Вопрос или проблема
Я вижу множество решений, позволяющих Google Apps использовать внешние службы AD и LDAP для входа.
Однако у меня уже есть множество пользователей, настроенных в Google Apps, и я пытаюсь сделать обратное. То есть, я хотел бы позволить пользователям входить на мои внешние серверы, используя учетные записи, которые я создал в Google Apps.
Кто-нибудь успешно нашел способ использовать домен Google Apps в качестве Open Directory, Active Directory или LDAP провайдера?
Это абсолютно невозможно.
Да, есть средства для синхронизации между локальными службами каталогов и каталогом Google, но это не означает, что вы можете использовать каталог Google как AD, OD или даже простую службу LDAP.
Теперь, если все, что вы хотите, это дать пользователям возможность использовать свои учетные данные Google для входа в ваше приложение, обратите внимание на OpenID.
Примечание: См. ответ 4 года спустя после этого ответа от trs-80, в котором говорится, что Google представил решение.
http://www.nabber.org/projects/oneldap/ предоставляет бэкенд для OpenLDAP, который по крайней мере может аутентифицировать пользователей против различных сервисов (IMAP, POP, SSH и т.д.). Будет возможно написать плагин, чтобы использовать Google Client Login API напрямую, если вы этого хотите.
Это решение по крайней мере будет работать для приложения, использующего LDAP для аутентификации, но это далеко от полноценного сервера LDAP/AD.
Google только что выпустил Secure LDAP, что и необходимо вам. Обратите внимание, что вам понадобится G Suite Enterprise, G Suite для образования или добавление Cloud Identity Premium в ваш домен.
по сути, вы хотите, чтобы Google Apps работал как ваш контроллер домена?
Я не думаю, что Google Apps имеет возможность фактически быть DS (службой каталогов). Тем не менее, вы можете использовать ADFS 2.0 в вашем домене, чтобы позволить пользователям Google Apps входить в основанные на требованиях приложения, которые вы хостите.
Этот учебник (который рассматривает расширение SharePoint с помощью входов OpenID) охватывает ADFS 2.0, SSO, Федерацию и все другие принципы, которые необходимо понять, чтобы это осуществить.
Я также искал решение для этого, и единственное, что я могу найти — это https://jumpcloud.com/
Он предоставляет LDAP и использует каталог Google для информации о пользователях.
RCDevs интегрирует Google Workspace в последних версиях WebADM, позволяя вам синхронизировать идентификаторы и группы из Google Workspace в бэкенд LDAP, настроенный с помощью фреймворка WebADM. Эти синхронизированные учетные записи могут затем использоваться для различных интеграций, таких как VPN, клиентские приложения LDAP и клиентские приложения OpenID/SAML. Пароли для синхронизированных пользователей могут проверяться либо локально, либо через Google Workspace. Посмотрите здесь: https://www.one-iam.com/
Ответ или решение
Использование Google Apps как провайдера Open Directory, Active Directory или LDAP
Всё больше организаций стремятся интегрировать свои решения с возможностями, предоставляемыми Google Apps (в настоящее время Google Workspace). Особенно это касается возможности аутентификации пользователей через существующие учетные записи Google. Если у вас уже есть пользователи, настроенные в Google Apps, и вы хотите использовать эти учетные записи для авторизации на внешних серверах, в этой статье мы рассмотрим, как это можно сделать.
1. Понимание текущей ситуации
Google Apps не может напрямую работать как сервер Active Directory (AD) или LDAP. Однако благодаря последним обновлениям Google, вы всё же можете использовать учетные записи Google для аутентификации пользователей в ваших приложениях и системах.
2. Использование Google Secure LDAP
Google представил решение под названием Secure LDAP, доступное в Google Workspace Enterprise, Google Workspace для образовательных учреждений или при наличии Cloud Identity Premium. Это позволяет интегрировать Google Directory как LDAP провайдера.
Шаги для настройки Secure LDAP:
-
Шаг 1: Убедитесь, что ваша учетная запись Google соответствует требованиям для использования Secure LDAP.
-
Шаг 2: Перейдите в консоль администратора Google и настройте Secure LDAP.
-
Шаг 3: Настройте клиент LDAP на вашем сервере. Вы сможете подключаться к Google Workspace как к LDAP-серверу, используя нативные LDAP-инструменты и технологии.
3. Интеграционные решения через ADFS и OpenID
Если ваш основной интерес заключается в том, чтобы пользователи могли входить в ваши приложения с использованием учетных записей Google, вы можете рассмотреть возможность использования ADFS (Active Directory Federation Services) или OpenID.
-
ADFS: используется для настройки доверительных отношений между вашим доменом и средой Google.
-
OpenID: подходит для веб-приложений, позволяющим пользователям использовать свои учетные данные Google для входа в приложение.
Применение ADFS также позволит организовать единую систему аутентификации для ваших приложений на основе формируемых заявок (claims).
4. Использование сторонних решений
Существует несколько сторонних решений, которые могут помочь в интеграции Google Workspace с LDAP. Например:
-
JumpCloud: это решение предоставляет LDAP и использует Google Directory для управления пользователями.
-
RCDevs WebADM: платформа, которая интегрирует Google Workspace и позволяет синхронизировать учетные записи и группы с LDAP. Вы можете использовать эти учетные записи для различных интеграций, таких как VPN и клиентские приложения LDAP.
5. Заключение
Подводя итог, хочется подчеркнуть, что хотя Google Workspace и не может полностью заменить Active Directory или LDAP, с последними обновлениями, такими как Secure LDAP, стало возможным интегрировать Google как провайдер аутентификации. Выбор метода интеграции будет зависеть от ваших требований и архитектуры системы.
Если вы смотрите в сторону аутентификации пользователей через Google, то решение может варьироваться от использования Secure LDAP до применения ADFS и OpenID. Не забывайте изучить сторонние решения, которые могут сделать интеграцию более простой и эффективной.
Все эти методы позволят вам максимально использовать ресурсы Google Workspace, сохраняя при этом безопасность и производительность вашей системы.