Google Apps로 할 수있는 몇 가지 작업이 있습니다.
당신은 설치 캔 SAML의 광고 네트워크 다음 설정 구글에 연결된 서버는 SAML 서버에 대해 Google 애플리케이션 액세스를 인증으로. PHP를 실행하기위한 서버 설정이 이미 있고 PHP 기술이있는 개발자가 있기 때문에 simpleSAMLphp 라는 PHP 응용 프로그램을 사용했습니다 . SAML 솔루션 만 사용하는 단점은 웹을 통해서만 계정에 로그인 할 수 있다는 것입니다. 즉, imap / pop을 통해 사서함에 액세스 할 수 없으며 이전 XMPP 클라이언트로 Google 토크에 로그인 할 수 없습니다.
SAML을 사용해도 Google Apps 도메인에 계정이 자동으로 생성되지는 않습니다. 또한 Google Apps 디렉토리 동기화 도구를 사용할 수 있도록 계정을 동기화하는 도구가 필요할 것입니다 . 이렇게하면 계정을 만들 수 있지만 Windows 비밀번호 해시는 되돌릴 수 없으며 Google은 아무 것도 할 수 없기 때문에 기본적으로 비밀번호를 동기화하지 않습니다.
PasswdHk 와 같은 것을 사용 하여 AD의 비밀번호 변경 사항을 인터셉트 한 후 Google 디렉토리 동기화 유틸리티가 Google Apps 비밀번호를 설정하는 데 사용할 수있는 형식 (비염 식 sha1)으로 비밀번호를 저장할 수 있습니다. 그러나 Google은 프로비저닝 API를 통해 비염 염 md5 또는 sha1 비밀번호 해시 만 허용 하고 Google과 동기화하려면 기본적으로 이러한 해시를 저장해야 하므로 약간의 보안 위험 이 있습니다. 이것을 사용하려면 이러한 해시를 안전하게 유지하는 것이 매우 중요합니다.
흠. imap / pop에 대해 조금까지 SAML에 대해 흥분했습니다. 그것은 윈도우 모바일과 블랙 베리 클라이언트를 사용하는 모든 사람들을 죽일 것입니다. 거기에 영리한 대안이 있습니까?
비밀번호 해시 저장의 위험을 감수하고 싶다면 SSO와 디렉토리 동기화를 결합하여 작업 시스템을 확보 할 수 있습니다.
대안으로 누군가 도메인의 사용자가 Google 계정을 초기화하고 Google 계정의 비밀번호를 설정하는 인트라넷 포털을 개발할 수 있습니다. 나는 이와 같은 것을 개발하는 것을 고려했지만 동료가 그것이 갈 길이라고 동의하게 할 수는 없었습니다.
기본 아이디어는 이것입니다.
- 인트라넷에 상주하고 활성 디렉토리에 대해 인증
- 사용자가 인트라넷 사이트에 로그인하고 AD에서 필요한 다른 정보를 얻은 다음 Google 프로비저닝 API를 사용하여 사용자 계정을 추가 / 업데이트하는 데 사용한 사용자 이름과 비밀번호를 사용하는 기능이 있습니다.
도구를 만드는 것이 너무 어려워서는 안됩니다. 개발 시간이 12-16 시간 밖에 걸리지 않는 기본적인 것을 해킹했다고 생각했습니다. 이 솔루션의 장점은 100 % Google Apps 기능을 제공한다는 점이며, 최종 사용자에게는 다소 불편 함이 있다는 단점이 있습니다.