Conector de Active Directory de Dropbox

Algunos tipos de administradores pueden gestionar las membresías del equipo de Dropbox mediante Active Directory. Con el conector de Dropbox Active Directory (AD), cualquier cambio realizado en Active Directory se sincroniza automáticamente con Dropbox.

Para más información sobre cómo configurar el conector AD para tu equipo de Dropbox, comunícate con nuestros socios de administración de identidades.

Paso 1: Revisa las prácticas recomendadas del conector AD

Obligatorio

• Todos los usuarios que quieras sincronizar desde Active Directory deben ser usuarios activos en un único dominio de AD.
• PowerShell 4.0 o una versión posterior.
• Windows Server 2008 (o versiones posteriores).
• Herramientas de administración del servidor remoto.

Recomendado

• Crea un único grupo denominado "Dropbox" que incluya a todos los miembros que deseas aprovisionar. En "Dropbox", puedes incluir usuarios y grupos.
• Instala el conector de AD en un servidor con acceso de solo lectura (el conector de AD solamente sincroniza los cambios originados en AD).
• Sube de categoría las versiones anteriores del Conector AD: por lo general, una instalación simple se actualiza correctamente al subir de categoría de la versión 2.0.1 a la versión 2.0.2. Sin embargo, al subir de categoría entre versiones principales (de 1.0 a 2.0), debes desinstalar la versión actual antes de actualizar a la más nueva.
• Para la versión actual del Conector de AD, recomendamos no sincronizar más de 10 000 usuarios desde Active Directory. Consulta con el equipo de éxito del cliente de Dropbox si quieres usar el Conector de AD con más de 10 000 usuarios.

Paso 2: Descarga el archivo Microsoft Installer del conector AD (MSI)

Paso 3: Instala el conector AD

1. Localiza y ejecuta el archivo de instalación Dropbox-AD-Connector.msi.
2. Haz clic en Siguiente (Next) para continuar con el asistente de instalación.
3. Marca la casilla de verificación para aceptar las condiciones y haz clic en Siguiente (Next).
4. Haz clic en Siguiente (Next) para instalar la aplicación en la ruta predeterminada.
5. Haz clic en Instalar (Install) y, a continuación, selecciona Sí (Yes) si el control de cuentas de usuario (UAC) te lo indica.
6. La Guía de introducción se muestra marcada de forma predeterminada. Si ya está abierta, desmárcala.
7. Selecciona Finalizar (Finish) para completar la instalación.

Paso 4: Finaliza la configuración del conector AD

Configuración

1. Busca y abre el acceso directo de configuración del conector de AD en el escritorio.
2. Haz clic en Get OAuth2 Token (Obtener token de OAuth2) para conectarte a tu cuenta de Dropbox.
   • De ser necesario, inicia sesión en Dropbox con tus credenciales de administrador.
   • De ser necesario, aprueba los permisos de la aplicación del conector de AD.
3. Copia el token.
4. Pega el token copiado en el campo Token de Dropbox para empresas para OAuth 2 (OAuth 2 DfB Token).
5. Si deseas ejecutar pruebas de configuración, marca la casilla del modo de simulación.
   •  Nota: En el modo de simulación, no se realizan cambios a tu equipo de Dropbox.

Sincronización de usuarios con Active Directory

1. Selecciona el grupo de Active Directory que quieres sincronizar con tu equipo de Dropbox.
   • Es más sencillo crear un grupo de Active Directory llamado "Dropbox".
2. Verifica que el Atributo de correo electrónico (Email Attribute) esté configurado en Dirección de correo electrónico (Email Address).
3. Marca la opción Administrar usuarios existentes para sincronizar los cambios con los usuarios que se crearon manualmente mediante la Consola de administración.

Sincronización de grupos con Active Directory

1. Elige si quieres sincronizar grupos con tu equipo de Dropbox (la sincronización de los grupos es opcional).
2. Para sincronizar grupos, selecciona si quieres usar el mismo grupo que elegiste para sincronizar usuarios individuales.
3. Si optas por usar un grupo diferente para sincronizar los grupos, selecciona el nombre del grupo.

Registro

1. Si deseas proporcionar una ruta distinta para el archivo de registro, haz clic en Cambiar (Change).
   • Nota: Si no especificas otra ruta de acceso a los archivos, el registro se guardará en la ubicación predeterminada: C:\ProgramData\Dropbox\AD Connector\db_ad_connector.log.

Notificaciones por correo electrónico

1. Si quieres recibir notificaciones por correo electrónico cuando se produzcan errores relacionados con la sincronización, haz clic en Configuración.
   • Nota: Usa los puertos 587 o 25 (sin cifrar); el puerto 465 no se admite actualmente.
2. Después de finalizar cada sección, usa Probar conexión (Test Connection) para verificar que la configuración sea correcta.
3. Haz clic en Aceptar (OK) cuando hayas terminado de configurar las opciones de correo electrónico.

Finalizar

4. Haz clic en Guardar (Save) para guardar la configuración.

Paso 5: Realiza una ejecución de prueba con Run AD Connector y verifica que funcione correctamente

Para realizar una ejecución de prueba:

1. Busca el acceso directo Ejecutar conector de AD (Run AD Connector) en el escritorio.
2. Haz clic con el botón secundario en la herramienta de ejecución del conector de AD y ejecutála como administrador.
3. Analiza los resultados para confirmar que se detallen todos los usuarios esperados.
4. De ser así, vuelve a abrir la herramienta de configuración del conector de AD y desmarca el modo de simulación.
5. Usa la herramienta de ejecución del conector AD para sincronizar los nuevos miembros con tu equipo de Dropbox.

Paso 6: Localiza la tarea programada y habilítala para que se ejecute

Para ello, sigue estos pasos:

1. Desplázate hasta Archivos de programa\Dropbox\Conector de AD\Ayuda.
2. Haz clic con el botón secundario en el archivo AD-Connector-CreateTask.bat y en Ejecutar como administrador (Run as Administrator).
3. Abre la aplicación Programador de tareas de Windows Server.
4. Abre la carpeta Tareas de Dropbox (Dropbox Tasks).
5. Haz clic con el botón secundario en la tarea Conector de AD de Dropbox (Dropbox AD Connector) y selecciona Habilitar (Enable).
   • Nota: Si no encuentras la tarea, haz clic con el botón secundario en “Biblioteca del programador de tareas” (Task Scheduler Library) y selecciona Actualizar (Refresh).
6. Haz clic con el botón secundario en la tarea y selecciona Ejecutar (Run).
7. Busca y analiza el registro de sincronización del conector de AD para confirmar que la prueba se haya llevado a cabo correctamente.
8. Ingresa a la página Miembros de la consola de administración para verificar que se hayan enviado las invitaciones a los miembros del equipo.

Asegúrate de que las tareas programadas no se interrumpan entre sí al seleccionar la opción No iniciar una nueva instancia en la pestaña Configuración:

Configuración avanzada y resolución de problemas (opcional)

Grupos y el conector de Active Directory de Dropbox

Los grupos de Active Directory se sincronizan con Dropbox, pero los grupos de Dropbox no se sincronizan con AD. Los cambios en Dropbox no se sincronizan en Active Directory. Al eliminar un grupo de Dropbox, no se elimina de Active Directory.

Para eliminar un grupo en Dropbox y en Active Directory, es necesario hacer lo siguiente:

• Quita todos los miembros del grupo sincronizado en Active Directory
• Quita el grupo sincronizado en el paso de configuración.

¿Qué sucede al seleccionar un único grupo para sincronizar tanto usuarios como grupos?

En los grupos con usuarios que no forman parte del grupo sincronizado, el grupo no se sincronizará con Dropbox.

¿Cómo se sincronizan los grupos con Dropbox si uso otro grupo de Active Directory para sincronizar las cuentas de los usuarios?

Se sincronizan todos los usuarios del grupo de usuarios sincronizado. Se omiten los grupos del grupo de usuarios sincronizado. Se omiten los usuarios que forman parte del grupo sincronizado de grupos, a menos que también estén incluidos en el grupo sincronizado de usuarios. Se omiten los grupos que forman parte del grupo sincronizado de usuarios, a menos que también estén incluidos en el grupo sincronizado de grupos.

Transferencias de cuenta y el conector de Active Directory de Dropbox

El conector AD no admite la transferencia automática de una cuenta a otro miembro del equipo. Sin embargo, las cuentas eliminadas (y los archivos relacionados con ellas) se conservan en la consola de administración. Estas cuentas se pueden transferir o eliminar de forma definitiva. 

Descubre cómo transferir los archivos de un usuario eliminado.

Borrado remoto y el conector de Active Directory de Dropbox

Al suspender o eliminar usuarios con el Conector de AD, se borran automáticamente todos los dispositivos de forma remota. Para quitar a un usuario o un dispositivo sin borrar todo el contenido de forma remota, usa la Consola de administración.

¿Qué debo hacer si la sincronización del conector de Active Directory no se lleva a cabo de forma correcta?

Cada vez que se ejecuta el conector AD, se agrega un código de salida al final del archivo de registro que determina el motivo del error o en qué parte del proceso se produjo el error. La siguiente tabla incluye ejemplos de los posibles motivos de un error.

El conector AD registra un 0 cuando la ejecución finaliza de forma correcta.

Código	Motivo del error	Cómo corregir el error
No se pudo crear un canal SSL/TLS seguro	El servidor o cliente no es compatible con TLS 1.2.	Actualiza a la versión más reciente del conector AD (paso 2 más arriba) y asegúrate de que el servidor sea compatible con TLS 1.2
-1	No se admite la versión de Powershell.	Sube de categoría a las versiones 4, 5 o una superior de Powershell.
-10	No es posible leer el archivo de configuración.	Si editaste manualmente el archivo de configuración, es posible que haya un error en el archivo que la secuencia de comandos no puede leer. Vuelve a ejecutar la secuencia de comandos de configuración para anular las ediciones manuales. Verifica los permisos del archivo de configuración. La secuencia de comandos de ejecución debe tener permiso para ejecutar el archivo. Vuelve a ejecutar el archivo de configuración para guardar el nuevo archivo.
-11	La secuencia de comandos debe ejecutarse con privilegios de administrador.	Al seleccionar la secuencia de comandos, haz clic con el botón secundario y selecciona ejecutar con privilegios de administrador.
-12	No fue posible inicializar el módulo de Active Directory.	Asegúrate de que AD esté funcionando y que esté en la misma máquina que el conector de AD. Asegúrate de que haya privilegios de la secuencia de comandos para AD. Asegúrate de tener menos de 5000 miembros en el grupo de sincronización, incluidos los subgrupos (la versión 2.0 no admite más usuarios).
-13	Se produjo un error al inicializar la API de Dropbox	Verifica que se pueda acceder a dropbox.com en status.dropbox.com.
-14	Se produjo un error al recuperar la información del equipo desde la API de Dropbox	Verifica el código de error. Verifica que el token de OAuth sea válido (vuelve a ejecutar la secuencia de comandos de configuración para obtener un nuevo token de OAuth) Asegúrate de que el administrador se haya autenticado correctamente y de que el equipo todavía exista. Verifica que se pueda acceder a dropbox.com en status.dropbox.com.
-15	No se encontraron usuarios en el grupo configurado de Active Directory.	Verifica que el grupo seleccionado contenga los usuarios que querías sincronizar (solo los usuarios de este grupo se sincronizan con tu cuenta de equipo de Dropbox).
-16	Se produjo un error al obtener los miembros del equipo desde la API de Dropbox	Vuelve a intentarlo. Podría tratarse de un problema temporal de la red. Verifica que se pueda acceder a dropbox.com en status.dropbox.com.
-17	Se produce un error al sincronizar.	Vuelve a intentarlo. Podría tratarse de un problema temporal de la red. Verifica que otro proceso o error no hayan interrumpido la máquina. Asegúrate de tener menos de 5000 miembros en el grupo de sincronización, incluidos los subgrupos (la versión 2.0 no admite más usuarios). Te recomendamos que limites el tamaño de los grupos a 200 usuarios con la versión actual (2.0). Intenta limitar el tamaño de los grupos a 2000 usuarios o menos. Comunicarse con el equipo de soporte de Dropbox

¿Cuáles son las etapas del proceso de ejecución del conector de AD?

Fase 1: Identificación de los usuarios administrados

El conector AD solo actualiza los usuarios administrados. Los usuarios administrados se identifican cuando se cumplen los siguientes criterios:

1.  El conector AD completa el aprovisionamiento por primera vez. El aprovisionamiento se lleva a cabo en las siguientes situaciones:
   • Se agrega la dirección de correo electrónico de un usuario al grupo de Active Directory configurado.
   • La dirección de correo electrónico no se encuentra en Dropbox.
2. El usuario ya existe en tu equipo de Dropbox. "Usuarios existentes" significa que las direcciones de correo electrónico del equipo coinciden con las del grupo de Active Directory configurado.

Fase 2: Actualización únicamente de la información de los usuarios administrados

• el nombre del usuario
• el apellido del usuario
• la dirección de correo electrónico del usuario

El conector AD te permite asegurarte de que la Id. externa del usuario coincida en Dropbox y AD para los usuarios administrados de la fase 1.

Excepción: El conector AD no actualiza la información de los usuarios en estado “Invitado” en Dropbox. El conector AD intenta nuevamente la actualización en ejecuciones posteriores.

Fase 3: Actualización únicamente del estado de los usuarios administrados

Al inhabilitar a los usuarios administrados, no se eliminarán de tu equipo de Dropbox. Esto tampoco sucede al quitar a los usuarios del grupo de Active Directory sincronizado. En cambio, estos usuarios se suspenden en tu equipo de Dropbox.

En el caso de los usuarios administrados identificados en el primer paso, el conector AD actualiza el estado del usuario (activo, inhabilitado o eliminado) en Dropbox para que coincida con el estado del usuario en AD.