Integrazione Active Directory

Condividi

Questo articolo è utile?

Ultimo aggiornamento:

Modificare il file CONF per l’integrazione Active Directory (ADI)

Se desideri gestire gli utenti tramite l’integrazione Active Directory (ADI), dovrai definire quali utenti e gruppi sincronizzare tramite la console KSAT. Per definire quali utenti e gruppi sincronizzare, puoi modificare il file di configurazione ADI (CONF) scaricato durante il processo di configurazione.

In questo articolo scoprirai come modificare il file CONF per sincronizzare utenti, gruppi e informazioni degli utenti. Per informazioni generali su ADI, consulta la Guida alla configurazione di Integrazione Active Directory (ADI). Se preferisci utilizzare SCIM, consulta la Guida alla configurazione SCIM. Se hai acquistato la Student Edition, puoi impostare il campo Tipo di utente KSAT utilizzando il campo user-role nel file .conf.

Definire gli utenti da sincronizzare

Questa sezione descrive come modificare il file CONF per definire quali utenti AD sincronizzare con la console KSAT. Questi utenti di AD saranno visualizzati come utenti nella console KSAT. Prima di poter sincronizzare i gruppi, dovrai sincronizzare utenti specifici.

Per modificare il file CONF e definire gli utenti da sincronizzare, procedi come descritto di seguito:

  1. Apri il file <dominio>.conf in un editor di testo. Per ulteriori informazioni su come trovare il file CONF, consulta la nostra Guida alla configurazione di Integrazione Active Directory (ADI).
  2. Nella sezione [sync.users] del file modifica i seguenti campi. Per ulteriori informazioni su questi campi, vedi la tabella in basso.
Note: questi campi distinguono le maiuscole dalle minuscole.
Importante: se le unità dell’organizzazione (UO) o i nomi dei gruppi contengono caratteri che non fanno parte dell’alfabeto inglese standard, sostituisci le virgolette doppie (") con virgolette singole ('). Affinché i caratteri speciali come virgola (,), cancelletto (#) e più (+) siano interpretati correttamente, usa la doppia barra rovesciata (\\) come carattere escape. Per ulteriori informazioni, leggi l’articolo Come usare i caratteri di escape con l’Integrazione Active Directory.
Nome campo Descrizione campo
includedOUs

In questo campo inserisci l’elenco delle UO da ricercare per sincronizzare gli utenti.

  • Verrà effettuata una ricerca sulle UO specificate per rilevare tutti gli utenti la cui mail è abilitata.

    Importante: questo campo non include gli utenti dei gruppi all’interno delle UO specificate. Per sincronizzare gli utenti di questi gruppi, leggi le informazioni della riga includedGroups in basso.
  • Per indicare una UO inclusa in un’altra UO, scrivi il nome della posizione della UO utilizzando la sintassi inversa e separa il percorso del file con una barra. Ad esempio, per specificare una UO chiamata “Contabilità” che si trova all’interno di una UO chiamata “Tutti gli utenti”, usa la sintassi “Contabilità/Tutti gli utenti”.
  • Per includere più UO nell’elenco delle UO incluse, dovrai formattare il testo in un modo specifico. Dovrai racchiudere le UO tra virgolette, separare le UO con la virgola e racchiudere le UO tra parentesi. Un esempio di sintassi di questo campo è il seguente:
    • includedOUs = ["Account/Tutti gli utenti", "Sviluppo/Tutti gli utenti"]
excludedOUs

In questo campo, inserisci l’elenco delle UO in cui cercare gli utenti da escludere.

  • Se durante la ricerca vengono trovati degli utenti da escludere, questi andranno a sostituire gli utenti delle UO corrispondenti che dovevano essere inclusi nella sincronizzazione.
  • Un esempio di sintassi di questo campo è il seguente:
    • excludedOUs = ["Collaboratori/Sviluppo/Tutti gli utenti"]
includedGroups

In questo campo, inserisci l’elenco dei gruppi i cui utenti devono essere sincronizzati. Questi gruppi devono essere gruppi di sicurezza AD o gruppi di distribuzione.

  • Gli utenti trovati nel campo includedGroups sovrascriveranno gli utenti corrispondenti definiti nel campo excludedOUs.
  • Se includi più gruppi in questo campo, assicurati di utilizzare una sintassi corretta. Dovrai racchiudere i gruppi tra virgolette, separare i gruppi con la virgola e racchiudere i gruppi tra parentesi. Per un esempio di sintassi per più gruppi, vedi in basso:
    • includedGroups = ["Contabilità","Risorse umane"]
excludedGroups

In questo campo, inserisci l’elenco dei gruppi i cui utenti devono essere esclusi; gli utenti devono essere membri dei gruppi di sicurezza o di distribuzione AD specificati.

  • Se durante la ricerca vengono trovati degli utenti esclusi, questi sostituiranno gli utenti corrispondenti dei campi includedOUs o includedGroups.
  • Un esempio di sintassi di questo campo è il seguente:
    • excludedGroups = ["Dipendenti a contratto"]
includedUsers

In questo campo inserisci l’elenco degli utenti che devono essere inclusi esplicitamente.

  • Gli utenti specificati in questo campo sostituiranno gli utenti corrispondenti dei campi excludedGroups e excludedOUs.
  • Puoi specificare i singoli utenti inserendo il loro indirizzo e-mail. Puoi specificare tutti gli utenti che desideri.
  • Un esempio di sintassi di questo campo è il seguente:
    • includedUsers = ["utente@esempio.com"]
excludedUsers

In questo campo inserisci l’elenco degli utenti che devono essere esplicitamente esclusi.

  • Gli utenti specificati in questo campo saranno esclusi, indipendentemente da qualsiasi altra regola di inclusione.
  • Puoi specificare i singoli utenti inserendo il loro indirizzo e-mail. Puoi specificare tutti gli utenti che desideri. Un esempio di sintassi di questo campo è il seguente:
    • excludedUsers = ["utente@esempio.com","utente2@esempio.com"]

Se desideri sincronizzare dei gruppi, consulta la sezione Definire i gruppi da sincronizzare in basso.

Definire i gruppi da sincronizzare

Dopo aver definito i criteri per la sincronizzazione di utenti specifici, puoi modificare il file CONF anche per definire i criteri per i gruppi AD da sincronizzare. Questi gruppi AD verranno visualizzati come gruppi nella console KSAT.

Se un utente è membro di un gruppo in AD, sarà membro del gruppo corrispondente nella console KSAT. KnowBe4 non supporta gruppi all’interno di gruppi o gruppi nidificati.

È importante notare che è necessario sincronizzare gli utenti prima di poterli includere nei gruppi sincronizzati. Se desideri sincronizzare un gruppo ma il gruppo non include utenti sincronizzati, il gruppo non verrà sincronizzato.

Importante: gli unici tipi di gruppi che verranno sincronizzati nella console KSAT sono i gruppi di sicurezza e i gruppi di distribuzione. I gruppi all’interno delle UO incluse verranno aggiunti o sincronizzati come gruppi nella console. Tuttavia, l’UO stessa non verrà sincronizzata con la console.

Per modificare il file CONF e definire i gruppi da sincronizzare, procedi come descritto di seguito:

  1. Assicurati di aver sincronizzato utenti specifici. Per ulteriori informazioni, consulta la sezione Definire gli utenti da sincronizzare..
  2. Modifica i campi seguenti nella sezione [sync.groups] del file CONF. Per ulteriori informazioni su questi campi, vedi la tabella in basso.
Nota: questi campi distinguono le maiuscole dalle minuscole.
Nome campo Descrizione campo
includedOUs

In questo campo inserisci l’elenco delle UO da ricercare per sincronizzare i gruppi di sicurezza o di distribuzione.

  • Solo i gruppi trovati all’interno delle UO specificate saranno aggiunti come gruppi nella console KSAT.
  • Se stai includendo più UO, assicurati di utilizzare una sintassi corretta. Dovrai racchiudere le UO tra virgolette, separare le UO con la virgola e racchiudere le UO tra parentesi. Un esempio di sintassi per più UO è il seguente:
    • includedOUs = ["Account/Tutti gli utenti", "Sviluppo/Tutti gli utenti"]
excludedOUs

In questo campo inserisci l’elenco delle UO da ricercare per trovare i gruppi di sicurezza o di distribuzione che non devono essere sincronizzati.

  • Un esempio di sintassi di questo campo è il seguente:
    • excludedOUs = ["Collaboratori/Sviluppo/Tutti gli utenti"]
includedGroups

In questo campo, inserisci l’elenco di specifici gruppi di sicurezza o di distribuzione AD da sincronizzare.

  • Quando questi gruppi vengono sincronizzati, solo gli utenti inclusi nella sincronizzazione degli utenti verranno aggiunti al gruppo KSAT corrispondente. Questa opzione sostituisce tutti i gruppi esclusi dal campo excludedOUs nella sezione [sync.groups].
  • Un esempio di sintassi di questo campo è il seguente:
    • includedGroups = ["Vendite","Contabilità"]
excludedGroups

In questo campo, inserisci l’elenco di gruppi specifici che desideri escludere dalla sincronizzazione.

  • Questa opzione sostituisce i gruppi presenti nel campo includedOUs o nel campo includedGroups della sezione [sync.groups].
  • Un esempio di sintassi di questo campo è il seguente:
    • excludedGroups = ["Consulenti"]

Dopo aver modificato questi campi a tuo piacimento, salva il file CONF. Per salvare il file, dovrai ottenere l’autorizzazione alla scrittura.

Sincronizzare altre informazioni degli utenti

Dopo aver selezionato gli utenti e i gruppi specifici da sincronizzare, puoi modificare il file CONF anche per definire quali informazioni degli utenti devono essere sincronizzate tra l’account AD e l’account KSAT. Per definire quali informazioni degli utenti sincronizzare, puoi modificare la sezione [sync.fields] del file. Per impostazione predefinita, i campi della sezione [sync.fields] compileranno automaticamente i campi delle informazioni degli utenti della console KSAT con le informazioni definite in AD.

Per includere i campi AD in cui sono presenti informazioni dell’utente, puoi modificare il valore tra le virgolette di ogni campo. Se un campo è vuoto, significa che non esiste un campo corrispondente in AD. Puoi definire quali campi AD sincronizzare con KSAT aggiungendo manualmente un valore tra virgolette per ogni campo.

Se vuoi impedire la sincronizzazione di campi specifici, puoi eliminare il valore tra virgolette relativo a quel campo. Tuttavia, assicurati di non eliminare le virgolette o l’intera riga di testo. Se elimini l’intera riga di testo, AD aggiungerà automaticamente la riga di testo al campo e sincronizzerà il valore.

Nota: per impostazione predefinita, le lingue usate per il phishing e la formazione degli utenti vengono sincronizzate dal campo AD preferredLanguage. È possibile modificare il campo AD o rimuovere questi campi dalla sincronizzazione tramite le operazioni descritte nella sezione Casi d’uso della sincronizzazione riportata di seguito.
Suggerimento: è inoltre possibile limitare i dati che AD sincronizza con la console KSAT. Per ulteriori informazioni, leggi la sezione Sincronizzare le informazioni dell’articolo Domande frequenti su Integrazione Active Directory (ADI).

Per un elenco dei campi predefiniti disponibili nella sezione [sync.fields] del file CONF, continua a leggere.

Note: questi campi distinguono le maiuscole dalle minuscole.

[sync.fields]

comment = ""
custom-date-1 = ""
custom-date-2 = ""
custom-field-1 = ""
custom-field-2 = ""
custom-field-3 = ""
custom-field-4 = ""
department = "department"
division = ""
employee-number = "employeeNumber"
employee-start-date = "whenCreated"
first-name = "givenName"
last-name = ""
location = "physicalDeliveryOfficeName"
manager = "manager"
mobile-number = ""
organization = "o"
out-of-office-end = ""
phishing-language = "preferredLanguage"
phone-number = "telephoneNumber"
training-language = "preferredLanguage"
title = "title"
user-role = ""
Nota: il mapping dell’attributo “manager” non può essere modificato.

Campi SecurityCoach

Se hai abilitato i campi SecurityCoach durante la configurazione di ADI, nella sezione [sync.fields] del file CONF verranno visualizzati otto campi aggiuntivi. Questi campi possono essere usati per mappare automaticamente gli utenti KSAT agli eventi SecurityCoach. Inoltre, puoi utilizzare questi campi in SecurityCoach per mappare gli utenti agli identificatori. Quando queste informazioni saranno sincronizzate, verranno aggiunte alla sezione Campi SecurityCoach della pagina Informazioni sull’utente.

Per un elenco di questi campi SecurityCoach e delle loro mappature predefinite, continua a leggere.

Nota: questi campi distinguono le maiuscole dalle minuscole.
company-name = "company"
country = "co"
employee-type = "employee type"
hostname = "userWorkstations"
last-password-change-date-time = "pwdLastSet"
mail-nickname = "mail"
on-premises-sam-account-name = "sAMAccountName"
on-premises-security-identifier = "objectSid"
user-principal-name = "userPrincipalName"

Casi d’uso della sincronizzazione

In basso sono riportati alcuni esempi di casi d’uso in cui è opportuno controllare quali campi AD vengono sincronizzati con la console KSAT.

Caso d’uso: esclusione di campi dalla sincronizzazione AD

Se nella console KSAT vuoi utilizzare dei campi personalizzati, puoi escludere questi campi dalla sincronizzazione AD. Questa esclusione si applica solo ai campi personalizzati. Se lasci dei campi vuoti diversi da quelli personalizzati, i relativi valori saranno cancellati in KSAT.

Per escludere i campi personalizzati dalla sincronizzazione AD, includi la seguente sintassi nella sezione [sync.fields] del tuo file CONF. Nella sintassi in basso, tutti i campi personalizzati sono vuoti o i valori tra le virgolette sono stati rimossi:

[sync.fields]

comment = ""
custom-date-1 = ""
custom-date-2 = ""
custom-field-1 = ""
custom-field-2 = ""
custom-field-3 = ""
custom-field-4 = ""
department = "department"
division = ""
employee-number = "employeeNumber"
employee-start-date = "whenCreated"
first-name = "givenName"
last-name = ""
location = "physicalDeliveryOfficeName"
manager = "manager"
mobile-number = ""
organization = "o"
out-of-office-end = ""
phishing-language = "preferredLanguage"
phone-number = "telephoneNumber"
title = "title"
training-language = "preferredLanguage"
user-role = ""

Caso d’uso: esclusione delle divisioni e delle sedi degli utenti

Se vuoi sincronizzare i reparti degli utenti ma non le loro divisioni o sedi, includi la seguente sintassi nella sezione [sync.fields] del file CONF. Nella sintassi in basso, i campi divisione e località sono vuoti o i valori tra le virgolette sono stati rimossi:

[sync.fields]

comment = ""
custom-date-1 = ""
custom-date-2 = ""
custom-field-1 = ""
custom-field-2 = ""
custom-field-3 = ""
custom-field-4 = ""
department = "department"
division = ""
employee-number = "employeeNumber"
employee-start-date = "whenCreated"
first-name = "givenName"
last-name = ""
location = ""
manager = "manager"
mobile-number = ""
organization = "o"
out-of-office-end = ""
phishing-language = "preferredLanguage"
phone-number = "telephoneNumber"
title = "title"
training-language = "preferredLanguage"
user-role = ""

Caso d’uso: inclusione di tutti i campi nella sincronizzazione AD

Per includere tutti i campi nella sincronizzazione AD, includi la seguente sintassi nella sezione [sync.fields] del file CONF. Nella sintassi in basso, tutti i campi hanno un valore tra virgolette:

[sync.fields]

comment = “This is a comment!“
custom-date-1 = “This is my custom-date-1 field.“
custom-date-2 = "This is my custom-date-2 field."
custom-field-1 = "This is my custom-field-1”
custom-field-2 = "This is my custom-field-2.”
custom-field-3 = "This is my custom-field-3”
custom-field-4 = "This is my custom-field-4”
department = "department"
division = “division”
employee-number = "employeeNumber"
employee-start-date = "whenCreated"
first-name = "givenName"
last-name = “last-name”
location = "physicalDeliveryOfficeName"
manager = "manager"
mobile-number = “mobile“
organization = "o"
out-of-office-end = ""
phishing-language = "preferredLanguage"
phone-number = "telephoneNumber"
title = "title"
training-language = "preferredLanguage"
user-role = ""

Questo articolo è stato utile?

Utenti che ritengono sia utile: 10 su 13

Non trovi quello che stai cercando?

Contatta l’assistenza