Tutorial: Configurar o treinamento de conscientização de segurança do KnowBe4 para provisionamento automático de usuários

Este tutorial descreve as etapas que você precisa executar no KnowBe4 Security Awareness Training e no Microsoft Entra ID para configurar o provisionamento automático de usuários. Quando configurado, o Microsoft Entra ID provisiona e desprovisiona automaticamente usuários e grupos para o KnowBe4 Security Awareness Training usando o serviço de provisionamento do Microsoft Entra. Para obter detalhes importantes sobre o que esse serviço faz, como funciona e perguntas frequentes, consulte Automatizar o provisionamento e o desprovisionamento de usuários para aplicativos SaaS com o Microsoft Entra ID.

Capacidades suportadas

• Crie usuários no KnowBe4 Security Awareness Training.
• Remova os usuários do KnowBe4 Security Awareness Training quando eles não precisarem mais de acesso.
• Mantenha os atributos do usuário sincronizados entre o Microsoft Entra ID e o KnowBe4 Security Awareness Training.
• Provisionar grupos e membros de grupos no KnowBe4 Security Awareness Training.
• Logon único para o treinamento de conscientização de segurança KnowBe4 (recomendado).

Pré-requisitos

O cenário descrito neste tutorial pressupõe que você já tenha os seguintes pré-requisitos:

• Um locatário do Microsoft Entra.
• Uma das seguintes funções: Administrador de Aplicativos, Administrador de Aplicativos na Nuvem ou Proprietário de Aplicativos.
• Uma conta de usuário no KnowBe4 Security Awareness Training com permissões de administrador.

Etapa 1: Planejar a implantação do provisionamento

1. Saiba como funciona o serviço de aprovisionamento.
2. Determine quem vai estar no âmbito do aprovisionamento.
3. Determine quais dados mapear entre o Microsoft Entra ID e o KnowBe4 Security Awareness Training.

Etapa 2: Configurar o treinamento de conscientização de segurança do KnowBe4 para dar suporte ao provisionamento com o Microsoft Entra ID

Siga as etapas abaixo para definir as configurações do SCIM no console.

Nota

Se você estiver mudando de ADI para SCIM, observe que, se você estiver usando endereços de e-mail alias, nossa integração com SCIM não suporta essa conexão, portanto, essas informações serão removidas assim que você desativar o Modo de Teste e uma sincronização for executada.

1. No console KnowBe4, clique no seu endereço de e-mail no canto superior direito e selecione Configurações da conta.

2. Navegue até a seção Provisionamento de usuários de gerenciamento > de usuários de suas configurações.

3. Selecione Habilitar Provisionamento de Usuário (Sincronização de Usuário) para exibir mais configurações de provisionamento.

   

4. Por padrão, a alternância será definida como ADI. Clique no botão SCIM para começar a configurar.

5. Expanda suas configurações SCIM clicando em + Configurações SCIM.

   

6. Clique em Gerar Token SCIM. Isso abrirá uma nova janela com seu ID de token. Copie este ID e guarde-o num local a que possa aceder facilmente mais tarde. É importante que você salve esse token porque depois de fechar essa janela, você não poderá visualizá-lo novamente. Depois de salvar as informações, clique em OK para fechar a janela.

   Nota

   Assim que o token SCIM for gerado, esse botão mudará para o botão Regenerar token SCIM. Consulte a seção Dicas de solução de problemas deste artigo para obter mais informações.

   Nota

   Seu provedor de identidade precisará do token (etapa 5) e da ID do locatário (etapa 6) para estabelecer uma conexão com a KnowBe4. Certifique-se de salvar essas informações para que elas estejam prontamente disponíveis quando você estiver pronto para configurar a conexão com seu provedor de identidade.

7. Copie o URL do locatário e salve-o em um local que você possa acessar facilmente mais tarde.

8. Verifique se a opção Modo de teste está selecionada.

   

   Nota

   Recomendamos manter o Modo de Teste ativado até que você tenha configurado a conexão entre o KnowBe4 e seu provedor de identidade e tenha executado uma sincronização bem-sucedida. O Modo de Teste é usado para gerar um relatório do que acontecerá quando o SCIM estiver ativado. Isso significa que nenhuma alteração é feita no console para que você possa configurar a configuração sem se preocupar com alterações no console. Quando estiver pronto, pode desativar o Modo de Teste nas Definições da Conta para ativar a sincronização. Se estiver a mudar de ADI para SCIM, o Modo de Teste será ativado automaticamente depois de guardar as Definições de Conta.

9. Role para baixo até a parte inferior da página Configurações da conta e clique em Salvar alterações. Agora que você habilitou o SCIM em sua conta KnowBe4, você está pronto para finalizar a conexão com seu provedor de identidade. Consulte um dos artigos abaixo para encontrar instruções sobre como configurar o SCIM para o provedor de identidade que você está usando.

Etapa 3: Adicionar o treinamento de conscientização de segurança KnowBe4 da galeria de aplicativos do Microsoft Entra

Adicione o KnowBe4 Security Awareness Training da galeria de aplicativos Microsoft Entra para começar a gerenciar o provisionamento ao KnowBe4 Security Awareness Training. Se você já configurou o KnowBe4 Security Awareness Training for SSO, você pode usar o mesmo aplicativo. No entanto, é recomendável criar uma aplicação separada ao testar a integração inicialmente. Saiba mais sobre como adicionar uma aplicação a partir da galeria aqui.

Etapa 4: Definir quem estará no escopo do provisionamento

O serviço de provisionamento do Microsoft Entra permite definir o escopo de quem será provisionado com base na atribuição ao aplicativo e/ou com base nos atributos do usuário/grupo. Se optar por determinar quem vai ser aprovisionado na sua aplicação com base na atribuição, pode utilizar os seguintes passos para atribuir utilizadores e grupos à aplicação. Se escolher determinar quem vai ser aprovisionado com base apenas em atributos do utilizador ou grupo, pode utilizar um filtro de âmbito conforme descrito aqui.

• Comece pequeno. Teste com um pequeno conjunto de utilizadores e grupos antes de implementar para todos. Quando o âmbito do aprovisionamento está definido para os utilizadores e os grupos atribuídos, pode controlar isto ao atribuir um ou dois utilizadores ou grupos à aplicação. Quando o âmbito está definido para todos os utilizadores e grupos, pode especificar um filtro de âmbito baseado em atributos.

• Se precisar de funções adicionais, você pode atualizar o manifesto do aplicativo para adicionar novas funções.

Etapa 5: Configurar o provisionamento automático de usuários para o treinamento de conscientização de segurança do KnowBe4

Esta seção orienta você pelas etapas para configurar o serviço de provisionamento do Microsoft Entra para criar, atualizar e desabilitar usuários e/ou grupos no KnowBe4 Security Awareness Training com base em atribuições de usuário e/ou grupo no Microsoft Entra ID.

Para configurar o provisionamento automático de usuários para o KnowBe4 Security Awareness Training no Microsoft Entra ID:

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

2. Navegue até Aplicativos de identidade>>Aplicativos corporativos

   

3. Na lista de aplicativos, selecione KnowBe4 Security Awareness Training.

   

4. Selecione o separador Aprovisionamento.

   

5. Defina o Modo de Aprovisionamento como Automático.

   

6. Na seção Credenciais de administrador, insira o URL do locatário e o token secreto do KnowBe4 Security Awareness Training. Clique em Testar Conexão para garantir que o Microsoft Entra ID possa se conectar ao KnowBe4 Security Awareness Training. Se a ligação falhar, certifique-se de que a sua conta KnowBe4 Security Awareness Training tem permissões de administrador e tente novamente.

   

7. No campo E-mail de Notificação, introduza o endereço de e-mail de uma pessoa ou um grupo que deve receber as notificações de erro de aprovisionamento e marque a caixa de verificação Enviar uma notificação de e-mail quando ocorre uma falha.

   

8. Selecione Guardar.

9. Na seção Mapeamentos, selecione Sincronizar usuários do Microsoft Entra com o KnowBe4 Security Awareness Training.

10. Analise os atributos de usuário sincronizados do Microsoft Entra ID para o KnowBe4 Security Awareness Training na seção Attribute-Mapping . Os atributos selecionados como propriedades correspondentes são usados para corresponder às contas de usuário no KnowBe4 Security Awareness Training para operações de atualização. Se você optar por alterar o atributo de destino correspondente, precisará garantir que a API de treinamento de conscientização de segurança KnowBe4 ofereça suporte à filtragem de usuários com base nesse atributo. Selecione o botão Salvar para confirmar as alterações.

    Atributo	Type	Suportado para filtragem	Exigido pelo treinamento de conscientização de segurança da KnowBe4
    nome de utilizador	String	✓	✓
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager.value	Referência
    active	Boolean
    title	String
    name.givenName	String
    name.familyName	String
    externalId	String
    displayName	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization	String
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customDate1	DateTime
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customDate2	DateTime
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField1	String
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField2	String
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField3	String
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField4	String

11. Na seção Mapeamentos, selecione Sincronizar grupos do Microsoft Entra com o KnowBe4 Security Awareness Training.

12. Analise os atributos de grupo sincronizados do ID do Microsoft Entra para o Treinamento de Conscientização de Segurança do KnowBe4 na seção Mapeamento de Atributos . Os atributos selecionados como propriedades correspondentes são usados para corresponder aos grupos no KnowBe4 Security Awareness Training para operações de atualização. Selecione o botão Salvar para confirmar as alterações.

    Atributo	Type	Suportado para filtragem	Exigido pelo treinamento de conscientização de segurança da KnowBe4
    displayName	String	✓	✓
    membros	Referência
    externalId	String

13. Para configurar filtros de âmbito, veja as instruções seguintes disponibilizadas no Tutorial de filtro de âmbito.

14. Para habilitar o serviço de provisionamento do Microsoft Entra para o KnowBe4 Security Awareness Training, altere o Status de provisionamento para Ativado na seção Configurações.

    

15. Defina os usuários e/ou grupos que você gostaria de provisionar para o KnowBe4 Security Awareness Training escolhendo os valores desejados em Escopo na seção Configurações .

    

16. Quando estiver pronto para aprovisionar, clique em Guardar.

    

Esta operação inicia o ciclo de sincronização inicial de todos os utilizadores e grupos definidos no Âmbito na secção Definições. O ciclo inicial leva mais tempo para ser executado do que os ciclos subsequentes, que ocorrem aproximadamente a cada 40 minutos, enquanto o serviço de provisionamento do Microsoft Entra estiver em execução.

Etapa 6: Monitorar sua implantação

Depois de configurar o aprovisionamento, utilize os seguintes recursos para monitorizar a sua implementação:

• Utilize os registos de aprovisionamento para determinar quais os utilizadores que foram aprovisionados com ou sem êxito
• Verifique a barra de progresso para ver o estado do ciclo de aprovisionamento e quão próximo está da conclusão
• Se a configuração de aprovisionamento parecer estar num mau estado de funcionamento, a aplicação vai entrar em quarentena. Saiba mais sobre os estados de quarentena aqui.

Etapa 7: Dicas de solução de problemas

• Depois que o SCIM for ativado, você verá três botões na seção SCIM das Configurações da sua conta que podem ser usados para fins de solução de problemas. Para obter mais informações sobre essas opções, consulte a lista abaixo.

  

  • Regenerar token SCIM: Use este botão para gerar um novo token SCIM. Este token só pode ser visualizado uma vez, por isso certifique-se de que guarda esta informação antes de fechar a janela. O link entre seus provedores de identidade e seu console KnowBe4 será desativado até que você forneça o novo token SCIM.

  • Revogar token SCIM: use este botão para desativar seu token SCIM atual. Os provedores de identidade que usam esse token no momento não serão mais vinculados ao seu console KnowBe4.

  • Forçar sincronização agora: use este botão para forçar manualmente uma sincronização SCIM a qualquer momento, sem exigir uma alteração do seu provedor de identidade.

Mais recursos

• Gerir o aprovisionamento de contas de utilizador para Aplicações Empresariais
• O que é acesso ao aplicativo e logon único com o Microsoft Entra ID?

Próximos passos

• Saiba como analisar os registos e obter relatórios sobre a atividade de aprovisionamento