A continuación se incluyen algunas preguntas habituales sobre el uso de Google Cloud Directory Sync.
- Configurar GCDS
- Tu Cuenta de Google
- Sincronizar usuarios y unidades organizativas
- Sincronizar grupos
- General
- Google Cloud
Configurar GCDS
Abrir sección | Ocultar todo y volver al principio
¿Cómo autorizo Google Cloud Directory Sync (GCDS) en un equipo sin interfaz gráfica de usuario (GUI)?- Asegúrate de que estás usando la versión 4.7.14 de GCDS o una posterior.
Consulta más información en el artículo Actualizar GCDS.
- Autoriza GCDS en un ordenador que tenga GUI.
Consulta información detallada en el artículo Autorizar tu cuenta de Google.
- Crea y guarda el archivo XML.
- En el mismo ordenador, usa la línea de comandos para ejecutar la herramienta upgrade-config con el parámetro -exportkeys.
Ejemplo: upgrade-config -exportkeys archivo de la clave de cifrado [contraseña]
En este ejemplo, las claves se exportan a un archivo llamado archivo de la clave de cifrado. La contraseña es opcional.
- Copia el archivo de la clave de cifrado y el archivo de configuración en un ordenador que no tenga GUI.
- En ese ordenador, usa la línea de comandos para ejecutar la herramienta upgrade-config usando el parámetro -importkeys.
Ejemplo: upgrade-config -importkeys nombre de archivo
Importante: El parámetro -importkeys elimina las configuraciones de GCDS autorizadas que puedas tener en tu ordenador.
- Si es necesario, escribe la contraseña definida en el paso 4.
Deberías recibir un mensaje en el que se confirme que las claves se han importado correctamente.
Nota: Para ver más opciones, desde la línea de comandos, introduce el comando upgrade-config -help.
- Si crees que tienes cambios de direcciones de correo electrónico o de nombres de usuario pendientes, o si no lo sabes con seguridad, elige una opción:
- Ejecuta una sincronización en el servidor antiguo.
- Copia los archivos de valores separados por tabulaciones (TSV) en el servidor nuevo.
Puedes encontrar el nombre y la ubicación de los archivos TSV en el archivo de configuración buscando .tsv.
- Instala GCDS en el servidor nuevo. Consulta cómo hacerlo en el artículo Descargar e instalar GCDS.
- Copia el archivo de configuración en el servidor nuevo.
- En el servidor nuevo, ve al gestor de configuración y abre el archivo de configuración.
- Vuelve a autorizar GCDS en tu cuenta de Google. Consulta cómo hacerlo en el artículo Autorizar tu cuenta de Google.
- En la página LDAP Configuration (Configuración de LDAP), actualiza la contraseña de LDAP. Consulta cómo hacerlo en la sección Ajustes de conexión de LDAP.
- En la página Notifications (Notificaciones), actualiza la contraseña de SMTP. Consulta la sección Atributos de notificación para ver las instrucciones.
- Ejecuta una sincronización simulada.
- Revisa la sincronización para asegurarte de que no haya cambios inesperados.
- Ejecuta una sincronización completa.
Después de la sincronización, se actualizan los archivos TSV del servidor antiguo. Si no has transferido esos archivos, se crean unos nuevos.
Si tienes algún problema con los certificados cuando ejecutas GCDS, consulta el artículo Solucionar problemas relacionados con los certificados.
Tu cuenta de Google
Abrir sección | Ocultar todo y volver al principio
¿Qué APIs utiliza GCDS?GCDS utiliza APIs de Google Workspace para sincronizar los datos de tu directorio con tu cuenta de Google. Las APIs utilizan OAuth, no una contraseña de administrador, para autenticarse. Este enfoque permite que funciones como la verificación en dos pasos sigan activas sin afectar a las funciones de GCDS.
GCDS utiliza las siguientes APIs:
Los cambios pueden tardar hasta 8 días en verse reflejados en tu cuenta de Google. Para entender por qué, debes saber cómo se almacenan datos en caché en GCDS.
GCDS almacena en caché los datos de tu cuenta de Google durante un periodo máximo de 8 días. También puede borrar la caché con más frecuencia, en función del tamaño de los datos almacenados en ella. Sin embargo, si no se borra antes, quizá tengas que esperar hasta 8 días para ver los cambios que se hayan hecho directamente en tu cuenta de Google (ya sea con la consola de administración o con otro cliente de API).
Una vez que la caché se ha borrado, GCDS identifica el cambio en la cuenta de Google y lo compara con los datos de origen del directorio LDAP. Si los datos no coinciden, GCDS deshace el cambio que se ha hecho en la cuenta de Google.
Para borrar la caché manualmente, tienes estas opciones:
- Ejecuta una sincronización en el gestor de configuración y selecciona la opción de borrar la caché durante el proceso.
- Utiliza la marca de la línea de comandos -f para forzar el borrado de la caché.
- Modifica el archivo de configuración XML para asignar a maxCacheLifetime el valor maxCacheLifetime.
Importante: Si obligas a que se borre la caché, es posible que la sincronización tarde mucho más tiempo de lo habitual.
Los perfiles de usuario, incluidos los atributos adicionales, se guardan en las cuentas de usuario de Google correspondientes y se muestran en el directorio de la cuenta. GCDS accede al directorio de Contactos de Google. Consulta más información en el artículo Introducción: configurar y gestionar el directorio.
En la configuración de GCDS, puedes especificar los atributos que se evaluarán. GCDS evalúa los datos almacenados en un atributo solo si este coincide con una dirección SMTP válida.
Si se utiliza proxyAddresses de Microsoft Active Directory, GCDS elimina el prefijo proxyAddresses durante la sincronización para que no se muestre en tu dominio de Google.
Sí. GCDS te permite sincronizar datos de un directorio LDAP con varias cuentas de Google usando varios archivos de configuración. Si vas a hacer varias sincronizaciones al mismo tiempo, asegúrate de que los archivos de configuración se guardan con nombres únicos.
Para clonar un archivo de configuración, utiliza la opción Save as (Guardar como) del gestor de configuración y guarda el archivo con un nombre nuevo.
GCDS sigue los ajustes de gestión de cuentas en conflicto que hayas configurado en la consola de administración de Google. Consulta más información en el artículo Gestionar cuentas en conflicto con GCDS.
Sincronizar usuarios y unidades organizativas
Abrir sección | Ocultar todo y volver al principio
¿Cómo configuro GCDS para aprovisionar solo un subconjunto de usuarios?Si quieres sincronizar un subconjunto de usuarios con tu cuenta de Google, puedes utilizar un único grupo de directorios de Active Directory o LDAP como origen. El uso de un grupo limita el número de usuarios que se aprovisionan en tu cuenta de Google.
Ejemplo:
Consulta de usuario
(&(memberof=cn=appsUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
Esta consulta devuelve todos los usuarios que son miembros del grupo identificado por el nombre del dominio del grupo, que tienen direcciones de correo electrónico y cuyas cuentas no están inhabilitadas.
Puedes configurar GCDS para que excluya una unidad organizativa de tu cuenta de Google creando una regla de exclusión con la ruta completa de la organización en la configuración del dominio de Google.
Ejemplo:
Regla de exclusión
Tipo: Organization Complete Path (Ruta completa de la organización)
Match Type: Exact Match (Concordancia exacta)
Regla: /OUPath/MyExcludedOU
Si has añadido un dominio adicional (secundario), puedes sincronizar usuarios con él mediante GCDS. Para sincronizar usuarios con tu dominio secundario, asegúrate de que las direcciones de correo que tengan esos usuarios en el servidor LDAP coincidan con el nombre de tu dominio secundario. GCDS crea los usuarios en tu cuenta de Google usando tu dominio secundario como dirección de correo principal.
Si no quieres cambiar tu atributo de correo LDAP, asigna otro atributo para sincronizar las direcciones de correo electrónico de los usuarios de tu dominio secundario. Consulta más información sobre los dominios secundarios en el artículo Añadir un dominio de alias de usuario o un dominio secundario.
Sí, siempre que el servidor LDAP admita esos comodines.
Los directorios LDAP no admiten comodines en los atributos de nombre completo (DN, distinguished name) cuando se hace una consulta de búsqueda de usuarios. Por ejemplo, puedes utilizar (mail=user*), pero no (distinguishedName=*,DC=domain,DC=com).
Sí, si utilizas un servidor LDAP que admita este tipo de búsquedas. Son compatibles con Active Directory, pero no con OpenLDAP.
Si una cuenta de usuario de Google Workspace se suspende después de ejecutar GCDS, recibirás un mensaje de error en el que se explica por qué ha ocurrido. Para evitar que se repita ese error en las siguientes sincronizaciones, puedes implementar una de las siguientes soluciones en función de la causa del problema:
- Problema: El usuario no existe en el servidor LDAP.
Solución: Como el usuario no existe en el servidor LDAP, el cliente debería crear una regla de exclusión de usuario de Google para evitar que GCDS suspenda ese usuario en Google Workspace.
-
Problema: El usuario no tiene una dirección de correo válida en el servidor LDAP.
Solución: Te aconsejamos que configures una dirección de correo para este usuario o establezcas una regla de exclusión de usuarios de Google para evitar que GCDS suspenda al usuario en Google Workspace.
También puedes cambiar la configuración de GCDS para que utilice el atributo de la dirección de correo del usuario que está en el servidor LDAP. Por ejemplo, usa el atributo userPrincipalName (UPN) en vez del atributo userPrincipalName.
-
Problema: Las reglas de exclusión se han saltado el usuario en el servidor LDAP.
Solución: Deberías corregir las reglas de exclusión si no quieres suspender a este usuario.
-
Problema: Se ha detectado y suspendido a un usuario en las reglas de búsqueda porque está marcada la opción Suspend these users in the Google Domain (Suspender estos usuarios en el dominio de Google).
Solución: Podría ser necesario suspender al usuario.
-
Problema: El usuario se ha suspendido en el servidor LDAP.
Solución: Podría ser necesario suspender al usuario.
Sincronizar grupos
Abrir sección | Ocultar todo y volver al principio
¿Puede GCDS sincronizar pertenencias a grupos circulares?La pertenencia circular ocurre cuando dos o más grupos son miembros unos de otros. Por ejemplo, el grupo A es miembro del grupo B, que a su vez es miembro del grupo A.
LDAP y Microsoft Active Directory admiten la pertenencia circular. Sin embargo, Grupos de Google no la admite. Por lo tanto, si intentas sincronizar una pertenencia circular, se mostrará este mensaje de error: "Cyclic memberships not allowed" (No se admiten pertenencias circulares).
Puedes configurar GCDS para que excluya un grupo creando una regla que excluya la dirección de correo del grupo en la configuración del dominio de Google. Consulta más información en Usar reglas para datos de Google.
Ejemplo:
Regla de exclusión
Type (Tipo): Group Email Address (Dirección de correo de grupo)
Match Type (Tipo de concordancia): Exact Match (Concordancia exacta)
Rule (Regla): GCP_Project1@example.com
Nota: Te recomendamos que crees y gestiones estos grupos en tu directorio LDAP. Las pertenencias a los grupos se mantienen actualizadas en tu cuenta de Google cuando GCDS sincroniza datos.
Para conservar los grupos que no están en LDAP, puedes activar el ajuste Don’t delete Google Groups not found in LDAP (No eliminar grupos de Google no encontrados en LDAP). Consulta más información en la sección Política de eliminación de grupos de Google.
Los usuarios pueden crear grupos en Grupos de Google para empresas. Si un grupo de LDAP coincide con un grupo creado por un usuario, GCDS lo ignora como si hubiera una regla de exclusión de GCDS aplicada a ese grupo en concreto. Si el grupo no coincide con los datos de LDAP, no lo eliminará.
Si has añadido miembros al objeto o a la entidad correspondiente en LDAP, GCDS los incorporará al grupo. Si has añadido usuarios al grupo de Google que no coinciden con los datos de LDAP, esos miembros no se eliminarán durante el proceso de sincronización.
Consulta más información sobre los grupos creados por usuarios en el artículo Preguntas frecuentes de los administradores de Grupos de Google.
Sí, GCDS puede sincronizar las pertenencias a este tipo de grupos. Sin embargo, hay algunas limitaciones con respecto a los grupos anidados y la entrega de correo electrónico con Grupos de Google para empresas. En los siguientes casos, no todos los miembros de grupos anidados reciben los correos electrónicos enviados al grupo:
- Si el permiso de moderación está habilitado en un grupo, los correos electrónicos no se enviarán automáticamente a los miembros del grupo ni a los de otros grupos anidados hasta que el moderador los apruebe.
- Cuando algunos grupos superiores no tienen permiso para enviar mensajes a los grupos anidados.
Temas relacionados
Sí. GCDS sincroniza los miembros de los grupos, tanto si son usuarios como si son otros grupos. Sin embargo, no admite reglas de búsqueda para mostrar los miembros de grupos anidados si la regla de búsqueda no es compatible con tu servidor LDAP.
General
Abrir sección | Ocultar todo y volver al principio
¿Cómo puedo añadir una marca de función opcional al archivo de configuración de GCDS?Antes de empezar: asegúrate de que GCDS admita la función.
- Busca el archivo de configuración. Es el mismo archivo XML que usas para cargar tu configuración de GCDS.
- Abre el archivo de configuración con un editor de texto.
- En el archivo XML, busca la etiqueta <features> e inserta una línea nueva dentro de la etiqueta.
- En la nueva línea, añade una nueva etiqueta <optional> con el nombre de la función.
- Guarda y cierra el archivo.
Ejemplo
En el siguiente ejemplo se muestra cómo añadir la función DONT_RESOLVE_USER_CONFLICT_ACCOUNTS.
<features>
<optional>DONT_RESOLVE_USER_CONFLICT_ACCOUNTS</optional>
</features>
Puede que sea por un problema de configuración; por ejemplo, porque una regla de exclusión no está bien configurada. Este tipo de problema puede ser difícil de detectar porque el sistema de almacenamiento en caché de GCDS podría ocultarlo.
GCDS almacena en caché los datos de tu servicio de Google (como Google Workspace o Cloud Identity) durante un periodo máximo de 8 días. También puede borrar la caché con más frecuencia, en función del tamaño de los datos almacenados en ella. Sin embargo, si no se borra antes, quizá tengas que esperar hasta 8 días para ver los cambios que se hayan hecho directamente en tu cuenta de Google (ya sea con la consola de administración o con otro cliente de API).
Para borrar la caché manualmente, tienes estas opciones:
- Ejecuta una sincronización en el gestor de configuración y selecciona la opción de borrar la caché durante el proceso.
- Utiliza la marca de la línea de comandos -f para forzar el borrado de la caché.
- Modifica el archivo de configuración XML para asignar a maxCacheLifetime el valor maxCacheLifetime.
Importante: Si obligas a que se borre la caché, es posible que la sincronización tarde mucho más tiempo de lo habitual.
Ejemplo: Supongamos que tienes un grupo que está tanto en tu servidor LDAP como en tu cuenta de Google y creas una regla de Google para excluir ese grupo y evitar así que GCDS lo modifique durante una sincronización.
Sin embargo, esta regla hace que GCDS se comporte como si el grupo no existiera en tu cuenta de Google. GCDS intenta crear el grupo, pero como el grupo ya existe, aparece un error y se añade a la caché. Las sincronizaciones posteriores utilizan la caché y GCDS reconoce que el grupo ya existe. Sin embargo, una vez que se borra la caché, GCDS vuelve a comportarse como si el grupo no existiera.
La configuración predeterminada de sincronización de contraseñas de GCDS sirve para definir la forma en que GCDS crea las contraseñas de las cuentas de usuario nuevas. Si no quieres personalizar las contraseñas de cuenta iniciales, no es necesario que hagas nada. Utiliza simplemente la configuración predeterminada.
Si usas Active Directory, puedes sincronizar las contraseñas de los usuarios de este servicio con tu dominio de Google mediante Sincronización de contraseñas.
GCDS aplica las reglas por orden, empezando por la que tiene una prioridad superior.
Por ejemplo, supongamos que configuras una regla de sincronización de cuentas de usuario para crear usuarios en la unidad organizativa raíz o /. A continuación, creas otra regla de menor prioridad para crear usuarios en la unidad organizativa /Excepciones. Al realizar una sincronización, los usuarios que coincidan con ambas reglas se crearán en la unidad organizativa raíz, ya que esa regla tiene la prioridad más alta.
Para que los usuarios se sitúen en /Excepciones, coloca la regla por encima de cualquier otra regla de la lista con la que esté en conflicto, o bien ponla en la primera posición de la lista.
GCDS utiliza OAuth 2.0 de tres vías para la autorización. Mediante este proceso, se proporciona a GCDS un token de OAuth 2.0. Con ese token, GCDS puede adoptar medidas en nombre del administrador que llevó a cabo la autorización.
Todas esas medidas se vinculan al administrador que autorizó GCDS, por lo que quizá te interese crear una cuenta de administrador de GCDS específica para identificar fácilmente las auditorías y los cambios efectuados por GCDS.
Tema relacionado
Durante una sincronización, GCDS se basa en la configuración de LDAP para determinar si un esquema personalizado debe conservarse o eliminarse de tu cuenta de Google.
Además, el archivo de configuración de GCDS incluye un ajuste schemaHistory, que contiene información sobre esquemas personalizados que se han sincronizado con anterioridad. Cuando GCDS sincroniza un esquema personalizado, este se añade automáticamente a schemaHistory. Si eliminas manualmente los ajustes schemaHistory del archivo de configuración y el esquema personalizado no existe en el directorio LDAP, GCDS se lo salta y no lo elimina de tu cuenta de Google.
Para eliminar manualmente schemaHistory del archivo de configuración, busca lo siguiente:
<schemas>
<schemaDefinitions />
<schemaHistory>
<schemaName>GroupMembership</schemaName>
</schemaHistory>
</schemas>
La clave simétrica que cifra el token de actualización de GCDS la genera la herramienta de criptografía KeyGenerator de Java mediante AES 128.
De almacenarla se encarga el método userNodeForPackage de la clase Preferences de Java. La ubicación exacta donde se guarda la clave no la controla GCDS, sino que depende del sistema operativo.
En Windows, esos datos se almacenan en el subárbol del registro de los usuarios. En Linux, se almacenan en el directorio "home" de los usuarios.
Recomendamos que los clientes sigan las prácticas recomendadas para asegurarse de que la clave esté bien protegida utilizando un sistema de archivos cifrado y listas de control de acceso restrictivas.
GCDS utiliza internamente el ID único (también llamado "clave principal sin dirección") y no se sincroniza con Google Workspace. GCDS almacena el ID único en un archivo TSV en el ordenador en el que se ha instalado GCDS. Puedes encontrar el nombre de este archivo y su ruta completa en el archivo de configuración XML.
Si se cambia el nombre de un usuario en el servidor LDAP, pero no en Google Workspace, GCDS utiliza el ID único para evitar que los datos del usuario se eliminen o se dupliquen.
Nota: Es posible que se produzcan problemas de sincronización si cambias manualmente las direcciones de correo de los usuarios tanto en el servidor LDAP como en Google Workspace. Para evitar este problema, quita los registros de usuario correspondientes del archivo TSV antes de ejecutar GCDS.
Google Cloud
Abrir sección | Ocultar todo y volver al principio
¿Cómo puedo sincronizar grupos de seguridad de Active Directory o de mi directorio LDAP y utilizarlos en Cloud IAM?Puedes configurar GCDS para que sincronice los grupos de seguridad mediante reglas de búsqueda de LDAP.
Ejemplo 1: Buscar todos los grupos de seguridad
En este ejemplo se muestra una búsqueda de LDAP para encontrar todos los grupos de seguridad que tienen una dirección de correo electrónico:
(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*))
Ejemplo 2: Buscar un subconjunto de grupos de seguridad
Si quieres sincronizar un subconjunto de grupos de seguridad, te recomendamos usar extensionAttribute1 y especificar un valor concreto, como GoogleCloud. Después, puedes acotar la consulta de GCDS para que solo se aprovisione el subconjunto de grupos de seguridad específico.
En este ejemplo se muestra una búsqueda de LDAP para encontrar todos los grupos de seguridad que tienen una dirección de correo electrónico y el atributo GoogleCloud:
(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*)(extensionAttribute1=GoogleCloud))
Importante:
- Para hacer referencia a los grupos de un dominio de Google se utilizan direcciones de correo electrónico. Por ello, debes asegurarte de que todos los grupos de seguridad que quieras sincronizar tienen definido un atributo de correo válido.
- A los grupos que se crean en los dominios de Google no se les asigna automáticamente ninguna función explícita de Gestión de Identidades y Accesos de Cloud (IAM). Una vez que se ha creado un grupo, deberás asignarle funciones concretas en Cloud IAM.
Puedes configurar GCDS añadiendo una regla de sincronización para los usuarios de Google Cloud. La forma más sencilla consiste en crear una consulta basada en los usuarios que son miembros de un grupo; por ejemplo:
(&(memberof=cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
A continuación, utiliza este filtro de búsqueda y quédate con los usuarios que sean miembros del grupo, tengan una dirección de correo y no tengan suspendidas sus cuentas:
group cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com
Recomendamos colocar estos usuarios en una única unidad organizativa. Para hacerlo, dale a la regla un nombre de unidad organizativa, como "Usuarios de Cloud". Crea la unidad organizativa si aún no existe.
Problemas con licencias
Examina cómo está configurado tu dominio para poder asignar licencias de producto correctamente a las cuentas de usuario. Si está habilitada la asignación automática de licencias, quizá te interese excluir a los usuarios de la unidad organizativa "Usuarios de Cloud" para que no se les asigne ninguna licencia de producto. Consulta más información en Establecer las opciones de asignación automática de licencias en una organización.
Si tus requisitos de asignación de licencias son más complejos, puedes configurar GCDS para sincronizar y gestionar todas las asignaciones de licencias de tus usuarios. Para obtener más información, consulta el artículo Sincronizar licencias.
Google, Google Workspace, así como las marcas y los logotipos relacionados, son marcas de Google LLC. Todos los demás nombres de empresas y productos son marcas de las empresas con las que están asociadas.