Una delle difficoltà più comuni nella gestione di più domini Active Directory è la gestione di diversi insiemi di password. In seguito alle migrazioni dei domini e al mantenimento di domini separati per gli accessi desktop ed Exchange, gli utenti devono gestire password diverse per ogni dominio. Questa situazione complica la gestione delle password degli utenti e porta a un aumento del numero di richieste relative alle password, con un impatto negativo sulla produttività.
La gestione delle password degli utenti in un ambiente di grandi dimensioni è un compito noioso. Quando poi si aggiunge la gestione delle modifiche delle password su più domini, diventa ancora più complicato per gli amministratori. La soluzione è la sincronizzazione delle modifiche delle password su più domini.
- Effettua l'accesso alla console di amministrazione di ADSelfService Plus utilizzando le credenziali di amministratore.
- Vai a Applicazioni → Aggiungi una nuova applicazione.
- Seleziona l'applicazione Active Directory.
Nota: Puoi trovare l'applicazione Active Directory di cui hai bisogno dalla barra di ricerca che si trova nel pannello di sinistra o selezionando la prima lettera dell'applicazione nel pannello di destra.
- Inserisci il Nome dell'applicazione e la Descrizione.
- Seleziona il Nome del dominio a cui devono essere sincronizzate le password. Per esempio, se vuoi sincronizzare le password dal dominio A al dominio B, seleziona il dominio B nel campo del nome del dominio e seleziona un criterio self-service associato al dominio A nel menu a discesa dei criteri associati.
- Seleziona i criteri appropriati dal menu a discesa Assegna i criteri. La sincronizzazione delle password è possibile solo per gli utenti che soddisfano i criteri self-service selezionati.
- Fai clic su Aggiungi un'applicazione.
Nota: Puoi creare più criteri in base a gruppi e unità organizzative in ADSelfService Plus che definiscono le funzionalità self-service a cui possono accedere i diversi utenti.
- Fai clic su Salva.
Collegamento degli account utente
Il collegamento degli account utente tra i domini è fondamentale per il funzionamento della sincronizzazione delle password. Per impostazione predefinita, gli account utente vengono collegati automaticamente in base all'attributo AD sAMAccountName. ADSelfService Plus ti consente anche di collegare gli account utente in base agli attributi.
- Collegamento automatico degli account
- Collegamento manuale degli account
Come collegare gli account in modo automatico
Per collegare gli account in modo automatico, devi indicare un attributo di origine, che è composto da uno o più attributi in AD, e un attributo di destinazione dall'applicazione aziendale. Quando un utente reimposta o modifica una password, la modifica viene sincronizzata solo quando il valore dell'attributo di destinazione corrisponde al valore dell'attributo di origine.
Procedura per il collegamento automatico degli account:
- Accedi alla console web di ADSelfService Plus come amministratore.
- Vai alla scheda Applicazione. Viene visualizzato l'elenco delle applicazioni configurate.
- Fai clic sul pulsante Avanzate per la necessaria configurazione dell'applicazione.
- Nella finestra che si apre, seleziona la casella di controllo Abilita il collegamento automatico degli account.
- Nel menu a discesa Attributi di origine, seleziona uno o più attributi dal dominio AD in cui le password degli utenti verranno reimpostate o modificate.
Nota: Immagina di voler utilizzare sia sAMAccountName che initials come attributi AD di origine. Seleziona sAMAccountName dagli attributi di origine, fai clic sul pulsante + vicino al campo e seleziona le iniziali dal secondo menu a discesa che appare. Controlla che il valore combinato dell'attributo AD di origine corrisponda all'attributo corrispondente di destinazione nell'applicazione aziendale. Per esempio, se il valore sAMAccountName di un account di un utente è “John” e il valore initial è “A”, il valore dell'attributo di destinazione deve essere “JohnA”.
- Nell'elenco di selezione Attributo di destinazione, seleziona l'attributo il cui valore sarà pari al valore combinato degli attributi di origine selezionati. Il valore dell'attributo deve essere univoco per un utente; se più account del dominio condividono lo stesso valore dell'attributo, la sincronizzazione non funzionerà.
- Seleziona la casella di controllo Allega il dominio per aggiungere il nome del dominio alla fine del valore combinato degli attributi di origine selezionati. Se la casella di controllo è selezionata, sAMAccountName+Initials diventa sAMAccountName+Initials@domain.
- Fai clic su Salva.
Nota:
- Se il valore degli attributi di origine è vuoto, sAMAccountName verrà utilizzato come valore predefinito.
- Se il valore degli attributi di origine è in formato e-mail, il nome del dominio non verrà aggiunto anche se l'opzione è abilitata.
Come collegare gli account in modo manuale
Se il collegamento manuale è abilitato, gli utenti possono collegare autonomamente i loro account del dominio AD inserendo le credenziali dell'account del dominio che vogliono collegare al loro account del dominio primario. Per esempio, se vogliono sincronizzare le password dal loro account utente nel dominio A al loro account nel dominio B, devono:
- Accedere al portale per gli utenti ADSelfService Plus.
- Andare a Applicazioni.
- Fare clic sull'applicazione aziendale con cui vogliono collegare il loro account AD.
- Fornire le loro credenziali per quell'account utente.
- Fornire nome utente e password del loro account nel dominio B per collegare i due account.
Procedura per abilitare il collegamento manuale degli account:
- Accedi a ADSelfService Plus come amministratore.
- Vai alla scheda Applicazione. Viene visualizzato l'elenco delle applicazioni configurate.
- Fai clic sul pulsante Avanzate per la necessaria configurazione dell'applicazione.
- Nella finestra che si apre, rimuovi la selezione della casella di controllo Abilita il collegamento automatico degli account.
- Fai clic su Salva.
Consumo delle licenze
Una volta che gli account utente tra i due domini sono stati collegati correttamente, quando un utente effettua l'accesso a ADSelfService Plus per la prima volta, solo il suo account utente nel dominio che avvia la sincronizzazione della password consuma una licenza ADSelfService Plus. L'account utente collegato nell'altro dominio a cui le password sono sincronizzare non consumerà licenze. Per esempio, immagina di avere il dominio A con 1.000 account utente collegati a 1.000 account utente nel dominio B per la sincronizzazione delle password. Quando gli utenti del dominio A reimpostano o modificano la loro password e le nuove password vengono sincronizzate con il dominio B, solo gli account utente nel dominio A consumano una licenza. Gli account del dominio B non consumano licenze.
Nota: Se un utente effettua azioni self-service utilizzando entrambi i suoi account nei domini A e B, vengono consumate licenze per entrambi gli account.
Vantaggi
- Mantieni un'identità su più domini Active Directory e applicazioni aziendali.
- Distribuisci le tecniche di aut enticazione a più fattori per garantire la sicurezza delle modifiche delle password.
- Riduce una delle principali origini delle chiamate al servizio di assistenza e permette agli amministratori IT di concentrarsi su altre attività importanti.
- Ottieni notifiche sui cambiamenti alle password tramite e-mail e SMS in tempo reale.
- Permetti agli utenti di gestire le password del dominio in qualsiasi momento e ovunque si trovino con l'app ADSelfService Plus per dispositivi mobili.
