Autenticação de Utilizador
O Azure CycleCloud oferece quatro métodos de autenticação: uma base de dados incorporada com encriptação, Active Directory, LDAP ou Entra ID. Para selecionar e configurar o método de autenticação, abra a página Definições no menu Administração (canto superior direito do ecrã) e faça duplo clique em Autenticação. Escolha o seu método de autenticação preferencial e siga as instruções abaixo.
Built-In
Por predefinição, o CycleCloud utiliza um esquema de autorização de base de dados simples. As palavras-passe são encriptadas e armazenadas na base de dados e os utilizadores autenticam-se no nome de utilizador e palavra-passe armazenados. Para selecionar este método, clique na caixa de verificação para Built-In na página Autenticação.
Pode testar as credenciais de um utilizador ao introduzir o nome de utilizador e a palavra-passe e, em seguida, clicar em Testar para verificar as informações.
Active Directory
Atenção
É possível bloquear-se a si próprio da sua instância do CycleCloud ao mudar de local para autenticação do AD, LDAP ou Entra ID. O acesso será concedido aos utilizadores que tenham uma conta local e possam autenticar-se no servidor configurado (as palavras-passe locais serão ignoradas). As instruções abaixo fazem um esforço para proteger contra o bloqueio.
- Clique na caixa de verificação para ativar o Active Directory.
- Introduza o URL do servidor do Active Directory (começando com ldap:// ou ldaps://)
- Introduza o domínio predefinido na forma de "DOMÍNIO" ou "@domain.com", dependendo se os seus utilizadores se autenticam com nomes como "DOMAIN\user" ou "user@domain.com" (UPN). Se este campo ficar em branco, os utilizadores têm de introduzir o respetivo nome completamente qualificado.
- Clique em Testar para garantir que o CycleCloud pode utilizar as definições fornecidas. Utilize uma conta que exista no servidor de autenticação.
- Num browser separado ou numa janela anónima, inicie sessão como a conta de domínio que adicionou no passo 2.
- Se o início de sessão no passo 4 for bem-sucedido, pode terminar sessão na sua primeira sessão. A autenticação está configurada corretamente.
O exemplo acima mostra uma configuração de exemplo para um ambiente do Active Directory. Os utilizadores do Windows iniciam sessão como EXEMPLO\nome de utilizador, pelo que "EXEMPLO" é introduzido como Domínio. A autenticação é processada pelo servidor ad.example.com, pelo que ldaps://ad.example.com é introduzido como o URL.
Nota
Após uma tentativa de autenticação falhada, a mensagem "Falha na autenticação" ainda pode ser apresentada na janela Definições de autenticação . Clicar em Cancelar e começar novamente irá limpar esta mensagem. A autenticação bem-sucedida substituirá a mensagem "Falha na autenticação" por "Autenticação com êxito".
LDAP
- Clique na caixa de verificação para ativar a autenticação LDAP.
- Introduza as definições LDAP adequadas.
- Clique em "Teste" para garantir que o CycleCloud pode utilizar as definições fornecidas. Utilize uma conta que exista no servidor de autenticação.
- Num browser separado ou numa janela anónima, inicie sessão como a conta de domínio que adicionou no passo 2.
- Se o início de sessão no passo 4 for bem-sucedido, pode terminar sessão na sua primeira sessão. A autenticação está configurada corretamente.
Entra ID (PRÉ-VISUALIZAÇÃO)
Configurar o CycleCloud para Autenticação e Autorização de Entra
Nota
Primeiro, tem de criar uma aplicação Microsoft Entra. Se ainda não criou uma, crie uma agora
Configuração de GUI
Para ativar a Autenticação de Entra ID:
- Inicie o Cyclecloud e, em seguida, navegue para Definições no canto superior direito
- Selecione a linha de tabela denominada Autenticação e clique em Configurar ou faça duplo clique na linha. Na caixa de diálogo de pop-up, selecione a secção Entra ID .
- Em seguida, verá uma janela com três secções. Fique na secção Entra ID .
- Selecione a caixa de verificação Ativar autenticação de Entra ID .
- Localize a página Descrição geral da sua aplicação Microsoft Entra no Portal do Azure e preencha o ID do Inquilino e o ID de Cliente com base nesses valores.
- Por predefinição, o ponto final está definido como https://login.microsoftonline.com (o ponto final público). No entanto, também pode definir um ponto final personalizado, como um para um ambiente de cloud governamental.
- Prima Guardar para guardar as alterações.
Configurar o Acesso aos Nós de Cluster
A funcionalidade Gestão de Utilizadores do CycleCloud para clusters linux requer uma Chave Pública SSH para Utilizadores com acesso de início de sessão a nós de cluster. Quando a autenticação e autorização do Entra ID estiver ativada, os utilizadores devem iniciar sessão no CycleCloud pelo menos uma vez para inicializar o registo da conta de utilizador e, em seguida, editar o respetivo Perfil para adicionar a respetiva chave SSH pública.
O CycleCloud gerará automaticamente um UID e um GID para Utilizadores. No entanto, se um cluster estiver a aceder a recursos de armazenamento persistentes, poderá ser necessário que um Administrador defina o UID/GID para que os utilizadores correspondam explicitamente aos utilizadores existentes no sistema de ficheiros.
Estas atualizações de perfil de utilizador também podem ser efetuadas ao pré-criar registos de utilizadores como uma alternativa à operação GUI. Veja Gestão de Utilizadores para obter mais detalhes.
Utilizar a Autenticação de Entra ID com o CycleCloud
Uma tentativa de autenticação com o CycleCloud com o Entra ID tem os seguintes cenários suportados:
- A autenticação bem-sucedida repõe sempre as funções de Utilizador para corresponder às configuradas no Entra ID. Tenha em atenção que, uma vez que o tempo de vida predefinido de um token de acesso é de uma hora, poderá ser necessário terminar sessão e iniciar sessão novamente para que as novas funções sejam definidas.
- Se o utilizador que está a autenticar como foi pré-criado, é possível que o ID do Inquilino e o ID do Objeto não estejam definidos para nada antes do primeiro início de sessão. Isto resultará numa mensagem de aviso a aceder aos registos e estes valores a serem definidos para corresponder aos que vêm do token Entra ID.
- Se, por alguma razão, o ID do Objeto e/ou o ID do Inquilino não corresponderem aos do token de acesso, será tratado como um erro de autenticação. O registo de utilizador antigo terá de ser removido manualmente para que este utilizador possa autenticar-se.
- Se bloquear a sua conta de Superutilizador esquecendo-se de criar uma que pode ser autenticada com o seu ID de Entra, pode desativar a autenticação Entra ID através da consola ao executar
./cycle_server reset_access
- Os utilizadores criados através da autenticação Entra ID não têm chaves ssh públicas configuradas por predefinição, pelo que terá de configurá-las manualmente para utilizar a Gestão de Utilizadores em nós.
Política de palavra-passe
O Azure CycleCloud tem uma política de palavra-passe integrada e medidas de segurança. As contas criadas com o método de autenticação incorporado têm de ter palavras-passe entre 8 e 123 carateres de comprimento e cumprir pelo menos 3 das seguintes 4 condições:
- Conter, pelo menos, uma letra maiúscula
- Conter, pelo menos, uma letra minúscula
- Conter pelo menos um número
- Contenha pelo menos um caráter especial: @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? ~ " ( ) ;
Os administradores podem exigir que os utilizadores atualizem palavras-passe para seguir a nova política ao selecionar a caixa "Forçar Alteração de Palavra-passe no Início de Sessão Seguinte" no ecrã Editar Conta .
Bloqueio de Segurança
Qualquer conta que detete 5 falhas de autorização dentro de 60 segundos entre si será automaticamente bloqueada durante 5 minutos. As contas podem ser desbloqueadas manualmente por um administrador ou apenas aguardando os cinco minutos.