При необходимости можно предоставить пользователям возможность изменять свои пароли Active Directory с портала или приложения Workspace ONE в любое удобное для них время. Пользователи также могут выполнять сброс своих паролей Active Directory на странице входа VMware Identity Manager, если пароль просрочен или если администратор Active Directory сбросил пароль, чтобы пользователь изменил его при следующем входе в систему.

Этот параметр можно включить для всего каталога, выбрав параметр Разрешить изменение паролей на странице «Параметры каталога».

Пользователи могут сменить свои пароли при входе на портал Workspace ONE. Для этого они должны щелкнуть свое имя в правом верхнем углу экрана, выбрать в раскрывающемся меню пункт Учетная запись и щелкнуть ссылку Изменить пароль. В приложении Workspace ONE пользователи могут сменить свои пароли, щелкнув значок меню в виде трех полос и выбрав пункт Пароль.

Пароли с истекшим сроком действия и пароли, сброшенные администратором в Active Directory, можно изменить на странице входа в систему. Если пользователь попытается войти в систему с просроченным паролем, ему будет предложено сбросить пароль. Для этого пользователь должен ввести старый и новый пароль.

Требования, предъявляемые к новым паролям, определяются политикой использования паролей Active Directory. Количество разрешенных попыток также зависит от политики использования паролей Active Directory.

Действуют следующие ограничения.

  • При добавлении глобального каталога в VMware Identity Manager параметр Разрешить изменение паролей недоступен. При добавлении каталогов можно выбрать параметр «Active Directory с протоколом LDAP» или «Проверка подлинности Windows», используя порт 389 или 636.
  • Пароль пользователя с различающимся именем для подключения нельзя сбросить из VMware Identity Manager, даже если он просрочен или сброшен администратором Active Directory.

    Рекомендуется использовать учетную запись пользователя с привязкой DN и паролем без срока действия.

  • Пароли пользователей, чьи имена для входа содержат многобайтные символы (отличные от ASCII), из VMware Identity Manager сбросить нельзя.
Примечание: Параметр «Разрешить изменение паролей» невозможно включить для каталогов ACC.

Необходимые условия

  • На функциональном уровне домена для контроллеров доменов Active Directory должна поддерживаться ОС Windows 2008 или более поздние версии.
  • На VMware Identity Manager нужно открыть порт 464 для контроллеров домена. В развертывании SaaS для контроллеров домена необходимо открыть на VMware Identity Manager Connector порт 464.
  • Для Active Directory необходимо использовать один из следующих форматов основных имен пользователей.
    • Обычный формат основных имен пользователей: samaccountname@domain
    • Альтернативный формат основных имен пользователей с префиксом: alternativePrefix@domain
    • Альтернативный формат основных имен пользователей с суффиксом: samaccountname@alternativeSuffix

    Формат основных имен пользователей alternativePrefix@alternativeSuffix не поддерживается.

  • Часы соединителя и контроллеров доменов должны быть синхронизированы.
  • Параметр Разрешить изменение паролей доступен для соединителей версии 2016.11.1 и более поздних версий.

Процедура

  1. В консоли VMware Identity Manager выберите вкладку Управление учетными данными и доступом.
  2. На странице Каталоги щелкните каталог.
  3. В разделе Разрешить изменение паролей установите флажок Включить функцию изменения паролей.
  4. Введите пароль для различающегося имени для подключения в разделе Сведения о пользователе подключения и нажмите кнопку Сохранить.