La fonctionnalité PasswordSync assure la synchronisation des changements de mot de passe effectués dans des domaines Windows Active Directory avec les autres ressources définies dans Identity Manager. PasswordSync doit être installé sur chacun des contrôleurs de domaine dans les domaines qui seront synchronisés avec Identity Manager. PasswordSync doit être installé séparément d'Identity Manager.
PasswordSync se compose d'un DLL (lhpwic.dll) qui réside sur chaque contrôleur de domaine. Ce DLL reçoit les notifications de mise à jour de mot de passe de Windows, les chiffre et les envoie via HTTPS à la servlet PasswordSync. La servlet PasswordSync se trouve sur le serveur d'application exécutant Identity Manager.
L'utilisation de HTTP est prise en charge mais celle de HTTPS reste préférable.
La servlet PasswordSync convertit la notification en un format compréhensible par Identity Manager. La servlet envoie ensuite le changement de mot de passe (toujours chiffré) à Identity Manager en utilisant l'une des méthodes suivantes :
Méthode directe. La servlet communique directement le changement de passe à Identity Manager en utilisant les classes Identity Manager natives (voir Présentation de PasswordSync).
La méthode de connexion directe est uniquement recommandée pour les environnement de petite taille peu complexes qui requièrent seulement la livraison de messages à un unique système et n'ont pas besoin que la livraison des messages soit garantie. Si, pour une raison quelconque, la livraison directe d'un message échoue, ce dernier est perdu. Il n'y a pas de livraison de secours.
Méthode JMS. La servlet envoie les informations de mot de passe à Identity Manager en utilisant JMS (Java Message Service). Avec JMS, la servlet envoie les changements de mot de passe à la file d'attente de messages de JMS. De son côté, l'adaptateur de ressources Listener JMS d'Identity Manager contrôle s'il n'y a pas de nouveaux messages dans la file d'attente. S'il détecte un message de changement de mot de passe en attente dans la file d'attente, l'adaptateur Listener JMS prélève le message de la file d'attente et l'importe dans Identity Manager (voir Figure 11–2).
La méthode JMS est recommandée pour les environnements complexes caractérisés par de grands volumes, la nécessité de délivrer des messages à plusieurs systèmes et requerrant une livraison garantie des messages. La file d'attente de messages de JMS peut être rendue hautement disponible. Du moment qu'un message est inséré dans la file d'attente, si sa livraison à Identity Manager échoue, la file d'attente conserve le changement jusqu'à ce que le message puisse être délivré à Identity Manager.
Vous devez installer et configurer JMS séparément.
La Figure 11–1 schématise une connexion directe. Dans cette configuration, la servlet PasswordSync envoie directement les messages de mise à jour à Identity Manager.
La Figure 11–2 schématise une connexion JMS. Dans cette configuration, la servlet PasswordSync envoie les messages de mise à jour à la file d'attente de messages de JMS. L'adaptateur de ressources Listener JMS d'Identity Manager contrôle périodiquement si la file d'attente (action indiquée par la flèche bleu clair sur le schéma) ne contient pas de nouveaux messages. La file d'attente répond en envoyant les messages à Identity Manager (action indiquée par la flèche bleu foncé).
Lorsqu'Identity Manager reçoit une notification de changement de mot de passe, il la déchiffre et traite le changement en utilisant une tâche de flux de travaux. Le mot de passe est mis à jour sur toutes les ressources assignées de l'utilisateur et un serveur SMTP envoie un e-mail à l'utilisateur l'avertissant du statut du changement de mot de passe.
Windows se limite à envoyer une notification de mise à jour en cas de réussite du changement de mot de passe. Si une demande de changement de mot de passe ne respecte pas la stratégie de mot de passe du domaine, Windows la rejette et aucune donnée de synchronisation n'est envoyée à Identity Manager.
La Figure 11–3 montre Identity Manager amorçant un flux de travaux et envoyant un e-mail à l'utilisateur après avoir reçu une notification de mise à jour de mot de passe.
PasswordSync rejette toutes les notifications de changement de compte relatives à des noms de compte se terminant par $ (signe des dollars). Les noms de compte se terminant par $ sont supposés être des comptes d'ordinateur Windows. Aucun nom de compte utilisateur se terminant par le signe des dollars ne sera transmis à Identity Manager.