¿Qué es PasswordSync?

La funcionalidad PasswordSync mantiene sincronizados los cambios de contraseñas de usuario realizados en dominios de Windows Active Directory con otros recursos definidos en Identity Manager. PasswordSync debe instalarse en cada controlador de dominio dentro de los dominios que vayan a sincronizarse con Identity Manager. PasswordSync debe instalarse por separado de Identity Manager.

PasswordSync consta de una DLL (lhpwic.dll) que reside en cada controlador de dominio. Esta DLL recibe las notificaciones de actualización de contraseña procedentes de Windows, las cifra y las envía por HTTPS al servlet de PasswordSync. El servlet de PasswordSync se halla en el servidor de aplicaciones donde se ejecuta Identity Manager.

Aunque es preferible utilizar HTTPS, también se admite HTTP.

El servlet de PasswordSync convierte la notificación a un formato comprensible para Identity Manager. A continuación, el servlet envía el cambio de contraseña (aún cifrado) a Identity Manager con uno de los siguientes métodos:

• Método directo. El servlet comunica el cambio de contraseña directamente a Identity Manager utilizando clases nativas de Identity Manager. (Consulte ¿Qué es PasswordSync?.)

  El método de conexión directa sólo se recomienda para los pequeños entornos poco complejos que únicamente precisan entregar mensajes a un sistema, sin necesidad de garantía de entrega. (Si por algún motivo falla la entrega del mensaje, éste se perderá. No es posible entregar una copia de seguridad.)

• Método JMS. El servlet envía la información de contraseña a Identity Manager utilizando JMS (Java Message Service). Con JMS, el servlet envía los cambios de contraseña a la cola de mensajes de JMS. Por su parte, el adaptador de recursos del receptor de JMS de Identity Manager comprueba si hay nuevos mensajes en la cola. Si en la cola aguarda un mensaje de cambio de contraseña, el adaptador del receptor de JMS lo quita de la cola y lo importa a Identity Manager. (Consulte la Figura 11–2.)

  El método JMS se recomienda para entornos más complejos con grandes exigencias de volumen, necesidad de entregar mensajes a diversos sistemas y garantía de entrega de los mensajes. Puede asignarse ata disponibilidad a la cola de mensajes de JMS. En tanto que un mensaje llegue a la cola, si falla la entrega a Identity Manager, la cola conservará el cambio hasta que sea posible entregar el mensaje a Identity Manager.

  JMS se debe instalar y configurar por separado.

En la Figura 11–1 se representa una conexión directa. En esta configuración, el servlet de PasswordSync envía los mensajes de actualización directamente a Identity Manager

Figura 11–1 Diagrama lógico de PasswordSync (conexión directa)

En la Figura 11–2 se representa una conexión JMS. En esta configuración, el servlet de PasswordSync envía los mensajes de actualización a la cola de mensajes de JMS. El adaptador de recursos del receptor de JMS de Identity Manager comprueba periódicamente si hay nuevos mensajes en la cola (flecha azul claro en el diagrama). La cola responde enviando los mensajes a Identity Manager (flecha azul más oscura).

Figura 11–2 Diagrama lógico de PasswordSync (conexión JMS)

Cuando Identity Manager recibe una notificación de cambio de contraseña, la descifra y procesa el cambio mediante una tarea de flujo de trabajo. La contraseña se actualiza en todos los recursos asignados al usuario, y un servidor SMTP le notifica por correo electrónico el estado del cambio de contraseña.

Windows sólo envía una notificación de actualización si el cambio de contraseña es satisfactorio. Si una solicitud de cambio de contraseña no cumple la directiva de contraseñas del dominio, Windows la rechaza y no se envían datos de sincronización a Identity Manager.

En la Figura 11–3 se muestra cómo Identity Manager inicia un flujo de trabajo y envía correo electrónico al usuario tras recibir una notificación de actualización de contraseña.

Figura 11–3 PasswordSync activa un flujo de trabajo

PasswordSync descarta todas las notificaciones de cambio de contraseña para los nombres de cuenta terminados en $ (símbolo de dólar). Los nombres de cuenta terminados en $ se consideran cuentas físicas de Windows. Todos los nombres de cuenta de usuario terminados en símbolo de dólar quedan sin reenviar a Identity Manager.