La Sincronización de contraseñas se puede usar para actualizar las contraseñas de los usuarios de Google Workspace y Cloud Identity directamente desde Microsoft Active Directory.
La Sincronización de contraseñas está disponible para los administradores de Google Workspace y Cloud Identity.Cómo funciona
Después de instalar y configurar la Sincronización de contraseñas, se envían las contraseñas actualizadas a tu Cuenta de Google cada vez que un usuario de Active Directory cambia su contraseña.
- Cuando se cambia la contraseña de un usuario, la solicitud de actualización se envía a un controlador de dominio (DC).
- Microsoft Windows llama a la biblioteca de vínculos dinámicos (DLL) de la Sincronización de contraseñas en ese DC con la contraseña y el nombre de usuario nuevos.
- El servicio recibe la contraseña hash y el nombre de usuario de la DLL.
- El servicio obtiene la dirección de correo electrónico del usuario de Active Directory con LDAP.
- El servicio actualiza tu Cuenta de Google con la API de Directory. Además, para que las APIs de Google Workspace funcionen correctamente, debes abrir varios puertos y agregar algunos nombres de host a tu lista de entidades permitidas. Más información
- Luego, el usuario puede acceder a su Cuenta de Google con su contraseña de Active Directory.
Detalles técnicos
- En Active Directory, las contraseñas se almacenan como de solo escritura. No se pueden leer con ninguna interfaz, como LDAP. Por lo tanto, los métodos de sincronización convencionales (por ejemplo, Google Cloud Directory Sync) no pueden acceder a ellas. La única forma de leer las contraseñas es capturarlas cuando se configuran o cambian.
- La Sincronización de contraseñas tiene una DLL llamada "password_sync_dll.dll" instalada como paquete de notificaciones de LSA. Para obtener más información sobre los paquetes de notificaciones de LSA, consulta este artículo de Microsoft.
- Cuando se produce un cambio de contraseña en un DC específico, la DLL recibe la contraseña actualizada y el nombre de usuario del usuario. La Sincronización de contraseñas debe instalarse en cada DC que admita escritura, ya que Windows en el DC que recibe el cambio de contraseña activa la sincronización de contraseñas. El activador se produce en cada actualización de contraseña, ya sea que la realice un administrador o el usuario final. Para obtener más información sobre la función de devolución de llamada PasswordChangeNotification, consulta este artículo de Microsoft.
- Cuando la DLL recibe el nombre de usuario y la contraseña, la codifica como SHA512 con sal y la envía al servicio de Sincronización de contraseñas.
- Luego, el servicio de Sincronización de contraseñas ("password_sync_service.exe") busca la dirección de correo electrónico del usuario en Active Directory con LDAP según el nombre de usuario que envió la DLL. Luego, actualiza la Cuenta de Google con la API de Directory. Cuando se cambian las contraseñas a través de la API de Directory, se revocan algunos tokens de OAuth de la aplicación. Es posible que los usuarios deban volver a acceder a las aplicaciones con su nombre de usuario y contraseña.
- La Sincronización de contraseñas sigue las consideraciones de programación del filtro de contraseñas de Microsoft. Para obtener más detalles, consulta este artículo de Microsoft.
Google, Google Workspace y las marcas y los logotipos relacionados son marcas comerciales de Google LLC. Todos los demás nombres de productos y empresas son marcas comerciales de las empresas con las que se encuentran asociados.