Прежде чем устанавливать Password Sync, выберите метод аутентификации Google. Мы рекомендуем использовать сервисный аккаунт. Этот метод обязателен, если вы устанавливаете Password Sync с помощью командной строки.
Трехсторонний протокол OAuth подходит только для сервера Microsoft Windows Server с установленными возможностями рабочего стола. Если у вас более пяти контроллеров домена, вам потребуется авторизовать каждый из них отдельно, что может занять много времени. Вместо этого рекомендуем использовать сервисный аккаунт.
Шаг 2 из 7
Вариант 1. Аутентификация с помощью сервисного аккаунта
Сервисный аккаунт принадлежит приложению, а не отдельному пользователю. Приложение отправляет запрос API Google от имени сервисного аккаунта, поэтому пользователи не участвуют в процессе аутентификации непосредственно.
Преимущества использования сервисного аккаунта
- Отслеживать сервисный аккаунт и управлять им могут несколько администраторов домена, поэтому при смене администратора работа Password Sync не нарушается.
- В отличие от трехсторонней аутентификации OAuth на сервисные аккаунты не распространяется лимит токенов обновления.
- Учетные данные сервисного аккаунта можно сохранить как файл JSON и использовать на нескольких контроллерах домена. Таким образом, повторять процесс авторизации на каждом из них не нужно.
- Для аутентификации с помощью сервисного аккаунта не нужен браузер. Password Sync можно настроить и в случае использования Windows Server Core.
- Установить и настроить Password Sync можно с помощью командной строки.
Недостатки использования сервисного аккаунта
- Для работы с сервисным аккаунтом необходимо создать проект в Google Cloud. Это усложняет установку.
Вариант 2. Аутентификация с помощью трехстороннего протокола OAuth
При использовании трехстороннего протокола OAuth приложение отправляет API Google запрос от имени пользователя. Однако, в отличие от сервисного аккаунта, для работы трехсторонней аутентификации OAuth обычно нужно, чтобы каждый пользователь предоставил приложению разрешение на доступ к своим данным. Для Password Sync это действие выполняет администратор домена от имени всех пользователей во время настройки. В свою очередь, для синхронизации паролей каждого пользователя с помощью Password Sync администратору домена необходимо авторизовать Password Sync на каждом контроллере.
Преимущества трехсторонней аутентификации OAuth
- Трехсторонний протокол OAuth прост в использовании, а для его настройки необходимо выполнить всего одно действие.
Недостатки трехсторонней аутентификации OAuth
- Эта функция доступна только для Windows Server с установленными возможностями рабочего стола и недоступна для Windows Server Core.
- Домены с несколькими контроллерами могут превысить лимит токенов. Каждый контроллер домена необходимо авторизовать отдельно, что может занимать слишком много времени.
- Трехсторонний протокол OAuth привязан к одному аккаунту администратора. Если отключить или удалить этот аккаунт, приложение Password Sync не сможет работать.
- В отличие от метода с использованием сервисного аккаунта, этот метод аутентификации нельзя отслеживать через Google Cloud.
- При использовании трехсторонней аутентификации OAuth приложение Password Sync нельзя установить и настроить с помощью командной строки.
Google, Google Workspace, а также другие связанные знаки и логотипы являются товарными знаками компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.