SCIM

Compartir

¿Le resulta útil este artículo?

Última actualización:

Configuración de SCIM para Microsoft Entra ID

En este artículo aprenderá a configurar SCIM con Microsoft Entra ID (anteriormente Azure Active Directory). La configuración de SCIM para Microsoft Entra ID le permitirá añadir y gestionar usuarios y grupos en su consola KSAT utilizando Microsoft Entra ID.

Las instrucciones del artículo son para un software de terceros. Si tiene problemas con el aprovisionamiento de usuarios en Microsoft Entra ID, le recomendamos que se ponga en contacto con Microsoft Entra para obtener instrucciones específicas. También puede ponerse en contacto con nuestro equipo de asistencia técnica equipo de asistencia técnica (el enlace se abre en una nueva ventana) y estaremos encantados de ayudarle.

Nota:Para sincronizar usuarios y grupos con SCIM, debe estar suscrito a Microsoft Entra. Para obtener más información sobre cómo sincronizar usuarios y grupos a través de Microsoft Entra, consulte el artículo de Microsoft Administrar la asignación de usuarios y grupos a una aplicación Administrar la asignación de usuarios y grupos a una aplicación (el enlace se abre en una ventana nueva).

Configurar SCIM

En este apartado aprenderá a configurar los ajustes de SCIM con Microsoft Entra. Tenga en cuenta que debería configurar estos pasos una vez que haya configurado los ajustes en su consola KSAT. Para obtener más información sobre la configuración de SCIM en su consola KSAT, consulte nuestra Guía de configuración de SCIM.

Para configurar los ajustes de SCIM con Microsoft Entra, siga estos pasos:

  1. Inicie sesión en su portal de Azure en https://portal.azure.com/ https://portal.azure.com/ (el enlace se abre en una ventana nueva).

  2. Seleccione el botón Ver del mosaico Gestionar Microsoft Entra ID en la página de inicio del portal de Azure.

  3. En el menú desplegable + Añadir, seleccione Aplicación empresarial.

  4. En la barra de búsqueda de la galería de Microsoft Entra, introduzca «KnowBe4» para filtrar los resultados.

  5. Seleccione el mosaico Formación sobre concienciación en materia de seguridad de KnowBe4.

  6. Seleccione Crear en la ventana emergente que aparece en la parte derecha de la pantalla.

  7. Cuando haga clic en Crear, se le redirigirá a la página Resumen de la aplicación que ha creado.

    1. Si no se le redirige a la página Resumen, tendrá que abrir la aplicación desde la lista de Aplicaciones empresariales. Para encontrar las aplicaciones empresariales, haga clic en Todos los servicios en el panel situado más a la izquierda, después, en el menú acordeón que aparece, seleccione Recientes y, a continuación, Aplicaciones empresariales.

  8. Seleccione el enlace Comencemos en el mosaico Aprovisionar cuentas de usuario, debajo del encabezado Comencemos.

  9. Seleccione + Nueva configuración.

  10. A continuación, tendrá que introducir la información de la página Configuración de la cuenta. Consulte más detalles sobre dónde encontrar esta información en nuestra Guía de configuración de SCIM. En el campo URL de inquilino, introduzca la URL de inquilino. En el campo Token secreto, introduzca el token de SCIM.

    Importante: Esta función no funciona con el aprovisionamiento a petición.

  11. Una vez que haya introducido la información, seleccione el botón Conexión de prueba. Al hacer clic en esa opción, podrá asegurarse de que ha introducido la información correcta. Si la conexión se lleva a cabo de forma correcta, se mostrará un mensaje emergente en la esquina superior derecha de la pantalla.

  12. Seleccione el botón Guardar en la parte superior de la pantalla.

Definir qué usuarios y grupos sincronizar desde Microsoft Entra

Nota: Las instrucciones de esta sección explican cómo deben sincronizarse los usuarios y grupos específicos. Si desea sincronizar todos sus usuarios y grupos desde Microsoft Entra ID, consulte la sección Preguntas frecuentes de este artículo.

Una vez haya completado los pasos del apartado Configuración de SCIM anterior, puede definir qué usuarios y grupos quiere sincronizar. Se requiere esta configuración para sincronizar usuarios y grupos desde el proveedor de identidad (IdP).

Importante:Actualmente no se aceptan grupos anidados en el aprovisionamiento con SCIM o Microsoft Entra. Para obtener más información, consulte la sección Ámbito del artículo de Microsoft Funcionamiento del aprovisionamiento de aplicaciones en Microsoft Entra ID Funcionamiento del aprovisionamiento de aplicaciones en Microsoft Entra ID (el enlace se abre en una ventana nueva).

Para definir qué usuarios y grupos desea sincronizar desde Microsoft Entra ID, siga los siguientes pasos:

  1. Desde su ID de Microsoft Entra, vaya a Aplicaciones empresariales.
  2. Seleccione la aplicación que ha creado para la conexión KnowBe4.

  3. Seleccione Asignar usuarios y grupos en el mosaico Asignar usuarios y grupos.

  4. Seleccione + Añadir usuario/grupo para seleccionar los usuarios o grupos que quiera sincronizar.

  5. Elija Ninguno seleccionado para buscar usuarios o grupos que desee incluir en la sincronización. Para añadir un usuario o un grupo, haga clic en el nombre del usuario o del grupo. Se mostrarán en el panel lateral Seleccionado.

    Nota: Le recomendamos que únicamente incluya unos pocos usuarios cuando configure los ajustes por primera vez. Al empezar con unos pocos usuarios, se asegurará de que la conexión funciona correctamente antes de añadir todos los usuarios y los grupos que quiera incluir.

  6. Una vez haya añadido los usuarios y los grupos que quiere incluir a la categoría Seleccionados, haga clic en Seleccionar.
  7. Seleccione Asignar.

Los usuarios y los grupos que haya seleccionado se mostrarán ahora en la tabla.

Comenzar sincronización

Una vez haya configurado los ajustes de SCIM y añadido los usuarios y grupos que quiere sincronizar, tendrá que empezar la sincronización. Una vez iniciada la sincronización, el sistema comprobará automáticamente si se han producido cambios en sus usuarios y grupos en Microsoft Entra ID cada 40 minutos e iniciará una sincronización si se han producido cambios.

Nota:Si tiene más de varios miles de usuarios en su aplicación de aprovisionamiento de SCIM, es probable que no se incluyan todos los usuarios en la sincronización inicial. En su lugar, los usuarios se sincronizarán en su cuenta por fases. Le recomendamos que mantenga el aprovisionamiento de usuarios en el Modo de prueba hasta que solo vea unas pocas diferencias entre los informes de sincronización. Si espera hasta que vea solo unas pocas diferencias, evitará que los usuarios se queden archivados en su consola KSAT. Además, la sincronización de las pertenencias a grupos puede durar más que la sincronización de los usuarios. Si posee una cuenta más grande, puede que vea sincronizaciones periódicas en su consola KSAT.

Para comenzar la sincronización, siga los siguientes pasos:

  1. Desde su ID de Microsoft Entra, vaya a Aplicaciones empresariales.
  2. Seleccione la aplicación que ha creado para la conexión KnowBe4.
  3. En el menú de la izquierda de la página, seleccione Aprovisionamiento.

  4. Haga clic en Comenzar aprovisionamiento.

La sincronización comenzará de inmediato. Tras la sincronización inicial, el sistema comprobará si se han producido cambios en su Microsoft Entra ID cada 40 minutos e iniciará una sincronización si se han producido cambios.

Importante: Una vez que quede satisfecho con la correcta sincronización de sus usuarios, tendrá que desactivar el modo de prueba en la Configuración de la cuenta de su KSAT. Al desactivar el modo de prueba, los usuarios podrán añadirse y archivarse durante la siguiente sincronización. Para obtener más información sobre el Modo de prueba, consulte nuestra Guía de configuración de SCIM.

Para ver el estado de estas sincronizaciones, así como los errores e información adicional sobre estas, diríjase a Aprovisionamiento de usuarios en su consola KSAT.

Opciones de configuración avanzadas

Al habilitar la sincronización de SCIM con Entra ID, los datos de personas usuarias existentes en la consola KnowBe4 los sobrescribirá el proveedor de identidad de SCIM. Antes de continuar, verifique la información obteniendo una vista previa de una campaña en el modo de prueba para asegurarse de que los grupos y los estados de las personas usuarias estén configurados correctamente en Entra ID. Este paso permite evitar la pérdida de datos no deseada. Las personas usuarias no incluidas en la sincronización se archivarán automáticamente, y sus datos y registros históricos se conservarán.

Importante: Actualmente no se aceptan los alias de correo electrónico en el aprovisionamiento de SCIM.

Para obtener más información sobre las opciones de configuración avanzada para Microsoft Entra, consulte los siguientes subapartados:

Asignaciones predeterminadas

A continuación se muestran las asignaciones de campo predeterminadas:

Atributo de Azure Active Directory predeterminado Atributo de KSAT Campo de KSAT
userPrincipalName userName Correo electrónico
givenName name.givenName Nombre
surname name.familyName Apellido(s)
employeeId urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber Número de empleado
jobTitle title Puesto de trabajo
department urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department Departamento
manager

urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager.value

Nota:Para sincronizar la información del gerente, los gerentes aplicables deben estar incluidos en la sincronización. Para añadir estos gerentes a la sincronización, consulte el apartado Definir qué usuarios y grupos sincronizar de Microsoft Entra arriba.
 Correo electrónico del gerente
displayName del perfil de ID de Entra del gerente

displayName

Nota:El displayName de un usuario procede del perfil de ID de Entra de su gerente. Como resultado, el displayName de un usuario no se mostrará en su perfil de usuario en KSAT, ya que su nombre se sincroniza utilizando otros atributos. Pero se mostrará en los perfiles de usuario de sus informes directos.
 Nombre del gerente
Nota:Los campos División y Organización no se asignan de forma predeterminada. Si piensa usar estos campos, tendrá que añadir las asignaciones. Puede añadir estos atributos siguiendo las instrucciones del apartado Añadir asignaciones de atributos para campos de usuario personalizados a continuación.
Atributo de Azure Active Directory predeterminado Atributo de KSAT Campo de KSAT
N/A N/A Zona horaria
N/A N/A Extensión
N/A N/A Comentarios
N/A N/A Fecha de comienzo del empleado

Cambiar las asignaciones predeterminadas

Puede cambiar las asignaciones predeterminadas para personalizar la información de usuario que se sincroniza entre Microsoft Entra y su consola KSAT.

Para modificar las asignaciones predeterminadas, siga los siguientes pasos:

  1. Desde su ID de Microsoft Entra, vaya a Aplicaciones empresariales.
  2. Seleccione la aplicación que ha creado para la conexión KnowBe4.

  3. En el menú de la izquierda de la página, seleccione Aprovisionamiento.

  4. Desde la ventana Aprovisionamiento, haga clic en Editar asignaciones de atributos en Gestionar aprovisionamiento.

  5. Haga clic en la flecha desplegable Asignaciones para ampliar la pestaña Asignaciones.

  6. Haga clic en Aprovisionar usuarios de Azure Active Directory.

  7. Desplácese abajo hasta el apartado Asignaciones de atributos. Desde este apartado, verá una lista de todos los atributos que se han asignado. La columna Atributo de Azure Active Directory muestra el nombre del atributo en Microsoft Entra. La columna Atributo de KnowBe4 muestra el nombre estándar de SCIM para este atributo.

  8. Seleccione el atributo que quiera editar.
  9. En el panel lateral Editar atributo, personalice el atributo. Para obtener más información sobre las opciones de personalización, consulte la siguiente lista:
    1. Tipo de asignación: Seleccione Dirigir en el menú desplegable.

    2. Atributo de origen: Seleccione el campo de Azure que quiera asignar a este campo personalizado.

      Nota:Si utiliza SSO para Microsoft Entra ID, este atributo debe ser el mismo que el Atributo de origen de SSO. De forma predeterminada, el Atributo de origen de SSO es user.userprincipalname. Para obtener más información, consulte el apartado Añadir la aplicación KnowBe4 a Azure AD en nuestro artículo Cómo configurar SSO/SAML con Azure Active Directory (AD).
    3. Valor predeterminado: Este campo es opcional y le recomendamos que lo deje en blanco.
    4. Atributo de destino: Seleccione el campo personalizado que quiera asignar al campo de Azure que haya seleccionado.
    5. Hacer coincidir objetos con este atributo: Le recomendamos que seleccione No.

    6. Aplicar esta asignación: Le recomendamos que seleccione Siempre.

      Nota:Si existe un atributo que no quiere sincronizar, puede hacer clic en la opción Borrar que está al lado del atributo para deshabilitar la sincronización. Esta acción únicamente borrará la conexión entre este atributo y el campo correspondiente de su consola KSAT. No se borrarán datos desde Azure.

  10. Una vez que haya modificado lo que vea pertinente, haga clic en Aceptar.

    Nota:Le recomendamos que solo modifique el campo Atributo de origen. Al modificar otros ajustes del atributo, se puede romper la conexión entre Microsoft Entra y su consola KSAT.

Añadir asignaciones de atributos para campos de usuario personalizados

Asimismo tiene la opción de añadir seis campos personalizados. Estos campos no se asignan por defecto, pero puede añadirlos a Microsoft Entra siguiendo estos pasos:

  1. Desde su ID de Microsoft Entra, vaya a Aplicaciones empresariales.
  2. Seleccione la aplicación que ha creado para la conexión KnowBe4.

  3. En el menú de la izquierda de la página, seleccione Aprovisionamiento.

  4. En la ventana Aprovisionamiento, seleccione Editar asignaciones de atributo en Gestionar aprovisionamiento.

  5. Haga clic en la flecha desplegable Asignaciones para ampliar la pestaña Asignaciones.

  6. Haga clic en Aprovisionar usuarios de Azure Active Directory.
  7. Haga clic en Añadir nueva asignación en la parte inferior de la tabla.
  8. Desde la ventana Editar atributo, seleccione el Atributo de origen que quiera usar.

  9. Luego, seleccione el Atributo de destino que quiera usar. Le ofrecemos los siguientes campos personalizados:

    Nota: Es importante que siga el formato de los idiomas compatibles y preste atención a las mayúsculas y las minúsculas.
    Campo de KSAT Atributo de destino
    Campo personalizado 1 urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField1
    Campo personalizado 2 urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField2
    Campo personalizado 3 urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField3
    Campo personalizado 4 urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField4
    Fecha personalizada 1

    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customDate1

    Importante: Las fechas en este campo deben estar en formato ISO 8601. El formato es el siguiente: AAAA-MM-DD «T» hh:mm:ssZ. Por ejemplo, 2022-04-04T04:23:30Z.
    Fecha personalizada 2

    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customDate2

    Importante: Las fechas en este campo deben estar en formato ISO 8601. El formato es el siguiente: AAAA-MM-DD «T» hh:mm:ssZ. Por ejemplo, 2022-04-04T04:23:30Z.
    Sección urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division
    Organización urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization
    Finalización de fuera de la oficina urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:outOfOfficeEnd
    Idioma de phishing urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:phishingLanguage
    Idioma de formación urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:trainingLanguage
    Tipo de usuario urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:userRole
    Atributo predeterminado de Microsoft Entra ID Atributo de KSAT Campo de KSAT
    physicalDeliveryOfficeName addresses[type eq "work"].formatted Ubicación
    telephoneNumber phoneNumbers[type eq "work"].value Número de teléfono
    Móvil phoneNumbers[type eq "mobile"].value Número de teléfono móvil
    Atributos que aparecen en el esquema de forma predeterminada:
    Campo de KSAT Atributo de destino
    Nombre de empresa urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:companyName
    País urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:country
    Tipo de empleado userType
    Nombre de host urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:hostname
    Sobrenombre de correo urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:mailNickName
    Nombre de cuenta SAM urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:onPremisesSamAccountName
    Identificador de seguridad urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:onPremisesSecurityIdentifier
    Nombre de usuario principal urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:userPrincipalName
    Último cambio de contraseña

    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:lastPasswordChangeDateTime

    Importante: Para el campo Último cambio de contraseña, el tipo de atributo de destino debe establecerse en DateTime.
    Le ofrecemos también los siguientes campos personalizados para la asignación de usuarios en SecurityCoach:
  10. Le recomendamos que no cambie el resto de los ajustes que vienen de forma predeterminada.
  11. Repita el paso 8 para todos los campos personalizados que haya añadido en el paso 7.
  12. Haga clic en Guardar en la parte superior de la pantalla para guardar los cambios.

Los campos personalizados se sincronizarán en su consola KSAT.

Preguntas frecuentes

A continuación tiene una lista de preguntas frecuentes sobre el uso de SCIM con Microsoft Entra ID.

¿Cada cuánto tiempo se producen sincronizaciones?

El sistema comprobará si hay actualizaciones de los usuarios y los grupos de su Microsoft Entra ID cada 40 minutos. Si encuentra modificaciones, comenzará automáticamente la sincronización. No obstante, puede forzarla en cualquier momento haciendo clic en la opción Forzar sincronización ahora en el apartado Configuración de SCIM de la Configuración de la cuenta de su KSAT.

¿Cómo puede restaurar las asignaciones predeterminadas?

Puede restaurar las asignaciones predeterminadas en cualquier momento siguiendo estos pasos:

  1. Diríjase a Aplicaciones empresariales.
  2. Seleccione la aplicación que ha creado para la conexión KnowBe4.
  3. En el menú de la izquierda de la página, seleccione Aprovisionamiento.
  4. Haga clic en Editar asignación de atributo en Gestionar aprovisionamiento.
  5. Haga clic en la flecha desplegable Asignaciones para ampliar el menú desplegable Asignaciones.
  6. Seleccione Restaurar asignaciones predeterminadas.
  7. Haga clic en Guardar en la parte superior de la pantalla.

¿Cómo sincronizo todos mis usuarios y mis grupos?

Si quiere sincronizar todos los usuarios y los grupos desde su Microsoft Entra ID, siga los siguientes pasos:

  1. Diríjase a la aplicación que ha configurado para la conexión de SCIM.
  2. Diríjase a Aprovisionamiento.
  3. Seleccione Editar aprovisionamiento en la parte superior de la pantalla o seleccione Añadir filtros de selección en Gestionar aprovisionamiento.
  4. Haga clic en el menú desplegable Configuración.
  5. Desde el menú desplegable Examinar, seleccione Sincronizar todos los usuarios y los grupos.
  6. Haga clic en Guardar en la parte superior de la página.

No puedo asignar usuarios a una aplicación por grupo. ¿Cómo puedo limitar los usuarios que se sincronizan en mi consola KSAT?

Para limitar los usuarios que se sincronizan en su consola KSAT, puede configurar un filtro de selección. Para obtener más información sobre cómo crear un filtro de ámbito, consulte el artículo de Microsoft Ampliación de usuarios o grupos a los que se les asignarán filtros de ámbito Ampliación de usuarios o grupos a los que se les asignarán filtros de ámbito (el enlace se abre en una ventana nueva).

¿Le ha resultado útil este artículo?

Usuarios a los que les pareció útil: 11 de 13

¿No encuentra lo que busca?

Hablar con asistencia técnica