Compartilhar via

Autenticação do usuário

O Azure CycleCloud oferece quatro métodos de autenticação: um banco de dados interno com criptografia, Active Directory, LDAP ou ID do Entra. Para selecionar e configurar seu método de autenticação, abra a página Configurações no menu Administrador (canto superior direito da tela) e clique duas vezes em Autenticação. Escolha seu método de autenticação preferencial e siga as instruções abaixo.

Interno

Por padrão, o CycleCloud usa um esquema de autorização de banco de dados simples. As senhas são criptografadas e armazenadas no banco de dados e os usuários se autenticam em seu nome de usuário e senha armazenados. Para selecionar esse método, clique na caixa de seleção para Built-In na página Autenticação.

Você pode testar as credenciais de um usuário inserindo o nome de usuário e a senha e, em seguida, clicando em Testar para verificar as informações.

Active Directory

Cuidado

É possível se bloquear fora da instância do CycleCloud ao alterar de autenticação local para AD, LDAP ou Entra ID. O acesso será concedido aos usuários que têm uma conta local e podem se autenticar no servidor configurado (senhas locais serão ignoradas). As instruções abaixo procuram evitar o bloqueio.

  1. Clique na caixa de seleção para habilitar o Active Directory.
  2. Insira a URL do servidor do Active Directory (começando com ldap:// ou ldaps://)
  3. Insira o domínio padrão na forma de "DOMÍNIO" ou "@domain.com" dependendo se os usuários se autenticam com nomes como "DOMÍNIO\usuário" ou "user@domain.com" (UPN). Se esse campo for deixado em branco, os usuários deverão inserir seu nome totalmente qualificado.
  4. Clique em Testar para garantir que o CycleCloud possa usar as configurações fornecidas. Use uma conta que existe no servidor de autenticação.
  5. Em um navegador separado ou em uma janela anônima, faça logon como a conta de domínio que você adicionou na etapa 2.
  6. Se o logon na etapa 4 for bem-sucedido, você poderá sair da sua primeira sessão. A autenticação está configurada corretamente.

Configuração do Active Directory

O exemplo acima mostra uma configuração de exemplo para um ambiente do Active Directory. Os usuários do Windows fazem logon como EXAMPLE\username, portanto, "EXAMPLE" é inserido como o Domínio. A autenticação é tratada pelo servidor ad.example.com, portanto , ldaps://ad.example.com é inserido como a URL.

Observação

Após uma tentativa de autenticação com falha, a mensagem "Falha na autenticação" ainda poderá ser exibida na janela Configurações de Autenticação . Clicar em Cancelar e iniciar novamente limpará esta mensagem. A autenticação bem-sucedida substituirá a mensagem "Falha na autenticação" por "Autenticação bem-sucedida".

LDAP

  1. Clique na caixa de seleção para habilitar a autenticação LDAP.
  2. Insira as configurações de LDAP apropriadas.
  3. Clique em "Testar" para garantir que o CycleCloud possa usar as configurações fornecidas. Use uma conta que existe no servidor de autenticação.
  4. Em um navegador separado ou em uma janela anônima, faça logon como a conta de domínio que você adicionou na etapa 2.
  5. Se o logon na etapa 4 for bem-sucedido, você poderá sair da sua primeira sessão. A autenticação está configurada corretamente.

ID do Entra (VERSÃO PRÉVIA)

Configurando o CycleCloud para autenticação e autorização do Entra

Observação

Primeiro, você deve criar um aplicativo do Microsoft Entra. Se você ainda não criou um, crie um agora

Configuração de GUI

Para habilitar a Autenticação de ID do Entra:

  1. Inicie o Cyclecloud e navegue até Configurações no canto superior direito
  2. Selecione a linha da tabela chamada Autenticação e clique em Configurar ou clique duas vezes na linha. Na caixa de diálogo pop-up, selecione a seção do Entra ID. Configuração de autenticação na GUI do CycleCloud
  3. Em seguida, você verá uma janela com três seções. Fique na seção do Entra ID. Menu Configuração de Autenticação do Entra ID
  4. Marque a caixa Habilitar autenticação Entra ID.
  5. Localize a página Visão geral do aplicativo Microsoft Entra no Portal do Azure e preencha a ID do Locatário e a ID do Cliente com base nesses valores.
  6. Por padrão, o ponto de extremidade é definido como https://login.microsoftonline.com(o ponto de extremidade público). No entanto, você também pode definir um ponto de extremidade personalizado, como um para um ambiente de nuvem do governo.
  7. Clique em Salvar para salvar suas alterações.

Configurando o acesso aos nós de cluster

O recurso de gerenciamento de usuários do CycleCloud para clusters Linux requer uma chave pública SSH para usuários com acesso de login aos nós do cluster. Quando a autenticação e a autorização do Entra ID estiverem habilitadas, os usuários deverão fazer logon no CycleCloud pelo menos uma vez para inicializar o registro da conta de usuário e editar o perfil deles para adicionar a chave SSH pública.

O CycleCloud gerará automaticamente uma UID e GID para usuários. Mas se um cluster estiver acessando recursos de armazenamento persistentes, pode ser necessário que um Administrador defina a UID/GID para que os usuários correspondam explicitamente aos usuários existentes no sistema de arquivos.

Essas atualizações de perfil de usuário também podem ser executadas pela pré-criação de registros de usuário como uma alternativa à operação de GUI. Consulte o Gerenciamento de Usuários para obter mais detalhes.

Usar a Autenticação do Entra ID com o CycleCloud

Uma tentativa de autenticação com o CycleCloud usando a ID do Entra tem os seguintes cenários com suporte:

  1. A autenticação bem-sucedida sempre redefine as funções de usuário para corresponder às configuradas na ID do Entra. Observe que, como o tempo de vida padrão de um token de acesso é de uma hora, pode ser necessário que você faça logoff e faça login novamente para que as novas permissões sejam definidas.
  2. Se o usuário que você está autenticando como foi pré-criado, é possível que a ID do Locatário e a ID do Objeto não sejam definidas como nada antes do primeiro logon. Isso resultará em uma mensagem de aviso sendo registrada nos logs, e esses valores serão ajustados para corresponder aos que vêm do token de ID do Entra.
  3. Se, por algum motivo, a ID do Objeto e/ou a ID do Locatário não corresponderem às do token de acesso, ela será tratada como erro de autenticação. O registro de usuário antigo precisará ser removido manualmente antes que esse usuário possa se autenticar.
  4. Se você se bloquear da conta de Super Usuário esquecendo-se de criar uma que possa ser autenticada usando seu Entra ID, você poderá desabilitar a autenticação do Entra ID por meio do console executando ./cycle_server reset_access
  5. Os usuários criados por meio da autenticação de ID do Entra não têm chaves ssh públicas configuradas por padrão, portanto, você precisará configurá-las manualmente para usar o Gerenciamento de Usuário em nós.

Política de senha

O Azure CycleCloud tem uma política de senha integrada e medidas de segurança. As contas criadas usando o método de autenticação interno devem ter senhas entre 8 e 123 caracteres e atender a pelo menos 3 das 4 condições a seguir:

  • Conter pelo menos uma letra maiúscula
  • Conter pelo menos uma letra minúscula
  • Conter pelo menos um número
  • Contém pelo menos um caractere especial: @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? ~ " ( ) ;

Os administradores podem exigir que os usuários atualizem senhas para seguir a nova política selecionando a caixa "Forçar Alteração de Senha no Próximo Logon" na tela Editar Conta .

Bloqueio de segurança

Qualquer conta que detecte cinco falhas de autorização dentro de 60 segundos umas das outras será bloqueada automaticamente por 5 minutos. As contas podem ser desbloqueadas manualmente por um administrador ou apenas aguardando os cinco minutos.