איך פועל סנכרון הסיסמאות?

אפשר להשתמש ב-Password Sync כדי לעדכן את הסיסמאות של המשתמשים ב-Google Workspace וב-Cloud Identity ישירות מ-Microsoft Active Directory.

אדמינים של Google Workspace ו-Cloud Identity יכולים להשתמש בסנכרון סיסמאות.

איך זה עובד

אחרי שמתקינים ומגדירים את Password Sync, הוא שולח סיסמאות מעודכנות לחשבון Google בכל פעם שמשתמש ב-Active Directory משנה את הסיסמה שלו.

  1. כשמשנים את הסיסמה של משתמש, בקשת העדכון נשלחת לפקד דומיין (DC).
  2. ספריית הקישור הדינמי (DLL) של סנכרון הסיסמאות נקראת על ידי Microsoft Windows בבקר הדומיין עם הסיסמה ושם המשתמש החדשים.
  3. השירות מקבל את הסיסמה שעברה גיבוב ואת שם המשתמש מה-DLL.
  4. השירות מקבל את כתובת האימייל של המשתמש מ-Active Directory באמצעות LDAP.
  5. השירות מעדכן את חשבון Google באמצעות Directory API. בנוסף, כדי שממשקי ה-API של Google Workspace יפעלו בצורה תקינה, צריך לפתוח כמה יציאות ולהוסיף כמה שמות מארחים לרשימת ההיתרים. מידע נוסף
  6. לאחר מכן המשתמש יכול להיכנס לחשבון Google שלו באמצעות הסיסמה של Active Directory.

פרטים טכניים

  • ב-Active Directory, הסיסמאות מאוחסנות כקריאה בלבד. אי אפשר לקרוא אותם דרך ממשק כלשהו, כמו LDAP. לכן, שיטות סנכרון רגילות (לדוגמה, Google Cloud Directory Sync) לא יכולות לגשת אליהם. הדרך היחידה לקרוא סיסמאות היא לתעד אותן כשהן מוגדרות או משתנות.
  • ל-Password Sync יש קובץ DLL בשם password_sync_dll.dll שמותקן כחבילת התראות של LSA. מידע נוסף על חבילות התראות של LSA זמין במאמר הזה של מיקרוסופט.
  • כשמתבצע שינוי סיסמה בבקר דומיין ספציפי, קובץ ה-DLL מקבל את הסיסמה המעודכנת ואת שם המשתמש. צריך להתקין את Password Sync בכל בקר דומיין שאפשר לכתוב בו, כי Windows בבקר הדומיין שמקבל את שינוי הסיסמה מפעיל את סנכרון הסיסמה. הטריגר מופעל בכל עדכון של סיסמה, בין אם העדכון נעשה על ידי אדמין או על ידי משתמש הקצה. מידע נוסף על פונקציית הקריאה החוזרת (callback) PasswordChangeNotify זמין במאמר הזה של מיקרוסופט.
  • כשקובץ ה-DLL מקבל את שם המשתמש והסיסמה, הוא מבצע גיבוב של הסיסמה כ-SHA512 עם ערך אקראי, ושולח אותה לשירות Password Sync.
  • לאחר מכן, שירות סנכרון הסיסמאות (password_sync_service.exe) מוצא את כתובת האימייל של המשתמש ב-Active Directory באמצעות LDAP על סמך שם המשתמש שנשלח על ידי ה-DLL. לאחר מכן, הוא מעדכן את חשבון Google באמצעות Directory API. כשמשנים סיסמאות דרך Directory API, חלק מהטוקנים של OAuth באפליקציות מבוטלים. יכול להיות שהמשתמשים יצטרכו להיכנס שוב לאפליקציות עם שם המשתמש והסיסמה שלהם.
  • סנכרון הסיסמאות פועל לפי השיקולים של מיקרוסופט בנוגע לתכנות של מסנני סיסמאות. פרטים נוספים זמינים במאמר הזה של מיקרוסופט.


Google,‏ Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.