Reconciliação de contas de usuário gerenciadas órfãs

Neste documento, descrevemos como identificar e reconciliar contas de usuário órfãs.

Se você usa um provedor de identidade externo (IdP, na sigla em inglês), a fonte autoritativa das identidades é externa ao Cloud Identity ou ao G Suite. Portanto, cada identidade no Cloud Identity ou no G Suite precisa ter uma contrapartida na fonte autoritativa externa. É possível que algumas das identidades na sua conta do Cloud Identity ou do G Suite não tenham uma contrapartida na sua fonte autoritativa externa. Nesse caso, elas são consideradas órfãs. As contas órfãs podem ocorrer nas seguintes circunstâncias:

  • Um administrador do Cloud Identity ou do G Suite criou manualmente uma conta de usuário que tem uma identidade não correspondente
  • Você migrou uma conta pessoal para o Cloud Identity ou o G Suite, mas a conta usa uma identidade que não corresponde a nenhuma identidade atual na fonte externa.

Antes de começar

Para reconciliar contas de usuário gerenciadas órfãs, você precisa atender aos seguintes pré-requisitos:

Processo

Para reconciliar contas de usuário órfãs, você precisa primeiro identificar quais contas de usuário são órfãs. Para cada conta de usuário, você precisa decidir como reconciliar melhor essa conta.

Como identificar contas de usuário órfãs

Para encontrar contas de usuário órfãs, é preciso comparar as identidades delas no Cloud Identity ou no G Suite com as identidades reconhecidas pela sua fonte autoritativa.

Para fazer uma comparação, use a funcionalidade de exportação de uma conta do G Suite ou do Cloud Identity para ver uma lista das suas contas de usuário atuais:

  1. No Admin Console, acesse a página Usuários.
  2. Selecione Fazer o download de usuários.
  3. Selecione Todas as colunas de informações do usuário e as colunas selecionadas no momento.
  4. Clique em Fazer o download.

    Após alguns minutos, dependendo do número de contas de usuário, você verá uma notificação de que o arquivo CSV de informações do usuário está pronto para download.

  5. Clique em Fazer o download do CSV e salve o arquivo no disco local.

Se você usa o Active Directory ou o Azure Active Directory (Azure AD) como fonte autoritativa, siga estas etapas para comparar identidades:

Active Directory

  1. Faça login em uma estação de trabalho que tenha acesso ao Active Directory.
  2. Abra um console do PowerShell.
  3. Defina uma variável para o local do arquivo que você fez download:

    $GoogleUsersCsv="GOOGLE_PATH"

    Substitua GOOGLE_PATH pelo caminho do arquivo CSV que você fez o download anteriormente.

  4. Determine a lista de contas de usuário que não têm uma contrapartida no Active Directory:

    $GoogleUsers = (Import-Csv -Path $GoogleUsersCsv -Header FirstName,LastName,Email | Select-Object -Skip 1)
    $LdapFilter = "(|{0})" -f (($GoogleUsers | Select-Object @{Name="Clause";Expression={"(userPrincipalName=$($_.Email))"}} | Select-Object -ExpandProperty Clause) -join "")
    
    $GoogleUsersWithMatch = Get-ADUser -LdapFilter $LdapFilter `
        | Select-Object -ExpandProperty UserPrincipalName
    
    $GoogleUsers | Where-Object {$_.Email -NotIn $GoogleUsersWithMatch}
    

    O comando compara o endereço de e-mail principal das contas de usuário no Cloud Identity ou no G Suite com o atributo userPrincipalName no Active Directory. Se você estiver usando um mapeamento diferente entre usuários do Active Directory e contas de usuário do Cloud Identity ou do G Suite, talvez seja necessário ajustar o comando.

    A saída é semelhante a esta:

    FirstName LastName     Email
    --------- --------     -----
    Alice     Admin        admin@example.org
    Olly      Orphaned     olly@example.org
    Matty     Mismatch     matty@wrongsubdomain.example.org
    

    Cada item listado na saída representa uma conta de usuário no Cloud Identity ou no.G Suite que não tem uma contrapartida no Active Directory

    Um resultado vazio indica que você não tem contas de usuário órfãs no G Suite ou no Cloud Identity.

  5. Exclua o arquivo CSV do disco local.

Azure AD

  1. No Portal do Azure, acesse Usuários do Azure Active Directory.
  2. Clique em Fazer o download de usuários.
  3. Digite um nome de arquivo e clique em Iniciar.

    Aguarde até que o link Clique aqui para fazer o download seja exibido.

    Dependendo do número de contas de usuário, pode levar alguns minutos para que a operação seja concluída.

  4. Clique em Clique aqui para fazer o download e salve o arquivo no disco local.

  5. Em uma estação de trabalho com o PowerShell instalado, abra um console do PowerShell.

  6. Defina duas variáveis de ambiente:

    $GoogleUsersCsv="GOOGLE_PATH"
    $AzureUsersCsv="AZURE_PATH"
    

    Substitua GOOGLE_PATH e AZURE_PATH pelos caminhos dos arquivos CSV que você fez o download anteriormente.

  7. Determine a lista de contas de usuário que não têm uma contrapartida no Active Directory:

    $GoogleUsers = (Import-Csv -Path $GoogleUsersCsv
        -Header FirstName,LastName,Email | Select-Object -Skip 1)
    
    $AzureUsers = (Import-Csv -Path $AzureUsersCsv)
    
    $GoogleUsers | Where-Object {$_.Email -NotIn ($AzureUsers | Select-Object -ExpandProperty userPrincipalName)}
    

    O comando compara o endereço de e-mail principal das contas de usuário no Cloud Identity ou no G Suite com o atributo userPrincipalName no Azure AD. Se você estiver usando um mapeamento diferente entre os usuários do Azure AD e as contas de usuário do Cloud Identity ou do G Suite, talvez seja necessário ajustar o comando.

    A saída será assim:

    FirstName  LastName    Email
    ---------  --------    -----
    Alice      Admin       admin@example.org
    Olly       Orphaned    olly@example.org
    Matty      Mismatch    matty@wrongsubdomain.example.org
    

    Cada item listado na saída representa uma conta de usuário no Cloud Identity ou no.G Suite que não tem uma contrapartida no Active Directory

    Um resultado vazio indica que você não tem contas de usuário órfãs no G Suite ou no Cloud Identity.

  8. Exclua os dois arquivos CSV do disco local.

Reconciliação de contas de usuário órfãs

Para reconciliar contas de usuário órfãs, você precisa analisar cada conta de usuário para determinar por que a identidade dela não tem uma contrapartida no sistema de fonte autoritativa.

Se você achar que uma conta de usuário está obsoleta, verifique se alguma configuração ou dados associados à conta precisam ser preservados:

  • Para manter os dados atuais do Google Drive, transfira os dados para outro usuário.
  • Se você não quiser manter as configurações ou os dados atuais, exclua a conta de usuário.
  • Para reter a conta de usuário temporariamente, suspenda-a e altere o endereço de e-mail principal dela para um endereço que dificilmente causará uma colisão. Por exemplo, renomeie olly.obsolete@example.com como obsolete-2019-11-10-olly.obsolete@example.com.

Para cada conta de usuário que ainda seja válida, tente corrigir o endereço de e-mail principal para que ele corresponda a uma identidade na sua fonte autoritativa. Isso pode exigir o seguinte:

  • Alterar o domínio do endereço de e-mail principal.
  • Trocar o endereço de e-mail principal e um endereço de alias.
  • Corrigir letras maiúsculas e minúsculas ou a ortografia do endereço de e-mail principal (por exemplo, adicionar ou remover pontos).

Práticas recomendadas

Indicamos as seguintes práticas recomendadas ao reconciliar contas de usuário gerenciadas:

  • Se você migrar contas pessoais para o Cloud Identity ou o G Suite, repita o processo de reconciliação pelo menos uma vez para cada lote de contas de usuário que migrar.