Поделиться через

Локальная проверка подлинности, регистрация и другие параметры

  • Статья

Внимание

Рекомендуется использовать для проверки подлинности поставщик удостоверений Azure AD B2C на сайте Power Pages, а локальных поставщиков удостоверений выводить из использования (помечать как устаревших).

Power Pages предоставляют возможность проверки подлинности, построенную на основе API-интерфейса ASP.NET Identity. ASP.NET Identity в свою очередь построен на основе платформы OWIN, которая также является важнейшим компонентом системы проверки подлинности. Power Pages предоставляет следующие услуги:

  • Локальная аутентификация (имя пользователя и пароль)
  • Внешняя аутентификация (поставщик социальных сетей) через сторонних поставщиков удостоверений
  • Двухфакторная проверка подлинности с использованием электронной почты
  • Проверка адреса электронной почты
  • Восстановление пароля
  • Регистрация по коду приглашения для регистрации предварительно заполненных записей контактов

Заметка

Столбец Mobile Phone Confirmed в записи контакта не используется, кроме как при обновлении с Adxstudio Portals.

Требования

Для Power Pages требуются:

  • База порталов
  • Удостоверение Майкрософт
  • Пакеты решения бизнес-процессов удостоверений Майкрософт

Авторизация и регистрация

Повторные посетители сайта могут проходить проверку подлинности с помощью учетных данных локальных пользователей или учетных записей внешних поставщиков удостоверений. Новый посетитель может зарегистрироваться для учетной записи пользователя либо предоставив имя пользователя и пароль, либо выполнив вход через внешнего поставщика. Посетители, которые получили код приглашения от администратора сайта, могут использовать этот код во время регистрации для новой учетной записи пользователя.

Связанные параметры сайта:

  • Authentication/Registration/Enabled
  • Authentication/Registration/LocalLoginEnabled
  • Authentication/Registration/ExternalLoginEnabled
  • Authentication/Registration/OpenRegistrationEnabled
  • Authentication/Registration/InvitationEnabled
  • Authentication/Registration/RememberMeEnabled
  • Authentication/Registration/ResetPasswordEnabled

Сброс пароля

Вернувшиеся посетители, предоставившие адрес электронной почты при регистрации, могут запросить токен для сброса пароля, который будет отправлен на их учетную запись электронной почты. Токен сброса позволяет его владельцу выбрать новый пароль. Также можно не использовать токен, тогда исходный пароль пользователя останется без изменений.

Связанные параметры сайта:

  • Authentication/Registration/ResetPasswordEnabled
  • Authentication/Registration/ResetPasswordRequiresConfirmedEmail

Связанный процесс: отправка сброса пароля контакту

  1. Посетитель предоставляет адрес электронной почты.
  2. Отправьте адрес электронной почты, чтобы запустить процесс.
  3. Посетителю предлагается проверить электронную почту.
  4. Посетитель получает сообщение электронной почты с инструкциями по сбросу пароля.
  5. Посетитель возвращается к форме сброса и выбирает новый пароль.
  6. Сброс пароля завершен.

Активировать приглашение

Активирование кода приглашения позволяет связать регистрацию посетителя с существующей записью контакта, которая была подготовлена заранее специально для этого посетителя. Обычно коды приглашения отправляются по электронной почте. Вы можете использовать общую форму отправки кода для отправки кодов по другим каналам. После того как посетитель предоставит действительный код приглашения, обычный процесс регистрации пользователя настраивает новую учетную запись пользователя.

Связанный параметр сайта: Authentication/Registration/InvitationEnabled

Связанный процесс: отправка приглашения

Настройте электронное письмо с приглашением, включив в него URL-адрес страницы активации приглашения на вашем сайте.

  1. Создание приглашения для нового контакта.
  2. Настройте и сохраните приглашение.
  3. Настройте сообщение электронной почты с приглашением.
  4. Обработайте рабочий процесс отправки приглашения.
  5. Сообщение электронной почты с приглашением открывает страницу активирования.
  6. Пользователь отправляет код приглашения, чтобы зарегистрироваться.

Отключенная регистрация

Если регистрация отключена для пользователя, после того как пользователь активировал приглашение, используйте следующий фрагмент содержимого для отображения сообщения: Account/Register/RegistrationDisabledMessage

Управление учетными записями пользователя через страницы профиля

Пользователи, прошедшие проверку подлинности, управляют своими учетными записями пользователя с помощью параметра Безопасность на странице профиля. Пользователи не ограничены одной локальной учетной записью или одной внешней учетной записью, выбранной во время регистрации. Пользователи с внешними учетными записями могут создать локальную учетную запись, указав имя пользователя и пароль. Пользователи, которые начали с локальной учетной записи, могут связать несколько внешних удостоверений с этой учетной записью. Также на странице профиля пользователям выводится напоминание о необходимости подтвердить свой адрес электронной почты, запросив отправку сообщения электронной почты с подтверждением по адресу электронной почты из учетной записи.

Связанные параметры сайта:

  • Authentication/Registration/LocalLoginEnabled
  • Authentication/Registration/ExternalLoginEnabled
  • Authentication/Registration/TwoFactorEnabled

Задание или смена пароля

Пользователь с локальной учетной записью может выбрать новый пароль, указав первоначальный пароль. Пользователь без локальной учетной записи может выбрать имя пользователя и пароль, чтобы настроить новую локальную учетную запись. Заданное имя пользователя изменить невозможно.

Связанный параметр сайта: Authentication/Registration/LocalLoginEnabled

Связанные процессы:

  • Создание имени пользователя и пароля
  • Сменить пароль

Эти потоки задач работают только при вызове с помощью приложения управления порталом. На них не влияет предстоящее прекращение поддержки потоков задач.

Подтверждение адреса электронной почты

При изменении адреса электронной почты или его задании в первый раз он помечается как неподтвержденный. Пользователь может запросить электронное письмо с подтверждением, которое будет отправлено на его новый адрес электронной почты. Электронное письмо содержит инструкции по завершению процесса подтверждения электронной почты.

Связанный процесс: отправка подтверждающего сообщения электронной почты контакту

  1. Пользователь отправляет новый, неподтвержденный адрес электронной почты.
  2. Пользователь проверяет электронную почту для сообщения подтверждения.
  3. Обработайте рабочий процесс отправки подтверждающего сообщения электронной почты контакту.
  4. Пользователь выбирает ссылку подтверждения для завершения процесса подтверждения.

Убедитесь, что основной адрес электронной почты указан для контакта. Сообщение электронной почты с подтверждением отправляется только на основной адрес электронной почты (emailaddress1), но не на дополнительный (emailaddress2) или альтернативный адрес электронной почты (emailaddress3) в записи контакта.

Включение двухфакторной проверки подлинности

Двухфакторная проверка подлинности повышает безопасность учетной записи пользователя путем запроса подтверждения владения подтвержденным адресом электронной почты помимо стандартной проверки подлинности локальной или внешней учетной записи. Когда пользователь пытается войти в учетную запись с включенной двухфакторной проверкой подлинности, отправляется код безопасности на подтвержденный адрес электронной почты, связанный с этой учетной записью. Пользователь должен ввести код безопасности для завершения процесса входа. Пользователь может выбрать, чтобы сайт запомнил браузер, который успешно прошел проверку, чтобы код безопасности не требовался для последующего входа пользователя с помощью того же браузера. Каждая учетная запись пользователя включает эту функцию отдельно и требует подтвержденного адреса электронной почты.

Предупреждение

При создании и включении параметра сайта Authentication/Registration/MobilePhoneEnabled с целью включить устаревшую функциональность возникает ошибка. Этот параметр сайта не предоставляется в готовом виде и не поддерживается Power Pages.

Связанные параметры сайта:

  • Authentication/Registration/TwoFactorEnabled
  • Authentication/Registration/RememberBrowserEnabled

Связанный процесс: отправка сообщения электронной почты с кодом двухфакторной проверки подлинности контакту

  1. Посетитель выбирает получение кода безопасности по электронной почте.
  2. Посетитель ожидает сообщения электронной почты, содержащего код безопасности.
  3. Посетитель вводит код безопасности.
  4. Выполните рабочий процесс отправки сообщения электронной почты с кодом двухфакторной проверки подлинности контакту.
  5. Посетитель может отключить двухфакторную проверку подлинности.

Управление внешними учетными записями

Пользователь, прошедший проверку подлинности может подключить или зарегистрировать несколько внешних удостоверений к своей учетной записи, по одному для каждого настроенного поставщика удостоверений. После подключения удостоверений пользователь может выбрать вход с использованием любого из них. Удостоверения можно также отключить, если остается хотя бы одно внешнее или локальное удостоверение.

Связанный параметр сайта: Authentication/Registration/ExternalLoginEnabled

Связанный процесс: подключение удостоверения

  1. Посетитель выбирает поставщика для подключения к учетной записи пользователя.
  2. Посетитель входит в систему, используя подключенного поставщика.

Поставщика можно также отключить.

Включение проверки подлинности ASP.NET identity

В следующей таблице рассматриваются параметры для включения и отключения различных функций и поведения проверки подлинности.

Имя настройки сайта Описание:
Authentication/Registration/LocalLoginEnabled Включает или отключает вход с локальной учетной записью, основанный на имени пользователя или адресе электронной почты и пароле. Значение по умолчанию: True
Authentication/Registration/LocalLoginByEmail Включает или отключает вход по локальной учетной записи с использованием адреса электронной почты вместо имени пользователя. Значение по умолчанию: False
Authentication/Registration/ExternalLoginEnabled Включает или отключает вход и регистрацию внешней учетной записи. Значение по умолчанию: True
Authentication/Registration/RememberMeEnabled Выбирает или сбрасывает флажок Запомнить меня? для локального входа, который позволяет сохранять сеансы проверки подлинности даже при закрытии веб-браузера. Значение по умолчанию: True
Authentication/Registration/TwoFactorEnabled Включает или отключает двухфакторную проверку подлинности. Пользователи с подтвержденным адресом электронной почтой могут выбрать дополнительную безопасность двухфакторной проверки подлинности. Значение по умолчанию: False
Authentication/Registration/RememberBrowserEnabled Выбирает или сбрасывает флажок Запомнить этот браузер? при двухфакторной проверке (код по электронной почте), чтобы сохранить двухфакторную проверку подлинности для текущего браузера. Пользователю не требуется проходить двухфакторную проверку при последующих входах с помощью этого же браузера. Значение по умолчанию: True
Authentication/Registration/ResetPasswordEnabled Включает или отключает функцию сброса пароля. Значение по умолчанию: True
Authentication/Registration/ResetPasswordRequiresConfirmedEmail Включает или отключает сброс пароля только для подтвержденных адресов электронной почты. Если включено, неподтвержденные адреса электронной почты нельзя использовать для отправки инструкций по сбросу пароля. Значение по умолчанию: False
Authentication/Registration/TriggerLockoutOnFailedPassword Включает или отключает запись неудачных попыток ввода пароля. Если отключено, учетные записи пользователей не блокируются. Значение по умолчанию: True
Authentication/Registration/IsDemoMode Включает или отключает использование флага демонстрационного режима только в средах разработки или демонстрации. Не включайте эту настройку в рабочих средах. Для режим демонстрации также является обязательным, чтобы веб-браузер был запущен локально на сервере веб-приложения. При включенном режиме демонстрации код сброса пароля и код двухфакторной проверки подлинности отображаются пользователю для быстрого доступа. Значение по умолчанию: False
Authentication/Registration/LoginButtonAuthenticationType Если сайт требует только одного внешнего поставщика удостоверений для обработки всей проверки подлинности, этот параметр позволяет, чтобы кнопка Войти в панели навигации верхнего колонтитула была связано непосредственно со страницей входа этого поставщика вместо связывания с промежуточной формой локального входа и страницей выбора поставщика удостоверений. Только одного поставщика удостоверений можно выбрать для этого действия. Укажите AuthenticationType поставщика.
- Для конфигурации единого входа, в которой используется OpenId Connect, например Azure AD B2C, пользователь должен предоставить право доступа.
- Для поставщиков, основанных на OAuth 2.0, допускаются следующие значения: Facebook, Google, Yahoo, Microsoft, LinkedIn или Twitter.
- Для поставщиков, основанных на WS-Federation, используйте значение, указанное для параметров сайта Authentication/WsFederation/ADFS/AuthenticationType и Authentication/WsFederation/Azure/\<provider\>/AuthenticationType.

Включение или отключение регистрации пользователей

В следующей таблице рассматриваются настройки для включения и отключения параметров регистрации пользователя.

Имя настройки сайта Описание:
Authentication/Registration/Enabled Включает или отключает все формы регистрации пользователя. Регистрация должна быть включена для других параметров в этом разделе, чтобы она вступила в силу. Значение по умолчанию: True
Authentication/Registration/OpenRegistrationEnabled Включает или отключает форму регистрации. Форма регистрации позволяет любому анонимному посетителю создать учетную запись пользователя. Значение по умолчанию: True
Authentication/Registration/InvitationEnabled Включает или отключает форму активирования кода приглашения для регистрации пользователей, которые обладают кодом приглашения. Значение по умолчанию: True
Authentication/Registration/CaptchaEnabled Включение или отключение кода captcha на странице регистрации пользователей. Значение по умолчанию: False
Эта настройка может быть недоступна по умолчанию. Для включения функции captcha необходимо создать этот параметр сайта и задать для него значение true.

Убедитесь, что основной адрес электронной почты указан для пользователя. Пользователи могут регистрироваться только с основном адресом электронной почты (emailaddress1), но не с дополнительным (emailaddress2) или альтернативным адресом электронной почты (emailaddress3) в записи контакта.

Проверка учетных данных пользователя

В следующей таблице рассматриваются параметры для настройки параметров проверки имени пользователя и пароля. Проверка выполняется, когда пользователи регистрируют новую локальную учетную запись или изменяют пароль.

Имя настройки сайта Описание:
Authentication/UserManager/PasswordValidator/EnforcePasswordPolicy Определяет, должен ли пароль содержать символы из трех категорий ниже:
  • Заглавные буквы европейских языков (с A по Z, с диакритическими знаками и буквы греческого и кириллического алфавита)
  • Строчные буквы европейских языков (с a по z, эсцет, с диакритическими знаками и буквы греческого и кириллического алфавита)
  • Десять цифр (от 0 до 9)
  • Не алфавитно-буквенные символы или специальные символы
Значение по умолчанию: True. Дополнительные сведения о политике паролей.
Authentication/UserManager/UserValidator/AllowOnlyAlphanumericUserNames Определяет, разрешаются ли только буквы и цифры в имени пользователя. Значение по умолчанию: False
Authentication/UserManager/UserValidator/RequireUniqueEmail Определяет, требуется ли для проверки пользователя уникальный адрес электронной почты. Значение по умолчанию: True
Authentication/UserManager/PasswordValidator/RequiredLength Задает минимальную требуемую длину пароля. Значение по умолчанию: 8
Authentication/UserManager/PasswordValidator/RequireNonLetterOrDigit Определяет, требуется ли в пароле специальный символ. Значение по умолчанию: False
Authentication/UserManager/PasswordValidator/RequireDigit Определяет, требуется ли в пароле цифра. Значение по умолчанию: False
Authentication/UserManager/PasswordValidator/RequireLowercase Определяет, требуется ли в пароле буква в нижнем регистре. Значение по умолчанию: False
Authentication/UserManager/PasswordValidator/RequireUppercase Определяет, требуется ли в пароле буква в верхнем регистре. Значение по умолчанию: False

Параметры блокировки учетной записи пользователя

В следующей таблице рассматриваются параметры, определяющие, как и когда учетная запись блокируется в системе проверки подлинности. Если определенное число неудачных попыток ввода пароля обнаружено в течение короткого интервала времени, учетная запись пользователя блокируется на некоторое время. Пользователь может повторить попытку после завершения периода блокировки.

Имя настройки сайта Описание:
Authentication/UserManager/UserLockoutEnabledByDefault Указывает, включена ли блокировка пользователя при создании пользователей. Значение по умолчанию: True
Authentication/UserManager/DefaultAccountLockoutTimeSpan Задает период по умолчанию, на который пользователь блокируется после достижения максимального количества ошибочных попыток. По умолчанию: 24:00:00 (1 сутки)
Authentication/UserManager/MaxFailedAccessAttemptsBeforeLockout Максимальное количество разрешенных попыток ошибок при входе, прежде чем пользователь блокируется, если блокировка разрешена. Значение по умолчанию: 5

В следующей таблице описаны настройки для изменения поведения файлов cookie проверки подлинности по умолчанию, определенных классом CookieAuthenticationOptions.

Имя настройки сайта Описание:
Authentication/ApplicationCookie/AuthenticationType Задает тип файла cookie проверки подлинности приложения. По умолчанию: ApplicationCookie
Authentication/ApplicationCookie/CookieName Указывает имя файла cookie, которое используется для сохранения удостоверения. По умолчанию: .AspNet.Cookies
Authentication/ApplicationCookie/CookieDomain Определяет домен, используемый для создания файла cookie.
Authentication/ApplicationCookie/CookiePath Определяет путь, используемый для создания файла cookie. По умолчанию: /
Authentication/ApplicationCookie/CookieHttpOnly Определяет, должен ли браузер разрешать доступ к файлу cookie для кода JavaScript на стороне клиента. Значение по умолчанию: True
Authentication/ApplicationCookie/CookieSecure Определяет, должен ли файл cookie передаваться только по запросу HTTPS. По умолчанию: SameAsRequest
Authentication/ApplicationCookie/ExpireTimeSpan Определяет, сколько времени файл cookie приложения остается допустимым с момента его создания. По умолчанию: 24:00:00 (1 сутки)
Authentication/ApplicationCookie/SlidingExpiration Дает инструкцию промежуточному программному обеспечению, чтобы повторно создавать новый файл cookie с новым временем окончания срока действия каждый раз, когда оно обрабатывает запрос, для которого истекло более половины окна окончания срока действия. Значение по умолчанию: True
Authentication/ApplicationCookie/LoginPath Уведомляет промежуточное программное обеспечение, что оно должно изменять исходящий код состояния 401 Не авторизовано на 302 перенаправления на указанный путь входа. По умолчанию: /signin
Authentication/ApplicationCookie/LogoutPath Если путь выхода указан промежуточным программным обеспечением, запрос по этому пути перенаправляется на основе параметра ReturnUrlParameter.
Authentication/ApplicationCookie/ReturnUrlParameter Определяет имя параметра строки запроса, который добавляется промежуточным программным обеспечением при изменении кода 401 Не авторизовано на код 302 перенаправления на путь входа.
Authentication/ApplicationCookie/SecurityStampValidator/ValidateInterval Задает период времени между проверками отметки безопасности. По умолчанию: 30 минут
Authentication/TwoFactorCookie/AuthenticationType Задает тип файла cookie двухфакторной проверки подлинности. По умолчанию: TwoFactorCookie
Authentication/TwoFactorCookie/ExpireTimeSpan Определяет, сколько времени двухфакторный файл cookie остается допустимым с момента его создания. Значение не должно превышать шести минут. По умолчанию: 5 минут

Следующие шаги

Перенос поставщиков удостоверений в Azure AD B2C

См. также

Обзор проверки подлинности в Power Pages
Настройка поставщика OAuth 2.0
Настройка поставщика OpenID Connect
Настройка поставщика SAML 2.0
Настройка поставщика WS-Federation