Mengatur identitas otentikasi untuk portal

Kemampuan portal untuk Microsoft Dynamics 365 menyediakan fungsionalitas otentikasi yang dibangun di ASP.NET Identity API. Identitas ASP.NET pada gilirannya dibangun di kerangka OWIN yang juga merupakan komponen penting dari sistem otentikasi. Layanan yang disediakan meliputi:

  • Profil masuk pengguna setempat (username/password)
  • Profil masuk pengguna eksternal (penyedia sosial) melalui penyedia identitas pihak ketiga
  • Otentikasi Dua faktor dengan email
  • Konfirmasi alamat email
  • Pemulihan password
  • Sign-up kode undangan untuk mendaftar ke rekaman kontak yang telah dibuat

Persyaratan

Kemampuan portal untuk Microsoft Dynamics 365 memerlukan:

  • Basis Portal Microsoft Dynamics 365
  • Identitas Microsoft
  • Microsoft Paket solusi alur kerja identitas

Gambaran umum otentikasi

Pengunjung portal yang kembali memiliki opsi otentikasi dengan menggunakan kredensial pengguna lokal dan/atau account penyedia identitas eksternal. Pengunjung baru dapat mendaftar untuk account pengguna baru baik dengan memberikan nama pengguna/sandi atau sign-in melalui penyedia eksternal. Pengunjung yang dikirim Kode undangan (oleh portal administrator) memiliki pilihan untuk menukarkan Kode dalam proses mendaftar dengan account pengguna baru.

Pengaturan Situs Terkait:

  • Authentication/Registration/Enabled
  • Authentication/Registration/LocalLoginEnabled
  • Authentication/Registration/ExternalLoginEnabled
  • Authentication/Registration/OpenRegistrationEnabled
  • Authentication/Registration/InvitationEnabled
  • Authentication/Registration/RememberMeEnabled
  • Authentication/Registration/ResetPasswordEnabled

Masuk dengan menggunakan identitas lokal atau identitas eksternal

Masuk dengan menggunakan account lokal

Mendaftar dengan menggunakan identitas lokal atau identitas eksternal

Mendaftar untuk account lokal baru

Menukarkan kode undangan secara manual

Pendaftaran dengan menggunakan kode undangan

Lupa kata sandi atau reset kata sandi

Pengunjung yang kembali yang memerlukan password reset (dan sebelumnya telah menetapkan alamat email di profil pengguna mereka) memiliki pilihan untuk meminta token reset password yang akan dikirim ke account email mereka. Token Reset memungkinkan pemiliknya untuk memilih kata sandi baru. Selain itu, token dapat dibiarkan dengan meninggalkan sandi pengguna asli tidak diubah.

Pengaturan Situs Terkait:

  • Authentication/Registration/ResetPasswordEnabled
  • Authentication/Registration/ResetPasswordRequiresConfirmedEmail

Proses terkait: Kirim Password Reset ke kontak

  • Menyesuaikan email dalam alur kerja sesuai kebutuhan
  • Kirim email untuk memohon proses
  • Pengunjung diminta untuk memeriksa email
  • Email Reset password berisi instruksi
  • Pengunjung kembali ke formulir reset
  • Reset Sandi selesai

Tukarkan undangan

Penebusan Kode undangan memungkinkan pengunjung yang mendaftar untuk dikaitkan ke rekaman kontak yang sudah ada yang disiapkan sebelumnya khusus untuk pengunjung itu. Biasanya, Kode undangan dikirim melalui email tapi formulir pengajuan kode umum tersedia untuk kode yang dikirim melalui saluran lainnya. Setelah kode undangan yang berlaku disampaikan, proses pendaftaran (sign-up) pengguna biasa terjadi untuk men-setup account pengguna yang baru.

Pengaturan Situs Terkait:

Authentication/Registration/InvitationEnabled

Proses terkait: Mengirim undangan

Email yang dikirim oleh alur kerja ini harus disesuaikan dengan menggunakan URL halaman undangan penukaran di portal: http://portal.contoso.com/register/?returnurl=%2f&invitation={Invitation Code(Invitation)}

  1. Buat undangan untuk kontak baru

    Membuat undangan untuk kontak baru

  2. Menyesuaikan dan menyimpan undangan baru

    Menyesuaikan undangan baru

  3. Proses: Mengirim undangan

  4. Menyesuaikan email undangan.
  5. Email Undangan akan membuka Halaman penukaran.
  6. Pendaftaran pengguna dengan menggunakan kode undangan yang disampaikan.

    Pendaftaran dengan menggunakan kode undangan

Mengelola account pengguna melalui halaman profil

Pengguna yang diotentikasi mengelola account pengguna mereka melalui bilah navigasi keamanan halaman profil. Pengguna tidak terbatas pada account lokal tunggal atau satu account eksternal yang mereka pilih saat pendaftaran pengguna. Pengguna yang memiliki account eksternal dapat memilih untuk membuat account lokal dengan menerapkan username dan password. Jika tidak, pengguna yang memulai dengan account lokal dapat memilih untuk mengasosiasikan beberapa identitas eksternal ke akun mereka. Halaman profil ini juga tempat pengguna diingatkan untuk mengonfirmasi alamat email mereka dengan meminta email konfirmasi akan dikirim ke account email mereka.

Pengaturan Situs Terkait:

  • Authentication/Registration/LocalLoginEnabled

  • Authentication/Registration/ExternalLoginEnabled

  • Authentication/Registration/TwoFactorEnabled

Menyetel atau mengubah password

Pengguna yang memiliki account lokal yang ada dapat menerapkan kata sandi baru dengan memberikan sandi asli. Pengguna yang tidak memiliki akun lokal dapat memilih nama pengguna dan kata sandi untuk men-setup akun lokal baru. Nama pengguna tidak dapat diubah setelah itu ditetapkan.

Pengaturan Situs Terkait:

Authentication/Registration/LocalLoginEnabled

  • Buat Nama Pengguna dan Sandi.
  • Mengubah kata sandi yang ada.

Mengubah atau konfirmasi alamat email

Mengubah alamat email (atau pengaturan untuk pertama kalinya) menempatkan email ke dalam keadaan yang belum dikonfirmasi. Pengguna dapat meminta email konfirmasi akan dikirim ke alamat email baru yang termasuk instruksi untuk menyelesaikan proses konfirmasi email.

Proses terkait: Kirim konfirmasi Email ke kontak

  1. Menyesuaikan email dalam alur kerja sesuai kebutuhan.
  2. Kirim email baru (belum dikonfirmasi).
  3. Periksa email untuk konfirmasi.
  4. Proses: Kirim konfirmasi Email ke kontak
  5. Menyesuaikan email konfirmasi.
  6. Klik tautan konfirmasi untuk menyelesaikan.

Aktifkan Otentikasi Dua Faktor

Fitur otentikasi dua-faktor meningkatkan keamanan akun pengguna dengan meminta bukti kepemilikan email konfirmasi selain account lokal/eksternal standard masuk. Pengguna yang mencoba masuk ke account yang memiliki otentikasi dua faktor diaktifkan dikirim kode keamanan untuk konfirmasi email atau ponsel yang terkait dengan account mereka. Kode keamanan harus diserahkan untuk menyelesaikan proses masuk. Pengguna dapat memilih untuk mengingat browser yang berhasil melewati verifikasi sedemikian rupa sehingga kode tidak diperlukan untuk sign-in berikutnya dari peramban yang sama. Setiap account pengguna memungkinkan fitur ini secara individual dan memerlukan konfirmasi email.

Pengaturan Situs Terkait:

  • Authentication/Registration/TwoFactorEnabled
  • Authentication/Registration/RememberBrowserEnabled

Proses terkait: Kirim kode dua faktor Email ke kontak

  1. Aktifkan Otentikasi Dua Faktor.
  2. Memilih menerima kode keamanan melalui email.
  3. Menunggu email/SMS dengan kode keamanan.
  4. Proses: Kirim kode dua faktor Email ke kontak.
  5. Otentikasi dua faktor dapat dinonaktifkan.

Mengelola akun eksternal

Otentikasi pengguna dapat menghubungkan (register) beberapa identitas pengguna eksternal ke satu akun mereka dari masing-masing penyedia identitas yang dikonfigurasi. Setelah identitas terhubung, pengguna dapat memilih untuk masuk dengan salah satu identitas terhubung. Identitas yang ada juga akan terputus selama identitas eksternal atau lokal tunggal tetap ada.

Pengaturan Situs Terkait:

Authentication/Registration/ExternalLoginEnabled

  • Pengaturan situs penyedia identitas eksternal
  1. Pilih penyedia untuk terhubung

    Mengelola akun eksternal

  2. Masuk dengan penyedia untuk menghubungkan

  3. Penyedia terhubung
  4. Penyedia dapat diputuskan

Mengaktifkan otentikasi identitas ASP.NET

Hal berikut ini menggambarkan pengaturan untuk mengaktifkan/menonaktifkan berbagai fitur otentikasi dan perilaku:

Nama Pengaturan Situs KETERANGAN
Authentication/Registration/LocalLoginEnabled Mengaktifkan atau menonaktifkan masuk account lokal berdasarkan nama pengguna (atau email) dan sandi. Default: false
Authentication/Registration/LocalLoginByEmail Mengaktifkan atau menonaktifkan masuk akun lokal dengan menggunakan bidang alamat email bukan bidang nama pengguna. Default: false
Authentication/Registration/ExternalLoginEnabled Mengaktifkan atau menonaktifkan masuk dan pendaftaran akun eksternal. Default: true.
Authentication/Registration/RememberMeEnabled Mengaktifkan atau menonaktifkan "ingat saya?" kotak centang pada masuk lokal untuk memungkinkan sesi diotentikasi untuk bertahan bahkan ketika web browser ditutup. Default: true.
Authentication/Registration/TwoFactorEnabled Mengaktifkan atau menonaktifkan pilihan bagi pengguna untuk mengaktifkan otentikasi dua-faktor. Pengguna dengan alamat email konfirmasi dapat memilih tambahan keamanan otentikasi dua-faktor. Default: false
Authentication/Registration/RememberBrowserEnabled Mengaktifkan atau menonaktifkan "ingat Browser?" kotak centang pada validasi faktor kedua (kode email) untuk mempertahankan validasi faktor kedua untuk browser saat ini. Pengguna tidak akan harus lulus validasi faktor kedua untuk sign-in berikutnya selama peramban yang sama sedang digunakan. Default: true.
Authentication/Registration/ResetPasswordEnabled Mengaktifkan atau menonaktifkan fitur reset password. Default: true.
Authentication/Registration/ResetPasswordRequiresConfirmedEmail Mengaktifkan atau menonaktifkan reset sandi untuk alamat email konfirmasi saja. Jika diaktifkan, alamat email yang belum dikonfirmasi tidak dapat digunakan untuk mengirim petunjuk reset password. Default: false
Authentication/Registration/TriggerLockoutOnFailedPassword Mengaktifkan atau menonaktifkan rekaman upaya gagal sandi. Jika dinonaktifkan, account pengguna tidak akan terkunci. Default: true.
Authentication/Registration/IsDemoMode Mengaktifkan atau menonaktifkan bendera modus demo untuk digunakan dalam lingkungan pengembangan atau demonstrasi saja. Mengaktifkan pengaturan ini pada lingkungan produksi. Demo mode juga memerlukan browser web untuk berjalan secara lokal ke server aplikasi web. Bila demo mode diaktifkan, kode reset password dan kode 2-factor akan ditampilkan kepada pengguna untuk akses cepat. Default: false
Authentication/Registration/LoginButtonAuthenticationType Jika portal hanya membutuhkan satu penyedia identitas eksternal (untuk menangani semua otentikasi), hal ini memungkinkan tombol Sign-In nav Bar header untuk tertaut langsung ke halaman login penyedia identitas eksternal itu (bukan tertaut ke formulir login langsung dan halaman pilihan penyedia identitas). Hanya penyedia identitas tunggal dapat dipilih untuk tindakan ini. Menetapkan nilai Jenis Otentikasi penyedia.
Untuk konfigurasi akses terusan menggunakan OpenIdConnect, seperti menggunakan Azure AD-B2C, pengguna harus memberikan Otoritas.
Untuk konfigurasi akses terusan menggunakan OpenIdConnect, seperti menggunakan Azure AD-B2C, pengguna harus memberikan Otoritas.
Untuk penyedia berbasis OAuth2 nilai-nilai yang diterima adalah: Facebook, Google, Yahoo, [!INCLUDE[cc-microsoft](../includes/cc-microsoft.md)], LinkedIn, Yammer, atau Twitter
Untuk penyedia berbasis WS-Federation, gunakan nilai yang ditetapkan untuk pengaturan situs Authentication/WsFederation/ADFS/AuthenticationType dan Authentication/WsFederation/[!INCLUDE[pn-azure-shortest](../includes/pn-azure-shortest.md)]/\[provider\]/AuthenticationType. Contoh: http://adfs.contoso.com/adfs/services/trust, Facebook-0123456789, Google, Yahoo!, uri:WindowsLiveID.

Mengaktifkan/menonaktifkan registrasi pengguna

Hal berikut ini menggambarkan pengaturan untuk mengaktifkan/menonaktifkan pilihan pendaftaran (sign-up) pengguna:

Nama Pengaturan Situs KETERANGAN
Authentication/Registration/Enabled Mengaktifkan atau menonaktifkan semua formulir pendaftaran pengguna. Pendaftaran harus diaktifkan untuk pengaturan lain dalam bagian ini agar diterapkan. Default: true.
Authentication/Registration/OpenRegistrationEnabled Mengaktifkan atau menonaktifkan formulir pendaftaran sign-up untuk membuat pengguna lokal baru. Formulir Sign-up memungkinkan pengunjung anonim ke portal untuk membuat sebuah akun pengguna baru. Default: true.
Authentication/Registration/InvitationEnabled Mengaktifkan atau menonaktifkan formulir penukaran Kode undangan untuk pendaftaran pengguna yang memiliki kode undangan. Default: true.

Validasi kredensial pengguna

Hal berikut ini menggambarkan pengaturan untuk menyesuaikan meter validasi nama pengguna dan kata sandi. Validasi terjadi saat sign up untuk account lokal baru atau mengubah password.

Nama Pengaturan Situs KETERANGAN
Authentication/UserManager/PasswordValidator/EnforcePasswordPolicy Apakah sandi berisi karakter dari tiga kategori berikut:
  • Huruf besar bahasa Eropa (A sampai Z, dengan tanda diakritik, karakter Yunani dan Cyrillic)
  • Huruf kecil bahasa Eropa (a sampai z, beta, dengan tanda diakritik, karakter Yunani dan Cyrillic)
  • Dasar 10 digit (0 sampai 9)
  • Karakter non-alfanumerik (karakter khusus) (misalnya, !, $, #, %)
Default: true. MSDN.
Authentication/UserManager/UserValidator/AllowOnlyAlphanumericUserNames Apakah hanya memperbolehkan karakter alfanumerik untuk nama pengguna. Default: false. MSDN.
Authentication/UserManager/UserValidator/RequireUniqueEmail Apakah e-mail unik diperlukan untuk memvalidasi pengguna. Default: true. MSDN.
Authentication/UserManager/PasswordValidator/RequiredLength Panjang sandi minimal yang diperlukan. Default: 8. MSDN.
Authentication/UserManager/PasswordValidator/RequireNonLetterOrDigit Apakah password membutuhkan karakter non-huruf atau angka. Default: false. MSDN.
Authentication/UserManager/PasswordValidator/RequireDigit Apakah password memerlukan digit angka ('0 ' - '9'). Default: false. MSDN.
Authentication/UserManager/PasswordValidator/RequireLowercase Apakah password memerlukan huruf kecil ('' - ' z'). Default: false. MSDN.
Authentication/UserManager/PasswordValidator/RequireUppercase Apakah password memerlukan huruf besar ('' - ' z'). Default: false. MSDN.

Pengaturan lockout account pengguna

Hal berikut ini menggambarkan pengaturan yang menentukan bagaimana dan Kapan akun menjadi terkunci dari otentikasi. Ketika jumlah tertentu upaya gagal sandi terdeteksi dalam waktu singkat, account pengguna terkunci selama jangka waktu. Pengguna dapat mencoba lagi setelah periode lockout berlalu.

Nama Pengaturan Situs KETERANGAN
Authentication/UserManager/UserLockoutEnabledByDefault Menunjukkan apakah lockout pengguna diaktifkan ketika pengguna dibuat. Default: true. MSDN.
Authentication/UserManager/DefaultAccountLockoutTimeSpan Standar jumlah waktu pengguna terkunci setelah Authentication/UserManager/MaxFailedAccessAttemptsBeforeLockout dicapai. Default: 24:00:00 (1 Hari). MSDN.
Authentication/UserManager/MaxFailedAccessAttemptsBeforeLockout Jumlah maksimum akses upaya yang diizinkan sebelum pengguna terkunci (jika lockout diaktifkan). Default: 5. MSDN.
Authentication/ApplicationCookie/ExpireTimeSpan Jumlah default waktu sesi autentikasi cookie valid. Default: 24:00:00 (1 Hari). MSDN.

Lihat juga

Konfigurasikan otentikasi Portal Dynamics 365
Pengaturan penyedia OAuth2 untuk portal
Pengaturan Open ID Connect untuk portal
Pengaturan penyedia WS-Federation untuk portal
Pengaturan penyedia SAML 2.0 untuk portal
Otentikasi Facebook App (Tab Halaman) untuk portal