Authentification locale, inscription et autres paramètres

Important

Les fonctionnalités de portail fournissent une fonctionnalité d’authentification intégrée à l’API ASP.NET Identity. ASP.NET Identity est à son tour intégré à la structure OWIN qui est également un composant important du système d’authentification. Les services fournis sont :

  • Connexion des utilisateurs locaux (nom d’utilisateur et mot de passe)
  • Connexion des utilisateurs externes (fournisseurs de réseau social) via des fournisseurs d’identité tiers
  • Authentification à deux facteurs par courrier électronique
  • Confirmation de l’adresse de messagerie
  • Récupération du mot de passe
  • Inscription avec un code d’invitation pour inscrire les enregistrements de contact pré-générés

Notes

Le champ Téléphone mobile confirmé du formulaire de contact portail de la table Contact n’atteint actuellement aucun objectif. Ce champ doit être utilisé uniquement lors de la mise à niveau depuis Adxstudio Portals.

Besoins

Les portails nécessitent :

  • Base des portails
  • Identité Microsoft
  • Microsoft Packages de solutions de workflows d’identité

Présentation de l’authentification

Les visiteurs du portail qui reviennent peuvent s’authentifier à l’aide des informations d’identification locales des utilisateurs et/ou des comptes externes de fournisseurs d’identité. Un nouveau visiteur peut s’inscrire sur un nouveau compte d’utilisateur en fournissant un nom d’utilisateur et un mot de passe ou en se connectant via un fournisseur externe. Les visiteurs qui reçoivent un code d’invitation de l’administrateur du portail peuvent utiliser ce code durant le processus d’inscription sur un nouveau compte d’utilisateur.

Paramètres de site associés :

  • Authentication/Registration/Enabled
  • Authentication/Registration/LocalLoginEnabled
  • Authentication/Registration/ExternalLoginEnabled
  • Authentication/Registration/OpenRegistrationEnabled
  • Authentication/Registration/InvitationEnabled
  • Authentication/Registration/RememberMeEnabled
  • Authentication/Registration/ResetPasswordEnabled

Se connecter à l’aide d’une identité locale ou d’une identité externe

L’image suivante montre une option de connexion avec l’utilisation d’un compte local ou en sélectionnant un fournisseur d’identité externe.

Se connecter à l’aide d’un compte local.

S’inscrire à l’aide d’une identité locale ou d’une identité externe

L’image suivante montre un écran de connexion pour s’inscrire en utilisant un compte local ou en sélectionnant un fournisseur d’identité externe.

S’inscrire à un nouveau compte local.

Utilisez un code d’invitation manuellement

L’image suivante montre la possibilité d’utiliser une invitation à l’aide du code d’invitation.

S’inscrire avec un code d’invitation.

Mot de passe oublié ou réinitialisation du mot de passe

Les visiteurs qui reviennent dont le mot de passe doit être réinitialisé (et qui ont précédemment spécifié une adresse de messagerie dans leur profil utilisateur) peuvent demander qu’un jeton de réinitialisation du mot de passe leur soit envoyé à leur compte de messagerie. Un jeton de réinitialisation permet à son propriétaire de choisir un nouveau mot de passe. Le jeton peut également être abandonné et le mot de passe d’origine de l’utilisateur conservé.

Paramètres de site associés :

  • Authentication/Registration/ResetPasswordEnabled
  • Authentication/Registration/ResetPasswordRequiresConfirmedEmail

Processus associé : envoyer une réinitialisation du mot de passe au contact

  1. Personnalisez le message électronique dans le workflow si nécessaire.
  2. Envoyez l’adresse de messagerie pour appeler le processus.
  3. Le visiteur est invité à vérifier son courrier électronique.
  4. Le visiteur reçoit le courrier électronique de réinitialisation du mot de passe avec des instructions.
  5. Le visiteur retourne au formulaire de réinitialisation.
  6. La réinitialisation du mot de passe est terminée.

Utiliser une invitation

L’utilisation d’un code d’invitation permet d’associer un visiteur inscrit à un enregistrement de contact existant qui a été préparé à l’avance spécialement pour ce visiteur. Généralement, les codes d’invitation sont envoyés par courrier électronique, mais un formulaire général d’envoi de code est disponible pour les codes envoyés via d’autres canaux. Une fois qu’un code d’invitation valide est envoyé, le processus d’enregistrement (inscription) normal de l’utilisateur se poursuit pour configurer le nouveau compte d’utilisateur.

Paramètre de site associé :

Authentication/Registration/InvitationEnabled

Processus associé : envoyer une invitation

Le courrier électronique envoyé par ce workflow doit être personnalisé à l’aide de l’URL de la page d’utilisation d’une invitation sur le portail : https://portal.contoso.com/register/?returnurl=%2f&invitation={Invitation Code(Invitation)}

  1. Créez une invitation pour un nouveau contact.

    Créez une invitation pour un nouveau contact.

  2. Personnalisez et enregistrez la nouvelle invitation.

    Personnaliser une nouvelle invitation.

  3. Personnalisez le message électronique d’invitation.

  4. Traitez le workflow Envoyer une invitation.

  5. Le message électronique d’invitation ouvre la page d’utilisation d’une invitation.

  6. L’utilisateur s’inscrit à l’aide du code d’invitation envoyé.

    S’inscrire avec un code d’invitation.

Inscription désactivée

Si l’inscription est désactivée pour un utilisateur après que l’utilisateur a utilisé une invitation, affichez un message à l’aide de l’extrait de contenu suivant :

Nom : Account/Register/RegistrationDisabledMessage

Valeur : L’inscription a été désactivée.

Gérer des comptes d’utilisateur via les pages de profil

Les utilisateurs authentifiés gèrent leurs comptes d’utilisateurs via la barre de navigation Sécurité de la page de profil. Les utilisateurs ne sont pas limités au compte local unique ou au compte externe unique qu’ils ont choisi au moment de leur inscription. Les utilisateurs qui ont un compte externe peuvent choisir de créer un compte local en appliquant un nom d’utilisateur et un mot de passe. Les utilisateurs qui ont commencé avec un compte local peuvent choisir d’associer plusieurs identités externes à leur compte. La page de profil permet également à l’utilisateur de confirmer son adresse de messagerie en demandant qu’un message de confirmation lui soit envoyé à son compte de messagerie.

Paramètres de site associés :

  • Authentication/Registration/LocalLoginEnabled
  • Authentication/Registration/ExternalLoginEnabled
  • Authentication/Registration/TwoFactorEnabled

Définir ou changer un mot de passe

Un utilisateur qui a un compte local existant peut appliquer un nouveau mot de passe en fournissant le mot de passe d’origine. Un utilisateur sans compte local peut choisir un nom d’utilisateur et un mot de passe pour configurer un nouveau compte local. Le nom d’utilisateur ne peut pas être modifié une fois qu’il est défini.

Paramètre de site associé :

Authentication/Registration/LocalLoginEnabled

Processus associés :

  • Créez un nom d’utilisateur et un mot de passe.
  • Modifiez un mot de passe existant.

Notes

Les flux de tâches ci-dessus ne fonctionnent que lorsqu'ils sont appelés sur un contact à l'aide de l'application Gestion du portail. Ces flux de tâches ne sont pas affectés par la dépréciation à venir des flux de tâches.

Confirmer une adresse électronique

Lorsque vous modifiez une adresse de messagerie (ou en définissez une pour la première fois), celle-ci prend l’état Non confirmé. L’utilisateur peut demander qu’un message de confirmation lui soit envoyé à la nouvelle adresse de messagerie avec les instructions pour terminer le processus de confirmation de l’adresse de messagerie.

Processus associé : envoyer la confirmation par courrier électronique au contact

  1. Personnalisez le message électronique dans le workflow si nécessaire.
  2. L’utilisateur envoie un nouvel électronique, qui est à l’état non confirmé.
  3. L’utilisateur vérifie son courrier électronique pour obtenir des instructions de confirmation.
  4. Personnalisez le message de confirmation.
  5. Traitez le workflow Envoyer la confirmation par courrier électronique au contact.
  6. L’utilisateur sélectionne le lien de confirmation pour terminer le processus de confirmation.

Notes

Assurez-vous que l’adresse électronique principale est spécifiée pour le contact, car le courrier électronique de confirmation est envoyé uniquement à l’adresse électronique principale (emailaddress1) du contact. Le courrier électronique de confirmation n’est pas envoyé à l’adresse électronique secondaire (emailaddress2), ni à l’autre adresse électronique (emailaddress3) de l’enregistrement du contact.

Activez l’authentification à deux facteurs

La fonctionnalité d’authentification à deux facteurs augmente la sécurité du compte d’utilisateur en exigeant une preuve de la propriété d’une adresse de messagerie confirmée en plus de la connexion au compte local/externe standard. Un utilisateur qui tente de se connecter à un compte dont l’authentification à deux facteurs est activée reçoit un code de sécurité à l’adresse de messagerie ou au téléphone mobile confirmé associé à son compte. Le code de sécurité doit être envoyé pour terminer le processus de connexion. Un utilisateur peut choisir de mémoriser le navigateur qui a réussi la vérification afin que le code de sécurité ne soit pas exigé pour les connexions suivantes de l’utilisateur à partir du même navigateur. Chaque compte d’utilisateur active cette fonctionnalité individuellement et nécessite une adresse électronique confirmée.

Avertissement

Si vous créez et activez le paramètre de site Authentication/Registration/MobilePhoneEnabled pour activer la fonctionnalité héritée, une erreur se produit. Ce paramètre de site n’est pas fourni par défaut et n’est pas pris en charge par les portails.

Paramètres de site associés :

  • Authentication/Registration/TwoFactorEnabled
  • Authentication/Registration/RememberBrowserEnabled

Processus associé : envoyer le code à deux facteurs par courrier électronique au contact

  1. Activez l’authentification à deux facteurs.
  2. Choisissez de recevoir le code de sécurité par courrier électronique.
  3. Patientez jusqu’à la réception du courrier électronique contenant le code de sécurité.
  4. Traitez le processus Envoyer le code à deux facteurs par courrier électronique au contact. .
  5. L’authentification à deux facteurs peut être désactivée.

Gérer les comptes externes

Un utilisateur authentifié peut connecter (inscrire) plusieurs identités externes à son compte d’utilisateur à partir de chaque fournisseur d’identité configuré. Après avoir connecté les identités, l’utilisateur peut choisir de se connecter à l’une des identités connectées. Les identités existantes peuvent également être déconnectées tant qu’il reste une identité externe ou locale.

Paramètre de site associé :

  • Authentication/Registration/ExternalLoginEnabled

Paramètres de site du fournisseur d’identité externes

  1. Sélectionnez un fournisseur pour vous connecter à votre compte d’utilisateur.

    Gérer les comptes externes.

  2. Connectez-vous à l’aide du fournisseur que vous souhaitez connecter.

Le fournisseur est maintenant connecté. Le fournisseur peut être également déconnecté.

Activer l’authentification ASP.NET Identity

Le tableau suivant présente les paramètres d’activation et de désactivation de plusieurs fonctionnalités et comportements d’authentification :

Nom du paramètre du site Description
Authentication/Registration/LocalLoginEnabled Active ou désactive la connexion au compte local en fonction d’un nom d’utilisateur (ou adresse de messagerie) et d’un mot de passe. Valeur par défaut : true
Authentication/Registration/LocalLoginByEmail Active ou désactive la connexion au compte local en utilisant un champ d’adresse de messagerie à la place d’un champ de nom d’utilisateur. Valeur par défaut : false.
Authentication/Registration/ExternalLoginEnabled Active ou désactive la connexion et l’inscription du compte externe. Valeur par défaut : true
Authentication/Registration/RememberMeEnabled Active ou désactive une case à cocher Mémoriser mes informations ? lors de la connexion locale pour que les sessions authentifiées restent actives même si le navigateur Web est fermé. Valeur par défaut : true
Authentication/Registration/TwoFactorEnabled Active ou désactive l’option permettant aux utilisateurs d’activer l’authentification à deux facteurs. Les utilisateurs disposant d’une adresse de messagerie confirmée peuvent choisir la sécurité ajoutée de l’authentification à deux facteurs. Valeur par défaut : false.
Authentication/Registration/RememberBrowserEnabled Active ou désactive une case à cocher Se souvenir de ce navigateur ? lors de la validation du deuxième facteur (code par courrier électronique) pour conserver la validation du deuxième facteur pour le navigateur actuel. Il n’est pas nécessaire que l’utilisateur passe la validation du deuxième facteur pour les connexions suivantes tant que le même navigateur est utilisé. Valeur par défaut : true
Authentication/Registration/ResetPasswordEnabled Active ou désactive la fonctionnalité de réinitialisation du mot de passe. Valeur par défaut : true
Authentication/Registration/ResetPasswordRequiresConfirmedEmail Active ou désactive la réinitialisation du mot de passe pour les adresses de messagerie confirmées uniquement. Si ce paramètre est activé, les adresses de messagerie non confirmées ne peuvent pas être utilisées pour envoyer les instructions de réinitialisation du mot de passe. Valeur par défaut : false.
Authentication/Registration/TriggerLockoutOnFailedPassword Active ou désactive l’enregistrement des tentatives infructueuses de saisie du mot de passe. Si désactivé, les comptes d’utilisateur ne seront pas débloqués. Par défaut : vrai
Authentication/Registration/IsDemoMode Active ou désactive une balise en mode Démonstration à utiliser dans les environnements de développement ou de démonstration uniquement. N’activez pas ce paramètre dans les environnements de production. Le mode Démonstration nécessite également que le navigateur Web s’exécute localement sur le serveur d’application Web. Lorsque le mode Démonstration est activé, le code de réinitialisation du mot de passe et le code du deuxième facteur sont visibles par l’utilisateur pour permettre un accès rapide. Valeur par défaut : false.
Authentication/Registration/LoginButtonAuthenticationType Si un portail ne requiert qu’un seul fournisseur d’identité externe (pour gérer l’authentification), le bouton Se connecter de la barre de navigation peut être associé directement à la page de connexion de ce fournisseur d’identité externe (au lieu d’être associé au formulaire de connexion local intermédiaire et à la page de sélection du fournisseur d’identité). Un seul fournisseur d’identité peut être sélectionné pour cette action. Spécifiez la valeur AuthenticationType du fournisseur.
Pour une configuration à authentification unique à l’aide d’OpenID Connect, par exemple avec Azure AD B2C, l’utilisateur doit indiquer l’autorité.
Pour les fournisseurs basés sur OAuth 2.0, les valeurs acceptées sont : Facebook, Google, Yahoo, Microsoft, LinkedIn ou Twitter
Pour les fournisseurs basés sur WS-Federation, utilisez la valeur spécifiée pour les paramètres de site Authentication/WsFederation/ADFS/AuthenticationType et Authentication/WsFederation/Azure/[provider]/AuthenticationType.
Exemples : https://adfs.contoso.com/adfs/services/trust, Facebook-0123456789, Google, Yahoo!, uri:WindowsLiveID.

Activer ou désactiver l’enregistrement des utilisateurs

Ce document présente les paramètres d’activation et de désactivation des options d’enregistrement (inscription) des utilisateurs.

Nom du paramètre du site Description
Authentication/Registration/Enabled Active ou désactive tous les types d’enregistrement des utilisateurs. L’enregistrement doit être activé pour que les autres paramètres de cette section prennent effet. Valeur par défaut : true
Authentication/Registration/OpenRegistrationEnabled Active ou désactive le formulaire d’inscription pour la création d’utilisateurs locaux. Le formulaire d’inscription permet à n’importe quel visiteur anonyme du portail de créer un compte d’utilisateur. Valeur par défaut : true
Authentication/Registration/InvitationEnabled Active ou désactive le formulaire d’utilisation du code d’invitation pour les utilisateurs inscrits qui possèdent des codes d’invitation. Valeur par défaut : true
Authentication/Registration/CaptchaEnabled Active ou le désactive les caractères d’image entrés (captcha) sur la page d’inscription de l’utilisateur. Valeur par défaut : false.
REMARQUE :
- Ce paramètre de site peut ne pas être disponible par défaut. Pour activer les caractères d’image entrés (captcha), vous devez créer le paramètre de site et définir la valeur sur true.
- Le contrôle Captcha est actuellement limité à la seule langue anglaise pour l'audio et aux caractères latins pour l'image.

Notes

Assurez-vous que l’adresse électronique principale est spécifiée pour l’utilisateur, car l’inscription s’effectue uniquement avec l’adresse électronique principale (emailaddress1) de l’utilisateur. L’utilisateur ne peut pas être inscrit avec l’adresse électronique secondaire (emailaddress2), ni l’autre adresse électronique (emailaddress3) de l’enregistrement du contact.

Validation des informations d’authentification de l’utilisateur

Ce document présente les paramètres de réglage des paramètres de validation du nom d’utilisateur et du mot de passe. La validation se produit lors de l’inscription des utilisateurs à un nouveau compte local ou du changement de mot de passe.

Nom du paramètre du site Description
Authentication/UserManager/PasswordValidator/EnforcePasswordPolicy Détermine si le mot de passe contient des caractères de trois des catégories suivantes :
  • Lettres majuscules de langues européennes (A à Z, avec les caractères diacritiques, les caractères grecs et cyrilliques)
  • Lettres minuscules de langues européennes (a à z, eszett allemand, avec les caractères diacritiques, les caractères grecs et cyrilliques)
  • Chiffres en base 10 (de 0 à 9)
  • Caractères non alphanumériques (caractères spéciaux) (par exemple !, $, #, %)
Valeur par défaut : true. En savoir plus : Politique de mot de passe.
Authentication/UserManager/UserValidator/AllowOnlyAlphanumericUserNames Détermine si seuls les caractères alphanumériques sont autorisés pour le nom d’utilisateur.
Valeur par défaut : false.
Authentication/UserManager/UserValidator/RequireUniqueEmail Détermine si l’adresse de messagerie est nécessaire pour valider l’utilisateur.
Valeur par défaut : true
Authentication/UserManager/PasswordValidator/RequiredLength Longueur minimale requise pour le mot de passe.
Valeur par défaut : 8
Authentication/UserManager/PasswordValidator/RequireNonLetterOrDigit Détermine si le mot de passe nécessite un caractère autre qu’une lettre ou un chiffre.
Valeur par défaut : false.
Authentication/UserManager/PasswordValidator/RequireDigit Détermine si le mot de passe requiert un chiffre numérique (de 0 à 9).
Valeur par défaut : false.
Authentication/UserManager/PasswordValidator/RequireLowercase Détermine si le mot de passe requiert une lettre minuscule (de a à z).
Valeur par défaut : false.
Authentication/UserManager/PasswordValidator/RequireUppercase Détermine si le mot de passe requiert une lettre majuscule (de A à Z).
Valeur par défaut : false.

Paramètres de verrouillage du compte utilisateur

Ce document présente les paramètres qui définissent comment et quand un compte se trouve verrouillé par l’authentification. Lorsqu’un certain nombre de tentatives infructueuses de saisie du mot de passe est détecté sur une courte période, le compte d’utilisateur est verrouillé pendant un certain période. L’utilisateur peut réessayer à la fin de la période de verrouillage.

Nom du paramètre du site Description
Authentication/UserManager/UserLockoutEnabledByDefault Indique si le verrouillage de l’utilisateur est activé lors de la création des utilisateurs.
Valeur par défaut : true
Authentication/UserManager/DefaultAccountLockoutTimeSpan Durée de verrouillage par défaut d’un utilisateur après que Authentication/UserManager/MaxFailedAccessAttemptsBeforeLockout soit atteint.
Valeur par défaut : 24:00:00 (1 jour)
Authentication/UserManager/MaxFailedAccessAttemptsBeforeLockout Nombre maximal de tentatives d’accès autorisés avant le verrouillage d’un utilisateur (si le verrouillage est activé).
Valeur par défaut : 5

Ce qui suit décrit les paramètres de modification du comportement des cookies d’authentification par défaut, définis par la classe CookieAuthenticationOptions.

Nom du paramètre du site Description
Authentication/ApplicationCookie/AuthenticationType Type de cookie d’authentification d’application.
Valeur par défaut : ApplicationCookie
Authentication/ApplicationCookie/CookieName Détermine le nom du cookie utilisé pour rendre l’identité persistante.
Valeur par défaut : .AspNet.Cookies
Authentication/ApplicationCookie/CookieDomain Détermine le domaine utilisé pour créer le cookie.
Authentication/ApplicationCookie/CookiePath Détermine le chemin d’accès utilisé pour créer le cookie.
Valeur par défaut : /
Authentication/ApplicationCookie/CookieHttpOnly Détermine si le navigateur doit autoriser l’accès au cookie par JavaScript côté client.
Valeur par défaut : true
Authentication/ApplicationCookie/CookieSecure Détermine si le cookie doit uniquement être transmise à la demande HTTPS.
Valeur par défaut : SameAsRequest
Authentication/ApplicationCookie/ExpireTimeSpan Contrôle le nombre d’heures au cours desquelles l’application du cookie reste valide à partir du moment où elle est créée.
Valeur par défaut : 24:00:00 (1 jour)
Authentication/ApplicationCookie/SlidingExpiration SlidingExpiration est définie sur True pour demander au logiciel intermédiaire d’émettre à nouveau un cookie avec une nouvelle heure d’expiration chaque fois qu’il traite une demande dépassant la moitié de la fenêtre d’expiration.
Valeur par défaut : true
Authentication/ApplicationCookie/LoginPath La propriété LoginPath informe le logiciel intermédiaire qu’il doit modifier le code d’état 401 Non autorisé en dans une redirection 302 sur le chemin d’accès de connexion donné.
Valeur par défaut : /signin
Authentication/ApplicationCookie/LogoutPath Si le chemin de déconnexion est fourni au logiciel intermédiaire, alors une demande à ce chemin d’accès redirigera selon le ReturnUrlParameter.
Authentication/ApplicationCookie/ReturnUrlParameter Le ReturnUrlParameter détermine le nom du paramètre de chaîne de requête ajouté par le logiciel intermédiaire lorsqu’un code d’état 401 Non autorisé prend la valeur 302 redirection sur le chemin d’accès de connexion.
Authentication/ApplicationCookie/SecurityStampValidator/ValidateInterval Intervalle entre les validations de tampon de sécurité.
Valeur par défaut : 30 minutes
Authentication/TwoFactorCookie/AuthenticationType Type de cookie d’authentification à deux facteurs.
Valeur par défaut : TwoFactorCookie
Authentication/TwoFactorCookie/ExpireTimeSpan Contrôle le nombre d’heures au cours desquelles le cookie à deux facteurs reste valide à partir du moment où il est créé. La valeur ne doit pas dépasser 6 minutes.
Valeur par défaut : 5 minutes

Étapes suivantes

Migrer des fournisseurs d’identité vers Azure AD B2C

Voir aussi

Vue d’ensemble de l’authentification dans les portails Power Apps
Configurer un fournisseur OAuth 2.0 pour les portails
Configurer un fournisseur OpenID Connect pour les portails
Configurer un fournisseur SAML 2.0 pour les portails
Configurer un fournisseur WS-Federation pour les portails
Microsoft Learn : Paramètres d’authentification des portails Power Apps