Compartilhar via


Gerenciamento de senhas do Microsoft Identity Manager 2016

O gerenciamento de senhas para várias contas de usuário é uma das complexidades do gerenciamento de um ambiente empresarial com várias fontes de dados. O MICROSOFT Identity Manager 2016 (MIM) fornece duas soluções de gerenciamento de senha:

  • Sincronização de senha – utiliza o PCNS (serviço de notificação de alteração de senha) para capturar alterações de senha do Active Directory e propagá-las para outras fontes de dados conectadas.

  • Gerenciamento de alterações de senha baseado no usuário – utiliza a Instrumentação de Gerenciamento do Windows (WMI) por meio do Suporte técnico baseado na Web e aplicativos de redefinição de senha de autoatendimento.

Usando a sincronização de senha e o gerenciamento de alterações de senha baseado no usuário, você pode:

  • Reduza o número de senhas diferentes que os usuários precisam lembrar.

  • Defina ou altere senhas simultaneamente em várias contas de um usuário para a mesma senha.

  • Permitir que os usuários alterem suas próprias senhas no Active Directory e enviem a senha por push para outros sistemas.

  • Elimine o risco de criar uma senha ou repositório de credenciais adicionais.

  • Sincronize senhas em várias fontes de dados usando o Active Directory como a fonte autoritativa.

  • Execute operações de gerenciamento de senha em tempo real, independentemente das operações do MIM.

Extensões de senha

Os agentes de gerenciamento para servidores de diretório dão suporte à alteração de senha e definem operações por padrão. Para agentes de gerenciamento de conectividade extensíveis, baseados em arquivo, banco de dados e que não dão suporte a operações de alteração e definição de senha por padrão, você pode criar uma DLL (biblioteca de vínculo dinâmico) de extensão de senha do .NET. A DLL de extensão de senha do .NET é chamada sempre que uma chamada de alteração ou definição de senha é invocada para qualquer um desses agentes de gerenciamento. As configurações de extensão de senha são configuradas para esses agentes de gerenciamento no Synchronization Service Manager. Para obter mais informações sobre como configurar extensões de senha, consulte a Referência de Desenvolvedor do FIM.

O gerenciamento de senhas tem suporte por padrão nos agentes de gerenciamento para: Usando uma extensão de senha, o gerenciamento de senhas também tem suporte nos agentes de gerenciamento para:
Active Directory Arquivos de texto de par de valor de atributo
ADLDS (Active Directory Lightweight Directory Services) Arquivos de texto delimitado
IBM Directory Server DSML (Linguagem de Marcação de Serviços de Diretório)
Notas do Lotus Conectividade extensível
Novell eDirectory Arquivos de texto de largura fixa
Servidores de diretório Sun e Netscape Banco de Dados Universal IBM DB2
Formato de intercâmbio de dados LDAP (LDIF)
Microsoft SQL Server
Banco de Dados Oracle

Sincronização de senha

A sincronização de senha funciona com o PCNS (serviço de notificação de alteração de senha) em um domínio do Active Directory e permite que as alterações de senha provenientes do Active Directory sejam propagadas automaticamente para outras fontes de dados conectadas. O MIM faz isso executando como um servidor RPC (Chamada de Procedimento Remoto) que escuta uma notificação de alteração de senha de um controlador de domínio do Active Directory. Quando a solicitação de alteração de senha é recebida e autenticada, ela é processada pelo MIM e propagada para os agentes de gerenciamento apropriados.

Importante

Não há suporte para sincronização de senha bidirecional pelo MIM. Configurar a sincronização bidirecional de senha pode criar um loop, que consumirá recursos do servidor e terá um efeito potencialmente negativo no Active Directory e no MIM.

O PCNS é executado em cada controlador de domínio do Active Directory. Os sistemas que recebem as notificações de senha são conhecidos como destinos. O servidor MIM deve ser configurado como um destino PCNS no Active Directory antes que as notificações por senha sejam enviadas. A configuração do PCNS deve definir um grupo de inclusão e, opcionalmente, um grupo de exclusão. Esses grupos são usados para restringir o fluxo de senhas confidenciais do domínio. Por exemplo, para enviar senhas para todos os usuários, mas não enviar senhas administrativas, você pode optar por usar usuários de domínio como o grupo de inclusão e administradores de domínio como o grupo de exclusão. Para obter mais informações sobre como configurar o serviço de notificação de alteração de senha, consulte Usando a sincronização de senha

Os componentes envolvidos no processo de sincronização de senha são:

  • Serviço de notificação de alteração de senha (Pcnssvc.exe)– O serviço de notificação de alteração de senha é executado em um controlador de domínio e é responsável por receber notificações de alteração de senha do filtro de senha local, enfileirando-as para o servidor de destino que executa o MIM e usando o RPC para entregar as notificações. O serviço criptografa a senha e garante que a senha permaneça segura até que seja entregue com êxito ao servidor de destino que executa o MIM.

  • nome da entidade de serviço (SPN) – o SPN é uma propriedade no objeto de conta no Active Directory que é usada pelo protocolo Kerberos para autenticar mutuamente o PCNS e o destino. O SPN garante que o PCNS se autentique no servidor correto executando o MIM e que nenhum outro serviço possa receber as notificações de alteração de senha. O SPN é criado e atribuído usando a ferramenta setspn.exe. Para obter mais informações sobre como configurar o SPN, consulte Usando a sincronização de senha.

  • filtro de notificação de alteração de senha (Pcnsflt.dll) – o filtro de senha é usado para obter senhas de texto sem formatação do Active Directory. Esse filtro é carregado pela LSA (Autoridade de Segurança Local) em cada controlador de domínio do Windows Server que participa da distribuição de senha para um servidor de destino que executa o MIM. Depois que o filtro for instalado e o controlador de domínio tiver sido reiniciado, o filtro começará a receber notificações de alteração de senha para alterações de senha originadas nesse controlador de domínio. O filtro de notificação de senha é executado simultaneamente com outros filtros em execução no controlador de domínio.

  • utilitário de configuração do serviço de notificação de alteração de senha (Pcnscfg.exe) – o utilitário pcnscfg.exe é usado para gerenciar e manter os parâmetros de configuração do serviço de notificação de alteração de senha armazenados no Active Directory. Esses parâmetros de configuração, como definir os servidores de destino, o intervalo de repetição da fila de senha e habilitar ou desabilitar um servidor de destino, são usados ao autenticar e enviar notificações de senha para o servidor de destino que executa o MIM. A configuração de serviço é armazenada no Active Directory, portanto, só é necessário atualizar a configuração em um controlador de domínio. O Active Directory replica a alteração para todos os outros controladores de domínio.

  • servidor RPC (Chamada de Procedimento Remoto) no servidor que executa o MIM – quando a sincronização de senha está habilitada, o servidor RPC no servidor que executa o MIM é iniciado, permitindo que ele receba notificações do serviço de notificação de alteração de senha. O RPC seleciona dinamicamente um intervalo de portas a serem usadas. Se você precisar que o MIM se comunique com a floresta do Active Directory por meio de um firewall, você deverá abrir um intervalo de portas.

  • DLL de extensão de senha – a DLL de extensão de senha fornece uma maneira de implementar operações de definição ou alteração de senha por meio de uma extensão de regras para qualquer banco de dados, conectividade extensível ou agente de gerenciamento baseado em arquivo. Isso é feito criando um atributo criptografado somente exportação chamado "export_password" que realmente não existe no diretório conectado, mas pode ser acessado e definido em extensões de regras de provisionamento ou pode ser usado durante o fluxo de atributo de exportação. Para obter mais informações sobre como configurar extensões de senha, consulte o de Referência de Desenvolvedor do FIM.

Preparando-se para sincronização de senha

Antes de configurar a sincronização de senha para seu ambiente mim e Active Directory, verifique o seguinte:

  • O MIM é instalado de acordo com as instruções de instalação.

  • Os agentes de gerenciamento das fontes de dados conectadas a serem gerenciadas para sincronização de senha já foram criados e os objetos estão sendo unidos e sincronizados com êxito.

Para configurar a sincronização de senha:

  • Estenda o esquema do Active Directory para adicionar as classes e os atributos necessários para instalar e executar o PCNS (serviço de notificação de alteração de senha).

  • Instale o PCNS em cada controlador de domínio.

  • Configure o SPN (nome da entidade de serviço) no Active Directory para a conta de serviço do MIM.

  • Configure o PCNS para se comunicar com o serviço MIM de destino.

  • Configure os agentes de gerenciamento para que as fontes de dados conectadas sejam gerenciadas para sincronização de senha.

  • Habilite a sincronização de senha no MIM.

Para obter mais informações sobre como configurar a sincronização de senha, consulte Como usar a sincronização de senha.

Processo de sincronização de senha

O processo de sincronização de uma solicitação de alteração de senha de um controlador de domínio do Active Directory para outras fontes de dados conectadas é mostrado no diagrama a seguir:

  1. O usuário inicia a solicitação de alteração de senha pressionando Ctrl+Alt+Del. A solicitação de alteração de senha, incluindo a nova senha, é enviada para o controlador de domínio mais próximo.

  2. O controlador de domínio registra a solicitação de alteração de senha e notifica o filtro de notificação de alteração de senha (Pcnsflt.dll).

  3. O filtro de notificação de alteração de senha passa a solicitação para o PCNS (serviço de notificação de alteração de senha).

  4. O PCNS verifica a solicitação de alteração de senha, autentica o SPN (nome da entidade de serviço) usando Kerberos e encaminha a solicitação de alteração de senha no RPC criptografado para o servidor de destino mim.

  5. O MIM valida o controlador de domínio de origem e usa o nome de domínio para localizar o agente de gerenciamento que atende a esse domínio e usa as informações da conta de usuário na solicitação de alteração de senha para localizar o objeto correspondente no espaço do conector.

  6. Usando as informações da tabela de junção, o MIM determina os agentes de gerenciamento que recebem a alteração de senha e envia a senha por push para eles.

Segurança de sincronização de senha

As seguintes preocupações de segurança de sincronização de senha foram resolvidas:

  • Autenticação da fonte de senha – quando a notificação de alteração de senha é recebida, a autenticação Kerberos é feita pelo MIM, bem como pelo controlador de domínio de origem para garantir que o destinatário e o remetente sejam válidos. Ao receber uma notificação de alteração de senha, o MIM garante que o chamador tenha uma conta no contêiner Controladores de Domínio do domínio ao qual pertence.

  • Falha na sincronização de senha para uma fonte de dados de destino devido a uma conexão insegura – se o agente de gerenciamento tiver sido configurado para exigir uma conexão segura, mas uma não for detectada, a sincronização falhará. A sincronização ainda ocorrerá se o agente de gerenciamento tiver sido configurado para permitir conexões não seguras. Permitir conexões não seguras deve ser habilitada somente depois de examinar e entender os riscos envolvidos.

  • Armazenamento seguro de senhas – o MIM armazena apenas senhas criptografadas temporariamente. Todas as senhas recebidas pelo MIM durante uma operação de notificação de alteração de senha são criptografadas assim que inserem o processo mim. No momento em que são enviados com êxito para a fonte de dados conectada de destino, eles são descriptografados e a memória que armazena a senha é imediatamente desmarcada. Se a operação falhar ao gravar na fonte de dados conectada de destino, a senha criptografada será armazenada até que todas as tentativas de repetição tenham sido tentadas e, em seguida, seja desmarcada da memória.

  • Filas de senha seguras – as senhas armazenadas em filas de senha do PCNS são criptografadas até serem entregues.

Cenários de recuperação de erro de sincronização de senha

Idealmente, sempre que um usuário altera uma senha, a alteração é sincronizada sem erros. Os cenários a seguir descrevem como o MIM se recupera de erros comuns de sincronização:

  • notificação de senha com falha do Active Directory para o MIM – isso pode ocorrer se a rede estiver inoperante ou se o servidor que executa o MIM estiver indisponível. A notificação de alteração de senha permanece na fila localmente no controlador de domínio pelo PCNS. O PCNS reattempta a notificação de acordo com sua configuração de intervalo de repetição.

  • sincronização de senha com falha em uma fonte de dados de destino – isso também pode ocorrer se a rede estiver inoperante ou se a fonte de dados de destino não estiver disponível. A notificação de alteração de senha é enfileirada e repetida de acordo com a configuração do agente de gerenciamento para tentativa de repetição e intervalo de repetição. Todas as senhas são criptografadas enquanto são armazenadas para repetição e excluídas quando a operação é bem-sucedida ou os limites de repetição são atingidos.

  • Ativar um servidor em espera quente executando o MIM após uma falha – no caso do servidor primário que executa o MIM falhar, você pode configurar um servidor em espera quente para sincronização de senha e ativá-lo sem perda de alterações de senha. Para obter mais informações, consulte MIISactivate: Ferramenta de Ativação do Servidor

Algumas falhas são graves o suficiente para que nenhuma quantidade de novas tentativas resulte em uma operação bem-sucedida. Nesses casos, um evento de erro é registrado e o processo é interrompido. Os seguintes eventos não são repetidos:

Acontecimento Severidade Descrição
6919 Informação Uma operação de conjunto de sincronização de senha não foi executada porque o carimbo de data/hora estava desatualizado.
6921 Erro A operação do conjunto de sincronização de senha não foi processada porque o gerenciamento de senhas não está habilitado no agente de gerenciamento de destino.
6922 Erro A operação do conjunto de sincronização de senha não foi processada porque o gerenciamento de senhas não está configurado no agente de gerenciamento de destino.
6923 Aviso A operação do conjunto de sincronização de senha não foi processada porque o objeto de espaço do conector de destino não pôde ser encontrado no diretório conectado.
6927 Erro A operação do conjunto de sincronização de senha falhou porque a senha não atende à política de senha do sistema de destino.
6928 Erro A operação do conjunto de sincronização de senha falhou porque a extensão de senha do agente de gerenciamento de destino não está configurada para dar suporte a operações de conjunto de senhas.

Gerenciamento de alterações de senha baseado no usuário

O MIM fornece dois aplicativos Web que usam a WMI (Instrumentação de Gerenciamento do Windows) para redefinir senhas. Assim como acontece com a sincronização de senha, você ativa o gerenciamento de senhas ao configurar o agente de gerenciamento no Designer do Agente de Gerenciamento. Para obter informações sobre gerenciamento de senhas e WMI, consulte a Referência de Desenvolvedor do MIM.

O MIM cria dois grupos de segurança durante a instalação que dão suporte especificamente a operações de gerenciamento de senha:

  • FIMSyncBrowse — Os membros desse grupo têm permissão para coletar informações sobre as contas de um usuário ao fazer operações de pesquisa com consultas WMI.

  • FIMSyncPasswordSet — os membros desse grupo têm permissão para executar operações de pesquisa de conta, conjunto de senhas e alteração de senha usando as interfaces de gerenciamento de senha com WMI.