3. Organiza los datos de LDAP

¿Cuál es tu dominio principal?

Identifica el dominio de Google que deseas sincronizar. Lo necesitarás cuando configures GCDS.

Nota: No puedes sincronizar direcciones de alias de dominio con GCDS. Obtén más información sobre los conceptos básicos de los dominios.

También puedes usar un reemplazo de nombre de dominio. El reemplazo de un nombre de dominio se usa con mayor frecuencia para un dominio piloto, pero también se puede usar si usas GCDS para cambiar a un dominio nuevo. Si especificas otro dominio en Configuration Manager, puedes importar una lista completa de usuarios a un dominio diferente.

Configura el dominio nuevo como dominio principal. Luego, en la Configuración de LDAP del Administrador de configuración, ingresa el nuevo dominio como tu dominio de Google y especifica un administrador para ese dominio. En Configuración del dominio de Google, configura GCDS para reemplazar los nombres de dominio en las direcciones de correo electrónico LDAP por este nombre de dominio. Durante la sincronización, GCDS cambia las direcciones de correo electrónico de todos tus usuarios al nuevo dominio.

Una vez que finalice el período de prueba, puedes cambiar el nombre de dominio (y el administrador de Google) a tu dominio principal real y mantener todas las demás opciones de configuración.

¿Qué datos del usuario se deben sincronizar?

• Usuarios: Revisa tu directorio de usuarios con un navegador LDAP y asegúrate de importar la cantidad correcta de usuarios. Si importas más usuarios de los que tienes con licencia, es posible que experimentes errores durante la sincronización. Obtén más información para administrar licencias de usuario.
• Perfiles de usuario: Si tu servidor de directorio LDAP incluye información adicional, como direcciones, números de teléfono o información de contacto, también puedes sincronizar esta información.
• Alias: Puedes sincronizar uno o más atributos de alias desde tu directorio de LDAP con los alias de direcciones de Google.
• ID único: Si es probable que tus usuarios cambien sus nombres de usuario (direcciones de correo electrónico), configura un atributo de ID único antes de configurar una sincronización para que no se pierda la información del usuario cuando este cambie su dirección de correo electrónico.
• Contraseñas: GCDS admite un conjunto limitado de operaciones de contraseñas. Si tienes un servidor de Microsoft Active Directory, puedes mantener sincronizadas las contraseñas de tu directorio LDAP con tu Cuenta de Google usando Password Sync.
• Usuarios borrados y suspendidos: De forma predeterminada, los usuarios que no se encuentran en tu directorio LDAP se borran de tu Cuenta de Google y los usuarios suspendidos se ignoran. Puedes cambiar el parámetro de configuración predeterminado en la página de cuentas de usuario del Administrador de configuración. Si configuras GCDS para suspender a los usuarios en lugar de borrarlos, podrás ver y transferir los activos de los usuarios para aprovechar la recuperación de datos. Como alternativa, puedes borrar a los usuarios suspendidos, pero solo puedes borrarlos o suspenderlos, no ambas acciones.

¿Cómo debes organizar tus grupos y listas de distribución?

Puedes organizar a los usuarios de tu Cuenta de Google por lista de distribución o estructura organizativa:

Lista de distribución

Decide qué listas de distribución quieres sincronizar desde tu servidor de directorio LDAP con tu Cuenta de Google. Las listas de distribución de tu servidor de directorio LDAP se importan como grupos en la Cuenta de Google.

Algunos atributos de la lista de distribución contienen una dirección literal y siguen un formato como usuario@ejemplo.com. Otros contienen una referencia de nombre distintivo (DN) y siguen este formato:
cn=Terri Smith,ou=Executive Team,dc=example,dc=com.

Si quieres conservar las listas de distribución en la Cuenta de Google, haz lo siguiente:

1. Descubre qué atributo contiene los miembros de tus listas de distribución. Por lo general, este es el atributo member o mailAddress.
2. Averigua si el atributo LDAP para los miembros de la lista de distribución contiene una dirección de correo electrónico o un nombre distinguido del usuario.

Estructura organizativa

De forma predeterminada, GCDS sincroniza a todos los usuarios en una sola estructura plana. Esto funciona bien si tienes una organización pequeña o si quieres que todos los usuarios tengan la misma configuración y los mismos derechos. También funciona bien si pruebas con un grupo pequeño antes de un lanzamiento más grande.

Si deseas usar una jerarquía de unidades organizativas en tu Cuenta de Google, puedes sincronizar la jerarquía de la organización desde el servidor de directorio LDAP. Si lo haces, primero revisa tus unidades organizativas con un navegador LDAP para asegurarte de que estás sincronizando la estructura correcta. Es posible que tengas unidades organizativas especiales que no deban transferirse a la Cuenta de Google, como una unidad organizativa para impresoras.

Si deseas crear unidades organizativas de forma manual en tu Cuenta de Google, puedes configurarlas en Google y, luego, hacer que GCDS mueva a los usuarios a esas organizaciones sin cambiar las organizaciones existentes. Selecciona esta opción en la página Unidades organizativas del Administrador de configuración. Para cada regla de búsqueda de usuarios, especifica la organización que debe contener a los usuarios para esa regla o un atributo de LDAP que contenga el nombre de la organización adecuada.

¿Quieres administrar licencias con GCDS?

Si quieres administrar licencias con GCDS, debes crear grupos de usuarios y agruparlos en grupos de licencias específicos. También puedes establecer un atributo específico en cada cuenta de usuario.

GCDS usa el grupo o el atributo para determinar la licencia correcta que se debe aplicar a una cuenta.

¿Quieres sincronizar los contactos compartidos y los recursos de calendario?

GCDS puede sincronizar otros recursos de LDAP, como contactos compartidos y recursos de calendario, con tu Cuenta de Google.

• Contactos compartidos: Los detalles de los contactos compartidos son visibles para todos los usuarios de una lista de contactos. Además, si configuras contactos compartidos, se habilitará la función de autocompletar direcciones de correo electrónico en Gmail para todos los usuarios de la lista. Para importar direcciones a tu Cuenta de Google como contactos compartidos, habilita Contactos compartidos en la página Configuración general del Administrador de configuración. Después de sincronizar los contactos compartidos, los cambios pueden tardar hasta 24 horas en aparecer en tu dominio de Google.

  Nota: GCDS solo sincroniza los contactos compartidos. No se sincronizan los contactos personales

• Recursos de calendario: Si deseas importar recursos de calendario (como salas de conferencias) desde tu directorio de LDAP a tu Cuenta de Google, debes configurar la sincronización de recursos de calendario para que los recursos sean visibles para todos los usuarios.

  Debes especificar un formato de nomenclatura para tus recursos de calendario. Ten en cuenta que las reglas para los nombres de los recursos de calendario son diferentes de las de otra información sincronizada. Los nombres no pueden contener espacios ni caracteres especiales.

¿Cómo sincronizarás las contraseñas?

Nota: Puedes usar la Sincronización de contraseñas para mantener sincronizadas las contraseñas de Google Workspace de tus usuarios con sus contraseñas de Active Directory.

GCDS admite un conjunto limitado de operaciones de contraseñas. Solo puede importar contraseñas en un atributo LDAP que las almacene en formato de texto sin formato, Base64, MD5 sin sal o SHA-1 sin sal. No se admiten otros hashes con sal y encriptados con contraseña. La mayoría de los servidores de directorio no admiten estos formatos de forma nativa, y almacenar las contraseñas de los usuarios en estos formatos en tu servidor de correo puede tener graves implicaciones de seguridad.

Para la sincronización de contraseñas, GCDS proporciona las siguientes opciones:

• Implementa el inicio de sesión único para tu dominio: Los usuarios tienen las mismas contraseñas y autorización para tu Cuenta de Google y tu servidor de directorio LDAP. Puedes configurar un servidor de lenguaje de marcado para confirmaciones de seguridad (SAML) para que tu cuenta administre el inicio de sesión único. En este caso, GCDS crea contraseñas aleatorias durante la sincronización.

  Nota: El inicio de sesión único solo admite la autenticación web. Otras formas de autenticación (como IMAP, POP y ActiveSync) no admiten el inicio de sesión único y siguen requiriendo una contraseña de Google.

• Usar un atributo LDAP de texto sin formato para la contraseña predeterminada de los usuarios nuevos: Usa esta opción si quieres que los usuarios tengan contraseñas únicas independientes. Con esta opción, las contraseñas de Google son independientes de las contraseñas de tu servidor de directorio LDAP. Puedes usar este método para crear una contraseña temporal a partir de cualquier atributo LDAP que contenga datos en formato de texto sin formato.

• Usar una utilidad de terceros para convertir contraseñas no admitidas a un formato admitido: Usa esta opción si necesitas que Google use las mismas contraseñas que tu servidor de directorio LDAP, pero no puedes configurar un servidor SAML. Consulta Google Workspace Marketplace para encontrar herramientas de terceros que te ayuden a sincronizar contraseñas. Google no brinda asistencia para herramientas de terceros.

• Especifica una contraseña predeterminada para los usuarios nuevos: Con esta opción, todos los usuarios nuevos tienen la misma contraseña hasta que acceden y la cambian. Las contraseñas de Google se mantienen separadas de las contraseñas de tu servidor de directorio LDAP. Para usar esta opción, establece una contraseña predeterminada para los usuarios nuevos y, luego, configura GCDS para que sincronice las contraseñas de los usuarios nuevos y los obligue a cambiarla.

  Dado que otros usuarios a veces pueden adivinar la contraseña, esta opción no se recomienda como segura.

¿Cómo correlacionarás tus datos?

Debes decidir cómo se asignan los datos de tu servidor de directorio LDAP a los datos de tu Cuenta de Google y tener una idea clara de cómo se deben sincronizar cada usuario, grupo y recurso. Puedes configurar esta asignación en una jerarquía plana, una sincronización automática uno a uno o un conjunto manual de reglas personalizadas. Para obtener más información, consulta ¿Qué se sincroniza?

Situación de ejemplo

Como administrador de Google de Example Organization, decides que la jerarquía organizativa existente en el servidor LDAP se debe copiar en la Cuenta de Google y, luego, identificas las unidades organizativas que se deben sincronizar.

Decides que la organización de ejemplo necesita sincronizar lo siguiente:

• Unidades organizativas
• Usuarios
• Alias
• Grupos (listas de distribución)
• Contactos compartidos
• Recursos de Calendario

Las listas de distribución del servidor de directorio LDAP usan el atributo member para almacenar los miembros de cada lista de distribución, y el atributo member contiene el nombre distinguido (DN) completo de los miembros de la lista de distribución, en lugar de su dirección de correo electrónico. Como administrador de GCDS, observas este atributo y que es un atributo de referencia, no un atributo literal.

Dado que la información del perfil de usuario de LDAP en el servidor de LDAP no tiene un formato estándar en todas las organizaciones, como administrador de Google, decides no sincronizar esta información.

En el servidor LDAP, creas un atributo personalizado y lo propagas con una contraseña de un solo uso generada de forma aleatoria. En tu Cuenta de Google, configura una combinación de correspondencia para enviar las contraseñas a los usuarios junto con información sobre cómo activar sus cuentas.

Hay algunos usuarios en la unidad organizativa de contratistas que ya no pertenecen a Example Organization y no deberían sincronizarse. Consideras la lista y observas que todas coinciden con una expresión regular porque todas las direcciones del usuario comienzan con "defunct". Por último, crearás excepciones para estos usuarios en el dominio de Google.