Microsoft Azure Active Directory

Il protocollo

Prima di sincronizzare i dati per la prima volta, ti consigliamo di attivare la modalità di prova nel programma.

Puoi abilitare l'applicazione delle regole per l'assegnazione automatica di utenti ai gruppi. Per impostazione predefinita, l'applicazione delle regole è disabilitata.

Ti sconsigliamo di utilizzare le regole di distribuzione automatica dei gruppi se la sincronizzazione viene avviata con Active Directory e sono già presenti utenti esistenti e la formazione è già stata attivata. Questi utenti avranno i campi di Active Directory aggiornati, ma il gruppo e il programma di formazione rimarranno invariati.

Una volta avviata la sincronizzazione, il servizio di provisioning di Azure AD invia periodicamente richieste al server di Kaspersky Automated Security Awareness Platform e verifica la conformità dei dati. Se gli account di dominio sono stati modificati dalla richiesta precedente, le informazioni aggiornate vengono registrate nel database del programma e visualizzate nella cronologia di richieste di sincronizzazione.

Impostazioni di sincronizzazione: scenario

La configurazione della sincronizzazione degli utenti di Kaspersky Automated Security Awareness Platform con gli account di Active Directory coinvolge l'amministratore del programma ("amministratore di ASAP") e l'amministratore di Active Directory.

La configurazione della sincronizzazione prevede i seguenti passaggi.

1. Preparazione dell'elenco degli utenti

   L'amministratore di ASAP e quello di Active Directory devono preparare un elenco di utenti di dominio le cui informazioni devono essere sincronizzate con il programma. Ad esempio, puoi inserire gli utenti in un gruppo o scegliere gli attributi con cui filtrarli.

2. Abilitazione della modalità di test nelle impostazioni di ASAP

   In modalità di test, puoi visualizzare le modifiche che verranno applicate dopo la sincronizzazione, tuttavia tali modifiche non verranno apportate nel database del programma. In questo modo, potrai isolare gli errori di configurazione e apportare modifiche alle impostazioni di sincronizzazione.

3. Ricezione dei parametri per stabilire una connessione con Active Directory

   Per stabilire una connessione tra il programma e il server di Active Directory, l'amministratore di ASAP deve inviare all'amministratore di Active Directory l'URL del server ASAP a cui verranno inviate le richieste di sincronizzazione (URL tenant), nonché un token per l'autenticazione delle richieste. Puoi copiarli nell'interfaccia del programma. A tale scopo, seleziona la sezione Utenti → Importa e aggiungi /sync/scim/settings alla fine dell'URL.

   Il token non viene archiviato nel sistema ASAP con accesso pubblico. Dopo aver chiuso la finestra Ottieni token, non sarà disponibile per la visualizzazione. Se hai chiuso la finestra senza copiare il token, devi fare di nuovo clic su Nuovo token al fine di generare un nuovo token.

   Il token emesso è valido per 12 mesi. Allo scadere di questo periodo, il token viene revocato. Il token emesso viene revocato anche se non viene utilizzato per 6 mesi.

4. Configurazione dei campi personalizzati

   L'amministratore di ASAP deve aggiungere campi personalizzati nel programma per gli attributi dell'account che devono essere recuperati da Active Directory.

5. Abilitazione e disabilitazione delle regole di distribuzione automatica dei gruppi

   Puoi abilitare l'applicazione delle regole se vuoi che gli utenti vengano raggruppati automaticamente in base alle impostazioni specificate. Quando avvii la sincronizzazione in modalità di test, puoi usare il registro per verificare in quale gruppo è stato inserito l'utente e, se necessario, modificare le impostazioni delle regole. Lo stato di formazione del nuovo gruppo di utenti non viene determinato durante la sincronizzazione in modalità di test.

   Ti sconsigliamo di utilizzare le regole di distribuzione automatica dei gruppi se la sincronizzazione viene avviata con Active Directory e sono già presenti utenti esistenti e la formazione è già stata attivata. Questi utenti avranno i campi di Active Directory aggiornati, ma il gruppo e il programma di formazione rimarranno invariati.

6. Avvio della sincronizzazione

   Dopo aver configurato tutte le impostazioni necessarie di Kaspersky Automated Security Awareness Platform e del servizio di provisioning di Azure AD, puoi avviare la sincronizzazione dei dati.

7. Visualizzazione del registro e correzione degli eventuali errori nella configurazione

   Dopo aver completato la sincronizzazione, è consigliabile che l'amministratore di ASAP riveda la cronologia delle richieste di sincronizzazione elaborate e si accerti che gli attributi specificati degli utenti selezionati siano stati trasferiti correttamente. Se gli utenti sono stati aggiunti al programma prima dell'avvio della sincronizzazione, devi verificare che i dati di tali utenti siano stati aggiornati correttamente.

8. Disabilitazione della modalità di test nelle impostazioni di ASAP

   Se approvi tutte le modifiche alla configurazione visualizzate nel registro, puoi commutare il programma dalla modalità di test a quella principale. Successivamente, l'amministratore di Active Directory deve riavviare la sincronizzazione per verificare che tutte le modifiche siano state registrate nel database del programma.

   Se la sincronizzazione viene completata correttamente, ogni utente recuperato da Active Directory deve disporre di un ID SCIM.

9. Correzione delle informazioni sugli utenti eliminati o modificati

   Se un utente aggiunto al programma prima dell'avvio della sincronizzazione non dispone di un ID SCIM, devi verificare le informazioni dell'account di Active Directory. È possibile che l'account sia stato eliminato o che l'indirizzo email dell'utente sia cambiato. In tal caso, l'amministratore di ASAP deve inserire manualmente le modifiche o eliminare l'utente dal programma. Successivamente, l'amministratore di Active Directory deve riavviare la sincronizzazione.

Configurazione della sincronizzazione con la console amministrativa di Microsoft Azure Active Directory

Ti suggeriamo di avviare la sincronizzazione in modalità di prova. In questa modalità, puoi visualizzare le modifiche che verranno applicate dopo la sincronizzazione, tuttavia tali modifiche non verranno apportate nel database del programma. In questo modo, potrai isolare gli errori di configurazione e apportare modifiche alle impostazioni di sincronizzazione.

Per configurare la sincronizzazione con Active Directory:

1. Accedi alla console di amministrazione di Microsoft Azure Active Directory come amministratore.
2. Aggiungi l'applicazione Kaspersky Automated Security Awareness Platform all'elenco di applicazioni di Active Directory. A tale scopo, eseguire le seguenti azioni:
   1. Nel panello sinistro, seleziona la sezione Applicazioni aziendali.

      

   2. Fai clic su Nuova applicazione.

      Si aprirà Sfoglia galleria Azure AD (anteprima).

      

   3. Fai clic su Crea la tua applicazione.

      Si aprirà Crea la tua applicazione.

      

   4. Nel campo Come si chiama la tua app, inserisci il nome che vuoi utilizzare per trovare il programma aggiunto nell'elenco di programmi di Active Directory.
   5. Fai clic su Crea.

   Il programma aggiunto verrà visualizzato nell'area di lavoro nella sezione Applicazioni aziendali. Viene aperta la finestra Panoramica.

   

3. Seleziona gli account utente che vuoi sincronizzare con il programma. A tale scopo, puoi procedere in uno dei seguenti modi:
   • Collega alcuni utenti al programma (ambito basato sull'assegnazione).

     Per ulteriori informazioni sul questo metodo, consulta la documentazione di Microsoft.

   • Filtra gli utenti in base all'ambito basato sull'assegnazione.

     Per ulteriori informazioni sul questo metodo, consulta la documentazione di Microsoft.

   • Collega utenti specifici al programma, quindi filtrali in base agli attributi dell'account.
4. Se gli utenti di Azure AD vengono ordinati in gruppi, quindi in modo da trasferire correttamente le informazioni ad ASAP, devi accertarti che la sincronizzazione dei gruppi di utenti di Active Directory sia disabilitata. A tale scopo, eseguire le seguenti azioni:
   1. Nella sezione Mapping, seleziona Esegui provisioning dei gruppi Azure Active Directory.

      

   2. Imposta il selettore Abilitato in posizione No.

      

   3. Fai clic su Salva.

   La disabilitazione della sincronizzazione dei gruppi è disponibile solo se disponi di una licenza di Azure Active Directory Premium P2.

5. Configura le impostazioni per la connessione del servizio di provisioning di Azure AD responsabile della sincronizzazione dei dati dal server. A tale scopo, eseguire le seguenti azioni:
   1. Nel panello sinistro, seleziona la sezione Provisioning.

      

   2. Fai clic su Inizia.

      Viene aperta la finestra Provisioning.

      

   3. Nell'elenco Modalità di provisioning, seleziona Automatica.
   4. Nella sezione Credenziali amministratore, configura le impostazioni di connessione:
      1. Nel campo URL tenant, specifica l'indirizzo del server ASAP in cui desideri inviare le richieste di sincronizzazione dei dati. Puoi copiarlo nell'interfaccia web di Kaspersky Automated Security Awareness Platform nella sezione Utenti → Importa utenti → SCIM nel campo URL tenant.
      2. Nel campo Token segreto, inserisci un token per autenticare le richieste di sincronizzazione. Puoi copiarlo nell'interfaccia web di Kaspersky Automated Security Awareness Platform nella sezione Utenti → Importa utenti → SCIM → Nuovo token.

      Il token non viene archiviato pubblicamente nel sistema Kaspersky Automated Security Awareness Platform. Dopo aver chiuso la finestra Ottieni token, non sarà disponibile per la visualizzazione. Se hai chiuso la finestra senza copiare il token, devi fare di nuovo clic su Nuovo token al fine di generare un nuovo token.

   5. Fai clic su Verifica connessione per verificare che le impostazioni di connessione siano corrette.
   6. Fai clic su Salva.
6. Se necessario, accertati che gli attributi dell'account Active Directory e i campi personalizzati nel programma corrispondano. A tale scopo, eseguire le seguenti azioni:
   1. Nella sezione Mapping, seleziona Esegui provisioning degli utenti Azure Active Directory.

   

   Viene visualizzata la finestra Mapping attributi.

   

   1. Copia il valore dell'attributi nel protocollo SCIM specificato nella colonna Attributo custommappsso, quindi incollalo nell'interfaccia web di Kaspersky Automated Security Awareness Platform nella sezione Utenti → Importa utenti → SCIM → Parametri aggiuntivi nel campo personalizzato pertinente, oppure selezionalo dalle opzioni suggerite dell'elenco a discesa.

   Per impostazione predefinita, l'abbinamento è configurato per i seguenti campi obbligatori: Email (mail), Full name (Join ("", [givenName], [surname])), Short name (givenName). Puoi modificare il link di questi campi negli attributi nel protocollo SCIM. Se utilizzi l'abbinamento dei campi predefinito, accertati che i campi givenName, surname e mail in Active Directory siano tutti compilati negli account che vuoi sincronizzare con il programma.

7. Nella sezione Azioni oggetto di destinazione, seleziona le operazioni da eseguire durante la sincronizzazione.

   Le operazioni predefinite sono Crea (crea nuovi utenti), Aggiorna (aggiorna le informazioni sugli utenti esistenti) ed Elimina (elimina utente).

8. Se gli utenti sono già stati aggiunti a Kaspersky Automated Security Awareness Platform prima dell'avvio della sincronizzazione, configura le impostazioni per il servizio di provisioning di Azure AD per abbinarle agli account Active Directory e agli utenti dell'applicazione. A tale scopo, eseguire le seguenti azioni:
   1. Seleziona gli attributi per l'abbinamento.

      Ti suggeriamo di utilizzare l'attributo mail.

      Viene visualizzata la finestra Modifica attributo.

      

   2. Nel menu Abbina gli oggetti in base a questo attributo, scegli Sì.
   3. Se necessario, nell'elenco Precedenza abbinamento, modifica la priorità di questo attributo durante la sincronizzazione. Chiudi la finestra Modifica attributo.
9. Fai clic sul dispositivo di scorrimento Stato provisioning per abilitare la sincronizzazione dei dati automatica.

   

10. Fai clic su Salva.
11. Nella finestra Provisioning, fai clic su Avvia provisioning.

    

La sincronizzazione del programma con Active Directory verrà configurata e avviata. Le richieste di sincronizzazione dei dati verranno inviate ogni 40 minuti. Puoi visualizzare la cronologia delle richieste elaborate nell'interfaccia web di Kaspersky Automated Security Awareness Platform. Se approvi tutte le modifiche alla configurazione, puoi commutare il programma dalla modalità di prova a quella principale.

Visualizzazione della cronologia di sincronizzazione

Per visualizzare la cronologia di richieste di sincronizzazione con Active Directory, attieniti alla seguente procedura:

1. Nella finestra principale dell'interfaccia web, seleziona la sezione Utenti.
2. Fai clic su Importa utenti.

   Viene visualizzata la finestra Importazione e sincronizzazione.

3. Seleziona la scheda SCIM.
4. Fai clic sul pulsante Cronologia sincronizzazioni.

Viene visualizzata la tabella Cronologia sincronizzazioni nello spazio di lavoro. Il grafico contiene i seguenti elementi:

• Nome e cognome: il nome dell'utente nel programma.
• Email: l'indirizzo email dell'utente.
• UUID (SCIM): un ID univoco per l'account trasmesso tramite il protocollo SCIM.
• Risultato: il risultato dell'operazione.
• Errori: gli errori che si sono verificati durante la sincronizzazione (in assenza di errori, viene visualizzato un trattino).
• Gruppo: il gruppo in cui è stato inserito l'utente tramite le regole di distribuzione automatica dei gruppi.
• Stato: lo stato assegnato all'utente dopo la sincronizzazione.
• Data e ora: la data e l'ora in cui è stata elaborata la richiesta dal servizio di provisioning di Azure AD.

Puoi filtrare le richieste in base al rispettivo periodo di elaborazione e al tipo di operazione utilizzando i filtri nella barra degli strumenti sopra la tabella.

Abilitazione e disabilitazione della modalità di prova

Per abilitare la modalità di prova per la sincronizzazione dei dati, attieniti alla seguente procedura:

1. Nella finestra principale dell'interfaccia web, seleziona la sezione Utenti.
2. Fai clic su Importa utenti.

   Viene visualizzata la finestra Importazione e sincronizzazione.

3. Seleziona la scheda SCIM.
4. Abilita la modalità di sincronizzazione di prova tramite il dispositivo di scorrimento Modalità di prova.
5. Fai clic sul pulsante Salva.

A questo punto, verrà abilitata la modalità di prova della sincronizzazione dei dati. Tutti i record delle modifiche apportate dagli utenti del programma verranno visualizzate nella cronologia di richieste di sincronizzazione, ma non verranno registrate nel database del programma.

Prima di disabilitare la modalità di prova, accertati che tutti gli utenti del programma siano correttamente sincronizzati con gli account Active Directory e inseriti nei gruppi appropriati dopo l'applicazione delle regole di assegnazione automatica. A tale scopo, visualizza la cronologia di richieste di sincronizzazione.

Non puoi disabilitare contemporaneamente la modalità di sincronizzazione di prova per Azure AD e il servizio AD locale. Se vuoi avviare la modalità di sincronizzazione di base con Azure AD, devi abilitare la modalità di sincronizzazione di prova per il servizio AD locale.

Per passare dalla modalità di prova della sincronizzazione di Active Directory a quella principale, attieniti alla seguente procedura:

1. Nella finestra principale dell'interfaccia web, seleziona la sezione Utenti.
2. Fai clic su Importa utenti.

   Viene visualizzata la finestra Importazione e sincronizzazione.

3. Seleziona la scheda SCIM.
4. Disabilita la modalità di sincronizzazione di prova tramite il dispositivo di scorrimento Modalità di prova.
5. Fai clic sul pulsante Salva.
6. Riavvia la sincronizzazione di Active Directory per garantire che tutte le modifiche vengano applicate al database. A tale scopo, eseguire le seguenti azioni:
   1. Accedi alla console di amministrazione di Microsoft Azure Active Directory come amministratore.
   2. Seleziona la sezione Applicazioni aziendali.
   3. Seleziona la voce dell'applicazione Kaspersky Automated Security Awareness Platform.
   4. Seleziona la sezione Provisioning.
   5. Nel dashboard superiore, fai clic su Riavvia provisioning.

La modalità di sincronizzazione con Active Directory verrà modificata in Principale. Tutti i dati ottenuti dalla sincronizzazione verranno registrati nel database del programma.

La sincronizzazione nella modalità principale verrà eseguita la prima volta che lo script di sincronizzazione viene eseguito dopo la chiusura della modalità di test. Per la sincronizzazione periodica dei dati, lo script deve essere configurato per l'esecuzione in base a una pianificazione.

Abilitazione e disabilitazione delle regole di distribuzione automatica dei gruppi

Prima di abilitare l'applicazione delle regole, devi crearle.

Per abilitare o disabilitare l'applicazione delle regole di distribuzione automatica dei gruppi, attieniti alla seguente procedura:

1. Nella finestra principale dell'interfaccia web, seleziona la sezione Utenti.
2. Fai clic su Importa utenti.

   Viene visualizzata la finestra Importazione e sincronizzazione.

3. Seleziona la scheda SCIM.
4. Abilita o disabilita l'applicazione delle regole tramite il dispositivo di scorrimento Applica automaticamente regole per i gruppi nella sezione Parametri aggiuntivi.
5. Fai clic sul pulsante Salva.

A questo punto, l'applicazione delle regole verrà abilitata o disabilitata.