कुछ ऐसी चीजें हैं जो आप Google Apps के साथ कर सकते हैं।
आप अपने AD नेटवर्क से जुड़े SAML सर्वर को सेटअप कर सकते हैं और फिर SAML सर्वर के विरुद्ध अपने Google Apps एक्सेस को प्रमाणित करने के लिए Google को सेटअप कर सकते हैं। हमने simpleSAMLphp नामक एक php एप्लिकेशन का उपयोग किया है क्योंकि हमारे पास पहले से ही PHP चलाने के लिए सर्वर सेटअप है और हमारे पास php कौशल के साथ डेवलपर्स हैं। अकेले एसएएमएल समाधान का उपयोग करने का दोष यह है कि आप केवल वेब के माध्यम से खातों में प्रवेश कर सकते हैं। इसका मतलब है कि आप अपने मेलबॉक्स को imap / pop के माध्यम से एक्सेस नहीं कर सकते हैं, और आप किसी भी पुराने XMPP क्लाइंट के साथ Google पर बात नहीं कर सकते हैं।
SAML का उपयोग करने से Google Apps डोमेन में स्वचालित रूप से खाते नहीं बनते हैं। आपको शायद एक ऐसे उपकरण की भी आवश्यकता होगी जो आपके लिए खातों को सिंक्रोनाइज़ करेगा जो आप Google Apps निर्देशिका सिंक टूल का उपयोग कर सकते हैं । यह आपको खाते बनाने की अनुमति देगा, लेकिन यह अभी भी डिफ़ॉल्ट रूप से पासवर्ड सिंक नहीं करेगा क्योंकि विंडोज पासवर्ड हैश उलटा नहीं है और Google उनके साथ कुछ भी नहीं कर सकता है।
अपने AD में पासवर्ड परिवर्तन को रोकने के लिए PasswdHk जैसी किसी चीज़ का उपयोग करना संभव है और फिर पासवर्ड को एक प्रारूप (अनसाल्टेड sha1) में संग्रहीत करें जिसका उपयोग Google निर्देशिका सिंक उपयोगिता Google Apps पासवर्ड सेट करने के लिए कर सकती है। लेकिन यह थोड़ा सुरक्षा जोखिम जोड़ता है क्योंकि Google केवल अपने प्रोविजनिंग एपीआई के माध्यम से अनसाल्टेड md5 या sha1 पासवर्ड हैश को स्वीकार करेगा , और Google के साथ सिंक करने के लिए, आपको मूल रूप से इन हैश को स्टोर करना होगा। यदि आप इसका उपयोग करते हैं, तो इन हैश को सुरक्षित रखना बहुत महत्वपूर्ण है।
Hmmph। आप सभी मुझे SAML के बारे में उत्साहित करते थे जब तक कि मैं imap / pop के बारे में नहीं जानता। यह विंडोज़ मोबाइल और ब्लैकबेरी क्लाइंट का उपयोग करने वाले सभी लोगों को मार देगा, है न? कोई चालाक विकल्प वहाँ?
यदि आप पासवर्ड हैश के भंडारण के जोखिम को स्वीकार करने के लिए तैयार हैं, तो SSO और डायरेक्ट्री सिंकिंग को एक साथ मिलकर एक कार्य प्रणाली प्राप्त करने में सक्षम हैं।
विकल्प के रूप में कोई व्यक्ति इंट्रानेट पोर्टल विकसित कर सकता है, जहां आपके डोमेन के उपयोगकर्ता अपने Google खाते को आरंभ करने के लिए जाएंगे और Google खाते के लिए पासवर्ड सेट करेंगे। मैंने इस तरह से कुछ विकसित करने पर विचार किया था, लेकिन अपने सहकर्मियों को यह मानने के लिए नहीं मिला कि यह जाने का रास्ता है।
मूल विचार यह है, एक वेबप का निर्माण करें
- आपके इंट्रानेट पर रहता है और आपकी सक्रिय निर्देशिका के खिलाफ प्रमाणित करता है
- एक फ़ंक्शन है जो उपयोगकर्ता नाम और पासवर्ड लेगा जिसका उपयोग उपयोगकर्ता इंट्रानेट साइट पर लॉगिन करने के लिए करता था और आपको एडी से किसी अन्य जानकारी की आवश्यकता होती है, और फिर उपयोगकर्ताओं के खाते को जोड़ने / अपडेट करने के लिए Google प्रोविजनिंग एपीआई का उपयोग करें।
उपकरण का निर्माण वास्तव में बहुत मुश्किल नहीं होना चाहिए, मैंने अनुमान लगाया था कि कुछ बुनियादी चीज़ों को हैक करने में केवल 12-16 घंटे का विकास समय लगेगा। इस समाधान का लाभ यह है कि यह आपको 100% Google Apps कार्यक्षमता प्रदान करता है, नकारात्मक पक्ष यह है कि यह अंत-उपयोगकर्ता को कुछ हद तक असुविधा पहुँचाता है।