Como administrador de un plan profesional de Dashlane, usted puede configurar Dashlane para sincronizar automáticamente los usuarios y grupos de Active Directory (AD) para el aprovisionamiento y desaprovisionamiento automatizado de cuentas de Dashlane.

Gestionar el aprovisionamiento de miembros del plan con SCIM

Recorrido en video

Este video proporciona un recorrido detallado sobre cómo configurar Dashlane para sincronizar automáticamente los usuarios y grupos de Active Directory (AD) para el aprovisionamiento y desaprovisionamiento automático de cuentas de Dashlane.

Crear un grupo AD y una cuenta de servicio

1. Iniciar sesión en un servidor Windows con el módulo de Usuarios y Computadoras de Active Directory.
2. Cree o identifique un grupo cuyos miembros le gustaría invitar a su plan. Si no existe un grupo, recomendamos crear un grupo "AllDashlaneUsers".
3. Agregar al menos un usuario de AD con una dirección de correo electrónico al grupo.
4. Crear un usuario de Active Directory que usted utilizará para ejecutar el script de sincronización, comúnmente conocido como una cuenta de servicio. En el video de ejemplo, creamos la cuenta de servicio "SA_DashlaneSync".
5. Agregar la cuenta de servicio al grupo de administradores locales para que pueda iniciar sesión en la máquina y ejecutar scripts de PowerShell.
6. Iniciar sesión como la cuenta de servicio recién creada.

Configurar la Consola de Administración

Para configurar su cuenta para la sincronización de AD:

1. Iniciar sesión en la Consola de Administración.
2. Seleccione Integraciones, Aprovisionamiento, y luego Configurar para Active Directory.
3. Active Aprovisionamiento automático de usuarios y sincronización de grupos.
   • Una vez que haya verificado la sincronización y que todos los miembros actuales de Dashlane estén dentro del alcance de la sincronización, considere activar Desaprovisionamiento automático de usuarios.
4. Seleccione Copiar para copiar el script de Dashlane AD mostrado en la ventana gris a su portapapeles.

   

Configurar Active Directory y el script de sincronización

1. Inicie sesión en un servidor de Windows o estación de trabajo con Windows PowerShell 3.0 o posterior con la cuenta de servicio que creamos anteriormente.
2. Si no lo ha hecho ya, cree o identifique un Grupo de Seguridad de Active Directory que le gustaría sincronizar con Dashlane.
   
   • Recomendamos crear un nuevo grupo llamado AllDashlaneUsers para empezar.
3. Agregar usuarios al grupo a los que les gustaría tener cuentas de Dashlane.
4. Abra PowerShell ISE y seleccione Archivo y luego Nuevo.
5. Pegue el script guardado en su portapapeles del Paso 4 en Configurando la Consola de Administración.
6. Edite la línea 21 del script e ingrese los nombres de los grupos que desea sincronizar con Dashlane.
   
7. Guarde el Script de PowerShell en la máquina local.
8. Ejecute el Script seleccionando la flecha verde en PowerShell ISE.
   
9. Asegúrese de que el script devuelva lo siguiente: "code":200,"message":"OK"
10. Copie la cadena de texto entre los guiones a su portapapeles.
11. Navegue de regreso a la consola de administración y Actualice la página.
12. En la ventana emergente Verificar llave de seguridad, seleccione Continuar.

    

13. Ingrese la cadena de texto desde su portapapeles que copió del paso 10 en el campo de texto, y seleccione Verificar ahora.

    

Verificar la sincronización

1. En la consola de administración, vea la ficha Usuarios y valide que cualquier nuevo miembro del plan tenga un estado de invitación pendiente.

   

2. En la ficha Grupos, vea los grupos que se han sincronizado.
3. Para ver el estado de sincronización de su Active Directory en la consola de administración, seleccione Integraciones y luego aprovisionamiento. Luego seleccione Configurar para Active Directory.
4. Después de confirmar que todos los miembros sincronizados están incluidos en los grupos de sincronización de Active Directory, recomendamos activar la desaprovisionamiento automático de usuarios.

Programar una sincronización regular con el Programador de tareas

Con el script guardado en su dominio, usted puede programarlo para que se ejecute automáticamente en un intervalo que defina.

Nota: La cuenta del miembro del plan configurada para ejecutar esta tarea debe poder leer las Unidades Organizativas (OU) y las cuentas de los miembros en su entorno de Active Directory.

1. Asegúrese de que usted ha iniciado sesión con la misma cuenta de servicio que usó para ejecutar la sincronización inicial.
   • Programar esto para ejecutarse con una cuenta diferente no funcionará porque la clave de sincronización generada se deriva de la máquina y el miembro utilizado para la sincronización y necesita permanecer igual.
2. En el servidor de Windows que ejecutará el script, abra el Programador de Tareas.
3. Seleccione Biblioteca del Programador de Tareas.
4. Seleccione la Ficha Acción en el menú superior izquierdo.
5. Seleccione Crear Tarea.
6. Seleccione la ficha General.
7. En el cuadro de texto Nombre, escriba Dashlane AD Sync.
8. Seleccione Opciones de Seguridad.
9. Dentro de Opciones de Seguridad, seleccione las casillas de verificación para Ejecutar esté o no el usuario conectado y Ejecutar con los más altos privilegios.

   Establezca una programación para que el script se ejecute creando un nuevo desencadenador. En el siguiente ejemplo, se ejecutará diariamente a la 1:00 a.m.

   

10. Seleccione la ficha Acciones.
11. Seleccione Nueva Acción.
12. En Programa/script, escriba lo siguiente: powershell
13. En Agregar argumentos (opcional), pegue lo siguiente:
    -file C:\FilePathtoPowershellScript\dashlane-ad-sync.ps1

    

Algunas consideraciones

• Una vez que usted haya configurado la sincronización, recomendamos gestionar sus grupos de Dashlane y miembros del plan exclusivamente a través de su Active Directory.
• Todos los miembros considerados por el script deben tener una dirección de correo electrónico especificada en Active Directory.
• Los administradores no pueden desaprovisionar a todos los administradores porque cada plan debe tener al menos un administrador activo.
• Cada plan debe tener al menos un contacto de facturación activo.
• El número de miembros en los grupos sincronizados no debe ser mayor que los puestos disponibles en su cuenta.

Sincronización solo de usuarios

Para sincronizar solo los miembros del grupo AD y no crear un grupo de uso compartido de Dashlane, edite las líneas 124 y 125 del script de sincronización de AD.

Ejemplo:

Antes del cambio en las líneas 124 y 125:

$DataStr += $GroupInfo.ObjectGUID
$DataStr += $GroupInfo.Name

Después del cambio en las líneas 124 y 125:

$DataStr += $GroupInfo.Sync_Users_Only
$DataStr += $GroupInfo.Sync_Users_Only

Mensajes de error

Mensaje de Error 400

Dashlane sincronización respondió con lo siguiente: {"code":400,"message":"Bad Request"}

Para resolver el error:

1. Asegúrese que no está intentando sincronizar más miembros de los que tiene puestos comprados.
2. Asegúrese de que el Módulo de Active Directory para Windows PowerShell esté instalado.

   

3. Asegúrese de haber configurado las opciones de seguridad HTTPS.
4. Asegúrese de que al menos un usuario con una dirección de correo electrónico esté en el grupo de Active Directory que intenta sincronizar.

No aparece una clave de sincronización de directorio

Para resolver el error:

1. En su script de PowerShell, cambie la variable DashlaneDirectorSyncKey## a un nuevo número para forzar una nueva clave de sincronización.
2. Guarde y ejecute el script.

Ejemplo:

Antes del cambio en la línea 104 (puede ser un poco diferente dependiendo de cuántos grupos tenga):

$CspParameters.KeyContainerName = "DashlaneDirectorySyncKey53"

Después del cambio en la línea 104:

$CspParameters.KeyContainerName = "DashlaneDirectorySyncKey54"

Mensaje de Error 403

Dashlane sync respondió con lo siguiente: {"code":403,"message":"Prohibido"}

Para resolver el error:

1. Inicie sesión en la Consola de Administración.
2. Seleccione Integraciones y luego Aprovisionamiento. Luego seleccione Configurar para Active Directory.
3. Habilite el aprovisionamiento automático de usuarios y grupos.

Mensaje de Error Error member_removal_over_limit

El script de sincronización de AD tiene un límite incorporado que previene la desincorporación masiva accidental de usuarios. En ocasiones, es necesario desincorporar usuarios en masa, por lo que necesitará aumentar el límite de usuarios que puede desincorporar de su plan.

Para resolver el error:

• En su script de PowerShell, agregue un ";removalLimit=###" al final de la siguiente línea (alrededor de la línea 155) y ejecute manualmente el script.

Ejemplo: Este ejemplo desincorpora 100 usuarios con el script de sincronización.

Antes del cambio alrededor de la línea 155:

Después del cambio del límite de eliminación a 100 usuarios, permitiendo la eliminación de hasta 100 usuarios:

$Payload = @{adLogins=$FileContentEncoded;adToken=$INSTALL_TOKEN;teamId=$TEAM_ID;signature=$SignatureHash;publicKey=$PublicKeyHash;removalLimit=100}

Después de que sus usuarios se desactiven a través de la sincronización, considere eliminar el texto añadido para restablecerlo a la configuración predeterminada, que es de 10 usuarios o el 5% de todos los usuarios, lo que sea mayor.

Mensaje de Error Error de Sincronización de Dashlane

La sincronización de Dashlane respondió con lo siguiente: Error de Sincronización de Dashlane:System.NotSupporteDException - el contenido de la respuesta no puede ser analizado porque el motor de Internet Explorer no está disponible o la configuración de primer lanzamiento de Internet Explorer no está completa. Especifique el parámetro usebasicparsing y vuelva a intentarlo.

Para resolver el error:

1. Agregue el interruptor -usebasicparsing a la línea $response en el script de Powershell, alrededor de la línea 158.
2. Guarde y ejecute el script.