SCIM

Compartilhar

Este artigo é útil?

Última atualização:

Como configurar o SCIM para o Microsoft Entra ID

Neste artigo, você aprenderá a configurar o SCIM com o Microsoft Entra ID (antigo Azure Active Directory). A configuração do SCIM para o Microsoft Entra ID permitirá que você adicione e gerencie usuários e grupos no console do KSAT usando o Microsoft Entra ID.

As instruções nesse artigo se destinam a softwares de terceiros. Caso tenha problemas com o provisionamento de usuários no Microsoft Entra ID, recomendamos que você consulte o Microsoft Entra para obter instruções específicas. Você também pode entrar em contato com nossa equipe de suporte (o link abre em uma nova janela) e ficaremos felizes em ajudar você.

Observação: para sincronizar usuários e grupos com o SCIM, você precisa ter uma assinatura do Microsoft Entra. Para obter mais informações sobre como sincronizar usuários e grupos por meio do Microsoft Entra, consulte o artigo da Microsoft Gerenciar a atribuição de usuários e grupos a um aplicativo Gerenciar a atribuição de usuários e grupos em um aplicativo (o link abre em uma nova janela).

Configurando o SCIM

Nesta seção, você aprenderá a configurar seu SCIM usando o Microsoft Entra. Observe que estas etapas devem ser configuradas depois da definição das suas configurações no console do KSAT. Para obter mais informações sobre como configurar o SCIM no console do KSAT, consulte o Guia de configuração do SCIM.

Para configurar o SCIM com o Microsoft Entra, siga estas etapas:

  1. Faça login no seu Portal do Azure em https://portal.azure.com/ https://portal.azure.com/ (link abre em uma nova janela).

  2. Selecione o botão Exibir do bloco Gerenciar Microsoft Entra ID na página inicial do portal do Azure.

  3. No menu suspenso + Adicionar, selecione Aplicativo empresarial.

  4. Na barra de pesquisa da Galeria do Microsoft Entra, insira “KnowBe4” para filtrar seus resultados.

  5. Selecione o bloco Treinamento de conscientização em segurança da KnowBe4.

  6. Selecione Criar na janela pop-up que aparece à direita da tela.

  7. Depois de clicar em Criar, você será redirecionado para a página Visão geral do aplicativo que você criou.

    1. Caso você não veja a página Visão geral, abra o aplicativo na lista de Aplicativos empresariais. Para encontrar a lista de Aplicativos empresariais, clique em Todos os serviços, no painel à esquerda, selecione Recentes no menu recolhível exibido e, depois, clique em Aplicativos empresariais.

  8. Selecione o link Começar no bloco Provisionar contas de usuário abaixo do cabeçalho Primeiros passos.

  9. Selecione + Nova configuração.

  10. Em seguida, você precisará inserir as informações da sua página Configurações da conta. Para saber onde é possível encontrar essas informações, consulte o Guia de configuração do SCIM. No campo URL do locatário, insira o URL do locatário. No campo Token secreto, insira o Token SCIM.

    Importante: no momento, este recurso não funciona com o provisionamento sob demanda.

  11. Depois de inserir suas informações, selecione o botão Testar conexão. Ao clicar nesse botão, você se assegura de que as informações inseridas estão corretas. Se a conexão for bem-sucedida, um banner de êxito aparecerá no canto superior direito da sua tela.

  12. Selecione o botão Salvar no topo da tela.

Definindo quais usuários e grupos sincronizar usando o Microsoft Entra

Observação: as instruções nesta seção definem como deve ocorrer a sincronização de usuários e grupos específicos. Caso você queira sincronizar todos os seus usuários e grupos do Microsoft Entra ID, consulte a seção Perguntas frequentes (FAQs) neste artigo.

Depois de concluir as etapas na seção Configurando o SCIM acima, você pode decidir quais usuários e grupos deseja sincronizar. Essa configuração é obrigatória para sincronizar os usuários e grupos do seu provedor de identidades (Identity Provider, IdP).

Importante: grupos aninhados não são permitidos no momento pelo provisionamento de SCIM e Microsoft Entra ID. Para obter mais informações, consulte a seção Escopo do artigo da Microsoft Como funciona o provisionamento de aplicativos no Microsoft Entra ID Como funciona o provisionamento de aplicativos no Microsoft Entra ID (o link abre em uma nova janela).

Para definir quais usuários e grupos deseja sincronizar a partir do Microsoft Entra ID, siga as etapas a seguir:

  1. No Microsoft Entra ID, vá para Aplicativos empresariais.
  2. Selecione o aplicativo que você criou para sua conexão do KnowBe4.

  3. Selecione Atribuir usuários e grupos no bloco Atribuir usuários e grupos.

  4. Selecione + Adicionar usuário/grupo para selecionar os usuários ou grupos que você deseja sincronizar.

  5. Selecione Nenhum selecionado para pesquisar pelos usuários ou grupos a serem incluídos na sincronização. Para adicionar um usuário ou grupo, clique no nome desse usuário ou grupo. Agora, eles serão exibidos no painel lateral Selecionados.

    Observação: recomendamos que você inclua apenas alguns usuários na configuração inicial. Antes de adicionar todos os usuários e grupos desejados, comece com apenas alguns usuários para verificar se a conexão está funcionando bem.

  6. Depois de adicionar os usuários e grupos que você deseja incluir na categoria Selecionados, clique em Selecionar.
  7. Selecione Atribuir.

Os usuários e grupos selecionados serão exibidos na tabela.

Iniciando a sincronização

Depois de configurar o SCIM e adicionar os usuários e grupos que deseja sincronizar, será necessário começar a sincronização. Depois que a sincronização começa, o sistema verifica automaticamente as alterações nos seus usuários e grupos do Microsoft Entra ID a cada 40 minutos e inicia a sincronização em caso de mudanças.

Observação: se você tiver mais de 1.000 usuários no seu aplicativo de provisionamento do SCIM, é provável que nem todos sejam incluídos na sincronização inicial. Eles serão sincronizados com a sua conta por etapas. Recomendamos que você mantenha seu provisionamento de usuários no Modo de teste até que veja apenas algumas alterações nos relatórios de sincronização. Isso ajuda a evitar que os usuários sejam arquivados no console do KSAT. Além disso, a sincronização de associações aos grupos pode demorar mais tempo do que a sincronização de usuários. Se você tiver uma conta maior, sincronizações periódicas serão feitas no console do KSAT.

Para iniciar a sincronização, siga estas etapas:

  1. No Microsoft Entra ID, navegue até os Aplicativos empresariais.
  2. Selecione o aplicativo que você criou para sua conexão do KnowBe4.
  3. No menu à esquerda da página, selecione Provisionamento.

  4. Clique em Iniciar provisionamento.

A sincronização iniciará imediatamente. Depois da sincronização inicial, o sistema verificará se haverá mudanças no seu Microsoft Entra ID a cada 40 minutos e iniciará a sincronização em caso de mudanças.

Importante: se os usuários tiverem sido sincronizados corretamente, você precisará desativar o Modo de teste nas Configurações da conta do KSAT. A desativação do Modo de teste permitirá que os usuários sejam adicionados e arquivados durante a próxima sincronização. Para obter mais informações sobre o Modo de teste, consulte o Guia de configuração do SCIM.

Para ver o status dessas sincronizações, qualquer erro encontrado e informações adicionais sobre suas sincronizações, vá para Provisionamento de usuários no console do KSAT.

Opções avançadas de configuração

Ao habilitar a sincronização do SCIM com o Entra ID, os dados de usuários já existentes no console da KnowBe4 serão substituídos pelo provedor de identidade SCIM. Antes de prosseguir, verifique as informações ao visualizar uma campanha no modo de teste para garantir que os grupos e os status dos usuários estejam configurados corretamente no Entra ID. Essa etapa evitará a perda acidental de dados. Os usuários que não estiverem incluídos na sincronização serão arquivados automaticamente, preservando seus dados e mantendo os registros históricos.

Importante: os alias de e-mail não são permitidos no momento pelo provisionamento do SCIM.

Para saber mais sobre as opções de configuração avançadas do Microsoft Entra, consulte as seguintes subseções:

Mapeamentos padrão

Os mapeamentos de campo padrão são mostrados abaixo:

Atributo padrão do Azure Active Directory Atributo do KSAT Campo do KSAT
userPrincipalName userName E-mail
givenName name.givenName Nome
surname name.familyName Sobrenome
employeeId urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber Número do funcionário
jobTitle title Cargo
department urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department Departamento
manager

urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager.value

Observação: para que as informações do gerente sejam sincronizadas, os gerentes aplicáveis devem ser incluídos na sincronização. Para adicionar esses gerentes à sincronização, consulte Definindo quais usuários e grupos sincronizar usando o Microsoft Entra na seção acima.
 E-mail do gerente
displayName do perfil do Entra ID do gerente.

displayName

Observação: o displayName de um usuário vem de seu perfil Entra ID do gerente. Como resultado, o displayName de um usuário não será exibido em perfil de usuário no KSAT, pois seu nome é sincronizado usando outros atributos. Mas ele será exibido nos perfis de usuário de seus subordinados diretos.
 Nome do gerente
Observação: os campos Divisão e Organização não estão mapeados por padrão. Se você planeja usar esses campos, precisará adicionar o mapeamento. Esses atributos podem ser adicionados ao seguir as instruções na seção Adicionando o mapeamento de atributos para campos de usuários personalizados, abaixo.
Atributo padrão do Azure Active Directory Atributo do KSAT Campo do KSAT
N/A N/A Fuso horário
N/A N/A Ramal
N/A N/A Comentário
N/A N/A Data de início do funcionário

Alterando os mapeamentos padrão

Você pode alterar os mapeamentos padrão para personalizar as informações dos usuários sincronizados entre o Microsoft Entra e o console do KSAT.

Para alterar os mapeamentos padrão, siga estas etapas:

  1. No Microsoft Entra ID, navegue até os Aplicativos empresariais.
  2. Selecione o aplicativo que você criou para sua conexão do KnowBe4.

  3. No menu à esquerda da página, selecione Provisionamento.

  4. Na janela Provisionamento, clique em Editar mapeamentos de atributos, sob Gerenciar provisionamento.

  5. Clique na seta suspensa de Mapeamentos para expandir a guia Mapeamentos.

  6. Clique em Provisionar usuários do Azure Active Directory.

  7. Desloque para baixo até a seção Mapeamentos de atributos. Nesta seção, você verá uma lista de todos os atributos que foram mapeados. A coluna Atributo do Azure Active Directory exibe o nome do atributo no Microsoft Entra. A coluna Atributo da KnowBe4 exibe o nome padrão do SCIM para esse atributo.

  8. Selecione o atributo que você deseja editar.
  9. No painel lateral Editar atributo, personalize o atributo. Para obter detalhes sobre as opções de personalização, consulte a lista abaixo:
    1. Tipo de mapeamento: selecione Direto no menu suspenso.

    2. Atributo de origem: selecione o campo do Azure que você deseja mapear para esse campo personalizado.

      Observação: se você estiver usando o SSO do Microsoft Entra ID, esse deverá ser o mesmo Atributo da fonte do SSO. Por padrão, o Atributo de origem SSO é o user.userprincipalname. Para obter mais informações, consulte a seção Adicionar o aplicativo KnowBe4 ao Azure AD do artigo Como configurar SSO/SAML com o Azure Active Directory (AD)?.
    3. Valor padrão quando nulo: este campo é opcional. Recomendamos deixá-lo em branco.
    4. Atributo de destino: selecione o campo personalizado que você deseja mapear para o campo do Azure que você escolheu.
    5. Corresponder objetos usando este atributo: recomendamos selecionar Não.

    6. Aplicar este mapeamento: recomendamos selecionar Sempre.

      Observação: se houver um atributo que você não deseja sincronizar, clique no botão Excluir, ao lado do atributo, para desabilitar a sincronização. Essa ação removerá apenas a conexão entre o atributo e o campo correspondente no console do KSAT. Nenhum dado será excluído do Azure.

  10. Depois de fazer as mudanças desejadas, clique em OK.

    Observação: recomendamos alterar apenas o campo Atributo de origem. A alteração de outras configurações no atributo pode interromper a conexão entre o Microsoft Entra e o console do KSAT.

Adicionando o mapeamento de atributos a campos personalizados de usuários

Você também tem a opção de adicionar seis campos personalizados. Esses campos não estão mapeados por padrão, mas podem ser adicionados ao Microsoft Entra seguindo estas etapas:

  1. No Microsoft Entra ID, navegue até os Aplicativos empresariais.
  2. Selecione o aplicativo que você criou para sua conexão do KnowBe4.

  3. No menu à esquerda da página, selecione Provisionamento.

  4. Na janela Provisionamento, selecione Editar mapeamentos de atributos na seção Gerenciar provisionamento.

  5. Clique na seta suspensa de Mapeamentos para expandir a guia Mapeamentos.

  6. Clique em Provisionar usuários do Azure Active Directory.
  7. Clique em Adicionar novo mapeamento na parte inferior da tabela.
  8. Na janela Editar atributo, selecione o Atributo de origem que você deseja usar.

  9. Depois, selecione o Atributo de destino. Oferecemos os seguintes campos personalizados:

    Observação: é importante seguir o formato dos idiomas com suporte, prestando atenção às letras maiúsculas e minúsculas específicas.
    Campo do KSAT Atributo de destino
    Campo personalizado 1 urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField1
    Campo personalizado 2 urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField2
    Campo personalizado 3 urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField3
    Campo personalizado 4 urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField4
    Data personalizada 1

    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customDate1

    Importante: as datas neste campo devem estar no formato ISO 8601. O formato é o seguinte: AAAA-MM-DD “T” hh:mm:ssZ. Por exemplo, 2022-04-04T04:23:30Z.
    Data personalizada 2

    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customDate2

    Importante: as datas neste campo devem estar no formato ISO 8601. O formato é o seguinte: AAAA-MM-DD “T” hh:mm:ssZ. Por exemplo, 2022-04-04T04:23:30Z.
    Divisão urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division
    Organização urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization
    Término da ausência temporária urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:outOfOfficeEnd
    Idioma de phishing urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:phishingLanguage
    Idioma do treinamento urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:trainingLanguage
    Tipo de usuário urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:userRole
    Atributo padrão do Microsoft Entra ID Atributo do KSAT Campo do KSAT
    physicalDeliveryOfficeName addresses[type eq "work"].formatted Location
    telephoneNumber phoneNumbers[type eq "work"].value Phone Number
    Dispositivos móveis phoneNumbers[type eq "mobile"].value Número do celular
    Atributos que aparecem no esquema por padrão:
    Campo do KSAT Atributo de destino
    Nome da empresa urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:companyName
    País urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:country
    Tipo de funcionário userType
    Nome do host urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:hostname
    Apelido de e-mail urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:mailNickName
    Nome da conta de SAM urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:onPremisesSamAccountName
    Identificador de segurança urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:onPremisesSecurityIdentifier
    Nome principal do usuário urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:userPrincipalName
    Última alteração de senha

    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:lastPasswordChangeDateTime

    Importante: no campo Última alteração de senha, o tipo de atributo de destino deve ser definido como DateTime.
    Também oferecemos os seguintes campos personalizados para mapeamento de usuários no SecurityCoach:
  10. Recomendamos deixar o restante das configurações como padrão.
  11. Repita a etapa 8 para todos os campos personalizados que você adicionou na etapa 7.
  12. Para salvar suas alterações, clique em Salvar no topo da tela.

Agora, esses campos personalizados serão sincronizados com o console do KSAT.

Perguntas frequentes (FAQs)

Abaixo, você verá uma lista de perguntas frequentes sobre como usar o SCIM com o Microsoft Entra ID.

Com que frequência as sincronizações ocorrem?

O sistema verifica as atualizações dos usuários e grupos no Microsoft Entra ID a cada 40 minutos. Se ele encontrar alterações, uma sincronização será iniciada automaticamente. No entanto, você pode forçar uma sincronização a qualquer momento, clicando no botão Forçar sincronização agora na seção Configurações do SCIM nas Configurações da conta do KSAT.

Como posso restaurar os mapeamentos padrão?

Você pode restaurar o mapeamento padrão a qualquer momento, seguindo estas etapas:

  1. Vá para Aplicativos empresariais.
  2. Selecione o aplicativo que você criou para sua conexão do KnowBe4.
  3. No menu à esquerda da página, selecione Provisionamento.
  4. Clique em Editar mapeamentos de atributos, sob Gerenciar provisionamento.
  5. Clique na seta suspensa de Mapeamentos para expandir o menu suspenso Mapeamentos.
  6. Selecione Restaurar mapeamentos padrão.
  7. Clique em Salvar no topo da tela.

Como posso sincronizar todos os meus usuários e grupos?

Se você deseja sincronizar todos os usuários e grupos do seu Microsoft Entra ID, siga estas etapas:

  1. Vá para o aplicativo configurado para sua conexão do SCIM.
  2. Navegue até Provisionamento.
  3. Selecione Editar provisionamento no topo da tela ou, em Gerenciar provisionamento, selecione Adicionar filtros de escopo.
  4. Clique no menu suspenso Configurações.
  5. No menu suspenso Escopo, selecione Sincronizar todos os usuários e grupos.
  6. Clique em Salvar no topo da página.

Eu não consigo atribuir usuários a um aplicativo por grupo. Como posso limitar a sincronização dos usuários para o console do KSAT?

Para limitar a sincronização dos usuários para o console do KSAT, você pode configurar um filtro de escopo. Para obter mais informações sobre como criar um filtro de escopo, consulte o artigo da Microsoft Definir o escopo de usuários ou grupos a serem provisionados com filtros de escopo Definir o escopo de usuários ou grupos a serem provisionados com filtros de escopo (o link abre em uma nova janela).

Este artigo foi útil?

Usuários que acharam isso útil: 11 de 13

Não encontrou o que estava procurando?

Fale com o suporte