hallo@ops365.de
Ops365
  • Home
  • Blog
  • Patches
  • Autoren

Kennwortrücksetzung mit AD FS 3.0 aktivieren

Donnerstag, 3. November 2016René Dalkowski

Mit Windows Server 2012R2 wurde die Rolle AD FS Server auf die Version 3.0 aktualisiert und ist um die Kennwortrücksetzung erweitert worden. Neben einigen weiteren Änderungen, ist diese Möglichkeit Kennwörter über die Weboberfläche zurück setzen zu können eines der interessantesten Features geworden. Gerade beim Arbeiten mit Office 365 oder SharePoint Online muss man nicht mehr an einem Client in der Domäne angemeldet sein. Man kann nun also auch von jedem anderen Gerät über den Browser das Kennwort für das eigene Benutzerkonto zurücksetzen. Da die Funktion anfangs nur auf Geräte in einer Domäne beschränkt war, sollte drauf geachtet werden, dass der Patch KB3035025 auf allen AD FS Servern installiert ist, um diese Limitierung zu deaktivieren.

Aktivierung der Funktion

Für die Aktivierung der Kennwortrücksetzung muss auf dem primären AD FS Server unter Endpoints die URL /adfs/portal/updatepassword/ aktiviert werden. Betreibt man auch AD FS Proxy Server, kann man anschließend auch die Aktivierung für die Proxy Server vornehmen (Enable on Proxy). Dadurch lässt sich zum Beispiel steuern, ob die Funktion nur in einem internen Netzwerk verfügbar ist, oder aber auch über die Proxy Server im Internet erreichbar ist.

Seite für die Kennwortrücksetzung aktivieren

Seite für die Kennwortrücksetzung aktivieren

 

Anschließend muss auf allen AD FS Server der AD FS Dienst neu gestartet werden.

Neustart des AD FS Dienstes

Neustart des AD FS Dienstes

 

Anpassung der Claim Rules

Je nachdem, wofür AD FS benutzt wird, kann es nötig sein eine zusätzliche Claim Rule zu erstellen. Hierdurch soll dafür gesorgt werden, dass auch abgelaufene Kennwörter erkannt werden können. Für Office 365 ist das aktuell jedoch nicht mehr nötig. Während es für andere Dienste empfehlenswert ist eine Regel mit folgendem Inhalt anzulegen:

c1:[Type == "http://schemas.microsoft.com/ws/2012/01/passwordexpirationtime"]

=> issue(store = "_PasswordExpiryStore", types = ("http://schemas.microsoft.com/ws/2012/01/passwordexpirationtime", "http://schemas.microsoft.com/ws/2012/01/passwordexpirationdays", "http://schemas.microsoft.com/ws/2012/01/passwordchangeurl"), query = "{0};", param = c1.Value);
Erstellen der Claim Rule

Erstellen der Claim Rule

 

Übersicht der Claim Rules

Übersicht der Claim Rules

 

Funktionsweise der Kennwortrücksetzung

Die einfachste Möglichkeit die Funktion zu nutzen, ist die URL der vorher aktivierten Webseiten anzusurfen. In der Regel ist das https://<AD FS URL>/adfs/portal/updatepassword. Dort kann nun jeder Benutzer durch Eingabe von Anmeldename, altem Kennwort und zwei mal neues Kennwort sein Kennwort ändern.

Webseite für die Kennwortrücksetzung mit AD FS 3.0

Webseite für die Kennwortrücksetzung mit AD FS 3.0

 

Zusätzlich zum direkten Ansurfen der Funktionsseite, reagiert nun auch die reguläre Anmeldung auf Flags wie „Kennwort ist abgelaufen“ und „Kennwort muss bei nächster Anmeldung neu gesetzt werden“. In beiden Fällen meldet sich der Nutzer wie gewohnt an, wird dann aber auf die Funktionsseite zur Kennwortrücksetzung umgeleitet. Dort ist nun bereits sein Benutzername eingetragen und es müssen nur noch die drei Kennwortfelder ausgefüllt werden.

Diese und weitere Customizing-Möglichkeiten sind ebenfalls im Technet dokumentiert.

Viel Spass beim Ausprobieren!

Tags: AD FS, Authentifizierung, Kennwortrücksetzung, Password, Reset, SAML
René Dalkowski
René Dalkowski
René Dalkowski arbeitet seit 2010 bei der itacs GmbH in Berlin als Infrastruktur-Consultant. Sein Schwerpunkt liegt dabei auf SharePoint und den angrenzenden Technologien wie MS SQL Server, ADFS und Office 365.
Vorheriger Beitrag Aktivieren S/MIME in Exchange Online für OWA Nächster Beitrag Verzeichnissynchronisation 2.0

Ähnliche Beiträge

Fingerabdruck

Identitätsprüfung: Sind Sie es wirklich?

Dienstag, 25. Oktober 2016Thomas Drömer
Secruity Patch Office 2016 Teddy

Microsoft-Patchday im März schließt kritische Lücken in Hyper-V und AD FS

Freitag, 17. März 2017Tobias Fiebeler
CodeSalat

Azure AD Sync schlägt nach Änderung des UPN zu einer anderen Verbunddomäne fehl

Freitag, 6. Januar 2017Peter Ciasto

Neueste Beiträge

  • itacs Office 365 Backup und Archivierung
  • SharePoint Workflows starten nach Installation des .NET-Updates für CVE-2018-8421 nicht mehr
  • Office 365 DE – Nutzung der iOS Outlook App
  • Office 365 – Vergleich der Authentifizierungsoptionen
  • Office 365 DE – Anzeigefehler bei Multifaktorauthentifizierung

Themen

Active Directory AD AD FS Authentifizierung Azure Azure AD Connect Azure Stack Basic CDCGermany Compliance CU Cumulative Update DE-Cloud Digest DirSync Exchange Exchange Online Feature Pack GPO Gruppenrichtlinien Kennwortrücksetzung Lizenzierung Lizenzmodell Microsoft Monitoring NTLM OAuth Office Office 365 Office365 Office Blog OMS Operations Management Suite OutlookWebApp OWA Password Patches Reset S/Mime SAML SharePoint SharePoint 2016 System Center 2016 TMG Windows Server 2016

Ops365 – Ein Blog der itacs GmbH

Die itacs GmbH ist ein deutschlandweit tätiges IT-Beratungsunternehmen mit Hauptsitz in Berlin, das sich auf IT-Lösungen auf Basis von Microsoft Technologien spezialisiert hat.

Neueste Beiträge

  • itacs Office 365 Backup und Archivierung
  • SharePoint Workflows starten nach Installation des .NET-Updates für CVE-2018-8421 nicht mehr
  • Office 365 DE – Nutzung der iOS Outlook App

Durchsuche Ops365.de

HomeImpressumKontaktHaftungsausschlussDatenschutzLogin
itacs GmbH