Místní ověřování, registrace a další nastavení
Poznámka
S účinností od 12. října 2022 jsou portály Power Apps Power Pages. Další informace: Služba Microsoft Power Pages je nyní obecně dostupná (blog)
Zanedlouho migrujeme a sloučíme dokumentaci k portálům Power Apps s dokumentací k Power Pages.
Důležité
- Pro váš portál doporučujeme používat poskytovatele identity Azure Active Directory B2C (Azure AD B2C) pro ověřování, a přestat používat místního poskytovatele identity. Více informací: Migrace poskytovatelů identit do Azure AD B2C
- Konfigurace místního ověřování vyžaduje použití aplikace pro správu portálu k ruční konfiguraci požadovaných nastavení webu.
Funkce portálu poskytuje funkce ověřování integrované do rozhraní API ASP.NET Identity. Identita ASP.NET je zase založena na rámci OWIN, který je také důležitou součástí systému ověřování. Poskytované služby zahrnují:
- Přihlášení místního uživatele (uživatelské jméno a heslo)
- Přihlášení externího uživatele (poskytovatel sociálních služeb) prostřednictvím poskytovatelů identit třetích stran
- Dvouúrovňové ověřování pomocí e-mailu
- Potvrzení e-mailové adresy
- Obnovení hesla
- Registrace kódu pozvánky pro registraci předem vyplněných záznamů kontaktů
Poznámka
Pole Potvrzený mobilní telefon kontaktní na formuláři Kontakt portálu tabulky Kontakt v současné době nemá žádný účel. Toto pole musí být použito pouze při upgradu z portálů Adxstudio Portals.
Požadavky
Portály vyžadují:
- Základ portálu
- Identita Microsoft
- Balíčky řešení Microsoft Identity Workflows
Přehled ověřování
Vracející se návštěvníci portálu mají možnost ověřování pomocí přihlašovacích údajů místního uživatele nebo externích účtů poskytovatele identity. Nový návštěvník si může zaregistrovat nový uživatelský účet buď zadáním uživatelského jména a hesla, nebo přihlášením prostřednictvím externího poskytovatele. Návštěvníci, kteří dostanou kód pozvánky od správce portálu, mají možnost během registrace nového uživatelského účtu uplatnit kód.
Související nastavení webu:
Authentication/Registration/EnabledAuthentication/Registration/LocalLoginEnabledAuthentication/Registration/ExternalLoginEnabledAuthentication/Registration/OpenRegistrationEnabledAuthentication/Registration/InvitationEnabledAuthentication/Registration/RememberMeEnabledAuthentication/Registration/ResetPasswordEnabled
Přihlášení pomocí místní identity nebo externí identity
Následující obrázek ukazuje možnost přihlášení pomocí místního účtu nebo výběrem externího poskytovatele identity.
Registrace pomocí místní identity nebo externí identity
Následující obrázek ukazuje přihlašovací obrazovku pro registraci pomocí místního účtu nebo výběr externího poskytovatele identity.
Ruční uplatnění kódu pozvánky
Následující obrázek ukazuje možnost uplatnit pozvánku s využitím kódu pozvánky.
Zapomenuté heslo nebo reset hesla
Vracející se návštěvníci, kteří potřebují reset hesla (a dříve na svém profilu zadali e-mailovou adresu), mohou požádat, aby jim byl na e-mailový účet zaslán token resetu hesla. Token resetu umožňuje vlastníkovi zvolit si nové heslo. Případně je možné token ignorovat a ponechat původní heslo uživatele beze změny.
Související nastavení webu:
Authentication/Registration/ResetPasswordEnabledAuthentication/Registration/ResetPasswordRequiresConfirmedEmail
Související proces: Odeslání resetu hesla kontaktu
- Vlastní nastavení e-mailu v pracovním postupu podle potřeby
- Odeslání e-mailu za účelem vyvolání procesu.
- Návštěvník je vyzván ke kontrole e-mailu.
- Návštěvník obdrží e-mail s pokyny pro reset hesla.
- Návštěvník se vrátí k formuláři resetu.
- Reset hesla je dokončen.
Uplatnění pozvánky
Uplatnění kódu pozvánky umožňuje přiřazení registrujícího se návštěvníka k existujícímu záznamu kontaktu, který byl speciálně pro tohoto návštěvníka předem připraven. Obvykle jsou kódy pozvánky odesílány prostřednictvím e-mailu, ale pro odeslání kódů přes jiné kanály můžete použít formulář pro odeslání obecného kódu. Po odeslání platného kódu pozvánky proběhne běžný proces registrace uživatele, při němž je zřízen nový uživatelský účet.
Související nastavení webu:
Authentication/Registration/InvitationEnabled
Související proces: Odeslání pozvánky
E-mail odeslaný tímto pracovním postupem musí být přizpůsoben pomocí adresy URL, aby se na portálu uplatnila stránka pozvání: https://portal.contoso.com/register/?returnurl=%2f&invitation={Invitation Code(Invitation)}
Vytvořte pozvánku pro nový kontakt.
Nastavte a uložte nové pozvání.
Přizpůsobení e-mailové pozvánky.
Proveďte pracovní postup Poslat pozvánku.
E-mailová pozvánka otevře stránku uplatnění.
Uživatel se registruje pomocí kódu odeslané pozvánky.
Zakázaná registrace
Pokud je registrace pro uživatele zakázána poté, co uživatel uplatnil pozvánku, zobrazte zprávu pomocí následujícího fragmentu kódu obsahu:
Název: Account/Register/RegistrationDisabledMessage
Hodnota: Registrace byla zakázána.
Správa uživatelských účtů pomocí stránek profilu
Ověření uživatelé spravují své uživatelské účty prostřednictvím navigačním panelu Zabezpečení na stránce profilu. Uživatelé nejsou omezeni na jeden místní účet nebo jeden externí účet zvolený v době registrace uživatele. Uživatelé s externím účtem se rozhodnout vytvořit si místní účet použitím uživatelského jména a hesla. Uživatelé, kteří začínali s místním účtem, mohou ke svému účtu přiřadit více externích identit. Na stránce profilu je také uživateli připomenuto, že má potvrdit svoji e-mailovou adresu zasláním požadavku, aby byl na jeho e-mailový účet zaslán potvrzovací e-mail.
Související nastavení webu:
Authentication/Registration/LocalLoginEnabledAuthentication/Registration/ExternalLoginEnabledAuthentication/Registration/TwoFactorEnabled
Nastavení nebo změna hesla
Uživatel s existujícím místním účtem můžete použít nové heslo pomocí zadání původního hesla. Uživatel bez místního účtu může zvolit uživatelské jméno a heslo a založit si nový místní účet. Po nastavení již nelze uživatelské jméno změnit.
Související nastavení webu:
Authentication/Registration/LocalLoginEnabled
Související procesy:
- Vytvořte uživatelské jméno a heslo.
- Změňte stávající heslo.
Poznámka
Výše uvedené toky úloh fungují pouze při vyvolání kontaktu pomocí aplikace Správa portálu. Tyto toky úloh nejsou ovlivněny nadcházejícím ukončením podpory toků úloh.
Potvrzení e-mailové adresy
Změna e-mailové adresy (nebo její prvotní nastavení) ji uvede do nepotvrzeného stavu. Uživatel může požádat, aby mu byl na novou e-mailovou adresu zaslán potvrzovací e-mail, který bude obsahovat pokyny pro uživatele za účelem dokončení procesu potvrzení e-mailu.
Související proces: Odeslání e-mailového potvrzení kontaktu
- Vlastní nastavení e-mailu v pracovním postupu podle potřeby
- Uživatel odešle nový e-mail, který je v nepotvrzeném stavu.
- Uživatel zkontroluje potvrzení v e-mailu.
- Přizpůsobte potvrzovací e-mail.
- Proveďte pracovní postup Odeslání e-mailového potvrzení kontaktu.
- Uživatel vyberte potvrzovací odkaz pro dokončení procesu potvrzení.
Poznámka
Zkontrolujte, zda je u kontaktu zadán primární e-mail, protože potvrzovací e-mail je odeslán pouze na primární e-mailovou adresu (E-mailová adresa 1) kontaktu. E-mailové potvrzení se nebude odesílat na sekundární e-mail (E-mailová adresa 2) nebo alternativní e-mailové adresy (E-mailová adresa 3) záznamu kontaktu.
Povolení dvouúrovňového ověřování
Funkce dvouúrovňového ověřování zvyšuje zabezpečení uživatelského účtu tím, že kromě standardního přihlášení pomocí místního nebo externího účtu vyžaduje důkaz o vlastnictví potvrzeného e-mailu. Uživateli snažícímu se o přihlášení k účtu s povoleným dvouúrovňovým ověřováním je na potvrzený e-mail přiřazený k účtu zaslán bezpečnostní kód. K dokončení procesu přihlášení je nezbytné zadat bezpečnostní kód. Uživatel může zvolit, aby si prohlížeč pamatoval úspěšný průchod ověřením, aby při příštím přihlášení ze stejného prohlížeče nebyl bezpečnostní kód vyžadován. Každý uživatelský účet umožňuje tuto funkci nastavit samostatně a vyžaduje potvrzený e-mail.
Upozornění
Pokud vytvoříte a povolíte nastavení webu Authentication/Registration/MobilePhoneEnabled pro povolení starších funkcí, dojde k chybě. Toto nastavení webu není poskytováno automaticky a portály ho nepodporují.
Související nastavení webu:
Authentication/Registration/TwoFactorEnabledAuthentication/Registration/RememberBrowserEnabled
Související proces: Odeslání e-mailu s kódem dvouúrovňového ověřování kontaktu
- Povolte dvouúrovňové ověřování.
- Zvolení, zda chcete obdržet bezpečnostní kód e-mailem.
- Počkejte na e-mail, který obsahuje bezpečnostní kód.
- Proveďte pracovní postup Odeslání e-mailu s kódem dvouúrovňového ověřování kontaktu. pracovní postup.
- Dvojúrovňové ověřování lze zakázat.
Správa externích účtů
Ověřený uživatel může připojit (registrovat) několik externích identit ke svému uživatelskému účtu ze všech nakonfigurovaných poskytovatelů identit. Po připojení identit se uživatel může přihlásit pomocí kterékoli připojené identity. Existující identity lze také odpojit, dokud zůstává jedna externí nebo místní identita.
Související nastavení webu:
Authentication/Registration/ExternalLoginEnabled
Nastavení webu poskytovatele externí identity
Vyberte poskytovatele pro připojení k vašemu uživatelskému účtu.
Přihlaste se pomocí poskytovatele, kterého chcete připojit.
Poskytovatel je nyní připojen. Poskytovatele lze rovněž odpojit.
Povolení ověřování identity ASP.NET
Následující tabulka popisuje nastavení pro povolení či zakázání různých chování a funkcí ověřování:
| Název nastavení webu | Popis |
|---|---|
| Authentication/Registration/LocalLoginEnabled | Povolí nebo zakáže místní přihlašování k účtům podle uživatelského jména (nebo e-mailu) a hesla. Výchozí: true |
| Authentication/Registration/LocalLoginByEmail | Povolí nebo zakáže místní přihlašování k účtům pomocí pole e-mailové adresy místo pole uživatelského jména. Výchozí hodnota: false |
| Authentication/Registration/ExternalLoginEnabled | Povolí nebo zakáže přihlášení a registraci k externímu účtu. Výchozí: true |
| Authentication/Registration/RememberMeEnabled | Vybere nebo zruší zaškrtnutí pole Zapamatovat si mě? při místním přihlášení pro umožnění zachování ověřených relací i při uzavření prohlížeče. Výchozí: true |
| Authentication/Registration/TwoFactorEnabled | Povolí nebo zakáže možnost aktivace dvouúrovňového ověřování uživatelů. Uživatelé s potvrzenou e-mailovou adresou mohou aktivovat zvýšené zabezpečení pomocí dvouúrovňového ověřování. Výchozí hodnota: false |
| Authentication/Registration/RememberBrowserEnabled | Vybere nebo zruší zaškrtnutí pole Zapamatovat si prohlížeč? při ověřování druhé úrovně (kód e-mailem) pro zachování ověření druhé úrovně pro aktuální prohlížeč. Uživatel nebude muset pro následná přihlášení absolvovat ověřování druhé úrovně, pokud bude používat stejný prohlížeč. Výchozí: true |
| Authentication/Registration/ResetPasswordEnabled | Povolí nebo zakáže funkci resetu hesla. Výchozí: true |
| Authentication/Registration/ResetPasswordRequiresConfirmedEmail | Povolí nebo zakáže reset hesla pouze pro potvrzené e-mailové adresy. Je-li povoleno, nepotvrzené e-mailové adresy nelze použít k odeslání pokynů pro reset hesla. Výchozí hodnota: false |
| Authentication/Registration/TriggerLockoutOnFailedPassword | Povolí nebo zakáže záznam neúspěšných pokusů o zadání hesla. Je-li zakázáno, uživatelské účty se nebudou uzamykat. Výchozí hodnota: true |
| Authentication/Registration/IsDemoMode | Povolí nebo zakáže použití příznaku demo režimu pouze ve vývojových nebo demonstračních prostředích. Toto nastavení nepovolujte v produkčních prostředích. Demo režim také vyžaduje, aby byl webový prohlížeč spuštěn místně na serveru webové aplikace. Když je zapnut demo režim, zobrazují se uživateli za účelem rychlého přístupu kód pro reset hesla a kód druhé úrovně. Výchozí hodnota: false |
| Authentication/Registration/LoginButtonAuthenticationType | Pokud portál vyžaduje pouze jednoho poskytovatele externí identity (pro zpracování všech ověřování), může se tlačítko Přihlásit v navigačním panelu záhlaví propojit přímo s přihlašovací stránkou poskytovatele externí identity (namísto propojování se zprostředkujícím místním přihlašovacím formulářem a se stránkou výběru poskytovatele identity). Pro tuto akci lze vybrat pouze jednoho zprostředkovatele identity. Určete hodnotu AuthenticationType poskytovatele. Pro konfiguraci jednotného přihlašování používajícího OpenId Connect, například Azure AD B2C, musí uživatel poskytnout autoritu. U poskytovatelů používajících OAuth 2.0 jsou povoleny tyto hodnoty: Facebook, Google, Yahoo, Microsoft, LinkedIn nebo Twitter U poskytovatelů používajících WS-Federation použijte hodnotu zadanou pro nastavení webu Authentication/WsFederation/ADFS/AuthenticationType a Authentication/WsFederation/Azure/[provider]/AuthenticationType. Příklady: https://adfs.contoso.com/adfs/services/trust, Facebook-0123456789, Google, Yahoo!, uri:WindowsLiveID. |
Povolení nebo zakázání registrace uživatele
Následuje popis nastavení pro povolení nebo zakázání možností registrace uživatele.
| Název nastavení webu | Popis |
|---|---|
| Authentication/Registration/Enabled | Povolí nebo zakáže všechny formy registrace uživatele. Projeví se pouze tehdy, když bude registrace povolena pro ostatní nastavení v této sekci. Výchozí: true |
| Authentication/Registration/OpenRegistrationEnabled | Povolí nebo zakáže registrační formulář registrace pro vytvoření všech formulářů uživatelů. Registrační formulář umožňuje všem anonymním návštěvníkům portálu vytvoření nového uživatelského účtu. Výchozí: true |
| Authentication/Registration/InvitationEnabled | Povolí nebo zakáže formulář uplatnění kódu pozvánky pro registraci uživatelů, kteří mají kódy pozvánek. Výchozí: true |
| Authentication/Registration/CaptchaEnabled | Povolí nebo zakáže captcha na stránce registrace uživatele. Výchozí hodnota: false POZNÁMKA: - Toto nastavení webu nemusí být k dispozici ve výchozím nastavení. Chcete-li povolit captcha, musíte vytvořit nastavení webu a nastavit hodnotu na hodnotu true. |
Poznámka
Ujistěte se, že primární e-mailová adresa je určena pro uživatele, protože registrace se provádí pomocí primární e-mailové adresy (E-mailová adresa 1). Uživatel se nemůže zaregistrovat pomocí sekundárního e-mailu (emailová adresa 2) nebo alternativní e-mailové adresy (emailová adresa 3) záznamu kontaktu.
Ověření přihlašovacích údajů uživatele
Následuje popis nastavení pro úpravu parametrů ověření uživatelského jména a hesla. Ověření probíhá při registraci uživatele k novému místnímu účtu nebo změně hesla.
| Název nastavení webu | Popis |
|---|---|
| Authentication/UserManager/PasswordValidator/EnforcePasswordPolicy | Určuje, zda heslo obsahuje znaky ze tří z následujících kategorií:
|
| Authentication/UserManager/UserValidator/AllowOnlyAlphanumericUserNames | Určuje, zda chcete pro uživatelské jméno povolit pouze alfanumerické znaky. Výchozí hodnota: false |
| Authentication/UserManager/UserValidator/RequireUniqueEmail | Určuje, zda je pro ověření uživatele potřeba jedinečná e-mailová adresa. Výchozí: true |
| Authentication/UserManager/PasswordValidator/RequiredLength | Minimální požadovaná délka hesla. Výchozí: 8 |
| Authentication/UserManager/PasswordValidator/RequireNonLetterOrDigit | Určuje, zda heslo vyžaduje číslici nebo jiný znak než písmeno. Výchozí hodnota: false |
| Authentication/UserManager/PasswordValidator/RequireDigit | Určuje, zda heslo vyžaduje číslici (od 0 do 9). Výchozí hodnota: false |
| Authentication/UserManager/PasswordValidator/RequireLowercase | Určuje, zda heslo vyžaduje malé písmeno (od a do z). Výchozí hodnota: false |
| Authentication/UserManager/PasswordValidator/RequireUppercase | Určuje, zda heslo vyžaduje velké písmeno (od A do Z). Výchozí hodnota: false |
Nastavení uzamčení uživatelského účtu
Následuje popis nastavení určující, jak a kdy bude u účtu uzamčeno ověřování. Když se zjistí určitý počet neúspěšných pokusů o zadání během krátkého časového úseku, uživatelský účet se na nějaký čas uzamkne. Po uplynutí časového období uzamčení může uživatel zkusit heslo zadat znovu.
| Název nastavení webu | Popis |
|---|---|
| Authentication/UserManager/UserLockoutEnabledByDefault | Označuje, zda je při vytvoření uživatele povoleno uzamčení uživatele. Výchozí: true |
| Authentication/UserManager/DefaultAccountLockoutTimeSpan | Výchozí čas, po který je uživatel uzamčen poté, co je dosaženo Authentication/UserManager/MaxFailedAccessAttemptsBeforeLockout. Výchozí hodnota: 24:00:00 (1 den) |
| Authentication/UserManager/MaxFailedAccessAttemptsBeforeLockout | Maximální počet pokusů o přístup povolený předtím, než dojde k uzamčení uživatele (pokud je uzamčení povoleno). Výchozí: 5 |
Nastavení stránky ověření souborů cookie
Následující část popisuje nastavení pro úpravu výchozího chování souboru cookie ověřování, definovaného třídou CookieAuthenticationOptions.
| Název nastavení webu | Popis |
|---|---|
| Authentication/ApplicationCookie/AuthenticationType | Typ souboru cookie ověřování aplikace. Výchozí: ApplicationCookie |
| Authentication/ApplicationCookie/CookieName | Určuje název souboru cookie používaného pro uchování identity. Výchozí: .AspNet.Cookies |
| Authentication/ApplicationCookie/CookieDomain | Určuje doménu použitou k vytvoření souboru cookie. |
| Authentication/ApplicationCookie/CookiePath | Určuje cestu použitou k vytvoření souboru cookie. Výchozí: / |
| Authentication/ApplicationCookie/CookieHttpOnly | Určuje, zda má prohlížeč povolit přístup javascriptu na straně klienta k souboru cookie. Výchozí: true |
| Authentication/ApplicationCookie/CookieSecure | Určuje, zda soubor cookie má být přenesen pouze u požadavků HTTPS. Výchozí: SameAsRequest |
| Authentication/ApplicationCookie/ExpireTimeSpan | Určuje, jak dlouho zůstane soubor cookie aplikace v platnosti od okamžiku, kdy je vytvořen. Výchozí hodnota: 24:00:00 (1 den) |
| Authentication/ApplicationCookie/SlidingExpiration | Hodnota SlidingExpiration je nastavena na true k předání pokynu middlewaru k opětovnému vydání nového souboru cookie s novou dobou platnosti kdykoliv při zpracování požadavku, který je více než v polovině okna vypršení platnosti. Výchozí: true |
| Authentication/ApplicationCookie/LoginPath | Vlastnost LoginPath informuje middleware, že má změnit odchozí kód stavu 401 Neautorizováno na 302 přesměrování do dané cesty přihlášení. Výchozí: /signin |
| Authentication/ApplicationCookie/LogoutPath | Pokud je middlewarem poskytnuta cesta k odhlášení, přesměruje se požadavek na tuto cestu na základě parametru ReturnUrlParameter. |
| Authentication/ApplicationCookie/ReturnUrlParameter | ReturnUrlParameter určuje název parametru řetězce dotazu, který je připojen middlewarem, když je kód stavu 401 Neuatorizováno změněn na kód 302 přesměrování na cestu přihlášení. |
| Authentication/ApplicationCookie/SecurityStampValidator/ValidateInterval | Období mezi ověřeními razítek zabezpečení. Výchozí: 30 min. |
| Authentication/TwoFactorCookie/AuthenticationType | Typ souboru cookie dvojúrovňového ověřování. Výchozí: TwoFactorCookie |
| Authentication/TwoFactorCookie/ExpireTimeSpan | Určuje, jak dlouho zůstane soubor cookie dvojúrovňového ověřování v platnosti od okamžiku, kdy je vytvořen. Hodnota by neměla překročit 6 minut. Výchozí: 5 min. |
Další kroky
Migrace poskytovatelů identity na Azure AD B2C
Viz také
Přehled ověřování v portálech Power Apps
Konfigurace poskytovatele OAuth 2.0 pro portály
Konfigurace poskytovatele OpenID Connect pro portály .
Konfigurace poskytovatele SAML 2.0 pro portály
Konfigurace zprostředkovatele WS-Federation pro portály
Nastavení ověřování portálů Power Apps
Poznámka
Můžete nám sdělit, jaké máte jazykové preference pro dokumentaci? Zúčastněte se krátkého průzkumu. (upozorňujeme, že tento průzkum je v angličtině)
Průzkum bude trvat asi sedm minut. Nejsou shromažďovány žádné osobní údaje (prohlášení o zásadách ochrany osobních údajů).