若想通过 Active Directory 集成 (ADI) 管理用户,您需要确定希望同步到 KSAT 控制台的用户和群组。要确定应同步的用户和群组,可编辑在配置过程中下载的 ADI 配置 (CONF) 文件。
在本文中,您将了解如何编辑 CONF 文件,以同步特定用户、群组和用户信息。如需了解关于 ADI 的一般信息,请参阅《Active Directory 集成 (ADI) 配置指南》。若想使用 SCIM,请参阅《SCIM 配置指南》。如果您已购买了 Student Edition,则可填写 .conf 文件中的 user-role 字段来设置用户类型 KSAT 字段。
确定要同步的用户
在本部分中,您将了解如何编辑 CONF 文件,以确定将哪些用户从 AD 同步到 KSAT 控制台。这些 AD 用户将填充到您的 KSAT 控制台的用户字段中。首先同步特定用户,然后同步群组。
要编辑 CONF 文件以确定要同步的用户,请按以下步骤操作:
- 在文本编辑器中打开您的 <domain>.conf 文件。如需了解查找 CONF 文件的更多信息,请参阅《Active Directory 集成 (ADI) 配置指南》。
- 在该文件的
[sync.users]部分中编辑以下字段。如需了解这些字段的更多信息,请参见下表。
| 字段名称 | 字段描述 |
|---|---|
includedOUs |
要在特定 OU 中搜索并同步用户,请在该字段中输入这些 OU 的列表。
|
excludedOUs |
要在特定 OU 中搜索要排除的用户,请在该字段中输入这些 OU 的列表。
|
includedGroups |
要从特定群组同步用户,请在该字段中输入这些群组的列表。这些群组必须是 AD 安全组或分发组。
|
excludedGroups |
要将属于指定 AD 安全组或分发组的用户从特定群组内排除,请在该字段中输入这些群组的列表。
|
includedUsers |
要将特定用户明确添加至群组,请在该字段中输入这些用户的列表。
|
excludedUsers |
要将特定用户从群组内明确排除,请在该字段中输入这些用户的列表。
|
若想同步群组,请参阅以下确定要同步的群组部分。
确定要同步的群组
确定了同步特定用户的条件后,您还可编辑 CONF 文件,以确定要同步的任何 AD 群组的条件。这些 AD 群组将填充到您的 KSAT 控制台的群组字段中。
如果用户属于某个 AD 群组的成员,该用户将成为您的 KSAT 控制台中对应群组的成员。KnowBe4 不支持组内组或嵌套组功能。
请务必注意,您必须先同步用户,才能将用户添加至已同步群组。若想同步某个群组,但该组不包含任何已同步的用户,则该组不会得到同步。
要编辑 CONF 文件以确定要同步的群组,请按以下步骤操作:
- 确保您已同步特定用户。如需了解更多信息,请参阅以上确定要同步的用户部分。
- 在您的 CONF 文件的
[sync.groups]部分中,编辑以下字段。如需了解这些字段的更多信息,请参见下表。
| 字段名称 | 字段描述 |
|---|---|
includedOUs |
要想在特定 OU 中搜索并同步安全组或分发组,请在该字段中输入这些 OU 的列表。
|
excludedOUs |
要想在特定 OU 中搜索不会同步的安全组或分发组,请在该字段中输入这些 OU 的列表。
|
includedGroups |
要想同步特定 AD 安全组或分发组,请在该字段中输入这些群组的列表。
|
excludedGroups |
要想从同步中排除特定群组,请在该字段中输入这些群组的列表。
|
根据个人需求编辑完这些字段后,保存 CONF 文件。您需要写入权限,才能保存文件。
同步其他用户信息
选择了要同步的特定用户和群组后,您还可编辑 CONF 文件,以确定将哪些用户信息从您的 AD 账户同步到您的 KSAT 账户。编辑文件的 [sync.fields] 部分,即可确定要同步的用户信息。[sync.fields] 部分中的字段默认在 KSAT 账户的用户信息字段中自动填充 AD 账户的已确定信息。
编辑每个字段内双引号的值,即可在含用户信息的 AD 中包含该字段。如某字段为空,则 AD 中不会出现匹配字段。在每个字段的双引号内手动添加一个值,即可确定要同步到 KSAT 控制台的 AD 字段。
若不想同步特定字段,可删除该字段内双引号中的值。但是,请勿删除双引号或整行文本。如果您删除了整行文本,AD 会自动将该行文本重新添加至该字段并同步具体值。
如需查看 CONF 文件 [sync.fields] 部分中可用的默认字段列表,请参见下文:
[sync.fields]
comment = "" custom-date-1 = "" custom-date-2 = "" custom-field-1 = "" custom-field-2 = "" custom-field-3 = "" custom-field-4 = "" department = "department" division = "" employee-number = "employeeNumber" employee-start-date = "whenCreated" first-name = "givenName" last-name = "" location = "physicalDeliveryOfficeName" manager = "manager" mobile-number = "" organization = "o" out-of-office-end = "" phishing-language = "preferredLanguage" phone-number = "telephoneNumber" training-language = "preferredLanguage" title = "title" user-role = ""
SecurityCoach 字段
若您在配置 ADI 时启用了 SecurityCoach 字段,您 CONF 文件的 [sync.fields] 部分将显示八个额外的字段。这些字段可用于将 KSAT 用户自动映射到 SecurityCoach 事件。此外,您还可以用这些字段,将用户映射到 SecurityCoach 中的标识符。这些信息同步后,将被添加到用户信息页面的 SecurityCoach 字段。
关于这些 SecurityCoach 字段及其默认映射,请参见以下列表:
company-name = "company" country = "co" employee-type = "employee type" hostname = "userWorkstations" last-password-change-date-time = "pwdLastSet" mail-nickname = "mail" on-premises-sam-account-name = "sAMAccountName" on-premises-security-identifier = "objectSid" user-principal-name = "userPrincipalName"
同步用例
管理同步到 KSAT 控制台的 AD 字段的示范用例如下。
用例:从您的 AD 同步中排除字段
若想在您的 KSAT 控制台中管理自定义字段,可从 AD 同步中排除此类字段。此排除仅适用于自定义字段。如果您尝试将自定义字段以外的字段留空,则这些字段的值将在 KSAT 中清除。
要从 AD 同步中排除自定义字段,请在您的 CONF 文件的 [sync.fields] 部分中添加以下语法。在以下语法中,所有自定义字段均为空白,或双引号中的值已被删除:
[sync.fields]
comment = "" custom-date-1 = "" custom-date-2 = "" custom-field-1 = "" custom-field-2 = "" custom-field-3 = "" custom-field-4 = "" department = "department" division = "" employee-number = "employeeNumber" employee-start-date = "whenCreated" first-name = "givenName" last-name = "" location = "physicalDeliveryOfficeName" manager = "manager" mobile-number = "" organization = "o" out-of-office-end = "" phishing-language = "preferredLanguage" phone-number = "telephoneNumber" title = "title" training-language = "preferredLanguage" user-role = ""
用例:排除用户的分部和位置
若想同步用户的部门而非分部或位置,请在 CONF 文件的 [sync.fields] 部分中遵循以下语法。在以下语法中,分部和位置字段均为空白,或引号中的值已被移除:
[sync.fields]
comment = "" custom-date-1 = "" custom-date-2 = "" custom-field-1 = "" custom-field-2 = "" custom-field-3 = "" custom-field-4 = "" department = "department" division = "" employee-number = "employeeNumber" employee-start-date = "whenCreated" first-name = "givenName" last-name = "" location = "" manager = "manager" mobile-number = "" organization = "o" out-of-office-end = "" phishing-language = "preferredLanguage" phone-number = "telephoneNumber" title = "title" training-language = "preferredLanguage" user-role = ""
用例:在您的 AD 同步中包含所有字段
若想从您的 AD 同步中包含所有字段,请在您的 CONF 文件的 [sync.fields] 部分中遵循以下语法。在以下语法中,所有字段的值均位于双引号内:
[sync.fields]
comment = “This is a comment!“ custom-date-1 = “This is my custom-date-1 field.“ custom-date-2 = "This is my custom-date-2 field." custom-field-1 = "This is my custom-field-1” custom-field-2 = "This is my custom-field-2.” custom-field-3 = "This is my custom-field-3” custom-field-4 = "This is my custom-field-4” department = "department" division = “division” employee-number = "employeeNumber" employee-start-date = "whenCreated" first-name = "givenName" last-name = “last-name” location = "physicalDeliveryOfficeName" manager = "manager" mobile-number = “mobile“ organization = "o" out-of-office-end = "" phishing-language = "preferredLanguage" phone-number = "telephoneNumber" title = "title" training-language = "preferredLanguage" user-role = ""