設定入口網站的驗證身分

Microsoft Dynamics 365 的入口網站功能提供驗證功能,以 ASP.NET Identity API 為基礎建置。 ASP.NET Identity 是以 OWIN 架構為基礎建置,它也是驗證系統的重要元件。 提供的服務包括:

  • 本機 (使用者名稱/密碼) 使用者登入
  • 外部 (社交提供者) 使用者登入,透過協力廠商身分識別提供者
  • 利用電子郵件的雙因素驗證
  • 電子郵件地址確認
  • 密碼復原
  • 邀請代碼註冊,用於註冊預先產生的連絡人記錄

需求

Microsoft Dynamics 365 需要的入口網站功能:

  • Microsoft Dynamics 365 入口網站基底
  • Microsoft 身分識別
  • Microsoft 身分識別工作流程解決方案套件

驗證概觀

再次造訪的入口網站訪客可以選擇使用本機使用者認證和/或外部身分識別提供者帳戶進行驗證。 新訪客可以註冊新的使用者帳戶,藉由提供使用者名稱/密碼,或是透過外部提供者登入的方式。 收到邀請代碼 (由入口網站管理員發出) 的訪客可以選擇在註冊新使用者帳戶的過程中兌換代碼。

相關的網站設定:

  • Authentication/Registration/Enabled
  • Authentication/Registration/LocalLoginEnabled
  • Authentication/Registration/ExternalLoginEnabled
  • Authentication/Registration/OpenRegistrationEnabled
  • Authentication/Registration/InvitationEnabled
  • Authentication/Registration/RememberMeEnabled
  • Authentication/Registration/ResetPasswordEnabled

使用本機身分或外部身分登入

使用本機帳戶登入

使用本機身分或外部身分註冊

註冊新的本機帳戶

手動兌換邀請代碼

使用邀請代碼註冊

忘記密碼或密碼重設

再次造訪且需要重設密碼的訪客 (先前已在使用者設定檔中指定電子郵件地址),可以選擇要求傳送密碼重設 Token 至電子郵件帳戶。 重設 Token 可讓擁有者選擇新密碼。 或者,可以捨棄 Token,沿用使用者的原始密碼。

相關的網站設定:

  • Authentication/Registration/ResetPasswordEnabled
  • Authentication/Registration/ResetPasswordRequiresConfirmedEmail

相關程序: 傳送密碼重設給連絡人

  • 在工作流程中視需要自訂電子郵件
  • 送出電子郵件以啟動程序
  • 提示訪客查看電子郵件
  • 包含指示的密碼重設電子郵件
  • 訪客返回重設表單
  • 密碼重設完成

兌換邀請

兌換邀請代碼可讓註冊的訪客與特別為該訪客事先準備的現有連絡人記錄產生關聯。 一般而言,邀請代碼是以電子郵件寄出,但也可使用一般代碼送出表單透過其他管道傳送代碼。 有效的邀請代碼送出後,正常的使用者登錄 (註冊) 程序就會展開,以建立新的使用者帳戶。

相關的網站設定:

Authentication/Registration/InvitationEnabled

相關程序: 傳送邀請

此工作流程送出的電子郵件中必須自訂入口網站上兌換邀請頁面的 URL:http://portal.contoso.com/register/?returnurl=%2f&invitation={Invitation Code(Invitation)}

  1. 為新連絡人建立邀請

    建立新連絡人的邀請

  2. 自訂並儲存新邀請

    自訂新邀請

  3. 程序:傳送邀請

  4. 自訂邀請電子郵件。
  5. 邀請電子郵件開啟兌換頁面。
  6. 使用者使用送出的邀請代碼註冊。

    使用邀請代碼註冊

透過設定檔頁面管理使用者帳戶

通過驗證的使用者可管理自己的使用者帳戶,透過設定檔頁面的 [ 安全性] 導覽列。 在使用者註冊期間,使用者不受限於選擇的單一本機帳戶或單一外部帳戶。 使用外部帳戶的使用者可以選擇建立本機帳戶,藉由套用使用者名稱和密碼的方式。 而一開始使用本機帳戶的使用者也可以選擇將多個外部身分與自己的帳戶建立關聯。 設定檔頁面也是提醒使用者確認電子郵件地址的地方,藉由要求傳送確認電子郵件至使用者的電子郵件帳戶。

相關的網站設定:

  • Authentication/Registration/LocalLoginEnabled

  • Authentication/Registration/ExternalLoginEnabled

  • Authentication/Registration/TwoFactorEnabled

設定或變更密碼

擁有現有本機帳戶的使用者可以藉由提供原始密碼來套用新密碼。 沒有本機帳戶的使用者可以選擇使用者名稱和密碼來設定新的本機帳戶。 使用者名稱一經設定就無法改變。

相關的網站設定:

Authentication/Registration/LocalLoginEnabled

  • 建立使用者名稱和密碼。
  • 變更現有密碼。

變更或確認電子郵件地址

變更 (或首次設定) 電子郵件地址時,會將電子郵件設為未確認狀態。 使用者可以要求傳送確認電子郵件至新的電子郵件地址,包括完成電子郵件確認程序的指示。

相關程序: 傳送電子郵件確認給連絡人

  1. 在工作流程中視需要自訂電子郵件。
  2. 送出新電子郵件 (未確認)。
  3. 檢查電子郵件以確認。
  4. 程序:傳送電子郵件確認給連絡人
  5. 自訂確認電子郵件。
  6. 按一下確認連結完成。

啟用雙因素驗證

雙因素驗證功能可提升使用者帳戶的安全性,除了標準的本機/外部帳戶登入之外,還會要求證明已確認電子郵件的擁有權。 嘗試登入已啟用雙因素驗證的帳戶的使用者,會在與其帳戶關聯的已確認電子郵件或行動電話上收到安全碼。 必須送出安全碼,才能完成登入程序。 使用者可以選擇記住成功通過驗證的瀏覽器,如此一來,後續使用同一瀏覽器登入時就不再需要安全碼。 每個使用者帳戶都可個別啟用此功能,且需要已確認的電子郵件。

相關的網站設定:

  • Authentication/Registration/TwoFactorEnabled
  • Authentication/Registration/RememberBrowserEnabled

相關程序: 傳送電子郵件雙因素碼給連絡人

  1. 啟用雙因素驗證。
  2. 選擇透過電子郵件或簡訊接收安全碼。
  3. 等待含有安全碼的電子郵件。
  4. 程序:傳送電子郵件雙因素碼給連絡人。
  5. 雙因素驗證可以停用。

管理外部帳戶

通過驗證的使用者可將多個外部身分識別連接 (註冊) 至其使用者帳戶,從每一個設定的身分識別提供者。 身分識別連線後,使用者可以選擇使用任一個連線的身分登入。 現有身分也可以中斷連線,只要有單一外部或本機身分保持連線即可。

相關的網站設定:

Authentication/Registration/ExternalLoginEnabled

  • 外部身分識別提供者網站設定
  1. 選取要連線的提供者

    管理外部帳戶

  2. 登入要連線的提供者

  3. 提供者已連線
  4. 提供者可以中斷連線

啟用 ASP.NET Identity 驗證

下方描述啟用或停用各項驗證功能和行為的設定:

網站設定名稱 描述
Authentication/Registration/LocalLoginEnabled 啟用或停用根據使用者名稱 (或電子郵件) 和密碼的本機帳戶登入。 預設值:false
Authentication/Registration/LocalLoginByEmail 啟用或停用使用電子郵件地址欄位而非使用者名稱欄位的本機帳戶登入。 預設值:false
Authentication/Registration/ExternalLoginEnabled 啟用或停用外部帳戶登入和註冊。 預設:true
Authentication/Registration/RememberMeEnabled 啟用或停用本機登入上的 [記住我?] 核取方塊,即使在網頁瀏覽器關閉時仍保留已驗證的工作階段。 預設:true
Authentication/Registration/TwoFactorEnabled 啟用或停用讓使用者啟用雙因素驗證的選項。 擁有已確認電子郵件地址的使用者,可以選擇加入額外的雙因素驗證安全性。 預設值:false
Authentication/Registration/RememberBrowserEnabled 啟用或停用第二因素驗證上的 [記住瀏覽器?] 核取方塊 (電子郵件),以保留目前瀏覽器的第二因素驗證。 使用者後續登入時,只要使用相同的瀏覽器,就不需要通過第二因素驗證。 預設:true
Authentication/Registration/ResetPasswordEnabled 啟用或停用密碼重設功能。 預設:true
Authentication/Registration/ResetPasswordRequiresConfirmedEmail 啟用或停用僅透過已確認的電子郵件地址重設密碼。 若啟用,未確認的電子郵件地址就無法用來傳送密碼重設指示。 預設值:false
Authentication/Registration/TriggerLockoutOnFailedPassword 啟用或停用記錄失敗的密碼嘗試次數。 如果停用,使用者帳戶將不會遭到鎖定。 預設:true
Authentication/Registration/IsDemoMode 啟用或停用僅在開發或示範環境中使用的示範模式旗標。 請勿在生產環境中啟用此設定。 示範模式同樣需要網頁瀏覽器在 Web 應用程式伺服器本機上執行。 當示範模式啟用時,密碼重設碼及第 2 因素碼會對使用者顯示,以便快速存取。 預設值:false
Authentication/Registration/LoginButtonAuthenticationType 如果入口網站只需要單一外部身分識別提供者 (用來處理所有驗證),這可讓標題導覽列的 [登入] 按鈕直接連結至外部身分識別提供者的登入頁面 (而不會連結至中繼本機登入表單和身分識別提供者選取頁面)。 只能針對此動作選取單一身分識別提供者。 指定提供者的 AuthenticationType 值。
如果使用 OpenIdConnect 的單一登入設定 (如 Azure AD-B2C),使用者必須提供權限。
如果使用 OpenIdConnect 的單一登入設定 (如 Azure AD-B2C),使用者必須提供權限。
對於 OAuth2 型提供者,可接受的值為:Facebook, Google, Yahoo, [!INCLUDE[cc-microsoft](../includes/cc-microsoft.md)], LinkedIn, Yammer,Twitter
對於 WS-Federation 型提供者,使用針對 Authentication/WsFederation/ADFS/AuthenticationTypeAuthentication/WsFederation/[!INCLUDE[pn-azure-shortest](../includes/pn-azure-shortest.md)]/\[provider\]/AuthenticationType 網站設定指定的值。 範例:http://adfs.contoso.com/adfs/services/trust、Facebook-0123456789、Google、Yahoo!、uri:[!INCLUDE[pn-ms-windows-short](../includes/pn-ms-windows-short.md)]LiveID。

啟用/停用使用者註冊

下方描述啟用/停用使用者登錄 (註冊) 選項的設定:

網站設定名稱 描述
Authentication/Registration/Enabled 啟用或停用使用者註冊的所有表單。 註冊必須啟用,此區段中的其他設定才會生效。 預設:true
Authentication/Registration/OpenRegistrationEnabled 啟用或停用建立新本機使用者的註冊表。 註冊表可讓匿名訪客存取入口網站以建立新的使用者帳戶。 預設:true
Authentication/Registration/InvitationEnabled 啟用或停用用於註冊擁有邀請代碼的使用者的邀請代碼兌換表單。 預設:true

使用者認證驗證

下方描述調整使用者名稱和密碼驗證參數的設定。 驗證會在註冊新的本機帳戶或變更密碼時發生。

網站設定名稱 描述
Authentication/UserManager/PasswordValidator/EnforcePasswordPolicy 密碼是否包含下列三種類別的字元:
  • 歐語系的大寫字母 (A 到 Z,包含變音符號、希臘和斯拉夫字元)
  • 歐語系的小寫字母 (a 到 z、ß,包含變音符號、希臘和斯拉夫字元)
  • 基本的 10 個數字 (0 到 9)
  • 非英數字元 (特殊字元) (例如 !、$、#、%)
預設值:true。 MSDN.
Authentication/UserManager/UserValidator/AllowOnlyAlphanumericUserNames 使用者名稱是否僅允許使用英數字元。 預設值:false。 MSDN
Authentication/UserManager/UserValidator/RequireUniqueEmail 驗證使用者時是否需要唯一的電子郵件。 預設值:true。 MSDN
Authentication/UserManager/PasswordValidator/RequiredLength 密碼最少需要的長度。 預設值:8。 MSDN
Authentication/UserManager/PasswordValidator/RequireNonLetterOrDigit 密碼是否需要非字母或數字字元。 預設值:false。 MSDN
Authentication/UserManager/PasswordValidator/RequireDigit 密碼是否需要數字 ('0' - '9')。 預設值:false。 MSDN
Authentication/UserManager/PasswordValidator/RequireLowercase 密碼是否需要小寫字母 ('a' - 'z')。 預設值:false。 MSDN
Authentication/UserManager/PasswordValidator/RequireUppercase 密碼是否需要大寫字母 ('A' - 'Z')。 預設值:false。 MSDN

使用者帳戶鎖定設定

下方描述定義帳戶變成鎖定無法進行驗證的方式和時機的設定。 當偵測到在短時間內密碼嘗試失敗達到特定次數時,使用者帳戶就會被鎖定一段時間。 使用者可以在鎖定期間過後再試一次。

網站設定名稱 描述
Authentication/UserManager/UserLockoutEnabledByDefault 表示建立使用者時,使用者鎖定是否啟用。 預設值:true。 MSDN
Authentication/UserManager/DefaultAccountLockoutTimeSpan 達到 Authentication/UserManager/MaxFailedAccessAttemptsBeforeLockout 後鎖定使用者的預設時間長度。 預設值:24:00:00 (1 天)。 MSDN
Authentication/UserManager/MaxFailedAccessAttemptsBeforeLockout 允許的存取嘗試次數上限,達到此次數後,使用者就會被鎖定 (如果已啟用鎖定)。 預設值:5。 MSDN
Authentication/ApplicationCookie/ExpireTimeSpan Cookie 驗證工作階段有效的預設時間長度。 預設值:24:00:00 (1 天)。 MSDN

請參閱

設定 Dynamics 365 入口網站驗證
入口網站的OAuth2 提供者設定
入口網站的 OpenID Connect 提供者設定
入口網站的 WS-Federation 提供者設定
入口網站的 SAML 2.0 提供者設定
入口網站的 Facebook 應用程式 (頁面索引標籤) 驗證