En configurant les paramètres dans Workspace ONE Access, vous pouvez permettre aux utilisateurs de modifier leurs mots de passe Active Directory à partir du portail ou de l'application Workspace ONE Intelligent Hub à n'importe quel moment. Les utilisateurs peuvent également réinitialiser leurs mots de passe Active Directory sur la page de connexion si le mot de passe a expiré ou si l'administrateur Active Directory a réinitialisé le mot de passe, ce qui force l'utilisateur à modifier le mot de passe lors de la prochaine connexion.

Définissez cette option par annuaire, en sélectionnant l'option Activer la modification du mot de passe dans l'onglet Paramètres de l'annuaire.

Les utilisateurs peuvent modifier leurs mots de passe lorsqu'ils sont connectés à Intelligent Hub à partir d'un navigateur en cliquant sur leur nom dans le coin supérieur droit, en sélectionnant Compte dans le menu déroulant et en cliquant sur le lien Modifier le mot de passe. Dans l'application Intelligent Hub, les utilisateurs peuvent modifier leurs mots de passe en cliquant sur l'icône de menu à trois barres et en sélectionnant Mot de passe.

Les mots de passe expirés ou les mots de passe réinitialisés par l'administrateur dans Active Directory peuvent être modifiés sur la page de connexion. Lorsqu'un utilisateur tente de se connecter avec un mot de passe expiré, il est invité à le réinitialiser. L'utilisateur doit entrer l'ancien mot de passe ainsi que le nouveau mot de passe.

La stratégie de mot de passe Active Directory détermine les conditions requises pour le nouveau mot de passe. Le nombre de tentatives autorisées dépend également de la stratégie de mot de passe d'Active Directory.

Note : Si Workspace ONE Access Connector est exécuté en mode FIPS, des conditions requises supplémentaires s'appliquent aux mots de passe. Reportez-vous à la section Workspace ONE Access Connector et mode FIPS pour votre version du connecteur.

Les limitations suivantes s'appliquent à l'option Activer la modification du mot de passe.

  • Lorsqu'un annuaire est ajouté à Workspace ONE Access en tant que catalogue global, l'option Activer la modification du mot de passe n'est pas disponible. Vous pouvez ajouter l'annuaire en tant qu'annuaire Active Directory sur LDAP ou Authentification Windows intégrée, à l'aide des ports 389 ou 636.
  • Le mot de passe d'un utilisateur de Bind DN ne peut pas être réinitialisé à partir de Workspace ONE Access, même s'il expire ou si l'administrateur Active Directory le réinitialise.

    Il est recommandé d'utiliser un compte d'utilisateur à nom unique de liaison avec un mot de passe sans date d'expiration.

  • Les mots de passe d'utilisateurs dont les noms de connexion comportent des caractères multioctets (caractères non-ASCII) ne peuvent pas être réinitialisés à partir de Workspace ONE Access.
Note : Vous ne pouvez pas sélectionner l'option Activer la modification du mot de passe pour les annuaires ACC.

Conditions préalables

  • Le niveau fonctionnel du domaine des contrôleurs de domaine Active Directory doit être défini sur Windows 2008 ou version ultérieure.
  • Le port 464 doit être ouvert entre le service de synchronisation d'annuaire et les contrôleurs de domaine.
  • Active Directory doit utiliser l'un des formats UPN suivants :
    • Format UPN standard : samaccountname@domain
    • Autre format de préfixe UPN : alternativePrefix@domain
    • Autre format de suffixe UPN : samaccountname@alternativeSuffix

    Le format UPN de la valeur alternativePrefix@alternativeSuffix n'est pas pris en charge.

  • Les horloges sur l'hôte du service de synchronisation d'annuaire et les contrôleurs de domaine doivent être synchronisées.

Procédure

  1. Dans la console Workspace ONE Access, sélectionnez Intégrations > Annuaires.
  2. Cliquez sur l'annuaire à configurer.
  3. Sélectionnez l'onglet Paramètres.
  4. Dans la section Autoriser la modification du mot de passe, cochez la case Activer la modification du mot de passe.
    ""
  5. Entrez le mot de passe de Bind DN dans la section Détails de l'utilisateur Bind et cliquez sur Enregistrer.