Nastavení toku vynuceného resetování hesla v Azure Active Directory B2C

Než začnete, pomocí selektoru Zvolit typ zásady zvolte typ zásady, kterou nastavujete. Azure Active Directory B2C nabízí dvě metody, jak uživatelé pracují s vašimi aplikacemi: prostřednictvím předdefinovaných toků uživatelů nebo prostřednictvím plně konfigurovatelných vlastních zásad. Kroky požadované v tomto článku se pro každou metodu liší.

Přehled

Jako správce můžete resetovat heslo uživatele , pokud uživatel zapomene heslo. Nebo je chcete vynutit resetování hesla. V tomto článku se dozvíte, jak v těchto scénářích vynutit resetování hesla.

Když správce resetuje heslo uživatele prostřednictvím Azure Portal, hodnota forceChangePasswordNextSignIn atribut je nastavena na true. Přihlašovací a registrační cesta zkontroluje hodnotu tohoto atributu. Jakmile uživatel dokončí přihlášení, musí uživatel resetovat heslo, pokud je atribut nastavený na truehodnotu. Pak je hodnota atributu nastavena zpět false.

Force password reset flow

Tok resetování hesla se vztahuje na místní účty v Azure AD B2C, které používají e-mailovou adresu nebo uživatelské jméno s heslem pro přihlášení.

Požadavky

Konfigurace toku uživatele

Povolení nastavení vynuceného resetování hesla v toku uživatele pro registraci nebo přihlášení:

  1. Přihlaste se k webu Azure Portal.
  2. Ujistěte se, že používáte adresář, který obsahuje vašeho tenanta Azure AD B2C. Na panelu nástrojů portálu vyberte ikonu Adresáře + předplatná .
  3. Na | nastavení portálu Stránka adresářů + předplatná , vyhledejte adresář Azure AD B2C v seznamu názvů adresářů a pak vyberte Přepnout.
  4. V Azure Portal vyhledejte a vyberte Azure AD B2C.
  5. Vyberte toky uživatelů.
  6. Vyberte tok registrace a přihlášení nebo tok uživatele přihlášení (typu Doporučeno), který chcete přizpůsobit.
  7. V nabídce vlevo v části Nastavení vyberte Vlastnosti.
  8. V části Konfigurace hesla vyberte Vynucené resetování hesla.
  9. Vyberte Uložit.

Otestování toku uživatele

  1. Přihlaste se k Azure Portal jako správce uživatele nebo správce hesel. Další informace o dostupných rolích najdete v tématu Přiřazení rolí správce v Azure Active Directory.
  2. Ujistěte se, že používáte adresář, který obsahuje vašeho tenanta Azure AD B2C. Na panelu nástrojů portálu vyberte ikonu Adresáře + předplatná .
  3. Na | nastavení portálu Stránka adresářů + předplatná , vyhledejte adresář Azure AD B2C v seznamu názvů adresářů a pak vyberte Přepnout.
  4. V Azure Portal vyhledejte a vyberte Azure AD B2C.
  5. Vyberte Uživatelé. Vyhledejte a vyberte uživatele, který použijete k otestování resetování hesla, a pak vyberte Resetovat heslo.
  6. V Azure Portal vyhledejte a vyberte Azure AD B2C.
  7. Vyberte toky uživatelů.
  8. Vyberte tok uživatele pro registraci nebo přihlášení (typu Doporučeno), který chcete otestovat.
  9. Vyberte Spustit tok uživatele.
  10. V případě aplikace vyberte webovou aplikaci s názvem webapp1 , kterou jste předtím zaregistrovali. Adresa URL odpovědi by měla být zobrazena https://jwt.ms.
  11. Vyberte Spustit tok uživatele.
  12. Přihlaste se pomocí uživatelského účtu, pro který resetujete heslo.
  13. Teď musíte změnit heslo pro uživatele. Změňte heslo a vyberte Pokračovat. Token se vrátí a https://jwt.ms měl by se vám zobrazit.

Konfigurace vlastních zásad

Získejte příklad zásady vynuceného resetování hesla pro GitHub. V každém souboru nahraďte řetězec yourtenant názvem vašeho tenanta Azure AD B2C. Pokud je například název vašeho tenanta B2C contosob2c, všechny instance yourtenant.onmicrosoft.com se stanou contosob2c.onmicrosoft.com.

Upload a otestování zásad

  1. Přihlaste se k webu Azure Portal.
  2. Ujistěte se, že používáte adresář, který obsahuje vašeho tenanta Azure AD B2C, výběrem ikony Adresářů a předplatných na panelu nástrojů portálu.
  3. Na | nastavení portálu Stránka adresářů + předplatná , vyhledejte adresář Azure AD B2C v seznamu názvů adresářů a pak vyberte Přepnout.
  4. V levém horním rohu Azure Portal zvolte Všechny služby a vyhledejte a vyberte Azure AD B2C.
  5. Vyberte Rozhraní prostředí identit.
  6. Ve vlastních zásadách vyberte Upload Zásady.
  7. Vyberte souborTrustFrameworkExtensionsCustomForcePasswordReset.xml .
  8. Vyberte Nahrát.
  9. Opakujte kroky 6 až 8 pro soubor předávající strany TrustFrameworkExtensionsCustomForcePasswordReset.xml.

Spuštění zásady

  1. Otevřete zásadu, kterou jste nahráli B2C_1A_TrustFrameworkExtensions_custom_ForcePasswordReset.
  2. V případě aplikace vyberte aplikaci, kterou jste zaregistrovali dříve. Pokud chcete zobrazit token, měla by se zobrazit https://jwt.msadresa URL odpovědi .
  3. Vyberte Spustit.
  4. Přihlaste se pomocí uživatelského účtu, pro který resetujete heslo.
  5. Teď musíte změnit heslo pro uživatele. Změňte heslo a vyberte Pokračovat. Token se vrátí a https://jwt.ms měl by se vám zobrazit.

Vynucení resetování hesla při dalším přihlášení

Pokud chcete vynutit resetování hesla při dalším přihlášení, aktualizujte profil hesla účtu pomocí ms Graph Aktualizovat operaci uživatele. Následující příklad aktualizuje atribut forceChangePasswordNextSignIn atributu trueprofilu hesla, který vynutí uživateli resetovat heslo při příštím přihlášení.

PATCH https://graph.microsoft.com/v1.0/users/<user-object-ID>
Content-type: application/json

{
"passwordProfile": {
  "forceChangePasswordNextSignIn": true
}

Jakmile je profil hesla účtu nastavený, musíte také nakonfigurovat tok vynucení resetování hesla, jak je popsáno v tomto článku.

Vynucení resetování hesla po 90 dnech

Jako správce můžete nastavit vypršení platnosti hesla uživatele na 90 dnů pomocí ms Graph. Po 90 dnech se hodnota forceChangePasswordNextSignIn atribut automaticky nastaví na true. Pokud chcete vynutit resetování hesla po 90 dnech, odeberte DisablePasswordExpiration hodnotu z atributu zásad hesel profilu uživatele.

Následující příklad aktualizuje zásadu hesel na None, která vynutí resetování hesla po 90 dnech:

PATCH https://graph.microsoft.com/v1.0/users/<user-object-ID>
Content-type: application/json

{
  "passwordPolicies": "None"
}

Pokud jste zakázali silnou složitost hesel, aktualizujte zásady hesel na DisableStrongPassword:

PATCH https://graph.microsoft.com/v1.0/users/<user-object-ID>
Content-type: application/json

{
  "passwordPolicies": "DisableStrongPassword"
}

Po nastavení zásady vypršení platnosti hesla musíte také nakonfigurovat tok vynucení resetování hesla, jak je popsáno v tomto článku.

Doba platnosti hesla

Výchozí hodnota doby trvání vypršení platnosti hesla je 90 dnů. Hodnota je konfigurovatelná pomocí rutiny Set-MsolPasswordPolicy z modulu Azure Active Directory pro Windows PowerShell. Tento příkaz aktualizuje tenanta, aby platnost hesel všech uživatelů vypršela po počtu dnů, po které nakonfigurujete.

Další kroky

Nastavte samoobslužné resetování hesla.