Riconciliazione degli account utente gestiti orfani

Last reviewed 2023-02-27 UTC

Questo documento descrive come identificare e riconciliare gli account utente orfani.

Se utilizzi un provider di identità esterno (IdP), la fonte ufficiale delle identità è esterna a Cloud Identity o Google Workspace. Ogni identità in Cloud Identity o Google Workspace dovrebbe quindi avere una controparte nella fonte autorevole esterna. È possibile che alcune identità nel tuo account Cloud Identity o Google Workspace non abbiano una controparte nella tua fonte autorevole esterna; in questo caso, questi account utente sono considerati orfani. Gli account orfani possono verificarsi nei seguenti casi:

  • Un amministratore di Cloud Identity o Google Workspace ha creato manualmente un account utente con un'identità non corrispondente.
  • Hai eseguito la migrazione di un account consumer a Cloud Identity o Google Workspace, ma l'account utilizza un'identità che non corrisponde a nessuna identità esistente nell'origine esterna.

Prima di iniziare

Per riconciliare gli account utente orfani gestiti, è necessario soddisfare i seguenti prerequisiti:

Processo

Per riconciliare gli account utente orfani, devi innanzitutto identificare quali account utente sono orfani. Per ciascun account utente, devi decidere come riconciliare al meglio l'account.

Identificare gli account utente orfani

Per trovare gli account utente orfani, devi confrontare le identità degli account utente in Cloud Identity o Google Workspace con le identità riconosciute dalla tua fonte autorevole.

Per fare un confronto, puoi utilizzare la funzionalità di esportazione di un account Google Workspace o Cloud Identity per ottenere un elenco dei tuoi account utente attuali:

  1. Nella Console di amministrazione, vai alla pagina Utenti.
  2. Seleziona Scarica utenti.
  3. Seleziona Tutte le colonne di informazioni utente e le colonne attualmente selezionate.

  4. Fai clic su Scarica.

    Dopo alcuni minuti, a seconda del numero di account utente presenti, viene visualizzata una notifica che ti informa che il file CSV con le informazioni utente è pronto per essere scaricato.

  5. Fai clic su Scarica CSV e salva il file sul disco locale.

Se utilizzi Active Directory o Azure Active Directory (Azure AD) come origine autorevole, segui questi passaggi per confrontare le identità:

Active Directory

  1. Accedi a una workstation che ha accesso ad Active Directory.
  2. Apri una console di PowerShell.

  3. Imposta una variabile nella posizione del file scaricato:

    $GoogleUsersCsv="GOOGLE_PATH"

    Sostituisci GOOGLE_PATH con il percorso del file CSV che hai scaricato in precedenza.

  4. Determina l'elenco di account utente che non presentano una controparte in Active Directory:

    $GoogleUsers = (Import-Csv -Path $GoogleUsersCsv -Header FirstName,LastName,Email | Select-Object -Skip 1)
$LdapFilter = "(|{0})" -f (($GoogleUsers | Select-Object @{Name="Clause";Expression={"(userPrincipalName=$($_.Email))"}} | Select-Object -ExpandProperty Clause) -join "")

$GoogleUsersWithMatch = Get-ADUser -LdapFilter $LdapFilter `
    | Select-Object -ExpandProperty UserPrincipalName

$GoogleUsers | Where-Object {$_.Email -NotIn $GoogleUsersWithMatch}

    Il comando confronta l'indirizzo email principale degli account utente in Cloud Identity o Google Workspace con l'attributo userPrincipalName in Active Directory. Se utilizzi una mappatura diversa tra gli utenti di Active Directory e gli account utente di Cloud Identity o Google Workspace, potrebbe essere necessario modificare il comando.

    L'output è simile a questo:

    FirstName LastName     Email
--------- --------     -----
Alice     Admin        admin@example.org
Olly      Orphaned     olly@example.org
Matty     Mismatch     matty@wrongsubdomain.example.org

    Ogni elemento elencato nell'output rappresenta un account utente in Cloud Identity o Google Workspace privo di controparte in Active Directory.

    Un risultato vuoto indica che non hai account utente orfani in Google Workspace o Cloud Identity.

  5. Elimina il file CSV dal disco locale.

Azure AD

  1. Nel portale di Azure, vai a Utenti di Active Directory di Azure.
  2. Fai clic su Scarica utenti.

  3. Inserisci un nome file e fai clic su Avvia.

    Attendi finché non viene visualizzato il link Fai clic qui per scaricare.

    A seconda del numero di account utente di cui disponi, il completamento dell'operazione potrebbe richiedere alcuni minuti.

  4. Fai clic su Fai clic qui per scaricare e salva il file sul disco locale.

  5. Su una workstation in cui è installato PowerShell, apri una console di PowerShell.

  6. Imposta due variabili di ambiente:

    $GoogleUsersCsv="GOOGLE_PATH"
$AzureUsersCsv="AZURE_PATH"

    Sostituisci GOOGLE_PATH e AZURE_PATH con i percorsi dei file CSV che hai scaricato in precedenza.

  7. Determina l'elenco di account utente che non presentano una controparte in Active Directory:

    $GoogleUsers = (Import-Csv -Path $GoogleUsersCsv
    -Header FirstName,LastName,Email | Select-Object -Skip 1)

$AzureUsers = (Import-Csv -Path $AzureUsersCsv)

$GoogleUsers | Where-Object {$_.Email -NotIn ($AzureUsers | Select-Object -ExpandProperty userPrincipalName)}

    Il comando confronta l'indirizzo email principale degli account utente in Cloud Identity o Google Workspace con l'attributo userPrincipalName in Azure AD. Se utilizzi una mappatura diversa tra gli utenti di Azure AD e gli account utente di Cloud Identity o Google Workspace, potresti dover modificare il comando.

    L'output è simile al seguente:

    FirstName  LastName    Email
---------  --------    -----
Alice      Admin       admin@example.org
Olly       Orphaned    olly@example.org
Matty      Mismatch    matty@wrongsubdomain.example.org

    Ogni elemento elencato nell'output rappresenta un account utente in Cloud Identity o Google Workspace privo di controparte in Active Directory.

    Un risultato vuoto indica che non hai account utente orfani in Google Workspace o Cloud Identity.

  8. Elimina entrambi i file CSV dal disco locale.

Riconciliare gli account utente orfani

Per riconciliare gli account utente orfani, devi analizzare ciascun account utente per determinare perché la sua identità non abbia una controparte nel tuo sistema di origine autorevole.

Se ritieni che un account utente sia obsoleto, verifica se vale la pena conservare le impostazioni di configurazione o i dati associati all'account:

  • Per conservare i dati esistenti di Google Drive, trasferisci i dati a un altro utente.
  • Se non vuoi conservare le impostazioni o i dati di configurazione esistenti, elimina l'account utente.
  • Per conservare temporaneamente l'account utente, sospendilo e cambia l'indirizzo email principale impostandolo su un indirizzo che difficilmente possa causare un conflitto. Ad esempio, rinomina olly.obsolete@example.com in obsolete-2019-11-10-olly.obsolete@example.com.

Per ogni account utente ancora valido, prova a correggere l'indirizzo email principale in modo che corrisponda a un'identità nella fonte autorevole. Ciò potrebbe richiedere quanto segue:

  • Modifica del dominio dell'indirizzo email principale.
  • Scambio dell'indirizzo email principale con un indirizzo alias.
  • Correggere le maiuscole/minuscole o l'ortografia dell'indirizzo email principale (ad esempio l'aggiunta o la rimozione di punti).

best practice

Quando esegui la riconciliazione degli account utente gestiti, ti consigliamo di attenerti alle seguenti best practice:

  • Se esegui la migrazione degli account consumer a Cloud Identity o Google Workspace, ripeti il processo di riconciliazione almeno una volta per ogni gruppo di account utente di cui esegui la migrazione.