Esercitazione: Configurare KnowBe4 Security Awareness Training per il provisioning utenti automatico

Questa esercitazione descrive i passi da eseguire sia in KnowBe4 Security Awareness Training che in Microsoft Entra ID per configurare il provisioning utenti automatico. Se configurato, Microsoft Entra ID effettua automaticamente il provisioning e il deprovisioning di utenti e gruppi in KnowBe4 Security Awareness Training usando il servizio di provisioning di Microsoft Entra. Per informazioni dettagliate sul funzionamento di questo servizio e domande frequenti, vedere Automatizzare il provisioning e il deprovisioning utenti in applicazioni SaaS con Microsoft Entra ID.

Capacità supportate

• Creare utenti in KnowBe4 Security Awareness Training.
• Rimuovere utenti da KnowBe4 Security Awareness Training quando non richiedono più l'accesso.
• Mantenere sincronizzati gli attributi utente tra Microsoft Entra ID e KnowBe4 Security Awareness Training.
• Effettuare il provisioning di gruppi e appartenenze a gruppi in KnowBe4 Security Awareness Training.
• Aaccesso Single Sign-On per KnowBe4 Security Awareness Training (opzione consigliata).

Prerequisiti

Per lo scenario descritto in questa esercitazione si presuppone che l'utente disponga dei prerequisiti seguenti:

• Un tenant di Microsoft Entra.
• Uno dei ruoli seguenti ruoli: Amministratore di applicazioni, Amministratore di applicazione cloud o Proprietario dell'applicazione.
• Un account utente in KnowBe4 Security Awareness Training con autorizzazioni di amministratore.

Passaggio 1: Pianificare la distribuzione del provisioning

1. Vedere le informazioni su come funziona il servizio di provisioning.
2. Determinare gli utenti che verranno inclusi nell'ambito per il provisioning.
3. Determinare per quali dati eseguire il mapping tra Microsoft Entra ID e KnowBe4 Security Awareness Training.

Passaggio 2: Configurare KnowBe4 Security Awareness Training per supportare il provisioning con Microsoft Entra ID

Seguire questa procedura per configurare le impostazioni SCIM nella console.

Nota

Se si passa da ADI a SCIM, si noti che se si usano indirizzi di posta elettronica alias, l'integrazione con SCIM non supporta tale connessione, quindi queste informazioni verranno rimosse dopo la disabilitazione della modalità di test e l'esecuzione di una sincronizzazione.

1. Nella console di KnowBe4 fare clic sull'indirizzo di posta elettronica nell'angolo in alto a destra e selezionare Impostazioni account.

2. Passare alla sezione Gestione utenti> Provisioning utenti dalle impostazioni.

3. Selezionare Abilita provisioning utenti (sincronizzazione utenti) per visualizzare altre impostazioni di provisioning.

   

4. Per impostazione predefinita, l'interruttore verrà impostato su ADI. Fare clic sull'interruttore SCIM per iniziare la configurazione.

5. Espandere le impostazioni SCIM facendo clic su + Impostazioni SCIM.

   

6. Fare clic su Genera token SCIM. Verrà aperta una nuova finestra con l'ID token. Copiare questo ID e salvarlo in un luogo a cui è possibile accedere facilmente in un secondo momento. È importante salvare questo token perché, dopo aver chiuso la finestra, non è possibile visualizzare di nuovo il token. Dopo aver salvato le informazioni, fare clic su OK per chiudere la finestra.

   Nota

   Dopo aver generato il token SCIM, questo pulsante diventerà il pulsante Rigenera token SCIM. Per altre informazioni, vedere la sezione Suggerimenti per la risoluzione dei problemi in questo articolo.

   Nota

   Il provider di identità richiederà il token (passaggio 5) e l'ID tenant (passaggio 6) per stabilire una connessione con KnowBe4. Assicurarsi di salvare queste informazioni in modo che siano subito disponibili quando si è pronti per configurare la connessione con il provider di identità.

7. Copiare l’URL del tenant e salvarlo in un luogo a cui è possibile accedere facilmente in un secondo momento.

8. Assicurarsi che l'opzione Modalità test sia selezionata.

   

   Nota

   È consigliabile mantenere abilitata la modalità di test fino a quando non sarà stata configurata la connessione tra KnowBe4 e il provider di identità e non sarà stata eseguita una sincronizzazione andata a buon fine. La modalità di test viene usata per generare un report di cosa accadrà quando SCIM è abilitato. Ciò significa che non vengono apportate modifiche alla console, perciò è possibile configurare le impostazioni senza preoccuparsi delle modifiche apportate alla console. Quando si è pronti, è possibile disabilitare la modalità di test dalle Impostazioni account per abilitare la sincronizzazione. Se si passa da ADI a SCIM, la modalità di test verrà abilitata automaticamente dopo aver salvato le impostazioni account.

9. Scorrere in basso fino alla fine della pagina Impostazioni account e fare clic su Salva modifiche. Dopo aver abilitato SCIM nell'account KnowBe4, è possibile finalizzare la connessione con il provider di identità. Per istruzioni sulla configurazione di SCIM per il provider di identità in uso, vedere uno degli articoli seguenti.

Passaggio 3: Aggiungere KnowBe4 Security Awareness Training dalla raccolta di applicazioni Microsoft Entra

Aggiungere KnowBe4 Security Awareness Training dalla raccolta di applicazioni di Microsoft Entra per iniziare a gestire il provisioning in KnowBe4 Security Awareness Training. Se KnowBe4 Security Awareness Training è stato configurato per l'accesso SSO, è possibile usare la stessa applicazione. È tuttavia consigliabile creare un'app separata per il test iniziale dell'integrazione. Per altre informazioni su come aggiungere un'applicazione dalla raccolta, fare clic qui.

Passaggio 4: Definire gli utenti che verranno inclusi nell'ambito per il provisioning

Il servizio di provisioning di Microsoft Entra consente di definire l'ambito per gli utenti di cui verrà eseguito il provisioning in base all'assegnazione all'applicazione e/o in base agli attributi dell'utente o del gruppo. Se si sceglie di definire l'ambito degli utenti di cui verrà eseguito il provisioning per l'app in base all'assegnazione, è possibile seguire questa procedura per assegnare utenti e gruppi all'applicazione. Se si sceglie di definire l'ambito degli utenti di cui verrà eseguito il provisioning esclusivamente in base agli attributi dell'utente o del gruppo, è possibile usare un filtro di ambito come descritto qui.

• Iniziare con pochi elementi. Eseguire il test con un piccolo set di utenti e gruppi prima di eseguire la distribuzione a tutti. Quando l'ambito per il provisioning è impostato su utenti e gruppi assegnati, è possibile controllarlo assegnando uno o due utenti o gruppi all'app. Quando l'ambito è impostato su tutti gli utenti e i gruppi, è possibile specificare un filtro di ambito basato su attributi.

• Se sono necessari ruoli aggiuntivi, è possibile aggiornare il manifesto dell'applicazione per aggiungere nuovi ruoli.

Passaggio 5: Configurare il provisioning utenti automatico per KnowBe4 Security Awareness Training

Questa sezione descrive la procedura per configurare il servizio di provisioning di Microsoft Entra per creare, aggiornare e disabilitare utenti e/o gruppi in KnowBe4 Security Awareness Training in base alle assegnazioni di utenti e/o gruppi in Microsoft Entra ID.

Per configurare il provisioning utenti automatico per KnowBe4 Security Awareness Training in Microsoft Entra ID:

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.

2. Passare a Identità>Applicazioni>Applicazioni aziendali

   

3. Nell'elenco delle applicazioni, selezionare KnowBe4 Security Awareness Training.

   

4. Selezionare la scheda Provisioning.

   

5. Impostare Modalità di provisioning su Automatico.

   

6. Nella sezione Credenziali amministratore immettere l'URL tenant e il token segreto di KnowBe4 Security Awareness Training. Fare clic su Testa connessione per verificare che Microsoft Entra ID possa connettersi a KnowBe4 Security Awareness Training. Se la connessione non riesce, verificare che l'account KnowBe4 Security Awareness Training abbia autorizzazioni di amministratore e riprovare.

   

7. Nel campo Messaggio di posta elettronica di notifica immettere l'indirizzo di posta elettronica di una persona o un gruppo che riceverà le notifiche di errore relative al provisioning e selezionare la casella di controllo Invia una notifica di posta elettronica in caso di errore.

   

8. Seleziona Salva.

9. Nella sezione Mapping, selezionare Sincronizza utenti di Microsoft Entra con KnowBe4 Security Awareness Training.

10. Esaminare gli attributi utente sincronizzati tra Microsoft Entra ID e KnowBe4 Security Awareness Training nella sezione Mapping di attributi. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con gli account utente in KnowBe4 Security Awareness Training per le operazioni di aggiornamento. Se si sceglie di cambiare l'attributo di destinazione corrispondente, sarà necessario assicurarsi che l'API KnowBe4 Security Awareness Training supporti il filtro degli utenti basato su tale attributo. Selezionare il pulsante Salva per eseguire il commit delle modifiche.

    Attributo	Type	Supportato per il filtro	Richiesto da KnowBe4 Security Awareness Training
    userName	String	✓	✓
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager.value	Riferimento
    active	Booleano
    title	String
    name.givenName	String
    name.familyName	String
    externalId	String
    displayName	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division	String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization	String
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customDate1	Data/Ora
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customDate2	Data/Ora
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField1	String
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField2	String
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField3	String
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField4	String

11. Nella sezione Mapping, selezionare Sincronizza gruppi di Microsoft Entra con KnowBe4 Security Awareness Training.

12. Esaminare gli attributi gruppo sincronizzati tra Microsoft Entra ID e KnowBe4 Security Awareness Training nella sezione Mapping di attributi. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con i gruppi in KnowBe4 Security Awareness Training per le operazioni di aggiornamento. Selezionare il pulsante Salva per eseguire il commit delle modifiche.

    Attributo	Type	Supportato per il filtro	Richiesto da KnowBe4 Security Awareness Training
    displayName	String	✓	✓
    membri	Riferimento
    externalId	String

13. Per configurare i filtri di ambito, fare riferimento alle istruzioni fornite nell'esercitazione sui filtri per la definizione dell'ambito.

14. Per abilitare il servizio di provisioning di Microsoft Entra per KnowBe4 Security Awareness Training, impostare Stato del provisioning su Sì nella sezione Impostazioni.

    

15. Definire gli utenti e/o i gruppi di cui effettuare il provisioning in KnowBe4 Security Awareness Training selezionando i valori appropriati in Ambito nella sezione Impostazioni.

    

16. Quando si è pronti per eseguire il provisioning, fare clic su Salva.

    

L'operazione avvia il ciclo di sincronizzazione iniziale di tutti gli utenti e i gruppi definiti in Ambito nella sezione Impostazioni. Il ciclo di sincronizzazione iniziale richiede più tempo dei cicli successivi, che verranno eseguiti ogni 40 minuti circa quando il servizio di provisioning di Microsoft Entra è in esecuzione.

Passaggio 6: Monitorare la distribuzione

Dopo aver configurato il provisioning, usare le risorse seguenti per monitorare la distribuzione:

• Usare i log di provisioning per determinare gli utenti di cui è stato eseguito il provisioning con esito positivo o negativo.
• Controllare l'indicatore di stato per visualizzare lo stato del ciclo di provisioning e quanto manca al completamento.
• Se la configurazione del provisioning sembra essere in uno stato non integro, l'applicazione entrerà in quarantena. Per altre informazioni sugli stati di quarantena, fare clic qui.

Passaggio 7: Suggerimenti per la risoluzione dei problemi

• Dopo aver abilitato SCIM, verranno visualizzati tre pulsanti nella sezione SCIM delle impostazioni account, che possono essere usati per la risoluzione dei problemi. Per altre informazioni su queste opzioni, vedere l’elenco sotto.

  

  • Rigenerare token SCIM: usare questo pulsante per generare un nuovo token SCIM. Questo token può essere visualizzato una sola volta, quindi assicurarsi di salvare queste informazioni prima di chiudere la finestra. Il collegamento tra i provider di identità e la console KnowBe4 verrà disabilitato fino a quando non si fornisce il nuovo token SCIM.

  • Revoca token SCIM: usare questo pulsante per disabilitare il token SCIM corrente. I provider di identità che attualmente usano questo token non saranno più collegati alla console KnowBe4.

  • Forza sincronizzazione ora: usare questo pulsante per forzare manualmente una sincronizzazione SCIM in qualsiasi momento, senza richiedere una modifica dal provider di identità.

Altre risorse

• Gestione del provisioning degli account utente per app aziendali
• Che cosa sono l'accesso alle applicazioni e l'accesso Single Sign-On con Microsoft Entra ID?

Passaggi successivi

• Informazioni su come esaminare i log e ottenere report sulle attività di provisioning