Eines der wirklich lästigen Dinge bei Passwörtern ist, dass man sie sich merken muss. Wenn Sie sich bei einem SaaS-Anbieter nicht mehr an Ihr Passwort erinnern können, ist es ganz einfach: Sie klicken auf den Link "Passwort vergessen" und durchlaufen den Prozess der Passwortwiederherstellung. Wie so oft, ist die Unternehmenswelt jedoch komplizierter. Wenn Sie eine hybride Umgebung haben, in der Sie AD FS (Active Directory Federation Services) verwenden, um eine einmalige Anmeldung bei Azure AD für Ihr Unternehmen zu ermöglichen, gibt es eine AD FS-Funktion, die eines der häufigsten Szenarien löst: Der Benutzer kennt sein Passwort und muss es ändern, bevor er etwas anderes tun kann.
Verwandte Lektüre
Ein Passwort kennen, ein Passwort ändern
Wann ist das der Fall? Normalerweise ist dies das "Onboarding"-Szenario, bei dem ein neuer Mitarbeiter seine neuen Unternehmensanmeldedaten mit einem temporären Passwort erhält, das er bei der ersten Anmeldung ändern muss. Solange sie ihr Passwort nicht geändert haben, können sie auf keine Unternehmensressourcen zugreifen.
Dies kommt im Einzelhandel häufig vor, wo die Fluktuation der Mitarbeiter hoch ist und oft saisonale Einstellungsschübe zu verzeichnen sind. Für den Mitarbeiter, der an einer domänenverbundenen Workstation im Unternehmensnetzwerk sitzt, ist das keine große Sache, da der Prozess der Kennwortaktualisierung in das Windows-Client-Betriebssystem integriert ist. Aber dieses Szenario einer domänenverbundenen Workstation trifft oft nicht zu. Die Mitarbeiter müssen sich einen kioskähnlichen Rechner im Lagerraum teilen, um ihr Passwort zu aktualisieren oder Unternehmensressourcen einzusehen, oder es gibt überhaupt keine Workstation.
Dies ist der Punkt, an dem webbasierte Dienste wirklich glänzen. Mit einer richtig konzipierten hybriden Architektur, die sowohl traditionelle domänenverbundene Ressourcen als auch Webressourcen auf der Grundlage von Azure AD umfasst, können diese mobilen Mitarbeiter ihr Passwort ändern und mit ihren eigenen mobilen Geräten mit HR- und Sozialleistungsseiten arbeiten.
Passwort ändern vs. Passwort zurücksetzen
Aber es ist wichtig, zwischen Passwortänderung und Passwortrücksetzung zu unterscheiden. Das Zurücksetzen des Passworts ermöglicht es dem Benutzer, sein Passwort zu ändern, wenn er es nicht mehr weiß. Wie funktioniert das? Der Benutzer muss zusätzliche Informationen eingeben (Mobiltelefon, alternative E-Mail-Adresse, Sicherheitsfragen), um seine Identität zu beweisen. Doch bevor er diesen Registrierungsprozess durchlaufen kann, muss er seine Identität mindestens einmal erfolgreich nachgewiesen haben, indem er sich mit seiner Benutzerkennung und seinem Passwort anmeldet. Die Achillesferse der Passwortrücksetzung ist, dass der Benutzer proaktiv sein muss: Wenn er sich nicht vorher registriert hat, funktioniert das Zurücksetzen des Passworts nicht. Und sie können sich nicht registrieren, wenn sie nur ein vorläufiges Passwort haben.
Also: Der neue Mitarbeiter muss sein temporäres Passwort ändern. Er hat keinen Zugang zu einem Arbeitsplatz, der mit der Domäne verbunden ist. Und er kann die Kennwortrücksetzung nicht verwenden, weil er sich noch nicht registrieren kann. Wie kann er sein Kennwort aktualisieren und loslegen?
AD FS 3.0 bietet die Möglichkeit, dem Benutzer zu erlauben, sein Passwort zu ändern, wenn er sein bestehendes Passwort angibt. Um dies zu aktivieren, öffnen Sie die AD FS-Verwaltungskonsole, erweitern Sie Service und wählen Sie Endpunkte. Im mittleren Fensterbereich sehen Sie eine lange Liste von Endpunkten. Scrollen Sie nach unten zum Abschnitt Andere und wählen Sie /adfs/portal/updatepassword/. Klicken Sie mit der rechten Maustaste darauf und wählen Sie Aktivieren (d.h. für Intranet-Benutzer). Dadurch können Benutzer im Unternehmensnetzwerk die formularbasierte AD FS-Anmeldung verwenden, um ihr Kennwort zu ändern. Ich glaube nicht, dass dies besonders nützlich ist, da die überwiegende Mehrheit der Benutzer im Unternehmensnetzwerk, die ihr Kennwort ändern müssen, sich wahrscheinlich auf Workstations befinden, die mit der Domäne verbunden sind. (Denken Sie daran, dass sich die meisten mobilen Geräte in einem öffentlichen drahtlosen Netzwerk befinden, auch innerhalb des Unternehmens). Es kann jedoch nicht schaden, diese interne Funktion zu aktivieren.
Klicken Sie ein zweites Mal mit der rechten Maustaste auf updatedpassword und wählen Sie enable on proxy (d.h. für externe Benutzer).
Dadurch können externe Benutzer - zu denen auch Benutzer mobiler Geräte im öffentlichen Unternehmensnetzwerk gehören - ihr Kennwort auf der externen, von Web Application Proxy gehosteten, formularbasierten Anmeldeseite von AD FS ändern (siehe unten):
Beachten Sie, dass Sie den AD FS-Dienst neu starten müssen, damit dies wirksam wird. Wenn das nicht funktioniert, versuchen Sie, den Dienst noch einmal neu zu starten; ich musste das zweimal tun.
Die Möglichkeit, Ihr Kennwort von einer Webseite aus zu aktualisieren, ist eine großartige Funktion, und sie ist so einfach zu implementieren. Hier ist der Originalbeitrag von Sam Devasahayam (auch bekannt als @MrADFS) zu diesem Thema.
