Sean Deuby | Tecnologo principale

Una delle cose più fastidiose delle password è che bisogna ricordarle. Se non riuscite a ricordare la vostra password presso un fornitore SaaS, è piuttosto semplice: cliccate sul link "password dimenticata" e seguite il processo di recupero della password. Tuttavia, come spesso accade, il mondo aziendale è più complicato. Se avete un ambiente ibrido in cui utilizzate AD FS (Active Directory Federation Services) per fornire il single sign-on ad Azure AD per la vostra organizzazione, esiste una funzione di AD FS che risolve uno degli scenari più comuni: L'utente conosce la propria password e deve cambiarla prima di poter fare qualsiasi altra cosa.

Lettura correlata

Conoscere una password, cambiare una password

Quando può accadere? Di solito si tratta dello scenario di "onboarding", in cui un nuovo assunto riceve le nuove credenziali aziendali con una password temporanea che deve cambiare al primo accesso. Finché non cambia la password, non potrà accedere a nessuna risorsa aziendale.

Si tratta di una situazione frequente nel settore della vendita al dettaglio, dove il turnover dei dipendenti è elevato e spesso si verificano assunzioni stagionali. Per i lavoratori che siedono su una postazione di lavoro collegata al dominio sulla rete aziendale, non è un problema, poiché il processo di aggiornamento della password è integrato nel sistema operativo client Windows. Ma questo scenario di workstation unite al dominio spesso non è applicabile; i dipendenti devono condividere una macchina di tipo kiosk nel magazzino per aggiornare la password o visualizzare le risorse aziendali, oppure non c'è nessuna workstation.

È qui che i servizi basati sul web sono davvero brillanti. Un dipendente non ha bisogno di una macchina collegata al dominio; con un'architettura ibrida adeguatamente progettata, che prevede sia risorse tradizionali collegate al dominio sia risorse web sostenute da Azure AD, questi dipendenti mobili possono cambiare la propria password e lavorare con i siti HR e di benefit utilizzando i propri dispositivi mobili.

Modifica della password vs. reset della password

Ma è importante distinguere la modifica della password dalla reimpostazione della password. La reimpostazione della password consente all'utente di cambiare la propria password quando non la conosce. Come funziona? Richiede che l'utente inserisca informazioni supplementari (telefono cellulare, e-mail alternativa, domande di sicurezza) per dimostrare la propria identità. Ma prima di poter effettuare questo processo di registrazione, l'utente deve aver dimostrato la propria identità almeno una volta, accedendo con il proprio ID utente e la propria password. Il tallone d'Achille della reimpostazione della password è che l'utente deve essere proattivo: Se non si è registrato in anticipo, il processo di reimpostazione della password non funzionerà. E non può registrarsi se ha solo una password temporanea.

Quindi: il nuovo dipendente deve cambiare la sua password temporanea. Non ha accesso a una workstation collegata al dominio. E non possono usare la reimpostazione della password perché non possono ancora registrarsi. Come possono aggiornare la password e iniziare a lavorare?

AD FS 3.0 ha la possibilità di consentire all'utente di cambiare la propria password quando fornisce quella esistente. Per attivarla, aprire la console di gestione di AD FS, espandere Servizio e selezionare Endpoint. Nel riquadro centrale viene visualizzato un lungo elenco di endpoint. Scorrere fino alla sezione Altro e selezionare /adfs/portal/updatepassword/. Fare clic con il pulsante destro del mouse su di esso e scegliere di abilitare (cioè per gli utenti intranet). In questo modo gli utenti della rete aziendale potranno utilizzare il login basato su moduli di AD FS per cambiare la password. Non credo che questo sia particolarmente utile, perché la stragrande maggioranza degli utenti della rete aziendale che devono cambiare la password probabilmente si trovano su workstation collegate al dominio. (Ricordate che la maggior parte dei dispositivi mobili si trova su una rete wireless pubblica, anche all'interno dell'azienda). Tuttavia, non è certo un male avere questa funzionalità interna abilitata.

Fate un secondo clic con il tasto destro del mouse su updatedpassword e selezionate enable on proxy (cioè per gli utenti esterni).

password aggiornata in AD FS

In questo modo gli utenti esterni, compresi gli utenti di dispositivi mobili sulla rete pubblica dell'azienda, potranno cambiare la password nella pagina di login basata su moduli AD FS ospitata da Web Application Proxy (sotto):

Reti di identità ibride - Active Directory

Si noti che è necessario riavviare il servizio AD FS perché questo abbia effetto. Se non funziona, provare a riavviare il servizio; io ho dovuto farlo due volte.

La possibilità di aggiornare la password da una pagina web è un'ottima funzione ed è molto facile da implementare Ecco il post originale di Sam Devasahayam (noto anche come @MrADFS) sull'argomento.