Lokale verificatie, registratie en andere instellingen
Belangrijk
We adviseren u de Azure AD B2C-id-provider voor verificatie te gebruiken op uw Power Pages-site en de lokale id-provider af te schaffen.
Power Pages biedt verificatiefunctionaliteit die op de ASP.NET-identiteit API is gebaseerd. ASP.NET Identity is weer gebaseerd op het OWIN-framework, dat ook een belangrijk onderdeel van het verificatiesysteem is. Power Pages levert de volgende services:
- Lokale verificatie (gebruikersnaam/wachtwoord)
- Externe verificatie (provider van social media) via externe id-providers
- Tweeledige verificatiemethode met e-mail
- Bevestiging via e-mailadres
- Wachtwoordherstel
- Registratie via uitnodigingscode voor het registreren van vooraf ingevulde contactpersoonrecords
Notitie
De kolom Mobile Phone Confirmed in het contactpersoonrecord wordt alleen gebruikt bij het upgraden van Adxstudio Portals.
Vereisten
Power Pages vereist:
- Portals-basis
- Microsoft Identity
- Microsoft Identity Workflows-oplossingspakketten
Verificatie en registratie
Terugkerende bezoekers van de site kunnen zich verifiëren via lokale gebruikersreferenties en/of externe accounts van id-providers. Een nieuwe bezoeker kan een gebruikersaccount registreren, door ofwel een gebruikersnaam en wachtwoord op te geven of door zich aan te melden via een externe provider. Bezoekers die een uitnodigingscode ontvangen van sitebeheerder, kunnen de code inwisselen tijdens de registratie van een nieuw gebruikersaccount.
Gerelateerde site-instellingen:
Authentication/Registration/EnabledAuthentication/Registration/LocalLoginEnabledAuthentication/Registration/ExternalLoginEnabledAuthentication/Registration/OpenRegistrationEnabledAuthentication/Registration/InvitationEnabledAuthentication/Registration/RememberMeEnabledAuthentication/Registration/ResetPasswordEnabled
Een wachtwoord opnieuw instellen
Terugkerende bezoekers die bij de registratie een e-mailadres hebben opgegeven, kunnen een token voor het opnieuw instellen van hun wachtwoord aanvragen om naar hun e-mailaccount te sturen. Een resettoken geeft de eigenaar de mogelijkheid om een nieuw wachtwoord te kiezen. De token kan ook niet worden gebruikt, zodat het oorspronkelijke wachtwoord van de gebruiker ongewijzigd blijft.
Gerelateerde site-instellingen:
Authentication/Registration/ResetPasswordEnabledAuthentication/Registration/ResetPasswordRequiresConfirmedEmail
Gerelateerd proces: e-mail voor opnieuw instellen van een wachtwoord verzenden naar een contactpersoon
- De bezoeker verstrekt een e-mailadres.
- Dien het e-mailadres in om het proces te starten.
- De bezoeker wordt gevraagd om de e-mail te lezen.
- De bezoeker ontvangt de e-mail voor het opnieuw instellen van het wachtwoord met instructies.
- De bezoeker keert terug naar het formulier voor opnieuw instellen en kiest een nieuw wachtwoord.
- Het opnieuw instellen van het wachtwoord wordt voltooid.
Een uitnodiging inwisselen
Het inwisselen van een uitnodigingscode maakt het mogelijk een zich registrerende bezoeker te koppelen aan een bestaande contactpersoonrecord, die vooraf specifiek voor die bezoeker is aangemaakt. Meestal worden uitnodigingscodes per e-mail verzonden. U kunt een algemeen formulier voor het indienen van codes gebruiken om codes via andere kanalen te verzenden. Nadat de bezoeker een geldige uitnodigingscode heeft ingediend, wordt het normale proces van gebruikersregistratie doorlopen om het nieuwe gebruikersaccount in te stellen.
Gerelateerde site-instelling: Authentication/Registration/InvitationEnabled
Gerelateerd proces: uitnodiging verzenden
Pas de uitnodigings-e-mail aan met de URL naar de uitnodigingspagina voor het inwisselen op uw site.
- Maak een uitnodiging voor een nieuwe contactpersoon.
- Pas de uitnodiging aan en sla deze op.
- Pas de uitnodigingse-mail aan.
- Verwerk de werkstroom uitnodiging verzenden.
- De uitnodigingse-mail opent de pagina waar de uitnodiging kan worden aangenomen.
- De gebruiker dient de uitnodigingscode in om zich aan te melden.
Registratie is uitgeschakeld
Als registratie wordt uitgeschakeld voor een gebruiker nadat de gebruiker een uitnodiging heeft aangenomen, gebruikt u het volgende inhoudsfragment om een bericht weer te geven:Account/Register/RegistrationDisabledMessage
Gebruikersaccounts beheren via profielpagina´s
Geverifieerde gebruikers beheren hun gebruikersaccounts via de optie Beveiliging op de profielpagina. Gebruikers zijn niet beperkt tot het enkele lokale account of het enkele externe account dat ze bij registratie hebben gekozen. Gebruikers met een extern account kunnen een lokaal account maken door een gebruikersnaam en een wachtwoord op te geven. Gebruikers die aanvankelijk met een lokaal account zijn begonnen, kunnen ervoor kiezen om meerdere externe identiteiten aan dat account te koppelen. De profielpagina is ook de plaats waar gebruikers eraan worden herinnerd hun e-mailadres te bevestigen door een bevestigings-e-mail naar hun e-mailaccount te laten verzenden.
Gerelateerde site-instellingen:
Authentication/Registration/LocalLoginEnabledAuthentication/Registration/ExternalLoginEnabledAuthentication/Registration/TwoFactorEnabled
Een wachtwoord instellen of wijzigen
Een gebruiker met een lokaal account kan een nieuw wachtwoord selecteren door het oorspronkelijke wachtwoord in te voeren. Een gebruiker zonder een lokaal account kan een gebruikersnaam en een wachtwoord kiezen om een nieuw lokaal account te configureren. U kunt de ingestelde gebruikersnaam niet meer wijzigen.
Gerelateerde site-instelling: Authentication/Registration/LocalLoginEnabled
Gerelateerde processen:
- Een gebruikersnaam en wachtwoord maken
- Een wachtwoord wijzigen
Deze taakstromen werken alleen wanneer ze worden aangeroepen via de Portalbeheer-app. Ze worden niet beïnvloed door de aanstaande afschaffing van taakstromen.
Een e-mailadres bevestigen
Als u een e-mailadres of instelling wijzigt of voor het eerst instelt, krijgen deze de onbevestigde status. De gebruiker kan vragen om een bevestigingsmail die naar zijn nieuwe e-mailadres wordt gestuurd. De e-mail bevat instructies voor het voltooien van het e-mailbevestigingsproces.
Gerelateerd proces: Een e-mailbevestiging verzenden aan een contactpersoon
- De gebruiker dient een nieuw, onbevestigd e-mailadres in.
- De gebruiker controleert of er een bevestigingsbericht is gemaild.
- Verwerk de werkstroom E-mailbevestiging verzenden aan een contactpersoon.
- De gebruiker selecteert de bevestigingskoppeling om het bevestigingsproces te voltooien.
Controleer of het primaire e-mailadres is opgegeven voor de contactpersoon. De bevestigingsmail wordt alleen naar het primaire e-mailadres (e-mailadres1) gestuurd, niet naar het secundair (e-mailadres2) of alternatief (e-mailadres3) adres van het contactpersoonrecord.
Tweeledige verificatie inschakelen
Tweeledige verificatie verbetert de beveiliging van gebruikersaccounts, doordat een bewijs van eigendom van een bevestigd e-mailadres wordt vereist, naast de standaard lokale of externe verificatie voor het account. Wanneer een gebruiker zich wil aanmelden met een account waarvoor tweeledige verificatie is ingeschakeld, wordt een beveiligingscode toegezonden naar het bevestigde e-mailadres dat aan het account is gekoppeld. De gebruiker moet de beveiligingscode invoeren om het aanmeldingsproces te voltooien. Een gebruiker kan ervoor kiezen de site te laten onthouden welke browser voor de verificatie is geslaagd, zodat er geen beveiligingscode nodig is als de gebruiker zich aanmeldt via dezelfde browser. Deze functie kan voor elk gebruikersaccount afzonderlijk worden ingeschakeld, en vereist een bevestigd e-mailadres.
Waarschuwing
Als u de site-instelling Authentication/Registration/MobilePhoneEnabled maakt en inschakelt om de verouderde functionaliteit in te schakelen, treedt er een fout op. Deze site-instelling wordt niet standaard geleverd en wordt niet ondersteund door Power Pages.
Gerelateerde site-instellingen:
Authentication/Registration/TwoFactorEnabledAuthentication/Registration/RememberBrowserEnabled
Gerelateerd proces: code voor tweeledige verificatie per e-mail aan een contactpersoon verzenden
- De bezoeker kiest ervoor om de beveiligingcode te ontvangen via e-mail.
- De bezoeker wacht op de e-mail die de beveiligingscode bevat.
- De bezoeker voert de beveiligingscode in.
- Verwerk de werkstroom Code voor tweeledige verificatie per e-mail aan contactpersoon verzenden.
- De bezoeker kan tweeledige verificatie uitschakelen.
Externe accounts beheren
Een geverifieerde gebruiker kan meerdere externe identiteiten aan zijn of haar gebruikersaccount koppelen, of registreren: één identiteit van elke geconfigureerde id-provider. Nadat de identiteiten zijn gekoppeld, kan de gebruiker ervoor kiezen zich via een van deze aan te melden. Identiteiten kunnen ook worden losgekoppeld, zolang er één lokale of externe identiteit overblijft.
Gerelateerde site-instelling: Authentication/Registration/ExternalLoginEnabled
Gerelateerd proces: een identiteit verbinden
- De bezoeker selecteert een provider om aan het gebruikersaccount te verbinden.
- De bezoeker meldt zich aan via een verbonden provider.
De verbinding met de provider kan ook worden verbroken.
Verificatie met ASP.NET Identity inschakelen
In de volgende tabel worden de instellingen beschreven voor het in- en uitschakelen van de diverse verificatiefuncties en -gedragingen.
| Naam van site-instelling | Omschrijving |
|---|---|
| Authentication/Registration/LocalLoginEnabled | Schakelt aanmelding met lokaal account (op basis van gebruikersnaam/e-mailadres en wachtwoord) in of uit. Standaardwaarde: waar |
| Authentication/Registration/LocalLoginByEmail | Schakelt aanmelding met lokaal account met een e-mailadres in plaats van de gebruikersnaam in of uit. Standaardwaarde: False. |
| Authentication/Registration/ExternalLoginEnabled | Schakelt het extern aanmelden en registreren van accounts in of uit. Standaardwaarde: waar |
| Authentication/Registration/RememberMeEnabled | Schakelt het selectievakje Mijn gegevens onthouden? in of uit voor aanmelding met lokaal account, zodat geverifieerde sessies kunnen blijven bestaan ook wanneer de webbrowser is afgesloten. Standaardwaarde: waar |
| Authentication/Registration/TwoFactorEnabled | Hiermee wordt tweeledige verificatie in- of uitgeschakeld. Gebruikers met een bevestigd e-mailadres kunnen kiezen om de toegevoegde beveiliging van tweeledige verificatie te gebruiken. Standaardwaarde: False. |
| Authentication/Registration/RememberBrowserEnabled | Schakelt het selectievakje Deze browser onthouden? in of uit bij de tweeledige verificatie (code per e-mail) om de tweeledige verificatiecode voor de huidige browser te bewaren. De gebruiker hoeft dan niet de code voor tweeledige verificatie in te voeren wanneer hij of zij zich opnieuw aanmeldt, zolang dezelfde browser wordt gebruikt. Standaardwaarde: waar |
| Authentication/Registration/ResetPasswordEnabled | Schakelt de functie voor wachtwoordherstel in of uit. Standaardwaarde: waar |
| Authentication/Registration/ResetPasswordRequiresConfirmedEmail | Schakelt wachtwoordherstel alleen voor bevestigde e-mailadressen in of uit. Als deze optie is ingeschakeld, kunnen niet-bevestigde e-mailadressen niet worden gebruikt om instructies voor wachtwoordherstel te verzenden. Standaardwaarde: False. |
| Authentication/Registration/TriggerLockoutOnFailedPassword | Schakelt de registratie van invoer van verkeerde wachtwoorden in of uit. Als deze optie is uitgeschakeld, worden gebruikersaccounts niet vergrendeld. Standaardwaarde: waar |
| Authentication/Registration/IsDemoMode | Schakelt een demomodus-vlag uit die alleen kan worden gebruikt in ontwikkelings- of demo-omgevingen. Schakel deze instelling niet op productieomgevingen in. In de demomodus moet ook de webbrowser lokaal worden uitgevoerd ten opzichte van de de webtoepassingserver. Wanneer de demomodus is ingeschakeld, zijn de codes voor wachtwoordherstel en tweeledige verificatie zichtbaar voor de gebruiker, zodat deze snel toegang heeft. Standaardwaarde: False. |
| Authentication/Registration/LoginButtonAuthenticationType | Als een site slechts één externe id-provider vereist voor afhandeling van alle verificaties, kan deze instelling ervoor zorgen dat de knop Aanmelden rechtstreeks doorleidt naar de aanmeldpagina van de provider, in plaats van naar de tussenpagina voor lokale aanmelding en selectie van de id-provider. Voor deze actie mag slechts één id-provider worden geselecteerd. Geef de AuthenticationType van de provider op. - Voor een configuratie van eenmalige aanmelding met OpenID Connect, zoals Azure AD B2C, moet de gebruiker de instantie opgeven. - Voor op OAuth 2.0-gebaseerde providers zijn de geaccepteerde waarden: Facebook, Google, Yahoo, Microsoft, LinkedIn of Twitter.- Voor providers die werken op basis van WS-Federation gebruikt u de waarden die zijn opgegeven voor de site-instellingen Authentication/WsFederation/ADFS/AuthenticationType en Authentication/WsFederation/Azure/\<provider\>/AuthenticationType. |
Registratie van gebruikers in- of uitschakelen
In de onderstaande tabel worden de instellingen beschreven voor het in- en uitschakelen van de opties voor registratie van gebruikers.
| Naam van site-instelling | Beschrijving |
|---|---|
| Authentication/Registration/Enabled | Hiermee schakelt u alle vormen van gebruikerregistratie in of uit. Registratie moet zijn ingeschakeld als de overige instellingen in deze sectie van kracht moeten zijn. Standaardwaarde: waar |
| Authentication/Registration/OpenRegistrationEnabled | Hiermee schakelt u het registratieformulier voor aanmelding in of uit. Met het registratieformulier kan elke anonieme bezoeker een gebruikersaccount maken. Standaardwaarde: waar |
| Authentication/Registration/InvitationEnabled | Hiermee schakelt u het inwisselformulier voor de uitnodigingscode in of uit voor registratie van gebruikers die een uitnodigingscode hebben. Standaardwaarde: waar |
| Authentication/Registration/CaptchaEnabled | Hiermee wordt captcha op de gebruikersregistratiepagina in- of uitgeschakeld. Standaardwaarde: False. Deze site-instelling is mogelijk niet standaard beschikbaar. Als u captcha wilt inschakelen, moet u de site-instelling maken en de waarde instellen op true. |
Controleer of het primaire e-mailadres is opgegeven voor de gebruiker. Gebruikers kunnen alleen registreren met het primaire e-mailadres (e-mailadres1), niet met het secundair (e-mailadres2) of alternatief (e-mailadres3) adres van het contactpersoonrecord.
Validatie van gebruikersreferenties
In de onderstaande tabel worden de instellingen beschreven voor het aanpassen van de parameters voor validatie van gebruikersnaam en wachtwoord: Validatie wordt uitgevoerd wanneer gebruikers zich registreren voor een nieuw lokaal account of hun wachtwoord wijzigen.
| Naam van site-instelling | Beschrijving |
|---|---|
| Authentication/UserManager/PasswordValidator/EnforcePasswordPolicy | Hiermee wordt bepaald of het wachtwoord tekens uit de drie volgende categorieën moet bevatten:
|
| Authentication/UserManager/UserValidator/AllowOnlyAlphanumericUserNames | Hiermee wordt bepaald of alleen alfanumerieke tekens zijn toegestaan voor de gebruikersnaam. Standaardwaarde: False. |
| Authentication/UserManager/UserValidator/RequireUniqueEmail | Hiermee wordt bepaald of een uniek e-mailadres nodig is voor validatie van de gebruiker. Standaardwaarde: waar |
| Authentication/UserManager/PasswordValidator/RequiredLength | Hiermee wordt de minimaal vereiste lengte van het wachtwoord ingesteld. Standaard: 8 |
| Authentication/UserManager/PasswordValidator/RequireNonLetterOrDigit | Hiermee wordt bepaald of het wachtwoord een speciaal teken vereist. Standaardwaarde: False. |
| Authentication/UserManager/PasswordValidator/RequireDigit | Hiermee wordt bepaald of het wachtwoord een getal vereist. Standaardwaarde: False. |
| Authentication/UserManager/PasswordValidator/RequireLowercase | Hiermee wordt bepaald of het wachtwoord een kleine letter vereist. Standaardwaarde: False. |
| Authentication/UserManager/PasswordValidator/RequireUppercase | Hiermee wordt bepaald of het wachtwoord een hoofdletter vereist. Standaardwaarde: False. |
Instellingen voor vergrendeling van gebruikersaccounts
In de onderstaande tabel worden de instellingen beschreven die bepalen hoe en wanneer een account wordt vergrendeld tegen verificatie. Wanneer wordt gedetecteerd dat binnen een korte periode een bepaald aantal malen een verkeerd wachtwoord is ingevoerd, wordt het gebruikersaccount vergrendeld gedurende een bepaalde tijd. De gebruiker kan opnieuw proberen zich aan te melden, nadat de vergrendelingsperiode is verstreken.
| Naam van site-instelling | Beschrijving |
|---|---|
| Authentication/UserManager/UserLockoutEnabledByDefault | Geeft aan of vergrendeling van gebruikers is ingeschakeld als gebruikers worden gemaakt. Standaardwaarde: waar |
| Authentication/UserManager/DefaultAccountLockoutTimeSpan | Hiermee wordt standaardtijd ingesteld gedurende welke een gebruiker wordt vergrendeld nadat het maximale aantal mislukte pogingen is bereikt. Standaard: 24:00:00 (1 dag) |
| Authentication/UserManager/MaxFailedAccessAttemptsBeforeLockout | Het maximale aantal mislukte aanmeldpogingen dat is toegestaan voordat een gebruiker wordt vergrendeld, als vergrendelen is ingeschakeld. Standaard: 5 |
Instellingen van website voor cookieverificatie
In de onderstaande tabel worden de instellingen beschreven voor het wijzigen van het standaardgedrag van de verificatiecookie, gedefinieerd door de klasse CookieAuthenticationOptions.
| Naam van site-instelling | Beschrijving |
|---|---|
| Authentication/ApplicationCookie/AuthenticationType | Hiermee wordt het type van het verificatiecookie voor de toepassing ingesteld. Standaard: ApplicationCookie |
| Authentication/ApplicationCookie/CookieName | Bepaalt de cookienaam die wordt gebruikt om de identiteit vast te houden. Standaard: .AspNet.Cookies |
| Authentication/ApplicationCookie/CookieDomain | Bepaalt het domein dat wordt gebruikt om de cookie te maken. |
| Authentication/ApplicationCookie/CookiePath | Bepaalt het pad dat wordt gebruikt om de cookie te maken. Standaard: / |
| Authentication/ApplicationCookie/CookieHttpOnly | Hiermee wordt bepaald of de browser toegang tot de cookie moet toestaan via JavaScript aan de clientzijde. Standaardwaarde: waar |
| Authentication/ApplicationCookie/CookieSecure | Hiermee wordt bepaald of de cookie alleen moet worden verzonden op HTTPS-aanvraag. Standaard: SameAsRequest |
| Authentication/ApplicationCookie/ExpireTimeSpan | Hiermee wordt bepaald hoelang de toepassingscookie geldig blijft vanaf het moment waarop deze is gemaakt. Standaard: 24:00:00 (1 dag) |
| Authentication/ApplicationCookie/SlidingExpiration | Hiermee krijgt de middleware de opdracht om een nieuwe cookie uit te geven met een nieuwe verlooptijd telkens wanneer een aanvraag wordt verwerkt die verder dan halverwege het verloopvenster ligt. Standaardwaarde: waar |
| Authentication/ApplicationCookie/LoginPath | Hiermee wordt de middleware medegedeeld dat een uitgaande statuscode 401 Onbevoegd moet worden gewijzigd in een 302-omleiding naar het opgegeven aanmeldingspad. Standaard: /signin |
| Authentication/ApplicationCookie/LogoutPath | Als het afmeldingspad wordt verstrekt door de middleware, wordt een aanvraag voor dat pad omgeleid op basis van de ReturnUrlParameter. |
| Authentication/ApplicationCookie/ReturnUrlParameter | Hiermee wordt de naam van een querytekenreeksparameter bepaald die via de middleware wordt toegevoegd wanneer een statuscode 401 Onbevoegd wordt gewijzigd in een 302-omleiding naar het aanmeldingspad. |
| Authentication/ApplicationCookie/SecurityStampValidator/ValidateInterval | Hiermee wordt de tijdsperiode tussen validaties van de beveiligingsstempel ingesteld. Standaard: 30 minuten |
| Authentication/TwoFactorCookie/AuthenticationType | Hiermee wordt het type van de cookie voor tweeledige verificatie ingesteld. Standaard: TwoFactorCookie |
| Authentication/TwoFactorCookie/ExpireTimeSpan | Hiermee wordt bepaald hoelang de cookie voor tweeledige verificatie geldig blijft vanaf het moment waarop deze is gemaakt. De waarde mag niet hoger zijn dan zes minuten. Standaard: 5 minuten |
Volgende stappen
Identiteitsproviders migreren naar Azure AD B2C
Zie ook
Overzicht van verificatie in Power Pages
Een OAuth 2.0-provider instellen
Een OpenID Connect-provider instellen
Een SAML 2.0-provider instellen
Een WS-Federation-provider instellen