Compartilhar via


Autenticação do usuário

O Azure CycleCloud oferece quatro métodos de autenticação: um banco de dados interno com criptografia, Active Directory, LDAP ou ID do Entra. Para selecionar e configurar seu método de autenticação, abra a página Configurações no menu Administração (canto superior direito da tela) e clique duas vezes em Autenticação. Escolha seu método de autenticação preferencial e siga as instruções abaixo.

Built-In

Por padrão, o CycleCloud usa um esquema de autorização de banco de dados simples. As senhas são criptografadas e armazenadas no banco de dados, e os usuários se autenticam em seu nome de usuário e senha armazenados. Para selecionar esse método, clique na caixa marcar para Built-In na página Autenticação.

Você pode testar as credenciais de um usuário inserindo o nome de usuário e a senha e clicando em Testar para verificar as informações.

Active Directory

Cuidado

É possível se bloquear fora da instância do CycleCloud ao alterar da autenticação local para AD, LDAP ou Entra ID. O acesso será concedido aos usuários que têm uma conta local e podem se autenticar no servidor configurado (senhas locais serão ignoradas). As instruções a seguir se esforçam para proteger contra o bloqueio.

  1. Clique na caixa marcar para habilitar o Active Directory.
  2. Insira a URL do servidor do Active Directory (começando com ldap:// ou ldaps://)
  3. Insira o domínio padrão na forma de "DOMÍNIO" ou "@domain.com" dependendo se os usuários se autenticam com nomes como "DOMAIN\user" ou "user@domain.com" (UPN). Se esse campo for deixado em branco, os usuários deverão inserir seu nome totalmente qualificado.
  4. Clique em Testar para garantir que o CycleCloud possa usar as configurações fornecidas. Use uma conta que existe no servidor de autenticação.
  5. Em um navegador separado ou em uma janela anônima, faça logon como a conta de domínio que você adicionou na etapa 2.
  6. Se o logon na etapa 4 for bem-sucedido, você poderá sair da primeira sessão. A autenticação está configurada corretamente.

Configuração do Active Directory

O exemplo acima mostra uma configuração de exemplo para um ambiente do Active Directory. Os usuários do Windows fazem logon como EXAMPLE\username, portanto, "EXAMPLE" é inserido como o Domínio. A autenticação é tratada pelo servidor ad.example.com, portanto , ldaps://ad.example.com é inserido como a URL.

Observação

Após uma tentativa de autenticação com falha, a mensagem "Falha na autenticação" ainda pode ser exibida na janela Configurações de autenticação . Clicar em Cancelar e iniciar novamente limpará esta mensagem. A autenticação bem-sucedida substituirá a mensagem "Falha na autenticação" por "Autenticação bem-sucedida".

LDAP

  1. Clique na caixa marcar para habilitar a autenticação LDAP.
  2. Insira as configurações de LDAP apropriadas.
  3. Clique em "Testar" para garantir que o CycleCloud possa usar as configurações fornecidas. Use uma conta que existe no servidor de autenticação.
  4. Em um navegador separado ou em uma janela anônima, faça logon como a conta de domínio que você adicionou na etapa 2.
  5. Se o logon na etapa 4 for bem-sucedido, você poderá sair da primeira sessão. A autenticação está configurada corretamente.

ID do Entra (VERSÃO PRÉVIA)

Configurando o CycleCloud para autenticação e autorização do Entra

Observação

Primeiro, você deve criar um aplicativo Microsoft Entra. Se você ainda não criou um, crie um agora

Configuração da GUI

Para habilitar a Autenticação de ID do Entra:

  1. Inicie o Cyclecloud e navegue até Configurações no canto superior direito
  2. Selecione a linha da tabela chamada Autenticação e clique em Configurar ou clique duas vezes na linha. Na caixa de diálogo pop-up, selecione a seção ID do Entra . Configuração de autenticação na GUI do CycleCloud
  3. Em seguida, você verá uma janela com três seções. Fique na seção ID do Entra . Menu Configuração de Autenticação de ID do Entra
  4. Marque a caixa de seleção Habilitar autenticação de ID do Entra .
  5. Localize a página Visão geral do aplicativo Microsoft Entra no Portal do Azure e preencha a ID do Locatário e a ID do Cliente com base nesses valores.
  6. Por padrão, o ponto de extremidade é definido https://login.microsoftonline.com como (o ponto de extremidade público). No entanto, você também pode definir um ponto de extremidade personalizado, como um para um ambiente de nuvem governamental.
  7. Clique em Salvar para salvar as alterações.

Configurando o acesso a nós de cluster

O recurso de Gerenciamento de Usuários do CycleCloud para clusters do Linux requer uma Chave Pública SSH para usuários com acesso de logon a nós de cluster. Quando a autenticação e a autorização da ID do Entra estiverem habilitadas, os usuários deverão fazer logon no CycleCloud pelo menos uma vez para inicializar o registro da conta de usuário e editar o perfil para adicionar a chave SSH pública.

O CycleCloud gerará automaticamente um UID e GID para Usuários. Mas se um cluster estiver acessando recursos de armazenamento persistentes, pode ser necessário que um Administrador defina o UID/GID para que os usuários correspondam explicitamente aos usuários existentes no sistema de arquivos.

Essas atualizações de perfil de usuário também podem ser executadas pela pré-criação de registros de usuário como uma alternativa à operação de GUI. Consulte Gerenciamento de Usuários para obter mais detalhes.

Usando a Autenticação de ID do Entra com o CycleCloud

Uma tentativa de autenticação com o CycleCloud usando a ID do Entra tem os seguintes cenários com suporte:

  1. A autenticação bem-sucedida sempre redefine as funções de usuário para corresponder às configuradas na ID do Entra. Observe que, como o tempo de vida padrão de um token de acesso é de uma hora, pode ser necessário que você faça logoff e faça logon novamente para que as novas funções sejam definidas.
  2. Se o usuário que você está autenticando como foi pré-criado, é possível que a ID do Locatário e a ID do Objeto não sejam definidas como nada antes do primeiro logon. Isso resultará em uma mensagem de aviso indo para os logs e esses valores estão sendo definidos para corresponder aos que vêm do token de ID do Entra.
  3. Se, por qualquer motivo, a ID do Objeto e/ou a ID do Locatário não corresponderem às do token de acesso, ela será tratada como erro de autenticação. O registro antigo do usuário precisará ser removido manualmente antes que esse usuário possa se autenticar.
  4. Se você se bloquear da conta de Superusuário esquecendo de criar uma que possa ser autenticada usando sua ID do Entra, poderá desabilitar a autenticação da ID do Entra por meio do console executando ./cycle_server reset_access
  5. Os usuários criados por meio da autenticação de ID do Entra não têm chaves ssh públicas configuradas por padrão, portanto, você precisará configurá-las manualmente para usar o Gerenciamento de Usuários em nós.

Política de senha

O Azure CycleCloud tem uma política de senha integrada e medidas de segurança. As contas criadas usando o método de autenticação interno devem ter senhas entre 8 e 123 caracteres e atender a pelo menos 3 das 4 condições a seguir:

  • Conter pelo menos uma letra maiúscula
  • Conter pelo menos uma letra minúscula
  • Conter pelo menos um número
  • Contém pelo menos um caractere especial: @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? ~ " ( ) ;

Os administradores podem exigir que os usuários atualizem senhas para seguir a nova política selecionando a caixa "Forçar Alteração de Senha no Próximo Logon" na tela Editar Conta .

Bloqueio de segurança

Qualquer conta que detecte cinco falhas de autorização dentro de 60 segundos uma da outra será bloqueada automaticamente por 5 minutos. As contas podem ser desbloqueadas manualmente por um administrador ou apenas aguardando os cinco minutos.