Authentification locale, inscription et autres paramètres
Notes
À compter du 12 octobre 2022, le portail Power Apps devient Power Pages. Plus d’informations : Microsoft Power Pages est maintenant généralement disponible (blog)
Nous allons bientôt migrer et fusionner la documentation des portails Power Apps avec la documentation de Power Pages.
Important
- Nous vous recommandons d’utiliser uniquement le fournisseur d’identité Azure Active Directory B2C (Azure AD B2C) pour l’authentification auprès de votre portail, plutôt que d’autres fournisseurs d’identité. En savoir plus : Migrer les fournisseurs d’identité vers Azure AD B2C
- La configuration de l’authentification locale implique d’utiliser l’application de gestion de portail pour configurer manuellement les paramètres de site requis.
Les fonctionnalités de portail fournissent une fonctionnalité d’authentification intégrée à l’API ASP.NET Identity. ASP.NET Identity est à son tour intégré à la structure OWIN qui est également un composant important du système d’authentification. Les services fournis sont :
- Connexion des utilisateurs locaux (nom d’utilisateur et mot de passe)
- Connexion des utilisateurs externes (fournisseurs de réseau social) via des fournisseurs d’identité tiers
- Authentification à deux facteurs par courrier électronique
- Confirmation de l’adresse de messagerie
- Récupération du mot de passe
- Inscription avec un code d’invitation pour inscrire les enregistrements de contact pré-générés
Notes
Le champ Téléphone mobile confirmé du formulaire de contact portail de la table Contact n’atteint actuellement aucun objectif. Ce champ doit être utilisé uniquement au moment de la mise à niveau depuis Adxstudio Portals.
Besoins
Les portails nécessitent :
- Base des portails
- Identité Microsoft
- Microsoft Packages de solutions de workflows d’identité
Présentation de l’authentification
Les visiteurs du portail qui reviennent peuvent s’authentifier à l’aide des informations d’identification locales des utilisateurs et/ou des comptes externes de fournisseurs d’identité. Un nouveau visiteur peut s’inscrire sur un nouveau compte d’utilisateur en fournissant un nom d’utilisateur et un mot de passe ou en se connectant via un fournisseur externe. Les visiteurs qui reçoivent un code d’invitation de l’administrateur du portail peuvent utiliser ce code durant le processus d’inscription sur un nouveau compte d’utilisateur.
Paramètres de site associés :
Authentication/Registration/EnabledAuthentication/Registration/LocalLoginEnabledAuthentication/Registration/ExternalLoginEnabledAuthentication/Registration/OpenRegistrationEnabledAuthentication/Registration/InvitationEnabledAuthentication/Registration/RememberMeEnabledAuthentication/Registration/ResetPasswordEnabled
Se connecter à l’aide d’une identité locale ou d’une identité externe
L’image suivante montre une option de connexion avec l’utilisation d’un compte local ou en sélectionnant un fournisseur d’identité externe.
S’inscrire à l’aide d’une identité locale ou d’une identité externe
L’image suivante montre un écran de connexion pour s’inscrire en utilisant un compte local ou en sélectionnant un fournisseur d’identité externe.
Utilisez un code d’invitation manuellement
L’image suivante montre la possibilité d’utiliser une invitation à l’aide du code d’invitation.
Mot de passe oublié ou réinitialisation du mot de passe
Les visiteurs qui reviennent dont le mot de passe doit être réinitialisé (et qui ont précédemment spécifié une adresse de messagerie dans leur profil utilisateur) peuvent demander qu’un jeton de réinitialisation du mot de passe leur soit envoyé à leur compte de messagerie. Un jeton de réinitialisation permet à son propriétaire de choisir un nouveau mot de passe. Le jeton peut également être abandonné et le mot de passe d’origine de l’utilisateur conservé.
Paramètres de site associés :
Authentication/Registration/ResetPasswordEnabledAuthentication/Registration/ResetPasswordRequiresConfirmedEmail
Processus associé : envoyer une réinitialisation du mot de passe au contact
- Personnalisez le message électronique dans le workflow si nécessaire.
- Envoyez l’adresse de messagerie pour appeler le processus.
- Le visiteur est invité à vérifier son courrier électronique.
- Le visiteur reçoit le courrier électronique de réinitialisation du mot de passe avec des instructions.
- Le visiteur retourne au formulaire de réinitialisation.
- La réinitialisation du mot de passe est terminée.
Utiliser une invitation
L’utilisation d’un code d’invitation permet d’associer un visiteur inscrit à un enregistrement de contact existant qui a été préparé à l’avance spécialement pour ce visiteur. Généralement, les codes d’invitation sont envoyés par courrier électronique, mais un formulaire général d’envoi de code est disponible pour les codes envoyés via d’autres canaux. Une fois qu’un code d’invitation valide est envoyé, le processus d’enregistrement (inscription) normal de l’utilisateur se poursuit pour configurer le nouveau compte d’utilisateur.
Paramètre de site associé :
Authentication/Registration/InvitationEnabled
Processus associé : envoyer une invitation
Le courrier électronique envoyé par ce workflow doit être personnalisé à l’aide de l’URL de la page d’utilisation d’une invitation sur le portail : https://portal.contoso.com/register/?returnurl=%2f&invitation={Invitation Code(Invitation)}
Créez une invitation pour un nouveau contact.
Personnalisez et enregistrez la nouvelle invitation.
Personnalisez le message électronique d’invitation.
Traitez le workflow Envoyer une invitation.
Le message électronique d’invitation ouvre la page d’utilisation d’une invitation.
L’utilisateur s’inscrit à l’aide du code d’invitation envoyé.
Inscription désactivée
Si l’inscription est désactivée pour un utilisateur après que l’utilisateur a utilisé une invitation, affichez un message à l’aide de l’extrait de contenu suivant :
Nom : Account/Register/RegistrationDisabledMessage
Valeur : L’inscription a été désactivée.
Gérer des comptes d’utilisateur via les pages de profil
Les utilisateurs authentifiés gèrent leurs comptes d’utilisateurs via la barre de navigation Sécurité de la page de profil. Les utilisateurs ne sont pas limités au compte local unique ou au compte externe unique qu’ils ont choisi au moment de leur inscription. Les utilisateurs qui ont un compte externe peuvent choisir de créer un compte local en appliquant un nom d’utilisateur et un mot de passe. Les utilisateurs qui ont commencé avec un compte local peuvent choisir d’associer plusieurs identités externes à leur compte. La page de profil permet également à l’utilisateur de confirmer son adresse de messagerie en demandant qu’un message de confirmation lui soit envoyé à son compte de messagerie.
Paramètres de site associés :
Authentication/Registration/LocalLoginEnabledAuthentication/Registration/ExternalLoginEnabledAuthentication/Registration/TwoFactorEnabled
Définir ou changer un mot de passe
Un utilisateur qui a un compte local existant peut appliquer un nouveau mot de passe en fournissant le mot de passe d’origine. Un utilisateur sans compte local peut choisir un nom d’utilisateur et un mot de passe pour configurer un nouveau compte local. Le nom d’utilisateur ne peut pas être modifié une fois qu’il est défini.
Paramètre de site associé :
Authentication/Registration/LocalLoginEnabled
Processus associés :
- Créez un nom d’utilisateur et un mot de passe.
- Modifiez un mot de passe existant.
Notes
Les flux de tâches ci-dessus ne fonctionnent que quand ils sont appelés sur un contact à l’aide de l’application Gestion du portail. Ces flux de tâches ne sont pas affectés par la dépréciation à venir des flux de tâches.
Confirmer une adresse électronique
Quand vous modifiez une adresse de messagerie (ou en définissez une pour la première fois), celle-ci prend l’état Non confirmé. L’utilisateur peut demander qu’un message de confirmation lui soit envoyé à la nouvelle adresse de messagerie avec les instructions pour terminer le processus de confirmation de l’adresse de messagerie.
Processus associé : envoyer la confirmation par courrier électronique au contact
- Personnalisez le message électronique dans le workflow si nécessaire.
- L’utilisateur envoie un nouvel électronique, qui est à l’état non confirmé.
- L’utilisateur vérifie son courrier électronique pour obtenir des instructions de confirmation.
- Personnalisez le message de confirmation.
- Traitez le workflow Envoyer la confirmation par courrier électronique au contact.
- L’utilisateur sélectionne le lien de confirmation pour terminer le processus de confirmation.
Notes
Assurez-vous que l’adresse électronique principale est spécifiée pour le contact, car le courrier électronique de confirmation est envoyé uniquement à l’adresse électronique principale (emailaddress1) du contact. Le courrier électronique de confirmation n’est pas envoyé à l’adresse électronique secondaire (emailaddress2), ni à l’autre adresse électronique (emailaddress3) de l’enregistrement du contact.
Activez l’authentification à deux facteurs
La fonctionnalité d’authentification à deux facteurs augmente la sécurité du compte d’utilisateur en exigeant une preuve de la propriété d’une adresse de messagerie confirmée en plus de la connexion au compte local/externe standard. Un utilisateur qui tente de se connecter à un compte dont l’authentification à deux facteurs est activée reçoit un code de sécurité à l’adresse de messagerie ou au téléphone mobile confirmé associé à son compte. Le code de sécurité doit être envoyé pour terminer le processus de connexion. Un utilisateur peut choisir de mémoriser le navigateur qui a réussi la vérification afin que le code de sécurité ne soit pas exigé pour les connexions suivantes de l’utilisateur à partir du même navigateur. Chaque compte d’utilisateur active cette fonctionnalité individuellement et nécessite une adresse électronique confirmée.
Avertissement
Si vous créez et activez le paramètre de site Authentication/Registration/MobilePhoneEnabled pour activer la fonctionnalité héritée, une erreur se produit. Ce paramètre de site n’est pas fourni par défaut et n’est pas pris en charge par les portails.
Paramètres de site associés :
Authentication/Registration/TwoFactorEnabledAuthentication/Registration/RememberBrowserEnabled
Processus associé : envoyer le code à deux facteurs par courrier électronique au contact
- Activez l’authentification à deux facteurs.
- Choisissez de recevoir le code de sécurité par courrier électronique.
- Patientez jusqu’à la réception du courrier électronique contenant le code de sécurité.
- Traitez le processus Envoyer le code à deux facteurs par courrier électronique au contact. .
- L’authentification à deux facteurs peut être désactivée.
Gérer les comptes externes
Un utilisateur authentifié peut connecter (inscrire) plusieurs identités externes à son compte d’utilisateur à partir de chaque fournisseur d’identité configuré. Après avoir connecté les identités, l’utilisateur peut choisir de se connecter à l’une des identités connectées. Les identités existantes peuvent également être déconnectées tant qu’il reste une identité externe ou locale.
Paramètre de site associé :
Authentication/Registration/ExternalLoginEnabled
Paramètres de site du fournisseur d’identité externes
Sélectionnez un fournisseur pour vous connecter à votre compte d’utilisateur.
Connectez-vous à l’aide du fournisseur que vous souhaitez connecter.
Le fournisseur est maintenant connecté. Le fournisseur peut être également déconnecté.
Activer l’authentification ASP.NET Identity
Le tableau suivant présente les paramètres d’activation et de désactivation de plusieurs fonctionnalités et comportements d’authentification :
| Nom du paramètre du site | Description |
|---|---|
| Authentication/Registration/LocalLoginEnabled | Active ou désactive la connexion au compte local en fonction d’un nom d’utilisateur (ou adresse de messagerie) et d’un mot de passe. Valeur par défaut : true |
| Authentication/Registration/LocalLoginByEmail | Active ou désactive la connexion au compte local en utilisant un champ d’adresse de messagerie à la place d’un champ de nom d’utilisateur. Valeur par défaut : false. |
| Authentication/Registration/ExternalLoginEnabled | Active ou désactive la connexion et l’inscription du compte externe. Valeur par défaut : true |
| Authentication/Registration/RememberMeEnabled | Active ou désactive une case à cocher Mémoriser mes informations ? au moment de la connexion locale pour que les sessions authentifiées restent actives même si le navigateur Web est fermé. Valeur par défaut : true |
| Authentication/Registration/TwoFactorEnabled | Active ou désactive l’option permettant aux utilisateurs d’activer l’authentification à deux facteurs. Les utilisateurs disposant d’une adresse de messagerie confirmée peuvent choisir la sécurité ajoutée de l’authentification à deux facteurs. Valeur par défaut : false. |
| Authentication/Registration/RememberBrowserEnabled | Active ou désactive une case à cocher Se souvenir de ce navigateur ? au moment de la validation du deuxième facteur (code par courrier électronique) pour conserver la validation du deuxième facteur pour le navigateur actuel. Il n’est pas nécessaire que l’utilisateur passe la validation du deuxième facteur pour les connexions suivantes tant que le même navigateur est utilisé. Valeur par défaut : true |
| Authentication/Registration/ResetPasswordEnabled | Active ou désactive la fonctionnalité de réinitialisation du mot de passe. Valeur par défaut : true |
| Authentication/Registration/ResetPasswordRequiresConfirmedEmail | Active ou désactive la réinitialisation du mot de passe pour les adresses de messagerie confirmées uniquement. Si ce paramètre est activé, les adresses de messagerie non confirmées ne peuvent pas être utilisées pour envoyer les instructions de réinitialisation du mot de passe. Valeur par défaut : false. |
| Authentication/Registration/TriggerLockoutOnFailedPassword | Active ou désactive l’enregistrement des tentatives infructueuses de saisie du mot de passe. Si désactivé, les comptes d’utilisateur ne seront pas débloqués. Par défaut : vrai |
| Authentication/Registration/IsDemoMode | Active ou désactive une balise en mode Démonstration à utiliser dans les environnements de développement ou de démonstration uniquement. N’activez pas ce paramètre dans les environnements de production. Le mode Démonstration nécessite également que le navigateur Web s’exécute localement sur le serveur d’application Web. Quand le mode Démonstration est activé, le code de réinitialisation du mot de passe et le code du deuxième facteur sont visibles par l’utilisateur pour permettre un accès rapide. Valeur par défaut : false. |
| Authentication/Registration/LoginButtonAuthenticationType | Si un portail ne requiert qu’un seul fournisseur d’identité externe (pour gérer l’authentification), le bouton Se connecter de la barre de navigation peut être associé directement à la page de connexion de ce fournisseur d’identité externe (au lieu d’être associé au formulaire de connexion local intermédiaire et à la page de sélection du fournisseur d’identité). Un seul fournisseur d’identité peut être sélectionné pour cette action. Spécifiez la valeur AuthenticationType du fournisseur. Pour une configuration à authentification unique à l’aide d’OpenID Connect, par exemple avec Azure AD B2C, l’utilisateur doit indiquer l’autorité. Pour les fournisseurs basés sur OAuth 2.0, les valeurs acceptées sont : Facebook, Google, Yahoo, Microsoft, LinkedIn ou Twitter Pour les fournisseurs basés sur WS-Federation, utilisez la valeur spécifiée pour les paramètres de site Authentication/WsFederation/ADFS/AuthenticationType et Authentication/WsFederation/Azure/[provider]/AuthenticationType. Exemples : https://adfs.contoso.com/adfs/services/trust, Facebook-0123456789, Google, Yahoo!, uri:WindowsLiveID. |
Activer ou désactiver l’enregistrement des utilisateurs
Ce document présente les paramètres d’activation et de désactivation des options d’enregistrement (inscription) des utilisateurs.
| Nom du paramètre du site | Description |
|---|---|
| Authentication/Registration/Enabled | Active ou désactive tous les types d’enregistrement des utilisateurs. L’enregistrement doit être activé pour que les autres paramètres de cette section prennent effet. Valeur par défaut : true |
| Authentication/Registration/OpenRegistrationEnabled | Active ou désactive le formulaire d’inscription pour la création de toutes les formes d’utilisateurs. Le formulaire d’inscription permet à n’importe quel visiteur anonyme du portail de créer un compte d’utilisateur. Valeur par défaut : true |
| Authentication/Registration/InvitationEnabled | Active ou désactive le formulaire d’utilisation du code d’invitation pour les utilisateurs inscrits qui possèdent des codes d’invitation. Valeur par défaut : true |
| Authentication/Registration/CaptchaEnabled | Active ou le désactive les caractères d’image entrés (captcha) sur la page d’inscription de l’utilisateur. Valeur par défaut : false. REMARQUE : - Ce paramètre de site peut ne pas être disponible par défaut. Pour activer les caractères d’image entrés (captcha), vous devez créer le paramètre de site et définir la valeur sur true. |
Notes
Assurez-vous que l’adresse électronique principale est spécifiée pour l’utilisateur, car l’inscription s’effectue uniquement avec l’adresse électronique principale (emailaddress1) de l’utilisateur. L’utilisateur ne peut pas être inscrit avec l’adresse électronique secondaire (emailaddress2), ni l’autre adresse électronique (emailaddress3) de l’enregistrement du contact.
Validation des informations d’authentification de l’utilisateur
Ce document présente les paramètres de réglage des paramètres de validation du nom d’utilisateur et du mot de passe. La validation se produit au moment de l’inscription des utilisateurs à un nouveau compte local ou du changement de mot de passe.
| Nom du paramètre du site | Description |
|---|---|
| Authentication/UserManager/PasswordValidator/EnforcePasswordPolicy | Détermine si le mot de passe contient des caractères de trois des catégories suivantes :
|
| Authentication/UserManager/UserValidator/AllowOnlyAlphanumericUserNames | Détermine si seuls les caractères alphanumériques sont autorisés pour le nom d’utilisateur. Valeur par défaut : false. |
| Authentication/UserManager/UserValidator/RequireUniqueEmail | Détermine si l’adresse de messagerie est nécessaire pour valider l’utilisateur. Valeur par défaut : true |
| Authentication/UserManager/PasswordValidator/RequiredLength | Longueur minimale requise pour le mot de passe. Valeur par défaut : 8 |
| Authentication/UserManager/PasswordValidator/RequireNonLetterOrDigit | Détermine si le mot de passe nécessite un caractère autre qu’une lettre ou un chiffre. Valeur par défaut : false. |
| Authentication/UserManager/PasswordValidator/RequireDigit | Détermine si le mot de passe requiert un chiffre numérique (de 0 à 9). Valeur par défaut : false. |
| Authentication/UserManager/PasswordValidator/RequireLowercase | Détermine si le mot de passe requiert une lettre minuscule (de a à z). Valeur par défaut : false. |
| Authentication/UserManager/PasswordValidator/RequireUppercase | Détermine si le mot de passe requiert une lettre majuscule (de A à Z). Valeur par défaut : false. |
Paramètres de verrouillage du compte utilisateur
Ce document présente les paramètres qui définissent comment et quand un compte se trouve verrouillé par l’authentification. Quand un certain nombre de tentatives infructueuses de saisie du mot de passe est détecté sur une courte période, le compte d’utilisateur est verrouillé pendant un certain période. L’utilisateur peut réessayer à la fin de la période de verrouillage.
| Nom du paramètre du site | Description |
|---|---|
| Authentication/UserManager/UserLockoutEnabledByDefault | Indique si le verrouillage de l’utilisateur est activé au moment de la création des utilisateurs. Valeur par défaut : true |
| Authentication/UserManager/DefaultAccountLockoutTimeSpan | Durée de verrouillage par défaut d’un utilisateur après que Authentication/UserManager/MaxFailedAccessAttemptsBeforeLockout soit atteint. Valeur par défaut : 24:00:00 (1 jour) |
| Authentication/UserManager/MaxFailedAccessAttemptsBeforeLockout | Nombre maximal de tentatives d’accès autorisés avant le verrouillage d’un utilisateur (si le verrouillage est activé). Valeur par défaut : 5 |
Paramètres de site d’authentification de cookie
Ce qui suit décrit les paramètres de modification du comportement des cookies d’authentification par défaut, définis par la classe CookieAuthenticationOptions.
| Nom du paramètre du site | Description |
|---|---|
| Authentication/ApplicationCookie/AuthenticationType | Type de cookie d’authentification d’application. Valeur par défaut : ApplicationCookie |
| Authentication/ApplicationCookie/CookieName | Détermine le nom du cookie utilisé pour rendre l’identité persistante. Valeur par défaut : .AspNet.Cookies |
| Authentication/ApplicationCookie/CookieDomain | Détermine le domaine utilisé pour créer le cookie. |
| Authentication/ApplicationCookie/CookiePath | Détermine le chemin d’accès utilisé pour créer le cookie. Valeur par défaut : / |
| Authentication/ApplicationCookie/CookieHttpOnly | Détermine si le navigateur doit autoriser l’accès au cookie par JavaScript côté client. Valeur par défaut : true |
| Authentication/ApplicationCookie/CookieSecure | Détermine si le cookie doit uniquement être transmise à la demande HTTPS. Valeur par défaut : SameAsRequest |
| Authentication/ApplicationCookie/ExpireTimeSpan | Contrôle le nombre d’heures au cours desquelles l’application du cookie reste valide à partir du moment où elle est créée. Valeur par défaut : 24:00:00 (1 jour) |
| Authentication/ApplicationCookie/SlidingExpiration | SlidingExpiration est définie sur True pour demander au logiciel intermédiaire d’émettre à nouveau un cookie avec une nouvelle heure d’expiration chaque fois qu’il traite une demande dépassant la moitié de la fenêtre d’expiration. Valeur par défaut : true |
| Authentication/ApplicationCookie/LoginPath | La propriété LoginPath informe le logiciel intermédiaire qu’il doit modifier le code d’état 401 Non autorisé en dans une redirection 302 sur le chemin d’accès de connexion donné. Valeur par défaut : /signin |
| Authentication/ApplicationCookie/LogoutPath | Si le chemin de déconnexion est fourni au logiciel intermédiaire, alors une demande à ce chemin d’accès redirigera selon le ReturnUrlParameter. |
| Authentication/ApplicationCookie/ReturnUrlParameter | Le ReturnUrlParameter détermine le nom du paramètre de chaîne de requête ajouté par le logiciel intermédiaire quand un code d’état 401 Non autorisé prend la valeur 302 redirection sur le chemin d’accès de connexion. |
| Authentication/ApplicationCookie/SecurityStampValidator/ValidateInterval | Intervalle entre les validations de tampon de sécurité. Valeur par défaut : 30 minutes |
| Authentication/TwoFactorCookie/AuthenticationType | Type de cookie d’authentification à deux facteurs. Valeur par défaut : TwoFactorCookie |
| Authentication/TwoFactorCookie/ExpireTimeSpan | Contrôle le nombre d’heures au cours desquelles le cookie à deux facteurs reste valide à partir du moment où il est créé. La valeur ne doit pas dépasser 6 minutes. Valeur par défaut : 5 minutes |
Étapes suivantes
Migrer des fournisseurs d’identité vers Azure AD B2C
Voir aussi
Vue d’ensemble de l’authentification dans les portails Power Apps
Configurer un fournisseur OAuth 2.0 pour les portails
Configurer un fournisseur OpenID Connect pour les portails
Configurer un fournisseur SAML 2.0 pour les portails
Configurer un fournisseur WS-Federation pour les portails
Paramètres d’authentification des portails Power Apps
Notes
Pouvez-vous nous indiquer vos préférences de langue pour la documentation ? Répondez à un court questionnaire. (veuillez noter que ce questionnaire est en anglais)
Le questionnaire vous prendra environ sept minutes. Aucune donnée personnelle n’est collectée (déclaration de confidentialité).