Prima di installare Password Sync, devi scegliere un metodo di autenticazione di Google. Consigliamo di utilizzare un account di servizio per l'autenticazione. Se installi Password Sync dalla riga di comando, devi utilizzare un account di servizio.
Puoi anche utilizzare OAuth a tre vie per l'autenticazione, ma solo su Microsoft Windows Server con Esperienza desktop. Se hai più di cinque controller di dominio, devi autorizzarli separatamente, operazione che può richiedere molto tempo. È consigliabile utilizzare un account di servizio.
Sei al passaggio 2 di 7
Opzione 1: utilizzare un account di servizio per l'autenticazione
Un account di servizio appartiene a un'applicazione anziché a un utente. L'applicazione invia una richiesta alle API Google per conto dell'account del servizio, quindi gli utenti non sono direttamente coinvolti nel processo di autenticazione.
Vantaggi di un account di servizio:
- Un account di servizio può essere gestito e monitorato da più amministratori di dominio. Quindi, anche se un amministratore cambia, Sincronizzazione password non ne risente.
- Gli account di servizio non sono soggetti al limite di token di aggiornamento che interessa OAuth a tre vie.
- Le credenziali dell'account di servizio vengono scaricate come file JSON e possono essere utilizzate su molti controller di dominio. Non è necessario ripetere la procedura di autorizzazione per ogni controller di dominio.
- Gli account di servizio non richiedono un browser web per l'autenticazione. Puoi configurare Sincronizzazione password quando utilizzi Microsoft Windows Server Core.
- Puoi installare e configurare Sincronizzazione password utilizzando la riga di comando.
Svantaggi di un account di servizio:
- Devi creare un progetto in Google Cloud, il che rende più complessa la configurazione.
Opzione 2: utilizzare OAuth a tre vie per l'autenticazione
Con OAuth a tre vie, l'applicazione invia una richiesta alle API di Google per conto di un utente. Tuttavia, a differenza di un account di servizio, OAuth a tre vie normalmente richiede che ogni utente conceda all'applicazione l'autorizzazione ad accedere ai propri dati. Per Sincronizzazione password, l'amministratore di dominio esegue questo passaggio per conto di tutti gli utenti durante la procedura di configurazione. Per fare in modo che Sincronizzazione password sincronizzi correttamente le password degli utenti per ogni utente di un dominio, l'amministratore del dominio deve autorizzare Sincronizzazione password per ogni controller di dominio.
Vantaggi di OAuth a tre vie:
- L'uso di OAuth a tre vie è semplice e richiede solo un passaggio per la configurazione.
Svantaggi di OAuth a tre vie:
- È disponibile solo su Windows Server con Esperienza desktop e non su Windows Server Core.
- I domini con più controller di dominio possono superare il limite di token. Devi autorizzare separatamente ciascun controller di dominio, operazione che può richiedere molto tempo.
- OAuth a tre vie è vincolato a un singolo account amministratore. Se l'account viene disattivato o eliminato, Sincronizzazione password non funzionerà.
- A differenza degli account di servizio, l'utilizzo non può essere monitorato in Google Cloud.
- Non è possibile installare e configurare Sincronizzazione password utilizzando la riga di comando con OAuth a tre vie.
Google, Google Workspace e marchi e loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle rispettive società a cui sono associati.
