Autenticazione degli utenti
Azure CycleCloud offre quattro metodi di autenticazione: un database predefinito con crittografia, Active Directory, LDAP o Entra ID. Per selezionare e configurare il metodo di autenticazione, aprire la pagina Impostazioni dal menu Amministrazione (in alto a destra della schermata) e fare doppio clic su Autenticazione. Scegliere il metodo di autenticazione preferito e seguire le istruzioni seguenti.
Built-In
Per impostazione predefinita, CycleCloud usa uno schema di autorizzazione di database semplice. Le password vengono crittografate e archiviate nel database e gli utenti eseguono l'autenticazione con il nome utente e la password archiviati. Per selezionare questo metodo, fare clic sulla casella di controllo per Built-In nella pagina Autenticazione.
È possibile testare le credenziali di un utente immettendo il nome utente e la password e quindi facendo clic su Test per verificare le informazioni.
Active Directory
Attenzione
È possibile bloccare l'istanza di CycleCloud quando si passa dall'autenticazione locale ad AD, LDAP o Entra ID. L'accesso verrà concesso agli utenti che dispongono di un account locale e possono eseguire l'autenticazione nel server configurato (le password locali verranno ignorate). Le istruzioni seguenti fanno sforzo per proteggere il blocco.
- Fare clic sulla casella di controllo per abilitare Active Directory.
- Immettere l'URL per il server Active Directory (a partire da ldap:// o ldaps://)
- Immettere il dominio predefinito sotto forma di "DOMAIN" o "@domain.com" a seconda che gli utenti eseguano l'autenticazione con nomi come "DOMAIN\user" o "user@domain.com" (UPN). Se questo campo è vuoto, gli utenti devono immettere il nome completo.
- Fare clic su Test per assicurarsi che CycleCloud possa usare le impostazioni specificate. Usare un account esistente nel server di autenticazione.
- In una finestra separata del browser o in incognito accedere come account di dominio aggiunto nel passaggio 2.
- Se l'account di accesso nel passaggio 4 ha esito positivo, è possibile disconnettersi dalla prima sessione. L'autenticazione è configurata correttamente.
L'esempio precedente mostra una configurazione di esempio per un ambiente Active Directory. Gli utenti di Windows accedono come ESEMPIO\nome utente, quindi "EXAMPLE" viene immesso come dominio. L'autenticazione viene gestita dal server ad.example.com, quindi ldaps://ad.example.com viene immessa come URL.
Nota
Dopo un tentativo di autenticazione non riuscito, il messaggio "Autenticazione non riuscita" potrebbe comunque essere visualizzato nella finestra Impostazioni di autenticazione . Fare clic su Annulla e ricominciare cancella questo messaggio. L'autenticazione riuscita sostituirà il messaggio "Autenticazione non riuscita" con "Autenticazione riuscita".
LDAP
- Fare clic sulla casella di controllo per abilitare l'autenticazione LDAP.
- Immettere le impostazioni LDAP appropriate.
- Fare clic su "Test" per assicurarsi che CycleCloud possa usare le impostazioni specificate. Usare un account esistente nel server di autenticazione.
- In una finestra separata del browser o in incognito accedere come account di dominio aggiunto nel passaggio 2.
- Se l'account di accesso nel passaggio 4 ha esito positivo, è possibile disconnettersi dalla prima sessione. L'autenticazione è configurata correttamente.
ID entra (ANTEPRIMA)
Configurazione di CycleCloud per l'autenticazione e l'autorizzazione di Entra
Nota
È prima necessario creare un'applicazione Microsoft Entra. Se non ne è ancora stato creato uno, crearne uno ora
Configurazione GUI
Per abilitare l'autenticazione di Entra ID:
- Avviare Cyclecloud e quindi passare a Impostazioni nell'angolo superiore destro
- Selezionare la riga della tabella denominata Autenticazionee fare doppio clic sulla riga. Nella finestra di dialogo popup selezionare la sezione Entra ID .
- Verrà quindi visualizzata una finestra con tre sezioni. Restare nella sezione Entra ID .
- Selezionare la casella di controllo Abilita autenticazione ENTRA ID .
- Trovare la pagina Panoramica per l'applicazione Microsoft Entra nel portale di Azure e compilare l'ID tenant e l'ID client in base a tali valori.
- Per impostazione predefinita, l'endpoint è impostato su https://login.microsoftonline.com (endpoint pubblico). Tuttavia, è anche possibile impostare un endpoint personalizzato, ad esempio uno per un ambiente cloud per enti pubblici.
- Premere Salva per salvare le modifiche.
Configurazione dell'accesso ai nodi del cluster
La funzionalità Gestione utenti CycleCloud per i cluster Linux richiede una chiave pubblica SSH per gli utenti con accesso ai nodi del cluster. Quando è abilitata l'autenticazione e l'autorizzazione di Entra ID, gli utenti devono accedere almeno una volta al record dell'account utente e quindi modificare il profilo per aggiungere la chiave SSH pubblica.
CycleCloud genera automaticamente un UID e GID per gli utenti. Tuttavia, se un cluster accederà alle risorse di archiviazione persistenti, potrebbe essere necessario che un amministratore impostasse l'UID/GID per gli utenti in modo esplicito per corrispondere agli utenti esistenti nel file system.
Questi aggiornamenti del profilo utente possono essere eseguiti anche pre-creazione di record utente come alternativa all'operazione GUI. Per altre informazioni, vedere Gestione utenti .
Uso dell'autenticazione di Entra ID con CycleCloud
Un tentativo di autenticazione con CycleCloud con Entra ID include gli scenari supportati seguenti:
- L'autenticazione ha sempre reimpostato i ruoli utente in modo che corrispondano a quelli configurati in Entra ID. Si noti che, poiché la durata predefinita di un token di accesso è un'ora, potrebbe essere necessario disconnettersi e accedere nuovamente per impostare i nuovi ruoli.
- Se l'utente che si esegue l'autenticazione come è stato creato in precedenza, è possibile che l'ID tenant e l'ID oggetto non siano impostati su nulla prima del primo account di accesso. Verrà visualizzato un messaggio di avviso che passa ai log e questi valori vengono impostati per corrispondere a quelli provenienti dal token Entra ID.
- Se per qualsiasi motivo l'ID oggetto e/o l'ID tenant non corrispondono a quelli nel token di accesso, viene considerato come errore di autenticazione. Il record utente precedente deve essere rimosso manualmente prima che l'utente possa eseguire l'autenticazione.
- Se si blocca l'account Super User dimenticando di crearne uno che può essere autenticato usando l'ID Entra, è possibile disabilitare l'autenticazione di Entra ID tramite la console eseguendo
./cycle_server reset_access
- Gli utenti creati tramite l'autenticazione di Entra ID non dispongono di chiavi SSH pubbliche configurate per impostazione predefinita, quindi è necessario configurarli manualmente per usare Gestione utenti nei nodi.
Criteri password
Azure CycleCloud dispone di criteri e misure di sicurezza integrate per la password. Gli account creati usando il metodo di autenticazione predefinito devono avere password comprese tra 8 e 123 caratteri e soddisfano almeno 3 delle seguenti 4 condizioni:
- Contenere almeno una lettera maiuscola
- Contenere almeno una lettera minuscola
- Contenere almeno un numero
- Contenere almeno un carattere speciale: @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? ~ " ( ) ;
Gli amministratori possono richiedere agli utenti di aggiornare le password per seguire i nuovi criteri selezionando la casella "Forza modifica password su Accesso successivo" nella schermata Modifica account .
Blocco di sicurezza
Qualsiasi account che rileva 5 errori di autorizzazione entro 60 secondi l'uno dall'altro verrà bloccato automaticamente per 5 minuti. Gli account possono essere sbloccati manualmente da un amministratore o semplicemente aspettando i cinque minuti.