Password Sync ทำงานอย่างไร

คุณสามารถใช้การซิงค์รหัสผ่านเพื่ออัปเดตรหัสผ่าน Google Workspace และ Cloud Identity ของผู้ใช้ได้โดยตรงจาก Microsoft Active Directory

การซิงค์รหัสผ่านพร้อมให้บริการสำหรับผู้ดูแลระบบ Google Workspace และ Cloud Identity

วิธีการทำงาน

หลังจากติดตั้งและกำหนดค่า Password Sync แล้ว ระบบจะส่งรหัสผ่านที่อัปเดต ไปยังบัญชี Google ของคุณทุกครั้งที่ผู้ใช้ Active Directory เปลี่ยน รหัสผ่านของตนเอง

  1. เมื่อรหัสผ่านของผู้ใช้มีการเปลี่ยนแปลง จะมีการส่งคำขออัปเดตไปยังตัวควบคุมโดเมน (DC)
  2. Microsoft Windows จะเรียกไลบรารีลิงก์แบบไดนามิก (DLL) ของการซิงค์รหัสผ่านใน DC นั้นด้วยรหัสผ่านและชื่อผู้ใช้ใหม่
  3. บริการจะได้รับรหัสผ่านที่แฮชและชื่อผู้ใช้จาก DLL นั้น
  4. บริการจะขออีเมลของผู้ใช้จาก Active Directory โดยใช้ LDAP
  5. บริการจะอัปเดตบัญชี Google ด้วย Directory API นอกจากนี้คุณต้องเปิดพอร์ตหลายๆ พอร์ตและเพิ่มชื่อโฮสต์ขึ้นมาส่วนหนึ่งในรายการที่อนุญาต เพื่อให้ Google Workspace API ทำงานได้อย่างถูกต้อง ดูข้อมูล เพิ่มเติม
  6. จากนั้นผู้ใช้จะลงชื่อเข้าใช้บัญชี Google ของตนได้ด้วยรหัสผ่าน Active Directory

รายละเอียดทางเทคนิค

  • ใน Active Directory ระบบจะเก็บรหัสผ่านเป็นแบบเขียนเท่านั้น และจะอ่านผ่านอินเทอร์เฟซอื่นๆ ไม่ได้ เช่น LDAP ดังนั้นวิธีการซิงค์ข้อมูลแบบดั้งเดิม (เช่น Google Cloud Directory Sync) จึงเข้าถึงรหัสผ่านไม่ได้ วิธีเดียวที่จะอ่านได้คือบันทึกไว้ในขณะที่ตั้งหรือเปลี่ยนรหัสผ่าน
  • Password Sync มี DLL ที่ชื่อ "password_sync_dll.dll" ติดตั้ง เป็นแพ็กเกจการแจ้งเตือน LSA โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับแพ็กเกจการแจ้งเตือน LSA ในบทความนี้ของ Microsoft
  • เมื่อมีการเปลี่ยนรหัสผ่านใน DC ตัวหนึ่ง DLL จะได้รับรหัสผ่านที่อัปเดตพร้อมทั้งชื่อผู้ใช้ ต้องติดตั้ง Password Sync ใน DC ที่เขียนได้ทั้งหมด เนื่องจาก Windows ใน DC ที่รับการเปลี่ยนรหัสผ่านจะทริกเกอร์การซิงค์รหัสผ่าน การทริกเกอร์นี้จะเกิดขึ้นทุกครั้งที่มีการอัปเดตรหัสผ่าน ทั้งโดยผู้ดูแลระบบและผู้ใช้ปลายทาง โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับฟังก์ชัน Callback "PasswordChangeNotify" ในบทความนี้ของ Microsoft
  • เมื่อ DLL ได้รับชื่อผู้ใช้และรหัสผ่าน ก็จะแฮชรหัสผ่าน SHA512 แบบ Salt และส่งไปที่บริการการซิงค์รหัสผ่าน
  • จากนั้นบริการการซิงค์รหัสผ่าน ("password_sync_service.exe") จะค้นหาอีเมลของผู้ใช้ใน Active Directory โดยใช้ LDAP ตามชื่อผู้ใช้ที่ส่งจาก DLL จากนั้นจะอัปเดตบัญชี Google โดยใช้ Directory API เมื่อมีการเปลี่ยนรหัสผ่านผ่าน Directory API ระบบจะเพิกถอนโทเค็น OAuth ของแอปพลิเคชันบางรายการ ผู้ใช้อาจต้องลงชื่อเข้าใช้ อีกครั้งในแอปพลิเคชันด้วยชื่อผู้ใช้และรหัสผ่านของตนเอง
  • Password Sync เป็นไปตามข้อพิจารณาในการเขียนโปรแกรมที่เกี่ยวข้องกับตัวกรองรหัสผ่านของ Microsoft ดูรายละเอียดได้ในบทความนี้ของ Microsoft


Google, Google Workspace รวมถึงเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของ บริษัทที่เกี่ยวข้อง