Google Apps，AD和SSO

我们是一家小商店，可以运行Google Apps（Enterprise）来满足我们的电子邮件需求。爱它。在内部，我们使用Windows AD（2003）。那里也没有抱怨。

我想获得一些在AD和Google Apps之间进行SSO的方法，以使AD是我的人们唯一需要管理（并定期更改！）密码的地方。

我过去查看过Google的“ tfm”，但我想我只是不太了解。有没有人这样做？如果是这样，您愿意分享如何？无需大量的复杂性和费用就能完成吗？

您可以使用Google Apps做几件事。

您可以设置连接到AD网络的SAML服务器，然后设置Google以针对SAML服务器验证您的Google Apps访问权限。我们已经使用了一个名为simpleSAMLphp的php应用程序，因为我们已经安装了运行PHP的服务器，并且拥有具有php技能的开发人员。单独使用SAML解决方案的缺点是您只能通过Web登录帐户。这意味着您无法通过imap / pop访问邮箱，也无法使用任何旧的XMPP客户端登录到Google Talk。

使用SAML不会自动在Google Apps域中创建帐户。您可能还需要一个可以同步帐户的工具，以便可以使用Google Apps Directory同步工具。这将允许您创建帐户，但默认情况下仍不会同步密码，因为Windows密码哈希不可逆，并且Google无法对其进行任何操作。

可以使用PasswdHk之类的东西来拦截AD中的密码更改，然后以Google目录同步实用程序可以用来设置Google Apps密码的格式（未加盐sha1）存储密码。但这确实增加了一定的安全风险，因为Google将仅通过其Provisioning API接受未加盐的md5或sha1密码哈希，并且与Google同步，您基本上必须存储这些哈希。如果要使用此功能，确保这些哈希值安全非常重要。

m 直到对imap / pop有所了解之前，您都对SAML感到非常兴奋。那会杀死使用Windows Mobile和Blackberry客户端的所有用户，不是吗？有什么聪明的选择吗？

如果您愿意接受存储密码散列的风险，则可以将SSO和目录同步结合在一起，以获得一个正常工作的系统。

作为替代，有人可以开发一个Intranet门户，您域中的用户可以在该门户中初始化其Google帐户并设置Google帐户的密码。我曾考虑过开发类似的东西，但无法让我的同事同意这是必须走的路。

基本思想是这样，构建一个

• 驻留在您的Intranet上，并根据您的活动目录进行身份验证
• 具有一项功能，该功能将使用用户用来登录Intranet站点的用户名和密码，并从AD中获取您需要的任何其他信息，然后使用Google Provisioning API添加/更新用户帐户。

构建该工具真的不应该太困难，我估计可以破解一些基本的东西，只需要12到16个小时的开发时间。该解决方案的优势在于，它为您提供了100％的Google Apps功能，缺点是给最终用户带来了一定的不便。

我也很想看到一个更好的答案。

我玩过Google Apps Directory Sync，以同步Active Directory用户和Google用户。看起来很膨胀，直到我读到AD的LDAP实现将密码保存在加密的二进制字段中为止，Google的Sync工具无法访问该字段。

Google的其他SSO解决方案似乎可以扭转局面，因此Google是权威的凭据来源。我们对此不感兴趣；如果我们的Internet访问中断，在LAN上会发生什么？

因此，目前最好的解决方案是使用用户名和密码的Google Apps电子表格，然后将其导出为CSV，然后批量导入Google Apps。这不处理密码更改。到目前为止，我们最好的方法是教育用户在Windows密码策略强制更改时将Google和Windows密码都更改为相同的新密码。

这是一个密码过滤器，用于将哈希存储在广告中。http://code.google.com/p/sha1hexfltr/可以将散列安全地保存在广告中。无需SSO，无需新服务器！

嗯，没有人做SSO吗？我承认我有点惊讶！

只是为了让事情顺利进行：我通过其他渠道提出了PingConnect建议。有人用过吗？

您可以使用LemonLDAP :: NG来做到这一点。请参阅http://lemonldap-ng.org/documentation/latest/applications/googleapps

诸如Oracle Internet Directory + Oracle SSO（和IBM TIM / TAM）之类的某些产品允许连接到第三方系统。这意味着该产品被配置为与AD同步，并将凭据存储到您想象中的所有其他产品。您将获得一个新的登录链接，该链接将凭据植入所需的系统（在本例中为Google Apps），仅此而已。

请记住，启动和运行这样的配置非常复杂，并且可能还会花费您一些钱，因此它并不适合所有组织。

看起来好像有Google Apps Password Sync（GAPS），用于同步与Active Directory同步结合使用的密码。但是我还没有用过。