Google Apps, AD और SSO

हम अपनी ईमेल जरूरतों के लिए Google Apps (एंटरप्राइज़) चलाने वाली एक छोटी सी दुकान हैं। इसे प्यार करना। आंतरिक रूप से, हम Windows AD (2003) का उपयोग कर रहे हैं। वहां कोई शिकायत भी नहीं।

मैं ADO और Google Apps के बीच SSO की कुछ विधि प्राप्त करना चाहूंगा जैसे कि AD ही एकमात्र स्थान है जहाँ मेरे लोगों को (और समय-समय पर CHANGE!) पासवर्ड्स का प्रबंधन करना है।

मैंने अतीत में Google के "tfm" को देखा है, लेकिन मुझे लगता है कि मैं अभी इसे प्राप्त नहीं करता हूं। क्या कोई ऐसा करता है? यदि हां, तो आप कैसे साझा करने के लिए तैयार होंगे? क्या यह जटिलता और खर्च की एक बड़ी राशि के बिना किया जा सकता है?

कुछ ऐसी चीजें हैं जो आप Google Apps के साथ कर सकते हैं।

आप अपने AD नेटवर्क से जुड़े SAML सर्वर को सेटअप कर सकते हैं और फिर SAML सर्वर के विरुद्ध अपने Google Apps एक्सेस को प्रमाणित करने के लिए Google को सेटअप कर सकते हैं। हमने simpleSAMLphp नामक एक php एप्लिकेशन का उपयोग किया है क्योंकि हमारे पास पहले से ही PHP चलाने के लिए सर्वर सेटअप है और हमारे पास php कौशल के साथ डेवलपर्स हैं। अकेले एसएएमएल समाधान का उपयोग करने का दोष यह है कि आप केवल वेब के माध्यम से खातों में प्रवेश कर सकते हैं। इसका मतलब है कि आप अपने मेलबॉक्स को imap / pop के माध्यम से एक्सेस नहीं कर सकते हैं, और आप किसी भी पुराने XMPP क्लाइंट के साथ Google पर बात नहीं कर सकते हैं।

SAML का उपयोग करने से Google Apps डोमेन में स्वचालित रूप से खाते नहीं बनते हैं। आपको शायद एक ऐसे उपकरण की भी आवश्यकता होगी जो आपके लिए खातों को सिंक्रोनाइज़ करेगा जो आप Google Apps निर्देशिका सिंक टूल का उपयोग कर सकते हैं । यह आपको खाते बनाने की अनुमति देगा, लेकिन यह अभी भी डिफ़ॉल्ट रूप से पासवर्ड सिंक नहीं करेगा क्योंकि विंडोज पासवर्ड हैश उलटा नहीं है और Google उनके साथ कुछ भी नहीं कर सकता है।

अपने AD में पासवर्ड परिवर्तन को रोकने के लिए PasswdHk जैसी किसी चीज़ का उपयोग करना संभव है और फिर पासवर्ड को एक प्रारूप (अनसाल्टेड sha1) में संग्रहीत करें जिसका उपयोग Google निर्देशिका सिंक उपयोगिता Google Apps पासवर्ड सेट करने के लिए कर सकती है। लेकिन यह थोड़ा सुरक्षा जोखिम जोड़ता है क्योंकि Google केवल अपने प्रोविजनिंग एपीआई के माध्यम से अनसाल्टेड md5 या sha1 पासवर्ड हैश को स्वीकार करेगा , और Google के साथ सिंक करने के लिए, आपको मूल रूप से इन हैश को स्टोर करना होगा। यदि आप इसका उपयोग करते हैं, तो इन हैश को सुरक्षित रखना बहुत महत्वपूर्ण है।

Hmmph। आप सभी मुझे SAML के बारे में उत्साहित करते थे जब तक कि मैं imap / pop के बारे में नहीं जानता। यह विंडोज़ मोबाइल और ब्लैकबेरी क्लाइंट का उपयोग करने वाले सभी लोगों को मार देगा, है न? कोई चालाक विकल्प वहाँ?

यदि आप पासवर्ड हैश के भंडारण के जोखिम को स्वीकार करने के लिए तैयार हैं, तो SSO और डायरेक्ट्री सिंकिंग को एक साथ मिलकर एक कार्य प्रणाली प्राप्त करने में सक्षम हैं।

विकल्प के रूप में कोई व्यक्ति इंट्रानेट पोर्टल विकसित कर सकता है, जहां आपके डोमेन के उपयोगकर्ता अपने Google खाते को आरंभ करने के लिए जाएंगे और Google खाते के लिए पासवर्ड सेट करेंगे। मैंने इस तरह से कुछ विकसित करने पर विचार किया था, लेकिन अपने सहकर्मियों को यह मानने के लिए नहीं मिला कि यह जाने का रास्ता है।

मूल विचार यह है, एक वेबप का निर्माण करें

• आपके इंट्रानेट पर रहता है और आपकी सक्रिय निर्देशिका के खिलाफ प्रमाणित करता है
• एक फ़ंक्शन है जो उपयोगकर्ता नाम और पासवर्ड लेगा जिसका उपयोग उपयोगकर्ता इंट्रानेट साइट पर लॉगिन करने के लिए करता था और आपको एडी से किसी अन्य जानकारी की आवश्यकता होती है, और फिर उपयोगकर्ताओं के खाते को जोड़ने / अपडेट करने के लिए Google प्रोविजनिंग एपीआई का उपयोग करें।

उपकरण का निर्माण वास्तव में बहुत मुश्किल नहीं होना चाहिए, मैंने अनुमान लगाया था कि कुछ बुनियादी चीज़ों को हैक करने में केवल 12-16 घंटे का विकास समय लगेगा। इस समाधान का लाभ यह है कि यह आपको 100% Google Apps कार्यक्षमता प्रदान करता है, नकारात्मक पक्ष यह है कि यह अंत-उपयोगकर्ता को कुछ हद तक असुविधा पहुँचाता है।

मैं भी इस से बेहतर जवाब देखना पसंद करूंगा।

मैंने Google उपयोगकर्ताओं को सक्रिय निर्देशिका उपयोगकर्ताओं से सिंक करने के लिए Google Apps निर्देशिका सिंक के साथ खेला । यह प्रफुल्लित दिख रहा था, ठीक उस बिंदु तक जहाँ मैंने पढ़ा कि AD का LDAP कार्यान्वयन एक एन्क्रिप्टेड बाइनरी फ़ील्ड में पासवर्ड रखता है, जिसे Google का सिंक टूल एक्सेस नहीं कर सकता है।

Google का अन्य SSO समाधान तालिकाओं को चालू करता है, जिससे Google क्रेडेंशियल का आधिकारिक स्रोत है। हमें इसमें कोई दिलचस्पी नहीं है; यदि हमारी इंटरनेट पहुंच कम है तो हमारे LAN पर क्या होगा?

तो अभी मेरा सबसे अच्छा समाधान एक Google Apps स्प्रेडशीट है जिसमें उपयोगकर्ता नाम और पासवर्ड हैं, जिसे हम तब CSV को निर्यात करते हैं, और Google Apps को थोक आयात करते हैं । यह पासवर्ड परिवर्तन को हैंडल नहीं करता है। अब तक हमारे पास सबसे अच्छा यह है कि हम अपने उपयोगकर्ताओं को Google और Windows दोनों पासवर्ड को एक ही नए पासवर्ड में बदलने के लिए शिक्षित करें जब Windows पासवर्ड नीति में परिवर्तन होता है।

यहां एक पासवर्ड फ़िल्टर है जो विज्ञापन में हैश को संग्रहीत करता है। http://code.google.com/p/sha1hexfltr/ यह सुरक्षित रूप से विज्ञापन में हैश को बचाता है। किसी SSO की जरूरत नहीं, किसी नए सर्वर की जरूरत नहीं!

हम्म, एसएसओ की बात कोई नहीं करता? मुझे लगता है मैं थोड़ा हैरान हूँ!

बस चीजों को लुढ़कने के लिए: मैंने अन्य चैनलों के माध्यम से पिंगकनेक्ट को सुझाव दिया है। किसी ने इसका इस्तेमाल किया?

आप ऐसा करने के लिए LemonLDAP :: NG का उपयोग कर सकते हैं। Http://lemonldap-ng.org/documentation/latest/applications/googleapps देखें

ओरेकल इंटरनेट डायरेक्टरी + ओरेकल एसएसओ (और आईबीएम टीआईएम / टीएएम) जैसे कुछ उत्पाद तीसरे पक्ष के सिस्टम को हुक करने की अनुमति देते हैं। इसका मतलब है कि उत्पाद को AD के साथ सिंक करने के लिए कॉन्फ़िगर किया गया है, और क्रेडेंशियल्स को आपके द्वारा कभी भी कल्पना किए जाने वाले प्रत्येक अन्य उत्पाद में संग्रहीत करता है। आपको एक नया लॉगिन लिंक मिलता है जो उस सिस्टम के क्रेडेंशियल्स को बीजित करता है जो आप चाहते हैं (इस मामले में - Google Apps), और वह यह है।

ध्यान रखें कि इस तरह के कॉन्फ़िगरेशन को चालू करने और चलाने के लिए यह काफी जटिल है, और आपको कुछ पैसे भी खर्च करने पड़ सकते हैं, इसलिए यह प्रत्येक ओर्गानाइज़ेशन के अनुरूप नहीं है।

ऐसा लगता है कि सक्रिय निर्देशिका सिंक के साथ संयोजन में उपयोग किए जाने वाले पासवर्ड को सिंक्रनाइज़ करने के लिए Google Apps पासवर्ड सिंक (GAPS) है । लेकिन मैंने अभी तक इसका उपयोग नहीं किया है।