Tutoriel : Configurer KnowBe4 Security Awareness Training pour l’approvisionnement automatique d’utilisateurs

Ce tutoriel décrit les étapes que vous devez effectuer dans KnowBe4 Security Awareness Training et Microsoft Entra ID pour configurer l’approvisionnement automatique d’utilisateurs. Une fois configuré, Microsoft Entra ID provisionne et désapprovisionne automatiquement les utilisateurs et les groupes sur KnowBe4 Security Awareness Training à l'aide du service de provisionnement Microsoft Entra. Pour découvrir les informations importantes sur ce que fait ce service, comment il fonctionne et consulter le forum aux questions, reportez-vous à l’article Automatiser l’approvisionnement et le désapprovisionnement d’utilisateurs dans les applications SaaS avec Microsoft Entra ID.

Fonctionnalités prises en charge

• Création d’utilisateurs dans KnowBe4 Security Awareness Training
• Suppression d’utilisateurs dans KnowBe4 Security Awareness Training quand l’accès ne leur est plus nécessaire.
• Synchronisation des attributs utilisateur entre Microsoft Entra ID et KnowBe4 Security Awareness Training.
• Approvisionnement de groupes et d’appartenances aux groupes dans KnowBe4 Security Awareness Training.
• Authentification unique sur KnowBe4 Security Awareness Training (recommandé).

Prérequis

Le scénario décrit dans ce tutoriel part du principe que vous disposez des prérequis suivants :

• Un locataire Microsoft Entra.
• Un des rôles suivants : Administrateur d’application, Administrateur d’application cloud ou Propriétaire d’application.
• Compte d’utilisateur dans KnowBe4 Security Awareness Training doté d’autorisations d’administrateur.

Étape 1 : Planifier votre déploiement de l’approvisionnement

1. En savoir plus sur le fonctionnement du service d’approvisionnement.
2. Déterminez qui sera dans l’étendue pour l’approvisionnement.
3. Déterminez les données à mapper entre Microsoft Entra ID et KnowBe4 Security Awareness Training.

Étape 2 : Configurer KnowBe4 Security Awareness Training pour prendre en charge l’approvisionnement avec Microsoft Entra ID

Suivez les étapes ci-dessous pour configurer vos paramètres SCIM dans la console.

Notes

Si vous passez d’ADI à SCIM, notez que si vous utilisez des adresses e-mail d’alias, l’intégration à SCIM ne prend pas en charge cette connexion et donc, ces informations seront supprimées lors de la désactivation du mode de test et de l’exécution d’une synchronisation.

1. Dans votre console KnowBe4, cliquez sur votre adresse e-mail dans le coin supérieur droit, puis sélectionnez Paramètres du compte.

2. Accédez à la section Gestion des utilisateurs > Approvisionnement des utilisateurs de vos paramètres.

3. Sélectionnez Activer l’approvisionnement des utilisateurs (synchronisation des utilisateurs) pour afficher d’autres paramètres d’approvisionnement.

   

4. Par défaut, le bouton bascule est défini sur ADI. Cliquez sur le bouton bascule SCIM pour commencer la configuration.

5. Développez vos paramètres SCIM en cliquant sur + Paramètres SCIM.

   

6. Cliquez sur Générer un jeton SCIM. Cela ouvre une nouvelle fenêtre avec votre ID de jeton. Copiez cet ID et enregistrez-le dans un emplacement auquel vous pourrez facilement accéder ultérieurement. Il est important d’enregistrer ce jeton, car une fois cette fenêtre fermée, vous ne pouvez plus afficher le jeton. Une fois les informations enregistrées, cliquez sur OK pour fermer la fenêtre.

   Notes

   Une fois votre jeton SCIM généré, ce bouton se transforme en bouton Régénérer le jeton SCIM. Pour plus d’informations, consultez la section Conseils de résolution des problèmes de cet article.

   Notes

   Votre fournisseur d’identité aura besoin du jeton (étape 5) et de l’ID de locataire (étape 6) pour établir une connexion avec KnowBe4. Veillez à enregistrer ces informations afin d’y accéder facilement lorsque vous serez prêt à configurer la connexion avec votre fournisseur d’identité.

7. Copiez l’URL du locataire et enregistrez-la dans un emplacement auquel vous pourrez facilement accéder ultérieurement.

8. Vérifiez que l’option suivante est sélectionnée :

   

   Notes

   Nous vous recommandons de conserver le mode de test activé jusqu’à ce que vous ayez configuré la connexion entre KnowBe4 et votre fournisseur d’identité et exécuté une synchronisation avec succès. Le mode de test est utilisé pour générer un rapport sur ce qui se passe lorsque SCIM est activé. Cela signifie qu’aucune modification n’est apportée à votre console pour vous permettre de procéder à la configuration sans vous soucier des modifications apportées à votre console. Lorsque vous êtes prêt, vous pouvez désactiver le mode de test à partir des Paramètres du compte afin d’activer la synchronisation. Si vous passez d’ADI à SCIM, le mode de test est automatiquement activé après avoir enregistré vos Paramètres de compte.

9. Faites défiler jusqu’en bas de la page Paramètres du compte, puis cliquez sur Enregistrer les modifications. Après avoir activé SCIM dans votre compte KnowBe4, vous êtes prêt à finaliser la connexion avec votre fournisseur d’identité. Consultez l’un des articles ci-dessous pour trouver des instructions sur la configuration de SCIM pour le fournisseur d’identité que vous utilisez.

Étape 3 : Ajouter KnowBe4 Security Awareness Training à partir de la galerie d’applications Microsoft Entra

Ajoutez KnowBe4 Security Awareness Training à partir de la galerie d’applications Microsoft Entra afin de commencer à gérer le provisionnement pour KnowBe4 Security Awareness Training. Si vous avez déjà configuré KnowBe4 Security Awareness Training pour l’authentification unique, vous pouvez utiliser la même application. Toutefois, il est recommandé de créer une application distincte lors du test initial de l’intégration. En savoir plus sur l’ajout d’une application à partir de la galerie ici.

Étape 4 : Définir qui sera dans l’étendue pour l’approvisionnement

Le service de provisionnement Microsoft Entra vous permet de déterminer qui sera provisionné en fonction de l'affectation à l'application et/ou en fonction des attributs de l'utilisateur/du groupe. Si vous choisissez de définir l’étendue de l’approvisionnement pour votre application en fonction de l’attribution, vous pouvez utiliser les étapes de suivantes pour affecter des utilisateurs et des groupes à l’application. Si vous choisissez de définir l’étendue de l’approvisionnement en fonction uniquement des attributs de l’utilisateur ou du groupe, vous pouvez utiliser un filtre d’étendue comme décrit ici.

• Commencez progressivement. Testez avec un petit ensemble d’utilisateurs et de groupes avant d’effectuer un déploiement général. Lorsque l’étendue de l’approvisionnement est définie sur les utilisateurs et les groupes attribués, vous pouvez contrôler cela en affectant un ou deux utilisateurs ou groupes à l’application. Lorsque l’étendue est définie sur tous les utilisateurs et groupes, vous pouvez spécifier un filtre d’étendue basé sur l’attribut.

• Si vous avez besoin de rôles supplémentaires, vous pouvez mettre à jour le manifeste d’application pour ajouter de nouveaux rôles.

Étape 5 : Configurer le provisionnement automatique d’utilisateurs pour KnowBe4 Security Awareness Training

Cette section vous guide tout au long des étapes de configuration du service de provisionnement de Microsoft Entra pour créer, mettre à jour et désactiver des utilisateurs et/ou des groupes dans KnowBe4 Security Awareness Training en fonction des attributions d’utilisateurs et/ou de groupes dans Microsoft Entra ID.

Pour configurer le provisionnement automatique d’utilisateurs pour KnowBe4 Security Awareness Training dans Microsoft Entra ID :

1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

2. Accédez à Identité>Applications>Applications d’entreprise.

   

3. Dans la liste des applications, sélectionnez Formation de sensibilisation à la sécurité KnowBe4.

   

4. Sélectionnez l’onglet Approvisionnement.

   

5. Définissez le Mode d’approvisionnement sur Automatique.

   

6. Sous la section Informations d’identification de l’administrateur, entrez l’URL et le jeton secret de votre locataire KnowBe4 Security Awareness Training. Cliquez sur Tester la connexion pour vérifier que Microsoft Entra ID peut se connecter à KnowBe4 Security Awareness Training. Si la connexion échoue, vérifiez que votre compte KnowBe4 Security Awareness Training dispose d’autorisations d’administrateur et réessayez.

   

7. Dans le champ E-mail de notification, entrez l’adresse e-mail de la personne ou du groupe qui doit recevoir les notifications d’erreur de provisionnement et sélectionnez la case à cocher Envoyer une notification par e-mail en cas de défaillance.

   

8. Sélectionnez Enregistrer.

9. Dans la section Mappages, sélectionnez Synchroniser les utilisateurs Microsoft Entray avec KnowBe4 Security Awareness Training.

10. Dans la section Mappages d’attributs, passez en revue les attributs utilisateur qui sont synchronisés à partir de Microdoft Entra ID vers KnowBe4 Security Awareness Training. Les attributs sélectionnés comme propriétés de Correspondance servent à faire correspondre les comptes d’utilisateur dans KnowBe4 Security Awareness Training pour les opérations de mise à jour. Si vous choisissez de modifier l’attribut cible correspondant, vous devez vous assurer que l’API KnowBe4 Security Awareness Training prend en charge le filtrage des utilisateurs en fonction de cet attribut. Cliquez sur le bouton Enregistrer pour valider les modifications.

    Attribut	Type	Pris en charge pour le filtrage	Requis par KnowBe4 Security Awareness Training
    userName	String	✓	✓
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager.value	Informations de référence
    active	Boolean
    title	String
    name.givenName	String
    name.familyName	String
    externalId	String
    displayName	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization	String
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customDate1	DateTime
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customDate2	DateTime
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField1	String
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField2	String
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField3	String
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField4	String

11. Dans la section Mappages, sélectionnez Synchroniser les groupes Microsoft Entra avec KnowBe4 Security Awareness Training.

12. Dans la section Mappages d’attributs, passez en revue les attributs de groupe qui sont synchronisés à partir de Microsoft Entra ID vers KnowBe4 Security Awareness Training. Les attributs sélectionnés comme propriétés de Correspondance servent à faire correspondre les groupes dans KnowBe4 Security Awareness Training pour les opérations de mise à jour. Cliquez sur le bouton Enregistrer pour valider les modifications.

    Attribut	Type	Pris en charge pour le filtrage	Requis par KnowBe4 Security Awareness Training
    displayName	String	✓	✓
    membres	Informations de référence
    externalId	String

13. Pour configurer des filtres d’étendue, reportez-vous aux instructions suivantes fournies dans Approvisionnement d’applications basé sur les attributs avec filtres d’étendue.

14. Pour activer le service de provisionnement Microsoft Entra pour KnowBe4 Security Awareness Training, définissez le paramètre État du provisionnement sur Activé dans la section Paramètres.

    

15. Définissez les utilisateurs et/ou groupes que vous souhaitez provisionner sur KnowBe4 Security Awareness Training en choisissant les valeurs souhaitées dans Étendue dans la section Paramètres.

    

16. Lorsque vous êtes prêt à effectuer l’approvisionnement, cliquez sur Enregistrer.

    

Cette opération démarre le cycle de synchronisation initiale de tous les utilisateurs et groupes définis dans Étendue dans la section Paramètres. L'exécution du cycle initial prend plus de temps que les cycles suivants, qui se produisent environ toutes les 40 minutes tant que le service de provisionnement Microsoft Entra est en cours d'exécution.

Étape 6 : Surveiller votre déploiement

Une fois que vous avez configuré l’approvisionnement, utilisez les ressources suivantes pour surveiller votre déploiement :

• Utilisez les journaux d’approvisionnement pour déterminer quels utilisateurs ont été configurés avec succès ou échoué.
• Consultez la barre de progression pour afficher l’état du cycle d’approvisionnement et quand il se termine
• Si la configuration de l’approvisionnement semble se trouver dans un état non sain, l’application passe en quarantaine. Pour en savoir plus sur les états de quarantaine, cliquez ici.

Étape 7 : astuces de dépannage

• Une fois SCIM activé, trois boutons s’affichent dans la section SCIM de vos Paramètres de compte et peuvent être utilisés à des fins de résolution des problèmes. Pour plus d'informations sur ces options, consultez la liste ci-dessous.

  

  • Regénérer le jeton SCIM : utilisez ce bouton pour générer un nouveau jeton SCIM. Ce jeton ne peut être affiché qu’une seule fois. Aussi, veillez à enregistrer ces informations avant de fermer la fenêtre. Le lien entre vos fournisseurs d’identité et votre console KnowBe4 sera désactivé jusqu’à ce que vous fournissiez le nouveau jeton SCIM.

  • Révoquer le jeton SCIM : utilisez ce bouton pour désactiver votre jeton SCIM actuel. Les fournisseurs d’identité utilisant ce jeton ne seront plus liés à votre console KnowBe4.

  • Forcer la synchronisation maintenant : utilisez ce bouton pour forcer manuellement une synchronisation SCIM, sans devoir modifier votre fournisseur d’identité.

Plus de ressources

• Gestion de l’approvisionnement de comptes d’utilisateur pour les applications d’entreprise
• Qu’est-ce que l’accès aux applications et l’authentification unique avec Microsoft Entra ID ?

Étapes suivantes

• Découvrez comment consulter les journaux d’activité et obtenir des rapports sur l’activité d’approvisionnement