Comparteix a través de

Autenticació local, registre i altres opcions de configuració

Important

Us recomanem que utilitzeu el proveïdor d'identitat B2C Azure AD per a l'autenticació al lloc de Power Pages i abandoneu el proveïdor d'identitat local.

Power Pages proporciona una funcionalitat d'autenticació creada a l'API d'ASP.NET Identity. L'ASP.NET Identity, a la vegada, es basa en el marc de l'OWIN, que és també un component important del sistema d'autenticació. Power Pages proporciona els serveis següents:

  • Autenticació local (nom d'usuari i contrasenya)
  • Autenticació externa (proveïdor social) a través de proveïdors d'identitat de tercers
  • Autenticació de dos factor amb correu electrònic
  • Confirmació de l'adreça electrònica
  • Recuperació de la contrasenya
  • Inici de sessió de codi d'invitació per registrar registres de contacte emplenats prèviament

Nota

La columna Mobile Phone Confirmed del registre de contacte no s'utilitza excepte quan s'actualitza des de Adxstudio Portals.

Requisits

Power Pages requereix :

  • Base de portals
  • Microsoft Identity
  • Paquets de solució de fluxos de treball de Microsoft Identity

Autenticar i registrar

Els visitants del lloc que tornen a accedir-hi poden autenticar mitjançant les credencials d'usuari locals o els comptes de proveïdor d'identitats externes. Un nou visitant es pot registrar per a un compte d'usuari si proporciona un nom d'usuari i contrasenya o si inicia sessió a través d'un proveïdor extern. Els visitants als quals s'envia un codi d'invitació (per part de l'administrador del lloc), tenen l'opció de bescanviar el codi en registrar-se per a un compte d'usuari nou.

Configuració de lloc relacionada:

  • Authentication/Registration/Enabled
  • Authentication/Registration/LocalLoginEnabled
  • Authentication/Registration/ExternalLoginEnabled
  • Authentication/Registration/OpenRegistrationEnabled
  • Authentication/Registration/InvitationEnabled
  • Authentication/Registration/RememberMeEnabled
  • Authentication/Registration/ResetPasswordEnabled

Restablir una contrasenya

Els visitants que tornen i que han proporcionat una adreça electrònica quan es van registrar poden sol·licitar que s'enviï un testimoni de restablir la contrasenya al seu compte de correu electrònic. Un testimoni de restabliment permet que el propietari esculli una contrasenya nova. El testimoni també es pot abandonar si no es modifica la contrasenya original de l'usuari.

Configuració de lloc relacionada:

  • Authentication/Registration/ResetPasswordEnabled
  • Authentication/Registration/ResetPasswordRequiresConfirmedEmail

Procés relacionat: enviar la restauració d'una contrasenya a un contacte

  1. El visitant proporciona una adreça electrònica.
  2. Envieu l'adreça electrònica per iniciar el procés.
  3. Es demana als visitants que comprovin el correu electrònic.
  4. Els visitants reben el correu electrònic de restabliment de contrasenya amb instruccions.
  5. El visitant torna al formulari de restabliment i selecciona una contrasenya nova.
  6. Es completa el restabliment de contrasenya.

Bescanvia una invitació

Bescanviar un codi d'invitació permet que un visitant que s'està registrant s'associï amb un registre de contacte existent que estava preparat amb antelació específicament per a aquest visitant. Normalment, els codis d'invitació s'envien per correu electrònic. Podeu utilitzar el formulari d'enviament de codi general per enviar codis per altres canals. Després que el visitant envia un codi d'invitació vàlid, el procés de registre d'usuari normal configura el compte d'usuari nou.

Configuració de lloc relacionada: Authentication/Registration/InvitationEnabled

Procés relacionat: enviar una invitació

Personalitzeu el correu electrònic d'invitació per incloure l'adreça URL de la pàgina de bescanviar la invitació al lloc.

  1. Creeu una invitació per a un contacte nou.
  2. Personalitzeu i deseu la invitació.
  3. Personalitzeu el correu electrònic d'invitació.
  4. Processeu el flux de treball Envia la invitació.
  5. El correu electrònic d'invitació obre la pàgina de bescanvi.
  6. L'usuari envia el codi d'invitació per registrar-se.

Registre inhabilitat

Si el registre està inhabilitat per a un usuari després que l'usuari hagi bescanviat una invitació, utilitzeu el fragment de contingut següent per mostrar un missatge: Account/Register/RegistrationDisabledMessage

Gestioneu els comptes d'usuari a través de les pàgines de perfil

Els usuaris autenticats gestionen els seus comptes d'usuari a través de l'opció Seguretat de la pàgina de perfil. Els usuaris no es limiten al compte local únic o al compte extern únic que es va seleccionar quan es va registrar l'usuari. Els usuaris que disposen d'un compte extern poden crear un compte local si indiquen un nom d'usuari i contrasenya. Els usuaris que van començar amb un compte local podran associar diverses identitats externes al seu compte. La pàgina de perfil és també on es recorda a l'usuari de confirmar la seva adreça electrònica demanant que se li enviï un correu electrònic de confirmació al seu compte de correu electrònic.

Configuració de lloc relacionada:

  • Authentication/Registration/LocalLoginEnabled
  • Authentication/Registration/ExternalLoginEnabled
  • Authentication/Registration/TwoFactorEnabled

Establir o canviar una contrasenya

Un usuari que disposi d'un compte local pot seleccionar una nova contrasenya si proporciona la contrasenya original. Un usuari que no disposi de cap compte local pot triar un nom d'usuari i una contrasenya per configurar un nou compte local. Un cop s'hagi definit el nom d'usuari, no es podrà canviar.

Configuració de lloc relacionada: Authentication/Registration/LocalLoginEnabled

Processos relacionats:

  • Creeu un nom d'usuari i contrasenya
  • Canviar una contrasenya

Aquests fluxos de la tasca només funcionen quan s'invoquen mitjançant l'aplicació Administració del portal. No es veuen afectats per la propera obsolescència dels fluxos de la tasca.

Confirmació d'una adreça electrònica

Canviar una adreça electrònica o configurar-la per primera vegada el posa en un estat sense confirmar. L'usuari pot sol·licitar que s'enviï un correu electrònic de confirmació a la seva adreça electrònica nova. El correu electrònic inclou instruccions per completar el procés de confirmació del correu electrònic.

Procés relacionat: enviar un correu electrònic de confirmació a un contacte

  1. L'usuari envia una adreça electrònica nova i no confirmada.
  2. L'usuari comprova el correu electrònic de confirmació.
  3. Processeu el flux de treball Envia un correu electrònic de confirmació a un contacte.
  4. L'usuari selecciona l'enllaç de confirmació per completar el procés.

Assegureu-vos que s'ha especificat l'adreça electrònica principal per al contacte. El correu electrònic de confirmació només s'envia a l'adreça electrònica principal (emailaddress1), no a la secundària (emailaddress2) ni a l'alternativa (emailaddress3) del registre del contacte.

Habilitació de l'autenticació de dos factors

La funció d'autenticació de dos factor augmenta la seguretat de compte d'usuari mitjançant la sol·licitud d'una prova de propietat d'una adreça electrònica confirmada, a banda de l'autenticació estàndard del compte local o extern. S'enviarà un codi de seguretat a l'adreça electrònica associada al compte d'un usuari que intentant iniciar sessió en un compte amb autenticació de dos factor habilitada. Cal introduir el codi de seguretat per completar el procés d'inici de sessió. Un usuari pot recordar el navegador que aprovi correctament la verificació de tal manera que el codi de seguretat no sigui necessari la pròxima vegada que l'usuari iniciï la sessió des del mateix navegador. Cada compte d'usuari habilita aquesta característica de forma individual i requereix una adreça electrònics confirmada.

Advertiment

Si creeu i habiliteu la configuració del Authentication/Registration/MobilePhoneEnabled lloc per habilitar la funcionalitat heretada, es produeix un error. Aquest paràmetre del lloc no es proporciona de fàbrica i no està admès per Power Pages.

Configuració de lloc relacionada:

  • Authentication/Registration/TwoFactorEnabled
  • Authentication/Registration/RememberBrowserEnabled

Procés relacionat: envia el codi de dos factors per correu electrònic a un contacte

  1. l visitant tria rebre el codi de seguretat per correu electrònic.
  2. El visitant espera el correu electrònic que conté el codi de seguretat.
  3. El visitant introdueix el codi de seguretat.
  4. Processa el flux de treball Envia el codi de dos factors per correu electrònic al contacte.
  5. El visitant pot desactivar l'autenticació de dos factors.

Administració de comptes externs

Un usuari autenticat pot connectar o registrar diverses identitats externes al seu compte d'usuari una de cada un dels proveïdors d'identitat configurats. Una vegada s'ha connectat les altres identitats, l'usuari podrà iniciar sessió amb qualsevol. Les identitats també es poden desconnectar mentre es mantingui una única identitat externa o local.

Configuració de lloc relacionada: Authentication/Registration/ExternalLoginEnabled

Procés relacionat: connectar una identitat

  1. El visitant selecciona un proveïdor per connectar-se al compte d'usuari.
  2. El visitant inicia la sessió amb un proveïdor connectat.

El proveïdor també es pot desconnectar.

Habilitació de l'autenticació de l'ASP.NET Identity

La taula següent descriu la configuració per habilitar i inhabilitar diferents característiques i comportaments d'autenticació.

Nom de la configuració del lloc Descripció
Authentication/Registration/LocalLoginEnabled Habilita o inhabilita l'inici de sessió del compte local en funció d'un nom d'usuari o adreça electrònica i contrasenya. Valor per defecte: cert
Authentication/Registration/LocalLoginByEmail Habilita o inhabilita l'inici de sessió del compte local mitjançant una adreça electrònica d'un nom d'usuari. Per defecte: false
Authentication/Registration/ExternalLoginEnabled Habilita o inhabilita l'inici de sessió i el registre del compte extern. Valor per defecte: cert
Authentication/Registration/RememberMeEnabled Selecciona o esborra la selecció de la casella Em recordeu? a l'inici de sessió local per permetre que les sessions autenticades continuïn encara que es tanqui el navegador. Valor per defecte: cert
Authentication/Registration/TwoFactorEnabled Habilita o inhabilita l'autenticació de dos factors. Els usuaris amb una adreça electrònica confirmada poden triar la seguretat afegida d'autenticació de dos factors. Per defecte: false
Authentication/Registration/RememberBrowserEnabled Selecciona o esborra la selecció de la casella Recordeu el navegador? de la validació del segon factor (codi de correu electrònic) per continuar la validació del segon factor del navegador actual. No serà necessari que l'usuari aprovi la validació de segon factor per als inicis de sessió posteriors mentre s'utilitzi el mateix navegador. Valor per defecte: cert
Authentication/Registration/ResetPasswordEnabled Habilita o inhabilita la característica de restabliment de contrasenya. Valor per defecte: cert
Authentication/Registration/ResetPasswordRequiresConfirmedEmail Només habilita o inhabilita el restabliment de contrasenya de les adreces electròniques confirmades. Si s'habilita, les adreces electròniques sense confirmar no podran utilitzar-se per enviar les instruccions de restabliment de contrasenya. Per defecte: false
Authentication/Registration/TriggerLockoutOnFailedPassword Habilita o inhabilita l'enregistrament d'intents fallits de contrasenya. Si s'ha inhabilitat, els comptes d'usuari no es bloquejaran. Valor per defecte: cert
Authentication/Registration/IsDemoMode Només habilita o inhabilita una bandera el mode de demostració per a entorns de desenvolupament o demostració. No habiliteu aquesta opció en entorns de producció. El mode de demostració també requereix que el navegador web s'executi localment al servidor d'aplicació web. Quan s'habiliti el mode de demostració, el codi de restabliment de contrasenya i el codi de segon factor es mostraran a l'usuari per a l'accés ràpid. Per defecte: false
Authentication/Registration/LoginButtonAuthenticationType Si un lloc només requereix un únic proveïdor d'identitats extern per gestionar totes les autenticacions, permetrà que el botó Inici de sessió s'enllaci directament a la pàgina d'inici de sessió d'aquest proveïdor en lloc d'enllaçar-se al formulari intermedi d'inici de sessió local i a la pàgina de selecció del proveïdor d'identitats. Només un únic proveïdor d'identitats pot seleccionar-se per a aquesta acció. Especifiqueu el valor del proveïdor de l'AuthenticationType.
- Per a una configuració d'inici de sessió únic amb OpenID Connect, com ara l'Azure AD B2C, l'usuari ha de proporcionar l'autoritat.
- Per als OAuth proveïdors basats en 2.0, els valors acceptats són Facebook, Google, Yahoo, Microsoft,, LinkedIn o Twitter.
- Per a proveïdors basats en WS-Federation, utilitzeu el valor especificat per a la configuració de lloc Authentication/WsFederation/ADFS/AuthenticationType i Authentication/WsFederation/Azure/\<provider\>/AuthenticationType.

Habilitar o inhabilitar el registre d'usuari

A continuació es descriu la configuració per habilitar i inhabilitar les opcions de registre (subscripció) d'usuari.

Nom de la configuració del lloc Descripció
Authentication/Registration/Enabled Habilita o inhabilita totes les formes de registre d'usuari. Cal habilitar el registre perquè s'apliquin la resta de configuracions d'aquesta secció. Valor per defecte: cert
Authentication/Registration/OpenRegistrationEnabled Habilita o inhabilita el formulari de registre. El formulari de subscripció permet a qualsevol visitant anònim crear un nou compte. Valor per defecte: cert
Authentication/Registration/InvitationEnabled Habilita o inhabilita el formulari de bescanvi de codi d'invitació per registrar els usuaris que tinguin codis d'invitació. Valor per defecte: cert
Authentication/Registration/CaptchaEnabled Habilita o inhabilita el captcha a la pàgina de registre de l'usuari. Per defecte: false
És possible que aquest paràmetre no estigui disponible per defecte. Per habilitar el captcha, heu de crear una configuració de lloc i establir el valor a true.

Assegureu-vos que s'ha especificat l'adreça electrònica principal per a l'usuari. Els usuaris només es poden registrar amb l'adreça electrònica principal (emailaddress1), no secundària (emailaddress2) ni alternativa (emailaddress3) del registre del contacte.

Validació de credencials d'usuari

A continuació es descriu la configuració per ajustar els paràmetres de validació d'usuari i contrasenya. La validació es produeix quan els usuaris es registren a un nou compte local o canvien una contrasenya.

Nom de la configuració del lloc Descripció
Authentication/UserManager/PasswordValidator/EnforcePasswordPolicy Determina si la contrasenya ha de contenir caràcters de tres de les categories següents:
  • Lletres en majúscules d'idiomes europeus (de la A a la Z, amb marques diacrítiques, caràcters grecs i ciríl·lics)
  • Lletres en minúscules d'idiomes europeus (de la A a la Z, la s llarga, amb marques diacrítiques, caràcters grecs i ciríl·lics)
  • Dígits en base 10 (del 0 al 9)
  • Caràcters no alfanumèrics o caràcters especials
Valor per defecte: cert. Obteniu més informació sobre la política de contrasenyes.
Authentication/UserManager/UserValidator/AllowOnlyAlphanumericUserNames Determina si només voleu que s'utilitzin caràcters alfanumèrics per al nom d'usuari. Per defecte: false
Authentication/UserManager/UserValidator/RequireUniqueEmail Determina si cal una única adreça electrònics per validar l'usuari. Valor per defecte: cert
Authentication/UserManager/PasswordValidator/RequiredLength Configura la llargada mínima de la contrasenya requerida. Per defecte: 8.
Authentication/UserManager/PasswordValidator/RequireNonLetterOrDigit Determina si la contrasenya requereix un caràcter especial. Per defecte: false
Authentication/UserManager/PasswordValidator/RequireDigit Determina si la contrasenya requereix un número. Per defecte: false
Authentication/UserManager/PasswordValidator/RequireLowercase Determina si la contrasenya requereix una lletra minúscula. Per defecte: false
Authentication/UserManager/PasswordValidator/RequireUppercase Determina si la contrasenya requereix una lletra majúscula. Per defecte: false

Configuració de bloqueig de compte d'usuari

A continuació es descriu la configuració que defineix com i quan es bloqueja un compte per a l'autenticació. Quan es detecten un cert nombre d'intents fallits de contrasenya en un període curt de temps, el compte d'usuari es bloqueja durant un temps. L'usuari podrà tornar a intentar després que transcorri el període de bloqueig.

Nom de la configuració del lloc Descripció
Authentication/UserManager/UserLockoutEnabledByDefault Indica si el bloqueig d'usuari s'habilita quan es creen els usuaris. Valor per defecte: cert
Authentication/UserManager/DefaultAccountLockoutTimeSpan Estableix el temps per defecte durant el qual es bloqueja un usuari després d'arribar al nombre màxim d'intents fallits. Valor per defecte: 24:00:00`(1 dia)
Authentication/UserManager/MaxFailedAccessAttemptsBeforeLockout El nombre màxim d'intents de registre fallits abans que es bloquegi un usuari (si s'ha habilitat el bloqueig). Per defecte: 5.

A continuació es descriu la configuració per modificar el comportament per defecte de les galetes d'autenticació, definit per la classe CookieAutenticationOptions.

Nom de la configuració del lloc Descripció
Authentication/ApplicationCookie/AuthenticationType Estableix el tipus de galetes d'autenticació de l'aplicació. Per defecte: ApplicationCookie
Authentication/ApplicationCookie/CookieName Determina el nom de la galeta utilitzat per persistir la identitat. Per defecte: .AspNet.Cookies
Authentication/ApplicationCookie/CookieDomain Determina el domini utilitzat per crear la galeta.
Authentication/ApplicationCookie/CookiePath Determina el camí utilitzat per crear la galeta. Per defecte: /
Authentication/ApplicationCookie/CookieHttpOnly Determina si el navegador ha de permetre l'accés a les galetes mitjançant el JavaScript del costat del client. Valor per defecte: cert
Authentication/ApplicationCookie/CookieSecure Determina si la galeta només s'ha de transmetre a una sol·licitud de HTTPS. Per defecte: SameAsRequest
Authentication/ApplicationCookie/ExpireTimeSpan Controla el temps que la galeta de l'aplicació romandrà vàlida des que es crea. Valor per defecte: 24:00:00 (1 dia)
Authentication/ApplicationCookie/SlidingExpiration Indica al programari intermedi que torni a emetre una nova galeta amb una nova hora de caducitat cada vegada que processi una sol·licitud que sigui més de la meitat de la finestra de caducitat. Valor per defecte: cert
Authentication/ApplicationCookie/LoginPath Informa al programari intermedi que s'ha de canviar un codi d'estat 401 no autoritzat sortint en una redirecció 302 al camí d'inici de sessió determinat. Per defecte: /signin.
Authentication/ApplicationCookie/LogoutPath Si el camí de tancament de sessió es proporciona al programari intermedi, es redirigirà una sol·licitud a aquesta ruta segons la funció ReturnUrlParameter.
Authentication/ApplicationCookie/ReturnUrlParameter Determina el nom del paràmetre de cadena de consulta que afegeix el programari intermedi quan un codi d'estat 401 no autoritzat es canvia a una redirecció 302 al camí d'inici de sessió.
Authentication/ApplicationCookie/SecurityStampValidator/ValidateInterval Estableix el període de temps entre la validació del segell de seguretat. Per defecte: 30 minuts
Authentication/TwoFactorCookie/AuthenticationType Estableix el tipus de galetes d'autenticació de dos factors. Per defecte: TwoFactorCookie
Authentication/TwoFactorCookie/ExpireTimeSpan Controla el temps que la galeta de dos factors romandrà vàlida des que es crea. el valor no pot superar els sis minuts. Per defecte: 5 minuts

Configuració de limitació d'inici de sessió

Aquesta configuració ajuda a regular les sol·licituds dels usuaris al lloc web limitant el nombre d'intents d'inici de sessió fallits en un període de temps configurable. Un cop assolit el límit especificat, el sistema imposa un període d'espera abans que l'usuari pugui intentar iniciar sessió de nou.

Hi ha disponibles els següents paràmetres relacionats amb el lloc:

  • Authentication/LoginThrottling/IpAddressTimeoutTimeSpan
  • Authentication/LoginThrottling/MaxAttemptsTimeLimitTimeSpan
  • Authentication/LoginThrottling/MaxInvaildAttemptsFromIPAddress

Passos següents

Migrar proveïdors d'identitat a Azure AD B2C

Consulteu també

Visió general de l'autenticació a Power Pages
Configurar un OAuth proveïdor 2.0
Configurar un proveïdor OpenID Connect
Configurar un proveïdor SAML 2.0
Configurar un proveïdor WS-Federation