Scénario des paramètres de synchronisation
La configuration de la synchronisation des utilisateurs de la plateforme Kaspersky Automated Security Awareness avec les comptes Active Directory implique l'administrateur du programme (« administrateur d'ASAP ») et l'administrateur d'Active Directory.
La configuration de la synchronisation comprend les étapes suivantes.
- Préparation de la liste des utilisateurs
L'administrateur d'ASAP et l'administrateur d'Active Directory doivent préparer une liste des utilisateurs du domaine dont les informations doivent être synchronisées avec le programme. Par exemple, vous pouvez placer les utilisateurs dans un groupe ou réfléchir aux attributs à utiliser pour les filtrer.
- Activation du mode test dans les paramètres ASAP
Dans le mode test, vous pouvez afficher les modifications qui seront appliquées après la synchronisation, mais ces modifications ne seront pas apportées à la base de données du programme. Cela vous aide à isoler les erreurs de configuration et à apporter des modifications aux paramètres de synchronisation.
- Paramètres de réception pour établir une connexion avec Active Directory
Pour établir une connexion entre le programme et le serveur Active Directory, l'administrateur d'ASAP doit lui envoyer l'adresse URL du serveur ASAP auquel les demandes de synchronisation des données seront envoyées (URL de l'hôte), ainsi qu'un jeton pour les demandes d'authentification. Vous pouvez les copier dans l'interface du programme. Pour ce faire, accédez à la section Utilisateurs → Importer et ajoutez
/sync/scim/settingsà la fin de l'URL.Le jeton n'est pas stocké dans le système ASAP accessible au public. Après avoir fermé la fenêtre Obtenir un jeton, il ne sera plus disponible à la visualisation. Si vous avez fermé cette fenêtre sans copier le jeton, vous devez de nouveau cliquer sur Nouveau jeton pour que le système génère un nouveau jeton.
Le jeton émis est valable pendant 12 mois. À l'expiration de cette période, le jeton est révoqué. Le jeton émis est également révoqué s'il n'est pas utilisé pendant 6 mois.
- Configuration des champs personnalisés
L'administrateur d'ASAP doit ajouter des champs personnalisés dans le programme pour les attributs du compte qui doivent être récupérés dans Active Directory.
- Activation et désactivation des règles de distribution automatique des groupes
Vous pouvez activer l'application des règles si vous souhaitez que les utilisateurs soient automatiquement regroupés en fonction des paramètres indiqués. Lorsque vous lancez la synchronisation en mode test, vous pouvez voir dans le journal dans quel groupe l'utilisateur a été placé et, si nécessaire, ajuster les paramètres de la règle. L'état de la formation du nouveau groupe d'utilisateurs n'est pas déterminé lors de la synchronisation en mode test.
Nous vous déconseillons d'utiliser des règles de distribution automatique des groupes si vous démarrez la synchronisation avec Active Directory alors qu'il existe des utilisateurs déjà existants et que la formation a déjà été activée. Cela peut entraîner des modifications dans les groupes d'utilisateurs et dans leur programme de formation.
- Lancement de la synchronisation
Une fois que tous les paramètres nécessaires de la plateforme Kaspersky Automated Security Awareness Platform et du service Azure AD Provisioning sont configurés, vous pouvez lancer la synchronisation des données.
- Visualisation du journal et correction d'éventuelles erreurs de configuration
Une fois que la synchronisation est terminée, nous recommandons à l'administrateur d'ASAP de passer en revue l'historique des demandes de synchronisation traitées et de s'assurer que les attributs indiqués des utilisateurs sélectionnés sont transférés correctement. Si des utilisateurs ont déjà été ajoutés au programme avant le début de la synchronisation, vous devez vérifier que les données concernant ces utilisateurs ont été correctement mises à jour.
- Désactivation du mode test dans les paramètres ASAP
Si vous approuvez toutes les modifications de configuration affichées dans le journal, vous pouvez maintenant faire basculer le programme du mode test au mode principal. Ensuite, l'administrateur d'Active Directory doit relancer la synchronisation pour s'assurer que toutes les modifications sont enregistrées dans la base de données du programme.
Si la synchronisation aboutit, chaque utilisateur récupéré à partir d'Active Directory doit disposer d'un identifiant SCIM.
- Correction des informations relatives aux utilisateurs supprimés ou modifiés
Si un utilisateur qui a été ajouté au programme avant le début de la synchronisation ne dispose d'aucun identifiant SCIM, vous devez vérifier les informations relatives au compte Active Directory. Il se peut que le compte ait été supprimé ou que l'adresse email de l'utilisateur ait changé. Dans ce cas, l'administrateur d'ASAP doit saisir les modifications manuellement ou supprimer l'utilisateur du programme. Ensuite, l'administrateur d'Active Directory doit relancer la synchronisation.