Bạn có thể dùng tính năng Đồng bộ hoá mật khẩu để cập nhật mật khẩu Google Workspace và Cloud Identity của người dùng trực tiếp từ Microsoft Active Directory.
Quản trị viên Google Workspace và Cloud Identity có thể sử dụng tính năng Đồng bộ hoá mật khẩu.Cách hoạt động
Sau khi được cài đặt và định cấu hình, tính năng Đồng bộ hoá mật khẩu sẽ gửi mật khẩu đã cập nhật đến Tài khoản Google của bạn mỗi khi người dùng Active Directory thay đổi mật khẩu.
- Khi mật khẩu của người dùng được thay đổi, yêu cầu cập nhật sẽ được gửi đến bộ điều khiển miền (DC).
- Microsoft Windows sẽ gọi Thư viện liên kết động (DLL) của tính năng Đồng bộ hoá mật khẩu trên DC đó bằng mật khẩu và tên người dùng mới.
- Dịch vụ này nhận mật khẩu đã băm và tên người dùng từ DLL.
- Dịch vụ này lấy địa chỉ email của người dùng từ Active Directory bằng LDAP.
- Dịch vụ này cập nhật Tài khoản Google của bạn bằng API Thư mục. Ngoài ra, để các API Google Workspace hoạt động đúng cách, bạn cần mở một số cổng và thêm một số tên máy chủ vào danh sách cho phép. Tìm hiểu thêm
- Sau đó, người dùng có thể đăng nhập vào Tài khoản Google của họ bằng mật khẩu Active Directory.
Các chi tiết kỹ thuật
- Trong Active Directory, mật khẩu được lưu trữ ở dạng chỉ ghi. Bạn không thể đọc mật khẩu thông qua bất kỳ giao diện nào, chẳng hạn như Giao thức truy cập thư mục hạng nhẹ (LDAP). Do đó, các phương thức đồng bộ hoá thông thường (ví dụ: Google Cloud Directory Sync) không thể truy cập vào mật khẩu. Cách duy nhất để đọc mật khẩu là ghi lại mật khẩu khi mật khẩu được đặt hoặc thay đổi.
- Tính năng Đồng bộ hoá mật khẩu có một DLL có tên là "password_sync_dll.dll" được cài đặt dưới dạng Gói thông báo LSA. Để biết thêm thông tin về Gói thông báo LSA, hãy tham khảo bài viết này của Microsoft.
- Khi mật khẩu thay đổi trên một DC cụ thể, DLL sẽ nhận được mật khẩu đã cập nhật và tên người dùng của người dùng. Bạn phải cài đặt tính năng Đồng bộ hoá mật khẩu trên mọi DC có thể ghi vì Windows trên DC nhận được thay đổi mật khẩu sẽ kích hoạt quá trình đồng bộ hoá mật khẩu. Trình kích hoạt sẽ xuất hiện trên mọi bản cập nhật mật khẩu, cho dù quản trị viên hay người dùng cuối thực hiện. Để biết thêm thông tin về hàm callback PasswordChangeNotify, hãy tham khảo bài viết Microsoft này.
- Khi nhận được tên người dùng và mật khẩu, DLL sẽ băm mật khẩu dưới dạng SHA512 có muối và gửi mật khẩu đó đến dịch vụ Đồng bộ hoá mật khẩu.
- Sau đó, dịch vụ Đồng bộ hoá mật khẩu ("password_sync_service.exe") sẽ tìm địa chỉ email của người dùng trong Active Directory bằng LDAP dựa trên tên người dùng do DLL gửi. Sau đó, dịch vụ này sẽ cập nhật Tài khoản Google bằng API Thư mục. Khi mật khẩu được thay đổi thông qua API Thư mục, một số mã thông báo OAuth của ứng dụng sẽ bị thu hồi. Người dùng có thể phải đăng nhập lại vào các ứng dụng bằng tên người dùng và mật khẩu của họ.
- Tính năng Đồng bộ hoá mật khẩu tuân theo các điểm cần cân nhắc về lập trình bộ lọc mật khẩu của Microsoft. Để biết thông tin chi tiết, hãy tham khảo bài viết này của Microsoft article.
Google, Google Workspace và những nhãn hiệu cũng như biểu tượng có liên quan là nhãn hiệu của Google LLC. Tất cả các tên sản phẩm và công ty khác là nhãn hiệu của những công ty mà chúng liên kết.