SCIM

Configure o SCIM para o Microsoft Entra ID

Neste artigo, você aprenderá a configurar o SCIM com o Microsoft Entra ID (antigo Azure Active Directory). A configuração do SCIM para o Microsoft Entra ID permitirá que você adicione e gerencie usuários e grupos no console do KSAT usando o Microsoft Entra ID.

As instruções nesse artigo se destinam a softwares de terceiros. Caso tenha problemas com o provisionamento de usuários no Microsoft Entra ID, recomendamos que você consulte o Microsoft Entra para obter instruções específicas. Também é possível entrar em contato com nossa equipe de suporte, que ficará feliz em ajudar.  

Observação:Para sincronizar usuários e grupos com o SCIM, você precisa ter uma assinatura do Microsoft Entra. Para obter mais informações sobre como sincronizar usuários e grupos usando o Microsoft Entra, consulte o artigo da Microsoft Atribuir usuários e grupos a um aplicativo.

Configurando o SCIM

Nesta seção, você aprenderá a configurar seu SCIM usando o Microsoft Entra. Observe que estas etapas devem ser configuradas depois da definição das suas configurações no console do KSAT. Para obter mais informações sobre como configurar o SCIM no console do KSAT, consulte o Guia de configuração do SCIM.

Para configurar o SCIM com o Microsoft Entra, siga estas etapas:

  1. Entre no portal Microsoft Entra e navegue até o Microsoft Entra ID.
  2. No menu suspenso Aplicativos , clique em Aplicativos corporativos.
  3. Clique em + Novo aplicativo.
  4. Na barra de pesquisa, insira "KnowBe4" para filtrar seus resultados. 
  5. Clique no bloco Treinamento de conscientização em segurança da KnowBe4.
  6. Em seguida, clique em Criar. Depois de clicar em Criar, você passará para a página Visão geral do aplicativo criado. Caso você não seja direcionado à página Visão geral, abra o aplicativo na lista de Aplicativos empresariais.
  7. No menu à esquerda da página, selecione a guia Provisionamento.
  8. Clique em Começar.
  9. Clique no menu suspenso Modo de provisionamento e selecione Automático.
  10. Em seguida, você precisa inserir as informações da sua página Configurações da conta. Para saber onde é possível encontrar essas informações, consulte o Guia de configuração do SCIM. No campo URL do locatário, insira o URL do locatário e, no campo Token secreto, insira o Token do SCIM
    Importante:No momento, este recurso não funciona com o provisionamento sob demanda.
  11. Depois de inserir suas informações, clique no botão Testar conexão. Ao clicar nesse botão, você se assegura de que as informações inseridas estão corretas. Se a conexão for bem-sucedida, um banner de êxito aparecerá no canto superior direito da sua tela.
  12. Clique no botão Salvar no topo da tela.

Depois, você precisa definir quais usuários e grupos deseja que o Microsoft Entra ID sincronize com o console do KSAT.

Definindo quais usuários e grupos sincronizar usando o Microsoft Entra

Depois de concluir as etapas na seção Configurando o SCIM acima, você pode decidir quais usuários e grupos deseja sincronizar. Essa configuração é obrigatória para sincronizar os usuários e grupos do seu provedor de identidades (Identity Provider, IdP).

Observação:As instruções nesta seção visam definir usuários e grupos específicos para sincronização. Caso você queira sincronizar todos os seus usuários e grupos do Microsoft Entra ID, consulte a seção Perguntas frequentes (FAQs) neste artigo.
Importante:grupos aninhados não são permitidos no momento pelo provisionamento de SCIM e Microsoft Entra ID. Para mais informações, veja a seção de escopo do artigo Como o provisionamento de aplicativos funciona no Azure Active Directory da Microsoft.

Para definir quais usuários e grupos deseja sincronizar a partir do Microsoft Entra ID, siga as etapas a seguir:

  1. No Microsoft Entra ID, navegue até os Aplicativos corporativos.
  2. Selecione o aplicativo que você criou para sua conexão do KnowBe4.
  3. Clique em Usuários e grupos no menu à esquerda da página.
  4. Clique em Adicionar usuário/grupo para selecionar os usuários ou grupos que você deseja sincronizar.
  5. Clique em Usuários e grupos para pesquisar pelos usuários ou grupos para incluir na sincronização. Para adicionar um usuário ou grupo, clique no nome desse usuário ou grupo. Agora, eles serão exibidos na categoria Itens selecionados.
    Observação:Recomendamos que você inclua apenas alguns usuários na primeira configuração. Antes de adicionar todos os usuários e grupos desejados, comece com apenas alguns usuários para verificar se a conexão está funcionando bem.
  6. Depois de adicionar os usuários e grupos que você deseja incluir na categoria Itens selecionados, clique em Selecionar.
  7. Clique em Atribuir.

Os usuários e grupos selecionados serão exibidos na tabela.

Iniciando a sincronização

Depois de configurar o SCIM e adicionar os usuários e grupos que deseja sincronizar, será necessário começar a sincronização. Depois que a sincronização começa, o sistema verifica automaticamente as alterações nos seus usuários e grupos do Microsoft Entra ID a cada 40 minutos e inicia a sincronização em caso de mudanças.

Observação:Se você tiver mais de 1.000 usuários no seu aplicativo de provisionamento do SCIM, é provável que nem todos sejam incluídos na sincronização inicial. Eles serão sincronizados com a sua conta por etapas. Recomendamos que você mantenha seu provisionamento de usuários no Modo de teste até que veja apenas algumas alterações nos relatórios de sincronização. Isso ajuda a evitar que os usuários sejam arquivados no console do KSAT. Além disso, a sincronização de associações aos grupos pode demorar mais tempo do que a sincronização de usuários. Se você tiver uma conta maior, sincronizações periódicas serão feitas no console do KSAT.

Para iniciar a sincronização, siga estas etapas:

  1. No Microsoft Entra ID, navegue até os Aplicativos corporativos.
  2. Selecione o aplicativo que você criou para sua conexão do KnowBe4.
  3. No menu à esquerda da página, selecione Provisionamento.
  4. Clique em Iniciar provisionamento.

A sincronização iniciará imediatamente. Depois da sincronização inicial, o sistema verificará se haverá mudanças no seu Microsoft Entra ID a cada 40 minutos e iniciará a sincronização em caso de mudanças.

Importante:Se os usuários tiverem sido sincronizados corretamente, você precisará desativar o Modo de teste nas Configurações da conta do KSAT. A desativação do Modo de teste permitirá que os usuários sejam adicionados e arquivados durante a próxima sincronização. Para obter mais informações sobre o Modo de teste, consulte o Guia de configuração do SCIM.

Para ver o status dessas sincronizações, qualquer erro encontrado e informações adicionais sobre suas sincronizações, vá para Usuários > Provisionamento no console do KSAT.

Opções avançadas de configuração

Quando você habilita o SCIM, os campos no seu provedor de identidades são automaticamente conectados aos campos correspondentes no console do KSAT. Se desejar alterar o mapeamento padrão ou adicionar campos personalizados, você terá a opção de atualizar esses campos no Microsoft Entra.

Importante:Os Alias de e-mail não são permitidos no momento pelo provisionamento do SCIM.

Para saber mais sobre as opções de configuração avançadas do Microsoft Entra, consulte as seguintes subseções:

Mapeamentos padrão

Os mapeamentos de campo padrão são mostrados abaixo:

Atributo padrão do Azure Active Directory Atributo do KSAT Campo do KSAT
userPrincipalName
userName
E-mail
givenName
name.givenName
Nome
surname
name.familyName
Sobrenome
employeeId
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber
Número do funcionário
jobTitle
title
Cargo
companyName
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization
Organização
department
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department
Departamento
manager
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager.value
Observação:Para que as informações do gerente sejam sincronizadas, os gerentes aplicáveis devem ser incluídos na sincronização. Para adicionar esses gerentes à sincronização, consulte Definindo quais usuários e grupos sincronizar usando o Microsoft Entra na seção acima.
Manager Email
displayName do perfil do Entra ID do gerente.
displayName
Observação:O displayName de um usuário vem de seu perfil Entra ID do gerente. Como resultado, o displayName de um usuário não será exibido em perfil de usuário no KSAT, pois seu nome é sincronizado usando outros atributos. Mas ele será exibido nos perfis de usuário de seus subordinados diretos.
Manager Name
Observação:Os campos Divisão e Organização não são mapeados por padrão. Se você planeja usar esses campos, precisará adicionar o mapeamento. Esses atributos podem ser adicionados ao seguir as instruções na seção Adicionando o mapeamento de atributos para campos de usuários personalizados, abaixo.
Atributo padrão do Azure Active Directory Atributo do KSAT Campo do KSAT
N/A N/A Fuso horário
N/A N/A Ramal
N/A N/A Idioma
N/A N/A Comentário
N/A N/A Employee Start Date

Alterando os mapeamentos padrão

Você pode alterar os mapeamentos padrão para personalizar as informações dos usuários sincronizados entre o Microsoft Entra e o console do KSAT.

Para alterar os mapeamentos padrão, siga estas etapas:

  1. No Microsoft Entra ID, navegue até os Aplicativos corporativos.
  2. Selecione o aplicativo que você criou para sua conexão do KnowBe4.
  3. No menu à esquerda da página, selecione Provisionamento.
  4. Na janela Provisionamento, clique em Editar mapeamentos de atributo, em Gerenciar provisionamento.
  5. Clique na seta suspensa de Mapeamentos para expandir a guia Mapeamentos.
  6. Clique em Provisionar usuários do Azure Active Directory.
  7. Desloque para baixo até a seção Mapeamentos de atributos. Nesta seção, você verá uma lista de todos os atributos que foram mapeados. A coluna Atributo do Azure Active Directory exibe o nome do atributo no Microsoft Entra. A coluna Atributo da KnowBe4 exibe o nome padrão do SCIM para esse atributo.
  8. Selecione o atributo que você deseja editar.
  9. No painel lateral Editar atributo, personalize o atributo. Para obter detalhes sobre as opções de personalização, consulte a lista abaixo:

    1. Tipo de mapeamento: Selecione Direto no menu suspenso.
    2. Atributo de origem: Selecione o campo do Azure que você deseja mapear para esse campo personalizado.
      Observação:Se você estiver usando o SSO do Microsoft Entra ID, esse deverá ser o mesmo Atributo da fonte do SSO. Por padrão, o Atributo de origem SSO é o user.userprincipalname. Para mais informações, consulte a seção Adicionar o aplicativo KnowBe4 ao Azure AD de nosso artigo Como configurar SSO/SAML com o Azure Active Directory (AD)?.
    3. Valor padrão quando nulo: Este campo é opcional. Recomendamos deixá-lo em branco.
    4. Atributo de destino: Selecione o campo personalizado que você deseja mapear para o campo do Azure que você escolheu.
    5. Corresponder objetos usando este atributo: Recomendamos selecionar Não.
    6. Aplicar este mapeamento: Recomendamos selecionar Sempre.
      Observação:Se houver um atributo que você não deseja sincronizar, clique no botão Excluir, ao lado do atributo, para desabilitar a sincronização. Essa ação removerá apenas a conexão entre o atributo e o campo correspondente no console do KSAT. Nenhum dado será excluído do Azure.
  10. Depois de fazer as mudanças desejadas, clique em OK.
    Observação:Recomendamos alterar apenas o campo Atributo de origem. A alteração de outras configurações no atributo pode interromper a conexão entre o Microsoft Entra e o console do KSAT.

Adicionando o mapeamento de atributos a campos personalizados de usuários

Você também tem a opção de adicionar seis campos personalizados. Esses campos não estão mapeados por padrão, mas podem ser adicionados ao Microsoft Entra seguindo estas etapas:

  1. No Microsoft Entra ID, navegue até os Aplicativos corporativos.
  2. Selecione o aplicativo que você criou para sua conexão do KnowBe4.
  3. No menu à esquerda da página, selecione Provisionamento.
  4. Na janela Provisionamento, selecione Editar mapeamentos de atributos, em Gerenciar provisionamento.
  5. Clique na seta suspensa de Mapeamentos para expandir a guia Mapeamentos.
  6. Clique em Provisionar usuários do Azure Active Directory.
  7. Clique em Adicionar novo mapeamento na parte inferior da tabela.
  8. Na janela Editar atributo, selecione o Atributo de origem que você deseja usar.
  9. Depois, selecione o Atributo de destino. Oferecemos os seguintes campos personalizados:
    Campo do KSAT Atributo de destino
    Custom Field 1
    							urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField1
    						
    Custom Field 2
    							urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField2
    						
    Custom Field 3
    							urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField3
    						
    Custom Field 4
    							urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField4
    						
    Custom Date 1
    							urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customDate1
    						
    Custom Date 2
    							urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customDate2
    						
    Division
    							urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division
    						
    Organization
    							urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization
    						
  10. Recomendamos deixar o restante das configurações como padrão.
  11. Repita a etapa 9 para todos os campos personalizados que você adicionou na etapa 8.
  12. Para salvar suas alterações, clique em Salvar no topo da tela.

Agora, esses campos personalizados serão sincronizados com o console do KSAT.

Perguntas frequentes (FAQs)

Abaixo, você verá uma lista de perguntas frequentes sobre como usar o SCIM com o Microsoft Entra ID.

Com que frequência as sincronizações ocorrem?

O sistema verifica as atualizações dos usuários e grupos no Microsoft Entra ID a cada 40 minutos. Se ele encontrar alterações, uma sincronização será iniciada automaticamente. No entanto, você pode forçar uma sincronização a qualquer momento, clicando no botão Forçar sincronização agora na seção Configurações do SCIM nas Configurações da conta do KSAT.

Como posso restaurar os mapeamentos padrão?

Você pode restaurar o mapeamento padrão a qualquer momento, seguindo estas etapas:

  1. Vá para Aplicativos empresariais.
  2. Selecione o aplicativo que você criou para sua conexão do KnowBe4.
  3. No menu à esquerda da página, selecione Provisionamento.
  4. Clique em Editar mapeamento de atributo, em Gerenciar provisionamento.
  5. Clique na seta suspensa de Mapeamentos para expandir o menu suspenso Mapeamentos.
  6. Selecione Restaurar mapeamentos padrão.
  7. Clique em Salvar no topo da tela.

Como posso sincronizar todos os meus usuários e grupos?

Se você deseja sincronizar todos os usuários e grupos do seu Microsoft Entra ID, siga estas etapas:

  1. Vá para o aplicativo configurado para sua conexão do SCIM.
  2. Navegue até Provisionamento.
  3. Selecione Editar provisionamento no topo da tela ou, em Gerenciar provisionamento, selecione Adicionar filtros com escopo.
  4. Clique no menu suspenso Configurações.
  5. No menu suspenso Escopo, selecione Sincronizar todos os usuários e grupos.
  6. Clique em Salvar no topo da página.

Eu não consigo atribuir usuários a um aplicativo por grupo. Como posso limitar a sincronização dos usuários para o console do KSAT?

Resposta: Para limitar a sincronização dos usuários para o console do KSAT, você pode configurar um filtro de escopo. Para obter mais informações sobre como criar um filtro de escopo, consulte o artigo da Microsoft Provisionamento de aplicativo com base em atributo com filtros de escopo.

Não encontrou o que estava procurando?

Fale com o suporte