Ứng dụng Google, AD và SSO

Chúng tôi là một cửa hàng nhỏ chạy Google Apps (Enterprise) cho nhu cầu email của chúng tôi. Yêu nó. Trong nội bộ, chúng tôi đang sử dụng Windows AD (2003). Không có khiếu nại ở đó.

Tôi muốn có một số phương pháp SSO đi giữa AD và Google Apps để AD là nơi duy nhất mọi người của tôi phải quản lý (và định kỳ THAY ĐỔI mật khẩu!).

Tôi đã xem qua "tfm" của google trong quá khứ, nhưng tôi đoán tôi chỉ không hiểu lắm. Có ai làm điều này? Nếu vậy, bạn sẽ sẵn sàng chia sẻ như thế nào? Nó có thể được thực hiện mà không có một số lượng lớn phức tạp và chi phí?

Có một vài điều bạn có thể làm với Google Apps.

Bạn có thể thiết lập máy chủ SAML được kết nối với mạng AD của mình và sau đó thiết lập Google để xác thực quyền truy cập Google Apps của bạn đối với máy chủ SAML. Chúng tôi đã sử dụng một ứng dụng php có tên SimpleSAMLphp vì chúng tôi đã thiết lập máy chủ để chạy PHP và chúng tôi có các nhà phát triển có kỹ năng php. Hạn chế của việc sử dụng giải pháp SAML là bạn chỉ có thể đăng nhập vào tài khoản qua web. Điều này có nghĩa là bạn không thể truy cập hộp thư của mình thông qua imap / pop và bạn không thể đăng nhập vào Google talk với bất kỳ ứng dụng khách XMPP cũ nào.

Sử dụng SAML không tự động tạo tài khoản trong miền Google Apps. Bạn cũng có thể sẽ cần một công cụ sẽ đồng bộ hóa các tài khoản để bạn có thể sử dụng công cụ đồng bộ hóa Google Apps Directory . Điều này sẽ cho phép bạn tạo tài khoản, nhưng nó vẫn không đồng bộ hóa mật khẩu theo mặc định vì băm mật khẩu Windows không thể đảo ngược và Google không thể làm gì với chúng.

Có thể sử dụng một cái gì đó như PasswdHk để chặn các thay đổi mật khẩu trong AD của bạn và sau đó lưu mật khẩu ở định dạng (không được đánh dấu sha1) mà tiện ích đồng bộ hóa thư mục Google có thể sử dụng để đặt mật khẩu Google Apps. Nhưng điều này làm tăng thêm một chút rủi ro bảo mật vì Google sẽ chỉ chấp nhận băm mật khẩu md5 hoặc sha1 không được mã hóa thông qua API cấp phép của nó và để đồng bộ hóa với Google, về cơ bản bạn phải lưu trữ các băm này. Nếu bạn đang sử dụng điều này, điều rất quan trọng là giữ an toàn cho các băm này.

Hừm. Bạn đã khiến tôi phấn khích về SAML cho đến khi có chút gì đó về imap / pop. Điều đó sẽ giết tất cả những người sử dụng máy khách windows và blackberry, phải không? Bất kỳ lựa chọn thay thế thông minh ở đó?

Nếu bạn sẵn sàng chấp nhận rủi ro lưu trữ băm mật khẩu thì có thể kết hợp SSO và thư mục đồng bộ hóa với nhau để có được một hệ thống hoạt động.

Là một người thay thế, ai đó có thể phát triển cổng thông tin Intranet nơi người dùng trong miền của bạn sẽ khởi tạo tài khoản Google của họ và đặt mật khẩu cho tài khoản Google. Tôi đã cân nhắc việc phát triển một thứ như thế này, nhưng không thể khiến đồng nghiệp của mình đồng ý rằng đó là con đường để đi.

Ý tưởng cơ bản là thế này, xây dựng một ứng dụng web

• Sống trên mạng nội bộ của bạn và xác thực với thư mục hoạt động của bạn
• Có một chức năng sẽ lấy tên người dùng và mật khẩu mà người dùng đã sử dụng để đăng nhập vào trang mạng nội bộ và nhận bất kỳ thông tin nào bạn cần từ AD, sau đó sử dụng API cấp phép của Google để thêm / cập nhật tài khoản người dùng.

Xây dựng công cụ thực sự không quá khó, tôi đã ước tính để hack được thứ gì đó cơ bản, nó sẽ chỉ mất 12-16 giờ phát triển. Ưu điểm của giải pháp này là nó cung cấp cho bạn 100% chức năng Google Apps, nhược điểm là nó hơi bất tiện cho người dùng cuối.

Tôi cũng rất thích nhìn thấy một câu trả lời tốt hơn cho câu hỏi này.

Tôi đã chơi xung quanh với Google Apps Directory Sync để đồng bộ hóa người dùng Google từ người dùng Active Directory. Nó trông có vẻ phù hợp, cho đến khi tôi đọc rằng triển khai LDAP của AD giữ mật khẩu trong trường nhị phân được mã hóa, công cụ Đồng bộ hóa của Google không thể truy cập.

Giải pháp SSO khác của Google dường như xoay chuyển các bảng, do đó Google là nguồn thông tin xác thực. Chúng tôi không quan tâm đến điều đó; Điều gì sẽ xảy ra trên mạng LAN của chúng tôi nếu truy cập Internet của chúng tôi bị hỏng?

Vì vậy, ngay bây giờ giải pháp tốt nhất của tôi là bảng tính Google Apps với tên người dùng và mật khẩu, sau đó chúng tôi xuất sang CSV và nhập hàng loạt vào Google Apps . Điều này không xử lý thay đổi mật khẩu. Cho đến nay, điều tốt nhất chúng ta có là giáo dục người dùng thay đổi cả mật khẩu Google và Windows thành cùng một mật khẩu mới khi chính sách mật khẩu Windows buộc thay đổi.

Đây là một bộ lọc mật khẩu lưu trữ băm trong quảng cáo. http://code.google.com.vn/p/sha1hexfltr/ Nó lưu các băm trong quảng cáo một cách an toàn. Không cần SSO, Không cần máy chủ mới!

Hmm, không ai làm điều SSO? Tôi thú nhận tôi hơi ngạc nhiên!

Chỉ để khiến mọi thứ lăn lộn: Tôi đã đề xuất PingConnect qua các kênh khác. Có ai dùng nó không?

Bạn có thể sử dụng LemonLDAP :: NG để làm điều đó. Xem http://lemonldap-ng.org/documentation/latest/appluggest/googl Ứng dụng lại

Một số sản phẩm như Oracle Internet Directory + Oracle SSO (và IBM TIM / TAM) cho phép kết nối với các hệ thống bên thứ 3. Điều này có nghĩa là sản phẩm được cấu hình để đồng bộ hóa với AD và lưu thông tin đăng nhập cho mọi sản phẩm khác mà bạn từng tưởng tượng. Bạn nhận được một liên kết đăng nhập mới, hạt giống thông tin đăng nhập vào hệ thống bạn muốn (trong trường hợp này - Google Apps) và đó là liên kết.

Hãy nhớ rằng khá phức tạp để có được một cấu hình như vậy và chạy, và cũng có thể khiến bạn tốn một số tiền, vì vậy nó không phù hợp với mọi cực khoái.

Có vẻ như có Đồng bộ hóa mật khẩu Google Apps (GAPS) để đồng bộ hóa mật khẩu được sử dụng kết hợp với đồng bộ hóa thư mục hoạt động. Nhưng tôi chưa sử dụng nó.