Configurer l’intégration Active Directory
Vous pouvez utiliser la fonctionnalité Intégration Active Directory (ADI) de KnowBe4 pour intégrer l’Active Directory de votre organisation à votre console KMSAT. Une fois l’ADI configurée, les utilisateurs et les groupes sont automatiquement ajoutés, modifiés et archivés dans votre console KMSAT, en fonction des informations envoyées par votre Active Directory. Il est important de souligner qu’il s’agit d’un processus de synchronisation à sens unique, et qu’aucune information n’est renvoyée à votre Active Directory par votre console KMSAT.
Pour connaître les avantages liés à la configuration de l’ADI pour votre organisation, consultez notre article Avantages de la configuration de l’intégration Active Directory (ADI). Si vous préférez les tutoriels vidéo pour apprendre à configurer l’ADI, regardez notre vidéo Intégration Active Directory (ADI). D’autre part, si vous souhaitez utiliser SCIM pour synchroniser vos utilisateurs, vous pouvez consulter notre Guide de configuration SCIM.
Accéder à :
Comment l’ADI fonctionne-t-elle pour les comptes avec des utilisateurs existants ?
Prérequis
Avant de commencer : actions requises
Installation et configuration
Définition des unités organisationnelles, des groupes et des utilisateurs à synchroniser
Commencer votre synchronisation ADI
Comment l’ADI fonctionne-t-elle pour les comptes avec des utilisateurs existants ?
Si vous avez déjà ajouté des utilisateurs à votre console KMSAT, il y a certaines choses que vous devez savoir avant de configurer l’ADI. Pour en savoir plus, consultez la liste ci-dessous :
- Une fois que vous avez configuré l’ADI, les données qui sont synchronisées depuis votre Active Directory sont considérées comme prioritaires. Les actions suivantes se produisent durant les synchronisations entre votre console KMSAT et votre Active Directory :
- Les utilisateurs introuvables dans votre Active Directory sont archivés dans votre console KMSAT.
- Si vous avez apporté des modifications aux informations relatives à un utilisateur dans votre console KMSAT, ces changements sont remplacés par les données contenues dans votre Active Directory.
- Avant l’ADI, les comptes utilisateurs contenus dans la console KMSAT sont considérés comme gérés par la console. Lorsque des utilisateurs sont gérés par la console, vous pouvez modifier les informations les concernant, en chargeant un fichier CSV sur votre console ou en modifiant les profils utilisateurs directement dans votre console.
- Une fois que vous avez configuré l’ADI et que la première synchronisation avec Active Directory a eu lieu, les utilisateurs sont considérés comme gérés par l’Active Directory. Lorsque les utilisateurs sont gérés par Active Directory, vous devez modifier les informations les concernant dans votre Active Directory, ces changements étant appliqués dans votre console KMSAT lors de la synchronisation suivante.
- Lors de la première synchronisation Active Directory, la console KMSAT associe automatiquement les comptes utilisateurs gérés par la console aux comptes présents dans votre Active Directory. Cela a pour effet de transférer la gestion des utilisateurs de la console vers Active Directory. Le fonctionnement de ce processus est détaillé ci-dessous :
- Vous installez et configurez l’outil de synchronisation ADI dans votre environnement. Pour en savoir plus, consultez la section Installation et configuration de cet article.
- Vous définissez les informations que vous souhaitez synchroniser depuis votre Active Directory. Pour en savoir plus, consultez la section Définition des unités organisationnelles, des groupes et des utilisateurs à synchroniser de cet article.
- Le service de synchronisation ADI interroge ensuite vos annuaires Active Directory pour obtenir les informations sur les groupes et les utilisateurs, puis envoie les résultats aux serveurs KnowBe4.
- Les serveurs KnowBe4 analysent les informations envoyées par votre Active Directory et mettent automatiquement à jour les utilisateurs et les groupes dans votre console KMSAT, en appliquant la logique suivante :
- Si un utilisateur d’Active Directory possède une adresse e-mail qui correspond à un compte de console KMSAT existant, alors la gestion de ce compte utilisateur est transférée vers Active Directory.
- Si un utilisateur d’Active Directory est introuvable dans la console KMSAT, alors un compte utilisateur géré par Active Directory est créé.
- Une fois que tous les utilisateurs ont été traités, les comptes de la console dont la gestion n’a pas été transférée à Active Directory sont archivés.
Une fois que votre ADI est configurée, les informations de l’utilisateur sont à jour en permanence par rapport à celles contenues dans l’Active Directory de votre organisation.
Prérequis
Avant de configurer l’ADI, assurez-vous que votre environnement respecte nos critères de base répertoriés ci-dessous :
1. Votre organisation doit disposer de Microsoft Active Directory ou d’Azure Active Directory. Pour en savoir plus, consultez la liste ci-dessous :
- Si votre organisation utilise Microsoft Active Directory, votre niveau fonctionnel de domaine doit être Windows Server 2003 ou une version ultérieure.
- Si votre organisation utilise Azure Active Directory, vous pouvez synchroniser Azure Active Directory Domain Services avec votre console KMSAT. Pour en savoir plus, consultez notre article Comment utiliser l’intégration Active Directory avec Azure Active Directory Domain Services.
2. Nous vous recommandons d’installer l’outil ADI sur un serveur d’applications, et non sur le poste de travail d’un utilisateur. Assurez-vous que le système sur lequel vous installez l’ADI possède les caractéristiques suivantes :
- Le système utilise Windows Desktop 7/Vista/8/10 ou Windows Server 2008/2012/2016/2019 (64 bits).
- Vérifiez que le système peut accéder au serveur de l’instance de formation pour votre compte. Vous trouverez une liste des instances dans notre article Instances de formation de KnowBe4.
- L’instance de formation correspond à l’URL du serveur que l’outil de synchronisation Active Directory de KnowBe4 doit contacter par le biais d’une requête POST. Vous devez autoriser les connexions sortantes avec les serveurs distants sur le port 443 (SSL/HTTPS).
Remarque : Si vous configurez l’ADI via un proxy, vous devez ajouter une variable HTTP_PROXY à vos variables d’environnement. Pour en savoir plus, consultez notre article Puis-je configurer l’intégration Active Directory (ADI) avec un proxy ?.
Consultez la section suivante afin de connaître les étapes importantes à suivre pour préparer la configuration de l’ADI.
Avant de commencer : actions requises
Avant de pouvoir installer et configurer l’outil de synchronisation Active Directory de KnowBe4 sur votre système local, suivez les étapes ci-dessous :
1. Rassemblez les informations suivantes concernant votre Active Directory :
- Identifiez l’adresse IP ou le nom de domaine complet (Fully Qualified Domain Name, FQDN) du contrôleur de domaine où se trouve votre Active Directory.
-
Assurez-vous que votre contrôleur de domaine Active Directory peut répondre aux requêtes LDAP. Par défaut, tous les contrôleurs de domaine sont configurés pour répondre aux requêtes LDAP.
Conseil : Votre synchronisation d’Active Directory peut communiquer via le protocole LDAP. Cependant, si vous préférez, vous pouvez activer le LDAPS sur votre contrôleur de domaine avant de synchroniser votre Active Directory. Par défaut, le LDAPS est désactivé sur la plupart des contrôleurs de domaine. Pour en savoir plus, consultez notre FAQ sur l’ADI. -
Identifiez le nom de domaine Active Directory. Le nom de domaine Active Directory est le domaine racine contrôlé par votre contrôleur de domaine Active Directory. L’image ci-dessous présente un exemple de nom de domaine Active Directory.
- Assurez-vous de connaître le nom d’utilisateur et le mot de passe associés à un compte d’administrateur Active Directory ayant les autorisations requises pour émettre des requêtes LDAP. Par défaut, tous les comptes du groupe « Utilisateurs du domaine » disposent de ces autorisations. Cependant, pour plus de sécurité, nous vous recommandons d’utiliser un compte de service ayant uniquement des autorisations de « lecture » pour votre Active Directory. Afin de connaître les autorisations de lecture requises pour ce compte de service, consultez notre Guide de configuration avancée de l’intégration Active Directory (ADI).
2. Générez votre jeton de synchronisation ADI et téléchargez l’outil de synchronisation ADI depuis vos paramètres du compte KMSAT. Procédez comme suit :
-
- Une fois que vous êtes connecté à votre console KMSAT, cliquez sur votre adresse e-mail en haut à droite de la page. Cliquez ensuite sur Paramètres du compte.
- Accédez à la section Approvisionnement d’utilisateurs. Cochez ensuite la case Activer l’approvisionnement d’utilisateurs (synchronisation des utilisateurs).
- Vérifiez que le paramètre Mode test est activé. Le mode test doit rester activé tant que vous n’avez pas terminé la configuration de votre ADI ni vérifié que l’ADI fonctionne correctement. Lorsque le mode test est activé, l’approvisionnement d’utilisateurs et la synchronisation n’ont pas lieu. En revanche, un rapport est généré, indiquant ce qui serait arrivé en cas d’approvisionnement d’utilisateurs. Le mode test vous permet de résoudre les problèmes potentiels, sans que cela affecte les utilisateurs actuels de votre console.
Conseil : il peut être utile de cocher la case Afficher le domaine du groupe si vos utilisateurs sont répartis sur plusieurs sources de domaine. Pour en savoir plus, consultez notre FAQ sur l’ADI.
- Copiez votre jeton de synchronisation ADI et enregistrez-le localement. Vous aurez besoin de ce jeton pour terminer la configuration. Votre jeton de synchronisation ADI se compose de 32 caractères, comme illustré dans l’exemple suivant : 9X140X4829E37XX545401X97912X604X.
- Cliquez sur l’icône de téléchargement en regard de Outil ADI (KnowBe4_AD_Sync.msi) pour télécharger le fichier de l’outil ADI.
- Cliquez sur le bouton Enregistrer les modifications au bas de la page Paramètres du compte.
- Choisissez les utilisateurs à synchroniser, et identifiez l’emplacement de ces objets utilisateurs dans votre Active Directory.
3. Une fois que vous avez réalisé les étapes décrites dans cette section et dans la rubrique Installation et configuration ci-dessous, vous devez définir l’emplacement des objets utilisateurs dans votre Active Directory. Vous pouvez synchroniser les objets utilisateurs à partir de l’un ou de plusieurs des éléments suivants : unités organisationnelles, groupes de sécurité et groupes de distribution. Pour en savoir plus sur la définition des utilisateurs à synchroniser, consultez la section Définition des unités organisationnelles, des groupes et des utilisateurs à synchroniser de cet article.
S’il s’avère que vos objets utilisateurs ne se trouvent pas dans des unités organisationnelles, des groupes de sécurité ou des groupes de distribution, lisez les informations ci-dessous :
- Si les utilisateurs que vous souhaitez synchroniser se trouvent dans le conteneur d’utilisateurs intégré au lieu d’une unité organisationnelle : vous ne pouvez pas synchroniser les conteneurs. Pour contourner cela, vous avez la possibilité de créer un groupe de sécurité, d’y ajouter ces utilisateurs, puis de synchroniser ce groupe de sécurité à la place du conteneur.
- S’il s’avère que l’organisation de votre Active Directory n’est pas idéale pour le synchroniser avec la console KMSAT, ou en cas de doute : vous pouvez configurer un ou plusieurs groupes dans Active Directory, afin qu’ils contiennent tous les groupes et objets utilisateurs à synchroniser. Vous devez ensuite indiquer que vous souhaitez synchroniser uniquement ces groupes.
- Si vous avez un domaine racine avec des Active Directory enfants, vous pouvez exécuter l’installeur ADI pour chaque domaine enfant. Chaque domaine enfant doit utiliser le même contrôleur de domaine que le domaine racine.
4. Déterminez à partir de quel champ les adresses e-mail de vos utilisateurs doivent être extraites dans Active Directory. Par défaut, le service ADI extrait les adresses de proxy de vos utilisateurs afin de les utiliser comme adresses e-mail pour leurs comptes KnowBe4.
- Si vous avez besoin d’utiliser autre chose que leurs adresses de proxy, vous devez modifier la valeur du champ emailAttrib dans votre fichier ADIsync.conf. Par exemple, si vous n’utilisez pas Microsoft Exchange ou Microsoft 365 comme serveur de messagerie, le champ réservé à l’adresse de proxy dans Active Directory est probablement vide. Modifiez la valeur du champ emailAttrib après avoir effectué l’installation, mais avant de démarrer le service de synchronisation ADI. Pour obtenir des instructions à ce sujet, consultez la section Modification de l’emplacement d’où sont extraites les adresses e-mail dans Active Directory de notre Guide de configuration avancée de l’intégration Active Directory (ADI).
Remarque : Le champ useMailAttrib a été remplacé par le champ emailAttribute.
- Vérifiez que les paramètres sont correctement configurés pour l’afflux d’utilisateurs pour toutes les campagnes. Vérifiez deux fois les paramètres de vos Groupes intelligents dans les campagnes car ils peuvent être altérés par l’apparition de nouveaux utilisateurs via ADI sync.
Après avoir réuni les informations ci-dessus, passez aux étapes de la section suivante.
Installation et configuration
Après avoir réuni les informations répertoriées dans la section ci-dessus, vous pouvez installer et configurer la synchronisation ADI. Suivez les étapes ci-dessous pour continuer :
1. Lancez l’outil de synchronisation Active Directory. Il s’agit du fichier KnowBe4_AD_Sync.msi que vous avez téléchargé depuis vos paramètres du compte KMSAT durant l’étape 2 de la section Avant de commencer : actions requises ci-dessus. Il n’est pas nécessaire que l’outil de synchronisation Active Directory soit installé sur un contrôleur de domaine. Il peut être installé n’importe où dans l’environnement, à condition que le système puisse communiquer avec un contrôleur de domaine prenant en charge les connexions LDAP.
Une invite de commande s’ouvre automatiquement concernant le répertoire d’installation. L’emplacement par défaut du répertoire d’installation sur les plateformes 64 bits est le suivant :
2. Dans la fenêtre d’invite de commande, vous devez saisir les informations répertoriées ci-dessous :
-
- Enter Active Directory Synchronization Token (saisir le jeton de synchronisation Active Directory) : Si vous exécutez cette commande pour la première fois, vous devez saisir votre jeton de synchronisation Active Directory. Ce jeton correspond à la chaîne de caractères que vous avez copiée depuis vos paramètres du compte KMSAT. Pour en savoir plus, consultez l’étape 2 dans la section Avant de commencer : actions requises ci-dessus.
- Enter Domain Name (saisir le nom de domaine) : le nom de domaine désigne le domaine racine de votre Active Directory. Vous trouverez un exemple dans la section Avant de commencer : actions requises ci-dessus.
- Enter Active Directory Hostname or IP address (saisir l’adresse IP ou le nom d’hôte d’Active Directory) : l’adresse IP ou le nom d’hôte d’Active Directory désigne l’adresse IP ou le nom de domaine complet (FQDN) du contrôleur de domaine où se trouve votre Active Directory.
- Enable SSL (true/false)(activer SSL - vrai/faux) : par défaut, le LDAPS est désactivé sur votre contrôleur de domaine. Saisissez « false » (faux) ou appuyez sur la touche Entrée de votre clavier pour sélectionner automatiquement cette option. Si vous avez activé le LDAPS dans le cadre de cette synchronisation, saisissez « true » (vrai) à la place.
- Activer les champs SecurityCoach (vrai/faux) : Si vous avez acheté SecurityCoach, saisissez « vrai » pour activer les champs SecurityCoach. Ces champs vous permettront de synchroniser des informations pour le mappage utilisateur. Pour plus d’informations, voir la section Champs SecurityCoach de notre article Comment modifier votre fichier CONF pour l’intégration Active Directory (ADI). Par défaut, ces champs sont désactivés. Pour garder ces champs désactivés, appuyez sur la touche Entrée de votre clavier.
- Enter Active Directory Port number (saisir le numéro de port de l’Active Directory) : saisissez le port LDAP ou LDAPS approprié. Par défaut, le port est le 389 pour le LDAP et le 636 pour le LDAPS.
- Enter Username (saisir le nom d’utilisateur) : saisissez le nom d’utilisateur du compte d’administrateur d’Active Directory détenant les autorisations de lecture requises pour émettre des requêtes LDAP. Ce nom d’utilisateur doit être au format « utilisateur@domaine ».
- Saisir le mot de passe : Saisissez le mot de passe du compte d’administrateur d’Active Directory détenant les autorisations de lecture requises pour émettre des requêtes LDAP.
3. Si la connexion est établie avec succès, des messages de confirmation s’affichent dans la fenêtre d’invite de commande, comme dans l’exemple ci-dessous.
4. Appuyez sur la touche Entrée de votre clavier pour quitter la fenêtre d’invite de commande.
Si des problèmes sont survenus en tentant d’atteindre ou d’authentifier votre contrôleur de domaine, des messages d’erreur s’affichent dans la fenêtre d’invite de commande, et vous devez effectuer à nouveau les étapes indiquées dans cette section, en appliquant les données de configuration exactes. Si le problème persiste, veuillez contacter notre équipe d’assistance.
Une fois la connexion établie avec succès, passez à la section suivante pour pouvoir définir les utilisateurs et les informations que vous souhaitez synchroniser avec votre console KMSAT.
Définition des unités organisationnelles, des groupes et des utilisateurs à synchroniser
Une fois que vous avez réalisé les étapes détaillées dans les deux sections précédentes, modifiez le fichier <votre domaine ici>.conf, afin de configurer les informations à synchroniser avec votre compte KMSAT. Cette configuration est nécessaire pour synchroniser les utilisateurs depuis votre Active Directory.
Poursuivez la configuration de l’ADI en suivant les étapes ci-dessous :
1. Assurez-vous de disposer des autorisations de modification pour le dossier ADISync.
2. Localisez le dossier votre domaine ici.conf dans le répertoire d’installation, comme indiqué ci-dessous. Ouvrez le fichier dans un éditeur de texte, comme Notepad.
Le fichier votre domaine ici.conf est utilisé pour définir les utilisateurs, les informations de l’utilisateur et les groupes que vous souhaitez synchroniser entre votre compte KMSAT et votre Active Directory. Pour voir un exemple de ce fichier, ouvrez le fichier disponible ici : sample_domain.
3. Modifiez le fichier votre domaine ici.conf pour définir les critères applicables pour la synchronisation de vos groupes et utilisateurs. Dans le fichier votre domaine ici.conf, vous pouvez modifier trois sections :
- [sync.fields] (facultatif) : modifiez cet élément pour définir les champs d’informations de l’utilisateur à synchroniser depuis votre Active Directory. Pour en savoir plus, consultez la section Synchronisation d’informations de l’utilisateur supplémentaires de notre article Comment synchroniser des informations par le biais d’Active Directory.
- [sync.users] (obligatoire) : modifiez cet élément pour définir les utilisateurs à synchroniser depuis votre Active Directory. Assurez-vous d’inclure au moins une unité organisationnelle, un groupe ou un utilisateur dans la section [sync.users] du fichier .conf. Pour en savoir plus, consultez la section Synchroniser les utilisateurs par inclusion/exclusion d’une unité organisationnelle, d’un groupe ou d’un utilisateur spécifique (obligatoire) de notre article Comment synchroniser des informations par le biais d’Active Directory.
- [sync.groups] (facultatif) : vous pouvez utiliser cet espace pour indiquer les groupes que vous souhaitez synchroniser depuis votre Active Directory. Ces groupes seront automatiquement créés dans votre console KnowBe4, et les utilisateurs concernés seront ajoutés aux groupes. Pour en savoir plus, consultez la section Synchroniser les groupes par inclusion/exclusion d’une unité organisationnelle ou d’un groupe (facultatif) de notre article Comment synchroniser des informations par le biais d’Active Directory.
4. Lorsque vous avez terminé, enregistrez les modifications que vous avez apportées au fichier votre domaine ici.conf.
Consultez la section suivante pour démarrer votre synchronisation ADI.
Commencer votre synchronisation ADI
Si vous avez réalisé toutes les étapes ci-dessus, votre service ADI est désormais configuré et vous pouvez démarrer la synchronisation ADI. Suivez les étapes ci-dessous pour continuer :
Il existe deux méthodes au choix pour démarrer la synchronisation :
- Utiliser le composant Service Control Manager de Windows (le service ADI est alors appelé « Active Directory Integration Sync Service »), ou
- Ouvrir une invite de commande en mode d’administrateur, puis effectuer les deux étapes suivantes :
- Accéder au répertoire approprié. L’emplacement par défaut du répertoire d’installation sur les plateformes 64 bits est le suivant :
C:\Program Files (x86)\KnowBe4\ADISync
- Saisir ADIsync.exe service start et appuyer sur la touche Entrée de votre clavier.
- Accéder au répertoire approprié. L’emplacement par défaut du répertoire d’installation sur les plateformes 64 bits est le suivant :
Le service de synchronisation ADI s’exécute immédiatement, et lorsque les services sont connectés, la synchronisation entre votre Active Directory et la console KMSAT a lieu toutes les six heures.
Quand Mode test est activé dans vos paramètres du compte, vous avez un aperçu de la façon dont votre Active Directory va se synchroniser avec KnowBe4. Pour afficher l’aperçu du mode test, accédez à Utilisateurs > Approvisionnement dans votre console KMSAT.
Maintenez Mode test activé jusqu’à ce que vous soyez sûr que la configuration de l’ADI est adaptée aux besoins de votre organisation. Lorsque vous êtes satisfait de la configuration de l’ADI, accédez à vos paramètres du compte KMSAT et désactivez Mode test. La synchronisation ADI suivante effectuera automatiquement l’approvisionnement de vos utilisateurs.
Commentaires
0 commentaire
Cet article n'accepte pas de commentaires.