次のシナリオでは、Active Directoryドライバが使用されています。しかし、他のドライバでも同じ問題が発生する場合があります。
初期パスワードの提供。 ドライバがアイデンティティボールトでActive Directory内のユーザに一致させるために新しいユーザオブジェクトを作成したときに、Active Directoryドライバにユーザの初期パスワードを提供させたいとします。Active Directoryドライバのサンプル環境設定は、初期パスワードをユーザの追加とは別の操作として送信します。さらに、Active Directoryからパスワードが提供されない場合はユーザのデフォルトパスワードを提供するポリシーも含んでいます。
ユーザの追加とパスワードの設定は別個に実行されるため、この場合は、新しいユーザは一時的のみであってもデフォルトのパスワードを常に受信します。ユーザを追加した後すぐにActive Directoryドライバがパスワードを送信するため、デフォルトのパスワードはすぐに更新されます。デフォルトパスワードがユーザのアイデンティティボールトのパスワードポリシーに準拠しない場合、エラーが表示されます。
たとえば、ユーザの名字を使用して作成されたパスワードがパスワードポリシーに対して短すぎる場合は、パスワードが短すぎることを示す-216エラーが表示されます。ただし、その後Active Directoryドライバがポリシーに準拠する初期パスワードを送信した場合には、状況はすぐに解決されます。
使用しているドライバにかかわらず、ユーザオブジェクトを作成する接続システムで初期パスワードを提供するようにするには、次のいずれかを行うことを検討します。これらの方法は、初期パスワードがAddイベントに付属しないけれども、それ以降のイベントとして提供される場合には、特に重要です。
初期パスワードが信頼されるアプリケーションから提供されると、デフォルトパスワードを上書きします。
このオプションを使用することをお勧めします。これは、システム内で高レベルのセキュリティを維持するために、デフォルトのパスワードポリシーを用意することが推奨されているためです。
パスワード同期により期待される結果を取得するには、パスワード同期を実行するサーバにあるマスタレプリカまたは読み書き可能レプリカのコンテナが、ユニバーサルパスワードが有効なパスワードポリシーを割り当てたコンテナと一致するようにします。パーティションルートコンテナにパスワードポリシーを割り当てることによって、そのコンテナとサブコンテナ内のすべてのユーザに確実にパスワードポリシーが割り当てられます。