Partilhar via


Autenticação local, registo e outras definições

Nota

A partir de 12 de outubro de 2022, os portais do Power Apps passam a ser Power Pages. Mais informações: O Microsoft Power Pages está agora em disponibilidade geral (blogue)
Em breve, vamos migrar e unir a documentação dos portais do Power Apps com a documentação do Power Pages.

Importante

As funcionalidades do portal fornecem a funcionalidade de autenticação incorporada na ASP.NET Identidade do API. Por sua vez, a Identidade do ASP.NET está incorporada na arquitetura OWIN que também é um componente importante do sistema de autenticação. Os serviços fornecidos incluem:

  • Início de sessão de utilizador local (nome de utilizador/palavra-passe)
  • Início de sessão de utilizador externo (fornecedor de redes sociais) através de fornecedores de identidade de terceiros
  • Autenticação de dois fatores com e-mail
  • Confirmação do endereço de e-mail
  • Recuperação de palavras-passe
  • Inscrição de códigos de convite para registar registos de contacto pré-preenchidos

Nota

O campo Número do Telemóvel Confirmado no formulário Contacto do Portal da tabela Contacto atualmente não tem função. Este campo tem de ser utilizado apenas ao atualizar a partir do Adxstudio Portals.

Requisitos

Os portais requerem:

  • Portal de Base
  • Identidade Microsoft
  • Pacotes de soluções Microsoft Identity Workflows

Descrição geral da autenticação

Os visitantes do portal que regressam podem autenticar-se através das credenciais de utilizador local ou das contas de fornecedor de identidades externas. Um novo visitante pode registar-se numa nova conta de utilizador ao fornecer um nome de utilizador e palavra-passe ou ao iniciar sessão através de um fornecedor externo. Os visitantes que recebam um código de convite do administrador do portal têm a opção de resgatar o código no processo de inscrição para obter uma nova conta de utilizador.

Definições do site relacionadas:

  • Authentication/Registration/Enabled
  • Authentication/Registration/LocalLoginEnabled
  • Authentication/Registration/ExternalLoginEnabled
  • Authentication/Registration/OpenRegistrationEnabled
  • Authentication/Registration/InvitationEnabled
  • Authentication/Registration/RememberMeEnabled
  • Authentication/Registration/ResetPasswordEnabled

Iniciar sessão utilizando uma identidade local ou identidade externa

A imagem a seguir mostra uma opção de início de sessão com a utilização de uma conta local ou selecionando um fornecedor de identidade externo.

Inicie sessão utilizando uma conta local.

Iniciar sessão utilizando uma identidade local ou identidade externa

A imagem a seguir mostra um ecrã de início de sessão para se registar usando uma conta local ou selecionando um fornecedor de identidade externo.

Registar para uma nova conta local.

Resgatar um código de convite manualmente

A imagem a seguir mostra a opção de resgatar um convite usando o código de convite.

Inscrever-se com um código de convite.

Palavra-passe esquecida ou repor a palavra-passe

Os visitantes que regressam que precisem de repor uma palavra-passe (e que especificaram anteriormente um endereço de e-mail no respetivo perfil de utilizador) podem pedir um token de reposição de palavra-passe para a respetiva conta de e-mail. Um token de reposição permite ao proprietário escolher uma nova palavra-passe. O token também pode ser abandonado e deixar a palavra-passe original do utilizador por modificar.

Definições do site relacionadas:

  • Authentication/Registration/ResetPasswordEnabled
  • Authentication/Registration/ResetPasswordRequiresConfirmedEmail

Processo relacionado: Enviar uma reposição de palavra-passe para um contacto

  1. Personalize o e-mail no fluxo de trabalho conforme for necessário.
  2. Submeter o e-mail para processo de invocação.
  3. É solicitado ao visitante que consulte o e-mail.
  4. O visitante recebe o e-mail de redefinição da palavra-passe com instruções.
  5. O visitante regressa ao formulário de reposição.
  6. A reposição da palavra-passe está concluída.

Resgatar um convite

O resgate de um código de convite permite que um visitante a efetuar o registo seja associado a um registo de contacto existente que tenha sido preparado antecipadamente especificamente para esse visitante. Normalmente, os códigos de convite são enviados por e-mail, mas pode utilizar um formulário de submissão de códigos geral para enviar os códigos através de outros canais. Depois de submetido um código de convite válido, o processo normal de registo (inscrição) de utilizador normal decorre para configurar a nova conta de utilizador.

Definição do site relacionada:

Authentication/Registration/InvitationEnabled

Processo relacionado: Enviar convite

O e-mail enviado por este fluxo de trabalho tem de ser personalizado utilizando o URL para a página de convite de resgate no portal: https://portal.contoso.com/register/?returnurl=%2f&invitation={Invitation Code(Invitation)}

  1. Criar um convite para um novo contacto.

    Criar um convite para um novo contacto.

  2. Personalizar e guardar o novo convite.

    Personalizar um novo convite.

  3. Personalize o e-mail do convite.

  4. Processar o fluxo de trabalho de Enviar convite.

  5. O e-mail do convite abre a página de resgate.

  6. O utilizador inscreve-se utilizando o código de convite submetido.

    Inscrever-se com um código de convite.

Registo desativado

Se o registo estiver desativado para um utilizador após este ter resgatado um convite, poderá apresentar uma mensagem utilizando o seguinte fragmento de conteúdo:

Nome: Conta/Registo/RegistrationDisabledMessage

Valor: O registo foi desativado.

Gerir contas de utilizador através de páginas de perfil

Os utilizadores autenticados gerem as respetivas contas de utilizador através da barra de navegação Segurança da página de perfil. Os utilizadores não estão limitados à conta local individual ou à conta externa individual escolhida no momento do registo do utilizador. Os utilizadores que tiverem uma conta externa podem optar por criar uma conta local ao aplicar um nome de utilizador e palavra-passe. Os utilizadores que começaram com uma conta local podem optar por associar várias identidades externas à respetiva conta. A página de perfil é também onde o utilizador é lembrado para confirmar o respetivo endereço de e-mail ao pedir para ser enviado um e-mail de confirmação para a respetiva conta de e-mail.

Definições do site relacionadas:

  • Authentication/Registration/LocalLoginEnabled
  • Authentication/Registration/ExternalLoginEnabled
  • Authentication/Registration/TwoFactorEnabled

Definir ou alterar uma palavra-passe

Um utilizador que tenha uma conta local existente pode aplicar uma nova palavra-passe ao fornecer a palavra-passe original. Um utilizador que não tenha uma conta local pode escolher um nome de utilizador e palavra-passe para configurar uma nova conta local. O nome de utilizador não pode ser alterado depois de definido.

Definição do site relacionada:

Authentication/Registration/LocalLoginEnabled

Processos relacionados:

  • Criar um nome de utilizador e palavra-passe.
  • Alterar uma palavra-passe existente.

Nota

Os fluxos de tarefas acima referidos só funcionam quando invocados num contacto através da aplicação Gestão do portal. Estes fluxos de tarefas não são afetados pela próxima desvalorização dos fluxos de tarefas.

Confirmar um endereço de correio eletrónico

Ao alterar um e-mail (ou ao defini-lo pela primeira vez) coloca-o num estado não confirmado. O utilizador pode pedir para ser enviado um e-mail de confirmação para o respetivo novo endereço com as instruções para o utilizador para concluir o processo de confirmação de e-mail.

Processo relacionado: Enviar uma confirmação por e-mail para um contacto

  1. Personalize o e-mail no fluxo de trabalho conforme for necessário.
  2. O utilizador submete um novo e-mail, que está num estado não confirmado.
  3. O utilizador consulta o e-mail para confirmação.
  4. Personalize o e-mail de confirmação.
  5. Processar o fluxo de trabalho de Enviar uma confirmação por e-mail para um contacto.
  6. O utilizador seleciona a ligação de confirmação para concluir o processo de confirmação.

Nota

Certifique-se de que especificou um e-mail para o contacto, uma vez que o e-mail de confirmação é enviado apenas para o e-mail principal (emailaddress1) do contacto. O e-mail de confirmação não é enviado para o e-mail secundário (emailaddress2) ou e-mail alternativo (emailaddress3) nos registos do contacto.

Ativar a autenticação de dois fatores

A funcionalidade de autenticação de dois fatores aumenta a segurança da conta de utilizador ao exigir uma prova de propriedade de um e-mail confirmado, além do início de sessão na conta local ou externa padrão. Um utilizador que tenta iniciar sessão numa conta com a autenticação de fatores ativada recebe um código de segurança no e-mail confirmado associado à respetiva conta. O código de segurança tem de ser submetido para concluir o processo de início de sessão. Um utilizador pode optar por memorizar o browser que passa com êxito a validação para o código de segurança não ser necessário no próximo início de sessão com o mesmo browser. Cada conta de utilizador ativa esta funcionalidade individualmente e requer um e-mail confirmado.

Aviso

Se criar e ativar a definição do site Authentication/Registration/MobilePhoneEnabled para ativar a funcionalidade legada, ocorrerá um erro. Esta configuração do site não é fornecida fora da caixa e não é suportada por portais.

Definições do site relacionadas:

  • Authentication/Registration/TwoFactorEnabled
  • Authentication/Registration/RememberBrowserEnabled

Processo relacionado: Enviar código de dois fatores de e-mail com para um contacto

  1. Ative a autenticação de dois fatores.
  2. Opte por receber o código de segurança por e-mail.
  3. Aguarde pelo e-mail que contém o código de segurança.
  4. Processar Enviar E-mail com Código de Dois Fatores para o Contacto. fluxo de trabalho.
  5. A autenticação de dois fatores pode ser desativada.

Gerir contas externas

Um utilizador autenticado poderá ligar (registar) várias identidades externas para a sua conta de utilizador a partir de cada fornecedor de identidade configurado. Após as entidades estarem ligadas, o utilizador poderá optar por iniciar sessão com qualquer uma das identidades ligadas. As identidades existentes também podem ser desligadas, desde que a identidade externa local permaneça.

Definição do site relacionada:

  • Authentication/Registration/ExternalLoginEnabled

Definições de site de fornecedor de identidade externo

  1. Selecione um fornecedor ao qual associar a sua conta de utilizador.

    Gerir contas externas.

  2. Inicie sessão utilizando o fornecedor que pretende ligar.

O fornecedor está agora ligado. O fornecedor também pode ser desligado.

Ativar a autenticação da identidade do ASP.NET

A tabela que se segue descreve as definições para ativar e desativar vários comportamentos e funcionalidades de autenticação:

Nome de definição do site Descrição
Autenticação/Registo/LocalLoginEnabled Ativa ou desativa o início de sessão na conta local com base num nome de utilizador (ou e-mail) e palavra-passe. Predefinição: true
Autenticação/Registo/LocalLoginByEmail Ativa ou desativa o início de sessão na conta local utilizando o campo endereço de e-mail em vez de um campo de nome de utilizador. Predefinição: false
Autenticação/Registo/ExternalLoginEnabled Ativa ou desativa o registo e o início de sessão na conta externa. Predefinição: true
Autenticação/Registo/RememberMeEnabled Seleciona ou desmarca uma caixa de verificação Lembrar-me? no início de sessão local para permitir sessões autenticadas persistentes, mesmo quando o browser está fechado. Predefinição: true
Autenticação/Registo/TwoFactorEnabled Ativa ou desativa a opção para os utilizadores ativarem a autenticação de dois fatores. Os utilizadores com um endereço de e-mail confirmado podem optar pela segurança adicional da autenticação de dois fatores. Predefinição: false
Autenticação/Registo/RememberBrowserEnabled Seleciona ou desmarca uma caixa de verificação Memorizar browser? na validação do segundo fator (código por e-mail) para persistir a validação do segundo fator no browser atual. O utilizador não terá de passar a validação do segundo fator nos seus inícios de sessão subsequentes, desde que esteja a ser utilizado o mesmo browser. Predefinição: true
Autenticação/Registo/ResetPasswordEnabled Ativa ou desativa a funcionalidade de reposição da palavra-passe. Predefinição: true
Autenticação/Registo/ResetPasswordRequiresConfirmedEmail Ativa ou desativa a reposição da palavra-passe apenas para endereços de e-mail. Se ativado, os endereços de e-mail não confirmados não poderão ser utilizados para enviar instruções de reposição de palavra-passe. Predefinição: false
Autenticação/Registo/TriggerLockoutOnFailedPassword Ativa ou desativa o registo das tentativas de palavra-passe falhadas. Se desativado, as contas de utilizador não serão bloqueadas. Predefinição: verdadeiro
Autenticação/Registo/IsDemoMode Ativa ou desativa um sinalizador de modo de demonstração a utilizar apenas em ambientes de desenvolvimento ou demonstração. Não ative esta definição nos ambientes de produção. O modo de demonstração também exige que o browser esteja em execução localmente no servidor de aplicações Web. Quando o modo de demonstração é ativado, o código de reposição de palavra-passe e o código do segundo fator são apresentados ao utilizador para acesso rápido. Predefinição: false
Autenticação/Registo/LoginButtonAuthenticationType Se um portal necessitar apenas de um único fornecedor de identidade externo (para processar toda a autenticação), isto permite que o botão Iniciar Sessão da barra de navegação do cabeçalho esteja ligado diretamente à página de início de sessão desse fornecedor de identidade externo (em vez de ligar ao formulário de início de sessão local intermédio ou a página de seleção do fornecedor de identidade). Só pode ser selecionado um fornecedor de identidade para esta ação. Especifique o valor AuthenticationType do fornecedor.
Para uma configuração de início de sessão único utilizando OpenID Connect, como utilizar o Azure AD B2C, o utilizador tem de fornecer a Autoridade.
Para os fornecedores baseados em OAuth 2.0–os valores aceites são: Facebook, Google, Yahoo, Microsoft, LinkedIn ou Twitter
Para os fornecedores baseados em WS-Federation–os fornecedores utilizam o valor especificado para as definições de site Authentication/WsFederation/ADFS/AuthenticationType e Authentication/WsFederation/Azure/[provider]/AuthenticationType.
Exemplos: https://adfs.contoso.com/adfs/services/trust, Facebook-0123456789, Google, Yahoo!, uri:WindowsLiveID.

Ativar ou desativar o registo de utilizador

Em seguida, são descritas as definições para ativar e desativar as opções de registo (inscrição).

Nome de definição do site Descrição
Autenticação/Registo/Ativado Ativa ou desativa todos os formulários de registo de utilizador. O registo tem de ser ativado para as outras definições nesta secção para produzir efeitos. Predefinição: true
Autenticação/Registo/OpenRegistrationEnabled Ativa ou desativa o formulário de registo para criar todos os tipos de utilizadores. O formulário de inscrição permite a qualquer visitante anónimo do portal criar uma nova conta de utilizador. Predefinição: true
Autenticação/Registo/InvitationEnabled Ativa ou desativa o formulário de resgate do código do convite para registar os utilizadores que têm códigos de convite. Predefinição: true
Autenticação/Registo/CaptchaEnabled Ativa ou desativa captcha na página de registo do utilizador. Predefinição: false
NOTA:
- Esta definição do site pode não estar disponível por predefinição. Para ativar captcha, tem de criar a definição do site e definir o respetivo valor como verdadeiro.

Nota

Certifique-se de que definiu uma e-mail principal para o utilizador, uma vez que o registo é efetuado utilizando o e-mail principal (emailaddress1) do utilizador. O utilizador não pode ser registado através do e-mail secundário (emailaddress2) ou o e-mail alternativo (emailaddress3) no registo do contacto.

Validação de credenciais de utilizador

Em seguida, são descritas as definições para ajustar os parâmetros de validação de nome de utilizador e palavra-passe. A validação ocorre quando os utilizadores se inscrevem numa nova conta local ou alteram uma palavra-passe.

Nome de definição do site Descrição
Autenticação/UserManager/PasswordValidator/EnforcePasswordPolicy Determina se a palavra-passe contém caracteres de três das seguintes categorias:
  • Letras em maiúsculas de idiomas europeus (A - Z, com marcas diacríticas, carateres gregos e cirílicos)
  • Letras em minúsculas de idiomas europeus (a - z, com marcas diacríticas, ess-zett alemão, carateres gregos e cirílicos)
  • Dígitos de base 10 (0 - 9)
  • Carateres não alfanuméricos (carateres especiais) (por exemplo, !, $, #, %)
Predefinição: true. Mais informações: Política de palavras-passe.
Autenticação/UserManager/UserValidator/AllowOnlyAlphanumericUserNames Determina se permitir apenas carateres alfanuméricos para o nome de utilizador.
Predefinição: false
Autenticação/UserManager/UserValidator/RequireUniqueEmail Determina se um e-mail exclusivo é necessário para validar o utilizador.
Predefinição: true
Autenticação/UserManager/PasswordValidator/RequiredLength O comprimento mínimo obrigatório da palavra-passe.
Predefinição: 8
Autenticação/UserManager/PasswordValidator/RequireNonLetterOrDigit Determina se a palavra-passe exige um caráter de dígito ou diferente de letra.
Predefinição: false
Autenticação/UserManager/PasswordValidator/RequireDigit Determina se a palavra-passe exigir um dígito (de 0 a 9).
Predefinição: false
Autenticação/UserManager/PasswordValidator/RequireLowercase Determina se a palavra-passe exigir uma letra minúscula (de a a z).
Predefinição: false
Autenticação/UserManager/PasswordValidator/RequireUppercase Determina se a palavra-passe exigir uma letra maiúscula (de A a Z).
Predefinição: false

Definições de bloqueio da conta de utilizador

Em seguida, são descritas as definições que definem como e quando uma conta fica bloqueada da autenticação. Quando é detetado um determinado número de tentativas de palavra-passe falhadas num curto intervalo de tempo, a conta de utilizador é bloqueada por um determinado período de tempo. O utilizador pode tentar novamente depois de decorrido o período de bloqueio.

Nome de definição do site Descrição
Autenticação/UserManager/UserLockoutEnabledByDefault Indica se o bloqueio do utilizador está ativado quando os utilizadores são criados.
Predefinição: true
Autenticação/UserManager/DefaultAccountLockoutTimeSpan O período predefinido de tempo que um utilizador é bloqueado depois de atingir Autenticação/UserManager/MaxFailedAccessAttemptsBeforeLockout.
Predefinição: 24:00:00 (1 dia)
Autenticação/UserManager/MaxFailedAccessAttemptsBeforeLockout O número máximo de tentativas de acesso permitido antes de um utilizador ser bloqueado (se o bloqueio estiver ativado).
Predefinição: 5

Definições do local de autenticação de cookies

O seguinte descreve as definições para modificar o comportamento de cookies de autenticação predefinido, definidos pela classe CookieAuthenticationOptions.

Nome de definição do site Descrição
Authentication/ApplicationCookie/AuthenticationType O tipo do cookie de autenticação da aplicação.
Predefinição: ApplicationCookie
Authentication/ApplicationCookie/CookieName Determina o nome do cookie utilizado para persistir a identidade.
Predefinição: .AspNet.Cookies
Authentication/ApplicationCookie/CookieDomain Determina o domínio utilizado para criar o cookie.
Authentication/ApplicationCookie/CookiePath Determina o caminho utilizado para criar o cookie.
Predefinição: /
Authentication/ApplicationCookie/CookieHttpOnly Determina se o browser deve permitir que o cookie seja acedido pelo JavaScript do lado do cliente.
Predefinição: true
Authentication/ApplicationCookie/CookieSecure Determina se o cookie só deve ser transmitido por pedido HTTPS.
Predefinição: SameAsRequest
Autenticação/ApplicationCookie/ExpireTimeSpan Controla quanto tempo o cookie da aplicação permanecerá válido a partir do momento em que é criado.
Predefinição: 24:00:00 (1 dia)
Authentication/ApplicationCookie/SlidingExpiration O SlidingExpiration é definido como verdadeiro para instruir o middleware a tornar a emitir um novo cookie com um novo tempo de expiração sempre que processar um pedido que esteja a meio do período de expiração.
Predefinição: true
Authentication/ApplicationCookie/LoginPath A propriedade LoginPath informa o middleware que deve alterar um código de estado 401 Não autorizado de saída para um redirecionamento 302 no caminho de início de sessão fornecido.
Predefinição: /signin
Authentication/ApplicationCookie/LogoutPath Se o percurso de fecho de sessão for fornecido com o middleware, um pedido para esse caminho será redirecionado com base no ReturnUrlParameter.
Authentication/ApplicationCookie/ReturnUrlParameter O ReturnUrlParameter determina o nome do parâmetro da cadeia de consulta que é anexado pelo middleware quando um código de estado 401 Não autorizado é alterado para um redirecionamento 302 no caminho de início de sessão.
Authentication/ApplicationCookie/SecurityStampValidator/ValidateInterval O período de tempo entre as validações do carimbo de segurança.
Predefinição: 30 minutos
Authentication/TwoFactorCookie/AuthenticationType O tipo de cookie de autenticação de dois fatores.
Predefinição: TwoFactorCookie
Authentication/TwoFactorCookie/ExpireTimeSpan Controla quanto tempo um cookie de dois fatores permanecerá válido a partir do momento em que foi criado. O valor não deve exceder os 6 minutos.
Predefinição: 5 minutos

Passos seguintes

Migrar fornecedores de identidade para o Azure AD B2C

Consulte também

Descrição geral da autenticação em portais Power Apps
Configurar um fornecedor OAuth 2.0 para portais
Configurar um fornecedor Open ID Connect para portais
Configurar um fornecedor SAML 2.0 para portais
Configurar um fornecedor de WS-Federation para portais
Definições de autenticação dos portais do Power Apps

Nota

Pode indicar-nos as suas preferências no que se refere ao idioma da documentação? Responda a um breve inquérito. (tenha em atenção que o inquérito está em inglês)

O inquérito irá demorar cerca de sete minutos. Não são recolhidos dados pessoais (declaração de privacidade).