Password Sync를 사용하여 Microsoft Active Directory에서 사용자의 Google Workspace 및 Cloud ID 비밀번호를 직접 업데이트할 수 있습니다.
Google Workspace 및 Cloud ID 관리자는 Password Sync를 사용할 수 있습니다.
작동 방식
비밀번호 동기화를 설치하고 구성하면 Active Directory 사용자가 비밀번호를 변경할 때마다 업데이트된 비밀번호가 Google 계정으로 전송됩니다.
- 사용자 비밀번호가 변경되면 업데이트 요청이 도메인 컨트롤러(DC)로 전송됩니다.
- 이 DC의 Microsoft Windows에서 새로운 비밀번호 및 사용자 이름으로 비밀번호 동기화 동적 링크 라이브러리(DLL)를 호출합니다.
- 서비스에서는 DLL이 보낸 해시된 비밀번호와 사용자 이름을 수신합니다.
- 서비스에서는 LDAP를 사용하여 Active Directory에서 사용자의 이메일 주소를 확인합니다.
- 서비스에서는 Directory API를 사용하여 Google 계정을 업데이트합니다. 또한 Google Workspace API가 제대로 작동하려면 여러 포트를 열고 일부 호스트 이름을 허용 목록에 추가해야 합니다. 자세히 알아보기
- 그러면 사용자는 Active Directory 비밀번호를 사용하여 Google 계정에 로그인할 수 있습니다.
기술 세부정보
- Active Directory에서 비밀번호는 쓰기 전용으로 저장되므로 어떤 인터페이스에서도(예: LDAP) 읽을 수 없습니다. 따라서 기존의 동기화 방법(예: Google Cloud 디렉터리 동기화)으로는 액세스할 수 없습니다. 비밀번호를 읽으려면 비밀번호를 설정하거나 변경할 때 캡처해두어야만 합니다.
- 비밀번호 동기화에는 LSA 알림 패키지로 설치되는 'password_sync_dll.dll'이라는 DLL이 포함되어 있습니다. LSA 알림 패키지에 대한 자세한 내용은 Microsoft 도움말을 참고하세요.
- 특정 DC에서 비밀번호가 변경되면 DLL은 사용자의 업데이트된 비밀번호 및 사용자 이름을 수신합니다. 비밀번호 변경을 수신한 DC의 Windows에서 비밀번호 동기화를 트리거하기 때문에 쓰기 가능한 모든 DC에 비밀번호 동기화를 설치해야 합니다. 비밀번호 변경을 관리자가 했든 최종 사용자가 했든 관계없이 비밀번호가 업데이트될 때마다 트리거가 발생합니다. PasswordChangeNotify 콜백 함수에 대한 자세한 내용은 이 Microsoft 도움말을 참고하세요.
- DLL에서 사용자 이름 및 비밀번호를 수신하면 비밀번호를 솔트 처리된 SHA512로 해시하여 비밀번호 동기화 서비스로 전송합니다.
- 그러면 비밀번호 동기화 서비스('password_sync_service.exe')에서는 DLL에서 전송한 사용자 이름에 따라 LDAP를 사용하여 Active Directory의 사용자 이메일 주소를 조회합니다. 그런 다음 Directory API를 사용하여 Google 계정을 업데이트합니다. Directory API를 통해 비밀번호가 변경되면 일부 애플리케이션 OAuth 토큰이 취소됩니다. 사용자는 사용자 이름과 비밀번호를 사용하여 다시 애플리케이션에 로그인해야 할 수도 있습니다.
- 비밀번호 동기화는 Microsoft의 비밀번호 필터 프로그래밍 고려사항을 준수합니다. 자세한 내용은 이 Microsoft 도움말을 참고하세요.
Google, Google Workspace 및 관련 마크와 로고는 Google LLC의 상표입니다. 기타 모든 회사명 및 제품명은 해당 업체의 상표입니다.
