Self-service Password Reset (SSPR)
โดยทั่วไป ผู้ใช้สามารถเปลี่ยน password ของตัวเองได้ถ้าเขาทราบ password เก่า (old password)
แต่ถ้าไม่ทราบ password เก่า เขาสามารถใช้ SSPR เข้าไป reset password ของตัวเองได้ แต่เขาต้องถูก authenticate ด้วยวิธีอื่นๆ ก่อน เช่น SMS text, mobile app, หรือ email เป็นต้น
1. Configure Pilot SSPR
เลือก group ที่จะ pilot SSPR ก่อน
เช่น G IT
2. Review default SSPR settings
ต่อมาเรามาดู default setting ของ SSPR กันครับ
1. Authentication methods
SSPR จะขอให้ user ทำ authenticadtion ด้วย method ใด method หนึ่ง จะเป็น email หรือ SMS text ก็ได้ ก่อนที่จะอนุญาตให้ผู้ใช้ตั้ง password ใหม่ของตัวเอง
2. Registration
ในการ sign in ครั้งถัดไป user ที่ถูก enable SSPR จะถูกระบบบังคับให้ register ข้อมูลที่จำเป็นสำหรับทำ SSPR เช่น ให้ระบุเบอร์โทรศัพท์ที่จะให้ SSPR ส่ง SMS text ไปหา
3. Notification
ให้แจ้ง user เมื่อ password ถูก reset
4. On-premises integration
ยังไม่มีการ enable password writeback กลับไปยัง on-premises AD DS
ตอนนี้ SSPR พร้อมใช้งานกับ pilot user แล้ว ในหัวข้อถัดไปเรามาทดสอบกันต่อครับ
3. Test user registration
1. ลอง sign out user1
แล้ว sign in ใหม่
2. ระบบจะขอให้เราทำ registration
กรอกเบอร์โทรศัพท์ของ user1 ที่จะใช้รับ SMS text (ให้ระบุเบอร์โทรของเรา)
แล้วทำขั้นตอนต่างๆ ต่อไปเรื่อยๆ จนเสร็จ
ตอนนี้เรา register ข้อมุลที่ระบบขอเรียบร้อยแล้ว
3. sign in อีกครั้ง
4. แล้ว sign out
จากนั้น เราไปลองทดสอบ reset password ของ user1 ผ่าน SSPR กันครับ
4. Test password reset
1. ลอง sign in ด้วย user1 แต่ไม่ต้องใส่ password
ให้เรากด forgot my password แทน
2. แล้วเริ่มกระบวณการ reset password
ตั้ง password ใหม่ (แต่ password policy ใน Entra ID อาจทำให้ตั้งยากหน่อย)
3. สุดท้ายลอง sign in อีกครั้งด้วย password ใหม่
ตอนนี้ user1 sign in ด้วย password ใหม่ได้เรียบร้อยแล้ว
5. Verify logs
1. ในฐานะ admin
เราลองหา activity Reset password (self-service) จาก audit log ดู
ลองดูข้อมูลอื่นๆ เพิ่มเติม
2. ลองเปิด user properties
แล้วลองดูค่า Last password change date time เป็นต้น
...