Cómo sincronizar usuarios y grupos de Google Workspace con Auth0 mediante Directory Sync

Activar Directory Sync en su conexión empresarial de Google Workspace le permite sincronizar con Auth0 los perfiles de usuario, las estructuras de grupos y la pertenencia a grupos de Google Workspace. Puede sincronizar de forma automática o manual:

La sincronización automática se ejecuta cada 30 minutos después de que finaliza la última sincronización.
La sincronización manual se ejecuta cuando la activa.

Habilitar la Directory Sync

Puede habilitar la Directory Sync mediante el Auth0 Dashboard o la Management API.

Auth0 Dashboard
Management API

Requisitos previos

Antes de comenzar, debe tener lo siguiente:

Una conexión empresarial de Google Workspace en Auth0
Privilegios de administrador en la organización de Google Workspace.

Habilite la API de directorio de administración para su conexión empresarial

Para habilitar la sincronización de directorio, el token de acceso de Google de su conexión empresarial de Google Workspace debe tener los alcances adecuados para acceder a las API de Google.En la pestaña Settings de una conexión empresarial existente de Google Workspace (o al crear una nueva conexión), en la sección Identity Provider API, seleccione Use Admin Directory API y elija una de estas opciones:

Users scopes para agregar alcances solo para acceder a usuarios.
Users and Groups scopes para agregar alcances para acceder tanto a usuarios como a grupos.

Al usar Directory Sync, también recomendamos deshabilitar Sync User Profile Attributes at Login en esta sección para evitar actualizaciones en conflicto desde varios métodos de sincronización.

Haga clic en Save Changes.

Verifique el consentimiento del administrador de Google

Desde Auth0 Dashboard > Authentication > Enterprise, abra su conexión de Google Workspace. En la pestaña Setup, haga una de las siguientes acciones:

Siga el enlace Continue si tiene permisos de administrador para configurar los ajustes de Google Workspace y usar las API de administración de Google, o
Proporcione la URL indicada a su administrador para que pueda ajustar la configuración requerida

Habilite Directory Sync

En la pestaña Provisioning de su conexión, active Provision Users Using Directory Sync y elija sus opciones de configuración:

En Resources, en Sync, elija si desea sincronizar Users o Users and Groups. Si sincroniza tanto usuarios como grupos, la sección se expande para mostrar qué grupos se están sincronizando (Syncing all groups de forma predeterminada). Para personalizar los grupos sincronizados, consulte el siguiente paso.
En Schedule, opcionalmente seleccione Enable Automatic Synchronization para sincronizar automáticamente cada 30 minutos. Puede iniciar una sincronización manual seleccionando Synchronize now.
En Attribute Mapping, puede personalizar la asignación de atributos de Google a los atributos del perfil de usuario de Auth0.

Personalice los grupos sincronizados (opcional)

Cuando habilita Directory Sync para sincronizar tanto usuarios como grupos desde Google Workspace, todos los grupos se sincronizan de forma predeterminada. Puede personalizar qué grupos sincroniza cargando un archivo JSON con los id de los grupos que desea sincronizar.Primero, cree el archivo JSON. Puede obtener una lista de todos los id de grupo mediante la Directory API de Google Workspace. Cree el archivo con el siguiente formato, sustituyendo los valores de ejemplo de marcador de posición por los id de grupo reales:

{
    "groups": [
        {
            "id": "example-id-1"
        },
        {
            "id": "example-id-2"
        },
        {
            "id": "example-id-3"
        }
    ]
}

A continuación, cargue el archivo en Auth0:

En la pestaña Provisioning de su conexión, debajo de la opción activada Provision Users Using Directory Sync, busque la sección Resources y seleccione el botón Select Groups….
En la ventana Select Groups que se abre, seleccione Pick specific groups para mostrar la sección Groups JSON file.
Seleccione + Choose file y cargue el archivo JSON.
Después de cargar el archivo, seleccione Select Groups en la parte inferior de la ventana.

La sección Resources muestra Syncing specific groups. Para actualizar qué grupos sincroniza, vuelva a la misma ventana Select Groups y cargue un archivo JSON nuevo o elija Sync all.

Requisitos previos

Antes de comenzar, debe contar con lo siguiente:

Una conexión empresarial de Google Workspace en Auth0
Privilegios de administrador en la organización de Google Workspace.
Un token de acceso de la Management API con los siguientes alcances:
- create:directory_provisionings
- read:directory_provisionings
- update:directory_provisionings
- delete:directory_provisionings
El ID de su conexión de Google Workspace (CONNECTION_ID).

Habilite la API del directorio de administración para su conexión empresarial

Al crear una nueva conexión empresarial de Google Workspace mediante el endpoint para crear una conexión (POST /v2/connections), o al modificar una conexión empresarial existente mediante el endpoint para actualizar una conexión (PATCH /v2/connections/{id}), establezca los siguientes parámetros en el cuerpo de la solicitud:

option.api_enable_users en true para agregar alcances de acceso a usuarios.
option.api_enable_groups en true para agregar también alcances de acceso a grupos. El acceso a grupos requiere acceso a usuarios.

Cuando use Directory Sync, le recomendamos deshabilitar la sincronización de perfiles de usuario al iniciar sesión (estableciendo options.set_user_root_attributes en never_on_login) para evitar actualizaciones en conflicto entre varios métodos de sincronización.

Verifique el consentimiento del administrador de Google

En Auth0 Dashboard > Authentication > Enterprise, abra su conexión de Google Workspace. En la pestaña Setup, haga una de las siguientes acciones:

Siga el enlace Continue si tiene permisos de administrador para configurar los ajustes de Google Workspace de modo que usen las API de administración de Google, o bien
Proporcione la URL indicada a su administrador para que pueda ajustar la configuración requerida

Habilite Directory Sync

Habilite Directory Sync con el endpoint para crear una configuración de aprovisionamiento de directorio (POST /v2/connections/{id}/directory-provisioning), o actualice una configuración existente de Directory Sync con el endpoint para modificar una configuración de aprovisionamiento de directorio (PATCH /v2/connections/{id}/directory-provisioning), y use los siguientes parámetros en el cuerpo de la solicitud:

mapping para definir la asignación de atributos de Google a los atributos del perfil de usuario de Auth0.
synchronize_automatically en true para sincronizar automáticamente cada 30 minutos, o en false para deshabilitar la sincronización automática.
synchronize_groups establecido en uno de los siguientes valores:
- all para sincronizar todos los grupos, además de los usuarios
- selected para sincronizar solo los grupos que especifique
- off para sincronizar solo usuarios

Si elige sincronizar solo grupos seleccionados, también deberá especificar qué grupos se sincronizarán.Primero, obtenga una lista de ID de grupos mediante la Google Workspace Directory API. Luego, use el endpoint para configurar los grupos que se sincronizarán de la Management API (PUT /v2/connections/{id}/directory-provisioning/synchronized-groups) con el parámetro del cuerpo de la solicitud que contiene los ID de los grupos que desea sincronizar, con el siguiente formato:

"groups" [
    {
        "id": "example-id-string",
    },
    {
        "id": "example-id-string-2",
    },
    {
        "id": "example-id-string-3",
    }
]

Para activar una sincronización manual, use el endpoint para crear una configuración de aprovisionamiento de directorio.

Supervisar la actividad de Directory Sync

Puede supervisar la actividad de sincronización en los registros del inquilino de Auth0 en los tipos de registro Directory Sync Started y Directory Sync Completed (códigos de evento directory_sync_started y directory_sync_completed).

Límites

Si sincroniza manualmente en los 30 minutos posteriores a la última sincronización completada, se devolverá un error 400. Espere al menos 30 minutos antes de volver a sincronizar.

​Habilitar la Directory Sync

​Supervisar la actividad de Directory Sync

​Límites

Habilitar la Directory Sync

Supervisar la actividad de Directory Sync

Límites