在AD B2C用户旅程中强制更改密码

Question

在某些情况下，我们想强制用户在登录过程中更改其密码。 原因：密码政策已更改，并且她的密码不符合我们的最新政策。该验证由ValidationTechnicalProfile进行。 （真正的原因要复杂一些，但我认为细节不相关）

从我的角度来看，最好的流程是：

1. 用户尝试登录，密码正确但不够复杂
2. 显示一个额外的页面，用户在此处分配新密码
3. 用户获取照常登录

我正在考虑为用户设置“密码已过期”标志，但这似乎不受支持：https://feedback.azure.com/forums/169401-azure-active-directory/suggestions/16861051-aadb2c-force-password-reset

我没有找到一个很好的解决方案来做到这一点，这不会滥用AD B2C提供的自定义功能并提供良好的UX。最好，用户不必重新输入密码或通过链接进入其他站点或打开电子邮件。

另一个要求是我们所有B2C页面都需要自定义HTML。

您对如何实现这一目标有任何建议吗？

我可以想象这样的解决方案，但是我不确定这些解决方案：

• 显示错误消息，表明他必须更改密码，并显示可以执行此操作的链接或通过电子邮件发送密码更改链接。糟糕的UX，因为用户必须跳出页面，并且如果链接不再通过电子邮件发送（如果他不再拥有电子邮件地址），那么他也将被锁定。
• 在某些AD B2C页面上添加其他字段（例如登录）以设置新密码。我不确定这是个好主意。
• 在用户旅程中标记AD B2C密码更改或密码重置页面。这可能吗？

Answer 1

我建议您将密码更改步骤集成到登录流程中。

这是最终用户的最佳体验。

如果验证技术配置文件可以输出表明当前密码是否满足密码策略的声明，那么您可以创建另一个编排步骤（该声明为其a precondition）来处理{{3 }}。