Google Apps, AD और SSO


15

हम अपनी ईमेल जरूरतों के लिए Google Apps (एंटरप्राइज़) चलाने वाली एक छोटी सी दुकान हैं। इसे प्यार करना। आंतरिक रूप से, हम Windows AD (2003) का उपयोग कर रहे हैं। वहां कोई शिकायत भी नहीं।

मैं ADO और Google Apps के बीच SSO की कुछ विधि प्राप्त करना चाहूंगा जैसे कि AD ही एकमात्र स्थान है जहाँ मेरे लोगों को (और समय-समय पर CHANGE!) पासवर्ड्स का प्रबंधन करना है।

मैंने अतीत में Google के "tfm" को देखा है, लेकिन मुझे लगता है कि मैं अभी इसे प्राप्त नहीं करता हूं। क्या कोई ऐसा करता है? यदि हां, तो आप कैसे साझा करने के लिए तैयार होंगे? क्या यह जटिलता और खर्च की एक बड़ी राशि के बिना किया जा सकता है?


हम यह कर रहे हैं, लेकिन मैं पूरी तरह से पूरी प्रक्रिया में नहीं हूं। आपको सोमवार तक इंतजार करना होगा ताकि मैं हमारे किसी प्रोग्रामर से पूछ सकूं।
l0c0b0x

@ l0c0b0x: मैं सभी कान हूं :-)
क्रिस_के

Zoreache का जवाब पढ़ें :)
l0c0b0x

जवाबों:


9

कुछ ऐसी चीजें हैं जो आप Google Apps के साथ कर सकते हैं।

आप अपने AD नेटवर्क से जुड़े SAML सर्वर को सेटअप कर सकते हैं और फिर SAML सर्वर के विरुद्ध अपने Google Apps एक्सेस को प्रमाणित करने के लिए Google को सेटअप कर सकते हैं। हमने simpleSAMLphp नामक एक php एप्लिकेशन का उपयोग किया है क्योंकि हमारे पास पहले से ही PHP चलाने के लिए सर्वर सेटअप है और हमारे पास php कौशल के साथ डेवलपर्स हैं। अकेले एसएएमएल समाधान का उपयोग करने का दोष यह है कि आप केवल वेब के माध्यम से खातों में प्रवेश कर सकते हैं। इसका मतलब है कि आप अपने मेलबॉक्स को imap / pop के माध्यम से एक्सेस नहीं कर सकते हैं, और आप किसी भी पुराने XMPP क्लाइंट के साथ Google पर बात नहीं कर सकते हैं।

SAML का उपयोग करने से Google Apps डोमेन में स्वचालित रूप से खाते नहीं बनते हैं। आपको शायद एक ऐसे उपकरण की भी आवश्यकता होगी जो आपके लिए खातों को सिंक्रोनाइज़ करेगा जो आप Google Apps निर्देशिका सिंक टूल का उपयोग कर सकते हैं । यह आपको खाते बनाने की अनुमति देगा, लेकिन यह अभी भी डिफ़ॉल्ट रूप से पासवर्ड सिंक नहीं करेगा क्योंकि विंडोज पासवर्ड हैश उलटा नहीं है और Google उनके साथ कुछ भी नहीं कर सकता है।

अपने AD में पासवर्ड परिवर्तन को रोकने के लिए PasswdHk जैसी किसी चीज़ का उपयोग करना संभव है और फिर पासवर्ड को एक प्रारूप (अनसाल्टेड sha1) में संग्रहीत करें जिसका उपयोग Google निर्देशिका सिंक उपयोगिता Google Apps पासवर्ड सेट करने के लिए कर सकती है। लेकिन यह थोड़ा सुरक्षा जोखिम जोड़ता है क्योंकि Google केवल अपने प्रोविजनिंग एपीआई के माध्यम से अनसाल्टेड md5 या sha1 पासवर्ड हैश को स्वीकार करेगा , और Google के साथ सिंक करने के लिए, आपको मूल रूप से इन हैश को स्टोर करना होगा। यदि आप इसका उपयोग करते हैं, तो इन हैश को सुरक्षित रखना बहुत महत्वपूर्ण है।

Hmmph। आप सभी मुझे SAML के बारे में उत्साहित करते थे जब तक कि मैं imap / pop के बारे में नहीं जानता। यह विंडोज़ मोबाइल और ब्लैकबेरी क्लाइंट का उपयोग करने वाले सभी लोगों को मार देगा, है न? कोई चालाक विकल्प वहाँ?

यदि आप पासवर्ड हैश के भंडारण के जोखिम को स्वीकार करने के लिए तैयार हैं, तो SSO और डायरेक्ट्री सिंकिंग को एक साथ मिलकर एक कार्य प्रणाली प्राप्त करने में सक्षम हैं।

विकल्प के रूप में कोई व्यक्ति इंट्रानेट पोर्टल विकसित कर सकता है, जहां आपके डोमेन के उपयोगकर्ता अपने Google खाते को आरंभ करने के लिए जाएंगे और Google खाते के लिए पासवर्ड सेट करेंगे। मैंने इस तरह से कुछ विकसित करने पर विचार किया था, लेकिन अपने सहकर्मियों को यह मानने के लिए नहीं मिला कि यह जाने का रास्ता है।

मूल विचार यह है, एक वेबप का निर्माण करें

  • आपके इंट्रानेट पर रहता है और आपकी सक्रिय निर्देशिका के खिलाफ प्रमाणित करता है
  • एक फ़ंक्शन है जो उपयोगकर्ता नाम और पासवर्ड लेगा जिसका उपयोग उपयोगकर्ता इंट्रानेट साइट पर लॉगिन करने के लिए करता था और आपको एडी से किसी अन्य जानकारी की आवश्यकता होती है, और फिर उपयोगकर्ताओं के खाते को जोड़ने / अपडेट करने के लिए Google प्रोविजनिंग एपीआई का उपयोग करें।

उपकरण का निर्माण वास्तव में बहुत मुश्किल नहीं होना चाहिए, मैंने अनुमान लगाया था कि कुछ बुनियादी चीज़ों को हैक करने में केवल 12-16 घंटे का विकास समय लगेगा। इस समाधान का लाभ यह है कि यह आपको 100% Google Apps कार्यक्षमता प्रदान करता है, नकारात्मक पक्ष यह है कि यह अंत-उपयोगकर्ता को कुछ हद तक असुविधा पहुँचाता है।


Hmmph। आप सभी मुझे SAML के बारे में उत्साहित करते थे जब तक कि मैं imap / pop के बारे में नहीं जानता। यह विंडोज़ मोबाइल और ब्लैकबेरी क्लाइंट का उपयोग करने वाले सभी लोगों को मार देगा, है न? कोई चालाक विकल्प वहाँ? शायद मैं यह देखने लगा हूँ कि यह आम क्यों नहीं है ...
Chris_K

संपादन और अतिरिक्त जानकारी के लिए धन्यवाद। मुझे अभी बहुत कुछ करना है।
क्रिस_के

3
Google ने Google Apps Password Sync (GAPS) नामक एक नया पासवर्ड सिंक उत्पाद जारी किया, जिसे अब इसे संभालना चाहिए।
१२:१५ बजे Zoredache

2

मैं भी इस से बेहतर जवाब देखना पसंद करूंगा।

मैंने Google उपयोगकर्ताओं को सक्रिय निर्देशिका उपयोगकर्ताओं से सिंक करने के लिए Google Apps निर्देशिका सिंक के साथ खेला । यह प्रफुल्लित दिख रहा था, ठीक उस बिंदु तक जहाँ मैंने पढ़ा कि AD का LDAP कार्यान्वयन एक एन्क्रिप्टेड बाइनरी फ़ील्ड में पासवर्ड रखता है, जिसे Google का सिंक टूल एक्सेस नहीं कर सकता है।

Google का अन्य SSO समाधान तालिकाओं को चालू करता है, जिससे Google क्रेडेंशियल का आधिकारिक स्रोत है। हमें इसमें कोई दिलचस्पी नहीं है; यदि हमारी इंटरनेट पहुंच कम है तो हमारे LAN पर क्या होगा?

तो अभी मेरा सबसे अच्छा समाधान एक Google Apps स्प्रेडशीट है जिसमें उपयोगकर्ता नाम और पासवर्ड हैं, जिसे हम तब CSV को निर्यात करते हैं, और Google Apps को थोक आयात करते हैं । यह पासवर्ड परिवर्तन को हैंडल नहीं करता है। अब तक हमारे पास सबसे अच्छा यह है कि हम अपने उपयोगकर्ताओं को Google और Windows दोनों पासवर्ड को एक ही नए पासवर्ड में बदलने के लिए शिक्षित करें जब Windows पासवर्ड नीति में परिवर्तन होता है।


1
Google SAML सेवा के बारे में आपकी टिप्पणी सटीक नहीं है (2 डी पैरा)। एसएएमएल आपको अपने स्थानीय नेटवर्क पर प्रमाणीकरण करने की अनुमति देता है। आपका विज्ञापन प्राधिकरण का आधिकारिक स्रोत होगा। आप जो करने जा रहे हैं वह निर्देशिका सिंक और एसएएमएल एकीकरण को समानांतर में चलाने के लिए है, वे बहुत उपयोगी नहीं हैं।
अक्टूबर को Zoredache

महान, सुधार के लिए धन्यवाद। आपकी टिप्पणी के बाद, मैंने कुछ और खोज की, और एसएएमएल प्रमाणीकरण प्रवाह कोड का यह अच्छा अवलोकन पाया । http://www.apis/apps/sso/…
जेस्पर एम

2

यहां एक पासवर्ड फ़िल्टर है जो विज्ञापन में हैश को संग्रहीत करता है। http://code.google.com/p/sha1hexfltr/ यह सुरक्षित रूप से विज्ञापन में हैश को बचाता है। किसी SSO की जरूरत नहीं, किसी नए सर्वर की जरूरत नहीं!


1

हम्म, एसएसओ की बात कोई नहीं करता? मुझे लगता है मैं थोड़ा हैरान हूँ!

बस चीजों को लुढ़कने के लिए: मैंने अन्य चैनलों के माध्यम से पिंगकनेक्ट को सुझाव दिया है। किसी ने इसका इस्तेमाल किया?



0

ओरेकल इंटरनेट डायरेक्टरी + ओरेकल एसएसओ (और आईबीएम टीआईएम / टीएएम) जैसे कुछ उत्पाद तीसरे पक्ष के सिस्टम को हुक करने की अनुमति देते हैं। इसका मतलब है कि उत्पाद को AD के साथ सिंक करने के लिए कॉन्फ़िगर किया गया है, और क्रेडेंशियल्स को आपके द्वारा कभी भी कल्पना किए जाने वाले प्रत्येक अन्य उत्पाद में संग्रहीत करता है। आपको एक नया लॉगिन लिंक मिलता है जो उस सिस्टम के क्रेडेंशियल्स को बीजित करता है जो आप चाहते हैं (इस मामले में - Google Apps), और वह यह है।

ध्यान रखें कि इस तरह के कॉन्फ़िगरेशन को चालू करने और चलाने के लिए यह काफी जटिल है, और आपको कुछ पैसे भी खर्च करने पड़ सकते हैं, इसलिए यह प्रत्येक ओर्गानाइज़ेशन के अनुरूप नहीं है।


0

ऐसा लगता है कि सक्रिय निर्देशिका सिंक के साथ संयोजन में उपयोग किए जाने वाले पासवर्ड को सिंक्रनाइज़ करने के लिए Google Apps पासवर्ड सिंक (GAPS) है । लेकिन मैंने अभी तक इसका उपयोग नहीं किया है।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.