您可以使用 Password Sync 直接在 Microsoft Active Directory 中更新使用者的 Google Workspace 和 Cloud Identity 密碼。
Password Sync 適用於 Google Workspace 和 Cloud Identity 的管理員。
運作方式
安裝並設定好 Password Sync 後,一旦有 Active Directory 使用者變更密碼,這項工具就會將更新的密碼傳送到您的 Google 帳戶。
- 使用者的密碼發生變更時,系統會將更新要求傳送到網域控制站 (DC)。
- Microsoft Windows 會在該 DC 上以新的密碼和使用者名稱呼叫 Password Sync 動態連結程式庫 (DLL)。
- 服務從 DLL 收到經過雜湊處理的密碼和使用者名稱。
- 服務會使用 LDAP 從 Active Directory 取得使用者的電子郵件地址。
- 服務會使用 Directory API 更新您的 Google 帳戶。 另外,為了讓 Google Workspace API 正常運作,您必須開啟數個通訊埠,然後將一些主機名稱加入許可清單。瞭解詳情
- 使用者隨後即可使用自己的 Active Directory 密碼登入 Google 帳戶。
技術詳細資訊
- 在 Active Directory 中,密碼會以唯寫格式儲存,無法透過任何介面 (例如 LDAP) 讀取,因此傳統的同步處理方式 (例如 Google Cloud Directory Sync) 將無法存取密碼。如要讀取密碼,只能在設定或變更時擷取。
- Password Sync 含有以 LSA 通知封裝軟體形式安裝的 DLL,名為「password_sync_dll.dll」。如要進一步瞭解 LSA 通知封裝軟體,請參閱 Microsoft 文章。
- 如果特定 DC 中發生密碼變更,DLL 會收到使用者更新的密碼和使用者名稱。密碼同步處理作業是由 Windows 在收到變更的 DC 上觸發,因此每個可寫入的 DC 都必須安裝 Password Sync。無論是管理員或使用者更新密碼,都會觸發同步處理作業。如要進一步瞭解 PasswordChangeNotify 回呼函式,請參閱這篇 Microsoft 文章。
- DLL 收到使用者名稱和密碼時,會將密碼雜湊處理為加鹽的 SHA512,並傳送至 Password Sync 服務。
- Password Sync 服務 (「password_sync_service.exe」) 接著會根據 DLL 傳送的使用者名稱,使用 LDAP 在 Active Directory 中找出使用者的電子郵件地址,再使用 Directory API 更新 Google 帳戶。透過 Directory API 變更密碼時,部分應用程式 OAuth 權杖會遭到撤銷,使用者可能必須以自己的使用者名稱和密碼重新登入應用程式。
- Password Sync 遵循 Microsoft 的密碼篩選程式注意事項。詳情請參閱這篇 Microsoft 文章。
Google、Google Workspace 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。