Локальна автентифікація, реєстрація та інші параметри
Примітка
З 12 жовтня 2022 року портали Power Apps перейменовано на Power Pages. Додаткова інформація: Microsoft Power Pages тепер у загальному доступі (блоґ)
Незабаром документацію порталів Power Apps буде перенесено та об’єднано з документацією Power Pages.
Важливо
- Для цілей автентифікації рекомендуємо використовувати постачальника посвідчень Azure Active Directory B2C (Azure AD B2C) і вилучити місцевого постачальника посвідчень. Додаткові відомості: Міграція постачальників ідентифікації в Azure AD B2C
- Для налаштування локальної автентифікації необхідно користуватися програмою керування порталом, яка допоможе вручну налаштувати необхідні параметри веб-сайту.
Функція порталів надає функцію автентифікації, створену на базі API ASP.NET Identity . Ідентичність ASP.NET у свою чергу побудована на інфраструктурі обробки OWIN, яка також є важливим компонентом системи перевірки автентичності. Послуги, що надаються, включають в себе:
- Дані місцевого входу (ім'я користувача та пароль)
- Зовнішній вхід (постачальники соціальних мереж) користувача через постачальників посвідчень з третьої сторони
- Двофакторна аутентифікація з електронною поштою
- Підтвердження адреси електронної пошти
- Відновлення пароля
- Реєстрація коду запрошення для реєстрації заздалегідь заповнених записів контактів
Примітка
Поле Мобільний телефон підтверджено у формі порталу для зв’язку таблиці «Контактна особа» в даний момент не використовується. Це поле має використовуватися лише під час оновлення з Adxstudio Portals.
Вимоги
Щоб використовувати Портали, потрібно:
- База Порталів
- Microsoft посвідчення особи
- Пакети рішень робочих циклів ідентифікації Microsoft
Огляд автентифікації
Відвідувачі порталу, які будуть знайдені, мають можливість автентифікації за допомогою облікових даних локального користувача або зовнішніх облікових записів постачальників ідентичності. Новий відвідувач може зареєструвати новий обліковий запис користувача або вводячи ім'я користувача та пароль, або через вхід із зовнішнього постачальника. Відвідувачі, які отримують код запрошення від адміністратора порталу, можуть активувати код в процесі реєстрації нового облікового запису користувача.
Пов’язані настройки сайту:
Authentication/Registration/EnabledAuthentication/Registration/LocalLoginEnabledAuthentication/Registration/ExternalLoginEnabledAuthentication/Registration/OpenRegistrationEnabledAuthentication/Registration/InvitationEnabledAuthentication/Registration/RememberMeEnabledAuthentication/Registration/ResetPasswordEnabled
Вхід за допомогою локального посвідчення або зовнішнього посвідчення
На наведеному нижче зображенні показано варіант входу з використанням локального облікового запису або за допомогою вибору зовнішнього постачальника посвідчень.
Реєстрація за допомогою локального посвідчення або зовнішнього посвідчення
На наведеному нижче зображенні показано екран реєстрації для реєстрації з використанням локального облікового запису або за допомогою вибору зовнішнього постачальника посвідчень.
Викупіть код запрошення вручну
На зображенні нижче показано можливість активувати запрошення за допомогою коду запрошення.
Забутий пароль або скидання пароля
Відображені відвідувачі, яким потрібне скидання пароля (які раніше вказували адресу електронної пошти у своєму профілі користувача), можуть подати запит про надсилання маркера скидання пароля на свою електронну пошту облікового запису. Маркер скидання дозволяє її власнику вибрати новий пароль. Цей маркер також можна проігнорувати, залишивши користувачеві початковий незмінений пароль.
Пов’язані настройки сайту:
Authentication/Registration/ResetPasswordEnabledAuthentication/Registration/ResetPasswordRequiresConfirmedEmail
Пов'язаний процес: надсилання скидання пароля контактній особі
- Налаштуйте електронну пошту в робочому процесі відповідно до необхідності.
- Подайте електронну пошту, щоб запустити процес.
- Відвідувачу буде запропоновано перевірити електронну пошту.
- Відвідувач отримує електронне повідомлення про скидання пароля з інструкціями.
- Відвідувач повертається до форми скидання.
- Скидання пароля завершено.
Використати запрошення
Використання коду запрошення дозволяє зареєструвати відвідувача, який буде пов’язаний з наявним записом контакту, який був підготовлений заздалегідь спеціально для цього відвідувача. Як правило, коди запрошення розсилаються електронною поштою, але ви можете використати загальний код відправки форми для надсилання кодів через інші канали. Після того, як дійсний код запрошення подано, відбувається процес реєстрації звичайного користувача, що дає змогу налаштувати новий обліковий запис користувача.
Пов’язаний параметр сайту:
Authentication/Registration/InvitationEnabled
Пов’язаний процес: Надіслати запрошення
Електронне повідомлення, надіслане через цей робочий цикл, має містити URL-адресу на сторінку використання запрошення на порталі: https://portal.contoso.com/register/?returnurl=%2f&invitation={Invitation Code(Invitation)}
Створити запрошення для нової контактної особи.
Налаштувати і зберегти нове запрошення.
Настроювання запрошення електронною поштою.
Обробіть робочий цикл Надіслати запрошення.
Запрошення електронною поштою відкриває сторінку гасіння запрошення.
Користувач реєструється за допомогою поданого коду запрошення.
Вимкнута реєстрація
Якщо реєстрацію вимкнуто для користувача після того, як користувач прийняв запрошення, відображається повідомлення за допомогою такого фрагменту вмісту:
Ім'я: Account/Register/RegistrationDisabledMessage
Значення: Реєстрацію вимкнуто.
Керування обліковими записами через сторінку профілю користувача
Автентифіковані користувачі керують своїми обліковими записами через навігаційну панель Безпека сторінки профілю. Користувачі не обмежені одним локальним або зовнішнім обліковим записом, обраним під час реєстрації користувача. Користувачі із зовнішнім обліковим записом можуть вибрати створення локального облікового запису, застосовуючи ім'я користувача та пароль. Користувачі, які почали з локального облікового запису, можуть вирішити пов’язати декілька зовнішніх посвідчень зі своїм обліковим записом. На сторінці профілю також нагадується користувачеві про потребу підтвердити свою електронну адресу через запит про підтвердження в електронній пошті, який буде надіслано до його облікового запису електронної пошти.
Пов’язані настройки сайту:
Authentication/Registration/LocalLoginEnabledAuthentication/Registration/ExternalLoginEnabledAuthentication/Registration/TwoFactorEnabled
Встановіть або змініть пароль
Користувач з існуючим локальним обліковим записом може застосувати новий пароль, вказавши початковий. Користувач, який не має локального облікового запису, може вибрати ім’я користувача та пароль, щоб налаштувати новий локальний обліковий запис. Після встановлення імені користувача змінити його не можна.
Пов’язаний параметр сайту:
Authentication/Registration/LocalLoginEnabled
Пов’язані процеси:
- Створіть ім'я користувача та пароль.
- Змініть наявний пароль.
Примітка
Перелічені вище потоки завдань виводяться лише після виклику контактної особи за допомогою програми керування порталами. На ці потоки завдань не впливає майбутнє вилучення потоків завдань.
Підтвердження адреси електронної пошти
Зміна адреси електронної пошти (або перше її встановлення) переводить її в непідтверджений стан. Користувач може подати запит про надсилання електронного листа-підтвердження на нову електронну пошту, і електронне повідомлення буде містити інструкції для користувача щодо завершення процесу підтвердження електронної пошти.
Пов’язаний процес: надішліть підтвердження електронною поштою контактній особі
- Налаштуйте електронну пошту в робочому процесі відповідно до необхідності.
- Користувач надсилає нове повідомлення електронної пошти, яке знаходиться у непідтвердженому стані.
- Користувач перевіряє пошту для підтвердження.
- Настроювання електронного листа-підтвердження.
- Обробіть робочий цикл Відправити підтвердження електронною поштою до контакту.
- Користувач вибирає посилання для підтвердження, щоб завершити процедуру підтвердження.
Примітка
Переконайтеся, що вказано основну адресу електронної для контакту, оскільки електронне повідомлення з підтвердженням надсилається лише на основну адресу електронної пошти (emailaddress1) контактної особи. Підтвердження електронною поштою не надсилаються на допоміжну електронну пошту (emailaddress2) або додаткову електронну пошту (emailaddress3) контактної особи.
Увімкніть двофакторну автентифікацію
Функція двофакторної аутентифікації збільшує безпеку облікового запису користувача, вимагаючи доказів права власності на підтверджену електронну пошту, окрім стандартних локальних чи зовнішніх даних для входу в обліковий запис. Користувачеві, який намагається увійти в обліковий запис за допомогою увімкненої двофакторної автентифікації, надсилається захисний код на підтверджену адресу електронної пошти, що пов'язані з його обліковим записом. Код захисту повинен бути поданий для завершення процесу входу. Користувач може за своїм вибором встановити запам’ятовування браузера, який успішно пройшов перевірку, щоб при наступному вході користувача з використанням того самого браузера не було необхідності ще раз вводити код безпеки. Кожний обліковий запис користувача вмикає цю функцію окремо і вимагає підтвердження електронною поштою.
Попередження
Якщо створити та ввімкнути параметр сайту Authentication/Registration/MobilePhoneEnabled, щоб активувати застарілі функції, станеться помилка. Цей параметр сайту не надається готовим і не підтримується порталами.
Пов’язані настройки сайту:
Authentication/Registration/TwoFactorEnabledAuthentication/Registration/RememberBrowserEnabled
Пов’язаний процес: надіслати контактній особі двофакторний код електронною поштою
- Увімкніть двофакторну автентифікацію.
- Виберіть, щоб отримати код безпеки електронною поштою.
- Чекайте на повідомлення електронною поштою, що містить код захисту.
- Обробіть робочий цикл Надіслати контактній особі двофакторний код електронною поштою. .
- Зараз двоетапна автентифікація може бути вимкнена.
Керування зовнішніми обліковими записами
Автентифікований користувач може підключити (зареєструвати) кілька зовнішніх посвідчень до свого облікового запису користувача, по одному від кожного з налаштованих постачальників посвідчень. Після підключення посвідчень користувач може вибрати вхід за допомогою будь-якого підключеного посвідчення. Наявні посвідчення також можна відключати, оскільки одне зовнішнє або локальне посвідчення залишається.
Пов’язаний параметр сайту:
Authentication/Registration/ExternalLoginEnabled
Параметри сайту зовнішнього постачальника посвідчень
Виберіть постачальника, щоб підключитись до облікового запису користувача.
Увійдіть за допомогою постачальника, якого ви бажаєте підключити.
Постачальника підключено. Постачальник також може бути відключений.
Увімкнути автентифікацію посвідчень ASP.NET
У наведеній далі таблиці описані налаштування для увімкнення та вимкнення різних можливостей автентифікації та поведінки.
| Назва параметра сайту | Опис |
|---|---|
| Authentication/Registration/LocalLoginEnabled | Вмикає або вимикає локальний вхід до облікового запису на основі імені користувача (або електронної пошти) і пароля. Значення за замовчуванням: істина |
| Authentication/Registration/LocalLoginByEmail | Вмикає або вимикає локальний вхід до облікового запису за допомогою поля адреси електронної пошти, а не поля імені користувача. За замовчуванням: "хибність" |
| Authentication/Registration/ExternalLoginEnabled | Вмикає або вимикає зовнішній вхіду та реєстрацію в обліковому записі. Значення за замовчуванням: істина |
| Authentication/Registration/RememberMeEnabled | Вибирає або знімає прапорець Запам’ятати мене? при локальному вході, щоб дозволити продовжувати автентифіковані сеанси, навіть коли веб-браузер закритий. Значення за замовчуванням: істина |
| Authentication/Registration/TwoFactorEnabled | Вмикає або вимикає параметр для користувачів для включення двофакторної автентифікації. Користувачі з підтвердженою електронною адресою можуть перейти у режим додаткової безпеки двофакторної автентифікації. За замовчуванням: "хибність" |
| Authentication/Registration/RememberBrowserEnabled | Вибирає або знімає прапорець Запам’ятати браузер? у факторній перевірці (код електронної пошти), щоб зберегти перевірку другого фактора для поточного браузера. Користувач не повинен буде проходити двофакторну перевірку для наступних входів, доки він використовує той самий браузер. Значення за замовчуванням: істина |
| Authentication/Registration/ResetPasswordEnabled | Вмикає або вимикає функцію скидання пароля. Значення за замовчуванням: істина |
| Authentication/Registration/ResetPasswordRequiresConfirmedEmail | Вмикає або вимикає скидання пароля тільки для підтверджених електронних адрес. Якщо відмічена ця опція, непідтверджені електронні адреси не можуть використовуватися для надсилання інструкції щодо скидання пароля. За замовчуванням: "хибність" |
| Authentication/Registration/TriggerLockoutOnFailedPassword | Вмикає або вимикає запис невдалих спроб введення пароля. Якщо вимкнено, облікові записи користувачів не будуть заблоковані. За замовчуванням: істина |
| Authentication/Registration/IsDemoMode | Вмикає або вимикає прапорець демо-режиму для використання тільки у середовищах розробки або демонстрації. Не вмикайте цей параметр у виробничому середовищі. Демо-режим також вимагає веб-браузера, який працює локально на сервері веб-програм. Коли увімкнуто демо-режим, код скидання пароля і код 2-го фактору відображаються користувачеві для швидкого доступу. За замовчуванням: "хибність" |
| Authentication/Registration/LoginButtonAuthenticationType | Якщо портал вимагає тільки одного зовнішнього провайдера посвідчень (щоб обробляти всю автентифікацію), це дозволяє кнопці Вхід у навігаційній панелі заголовка посилатися на сторінку входу зовнішнього постачальника посвідчень (замість зв'язування проміжних локальних форм входу та сторінки вибору постачальника посвідчень). Можна вибрати лише одного постачальника посвідчень для цієї дії. Укажіть значення AuthenticationType постачальника. Для конфігурації єдиного входу, що використовує OpenID Connect, наприклад, Azure AD B2C, користувач повинен надати повноваження. Для постачальників на базі OAuth 2.0 допустимими є значення Facebook, Google, Yahoo, Microsoft, LinkedIn або Twitter Для постачальників на базі WS-Federation використовуйте значення, вказане для параметрів сайту Authentication/WsFederation/ADFS/AuthenticationType і Authentication/WsFederation/Azure/[provider]/AuthenticationType. Приклади: https://adfs.contoso.com/adfs/services/trust, Facebook-0123456789, Google, Yahoo!, uri:WindowsLiveID. |
Увімкнення або вимкнення реєстрації користувача
Нижче описані настройки для ввімкнення та вимкнення параметрів реєстрації користувача.
| Назва параметра сайту | Опис |
|---|---|
| Authentication/Registration/Enabled | Вмикає або вимикає всі форми реєстрації користувачів. Реєстрація має бути включена, щоб інші параметри в цьому розділі вступили в силу. Значення за замовчуванням: істина |
| Authentication/Registration/OpenRegistrationEnabled | Вмикає або вимикає реєстраційну форму для створення усіх форм користувачів. Форма реєстрації дозволяє будь-якому анонімному відвідувачу порталу створити новий обліковий запис користувача. Значення за замовчуванням: істина |
| Authentication/Registration/InvitationEnabled | Вмикає або вимикає форму активації коду запрошення для реєстрації користувачів, які мають код запрошення. Значення за замовчуванням: істина |
| Authentication/Registration/CaptchaEnabled | Вмикає або вимикає captcha на сторінці реєстрації користувача. За замовчуванням: "хибність" ПРИМІТКА: - Це налаштування сайту може бути недоступне за замовчуванням. Щоб увімкнути captcha, слід створити налаштування сайту та встановити значення true. |
Примітка
Переконайтеся, що основну адресу електронної пошти вказано для користувачів, оскільки реєстрація здійснюється за допомогою основної адреси електронної пошти (emailaddress1) користувача. Він не може бути зареєстрований за допомогою додаткової електронної адреси (emailaddress2) або допоміжної електронної пошти (emailaddress3) контактної особи.
Перевірка облікових даних користувача
Нижче описані настройки для регулювання параметрів перевірки імені користувача та пароля. Перевірка виникає під час реєстрації користувачами нового локального облікового запису або під час зміни пароля.
| Назва параметра сайту | Опис |
|---|---|
| Authentication/UserManager/PasswordValidator/EnforcePasswordPolicy | Визначає, чи містить пароль символи із трьох вказаних нижче категорій:
|
| Authentication/UserManager/UserValidator/AllowOnlyAlphanumericUserNames | Визначає, чи дозволяти тільки алфавітно-цифрові символи для імені користувача. За замовчуванням: "хибність" |
| Authentication/UserManager/UserValidator/RequireUniqueEmail | Визначає, чи потрібна унікальна електронна адреса для перевірки користувача. Значення за замовчуванням: істина |
| Authentication/UserManager/PasswordValidator/RequiredLength | Мінімально необхідна довжина пароля. За замовчуванням: 8 |
| Authentication/UserManager/PasswordValidator/RequireNonLetterOrDigit | Визначає, чи повинен пароль містити нелітерні або цифрові символи. За замовчуванням: "хибність" |
| Authentication/UserManager/PasswordValidator/RequireDigit | Визначає, чи повинен пароль містити числові символи (від 0 до 9). За замовчуванням: "хибність" |
| Authentication/UserManager/PasswordValidator/RequireLowercase | Визначає, чи повинен пароль містити маленькі букви (а – я). За замовчуванням: "хибність" |
| Authentication/UserManager/PasswordValidator/RequireUppercase | Визначає, чи повинен пароль містити великі букви (а – я). За замовчуванням: "хибність" |
Настройки блокування облікового запису користувача
Нижче описані настройки, які визначають, яким чином і коли обліковий запис буде заблоковано від аутентифікації. Коли певну кількість невдалих спроб введення паролів виявлено за короткий час, обліковий запис користувача буде заблоковано на певний період часу. Користувач може повторити спробу після того, як мине період блокування.
| Назва параметра сайту | Опис |
|---|---|
| Authentication/UserManager/UserLockoutEnabledByDefault | Вказує, чи блокування користувача увімкнене, коли створюються користувачі. За замовчуванням: true |
| Authentication/UserManager/DefaultAccountLockoutTimeSpan | За замовчуванням кількість часу, що є заблокованим для користувача після того, як буде досягнуто Authentication/UserManager/MaxFailedAccessAttemptsBeforeLockout. За замовчуванням: 24:00:00 (1 доба) |
| Authentication/UserManager/MaxFailedAccessAttemptsBeforeLockout | Максимальна кількість спроб доступу, що допускається перш ніж користувача заблоковано (якщо включене блокування). За замовчуванням: 5 |
Параметри сайту автентифікації файлів Cookie
Нижче описуються настройки для змінення поведінки файлів cookie за замовчуванням, визначеної класом CookieAuthenticationOptions.
| Назва параметра сайту | Опис |
|---|---|
| Authentication/ApplicationCookie/AuthenticationType | Тип файлу cookie автентифікації програми. За замовчуванням: ApplicationCookie |
| Authentication/ApplicationCookie/CookieName | Визначає ім'я файлу cookie, що використовується для зберігання ідентичності. За замовчуванням: .AspNet.Cookies |
| Authentication/ApplicationCookie/CookieDomain | Визначає домен, що використовується для створення файлу cookie. |
| Authentication/ApplicationCookie/CookiePath | Визначає перелік дій, що використовується для створення файлу cookie. За замовчуванням: / |
| Authentication/ApplicationCookie/CookieHttpOnly | Визначає, чи має браузер дозволяти файлам cookie бути доступними на стороні клієнта JavaScript. Значення за замовчуванням: істина |
| Authentication/ApplicationCookie/CookieSecure | Визначає, чи файл cookie має передаватися лише за запитом HTTPS. За замовчуванням: SameAsRequest |
| Authentication/ApplicationCookie/ExpireTimeSpan | Визначає кількість часу, поки файл cookie програми залишається дійсним з моменту створення. За замовчуванням: 24:00:00 (1 доба) |
| Authentication/ApplicationCookie/SlidingExpiration | Для SlidingExpiration встановлено значення true, щоб вказувати проміжним засобам повторно оформити новий файл cookie з новим часом завершення терміну дії будь-коли під час обробки запиту, що вже наполовину виконаний у вікні терміну дії. Значення за замовчуванням: істина |
| Authentication/ApplicationCookie/LoginPath | Властивість LoginPath повідомляє проміжні засоби, що слід змінити вихідний код 401 несанкціонованого стану на 302 — перенаправлення на певний перелік дій для входу. За замовчуванням: /signin |
| Authentication/ApplicationCookie/LogoutPath | Шлях виходу надається проміжними засобами, запит до цього шляху буде переадресований на базі ReturnUrlParameter. |
| Authentication/ApplicationCookie/ReturnUrlParameter | ReturnUrlParameter визначає ім’я параметра рядка запиту, який буде додано до проміжного засобу, якщо код 401-Несанкціонований стан змінюється на 302-Переадресація на шлях для входу. |
| Authentication/ApplicationCookie/SecurityStampValidator/ValidateInterval | Період часу між перевірками печаті безпеки. За замовчуванням: 30 хвилин |
| Authentication/TwoFactorCookie/AuthenticationType | Тип файлу cookie двофакторної автентифікації. За замовчуванням: TwoFactorCookie |
| Authentication/TwoFactorCookie/ExpireTimeSpan | Визначає кількість часу, поки двофакторний файл cookie залишається дійсним з моменту створення. Значення не має перевищувати 6 хв. За замовчуванням: 5 хвилин |
Наступні кроки
Міграція постачальників ідентифікації в Azure AD B2C
Статті за темою
Огляд автентифікації на порталах Power Apps
Налаштування постачальника OAuth 2.0 для порталів
Налаштування постачальника OpenID Connect для порталів
Налаштування постачальника SAML 2.0 для порталів
Налаштування постачальника WS-Federation для порталів
Параметри автентифікації порталів Power Apps
Примітка
Розкажіть нам про свої уподобання щодо мови документації? Візьміть участь в короткому опитуванні. (зверніть увагу, що це опитування англійською мовою)
Проходження опитування займе близько семи хвилин. Персональні дані не збиратимуться (декларація про конфіденційність).
Зворотний зв’язок
Очікується незабаром: протягом 2024 року ми будемо припиняти використання механізму реєстрації проблем у GitHub для зворотного зв’язку щодо вмісту й замінювати його новою системою зворотного зв’язку. Докладніше: https://aka.ms/ContentUserFeedback.
Надіслати й переглянути відгук про