È possibile consentire agli utenti di modificare la propria password di Active Directory dall'app o dal portale Workspace ONE quando lo desiderano. Gli utenti possono inoltre modificare la propria password di Active Directory dalla pagina di accesso di VMware Identity Manager se la password è scaduta o se l'amministratore di Active Directory l'ha reimpostata, forzando gli utenti a cambiarla all'accesso successivo.
È possibile abilitare questa opzione per directory, selezionando l'opzione Consenti modifica password nella pagina Impostazioni directory.
Quando sono connessi al portale Workspace ONE, gli utenti possono cambiare la propria password facendo clic sul proprio nome nell'angolo in alto a destra, selezionando Account nel menu a discesa e facendo clic sul collegamento Cambia password. Nell'app Workspace ONE, gli utenti possono cambiare la propria password facendo clic sull'icona del menu con tre barre e selezionando Password.
Le password scadute o reimpostate dall'amministratore in Active Directory possono essere cambiate dalla pagina di accesso. Quando un utente prova ad accedere con una password scaduta, gli viene richiesto di reimpostarla. L'utente dovrà quindi specificare la vecchia password così come la nuova password.
I requisiti per la nuova password sono determinati dai criteri delle password di Active Directory. Dagli stessi criteri dipende anche il numero di tentativi consentiti.
Si applicano le limitazioni riportate di seguito.
- Quando una directory viene aggiunta a VMware Identity Manager come catalogo globale, l'opzione Consenti modifica password non è disponibile. Le directory possono essere aggiunte come Active Directory su LDAP o autenticazione integrata di Windows utilizzando le porte 389 o 636.
- La password di un utente Nome distinto di binding non può essere reimpostata da VMware Identity Manager, anche se è scaduta o se l'amministratore di Active Directory l'ha reimpostata.
L'uso di un utente Nome distinto di binding con una password che non ha scadenza è consigliato.
- Le password degli utenti i cui nomi di accesso sono costituiti da caratteri multibyte (caratteri non ASCII) non possono essere reimpostate da VMware Identity Manager.
Prerequisiti
- Il livello di funzionalità del dominio dei controller di dominio di Active Directory deve essere impostato su Windows 2008 o versioni successive.
- La porta 464 deve essere aperta da VMware Identity Manager ai controller di dominio. In una distribuzione SaaS, la porta 464 deve essere aperta dal VMware Identity Manager Connector ai controller di dominio.
- Active Directory deve utilizzare uno dei seguenti formati UPN:
- Formato UPN regolare: samaccountname@domain
- Formato prefisso UPN alternativo: alternativePrefix@domain
- Formato suffisso UPN alternativo: samaccountname@alternativeSuffix
Il formato UPN alternativePrefix@alternativeSuffix non è supportato.
- I clock del connettore e dei controller di dominio devono essere sincronizzati.
- L'opzione Consenti modifica password è disponibile solo con il connettore versione 2016.11.1 e successive.
Procedura
- Nella console di VMware Identity Manager, fare clic sulla scheda Gestione identità e accessi.
- Nella scheda Directory, fare clic sulla directory.
- Nella sezione Consenti modifica password, selezionare la casella di controllo Attiva modifica password.
- Immettere la password nome distinto di binding nella sezione Dettagli utente di binding, quindi fare clic su Salva.