Konfigurowanie usługi KnowBe4 Security Awareness Training na potrzeby automatycznej aprowizacji użytkowników

W tym artykule opisano kroki, które należy wykonać w usłudze KnowBe4 Security Awareness Training i Microsoft Entra ID, aby skonfigurować automatyczną aprowizację użytkowników. Po skonfigurowaniu, Microsoft Entra ID automatycznie tworzy i usuwa użytkowników oraz grupy do usługi KnowBe4 Security Awareness Training za pomocą usługi aprowizacji firmy Microsoft. Aby uzyskać ważne szczegółowe informacje na temat działania tej usługi, sposobu jej działania i często zadawanych pytań, zobacz Automatyzowanie aprowizacji użytkowników i anulowania aprowizacji aplikacji SaaS przy użyciu identyfikatora Entra firmy Microsoft.

Obsługiwane funkcje

• Tworzenie użytkowników w usłudze KnowBe4 Security Awareness Training.
• Usuń użytkowników z usługi KnowBe4 Security Awareness Training, gdy nie będą już wymagać dostępu.
• Zachowaj synchronizację atrybutów użytkownika między identyfikatorem Entra firmy Microsoft i usługą KnowBe4 Security Awareness Training.
• Zarządzaj grupami i członkostwem w grupach w programie KnowBe4 Security Awareness Training.
• logowanie jednokrotne do usługi KnowBe4 Security Awareness Training (zalecane).

Wymagania wstępne

W scenariuszu opisanym w tym artykule przyjęto założenie, że masz już następujące wymagania wstępne:

• dzierżawca Microsoft Entra.
• Jedną z następujących ról: administrator aplikacji , administrator aplikacji w chmurze lub właściciel aplikacji .
• Konto użytkownika w usłudze KnowBe4 Security Awareness Training z uprawnieniami administratora.

Krok 1: Zaplanuj wdrożenie usług

1. Dowiedz się więcej, jak działa usługa aprowizacji.
2. Określ, kto znajduje się w zakresie w ramach udostępniania.
3. Określ, które dane zostaną zmapowane między Microsoft Entra ID a usługą KnowBe4 Security Awareness Training.

Krok 2. Konfigurowanie usługi KnowBe4 Security Awareness Training w celu obsługi aprowizacji przy użyciu identyfikatora Entra firmy Microsoft

Wykonaj poniższe kroki, aby skonfigurować ustawienia SCIM w konsoli programu .

Uwaga

Jeśli przełączasz się z ADI na SCIM, pamiętaj, że jeśli używasz aliasów adresów e-mail, nasza integracja z protokołem SCIM nie obsługuje tej funkcji, dlatego te informacje zostaną usunięte po wyłączeniu trybu testowego i uruchomieniu synchronizacji.

1. W konsoli KnowBe4 wybierz swój adres e-mail w prawym górnym rogu i wybierz pozycję Ustawienia konta.

2. Przejdź do sekcji User Management > User Provisioning ustawień.

3. Wybierz pozycję Włącz aprowizację użytkowników (synchronizacja użytkowników), aby wyświetlić więcej ustawień aprowizacji.

   

4. Domyślnie przełącznik jest ustawiony na ADI. Wybierz przełącznik SCIM, aby rozpocząć konfigurowanie.

5. Rozwiń ustawienia SCIM, wybierając pozycję + Ustawienia SCIM.

   

6. Wybierz pozycję Wygeneruj token SCIM. Spowoduje to otwarcie nowego okna z identyfikatorem tokenu. Skopiuj ten identyfikator i zapisz go w miejscu, do którego można łatwo uzyskać dostęp później. Ważne jest, aby zapisać ten token, ponieważ po zamknięciu tego okna nie można ponownie wyświetlić tokenu. Po zapisaniu informacji wybierz pozycję OK, aby zamknąć okno.

   Uwaga

   Po wygenerowaniu tokenu SCIM ten przycisk zmieni się na przycisk Wygeneruj ponownie token SCIM. Aby uzyskać więcej informacji, zobacz sekcję Porady dotyczące rozwiązywania problemów w tym artykule.

   Uwaga

   Dostawca tożsamości będzie potrzebował tokenu (krok 5) i identyfikatora dzierżawcy (krok 6), aby nawiązać połączenie z usługą KnowBe4. Upewnij się, że te informacje są zapisywane, aby można było je łatwo udostępnić, gdy wszystko będzie gotowe do skonfigurowania połączenia z dostawcą tożsamości.

7. Skopiuj adres URL dzierżawy i zapisz go w miejscu, do którego można łatwo uzyskać dostęp później.

8. Upewnij się, że wybrano opcję Tryb testowy.

   

   Uwaga

   Zalecamy zachowanie trybu testowego włączone do momentu skonfigurowania połączenia między usługą KnowBe4 i dostawcą tożsamości i pomyślnego przeprowadzenia synchronizacji. Tryb testowy służy do generowania raportu o tym, co się stanie po włączeniu programu SCIM. Oznacza to, że w konsoli nie są wprowadzane żadne zmiany, dzięki czemu można skonfigurować konfigurację bez obaw o zmiany w konsoli. Gdy wszystko będzie gotowe, możesz wyłączyć tryb testowy z ustawień konta w celu włączenia synchronizacji. Jeśli przełączasz się z ADI na SCIM, tryb testowy jest automatycznie włączony po zapisaniu ustawień konta .

9. Przewiń w dół strony Ustawień Konta i wybierz pozycję Zapisz zmiany. Po włączeniu protokołu SCIM na koncie KnowBe4 możesz sfinalizować połączenie z dostawcą tożsamości. Zapoznaj się z jednym z poniższych artykułów, aby znaleźć instrukcje dotyczące konfigurowania protokołu SCIM dla dostawcy tożsamości, którego używasz.

Krok 3. Dodawanie usługi KnowBe4 Security Awareness Training z galerii aplikacji Microsoft Entra

Dodaj usługę KnowBe4 Security Awareness Training z galerii aplikacji Firmy Microsoft Entra, aby rozpocząć zarządzanie aprowizowaniem w usłudze KnowBe4 Security Awareness Training. Jeśli wcześniej skonfigurowano usługę KnowBe4 Security Awareness Training na potrzeby logowania jednokrotnego, możesz użyć tej samej aplikacji. Zalecamy jednak utworzenie oddzielnej aplikacji podczas początkowego testowania integracji. Więcej informacji o dodawaniu aplikacji z galerii znajdziesz tutaj.

Krok 4: Określenie, kto jest objęty zakresem aprowizacji

Usługa aprowizacji Microsoft Entra umożliwia definiowanie, kto ma być aprowizowany na podstawie przypisania do aplikacji lub na podstawie atrybutów użytkownika lub grupy. Jeśli zdecydujesz się ustalić, kto ma mieć dostęp do Twojej aplikacji na podstawie przypisania, możesz skorzystać z kroków , aby przypisać użytkowników i grupy do aplikacji. Jeśli zdecydujesz się określić zakres przyznawania zasobów wyłącznie na podstawie atrybutów użytkownika lub grupy, możesz użyć filtru zakresu.

• Zacznij od małego. Przeprowadź test z użyciem mniejszego zestawu użytkowników i grup, zanim wdrożysz to rozwiązanie dla wszystkich. Jeśli zakres aprowizacji jest ustawiony na przypisanych użytkowników i grupy, możesz to kontrolować, przypisując jednego lub dwóch użytkowników lub grup do aplikacji. W przypadku ustawienia zakresu na wszystkich użytkowników i wszystkie grupy, możesz określić filtrowanie zakresu na podstawie atrybutów.

• Jeśli potrzebujesz dodatkowych ról, możesz zaktualizować manifest aplikacji, aby dodać nowe role.

Krok 5: Konfigurowanie automatycznej aprowizacji użytkowników w usłudze KnowBe4 Security Awareness Training

Ta sekcja zawiera instrukcje konfigurowania usługi aprowizacji firmy Microsoft w celu tworzenia, aktualizowania i wyłączania użytkowników i/lub grup w usłudze KnowBe4 Security Awareness Training na podstawie przypisań użytkowników i/lub grup w usłudze Microsoft Entra ID.

Aby skonfigurować automatyczne prowizjonowanie użytkowników dla KnowBe4 Security Awareness Training w usłudze Microsoft Entra ID:

1. Zaloguj się do centrum administracyjnego Microsoft Entra z uprawnieniami co najmniej Administratora aplikacji w chmurze.

2. Przejdź do Tożsamość>Aplikacje>Aplikacje dla przedsiębiorstw

   

3. Na liście aplikacji wybierz pozycję KnowBe4 Security Awareness Training.

   

4. Wybierz kartę Provisionowanie.

   

5. Ustaw Tryb zaopatrywania na Automatyczny.

   

6. W sekcji poświadczenia administratora wprowadź adres URL dzierżawy usługi KnowBe4 Security Awareness Training i tajny token. Wybierz pozycję Testuj połączenie, aby upewnić się, że usługa Microsoft Entra ID może nawiązać połączenie z usługą KnowBe4 Security Awareness Training. Jeśli połączenie nie powiedzie się, upewnij się, że konto usługi KnowBe4 Security Awareness Training ma uprawnienia administratora i spróbuj ponownie.

   

7. W polu Adres e-mail do powiadomień wpisz adres e-mail osoby lub grupy, która ma otrzymywać powiadomienia o błędach autoryzacji, a następnie zaznacz pole wyboru Wyślij powiadomienie e-mail w przypadku wystąpienia błędu.

   

8. Wybierz Zapisz.

9. W sekcji Mapowania wybierz opcję Synchronizuj użytkowników Microsoft Entra z KnowBe4 Security Awareness Training.

10. Przejrzyj atrybuty użytkownika synchronizowane z identyfikatorem Entra firmy Microsoft w sekcji KnowBe4 Security Awareness Training w sekcji Mapowanie atrybutów. Atrybuty wybrane jako właściwości Matching są używane do dopasowania kont użytkowników w usłudze KnowBe4 Security Awareness Training na potrzeby operacji aktualizacji. Jeśli zdecydujesz się zmienić pasujący atrybut docelowy, musisz upewnić się, że interfejs API KnowBe4 Security Awareness Training obsługuje filtrowanie użytkowników na podstawie tego atrybutu. Wybierz przycisk Zapisz, aby zatwierdzić wszelkie zmiany.

    Atrybut	Typ	Obsługa filtrowania	Wymagane przez szkolenie KnowBe4 z zakresu świadomości bezpieczeństwa
    userName	Sznurek	✓	✓
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager.value	Źródło
    aktywny	Boolean
    tytuł	Sznurek
    nazwa.imię	Sznurek
    imię.nazwisko	Sznurek
    externalId	Sznurek
    nazwa wyświetlana	Sznurek
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber	Sznurek
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:dział	Sznurek
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division	Sznurek
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:użytkownik:organizacja	Sznurek
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customDate1	Data i Czas
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customDate2	Data i Czas
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField1	Sznurek
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField2	Sznurek
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField3	Sznurek
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField4	Sznurek

11. W sekcji Mappings wybierz Synchronizuj grupy Microsoft Entra z usługą KnowBe4 Security Awareness Training.

12. Przejrzyj atrybuty grupy, które są synchronizowane z identyfikatora Entra firmy Microsoft do usługi KnowBe4 Security Awareness Training w sekcji Mapowanie atrybutów. Atrybuty wybrane jako pasujące właściwości są używane do dopasowywania grup w usłudze KnowBe4 Security Awareness Training na potrzeby operacji aktualizacji. Wybierz przycisk Zapisz, aby zatwierdzić wszelkie zmiany.

    Atrybut	Typ	Obsługa filtrowania	Wymagane przez szkolenie KnowBe4 z zakresu świadomości bezpieczeństwa
    nazwa wyświetlana	Sznurek	✓	✓
    Członkowie	Źródło
    externalId	Sznurek

13. Aby skonfigurować filtry określania zakresu, zapoznaj się z poniższymi instrukcjami podanymi w artykule Filtrowanie zakresu.

14. Aby włączyć usługę aprowizacji firmy Microsoft dla usługi KnowBe4 Security Awareness Training, zmień stanu aprowizacji na On w sekcji Settings (Ustawienia).

    

15. Zdefiniuj użytkowników i/lub grupy, które chcesz przydzielać w programie szkoleniowym KnowBe4 Security Awareness, wybierając żądane wartości w sekcji Ustawienia, w obszarze Zakres.

    

16. Gdy będziesz gotowy do konfiguracji, wybierz Zapisz.

    

Ta operacja spowoduje rozpoczęcie cyklu synchronizacji początkowej wszystkich użytkowników i grup zdefiniowanych w obszarze Zakres w sekcji Ustawienia. Cykl początkowy trwa dłużej niż kolejne cykle, które występują mniej więcej co 40 minut, pod warunkiem, że usługa wdrażania Microsoft Entra jest uruchomiona.

Krok 6. Monitorowanie wdrożenia

Po skonfigurowaniu aprowizacji użyj następujących zasobów, aby monitorować wdrożenie:

1. Użyj dzienników przydzielania , aby określić, którzy użytkownicy zostali pomyślnie przydzieleni lub dla których proces przydzielania się nie powiódł.
2. Sprawdź pasek postępu , aby zobaczyć stan cyklu wdrażania i sprawdzić, jak blisko jest do zakończenia.
3. Jeśli konfiguracja aprowizacji wydaje się być w złej kondycji, aplikacja przechodzi do kwarantanny. Dowiedz się więcej o stanach kwarantanny w artykule dotyczącym udostępniania aplikacji i statusu kwarantanny.

Krok 7. Porady dotyczące rozwiązywania problemów

• Po włączeniu funkcji SCIM w ustawieniach konta zostaną wyświetlone trzy przyciski w sekcji SCIM, które mogą być używane do rozwiązywania problemów. Aby uzyskać więcej informacji na temat tych opcji, zobacz poniższą listę.

  

  • ponowne generowanie tokenu SCIM: użyj tego przycisku, aby wygenerować nowy token SCIM. Ten token można wyświetlić tylko raz, dlatego przed zamknięciem okna upewnij się, że te informacje zostały zapisane. Link między dostawcami tożsamości a konsolą KnowBe4 jest wyłączony do momentu podania nowego tokenu SCIM.

  • odwołaćtokenu SCIM: użyj tego przycisku, aby wyłączyć bieżący token SCIM. Dostawcy tożsamości korzystający obecnie z tego tokenu nie będą już połączeni z konsolą KnowBe4.

  • Wymuś synchronizację teraz: użyj tego przycisku, aby ręcznie wymusić synchronizację SCIM w dowolnym momencie bez konieczności zmiany dostawcy tożsamości.

Więcej zasobów

• Zarządzanie aprowizacją kont użytkowników w aplikacjach dla przedsiębiorstw
• Co to jest dostęp do aplikacji i logowanie jednokrotne przy użyciu identyfikatora Microsoft Entra ID?

Powiązana zawartość

• Dowiedz się, jak przeglądać dzienniki i uzyskiwać raporty dotyczące działań przydzielania zasobów