可以将 Active Directory 联合身份验证服务(AD FS)配置为将密码过期声明发送到受 AD FS 保护的信赖方信任(应用程序)。 这些声明的使用方式取决于应用程序。 例如,使用 Office 365 作为你的信赖方时,会将更新实施到 Exchange 和 Outlook,以通知联合身份验证用户其密码即将过期。
若要将 AD FS 配置为将密码过期声明发送到信赖方信任,必须将以下声明规则添加到此信赖方信任:
@RuleName = "Issue Password Expiry Claims"
c1:[Type == "http://schemas.microsoft.com/ws/2012/01/passwordexpirationtime"]
=> issue(store = "_PasswordExpiryStore", types = ("http://schemas.microsoft.com/ws/2012/01/passwordexpirationtime", "http://schemas.microsoft.com/ws/2012/01/passwordexpirationdays", "http://schemas.microsoft.com/ws/2012/01/passwordchangeurl"), query = "{0};", param = c1.Value);
注释
密码过期声明仅适用于用户名和密码和 Windows Hello 企业版身份验证类型。 如果用户使用 Windows 集成身份验证进行身份验证且未配置 Passport,则声明将不可用,并且用户不会看到密码过期通知。
注释
有 14 天的窗口期,因此,只有密码将在 14 天内过期时才会填充发送的声明。