Password Sync vous permet de mettre à jour les mots de passe Google Workspace et Cloud Identity de vos utilisateurs directement depuis Microsoft Active Directory.
Password Sync est disponible pour les administrateurs Google Workspace et Cloud Identity.
Fonctionnement
Une fois que Password Sync est installé et configuré, tout mot de passe modifié par un utilisateur Active Directory est envoyé à G Suite.
- Lorsque le mot de passe d'un utilisateur est modifié, une demande de mise à jour est envoyée à un contrôleur de domaine.
- La DLL (Dynamic Link Library) Password Sync est appelée par Windows sur ce contrôleur de domaine avec le nouveau mot de passe et le nom de connexion de l'utilisateur.
- Le service reçoit, via la DLL, le mot de passe haché accompagné du nom d'utilisateur.
- Le service récupère l'adresse e-mail de l'utilisateur à partir d'Active Directory via le protocole LDAP.
- Le service met à jour le compte Google à l'aide de l'API Directory. En outre, pour que les API Google Workspace fonctionnent correctement, vous devez ouvrir plusieurs ports et ajouter des noms d'hôtes à votre liste d'autorisation. En savoir plus
- L'utilisateur peut alors se connecter à son compte Google avec son mot de passe Active Directory.
Détails techniques
- Dans Active Directory, les mots de passe sont stockés en écriture seule. Aucune interface (LDAP, par exemple) ne permet de les lire. Par conséquent, il est impossible d'y accéder via les méthodes de synchronisation classiques telles que Google Cloud Directory Sync. Le seul moyen de lire les mots de passe consiste à les récupérer au moment où ils sont définis ou modifiés.
- Password Sync comporte une DLL intitulée "password_sync_dll.dll", installée en tant que package de notification LSA. Pour plus d'informations sur les packages de notification LSA, consultez cet article Microsoft.
- Lorsqu'un mot de passe est modifié sur un des contrôleurs de domaine, la DLL reçoit le nouveau mot de passe et le nom de l'utilisateur. Password Sync doit être installé sur chaque contrôleur de domaine accessible en écriture, car Windows déclenche la synchronisation du mot de passe sur le contrôleur de domaine qui reçoit la modification du mot de passe. La synchronisation se produit pour chaque mise à jour de mot de passe, que cette dernière soit réalisée par un administrateur ou par l'utilisateur final. Pour en savoir plus sur la fonction de rappel PasswordChangeNotify, consultez cet article Microsoft.
- Lorsque la DLL reçoit le nom d'utilisateur et le mot de passe, elle hache le mot de passe selon l'algorithme SHA512 avec salage avant de l'envoyer au service Password Sync.
- Le service Password Sync ("password_sync_service.exe") recherche alors l'adresse e-mail de l'utilisateur dans Active Directory via LDAP, en fonction du nom d'utilisateur envoyé par la DLL. Ensuite, il met à jour le compte Google à l'aide de l'API Directory. Lorsque des mots de passe sont modifiés via l'API Directory, certains jetons OAuth d'une application sont révoqués. Il se peut alors que les utilisateurs doivent reconnecter les applications à l'aide de leur nom d'utilisateur et de leur mot de passe
- Password Sync est conforme aux normes de programmation de filtre de mot de passe de Microsoft. Pour en savoir plus, consultez cet article Microsoft.
Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.
