2. 인증 방법 선택하기

Password Sync를 설치하기 전에 Google 인증 방법을 선택해야 합니다. 인증에 서비스 계정을 사용하는 것이 좋습니다. 명령줄에서 Password Sync를 설치하는 경우에는 서비스 계정을 사용해야 합니다.

인증에 3-legged OAuth를 사용할 수도 있지만 데스크톱 환경의 Microsoft Windows Server를 사용하는 경우에만 가능합니다. 도메인 컨트롤러가 5개를 초과하는 경우 각 도메인 컨트롤러를 별도로 승인해야 하므로 시간이 오래 걸릴 수 있습니다. 따라서 서비스 계정을 사용하는 것이 좋습니다.

7단계 중 2단계입니다

옵션 1: 서비스 계정을 사용하여 인증하기

서비스 계정은 사용자가 아니라 애플리케이션에 속한 계정입니다. 애플리케이션은 사용자가 인증 프로세스에 직접 관여하지 않도록 서비스 계정을 대신하여 Google API에 요청을 보냅니다.

서비스 계정의 장점:

• 여러 도메인 관리자가 서비스 계정을 관리하고 모니터링할 수 있습니다. 따라서 관리자가 변경되어도 비밀번호 동기화는 영향을 받지 않습니다.
• 3-legged OAuth에 영향을 미치는 갱신 토큰 제한이 서비스 계정에는 적용되지 않습니다.
• 서비스 계정 사용자 인증 정보는 JSON 파일로 다운로드되며 여러 도메인 컨트롤러에서 사용될 수 있습니다. 각 도메인 컨트롤러에 대해 승인 프로세스를 반복할 필요가 없습니다.
• 서비스 계정에는 인증을 위한 웹브라우저가 필요하지 않습니다. Windows Server Core를 사용할 때 비밀번호 동기화를 구성할 수 있습니다.
• 명령줄을 사용하여 비밀번호 동기화를 설치하고 구성할 수 있습니다.

서비스 계정의 단점:

• Google Cloud에 프로젝트를 만들어야 하는데 이로 인해 설정이 좀 더 복잡해집니다.

옵션 2: 3-legged OAuth를 사용하여 인증하기

3-legged OAuth를 사용하면 애플리케이션에서 사용자를 대신하여 Google API에 요청을 보냅니다. 하지만 서비스 계정과 달리 3-legged OAuth에서는 일반적으로 각 사용자가 애플리케이션에 데이터 액세스 권한을 부여해야 합니다. 비밀번호 동기화의 경우 도메인 관리자가 설정 과정에서 모든 사용자를 대신하여 이 단계를 수행합니다. 그런 다음 비밀번호 동기화에서 도메인에 있는 모든 사용자의 사용자 비밀번호를 동기화하려면 도메인 관리자가 각 도메인 컨트롤러에서 비밀번호 동기화를 승인해야 합니다.

3-legged OAuth의 장점:

• 3-legged OAuth는 간단하며 설정에 한 단계만 필요합니다.

3-legged OAuth의 단점:

• 데스크톱 환경의 Windows Server에서만 사용할 수 있으며 Windows Server Core에서는 사용할 수 없습니다.
• 여러 도메인 컨트롤러가 포함된 도메인은 토큰 제한을 초과할 수 있습니다. 각 도메인 컨트롤러를 별도로 승인해야 하므로 시간이 오래 걸릴 수 있습니다.
• 3-legged OAuth는 단일 관리자 계정과 연결되어 있습니다. 관리자 계정이 사용 중지되거나 삭제되면 비밀번호 동기화가 작동하지 않습니다.
• 서비스 계정과 달리 Google Cloud를 통해서 사용을 모니터링할 수 없습니다.
• 3-legged OAuth에서는 명령줄을 사용하여 비밀번호 동기화를 설치하고 구성할 수 없습니다.