Aprovisionar cuentas de usuario de Active Directory

Last reviewed 2024-06-26 UTC

En este documento se explica cómo configurar el aprovisionamiento de usuarios y grupos entre Active Directory y tu cuenta de Cloud Identity o de Google Workspace mediante Google Cloud Directory Sync (GCDS).

Para seguir esta guía, debes tener un usuario de Active Directory que pueda gestionar usuarios y grupos en Active Directory. Además, si aún no tienes una cuenta de Cloud Identity o Google Workspace, necesitarás acceso de administrador a tu zona DNS para verificar dominios. Si ya tienes una cuenta de Cloud Identity o Google Workspace, asegúrate de que tu usuario tenga privilegios de superadministrador.

Objetivos

  • Instala GCDS y conéctalo a Active Directory y a Cloud Identity o Google Workspace.
  • Configura GCDS para aprovisionar usuarios y, opcionalmente, grupos en Google Cloud.
  • Configura una tarea programada para el aprovisionamiento continuo.

Costes

Si usas la edición gratuita de Cloud Identity, no se utilizarán componentes facturables al seguir esta guía. Google Cloud

Antes de empezar

  • Asegúrate de que entiendes cómo se puede ampliar la gestión de identidades de Active Directory Google Cloud.

  • Decide cómo quieres mapear las identidades, los grupos y los dominios. En concreto, asegúrate de haber respondido a las siguientes preguntas:

    • ¿Qué dominio DNS quieres usar como dominio principal de Cloud Identity o Google Workspace? ¿Qué dominios DNS adicionales tienes previsto usar como dominios secundarios?
    • ¿Necesitas usar la sustitución de dominio?
    • ¿Tienes previsto usar la dirección de correo electrónico (mail) o el nombre principal de usuario (userPrincipalName) como identificadores comunes de los usuarios?
    • ¿Tienes previsto aprovisionar grupos? Si es así, ¿vas a usar el nombre común (cn) o la dirección de correo (mail) como identificadores comunes de los grupos?

    Para obtener información sobre cómo tomar estas decisiones, consulta el documento de resumen sobre cómo ampliar la gestión de identidades y accesos de Active Directory a Google Cloud.

  • Antes de conectar tu instancia de Active Directory de producción a Google Cloud, te recomendamos que uses un entorno de prueba de Active Directory para configurar y probar el aprovisionamiento de usuarios.

  • Regístrate en Cloud Identity si aún no tienes una cuenta y añade dominios DNS adicionales si es necesario.

  • Si utilizas la edición gratuita de Cloud Identity y quieres aprovisionar más de 50 usuarios, solicita un aumento del número total de usuarios de Cloud Identity Free a través de tu contacto de asistencia.

  • Si sospechas que los empleados podrían haber usado alguno de los dominios que tienes previsto usar en Cloud Identity para registrar cuentas de consumidor, te recomendamos que migres esas cuentas de usuario primero. Para obtener más información, consulta el artículo Evaluar las cuentas de usuario que ya se usan.

Planificar la implementación de GCDS

En las siguientes secciones se describe cómo planificar la implementación de GCDS.

Decidir dónde implementar GCDS

GCDS puede aprovisionar usuarios y grupos desde un directorio LDAP en Cloud Identity o Google Workspace. GCDS actúa como intermediario entre el servidor LDAP y Cloud Identity o Google Workspace. Consulta el directorio LDAP para obtener la información necesaria y usa la API Directory para añadir, modificar o eliminar usuarios en tu cuenta de Cloud Identity o Google Workspace.

Como Active Directory Domain Services se basa en LDAP, GCDS es una herramienta adecuada para implementar el aprovisionamiento de usuarios entre Active Directory y Cloud Identity o Google Workspace.

Cuando conectas una infraestructura de Active Directory local aGoogle Cloud, puedes ejecutar GCDS de forma local o en una máquina virtual de Compute Engine en Google Cloud. En la mayoría de los casos, es mejor ejecutar GCDS de forma local:

  • Dado que la información que gestiona Active Directory incluye información personal identificable y suele considerarse sensible, es posible que no quieras que se acceda a Active Directory desde fuera de la red local.
  • De forma predeterminada, Active Directory usa LDAP sin cifrar. Si accedes a Active Directory de forma remota desde Google Cloud, debes usar una comunicación cifrada. Aunque puedes cifrar la conexión mediante LDAPS (LDAP+SSL) o Cloud VPN.
  • La comunicación de GCDS con Cloud Identity o Google Workspace se realiza a través de HTTPS y requiere pocos cambios o ninguno en la configuración de tu firewall.

Puedes ejecutar GCDS en Windows o Linux. Aunque es posible implementar GCDS en el controlador de dominio, es mejor ejecutarlo en un equipo independiente. Este equipo debe cumplir los requisitos del sistema y tener acceso LDAP a Active Directory. Aunque no es un requisito previo para que el equipo se una a un dominio o ejecute Windows, en esta guía se da por hecho que Cloud Directory Sync se ejecuta en un equipo Windows unido a un dominio.

Para facilitar la configuración del aprovisionamiento, GCDS incluye una interfaz gráfica de usuario (GUI) llamada Gestor de configuración. Si el servidor en el que quieres ejecutar GCDS tiene una experiencia de escritorio, puedes ejecutar el gestor de configuración en el propio servidor. De lo contrario, debes ejecutar el gestor de configuración de forma local y, a continuación, copiar el archivo de configuración resultante en el servidor, donde podrás usarlo para ejecutar GCDS. En esta guía se da por hecho que ejecutas el gestor de configuración en un servidor con una GUI.

Decidir de dónde obtener los datos

GCDS usa LDAP para interactuar con Active Directory y obtener información sobre usuarios y grupos. Para que esta interacción sea posible, GCDS requiere que proporciones un nombre de host y un puerto en la configuración. En un entorno de Active Directory pequeño que solo ejecuta un servidor de catálogo global (GC), no hay ningún problema en proporcionar un nombre de host y un puerto, ya que puedes dirigir GCDS directamente al servidor de catálogo global.

En un entorno más complejo que ejecuta servidores GC redundantes, no es recomendable dirigir GCDS a un solo servidor, ya que no se aprovecha la redundancia. Aunque es posible configurar un balanceador de carga que distribuya las consultas LDAP entre varios servidores de GC y haga un seguimiento de los servidores que puedan no estar disponibles temporalmente, es preferible usar el mecanismo DC Locator para localizar servidores de forma dinámica.

De forma predeterminada, GCDS requiere que especifiques explícitamente el endpoint de un servidor LDAP y no admite el uso del mecanismo de localización de DC. En esta guía, se complementa GCDS con una pequeña secuencia de comandos de PowerShell que activa el mecanismo de localización de controladores de dominio para que no tengas que configurar de forma estática los endpoints de los servidores de catálogo global.

Preparar una cuenta de Cloud Identity o Google Workspace

En esta sección se describe cómo crear un usuario para GCDS. Para que GCDS pueda interactuar con la API Directory y la API Domain Shared Contacts de Cloud Identity y Google Workspace, la aplicación necesita una cuenta de usuario con privilegios de administrador.

Cuando te registraste en Cloud Identity o Google Workspace, ya creaste un usuario superadministrador. Aunque puedes usar este usuario para GCDS, es preferible crear un usuario independiente que se utilice exclusivamente para Cloud Directory Sync:

  1. Abre la consola de administración e inicia sesión con el usuario superadministrador que creaste al registrarte en Cloud Identity o Google Workspace.
  2. En el menú, haz clic en Directorio > Usuarios y, a continuación, en Añadir usuario para crear un usuario.

  3. Proporciona un nombre y una dirección de correo adecuados, como los siguientes:

    1. Nombre: Google Cloud
    2. Apellidos: Directory Sync
    3. Correo principal: cloud-directory-sync

    Conserva el dominio principal en la dirección de correo, aunque no corresponda al bosque desde el que estás aprovisionando.

  4. Asegúrate de que la opción Generar automáticamente una contraseña nueva esté desactivada y escribe una contraseña.

  5. Comprueba que la opción Solicitar un cambio de contraseña la próxima vez que se inicie sesión esté inhabilitada.

  6. Haz clic en Añadir usuario nuevo.

  7. Haz clic en Listo.

Para que GCDS pueda crear, enumerar y eliminar cuentas de usuario y grupos, el usuario necesita privilegios adicionales. Además, es recomendable excluir al usuario del inicio de sesión único. De lo contrario, es posible que no puedas volver a autorizar GCDS si tienes problemas con el inicio de sesión único. Para ello, puedes asignar el rol de superadministrador al usuario:

  1. Busca el usuario que acabas de crear en la lista y ábrelo.
  2. En Privilegios y roles de administrador, haz clic en Asignar roles.
  3. Habilita el rol Superadministrador.
  4. Haz clic en Guardar.

Configurar el aprovisionamiento de usuarios

En las siguientes secciones se describe cómo configurar el aprovisionamiento de usuarios.

Crear un usuario de Active Directory para GCDS

Para que GCDS pueda obtener información sobre usuarios y grupos de Active Directory, también necesita un usuario de dominio con acceso suficiente. En lugar de reutilizar un usuario de Windows, crea un usuario específico para GCDS:

Interfaz gráfica

  1. Abre el complemento MMC Usuarios y equipos de Active Directory desde el menú Inicio.
  2. Ve al dominio y a la unidad organizativa en los que quieras crear el usuario. Si hay varios dominios en tu bosque, crea el usuario en el mismo dominio que el equipo de GCDS.
  3. Haz clic con el botón derecho en el panel de la derecha y selecciona Nuevo > Usuario.
  4. Proporciona un nombre y una dirección de correo adecuados, como los siguientes:
    1. Nombre: Google Cloud
    2. Apellidos: Directory Sync
    3. Nombre de inicio de sesión del usuario: gcds
    4. Nombre de inicio de sesión del usuario (anterior a Windows 2000): gcds
  5. Haz clic en Siguiente.
  6. Proporciona una contraseña que cumpla tu política de contraseñas.
  7. Desmarca El usuario debe cambiar la contraseña en el siguiente inicio de sesión.
  8. Selecciona La contraseña no caduca nunca.
  9. Haz clic en Siguiente y, a continuación, en Finalizar.

PowerShell

  1. Abre una consola de PowerShell como administrador.

  2. Para crear un usuario, ejecuta el siguiente comando:

     New-ADUser -Name "Google Cloud Directory Sync" `
    -GivenName "Google Cloud" `
    -Surname "Directory Sync" `
    -SamAccountName "gcds" `
    -UserPrincipalName (-Join("gcds@",(Get-ADDomain).DNSRoot)) `
    -AccountPassword(Read-Host -AsSecureString "Type password for User") `
    -Enabled $True

Ahora tienes los requisitos previos para instalar GCDS.

Instalar GCDS

En el equipo en el que vayas a ejecutar GCDS, descarga y ejecuta el instalador de GCDS. En lugar de usar un navegador para descargar el instalador, puedes usar el siguiente comando de PowerShell:

(New-Object net.webclient).DownloadFile("https://dl.google.com/dirsync/dirsync-win64.exe", "$(pwd)\dirsync-win64.exe")

Una vez completada la descarga, puedes iniciar el asistente de instalación ejecutando el siguiente comando:

.\dirsync-win64.exe

Si ya has instalado GCDS, puedes actualizar GCDS para asegurarte de que utilizas la versión más reciente.

Crear una carpeta para la configuración de GCDS

GCDS almacena su configuración en un archivo XML. Como esta configuración incluye un token de actualización de OAuth que GCDS usa para autenticarse en Google, asegúrate de proteger correctamente la carpeta que se usa para la configuración.

Además, como GCDS no requiere acceso a recursos locales que no sean esta carpeta, puedes configurar GCDS para que se ejecute como un usuario limitado, LocalService:

  1. En el equipo en el que hayas instalado GCDS, inicia sesión como administrador local.
  2. Abre una consola de PowerShell con privilegios de administrador.

  3. Ejecuta los siguientes comandos para crear una carpeta llamada $Env:ProgramData\gcds donde se almacenará la configuración y para aplicar una lista de control de acceso (ACL) de forma que solo GCDS y los administradores tengan acceso:

    $gcdsDataFolder = "$Env:ProgramData\gcds"
New-Item -ItemType directory -Path  $gcdsDataFolder
&icacls "$gcdsDataFolder" /inheritance:r
&icacls "$gcdsDataFolder" /grant:r "CREATOR OWNER:(OI)(CI)F" /T
&icacls "$gcdsDataFolder" /grant   "BUILTIN\Administrators:(OI)(CI)F" /T
&icacls "$gcdsDataFolder" /grant   "Domain Admins:(OI)(CI)F" /T
&icacls "$gcdsDataFolder" /grant   "LOCAL SERVICE:(OI)(CI)F" /T

  4. Para determinar la ubicación de la carpeta ProgramData, ejecuta el comando Write-Host $Env:ProgramData. En las versiones en inglés de Windows, esta ruta suele ser c:\ProgramData. Necesitarás esta ruta más adelante.

Conectar con Google

Ahora usarás el gestor de configuración para preparar la configuración de GCDS. En estos pasos se da por hecho que ejecutas el gestor de configuración en el mismo servidor en el que tienes previsto ejecutar GCDS.

Si usas otro equipo para ejecutar Configuration Manager, asegúrate de copiar el archivo de configuración en el servidor de GCDS después. Ten en cuenta que es posible que no puedas probar la configuración en otro ordenador.

  1. Abre Configuration Manager. Puedes encontrar Configuration Manager en el menú Inicio de Windows, en Google Cloud Directory Sync > Configuration Manager.

  2. Haz clic en Google Domain Configuration > Connection Settings (Configuración del dominio de Google > Ajustes de conexión).

    Configuración del dominio de Google > Configuración de la conexión

  3. Autoriza GCDS y configura los ajustes del dominio.

  4. En el menú, haz clic en Archivo > Guardar como.

  5. En el cuadro de diálogo de archivos, escribe PROGRAM_DATA\gcds\config.xml como nombre de archivo. Sustituye PROGRAM_DATA por la ruta de la carpeta ProgramData que devolvió el comando de PowerShell cuando lo ejecutaste anteriormente.

  6. Haz clic en Guardar y, a continuación, en Aceptar.

Conectarse a Active Directory

El siguiente paso es configurar GCDS para que se conecte a Active Directory:

  1. En el gestor de configuración, haz clic en Configuración de LDAP > Configuración de conexión.
  2. Configura los ajustes de conexión de LDAP:
    1. Tipo de servidor: selecciona MS Active Directory.
    2. Tipo de conexión: selecciona LDAP estándar o LDAP+SSL.
    3. Nombre de host: introduce el nombre de un servidor de GC. Este ajuste solo se usa para hacer pruebas. Más adelante, automatizarás la detección del servidor de GC.
    4. Puerto: 3268 (GC) o 3269 (GC sobre SSL). Usar un servidor GC en lugar de un controlador de dominio te ayuda a asegurarte de que puedes aprovisionar usuarios de todos los dominios de tu bosque de Active Directory. Además, comprueba que la autenticación funciona después de aplicar la actualización de Microsoft ADV190023.
    5. Tipo de autenticación: Simple.
    6. Usuario autorizado: introduce el nombre principal de usuario (UPN) del usuario del dominio que has creado anteriormente: gcds@UPN_SUFFIX_DOMAIN. Sustituye UPN_SUFFIX_DOMAIN por el dominio de sufijo de UPN adecuado para el usuario. También puede especificar el usuario con la sintaxis NETBIOS_DOMAIN_NAME\gcds.
    7. Nombre de dominio base: deja este campo vacío para asegurarte de que las búsquedas se realicen en todos los dominios del bosque.
  3. Para verificar los ajustes, haz clic en Probar conexión. Si la conexión falla, comprueba que hayas especificado el nombre de host de un servidor de GC y que el nombre de usuario y la contraseña sean correctos.
  4. Haz clic en Cerrar.

Decide qué quieres aprovisionar

Ahora que has conectado GCDS correctamente, puedes decidir qué elementos quieres aprovisionar:

  1. En el gestor de configuración, haz clic en General Settings (Ajustes generales).
  2. Asegúrate de que la opción Cuentas de usuario esté seleccionada.
  3. Si quieres aprovisionar grupos, asegúrate de que la opción Grupos esté seleccionada. De lo contrario, desmarca la casilla.
  4. La sincronización de unidades organizativas no se incluye en esta guía, así que no selecciones Unidades organizativas.
  5. Deja sin seleccionar Perfiles de usuario y Esquemas personalizados.

Para obtener más información, consulta Decidir qué aprovisionar.

Aprovisionar usuarios

Para aprovisionar usuarios, debes configurar cómo se asignan los usuarios entre Active Directory:

  1. En Configuration Manager, haga clic en User Accounts (Cuentas de usuario) > Additional User Attributes (Atributos de usuario adicionales).
  2. Haz clic en Usar valores predeterminados para rellenar automáticamente los atributos Nombre y Apellidos con givenName y sn, respectivamente.

El resto de los ajustes dependen de si quieres usar el UPN o la dirección de correo para asignar Active Directory a los usuarios de Cloud Identity o Google Workspace, y de si necesitas aplicar sustituciones de nombres de dominio. Si no sabes qué opción es la más adecuada para ti, consulta el artículo sobre cómo se puede ampliar la gestión de identidades de Active Directory Google Cloud.

UPN

  1. En Configuration Manager, haz clic en User Accounts > User Attributes (Cuentas de usuario > Atributos de usuario).
  2. Haz clic en Usar valores predeterminados.
  3. Cambia Email Address Attribute (Atributo de dirección de correo) por userPrincipalName.
  4. Haz clic en proxyAddresses > Remove si no quieres sincronizar las direcciones de alias.
  5. Haga clic en la pestaña Reglas de búsqueda y, a continuación, en Añadir regla de búsqueda.

  6. Introduce los siguientes ajustes:

    1. Ámbito: subárbol

    2. Regla:

      (&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(!(userPrincipalName=gcds@*)))

      Esta regla coincide con todos los usuarios que no están inhabilitados, pero ignora las cuentas de servicio gestionadas y de ordenador, así como la cuenta de usuario gcds.

    3. DN base: déjalo en blanco para buscar en todos los dominios del bosque.

  7. Haz clic en Aceptar para crear la regla.

UPN: sustitución de dominio

  1. En el gestor de configuración, haz clic en la pestaña User Accounts (Cuentas de usuario) > User Attributes (Atributos de usuario).
  2. Haz clic en Usar valores predeterminados.
  3. Cambia Email Address Attribute (Atributo de dirección de correo electrónico) por userPrincipalName.
  4. Haz clic en proxyAddresses > Remove si no quieres sincronizar las direcciones de alias.
  5. Haga clic en la pestaña Reglas de búsqueda y, a continuación, en Añadir regla de búsqueda.

  6. Introduce los siguientes ajustes:

    1. Ámbito: subárbol

    2. Regla:

      (&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(!(userPrincipalName=gcds@*)))

      Esta regla coincide con todos los usuarios que no están inhabilitados, pero ignora las cuentas de servicio gestionadas y de ordenador, así como la cuenta de usuario gcds.

    3. Nombre de dominio base: déjalo en blanco para buscar en todos los dominios del bosque.

  7. Haz clic en Aceptar para crear la regla.

  8. Haz clic en Configuración del dominio de Google > Configuración de la conexión y selecciona Sustituir los nombres de dominio de las direcciones de correo electrónico de LDAP por este nombre de dominio.

Correo electrónico

  1. En Configuration Manager, haz clic en User Accounts (Cuentas de usuario) > User Attributes (Atributos de usuario).
  2. Haz clic en Usar valores predeterminados.
  3. Haga clic en la pestaña Reglas de búsqueda y, a continuación, en Añadir regla de búsqueda.

  4. Introduce los siguientes ajustes:

    1. Ámbito: subárbol

    2. Regla:

      (&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

      Esta regla coincide con todos los usuarios no inhabilitados que tengan una dirección de correo electrónico no vacía, pero ignora las cuentas de servicio gestionadas y de ordenador.

    3. DN base: déjalo en blanco para buscar en todos los dominios del bosque.

  5. Haz clic en Aceptar para crear la regla.

Correo: sustitución de dominio

  1. En Configuration Manager, haz clic en User Accounts (Cuentas de usuario) > User Attributes (Atributos de usuario).
  2. Haz clic en Usar valores predeterminados.
  3. Haz clic en proxyAddresses > Remove si no quieres sincronizar las direcciones de alias.
  4. Haga clic en la pestaña Reglas de búsqueda y, a continuación, en Usar valores predeterminados.
  5. Haz clic en Configuración del dominio de Google > Configuración de la conexión y selecciona Sustituir los nombres de dominio de las direcciones de correo electrónico de LDAP por este nombre de dominio.

Para obtener más información sobre la asignación de atributos de usuario, consulta el artículo Configurar la sincronización con el gestor de configuración.

Política de eliminación

Hasta ahora, la configuración se ha centrado en añadir y actualizar usuarios en Cloud Identity o Google Workspace. Sin embargo, también es importante que los usuarios que estén inhabilitados o eliminados en Active Directory se suspendan o eliminen en Cloud Identity o Google Workspace.

Como parte del proceso de aprovisionamiento, GCDS genera una lista de usuarios de Cloud Identity o Google Workspace que no tienen coincidencias en los resultados de la consulta LDAP de Active Directory. Como la consulta LDAP incorpora la cláusula (!(userAccountControl:1.2.840.113556.1.4.803:=2)), se incluirán en esta lista todos los usuarios que se hayan inhabilitado o eliminado en Active Directory desde la última vez que se realizó el aprovisionamiento. El comportamiento predeterminado de GCDS es eliminar estos usuarios en Cloud Identity o Google Workspace, pero puedes personalizarlo:

  1. En Configuration Manager, haz clic en User Accounts > User Attributes (Cuentas de usuario > Atributos de usuario).
  2. En Google Domain Users Deletion/Suspension Policy (Política de suspensión/eliminación de usuarios del dominio de Google), asegúrate de que la opción Don't suspend or delete Google domain admins not found in LDAP (No suspender ni eliminar administradores del dominio de Google no encontrados en LDAP) esté marcada. Este ajuste asegura que GCDS no suspenda ni elimine la cuenta de superadministrador que has usado para configurar tu cuenta de Cloud Identity o Google Workspace.
  3. Si quieres, cambia la política de eliminación para los usuarios que no sean administradores.

Si usas varias instancias independientes de GCDS para aprovisionar diferentes dominios o bosques en una sola cuenta de Cloud Identity o Google Workspace, asegúrate de que las diferentes instancias de GCDS no interfieran entre sí. De forma predeterminada, los usuarios de Cloud Identity o Google Workspace que se hayan aprovisionado desde otra fuente se identificarán erróneamente en Active Directory como eliminados. Para evitar esta situación, puedes mover todos los usuarios que estén fuera del ámbito del dominio o del bosque que estés aprovisionando a una sola unidad organizativa y, a continuación, excluirla.

  1. En el gestor de configuración, haz clic en Google Domain Configuration (Configuración del dominio de Google) > Exclusion Rules (Reglas de exclusión).
  2. Haz clic en Add Exclusion Rule (Añadir regla de exclusión).

  3. Configura las siguientes configuraciones:

    1. Tipo: Ruta completa de la organización
    2. Tipo de concordancia: Concordancia exacta

    3. Regla de exclusión: introduce la ruta de la unidad organizativa y su nombre. Por ejemplo:

      ROOT OU/EXCLUDED OU

      Sustituye ROOT OU/EXCLUDED OU por la ruta de la UO y el nombre de la UO excluida.

  4. Haz clic en Aceptar para crear la regla.

Si no te conviene excluir una sola unidad organizativa, puedes excluir un dominio o un bosque en función de las direcciones de correo de los usuarios.

UPN

  1. En el gestor de configuración, haz clic en Configuración del dominio de Google > Reglas de exclusión.
  2. Haz clic en Add Exclusion Rule (Añadir regla de exclusión).

  3. Configura las siguientes configuraciones:

    1. Tipo: Dirección de correo electrónico del usuario
    2. Tipo de coincidencia: Expresión regular

    3. Regla de exclusión: si usas un solo dominio de sufijo de UPN, introduce la siguiente expresión regular:

      .*@((?!UPN_SUFFIX_DOMAIN).*)$
       Sustituye UPN_SUFFIX_DOMAIN por el dominio de sufijo de tu UPN, como en este ejemplo: 
      .*@((?!corp.example.com).*)$

      Si usas más de un dominio de sufijo UPN, amplía la expresión como se muestra a continuación:

      .*@((?!corp.example.com|branch.example.com).*)$

  4. Haz clic en Aceptar para crear la regla.

UPN: sustitución de dominio

  1. En el gestor de configuración, haz clic en Google Domain Configuration (Configuración del dominio de Google) > Exclusion Rules (Reglas de exclusión).
  2. Haz clic en Add Exclusion Rule (Añadir regla de exclusión).

  3. Configura las siguientes configuraciones:

    1. Tipo: Dirección de correo electrónico del usuario
    2. Tipo de coincidencia: Expresión regular

    3. Regla de exclusión: si usas un solo dominio de sufijo de UPN, introduce la siguiente expresión regular:

      .*@((?!SUBSTITUTION_DOMAIN).*)$

      Sustituye SUBSTITUTION_DOMAIN por el dominio que quieras usar para sustituir el dominio del sufijo UPN, como en este ejemplo:

      .*@((?!corp.example.com).*)$

  4. Haz clic en Aceptar para crear la regla.

Correo electrónico

  1. En el gestor de configuración, haz clic en Google Domain Configuration (Configuración del dominio de Google) > Exclusion Rules (Reglas de exclusión).
  2. Haz clic en Add Exclusion Rule (Añadir regla de exclusión).

  3. Configura las siguientes configuraciones:

    1. Tipo: Dirección de correo electrónico del usuario
    2. Tipo de coincidencia: Expresión regular

    3. Regla de exclusión: si usas un solo dominio de sufijo de UPN, introduce la siguiente expresión regular:

      .*@((?!MX_DOMAIN).*)$

      Sustituye MX_DOMAIN por el nombre de dominio que usas en las direcciones de correo, como en este ejemplo:

      .*@((?!corp.example.com).*)$

      Si usas más de un dominio de sufijo UPN, amplía la expresión como se muestra a continuación:

      .*@((?!corp.example.com|branch.example.com).*)$

  4. Haz clic en Aceptar para crear la regla.

Correo: sustitución de dominio

  1. En el gestor de configuración, haz clic en Configuración del dominio de Google > Reglas de exclusión.
  2. Haz clic en Add Exclusion Rule (Añadir regla de exclusión).

  3. Configura las siguientes configuraciones:

    1. Tipo: Dirección de correo electrónico del usuario
    2. Tipo de coincidencia: Expresión regular

    3. Regla de exclusión: si usas un solo dominio de sufijo de UPN, introduce la siguiente expresión regular:

      .*@((?!SUBSTITUTION_DOMAIN).*)$

      Sustituye SUBSTITUTION_DOMAIN por el dominio que quieras usar para sustituir el dominio de correo, como en este ejemplo:

      .*@((?!corp.example.com).*)$

  4. Haz clic en Aceptar para crear la regla.

Para obtener más información sobre los ajustes de eliminación y suspensión, consulta Más información sobre las opciones del gestor de configuración.

Aprovisionar grupos

El siguiente paso es configurar cómo se asignan los grupos entre Active Directory y Cloud Identity o Google Workspace. Este proceso varía en función de si quieres asignar grupos por nombre común o por dirección de correo.

Configurar asignaciones de grupos por nombre común

Primero, debes identificar los tipos de grupos de seguridad que quieres aprovisionar y, a continuación, formular una consulta LDAP adecuada. En la siguiente tabla se incluyen consultas habituales que puedes usar.

Tipo Consulta LDAP
Grupos locales de dominio (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483652))
Grupos globales (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483650))
Grupos universales (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483656))
Grupos globales y universales (&(objectCategory=group)(|(groupType:1.2.840.113556.1.4.803:=2147483650)(groupType:1.2.840.113556.1.4.803:=2147483656)))
Todos los grupos (objectCategory=group)

La consulta de grupos globales también abarca los grupos definidos en Active Directory, como los controladores de dominio. Puedes filtrar estos grupos restringiendo la búsqueda por unidad organizativa (ou).

El resto de los ajustes dependen de si quieres usar el UPN o la dirección de correo para asignar Active Directory a los usuarios de Cloud Identity o Google Workspace.

UPN

  1. En el gestor de configuración, haz clic en Grupos > Reglas de búsqueda.
  2. Haga clic en Usar valores predeterminados para añadir dos reglas predeterminadas.
  3. Haz clic en el icono de edición de la primera regla.
  4. Edita Rule (Regla) para sustituir la consulta LDAP.
  5. En el cuadro Grupos, introduce los siguientes ajustes:
    1. Group Email Address Attribute (Atributo de dirección de correo de grupo): cn
    2. Atributo de dirección de correo del usuario: userPrincipalName
  6. Haga clic en la pestaña Prefijo-sufijo.

  7. En el cuadro Dirección de correo del grupo, introduce los siguientes ajustes:

    1. Sufijo: @PRIMARY_DOMAIN, donde debe sustituir @PRIMARY_DOMAIN por el dominio principal de su cuenta de Cloud Identity o Google Workspace. Aunque este ajuste parezca redundante porque GCDS añade el dominio automáticamente, debes especificarlo de forma explícita para evitar que varias instancias de GCDS borren miembros de grupos que no hayan añadido.

      Ejemplo: @example.com

    2. Haz clic en Aceptar.

  8. Haga clic en el icono de cruz de la segunda regla para eliminarla.

Correo electrónico

  1. En el gestor de configuración, haz clic en Grupos > Reglas de búsqueda.
  2. Haz clic en Usar valores predeterminados para añadir un par de reglas predeterminadas.
  3. Haz clic en el icono de edición de la primera regla.
  4. Edita Rule (Regla) para sustituir la consulta LDAP.
  5. En el cuadro Grupos, edita Atributo de dirección de correo del grupo para introducir el ajuste cn.
  6. Haz clic en Aceptar.

La misma configuración se aplica si has usado la sustitución de dominio al asignar usuarios.

Configurar asignaciones de grupos por dirección de correo

Primero, debes identificar los tipos de grupos de seguridad que quieres aprovisionar y, a continuación, formular una consulta LDAP adecuada. En la siguiente tabla se incluyen consultas habituales que puedes usar.

Tipo Consulta LDAP
Grupos locales de dominio con dirección de correo (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483652)(mail=*))
Grupos globales con dirección de correo (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483650)(mail=*))
Grupos universales con dirección de correo (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483656)(mail=*))
Grupos globales y universales con dirección de correo (&(objectCategory=group)(|(groupType:1.2.840.113556.1.4.803:=2147483650)(groupType:1.2.840.113556.1.4.803:=2147483656))(mail=*))
Todos los grupos con dirección de correo (&(objectCategory=group)(mail=*))

El resto de los ajustes dependen de si quieres usar el UPN o la dirección de correo para asignar Active Directory a los usuarios de Cloud Identity o Google Workspace.

UPN

  1. En el gestor de configuración, haz clic en Grupos > Reglas de búsqueda.
  2. Haga clic en Usar valores predeterminados para añadir dos reglas predeterminadas.
  3. Haz clic en el icono de edición de la primera regla.
  4. Edita Rule (Regla) para sustituir la consulta LDAP.
  5. En el cuadro Grupos, edita Atributo de nombre de correo de usuario para introducir el ajuste userPrincipalName.
  6. Haz clic en Aceptar.
  7. Haga clic en el icono de cruz de la segunda regla para eliminarla.

Correo electrónico

  1. En el gestor de configuración, haz clic en Grupos > Reglas de búsqueda.
  2. Haz clic en Usar valores predeterminados para añadir un par de reglas predeterminadas.
  3. Haz clic en el icono de edición de la primera regla.
  4. Edita Rule (Regla) para sustituir la consulta LDAP.
  5. Haz clic en Aceptar.
  6. Haz clic en el icono de cruz de la segunda regla para eliminarla.

Si has habilitado la opción Sustituir nombres de dominio de las direcciones de correo LDAP por este nombre de dominio, también se aplica a las direcciones de correo de los grupos y los miembros.

Política de eliminación

GCDS gestiona la eliminación de grupos de forma similar a la eliminación de usuarios. Si usas varias instancias independientes de GCDS para aprovisionar diferentes dominios o bosques en una sola cuenta de Cloud Identity o Google Workspace, asegúrate de que las distintas instancias de GCDS no interfieran entre sí.

De forma predeterminada, un miembro de un grupo de Cloud Identity o Google Workspace que se haya aprovisionado desde otra fuente se identificará erróneamente en Active Directory como si se hubiera eliminado. Para evitar esta situación, configura GCDS para que ignore todos los miembros de grupos que estén fuera del ámbito del dominio o del bosque desde el que estés aprovisionando.

UPN

  1. Haz clic en Configuración del dominio de Google > Reglas de exclusión.
  2. Haz clic en Add Exclusion Rule (Añadir regla de exclusión).

  3. Configura las siguientes configuraciones:

    1. Tipo: Dirección de correo electrónico del miembro del grupo
    2. Tipo de coincidencia: Expresión regular

    3. Regla de exclusión: si usas un solo dominio de sufijo de UPN, introduce la siguiente expresión regular:

      .*@((?!UPN_SUFFIX_DOMAIN).*)$

      Sustituye UPN_SUFFIX_DOMAIN por el dominio de sufijo de tu UPN, como en el siguiente ejemplo:

      .*@((?!corp.example.com).*)$

      Si usas más de un dominio de sufijo UPN, amplía la expresión como se muestra a continuación:

      .*@((?!corp.example.com|branch.example.com).*)$

  4. Haz clic en Aceptar para crear la regla.

UPN: sustitución de dominio

  1. Haz clic en Configuración del dominio de Google > Reglas de exclusión.
  2. Haz clic en Add Exclusion Rule (Añadir regla de exclusión).

  3. Configura las siguientes configuraciones:

    1. Tipo: Dirección de correo electrónico del miembro del grupo
    2. Tipo de coincidencia: Expresión regular

    3. Regla de exclusión: si usas un solo dominio de sufijo de UPN, introduce la siguiente expresión regular:

      .*@((?!SUBSTITUTION_DOMAIN).*)$

      Sustituye SUBSTITUTION_DOMAIN por el dominio que quieras usar para sustituir el dominio del sufijo UPN, como en este ejemplo:

      .*@((?!corp.example.com).*)$

  4. Haz clic en Aceptar para crear la regla.

Correo electrónico

  1. Haz clic en Configuración del dominio de Google > Reglas de exclusión.
  2. Haz clic en Add Exclusion Rule (Añadir regla de exclusión).

  3. Configura las siguientes configuraciones:

    1. Tipo: Dirección de correo electrónico del miembro del grupo
    2. Tipo de coincidencia: Expresión regular

    3. Regla de exclusión: si usas un solo dominio de sufijo de UPN, introduce la siguiente expresión regular:

      .*@((?!MX_DOMAIN).*)$

      Sustituye MX_DOMAIN por el nombre de dominio que usas en las direcciones de correo, como en el siguiente ejemplo:

      .*@((?!corp.example.com).*)$

      Si usas más de un dominio de sufijo UPN, amplía la expresión como se muestra a continuación:

      .*@((?!corp.example.com|branch.example.com).*)$

  4. Haz clic en Aceptar para crear la regla.

Correo: sustitución de dominio

  1. Haz clic en Configuración del dominio de Google > Reglas de exclusión.
  2. Haz clic en Add Exclusion Rule (Añadir regla de exclusión).

  3. Configura las siguientes configuraciones:

    1. Tipo: Dirección de correo electrónico del miembro del grupo
    2. Tipo de coincidencia: Expresión regular

    3. Regla de exclusión: si usas un solo dominio de sufijo de UPN, introduce la siguiente expresión regular:

      .*@((?!SUBSTITUTION_DOMAIN).*)$

      Sustituye SUBSTITUTION_DOMAIN por el dominio que quieras usar para sustituir el dominio de correo, como en el siguiente ejemplo:

      .*@((?!corp.example.com).*)$

    4. Haz clic en Aceptar para crear la regla.

Para obtener más información sobre la configuración de grupos, consulta Más información sobre las opciones del gestor de configuración.

Configurar el registro y las notificaciones

Para mantener a los usuarios sincronizados, debes ejecutar GCDS de forma programada. Para que puedas hacer un seguimiento de la actividad de GCDS y de los posibles problemas, puedes controlar cómo y cuándo escribe GCDS su archivo de registro:

  1. En el gestor de configuración, haz clic en Logging (Registro).
  2. Asigna el valor PROGRAM_DATA\gcds\gcds_sync.#{timestamp}.log a Nombre de archivo. Sustituye PROGRAM_DATA por la ruta de la carpeta ProgramData que devolvió el comando de PowerShell cuando lo ejecutaste anteriormente.

  3. Haz clic en Archivo > Guardar para guardar los cambios de configuración en el disco y, a continuación, haz clic en Aceptar.

Además de registrar, GCDS puede enviar notificaciones por correo electrónico. Para activar este servicio, haz clic en Notificaciones y proporciona la información de conexión de tu servidor de correo.

Simular el aprovisionamiento de usuarios

Has completado la configuración de GCDS. Para verificar que la configuración funciona correctamente, primero debes guardar la configuración en el disco y, a continuación, simular una ejecución de aprovisionamiento de usuarios. Durante la simulación, GCDS no realizará ningún cambio en tu cuenta de Cloud Identity o Google Workspace, sino que informará de los cambios que realizaría durante una ejecución de aprovisionamiento normal.

  1. En el gestor de configuración, haz clic en Sincronizar.
  2. En la parte inferior de la pantalla, selecciona Borrar caché y, a continuación, haz clic en Simular sincronización.
  3. Una vez finalizado el proceso, consulta la sección Cambios propuestos del registro, que se muestra en la mitad inferior del cuadro de diálogo, y comprueba que no haya cambios no deseados, como la eliminación o la suspensión de usuarios o grupos.

Aprovisionamiento inicial de usuarios

Ahora puedes activar el aprovisionamiento inicial de usuarios:

Advertencias

  • Si activas el aprovisionamiento de usuarios, se harán cambios permanentes en los usuarios y grupos de tu cuenta de Cloud Identity o Google Workspace.
  • Si tienes un gran número de usuarios que aprovisionar, plantéate cambiar temporalmente la consulta LDAP para que solo coincida con un subconjunto de estos usuarios. Con este subconjunto de usuarios, puedes probar el proceso y ajustar la configuración si es necesario. Una vez que hayas validado los resultados correctamente, vuelve a cambiar la consulta LDAP y aprovisiona los usuarios restantes.
  • Evita modificar o eliminar repetidamente un gran número de usuarios al hacer pruebas, ya que estas acciones se pueden marcar como comportamiento inadecuado.

Activa una ejecución de aprovisionamiento de la siguiente manera:

  1. En el gestor de configuración, haz clic en Sincronizar.

  2. En la parte inferior de la pantalla, selecciona Borrar caché y, a continuación, haz clic en Sincronizar y aplicar cambios.

    Aparecerá un cuadro de diálogo que muestra el estado.

  3. Una vez que se haya completado el proceso, consulta el registro que se muestra en la mitad inferior del cuadro de diálogo:

    1. En Cambios de usuario correctos, comprueba que se haya creado al menos un usuario.
    2. En Failures (Fallos), compruebe que no se haya producido ningún fallo.

Programar aprovisionamiento

Para asegurarte de que los cambios realizados en Active Directory se propaguen a tu cuenta de Cloud Identity o de Google Workspace, configura una tarea programada que active una ejecución de aprovisionamiento cada hora:

  1. Abre una consola de PowerShell como administrador.

  2. Comprueba si el módulo de PowerShell de Active Directory está disponible en el sistema:

    import-module ActiveDirectory

    Si el comando falla, descarga e instala las herramientas de administración de servidores remotos y vuelve a intentarlo.

  3. En el Bloc de notas, crea un archivo, copia el siguiente contenido y guárdalo en %ProgramData%\gcds\sync.ps1. Cuando hayas terminado, cierra el archivo.

    [CmdletBinding()]
Param(
    [Parameter(Mandatory=$True)]
    [string]$config,

    [Parameter(Mandatory=$True)]
    [string]$gcdsInstallationDir
)

import-module ActiveDirectory

# Stop on error.
$ErrorActionPreference ="stop"

# Ensure it's an absolute path.
$rawConfigPath = [System.IO.Path]::Combine((pwd).Path, $config)

# Discover closest GC in current domain.
$dc = Get-ADDomainController -discover -Service "GlobalCatalog" -NextClosestSite
Write-Host ("Using GC server {0} of domain {1} as LDAP source" -f [string]$dc.HostName, $dc.Domain)

# Load XML and replace the endpoint.
$dom = [xml](Get-Content $rawConfigPath)
$ldapConfigNode = $dom.SelectSingleNode("//plugin[@class='com.google.usersyncapp.plugin.ldap.LDAPPlugin']/config")

# Tweak the endpoint.
$ldapConfigNode.hostname = [string]$dc.HostName
$ldapConfigNode.ldapCredMachineName = [string]$dc.HostName
$ldapConfigNode.port = "3268"   # Always use GC port

# Tweak the tsv files location
$googleConfigNode = $dom.SelectSingleNode("//plugin[@class='com.google.usersyncapp.plugin.google.GooglePlugin']/config")
$googleConfigNode.nonAddressPrimaryKeyMapFile = [System.IO.Path]::Combine((pwd).Path, "nonAddressPrimaryKeyFile.tsv")
$googleConfigNode.passwordTimestampFile = [System.IO.Path]::Combine((pwd).Path, "passwordTimestampCache.tsv")

# Save resulting config.
$targetConfigPath = $rawConfigPath + ".autodiscover"

$writer = New-Object System.IO.StreamWriter($targetConfigPath, $False, (New-Object System.Text.UTF8Encoding($False)))
$dom.Save($writer)
$writer.Close()

# Start provisioning.
Start-Process -FilePath "$gcdsInstallationDir\sync-cmd" `
    -Wait -ArgumentList "--apply --config ""$targetConfigPath"""

  4. El gestor de configuración ha creado una clave secreta para cifrar las credenciales en el archivo de configuración. Para asegurarte de que GCDS pueda seguir leyendo la configuración cuando se ejecute como tarea programada, ejecuta los siguientes comandos para copiar esa clave secreta de tu perfil al perfil de NT AUTHORITY\LOCAL SERVICE:

    New-Item -Path Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp -Force;
Copy-Item -Path Microsoft.PowerShell.Core\Registry::HKEY_CURRENT_USER\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp\util `
    -Destination Microsoft.PowerShell.Core\Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp\util

    Si los comandos fallan, asegúrate de haber iniciado la consola de PowerShell como administrador.

  5. Crea una tarea programada ejecutando los siguientes comandos. La tarea programada se activará cada hora e invocará la secuencia de comandos sync.ps1 como NT AUTHORITY\LOCAL SERVICE.

    $taskName = "Synchronize to Cloud Identity"
$gcdsDir = "$Env:ProgramData\gcds"

$action = New-ScheduledTaskAction -Execute 'PowerShell.exe' `
  -Argument "-ExecutionPolicy Bypass -NoProfile $gcdsDir\sync.ps1 -config $gcdsDir\config.xml -gcdsInstallationDir '$Env:Programfiles\Google Cloud Directory Sync'" `
  -WorkingDirectory $gcdsDir
$trigger = New-ScheduledTaskTrigger `
  -Once `
  -At (Get-Date) `
  -RepetitionInterval (New-TimeSpan -Minutes 60) `
  -RepetitionDuration (New-TimeSpan -Days (365 * 20))

$principal = New-ScheduledTaskPrincipal -UserID "NT AUTHORITY\LOCAL SERVICE" -LogonType ServiceAccount
Register-ScheduledTask -Action $action -Trigger $trigger -Principal $principal -TaskName $taskName

$task = Get-ScheduledTask -TaskName "$taskName"
$task.Settings.ExecutionTimeLimit = "PT12H"
Set-ScheduledTask $task

Para obtener más información, consulta Programar sincronizaciones automáticas.

Probar el aprovisionamiento de usuarios

Has completado la instalación y la configuración de GCDS, y la tarea programada activará una ejecución de aprovisionamiento cada hora.

Para activar una ejecución de aprovisionamiento manualmente, cambia a la consola de PowerShell y ejecuta el siguiente comando:

Start-ScheduledTask "Synchronize to Cloud Identity"

Limpieza

Para quitar GCDS, sigue estos pasos:

  1. Abre el Panel de control de Windows y haz clic en Programas > Desinstalar un programa.
  2. Selecciona Google Cloud Directory Sync y haz clic en Desinstalar o cambiar para iniciar el asistente de desinstalación. A continuación, sigue las instrucciones del asistente.

  3. Abre una consola de PowerShell y ejecuta el siguiente comando para eliminar la tarea programada:

    $taskName = "Synchronize to Cloud Identity"
Unregister-ScheduledTask -TaskName $taskName -Confirm:$False

  4. Ejecuta el siguiente comando para eliminar los archivos de configuración y de registro:

    Remove-Item -Recurse -Force "$Env:ProgramData\gcds"
Remove-Item -Recurse -Path Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp

Siguientes pasos