ADFS Kennwort ändern

Solange ein Anwender im internen LAN mit einem Domain-Client arbeitet, kann er auch einfach sein abgelaufenes Kennwort selbst nach dem Ablaufdatum beim Anmelden ändern. Das geht so mit ADFS erst mal nicht. Wenn sich der Client nicht anmelden kann, kann er auch kein Kennwort ändern. Wer nun natürlich ein Azure-AD-Premum Abonnement mit Kennwort-Sync hat, kann nun natürlich in der Office 365 Cloud das Kennwort ändern und es wird auch zurück repliziert. Das ist aber nicht der Regelfall. Die meisten Firmen nutzen Office 365 und On-Prem den ADFS-Service zur Ausstellung von Tickets.

Die Empfehlung von Microsoft ist hier, ein eigenes Portal zu nutzen, welches eine Kennwort-Änderung auch ohne vorherige Anmeldung erlaubt. Ein solches Portal hat z.B. TMG (TMG und Kennwort) angeboten. Auch andere Portale und selbst eine frühere Windows Applikation (IISADMPWD) eröffnete diese Wege. Es gibt noch viele weitere 3rd Party Tools, Provisioning Systeme, WebPortale etc. Die eine passende Lösung für alle Fälle ist individuell zu definieren.

Note: ADFS 2012 R2 required authenticated/registered devices (a.k.a ‘workplace join’) to allow the change of passwords. Based on customer feedback, we have relaxed this constraint and allow this from all devices. You will need to apply 3035025 hotfix on all the ADFS servers.
Quelle: http://blogs.msdn.com/b/samueld/archive/2015/05/13/adfs-2012-r2-now-supports-password-change-not-reset-across-all-devices.aspx

Aber auch ADFS hat eine entsprechende Funktion eingebaut, die anfangs nur für "Workplace Join"-Devices zugänglich war und erst aktiviert werden muss.

Der Service ist dann unter der folgenden URL zu erreichen

Im Browser ist dann das alte und zweimal das neue Kennwort einzugeben

So können Anwender auch von unterwegs ihr Kennwort ändern, welches abgelaufen ist und damit eine Anmeldung an verschiedenen Diensten nicht mehr möglich ist.

Weitere Links