Neste documento, descrevemos como identificar e reconciliar contas de usuário órfãs.
Se você usa um provedor de identidade externo (IdP), a fonte autoritativa das identidades é externa ao Cloud Identity ou ao Google Workspace. Portanto, cada identidade no Cloud Identity ou no Google Workspace precisa ter uma contrapartida na fonte autoritativa externa. É possível que algumas das identidades na sua conta do Cloud Identity ou do Google Workspace não tenham uma contrapartida na sua fonte autoritativa externa. Nesse caso, elas são consideradas órfãs. As contas órfãs podem ocorrer nas seguintes circunstâncias:
- Um administrador do Cloud Identity ou do Google Workspace criou manualmente uma conta de usuário que tem uma identidade não correspondente
- Você migrou uma conta pessoal para o Cloud Identity ou para o Google Workspace, mas ela usa uma identidade que não corresponde a nenhuma identidade atual na fonte externa.
Antes de começar
Para reconciliar contas de usuário gerenciadas órfãs, você precisa atender aos seguintes pré-requisitos:
- Você identificou um plano de integração adequado e atendeu a todos os pré-requisitos para consolidar as contas de usuário atuais.
- Você criou uma conta do Cloud Identity ou do Google Workspace.
Processo
Para reconciliar contas de usuário órfãs, você precisa primeiro identificar quais contas de usuário são órfãs. Para cada conta de usuário, você precisa decidir como reconciliar melhor essa conta.
Identificar contas de usuário órfãs
Para encontrar contas de usuário órfãs, é preciso comparar as identidades delas no Cloud Identity ou no Google Workspace com as identidades reconhecidas pela sua fonte autoritativa.
Para fazer uma comparação, use a funcionalidade de exportação de uma conta do Google Workspace ou do Cloud Identity para ver uma lista das suas contas de usuário atuais:
- No Admin Console, acesse a página Usuários.
- Selecione Fazer o download de usuários.
- Selecione Todas as colunas de informações do usuário e as colunas selecionadas no momento.
Clique em Fazer download.
Após alguns minutos, dependendo do número de contas de usuário, você verá uma notificação de que o arquivo CSV de informações do usuário está pronto para download.
Clique em Fazer o download do CSV e salve o arquivo no disco local.
Se você usa o Active Directory ou o Azure Active Directory (Azure AD) como fonte autoritativa, siga estas etapas para comparar identidades:
Active Directory
- Faça login em uma estação de trabalho que tenha acesso ao Active Directory.
- Abra um console do PowerShell.
Defina uma variável para o local do arquivo que você fez download:
$GoogleUsersCsv="GOOGLE_PATH"
Substitua
GOOGLE_PATH
pelo caminho do arquivo CSV que você baixou anteriormente.Determine a lista de contas de usuário que não têm uma contrapartida no Active Directory:
$GoogleUsers = (Import-Csv -Path $GoogleUsersCsv -Header FirstName,LastName,Email | Select-Object -Skip 1) $LdapFilter = "(|{0})" -f (($GoogleUsers | Select-Object @{Name="Clause";Expression={"(userPrincipalName=$($_.Email))"}} | Select-Object -ExpandProperty Clause) -join "") $GoogleUsersWithMatch = Get-ADUser -LdapFilter $LdapFilter ` | Select-Object -ExpandProperty UserPrincipalName $GoogleUsers | Where-Object {$_.Email -NotIn $GoogleUsersWithMatch}
O comando compara o endereço de e-mail principal das contas de usuário no Cloud Identity ou no Google Workspace com o atributo
userPrincipalName
no Active Directory. Se você estiver usando um mapeamento diferente entre usuários do Active Directory e contas de usuário do Cloud Identity ou do Google Workspace, talvez seja necessário ajustar o comando.A saída é semelhante a esta:
FirstName LastName Email --------- -------- ----- Alice Admin admin@example.org Olly Orphaned olly@example.org Matty Mismatch matty@wrongsubdomain.example.org
Cada item listado na saída representa uma conta de usuário no Cloud Identity ou no Google Workspace que não tem uma contrapartida no Active Directory
Um resultado vazio indica que você não tem contas de usuário órfãs no Google Workspace ou no Cloud Identity.
Exclua o arquivo CSV do disco local.
Azure AD
- No Portal do Azure, acesse Usuários do Azure Active Directory.
- Clique em Fazer o download de usuários.
Digite um nome de arquivo e clique em Iniciar.
Aguarde até que o link Clique aqui para fazer o download seja exibido.
Dependendo do número de contas de usuário, pode levar alguns minutos para que a operação seja concluída.
Clique em Clique aqui para fazer o download e salve o arquivo no disco local.
Em uma estação de trabalho com o PowerShell instalado, abra um console do PowerShell.
Defina duas variáveis de ambiente:
$GoogleUsersCsv="GOOGLE_PATH" $AzureUsersCsv="AZURE_PATH"
Substitua
GOOGLE_PATH
eAZURE_PATH
pelos caminhos dos arquivos CSV que você fez o download anteriormente.Determine a lista de contas de usuário que não têm uma contrapartida no Active Directory:
$GoogleUsers = (Import-Csv -Path $GoogleUsersCsv -Header FirstName,LastName,Email | Select-Object -Skip 1) $AzureUsers = (Import-Csv -Path $AzureUsersCsv) $GoogleUsers | Where-Object {$_.Email -NotIn ($AzureUsers | Select-Object -ExpandProperty userPrincipalName)}
O comando compara o endereço de e-mail principal das contas de usuário no Cloud Identity ou no Google Workspace com o atributo
userPrincipalName
no Azure AD. Se você estiver usando um mapeamento diferente entre os usuários do Azure AD e as contas de usuário do Cloud Identity ou do Google Workspace, talvez seja necessário ajustar o comando.A resposta será semelhante a:
FirstName LastName Email --------- -------- ----- Alice Admin admin@example.org Olly Orphaned olly@example.org Matty Mismatch matty@wrongsubdomain.example.org
Cada item listado na saída representa uma conta de usuário no Cloud Identity ou no Google Workspace que não tem uma contrapartida no Active Directory
Um resultado vazio indica que você não tem nenhuma conta de usuário órfã no Google Workspace ou no Cloud Identity.
Exclua os dois arquivos CSV do disco local.
Reconciliar contas de usuário órfãs
Para reconciliar contas de usuário órfãs, você precisa analisar cada conta de usuário para determinar por que a identidade dela não tem uma contrapartida no sistema de fonte autoritativa.
Se você achar que uma conta de usuário está obsoleta, verifique se alguma configuração ou dados associados à conta precisam ser preservados:
- Para manter os dados atuais do Google Drive, transfira os dados para outro usuário.
- Se você não quiser manter as configurações ou os dados atuais, exclua a conta de usuário.
- Para reter a conta de usuário temporariamente, suspenda-a e
altere o endereço de e-mail principal dela para um endereço que dificilmente
causará uma colisão.
Por exemplo, renomeie
olly.obsolete@example.com
comoobsolete-2019-11-10-olly.obsolete@example.com
.
Para cada conta de usuário que ainda seja válida, tente corrigir o endereço de e-mail principal para que ele corresponda a uma identidade na sua fonte autoritativa. Isso pode exigir o seguinte:
- Alterar o domínio do endereço de e-mail principal.
- Trocar o endereço de e-mail principal e um endereço de alias.
- Corrigir letras maiúsculas e minúsculas ou a ortografia do endereço de e-mail principal (por exemplo, adicionar ou remover pontos).
Práticas recomendadas
Indicamos as seguintes práticas recomendadas ao reconciliar contas de usuário gerenciadas:
- Se você migrar contas pessoais para o Cloud Identity ou o Google Workspace, repita o processo de reconciliação pelo menos uma vez para cada lote de contas de usuário que migrar.