Intégration Active Directory

Partager

Cet article est-il utile ?

Dernière mise à jour :

Modifier votre fichier CONF pour l’intégration Active Directory (ADI)

Si vous souhaitez gérer des utilisateurs par le biais de l’intégration Active Directory (ADI), vous devez définir les utilisateurs et les groupes à synchroniser vers votre console KSAT. Pour définir les utilisateurs et les groupes à synchroniser, vous pouvez modifier le fichier de configuration (CONF) ADI téléchargé durant le processus de configuration.

Dans cet article, vous apprendrez à modifier votre fichier CONF pour synchroniser des utilisateurs, des groupes et des informations de l’utilisateur spécifiques. Pour obtenir des informations générales sur l’ADI, consultez notre Guide de configuration de l’intégration Active Directory (ADI). Si vous préférez utiliser SCIM, consultez notre Guide de configuration SCIM. Si vous avez souscrit l’abonnement Student Edition, vous pouvez définir le champ Type d’utilisateur KSAT à l’aide du champ user-role (Rôle de l’utilisateur) dans le fichier. conf.

Définition des utilisateurs à synchroniser

Dans cette section, vous apprendrez à modifier votre fichier CONF pour définir les utilisateurs à synchroniser de votre AD vers votre console KSAT. Ces utilisateurs AD seront définis en tant qu’utilisateurs dans votre console KSAT. Vous devez synchroniser des utilisateurs spécifiques pour pouvoir synchroniser des groupes.

Pour modifier votre fichier CONF afin de définir les utilisateurs à synchroniser, procédez comme suit :

  1. Ouvrez votre fichier <domaine>.conf dans un éditeur de texte. Pour savoir où se trouve votre fichier CONF, consultez notre Guide de configuration de l’intégration Active Directory (ADI).
  2. Modifiez les champs suivants dans la section [sync.users] du fichier. Pour en savoir plus sur ces champs, consultez le tableau ci-dessous :
Remarque : ces champs sont sensibles à la casse.
Important : si le nom de vos unités organisationnelles (UO) ou de vos groupes contient des caractères ne faisant pas partie de l’alphabet anglais standard, remplacez les guillemets (") par des apostrophes simples ('). Utilisez une double barre oblique inversée (\\) comme caractère d’échappement pour les caractères spéciaux tels que les virgules (,), les dièses (#) et les signes plus (+). Pour en savoir plus, consultez notre article Comment utiliser les caractères d’échappement avec l’intégration Active Directory.
Nom du champ Description du champ
includedOUs

Dans ce champ, saisissez la liste des UO qui doivent être analysées pour synchroniser vos utilisateurs.

  • Les UO spécifiées seront analysées à la recherche d’utilisateurs pour lesquels la fonctionnalité de messagerie est activée.

    Important : ce champ n’inclut pas les utilisateurs appartenant à des groupes au sein des UO spécifiées. Pour synchroniser des utilisateurs appartenant à ces groupes, consultez les informations de la ligne includedGroups ci-dessous.
  • Si vous souhaitez spécifier une UO sous-jacente à une autre UO, vous devez saisir le nom de la localisation de l’UO en syntaxe inverse et séparer le chemin d’accès aux fichiers par une barre oblique. Par exemple, si vous souhaitez spécifier une UO nommée « Comptabilité » sous-jacente à une UO nommée « Tous les utilisateurs », vous devez utiliser le format de syntaxe suivant : « Comptabilité/Tous les utilisateurs ».
  • Si vous souhaitez inclure plusieurs UO dans votre liste d’UO incluses, vous devez utiliser un format de texte spécifique. Vous devez mettre chaque UO entre guillemets, séparer les UO par des virgules et mettre l’ensemble des UO entre crochets. Voici un exemple de la syntaxe appropriée pour ce champ :
    • includedOUs = ["Accounting/All Users","Development/All Users"]
excludedOUs

Dans ce champ, saisissez la liste des UO à analyser pour rechercher les utilisateurs qui seront exclus.

  • Si des utilisateurs exclus sont trouvés durant la recherche, ils remplaceront les utilisateurs correspondants des UO qui auraient dû être inclus dans la synchronisation.
  • Voici un exemple de la syntaxe appropriée pour ce champ :
    • excludedOUs = ["Contractors/Development/All Users"]
includedGroups

Dans ce champ, saisissez la liste des groupes depuis lesquels les utilisateurs doivent être synchronisés. Il doit s’agir de groupes de sécurité AD ou de distribution.

  • Les utilisateurs trouvés dans le champ includedGroups remplaceront les utilisateurs correspondants définis dans le champ excludedOUs.
  • Si vous incluez plusieurs groupes dans ce champ, assurez-vous d’utiliser le format de syntaxe approprié. Vous devez mettre chaque groupe entre guillemets, séparer les groupes par des virgules et mettre l’ensemble des groupes entre crochets. Voici un exemple de la syntaxe appropriée pour inclure plusieurs groupes :
    • includedGroups = ["Comptabilité","Ressources humaines"]
excludedGroups

Dans ce champ, saisissez la liste des groupes qui excluront les utilisateurs appartenant aux groupes de sécurité AD ou de distribution spécifiés.

  • Si des utilisateurs exclus sont trouvés durant la recherche, ils remplaceront les utilisateurs correspondants trouvés dans includedOUs ou includedGroups.
  • Voici un exemple de la syntaxe appropriée pour ce champ :
    • excludedGroups = ["Employés contractuels"]
includedUsers

Dans ce champ, saisissez la liste des utilisateurs qui doivent être inclus explicitement.

  • Les utilisateurs spécifiés dans ce champ remplaceront les utilisateurs correspondants dans le champ excludedGroups ou excludedOUs.
  • Spécifiez chaque utilisateur en saisissant son adresse e-mail. Le nombre d’utilisateurs spécifiés n’est pas limité.
  • Voici un exemple de la syntaxe appropriée pour ce champ :
    • includedUsers = ["utilisateur@exemple.fr"]
excludedUsers

Dans ce champ, saisissez la liste des utilisateurs qui doivent être exclus explicitement.

  • Les utilisateurs spécifiés dans ce champ seront exclus, quelles que soient les règles d’inclusion.
  • Spécifiez chaque utilisateur en saisissant son adresse e-mail. Le nombre d’utilisateurs spécifiés n’est pas limité. Voici un exemple de la syntaxe appropriée pour ce champ :
    • excludedUsers = ["utilisateur@exemple.fr","utilisateur2@exemple.fr"]

Si vous souhaitez synchroniser des groupes, consultez la section Définition des groupes à synchroniser ci-dessous.

Définition des groupes à synchroniser

Une fois que vous avez défini les critères de synchronisation des utilisateurs spécifiques, vous pouvez également modifier votre fichier CONF pour définir les critères pour les groupes AD que vous souhaitez synchroniser. Ces groupes AD seront définis en tant que groupes dans votre console KSAT.

Si un utilisateur est membre d’un groupe dans AD, il est membre du groupe correspondant dans votre console KSAT. KnowBe4 ne prend pas en charge les groupes dans des groupes ni les groupes imbriqués.

Il est important de noter que vous devez d’abord synchroniser les utilisateurs pour qu’ils puissent être inclus dans des groupes synchronisés. Les groupes n’incluant aucun utilisateur synchronisé ne sont pas synchronisés.

Important : seuls les groupes de sécurité et de distribution peuvent être synchronisés vers votre console KSAT. Les groupes se trouvant dans les UO incluses seront ajoutés ou synchronisés en tant que groupes dans la console. Cependant, l’UO elle-même ne sera pas synchronisée avec la console.

Pour modifier votre fichier CONF afin de définir les groupes à synchroniser, procédez comme suit :

  1. Assurez-vous que vous avez synchronisé des utilisateurs spécifiques. Pour en savoir plus, consultez la section Définition des utilisateurs à synchroniser ci-dessus.
  2. Modifiez les champs suivants dans la section [sync.groups] du fichier CONF. Pour en savoir plus sur ces champs, consultez le tableau ci-dessous :
Remarque : ces champs sont sensibles à la casse :
Nom du champ Description du champ
includedOUs

Dans ce champ, saisissez la liste des UO à analyser pour synchroniser vos groupes de sécurité ou de distribution.

  • Seuls les groupes trouvés sous l’UO spécifiée seront ajoutés en tant que groupes dans votre console KSAT.
  • Si vous incluez plusieurs UO, assurez-vous d’utiliser le format de syntaxe approprié. Vous devez mettre chaque UO entre guillemets, séparer les UO par des virgules et mettre l’ensemble des UO entre crochets. Voici un exemple de la syntaxe appropriée pour inclure plusieurs UO :
    • includedOUs = ["Comptabilité/Tous les utilisateurs","Développement/Tous les utilisateurs"]
excludedOUs

Dans ce champ, saisissez la liste des UO à analyser pour rechercher les groupes de sécurité ou de distribution qui ne seront pas synchronisés.

  • Voici un exemple de la syntaxe appropriée pour ce champ :
    • excludedOUs = ["Contractors/Development/All Users"]
includedGroups

Dans ce champ, saisissez la liste des groupes de sécurité AD ou de distribution spécifiques à synchroniser.

  • Lorsque ces groupes sont synchronisés, seuls les utilisateurs que vous avez inclus dans la synchronisation d’utilisateurs sont ajoutés aux groupes KSAT correspondants. Cette option remplace les groupes exclus du champ excludedOUs dans la section [sync.groups].
  • Voici un exemple de la syntaxe appropriée pour ce champ :
    • includedGroups = ["Ventes","Comptabilité"]
excludedGroups

Dans ce champ, saisissez la liste des groupes spécifiques à exclure de la synchronisation.

  • Cette option remplace les groupes du champ includedOUs ou includedGroups dans la section [sync.groups].
  • Voici un exemple de la syntaxe appropriée pour ce champ :
    • excludedGroups = ["Consultants"]

Une fois que vous avez terminé de modifier ces champs, enregistrez le fichier CONF. Pour enregistrer le fichier, vous devez disposer des droits d’écriture.

Synchronisation d’informations de l’utilisateur supplémentaires

Une fois que vous avez sélectionné les utilisateurs et les groupes spécifiques à synchroniser, vous pouvez modifier votre fichier CONF pour définir les informations de l’utilisateur qui doivent être synchronisées depuis votre compte AD vers votre compte KSAT. Pour définir les informations de l’utilisateur à synchroniser, vous pouvez modifier la section [sync.fields] du fichier. Par défaut, les champs de la section [sync.fields] remplissent automatiquement les champs d’informations de l’utilisateur de votre console KSAT avec les informations définies dans votre AD.

Pour inclure le champ dans AD lorsque les informations de l’utilisateur existent, vous pouvez modifier la valeur entre guillemets pour chaque champ. Si un champ est vide, cela signifie qu’il n’y a aucun champ correspondant dans AD. Vous pouvez définir les champs AD à synchroniser avec KSAT en ajoutant manuellement une valeur entre les guillemets pour chaque champ.

Si vous souhaitez empêcher la synchronisation de certains champs, vous pouvez supprimer la valeur entre guillemets pour ces champs. Cependant, veillez à ne pas supprimer les guillemets ou la ligne de texte complète. Si vous supprimez la ligne de texte complète, AD rétablira automatiquement la ligne de texte dans le champ et synchronisera la valeur.

Remarque : les langues de formation et d’hameçonnage de l’utilisateur sont synchronisées par défaut à partir du champ AD preferredLanguage (Langue préférée AD). Vous pouvez modifier ce champ AD ou empêcher la synchronisation de ces champs en suivant les indications de la section Cas d’utilisation de la synchronisation ci-dessous.
Conseil : vous avez également la possibilité de limiter les données que votre AD synchronise vers votre console KSAT. Pour en savoir plus, consultez la section Synchronisation d’informations de notre article FAQ sur l’intégration Active Directory (ADI).

Vous trouverez ci-dessous une liste des champs par défaut disponibles dans la section [sync.fields] de votre fichier CONF.

Remarque : ces champs sont sensibles à la casse.

[sync.fields]

comment = ""
custom-date-1 = ""
custom-date-2 = ""
custom-field-1 = ""
custom-field-2 = ""
custom-field-3 = ""
custom-field-4 = ""
department = "department"
division = ""
employee-number = "employeeNumber"
employee-start-date = "whenCreated"
first-name = "givenName"
last-name = ""
location = "physicalDeliveryOfficeName"
manager = "manager"
mobile-number = ""
organization = "o"
out-of-office-end = ""
phishing-language = "preferredLanguage"
phone-number = "telephoneNumber"
training-language = "preferredLanguage"
title = "title"
user-role = ""
Remarque : le mappage de l’attribut « manager » (responsable) ne peut pas être modifié.

Champs SecurityCoach

Si vous activez les champs SecurityCoach quand vous configurez ADI, huit champs supplémentaires apparaîtront dans la section [sync.fields] de votre fichier CONF. Ces champs peuvent être utilisés pour mapper automatiquement les utilisateurs KSAT aux évènements SecurityCoach. Vous pouvez de plus utiliser ces champs lors du mappage des utilisateurs à des identifiants dans SecurityCoach. Quand cette information sera synchronisée, elle sera ajoutée à la section Champs SecurityCoach de la page Informations de l’utilisateur.

Voir ci-dessous une liste de ces champs SecurityCoach et leurs mappages par défaut :

Remarque : ces champs sont sensibles à la casse.
company-name = "company"
country = "co"
employee-type = "employee type"
hostname = "userWorkstations"
last-password-change-date-time = "pwdLastSet"
mail-nickname = "mail"
on-premises-sam-account-name = "sAMAccountName"
on-premises-security-identifier = "objectSid"
user-principal-name = "userPrincipalName"

Cas d’utilisation de la synchronisation

Vous trouverez ci-dessous des cas d’utilisation illustrant comment contrôler les champs AD qui sont synchronisés vers votre console KSAT.

Exemple d’utilisation : Exclure des champs de votre synchronisation AD

Si vous souhaitez gérer des champs personnalisés dans votre console KSAT, vous pouvez les exclure de votre synchronisation AD. Cette exclusion s’applique uniquement aux champs personnalisés. Si vous essayez de laisser vierges d’autres champs que des champs personnalisés, leur valeur sera effacée dans KSAT.

Pour exclure des champs personnalisés de votre synchronisation AD, incluez la syntaxe suivante dans la section [sync.fields] de votre fichier CONF. Dans la syntaxe ci-dessous, tous les champs personnalisés sont laissés vides ou la valeur entre guillemets a été supprimée :

[sync.fields]

comment = ""
custom-date-1 = ""
custom-date-2 = ""
custom-field-1 = ""
custom-field-2 = ""
custom-field-3 = ""
custom-field-4 = ""
department = "department"
division = ""
employee-number = "employeeNumber"
employee-start-date = "whenCreated"
first-name = "givenName"
last-name = ""
location = "physicalDeliveryOfficeName"
manager = "manager"
mobile-number = ""
organization = "o"
out-of-office-end = ""
phishing-language = "preferredLanguage"
phone-number = "telephoneNumber"
title = "title"
training-language = "preferredLanguage"
user-role = ""

Cas d’utilisation : Exclure des divisions et des emplacements pour les utilisateurs

Si vous souhaitez synchroniser les services de vos utilisateurs, mais pas les divisions ni les emplacements, vous devez appliquer la syntaxe suivante à la section [sync.fields] de votre fichier CONF. Dans la syntaxe ci-dessous, les champs de division et d’emplacement sont laissés vides ou la valeur entre guillemets a été supprimée :

[sync.fields]

comment = ""
custom-date-1 = ""
custom-date-2 = ""
custom-field-1 = ""
custom-field-2 = ""
custom-field-3 = ""
custom-field-4 = ""
department = "department"
division = ""
employee-number = "employeeNumber"
employee-start-date = "whenCreated"
first-name = "givenName"
last-name = ""
location = ""
manager = "manager"
mobile-number = ""
organization = "o"
out-of-office-end = ""
phishing-language = "preferredLanguage"
phone-number = "telephoneNumber"
title = "title"
training-language = "preferredLanguage"
user-role = ""

Utilisation : Inclure tous les champs dans votre synchronisation AD

Si vous souhaitez inclure tous les champs dans votre synchronisation AD, vous devez appliquer la syntaxe suivante à la section [sync.fields] de votre fichier CONF. Dans la syntaxe ci-dessous, tous les champs ont une valeur entre guillemets :

[sync.fields]

comment = “This is a comment!“
custom-date-1 = “This is my custom-date-1 field.“
custom-date-2 = "This is my custom-date-2 field."
custom-field-1 = "This is my custom-field-1”
custom-field-2 = "This is my custom-field-2.”
custom-field-3 = "This is my custom-field-3”
custom-field-4 = "This is my custom-field-4”
department = "department"
division = “division”
employee-number = "employeeNumber"
employee-start-date = "whenCreated"
first-name = "givenName"
last-name = “last-name”
location = "physicalDeliveryOfficeName"
manager = "manager"
mobile-number = “mobile“
organization = "o"
out-of-office-end = ""
phishing-language = "preferredLanguage"
phone-number = "telephoneNumber"
title = "title"
training-language = "preferredLanguage"
user-role = ""

Avez-vous trouvé cet article utile ?

Utilisateurs qui ont trouvé cela utile : 10 sur 13

Vous ne trouvez pas ce que vous cherchez ?

Contacter l’assistance