Nastavení identity ověřování pro portál

Možnosti portálu pro aplikaci Microsoft Dynamics 365 poskytují funkce ověřování integrované do rozhraní API identity ASP.NET. Identita ASP.NET je zase založena na rámci OWIN, který je také důležitou součástí systému ověřování. Poskytované služby zahrnují:

  • Přihlášení místního uživatele (uživatelské jméno a heslo)
  • Přihlášení externího uživatele (poskytovatel sociálních služeb) prostřednictvím poskytovatelů identit třetích stran
  • Dvouúrovňové ověřování pomocí e-mailu
  • Potvrzení e-mailové adresy
  • Obnovení hesla
  • Registrace kódu pozvánky pro registraci předem vygenerovaných záznamů kontaktů

Požadavky

Funkce portálu pro aplikace Microsoft Dynamics 365 vyžaduje:

  • Základ portálu Microsoft Dynamics 365
  • Identita Microsoft
  • Balíčky řešení Microsoft Identity Workflows

Přehled ověřování

Vracející se návštěvníci portálu mají možnost ověřování pomocí přihlašovacích údajů místního uživatele nebo externích účtů poskytovatele identity. Nový návštěvník si může zaregistrovat nový uživatelský účet buď zadáním uživatelského jména a hesla, nebo přihlášením prostřednictvím externího poskytovatele. Návštěvníci, kterým je odeslán kód pozvánky (správcem portálu), mají možnost během registrace nového uživatelského účtu uplatnit kód.

Související nastavení webu:

  • Authentication/Registration/Enabled
  • Authentication/Registration/LocalLoginEnabled
  • Authentication/Registration/ExternalLoginEnabled
  • Authentication/Registration/OpenRegistrationEnabled
  • Authentication/Registration/InvitationEnabled
  • Authentication/Registration/RememberMeEnabled
  • Authentication/Registration/ResetPasswordEnabled

Přihlášení pomocí místní identity nebo externí identity

Přihlášení pomocí místního účtu

Registrace pomocí místní identity nebo externí identity

Registrace nového místního účtu

Ruční uplatnění kódu pozvánky

Registrace pomocí kódu pozvánky

Zapomenuté heslo nebo reset hesla

Vracející se návštěvníci, kteří potřebují reset hesla (a dříve na svém profilu zadali e-mailovou adresu), mohou požádat, aby jim byl na e-mailový účet zaslán token resetu hesla. Token resetu umožňuje vlastníkovi zvolit si nové heslo. Případně je možné token ignorovat a ponechat původní heslo uživatele beze změny.

Související nastavení webu:

  • Authentication/Registration/ResetPasswordEnabled
  • Authentication/Registration/ResetPasswordRequiresConfirmedEmail

Související proces: Odeslání resetu hesla kontaktu

  1. Vlastní nastavení e-mailu v pracovním postupu podle potřeby
  2. Odeslání e-mailu za účelem vyvolání procesu.
  3. Návštěvník je vyzván ke kontrole e-mailu.
  4. Návštěvník obdrží e-mail s pokyny pro reset hesla.
  5. Návštěvník se vrátí k formuláři resetu.
  6. Reset hesla je dokončen.

Uplatnění pozvánky

Uplatnění kódu pozvánky umožňuje přiřazení registrujícího se návštěvníka k existujícímu záznamu kontaktu, který byl speciálně pro tohoto návštěvníka předem připraven. Obvykle jsou kódy pozvánky odesílány prostřednictvím e-mailu, ale pro odeslání kódů přes jiné kanály můžete použít formulář pro odeslání obecného kódu. Po odeslání platného kódu pozvánky proběhne běžný proces registrace uživatele, při němž je zřízen nový uživatelský účet.

Související nastavení webu:

Authentication/Registration/InvitationEnabled

Související proces: Odeslání pozvánky

E-mail odeslaný tímto pracovním postupem musí být přizpůsoben pomocí adresy URL, aby se na portálu uplatnila stránka pozvání: http://portal.contoso.com/register/?returnurl=%2f&invitation={Invitation Code(Invitation)}

  1. Vytvořte pozvánku pro nový kontakt.

    Vytvoření pozvánky pro nový kontakt

  2. Nastavte a uložte nové pozvání.

    Přizpůsobení nové pozvánky

  3. Proces: Odeslání pozvánky

  4. Přizpůsobení e-mailové pozvánky.
  5. E-mailová pozvánka otevře stránku uplatnění.
  6. Uživatel se registruje pomocí kódu odeslané pozvánky.

    Registrace pomocí kódu pozvánky

Správa uživatelských účtů pomocí stránek profilu

Ověření uživatelé spravují své uživatelské účty prostřednictvím navigačním panelu Zabezpečení na stránce profilu. Uživatelé nejsou omezeni na jeden místní účet nebo jeden externí účet zvolený v době registrace uživatele. Uživatelé s externím účtem se rozhodnout vytvořit si místní účet použitím uživatelského jména a hesla. Uživatelé, kteří začínali s místním účtem, mohou ke svému účtu přiřadit více externích identit. Na stránce profilu je také uživateli připomenuto, že má potvrdit svoji e-mailovou adresu zasláním požadavku, aby byl na jeho e-mailový účet zaslán potvrzovací e-mail.

Související nastavení webu:

  • Authentication/Registration/LocalLoginEnabled
  • Authentication/Registration/ExternalLoginEnabled
  • Authentication/Registration/TwoFactorEnabled

Nastavení nebo změna hesla

Uživatel s existujícím místním účtem můžete použít nové heslo pomocí zadání původního hesla. Uživatel bez místního účtu může zvolit uživatelské jméno a heslo a založit si nový místní účet. Po nastavení již nelze uživatelské jméno změnit.

Související nastavení webu:

Authentication/Registration/LocalLoginEnabled

Související proces:

  • Vytvořte uživatelské jméno a heslo.
  • Změňte stávající heslo.

Potvrzení e-mailové adresy

Změna e-mailové adresy (nebo její prvotní nastavení) ji uvede do nepotvrzeného stavu. Uživatel může požádat, aby mu byl na novou e-mailovou adresu zaslán potvrzovací e-mail, který bude obsahovat pokyny pro uživatele za účelem dokončení procesu potvrzení e-mailu.

Související proces: Odeslání e-mailového potvrzení kontaktu

  1. Vlastní nastavení e-mailu v pracovním postupu podle potřeby
  2. Uživatel odešle nový e-mail, který je v nepotvrzeném stavu.
  3. Uživatel zkontroluje potvrzení v e-mailu.
  4. Proces: Odeslání e-mailového potvrzení kontaktu
  5. Přizpůsobte potvrzovací e-mail.
  6. Uživatel klikne na potvrzovací odkaz pro dokončení procesu potvrzení.

Povolení dvouúrovňového ověřování

Funkce dvouúrovňového ověřování zvyšuje zabezpečení uživatelského účtu tím, že kromě standardního přihlášení pomocí místního nebo externího účtu vyžaduje důkaz o vlastnictví potvrzeného e-mailu. Uživateli snažícímu se o přihlášení k účtu s povoleným dvouúrovňovým ověřováním je na potvrzený e-mail přiřazený k účtu zaslán bezpečnostní kód. K dokončení procesu přihlášení je nezbytné zadat bezpečnostní kód. Uživatel může zvolit, aby si prohlížeč pamatoval úspěšný průchod ověřením, aby pro následná přihlášení ze stejného prohlížeče nebyl bezpečnostní kód vyžadován. Každý uživatelský účet umožňuje tuto funkci nastavit samostatně a vyžaduje potvrzený e-mail.

Související nastavení webu:

  • Authentication/Registration/TwoFactorEnabled
  • Authentication/Registration/RememberBrowserEnabled

Související proces: Odeslání e-mailu s kódem dvouúrovňového ověřování kontaktu

  1. Povolte dvouúrovňové ověřování.
  2. Zvolení, zda chcete obdržet bezpečnostní kód e-mailem.
  3. Počkejte na e-mail, který obsahuje bezpečnostní kód.
  4. Proces: Odeslání e-mailu s kódem dvouúrovňového ověřování kontaktu.
  5. Dvojúrovňové ověřování lze zakázat.

Správa externích účtů

Ověřený uživatel může připojit (registrovat) několik externích identit ke svému uživatelskému účtu ze všech nakonfigurovaných poskytovatelů identit. Po připojení identit se uživatel může přihlásit pomocí kterékoli připojené identity. Existující identity lze také odpojit, dokud zůstává jedna externí nebo místní identita.

Související nastavení webu:

  • Authentication/Registration/ExternalLoginEnabled

Nastavení webu poskytovatele externí identity

  1. Vyberte poskytovatele pro připojení k vašemu uživatelskému účtu.

    Správa externích účtů

  2. Přihlaste se pomocí poskytovatele, kterého chcete připojit.

Poskytovatel je nyní připojen. Poskytovatele lze rovněž odpojit.

Povolení ověřování identity ASP.NET

Následuje popis nastavení pro povolení či zakázání různých chování a funkcí ověřování:

Název nastavení webu Popis
Authentication/Registration/LocalLoginEnabled Povolí nebo zakáže místní přihlašování k účtům podle uživatelského jména (nebo e-mailu) a hesla. Výchozí hodnota: false
Authentication/Registration/LocalLoginByEmail Povolí nebo zakáže místní přihlašování k účtům pomocí pole e-mailové adresy místo pole uživatelského jména. Výchozí hodnota: false
Authentication/Registration/ExternalLoginEnabled Povolí nebo zakáže přihlášení a registraci k externímu účtu. Výchozí: true
Authentication/Registration/RememberMeEnabled Vybere nebo zruší zaškrtnutí pole „Zapamatovat si mě?“ při místním přihlášení pro umožnění zachování ověřených relací i při uzavření prohlížeče. Výchozí: true
Authentication/Registration/TwoFactorEnabled Povolí nebo zakáže možnost aktivace dvouúrovňového ověřování uživatelů. Uživatelé s potvrzenou e-mailovou adresou mohou aktivovat zvýšené zabezpečení pomocí dvouúrovňového ověřování. Výchozí hodnota: false
Authentication/Registration/RememberBrowserEnabled Vybere nebo zruší zaškrtnutí pole „Zapamatovat si prohlížeč?“ při ověřování druhé úrovně (kód e-mailem) pro zachování ověření druhé úrovně pro aktuální prohlížeč. Uživatel nebude muset pro následná přihlášení absolvovat ověřování druhé úrovně, pokud bude používat stejný prohlížeč. Výchozí: true
Authentication/Registration/ResetPasswordEnabled Povolí nebo zakáže funkci resetu hesla. Výchozí: true
Authentication/Registration/ResetPasswordRequiresConfirmedEmail Povolí nebo zakáže reset hesla pouze pro potvrzené e-mailové adresy. Je-li povoleno, nepotvrzené e-mailové adresy nelze použít k odeslání pokynů pro reset hesla. Výchozí hodnota: false
Authentication/Registration/TriggerLockoutOnFailedPassword Povolí nebo zakáže záznam neúspěšných pokusů o zadání hesla. Je-li zakázáno, uživatelské účty se nebudou uzamykat. Výchozí hodnota: true
Authentication/Registration/IsDemoMode Povolí nebo zakáže použití příznaku demo režimu pouze ve vývojových nebo demonstračních prostředích. Toto nastavení nepovolujte v produkčních prostředích. Demo režim také vyžaduje, aby byl webový prohlížeč spuštěn místně na serveru webové aplikace. Když je zapnut demo režim, zobrazují se uživateli za účelem rychlého přístupu kód pro reset hesla a kód druhé úrovně. Výchozí hodnota: false
Authentication/Registration/LoginButtonAuthenticationType Pokud portál vyžaduje pouze jednoho poskytovatele externí identity (pro zpracování všech ověřování), může se tlačítko Přihlásit v navigačním panelu záhlaví propojit přímo s přihlašovací stránkou poskytovatele externí identity (namísto propojování se zprostředkujícím místním přihlašovacím formulářem a se stránkou výběru poskytovatele identity). Pro tuto akci lze vybrat pouze jednoho zprostředkovatele identity. Určete hodnotu AuthenticationType poskytovatele.
Pro konfiguraci jednotného přihlašování pomocí OpenIdConnect, například pomocí Azure Active Directory B2C, musí uživatel poskytnout autoritu.
Pro poskytovatele na základě OAuth2 jsou přijímány tyto hodnoty: Facebook, Google, Yahoo, [!INCLUDE[cc-microsoft](../includes/cc-microsoft.md)], LinkedIn, Yammer, nebo Twitter
Pro poskytovatele založené na WS-Federation použijte hodnotu zadanou pro nastavení webu Authentication/WsFederation/ADFS/AuthenticationType a Authentication/WsFederation/[!INCLUDE[pn-azure-shortest](../includes/pn-azure-shortest.md)]/\[provider\]/AuthenticationType. Příklady: http://adfs.contoso.com/adfs/services/trust, Facebook-0123456789, Google, Yahoo!, uri:WindowsLiveID.

Povolení nebo zakázání registrace uživatele

Následuje popis nastavení pro povolení nebo zakázání možností registrace uživatele:

Název nastavení webu Popis
Authentication/Registration/Enabled Povolí nebo zakáže všechny formy registrace uživatele. Projeví se pouze tehdy, když bude registrace povolena pro ostatní nastavení v této sekci. Výchozí: true
Authentication/Registration/OpenRegistrationEnabled Povolí nebo zakáže registrační formulář registrace pro vytvoření nového místního uživatele. Registrační formulář umožňuje všem anonymním návštěvníkům portálu vytvoření nového uživatelského účtu. Výchozí: true
Authentication/Registration/InvitationEnabled Povolí nebo zakáže formulář uplatnění kódu pozvánky pro registraci uživatelů, kteří mají kódy pozvánek. Výchozí: true

Ověření přihlašovacích údajů uživatele

Následuje popis nastavení pro úpravu parametrů ověření uživatelského jména a hesla. Ověření probíhá při registraci uživatele k novému místnímu účtu nebo změně hesla.

Název nastavení webu Popis
Authentication/UserManager/PasswordValidator/EnforcePasswordPolicy Zda heslo obsahuje znaky ze tří z následujících kategorií:
  • Velká písmena evropských jazyků (A až Z, se značkami diakritických znamének, znaky řečtiny a cyrilice)
  • Malá písmena evropských jazyků (a až z, ostré s, se značkami diakritických znamének, znaky řečtiny a cyrilice)
  • 10 základních číslic (0 až 9)
  • Jiné než alfanumerické znaky (speciální znaky) (například !, $, #, %)
Výchozí hodnota: true. Další informace: Zásady hesel.
Authentication/UserManager/UserValidator/AllowOnlyAlphanumericUserNames Určuje, zda chcete pro uživatelské jméno povolit pouze alfanumerické znaky. Výchozí hodnota: false. Další informace: UserValidator<TUser, TKey>.AllowOnlyAlphanumericUserNames.
Authentication/UserManager/UserValidator/RequireUniqueEmail Určuje, zda je pro ověření uživatele potřeba jedinečná e-mailová adresa. Výchozí hodnota: true. Další informace: UserValidator<TUser, TKey>.RequireUniqueEmail.
Authentication/UserManager/PasswordValidator/RequiredLength Minimální požadovaná délka hesla. Výchozí: 8. Další informace: PasswordValidator.RequiredLength.
Authentication/UserManager/PasswordValidator/RequireNonLetterOrDigit Určuje, zda heslo vyžaduje číslici nebo jiný znak než písmeno. Výchozí hodnota: false. Další informace: PasswordValidator.RequireNonLetterOrDigit.
Authentication/UserManager/PasswordValidator/RequireDigit Určuje, zda heslo vyžaduje číslici (od 0 do 9). Výchozí hodnota: false. Další informace: PasswordValidator.RequireDigit.
Authentication/UserManager/PasswordValidator/RequireLowercase Určuje, zda heslo vyžaduje malé písmeno (od a do z). Výchozí hodnota: false. Další informace: PasswordValidator.RequireLowercase.
Authentication/UserManager/PasswordValidator/RequireUppercase Určuje, zda heslo vyžaduje velké písmeno (od A do Z). Výchozí hodnota: false. Další informace: PasswordValidator.RequireUppercase.

Nastavení uzamčení uživatelského účtu

Následuje popis nastavení určující, jak a kdy bude u účtu uzamčeno ověřování. Když se zjistí určitý počet neúspěšných pokusů o zadání během krátkého časového úseku, uživatelský účet se na nějaký čas uzamkne. Po uplynutí časového období uzamčení může uživatel zkusit heslo zadat znovu.

Název nastavení webu Popis
Authentication/UserManager/UserLockoutEnabledByDefault Označuje, zda je při vytvoření uživatele povoleno uzamčení uživatele. Výchozí hodnota: true. Další informace: UserManager<TUser, TKey>.UserLockoutEnabledByDefault.
Authentication/UserManager/DefaultAccountLockoutTimeSpan Výchozí čas, po který je uživatel uzamčen poté, co je dosaženo Authentication/UserManager/MaxFailedAccessAttemptsBeforeLockout. Výchozí hodnota: 24:00:00 (1 den). Další informace: UserManager<TUser, TKey>.DefaultAccountLockoutTimeSpan.
Authentication/UserManager/MaxFailedAccessAttemptsBeforeLockout Maximální počet pokusů o přístup povolený předtím, než dojde k uzamčení uživatele (pokud je uzamčení povoleno). Výchozí: 5. Další informace: UserManager<TUser, TKey>.MaxFailedAccessAttemptsBeforeLockout.
Authentication/ApplicationCookie/ExpireTimeSpan Výchozí množství času, pro které platí relace ověřování souboru cookie. Výchozí hodnota: 24:00:00 (1 den). Další informace: CookieAuthenticationOptions.ExpireTimeSpan.

Viz také

Konfigurace ověřování portálu Dynamics 365
Nastavení poskytovatele OAuth2 pro portály
Nastavení poskytovatele Open ID Connect pro portály
Nastavení zprostředkovatele WS-Federation pro portály
Nastavení poskytovatele SAML 2.0 pro portály
Ověření aplikace Facebooku (karta stránky) pro portály