Password Sync を使用すると、ユーザーの Google Workspace と Cloud Identity のパスワードを Microsoft Active Directory から直接更新できます。
Password Sync は、Google Workspace と Cloud Identity の管理者にご利用いただけます。仕組み
Password Sync をインストールして設定すると、Active Directory ユーザーがパスワードを変更するたびに、更新後のパスワードが Google アカウントに送信されます。
- ユーザーのパスワードが変更されると、更新リクエストがドメイン コントローラ(DC)に送信されます。
- リクエストを受けた DC の Microsoft Windows が、新しいパスワードとユーザー名を使用して Password Sync のダイナミック リンク ライブラリ(DLL)を呼び出します。
- Password Sync サービスがハッシュされたパスワードとユーザー名を DLL から受け取ります。
- Password Sync サービスが LDAP を使用して Active Directory からユーザーのメールアドレスを取得します。
- このサービスが Directory API を使用して Google アカウントを更新します。また、Google Workspace API が正常に動作するためには、いくつかのポートを開き、許可リストにホスト名を追加する必要があります。詳細
- ユーザーが各自の Active Directory のパスワードを使用して Google アカウントにログインできるようになります。
技術的な詳細
- Active Directory では、パスワードは書き込み専用で保存され、LDAP を含めどのインターフェースでも読み取ることができません。そのため、従来の同期方式 (たとえば、Google Cloud Directory Sync)ではパスワードにアクセスできません。パスワードを読み取る唯一の方法は、パスワードの設定時または変更時にキャプチャすることです。
- Password Sync には、LSA 通知パッケージとしてインストールされる「password_sync_dll.dll」という DLL が含まれています。LSA 通知 パッケージについて詳しくは、Microsoft の記事をご覧ください。
- 特定の DC でパスワードが変更されると、DLL は更新されたパスワードとユーザーのユーザー名を受け取ります。パスワードの同期はパスワードの変更を受信した DC 上の Windows によってトリガーされるため、書き込み可能なすべての DC に Password Sync がインストールされている必要があります。トリガーは、管理者またはエンドユーザーがパスワードを更新するたびに発生します。 PasswordChangeNotify コールバック関数について詳しくは、 Microsoft の記事 をご覧ください。
- DLL はユーザー名とパスワードを受け取ると、ソルト付き SHA512 を使ってパスワードをハッシュして Password Sync サービスに送信します。
- Password Sync サービス(「password_sync_service.exe」)は DLL からユーザー名を受け取ると、そのユーザー名を基に、LDAP を使用して Active Directory でユーザーのメールアドレスを検索します。その後、Directory API を使って Google アカウントを更新します。Directory API によってパスワードが変更されると、一部のアプリケーションの OAuth トークンが取り消されるため、 ユーザーは各自のユーザー名とパスワードでアプリケーションに再ログインしなければならない場合があります。
- Password Sync は、Microsoft のパスワード フィルタ プログラミングの考慮事項を遵守しています。詳しくは、Microsoft の記事をご覧ください。
Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。