AD 用 CPN のインストールと設定が完了すると、Active Directory ユーザーがパスワードを変更するたびに、ユーザーのパスワード トークンが無効化されるようになります。
- ユーザーのパスワードが変更されると、更新リクエストがドメイン コントローラ(DC)に送信されます。
- リクエストを受信した DC の Microsoft Windows が、ユーザー名を使用して AD 用 CPN のダイナミック リンク ライブラリ(DLL)を呼び出します。
- CPN サービスが DLL からユーザー名を受け取ります。
- CPN サービスが構成ファイル(ChangedPasswordNotifier.config、パラメータ: domain)内のドメイン名をユーザー名にアタッチし、そのユーザーのメールアドレスを取得します。
- Device Token API を使用して、CPN サービスから Google アカウントにパスワードの変更が通知されます。この API を許可リストに登録し、HTTPS ポート 443 を開く必要があります。Google Workspace API が正常に動作するためには、複数のポートを開き、許可リストにいくつかのホスト名を追加する必要があります。
目的 URL 認証
詳しくは、Web サーバー アプリケーションに OAuth 2.0 を使用するをご覧ください。
https://accounts.google.com/o/oauth2
https://googleapis.com/oauth2
https://oauth2.googleapis.com/token
メインの API エントリ ポイント https://*.googleapis.com
(* はピリオドを含まない任意の文字列)
- この後ユーザーは、SAML シングル サインオン ポリシーの設定に応じて、オンラインでログインするかまたはデバイスのロックを解除して、ローカルの ChromeOS パスワードを更新するように求められます。詳しくは、ChromeOS デバイスに SAML シングル サインオンを設定するの手順 4 をご覧ください。
技術的な詳細
- AD 用 CPN には「changed_password_notifier_dll.dll」という DLL が含まれており、これは LSA 通知パッケージとしてインストールされます。LSA 通知パッケージについて詳しくは、パスワード フィルター DLL のインストールと登録をご覧ください。
- 特定の DC でパスワードが変更されると、DLL は該当するユーザーのユーザー名を受け取ります。パスワードの同期をトリガーするのは、パスワードの変更を受信した DC の Windows であるため、書き込み可能なすべての DC に AD 用 CPN がインストールされている必要があります。パスワードを変更したのが管理者かエンドユーザーかにかかわらず、このトリガーはパスワードが更新されるたびに発生します。PasswordChangeNotify コールバック関数について詳しくは、PSAM_PASSWORD_NOTIFICATION_ROUTINE callback function をご覧ください。
- DLL は受け取ったユーザー名を AD 用 CPN サービスに送信します。
- AD 用 CPN サービス(ChangedPasswordNotifier.exe)は構成ファイル(ChangedPasswordNotifier.config、パラメータ: domain)内のドメイン名をユーザー名にアタッチし、そのユーザーのメールアドレスを取得します。
- Device Token API を使用して、AD 用 CPN サービスから Google アカウントにパスワードの変更が通知されます。SAML シングル サインオン ポリシーの設定に応じて、ユーザーは ChromeOS デバイスでの次回のログイン時またはロック解除時にオンラインでのログインを求められます。詳しくは、ChromeOS デバイスに SAML シングル サインオンを設定するの手順 4 をご覧ください。
- AD 用 CPN サービスは、Microsoft の「パスワード フィルターのプログラミングに関する考慮事項」を遵守しています。詳しくは、パスワード フィルターのプログラミングに関する考慮事項をご覧ください。
Google および関連するマークとロゴは Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。