Kohalik autentimine, registreerimine ja muud sätted
Märkus
Alates 12. oktoobrist 2022 on Power Appsi portaalid Power Pages. Lisateave: Microsoft Power Pages on nüüd üldiselt saadaval (ajaveebipostitus)
Peagi migreerime ja ühendame Power Appsi portaalide dokumentatsiooni Power Pagesi dokumentatsiooniga.
Oluline
- Soovitame autentimiseks kasutada ainult Azure Active Directory B2C (Azure AD B2D) identiteedipakkujat ja märkida oma portaali kohalik identiteedipakkuja aegunuks. Lisateavet: Identiteedipakkujate migreerimine keskkonda Azure AD B2C
- Kohaliku autentimise konfigureerimiseks on vaja, et kasutaksite portaali haldamise rakendust, et konfigureerida nõutavate saitide sätted käsitsi.
Portaali finktsioon võimaldab kasutada autentimisfunktsiooni, mis on API-sse ASP.NET Identity sisse ehitatud. ASP.NET-i identiteet on omakorda sisse ehitatud raamistikku OWIN, mis on samuti autentimissüsteemi oluline osa. Pakutakse järgmisi teenuseid.
- Kohaliku (kasutajanimi/parool) kasutaja sisselogimine
- Välise (suhtluspakkuja) kasutaja sisselogimine kolmanda osapoole identiteedipakkujate kaudu
- Kahekordne autentimine meiliga
- Meiliaadressi kinnitamine
- Parooli taastamine
- Kutsekoodiga registreerumine eelnevalt loodud kontaktisiku kirjete registreerimiseks
Märkus
Kontakti tabeli vormi Portaali kontakt väljal Kinnitatud mobiiltelefon puudub praegu otstarve. Seda välja tuleb kasutada ainult versioonilt Adxstudio Portals täiendamisel.
Nõuded
Portaalid vajavad järgmist.
- Põhiportaali
- Microsoft Tunnus
- Microsoft Identity töövoogude lahenduspaketid
Autentimise ülevaade
Tagasipöörduvad portaalikülastajad saavad autentida kohaliku kasutaja identimisteabe või välise identiteedipakkuja kontode abil. Uus kasutaja saab registreerida uue kasutajakonto, sisestades kasutajanime ja parooli või logides sisse välise teenusepakkuja kaudu. Külastajatel, kellele on saadetud kutsekood (portaali administraatorilt), on võimalus lunastada kood uue kasutajakonto registreerimisel.
Seotud saidi sätted.
Authentication/Registration/EnabledAuthentication/Registration/LocalLoginEnabledAuthentication/Registration/ExternalLoginEnabledAuthentication/Registration/OpenRegistrationEnabledAuthentication/Registration/InvitationEnabledAuthentication/Registration/RememberMeEnabledAuthentication/Registration/ResetPasswordEnabled
Kohaliku või välise identiteediga sisselogimine
Järgnev pilt näitab sisselogimise suvandit kohaliku ettevõtte kasutamisel või välise identiteedi pakkuja valimisel.
Kohaliku või välise identiteediga registreerumine
Järgnev pilt näitab registreerumise ekraani kohaliku ettevõtte kasutamisel või välise identiteedi pakkuja valimisel.
Kutsekoodi käsitsi lunastamine
Järgmisel pildil on kujutatud võimalus kutse lunastamiseks kutse koodi abil.
Parool on ununenud või parooli lähtestamine
Parooli lähtestamist vajavad (ja eelnevalt oma kasutajaprofiilile meiliaadressi lisanud) tagasipöörduvad külastajad saavad taotleda meilikontole saadetavat parooli lähtestamise luba. Lähtestamise sõne võimaldab omanikul valida uue parooli. Sõne saab ka hüljata, jättes kasutaja algse parooli muutmata.
Seotud saidi sätted.
Authentication/Registration/ResetPasswordEnabledAuthentication/Registration/ResetPasswordRequiresConfirmedEmail
Seotud protsess: kontaktile parooli lähtestuse saatmine
- Vajaduse korral meiliaadressi kohandamine töövoos.
- Protsessi käivitamiseks tuleb sisestada meiliaadress.
- Külastajal palutakse meiliaadressi kontrollida.
- Külastaja saab paroolilähtestusmeili koos juhistega.
- Külastaja naaseb lähtestamisvormile.
- Parool on lähtestatud.
Kutse lunastamine
Kutsekoodi lunastamine võimaldab seostada registreeritud külastaja olemasoleva kontaktisiku kirjega, mis on eelnevalt spetsiaalselt selle külastaja jaoks ette valmistatud. Tavaliselt saadetakse kutsekoodid meili teel, kuid koodide saatmiseks muude kanalite kaudu saab kasutada üldist koodi edastamise vormi. Pärast kehtiva kutsekoodi edastamist toimub tavapärane kasutaja registreerimise protsess uue kasutajakonto seadistamiseks.
Seotud saidi säte:
Authentication/Registration/InvitationEnabled
Seotud protsess: kutse saatmine
Selle töövoo saadetud meil tuleb kohandada portaali kutse lunastamise lehe URL-iga: https://portal.contoso.com/register/?returnurl=%2f&invitation={Invitation kood (kutse)}
Kutse loomine uuele kontaktile.
Uue kutse kohandamine ja salvestamine.
Kutse meili kohandamine.
Protsessi Kutse saatmine töövoog.
Kutsemeil avab lunastamislehe.
Kasutaja registreerub saadetud kutsekoodiga.
Registreerimine on keelatud
Kui registreerimine on kasutajale pärast kutse lunastamist keelatud, kuvatakse sõnum järgmise sisulõigu abil:
Nimi: Account/Register/RegistrationDisabledMessage
Väärtus: Registreerimine on keelatud.
Profiililehtede kaudu kasutajakontode haldamine
Autenditud kasutajad haldavad oma kasutajakonot profiililehe navigeerimisriba Turvalisus kaudu. Kasutajad ei ole piiratud registreerimisel valitud ühe kohaliku või välise kontoga. Välise kontoga kasutajad võivad kasutajanime ja parooliga luua kohaliku konto. Kohaliku kontoga alustanud kasutajad saavad seostada oma kontoga mitu välist identiteeti. Profiililehel tuletatakse kasutajale meelde, et ta peab kinnitama oma meiliaadressi, taotledes meilikontole saadetavat kinnitusmeili.
Seotud saidi sätted.
Authentication/Registration/LocalLoginEnabledAuthentication/Registration/ExternalLoginEnabledAuthentication/Registration/TwoFactorEnabled
Määra parool või muuda seda
Olemasoleva kohaliku kontoga kasutaja saab luua uue parooli, sisestades algse parooli. Ilma kohaliku kontota kasutaja saab valida kasutajanime ja parooli uue kohaliku konto seadistamiseks. Kasutajanime ei saa pärast selle määramist muuta.
Seotud saidi säte:
Authentication/Registration/LocalLoginEnabled
Seotud protsessid.
- Kasutajanime ja parooli loomine.
- Olemasoleva parooli muutmine.
Märkus
Ülaltoodud ülesandevood töötavad ainult juhul, kui kontaktile on määratud portaali halduse rakendus. Neid ülesande voogusid ei mõjuta ülesandevoogude tulevane aegumine.
Meiliaadressi kinnitamine
Meiliaadressi muutmine (või selle esmakordne seadistamine) viib selle kinnitamata olekusse. Kasutaja saab taotleda oma uuele meiliaadressile kinnitusprotsessi lõpuleviimise juhistega kinnitusmeili saatmist.
Seotud protsess: kontaktile kinnitusmeili saatmine
- Vajaduse korral meiliaadressi kohandamine töövoos.
- Kasutaja esitab uue meiliaadressi, mis on kinnitamata olekus.
- Kasutaja kontrollib kinnituse saamiseks meiliaadressi.
- Kinnitusmeili kohandamine.
- Protsessi Kontaktile kinnitusmeili saatmine töövoog.
- Kasutaja valib kinnitusprotsessi lõpuleviimiseks kinnituslinki.
Märkus
Veenduge, et kontaktile oleks määratud peamine meiliaadress, kuna kinnitusmeil saadetakse ainult kontakti peamisele meiliaadressile (emailaddress1). Kinnitusmeili ei saadeta kontaktikirje teisesele meiliaadressile (emailaddress2) ega alternatiivsele meiliaadressile (emailaddress3).
Lubage kahekordne autentimine
Kahekordse autentimise funktsioon suurendab kasutajakonto turvalisust, nõudes lisaks tavapärasele kohaliku või välise kontoga sisselogimise ka kinnitatud meiliaadressi omanikuks olemise tõestust. Kasutajale, kes püüab sisse logida kahekordset autentimist lubavale kontole, saadetakse kontoga seotud kinnitusmeilile turvakood. Sisselogimisprotsessi lõpuleviimiseks tuleb sisestada turvakood. Kasutaja saab kinnituse läbinud brauseri meelde jätta, nii et turvakoodi ei nõuta järgmistel samas brauseris sisselogimistel. Iga kasutajakonto võimaldab seda funktsiooni individuaalselt ja nõuab kas kinnitatud meili.
Hoiatus
Kui loote ja lubate saidisätte Autentimine/Registreerimine/MobilePhoneEnabled, et lubada pärandfunktsionaalsus, ilmneb tõrge. Seda saidi sätet ei pakuta valmiskujul ja seda ei toeta portaalid.
Seotud saidi sätted.
Authentication/Registration/TwoFactorEnabledAuthentication/Registration/RememberBrowserEnabled
Seotud protsess: kontaktile meili teel kahekordse koodi saatmine
- Kahekordse autentimise lubamine.
- Valige turvakoodi saamine meili teel.
- Oodake turvakoodi sisaldavat meili.
- Protsess Kontaktile kahekordse koodi meiliga saatmine. töövoog.
- Kahekordne autentimine võib olla keelatud.
Väliste kontode haldamine
Autenditud kasutaja võib ühendada (registreerida) mitu välist identiteeti oma kasutajakontoga: ühe identiteedi igalt konfigureeritud identiteedipakkujalt. Pärast identiteetide ühendamist võib kasutaja sisse logida mis tahes ühendatud identiteediga. Olemasolevaid identiteete saab ka lahti ühendada, seni kuni üks väline või kohalik identiteet säilib.
Seotud saidi säte:
Authentication/Registration/ExternalLoginEnabled
Välise identiteedipakkuja saidi sätted
Valige oma kasutajakontoga ühenduse loomiseks pakkuja.
Logige sisse, kasutades ühendatavat pakkujat.
Pakkuja on ühendatud. Pakkuja saab ka lahti ühendada.
ASP.NET-i identiteedi autentimise lubamine
Allpool tabelis kirjeldatakse sätteid erinevate autentimisfunktsioonide ja käitumiste lubamiseks või keelamiseks.
| Saidi sätte nimi | Kirjeldus |
|---|---|
| Authentication/Registration/LocalLoginEnabled | Lubab või keelab kohaliku kontole sisselogimise kasutajanime (või meiliaadressi) ja parooli alusel. Vaikeväärtus on tõene. |
| Authentication/Registration/LocalLoginByEmail | Lubab või keelab kohaliku kontole sisselogimise kasutajanime välja asemel meiliaadressi välja kasutades. Vaikesäte: väär |
| Authentication/Registration/ExternalLoginEnabled | Lubab või keelab sisselogimise ja registreerumise väliselt kontolt. Vaikeväärtus on tõene. |
| Authentication/Registration/RememberMeEnabled | Valib või tühjendab märkeruudu Kas jätta mind meelde? kohalikul sisselogimisel, et võimaldada autenditud seansside säilimist isegi siis, kui veebibrauser on suletud. Vaikeväärtus on tõene. |
| Authentication/Registration/TwoFactorEnabled | Lubab või keelab kasutajael valida kahekordset autentimist. Kinnitatud meiliaadressiga kasutajad saavad valida turvalisema kahekordse autentimise. Vaikesäte: väär |
| Authentication/Registration/RememberBrowserEnabled | Valib või tühjendab kaheastmelise kinnitamise (meilikoodi) märkeruudu Kas jätta mind meelde?, et säilitada kaheastmeline kinnitamine selles brauseris. Kasutajalt ei nõuta järgmistel sisselogimistel kahekordset kinnitamist, kui kasutatakse sama brauserit. Vaikeväärtus on tõene. |
| Authentication/Registration/ResetPasswordEnabled | Lubab või keelab parooli lähtestamise funktsiooni. Vaikeväärtus on tõene. |
| Authentication/Registration/ResetPasswordRequiresConfirmedEmail | Lubab või keelab parooli lähtestada ainult kinnitatud meiliaadressidega. Kui see on lubatud, ei saa kasutada parooli lähtestamise juhiste saatmiseks kinnitamata meiliaadresse. Vaikesäte: väär |
| Authentication/Registration/TriggerLockoutOnFailedPassword | Lubab või keelab nurjunud parooli sisestamise katsete salvestamise. Kui see on keelatud, siis kasutajakontot ei lukustata. Vaikeväärtus: tõene |
| Authentication/Registration/IsDemoMode | Lubab või keelab demorežiimi lipu kasutamise ainult arendus- või demokeskkondades. Ärge lubage seda sätet tootmiskeskkondades. Demorežiim nõuab ka veebibrauseri käitamist lokaalselt veebirakenduse serveris. Kui demorežiim on lubatud, kuvatakse parooli lähtestamise kood ja kahekordse kinnitamise kood kasutajale kiireks juurdepääsuks. Vaikesäte: väär |
| Authentication/Registration/LoginButtonAuthenticationType | Kui portaal nõuab ainult ühte välist identiteedipakkujat (kogu autentimise käsitlemiseks), võimaldab see päise navigeerimisriba nupul Logi sisse linkida otse selle välise identiteedipakkuja sisselogimislehele (selle asemel, et linkida vahepealsele kohalikule sisselogimisvormile ja identiteedipakkuja valikulehele). Selle toimingu jaoks saab valida ainult ühe identiteedipakkuja. Määrake pakkuja väärtus AuthenticationType. Ühekordse sisselogimise konfigureerimiseks OpenIdConnectiga, näiteks kasutades rakendust Azure AD B2C, peab kasutaja esitama volituse. OAuth 2.0–põhiste pakkujate puhul on aktsepteeritud väärtused järgmised: Facebook, Google, Yahoo, Microsoft, LinkedIn või Twitter WS-Federationi–põhiste pakkujate puhul kasutage väärtust, mis on määratud üksuste Authentication/WsFederation/ADFS/AuthenticationType ja Authentication/WsFederation/Azure/[provider]/AuthenticationType saidi sätetele. Näiteks: https://adfs.contoso.com/adfs/services/trust, Facebook-0123456789, Google, Yahoo!, uri:WindowsLiveID. |
Kasutaja registreerimise lubamine või keelamine
Allpool kirjeldatakse kasutaja registreerimise suvandite lubamise ja keelamise sätteid.
| Saidi sätte nimi | Kirjeldus |
|---|---|
| Authentication/Registration/Enabled | Lubab või keelab igasuguse kasutajaks registreerumise. Jõustumiseks peab registreerimine olema lubatud käesoleva jaotise muude sätete puhul. Vaikeväärtus on tõene. |
| Authentication/Registration/OpenRegistrationEnabled | Lubab või keelab registreerimisvormi igasuguseks kasutajate loomiseks. Registreerumisvorm võimaldab kõikidel portaali anonüümsetel külastajatel luua uue kasutajakonto. Vaikeväärtus on tõene. |
| Authentication/Registration/InvitationEnabled | Lubab või keelab kutsekoodi lunastamise vormi kutsekoodi omavate kasutajate registreerimiseks. Vaikeväärtus on tõene. |
| Autentimine/registreerimine/CaptchaEnabled | Lubab või keelab kasutaja registreerimise lehel robotilõksu. Vaikesäte: väär Märge: - See saidisäte ei pruugi vaikimisi saadaval olla. Robotilõksu lubamiseks peate looma saidisätte ja määrama selle väärtuseks tõene. |
Märkus
Veenduge, et kasutaja jaoks oleks määratud peamine meiliaadress, kuna registreerimiseks kasutatakse kasutaja peamist meiliaadressi (emailaddress1). Kasutaja ei saa registreerumiseks kasutada teisest meiliaadressi (emailaddress2) ega alternatiivset meiliaadressi (emailaddress3).
Kasutaja mandaadi kinnitamine
Allpool kirjeldatakse kasutajanime ja parooli kinnitamise parameetrite korrigeerimise sätteid. Kinnitamine toimub, kui kasutajad uue kohaliku konto registreerivad või parooli muudavad.
| Saidi sätte nimi | Kirjeldus |
|---|---|
| Authentication/UserManager/PasswordValidator/EnforcePasswordPolicy | Määrab, kas parool sisaldab tähemärke kolmest järgmisest kategooriast:
|
| Authentication/UserManager/UserValidator/AllowOnlyAlphanumericUserNames | Määrab, kas lubada kasutajanime puhul ainult tähe- ja numbrimärke. Vaikesäte: väär |
| Authentication/UserManager/UserValidator/RequireUniqueEmail | Määrab, kas kasutaja kinnitamiseks on vaja kordumatut meiliaadressi. Vaikeväärtus on tõene. |
| Authentication/UserManager/PasswordValidator/RequiredLength | Parooli miinimumpikkus. Vaikesäte: 8 |
| Authentication/UserManager/PasswordValidator/RequireNonLetterOrDigit | Määrab, kas parool peab sisaldama mittetähte või numbrit. Vaikesäte: väär |
| Authentication/UserManager/PasswordValidator/RequireDigit | Määrab, kas parool peab sisaldama numbrit (0–9). Vaikesäte: väär |
| Authentication/UserManager/PasswordValidator/RequireLowercase | Määrab, kas parool peab sisaldama väiketähte (a–z). Vaikesäte: väär |
| Authentication/UserManager/PasswordValidator/RequireUppercase | Määrab, kas parool peab sisaldama suurtähte (A–Z). Vaikesäte: väär |
Kasutajakonto lukustamise sätted
Allpool kirjeldatakse sätteid, mis määratlevad, kuidas ja millal konto autentimisel lukustatakse. Kui lühikese aja jooksul tuvastatakse teatud arv nurjunud parooli sisestamise katseid, siis on kasutajakonto mõnda aega lukustatud. Kasutaja saab pärast lukustusaja möödumist uuesti proovida.
| Saidi sätte nimi | Kirjeldus |
|---|---|
| Authentication/UserManager/UserLockoutEnabledByDefault | Näitab, kas kasutaja töösulg on lubatud kasutajate loomisel. Vaikesäte: true |
| Authentication/UserManager/DefaultAccountLockoutTimeSpan | Pärast sündmust Authentication/UserManager/MaxFailedAccessAttemptsBeforeLockout on kasutaja lukustamise vaikeaeg ületatud. Vaikesäte: 24:00:00 (1. päev) |
| Authentication/UserManager/MaxFailedAccessAttemptsBeforeLockout | Maksimaalne lubatud ligipääsukatsete arv, enne kui kasutaja lukustatakse (kui lukustamine on lubatud). Vaikesäte: 5 |
Küpsisega autentimise saidisätted
Järgnevalt kirjeldatakse rakenduse CookieAuthenticationOptions klassis määratletud vaikimisi autentimise küpsiste käitumise muutmise sätteid.
| Saidi sätte nimi | Kirjeldus |
|---|---|
| Authentication/ApplicationCookie/AuthenticationType | Rakenduse autentimisküpsise tüüp. Vaikesäte: ApplicationCookie |
| Authentication/ApplicationCookie/CookieName | Määrab identiteedi säilimiseks kasutatava küpsise nime. Vaikesäte: .AspNet.Cookies |
| Authentication/ApplicationCookie/CookieDomain | Määratleb küpsise loomiseks kasutatava domeeni. |
| Authentication/ApplicationCookie/CookiePath | Määratleb küpsise loomiseks kasutatava tee. Vaikesäte: / |
| Authentication/ApplicationCookie/CookieHttpOnly | Määrab, kas brauser peaks lubama küpsisele kliendipoolse JavaScripti juurdepääsu. Vaikeväärtus on tõene. |
| Authentication/ApplicationCookie/CookieSecure | Määrab, kas küpsis tuleks edastada ainult HTTPS-i taotluse korral. Vaikesäte: SameAsRequest |
| Authentication/ApplicationCookie/ExpireTimeSpan | Kontrollib, kui kauaks rakenduse küpsis loomise hetkest kehtima jääb. Vaikesäte: 24:00:00 (1. päev) |
| Authentication/ApplicationCookie/SlidingExpiration | SlidingExpiration määratakse tõeseks, et see annaks vahetarkvarale korralduse väljastada uus küpsis uue aegumisajaga iga kord, kui see töötleb taotlust, mis on aegumisaknas üle poole jõudnud. Vaikeväärtus on tõene. |
| Authentication/ApplicationCookie/LoginPath | Atribuut LoginPath teavitab vahetarkvara, et see peaks muutma väljamineva 401 volitamata oleku koodi 302 ümbersuunamiseks antud sisselogimisteele. Vaikesäte: /signin |
| Authentication/ApplicationCookie/LogoutPath | Kui vahetarkvarale edastada LogoutPath, siis suunatakse selle tee taotlus parameetri ReturnUrlParameter põhjal ümber. |
| Authentication/ApplicationCookie/ReturnUrlParameter | ReturnUrlParameter määrab sellise päringustringi parameetri nime, mille vahetarkvara lisab, kui olekukood 401 volitamata muudetakse 302 ümbersuunamiseks sisselogimisteele. |
| Authentication/ApplicationCookie/SecurityStampValidator/ValidateInterval | Turbetempli valideerimiste vaheline ajavahemik. Vaikesäte: 30 minutit |
| Authentication/TwoFactorCookie/AuthenticationType | Kahetegurilise autentimisküpsise tüüp. Vaikesäte: TwoFactorCookie |
| Authentication/TwoFactorCookie/ExpireTimeSpan | Kontrollib, kui kauaks kaheteguriline küpsis loomise hetkest kehtima jääb. Väärtus ei tohiks ületada 6 minutit. Vaikesäte: 5 minutit |
Järgmised etapid
Identiteedipakkujate migreerimine pilve Azure AD B2C
Vt ka
Autentimise ülevaade Power Apps portaalides
OAuth 2.0 konfigureerimine portaalide pakkujana
OpenID Connecti pakkuja konfigureerimine portaalide pakkujana
SAML 2.0 teenusepakkuja sätete konfigureerimine portaalide jaoks
WS-Federation teenusepakkuja konfigureerimine portaalide jaoks
Power Appsi portaalide autentimissätted
Märkus
Kas saaksite meile dokumentatsiooniga seotud keele-eelistustest teada anda? Osalege lühikeses uuringus. (Uuring on ingliskeelne.)
Uuringus osalemine võtab umbes seitse minutit. Isikuandmeid ei koguta (privaatsusavaldus).