Password Sync를 설치하기 전에 Google 인증 방법을 선택해야 합니다. 인증에 서비스 계정을 사용하는 것이 좋습니다. 명령줄에서 Password Sync를 설치하는 경우에는 서비스 계정을 사용해야 합니다.
인증에 3-legged OAuth를 사용할 수도 있지만 데스크톱 환경의 Microsoft Windows Server를 사용하는 경우에만 가능합니다. 도메인 컨트롤러가 5개를 초과하는 경우 각 도메인 컨트롤러를 별도로 승인해야 하므로 시간이 오래 걸릴 수 있습니다. 따라서 서비스 계정을 사용하는 것이 좋습니다.
7단계 중 2단계입니다
옵션 1: 서비스 계정을 사용하여 인증하기
서비스 계정은 사용자가 아니라 애플리케이션에 속한 계정입니다. 애플리케이션은 사용자가 인증 프로세스에 직접 관여하지 않도록 서비스 계정을 대신하여 Google API에 요청을 보냅니다.
서비스 계정의 장점:
- 여러 도메인 관리자가 서비스 계정을 관리하고 모니터링할 수 있습니다. 따라서 관리자가 변경되어도 비밀번호 동기화는 영향을 받지 않습니다.
- 3-legged OAuth에 영향을 미치는 갱신 토큰 제한이 서비스 계정에는 적용되지 않습니다.
- 서비스 계정 사용자 인증 정보는 JSON 파일로 다운로드되며 여러 도메인 컨트롤러에서 사용될 수 있습니다. 각 도메인 컨트롤러에 대해 승인 프로세스를 반복할 필요가 없습니다.
- 서비스 계정에는 인증을 위한 웹브라우저가 필요하지 않습니다. Windows Server Core를 사용할 때 비밀번호 동기화를 구성할 수 있습니다.
- 명령줄을 사용하여 비밀번호 동기화를 설치하고 구성할 수 있습니다.
서비스 계정의 단점:
- Google Cloud에 프로젝트를 만들어야 하는데 이로 인해 설정이 좀 더 복잡해집니다.
옵션 2: 3-legged OAuth를 사용하여 인증하기
3-legged OAuth를 사용하면 애플리케이션에서 사용자를 대신하여 Google API에 요청을 보냅니다. 하지만 서비스 계정과 달리 3-legged OAuth에서는 일반적으로 각 사용자가 애플리케이션에 데이터 액세스 권한을 부여해야 합니다. 비밀번호 동기화의 경우 도메인 관리자가 설정 과정에서 모든 사용자를 대신하여 이 단계를 수행합니다. 그런 다음 비밀번호 동기화에서 도메인에 있는 모든 사용자의 사용자 비밀번호를 동기화하려면 도메인 관리자가 각 도메인 컨트롤러에서 비밀번호 동기화를 승인해야 합니다.
3-legged OAuth의 장점:
- 3-legged OAuth는 간단하며 설정에 한 단계만 필요합니다.
3-legged OAuth의 단점:
- 데스크톱 환경의 Windows Server에서만 사용할 수 있으며 Windows Server Core에서는 사용할 수 없습니다.
- 여러 도메인 컨트롤러가 포함된 도메인은 토큰 제한을 초과할 수 있습니다. 각 도메인 컨트롤러를 별도로 승인해야 하므로 시간이 오래 걸릴 수 있습니다.
- 3-legged OAuth는 단일 관리자 계정과 연결되어 있습니다. 관리자 계정이 사용 중지되거나 삭제되면 비밀번호 동기화가 작동하지 않습니다.
- 서비스 계정과 달리 Google Cloud를 통해서 사용을 모니터링할 수 없습니다.
- 3-legged OAuth에서는 명령줄을 사용하여 비밀번호 동기화를 설치하고 구성할 수 없습니다.
Google, Google Workspace 및 관련 마크와 로고는 Google LLC의 상표입니다. 기타 모든 회사명 및 제품명은 해당 업체의 상표입니다.