您可以设置连接到 AD 网络的SAML服务器,然后设置 Google 以针对 SAML 服务器验证您的 Google Apps 访问权限。我们使用了一个名为simpleSAMLphp的 php 应用程序,因为我们已经设置了服务器来运行 PHP,并且我们拥有具有 php 技能的开发人员。单独使用 SAML 解决方案的缺点是您只能通过 Web 登录帐户。这意味着您无法通过 imap/pop 访问您的邮箱,并且您无法使用任何旧的 XMPP 客户端登录 Google talk。
使用 SAML 不会自动在 Google Apps 域中创建帐户。您可能还需要一个工具来同步您可以使用Google Apps Directory同步工具的帐户。这将允许您创建帐户,但默认情况下它仍然不会同步密码,因为 Windows 密码哈希是不可逆的,Google 无法对它们做任何事情。
可以使用PasswdHk 之类的东西来拦截 AD 中的密码更改,然后以 Google 目录同步实用程序可以用来设置 Google Apps 密码的格式(未加盐的 sha1)存储密码。但这确实增加了一些安全风险,因为 Google 只会通过其Provisioning API接受未加盐的 md5 或 sha1 密码哈希,并且要与 Google 同步,您基本上必须存储这些哈希。如果您要使用它,保持这些哈希值的安全非常重要。
嗯。在谈到 imap/pop 之前,您让我对 SAML 感到非常兴奋。那会杀死所有使用 Windows Mobile 和黑莓客户端的人,不是吗?那里有任何聪明的选择吗?
如果您愿意接受存储密码哈希的风险,那么可以将 SSO 和目录同步结合在一起以获得一个工作系统。
作为替代方案,有人可以开发一个 Intranet 门户,您域中的用户可以在其中初始化他们的 Google 帐户并设置 Google 帐户的密码。我曾考虑开发类似的东西,但无法让我的同事同意这是要走的路。
基本思路是这样的,构建一个 webapp
存在于您的 Intranet 上并针对您的活动目录进行身份验证
具有一个功能,该功能将获取用户用于登录 Intranet 站点的用户名和密码,并从 AD 获取您需要的任何其他信息,然后使用 Google Provisioning API 添加/更新用户帐户。
构建这个工具真的不应该太难,我估计只需要 12-16 个小时的开发时间就可以破解一些基本的东西。此解决方案的优点是它为您提供了 100% 的 Google Apps 功能,缺点是它给最终用户带来了一些不便。
我使用Google Apps Directory Sync将 Google 用户与 Active Directory 用户同步。它看起来很不错,直到我读到 AD 的 LDAP 实现将密码保存在加密的二进制字段中,而 Google 的同步工具无法访问该字段。
Google 的其他 SSO 解决方案似乎扭转了局面,因此 Google 是凭据的权威来源。我们对此不感兴趣;如果我们的 Internet 访问中断,我们的 LAN 会发生什么?
所以现在我最好的解决方案是一个带有用户名和密码的 Google Apps 电子表格,然后我们将其导出到 CSV,然后批量导入到 Google Apps。这不处理密码更改。到目前为止,我们最好的方法是教育我们的用户在 Windows 密码策略强制更改时将 Google 和 Windows 密码更改为相同的新密码。
一些产品,如 Oracle Internet Directory + Oracle SSO(和 IBM TIM/TAM)允许连接到第 3 方系统。这意味着该产品配置为与 AD 同步,并将凭据存储到您想象的所有其他产品。您将获得一个新的登录链接,该链接将凭据植入您想要的系统(在本例中为 Google Apps),仅此而已。
您可以使用 Google Apps 做一些事情。
您可以设置连接到 AD 网络的SAML服务器,然后设置 Google 以针对 SAML 服务器验证您的 Google Apps 访问权限。我们使用了一个名为simpleSAMLphp的 php 应用程序,因为我们已经设置了服务器来运行 PHP,并且我们拥有具有 php 技能的开发人员。单独使用 SAML 解决方案的缺点是您只能通过 Web 登录帐户。这意味着您无法通过 imap/pop 访问您的邮箱,并且您无法使用任何旧的 XMPP 客户端登录 Google talk。
使用 SAML 不会自动在 Google Apps 域中创建帐户。您可能还需要一个工具来同步您可以使用Google Apps Directory同步工具的帐户。这将允许您创建帐户,但默认情况下它仍然不会同步密码,因为 Windows 密码哈希是不可逆的,Google 无法对它们做任何事情。
可以使用PasswdHk 之类的东西来拦截 AD 中的密码更改,然后以 Google 目录同步实用程序可以用来设置 Google Apps 密码的格式(未加盐的 sha1)存储密码。但这确实增加了一些安全风险,因为 Google 只会通过其Provisioning API接受未加盐的 md5 或 sha1 密码哈希,并且要与 Google 同步,您基本上必须存储这些哈希。如果您要使用它,保持这些哈希值的安全非常重要。
如果您愿意接受存储密码哈希的风险,那么可以将 SSO 和目录同步结合在一起以获得一个工作系统。
作为替代方案,有人可以开发一个 Intranet 门户,您域中的用户可以在其中初始化他们的 Google 帐户并设置 Google 帐户的密码。我曾考虑开发类似的东西,但无法让我的同事同意这是要走的路。
基本思路是这样的,构建一个 webapp
构建这个工具真的不应该太难,我估计只需要 12-16 个小时的开发时间就可以破解一些基本的东西。此解决方案的优点是它为您提供了 100% 的 Google Apps 功能,缺点是它给最终用户带来了一些不便。
我也很想看到一个更好的答案。
我使用Google Apps Directory Sync将 Google 用户与 Active Directory 用户同步。它看起来很不错,直到我读到 AD 的 LDAP 实现将密码保存在加密的二进制字段中,而 Google 的同步工具无法访问该字段。
Google 的其他 SSO 解决方案似乎扭转了局面,因此 Google 是凭据的权威来源。我们对此不感兴趣;如果我们的 Internet 访问中断,我们的 LAN 会发生什么?
所以现在我最好的解决方案是一个带有用户名和密码的 Google Apps 电子表格,然后我们将其导出到 CSV,然后批量导入到 Google Apps。这不处理密码更改。到目前为止,我们最好的方法是教育我们的用户在 Windows 密码策略强制更改时将 Google 和 Windows 密码更改为相同的新密码。
这是一个将哈希存储在广告中的密码过滤器。http://code.google.com/p/sha1hexfltr/它安全地将哈希值保存在广告中。无需 SSO,无需新服务器!
嗯,没有人做 SSO 的事情吗?我承认我有点惊讶!
只是为了让事情顺利进行:我已经通过其他渠道建议了PingConnect 。有人用过吗?
您可以使用 LemonLDAP::NG 来做到这一点。请参阅http://lemonldap-ng.org/documentation/latest/applications/googleapps
一些产品,如 Oracle Internet Directory + Oracle SSO(和 IBM TIM/TAM)允许连接到第 3 方系统。这意味着该产品配置为与 AD 同步,并将凭据存储到您想象的所有其他产品。您将获得一个新的登录链接,该链接将凭据植入您想要的系统(在本例中为 Google Apps),仅此而已。
请记住,启动和运行这样的配置非常复杂,并且可能还会花费您一些钱,因此它并不适合每个组织。
看起来有Google Apps Password Sync (GAPS)用于同步要与活动目录同步结合使用的密码。但我还没有使用它。