Puedes usar la Sincronización de contraseñas para actualizar las contraseñas de tus usuarios de Google Workspace y Cloud Identity directamente desde Microsoft Active Directory.
La Sincronización de contraseñas está disponible para los administradores de Google Workspace y Cloud Identity.Cómo funciona
Después de instalar y configurar la Sincronización de contraseñas, esta envía contraseñas actualizadas a tu Cuenta de Google cada vez que un usuario de Active Directory cambia su contraseña.
- Cuando se cambia la contraseña de un usuario, la solicitud de actualización se envía a un controlador de dominio (DC).
- Microsoft Windows llama a la biblioteca de vínculos dinámicos (DLL) de Password Sync en ese DC con la nueva contraseña y el nombre de usuario.
- El servicio recibe la contraseña hash y el nombre de usuario de la DLL.
- El servicio obtiene la dirección de correo electrónico del usuario de Active Directory a través de LDAP.
- El servicio actualiza tu Cuenta de Google con la API de Directory. Además, para que las APIs de Google Workspace funcionen correctamente, debes abrir varios puertos y agregar algunos nombres de host a tu lista de entidades permitidas. Más información
- Luego, el usuario puede acceder a su Cuenta de Google con su contraseña de Active Directory.
Detalles técnicos
- En Active Directory, las contraseñas se almacenan como de solo escritura. No se pueden leer con ninguna interfaz, como LDAP. Por lo tanto, los métodos de sincronización convencionales (por ejemplo, Google Cloud Directory Sync) no pueden acceder a ellas. La única manera de leer las contraseñas es capturarlas cuando se establecen o cambian.
- La Sincronización de contraseñas tiene un archivo DLL llamado "password_sync_dll.dll" instalado como paquete de notificaciones de LSA. Para obtener más información sobre los paquetes de notificación de LSA, consulta este artículo de Microsoft.
- Cuando se cambia una contraseña en un DC específico, la DLL recibe la contraseña actualizada y el nombre de usuario del usuario. La Sincronización de contraseñas debe instalarse en cada DC que admita escritura, ya que Windows en el DC que recibe el cambio de contraseña activa la sincronización de contraseñas. El activador ocurre en cada actualización de la contraseña, ya sea que la haga un administrador o un usuario final. Para obtener más información sobre la función de devolución de llamada PasswordChangeNotify, consulta este artículo de Microsoft.
- Cuando la DLL recibe el nombre de usuario y la contraseña, genera un hash de la contraseña como SHA512 con sal y lo envía al servicio de Sincronización de contraseñas.
- Luego, el servicio de Password Sync ("password_sync_service.exe") busca la dirección de correo electrónico del usuario en Active Directory con LDAP según el nombre de usuario que envió la DLL. Luego, actualiza la Cuenta de Google con la API de Directory. Cuando se cambian las contraseñas a través de la API de Directory, se revocan algunos tokens de OAuth de la aplicación. Es posible que los usuarios deban volver a acceder a las aplicaciones con su nombre de usuario y contraseña.
- La Sincronización de contraseñas sigue las consideraciones de programación del filtro de contraseñas de Microsoft. Para obtener más detalles, consulta este artículo de Microsoft.
Google, Google Workspace y las marcas y los logotipos relacionados son marcas comerciales de Google LLC. Todos los demás nombres de productos y empresas son marcas comerciales de las empresas con las que se encuentran asociados.