Configuração da Integração com o Active Directory

É possível usar o recurso de Integração com o Active Directory (ADI) da KnowBe4 para integrar o Active Directory (AD) da sua organização ao console do KMSAT. Após configurar a ADI, os usuários e grupos serão automaticamente adicionados, alterados e arquivados no console do KMSAT com base nas informações recebidas do seu AD. Vale a pena observar que este é um processo de sincronização unidirecional, ou seja, nenhuma informação será retornada pelo console do KMSAT ao AD. 

Para saber como a configuração da ADI pode beneficiar sua organização, consulte o artigo Benefícios da configuração da Integração com o Active Directory (ADI). Se tiver preferência por tutoriais em vídeo para aprender a configurar a ADI, assista ao vídeo Integração com o Active Directory (ADI). Como opção, caso pretenda usar o SCIM para sincronizar seus usuários, consulte o Guia de configuração do SCIM.

Acesse:

Como a ADI funciona nas contas de usuários existentes

Pré-requisitos
Antes de começar: etapas obrigatórias
Instalação e configuração
Definição de quais unidades organizacionais, grupos e usuários sincronizar
Iniciar a sincronização da ADI

Como a ADI funciona nas contas de usuários existentes

Se você já tiver adicionado usuários ao seu console do KMSAT, há alguns elementos dos quais precisa estar ciente antes de configurar a ADI. Para obter mais informações, consulte a seguinte lista:

• Após configurar a ADI, os dados sincronizados no seu AD serão considerados confiáveis. As seguintes ações serão executadas durante as sincronizações entre o console do KMSAT e o AD:
  • Os usuários não encontrados no AD serão arquivados no console do KMSAT.
  • As alterações que você fizer nas informações de um usuário no console do KMSAT serão substituídas pelos dados contidos no AD.
• As contas de usuários existentes no console do KMSAT antes da execução da ADI serão consideradas como gerenciadas pelo console. Quando os usuários são gerenciados pelo console, é possível editar as informações desses usuários enviando um arquivo CSV ao seu console ou editando os perfis de usuário diretamente no console. 
  • Após configurar a ADI e ocorrer a primeira sincronização do AD, os usuários serão considerados como gerenciados pelo AD. Quando os usuários são gerenciados pelo AD, é necessário editar as informações desses usuários no AD. Por sua vez, as alterações realizadas serão transferidas para o console do KMSAT na próxima sincronização.
• Durante a primeira sincronização do AD, o console do KMSAT corresponderá automaticamente as contas de usuários gerenciados pelo console às contas existentes no AD. Esse processo converterá os usuários de gerenciados pelo console para gerenciados pelo AD. Confira a seguir o passo a passo de como esse processo funciona:
  1. Você deverá instalar e configurar a ferramenta de sincronização da ADI no seu ambiente. Para obter detalhes, consulte a seção Instalação e configuração, neste artigo.
  2. Você deverá configurar as informações que deseja sincronizar em seu AD. Para obter detalhes, consulte a seção Definição de quais unidades organizacionais, grupos e usuários sincronizar, neste artigo.
  3. Em seguida, o serviço de sincronização da ADI faz consultas ao seu AD ou aos diretórios em busca de informações dos usuários e grupos e envia os resultados aos servidores da KnowBe4.
  4. Os servidores da KnowBe4 analisam as informações recebidas do seu AD e atualizam automaticamente os usuários e grupos no console do KMSAT, de acordo com a seguinte lógica:
     
     • Se determinado usuário do AD tiver um endereço de e-mail que corresponda a uma conta existente no console do KMSAT, a conta de usuário do console do KMSAT passará a ser gerenciada pelo AD.
     • Se o usuário do AD não for encontrado no console do KMSAT, será criada uma conta de usuário gerenciada pelo AD.
     • Depois que todos os usuários do AD forem processados, as contas do console que não se tornaram gerenciadas pelo AD serão arquivadas.

Após configurar a ADI, as informações do usuário permanecerão atualizadas no AD da sua organização.

Voltar ao início

Pré-requisitos

Antes de configurar a ADI, certifique-se de que seu ambiente atenda aos seguintes requisitos básicos:

1. A sua organização deverá ter o Microsoft Active Directory ou o Azure Active Directory. Para obter mais informações, consulte a seguinte lista:

• Se sua organização tiver o Microsoft Active Directory, o nível funcional do seu domínio deverá ser o Windows Server 2003 ou mais recente.
• Se ela tiver o Azure Active Directory, você poderá sincronizar o Azure Active Directory Domain Services com o console do KMSAT. Para saber mais, consulte o artigo Como usar a Integração com o Active Directory com o Azure Active Directory Domain Services.

2. Recomendamos que você instale a ferramenta ADI em um servidor de aplicativos, e não em uma estação de trabalho de usuários. Verifique se o sistema no qual a ADI será instalada atende às seguintes especificações:

• O sistema usa o Windows Desktop 7/Vista/8/10 ou Windows Server 2008/2012/2016/2019 (64 bits).
• Verifique se o sistema pode alcançar o servidor da instância de treinamento da sua conta. Para obter uma lista de instâncias, consulte nosso artigo Instâncias de treinamento da KnowBe4.
  • A instância de treinamento é o URL do servidor com o qual a ferramenta de sincronização do AD da KnowBe4 terá que fazer contato por meio de uma solicitação POST. Você terá que autorizar conexões de saída com servidores remotos na porta 443 (SSL/HTTPS).

Consulte a próxima seção para conferir etapas importantes a serem seguidas em preparação à configuração da ADI.

Voltar ao início

Antes de começar: etapas obrigatórias

Para que você consiga instalar e configurar a ferramenta de sincronização do AD da KnowBe4 em seu sistema local, siga estas etapas:

1. Reúna as seguintes informações sobre o AD:

• Localize o endereço IP ou o nome de domínio totalmente qualificado (FQDN) correspondente ao controlador de domínio no qual o AD está localizado.

• Verifique se o seu controlador de domínio do AD pode responder às solicitações do LDAP. Por padrão, todos os controladores de domínio são configurados para responder às solicitações do LDAP.

  Dica: a sincronização do AD pode se comunicar pelo LDAP. Contudo, se preferir, você pode habilitar o LDAPS no seu controlador de domínio antes de sincronizar o AD. Por padrão, o LDAPS não está habilitado na maioria dos controladores de domínio. Para saber mais, consulte Perguntas frequentes sobre a ADI.

• Localize o nome de domínio do AD. O nome de domínio do AD é o domínio root controlado pelo controlador de domínio do AD. A imagem abaixo é um exemplo de nome de domínio do AD:

  

• Certifique-se de ter em mãos o nome de usuário e a senha da conta de administrador do AD para a qual foram atribuídas as permissões para executar consultas LDAP. Por padrão, qualquer conta no grupo “Usuários do domínio” tem essas permissões. Contudo, para obter segurança adicional, recomendamos a utilização de uma conta de serviço que possua apenas permissões de “leitura” para o AD. Para ver as permissões de “leitura” necessárias a essa conta de serviço, consulte o Guia de configuração avançada da Integração com o Active Directory (ADI).

2. Obtenha o Token de sincronização para ADI e baixe a ferramenta de sincronização da ADI nas Configurações da conta do KMSAT. Siga estas etapas:

1. 1. Depois de fazer login no console do KMSAT, clique no endereço de e-mail localizado no canto superior direito da página. Em seguida, clique em Configurações da conta.
   2. Navegue até a seção Provisionamento de usuários. Marque a caixa de seleção Habilitar provisionamento de usuários (sincronização de usuários).
      
   3. Verifique se a configuração Modo de teste foi habilitada. Desative o Modo de teste somente depois de concluir a configuração da ADI e verificar se a ADI funciona corretamente. Se o Modo de teste estiver habilitado, a sincronização ou o provisionamento de usuários não ocorrerá. Em vez disso, será gerado um relatório mostrando o que teria acontecido se o provisionamento de usuários fosse executado. No modo de teste, você pode solucionar qualquer possível problema sem afetar os usuários existentes em seu console.
      

      Dica: marcar a caixa de seleção Mostrar domínio do grupo poderá ser um recurso útil se os usuários estiverem distribuídos entre várias origens de domínios. Para saber mais, consulte Perguntas frequentes sobre a ADI.

   4. Copie o Token de sincronização para ADI para salvá-lo localmente. Você precisará desse token para concluir a configuração. O tamanho do token de sincronização para ADI é de 32 dígitos, como no seguinte exemplo: 9X140X4829E37XX545401X97912X604X.
   5. Clique no ícone de download ao lado de Ferramenta ADI (KnowBe4_AD_Sync.msi) para baixar o arquivo correspondente. 
   6. Clique no botão Salvar alterações na parte inferior da página Configurações da conta.
   7. Defina quais usuários você deseja sincronizar e saiba exatamente onde esses objetos de usuário estão localizados no AD. 

3. Depois de concluir as etapas desta seção e da seção Instalação e configuração abaixo, você terá que definir em que local do AD os objetos de usuário estão localizados. É possível sincronizar objetos de usuário de uma ou mais das seguintes origens: unidades organizacionais (UOs), grupos de segurança e grupos de distribuição. Para obter detalhes adicionais sobre como definir os usuários que você deseja sincronizar, consulte neste artigo a seção Definição de quais unidades organizacionais, grupos e usuários sincronizar.

Se você constatar que os objetos de usuário não estão nas unidades organizacionais, nos grupos de segurança nem nos grupos de distribuição, consulte as informações abaixo:

• Se os usuários que você deseja sincronizar estiverem localizados no contêiner integrado de usuários, e não em uma unidade organizacional: não será possível sincronizar os contêineres. Como solução alternativa, é possível criar um grupo de segurança, adicionar os usuários ao grupo de segurança e sincronizar esses grupos em vez do contêiner. 
• Se você considerar que o AD não está organizado da maneira ideal para executar sincronizações com o console do KMSAT ou se não tiver certeza disso: será possível configurar um ou mais grupos no AD para incluir todos os objetos e grupos de usuários que você deseja sincronizar. Em seguida, especifique se deseja sincronizar apenas esses grupos.
• Se você tiver um domínio root com ADs filhos, poderá executar o instalador da ADI para cada domínio filho. Cada domínio filho deve usar o mesmo controlador de domínio do domínio root.

4. Determine de qual campo no AD os endereços de e-mail dos usuários deverão ser extraídos. Por padrão, o serviço ADI extrairá os endereços de proxy dos seus usuários para usá-los como endereços de e-mail da conta da KnowBe4. 

• Se for preciso usar algo diferente dos endereços de proxy, você terá que editar o campo emailAttrib no arquivo ADIsync.conf. Por exemplo, se você não estiver usando o Microsoft Exchange ou o Microsoft 365 como servidor de e-mail, o campo de endereço do proxy no AD provavelmente estará em branco. Edite o campo emailAttrib depois de executar a instalação e antes de iniciar o serviço de sincronização da ADI. Para obter instruções, consulte a seção Alterando o local de extração dos endereços de e-mail no Active Directory do Guia de configuração avançada da Integração com o Active Directory (ADI).
  

  Observação: o campo useMailAttrib foi substituído pelo campo emailAttribute.

• Assegure-se de que todas as campanhas tenham suas configurações devidamente ajustadas para o ingresso de usuários. Verifique novamente a configuração dos seus grupos inteligentes nas campanhas, pois eles podem ser afetados pelo aparecimento de novos usuários após a sincronização da ADI.

Após coletar as informações acima, prossiga para as etapas da próxima seção.

Voltar ao início

Instalação e configuração

Depois de coletar as informações descritas na seção anterior, estará tudo pronto para você instalar e configurar a sincronização da ADI. Prossiga com as etapas abaixo:

1. Execute a ferramenta de sincronização do Active Directory. Este é o arquivo KnowBe4_AD_Sync.msi que você baixou em Configurações da conta do KMSAT, na etapa 2 da seção Antes de começar: etapas obrigatórias, acima. Não é preciso instalar a ferramenta de sincronização do AD no controlador de domínio. A ferramenta pode ser instalada em qualquer ponto do ambiente, desde que o sistema possa se comunicar com o controlador de domínio que aceita conexões LDAP.

Um prompt de comando abrirá automaticamente o diretório de instalação. Esta é a localização padrão do diretório de instalação em plataformas de 64 bits:

• C:\Program Files (x86)\KnowBe4\ADISync

2. Na janela do prompt de comando, você será solicitado a inserir as informações especificadas abaixo:

1. 1. Inserir token de sincronização do Active Directory: se esta for a primeira vez que o comando está sendo executado, você será solicitado a inserir o Token de sincronização do Active Directory. Esse token é a sequência de caracteres que você copiou de Configurações da conta do KMSAT. Para obter mais informações, consulte a etapa 2 da seção Antes de começar: etapas obrigatórias, acima.
   2. Inserir nome de domínio: o nome de domínio refere-se ao domínio root do seu AD. Para obter um exemplo, consulte a seção Antes de começar: etapas obrigatórias, acima. 
   3. Inserir nome do host ou endereço IP do Active Directory: o nome do host ou o endereço IP do AD refere-se ao endereço IP ou ao nome de domínio totalmente qualificado (FQDN) correspondente ao controlador de domínio no qual o AD está localizado.
   4. Habilitar SSL (verdadeiro/falso): por padrão, o LDAPS não vem habilitado no seu controlador de domínio, e você terá que digitar “false” ou pressionar Enter no teclado para selecionar false automaticamente. Como opção, se você tiver habilitado o LDAPS para fins de sincronização, digite “true”.
   5. Habilitar os campos do SecurityCoach (verdadeiro/falso): Se você comprou o SecurityCoach, digite "verdadeiro" para habilitar os campos do SecurityCoach. Esses campos permitirão que você sincronize as informações para o mapeamento de usuários. Para mais informações, veja a seção Campos do Security Coach em nosso artigo Como editar o arquivo CONF para integração com o Active Directory (ADI). Por padrão, esses campos estão desabilitados. Para manter esses campos desabilitados, pressione Enter no teclado.
   6. Inserir número da porta do Active Directory: insira a porta apropriada do LDAP ou do LDAPS. Por padrão, a porta do LDAP é 389 e a porta do LDAPS é 636.
   7. Inserir nome de usuário: insira o nome de usuário da conta de administrador do AD que possui as permissões de leitura necessárias para executar consultas LDAP. O nome de usuário deve estar no formato “usuário@domínio”.
   8. Inserir senha: Insira a senha da conta de administrador do AD que possui as permissões de leitura necessárias para executar consultas LDAP.

3. Se a conexão for estabelecida com êxito, as mensagens de confirmação serão exibidas na janela do prompt de comando, conforme mostrado no exemplo abaixo. 

4. Pressione Enter no teclado para sair da janela do prompt de comando.

Se o seu controlador de domínio tiver apresentado algum problema de conexão ou autenticação, serão exibidas mensagens de erro na janela do prompt de comando e você terá que repetir as etapas desta seção utilizando os dados corretos de configuração. Se os erros persistirem, entre em contato com nossa equipe de suporte. 

Após estabelecer a conexão com êxito, consulte a próxima seção para especificar os usuários e as informações que deseja sincronizar com o console do KMSAT.

Voltar ao início

Definição de quais unidades organizacionais, grupos e usuários sincronizar

Depois de concluídas as etapas das duas seções anteriores, você deverá editar o arquivo <seu nome de domínio>.conf para configurar as informações que deseja sincronizar com a conta do KMSAT. Essa configuração é necessária para sincronizar os usuários do AD.

Prossiga com a configuração da ADI seguindo as etapas abaixo:

1. Certifique-se de ter permissões para editar na pasta ADISync. 

2. Localize o arquivo seu nome de domínio.conf no diretório de instalação, conforme mostrado abaixo. Abra o arquivo em um editor de texto, como o Bloco de Notas.

O arquivo seu nome de domínio.conf é usado para definir os usuários, as informações do usuário e os grupos que você deseja sincronizar entre a conta do KMSAT e o AD. Para conferir um exemplo desse arquivo, abra o arquivo exemplo_de_domínio.

3. Edite o arquivo seu nome de domínio.conf para especificar os critérios da sincronização de usuários e grupos. Há três seções editáveis no arquivo seu nome de domínio.conf:

• [sync.fields] (opcional): edite essa área para especificar os campos de informações do usuário que deseja sincronizar do AD. Para saber mais, consulte a seção Sincronizando outras informações do usuário com a KnowBe4 do artigo Como sincronizar informações com o Active Directory.
• [sync.users] (obrigatório): edite essa área para especificar quais usuários deseja sincronizar no AD. Não deixe de incluir pelo menos uma unidade organizacional, um grupo ou um usuário na seção [sync.users] do arquivo .conf. Para saber mais, consulte a seção Sincronizar usuários mediante a inclusão/exclusão de unidades organizacionais, grupos ou usuários específicos (obrigatório) do artigo Como sincronizar informações com o Active Directory.
• [sync.groups] (opcional): você pode usar essa área para especificar os grupos que gostaria de sincronizar no AD. Esses grupos serão automaticamente criados no console da KnowBe4, e os usuários aplicáveis serão adicionados aos grupos. Para saber mais, consulte a seção Sincronizar grupos mediante a inclusão/exclusão de unidades organizacionais ou grupos (opcional) do artigo Como sincronizar informações com o Active Directory.

4. Ao terminar, salve as alterações feitas no arquivo seu nome de domínio.conf.

Consulte a próxima seção para iniciar a sincronização da ADI.

Voltar ao início

Iniciar a sincronização da ADI

Se você tiver concluído todas as etapas acima, seu serviço ADI estará configurado e você poderá iniciar a sincronização da ADI. Prossiga com as etapas abaixo:

Você pode iniciar a sincronização de duas maneiras diferentes:

1. Use o Gerenciador de controle de serviços do Windows (o serviço ADI chamado de “Serviço de sincronização da Integração com o Active Directory”) ou
2. Abra um prompt de comando no modo de administrador e siga as duas etapas abaixo:
   1. Navegue até o diretório apropriado. Esta é a localização padrão do diretório de instalação em plataformas de 64 bits: C:\Program Files (x86)\KnowBe4\ADISync
   2. Digite ADIsync.exe service start e pressione a tecla Enter no teclado.

O serviço de sincronização da ADI será executado imediatamente e, enquanto os serviços estiverem conectados, as sincronizações entre o AD e o console do KMSAT ocorrerão de seis em seis horas.

Se o Modo de teste estiver habilitado nas suas Configurações da conta, você verá uma prévia de como será a sincronização do seu AD com a KnowBe4. Para exibir uma prévia do Modo de teste, no console do KMSAT, clique em Usuários > Provisionamento.

Mantenha o Modo de teste habilitado até ter certeza de que a ADI foi configurada de uma forma que atenda às necessidades da sua organização. Quando estiver satisfeito com a configuração da ADI, navegue até as Configurações da conta do KMSAT e desabilite o Modo de teste. Sua próxima sincronização da ADI será provisionada aos usuários automaticamente.

Voltar ao início