Místní ověřování, registrace a další nastavení
Důležité
Pro váš web Power Pages doporučujeme používat poskytovatele identity Azure AD B2C pro ověřování a přestat používat místního poskytovatele identity.
Power Pages poskytují funkce ověřování integrované do rozhraní API ASP.NET Identity. Identita ASP.NET je zase založena na rámci OWIN, který je také důležitou součástí systému ověřování. Power Pages poskytuje následující služby:
- Místní (uživatelské jméno / heslo) ověřování
- Externí ověřování (poskytovatel sociální sítě) prostřednictvím poskytovatelů identit třetích stran
- Dvouúrovňové ověřování pomocí e-mailu
- Potvrzení e-mailové adresy
- Obnovení hesla
- Registrace kódu pozvánky pro registraci předem vyplněných záznamů kontaktů
Poznámka:
Sloupec Mobile Phone Confirmed v záznamu kontaktu se nepoužívá kromě upgradu z Adxstudio Portals.
Požadavky
Power Pages vyžaduje:
- Základ portálu
- Microsoft Identity
- Balíčky řešení Microsoft Identity Workflows
Ověření a registrace
Vracející se návštěvníci webu mají možnost ověřování pomocí přihlašovacích údajů místního uživatele nebo externích účtů poskytovatele identity. Nový návštěvník si může zaregistrovat uživatelský účet buď zadáním uživatelského jména a hesla, nebo přihlášením prostřednictvím externího poskytovatele. Návštěvníci, kteří dostanou kód pozvánky od správce webu, mají možnost během registrace nového uživatelského účtu uplatnit kód.
Související nastavení webu:
Authentication/Registration/EnabledAuthentication/Registration/LocalLoginEnabledAuthentication/Registration/ExternalLoginEnabledAuthentication/Registration/OpenRegistrationEnabledAuthentication/Registration/InvitationEnabledAuthentication/Registration/RememberMeEnabledAuthentication/Registration/ResetPasswordEnabled
Resetování hesla
Vracející se návštěvníci, kteří při registraci uvedli e-mailovou adresu, mohou požádat o zaslání tokenu pro obnovení hesla na svůj e-mailový účet. Token resetu umožňuje vlastníkovi zvolit si nové heslo. Případně je možné token ignorovat a ponechat původní heslo uživatele beze změny.
Související nastavení webu:
Authentication/Registration/ResetPasswordEnabledAuthentication/Registration/ResetPasswordRequiresConfirmedEmail
Související proces: Odeslání resetu hesla kontaktu
- Návštěvník poskytuje e-mailovou adresu.
- Odešlete e-mailovou adresu za účelem zahájení procesu.
- Návštěvník je vyzván ke kontrole e-mailu.
- Návštěvník obdrží e-mail s pokyny pro reset hesla.
- Návštěvník se vrátí do formuláře pro resetování a zvolí si nové heslo.
- Reset hesla je dokončen.
Uplatnění pozvánky
Uplatnění kódu pozvánky umožňuje přiřazení registrujícího se návštěvníka k existujícímu záznamu kontaktu, který byl speciálně pro tohoto návštěvníka předem připraven. Kódy pozvánky se obvykle zasílají e-mailem. K odeslání kódů prostřednictvím jiných kanálů můžete použít obecný formulář pro odeslání kódu. Po odeslání platného kódu pozvánky návštěvníkem proběhne běžný proces registrace uživatele, při němž je zřízen nový uživatelský účet.
Související nastavení webu: Authentication/Registration/InvitationEnabled
Související proces: Odeslání pozvánky
Upravte e-mail s pozvánkou tak, aby obsahoval adresu URL stránky s pozvánkou k uplatnění na vašem webu.
- Vytvořte pozvánku pro nový kontakt.
- Nastavte a uložte pozvání.
- Přizpůsobení e-mailové pozvánky.
- Proveďte pracovní postup Poslat pozvánku.
- E-mailová pozvánka otevře stránku uplatnění.
- Uživatel odešle kód pozvánky k přihlášení.
Zakázaná registrace
Pokud je registrace pro uživatele deaktivována poté, co uživatel uplatnil pozvánku, použijte následující fragment obsahu k zobrazení zprávy: Account/Register/RegistrationDisabledMessage
Správa uživatelských účtů pomocí stránek profilu
Ověření uživatelé spravují své uživatelské účty prostřednictvím možnosti Zabezpečení na stránce profilu. Uživatelé nejsou omezeni na jeden místní účet nebo jeden externí účet zvolený při registraci. Uživatelé s externím účtem se rozhodnout vytvořit si místní účet zadáním uživatelského jména a hesla. Uživatelé, kteří začínali s místním účtem, mohou ke svému účtu přiřadit více externích identit. Na stránce profilu je také uživatelům připomenuto, že mají potvrdit svoji e-mailovou adresu zasláním požadavku, aby byl na jejich e-mailový účet zaslán potvrzovací e-mail.
Související nastavení webu:
Authentication/Registration/LocalLoginEnabledAuthentication/Registration/ExternalLoginEnabledAuthentication/Registration/TwoFactorEnabled
Nastavení nebo změna hesla
Uživatel s místním účtem můžete vybrat nové heslo pomocí zadání původního hesla. Uživatel bez místního účtu může zvolit uživatelské jméno a heslo a založit si nový místní účet. Po nastavení již nelze uživatelské jméno změnit.
Související nastavení webu: Authentication/Registration/LocalLoginEnabled
Související procesy:
- Vytvoření uživatelského jména a hesla
- Změna hesla
Tyto toky úloh fungují pouze při vyvolání pomocí aplikace Správa portálu. Nejsou ovlivněny nadcházejícím ukončením podpory toků úloh.
Potvrzení e-mailové adresy
Změna e-mailové adresy nebo její prvotní nastavení ji označí jako nepotvrzenou. Uživatel může požádat o zaslání potvrzovacího e-mailu na svou novou e-mailovou adresu. E-mail obsahuje pokyny pro provedení procesu potvrzení e-mailu.
Související proces: Odeslání e-mailového potvrzení kontaktu
- Uživatel zadá novou, nepotvrzenou e-mailovou adresu.
- Uživatel zkontroluje e-mailu, kde najde potvrzovací zprávu.
- Proveďte pracovní postup odeslání e-mailového potvrzení kontaktu.
- Uživatel vyberte potvrzovací odkaz pro dokončení procesu potvrzení.
Zkontrolujte, že je pro kontakt zadána primární e-mailová adresa. E-mailové potvrzení se posílá pouze na primární e-mailovou adresu (emailaddress1), ne na sekundární e-mail (emailaddress2) ani alternativní e-mailové adresy (emailaddress3) záznamu kontaktu.
Povolení dvouúrovňového ověřování
Funkce dvouúrovňového ověřování zvyšuje zabezpečení uživatelského účtu tím, že kromě standardního ověření pomocí místního nebo externího účtu vyžaduje důkaz o vlastnictví potvrzeného e-mailového účtu. Uživateli snažícímu se o přihlášení k účtu s aktivním dvouúrovňovým ověřováním je na potvrzenou e-mailovou adresu přiřazenou k účtu zaslán bezpečnostní kód. K přihlášení musí uživatel zadat bezpečnostní kód. Uživatel může zvolit, aby si web pamatoval úspěšný průchod ověřením, aby při příštím přihlášení ze stejného prohlížeče nebyl bezpečnostní kód vyžadován. Každý uživatelský účet umožňuje tuto funkci nastavit samostatně a vyžaduje potvrzenou e-mailovou adresu.
Upozorňující
Pokud vytvoříte a zapnete nastavení webu Authentication/Registration/MobilePhoneEnabled pro aktivaci starších funkcí, dojde k chybě. Toto nastavení webu není poskytováno automaticky a Power Pages ho nepodporují.
Související nastavení webu:
Authentication/Registration/TwoFactorEnabledAuthentication/Registration/RememberBrowserEnabled
Související proces: Odeslání e-mailu s kódem dvouúrovňového ověřování kontaktu
- Návštěvník se rozhodne, že chcete obdržet bezpečnostní kód e-mailem.
- Návštěvník čeká na e-mail, který obsahuje bezpečnostní kód.
- Návštěvník zadá bezpečnostní kód.
- Proveďte pracovní postup odeslání e-mailu s kódem dvouúrovňového ověřování kontaktu.
- Návštěvník může vypnout dvoufaktorové ověřování.
Správa externích účtů
Ověřený uživatel může připojit nebo registrovat několik externích identit ke svému uživatelskému účtu ze všech nakonfigurovaných poskytovatelů identit. Po připojení identit se uživatel může přihlásit pomocí kterékoli z nich. Identity lze také odpojit, dokud zůstává jedna externí nebo místní identita.
Související nastavení webu: Authentication/Registration/ExternalLoginEnabled
Související proces: připojení identity
- Návštěvník vybere poskytovatele pro připojení k uživatelskému účtu.
- Návštěvník se přihlásí pomocí připojeného poskytovatele.
Poskytovatele lze rovněž odpojit.
Povolení ověřování identity ASP.NET
Následující tabulka popisuje nastavení pro zapnutí a vypnutí různých chování a funkcí ověřování.
| Název nastavení webu | Popis |
|---|---|
| Authentication/Registration/LocalLoginEnabled | Povolí nebo zakáže místní přihlašování k účtům podle uživatelského jména nebo e-mailové adresy a hesla. Výchozí hodnota: true |
| Authentication/Registration/LocalLoginByEmail | Zapne nebo vypne místní přihlašování k účtům pomocí e-mailové adresy místo uživatelského jména. Výchozí hodnota: False |
| Authentication/Registration/ExternalLoginEnabled | Povolí nebo zakáže přihlášení a registraci k externímu účtu. Výchozí hodnota: true |
| Authentication/Registration/RememberMeEnabled | Vybere nebo zruší zaškrtnutí pole Zapamatovat si mě? při místním přihlášení pro umožnění zachování ověřených relací i při uzavření prohlížeče. Výchozí hodnota: true |
| Authentication/Registration/TwoFactorEnabled | Zapne nebo vypne dvoufaktorové ověřování. Uživatelé s potvrzenou e-mailovou adresou mohou aktivovat zvýšené zabezpečení pomocí dvouúrovňového ověřování. Výchozí hodnota: False |
| Authentication/Registration/RememberBrowserEnabled | Vybere nebo zruší zaškrtnutí pole Zapamatovat si prohlížeč? při ověřování druhé úrovně (kód e-mailem) pro zachování ověření druhé úrovně pro aktuální prohlížeč. Uživatel nemusí pro následná přihlášení absolvovat ověřování druhé úrovně, pokud bude používat stejný prohlížeč. Výchozí hodnota: true |
| Authentication/Registration/ResetPasswordEnabled | Povolí nebo zakáže funkci resetu hesla. Výchozí hodnota: true |
| Authentication/Registration/ResetPasswordRequiresConfirmedEmail | Povolí nebo zakáže reset hesla pouze pro potvrzené e-mailové adresy. Je-li povoleno, nepotvrzené e-mailové adresy nelze použít k odeslání pokynů pro reset hesla. Výchozí hodnota: False |
| Authentication/Registration/TriggerLockoutOnFailedPassword | Povolí nebo zakáže záznam neúspěšných pokusů o zadání hesla. Je-li deaktivováno, uživatelské účty se nebudou uzamykat. Výchozí hodnota: true |
| Authentication/Registration/IsDemoMode | Zapne nebo vypne použití příznaku ukázkového režimu pouze ve vývojových nebo demonstračních prostředích. Toto nastavení nezapínejte v produkčních prostředích. Demo režim také vyžaduje, aby byl webový prohlížeč spuštěn místně na serveru webové aplikace. Když je zapnut demo režim, zobrazují se uživateli za účelem rychlého přístupu kód pro reset hesla a kód druhé úrovně. Výchozí hodnota: False |
| Authentication/Registration/LoginButtonAuthenticationType | Pokud web vyžaduje pouze jednoho poskytovatele externí identity pro zpracování všech ověřování, toto nastavení umožňuje propojení tlačítka Přihlásit přímo s přihlašovací stránkou poskytovatele namísto propojování se zprostředkujícím místním přihlašovacím formulářem a se stránkou výběru poskytovatele identity. Pro tuto akci lze vybrat pouze jednoho zprostředkovatele identity. Určete hodnotu AuthenticationType poskytovatele. - Pro konfiguraci jednotného přihlašování používajícího OpenId Connect, například Azure AD B2C, musí uživatel poskytnout autoritu. - U poskytovatelů používajících OAuth 2.0 jsou povoleny tyto hodnoty: Facebook, Google, Yahoo, Microsoft, LinkedIn nebo Twitter.- Pro poskytovatele založené na WS-Federation použijte hodnotu zadanou pro nastavení webu Authentication/WsFederation/ADFS/AuthenticationType a Authentication/WsFederation/Azure/\<provider\>/AuthenticationType. |
Povolení nebo zakázání registrace uživatele
Následuje tabulka popisuje nastavení pro aktivaci nebo deaktivaci možností registrace uživatele.
| Název nastavení webu | Popis |
|---|---|
| Authentication/Registration/Enabled | Povolí nebo zakáže všechny formy registrace uživatele. Projeví se pouze tehdy, když bude registrace povolena pro ostatní nastavení v této sekci. Výchozí hodnota: true |
| Authentication/Registration/OpenRegistrationEnabled | Zapne nebo vypne registrační formulář. Registrační formulář umožňuje všem anonymním návštěvníkům vytvoření uživatelského účtu. Výchozí hodnota: true |
| Authentication/Registration/InvitationEnabled | Aktivuje nebo deaktivuje formulář uplatnění kódu pozvánky pro registraci uživatelů, kteří mají kódy pozvánek. Výchozí hodnota: true |
| Authentication/Registration/CaptchaEnabled | Povolí nebo zakáže captcha na stránce registrace uživatele. Výchozí hodnota: False Toto nastavení webu nemusí být k dispozici ve výchozím nastavení. Chcete-li povolit captcha, musíte vytvořit nastavení webu a nastavit hodnotu na hodnotu true. |
Zkontrolujte, že je pro uživatele zadána primární e-mailová adresa. Uživatelé se mohou registrovat pouze s primární e-mailovou adresu (emailaddress1), ne sekundární (emailaddress2) ani alternativní (emailaddress3) adresou záznamu kontaktu.
Ověření přihlašovacích údajů uživatele
Následující tabulka popisuje nastavení pro úpravu parametrů ověření uživatelského jména a hesla. Ověření probíhá při registraci uživatele k novému místnímu účtu nebo změně hesla.
| Název nastavení webu | Popis |
|---|---|
| Authentication/UserManager/PasswordValidator/EnforcePasswordPolicy | Určuje, zda heslo musí obsahovat znaky ze tří z následujících kategorií:
|
| Authentication/UserManager/UserValidator/AllowOnlyAlphanumericUserNames | Určuje, zda chcete pro uživatelské jméno povolit pouze alfanumerické znaky. Výchozí hodnota: False |
| Authentication/UserManager/UserValidator/RequireUniqueEmail | Určuje, zda je pro ověření uživatele potřeba jedinečná e-mailová adresa. Výchozí hodnota: true |
| Authentication/UserManager/PasswordValidator/RequiredLength | Určuje minimální požadovanou délku hesla. Výchozí hodnota: 8 |
| Authentication/UserManager/PasswordValidator/RequireNonLetterOrDigit | Určuje, zda heslo vyžaduje speciální znak. Výchozí hodnota: False |
| Authentication/UserManager/PasswordValidator/RequireDigit | Určuje, zda heslo vyžaduje číslo. Výchozí hodnota: False |
| Authentication/UserManager/PasswordValidator/RequireLowercase | Určuje, zda heslo vyžaduje malé písmeno. Výchozí hodnota: False |
| Authentication/UserManager/PasswordValidator/RequireUppercase | Určuje, zda heslo vyžaduje velké písmeno. Výchozí hodnota: False |
Nastavení uzamčení uživatelského účtu
Následující tabulka popisuje nastavení určující, jak a kdy bude u účtu uzamčeno ověřování. Když se zjistí určitý počet neúspěšných pokusů o zadání během krátkého časového úseku, uživatelský účet se na nějaký čas uzamkne. Po uplynutí časového období uzamčení může uživatel zkusit heslo zadat znovu.
| Název nastavení webu | Popis |
|---|---|
| Authentication/UserManager/UserLockoutEnabledByDefault | Označuje, zda je při vytvoření uživatele povoleno uzamčení uživatele. Výchozí hodnota: true |
| Authentication/UserManager/DefaultAccountLockoutTimeSpan | Určuje výchozí čas, po který je uživatel uzamčen poté, co je dosaženo maximálního počtu neúspěšných pokusů. Výchozí hodnota: 24:00:00 (1 den) |
| Authentication/UserManager/MaxFailedAccessAttemptsBeforeLockout | Maximální počet neúspěšných pokusů o přihlášení předtím, než dojde k uzamčení uživatele, pokud je uzamčení aktivní. Výchozí hodnota: 5 |
Nastavení stránky ověření souborů cookie
Následující tabulka popisuje nastavení pro úpravu výchozího chování souboru cookie ověřování, definovaného třídou CookieAuthenticationOptions.
| Název nastavení webu | Popis |
|---|---|
| Authentication/ApplicationCookie/AuthenticationType | Určuje typ souboru cookie ověřování aplikace. Výchozí: ApplicationCookie |
| Authentication/ApplicationCookie/CookieName | Určuje název souboru cookie používaného pro uchování identity. Výchozí: .AspNet.Cookies |
| Authentication/ApplicationCookie/CookieDomain | Určuje doménu použitou k vytvoření souboru cookie. |
| Authentication/ApplicationCookie/CookiePath | Určuje cestu použitou k vytvoření souboru cookie. Výchozí: / |
| Authentication/ApplicationCookie/CookieHttpOnly | Určuje, zda má prohlížeč povolit přístup javascriptu na straně klienta k souboru cookie. Výchozí hodnota: true |
| Authentication/ApplicationCookie/CookieSecure | Určuje, zda soubor cookie má být přenesen pouze u požadavků HTTPS. Výchozí: SameAsRequest |
| Authentication/ApplicationCookie/ExpireTimeSpan | Určuje, jak dlouho zůstává soubor cookie aplikace v platnosti od okamžiku, kdy je vytvořen. Výchozí hodnota: 24:00:00 (1 den) |
| Authentication/ApplicationCookie/SlidingExpiration | Předává pokyn middlewaru k opětovnému vydání nového souboru cookie s novou dobou platnosti kdykoliv při zpracování požadavku, který je více než v polovině okna vypršení platnosti. Výchozí hodnota: true |
| Authentication/ApplicationCookie/LoginPath | Informuje middleware, že má změnit odchozí kód stavu 401 Neautorizováno na 302 přesměrování do dané cesty přihlášení. Výchozí: /signin |
| Authentication/ApplicationCookie/LogoutPath | Pokud je middlewarem poskytnuta cesta k odhlášení, přesměruje se požadavek na tuto cestu na základě parametru ReturnUrlParameter. |
| Authentication/ApplicationCookie/ReturnUrlParameter | Určuje název parametru řetězce dotazu, který je připojen middlewarem, když je kód stavu 401 Neuatorizováno změněn na kód 302 přesměrování na cestu přihlášení. |
| Authentication/ApplicationCookie/SecurityStampValidator/ValidateInterval | Určuje období mezi ověřeními razítek zabezpečení. Výchozí hodnota: 30 minut |
| Authentication/TwoFactorCookie/AuthenticationType | Určuje typ souboru cookie dvoufaktorového ověřování. Výchozí: TwoFactorCookie |
| Authentication/TwoFactorCookie/ExpireTimeSpan | Určuje, jak dlouho zůstává soubor cookie dvoufaktorového ověřování v platnosti od okamžiku, kdy je vytvořen. Hodnota nesmí překročit šest minut. Výchozí hodnota: 5 minut |
Další kroky
Migrace poskytovatelů identity na Azure AD B2C
Viz také
Přehled autentizace v Power Pages
Nastavení poskytovatele OAuth 2.0
Nastavení zprostředkovatele OpenID Connect
Nastavení poskytovatele SAML 2.0
Nastavení zprostředkovatele WS-Federation