Локальная проверка подлинности, регистрация и другие параметры
Примечание
Действует с 12 октября 2022 г, в качестве порталов для Power Apps используется Power Pages. Дополнительная информация: Microsoft Power Pages теперь доступен для всех (блог)
Скоро мы мигрируем и объединим документацию порталов Power Apps с документацией Power Pages.
Важно!
- Рекомендуется использовать для проверки подлинности поставщика удостоверений Azure Active Directory B2C (Azure AD B2C), а локальных поставщиков удостоверений выводить из использования (помечать как устаревших) для вашего портала. Дополнительные сведения: Перенос поставщиков удостоверений в Azure AD B2C
- Для настройки локальной аутентификации вам необходимо использовать приложение для управления порталом, чтобы настроить необходимые параметры сайта вручную.
Функции порталов предоставляют возможность проверки подлинности, построенную на основе API ASP.NET Identity. ASP.NET Identity в свою очередь построен на основе платформы OWIN, которая также является важнейшим компонентом системы проверки подлинности. Предоставляются следующие услуги:
- Вход локального пользователя (имя пользователя и пароль)
- Вход внешнего пользователя (поставщик социальных сетей) через поставщиков удостоверений третьей стороны
- Двухфакторная проверка подлинности с использованием электронной почты
- Проверка адреса электронной почты
- Восстановление пароля
- Регистрация по коду приглашения для регистрации предварительно заполненных записей контактов
Примечание
Поле Мобильный телефон подтвержден в форме контактов портала таблицы «Контакт» в настоящий момент не служит ни для какой цели. Это поле должно использоваться только при обновлении с Adxstudio Portals.
Требования
Порталы требуют:
- База порталов
- Удостоверение Корпорация Майкрософт
- Пакеты решения бизнес-процессов удостоверений Корпорация Майкрософт
Обзор проверки подлинности
Повторные посетители портала могут проходить проверку подлинности с помощью учетных данных локальных пользователей или учетных записей внешних поставщиков удостоверений. Новый посетитель может зарегистрироваться для новой учетной записи пользователя либо предоставив имя пользователя и пароль, либо выполнив вход через внешнего поставщика Посетители, которые получили код приглашения от администратора портала, могут использовать этот код во время регистрации для новой учетной записи пользователя.
Связанные параметры сайта:
Authentication/Registration/EnabledAuthentication/Registration/LocalLoginEnabledAuthentication/Registration/ExternalLoginEnabledAuthentication/Registration/OpenRegistrationEnabledAuthentication/Registration/InvitationEnabledAuthentication/Registration/RememberMeEnabledAuthentication/Registration/ResetPasswordEnabled
Вход с помощью локального или внешнего удостоверения
На следующем изображении показан вариант входа в систему с использованием локальной учетной записи или путем выбора внешнего поставщика удостоверений.
Регистрация с помощью локального или внешнего удостоверения
На следующем изображении показан экран регистрации для регистрации с использованием локальной учетной записи или путем выбора внешнего поставщика удостоверений.
Использование кода приглашения вручную
На следующем изображении показан вариант активации приглашения с использованием кода приглашения.
Забыли пароль или сброс пароля
Повторные посетители, которым требуется сбросить пароль (и которые ранее указали адрес электронной почты в своем профиле пользователя) могут запросить, чтобы на их учетную запись электронной почты был отправлен токен сброса пароля. Токен сброса позволяет его владельцу выбрать новый пароль. Также можно не использовать токен, тогда исходный пароль пользователя останется без изменений.
Связанные параметры сайта:
Authentication/Registration/ResetPasswordEnabledAuthentication/Registration/ResetPasswordRequiresConfirmedEmail
Связанный процесс: отправка сброса пароля контакту
- Настройка электронной почты в бизнес-процессе по мере необходимости.
- Отправка сообщения электронной почты, чтобы запустить процесс.
- Посетителю предлагается проверить электронную почту.
- Посетитель получает сообщение электронной почты с инструкциями по сбросу пароля.
- Посетитель возвращается к форме сброса.
- Сброс пароля завершен.
Активировать приглашение
Активирование кода приглашения позволяет связать регистрацию посетителя с существующей записью контакта, которая была подготовлена заранее специально для этого посетителя. Обычно коды приглашений отправляются по электронной почте, однако вы можете использовать общую форму отправки кода для отправки кодов по другим каналам. После предоставления действительного кода приглашения выполняется обычный процесс регистрации пользователя, чтобы настроить новую учетную запись пользователя.
Связанный параметр сайта:
Authentication/Registration/InvitationEnabled
Связанный процесс: отправка приглашения
Сообщение электронной почты, отправленное этим бизнес-процессом, необходимо настроить, указав URL-адрес страницы активирования приглашения на портале: https://portal.contoso.com/register/?returnurl=%2f&invitation={Invitation Code(Invitation)}
Создание приглашения для нового контакта.
Настройка и сохранении нового приглашения.
Настройте сообщение электронной почты с приглашением.
Обработайте рабочий процесс Отправка приглашения.
Сообщение электронной почты с приглашением открывает страницу активирования.
Пользователь регистрируется с помощью отправленного кода приглашения.
Отключенная регистрация
Если регистрация отключена для пользователя, после того как пользователь активировал приглашение, отобразите сообщение с помощью следующего фрагмента содержимого:
Имя: Account/Register/RegistrationDisabledMessage
Значение: Регистрация была отключена.
Управление учетными записями пользователя через страницы профиля
Пользователя, прошедшие проверку подлинности, управляют своими учетными записями пользователя с помощью панели навигации Безопасность страницы профиля. Пользователи не ограничены одной местной учетной записью или одной внешней учетной записью, выбранной во время регистрации пользователя. Пользователи с внешними учетными записями могут создать локальную учетную запись, указав имя пользователя и пароль. Пользователи, которые начали с локальной учетной записи, могут связать несколько внешних удостоверений со своей учетной записью. Также на странице профиля пользователю выводится напоминание о необходимости подтвердить свой адрес электронной почты, запросив отправку сообщения электронной почты с подтверждением по адресу электронной почты из учетной записи.
Связанные параметры сайта:
Authentication/Registration/LocalLoginEnabledAuthentication/Registration/ExternalLoginEnabledAuthentication/Registration/TwoFactorEnabled
Задание или смена пароля
Пользователь с существующей локальной учетной записью может применять новый пароль, указав первоначальный пароль. Пользователь без локальной учетной записи может выбрать имя пользователя и пароль, чтобы настроить новую локальную учетную запись. Заданное имя пользователя изменить невозможно.
Связанный параметр сайта:
Authentication/Registration/LocalLoginEnabled
Связанные процессы:
- Создание имени пользователя и пароля.
- Изменение существующего пароля.
Примечание
Вышеупомянутые потоки задач работают только при вызове контакта с помощью приложения управления порталом. На эти потоки задач не влияет предстоящее прекращение поддержки потоков задач.
Подтверждение адреса электронной почты
Изменение адреса электронной почты (или задание его в первый раз) переводит его в неподтвержденное состояние. Пользователь может запросить, чтобы на новый адрес электронной почты было отправлено сообщение электронной почты с подтверждением, и это сообщение будет содержать инструкции пользователю по выполнении процесса подтверждения адреса электронной почты.
Связанный процесс: отправка подтверждающего сообщения электронной почты контакту
- Настройка электронной почты в бизнес-процессе по мере необходимости.
- Пользователь отправляет новое сообщение электронной почты, которое находится в неподтвержденном состоянии.
- Пользователь проверяет электронную почту для подтверждения.
- Настройка сообщения электронной почты для подтверждения.
- Обработайте рабочий процесс Отправка подтверждающего сообщения электронной почты контакту.
- Пользователь выбирает ссылку подтверждения для завершения процесса подтверждения.
Примечание
Убедитесь, что основной адрес электронной почты указан для контакта, поскольку электронная почта с подтверждением будет отправляться только по основному адресу электронной почты (emailaddress1) контакта. Сообщение электронной почты с подтверждением не отправляется на дополнительный (emailaddress2) или альтернативный адрес электронной почты (emailaddress3) в записи контакта.
Включение двухфакторной проверки подлинности
Функция двухфакторной проверки подлинности повышает безопасность учетной записи пользователя путем запроса подтверждения владения подтвержденным адресом электронной почты помимо стандартного входа в локальную или внешнюю учетную запись. Пользователю, пытающемуся войти в учетную запись с включенной двухфакторной проверкой подлинности, отправляется код безопасности на подтвержденный адрес электронной почты, связанный с его учетной записью. Код безопасности должен быть отправлен для завершения процесса входа. Пользователь может выбрать, чтобы система запомнила браузер, который успешно прошел проверку, чтобы код безопасности не требовался для последующего входа пользователя из того же браузера. Каждая учетная запись пользователя включает эту функцию отдельно и требует подтвержденного адреса электронной почты.
Предупреждение
При создании и включении параметра сайта Authentication/Registration/MobilePhoneEnabled с целью включить устаревшую функциональность возникает ошибка. Этот параметр сайта не предоставляется в готовом виде и не поддерживается порталами.
Связанные параметры сайта:
Authentication/Registration/TwoFactorEnabledAuthentication/Registration/RememberBrowserEnabled
Связанный процесс: отправка сообщения электронной почты с кодом двухфакторной проверки подлинности контакту
- Включите двухфакторную проверку подлинности.
- Выбор получения кода безопасности по электронной почте.
- Дождитесь сообщения электронной почты, содержащее код безопасности.
- Обработайте Отправка сообщения электронной почты с кодом двухфакторной проверки подлинности контакту. рабочий процесс.
- Двухфакторная проверка подлинности может быть отключена.
Управление внешними учетными записями
Пользователь, прошедший проверку подлинности может подключить (зарегистрировать) несколько внешних удостоверений к своей учетной записи, по одному для каждого настроенного поставщика удостоверений. После подключения удостоверений пользователь может выбрать вход с использованием любого из подключенных удостоверений. Существующие удостоверения можно также отключить, если остается хотя бы одно внешнее или локальное удостоверение.
Связанный параметр сайта:
Authentication/Registration/ExternalLoginEnabled
Параметры сайта внешнего поставщика удостоверений
Выберите поставщика для подключения к вашей учетной записи пользователя.
Выполните вход с использованием поставщика, к которому требуется подключиться.
Теперь поставщик подключен. Поставщика можно также отключить.
Включение проверки подлинности ASP.NET identity
В следующей таблице рассматриваются параметры для включения и отключения различных функций и поведения проверки подлинности:
| Имя настройки сайта | Описание: |
|---|---|
| Authentication/Registration/LocalLoginEnabled | Включает или отключает вход с локальной учетной записью, основанный на имени пользователя (или электронной почте) и пароле. Значение по умолчанию: true |
| Authentication/Registration/LocalLoginByEmail | Включает или отключает вход по локальной учетной записи с использованием поля адреса электронной почты вместо поля имени пользователя. Значение по умолчанию: false |
| Authentication/Registration/ExternalLoginEnabled | Включает или отключает вход и регистрацию внешней учетной записи. Значение по умолчанию: true |
| Authentication/Registration/RememberMeEnabled | Выбирает или сбрасывает флажок Запомнить меня? для локального входа, который позволяет сохранять сеансы проверки подлинности даже при закрытии веб-браузера. Значение по умолчанию: true |
| Authentication/Registration/TwoFactorEnabled | Включает или отключает для пользователей возможность включения двухфакторной проверки подлинности. Пользователи с подтвержденным адресом электронной почтой могут выбрать дополнительную безопасность двухфакторной проверки подлинности. Значение по умолчанию: false |
| Authentication/Registration/RememberBrowserEnabled | Выбирает или сбрасывает флажок Запомнить этот браузер? при двухфакторной проверке (код по электронной почте), чтобы сохранить двухфакторную проверку подлинности для текущего браузера. Пользователю не потребуется проходить двухфакторную проверку при последующих входах, если он использует этот же браузер. Значение по умолчанию: true |
| Authentication/Registration/ResetPasswordEnabled | Включает или отключает функцию сброса пароля. Значение по умолчанию: true |
| Authentication/Registration/ResetPasswordRequiresConfirmedEmail | Включает или отключает сброс пароля только для подтвержденных адресов электронной почты. Если включено, неподтвержденные адреса электронной почты нельзя использовать для отправки инструкций по сбросу пароля. Значение по умолчанию: false |
| Authentication/Registration/TriggerLockoutOnFailedPassword | Включает или отключает запись неудачных попыток ввода пароля. Если отключено, учетные записи пользователей не блокируются. Значение по умолчанию: true |
| Authentication/Registration/IsDemoMode | Включает или отключает использование флага демонстрационного режима только в средах разработки или демонстрации. Не включайте эту настройку в рабочих средах. Для режим демонстрации также является обязательным, чтобы веб-браузер был запущен локально на сервере веб-приложения. При включенном режиме демонстрации код сброса пароля и код двухфакторной проверки подлинности отображаются пользователю для быстрого доступа. Значение по умолчанию: false |
| Authentication/Registration/LoginButtonAuthenticationType | Если портал требует только одного внешнего поставщика удостоверений (для обработки всей проверки подлинности), это позволяет, чтобы кнопка Войти в панели навигации верхнего колонтитула была связано непосредственно со страницей входа этого внешнего поставщика удостоверений (вместо связывания с промежуточной формой локального входа и страницей выбора поставщика удостоверений). Только одного поставщика удостоверений можно выбрать для этого действия. Укажите значение AuthenticationType поставщика. Для конфигурации единого входа, в которой используется OpenId Connect, например Azure AD B2C, пользователь должен предоставить право доступа. Для поставщиков, основанных на OAuth 2.0, допускаются следующие значения: Facebook, Google, Yahoo, Microsoft, LinkedIn или Twitter Для поставщиков, основанных на WS-Federation, используйте значение, указанное для параметров сайта Authentication/WsFederation/ADFS/AuthenticationType и Authentication/WsFederation/Azure/[provider]/AuthenticationType. Примеры: https://adfs.contoso.com/adfs/services/trust, Facebook-0123456789, Google, Yahoo!, uri:WindowsLiveID. |
Включение или отключение регистрации пользователей
Ниже рассматриваются настройки для включения и отключения параметров регистрации пользователя.
| Имя настройки сайта | Описание: |
|---|---|
| Authentication/Registration/Enabled | Включает или отключает все формы регистрации пользователя. Регистрация должна быть включена для других параметров в этом разделе, чтобы она вступила в силу. Значение по умолчанию: true |
| Authentication/Registration/OpenRegistrationEnabled | Включает или отключает форму регистрации для создания всех форм пользователей. Форма регистрации позволяет любому анонимному посетителю портала создать новую учетную запись пользователя. Значение по умолчанию: true |
| Authentication/Registration/InvitationEnabled | Включает или отключает форму активирования кода приглашения для регистрации пользователей, которые обладают кодами приглашения. Значение по умолчанию: true |
| Authentication/Registration/CaptchaEnabled | Включение или отключение кода captcha на странице регистрации пользователей. Значение по умолчанию: false ПРИМЕЧАНИЕ. - Эта настройка сайта может быть недоступна по умолчанию. Для включения функции captcha необходимо создать этот параметр сайта и задать для него значение true. |
Примечание
Убедитесь, что для пользователя указан основной адрес электронной почты, поскольку регистрация выполняется с использованием основного адреса электронной почты (emailaddress1) пользователя. Пользователь не может быть зарегистрирован с использованием дополнительного (emailaddress2) или альтернативного адреса электронной почты (emailaddress3) в записи контакта.
Проверка учетных данных пользователя
Ниже рассматриваются параметры для настройки параметров проверки имени пользователя и пароля. Проверка выполняется, когда пользователи регистрируют новую локальную учетную запись или изменяют пароль.
| Имя настройки сайта | Описание: |
|---|---|
| Authentication/UserManager/PasswordValidator/EnforcePasswordPolicy | Определяет, содержит ли пароль символы из трех категорий ниже:
|
| Authentication/UserManager/UserValidator/AllowOnlyAlphanumericUserNames | Определяет, разрешаются ли только буквы и цифры в имени пользователя. Значение по умолчанию: false |
| Authentication/UserManager/UserValidator/RequireUniqueEmail | Определяет, требуется ли для проверки пользователя уникальный адрес электронной почты. Значение по умолчанию: true |
| Authentication/UserManager/PasswordValidator/RequiredLength | Минимальная требуемая длина пароля. По умолчанию: 8 |
| Authentication/UserManager/PasswordValidator/RequireNonLetterOrDigit | Определяет, требуется ли в пароле символ, отличный от буквы или цифры. Значение по умолчанию: false |
| Authentication/UserManager/PasswordValidator/RequireDigit | Определяет, требуется ли в пароле цифра (от 0 до 9). Значение по умолчанию: false |
| Authentication/UserManager/PasswordValidator/RequireLowercase | Определяет, требуется ли в пароле буква в нижнем регистре (от "a" до "z"). Значение по умолчанию: false |
| Authentication/UserManager/PasswordValidator/RequireUppercase | Определяет, требуется ли в пароле буква в верхнем регистре (от "A" до "Z"). Значение по умолчанию: false |
Параметры блокировки учетной записи пользователя
Ниже рассматриваются параметры, определяющие, как и когда учетная запись блокируется в системе проверки подлинности. Если определенное число неудачных попыток ввода пароля обнаружено в течение короткого интервала времени, учетная запись пользователя блокируется на некоторый период времени. Пользователь может повторить попытку после завершения периода блокировки.
| Имя настройки сайта | Описание: |
|---|---|
| Authentication/UserManager/UserLockoutEnabledByDefault | Указывает, включена ли блокировка пользователя при создании пользователей. По умолчанию: true |
| Authentication/UserManager/DefaultAccountLockoutTimeSpan | Период по умолчанию, на который пользователь блокируется после достижения Authentication/UserManager/MaxFailedAccessAttemptsBeforeLockout. По умолчанию: 24:00:00 (1 день) |
| Authentication/UserManager/MaxFailedAccessAttemptsBeforeLockout | Максимальное количество разрешенных попыток доступа, прежде чем пользователь блокируется (если блокировка разрешена). По умолчанию: 5 |
Параметры сайта проверки подлинности файлов cookie
Ниже описаны настройки для изменения поведения файлов cookie проверки подлинности по умолчанию, определенных классом CookieAuthenticationOptions.
| Имя настройки сайта | Описание: |
|---|---|
| Authentication/ApplicationCookie/AuthenticationType | Тип файла cookie проверки подлинности приложения. По умолчанию: ApplicationCookie |
| Authentication/ApplicationCookie/CookieName | Указывает имя файла cookie, которое используется для сохранения удостоверения. По умолчанию: .AspNet.Cookies |
| Authentication/ApplicationCookie/CookieDomain | Определяет домен, используемый для создания файла cookie. |
| Authentication/ApplicationCookie/CookiePath | Определяет путь, используемый для создания файла cookie. По умолчанию: / |
| Authentication/ApplicationCookie/CookieHttpOnly | Определяет, должен ли браузер разрешать доступ к файлу cookie для кода JavaScript на стороне клиента. Значение по умолчанию: true |
| Authentication/ApplicationCookie/CookieSecure | Определяет, должен ли файл cookie передаваться только по запросу HTTPS. По умолчанию: SameAsRequest |
| Authentication/ApplicationCookie/ExpireTimeSpan | Определяет, сколько времени файл cookie приложения будет оставаться допустимым с момента его создания. По умолчанию: 24:00:00 (1 день) |
| Authentication/ApplicationCookie/SlidingExpiration | Для параметра SlidingExpiration устанавливается значение True, чтобы проинструктировать промежуточное программное обеспечение, чтобы повторно создавать новый файл cookie с новым временем окончания срока действия каждый раз, когда оно обрабатывает запрос, для которого истекло более половины окна окончания срока действия. Значение по умолчанию: true |
| Authentication/ApplicationCookie/LoginPath | Свойство LoginPath уведомляет промежуточное программное обеспечение, что оно должно изменять исходящий код состояния 401 Не авторизовано на 302 перенаправления на указанный путь входа. По умолчанию: /signin |
| Authentication/ApplicationCookie/LogoutPath | Если путь выхода указан промежуточным программным обеспечением, запрос по этому пути будет перенаправлен на основе параметра ReturnUrlParameter. |
| Authentication/ApplicationCookie/ReturnUrlParameter | Параметр ReturnUrlParameter указывает имя параметра строки запроса, который добавляется промежуточным программным обеспечением при изменении кода 401 Не авторизовано на код 302 перенаправления на путь входа. |
| Authentication/ApplicationCookie/SecurityStampValidator/ValidateInterval | Период времени между проверками отметки безопасности. По умолчанию: 30 мин |
| Authentication/TwoFactorCookie/AuthenticationType | Тип файла cookie двухфакторной проверки подлинности. По умолчанию: TwoFactorCookie |
| Authentication/TwoFactorCookie/ExpireTimeSpan | Определяет, сколько времени двухфакторный файл cookie будет оставаться допустимым с момента его создания. Значение не должно превышать 6 минут. По умолчанию: 5 мин |
Дальнейшие действия
Перенос поставщиков удостоверений в B2C Azure AD
См. также
Обзор аутентификации на порталах Power Apps
Настройка поставщика OAuth 2.0 для порталов
Настройка поставщика OpenID Connect для порталов
Настройка поставщика SAML 2.0 для порталов
Настройка поставщика WS-Federation для порталов
Параметры проверки подлинности порталов Power Apps
Примечание
Каковы ваши предпочтения в отношении языка документации? Пройдите краткий опрос (обратите внимание, что этот опрос представлен на английском языке).
Опрос займет около семи минут. Личные данные не собираются (заявление о конфиденциальности).
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по