Autenticação local, registro e outras configurações

  • Artigo

Importante

Recomendamos que você use o provedor de identidade do Azure AD B2C para autenticação em seu site do Power Pages e substitua o provedor de identidade local.

O Power Pages fornece a funcionalidade de autenticação incluída na API de Identidade ASP.NET. A Identidade do ASP.NET, por sua vez, é criada na estrutura OWIN que também é um importante componente do sistema de autenticação. O Power Pages fornece os seguintes serviços:

  • Autenticação local (nome de usuário/senha)
  • Autenticação (provedor social) externo por meio de provedores de identidade de terceiros
  • Autenticação de dois fatores com email
  • Confirmação do endereço de email
  • Recuperação da senha
  • Inscrição de código de convite para registros do contato preenchidos

Observação

A coluna Mobile Phone Confirmed no registro de contato não é usada, exceto ao atualizar de Adxstudio Portals.

Requisitos

Requer o Power Pages:

  • Base dos portais
  • Identidade da Microsoft
  • Pacotes de solução dos Fluxos de Trabalho de Identidade da Microsoft

Autenticar e registrar

Visitantes que retornam ao site podem autenticar-se usando credenciais de usuário local e/ou contas de provedor de identidade externo. Um novo visitante pode se registrar para uma conta de usuário fornecendo nome de usuário e senha ou fazendo acesso por meio de um provedor externo. Visitantes que recebem um código de convite do administrador do site podem resgatar o código ao se inscreverem em uma nova conta de usuário.

Configurações de site relacionadas:

  • Authentication/Registration/Enabled
  • Authentication/Registration/LocalLoginEnabled
  • Authentication/Registration/ExternalLoginEnabled
  • Authentication/Registration/OpenRegistrationEnabled
  • Authentication/Registration/InvitationEnabled
  • Authentication/Registration/RememberMeEnabled
  • Authentication/Registration/ResetPasswordEnabled

Redefinir uma senha

Os visitantes recorrentes que forneceram um endereço de email quando se registraram podem solicitar que um token de redefinição de senha seja enviado para sua conta de email. Um token de redefinição permite que seu proprietário escolha uma nova senha. O token também pode ser abandonado, mantendo a senha original do usuário inalterada.

Configurações de site relacionadas:

  • Authentication/Registration/ResetPasswordEnabled
  • Authentication/Registration/ResetPasswordRequiresConfirmedEmail

Processo relacionado: Enviar uma redefinição de senha a um contato

  1. O visitante fornece um endereço de email.
  2. Envie o endereço de email para iniciar o processo.
  3. O visitante é solicitado a verificar email.
  4. O visitante recebe o email de redefinição de senha com instruções.
  5. O visitante retorna ao formulário de redefinição e seleciona uma nova senha.
  6. A redefinição de senha esta completa.

Resgatar um convite

Resgatar um código de convite permite que um visitante que está se registrando seja associado com um registro de contato existente preparado de antemão especialmente para esse visitante. Normalmente, os códigos de convite são enviados por email. Você pode usar um formulário de envio de código geral para enviar códigos por outros canais. Após o visitante enviar um código de convite válido, o processo de registro do usuário normal define a nova conta de usuário.

Configuração de site relacionada: Authentication/Registration/InvitationEnabled

Processo relacionado: Enviar convite

Personalize o email de convite para incluir o URL na página de convite de resgate em seu site.

  1. Criar um convite para um novo contato.
  2. Personalizar e salvar o convite.
  3. Personalize o email de convite.
  4. Processe o fluxo de trabalho Enviar convite.
  5. O email de convite abre a página de resgate.
  6. O usuário envia o código do convite para inscrever-se.

Registro desabilitado

Se o registro for desabilitado para um usuário após ele resgatar um convite, use o seguinte trecho de conteúdo para exibir uma mensagem: Account/Register/RegistrationDisabledMessage

Gerenciar contas de usuário por meio das páginas de perfil

Usuários autenticados gerenciam suas contas de usuário por meio da opção Segurança da página de perfil. Os usuários não estão limitados à conta local única ou à conta externa única que eles escolheram quando se registraram. Os usuários com uma conta externa podem optar por criar uma conta local fornecendo um nome de usuário e senha. Usuários que começaram com conta local podem optar por associar várias identidades externas à essa conta. A página de perfil também é onde os usuários são lembrados de confirmar seu endereço de email solicitando um email de confirmação que será enviado à sua conta.

Configurações de site relacionadas:

  • Authentication/Registration/LocalLoginEnabled
  • Authentication/Registration/ExternalLoginEnabled
  • Authentication/Registration/TwoFactorEnabled

Definir ou alterar uma senha

Um usuário que possui uma conta local pode selecionar uma nova senha fornecendo a senha original. Um usuário sem uma conta local pode escolher um nome de usuário e senha para configurar uma nova conta local. O nome do usuário não pode ser alterado após ser definido.

Configuração de site relacionada: Authentication/Registration/LocalLoginEnabled

Processos relacionados:

  • Crie um nome de usuário e senha
  • Alterar uma senha

Esses fluxos de tarefas funcionam apenas quando chamados usando o aplicativo de Gerenciamento do Portal. Eles não são afetados pela substituição futura dos fluxos de tarefas.

Confirmar um endereço de email

Alterar um endereço de email ou definir um pela primeira vez o marca como não confirmado. O usuário pode solicitar que um email de confirmação seja enviado para seu novo endereço de email. O email inclui instruções para concluir o processo de confirmação por email.

Processo relacionado: Enviar uma confirmação por email para um contato

  1. O usuário envia um novo endereço de email não confirmado.
  2. O usuário verifica o email para a mensagem de confirmação.
  3. Processe o fluxo de trabalho Enviar confirmação por email para o contato.
  4. O usuário seleciona o link de confirmação para concluir o processo de confirmação.

Certifique-se de que o endereço de email principal seja especificado para o contato. O email de confirmação é enviado apenas para o endereço de email principal (emailaddress1), não para o endereço secundário (emailaddress2) ou alternativo (emailaddress3) do registro do contato.

Permitir autenticação de dois fatores

A autenticação de dois fatores aumenta a segurança da conta do usuário exigindo prova de propriedade de um endereço de email confirmado, além da autenticação de conta local ou externa padrão. Quando um usuário tenta entrar em uma conta com autenticação de dois fatores habilitada, um código de segurança é enviado ao endereço de email confirmado associado à conta. O usuário deve inserir o código de segurança para concluir o processo de entrada. Um usuário pode optar por fazer com que o site lembre o navegador que passou com sucesso na verificação para que um código de segurança não seja necessário na próxima vez que o usuário entrar usando o mesmo navegador. Cada conta de usuário habilita esse recurso de forma individual e requer um endereço de email confirmado.

Aviso

Se você criar e habilitar a configuração de site Authentication/Registration/MobilePhoneEnabled para habilitar a funcionalidade herdada, ocorrerá um erro. Esta configuração de site não é fornecida pronta para uso e não é compatível com o Power Pages.

Configurações de site relacionadas:

  • Authentication/Registration/TwoFactorEnabled
  • Authentication/Registration/RememberBrowserEnabled

Processo relacionado: Enviar email com código de dois fatores para um contato

  1. O visitante opta por receber o código de segurança por email.
  2. O visitante aguarda pelo email que contém o código de segurança.
  3. o visitante insere o código de segurança.
  4. Processe o fluxo de trabalho Enviar email com código de dois fatores para o contato.
  5. O visitante pode desativar a autenticação de dois fatores.

Gerenciar contas externas

Um usuário autenticado pode conectar ou registrar várias identidades externas à sua conta de usuário, uma de cada provedor de identidade configurado. Após conectar as identidades, o usuário pode optar por entrar usando qualquer uma delas. As identidades também podem ser desconectadas, contanto que permaneça uma identidade externa ou local.

Configuração de site relacionada: Authentication/Registration/ExternalLoginEnabled

Processo relacionado: Conectar uma identidade

  1. O visitante seleciona um provedor para conectar à conta de usuário.
  2. O visitante entra usando um provedor conectado.

O provedor também pode ser desconectado.

Habilitar a autenticação da identidade ASP.NET

A tabela a seguir descreve as configurações para habilitar e desabilitar vários recursos e comportamentos de autenticação.

Nome da configuração do site Descrição
Authentication/Registration/LocalLoginEnabled Habilita ou desabilita a entrada na conta local com base no nome de usuário ou endereço de email e senha. Padrão: Verdadeiro
Authentication/Registration/LocalLoginByEmail Habilita ou desabilita a entrada na conta local usando um endereço de email em vez de um nome de usuário. Padrão: Falso
Authentication/Registration/ExternalLoginEnabled Habilitar ou desabilitar o acesso ao registro de conta externo. Padrão: Verdadeiro
Authentication/Registration/RememberMeEnabled Marca ou desmarca uma caixa de seleção Lembrar-me? no acesso local para permitir que sessões autenticadas sejam mantidas mesmo quando o navegador da Web estiver fechado. Padrão: Verdadeiro
Authentication/Registration/TwoFactorEnabled Habilita ou desabilita a autenticação de dois fatores. Os usuários com um endereço de email confirmado podem optar pela segurança adicional da autenticação de dois fatores. Padrão: Falso
Authentication/Registration/RememberBrowserEnabled Marca ou desmarca uma caixa de seleção Lembrar-se do navegador? na validação de segundo fator (código por email) para que essa validação seja mantida no navegador atual. Não é solicitado que o usuário aprove a validação de segundo valor em entradas subsequentes usando o mesmo navegador. Padrão: Verdadeiro
Authentication/Registration/ResetPasswordEnabled Habilita ou desabilita o recurso de redefinição de senha. Padrão: Verdadeiro
Authentication/Registration/ResetPasswordRequiresConfirmedEmail Habilita ou desabilita a redefinição de senha somente para endereços de email confirmados. Se habilitado, endereços de email não confirmados não poderão ser usados para enviar instruções sobre redefinição de senha. Padrão: Falso
Authentication/Registration/TriggerLockoutOnFailedPassword Habilita ou desabilita a gravação de tentativas de senhas malsucedidas. Se desabilitado, contas de usuários não serão bloqueadas. Padrão: Verdadeiro
Authentication/Registration/IsDemoMode Habilita ou desabilita um sinalizador de modo de demonstração para uso apenas em ambientes de desenvolvimento ou demonstração. Não habilite essas configurações nos ambientes de produção. Para o modo de demonstração, é necessário que o navegador da Web seja executado localmente no servidor de aplicativos Web. Quando o modo de demonstração é habilitado, o código de redefinição de senha e o código de segundo fator são exibidos ao usuário para acesso rápido. Padrão: Falso
Authentication/Registration/LoginButtonAuthenticationType Se um site exigir um único provedor de identidade externo para lidar com toda a autenticação, essa configuração permite que o botão Entrar seja vinculado diretamente à página de entrada do provedor, em vez do formulário de entrada local intermediário e identidade página de seleção de provedor. Apenas um único provedor de identidade pode ser selecionado para esta ação. Especifique o AuthenticationType do provedor.
- Para uma configuração de logon único que usa o OpenId Connect, como acontece com o uso do Azure AD B2C, o usuário precisa fornecer a autoridade.
- Para provedores baseados em OAuth 2.0, os valores aceitos são: Facebook, Google, Yahoo, Microsoft, LinkedIn ou Twitter.
- Para provedores baseados em WS-Federation, use o valor especificado para as configurações do site Authentication/WsFederation/ADFS/AuthenticationType e Authentication/WsFederation/Azure/\<provider\>/AuthenticationType.

Habilitar ou desabilitar registro do usuário

A tabela a seguir descreve as configurações para habilitar e desabilitar as opções de registro (inscrição) do usuário.

Nome da configuração do site Descrição
Authentication/Registration/Enabled Habilita ou desabilita todos os formulários de registro do usuário. Para ter efeito, o registro deve ser habilitado nas outras configurações desta seção. Padrão: Verdadeiro
Authentication/Registration/OpenRegistrationEnabled Habilita ou desabilita o formulário de registro de inscrição. O formulário de inscrição permite que qualquer visitante anônimo crie uma conta de usuário. Padrão: Verdadeiro
Authentication/Registration/InvitationEnabled Habilita ou desabilita o formulário de resgate do código de convite para registro de usuários que possuem um código de convite. Padrão: Verdadeiro
Authentication/Registration/CaptchaEnabled Habilita ou desabilita captcha na página de registro do usuário. Padrão: Falso
Esta configuração do site pode não estar disponível por padrão. Para habilitar o captcha, crie uma definição de local e defina seu valor como verdadeiro.

Certifique-se de que o endereço de email principal seja especificado para o usuário. Os usuários podem se registrar somente com o endereço de email principal (emailaddress1), não com o endereço secundário (emailaddress2) ou alternativo (emailaddress3) do registro do contato.

Validação de credencial de usuário

A tabela a seguir descreve as configurações para ajuste de parâmetros de validação de nome de usuário e senha. A validação ocorre quando usuários se inscrevem para uma nova conta local ou mudam uma senha.

Nome da configuração do site Descrição
Authentication/UserManager/PasswordValidator/EnforcePasswordPolicy Determina se a senha deve conter caracteres de três das seguintes categorias:
  • Letras maiúsculas de idiomas europeus (A a Z, com marcas diacríticas e caracteres gregos e cirílicos)
  • Letras minúsculas de idiomas europeus (a a z, s sharp, com marcas diacríticas e caracteres gregos e cirílicos)
  • Dígitos de base 10 (0 a 9)
  • Caracteres não alfanuméricos ou caracteres especiais
Padrão: Verdadeiro. Saiba mais sobre política de senha.
Authentication/UserManager/UserValidator/AllowOnlyAlphanumericUserNames Determina se apenas permite caracteres alfanuméricos para o nome do usuário. Padrão: Falso
Authentication/UserManager/UserValidator/RequireUniqueEmail Determina se um endereço de email exclusivo é necessário para validar o usuário. Padrão: Verdadeiro
Authentication/UserManager/PasswordValidator/RequiredLength Define o tamanho mínimo necessário da senha. Padrão: 8
Authentication/UserManager/PasswordValidator/RequireNonLetterOrDigit Determina se a senha exige um caractere especial. Padrão: Falso
Authentication/UserManager/PasswordValidator/RequireDigit Determina se a senha exige um número. Padrão: Falso
Authentication/UserManager/PasswordValidator/RequireLowercase Determina se a senha exige uma letra minúscula. Padrão: Falso
Authentication/UserManager/PasswordValidator/RequireUppercase Determina se a senha exige uma letra maiúscula. Padrão: Falso

Configurações de bloqueio de conta de usuário

A tabela a seguir descreve as configurações que definem como e quando uma conta é bloqueada para autenticação. Quando um determinado número de tentativas de senha malsucedidas é detectado em um curto período, a conta do usuário é bloqueada por um período. O usuário pode tentar novamente após o período de bloqueio.

Nome da configuração do site Descrição
Authentication/UserManager/UserLockoutEnabledByDefault Indica se o bloqueio de usuário está habilitado quando usuários são criados. Padrão: Verdadeiro
Authentication/UserManager/DefaultAccountLockoutTimeSpan Define a quantidade de tempo padrão de bloqueio de usuário após atingir o número máximo de tentativas com falhas. Padrão: 24:00:00 (1 dia)
Authentication/UserManager/MaxFailedAccessAttemptsBeforeLockout O número máximo de tentativas de entrada com falha permitido antes de um usuário ser bloqueado, se o bloqueio estiver habilitado. Padrão: 5

A tabela a seguir descreve configurações para modificar o comportamento do cookie de autenticação padrão, definida pela classe CookieAuthenticationOptions.

Nome da configuração do site Descrição
Authentication/ApplicationCookie/AuthenticationType Define o tipo de cookie de autenticação do aplicativo. Padrão: ApplicationCookie
Authentication/ApplicationCookie/CookieName Determina o nome do cookie usado para persistir a identidade. Padrão: .AspNet.Cookies
Authentication/ApplicationCookie/CookieDomain Determina o domínio usado para criar o cookie.
Authentication/ApplicationCookie/CookiePath Determina o caminho usado para criar o cookie. Padrão: /
Authentication/ApplicationCookie/CookieHttpOnly Determina se o navegador deve permitir que o cookie seja acessado pela JavaScript do cliente. Padrão: Verdadeiro
Authentication/ApplicationCookie/CookieSecure Determina se o cookie somente deve ser transmitido na solicitação HTTPS. Padrão: SameAsRequest
Authentication/ApplicationCookie/ExpireTimeSpan Controla quanto tempo o cookie do aplicativo permanece válido no momento que é criado. Padrão: 24:00:00 (1 dia)
Authentication/ApplicationCookie/SlidingExpiration Instrui o middleware a reemitir um novo cookie com um novo tempo de expiração, sempre que ele processar uma solicitação que esteja na metade da janela de expiração. Padrão: Verdadeiro
Authentication/ApplicationCookie/LoginPath Informa ao middleware que ele deve alterar um código de status de saída 401 Não autorizado para um redirecionamento 302 para o caminho de entrada fornecido. Padrão: /signin
Authentication/ApplicationCookie/LogoutPath Se o caminho de saída for fornecido no middleware, uma solicitação para esse caminho é redirecionada com base em ReturnUrlParameter.
Authentication/ApplicationCookie/ReturnUrlParameter Determina o nome do parâmetro da string de consulta que é anexado pelo middleware quando um código de status 401 Não autorizado é alterado para um redirecionamento 302 no caminho de entrada.
Authentication/ApplicationCookie/SecurityStampValidator/ValidateInterval Define o período entre as validações do selo de segurança. Padrão: 30 minutos
Authentication/TwoFactorCookie/AuthenticationType Define o tipo de cookie de autenticação de dois fatores. Padrão: TwoFactorCookie
Authentication/TwoFactorCookie/ExpireTimeSpan Controla quanto tempo um cookie de dois fatores permanece válido a partir do momento que é criado. o valor não deve exceder seis minutos. Padrão: 5 minutos

Próximas etapas

Migrar provedores de identidade para o Azure AD B2C

Confira também

Visão geral de autenticação no Power Pages
Configurar um provedor OAuth 2.0
Configurar um provedor OpenID Connect
Configurar um provedor SAML 2.0
Configurar um provedor do Web Services Federation