La herramienta Password Sync se puede utilizar para actualizar las contraseñas de tus usuarios de Google Workspace y Cloud Identity directamente desde Microsoft Active Directory.
Password Sync está disponible para los administradores de Google Workspace y Cloud Identity.
Cómo funciona
Una vez que se ha instalado y configurado Sincronización de contraseñas, esta herramienta envía las contraseñas cambiadas a tu cuenta de Google cada vez que un usuario de Active Directory cambia la suya.
- Cuando se cambia la contraseña de un usuario, se envía la solicitud de cambio a un controlador de dominio (DC).
- Windows llama a la biblioteca de enlaces dinámicos (DLL) de Sincronización de contraseñas en ese controlador de dominio con el nombre de usuario y la contraseña nueva.
- El servicio recibe la contraseña con código hash y el nombre de usuario de la DLL.
- El servicio obtiene la dirección de correo del usuario en Active Directory mediante LDAP.
- El servicio actualiza tu cuenta de Google utilizando la API de Directory. Además, para que las APIs de Google Workspace funcionen correctamente, debes abrir varios puertos y añadir algunos nombres de host a tu lista de permitidos. Más información
- A continuación, el usuario puede iniciar sesión en su cuenta de Google mediante su contraseña de Active Directory.
Información técnica
- En Active Directory, las contraseñas se almacenan como de solo escritura. No se pueden leer con ninguna interfaz (por ejemplo, LDAP). Por tanto, no es posible acceder a ellas con los métodos de sincronización convencionales (por ejemplo, Google Cloud Directory Sync). La única forma de leer las contraseñas es registrarlas en el momento en que se definen o se cambian.
- Sincronización de contraseñas contiene una DLL denominada "password_sync_dll.dll" que se instala como un paquete de notificación LSA. Para obtener más información sobre estos paquetes, consulta este artículo de Microsoft.
- Cuando se cambia de contraseña en un controlador de dominio concreto, la DLL recibe la nueva contraseña y el nombre del usuario. Sincronización de contraseñas se debe instalar en cada controlador de dominio editable, ya que Windows activa la sincronización de la contraseña en el controlador que recibe el cambio de contraseña. La activación se produce cada vez que se actualiza la contraseña, independientemente de que el cambio lo realice un administrador o el usuario final. Para obtener más información sobre la función de retrollamada de PasswordChangeNotify, consulta este artículo de Microsoft.
- Cuando la DLL recibe el nombre de usuario y la contraseña, cifra esta última con código hash como SHA512 con salt y la envía al servicio Sincronización de contraseñas.
- A continuación, el servicio Sincronización de contraseñas ("password_sync_service.exe") busca la dirección de correo del usuario en Active Directory a través de LDAP basándose en el nombre de usuario enviado por la DLL. Después, actualiza la cuenta de Google mediante la API de Directory. Cuando se cambian las contraseñas mediante la API de Directory, se revocan algunos tokens de OAuth de la aplicación. Es posible que los usuarios tengan que volver a iniciar sesión en las aplicaciones con su nombre de usuario y contraseña.
- Sincronización de contraseñas cumple con las consideraciones de programación de filtros de contraseñas de Microsoft. Para obtener más información, consulta este artículo de Microsoft.
Google, Google Workspace, así como las marcas y los logotipos relacionados, son marcas de Google LLC. Todos los demás nombres de empresas y productos son marcas de las empresas con las que están asociadas.