Aprovisionamiento de cuentas de usuario de Active Directory

Last reviewed 2023-02-27 UTC

En este artículo, se muestra cómo configurar el aprovisionamiento de usuarios y grupos entre Active Directory y tu cuenta de Cloud Identity o Google Workspace con Google Cloud Directory Sync (GCDS).

A fin de seguir esta guía, debes tener un usuario de Active Directory con permiso para administrar usuarios y grupos en Active Directory. Además, si aún no tienes una cuenta de Cloud Identity o Google Workspace, necesitarás acceso de administrador a tu zona DNS para verificar los dominios. Si ya tienes una cuenta de Cloud Identity o de Google Workspace, asegúrate de que tu usuario tenga privilegios de administrador avanzado.

Objetivos

  • Instalar GCDS y conectarlo a Active Directory, Cloud Identity o Google Workspace.
  • Configurar GCDS para aprovisionar usuarios y, de manera opcional, grupos a Google Cloud.
  • Configura una tarea programada para el aprovisionamiento continuo.

Costos

Si usas la edición gratuita de Cloud Identity, en esta guía no se usará ningún componente facturable de Google Cloud.

Antes de comenzar

Planifica la implementación de GCDS

Decide dónde implementar GCDS

GCDS puede aprovisionar usuarios y grupos de un directorio LDAP a Cloud Identity o Google Workspace. GCDS actúa como intermediario entre el servidor LDAP y Cloud Identity o Google Workspace y consulta el directorio LDAP a fin de recuperar la información necesaria del directorio y usa la API de directorio para agregar, modificar o borrar usuarios en la cuenta de Cloud Identity o Google Workspace.

Debido a que los servicios de dominio de Active Directory se basan en LDAP, GCDS es ideal para implementar el aprovisionamiento de usuarios entre Active Directory y Cloud Identity o Google Workspace.

Cuando conectas una infraestructura local de Active Directory con Google Cloud, puedes ejecutar GCDS de forma local o en una máquina virtual de Compute Engine en Google Cloud. En la mayoría de los casos, es mejor ejecutar GCDS de forma local:

  • Debido a que la información que administra Active Directory incluye información de identificación personal y, por lo general, se considera confidencial, es posible que no quieras que se acceda a Active Directory desde el exterior de la red local.
  • De forma predeterminada, Active Directory usa LDAP sin encriptar. Si accedes a Active Directory de forma remota desde Google Cloud, debes usar la comunicación encriptada. Aunque puedes encriptar la conexión mediante LDAPS (LDAP+SSL) o Cloud VPN.
  • La comunicación de GCDS con Cloud Identity o Google Workspace se realiza a través de HTTPS y requiere pocos cambios, o ninguno, en la configuración de tu firewall.

Puedes ejecutar GCDS en Windows o Linux. Si bien es posible implementar GCDS en el controlador de dominio, es mejor ejecutarlo en una máquina distinta. Esta máquina debe satisfacer los requisitos del sistema y tener acceso LDAP a Active Directory. Aunque no es un requisito para que la máquina se una al dominio o ejecute Windows, en esta guía, se da por hecho que Cloud Directory Sync se ejecuta en una máquina con Windows unida al dominio.

Para facilitar la configuración del aprovisionamiento, GCDS incluye una interfaz gráfica de usuario (GUI) llamada Administrador de configuración. Si el servidor en el que quieres ejecutar GCDS tiene una experiencia de computadora de escritorio, puedes ejecutar el Administrador de configuración en el propio servidor. De lo contrario, debes ejecutar el Administrador de configuración de manera local y, luego, copiar el archivo de configuración resultante en el servidor, donde puedes usarlo para ejecutar GCDS. En esta guía, se supone que ejecutas el Administrador de configuración en un servidor con una GUI.

Decide dónde recuperar datos

GCDS usa LDAP para interactuar con Active Directory y recuperar información sobre usuarios y grupos. Para hacer posible esta interacción, GCDS requiere que proporciones un nombre de host y un puerto en la configuración. En un entorno pequeño de Active Directory que solo ejecuta un único servidor de catálogo global, no es un problema proporcionar un nombre de host y un puerto, ya que puedes señalar GCDS directamente al servidor de catálogo global.

En un entorno más complejo que ejecuta servidores de catálogo global (GC) redundantes, no se hará uso de la redundancia si se hace que GCDS apunte a un solo servidor, por lo que no se recomienda. Aunque es posible configurar un balanceador de cargas que distribuye consultas LDAP a través de múltiples servidores de catálogo global y realizar un seguimiento de los servidores que pueden no estar disponibles temporalmente, es preferible usar el mecanismo del Localizador de CC para ubicar los servidores de forma dinámica.

De forma predeterminada, GCDS requiere que especifiques de forma explícita el extremo de un servidor LDAP y no es compatible con el mecanismo del Localizador de CC. En esta guía, complementas GCDS con una secuencia de comandos de PowerShell pequeña que interactúa con el mecanismo del localizador de controles de dominio para que no tengas que configurar de manera estática los extremos de los servidores del catálogo global.

Prepara tu cuenta de Cloud Identity o Google Workspace

Crea un usuario para GCDS

Para permitir que GCDS interactúe con la API de Directory y la API de contactos compartidos con el dominio de Cloud Identity y Google Workspace, la aplicación necesita una cuenta de usuario que tenga privilegios administrativos.

Cuando te registras en Cloud Identity o Google Workspace, ya creaste un usuario de administrador avanzado. Aunque podrías usar este usuario para GCDS, es preferible crear un usuario independiente que Cloud Directory Sync usará de forma exclusiva:

  1. Abre la Consola del administrador y accede con el usuario del administrador avanzado que creaste cuando te registraste en Cloud Identity o Google Workspace.
  2. En el menú, haz clic en Directorio > Usuarios y, luego haz clic en Agregar usuario nuevo a fin de crear un usuario.
  3. Proporciona un nombre y una dirección de correo electrónico adecuados, como los que se muestran a continuación:

    1. Nombre: Google Cloud
    2. Apellido: Directory Sync
    3. Dirección de correo electrónico principal: cloud-directory-sync

    Conserva el dominio principal en la dirección de correo electrónico, incluso si el dominio no corresponde al bosque desde el que realizas el aprovisionamiento.

  4. Asegúrate de que la función Automatically generate a new password este establecida en Inhabilitada e ingresa una contraseña.

  5. Asegúrate de que la función Solicitar un cambio de contraseña en el siguiente inicio de sesión esté configurada como Inhabilitada.

  6. Haz clic en Agregar usuario nuevo.

  7. Haga clic en Listo.

Para permitir que GCDS cree, enumere y borre cuentas de usuario y grupos, el usuario necesitará privilegios adicionales. Además, es recomendable eximir el usuario del inicio de sesión único, de lo contrario, es posible que no puedas volver a autorizar GCDS cuando experimentes problemas con el inicio de sesión único. Ambos se pueden lograr mediante la conversión del usuario en un administrador avanzado:

  1. Ubica el usuario recién creado en la lista y ábrelo.
  2. En Funciones y privilegios de administrador, haz clic en Asignar funciones.
  3. Habilita la función de Administrador avanzado.
  4. Haz clic en Guardar.

Configura el aprovisionamiento de usuarios

Crea un usuario de Active Directory para GCDS

Para habilitar GCDS a fin de recuperar información sobre usuarios y grupos de Active Directory, GCDS también requiere un usuario de dominio con acceso suficiente. En lugar de volver a usar un usuario de Windows existente con este objetivo, debes crear un usuario dedicado para GCDS:

Interfaz gráfica

  1. Abre el complemento de MMC Usuarios y computadoras de Active Directory desde el menú de Inicio.
  2. Navega hasta el dominio y la unidad organizativa en la que deseas crear el usuario. Si existen varios dominios en tu bosque, crea el usuario en el mismo dominio que la máquina de GCDS.
  3. Haz clic con el botón derecho en el panel de la ventana derecha y selecciona Nuevo > Usuario.
  4. Proporciona un nombre y una dirección de correo electrónico adecuados, como los que se muestran a continuación:
    1. Nombre: Google Cloud
    2. Apellido: Directory Sync
    3. Nombre de inicio de sesión del usuariogcds
    4. Nombre de inicio de sesión del usuario (anterior a Windows 2000)gcds
  5. Haz clic en Siguiente.
  6. Proporciona una contraseña que satisfaga tu política de contraseñas.
  7. Borra El usuario debe cambiar la contraseña en el siguiente inicio de sesión.
  8. Selecciona Contraseña nunca vence.
  9. Haz clic en Siguiente y, luego, en Finalizar.

PowerShell

  1. Abre una consola de PowerShell como administrador.
  2. Ejecuta el siguiente comando para crear un usuario:

     New-ADUser -Name "Google Cloud Directory Sync" `
        -GivenName "Google Cloud" `
        -Surname "Directory Sync" `
        -SamAccountName "gcds" `
        -UserPrincipalName (-Join("gcds@",(Get-ADDomain).DNSRoot)) `
        -AccountPassword(Read-Host -AsSecureString "Type password for User") `
        -Enabled $True
     

Ahora tienes los requisitos previos para instalar GCDS.

Instala GCDS

En la máquina en la que ejecutarás GCDS, descarga y ejecuta el instalador de GCDS. En lugar de usar un navegador a fin de realizar la descarga, puedes usar el comando siguiente de PowerShell para descargar el instalador:

(New-Object net.webclient).DownloadFile("https://dl.google.com/dirsync/dirsync-win64.exe", "$(pwd)\dirsync-win64.exe")

Una vez que se completa la descarga, puedes iniciar el asistente de instalación si ejecutas el comando siguiente:

.\dirsync-win64.exe

Si ya tienes GCDS instalado, puedes actualizar GCDS para asegurarte de estar usando la versión más reciente.

Crea una carpeta para la configuración de GCDS

GCDS almacena su configuración en un archivo XML. Debido a que esta configuración incluye un token de actualización de OAuth que GCDS usa a fin de autenticarse con Google, asegúrate de proteger de forma debida la carpeta que se usa para la configuración.

Además, dado que GCDS no requiere acceso a recursos locales que no sean de esta carpeta, debes configurar GCDS para que se ejecute como un usuario restringido, LocalService:

  1. En la máquina que instalaste GCDS, accede como administrador local.
  2. Abre una consola de PowerShell que tenga privilegios administrativos.
  3. Ejecuta los siguientes comandos para crear una carpeta con el nombre $Env:ProgramData\gcds a fin de almacenar la configuración y aplicar una lista de control de acceso (LCA) para que solo GCDS y los administradores tengan acceso:

    $gcdsDataFolder = "$Env:ProgramData\gcds"
    New-Item -ItemType directory -Path  $gcdsDataFolder
    &icacls "$gcdsDataFolder" /inheritance:r
    &icacls "$gcdsDataFolder" /grant:r "CREATOR OWNER:(OI)(CI)F" /T
    &icacls "$gcdsDataFolder" /grant   "BUILTIN\Administrators:(OI)(CI)F" /T
    &icacls "$gcdsDataFolder" /grant   "Domain Admins:(OI)(CI)F" /T
    &icacls "$gcdsDataFolder" /grant   "LOCAL SERVICE:(OI)(CI)F" /T
    
  4. Para determinar la ubicación de la carpeta ProgramData, ejecuta el comando Write-Host $Env:ProgramData. En las versiones en inglés de Windows, esta ruta suele ser c:\ProgramData. Necesitarás esta ruta más adelante.

Conéctate a Google

Ahora, usarás el Administrador de configuración para preparar la configuración de GCDS. En estos pasos, se supone que ejecutas el Administrador de configuración en el mismo servidor en el que planeas ejecutar GCDS.

Si usas una máquina diferente para ejecutar el Administrador de configuración, asegúrate de copiar el archivo de configuración en el servidor GCDS posteriormente. Además, ten en cuenta que tal vez no sea posible probar la configuración en una máquina diferente.

  1. Inicia el Administrador de configuración. Puedes encontrar el Administrador de configuración en el menú de Inicio de Windows en Google Cloud Directory Sync (Google Cloud Directory Sync) > Administrador de configuración (Configuration Manager).
  2. Haz clic en la Google Domain Configuration > Configuración de conexión (Connection Settings).

     Configuración de conexión" class="l10n-absolute-url-src screenshot" l10n-attrs-original-order="src,alt,class" src="https://cloud.google.com/static/solutions/images/federating-gcp-with-ad-gcds-config-settings-v4.7.6.png" />

  3. Autoriza GCDS y configura los dominios

  4. En el menú, haz clic en Archivo > Guardar como

  5. En el cuadro de diálogo del archivo, ingresa PROGRAM_DATA\gcds\config.xml como nombre de archivo. Reemplaza PROGRAM_DATA por la ruta de acceso a la carpeta ProgramData que muestra el comando de PowerShell cuando lo ejecutaste antes.

  6. Haz clic en Guardar y, a continuación, haz clic en Aceptar.

Conéctate a Active Directory

El paso siguiente es configurar GCDS para que se conecte a Active Directory:

  1. En el administrador de configuración, haz clic en LDAP Configuration > Configuración de conexión
  2. Establece la configuración de conexión d LDAP:
    1. Server type: Selecciona MS Active Directory
    2. Tipo de conexión: Selecciona LDAP estándar o LDAP+SSL
    3. Nombre del host: Ingresa el nombre de un servidor de GC. Esta configuración solo se usa para la prueba. Más adelante, automatizarás el descubrimiento del servidor de GC.
    4. Puerto: 3268 (GC) o 3269 (GC mediante SSL). Usar un servidor de GC en lugar de un controlador de dominio ayuda a garantizar que puedas aprovisionar usuarios de todos los dominios del bosque de Active Directory. Además, garantiza la autenticación después de la actualización de Microsoft ADV190023.
    5. Tipo de autenticación: Simple
    6. Usuario autorizado: Ingresa el nombre principal del usuario (UPN) del usuario de dominio que creaste antes: gcds@UPN_SUFFIX_DOMAIN. Reemplaza UPN_SUFFIX_DOMAIN por el dominio de sufijo UPN adecuado para el usuario. Como alternativa, también puedes especificar el usuario mediante la sintaxis NETBIOS_DOMAIN_NAME\gcds.
    7. Base DN: Deja este campo vacío para asegurarte de que las búsquedas se realicen en todos los dominios del bosque.
  3. Para verificar la configuración, haz clic en Probar conexión. Si falla la conexión, comprueba que hayas especificado el nombre de host de un servidor de GC y que el nombre de usuario y la contraseña sean correctos.
  4. Haga clic en Cerrar.

Decide qué aprovisionar

Ahora que conectaste correctamente GCDS, puedes decidir qué elementos aprovisionar:

  1. En el Administrador de configuración, haz clic en Configuración general.
  2. Asegúrate de que esté seleccionado Cuentas de usuario.
  3. Si deseas aprovisionar grupos, asegúrate de que Grupos esté seleccionado. De lo contrario, desmarca la casilla de verificación.
  4. La sincronización de unidades organizativas está fuera del alcance de esta guía, por lo que debes anular la selección de Unidades organizativas.
  5. Deja Perfiles del usuario y Esquemas personalizados sin seleccionar.

Para obtener más detalles, consulta Decide qué aprovisionar.

Aprovisiona usuarios

Configura asignaciones de usuarios

El siguiente paso es configurar cómo asignar usuarios entre Active Directory:

  1. En el administrador de configuración, haz clic en User Accounts > Additional User Attributes.
  2. Haz clic en Use defaults para propagar de forma automática los atributos de Nombre y Apellido con givenName y sn, respectivamente.

La configuración restante depende de si tienes la intención de usar la UPN o la dirección de correo electrónico para asignar Active Directory a los usuarios en Cloud Identity o Google Workspace, y de si necesitas aplicar sustituciones de nombre de dominio. Si no estás seguro de cuál es la mejor opción para tu caso, consulta el artículo sobre cómo extender la administración de identidades de Active Directory a Google Cloud.

UPN

  1. En el Administrador de configuración, haz clic en Cuentas de usuario > User Attributes.
  2. Haz clic en Usar valores predeterminados.
  3. Cambia el atributo de dirección de correo electrónico a userPrincipalName
  4. Haz clic en proxyAddresses > Remove si no deseas sincronizar direcciones de alias.
  5. Haz clic en la pestaña Reglas de búsqueda y, luego, en Agregar regla de búsqueda.
  6. Ingresa las opciones de configuración siguientes:

    1. Permiso: Sub-tree
    2. Regla:

      (&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(!(userPrincipalName=gcds@*)))

      Esta regla coincide con todos los usuarios no inhabilitados, pero ignora las cuentas de servicio administradas y de computadora, así como la cuenta de usuario gcds.

    3. Base DN: deja en blanco para buscar todos los dominios en el bosque.

  7. Haz clic en OK para crear la regla.

UPN: sustitución de dominio

  1. En el Administrador de configuración, haz clic en la pestaña Cuentas de usuario > User Attributes.
  2. Haz clic en Usar valores predeterminados.
  3. Cambia el atributo de dirección de correo electrónico a userPrincipalName
  4. Haz clic en proxyAddresses > Remove si no deseas sincronizar direcciones de alias.
  5. Haz clic en la pestaña Reglas de búsqueda y, luego, en Agregar regla de búsqueda.
  6. Ingresa las opciones de configuración siguientes:

    1. Permiso: Sub-tree
    2. Regla:

      (&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(!(userPrincipalName=gcds@*)))

      Esta regla coincide con todos los usuarios no inhabilitados, pero ignora las cuentas de servicio administradas y de computadora, así como la cuenta de usuario gcds.

    3. DN base: déjalo en blanco para buscar todos los dominios del bosque.

  7. Haz clic en OK para crear la regla.

  8. Haz clic en Configuración del dominio de Google > Configuración de conexión y selecciona Reemplazar nombres de dominio en las direcciones de correo electrónico LDAP con este nombre de dominio.

Email

  1. En el Administrador de configuración, haz clic en Cuentas de usuario > User Attributes.
  2. Haz clic en Usar valores predeterminados.
  3. Haz clic en la pestaña Reglas de búsqueda y, luego, en Agregar regla de búsqueda.
  4. Ingresa las opciones de configuración siguientes:

    1. Permiso: Sub-tree
    2. Regla:

      (&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

      Esta regla hace coincidir todos los usuarios no inhabilitados con una dirección de correo electrónico que no está vacía, pero ignora las cuentas de servicio administradas y de computadora

    3. Base DN: Déjalo en blanco para buscar en todos los dominios del bosque

  5. Haz clic en OK para crear la regla.

Email: domain substitution

  1. En el Administrador de configuración, haz clic en Cuentas de usuario > User Attributes.
  2. Haz clic en Usar valores predeterminados.
  3. Haz clic en proxyAddresses > Remove si no deseas sincronizar direcciones de alias.
  4. Haz clic en la pestaña Reglas de búsqueda y, luego, en Usar valores predeterminados.
  5. Haz clic en Configuración del dominio de Google > Configuración de conexión y selecciona Reemplazar nombres de dominio en las direcciones de correo electrónico LDAP con este nombre de dominio.

Para obtener más detalles sobre cómo asignar atributos de usuario, consulta Cómo configurar la sincronización con el Administrador de configuración.

Política de eliminación

Hasta ahora, la configuración se centró en agregar y actualizar usuarios en Cloud Identity o Google Workspace. Sin embargo, también es importante que los usuarios inhabilitados o borrados en Active Directory se suspendan o borren de Cloud Identity o de Google Workspace.

Como parte del proceso de aprovisionamiento, GCDS genera una lista de usuarios en Cloud Identity o Google Workspace que no tienen coincidencias correspondientes en los resultados de las consultas de Active Directory LDAP. Debido a que la consulta LDAP incorpora la cláusula (!(userAccountControl:1.2.840.113556.1.4.803:=2)), se incluirá en esta lista a cualquier usuario inhabilitado o borrado en Active Directory desde que se realizó el último aprovisionamiento. El comportamiento predeterminado de GCDS es borrar a estos usuarios en Cloud Identity o Google Workspace, pero puedes personalizarlo, para ello, sigue estos pasos:

  1. En el Administrador de configuración, haz clic en Cuentas de usuario > User Attributes.
  2. En Google Domain Users Deletion/Suspension Policy, asegúrate de que la casilla de verificación Don't suspend or delete Google domain admins not found in LDAP esté marcada. Esta configuración garantiza que GCDS no suspenderá ni borrará el usuario administrador avanzado que usaste para configurar tu cuenta de Cloud Identity o de Google Workspace.
  3. De manera opcional, cambia la política de eliminación para los usuarios que no sean administradores.

Si usas varias instancias distintas de GCDS para aprovisionar dominios o bosques diferentes en una sola cuenta de Cloud Identity o de Google Workspace, asegúrate de que las diferentes instancias de GCDS no interfieran entre sí. De forma predeterminada, los usuarios de Cloud Identity o Google Workspace que se aprovisionaron desde una fuente diferente se identificarán por error como borrados en Active Directory. Para evitar esta situación, puedes mover a todos los usuarios que estén fuera del alcance del dominio o bosque desde el que aprovisionas a una sola UO y, luego, excluirla.

  1. En el Administrador de configuración, haz clic en Configuración de dominio de Google > Reglas de exclusión.
  2. Haz clic en Agregar regla de exclusión.
  3. Establece la siguiente configuración:

    1. Tipo: Ruta de acceso completa de la organización
    2. Tipo de concordancia: Concordancia exacta
    3. Regla de exclusión: Ingresa la ruta de acceso de la UO y su nombre. Por ejemplo:

      ROOT OU/EXCLUDED OU

      Reemplaza ROOT OU/EXCLUDED OU por la ruta de acceso de tu UO y el nombre de la UO excluida.

  4. Haz clic en OK para crear la regla.

De forma alternativa, si la exclusión de una sola UO no se ajusta a tu empresa, puedes excluir el dominio o la base de bosque en las direcciones de correo electrónico de los usuarios.

UPN

  1. En el Administrador de configuración, haz clic en Configuración de dominio de Google > Reglas de exclusión.
  2. Haz clic en Agregar regla de exclusión.
  3. Establece la configuración siguiente:

    1. Tipo: Dirección de correo electrónico del usuario
    2. Tipo de concordancia: Expresión regular
    3. Regla de exclusión: Si usas un dominio de sufijo UPN único, ingresa la siguiente expresión regular:

      .*@((?!UPN_SUFFIX_DOMAIN).*)$
      Reemplaza UPN_SUFFIX_DOMAIN por tu dominio de sufijo UPN, como en este ejemplo:
      .*@((?!corp.example.com).*)$

      Si usas más de un dominio de sufijo UPN, debes extender la expresión como se muestra a continuación:

      .*@((?!corp.example.com|branch.example.com).*)$
  4. Haz clic en Aceptar para crear la regla.

UPN: Sustitución de dominio

  1. En el Administrador de configuración, haz clic en Configuración de dominio de Google > Reglas de exclusión.
  2. Haz clic en Agregar regla de exclusión.
  3. Establece la configuración siguiente:

    1. Tipo: Dirección de correo electrónico del usuario
    2. Tipo de concordancia: Expresión regular
    3. Regla de exclusión: Si usas un dominio de sufijo UPN único, ingresa la siguiente expresión regular:

      .*@((?!SUBSTITUTION_DOMAIN).*)$

      Reemplaza SUBSTITUTION_DOMAIN por el dominio que usas para reemplazar el dominio de sufijo UPN, como en este ejemplo:

      .*@((?!corp.example.com).*)$
  4. Haz clic en Aceptar para crear la regla.

Correo electrónico

  1. En el Administrador de configuración, haz clic en Configuración de dominio de Google > Reglas de exclusión.
  2. Haz clic en Agregar regla de exclusión.
  3. Establece la configuración siguiente:

    1. Tipo: Dirección de correo electrónico del usuario
    2. Tipo de concordancia: Expresión regular
    3. Regla de exclusión: Si usas un dominio de sufijo UPN único, ingresa la siguiente expresión regular:

      .*@((?!MX_DOMAIN).*)$

      Reemplaza MX_DOMAIN por el nombre de dominio que usas en las direcciones de correo electrónico, como en este ejemplo:

      .*@((?!corp.example.com).*)$

      Si usas más de un dominio de sufijo UPN, debes extender la expresión como se muestra a continuación:

      .*@((?!corp.example.com|branch.example.com).*)$
  4. Haz clic en Aceptar para crear la regla.

Correo electrónico: sustitución de dominio

  1. En el Administrador de configuración, haz clic en Configuración de dominio de Google > Reglas de exclusión.
  2. Haz clic en Agregar regla de exclusión.
  3. Establece la configuración siguiente:

    1. Tipo: Dirección de correo electrónico del usuario
    2. Tipo de concordancia: Expresión regular
    3. Regla de exclusión: Si usas un dominio de sufijo UPN único, ingresa la siguiente expresión regular:

      .*@((?!SUBSTITUTION_DOMAIN).*)$

      Reemplaza SUBSTITUTION_DOMAIN por el dominio que usas para reemplazar el dominio de correo electrónico, como en este ejemplo:

      .*@((?!corp.example.com).*)$
  4. Haz clic en Aceptar para crear la regla.

Para obtener más detalles sobre la configuración de eliminación y suspensión, consulta Obtén más información sobre las opciones del Administrador de configuración.

Aprovisionamiento de grupos

En el paso siguiente, se debe configurar cómo asignar grupos entre Active Directory y Cloud Identity o Google Workspace. Este proceso varía en función de si planeas asignar grupos por nombre de pila o por dirección de correo electrónico.

Configura asignaciones de grupos por nombre de pila

Primero, debes identificar los tipos de grupos de seguridad que planeas aprovisionar y, luego, crear una consulta LDAP adecuada. La siguiente tabla contiene consultas comunes que puedes usar.

Tipo Consulta LDAP
Grupos locales de dominio (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483652))
Grupos globales (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483650))
Grupos universales (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483656))
Grupos globales y universales (&(objectCategory=group)(|(groupType:1.2.840.113556.1.4.803:=2147483650)(groupType:1.2.840.113556.1.4.803:=2147483656)))
Todos los Grupos (objectCategory=group)

La consulta para grupos globales también abarca grupos definidos por Active Directory, como los controladores de dominio. Puedes filtrar estos grupos mediante la restricción de la búsqueda por unidad organizativa (ou).

La configuración restante depende de si planeas usar UPN o una dirección de correo electrónico para asignar Active Directory a los usuarios en Cloud Identity o Google Workspace.

UPN

  1. En el Administrador de configuración, haz clic en Grupos > Buscar reglas.
  2. Haz clic en Usar valores predeterminados para agregar dos reglas predeterminadas.
  3. Haz clic en el primer ícono de edición de reglas.
  4. Edita la Regla para reemplazar la consulta LDAP.
  5. En el cuadro Grupos, ingresa la siguiente configuración:
    1. Group Email Address Attribute: cn
    2. Atributo de dirección de correo electrónico del usuario: userPrincipalName
  6. Haz clic en la pestaña Prefix-Suffix.
  7. En el cuadro Dirección de correo electrónico del grupo, ingresa la configuración siguiente:

    1. Sufijo: @PRIMARY_DOMAIN, en el que se reemplaza @PRIMARY_DOMAIN por el dominio principal de tu cuenta de Cloud Identity o Google Workspace. Aunque la configuración parece redundante porque GCDS agregará el dominio de forma automática, debes especificar la configuración de forma explícita para evitar que varias instancias de Google Cloud Directory Sync borren los miembros del grupo que no habían agregado.

      Ejemplo: @example.com

    2. Haga clic en OK.

  8. Haz clic en el ícono de cruz de la segunda regla para borrar esa regla.

Email

  1. En el Administrador de configuración, haz clic en Grupos > Buscar reglas.
  2. Haz clic en Usar valores predeterminados para agregar un par de reglas predeterminadas.
  3. Haz clic en el primer ícono de edición de reglas.
  4. Edita la Regla para reemplazar la consulta LDAP.
  5. En el cuadro Grupos, edita el atributo de la dirección de correo electrónico del grupo para ingresar la configuración cn.
  6. Haga clic en OK.

La misma configuración también se aplica si usaste la sustitución de dominio cuando asignaste usuarios.

Configura asignaciones de grupo por dirección de correo electrónico

Primero, debes identificar los tipos de grupos de seguridad que planeas aprovisionar y, luego, crear una consulta LDAP adecuada. La siguiente tabla contiene consultas comunes que puedes usar.

Tipo Consulta LDAP
Grupos locales de dominio con dirección de correo electrónico (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483652)(mail=*))
Grupos globales con dirección de correo electrónico (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483650)(mail=*))
Grupos universales con dirección de correo electrónico (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483656)(mail=*))
Grupos globales y universales con dirección de correo electrónico (&(objectCategory=group)(|(groupType:1.2.840.113556.1.4.803:=2147483650)(groupType:1.2.840.113556.1.4.803:=2147483656))(mail=*))
Todos los grupos con dirección de correo electrónico (&(objectCategory=group)(mail=*))

La configuración restante depende de si planeas usar UPN o una dirección de correo electrónico para asignar Active Directory a los usuarios en Cloud Identity o Google Workspace.

UPN

  1. En el Administrador de configuración, haz clic en Grupos > Buscar reglas.
  2. Haz clic en Usar valores predeterminados para agregar dos reglas predeterminadas.
  3. Haz clic en el primer ícono de edición de reglas.
  4. Edita la Regla para reemplazar la consulta LDAP.
  5. En el cuadro Grupos, edita el Atributo del nombre de correo electrónico del usuario para ingresar la configuración userPrincipalName.
  6. Haga clic en OK.
  7. Haz clic en el ícono de cruz de la segunda regla para borrar esa regla.

Email

  1. En el Administrador de configuración, haz clic en Grupos > Buscar reglas.
  2. Haz clic en Usar valores predeterminados para agregar un par de reglas predeterminadas.
  3. Haz clic en el primer ícono de edición de reglas.
  4. Edita la Regla para reemplazar la consulta LDAP.
  5. Haga clic en OK.
  6. Haz clic en el segundo ícono de regla cruzada para quitar esta regla.

Si habilitaste Reemplazar nombres de dominio en las direcciones de correo electrónico LDAP con este nombre de dominio, también se aplica a las direcciones de correo electrónico de los grupos y los miembros.

Política de eliminación

GCDS controla la eliminación de grupos de manera similar a la de usuarios. Si usas varias instancias distintas de GCDS para aprovisionar dominios o bosques diferentes en una sola cuenta de Cloud Identity o de Google Workspace, asegúrate de que las diferentes instancias de GCDS no interfieran entre sí.

De forma predeterminada, un miembro del grupo de Cloud Identity o Google Workspace que se aprovisionó desde una fuente diferente se identificará por error en Active Directory como borrado. A fin de evitar esta situación, debes configurar GCDS para ignorar a todos los usuarios que están fuera del alcance del dominio o bosque desde el que aprovisionas.

UPN

  1. Haz clic en Configuración del dominio de Google > Reglas de exclusión.
  2. Haz clic en Agregar regla de exclusión.
  3. Establece la configuración siguiente:

    1. Tipo: Dirección de correo electrónico del miembro del grupo
    2. Tipo de concordancia: Expresión regular
    3. Regla de exclusión: Si usas un dominio de sufijo UPN único, ingresa la siguiente expresión regular:

      .*@((?!UPN_SUFFIX_DOMAIN).*)$

      Reemplaza UPN_SUFFIX_DOMAIN por el dominio de sufijo UPN, como en el siguiente ejemplo:

      .*@((?!corp.example.com).*)$

      Si usas más de un dominio de sufijo UPN, debes extender la expresión como se muestra a continuación:

      .*@((?!corp.example.com|branch.example.com).*)$
  4. Haz clic en Aceptar para crear la regla.

UPN: sustitución de dominio

  1. Haz clic en Configuración del dominio de Google > Reglas de exclusión.
  2. Haz clic en Agregar regla de exclusión.
  3. Establece la configuración siguiente:

    1. Tipo: Dirección de correo electrónico del miembro del grupo
    2. Tipo de concordancia: Expresión regular
    3. Regla de exclusión: Si usas un dominio de sufijo UPN único, ingresa la siguiente expresión regular:

      .*@((?!SUBSTITUTION_DOMAIN).*)$

      Reemplaza SUBSTITUTION_DOMAIN por el dominio que usas para reemplazar el dominio de sufijo UPN, como en este ejemplo:

      .*@((?!corp.example.com).*)$
  4. Haz clic en Aceptar para crear la regla.

Correo electrónico

  1. Haz clic en Configuración del dominio de Google > Reglas de exclusión.
  2. Haz clic en Agregar regla de exclusión.
  3. Establece la configuración siguiente:

    1. Tipo: Dirección de correo electrónico del miembro del grupo
    2. Tipo de concordancia: Expresión regular
    3. Regla de exclusión: Si usas un dominio de sufijo UPN único, ingresa la siguiente expresión regular:

      .*@((?!MX_DOMAIN).*)$

      Reemplaza MX_DOMAIN por el nombre de dominio que usas en las direcciones de correo electrónico, como en el ejemplo siguiente:

      .*@((?!corp.example.com).*)$

      Si usas más de un dominio de sufijo UPN, debes extender la expresión como se muestra a continuación:

      .*@((?!corp.example.com|branch.example.com).*)$
  4. Haz clic en Aceptar para crear la regla.

Correo electrónico: sustitución de dominio

  1. Haz clic en Configuración del dominio de Google > Reglas de exclusión.
  2. Haz clic en Agregar regla de exclusión.
  3. Establece la configuración siguiente:

    1. Tipo: Dirección de correo electrónico del miembro del grupo
    2. Tipo de concordancia: Expresión regular
    3. Regla de exclusión: Si usas un dominio de sufijo UPN único, ingresa la siguiente expresión regular:

      .*@((?!SUBSTITUTION_DOMAIN).*)$

      Reemplaza SUBSTITUTION_DOMAIN por el dominio que usas para reemplazar el dominio de correo electrónico, como en el siguiente ejemplo:

      .*@((?!corp.example.com).*)$
    4. Haz clic en Aceptar para crear la regla.

Para obtener más información sobre la configuración de grupo, consulta Más información sobre las opciones del Administrador de configuración.

Configura el registro y las notificaciones

Mantener a los usuarios sincronizados requiere que ejecutes GCDS de manera programada. Para poder realizar un seguimiento de la actividad de GCDS y posibles problemas, puedes controlar cómo y cuándo GCDS escribe su archivo de registro:

  1. En el Administrador de configuración, haz clic en Registro.
  2. Configura el Nombre del archivo como PROGRAM_DATA\gcds\gcds_sync.#{timestamp}.log. Reemplaza PROGRAM_DATA por la ruta de acceso a la carpeta ProgramData que muestra el comando de PowerShell cuando lo ejecutaste antes.
  3. Haz clic en Archivo > Guardar para confirmar los cambios de configuración en el disco y, luego, en Aceptar.

Además del registro, GCDS puede enviar notificaciones por correo electrónico. A fin de activar este servicio, haz clic en Notificaciones y proporciona información de conexión para tu servidor de correo.

Simula el aprovisionamiento de usuarios

Completaste la configuración de GCDS. Para verificar que la configuración funcione según lo previsto, primero debes guardar la configuración en el disco y, luego, simular una ejecución de aprovisionamiento de usuarios. Durante la simulación, GCDS no realizará ningún cambio en tu cuenta de Cloud Identity o Google Workspace, sino que informará qué cambios realizaría durante una ejecución de aprovisionamiento regular.

  1. En el Administrador de configuración, haz clic en Sincronizar.
  2. En la parte inferior de la pantalla, selecciona Clear cache y, luego, en Simulate sync.
  3. Una vez que se complete el proceso, revisa la sección Cambios propuestos del registro que se muestra en la mitad inferior del diálogo y verifica que no haya cambios no deseados, como borrar o suspender usuarios o grupos.

Aprovisionamiento inicial de usuarios

Ahora puedes activar el aprovisionamiento inicial de usuarios:

Advertencias

  • Activar el aprovisionamiento de usuarios hará cambios permanentes en los usuarios y grupos de tu cuenta de Cloud Identity o Google Workspace.
  • Si tienes que aprovisionar una gran cantidad de usuarios, considera cambiar de forma temporal la consulta LDAP para que coincida solo con un subconjunto de estos usuarios. Mediante este subconjunto de usuarios, puedes probar el proceso y ajustar la configuración si es necesario. Una vez que valides los resultados de forma correcta, vuelve a cambiar la consulta LDAP y aprovisiona los usuarios restantes.
  • Evita modificar o borrar una gran cantidad de usuarios de manera constante cuando realices pruebas, ya que estas acciones pueden marcarse como comportamiento abusivo.

Activa una ejecución de aprovisionamiento de la siguiente manera:

  1. En el Administrador de configuración, haz clic en Sincronizar.
  2. En la parte inferior de la pantalla, selecciona Clear cache y, luego, haz clic en Sync & apply changes.

    Aparecerá un cuadro de diálogo que muestra el estado.

  3. Una vez que se complete el proceso, verifica el registro que se muestra en la mitad inferior del diálogo:

    1. En Successful user changes, verifica que se haya creado, al menos, un usuario.
    2. En Errores, verifica que no haya fallas.

Programación

Para garantizar que los cambios realizados en Active Directory se propaguen a tu cuenta de Cloud Identity o Google Workspace, configura una tarea programada que active una ejecución de aprovisionamiento cada hora:

  1. Abre una consola de PowerShell como administrador.
  2. Comprueba si el módulo de PowerShell de Active Directory está disponible en el sistema:

    import-module ActiveDirectory

    Si el comando falla, descarga e instala las herramientas de administración remota del servidor y vuelve a intentarlo.

  3. En Bloc de notas, crea un archivo, copia el siguiente contenido en él y guárdalo en %ProgramData%\gcds\sync.ps1. Cuando hayas terminado, cierra el archivo.

    [CmdletBinding()]
    Param(
        [Parameter(Mandatory=$True]
        [string]$config,
    
        [Parameter(Mandatory=$True)]
        [string]$gcdsInstallationDir
    )
    
    import-module ActiveDirectory
    
    # Stop on error.
    $ErrorActionPreference ="stop"
    
    # Ensure it's an absolute path.
    $rawConfigPath = [System.IO.Path]::Combine((pwd).Path, $config)
    
    # Discover closest GC in current domain.
    $dc = Get-ADDomainController -discover -Service "GlobalCatalog" -NextClosestSite
    Write-Host ("Using GC server {0} of domain {1} as LDAP source" -f [string]$dc.HostName, $dc.Domain)
    
    # Load XML and replace the endpoint.
    $dom = [xml](Get-Content $rawConfigPath)
    $ldapConfigNode = $dom.SelectSingleNode("//plugin[@class='com.google.usersyncapp.plugin.ldap.LDAPPlugin']/config")
    
    # Tweak the endpoint.
    $ldapConfigNode.hostname = [string]$dc.HostName
    $ldapConfigNode.ldapCredMachineName = [string]$dc.HostName
    $ldapConfigNode.port = "3268"   # Always use GC port
    
    # Tweak the tsv files location
    $googleConfigNode = $dom.SelectSingleNode("//plugin[@class='com.google.usersyncapp.plugin.google.GooglePlugin']/config")
    $googleConfigNode.nonAddressPrimaryKeyMapFile = [System.IO.Path]::Combine((pwd).Path, "nonAddressPrimaryKeyFile.tsv")
    $googleConfigNode.passwordTimestampFile = [System.IO.Path]::Combine((pwd).Path, "passwordTimestampCache.tsv")
    
    # Save resulting config.
    $targetConfigPath = $rawConfigPath + ".autodiscover"
    
    $writer = New-Object System.IO.StreamWriter($targetConfigPath, $False, (New-Object System.Text.UTF8Encoding($False)))
    $dom.Save($writer)
    $writer.Close()
    
    # Start provisioning.
    Start-Process -FilePath "$gcdsInstallationDir\sync-cmd" `
        -Wait -ArgumentList "--apply --config ""$targetConfigPath"""
    
  4. El Administrador de configuración creó una clave secreta para encriptar las credenciales en el archivo de configuración. Para asegurarte de que GCDS aún pueda leer la configuración cuando se ejecute como una tarea programada, ejecuta los siguientes comandos para copiar esa clave secreta de tu propio perfil al perfil de NT AUTHORITY\LOCAL SERVICE:

    New-Item -Path Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp -Force;
    Copy-Item -Path Microsoft.PowerShell.Core\Registry::HKEY_CURRENT_USER\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp\util `
        -Destination Microsoft.PowerShell.Core\Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp\util
    

    Si los comandos fallan, asegúrate de haber iniciado la consola de PowerShell como administrador.

  5. Crea una tarea programada mediante la ejecución de los siguientes comandos. La tarea programada se activará cada una hora e invocará la secuencia de comandos sync.ps1 como NT AUTHORITY\LOCAL SERVICE.

    $taskName = "Synchronize to Cloud Identity"
    $gcdsDir = "$Env:ProgramData\gcds"
    
    $action = New-ScheduledTaskAction -Execute 'PowerShell.exe' `
      -Argument "-ExecutionPolicy Bypass -NoProfile $gcdsDir\sync.ps1 -config $gcdsDir\config.xml -gcdsInstallationDir '$Env:Programfiles\Google Cloud Directory Sync'" `
      -WorkingDirectory $gcdsDir
    $trigger = New-ScheduledTaskTrigger `
      -Once `
      -At (Get-Date) `
      -RepetitionInterval (New-TimeSpan -Minutes 60) `
      -RepetitionDuration (New-TimeSpan -Days (365 * 20))
    
    $principal = New-ScheduledTaskPrincipal -UserID "NT AUTHORITY\LOCAL SERVICE" -LogonType ServiceAccount
    Register-ScheduledTask -Action $action -Trigger $trigger -Principal $principal -TaskName $taskName
    
    $task = Get-ScheduledTask -TaskName "$taskName"
    $task.Settings.ExecutionTimeLimit = "PT12H"
    Set-ScheduledTask $task
    

Para obtener más información, consulta Cómo programar la sincronización automática.

Prueba el aprovisionamiento de usuarios

Completaste la instalación y la configuración de GCDS, y la tarea programada activará un aprovisionamiento cada hora.

Para activar una ejecución de aprovisionamiento de forma manual, cambia a la consola de PowerShell y ejecuta el siguiente comando:

Start-ScheduledTask "Synchronize to Cloud Identity"

Limpia

Para quitar GCDS, sigue estos pasos:

  1. Abre el Panel de control de Windows y haz clic en Programas > Desinstalar un programa.
  2. Selecciona Google Cloud Directory Sync y haz clic en Desinstalar/Cambiar para iniciar el asistente de desinstalación. Luego, sigue las instrucciones del asistente.
  3. Abre una consola de PowerShell y ejecuta el siguiente comando para quitar la tarea programada:

    $taskName = "Synchronize to Cloud Identity"
    Unregister-ScheduledTask -TaskName $taskName -Confirm:$False
    
  4. Ejecuta el siguiente comando para borrar la configuración y los archivos de registro:

    Remove-Item -Recurse -Force "$Env:ProgramData\gcds"
    Remove-Item -Recurse -Path Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp
    

¿Qué sigue?