Voordat u Password Sync installeert, moet u een Google-verificatiemethode kiezen. We raden aan een serviceaccount te gebruiken voor de verificatie. Als u Password Sync via de opdrachtregel installeert, moet u een serviceaccount gebruiken.
Je kunt ook 3-legged OAuth gebruiken voor authenticatie, maar alleen op Microsoft Windows Server met Desktop Experience. Als je meer dan 5 domeincontrollers hebt, moet je elke domeincontroller afzonderlijk autoriseren, wat tijdrovend kan zijn. We raden aan om in plaats daarvan een serviceaccount te gebruiken.
Je bent bij stap 2 van 7
Optie 1: Gebruik een serviceaccount voor authenticatie.
Een serviceaccount is gekoppeld aan een applicatie en niet aan een gebruiker. De applicatie verstuurt namens het serviceaccount een verzoek naar de Google API's, waardoor gebruikers niet direct betrokken zijn bij het authenticatieproces.
Voordelen van een serviceaccount:
- Meerdere domeinbeheerders kunnen een serviceaccount beheren en bewaken. Daardoor blijft Password Sync gewoon werken, zelfs als een beheerder wisselt.
- Serviceaccounts zijn niet onderworpen aan de limiet voor vernieuwingstokens die van toepassing is op 3-legged OAuth.
- De inloggegevens voor het serviceaccount worden gedownload als een JSON-bestand en kunnen op meerdere domeincontrollers worden gebruikt. U hoeft het autorisatieproces niet voor elke domeincontroller te herhalen.
- Serviceaccounts vereisen geen webbrowser voor authenticatie. U kunt wachtwoordsynchronisatie configureren wanneer u Windows Server Core gebruikt.
- Je kunt Password Sync installeren en configureren via de commandoregel.
Nadelen van een serviceaccount:
- Je moet een project aanmaken in Google Cloud, wat de installatie complexer maakt.
Optie 2: Gebruik 3-legged OAuth voor authenticatie.
Bij 3-legged OAuth stuurt de applicatie namens een gebruiker een verzoek naar de Google API's. In tegenstelling tot een serviceaccount vereist 3-legged OAuth echter normaal gesproken dat elke gebruiker de applicatie toestemming geeft om toegang te krijgen tot zijn of haar gegevens. Voor Password Sync voert de domeinbeheerder deze stap namens alle gebruikers uit tijdens het installatieproces. Om Password Sync succesvol te laten synchroniseren, moet de domeinbeheerder Password Sync op elke domeincontroller autoriseren.
Voordelen van 3-legged OAuth:
- Het gebruik van 3-legged OAuth is eenvoudig en vereist slechts één configuratiestap.
Nadelen van 3-legged OAuth:
- Het is alleen beschikbaar op Windows Server met Desktop Experience en niet op Windows Server Core.
- Domeinen met meerdere domeincontrollers kunnen de tokenlimiet overschrijden. U moet elke domeincontroller afzonderlijk autoriseren, wat tijdrovend kan zijn.
- 3-legged OAuth is gekoppeld aan één beheerdersaccount. Als het account wordt uitgeschakeld of verwijderd, werkt wachtwoordsynchronisatie niet.
- In tegenstelling tot serviceaccounts kan het gebruik in Google Cloud niet worden gemonitord.
- Je kunt Password Sync niet installeren en configureren via de commandoregel met 3-legged OAuth.
Google, Google Workspace en aanverwante merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waaraan ze zijn verbonden.