Notificação

Planejando sua estratégia de retorno ao escritório? Veja como o Chrome OS pode ajudar.

Como funciona o Notificador de Senha Alterada do Active Directory?

Depois que o CPN para o AD é instalado e configurado, o token de senha de um usuário é invalidado sempre que um usuário do Active Directory altera a senha.

  1. Quando a senha de um usuário é alterada, a solicitação de atualização é enviada para um controlador de domínio (DC, na sigla em inglês).
  2. O CPN para AD Dynamic Link Library (DLL) é chamado pelo Microsoft Windows nesse DC com o nome de usuário.
  3. O serviço recebe o nome de usuário da DLL.
  4. O serviço anexa o nome de domínio do arquivo de configuração (ChangedPasswordNotifier.config, parâmetro domain) ao nome de usuário para receber o endereço de e-mail do usuário.
  5. O serviço atualiza sua Conta do Google usando a API Device Token. Inclua a API na lista de permissões e abra a porta HTTPS 443. Para as APIs do Google Workspace funcionarem corretamente, você precisa abrir várias portas e adicionar alguns nomes de host à lista de permissões.
    Propósito URL

    Autenticação

    Para mais detalhes, consulte Usar o OAuth 2.0 para aplicativos de servidor da Web (em inglês).

    https://accounts.google.com/o/oauth2

    https://www.googleapis.com/oauth2

    https://oauth2.googleapis.com/token
    Ponto de entrada principal da API

    https://*.googleapis.com

    (onde * é qualquer string que não contenha um ponto)
  6. O usuário vai precisar fazer login on-line ou desbloquear o dispositivo, dependendo da configuração da política de Logon único via SAML, para atualizar a senha do ChromeOS local. Veja mais detalhes na etapa 4 em Configurar o Logon único via SAML nos dispositivos ChromeOS.

Detalhes técnicos

  • O CPN para AD tem um DLL, changed_password_notifier_dll.dll, instalado como um pacote de notificações LSA. Veja mais informações sobre os pacotes de notificação de LSA em Instalando e registrando uma DLL de filtro de senha.
  • Quando uma senha é alterada em um DC específico, a DLL recebe o nome do usuário. É preciso instalar o CPN para o AD em cada DC gravável porque a sincronização da senha é acionada pelo Windows no DC que recebe a alteração de senha. Isso acontece para todas as atualizações de senha, sejam elas feitas por um administrador ou usuário final. Veja mais informações sobre a função de callback PasswordChangeNotify em PSAM_PASSWORD_NOTIFICATION_ROUTINE.
  • Quando a DLL recebe o nome de usuário, ele o envia para o serviço CPN para o AD.
  • O serviço do CPN para o AD, ChangedPasswordNotifier.exe, anexa o nome do domínio a partir do arquivo de configuração, ChangedPasswordNotifier.config, parâmetro domain, ao nome de usuário para derivar o endereço de e-mail do usuário.
  • O serviço CPN para AD notifica a Conta do Google usando a API Device Token. Dependendo da configuração da política de Logon único via SAML, os usuários vão precisar fazer login on-line na próxima vez que entrarem na tela de login ou de bloqueio dos dispositivos ChromeOS. Veja mais detalhes na etapa 4 em Configurar o Logon único via SAML nos dispositivos ChromeOS.
  • O serviço CPN para o AD segue as considerações de programação de filtro de senha da Microsoft. Veja mais detalhes em Considerações sobre programação de filtro de senha.
 
Google e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas às quais eles estão associados.

Isso foi útil?

Como podemos melhorá-lo?
true
Pesquisa
Limpar pesquisa
Fechar pesquisa
Menu principal
17819632590929593875
true
Pesquisar na Central de Ajuda
true
true
true
true
true
410864
false
false