Provisionando Usuarios de Google Workspace (EA)

Nota

Nota: Esta es una característica de Acceso Temprano (EA) que solo está disponible para lanzamientos limitados. Para más información sobre cómo habilitar la función, comuníquese con su representante de Cato Networks o envíe un correo electrónico a ea@catonetworks.com.

Visión general

La integración de Google Workspace te permite provisionar usuarios y grupos desde Google Workspace a tu cuenta de Cato.

La información del usuario se sincroniza de manera segura y continua desde Google Workspace a Cato para crear y actualizar usuarios y grupos. Esto ayuda a mantener su directorio de usuarios de Cato alineado con el directorio de Google Workspace.

Cuando los detalles del usuario cambian en Google Workspace, los cambios se sincronizan con Cato. Por ejemplo, cuando un empleado abandona la empresa y su cuenta de Google Workspace se suspende o elimina, este cambio se refleja en Cato.

Después de que los usuarios se provisionan desde Google Workspace, el usuario puede identificarse por conciencia del usuario. Para más información, consulte Uso de Agentes de Identidad de Cato para Conocimiento del Usuario.

Capacidades Soportadas

Las capacidades soportadas por esta integración son:

Sincronización completa del directorio de usuarios: Cada usuario con detalles de perfil, estado, departamento y unidad orgánica
Directorio completo de grupos sincronizar: Cada grupo con descripción y lista de miembros, incluidos los grupos anidados
Eventos del ciclo de vida del usuario en tiempo real: Actualizaciones de usuarios creados, modificados o eliminados
Cambios en la membresía de grupos en tiempo real: Actualizaciones para miembros agregados o eliminados de los grupos
Rastro de auditoría de administrador: La creación y eliminación del conector se registran en la auditoría

Visualización de Usuarios Provisionados desde Google Workspace

Puedes identificar a los usuarios provisionados desde Google Workspace en la página de Acceso > Usuarios. En la pestaña Directorio de Usuarios, la columna Fuente muestra Integración para un usuario provisionado desde Google Workspace.

Si un usuario ha sido eliminado en Google Workspace, todavía es visible en la página Acceso > Usuarios, con un estado Desactivado. Si es necesario, pueden ser eliminados de la Aplicación de Gestión de Cato. Para más información, consulte Trabajar con Usuarios.

Configuración de la Integración de Google Workspace para el Aprovisionamiento de Usuarios

Para configurar la integración de Google Workspace, debe:

Configurar la integración dentro de la aplicación SaaS
Crear el conector API en el CMA

Requisitos Previos

Licencia de Google Workspace Business Standard, Business Plus, Enterprise o Education
Se requiere una cuenta de Super Admin para configurar la delegación a nivel de dominio

Limitaciones Conocidas

Hasta 10,000 usuarios y 10,000 grupos pueden sincronizarse
El aprovisionamiento desde Google Workspace no puede coexistir con el aprovisionamiento desde otro IdP con SCIM o LDAP
No se admite múltiples conectores de Google Workspace para el aprovisionamiento de usuarios

Paso 1: Configurar la Integración en el Google Cloud Console

En el Google Cloud Console, crea una clave privada de cuenta de servicio para ingresar en el CMA.

Para configurar la Integración de Google Workspace:

En tu Google Cloud Console, haz clic en Seleccionar un Proyecto.
Haga clic en Nuevo proyecto.
Elige un Nombre y una Ubicación y haz clic en Crear.
Dirígete a APIs y Servicios > Biblioteca.
Busca Admin SDK.
Haz clic en Admin SDK API y haz clic en Habilitar.
Dirígete a IAM & Admin > Cuentas de Servicio.
Selecciona el proyecto que creaste en el paso dos y haz clic en Crear cuenta de servicio.
Haz clic en Hecho.
Haz clic en la cuenta de servicio que creaste y navega a la pestaña Claves,
Haz clic en Agregar clave > Crear nueva clave.
Elige el tipo de clave JSON y haz clic en Crear.

Se descargará un archivo JSON que contiene la clave privada.
Copia y guarda la clave privada para que pueda agregarse al CMA.
En la consola de administración de Google, navega a Seguridad > Acceso y Control de Datos > Control de API.
Bajo Delegación a nivel de dominio, selecciona Gestionar delegación a nivel de dominio.
Haz clic en Agregar nuevo.
Agrega el ID del Cliente de la Cuenta de Servicio. Puedes encontrar esto en la página de Cuenta de Servicio.
Agrega estos alcances:
Haz clic en Autorizar.

Paso 2: Crea el Conector API en el CMA

Después de haber configurado una integración con la aplicación requerida, agrega los detalles en el CMA.

Para crear el conector API en el CMA:

Desde el menú de navegación, haz clic en Recursos > Integraciones.
Haz clic en la pestaña Integraciones Configuradas.
Haz clic en Nuevo.

Se abre el panel Nueva Integración.
Selecciona la Aplicación SaaS que deseas agregar.

Nota: Ingresa la Clave Privada en formato JSON.
En el menú desplegable Capacidad, selecciona Aprovisionamiento de Usuarios.
Agrega los detalles creados durante el paso uno.

Nota: El JSON y la dirección de correo electrónico del administrador son los detalles necesarios para la creación del conector. El campo de correo electrónico del administrador debe incluir el correo electrónico de un usuario con el rol de Super Admin.
Haz clic en Guardar.
La aplicación es visible en la tabla de Aplicaciones Integradas con un estado Conectado.

Eliminación de la Integración de Google Workspace

Si eliminas la integración, los usuarios y grupos sincronizados todavía son visibles en el CMA, y los cambios realizados en Google Workspace para usuarios y grupos ya no se sincronizan.

Para eliminar la integración de Google Workspace:

Navega a la página de Integraciones.
En la pestaña de Integraciones Configuradas, haga clic en los tres puntos en la fila de Aprovisionamiento de Usuarios de Google Workspace.
Haz clic en Eliminar.

Entendiendo los Eventos del Aprovisionamiento de Usuarios

El CMA genera eventos con cada actualización de registro. Puedes identificar estos eventos por:

Tipo: Sistema
Subtipo: Integración

Para más información, consulte Análisis de Eventos en su Red.