Gestión de la herramienta AD Sync

La herramienta de sincronización con AD es una herramienta de línea de comandos que puede ejecutar en un sistema Windows, Linux o macOS para sincronizar usuarios y grupos entre su Active Directory (AD) o servidor LDAP y su cuenta de Zoom. Con esta herramienta, podrá gestionar automáticamente los usuarios y grupos de su cuenta Zoom cuando se produzca un cambio en su sistema LDAP/AD para dichos usuarios y grupos.

La herramienta se ejecuta en la consola y no incluye una interfaz gráfica de usuario ni una interfaz web. Los ajustes se configuran mediante un archivo de propiedades, y puede consultar los archivos de registro para ver los detalles de los cambios o para solucionar cualquier error.

Basándose en los cambios en su servidor LDAP/AD, la herramienta de sincronización AD le permite crear, actualizar y desactivar/eliminar usuarios, actualizar el correo electrónico del usuario Zoom (el dominio del nuevo correo electrónico debe estar en el dominio asociado) y dar de baja a los usuarios cuando su contraseña haya sido cambiada, eliminada o desactivada. Esta herramienta también le permite crear, actualizar y eliminar grupos de Zoom, así como añadir o eliminar miembros del grupo.

La herramienta de sincronización AD admite los siguientes atributos.

Usuario:

• Nombre
• Apellido
• Correo electrónico
• Departamento
• Puesto
• Número de teléfono
• Empresa
• Centro de costes
• Identificación única del empleado

Grupo:

• Nombre del grupo
• Alias de correo electrónico del grupo

Si está sincronizando ADFS con Entra ID, le recomendamos que utilice nuestra integración Entra ID para una experiencia administrativa mejorada.

Requisitos de la herramienta AD Sync

• Una cuenta de Zoom con las siguientes funciones activadas:
  • URL de vanidad
  • API REST
  • Directorio Activo
  • El inicio de sesión único se ha habilitado y configurado en Zoom 
  • Póngase en contacto con el servicio de asistencia de Zoom para activar la herramienta de sincronización con AD
• Crear aplicación OAuth de servidor a servidor para la herramienta AD Sync en Zoom App Marketplace
• Servicios LDAP, como Active Directory Federation Services (ADFS)
• Cuenta de administrador LDAP (o Microsoft AD) para la que tiene acceso al nombre de usuario y la contraseña

Cómo crear una aplicación OAuth de servidor a servidor para la herramienta de sincronización de AD

Verificar los permisos para editar usuarios

Para crear esta aplicación, el usuario debe tener permisos de Usuario:Editar.

1. Inicie sesión en el portal web de Zoom como administrador o usuario con permisos de edición de gestión de roles.
2. En el menú de navegación, haga clic en Gestión de usuarios y luego en Roles.
3. En la pestaña Todos, haga clic en el nombre del tipo de rol que desee comprobar, como Admin.
4. En Gestión de usuarios y permisos, verifique que este rol tiene permisos de Edición para Usuarios.

Más información sobre la gestión de roles.

Crear la aplicación

Debe crear una aplicación OAuth de servidor a servidor para la herramienta en Zoom App Marketplace. Sólo los usuarios con permisos Usuario:Editar pueden completar esta tarea.

1. Inicie sesión en Zoom App Marketplace.
2. En la esquina superior derecha, haga clic en Desarrollar y, a continuación, en Crear aplicación de servidor a servidor.
3. Introduzca un nombre para su aplicación y haga clic en Crear.
4. En la pestaña Credenciales de la aplicación, vea su ID de cuenta, ID de cliente y secreto de cliente. Utilizará estas credenciales para autenticarse con Zoom.
5. En la pestaña Información, añada datos sobre su aplicación, como una breve descripción, el nombre de la empresa y la información de contacto del desarrollador (nombre y dirección de correo electrónico necesarios para la activación).
6. En la pestaña Ámbitos, haga clic en Añadir ámbitos y añada los siguientes ámbitos:
   1. Haga clic en Usuario y, a continuación, en Ver información de usuarios y gestionar usuarios y seleccione el ámbito Eliminar el token de un usuario.
   2. Haga clic en SCIM2, luego en Llamar a la API SCIM2 y seleccione el ámbito Llamar a la API SCIM2.
   3. Pulse Hecho.
   4. Pulse Continuar.
7. En la pestaña Activación, active su aplicación.

Inicio rápido de la herramienta AD Sync

1. Instale el JDK versión 17 o superior y ejecute el siguiente comando para asegurarse de que java está instalado correctamente:
   java -version
2. Obtenga el archivo zoomadsynctool.zip de la siguiente ubicación: https://cdn.zoom.us/prod/tools/zoomadsynctool.zip
3. Descomprima el archivo zoomadsynctool.zip.
4. Haga una copia de seguridad y actualice el config.properties como se describe en la sección Configuración.
5. Prepare un código secreto para proteger la información sensible de los archivos de configuración de la herramienta. El código secreto es necesario cada vez que ejecute la herramienta.
6. Complete la configuración de inicialización de la herramienta ejecutando el siguiente comando:
   bin/adtool.cmd setup
7. Valide la exactitud del archivo config.properties y los resultados de la sincronización ejecutando el siguiente comando:
   bin/adtool.cmd vista previa
8. Modifique el config.properties y sus usuarios/grupos LDAP/AD, ejecute de nuevo el comando de vista previa para verificar si los resultados cumplen sus expectativas.
9. Cuando la configuración sea correcta y el comando de previsualización dé los resultados esperados, inicie la operación de sincronización ejecutando el siguiente comando:
   bin/adtool.cmd sync
   Precaución: La ejecución del comando sync o start puede eliminar o desactivar usuarios existentes de su cuenta Zoom si dichos usuarios no existen en Active Directory. Consulte la configuración de la cuenta de Zoom:
   zoom.allow.delete.missing.user
   Nota: Si hay una gran cantidad de datos que sincronizar, este comando tardará algún tiempo en ejecutarse. Por favor, absténgase de realizar cualquier operación adicional durante su ejecución.
10. (Opcional) Supervise y sincronice continuamente cualquier cambio en su sistema LDAP/AD ejecutando el siguiente comando:
    bin/adtool.cmd start
    Nota: Inicie la Herramienta de Sincronización AD como un servicio daemon. Continuará ejecutando la sincronización incremental cada 40 minutos. También supervisará los eventos de cambio de contraseña.
11. Compruebe el archivo de registro si no consigue ejecutar algún comando.

Cómo configurar la Herramienta de Sincronización AD

El archivo config.properties incluye un conjunto de parámetros que determinan cómo realizará la herramienta la sincronización. Puede realizar dos tipos de sincronizaciones:

• Sincronización completa: Compara todos los usuarios/grupos de Zoom y los usuarios/grupos de AD, y sincroniza todos los usuarios y grupos de AD con Zoom.
• Sincronización incremental: Sólo sincroniza los usuarios/grupos de AD modificados en Zoom desde la última sincronización.

Debe actualizar los valores de las siguientes secciones del archivo.

Nota: Las credenciales no deben añadirse en este archivo.

Ajuste del zoom (se requieren valores actualizados)

• zoom.vanity.url: Su URL de vanidad de Zoom.

Opciones de sincronización (se requieren valores actualizados)

• zoom.por.defecto.tipo.usuario: El tipo de usuario por defecto cuando se aprovisiona un nuevo usuario de Zoom. Los tipos de usuario son 1: Básico, 2: Con licencia y 3: On-Prem. El valor por defecto es 2.
• zoom.permitir.crear.usuario: Determine si desea crear nuevos usuarios Zoom cuando estos usuarios ya existan en su AD. Los valores son verdadero: crear nuevos usuarios y falso: no crear.
• zoom.permitir.actualizar.usuario: Determine si desea actualizar los usuarios de Zoom cuando estos usuarios sean diferentes de su AD. Los valores son verdadero: actualizar y falso: no actualizar.
• zoom.permitir.eliminar.usuario: Determine si desea eliminar los usuarios de Zoom cuando se eliminen de su AD. Los valores son verdadero: borrar y falso: no borrar.
• comportamiento.de.eliminación.de.usuarios.por.defecto: Determine si desea eliminar o desactivar al usuario de Zoom al realizar una acción de "delete". Los valores son 1: desactivar o 2: eliminar. El valor por defecto es 1. Esto depende de zoom.allow.delete.user o zoom.allow.delete.missing.user.
• zoom.permitir.eliminar.falta.usuario: Determine si desea eliminar usuarios de Zoom si estos usuarios no existen en AD en un comando de sincronización completa (cuando esta herramienta se ejecuta por primera vez). Los valores son verdadero: borrará los usuarios que falten de Zoom y falso: no borrará los usuarios que falten de Zoom. El valor por defecto es falso. Si no desea afectar a sus usuarios actuales de Zoom, elija false.
• zoom.allow.sync.group: Determine si desea sincronizar los grupos entre su AD y Zoom. Si permite la sincronización de grupos entre su AD y Zoom, deje "ldap.servers[0].groups" en blanco en la configuración LDAP/AD. Los valores son verdadero: sincronizará los grupos entre su AD y Zoom y falso: no sincronizará los grupos.
• zoom.permitir.crear.grupo: Determine si desea crear nuevos grupos Zoom cuando estos grupos ya existan en su AD. Los valores son verdadero: crear nuevos grupos y falso: no crear.
• zoom.permitir.actualizar.grupo: Determine si desea actualizar la información del grupo Zoom (como el nombre o el alias de correo electrónico) o añadir y eliminar miembros del grupo. Los valores son verdadero: actualizar y falso: no actualizar.
• zoom.permitir.eliminar.grupo: Determine si desea eliminar los grupos Zoom cuando éstos se eliminen de su AD. Los valores son verdadero: borrar y falso: no borrar.
• zoom.monitor.trabajo.intervalo.minutos: El intervalo de ejecución del trabajo de monitorización. El intervalo por defecto es de 15 minutos.
• zoom.incremental.sincron.trabajo.intervalo.minutos: El intervalo de ejecución del trabajo de sincronización incremental. El intervalo por defecto es de 40 minutos.

Ajustes LDAP/AD (se requieren valores actualizados)

Esta herramienta admite múltiples conexiones a servidores LDAP/AD. El valor "n" identifica el índice del servidor LDAP. El valor de n parte de 0.

• ldap.servidores[n].url: La URL del servidor LDAP para el servidor LDAP o el servidor Active Directory.
• ldap.servidores[n].base: La ubicación de la carpeta base para localizar a los usuarios.
• (Opcional) ldap.servidores[n].grupos[m]: El DN completo de un grupo de usuarios. Si este valor está vacío, los usuarios de todos los grupos se sincronizarán con Zoom. Si especifica un DN para un grupo de usuarios, sólo los miembros del grupo especificado se sincronizarán con Zoom. Póngalo en vacío si no desea filtrar los usuarios por grupo. Puede configurar varios grupos para un servidor, y el valor "m" identifica el índice del grupo. Este elemento está vacío por defecto.
• (Opcional) ldap.servers[n].deletedBase: La ubicación de la carpeta base para buscar los elementos eliminados. El valor predeterminado es CN=Objetos eliminados,{Su nombre base LDAP}. Puede actualizar los valores para reflejar el entorno.
• ldap.default.query.pageSize: El servidor LDAP devuelve el máximo de usuarios/grupos en una página/consulta.

Asignación de atributos (valores actualizados opcionales)

• ldap.usuario.email: El nombre del campo de correo electrónico en AD. El valor por defecto es userPrincipalName.
• ldap.usuario.nombre: El nombre de campo del primer nombre en AD. El valor por defecto es givenName.
• ldap.usuario.apellido: El nombre del campo apellido en AD. El valor por defecto es sn.
• ldap.usuario.departamento: El nombre del campo departamento en AD. El valor por defecto es departamento.
• ldap.user.phoneNumber (desactivado por defecto): El nombre del campo del número de teléfono en AD. El valor por defecto es telephoneNumber.
• ldap.user.jobTitle (desactivado por defecto): El nombre del campo job title en AD. El valor por defecto es el título.
• ldap.user.company (desactivado por defecto): El nombre del campo empresa en AD. El valor por defecto es empresa.
• ldap.user.employeeId (desactivado por defecto): El nombre del campo ID único del empleado en AD. El valor por defecto es employeeID.
• ldap.user.costCenter (desactivado por defecto): El nombre del campo del centro de costes en AD. No hay valor por defecto. Debe elegir el atributo.
• ldap.group.name (desactivado por defecto): El nombre del campo de nombre de grupo en AD. El valor por defecto es cn.
• ldap.group.email (desactivado por defecto): El nombre del campo alias del correo electrónico del grupo en AD. No hay valor por defecto. Debe elegir el atributo.

Notas:

• Si comenta o descomenta las asignaciones, deberá ejecutar una sincronización completa para que surta efecto.
• Hay tres mapeos obligatorios: ldap.user.email, ldap.usuario.nombre, y ldap.user.lastname. No los desactive.
• Todos los valores de asignación distinguen entre mayúsculas y minúsculas. Para obtener el nombre de campo correcto para el mapeo en ADFS, vaya a Administrador de servidores > Herramientas > Usuarios y equipos de Active Directory > [Seleccione un usuario de destino] y haga clic con el botón derecho en Propiedades, luego vaya a Editor de atributos > Columna de atributos.

Configuración de registro

• log.dir: Establezca el directorio base para los archivos de registro. Puede utilizar una ruta relativa como . o .., o una ruta absoluta como C: o D:. El valor predeterminado es .(ubicación actual del archivo adtool- ${version} .jar).

Comandos de sincronización

• Opciones generales:
  
  • Mostrar información de ayuda para la herramienta. 

    -h, --help

  • Muestra información sobre la versión de la herramienta. 

    -v, --version

• Opciones de comando:
  • Muestra información de ayuda de este comando.

    -h, --help

  • Especifica que se ejecute como un modo de servicio y no requiere introducir el código secreto.  

    --servicio

configuración

Configure las credenciales para la autenticación Zoom y la autenticación LDAP. Si desea cambiar algunas
credenciales, puede ejecutar el comando de configuración para actualizar. Al ejecutar este comando, se le
pedirá que introduzca el ID de cuenta de Zoom, el ID de cliente y el secreto de cliente, el nombre de usuario y la contraseña de AD.

Flujo de instalación:

1. Introduzca el código secreto.
2. Confirme el código secreto.
3. Introduzca el ID de la cuenta de Zoom (copiado de la aplicación OAuth de servidor a servidor).
4. Introduzca el ID de cliente de Zoom (copia de la aplicación OAuth de servidor a servidor).
5. Introduzca el secreto de cliente de Zoom (Copiar de la aplicación OAuth de servidor a servidor).
6. Introduzca el DN de usuario (distinguishedName) del servidor LDAP.
7. Introduzca la contraseña de usuario del servidor LDAP.
   Nota: El código secreto, el secreto del cliente y la contraseña no son visibles cuando se editan.

inicie

Inicie la Herramienta de Sincronización de AD como un servicio. Ejecutará una sincronización completa por primera vez e iniciará un trabajo para ejecutar una sincronización incremental cada 40 minutos hasta que apague la herramienta. Además, la herramienta supervisará el evento de cambio de contraseña. Utilizando este comando, no tiene que crear Programador de Tareas o CRON en el sistema.

previsualizar

Previsualice el resultado de la sincronización sin realizar cambios en su cuenta de Zoom. Esto es útil si desea asegurarse de que las opciones de la herramienta funcionan como se espera.

reiniciar

Restablezca los ajustes de esta herramienta. Limpiará toda la configuración local y los datos almacenados en caché de la herramienta. Si no consigue ejecutar esta herramienta por cualquier motivo, puede ejecutar el comando de reinicio para que vuelva a funcionar.

sincronice

• Opción para especificar que se ejecute una sincronización completa: 

  --all

Ejecute una sincronización completa o incremental desde LDAP a Zoom. Recomendamos ejecutar la vista previa para comprobar el resultado antes de ejecutar una sincronización completa. Si alguna vez se ha ejecutado una sincronización completa, ejecutará una sincronización incremental. Si desea ejecutar una sincronización completa, añada "--all" a la orden de sincronización.

monitor

Supervise el evento de cambio de contraseña del usuario y fuerce la desconexión del usuario Zoom de todos los dispositivos cuando cambie la contraseña en LDAP/AD. Esta herramienta supervisa el caso de que la contraseña del usuario LDAP/AD haya sido modificada, y no puede obtener las contraseñas de los usuarios LDAP/AD.

prueba

Compruebe si la configuración funciona. Utilizará la credencial para probar la conexión y la autenticación para el servidor LDAP/AD y Zoom.

Ejemplos de ejecuciones de comandos para la herramienta de sincronización de AD

El patrón de script de ejecución común es: bin/{archivo de script} {comando}.

• Para un sistema Windows, {archivo de script} es adtool.cmd
• Para un sistema Linux o macOS, {archivo de script} es adtool.sh

Ejemplos de ayuda/información sobre la versión de la herramienta

Mostrar información de ayuda de la herramienta:

bin/{archivo de script} -h
bin/{archivo de script} --help

Muestra información sobre la versión de la herramienta:

bin/{archivo de script} -v
bin/{archivo de script} --version

Muestra información de ayuda del comando setup:

bin/{archivo de script} setup -h
bin/{archivo de script} setup --help

Ejemplos para configurar la herramienta

Configure la herramienta en el modo por defecto:

bin/{archivo de script} configuración

Ponga la herramienta en el modo de servicio:

bin/{archivo de script} setup --service

Reinicie la herramienta:

bin/{archivo de script} reset

Ejemplos para ejecutar la herramienta

Ejecute la herramienta en el modo por defecto:

bin/{archivo de script} iniciar
bin/{archivo de script} sincronizar
bin/{archivo de script} previsualizar
bin/{script file} monitorizar
bin/{archivo de script} prueba

Ejecute la herramienta en modo de servicio:

bin/{archivo de script} {command} --service

Cómo ejecutar la herramienta como un servicio (Windows)

Requisito previo:

Ejecute el siguiente comando para establecer el modo de servicio(Nota: Si ejecuta "bin/adtool.cmd setup" eliminará el modo de servicio):

bin/adtool.cmd setup --service

• Iniciar: Para iniciar la herramienta para que se ejecute en el proceso de fondo, haga doble clic en el archivo start.bat del directorio bin. Compruebe el estado de ejecución en el archivo de registro.
• Detener: Para detener el proceso que está ejecutando la herramienta, haga doble clic en el archivo stop.bat del directorio bin.

Cómo iniciarse automáticamente tras el arranque del sistema (Windows)

1. En el menú Inicio, vaya a Herramientas administrativas de Windows y, a continuación, haga clic en Programador de tareas.
2. En el menú Acción, haga clic en Crear tarea.
3. En la pestaña General, haga lo siguiente:
   1. Introduzca un nombre para la tarea, por ejemplo "ADSyncToolTask".
   2. En Opciones de seguridad, seleccione la opción Ejecutar tanto si el usuario ha iniciado sesión como si no y la casilla Ejecutar con los privilegios más altos.
4. Pulse la pestaña Disparadores y haga lo siguiente:
   1. Pulse Nuevo.
   2. En el desplegable Comenzar la tarea, seleccione Al inicio.
   3. Pulse OK.
5. Pulse la pestaña Acciones y haga lo siguiente:
   1. Pulse Nuevo.
   2. En el desplegable Acción, seleccione Iniciar un programa.
   3. Haga clic en Examinar, elija el archivo start.bat en el directorio bin y haga clic en Abrir.
   4. Pulse OK.
6. Pulse la pestaña Condiciones y haga lo siguiente:
   1. En Alimentación, desactive la casilla situada junto a Iniciar la tarea sólo si el ordenador está conectado a la corriente alterna.
   2. Pulse OK.
7. Pulse la pestaña Configuración y haga lo siguiente:
   1. Deje seleccionada la casilla Permitir que la tarea se ejecute bajo demanda y desactive el resto de casillas.
   2. Pulse OK.
      La herramienta se iniciará automáticamente tras el siguiente reinicio del sistema.

Archivos de registro de la Herramienta de sincronización de AD

Utilice los archivos de registro para ver los detalles de los registros que se sincronizaron y para ayudar a depurar cualquier fallo de sincronización. Cada día se genera un máximo de un archivo de registro de cada tipo. Si ejecuta la herramienta Zoom AD Sync varias veces en el mismo día, la información de esa ejecución se anexa al archivo que se generó previamente para ese día.

• zoomadtool-sync.aaaa-MM--dd.{num}.log: Este es el registro común para que la herramienta compruebe si hay errores.

Archivos de datos anómalos

Utilice el archivo de datos anómalos para ver los detalles sobre los datos anómalos de usuarios/grupos durante la sincronización completa.

• datos-anormales-yyyMMdd-HHmmss.txt: Es el archivo utilizado para registrar los datos anómalos.

Seguridad de la herramienta AD Sync

Activación de la conexión SSL/TLS para ADFS

Si está utilizando LDAPS a través del puerto 636 para conectarse a un servidor de Active Directory utilizando SSL, el certificado SSL debe ser recuperado e instalado, o puede recibir los siguientes errores:

"El servidor requiere que se active la comprobación de integridad si SSL\TLS no está ya activo en la conexión..."

o

"sun.security.provider.certpath.SunCertPathBuilderException: no se ha podido encontrar una ruta de certificación válida para el destino solicitado."

Recuperación e instalación del certificado SSL

Para importar el certificado SSL y conectar la herramienta AD Sync a través de TLS:

1. Abra el Administrador de servidores de gestión de Windows.
2. En Herramientas, abra la Autoridad de Certificación.
3. En Certificaciones emitidas, haga clic con el botón derecho en el certificado deseado.
4. Haga clic en Propiedades.
5. Haga clic en la pestaña Detalles .
6. Haga clic en Copiar a archivo y elija la codificación Base-64 x.509 (.cer) para exportar.
7. Haga clic en Siguiente para exportar el certificado.
8. Copie la certificación exportada en el almacenamiento local de su dispositivo (ej. D:\ca.cert).
9. Abra la consola de comandos y ejecute el siguiente comando de cambio de directorio para acceder a la ubicación de la papelera Java JDK:
   

   cd C:\Archivos de programa\Java\jdk-17\bin

   Nota: Es posible que esta carpeta no se encuentre en la ruta exacta indicada anteriormente, por lo que será necesario modificar el comando si la ruta real de la carpeta es diferente.
10. Ejecute el siguiente comando para copiar el certificado en la nueva ubicación:
    

    keytool.exe -importcert -keystore ..\jre\lib\security\cacerts -storepass changeit -file D:\ca.cer -alias myca

    Nota: La estructura de comandos se basa en lo siguiente:
    • **-keystore**: Donde se almacena la nueva certificación. No es necesario cambiar esto.
    • **contraseña**: La contraseña de la certificación.
    • **-archivo**: La ubicación de la certificación que acaba de exportar.
    • **-alias**: El alias de la nueva certificación.
11. Una vez completado, el certificado será importado e instalado. Actualice la URL LDAP/AD a ldaps://[dirección]:636.