Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Gerenciar senhas para várias contas de usuário é uma das complexidades do gerenciamento de um ambiente corporativo com várias fontes de dados. O Microsoft Identity Manager 2016 (MIM) fornece duas soluções de gerenciamento de senhas:
Sincronização de senha – Utiliza o serviço de notificação de alteração de senha (PCNS) para capturar alterações de senha do Ative Directory e propagá-las para outras fontes de dados conectadas.
Gerenciamento de alteração de senha baseado no usuário – Utiliza a Instrumentação de Gerenciamento do Windows (WMI) por meio do Help Desk baseado na Web e aplicativos de redefinição de senha de autoatendimento.
Usando a sincronização de senha e o gerenciamento de alterações de senha baseado no usuário, você pode:
Reduza o número de palavras-passe diferentes que os utilizadores têm de memorizar.
Defina ou altere simultaneamente as palavras-passe nas várias contas de um utilizador para a mesma palavra-passe.
Permita que os usuários alterem suas próprias senhas no Ative Directory e enviem a alteração de senha para outros sistemas.
Elimine o risco de criar uma senha ou armazenamento de credenciais adicional.
Sincronize senhas entre várias fontes de dados usando o Ative Directory como fonte autoritativa.
Execute operações de gerenciamento de senhas em tempo real, independentemente das operações do MIM.
Extensões de palavra-passe
Os agentes de gerenciamento para servidores de diretório oferecem suporte à alteração de senha e definem operações por padrão. Para agentes de gerenciamento de conectividade baseados em arquivo, banco de dados e extensíveis, que não oferecem suporte a alterações de senha e operações definidas por padrão, você pode criar uma biblioteca de vínculo dinâmico (DLL) de extensão de senha .NET. A DLL de extensão de senha .NET é chamada sempre que uma alteração de senha ou chamada definida é invocada para qualquer um desses agentes de gerenciamento. As configurações de extensão de senha são definidas para esses agentes de gerenciamento no Gerenciador do Serviço de Sincronização. Para obter mais informações sobre como configurar extensões de senha, consulte a Referência do desenvolvedor do FIM.
| O gerenciamento de senhas é suportado por padrão nos agentes de gerenciamento para: | Usando uma extensão de senha, o gerenciamento de senhas também é suportado nos agentes de gerenciamento para: |
|---|---|
| Active Directory | Arquivos de texto do par atributo-valor |
| Serviços de Diretório Leve do Active Directory (ADLDS) | Arquivos de texto delimitados |
| Servidor de Diretórios IBM | DSML (Linguagem de Marcação dos Serviços de Diretório) |
| Lotus Notas | Conectividade extensível |
| Novell eDirectory | Arquivos de texto de largura fixa |
| Servidores de diretório Sun e Netscape | Banco de Dados Universal IBM DB2 |
| Formato LDIF (LDAP Data Interchange Format) | |
| Microsoft SQL Server | |
| Banco de dados Oracle |
Sincronização de senha
A sincronização de senha funciona com o serviço de notificação de alteração de senha (PCNS) em um domínio do Ative Directory e permite que as alterações de senha originadas do Ative Directory sejam propagadas automaticamente para outras fontes de dados conectadas. O MIM faz isso executando como um servidor de Chamada de Procedimento Remoto (RPC) que escuta uma notificação de alteração de senha de um controlador de domínio do Ative Directory. Quando a solicitação de alteração de senha é recebida e autenticada, ela é processada pelo MIM e propagada para os agentes de gerenciamento apropriados.
Importante
A sincronização de senha bidirecional não é suportada pelo MIM. Configurar a sincronização de senha bidirecional pode criar um loop, que consumirá recursos do servidor e terá um efeito potencialmente negativo no Ative Directory e no MIM.
O PCNS é executado em cada controlador de domínio do Ative Directory. Os sistemas que recebem as notificações de senha são conhecidos como alvos. O servidor MIM deve ser configurado como um destino PCNS no Ative Directory antes que as notificações de senha sejam enviadas. A configuração do PCNS deve definir um grupo de inclusão e, opcionalmente, um grupo de exclusão. Esses grupos são usados para restringir o fluxo de senhas confidenciais do domínio. Por exemplo, para enviar senhas para todos os usuários, mas não para enviar senhas administrativas, você pode optar por usar Usuários do Domínio como o grupo de inclusão e Administradores do Domínio como o grupo de exclusão. Para obter mais informações sobre como configurar o serviço de notificação de alteração de senha, consulte Usando a sincronização de senha
Os componentes envolvidos no processo de sincronização de senha são:
Serviço de notificação de alteração de senha (Pcnssvc.exe)– O serviço de notificação de alteração de senha é executado em um controlador de domínio e é responsável por receber notificações de alteração de senha do filtro de senha local, enfileirá-las para o servidor de destino que executa o MIM e usar RPC para entregar as notificações. O serviço criptografa a senha e garante que ela permaneça segura até ser entregue com êxito ao servidor de destino que executa o MIM.
Nome principal do serviço (SPN) – O SPN é uma propriedade no objeto de conta no Ative Directory que é usada pelo protocolo Kerberos para autenticar mutuamente o PCNS e o destino. O SPN garante que o PCNS se autentique no servidor correto que executa o MIM e que nenhum outro serviço possa receber as notificações de alteração de senha. O SPN é criado e atribuído usando a ferramenta setspn.exe. Para obter mais informações sobre como configurar o SPN, consulte Usando a sincronização de senha.
Filtro de notificação de alteração de senha (Pcnsflt.dll) – O filtro de senha é usado para obter senhas de texto sem formatação do Ative Directory. Esse filtro é carregado pela Autoridade de Segurança Local (LSA) em cada controlador de domínio do Windows Server que participa da distribuição de senha para um servidor de destino que executa o MIM. Depois que o filtro for instalado e o controlador de domínio for reiniciado, o filtro começará a receber notificações de alteração de senha para alterações de senha originadas nesse controlador de domínio. O filtro de notificação de senha é executado simultaneamente com outros filtros em execução no controlador de domínio.
Utilitário de configuração do serviço de notificação de alteração de senha (Pcnscfg.exe) – O utilitário pcnscfg.exe é usado para gerenciar e manter os parâmetros de configuração do serviço de notificação de alteração de senha armazenados no Ative Directory. Esses parâmetros de configuração, como a definição dos servidores de destino, o intervalo de repetição da fila de senhas e a habilitação ou desativação de um servidor de destino, são usados ao autenticar e enviar notificações de senha para o servidor de destino que executa o MIM. A configuração do serviço é armazenada no Ative Directory, portanto, só é necessário atualizar a configuração em um controlador de domínio. O Ative Directory replica a alteração para todos os outros controladores de domínio.
servidor de Chamada de Procedimento Remoto (RPC) no servidor que executa o MIM – Quando a sincronização de senha está habilitada, o servidor RPC no servidor que executa o MIM é iniciado, permitindo que ele receba notificações do serviço de notificação de alteração de senha. O RPC seleciona dinamicamente um intervalo de portas a serem usadas. Se você precisar que o MIM se comunique com a floresta do Ative Directory por meio de um firewall, deverá abrir um intervalo de portas.
Extensão de senha DLL – A DLL de extensão de senha fornece uma maneira de implementar operações de definição ou alteração de senha por meio de uma extensão de regras para qualquer banco de dados, conectividade extensível ou agente de gerenciamento baseado em arquivo. Isso é feito criando um atributo criptografado somente de exportação chamado "export_password" que realmente não existe no diretório conectado, mas pode ser acessado e definido em extensões de regras de provisionamento ou pode ser usado durante o fluxo de atributos de exportação. Para obter mais informações sobre como configurar extensões de senha, consulte o FIM Developer Reference.
Preparando-se para a sincronização de senha
Antes de configurar a sincronização de senha para seu ambiente MIM e Ative Directory, verifique o seguinte:
O MIM é instalado de acordo com as instruções de instalação.
Os agentes de gerenciamento para as fontes de dados conectadas a serem gerenciadas para sincronização de senha já foram criados e os objetos estão sendo unidos e sincronizados com êxito.
Para configurar a sincronização de senha:
Estenda o esquema do Ative Directory para adicionar as classes e atributos necessários para instalar e executar o serviço de notificação de alteração de senha (PCNS).
Instale o PCNS em cada controlador de domínio.
Configure o SPN (nome da entidade de serviço) no Ative Directory para a conta de serviço do MIM.
Configure o PCNS para se comunicar com o serviço MIM de destino.
Configure os agentes de gerenciamento para que as fontes de dados conectadas sejam gerenciadas para sincronização de senha.
Habilite a sincronização de senha no MIM.
Para obter mais informações sobre como configurar a sincronização de senha, consulte Usando a sincronização de senha.
Processo de sincronização de senha
O processo de sincronização de uma solicitação de alteração de senha de um controlador de domínio do Ative Directory para outras fontes de dados conectadas é mostrado no diagrama a seguir:
O usuário inicia a solicitação de alteração de senha pressionando Ctrl+Alt+Del. O pedido de alteração de palavra-passe, incluindo a nova palavra-passe, é enviado para o controlador de domínio mais próximo.
O controlador de domínio regista o pedido de alteração de palavra-passe e notifica o filtro de notificação de alteração de palavra-passe (Pcnsflt.dll).
O filtro de notificação de alteração de senha passa a solicitação para o serviço de notificação de alteração de senha (PCNS).
O PCNS verifica a solicitação de alteração de senha, autentica o SPN (nome da entidade de serviço) usando Kerberos e encaminha a solicitação de alteração de senha em RPC criptografado para o servidor de destino do MIM.
O MIM valida o controlador de domínio de origem e, em seguida, usa o nome de domínio para localizar o agente de gerenciamento que atende esse domínio e usa as informações da conta de usuário na solicitação de alteração de senha para localizar o objeto correspondente no espaço do conector.
Usando as informações da tabela de junção, o MIM determina os agentes de gerenciamento que recebem a alteração de senha e envia a alteração de senha para eles.
Segurança de sincronização de senha
As seguintes preocupações de segurança de sincronização de senha foram resolvidas:
Autenticação da fonte de senha – Quando a notificação de alteração de senha é recebida, a autenticação Kerberos é feita pelo MIM, bem como pelo controlador de domínio de origem para garantir que o destinatário e o remetente sejam válidos. Ao receber uma notificação de alteração de senha, o MIM garante que o chamador tenha uma conta no contêiner Controladores de Domínio do domínio ao qual pertence.
Falha na sincronização de senha com uma fonte de dados de destino devido a uma conexão insegura – Se o agente de gerenciamento tiver sido configurado para exigir uma conexão segura, mas uma não for detetada, a sincronização falhará. A sincronização ainda ocorre se o agente de gerenciamento tiver sido configurado para permitir conexões não seguras. A permissão de conexões não seguras só deve ser habilitada depois de examinar e entender os riscos envolvidos.
Armazenamento seguro de senhas – o MIM armazena apenas senhas criptografadas temporariamente. Todas as senhas recebidas pelo MIM durante uma operação de notificação de alteração de senha são criptografadas assim que entram no processo do MIM. No momento em que são enviados com sucesso para a fonte de dados conectada de destino, eles são descriptografados e a memória que armazena a senha é imediatamente limpa. Se a operação falhar ao gravar na fonte de dados conectada de destino, a senha criptografada será armazenada até que todas as tentativas de repetição tenham sido tentadas e, em seguida, será limpa da memória.
Filas de senhas seguras – As senhas armazenadas nas filas de senhas PCNS são criptografadas até serem entregues.
Cenários de recuperação de erros de sincronização de senha
Idealmente, sempre que um usuário altera uma senha, a alteração é sincronizada sem erros. Os cenários a seguir descrevem como o MIM se recupera de erros comuns de sincronização:
Notificação de senha com falha do Ative Directory para o MIM – Isso pode ocorrer se a rede estiver inativa ou se o servidor que executa o MIM não estiver disponível. A notificação de alteração de senha permanece na fila localmente no controlador de domínio pelo PCNS. O PCNS tenta novamente a notificação de acordo com sua configuração de intervalo de repetição.
Falha na sincronização de senha com uma fonte de dados de destino – Isso também pode ocorrer se a rede estiver inativa ou se a fonte de dados de destino não estiver disponível. A notificação de alteração de senha é enfileirada e repetida de acordo com a configuração do agente de gerenciamento para tentativa de repetição e intervalo de novas tentativas. Todas as senhas são criptografadas enquanto são armazenadas para nova tentativa e excluídas quando a operação é bem-sucedida ou os limites de repetição são atingidos.
Ativando um servidor de espera quente executando o MIM após uma falha – No caso de falha do servidor primário que executa o MIM, você pode configurar um servidor de espera quente para sincronização de senha e ativá-lo sem perda de alterações de senha. Para obter mais informações, consulte MIISactivate: Server Activation Tool
Algumas falhas são graves o suficiente para que nenhuma quantidade de novas tentativas resulte em uma operação bem-sucedida. Nesses casos, um evento de erro é registrado e o processo é interrompido. Os seguintes eventos não são repetidos:
| Evento | Gravidade | Descrição |
|---|---|---|
| 6919 | Informação | Uma operação de conjunto de sincronização de senha não foi executada porque o carimbo de data/hora estava desatualizado. |
| 6921 | Erro | A operação do conjunto de sincronização de senhas não foi processada porque o gerenciamento de senhas não está habilitado no agente de gerenciamento de destino. |
| 6922 | Erro | A operação do conjunto de sincronização de senhas não foi processada porque o gerenciamento de senhas não está configurado no agente de gerenciamento de destino. |
| 6923 | Advertência | A operação do conjunto de sincronização de senha não foi processada porque o objeto de espaço do conector de destino não pôde ser encontrado no diretório conectado. |
| 6927 | Erro | A operação do conjunto de sincronização de senha falhou porque a senha não satisfaz a política de senha do sistema de destino. |
| 6928 | Erro | A operação do conjunto de sincronização de senhas falhou porque a extensão de senha para o agente de gerenciamento de destino não está configurada para suportar operações de conjunto de senhas. |
Gerenciamento de alteração de senha baseado no usuário
O MIM fornece dois aplicativos Web que usam o WMI (Instrumentação de Gerenciamento do Windows) para redefinir senhas. Assim como na sincronização de senhas, você ativa o gerenciamento de senhas ao configurar o agente de gerenciamento no Management Agent Designer. Para obter informações sobre gerenciamento de senhas e WMI, consulte a Referência do desenvolvedor do MIM.
O MIM cria dois grupos de segurança durante a instalação que suportam especificamente operações de gerenciamento de senha:
FIMSyncBrowse—Os membros desse grupo têm permissão para coletar informações sobre as contas de um usuário ao fazer operações de pesquisa com consultas WMI.
FIMSyncPasswordSet—Os membros desse grupo têm permissão para executar operações de pesquisa de conta, definição de senha e alteração de senha usando as interfaces de gerenciamento de senhas com o WMI.