Preguntas frecuentes sobre Google Cloud Directory Sync

Google Cloud Directory Sync

Configurar GCDS  |  Tu cuenta de Google  |  Sincronizar usuarios y unidades organizativas  |  Sincronizar grupos |  Google Cloud Platform  |  Preguntas generales

Configurar GCDS

¿Cómo autorizo GCDS en un equipo sin interfaz gráfica de usuario (GUI)?

Para configurar GCDS en un servidor sin interfaz gráfica de usuario (GUI):

  1. Abre una ventana de símbolo de sistema y, para configurar tus credenciales LDAP, introduce:

    ./upgrade-config -ldapuser nombre_usuario_LDAP -ldappassword contraseña_LDAP -c nombre_archivo_configuración

  2. Autoriza tu dominio de Google escribiendo: 

    ./upgrade-config -Oauth nombre_dominio_Google -c nombre_archivo_configuración

  3. Para probar la conexión de LDAP, introduce:

    ./upgrade-config -testldap -c nombre_archivo_configuración

  4. Para probar la conexión de Google, introduce:

    ./upgrade-config -testgoogleapps -c nombre_archivo_configuración

¿Cómo puedo cambiar mi servidor de GCDS?

Sigue estos pasos si necesitas mover GCDS a otro servidor:

  1. Si crees que tienes cambios de direcciones de correo electrónico o de nombres de usuario pendientes, o no lo sabes con seguridad, elige una opción:
    • Ejecuta una sincronización en el servidor antiguo.
    • Copia los archivos de valores separados por tabuladores (TSV) en el servidor nuevo.

      Puedes encontrar el nombre y la ubicación de los archivos TSV en el archivo de configuración. Busca en él .tsv para localizar esa información.

  2. Instala GCDS en el servidor nuevo. Consulta el artículo Descargar e instalar Google Cloud Directory Sync para ver las instrucciones.
  3. Copia el archivo de configuración en el servidor nuevo.
  4. En el servidor nuevo, ve al gestor de configuración y abre el archivo de configuración. 
  5. Vuelve a autorizar GCDS en tu cuenta de Google. Consulta el artículo Autorizar tu cuenta de Google para ver las instrucciones. 
  6. En la página LDAP Configuration (Configuración de LDAP), actualiza la contraseña de LDAP. Consulta la sección Ajustes de conexión de LDAP para ver las instrucciones. 
  7. En la página Notifications (Notificaciones), actualiza la contraseña de SMTP. Consulta la sección Atributos de notificación para ver las instrucciones.
  8. Ejecuta una sincronización simulada.
  9. Revisa la sincronización para asegurarte de que no haya cambios inesperados.
  10. Ejecuta una sincronización completa.

    Después de la sincronización, se actualizan los archivos TSV del servidor antiguo. Si no los has transferido, se crean unos nuevos.

↑ volver al principio

Tu cuenta de Google

¿Qué APIs utiliza GCDS?

GCDS utiliza APIs para subir datos y enviar solicitudes a tu cuenta de Google, y autentica las API mediante OAuth. También utiliza SMTP para enviar los informes de sincronización. GCDS utiliza las siguientes API:

¿Por qué no veo en mi cuenta de Google los cambios que se han hecho?

Los cambios pueden tardar hasta 8 días en verse reflejados en tu cuenta de Google. Para entender por qué, debes saber cómo se almacenan datos en caché en GCDS.

GCDS almacena en caché los datos de tu cuenta de Google durante un periodo máximo de 8 días. También puede borrar la caché con más frecuencia, en función del tamaño de los datos almacenados en ella. Sin embargo, si no se borra antes, quizá tengas que esperar hasta 8 días para ver los cambios que se hayan hecho directamente en tu cuenta de Google (ya sea con la consola de administración o con otro cliente de API). 

Una vez que la caché se ha borrado, GCDS identifica el cambio en la cuenta de Google y lo compara con los datos de origen del directorio LDAP. Si los datos no coinciden, GCDS deshace el cambio que se ha hecho en la cuenta de Google. 

Para borrar la caché manualmente, tienes estas opciones:

  • Ejecuta una sincronización en el gestor de configuración y selecciona la opción de borrar la caché durante el proceso.
  • Utiliza la marca de la línea de comandos -f para obligar a que se borre la caché.
  • Modifica el archivo de configuración XML para asignar a maxCacheLifetime el valor 0.

Importante: Si obligas a que se borre la caché, es posible que la sincronización dure mucho más tiempo de lo habitual.

¿Cómo accede GCDS a los datos de perfiles de usuario almacenados en mi cuenta de Google?

Los perfiles de usuario, incluidos los atributos adicionales, se guardan en las cuentas de usuario de Google correspondientes y se muestran en el directorio de la cuenta. GCDS accede al directorio de Contactos de Google. 

¿Cómo determina GCDS qué alias de direcciones de correo electrónico se añaden a una cuenta de Google?

En la configuración de GCDS, puedes especificar los atributos que se evaluarán. GCDS evalúa los datos almacenados en un atributo solo si este coincide con una dirección SMTP válida.

Si se utiliza proxyAddresses de Microsoft Active Directory, GCDS elimina el prefijo smtp: durante la sincronización para que no se muestre en tu dominio de Google. 

¿Puedo sincronizar más de una cuenta de G Suite a la vez?

Sí. GCDS te permite sincronizar datos de un directorio LDAP con varias cuentas de G Suite mediante el uso de varios archivos de configuración. Si vas a hacer varias sincronizaciones al mismo tiempo, asegúrate de que los archivos de configuración se guardan con nombres únicos.

Para clonar un archivo de configuración, utiliza la opción Save as (Guardar como) del gestor de configuración y guarda el archivo con un nombre nuevo.

↑ volver al principio

Sincronizar usuarios y unidades organizativas

¿Cómo configuro GCDS para aprovisionar solo un subconjunto de usuarios?

Si quieres sincronizar un subconjunto de usuarios con tu cuenta de Google, puedes utilizar un único grupo de directorios de Active Directory o LDAP como origen. El uso de un grupo limita el número de usuarios que se aprovisionan en tu cuenta de Google.

Ejemplo:

Consulta de usuario
(&(memberof=cn=appsUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

Esta consulta devuelve todos los usuarios que son miembros del grupo identificado por el nombre del dominio del grupo, que tienen direcciones de correo electrónico y cuyas cuentas no están inhabilitadas.

¿Cómo puedo excluir una unidad organizativa de mi cuenta de Google de una sincronización?

Puedes configurar GCDS para que excluya una unidad organizativa de tu cuenta de Google creando una regla de exclusión con la ruta completa de la organización en la configuración del dominio de Google.

Ejemplo:

Regla de exclusión
Tipo: Organization Complete Path (Ruta completa de la organización)
Match Type: Exact Match (Concordancia exacta)
Regla: /OUPath/MyExcludedOU

¿Puedo sincronizar usuarios con un dominio secundario?

Si has añadido un dominio adicional (secundario), puedes sincronizar usuarios con él mediante GCDS. Para sincronizar usuarios con tu dominio secundario, asegúrate de que las direcciones de correo que tengan esos usuarios en el servidor LDAP coincidan con el nombre de tu dominio secundario. GCDS crea los usuarios en tu cuenta de Google usando tu dominio secundario como dirección de correo principal.

Si no quieres cambiar tu atributo de correo LDAP, asigna otro atributo para sincronizar las direcciones de correo electrónico de los usuarios de tu dominio secundario. Consulta más información sobre los dominios secundarios en el artículo Añadir varios dominios o alias de dominio.

¿Puedo utilizar comodines en las consultas de búsqueda de usuarios de LDAP?

Sí, siempre que el servidor LDAP admita esos comodines.

Los directorios LDAP no admiten comodines en los atributos de nombre completo (DN, distinguished name) cuando se hace una consulta de búsqueda de usuarios. Por ejemplo, puedes utilizar (mail=user*), pero no (distinguishedName=*,DC=domain,DC=com).

¿Puedo utilizar una búsqueda periódica de tipo "memberOf" en las consultas de búsqueda de usuarios?

Sí, si utilizas un servidor LDAP que admita este tipo de búsquedas. Son compatibles con Active Directory, pero no con OpenLDAP.

↑ volver al principio

Sincronizar grupos

¿Puede GCDS sincronizar pertenencias a grupos circulares?

La pertenencia circular ocurre cuando dos o más grupos son miembros unos de otros. Por ejemplo, el grupo A es miembro del grupo B, que a su vez es miembro del grupo A.

LDAP y Microsoft Active Directory admiten la pertenencia circular, pero Grupos de Google no. Por lo tanto, si intentas sincronizar una pertenencia circular, se mostrará este mensaje de error: "Cyclic memberships not allowed" (No se admiten pertenencias circulares).

¿Qué puedo hacer para asegurarme de que GCDS no elimine ni modifique grupos que he creado? 

Puedes configurar GCDS para que no incluya un grupo determinado creando una regla que excluya la dirección de correo electrónico de ese grupo en la configuración del dominio de Google. 

Ejemplo:

Regla de exclusión
Tipo: Group Email Address (Dirección de correo electrónico del grupo)
Tipo de concordancia: Exact Match (Concordancia exacta)
Regla: GCP_Project1@domain.com

Nota: Te recomendamos que crees y gestiones estos grupos en tu directorio LDAP. Las pertenencias a los grupos se mantienen actualizadas en tu cuenta de Google cuando GCDS sincroniza datos.

¿Sincroniza GCDS los grupos creados por usuarios?

Estos grupos se crean en Grupos de Google para empresas. Si un grupo de LDAP coincide con un grupo creado por un usuario, GCDS lo ignora como si hubiera una regla de exclusión de GCDS aplicada a ese grupo en concreto. Si el grupo no coincide con los datos de LDAP, no lo eliminará. 

Si has añadido miembros al objeto o entidad correspondiente en LDAP, GCDS los incorporará al grupo. Si has añadido usuarios al grupo de Google que no coinciden con los datos de LDAP, esos miembros no se eliminarán durante el proceso de sincronización. 

Consulta más información sobre los grupos creados por usuarios en el artículo Preguntas frecuentes de los administradores de Grupos de Google

¿Puede GCDS sincronizar las pertenencias a grupos anidados?

Sí, GCDS puede sincronizar las pertenencias a este tipo de grupos. Sin embargo, hay algunas limitaciones con respecto a los grupos anidados y la entrega de correo electrónico con Grupos de Google para empresas. En los siguientes casos, no todos los miembros de grupos anidados reciben los correos electrónicos enviados al grupo:

  • Si el permiso de moderación está habilitado en un grupo, los correos electrónicos no se enviarán automáticamente a los miembros del grupo ni a los de otros grupos anidados hasta que el moderador los apruebe.
  • Cuando algunos grupos superiores no tienen permiso para enviar mensajes a los grupos anidados.

Temas relacionados

¿Puede GCDS buscar pertenencias a grupos anidados?

Sí. GCDS sincroniza los miembros de los grupos, tanto si son usuarios como si son otros grupos. Sin embargo, no admite reglas de búsqueda para mostrar los miembros de grupos anidados si la regla de búsqueda no es compatible con tu servidor LDAP.

↑ volver al principio

Preguntas generales

¿Por qué GCDS sigue devolviendo un error cuando se ha borrado la caché?

Puede que sea por un problema de configuración; por ejemplo, porque una regla de exclusión no está bien configurada. Este tipo de problema puede ser difícil de detectar porque el sistema de almacenamiento en caché de GCDS podría ocultarlo.

GCDS almacena en caché los datos de tu servicio de Google (como G Suite o Cloud Identity) durante un periodo máximo de 8 días. También puede borrar la caché con más frecuencia, en función del tamaño de los datos almacenados en ella. Sin embargo, si no se borra antes, quizá tengas que esperar hasta 8 días para ver los cambios que se hayan hecho directamente en tu cuenta de Google (ya sea con la consola de administración o con otro cliente de API). 

Para borrar la caché manualmente, tienes estas opciones:

  • Ejecuta una sincronización en el gestor de configuración y selecciona la opción de borrar la caché durante el proceso.
  • Utiliza la marca de la línea de comandos -f para obligar a que se borre la caché.
  • Modifica el archivo de configuración XML para asignar a maxCacheLifetime el valor 0.

Importante: Si obligas a que se borre la caché, es posible que la sincronización dure mucho más tiempo de lo habitual.

Ejemplo: Supongamos que tienes un grupo que está tanto en tu servidor LDAP como en tu cuenta de Google y creas una regla de Google para excluir ese grupo y evitar así que GCDS lo modifique durante una sincronización.

Sin embargo, esta regla hace que GCDS se comporte como si el grupo no existiera en tu cuenta de Google. GCDS intenta crear el grupo, pero como el grupo ya existe, aparece un error y se añade a la caché. Las sincronizaciones posteriores utilizan la caché y GCDS reconoce que el grupo ya existe. Sin embargo, una vez que se borra la caché, GCDS vuelve a comportarse como si el grupo no existiera.

¿Por qué tengo que configurar GCDS para sincronizar las contraseñas?

La configuración predeterminada de sincronización de contraseñas de GCDS sirve para definir la forma en que GCDS crea las contraseñas de las cuentas de usuario nuevas. Si no quieres personalizar las contraseñas de cuenta iniciales, no es necesario que hagas nada. Utiliza simplemente la configuración predeterminada.

Si usas Active Directory, puedes sincronizar las contraseñas de los usuarios de este servicio con tu dominio de Google mediante Password Sync

¿Cómo resuelve GCDS los conflictos cuando se aplican varias reglas de sincronización?

GCDS aplica las reglas por orden, empezando por la que tiene una prioridad superior. 

Por ejemplo, supongamos que configuras una regla de sincronización de cuentas de usuario para crear usuarios en la unidad organizativa raíz o /. A continuación, creas otra regla de menor prioridad para crear usuarios en la unidad organizativa /Excepciones. Al realizar una sincronización, los usuarios que coincidan con ambas reglas se crearán en la unidad organizativa raíz, ya que esa regla tiene la prioridad más alta. 

Para que los usuarios se sitúen en /Excepciones, coloca la regla por encima de cualquier otra regla de la lista con la que esté en conflicto, o bien ponla en la primera posición de la lista.

¿Cómo puedo hacer una auditoría de una sincronización de GCDS? 

GCDS utiliza OAuth 2.0 de tres vías para la autorización. Mediante este proceso, se proporciona a GCDS un token de OAuth 2.0. Con ese token, GCDS puede adoptar medidas en nombre del administrador que llevó a cabo la autorización.

Todas esas medidas se vinculan al administrador que autorizó GCDS, por lo que quizá te interese crear una cuenta de administrador de GCDS específica para identificar fácilmente las auditorías y los cambios efectuados por GCDS. 

Temas relacionados

Autorizar tu cuenta de Google

¿GCDS eliminará mis esquemas si habilito la sincronización de esquemas?

Durante una sincronización, GCDS se basa en la configuración de LDAP para determinar si un esquema personalizado debe conservarse o eliminarse de tu cuenta de Google. 

Además, el archivo de configuración de GCDS incluye un ajuste schemaHistory, que contiene información sobre esquemas personalizados que se han sincronizado con anterioridad. Cuando GCDS sincroniza un esquema personalizado, este se añade automáticamente a schemaHistory. Si eliminas manualmente los ajustes schemaHistory del archivo de configuración y el esquema personalizado no existe en el directorio LDAP, GCDS se lo salta y no lo elimina de tu cuenta de Google.

Para eliminar manualmente schemaHistory del archivo de configuración, busca lo siguiente: 

<schemas>
   <schemaDefinitions />
   <schemaHistory>
      <schemaName>GroupMembership</schemaName>
   </schemaHistory>
</schemas>

↑ volver al principio

Google Cloud Platform

¿Cómo puedo sincronizar grupos de seguridad de Active Directory o de mi directorio LDAP y utilizarlos en Cloud IAM?

Puedes configurar GCDS para que sincronice grupos de seguridad mediante reglas de búsqueda de LDAP. 

Ejemplo 1: Buscar todos los grupos de seguridad

En este ejemplo se muestra una búsqueda de LDAP para encontrar todos los grupos de seguridad que tienen una dirección de correo electrónico:

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*))

Ejemplo 2: Buscar un subconjunto de grupos de seguridad

Si quieres sincronizar un subconjunto de grupos de seguridad, quizás te interese utilizar el elemento extensionAttribute1 y establecer un valor específico, como GoogleCloudPlatform. Después, puedes acotar la consulta de GCDS para que solo se aprovisione el subconjunto de grupos de seguridad específico.

En este ejemplo se muestra una búsqueda de LDAP para encontrar todos los grupos de seguridad que tienen una dirección de correo electrónico y el atributo GoogleCloudPlatform:

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*)(extensionAttribute1=GoogleCloudPlatform))

Importante:

  • Para hacer referencia a los grupos de un dominio de Google se utilizan direcciones de correo electrónico. Por ello, debes asegurarte de que todos los grupos de seguridad que quieras sincronizar tienen definido un atributo de correo válido.
  • A los grupos que se crean en los dominios de Google no se les asigna automáticamente ninguna función explícita de Gestión de Identidades y Accesos de Cloud (IAM). Una vez que se ha creado un grupo, deberás asignarle funciones concretas en Cloud IAM.
¿Cómo puedo añadir usuarios que solo necesitan una cuenta para proyectos de Google Cloud Platform?

Puedes configurar GCDS añadiendo una regla de sincronización para los usuarios de Google Cloud Platform. La forma más sencilla consiste en crear una consulta basada en los usuarios que son miembros de un grupo. Por ejemplo:

(&(memberof=cn=CloudPlatformUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

A continuación, utiliza este filtro de búsqueda y quédate con los usuarios que sean miembros del grupo, tengan una dirección de correo electrónico y cuyas cuentas no estén inhabilitadas: 

group cn=CloudPlatformUsers,cn=users,dc=corp,dc=domain,dc=com

Quizá te interese colocar estos usuarios en una única unidad organizativa. Para hacerlo, define un nombre de unidad organizativa, como "Usuarios de Cloud Platform", en la regla. Crea la unidad organizativa si aún no existe. 

Problemas con licencias

Examina cómo está configurado tu dominio para poder asignar licencias de producto correctamente a las cuentas de usuario. Si está habilitada la asignación automática de licencias, quizá te interese excluir a los usuarios de la unidad organizativa "Usuarios de Cloud Platform" para que no se les asigne ninguna licencia de producto. Consulta más información en el artículo Configurar la asignación automática de licencias en unidades organizativas.

Si tus requisitos de asignación de licencias son más complejos, puedes configurar GCDS para sincronizar y gestionar todas las asignaciones de licencias de tus usuarios. Consulta más información en la sección Sincronizar las licencias

↑ volver al principio

Google y Google Workspace, así como las marcas y los logotipos relacionados, son marcas de Google LLC. Todos los demás nombres de empresas y productos son marcas de las empresas con las que están asociadas.
¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?