Configurare un flusso di reimpostazione della password forzata in Azure Active Directory B2C

Articolo
11/08/2023

Prima di iniziare, usare il selettore Scegli un tipo di criterio per scegliere il tipo di criterio che si sta configurando. Azure Active Directory B2C offre due metodi per definire il modo in cui gli utenti interagiscono con le applicazioni: tramite flussi utente predefiniti o tramite criteri personalizzati completamente configurabili. I passaggi necessari in questo articolo sono diversi per ogni metodo.

Panoramica

Gli amministratori possono reimpostare la password di un utente se l'utente dimentica la password. Oppure si vuole forzarli a reimpostare la password. In questo articolo si apprenderà come forzare una reimpostazione della password in questi scenari.

Quando un amministratore reimposta la password di un utente tramite il portale di Azure, il valore dell'attributo forceChangePasswordNextSignIn viene impostato su true. Il percorso di accesso e iscrizione controlla il valore di questo attributo. Al termine dell'accesso, se l'attributo è impostato su true, l'utente deve reimpostare la password. Il valore dell'attributo viene quindi impostato su .false

Force password reset flow

Il flusso di reimpostazione della password è applicabile agli account locali in Azure AD B2C che usano un indirizzo di posta elettronica o un nome utente con una password per l'accesso.

Prerequisiti

Creare un flusso utente in modo che gli utenti possano iscriversi e accedere all'applicazione.
Registrare un'applicazione Web.

Completare i passaggi descritti in Introduzione ai criteri personalizzati in Active Directory B2C
Registrare un'applicazione Web.

Configurare il flusso utente

Per abilitare l'impostazione Reimpostazione password forzata in un flusso utente di iscrizione o accesso:

Accedi al portale di Azure.
Se si ha accesso a più tenant, selezionare l'icona Impostazioni nel menu in alto per passare al tenant di Azure AD B2C dal menu Directory e sottoscrizioni.
Nel portale di Azure cercare e selezionare Azure AD B2C.
Selezionare Flussi utente.
Selezionare il flusso utente di iscrizione e accesso (di tipo Consigliato) che si vuole personalizzare.
Nel menu a sinistra, in Impostazioni, selezionare Proprietà.
In Configurazione password selezionare Reimpostazione password forzata.
Seleziona Salva.

Testare il flusso utente

Accedere al portale di Azure come amministratore utente o amministratore password. Per altre informazioni sui ruoli disponibili, vedere Assegnazione dei ruoli di amministratore in Microsoft Entra ID.
Se si ha accesso a più tenant, selezionare l'icona Impostazioni nel menu in alto per passare al tenant di Azure AD B2C dal menu Directory e sottoscrizioni.
Nel portale di Azure cercare e selezionare Azure AD B2C.
Seleziona Utenti. Cercare e selezionare l'utente che si userà per testare la reimpostazione della password e quindi selezionare Reimposta password.
Nel portale di Azure cercare e selezionare Azure AD B2C.
Selezionare Flussi utente.
Selezionare un flusso utente di iscrizione o di accesso (di tipo Consigliato) da testare.
Seleziona Esegui il flusso utente.
Per Applicazione selezionare l'applicazione Web denominata webapp1 che è stata registrata in precedenza. L'URL di risposta dovrebbe mostrare https://jwt.ms.
Seleziona Esegui il flusso utente.
Accedere con l'account utente per cui si reimposta la password.
È ora necessario modificare la password per l'utente. Cambiare la password e selezionare Continua. Il token viene restituito a https://jwt.ms e dovrebbe essere visualizzato.

Configurare i criteri personalizzati

Ottenere l'esempio dei criteri di reimpostazione della password in GitHub. In ogni file sostituire la stringa yourtenant con il nome del tenant di Azure AD B2C. Ad esempio, se il nome del tenant B2C è contosob2c, tutte le istanze di yourtenant.onmicrosoft.com diventano contosob2c.onmicrosoft.com.

Caricare e testare i criteri

Accedi al portale di Azure.
Se si ha accesso a più tenant, selezionare l'icona Impostazioni nel menu in alto per passare al tenant di Azure AD B2C dal menu Directory e sottoscrizioni.
Scegliere Tutti i servizi nell'angolo in alto a sinistra nel portale di Azure e quindi cercare e selezionare Azure AD B2C.
Fare clic su Framework dell'esperienza di gestione delle identità.
In Criteri personalizzati selezionare Carica criterio.
Selezionare il file TrustFrameworkExtensionsCustomForcePasswordReset.xml .
Selezionare Carica.
Ripetere i passaggi da 6 a 8 per il file relying party TrustFrameworkExtensionsCustomForcePasswordReset.xml.

Esegui il criterio

Aprire i criteri caricati B2C_1A_TrustFrameworkExtensions_custom_ForcePasswordReset.
In Applicazione selezionare l'applicazione registrata in precedenza. Per visualizzare il token, l'URL di risposta dovrebbe mostrare https://jwt.ms.
Selezionare Esegui ora.
Accedere con l'account utente per cui si reimposta la password.
È ora necessario modificare la password per l'utente. Cambiare la password e selezionare Continua. Il token viene restituito a https://jwt.ms e dovrebbe essere visualizzato.

Per forzare la reimpostazione della password al successivo accesso, aggiornare il profilo password dell'account usando l'operazione utente di MS Graph Update. A tale scopo, è necessario assegnare all'applicazione Microsoft Graph il ruolo di amministratore utenti. Seguire la procedura descritta in Concedere il ruolo di amministratore utente per assegnare all'applicazione Microsoft Graph un ruolo di amministratore utente.

Nell'esempio seguente viene aggiornato l'attributo trueforceChangePasswordNextSignIn in , che impone all'utente di reimpostare la password al successivo accesso.

PATCH https://graph.microsoft.com/v1.0/users/<user-object-ID>
Content-type: application/json

{
    "passwordProfile": {
      "forceChangePasswordNextSignIn": true
    }
}

Dopo aver impostato il profilo password dell'account, è necessario configurare anche il flusso di reimpostazione della password forzata, come descritto in questo articolo.

Forzare la reimpostazione della password dopo 90 giorni

Gli amministratori possono impostare la scadenza della password di un utente su 90 giorni usando MS Graph. Dopo 90 giorni, il valore dell'attributo forceChangePasswordNextSignIn viene impostato automaticamente su true. Per forzare una reimpostazione della password dopo 90 giorni, rimuovere il DisablePasswordExpiration valore dall'attributo dei criteri password del profilo utente.

L'esempio seguente aggiorna i criteri password a None, che forza la reimpostazione della password dopo 90 giorni:

PATCH https://graph.microsoft.com/v1.0/users/<user-object-ID>
Content-type: application/json

{
  "passwordPolicies": "None"
}

Se la complessità della password complessa è stata disabilitata, aggiornare i criteri password in DisableStrongPassword:

Nota

Dopo che l'utente ha reimpostato la password, le passwordPolicies verranno ripristinate in DisablePasswordExpiration

PATCH https://graph.microsoft.com/v1.0/users/<user-object-ID>
Content-type: application/json

{
  "passwordPolicies": "DisableStrongPassword"
}

Dopo aver impostato un criterio di scadenza della password, è necessario configurare anche il flusso di reimpostazione della password, come descritto in questo articolo.

Durata di validità della password

Per impostazione predefinita, la password è impostata per non scadere. Tuttavia, il valore è configurabile usando il cmdlet Update-MgDomain del modulo Di PowerShell di Microsoft Graph. Questo comando aggiorna il tenant in modo che tutte le password degli utenti scadano dopo un numero di giorni di configurazione. Ad esempio:

Import-Module Microsoft.Graph.Identity.DirectoryManagement

Connect-MgGraph  -Scopes 'Domain.ReadWrite.All'

$domainId = "contoso.com"
$params = @{
	passwordValidityPeriodInDays = 90
	passwordNotificationWindowInDays = 15
}

Update-MgDomain -DomainId $domainId -BodyParameter $params