Active Directory

El conector de Active Directory te permite conectarte al Active Directory de Microsoft y realizar operaciones de lectura, escritura y actualización en los objetos de Active Directory.

Antes de comenzar

Antes de usar el conector de Active Directory, realiza las siguientes tareas:

  • En tu proyecto de Google Cloud, haz lo siguiente:
    • Otorga el rol de IAM roles/connectors.admin al usuario. configurar el conector.
    • Otorga los siguientes roles de IAM a la cuenta de servicio que deseas usar para el conector:
      • roles/secretmanager.viewer
      • roles/secretmanager.secretAccessor

      Una cuenta de servicio es un tipo de Cuenta de Google especial que representa a un usuario no humano que debe autenticarse y tener autorización para acceder a los datos de las APIs de Google. Si no tienes una cuenta de servicio, debes crear una. Para obtener más información, consulta Crea una cuenta de servicio.

    • Habilita los siguientes servicios:
      • secretmanager.googleapis.com (API de Secret Manager)
      • connectors.googleapis.com (API de conectores)

      Para comprender cómo habilitar servicios, consulta Habilita servicios.

    Si estos servicios o permisos no se habilitaron antes para tu proyecto, se te solicitará que los habilites cuando configures el conector.

  • Para obtener información sobre cómo instalar y configurar Active Directory, consulta Instalación de Active Directory.

Configura el conector

Para configurar el conector, debes crear una conexión a tu fuente de datos (sistema de backend). Una conexión es específica de una fuente de datos. Significa que, si tienes muchas fuentes de datos, debes crear una conexión independiente para cada fuente. Para crear una conexión, sigue estos pasos:

  1. En la consola de Cloud, ve a la página Conectores de Integration > Conexiones y, luego, selecciona o crea un proyecto de Google Cloud.

    Ir a la página Conexiones

  2. Haz clic en + CREAR NUEVO para abrir la página Crear conexión.
  3. En la sección Ubicación, elige la ubicación para la conexión.
    1. Región: selecciona una ubicación de la lista desplegable.

      Para obtener la lista de todas las regiones compatibles, consulta Ubicaciones.

    2. Haz clic en SIGUIENTE.
  4. En la sección Detalles de la conexión, completa lo siguiente:
    1. Conector: Selecciona Active Directory de la lista desplegable de Conectores disponibles.
    2. Versión del conector: selecciona la versión del conector de la lista desplegable de versiones disponibles.
    3. En el campo Nombre de la conexión, ingresa un nombre para la instancia de conexión.

      Los nombres de las conexiones deben cumplir con los siguientes criterios:

      • Los nombres de las conexiones pueden usar letras, números o guiones.
      • Las letras deben estar en minúsculas.
      • Los nombres de las conexiones deben comenzar con una letra y terminar con una letra o un número.
      • Los nombres de las conexiones no pueden superar los 49 caracteres.
    4. De manera opcional, ingresa una Descripción para la instancia de conexión.
    5. De manera opcional, habilita Cloud Logging. y, luego, selecciona un nivel de registro. De forma predeterminada, el nivel de registro se establece en Error.
    6. Cuenta de servicio: Selecciona una cuenta de servicio que tenga los roles necesarios.
    7. De manera opcional, configura los parámetros de nodo de conexión:

      • Cantidad mínima de nodos: Ingresa la cantidad mínima de nodos de conexión.
      • Cantidad máxima de nodos: Ingresa la cantidad máxima de nodos de conexión.

      Un nodo es una unidad (o réplica) de una conexión que procesa transacciones. Se requieren más nodos para procesar más transacciones para una conexión y, del mismo modo, se requieren menos para procesar menos transacciones. Para comprender cómo los nodos afectan el precio del conector, consulta Precios de nodos de conexión. Si no ingresas ningún valor, se establecen de forma predeterminada los nodos mínimos en 2 (para una mejor disponibilidad) y los nodos máximos se establecen en 50.

    8. Base DN: La parte base del nombre distinguido que se usa para limitar los resultados a subárboles específicos.
    9. Mecanismo de autenticación: El mecanismo de autenticación que se usará cuando se conecte al servidor de Active Directory.
    10. Seguir referencias: Indica si se deben seguir o no las referencias que muestra el servidor de Active Directory.
    11. GUID descriptivo: Indica si se deben mostrar los valores de atributo GUID en un formato legible.
    12. Friendly SID: Indica si se deben mostrar los valores de atributo SID en un formato legible.
    13. Versión de LDAP: Es la versión de LDAP que se usa para conectarse y comunicarse con el servidor.
    14. Alcance: Si se debe limitar el alcance de la búsqueda a todo el subárbol (BaseDN y todos sus subordinados), un solo nivel (BaseDN y sus subordinados directos) o el objeto base (solo BaseDN).
    15. De forma opcional, haz clic en + AGREGAR ETIQUETA para agregar una etiqueta a la conexión en forma de un par clave-valor.
    16. Haga clic en SIGUIENTE.
  5. En la sección Destinos, ingresa los detalles del host remoto (sistema de backend) al que deseas conectarte.
    1. Tipo de destino: Selecciona un Tipo de destino.
      • Selecciona Dirección de host en la lista para especificar el nombre de host o la dirección IP del destino.
      • Si deseas establecer una conexión privada a tus sistemas de backend, selecciona Adjunto de extremo en la lista y, luego, selecciona el archivo adjunto de extremo requerido en la lista Adjunto de extremo.

      Si deseas establecer una conexión pública a tus sistemas de backend con seguridad adicional, puedes configurar direcciones IP salientes estáticas para tus conexiones y, luego, configurar tus reglas de firewall para incluir en la lista de entidades permitidas solo las direcciones IP estáticas específicas.

      Para ingresar destinos adicionales, haz clic en +AGREGAR DESTINO.

    2. Haga clic en SIGUIENTE.
  6. En la sección Autenticación, ingresa los detalles de autenticación.
    1. Selecciona un Tipo de autenticación y, luego, ingresa los detalles relevantes.

      La conexión de Active Directory admite los siguientes tipos de autenticación:

      • Nombre de usuario y contraseña
    2. Para comprender cómo configurar estos tipos de autenticación, consulta Configura la autenticación.

    3. Haga clic en SIGUIENTE.
  7. Revisa: Revisa tus detalles de conexión y autenticación.
  8. Haz clic en Crear.

Configura la autenticación

Ingresa los detalles según la autenticación que desees usar.

  • Nombre de usuario y contraseña
    • Username: Nombre de usuario para el conector
    • Password: El Secret de Secret Manager que contiene la contraseña asociada con el conector.

Muestras de configuración de conexión

En esta sección, se enumeran los valores de muestra de los diversos campos que configuras cuando creas una conexión de Active Directory.

Tipo de conexión de la contraseña del nombre de usuario

Nombre del campo Detalles
Ubicación us-central1
Conector Active Directory
Versión del conector 1
Nombre de la conexión active-directory-google-cloud-vm-users-conn
Habilita Cloud Logging
Cuenta de servicio SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com
DN base BASE_DN
Mecanismo de autenticación SIMPLE
Versión de LDAP 3
Alcance WHOLESUBTREE
Nivel de verbosidad 5
Cantidad mínima de nodos 2
Cantidad máxima de nodos 50
Tipo de destino (servidor) Dirección del host
Dirección del host 192.0.2.0
Puerto PORT
Nombre de usuario NOMBRE DE USUARIO
Contraseña CONTRASEÑA
Versión del Secret 1

Tipo de conexión SSL

Nombre del campo Detalles
Ubicación us-central1
Conector Active Directory
Versión del conector 1
Nombre de la conexión active-directory-google-cloud-vm-ssl-conn
Habilita Cloud Logging
Cuenta de servicio SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com
DN base BASE_DN
Mecanismo de autenticación SIMPLE
Versión de LDAP 3
Alcance WHOLESUBTREE
Nivel de verbosidad 5
Cantidad mínima de nodos 2
Cantidad máxima de nodos 50
Habilitar SSL
Conexión privada al almacén de confianza
Tipo de destino (servidor) Dirección del host
Dirección del host 192.0.2.0
Puerto PORT
Nombre de usuario NOMBRE DE USUARIO
Contraseña CONTRASEÑA
Versión del Secret 2

Entidades, operaciones y acciones

Todos los Integration Connectors proporcionan una capa de abstracción para los objetos de la aplicación conectada. Solo puedes acceder a los objetos de una aplicación a través de esta abstracción. La abstracción se expone como entidades, operaciones y acciones.

  • Entidades: Una entidad puede considerarse como un objeto o una colección de propiedades en la aplicación o servicio conectados. La definición de una entidad difiere de conector a conector. Por ejemplo, en un conector de bases de datos, las tablas son las entidades; en un conector de servidor de archivos, las carpetas son las entidades; en un conector de sistema de mensajería, las colas son las entidades.

    Sin embargo, es posible que un conector no admita o tenga ninguna entidad, en cuyo caso la lista Entities estará vacía.

  • Operaciones: Una operación es la actividad que puedes realizar en una entidad. Puedes realizar cualquiera de las siguientes operaciones en una entidad:

    Cuando se selecciona una entidad de la lista disponible, se genera una lista de operaciones disponibles para esa entidad. Para obtener una descripción detallada de las operaciones, consulta las operaciones de entidades de la tarea de conectores. Sin embargo, si un conector no admite ninguna de las operaciones de entidad, estas operaciones no compatibles no se incluyen en la lista Operations.

  • Acción: Una acción es una función de primera clase que está disponible para la integración mediante la interfaz de Conectores. Una acción te permite realizar cambios en una entidad o entidades y variar de un conector a otro. Normalmente, una acción tendrá algunos parámetros de entrada y una parámetro. Sin embargo, es posible que un conector no admita ninguna acción, en cuyo caso la lista Actions estará vacía.

Limitaciones del sistema

El conector de Active Directory puede procesar 4 transacciones por segundo por nodo y limita las transacciones que superen este límite. De forma predeterminada, Integration Connectors asigna 2 nodos (para una mejor disponibilidad) por una conexión.

Para obtener información sobre los límites aplicables a Integration Connectors, consulta Límites.

Acciones

En esta sección, se enumeran las acciones que admite el conector. Para entender cómo configurar el consulta Ejemplos de acciones.

Acción MoveToDN

Esta acción mueve un objeto de un DN a otro.

Parámetros de entrada de la acción MoveToDN

Nombre del parámetro Tipo de datos Obligatorio Descripción
DN String El DN actual del objeto que se moverá al servidor (por ejemplo, cn=Bob F,ou=Employees,dc=Domain).
NewParentDN String El nuevo DN superior del objeto (por ejemplo, ou=Test Org,dc=Domain).

Por ejemplo, sobre cómo configurar la acción MoveToDN, consulta Ejemplos de acciones.

Acción GetAttributes

Esta acción obtiene atributos del objeto especificado.

Parámetros de entrada de la acción GetAttributes

Nombre del parámetro Tipo de datos Obligatorio Descripción
DN String Nombre distinguido del objeto LDAP deseado. Si no se especifica, se usará el BaseDN de la cadena de conexión.

Por ejemplo, sobre cómo configurar la acción GetAttributes, consulta Ejemplos de acciones.

Acción AddMembersToGroup

Esta acción agrega miembros a un grupo.

Parámetros de entrada de la acción AddMembersToGroup

Nombre del parámetro Tipo de datos Obligatorio Descripción
GroupId String El GroupId al que deseas agregar los usuarios. Debe ser el ID del registro de grupo.
UserDNs String La tabla temporal o agregada de UserDNs que contiene el DN de los usuarios que se agregarán al grupo Debe ser el DN del registro de usuario.

Por ejemplo, sobre cómo configurar la acción AddMembersToGroup, consulta Ejemplos de acciones.

Acción RemoveMembersFromGroup

Esta acción quita miembros de un grupo.

Parámetros de entrada de la acción RemoveMembersFromGroup

Nombre del parámetro Tipo de datos Obligatorio Descripción
GroupId String El ID de grupo del grupo del que deseas quitar usuarios. Debe ser el ID del registro de grupo.
UserDNs String La tabla temporal o agregada de UserDNs que contiene el DN de los usuarios que se quitarán de un grupo. Debe ser el DN del registro de usuario.

Por ejemplo, sobre cómo configurar la acción RemoveMembersFromGroup, consulta Ejemplos de acciones.

Acción ResetPassword

Esta acción restablece la contraseña.

Parámetros de entrada de la acción ResetPassword

Nombre del parámetro Tipo de datos Obligatorio Descripción
Usuario String El DN de la cuenta que se modificará en el servidor (por ejemplo, Domain\\BobF o cn=BobF,ou=Employees,dc=Domain)
NewPassword String Es la contraseña nueva del usuario especificada por el DN.
AdminUser String Una cuenta de administrador o DN con el que se debe vincular al servidor(por ejemplo, Dominio\\BobF o cn=BobF,ou=Empleados,dc=Dominio).
AdminPassword String Una contraseña de la cuenta de administrador que se usa para autenticarse en el servidor LDAP.

Por ejemplo, sobre cómo configurar la acción ResetPassword, consulta Ejemplos de acciones.

Acción ChangePassword

Esta acción cambia la contraseña.

Parámetros de entrada de la acción ChangePassword

Nombre del parámetro Tipo de datos Obligatorio Descripción
NewPassword String La nueva contraseña para el usuario especificado por el DN.

Para ver ejemplos sobre cómo configurar la acción ChangePassword, consulta Ejemplos de acciones.

Ejemplos de acciones

En esta sección, se describe cómo realizar algunas de las acciones en este conector.

Ejemplo: Cómo mover un objeto de un DN a otro

  1. En el cuadro de diálogo Configure connector task, haz clic en Actions.
  2. Selecciona la acción MoveToDN y haz clic en Listo.
  3. En la sección Task Input de la tarea Connectors, haz clic en connectorInputPayload y, luego, ingresa un valor similar al siguiente en el campo Default Value:
    {
    "NewParentDN": "CN=Users,DC=gcpad,DC=local",
    "DN": "CN=GoogleAdmin,CN=Computers,DC=gcpad,DC=local"
    }
  4. Si la acción se realiza correctamente, el parámetro de respuesta connectorOutputPayload de la tarea MoveToDN tendrá un valor similar al siguiente:

    [{
    "Success": null,
    "result": "[ok]",
    "modified": "true",
    "rss:title": "The movement was successful.",
    "resultcode": "0"
    }]

Ejemplo: Obtén los atributos de un DN

  1. En el cuadro de diálogo Configure connector task, haz clic en Actions.
  2. Selecciona la acción GetAttributes y haz clic en Listo.
  3. En la sección Task Input de la tarea Connectors, haz clic en connectorInputPayload y, luego, ingresa un valor similar al siguiente en el campo Default Value:
    {
    "DN": "CN=admin,CN=Users,DC=test-ldap,DC=com"
    } 
  4. Si la acción tiene éxito, el Respuesta connectorOutputPayload de la tarea GetAttributes tendrá un valor similar al siguiente:

    [{
    "AttributeName": "_op",
    "AttributeValue": "ldapadoGetAttributes"
    },
    {
    "AttributeName": "msds-supportedencryptiontypes",
    "AttributeValue": "24"
    },
    {
    "AttributeName": "usncreated",
    "AttributeValue": "12775"
    },
    {
    "AttributeName": "objectclass",
    "AttributeValue": "organizationalPerson"
    },
    {
    "AttributeName": "objectclass",
    "AttributeValue": "user"
    },
    {
    "AttributeName": "accountexpires",
    "AttributeValue": "9223372036854775807"
    },
    {
    "AttributeName": "name",
    "AttributeValue": "admin"
    },
    {
    "AttributeName": "objectcategory",
    "AttributeValue": "CN=Person,CN=Schema,CN=Configuration,DC=test-ldap,DC=com"
    },
    {
    "AttributeName": null,
    "AttributeValue": null
    }] 

Ejemplo: Agrega miembros a un grupo

  1. En el cuadro de diálogo Configure connector task, haz clic en Actions.
  2. Selecciona la acción AddMembersToGroup y haz clic en Listo.
  3. En la sección Task Input de la tarea Connectors, haz clic en connectorInputPayload y, luego, ingresa un valor similar al siguiente en el campo Default Value:
    {
    "GroupId": "1|CN=GoogleGRP1fa2,CN=Users,DC=gcpad,DC=local",
    "UserDNs": "[{\"DN\":\"CN=GoogleAI,CN=Users,DC=gcpad,DC=local;CN=Guest,CN=Users,DC=gcpad,DC=local\"}]"
    }
  4. Si la acción tiene éxito, el Respuesta connectorOutputPayload de la tarea AddMembersToGroup tendrá un valor similar al siguiente:

    [{
    "Success": "True"
    }] 

Ejemplo: Cómo quitar miembros de un grupo

  1. En el cuadro de diálogo Configure connector task, haz clic en Actions.
  2. Selecciona la acción RemoveMembersFromGroup y haz clic en Listo.
  3. En la sección Task Input de la tarea Connectors, haz clic en connectorInputPayload y, luego, ingresa un valor similar al siguiente en el Campo Default Value:
    {
    "GroupId": "1|CN=GoogleGRP1fa2,CN=Users,DC=gcpad,DC=local",
    "UserDNs": "[{\"DN\":\"CN=GoogleAI,CN=Users,DC=gcpad,DC=local;CN=Guest,CN=Users,DC=gcpad,DC=local\"}]"
    }
  4. Si la acción tiene éxito, el Respuesta connectorOutputPayload de la tarea RemoveMembersFromGroup tendrá un valor similar al siguiente:

    [{
    "Success": "True"
    }]

Ejemplo: Restablecer contraseña

  1. En el cuadro de diálogo Configure connector task, haz clic en Actions.
  2. Selecciona la acción ResetPassword y haz clic en Listo.
  3. En la sección Task Input de la tarea Connectors, haz clic en connectorInputPayload y, luego, ingresa un valor similar al siguiente en el Campo Default Value:
    {
    "AdminPassword": "XXXX=",
    "User": "CN=GCP_Admin,CN=Users,DC=gcpad,DC=local",
    "NewPassword": "XXXX",
    "AdminUser": "CN=admin,CN=Users,DC=gcpad,DC=local"
    }
  4. Si la acción se realiza correctamente, el parámetro de respuesta connectorOutputPayload de la tarea ResetPassword tendrá un valor similar al siguiente:

    [{
    "Success": "true",
    "result": "[ok]",
    "rss:title": "Password modified successfully",
    "resultcode": "0"
    }]

Ejemplo: Cambiar contraseña

  1. En el cuadro de diálogo Configure connector task, haz clic en Actions.
  2. Selecciona la acción ChangePassword y haz clic en Listo.
  3. En la sección Task Input de la tarea Connectors, haz clic en connectorInputPayload y, luego, ingresa un valor similar al siguiente en el Campo Default Value:
    {
    "NewPassword": "XXXX"
    }
  4. Si la acción se realiza correctamente, el parámetro de respuesta connectorOutputPayload de la tarea ChangePassword tendrá un valor similar al siguiente:

    [{
    "Success": "true",
    "result": "[ok]",
    "rss:title": "Password modified successfully.",
    "resultcode": "0"
    }]

Ejemplos de operaciones de entidades

En esta sección, se muestra cómo realizar algunas de las operaciones de entidad en este conector.

Ejemplo: Cómo mostrar una lista de todos los usuarios

  1. En el cuadro de diálogo Configure connector task, haz clic en Entities.
  2. Selecciona User en la lista Entity.
  3. Selecciona la operación List y, luego, haz clic en Listo.
  4. De forma opcional, en la sección Task Input de la tarea Connectors, puedes filtrar tu conjunto de resultados especificando una cláusula de filtro. Especifica el valor de la cláusula de filtro siempre entre comillas simples (').

Ejemplo: obtén un registro de usuario

  1. En el cuadro de diálogo Configure connector task, haz clic en Entities.
  2. Selecciona User de la lista Entity.
  3. Selecciona la operación Get y, luego, haz clic en Listo.
  4. En la sección Task Input de la tarea Connectors, haz clic en EntityId y, luego, ingresa 1|CN=Active Directory User,DC=test-ldap,DC=com en el campo Default Value.

    Aquí, 41|CN=Active Directory User,DC=test-ldap,DC=com es un ID de registro único en la entidad User.

Ejemplo: crea un registro de usuario

  1. En el cuadro de diálogo Configure connector task, haz clic en Entities.
  2. Selecciona User en la lista Entity.
  3. Selecciona la operación Create y haz clic en Listo.
  4. En la sección Task Input de la tarea Connectors, haz clic en connectorInputPayload y, luego, ingresa un valor similar al siguiente en el Campo Default Value:
    {
    "RDN": "CN= Active Directory User ",
    "ObjectClass": "top;person;organizationalPerson;user"
    }

    Cuando se ejecuta este ejemplo, se muestra una respuesta similar a la siguiente en el conector. variable de salida connectorOutputPayload de la tarea:

    {
    "Id": "1|CN=Administrator,CN=Users,DC=test-ldap,DC=com"
    }

Ejemplo: Actualiza un registro de usuario

  1. En el cuadro de diálogo Configure connector task, haz clic en Entities.
  2. Selecciona User de la lista Entity.
  3. Selecciona la operación Update y haz clic en Listo.
  4. En la sección Task Input de la tarea Connectors, haz clic en connectorInputPayload y, luego, ingresa un valor similar al siguiente en el campo Default Value:
    {
    "PostalCode": "560048"
    }
  5. Haz clic en entityId y, luego, ingresa 1|CN=Active Directory User,DC=test-ldap,DC=com en el campo Valor predeterminado.

    Cuando se ejecuta este ejemplo, se muestra una respuesta similar a la siguiente en la variable de salida connectorOutputPayload de la tarea del conector:

    {
    "Id": "1|CN=Active Directory User,DC=test-ldap,DC=com"
    }

Ejemplo: Borra un registro de usuario

  1. En el cuadro de diálogo Configure connector task, haz clic en Entities.
  2. Selecciona User de la lista Entity.
  3. Selecciona la operación Delete y, luego, haz clic en Listo.
  4. En la sección Entrada de tarea de la tarea Conectores, haz clic en entityId y Luego, ingresa 1|CN=Active Directory User,DC=test-ldap,DC=com en el campo Valor predeterminado.

Usa Terraform para crear conexiones

Puedes usar Terraform resource para crear una conexión nueva.

Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform.

Para ver una plantilla de Terraform de ejemplo para la creación de conexiones, consulta la plantilla de ejemplo.

Cuando creas esta conexión con Terraform, debes configurar las siguientes variables en tu archivo de configuración de Terraform:

Nombre del parámetro Tipo de datos Obligatorio Descripción
base_dn STRING Verdadero La parte base del nombre distinguido, que se usa para limitar los resultados a subárboles específicos.
auth_mechanism ENUM Verdadero Es el mecanismo de autenticación que se usará cuando se conecte al servidor de Active Directory. Los valores admitidos son: SIMPLE, DIGESTMD5, NEGOTIATE
follow_referrals BOOLEAN Falso Indica si se deben seguir o no las referencias que muestra el servidor de Active Directory.
friendly_guid BOOLEAN Falso Indica si se deben mostrar los valores de atributo GUID en un formato legible.
friendly_sid BOOLEAN Falso Indica si se deben mostrar los valores de atributo SID en un formato legible.
ldapversion STRING Verdadero Es la versión de LDAP que se usa para conectarse y comunicarse con el servidor.
alcance ENUM Verdadero Establece si se debe limitar el alcance de la búsqueda a todo el subárbol (BaseDN y todos sus elementos subordinados), a un solo nivel (BaseDN y sus subordinados directos) o al objeto base (solo BaseDN). Los valores admitidos son: WhoLESUBTREE, SINGLELEVEL, BASEOBJECT

Usa la conexión de Active Directory en una integración

Después de crear la conexión, estará disponible en la integración de Apigee y en la integración de aplicaciones. Puedes usar la conexión en una integración a través de la tarea Conectores.

  • Para comprender cómo crear y usar la tarea Conectores en la integración de Apigee, consulta Tarea Conectores.
  • Para comprender cómo crear y usar la tarea Connectors en la integración de aplicaciones, consulta Tarea Connectors.

Obtén ayuda de la Comunidad de Google Cloud

Puedes publicar tus preguntas y debatir sobre este conector en la comunidad de Google Cloud en Cloud Forums.

¿Qué sigue?