Если приложение Change Password Notifier для Active Directory (CPN для AD) настроено, то изменение паролей пользователей в Active Directory ведет к аннулированию их паролей в других сервисах.
- После того как пароль пользователя был изменен, контроллеру домена отправляется запрос на обновление.
- Microsoft Windows вызывает на контроллере динамически подключаемую библиотеку (DLL) приложения CPN для AD и передает ей имя пользователя.
- DLL передает это имя сервису.
- Сервис добавляет к имени пользователя имя домена из файла конфигурации (параметр domain в файле ChangedPasswordNotifier.config), чтобы получить адрес электронной почты пользователя.
- После этого сервис обновляет аккаунт Google с помощью Device Token API. Добавьте этот API в белый список и откройте HTTPS-порт 443. Чтобы обеспечить правильную работу Google Workspace API, вам потребуется открыть несколько портов и добавить некоторые имена хостов в белый список.
Назначение URL Аутентификация
Подробнее об использовании OAuth 2.0 для веб-серверных приложений…
https://accounts.google.com/o/oauth2
https://www.googleapis.com/oauth2
https://oauth2.googleapis.com/token
Главная точка входа API https://*.googleapis.com
(символ * обозначает строку без точки)
- После этого, в зависимости от настроек системы единого входа на базе SAML, пользователю потребуется или выполнить вход онлайн, или разблокировать свое устройство, чтобы обновить локальный пароль для ChromeOS. Подробные сведения приведены в статье Как настроить систему единого входа на базе SAML для устройств с ChromeOS (раздел "Шаг 4").
Технические сведения
- В CPN для AD есть динамически подключаемая библиотека changed_password_notifier_dll.dll, которая устанавливается как пакет уведомлений LSA. Подробные сведения об этом пакете приведены в статье Установка и регистрация библиотеки DLL фильтра паролей.
- Когда пароль на каком-либо контроллере домена изменяется, DLL получает имя пользователя. Вам потребуется установить CPN для AD на каждом контроллере, доступном для записи, поскольку Windows запускает синхронизацию паролей на том контроллере, который получает обновленный пароль. Это происходит при каждом обновлении пароля независимо от того, кто его изменяет, – администратор или конечный пользователь. Подробные сведения о функции обратного вызова PasswordChangeNotify приведены в статье о функции PSAM_PASSWORD_NOTIFICATION_ROUTINE.
- Получив имя пользователя, DLL передает его в сервис CPN для AD.
- Этот сервис (ChangedPasswordNotifier.exe) добавляет доменное имя из файла конфигурации (параметр domain в файле ChangedPasswordNotifier.config) к имени пользователя, чтобы получить его адрес электронной почты.
- Сервис CPN для AD отправляет уведомление в аккаунт Google с помощью Device Token API. В зависимости от настроек системы единого входа на базе SAML пользователям потребуется выполнить вход онлайн, когда они в следующий раз окажутся на экране входа или на заблокированном экране своего устройства с ChromeOS. Подробные сведения приведены в статье Как настроить систему единого входа на базе SAML для устройств с ChromeOS (раздел "Шаг 4").
- Сервис CPN для AD учитывает рекомендации по программированию фильтра паролей Microsoft. Подробнее об этих рекомендациях…
Google, а также другие связанные знаки и логотипы являются товарными знаками компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.