Google Apps, AD 및 SSO


15

우리는 이메일 요구를 위해 Google Apps (Enterprise)를 운영하는 소규모 상점입니다. 그것을 사랑하십시오. 내부적으로는 Windows AD (2003)를 사용하고 있습니다. 불만도 없습니다.

AD가 Google 직원이 비밀번호를 관리하고 주기적으로 변경해야하는 유일한 장소가되도록 AD와 Google Apps간에 SSO를 사용하는 방법을 찾고 싶습니다.

과거에 Google의 "tfm"을 살펴 봤지만 제대로 이해하지 못하는 것 같습니다. 누구든지 이것을합니까? 그렇다면 어떻게 공유 하시겠습니까? 많은 복잡성과 비용 없이도 할 수 있습니까?


우리는이 일을하고 있지만, 전 과정을 완전히 시작하지는 않습니다. 프로그래머 중 한 명에게 물어볼 수 있도록 월요일까지 기다려야합니다.
l0c0b0x 2016 년

@ l0c0b0x : 나는 모두 귀입니다 :-)
Chris_K 08:24

Zoreache의 답변 읽기 :)
l0c0b0x 1

답변:


9

Google Apps로 할 수있는 몇 가지 작업이 있습니다.

당신은 설치 캔 SAML의 광고 네트워크 다음 설정 구글에 연결된 서버는 SAML 서버에 대해 Google 애플리케이션 액세스를 인증으로. PHP를 실행하기위한 서버 설정이 이미 있고 PHP 기술이있는 개발자가 있기 때문에 simpleSAMLphp 라는 PHP 응용 프로그램을 사용했습니다 . SAML 솔루션 만 사용하는 단점은 웹을 통해서만 계정에 로그인 할 수 있다는 것입니다. 즉, imap / pop을 통해 사서함에 액세스 할 수 없으며 이전 XMPP 클라이언트로 Google 토크에 로그인 할 수 없습니다.

SAML을 사용해도 Google Apps 도메인에 계정이 자동으로 생성되지는 않습니다. 또한 Google Apps 디렉토리 동기화 도구를 사용할 수 있도록 계정을 동기화하는 도구가 필요할 것입니다 . 이렇게하면 계정을 만들 수 있지만 Windows 비밀번호 해시는 되돌릴 수 없으며 Google은 아무 것도 할 수 없기 때문에 기본적으로 비밀번호를 동기화하지 않습니다.

PasswdHk 와 같은 것을 사용 하여 AD의 비밀번호 변경 사항을 인터셉트 한 후 Google 디렉토리 동기화 유틸리티가 Google Apps 비밀번호를 설정하는 데 사용할 수있는 형식 (비염 식 sha1)으로 비밀번호를 저장할 수 있습니다. 그러나 Google은 프로비저닝 API를 통해 비염 염 md5 또는 sha1 비밀번호 해시 만 허용 하고 Google과 동기화하려면 기본적으로 이러한 해시를 저장해야 하므로 약간의 보안 위험 이 있습니다. 이것을 사용하려면 이러한 해시를 안전하게 유지하는 것이 매우 중요합니다.

흠. imap / pop에 대해 조금까지 SAML에 대해 흥분했습니다. 그것은 윈도우 모바일과 블랙 베리 클라이언트를 사용하는 모든 사람들을 죽일 것입니다. 거기에 영리한 대안이 있습니까?

비밀번호 해시 저장의 위험을 감수하고 싶다면 SSO와 디렉토리 동기화를 결합하여 작업 시스템을 확보 할 수 있습니다.

대안으로 누군가 도메인의 사용자가 Google 계정을 초기화하고 Google 계정의 비밀번호를 설정하는 인트라넷 포털을 개발할 수 있습니다. 나는 이와 같은 것을 개발하는 것을 고려했지만 동료가 그것이 갈 길이라고 동의하게 할 수는 없었습니다.

기본 아이디어는 이것입니다.

  • 인트라넷에 상주하고 활성 디렉토리에 대해 인증
  • 사용자가 인트라넷 사이트에 로그인하고 AD에서 필요한 다른 정보를 얻은 다음 Google 프로비저닝 API를 사용하여 사용자 계정을 추가 / 업데이트하는 데 사용한 사용자 이름과 비밀번호를 사용하는 기능이 있습니다.

도구를 만드는 것이 너무 어려워서는 안됩니다. 개발 시간이 12-16 시간 밖에 걸리지 않는 기본적인 것을 해킹했다고 생각했습니다. 이 솔루션의 장점은 100 % Google Apps 기능을 제공한다는 점이며, 최종 사용자에게는 다소 불편 함이 있다는 단점이 있습니다.


흠. imap / pop에 대해 조금까지 SAML에 대해 흥분했습니다. 그것은 윈도우 모바일과 블랙 베리 클라이언트를 사용하는 모든 사람들을 죽일 것입니다. 거기에 영리한 대안이 있습니까? 아마도 이것이 왜 흔한 지 아닌지보기 시작했을 것입니다.
Chris_K

편집 및 추가 정보에 감사드립니다. 나는 지금 숙고해야 할 것이 많다.
Chris_K

3
Google 은이를 처리해야하는 Google Apps 비밀번호 동기화 (GAPS) 라는 새로운 비밀번호 동기화 제품을 출시했습니다 .
Zoredache

2

나도 이것에 대한 더 나은 답변을보고 싶습니다.

나는 주변에 연주 Google Apps 디렉토리 동기화 Active Directory 사용자로부터 Google 사용자를 동기화 할 수 있습니다. AD의 LDAP 구현이 비밀번호를 암호화 된 이진 필드에 보관한다는 점까지는 부풀어 보였습니다. Google의 동기화 도구는 액세스 할 수 없습니다.

구글의 다른 SSO 솔루션 은 테이블을 돌리는 것처럼 보이며, 구글은 권위있는 자격 증명 소스입니다. 우리는 그것에 관심이 없습니다. 인터넷 액세스가 중단되면 LAN에서 어떤 일이 발생합니까?

지금 당장 최선의 해결책은 사용자 이름과 비밀번호가 포함 된 Google Apps 스프레드 시트이며, CSV로 내보내고 Google Apps로 대량으로 가져옵니다 . 비밀번호 변경은 처리하지 않습니다. 지금까지 우리가 가진 최선은 Windows 비밀번호 정책이 강제로 변경 될 때 사용자에게 Google 및 Windows 비밀번호를 동일한 새 비밀번호로 변경하도록 교육하는 것입니다.


1
Google SAML 서비스에 대한 귀하의 의견이 정확하지 않습니다 (2 차). SAML을 사용하면 로컬 네트워크의 서비스에서 인증을 수행 할 수 있습니다. 귀하의 AD는 권한을 부여 할 수있는 권위있는 출처입니다. 디렉토리 동기화와 SAML 통합을 병렬로 실행하면별로 유용하지 않습니다.
Zoredache

좋습니다, 정정 주셔서 감사합니다. 귀하의 코멘트 후, 나는 좀 더 검색 및 SAML 인증 흐름이 좋은 개요 발견 code.google.com/apis/apps/sso/...을 .
Jesper M

2

다음은 광고에 해시를 저장하는 비밀번호 필터입니다. http://code.google.com/p/sha1hexfltr/ 광고에 해시를 안전하게 저장합니다. SSO 불필요, 새로운 서버 불필요!


1

흠, 아무도 SSO를하지 않습니까? 조금 놀랐다고 고백합니다!

롤링하기 : PingConnect가 다른 채널을 통해 제안했습니다. 누구든지 사용 했습니까?



0

Oracle Internet Directory + Oracle SSO (및 IBM TIM / TAM)와 같은 일부 제품을 사용하면 타사 시스템에 연결할 수 있습니다. 즉, 제품이 AD와 동기화되도록 구성되었으며 상상 한 다른 모든 제품에 자격 증명을 저장합니다. 자격 증명을 원하는 시스템 (이 경우 Google Apps)에 시드하는 새 로그인 링크가 표시됩니다.

이러한 구성을 시작하고 실행하는 것은 매우 복잡하며 비용도 들기 때문에 모든 조직에 적합하지는 않습니다.


당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.