Samouczek: konfigurowanie usługi KnowBe4 Security Awareness Training na potrzeby automatycznej aprowizacji użytkowników

W tym samouczku opisano kroki, które należy wykonać zarówno w usłudze KnowBe4 Security Awareness Training, jak i w usłudze Microsoft Entra ID w celu skonfigurowania automatycznej aprowizacji użytkowników. Po skonfigurowaniu usługa Microsoft Entra ID automatycznie aprowizuje i anuluje aprowizowanie użytkowników i grup w usłudze KnowBe4 Security Awareness Training przy użyciu usługi aprowizacji firmy Microsoft. Aby uzyskać ważne szczegółowe informacje na temat działania tej usługi, sposobu jej działania i często zadawanych pytań, zobacz Automatyzowanie aprowizacji użytkowników i anulowania aprowizacji aplikacji SaaS przy użyciu identyfikatora Entra firmy Microsoft.

Obsługiwane funkcje

• Tworzenie użytkowników w usłudze KnowBe4 Security Awareness Training.
• Usuń użytkowników z usługi KnowBe4 Security Awareness Training, gdy nie będą już wymagać dostępu.
• Zachowaj synchronizację atrybutów użytkownika między identyfikatorem Entra firmy Microsoft i usługą KnowBe4 Security Awareness Training.
• Aprowizuj grupy i członkostwa w grupach w usłudze KnowBe4 Security Awareness Training.
• Logowanie jednokrotne do usługi KnowBe4 Security Awareness Training (zalecane).

Wymagania wstępne

W scenariuszu opisanym w tym samouczku założono, że masz już następujące wymagania wstępne:

• Dzierżawa firmy Microsoft Entra.
• Jedną z następujących ról: Administracja istrator aplikacji, Administracja istrator aplikacji w chmurze lub właściciel aplikacji.
• Konto użytkownika w usłudze KnowBe4 Security Awareness Training z uprawnieniami Administracja.

Krok 1. Planowanie wdrożenia aprowizacji

1. Dowiedz się więcej na temat sposobu działania usługi aprowizacji.
2. Określ, kto znajdzie się w zakresie aprowizacji.
3. Ustal, jakie dane mają być mapowanie między identyfikatorami Microsoft Entra ID i KnowBe4 Security Awareness Training.

Krok 2. Konfigurowanie usługi KnowBe4 Security Awareness Training w celu obsługi aprowizacji przy użyciu identyfikatora Entra firmy Microsoft

Wykonaj poniższe kroki, aby skonfigurować ustawienia SCIM w konsoli programu .

Uwaga

Jeśli przełączasz się z ADI na SCIM, pamiętaj, że jeśli używasz aliasów adresów e-mail, nasza integracja z protokołem SCIM nie obsługuje tego połączenia, więc te informacje zostaną usunięte po wyłączeniu trybu testowego i przebiegów synchronizacji.

1. W konsoli KnowBe4 kliknij swój adres e-mail w prawym górnym rogu i wybierz pozycję Konto Ustawienia.

2. Przejdź do sekcji Aprowizacja użytkowników zarządzania użytkownikami > w ustawieniach.

3. Wybierz pozycję Włącz aprowizację użytkowników (synchronizacja użytkowników), aby wyświetlić więcej ustawień aprowizacji.

   

4. Domyślnie przełącznik zostanie ustawiony na ADI. Kliknij przełącznik SCIM, aby rozpocząć konfigurowanie.

5. Rozwiń ustawienia SCIM, klikając pozycję + SCIM Ustawienia.

   

6. Kliknij pozycję Generuj token SCIM. Spowoduje to otwarcie nowego okna z identyfikatorem tokenu. Skopiuj ten identyfikator i zapisz go w miejscu, do którego można łatwo uzyskać dostęp później. Ważne jest, aby zapisać ten token, ponieważ po zamknięciu tego okna nie można ponownie wyświetlić tokenu. Po zapisaniu informacji kliknij przycisk OK , aby zamknąć okno.

   Uwaga

   Po wygenerowaniu tokenu SCIM ten przycisk zmieni się na przycisk Regeneruj token SCIM. Aby uzyskać więcej informacji, zobacz sekcję Rozwiązywanie problemów z Wskazówki tego artykułu.

   Uwaga

   Dostawca tożsamości będzie potrzebować tokenu (krok 5) i identyfikatora dzierżawy (krok 6), aby nawiązać połączenie z usługą KnowBe4. Upewnij się, że zapiszesz te informacje, aby było łatwo dostępne, gdy wszystko będzie gotowe do skonfigurowania połączenia z dostawcą tożsamości.

7. Skopiuj adres URL dzierżawy i zapisz go w miejscu, do którego można łatwo uzyskać dostęp później.

8. Upewnij się, że wybrano opcję Tryb testowy.

   

   Uwaga

   Zalecamy zachowanie trybu testowego włączonego do momentu skonfigurowania połączenia między usługą KnowBe4 i dostawcą tożsamości i pomyślnej synchronizacji. Tryb testowy służy do generowania raportu o tym, co się stanie po włączeniu programu SCIM. Oznacza to, że w konsoli nie są wprowadzane żadne zmiany, dzięki czemu można skonfigurować konfigurację bez obaw o zmiany w konsoli. Gdy wszystko będzie gotowe, możesz wyłączyć tryb testowy z poziomu konta Ustawienia, aby włączyć synchronizację. Jeśli przełączasz się z ADI na SCIM, tryb testowy zostanie włączony automatycznie po zapisaniu konta Ustawienia.

9. Przewiń w dół do dołu strony konto Ustawienia i kliknij pozycję Zapisz zmiany. Po włączeniu protokołu SCIM na koncie KnowBe4 możesz przystąpić do finalizacji połączenia z dostawcą tożsamości. Zapoznaj się z jednym z poniższych artykułów, aby znaleźć instrukcje dotyczące konfigurowania protokołu SCIM dla używanego dostawcy tożsamości.

Krok 3. Dodawanie usługi KnowBe4 Security Awareness Training z galerii aplikacji Microsoft Entra

Dodaj usługę KnowBe4 Security Awareness Training z galerii aplikacji Firmy Microsoft Entra, aby rozpocząć zarządzanie aprowizowaniem w usłudze KnowBe4 Security Awareness Training. Jeśli wcześniej skonfigurowano usługę KnowBe4 Security Awareness Training na potrzeby logowania jednokrotnego, możesz użyć tej samej aplikacji. Zalecane jest jednak utworzenie osobnej aplikacji na potrzeby początkowych testów integracji. Więcej informacji o dodawaniu aplikacji z galerii znajdziesz tutaj.

Krok 4. Definiowanie, kto będzie w zakresie aprowizacji

Usługa aprowizacji firmy Microsoft umożliwia określanie zakresu, kto będzie aprowizować na podstawie przypisania do aplikacji lub na podstawie atrybutów użytkownika/grupy. Jeśli zdecydujesz się na określenie zakresu aprowizacji w aplikacji na podstawie przypisania, możesz skorzystać z następujących instrukcji w celu przypisania użytkowników i grup do aplikacji. Jeśli zdecydujesz się na określenie zakresu aprowizacji wyłącznie na podstawie atrybutów użytkownika lub grupy, możesz użyć filtra zakresu zgodnie z opisem zamieszczonym tutaj.

• Zacznij od mniejszej skali. Przeprowadź test z użyciem mniejszego zestawu użytkowników i grup, zanim wdrożysz to rozwiązanie dla wszystkich. W przypadku ustawienia zakresu aprowizacji na przypisanych użytkowników i grupy możesz w tym celu przypisać do aplikacji jednego czy dwóch użytkowników bądź jedną lub dwie grupy. W przypadku ustawienia zakresu na wszystkich użytkowników i wszystkie grupy, możesz określić filtrowanie zakresu na podstawie atrybutów.

• Jeśli potrzebujesz dodatkowych ról, możesz zaktualizować manifest aplikacji, aby dodać nowe role.

Krok 5. Konfigurowanie automatycznej aprowizacji użytkowników w usłudze KnowBe4 Security Awareness Training

Ta sekcja zawiera instrukcje konfigurowania usługi aprowizacji firmy Microsoft w celu tworzenia, aktualizowania i wyłączania użytkowników i/lub grup w usłudze KnowBe4 Security Awareness Training na podstawie przypisań użytkowników i/lub grup w usłudze Microsoft Entra ID.

Aby skonfigurować automatyczną aprowizację użytkowników na potrzeby szkolenia knowBe4 Security Awareness w usłudze Microsoft Entra ID:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

2. Przejdź do aplikacji dla przedsiębiorstw usługi Identity Applications>>

   

3. Na liście aplikacji wybierz pozycję KnowBe4 Security Awareness Training.

   

4. Wybierz kartę Aprowizacja.

   

5. Ustaw Tryb aprowizacji na Automatyczny.

   

6. W sekcji Administracja Credentials (Poświadczenia Administracja) wprowadź adres URL dzierżawy usługi KnowBe4 Security Awareness Training i token tajny. Kliknij pozycję Test Połączenie ion, aby upewnić się, że identyfikator Entra firmy Microsoft może nawiązać połączenie z usługą KnowBe4 Security Awareness Training. Jeśli połączenie nie powiedzie się, upewnij się, że konto KnowBe4 Security Awareness Training ma Administracja uprawnienia i spróbuj ponownie.

   

7. W polu Adres e-mail do powiadomień wpisz adres e-mail osoby lub grupy, która ma otrzymywać powiadomienia o błędach autoryzacji, a następnie zaznacz pole wyboru Wyślij powiadomienie e-mail w przypadku wystąpienia błędu.

   

8. Wybierz pozycję Zapisz.

9. W sekcji Mapowania wybierz pozycję Synchronizuj użytkowników firmy Microsoft z usługą KnowBe4 Security Awareness Training.

10. Przejrzyj atrybuty użytkownika synchronizowane z identyfikatorem entra firmy Microsoft z usługą KnowBe4 Security Awareness Training w sekcji Mapowanie atrybutów. Atrybuty wybrane jako pasujące właściwości są używane do dopasowywania kont użytkowników w usłudze KnowBe4 Security Awareness Training na potrzeby operacji aktualizacji. Jeśli zdecydujesz się zmienić pasujący atrybut docelowy, musisz upewnić się, że interfejs API KnowBe4 Security Awareness Training obsługuje filtrowanie użytkowników na podstawie tego atrybutu. Wybierz przycisk Zapisz, aby zatwierdzić wszelkie zmiany.

    Atrybut	Typ	Obsługiwane do filtrowania	Wymagane przez szkolenie knowBe4 Security Awareness Training
    userName	String	✓	✓
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager.value	Odwołanie
    aktywne	Wartość logiczna
    title	String
    name.givenName	String
    name.familyName	String
    externalId	String
    displayName	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization	String
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customDate1	DateTime
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customDate2	DateTime
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField1	String
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField2	String
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField3	String
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField4	String

11. W sekcji Mapowania wybierz pozycję Synchronizuj grupy firmy Microsoft z usługą KnowBe4 Security Awareness Training.

12. Przejrzyj atrybuty grupy synchronizowane z identyfikatorem Entra firmy Microsoft z usługą KnowBe4 Security Awareness Training w sekcji Mapowanie atrybutów. Atrybuty wybrane jako Właściwości dopasowywania są używane do dopasowywania grup w usłudze KnowBe4 Security Awareness Training na potrzeby operacji aktualizacji. Wybierz przycisk Zapisz, aby zatwierdzić wszelkie zmiany.

    Atrybut	Typ	Obsługiwane do filtrowania	Wymagane przez szkolenie knowBe4 Security Awareness Training
    displayName	String	✓	✓
    członkowie	Odwołanie
    externalId	String

13. Aby skonfigurować filtry zakresu, skorzystaj z instrukcji przedstawionych w samouczku dotyczącym filtrów zakresu.

14. Aby włączyć usługę aprowizacji firmy Microsoft dla usługi KnowBe4 Security Awareness Training, zmień stan aprowizacji na Wł. w sekcji Ustawienia.

    

15. Zdefiniuj użytkowników i/lub grupy, które chcesz aprowizować w usłudze KnowBe4 Security Awareness Training, wybierając żądane wartości w sekcji Zakres w sekcji Ustawienia.

    

16. Gdy wszystko będzie gotowe do rozpoczęcia aprowizacji, kliknij pozycję Zapisz.

    

Ta operacja spowoduje rozpoczęcie cyklu synchronizacji początkowej wszystkich użytkowników i grup zdefiniowanych w obszarze Zakres w sekcji Ustawienia. Cykl początkowy trwa dłużej niż kolejne cykle, które występują co około 40 minut, o ile usługa aprowizacji firmy Microsoft jest uruchomiona.

Krok 6. Monitorowanie wdrożenia

Po skonfigurowaniu aprowizacji możesz skorzystać z następujących zasobów, aby monitorować wdrożenie:

• Użyj dzienników aprowizacji, aby określić, których użytkowników udało się lub nie udało aprowizować
• Sprawdź pasek postępu, aby zapoznać się ze stanem cyklu aprowizacji i czasem pozostałym do jego zakończenia
• Jeśli konfiguracja aprowizacji jest w złej kondycji, aplikacja przejdzie w stan kwarantanny. Więcej informacji o stanach kwarantanny znajdziesz tutaj.

Krok 7. Rozwiązywanie problemów z Wskazówki

• Po włączeniu funkcji SCIM zobaczysz trzy przyciski w sekcji SCIM konta Ustawienia, które mogą być używane do rozwiązywania problemów. Aby uzyskać więcej informacji na temat tych opcji, zobacz poniższą listę.

  

  • Wygeneruj ponownie token SCIM: użyj tego przycisku, aby wygenerować nowy token SCIM. Ten token można wyświetlić tylko raz, dlatego przed zamknięciem okna upewnij się, że te informacje zostały zapisane. Link między dostawcami tożsamości a konsolą KnowBe4 zostanie wyłączony do momentu podania nowego tokenu SCIM.

  • Odwoływanie tokenu SCIM: użyj tego przycisku, aby wyłączyć bieżący token SCIM. Dostawcy tożsamości korzystający obecnie z tego tokenu nie będą już połączeni z konsolą KnowBe4.

  • Wymuś teraz synchronizację: użyj tego przycisku, aby w dowolnym momencie wymusić synchronizację SCIM bez konieczności zmiany dostawcy tożsamości.

Więcej zasobów

• Zarządzanie aprowizacją kont użytkowników w aplikacjach dla przedsiębiorstw
• Co to jest dostęp do aplikacji i logowanie jednokrotne przy użyciu identyfikatora Microsoft Entra ID?

Następne kroki

• Dowiedz się, jak przeglądać dzienniki i uzyskiwać raporty dotyczące działań aprowizacji