Prima di installare Sincronizzazione password, devi scegliere un metodo di autenticazione di Google. Consigliamo di utilizzare un account di servizio per l'autenticazione. Se installi Sincronizzazione password dalla riga di comando, devi utilizzare un account di servizio.
Puoi anche utilizzare OAuth a tre vie per l'autenticazione, ma solo su Microsoft Windows Server con Esperienza desktop. Se hai più di cinque controller di dominio, devi autorizzarli separatamente, operazione che può richiedere molto tempo. È consigliabile utilizzare un account di servizio.
Passaggio 2 di 7
Opzione 1: utilizzare un account di servizio per l'autenticazione
Un account di servizio appartiene a un'applicazione anziché a un utente. L'applicazione invia una richiesta alle API di Google per conto del service account, quindi gli utenti non sono direttamente coinvolti nel processo di autenticazione.
Vantaggi di un account di servizio:
- Più amministratori di dominio possono gestire e monitorare un account di servizio. Quindi, anche se un amministratore cambia, Sincronizzazione password non ne risente.
- Gli account di servizio non sono soggetti al limite di token di aggiornamento che interessa OAuth a tre vie.
- Le credenziali dell'account di servizio vengono scaricate come file JSON e possono essere utilizzate su molti controller di dominio. Non devi ripetere la procedura di autorizzazione per ogni controller di dominio.
- Gli account di servizio non richiedono un browser web per l'autenticazione. Puoi configurare Sincronizzazione password quando utilizzi Windows Server Core.
- Puoi installare e configurare Sincronizzazione password utilizzando la riga di comando.
Svantaggi di un account di servizio:
- Devi creare un progetto in Google Cloud, il che rende più complessa la configurazione.
Opzione 2: utilizzare OAuth a tre vie per l'autenticazione
Con OAuth a tre vie, l'applicazione invia una richiesta alle API di Google per conto di un utente. Tuttavia, a differenza di un account di servizio, OAuth a tre vie normalmente richiede che ogni utente conceda all'applicazione l'autorizzazione ad accedere ai propri dati. Per Sincronizzazione password, l'amministratore di dominio esegue questo passaggio per conto di tutti gli utenti durante la procedura di configurazione. Per fare in modo che Sincronizzazione password sincronizzi correttamente le password degli utenti per ogni utente di un dominio, l'amministratore del dominio deve autorizzare Sincronizzazione password per ogni controller di dominio.
Vantaggi di OAuth a tre vie:
- L'uso di OAuth a tre vie è semplice e richiede solo un passaggio per la configurazione.
Svantaggi di OAuth a tre vie:
- È disponibile solo su Windows Server con Esperienza desktop e non su Windows Server Core.
- I domini con più controller di dominio possono superare il limite di token. Devi autorizzare separatamente ciascun controller di dominio, operazione che può richiedere molto tempo.
- OAuth a tre vie è vincolato a un singolo account amministratore. Se l'account viene disattivato o eliminato, Sincronizzazione password non funzionerà.
- A differenza degli account di servizio, l'utilizzo non può essere monitorato in Google Cloud.
- Con OAuth a tre vie non è possibile installare e configurare Sincronizzazione password utilizzando la riga di comando.
Google, Google Workspace e i marchi e i loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle società a cui sono associati.