Um dos aspectos realmente irritantes das palavras-passe é o facto de ter de as recordar. Se não se conseguir lembrar da sua palavra-passe num fornecedor de SaaS, é bastante simples: clica na ligação "esqueci-me da palavra-passe" e passa pelo processo de recuperação da palavra-passe. No entanto, como é frequentemente o caso, o mundo empresarial é mais complicado. Se tiver um ambiente híbrido em que utiliza o AD FS (Serviços de Federação do Active Directory) para fornecer um início de sessão único no Azure AD para a sua organização, existe uma funcionalidade do AD FS que resolverá um dos cenários mais comuns: O utilizador sabe a sua palavra-passe e tem de a alterar antes de poder fazer qualquer outra coisa.
Leitura relacionada
Conhecer uma palavra-passe, alterar uma palavra-passe
Quando é que isto acontece? Normalmente, este é o cenário de "integração" em que um novo contratado recebe as suas novas credenciais empresariais com uma palavra-passe temporária que tem de alterar quando inicia sessão pela primeira vez. Enquanto não alterarem a palavra-passe, não poderão aceder a quaisquer recursos da empresa.
Esta é uma ocorrência frequente no comércio retalhista, onde a rotatividade dos empregados é elevada e, muitas vezes, há contratações sazonais. Para o trabalhador sentado numa estação de trabalho ligada ao domínio na rede empresarial, não há problema, uma vez que o processo de actualização da palavra-passe está integrado no sistema operativo cliente Windows. Mas este cenário de estação de trabalho ligada ao domínio muitas vezes não se aplica; os funcionários têm de partilhar uma máquina tipo quiosque na sala de stocks para actualizarem a sua palavra-passe ou verem os recursos empresariais, ou pode não haver qualquer estação de trabalho.
É aqui que os serviços baseados na Web brilham realmente. Um funcionário não precisa de uma máquina ligada ao domínio; com uma arquitectura híbrida adequadamente concebida que tenha recursos tradicionais ligados ao domínio e recursos Web sustentados pelo Azure AD, estes funcionários móveis podem alterar a sua palavra-passe e trabalhar com sites de RH e benefícios utilizando os seus próprios dispositivos móveis.
Alteração da palavra-passe vs. reposição da palavra-passe
Mas é importante distinguir a alteração da palavra-passe da reposição da palavra-passe. A reposição da palavra-passe permite ao utilizador alterar a sua palavra-passe quando não a sabe. Como é que isso funciona? Exige que o utilizador introduza informações suplementares (telemóvel, e-mail alternativo, perguntas de segurança) para provar a sua identidade. Mas antes de poder passar por este processo de registo, o utilizador deve ter provado a sua identidade pelo menos uma vez, iniciando sessão com o seu ID de utilizador e palavra-passe. O calcanhar de Aquiles da reposição da palavra-passe é que o utilizador tem de ser proactivo: Se não se registar antecipadamente, o processo de reposição da palavra-passe não funcionará. E não pode registar-se se tiver apenas uma palavra-passe temporária.
Assim: o novo funcionário precisa de alterar a sua palavra-passe temporária. Não tem acesso a uma estação de trabalho ligada ao domínio. E não pode utilizar a reposição da palavra-passe porque ainda não se pode registar. Como pode actualizar a sua palavra-passe e começar a trabalhar?
O AD FS 3.0 tem a capacidade de permitir que o utilizador altere a sua palavra-passe quando fornece a palavra-passe existente. Para activar esta funcionalidade, abra a consola de gestão do AD FS, expanda Serviço e seleccione Pontos finais. No painel central, verá uma longa lista de pontos finais. Desloque-se para baixo até à secção Outros e seleccione /adfs/portal/updatepassword/. Clique com o botão direito do rato e escolha activar (ou seja, para utilizadores da intranet). Isto permitirá que os utilizadores da rede empresarial utilizem o início de sessão baseado em formulários do AD FS para alterar a sua palavra-passe. Não creio que isto seja especialmente útil porque a grande maioria dos utilizadores da rede empresarial que precisam de alterar a palavra-passe estarão provavelmente em estações de trabalho ligadas ao domínio. (Lembre-se de que a maioria dos dispositivos móveis estará numa rede sem fios pública, mesmo dentro da empresa). No entanto, não faz mal nenhum ter esta capacidade interna activada.
Clique com o botão direito do rato na palavra-passe actualizada uma segunda vez e seleccione activar no proxy (ou seja, para utilizadores externos).
Isto permitirá que os utilizadores externos - que incluem utilizadores de dispositivos móveis na rede pública da empresa - alterem a sua palavra-passe na página de início de sessão externa baseada em formulários do AD FS alojado no Web Application Proxy (abaixo):
Tenha em atenção que tem de reiniciar o serviço AD FS para que isto tenha efeito. Se não funcionar, tente reiniciar o serviço novamente; tive de o fazer duas vezes.
A possibilidade de actualizar a palavra-passe a partir de uma página Web é uma excelente funcionalidade, e é muito fácil de implementar Aqui está o post original de Sam Devasahayam (também conhecido como @MrADFS) sobre o tema.
