Authentification locale, inscription et autres paramètres
Important
Nous vous recommandons d’utiliser le fournisseur d’identité Azure AD B2C pour l’authentification sur votre site Power Pages et d’abandonner le fournisseur d’identité local.
Power Pages fournit une fonctionnalité d’authentification intégrée à l’API ASP.NET Identity. ASP.NET Identity est à son tour intégré à la structure OWIN qui est également un composant important du système d’authentification. Power Pages fournit les services suivants :
- Authentification locale (nom d’utilisateur/mot de passe)
- Authentification externe (fournisseur social) via des fournisseurs d’identité tiers
- Authentification à deux facteurs par courrier électronique
- Confirmation de l’adresse de messagerie
- Récupération du mot de passe
- Inscription avec un code d’invitation pour inscrire les enregistrements de contact pré-générés
Note
La colonne Mobile Phone Confirmed de l’enregistrement de contact n’est pas utilisée, sauf lors de la mise à niveau depuis Adxstudio Portals.
Conditions requises
Power Pages nécessite :
- Base des portails
- Identité Microsoft
- Packages de solutions Workflows d’identité Microsoft
Authentifier et enregistrer
Les visiteurs du site qui reviennent peuvent s’authentifier à l’aide des informations d’identification de l’utilisateur local ou des comptes du fournisseur d’identité externe. Un nouveau visiteur peut s’inscrire à un compte d’utilisateur en fournissant un nom d’utilisateur et un mot de passe ou en se connectant via un fournisseur externe. Les visiteurs qui reçoivent un code d’invitation de l’administrateur du site peuvent accepter le code lors de l’inscription à un nouveau compte d’utilisateur.
Paramètres de site associés :
Authentication/Registration/EnabledAuthentication/Registration/LocalLoginEnabledAuthentication/Registration/ExternalLoginEnabledAuthentication/Registration/OpenRegistrationEnabledAuthentication/Registration/InvitationEnabledAuthentication/Registration/RememberMeEnabledAuthentication/Registration/ResetPasswordEnabled
Réinitialiser un mot de passe
Les visiteurs qui reviennent qui ont fourni une adresse e-mail lors de leur enregistrement peuvent demander qu’un jeton de réinitialisation du mot de passe soit envoyé à leur compte de messagerie. Un jeton de réinitialisation permet à son propriétaire de choisir un nouveau mot de passe. Le jeton peut également être abandonné, en laissant le mot de passe d’origine de l’utilisateur inchangé.
Paramètres de site associés :
Authentication/Registration/ResetPasswordEnabledAuthentication/Registration/ResetPasswordRequiresConfirmedEmail
Processus associé : envoyer une réinitialisation du mot de passe au contact
- Le visiteur fournit une adresse e-mail.
- Envoyez l’adresse e-mail pour démarrer le processus.
- Le visiteur est invité à vérifier son courrier électronique.
- Le visiteur reçoit le courrier électronique de réinitialisation du mot de passe avec des instructions.
- Le visiteur retourne au formulaire de réinitialisation et sélectionne un nouveau mot de passe.
- La réinitialisation du mot de passe est terminée.
Utiliser une invitation
L’utilisation d’un code d’invitation permet d’associer un visiteur inscrit à un enregistrement de contact existant qui a été préparé à l’avance spécialement pour ce visiteur. Généralement, les codes d’invitation sont envoyés par e-mail. Vous pouvez utiliser un formulaire d’envoi de code général pour envoyer les codes via d’autres canaux. Une fois que le visiteur envoie un code d’invitation valide, le processus d’enregistrement normal de l’utilisateur configure le nouveau compte d’utilisateur.
Paramètre de site associé : Authentication/Registration/InvitationEnabled
Processus associé : envoyer une invitation
Personnalisez l’e-mail d’invitation pour inclure l’URL de la page d’acceptation de l’invitation sur votre site.
- Créez une invitation pour un nouveau contact.
- Personnalisez et enregistrez l’invitation.
- Personnalisez le message électronique d’invitation.
- Traitez le workflow Envoyer une invitation.
- Le message électronique d’invitation ouvre la page d’utilisation d’une invitation.
- L’utilisateur envoie le code d’invitation pour s’inscrire.
Inscription désactivée
Si l’enregistrement est désactivé pour un utilisateur une fois que l’utilisateur a accepté une invitation, utilisez l’extrait de contenu suivant pour afficher un message : Account/Register/RegistrationDisabledMessage
Gérer des comptes d’utilisateur via les pages de profil
Les utilisateurs authentifiés gèrent leurs comptes d’utilisateur via l’option Sécurité sur la page de profil. Les utilisateurs ne sont pas limités au compte local unique ou au compte externe unique qu’ils ont choisi au moment de leur enregistrement. Les utilisateurs qui ont un compte externe peuvent choisir de créer un compte local en fournissant un nom d’utilisateur et un mot de passe. Les utilisateurs qui ont commencé avec un compte local peuvent choisir d’associer plusieurs identités externes à ce compte. Sur la page de profil, il est également rappelé aux utilisateurs de confirmer leur adresse e-mail en demandant qu’un message de confirmation soit envoyé à leur compte de messagerie.
Paramètres de site associés :
Authentication/Registration/LocalLoginEnabledAuthentication/Registration/ExternalLoginEnabledAuthentication/Registration/TwoFactorEnabled
Définir ou changer un mot de passe
Un utilisateur qui a un compte local peut sélectionner un nouveau mot de passe en fournissant le mot de passe d’origine. Un utilisateur sans compte local peut choisir un nom d’utilisateur et un mot de passe pour configurer un nouveau compte local. Le nom d’utilisateur ne peut pas être modifié une fois qu’il est défini.
Paramètre de site associé : Authentication/Registration/LocalLoginEnabled
Processus associés :
- Créer un nom d’utilisateur et un mot de passe
- Modifier un mot de passe
Ces flux de tâches ne fonctionnent que s’ils sont appelés à l’aide de l’application Gestion du portail. Ils ne sont pas affectés par l’abandon à venir des flux de tâches.
Confirmer une adresse électronique
Quand vous modifiez une adresse e-mail ou en définissez une pour la première fois, celle-ci est marquée comme Non confirmée. L’utilisateur peut demander l’envoi d’un e-mail de confirmation à sa nouvelle adresse e-mail. L’e-mail comprend des instructions pour terminer le processus de confirmation par e-mail.
Processus associé : envoyer la confirmation par courrier électronique au contact
- L’utilisateur envoie une nouvelle adresse e-mail non confirmée.
- L’utilisateur vérifie l’e-mail pour le message de confirmation.
- Traitez le workflow Envoyer la confirmation par e-mail au contact.
- L’utilisateur sélectionne le lien de confirmation pour terminer le processus de confirmation.
Assurez-vous que l’adresse e-mail principale est spécifiée pour le contact. L’e-mail de confirmation n’est envoyé qu’à l’adresse e-mail principale (emailaddress1), et non à l’adresse e-mail secondaire (emailaddress2) ou l’adresse alternative (emailaddress3) de l’enregistrement de contact.
Activez l’authentification à deux facteurs
L’authentification à deux facteurs augmente la sécurité du compte d’utilisateur en exigeant une preuve de la propriété d’une adresse e-mail confirmée, en plus de l’authentification du compte local ou externe standard. Lorsqu’un utilisateur tente de se connecter à un compte dont l’authentification à deux facteurs est activée, un code de sécurité est envoyé à l’adresse e-mail confirmée associée au compte. L’utilisateur doit entrer le code de sécurité pour terminer le processus de connexion. Un utilisateur peut choisir de demander au site de mémoriser le navigateur qui a réussi la vérification afin qu’un code de sécurité ne soit pas exigé pour les connexions suivantes de l’utilisateur avec le même navigateur. Chaque compte d’utilisateur active cette fonctionnalité individuellement et nécessite une adresse e-mail confirmée.
Avertissement
Si vous créez et activez le paramètre de site Authentication/Registration/MobilePhoneEnabled pour activer la fonctionnalité héritée, une erreur se produit. Ce paramètre de site n’est pas fourni par défaut et n’est pas pris en charge par Power Pages.
Paramètres de site associés :
Authentication/Registration/TwoFactorEnabledAuthentication/Registration/RememberBrowserEnabled
Processus associé : envoyer le code à deux facteurs par courrier électronique au contact
- Le visiteur choisit de recevoir le code de sécurité par e-mail.
- Le visiteur attend l’e-mail contenant le code de sécurité.
- Le visiteur entre le code de sécurité.
- Traitez le worflow Envoyer le code à deux facteurs par e-mail au contact.
- Le visiteur peut désactiver l’authentification à deux facteurs.
Gérer les comptes externes
Un utilisateur authentifié peut connecter, ou enregistrer, plusieurs identités externes à son compte d’utilisateur à partir de chaque fournisseur d’identité configuré. Après avoir connecté les identités, l’utilisateur peut choisir de se connecter en utilisant l’une d’entre elles. Les identités peuvent également être déconnectées tant qu’il reste une seule identité externe ou locale.
Paramètre de site associé : Authentication/Registration/ExternalLoginEnabled
Processus associé : connecter une identité
- Le visiteur sélectionne un fournisseur pour se connecter au compte d’utilisateur.
- Le visiteur se connecte via un fournisseur connecté.
Le fournisseur peut être également déconnecté.
Activer l’authentification ASP.NET Identity
Le tableau suivant décrit les paramètres d’activation et de désactivation de plusieurs fonctionnalités et comportements d’authentification.
| Nom du paramètre du site | Description |
|---|---|
| Authentication/Registration/LocalLoginEnabled | Active ou désactive la connexion au compte local en fonction d’un nom d’utilisateur ou d’une adresse e-mail et d’un mot de passe. Valeur par défaut : True |
| Authentication/Registration/LocalLoginByEmail | Active ou désactive la connexion au compte local en utilisant une adresse e-mail à la place d’un nom d’utilisateur. Valeur par défaut : False. |
| Authentication/Registration/ExternalLoginEnabled | Active ou désactive la connexion et l’inscription du compte externe. Valeur par défaut : True |
| Authentication/Registration/RememberMeEnabled | Active ou désactive une case à cocher Mémoriser mes informations ? au moment de la connexion locale pour que les sessions authentifiées restent actives même si le navigateur Web est fermé. Valeur par défaut : True |
| Authentication/Registration/TwoFactorEnabled | Active ou désactive l’authentification à deux facteurs. Les utilisateurs disposant d’une adresse de messagerie confirmée peuvent choisir la sécurité ajoutée de l’authentification à deux facteurs. Valeur par défaut : False. |
| Authentication/Registration/RememberBrowserEnabled | Active ou désactive une case à cocher Se souvenir de ce navigateur ? au moment de la validation du deuxième facteur (code par courrier électronique) pour conserver la validation du deuxième facteur pour le navigateur actuel. Il n’est pas nécessaire que l’utilisateur passe la validation du deuxième facteur pour les connexions suivantes avec le même navigateur. Valeur par défaut : True |
| Authentication/Registration/ResetPasswordEnabled | Active ou désactive la fonctionnalité de réinitialisation du mot de passe. Valeur par défaut : True |
| Authentication/Registration/ResetPasswordRequiresConfirmedEmail | Active ou désactive la réinitialisation du mot de passe pour les adresses de messagerie confirmées uniquement. Si ce paramètre est activé, les adresses de messagerie non confirmées ne peuvent pas être utilisées pour envoyer les instructions de réinitialisation du mot de passe. Valeur par défaut : False. |
| Authentication/Registration/TriggerLockoutOnFailedPassword | Active ou désactive l’enregistrement des tentatives infructueuses de saisie du mot de passe. Si ce paramètre est désactivé, les comptes d’utilisateur ne sont pas bloqués. Par défaut : True |
| Authentication/Registration/IsDemoMode | Active ou désactive un indicateur en mode Démonstration à utiliser dans les environnements de développement ou de démonstration uniquement. N’activez pas ce paramètre dans les environnements de production. Le mode Démonstration nécessite également que le navigateur Web s’exécute localement sur le serveur d’application Web. Quand le mode Démonstration est activé, le code de réinitialisation du mot de passe et le code du deuxième facteur sont visibles par l’utilisateur pour permettre un accès rapide. Valeur par défaut : False. |
| Authentication/Registration/LoginButtonAuthenticationType | Si un site ne requiert qu’un seul fournisseur d’identité externe pour gérer toute l’authentification, ce paramètre permet au bouton Se connecter d’être directement relié à la page de connexion du fournisseur, au lieu du formulaire de connexion locale intermédiaire et de la page de sélection du fournisseur d’identité. Un seul fournisseur d’identité peut être sélectionné pour cette action. Spécifiez la valeur AuthenticationType du fournisseur. - Pour une configuration de l’authentification unique qui utilise OpenID Connect, par exemple Azure AD B2C, l’utilisateur doit indiquer l’autorité. - Pour les fournisseurs basés sur OAuth 2.0, les valeurs acceptées sont Facebook, Google, Yahoo, Microsoft, LinkedIn ou Twitter.- Pour les fournisseurs basés sur WS-Federation, utilisez la valeur spécifiée pour les paramètres de site Authentication/WsFederation/ADFS/AuthenticationType et Authentication/WsFederation/Azure/\<provider\>/AuthenticationType. |
Activer ou désactiver l’enregistrement des utilisateurs
Le tableau suivant décrit les paramètres d’activation et de désactivation des options d’enregistrement (inscription) des utilisateurs.
| Nom du paramètre du site | Description |
|---|---|
| Authentication/Registration/Enabled | Active ou désactive tous les types d’enregistrement des utilisateurs. L’enregistrement doit être activé pour que les autres paramètres de cette section prennent effet. Valeur par défaut : True |
| Authentication/Registration/OpenRegistrationEnabled | Active ou désactive le formulaire d’enregistrement de l’inscription. Le formulaire d’inscription permet à n’importe quel visiteur anonyme de créer un compte d’utilisateur. Valeur par défaut : True |
| Authentication/Registration/InvitationEnabled | Active ou désactive le formulaire d’acceptation du code d’invitation pour enregistrer les utilisateurs qui possèdent un code d’invitation. Valeur par défaut : True |
| Authentication/Registration/CaptchaEnabled | Active ou le désactive les caractères d’image entrés (captcha) sur la page d’inscription de l’utilisateur. Valeur par défaut : False. Ce paramètre peut ne pas être disponible par défaut. Pour activer les caractères d’image entrés (captcha), vous devez créer le paramètre de site et définir la valeur sur true. |
Assurez-vous que l’adresse e-mail principale est spécifiée pour l’utilisateur. Les utilisateur ne peuvent s’enregistrer qu’avec l’adresse e-mail principale (emailaddress1), et non l’adresse e-mail secondaire (emailaddress2) ou alternative (emailaddress3) de l’enregistrement de contact.
Validation des informations d’authentification de l’utilisateur
Le tableau suivant décrit les paramètres de réglage des paramètres de validation du nom d’utilisateur et du mot de passe. La validation se produit au moment de l’inscription des utilisateurs à un nouveau compte local ou du changement de mot de passe.
| Nom du paramètre du site | Description |
|---|---|
| Authentication/UserManager/PasswordValidator/EnforcePasswordPolicy | Détermine si le mot de passe doit contenir des caractères de trois des catégories suivantes :
|
| Authentication/UserManager/UserValidator/AllowOnlyAlphanumericUserNames | Détermine si seuls les caractères alphanumériques sont autorisés pour le nom d’utilisateur. Valeur par défaut : False. |
| Authentication/UserManager/UserValidator/RequireUniqueEmail | Détermine si une adresse e-mail unique est nécessaire pour valider l’utilisateur. Valeur par défaut : True |
| Authentication/UserManager/PasswordValidator/RequiredLength | Définit la longueur minimale requise pour le mot de passe. Valeur par défaut : 8 |
| Authentication/UserManager/PasswordValidator/RequireNonLetterOrDigit | Détermine si le mot de passe nécessite un caractère spécial. Valeur par défaut : False. |
| Authentication/UserManager/PasswordValidator/RequireDigit | Détermine si le mot de passe nécessite un nombre. Valeur par défaut : False. |
| Authentication/UserManager/PasswordValidator/RequireLowercase | Détermine si le mot de passe nécessite une lettre minuscule. Valeur par défaut : False. |
| Authentication/UserManager/PasswordValidator/RequireUppercase | Détermine si le mot de passe nécessite une lettre majuscule. Valeur par défaut : False. |
Paramètres de verrouillage du compte utilisateur
Le tableau suivant décrit les paramètres qui définissent comment et quand un compte devient verrouillé pour l’authentification. Quand un certain nombre de tentatives infructueuses de saisie du mot de passe est détecté sur une courte période, le compte d’utilisateur est verrouillé pendant un certain temps. L’utilisateur peut réessayer à la fin de la période de verrouillage.
| Nom du paramètre du site | Description |
|---|---|
| Authentication/UserManager/UserLockoutEnabledByDefault | Indique si le verrouillage de l’utilisateur est activé au moment de la création des utilisateurs. Valeur par défaut : True |
| Authentication/UserManager/DefaultAccountLockoutTimeSpan | Définit la durée par défaut pendant laquelle un utilisateur est verrouillé après avoir atteint le nombre maximal de tentatives infructueuses. Valeur par défaut : 24:00:00 (1 jour) |
| Authentication/UserManager/MaxFailedAccessAttemptsBeforeLockout | Nombre maximal de tentatives de connexions infructueuses autorisées avant le verrouillage d’un utilisateur, si le verrouillage est activé. Valeur par défaut : 5 |
Paramètres de site d’authentification de cookie
Le tableau suivant décrit les paramètres de modification du comportement des cookies d’authentification par défaut, définis par la classe CookieAuthenticationOptions.
| Nom du paramètre du site | Description |
|---|---|
| Authentication/ApplicationCookie/AuthenticationType | Définit le type de cookie d’authentification de l’application. Valeur par défaut : ApplicationCookie |
| Authentication/ApplicationCookie/CookieName | Détermine le nom du cookie utilisé pour rendre l’identité persistante. Valeur par défaut : .AspNet.Cookies |
| Authentication/ApplicationCookie/CookieDomain | Détermine le domaine utilisé pour créer le cookie. |
| Authentication/ApplicationCookie/CookiePath | Détermine le chemin d’accès utilisé pour créer le cookie. Valeur par défaut : / |
| Authentication/ApplicationCookie/CookieHttpOnly | Détermine si le navigateur doit autoriser l’accès au cookie par JavaScript côté client. Valeur par défaut : True |
| Authentication/ApplicationCookie/CookieSecure | Détermine si le cookie doit uniquement être transmise à la demande HTTPS. Valeur par défaut : SameAsRequest |
| Authentication/ApplicationCookie/ExpireTimeSpan | Contrôle combien de temps le cookie de l’application reste valide à partir du moment où il a été créé. Valeur par défaut : 24:00:00 (1 jour) |
| Authentication/ApplicationCookie/SlidingExpiration | Indique à l’intergiciel de réémettre un nouveau cookie avec un nouveau délai d’expiration chaque fois qu’il traite une requête qui se trouve à plus de la moitié de la fenêtre d’expiration. Valeur par défaut : True |
| Authentication/ApplicationCookie/LoginPath | Informe l’intergiciel qu’il doit modifier un code d’état sortant 401 Non autorisé en 302 redirection vers le chemin de connexion donné. Valeur par défaut : /signin |
| Authentication/ApplicationCookie/LogoutPath | Si le chemin de déconnexion est fourni par l’intergiciel, alors une demande à ce chemin d’accès est redirigée en fonction de ReturnUrlParameter. |
| Authentication/ApplicationCookie/ReturnUrlParameter | Détermine le nom du paramètre de chaîne de requête ajouté par l’intergiciel quand un code d’état 401 Non autorisé est modifié en 302 redirection vers le chemin de connexion. |
| Authentication/ApplicationCookie/SecurityStampValidator/ValidateInterval | Définit la période de temps entre les validations du tampon de sécurité. Valeur par défaut : 30 minutes |
| Authentication/TwoFactorCookie/AuthenticationType | Définit le type de cookie d’authentification à deux facteurs. Valeur par défaut : TwoFactorCookie |
| Authentication/TwoFactorCookie/ExpireTimeSpan | Contrôle combien de temps le cookie de l’application reste valide à partir du moment où il a été créé. La valeur ne doit pas dépasser six minutes. Valeur par défaut : 5 minutes |
Étapes suivantes
Migrer des fournisseurs d’identité vers Azure AD B2C
Voir aussi
Vue d’ensemble de l’authentification dans Power Pages
Configurer un fournisseur OAuth 2.0
Configurer un fournisseur OpenID Connect
Configurer un fournisseur SAML 2.0
Configurer un fournisseur WS-Federation
Commentaires
Prochainement : Tout au long de l'année 2024, nous supprimerons progressivement les GitHub Issues en tant que mécanisme de retour d'information pour le contenu et nous les remplacerons par un nouveau système de retour d'information. Pour plus d’informations, voir: https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour