Udostępnij za pośrednictwem

Uwierzytelnianie lokalne, rejestracja i inne ustawienia

  • Artykuł

Ważne

Zaleca się użycie dostawcy tożsamości Azure AD B2C do uwierzytelnienia na stronie Power Pages i wycofania lokalnego dostawcy tożsamości.

Power Pages udostępnia funkcję uwierzytelniania dostępną w interfejsie API tożsamości ASP.NET. Tożsamość ASP.NET z kolei bazuje na strukturze OWIN, która również jest ważnym elementem systemu uwierzytelniania. Power Pages są świadczone następujące usługi:

  • Lokalne uwierzytelnianie (nazwa użytkownika/hasło)
  • Uwierzytelnianie zewnętrzne (dostawcy mediów społecznościowych) za pośrednictwem innych dostawców tożsamości
  • Uwierzytelnianie dwuskładnikowe za pomocą wiadomości e-mail
  • Potwierdzenie adresu e-mail
  • Odzyskiwanie hasła
  • Logowanie z kodu zaproszenia w celu zarejestrowania wstępnie wypełnionych rekordów kontaktów

Uwaga

Kolumna Mobile Phone Confirmed w rekordzie kontaktu nie jest używana z wyjątkiem uaktualniania Adxstudio Portals.

Wymagania

Power Pages wymaga:

  • Baza portali
  • Tożsamość Microsoft
  • Pakiety rozwiązań przepływów pracy tożsamości Microsoft

Uwierzytelniania i zarejestrowania

Osoby powracające do witryny mogą uwierzytelniać przy użyciu lokalnych poświadczeń użytkowników lub zewnętrznych kont dostawców tożsamości. Nowy użytkownik może zarejestrować się w celu konta użytkownika, podając nazwę użytkownika i hasło albo logując się za pomocą dostawcy zewnętrznego. Osoby, które otrzymują kod zaproszenia z witryny Administrator mogą utworzyć kod podczas rejestracji w nowym koncie użytkownika.

Pokrewne ustawienia witryny:

  • Authentication/Registration/Enabled
  • Authentication/Registration/LocalLoginEnabled
  • Authentication/Registration/ExternalLoginEnabled
  • Authentication/Registration/OpenRegistrationEnabled
  • Authentication/Registration/InvitationEnabled
  • Authentication/Registration/RememberMeEnabled
  • Authentication/Registration/ResetPasswordEnabled

Resetuj hasło

Osoby powracające z firmy, które podały adres e-mail podczas rejestracji, mogą zażądać wysłania tokenu resetowania hasła do swojego konta e-mail. Token resetowania umożliwia jego właścicielowi wybranie nowego hasła. Token może również zostać przerwany i niezmienione, co pozostawi niezmienione pierwotne hasło użytkownika.

Pokrewne ustawienia witryny:

  • Authentication/Registration/ResetPasswordEnabled
  • Authentication/Registration/ResetPasswordRequiresConfirmedEmail

Powiązany proces: Wyślij resetowanie hasła do kontaktu

  1. Osoba odwiedzająca podaje adres e-mail.
  2. Prześlij adres e-mail, aby rozpocząć proces.
  3. Użytkownik jest proszony o sprawdzenie poczty elektronicznej.
  4. Użytkownik otrzymuje wiadomość e-mail resetowania hasła z instrukcjami.
  5. Użytkownik powraca do formularza resetowania i wybiera nowe hasło.
  6. Resetowanie hasła zostało zakończone.

Realizuj zaproszenie

Realizacja kodu zaproszenia pozwala skojarzyć użytkownika przeprowadzającego rejestrację z istniejącym rekordem kontaktu, który został przygotowany specjalnie dla tego użytkownika. Zazwyczaj kody zaproszeń są wysyłane pocztą e-mail. Ogólne formularze przesyłania kodu można wykorzystać do wysłania kodów, mimo że są to inne kanały. Po przesłaniu przez użytkownika prawidłowego kodu zaproszenia zwykły proces rejestracji użytkownika konfiguruje nowe konto użytkownika.

Pokrewne ustawienia witryny: Authentication/Registration/InvitationEnabled

Powiązany proces: Wyślij zaproszenie

Dostosuj wiadomość e-mail zaproszenia, tak aby zawierał adres URL strony zaproszenia w witrynie.

  1. Utwórz zaproszenie dla nowego kontaktu.
  2. Dostosuj i zapisz zaproszenie.
  3. Dostosuj wiadomość e-mail z zaproszeniem.
  4. Przetwarzanie przepływu pracy Wysyłanie zaproszeń.
  5. Wiadomość e-mail z zaproszeniem otwiera stronę realizacji zaproszenia.
  6. Użytkownik przesyła kod zaproszenia do rejestracji.

Rejestracja jest wyłączona

Jeśli rejestracja jest wyłączona dla użytkownika po tym jak użytkownik zrealizował zaproszenie, przy użyciu następującego fragmentu zawartości: Account/Register/RegistrationDisabledMessage

Zarządzaj kontami użytkownika za pośrednictwem stron profilu

Uwierzytelnieni użytkownicy zarządzają swoimi kontami użytkowników za pomocą opcji Zabezpieczenia na stronie profilu. Użytkownicy nie są ograniczeni do jednego konta lokalnego lub pojedynczego konta zewnętrznego, które wybiorą podczas rejestracji. Użytkownicy z kontem zewnętrznym mogą utworzyć konto lokalne, podając nazwę użytkownika i hasło. Użytkownicy, którzy rozpoczynali pracę z kontem lokalnym, mogą skojarzyć z tym kontem wiele tożsamości zewnętrznych. Na stronie profilu znajduje się również miejsce, w którym użytkownicy są przypominani o potwierdzenie swojego adresu e-mail, żądając wysłania wiadomości e-mail z potwierdzeniem na swoje konto e-mail.

Pokrewne ustawienia witryny:

  • Authentication/Registration/LocalLoginEnabled
  • Authentication/Registration/ExternalLoginEnabled
  • Authentication/Registration/TwoFactorEnabled

Ustaw lub zmień hasło

Użytkownik z lokalnego konta może wybrać nowe hasło, podając pierwotne hasło. Użytkownik nie posiadający lokalnego konta może wybrać nazwę użytkownika i hasło, aby skonfigurować nowe konto lokalne. Po ustawieniu nazwy użytkownika nie można jej już zmienić.

Pokrewne ustawienia witryny: Authentication/Registration/LocalLoginEnabled

Pokrewne procesy:

  • Utwórz nazwę użytkownika i hasło
  • Zmień hasło

Te zadania przepływu działają tylko po wywołaniu dla kontaktu przy użyciu aplikacji Zarządzanie portalem. Na nie mają one wpływu przyszłe wycofania przepływów zadań.

Potwierdzanie adresu e-mail

Zmiana adresu e-mail lub ustawienia po raz pierwszy oznacza go jako niepotwierdzone. Użytkownik może zażądać wysłania wiadomości e-mail z potwierdzeniem na nowy adres e-mail. Wiadomość e-mail zawiera instrukcje dotyczące ukończenia procesu potwierdzenia wiadomości e-mail.

Powiązany proces: Wyślij do kontaktu wiadomość e-mail zawierającą potwierdzenie

  1. Użytkownik przesyła nowy, niepotwierdzony adres e-mail.
  2. Użytkownik sprawdza wiadomość e-mail, aby uzyskać komunikat z potwierdzeniem.
  3. Przetwórz przepływ pracy Wyślij do kontaktu wiadomość e-mail zawierającą potwierdzenie.
  4. Użytkownik wybiera łącze potwierdzenia, aby zakończyć proces potwierdzenia.

Upewnij się, że podstawowy zwrotny adres e-mail został określony dla kontaktu. Wiadomość e-mail z potwierdzeniem jest wysyłana tylko na podstawowy adres e-mail (emailaddress1), nie na dodatkowy (emailaddress2) ani na alternatywny adres (emailaddress3) rekordu kontaktu.

Włącz uwierzytelnianie dwuskładnikowe

Uwierzytelnianie dwuetapowe zwiększa bezpieczeństwo kont użytkowników przez wymaganie potwierdzenia własności potwierdzonego adresu e-mail oprócz standardowego uwierzytelniania konta lokalnego lub zewnętrznego. Gdy użytkownik próbuje zalogować się do konta, dla którym włączono uwierzytelnianie dwuetapowe, kod zabezpieczeń jest wysyłany na adres e-mail potwierdzony skojarzony z tym kontem. Użytkownik musi wprowadzić kod zabezpieczeń, by zakończyć proces logowania. Użytkownik może wybrać, aby przy następnym logowaniu się użytkownika przy użyciu tej samej przeglądarki pamiętać weryfikację, dzięki czemu kod zabezpieczeń nie jest wymagany dla tej samej przeglądarki. Każde konto użytkownika włącza tę funkcję indywidualnie i wymaga potwierdzonego adresu e-mail.

Ostrzeżenie

Jeśli zostanie utworzeniu i włączeniu ustawienia witryny Authentication/Registration/MobilePhoneEnabled w celu włączenia starszej funkcji, wystąpi błąd. To ustawienie witryny nie jest dostarczane razem z programem i nie jest obsługiwane przez Power Pages.

Pokrewne ustawienia witryny:

  • Authentication/Registration/TwoFactorEnabled
  • Authentication/Registration/RememberBrowserEnabled

Powiązany proces: Wyślij wiadomość e-mail z kodem dwuskładnikowym do kontaktu

  1. Użytkownik wybiera opcję otrzymywania kodu zabezpieczeń pocztą e-mail.
  2. Użytkownik oczekuje na wiadomość e-mail zawierającą kod zabezpieczeń.
  3. Użytkownik wprowadza kod zabezpieczeń.
  4. Przetwórz przepływ pracy Wyślij kod dwuskładnikowy wiadomości e-mail w celu nawiązania kontaktu.
  5. Uwierzytelnianie dwuskładnikowe może być przez odwiedzającego wyłączone.

Zarządzaj kontami zewnętrznymi

Użytkownik uwierzytelniony może połączyć lub zarejestrować wiele tożsamości zewnętrznych do swojego konta użytkownika po jednej u każdego skonfigurowanego dostawcy tożsamości. Po połączeniu tożsamości użytkownik może się zalogować przy użyciu dowolnej z nich. Tożsamości mogą być również odłączone, o ile pozostaje jedna tożsamość zewnętrzna lub lokalna.

Pokrewne ustawienia witryny: Authentication/Registration/ExternalLoginEnabled

Proces pokrewny: łączenie tożsamości

  1. Odwiedzający wybiera dostawcę do połączenia z kontem użytkownika.
  2. Użytkownik loguje się przy użyciu podłączonego dostawcy.

Dostawca może również zostać odłączony.

Włącz uwierzytelnianie tożsamości ASP.NET

W poniższej tabeli opisano ustawienia do włączania/wyłączania różnych funkcji i zachowań uwierzytelniania.

Nazwa ustawień witryny opis
Uwierzytelnianie/Registration/LocalLoginEnabled Włącza lub wyłącza lokalne logowanie konta na podstawie nazwy użytkownika lub adresu e-mail i hasła. Domyślnie: prawda
Uwierzytelnianie/Registration/LocalLoginByEmail Włącza lub wyłącza lokalne logowanie konta na podstawie adresu e-mail zamiast nazwy użytkownika. Domyślna: Fałsz
Uwierzytelnianie/Rejestracja/ExternalLoginEnabled Włącza lub wyłącza zewnętrzne logowanie do konta i rejestrację. Domyślnie: prawda
Uwierzytelnianie/Registration/RememberMeEnabled Zaznacza lub usuwa zaznaczenie w polu wyboru Zapamiętaj mnie w logowaniu lokalnym, aby umożliwić zachowanie uwierzytelnionych sesji, nawet po zamknięciu przeglądarki sieci Web. Domyślnie: prawda
Uwierzytelnianie/Registration/TwoFactorEnabled Włącza lub wyłącza uwierzytelnianie dwuskładnikowe. Użytkownicy z potwierdzonym adresem e-mail mogą zdecydować o użyciu dodatkowego zabezpieczenia w postaci uwierzytelniania dwuskładnikowego. Domyślna: Fałsz
Uwierzytelnianie/Registration/RememberBrowserEnabled Zaznacza lub usuwa zaznaczenie w polu wyboru Zapamiętaj przeglądarkę dla dwuskładnikowego sprawdzania poprawności (kod e-mail), aby utrwalić dwuskładnikowe sprawdzanie poprawności dla bieżącej przeglądarki. Użytkownik nie musi przekazywać sprawdzania poprawności drugiego czynnika w przypadku kolejnych logowania przy użyciu tej samej przeglądarki. Domyślnie: prawda
Uwierzytelnianie/Registration/ResetPasswordEnabled Włącza lub wyłącza funkcję resetowania hasła. Domyślnie: prawda
Uwierzytelnianie/Registration/ResetPasswordRequiresConfirmedEmail Włącza lub wyłącza resetowanie hasła wyłącznie dla potwierdzonych adresów e-mail. Jeśli opcja jest włączona, niepotwierdzone adresy e-mail nie będą mogły być używane do wysyłania informacji dotyczących resetowania hasła. Domyślna: Fałsz
Uwierzytelnianie/Registration/TriggerLockoutOnFailedPassword Włącza lub wyłącza rejestrowanie niepomyślnych prób hasła. Jeśli są wyłączone, konta użytkowników nie są zablokowane. Wartość domyślna: Prawda
Uwierzytelnianie/Registration/IsDemoMode Włącza i wyłącza tryb demonstracyjny do użycia tylko w środowiskach deweloperskich lub demonstracyjnych. Nie należy włączać tego ustawienia w środowiskach produkcyjnych. Tryb demonstracyjny wymaga również, aby przeglądarka sieci Web działała lokalnie na serwerze aplikacji sieci Web. Po włączeniu trybu demonstracyjnego kod resetujący hasło i kod dwuskładnikowy są wyświetlane dla użytkownika, zapewniając szybki dostęp. Domyślna: Fałsz
Uwierzytelnianie/Registration/LoginButtonAuthenticationType Jeśli witryna wymaga, aby całe uwierzytelnianie było obsługiwane przez pojedynczy zewnętrznego dostawcę tożsamości, to ustawienie umożliwia przyciskowi Logowania łącze bezpośrednio do strony logowania dostawcy zamiast pośrednich stron wyboru formularza lokalnego logowania i dostawcy tożsamości. W przypadku tej akcji można wybrać tylko jednego dostawcę tożsamości. Określ typ uwierzytelniania dostawcy.
- Dla konfiguracji logowania jednokrotnego, który używa OpenId Connect, np. za pomocą Azure AD B2C, użytkownik musi podać Organ.
- Dla dostawców OAuth 2.0 akceptowanymi wartościami są Facebook, Google, Yahoo, Microsoft, LinkedIn lub Twitter.
- Dla dostawców opartych na WS-Federation użyj wartości określonej dla ustawień witryny Authentication/WsFederation/ADFS/AuthenticationType i Authentication/WsFederation/Azure/\<provider\>/AuthenticationType.

Włącz lub wyłącz rejestrację użytkownika

W poniższej tabeli opisano ustawienia umożliwiające włączanie i wyłączanie opcji rejestracji użytkowników (rejestrację).

Nazwa ustawień witryny Opis
Uwierzytelnianie/Registration/Enabled Włącza lub wyłącza wszystkie formularze rejestracji użytkownika. Rejestracja musi być włączona, aby inne ustawienia w tej sekcji zostały wprowadzone w życie. Domyślnie: prawda
Uwierzytelnianie/Registration/OpenRegistrationEnabled Włącza i wyłącza formularz rejestracji konta. Formularz rejestracji umożliwia każdemu odwiedzającemu odwiedzenie strony i utworzenie konta użytkownika. Domyślnie: prawda
Uwierzytelnianie/Registration/InvitationEnabled Włącza lub wyłącza formularz zaproszenia i kodu zaproszenia dla zarejestrowanych użytkowników, którzy mają kod zaproszenia. Domyślnie: prawda
Uwierzytelnianie/Rejestracja/Włączone Włącza lub wyłącza technikę captcha na stronę rejestracji użytkownika. Domyślna: Fałsz
To ustawienie może być domyślnie niedostępne. Aby włączyć technikę captcha, należy utworzyć ustawienie witryny i ustawić wartość na Prawda.

Upewnij się, że podstawowy zwrotny adres e-mail został określony dla użytkownika. Użytkownicy mogą się rejestrować tylko z podstawowym adresem e-mail (emailaddress1), nie na dodatkowym (emailaddress2) ani alternatywnym adresem (emailaddress3) rekordu kontaktu.

Sprawdzanie poprawności poświadczeń użytkownika

W poniższej tabeli opisano ustawienia parametrów sprawdzania poprawności nazw użytkowników i haseł. Sprawdzanie poprawności jest wykonywane podczas rejestrowania się użytkowników do nowego konta lokalnego lub zmieniania hasła.

Nazwa ustawień witryny Opis
Uwierzytelnianie/UserManager/PasswordValidator/EnforcePasswordPolicy Określa, czy hasło musi zawierać znaki z trzech następujących kategorii:
  • Wielkie litery języków europejskich (A do Z ze znakami diakrytycznymi, greckimi i cyrylicą)
  • Małe litery języków europejskich (a do z, escet, ze znakami diakrytycznymi, greckimi i cyrylicą)
  • Podstawowe 10 cyfr (od 0 do 9)
  • Znaki nienumeryczne lub znaki specjalne
Domyślnie: prawda. Dowiedz się więcej o zasadach dotyczących hasła.
Uwierzytelnianie/UserManager/UserValidator/AllowOnlyAlphanumericUserNames Określa, czy zezwolić wyłącznie na znaki alfanumeryczne dla nazwy użytkownika. Domyślna: Fałsz
Uwierzytelnianie/UserManager/UserValidator/RequireUniqueEmail Określa, czy do sprawdzenia poprawności użytkownika jest potrzebny unikatowy adres e-mail. Domyślnie: prawda
Uwierzytelnianie/UserManager/PasswordValidator/RequiredLength Ustawia minimalną wymaganą długość hasła. Domyślne: 8
Uwierzytelnianie/UserManager/PasswordValidator/RequireNonLetterOrDigit Określa, czy w haśle jest wymagany specjalny znak. Domyślna: Fałsz
Uwierzytelnianie/UserManager/PasswordValidator/RequireDigit Określa, czy w haśle jest wymagana cyfra. Domyślna: Fałsz
Uwierzytelnianie/UserManager/PasswordValidator/RequireLowercase Określa, czy w haśle jest wymagana mała litera. Domyślna: Fałsz
Uwierzytelnianie/UserManager/PasswordValidator/RequireUppercase Określa, czy w haśle jest wymagana wielka litera. Domyślna: Fałsz

Ustawienia blokady konta użytkownika

W poniższej tabeli opisano ustawienia definiujące sposób i czas blokowania konta na przykład przez uwierzytelnianie. W przypadku wykrycia w krótkim okresie określonej liczby prób haseł, które zakończyły się niepowodzeniem, konto użytkownika jest na pewien czas zablokowane. Użytkownik może spróbować ponownie po upływie okresu blokady.

Nazwa ustawień witryny Opis
Uwierzytelnianie/UserManager/UserLockoutEnabledByDefault Wskazuje, czy blokada użytkownika jest włączana podczas tworzenia użytkowników. Domyślnie: prawda
Uwierzytelnianie/UserManager/DefaultAccountLockoutTimeSpan Ustawia domyślny czas, przez który użytkownik jest zablokowany po osiągnięciu maksymalnej liczby nieudanych prób. Domyślnie: 24:00:00 (1 dzień)
Uwierzytelnianie/UserManager/MaxFailedAccessAttemptsBeforeLockout Maksymalna liczba nieudanych prób logowania dozwolonych przed zablokowaniem użytkownika po włączeniu blokowania. Domyślne: 5

W poniższej tabeli przedstawiono ustawienia modyfikowania domyślnego zachowania plików cookie uwierzytelniania, zdefiniowanych przez klasę CookieAuthenticationOptions.

Nazwa ustawień witryny Opis
Authentication/ApplicationCookie/AuthenticationType Ustawia typ pliku cookie uwierzytelniania aplikacji. Domyślnie: ApplicationCookie
Authentication/ApplicationCookie/CookieName Określa nazwę pliku cookie używanego do utrwalania tożsamości. Domyślnie: .AspNet.Cookies
Authentication/ApplicationCookie/CookieDomain Określa domenę używaną do tworzenia pliku cookie.
Authentication/ApplicationCookie/CookiePath Określa ścieżką używaną do tworzenia pliku cookie. Domyślne: /
Authentication/ApplicationCookie/CookieHttpOnly Określa, czy przeglądarka powinna umożliwić dostęp do pliku cookie dla skryptu JavaScript po stronie klienta. Domyślnie: prawda
Authentication/ApplicationCookie/CookieSecure Określa, czy plik cookie powinien być przekazywany tylko na żądanie HTTPS. Domyślnie: SameAsRequest
Uwierzytelnianie/ApplicationCookie/ExpireTimeSpan Określa, przez ile czasu plik cookie aplikacji pozostaje prawidłowy od momentu jego utworzenia. Domyślnie: 24:00:00 (1 dzień)
Authentication/ApplicationCookie/SlidingExpiration Poinstruuje oprogramowanie pośredniczące do ponownego ustawienia nowego pliku cookie z nowym czasem wygaśnięcia, gdy przetwarza żądanie o więcej niż połowie okresu wygaśnięcia. Domyślnie: prawda
Authentication/ApplicationCookie/LoginPath Informuje oprogramowanie pośredniczące, że powinno to zmienić wychodzący kod stanu 401 na przekierowywanie 302 na podaną ścieżkę logowania. Domyślnie: /logowanie
Authentication/ApplicationCookie/LogoutPath Jeśli ścieżka rejestracji jest dostarczana przez oprogramowanie middleware, żądanie tej ścieżki jest przekierowywany na podstawie pliku ReturnUrlParameter.
Authentication/ApplicationCookie/ReturnUrlParameter Określa nazwę parametru ciągu zapytania dołączonego przez oprogramowanie middleware po zmianie kodu stanu 401 Na 302 przekierowuje do ścieżki logowania.
Authentication/ApplicationCookie/SecurityStampValidator/ValidateInterval Ustawia okres między sprawdzaniem poprawności sygnatur zabezpieczeń. Wartość domyślna: 30 minut
Authentication/TwoFactorCookie/AuthenticationType Ustawia typ pliku cookie uwierzytelniania dwuetapowego. Domyślnie: TwoFactorCookie
Authentication/TwoFactorCookie/ExpireTimeSpan Określa, przez ile czasu plik cookie dwuetapowego pozostaje prawidłowy od momentu jego utworzenia. Wartość nie powinna przekraczać 6 minut. Wartość domyślna: 5 minut

Następne kroki

Migruj dostawców tożsamości do Azure AD B2C

Zobacz też

Omówienie uwierzytelniania w Power Pages
Konfiguracja dostawcy OAuth 2.0
Konfiguracja dostawcy OpenID Connect
Konfiguracja dostawcy SAML 2.0
Konfiguracja dostawcy WS-Federation