Configurar la sincronización local de Active Directory (AD) con Arrow

Importante: La sincronización de Active Directory (AD) ya no estará disponible para su configuración después del 30 de septiembre de 2025. Considere la posibilidad de utilizar el aprovisionamiento confidencial en su lugar.
Más información sobre Arrow Confidential SSO y SCIM Provisioning

Como administrador de un plan profesional de Arrow, puede configurar Arrow para que sincronice automáticamente los usuarios y grupos de Active Directory (AD) para el aprovisionamiento y desaprovisionamiento automáticos de las cuentas de Arrow.

Gestione el aprovisionamiento de los miembros del plan con la SCIM

Tutorial en vídeo

Este vídeo ofrece un tutorial detallado de la configuración de Arrow para sincronizar automáticamente los usuarios y grupos de Active Directory (AD) para el aprovisionamiento y desaprovisionamiento automáticos de las cuentas de Arrow.

Crear una cuenta de grupo y servicio de AD

1. Inicie sesión en un servidor Windows con el módulo Usuarios y ordenadores de Active Directory.
2. Cree o identifique un grupo a cuyos miembros quiera invitar a su plan. Si no existe ningún grupo, le recomendamos crear un grupo «AllArrowUsers».
3. Añada al menos un usuario de AD con una dirección de correo electrónico al grupo.
4. Cree un usuario de Active Directory que utilice para ejecutar el script de sincronización, conocido comúnmente como cuenta de servicio. En el vídeo de ejemplo, creamos la cuenta de servicio «SA_ArrowSync».
5. Añada la cuenta de servicio al grupo de administradores local para que pueda iniciar sesión en la máquina y ejecutar los scripts de PowerShell.
6. Inicie sesión con la cuenta de servicio recién creada.

Configurar la consola de administración

Para configurar su cuenta para la sincronización de AD:

1. Inicie sesión en la consola de administración.
2. Seleccione Integraciones, aprovisionamiento y, a continuación, Configurar para Active Directory.
   
3. Active el aprovisionamiento automático de usuarios y la sincronización de grupos.
   • Una vez que haya comprobado la sincronización y que todos los miembros actuales de Arrow están sincronizados, considere la posibilidad de activar el desaprovisionamiento automático de usuarios.
4. Seleccione Copiar para copiar el guion de Arrow AD que aparece en la ventana gris al portapapeles.

   

Configurar Active Directory y el guion de sincronización

1. Inicie sesión en un servidor o estación de trabajo Windows con Windows PowerShell 3.0 o posterior con la cuenta de servicio que hemos creado anteriormente.
2. Si aún no lo ha hecho, cree o identifique un grupo de seguridad de Active Directory que quiera sincronizar con Arrow.
   
   • Le recomendamos crear un nuevo grupo llamado AllArrowUsers para empezar.
3. Añada usuarios al grupo que le gustaría tener cuentas Arrow.
4. Abra PowerShell ISE y seleccione Archivo y, a continuación, Nuevo.
5. Pegue el guion guardado en su portapapeles del paso 4 de Configurar la consola de administración.
6. Edite la línea 21 del guion e introduzca los nombres de los grupos que quiere sincronizar con Arrow.
   
7. Guarde el guion de PowerShell en la máquina local.
8. Ejecute el guion seleccionando la flecha verde de PowerShell ISE.
   
9. Asegúrese de que el guion devuelve lo siguiente: «código» :200, "mensaje» :"OK»
10. Copie la cadena de texto entre los guiones a su portapapeles.
11. Vuelva a la consola de administración y actualice la página.
12. En la ventana emergente Verificar la clave de seguridad, seleccione Continuar.

    

13. Introduzca la cadena de texto del portapapeles que ha copiado del paso 10 en el campo de texto y seleccione Verificar ahora.

    

Compruebe la sincronización

1. En la consola de administración, consulte la pestaña Usuarios y compruebe que cualquier miembro nuevo del plan tenga un estado de invitación pendiente.

   

2. En la pestaña Grupos, vea los grupos que se han sincronizado.
3. Para ver el estado de sincronización de AD en la consola de administración, seleccione Integraciones y, a continuación, Aprovisionamiento. A continuación, seleccione Configurar para Active Directory.
4. Tras confirmar que todos los miembros sincronizados están incluidos en los grupos de sincronización de Active Directory, le recomendamos activar el desaprovisionamiento automático de usuarios.

Programe una sincronización regular con el programador de tareas

Con el guion guardado en su dominio, puede programar que se ejecute automáticamente en el intervalo que defina.

Nota: La cuenta de miembro del plan configurada para ejecutar esta tarea debe poder leer las unidades organizativas (OU) y las cuentas de los miembros de su entorno de Active Directory.

1. Asegúrese de que ha iniciado sesión con la misma cuenta de servicio que utilizó para ejecutar la sincronización inicial.
   • Programar esto para que se ejecute con una cuenta diferente no funcionará porque la clave de sincronización generada proviene de la máquina y el miembro utilizados para la sincronización y tiene que seguir siendo la misma.
2. En el servidor Windows que ejecutará el guion, abra el programador de tareas.
3. Seleccione la biblioteca del programador de tareas.
4. Seleccione la pestaña Acción del menú superior izquierdo.
5. Seleccione Crear tarea.
6. Seleccione la pestaña General.
7. En el cuadro de texto Nombre, escriba Arrow AD Sync.
8. Seleccione Opciones de seguridad.
9. En Opciones de seguridad, seleccione las casillas Ejecutar independientemente de que el usuario haya iniciado sesión o no y Ejecutar con los máximos privilegios.

   Fije un horario para que se ejecute el guion creando un nuevo activador. En el siguiente ejemplo, saldrá todos los días a la 1:00 de la madrugada.

   

10. Seleccione la pestaña Acciones.
11. Seleccione Nueva acción.
12. En Programa/guion, escriba lo siguiente: powershell
13. En Añadir argumentos (opcional), pegue lo siguiente:
    -file C:\FilePathtoPowershellScript\dashlane -ad-sync.ps1

    

Algunas consideraciones

• Una vez que haya configurado la sincronización, le recomendamos que gestione sus grupos y miembros del plan Arrow exclusivamente a través de Active Directory.
• Todos los miembros considerados por el guion deben tener una dirección de correo electrónico específica en Active Directory.
• Los administradores no pueden desaprovisionar a todos los administradores porque cada plan debe tener al menos un administrador activo.
• Cada plan debe tener al menos un contacto de facturación activo.
• El número de miembros de los grupos sincronizados no debe ser superior a los puestos disponibles en su cuenta.

Sincronización solo para usuarios

Para sincronizar solo los miembros del grupo AD y no crear un grupo para compartir Arrow, edite las líneas 124 y 125 del guion de sincronización de AD.

Ejemplo:

Antes del cambio a las líneas 124 y 125:

$DataStr += $GroupInfo. ObjectGuid
$DataStr += $GroupInfo. Nombre

Tras el cambio a las líneas 124 y 125:

$DataStr += $GroupInfo.
Sync_Users_Only $DataStr += $GroupInfo. Sync_Users_Only

Mensajes de error

Mensaje de error 400

Arrow Sync respondió con lo siguiente: {"code» :400, "message» :"Solicitud incorrecta "}

Para resolver el error:

1. Asegúrese de no intentar sincronizar más miembros de los que ha comprado asientos.
2. Asegúrese de que el módulo Active Directory para Windows PowerShell está instalado.

   

3. Asegúrese de que ha configurado los ajustes de seguridad de HTTPS.
4. Asegúrese de que al menos un usuario con una dirección de correo electrónico está en el grupo de Active Directory que está intentando sincronizar.

No aparece ninguna clave de sincronización de directorios

Para resolver el error:

1. En su script de PowerShell, cambie la variable ArrowDirectorSyncKey## por un número nuevo para forzar una nueva clave de sincronización.
2. Guarde y ejecute el guion.

Ejemplo:

Antes del cambio a la línea 104 (puede que le falten algunos números según el número de grupos que tenga):

$cspParameters.KeyContainerName = «ArrowDirectorySyncKey 53»

Tras el cambio a la línea 104:

$cspParameters.KeyContainerName = «ArrowDirectorySyncKey 54»

Mensaje de error 403

Arrow Sync respondió con lo siguiente: {"code» :403, "message» :"Prohibido «}

Para resolver el error:

1. Inicie sesión en la consola de administración.
2. Seleccione Integraciones y, a continuación, Aprovisionamiento. A continuación, seleccione Configurar para Active Directory.
3. Habilitar el aprovisionamiento automático de usuarios y grupos.

Mensaje de error error member_removal_over_limit

El guion de sincronización de AD tiene un límite incorporado que impide la baja accidental de usuarios masivos. De vez en cuando, es necesaria la baja masiva de usuarios, por lo que tendrá que aumentar el límite de usuarios que puede darse de baja de su plan.

Para resolver el error:

• En su script de PowerShell, añada «; RemovalLimit=###» al final de la siguiente línea (alrededor de la línea 155) y ejecute el script manualmente.

Ejemplo: Este ejemplo descarta a 100 usuarios con el guion de sincronización.

Antes del cambio en la línea 155:

Tras el cambio del límite de eliminación a 100 usuarios, lo que permite eliminar hasta 100 usuarios:

$Payload = @ {adLogins=$FileContentEncoded; adToken=$install_token; teamID=$team_id; signature=$signatureHash; publicKey=$publicKeyHash; removalLimit=100}

Cuando sus usuarios se desconecten mediante la sincronización, considere la posibilidad de eliminar el texto añadido para volver a la configuración predeterminada, que es de 10 usuarios o el 5% de todos los usuarios, lo que sea mayor.

Mensaje de error Error de sincronización de flechas

Arrow Sync respondió con lo siguiente: Arrow Sync Error:System.NotSupportedException: el contenido de la respuesta no se puede analizar porque el motor de Internet Explorer no está disponible o la configuración inicial de Internet Explorer no está completa. Especifique el parámetro usebasicparsing e inténtelo de nuevo.

Para resolver el error:

1. Añada el conmutador -usebasicparsing a la línea $response del guion de Powershell, alrededor de la línea 158.
2. Guarde y ejecute el guion.