Sincronización de AD con Zoom
Descripción general
La Sincronización de AD con Zoom es una herramienta de línea de comandos que se descarga y ejecuta en un equipo Windows o Linux de su propio sistema para sincronizar los usuarios entre el servidor de Active Directory y su cuenta de Zoom. Cuando ejecute esta herramienta, podrá añadir, actualizar y desactivar/eliminar usuarios de su cuenta de Zoom si hay un cambio en su sistema de AD para esos usuarios. Por ejemplo, si se cambia la dirección de correo electrónico de un usuario en AD, este cambio se propaga a la cuenta de Zoom.
La herramienta se ejecuta en segundo plano y no incluye una GUI ni interfaz web. La configuración de esta herramienta se establece mediante un archivo de propiedades y, a continuación, se comprueban los archivos de registro para ver los detalles de lo que se ha cambiado o para solucionar errores.
La herramienta de Sincronización de AD con Zoom solo admite el siguiente conjunto de atributos:
- Nombre
- Apellido
- Correo electrónico
- Departamento
Después de la sincronización completa inicial entre el servidor AD y Zoom, puede configurar una tarea de CRON de Windows/Linux para iniciar la herramienta en intervalos programados o puede iniciar la herramienta de forma manual. Esto ahorra tiempo al actualizar su cuenta de Zoom solo con los cambios de AD que se produjeron desde la sincronización anterior.
Este artículo trata sobre:
Requisitos previos
- Una cuenta de Zoom con las siguientes funciones habilitadas:
-
- Servicios de federación de Active Directory (ADFS)
- Una cuenta de administrador de AD de Microsoft para la que usted tiene acceso al nombre de usuario y la contraseña
Instrucciones
Para utilizar la herramienta de sincronización de AD con Zoom:
- Instale la versión 8 del Oracle JDK y ejecute el siguiente comando para asegurarse de que java está instalado correctamente:
java -version. - Obtenga el archivo zoomadsynctool.zip desde la siguiente ubicación: http://cdn.zoom.us/prod/tools/zoomadsynctool.zip
- Descomprima el archivo.
- Actualice el archivo override.properties, como se describe en la sección Configuración.
- Pruebe la configuración ejecutando el siguiente comando:
java -jar adtool-[version].jar test
Si la prueba se realizó correctamente, verá un mensaje de confirmación en la consola. También puede verificar el archivo syncresult.yyyy-mm-dd.log para los mensajes La configuración de la cuenta de Zoom es correcta y la configuración de la cuenta de AD es correcta.
Este comando no realiza cambios en su cuenta de Zoom. - Inicie una sincronización completa ejecutando el siguiente comando:
java -jar adtool-[version]. jar full
Precaución: al ejecutar este comando se pueden eliminar o desactivar usuarios existentes de su cuenta de Zoom si esos usuarios no existen en Active Directory. Consulte la configuración de la cuenta de Zoom: zoom.full.delete.missing.users
- Verifique el archivo syncresult.yyyy-mm-dd.log para comprobar que el trabajo se realizó correctamente y para ver los cambios realizados en la cuenta de Zoom. Verifique el archivo sync.yyyy-mm-dd.log para ver la información de depuración si se produce algún error.
- Ejecute periódicamente el siguiente comando para sincronizar los cambios que se produjeron desde la última vez que se ejecutó la herramienta:
java -jar adtool-[version].jar diff
Zoom recomienda automatizar la ejecución de esta tarea utilizando una herramienta de automatización de tareas como Programador de tareas o CRON.
Configuración
El archivo override.properties incluye un conjunto de parámetros y valores que determinan la manera en que la herramienta tendrá acceso a Active Directory, qué cuenta de Zoom se usará y el comportamiento de la sincronización. Debe actualizar los valores de las siguientes secciones del archivo. No actualice los valores de la parte inferior del archivo.
Configuración de la cuenta de Zoom (se requieren valores actualizados)
Actualice los siguientes valores en la sección cuenta ZOOM del archivo.
- zoom.vanity.url: su URL mnemónica de Zoom
- zoom.api.key: la clave de API REST disponible en el Zoom Marketplace.
- zoom.api.secret: el secreto de la API REST disponible en el Zoom Marketplace.
- zoom.default.user.type: el tipo de cuenta de Zoom predeterminado que se asigna a los nuevos usuarios de Zoom. Los tipos de cuenta son 1: Básico, 2: Con licencia, 3: Local. El valor predeterminado es 2.
- zoom.default.user.deleted: especifica si los usuarios se eliminan o desactivan de Zoom si no existen en AD. El valor predeterminado es desactivado.
Nota: Si especifica eliminado, los usuarios de Zoom existentes que no están en AD se eliminan de sus cuentas de Zoom. Zoom recomienda establecer este valor en zoom.default.user.deleted=deactivated. - zoom.full.delete.missing.users: especifica si se deben eliminar usuarios de Zoom si no existen en AD. Especifique sí para eliminar o desactivar usuarios de Zoom si no están en AD. Especifique no para retener a los usuarios como activos en Zoom si no están en AD. El valor predeterminado es no.
Nota: Esta opción solo se utiliza para la sincronización inicial activada con el comando completo. Establezca este valor en zoom.full.delete.missing.users=no si los usuarios existentes en Zoom no están en AD.
Fuente de datos de la cuenta de AD (se requieren valores actualizados)
Actualice los siguientes valores en la sección Fuente de datos para LDAP del archivo.
- spring.ldap.urls: la URL de LDAP para el servidor de Active Directory.
- spring.ldap.base: la ubicación de la carpeta base para localizar usuarios.
- spring.ldap.username: el nombre de usuario que utiliza la herramienta al acceder a Active Directory.
- spring.ldap.password: la contraseña que utiliza la herramienta al acceder a Active Directory.
- spring.ldap.user.group: el DN completo de un grupo de usuarios. Si este valor está vacío, los usuarios de todos los grupos se sincronizarán con Zoom. Si especifica un DN para un grupo de usuarios, solo los miembros del grupo especificado se sincronizarán con Zoom. Establézcalo en vacío si no desea filtrar a los usuarios por grupo. Este valor está vacío de forma predeterminada.
- ldap.user.deleted.base: la ubicación de la carpeta base para buscar elementos eliminados. El valor predeterminado es: CN=Deleted Objects,DC=devdc,DC=com. Actualice los valores de DC para reflejar el entorno.
- ldap.test.dn: un valor que puede utilizar para probar un único DN. Especifique CN=<value> con el DN corto para el usuario de prueba. Este usuario de prueba debe ser un usuario bueno y conocido en el sistema de Active Directory porque comprueba que se puede tener acceso a Active Directory correctamente. Este usuario se incluye (además de los usuarios especificados en spring.ldap.base) al ejecutar el mandato completo.
- ldap.query.pagesize: el número máximo de resultados devueltos desde Active Directory a la vez.
Mapeo de atributos (valores actualizados opcionales)
Actualice los siguientes valores, si es necesario, en la sección de configuración de Atributos del archivo.
- ldap.user.guid: el UUID único en AD. El valor predeterminado es objectGUID.
- ldap.user.dn: el nombre del campo DN en el AD. El valor predeterminado es distinguishedName
- ldap.user.email: el nombre del campo de correo electrónico en AD. El valor predeterminado es userPrincipalName
- ldap.user.firstname: el nombre del campo de nombre en AD. El valor predeterminado es givenName
- ldap.user.lastname: el nombre del campo de apellido en AD. El valor predeterminado es sn
- ldap.user.department: el nombre del campo de departamento en AD. El valor predeterminado es department
- ldap.user.lastupdatedtime: el nombre de campo de la última hora modificada en AD. El valor predeterminado es whenChanged
- ldap.user.lastKnownParent: el nombre de campo primario eliminado en AD. El valor predeterminado es lastKnownParent
Configuración avanzada de AD (valores actualizados opcionales)
Actualice los siguientes valores, si es necesario, en la sección Configuración avanzada para el filtro LDAP del archivo.
- ldap.user.deleted.base: la cadena de filtro utilizada para obtener usuarios eliminados de AD. El valor predeterminado es: CN=Deleted Objects, DC=devdc, DC=com
- ldap.user.enabled.filter: la cadena de filtro utilizada para obtener usuarios habilitados de AD. El valor predeterminado es: (objectCategory=person)(objectClass=user)(!( userAccountControl:1.2.840.113556.1.4.803:=2))
- ldap.user.disabled.filter: la cadena de filtro utilizada para obtener usuarios deshabilitados de AD. El valor predeterminado es: (objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=2)
- ldap.user.deleted.filter: la cadena de filtro utilizada para obtener usuarios eliminados de AD. El valor predeterminado es: (objectClass=user)(isDeleted=TRUE)
- ldap.user.deleted.dn.separator: el separador utilizado para obtener el nombre de DN corto de un nombre de DN eliminado. El valor predeterminado es: \
Comandos de sincronización
test
Ejecute el siguiente comando para probar si el archivo de configuración está configurado correctamente para tener acceso a la cuenta de Zoom y la cuenta de AD para la sincronización.
java -jar adtool-[version].jar test
Si la prueba se realiza correctamente, verá un mensaje de confirmación en la consola y el archivo syncresult.yyyy-mm-dd.log incluirá los mensajesLa configuración de la cuenta de Zoom es correcta y La configuración de la cuenta de AD es correcta.
full
Ejecute el siguiente comando para comparar los usuarios de AD con los usuarios de su cuenta de Zoom y luego agregue automáticamente nuevos usuarios a Zoom. Si está configurada, la herramienta también desactivará o eliminará los usuarios existentes de Zoom si no están en AD. Además, este comando actualiza el nombre, el apellido y el departamento de los usuarios de Zoom para que coincidan con AD.
java -jar adtool-[version].jar full
Nota: Debe ejecutar el comando full al menos una vez antes de poder ejecutar el comando diff o time.
diff
Ejecute el siguiente comando para determinar (desde el registro de resultados de la sincronización) la última vez que se ejecutó la herramienta y luego sincronice los cambios de AD a Zoom que se realizaron después de esa hora.
java -jar adtool-[version]. jar diff
Este es un comando predeterminado.
time
Ejecute un comando similar al siguiente para sincronizar los cambios de AD a Zoom que se produjeron después de la hora especificada. En el ejemplo siguiente, 20170427095902.0Z indica la hora de inicio que se utilizará para la sincronización. Copie esta cadena de uno de los archivos de registro. El formato de hora utilizado en este mandato es YYYYMMDDHHMMSS.0Z
java -jar adtool-[version].jar time 20170427095902.0Z
Puede utilizar este comando en el caso de que el comando diff anterior no funcionara correctamente. Consulte el registro de resultados de la sincronización para buscar las horas y los resultados de los comandos de sincronización anteriores que se ejecutaron.
Registros
Utilice los archivos de registro para ver los detalles de los registros que se sincronizaron y para ayudar con la depuración de los errores de la sincronización. Cada día se genera un máximo de uno de cada tipo de archivo de registro. Si ejecuta la herramienta de sincronización de AD de Zoom varias veces en el mismo día, la información de esa ejecución se anexa al archivo que se generó anteriormente para ese día.
Resultado de la sincronización
El siguiente archivo de registro proporciona un registro de sincronización detallado: syncresult.yyyy-mm-dd.log
- Si ejecuta el comando test, el archivo incluye solo información sobre si el sistema AD y el sistema Zoom están bien, lo que indica que están listos para el comando full. Si se detecta algún problema con el acceso a los datos en cualquiera de los sistemas, esto le da la oportunidad de solucionarlos antes de ejecutar la sincronización completa.
- Si ejecuta el comando full, el archivo incluye información sobre todos los usuarios de AD del sistema que se agregaron a Zoom, así como los usuarios de Zoom que no se encontraron en el sistema de AD.
Si ejecuta el comando diff o time , el archivo incluye información sobre cuántos usuarios se han cambiado en el sistema de AD desde la última vez o la hora especificada en que se ejecutó la herramienta de sincronización de AD de Zoom. El registro incluye la lista de cambios realizados en Zoom en función de los cambios detectados en AD.
Registro de sincronización
El siguiente archivo proporciona el registro de depuración: sync.yyyy-mm-dd.log
Este archivo proporciona mensajes de depuración adicionales que no se incluyen en el archivo de registro syncresult. Estos mensajes pueden ser útiles al investigar la causa de un error de sincronización.
Habilitación de TLS para la herramienta de sincronización de AD
Si utiliza LDAPS a través del puerto 636 para conectarse a un servidor de Active Directory mediante SSL, el certificado SSL debe recuperarse e instalarse, o puede recibir los siguientes errores:
«El servidor requiere enlaces para activar la comprobación de integridad si SSL\TLS no está ya activo en la conexión...»
O
«sun.security.provider.certpath.SunCertPathBuilderException: no se puede encontrar una ruta de certificación válida al destino solicitado».
Recuperación e instalación del certificado SSL
Para importar el certificado SSL y conectar la herramienta de sincronización de AD a través de TLS:
- Abra el Administrador de Windows Management Server.
- En Herramientas, abra la Entidad de certificación.
- En Certificaciones emitidas, haga clic con el botón derecho en el certificado deseado.
- Haga clic en Propiedades.
- Haga clic en la pestaña Detalles.
- Haga clic en Copiar en archivo y elija el X.509 codificado en Base 64 (.cer) para exportar.
- Haga clic en Siguiente para exportar el certificado.
- Copie la certificación exportada en el almacenamiento del dispositivo local (por ejemplo, D:\ca.cert).
- Abra la consola de mandatos y ejecute el siguiente comando de cambio de directorio para acceder a la ubicación de la papelera de Java JDK:
cd C:\Program Files\Java\Jdk1.8.0_201\bin
Nota: Es posible que esta carpeta no esté en la ruta de acceso exacta como se indicó anteriormente, y el comando deberá modificarse si la ruta de acceso real de la carpeta es diferente. - Ejecute el siguiente comando para copiar el certificado en la nueva ubicación:
keytool.exe -importcert -keystore ..\jre\lib\security\cacerts -storepass changeit -file D:\ca.cer -alias myca
Nota: La estructura de comandos se basa en lo siguiente:-
-keystore: donde se almacena la nueva certificación. No es necesario cambiar esto.
-
-storepass: la contraseña de la certificación.
-
-file: la ubicación de certificación que acaba de exportar.
-
-alias: el alias de la nueva certificación.
- Una vez completado, el certificado se importará e instalará.