Nastavení identity ověřování pro portál

Možnosti portálu pro aplikaci Microsoft Dynamics 365 poskytují funkce ověřování integrované do rozhraní API identity ASP.NET. Identita ASP.NET je zase založena na rámci OWIN, který je také důležitou součástí systému ověřování. Poskytované služby zahrnují:

  • Přihlášení místního uživatele (uživatelské jméno a heslo)
  • Přihlášení externího uživatele (poskytovatel sociálních služeb) prostřednictvím poskytovatelů identit třetích stran
  • Dvouúrovňové ověřování pomocí e-mailu
  • Potvrzení e-mailové adresy
  • Obnovení hesla
  • Registrace kódu pozvánky pro registraci předem vygenerovaných záznamů kontaktů

Požadavky

Funkce portálu pro aplikace Microsoft Dynamics 365 vyžaduje:

  • Základ portálu Microsoft Dynamics 365
  • Identita Microsoft
  • Balíčky řešení Microsoft Identity Workflows

Přehled ověřování

Vracející se návštěvníci portálu mají možnost ověřování pomocí přihlašovacích údajů místního uživatele a/nebo externích účtů poskytovatele identity. Nový návštěvník si může zaregistrovat nový uživatelský účet buď zadáním uživatelského jména a hesla, nebo přihlášením prostřednictvím externího poskytovatele. Návštěvníci, kterým je odeslán kód pozvánky (správcem portálu), mají možnost během registrace nového uživatelského účtu uplatnit kód.

Související nastavení webu:

  • Authentication/Registration/Enabled
  • Authentication/Registration/LocalLoginEnabled
  • Authentication/Registration/ExternalLoginEnabled
  • Authentication/Registration/OpenRegistrationEnabled
  • Authentication/Registration/InvitationEnabled
  • Authentication/Registration/RememberMeEnabled
  • Authentication/Registration/ResetPasswordEnabled

Přihlášení pomocí místní identity nebo externí identity

Přihlášení pomocí místního účtu

Registrace pomocí místní identity nebo externí identity

Registrace nového místního účtu

Ruční uplatnění kódu pozvánky

Registrace pomocí kódu pozvánky

Zapomenuté heslo nebo reset hesla

Vracející se návštěvníci, kteří potřebují reset hesla (a dříve na svém profilu zadali e-mailovou adresu) mají možnost požadovat, aby jim byl na e-mailový účet zaslán token resetu hesla. Token resetu umožňuje vlastníkovi zvolit si nové heslo. Případně je možné token ignorovat a ponechat původní heslo uživatele beze změny.

Související nastavení webu:

  • Authentication/Registration/ResetPasswordEnabled
  • Authentication/Registration/ResetPasswordRequiresConfirmedEmail

Související proces: Odeslání obnovení hesla kontaktu

  • Vlastní nastavení e-mailu v pracovním postupu podle potřeby
  • Odeslání e-mailu za účelem vyvolání procesu
  • Návštěvník vyzvaný ke kontrole e-mailu
  • E-mail s pokyny pro reset hesla
  • Návštěvník se vrací k formuláři resetu
  • Reset hesla dokončen

Uplatnění pozvánky

Uplatnění kódu pozvánky umožňuje přiřazení registrujícího se návštěvníka k existujícímu záznamu kontaktu, který byl speciálně pro tohoto návštěvníka předem připraven. Obvykle jsou kódy pozvánky odesílány prostřednictvím e-mailu, ale pro kódy odesílané přes jiné kanály je k dispozici formulář pro odeslání obecného kódu. Po odeslání platného kódu pozvánky proběhne běžný proces registrace uživatele, při němž je zřízen nový uživatelský účet.

Související nastavení webu:

Authentication/Registration/InvitationEnabled

Související proces: Odeslání pozvánky

E-mail odeslaný tímto pracovním postupem musí být přizpůsoben pomocí adresy URL, aby se na portálu uplatnila stránka pozvání: http://portal.contoso.com/register/?returnurl=%2f&invitation={Invitation Code(Invitation)}

  1. Vytvoření pozvánky pro nový kontakt

    Vytvoření pozvánky pro nový kontakt

  2. Vlastní nastavení a uložení nového pozvání

    Přizpůsobení nové pozvánky

  3. Proces: Odeslání pozvánky

  4. Přizpůsobení e-mailové pozvánky.
  5. E-mailová pozvánka otevře stránku uplatnění.
  6. Uživatel se registruje pomocí kódu odeslané pozvánky.

    Registrace pomocí kódu pozvánky

Správa uživatelských účtů pomocí stránek profilu

Ověření uživatelé spravují své uživatelské účty prostřednictvím navigačním panelu Zabezpečení na stránce profilu. Uživatelé nejsou omezeni na jeden místní účet nebo jeden externí účet zvolený v době registrace uživatele. Uživatelé s externím účtem se rozhodnout vytvořit si místní účet použitím uživatelského jména a hesla. Jinak uživatelé, kteří začínali s místním účtem, mohou ke svému účtu přiřadit více externích identit. Na stránce profilu je také uživateli připomenuto, že má potvrdit svoji e-mailovou adresu zasláním požadavku, aby byl na jeho e-mailový účet zaslán potvrzovací e-mail.

Související nastavení webu:

  • Authentication/Registration/LocalLoginEnabled

  • Authentication/Registration/ExternalLoginEnabled

  • Authentication/Registration/TwoFactorEnabled

Nastavení nebo změna hesla

Uživatel s existujícím místním účtem můžete použít nové heslo pomocí zadání původního hesla. Uživatel bez místního účtu může zvolit uživatelské jméno a heslo a založit si nový místní účet. Po nastavení již nelze uživatelské jméno změnit.

Související nastavení webu:

Authentication/Registration/LocalLoginEnabled

  • Vytvořte uživatelské jméno a heslo.
  • Změňte stávající heslo.

Změna nebo potvrzení e-mailové adresy

Změna e-mailové adresy (nebo její prvotní nastavení) ji uvede do nepotvrzeného stavu. Uživatel může požádat, aby mu byl na novou e-mailovou adresu zaslán potvrzovací e-mail včetně pokynů k dokončení procesu potvrzení e-mailu.

Související proces: Odeslání e-mailového potvrzení kontaktu

  1. Vlastní nastavení e-mailu v pracovním postupu podle potřeby
  2. Odeslání nového e-mailu (nepotvrzeno)
  3. Zkontrolujte potvrzení v e-mailu.
  4. Proces: Odeslání e-mailového potvrzení kontaktu
  5. Přizpůsobte potvrzovací e-mail.
  6. Dokončete kliknutím na potvrzovací odkaz.

Povolení dvouúrovňového ověřování

Funkce dvouúrovňového ověřování funkce zvyšuje zabezpečení uživatelského účtu tím, že kromě standardního přihlášení pomocí místního/externího účtu vyžaduje důkaz o vlastnictví potvrzeného e-mailu. Uživateli snažícímu se o přihlášení k účtu s povoleným dvouúrovňovým ověřováním je na potvrzený e-mail přiřazený k účtu zaslán bezpečnostní kód. K dokončení procesu přihlášení je nezbytné zadat bezpečnostní kód. Uživatel může zvolit, aby si prohlížeč pamatoval úspěšný průchod ověřením, aby pro následná přihlášení ze stejného prohlížeče nebyl bezpečnostní kód vyžadován. Každý uživatelský účet umožňuje tuto funkci nastavit samostatně a vyžaduje potvrzený e-mail.

Související nastavení webu:

  • Authentication/Registration/TwoFactorEnabled
  • Authentication/Registration/RememberBrowserEnabled

Související proces: Odeslání e-mailu s kódem dvouúrovňového ověřování kontaktu

  1. Povolte dvouúrovňové ověřování.
  2. Zvolte, zda chcete obdržet bezpečnostní kód e-mailem.
  3. Počkejte na e-mail s bezpečnostním kódem.
  4. Proces: Odeslání e-mailu s kódem dvouúrovňového ověřování kontaktu.
  5. Dvojúrovňové ověřování lze zakázat.

Správa externích účtů

Ověřený uživatel může připojit (registrovat) několik externích identit ke svému uživatelskému účtu ze všech nakonfigurovaných poskytovatelů identit. Po připojení identit se uživatel může přihlásit pomocí kterékoli připojené identity. Existující identity lze také odpojit, dokud zůstává jedna externí nebo místní identita.

Související nastavení webu:

Authentication/Registration/ExternalLoginEnabled

  • Nastavení webu poskytovatele externí identity
  1. Volba zprostředkovatele pro připojení

    Správa externích účtů

  2. Přihlášení s poskytovatelem pro připojení

  3. Zprostředkovatel je připojen
  4. Zprostředkovatele lze odpojit

Povolení ověřování identity ASP.NET

Následuje popis nastavení pro povolení či zakázání různých chování a funkcí ověřování:

Název nastavení webu Popis
Authentication/Registration/LocalLoginEnabled Povolí nebo zakáže místní přihlašování k účtům podle uživatelského jména (nebo e-mailu) a hesla. Výchozí hodnota: false
Authentication/Registration/LocalLoginByEmail Povolí nebo zakáže místní přihlašování k účtům pomocí pole e-mailové adresy místo pole uživatelského jména. Výchozí hodnota: false
Authentication/Registration/ExternalLoginEnabled Povolí nebo zakáže přihlášení a registraci k externímu účtu. Výchozí: true
Authentication/Registration/RememberMeEnabled Povolí nebo zakáže zaškrtávací políčko „Zapamatovat si mě?“ při místním přihlášení umožňující zachování ověřených relací i při uzavření prohlížeče. Výchozí: true
Authentication/Registration/TwoFactorEnabled Povolí nebo zakáže možnost aktivace dvouúrovňového ověřování uživatelů. Uživatelé s potvrzenou e-mailovou adresou mohou aktivovat zvýšené zabezpečení pomocí dvouúrovňového ověřování. Výchozí hodnota: false
Authentication/Registration/RememberBrowserEnabled Povolí nebo zakáže zaškrtávací políčko „Zapamatovat si prohlížeč?“ při ověřování druhé úrovně (kód e-mailem) pro zachování ověření druhé úrovně pro aktuální prohlížeč. Uživatel nebude muset pro následná přihlášení absolvovat ověřování druhé úrovně, pokud bude používat stejný prohlížeč. Výchozí: true
Authentication/Registration/ResetPasswordEnabled Povolí nebo zakáže funkci resetu hesla. Výchozí: true
Authentication/Registration/ResetPasswordRequiresConfirmedEmail Povolí nebo zakáže reset hesla pouze pro potvrzené e-mailové adresy. Je-li povoleno, nepotvrzené e-mailové adresy nelze použít k odeslání pokynů pro reset hesla. Výchozí hodnota: false
Authentication/Registration/TriggerLockoutOnFailedPassword Povolí nebo zakáže záznam neúspěšných pokusů o zadání hesla. Je-li zakázáno, uživatelské účty se nebudou uzamykat. Výchozí: true
Authentication/Registration/IsDemoMode Povolí nebo zakáže použití příznaku demo režimu pouze ve vývojových nebo demonstračních prostředích. Toto nastavení nepovolujte v produkčních prostředích. Demo režim také vyžaduje, aby byl webový prohlížeč spuštěn místně na serveru webové aplikace. Když je zapnut demo režim, zobrazují se uživateli pro rychlý přístup kód pro reset hesla a kód 2. úrovně. Výchozí hodnota: false
Authentication/Registration/LoginButtonAuthenticationType Pokud portál vyžaduje pouze jednoho poskytovatele externí identity (pro zpracování všech ověřování), může se tlačítko Přihlásit v navigačním pruhu záhlaví propojit přímo s přihlašovací stránkou poskytovatele externí identity (namísto propojování se zprostředkujícím místním přihlašovacím formulářem a se stránkou výběru poskytovatele identity). Pro tuto akci lze vybrat pouze jednoho zprostředkovatele identity. Určete hodnotu AuthenticationType poskytovatele.
Pro konfiguraci jednotného přihlašování pomocí OpenIdConnect, například pomocí Azure AD-B2C, musí uživatel poskytnout autoritu.
Pro konfiguraci jednotného přihlašování pomocí OpenIdConnect, například pomocí Azure AD-B2C, musí uživatel poskytnout autoritu.
Pro poskytovatele na základě OAuth2 jsou přijímány tyto hodnoty: Facebook, Google, Yahoo, [!INCLUDE[cc-microsoft](../includes/cc-microsoft.md)], LinkedIn, Yammer, nebo Twitter
Pro poskytovatele založené na WS-Federation použijte hodnotu zadanou pro nastavení webu Authentication/WsFederation/ADFS/AuthenticationType a Authentication/WsFederation/[!INCLUDE[pn-azure-shortest](../includes/pn-azure-shortest.md)]/\[provider\]/AuthenticationType. Příklady: http://adfs.contoso.com/adfs/services/trust, Facebook-0123456789, Google, Yahoo!, uri:WindowsLiveID.

Povolení/zakázání registrace uživatele

Následuje popis nastavení pro povolení/zakázání možností registrace uživatele:

Název nastavení webu Popis
Authentication/Registration/Enabled Povolí nebo zakáže všechny formy registrace uživatele. Projeví se pouze tehdy, když bude registrace povolena pro ostatní nastavení v této sekci. Výchozí: true
Authentication/Registration/OpenRegistrationEnabled Povolí nebo zakáže registrační formulář registrace pro vytvoření nového místního uživatele. Registrační formulář umožňuje všem anonymním návštěvníkům portálu vytvoření nového uživatelského účtu. Výchozí: true
Authentication/Registration/InvitationEnabled Povolí nebo zakáže formulář uplatnění kódu pozvánky pro registraci uživatelů, kteří mají kódy pozvánek. Výchozí: true

Ověření přihlašovacích údajů uživatele

Následuje popis nastavení pro úpravu parametrů ověření uživatelského jména a hesla. Ověření probíhá při registraci k novému místnímu účtu nebo změně hesla.

Název nastavení webu Popis
Authentication/UserManager/PasswordValidator/EnforcePasswordPolicy Zda heslo obsahuje znaky ze tří z následujících kategorií:
  • Velká písmena evropských jazyků (A až Z, se značkami diakritických znamének, znaky řečtiny a cyrilice)
  • Malá písmena evropských jazyků (a až z, ostré s, se značkami diakritických znamének, znaky řečtiny a cyrilice)
  • 10 základních číslic (0 až 9)
  • Jiné než alfanumerické znaky (speciální znaky) (například !, $, #, %)
Výchozí hodnota: true. MSDN.
Authentication/UserManager/UserValidator/AllowOnlyAlphanumericUserNames Určuje, zda chcete pro uživatelské jméno povolit pouze alfanumerické znaky. Výchozí hodnota: false. MSDN.
Authentication/UserManager/UserValidator/RequireUniqueEmail Určuje, zda je pro ověření uživatele potřeba jedinečný e-mail. Výchozí hodnota: true. MSDN.
Authentication/UserManager/PasswordValidator/RequiredLength Minimální požadovaná délka hesla. Výchozí: 8. MSDN.
Authentication/UserManager/PasswordValidator/RequireNonLetterOrDigit Určuje, zda heslo vyžaduje číslici nebo jiný znak než písmeno. Výchozí hodnota: false. MSDN.
Authentication/UserManager/PasswordValidator/RequireDigit Určuje, zda heslo vyžaduje číslici („0“–„9“). Výchozí hodnota: false. MSDN.
Authentication/UserManager/PasswordValidator/RequireLowercase Určuje, zda heslo vyžaduje malé písmeno („a“–„z“). Výchozí hodnota: false. MSDN.
Authentication/UserManager/PasswordValidator/RequireUppercase Určuje, zda heslo vyžaduje velké písmeno („A“–„Z“). Výchozí hodnota: false. MSDN.

Nastavení uzamčení uživatelského účtu

Následuje popis nastavení určující, jak a kdy bude u účtu uzamčeno ověřování. Když se zjistí určitý počet neúspěšných pokusů o zadání během krátkého časového úseku, uživatelský účet se na nějaký čas uzamkne. Po uplynutí časového období uzamčení může uživatel zkusit heslo zadat znovu.

Název nastavení webu Popis
Authentication/UserManager/UserLockoutEnabledByDefault Označuje, zda je při vytvoření uživatele povoleno uzamčení uživatele. Výchozí hodnota: true. MSDN.
Authentication/UserManager/DefaultAccountLockoutTimeSpan Výchozí čas, po který je uživatel uzamčen poté, co je dosaženo Authentication/UserManager/MaxFailedAccessAttemptsBeforeLockout. Výchozí hodnota: 24:00:00 (1 den). MSDN.
Authentication/UserManager/MaxFailedAccessAttemptsBeforeLockout Maximální počet pokusů o přístup povolený předtím, než dojde k uzamčení uživatele (pokud je uzamčení povoleno). Výchozí: 5. MSDN.
Authentication/ApplicationCookie/ExpireTimeSpan Výchozí množství času, pro které platí relace ověřování souboru cookie. Výchozí hodnota: 24:00:00 (1 den). MSDN.

Viz také

Konfigurace ověřování portálu Dynamics 365
Nastavení poskytovatele OAuth2 pro portály
Nastavení poskytovatele Open ID Connect pro portály
Nastavení zprostředkovatele WS-Federation pro portály
Nastavení poskytovatele SAML 2.0 pro portály
Ověření aplikace Facebooku (karta stránky) pro portály