Il y a quelques choses que vous pouvez faire avec Google Apps.
Vous pouvez configurer un serveur SAML connecté à votre réseau AD, puis configurer Google pour authentifier votre accès Google Apps par rapport au serveur SAML. Nous avons utilisé une application php appelée simpleSAMLphp car nous avons déjà des serveurs configurés pour exécuter PHP et nous avons des développeurs ayant des compétences en php. L'inconvénient de l'utilisation d'une solution SAML seule est que vous ne pouvez vous connecter qu'à des comptes via le Web. Cela signifie que vous ne pouvez pas accéder à votre boîte aux lettres via imap / pop et que vous ne pouvez pas vous connecter à Google Talk avec un ancien client XMPP.
L'utilisation de SAML ne crée pas automatiquement de comptes dans le domaine Google Apps. Vous aurez également probablement besoin d'un outil qui synchronisera les comptes pour que vous puissiez utiliser l' outil de synchronisation de l' annuaire Google Apps . Cela vous permettra de créer des comptes, mais il ne synchronisera toujours pas les mots de passe par défaut car les hachages de mot de passe Windows ne sont pas réversibles et Google ne peut rien faire avec eux.
Il est possible d'utiliser quelque chose comme PasswdHk pour intercepter les modifications de mot de passe dans votre AD, puis stocker le mot de passe dans un format (shaal non salé) que l'utilitaire de synchronisation d'annuaire Google peut utiliser pour définir les mots de passe Google Apps. Mais cela ajoute un peu de risque de sécurité car Google n'acceptera que les hachages de mot de passe md5 ou sha1 non salés via son API de provisioning , et pour se synchroniser avec Google, vous devez essentiellement stocker ces hachages. Si vous devez l'utiliser, il est très important de garder ces hachages en sécurité.
Hmmph. Vous m'avez enthousiasmé pour SAML jusqu'à ce que vous parliez d'imap / pop. Cela tuerait tous les gens qui utilisent des clients Windows Mobile et BlackBerry, n'est-ce pas? Y a-t-il des alternatives intelligentes?
Si vous êtes prêt à accepter le risque de stocker les hachages de mot de passe, vous pouvez alors combiner l'authentification unique et la synchronisation d'annuaire pour obtenir un système fonctionnel.
Comme alternative, quelqu'un pourrait développer un portail Intranet où les utilisateurs de votre domaine iraient pour initialiser leur compte Google et définir le mot de passe pour le compte Google. J'avais envisagé de développer quelque chose comme ça, mais je n'ai pas pu convaincre mes collègues que c'était la voie à suivre.
L'idée de base est la suivante: créer une application Web qui
- Vit sur votre intranet et s'authentifie par rapport à votre annuaire actif
- A une fonction qui prendra le nom d'utilisateur et le mot de passe que l'utilisateur a utilisé pour se connecter au site intranet et obtenir toutes les autres informations dont vous avez besoin de l'AD, puis utiliser l'API Google Provisioning pour ajouter / mettre à jour le compte des utilisateurs.
Construire l'outil ne devrait vraiment pas être trop difficile, j'avais estimé que pirater quelque chose de basique ne prendrait que 12 à 16 heures de temps de développement. L'avantage de cette solution est qu'elle vous offre 100% de fonctionnalités Google Apps, l'inconvénient est qu'elle gêne quelque peu l'utilisateur final.