Intégration à « Active Directory »

Partager

C’est article est-il utile?

Dernière mise à jour :

Modifier votre fichier CONF pour l’Intégration à « Active Directory » (ADI)

Si vous souhaitez gérer les utilisateurs avec une intégration à « Active Directory » (ADI), vous devrez définir les utilisateurs et les groupes à synchroniser avec votre console KSAT. Pour définir les utilisateurs et groupes à synchroniser, vous pouvez modifier le fichier de configuration pour l’ADI (CONF) que vous avez téléchargé pendant le processus de configuration.

Dans cet article, vous apprendrez comment modifier votre fichier CONF pour synchroniser des utilisateurs, des groupes ou des informations sur des utilisateurs spécifiques. Pour obtenir des informations générales sur l’ADI, consultez notre Guide de configuration pour l’intégration à « Active Directory » (ADI). Si vous préférez utiliser SCIM, consultez notre Guide de configuration SCIM. Si vous avez acheté la Student Edition, vous pouvez paramétrer le champ Type d’utilisateur KSAT en utilisant le champ user-role du fichier .conf.

Définir les utilisateurs à synchroniser

Dans cette section, vous apprendrez comment modifier votre fichier CONF pour définir quels utilisateurs synchroniser dans votre console KSAT à partir de votre AD. Ces utilisateurs AD apparaîtront comme utilisateurs dans votre console KSAT. Vous devrez synchroniser les utilisateurs spécifiques avant de synchroniser les groupes.

Pour modifier le fichier CONF afin de définir les utilisateurs que vous souhaitez synchroniser, suivez les étapes ci-dessous :

  1. Ouvrez le fichier <domaine>.conf dans un éditeur de texte. Pour obtenir plus d’informations pour trouver votre fichier CONF, consultez notre Guide de configuration pour l’intégration à « Active Directory » (ADI).
  2. Modifiez les champs suivants dans la section [sync.users] du fichier. Pour obtenir plus d’informations à propos de ces champs, consultez le tableau ci-dessous.
Remarque : Ces champs sont sensibles à la casse.
Important :Si les noms de vos unités organisationnelles (UO) ou de vos groupes contiennent des caractères qui ne font pas partie de l’alphabet anglais standard, remplacez les guillemets doubles (") par des guillemets simples ('). Évitez les caractères spéciaux comme les virgules (,), le symbole numéro (#) et le signe plus (+) en utilisant la double barre oblique inversée (\\). Pour plus d’informations, consultez notre article Comment utiliser les caractères d’échappement avec l’intégration à « Active Directory ».
Nom du champ Description du champ
includedOUs

Dans ce champ, entrez la liste des UO dans lesquelles une recherche doit être effectuée afin de synchroniser les utilisateurs.

  • Les UO spécifiées seront recherchées pour tous les utilisateurs dont l’activation du courriel est activée.

    Important :Ce champ n’inclut pas les utilisateurs qui sont à l’intérieur des groupes appartenant aux UO spécifiées. Pour synchroniser les utilisateurs à l’intérieur de ces groupes, consultez les informations de la ligne includedGroups ci-dessous.
  • Si vous souhaitez spécifier une UO qui se trouve sous une autre UO, vous devez écrire le nom de l’emplacement de cette UO à l’aide d’une syntaxe inversée et séparer le chemin du fichier avec une barre oblique. Par exemple, si vous souhaitez spécifier une UO appelée « Comptabilité » qui se trouve dans une UO appelée « Tous les utilisateurs », vous devez utiliser la syntaxe "Comptabilité/Tous les utilisateurs ".
  • Si vous souhaitez ajouter plusieurs UO dans votre liste d’UO incluses, vous devez formater ce texte d’une manière spécifique. Vous devez entourer chaque UO avec des guillemets doubles, les séparer par des virgules, et mettre l’ensemble des UO entre crochets. Voici un exemple de syntaxe pour ce champ :
    • includedOUs = ["Comptabilité/Tous les utilisateurs","Développement/Tous les utilisateurs"]
excludedOUs

Dans ce champ, entrez la liste des UO qui seront recherchées pour les utilisateurs à exclure.

  • Si des utilisateurs exclus sont trouvés au cours de la recherche, ils remplaceront tous les utilisateurs correspondants de l’UO qui devaient être inclus dans la synchronisation.
  • Voici un exemple de syntaxe pour ce champ :
    • excludedOUs = ["Contractuels/Développement/Tous les utilisateurs"]
includedGroups

Dans ce champ, entrez la liste des groupes à partir desquels les utilisateurs devraient être synchronisés. Ces groupes doivent être soit des groupes de sécurité, soit des groupes de distribution d’AD.

  • Les utilisateurs qui se trouvent dans le champ includedGroups remplaceront tous les utilisateurs correspondants définis dans le champ excludedOUs.
  • Si vous incluez plusieurs groupes dans ce champ, assurez-vous de formater la syntaxe correctement. Vous devez entourer chaque groupe avec des guillemets doubles, les séparer avec des virgules, et mettre l’ensemble des groupes entre crochets. Voici un exemple de syntaxe pour plusieurs champs :
    • includedGroups = ["Comptabilité","Ressources humaines"]
excludedGroups

Dans ce champ, entrez la liste des groupes qui excluront les utilisateurs membres des groupes spécifiés de sécurité ou de distribution d’AD.

  • Si des utilisateurs exclus sont trouvés au cours de cette recherche, ils remplaceront les utilisateurs correspondants trouvés dans includedOUs ou dans includedGroups.
  • Voici un exemple de syntaxe pour ce champ :
    • excludedGroups = ["Employés contractuels"]
includedUsers

Dans ce champ, entrez la liste des utilisateurs qui doivent être explicitement inclus.

  • Les utilisateurs spécifiés dans ce champ remplaceront tous les utilisateurs correspondants du champ excludedGoups ou du champ excludedOUs.
  • Spécifiez chaque utilisateur en saisissant son adresse courriel. Vous pouvez spécifier autant d’utilisateurs que vous le souhaitez.
  • Voici un exemple de syntaxe pour ce champ :
    • includedUsers = ["utilisateur@exemple.com"]
excludedUsers

Dans ce champ, entrez la liste des utilisateurs qui doivent être explicitement exclus.

  • Les utilisateurs spécifiés dans ce champ seront exclus, sans tenir compte de toute autre règle d’inclusion.
  • Spécifiez chaque utilisateur en saisissant son adresse courriel. Vous pouvez spécifier autant d’utilisateurs que vous le souhaitez. Voici un exemple de syntaxe pour ce champ :
    • excludedUsers = ["utilisateur@exemple.com","utilisateur2@exemple.com"]

Si vous souhaitez synchroniser des groupes, consultez la section ci-dessous Définir les groupes à synchroniser.

Définir les groupes à synchroniser

Après avoir défini les critères pour la synchronisation d’utilisateurs spécifiques, vous pouvez également modifier votre fichier CONF pour définir les critères pour n’importe quels groupes d’AD que vous souhaitez synchroniser. Ces groupes AD apparaîtront comme groupes dans votre console KSAT.

Si un utilisateur est membre d’un groupe AD, il sera donc membre du groupe correspondant dans votre console KSAT. KnowBe4 ne prend pas en charge les groupes à l’intérieur des groupes ni les groupes imbriqués.

Il est important de remarquer que vous devez d’abord synchroniser les utilisateurs avant qu’ils puissent être inclus dans des groupes synchronisés. Si vous souhaitez synchroniser un groupe, mais que le groupe n’inclut aucun utilisateur synchronisé, le groupe ne se synchronisera pas.

Important : Les seuls types de groupes qui se synchroniseront dans votre console KSAT sont les groupes de sécurité et les groupes de distribution. Les groupes à l’intérieur d’UO incluses seront ajoutés ou synchronisés en tant que groupes dans la console. Cependant, l’UO elle-même ne sera pas synchronisée avec la console.

Pour modifier le fichier CONF afin de définir les groupes que vous souhaitez synchroniser, suivez les étapes ci-dessous :

  1. Assurez-vous d’avoir synchronisé des utilisateurs spécifiques; Pour plus d’informations, consultez la section Définir les utilisateurs à synchroniser ci-dessus.
  2. Modifiez les champs suivants dans la section [sync.groups] du fichier CONF. Pour obtenir plus d’informations à propos de ces champs, consultez le tableau ci-dessous.
Remarque : Ces champs sont sensibles à la casse.
Nom du champ Description du champ
includedOUs

Dans ce champ, entrez la liste des UO que vous souhaitez rechercher pour synchroniser les groupes de sécurité et de distribution.

  • Seuls les groupes trouvés sous l’UO spécifiée seront ajoutés comme groupes dans votre console KSAT.
  • Si vous incluez plusieurs UO, assurez-vous que le format de la syntaxe est correct. Vous devez entourer chaque UO avec des guillemets doubles, les séparer par des virgules, et mettre l’ensemble des UO entre crochets. Voici un exemple de syntaxe pour plusieurs UO :
    • includedOUs = ["Comptabilité/Tous les utilisateurs","Développement/Tous les utilisateurs"]
excludedOUs

Dans ce champ, entrez la liste des UO que vous souhaitez rechercher pour les groupes de sécurité et de distribution qui ne seront pas synchronisés.

  • Voici un exemple de syntaxe pour ce champ :
    • excludedOUs = ["Contractuels/Développement/Tous les utilisateurs"]
includedGroups

Dans ce champ, entrez la liste des groupes spécifiques de sécurité ou de distribution d’AD que vous souhaitez synchroniser.

  • Lorsque ces groupes se synchronisent, seuls les utilisateurs que vous avez inclus dans la synchronisation des utilisateurs seront ajoutés au groupe KSAT correspondant. Cette option remplace tous les groupes exclus du champ excludedOUs de la section [sync.groups].
  • Voici un exemple de syntaxe pour ce champ :
    • includedGroups = ["Ventes","Comptabilité"]
excludedGroups

Dans ce champ, entrez la liste des groupes spécifiques que vous souhaitez exclure de la synchronisation.

  • Cette option remplace tous les groupes des champs includedOUs ou includedGroups de la section [sync.groups].
  • Voici un exemple de syntaxe pour ce champ :
    • excludedGroups = ["Consultants"]

Lorsque vous avez modifié ces champs à votre convenance, enregistrez le fichier CONF. Pour enregistrer le fichier, vous devez avoir des droits d’écriture.

Synchronisation d’autres informations sur les utilisateurs

Lorsque vous aurez sélectionné les utilisateurs et groupes spécifiques que vous souhaitez synchroniser, vous pourrez également modifier votre fichier CONF pour définir quelles informations sur les utilisateurs synchroniser entre votre compte AD et votre console KSAT. Pour spécifier les informations sur les utilisateurs qui doivent être synchronisées, vous pouvez modifier la section [sync.fields] du fichier. Par défaut, les champs de la section [sync.fields] rempliront automatiquement les champs d’informations sur les utilisateurs de votre console KSAT avec les informations définies dans votre AD.

Pour inclure le champ AD où se trouvent vos informations sur les utilisateurs, vous pouvez modifier la valeur entre guillemets pour chaque champ. Si un champ est vide, il n’y a aucun champ correspondant dans AD. Vous pouvez définir les champs AD que vous souhaitez synchroniser avec KSAT en ajoutant manuellement une valeur pour chaque champ, entre guillemets.

Si vous souhaitez empêcher que certains champs se synchronisent, vous pouvez supprimer la valeur inscrite entre guillemets pour ce champ. Cependant, assurez-vous que vous ne supprimez pas les guillemets ou la ligne de texte entière. Si vous supprimez la ligne de texte entière, AD remettra automatiquement la ligne de texte dans le champ et synchronisera la valeur.

Remarque : Les langues d’hameçonnage et de formation des utilisateurs sont synchronisées par défaut à partir du champ AD preferredLanguage. Vous pouvez modifier le champ AD ou retirer ces champs de la synchronisation en vous reportant à la section Cas pratiques de synchronisation, ci-dessous.
Conseil : Vous avez aussi la possibilité de limiter les données que votre AD synchronise sur votre console KSAT. Pour plus d’informations, consultez la section Synchroniser l’information de notre article FAQ sur l’intégration à « Active Directory » (ADI).

Pour consulter la liste de tous des champs par défaut disponibles dans la section [sync.fields] de votre fichier CONF, veuillez vous reporter ci-dessous :

Remarque : Ces champs sont sensibles à la casse.

[sync.fields]

comment = ""
custom-date-1 = ""
custom-date-2 = ""
custom-field-1 = ""
custom-field-2 = ""
custom-field-3 = ""
custom-field-4 = ""
department = "department"
division = ""
employee-number = "employeeNumber"
employee-start-date = "whenCreated"
first-name = "givenName"
last-name = ""
location = "physicalDeliveryOfficeName"
manager = "manager"
mobile-number = ""
organization = "o"
out-of-office-end= ""
phishing-language = "preferredLanguage"
phone-number = "telephoneNumber"
training-language = "preferredLanguage"
title = "title"
user-role = ""
Remarque : Le mappage de l’attribut « manager » ne peut pas être modifié.

Champs de SecurityCoach

Si vous avez activé les champs SecurityCoach lors de la configuration ADI, huit champs supplémentaires s’afficheront dans la section [sync.fields] de votre fichier CONF. Ces champs peuvent être utilisés pour effectuer un mappage automatique des utilisateurs KSAT aux événements SecurityCoach. Vous pouvez également utiliser ces champs pour mapper des utilisateurs aux identifiants dans SecurityCoach. Une fois ces informations synchronisées, elles seront ajoutées à la section Champs SecurityCoach de la page Informations sur l’utilisateur.

Pour consulter une liste de ces champs SecurityCoach et de leur mappage par défaut, veuillez vous reporter ci-dessous :

Remarque :Ces champs sont sensibles à la casse.
company-name = "company"
pays = "co"
employee-type = "employee type"
hostname = "userWorkstations"
last-password-change-date-time = "pwdLastSet"
mail-nickname = "mail"
on-premises-sam-account-name = "sAMAccountName"
on-premises-security-identifier = "objectSid"
user-principal-name = "userPrincipalName"

Cas pratiques de synchronisation

Voici ci-dessous quelques de cas pratiques du contrôle des champs AD synchronisés avec votre console KSAT.

Cas d’utilisation : Exclure des champs de votre synchronisation AD

Si vous souhaitez gérer les champs personnalisés dans votre console KSAT, vous devez exclure ces champs de votre synchronisation AD. Cette exclusion s’applique uniquement aux champs personnalisés. Si vous laissez des champs vides autres que les champs personnalisés, leurs valeurs seront effacées dans KSAT.

Pour exclure des champs personnalisés de votre synchronisation AD, incluez la syntaxe suivante dans la section [sync.fields] de votre fichier CONF. Dans la syntaxe ci-dessous, tous les champs personnalisés sont vides ou les valeurs entre guillemets ont été supprimées :

[sync.fields]

comment = ""
custom-date-1 = ""
custom-date-2 = ""
custom-field-1 = ""
custom-field-2 = ""
custom-field-3 = ""
custom-field-4 = ""
department = "department"
division = ""
employee-number = "employeeNumber"
employee-start-date = "whenCreated"
first-name = "givenName"
last-name = ""
location = "physicalDeliveryOfficeName"
manager = "manager"
mobile-number = ""
organization = "o"
out-of-office-end= ""
phishing-language = "preferredLanguage"
phone-number = "telephoneNumber"
title = "title"
training-language = "preferredLanguage"
user-role = ""

Cas pratique : Exclure des divisions et des emplacements d’utilisateurs

Si vous souhaitez synchroniser les services de vos utilisateurs, mais pas leur division ni leur emplacement, incluez la syntaxe suivante dans la section [sync.fields] de votre fichier CONF. Dans la syntaxe ci-dessous, les champs « division » et « location » sont vides ou les valeurs entre guillemets ont été supprimées :

[sync.fields]

comment = ""
custom-date-1 = ""
custom-date-2 = ""
custom-field-1 = ""
custom-field-2 = ""
custom-field-3 = ""
custom-field-4 = ""
department = "department"
division = ""
employee-number = "employeeNumber"
employee-start-date = "whenCreated"
first-name = "givenName"
last-name = ""
location = ""
manager = "manager"
mobile-number = ""
organization = "o"
out-of-office-end= ""
phishing-language = "preferredLanguage"
phone-number = "telephoneNumber"
title = "title"
training-language = "preferredLanguage"
user-role = ""

Cas d’utilisation : Inclure tous les champs dans votre synchronisation AD

Si vous souhaitez inclure tous les champs dans votre synchronisation AD, incluez la syntaxe suivante dans la section [sync.fields] de votre fichier CONF. Dans la syntaxe ci-dessous, tous les champs ont une valeur entre guillemets :

[sync.fields]

comment = “Ceci est un commentaire!“
custom-date-1 = “Ceci est ma date personnalisée numéro 1.“
custom-date-2 = "Ceci est ma date personnalisée numéro 2."
custom-field-1 = "Ceci est mon champ personnalisé numéro 1.”
custom-field-2 = "Ceci est mon champ personnalisé numéro 2.”
custom-field-3 = "Ceci est mon champ personnalisé numéro 3.”
custom-field-4 = "Ceci est mon champ personnalisé numéro 4.”
department = "department"
division = “division”
employee-number = "employeeNumber"
employee-start-date = "whenCreated"
first-name = "givenName"
last-name = “last-name”
location = "physicalDeliveryOfficeName"
manager = "manager"
mobile-number = “mobile“
organization = "o"
out-of-office-end= ""
phishing-language = "preferredLanguage"
phone-number = "telephoneNumber"
title = "title"
training-language = "preferredLanguage"
user-role = ""

C’est article vous a-t-il été utile?

Utilisateurs qui ont trouvé cela utile : 10 sur 13

Vous ne trouvez pas ce que vous cherchez?

Contacter l’assistance