Sincronización con Google Workspace
Este artículo te ayudará a comenzar a usar Directory Connector para la sincronización de usuarios y grupos desde tu Google Workspace (anteriormente "G Suite") Directory a tu organización Bitwarden.
Para configurar la sincronización de directorio con Google Workspace (anteriormente "G Suite"), necesitará acceso al Portal de Administrador de Google Workspace y a la Consola de la Plataforma de Google Cloud. El Conector de Directorio requerirá información obtenida de estos procesos para funcionar correctamente.
Completa los siguientes pasos para crear un proyecto de Google Cloud que usarás para conectar el Conector de Directorio a tu directorio. Si ya tienes un proyecto de Google Cloud disponible, salta a Habilitar SDK de Administrador:
En la Consola de GCP, selecciona el botón de Crear Proyecto.
Ingrese un nombre específico de Bitwarden para el proyecto (por ejemplo,
bitwarden-dc-project
) y seleccione el botón Crear.
Complete los siguientes pasos para habilitar la API del SDK del administrador, a la que el Conector de Directorio realizará solicitudes:
En la Consola de GCP, selecciona el proyecto creado o preexistente.
Desde la navegación de la izquierda, selecciona APIs & Servicios → Biblioteca.
En el cuadro de búsqueda, ingrese
SDK del administrador
y abra el servicio API del SDK del administrador.Selecciona el botón Habilitar.
Completa los siguientes pasos para crear una cuenta de servicio para usar al hacer llamadas a la API:
En la Consola de GCP, selecciona el proyecto creado o preexistente.
Desde la navegación de la izquierda, selecciona APIs & Servicios → Credenciales.
Seleccione el botón Crear Credenciales, y seleccione Cuenta de servicio del menú desplegable.
Complete la sección de detalles de la cuenta de servicio, y seleccione el botón de Crear.
En la sección Otorgar a esta cuenta de servicio acceso al proyecto, seleccione Proyecto → Propietario del menú desplegable Rol y seleccione el botón Continuar.
Seleccione el botón Hecho.
Complete los siguientes pasos para obtener los permisos apropiados para la cuenta de servicio creada:
En la Consola de GCP, selecciona el proyecto creado o preexistente.
Desde la navegación de la mano izquierda, selecciona IAM & Administrador → Cuentas de Servicio.
Seleccione la cuenta de servicio creada.
En la página de Detalles de la Cuenta de Servicio, selecciona el botón Añadir Clave y selecciona Crear nueva clave del menú desplegable.
Seleccione el tipo de clave JSON y seleccione el botón Crear para descargar una clave en formato JSON a su máquina local.
De vuelta en la página de detalles de tu cuenta de servicio, selecciona el menú desplegable Mostrar Delegación en todo el Dominio.
Sigue estos pasos para habilitar la autoridad delegada en todo el dominio.
Ingrese un Nombre de producto para la pantalla de consentimiento.
Selecciona Guardar.
Complete los siguientes pasos para autorizar al cliente a leer su directorio:
Abre el Portal de Administrador de Google.
Desde la navegación de la izquierda, selecciona Seguridad → Controles de API.
Seleccione el botón Gestionar Delegación de Dominio Amplio.
Seleccione el botón Agregar nuevo.
En el campo de ID del Cliente, pegue el ID del Cliente creado.
Para recuperar el ID de Cliente creado, abra la Consola GCP y navegue a API & Servicios → Credenciales.
En el campo de alcances de OAuth, pega el siguiente valor para conceder sólo acceso de lectura:
Bashhttps://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.group.readonly,https://www.googleapis.com/auth/admin.directory.group.member.readonly
Seleccione el botón Autorizar.
Completa los siguientes pasos para configurar el Conector de Directorio para usar tu directorio de Google:
Abre la aplicación de escritorio del Conector de Directorio.
Navega a la pestaña de Ajustes.
Desde el menú desplegable Tipo, selecciona G Suite (Google).
Los campos disponibles en esta sección cambiarán de acuerdo con el tipo seleccionado.
Ingrese al Dominio de su cuenta de Google.
Ingrese la dirección de correo electrónico de un Usuario Administrador con acceso completo a su directorio de Google.
Si tienes uno, ingresa el ID del Cliente de tu directorio. Muchos usuarios no tendrán o se les requerirá ingresar una identificación de cliente.
Seleccione el botón Elegir Archivo y seleccione la clave JSON descargada.
consejo
Cuando hayas terminado de configurar, navega a la pestaña Más y selecciona el botón Borrar Caché de Sincronización para prevenir posibles conflictos con operaciones de sincronización anteriores. Para obtener más información, consulte Borrar Caché de Sincronización.
Complete los siguientes pasos para configurar el ajuste utilizado al sincronizar usando el Conector de Directorio:
Abre la aplicación de escritorio del Conector de Directorio.
Navega a la pestaña de Ajustes.
En la sección de Sincronización, configure las siguientes opciones según lo desee:
Opción | Descripción |
---|---|
Intervalo | Tiempo entre verificaciones automáticas de sincronización (en minutos). |
Eliminar usuarios discapacitados durante la sincronización | Marca esta casilla para eliminar a los usuarios de la organización Bitwarden que han sido desactivados en tu directorio. |
Sobrescribir los usuarios existentes de la organización basándose en los ajustes actuales de sincronización | Marca esta casilla para siempre realizar una sincronización completa y eliminar cualquier usuario de la organización Bitwarden si no están en el conjunto de usuarios sincronizados. |
Se espera que más de 2000 usuarios o grupos realicen la sincronización. | Marque esta casilla si espera realizar la sincronización de 2000+ usuarios o grupos. Si no marcas esta casilla, el Conector de Directorio limitará una sincronización a 2000 usuarios o grupos. |
Sincronización de usuarios | Marque esta casilla para la sincronización de usuarios a su organización. |
Filtro de Usuario | |
Grupos de sincronización | Marca esta casilla para sincronizar grupos a tu organización. |
Filtro de Grupo |
Utilice listas separadas por comas para incluir o excluir de una sincronización basada en el correo electrónico del usuario o grupo.
La API del SDK del administrador proporciona capacidades de filtrado limitadas para usuarios y grupos con un parámetro de consulta
. Para aprender más:
Filtros de usuario
Las siguientes sintaxis de filtrado deben usarse en el campo Filtro de Usuario:
Incluir/Excluir usuarios por correo electrónico
Para incluir o excluir usuarios específicos de una sincronización basada en la dirección de correo electrónico:
Bashinclude:joe@example.com,bill@example.com,tom@example.com
Bashexclude:joe@example.com,bill@example,tom@example.com
Concatenar con consulta
Para concatenar un filtro de usuario con el parámetro consulta
, use una barra vertical (|
):
Bashinclude:john@example.com,bill@example.com|orgName=Engineering orgTitle:Manager
Bashexclude:john@example.com,bill@example.com|orgName=Engineering orgTitle:Manager
Usa solo consulta
Para usar solo el parámetro consulta
, precede la consulta con una barra vertical (|
):
Bash|orgName=Engineering orgTitle:Manager
Filtros de grupo
nota
La sincronización de grupos anidados no es compatible con Google Workspace.
Las siguientes sintaxis de filtrado deben usarse en el campo Filtro de Grupo:
Incluir/Excluir grupos
Para incluir o excluir grupos de una sincronización basada en el Nombre del Grupo:
Bashinclude:Group A,Group B
Bashexclude:Group A,Group B
Incluye grupos con comodín
Bash|name:*marketing*
Los comodines *
son compatibles en ambos lados del parámetro de búsqueda. Además, la búsqueda no distingue entre mayúsculas y minúsculas.
Concatenar con consulta
Para concatenar un filtro de grupo con el parámetro consulta
, usa una tubería (|
):
Bashinclude:name='Engineering'|email:admin*
Bashexclude:name='Engineering'|email:admin*
Usa solo consulta
Para usar solo el parámetro consulta
, precede la consulta con una barra vertical (|
):
Bash|memberKey=user@company.com
consejo
Antes de probar o ejecutar una sincronización, compruebe que Directory Connector esté conectado al servidor en la nube correcta (por ejemplo, EE. UU. o UE) o al servidor autoalojado. Aprenda a hacerlo con la aplicación de escritorio o CLI.
Para probar si el Conector de Directorio se conectará con éxito a su directorio y devolverá los usuarios y grupos deseados, navegue hasta la pestaña Dashboard y seleccione el botón Test Now. Si tiene éxito, los usuarios y grupos se imprimirán en la ventana del Conector de Directorio de acuerdo con las opciones de sincronización y los filtros especificados: