ポータル用の認証 ID の設定

Microsoft Dynamics 365 のポータル機能により、ASP.NET 認証 API に基づいた認証機能が提供されます。 ASP.NET ID はまた、認証システムの重要なコンポーネントである OWIN フレームワークで構築されています。 提供されるサービスには、次のものが含まれます。

  • ローカル ユーザーのサインイン (ユーザー名とパスワード)
  • 外部 (社会プロバイダー) ユーザーはサード パーティ ID プロバイダー経由でサインイン
  • 電子メールでの二段階認証
  • 電子メール アドレスの確認
  • パスワード回復
  • 事前生成された連絡先レコードを登録するために招待コードを登録する

要件

Microsoft Dynamics 365 条件のためのポータル機能。

  • Microsoft Dynamics 365 ポータル ベース
  • Microsoft ID
  • Microsoft ID ワークフロー ソリューション パッケージ

認証の概要

返却されたポータル ビジターでは、ローカル ユーザー資格情報または外部 ID プロバイダー アカウントのどちらのオプションを使用しても認証できます。 新規ビジターは、ユーザー名/パスワードの提示するか、外部プロバイダー経由で登録することにより、新しいユーザー アカウントを登録できます。 (ポータル管理者から) 招待コードを送られたビジターは、新しいユーザー アカウントを登録するプロセスによってコードを交換することができます。

関連サイトの設定:

  • Authentication/Registration/Enabled
  • Authentication/Registration/LocalLoginEnabled
  • Authentication/Registration/ExternalLoginEnabled
  • Authentication/Registration/OpenRegistrationEnabled
  • Authentication/Registration/InvitationEnabled
  • Authentication/Registration/RememberMeEnabled
  • Authentication/Registration/ResetPasswordEnabled

ローカル ID または外部 ID でサインイン

ローカル アカウントでサインイン

ローカル ID または外部 ID で登録

新しいローカル アカウントを登録する

招待コードを手動で入力します

招待コードを使用して登録

パスワードを忘れた/パスワードのリセット

パスワードを再設定する必要のある再訪問者 (自分のユーザー プロファイルで電子メール アドレスとパスワードを設定したことのあるユーザー) は、パスワードを再設定するためのトークンを自分の電子メール アカウントに送信するようにリクエストする選択肢があります。 再設定用のトークンの所有者は、新しいパスワードを自分で決めて設定することができます。 または、トークンを破棄して、ユーザーの元のパスワードを変更せずに残すことができます。

関連サイトの設定:

  • Authentication/Registration/ResetPasswordEnabled
  • Authentication/Registration/ResetPasswordRequiresConfirmedEmail

関連するプロセス: 連絡先をリセットするパスワードの送信

  • 必要に応じてワークフローの電子メールをカスタマイズします。
  • 処理を実行するには、電子メールを送信します。
  • 訪問者に電子メールを確認するように促します。
  • 説明が添えられた、パスワード再設定の電子メール
  • 訪問者が再設定フォームに戻ります。
  • パスワードの再設定が完了します。

招待状の引き換え

招待コードを入力すると、登録しようとしている訪問者を、その訪問者用に事前に準備した既存の取引先担当者レコードに関連付けることができます。 通常、招待コードは電子メールで送信されますが、一般的なコードの送信フォームは他のチャネル経由で送信するコードにも使用できます。 有効な招待コードが送信されたら、通常ユーザー登録 (サインアップ) プロセスでは新しいユーザー アカウントの設定が実施されます。

関連サイトの設定:

Authentication/Registration/InvitationEnabled

関連するプロセス 招待状の送信

このワークフローによって送られる電子メールは、URL を使ってポータルの引換招待ページにカスタマイズされている必要があります。http://portal.contoso.com/register/?returnurl=%2f&invitation={Invitation Code(Invitation)}

  1. 新しい連絡先に対する招待状を作成します。

    新しい連絡先に対する招待状を作成する

  2. 新しい招待状をカスタマイズし、保存します

    新しい招待状のカスタマイズ

  3. プロセス: 招待状の送信

  4. 招待メールをカスタマイズします。
  5. 招待メールで償還ページを開きます。
  6. ユーザーは招待コードを送信して登録します。

    招待コードで登録

プロフィール ページでユーザー アカウントを管理する

認証されたユーザーは、プロファイル ページのセキュリティナビゲーション バーを介して自分のユーザー アカウントを管理します。 ユーザーのユーザー登録時に選択するアカウントは 1 つのローカル アカウントまたは 1 つの外部アカウントに限定されていません。 外部アカウントを持つユーザーは、ユーザー名とパスワードを適用することによってローカル アカウントを作成するか選択できます。 それ以外の場合、ローカル アカウントから開始したユーザーは、自分のアカウントに複数の外部の ID を関連付けることができます。 プロフィールのページは、確認用の電子メールを自分の電子メール アカウントに送るようにリクエストをして電子メール アドレスを確認するようにユーザーに注意喚起する場所でもあります。

関連サイトの設定:

  • Authentication/Registration/LocalLoginEnabled

  • Authentication/Registration/ExternalLoginEnabled

  • Authentication/Registration/TwoFactorEnabled

パスワードを設定または変更する

既存のローカル アカウントを持つユーザーは、元のパスワードを入力することによって新しいパスワードを適用することができます。 ローカル アカウントを持たないユーザーは、ユーザー名とパスワードを選択して新しいローカル アカウントを設定することができます。 ユーザー名は、設定後に変更することはできません。

関連サイトの設定:

Authentication/Registration/LocalLoginEnabled

  • ユーザー名およびパスワードを作成します。
  • 既存のパスワードを変更します。

電子メール アドレスを変更または確認する

電子メールを変更すると (または最初に作成すると)、電子メールが未確認の状態になります。 ユーザーは、電子メール確認プロセスを完了するための指示を含め、新しい電子メール アドレスに確認メールを要求することができます。

関連するプロセス: 連絡先の確認をする電子メールの送信

  1. 必要に応じてワークフローの電子メールをカスタマイズします。
  2. 新しい電子メールを送信します (未確認)。
  3. 確認を取るための電子メールを確認します。
  4. プロセス: 連絡先の確認をする電子メールの送信
  5. 確認メールをカスタマイズします。
  6. 完了するには、確認リンクをクリックしてください。

2 要素認証を有効化する

二段階認証機能は、標準のローカル/外部アカウント サインインに加えて確認電子メールの所有権の証拠を要求することによってユーザー アカウント セキュリティを強化します。 二段階認証有効のアカウントにサインインするユーザーには、アカウントに関連付けられている確認電子メールにセキュリティ コードが送られます。 セキュリティ コードは、サインイン処理を完了するために必ず送信する必要があります。 ユーザーは検証が完了したブラウザーを記憶するかどうか選ぶことができるので、セキュリティ コードは同じブラウザーからその後サインインする場合は要求されません。 各ユーザー アカウントでこの機能が個別に有効となり、確認電子メールを要求することができます。

関連するサイト設定:

  • Authentication/Registration/TwoFactorEnabled
  • Authentication/Registration/RememberBrowserEnabled

関連するプロセス: ツーファクタ コードを連絡先に電子メールの送信

  1. 二段階認証を有効にします。
  2. 電子メールでセキュリティ コードを受信するよう選択します。
  3. セキュリティ コードの電子メールを待ちます。
  4. プロセス: ツーファクタ コードを連絡先に電子メールを送信します。
  5. 二段階認証は無効にすることができます。

外部アカウントの管理

認証されたユーザーは、複数の外部 ID を、構成済みの ID プロバイダーそれぞれから、自分のアカウントに接続 (登録) できます。 ID が接続されると、ユーザーは接続された任意の ID でサインインすることを選択できます。 既存の ID は、少なくとも 1 つの外部 ID またはローカル ID を残して、接続解除することができます。

関連するサイト設定:

Authentication/Registration/ExternalLoginEnabled

  • 外部 ID プロバイダー サイトの設定
  1. 接続するプロバイダーを選択します。

    外部アカウントの管理

  2. 接続するプロバイダーでサインインします。

  3. プロバイダーが接続されました。
  4. プロバイダーは接続解除することができます。

ASP.NET ID 認証を有効にする

以下は各種の認証方式や挙動を有効または無効にするための設定を説明しています。

サイト設定の名前 内容
Authentication/Registration/LocalLoginEnabled ユーザー名 (または電子メール) とパスワードによるローカル アカウントのサインインを有効化または無効化します。 既定: false
Authentication/Registration/LocalLoginByEmail ユーザー名フィールドのかわりに電子メール アドレス フィールドを使用するローカル アカウントのサインインを有効化または無効化します。 既定: false
Authentication/Registration/ExternalLoginEnabled 外部アカウントのサインインと登録を有効化または無効化します。 既定値: true
Authentication/Registration/RememberMeEnabled 「このアカウントを記憶する」を有効化または無効化します。 このチェックボックスをローカルのサインインで使用すると、Web ブラウザーを閉じたあとも認証セッションを継続します。 既定値: true
Authentication/Registration/TwoFactorEnabled 2 要素認証をユーザーが有効化できるオプションを有効または無効にします。 確認電子メール アドレスでユーザーは追加した二段階認証のセキュリティを選択できます。 既定: false
Authentication/Registration/RememberBrowserEnabled 「ブラウザーを記憶する」を有効化または無効化します。 現在のブラウザーの二次因数検証を保持する二次因数検証 (電子メールコード) のチェックボックス。 ユーザーは、同一のブラウザーを使用する場合に、それ以降のサインインで 2 要素認証を行う必要がなくなります。 既定値: true
Authentication/Registration/ResetPasswordEnabled パスワード再設定機能を有効または無効にします。 既定値: true
Authentication/Registration/ResetPasswordRequiresConfirmedEmail 確認済みの電子メール アドレスについてのみ、パスワード再設定を有効または無効にします。 有効の場合、未確認の電子メール アドレスにはパスワード再設定の手順を送信できません。 既定: false
Authentication/Registration/TriggerLockoutOnFailedPassword パスワードの認証失敗の記録を有効または無効にします。 無効の場合、ユーザー アカウントがロックされることはありません。 既定値: true
Authentication/Registration/IsDemoMode 開発環境やデモ環境でのみ使用されるデモ モード フラグを有効または無効にします。 運用環境でこの設定を有効にしないでください。 デモ モードでは、Web アプリケーション サーバーに対して Web ブラウザーがローカルで実行している必要があります。 デモ モードを有効にしている場合、パスワード再設定のコードおよび 2 要素認証のコードは、すばやくアクセスするためにユーザーに対して表示されます。 既定: false
Authentication/Registration/LoginButtonAuthenticationType これにより、ポータルが単一の外部 ID プロバイダーのみを要求する場合 (すべての認証を処理するため)、ヘッダーのナビゲーション バーの [サインイン]ボタンからその外部 ID プロバイダーのログイン ページに直接リンクすることができます (中間的なローカルのログイン フォームや ID プロバイダーの選択ページにリンクする代わりとして)。 この動作のためには、単一の ID プロバイダーのみが選択されている必要があります。 プロバイダーの AuthenticationType の値を指定します。
Azure AD-B2C などを使用した OpenIdConnect でシングル サインオン確認のためにユーザーは認証を提出しなければなりません。
Azure AD-B2C などを使用した OpenIdConnect でシングル サインオン確認のためにユーザーは認証を提出しなければなりません。
プロバイダーに基づく OAuth2 の適用値は: Facebook, Google, Yahoo, [!INCLUDE[cc-microsoft](../includes/cc-microsoft.md)], LinkedIn, Yammer, または Twitter
WS-Federation ベースのプロバイダーでは、Authentication/WsFederation/ADFS/AuthenticationType および Authentication/WsFederation/[!INCLUDE[pn-azure-shortest](../includes/pn-azure-shortest.md)]/\[provider\]/AuthenticationType のサイト設定で指定した値を使用します。 例: http://adfs.contoso.com/adfs/services/trust、Facebook-0123456789、Google、Yahoo! の uri:WindowsLiveID。

ユーザー登録の有効化/無効化

以下ではユーザー登録 (サインアップ) のオプションを有効または無効にする設定について説明します:

サイト設定の名前 内容
Authentication/Registration/Enabled ユーザー登録のすべてのフォームを有効または無効にします。 このセクションのほかの設定を使用できるようにするには、登録を有効化する必要があります。 既定値: true
Authentication/Registration/OpenRegistrationEnabled 新しいローカル ユーザーを作成するためのサインアップ登録フォームを有効または無効にします。 サインアップのフォームでは、ポータルへの未登録の訪問者が、新しいユーザー アカウントを作成することができます。 既定値: true
Authentication/Registration/InvitationEnabled 招待コードを所有するユーザーを登録する招待コード入力フォームを有効化または無効化します。 既定値: true

ユーザーの資格情報の検証

以下ではユーザー名およびパスワードの検証パラメーターを調整するための設定について説明します。 検証は、新しいローカル アカウントのサインアップ時およびパスワードの変更時に実行されます。

サイト設定の名前 内容
Authentication/UserManager/PasswordValidator/EnforcePasswordPolicy パスワードに、次のカテゴリの 3 つからの文字を含めるかどうかを示します:
  • ヨーロッパ言語の大文字 (A ~ Z、区別的発音符号を含む、ギリシャ文字、およびキリル文字)
  • ヨーロッパ言語の小文字 (a ~ z、シャープ s、区別的発音符号を含む、ギリシャ文字、およびキリル文字)
  • 基本 10 桁 (0 ~ 9)
  • 非英数字 (特殊文字) (!、$、#、% など)
既定値: true。 MSDN.
Authentication/UserManager/UserValidator/AllowOnlyAlphanumericUserNames ユーザー名に英数字のみ許可するかどうか。 既定: false。 MSDN
Authentication/UserManager/UserValidator/RequireUniqueEmail ユーザーの検証に一意の電子メールを必要とするかどうか。 既定値: true。 MSDN
Authentication/UserManager/PasswordValidator/RequiredLength 最低限必要なパスワードの文字数。 既定: 8 MSDN
Authentication/UserManager/PasswordValidator/RequireNonLetterOrDigit パスワードに英字以外の文字または数字を許可するかどうか。 既定: false。 MSDN
Authentication/UserManager/PasswordValidator/RequireDigit パスワードに数字 ('0' - '9') が必要であるかどうか。 既定: false。 MSDN
Authentication/UserManager/PasswordValidator/RequireLowercase パスワードに小文字 ('a' - 'z') が必要かどうか。 既定: false。 MSDN
Authentication/UserManager/PasswordValidator/RequireUppercase パスワードに大文字 ('A' - 'Z') が必要かどうか。 既定: false。 MSDN

ユーザー アカウントのロックアウトの設定

以下ではアカウントを認証できないようにロックする場合の方法とタイミングの設定を説明します。 短い間隔で指定回数のパスワード失敗の操作が行われたのを検出すると、ある期間、ユーザー アカウントをロックします。 そのユーザーは、その期間の経過後にもう一度実行できます。

サイト設定の名前 内容
Authentication/UserManager/UserLockoutEnabledByDefault ユーザーの作成時にユーザーのロックアウトを有効にするかどうかを示します。 既定値: true。 MSDN
Authentication/UserManager/DefaultAccountLockoutTimeSpan Authentication/UserManager/MaxFailedAccessAttemptsBeforeLockout に達するまでの、ユーザーがロックアウトされるまでの既定の経過時間。 既定値: 24:00:00 (1 日)。 MSDN
Authentication/UserManager/MaxFailedAccessAttemptsBeforeLockout ロックアウトされるまでにユーザーがアクセス試行できる最大回数 (ロックアウトが有効な場合)。 既定: 5 MSDN
Authentication/ApplicationCookie/ExpireTimeSpan クッキー認証セッションの既定の時間は有効になります。 既定値: 24:00:00 (1 日)。 MSDN

関連項目

Dynamics 365 ポータル認証の構成
ポータル用 OAuth2 プロバイダーの設定
ポータルの Open ID 接続プロバイダーの設定
ポータル用 WS-Federation プロバイダーの設定
ポータルの SAML 2.0 プロバイダーの設定
Facebook アプリ (ページ タブ) のポータル認証