2. בחירת שיטת אימות

לפני שמתקינים את Password Sync, צריך לבחור שיטת אימות של Google. מומלץ להשתמש בחשבון שירות לצורך אימות. אם מתקינים את Password Sync משורת הפקודה, צריך להשתמש בחשבון שירות.

אפשר גם להשתמש ב-OAuth עם 3 רגליים לאימות, אבל רק ב-Microsoft Windows Server עם Desktop Experience. אם יש לכם יותר מ-5 בקרי דומיינים, אתם צריכים לתת הרשאה לכל בקר דומיין בנפרד, וזה יכול לקחת זמן. במקום זאת, מומלץ להשתמש בחשבון שירות.

הגעת לשלב 2 מתוך 7

אפשרות 1: שימוש בחשבון שירות לצורך אימות

חשבון שירות שייך לאפליקציה ולא למשתמש. האפליקציה שולחת בקשה לממשקי Google API בשם חשבון השירות, כך שהמשתמשים לא מעורבים ישירות בתהליך האימות.

היתרונות של חשבון שירות:

  • כמה אדמינים של דומיין יכולים לנהל חשבון שירות ולעקוב אחריו. לכן, גם אם האדמין משתנה, Password Sync לא מושפע.
  • חשבונות שירות לא כפופים למגבלת הטוקנים לרענון שמשפיעה על OAuth תלת-רגלי.
  • פרטי הכניסה של חשבון השירות מורדים כקובץ JSON ואפשר להשתמש בהם בבקרי דומיין רבים. אין צורך לחזור על תהליך ההרשאה לכל בקר דומיין.
  • חשבונות שירות לא דורשים דפדפן אינטרנט לצורך אימות. אפשר להגדיר את Password Sync כשמשתמשים ב-Windows Server Core.
  • אפשר להתקין ולהגדיר את Password Sync באמצעות שורת הפקודה.

חסרונות של חשבון שירות:

  • צריך ליצור פרויקט ב-Google Cloud, מה שהופך את ההגדרה למורכבת יותר.

אפשרות 2: שימוש ב-OAuth תלת-רגלי לאימות

ב-OAuth עם 3 רגליים, האפליקציה שולחת בקשה לממשקי Google API בשם המשתמש. עם זאת, בניגוד לחשבון שירות, בדרך כלל נדרש מכל משתמש ב-OAuth תלת-רגלי לתת לאפליקציה הרשאה לגשת לנתונים שלו. ב-Password Sync, אדמין הדומיין מבצע את השלב הזה בשם כל המשתמשים במהלך תהליך ההגדרה. כדי ש-Password Sync יסנכרן בהצלחה את סיסמאות המשתמשים של כל המשתמשים בדומיין, מנהל הדומיין צריך לאשר את השימוש ב-Password Sync בכל בקר דומיין.

היתרונות של OAuth תלת-רגלי:

  • קל להשתמש ב-OAuth עם 3 רגליים, וצריך לבצע רק שלב הגדרה אחד.

חסרונות של OAuth תלת-רגלי:

  • הוא זמין רק ב-Windows Server עם Desktop Experience ולא ב-Windows Server Core.
  • בדומיינים עם כמה בקרי דומיין יכולה להיות חריגה ממגבלת האסימונים. צריך להעניק הרשאה לכל בקר דומיין בנפרד, וזה יכול לקחת זמן.
  • ‫OAuth עם 3 רגליים קשור לחשבון אדמין יחיד. אם החשבון מושבת או נמחק, סנכרון הסיסמאות לא יפעל.
  • בניגוד לחשבונות שירות, אי אפשר לעקוב אחרי השימוש ב-Google Cloud.
  • אי אפשר להתקין ולהגדיר את Password Sync באמצעות שורת הפקודה עם OAuth תלת-רגלי.


Google,‏ Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.