Integración con Active Directory

Dashlane puede configurarse para sincronizar automáticamente usuarios y grupos de Active Directory (AD) para el aprovisionamiento y desaprovisionamiento de cuentas de Dashlane.

Si desea que sus usuarios usen el SSO para ingresar, le recomendamos configurarlo primero. Comience aquí.

Video tutorial

Cómo crear un grupo y una cuenta de servicio de AD

1. Ingrese en un Windows Server que tenga el módulo de Usuarios y Computadoras de Active Directory.
2. Cree o identifique un grupo a cuyos miembros le gustaría invitar a su plan empresarial. Si no existe ningún grupo, le recomendamos que cree uno llamado "AllDashlaneUsers".
3. Agregue, al menos, a un usuario de AD al grupo con una dirección de correo electrónico.
4. Cree un usuario de Active Directory que usará para ejecutar el script de sincronización, comúnmente denominado "cuenta de servicio". En el vídeo de ejemplo, hemos creado "SA_DashlaneSync"
5. Agregue la cuenta de servicio al grupo de administradores locales para que pueda ingresar y ejecutar scripts de PowerShell.
6. Ingrese con la nueva cuenta de servicio creada.

Cómo configurar la consola de administración

A fin de configurar su cuenta para la sincronización de AD, siga estos pasos:

1. Ingrese en su Consola de administración desde http://console.dashlane.com
2. Haga clic en Opciones > Active Directory 
3. Seleccione la opción para habilitar "Sincronización de grupos y aprovisionamiento de usuarios automáticos".
   • Considere activar "Desaprovisionamiento automático de usuarios" una vez que haya verificado la sincronización y que todos los usuarios actuales de Dashlane estén dentro del alcance de la sincronización.
4. Haga clic en Copiar para copiar a su portapapeles el script de AD de Dashlane que aparece en la ventana gris.

Cómo configurar el script de Active Directory y de sincronización

1. Ingrese en Windows Server o en una estación de trabajo que tenga Windows PowerShell 3.0 o superior con la cuenta de servicio que creamos antes.
2. Si no lo ha hecho aún, cree o identifique un grupo de seguridad de Active Directory que desee sincronizar con Dashlane.
   
   • Recomendamos crear un grupo nuevo llamado AllDashlaneUsers para comenzar.
3. Agregue usuarios al grupo en el que desea tener cuentas de Dashlane.
4. Abra Powershell ISE > Archivo > Nuevo.
5. Pegue el script que guardó en el portapapeles, en el paso 4 de las instrucciones que aparecen más arriba ("Configurar la Consola de administración").
6. Edite la línea 21 del script y escriba los nombres de los grupos para sincronizarlos con Dashlane
   .
7. Guarde el script de Powershell en la máquina local.
8. Ejecute el script en PowerShell ISE haciendo clic en la flecha verde.
   
9. Asegúrese de que el script muestre "code":200,"message":"OK".
10. Copie la cadena de texto que está entre guiones en su portapapeles.
11. Vaya nuevamente a http://console.dashlane.com y actualice la página.
12. En la ventana emergente "Verificar la clave de seguridad...", haga clic en Continuar
    .
13. En el campo de texto, ingrese la cadena de texto que copió en el portapapeles, en el paso 10 y haga clic en Verificar ahora
    
    .

Cómo verificar la sincronización

1. En la Consola de administración, acceda a la ficha Usuarios y verifique que los usuarios nuevos tengan el estado de invitación pendiente.
   
   
2. En la ficha Grupos, consulte los grupos que ha sincronizado.
3. Puede ver el estado de sincronización de AD en la Consola de administración, en Opciones > Active Directory.
4. Se recomienda activar Desaprovisionamiento automático una vez que haya confirmado que todos los usuarios sincronizados están incluidos en los grupos de sincronización de Active Directory.

Cómo programar la sincronización periódica con el programador de tareas

Con el script guardado en su dominio, puede programar que se ejecute automáticamente en el intervalo de tiempo que usted defina.

Considere que la cuenta de usuario configurada para ejecutar esta tarea debe poder leer las Unidades organizativas (OU) y las cuentas de usuario en su entorno de Active Directory.

1. Abra el programador de tareas en un Windows Server que ejecutará el script.
2. Seleccione Biblioteca del programador de tareas.
3. Haga clic en la ficha Acción, que se encuentra en el menú superior izquierdo.
4. Después, haga clic en "Crear tarea".
5. A continuación, haga clic en la ficha General.
6. Escriba Sincronización de AD de Dashlane en la casilla de texto "Nombre:".
7. Luego seleccione Opciones de seguridad.
8. Dentro de Opciones de seguridad: Marque las casillas para "Ejecutar si el usuario ingresó en la cuenta o no" y "Ejecutar con los privilegios más altos"

Establezca un cronograma para que se ejecute el script al crear un nuevo desencadenante. En el ejemplo que se muestra a continuación, se ejecutará todos los días a la 1:00 a. m.

Luego, haga clic en la ficha Acciones.

1. Haga clic en Nueva acción.
2. En "Programa/script", escriba powershell.
3. En "Agregar argumentos (opcional)", pegue -file C:\FilePathtoPowershellScript\dashlane-ad-sync.ps1
   
   
   

Algunas consideraciones

• Una vez configurada la sincronización, recomendamos administrar sus grupos y usuarios de Dashlane exclusivamente a través de Active Directory.
• Todos los usuarios considerados por el script deben tener una dirección de correo electrónico especificada en Active Directory.
• Los administradores no pueden quitar el acceso a todos los usuarios administradores, ya que debe haber, al menos, un administrador activo para cada plan empresarial.
• Los administradores tampoco pueden quitar el acceso a los administradores de facturación, ya que debe haber, al menos, un administrador de facturación activo para cada plan empresarial.
• La cantidad de usuarios en los grupos sincronizados no debe ser superior a la cantidad de asientos disponibles en su cuenta.

Cómo sincronizar solo usuarios

Para sincronizar solo los miembros del grupo de AD y no crear un grupo compartido de Dashlane, edite las líneas 124 y 125 del script de sincronización de AD.

Antes del cambio: líneas 124 y 125

$DataStr += $GroupInfo.ObjectGUID
$DataStr += $GroupInfo.Name

Después del cambio: líneas 124 y 125

$DataStr += $GroupInfo.Sync_Users_Only
$DataStr += $GroupInfo.Sync_Users_Only

Mensajes de error

Mensaje de error

La sincronización de Dashlane respondió: {"code":400,"message":"Bad Request"}

Solución

1. Asegúrese de que no está intentando sincronizar más usuarios que el número de asientos que compró.

2. Asegúrese de que el módulo Active Directory para Windows PowerShell esté instalado.

3. Asegúrese de que configuró las opciones de seguridad de https o de que abrió Internet Explorer y repasó el asistente de configuración que se ejecutó por primera vez.

4. Asegúrese de que, al menos, un usuario con una dirección de correo electrónico esté en el grupo de Active Directory que intenta sincronizar.

No aparece ninguna clave de sincronización de directorios.

En su script de PowerShell, cambie la variable DashlaneDirectorSyncKey## a un nuevo número para forzar una nueva clave de sincronización. Guarde el script y ejecútelo.

Antes del cambio: línea 104 (quizá algunos números están desfasados, según cuántos grupos tenga)

 $CspParameters.KeyContainerName = "DashlaneDirectorySyncKey53"

Después del cambio: línea 104

 $CspParameters.KeyContainerName = "DashlaneDirectorySyncKey54"

Mensaje de error

Error member_removal_over_limit

El script de sincronización de AD tiene un límite integrado que impide la exclusión accidental de varios usuarios. A veces, la exclusión masiva de usuarios es necesaria, por lo que deberá aumentar el límite de usuarios que pueden excluirse de su plan.

Solución

agregue un ";removalLimit=###" al final de la siguiente línea, (aproximadamente, en la línea 155) del script de sincronización de powershell.  Ejecute el script de sincronización nuevamente. Después de que se excluya a los usuarios a través de la sincronización, considere eliminar el texto agregado para volver al valor predeterminado, que es 10 usuarios o el 5 % de todos los usuarios, lo que sea mayor.

En el siguiente ejemplo, podré excluir a 100 usuarios con el script de sincronización.

$Payload = @{adLogins=$FileContentEncoded;adToken=$INSTALL_TOKEN;teamId=$TEAM_ID;signature=$SignatureHash;publicKey=$PublicKeyHash;removalLimit=100}