Prima di installare la sincronizzazione delle password, devi scegliere un metodo di autenticazione di Google. Consigliamo di utilizzare un service account per l'autenticazione. Se installi Sincronizzazione password dalla riga di comando, devi utilizzare un account di servizio.
Puoi anche utilizzare OAuth a tre vie per l'autenticazione, ma solo su Microsoft Windows Server con Esperienza desktop. Se hai più di cinque controller di dominio, devi autorizzarli separatamente, operazione che può richiedere molto tempo. Consigliamo di utilizzare un account di servizio.
Sei al passaggio 2 di 7
Opzione 1: utilizzare un service account per l'autenticazione
Un service account appartiene a un'applicazione anziché a un utente. L'applicazione invia una richiesta alle API Google per conto del service account, quindi gli utenti non sono direttamente coinvolti nel processo di autenticazione.
Vantaggi di un service account:
- Un service account può essere gestito e monitorato da più amministratori di dominio. Quindi, anche se un amministratore cambia, la sincronizzazione delle password non ne risente.
- Gli account di servizio non sono soggetti al limite di token di aggiornamento che interessa OAuth a tre vie.
- Le credenziali dell'account di servizio vengono scaricate come file JSON e possono essere utilizzate su molti controller di dominio. Non è necessario ripetere la procedura di autorizzazione per ogni controller di dominio.
- Gli account di servizio non richiedono un browser web per l'autenticazione. Puoi configurare la sincronizzazione delle password quando utilizzi Windows Server Core.
- Puoi installare e configurare Sincronizzazione password utilizzando la riga di comando.
Svantaggi di un service account:
- Devi creare un progetto in Google Cloud, il che rende più complessa la configurazione.
Opzione 2: utilizzare OAuth a tre vie per l'autenticazione
Con OAuth a tre vie, l'applicazione invia una richiesta alle API di Google per conto di un utente. Tuttavia, a differenza di un service account, OAuth a tre vie normalmente richiede che ogni utente conceda all'applicazione l'autorizzazione ad accedere ai propri dati. Per la sincronizzazione delle password, l'amministratore di dominio esegue questo passaggio per conto di tutti gli utenti durante la procedura di configurazione. Per fare in modo che Password Sync sincronizzi correttamente le password degli utenti per ogni utente di un dominio, l'amministratore del dominio deve autorizzare Password Sync per ogni controller di dominio.
Vantaggi di OAuth a tre vie:
- L'uso di OAuth a tre vie è semplice e richiede solo un passaggio per la configurazione.
Svantaggi di OAuth a tre vie:
- È disponibile solo su Windows Server con Esperienza desktop e non su Windows Server Core.
- I domini con più controller di dominio possono superare il limite di token. Devi autorizzare separatamente ciascun controller di dominio, operazione che può richiedere molto tempo.
- OAuth a tre vie è vincolato a un singolo account amministratore. Se l'account viene disattivato o eliminato, la sincronizzazione delle password non funzionerà.
- A differenza degli account di servizio, l'utilizzo non può essere monitorato in Google Cloud.
- Non è possibile installare e configurare Sincronizzazione password utilizzando la riga di comando con OAuth a tre vie.
Google, Google Workspace e i marchi e loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle società a cui sono associati.