Перед установкой Password Sync необходимо выбрать способ аутентификации Google. Мы рекомендуем использовать служебную учетную запись для аутентификации. Если вы устанавливаете Password Sync из командной строки, необходимо использовать служебную учетную запись.
Для аутентификации также можно использовать трехэтапную аутентификацию OAuth, но только на серверах Microsoft Windows Server с поддержкой Desktop Experience. Если у вас более 5 контроллеров домена, необходимо авторизовать каждый контроллер домена отдельно, что может занять много времени. Вместо этого мы рекомендуем использовать учетную запись службы.
Вы на шаге 2 из 7.
Вариант 1: Использование служебной учетной записи для аутентификации.
Сервисный аккаунт принадлежит приложению, а не пользователю. Приложение отправляет запрос к API Google от имени сервисного аккаунта, поэтому пользователи не участвуют напрямую в процессе аутентификации.
Преимущества сервисного счета:
- Несколько администраторов домена могут управлять учетной записью службы и отслеживать ее состояние. Поэтому даже при смене администратора синхронизация паролей остается неизменной.
- На учетные записи служб не распространяется ограничение на количество токенов обновления , которое влияет на трехэтапную аутентификацию OAuth.
- Учетные данные служебной учетной записи загружаются в виде JSON-файла и могут использоваться на многих контроллерах домена. Вам не нужно повторять процесс авторизации для каждого контроллера домена.
- Для аутентификации служебных учетных записей веб-браузер не требуется. Синхронизацию паролей можно настроить при использовании Windows Server Core.
- Установить и настроить Password Sync можно с помощью командной строки.
Недостатки сервисного счета:
- Необходимо создать проект в Google Cloud, что усложняет настройку.
Вариант 2: Использование трехэтапной аутентификации OAuth для аутентификации.
При использовании трехэтапной аутентификации OAuth приложение отправляет запрос к API Google от имени пользователя. Однако, в отличие от служебной учетной записи, трехэтапная аутентификация OAuth обычно требует, чтобы каждый пользователь предоставил приложению разрешение на доступ к своим данным. Для синхронизации паролей администратор домена выполняет этот шаг от имени всех пользователей в процессе настройки. В свою очередь, для успешной синхронизации паролей всех пользователей в домене администратор домена должен авторизовать синхронизацию паролей на каждом контроллере домена.
Преимущества трехэтапной аутентификации OAuth:
- Использование трехэтапной аутентификации OAuth очень просто и требует всего одного шага настройки.
Недостатки трехэтапной аутентификации OAuth:
- Эта функция доступна только на Windows Server с поддержкой Desktop Experience, но не на Windows Server Core.
- В доменах с несколькими контроллерами домена может быть превышен лимит токенов . Необходимо авторизовать каждый контроллер домена отдельно, что может занять много времени.
- Трехэтапная аутентификация OAuth привязана к одной учетной записи администратора. Если учетная запись отключена или удалена, синхронизация паролей работать не будет.
- В отличие от служебных учетных записей, в Google Cloud невозможно отслеживать использование.
- Установить и настроить Password Sync с помощью командной строки при использовании трехэтапной аутентификации OAuth невозможно.
Google, Google Workspace, а также связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.