L'une des choses les plus ennuyeuses avec les mots de passe, c'est qu'il faut s'en souvenir. Si vous ne vous souvenez pas de votre mot de passe chez un fournisseur SaaS, c'est assez simple : vous cliquez sur le lien "mot de passe oublié" et vous suivez le processus de récupération du mot de passe. Cependant, comme c'est souvent le cas, le monde de l'entreprise est plus compliqué. Si vous avez un environnement hybride dans lequel vous utilisez AD FS (Active Directory Federation Services) pour fournir une authentification unique à Azure AD pour votre organisation, il existe une fonctionnalité AD FS qui résoudra l'un des scénarios les plus courants : L'utilisateur connaît son mot de passe et doit le changer avant de pouvoir faire quoi que ce soit d'autre.
Lecture associée
Connaître un mot de passe, changer de mot de passe
Quand cela se produit-il ? Il s'agit généralement d'un scénario d'intégration, dans lequel un nouvel employé reçoit ses nouveaux identifiants d'entreprise avec un mot de passe temporaire qu'il doit changer lors de sa première connexion. Tant qu'il n'a pas changé son mot de passe, il ne peut accéder à aucune ressource de l'entreprise.
Cette situation est fréquente dans le commerce de détail, où la rotation du personnel est élevée et où l'on assiste souvent à des vagues d'embauches saisonnières. Pour le travailleur assis sur un poste de travail relié à un domaine sur le réseau de l'entreprise, ce n'est pas un problème car le processus de mise à jour du mot de passe est intégré dans le système d'exploitation du client Windows. Mais ce scénario de poste de travail relié à un domaine ne s'applique souvent pas ; les employés doivent partager une machine de type kiosque dans la salle des stocks pour mettre à jour leur mot de passe ou consulter les ressources de l'entreprise, ou bien il n'y a pas de poste de travail du tout.
C'est là que les services basés sur le web brillent vraiment. Un employé n'a pas besoin d'une machine reliée à un domaine ; avec une architecture hybride bien conçue qui comporte à la fois des ressources traditionnelles reliées à un domaine et des ressources web soutenues par Azure AD, ces employés mobiles peuvent changer leur mot de passe et travailler avec les sites de RH et d'avantages sociaux à l'aide de leurs propres appareils mobiles.
Changement de mot de passe ou réinitialisation du mot de passe
Mais il est important de distinguer le changement de mot de passe de la réinitialisation du mot de passe. La réinitialisation du mot de passe permet à l'utilisateur de modifier son mot de passe lorsqu'il ne le connaît pas. Comment cela fonctionne-t-il ? L'utilisateur doit saisir des informations supplémentaires (téléphone portable, autre adresse électronique, questions de sécurité) pour prouver son identité. Mais avant de pouvoir suivre ce processus d'enregistrement, il doit avoir prouvé son identité au moins une fois en se connectant avec son nom d'utilisateur et son mot de passe. Le talon d'Achille de la réinitialisation du mot de passe est que l'utilisateur doit être proactif : S'il ne s'est pas inscrit à l'avance, le processus de réinitialisation du mot de passe ne fonctionnera pas. Il ne peut pas non plus s'inscrire s'il n'a qu'un mot de passe temporaire.
Donc : le nouvel employé doit changer son mot de passe temporaire. Il n'a pas accès à un poste de travail relié à un domaine. Et il ne peut pas utiliser la réinitialisation du mot de passe parce qu'il ne peut pas encore s'enregistrer. Comment peut-il mettre à jour son mot de passe et commencer à travailler ?
AD FS 3.0 permet à l'utilisateur de modifier son mot de passe lorsqu'il fournit son mot de passe existant. Pour ce faire, ouvrez la console de gestion AD FS, développez Service et sélectionnez Endpoints. Dans le volet central, vous verrez une longue liste de points de terminaison. Faites défiler la liste jusqu'à la section Other et sélectionnez /adfs/portal/updatepassword/. Cliquez dessus avec le bouton droit de la souris et choisissez d'activer (c'est-à-dire pour les utilisateurs de l'intranet). Cela permettra aux utilisateurs du réseau d'entreprise d'utiliser la connexion AD FS basée sur des formulaires pour modifier leur mot de passe. Je ne pense pas que cela soit particulièrement utile, car la grande majorité des utilisateurs du réseau d'entreprise qui ont besoin de changer leur mot de passe seront probablement sur des stations de travail reliées à un domaine. (N'oubliez pas que la plupart des appareils mobiles se trouvent sur un réseau sans fil public, même à l'intérieur de l'entreprise). Toutefois, il n'est pas inutile d'activer cette fonction interne.
Cliquez une seconde fois avec le bouton droit de la souris sur updatedpassword et sélectionnez enable on proxy (c'est-à-dire pour les utilisateurs externes).
Cela permettra aux utilisateurs externes - y compris les utilisateurs d'appareils mobiles sur le réseau public de l'entreprise - de modifier leur mot de passe sur la page de connexion AD FS basée sur des formulaires et hébergée par Web Application Proxy (ci-dessous) :
Notez que vous devez redémarrer le service AD FS pour que cela prenne effet. Si cela ne fonctionne pas, essayez de redémarrer le service à nouveau ; j'ai dû le faire deux fois.
La possibilité de mettre à jour son mot de passe à partir d'une page web est une fonctionnalité intéressante et facile à mettre en œuvre. Voici le billet original de Sam Devasahayam (également connu sous le nom de @MrADFS) sur le sujet.
