Bagaimana cara kerja Password Sync?

Password Sync dapat digunakan untuk memperbarui sandi Google Workspace dan Cloud Identity pengguna langsung dari Microsoft Active Directory.

Password Sync tersedia untuk administrator Google Workspace dan Cloud Identity.

Cara kerjanya

Setelah Password Sync diinstal dan dikonfigurasi, aplikasi tersebut akan mengirim sandi yang diperbarui ke Akun Google Anda setiap kali pengguna Active Directory mengubah sandinya.

  1. Saat sandi pengguna diubah, permintaan pembaruan dikirim ke pengontrol domain (DC).
  2. Password Sync Dynamic Link Library (DLL) dipanggil oleh Microsoft Windows di DC tersebut dengan nama pengguna dan sandi baru.
  3. Layanan menerima sandi yang diberi hash dan nama pengguna dari DLL.
  4. Layanan mendapatkan alamat email untuk pengguna dari Active Directory menggunakan LDAP.
  5. Layanan mengupdate Akun Google Anda menggunakan Directory API. Selain itu, agar Google Workspace API berfungsi dengan benar, Anda perlu membuka beberapa port dan menambahkan beberapa nama host ke daftar yang diizinkan. Pelajari lebih lanjut
  6. Kemudian, pengguna dapat login ke Akun Google-nya menggunakan sandi Active Directory.

Detail teknis

  • Di Active Directory, sandi disimpan dalam format tulis saja. Sandi tidak dapat dibaca melalui antarmuka apa pun, seperti LDAP. Oleh karena itu, metode sinkronisasi konvensional (misalnya, Google Cloud Directory Sync) tidak dapat mengaksesnya. Satu-satunya cara untuk membaca sandi adalah dengan menangkapnya saat disetel atau diubah.
  • Password Sync memiliki DLL bernama "password_sync_dll.dll" yang diinstal sebagai Paket Notifikasi LSA. Untuk mengetahui informasi selengkapnya tentang Paket Notifikasi LSA, lihat artikel Microsoft ini.
  • Saat perubahan sandi terjadi di DC tertentu, DLL menerima sandi yang diperbarui dan nama pengguna dari pengguna. Password Sync harus diinstal di setiap DC yang dapat ditulisi karena sinkronisasi sandi dipicu oleh Windows di DC yang menerima perubahan sandi. Pemicu terjadi pada setiap pembaruan sandi, baik dilakukan oleh administrator atau pengguna akhir. Untuk informasi selengkapnya tentang fungsi callback PasswordChangeNotify, lihat artikel Microsoft ini.
  • Saat DLL menerima nama pengguna dan sandi, DLL memberi hash pada sandi sebagai SHA512 dengan salt, lalu mengirimnya ke layanan Password Sync.
  • Layanan Password Sync ("password_sync_service.exe") selanjutnya mencari alamat email pengguna di Active Directory melalui LDAP berdasarkan nama pengguna yang dikirim oleh DLL. Tindakan ini kemudian memperbarui Akun Google menggunakan Directory API. Jika sandi diubah melalui Directory API, beberapa token OAuth aplikasi akan dicabut. Pengguna mungkin perlu login kembali ke aplikasi dengan nama pengguna dan sandi mereka.
  • Password Sync mengikuti pertimbangan pemrograman filter sandi Microsoft. Untuk mengetahui detailnya, baca artikel Microsoft ini.


Google, Google Workspace, serta merek dan logo yang terkait adalah merek dagang Google LLC. Semua nama perusahaan dan produk lainnya adalah merek dagang masing-masing perusahaan yang terkait.

Apakah ini membantu?

Bagaimana cara meningkatkannya?
true
Telusuri
Hapus penelusuran
Tutup penelusuran
Menu utama
2829944642925896161
true
Pusat Bantuan Penelusuran
true
true
true
false
false