Freigeben über


Lokale Authentifizierung, Registrierung und andere Einstellungen

Wichtig

Wir empfehlen, den Azure AD B2C-Identitätsanbieter für die Authentifizierung auf Ihrer Power Pages Website zu verwenden und den lokalen Identitätsanbieter als veraltet einzustufen.

Power Pages Portale stellen die Authentifizierungsfunktionalität auf Basis der API ASP.NET-Identität bereit. Die ASP.NET-Identität basiert wiederum auf dem OWIN-Framework, das auch eine wichtigen Komponente des Authentifizierungssystems ist. Power Pages stellt die folgenden Services bereit:

  • Lokale Authentifizierung (Benutzername/Passwort)
  • Externe Authentifizierung (soziale Profile) über Drittanbieter
  • Zweistufige Authentifizierung per E-Mail
  • Bestätigen der E-Mail-Adresse
  • Kennwortwiederherstellung
  • Einladungscodeanmeldung zur Registrierung vorausgefüllter Kontaktdatensätze

Anmerkung

Die Spalte Mobile Phone Confirmed im Kontaktdatensatz wird nur beim Upgrade von Adxstudio Portals verwendet.

Anforderungen

Power Pages erfordert:

  • Portal-Basis
  • Microsoft Identity
  • Microsoft Identity Workflows-Lösungspakete

Authentifizieren und registrieren

Zurückkehrende Websitebesucher können sich über lokale Benutzeranmeldeinformationen oder externe Identitätsanbieterkonten authentifizieren. Ein neuer Besucher kann ein neues Benutzerkonto registrieren, indem er einen Benutzernamen und ein Kennwort angibt oder sich über einen externen Anbieter anmeldet. Besucher, die vom Websiteadministrator einen Einladungscode erhalten haben, können den Code bei der Anmeldung für ein neues Benutzerkonto nutzen.

Zugehörige Websiteeinstellungen:

  • Authentication/Registration/Enabled
  • Authentication/Registration/LocalLoginEnabled
  • Authentication/Registration/ExternalLoginEnabled
  • Authentication/Registration/OpenRegistrationEnabled
  • Authentication/Registration/InvitationEnabled
  • Authentication/Registration/RememberMeEnabled
  • Authentication/Registration/ResetPasswordEnabled

Ein Kennwort zurücksetzen

Wiederkehrende Besucher, die bei der Registrierung eine E-Mail-Adresse angegeben haben, können anfordern, dass ein Kennwortzurücksetzung-Token an ihr E-Mail-Konto gesendet wird. Ein Zurücksetzungstoken ermöglicht es dem Besitzer, ein neues Kennwort zu wählen. Das Token kann auch aufgegeben werden, wobei das Originalkennwort des Benutzers unverändert bleibt.

Zugehörige Websiteeinstellungen:

  • Authentication/Registration/ResetPasswordEnabled
  • Authentication/Registration/ResetPasswordRequiresConfirmedEmail

Verwandter Prozess: Kennwortrücksetzung an Kontakt senden

  1. Der Besucher gibt eine E-Mail-Adresse an.
  2. Die E-Mail zum Start des Prozesses senden.
  3. Der Besucher wird zur Überprüfung der E-Mail aufgefordert.
  4. Der Besucher empfängt die Kennwortrücksetzungs-E-Mail mit Anleitungen.
  5. Der Besucher kehrt zum Rücksetzungsformular zurück und wählt ein neues Kennwort.
  6. Das Rücksetzungskennwort ist vollständig.

Eine Einladung einlösen

Das Einlösen eines Einladungscodes ermöglicht die Zuordnung eines registrierenden Besuchers zu einem vorhandenen Kontakt, der im voraus für den Besucher Vorbereitung wurde. In der Regel werden Einladungscodes per E-Mail verschickt. Sie können ein allgemeines Code-Übermittlungsformular verwenden, um Codes über andere Kanäle zu senden. Nachdem der Besucher einen gültigen Einladungscode gesendet hat, findet der normale Prozess der Benutzerregistrierung statt, um das neue Benutzerkonto einzurichten.

Zugehörige Websiteeinstellung: Authentication/Registration/InvitationEnabled

Verwandter Prozess: Einladung senden

Passen Sie die Einladungs-E-Mail so an, dass sie die URL zur Seite zum Einlösen der Einladung auf Ihrer Website enthält.

  1. Erstellen einer Einladung für einen neuen Kontakt.
  2. Anpassen und Speichern der neuen Einladung.
  3. Passen Sie die Einladungs-E-Mail an.
  4. Verarbeiten Sie den Einladung senden-Workflow.
  5. Die Einladungs-E-Mail öffnet die Einlösungsseite.
  6. Der Benutzer übermittelt den Einladungscode, um sich zu registrieren.

Deaktivierte Registrierung

Wenn die Registrierung für einen Benutzer deaktiviert wird, nachdem der Benutzer eine Einladung eingelöst hat, können Sie mithilfe des folgenden Inhaltsausschnitts eine Meldung anzeigen: Account/Register/RegistrationDisabledMessage

Benutzerkonten durch Profilseiten verwalten

Authentifizierte Benutzer verwalten ihre Benutzerkonten über die Navigationsleiste Sicherheit der Profilseite. Benutzer sind nicht auf das einzelne lokale Konto oder das einzelne externe Konto beschränkt, das sie bei der Benutzerregistrierung ausgewählt haben. Benutzer mit einem externen Konto können ein lokales Konto erstellen, indem sie einen Benutzernamen und ein Kennwort verwenden. Benutzer, die mit einem lokalen Konto begonnen haben, können mehrere externe Identitäten zu diesem Konto zuordnen. Auf der Profilseite wird der Benutzer daran erinnert, seine E-Mail-Adresse zu bestätigen, indem eine Bestätigungs-E-Mail an das Konto gesendet wird.

Zugehörige Websiteeinstellungen:

  • Authentication/Registration/LocalLoginEnabled
  • Authentication/Registration/ExternalLoginEnabled
  • Authentication/Registration/TwoFactorEnabled

Ein Kennwort festlegen oder ändern

Ein Benutzer mit einem vorhandenen lokalen Konto kann ein neues Kennwort wählen, indem er das ursprüngliche Kennwort eingibt. Ein Benutzer, der kein lokales Konto hat, kann einen Benutzernamen und ein Passwort wählen, um ein neues lokales Konto einzurichten. Der Benutzername kann nicht mehr geändert werden, nachdem er festgelegt wurde.

Zugehörige Websiteeinstellung: Authentication/Registration/LocalLoginEnabled

Entsprechende Prozesse:

  • Erstellen Sie einen Benutzernamen und ein Kennwort
  • Ein Kennwort ändern

Diese Aufgabenflows funktionieren nur, wenn sie über die App Portal Management für einen Kontakt aufgerufen werden. Diese Flows sind nicht von der Künftigen Veraltung der Aufgabenflows betroffen.

Eine E-Mail-Adresse bestätigen

Das Ändern einer E-Mail-Adresse (bzw. das erstmalige Festlegen) führt dazu, dass sie den Status Nicht bestätigt erhält. Der Benutzer kann eine Bestätigungs-E-Mail anfordern, die an seine neue E-Mail-Adresse gesendet wird. Die E-Mail enthält Anweisungen zum Abschließen des E-Mail-Bestätigungsvorgangs.

Verwandter Prozess: Eine E-Mail-Bestätigung an einen Kontakt senden

  1. Der Benutzer gibt eine neue, unbestätigte E-Mail-Adresse an.
  2. Der Benutzer überprüft die E-Mail für die Bestätigung.
  3. Verarbeiten Sie den E-Mail-Bestätigung an einen Kontakt senden-Workflow.
  4. Der Benutzer wählt den Bestätigungslink aus, um den Bestätigungsprozess abzuschließen.

Stellen Sie sicher, dass die primäre E-Mail-Adresse für den Kontakt definiert ist. Die Bestätigungs-Mail wird nur an die primäre E-Mail-Adresse (emailaddress1) und nicht an die sekundäre E-Mail-Adresse (emailaddress2) oder die alterntive Adresse (emailaddress3) des Kontaktdatensatzes gesendet.

Zweistufige Authentifizierung aktivieren

Die zweistufige Authentifizierung verbessert die Sicherheit von Benutzerkonten, da der Besitz der bestätigten E-Mail-Adresse nachgewiesen werden muss, zusätzlich zur Standardanmeldung über ein lokales oder ein externes Konto. Wenn ein Benutzer versucht, sich bei einem Konto mit aktivierter zweistufigen Authentifizierung anzumelden, wird ein Sicherheitscode zur Bestätigung an die E-Mail-Adresse gesendet, die dem Konto zugeordnet ist. Der Benutzer muss den Sicherheitscode eingeben, um den Anmeldungsprozess abzuschließen. Ein Benutzer kann sich die Websiter merken, der die Überprüfung erfolgreich bestanden hat, so dass der Sicherheitscode bei der nächsten Anmeldung des Benutzers im selben Browser nicht mehr benötigt wird. Diese Funktion wird für jedes Benutzerkonto einzeln aktiviert und erfordert eine bestätigte E-Mail-Adresse.

Warnung

Wenn Sie die Authentication/Registration/MobilePhoneEnabled Websiteeinstellung erstellen und aktivieren, um die Vorgängerfunktion zu aktivieren, tritt ein Fehler auf. Diese Website-Einstellung wird nicht sofort bereitgestellt und von Power Pages nicht unterstützt.

Zugehörige Websiteeinstellungen:

  • Authentication/Registration/TwoFactorEnabled
  • Authentication/Registration/RememberBrowserEnabled

Verwandter Prozess: Zweistufigen E-Mail-Code an Kontakt senden

  1. Der Besucher wählt, den Sicherheitscode per E-Mail zu empfangen.
  2. Der Besucher wartet auf die E-Mail, die den Sicherheitscode enthält.
  3. Der Besucher gibt den Sicherheitscode ein.
  4. Verarbeitet den Workflow Code für zweistufige Authentifizierung per E-Mail senden.
  5. Der Besucher kann die zweistufige Authentifizeriung deaktivieren.

Verwalten von externen Konten

Ein authentifizierter Benutzer kann mehrere externe Identitäten mit seinem Benutzerkonto verbinden oder registieren, eine von jedem des konfigurierten Identitätsanbieters. Nachdem die Identitäten verbunden sind, kann sich der Benutzern mit jeder der verbundenen Identitäten anmelden. Identitäten können auch getrennt werden, solange eine externe oder lokale Identität vorhanden bleibt.

Zugehörige Websiteeinstellung: Authentication/Registration/ExternalLoginEnabled

Verwandter Prozess: Eine Identität verbinden

  1. Der Besucher wählt einen Anbieter aus, um ihn mit seinem Benutzerkonto zu verbinden.
  2. Der Besucher meldet sich über einen angeschlossenen Anbieter an.

Der Anbieter kann auch getrennt werden.

ASP.NET-Identitätsauthentifizierung aktivieren

Die folgende Tabelle beschreibt die Einstellungen zum Aktivieren/Deaktivieren verschiedener Authentifizierungsfunktionen und -verhalten.

Website-Einstellungsname Beschreibung
Authentication/Registration/LocalLoginEnabled Aktiviert oder deaktiviert die Anmeldung über lokale Konto mit Benutzername oder E-Mail-Adresse und Kennwort. Standard: True
Authentication/Registration/LocalLoginByEmail Aktiviert oder deaktiviert die lokale Anmeldung über ein E-Mail-Adressen-Feld anstelle eines Benutzernamenfelds. Standard: Falsch
Authentication/Registration/ExternalLoginEnabled Aktiviert oder deaktiviert die externe Anmeldung und Registrierung. Standard: True
Authentication/Registration/RememberMeEnabled Aktivieren oder deaktivieren einer Angemeldet bleiben-Kontrollkästchen bei der lokalen Anmeldung über das authentifizierte Sitzungen auch nach dem Schließen des Webbrowsers dauerhaft erhalten bleiben. Standard: True
Authentication/Registration/TwoFactorEnabled Aktiviert oder deaktiviert die zweistufige Authentifizierung. Benutzer mit einer bestätigten E-Mail-Adresse können die zweistufige Authentifizierung nutzen, um zusätzliche Sicherheit zu erhalten. Standard: Falsch
Authentication/Registration/RememberBrowserEnabled Aktivieren oder deaktivieren einer Angemeldet bleiben-Kontrollkästchen zur Überprüfung der zweiten Stufe (E-Mail-Code), damit die Überprüfung der zweiten Stufe für den aktuellen Browser beibehalten wird. Der Benutzer muss die Überprüfung der zweiten Stufe nicht für nachfolgende Anmeldungen übergeben, solange derselbe Browser verwendet wird. Standard: True
Authentication/Registration/ResetPasswordEnabled Aktiviert oder deaktiviert die Kennwortrücksetzungsfunktion. Standard: True
Authentication/Registration/ResetPasswordRequiresConfirmedEmail Aktiviert oder deaktiviert die Kennwortrücksetzung nur für bestätigte E-Mail-Adressen. Falls aktiviert, können unbestätigte E-Mail-Adressen nicht zum Versand von Anweisungen zum Zurücksetzen des Passworts verwendet werden. Standard: Falsch
Authentication/Registration/TriggerLockoutOnFailedPassword Aktiviert oder deaktiviert die Aufzeichnung fehlgeschlagener Kennwortversuche. Wenn deaktiviert, werden Benutzerkonten nicht gesperrt. Standard: True
Authentication/Registration/IsDemoMode Aktiviert oder deaktiviert eine Kennzeichnung für die Nutzung einer Entwicklungs- oder einer Demonstrationsumgebung, die nur in Entwicklungs- oder Demoumgebungen verwendet wird. Aktivieren Sie diese Einstellung nicht in Produktionsumgebungen. Der Demomodus erfordert, dass der Webbrowser lokal auf dem Webanwendungsserver ausgeführt wird. Wenn der Demomodus aktiviert ist, werden der Kennwortrücksetzungscode und der Code für die zweistufige Authentifizierung zum schnelleren Zugriff für den Benutzer angezeigt. Standard: Falsch
Authentication/Registration/LoginButtonAuthenticationType Wenn ein Portal nur einen einzigen externen Identitätsanbieter erfordert für die Authentifizierung erforder, dann sorgt diese Option dafür, dass die Anmeldungsschaltfläche in der Kopfnavigationsleiste direkt auf die Anmeldeseite des externen Identitätsanbieters verweist, statt auf ein zwischengeschaltetes Anmeldungsformular und eine Seite zur Auswahl des Identitätsanbieters zu verweisen. Nur ein einzelner Identitätsanbieter kann für diese Aktion ausgewählt werden. Geben Sie den AuthenticationType des Anbieters an.
- Für die Konfiguration einer einmaligen Anmeldung, die OpenID Connect nutzt, beispielsweise Azure AD B2C, müssen Benutzer die Autorität bereitstellen.
- Die akzeptierten Werte für OAuth 2.0-basierte Anbieter sind Facebook, Google, Yahoo, Microsoft, LinkedIn oder Twitter.
- Für WS-Verbund basierte Anbieter verwenden Sie den Wert, der für die Websiteeinstellungen Authentication/WsFederation/ADFS/AuthenticationType und Authentication/WsFederation/Azure/\<provider\>/AuthenticationType angegeben ist.

Aktivieren oder Deaktivieren der Benutzerregistrierung

Die folgende Tabelle beschreibt die Einstellungen zur Aktivierung und Deaktivierung der Benutzerregistrierungs-(Anmelde)-Optionen.

Website-Einstellungsname Beschreibung
Authentication/Registration/Enabled Aktiviert oder deaktiviert alle Formulare für die Benutzerregistrierung. Die Registrierung für die anderen Einstellungen aktiviert sein, damit dieser Abschnitt aktiv wird. Standard: True
Authentication/Registration/OpenRegistrationEnabled Aktiviert oder deaktiviert das Formular für die Benutzerregistrierung. Das Registrierungsformular ermöglicht jedem Besucher die Erstellung eines neuen Benutzerkontos. Standard: True
Authentication/Registration/InvitationEnabled Aktiviert oder deaktiviert das Einladungscode-Einlösungsformular für die Registrierung von Benutzern, die über einen Einladungscode verfügen. Standard: True
Authentication/Registration/CaptchaEnabled Aktiviert oder deaktiviert Captcha auf der Benutzerregistrierungsseite. Standard: Falsch
Diese Standortseinstellung ist möglicherweise standardmäßig nicht verfügbar. Um dieses Feature zu aktivieren, müssen Sie die Standorteinstellung erstellen und den Wert auf true festlegen.

Stellen Sie sicher, dass die primäre E-Mail-Adresse für den Benutzer definiert ist. Benutzer können sich nur mit einer primären E-Mail-Adresse (emailaddress1) registrieren und nicht mit der sekundären E-Mail-Adresse (emailaddress2) oder der alternativen E-Mail-Adresse (emailaddress3) des Kontaktdatensatzes.

Benutzeranmeldeinformationsüberprüfung

Die folgende Tabelle beschreibt die Einstellungen zur Anpassung von Benutzernamen- und Kennwortüberprüfungsparametern. Die Prüfung erfolgt, wenn Benutzer ein neues lokales Konto registrieren oder ein Kennwort ändern.

Website-Einstellungsname Beschreibung
Authentication/UserManager/PasswordValidator/EnforcePasswordPolicy Bestimmt, ob das Kennwort Zeichen aus drei der folgenden Kategorien enthalten muss:
  • Großbuchstaben der Europäischen Sprachen (A bis Z mit diakritischen sowie griechischen und kyrillischen Zeichen)
  • Kleinbuchstaben der Europäischen Sprachen (a bis z, scharfes s mit diakritischen und griechischen und kyrillischen Zeichen)
  • Base 10-Ziffern (0 bis 9)
  • Nicht alphanumerische Zeichen oder Sonderzeichen
Standard: True. Mehr über die Kennwortrichtlinie erfahren.
Authentication/UserManager/UserValidator/AllowOnlyAlphanumericUserNames Bestimmt, ob nur alphanumerische Zeichen für den Benutzernamen zugelassen sind. Standard: Falsch
Authentication/UserManager/UserValidator/RequireUniqueEmail Bestimmt, ob eine eindeutige E-Mail-Adresse zum Überprüfen des Benutzers erforderlich ist. Standard: True
Authentication/UserManager/PasswordValidator/RequiredLength Legt die minimale Kennwortlänge fest. Standard: 8
Authentication/UserManager/PasswordValidator/RequireNonLetterOrDigit Bestimmt, ob das Kennwort Sonerzeichen erfordert. Standard: Falsch
Authentication/UserManager/PasswordValidator/RequireDigit Bestimmt, ob das Kennwort Zahlen erfordert. Standard: Falsch
Authentication/UserManager/PasswordValidator/RequireLowercase Bestimmt, ob das Kennwort einen Kleinbuchstaben erfordert. Standard: Falsch
Authentication/UserManager/PasswordValidator/RequireUppercase Bestimmt, ob das Kennwort Großschreibung erfordert. Standard: Falsch

Einstellung für die Sperrung von Benutzerkonten

Die folgendes Tabelle beschreibt die Einstellungen, mit denen definiert wird, wann und wie ein Konto für die Authentifizierung gesperrt wird. Falls eine bestimmte Anzahl fehlgeschlagener Anmeldeversuche in einem kurzen Zeitraum erkannt wird, wird das Benutzerkonto für einen bestimmten Zeitraum gesperrt. Nach diesem Zeitraum kann der Benutzer erneut eine Anmeldung ausführen.

Website-Einstellungsname Beschreibung
Authentication/UserManager/UserLockoutEnabledByDefault Gibt an, ob die Sperrung von Benutzer beim Erstellen von Benutzern aktiv ist. Standard: True
Authentication/UserManager/DefaultAccountLockoutTimeSpan Legt den Standardzeitraum fest, für den ein Benutzer nach Erreichen der maximalen Anzahl fehlgeschlagener Versuche gesperrt wird. Standard: 24:00:00 (1 Tag)
Authentication/UserManager/MaxFailedAccessAttemptsBeforeLockout Die maximale Anzahl der fehlgeschlagenen Anmeldeversuchen, bevor ein Benutzer gesperrt wird, sofern die Sperre aktiviert ist. Standard: 5

In der folgenden Tabelle werden Einstellungen zum Ändern des Standardverhaltens von Authentifizierungscookies beschrieben, die von der CookieAuthenticationOptions-Klasse definiert werden.

Website-Einstellungsname Beschreibung
Authentication/ApplicationCookie/AuthenticationType Legt den Typ des Anwendungsauthentifizierungscookie fest. Standard: ApplicationCookie
Authentication/ApplicationCookie/CookieName Bestimmt den Cookiename, der zur Beibehaltung der Identität verwendet wird. Standard: .AspNet.Cookies
Authentication/ApplicationCookie/CookieDomain Bestimmt die Domäne, die verwendet wird, um das Cookie zu erstellen.
Authentication/ApplicationCookie/CookiePath Bestimmt den Pfad, der verwendet wird, um das Cookie zu erstellen. Standardwert:/
Authentication/ApplicationCookie/CookieHttpOnly Bestimmt, ob der Browser zulassen soll, dass auf das Cookie durch clientseitiges JavaScript zugegriffen wird. Standard: True
Authentication/ApplicationCookie/CookieSecure Bestimmt, ob das Cookie nur durch eine HTTPS-Anforderung übermittelt werden soll. Standard: SameAsRequest
Authentication/ApplicationCookie/ExpireTimeSpan Steuert, für wie lange das Anwendungscookie ab dem Erstellungszeitpunkt gültig bleibt. Standard: 24:00:00 (1 Tag)
Authentication/ApplicationCookie/SlidingExpiration Weist die Middleware an, jedes Mal ein neues Cookie mit einem neuen Ablaufdatum auszustellen, wenn sie eine Anforderung verarbeitet, die das Ablauffenster um mehr als die Hälfte durchlaufen hat. Standard: True
Authentication/ApplicationCookie/LoginPath Informiert die Middleware, dass sie einen ausgehenden Statuscode „401 Nicht autorisiert“ in eine 302-Umleitung zu dem angegebenen Anmeldepfad ändern soll. Standard: /signin
Authentication/ApplicationCookie/LogoutPath Wenn der Abmeldepfad durch die Middleware angegeben wird, dann wird eine Anforderung an diesen Pfad basierend auf dem ReturnUrlParameter umgeleitet.
Authentication/ApplicationCookie/ReturnUrlParameter Bestimmt den Namen des Abfragezeichenfolgenparameters, der durch die Middleware angefügt wird, wenn ein Statuscode „401 Nicht autorisiert“ in einen 302-Umleitungscode zum Anmeldepfad geändert wird.
Authentication/ApplicationCookie/SecurityStampValidator/ValidateInterval Legt den Zeitraum zwischen Sicherheitsstempelüberprüfungen fest. Standard: 30 Minuten
Authentication/TwoFactorCookie/AuthenticationType Legt den Typ des zweistufigen Authentifizierungscookies fest, Standard: TwoFactorCookie
Authentication/TwoFactorCookie/ExpireTimeSpan Steuert, für wie lange ein zweistufiges Cookie ab dem Erstellungszeitpunkt gültig bleibt. Der Wert sollte sechs Minuten nicht überschreiten. Standard: 5 Minuten

Nächste Schritte,

Identitätsanbieter nach Azure AD B2C migrieren

Siehe auch

Übersicht über die Authentifizierung in Power Pages
Einen OAuth 2.0-Anbieter einrichten
OpenID Connect-Anbieter einrichten
Einen SAML 2.0-Anbieter einrichten
WS-Verbund-Anbieter einrichten