Password Sync ทำงานอย่างไร

คุณสามารถใช้ Password Sync เพื่ออัปเดตรหัสผ่าน Google Workspace และ Cloud Identity ของผู้ใช้ได้โดยตรงจาก Microsoft Active Directory

การซิงค์รหัสผ่านพร้อมให้บริการสำหรับผู้ดูแลระบบ Google Workspace และ Cloud Identity

วิธีการทำงาน

หลังจากติดตั้งและกำหนดค่า Password Sync แล้ว ระบบจะส่งรหัสผ่านที่อัปเดตไปยังบัญชี Google ของคุณทุกครั้งที่ผู้ใช้ Active Directory เปลี่ยนรหัสผ่านของตนเอง

  1. เมื่อรหัสผ่านของผู้ใช้มีการเปลี่ยนแปลง จะมีการส่งคำขออัปเดตไปยังตัวควบคุมโดเมน (DC)
  2. Microsoft Windows จะเรียกไลบรารีลิงก์แบบไดนามิก (DLL) ของการซิงค์รหัสผ่านใน DC นั้นด้วยรหัสผ่านและชื่อผู้ใช้ใหม่
  3. บริการจะได้รับรหัสผ่านที่แฮชและชื่อผู้ใช้จาก DLL นั้น
  4. บริการจะขออีเมลของผู้ใช้จาก Active Directory โดยใช้ LDAP
  5. บริการจะอัปเดตบัญชี Google ด้วย Directory API นอกจากนี้คุณต้องเปิดพอร์ตหลายๆ พอร์ตและเพิ่มชื่อโฮสต์ขึ้นมาส่วนหนึ่งในรายการที่อนุญาต เพื่อให้ Google Workspace API ทำงานได้อย่างถูกต้อง ดูข้อมูลเพิ่มเติม
  6. จากนั้นผู้ใช้จะลงชื่อเข้าใช้บัญชี Google ของตนได้ด้วยรหัสผ่าน Active Directory

รายละเอียดทางเทคนิค

  • ใน Active Directory ระบบจะเก็บรหัสผ่านเป็นแบบเขียนเท่านั้น และจะอ่านผ่านอินเทอร์เฟซอื่นๆ ไม่ได้ เช่น LDAP ดังนั้นวิธีการซิงค์ข้อมูลแบบดั้งเดิม (เช่น Google Cloud Directory Sync) จึงเข้าถึงรหัสผ่านไม่ได้ วิธีเดียวที่จะอ่านได้คือบันทึกไว้ในขณะที่ตั้งหรือเปลี่ยนรหัสผ่าน
  • Password Sync มี DLL ที่ชื่อ "password_sync_dll.dll" ติดตั้งเป็นแพ็กเกจการแจ้งเตือน LSA โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับแพ็กเกจการแจ้งเตือน LSA ในบทความนี้ของ Microsoft
  • เมื่อมีการเปลี่ยนรหัสผ่านใน DC ตัวหนึ่ง DLL จะได้รับรหัสผ่านที่อัปเดตพร้อมทั้งชื่อผู้ใช้ ต้องติดตั้ง Password Sync ใน DC ที่เขียนได้ทั้งหมด เนื่องจาก Windows ใน DC ที่รับการเปลี่ยนรหัสผ่านจะทริกเกอร์การซิงค์รหัสผ่าน การทริกเกอร์นี้จะเกิดขึ้นทุกครั้งที่มีการอัปเดตรหัสผ่าน ทั้งโดยผู้ดูแลระบบและผู้ใช้ปลายทาง โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับฟังก์ชัน Callback "PasswordChangeNotify" ในบทความนี้ของ Microsoft
  • เมื่อ DLL ได้รับชื่อผู้ใช้และรหัสผ่าน ก็จะแฮชรหัสผ่าน SHA512 แบบ Salt และส่งไปที่บริการ Password Sync
  • จากนั้นบริการการซิงค์รหัสผ่าน ("password_sync_service.exe") จะค้นหาอีเมลของผู้ใช้ใน Active Directory โดยใช้ LDAP ตามชื่อผู้ใช้ที่ส่งจาก DLL จากนั้นจะอัปเดตบัญชี Google โดยใช้ Directory API เมื่อมีการเปลี่ยนรหัสผ่านทาง Directory API ระบบจะเพิกถอนโทเค็น OAuth ของแอปพลิเคชันบางรายการ ผู้ใช้อาจต้องลงชื่อเข้าใช้อีกครั้งในแอปพลิเคชันด้วยชื่อผู้ใช้และรหัสผ่านของตนเอง
  • การซิงค์รหัสผ่านเป็นไปตามข้อพิจารณาในการเขียนโปรแกรมที่เกี่ยวข้องกับตัวกรองรหัสผ่านของ Microsoft ดูรายละเอียดได้ในบทความนี้ของ Microsoft


Google, Google Workspace รวมถึงเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของ บริษัทที่เกี่ยวข้อง