Google Apps, AD, dan SSO


15

Kami adalah toko kecil yang menjalankan Google Apps (Enterprise) untuk kebutuhan email kami. Suka. Secara internal, kami menggunakan Windows AD (2003). Tidak ada keluhan di sana.

Saya ingin mendapatkan beberapa metode SSO antara AD dan Google Apps sedemikian rupa sehingga AD adalah satu-satunya tempat yang harus dikelola oleh orang tua saya (dan secara berkala Ganti!).

Saya telah melihat-lihat "tfm" google di masa lalu, tapi saya rasa saya tidak mengerti. Adakah yang melakukan ini? Jika demikian, apakah Anda bersedia membagikan caranya? Bisakah itu dilakukan tanpa kerumitan dan biaya yang besar?


Kami melakukan ini, tapi saya tidak sepenuhnya naik dan naik pada seluruh proses. Anda harus menunggu hingga Senin sehingga saya dapat bertanya kepada salah satu programmer kami.
l0c0b0x

@ l0c0b0x: Aku semua telinga :-)
Chris_K

Baca jawaban Zoreache :)
l0c0b0x

Jawaban:


9

Ada beberapa hal yang dapat Anda lakukan dengan Google Apps.

Anda dapat mengatur server SAML yang terhubung ke jaringan AD Anda dan kemudian mengatur Google untuk mengautentikasi akses Google Apps Anda terhadap server SAML. Kami telah menggunakan aplikasi php yang disebut simpleSAMLphp karena kami sudah memiliki pengaturan server untuk menjalankan PHP dan kami memiliki pengembang dengan keterampilan php. Kelemahan menggunakan solusi SAML saja adalah Anda hanya dapat masuk ke akun melalui web. Ini berarti Anda tidak dapat mengakses kotak surat Anda melalui imap / pop, dan Anda tidak bisa masuk ke Google talk dengan klien XMPP lama.

Menggunakan SAML tidak secara otomatis membuat akun di domain Google Apps. Anda juga mungkin memerlukan alat yang akan menyinkronkan akun untuk itu Anda dapat menggunakan alat sinkronisasi Direktori Google Apps . Ini akan memungkinkan Anda untuk membuat akun, tetapi masih tidak akan menyinkronkan kata sandi secara default karena hash Kata Sandi Windows tidak dapat dibalik dan Google tidak dapat melakukan apa pun dengannya.

Dimungkinkan untuk menggunakan sesuatu seperti PasswdHk untuk mencegat perubahan kata sandi di AD Anda dan kemudian menyimpan kata sandi dalam format (unsalted sha1) yang dapat digunakan utilitas sinkronisasi direktori Google untuk mengatur kata sandi Google Apps. Tetapi ini menambah sedikit risiko keamanan karena Google hanya akan menerima hash kata sandi md5 atau sha1 yang tidak tawar melalui API Penyediaannya , dan untuk menyinkronkan dengan Google, Anda pada dasarnya harus menyimpan hash ini. Jika Anda ingin menggunakan ini, sangat penting untuk menjaga hash ini tetap aman.

Hmmh. Anda membuat saya semua bersemangat tentang SAML sampai sedikit tentang imap / pop. Itu akan membunuh semua orang yang menggunakan klien windows mobile dan blackberry, bukan? Adakah alternatif cerdas di sana?

Jika Anda bersedia menerima risiko menyimpan hash kata sandi maka Anda dapat menggabungkan SSO dan direktori yang disinkronkan bersama untuk mendapatkan sistem yang berfungsi.

Sebagai alternatif, seseorang dapat mengembangkan portal Intranet di mana pengguna di domain Anda akan pergi untuk menginisialisasi akun Google mereka dan mengatur kata sandi untuk akun Google. Saya telah mempertimbangkan mengembangkan sesuatu seperti ini, tetapi tidak bisa membuat rekan kerja saya setuju bahwa itu adalah cara untuk pergi.

Ide dasarnya adalah ini, buat webapp itu

  • Tinggal di intranet Anda dan diautentikasi terhadap direktori aktif Anda
  • Memiliki fungsi yang akan mengambil nama pengguna dan kata sandi yang digunakan pengguna untuk masuk ke situs intranet dan mendapatkan informasi lain yang Anda butuhkan dari AD, dan kemudian menggunakan Google Provisioning API untuk menambah / memperbarui akun pengguna.

Membangun alat itu seharusnya tidak terlalu sulit, saya telah memperkirakan untuk meretas sesuatu yang mendasar hanya akan memakan waktu 12-16 jam waktu pengembangan. Keuntungan dari solusi ini adalah memberi Anda fungsionalitas Google Apps 100%, sisi negatifnya adalah ketidaknyamanan pengguna akhir.


Hmmh. Anda membuat saya semua bersemangat tentang SAML sampai sedikit tentang imap / pop. Itu akan membunuh semua orang yang menggunakan klien windows mobile dan blackberry, bukan? Adakah alternatif cerdas di sana? Mungkin saya mulai melihat mengapa ini tidak biasa ...
Chris_K

Terima kasih atas hasil edit dan info tambahannya. Saya harus banyak memikirkan sekarang.
Chris_K

3
Google merilis produk sinkronisasi kata sandi baru yang disebut Google Apps Password Sync (GAPS) yang sekarang harus menangani ini.
Zoredache

2

Saya juga ingin melihat jawaban yang lebih baik untuk yang satu ini.

Saya bermain-main dengan Google Apps Directory Sync untuk menyinkronkan pengguna Google dari pengguna Active Directory. Itu tampak membengkak, sampai pada titik di mana saya membaca bahwa implementasi LDAP AD menyimpan kata sandi dalam bidang biner terenkripsi, yang tidak dapat diakses oleh alat Google Sync.

Solusi SSO Google lainnya tampaknya mengubah tabel, sehingga Google adalah sumber kredensial yang otoritatif. Kami tidak tertarik dengan itu; apa yang akan terjadi pada LAN kita jika akses Internet kita sedang turun?

Jadi sekarang solusi terbaik saya adalah spreadsheet Google Apps dengan nama pengguna & kata sandi, yang kemudian kami ekspor ke CSV, dan impor massal ke Google Apps . Ini tidak menangani perubahan kata sandi. Sejauh ini yang terbaik yang kami miliki adalah mengedukasi pengguna kami untuk mengubah kata sandi Google & Windows menjadi kata sandi baru yang sama ketika kebijakan kata sandi Windows memaksakan perubahan.


1
Komentar Anda tentang layanan SAML Google tidak akurat (paragraf ke-2). SAML memungkinkan Anda untuk memiliki layanan di jaringan lokal Anda melakukan otentikasi. AD Anda akan menjadi sumber otorisasi untuk otorisasi. Apa yang seharusnya Anda lakukan adalah menjalankan sinkronisasi direktori dan integrasi SAML secara paralel, mereka tidak sangat berguna terpisah.
Zoredache

Bagus, terima kasih atas koreksinya. Setelah komentar Anda, saya mencari lebih banyak lagi, dan menemukan ikhtisar yang bagus tentang kode alur otentikasi SAML ini.google.com/apis/apps/sso/… .
Jesper M

2

Berikut adalah filter kata sandi yang menyimpan hash dalam iklan. http://code.google.com/p/sha1hexfltr/ Ini dengan aman menyimpan hash dalam iklan. Tidak diperlukan SSO, Tidak perlu server baru!


1

Hmm, tidak ada yang melakukan hal SSO? Saya akui saya sedikit terkejut!

Hanya untuk mendapatkan hal-hal yang bergulir: Saya sudah menyarankan PingConnect melalui saluran lain. Adakah yang menggunakannya?



0

Beberapa produk seperti Oracle Internet Directory + Oracle SSO (dan IBM TIM / TAM) memungkinkan terhubung ke sistem pihak ke-3. Ini berarti produk dikonfigurasi untuk disinkronkan dengan AD, dan menyimpan kredensial untuk setiap produk lain yang pernah Anda bayangkan. Anda mendapatkan tautan masuk baru yang menyemai kredensial ke sistem yang Anda inginkan (dalam hal ini - Google Apps), dan hanya itu.

Ingatlah bahwa ini cukup rumit untuk membuat konfigurasi seperti itu berjalan dan berjalan, dan mungkin juga mengeluarkan biaya, sehingga tidak cocok untuk setiap orgranisasi.


Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.