Password Sync を使用すると、ユーザーの Google Workspace と Cloud Identity のパスワードを Microsoft Active Directory から直接更新できます。
Password Sync は Google Workspace と Cloud Identity の管理者にご利用いただけます。
仕組み
Password Sync をインストールして設定すると、Active Directory ユーザーがパスワードを変更するたびに、更新後のパスワードが Google アカウントに送信されます。
- ユーザーのパスワードが変更されると、更新リクエストがドメイン コントローラ(DC)に送信されます。
- リクエストを受けた DC の Microsoft Windows が、新しいパスワードとユーザー名を使用して Password Sync のダイナミック リンク ライブラリ(DLL)を呼び出します。
- GSPS がハッシュされたパスワードとユーザー名を DLL から受け取ります。
- GSPS が LDAP を使用して Active Directory からユーザーのメールアドレスを取得します。
- このサービスが Directory API を使用して Google アカウントを更新します。また、Google Workspace API が正常に動作するためには、いくつかのポートを開き、許可リストにホスト名を追加する必要があります。詳細
- ユーザーが各自の Active Directory のパスワードを使用して Google アカウントにログインできるようになります。
技術的な詳細
- Active Directory では、パスワードは書き込み専用で保存され、LDAP を含めどのインターフェースでも読み取ることができません。そのため、従来の同期方式(Google Cloud Directory Sync など)ではパスワードにアクセスできません。パスワードを読み取るには、パスワードの設定時または変更時にキャプチャする必要があります。
- Password Sync には、LSA 通知パッケージとしてインストールされる「password_sync_dll.dll」という DLL が含まれています。LSA 通知パッケージについて詳しくは、Microsoft の記事をご覧ください。
- 特定の DC でパスワードの変更が行われると、DLL はユーザーの更新後のパスワードとユーザー名を受け取ります。パスワードの同期はパスワードの変更を受信した DC 上の Windows によってトリガーされるため、書き込み可能なすべての DC に Password Sync がインストールされている必要があります。パスワードを変更したのが管理者かエンドユーザーかにかかわらず、パスワードが更新されるたびに同期が実行されます。PasswordChangeNotify コールバック関数について詳しくは、Microsoft の記事をご覧ください。
- DLL はユーザー名とパスワードを受け取ると、ソルト付き SHA512 を使ってパスワードをハッシュして Password Sync サービスに送信します。
- Password Sync サービス(「password_sync_service.exe」)は DLL からユーザー名を受け取ると、そのユーザー名を基に、LDAP を使用して Active Directory でユーザーのメールアドレスを検索します。その後、Directory API を使って Google アカウントを更新します。Directory API によってパスワードが変更されると、一部のアプリケーションの OAuth トークンが取り消されるため、ユーザーは各自のユーザー名とパスワードでアプリケーションに再ログインしなければならない場合があります。
- Password Sync は、Microsoft のパスワード フィルタ プログラミングの考慮事項を遵守しています。詳しくは、Microsoft の記事をご覧ください。
Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は、関連各社の商標または登録商標です。
