Concilia cuentas de usuario administradas huérfanas

En este documento, se describe cómo identificar y conciliar cuentas de usuario huérfanas.

Si usas un proveedor de identidad externo (IdP), la fuente autorizada para las identidades es externa a Cloud Identity o G Suite. Por lo tanto, cada identidad en Cloud Identity o G Suite debe tener una contraparte en la fuente autorizada externa. Es posible que algunas de las identidades de tu cuenta de Cloud Identity o G Suite no tengan una contraparte en tu fuente autorizada externa; de ser así, estas cuentas de usuario se consideran huérfanas. Las cuentas huérfanas pueden ocurrir en las siguientes circunstancias:

  • Un administrador de Cloud Identity o G Suite creó de forma manual una cuenta de usuario que tiene una identidad no coincidente.
  • Migraste una cuenta personal a Cloud Identity o G Suite, pero la cuenta usa una identidad que no coincide con ninguna existente en la fuente externa.

Antes de comenzar

Para conciliar cuentas de usuario administradas huérfanas, debes cumplir los siguientes requisitos:

Proceso

Para conciliar cuentas de usuario huérfanas, primero debes identificar qué cuentas de usuario son huérfanas. Luego, debes decidir cuál es la mejor forma de conciliar cada cuenta de usuario.

Identifica cuentas de usuario huérfanas

A fin de encontrar cuentas de usuario huérfanas, debes comparar las identidades de las cuentas de usuario en Cloud Identity o G Suite con las que reconoce tu fuente autorizada.

Para realizar una comparación, puedes usar la funcionalidad de exportación de una cuenta de G Suite o Cloud Identity a fin de obtener una lista de tus cuentas de usuario actuales:

  1. En la Consola del administrador, dirígete a la página Usuarios.
  2. Selecciona Descargar usuarios.
  3. Selecciona Todas las columnas de información de los usuarios y las columnas seleccionadas actualmente.
  4. Haz clic en Descargar.

    Después de unos minutos, según la cantidad de cuentas de usuario que tengas, verás una notificación que indica que el archivo CSV de información de los usuarios está listo para descargarse.

  5. Haz clic en Descargar CSV y guarda el archivo en tu disco local.

Si usas Active Directory o Azure Active Directory (Azure AD) como fuente autorizada, sigue estos pasos para comparar las identidades:

Active Directory

  1. Accede a una estación de trabajo que tenga acceso a Active Directory.
  2. Abre una consola de PowerShell.
  3. Establece una variable en la ubicación del archivo descargado:

    $GoogleUsersCsv="GOOGLE_PATH"

    Reemplaza GOOGLE_PATH por la ruta de acceso al archivo CSV que descargaste antes.

  4. Determina la lista de cuentas de usuario que carecen de una contraparte en Active Directory:

    $GoogleUsers = (Import-Csv -Path $GoogleUsersCsv -Header FirstName,LastName,Email | Select-Object -Skip 1)
    $LdapFilter = "(|{0})" -f (($GoogleUsers | Select-Object @{Name="Clause";Expression={"(userPrincipalName=$($_.Email))"}} | Select-Object -ExpandProperty Clause) -join "")
    
    $GoogleUsersWithMatch = Get-ADUser -LdapFilter $LdapFilter `
        | Select-Object -ExpandProperty UserPrincipalName
    
    $GoogleUsers | Where-Object {$_.Email -NotIn $GoogleUsersWithMatch}
    

    El comando compara la dirección de correo electrónico principal de las cuentas de usuario en Cloud Identity o G Suite con el atributo userPrincipalName de Active Directory. Si usas una asignación diferente entre los usuarios de Active Directory y las cuentas de usuario de Cloud Identity o G Suite, es posible que debas ajustar el comando.

    El resultado es similar al siguiente ejemplo:

    FirstName LastName     Email
    --------- --------     -----
    Alice     Admin        admin@example.org
    Olly      Orphaned     olly@example.org
    Matty     Mismatch     matty@wrongsubdomain.example.org
    

    Cada elemento enumerado en el resultado representa una cuenta de usuario en Cloud Identity o G Suite que carece de una contraparte en Active Directory.

    Un resultado vacío indica que no tienes ninguna cuenta de usuario huérfana en G Suite o Cloud Identity.

  5. Borra el archivo CSV de tu disco local.

Azure AD

  1. En el Portal de Azure, dirígete a Azure Active Directory Users.
  2. Haz clic en Descargar usuarios.
  3. Ingresa un nombre de archivo y haz clic en Iniciar.

    Espera hasta que aparezca el vínculo Hacer clic aquí para descargar.

    Según la cantidad de cuentas de usuario que tengas, es posible que la operación demore unos minutos en completarse.

  4. Haz clic en Hacer clic aquí para descargar y guarda el archivo en tu disco local.

  5. En una estación de trabajo que tenga instalado PowerShell, abre una consola de PowerShell.

  6. Establece dos variables de entorno:

    $GoogleUsersCsv="GOOGLE_PATH"
    $AzureUsersCsv="AZURE_PATH"
    

    Reemplaza GOOGLE_PATH y AZURE_PATH por las rutas de los archivos CSV que descargaste antes.

  7. Determina la lista de cuentas de usuario que carecen de una contraparte en Active Directory:

    $GoogleUsers = (Import-Csv -Path $GoogleUsersCsv
        -Header FirstName,LastName,Email | Select-Object -Skip 1)
    
    $AzureUsers = (Import-Csv -Path $AzureUsersCsv)
    
    $GoogleUsers | Where-Object {$_.Email -NotIn ($AzureUsers | Select-Object -ExpandProperty userPrincipalName)}
    

    El comando compara la dirección de correo electrónico principal de las cuentas de usuario en Cloud Identity o G Suite con el atributo userPrincipalName de Azure AD. Si usas una asignación diferente entre los usuarios de Azure AD y las cuentas de usuario de Cloud Identity o G Suite, es posible que debas ajustar el comando.

    El resultado es similar a este:

    FirstName  LastName    Email
    ---------  --------    -----
    Alice      Admin       admin@example.org
    Olly       Orphaned    olly@example.org
    Matty      Mismatch    matty@wrongsubdomain.example.org
    

    Cada elemento enumerado en el resultado representa una cuenta de usuario en Cloud Identity o G Suite que carece de una contraparte en Active Directory.

    Un resultado vacío indica que no tienes ninguna cuenta de usuario huérfana en G Suite o Cloud Identity.

  8. Borra ambos archivos CSV de tu disco local.

Concilia cuentas de usuario huérfanas

Para conciliar cuentas de usuario huérfanas, debes analizar cada cuenta de usuario a fin de determinar por qué su identidad carece de una contraparte en tu sistema de fuente autorizada.

Si crees que una cuenta de usuario es obsoleta, verifica si vale la pena conservar algún parámetro de configuración o datos asociados con ella:

  • Para conservar los datos de Google Drive existentes, transfiere los datos a otro usuario.
  • Si no quieres conservar ningún parámetro de configuración o datos existentes, borra la cuenta de usuario.
  • Para conservar de forma temporal la cuenta de usuario, suspende la cuenta de usuario y cambia su dirección de correo electrónico principal por una que tenga pocas probabilidades de provocar una colisión. Por ejemplo, cambia el nombre de olly.obsolete@example.com a obsolete-2019-11-10-olly.obsolete@example.com.

Para cada cuenta de usuario que aún sea válida, intenta corregir la dirección de correo electrónico principal a fin de que coincida con una identidad en tu fuente autorizada. Esto puede requerir las siguientes acciones:

  • Cambiar el dominio de la dirección de correo electrónico principal
  • Cambiar la dirección de correo electrónico principal y una dirección de alias
  • Corregir la ortografía y las mayúsculas o minúsculas en la dirección de correo electrónico principal (por ejemplo, agregar o quitar puntos)

Prácticas recomendadas

Recomendamos las siguientes prácticas cuando concilies cuentas de usuario administradas:

  • Si migras cuentas personales a Cloud Identity o G Suite, repite el proceso de conciliación al menos una vez por cada lote de cuentas de usuario que migres.