Configuración de la sincronización local de Active Directory (AD) con Dashlane Expandir secciones

Como administrador de Dashlane Starter, Team o Business, puede configurar Dashlane para sincronizar automáticamente los usuarios y grupos de Active Directory (AD) para el abastecimiento y desaprovisionamiento de las cuentas de Dashlane.

Administre el aprovisionamiento de los miembros del plan Business con SSO o SCIM

Tutorial en video

En este video, se ofrece una explicación paso a paso de cómo configurar Dashlane para sincronizar automáticamente los usuarios y los grupos de Active Directory (AD) a fin de aprovisionar y desaprovisionar de forma automática las cuentas de Dashlane.

Cree un grupo y una cuenta de servicio de AD

1. Ingrese en un Windows Server con el módulo de Usuarios y Computadoras de Active Directory.
2. Cree o localice un grupo a cuyos miembros le gustaría invitar a su plan Starter, Team o Business. Si no existe ningún grupo, recomendamos crear uno llamado "AllDashlaneUsers".
3. Agregue al grupo, al menos, un usuario de AD con una dirección de correo electrónico.
4. Cree un usuario de Active Directory que usará para ejecutar el script de sincronización, comúnmente denominado "cuenta de servicio". En el video de ejemplo, creamos una cuenta de servicio "SA_DashlaneSync".
5. Agregue la cuenta de servicio al grupo de administradores locales para poder ingresar en la máquina y ejecutar los scripts de PowerShell.
6. Ingrese con la nueva cuenta de servicio creada.

Configure la consola de administración

Si desea configurar su cuenta para la sincronización de AD:

1. Ingrese en la consola de administración.
2. Seleccione Opciones y, luego, Active Directory.
3. Active la Sincronización de grupos y el aprovisionamiento automático de usuarios.
   • Después de haber verificado la sincronización y que todos los miembros actuales de Dashlane estén dentro del alcance de la sincronización, active el Desaprovisionamiento automático de usuarios.
4. Seleccione Copiar para copiar en el portapapeles el script de AD de Dashlane que aparece en la ventana gris.

   

Configure el script de sincronización y de Active Directory

1. Ingrese en Windows Server o en una estación de trabajo que tenga Windows PowerShell 3.0 o superior con la cuenta de servicio que creamos antes.
2. Si no lo ha hecho aún, cree o identifique un grupo de seguridad de Active Directory que desee sincronizar con Dashlane.
   
   • Recomendamos crear un grupo nuevo llamado AllDashlaneUsers para comenzar.
3. Agregue usuarios al grupo en el que desea tener cuentas de Dashlane.
4. Abra PowerShell ISE y seleccione Archivo y, luego, en Nuevo.
5. Pegue el script guardado en su portapapeles del Paso 4 en Cómo configurar la consola de administración.
6. Edite la línea 21 del script y escriba los nombres de los grupos que desea sincronizar con Dashlane.
   
7. Guarde el script de PowerShell en la máquina local.
8. Ejecute el script en PowerShell ISE seleccionando la flecha verde.
   
9. Asegúrese de que el script muestre lo siguiente: "code":200,"message":"OK"
10. Copie la cadena de texto que está entre guiones a su portapapeles.
11. Vuelva a la consola de administración u actualice la página.
12. En la ventana emergente de Verificar llave de seguridad, seleccione Continuar.

    

13. En el campo de texto, introduzca la cadena de texto que copió al portapapeles en el paso 10 y haga clic en Verificar ahora.

    

Verifique la sincronización

1. En la vista de la Consola de administración, acceda a la ficha Usuarios y verifique que los nuevos miembros tienen un estado de Invitación pendiente.

   

2. En la ficha Grupos, consulte los grupos que ha sincronizado.
3. Para ver el estado de su sincronización de AD en la consola de administración, seleccione Opciones y, luego, Active Directory.
4. Después de confirmar que todos los miembros sincronizados están incluidos en los grupos de sincronización de Active Directory, le recomendamos activar el Desaprovisionamiento automático de usuarios.

Programe una sincronización periódica con el programador de tareas

Con el script guardado en su dominio, puede programar que se ejecute automáticamente en el intervalo de tiempo que usted defina.

Nota: la cuenta del miembro del plan configurada para ejecutar esta tarea debe poder leer las Unidades organizativas (OU) y las cuentas de usuario en su entorno de Active Directory.

1. Asegúrese de que ingresó en la misma cuenta de servicio que usó para realizar la sincronización inicial.
   • Programar esto para que se ejecute con otra cuenta no funcionará, ya que la clave de sincronización generada deriva de la máquina y del miembro que se usaron para la sincronización y debe seguir siendo la misma.
2. En el Windows Server que ejecutará el script, abra Programador de tareas.
3. Seleccione Biblioteca del programador de tareas.
4. Seleccione la ficha Acción en el menú superior izquierdo.
5. Seleccione Crear tarea.
6. Seleccione la ficha General.
7. En el cuadro de texto Nombre, escriba Sincronización de AD de Dashlane.
8. Seleccione Opciones de seguridad.
9. En las opciones de seguridad, seleccione las casillas de verificación para Ejecutar tanto si el usuario ingresó como si no y Ejecutar con los mayores privilegios.

   Establezca un cronograma para que se ejecute el script al crear un nuevo desencadenante. En el siguiente ejemplo, se ejecutará todos los días a la 1:00 a. m.

   

10. Seleccione la ficha Acciones.
11. Seleccione Nueva acción.
12. En Programa/script, escriba lo siguiente: powershell
13. En Agregar argumentos (opcional), pegue lo siguiente:
    -file C:\FilePathtoPowershellScript\dashlane-ad-sync.ps1

    

Algunas consideraciones

• Una vez configurada la sincronización, recomendamos administrar sus grupos y usuarios de Dashlane exclusivamente a través de Active Directory.
• Todos los miembros considerados por el script deben tener una dirección de correo electrónico indicada en Active Directory.
• Los administradores no pueden cancelar el acceso a todos los administradores porque todos los planes Starter, Team o Business deben tener al menos un administrador activo.
• Todos los planes Starter, Team o Business deben tener al menos un contacto de facturación activo.
• La cantidad de miembros en los grupos sincronizados no debe ser superior a la cantidad de puestos disponibles en su cuenta.

Sincronización solo de usuarios

Para sincronizar solo los miembros del grupo de AD y no crear un grupo para compartir de Dashlane, edite las líneas 124 y 125 del script de sincronización de AD.

Ejemplo:

Antes de cambiar las líneas 124 y 125:

 $DataStr += $GroupInfo.ObjectGUID
 $DataStr += $GroupInfo.Name

Después de cambiar las líneas 124 y 125:

 $DataStr += $GroupInfo.Sync_Users_Only
 $DataStr += $GroupInfo.Sync_Users_Only

Mensajes de error

Mensaje de error 400

La sincronización de Dashlane respondió con los siguientes datos: {"code":400,"message":"Bad Request"}

Para resolver el error:

1. Asegúrese de no intentar sincronizar más miembros del número de puestos que ha comprado.
2. Asegúrese de que el módulo Active Directory para Windows PowerShell esté instalado.

   

3. Asegúrese de haber configurado las opciones de seguridad HTTPS.
4. Asegúrese de que, al menos, un usuario con una dirección de correo electrónico esté en el grupo de Active Directory que intenta sincronizar.

No aparece ninguna clave de sincronización de directorios

Para resolver el error:

1. En su script de PowerShell, cambie la variable DashlaneDirectorSyncKey## a un nuevo número para forzar una nueva clave de sincronización.
2. Guarde el comando y ejecútelo.

Ejemplo:

Antes del cambio a la línea 104 (quizá algunos números estén desfasados, dependiendo cuántos grupos tenga):

 $CspParameters.KeyContainerName = "DashlaneDirectorySyncKey53"

Después del cambio de la línea 104:

 $CspParameters.KeyContainerName = "DashlaneDirectorySyncKey54"

Mensaje de error 403

La sincronización de Dashlane respondió con los siguientes datos: {"code":403,"message":"Forbidden"}

Para resolver el error:

1. Ingrese en la consola de administración.
2. Seleccione Opciones y, luego, Active Directory.
3. Habilite el aprovisionamiento automático de usuarios y grupos.

Mensaje de error "Error member_removal_over_limit"

El script de sincronización de AD tiene un límite integrado que impide la exclusión accidental de varios usuarios. A veces, la exclusión masiva de usuarios es necesaria, por lo que deberá aumentar el límite de usuarios que pueden excluirse de su plan.

Para resolver el error:

• En su script de PowerShell, agregue ";removalLimit=###" al final de la siguiente línea (aproximadamente, en la línea 155) y ejecute el script de forma manual.

Ejemplo: En este caso, se excluyen 100 usuarios con el script de sincronización.

Antes del cambio, aproximadamente, en la línea 155:

Después del cambio de la eliminación del límite a 100 usuarios, permitir borrar hasta 100 usuarios:

 $Payload = @{adLogins=$FileContentEncoded;adToken=$INSTALL_TOKEN;teamId=$TEAM_ID;signature=$SignatureHash;publicKey=$PublicKeyHash;removalLimit=100}

Después de que se excluya a los usuarios a través de la sincronización, considere eliminar el texto agregado para volver al valor predeterminado, que es 10 usuarios o el 5 % de todos los usuarios, lo que sea mayor.

Mensaje “Error de sincronización de Dashlane”

La sincronización de Dashlane respondió lo siguiente: Dashlane Sync Error:System.NotSupporteDException, el contenido de la respuesta no se puede analizar porque el motor de Internet Explorer no está disponible o la configuración del primer inicio de Internet Explorer no está completa. Especifique el parámetro usebasicparsing e inténtelo de nuevo.

Para resolver el error:

1. Agregue el parámetro -usebasicparsing a la línea $response en el comando de Powershell, cerca de la línea 158.
2. Guarde el comando y ejecútelo.