Integração com o Active Directory

Guia de configuração da Integração com o Active Directory (ADI)

É possível usar o recurso de Integração com o Active Directory (ADI) da KnowBe4 para integrar o Active Directory (AD) da sua organização ao console do KSAT. Após configurar a ADI, os usuários e grupos serão automaticamente adicionados, alterados e arquivados no console do KSAT com base nas informações recebidas do seu AD. Vale a pena observar que este é um processo de sincronização unidirecional, ou seja, nenhuma informação será retornada pelo console do KSAT ao AD. 

Para saber como a configuração da ADI pode beneficiar sua organização, consulte o artigo Benefícios da configuração da Integração com o Active Directory (ADI). Se tiver preferência por tutoriais em vídeo para aprender a configurar a ADI, assista ao vídeo Integração com o Active Directory (ADI). Como opção, caso pretenda usar o SCIM para sincronizar seus usuários, consulte o Guia de configuração do SCIM.

Observação:dependendo do ambiente da sua organização, talvez sejam necessárias opções de configuração avançada. Para obter mais informações sobre as opções de configuração avançada, consulte o Guia de configuração avançada da Integração com o Active Directory (ADI).

Como a ADI funciona nas contas de usuários existentes

Se você já tiver adicionado usuários ao seu console do KSAT, há alguns elementos dos quais precisa estar ciente antes de configurar a ADI. Para obter mais informações, consulte a seguinte lista:

  • Após configurar a ADI, os dados sincronizados no seu AD serão considerados confiáveis. As seguintes ações serão executadas durante as sincronizações entre o console do KSAT e o AD:
    • Os usuários não encontrados no AD serão arquivados no console do KSAT.
    • As alterações que você fizer nas informações de um usuário no console do KSAT serão substituídas pelos dados contidos no AD.
  • As contas de usuários existentes no console do KSAT antes da execução da ADI serão consideradas como gerenciadas pelo console. Quando os usuários são gerenciados pelo console, é possível editar as informações desses usuários enviando um arquivo CSV ao seu console ou editando os perfis de usuário diretamente no console. 
    • Após configurar a ADI e ocorrer a primeira sincronização do AD, os usuários serão considerados como gerenciados pelo AD. Quando os usuários são gerenciados pelo AD, é necessário editar as informações desses usuários no AD. Por sua vez, as alterações realizadas serão transferidas para o console do KSAT na próxima sincronização.
  • Durante a primeira sincronização do AD, o console do KSAT corresponderá automaticamente as contas de usuários gerenciados pelo console às contas existentes no AD. Esse processo converterá os usuários de gerenciados pelo console para gerenciados pelo AD. Confira a seguir o passo a passo de como esse processo funciona:
    1. Você deverá instalar e configurar a ferramenta de sincronização da ADI no seu ambiente. Para obter detalhes, consulte a seção Instalação e configuração, neste artigo.
    2. Você deverá configurar as informações que deseja sincronizar em seu AD. Para obter detalhes, consulte a seção Definição de quais unidades organizacionais, grupos e usuários sincronizar, neste artigo.
    3. Em seguida, o serviço de sincronização da ADI faz consultas ao seu AD ou aos diretórios em busca de informações dos usuários e grupos e envia os resultados aos servidores da KnowBe4.
    4. Os servidores da KnowBe4 analisam as informações recebidas do seu AD e atualizam automaticamente os usuários e grupos no console do KSAT, de acordo com a seguinte lógica:

      Se determinado usuário do AD tiver um endereço de e-mail que corresponda a uma conta existente no console do KSAT, a conta de usuário do console do KSAT passará a ser gerenciada pelo AD.

      Se o usuário do AD não for encontrado no console do KSAT, será criada uma conta de usuário gerenciada pelo AD.

      Depois que todos os usuários do AD forem processados, as contas do console que não se tornaram gerenciadas pelo AD serão arquivadas.

Após configurar a ADI, as informações do usuário permanecerão atualizadas no AD da sua organização.

Pré-requisitos

Antes de configurar a ADI, certifique-se de que seu ambiente atenda aos seguintes requisitos básicos:

  1. A sua organização deverá ter o Microsoft Active Directory ou o Microsoft Entra ID. Para obter mais informações, consulte a seguinte lista:
  2. Recomendamos que você instale a ferramenta ADI em um servidor de aplicativos, e não em uma estação de trabalho de usuários. Verifique se o sistema no qual a ADI será instalada atende às seguintes especificações:
    • O sistema usa o Windows Desktop 10 ou Windows Server 64 (64 bits) 2016/2019/2022 (64 bit).
    • Verifique se o sistema pode alcançar o servidor da instância de treinamento da sua conta. Para obter uma lista de instâncias, consulte nosso artigo Instâncias de treinamento da KnowBe4. A instância de treinamento é o URL do servidor com o qual a ferramenta de sincronização do AD da KnowBe4 terá que fazer contato por meio de uma solicitação POST. Você terá que autorizar conexões de saída com servidores remotos na porta 443 (SSL/HTTPS).
Observação:se estiver configurando a ADI por meio de um proxy, será necessário adicionar uma variável HTTP_PROXY às suas variáveis de ambiente. Para obter mais informações, consulte o artigo Como faço para configurar a Integração com o Active Directory (ADI) enquanto utilizo um proxy?.

Consulte a próxima seção para conferir etapas importantes a serem seguidas em preparação à configuração da ADI.

Antes de começar: etapas obrigatórias

Para que você consiga instalar e configurar a ferramenta de sincronização do AD da KnowBe4 em seu sistema local, siga estas etapas:

  1. Reúna as seguintes informações sobre o AD:
    Importante:se os seus usuários estiverem localizados em mais de um controlador de domínio, será necessário coletar as informações abaixo para cada controlador de domínio. Você terá que configurar também a ADI para cada um dos domínios. Para saber mais, consulte a seção Suporte a domínios de várias origens do Guia de configuração avançada da Integração com o Active Directory (ADI).
    • Localize o endereço IP ou o nome de domínio totalmente qualificado (FQDN) correspondente ao controlador de domínio no qual o AD está localizado.
    • Verifique se o seu controlador de domínio do AD pode responder às solicitações do LDAP. Por padrão, todos os controladores de domínio são configurados para responder às solicitações do LDAP.
      Dica:a sincronização do AD pode se comunicar pelo LDAP. Contudo, se preferir, você pode habilitar o LDAPS no seu controlador de domínio antes de sincronizar o AD. Por padrão, o LDAPS não está habilitado na maioria dos controladores de domínio. Para saber mais, consulte Perguntas frequentes sobre a ADI.
    • Localize o nome de domínio do AD. O nome de domínio do AD é o domínio root controlado pelo controlador de domínio do AD. A imagem abaixo é um exemplo de nome de domínio do AD: Captura de tela de uma janela de Usuários e grupos do Active Directory mostrando o seguinte exemplo de nome de domínio: DevKB4-a.com.
    • Certifique-se de ter em mãos o nome de usuário e a senha da conta de administrador do AD para a qual foram atribuídas as permissões para executar consultas LDAP. Por padrão, qualquer conta no grupo “Usuários do domínio” tem essas permissões. Contudo, para obter segurança adicional, recomendamos a utilização de uma conta de serviço que possua apenas permissões de “leitura” para o AD. Para ver as permissões de “leitura” necessárias a essa conta de serviço, consulte o Guia de configuração avançada da Integração com o Active Directory (ADI).
  2. Obtenha o Token de sincronização para ADI e baixe a ferramenta de sincronização da ADI nas Configurações da conta do KSAT. Siga estas etapas:
    1. Depois de fazer login no console do KSAT, clique no endereço de e-mail localizado no canto superior direito da página. Em seguida, clique em Configurações da conta.
    2. Navegue até a seção Provisionamento de usuários. Marque a caixa de seleção Habilitar provisionamento de usuários (sincronização de usuários). Caixa de seleção Habilitar Integração com o Active Directory em Configurações da conta
    3. Verifique se a configuração Modo de teste foi habilitada. Desative o Modo de teste somente depois de concluir a configuração da ADI e verificar se a ADI funciona corretamente. Se o Modo de teste estiver habilitado, a sincronização ou o provisionamento de usuários não ocorrerá. Em vez disso, será gerado um relatório mostrando o que teria acontecido se o provisionamento de usuários fosse executado. No modo de teste, você pode solucionar qualquer possível problema sem afetar os usuários existentes em seu console. 
      Dica:marcar a caixa de seleção Mostrar domínio do grupo poderá ser um recurso útil se os usuários estiverem distribuídos entre várias origens de domínios. Para saber mais, consulte Perguntas frequentes sobre a ADI.
      Área Configurações da conta, que mostra o seguinte: Modo de teste, Token de sincronização para ADI e Ferramenta ADI.
    4. Copie o Token de sincronização para ADI para salvá-lo localmente. Você precisará desse token para concluir a configuração. O tamanho do token de sincronização para ADI é de 32 dígitos, como no seguinte exemplo: 9X140X4829E37XX545401X97912X604X.
    5. Clique no ícone de download ao lado de Ferramenta ADI (KnowBe4_AD_Sync.msi) para baixar o arquivo correspondente. 
    6. Clique no botão Salvar alterações na parte inferior da página Configurações da conta.
    7. Defina quais usuários você deseja sincronizar e saiba exatamente onde esses objetos de usuário estão localizados no AD. 
  3. Depois de concluir as etapas desta seção e da seção Instalação e configuração abaixo, você terá que definir em que local do AD os objetos de usuário estão localizados. É possível sincronizar objetos de usuário de uma ou mais das seguintes origens: unidades organizacionais (UOs), grupos de segurança e grupos de distribuição. Para obter detalhes adicionais sobre como definir os usuários que você deseja sincronizar, consulte neste artigo a seção Definição de quais unidades organizacionais, grupos e usuários sincronizar.

    Se você constatar que os objetos de usuário não estão nas unidades organizacionais, nos grupos de segurança nem nos grupos de distribuição, consulte as informações abaixo:

    • Se os usuários que você deseja sincronizar estiverem localizados no contêiner integrado de usuários, e não em uma unidade organizacional: não será possível sincronizar os contêineres. Como solução alternativa, é possível criar um grupo de segurança, adicionar os usuários ao grupo de segurança e sincronizar esses grupos em vez do contêiner. 
    • Se você considerar que o AD não está organizado da maneira ideal para executar sincronizações com o console do KSAT ou se não tiver certeza disso: será possível configurar um ou mais grupos no AD para incluir todos os objetos e grupos de usuários que você deseja sincronizar. Em seguida, especifique se deseja sincronizar apenas esses grupos.
    • Se você tiver um domínio root com ADs filhos, poderá executar o instalador da ADI para cada domínio filho. Cada domínio filho deve usar o mesmo controlador de domínio do domínio root.
  4. Determine de qual campo no AD os endereços de e-mail dos usuários deverão ser extraídos. Por padrão, o serviço ADI extrairá os endereços de proxy dos seus usuários para usá-los como endereços de e-mail da conta da KnowBe4. 

Após coletar as informações acima, prossiga para as etapas da próxima seção.

Instalação e configuração

Depois de coletar as informações descritas na seção anterior, estará tudo pronto para você instalar e configurar a sincronização da ADI. Prossiga com as etapas abaixo:

  1. Execute a ferramenta de sincronização do Active Directory. Este é o arquivo KnowBe4_AD_Sync.msi que você baixou em Configurações da conta do KSAT, na etapa 2 da seção Antes de começar: etapas obrigatórias, acima. Não é preciso instalar a ferramenta de sincronização do AD no controlador de domínio. A ferramenta pode ser instalada em qualquer ponto do ambiente, desde que o sistema possa se comunicar com o controlador de domínio que aceita conexões LDAP.
    Dica:a sincronização do AD pode se comunicar pelo LDAP. Contudo, se preferir, você pode habilitar o LDAPS no seu controlador de domínio antes de sincronizar o Active Directory. Por padrão, o LDAPS não está habilitado na maioria dos controladores de domínio. Para saber mais, consulte Perguntas frequentes sobre a ADI.

    Um prompt de comando abrirá automaticamente o diretório de instalação. Esta é a localização padrão do diretório de instalação em plataformas de 64 bits: C:\Program Files (x86)\KnowBe4\ADISync

  2. Na janela do prompt de comando, você será solicitado a inserir as informações especificadas abaixo:
    1. Inserir token de sincronização do Active Directory: se esta for a primeira vez que o comando está sendo executado, você será solicitado a inserir o Token de sincronização do Active Directory. Esse token é a sequência de caracteres que você copiou de Configurações da conta do KSAT. Para obter mais informações, consulte a etapa 2 da seção Antes de começar: etapas obrigatórias, acima.
    2. Inserir nome de domínio: o nome de domínio refere-se ao domínio root do seu AD. Para obter um exemplo, consulte a seção Antes de começar: etapas obrigatórias, acima. 
    3. Inserir nome do host ou endereço IP do Active Directory: o nome do host ou o endereço IP do AD refere-se ao endereço IP ou ao nome de domínio totalmente qualificado (FQDN) correspondente ao controlador de domínio no qual o AD está localizado.
    4. Habilitar SSL (verdadeiro/falso): por padrão, o LDAPS não vem habilitado no seu controlador de domínio, e você terá que digitar “false” ou pressionar Enter no teclado para selecionar false automaticamente. Como opção, se você tiver habilitado o LDAPS para fins de sincronização, digite “true”.
    5. Habilitar os campos do SecurityCoach (verdadeiro/falso): Se você comprou o SecurityCoach, digite "verdadeiro" para habilitar os campos do SecurityCoach. Esses campos permitirão que você sincronize as informações para o mapeamento de usuários. Para mais informações, veja a seção Campos do Security Coach em nosso artigo Como editar o arquivo CONF para integração com o Active Directory (ADI). Por padrão, esses campos estão desabilitados. Para manter esses campos desabilitados, pressione Enter no teclado.
    6. Inserir número da porta do Active Directory: insira a porta apropriada do LDAP ou do LDAPS. Por padrão, a porta do LDAP é 389 e a porta do LDAPS é 636.
    7. Inserir nome de usuário: insira o nome de usuário da conta de administrador do AD que possui as permissões de leitura necessárias para executar consultas LDAP. O nome de usuário deve estar no formato “usuário@domínio”.
    8. Inserir senha: Insira a senha da conta de administrador do AD que possui as permissões de leitura necessárias para executar consultas LDAP.
    Janela do prompt de comando mostrando os campos descritos abaixo desta imagem
  3. Se a conexão for estabelecida com êxito, as mensagens de confirmação serão exibidas na janela do prompt de comando, conforme mostrado no exemplo abaixo.  Prompt de comando mostrando: Configuração concluída, pressione Enter para sair.
  4. Pressione Enter no teclado para sair da janela do prompt de comando.

    Se o seu controlador de domínio tiver apresentado algum problema de conexão ou autenticação, serão exibidas mensagens de erro na janela do prompt de comando e você terá que repetir as etapas desta seção utilizando os dados corretos de configuração. Se os erros persistirem, entre em contato com nossa equipe de suporte

    Após estabelecer a conexão com êxito, consulte a próxima seção para especificar os usuários e as informações que deseja sincronizar com o console do KSAT.

Definição de quais unidades organizacionais, grupos e usuários sincronizar

Depois de concluídas as etapas das duas seções anteriores, você deverá editar o arquivo <seu nome de domínio>.conf para configurar as informações que deseja sincronizar com a conta do KSAT. Essa configuração é necessária para sincronizar os usuários do AD.

Dica:ao configurar o arquivo seu nome de domínio.conf, será útil manter o recurso Usuários e computadores do Active Directory (Active Directory Users and Computers, ADUC) aberto. Assim, os grupos e caminhos das unidades organizacionais permanecerão disponíveis.

Prossiga com a configuração da ADI seguindo as etapas abaixo:

  1. Certifique-se de ter permissões para editar na pasta ADISync
  2. Localize o arquivo seu nome de domínio.conf no diretório de instalação, conforme mostrado abaixo. Abra o arquivo em um editor de texto, como o Bloco de Notas.

    O arquivo seu nome de domínio.conf é usado para definir os usuários, as informações do usuário e os grupos que você deseja sincronizar entre a conta do KSAT e o AD. Para conferir um exemplo desse arquivo, abra o arquivo exemplo_de_domínio.

    Importante:você deve editar o arquivo seu nome de domínio.conf, e não o arquivo ADISync.conf.
    O diretório de instalação da ferramenta de sincronização da ADI com o arquivo domain.conf realçado
  3. Edite o arquivo seu nome de domínio.conf para especificar os critérios da sincronização de usuários e grupos. Há três seções editáveis no arquivo seu nome de domínio.conf:
    Observação:se os nomes das unidades organizacionais ou dos grupos incluírem letras que não fazem parte do alfabeto latino padrão, substitua as aspas duplas (") por aspas simples (') no arquivo seu nome de domínio.conf. Além disso, será necessário usar uma barra invertida dupla em caracteres especiais de escape, como vírgulas, jogos da velha e sinais de adição. Para obter detalhes, consulte o artigo Como usar caracteres de escape na Integração com o Active Directory.
  4. Ao terminar, salve as alterações feitas no arquivo seu nome de domínio.conf.

Consulte a próxima seção para iniciar a sincronização da ADI.

Iniciar a sincronização da ADI

Se você tiver concluído todas as etapas acima, seu serviço ADI estará configurado e você poderá iniciar a sincronização da ADI. Prossiga com as etapas abaixo:

Importante:antes de iniciar a sincronização, certifique-se de que o Modo de teste esteja habilitado nas Configurações da cont do KSAT. Para obter mais informações, consulte a etapa 2 da seção Antes de começar: etapas obrigatórias, acima.

Você pode iniciar a sincronização de duas maneiras diferentes:

  1. Use o Gerenciador de controle de serviços do Windows (o serviço ADI chamado de “Serviço de sincronização da Integração com o Active Directory”) ou
  2. Abra um prompt de comando no modo de administrador e siga as duas etapas abaixo:
    1. Navegue até o diretório apropriado. Esta é a localização padrão do diretório de instalação em plataformas de 64 bits: C:\Program Files (x86)\KnowBe4\ADISync
    2. Digite ADIsync.exe service start e pressione a tecla Enter no teclado.

O serviço de sincronização da ADI será executado imediatamente e, enquanto os serviços estiverem conectados, as sincronizações entre o AD e o console do KSAT ocorrerão de seis em seis horas.

Se o Modo de teste estiver habilitado nas suas Configurações da conta, você verá uma prévia de como será a sincronização do seu AD com a KnowBe4. Para exibir uma prévia do Modo de teste, no console do KSAT, clique em Usuários > Provisionamento.

Mantenha o Modo de teste habilitado até ter certeza de que a ADI foi configurada de uma forma que atenda às necessidades da sua organização. Quando estiver satisfeito com a configuração da ADI, navegue até as Configurações da conta do KSAT e desabilite o Modo de teste. Sua próxima sincronização da ADI será provisionada aos usuários automaticamente.

Não encontrou o que estava procurando?

Fale com o suporte