Принципы работы Password Sync

Приложение Password Sync предназначено для автоматической синхронизации паролей пользователей Google Workspace и Cloud Identity с каталогом Microsoft Active Directory.

Приложением Password Sync могут пользоваться администраторы Google Workspace и Cloud Identity.

Как это работает

После установки и настройки Password Sync автоматически обновляет пароли в аккаунте Google при изменении паролей пользователей в Active Directory.

  1. После того как пароль пользователя был изменен, контроллеру домена отправляется запрос на обновление.
  2. Microsoft Windows вызывает динамически подключаемую библиотеку (DLL) Password Sync и передает ей новые учетные данные пользователя.
  3. GSPS получает от DLL хешированный пароль и имя пользователя для входа.
  4. По протоколу LDAP приложение получает из Active Directory адрес электронной почты пользователя.
  5. Сервис обновляет ваш аккаунт Google с помощью Directory API. Кроме того, чтобы обеспечить правильную работу Google Workspace API, вам нужно открыть несколько портов и добавить некоторые имена хостов в белый список. Подробнее…
  6. После этого пользователь может входить в свой аккаунт Google с паролем Active Directory.

Технические сведения

  • Пароли хранятся в Active Directory с правами доступа только на запись. Эти данные нельзя посмотреть в интерфейсе, например в LDAP. Поэтому традиционные методы синхронизации (например, с помощью Google Cloud Directory Sync) не позволяют получить доступ к паролям. Их можно прочитать, только перехватив при установке или изменении.
  • Динамически подключаемая библиотека Password Sync (password_sync_dll.dll) устанавливается как пакет уведомлений LSA. Подробную информацию о таких пакетах можно найти в этой статье на сайте Microsoft.
  • При изменении пароля на каком-либо контроллере домена DLL получает обновленные учетные данные пользователя. Необходимо установить Password Sync на каждом контроллере, доступном для записи, поскольку Windows запускает синхронизацию паролей на том контроллере, который получает обновленный пароль. Синхронизация осуществляется независимо от того, кто внес изменения – администратор или конечный пользователь. Дополнительные сведения о функции обратного вызова PasswordChangeNotify можно найти на сайте Microsoft.
  • Получив учетные данные пользователя, DLL хеширует пароль с помощью алгоритма SHA512 с солью и отправляет в сервис Password Sync.
  • Затем приложение Password Sync (password_sync_service.exe), используя протокол LDAP, находит адрес электронной почты пользователя в Active Directory по имени для входа, полученному от DLL, и обновляет пароль в аккаунте Google с помощью Directory API. При смене пароля через Directory API происходит отмена некоторых токенов OAuth. Из-за этого пользователям может потребоваться повторно войти в приложения.
  • Password Sync учитывает рекомендации Microsoft по программированию фильтрации паролей. Подробнее…


Google, Google Workspace, а также другие связанные знаки и логотипы являются товарными знаками компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.

Эта информация оказалась полезной?

Как можно улучшить эту статью?
true
Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
12338308678251761131
true
Поиск по Справочному центру
true
true
true
false
false