Una volta installato e configurato, CPN per AD invalida un token della password degli utenti ogni volta che un utente di Active Directory cambia la propria password.
- Quando la password di un utente viene modificata, la richiesta di aggiornamento viene inviata al controller di dominio.
- La libreria di collegamento dinamico (DLL) di CPN per AD viene chiamata da Microsoft Windows su quel controller di dominio con il nome utente.
- Il servizio riceve il nome utente da DLL.
- Il servizio collega il nome di dominio dal file di configurazione (ChangedPasswordNotifier.config, parametro domain) al nome utente per ottenere l'indirizzo email dell'utente.
- Il servizio aggiorna l'Account Google utilizzando l'API Device Token. Devi inserire l'API nella lista consentita e aprire la porta HTTPS 443. Affinché le API Google Workspace funzionino correttamente, devi aprire diverse porte e aggiungere alcuni nomi di host alla tua lista consentita.
Finalità URL Autenticazione
Per maggiori dettagli, consulta l'articolo sull'utilizzo di OAuth 2.0 per applicazioni server web.
https://accounts.google.com/o/oauth2
https://www.googleapis.com/oauth2
https://oauth2.googleapis.com/token
Principale punto di accesso dell'API https://*.googleapis.com
(dove * rappresenta qualsiasi stringa che non contiene un punto)
- All'utente viene richiesto di accedere online o di sbloccare il dispositivo in base alla configurazione del criterio Single Sign-On SAML per aggiornare la password locale di ChromeOS. Per maggiori dettagli, consulta il passaggio 4 dell'articolo Configurare il servizio Single Sign-On basato su SAML per i dispositivi ChromeOS.
Dettagli tecnici
- CPN for AD ha installato una libreria DLL, changed_password_notifier_dll.dll, come pacchetto di notifiche LSA. Per maggiori informazioni sui pacchetti di notifiche LSA, consulta Installazione e registrazione di una DLL del filtro password.
- Quando una password viene cambiata su un determinato controller di dominio, la DLL riceve il nome utente dell'utente. CPN per AD deve essere installato su ogni controller di dominio scrivibile, in quanto Windows sul controller di dominio che riceve la modifica della password attiva la sincronizzazione della password. L'attivazione avviene a ogni aggiornamento di password, a prescindere da chi sia a eseguirla, un amministratore o l'utente finale. Per maggiori informazioni sulla funzione di callback PasswordChangeNotify, consulta la funzione di callback PSAM_PASSWORD_NOTIFICATION_ROUTINE.
- Quando la DLL riceve il nome utente, lo invia al servizio CPN per AD.
- Il servizio CPN per AD, ChangedPasswordNotifier.exe, collega il nome di dominio dal file di configurazione, ChangedPasswordNotifier.config, parametro domain, al nome utente da ricavare Indirizzo email dell'utente.
- Il servizio CPN per AD invia una notifica all'Account Google utilizzando l'API Device Token. A seconda della configurazione del criterio Single Sign-On SAML, gli utenti devono accedere online alla successiva visualizzazione della schermata di accesso o di blocco dei loro dispositivi ChromeOS. Per maggiori dettagli, consulta il passaggio 4 dell'articolo Configurare il servizio Single Sign-On basato su SAML per i dispositivi ChromeOS.
- Il servizio CPN per AD segue le considerazioni sulla programmazione del filtro password di Microsoft. Per maggiori dettagli, consulta Considerazioni sulla programmazione del filtro password.
Google e marchi e loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle rispettive società a cui sono associati.