Después de instalar y configurar CPN para AD, se invalida el token de contraseña de un usuario cada vez que un usuario de Active Directory cambia su contraseña.
- Cuando se cambia la contraseña de un usuario, la solicitud de actualización se envía a un controlador de dominio (DC).
- Microsoft Windows llama al CPN para la Biblioteca de Dynamic Links (DLL) con ese nombre de usuario.
- El servicio recibe el nombre de usuario de la DLL.
- El servicio adjunta el nombre de dominio del archivo de configuración (ChangedPasswordNotifier.config, parámetro domain) al nombre de usuario para obtener la dirección de correo electrónico del usuario.
- El servicio actualiza tu cuenta de Google con la API de token de dispositivo. Debes incluir la API en la lista de entidades permitidas y abrir el puerto HTTPS 443. Para que las APIs de Google Workspace funcionen correctamente, debes abrir varios puertos y agregar algunos nombres de host a tu lista de entidades permitidas.
Purpose URL Autenticación
Si deseas obtener más detalles, consulta cómo usar OAuth 2.0 para aplicaciones de servidor web.
https://accounts.google.com/o/oauth2
https://www.googleapis.com/oauth2
https://oauth2.googleapis.com/token
Punto de entrada de la API principal https://*.googleapis.com
(Donde * es cualquier string que no contiene un punto).
- Luego, se le solicita al usuario que acceda en línea o que desbloquee su dispositivo según la configuración de la política de inicio de sesión único de SAML para actualizar su contraseña local de Chrome OS. Para obtener más detalles, consulta el paso 4 del artículo sobre cómo configurar el inicio de sesión único de SAML en dispositivos ChromeOS.
Detalles técnicos
- El CPN para AD tiene un DLL, changed_password_notifier_dll.dll, instalado como paquete de notificaciones de LSA. Para obtener más información sobre los paquetes de notificación de LSA, consulta Cómo instalar y registrar un DLL de filtro de contraseña.
- Cuando se cambia una contraseña en un DC específico, la DLL recibe el nombre de usuario del usuario. El CPN para AD debe instalarse en cada DC que admita escritura, ya que Windows en el DC que recibe el cambio de contraseña activa la sincronización de contraseñas. El activador ocurre en cada actualización de la contraseña, ya sea que lo haga un administrador o un usuario final. Para obtener más información sobre la función de devolución de llamada PasswordChangeNotification, consulta la función de devolución de llamada PSAM_PASSWORD_NOTIFICATION_ROUTINE.
- Cuando la DLL recibe el nombre de usuario, lo envía al CPN para el servicio de AD.
- El CPN para el servicio de AD, ChangedPasswordNotifier.exe, adjunta el nombre de dominio del archivo de configuración ChangedPasswordNotifier.config, parámetro domain, al nombre de usuario a fin de derivar la dirección de correo electrónico del usuario.
- El servicio de CPN para AD notifica a la Cuenta de Google que usa la API de token de dispositivo. Según la configuración de la política de inicio de sesión único de SAML, los usuarios deberán acceder en línea la próxima vez que accedan o bloqueen la pantalla de sus dispositivos ChromeOS. Para obtener más detalles, consulte el paso 4 del artículo sobre cómo configurar el inicio de sesión único de SAML en dispositivos ChromeOS.
- El CPN para el servicio de AD sigue las consideraciones de programación de filtros de contraseña de Microsoft. Para obtener más información, consulta Consideraciones sobre la programación de filtros de contraseñas.
Google y las marcas y los logotipos relacionados son marcas de Google LLC. Todos los otros nombres de productos y empresas son marcas de las empresas con las que estén asociados.