Integração com o Active Directory

Compartilhar

Este artigo é útil?

Última atualização:

Editar o arquivo CONF para integração com o Active Directory (ADI)

Se você quiser gerenciar os usuários usando a Integração com o Active Directory (Active Directory Integration, ADI), precisa definir quais usuários e grupos sincronizar com o console do KSAT. Para definir quais usuários e grupos sincronizar, edite o arquivo de configuração (CONF) da ADI que foi baixado durante o processo de configuração.  

Neste artigo, você aprenderá a editar o arquivo CONF para sincronizar usuários, grupos e informações específicas do usuário. Para obter informações gerais sobre a ADI, consulte o Guia de configuração da Integração com o Active Directory (ADI). Se você preferir usar o SCIM, consulte o Guia de configuração do SCIM.  Se você tiver adquirido a Student Edition, poderá definir o campo User Type KSAT (Tipo de usuário do KSAT) por meio do campo user-role no arquivo .conf. 

Definindo quais usuários sincronizar

Nesta seção, você aprenderá a editar o arquivo CONF para definir quais usuários sincronizar com o console do KSAT a partir do AD. Esses usuários do AD serão preenchidos como usuários no console do KSAT. Você precisará sincronizar usuários específicos antes de conseguir sincronizar os grupos.

Siga estas etapas para editar o arquivo CONF e definir quais usuários deseja sincronizar:

  1. Abra o arquivo CONF da ADI em um editor de texto. Para obter mais informações sobre como localizar o arquivo CONF, consulte o Guia de configuração da Integração com o Active Directory (ADI).

  2. Edite os seguintes campos na seção [sync.users] do arquivo. Para obter mais informações sobre esses campos, consulte a tabela a seguir:
Observação: estes campos diferenciam maiúsculas de minúsculas:
Importante: se os nomes das unidades organizacionais ou dos grupos incluírem caracteres que não fazem parte do alfabeto latino padrão, substitua as aspas duplas (") por aspas simples ('). Evite os caracteres especiais, como as vírgulas (,), os sinais numéricos (#) e os sinais de adição (+), usando uma barra dupla (\\). Para obter mais informações, consulte o artigo Como usar os caracteres de escape na Integração com o Active Directory.
Nome do campo

Descrição do campo
includedOUs

Neste campo, para sincronizar os usuários, insira a lista de unidades organizacionais que devem ser pesquisadas.

  • As unidades organizacionais especificadas serão pesquisadas para encontrar todos os usuários com e-mails habilitados. 
    Importante: esse campo não incluirá os usuários que fazem parte de grupos dentro das unidades organizacionais especificadas. Para sincronizar os usuários nesses grupos, consulte as informações na linha includedGroups, abaixo.
  • Se você quiser especificar uma unidade organizacional sob outra, deverá escrever o nome do local da unidade organizacional usando a sintaxe reversa e separar o caminho do arquivo com uma barra. Por exemplo, para especificar uma unidade organizacional chamada "Contabilidade", que esteja sob outra denominada "Todos os usuários", deverá formatar a sintaxe como "Contabilidade/Todos os usuários".
  • Para incluir diversas unidades organizacionais na sua lista de unidades organizacionais incluídas, você precisará formatar o texto de uma forma específica. As unidades organizacionais devem estar entre aspas, separadas por vírgulas e entre colchetes. Veja abaixo um exemplo de sintaxe para esse campo:
    • includedOUs = ["Contabilidade/Todos os usuários","Desenvolvimento/Todos os usuários"]
excludedOUs

Neste campo, insira a lista de unidades organizacionais que serão pesquisadas para encontrar os usuários que serão excluídos.

  • Se os usuários excluídos forem localizados durante a pesquisa, eles substituirão todos os usuários das unidades organizacionais correspondentes que estavam sendo incluídos na sincronização.
  • Veja abaixo um exemplo de sintaxe para esse campo:
    • excludedOUs = ["Prestadores de serviço/Desenvolvimento/Todos os usuários"]
includedGroups

Neste campo, insira a lista de grupos a partir dos quais os usuários serão sincronizados. Esses grupos devem ser grupos de segurança ou de distribuição do AD.

  • Os usuários localizados no campo includedGroups substituirão todos os usuários correspondentes definidos no campo excludedOUs.
  • Se você incluir diversos grupos nesse campo, certifique-se de formatar a sintaxe corretamente. Os grupos devem estar entre aspas, separados por vírgulas e entre colchetes. Veja abaixo um exemplo de sintaxe para diversos grupos:
    • includedGroups = ["Contabilidade","Recursos humanos"]
excludedGroups

Neste campo, insira a lista de grupos que excluirá os usuários que fazem parte dos grupos especificados de distribuição ou segurança do AD.

  • Se os usuários excluídos forem localizados durante a pesquisa, eles substituirão os usuários correspondentes encontrados no campo includedOUs ou includedGroups.
  • Veja abaixo um exemplo de sintaxe para esse campo:
    • excludedGroups = ["Funcionários contratados"]
includedUsers

Neste campo, insira a lista de usuários que devem ser explicitamente incluídos.

  • Os usuários especificados nesse campo substituirão todos os usuários correspondentes no campo excludedGroups ou excludedOUs.
  • Especifique cada usuário inserindo seu endereço de e-mail. Você pode especificar quantos usuários desejar.
  • Veja abaixo um exemplo de sintaxe para esse campo:
    • includedUsers = ["usuario@exemplo.com"]
excludedUsers

Neste campo, insira a lista de usuários que devem ser explicitamente excluídos.

  • Os usuários especificados nesse campo serão excluídos, independentemente de qualquer outra regra de inclusão.
  • Especifique cada usuário inserindo seu endereço de e-mail. Você pode especificar quantos usuários desejar. Veja abaixo um exemplo de sintaxe para esse campo:
    • excludedUsers = ["usuario@exemplo.com","usuario2@exemplo.com"]

Para sincronizar os grupos, consulte a seção Definindo quais grupos sincronizar, abaixo.

Definindo quais grupos sincronizar

Depois de definir os critérios para sincronizar usuários específicos, você também pode editar seu arquivo CONF para definir os critérios de todos os grupos do AD que deseja sincronizar. Esses grupos do AD serão preenchidos como grupos no console do KSAT.

Se um usuário fizer parte de um grupo no AD, ele será um membro do grupo correspondente no console do KSAT. A KnowBe4 não oferece suporte a grupos dentro de grupos nem a grupos aninhados.

É importante observar que, para que os usuários possam ser incluídos nos grupos sincronizados, primeiro você precisa sincronizá-los. Se você quiser sincronizar um grupo, mas ele não tiver nenhum usuário sincronizado, esse grupo não será sincronizado.

Importante: os únicos tipos de grupos que serão sincronizados com o console do KSAT serão os grupos de segurança e distribuição. Os grupos nas unidades organizacionais incluídas serão adicionados ou sincronizados como grupos no console. No entanto, a própria unidade organizacional não será sincronizada com o console.

Siga estas etapas para editar o arquivo CONF e definir quais grupos você deseja sincronizar:

  1. Certifique-se de sincronizar os usuários específicos. Para obter mais informações, consulte a seção Definindo quais usuários sincronizar, acima.
  2. Edite os seguintes campos na seção [sync.groups] do arquivo CONF. Para obter mais informações sobre esses campos, consulte a tabela a seguir:
Observação: estes campos diferenciam maiúsculas de minúsculas:
Nome do campo

Descrição do campo
includedOUs

Neste campo, insira a lista de unidades organizacionais que você deseja pesquisar para sincronizar os grupos de segurança ou distribuição.

  • Apenas os grupos localizados na unidade organizacional especificada serão adicionados como grupos no console do KSAT.
  • Se você pretende incluir diversas unidades organizacionais, lembre-se de formatar a sintaxe corretamente. As unidades organizacionais devem estar entre aspas, separadas por vírgulas e entre colchetes. Veja abaixo um exemplo de sintaxe para diversas unidades organizacionais:
    • includedOUs = ["Contabilidade/Todos os usuários","Desenvolvimento/Todos os usuários"]
excludedOUs 

Neste campo, insira a lista de unidades organizacionais que você deseja pesquisar para encontrar os grupos de segurança ou distribuição que não serão sincronizados.

  • Veja abaixo um exemplo de sintaxe para esse campo:
    • excludedOUs = ["Prestadores de serviço/Desenvolvimento/Todos os usuários"]
includedGroups

Neste campo, insira a lista de grupos específicos de segurança ou distribuição do AD que você deseja sincronizar.

  • Quando esses grupos forem sincronizados, apenas os usuários incluídos na sincronização serão adicionados ao grupo do KSAT correspondente. Esta opção substitui todos os grupos excluídos do campo excludedOUs na seção [sync.groups].
  • Veja abaixo um exemplo de sintaxe para esse campo:
    • includedGroups = ["Vendas","Contabilidade"]
excludedGroups

Neste campo, insira a lista de grupos específicos que você deseja excluir da sincronização.

  • Esta opção substitui todos os grupos no campo includedOUs ou includedGroups da seção [sync.groups].
  • Veja abaixo um exemplo de sintaxe para esse campo:
    • excludedGroups = ["Consultores"]

Depois de editar os campos desejados, salve o arquivo CONF. Para salvar o arquivo, você precisa de permissões de gravação.

Sincronizando outras informações do usuário

Depois de selecionar os usuários e grupos específicos que deseja sincronizar, você também poderá editar o arquivo CONF para definir quais informações do usuário serão sincronizadas da conta do AD para a conta do KSAT. Para definir quais informações do usuário sincronizar, edite a seção [sync.fields] do arquivo. Por padrão, os campos na seção [sync.fields] preencherão automaticamente os campos de informações do usuário no console do KSAT com as informações definidas no AD. 

Para incluir o campo no AD no qual as informações do usuário existem, você pode editar o valor entre aspas de cada campo. Se o campo estiver em branco, não haverá nenhum campo correspondente no AD. Você pode definir quais campos do AD sincronizar para o KSAT adicionando manualmente um valor entre aspas em cada campo.

Para evitar a sincronização de campos específicos, exclua o valor entre aspas desse campo. No entanto, não exclua as aspas ou toda a linha de texto. Caso você exclua toda a linha de texto, o AD adicionará automaticamente essa linha de texto de volta ao campo e sincronizará o valor.

Observação: os idiomas de phishing e treinamento do usuário são sincronizados a partir do campo AD preferredLanguage por padrão. Você pode modificar esse campo do AD ou remover esses campos da sincronização, conforme mostrado na seção Casos de uso de sincronização, abaixo.
Dica: você também pode limitar os dados que o AD sincroniza para o console do KSAT. Para obter mais informações, consulte a seção Sincronizando informações do artigo Perguntas frequentes sobre a Integração com o Active Directory (ADI).

Veja abaixo uma lista de todos os campos disponíveis na seção [sync.fields] do arquivo CONF:

Observação: estes campos diferenciam maiúsculas de minúsculas:

[sync.fields]

comment = ""
custom-date-1 = ""
custom-date-2 = ""
custom-field-1 = ""
custom-field-2 = ""
custom-field-3 = ""
custom-field-4 = ""
department = "department"
division = ""
employee-number = "employeeNumber"
employee-start-date = "whenCreated"
first-name = "givenName"
last-name = ""
location = "physicalDeliveryOfficeName"
manager = "manager"
mobile-number = ""
organization = "o"
out-of-office-end = ""
phishing-language = "preferredLanguage"
phone-number = "telephoneNumber"
training-language = "preferredLanguage"
title = "title"
user-role = ""

Campos do SecurityCoach

Se você habilitou os campos SecurityCoach ao configurar o ADI, oito campos adicionais serão exibidos na seção [sync.fields] do arquivo CONF. Esses campos podem ser usados para mapear automaticamente os usuários do KSAT para eventos do SecurityCoach. Além disso, você pode utilizar esses campos ao mapear usuários para identificadores no SecurityCoach. Quando essas informações sincronizarem, serão adicionadas à seção Campos do SecurityCoach da página de Informações do usuário. Campos do SecurityCoach na página de Informações do usuário

Veja abaixo uma lista desses campos do SecurityCoach e seus mapeamentos padrões:

Observação: estes campos diferenciam maiúsculas de minúsculas:

company-name = "company"
country = "co"
employee-type = "employee type"
hostname = "userWorkstations"
last-password-change-date-time = "pwdLastSet"
mail-nickname = "mail"
on-premises-sam-account-name = "sAMAccountName"
on-premises-security-identifier = "objectSid"
user-principal-name = "userPrincipalName"

Casos de uso de sincronização

A seguir, veja alguns exemplos de casos de uso para controlar quais campos do AD sincronizar para o console do KSAT.

Caso de uso: Excluir campos da sincronização do AD

Se você quiser gerenciar os campos personalizados no console do KSAT, poderá excluí-los da sincronização do AD. Esta exclusão se aplica apenas a campos personalizados. Se você tentar deixar outros campos em branco, os valores deles serão apagados no KSAT.

Para excluir os campos personalizados da sincronização do AD, inclua a seguinte sintaxe na seção [sync.fields] do arquivo CONF. Na sintaxe a seguir, todos os campos personalizados estão em branco ou os valores entre aspas foram removidos:

[sync.fields] comment = "" custom-date-1 = "" custom-date-2 = "" custom-field-1 = "" custom-field-2 = "" custom-field-3 = "" custom-field-4 = "" department = "department" division = "" employee-number = "employeeNumber" employee-start-date = "whenCreated" first-name = "givenName" last-name = "" location = "physicalDeliveryOfficeName" manager = "manager" mobile-number = "" organization = "o" out-of-office-end = ""
phishing-language = "preferredLanguage"
phone-number = "telephoneNumber"
title = "title"
training-language = "preferredLanguage"
user-role = ""

Caso de uso: Excluir as divisões e os locais dos usuários

Se você quiser sincronizar os departamentos dos usuários, mas não suas divisões ou locais, inclua a seguinte sintaxe na seção [sync.fields] do arquivo CONF. Na sintaxe a seguir, os campos de divisão e local estão em branco ou os valores entre aspas foram removidos:

[sync.fields] comment = "" custom-date-1 = "" custom-date-2 = "" custom-field-1 = "" custom-field-2 = "" custom-field-3 = "" custom-field-4 = "" department = "department" division = "" employee-number = "employeeNumber" employee-start-date = "whenCreated" first-name = "givenName" last-name = "" location = "" manager = "manager" mobile-number = "" organization = "o" out-of-office-end = ""
phishing-language = "preferredLanguage"
phone-number = "telephoneNumber"
title = "title"
training-language = "preferredLanguage"
user-role = ""

Caso de uso: Incluir todos os campos na sincronização do AD

Para incluir todos os campos na sincronização do AD, inclua a seguinte sintaxe na seção [sync.fields] do arquivo CONF. Na sintaxe a seguir, todos os campos têm um valor entre aspas:

[sync.fields] comment = “This is a comment!“ custom-date-1 = “This is my custom-date-1 field." custom-date-2 = "This is my custom-date-2 field." custom-field-1 = "This is my custom-field-1" custom-field-2 = "This is my custom-field-2." custom-field-3 = "This is my custom-field-3" custom-field-4 = "This is my custom-field-4" department = "department" division = "division" employee-number = "employeeNumber" employee-start-date = "whenCreated" first-name = "givenName" last-name = "last-name" location = "physicalDeliveryOfficeName" manager = "manager" mobile-number = “mobile“ organization = "o" out-of-office-end = ""
phishing-language = "preferredLanguage"
phone-number = "telephoneNumber"
title = "title"
training-language = "preferredLanguage"
user-role = ""

Este artigo foi útil?

Usuários que acharam isso útil: 8 de 11

Não encontrou o que estava procurando?

Fale com o suporte