Поділитися через

Локальна автентифікація, реєстрація та інші параметри

  • Стаття

Важливо

Рекомендуємо використовувати Azure AD постачальника посвідчень B2C для автентифікації на сайті Power Pages і вилучення локального постачальника посвідчень.

Power Pages забезпечує можливості автентифікації на основі API Ідентичність ASP.NET. Ідентичність ASP.NET у свою чергу побудована на інфраструктурі обробки OWIN, яка також є важливим компонентом системи перевірки автентичності. Power Pages надає такі послуги:

  • Локальна автентифікація (ім'я користувача/пароль)
  • Зовнішня автентифікація (постачальники соціальних мереж) користувача через постачальників посвідчень з третьої сторони
  • Двофакторна аутентифікація з електронною поштою
  • Підтвердження адреси електронної пошти
  • Відновлення пароля
  • Реєстрація коду запрошення для реєстрації заздалегідь заповнених записів контактів

Нотатка

Стовпець Mobile Phone Confirmed у записі контактної особи не використовується, якщо їх не оновити Adxstudio Portals.

Вимоги

Power Pages вимагає:

  • База Порталів
  • Ідентифікація Microsoft
  • Пакети рішень робочих циклів ідентифікації Microsoft

Автентифікація та реєстрація

Відвідувачі сайту, які будуть знайдені, мають можливість автентифікації за допомогою облікових даних локального користувача або зовнішніх облікових записів постачальників ідентичності. Новий відвідувач може зареєструвати обліковий запис користувача або вводячи ім'я користувача та пароль, або через вхід із зовнішнього постачальника. Відвідувачі, які отримують код запрошення від адміністратора сайту, можуть активувати код в процесі реєстрації нового облікового запису користувача.

Пов’язані настройки сайту:

  • Authentication/Registration/Enabled
  • Authentication/Registration/LocalLoginEnabled
  • Authentication/Registration/ExternalLoginEnabled
  • Authentication/Registration/OpenRegistrationEnabled
  • Authentication/Registration/InvitationEnabled
  • Authentication/Registration/RememberMeEnabled
  • Authentication/Registration/ResetPasswordEnabled

Скинути пароль

Відвідувачі, які повернулися і вказали адресу електронної пошти під час реєстрації, можуть подати запит на надсилання маркера скидання пароля на їхній обліковий запис електронної пошти. Маркер скидання дозволяє її власнику вибрати новий пароль. Цей маркер також можна проігнорувати, залишивши користувачеві початковий незмінений пароль.

Пов’язані настройки сайту:

  • Authentication/Registration/ResetPasswordEnabled
  • Authentication/Registration/ResetPasswordRequiresConfirmedEmail

Пов'язаний процес: надсилання скидання пароля контактній особі

  1. У відвідувача є адреса електронної пошти.
  2. Подайте адресу електронної пошти, щоб запустити процес.
  3. Відвідувачу буде запропоновано перевірити електронну пошту.
  4. Відвідувач отримує електронне повідомлення про скидання пароля з інструкціями.
  5. Відвідувач повернеться до форми скидання та вибирає новий пароль.
  6. Скидання пароля завершено.

Використати запрошення

Використання коду запрошення дозволяє зареєструвати відвідувача, який буде пов’язаний з наявним записом контакту, який був підготовлений заздалегідь спеціально для цього відвідувача. Зазвичай коди запрошення надсилаються електронною поштою. Ви можете використовувати загальну форму подання коду, щоб надсилати коди через інші канали. Після того, як відвідувач надсилає дійсний код запрошення, відбувається процес реєстрації звичайного користувача, що дає змогу налаштувати новий обліковий запис користувача.

Пов’язаний параметр сайту: Authentication/Registration/InvitationEnabled

Пов’язаний процес: Надіслати запрошення

Налаштуйте електронний лист із запрошенням, щоб включити URL-адресу сторінки активації запрошення на вашому сайті.

  1. Створити запрошення для нової контактної особи.
  2. Налаштувати і зберегти запрошення.
  3. Настроювання запрошення електронною поштою.
  4. Обробіть робочий цикл надсилання запрошення.
  5. Запрошення електронною поштою відкриває сторінку гасіння запрошення.
  6. Користувач надсилає кож запрошення для входу.

Вимкнута реєстрація

Якщо реєстрацію вимкнуто для користувача після того, як користувач прийняв запрошення, відображається повідомлення за допомогою такого фрагменту вмісту: Account/Register/RegistrationDisabledMessage

Керування обліковими записами через сторінку профілю користувача

Автентифіковані користувачі керують своїми обліковими записами через параметр Безпека сторінки профілю. Користувачі не обмежені одним локальним або зовнішнім обліковим записом, обраним під час реєстрації. Користувачі із зовнішнім обліковим записом можуть вибрати створення локального облікового запису, надаючи ім'я користувача та пароль. Користувачі, які почали з локального облікового запису, можуть вирішити пов’язати декілька зовнішніх посвідчень зі своїм обліковим записом. На сторінці профілю також нагадується користувачеві про потребу підтвердити свою електронну адресу через запит про підтвердження в електронній пошті, який буде надіслано до його облікового запису електронної пошти.

Пов’язані настройки сайту:

  • Authentication/Registration/LocalLoginEnabled
  • Authentication/Registration/ExternalLoginEnabled
  • Authentication/Registration/TwoFactorEnabled

Встановіть або змініть пароль

Користувач з локальним обліковим записом може вибрати новий пароль, вказавши початковий. Користувач, який не має локального облікового запису, може вибрати ім’я користувача та пароль, щоб налаштувати новий локальний обліковий запис. Після встановлення імені користувача змінити його не можна.

Пов’язаний параметр сайту: Authentication/Registration/LocalLoginEnabled

Пов’язані процеси:

  • Створіть ім'я користувача та пароль
  • Змінити пароль

Ці потоки завдань працюють лише після виклику за допомогою програми керування порталами. На ці потоки завдань не впливає майбутнє вилучення потоків завдань.

Підтвердження адреси електронної пошти

Зміна електронної адреси або її встановлення вперше позначає її як непідтверджену. Користувач може надіслати запит підтвердження електронною поштою на нову адресу електронної пошти. У електронному листі містяться інструкції щодо завершення процесу підтвердження електронної пошти.

Пов’язаний процес: надішліть підтвердження електронною поштою контактній особі

  1. Користувач надсилає нову непідтверджену адресу електронної пошти.
  2. Користувач перевіряє пошту для повідомлення підтвердження.
  3. Робочий процес обробки підтвердження електронною поштою до контакту.
  4. Користувач вибирає посилання для підтвердження, щоб завершити процедуру підтвердження.

Переконайтеся, що для контакту вказано основну електронну адресу. Електронний лист із підтвердженням надсилається лише на основну електронну адресу (emailaddress1), а не на додаткову (emailaddress2) або альтернативну (emailaddress3) адресу запису контакту.

Увімкніть двофакторну автентифікацію

Двофакторна автентифікація підвищує безпеку облікового запису користувача, вимагаючи підтвердження власності на підтверджену адресу електронної пошти на додаток до стандартної локальної або зовнішньої автентифікації облікового запису. Коли користувач намагається ввійти в обліковий запис, для якого ввімкнено двофакторну автентифікацію, код безпеки надсилається на підтверджену електронну адресу, пов’язану з обліковим записом. Користувач має ввести код безпеки для завершення процесу входу. Користувач може вибрати, щоб сайт запам’ятав браузер, який успішно пройшов перевірку, щоб код безпеки не вимагався наступного разу, коли користувач входитиме в систему за допомогою того самого браузера. Кожний обліковий запис користувача вмикає цю функцію окремо і вимагає підтвердженої адреси електронної пошти.

Попередження

Якщо створити та ввімкнути параметр сайту Authentication/Registration/MobilePhoneEnabled, щоб активувати застарілі функції, станеться помилка. Цей параметр сайту не надається готовим і не підтримується Power Pages

Пов’язані настройки сайту:

  • Authentication/Registration/TwoFactorEnabled
  • Authentication/Registration/RememberBrowserEnabled

Пов’язаний процес: надіслати контактній особі двофакторний код електронною поштою

  1. Відвідувач вибирає, щоб отримати код безпеки електронною поштою.
  2. Відвідувач чекає на повідомлення електронною поштою, що містить код захисту.
  3. відвідувач вводить код безпеки.
  4. Обробіть робочий цикл «Надіслати контактній особі двофакторний код електронною поштою».
  5. Відвідувач може вимкнути двофакторну автентифікацію.

Керування зовнішніми обліковими записами

Автентифікований користувач може підключити (зареєструвати) кілька зовнішніх посвідчень до свого облікового запису користувача, по одному від кожного з налаштованих постачальників посвідчень. Після підключення посвідчень користувач може вибрати вхід за допомогою будь-якого з них. Посвідчення також можна відключати, доки залишається хоча б одне зовнішнє або локальне посвідчення.

Пов’язаний параметр сайту: Authentication/Registration/ExternalLoginEnabled

Пов’язаний процес. Підключення посвідчення

  1. Відвідувач вибирає постачальника, щоб підключитись до облікового запису користувача.
  2. Відвідувач входить з допомогою підключеного постачальника.

Постачальник також може бути відключений.

Увімкнути автентифікацію посвідчень ASP.NET

У наведеній далі таблиці описані налаштування для увімкнення та вимкнення різних можливостей автентифікації та поведінки.

Назва параметра сайту Опис
Authentication/Registration/LocalLoginEnabled Вмикає або вимикає локальний вхід до облікового запису на основі імені користувача (або електронної пошти) і пароля. Значення за замовчуванням: істина
Authentication/Registration/LocalLoginByEmail Вмикає або вимикає вхід до локального облікового запису за допомогою адреси електронної пошти, а не імені користувача. За замовчуванням: False
Authentication/Registration/ExternalLoginEnabled Вмикає або вимикає зовнішній вхіду та реєстрацію в обліковому записі. Значення за замовчуванням: істина
Authentication/Registration/RememberMeEnabled Вибирає або знімає прапорець Запам’ятати мене? при локальному вході, щоб дозволити продовжувати автентифіковані сеанси, навіть коли веб-браузер закритий. Значення за замовчуванням: істина
Authentication/Registration/TwoFactorEnabled Вмикає або вимикає двофакторну автентифікацію. Користувачі з підтвердженою електронною адресою можуть перейти у режим додаткової безпеки двофакторної автентифікації. За замовчуванням: False
Authentication/Registration/RememberBrowserEnabled Вибирає або знімає прапорець Запам’ятати браузер? у факторній перевірці (код електронної пошти), щоб зберегти перевірку другого фактора для поточного браузера. Користувач не повинен буде проходити двофакторну перевірку для подальших входів, доки використовується той самий браузер. Значення за замовчуванням: істина
Authentication/Registration/ResetPasswordEnabled Вмикає або вимикає функцію скидання пароля. Значення за замовчуванням: істина
Authentication/Registration/ResetPasswordRequiresConfirmedEmail Вмикає або вимикає скидання пароля тільки для підтверджених електронних адрес. Якщо відмічена ця опція, непідтверджені електронні адреси не можуть використовуватися для надсилання інструкції щодо скидання пароля. За замовчуванням: False
Authentication/Registration/TriggerLockoutOnFailedPassword Вмикає або вимикає запис невдалих спроб введення пароля. Якщо вимкнено, облікові записи користувачів не будуть заблоковані. За замовчуванням: істина
Authentication/Registration/IsDemoMode Вмикає або вимикає прапорець демо-режиму для використання тільки у середовищах розробки або демонстрації. Не вмикайте цей параметр у робочому середовищі. Демо-режим також вимагає веб-браузера, який працює локально на сервері веб-програм. Коли увімкнуто демо-режим, код скидання пароля і код 2-го фактору відображаються користувачеві для швидкого доступу. За замовчуванням: False
Authentication/Registration/LoginButtonAuthenticationType Якщо сайт вимагає тільки одного зовнішнього постачальника посвідчень (щоб обробляти всю автентифікацію), це дозволяє кнопці Вхід посилатися прямо на сторінку входу зовнішнього постачальника (замість зв'язування проміжних локальних форм входу та сторінки вибору постачальника посвідчень). Можна вибрати лише одного постачальника посвідчень для цієї дії. Укажіть значення AuthenticationType постачальника.
- Для конфігурації єдиного входу, що використовує OpenID Connect, наприклад, Azure AD B2C, користувач повинен надати повноваження.
-Для постачальників на базі OAuth 2.0 допустимими є значення Facebook, Google, Yahoo, Microsoft, LinkedIn або Twitter.
- Для постачальників на базі WS-Federation використовуйте значення, вказане для настройок сайту Authentication/WsFederation/ADFS/AuthenticationType і Authentication/WsFederation/Azure/\<provider\>/AuthenticationType.

Увімкнення або вимкнення реєстрації користувача

У таблиці нижче описані настройки для ввімкнення та вимкнення параметрів реєстрації користувача.

Назва параметра сайту Опис
Authentication/Registration/Enabled Вмикає або вимикає всі форми реєстрації користувачів. Реєстрація має бути включена, щоб інші параметри в цьому розділі вступили в силу. Значення за замовчуванням: істина
Authentication/Registration/OpenRegistrationEnabled Вмикає або вимикає форму реєстрації входу. Форма реєстрації дозволяє будь-якому анонімному відвідувачу створити обліковий запис користувача. Значення за замовчуванням: істина
Authentication/Registration/InvitationEnabled Вмикає або вимикає форму активації коду запрошення для реєстрації користувачів, які мають код запрошення. Значення за замовчуванням: істина
Authentication/Registration/CaptchaEnabled Вмикає або вимикає captcha на сторінці реєстрації користувача. За замовчуванням: False
Це налаштування може бути недоступне за замовчуванням. Щоб увімкнути captcha, слід створити налаштування сайту та встановити значення true.

Переконайтеся, що для користувача вказано основну електронну адресу. Користувачі можуть зареєструватися тільки з допомогою основної електронної адреси (emailaddress1), а не на додаткової (emailaddress2) або альтернативної (emailaddress3) адреси запису контакту.

Перевірка облікових даних користувача

У таблиці нижче описані настройки для регулювання параметрів перевірки імені користувача та пароля. Перевірка виникає під час реєстрації користувачами нового локального облікового запису або під час зміни пароля.

Назва параметра сайту Опис
Authentication/UserManager/PasswordValidator/EnforcePasswordPolicy Визначає, чи містить пароль символи із трьох вказаних нижче категорій:
  • Великі літери європейськими мовами (від A до Z, діакритичні знаки, грецькі та кириличні символи)
  • Малі літери європейськими мовами (від a до z, діакритичні знаки, грецькі та кириличні символи)
  • Містять 10 цифр (від 0 до 9)
  • Не алфавітно-цифрові символи (спеціальні символи)
Значення за замовчуванням: істина Докладніше про політику використання паролів.
Authentication/UserManager/UserValidator/AllowOnlyAlphanumericUserNames Визначає, чи дозволяти тільки алфавітно-цифрові символи для імені користувача. За замовчуванням: False
Authentication/UserManager/UserValidator/RequireUniqueEmail Визначає, чи потрібна унікальна електронна адреса для перевірки користувача. Значення за замовчуванням: істина
Authentication/UserManager/PasswordValidator/RequiredLength Установлює мінімальну необхідну довжину паролю. За замовчуванням: «8».
Authentication/UserManager/PasswordValidator/RequireNonLetterOrDigit Визначає, чи повинен пароль містити спеціальні символи. За замовчуванням: False
Authentication/UserManager/PasswordValidator/RequireDigit Визначає, чи повинен пароль містити спеціальні числа. За замовчуванням: False
Authentication/UserManager/PasswordValidator/RequireLowercase Визначає, чт пароль вимагає маленьких букв. За замовчуванням: False
Authentication/UserManager/PasswordValidator/RequireUppercase Визначає, чт пароль вимагає великих букв. За замовчуванням: False

Настройки блокування облікового запису користувача

У таблиці нижче описані настройки, які визначають, яким чином і коли обліковий запис буде заблоковано від аутентифікації. Коли певну кількість невдалих спроб введення паролів виявлено за короткий час, обліковий запис користувача буде заблоковано на певний період часу. Користувач може повторити спробу після того, як мине період блокування.

Назва параметра сайту Опис
Authentication/UserManager/UserLockoutEnabledByDefault Вказує, чи блокування користувача увімкнене, коли створюються користувачі. Значення за замовчуванням: істина
Authentication/UserManager/DefaultAccountLockoutTimeSpan Встановлює проміжок часу за замовчуванням, протягом якого користувач блокується після досягнення максимальної кількості невдалих спроб. За замовчуванням: 24:00:00 (1 день)
Authentication/UserManager/MaxFailedAccessAttemptsBeforeLockout Максимальна кількість спроб доступу, що допускається перш ніж користувача заблоковано (якщо включене блокування). За замовчуванням: «5».

У таблиці нижче описуються настройки для змінення поведінки файлів cookie за замовчуванням, визначеної класом CookieAuthenticationOptions.

Назва параметра сайту Опис
Authentication/ApplicationCookie/AuthenticationType Установлює тип файлу cookie автентифікації програми. Програма за замовчуванням: ApplicationCookie
Authentication/ApplicationCookie/CookieName Визначає ім'я файлу cookie, що використовується для зберігання ідентичності. За замовчуванням: .AspNet.Cookies
Authentication/ApplicationCookie/CookieDomain Визначає домен, що використовується для створення файлу cookie.
Authentication/ApplicationCookie/CookiePath Визначає перелік дій, що використовується для створення файлу cookie. Стандартні: /
Authentication/ApplicationCookie/CookieHttpOnly Визначає, чи має браузер дозволяти файлам cookie бути доступними на стороні клієнта JavaScript. Значення за замовчуванням: істина
Authentication/ApplicationCookie/CookieSecure Визначає, чи файл cookie має передаватися лише за запитом HTTPS. За замовчуванням: SameAsRequest
Authentication/ApplicationCookie/ExpireTimeSpan Визначає кількість часу, поки файл cookie програми залишається дійсним з моменту створення. За замовчуванням: 24:00:00 (1 день)
Authentication/ApplicationCookie/SlidingExpiration Вказує проміжним засобам повторно оформити новий файл cookie з новим часом завершення терміну дії будь-коли під час обробки запиту, що вже наполовину виконаний у вікні терміну дії. Значення за замовчуванням: істина
Authentication/ApplicationCookie/LoginPath Повідомляє проміжні засоби, що слід змінити вихідний код 401 несанкціонованого стану на 302 — перенаправлення на певний перелік дій для входу. За замовчуванням: /signin
Authentication/ApplicationCookie/LogoutPath Шлях виходу надається проміжними засобами, запит до цього шляху буде переадресований на основі параметру ReturnUrlParameter.
Authentication/ApplicationCookie/ReturnUrlParameter Визначає ім’я параметра рядка запиту, який буде додано до проміжного засобу, якщо код 401-несанкціонований стан змінюється на 302-переадресація на шлях для входу.
Authentication/ApplicationCookie/SecurityStampValidator/ValidateInterval Установлює період часу між перевірками печаті безпеки. За замовчуванням: 30 хвилин
Authentication/TwoFactorCookie/AuthenticationType Установлює тип файлу cookie двофакторної автентифікації. За замовчуванням: TwoFactorCookie
Authentication/TwoFactorCookie/ExpireTimeSpan Визначає кількість часу, поки двофакторний файл cookie залишається дійсним з моменту створення. значення не має перевищувати шість хвилин. За замовчуванням: 5 хвилин

Наступні кроки

Міграція постачальників посвідчень до Azure AD B2C

Див. також

Огляд автентифікації в порталах Power Pages
Налаштування постачальника OAuth 2.0
Налаштування постачальника OpenID Connect
Налаштування постачальника SAML 2.0
Налаштування постачальника WS-Federation