安装并配置 CPN for AD 后,每当 Active Directory 用户更改密码时,用户的密码令牌都会失效。
- 当用户的密码发生变化时,系统会向网域控制器 (DC) 发送更新请求。
- 此网域控制器中的 Microsoft Windows 会调用包含相应用户名的 CPN for AD 动态链接库 (DLL)。
- 服务从 DLL 接收用户名。
- 服务将配置文件(ChangedPasswordNotifier.config, 参数为 domain)中的域名附加到用户名,以获取用户的电子邮件地址。
- 服务使用 Device Token API 更新 Google 帐号。您必须将该 API 列入许可名单,并打开 HTTPS 端口 443。要让 Google Workspace API 正常运行,您必须打开多个端口并将一些主机名添加到许可名单。
目的 网址 身份验证
如需了解详情,请参阅 Using OAuth 2.0 for Web Server Applications(针对网络服务器应用使用 OAuth 2.0)。
https://accounts.google.com/o/oauth2
https://www.googleapis.com/oauth2
https://oauth2.googleapis.com/token
主要 API 入口点 https://*.googleapis.com
(其中 * 代表不包含句点的字符串)
- 系统随后会根据 SAML 单点登录政策设置要求用户在线登录或解锁设备,以更新其本地 ChromeOS 密码。如需了解详情,请参阅为 ChromeOS 设备配置 SAML 单点登录中的第 4 步。
技术详情
- CPN for AD 包含一个以 LSA 通知包形式安装的 DLL (changed_password_notifier_dll.dll)。如需详细了解 LSA 通知包,请参阅 Installing and Registering a Password Filter DLL(安装和注册密码过滤器 DLL)。
- 如果特定 DC 上的密码发生更改,DLL 就会收到用户的用户名。CPN for AD 必须安装在每个可写 DC 上,因为在收到密码更改的 DC 上,Windows 会触发密码同步。无论更新密码的是管理员还是最终用户,都会触发密码更新。如需详细了解 PasswordChangeNotify 回调函数,请参阅 PSAM_PASSWORD_NOTIFICATION_ROUTINE 回调函数。
- DLL 收到用户名后,会将其发送到 CPN for AD 服务。
- CPN for AD 服务 ChangedPasswordNotifier.exe 会将配置文件 ChangedPasswordNotifier.config 中的域名和参数 domain 附加到用户名,以生成用户的电子邮件地址。
- CPN for AD 服务会使用 Device Token API 通知 Google 帐号。根据 SAML 单点登录政策设置,用户下次前往 ChromeOS 设备的登录屏幕或锁定屏幕时,必须在线登录。如需了解详情,请参阅为 ChromeOS 设备配置 SAML 单点登录中的第 4 步。
- CPN for AD 服务符合 Microsoft 密码筛选器编程注意事项中的相关要求。如需了解详情,请参阅密码筛选器编程注意事项。
“Google”以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。