Nastavitev identitete za preverjanje pristnosti za portal

Zmogljivosti portala za Dynamics 365 omogočajo uporabo funkcije preverjanja pristnosti, zgrajeno na API-ju ASP.NET Identity. ASP.NET Identity pa je zgrajen na ogrodju OWIN, ki je prav tako pomemben sestavni del sistema za preverjanje pristnosti. Zagotovljene storitve vključujejo:

  • Lokalna (uporabniško ime/geslo) prijava uporabnika
  • Zunanja (ponudnik družabnega omrežja) prijava uporabnika prek zunanjih ponudnikov identitet
  • Dvojno preverjanje pristnosti prek e-poštnega sporočila
  • Potrditev e-poštnega naslova
  • Obnovitev gesla
  • Prijava s kodo povabila za registriranje vnaprej ustvarjenih zapisov stika

Zahteve

Zahteve za zmogljivosti portala za Dynamics 365:

  • Osnova portala Dynamics 365
  • Identiteta Microsoft
  • Paketi rešitve potekov dela identitete Microsoft

Preverjanje pristnosti – pregled

Obiskovalci portala, ki se vračajo, lahko zagotavljajo pristnost z uporabo poverilnic lokalnega uporabnika in/ali zunanjih računov ponudnika identitet. Nov obiskovalec se lahko registrira za nov uporabniški račun tako, da vnese uporabniško ime in geslo ali se prijavi prek zunanjega ponudnika. Obiskovalci, ki prejmejo kodo povabila (pošlje jo skrbnik portala), lahko izkoristijo kodo v postopku prijave za nov uporabniški račun.

Povezane nastavitve mesta:

  • Authentication/Registration/Enabled
  • Authentication/Registration/LocalLoginEnabled
  • Authentication/Registration/ExternalLoginEnabled
  • Authentication/Registration/OpenRegistrationEnabled
  • Authentication/Registration/InvitationEnabled
  • Authentication/Registration/RememberMeEnabled
  • Authentication/Registration/ResetPasswordEnabled

Prijava z lokalno identiteto ali zunanjo identiteto

Prijava z lokalnim računom

Prijava z lokalno identiteto ali zunanjo identiteto

Registracija za nov lokalni račun

Ročno prevzemi kodo povabila

Prijava s kodo povabila

Pozabljeno geslo ali ponastavitev gesla

Obiskovalci portala, ki se vračajo in ki morajo ponastaviti geslo (ter so v preteklosti navedli e-poštni naslov v uporabniškem profilu), lahko zahtevajo, da se v njihov e-poštni račun pošlje žeton za ponastavitev gesla. Žeton za ponastavitev lastniku omogoča izbiro novega gesla. Žeton je mogoče tudi prezreti, da ostane prvotno geslo uporabnika nespremenjeno.

Povezane nastavitve mesta:

  • Authentication/Registration/ResetPasswordEnabled
  • Authentication/Registration/ResetPasswordRequiresConfirmedEmail

Povezani proces: pošiljanje ponastavitve gesla stiku

  1. Prilagodite e-pošto v poteku dela, kot je potrebno.
  2. Za priklic procesa pošljite e-poštno sporočilo.
  3. Obiskovalec prejme opozorilo, naj preveri e-pošto.
  4. Obiskovalec prejme e-poštno sporočilo za ponastavitev gesla z navodili.
  5. Obiskovalec se vrne na obrazec za ponastavitev.
  6. Ponastavitev gesla je dokončana.

Prevzem povabila

Obiskovalec, ki se registrira, se s prevzemom kode povabila poveže z obstoječim zapisom stika, ki je bil predhodno pripravljen za tega obiskovalca. Kode povabil so običajno poslane po e-pošti, za pošiljanje kod po drugih kanalih pa lahko uporabite splošni obrazec za pošiljanje kod. Po pošiljanju veljavne kode povabila se izvede običajni proces registracije uporabnika (prijava), da se nastavi nov uporabniški račun.

Povezane nastavitve mesta:

Authentication/Registration/InvitationEnabled

Povezani proces: pošiljanje povabila

E-pošta, ki jo pošlje ta potek dela, mora biti prilagojena z URL-jem do strani za prevzem povabila na portalu: http://portal.contoso.com/register/?returnurl=%2f&invitation={Invitation Code(Invitation)}.

  1. Ustvarjanje povabila za novi stik

    Ustvarjanje povabila za nov stik

  2. Prilagajanje in shranjevanje novega povabila

    Prilagajanje novega povabila

  3. Proces: pošiljanje povabila

  4. Prilagodite e-pošto s povabilom.
  5. E-pošta s povabilom odpre stran za prevzem.
  6. Uporabnik se prijavi s poslano kodo povabila.

    Prijava s kodo povabila

Upravljanje uporabniških računov prek strani profila

Uporabniki s preverjeno pristnostjo upravljajo svoje uporabniške račune prek vrstice za krmarjenje Varnost na strani profila. Uporabniki niso omejeni na en lokalni račun ali en zunanji račun, ki so ga izbrali v času registracije uporabnika. Uporabniki z zunanjim računom si lahko ustvarijo lokalni račun tako, da vnesejo uporabniško ime in geslo. Uporabniki, ki so začeli z lokalnim računom, lahko s svojim računom povežejo več zunanjih identitet. Na strani s profilom uporabnik prejme tudi opomnik, naj potrdi e-poštni naslov z zahtevanjem, da se potrditveni e-poštni naslov pošlje v e-poštni račun.

Povezane nastavitve mesta:

  • Authentication/Registration/LocalLoginEnabled
  • Authentication/Registration/ExternalLoginEnabled
  • Authentication/Registration/TwoFactorEnabled

Nastavitev ali sprememba gesla

Uporabnik z obstoječim lokalnim računom lahko uveljavi novo geslo tako, da zagotovi prvotno geslo. Uporabnik brez lokalnega računa lahko izbere uporabniško ime in geslo za nastavitev novega lokalnega računa. Ko je uporabniško ime nastavljeno, ga ni več mogoče spremeniti.

Povezane nastavitve mesta:

Authentication/Registration/LocalLoginEnabled

Povezani proces:

  • Ustvarite uporabniško ime in geslo.
  • Spremenite obstoječe geslo.

Potrditev e-poštnega naslova

Če spremenite e-poštni naslov (ali ga prvič nastavite), preide v nepotrjeno stanje. Uporabnik lahko zahteva, da se na novi e-poštni naslov pošlje potrditveno e-poštno sporočilo, ki vključuje navodila, kako dokončati proces potrditve prek e-pošte.

Povezani proces: pošiljanje potrditve prek e-pošte stiku

  1. Prilagodite e-pošto v poteku dela, kot je potrebno.
  2. Uporabnik pošlje novo e-poštno sporočilo, ki ni potrjeno.
  3. Uporabnik preveri e-pošto za potrditev.
  4. Proces: pošiljanje potrditve prek e-pošte stiku
  5. Prilagodite potrditveno e-poštno sporočilo.
  6. Uporabnik klikne povezavo za potrditev in dokonča postopek potrditve.

Opomba

Prepričajte se, da je za stik določen primarni e-poštni naslov, ker je potrditveno e-poštno sporočilo poslano samo na ta naslov (emailaddress1) stika. Potrditveno e-poštno sporočilo ne bo poslano na sekundarni e-poštni naslov (emailaddress2) ali na nadomestni e-poštni naslov (emailaddress3) zapisa stika.

Omogočanje dvojnega preverjanja pristnosti

Funkcija dvojnega preverjanja pristnosti poveča varnost uporabniškega računa, saj se poleg standardne lokalne ali zunanje prijave zahteva tudi dokazilo o lastništvu za potrjen e-poštni naslov. Uporabnik, ki se poskuša prijaviti v račun z omogočenim dvojnim preverjanjem pristnosti, prejme varnostno kodo na potrjen e-poštni naslov, povezan z računom. Varnostna koda mora biti poslana za dokončanje procesa vpisa. Uporabnik lahko izbere, da si portal zapomni brskalnik, ki je uspešno prestal preverjanje, in tako za nadaljnje prijave iz istega brskalnika ne bo treba navesti varnostne kode. Vsak uporabniški račun individualno omogoči to funkcijo in zahteva potrjen e-poštni naslov.

Povezane nastavitve mesta:

  • Authentication/Registration/TwoFactorEnabled
  • Authentication/Registration/RememberBrowserEnabled

Povezani proces: pošiljanje e-pošte s kodo dvojnega preverjanja pristnosti stiku

  1. Omogočite dvojno preverjanje pristnosti.
  2. Odločite se za prejem varnostne kode po e-pošti.
  3. Počakajte na e-poštno sporočilo z varnostno kodo.
  4. Proces: pošiljanje e-pošte s kodo dvojnega preverjanja pristnosti stiku
  5. Dvojno preverjanje pristnosti je mogoče onemogočiti.

Upravljanje zunanjih računov

Uporabnik s preverjeno pristnostjo lahko poveže (registrira) več zunanjih identitet v svoj uporabniški račun, in sicer po eno iz vsakega konfiguriranega ponudnika identitet. Ko so identitete povezane, se lahko uporabnik odloči za vpis s katero koli od njih. Povezavo obstoječih identitet je mogoče tudi prekiniti, pri čemer mora ostati ena zunanja ali lokalna identiteta.

Povezane nastavitve mesta:

  • Authentication/Registration/ExternalLoginEnabled

Nastavitve spletnega mesta zunanjega ponudnika identitet

  1. Izberite ponudnika, da se povežete s svojim uporabniškim računom.

    Upravljanje zunanjih računov

  2. Prijavite se s ponudnikom, s katerim se želite povezati.

Ponudnik je povezan. Povezavo ponudnika je mogoče prekiniti.

Omogočanje preverjanja pristnosti ASP.NET Identity

V nadaljevanju so opisane nastavitve za omogočanje in onemogočanje različnih funkcij in načinov delovanja preverjanja pristnosti:

Ime nastavitve mesta Opis
Authentication/Registration/LocalLoginEnabled Omogoči ali onemogoči lokalni vpis v račun na podlagi uporabniškega imena (ali e-poštnega sporočila) in gesla. Privzeto: false
Authentication/Registration/LocalLoginByEmail Omogoči ali onemogoči lokalni vpis v račun na podlagi polja e-poštnega naslova, namesto polja uporabniškega imena. Privzeto: false
Authentication/Registration/ExternalLoginEnabled Omogoči ali onemogoči vpis in registracijo v zunanji račun. Privzet: »true«
Authentication/Registration/RememberMeEnabled Izbere ali počisti »Zapomni si me?« v potrditvenem polju ob lokalnem vpisu, da se seje s preverjeno pristnostjo ohranijo tudi ob zaprtju spletnega brskalnika. Privzet: »true«
Authentication/Registration/TwoFactorEnabled Omogoči ali onemogoči možnost za uporabnike, da se omogoči dvojno preverjanje pristnosti. Uporabniki s potrjenim e-poštnim naslovom lahko privolijo v dodatno varnost, ki jo zagotavlja dvojno preverjanje pristnosti. Privzeto: false
Authentication/Registration/RememberBrowserEnabled Izbere ali počisti »Zapomni si ta brskalnik?« v potrditvenem polju ob dvojnem preverjanju veljavnosti (koda prek e-pošte), da se dvojno preverjanje veljavnosti ohrani za trenutni brskalnik. Uporabniku ne bo treba opraviti dvojnega preverjanja veljavnosti za nadaljnje vpise, če uporablja isti brskalnik. Privzet: »true«
Authentication/Registration/ResetPasswordEnabled Omogoči ali onemogoči funkcijo za ponastavitev gesla. Privzet: »true«
Authentication/Registration/ResetPasswordRequiresConfirmedEmail Omogoči ali onemogoči ponastavitev gesla samo za potrjene e-poštne naslove. Če je to omogočeno, nepotrjenih e-poštnih naslovov ni mogoče uporabiti za pošiljanje navodil za ponastavitev gesla. Privzeto: false
Authentication/Registration/TriggerLockoutOnFailedPassword Omogoči ali onemogoči beleženje neuspelih poskusov vnosa gesla. Če je to onemogočeno, se uporabniški računi ne zaklenejo. Privzeto: »true«
Authentication/Registration/IsDemoMode Omogoči ali onemogoči, da se zastavica predstavitvenega načina uporablja samo v razvojnem ali predstavitvenem okolju. Ne omogočite te nastavitve v produkcijskih okoljih. Za predstavitveni način se mora spletni brskalnik izvajati lokalno do strežnika spletnega programa. Ko je omogočen predstavitveni način, sta koda za ponastavitev gesla in koda dvojnega preverjanja prikazani, da lahko uporabnik hitro dostopa do njiju. Privzeto: false
Authentication/Registration/LoginButtonAuthenticationType Če portal zahteva samo enega zunanjega ponudnika identitet (za obravnavo vsega preverjanja pristnosti), to omogoča, da je gumb Vpis v vrstici za krmarjenje v glavi neposredna povezava do strani za vpis tega zunanjega ponudnika identitet (namesto povezave do vmesnega lokalnega obrazca za vpis in strani za izbiro ponudnika identitet). Za to dejanje je mogoče izbrati samo enega ponudnika identitet. Določite vrednost AuthenticationType za ponudnika.
Za konfiguracijo enotne prijave z uporabo orodja OpenIdConnect, kot je Azure Active Directory B2C, mora uporabnik navesti overitelja.
Za ponudnike, ki temeljijo na OAuth2, so sprejemljive vrednosti naslednje: Facebook, Google, Yahoo, [!INCLUDE[cc-microsoft](../includes/cc-microsoft.md)], LinkedIn, Yammer, ali Twitter
Za ponudnike, ki temeljijo na združeni storitvi WS, uporabite vrednost, navedeno za nastavitve mest Authentication/WsFederation/ADFS/AuthenticationType in Authentication/WsFederation/[!INCLUDE[pn-azure-shortest](../includes/pn-azure-shortest.md)]/\[provider\]/AuthenticationType. Primeri: http://adfs.contoso.com/adfs/services/trust, Facebook-0123456789, Google, Yahoo!, uri:WindowsLiveID.

Omogočanje ali onemogočanje registracije uporabnika

V nadaljevanju so opisane nastavitve za omogočanje in onemogočanje registracije uporabnika (prijava):

Ime nastavitve mesta Opis
Authentication/Registration/Enabled Omogoči ali onemogoči vse obrazce registracije uporabnika. Registracija mora biti omogočena, da bodo druge nastavitve v tem razdelku postale veljavne. Privzet: »true«
Authentication/Registration/OpenRegistrationEnabled Omogoči ali onemogoči obrazec registracije prijave za ustvarjanje novih lokalnih uporabnikov. Obrazec prijave omogoča anonimnim obiskovalcem portala, da ustvarijo nov uporabniški račun. Privzet: »true«
Authentication/Registration/InvitationEnabled Omogoči ali onemogoči obrazec koriščenja kode povabila za registracijo uporabnikov, ki imajo kode povabil. Privzet: »true«
Preverjanje pristnosti/registracija/omogočen test captcha Omogoči ali onemogoči test captcha na strani za registracijo uporabnika. Privzeto: false
Opomba: ta nastavitev mesta morda ne bo privzeto na voljo. Če želite omogočiti test captcha, morate ustvariti nastavitev spletnega mesta in vrednost nastaviti na »true«.

Opomba

Prepričajte se, da je za uporabnika določen primarni e-poštni naslov, ker se registracija izvede samo s tem e-poštnim naslovom (emailaddress1) uporabnika. Registracija uporabnika ni možna s sekundarnim e-poštnim naslovom (emailaddress2) ali nadomestnim e-poštnim naslovom (emailaddress3) zapisa stika.

Preverjanje veljavnosti poverilnic uporabnika

V nadaljevanju so opisane nastavitve za prilagajanje parametrov potrjevanja veljavnosti uporabniškega imena in gesla. Preverjanje veljavnosti se izvede ob prijavi za nov lokalni račun ali spreminjanju gesla.

Ime nastavitve mesta Opis
Authentication/UserManager/PasswordValidator/EnforcePasswordPolicy Ali geslo vsebuje znake naslednjih treh kategorij:
  • Velike črke evropskih jezikov (od A do Z, z diakritičnimi znaki, znaki grške abecede in cirilice)
  • Male črke evropskih jezikov (od a do z, ostra črka s, z diakritičnimi znaki, znaki grške abecede in cirilice)
  • Desetiške številke (od 0 do 9)
  • Znaki, ki niso alfanumerični (posebni znaki) (na primer !, $, #, %)
Privzeto: true. Več informacij: Pravilnik posodobitev.
Authentication/UserManager/UserValidator/AllowOnlyAlphanumericUserNames Ali želite dovoliti samo alfanumerične znake za uporabniško ime. Privzeto: false. Več informacij: UserValidator <TUser, TKey>. AllowOnlyAlphanumericUserNames.
Authentication/UserManager/UserValidator/RequireUniqueEmail Ali je za preverjanje veljavnosti uporabnika potreben enolični e-poštni naslov. Privzeto: true. Več informacij: UserValidator <TUser, TKey>.RequireUniqueEmail.
Authentication/UserManager/PasswordValidator/RequiredLength Najmanjša zahtevana dolžina gesla. Privzeto: 8. Več informacij: PasswordValidator.RequiredLength.
Authentication/UserManager/PasswordValidator/RequireNonLetterOrDigit Ali geslo zahteva nečrkovni znak ali števko. Privzeto: false. Več informacij: PasswordValidator.RequireNonLetterOrDigit.
Authentication/UserManager/PasswordValidator/RequireDigit Ali geslo zahteva numerično števko (od 0 do9). Privzeto: false. Več informacij: PasswordValidator.RequireDigit.
Authentication/UserManager/PasswordValidator/RequireLowercase Ali geslo zahteva malo črko (od a do z). Privzeto: false. Več informacij: PasswordValidator.RequireLowercase.
Authentication/UserManager/PasswordValidator/RequireUppercase Ali geslo zahteva veliko črko (od A do Z). Privzeto: false. Več informacij: PasswordValidator.RequireUppercase.

Nastavitve zaklepanja uporabniškega računa

V nadaljevanju so opisane nastavitve, ki določajo, kako in kdaj se račun zaklene za preverjanje pristnosti. Ko je zaznano določeno število neuspelih poskusov vnosa gesla v kratkem časovnem obdobju, se uporabniški račun za določeno časovno obdobje zaklene. Ko obdobje zaklepa preteče, lahko uporabnik poskusi znova.

Ime nastavitve mesta Opis
Authentication/UserManager/UserLockoutEnabledByDefault Označuje, ali je zaklep uporabnika omogočen, ko so uporabniki ustvarjeni. Privzeto: true. Več informacij: UserManager<TUser, TKey>.UserLockoutEnabledByDefault.
Authentication/UserManager/DefaultAccountLockoutTimeSpan Doseženo je privzeto časovno obdobje, ko je uporabnik zaklenjen po Authentication/UserManager/MaxFailedAccessAttemptsBeforeLockout. Privzeto: 24:00:00 (1 dan). Več informacij: UserManager<TUser, TKey>.DefaultAccountLockoutTimeSpan.
Authentication/UserManager/MaxFailedAccessAttemptsBeforeLockout Največje število dovoljenih poskusov dostopa, preden se uporabnik zaklene (če je zaklepanje omogočeno). Privzeto: 5. Več informacij: UserManager<TUser, TKey>.MaxFailedAccessAttemptsBeforeLockout.
Authentication/ApplicationCookie/ExpireTimeSpan Privzeti čas veljavnosti sej preverjanja pristnosti s piškotki. Privzeto: 24:00:00 (1 dan). Več informacij: CookieAuthenticationOptions.ExpireTimeSpan.

Glejte tudi

Konfiguracija preverjanja pristnosti v portalu Dynamics 365
Nastavitve ponudnika OAuth2 za portale
Nastavitve ponudnika Open ID Connect za portale
Nastavitve ponudnika WS-Federation za portale
Nastavitve ponudnika SAML 2.0 za portale
Preverjanje pristnosti programa storitve Facebook (zavihek strani) za portale