Integración con Active Directory

Compartir

¿Le resulta útil este artículo?

Última actualización:

Guía de configuración avanzada de la integración con Active Directory (ADI)

Una vez que lleve a cabo la configuración inicial de Active Directory (AD), podrá personalizar la sincronización con opciones adicionales para satisfacer las necesidades de su organización. Para obtener más información, consulte los siguientes apartados. Si desea conocer el proceso de instalación y configuración básico de la integración con Active Directory (ADI), consulte nuestra Guía de configuración de la integración con Active Directory (ADI).

Creación de una cuenta de servicio de ADI en Active Directory

Para configurar una ADI, deberá usar o crear una cuenta en AD que cuente con los siguientes permisos:

  • Leer toda la información del usuario
  • Leer toda la información de inetOrgPerson

Para crear un usuario de AD con los permisos de lectura necesarios, siga estos pasos:

  1. Abra Usuarios y ordenadores de Active Directory.

  2. Haga clic con el botón derecho del ratón en su dominio y seleccione Delegar control. Cuando seleccione Delegar control, se abrirá el cuadro de diálogo modal Delegación de control.

  3. En el cuadro de diálogo modal Delegación de control, añada la cuenta de servicio de ADI que ha creado anteriormente.

  4. Delegue las tareas Leer toda la información del usuario y Leer toda la información de inetOrgPerson.

  5. Por último, tendremos que volver a configurar su servicio de sincronización de la ADI de KnowBe4 para usar la nueva cuenta de servicio de AD con ADI.

Para cambiar al usuario especificado, siga estos pasos:

  1. Diríjase a la carpeta C:\ProgramData\KnowBe4\ADI Sync\Config\ y elimine el archivo <dominio>.dat.
  2. Abra el símbolo del sistema como administrador y diríjase a la carpeta C:\Program Files\KnowBe4\ADI Sync\ y, después, escriba «adisync.exe config».

Cambiar de dónde se extraen las direcciones de correo electrónico en Active Directory

De forma predeterminada, la sincronización de la ADI sincronizará todas las direcciones de correo electrónico de proxy de sus usuarios. Sin embargo, puede cambiar de dónde quiere extraer las direcciones de correo electrónico en Active Directory. Asimismo, puede optar por sincronizar únicamente las direcciones de correo electrónico de proxy principal de los usuarios. Abra el archivo adisync.conf que se encuentra en la carpeta C:\ProgramData\KnowBe4\ADI Sync\Config. De forma predeterminada, verá los siguientes campos:

  • emailAttribute = "proxyAddresses"
  • primaryproxyonly = false
Nota: Si no ve estos campos, asegúrese de que está editando el archivo adisync.conf y no el archivo <dominio>.conf. Si no ve el campo emailAttribute en el archivo adisync.conf, es posible que esté usando una versión más antigua de la ADI. Si necesita realizar cambios en el campo emailAttribute, actualice la ADI a la versión más reciente.

Para obtener más información sobre cómo cambiar la sincronización de direcciones de correo electrónico para sus usuarios, consulte la siguiente lista:

Nota: Los siguientes campos distinguen entre mayúsculas y minúsculas.
  • Solo proxy principal: si quiere utilizar solo la dirección de proxy principal de cada usuario, modifique el campo primaryproxyonly de «false» (falso) a «true» (verdadero). Guarde el archivo adisync.conf y, después, vuelva a iniciar el servicio de ADI. Este proceso garantizará que no se sincronice ningún alias de correo electrónico.

  • Atributo de correo: si quiere utilizar el atributo Mail en lugar de proxyAddresses, modifique el campo emailAttribute de «mail» a «proxyAddresses». Guarde el archivo adisync.conf y vuelva a iniciar el servicio de sincronización de la ADI de KnowBe4.

    Importante: Independientemente del campo por el que esté sincronizando, el atributo de correo de un usuario no puede estar vacío. A efectos de la ADI, este valor no tiene por qué ser un dominio válido. Para obtener más información, póngase en contacto con nuestro equipo de asistencia técnica.
  • Nombre de usuario principal: si desea utilizar el nombre de usuario principal en lugar de la dirección de proxy para la sincronización, modifique el campo emailAttribute de «proxyAddresses» a «userPrincipalName». Guarde el archivo adisync.conf y vuelva a iniciar el servicio de sincronización de la ADI de KnowBe4.

Visualización del correo y las direcciones de proxy en Active Directory

Siga los pasos descritos a continuación para ver el correo y la dirección de proxy de un usuario en Active Directory. También puede usar estos pasos para ver el nombre principal de un usuario.

  1. En la ventana Usuarios y ordenadores de Active Directory, haga clic en Ver en la barra de herramientas.

  2. En el menú desplegable Ver, seleccione Características avanzadas.

  3. Haga doble clic en un usuario para abrir la ventana emergente Propiedades del usuario.
  4. En la ventana emergente Propiedades del usuario, seleccione la pestaña Editor de atributos.

  5. Para ver la dirección de correo electrónico del usuario, busque mail en la columna Atributo. Seleccione mail y, después, haga clic en el botón Editar.

  6. Cuando haga clic en Editar, se abrirá la ventana emergente Editor de atributo de cadena. Desde esta ventana emergente, podrá ajustar el valor del atributo mail.

  7. Para ver la dirección de proxy del usuario, busque proxyAddresses en la columna Atributo. Seleccione proxyAddresses y, a continuación, haga clic en el botón Editar.

  8. Cuando haga clic en el botón Editar, se abrirá la ventana emergente Editor de cadenas multivalor. Desde esta, podrá añadir o eliminar un valor en el atributo proxyAddresses.

Compatibilidad con varios dominios de origen

Si sus usuarios están repartidos entre varios dominios de origen, deberá ajustar una configuración para cada dominio con los objetos de usuario que se necesiten sincronizar.

Para cada dominio adicional, deberá volver a ejecutar la configuración de adisync.exe en el directorio de instalación de sincronización de su ADI. Al ejecutar la configuración de la sincronización de la ADI por segunda vez, creará los archivos <dominio>.conf adicionales que deberán editarse para especificar los criterios de filtro de la sincronización.

Nota: Para habilitar la compatibilidad con varios dominios de origen, asegúrese de haber instalado la herramienta de sincronización de la ADI una vez. No es necesario volver a instalar la herramienta de sincronización de la ADI. Una segunda instalación podría archivar los usuarios.

Para ejecutar la configuración de la sincronización de la ADI para la compatibilidad con varios dominios de origen, siga estos pasos:

  1. Abra el símbolo del sistema en el modo de administrador.
  2. Vaya al directorio del sistema de sincronización de la ADI. La ubicación predeterminada del directorio del sistema es C:\Program Files\KnowBe4\ADI Sync.

  3. Introduzca el siguiente comando y, después, pulse la tecla Intro:

    adisync.exe config
  4. Introduzca los detalles del controlador de dominio y el dominio adicionales. Para obtener más información, consulte el paso 7 descrito en el apartado Instalación y configuración de nuestra Guía de configuración de la integración con Active Directory (ADI).
  5. Una vez creado el archivo <dominio>.conf adicional en C:\ProgramData\KnowBe4\ADI Sync\Config, edítelo para especificar la información que desea sincronizar. Para obtener más información, consulte nuestra Guía de configuración de la integración con Active Directory (ADI).
  6. Guarde el archivo <dominio>.conf.
  7. Una vez que haya repetido este proceso para todos los dominios adicionales, puede iniciar la sincronización.
Nota: El sistema en el que instale la herramienta de sincronización de la ADI debe poder conectarse a todos los controladores de dominio.

Instalación de la versión más reciente de la ADI

Siga estos pasos para instalar la versión más reciente de la ADI sin desinstalar la versión anterior:

  1. Descargue el nuevo instalador desde Configuración de la cuenta de KSAT.
  2. Ejecute la instalación.

  3. Si le aparece una pregunta, haga clic en para usar los datos de la instalación anterior.

    El servicio de sincronización de la ADI de KnowBe4 se iniciará automáticamente en cuanto se complete la instalación. Puede verificar si el servicio se está ejecutando según lo esperado en el menú de servicios de Windows.

Sus usuarios deberían seguir sincronizándose según lo esperado.

Sincronización de campos personalizados

Los perfiles de usuario de su consola KnowBe4 incluyen campos personalizados que puede utilizar para sincronizar información adicional desde Active Directory. Para especificar la información que desea sincronizar con los campos personalizados, edite el archivo <dominio>.conf y, a continuación, vuelva a iniciar el servicio para sincronizar los cambios. Para obtener más información, consulte Sincronizar otra información de usuario con KnowBe4.

Nota: Los campos de sincronización personalizados están disponibles con la versión 1.0.16.5 de la ADI y posteriores. Si no ve los campos personalizados en el archivo <dominio>.conf, deberá instalar la versión más reciente de la ADI. El archivo o los archivos <dominio>.conf existentes se actualizarán para incluir los campos de sincronización personalizados. Si decide utilizar estos nuevos campos personalizados, deberá volver a iniciar el servicio de sincronización de la ADI de KnowBe4 para que se sincronicen los cambios.

Habilitar los campos de SecurityCoach

Si ya ha configurado la ADI y su suscripción incluye SecurityCoach, puede habilitar los campos de SecurityCoach instalando la versión más reciente de la ADI. Si ya está usando la versión más reciente y los campos de SecurityCoach no están habilitados, deberá volver a configurar la ADI para habilitar estos campos.

Nota: Si va a instalar la versión más reciente de la ADI, asegúrese de establecer Habilitar campos de SecurityCoach en verdadero. Para obtener más información, consulte el apartado Instalación y configuración de nuestra Guía de configuración de la integración con Active Directory (ADI).

Para volver a configurar la ADI y habilitar los campos de SecurityCoach, siga estos pasos:

  1. Detenga el servicio de sincronización de la ADI de KnowBe4 en el menú de servicios de Windows.
  2. Vaya al directorio del sistema \ADIsync. La ubicación predeterminada del directorio del sistema es C:\ProgramData\KnowBe4\ADI Sync\Config\.
  3. Cambie el nombre del archivo <dominio>.conf a «<dominio>-OLD.conf».
  4. Mueva el archivo <dominio>-OLD.conf a otro directorio.
  5. Diríjase al directorio de instalación C:\Program Files\KnowBe4\ADI Sync\ y abra un símbolo del sistema con privilegios elevados.
  6. En el símbolo del sistema, ejecute adisync.exe config.
  7. Vuelva a configurar la ADI introduciendo la misma información que introdujo anteriormente, pero establezca Habilitar campos de SecurityCoach en verdadero. Una vez que haya configurado la ADI de nuevo, se poblará un nuevo archivo <dominio>.conf en el directorio \Config.
  8. Abra el archivo <dominio>-OLD.conf y el nuevo archivo <dominio>.conf.
  9. Copie los datos que figuran en la sección [sync.users] del archivo <dominio>-OLD.conf. Pegue estos datos en el nuevo archivo <dominio>.conf.
  10. Copie los datos en la sección [sync.groups] del archivo <dominio>-OLD.conf. Pegue estos datos en el nuevo archivo <dominio>.conf.
  11. (Opcional) Si ha personalizado la sección [sync.fields] del archivo <dominio>-OLD.conf, puede aplicar las mismas personalizaciones en el nuevo archivo <dominio>.conf.
  12. Inicie el servicio de sincronización de la ADI de KnowBe4.

¿Le ha resultado útil este artículo?

Usuarios a los que les pareció útil: 6 de 9

¿No encuentra lo que busca?

Hablar con asistencia técnica