Zanim zainstalujesz Password Sync, musisz wybrać metodę uwierzytelniania Google. Zalecamy uwierzytelnianie przy użyciu konta usługi. Jeśli instalujesz Password Sync z poziomu wiersza poleceń, musisz użyć konta usługi.
Trzyetapowej autoryzacji OAuth można używać do uwierzytelniania tylko w systemie Microsoft Windows Server z funkcją Desktop Experience. Jeśli masz więcej niż 5 kontrolerów domeny, każdy z nich trzeba autoryzować oddzielnie, co może być czasochłonne. Zamiast tego zalecamy używanie konta usługi.
Krok 2 z 7
Opcja 1. Uwierzytelnianie przy użyciu konta usługi
Konto usługi należy do aplikacji, a nie użytkownika. Aplikacja wysyła żądanie do interfejsów API Google w imieniu konta usługi, więc użytkownicy nie biorą bezpośrednio udziału w procesie uwierzytelniania.
Zalety konta usługi
- Wielu administratorów domeny może zarządzać kontem usługi i monitorować je. Dzięki temu zmiana administratora nie ma wpływu na działanie synchronizacji haseł.
- Limit tokenów odświeżania stosowany w trzyetapowej autoryzacji OAuth nie dotyczy kont usługi.
- Dane logowania do konta usługi pobiera się w pliku JSON i można ich używać w wielu kontrolerach domeny. Nie musisz powtarzać procesu autoryzacji w każdym kontrolerze domeny.
- Do uwierzytelnienia przy użyciu konta usługi nie jest wymagana przeglądarka internetowa. Możesz skonfigurować Password Sync w systemie Windows Server Core.
- Możesz zainstalować i skonfigurować Password Sync przy użyciu wiersza poleceń.
Wady konta usługi
- Musisz utworzyć projekt w Google Cloud, co komplikuje konfigurację.
Opcja 2. Uwierzytelnianie przy użyciu trzyetapowej autoryzacji OAuth
W przypadku trzyetapowej autoryzacji OAuth aplikacja wysyła żądanie do interfejsów API Google w imieniu użytkownika. W przeciwieństwie do konta usługi trzyetapowa autoryzacja OAuth wymaga jednak, aby każdy użytkownik przyznał aplikacji uprawnienia dostępu do danych. W przypadku Password Sync administrator domeny wykonuje tę czynność w imieniu wszystkich użytkowników podczas konfiguracji. Aby umożliwić Password Sync synchronizowanie haseł wszystkich użytkowników w domenie, administrator domeny musi autoryzować Password Sync w każdym kontrolerze domeny.
Zalety trzyetapowej autoryzacji OAuth
- Korzystanie z trzyetapowej autoryzacji OAuth jest łatwe i wymaga tylko jednego kroku konfiguracji.
Wady trzyetapowej autoryzacji OAuth
- Ta opcja jest dostępna tylko w systemie Windows Server z funkcją Desktop Experience, nie w systemie Windows Server Core.
- W domenach z kilkoma kontrolerami domeny limit tokenów może zostać przekroczony. Każdy kontroler domeny trzeba autoryzować oddzielnie, co może być czasochłonne.
- Trzyetapowa autoryzacja OAuth jest powiązana z jednym kontem administratora. Jeśli konto zostanie wyłączone lub usunięte, synchronizacja haseł nie będzie działać.
- W przeciwieństwie do kont usługi nie można monitorować użycia w Google Cloud.
- Korzystając z trzyetapowej autoryzacji OAuth, nie można zainstalować ani skonfigurować Password Sync z poziomu wiersza polecenia.
Google, Google Workspace oraz powiązane znaki i logotypy są znakami towarowymi firmy Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi należącymi do ich właścicieli.