Integrazione Active Directory

Condividi

Questo articolo è utile?

Ultimo aggiornamento:

Guida alla configurazione avanzata di Integrazione Active Directory (ADI)

Dopo la configurazione iniziale di Active Directory (AD) puoi personalizzare la sincronizzazione con altre opzioni per soddisfare le esigenze della tua organizzazione. Per ulteriori informazioni, leggi le sezioni seguenti. Per maggiori informazioni sull’integrazione Active Directory (ADI) di base e i processi di installazione e configurazione, consulta la Guida alla configurazione di integrazione Active Directory (ADI).

Creazione di un account del servizio ADI in Active Directory

Per impostare l’ADI, devi utilizzare o creare un account in AD che disponga delle seguenti autorizzazioni:

  • Leggi tutte le informazioni degli utenti
  • Leggi tutte le informazioni inetOrgPerson

Per creare un utente AD con le necessarie autorizzazioni di lettura, effettua le seguenti operazioni:

  1. Apri Utenti e computer di Active Directory.

  2. Fai clic con il tasto destro del mouse sul tuo dominio e seleziona Delega controllo. Quando selezioni Delega controllo, si apre la finestra modale Delega del controllo.

  3. Nella finestra modale Delega del controllo, aggiungi il tuo account del servizio ADI creato precedentemente.

  4. Delega l’attività Leggi tutte le informazioni degli utenti e l’attività Leggi tutte le informazioni inetOrgPerson.

  5. Infine, per utilizzare il tuo nuovo account del servizio AD con ADI devi riconfigurare il tuo servizio di sincronizzazione ADI KnowBe4.

Per modificare l’utente specificato, effettua le seguenti operazioni:

  1. Accedi alla cartella C:\ProgramData\KnowBe4\ADI Sync\Config\ ed elimina il file <dominio>.dat.
  2. Apri il prompt dei comandi come amministratore e accedi alla cartella C:\Program Files\KnowBe4\ADI Sync\, quindi digita “adisync.exe config”.

Modifica della posizione di estrazione degli indirizzi e-mail in Active Directory

Per impostazione predefinita, la sincronizzazione ADI sincronizzerà tutti gli indirizzi e-mail proxy relativi ai tuoi utenti. Tuttavia, puoi modificare la posizione di estrazione degli indirizzi e-mail in Active Directory. Inoltre, puoi scegliere se sincronizzare solo gli indirizzi e-mail proxy principali degli utenti. Apri il file adisync.conf contenuto nella cartella C:\ProgramData\KnowBe4\ADI Sync\Config. Per impostazione predefinita, saranno visualizzati i seguenti campi:

  • emailAttribute = "proxyAddresses"
  • primaryProxyOnly = false
Nota: se questi campi non sono visualizzati, accertati di modificare il file adisync.conf e non il file <dominio>.conf. Se il campo emailAttribute non è presente nel tuo file adisync.conf, probabilmente stai utilizzando una versione non aggiornata di ADI. Se devi eseguire delle modifiche nel campo emailAttribute, aggiorna ADI alla versione più recente.

Per maggiori informazioni su quale sincronizzazione degli indirizzi e-mail dei tuoi utenti modificare, consulta l’elenco seguente:

Nota: questi campi distinguono le maiuscole dalle minuscole.
  • Solo proxy primario: se desideri utilizzare solo l’indirizzo proxy primario per ciascun utente, modifica il valore del campo primaryProxyOnly da “false” a “true”. Salva il file adisync.conf, quindi avvia nuovamente il servizio ADI. Questo processo garantirà che nessun indirizzo e-mail alias sarà sincronizzato.

  • Attributo Mail: se desideri che la sincronizzazione utilizzi l’attributo Mail anziché proxyAddresses, modifica il valore del campo emailAttribute in “mail” da “proxyAddresses”. Salva il file adisync.conf, quindi avvia nuovamente il servizio di sincronizzazione ADI KnowBe4.

    Importante: indipendentemente dal campo utilizzato per la sincronizzazione, l’attributo mail relativo a un utente non può essere vuoto. Per gli scopi dell’ADI, questo valore non deve essere un dominio valido. Per maggiori informazioni, contatta il tuo team di assistenza.
  • Nome principale utente: se desideri che la sincronizzazione utilizzi userPrincipalName (UPN) anziché proxyAddresses, modifica il campo emailAttribute da “proxyAddresses” a “userPrincipalName”. Salva il file adisync.conf, quindi avvia nuovamente il servizio di sincronizzazione ADI KnowBe4.

Visualizzazione degli indirizzi e-mail e proxy in Active directory

Per visualizzare gli indirizzi e-mail e proxy di un utente in Active Directory, effettua le seguenti operazioni. Questa procedura può essere utilizzata anche per visualizzare il PrincipalName di un utente.

  1. Nella finestra Utenti e computer di Active Directory, fai clic su Visualizza nella barra degli strumenti.

  2. Nel menu a discesa Visualizza, seleziona Funzioni avanzate.

  3. Fai doppio clic su un utente per aprire la finestra pop-up Proprietà utente.
  4. Nella finestra pop‑up Proprietà utente, seleziona la scheda Editor attributi.

  5. Per visualizzare l’indirizzo e‑mail dell’utente, individua la colonna Attributo per mail. Seleziona mail, quindi fai clic sul pulsante Modifica.

  6. Quando fai clic su Modifica, si apre la finestra pop-up Editor attributo stringa. Da questa finestra pop-up, puoi modificare il Valore dell’attributo mail.

  7. Per visualizzare l’indirizzo proxy dell’utente, individua la colonna Attributo per proxyAddresses. Seleziona proxyAddresses, quindi fai clic sul pulsante Modifica.

  8. Quando fai clic sul pulsante Modifica, si apre la finestra pop-up Editor stringa multi-valore, in cui puoi aggiungere o rimuovere un Valore all’attributo proxyAddresses.

Supporto di sorgenti dominio multiple

Se i tuoi utenti sono divisi tra più sorgenti dominio, dovrai eseguire una configurazione per ciascun dominio con oggetti utente che dovranno essere sincronizzati.

Per ogni dominio aggiuntivo dovrai eseguire il file di configurazione adisync.exe nella directory di installazione dello strumento di sincronizzazione ADI. L’esecuzione della configurazione della sincronizzazione ADI una seconda volta creerà file <dominio>.conf aggiuntivi che dovranno essere modificati per specificare i criteri di filtraggio per la sincronizzazione.

Nota: per abilitare il supporto al dominio sorgente multiplo, verifica di aver già installato lo strumento di sincronizzazione ADI. Non è necessario installare nuovamente lo strumento di sincronizzazione ADI, perché una seconda installazione potrebbe archiviare i tuoi utenti.

Per eseguire la configurazione della sincronizzazione ADI per il supporto al dominio sorgente multiplo, effettua le seguenti operazioni:

  1. Apri il prompt dei comandi in modalità amministratore.
  2. Accedi alla directory del sistema di sincronizzazione ADI. La posizione predefinita della directory di sistema è C:\Program Files\KnowBe4\ADI Sync.

  3. Digita il comando riportato sotto e premi il tasto Invio:

    adisync.exe config
  4. Inserisci i dettagli del controller di dominio aggiuntivo e del dominio. Per ulteriori dettagli, consulta il passaggio 7 nella sezione Installazione e configurazione della Guida alla configurazione di Integrazione Active Directory (ADI).
  5. Una volta creato il file aggiuntivo <dominio>.conf in C:\ProgramData\KnowBe4\ADI Sync\Config, modifica il file per specificare le informazioni che desideri sincronizzare. Per ulteriori dettagli, consulta la Guida alla configurazione di Integrazione Active Directory (ADI).
  6. Salva il file <dominio>.conf.
  7. Dopo aver ripetuto questa procedura per tutti i domini aggiuntivi, puoi avviare la sincronizzazione.
Nota: il sistema in cui installi il sistema di sincronizzazione ADI deve potersi collegare a ciascun controller di dominio.

Installazione della nuova versione di ADI

Per installare la nuova versione di ADI senza disinstallare la versione precedente:

  1. Scarica il nuovo programma di installazione dalle tue Impostazioni account KSAT.
  2. Esegui il programma di installazione.

  3. Se richiesto, fai clic su per utilizzare i dati relativi alla precedente installazione.

    Completata l’installazione, il servizio di sincronizzazione ADI KnowBe4 si avvierà automaticamente. Puoi verificare che il servizio sia in esecuzione correttamente nel menu servizi di Windows.

I tuoi utenti dovranno continuare ad eseguire la sincronizzazione come previsto.

Sincronizzazione dei campi personalizzati

I profili utente nella tua console KnowBe4 includono campi personalizzati che puoi utilizzare per sincronizzare informazioni aggiuntive dalla tua Active Directory. Per specificare le informazioni che desideri sincronizzare per i campi personalizzati, modifica il file <dominio>.conf quindi avvia il servizio nuovamente per applicare le modifiche alla sincronizzazione. Per maggiori informazioni, consulta la sezione Sincronizzazione di altre informazioni degli utenti per KnowBe4.

Nota: i campi di sincronizzazione personalizzati sono disponibili con ADI versione 1.0.16.5 e versioni successive. Se il tuo file <dominio>.conf non contiene i campi personalizzati, devi installare la nuova versione di ADI. Il file o i file <dominio>.conf esistenti saranno aggiornati per includere i campi di sincronizzazione personalizzati. Se decidi di utilizzare questi nuovi campi personalizzati, devi avviare nuovamente il servizio di sincronizzazione ADI KnowBe4 per applicare le modifiche alla sincronizzazione.

Attivazione dei campi SecurityCoach

Se hai già configurato ADI e il tuo abbonamento include SecurityCoach, puoi abilitare i campi SecurityCoach installando la nuova versione di ADI. Se utilizzi già la versione più aggiornata e i campi SecurityCoach non sono abilitati, devi riconfigurare ADI per abilitare questi campi.

Nota: se stai installando la versione più aggiornata di ADI, verifica di impostare Abilita campi SecurityCoach su true. Per ulteriori informazioni, consulta la sezione Installazione e configurazione della Guida alla configurazione di Integrazione Active Directory (ADI).

Per riconfigurare ADI e abilitare i campi SecurityCoach, effettua le seguenti operazioni:

  1. Arresta il Servizio di sincronizzazione ADI KnowBe4 nel menu servizi di Windows.
  2. Accedi alla directory di sistema \ADIsync. La posizione predefinita della directory di sistema è C:\ProgramData\KnowBe4\ADI Sync\Config\.
  3. Rinomina il file <dominio>.conf in "<dominio>-OLD.conf".
  4. Sposta il file <dominio>-OLD.conf in una directory differente.
  5. Accedi alla directory di installazione C:\Program Files\KnowBe4\ADI Sync\ e apri un prompt dei comandi con livello elevato.
  6. Nel prompt dei comandi, esegui adisync.exe config.
  7. Riconfigura ADI inserendo le stesse informazioni inserite precedentemente, ma imposta il valore Abilita campi SecurityCoach su true. Una volta riconfigurato ADI, sarà compilato un nuovo file <dominio>.conf nella directory \Config .
  8. Apri il file <dominio>-OLD.conf e il nuovo file <dominio>.conf.
  9. Copia i dati della sezione [sync.users] del file <dominio>-OLD.conf e incollali nel nuovo file <dominio>.conf.
  10. Copia i dati della sezione [sync.groups] del file <dominio>-OLD.conf e incollali nel nuovo file <dominio>.conf.
  11. (Facoltativo) Se hai personalizzato la sezione [sync.fields] del file <dominio>-OLD.conf, puoi applicare le stesse personalizzazioni al nuovo file <dominio>.conf.
  12. Avvia il Servizio di sincronizzazione ADI KnowBe4.

Questo articolo è stato utile?

Utenti che ritengono sia utile: 6 su 9

Non trovi quello che stai cercando?

Contatta l’assistenza