Criar registro de aplicativo entra para uso com CycleCloud (VERSÃO PRÉVIA)
Microsoft Entra ID é um serviço de gerenciamento de acesso e identidade baseado em nuvem que permite aos funcionários acesso a recursos externos. Se sua organização exigir o uso da ID do Entra, o CycleCloud fornecerá uma integração nativa à ID do Entra para gerenciamento, autorização e autenticação do usuário.
Observação
Os usuários autorizados para um determinado Registro de Aplicativo recebem o acesso atribuído e a Função para todas as instalações do CycleCloud que usam esse Registro de Aplicativo. Para separar usuários entre várias instalações do CycleCloud, crie um Aplicativo separado. Registro para cada CycleCloud.
Criando o registro do aplicativo CycleCloud
Observação
Se você estiver usando uma entidade de serviço para CycleCloud que foi gerada pela CLI, ela não terá um Aplicativo Enterprise associado necessário para a ID do Entra.
No Portal do Azure, clique no ícone Microsoft Entra ID no quadro de navegação ou digite "Microsoft Entra ID" na barra de pesquisa e selecione "Microsoft Entra ID" na categoria Serviços nos resultados.
Navegue até a guia Registros de aplicativo.
Escolha Novo registro no menu superior e configure seu aplicativo. Você não precisa definir o URI de redirecionamento agora mesmo
Na página Visão geral do aplicativo recém-criado, anote os campos ID do aplicativo (cliente) e ID do diretório (locatário) – você precisará deles posteriormente para configurar a autenticação entra no CycleCloud.
Na página Expor uma API do aplicativo, selecione Adicionar um escopo. Isso é necessário para expor o registro do aplicativo como uma API para a qual os Tokens de Acesso podem ser gerados. No pop-up, deixe o URI da ID do Aplicativo como o valor padrão, que deve se parecer com "api://{ClientID}".
Depois de clicar em Salvar e Continuar, você será solicitado a configurar o novo escopo. Insira "user_access" como o Nome do escopo, configure todos os outros campos da maneira desejada, mas não se esqueça de definir Estado como Habilitado. Depois de salvar o escopo, ele deverá aparecer na tabela Escopos
Navegue até a página Permissões de API e selecione Adicionar uma permissão. No menu Solicitar permissões de API , navegue até Minhas APIs e escolha o nome do aplicativo. Nela, escolha Permissões delegadas e selecione o escopo que você acabou de criar e, por fim, clique em Adicionar permissão. Sua nova permissão agora deve aparecer na tabela Permissões configuradas .
Na página Autenticação , selecione Adicionar uma plataforma e escolha Aplicativo de página única. Se você pretende usar a CLI do CycleCloud com a ID do Entra, também deve definir Permitir fluxos de cliente público parao menu de true
No menu Configurar aplicativo de página única, configureo URI de Redirecionamento como "https://{your_cyclecloud_IP_or_DOMAIN_NAME}/home". Você pode deixar o restante dos campos em branco.
Em Configurar menu de aplicativo de página única, configureo URI de Redirecionamento como "http://localhost". Esse URI é necessário. Confira Restrições e limitações de URI de redirecionamento (URL de resposta). Inclua também "https://{your_cyclecloud_IP_or_DOMAIN_NAME}/home" e "https://{your_cyclecloud_IP_or_DOMAIN_NAME}/login" como URLs de redirecionamento permitidas. Você pode deixar o restante dos campos em branco.
Se você quiser permitir que várias instalações do CycleCloud ou várias URIs do mesmo CycleCloud acessem esse Registro de Aplicativo, você pode configurar URIs adicionais na mesma página Autenticação – basta selecionar Adicionar URI para criar um campo, inserir o URI adicional no novo campo e clicar em Salvar.
Para permitir que a CLI do CycleCloud se autentique no novo Registro de Aplicativo, você também deve adicionar a plataforma de aplicativos móveis e da área de trabalho . Para fazer isso, retorne à página Autenticação , selecione Adicionar uma plataforma novamente. Selecione Aplicativos móveis e de área de trabalho no pop-up Configurar Área de Trabalho + Dispositivos , adicione um URI de Redirecionamento Personalizado com o valor "http://localhost".
Depois de clicar em Configurar, você também pode adicionar o URI para https://localhost
Em seguida, você pode adicionar as funções de usuário para o CycleCloud em Funções de aplicativo selecionando Criar função de aplicativo. Embora o campo Nome de exibição possa ser definido como qualquer coisa desejada, Value deve corresponder à função interna do CycleCloud para que isso funcione.
Observação
Como a ID do Entra não permite que as funções tenham espaços nelas e algumas das funções internas do CycleCloud incluem espaços (por exemplo, "Administrador de Cluster"), você deve substituir quaisquer espaços nos nomes de função definidos na ID do Entra por um ponto (por exemplo, "Data Administração" se tornará "Data.Administração") e renomeie todas as funções definidas no CycleCloud para não apresentar os ponto. As definições de função na ID do Entra não diferenciam maiúsculas de minúsculas.
No mínimo, adicione as seguintes funções:
Permissão de usuários para CycleCloud
- Depois de criar as funções do CycleCloud necessárias, você pode adicionar usuários e atribuir funções a eles. Para fazer isso, navegue até a página Aplicativo Empresarial do aplicativo. A maneira mais fácil de fazer isso é por meio de um link auxiliar localizado na página Funções de aplicativo
- Para adicionar um usuário e atribuir uma função, navegue até a página Usuários e grupos do Aplicativo Empresarial e selecione Adicionar usuário/grupo
- Na página Adicionar Atribuição , selecione um ou mais usuários e a função (ou funções) a serem atribuídas a eles. Você pode usar uma barra de pesquisa para filtrar usuários (já que apenas uma função de aplicativo foi criada na captura de tela, ela é selecionada automaticamente – talvez seja necessário selecionar uma lista de funções a serem atribuídas da mesma maneira que os usuários)
- Depois que a função for atribuída, o usuário deverá aparecer na página Usuário e grupos – observe que atribuir várias funções a um único usuário resultará em várias entradas para esse usuário – uma entrada por função.
- RECOMENDADO: se você quiser permitir apenas o acesso ao CycleCloud para usuários adicionados explicitamente ao seu Aplicativo, vá para as Propriedades do Aplicativo Enterprise e defina Atribuição Necessária para Sim