Google Apps, AD และ SSO

15

เราเป็นร้านเล็ก ๆ ที่ใช้งาน Google Apps (Enterprise) สำหรับความต้องการทางอีเมลของเรา รักมัน ภายในเราใช้ Windows AD (2003) ไม่มีการร้องเรียนอย่างใดอย่างหนึ่ง

ฉันต้องการได้รับวิธีการบางอย่างของ SSO ระหว่าง AD และ Google Apps เช่นนั้น AD เป็นที่เดียวที่คนของฉันต้องจัดการ (และเปลี่ยนรหัสผ่านเป็นระยะ)!

ฉันเคยดู "tfm" ของ Google ในอดีต แต่ฉันเดาว่าฉันไม่เข้าใจเลย มีใครทำเช่นนี้? ถ้าเป็นเช่นนั้นคุณยินดีที่จะแบ่งปันอย่างไร สามารถทำได้โดยไม่ต้องใช้ความซับซ้อนและค่าใช้จ่ายจำนวนมากหรือไม่?

active-directory  g-suite  single-sign-on 
Chris_K
แหล่งที่มา
เรากำลังทำสิ่งนี้ แต่ฉันไม่ได้ทำตามขั้นตอนทั้งหมด คุณจะต้องรอจนถึงวันจันทร์เพื่อที่ฉันจะได้ถามหนึ่งในโปรแกรมเมอร์ของเรา
l0c0b0x
@ l0c0b0x: ฉันหูของทุกคน :-)
Chris_K
อ่านคำตอบของ Zoreache :)
l0c0b0x
Corey

คำตอบ:

9

มีสองสามสิ่งที่คุณสามารถทำได้ด้วย Google Apps

คุณสามารถตั้งค่าเซิร์ฟเวอร์SAML ที่เชื่อมต่อกับเครือข่ายโฆษณาของคุณแล้วตั้งค่า Google เพื่อตรวจสอบสิทธิ์การเข้าถึง Google Apps ของคุณกับเซิร์ฟเวอร์ SAML เราใช้แอปพลิเคชัน php ชื่อsimpleSAMLphpเนื่องจากเรามีเซิร์ฟเวอร์ที่ติดตั้งเพื่อเรียกใช้ PHP และเรามีนักพัฒนาที่มีทักษะด้าน PHP ข้อเสียของการใช้โซลูชัน SAML เพียงอย่างเดียวคือคุณสามารถลงชื่อเข้าใช้บัญชีผ่านเว็บเท่านั้น ซึ่งหมายความว่าคุณไม่สามารถเข้าถึงกล่องจดหมายของคุณผ่าน imap / pop และคุณไม่สามารถลงชื่อเข้าใช้ Google Talk ด้วยไคลเอนต์ XMPP เก่า

การใช้ SAML ไม่ได้สร้างบัญชีในโดเมน Google Apps โดยอัตโนมัติ คุณอาจต้องใช้เครื่องมือที่จะซิงโครไนซ์บัญชีเพื่อให้คุณสามารถใช้เครื่องมือซิงค์Google Apps Directory การทำเช่นนี้จะช่วยให้คุณสร้างบัญชีได้ แต่จะไม่ซิงค์รหัสผ่านตามค่าเริ่มต้นเนื่องจากแฮชรหัสผ่าน Windows ไม่สามารถย้อนกลับได้และ Google ไม่สามารถทำอะไรกับพวกเขาได้

เป็นไปได้ที่จะใช้บางอย่างเช่นPasswdHkเพื่อสกัดกั้นการเปลี่ยนแปลงรหัสผ่านในโฆษณาของคุณจากนั้นเก็บรหัสผ่านในรูปแบบ (sha1 ที่ไม่มีการชำระเงิน) ที่ยูทิลิตี้การซิงค์ไดเรกทอรีของ Google สามารถใช้เพื่อตั้งรหัสผ่าน Google Apps แต่นี่เป็นการเพิ่มความเสี่ยงด้านความปลอดภัยเล็กน้อยเนื่องจาก Google จะยอมรับเฉพาะรหัสผ่าน md5 หรือ sha1 ที่ไม่ผ่านการแฮชผ่านAPI การจัดเตรียมและการซิงค์กับ Google คุณต้องเก็บแฮชเหล่านี้โดยทั่วไป หากคุณจะใช้สิ่งนี้เป็นสิ่งสำคัญมากที่จะต้องรักษาความปลอดภัยของแฮชเหล่านี้

Hmmph คุณทำให้ฉันตื่นเต้นเกี่ยวกับ SAML จนกว่าจะมีเรื่องเกี่ยวกับ imap / pop นั่นจะฆ่าทุกคนที่ใช้ windows mobile และ blackberry client ใช่ไหม? ทางเลือกที่ฉลาด ๆ

หากคุณยินดีที่จะยอมรับความเสี่ยงในการจัดเก็บแฮชรหัสผ่านคุณสามารถรวม SSO และไดเรกทอรีที่ซิงค์ไว้ด้วยกันเพื่อให้ได้ระบบที่ใช้งานได้

ในฐานะที่เป็นทางเลือกใครบางคนสามารถพัฒนาพอร์ทัลอินทราเน็ตซึ่งผู้ใช้ในโดเมนของคุณจะไปเริ่มต้นบัญชี Google ของพวกเขาและตั้งรหัสผ่านสำหรับบัญชี Google ฉันคิดว่าจะพัฒนาบางอย่างเช่นนี้ แต่ไม่สามารถให้เพื่อนร่วมงานของฉันยอมรับว่ามันเป็นหนทางไป

แนวคิดพื้นฐานคือสิ่งนี้สร้าง webapp ที่

  • อาศัยอยู่บนอินทราเน็ตของคุณและรับรองความถูกต้องกับไดเรกทอรีที่ใช้งานของคุณ
  • มีฟังก์ชั่นที่จะใช้ชื่อผู้ใช้และรหัสผ่านที่ผู้ใช้ใช้เพื่อเข้าสู่เว็บไซต์อินทราเน็ตและรับข้อมูลอื่น ๆ ที่คุณต้องการจากโฆษณาจากนั้นใช้ API การจัดสรรของ Google เพื่อเพิ่ม / อัปเดตบัญชีผู้ใช้

การสร้างเครื่องมือไม่ควรยากเกินไปฉันคาดว่าจะตัดบางสิ่งบางอย่างพื้นฐานซึ่งใช้เวลาในการพัฒนาเพียง 12-16 ชั่วโมง ข้อดีของการแก้ปัญหานี้คือมันให้ฟังก์ชั่น Google Apps ได้ 100% ข้อเสียคือค่อนข้างไม่สะดวกสำหรับผู้ใช้ปลายทาง

Zoredache
แหล่งที่มา
Hmmph คุณทำให้ฉันตื่นเต้นเกี่ยวกับ SAML จนกว่าจะมีเรื่องเกี่ยวกับ imap / pop นั่นจะฆ่าทุกคนที่ใช้ windows mobile และ blackberry client ใช่ไหม? ทางเลือกที่ฉลาด ๆ บางทีฉันเริ่มเห็นว่าทำไมถึงเป็นไม่เป็นเรื่องธรรมดา ...
Chris_K
ขอบคุณสำหรับการแก้ไขและข้อมูลเพิ่มเติม ฉันต้องไตร่ตรองมากตอนนี้
Chris_K
3
Google เปิดตัวผลิตภัณฑ์ซิงค์รหัสผ่านใหม่ที่เรียกว่าGoogle Apps Password Sync (GAPS)ที่ควรจัดการกับสิ่งนี้
Zoredache
2

ฉันก็ชอบที่จะเห็นคำตอบที่ดีกว่านี้

ฉันเล่นกับGoogle Apps Directory Syncเพื่อซิงค์ผู้ใช้ Google จากผู้ใช้ Active Directory มันดูพองตัวจนถึงจุดที่ฉันอ่านว่าการใช้งาน LDAP ของโฆษณานั้นจะเก็บรหัสผ่านไว้ในฟิลด์ไบนารีที่เข้ารหัสซึ่งเครื่องมือการซิงค์ของ Google ไม่สามารถเข้าถึงได้

โซลูชัน SSO อื่น ๆของ Google ดูเหมือนจะเปลี่ยนตารางเพื่อให้ Google เป็นแหล่งข้อมูลรับรองที่เชื่อถือได้ เราไม่สนใจสิ่งนั้น จะเกิดอะไรขึ้นบน LAN ของเราหากการเชื่อมต่ออินเทอร์เน็ตของเราไม่ทำงาน

ดังนั้นตอนนี้ทางออกที่ดีที่สุดของฉันคือสเปรดชีตของ Google Apps ด้วยชื่อผู้ใช้และรหัสผ่านซึ่งเราแล้วส่งออกไปยัง CSV และนำเข้าจำนวนมากไปยัง Google Apps นี่ไม่ได้จัดการกับการเปลี่ยนแปลงรหัสผ่าน จนถึงตอนนี้สิ่งที่ดีที่สุดที่เรามีคือให้ความรู้แก่ผู้ใช้ของเราในการเปลี่ยนทั้งรหัสผ่าน Google และ Windows เป็นรหัสผ่านใหม่เดียวกันเมื่อนโยบายรหัสผ่าน Windows บังคับให้มีการเปลี่ยนแปลง

Jesper M
แหล่งที่มา
1
ความคิดเห็นของคุณเกี่ยวกับบริการ Google SAML ไม่ถูกต้อง (ย่อหน้าที่ 2) SAML ช่วยให้คุณมีบริการในเครือข่ายท้องถิ่นของคุณทำการตรวจสอบ โฆษณาของคุณจะเป็นแหล่งข้อมูลที่เชื่อถือได้สำหรับการให้สิทธิ์ สิ่งที่คุณควรทำคือเรียกใช้การทำข้อมูลไดเรกทอรีให้ตรงกันและการรวม SAML ในแบบคู่ขนานพวกเขาไม่มีประโยชน์มากนัก
Zoredache
เยี่ยมมากขอบคุณสำหรับการแก้ไข หลังจากที่ความคิดเห็นของคุณฉันค้นหาบางมากขึ้นและพบว่าภาพรวมที่ดีของการตรวจสอบการไหล SAML code.google.com/apis/apps/sso/...
Jesper M
2

นี่คือตัวกรองรหัสผ่านที่เก็บแฮชในโฆษณา http://code.google.com/p/sha1hexfltr/มันบันทึกแฮชในโฆษณาอย่างปลอดภัย ไม่จำเป็นต้องใช้ SSO ไม่จำเป็นต้องมีเซิร์ฟเวอร์ใหม่!

1

อืมไม่มีใครทำสิ่ง SSO เหรอ? ฉันขอสารภาพว่าฉันประหลาดใจเล็กน้อย!

เพียงเพื่อให้เรื่องต่าง ๆ พลิก: ฉันมีPingConnectแนะนำผ่านช่องทางอื่น ใครใช้หรือไม่

Chris_K
แหล่งที่มา
0

ผลิตภัณฑ์บางอย่างเช่น Oracle Internet Directory + Oracle SSO (และ IBM TIM / TAM) อนุญาตให้เชื่อมต่อกับระบบของบุคคลที่สาม ซึ่งหมายความว่าผลิตภัณฑ์นั้นได้รับการกำหนดค่าให้ซิงค์กับ AD และเก็บข้อมูลประจำตัวของผลิตภัณฑ์อื่น ๆ ที่คุณเคยจินตนาการ คุณจะได้รับลิงค์เข้าสู่ระบบใหม่ซึ่งเก็บข้อมูลประจำตัวของระบบที่คุณต้องการ (ในกรณีนี้คือ Google Apps) และนั่นคือมัน

โปรดทราบว่ามันค่อนข้างซับซ้อนในการตั้งค่าและใช้งานเช่นนี้และอาจทำให้คุณเสียค่าใช้จ่ายด้วยดังนั้นจึงไม่เหมาะกับทุกองค์กร

Moshe
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.