Integração com o Active Directory

Compartilhar

Este artigo é útil?

Última atualização:

Guia de configuração avançada da Integração com o Active Directory (ADI)

Após a configuração inicial do Active Directory (AD), você poderá personalizar a sincronização com opções adicionais para atender às necessidades da sua organização. Para obter mais informações, consulte as seções abaixo. Para obter informações sobre o processo básico de instalação e configuração da Integração com o Active Directory (ADI), consulte o Guia de configuração da Integração com o Active Directory (ADI).

Como criar uma conta de serviço ADI no Active Directory

Para configurar a ADI, você deve usar ou criar uma conta no AD que tenha as seguintes permissões:

  • ler todas as informações do usuário
  • ler todas as informações de inetOrgPerson

Para criar um usuário do AD com as permissões de leitura necessárias, siga as etapas abaixo:

  1. Abra Usuários e computadores do Active Directory.

  2. Clique com o botão direito do mouse no seu domínio e selecione Delegar controle. Ao selecionar Delegar controle, o modal Delegação de controle será aberto.

  3. No modal Delegação de controle, adicione sua conta de serviço ADI criada anteriormente.

  4. Delegue as tarefas Ler todas as informações do usuário e Ler todas as informações de inetOrgPerson.

  5. Por fim, você precisará reconfigurar o Serviço de sincronização da ADI da KnowBe4 para usar sua nova conta de serviço do AD com a ADI.

Para alterar o usuário especificado, siga as etapas abaixo:

  1. Vá até a pasta C:\ProgramData\KnowBe4\ADI Sync\Config\ e exclua o arquivo <domínio>.dat.
  2. Abra o prompt de comando como administrador e acesse a pasta C:\Arquivos de Programas\KnowBe4\ADI Sync\ e digite “adisync.exe config”.

Como alterar o local de onde extrair endereços de e-mail no Active Directory

Por padrão, a sincronização da ADI sincroniza todos os endereços de e-mail de proxy dos seus usuários. Contudo, é possível alterar o local no Active Directory de onde você deseja extrair os endereços de e-mail. Além disso, você pode optar por sincronizar apenas os endereços de e-mail do proxy principal dos usuários. Abra o arquivo adisync.conf na pasta C:\ProgramData\KnowBe4\ADI Sync\Config. Por padrão, serão exibidos os seguintes campos:

  • emailAttribute = "proxyAddresses"
  • primaryProxyOnly = false
Observação: caso esses campos não estejam visíveis, verifique se você está mesmo editando o arquivo adisync.conf, e não o arquivo <domínio>.conf. Caso não encontre o campo emailAttribute no arquivo adisync.conf, talvez você esteja usando uma versão antiga da ADI. Atualize para a versão mais recente da ADI se for preciso fazer alterações no campo emailAttribute.

Para obter mais informações sobre como alterar os endereços de e-mail que serão sincronizados para os usuários, consulte a lista abaixo:

Observação: os campos a seguir diferenciam maiúsculas de minúsculas.
  • Proxy principal somente: se desejar usar apenas o endereço de proxy principal de cada usuário, altere o campo primaryProxyOnly de “false” para “true”. Salve o arquivo adisync.conf e inicie o serviço ADI novamente. Esse processo garantirá que nenhum endereço de e-mail de alias seja sincronizado.

  • Atributo do e-mail: se desejar que a sincronização use o atributo Mail em vez de proxyAddresses, altere o campo emailAttribute de “proxyAddresses” para “mail”. Salve o arquivo adisync.conf e inicie o Serviço de sincronização da ADI da KnowBe4 novamente.

    Importante: independentemente do campo pelo qual você está fazendo a sincronização, o atributo “mail” de um usuário não pode ficar em branco. Para os fins da ADI, esse valor não precisa ser um domínio válido. Para obter mais informações, entre em contato com nossa equipe de suporte.
  • Nome principal do usuário: se desejar que a sincronização use o userPrincipalName (UPN) em vez de proxyAddresses, altere o campo emailAttribute de “proxyAddresses” para “userPrincipalName”. Salve o arquivo adisync.conf e inicie o Serviço de sincronização da ADI da KnowBe4 novamente.

Como exibir os endereços de e-mail e proxy no Active Directory

Siga as etapas abaixo para ver o endereço de e-mail e proxy de um usuário no Active Directory. Estas etapas também podem ser usadas para exibir o PrincipalName de um usuário.

  1. Na janela Usuários e computadores do Active Directory, clique em Exibir na barra de ferramentas.

  2. No menu suspenso Exibir, selecione Recursos avançados.

  3. Clique duas vezes em um usuário para abrir a janela pop-up Propriedades do usuário.
  4. Na janela pop-up Propriedades do usuário, selecione a guia Editor de atributos.

  5. Para exibir o endereço de e-mail do usuário, procure por “mail” na coluna Atributo. Selecione mail e clique no botão Editar.

  6. Quando você clicar em Editar, a janela pop-up Editor de atributos de cadeia de caracteres será aberta. Nessa janela pop-up, é possível ajustar o Valor do atributo mail.

  7. Para exibir o endereço de proxy do usuário, procure por proxyAddresses na coluna Atributo. Selecione proxyAddresses e clique no botão Editar.

  8. Ao clicar no botão Editar, a janela pop-up Editor de cadeia de caracteres com valores múltiplos será aberta. Nela, você poderá adicionar ou remover um Valor do atributo proxyAddresses.

Suporte a várias origens de domínio

Se os usuários estiverem divididos entre várias origens de domínio, será necessário definir uma configuração para cada domínio com objetos de usuário que precisam ser sincronizados.

Para cada domínio adicional, você precisará executar a configuração adisync.exe no diretório de instalação da sincronização da ADI. Executar a configuração de sincronização da ADI uma segunda vez criará os arquivos <domínio>.conf adicionais que devem ser editados para especificar os critérios de filtro da sua sincronização.

Observação: para habilitar o suporte a várias origens de domínio, verifique se você já instalou a ferramenta de sincronização da ADI uma vez. Você não precisa instalar a ferramenta de sincronização da ADI novamente, pois uma segunda instalação poderá arquivar os usuários.

Para executar a configuração de sincronização da ADI e ter suporte a várias origens de domínio, siga as etapas abaixo:

  1. Abra o prompt de comando no modo de administrador.
  2. Vá até o diretório do sistema de Sincronização da ADI. O local padrão do diretório do sistema é C:\Arquivos de Programas\KnowBe4\ADI Sync.

  3. Digite a linha abaixo e pressione a tecla Enter:

    adisync.exe config
  4. Insira os detalhes do controlador de domínio e do domínio adicionais. Para obter mais detalhes, consulte a etapa 7 da seção Instalação e configuração do Guia de configuração da Integração com o Active Directory (ADI).
  5. Depois que o arquivo adicional <domínio>.conf tiver sido criado em C:\ProgramData\KnowBe4\ADI Sync\Config, edite-o para especificar as informações que deseja sincronizar. Para obter mais detalhes, consulte o Guia de configuração da Integração com o Active Directory (ADI).
  6. Salve o arquivo <domínio>.conf.
  7. Depois de repetir esse processo para todos os domínios adicionais, você poderá iniciar a sincronização.
Observação: o sistema no qual a ferramenta de sincronização da ADI é instalada deve ser capaz de se conectar com todos os controladores de domínio.

Como instalar a versão mais recente da ADI

Siga as etapas abaixo para instalar a versão mais recente da ADI sem desinstalar a versão anterior:

  1. Baixe o novo instalador de Configurações da conta do KSAT.
  2. Execute a instalação.

  3. Se solicitado, clique em Sim para usar os dados da instalação anterior.

    O Serviço de sincronização da ADI da KnowBe4 será iniciado automaticamente assim que a instalação for concluída. Você pode verificar se o serviço está sendo executado conforme o esperado no menu de serviços do Windows.

Os usuários devem continuar sincronizando conforme esperado.

Como sincronizar campos personalizados

Os perfis de usuário no console da KnowBe4 incluem campos personalizados que você pode usar para sincronizar informações adicionais no seu Active Directory. Para especificar as informações que deseja sincronizar com os campos personalizados, edite o arquivo <domínio>.conf e, em seguida, inicie o serviço novamente para que as alterações sejam sincronizadas. Para saber mais, consulte Sincronizando outras informações do usuário com a KnowBe4.

Observação: os campos personalizados de sincronização estão disponíveis na versão 1.0.16.5 e posteriores da ADI. Caso não encontre os campos personalizados no arquivo <domínio>.conf, será necessário instalar a versão mais recente da ADI. Seus arquivos <domínio>.conf existentes serão atualizados para incluir os campos de sincronização personalizados. Se decidir usar esses novos campos personalizados, você deverá iniciar o Serviço de sincronização da ADI da KnowBe4 novamente para que as alterações sejam sincronizadas.

Como habilitar campos do SecurityCoach

Se você já tiver configurado a ADI e sua assinatura incluir o SecurityCoach, será possível habilitar os campos do SecurityCoach instalando a versão mais recente da ADI. Se você já estiver usando a versão mais recente e não tiver os campos do SecurityCoach habilitados, será necessário reconfigurar a ADI para habilitá-los.

Observação: se você estiver instalando a versão mais recente da ADI, defina Habilitar os campos do SecurityCoach como verdadeiro. Para obter mais informações, consulte a seção Instalação e configuração do Guia de configuração da Integração com o Active Directory (ADI).

Para reconfigurar a ADI e habilitar os campos do SecurityCoach, siga as etapas abaixo:

  1. Interrompa o Serviço de sincronização da ADI da KnowBe4 no menu de serviços do Windows.
  2. Acesse o diretório do sistema \ADIsync. O local padrão do diretório do sistema é C:\ProgramData\KnowBe4\ADI Sync\Config\.
  3. Mude o nome do arquivo <domínio>.conf para “<domínio>-OLD.conf”.
  4. Mova o arquivo <domínio>-OLD.conf para outro diretório.
  5. Vá até o diretório de instalação C:\Arquivos de Programas\KnowBe4\ADI Sync\ e abra um prompt de comando com privilégios elevados.
  6. No prompt de comando, execute adisync.exe config.
  7. Reconfigure a ADI digitando as mesmas informações inseridas anteriormente, mas defina Habilitar os campos do SecurityCoach como verdadeiro. Depois de reconfigurar a ADI, um novo arquivo <domínio>.conf será criado no diretório \Config .
  8. Abra o arquivo <domínio>-OLD.conf e o novo arquivo <domínio>.conf.
  9. Copie os dados na seção [sync.users] do arquivo <domínio>-OLD.conf. Cole esses dados no novo arquivo <domínio>.conf.
  10. Copie os dados na seção [sync.groups] do arquivo <domínio>-OLD.conf. Cole esses dados no novo arquivo <domínio>.conf.
  11. (Opcional) Se você tiver personalizado a seção [sync.fields] do arquivo <domínio>-OLD.conf, as mesmas personalizações poderão ser feitas no novo arquivo <domínio>.conf.
  12. Inicie o Serviço de sincronização da ADI da KnowBe4.

Este artigo foi útil?

Usuários que acharam isso útil: 6 de 9

Não encontrou o que estava procurando?

Fale com o suporte