Password Sync ทำงานอย่างไร

คุณสามารถใช้ Password Sync เพื่ออัปเดตรหัสผ่าน Google Workspace และ Cloud Identity ของผู้ใช้ได้โดยตรงจาก Microsoft Active Directory

Password Sync พร้อมใช้งานสําหรับผู้ดูแลระบบของ Google Workspace และ Cloud Identity

วิธีการทำงาน

หลังจากติดตั้งและกำหนดค่า Password Sync แล้ว ระบบจะส่งรหัสผ่านที่อัปเดตไปยังบัญชี Google ของคุณทุกครั้งที่ผู้ใช้ Active Directory เปลี่ยนรหัสผ่านของตนเอง

เมื่อรหัสผ่านของผู้ใช้มีการเปลี่ยนแปลง จะมีการส่งคำขออัปเดตไปยังตัวควบคุมโดเมน (DC)
Microsoft Windows จะเรียกไลบรารีลิงก์แบบไดนามิก (DLL) ของ Password Sync ใน DC นั้นด้วยรหัสผ่านและชื่อผู้ใช้ใหม่
บริการจะได้รับรหัสผ่านที่แฮชและชื่อผู้ใช้จาก DLL นั้น
บริการจะขออีเมลของผู้ใช้จาก Active Directory โดยใช้ LDAP
บริการจะอัปเดตบัญชี Google ด้วย Directory API นอกจากนี้คุณต้องเปิดพอร์ตหลายๆ พอร์ตและเพิ่มชื่อโฮสต์ขึ้นมาส่วนหนึ่งในรายการที่อนุญาต เพื่อให้ Google Workspace API ทำงานได้อย่างถูกต้อง ดูข้อมูลเพิ่มเติม
จากนั้นผู้ใช้จะลงชื่อเข้าใช้บัญชี Google ของตนได้ด้วยรหัสผ่าน Active Directory

รายละเอียดทางเทคนิค

ใน Active Directory ระบบจะเก็บรหัสผ่านเป็นแบบเขียนเท่านั้น และจะอ่านผ่านอินเทอร์เฟซอื่นๆ ไม่ได้ เช่น LDAP ดังนั้นวิธีการซิงค์ข้อมูลแบบดั้งเดิม (เช่น Google Cloud Directory Sync) จึงเข้าถึงรหัสผ่านไม่ได้ วิธีเดียวที่จะอ่านได้คือบันทึกไว้ในขณะที่ตั้งหรือเปลี่ยนรหัสผ่าน
Password Sync มี DLL ที่ชื่อ "password_sync_dll.dll" ติดตั้งเป็นแพ็กเกจการแจ้งเตือน LSA โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับแพ็กเกจการแจ้งเตือน LSA ในบทความนี้ของ Microsoft
เมื่อมีการเปลี่ยนรหัสผ่านใน DC ตัวหนึ่ง DLL จะได้รับรหัสผ่านที่อัปเดตพร้อมทั้งชื่อผู้ใช้ Password Sync จะต้องติดตั้งอยู่ใน DC ที่เขียนได้ทั้งหมด เนื่องจาก Windows ใน DC ที่รับการเปลี่ยนรหัสผ่านจะทริกเกอร์การซิงค์รหัสผ่าน การทริกเกอร์นี้จะเกิดขึ้นทุกครั้งที่มีการอัปเดตรหัสผ่าน ทั้งโดยผู้ดูแลระบบและผู้ใช้ปลายทาง โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับฟังก์ชันเรียกกลับ PasswordChangeNotify ในบทความนี้ของ Microsoft
เมื่อ DLL ได้รับชื่อผู้ใช้และรหัสผ่าน ก็จะแฮชรหัสผ่าน SHA512 แบบ Salt และส่งไปที่บริการ Password Sync
บริการ Password Sync ("password_sync_service.exe") จะค้นหาอีเมลของผู้ใช้ใน Active Directory โดยใช้ LDAP ตามชื่อผู้ใช้ที่ส่งจาก DLL จากนั้นจะอัปเดตบัญชี Google โดยใช้ Directory API เมื่อมีการเปลี่ยนรหัสผ่านทาง Directory API ระบบจะเพิกถอนโทเค็น OAuth ของแอปพลิเคชันบางรายการ ผู้ใช้อาจต้องลงชื่อเข้าใช้อีกครั้งในแอปพลิเคชันด้วยชื่อผู้ใช้และรหัสผ่านของตนเอง
Password Sync เป็นไปตามข้อพิจารณาในการเขียนโปรแกรมที่เกี่ยวข้องกับตัวกรองรหัสผ่านของ Microsoft ดูรายละเอียดได้ในบทความนี้ของ Microsoft

_{Google, Google Workspace และเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของ บริษัทที่เกี่ยวข้อง}

ข้อมูลนี้มีประโยชน์ไหม

เราจะปรับปรุงได้อย่างไร