Autenticação local, registo e outras definições
Nota
A partir de 12 de outubro de 2022, os portais do Power Apps passam a ser Power Pages. Mais informações: O Microsoft Power Pages está agora em disponibilidade geral (blogue)
Em breve, vamos migrar e unir a documentação dos portais do Power Apps com a documentação do Power Pages.
Importante
- Recomendamos que utilize o fornecedores de identidades do Azure Active Directory B2C (Azure AD B2C) para autenticação e pretira o fornecedor de identidade para o seu portal. Mais informação: Migrar fornecedores de identidade para o Azure AD B2C
- Configurar a autenticação local requer a utilização da aplicação Gestão de Portais para configurar manualmente as definições do site necessárias.
As funcionalidades do portal fornecem a funcionalidade de autenticação incorporada na ASP.NET Identidade do API. Por sua vez, a Identidade do ASP.NET está incorporada na arquitetura OWIN que também é um componente importante do sistema de autenticação. Os serviços fornecidos incluem:
- Início de sessão de utilizador local (nome de utilizador/palavra-passe)
- Início de sessão de utilizador externo (fornecedor de redes sociais) através de fornecedores de identidade de terceiros
- Autenticação de dois fatores com e-mail
- Confirmação do endereço de e-mail
- Recuperação de palavras-passe
- Inscrição de códigos de convite para registar registos de contacto pré-preenchidos
Nota
O campo Número do Telemóvel Confirmado no formulário Contacto do Portal da tabela Contacto atualmente não tem função. Este campo tem de ser utilizado apenas ao atualizar a partir do Adxstudio Portals.
Requisitos
Os portais requerem:
- Portal de Base
- Identidade Microsoft
- Pacotes de soluções Microsoft Identity Workflows
Descrição geral da autenticação
Os visitantes do portal que regressam podem autenticar-se através das credenciais de utilizador local ou das contas de fornecedor de identidades externas. Um novo visitante pode registar-se numa nova conta de utilizador ao fornecer um nome de utilizador e palavra-passe ou ao iniciar sessão através de um fornecedor externo. Os visitantes que recebam um código de convite do administrador do portal têm a opção de resgatar o código no processo de inscrição para obter uma nova conta de utilizador.
Definições do site relacionadas:
Authentication/Registration/EnabledAuthentication/Registration/LocalLoginEnabledAuthentication/Registration/ExternalLoginEnabledAuthentication/Registration/OpenRegistrationEnabledAuthentication/Registration/InvitationEnabledAuthentication/Registration/RememberMeEnabledAuthentication/Registration/ResetPasswordEnabled
Iniciar sessão utilizando uma identidade local ou identidade externa
A imagem a seguir mostra uma opção de início de sessão com a utilização de uma conta local ou selecionando um fornecedor de identidade externo.
Iniciar sessão utilizando uma identidade local ou identidade externa
A imagem a seguir mostra um ecrã de início de sessão para se registar usando uma conta local ou selecionando um fornecedor de identidade externo.
Resgatar um código de convite manualmente
A imagem a seguir mostra a opção de resgatar um convite usando o código de convite.
Palavra-passe esquecida ou repor a palavra-passe
Os visitantes que regressam que precisem de repor uma palavra-passe (e que especificaram anteriormente um endereço de e-mail no respetivo perfil de utilizador) podem pedir um token de reposição de palavra-passe para a respetiva conta de e-mail. Um token de reposição permite ao proprietário escolher uma nova palavra-passe. O token também pode ser abandonado e deixar a palavra-passe original do utilizador por modificar.
Definições do site relacionadas:
Authentication/Registration/ResetPasswordEnabledAuthentication/Registration/ResetPasswordRequiresConfirmedEmail
Processo relacionado: Enviar uma reposição de palavra-passe para um contacto
- Personalize o e-mail no fluxo de trabalho conforme for necessário.
- Submeter o e-mail para processo de invocação.
- É solicitado ao visitante que consulte o e-mail.
- O visitante recebe o e-mail de redefinição da palavra-passe com instruções.
- O visitante regressa ao formulário de reposição.
- A reposição da palavra-passe está concluída.
Resgatar um convite
O resgate de um código de convite permite que um visitante a efetuar o registo seja associado a um registo de contacto existente que tenha sido preparado antecipadamente especificamente para esse visitante. Normalmente, os códigos de convite são enviados por e-mail, mas pode utilizar um formulário de submissão de códigos geral para enviar os códigos através de outros canais. Depois de submetido um código de convite válido, o processo normal de registo (inscrição) de utilizador normal decorre para configurar a nova conta de utilizador.
Definição do site relacionada:
Authentication/Registration/InvitationEnabled
Processo relacionado: Enviar convite
O e-mail enviado por este fluxo de trabalho tem de ser personalizado utilizando o URL para a página de convite de resgate no portal: https://portal.contoso.com/register/?returnurl=%2f&invitation={Invitation Code(Invitation)}
Criar um convite para um novo contacto.
Personalizar e guardar o novo convite.
Personalize o e-mail do convite.
Processar o fluxo de trabalho de Enviar convite.
O e-mail do convite abre a página de resgate.
O utilizador inscreve-se utilizando o código de convite submetido.
Registo desativado
Se o registo estiver desativado para um utilizador após este ter resgatado um convite, poderá apresentar uma mensagem utilizando o seguinte fragmento de conteúdo:
Nome: Conta/Registo/RegistrationDisabledMessage
Valor: O registo foi desativado.
Gerir contas de utilizador através de páginas de perfil
Os utilizadores autenticados gerem as respetivas contas de utilizador através da barra de navegação Segurança da página de perfil. Os utilizadores não estão limitados à conta local individual ou à conta externa individual escolhida no momento do registo do utilizador. Os utilizadores que tiverem uma conta externa podem optar por criar uma conta local ao aplicar um nome de utilizador e palavra-passe. Os utilizadores que começaram com uma conta local podem optar por associar várias identidades externas à respetiva conta. A página de perfil é também onde o utilizador é lembrado para confirmar o respetivo endereço de e-mail ao pedir para ser enviado um e-mail de confirmação para a respetiva conta de e-mail.
Definições do site relacionadas:
Authentication/Registration/LocalLoginEnabledAuthentication/Registration/ExternalLoginEnabledAuthentication/Registration/TwoFactorEnabled
Definir ou alterar uma palavra-passe
Um utilizador que tenha uma conta local existente pode aplicar uma nova palavra-passe ao fornecer a palavra-passe original. Um utilizador que não tenha uma conta local pode escolher um nome de utilizador e palavra-passe para configurar uma nova conta local. O nome de utilizador não pode ser alterado depois de definido.
Definição do site relacionada:
Authentication/Registration/LocalLoginEnabled
Processos relacionados:
- Criar um nome de utilizador e palavra-passe.
- Alterar uma palavra-passe existente.
Nota
Os fluxos de tarefas acima referidos só funcionam quando invocados num contacto através da aplicação Gestão do portal. Estes fluxos de tarefas não são afetados pela próxima desvalorização dos fluxos de tarefas.
Confirmar um endereço de correio eletrónico
Ao alterar um e-mail (ou ao defini-lo pela primeira vez) coloca-o num estado não confirmado. O utilizador pode pedir para ser enviado um e-mail de confirmação para o respetivo novo endereço com as instruções para o utilizador para concluir o processo de confirmação de e-mail.
Processo relacionado: Enviar uma confirmação por e-mail para um contacto
- Personalize o e-mail no fluxo de trabalho conforme for necessário.
- O utilizador submete um novo e-mail, que está num estado não confirmado.
- O utilizador consulta o e-mail para confirmação.
- Personalize o e-mail de confirmação.
- Processar o fluxo de trabalho de Enviar uma confirmação por e-mail para um contacto.
- O utilizador seleciona a ligação de confirmação para concluir o processo de confirmação.
Nota
Certifique-se de que especificou um e-mail para o contacto, uma vez que o e-mail de confirmação é enviado apenas para o e-mail principal (emailaddress1) do contacto. O e-mail de confirmação não é enviado para o e-mail secundário (emailaddress2) ou e-mail alternativo (emailaddress3) nos registos do contacto.
Ativar a autenticação de dois fatores
A funcionalidade de autenticação de dois fatores aumenta a segurança da conta de utilizador ao exigir uma prova de propriedade de um e-mail confirmado, além do início de sessão na conta local ou externa padrão. Um utilizador que tenta iniciar sessão numa conta com a autenticação de fatores ativada recebe um código de segurança no e-mail confirmado associado à respetiva conta. O código de segurança tem de ser submetido para concluir o processo de início de sessão. Um utilizador pode optar por memorizar o browser que passa com êxito a validação para o código de segurança não ser necessário no próximo início de sessão com o mesmo browser. Cada conta de utilizador ativa esta funcionalidade individualmente e requer um e-mail confirmado.
Aviso
Se criar e ativar a definição do site Authentication/Registration/MobilePhoneEnabled para ativar a funcionalidade legada, ocorrerá um erro. Esta configuração do site não é fornecida fora da caixa e não é suportada por portais.
Definições do site relacionadas:
Authentication/Registration/TwoFactorEnabledAuthentication/Registration/RememberBrowserEnabled
Processo relacionado: Enviar código de dois fatores de e-mail com para um contacto
- Ative a autenticação de dois fatores.
- Opte por receber o código de segurança por e-mail.
- Aguarde pelo e-mail que contém o código de segurança.
- Processar Enviar E-mail com Código de Dois Fatores para o Contacto. fluxo de trabalho.
- A autenticação de dois fatores pode ser desativada.
Gerir contas externas
Um utilizador autenticado poderá ligar (registar) várias identidades externas para a sua conta de utilizador a partir de cada fornecedor de identidade configurado. Após as entidades estarem ligadas, o utilizador poderá optar por iniciar sessão com qualquer uma das identidades ligadas. As identidades existentes também podem ser desligadas, desde que a identidade externa local permaneça.
Definição do site relacionada:
Authentication/Registration/ExternalLoginEnabled
Definições de site de fornecedor de identidade externo
Selecione um fornecedor ao qual associar a sua conta de utilizador.
Inicie sessão utilizando o fornecedor que pretende ligar.
O fornecedor está agora ligado. O fornecedor também pode ser desligado.
Ativar a autenticação da identidade do ASP.NET
A tabela que se segue descreve as definições para ativar e desativar vários comportamentos e funcionalidades de autenticação:
| Nome de definição do site | Descrição |
|---|---|
| Autenticação/Registo/LocalLoginEnabled | Ativa ou desativa o início de sessão na conta local com base num nome de utilizador (ou e-mail) e palavra-passe. Predefinição: true |
| Autenticação/Registo/LocalLoginByEmail | Ativa ou desativa o início de sessão na conta local utilizando o campo endereço de e-mail em vez de um campo de nome de utilizador. Predefinição: false |
| Autenticação/Registo/ExternalLoginEnabled | Ativa ou desativa o registo e o início de sessão na conta externa. Predefinição: true |
| Autenticação/Registo/RememberMeEnabled | Seleciona ou desmarca uma caixa de verificação Lembrar-me? no início de sessão local para permitir sessões autenticadas persistentes, mesmo quando o browser está fechado. Predefinição: true |
| Autenticação/Registo/TwoFactorEnabled | Ativa ou desativa a opção para os utilizadores ativarem a autenticação de dois fatores. Os utilizadores com um endereço de e-mail confirmado podem optar pela segurança adicional da autenticação de dois fatores. Predefinição: false |
| Autenticação/Registo/RememberBrowserEnabled | Seleciona ou desmarca uma caixa de verificação Memorizar browser? na validação do segundo fator (código por e-mail) para persistir a validação do segundo fator no browser atual. O utilizador não terá de passar a validação do segundo fator nos seus inícios de sessão subsequentes, desde que esteja a ser utilizado o mesmo browser. Predefinição: true |
| Autenticação/Registo/ResetPasswordEnabled | Ativa ou desativa a funcionalidade de reposição da palavra-passe. Predefinição: true |
| Autenticação/Registo/ResetPasswordRequiresConfirmedEmail | Ativa ou desativa a reposição da palavra-passe apenas para endereços de e-mail. Se ativado, os endereços de e-mail não confirmados não poderão ser utilizados para enviar instruções de reposição de palavra-passe. Predefinição: false |
| Autenticação/Registo/TriggerLockoutOnFailedPassword | Ativa ou desativa o registo das tentativas de palavra-passe falhadas. Se desativado, as contas de utilizador não serão bloqueadas. Predefinição: verdadeiro |
| Autenticação/Registo/IsDemoMode | Ativa ou desativa um sinalizador de modo de demonstração a utilizar apenas em ambientes de desenvolvimento ou demonstração. Não ative esta definição nos ambientes de produção. O modo de demonstração também exige que o browser esteja em execução localmente no servidor de aplicações Web. Quando o modo de demonstração é ativado, o código de reposição de palavra-passe e o código do segundo fator são apresentados ao utilizador para acesso rápido. Predefinição: false |
| Autenticação/Registo/LoginButtonAuthenticationType | Se um portal necessitar apenas de um único fornecedor de identidade externo (para processar toda a autenticação), isto permite que o botão Iniciar Sessão da barra de navegação do cabeçalho esteja ligado diretamente à página de início de sessão desse fornecedor de identidade externo (em vez de ligar ao formulário de início de sessão local intermédio ou a página de seleção do fornecedor de identidade). Só pode ser selecionado um fornecedor de identidade para esta ação. Especifique o valor AuthenticationType do fornecedor. Para uma configuração de início de sessão único utilizando OpenID Connect, como utilizar o Azure AD B2C, o utilizador tem de fornecer a Autoridade. Para os fornecedores baseados em OAuth 2.0–os valores aceites são: Facebook, Google, Yahoo, Microsoft, LinkedIn ou Twitter Para os fornecedores baseados em WS-Federation–os fornecedores utilizam o valor especificado para as definições de site Authentication/WsFederation/ADFS/AuthenticationType e Authentication/WsFederation/Azure/[provider]/AuthenticationType. Exemplos: https://adfs.contoso.com/adfs/services/trust, Facebook-0123456789, Google, Yahoo!, uri:WindowsLiveID. |
Ativar ou desativar o registo de utilizador
Em seguida, são descritas as definições para ativar e desativar as opções de registo (inscrição).
| Nome de definição do site | Descrição |
|---|---|
| Autenticação/Registo/Ativado | Ativa ou desativa todos os formulários de registo de utilizador. O registo tem de ser ativado para as outras definições nesta secção para produzir efeitos. Predefinição: true |
| Autenticação/Registo/OpenRegistrationEnabled | Ativa ou desativa o formulário de registo para criar todos os tipos de utilizadores. O formulário de inscrição permite a qualquer visitante anónimo do portal criar uma nova conta de utilizador. Predefinição: true |
| Autenticação/Registo/InvitationEnabled | Ativa ou desativa o formulário de resgate do código do convite para registar os utilizadores que têm códigos de convite. Predefinição: true |
| Autenticação/Registo/CaptchaEnabled | Ativa ou desativa captcha na página de registo do utilizador. Predefinição: false NOTA: - Esta definição do site pode não estar disponível por predefinição. Para ativar captcha, tem de criar a definição do site e definir o respetivo valor como verdadeiro. |
Nota
Certifique-se de que definiu uma e-mail principal para o utilizador, uma vez que o registo é efetuado utilizando o e-mail principal (emailaddress1) do utilizador. O utilizador não pode ser registado através do e-mail secundário (emailaddress2) ou o e-mail alternativo (emailaddress3) no registo do contacto.
Validação de credenciais de utilizador
Em seguida, são descritas as definições para ajustar os parâmetros de validação de nome de utilizador e palavra-passe. A validação ocorre quando os utilizadores se inscrevem numa nova conta local ou alteram uma palavra-passe.
| Nome de definição do site | Descrição |
|---|---|
| Autenticação/UserManager/PasswordValidator/EnforcePasswordPolicy | Determina se a palavra-passe contém caracteres de três das seguintes categorias:
|
| Autenticação/UserManager/UserValidator/AllowOnlyAlphanumericUserNames | Determina se permitir apenas carateres alfanuméricos para o nome de utilizador. Predefinição: false |
| Autenticação/UserManager/UserValidator/RequireUniqueEmail | Determina se um e-mail exclusivo é necessário para validar o utilizador. Predefinição: true |
| Autenticação/UserManager/PasswordValidator/RequiredLength | O comprimento mínimo obrigatório da palavra-passe. Predefinição: 8 |
| Autenticação/UserManager/PasswordValidator/RequireNonLetterOrDigit | Determina se a palavra-passe exige um caráter de dígito ou diferente de letra. Predefinição: false |
| Autenticação/UserManager/PasswordValidator/RequireDigit | Determina se a palavra-passe exigir um dígito (de 0 a 9). Predefinição: false |
| Autenticação/UserManager/PasswordValidator/RequireLowercase | Determina se a palavra-passe exigir uma letra minúscula (de a a z). Predefinição: false |
| Autenticação/UserManager/PasswordValidator/RequireUppercase | Determina se a palavra-passe exigir uma letra maiúscula (de A a Z). Predefinição: false |
Definições de bloqueio da conta de utilizador
Em seguida, são descritas as definições que definem como e quando uma conta fica bloqueada da autenticação. Quando é detetado um determinado número de tentativas de palavra-passe falhadas num curto intervalo de tempo, a conta de utilizador é bloqueada por um determinado período de tempo. O utilizador pode tentar novamente depois de decorrido o período de bloqueio.
| Nome de definição do site | Descrição |
|---|---|
| Autenticação/UserManager/UserLockoutEnabledByDefault | Indica se o bloqueio do utilizador está ativado quando os utilizadores são criados. Predefinição: true |
| Autenticação/UserManager/DefaultAccountLockoutTimeSpan | O período predefinido de tempo que um utilizador é bloqueado depois de atingir Autenticação/UserManager/MaxFailedAccessAttemptsBeforeLockout. Predefinição: 24:00:00 (1 dia) |
| Autenticação/UserManager/MaxFailedAccessAttemptsBeforeLockout | O número máximo de tentativas de acesso permitido antes de um utilizador ser bloqueado (se o bloqueio estiver ativado). Predefinição: 5 |
Definições do local de autenticação de cookies
O seguinte descreve as definições para modificar o comportamento de cookies de autenticação predefinido, definidos pela classe CookieAuthenticationOptions.
| Nome de definição do site | Descrição |
|---|---|
| Authentication/ApplicationCookie/AuthenticationType | O tipo do cookie de autenticação da aplicação. Predefinição: ApplicationCookie |
| Authentication/ApplicationCookie/CookieName | Determina o nome do cookie utilizado para persistir a identidade. Predefinição: .AspNet.Cookies |
| Authentication/ApplicationCookie/CookieDomain | Determina o domínio utilizado para criar o cookie. |
| Authentication/ApplicationCookie/CookiePath | Determina o caminho utilizado para criar o cookie. Predefinição: / |
| Authentication/ApplicationCookie/CookieHttpOnly | Determina se o browser deve permitir que o cookie seja acedido pelo JavaScript do lado do cliente. Predefinição: true |
| Authentication/ApplicationCookie/CookieSecure | Determina se o cookie só deve ser transmitido por pedido HTTPS. Predefinição: SameAsRequest |
| Autenticação/ApplicationCookie/ExpireTimeSpan | Controla quanto tempo o cookie da aplicação permanecerá válido a partir do momento em que é criado. Predefinição: 24:00:00 (1 dia) |
| Authentication/ApplicationCookie/SlidingExpiration | O SlidingExpiration é definido como verdadeiro para instruir o middleware a tornar a emitir um novo cookie com um novo tempo de expiração sempre que processar um pedido que esteja a meio do período de expiração. Predefinição: true |
| Authentication/ApplicationCookie/LoginPath | A propriedade LoginPath informa o middleware que deve alterar um código de estado 401 Não autorizado de saída para um redirecionamento 302 no caminho de início de sessão fornecido. Predefinição: /signin |
| Authentication/ApplicationCookie/LogoutPath | Se o percurso de fecho de sessão for fornecido com o middleware, um pedido para esse caminho será redirecionado com base no ReturnUrlParameter. |
| Authentication/ApplicationCookie/ReturnUrlParameter | O ReturnUrlParameter determina o nome do parâmetro da cadeia de consulta que é anexado pelo middleware quando um código de estado 401 Não autorizado é alterado para um redirecionamento 302 no caminho de início de sessão. |
| Authentication/ApplicationCookie/SecurityStampValidator/ValidateInterval | O período de tempo entre as validações do carimbo de segurança. Predefinição: 30 minutos |
| Authentication/TwoFactorCookie/AuthenticationType | O tipo de cookie de autenticação de dois fatores. Predefinição: TwoFactorCookie |
| Authentication/TwoFactorCookie/ExpireTimeSpan | Controla quanto tempo um cookie de dois fatores permanecerá válido a partir do momento em que foi criado. O valor não deve exceder os 6 minutos. Predefinição: 5 minutos |
Passos seguintes
Migrar fornecedores de identidade para o Azure AD B2C
Consulte também
Descrição geral da autenticação em portais Power Apps
Configurar um fornecedor OAuth 2.0 para portais
Configurar um fornecedor Open ID Connect para portais
Configurar um fornecedor SAML 2.0 para portais
Configurar um fornecedor de WS-Federation para portais
Definições de autenticação dos portais do Power Apps
Nota
Pode indicar-nos as suas preferências no que se refere ao idioma da documentação? Responda a um breve inquérito. (tenha em atenção que o inquérito está em inglês)
O inquérito irá demorar cerca de sete minutos. Não são recolhidos dados pessoais (declaração de privacidade).
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários