¿Cómo sincroniza la herramienta G Suite Password Sync las contraseñas?

La herramienta G Suite Password Sync (GSPS) se puede utilizar para actualizar las contraseñas directamente desde Microsoft® Active Directory®

Cómo funciona

Una vez que se ha instalado y configurado GSPS, esta herramienta envía las contraseñas cambiadas a tu cuenta de Google cada vez que un usuario de Active Directory cambia la suya.

  1. Cuando se cambia la contraseña de un usuario, se envía la solicitud de cambio a un controlador de dominio (DC).
  2. Windows® llama a la biblioteca de enlaces dinámicos (DLL) de GSPS en ese controlador de dominio con la contraseña y el nombre de usuario nuevos.
  3. El servicio recibe la contraseña con código hash y el nombre de usuario de la DLL.
  4. El servicio obtiene la dirección de correo electrónico del usuario en Active Directory mediante LDAP.
  5. El servicio actualiza tu cuenta de Google utilizando la API de Directory.
  6. A continuación, el usuario puede iniciar sesión en su cuenta de Google mediante su contraseña de Active Directory.

Información técnica

  • En Active Directory, las contraseñas se almacenan como de solo escritura. No se pueden leer con ninguna interfaz (p. ej., LDAP), por lo que no es posible acceder a ellas con los métodos de sincronización convencionales (p. ej., Google Cloud Directory Sync). La única forma de leer las contraseñas es registrarlas en el momento en que se definen o se cambian.
  • GSPS contiene una DLL denominada "password_sync_dll.dll" que se ha instalado como un paquete de notificación LSA. Más información sobre los paquetes de notificación LSA en el sitio web de Microsoft 
  • Cuando se cambia de contraseña en un controlador de dominio concreto, la DLL recibe la nueva contraseña y el nombre del usuario. GSPS se debe instalar en cada controlador de dominio editable, ya que Windows activa la sincronización de la contraseña en el DC que recibe el cambio de contraseña. La activación se produce cada vez que se actualiza la contraseña, independientemente de que la realice un administrador o el usuario final. Más información sobre la función de devolución de llamada de PasswordChangeNotify en el sitio web de Microsoft 
  • Cuando la DLL recibe el nombre de usuario y la contraseña, cifra esta última con código hash como SHA512 con salt y la envía al servicio GSPS.
  • A continuación, el servicio GSPS ("password_sync_service.exe") busca la dirección de correo electrónico del usuario en Active Directory a través de LDAP basándose en el nombre de usuario enviado por la DLL y, después, actualiza la cuenta de Google mediante la API de Directory. Cuando se cambian las contraseñas mediante esta API, se revocan algunos tokens de OAuth de la aplicación. Es posible que los usuarios tengan que volver a iniciar sesión en las aplicaciones con su nombre de usuario y contraseña.
  • GSPS cumple con las consideraciones de programación de filtro de contraseñas de Microsoft. Para obtener más información, consulta el sitio web de Microsoft
¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?