Configurare AD FS per l'invio di attestazioni di scadenza della password
È possibile configurare Active Directory Federation Services (AD FS) per inviare attestazioni di scadenza della password ai trust della relying party (applicazioni) protetti da AD FS. La modalità di utilizzo di queste attestazioni dipende dall'applicazione. Ad esempio, con Office 365 come parte affidabile, sono stati implementati aggiornamenti su Exchange e Outlook per notificare agli utenti federati delle password presto in scadenza.
Per configurare AD FS per inviare attestazioni di scadenza della password a un trust della parte affidabile, è necessario aggiungere le seguenti regole di attestazione a questo trust.
@RuleName = "Issue Password Expiry Claims"
c1:[Type == "http://schemas.microsoft.com/ws/2012/01/passwordexpirationtime"]
=> issue(store = "_PasswordExpiryStore", types = ("http://schemas.microsoft.com/ws/2012/01/passwordexpirationtime", "http://schemas.microsoft.com/ws/2012/01/passwordexpirationdays", "http://schemas.microsoft.com/ws/2012/01/passwordchangeurl"), query = "{0};", param = c1.Value);
Nota
Le attestazioni di scadenza della password sono disponibili solo per i tipi di autenticazione nome utente e password e Windows Hello for Business. Se l'utente esegue l'autenticazione con l'autenticazione integrata di Windows e Passport non è configurato, le attestazioni non saranno disponibili e gli utenti non visualizzeranno le notifiche di scadenza della password.
Nota
Esiste una finestra di 14 giorni in modo che le attestazioni inviate vengano popolate solo se la password scade entro 14 giorni.