Ada beberapa hal yang dapat Anda lakukan dengan Google Apps.
Anda dapat mengatur server SAML yang terhubung ke jaringan AD Anda dan kemudian mengatur Google untuk mengautentikasi akses Google Apps Anda terhadap server SAML. Kami telah menggunakan aplikasi php yang disebut simpleSAMLphp karena kami sudah memiliki pengaturan server untuk menjalankan PHP dan kami memiliki pengembang dengan keterampilan php. Kelemahan menggunakan solusi SAML saja adalah Anda hanya dapat masuk ke akun melalui web. Ini berarti Anda tidak dapat mengakses kotak surat Anda melalui imap / pop, dan Anda tidak bisa masuk ke Google talk dengan klien XMPP lama.
Menggunakan SAML tidak secara otomatis membuat akun di domain Google Apps. Anda juga mungkin memerlukan alat yang akan menyinkronkan akun untuk itu Anda dapat menggunakan alat sinkronisasi Direktori Google Apps . Ini akan memungkinkan Anda untuk membuat akun, tetapi masih tidak akan menyinkronkan kata sandi secara default karena hash Kata Sandi Windows tidak dapat dibalik dan Google tidak dapat melakukan apa pun dengannya.
Dimungkinkan untuk menggunakan sesuatu seperti PasswdHk untuk mencegat perubahan kata sandi di AD Anda dan kemudian menyimpan kata sandi dalam format (unsalted sha1) yang dapat digunakan utilitas sinkronisasi direktori Google untuk mengatur kata sandi Google Apps. Tetapi ini menambah sedikit risiko keamanan karena Google hanya akan menerima hash kata sandi md5 atau sha1 yang tidak tawar melalui API Penyediaannya , dan untuk menyinkronkan dengan Google, Anda pada dasarnya harus menyimpan hash ini. Jika Anda ingin menggunakan ini, sangat penting untuk menjaga hash ini tetap aman.
Hmmh. Anda membuat saya semua bersemangat tentang SAML sampai sedikit tentang imap / pop. Itu akan membunuh semua orang yang menggunakan klien windows mobile dan blackberry, bukan? Adakah alternatif cerdas di sana?
Jika Anda bersedia menerima risiko menyimpan hash kata sandi maka Anda dapat menggabungkan SSO dan direktori yang disinkronkan bersama untuk mendapatkan sistem yang berfungsi.
Sebagai alternatif, seseorang dapat mengembangkan portal Intranet di mana pengguna di domain Anda akan pergi untuk menginisialisasi akun Google mereka dan mengatur kata sandi untuk akun Google. Saya telah mempertimbangkan mengembangkan sesuatu seperti ini, tetapi tidak bisa membuat rekan kerja saya setuju bahwa itu adalah cara untuk pergi.
Ide dasarnya adalah ini, buat webapp itu
- Tinggal di intranet Anda dan diautentikasi terhadap direktori aktif Anda
- Memiliki fungsi yang akan mengambil nama pengguna dan kata sandi yang digunakan pengguna untuk masuk ke situs intranet dan mendapatkan informasi lain yang Anda butuhkan dari AD, dan kemudian menggunakan Google Provisioning API untuk menambah / memperbarui akun pengguna.
Membangun alat itu seharusnya tidak terlalu sulit, saya telah memperkirakan untuk meretas sesuatu yang mendasar hanya akan memakan waktu 12-16 jam waktu pengembangan. Keuntungan dari solusi ini adalah memberi Anda fungsionalitas Google Apps 100%, sisi negatifnya adalah ketidaknyamanan pengguna akhir.