Vous pouvez permettre aux utilisateurs de modifier leurs mots de passe Active Directory à partir du portail ou de l'application Workspace ONE à n'importe quel moment. Les utilisateurs peuvent également réinitialiser leurs mots de passe Active Directory sur la page de connexion de VMware Identity Manager si le mot de passe a expiré ou si l'administrateur Active Directory a réinitialisé le mot de passe, ce qui force l'utilisateur à modifier le mot de passe lors de la prochaine connexion.

Activez cette option par répertoire, en sélectionnant l'option Autoriser la modification du mot de passe sur la page Paramètres de répertoire.

Les utilisateurs peuvent modifier leurs mots de passe lorsqu'ils sont connectés au portail Workspace ONE en cliquant sur leur nom dans le coin supérieur droit, en sélectionnant Compte dans le menu déroulant et en cliquant sur le lien Changer le mot de passe. Dans l'application Workspace ONE, les utilisateurs peuvent modifier leurs mots de passe en cliquant sur l'icône de menu à trois barres et en sélectionnant Mot de passe.

Les mots de passe expirés ou les mots de passe réinitialisés par l'administrateur dans Active Directory peuvent être modifiés sur la page de connexion. Lorsqu'un utilisateur tente de se connecter avec un mot de passe expiré, il est invité à le réinitialiser. L'utilisateur doit entrer l'ancien mot de passe ainsi que le nouveau mot de passe.

Les exigences du nouveau mot de passe sont déterminées par la stratégie de mot de passe d'Active Directory. Le nombre de tentatives autorisées dépend également de la stratégie de mot de passe d'Active Directory.

Les limites suivantes s'appliquent.

  • Lorsqu'un répertoire est ajouté à VMware Identity Manager en tant que catalogue global, l'option Autoriser la modification du mot de passe n'est pas disponible. Il est possible d'ajouter des répertoires en tant qu'annuaires Active Directory sur LDAP ou Authentification Windows intégrée, à l'aide des ports 389 ou 636.
  • Le mot de passe d'un utilisateur de Bind DN ne peut pas être réinitialisé à partir de VMware Identity Manager, même s'il expire ou si l'administrateur Active Directory le réinitialise.

    Il est recommandé d'utiliser un compte d'utilisateur de Bind DN avec un mot de passe sans date d'expiration.

  • Les mots de passe d'utilisateurs dont les noms de connexion comportent des caractères multioctets (caractères non-ASCII) ne peuvent pas être réinitialisés à partir de VMware Identity Manager.
Note : L'option Autoriser la modification du mot de passe ne peut pas être activée pour les annuaires ACC.

Conditions préalables

  • Le niveau fonctionnel du domaine des contrôleurs de domaine Active Directory doit être défini sur Windows 2008 ou version ultérieure.
  • Le port 464 doit être ouvert entre VMware Identity Manager et les contrôleurs de domaine. Dans un déploiement SaaS, le port 464 doit être ouvert entre le VMware Identity Manager Connector et les contrôleurs de domaine.
  • Active Directory doit utiliser l'un des formats UPN suivants :
    • Format UPN standard : samaccountname@domain
    • Autre format de préfixe UPN : alternativePrefix@domain
    • Autre format de suffixe UPN : samaccountname@alternativeSuffix

    Le format UPN de la valeur alternativePrefix@alternativeSuffix n'est pas pris en charge.

  • Les horloges sur le connecteur et les contrôleurs de domaine doivent être synchronisées.
  • L'option Autoriser la modification du mot de passe est disponible avec le connecteur version 2016.11.1 et version ultérieure.

Procédure

  1. Dans la console VMware Identity Manager, cliquez sur l'onglet Identité et gestion de l'accès.
  2. Dans l'onglet Répertoires, cliquez sur le répertoire.
  3. Dans la section Autoriser la modification du mot de passe, cochez la case Activer la modification du mot de passe.
  4. Entrez le mot de passe de Bind DN dans la section Détails de l'utilisateur Bind et cliquez sur Enregistrer.