Google Apps、AD、SSO

Google Appsでできることはいくつかあります。

ADネットワークに接続された [〜＃〜] saml [〜＃〜] サーバーをセットアップし、SAMLサーバーに対するGoogle Appsアクセスを認証するようにGoogleをセットアップできます。 simpleSAMLphp と呼ばれるphpアプリケーションを使用しました。これは、PHPを実行するためのサーバー設定がすでにあり、phpスキルを持つ開発者がいるためです。SA​​MLソリューションだけを使用する欠点は、ログインできるのはWeb経由のアカウントのみです。つまり、imap/popからメールボックスにアクセスできず、古いXMPPクライアントでGoogleトークにログインできません。

SAMLを使用しても、Google Appsドメインにアカウントが自動的に作成されるわけではありません。 Google Apps Directory 同期ツールを使用できるように、アカウントを同期するツールもおそらく必要です。これでアカウントを作成できますが、Windowsパスワードハッシュは元に戻せず、Googleはそれらを使用して何もできないため、デフォルトではパスワードを同期しません。

PasswdHk のようなものを使用して、ADでのパスワード変更を傍受し、Googleディレクトリ同期ユーティリティがGoogle Appsパスワードを設定するために使用できる形式（無塩sha1）でパスワードを保存することができます。ただし、Googleは Provisioning API を介してソルトなしのmd5またはsha1パスワードハッシュのみを受け入れ、Googleと同期するには、基本的にこれらのハッシュを保存する必要があるため、これによりセキュリティリスクが少し追加されます。これを使用する場合は、これらのハッシュを安全に保つことが非常に重要です。

ふん。 imap/popについて少しまでSAMLについて興奮していた。それはウィンドウズモバイルとブラックベリークライアントを使用しているすべての人々を殺すでしょうね？そこで賢い選択肢はありますか？

パスワードハッシュを保存するリスクを受け入れる場合は、SSOとディレクトリの同期を組み合わせて、正常に機能するシステムを取得できます。

別の方法として、ドメイン内のユーザーが自分のGoogleアカウントを初期化し、Googleアカウントのパスワードを設定するイントラネットポータルを誰かが開発する可能性があります。私はこのようなものを開発することを考えていましたが、それが進むべき道であることを同僚に同意させることができませんでした。

基本的な考え方はこれです。

• イントラネット上に存在し、Active Directoryに対して認証します
• ユーザーがイントラネットサイトへのログインに使用したユーザー名とパスワードを取得し、ADから必要なその他の情報を取得して、Google Provisioning APIを使用してユーザーアカウントを追加/更新する機能があります。

ツールの構築はそれほど難しくはないはずです。開発に12〜16時間しかかからないような基本的なものをハックアウトすると推定していました。このソリューションの利点は、Google Appsの機能が100％提供されることです。欠点は、エンドユーザーにとって多少不便です。