

   4. Copie su token de sincronización de la ADI y guárdelo localmente. Lo necesitará para completar la configuración. El token de sincronización de la ADI tiene 32 dígitos y un formato similar al siguiente ejemplo: 9X140X4829E37XX545401X97912X604X.
   5. Haga clic en el icono de descarga que aparece junto a Herramienta de la ADI (KnowBe4_AD_Sync.msi) para descargar el archivo para la herramienta de la ADI. 
   6. Haga clic en el botón Guardar cambios en la parte inferior de la página Configuración de cuenta.
   7. Decida qué usuarios quiere sincronizar y familiarícese con la ubicación de los objetos de usuario en su AD. 

3. Una vez que complete los pasos de este apartado y los del siguiente, titulado Instalación y configuración, deberá definir la ubicación de los objetos de usuario en su AD. Puede sincronizar los objetos de usuario desde una o varias unidades organizativas, grupos de seguridad y grupos de distribución. Para obtener información más detallada sobre cómo definir los usuarios que quiere sincronizar, consulte el apartado Definir qué unidades organizativas, grupos y usuarios sincronizar de este artículo.

Si sus objetos de usuario no están ubicados en unidades organizativas, grupos de seguridad ni grupos de distribución, consulte la siguiente información:

• Si los usuarios que quiere sincronizar se ubican en los contenedores de usuarios integrados en lugar de en una unidad organizativa: no puede sincronizar los contenedores. Como solución alternativa, puede crear un grupo de seguridad, añadir los usuarios al grupo y, a continuación, sincronizar el grupo en lugar del contenedor. 
• Si cree o sabe que su AD no está organizado de forma idónea para sincronizarse con la consola KMSAT: puede configurar uno o varios grupos en AD para que contengan todos los objetos de usuario y grupos que quiere sincronizar. A continuación, deberá especificar que solo desea sincronizar esos grupos.
• Si tiene un dominio raíz con AD secundarios, puede ejecutar el instalador de la ADI para cada dominio secundario. Cada dominio secundario se debe usar para el mismo controlador de dominio como el dominio raíz.

4. Determine de qué campos deben extraerse las direcciones de correo electrónico de sus usuarios en AD. De forma predeterminada, el servicio de ADI extraerá las direcciones de proxy de sus usuarios para utilizarlas como sus direcciones de correo electrónico de la cuenta de KnowBe4. 

• Si necesita utilizar algo más aparte de las direcciones de proxy, deberá editar el campo emailAttrib en su archivo ADIsync.conf. Por ejemplo, si no utiliza Microsoft Exchange ni Microsoft 365 como servidor de correo electrónico, lo más probable es que el campo de la dirección de proxy en AD esté en blanco. Edite el campo emailAttrib después de completar la instalación, pero antes de iniciar el servicio de sincronización de la ADI. Para obtener instrucciones, consulte el apartado Cambiar de dónde se extraen las direcciones de correo electrónico en Active Directory de nuestra Guía de configuración avanzada de la integración con Active Directory (ADI).
  

  Nota: El campo useMailAttrib se ha reemplazado con el campo emailAttribute.

• Asegúrese de que la configuración de todas las campañas se haya ajustado adecuadamente a la afluencia de usuarios. Vuelva a comprobar su configuración de grupos inteligentes para las campañas, pues puede verse afectada por los nuevos usuarios que aparezcan por sincronización de la ADI.

Una vez que haya recopilado la información anterior, continúe con los pasos del siguiente apartado.

Volver al principio

Instalación y configuración

Una vez que haya recopilado la información descrita en el apartado anterior, ya puede instalar y configurar la sincronización de la ADI. Continúe con los siguientes pasos:

1. Ejecute la herramienta de sincronización de Active Directory. Este es el archivo KnowBe4_AD_Sync.msi que ha descargado desde Configuración de cuenta de KMSAT en el paso 2 del apartado anterior Antes de empezar: pasos requeridos. No es necesario instalar la herramienta de sincronización de AD en un controlador de dominio. Puede instalarse en cualquier lugar del entorno, siempre y cuando el sistema pueda comunicarse con un controlador de dominio que admita conexiones LDAP.

Un símbolo del sistema se abrirá automáticamente en el directorio de instalación. La siguiente es la ubicación predeterminada del directorio de instalación en las plataformas de 64 bits:

• C:\Program Files (x86)\KnowBe4\ADISync

2. En la ventana del símbolo del sistema, se le solicitará que introduzca la siguiente información:

1. 1. Ingresar el token de sincronización de Active Directory: si es la primera vez que ejecuta este comando, se le solicitará que introduzca su token de sincronización de Active Directory. Este token es la cadena de caracteres que copió de la Configuración de cuenta de KMSAT. Para obtener más información, consulte el paso 2 en el apartado anterior Antes de empezar: pasos requeridos.
   2. Introducir nombre de dominio: el nombre de dominio se refiere al dominio raíz para su AD. Si desea ver un ejemplo, consulte el apartado anterior Antes de empezar: pasos requeridos. 
   3. Introducir dirección IP o nombre de host de Active Directory: la dirección IP o el nombre de host de AD se refieren a la dirección IP o el nombre de dominio completo (FQDN) para el controlador de dominio en el que se ubica su AD.
   4. Habilitar SSL (verdadero/falso): de forma predeterminada, LDAPS no está habilitado en su controlador de dominio y deberá escribir «false» (falso) o pulsar la tecla Entrar en su teclado para seleccionar automáticamente esta opción. Como alternativa, si ha habilitado LDAPS para esta sincronización, escriba «true» (verdadero) en su lugar.
   5. Introducir número de puerto de Active Directory: introduzca el puerto LDAP o LDAPS correspondiente. De forma predeterminada, el puerto es 389 para LDAP y 636 para LDAPS.
   6. Introducir nombre de usuario: introduzca el nombre de usuario de la cuenta de administrador de AD que tenga los permisos de lectura necesarios para realizar consultas LDAP. El nombre de usuario debe tener el siguiente formato: «usuario@dominio».
   7. Introducir contraseña: introduzca la contraseña de la cuenta de usuario del administrador de AD.

3. Si se ha logrado establecer la conexión, verá mensajes de confirmación en la ventana del símbolo del sistema, como muestra el siguiente ejemplo. 

4. Pulse la tecla Entrar en su teclado para cerrar la ventana del símbolo del sistema.

Si se han producido problemas de conexión o autenticación con el controlador de dominio, verá mensajes de error en la ventana del símbolo del sistema y deberá repetir los pasos de este apartado con los datos de configuración correctos. En el caso de que continúe experimentando errores, no dude en ponerse en contacto con nuestro servicio de asistencia técnica. 

Una vez que se haya logrado establecer la conexión, consulte el siguiente apartado para saber cómo especificar los usuarios y la información que quiere sincronizar con su cuenta de KMSAT.

Volver al principio

Definir qué unidades organizativas, grupos y usuarios sincronizar

Una vez que haya completado los pasos de los dos apartados anteriores, deberá editar el archivo .conf para configurar la información que desea sincronizar con su cuenta de KMSAT. Esta configuración es necesaria para sincronizar usuarios desde su AD.

Continúe la configuración de la ADI con los siguientes pasos:

1. Asegúrese de contar con permisos de edición en la carpeta ADISync. 

2. Busque el archivo su dominio.conf en el directorio de instalación, como se muestra a continuación. Abra el archivo en un editor de texto, como Notepad.

El archivo su dominio.conf se utiliza para definir los usuarios, la información de usuario y los grupos que quiere sincronizar entre su cuenta de KMSAT y su AD. Para consultar un ejemplo de este archivo, abra el archivo muestra_dominio.

3. Edite el archivo su dominio.conf a fin de especificar los criterios para la sincronización de sus usuarios y grupos. Hay tres secciones del archivo su dominio.conf que puede modificar:

• [sync.fields] (opcional): edite esta área para especificar los campos de información de usuario que quiere sincronizar desde su AD. Para obtener más información, consulte el apartado Sincronizar otra información de usuario con KnowBe4 de nuestro artículo Cómo sincronizar información mediante Active Directory.
• [sync.users] (obligatorio): edite esta área para especificar los usuarios que quiere sincronizar desde su AD. Asegúrese de incluir al menos una unidad organizativa, grupo o usuario en la sección [sync.users] del archivo .conf. Para obtener más información, consulte el apartado Sincronizar usuarios por inclusión/exclusión de unidades organizativas, grupos o usuarios específicos (obligatorio) de nuestro artículo Cómo sincronizar información mediante Active Directory.
• [sync.groups] (opcional): puede utilizar esta área para especificar los grupos que quiere sincronizar desde su AD. Estos grupos se crearán automáticamente en su consola de KnowBe4 y se les añadirán los usuarios correspondientes. Para obtener más información, consulte el apartado Sincronizar grupos por inclusión/exclusión de unidades organizativas o grupos (opcional) de nuestro artículo Cómo sincronizar información mediante Active Directory.

4. Una vez que haya terminado, guarde los cambios realizados en el archivo su dominio.conf.

Consulte el siguiente apartado para iniciar la sincronización de la ADI.

Volver al principio

Iniciar la sincronización de la ADI

Si ha completado todos los pasos anteriores, su servicio de ADI está ya configurado y puede iniciar la sincronización de la ADI. Continúe con los siguientes pasos:

Puede iniciar la sincronización de dos formas:

1. utilice el Administrador de control de servicios de Windows (el servicio de ADI se denomina «servicio de sincronización de la integración con Active Directory»); o
2. abra un símbolo del sistema en el modo de administrador y lleve a cabo los siguientes dos pasos:
   1. Vaya al directorio correspondiente. La siguiente es la ubicación predeterminada del directorio de instalación en las plataformas de 64 bits: C:\Program Files (x86)\KnowBe4\ADISync
   2. Escriba ADIsync.exe service start (inicio de servicio de ADIsync.exe) y pulse la tecla Entrar en el teclado.

El servicio de sincronización de la ADI se ejecutará inmediatamente y, mientras los servicios estén conectados, su AD se sincronizará con la consola KMSAT cada seis horas.

Si el modo de prueba está habilitado en Configuración de cuenta, obtendrá una vista previa de cómo se sincronizará su AD con KnowBe4. Para obtener la vista previa del modo de prueba, haga clic en Usuarios > Aprovisionamiento en su consola KMSAT.

Mantenga el modo de prueba habilitado hasta tener la certeza de que la configuración de la ADI satisface las necesidades de su organización. Una vez que la configuración de la ADI sea satisfactoria, vaya a Configuración de cuenta en KMSAT y deshabilite la opción Modo de prueba. Su siguiente sincronización de la ADI aprovisionará sus usuarios automáticamente.

Volver al principio