ADFS Kennwort ändern
Solange ein Anwender im internen LAN mit einem Domain-Client arbeitet, kann er auch einfach sein abgelaufenes Kennwort selbst nach dem Ablaufdatum beim Anmelden ändern. Das geht so mit ADFS erst mal nicht. Wenn sich der Client nicht anmelden kann, kann er auch kein Kennwort ändern. Wer nun natürlich ein Azure-AD-Premum Abonnement mit Kennwort-Sync hat, kann nun natürlich in der Office 365 Cloud das Kennwort ändern und es wird auch zurück repliziert. Das ist aber nicht der Regelfall. Die meisten Firmen nutzen Office 365 und On-Prem den ADFS-Service zur Ausstellung von Tickets.
Die Empfehlung von Microsoft ist hier, ein eigenes Portal zu nutzen, welches eine Kennwort-Änderung auch ohne vorherige Anmeldung erlaubt. Ein solches Portal hat z.B. TMG (TMG und Kennwort) angeboten. Auch andere Portale und selbst eine frühere Windows Applikation (IISADMPWD) eröffnete diese Wege. Es gibt noch viele weitere 3rd Party Tools, Provisioning Systeme, WebPortale etc. Die eine passende Lösung für alle Fälle ist individuell zu definieren.
Note: ADFS 2012 R2 required
authenticated/registered devices (a.k.a ‘workplace
join’) to allow the change of passwords. Based
on customer feedback, we have relaxed this
constraint and allow this from all devices. You
will need to apply 3035025 hotfix
on all the ADFS servers.
Quelle:
http://blogs.msdn.com/b/samueld/archive/2015/05/13/adfs-2012-r2-now-supports-password-change-not-reset-across-all-devices.aspx
Aber auch ADFS hat eine entsprechende Funktion eingebaut, die anfangs nur für "Workplace Join"-Devices zugänglich war und erst aktiviert werden muss.
Der Service ist dann unter der folgenden URL zu erreichen
https://<fqdn.des.adfs.server/adfs/portal/updatepassword/
Im Browser ist dann das alte und zweimal das neue Kennwort einzugeben
So können Anwender auch von unterwegs ihr Kennwort ändern, welches abgelaufen ist und damit eine Anmeldung an verschiedenen Diensten nicht mehr möglich ist.
- 3035025 Hotfix für Update password feature so that Users are not required to use registered device in Windows Server 2012 R2
- Customizing the AD FS Sign-in
Pages
https://technet.microsoft.com/en-us/library/dn280950.aspx - Handling Expired Passwords
in AD FS 2012 R2
http://www.theidentityguy.com/articles/2014/5/27/handling-expired-passwords-in-ad-fs-2012-r2.html - Changing Your Password with
Office 365 FAQ
http://blogs.technet.com/b/educloud/archive/2014/10/22/changing-your-password-with-office-365-faq.aspx
Weitere Links
- Kerberos Browser
- IISADMPWD
- TMG und Kennwort
-
Active Directory:
Passwortänderung mittels
Webseite
https://www.frankysweb.de/active-directory-passwortaenderung-mittels-webseite/#comment-47203