Définir l'identité d'authentification pour un portail

Les fonctionnalités de portail pour Microsoft Dynamics 365 fournissent une fonctionnalité d'authentification intégrée à l'API ASP.NET Identity. ASP.NET Identity est à son tour intégré à la structure OWIN qui est également un composant important du système d'authentification. Les services fournis sont :

  • Connexion des utilisateurs locaux (nom d'utilisateur et mot de passe)
  • Connexion des utilisateurs externes (fournisseurs de réseau social) via des fournisseurs d'identité tiers
  • Authentification à deux facteurs par courrier électronique
  • Confirmation de l'adresse de messagerie
  • Récupération du mot de passe
  • Inscription avec un code d'invitation pour inscrire les enregistrements de contact pré-générés

Besoins

Les fonctionnalités du portail pour Microsoft Dynamics 365 requièrent :

  • Base du portail Microsoft Dynamics 365
  • Identité Microsoft
  • Microsoft Packages de solutions de workflows d'identité

Présentation de l’authentification

Les visiteurs du portail qui reviennent peuvent s'authentifier à l'aide des informations d'identification locales des utilisateurs et/ou des comptes externes de fournisseurs d'identité. Un nouveau visiteur peut s'inscrire sur un nouveau compte d'utilisateur en fournissant un nom d'utilisateur et un mot de passe ou en se connectant via un fournisseur externe. Les visiteurs qui reçoivent un code d'invitation (de l'administrateur du portail) peuvent utiliser ce code durant le processus d'inscription sur un nouveau compte d'utilisateur.

Paramètres de site associés :

  • Authentication/Registration/Enabled
  • Authentication/Registration/LocalLoginEnabled
  • Authentication/Registration/ExternalLoginEnabled
  • Authentication/Registration/OpenRegistrationEnabled
  • Authentication/Registration/InvitationEnabled
  • Authentication/Registration/RememberMeEnabled
  • Authentication/Registration/ResetPasswordEnabled

Se connecter à l'aide d'une identité locale ou d'une identité externe

Se connecter à l'aide d'un compte local

S'inscrire à l'aide d'une identité locale ou d'une identité externe

S'inscrire à un nouveau compte local

Utilisez un code d'invitation manuellement

S'inscrire à l'aide d'un code d'invitation

Mot de passe oublié ou réinitialisation du mot de passe

Les visiteurs qui reviennent dont le mot de passe doit être réinitialisé (et qui ont précédemment spécifié une adresse de messagerie dans leur profil utilisateur) peuvent demander qu'un jeton de réinitialisation du mot de passe leur soit envoyé à leur compte de messagerie. Un jeton de réinitialisation permet à son propriétaire de choisir un nouveau mot de passe. Il est également possible d'abandonner le jeton et de conserver le mot de passe d'origine de l'utilisateur.

Paramètres de site associés :

  • Authentication/Registration/ResetPasswordEnabled
  • Authentication/Registration/ResetPasswordRequiresConfirmedEmail

Processus associé : envoyer une réinitialisation du mot de passe au contact

  1. Personnalisez le message électronique dans le workflow si nécessaire.
  2. Envoyez l'adresse de messagerie pour appeler le processus.
  3. Le visiteur est invité à vérifier son courrier électronique.
  4. Le visiteur reçoit le courrier électronique de réinitialisation du mot de passe avec des instructions.
  5. Le visiteur retourne au formulaire de réinitialisation.
  6. La réinitialisation du mot de passe est terminée.

Utiliser une invitation

L'utilisation d'un code d'invitation permet d'associer un visiteur inscrit à un enregistrement de contact existant qui a été préparé à l'avance spécialement pour ce visiteur. Généralement, les codes d'invitation sont envoyés par courrier électronique, mais un formulaire général d'envoi de code est disponible pour les codes envoyés via d'autres canaux. Une fois qu'un code d'invitation valide est envoyé, le processus d'enregistrement (inscription) normal de l'utilisateur se poursuit pour configurer le nouveau compte d'utilisateur.

Paramètres de site associés :

Authentication/Registration/InvitationEnabled

Processus associé : envoyer une invitation

Le courrier électronique envoyé par ce workflow doit être personnalisé à l'aide de l'URL de la page d'utilisation d'une invitation sur le portail : http://portal.contoso.com/register/?returnurl=%2f&invitation={Invitation Code(Invitation)}

  1. Créez une invitation pour un nouveau contact.

    Créer une invitation pour un contact

  2. Personnalisez et enregistrez la nouvelle invitation.

    Personnaliser une nouvelle invitation

  3. Processus : envoyer une invitation

  4. Personnalisez le message électronique d'invitation.
  5. Le message électronique d'invitation ouvre la page d'utilisation d'une invitation.
  6. L'utilisateur s'inscrit à l'aide du code d'invitation envoyé.

    S'inscrire avec un code d'invitation

Gérer des comptes d'utilisateur via les pages de profil

Les utilisateurs authentifiés gèrent leurs comptes d'utilisateurs via la barre de navigation Sécurité de la page de profil. Les utilisateurs ne sont pas limités au compte local unique ou au compte externe unique qu'ils ont choisi au moment de leur inscription. Les utilisateurs qui ont un compte externe peuvent choisir de créer un compte local en appliquant un nom d'utilisateur et un mot de passe. Les utilisateurs qui ont commencé avec un compte local peuvent choisir d'associer plusieurs identités externes à leur compte. La page de profil permet également à l'utilisateur de confirmer son adresse de messagerie en demandant qu'un message de confirmation lui soit envoyé à son compte de messagerie.

Paramètres de site associés :

  • Authentication/Registration/LocalLoginEnabled
  • Authentication/Registration/ExternalLoginEnabled
  • Authentication/Registration/TwoFactorEnabled

Définir ou changer un mot de passe

Un utilisateur qui a un compte local existant peut appliquer un nouveau mot de passe en fournissant le mot de passe d'origine. Un utilisateur sans compte local peut choisir un nom d'utilisateur et un mot de passe pour configurer un nouveau compte local. Le nom d'utilisateur ne peut pas être modifié une fois qu'il est défini.

Paramètres de site associés :

Authentication/Registration/LocalLoginEnabled

Processus associé :

  • Créez un nom d'utilisateur et un mot de passe.
  • Modifiez un mot de passe existant.

Confirmer une adresse électronique

Lorsque vous modifiez une adresse de messagerie (ou en définissez une pour la première fois), celle-ci prend l'état Non confirmé. L'utilisateur peut demander qu'un message de confirmation lui soit envoyé à la nouvelle adresse de messagerie avec les instructions pour terminer le processus de confirmation de l'adresse de messagerie.

Processus associé : envoyer la confirmation par courrier électronique au contact

  1. Personnalisez le message électronique dans le workflow si nécessaire.
  2. L'utilisateur envoie un nouvel électronique, qui est à l'état non confirmé.
  3. L'utilisateur vérifie son courrier électronique pour obtenir des instructions de confirmation.
  4. Processus : envoyer la confirmation par courrier électronique au contact
  5. Personnalisez le message de confirmation.
  6. L'utilisateur clique sur le lien de confirmation pour terminer le processus de confirmation.

Activez l'authentification à deux facteurs

La fonctionnalité d'authentification à deux facteurs augmente la sécurité du compte d'utilisateur en exigeant une preuve de la propriété d'une adresse de messagerie confirmée en plus de la connexion au compte local/externe standard. Un utilisateur qui tente de se connecter à un compte dont l'authentification à deux facteurs est activée reçoit un code de sécurité à l'adresse de messagerie ou au téléphone mobile confirmé associé à son compte. Le code de sécurité doit être envoyé pour terminer le processus de connexion. Un utilisateur peut choisir de mémoriser le navigateur qui a réussi la vérification afin que le code de sécurité ne soit pas exigé pour les connexions suivantes à partir du même navigateur. Chaque compte d'utilisateur active cette fonctionnalité individuellement et nécessite une adresse électronique confirmée.

Paramètres de site associés :

  • Authentication/Registration/TwoFactorEnabled
  • Authentication/Registration/RememberBrowserEnabled

Processus associé : envoyer le code à deux facteurs par courrier électronique au contact

  1. Activez l'authentification à deux facteurs.
  2. Choisissez de recevoir le code de sécurité par courrier électronique.
  3. Patientez jusqu'à la réception du courrier électronique contenant le code de sécurité.
  4. Processus : envoyer le code à deux facteurs par courrier électronique au contact.
  5. L'authentification à deux facteurs peut être désactivée.

Gérer les comptes externes

Un utilisateur authentifié peut connecter (inscrire) plusieurs identités externes à son compte d'utilisateur à partir de chaque fournisseur d'identité configuré. Après avoir connecté les identités, l'utilisateur peut choisir de se connecter à l'une des identités connectées. Les identités existantes peuvent également être déconnectées tant qu'il reste une identité externe ou locale.

Paramètres de site associés :

  • Authentication/Registration/ExternalLoginEnabled

Paramètres de site du fournisseur d'identité externes

  1. Sélectionnez un fournisseur pour vous connecter à votre compte d'utilisateur.

    Gérer les comptes externes

  2. Connectez-vous à l'aide du fournisseur que vous souhaitez connecter.

Le fournisseur est maintenant connecté. Le fournisseur peut être également déconnecté.

Activer l'authentification ASP.NET Identity

Ce document présente les paramètres d'activation et de désactivation de plusieurs fonctionnalités et comportements d'authentification :

Nom du paramètre de site Description
Authentication/Registration/LocalLoginEnabled Active ou désactive la connexion au compte local en fonction d'un nom d'utilisateur (ou adresse de messagerie) et d'un mot de passe. Valeur par défaut : false.
Authentication/Registration/LocalLoginByEmail Active ou désactive la connexion au compte local en utilisant un champ d'adresse de messagerie à la place d'un champ de nom d'utilisateur. Valeur par défaut : false.
Authentication/Registration/ExternalLoginEnabled Active ou désactive la connexion et l'inscription du compte externe. Valeur par défaut : true
Authentication/Registration/RememberMeEnabled Coche ou décoche une case « Mémoriser mes informations ? » lors de la connexion locale pour que les sessions authentifiées restent actives même si le navigateur Web est fermé. Valeur par défaut : true
Authentication/Registration/TwoFactorEnabled Active ou désactive l'option permettant aux utilisateurs d'activer l'authentification à deux facteurs. Les utilisateurs disposant d'une adresse de messagerie confirmée peuvent choisir la sécurité ajoutée de l'authentification à deux facteurs. Valeur par défaut : false.
Authentication/Registration/RememberBrowserEnabled Coche ou décoche une case « Se souvenir de ce navigateur ? » lors de la validation du deuxième facteur (code par courrier électronique) pour conserver la validation du deuxième facteur pour le navigateur actuel. Il n'est pas nécessaire que l'utilisateur passe la validation du deuxième facteur pour les connexions suivantes tant que le même navigateur est utilisé. Valeur par défaut : true
Authentication/Registration/ResetPasswordEnabled Active ou désactive la fonctionnalité de réinitialisation du mot de passe. Valeur par défaut : true
Authentication/Registration/ResetPasswordRequiresConfirmedEmail Active ou désactive la réinitialisation du mot de passe pour les adresses de messagerie confirmées uniquement. Si ce paramètre est activé, les adresses de messagerie non confirmées ne peuvent pas être utilisées pour envoyer les instructions de réinitialisation du mot de passe. Valeur par défaut : false.
Authentication/Registration/TriggerLockoutOnFailedPassword Active ou désactive l'enregistrement des tentatives infructueuses de saisie du mot de passe. Si désactivé, les comptes d'utilisateur ne seront pas débloqués. Par défaut : vrai
Authentication/Registration/IsDemoMode Active ou désactive une balise en mode Démonstration à utiliser dans les environnements de développement ou de démonstration uniquement. N'activez pas ce paramètre dans les environnements de production. Le mode Démonstration nécessite également que le navigateur Web s'exécute localement sur le serveur d'application Web. Lorsque le mode Démonstration est activé, le code de réinitialisation du mot de passe et le code du deuxième facteur sont visibles par l'utilisateur pour permettre un accès rapide. Valeur par défaut : false.
Authentication/Registration/LoginButtonAuthenticationType Si un portail ne requiert qu'un seul fournisseur d'identité externe (pour gérer l'authentification), le bouton Se connecter de la barre de navigation peut être associé directement à la page de connexion de ce fournisseur d'identité externe (au lieu d'être associé au formulaire de connexion local intermédiaire et à la page de sélection du fournisseur d'identité). Un seul fournisseur d'identité peut être sélectionné pour cette action. Spécifiez la valeur AuthenticationType du fournisseur.
Pour une configuration à authentification unique à l'aide d'OpenIdConnect, par exemple avec Azure Active Directory B2C, l'utilisateur doit indiquer l'autorité.
Pour les fournisseurs basés sur OAuth2 les valeurs acceptées sont : Facebook, Google, Yahoo, [!INCLUDE[cc-microsoft](../includes/cc-microsoft.md)], LinkedIn, Yammer, ou Twitter
Pour les fournisseurs basés sur WS-Federation, utilisez la valeur spécifiée pour les paramètres de site Authentication/WsFederation/ADFS/AuthenticationType et Authentication/WsFederation/[!INCLUDE[pn-azure-shortest](../includes/pn-azure-shortest.md)]/\[provider\]/AuthenticationType. Exemples : http://adfs.contoso.com/adfs/services/trust, Facebook-0123456789, Google, Yahoo!, uri:WindowsLiveID.

Activer ou désactiver l'enregistrement des utilisateurs

Ce document présente les paramètres d'activation et de désactivation des options d'enregistrement (inscription) des utilisateurs :

Nom du paramètre de site Description
Authentication/Registration/Enabled Active ou désactive tous les types d'enregistrement des utilisateurs. L'enregistrement doit être activé pour que les autres paramètres de cette section prennent effet. Valeur par défaut : true
Authentication/Registration/OpenRegistrationEnabled Active ou désactive le formulaire d'inscription pour la création d'utilisateurs locaux. Le formulaire d'inscription permet à n'importe quel visiteur anonyme du portail de créer un compte d'utilisateur. Valeur par défaut : true
Authentication/Registration/InvitationEnabled Active ou désactive le formulaire d'utilisation du code d'invitation pour les utilisateurs inscrits qui possèdent des codes d'invitation. Valeur par défaut : true

Validation des informations d'authentification de l'utilisateur

Ce document présente les paramètres de réglage des paramètres de validation du nom d'utilisateur et du mot de passe. La validation se produit lors de l'inscription des utilisateurs à un nouveau compte local ou du changement de mot de passe.

Nom du paramètre de site Description
Authentication/UserManager/PasswordValidator/EnforcePasswordPolicy Si le mot de passe contient des caractères de trois des catégories suivantes :
  • Lettres majuscules de langues européennes (A à Z, avec les caractères diacritiques, les caractères grecs et cyrilliques)
  • Lettres minuscules de langues européennes (a à z, eszett allemand, avec les caractères diacritiques, les caractères grecs et cyrilliques)
  • Chiffres en base 10 (de 0 à 9)
  • Caractères non alphanumériques (caractères spéciaux) (par exemple !, $, #, %)
Valeur par défaut : true. Pour plus d’informations, voir Politique de mot de passe.
Authentication/UserManager/UserValidator/AllowOnlyAlphanumericUserNames Indique si seuls les caractères alphanumériques sont autorisés pour le nom d'utilisateur. Valeur par défaut : false. Pour plus d'informations : UserValidator<TUser, TKey>.AllowOnlyAlphanumericUserNames.
Authentication/UserManager/UserValidator/RequireUniqueEmail Indique si l'adresse de messagerie est nécessaire pour valider l'utilisateur. Valeur par défaut : true. Pour plus d'informations : UserValidator<TUser, TKey>.RequireUniqueEmail.
Authentication/UserManager/PasswordValidator/RequiredLength Longueur minimale requise pour le mot de passe. Par défaut : 8. Pour plus d'informations : PasswordValidator.RequiredLength.
Authentication/UserManager/PasswordValidator/RequireNonLetterOrDigit Indique si le mot de passe nécessite un caractère autre qu'une lettre ou un chiffre. Valeur par défaut : false. Pour plus d'informations : PasswordValidator.RequiredNonLetterOrDigit.
Authentication/UserManager/PasswordValidator/RequireDigit Indique si le mot de passe requiert un chiffre numérique (de 0 à 9). Valeur par défaut : false. Pour plus d'informations : PasswordValidator.RequireDigit.
Authentication/UserManager/PasswordValidator/RequireLowercase Indique si le mot de passe requiert une lettre minuscule (de a à z). Valeur par défaut : false. Pour plus d'informations : PasswordValidator.RequireLowercase.
Authentication/UserManager/PasswordValidator/RequireUppercase Indique si le mot de passe requiert une lettre minuscule (de A à Z). Valeur par défaut : false. Pour plus d'informations : PasswordValidator.RequireUppercase.

Paramètres de verrouillage du compte utilisateur

Ce document présente les paramètres qui définissent comment et quand un compte se trouve verrouillé par l'authentification. Lorsqu'un certain nombre de tentatives infructueuses de saisie du mot de passe est détecté sur une courte période, le compte d'utilisateur est verrouillé pendant un certain période. L'utilisateur peut réessayer à la fin de la période de verrouillage.

Nom du paramètre de site Description
Authentication/UserManager/UserLockoutEnabledByDefault Indique si le verrouillage de l'utilisateur est activé lors de la création des utilisateurs. Valeur par défaut : true. Pour plus d'informations : UserManager<TUser, TKey>.UserLockoutEnabledByDefault.
Authentication/UserManager/DefaultAccountLockoutTimeSpan Durée de verrouillage par défaut d'un utilisateur après que Authentication/UserManager/MaxFailedAccessAttemptsBeforeLockout soit atteint. Valeur par défaut : 24:00:00 (1 jour). Pour plus d'informations : UserManager<TUser, TKey>.DefaultAccountLockoutTimeSpan.
Authentication/UserManager/MaxFailedAccessAttemptsBeforeLockout Nombre maximal de tentatives d'accès autorisés avant le verrouillage d'un utilisateur (si le verrouillage est activé). Par défaut : 5. Pour plus d'informations : UserManager<TUser, TKey>.MaxFailedAccessAttemptsBeforeLockout.
Authentication/ApplicationCookie/ExpireTimeSpan La durée par défaut pendant laquelle les sessions d'authentification de cookie sont valides. Valeur par défaut : 24:00:00 (1 jour). Pour plus d'informations : CookieAuthenticationOptions.ExpireTimeSpan.

Voir aussi

Configurer l'authentification sur le portail Dynamics 365
Paramètres du fournisseur OAuth2 pour les portails
Paramètres du fournisseur Open ID Connect pour les portails
Paramètres du fournisseur WS-Federation pour les portails
Paramètres du fournisseur SAML 2.0 pour les portails
Authentification de l'application Facebook (onglet de page) pour les portails