Una vez que hayas instalado y configurado Change Password Notifier (CPN), se invalidará el token de la contraseña del usuario cada vez que se cambie su contraseña de Active Directory.
- Cuando se cambia la contraseña de un usuario, se envía la solicitud de cambio a un controlador de dominio (DC).
- Microsoft Windows llama al CPN de la biblioteca de enlaces dinámicos (DLL) de Active Directory (AD) en ese controlador de dominio con el nombre de usuario.
- El servicio recibe el nombre de usuario de la DLL.
- El servicio vincula el nombre de dominio del archivo de configuración (ChangedPasswordNotifier.config, parámetro domain) al nombre de usuario para obtener la dirección de correo del usuario.
- El servicio actualiza tu cuenta de Google con la API Device Token. Debes incluir la API en la lista de permitidas y abrir el puerto HTTPS 443. Para que las APIs de Google Workspace funcionen correctamente, debes abrir varios puertos y añadir algunos nombres de host a tu lista de permitidos.
Objetivo URL Autenticación
Para obtener más información, consulta este artículo sobre cómo se usa OAuth 2.0 en las aplicaciones de servidor web.
https://accounts.google.com/o/oauth2
https://www.googleapis.com/oauth2
https://oauth2.googleapis.com/token
Punto de entrada principal de las APIs https://*.googleapis.com
(donde * es cualquier cadena que no contenga un punto)
- A continuación, se solicita al usuario que inicie sesión online o que desbloquee el dispositivo (en función de cómo se haya configurado la política de inicio de sesión único basado en SAML) para actualizar su contraseña local de Chrome OS. Para obtener más información, consulta el paso 4 del artículo sobre cómo configurar el inicio de sesión único basado en SAML en dispositivos Chrome OS.
Información técnica
- CPN para AD tiene una DLL, changed_password_notifier_dll.dll, instalada como paquete de notificación LSA. Para obtener más información sobre los paquetes de notificación LSA, consulta Instalar y registrar un archivo DLL de filtro de contraseña.
- Cuando se cambia una contraseña en un controlador de dominio concreto, la DLL recibe el nombre de usuario. CPN se debe instalar en cada controlador de dominio editable, ya que Windows activa la sincronización de la contraseña en el controlador que recibe el cambio de contraseña. La activación se produce cada vez que se actualiza la contraseña, independientemente de que lo haga un administrador o un usuario final. Para obtener más información sobre la función de retrollamada PasswordChangeNotify, consulta la función de retrollamada PSAM_PASSWORD_NOTIFICATION_ROUTINE.
- Cuando la DLL recibe el nombre de usuario, lo envía al CPN del servicio de AD.
- El servicio CPN, ChangedPasswordNotifier.exe, vincula el nombre de dominio del archivo de configuración (ChangedPasswordNotifier.config, parámetro domain) al nombre de usuario para obtener la dirección de correo del usuario.
- El servicio CPN de AD notifica a la cuenta de Google mediante la API Device Token. En función de cómo se haya configurado la política de inicio de sesión único basado en SAML, los usuarios deberán iniciar sesión online la próxima vez que accedan a la pantalla de inicio de sesión o de bloqueo de sus dispositivos Chrome OS. Para obtener más información, consulta el paso 4 del artículo sobre cómo configurar el inicio de sesión único basado en SAML en dispositivos Chrome OS.
- El servicio de CPN para AD sigue las consideraciones de programación de filtros de contraseñas de Microsoft. Para obtener más información, consulta las consideraciones sobre la programación de filtros de contraseñas.
Google y las marcas y los logotipos relacionados son marcas de Google LLC. Los demás nombres de empresas y de productos son marcas de las empresas a las que están asociados.