Configurer l’intégration à « Active Directory »

Vous pouvez utiliser la fonctionnalité d’intégration à « Active Directory » (ADI) de KnowBe4 pour intégrer l'Active Directory (AD) de votre organisation à votre console KMSAT. Après la configuration de l’ADI, les utilisateurs et les groupes seront automatiquement ajoutés, modifiés et archivés dans la console KMSAT, selon les informations envoyées à partir de votre AD. Il est important de souligner qu’il s’agit d'un processus de synchronisation à sens unique et qu’aucune information ne sera retournée vers Active Directory à partir de la console KMSAT. 

Pour en apprendre davantage au sujet des avantages de la configuration d’ADI pour votre organisation, consultez notre article Avantages de la mise en place de l’intégration Active Directory (ADI). Si vous préférez les tutoriels vidéos, visionnez notre vidéo Intégration à « Active Directory » pour apprendre comment configurer l’ADI. Si vous le souhaitez, vous pouvez également utiliser SCIM pour synchroniser vos utilisateurs. Veuillez consulter notre Guide de configuration SCIM.

Passer à :

Fonctionnement de l’ADI pour les comptes avec des utilisateurs existants

Prérequis
Avant de commencer : étapes obligatoires
Installation et configuration
Détermination des unités organisationnelles (UO), des groupes et des utilisateurs à synchroniser
Démarrer votre synchronisation ADI

Fonctionnement de l’ADI pour les comptes avec des utilisateurs existants

Si vous avez déjà ajouté des utilisateurs à votre console KMSAT, vous devez savoir certaines choses avant de configurer votre ADI. Pour plus d’informations, consultez la liste ci-dessous :

• Après avoir configuré l’ADI, les données qui sont synchronisées à partir de votre AD font autorité. Les actions suivantes se dérouleront au cours de la synchronisation entre votre console KMSAT et votre AD :
  • Les utilisateurs qui ne se trouvent pas dans votre AD seront archivés dans votre console KMSAT.
  • Si vous avez fait des modifications aux informations d’un utilisateur dans votre console KMSAT, elles seront écrasées par les données contenues dans votre AD.
• Avant la configuration de l’ADI, les comptes utilisateurs de la console KMSAT sont considérés comme étant gérés par la console. Lorsque les utilisateurs sont gérés par la console, vous pouvez modifier les informations sur les utilisateurs en téléversant un fichier CSV ou en modifiant les profils d’utilisateur directement dans votre console. 
  • Dès que vous avez configuré l’ADI et que la première synchronisation avec AD a eu lieu, les utilisateurs sont considérés comme étant gérés par AD. Lorsque les utilisateurs seront gérés par AD, vous devrez modifier les informations sur les utilisateurs dans votre AD et ces modifications seront ensuite poussées sur la console KMSAT au cours de la prochaine synchronisation.
• Pendant la première synchronisation d’AD, la console KMSAT appariera automatiquement les comptes d’utilisateurs gérés par la console avec les comptes de votre AD. Ce processus convertira vos utilisateurs d’une gestion par la console à une gestion par AD. Vous trouverez une description du fonctionnement de ce processus ci-dessous :
  1. Installez et configurez l’outil de synchronisation ADI dans votre environnement. Pour obtenir plus d’informations, consultez la section Installation et configuration de cet article.
  2. Configurez les informations que vous souhaitez synchroniser à partir de votre AD. Pour obtenir plus d’informations, consultez la section Détermination des unités organisationnelles (UO), des groupes et des utilisateurs à synchroniser du présent article.
  3. Le service de synchronisation de l’ADI fait ensuite une demande à votre AD ou à vos répertoires pour obtenir les informations sur les utilisateurs et les groupes et envoie les résultats aux serveurs de KnowBe4.
  4. Les serveurs KnowBe4 examinent les informations envoyées de votre AD et ils mettent automatiquement à jour les utilisateurs et les groupes dans votre console KMSAT selon la logique suivante :
     
     • Si un utilisateur d’AD possède une adresse courriel qui correspond à un compte sur la console KMSAT, ce compte d’utilisateur de la console KMSAT deviendra un compte géré par AD.
     • Si un utilisateur d’AD n’est pas trouvé sur la console KMSAT, alors un compte d’utilisateur géré par AD est créé.
     • Une fois que le traitement de tous les utilisateurs d’AD est terminé, tous les comptes sur la console qui n’ont pas été transformés en compte géré par AD seront archivés.

Après avoir configuré votre ADI, les informations sur les utilisateurs demeureront à jour avec les informations d’AD de votre organisation.

Retour au haut de la page

Prérequis

Avant de configurer l’ADI, assurez-vous que votre environnement répond aux exigences de base énumérées ci-dessous.

1. Votre organisation doit avoir Microsoft Active Directory ou Azure Active Directory. Pour plus d’informations, consultez la liste ci-dessous.

• Si votre organisation a Microsoft Active Directory, le niveau fonctionnel de votre domaine doit être Windows Server 2003 ou plus récent;
• Si votre organisation a Azure Active Directory, vous pouvez synchroniser Azure Active Directory Domain Services avec votre console KMSAT. Pour en apprendre davantage, consultez notre article Utilisation de l’intégration à « Active Directory » avec Azure Active Directory Domain Services.

2. Nous vous recommandons d’installer l’outil ADI sur un serveur d’applications et non sur un poste de travail. Assurez-vous que le système sur lequel sera installé l’ADI réponde aux spécifications suivantes.

• Le système utilise Windows Desktop 7, Vista, 8 ou 10, ou Windows Server 2008, 2012, 2016 ou 2019 (64 bits);
• Assurez-vous que le système peut atteindre le serveur de l’instance de formation pour votre compte. Pour une liste des instances, consultez notre article Instances de formation de KnowBe4.
  • L’instance de formation est l’URL du serveur que l’outil de synchronisation d’AD de KnowBe4 devra contacter via une requête POST. Vous devrez autoriser les connexions sortantes vers les serveurs distants sur le port 443 (SSL/HTTPS).

Consultez la prochaine section pour connaître les étapes importantes nécessaires pour préparer la configuration de votre ADI.

Retour au haut de la page

Avant de commencer : étapes obligatoires

Avant d’installer et de configurer l’outil de synchronisation d’AD de KnowBe4 sur votre système local, vous devez suivre les étapes ci-dessous :

1. Rassemblez les informations suivantes au sujet de votre AD :

• Trouvez l’adresse IP ou le nom de domaine complet (Fully Qualified Domain Name, FQDN) du contrôleur de domaine de l’emplacement où est situé votre AD.

• Assurez-vous que votre contrôleur de domaine AD peut répondre aux requêtes LDAP. Par défaut, tous les contrôleurs de domaine sont configurés pour répondre aux requêtes LDAP.

  Conseil : La synchronisation AD peut communiquer en utilisant le protocole LDAP. Cependant, si vous le souhaitez, vous pouvez activer le protocole LDAPS sur votre contrôleur de domaine avant d’effectuer la synchronisation de votre AD. Par défaut, le protocole LDAPS n’est pas activé sur la plupart des contrôleurs de domaine. Pour en apprendre davantage, voir notre FAQ ADI.

• Trouvez le nom de domaine AD. Le nom de domaine AD est le domaine racine qui est contrôlé par votre contrôleur de domaine AD. Consultez l’image ci-dessous pour voir un exemple de nom de domaine AD.

  

• Assurez-vous que vous avez le nom d’utilisateur et le mot de passe d’un compte administrateur AD qui possède les autorisations d’effectuer des requêtes LDAP. Par défaut, tout compte du groupe « Utilisateurs de domaine » possède ces autorisations. Cependant, pour une sécurité supplémentaire, nous vous recommandons d’utiliser un compte de service qui ne possède que les autorisations de « lecture » pour votre AD. Pour connaître les permissions de « lecture » qui sont nécessaires pour le compte de ce service, consultez notre Guide de configuration avancée de l’intégration à « Active Directory ».

2. Obtenez votre jeton de synchronisation ADI et téléchargez l’outil de synchronisation ADI à partir de vos Paramètres de compte KMSAT. Suivez ces étapes :

1. 1. Une fois connecté à votre console KMSAT, cliquez sur votre adresse courriel dans le coin supérieur droit de la page. Puis, cliquez sur Paramètres du compte.
   2. Rendez-vous à la section Provisionnement des utilisateurs. Cochez ensuite la case Activer le provisionnement des utilisateurs (synchronisation des utilisateurs).
      
   3. Assurez-vous que le paramètre Mode test est activé. Le mode test ne devrait être désactivé qu’après avoir terminé la configuration de votre ADI et que vous avez vérifié que l’ADI fonctionne correctement. Pendant que le mode test est activé, le provisionnement ou la synchronisation des utilisateurs ne peut avoir lieu. Un rapport est plutôt généré pour vous montrer ce qui serait survenu si le provisionnement des utilisateurs avait eu lieu. Le mode test vous permet de résoudre tout problème potentiel sans affecter les utilisateurs actuels de votre console.
      

      Conseil : Cocher la case Afficher le domaine du groupe peut se révéler utile si vos utilisateurs sont répartis sur plusieurs sources de domaine. Pour en apprendre davantage, consultez notre FAQ ADI.

   4. Copiez votre jeton de synchronisation ADI et enregistrez-le localement. Vous en aurez besoin pour terminer la configuration. Votre jeton de synchronisation ADI comporte 32 caractères et ressemble à l’exemple ci-dessous : 9X140X4829E37XX545401X97912X604X.
   5. Cliquez sur l’icône de téléchargement à côté de l’outil ADI (KnowBe4_AD_Sync.msi) pour télécharger le fichier pour l’outil ADI. 
   6. Cliquez sur le bouton Enregistrer les modifications au bas de la page Paramètres du compte.
   7. Déterminez quels utilisateurs vous voulez synchroniser et familiarisez-vous avec l’emplacement de ces objets utilisateurs dans votre AD. 

3. Après avoir terminé les étapes de cette section et celles de la section Installation et configuration ci-dessous, vous devrez déterminer à quel emplacement seront situés les objets utilisateurs dans votre AD. Vous pouvez synchroniser les objets utilisateurs d’un ou de plusieurs des groupes suivants : unités organisationnelles (UO), groupes de sécurité et groupes de distribution. Pour des informations supplémentaires au sujet de la définition des utilisateurs à synchroniser, consultez la section Détermination des unités organisationnelles (UO), des groupes et des utilisateurs à synchroniser du présent article.

Si vous trouvez que vos objets utilisateurs ne sont pas situés dans des unités organisationnelles, des groupes de sécurité ou des groupes de distribution, consultez les informations ci-dessous :

• Si les utilisateurs que vous voulez synchroniser sont situés dans le conteneur d’utilisateurs intégré au lieu d’une UO : vous ne pouvez pas synchroniser les conteneurs. Pour pallier cela, vous pouvez créer un groupe de sécurité, y ajouter ces utilisateurs, puis synchroniser ce groupe au lieu du conteneur. 
• Si vous trouvez que votre AD n’est pas organisé de façon efficace pour la synchronisation avec la console KMSAT ou si vous n’êtes pas certain : vous pouvez configurer un ou plusieurs groupes dans AD afin de contenir tous les objets utilisateurs et les groupes que vous voulez synchroniser. Vous n’aurez ensuite qu’à spécifier que vous ne voulez synchroniser uniquement ces groupes.
• Si vous avez un domaine racine avec des AD enfants, vous pouvez exécuter le programme d’installation pour chaque domaine enfant. Chaque domaine enfant doit utiliser le même contrôleur de domaine que le domaine racine.

4. Déterminez à partir de quel champ doivent être extraites les adresses courriel de vos utilisateurs dans AD. Par défaut, le service ADI extrait les adresses mandataires de vos utilisateurs pour les utiliser comme adresses courriel de leur compte KnowBe4. 

• Si vous devez utiliser une autre adresse que les adresses mandataires, vous devrez modifier le champ emailAttrib dans votre fichier ADIsync.conf. Par exemple, si vous n’utilisez pas Microsoft Exchange ou Microsoft 365 comme serveur de messagerie, votre champ Adresse mandataire dans AD sera probablement vide. Modifiez le champ emailAttrib après avoir complété l’installation, mais avant de commencer le service de synchronisation ADI. Pour obtenir des instructions, consultez la section Modifier l’emplacement d’où tirer les adresses courriel dans Active Directory de notre Guide de configuration avancée de l’intégration à « Active Directory ».
  

  Remarque : Le champ useMailAttrib a été remplacé par le champ emailAttribute.

• Assurez-vous que les paramètres de toutes les campagnes sont correctement ajustés pour l’afflux d’utilisateurs. Vérifiez à nouveau les paramètres de vos groupes intelligents dans les campagnes, car ils peuvent être affectés par les nouveaux utilisateurs qui apparaissent via la synchronisation ADI.

Dès que vous avez rassemblé les informations ci-dessus, continuez avec les étapes présentées à la section suivante.

Retour au haut de la page

Installation et configuration

Dès que vous avez rassemblé les informations définies dans la section précédente, vous êtes prêt à installer le service de synchronisation ADI et à le configurer. Continuez avec les étapes suivantes :

1. Lancez l’outil de synchronisation Active Directory. Il s’agit du fichier KnowBe4_AD_Sync.msi que vous avez téléchargé dans vos paramètres de compte KMSAT à l’étape 2 de la section ci-dessus Avant de commencer : étapes obligatoires. L’outil de synchronisation AD n’a pas besoin d’être installé sur un contrôleur de domaine. Il peut être installé n’importe où dans l’environnement tant que le système peut communiquer avec un contrôleur de domaine qui accepte les connexions LDAP.

Une invite de commande ouvrira automatiquement le répertoire d’installation. Le chemin suivant est l’emplacement par défaut du répertoire d’installation sur les plateformes 64 bits :

• C:\Program Files (x86)\KnowBe4\ADISync

2. Dans la fenêtre de l’invite de commande, vous serez invité à saisir les informations indiquées ci-dessous :

1. 1. Saisissez le jeton de synchronisation d’Active Directory : S’il s’agit de la première fois que vous lancez cette commande, vous serez invité à saisir votre jeton de synchronisation Active Directory. Ce jeton est la chaîne de caractères que vous avez copiée dans vos paramètres de compte KMSAT. Pour plus d’informations, consultez l’étape 2 de la section ci-dessus Avant de commencer : étapes obligatoires.
   2. Saisissez le Nom de domaine : Le nom de domaine désigne le domaine racine de votre AD. Pour voir un exemple, consultez la section ci-dessus Avant de commencer : étapes obligatoires. 
   3. Saisissez le nom d’hôte ou l’adresse IP d’Active Directory : Le nom d’hôte ou l’adresse IP d’Active Directory désigne l’adresse IP ou le nom de domaine complet (FQDN) du contrôleur de domaine de l’emplacement où est situé votre AD.
   4. Activez le protocole SSL (vrai/faux) : Par défaut, le protocole LDAPS n’est pas activé sur votre contrôleur de domaine et vous devez saisir « false » ou appuyer sur la touche Entrée de votre clavier pour sélectionner « false » automatiquement. Sinon, si vous avez activé le protocole LDAPS aux fins de cette synchronisation, saisissez plutôt « true ».
   5. Activez des champs SecurityCoach (vrai/faux) : Si vous avez acheté SecurityCoach, saisissez « vrai » pour activer les champs SecurityCoach. Ces champs vous permettent de synchroniser des informations pour le mappage des utilisateurs. Pour plus d’informations, consultez la section Champs Security Coach de notre article Comment modifier votre fichier CONF pour l’Intégration à « Active Directory » (ADI). Par défaut, ces champs sont désactivés. Pour conserver la désactivation de ces champs, appuyez sur la touche Entrée de votre clavier.
   6. Saisissez le numéro de port Active Directory : saisissez le port LDAP ou LDAPS approprié. Par défaut, le port pour LDAP est 389 et le port pour LDAPS est 636.
   7. Saisissez le nom d’utilisateur : saisissez le nom d’utilisateur du compte administrateur AD qui possède les autorisations de lecture nécessaires pour effectuer des requêtes LDAP. Ce nom d’utilisateur doit être au format « utilisateur@domaine ».
   8. Saisir le mot de passe : Saisissez le mot de passe du compte administrateur AD qui possède les autorisations de lecture nécessaires pour effectuer des requêtes LDAP.

3. Si la connexion est réussie, vous verrez des messages de confirmation dans la fenêtre d’invite de commande, tel qu’affiché dans l’exemple ci-dessous. 

4. Appuyez sur la touche Entrée de votre clavier pour fermer la fenêtre d’invite de commande.

S’il y a des problèmes de connexion ou d’authentification avec votre contrôleur de domaine, vous verrez des messages d’erreur dans la fenêtre d’invite de commande et vous devrez refaire les étapes de cette section avec les bonnes données de configuration. Si les erreurs persistent, veuillez communiquer avec notre équipe d’assistance. 

Une fois que la connexion a réussi, consultez la prochaine section pour pouvoir spécifier les utilisateurs et les informations que vous voulez synchroniser avec votre console KMSAT.

Retour au haut de la page

Détermination des unités organisationnelles (UO), des groupes et des utilisateurs à synchroniser

Après avoir terminé les étapes des deux sections précédentes, vous devez modifier le fichier <votre domaine ici>.conf pour configurer les informations que vous voulez synchroniser avec votre console KMSAT. Cette configuration est obligatoire pour synchroniser les utilisateurs à partir de votre AD.

Poursuivez la configuration de votre ADI avec les étapes suivantes :

1. Assurez-vous d’avoir les autorisations de modification sur le dossier ADISync. 

2. Localisez le fichier votre domaine ici.conf dans le répertoire d’installation, tel que décrit ci-dessous. Ouvrez le fichier dans un éditeur de texte comme Bloc-notes.

Le fichier votre domaine ici.conf est utilisé pour déterminer quels sont les utilisateurs, les informations sur les utilisateurs et les groupes que vous voulez synchroniser entre votre compte KMSAT et votre AD. Pour voir un exemple de ce fichier, ouvrez le fichier exemple_domaine.

3. Modifiez le fichier votre domaine ici.conf pour spécifier les critères pour la synchronisation de vos utilisateurs et de vos groupes. Le fichier votre domaine ici.conf comporte trois sections que vous pouvez modifier :

• [sync.fields] (facultatif) : modifiez cette zone pour spécifier les champs des informations sur les utilisateurs que vous voulez synchroniser à partir de votre AD. Pour en apprendre davantage, consultez la section Synchronisation d’autres informations sur les utilisateurs de KnowBe4 de notre article Synchronisation des informations via Active Directory.
• [sync.users] (obligatoire) : modifiez cette zone pour spécifier les utilisateurs que vous voulez synchroniser à partir de votre AD. Assurez-vous d’inclure au moins une UO, un groupe ou un utilisateur dans la section [sync.users] du fichier .conf. Pour en apprendre davantage, consultez la section Synchronisation des utilisateurs selon l’inclusion ou l’exclusion d’une UO, d’un groupe ou un utilisateur en particulier (obligatoire) de notre article Synchronisation des informations via Active Directory.
• [sync.groups] (facultatif) : vous pouvez utiliser cette zone pour spécifier les groupes que vous voulez synchroniser à partir de votre AD. Ces groupes seront automatiquement créés dans votre console KnowBe4 et les utilisateurs applicables seront ajoutés aux groupes. Pour en apprendre davantage, consultez la section Synchronisation des groupes selon l’inclusion ou l’exclusion d’une UO ou d’un groupe (facultatif) de notre article Synchronisation des informations via Active Directory.

4. Quand vous aurez terminé, enregistrez les modifications que vous avez apportées au fichier votre domaine ici.conf.

Consultez la prochaine section pour commencer la synchronisation ADI.

Retour au haut de la page

Démarrer votre synchronisation ADI

Si vous avez terminé toutes les étapes ci-dessus, votre service ADI est configuré et vous pouvez commencer la synchronisation ADI. Continuez avec les étapes suivantes :

Vous pouvez commencer la synchronisation de deux façons différentes :

1. Utilisez le Gestionnaire de contrôle de services de Windows (le service ADI est appelé « service de synchronisation de l’intégration à "Active Directory" ») ou
2. Ouvrez une invite de commande en mode administrateur, puis suivez les deux étapes suivantes :
   1. Accédez au répertoire approprié. Le chemin suivant est l’emplacement par défaut du répertoire d’installation sur les plateformes 64 bits : C:\Program Files (x86)\KnowBe4\ADISync
   2. Saisissez ADIsync.exe service start et appuyez sur la touche Entrée de votre clavier.

Le service de synchronisation ADI sera immédiatement lancé et pendant que les services seront connectés, la synchronisation entre votre AD et la console KMSAT aura lieu toutes les six heures.

Lorsque le mode test est activé dans vos Paramètres de compte, vous verrez un aperçu de la façon dont AD se synchronise à KnowBe4. Pour afficher l’aperçu du mode test, accédez à Utilisateurs > Provisionnement dans votre console KMSAT.

Gardez le mode test actif tant que vous n’êtes pas certain d’avoir configuré l’ADI de la façon optimale pour les besoins de votre organisation. Lorsque vous êtes satisfait de la configuration de votre ADI, accédez à vos Paramètres de compte KMSAT et désactivez le mode test. Votre prochaine synchronisation ADI effectuera le provisionnement automatique de vos utilisateurs.

Retour au haut de la page