Dela via

Användarautentisering

  • Artikel

Azure CycleCloud erbjuder fyra autentiseringsmetoder: en inbyggd databas med kryptering, Active Directory, LDAP eller Entra-ID. Om du vill välja och konfigurera autentiseringsmetoden öppnar du sidan Inställningar på Admin-menyn (längst upp till höger på skärmen) och dubbelklickar på Autentisering. Välj önskad autentiseringsmetod och följ anvisningarna nedan.

Built-In

Som standard använder CycleCloud ett enkelt databasauktoriseringsschema. Lösenorden krypteras och lagras i databasen och användarna autentiseras mot sitt lagrade användarnamn och lösenord. Om du vill markera den här metoden klickar du på kryssrutan för Built-In på sidan Autentisering.

Du kan testa en användares autentiseringsuppgifter genom att ange användarnamnet och lösenordet och sedan klicka på Testa för att verifiera informationen.

Active Directory

Varning

Det är möjligt att låsa dig ute från din CycleCloud-instans när du byter från lokal till AD- eller LDAP- eller Entra-ID-autentisering. Åtkomst beviljas till användare som har både ett lokalt konto och kan autentisera till den konfigurerade servern (lokala lösenord ignoreras). Anvisningarna nedan gör ansträngningar för att skydda mot utelåsning.

  1. Klicka på kryssrutan för att aktivera Active Directory.
  2. Ange URL:en för Active Directory-servern (från och med ldap:// eller ldaps://)
  3. Ange standarddomänen i form av "DOMÄN" eller "@domain.com" beroende på om användarna autentiserar med namn som "DOMÄN\användare" eller "user@domain.com" (UPN). Om det här fältet lämnas tomt måste användarna ange sitt fullständigt kvalificerade namn.
  4. Klicka på Testa för att se till att CycleCloud kan använda de angivna inställningarna. Använd ett konto som finns på autentiseringsservern.
  5. Logga in som det domänkonto som du lade till i steg 2 i ett separat webbläsar- eller inkognitofönster.
  6. Om inloggningen i steg 4 lyckas kan du logga ut från din första session. Autentiseringen är korrekt konfigurerad.

Active Directory-konfiguration

Exemplet ovan visar en exempelkonfiguration för en Active Directory-miljö. Windows-användare loggar in som EXEMPEL\användarnamn, så "EXEMPEL" anges som domän. Autentiseringen hanteras av servern ad.example.com, så ldaps://ad.example.com anges som URL.

Anteckning

Efter ett misslyckat autentiseringsförsök kan meddelandet "Autentiseringen misslyckades" fortfarande visas i fönstret Autentiseringsinställningar . Om du klickar på Avbryt och startar igen raderas det här meddelandet. Lyckad autentisering ersätter meddelandet "Autentiseringen misslyckades" med "Autentiseringen lyckades".

LDAP

  1. Klicka på kryssrutan för att aktivera LDAP-autentisering.
  2. Ange lämpliga LDAP-inställningar.
  3. Klicka på "Test" för att se till att CycleCloud kan använda de angivna inställningarna. Använd ett konto som finns på autentiseringsservern.
  4. Logga in som det domänkonto som du lade till i steg 2 i ett separat webbläsar- eller inkognitofönster.
  5. Om inloggningen i steg 4 lyckas kan du logga ut från din första session. Autentiseringen är korrekt konfigurerad.

Entra ID (FÖRHANDSVERSION)

Konfigurera CycleCloud för Entra-autentisering och auktorisering

Anteckning

Du måste först skapa ett Microsoft Entra program. Om du inte har skapat en ännu skapar du en nu

GUI-konfiguration

Så här aktiverar du Entra ID-autentisering:

  1. Starta Cyclecloud och navigera sedan till Inställningar i det övre högra hörnet
  2. Välj tabellraden med namnet Autentisering och klicka på Konfigurera eller dubbelklicka på raden. I popup-dialogrutan väljer du avsnittet Entra-ID . Autentiseringsinställning i CycleCloud GUI
  3. Sedan visas ett fönster med tre avsnitt. Stanna kvar i avsnittet Entra-ID . Konfigurationsmeny för Entra ID-autentisering
  4. Markera kryssrutan Aktivera Entra ID-autentisering .
  5. Leta upp sidan Översikt för ditt Microsoft Entra-program i Azure-portalen och fyll i klientorganisations-ID och klient-ID baserat på dessa värden.
  6. Som standard är slutpunkten inställd https://login.microsoftonline.com på (den offentliga slutpunkten). Du kan dock också ange en anpassad slutpunkt, till exempel en för en myndighetsmolnmiljö.
  7. Spara ändringarna genom att trycka på Spara .

Konfigurera åtkomst till klusternoder

Funktionen CycleCloud-användarhantering för Linux-kluster kräver en offentlig SSH-nyckel för användare med inloggningsåtkomst till klusternoder. När Entra ID-autentisering och auktorisering är aktiverat bör användare logga in på CycleCloud minst en gång för att initiera sin användarkontopost och sedan redigera sin profil för att lägga till sin offentliga SSH-nyckel.

CycleCloud skapar automatiskt ett UID och ETT GID för användare. Men om ett kluster kommer åt beständiga lagringsresurser kan det krävas att en administratör anger UID/GID så att användarna uttryckligen matchar de befintliga användarna i filsystemet.

Dessa uppdateringar av användarprofilen kan också utföras genom att användarposter skapas i förväg som ett alternativ till GUI-åtgärden. Mer information finns i Användarhantering .

Använda Entra ID-autentisering med CycleCloud

Ett försök att autentisera med CycleCloud med ett Entra-ID har följande scenarier som stöds:

  1. Lyckad autentisering återställer alltid användarroller så att de matchar de som konfigurerats i Entra-ID. Observera att eftersom standardlivslängden för en åtkomsttoken är en timme kan det krävas att du loggar ut och loggar in igen för att de nya rollerna ska anges.
  2. Om användaren som du autentiserar som har skapats i förväg är det möjligt att klientorganisations-ID och objekt-ID inte anges till något före den första inloggningen. Detta resulterar i ett varningsmeddelande som går till loggarna och dessa värden anges för att matcha de som kommer från Entra ID-token.
  3. Om objekt-ID:t och/eller klient-ID:t av någon anledning inte matchar dem i åtkomsttoken behandlas det som ett autentiseringsfel. Den gamla användarposten måste tas bort manuellt innan den här användaren kan autentisera.
  4. Om du låser ut dig från superanvändarkontot genom att glömma att skapa ett som kan autentiseras med ditt Entra-ID kan du inaktivera Entra-ID-autentiseringen via konsolen genom att köra ./cycle_server reset_access
  5. Användare som skapats via Entra ID-autentisering har inte offentliga ssh-nycklar konfigurerade som standard, så du måste konfigurera dem manuellt för att använda användarhantering på noder.

Lösenordsprincip

Azure CycleCloud har en integrerad lösenordsprincip och säkerhetsåtgärder. Konton som skapas med den inbyggda autentiseringsmetoden måste ha lösenord mellan 8 och 123 tecken långa och uppfylla minst 3 av följande 4 villkor:

  • Innehåller minst en versal
  • Innehåller minst en gemen bokstav
  • Innehåller minst ett tal
  • Innehåller minst ett specialtecken: @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? ~ " ( ) ;

Administratörer kan kräva att användare uppdaterar lösenord för att följa den nya principen genom att välja rutan "Framtvinga lösenordsändring vid nästa inloggning" på skärmen Redigera konto .

Säkerhetsutelåsning

Alla konton som identifierar 5 auktoriseringsfel inom 60 sekunder från varandra låses automatiskt i 5 minuter. Konton kan låsas upp manuellt av en administratör eller bara genom att vänta i fem minuter.