Configurare AD FS per l'invio di attestazioni di scadenza password
È possibile configurare Active Directory Federation Services (ADFS) per inviare le attestazioni di scadenza password per l'attendibilità della relying party (applicazioni) che sono protetti da ADFS. Utilizzo di tali attestazioni dipende dall'applicazione. Ad esempio, con Office 365 come la relying party, gli aggiornamenti sono stati implementati a Exchange e Outlook per notificare agli utenti federati delle password appena-a--scaduto.
Per configurare AD FS per l'invio di attestazioni di scadenza password a un trust di relying party di terze parti, è necessario aggiungere le regole di attestazione seguenti a tale trust:
@RuleName = "Issue Password Expiry Claims"
c1:[Type == "http://schemas.microsoft.com/ws/2012/01/passwordexpirationtime"]
=> issue(store = "_PasswordExpiryStore", types = ("http://schemas.microsoft.com/ws/2012/01/passwordexpirationtime", "http://schemas.microsoft.com/ws/2012/01/passwordexpirationdays", "http://schemas.microsoft.com/ws/2012/01/passwordchangeurl"), query = "{0};", param = c1.Value);
Nota
Le attestazioni di scadenza password sono disponibili solo per i tipi di autenticazione con nome utente e password e di Windows Hello for Business. Se l'utente esegue l'autenticazione con l'autenticazione integrata di Windows e Passport non è configurato, le attestazioni non saranno disponibili e gli utenti non visualizzeranno le notifiche di scadenza password.
Nota
Esiste una finestra di 14 giorni di conseguenza le attestazioni inviate verranno popolate solo se la password scade entro 14 giorni.