Como o Password Sync funciona?

O Password Sync pode ser usado para atualizar as senhas do Google Workspace e do Cloud Identity dos seus usuários diretamente no Microsoft Active Directory.

O Password Sync está disponível para administradores do Google Workspace e do Cloud Identity.

Como funciona

Depois que o Password Sync estiver instalado e configurado, ele enviará senhas atualizadas para sua Conta do Google todas as vezes que um usuário do Active Directory alterar uma senha.

  1. Quando a senha de um usuário é alterada, a solicitação de atualização é enviada para um controlador de domínio (DC, na sigla em inglês).
  2. A biblioteca de vínculo dinâmico (DLL, na sigla em inglês) do Password Sync é acionada pelo Microsoft Windows no DC com a nova senha e o nome de usuário.
  3. O serviço recebe a senha criptografada e o nome de usuário da DLL.
  4. O serviço recebe o endereço de e-mail do usuário do Active Directory que usa LDAP.
  5. O serviço atualiza sua Conta do Google usando a API Directory. Além disso, para as APIs do Google Workspace funcionarem corretamente, você precisa abrir várias portas e adicionar alguns nomes de host à lista de permissões. Saiba mais
  6. Depois disso, o usuário pode fazer login na Conta do Google usando a senha do Active Directory.

Detalhes técnicos

  • No Active Directory, as senhas são armazenadas como somente gravação e não podem ser lidas em qualquer interface (como LDAP). Portanto, os métodos de sincronização convencionais (por exemplo, o Google Cloud Directory Sync) não podem acessá-las. A única forma de ler as senhas é capturá-las quando elas são definidas ou mudadas.
  • O Password Sync tem uma DLL chamada "password_sync_dll.dll" que é instalada como um pacote de notificações LSA. Veja mais informações sobre os pacotes de notificação LSA neste artigo da Microsoft.
  • Quando ocorre uma mudança de senha em um DC específico, a DLL recebe a senha atualizada e o respectivo nome de usuário. É preciso instalar o Password Sync em cada DC gravável porque a sincronização da senha é acionada pelo Windows no DC que recebe a mudança de senha. O acionamento ocorre em todas as atualizações de senha, sejam elas feitas por um administrador ou pelo usuário final. Veja mais informações sobre a função de callback PasswordChangeNotify neste artigo da Microsoft.
  • Quando a DLL recebe o nome de usuário e a senha, ela gera um hash da senha como SHA512 com sal e a envia para o serviço do Password Sync.
  • Em seguida, o serviço do Password Sync ("password_sync_service.exe") encontra o endereço de e-mail do usuário no Active Directory via LDAP, com base no nome de usuário enviado pela DLL, e atualiza a Conta do Google pela API Directory. Quando as senhas são alteradas na API Directory, os tokens OAuth de apps são revogados. Os usuários talvez precisem fazer login novamente em apps com o nome de usuário e a senha.
  • O Password Sync segue as considerações de programação de filtro de senha da Microsoft. Veja mais detalhes neste artigo da Microsoft.


Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas às quais eles estão associados.

Isso foi útil?

Como podemos melhorá-lo?
true
Pesquisa
Limpar pesquisa
Fechar pesquisa
Menu principal
16540347657393719104
true
Pesquisar na Central de Ajuda
true
true
true
false
false