Compartir a través de

Autenticación de usuario

Azure CycleCloud ofrece cuatro métodos de autenticación: una base de datos integrada con cifrado, Active Directory, LDAP o Id. de Microsoft Entra. Para seleccionar y configurar el método de autenticación, abra la página Configuración en el menú Administrador (parte superior derecha de la pantalla) y haga doble clic en Autenticación. Elija su método de autenticación preferido y siga las instrucciones de las secciones siguientes.

Integrada

De forma predeterminada, CycleCloud usa un esquema de autorización de base de datos simple. El sistema cifra las contraseñas y las almacena en la base de datos. Los usuarios se autentican con su nombre de usuario y contraseña almacenados. Para usar este método, active la casilla Integrada en la página Autenticación.

Puede probar las credenciales de un usuario escribiendo el nombre de usuario y la contraseña y seleccionando Probar para comprobar la información.

Active Directory

Precaución

Cuando cambia la autenticación de local a AD, LDAP o Entra ID, es posible que se quede sin acceso a su instancia de CycleCloud. El acceso va a los usuarios que tienen una cuenta local y pueden autenticarse en el servidor configurado (se omiten las contraseñas locales). Las instrucciones siguientes ayudan a protegerse contra el bloqueo.

  1. Active la casilla para habilitar Active Directory.
  2. Escriba la dirección URL del servidor de Active Directory (a partir de ldap:// o ldaps://).
  3. Escriba el dominio predeterminado como "DOMINIO" o "@domain.com" en función de si los usuarios se autentican con nombres como "DOMAIN\user" o "user@domain.com" (UPN). Si deja este campo en blanco, los usuarios deben introducir su nombre completamente calificado.
  4. Seleccione Probar para asegurarse de que CycleCloud puede usar la configuración proporcionada. Use una cuenta que exista en el servidor de autenticación.
  5. En un explorador independiente o una ventana de incógnito, inicie sesión como la cuenta de dominio que agregó en el paso 2.
  6. Si el paso 4 de inicio de sesión se realiza correctamente, puede cerrar la sesión. La autenticación está configurada correctamente.

Configuración de Active Directory

En el ejemplo anterior se muestra una configuración de ejemplo para un entorno de Active Directory. Los usuarios de Windows inician sesión como EXAMPLE\username, por lo que debe escribir "EXAMPLE" como dominio. El servidor ad.example.com controla la autenticación, por lo que debe escribir ldaps://ad.example.com como dirección URL.

Nota:

Después de un intento de autenticación con error, es posible que la ventana Configuración de autenticación siga mostrando el mensaje "Error de autenticación". Al hacer clic en Cancelar e iniciar de nuevo, se borra este mensaje. La autenticación correcta reemplaza el mensaje "Error de autenticación" por "Autenticación correcta".

LDAP (Protocolo Ligero de Acceso a Directorios)

  1. Active la casilla para habilitar la autenticación LDAP.
  2. Introduzca la configuración LDAP adecuada.
  3. Seleccione Probar para asegurarse de que CycleCloud puede usar la configuración proporcionada. Use una cuenta que exista en el servidor de autenticación.
  4. En un explorador independiente o una ventana de incógnito, inicie sesión como la cuenta de dominio que agregó en el paso 2.
  5. Si la autenticación del paso 4 se realiza correctamente, puede cerrar sesión en la primera sesión. La autenticación está configurada correctamente.

Entra ID (VERSIÓN PRELIMINAR)

Configuración de CycleCloud para autenticación y autorización de Entra

Nota:

Primero debe crear una aplicación de Microsoft Entra. Si aún no ha creado uno, consulte Crear uno ahora.

Configuración de GUI

Para habilitar la autenticación de Entra ID:

  1. Inicie CycleCloud y, a continuación, vaya a Configuración en la esquina superior derecha.
  2. Seleccione la fila de tabla denominada Autenticación y seleccione Configurar o haga doble clic en la fila. En el cuadro de diálogo emergente, seleccione la sección Entra ID. Configuración de autenticación en La GUI de CycleCloud
  3. Verá una ventana con tres secciones. Manténgase en la sección Entra ID. Menú Configuración de autenticación de Entra ID
  4. Active la casilla Enable Entra ID authentication (Habilitar autenticación de Entra ID ).
  5. Vaya a la página Información general de la aplicación Microsoft Entra en Azure Portal y escriba el identificador de inquilino y el identificador de cliente en función de esos valores.
  6. De forma predeterminada, el punto de conexión se establece en https://login.microsoftonline.com (el punto de conexión público). Sin embargo, también puede establecer un punto de conexión personalizado, como uno para un entorno de nube gubernamental.
  7. Seleccione Guardar para guardar los cambios.

Configuración del acceso a los nodos de clúster

La característica Administración de usuarios de CycleCloud para clústeres de Linux requiere una clave pública SSH para los usuarios con acceso de autenticación a los nodos del clúster. Al habilitar la autenticación y autorización de Id. de Microsoft Entra, los usuarios inician sesión en CycleCloud al menos una vez para inicializar su registro de cuenta de usuario. A continuación, editan su perfil para agregar su clave SSH pública.

CycleCloud genera automáticamente un UID y GID para los usuarios. Pero si un clúster accede a recursos de almacenamiento persistentes, es posible que un administrador tenga que establecer el UID y el GID para que los usuarios coincidan explícitamente con los usuarios existentes en el sistema de archivos.

También puede realizar estas actualizaciones de perfil de usuario mediante la creación previa de registros de usuario como alternativa a la operación de GUI. Para obtener más información, consulte Administración de usuarios.

Uso de la autenticación de Entra ID con CycleCloud

Al autenticarse con CycleCloud mediante Entra ID, el sistema admite los siguientes escenarios:

  1. La autenticación correcta siempre restablece los roles de usuario para que coincidan con los configurados en Entra ID. Dado que la duración predeterminada de un token de acceso es una hora, es posible que tenga que cerrar sesión e iniciar sesión para que los nuevos roles surtan efecto.
  2. Si se autentica como usuario que creó previamente, es posible que falte el identificador de inquilino y el identificador de objeto antes del primer inicio de sesión. En este caso, CycleCloud envía un mensaje de advertencia a los registros y establece estos valores para que coincidan con los procedentes del token de Id. de Entra.
  3. Si el identificador de objeto o el identificador de inquilino no coinciden con los del token de acceso, CycleCloud lo trata como un error de autenticación. Debe quitar manualmente el registro de usuario anterior para poder autenticarse.
  4. Si se queda sin acceso a la cuenta de superusuario por haber olvidado crear una con la que pueda autenticarse con su Entra ID, puede deshabilitar la autenticación de Entra ID a través de la consola ejecutando ./cycle_server reset_access.
  5. Al crear usuarios a través de la autenticación entra ID, no tienen claves SSH públicas configuradas de forma predeterminada. Para usar la administración de usuarios en los nodos, debe configurar las claves manualmente.

Directiva de contraseñas

Azure CycleCloud tiene una directiva de contraseña integrada y medidas de seguridad. Las cuentas que cree con el método de autenticación integrado deben tener contraseñas de entre 8 y 123 caracteres. Las contraseñas deben cumplir al menos tres de las cuatro condiciones siguientes:

  • Contener al menos una letra mayúscula
  • Contener al menos una letra minúscula
  • Contener al menos un número
  • Contenga al menos un carácter especial: @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? ~ " ( ) ;

Los administradores pueden requerir que los usuarios actualicen las contraseñas para seguir la nueva directiva seleccionando el cuadro Forzar cambio de contraseña en el siguiente inicio de sesión en la pantalla Editar cuenta .

Bloqueo de seguridad

Cualquier cuenta que detecte cinco errores de autorización en un plazo de 60 segundos entre sí se bloquea automáticamente durante cinco minutos. Los administradores pueden desbloquear manualmente las cuentas o los usuarios pueden esperar los cinco minutos.

  • Last updated on