Intégration Active Directory

Partager

Cet article est-il utile ?

Dernière mise à jour :

Guide de configuration avancée pour l’intégration d’Active Directory (ADI)

Une fois la configuration initiale d’Active Directory (AD) réalisée, vous pouvez personnaliser la synchronisation avec des options supplémentaires pour répondre aux besoins spécifiques de votre organisation. Pour en savoir plus, consultez les sections ci-dessous. Pour plus d’informations plus sur le processus de base pour installer et configurer l’intégration d’Active Directory (ADI), consultez notre Guide de configuration de l’intégration Active Directory (ADI).

Créer un compte de service ADI dans Active Directory

Pour configurer ADI, vous devez utiliser ou créer un compte dans AD doté des autorisations suivantes :

  • Lire toutes les informations d’utilisateur
  • Lire toutes les informations relatives à inetOrgPerson

Pour créer un utilisateur AD avec les autorisations de lecture appropriées, procédez comme suit :

  1. Ouvrez Utilisateurs et ordinateurs Active Directory.

  2. Cliquez avec le bouton droit de la souris sur votre domaine et sélectionnez Déléguer le contrôle. Lorsque vous sélectionnez Déléguer le contrôle, la fenêtre modale Délégation de contrôle s’ouvre.

  3. Dans la fenêtre modale Délégation de contrôle, ajoutez le compte de service ADI que vous avez créé précédemment.

  4. Déléguez les tâches Lire toutes les informations utilisateur et Lire toutes les informations relatives à inetOrgPerson.

  5. Pour finir, vous devrez reconfigurer votre service de synchronisation ADI de KnowBe4 pour utiliser votre nouveau compte de service AD avec ADI.

Pour modifier l’utilisateur spécifié, procédez comme suit :

  1. Accédez à votre dossier C:\ProgramData\KnowBe4\ADI Sync\Config\ et supprimez le fichier <domaine>.dat.
  2. Ouvrez l’invite de commande en tant qu’administrateur et accédez au dossier C:\Program Files\KnowBe4\ADI Sync\, puis saisissez « adisync.exe config ».

Modifier l’emplacement source des adresses e-mail dans Active Directory

Par défaut, la synchronisation ADI synchronisera toutes les adresses e-mail proxy de vos utilisateurs. Cependant, vous pouvez modifier l’emplacement à partir duquel vous souhaitez extraire les adresses e-mail dans Active Directory. Vous pouvez également choisir de ne synchroniser que les adresses e-mail proxy principales des utilisateurs. Ouvrez votre fichier adisync.conf à partir du dossier C:\ProgramData\KnowBe4\ADI Sync\Config. Par défaut, les champs suivants s’affichent :

  • emailAttribute = "proxyAddresses"
  • primaryProxyOnly = false
Remarque : si vous ne voyez pas ces champs, assurez-vous que vous éditez le fichier adisync.conf et non le fichier <domaine>.conf. Si vous ne voyez pas le champ emailAttribute dans votre fichier adisync.conf, il est possible que vous utilisiez une version antérieure d’ADI. Effectuez la mise à niveau vers la dernière version d’ADI si vous avez besoin de modifier le champ emailAttribute.

Pour en savoir plus sur la modification des adresses e-mail synchronisées pour vos utilisateurs, consultez la liste ci-dessous :

Remarque : les champs suivants sont sensibles à la casse.
  • Proxy principal uniquement : si vous souhaitez utiliser uniquement l’adresse proxy principale pour chaque utilisateur, remplacez la valeur « false » par « true » dans le champ primaryProxyOnly. Enregistrez le fichier adisync.conf, puis redémarrez le service ADI. Ce processus garantira qu’aucun alias d’adresse e-mail ne sera synchronisé.

  • Attribut de messagerie : si vous souhaitez que la synchronisation utilise l’attribut Mail au lieu de proxyAddresses, modifiez le champ emailAttribute en remplaçant « proxyAddresses » par « mail ». Enregistrez le fichier adisync.conf et redémarrez le service de synchronisation ADI de KnowBe4.

    Important : quel que soit le champ en fonction duquel vous réalisez la synchronisation, l’attribut « mail » d’un utilisateur ne peut pas être vide. Pour ADI, cette valeur ne doit pas nécessairement correspondre à un domaine valide. Pour en savoir plus, contactez notre équipe d’assistance.
  • Nom principal de l’utilisateur : si vous souhaitez que la synchronisation utilise l’élément userPrincipalName (UPN) au lieu de proxyAddresses, modifiez le champ emailAttribute en remplaçant « proxyAddresses » par « userPrincipalName ». Enregistrez le fichier adisync.conf et redémarrez le service de synchronisation ADI de KnowBe4.

Afficher les adresses de messagerie et les adresses proxy dans Active Directory

Procédez comme suit pour afficher l’adresse e-mail et l’adresse proxy d’un utilisateur dans Active Directory. Vous pouvez également appliquer ces étapes pour afficher le PrincipalName d’un utilisateur.

  1. Dans la fenêtre Utilisateurs et ordinateurs Active Directory, cliquez sur Affichage dans la barre d’outils.

  2. Dans le menu déroulant Affichage, sélectionnez Fonctionnalités avancées.

  3. Double-cliquez sur un utilisateur pour ouvrir la fenêtre contextuelle Propriétés de l’utilisateur.
  4. Dans la fenêtre contextuelle Propriétés de l’utilisateur, sélectionnez l’onglet Éditeur d’attributs.

  5. Pour afficher l’adresse e-mail de l’utilisateur, recherchez mail dans la colonne Attribut. Sélectionnez mail, puis cliquez sur le bouton Modifier.

  6. Lorsque vous cliquez sur Modifier, la fenêtre contextuelle Éditeur d’attributs de chaîne s’ouvre. Dans cette fenêtre contextuelle, vous pouvez ajuster la valeur de l’attribut mail.

  7. Pour afficher l’adresse proxy de l’utilisateur, recherchez proxyAddresses dans la colonne Attribut. Sélectionnez proxyAddresses, puis cliquez sur le bouton Modifier.

  8. Lorsque vous cliquez sur le bouton Modifier, la fenêtre contextuelle Éditeur de chaînes à valeurs multiples s’ouvre. Dans cette fenêtre, vous pouvez ajouter ou supprimer une valeur de l’attribut proxyAddresses.

Prise en charge de plusieurs domaines sources

Si vos utilisateurs sont répartis entre plusieurs domaines sources, vous devrez configurer chaque domaine avec les attributs utilisateur à synchroniser.

Pour chaque domaine supplémentaire, vous devrez exécuter le fichier de configuration adisync.exe dans votre répertoire d’installation ADI sync. En exécutant une seconde fois la configuration de synchronisation ADI, vous créez les fichiers <domaine>.conf supplémentaires que vous devrez modifier pour spécifier vos critères de filtrage pour votre synchronisation.

Remarque : pour activer la prise en charge de plusieurs domaines sources, assurez-vous d’avoir déjà installé l’outil de synchronisation ADI. Il n’est pas nécessaire de réinstaller l’outil de synchronisation ADI, car une deuxième installation pourrait archiver vos utilisateurs.

Pour exécuter la configuration de synchronisation ADI pour la prise en charge de plusieurs domaines sources, procédez comme suit :

  1. Ouvrez l’invite de commande en tant qu’administrateur.
  2. Accédez au répertoire système d’ADI Sync. L’emplacement par défaut du répertoire système est C:\Program Files\KnowBe4\ADI Sync.

  3. Saisissez la ligne ci-dessous, puis appuyez sur la touche Entrée :

    adisync.exe config
  4. Saisissez les informations relatives au contrôleur de domaine et au domaine supplémentaires. Pour plus de détails, consultez l’étape 7 de la section Installation et configuration de notre Guide de configuration de l’intégration Active Directory (ADI).
  5. Une fois le fichier <domaine>.conf supplémentaire créé dans C:\ProgramData\KnowBe4\ADI Sync\Config, modifiez le fichier pour spécifier les informations que vous souhaitez synchroniser. Pour en savoir plus, consultez notre Guide de configuration de l’intégration Active Directory (ADI).
  6. Enregistrez le fichier <domaine>.conf.
  7. Une fois ce processus réitéré pour tous vos domaines supplémentaires, vous pouvez démarrer votre synchronisation.
Remarque : le système sur lequel vous avez installé l’outil de synchronisation ADI doit pouvoir se connecter à chaque contrôleur de domaine.

Installer la dernière version d’ADI

Suivez les étapes ci-dessous pour installer la dernière version d’ADI sans désinstaller votre version précédente :

  1. Téléchargez le nouveau programme d’installation à partir des Paramètres du Compte KSAT.
  2. Lancez l’installation.

  3. Au besoin, cliquez sur Oui pour utiliser les données de l’installation précédente.

    Le service de synchronisation ADI de KnowBe4 démarrera automatiquement une fois l’installation terminée. Vous pouvez vérifier que le service fonctionne comme prévu depuis le menu des services Windows.

La synchronisation de vos utilisateurs devrait se poursuivre comme prévue.

Synchroniser des champs personnalisés

Les profils utilisateur de votre console KnowBe4 comprennent des champs personnalisés que vous pouvez utiliser pour synchroniser des informations supplémentaires à partir de votre Active Directory. Pour spécifier les informations que vous souhaitez synchroniser avec les champs personnalisés, modifiez le fichier <domaine>.conf, puis redémarrez le service pour synchroniser vos modifications. Pour en savoir plus, consultez la section Synchroniser d’autres informations de l’utilisateur avec KnowBe4.

Remarque : la synchronisation des champs personnalisés est disponible à partir de la version 1.0.16.5 d’ADI. Si vous ne voyez pas les champs personnalisés dans votre fichier <domaine>.conf, vous devrez installer la dernière version d’ADI. Votre ou vos fichiers <domaine>.conf existants seront mis à jour pour inclure la synchronisation des champs personnalisés. Si vous décidez d’utiliser ces nouveaux champs personnalisés, vous devez redémarrer le service de synchronisation ADI de KnowBe4 pour que vos modifications soient synchronisées.

Activer les champs SecurityCoach

Si vous avez déjà configuré ADI et que votre abonnement inclut SecurityCoach, vous pouvez activer les champs SecurityCoach en installant la dernière version d’ADI. Si vous utilisez déjà la dernière version et que les champs SecurityCoach ne sont pas activés, vous devrez reconfigurer ADI pour activer ces champs.

Remarque : si vous installez la dernière version d’ADI, assurez-vous de définir les champs Enable SecurityCoach sur true. Pour en savoir plus, consultez la section Installation et configuration de notre Guide de configuration de l’intégration Active Directory (ADI).

Pour reconfigurer ADI et activer les champs SecurityCoach, procédez comme suit :

  1. Arrêtez le service de synchronisation ADI de KnowBe4 dans le menu des services Windows.
  2. Accédez au répertoire système \ADIsync. L’emplacement par défaut du répertoire système est C:\ProgramData\KnowBe4\ADI Sync\Config\.
  3. Renommez votre fichier <domaine>.conf en « <domaine>-ANCIEN.conf ».
  4. Déplacez le fichier <domaine>-ANCIEN.conf vers un répertoire de votre choix.
  5. Accédez au répertoire d’installation C:\Program Files\KnowBe4\ADI Sync\ et ouvrez une invite de commande avec un utilisateur disposant de droits d’accès élevés.
  6. Dans l’invite de commande, exécutez adisync.exe config.
  7. Reconfigurez ADI en saisissant les mêmes informations que précédemment, mais en définissant les champs Enable SecurityCoach sur true. Lorsque vous avez reconfiguré ADI, un nouveau fichier <domaine>.conf sera créé dans le répertoire \Config.
  8. Ouvrez en parallèle le fichier <domaine>-ANCIEN.conf et le nouveau fichier <domaine>.conf.
  9. Copiez les données de la section [sync.users] du fichier <domaine>-ANCIEN.conf. Collez ces données dans le nouveau fichier <domaine>.conf.
  10. Copiez les données de la section [sync.groups] du fichier <domaine>-ANCIEN.conf. Collez ces données dans le nouveau fichier <domaine>.conf.
  11. (Facultatif) Si vous avez personnalisé la section [sync.fields] du fichier <domaine>-ANCIEN.conf, vous pouvez effectuer les mêmes personnalisations dans le nouveau fichier <domaine>.conf.
  12. Démarrez le service de synchronisation ADI de KnowBe4.

Avez-vous trouvé cet article utile ?

Utilisateurs qui ont trouvé cela utile : 6 sur 9

Vous ne trouvez pas ce que vous cherchez ?

Contacter l’assistance