Configurare SCIM per Microsoft Entra ID

In questo articolo imparerai come configurare SCIM con Microsoft Entra ID (ex Azure Active Directory). La configurazione di SCIM per Microsoft Entra ID ti consentirà di aggiungere e gestire utenti e gruppi nella tua console KSAT utilizzando Microsoft Entra ID.

Le istruzioni in questo articolo si riferiscono a software di terze parti. Se si verificano problemi con il provisioning degli utenti in Microsoft Entra ID, ti consigliamo di contattare Microsoft Entra per ricevere istruzioni specifiche. Puoi anche contattare il nostro team di supporto team di supporto (il link si apre in una nuova finestra). Saremo lieti di aiutarti.

Nota:per sincronizzare utenti e gruppi con SCIM devi avere un abbonamento Microsoft Entra. Per ulteriori informazioni sulla sincronizzazione di utenti e gruppi tramite Microsoft Entra, consulta l’articolo di Microsoft Gestire assegnazioni di utenti e gruppi a un’applicazione .

Configurare SCIM

In questa sezione imparerai come configurare le impostazioni SCIM con Microsoft Entra. Ti ricordiamo che devi configurare questi passaggi solo dopo aver configurato le tue impostazioni nella console KSAT. Per informazioni su come configurare SCIM nella console KSAT, consulta la Guida alla configurazione SCIM.

Per configurare le impostazioni SCIM con Microsoft Entra, segui i passaggi seguenti:

Accedi al portale Azure all’indirizzo https://portal.azure.com/ https://portal.azure.com/ (il collegamento si apre in una nuova finestra).
Nel riquadro Gestisci Microsoft Entra ID seleziona il pulsante Visualizza dalla pagina Home del portale Azure.
Dal menu a discesa + Aggiungi, seleziona Applicazione aziendale.
Nella barra di ricerca della galleria Microsoft Entra, digita “KnowBe4” per filtrare i risultati.
Seleziona il riquadro Corso sulla consapevolezza della sicurezza di KnowBe4.
Nella finestra pop-up visualizzata nella parte destra della schermata seleziona Crea.
Dopo aver fatto clic su Crea, passerai alla pagina Panoramica dell’applicazione che hai creato.
1. Se non vieni indirizzato alla pagina Panoramica, dovrai aprire l’applicazione dall’elenco Applicazioni aziendali. Puoi trovare le Applicazioni aziendali facendo clic su Tutti i servizi nel riquadro più a sinistra, quindi Recenti dal menu accordion che si apre, poi Applicazioni aziendali.
Seleziona il collegamento Inizia nel riquadro Crea account utente sotto l’intestazione Guida introduttiva.
Seleziona + Nuova configurazione.
Inserisci quindi le informazioni dalla pagina Impostazioni account. Per maggiori informazioni su dove trovare queste informazioni, consulta la nostra Guida alla configurazione SCIM. Nel campo URL tenant inserisci l’URL del tenant. Nel campo Token segreto inserisci il Token SCIM.

Importante: al momento questa funzione non è attiva con il provisioning on-demand.
Una volta inserite le informazioni, seleziona il pulsante Prova la connessione. Cliccando su questo pulsante ti assicuri di aver inserito le informazioni corrette. Se la connessione è riuscita, apparirà un banner corrispondente nell’angolo in alto a destra dello schermo.
Seleziona il pulsante Salva nella parte alta della schermata.

Definire gli utenti e i gruppi da sincronizzare con Microsoft Entra

Nota: le istruzioni in questa sezione definiscono come utenti e gruppi specifici devono essere sincronizzati. Se desideri sincronizzare tutti gli utenti e gruppi da Microsoft Entra ID, leggi la sezione Domande frequenti (FAQ) di questo articolo.

Dopo aver proceduto come indicato nella sezione Configurare SCIM, puoi definire quali utenti e gruppi sincronizzare. Questa configurazione è necessaria per sincronizzare utenti e gruppi dal tuo provider di identità (IdP).

Importante: i gruppi annidati non sono attualmente supportati da SCIM e Microsoft Entra ID provisioning. Per ulteriori informazioni, consulta la sezione Ambito dell’articolo di Microsoft Funzionamento del provisioning di applicazioni in Microsoft Entra ID .

Per determinare quali utenti e gruppi vuoi sincronizzare da Microsoft Entra ID, segui i passaggi seguenti:

Da Microsoft Entra ID vai su Applicazioni aziendali.
Seleziona l’applicazione che hai creato per la connessione KnowBe4.
Seleziona Assegna utenti e gruppi nel riquadro Assegna utenti e gruppi.
Seleziona + Aggiungi utente/gruppo per selezionare gli utenti o i gruppi che desideri sincronizzare.
Seleziona Nessun selezionato per cercare utenti o gruppi che desideri includere nella tua sincronizzazione. Per aggiungere un utente o un gruppo, fai clic sul suo nome. In questo modo saranno visualizzati nel pannello laterale Selezionati.

Nota: ti consigliamo di includere solo pochi utenti la prima volta che configuri queste impostazioni. Partire con pochi utenti ti consente di verificare che la connessione funzioni correttamente prima di aggiungere tutti gli utenti e i gruppi che vuoi includere.
Una volta aggiunti gli utenti e i gruppi che vuoi includere nella categoria Selezionati, fai clic su Seleziona.
Seleziona Assegna.

Gli utenti e i gruppi selezionati verranno ora visualizzati nella scheda.

Avviare la sincronizzazione

Dopo aver configurato le impostazioni di SCIM e aver aggiunto gli utenti e i gruppi da sincronizzare, puoi avviare la sincronizzazione. Una volta avviata la sincronizzazione, il sistema verificherà in automatico ogni 40 minuti se sono state apportate modifiche agli utenti e ai gruppi in Microsoft Entra ID e, in caso affermativo, avvierà la sincronizzazione.

Nota:se nella tua applicazione di provisioning SCIM sono presenti migliaia di utenti, è probabile che non tutti gli utenti vengano inclusi nella sincronizzazione iniziale. Gli utenti verranno sincronizzati a più riprese. Consigliamo di mantenere il provisioning degli utenti in modalità Test fino a quando il numero di modifiche tra un rapporto di sincronizzazione e l’altro non risulterà essere esiguo. Attendere fino a quando saranno presenti solo poche modifiche eviterà che gli utenti vengano archiviati nella console KSAT. Inoltre, la sincronizzazione dei membri dei gruppi può richiedere più tempo della sincronizzazione degli utenti. Se hai un account grande, è probabile che nella console KSAT vengano visualizzate sincronizzazioni periodiche.

Per avviare la sincronizzazione, procedi come descritto di seguito:

Da Microsoft Entra ID vai su Applicazioni aziendali.
Seleziona l’applicazione che hai creato per la connessione KnowBe4.
Dal menu a sinistra della pagina, seleziona Provisioning.
Fai clic su Avvia provisioning.

La sincronizzazione verrà avviata immediatamente. Una volta avviata la sincronizzazione, il sistema verificherà ogni 40 minuti se sono state apportate modifiche e, in caso affermativo, avvierà la sincronizzazione.

Importante:dopo aver verificato che la sincronizzazione degli utenti è corretta, dovrai disattivare la Modalità test nelle Impostazioni account di KSAT. Disattivando la modalità Test, gli utenti potranno essere aggiunti e archiviati durante la successiva sincronizzazione. Per ulteriori informazioni sulla modalità test, consulta la Guida alla configurazione SCIM.

Per vedere lo stato di queste sincronizzazioni ed eventuali errori o altre informazioni sulle sincronizzazioni, vai su Provisioning degli utenti nella console KSAT.

Opzioni di configurazione avanzate

Quando abiliti la sincronizzazione SCIM con Entra ID, i dati utente esistenti nella console KnowBe4 saranno sovrascritti dal provider di identità SCIM. Prima di procedere, verifica le informazioni visualizzando l’anteprima di una campagna in modalità prova per garantire che gli stati dei gruppi e degli utenti siano correttamente configurati in Entra ID. Questa operazione consentirà di evitare perdite di dati non previste. Gli utenti non inclusi nella sincronizzazione saranno automaticamente archiviati, proteggendo i loro dati e conservando i record storici.

Importante: gli alias e‑mail non sono attualmente supportati dal provisioning SCIM.

Per saperne di più sulle opzioni di configurazione avanzata per Microsoft Entra, leggi le sezioni qui di seguito:

Mapping di default

I mapping dei campi di default sono indicati qui di seguito:

Attributo Default Azure Active Directory	Attributo KSAT	Campo KSAT
userPrincipalName	userName	E‑mail
givenName	name.givenName	Nome
surname	name.familyName	Cognome
employeeId	urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber	Numero dipendente
jobTitle	title	Titolo professionale
department	urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department	Reparto
manager	urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager.value Nota:per sincronizzare le informazioni dei manager, i manager applicabili devono essere inclusi nella sincronizzazione. Per aggiungerli alla sincronizzazione leggi la sezione Definire gli utenti e gruppi da sincronizzare con Microsoft Entra.	E‑mail del manager
displayName dal profilo Entra ID del manager	displayName Nota:il displayName per un utente è quello del profilo Entra ID del manager. Di conseguenza il displayName di un utente non apparirà sul suo profilo utente in KSAT perché è stato sincronizzato usando altri attributi, ma apparirà nei profili utente dei suoi rapporti diretti.	Nome del manager

Nota:i campi Divisione e Organizzazione non sono mappati per impostazione predefinita. Se hai intenzione di utilizzare questi campi dovrai aggiungere il mapping. Puoi aggiungere questi attributi seguendo le istruzioni nella sezione Aggiungere il mapping degli attributi per i campi degli utenti personalizzati.

Attributo Default Azure Active Directory	Attributo KSAT	Campo KSAT
N/D	N/D	Fuso orario
N/D	N/D	Interno
N/D	N/D	Commento
N/D	N/D	Data inizio dipendente

Modificare i mapping di default

Puoi modificare i mapping di default per personalizzare le informazioni degli utenti da sincronizzare tra Microsoft Entra e la console KSAT.

Per modificare i mapping di default, procedi come descritto di seguito:

Da Microsoft Entra ID vai su Applicazioni aziendali.
Seleziona l’applicazione che hai creato per la connessione KnowBe4.
Dal menu a sinistra della pagina, seleziona Provisioning.
Dalla finestra Provisioning fai clic su Modifica i mapping degli attributi alla voce Gestisci il provisioning.
Fai clic sulla freccia a tendina Mapping per ampliare la scheda Mapping.
Fai clic su Utenti Provision Azure Active Directory.
Scorri verso il basso fino alla sezione Mapping degli attributi. Da questa sezione vedrai un elenco di tutti gli attributi che sono stati mappati. La colonna Attributo Azure Active Directory mostra il nome dell’attributo in Microsoft Entra. La colonna Attributo KnowBe4 mostra il nome standard SCIM per questo attributo.
Seleziona l’attributo che vorresti modificare.
Personalizza l’attributo nel pannello laterale Modifica attributo. Per maggiori dettagli sulle opzioni di personalizzazione, vedi l’elenco qui sotto:
1. Tipo di mapping: seleziona Diretto nel menu a discesa.
2. Attributo di origine: seleziona il campo Azure che vuoi mappare per questo campo personalizzato.
  
  Nota:se stai utilizzando SCIM per Microsoft Entra ID, questo attributo deve essere uguale all’attributo di origine. Per impostazione predefinita, l’Attributo di origine SCIM è user.userprincipalname. Per maggiori informazioni vedi la sezione Aggiungi l’applicazione KnowBe4 ad Azure AD dell’articolo Come configuro SSO/SAML con Azure Active Directory (AD)?.
3. Valore di default se zero: questo campo è opzionale e consigliamo di lasciarlo in bianco.
4. Attributo di destinazione: seleziona il campo personalizzato che vuoi mappare per il campo Azure selezionato.
5. Abbina gli oggetti usando questo attributo: ti consigliamo di selezionare No.
6. Applica questo mapping: ti consigliamo di selezionare Sempre.
  
  Nota:se c’è un attributo che non vuoi sincronizzare, fai clic sul pulsante Elimina accanto a quell’attributo per disabilitare la sincronizzazione. Questa azione eliminerà solo la connessione tra questo attributo e il campo corrispondente nella console KSAT. Non saranno eliminati dati da Azure.
Una volta apportate le modifiche desiderate, fai clic su Ok.

Nota:ti consigliamo di modificare solo il campo Attributo di origine. Modificare le altre impostazioni dell’attributo può interrompere la connessione tra Microsoft Entra e la console KSAT.

Aggiungere il mapping degli attributi per i campi degli utenti personalizzati

Puoi anche aggiungere sei campi personalizzati. Questi campi non vengono mappati automaticamente, ma puoi aggiungerli alla piattaforma Microsoft Entra effettuando le seguenti operazioni:

Da Microsoft Entra ID vai su Applicazioni aziendali.
Seleziona l’applicazione che hai creato per la connessione KnowBe4.
Dal menu a sinistra della pagina, seleziona Provisioning.
Dalla finestra Provisioning fai clic su Edit attribute mappings (Modifica mapping attributi) sotto Manage provisioning (Gestisci provisioning).
Fai clic sulla freccia a tendina Mapping per ampliare la scheda Mapping.
Fai clic su Utenti Provision Azure Active Directory.
Fai clic su Aggiungi nuovo mapping in fondo alla tabella.
Dalla finestra Modifica attributo, seleziona l’Attributo di origine che desideri usare.

Poi seleziona l’Attributo target che desideri utilizzare. Offriamo i seguenti campi personalizzati:

Nota: è importante seguire il formato delle lingue supportate, prestando attenzione alle lettere maiuscole e minuscole.

Campo KSAT	Attributo target
Campo personalizzato 1	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField1
Campo personalizzato 2	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField2
Campo personalizzato 3	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField3
Campo personalizzato 4	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField4
Custom Date 1 (Data personalizzata 1)	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customDate1 Importante:le date in questo campo devono avere il formato ISO 8601. Il formato è il seguente: AAAA-MM-GG “T” hh:mm:ssZ. Ad esempio, 2022-04-04T04:23:30Z.
Custom Date 2 (Data personalizzata 2)	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customDate2 Importante:le date in questo campo devono avere il formato ISO 8601. Il formato è il seguente: AAAA-MM-GG “T” hh:mm:ssZ. Ad esempio, 2022-04-04T04:23:30Z.
Divisione	urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division
Organizzazione	urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization
Fuori ufficio - Fine	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:outOfOfficeEnd
Lingua del phishing	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:phishingLanguage
Lingua della formazione	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:trainingLanguage
Tipo di utente	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:userRole

Attributo Microsoft Entra ID predefinito	Attributo KSAT	Campo KSAT
physicalDeliveryOfficeName	addresses[type eq "work"].formatted	Località
telephoneNumber	phoneNumbers[type eq "work"].value	Numero di telefono
cellulare	phoneNumbers[type eq "mobile"].value	Numero di cellulare

Attributi presenti nello schema per impostazione predefinita:

Campo KSAT	Attributo target
Nome dell’azienda	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:companyName
Paese	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:country
Tipo di dipendente	userType
Nome host	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:hostname
Nickname della posta	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:mailNickName
Nome dell’account SAM	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:onPremisesSamAccountName
Identificatore di sicurezza	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:onPremisesSecurityIdentifier
Nome dell’utente principale	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:userPrincipalName
Ultima modifica della password	urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:lastPasswordChangeDateTime Importante: per il campo Ultima modifica della password il tipo di attributo target deve essere impostato su DateTime.

Offriamo inoltre i seguenti campi personalizzati per il mapping degli utenti in SecurityCoach:

Consigliamo di lasciare le altre impostazioni come da default.
Ripeti il passaggio 8 per tutti i campi personalizzati che hai aggiunto nel passaggio 7.
Fai clic su Salva nella parte in alto della schermata per salvare le modifiche.

Questi campi personalizzati ora si sincronizzeranno con la console KSAT.

Domande frequenti (FAQ)

Di seguito sono elencate le domande più frequenti sull’uso di SCIM con Microsoft Entra ID.

Con che frequenza si verificano le sincronizzazioni?

Il sistema verificherà ogni 40 minuti gli aggiornamenti per utenti e gruppi in Microsoft Entra ID. Se rileva cambiamenti, la sincronizzazione partirà in automatico. Tuttavia, puoi forzare una sincronizzazione in qualsiasi momento facendo clic sul pulsante Forza sincronizzazione ora nella sezione Impostazioni SCIM delle Impostazioni account KSAT.

Come si ripristina il mapping predefinito?

Puoi ripristinare il mapping di default in qualsiasi momento seguendo i seguenti passaggi:

Vai su Applicazioni aziendali.
Seleziona l’applicazione che hai creato per la connessione KnowBe4.
Dal menu a sinistra della pagina, seleziona Provisioning.
Fai clic su Modifica il mapping degli attributi alla voce Gestisci provisioning.
Fai clic sulla freccia a tendina Mappings per ampliare il menu a tendina Mappings.
Seleziona Ripristina il mapping di default.
Fai clic su Salva nella parte in alto della schermata.

Come sincronizzo tutti gli utenti e i gruppi?

Se desideri sincronizzare tutti gli utenti e i gruppi da Microsoft Entra ID, segui i passaggi seguenti:

Vai all’applicazione che hai configurato per la connessione SCIM.
Vai a Provisioning.
Seleziona Modifica provisioning nella parte in alto della schermata o seleziona Aggiungi filtri di scoping alla voce Gestisci provisioning.
Fai clic sul menu a tendina Impostazioni.
Dal menu a tendina Scope seleziona Sincronizza tutti gli utenti e gruppi.
Fai clic su Salva nella parte in alto della pagina.

Non sono in grado di assegnare gli utenti a un’applicazione per gruppo. Come posso limitare il numero di utenti sincronizzati con la mia console KSAT?

Per limitare il numero di utenti sincronizzati con la console KSAT puoi configurare un filtro di scoping. Per ulteriori informazioni sulla creazione di un filtro per l’ambito, vedere l’articolo di Microsoft Definire l’ambito degli utenti o gruppi di cui effettuare il provisioning con i filtri per la definizione dell’ambito Definire l’ambito degli utenti o gruppi di cui effettuare il provisioning con i filtri per la definizione dell’ambito (il link si apre in una nuova finestra).

SCIM