Google Apps, AD et SSO

15

Nous sommes une petite boutique exécutant Google Apps (Enterprise) pour nos besoins de messagerie. Aimer. En interne, nous utilisons Windows AD (2003). Rien à redire non plus.

Je voudrais obtenir une méthode d'authentification unique entre AD et Google Apps, de sorte qu'AD soit le seul endroit où mes parents doivent gérer (et MODIFIER périodiquement!) Les mots de passe.

J'ai regardé les "tfm" de google par le passé, mais je suppose que je ne comprends pas très bien. Quelqu'un fait-il cela? Si oui, seriez-vous prêt à partager comment? Peut-il être fait sans énormément de complexité et de dépenses?

active-directory g-suite single-sign-on Chris_K
la source
Nous le faisons, mais je ne suis pas entièrement au courant de tout le processus. Vous devrez attendre jusqu'à lundi pour que je puisse demander à l'un de nos programmeurs.
l0c0b0x
@ l0c0b0x: Je suis tout ouïe :-)
Chris_K
Lire la réponse de Zoreache :)
l0c0b0x
serverfault.com/questions/15898/…
Corey

Réponses:

9

Il y a quelques choses que vous pouvez faire avec Google Apps.

Vous pouvez configurer un serveur SAML connecté à votre réseau AD, puis configurer Google pour authentifier votre accès Google Apps par rapport au serveur SAML. Nous avons utilisé une application php appelée simpleSAMLphp car nous avons déjà des serveurs configurés pour exécuter PHP et nous avons des développeurs ayant des compétences en php. L'inconvénient de l'utilisation d'une solution SAML seule est que vous ne pouvez vous connecter qu'à des comptes via le Web. Cela signifie que vous ne pouvez pas accéder à votre boîte aux lettres via imap / pop et que vous ne pouvez pas vous connecter à Google Talk avec un ancien client XMPP.

L'utilisation de SAML ne crée pas automatiquement de comptes dans le domaine Google Apps. Vous aurez également probablement besoin d'un outil qui synchronisera les comptes pour que vous puissiez utiliser l' outil de synchronisation de l' annuaire Google Apps . Cela vous permettra de créer des comptes, mais il ne synchronisera toujours pas les mots de passe par défaut car les hachages de mot de passe Windows ne sont pas réversibles et Google ne peut rien faire avec eux.

Il est possible d'utiliser quelque chose comme PasswdHk pour intercepter les modifications de mot de passe dans votre AD, puis stocker le mot de passe dans un format (shaal non salé) que l'utilitaire de synchronisation d'annuaire Google peut utiliser pour définir les mots de passe Google Apps. Mais cela ajoute un peu de risque de sécurité car Google n'acceptera que les hachages de mot de passe md5 ou sha1 non salés via son API de provisioning , et pour se synchroniser avec Google, vous devez essentiellement stocker ces hachages. Si vous devez l'utiliser, il est très important de garder ces hachages en sécurité.

Hmmph. Vous m'avez enthousiasmé pour SAML jusqu'à ce que vous parliez d'imap / pop. Cela tuerait tous les gens qui utilisent des clients Windows Mobile et BlackBerry, n'est-ce pas? Y a-t-il des alternatives intelligentes?

Si vous êtes prêt à accepter le risque de stocker les hachages de mot de passe, vous pouvez alors combiner l'authentification unique et la synchronisation d'annuaire pour obtenir un système fonctionnel.

Comme alternative, quelqu'un pourrait développer un portail Intranet où les utilisateurs de votre domaine iraient pour initialiser leur compte Google et définir le mot de passe pour le compte Google. J'avais envisagé de développer quelque chose comme ça, mais je n'ai pas pu convaincre mes collègues que c'était la voie à suivre.

L'idée de base est la suivante: créer une application Web qui

  • Vit sur votre intranet et s'authentifie par rapport à votre annuaire actif
  • A une fonction qui prendra le nom d'utilisateur et le mot de passe que l'utilisateur a utilisé pour se connecter au site intranet et obtenir toutes les autres informations dont vous avez besoin de l'AD, puis utiliser l'API Google Provisioning pour ajouter / mettre à jour le compte des utilisateurs.

Construire l'outil ne devrait vraiment pas être trop difficile, j'avais estimé que pirater quelque chose de basique ne prendrait que 12 à 16 heures de temps de développement. L'avantage de cette solution est qu'elle vous offre 100% de fonctionnalités Google Apps, l'inconvénient est qu'elle gêne quelque peu l'utilisateur final.

Zoredache
la source
Hmmph. Vous m'aviez tout excité à propos de SAML jusqu'au bout sur l'imap / pop. Cela tuerait tous les gens qui utilisent des clients Windows Mobile et BlackBerry, n'est-ce pas? Y a-t-il des alternatives intelligentes? Peut-être que je commence à voir pourquoi ce n'est pas aussi courant ...
Chris_K
Merci pour la modification et les informations supplémentaires. J'ai beaucoup à méditer maintenant.
Chris_K
3
Google a publié un nouveau produit de synchronisation de mot de passe appelé Google Apps Password Sync (GAPS) qui devrait désormais gérer cela.
Zoredache
2

Moi aussi, j'aimerais voir une meilleure réponse à celle-ci.

J'ai joué avec Google Apps Directory Sync pour synchroniser les utilisateurs Google avec les utilisateurs Active Directory. Cela semblait gonflé, jusqu'au point où j'ai lu que l'implémentation LDAP d'AD conserve le mot de passe dans un champ binaire crypté, auquel l'outil de synchronisation de Google ne peut pas accéder.

L' autre solution SSO de Google semble renverser la vapeur, de sorte que Google est la source faisant autorité des informations d'identification. Cela ne nous intéresse pas; que se passerait-il sur notre réseau local si notre accès Internet était en panne?

En ce moment, ma meilleure solution est une feuille de calcul Google Apps avec les noms d'utilisateur et les mots de passe, que nous exportons ensuite au format CSV et l' import en masse vers Google Apps . Cela ne gère pas les modifications de mot de passe. Jusqu'à présent, le mieux que nous ayons est d'éduquer nos utilisateurs à changer à la fois le mot de passe Google et Windows pour le même nouveau mot de passe lorsque la politique de mot de passe Windows force un changement.

Jesper M
la source
1
Votre commentaire sur le service Google SAML n'est pas exact (2e paragraphe). SAML vous permet d'avoir un service sur votre réseau local pour faire l'authentification. Votre AD serait la source faisant autorité pour l'autorisation. Ce que vous êtes censé faire est d'exécuter la synchronisation d'annuaire et l'intégration SAML en parallèle, ils ne sont pas très utiles séparément.
Zoredache
Super, merci pour la correction. Après votre commentaire, j'ai cherché un peu plus et j'ai trouvé cette belle vue d'ensemble du flux d'authentification SAML code.google.com/apis/apps/sso/… .
Jesper M
2

Voici un filtre de mot de passe qui stocke le hachage dans l'annonce. http://code.google.com/p/sha1hexfltr/ Il enregistre en toute sécurité les hachages dans l'annonce. Aucun SSO nécessaire, aucun nouveau serveur nécessaire!


la source
1

Hmm, personne ne fait le truc SSO? J'avoue que je suis un peu surpris!

Juste pour faire avancer les choses: j'ai suggéré PingConnect via d'autres canaux. Quelqu'un l'a utilisé?

Chris_K
la source
0

Certains produits comme Oracle Internet Directory + Oracle SSO (et IBM TIM / TAM) permettent le raccordement à des systèmes tiers. Cela signifie que le produit est configuré pour se synchroniser avec AD et stocke les informations d'identification pour tous les autres produits que vous imaginez. Vous obtenez un nouveau lien de connexion qui amène les informations d'identification au système que vous souhaitez (dans ce cas - Google Apps), et c'est tout.

Gardez à l'esprit qu'il est assez compliqué de mettre en place une telle configuration et qu'elle peut également vous coûter de l'argent, donc elle ne convient pas à toutes les organisations.

Moshe
la source
0

Il semble qu'il y ait Google Apps Password Sync (GAPS) pour synchroniser les mots de passe à utiliser en combinaison avec la synchronisation Active Directory. Mais je ne l'ai pas encore utilisé.

Alex KeySmith
la source