我正在尝试让用户更新他们的密码。
我有一台 Server 2016,其中 Active Directory 和 ADFS 配置为 SSO。SSO
工作正常,Active Directory 与 Azure AD 同步。
我们使用 Office 365,新用户按计划同步。
我启用了 AD FS 端点 /adfs/portal/updatepassword,正如我读过的教程中要求的那样。
当我浏览到https://www.example.com/adfs/portal/updatepassword我收到“HTTP 错误 503。服务不可用”。http 也是一样。
我已在事件查看器中启用 AD FS 跟踪,但找不到任何条目来帮助我找到并修复问题。
此外,当我单击 Office 365 中的更改密码时,我收到错误“您无法在此处更改密码”。
我不知道这两者是否相关,但我完全陷入困境。任何帮助都将不胜感激!
因此,只需说明一下:我希望未在加入域的计算机上工作的用户能够从他们的 Office 365 环境中更改密码。
编辑:我在 AD FS 管理事件日志中收到此错误:
There was an error in enabling endpoints of Federation Service. Fix configuration errors using PowerShell cmdlets and restart the Federation Service.
Additional Data
Exception details:
System.Net.HttpListenerException (0x80004005): Access is denied
at System.Net.HttpListener.AddAllPrefixes()
at System.Net.HttpListener.Start()
at Microsoft.IdentityServer.WebHost.HttpListenerBase.Start(UInt32 contextPoolSize)
at Microsoft.IdentityServer.Web.PassiveProtocolListener.Start()
at Microsoft.IdentityServer.ServiceHost.STSService.OnStartInternal(Boolean requestAdditionalTime)
我已禁用 updatepassword 端点,但重新启动 AD FS 服务时仍会收到此错误。那么,此错误是否会以某种方式阻止端点启用/加载?我在哪里可以找到 Web 服务器的日志?我在这里盲目飞行(崩溃)。
答案1
如果 Azure AD 中的用户是联合用户或密码从本地同步,则应启用密码写回才能从 Office 365 门户更改密码。另请注意,密码写回功能需要Azure AD 高级版订阅。有关此内容的更多详细信息,请参阅这里。
是的,也可以使用端点 /adfs/portal/updatepassword/ 让您的用户更改密码。但是,您应该注意:
如果您在 Server 2012 R2 上使用 ADFS 3.0,默认情况下仅在工作场所已连接设备(在 AD 中注册的设备)用户可以更改密码。您可以安装修补程序 KB3035025 来摆脱此问题。
您应该在代理上启用更新密码端点,以使来自外部网络的用户能够更改密码。有关详细步骤的更多详细信息,请参见这里。