Esegui il provisioning automatico degli utenti della suite G a Microsoft Active Directory

Uno dei principali vantaggi dell’utilizzo di Active Directory è che puoi integrarlo con la maggior parte dei servizi e ti offre un’amministrazione centralizzata delle risorse e della sicurezza. Man mano che la nostra organizzazione cresceva, abbiamo deciso di sfruttare Active Directory per una migliore amministrazione degli utenti, ma volevamo comunque mantenere g-suite come archivio utenti principale per ora a causa di alcune esigenze operative, quindi volevamo sincronizzare tutti gli utenti di g-suite con Active Directory con interazione manuale minima.

Google fornisce il servizio Google Cloud Directory Sync ma ..

Google fornisce il servizio chiamato Google Cloud Directory Sync (GCDS) che consente di sincronizzare utenti e gruppi da Active Directory o dal server LDAP a g-suite. GCDS è una sincronizzazione unidirezionale dal tuo server AD / LDAP a Google, non sincronizza i dati con il server AD o LDAP. Poiché il nostro archivio utenti principale era g-suite, il nostro caso d’uso era esattamente opposto a quello che GCDS offre al momento, volevamo sincronizzare tutti gli utenti e gruppi da g-suite ad active directory. Per fortuna, Google fornisce l’API Directory per recuperare utenti e gruppi da g-suite. Quindi, la nostra soluzione era scrivere poca automazione utilizzando l’API Directory e lo strumento LDIFDE per importare gli utenti in Active Directory.

Cos’è LDIFDE?

LDIFDE è un’utilità della riga di comando utilizzata per importare / esportare informazioni da Active Directory. L’utilità LDIFDE è integrata con Windows Server. Questo strumento utilizza il formato file LDF per eseguire operazioni su AD.
Di seguito è riportato l’esempio per importare la voce dell’account utente con tutti i campi obbligatori e facoltativi in ​​Active Directory:

Come eseguire il provisioning degli utenti di G Suite ad AD?

Recupera utenti da g-suite utilizzando l’API Directory, ecco l’esempio di recupero degli utenti da un gruppo specifico:

Puoi seguire ulteriori dettagli sull’utilizzo dell’API Directory qui.

Dopo aver recuperato gli utenti, scrivi gli utenti nel file in formato ldf con gli attributi richiesti. Il tuo file LDF sarà simile a questo:

Importa il file creato utilizzando ldifde dall’istanza di Windows che fa parte di Active Directory e l’utente dovrebbe disporre dell’autorizzazione amministrativa necessaria per importare gli utenti in Active Directory.

Per eliminare gli utenti che sono stati rimossi da g-suite puoi prendere l’esportazione degli utenti usando ldifde e controllare il diff degli utenti che non sono presenti in google ma sono presenti in active directory, scrivi questi utenti nel file in questo formato:

In questo modo puoi aggiungere / rimuovere utenti da g-suite ad active directory. È possibile impostare lo script come cron sulla macchina per eseguire automaticamente il provisioning degli utenti appena aggiunti o eliminare gli utenti da Active Directory.

Riferimenti:
1. API Admin SDK Directory di G Suite: https://developers.google.com/admin-sdk/directory/v1/quickstart/python
2. LDIFDE – Esporta / Importa dati da Active Directory – Comandi LDIFDE: https://support.microsoft.com/en-in/help/555636
3. Come aggiungere un cron job su Windows: https://active-directory-wp.com/docs/Usage/How_to_add_a_cron_job_on_Windows.html