diff --git a/src/pentesting-cloud/workspace-security/gws-workspace-sync-attacks-gcpw-gcds-gps-directory-sync-with-ad-and-entraid/gws-admin-directory-sync.md b/src/pentesting-cloud/workspace-security/gws-workspace-sync-attacks-gcpw-gcds-gps-directory-sync-with-ad-and-entraid/gws-admin-directory-sync.md index 0f8b726ce..d97415912 100644 --- a/src/pentesting-cloud/workspace-security/gws-workspace-sync-attacks-gcpw-gcds-gps-directory-sync-with-ad-and-entraid/gws-admin-directory-sync.md +++ b/src/pentesting-cloud/workspace-security/gws-workspace-sync-attacks-gcpw-gcds-gps-directory-sync-with-ad-and-entraid/gws-admin-directory-sync.md @@ -4,21 +4,21 @@ ## Informations de base -La principale différence entre cette méthode de synchronisation des utilisateurs avec GCDS est que GCDS se fait manuellement avec des binaires que vous devez télécharger et exécuter tandis que **la synchronisation du répertoire Admin est sans serveur** gérée par Google à [https://admin.google.com/ac/sync/externaldirectories](https://admin.google.com/ac/sync/externaldirectories). +La principale différence entre cette méthode de synchronisation des utilisateurs avec GCDS est que GCDS est effectuée manuellement avec des binaires que vous devez télécharger et exécuter tandis que **la synchronisation du répertoire Admin est sans serveur** gérée par Google à [https://admin.google.com/ac/sync/externaldirectories](https://admin.google.com/ac/sync/externaldirectories). -Au moment de la rédaction, ce service est en version bêta et il prend en charge 2 types de synchronisation : depuis **Active Directory** et depuis **Azure Entra ID :** +Au moment de la rédaction de ce document, ce service est en version bêta et prend en charge 2 types de synchronisation : depuis **Active Directory** et depuis **Azure Entra ID :** - **Active Directory :** Pour configurer cela, vous devez donner **accès à Google à votre environnement Active Directory**. Et comme Google n'a accès qu'aux réseaux GCP (via **VPC connectors**), vous devez créer un connecteur et ensuite rendre votre AD disponible depuis ce connecteur en l'ayant dans des VM sur le réseau GCP ou en utilisant Cloud VPN ou Cloud Interconnect. Ensuite, vous devez également fournir **des identifiants** d'un compte avec un accès en lecture sur le répertoire et un **certificat** pour contacter via **LDAPS**. - **Azure Entra ID :** Pour configurer cela, il suffit de **se connecter à Azure avec un utilisateur ayant un accès en lecture** sur l'abonnement Entra ID dans une fenêtre contextuelle affichée par Google, et Google conservera le jeton avec un accès en lecture sur Entra ID. -Une fois correctement configurées, les deux options permettront de **synchroniser les utilisateurs et les groupes vers Workspace**, mais elles ne permettront pas de configurer les utilisateurs et les groupes de Workspace vers AD ou EntraID. +Une fois correctement configurées, les deux options permettront de **synchroniser les utilisateurs et les groupes avec Workspace**, mais elles ne permettront pas de configurer les utilisateurs et les groupes de Workspace vers AD ou EntraID. -D'autres options qu'elles permettront lors de cette synchronisation sont : +D'autres options qui seront autorisées lors de cette synchronisation sont : - Envoyer un e-mail aux nouveaux utilisateurs pour se connecter - Changer automatiquement leur adresse e-mail pour celle utilisée par Workspace. Donc, si Workspace utilise `@hacktricks.xyz` et que les utilisateurs EntraID utilisent `@carloshacktricks.onmicrosoft.com`, `@hacktricks.xyz` sera utilisé pour les utilisateurs créés dans le compte. - Sélectionner les **groupes contenant les utilisateurs** qui seront synchronisés. -- Sélectionner les **groupes** à synchroniser et créer dans Workspace (ou indiquer de synchroniser tous les groupes). +- Sélectionner les **groupes** à synchroniser et à créer dans Workspace (ou indiquer de synchroniser tous les groupes). ### D'AD/EntraID -> Google Workspace (& GCP) @@ -50,7 +50,7 @@ Si la synchronisation de, par exemple, EntraID vers Workspace est **configurée ### De Google Workspace -> AD/EntraID -Notez que Workspace nécessite des identifiants avec un accès en lecture seule sur AD ou EntraID pour synchroniser les utilisateurs et les groupes. Par conséquent, il n'est pas possible d'abuser de Google Workspace pour effectuer des modifications dans AD ou EntraID. Donc **ce n'est pas possible** à ce moment. +Notez que Workspace nécessite des identifiants avec un accès en lecture sur AD ou EntraID pour synchroniser les utilisateurs et les groupes. Par conséquent, il n'est pas possible d'abuser de Google Workspace pour effectuer des modifications dans AD ou EntraID. Donc **ce n'est pas possible** à ce moment. Je ne sais également pas où Google stocke les identifiants AD ou le jeton EntraID et vous **ne pouvez pas les récupérer en reconfigurant la synchronisation** (ils n'apparaissent pas dans le formulaire web, vous devez les fournir à nouveau). Cependant, depuis le web, il pourrait être possible d'abuser de la fonctionnalité actuelle pour **lister les utilisateurs et les groupes**.