Password Sync może służyć do aktualizowania haseł użytkowników Google Workspace i Cloud Identity bezpośrednio w Microsoft Active Directory.
Narzędzie Password Sync jest dostępne dla administratorów Google Workspace i Cloud Identity.
Jak to działa
Po instalacji i konfiguracji Password Sync wysyła zaktualizowane hasła do Twojego konta Google za każdym razem, gdy użytkownik Active Directory zmieni swoje hasło.
- Zmiana hasła przez użytkownika powoduje wysłanie żądania aktualizacji do kontrolera domeny.
- System Microsoft Windows wywołuje bibliotekę DLL narzędzia Password Sync z nowym hasłem i loginem użytkownika w danym kontrolerze domeny.
- Usługa otrzymuje zaszyfrowane hasło wraz z nazwą użytkownika z pliku DLL.
- Adres e-mail użytkownika jest pobierany przez usługę z Active Directory przy użyciu LDAP.
- Usługa aktualizuje konto Google przy użyciu interfejsu Directory API. Co więcej, aby interfejsy Google Workspace API działały poprawnie, musisz otworzyć kilka portów i dodać nazwy hostów do listy dozwolonych. Więcej informacji
- Użytkownik może następnie zalogować się na swoje konto Google za pomocą hasła z Active Directory.
Informacje techniczne
- Hasła w Active Directory można tylko zapisywać. Nie można ich odczytać przy użyciu interfejsu (na przykład LDAP). Z tego powodu tradycyjne metody synchronizacji (na przykład Google Cloud Directory Sync) nie mają do nich dostępu. Jedynym sposobem odczytu haseł jest przechwycenie ich podczas ustawiania lub zmieniania.
- Password Sync ma bibliotekę DLL „password_sync_dll.dll”, która jest instalowana jako pakiet powiadomień LSA. Więcej informacji o pakietach powiadomień LSA znajdziesz w tym artykule firmy Microsoft (artykuł w języku angielskim).
- Zmiana hasła w określonym kontrolerze domeny powoduje umieszczenie w pliku DLL zaktualizowanego hasła wraz z nazwą użytkownika. Narzędzie Password Sync musi zostać zainstalowane na każdym kontrolerze domeny z możliwością zapisu, ponieważ system Microsoft Windows uruchamia synchronizację haseł na kontrolerze za każdym razem, gdy hasło jest aktualizowane – niezależnie od tego, czy zmianę wprowadził administrator czy użytkownik końcowy. Więcej informacji o funkcji wywołania zwrotnego PasswordChangeNotify znajdziesz w tym artykule firmy Microsoft (artykuł w języku angielskim).
- Gdy nazwa użytkownika i hasło trafiają do biblioteki DLL, zostają zaszyfrowane jako skrót SHA512 z ciągiem zaburzającym i wysłane do usługi Password Sync.
- Usługa Password Sync („password_sync_service.exe”) wyszukuje adres e-mail użytkownika w Active Directory przy użyciu LDAP na podstawie nazwy użytkownika otrzymanej z biblioteki DLL, a następnie aktualizuje konto Google za pomocą interfejsu Directory API. Gdy hasła są zmieniane przy użyciu interfejsu Directory API, niektóre tokeny OAuth aplikacji są unieważniane. W takiej sytuacji użytkownicy mogą zostać poproszeni o ponowne zalogowanie się w aplikacjach przy użyciu swojej nazwy użytkownika i hasła.
- Password Sync działa zgodnie z zasadami programowania filtrowania haseł ustalonymi przez firmę Microsoft. Szczegółowe informacje znajdziesz w tym artykule firmy Microsoft (artykuł w języku angielskim).
Google, Google Workspace oraz powiązane znaki i logotypy są znakami towarowymi firmy Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi odpowiednich podmiotów.