Preguntas frecuentes sobre Google Cloud Directory Sync

Google Cloud Directory Sync

Tu dominio de Google  |  Sincronizar usuarios, grupos y unidades organizativas  |  Información general  |  Cloud Platform

Abrir todo   |   Cerrar todo

Tu dominio de Google

¿Qué ocurre cuando hay un cambio en el dominio de Google que no se refleja en Active Directory o en el directorio LDAP?

Pueden transcurrir hasta 8 días hasta que un cambio se refleje en el dominio de Google. 

Para entender por qué, debes saber cómo se almacenan los datos en la memoria caché en Google Cloud Directory Sync (GCDS). GCDS almacena en caché los datos de tu servicio de Google durante un periodo máximo de 8 días. También puede borrar la memoria caché con más frecuencia, en función del tamaño de los datos almacenados en ella. Hasta que no se borre, GCDS no detectará ningún cambio que se haya hecho en el dominio de Google. 

Una vez que la caché se ha borrado, GCDS identifica el cambio y compara el dominio de Google con los datos de origen del directorio LDAP. Si los datos no coinciden, deshará el cambio. 

Recuerda que lo recomendable es actualizar los datos de LDAP y luego sincronizarlos con el dominio de Google. 

Para borrar la memoria caché manualmente:

  • Haz una sincronización en el gestor de configuración y selecciona la opción de borrar la caché cuando se lleve a cabo la tarea.
  • Utiliza la marca de la línea de comandos -f para obligar a que se borre la caché.
  • Modifica el archivo de configuración XML para dar a maxCacheLifetime el valor 0.

Importante: Obligar a que se borre la caché puede incrementar considerablemente la duración de la sincronización.

¿Cómo accede GCDS a los datos del perfil de usuario almacenados en mi dominio de Google?

Los perfiles de usuario, incluidos los atributos de usuario adicionales, se guardan en la cuenta de usuario de Google y se pueden ver en el directorio global del dominio. GCDS accede al directorio global de Contactos de Google. 

¿Cómo determina GCDS qué alias de direcciones de correo electrónico se añaden a una cuenta de Google?

En la configuración de GCDS, puedes especificar los atributos que se evaluarán. GCDS evalúa los datos almacenados en el atributo solo si este coincide con una dirección SMTP válida.

En el caso del elemento "proxyAddresses" de Microsoft® Active Directory®, GCDS suprime el prefijo smtp: durante la sincronización, de forma que no aparecerá en tu dominio de Google. 

Sincronizar usuarios, grupos y unidades organizativas

¿Puede GCDS sincronizar pertenencias a grupos cíclicas?

La pertenencia cíclica se refiere a cuando dos o más grupos son miembros unos de otros. Por ejemplo, el grupo A es miembro del grupo B, y el grupo B es miembro del grupo A. LDAP y Microsoft® Active Directory® admiten la pertenencia cíclica, pero Grupos de Google no. Si intentas sincronizar una pertenencia cíclica en GCDS, se mostrará este mensaje de error: "Cyclic memberships not allowed" (No se admiten pertenencias a grupos cíclicas).

¿Por qué GCDS sigue devolviendo un error cuando la caché está inhabilitada?

Puede deberse a un problema de configuración, por ejemplo, que no se haya configurado bien alguna regla de exclusión. Este tipo de problema puede ser difícil de detectar debido al almacenamiento en la memoria caché que realiza GCDS. 

GCDS almacena en caché los datos de tu servicio de Google (como G Suite o Cloud Identity) durante un periodo máximo de 8 días. También puede borrar la caché con más frecuencia, en función del tamaño de los datos almacenados en ella. Sin embargo, es posible que, hasta que no se borre, no veas las actualizaciones hasta que hayan transcurrido 8 días. 

Puedes borrar la caché manualmente:

  • Haz una sincronización en el gestor de configuración y selecciona la opción de borrar la caché cuando se lleve a cabo la tarea.
  • Utiliza la marca de la línea de comandos -f para obligar a que se borre la caché.
  • Modifica el archivo de configuración XML para dar a maxCacheLifetime el valor 0.

Importante: Obligar a que se borre la caché puede incrementar considerablemente la duración de la sincronización.

Pongamos por caso que sincronizas tus datos de LDAP y creas un grupo de tu servicio de Google (como G Suite o Cloud Identity). A continuación, creas una regla de exclusión para excluir dicho grupo de las sincronizaciones que se realicen a partir de entonces. Pero la regla de exclusión se configura de forma incorrecta y se produce un error. Sin embargo, las siguientes llamadas de sincronización de los datos de la caché y el grupo permanecen en el servicio de Google. Cuando vuelvas a sincronizar el contenido con la memoria caché vacía, se producirá un error que hará que el grupo se elimine del servicio de Google.

¿Cómo configuro GCDS para aprovisionar solo un subconjunto de los usuarios de Active Directory o del directorio LDAP? 

Si solo quieres sincronizar un número reducido de usuarios con tu dominio de Google, puedes utilizar un único grupo de Active Directory o del directorio LDAP como origen de la sincronización. De esta forma, se limitará el número de usuarios que se aprovisionan en tu dominio de Google.

Ejemplo:

Consulta de usuarios
(&(memberof=cn=appsUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

Esta consulta devuelve todos los usuarios que son miembros del grupo indicado por el nombre de dominio del grupo, que tienen direcciones de correo electrónico y cuyas cuentas no están inhabilitadas.

¿Cómo puedo asegurarme de que GCDS no elimine ni modifique los grupos que he creado? 

Puedes configurar GCDS para que excluya un grupo creando una regla que excluya la dirección de correo electrónico del grupo en la configuración del dominio de Google. 

Ejemplo:

Regla de exclusión
Tipo: Group Email Address (Dirección de correo electrónico del grupo)
Tipo de concordancia: Exact Match (Concordancia exacta)
Regla: GCP_Project1@domain.com

Nota: Te recomendamos que crees y gestiones estos grupos en tu directorio LDAP. Las pertenencias a los grupos se mantienen actualizadas en tu dominio de Google cuando GCDS sincroniza los datos.

¿Cómo puedo evitar que una unidad organizativa del servicio de Google se sincronice con GCDS?

Puedes configurar GCDS para que excluya una unidad organizativa de tu servicio de Google (como G Suite o Cloud Identity) creando una regla que excluya la ruta completa de la organización en la configuración del dominio de Google. 

Ejemplo:

Regla de exclusión
Tipo: Organization Complete Path (Ruta completa de la organización)
Tipo de concordancia: Exact Match (Concordancia exacta)
Regla: /OUPath/MyExcludedOU

¿Sincronizará GCDS los grupos creados por los usuarios?

Estos grupos se crean en Grupos de Google para empresas. Cuando un grupo de LDAP coincide con un grupo creado por un usuario, GCDS lo ignora como si hubiera una regla de exclusión de GCDS aplicada a ese grupo específico. Si el grupo no coincide con los datos de LDAP, no lo eliminará. 

Si has añadido miembros al objeto o entidad correspondiente en LDAP, GCDS los incorporará al grupo. Si has añadido usuarios al grupo de Google que no coinciden con los datos de LDAP, estos miembros no se eliminarán durante el proceso de sincronización. 

Para obtener más información sobre los grupos creados por los usuarios, consulta las preguntas frecuentes de los administradores de Grupos de Google

¿Puede GCDS sincronizar las pertenencias a grupos anidados? 

Sí, GCDS puede sincronizar las pertenencias a este tipo de grupos. Sin embargo, existen algunas limitaciones con respecto a los grupos anidados y la entrega de correo electrónico con Grupos de Google para empresas. 

En algunos casos, no todos los miembros de grupos anidados recibirán el contenido del correo electrónico que se envió al grupo. Estos casos son los siguientes:  

  • Cuando se ha habilitado el permiso de moderación: los correos electrónicos no se entregarán automáticamente a los miembros del grupo o a otros grupos anidados hasta que el moderador del grupo los apruebe. 
  • Grupos principales: estos grupos podrían no disponer de permiso de publicación para enviar el mensaje a los grupos anidados. 

Para obtener más información, consulta los artículos Añadir un grupo a otro grupo y Configurar quién puede ver, publicar y moderar contenido

Información general

¿Por qué tengo que configurar GCDS para sincronizar las contraseñas?

La configuración predeterminada de sincronización de contraseñas de GCDS sirve para definir la forma en que GCDS crea las contraseñas de las cuentas de usuario nuevas. Si no quieres personalizar las contraseñas de cuenta iniciales, no es necesario que hagas nada. Solo tendrás que utilizar la configuración predeterminada.

Con Active Directory puedes usar Password Sync para sincronizar las contraseñas de los usuarios de Active Directory con tu dominio de Google. 

¿Cómo resuelve GCDS los conflictos en los casos en que se aplican diversas reglas de sincronización?

GCDS aplica las reglas por orden, empezando por la que tiene una prioridad superior. 

Por ejemplo, supongamos que configuras una regla de sincronización de cuentas de usuario para crear usuarios en la unidad organizativa raíz o /. A continuación, configuras una regla de menor prioridad para crear usuarios en la unidad organizativa /Excepciones. Al realizar la sincronización, los usuarios que coincidan con ambas reglas se crearán en la unidad organizativa raíz, ya que esa regla tiene la prioridad más alta. 

Para que los usuarios se sitúen en /Excepciones, debes colocar la regla por encima de cualquier otra regla de la lista con la que esté en conflicto. O bien colócala en la primera posición de la lista.

¿Cómo puedo revisar una sincronización de GCDS? 

GCDS utiliza OAuth 2.0 de tres vías para la autorización. Mediante este proceso, se proporciona a GCDS un token de OAuth 2.0. Con este token, GCDS puede adoptar medidas en nombre del administrador que efectuó la autorización.

Todas las acciones de revisión se vinculan al administrador que autorizó GCDS. Quizá te interese crear una cuenta de administrador de GCDS específica para identificar fácilmente las revisiones y los cambios efectuados por GCDS. 

¿Cómo autorizo a GCDS en un equipo sin interfaz gráfica de usuario (GUI)? 

Para configurar GCDS en un servidor sin interfaz gráfica de usuario (GUI):

  1. Abre una ventana de símbolo de sistema y, para configurar tus credenciales LDAP, introduce:

    ./upgrade-config -ldapuser nombre_usuario_LDAP -ldappassword contraseña_LDAP -c nombre_archivo_configuración

  2. Autoriza tu dominio de Google escribiendo: 

    ./upgrade-config -Oauth nombre_dominio_Google -c nombre_archivo_configuración

  3. Para probar la conexión de LDAP, introduce:

    ./upgrade-config -testldap -c nombre_archivo_configuración

  4. Para probar la conexión de Google, introduce:

    ./upgrade-config -testgoogleapps -c nombre_archivo_configuración

Cloud Platform

¿Cómo puedo sincronizar los grupos de seguridad de Active Directory o del directorio LDAP y utilizarlos en Cloud IAM? 

Puedes configurar GCDS para que sincronice los grupos de seguridad mediante reglas de búsqueda de LDAP. 

Ejemplo 1: Buscar todos los grupos de seguridad

En este ejemplo se muestra una búsqueda de LDAP para encontrar todos los grupos de seguridad que tienen una dirección de correo electrónico:

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*))

Ejemplo 2: Buscar un subconjunto de grupos de seguridad

Si quieres sincronizar un subconjunto de grupos de seguridad, quizás te interese utilizar el elemento extensionAttribute1 y establecer un valor específico, como GoogleCloudPlatform. Después, puedes acotar la consulta de GCDS para que solo se aprovisione el subconjunto de grupos de seguridad específico.

En este ejemplo se muestra una búsqueda de LDAP para encontrar todos los grupos de seguridad que tienen una dirección de correo electrónico y el atributo GoogleCloudPlatform:

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*)(extensionAttribute1=GoogleCloudPlatform))


Importante:

  • Para hacer referencia a los grupos de un dominio de Google se utilizan direcciones de correo electrónico. Por ello, debes asegurarte de que todos los grupos de seguridad que quieras sincronizar tienen definido un atributo de correo válido.
  • A los grupos que se crean en los dominios de Google no se les asigna automáticamente ninguna función explícita de Google Cloud IAM. Una vez que se ha creado un grupo, deberás asignarle funciones concretas en Cloud IAM.
¿Cómo puedo añadir a usuarios que solo necesitan una cuenta para los proyectos de Google Cloud Platform?

Puedes configurar GCDS añadiendo una regla de sincronización para los usuarios de Google Cloud Platform. La forma más sencilla consiste en crear una consulta basada en los usuarios que son miembros de un grupo. Por ejemplo:

(&(memberof=cn=CloudPlatformUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

A continuación, puedes usar este filtro de búsqueda para quedarte con los usuarios que sean miembros del grupo, tengan una dirección de correo electrónico y cuyas cuentas no estén inhabilitadas: 

group cn=CloudPlatformUsers,cn=users,dc=corp,dc=domain,dc=com

Quizá te interese colocar estos usuarios en una única unidad organizativa. Para ello, define un nombre de unidad organizativa, como "Usuarios de Cloud Platform", en la regla. Crea la unidad organizativa si aún no existe. 

Problemas con la licencia

Ten en cuenta cómo se ha configurado tu dominio para poder asignar licencias de producto correctamente a las cuentas de usuario. Si está habilitada la asignación automática de licencias, quizás te interese excluir a los usuarios de la unidad organizativa "Usuarios de Cloud Platform" para que no se les asigne ninguna licencia de producto. Para obtener más información, consulta el artículo Configurar la asignación automática de licencias en unidades organizativas.

Si tus requisitos de asignación de licencias son más complejos, puedes configurar GCDS para sincronizar y gestionar todas las asignaciones de licencias de tus usuarios. Para obtener más información, consulta la sección Sincronizar las licencias

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?