将标识提供程序迁移到 Azure AD B2C

备注

从 2022 年 10 月 12 日起,Power Apps 门户更名为 Power Pages。 详细信息请参阅:Microsoft Power Pages 现已正式发布(博客)
不久后我们将迁移 Power Apps 门户文档并将其与 Power Pages 文档合并在一起。

门户功能支持让您可以支持多个身份验证系统的可配置安全系统。 除了使用标准协议(如 OIDC、SAML 和 WS 联合身份验证)联合外部标识提供者外,门户还附带自己的本地凭据。 今后,我们建议您只使用 Azure AD B2C 标识提供者进行身份验证,弃用其他标识提供者。

重要

  • 我们建议您使用此路径从本地身份验证迁移,弃用您的门户的本地身份验证。
  • 配置本地身份验证需要您使用门户管理应用手动配置所需的站点设置。

将标识提供者标记为弃用

您可以将门户配置为将其他标识提供者标记为已弃用,并允许用户迁移到 Azure AD B2C 标识提供者。

以下站点设置用于控制标识提供者的弃用。

客户 描述
Authentication/Registration/LocalLoginDeprecated true 或 false 值。 如果设置为 true,本地帐户将被标记为已弃用,门户用户需要迁移到一个未弃用的帐户。 默认情况下,该值设置为 false。
Authentication/[protocol]/[provider]/Deprecated true 或 false 值。 如果设置为 true,特定帐户将被标记为已弃用,门户用户需要迁移到一个未弃用的帐户。 默认情况下,该值设置为 false。

当门户用户尝试登录时,并且您至少将一个标识提供者标记为已弃用,则弃用的帐户将在页面上显示。 在下图中,Microsoft 帐户被标记为已弃用。

弃用帐户示例。

您可以使用以下内容片段更改在旧身份验证提供者的屏幕上显示的文本:

客户 Type
Account/Signin/SignInExternalDeprecatedFormHeading 文本 使用旧帐户登录

备注

在用户注册或兑现门户的邀请时,弃用的标识提供者不会显示。

将弃用的身份提供程序迁移到新的身份提供程序

如果门户用户使用弃用的标识提供者登录,帐户迁移屏幕将显示一条消息提示使用未弃用的标识提供者登录。 当用户使用未弃用的标识提供者登录时,用户帐户将与新提供者关联。

帐户迁移示例。

您可以使用以下内容片段更改屏幕上显示的用于帐户迁移的消息:

客户 Type
Account/Conversion/PageTitle 文本 帐户迁移
Account/Conversion/PageCopy HTML 您使用了不再受支持的帐户登录。 若要继续使用此门户,您必须迁移到其他帐户。 请选择此按钮使用新的或现有的受支持帐户登录。
Account/Conversion/SignInExternalFormHeading 文本 使用受支持的帐户登录。

门户允许多个身份与单个联系人记录关联。 当弃用多个提供程序时,门户用户必须多次同意条款和条件。 每当用户通过弃用的标识提供者登录时,系统都会为每个弃用的提供者启动帐户迁移过程,联系人记录将在帐户迁移后与未弃用的提供者关联。

例如,门户支持 Microsoft、Google 和 Facebook 作为用于身份验证的标识提供者。 如果您将 Google 和 Facebook 标记为弃用的提供者,而门户用户只使用 Google 和 Facebook 作为身份验证的标识提供者,那么用户在尝试使用这两个提供者中的一个登录时将收到帐户迁移消息。 当用户使用 Microsoft 帐户登录时,Microsoft 帐户将添加到用户的联系人记录中。 用户现在只将 Microsoft 作为受支持的身份验证标识提供者。

当门户用户选择新的标识提供者,且该身份已与其他联系人记录关联时,将显示一条错误消息。 您可以使用以下内容片段配置错误消息:

客户 Type
Account/Signin/AccountConversionIdentityUsedErrorHeading 文本 帐户转换错误
Account/Signin/AccountConversionIdentityUsedErrorText HTML 此帐户已存在。 请关闭浏览器,重新启动该流程,并在帐户迁移页面选择其他帐户。

禁用本地登录

您可以使用 Authentication/Registration/LocalLoginDeprecated 站点设置将门户配置为禁用本地登录。 如果有人尝试使用本地凭据登录,帐户迁移屏幕将出现并显示使用未弃用的标识提供者登录的说明。 在帐户迁移后,用户的本地凭据将被禁用。

备注

如果您将本地登录标记为已弃用,那么用户将无法注册新帐户。

以下字段被添加到门户联系人记录以指示是否禁用用户的本地登录:

  • 已禁用本地登录指示联系人无法再使用本地帐户登录到该门户。 默认情况下,此项设置为。 如果用户帐户被迁移到未弃用的标识提供者且本地登录已禁用,此字段将设置为

已禁用本地登录。

另请参阅

配置门户的 Azure AD B2C 提供者

备注

您能告诉我们您的文档语言首选项吗? 进行简短调查。(请注意,此调查是英文版调查)

此调查大约需要七分钟。 不会收集个人数据(隐私声明)。