Indstille godkendelsesidentitet for en portal

Portalfunktioner for Microsoft Dynamics 365 indeholder godkendelsesfunktionalitet, der bygger på ASP.NET-identitet-API'en. ASP.NET-identiteten er igen baseret på den OWIN-struktur, som også er en vigtig komponent i godkendelsessystemet. Tjenesterne omfatter:

  • Lokal (brugernavn og adgangskode) brugerlogon
  • Eksternt (udbyder af sociale medier) brugerlogon via tredjeparts identitetsudbydere
  • To faktor-godkendelse med mail eller SMS
  • Bekræftelse af mailadresse
  • Gendannelse af adgangskode
  • Tilmelding med invitationskode til registrering af forudgenererede kontaktposter

Krav

Portalfunktioner til Microsoft Dynamics 365 kræver

  • Microsoft Dynamics 365-portalbase
  • Microsoft Identity
  • Løsningspakker til Microsoft Identitetsarbejdsprocesser

Godkendelsesoversigt

Tilbagevendende portalbesøgende kan godkende ved hjælp af lokale brugeroplysninger og eksterne id-udbyderkonti. En ny besøgende kan tilmelde sig en ny brugerkonto ved at angive et brugernavn og en adgangskode eller ved at logge på via en ekstern udbyder. Besøgende, der får tilsendt en invitationskode (af portaladministratoren), har mulighed for at indløse koden, når de tilmelder sig en ny brugerkonto.

Relaterede indstillinger for websted:

  • Authentication/Registration/Enabled
  • Authentication/Registration/LocalLoginEnabled
  • Authentication/Registration/ExternalLoginEnabled
  • Authentication/Registration/OpenRegistrationEnabled
  • Authentication/Registration/InvitationEnabled
  • Authentication/Registration/RememberMeEnabled
  • Authentication/Registration/ResetPasswordEnabled

Log på med en lokal identitet eller eksternt id

Logge på med en lokal konto

Tilmeld dig med en lokal identitet eller eksternt id

Tilmelding for et nyt lokalt firma

Indløse en invitationskode manuelt

Tilmeld dig med en invitationskode

Glemt adgangskode eller nulstilling af adgangskode

Tilbagevendende besøgende, der kræver en nulstilling af adgangskode (og tidligere har angivet en mailadresse i deres brugerprofil), har mulighed for at anmode om et token til nulstilling af adgangskoden, som sendes til deres mailkonto. Et nulstillingstoken gør det muligt for ejeren at vælge en ny adgangskode. Tokenet kan også ignoreres, så brugerens oprindelige adgangskode er uændret.

Relaterede indstillinger for websted:

  • Authentication/Registration/ResetPasswordEnabled
  • Authentication/Registration/ResetPasswordRequiresConfirmedEmail

Relaterede processer:

  • Sende nulstilling af adgangskode til kontaktperson
  • Tilpasse mailen under arbejdsprocessen efter behov
  • Sende mail for at starte proces
  • Besøgende bliver bedt om at tjekke mail
  • Proces: Send nulstilling af adgangskode til kontaktperson
  • E-mail med instruktioner om nulstilling af adgangskode
  • Besøgende vender tilbage til nulstillingsformularen
  • Nulstilling af adgangskode fuldført

Indløse en invitation

Indløsning af en invitationskode gør det muligt for en besøgende, som registrerer sig, at blive tilknyttet en eksisterende kontaktpersonpost, der blev udarbejdet på forhånd specifikt til den besøgende. Typisk sendes invitationskoder via mail, men der findes en generel kodeindsendelsesformular for koder, der sendes via andre kanaler. Når der er sendt en gyldig invitationskode, finder den normale brugerregistrering (tilmelding) sted, og den nye brugerkonto konfigureres.

Relaterede indstillinger for websted:

Authentication/Registration/InvitationEnabled

Relaterede processer:

Send invitation

Den mail, der sendes med denne arbejdsproces, skal tilpasses med URL-adressen til siden med invitationsindløsningen på portalen: http://portal.contoso.com/register/?returnurl=%2f & invitation = {Invitation Code(Invitation)}

Oprette en invitation til en ny kontaktperson

Oprette en invitation til en ny kontaktperson

Tilpasse og gemme den nye invitation

Tilpasse en ny invitation

Send invitation

  1. Tilpasse invitationsmailen
  2. Invitationsmail åbner indløsningssiden
  3. Tilmelding ved hjælp af den tilsendte invitationskode

    Tilmeld dig med en invitationskode

Administrere brugerkonti via profilsider

Godkendte brugere administrerer deres brugerkonti via sikkerhedsnavigationslinjen på profilsiden. Brugerne er ikke begrænset til en enkelt lokal konto eller en enkelt ekstern konto, som de valgte samtidig med, at de blev registreret. Brugere med en ekstern konto kan vælge at oprette en lokal konto ved at anvende et brugernavn og en adgangskode. Ellers kan brugere, der begyndte med en lokal konto, vælge at knytte flere eksterne identiteter til deres konto. Profilsiden er også der, hvor brugerne bliver mindet om at bekræfte deres mailadresse ved at anmode om, at der sendes en bekræftelsesmail til deres mailkonto.

Relaterede indstillinger for websted:

  • Authentication/Registration/LocalLoginEnabled

  • Authentication/Registration/ExternalLoginEnabled

  • Authentication/Registration/TwoFactorEnabled

  • Authentication/Registration/MobilePhoneEnabled

Angive eller skifte en adgangskode

En bruger med en eksisterende lokal konto kan anvende en ny adgangskode ved at angive den oprindelige adgangskode. En bruger uden en lokal konto kan vælge et brugernavn og en adgangskode for at oprette en ny lokal konto. Brugernavnet kan ikke ændres, når det er indstillet.

Relaterede indstillinger for websted:

Authentication/Registration/LocalLoginEnabled

  • Oprette et brugernavn og en adgangskode
  • Ændre en eksisterende adgangskode

Ændre eller bekræfte en mailadresse

Ændring af en mailadresse (eller angive den første gang) aktiverer en ikke-bekræftet tilstand for mailadressen. Brugeren kan anmode om at få sendt en mail til den nye mailadresse med anvisninger på at fuldføre mailbekræftelsesprocessen.

Relaterede processer:

Sende mailbekræftelse til kontaktperson

  1. Tilpas mailen under arbejdsprocessen efter behov.
  2. Send en ny mail (ikke-bekræftet).
  3. Tjekke mail for bekræftelse

Sende mailbekræftelse til kontaktperson

  1. Tilpasse bekræftelsesmailen
  2. Klik på bekræftelseslinket for at fuldføre

Skifte eller bekræfte mobilnummer

Ændring af mobiltelefonværdien er lidt forskellig fra end ændring af mailadressen. Den nye værdi gemmes i et midlertidigt lager uden at den oprindelige værdi ændres. En SMS-meddelelse med en sikkerhedskode sendes til det nye mobiltelefonnummer. Først når sikkerhedskoden sendes tilbage til er portalen (og er godkendt), erstattes det gamle mobilnummer med den nye værdi.

Relaterede processer:

Authentication/Registration/MobilePhoneEnabled

Relaterede processer:

Sende SMS-bekræftelse til kontaktperson

Bemærk

Arbejdsprocessen for denne proces indeholder et midlertidigt trin, der sender sikkerhedskoden via mail. Dette er et pladsholdertrin, der skal erstattes af et nyt trin, der kan sende SMS-beskeder.

  1. Sende nyt mobiltelefonnummer (ikke-bekræfte)
  2. Afvente SMS med sikkerhedskode

Sende SMS-bekræftelse til kontaktperson

  1. Erstat dette mailtrin med et SMS-trin.
  2. Når du har sendt en gyldig sikkerhedskode

Aktivér to faktor-godkendelse

Funktionen to faktor-godkendelse øger brugerkontosikkerhed ved at kræve bevis for ejerskabet af en bekræftet mail eller mobiltelefonnummer udover logon til lokal/ekstern standardkonto. En bruger, der forsøger at logge på en konto, hvor to faktor-godkendelse er aktiveret, får tilsendt en sikkerhedskode til den bekræftede mailadresse eller mobiltelefonnummer, der er knyttet til deres konto. Sikkerhedskoden skal indsendes for at fuldføre logonprocessen. En bruger kan vælge at huske den browser, der overfører verificeringen, så sikkerhedskoden ikke er påkrævet for efterfølgende logon fra den samme browser.

Hver brugerkonto aktiverer denne funktion individuelt og kræver enten en bekræftet mail eller et bekræftet mobiltelefonnummer. Brugerkonti med begge dele kan vælge, hvilken metode der skal bruges til at modtage sikkerhedskoden.

Relaterede indstillinger for websted:

  • Authentication/Registration/TwoFactorEnabled
  • Authentication/Registration/RememberBrowserEnabled

Relaterede processer:

Sende mail med to faktor-koden til kontakt

  1. Send SMS med to faktor-koden til kontakt
  2. Aktivér to faktor-godkendelse
  3. Vælge at modtage sikkerhedskode via e-mail og SMS
  4. Afvente mail/SMS med sikkerhedskode

Proces: Send mail med to faktor-koden til kontakt

Proces: Send SMS med to faktor-koden til kontakt

  1. To faktor-godkendelse kan deaktiveres

Administrer eksterne konti

En godkendt bruger kan tilknytte (registrere) flere eksterne identiteter til deres brugerkonto én fra hver af de konfigurerede identitetsudbydere. Når identiteterne er tilknyttet, kan brugeren vælge at logge på med en af de tilknyttede identiteter. Eksisterende identiteter kan også afbrydes, så længe der er en enkelt ekstern eller lokal identitet.

Relaterede indstillinger for websted:

Authentication/Registration/ExternalLoginEnabled

  • Indstillinger for ekstern identitetsudbyders websted
  1. Vælg en udbyder, der skal tilknyttes

    Administrere eksterne konti

  2. Log på med den udbyder, der skal tilknyttes

  3. Udbyderen tilknyttes
  4. Tilknytning af udbyderen kan afbrydes

Aktivere ASP.NET-identitetsgodkendelse

I det følgende beskrives indstillingerne for aktivering/deaktivering af forskellige godkendelsesfunktioner og funktionsmåder:

Navn på indstilling for websted Beskrivelse
Authentication/Registration/LocalLoginEnabled Aktiverer eller deaktiverer logon til den lokale konto baseret på et brugernavn (eller e-mail) og adgangskode. Standard: false
Authentication/Registration/LocalLoginByEmail Aktiverer eller deaktiverer logon til den lokale konto ved hjælp af et mailadressefelt i stedet for et felt til brugernavn. Standard: false
Authentication/Registration/ExternalLoginEnabled Aktiverer eller deaktiverer ekstern konto-logon og registrering. Standard: true
Authentication/Registration/RememberMeEnabled Aktiverer eller deaktiverer afkrydsningsfeltet "Husk mig?" ved lokalt logon for at bevare godkendte sessioner, selv når webbrowseren er lukket. Standard: true
Authentication/Registration/TwoFactorEnabled Aktiverer eller deaktiverer indstillingen, hvor brugerne kan aktivere to faktor-godkendelse. Brugere med en bekræftet mailadresse eller bekræftet mobilnummer kan tilvælge den øgede sikkerhed i to faktor-godkendelse. Standard: false
Authentication/Registration/MobilePhoneEnabled Aktiverer eller deaktiverer muligheden for at tilføje og bekræfte et mobiltelefonnummer. Når aktiveret, er det også nødvendigt at opdatere Sende SMS-bekræftelse til kontaktperson-processen i Dynamics 365, så arbejdsprocessen kan udsende SMS-beskeder. Standard: false
Authentication/Registration/RememberBrowserEnabled Aktiverer eller deaktiverer afkrydsningsfeltet "Husk denne browser?" på to faktor-validering (mail/SMS kode) for at bevare to faktor-valideringen af den aktuelle webbrowser. Brugeren vil ikke være forpligtet til at overføre to faktor-validering for efterfølgende logon, så længe der bruges den samme browser. Standard: true
Authentication/Registration/ResetPasswordEnabled Aktiverer eller deaktiverer funktionen til nulstilling af adgangskode. Standard: true
Authentication/Registration/ResetPasswordRequiresConfirmedEmail Aktiverer eller deaktiverer kun nulstilling af adgangskode for bekræftede mailadresser. Hvis aktiveret kan ubekræftede mailadresser ikke bruges til at sende instruktioner om nulstilling af adgangskode. Standard: false
Authentication/Registration/TriggerLockoutOnFailedPassword Aktiverer eller deaktiverer registreringen af mislykkede adgangskodeforsøg. Hvis deaktiveret, bliver brugerkonti ikke spærret. Standard: true
Authentication/Registration/IsDemoMode Aktiverer eller deaktiverer et demotilstandsflag, der kun skal bruges i udviklings- eller demonstrationsmiljøer. Aktiver ikke denne indstilling for produktionsmiljøer. Demotilstand kræver også, at webbrowser kører lokalt til webprogramserveren. Når demotilstand er aktiveret, vises koden til nulstilling af adgangskode og to faktor-koden for brugeren for hurtig adgang. Standard: false
Authentication/Registration/LoginButtonAuthenticationType Hvis en portal kun kræver en enkelt ekstern identitetsudbyder (til at håndtere al godkendelse), kan knappen Log på i overskriftens navigationslinje kædes direkte sammen med logonsiden i denne eksterne identitetsudbyder (i stedet for sammenkædning med den mellemliggende lokale logonformular og side til valg af identitetsudbyder). Kun en enkelt identitetsudbyder kan vælges til denne handling. Angiv værdien for AuthenticationType for udbyderen.

For OAuth2-baserede udbydere er de accepterede værdier: Facebook, Google, Yahoo, Microsoft, LinkedIn, Yammer eller Twitter

WS-Federation-baserede udbydere bruger den værdi, der er angivet for Authentication/WsFederation/ADFS/AuthenticationType and Authentication/WsFederation/Azure/[udbyder]/AuthenticationType-webstedsindstillingerne. Eksempler: http://adfs.contoso.com/adfs/services/trust, Facebook-0123456789, Google, Yahoo!, uri:WindowsLiveID. | ||

Aktiver eller deaktiver brugerregistrering

I det følgende beskrives indstillingerne for aktivering/deaktivering af brugerregistrering (tilmelding):

Navn på indstilling for websted Beskrivelse
Authentication/Registration/Enabled Aktiverer eller deaktiverer alle former for brugerregistrering. Registrering skal være aktiveret, for at de andre indstillinger i dette afsnit kan træde i kraft. Standard: true
Authentication/Registration/OpenRegistrationEnabled Aktiverer eller deaktiverer tilmeldingsformularen til oprettelse af nye lokale brugere. Med tilmeldingsformularen kan anonyme besøgende på portalen oprette en ny brugerkonto. Standard: true
Authentication/Registration/InvitationEnabled Aktiverer eller deaktiverer invitationskodens indløsningsformular til registrering af brugere, der råder over invitationskoder. Standard: true

Validering af brugerlegitimationsoplysninger

I det følgende beskrives indstillingerne for justering af parametre til validering af brugernavn og adgangskode. Validering sker ved tilmelding til en ny lokal konto eller ændring af en adgangskode.

Navn på indstilling for websted Beskrivelse
Authentication/UserManager/PasswordValidator/EnforcePasswordPolicy Angiver, om adgangskoden indeholder tegn fra tre af følgende kategorier:
  • Store bogstaver for europæiske sprog (A til Z, med diakritiske mærker, græske og kyrilliske tegn)
  • Små bogstaver for europæiske sprog (a til z, skarpt s, med diakritiske mærker, græske og kyrilliske tegn)
  • Basale 10 cifre (0-9)
  • Ikke-alfanumeriske tegn (specialtegn) (eksempelvis !, $, #, %)
Standard: true. MSDN.
Authentication/UserManager/UserValidator/AllowOnlyAlphanumericUserNames Om kun alfanumeriske tegn skal tillades for brugernavnet. Standard: false. MSDN.
Authentication/UserManager/UserValidator/RequireUniqueEmail Om entydige mailadresser er nødvendig for at validere brugeren. Standard: true. MSDN.
Authentication/UserManager/PasswordValidator/RequiredLength Den krævede minimumlængde på adgangskoden. Standard: 8. MSDN.
Authentication/UserManager/PasswordValidator/RequireNonLetterOrDigit Om adgangskoden kræver et tegn, der ikke er et bogstav eller tal. Standard: false. MSDN.
Authentication/UserManager/PasswordValidator/RequireDigit Angiver, om adgangskoden kræver et numerisk ciffer ('0 '-'9'). Standard: false. MSDN.
Authentication/UserManager/PasswordValidator/RequireLowercase Angiver, om adgangskoden kræver et lille bogstav ('a'-'å'). Standard: false. MSDN.
Authentication/UserManager/PasswordValidator/RequireUppercase Angiver, om adgangskoden kræver et stort bogstav ('A'-'Å'). Standard: false. MSDN.

Spærringsindstillinger for brugerkonti

I det følgende beskrives de indstillinger, der definerer, hvordan og hvornår en konto spærres fra godkendelse. Når et bestemt antal mislykkede adgangskodeforsøg registreres i en kort periode, spærres brugerkontoen i en periode. Brugeren kan forsøge igen, efter at spærringsperioden er udløbet.

Navn på indstilling for websted Beskrivelse
Authentication/UserManager/UserLockoutEnabledByDefault Angiver, om brugerspærringen aktiveres, når der oprettes brugere. Standard: true. MSDN.
Authentication/UserManager/DefaultAccountLockoutTimeSpan Det standardtidsrum, en bruger er spærret i, når Authentication/UserManager/MaxFailedAccessAttemptsBeforeLockout er nået. Standard: 24:00:00 (1 dag). MSDN.
Authentication/UserManager/MaxFailedAccessAttemptsBeforeLockout Det maksimale antal adgangsforsøg, der er tilladt, før adgangen spærres for en bruger (hvis spærring er aktiveret). Standard: 5. MSDN.
Authentication/ApplicationCookie/ExpireTimeSpan Hvor lang tid cookiegodkendelsessessioner er gyldige. Standard: 24:00:00 (1 dag). MSDN.

Se også

Konfigurer Dynamics 365-portalgodkendelse
Indstillinger for OAuth2-udbyder for portaler
OpenID Connect-udbyderindstillinger for portaler
WS-Federation-udbyderindstillinger for portaler
Indstillinger for SAML 2.0-udbyder for portaler
Godkendelse via Facebook-app (sidefane) for portaler