Configuration d'AD FS pour envoyer les revendications d'expiration de mot de passe
Vous pouvez configurer les services AD FS pour envoyer des revendications d’expiration de mot de passe aux approbations de partie de confiance (applications) protégées par AD FS. Le mode d’utilisation de ces revendications dépend de l’application. Par exemple, avec Office 365 comme partie de confiance, des mises à jour ont été implémentées dans Exchange et Outlook pour informer les utilisateurs fédérés de l’expiration prochaine de leurs mots de passe.
Pour configurer AD FS de manière à envoyer des revendications d’expiration de mot de passe à une approbation de partie de confiance, vous devez ajouter les règles de revendication suivantes à cette approbation de partie de confiance :
@RuleName = "Issue Password Expiry Claims"
c1:[Type == "http://schemas.microsoft.com/ws/2012/01/passwordexpirationtime"]
=> issue(store = "_PasswordExpiryStore", types = ("http://schemas.microsoft.com/ws/2012/01/passwordexpirationtime", "http://schemas.microsoft.com/ws/2012/01/passwordexpirationdays", "http://schemas.microsoft.com/ws/2012/01/passwordchangeurl"), query = "{0};", param = c1.Value);
Notes
Les revendications d’expiration de mot de passe sont disponibles uniquement pour les types d’authentification nom d’utilisateur et mot de passe et Windows Hello Entreprise. Si l’utilisateur s’authentifie à l’aide de l’authentification intégrée Windows et que Passport n’est pas configuré, les revendications ne sont pas disponibles et les utilisateurs ne voient pas de notifications d’expiration de mot de passe.
Notes
Il existe une fenêtre de 14 jours pour que les revendications envoyées soient renseignées uniquement si le mot de passe expire dans un délai de 14 jours.