Tính năng Đồng bộ hoá mật khẩu hoạt động như thế nào?

Bạn có thể dùng công cụ Đồng bộ hoá mật khẩu để cập nhật mật khẩu Google Workspace và Cloud Identity của người dùng ngay trong Microsoft Active Directory.

Tính năng Đồng bộ hoá mật khẩu được cung cấp cho quản trị viên Google Workspace và Cloud Identity.

Cách hoạt động

Sau khi được cài đặt và định cấu hình, tính năng Đồng bộ hoá mật khẩu sẽ gửi mật khẩu mới cập nhật đến Tài khoản Google của bạn mỗi khi người dùng Active Directory thay đổi mật khẩu.

  1. Khi mật khẩu của người dùng thay đổi, yêu cầu cập nhật sẽ được gửi đến một bộ điều khiển miền (DC).
  2. Microsoft Windows sẽ gọi Thư viện liên kết động (DLL) của tính năng Đồng bộ hoá mật khẩu trên DC đó bằng mật khẩu và tên người dùng mới.
  3. Dịch vụ này nhận được mật khẩu đã băm và tên người dùng từ DLL.
  4. Dịch vụ này lấy địa chỉ email của người dùng từ Active Directory bằng LDAP.
  5. Dịch vụ này cập nhật Tài khoản Google của bạn bằng Directory API. Ngoài ra, để các API Google Workspace hoạt động đúng cách, bạn cần mở một số cổng và thêm một số tên máy chủ vào danh sách cho phép. Tìm hiểu thêm
  6. Sau đó, người dùng có thể đăng nhập vào Tài khoản Google bằng mật khẩu Active Directory.

Chi tiết kỹ thuật

  • Trong Active Directory, mật khẩu được lưu trữ dưới dạng chỉ ghi. Bạn không thể đọc các khoá này thông qua bất kỳ giao diện nào, chẳng hạn như LDAP. Do đó, các phương thức đồng bộ hoá thông thường (ví dụ: Google Cloud Directory Sync) không thể truy cập vào các nhóm này. Cách duy nhất để đọc mật khẩu là ghi lại mật khẩu khi mật khẩu được đặt hoặc thay đổi.
  • Tính năng Đồng bộ hoá mật khẩu có một DLL tên là "password_sync_dll.dll" được cài đặt dưới dạng Gói thông báo LSA. Để biết thêm thông tin về Gói thông báo LSA, hãy tham khảo bài viết này của Microsoft.
  • Khi mật khẩu thay đổi trên một DC cụ thể, DLL sẽ nhận được mật khẩu đã cập nhật và tên người dùng của người dùng. Bạn phải cài đặt tính năng Đồng bộ hoá mật khẩu trên mọi DC có thể ghi vì Windows trên DC nhận được yêu cầu thay đổi mật khẩu sẽ kích hoạt tính năng đồng bộ hoá mật khẩu. Điều kiện kích hoạt xảy ra mỗi khi mật khẩu được cập nhật, cho dù là do quản trị viên hay người dùng cuối thực hiện. Để biết thêm thông tin về hàm gọi lại PasswordChangeNotify, hãy tham khảo bài viết này của Microsoft.
  • Khi nhận được tên người dùng và mật khẩu, DLL sẽ băm mật khẩu dưới dạng SHA512 có muối và gửi đến dịch vụ Đồng bộ hoá mật khẩu.
  • Sau đó, dịch vụ Đồng bộ hoá mật khẩu ("password_sync_service.exe") sẽ tìm địa chỉ email của người dùng trong Active Directory bằng LDAP dựa trên tên người dùng do DLL gửi. Sau đó, ứng dụng sẽ cập nhật Tài khoản Google bằng Directory API. Khi mật khẩu được thay đổi thông qua Directory API, một số mã thông báo OAuth của ứng dụng sẽ bị thu hồi. Người dùng có thể phải đăng nhập lại vào các ứng dụng bằng tên người dùng và mật khẩu của họ.
  • Tính năng Đồng bộ hoá mật khẩu tuân theo các điểm cần cân nhắc về lập trình bộ lọc mật khẩu của Microsoft. Để biết thông tin chi tiết, hãy tham khảo bài viết này của Microsoft.


Google, Google Workspace cũng như các nhãn hiệu và biểu trưng có liên quan là các nhãn hiệu của Google LLC. Tất cả các tên sản phẩm và công ty khác là nhãn hiệu của những công ty mà chúng liên kết.