Настроив параметры в Workspace ONE Access, можно предоставить пользователям возможность изменять свои пароли Active Directory из приложения Workspace ONE Intelligent Hub или через портал Workspace ONE в любое удобное для них время. Пользователи также могут выполнять сброс своих паролей Active Directory на странице входа, если пароль просрочен или если администратор Active Directory сбросил пароль, чтобы пользователь изменил его при следующем входе в систему.

Этот параметр можно настроить для всего каталога, выбрав параметр Включить функцию изменения паролей на вкладке Параметры каталога.

Войдя в Intelligent Hub, пользователи могут сменить свои пароли. Для этого они должны щелкнуть свое имя в правом верхнем углу экрана, выбрать в раскрывающемся меню пункт Учетная запись и щелкнуть ссылку Изменить пароль. В приложении Intelligent Hub пользователи могут сменить свои пароли, щелкнув значок меню в виде трех полос и выбрав пункт Пароль.

Пароли с истекшим сроком действия и пароли, сброшенные администратором в Active Directory, можно изменить на странице входа в систему. Если пользователь попытается войти в систему с просроченным паролем, ему будет предложено сбросить пароль. Для этого пользователь должен ввести старый и новый пароль.

Политика паролей Active Directory определяет требования к новому паролю. Количество разрешенных попыток также зависит от политики использования паролей Active Directory.

Примечание: Если соединитель Workspace ONE Access запущен в режиме FIPS, к паролям применяются дополнительные требования. См. раздел Workspace ONE Access Connector и режим FIPS для нужной версии соединителя.

К параметру Включить функцию изменения паролей применяются указанные ниже ограничения.

  • При добавлении глобального каталога в Workspace ONE Access параметр Включить функцию изменения паролей недоступен. Можно добавить каталог с параметром «Active Directory с протоколом LDAP» или «Проверка подлинности Windows», используя порт 389 или 636.
  • Пароль пользователя с различающимся именем для подключения нельзя сбросить из Workspace ONE Access, даже если он просрочен или сброшен администратором Active Directory.

    Рекомендуется использовать учетную запись пользователя с привязкой DN и паролем без срока действия.

  • Пароли пользователей, чьи имена для входа содержат многобайтные символы (отличные от ASCII), из Workspace ONE Access сбросить нельзя.
Примечание: Для каталогов ACC невозможно выбрать параметр Включить функцию изменения паролей.

Необходимые условия

  • На функциональном уровне домена для контроллеров доменов Active Directory должна поддерживаться ОС Windows 2008 или более поздние версии.
  • В службе синхронизации каталогов нужно открыть порт 464 для контроллеров домена.
  • Для Active Directory необходимо использовать один из следующих форматов основных имен пользователей.
    • Обычный формат основных имен пользователей: samaccountname@domain
    • Альтернативный формат основных имен пользователей с префиксом: alternativePrefix@domain
    • Альтернативный формат основных имен пользователей с суффиксом: samaccountname@alternativeSuffix

    Формат основных имен пользователей alternativePrefix@alternativeSuffix не поддерживается.

  • Часы служебного узла синхронизации каталогов и контроллеров доменов должны быть синхронизированы.

Процедура

  1. В консоли Workspace ONE Access выберите Интеграции > Каталоги.
  2. Щелкните каталог, который нужно настроить.
  3. Выберите вкладку Параметры.
  4. В разделе Разрешить изменение паролей установите флажок Включить функцию изменения паролей.
    ""
  5. Введите пароль для различающегося имени для подключения в разделе Сведения о пользователе подключения и нажмите кнопку Сохранить.