Partager via

Authentification locale, inscription et autres paramètres

  • Article

Important

Nous vous recommandons d’utiliser le fournisseur d’identité Azure AD B2C pour l’authentification sur votre site Power Pages et d’abandonner le fournisseur d’identité local.

Power Pages fournit une fonctionnalité d’authentification intégrée à l’API ASP.NET Identity. ASP.NET Identity est à son tour intégré à la structure OWIN qui est également un composant important du système d’authentification. Power Pages fournit les services suivants :

  • Authentification locale (nom d’utilisateur/mot de passe)
  • Authentification externe (fournisseur social) via des fournisseurs d’identité tiers
  • Authentification à deux facteurs par courrier électronique
  • Confirmation de l’adresse de messagerie
  • Récupération du mot de passe
  • Inscription avec un code d’invitation pour inscrire les enregistrements de contact pré-générés

Note

La colonne Mobile Phone Confirmed de l’enregistrement de contact n’est pas utilisée, sauf lors de la mise à niveau depuis Adxstudio Portals.

Conditions requises

Power Pages nécessite :

  • Base des portails
  • Identité Microsoft
  • Packages de solutions Workflows d’identité Microsoft

Authentifier et enregistrer

Les visiteurs du site qui reviennent peuvent s’authentifier à l’aide des informations d’identification de l’utilisateur local ou des comptes du fournisseur d’identité externe. Un nouveau visiteur peut s’inscrire à un compte d’utilisateur en fournissant un nom d’utilisateur et un mot de passe ou en se connectant via un fournisseur externe. Les visiteurs qui reçoivent un code d’invitation de l’administrateur du site peuvent accepter le code lors de l’inscription à un nouveau compte d’utilisateur.

Paramètres de site associés :

  • Authentication/Registration/Enabled
  • Authentication/Registration/LocalLoginEnabled
  • Authentication/Registration/ExternalLoginEnabled
  • Authentication/Registration/OpenRegistrationEnabled
  • Authentication/Registration/InvitationEnabled
  • Authentication/Registration/RememberMeEnabled
  • Authentication/Registration/ResetPasswordEnabled

Réinitialiser un mot de passe

Les visiteurs qui reviennent qui ont fourni une adresse e-mail lors de leur enregistrement peuvent demander qu’un jeton de réinitialisation du mot de passe soit envoyé à leur compte de messagerie. Un jeton de réinitialisation permet à son propriétaire de choisir un nouveau mot de passe. Le jeton peut également être abandonné, en laissant le mot de passe d’origine de l’utilisateur inchangé.

Paramètres de site associés :

  • Authentication/Registration/ResetPasswordEnabled
  • Authentication/Registration/ResetPasswordRequiresConfirmedEmail

Processus associé : envoyer une réinitialisation du mot de passe au contact

  1. Le visiteur fournit une adresse e-mail.
  2. Envoyez l’adresse e-mail pour démarrer le processus.
  3. Le visiteur est invité à vérifier son courrier électronique.
  4. Le visiteur reçoit le courrier électronique de réinitialisation du mot de passe avec des instructions.
  5. Le visiteur retourne au formulaire de réinitialisation et sélectionne un nouveau mot de passe.
  6. La réinitialisation du mot de passe est terminée.

Utiliser une invitation

L’utilisation d’un code d’invitation permet d’associer un visiteur inscrit à un enregistrement de contact existant qui a été préparé à l’avance spécialement pour ce visiteur. Généralement, les codes d’invitation sont envoyés par e-mail. Vous pouvez utiliser un formulaire d’envoi de code général pour envoyer les codes via d’autres canaux. Une fois que le visiteur envoie un code d’invitation valide, le processus d’enregistrement normal de l’utilisateur configure le nouveau compte d’utilisateur.

Paramètre de site associé : Authentication/Registration/InvitationEnabled

Processus associé : envoyer une invitation

Personnalisez l’e-mail d’invitation pour inclure l’URL de la page d’acceptation de l’invitation sur votre site.

  1. Créez une invitation pour un nouveau contact.
  2. Personnalisez et enregistrez l’invitation.
  3. Personnalisez le message électronique d’invitation.
  4. Traitez le workflow Envoyer une invitation.
  5. Le message électronique d’invitation ouvre la page d’utilisation d’une invitation.
  6. L’utilisateur envoie le code d’invitation pour s’inscrire.

Inscription désactivée

Si l’enregistrement est désactivé pour un utilisateur une fois que l’utilisateur a accepté une invitation, utilisez l’extrait de contenu suivant pour afficher un message : Account/Register/RegistrationDisabledMessage

Gérer des comptes d’utilisateur via les pages de profil

Les utilisateurs authentifiés gèrent leurs comptes d’utilisateur via l’option Sécurité sur la page de profil. Les utilisateurs ne sont pas limités au compte local unique ou au compte externe unique qu’ils ont choisi au moment de leur enregistrement. Les utilisateurs qui ont un compte externe peuvent choisir de créer un compte local en fournissant un nom d’utilisateur et un mot de passe. Les utilisateurs qui ont commencé avec un compte local peuvent choisir d’associer plusieurs identités externes à ce compte. Sur la page de profil, il est également rappelé aux utilisateurs de confirmer leur adresse e-mail en demandant qu’un message de confirmation soit envoyé à leur compte de messagerie.

Paramètres de site associés :

  • Authentication/Registration/LocalLoginEnabled
  • Authentication/Registration/ExternalLoginEnabled
  • Authentication/Registration/TwoFactorEnabled

Définir ou changer un mot de passe

Un utilisateur qui a un compte local peut sélectionner un nouveau mot de passe en fournissant le mot de passe d’origine. Un utilisateur sans compte local peut choisir un nom d’utilisateur et un mot de passe pour configurer un nouveau compte local. Le nom d’utilisateur ne peut pas être modifié une fois qu’il est défini.

Paramètre de site associé : Authentication/Registration/LocalLoginEnabled

Processus associés :

  • Créer un nom d’utilisateur et un mot de passe
  • Modifier un mot de passe

Ces flux de tâches ne fonctionnent que s’ils sont appelés à l’aide de l’application Gestion du portail. Ils ne sont pas affectés par l’abandon à venir des flux de tâches.

Confirmer une adresse électronique

Quand vous modifiez une adresse e-mail ou en définissez une pour la première fois, celle-ci est marquée comme Non confirmée. L’utilisateur peut demander l’envoi d’un e-mail de confirmation à sa nouvelle adresse e-mail. L’e-mail comprend des instructions pour terminer le processus de confirmation par e-mail.

Processus associé : envoyer la confirmation par courrier électronique au contact

  1. L’utilisateur envoie une nouvelle adresse e-mail non confirmée.
  2. L’utilisateur vérifie l’e-mail pour le message de confirmation.
  3. Traitez le workflow Envoyer la confirmation par e-mail au contact.
  4. L’utilisateur sélectionne le lien de confirmation pour terminer le processus de confirmation.

Assurez-vous que l’adresse e-mail principale est spécifiée pour le contact. L’e-mail de confirmation n’est envoyé qu’à l’adresse e-mail principale (emailaddress1), et non à l’adresse e-mail secondaire (emailaddress2) ou l’adresse alternative (emailaddress3) de l’enregistrement de contact.

Activez l’authentification à deux facteurs

L’authentification à deux facteurs augmente la sécurité du compte d’utilisateur en exigeant une preuve de la propriété d’une adresse e-mail confirmée, en plus de l’authentification du compte local ou externe standard. Lorsqu’un utilisateur tente de se connecter à un compte dont l’authentification à deux facteurs est activée, un code de sécurité est envoyé à l’adresse e-mail confirmée associée au compte. L’utilisateur doit entrer le code de sécurité pour terminer le processus de connexion. Un utilisateur peut choisir de demander au site de mémoriser le navigateur qui a réussi la vérification afin qu’un code de sécurité ne soit pas exigé pour les connexions suivantes de l’utilisateur avec le même navigateur. Chaque compte d’utilisateur active cette fonctionnalité individuellement et nécessite une adresse e-mail confirmée.

Avertissement 

Si vous créez et activez le paramètre de site Authentication/Registration/MobilePhoneEnabled pour activer la fonctionnalité héritée, une erreur se produit. Ce paramètre de site n’est pas fourni par défaut et n’est pas pris en charge par Power Pages.

Paramètres de site associés :

  • Authentication/Registration/TwoFactorEnabled
  • Authentication/Registration/RememberBrowserEnabled

Processus associé : envoyer le code à deux facteurs par courrier électronique au contact

  1. Le visiteur choisit de recevoir le code de sécurité par e-mail.
  2. Le visiteur attend l’e-mail contenant le code de sécurité.
  3. Le visiteur entre le code de sécurité.
  4. Traitez le worflow Envoyer le code à deux facteurs par e-mail au contact.
  5. Le visiteur peut désactiver l’authentification à deux facteurs.

Gérer les comptes externes

Un utilisateur authentifié peut connecter, ou enregistrer, plusieurs identités externes à son compte d’utilisateur à partir de chaque fournisseur d’identité configuré. Après avoir connecté les identités, l’utilisateur peut choisir de se connecter en utilisant l’une d’entre elles. Les identités peuvent également être déconnectées tant qu’il reste une seule identité externe ou locale.

Paramètre de site associé : Authentication/Registration/ExternalLoginEnabled

Processus associé : connecter une identité

  1. Le visiteur sélectionne un fournisseur pour se connecter au compte d’utilisateur.
  2. Le visiteur se connecte via un fournisseur connecté.

Le fournisseur peut être également déconnecté.

Activer l’authentification ASP.NET Identity

Le tableau suivant décrit les paramètres d’activation et de désactivation de plusieurs fonctionnalités et comportements d’authentification.

Nom du paramètre du site Description
Authentication/Registration/LocalLoginEnabled Active ou désactive la connexion au compte local en fonction d’un nom d’utilisateur ou d’une adresse e-mail et d’un mot de passe. Valeur par défaut : True
Authentication/Registration/LocalLoginByEmail Active ou désactive la connexion au compte local en utilisant une adresse e-mail à la place d’un nom d’utilisateur. Valeur par défaut : False.
Authentication/Registration/ExternalLoginEnabled Active ou désactive la connexion et l’inscription du compte externe. Valeur par défaut : True
Authentication/Registration/RememberMeEnabled Active ou désactive une case à cocher Mémoriser mes informations ? au moment de la connexion locale pour que les sessions authentifiées restent actives même si le navigateur Web est fermé. Valeur par défaut : True
Authentication/Registration/TwoFactorEnabled Active ou désactive l’authentification à deux facteurs. Les utilisateurs disposant d’une adresse de messagerie confirmée peuvent choisir la sécurité ajoutée de l’authentification à deux facteurs. Valeur par défaut : False.
Authentication/Registration/RememberBrowserEnabled Active ou désactive une case à cocher Se souvenir de ce navigateur ? au moment de la validation du deuxième facteur (code par courrier électronique) pour conserver la validation du deuxième facteur pour le navigateur actuel. Il n’est pas nécessaire que l’utilisateur passe la validation du deuxième facteur pour les connexions suivantes avec le même navigateur. Valeur par défaut : True
Authentication/Registration/ResetPasswordEnabled Active ou désactive la fonctionnalité de réinitialisation du mot de passe. Valeur par défaut : True
Authentication/Registration/ResetPasswordRequiresConfirmedEmail Active ou désactive la réinitialisation du mot de passe pour les adresses de messagerie confirmées uniquement. Si ce paramètre est activé, les adresses de messagerie non confirmées ne peuvent pas être utilisées pour envoyer les instructions de réinitialisation du mot de passe. Valeur par défaut : False.
Authentication/Registration/TriggerLockoutOnFailedPassword Active ou désactive l’enregistrement des tentatives infructueuses de saisie du mot de passe. Si ce paramètre est désactivé, les comptes d’utilisateur ne sont pas bloqués. Par défaut : True
Authentication/Registration/IsDemoMode Active ou désactive un indicateur en mode Démonstration à utiliser dans les environnements de développement ou de démonstration uniquement. N’activez pas ce paramètre dans les environnements de production. Le mode Démonstration nécessite également que le navigateur Web s’exécute localement sur le serveur d’application Web. Quand le mode Démonstration est activé, le code de réinitialisation du mot de passe et le code du deuxième facteur sont visibles par l’utilisateur pour permettre un accès rapide. Valeur par défaut : False.
Authentication/Registration/LoginButtonAuthenticationType Si un site ne requiert qu’un seul fournisseur d’identité externe pour gérer toute l’authentification, ce paramètre permet au bouton Se connecter d’être directement relié à la page de connexion du fournisseur, au lieu du formulaire de connexion locale intermédiaire et de la page de sélection du fournisseur d’identité. Un seul fournisseur d’identité peut être sélectionné pour cette action. Spécifiez la valeur AuthenticationType du fournisseur.
- Pour une configuration de l’authentification unique qui utilise OpenID Connect, par exemple Azure AD B2C, l’utilisateur doit indiquer l’autorité.
- Pour les fournisseurs basés sur OAuth 2.0, les valeurs acceptées sont Facebook, Google, Yahoo, Microsoft, LinkedIn ou Twitter.
- Pour les fournisseurs basés sur WS-Federation, utilisez la valeur spécifiée pour les paramètres de site Authentication/WsFederation/ADFS/AuthenticationType et Authentication/WsFederation/Azure/\<provider\>/AuthenticationType.

Activer ou désactiver l’enregistrement des utilisateurs

Le tableau suivant décrit les paramètres d’activation et de désactivation des options d’enregistrement (inscription) des utilisateurs.

Nom du paramètre du site Description
Authentication/Registration/Enabled Active ou désactive tous les types d’enregistrement des utilisateurs. L’enregistrement doit être activé pour que les autres paramètres de cette section prennent effet. Valeur par défaut : True
Authentication/Registration/OpenRegistrationEnabled Active ou désactive le formulaire d’enregistrement de l’inscription. Le formulaire d’inscription permet à n’importe quel visiteur anonyme de créer un compte d’utilisateur. Valeur par défaut : True
Authentication/Registration/InvitationEnabled Active ou désactive le formulaire d’acceptation du code d’invitation pour enregistrer les utilisateurs qui possèdent un code d’invitation. Valeur par défaut : True
Authentication/Registration/CaptchaEnabled Active ou le désactive les caractères d’image entrés (captcha) sur la page d’inscription de l’utilisateur. Valeur par défaut : False.
Ce paramètre peut ne pas être disponible par défaut. Pour activer les caractères d’image entrés (captcha), vous devez créer le paramètre de site et définir la valeur sur true.

Assurez-vous que l’adresse e-mail principale est spécifiée pour l’utilisateur. Les utilisateur ne peuvent s’enregistrer qu’avec l’adresse e-mail principale (emailaddress1), et non l’adresse e-mail secondaire (emailaddress2) ou alternative (emailaddress3) de l’enregistrement de contact.

Validation des informations d’authentification de l’utilisateur

Le tableau suivant décrit les paramètres de réglage des paramètres de validation du nom d’utilisateur et du mot de passe. La validation se produit au moment de l’inscription des utilisateurs à un nouveau compte local ou du changement de mot de passe.

Nom du paramètre du site Description
Authentication/UserManager/PasswordValidator/EnforcePasswordPolicy Détermine si le mot de passe doit contenir des caractères de trois des catégories suivantes :
  • Lettres majuscules de langues européennes (A à Z, avec les caractères diacritiques et les caractères grecs et cyrilliques)
  • Lettres minuscules de langues européennes (a à z, eszett allemand, avec les caractères diacritiques et les caractères grecs et cyrilliques)
  • Chiffres en base 10 (de 0 à 9)
  • Caractères non alphanumériques ou caractères spéciaux
Valeur par défaut : True En savoir plus sur la stratégie de mot de passe.
Authentication/UserManager/UserValidator/AllowOnlyAlphanumericUserNames Détermine si seuls les caractères alphanumériques sont autorisés pour le nom d’utilisateur. Valeur par défaut : False.
Authentication/UserManager/UserValidator/RequireUniqueEmail Détermine si une adresse e-mail unique est nécessaire pour valider l’utilisateur. Valeur par défaut : True
Authentication/UserManager/PasswordValidator/RequiredLength Définit la longueur minimale requise pour le mot de passe. Valeur par défaut : 8
Authentication/UserManager/PasswordValidator/RequireNonLetterOrDigit Détermine si le mot de passe nécessite un caractère spécial. Valeur par défaut : False.
Authentication/UserManager/PasswordValidator/RequireDigit Détermine si le mot de passe nécessite un nombre. Valeur par défaut : False.
Authentication/UserManager/PasswordValidator/RequireLowercase Détermine si le mot de passe nécessite une lettre minuscule. Valeur par défaut : False.
Authentication/UserManager/PasswordValidator/RequireUppercase Détermine si le mot de passe nécessite une lettre majuscule. Valeur par défaut : False.

Paramètres de verrouillage du compte utilisateur

Le tableau suivant décrit les paramètres qui définissent comment et quand un compte devient verrouillé pour l’authentification. Quand un certain nombre de tentatives infructueuses de saisie du mot de passe est détecté sur une courte période, le compte d’utilisateur est verrouillé pendant un certain temps. L’utilisateur peut réessayer à la fin de la période de verrouillage.

Nom du paramètre du site Description
Authentication/UserManager/UserLockoutEnabledByDefault Indique si le verrouillage de l’utilisateur est activé au moment de la création des utilisateurs. Valeur par défaut : True
Authentication/UserManager/DefaultAccountLockoutTimeSpan Définit la durée par défaut pendant laquelle un utilisateur est verrouillé après avoir atteint le nombre maximal de tentatives infructueuses. Valeur par défaut : 24:00:00 (1 jour)
Authentication/UserManager/MaxFailedAccessAttemptsBeforeLockout Nombre maximal de tentatives de connexions infructueuses autorisées avant le verrouillage d’un utilisateur, si le verrouillage est activé. Valeur par défaut : 5

Le tableau suivant décrit les paramètres de modification du comportement des cookies d’authentification par défaut, définis par la classe CookieAuthenticationOptions.

Nom du paramètre du site Description
Authentication/ApplicationCookie/AuthenticationType Définit le type de cookie d’authentification de l’application. Valeur par défaut : ApplicationCookie
Authentication/ApplicationCookie/CookieName Détermine le nom du cookie utilisé pour rendre l’identité persistante. Valeur par défaut : .AspNet.Cookies
Authentication/ApplicationCookie/CookieDomain Détermine le domaine utilisé pour créer le cookie.
Authentication/ApplicationCookie/CookiePath Détermine le chemin d’accès utilisé pour créer le cookie. Valeur par défaut : /
Authentication/ApplicationCookie/CookieHttpOnly Détermine si le navigateur doit autoriser l’accès au cookie par JavaScript côté client. Valeur par défaut : True
Authentication/ApplicationCookie/CookieSecure Détermine si le cookie doit uniquement être transmise à la demande HTTPS. Valeur par défaut : SameAsRequest
Authentication/ApplicationCookie/ExpireTimeSpan Contrôle combien de temps le cookie de l’application reste valide à partir du moment où il a été créé. Valeur par défaut : 24:00:00 (1 jour)
Authentication/ApplicationCookie/SlidingExpiration Indique à l’intergiciel de réémettre un nouveau cookie avec un nouveau délai d’expiration chaque fois qu’il traite une requête qui se trouve à plus de la moitié de la fenêtre d’expiration. Valeur par défaut : True
Authentication/ApplicationCookie/LoginPath Informe l’intergiciel qu’il doit modifier un code d’état sortant 401 Non autorisé en 302 redirection vers le chemin de connexion donné. Valeur par défaut : /signin
Authentication/ApplicationCookie/LogoutPath Si le chemin de déconnexion est fourni par l’intergiciel, alors une demande à ce chemin d’accès est redirigée en fonction de ReturnUrlParameter.
Authentication/ApplicationCookie/ReturnUrlParameter Détermine le nom du paramètre de chaîne de requête ajouté par l’intergiciel quand un code d’état 401 Non autorisé est modifié en 302 redirection vers le chemin de connexion.
Authentication/ApplicationCookie/SecurityStampValidator/ValidateInterval Définit la période de temps entre les validations du tampon de sécurité. Valeur par défaut : 30 minutes
Authentication/TwoFactorCookie/AuthenticationType Définit le type de cookie d’authentification à deux facteurs. Valeur par défaut : TwoFactorCookie
Authentication/TwoFactorCookie/ExpireTimeSpan Contrôle combien de temps le cookie de l’application reste valide à partir du moment où il a été créé. La valeur ne doit pas dépasser six minutes. Valeur par défaut : 5 minutes

Étapes suivantes

Migrer des fournisseurs d’identité vers Azure AD B2C

Voir aussi

Vue d’ensemble de l’authentification dans Power Pages
Configurer un fournisseur OAuth 2.0
Configurer un fournisseur OpenID Connect
Configurer un fournisseur SAML 2.0
Configurer un fournisseur WS-Federation