Google Apps, AD e SSO

Navegue suas respostas
15

Somos uma pequena loja que executa o Google Apps (Enterprise) para nossas necessidades de e-mail. Adoro. Internamente, estamos usando o Windows AD (2003). Não há queixas lá.

Gostaria de obter um método de SSO entre o AD e o Google Apps, de modo que o AD seja o único lugar que meus pais têm para gerenciar (e periodicamente MUDAR!) senhas.

Eu já pesquisei "tfm" do Google no passado, mas acho que não entendi bem. Alguém fez isso? Se assim for, você estaria disposto a compartilhar como? Pode ser feito sem muita complexidade e despesa?

    
por Chris_K 21.08.2009 / 16:23

7 respostas

9

Existem algumas coisas que você pode fazer com o Google Apps.

Você pode configurar um servidor SAML conectado à sua rede do AD e, em seguida, configurar o Google para autenticar seu acesso ao Google Apps com relação à Servidor SAML. Nós usamos um aplicativo php chamado simpleSAMLphp porque nós já temos a configuração dos servidores para executar o PHP e nós temos desenvolvedores com habilidades php. A desvantagem de usar uma solução SAML sozinha é que você só pode fazer login em contas pela Web. Isso significa que você não pode acessar sua caixa de correio por meio do imap / pop e não pode fazer login na conversa do Google com qualquer cliente XMPP antigo.

O uso do SAML não cria automaticamente contas no domínio do Google Apps. Provavelmente você também precisará de uma ferramenta que sincronize contas para que você possa usar o Diretório do Google Apps ferramenta de sincronização. Isso permitirá que você crie contas, mas ainda não sincronizará as senhas por padrão porque os hashes de senha do Windows não são reversíveis e o Google não pode fazer nada com eles.

É possível usar algo como PasswdHk para interceptar alterações de senha em seu AD e, em seguida, armazenar a senha em um formato (sha1 sem sal ) que o utilitário de sincronização de diretório do Google pode usar para definir as senhas do Google Apps. Mas isso aumenta o risco de segurança, pois o Google aceita somente hashes de senha sem código md5 ou sha1 por meio de sua API de aprovisionamento , e para sincronizar com o Google, basicamente você deve armazenar esses hashes. Se você for usar isso, é muito importante manter esses hashes seguros.

Hmmph. You had me all excited about SAML until the bit about imap/pop. That'd kill all the folks using windows mobile and blackberry clients, wouldn't it? Any clever alternatives there?

Se você estiver disposto a aceitar o risco de armazenar os hashes de senha, poderá combinar o SSO e a sincronização de diretórios para obter um sistema em funcionamento.

Como alternativa, alguém poderia desenvolver um portal de intranet onde os usuários em seu domínio iriam para inicializar a conta do Google e definir a senha para a conta do Google. Eu tinha pensado em desenvolver algo assim, mas não consegui fazer com que meus colegas de trabalho concordassem que esse era o caminho a seguir.

A idéia básica é esta, construa uma webapp que

  • Vive na sua intranet e autentica-se no seu diretório ativo
  • Possui uma função que usa o nome de usuário e a senha que o usuário usou para fazer login no site da intranet e obter qualquer outra informação necessária do AD e usar a API de aprovisionamento do Google para adicionar / atualizar a conta de usuário. / li>

Construir a ferramenta realmente não deveria ser muito difícil, eu tinha estimado para hackear algo básico que levaria apenas 12-16 horas de tempo de desenvolvimento. A vantagem dessa solução é que ela oferece 100% de funcionalidade do Google Apps. A desvantagem é que ela incomoda o usuário final.

    
por 25.08.2009 / 02:50
2

Eu também adoraria ver uma resposta melhor para essa.

Eu brinquei com o Google Apps Directory Sync para sincronizar usuários do Google de usuários do Active Directory. Ele pareceu ótimo, até o ponto em que eu li que a implementação do LDAP do AD mantém a senha em um campo binário criptografado, que a ferramenta Sync do Google não pode acessar.

A outra solução de SSO do Google parece virar a mesa , para que o Google seja a fonte autorizada de credenciais. Não estamos interessados nisso; o que aconteceria na nossa LAN se o nosso acesso à Internet estivesse inoperante?

Então, agora, minha melhor solução é uma planilha do Google Apps com nomes de usuário & senhas, as quais exportamos para CSV e importação em massa para o Google Apps . Isso não controla alterações de senha. Até agora, o melhor que temos é educar nossos usuários para mudar tanto o Google & Senha do Windows para a mesma nova senha quando a política de senha do Windows forçar uma alteração.

    
por 23.08.2009 / 17:25
2

Aqui está um filtro de senha que armazena o hash no anúncio. link Ele salva com segurança os hashes no anúncio. Nenhum SSO necessário, Nenhum novo servidor necessário!

    
por 23.10.2009 / 16:09
1

Hmm, ninguém faz o SSO? Confesso que estou um pouco surpreso!

Apenas para colocar as coisas em ordem: tive PingConnect sugerido por outros canais. Alguém usou isso?

    
por 23.08.2009 / 16:16
1

Você pode usar LemonLDAP :: NG para fazer isso. Consulte o link

    
por 01.04.2011 / 17:28
0

Alguns produtos, como o Oracle Internet Directory + o Oracle SSO (e o IBM TIM / TAM), permitem a conexão a sistemas de terceiros. Isso significa que o produto está configurado para sincronizar com o AD e armazena credenciais para todos os outros produtos que você imaginar. Você recebe um novo link de login que insere as credenciais no sistema desejado (neste caso - Google Apps), e é isso.

Tenha em mente que é bastante complicado instalar e executar essa configuração, e também pode custar-lhe algum dinheiro, por isso não se adequa a qualquer organização.

    
por 23.08.2009 / 18:55
0

Parece que o Google Apps Password Sync (GAPS) para sincronizar senhas a serem usadas em combinação com a sincronização de diretórios ativa. Mas eu não usei ainda.

    
por 06.04.2013 / 19:54

Tags

como atualizar o esxi 5? Como posso obter uma visão melhor sobre equipamentos gerenciados pelo ISP (roteadores)?