איך פועל סנכרון הסיסמאות?

אפשר להשתמש ב-סנכרון סיסמאות כדי לעדכן את הסיסמאות של המשתמשים ב-Google Workspace וב-Cloud Identity ישירות מ-Microsoft Active Directory.

סנכרון סיסמאות זמין לאדמינים של Google Workspace ו-Cloud Identity.

איך זה עובד

אחרי שמתקינים ומגדירים את סנכרון סיסמאות, הוא שולח סיסמאות מעודכנות לחשבון Google בכל פעם שמשתמש ב-Active Directory משנה את הסיסמה שלו.

  1. כשמשנים סיסמה של משתמש, בקשת העדכון נשלחת לפקד דומיין (DC).
  2. ספריית הקישור הדינמי (DLL) של סנכרון הסיסמאות מופעלת על ידי Microsoft Windows בבקר התחום עם הסיסמה ושם המשתמש החדשים.
  3. השירות מקבל את הסיסמה שעברה גיבוב ואת שם המשתמש מה-DLL.
  4. השירות מקבל את כתובת האימייל של המשתמש מ-Active Directory באמצעות LDAP.
  5. השירות מעדכן את חשבון Google באמצעות Directory API. בנוסף, כדי שממשקי API של Google Workspace יפעלו בצורה תקינה, צריך לפתוח כמה יציאות ולהוסיף כמה שמות מארחים לרשימת ההיתרים. מידע נוסף
  6. לאחר מכן המשתמש יכול להיכנס לחשבון Google שלו באמצעות הסיסמה של Active Directory.

פרטים טכניים

  • ב-Active Directory, הסיסמאות מאוחסנות כקריאה בלבד. אי אפשר לקרוא אותם דרך ממשק כלשהו, כמו LDAP. לכן, שיטות סנכרון רגילות (לדוגמה, Google Cloud Directory Sync) לא יכולות לגשת אליהם. הדרך היחידה לקרוא סיסמאות היא לתעד אותן כשהן מוגדרות או משתנות.
  • בסנכרון סיסמאות מותקן קובץ DLL בשם password_sync_dll.dll כחבילת התראות של LSA. למידע נוסף על חבילות התראות של LSA, אפשר לעיין במאמר הזה של מיקרוסופט.
  • כשמתבצע שינוי סיסמה בבקר דומיין ספציפי, ה-DLL מקבל את הסיסמה המעודכנת ואת שם המשתמש. צריך להתקין את Password Sync בכל בקר דומיין שאפשר לכתוב בו, כי Windows בבקר הדומיין שמקבל את שינוי הסיסמה מפעיל את סנכרון הסיסמה. הטריגר מופעל בכל עדכון של סיסמה, בין אם העדכון נעשה על ידי אדמין או על ידי משתמש הקצה. מידע נוסף על פונקציית הקריאה החוזרת (callback) PasswordChangeNotify זמין במאמר הזה של מיקרוסופט.
  • כשקובץ ה-DLL מקבל את שם המשתמש והסיסמה, הוא מבצע גיבוב של הסיסמה כ-SHA512 עם מלח, ושולח אותה לשירות סנכרון סיסמאות.
  • שירות סנכרון הסיסמאות (password_sync_service.exe) מוצא את כתובת האימייל של המשתמש ב-Active Directory באמצעות LDAP על סמך שם המשתמש שנשלח על ידי ה-DLL. לאחר מכן, הוא מעדכן את חשבון Google באמצעות Directory API. כשמשנים סיסמאות דרך Directory API, חלק מהטוקנים של OAuth באפליקציות מבוטלים. יכול להיות שהמשתמשים יצטרכו להיכנס שוב לאפליקציות עם שם המשתמש והסיסמה שלהם.
  • סנכרון הסיסמאות פועל לפי השיקולים של מיקרוסופט בנוגע לתכנות של מסנני סיסמאות. פרטים נוספים זמינים במאמר הזה של מיקרוסופט.


Google‏, Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.