Было бы так здорово, если бы я мог просто избежать всего мусора API и установить на один из моих серверов программу, которая будет активно отслеживать AD и G-Apps и синхронизировать данные между ними. Я мог просто создать специальные учетные записи администратора как в AD, так и в GApps для использования этой программой.
При желании он может предложить веб-портал для сброса / восстановления паролей.
Кто-нибудь знает такую программу? Я бы предпочел программу для Windows с хорошим установщиком.
Это слишком много, чтобы просить?
Да, во многом это так. Пароли в Google и AD хранятся с использованием одностороннего хеша. Хэши между ними несовместимы. Если вы не хотите принимать на себя риск сохранения обратимого пароля в AD, ваш единственный выбор - использовать решение SSO. К сожалению, решение SSO работает только в Интернете. Параметр SSO не работает для аутентификации imap / smtp / xmpp.
Ни один из инструментов, говорящих на языке SAML, не прост в настройке. Как вы сказали, обычно требуется настройка довольно сложного веб-стека.
Смотрите мой ответ Вот для описания того, чем занималась наша организация.
Вот фильтр паролей, решающий проблему синхронизации. http://code.google.com/p/sha1hexfltr/ Затем вы можете использовать инструмент синхронизации каталогов Google.