Una de las cosas más molestas de las contraseñas es que hay que recordarlas. Si no recuerdas tu contraseña en un proveedor de SaaS, es bastante sencillo: haces clic en el enlace "olvidé mi contraseña" y sigues el proceso de recuperación de contraseña. Sin embargo, como suele ocurrir, el mundo corporativo es más complicado. Si tienes un entorno híbrido en el que utilizas AD FS (Active Directory Federation Services) para proporcionar un inicio de sesión único en Azure AD para tu organización, hay una función de AD FS que resolverá uno de los escenarios más comunes: El usuario conoce su contraseña y debe cambiarla antes de poder hacer cualquier otra cosa.
Lecturas relacionadas
Conocer una contraseña, cambiar una contraseña
¿Cuándo ocurre esto? Por lo general, se trata del escenario de "incorporación" en el que un nuevo empleado recibe sus nuevas credenciales corporativas con una contraseña temporal que debe cambiar cuando se conecta por primera vez. Hasta que no cambien la contraseña, no podrán acceder a ningún recurso corporativo.
Esto ocurre con frecuencia en el comercio minorista, donde la rotación de empleados es alta y a menudo hay periodos estacionales de contratación. Para el trabajador sentado en una estación de trabajo unida a un dominio en la red corporativa, no es un gran problema, ya que el proceso de actualización de contraseñas está integrado en el sistema operativo cliente Windows. Pero este escenario de estación de trabajo unida a un dominio a menudo no se aplica; los empleados deben compartir una máquina tipo quiosco en el almacén para actualizar su contraseña o ver los recursos corporativos, o puede que no haya ninguna estación de trabajo.
Aquí es donde los servicios basados en web realmente brillan. Un empleado no necesita una máquina unida a un dominio; con una arquitectura híbrida correctamente diseñada que tenga tanto recursos unidos a un dominio tradicional como recursos web respaldados por Azure AD, estos empleados móviles pueden cambiar su contraseña y trabajar con sitios de RR. HH. y beneficios utilizando sus propios dispositivos móviles.
Cambio de contraseña frente a restablecimiento de contraseña
Pero es importante distinguir el cambio de contraseña del restablecimiento de contraseña. El restablecimiento de contraseña permite al usuario cambiar su contraseña cuando no la conoce. ¿Cómo funciona? Requiere que el usuario introduzca información complementaria (teléfono móvil, correo electrónico alternativo, preguntas de seguridad) para demostrar su identidad. Pero antes de poder pasar por este proceso de registro, debe haber demostrado su identidad al menos una vez iniciando sesión con su identificador de usuario y contraseña. El talón de Aquiles del restablecimiento de contraseñas es que el usuario debe ser proactivo: Si no se ha registrado con antelación, el proceso de restablecimiento de contraseña no funcionará. Y no puede registrarse si sólo tiene una contraseña provisional.
Así pues: el nuevo empleado necesita cambiar su contraseña temporal. No tiene acceso a un puesto de trabajo conectado al dominio. Y no puede utilizar el restablecimiento de contraseña porque aún no puede registrarse. ¿Cómo puede actualizar su contraseña y ponerse en marcha?
AD FS 3.0 tiene la capacidad de permitir al usuario cambiar su contraseña cuando proporciona su contraseña existente. Para habilitarlo, abra la consola de administración de AD FS, expanda Servicio y seleccione Puntos finales. En el panel central, verá una larga lista de puntos finales. Desplácese hacia abajo hasta la sección Otros y seleccione /adfs/portal/updatepassword/. Haga clic con el botón derecho del ratón y seleccione Habilitar (es decir, para usuarios de la intranet). Esto permitirá a los usuarios de la red corporativa utilizar el inicio de sesión basado en formularios de AD FS para cambiar su contraseña. No creo que esto sea especialmente útil porque la gran mayoría de los usuarios de la red corporativa que necesitan cambiar su contraseña probablemente estarán en estaciones de trabajo unidas al dominio. (Recuerda que la mayoría de los dispositivos móviles estarán en una red inalámbrica pública, incluso dentro de la empresa). Sin embargo, no está de más tener habilitada esta función interna.
Haga clic con el botón derecho en updatedpassword por segunda vez y seleccione enable on proxy (es decir, para usuarios externos).
Esto permitirá a los usuarios externos (incluidos los usuarios de dispositivos móviles en la red pública de la empresa) cambiar su contraseña en la página de inicio de sesión basada en formularios de AD FS alojada en proxy de aplicaciones web externas (más abajo):
Tenga en cuenta que debe reiniciar el servicio AD FS para que esto surta efecto. Si no funciona, intente reiniciar el servicio de nuevo; Tuve que hacerlo dos veces.
La posibilidad de actualizar su contraseña desde una página web es una gran característica, y es tan fácil de implementar Aquí está el post original de Sam Devasahayam (también conocido como @MrADFS) sobre el tema.
