3. Organiza los datos de LDAP

¿Cuál es tu dominio principal?

Identifica el dominio de Google que quieres sincronizar. Lo necesitarás cuando configures GCDS.

Nota: No puedes sincronizar direcciones de alias de dominio con GCDS. Obtén más información sobre los conceptos básicos de los dominios.

También puedes usar un reemplazo de nombre de dominio. Un reemplazo de nombre de dominio se usa con mayor frecuencia para un dominio piloto, pero también se puede usar si usas GCDS para cambiar a un dominio nuevo. Si especificas otro dominio en el Administrador de configuración, puedes importar una lista completa de usuarios a un dominio diferente.

Configura el dominio nuevo como dominio principal. Luego, en la Configuración de LDAP del Administrador de configuración, ingresa el dominio nuevo como tu dominio de Google y especifica un administrador para ese dominio. En Configuración del dominio de Google, configura GCDS para reemplazar los nombres de dominio en las direcciones de correo electrónico LDAP con este nombre de dominio. GCDS cambia las direcciones de correo electrónico de todos tus usuarios al dominio nuevo durante la sincronización.

Una vez que finalice el período piloto, puedes cambiar el nombre de dominio (y el administrador de Google) a tu dominio principal real y mantener las mismas opciones de configuración.

¿Qué datos de usuario se deben sincronizar?

• Usuarios: Revisa tu directorio de usuarios con un navegador LDAP y asegúrate de importar la cantidad correcta de usuarios. Si importas más usuarios de los que tienes con licencia, es posible que se produzcan errores durante la sincronización. Obtén más información para administrar las licencias de usuario.
• Perfiles de usuario: Si tu servidor de directorio LDAP incluye información adicional, como direcciones, números de teléfono o información de contacto, también puedes sincronizar esta información.
• Alias: Puedes sincronizar uno o más atributos de alias de tu directorio LDAP con los alias de direcciones de Google.
• ID único: Si es probable que tus usuarios cambien sus nombres de usuario (direcciones de correo electrónico), configura un atributo de ID único antes de configurar una sincronización para que no se pierda la información del usuario cuando este cambie su dirección de correo electrónico.
• Contraseñas: GCDS admite un conjunto limitado de operaciones de contraseñas. Si tienes un servidor de Microsoft Active Directory, puedes mantener sincronizadas las contraseñas de tu directorio LDAP con tu Cuenta de Google mediante la Sincronización de contraseñas.
• Usuarios borrados y suspendidos: De forma predeterminada, los usuarios que no se encuentran en tu directorio LDAP se borran de tu Cuenta de Google y se ignoran los usuarios suspendidos. Puedes cambiar la configuración predeterminada en la página de cuentas de usuario del Administrador de configuración. Si configuras GCDS para suspender a los usuarios en lugar de borrarlos, puedes ver y transferir los recursos del usuario para aprovechar la recuperación de datos. Como alternativa, puedes borrar a los usuarios suspendidos, pero solo puedes borrarlos o suspenderlos, no ambas acciones.

¿Cómo debes organizar tus grupos y listas de distribución?

Puedes organizar a tus usuarios en tu Cuenta de Google por lista de distribución o estructura organizativa:

Lista de distribución

Decide qué listas de distribución quieres sincronizar desde tu servidor de directorio LDAP con tu Cuenta de Google. Las listas de distribución de tu servidor de directorio LDAP se importan como grupos en la Cuenta de Google.

Algunos atributos de la lista de distribución contienen una dirección literal y siguen un formato como usuario@example.com. Otros contienen una referencia de nombre distintivo (DN) y siguen este formato:
cn=Terri Smith,ou=Equipo ejecutivo,dc=example,dc=com.

Si quieres conservar las listas de distribución en la Cuenta de Google, haz lo siguiente:

1. Averigua qué atributo contiene los miembros de tus listas de distribución. Por lo general, este es el atributo member o mailAddress.
2. Averigua si el atributo LDAP para los miembros de la lista de distribución contiene una dirección de correo electrónico o un nombre distintivo del usuario.

Estructura organizativa

De forma predeterminada, GCDS sincroniza a todos los usuarios en una sola estructura plana. Esto funciona bien si tienes una organización pequeña o si quieres que todos los usuarios tengan la misma configuración y los mismos derechos. También funciona bien si pruebas un grupo pequeño antes de una implementación más grande.

Si quieres usar una jerarquía de unidades organizativas en tu Cuenta de Google, puedes sincronizar la jerarquía de la organización desde tu servidor de directorio LDAP. Si lo haces, primero revisa tus unidades organizativas con un navegador LDAP para asegurarte de sincronizar la estructura correcta. Es posible que tengas unidades organizativas especiales que no deban transferirse a la Cuenta de Google, como una unidad organizativa para impresoras.

Si quieres crear unidades organizativas de forma manual en tu Cuenta de Google, puedes configurarlas en Google y, luego, hacer que GCDS mueva a los usuarios a esas organizaciones sin cambiar las organizaciones existentes. Selecciona esta opción en la página Unidades organizativas del Administrador de configuración. Para cada regla de búsqueda de usuarios, especifica la organización que debe contener a los usuarios para esa regla o un atributo LDAP que contenga el nombre de la organización adecuada.

¿Quieres administrar licencias con GCDS?

Si quieres administrar licencias con GCDS, debes crear usuarios y agruparlos en grupos de licencias específicos. Como alternativa, puedes establecer un atributo específico en cada cuenta de usuario.

GCDS usa el grupo o el atributo para determinar la licencia correcta que se debe aplicar a una cuenta.

¿Quieres sincronizar contactos compartidos y recursos del Calendario?

GCDS puede sincronizar otros recursos LDAP, como contactos compartidos y recursos del Calendario, con tu Cuenta de Google.

• Contactos compartidos: Los detalles de los contactos compartidos son visibles para todos los usuarios de una lista de contactos. Además, si configuras contactos compartidos, se habilitará la función de autocompletar direcciones de correo electrónico en Gmail para todos los usuarios de la lista. Para importar direcciones a tu Cuenta de Google como contactos compartidos, habilita Contactos compartidos en la página Configuración general del Administrador de configuración. Después de sincronizar los contactos compartidos, los cambios pueden tardar hasta 24 horas en aparecer en tu dominio de Google.

  Nota: GCDS solo sincroniza contactos compartidos. Los contactos personales no se sincronizan.

• Recursos del Calendario: Si quieres importar recursos del Calendario (como salas de conferencias) desde tu directorio LDAP a tu Cuenta de Google, debes configurar la sincronización de recursos del Calendario para que los recursos sean visibles para todos los usuarios.

• Debes especificar un formato de nombres para tus recursos del Calendario. Ten en cuenta que las reglas para los nombres de los recursos del Calendario son diferentes de las de otra información sincronizada. Los nombres no pueden contener espacios ni caracteres especiales.

¿Cómo sincronizarás las contraseñas?

Sugerencia: Puedes usar Sincronización de contraseñas para mantener sincronizadas las contraseñas de Google Workspace de tus usuarios con sus contraseñas de Active Directory.

GCDS admite un conjunto limitado de operaciones de contraseñas. Solo puede importar contraseñas en un atributo LDAP que las almacene en texto sin formato, Base64, MD5 sin sal o formato SHA-1 sin sal. No se admiten otros hashes cifrados con contraseña y con sal. La mayoría de los servidores de directorio no admiten estos formatos de forma nativa, y almacenar las contraseñas de los usuarios en estos formatos en tu servidor de correo puede tener graves implicaciones de seguridad.

Para la sincronización de contraseñas, GCDS proporciona las siguientes opciones:

• Implementar el acceso único para tu dominio: Los usuarios tienen las mismas contraseñas y autorización para tu Cuenta de Google y tu servidor de directorio LDAP. Puedes configurar un servidor de lenguaje de marcado para confirmación de seguridad (SAML) para que tu cuenta administre el acceso único. En este caso, GCDS crea contraseñas aleatorias durante la sincronización.

  Nota: El acceso único solo admite la autenticación web. Otras formas de autenticación (como IMAP, POP y ActiveSync) no admiten el acceso único y aún requieren una contraseña de Google.

• Usar un atributo LDAP de texto sin formato para la contraseña predeterminada de los usuarios nuevos: Usa esta opción si quieres que los usuarios tengan contraseñas únicas independientes. Con esta opción, las contraseñas de Google están separadas de las contraseñas de tu servidor de directorio LDAP. Puedes usar este método para crear una contraseña temporal a partir de cualquier atributo LDAP que contenga datos en formato de texto sin formato.
• Usar una utilidad de terceros para convertir contraseñas no admitidas a un formato admitido: Usa esta opción si necesitas que Google use las mismas contraseñas que tu servidor de directorio LDAP, pero no puedes configurar un servidor SAML. Consulta Google Workspace Marketplace para obtener herramientas de terceros que te ayuden a sincronizar contraseñas. Google no brinda asistencia para herramientas de terceros.
• Especificar una contraseña predeterminada para los usuarios nuevos: Con esta opción, cada usuario nuevo tiene la misma contraseña hasta que accede y la cambia. Las contraseñas de Google se mantienen separadas de las contraseñas de tu servidor de directorio LDAP. Para usar esta opción, establece una contraseña predeterminada para los usuarios nuevos y, luego, configura GCDS para sincronizar las contraseñas de los usuarios nuevos y, luego, obligarlos a cambiar su contraseña.
  Dado que otros usuarios pueden adivinar la contraseña, no se recomienda como una opción segura.

¿Cómo asignarás tus datos?

Debes decidir cómo se asignan los datos de tu servidor de directorio LDAP a los datos de tu Cuenta de Google y tener una idea clara de cómo se deben sincronizar cada usuario, grupo y recurso. Puedes configurar esta asignación a una jerarquía plana, una sincronización automática de uno a uno o un conjunto manual de reglas personalizadas. Para obtener más detalles, consulta ¿Qué se sincroniza?

Situación de muestra

Como administrador de Google de la Organización de ejemplo, decides que la jerarquía de la organización existente en el servidor LDAP se debe copiar a la Cuenta de Google y, luego, identificas las unidades organizativas que se deben sincronizar.

Decides que la Organización de ejemplo debe sincronizar lo siguiente:

• Unidades organizativas
• Usuarios
• Alias
• Grupos (listas de distribución)
• Contactos compartidos
• Recursos del Calendario

Las listas de distribución del servidor de directorio LDAP usan el atributo member para almacenar los miembros de cada lista de distribución, y el atributo member contiene el nombre distintivo (DN) completo de los miembros de la lista de distribución, en lugar de su dirección de correo electrónico. Como administrador de GCDS, observas este atributo y que es un atributo de referencia, no un atributo literal.

Dado que la información del perfil de usuario de LDAP en el servidor LDAP no tiene un formato estándar en todas las organizaciones, como administrador de Google, decides no sincronizar esta información.

En el servidor LDAP, creas un atributo personalizado y lo propagas con una contraseña única generada de forma aleatoria. En tu Cuenta de Google, configuras una combinación de correspondencia para enviar las contraseñas a los usuarios junto con información sobre cómo activar sus cuentas.

Hay algunos usuarios en la unidad organizativa de contratistas que ya no pertenecen a la Organización de ejemplo y no se deben sincronizar. Consideras la lista y observas que todos coinciden con una expresión regular porque las direcciones de los usuarios comienzan con "defunct". Por último, creas excepciones para estos usuarios en el dominio de Google.