Google 用户配置 (GUP) 是一种自动化方法,用于将用户从您的 Google Workspace 租户直接导入到 KnowBe4 控制台。此集成允许您使用 Google Workspace 中的数据在 KnowBe4 控制台中配置用户。您在 Google Workspace 中对用户信息和状态所做的更改将自动同步到 KnowBe4 控制台。配置此集成后,您便能够从一个地方管理所有用户。
此集成要求您能够访问 Google 超级管理员帐户。该管理员帐户必须具备配置此集成所需的六个 Google 作用域的权限。有关所需作用域的完整列表,请参阅本文的所需信息部分。如果您不是 Google 客户,KnowBe4 还提供其他自动化用户配置方法。有关替代用户配置方法的更多信息,请参阅 SCIM 配置指南或 Active Directory 集成 (ADI) 配置指南。
GUP 的工作原理
您可以使用 Google 客户 ID 和 KnowBe4 客户端 ID,在 Google Workspace 环境与 KnowBe4 控制台之间配置直接连接。建立此连接后,您便可配置要将哪些 Google Workspace 用户和组同步到您的 KnowBe4 控制台。您在 Google Workspace 中对用户所做的更改将自动反映在 KnowBe4 控制台中。
此同步是一个自动化过程,会全天重复执行。同步操作将至少每六小时进行一次。同步是单向过程,在 KnowBe4 控制台中对用户所做的任何更改都不会同步到您的 Google Workspace 环境。直接在 KnowBe4 控制台中对用户所做的更改将被 Google Workspace 中的数据覆盖。KnowBe4 控制台中任何在 Google Workspace 中不存在的用户将在下次 GUP 同步期间存档。
先决条件
- 您必须拥有对您组织的 KnowBe4 控制台的管理员访问权限。
- 您必须拥有对 Google Workspace 的超级管理员访问权限。
配置 Google Workspace 连接
为了配置 GUP,您需要将 KnowBe4 控制台连接到 Google Workspace 租户。
所需信息
为了完成与 Google Workspace 的连接,您需要从 KnowBe4 帐户设置收集 KnowBe4 客户端 ID 以及包含六个作用域的列表。前往您的帐户设置,选择用户管理 > 用户配置,然后切换 Google 按钮,即可找到这些信息,如以下截图所示:
此外,在 KnowBe4 帐户设置中配置连接时,您还需要 Google 客户 ID 和 Google 超级管理员电子邮件地址。这些信息位于您的 Google Admin 控制台。您可以在 admin.google.com admin.google.com(链接在新窗口中打开) 登录,然后选择账户 > 账户设置找到它们。您的客户 ID 显示在列表顶部。
获取上述信息后,即可开始配置 Google Workspace 连接。
Google Workspace 配置
要连接 Google Workspace 和 KnowBe4 控制台,请按照以下步骤操作:
- 在 admin.google.com admin.google.com(链接在新窗口中打开)登录。
- 打开 Google Admin 控制台的主页,选择安全 > 访问权限和数据控制 > API 控制。
-
选择管理域范围委派。
-
在下一页屏幕上选择新增。
-
您需要输入账户设置中的 KnowBe4 客户端 ID,以及包含六个作用域的列表。
注意:每个作用域需要用逗号分隔。
输入这些信息后,即可选择授权。现在您应该能够在 API 客户端列表中查看 KnowBe4 的 GUP。
KnowBe4 帐户设置配置
完成上述步骤后,即可配置从 KnowBe4 控制台到 Google Workspace 的连接。
- 登录您的 KnowBe4 控制台。
- 选择您的用户名,然后在下拉菜单中选择账户设置,前往您的账户设置。
- 选择用户管理 > 用户配置,然后切换 Google 按钮。
-
将您的信息输入 Google Workspace 客户 ID 和 Google Workspace 管理员电子邮件地址字段中。有关查找 Google Workspace 客户 ID 的说明,可在上文配置 Google Workspace 连接部分中找到。
-
输入完这些信息后,即可选择保存。
如果连接成功,您将看到“连接已保存”的消息(如上方截图所示)。然后,您可以选择设置 Google 配置用户范围,开始配置您希望导入到 KnowBe4 控制台的用户。有关进一步说明,请参阅下一部分的第 1 步。
设置 Google 配置
现在,您已成功将 KnowBe4 控制台连接到 Google Workspace,可以开始配置用户了。如果您尚未建立 Google Workspace 连接,请参阅上文的配置 Google Workspace 连接部分。
在运行首次同步之前,我们强烈建议使您的 KnowBe4 控制台保持在测试模式下,以确认您对同步结果满意。测试模式让您可以在将用户添加到 KnowBe4 控制台之前,查看将纳入同步的用户。这样,您就可以在实际配置任何用户之前,对配置进行必要的调整。有关将您的控制台置于测试模式下的进一步信息,请参阅用户配置部分,(位于文章 KnowBe4 控制台帐户设置:用户管理中)。
用户范围
要开始配置您的用户范围,请按照以下步骤操作:
- 登录您的 KnowBe4 控制台后,前往用户 > 配置。
-
选择右上角的设置 Google 配置按钮。
在继续操作之前,您需要确定希望如何将用户同步到 KnowBe4 控制台。您可以选择按域和组成员身份、组织单位范围进行同步,或者结合使用这两种方法来同步。我们通常建议客户先添加域,然后配置要同步的用户和组。这种方法是唯一允许您将组成员身份信息同步到 KnowBe4 控制台的方法。
如果您想通过添加域并配置要同步的组来同步用户,请继续阅读下面的按域和组成员身份同步部分。如果您想使用组织单位范围来同步用户,请前往按组织单位范围同步部分。
按域和组成员身份同步
如果您想同步用户组或单个用户,则可以使用此方法。您可以选择包含或排除组或用户,还可以将有关用户的组成员身份信息同步到您的 KnowBe4 控制台。
-
选择 +添加域按钮。
您可以通过此操作选择从中导入用户的域。为了将用户导入到您的 KnowBe4 控制台,您需要选择用户当前所在的 Google 域。当前可用的域列表将显示在下拉菜单中。
-
选择域后,单击保存。
注意:此域必须是您账户上的“允许的域”。有关添加允许的域的进一步信息,请参阅文章添加和验证域。
-
现在您将看到该域已包含在用户范围部分中。选择域名旁边的箭头,展开下拉菜单。
在这里,您将看到对应的选项,用于配置要在同步中添加的用户和群组。您也可以选择从同步中排除组和用户。排除某个组或用户的优先级高于包含他们。例如,如果您将某个组包含在同步中,但排除了该组中的某个特定用户,除了该特定用户之外,该组中的所有用户都将得到配置。
-
管理组:此按钮可让您从 Google Workspace 环境中选择组。您可以指定想要包含在同步中的组,也可以选择从同步中排除特定组。如果有您想从某个较大组中排除的嵌套组,此选项可能会很有用。嵌套组是指作为另一个组的成员的 Google 组,除非手动将其排除,否则在同步期间默认会包含该组。
组名称必须是唯一的才能同步到您的 KnowBe4 控制台,即使这些组位于不同的域中,也是如此。
注意:您需要输入想要包含或排除的组的名称,以便从下拉菜单中选择该组。您必须至少输入组名称的两个字符,该组才会出现在菜单中。
完成包含和排除组的配置后,选择保存。
-
管理用户:此按钮可让您从 Google Workspace 环境中选择用户。您可以指定要包含在同步中的用户,也可以选择从同步中排除特定用户。勾选同步此域中的所有用户复选框,可配置与该域关联的所有用户。选中此复选框时,将不会配置已从同步中排除的用户。
注意:您需要输入想要包含或排除的用户电子邮件地址,以便从下拉菜单中选择该电子邮件地址。您必须至少输入用户电子邮件地址的五个字符,该电子邮件地址才会出现在菜单中。
完成包含和排除用户的配置后,选择保存。
-
-
配置群组和用户后,选择保存配置。
- 按钮将变为立即同步。如果除了用户和组设置之外,您不需要配置组织单位范围或字段映射,您可以选择此按钮开始从 Google Workspace 同步用户。如果除了组成员身份配置之外,您还想配置组织单位范围或字段映射,请继续阅读以下部分。
按组织单位范围同步
如果您想将 GUP 配置为使用组织单位同步用户,请选择启用 OU 范围切换开关。此设置将让您能够从 Google Workspace 环境指定组织单位,以将其包含在同步中。您可以在配置要同步的用户和组时结合使用组织单位范围方法,也可以单独使用此方法。
在搜索用户时,组织单位范围支持嵌套。例如,如果您要将某个组织单位包含在同步中,GUP 将包含该组织单位中的所有用户,以及该组织单位下嵌套的组织单位中的任何用户。如果您仅使用组织单位范围来同步用户,组成员身份信息将不会同步到您的 KnowBe4 控制台。如果您想从 Google Workspace 同步组成员身份信息,则需要按照上文按域和组成员身份同步部分所述,指定用户和群组信息。
要为用户配置组织单位范围,请按照以下步骤操作:
-
选择启用 OU 范围切换开关。
-
这将启用用于包含或排除组织单位的菜单。您可以选择要在同步中包含或排除的组织单位。
-
配置要同步的组织单位后,选择保存配置。
- 如果选好了所需的配置选项,选择立即同步以运行同步。
或者,如果您想在运行首次同步之前为用户配置字段映射,请参阅下面的字段映射部分,然后再继续同步。
字段映射
GUP 同步支持将标准 Google 用户属性同步到您的 KSAT 控制台。为用户配置字段映射部分是可选项。默认情况下,GUP 同步将包含以下 Google 属性并将其映射到相应的 KSAT 属性:
| Google Directory 属性 | KSAT 属性 |
|---|---|
| givenName | 名字 |
| familyName | 姓氏 |
| workPhone | 电话号码 |
| externalID | 员工编号 |
| orgTitle | 职位头衔 |
| orgName | 组织 |
| orgDepartment | 部门 |
| 无 | 手机号码 |
| 无 | 位置 |
| 无 | 分部 |
| 无 | 自定义字段 1 |
| 无 | 自定义字段 2 |
| 无 | 自定义字段 3 |
| 无 | 自定义字段 4 |
如果您想对同步中包含的默认属性进行调整,请按照以下步骤操作:
- 前往设置 Google 配置页面,如上文用户范围部分中的第 1 步和第 2 步所示。
-
在字段映射部分中,选择映射规则旁边的下拉箭头。
-
此操作将展开字段映射部分。
- Google Directory 属性:此列包含您的用户数据和属性,这些数据和属性显示在您的 Google Workspace 环境中。您可以选择 Google Directory 属性名称旁边的下拉箭头,打开包含可供选择的其他属性的下拉菜单。您在屏幕左侧选择的属性将映射到右侧相邻的 KSAT 属性。目前,仅支持同步主要属性类型。
-
KSAT 属性:此列包含您的用户属性,这些属性将显示在 KnowBe4 控制台的“用户信息”子选项卡中。在 Google Directory 属性列中所做的选择将映射到这些属性。
例如,在下面的截图中,Google Workspace 中的“workPhone”属性将映射到 KnowBe4 控制台中的 Phone Number 属性。
您可以通过更改下拉菜单中的 Google Directory 属性,将任何可用的 Google Directory 属性映射到您选择的 KSAT 属性,如以下示例所示。
-
选择了字段映射后,即可选择页面右上角的保存配置按钮。
-
按钮将变为立即同步。您可以选择此按钮来运行同步,如上文用户范围部分的第 6 步所示。
注意:一旦您对 GUP 测试模式同步的结果感到满意,您就需要在账户设置中禁用测试模式,以便让 Google 用户开始同步到您的 KnowBe4 控制台。
故障排除
在此部分中,您将找到与 GUP 相关的错误消息以及可能的原因。
| 错误消息 | 原因 |
|---|---|
| Google Admin 电子邮件连接已失效。 |
此错误消息可能由多种原因导致:
|
| Google 域连接已失效。 | 当配置设置中使用的域在您的 Google Workspace 租户中不再存在时,就会出现此错误消息。 |
| 管理员电子邮件地址无效。 | 在您的 KnowBe4 帐户设置中输入 Google 超级管理员电子邮件地址时,会出现此错误消息。此消息表示电子邮件地址格式不正确。 |
| 同步错误。 |
如果您的同步出现错误,将显示凭据选项卡。如果没有错误,域、凭据和 OU 同步子选项卡将被隐藏。
|
如果您对配置有任何疑问或遇到任何问题,请提交支持问题单请提交支持问题单(链接在新窗口中打开)。