通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

用户身份验证

  • 项目

Azure CycleCloud 提供四种身份验证方法:具有加密、Active Directory、LDAP 或 Entra ID 的内置数据库。 若要选择和设置身份验证方法,请从屏幕右上角 (管理员菜单打开“设置”页) ,然后双击“身份验证”。 选择首选的身份验证方法并按照以下说明进行操作。

Built-In

默认情况下,CycleCloud 使用简单的数据库授权方案。 密码已加密并存储在数据库中,用户根据其存储的用户名和密码进行身份验证。 若要选择此方法,请单击“身份验证”页上 Built-In 检查框。

可以通过输入用户名和密码,然后单击“ 测试 ”来验证信息,来测试用户的凭据。

Active Directory

注意

从本地身份验证更改为 AD、LDAP 或 Entra ID 身份验证时,可以将自己锁定在 CycleCloud 实例外。 将授予具有本地帐户且可以向配置服务器进行身份验证的用户的访问权限, (本地密码) 将被忽略。 以下说明会努力防止锁定。

  1. 单击“检查”框以启用 Active Directory。
  2. 输入 Active Directory 服务器的 URL, (从 ldap://ldaps://)
  3. 以“DOMAIN”或“@domain.com”的形式输入默认域,具体取决于用户是使用“DOMAIN\user”或“user@domain.com” (UPN) 等名称进行身份验证。 如果此字段留空,用户必须输入其完全限定的名称。
  4. 单击“ 测试 ”,确保 CycleCloud 可以使用提供的设置。 使用身份验证服务器上存在的帐户。
  5. 在单独的浏览器或隐身窗口中,以在步骤 2 中添加的域帐户身份登录。
  6. 如果步骤 4 中的登录成功,则可以注销第一个会话。 身份验证配置正确。

Active Directory 配置

上面的示例演示了 Active Directory 环境的示例配置。 Windows 用户以 EXAMPLE\username 身份登录,因此输入“EXAMPLE”作为域。 身份验证由服务器 ad.example.com 处理,因此 ldaps://ad.example.com 作为 URL 输入。

注意

身份验证尝试失败后,“身份验证失败”消息可能仍显示在 “身份验证设置 ”窗口中。 单击“ 取消 ”并再次启动将清除此消息。 成功的身份验证会将“身份验证失败”消息替换为“身份验证成功”。

LDAP

  1. 单击“检查”框以启用 LDAP 身份验证。
  2. 输入相应的 LDAP 设置。
  3. 单击“测试”以确保 CycleCloud 可以使用提供的设置。 使用身份验证服务器上存在的帐户。
  4. 在单独的浏览器或隐身窗口中,以在步骤 2 中添加的域帐户身份登录。
  5. 如果步骤 4 中的登录成功,则可以注销第一个会话。 身份验证配置正确。

Entra ID (PREVIEW)

为 Entra 身份验证和授权配置 CycleCloud

注意

必须先创建Microsoft Entra应用程序。 如果尚未创建一个,请 立即创建一个

GUI 配置

若要启用 Entra ID 身份验证,请执行以下操作:

  1. 启动 Cyclecloud,然后导航到右上角的“设置”
  2. 选择名为 “身份验证 ”的表行,然后单击“ 配置 ”或双击该行。 在弹出对话框中,选择“ 条目 ID” 部分。 CycleCloud GUI 中的身份验证设置
  3. 然后,你将看到一个包含三个部分的窗口。 保留在 “条目 ID ”部分中。 “条目 ID 身份验证配置”菜单
  4. 选中 “启用 Entra ID 身份验证 ”复选框。
  5. 在 Azure 门户中找到Microsoft Entra应用程序的“概述”页,并根据这些值填写租户 ID 和客户端 ID。
  6. 默认情况下,终结点设置为 https://login.microsoftonline.com (公共终结点) 。 但是,还可以设置自定义终结点,例如用于政府云环境的终结点。
  7. 点击 “保存” 以保存更改。

配置对群集节点的访问

适用于 Linux 群集的 CycleCloud 用户管理功能需要具有群集节点登录访问权限的用户的 SSH 公钥。 启用 Entra ID 身份验证和授权后,用户应至少登录到 CycleCloud 一次以初始化其用户帐户记录,然后编辑其配置文件以添加其 SSH 公钥。

CycleCloud 将为用户自动生成 UID 和 GID。 但是,如果群集将访问永久性存储资源,则管理员可能需要为用户显式设置 UID/GID,以匹配文件系统上的现有用户。

还可以通过预先创建用户记录作为 GUI 操作的替代方法来执行这些用户配置文件更新。 有关更多详细信息,请参阅 用户管理

将 Entra ID 身份验证与 CycleCloud 配合使用

尝试使用 Entra ID 通过 CycleCloud 进行身份验证时,有以下受支持的方案:

  1. 成功的身份验证始终重置用户角色,以匹配 Entra ID 中设置的用户角色。 请注意,由于访问令牌的默认生存期为一小时,因此可能需要注销并重新登录才能设置新角色。
  2. 如果要进行身份验证的用户已预先创建,则租户 ID 和对象 ID 可能不会在第一次登录之前设置为任何内容。 这将导致一条警告消息转到日志,并且这些值被设置为与来自 Entra ID 令牌的值匹配。
  3. 如果出于任何原因,对象 ID 和/或租户 ID 与访问令牌中的对象 ID 和/或租户 ID 不匹配,则会将其视为身份验证错误。 必须先手动删除旧用户记录,然后此用户才能进行身份验证。
  4. 如果忘记创建一个可使用 Entra ID 进行身份验证的超级用户帐户,则可以通过控制台运行来禁用 Entra ID 身份验证 ./cycle_server reset_access
  5. 默认情况下,通过 Entra ID 身份验证创建的用户没有配置公共 SSH 密钥,因此必须手动配置它们以在节点上使用用户管理。

密码策略

Azure CycleCloud 具有集成的密码策略和安全措施。 使用内置身份验证方法创建的帐户的密码长度必须介于 8 到 123 个字符之间,并且至少满足以下 4 个条件中的 3 个:

  • 至少包含一个大写字母
  • 至少包含一个小写字母
  • 至少包含一个数字
  • 包含至少一个特殊字符: @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? ~ " ( ) ;

管理员可以要求用户更新密码以遵循新策略,方法是在 “编辑帐户 ”屏幕中选择“下一次登录时强制更改密码”框。

安全锁定

在 60 秒内检测到 5 个授权失败的任何帐户将自动锁定 5 分钟。 管理员可以手动解锁帐户,也可以只是等待五分钟。