ユーザー認証

Azure CycleCloud には、暗号化、Active Directory、LDAP、Entra ID を使用した組み込みデータベースの 4 つの認証方法が用意されています。 認証方法を選択して設定するには、[管理] メニュー (画面の右上) から [設定] ページを開き、[ 認証] をダブルクリックします。 好みの認証方法を選択し、次の手順に従います。

組み込み

既定では、CycleCloud は単純なデータベース承認スキームを使用します。 パスワードは暗号化され、データベースに格納され、ユーザーは保存されたユーザー名とパスワードに対して認証されます。 この方法を選択するには、[認証] ページの Built-In のチェック ボックスをオンにします。

ユーザー名とパスワードを入力し、[テスト] をクリックして情報を確認することで、ユーザーの資格情報を テスト できます。

Active Directory

注意事項

ローカルから AD、LDAP、または Entra ID 認証に変更するときに、CycleCloud インスタンスから自分自身をロックアウトすることができます。 アクセス権は、ローカル アカウントを持ち、構成されたサーバーに対して認証できるユーザーに付与されます (ローカル パスワードは無視されます)。 以下の手順では、ロックアウトを防ぐために取り組みます。

1. Active Directory を有効にするには、このチェック ボックスをオンにします。
2. Active Directory サーバーの URL を入力します ( ldap:// または ldaps:// 以降)
3. ユーザーが "DOMAIN\user" や "user@domain.com" (UPN) などの名前で認証するかどうかに応じて、既定のドメインを "DOMAIN" または "@domain.com" の形式で入力します。 このフィールドを空白のままにした場合、ユーザーは完全修飾名を入力する必要があります。
4. [ テスト ] をクリックして、CycleCloud が指定された設定を使用できることを確認します。 認証サーバーに存在するアカウントを使用します。
5. 別のブラウザーまたはシークレット ウィンドウで、手順 2 で追加したドメイン アカウントとしてログインします。
6. 手順 4 のログインに成功した場合は、最初のセッションからログアウトできます。 認証が正しく構成されている。

上の例は、Active Directory 環境のサンプル構成を示しています。 Windows ユーザーは EXAMPLE\username としてログインするため、"EXAMPLE" はドメインとして入力されます。 認証はサーバー ad.example.com によって処理されるため、 ldaps://ad.example.com は URL として入力されます。

注

認証の試行が失敗した後も、[認証 の設定 ] ウィンドウに "認証に失敗しました" というメッセージが表示されることがあります。 [ キャンセル ] をクリックしてもう一度開始すると、このメッセージが消去されます。 認証に成功すると、"認証に失敗しました" というメッセージが "認証に成功しました" に置き換えられます。

LDAP

1. LDAP 認証を有効にするには、このチェック ボックスをオンにします。
2. 適切な LDAP 設定を入力します。
3. [テスト] をクリックして、CycleCloud が指定された設定を使用できることを確認します。 認証サーバーに存在するアカウントを使用します。
4. 別のブラウザーまたはシークレット ウィンドウで、手順 2 で追加したドメイン アカウントとしてログインします。
5. 手順 4 のログインに成功した場合は、最初のセッションからログアウトできます。 認証が正しく構成されている。

Entra ID (プレビュー)

Entra 認証と承認のための CycleCloud の構成

注

最初に Microsoft Entra アプリケーションを作成する必要があります。 まだ作成していない場合は、今すぐ作成します

GUI の構成

Entra ID 認証を有効にするには:

1. Cyclecloud を起動し、右上隅の [設定] に移動します
2. [認証] という名前のテーブル行を選択し、[構成] をクリックするか、行をダブルクリックします。 ポップアップ ダイアログで、[ Entra ID ] セクションを選択します。
3. 次に、3 つのセクションを含むウィンドウが表示されます。 Entra ID セクションに留まる。
4. [ Entra ID 認証を有効にする] チェック ボックスをオンにします。
5. Azure Portal で Microsoft Entra アプリケーションの [概要 ] ページを見つけて、それらの値に基づいてテナント ID とクライアント ID を入力します。
6. 既定では、エンドポイントは https://login.microsoftonline.com (パブリック エンドポイント) に設定されます。 ただし、政府機関向けのクラウド環境など、カスタム エンドポイントを設定することもできます。
7. [保存] をクリックして変更を保存します。

クラスター ノードへのアクセスの構成

Linux クラスターの CycleCloud ユーザー管理機能には、クラスター ノードへのログイン アクセス権を持つユーザーの SSH 公開キーが必要です。 Entra ID の認証と承認が有効になっている場合、ユーザーは少なくとも 1 回 CycleCloud にログインしてユーザー アカウント レコードを初期化し、プロファイルを編集して公開 SSH キーを追加する必要があります。

CycleCloud は、ユーザーの UID と GID を自動生成します。 ただし、クラスターが永続的なストレージ リソースにアクセスする場合は、管理者がユーザーがファイルシステム上の既存のユーザーと明示的に一致するように UID/GID を設定することが必要になる場合があります。

これらのユーザー プロファイルの更新は、GUI 操作の代わりにユーザー レコードを事前に作成することによっても実行できます。 詳細については、「 ユーザー管理 」を参照してください。

CycleCloud での Entra ID 認証の使用

Entra ID を使用して CycleCloud で認証しようとすると、次のシナリオがサポートされます。

1. 認証が成功すると、Entra ID で設定されたものと一致するようにユーザー ロールが常にリセットされます。 アクセス トークンの既定の有効期間は 1 時間であるため、新しいロールを設定するには、ログアウトして再度ログインする必要がある場合があります。
2. 認証するユーザーが事前に作成されている場合、テナント ID とオブジェクト ID が最初のログインの前に何も設定されない可能性があります。 これにより、ログに警告メッセージが送信され、これらの値が Entra ID トークンから送信される値と一致するように設定されます。
3. 何らかの理由でオブジェクト ID やテナント ID がアクセス トークン内のオブジェクト ID と一致しない場合は、認証エラーとして扱われます。 このユーザーを認証するには、古いユーザー レコードを手動で削除する必要があります。
4. Entra ID を使用して認証できるアカウントを作成することを忘れてスーパー ユーザー アカウントからロックアウトした場合は、コンソールで Entra ID 認証を無効にすることができます。 ./cycle_server reset_access
5. Entra ID 認証を使用して作成されたユーザーには、既定で公開 SSH キーが構成されていないため、ノードでユーザー管理を使用するように手動で構成する必要があります。

パスワード ポリシー

Azure CycleCloud には、統合されたパスワード ポリシーとセキュリティ対策があります。 組み込みの認証方法を使用して作成されたアカウントは、8 ~ 123 文字のパスワードを持ち、次の 4 つの条件のうち少なくとも 3 つを満たしている必要があります。

• 大文字を 1 文字以上含む
• 小文字を 1 文字以上含む
• 少なくとも 1 つの数値を含む
• 少なくとも1つの特殊文字を含めてください: @ # $ % ^ & * - _ ! + = [ ] { } |\ : ' , . ? ~ " ( ) ;

管理者は、[ アカウントの編集] 画面で [次のログイン時にパスワードの変更を強制する] ボックスを選択して、新しいポリシーに従うためにユーザーにパスワードの更新を要求できます。

セキュリティ ロックアウト

60 秒以内に 5 つの承認エラーを検出したアカウントは、自動的に 5 分間ロックされます。 アカウントは、管理者が手動でロック解除することも、5 分待つだけでロックを解除することもできます。