Indstille godkendelsesidentitet for en portal

Portalfunktioner for Microsoft Dynamics 365 indeholder godkendelsesfunktionalitet, der bygger på ASP.NET-identitet-API'en. ASP.NET-identiteten er igen baseret på den OWIN-struktur, som også er en vigtig komponent i godkendelsessystemet. Tjenesterne omfatter:

  • Lokal (brugernavn og adgangskode) brugerlogon
  • Eksternt (udbyder af sociale medier) brugerlogon via tredjeparts identitetsudbydere
  • To faktor-godkendelse med mail
  • Bekræftelse af mailadresse
  • Gendannelse af adgangskode
  • Tilmelding med invitationskode til registrering af forudgenererede kontaktposter

Krav

Portalfunktioner til Microsoft Dynamics 365 kræver:

  • Microsoft Dynamics 365-portalbase
  • Microsoft Identity
  • Løsningspakker til Microsoft Identitetsarbejdsprocesser

Godkendelsesoversigt

Tilbagevendende portalbesøgende kan godkende ved hjælp af lokale brugeroplysninger og eksterne id-udbyderkonti. En ny besøgende kan tilmelde sig en ny brugerkonto ved at angive et brugernavn og en adgangskode eller ved at logge på via en ekstern udbyder. Besøgende, der får tilsendt en invitationskode (af portaladministratoren), har mulighed for at indløse koden, når de tilmelder sig en ny brugerkonto.

Relaterede indstillinger for websted:

  • Authentication/Registration/Enabled
  • Authentication/Registration/LocalLoginEnabled
  • Authentication/Registration/ExternalLoginEnabled
  • Authentication/Registration/OpenRegistrationEnabled
  • Authentication/Registration/InvitationEnabled
  • Authentication/Registration/RememberMeEnabled
  • Authentication/Registration/ResetPasswordEnabled

Log på ved hjælp af en lokal identitet eller eksternt id

Logge på ved hjælp af en lokal konto

Tilmelding ved hjælp af en lokal identitet eller eksternt id

Tilmelding for et nyt lokalt firma

Indløse en invitationskode manuelt

Tilmeld dig ved hjælp af en invitationskode

Glemt adgangskode eller nulstilling af adgangskode

Tilbagevendende besøgende, der kræver en nulstilling af adgangskode (og tidligere har angivet en mailadresse i deres brugerprofil), har mulighed for at anmode om et token til nulstilling af adgangskoden, som sendes til deres mailkonto. Et nulstillingstoken gør det muligt for ejeren at vælge en ny adgangskode. Tokenet kan også ignoreres, så brugerens oprindelige adgangskode er uændret.

Relaterede indstillinger for websted:

  • Authentication/Registration/ResetPasswordEnabled
  • Authentication/Registration/ResetPasswordRequiresConfirmedEmail

Relateret proces: Send nulstilling af adgangskode til kontaktperson

  • Tilpasse mailen under arbejdsprocessen efter behov
  • Sende mail for at starte proces
  • Besøgende bliver bedt om at tjekke mail
  • E-mail med instruktioner om nulstilling af adgangskode
  • Besøgende vender tilbage til nulstillingsformularen
  • Nulstilling af adgangskode fuldført

Indløse en invitation

Indløsning af en invitationskode gør det muligt for en besøgende, som registrerer sig, at blive tilknyttet en eksisterende kontaktpersonpost, der blev udarbejdet på forhånd specifikt til den besøgende. Typisk sendes invitationskoder via mail, men der findes en generel kodeindsendelsesformular for koder, der sendes via andre kanaler. Når der er sendt en gyldig invitationskode, finder den normale brugerregistrering (tilmelding) sted, og den nye brugerkonto konfigureres.

Relaterede indstillinger for websted:

Authentication/Registration/InvitationEnabled

Relateret proces: Send invitation

Den mail, der sendes med denne arbejdsproces, skal tilpasses ved hjælp af URL-adressen til siden med invitationsindløsningen på portalen: http://portal.contoso.com/register/?returnurl=%2f & invitation = {Invitation Code(Invitation)}

  1. Oprette en invitation til en ny kontaktperson

    Oprette en invitation til en ny kontaktperson

  2. Tilpasse og gemme den nye invitation

    Tilpasse en ny invitation

  3. Proces: Send invitation

  4. Tilpasse invitationsmailen.
  5. Invitationsmailen åbner indløsningssiden.
  6. Brugeren tilmelder sig ved hjælp af den tilsendte invitationskode.

    Tilmeld dig ved hjælp af en invitationskode

Administrere brugerkonti via profilsider

Godkendte brugere administrerer deres brugerkonti via navigationslinjen Sikkerhed på profilsiden. Brugerne er ikke begrænset til en enkelt lokal konto eller en enkelt ekstern konto, som de vælger samtidig med, at de bliver registreret. De brugere, der har en ekstern konto, kan vælge at oprette en lokal konto ved at anvende et brugernavn og en adgangskode. Ellers kan brugere, der begyndte med en lokal konto, vælge at knytte flere eksterne identiteter til deres konto. Profilsiden er også der, hvor brugerne bliver mindet om at bekræfte deres mailadresse ved at anmode om, at der sendes en bekræftelsesmail til deres mailkonto.

Relaterede indstillinger for websted:

  • Authentication/Registration/LocalLoginEnabled

  • Authentication/Registration/ExternalLoginEnabled

  • Authentication/Registration/TwoFactorEnabled

Angive eller skifte en adgangskode

En bruger, der har en eksisterende lokal konto, kan anvende en ny adgangskode ved at angive den oprindelige adgangskode. En bruger, der ikke har en lokal konto, kan vælge et brugernavn og en adgangskode for at oprette en ny lokal konto. Brugernavnet kan ikke ændres, når det er indstillet.

Relaterede indstillinger for websted:

Authentication/Registration/LocalLoginEnabled

  • Opret et brugernavn og en adgangskode.
  • Ændre en eksisterende adgangskode.

Ændre eller bekræfte en mailadresse

Ændring af en mailadresse (eller angive den første gang) aktiverer en ikke-bekræftet tilstand for mailadressen. Brugeren kan anmode om at få sendt en mail til den nye mailadresse med anvisninger på at fuldføre mailbekræftelsesprocessen.

Relateret proces: Send mailbekræftelse til kontaktperson

  1. Tilpas mailen under arbejdsprocessen efter behov.
  2. Send en ny mail (ikke-bekræftet).
  3. Tjek mail for bekræftelse.
  4. Proces: Send mailbekræftelse til kontaktperson
  5. Tilpasse bekræftelsesmailen.
  6. Klik på bekræftelseslinket for at fuldføre.

Aktivér to faktor-godkendelse

Funktionen to faktor-godkendelse øger brugerkontosikkerhed ved at kræve bevis for ejerskabet af en bekræftet mail ud over logon til lokal/ekstern standardkonto. En bruger, der forsøger at logge på en konto, der har faktor-godkendelse aktiveret, får tilsendt en sikkerhedskode til den bekræftede mailadresse, der er knyttet til deres konto. Sikkerhedskoden skal indsendes for at fuldføre logonprocessen. En bruger kan vælge at huske den browser, der overførte verificeringen, så sikkerhedskoden ikke bliver krævet for efterfølgende logon fra den samme browser. Hver brugerkonto aktiverer denne funktion individuelt og kræver en bekræftet mail.

Relaterede indstillinger for websted:

  • Authentication/Registration/TwoFactorEnabled
  • Authentication/Registration/RememberBrowserEnabled

Relateret proces: Send mail med to faktor-kode til kontakt

  1. Aktivér to faktor-godkendelse.
  2. Vælg at modtage sikkerhedskode via e-mail.
  3. Afvent mail med sikkerhedskode.
  4. Proces: Send mail med to faktor-koden til kontakt.
  5. To faktor-godkendelse kan deaktiveres.

Administrer eksterne konti

En godkendt bruger kan tilknytte (registrere) flere eksterne identiteter til deres brugerkonto én fra hver af de konfigurerede identitetsudbydere. Når identiteterne er tilknyttet, kan brugeren vælge at logge på med en af de tilknyttede identiteter. Eksisterende identiteter kan også afbrydes, så længe der er en enkelt ekstern eller lokal identitet.

Relaterede indstillinger for websted:

Authentication/Registration/ExternalLoginEnabled

  • Indstillinger for ekstern identitetsudbyders websted
  1. Vælg en udbyder, der skal tilknyttes

    Administrere eksterne konti

  2. Log på med den udbyder, der skal tilknyttes

  3. Udbyderen tilknyttes
  4. Tilknytning af udbyderen kan afbrydes

Aktivere ASP.NET-identitetsgodkendelse

I det følgende beskrives indstillingerne for aktivering/deaktivering af forskellige godkendelsesfunktioner og funktionsmåder:

Navn på indstilling for websted Beskrivelse
Authentication/Registration/LocalLoginEnabled Aktiverer eller deaktiverer logon til den lokale konto baseret på et brugernavn (eller e-mail) og adgangskode. Standard: false
Authentication/Registration/LocalLoginByEmail Aktiverer eller deaktiverer logon til den lokale konto ved hjælp af et mailadressefelt i stedet for et felt til brugernavn. Standard: false
Authentication/Registration/ExternalLoginEnabled Aktiverer eller deaktiverer ekstern konto-logon og registrering. Standard: true
Authentication/Registration/RememberMeEnabled Aktiverer eller deaktiverer afkrydsningsfeltet "Husk mig?" ved lokalt logon for at bevare godkendte sessioner, selv når webbrowseren er lukket. Standard: true
Authentication/Registration/TwoFactorEnabled Aktiverer eller deaktiverer indstillingen, hvor brugerne kan aktivere to faktor-godkendelse. Brugere med en bekræftet mailadresse kan tilvælge den øgede sikkerhed i to faktor-godkendelse. Standard: false
Authentication/Registration/RememberBrowserEnabled Aktiverer eller deaktiverer afkrydsningsfeltet "Husk denne browser?" ved to faktor-validering (mail kode) for at bevare to faktor-valideringen af den aktuelle webbrowser. Brugeren vil ikke være forpligtet til at overføre to faktor-validering for efterfølgende logon, så længe der bruges den samme browser. Standard: true
Authentication/Registration/ResetPasswordEnabled Aktiverer eller deaktiverer funktionen til nulstilling af adgangskode. Standard: true
Authentication/Registration/ResetPasswordRequiresConfirmedEmail Aktiverer eller deaktiverer kun nulstilling af adgangskode for bekræftede mailadresser. Hvis aktiveret kan ubekræftede mailadresser ikke bruges til at sende instruktioner om nulstilling af adgangskode. Standard: false
Authentication/Registration/TriggerLockoutOnFailedPassword Aktiverer eller deaktiverer registreringen af mislykkede adgangskodeforsøg. Hvis deaktiveret, bliver brugerkonti ikke spærret. Standard: true
Authentication/Registration/IsDemoMode Aktiverer eller deaktiverer et demotilstandsflag, der kun skal bruges i udviklings- eller demonstrationsmiljøer. Aktiver ikke denne indstilling for produktionsmiljøer. Demotilstand kræver også, at webbrowser kører lokalt til webprogramserveren. Når demotilstand er aktiveret, vises koden til nulstilling af adgangskode og to faktor-koden for brugeren for hurtig adgang. Standard: false
Authentication/Registration/LoginButtonAuthenticationType Hvis en portal kun kræver en enkelt ekstern identitetsudbyder (til at håndtere al godkendelse), kan knappen Log på i overskriftens navigationslinje kædes direkte sammen med logonsiden i denne eksterne identitetsudbyder (i stedet for sammenkædning med den mellemliggende lokale logonformular og side til valg af identitetsudbyder). Kun en enkelt identitetsudbyder kan vælges til denne handling. Angiv værdien for AuthenticationType for udbyderen.
For en enkeltlogon-konfiguration, der bruger OpenIdConnect, f.eks. ved hjælp af Azure AD-B2C, skal brugeren angive myndigheden.
For en enkeltlogon-konfiguration, der bruger OpenIdConnect, f.eks. ved hjælp af Azure AD-B2C, skal brugeren angive myndigheden.
For OAuth2-baserede udbydere er de accepterede værdier: Facebook, Google, Yahoo, [!INCLUDE[cc-microsoft](../includes/cc-microsoft.md)], LinkedIn, Yammer, eller Twitter
For WS-Federation-baserede udbydere bruges den værdi, der er angivet for Authentication/WsFederation/ADFS/AuthenticationType og Authentication/WsFederation/[!INCLUDE[pn-azure-shortest](../includes/pn-azure-shortest.md)]/\[provider\]/AuthenticationType-indstillinger for websted. Eksempler: http://adfs.contoso.com/adfs/services/trust, Facebook-0123456789, Google, Yahoo!, uri:WindowsLiveID.

Aktiver eller deaktiver brugerregistrering

I det følgende beskrives indstillingerne for aktivering/deaktivering af brugerregistrering (tilmelding):

Navn på indstilling for websted Beskrivelse
Authentication/Registration/Enabled Aktiverer eller deaktiverer alle former for brugerregistrering. Registrering skal være aktiveret, for at de andre indstillinger i dette afsnit kan træde i kraft. Standard: true
Authentication/Registration/OpenRegistrationEnabled Aktiverer eller deaktiverer tilmeldingsformularen til oprettelse af nye lokale brugere. Med tilmeldingsformularen kan anonyme besøgende på portalen oprette en ny brugerkonto. Standard: true
Authentication/Registration/InvitationEnabled Aktiverer eller deaktiverer invitationskodens indløsningsformular til registrering af brugere, der råder over invitationskoder. Standard: true

Validering af brugerlegitimationsoplysninger

I det følgende beskrives indstillingerne for justering af parametre til validering af brugernavn og adgangskode. Validering sker ved tilmelding til en ny lokal konto eller ændring af en adgangskode.

Navn på indstilling for websted Beskrivelse
Authentication/UserManager/PasswordValidator/EnforcePasswordPolicy Angiver, om adgangskoden indeholder tegn fra tre af følgende kategorier:
  • Store bogstaver for europæiske sprog (A til Z, med diakritiske mærker, græske og kyrilliske tegn)
  • Små bogstaver for europæiske sprog (a til z, skarpt s, med diakritiske mærker, græske og kyrilliske tegn)
  • Basale 10 cifre (0-9)
  • Ikke-alfanumeriske tegn (specialtegn) (eksempelvis !, $, #, %)
Standard: true. MSDN.
Authentication/UserManager/UserValidator/AllowOnlyAlphanumericUserNames Om kun alfanumeriske tegn skal tillades for brugernavnet. Standard: false. MSDN.
Authentication/UserManager/UserValidator/RequireUniqueEmail Om entydige mailadresser er nødvendig for at validere brugeren. Standard: true. MSDN.
Authentication/UserManager/PasswordValidator/RequiredLength Den krævede minimumlængde på adgangskoden. Standard: 8. MSDN.
Authentication/UserManager/PasswordValidator/RequireNonLetterOrDigit Om adgangskoden kræver et tegn, der ikke er et bogstav eller tal. Standard: false. MSDN.
Authentication/UserManager/PasswordValidator/RequireDigit Angiver, om adgangskoden kræver et numerisk ciffer ('0 '-'9'). Standard: false. MSDN.
Authentication/UserManager/PasswordValidator/RequireLowercase Angiver, om adgangskoden kræver et lille bogstav ('a'-'å'). Standard: false. MSDN.
Authentication/UserManager/PasswordValidator/RequireUppercase Angiver, om adgangskoden kræver et stort bogstav ('A'-'Å'). Standard: false. MSDN.

Spærringsindstillinger for brugerkonti

I det følgende beskrives de indstillinger, der definerer, hvordan og hvornår en konto spærres fra godkendelse. Når et bestemt antal mislykkede adgangskodeforsøg registreres i en kort periode, spærres brugerkontoen i en periode. Brugeren kan forsøge igen, efter at spærringsperioden er udløbet.

Navn på indstilling for websted Beskrivelse
Authentication/UserManager/UserLockoutEnabledByDefault Angiver, om brugerspærringen aktiveres, når der oprettes brugere. Standard: true. MSDN.
Authentication/UserManager/DefaultAccountLockoutTimeSpan Det standardtidsrum, en bruger er spærret i, når Authentication/UserManager/MaxFailedAccessAttemptsBeforeLockout er nået. Standard: 24:00:00 (1 dag). MSDN.
Authentication/UserManager/MaxFailedAccessAttemptsBeforeLockout Det maksimale antal adgangsforsøg, der er tilladt, før adgangen spærres for en bruger (hvis spærring er aktiveret). Standard: 5. MSDN.
Authentication/ApplicationCookie/ExpireTimeSpan Hvor lang tid cookiegodkendelsessessioner er gyldige. Standard: 24:00:00 (1 dag). MSDN.

Se også

Konfigurere Dynamics 365-portalgodkendelse
Indstillinger for OAuth2-udbyder for portaler
OpenID Connect-udbyderindstillinger for portaler
WS-Federation-udbyderindstillinger for portaler
Indstillinger for SAML 2.0-udbyder for portaler
Godkendelse via Facebook-app (sidefane) for portaler