איך פועל סנכרון הסיסמאות?

אפשר להשתמש ב-Password Sync כדי לעדכן את הסיסמאות של המשתמשים ב-Google Workspace וב-Cloud Identity ישירות מ-Microsoft Active Directory.

סנכרון סיסמאות זמין לאדמינים של Google Workspace ו-Cloud Identity.

איך זה עובד

אחרי שמתקינים ומגדירים את סנכרון הסיסמאות, המערכת שולחת סיסמאות מעודכנות לחשבון Google בכל פעם שמשתמש ב-Active Directory משנה את הסיסמה שלו.

  1. כשמשנים את הסיסמה של משתמש, בקשת העדכון נשלחת לבקר דומיין (DC).
  2. ספריית הקישור הדינמי (DLL) של סנכרון הסיסמאות נקראת על ידי Microsoft Windows בבקר הדומיין עם הסיסמה ושם המשתמש החדשים.
  3. השירות מקבל את הסיסמה שעברה גיבוב ואת שם המשתמש מקובץ ה-DLL.
  4. השירות מקבל את כתובת האימייל של המשתמש מ-Active Directory באמצעות LDAP.
  5. השירות מעדכן את חשבון Google שלכם באמצעות Directory API. בנוסף, כדי שממשקי ה-API של Google Workspace יפעלו בצורה תקינה, צריך לפתוח כמה יציאות ולהוסיף כמה שמות מארחים לרשימת ההיתרים. מידע נוסף
  6. לאחר מכן המשתמש יכול להיכנס לחשבון Google שלו באמצעות הסיסמה של Active Directory.

פרטים טכניים

  • ב-Active Directory, הסיסמאות מאוחסנות כקריאה בלבד. אי אפשר לקרוא אותם דרך ממשק כלשהו, כמו LDAP. לכן, שיטות סנכרון רגילות (לדוגמה, Google Cloud Directory Sync) לא יכולות לגשת אליהם. הדרך היחידה לקרוא סיסמאות היא לתעד אותן כשהן מוגדרות או משתנות.
  • ל-Password Sync יש קובץ DLL בשם password_sync_dll.dll שמותקן כחבילת התראות של LSA. מידע נוסף על חבילות התראות של LSA זמין במאמר הזה של מיקרוסופט.
  • כשמתבצע שינוי סיסמה בבקר דומיין ספציפי, קובץ ה-DLL מקבל את הסיסמה המעודכנת ואת שם המשתמש של המשתמש. צריך להתקין את Password Sync בכל בקר תחום שאפשר לכתוב בו, כי Windows בבקר התחום שמקבל את שינוי הסיסמה מפעיל את סנכרון הסיסמה. הטריגר מופעל בכל עדכון סיסמה, בין אם הוא מתבצע על ידי אדמין או על ידי משתמש הקצה. מידע נוסף על פונקציית הקריאה החוזרת (callback) PasswordChangeNotify זמין במאמר הזה של מיקרוסופט.
  • כשקובץ ה-DLL מקבל את שם המשתמש והסיסמה, הוא מבצע גיבוב (hashing) של הסיסמה כ-SHA512 עם מלח ושולח אותה לשירות Password Sync.
  • לאחר מכן, שירות סנכרון הסיסמאות (password_sync_service.exe) מוצא את כתובת האימייל של המשתמש ב-Active Directory באמצעות LDAP על סמך שם המשתמש שנשלח על ידי ה-DLL. לאחר מכן, הוא מעדכן את חשבון Google באמצעות Directory API. כשמשנים סיסמאות באמצעות Directory API, חלק מטוקני OAuth של האפליקציות מבוטלים. יכול להיות שהמשתמשים יצטרכו להיכנס שוב לאפליקציות באמצעות שם המשתמש והסיסמה שלהם.
  • סנכרון הסיסמאות פועל בהתאם לשיקולים של מיקרוסופט לגבי תכנות של מסנני סיסמאות. פרטים נוספים זמינים במאמר הזה של מיקרוסופט.


Google,‏ Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.