Ci sono un paio di cose che puoi fare con Google Apps.
Puoi configurare un server SAML connesso alla tua rete AD e quindi impostare Google per l'autenticazione dell'accesso a Google Apps sul server SAML. Abbiamo usato un'applicazione php chiamata simpleSAMLphp perché abbiamo già i server configurati per eseguire PHP e abbiamo sviluppatori con competenze php. Lo svantaggio dell'utilizzo di una sola soluzione SAML è che puoi accedere solo agli account attraverso il web. Ciò significa che non puoi accedere alla tua casella di posta tramite imap / pop e non puoi accedere a Google Talk con qualsiasi vecchio client XMPP.
L'uso di SAML non crea automaticamente account nel dominio Google Apps. Probabilmente avrai anche bisogno di uno strumento che sincronizzi gli account per cui puoi utilizzare lo strumento di sincronizzazione della directory di Google Apps . Ciò ti consentirà di creare account, ma non sincronizzerà le password per impostazione predefinita perché gli hash delle password di Windows non sono reversibili e Google non può farci nulla.
È possibile utilizzare qualcosa come PasswdHk per intercettare le modifiche della password nel tuo annuncio e quindi archiviare la password in un formato (sha1 non salato) che l'utilità di sincronizzazione della directory di Google può utilizzare per impostare le password di Google Apps. Ma questo aggiunge un po 'di rischio per la sicurezza poiché Google accetterà solo hash di password md5 o sha1 non salati attraverso la sua API di provisioning e per sincronizzare con Google, in pratica è necessario archiviare questi hash. Se vuoi usarlo, è molto importante mantenere sicuri questi hash.
Hmmph. Mi hai entusiasmato tutti per SAML fino a quando non ho parlato di imap / pop. Ciò ucciderebbe tutte le persone che usano client Windows Mobile e Blackberry, no? Qualche alternativa intelligente lì?
Se si è disposti ad accettare il rischio di memorizzare gli hash delle password, è possibile combinare SSO e la sincronizzazione della directory per ottenere un sistema funzionante.
In alternativa, qualcuno potrebbe sviluppare un portale Intranet in cui gli utenti del tuo dominio dovrebbero andare per inizializzare il proprio account Google e impostare la password per l'account Google. Avevo preso in considerazione lo sviluppo di qualcosa del genere, ma non riuscivo a convincere i miei colleghi a concordare sul fatto che fosse la strada da percorrere.
L'idea di base è questa, costruisci una webapp che
- Vive sulla tua intranet e si autentica sulla tua directory attiva
- Dispone di una funzione che utilizzerà il nome utente e la password utilizzati dall'utente per accedere al sito Intranet e ottenere qualsiasi altra informazione necessaria dall'AD, quindi utilizzare l'API di provisioning di Google per aggiungere / aggiornare l'account degli utenti.
Costruire lo strumento in realtà non dovrebbe essere troppo difficile, avevo stimato di hackerare qualcosa di base che avrebbe richiesto solo 12-16 ore di tempo di sviluppo. Il vantaggio di questa soluzione è che ti offre la funzionalità Google Apps al 100%, il rovescio della medaglia è che in qualche modo disturba l'utente finale.