AD FS configureren om claims over het verlopen van wachtwoorden te verzenden
U kunt Active Directory Federation Services (AD FS) configureren om claims over wachtwoordverval te verzenden naar de relying party-trusts (toepassingen) die door AD FS worden beveiligd. Hoe deze claims worden gebruikt, is afhankelijk van de toepassing. Met Office 365 als vertrouwenspartij zijn er bijvoorbeeld updates geïmplementeerd in Exchange en Outlook om federatieve gebruikers te informeren over hun binnenkort te verlopen wachtwoorden.
Als u AD FS wilt configureren voor het verzenden van claims voor het verlopen van wachtwoorden naar een relying party vertrouwensrelatie, moet u de volgende claimregels toevoegen aan deze relying party vertrouwensrelatie:
@RuleName = "Issue Password Expiry Claims"
c1:[Type == "http://schemas.microsoft.com/ws/2012/01/passwordexpirationtime"]
=> issue(store = "_PasswordExpiryStore", types = ("http://schemas.microsoft.com/ws/2012/01/passwordexpirationtime", "http://schemas.microsoft.com/ws/2012/01/passwordexpirationdays", "http://schemas.microsoft.com/ws/2012/01/passwordchangeurl"), query = "{0};", param = c1.Value);
Notitie
Aanspraken voor het verlopen van wachtwoorden zijn alleen beschikbaar voor de authenticatietypen gebruikersnaam en wachtwoord en Windows Hello voor Bedrijven. Als de gebruiker verifieert met geïntegreerde Windows-verificatie en Passport niet is geconfigureerd, zijn de claims niet beschikbaar en zien de gebruikers geen meldingen over het verlopen van wachtwoorden.
Notitie
Er is een periode van 14 dagen, zodat de verzonden claims alleen worden ingevuld als het wachtwoord binnen 14 dagen verloopt.