Estou procurando uma solução acessível para oferecer um portal de redefinição de senha de "autoatendimento" na Web para os usuários do meu diretório ativo. (cerca de 150 deles)
Muitos deles não usam estações de trabalho do Windows e, portanto, não podem redefinir sua própria senha.
Eu pesquisei no Google e encontrei tantas opções que não tenho certeza de como classificá-las. Alguém já teve experiências positivas (ou negativas) com algum produto em particular?
Como você disse, existem diferentes abordagens para alterar a senha do diretório ativo. Uma possibilidade é usar a opção de alteração de senha no Outlook Webaccess. Outra opção é usar uma conexão ldaps e uma linguagem de programação de sua escolha (php, perl, python, java) para alterar o atributo unicodePW dos usuários. Uma biblioteca PHP que lida com essas coisas para você é, por exemplo, o adldap ( link ).
Se você estiver usando o Outlook Web Access, eu recomendo strongmente essa abordagem, como Dieda sugeriu. Eu recentemente gerenciei um ambiente de SO misto e fui confrontado com o mesmo problema.
Aqui está o documento MS Support relacionado a este problema. link Não foi tão complexo quanto parece ser o documento e funcionou bem para todos os nossos usuários.
Sim, existem muitas soluções diferentes, mas se resume ao nível de serviço que você deseja oferecer aos usuários. Você pode realmente usar o componente OWA para permitir alterações de senha, mas isso não funcionará se a senha do usuário expirar ou se a conta do usuário estiver bloqueada. Ele também não funcionará se você tiver emitido ao usuário uma senha temporária (deve mudar no próximo sinalizador de login definido). Não há muito em termos de auditoria disponível ou configurações para evitar ataques de dicionário e, potencialmente, permitir que um usuário mal-intencionado bloqueie suas contas de usuário.
A melhor solução que encontrei e acessível é o Password Reset PRO de. www.sysoptools.com . Eu olhei para muitas soluções e as boas (Hitachi-ID e Microsoft ILS) são de US $ 8 a US $ 20 por usuário. As soluções cheapo (existem literalmente muitas delas) NÃO são seguras para uso externo, farão com que você instale bancos de dados e / ou software cliente, e sejam um pesadelo no controle de mudanças. Eles são não projetados para uso externo. O produto Password Reset PRO foi super fácil de instalar, é extremamente seguro e fácil para nossos usuários. Descobrimos que ele está no mesmo nível de qualidade da Hitachi ou da Microsoft, mas sem o alto preço, e muito mais fácil de instalar. Ele permite que os usuários acessem / se inscrevam mesmo com uma senha temporária. O processo de inscrição é como um monte de sites bancários atuais onde você escolhe uma miniatura de imagem e cria um PIN de acesso ou palavra de segurança. O custo foi de cerca de US $ 3 por usuário, o que é excelente para um verdadeiro produto corporativo que é realmente seguro. O suporte deles é muito bom e eles parecem saber muito sobre o Active Directory e a segurança. Boa sorte!
Existem vários métodos, mas eu recomendo que você use uma ferramenta de terceiros, como a ferramenta de auto-atendimento do Lepide Active Directory, pois essa ferramenta permite que todos os usuários alterem suas senhas por conta própria. Esta é uma ferramenta baseada na web, registrando todos os usuários para efetuar login com seu nome de usuário e senha. Isso também permite que o administrador efetue login no aplicativo e efetue logoff no aplicativo. Esta ferramenta foi testada por mim e, se você quiser, também pode baixar sua versão gratuita, com limitação para o número de usuários em 50.
Que tal uma opção gratuita?
Não consegui dedicar muito tempo ao projeto recentemente, mas comecei uma ferramenta gratuita anos atrás que faz o que você precisa e muito mais. É estável, mas pode ser difícil de configurar, como qualquer coisa relacionada ao AD.
Eu estava trabalhando em uma versão mais recente do MVC, mas outros projetos me amarraram. Vou ver se posso voltar ao balanço das coisas daqui a pouco.
Além disso, planejamos oferecer suporte ao ADFS na próxima versão, para que seus usuários possam ter recursos integrados de SSO com outros aplicativos.