配置 AD FS 以发送密码过期声明
你可以将 Active Directory 联合身份验证服务 (AD FS) 配置为向受 AD FS 保护的信赖方信任(应用程序)发送密码过期声明。 如何使用这些声明取决于应用程序。 例如,使用 Office 365 作为你的信赖方时,会将更新实施到 Exchange 和 Outlook,以通知联合身份验证用户其密码即将过期。
若要配置 AD FS 以将密码过期声明发送到信赖方信任,必须将以下声明规则添加到此信赖方信任:
@RuleName = "Issue Password Expiry Claims"
c1:[Type == "http://schemas.microsoft.com/ws/2012/01/passwordexpirationtime"]
=> issue(store = "_PasswordExpiryStore", types = ("http://schemas.microsoft.com/ws/2012/01/passwordexpirationtime", "http://schemas.microsoft.com/ws/2012/01/passwordexpirationdays", "http://schemas.microsoft.com/ws/2012/01/passwordchangeurl"), query = "{0};", param = c1.Value);
注意
密码过期声明仅适用于用户名和密码以及 Windows Hello 企业版身份验证类型。 如果用户使用 Windows 集成身份验证进行身份验证,并且未配置 Passport,则声明将不可用,并且用户将不会看到密码过期通知。
注意
有 14 天的窗口期,因此,只有密码将在 14 天内过期时才会填充发送的声明。