Integración con Active Directory

Puede configurar Dashlane para que sincronice automáticamente los usuarios y los grupos de Active Directory (AD) a fin de aprovisionar y desaprovisionar de forma automática las cuentas de Dashlane.

Si desea que sus usuarios usen el SSO para ingresar, le recomendamos configurarlo primero. Comience aquí.

Tutorial en video

En este video, se ofrece una explicación paso a paso de cómo configurar Dashlane para sincronizar automáticamente los usuarios y los grupos de Active Directory (AD) a fin de aprovisionar y desaprovisionar de forma automática las cuentas de Dashlane.

Cree un grupo y una cuenta de servicio de AD

1. Ingrese en un Windows Server con el módulo de Usuarios y Computadoras de Active Directory.
2. Cree o identifique un grupo a cuyos miembros le gustaría invitar a su plan empresarial. Si no existe ningún grupo, recomendamos crear uno llamado "AllDashlaneUsers".
3. Agregue al grupo, al menos, un usuario de AD con una dirección de correo electrónico.
4. Cree un usuario de Active Directory que usará para ejecutar el script de sincronización, comúnmente denominado "cuenta de servicio". En el video de ejemplo, creamos una cuenta de servicio "SA_DashlaneSync".
5. Agregue la cuenta de servicio al grupo de administradores locales para poder ingresar en la máquina y ejecutar los scripts de PowerShell.
6. Ingrese con la nueva cuenta de servicio creada.

Configure la consola de administración

Si desea configurar su cuenta para la sincronización de AD:

1. Ingrese en la consola de administración.
2. Seleccione Opciones y, luego, Active Directory.
3. Active la Sincronización de grupos y el aprovisionamiento automático de usuarios.
   • Después de haber verificado la sincronización y que todos los usuarios actuales de Dashlane estén dentro del alcance de la sincronización, active el Desaprovisionamiento automático de usuarios.
4. Haga clic en Copiar para copiar el script de AD de Dashlane que se muestra en la ventana gris al portapapeles.

   

Configure el script de sincronización y de Active Directory

1. Ingrese en Windows Server o en una estación de trabajo que tenga Windows PowerShell 3.0 o superior con la cuenta de servicio que creamos antes.
2. Si no lo ha hecho aún, cree o identifique un grupo de seguridad de Active Directory que desee sincronizar con Dashlane.
   
   • Recomendamos crear un grupo nuevo llamado AllDashlaneUsers para comenzar.
3. Agregue usuarios al grupo en el que desea tener cuentas de Dashlane.
4. Abra PowerShell ISE y haga clic en Archivo y, luego, en Nuevo.
5. Pegue el script guardado en su portapapeles del Paso 4 en Cómo configurar la consola de administración.
6. Edite la línea 21 del script y escriba los nombres de los grupos que desea sincronizar con Dashlane.
   
7. Guarde el script de Powershell en la máquina local.
8. Ejecute el script en PowerShell ISE haciendo clic en la flecha verde.
   
9. Asegúrese de que el script muestre lo siguiente: "code":200,"message":"OK"
10. Copie la cadena de texto que está entre guiones a su portapapeles.
11. Vuelva a la consola de administración u actualice la página.
12. En la ventana emergente de Verificar clave de seguridad, haga clic en Continuar.

    

13. En el campo de texto, pegue la cadena de texto que copió al portapapeles en el paso 10 y haga clic en Verificar ahora.

    

Verifique la sincronización

1. En la consola de administración, acceda a la ficha Usuarios y valide que los nuevos usuarios tengan un estado de invitación pendiente.

   

2. En la ficha Grupos, consulte los grupos que ha sincronizado.
3. Para ver el estado de su sincronización de AD en la consola de administración, seleccione Opciones y, luego, Active Directory.
4. Después de confirmar que todos los usuarios sincronizados están incluidos en los grupos de sincronización de Active Directory, recomendamos activar el Desaprovisionamiento automático de usuarios.

Programe una sincronización periódica con el programador de tareas

Con el script guardado en su dominio, puede programar que se ejecute automáticamente en el intervalo de tiempo que usted defina.

Considere que la cuenta de usuario configurada para ejecutar esta tarea debe poder leer las Unidades organizativas (OU) y las cuentas de usuario en su entorno de Active Directory.

1. Asegúrese de que ingresó en la misma cuenta de servicio que usó para realizar la sincronización inicial.
   • Programar esto para que se ejecute con otra cuenta no funcionará, ya que la clave de sincronización generada deriva de la máquina y del usuario que se usaron para la sincronización y debe ser la misma.
2. En el Windows Server que ejecutará el script, abra Programador de tareas.
3. Seleccione Biblioteca del programador de tareas.
4. Haga clic en la ficha Acción, que se encuentra en el menú superior izquierdo.
5. Haga clic en Crear tarea.
6. Haga clic en la ficha General.
7. En el cuadro de texto Nombre, escriba Sincronización de AD de Dashlane.
8. Seleccione Opciones de seguridad.
9. En las opciones de seguridad, marque las casillas para Ejecutar si el usuario ingresó o no y Ejecutar con los privilegios más altos.

   Establezca un cronograma para que se ejecute el script al crear un nuevo disparador. En el siguiente ejemplo, se ejecutará todos los días a la 1:00 a. m.

   

10. Haga clic en la ficha Acciones.
11. Haga clic en Nueva acción.
12. En Programa/script, escriba lo siguiente: powershell
13. En Agregar argumentos (opcional), pegue lo siguiente:
    -file C:\FilePathtoPowershellScript\dashlane-ad-sync.ps1

    

Algunas consideraciones

• Una vez configurada la sincronización, recomendamos administrar sus grupos y usuarios de Dashlane exclusivamente a través de Active Directory.
• Todos los usuarios considerados por el script deben tener una dirección de correo electrónico especificada en Active Directory.
• Los administradores no pueden desaprovisionar a todos los usuarios administradores, ya que cada plan empresarial debe tener, al menos, un administrador activo.
• Los administradores no pueden desaprovisionar a todos los administradores de facturación, ya que cada plan empresarial debe tener, al menos, un administrador de facturación activo.
• La cantidad de usuarios en los grupos sincronizados no debe ser superior a la cantidad de puestos disponibles en su cuenta.

Sincronización solo de usuarios

Para sincronizar solo los miembros del grupo de AD y no crear un grupo para compartir de Dashlane, edite las líneas 124 y 125 del script de sincronización de AD.

Ejemplo:

Antes de cambiar las líneas 124 y 125:

 $DataStr += $GroupInfo.ObjectGUID
 $DataStr += $GroupInfo.Name

Después de cambiar las líneas 124 y 125:

 $DataStr += $GroupInfo.Sync_Users_Only
 $DataStr += $GroupInfo.Sync_Users_Only

Mensajes de error

Mensaje de error 400

La sincronización de Dashlane respondió lo siguiente: {"code":400,"message":"Bad Request"}

Para resolver el error:

1. Asegúrese de que no está intentando sincronizar más usuarios que el número de asientos que compró.
2. Asegúrese de que el módulo Active Directory para Windows PowerShell esté instalado.

   

3. Asegúrese de que ha configurado las opciones de seguridad de HTTPS o de que ha abierto Internet Explorer y ha seguido las indicaciones del asistente de configuración que se ejecutó la primera vez que abrió el navegador.
4. Asegúrese de que, al menos, un usuario con una dirección de correo electrónico esté en el grupo de Active Directory que intenta sincronizar.

No aparece ninguna clave de sincronización de directorios

Para resolver el error:

1. En su script de PowerShell, cambie la variable DashlaneDirectorSyncKey## a un nuevo número para forzar una nueva clave de sincronización.
2. Guarde el script y ejecútelo.

Ejemplo:

Antes del cambio de la línea 104 (quizá algunos números están desfasados, según cuántos grupos tenga):

 $CspParameters.KeyContainerName = "DashlaneDirectorySyncKey53"

Después del cambio de la línea 104:

 $CspParameters.KeyContainerName = "DashlaneDirectorySyncKey54"

Mensaje de error 403

La sincronización de Dashlane respondió lo siguiente: {"code":403,"message":"Forbidden"}

Para resolver el error:

1. Ingrese en la consola de administración.
2. Seleccione Opciones y, luego, Active Directory.
3. Habilite el aprovisionamiento automático de usuarios y grupos.

Mensaje de error "Error member_removal_over_limit"

El script de sincronización de AD tiene un límite integrado que impide la exclusión accidental de varios usuarios. A veces, la exclusión masiva de usuarios es necesaria, por lo que deberá aumentar el límite de usuarios que pueden excluirse de su plan.

Para resolver el error:

• En su script de PowerShell, agregue ";removalLimit=###" al final de la siguiente línea (aproximadamente, en la línea 155) y ejecute el script de forma manual.

Ejemplo: En este caso, se excluyen 100 usuarios con el script de sincronización.

Antes del cambio, aproximadamente, en la línea 155:

Después del cambio de la eliminación del límite a 100 usuarios, permitir borrar hasta 100 usuarios:

 $Payload = @{adLogins=$FileContentEncoded;adToken=$INSTALL_TOKEN;teamId=$TEAM_ID;signature=$SignatureHash;publicKey=$PublicKeyHash;removalLimit=100}

Después de que se excluya a los usuarios a través de la sincronización, considere eliminar el texto agregado para volver al valor predeterminado, que es 10 usuarios o el 5 % de todos los usuarios, lo que sea mayor.