Compartilhar via

Autenticação do usuário

O Azure CycleCloud oferece quatro métodos de autenticação: um banco de dados interno com criptografia, Active Directory, LDAP ou ID do Microsoft Entra. Para selecionar e configurar seu método de autenticação, abra a página Configurações no menu Administrador (canto superior direito da tela) e clique duas vezes em Autenticação. Escolha seu método de autenticação preferencial e siga as instruções nas seções a seguir.

Interno

Por padrão, o CycleCloud usa um esquema de autorização de banco de dados simples. O sistema criptografa senhas e as armazena no banco de dados. Os usuários se autenticam com o nome de usuário e a senha armazenados. Para usar esse método, marque a caixa de seleção para Integrado na página Autenticação.

Você pode testar as credenciais de um usuário inserindo o nome de usuário e a senha e selecionando Testar para verificar as informações.

Active Directory

Cuidado

Quando você altera a autenticação de local para AD, LDAP ou ID do Entra, você pode se bloquear fora da instância do CycleCloud. O acesso vai para usuários que têm uma conta local e podem se autenticar no servidor configurado (senhas locais são ignoradas). As instruções a seguir ajudam a proteger contra bloqueio.

  1. Marque a caixa de seleção para habilitar o Active Directory.
  2. Insira a URL do servidor do Active Directory (começando com ldap:// ou ldaps://).
  3. Insira o domínio padrão como "DOMÍNIO" ou "@domain.com" dependendo se os usuários se autenticam com nomes como "DOMÍNIO\usuário" ou "user@domain.com" (UPN). Se você deixar esse campo em branco, os usuários deverão inserir seu nome totalmente qualificado.
  4. Selecione Teste para garantir que o CycleCloud possa usar as configurações fornecidas. Use uma conta que existe no servidor de autenticação.
  5. Em um navegador separado ou em uma janela anônima, entre como a conta de domínio que você adicionou na etapa 2.
  6. Se o login na etapa 4 for bem-sucedido, você poderá encerrar a sua primeira sessão. A autenticação está configurada corretamente.

Configuração do Active Directory

O exemplo anterior mostra uma configuração de exemplo para um ambiente do Active Directory. Os usuários do Windows entram como EXAMPLE\username, então insira "EXAMPLE" como o Domínio. O servidor ad.example.com manipula a autenticação, para que você insira ldaps://ad.example.com como a URL.

Observação

Após uma tentativa de autenticação com falha, a janela configurações de autenticação ainda poderá exibir a mensagem "Falha na autenticação". Clicar em Cancelar e iniciar novamente limpa esta mensagem. A autenticação bem-sucedida substitui a mensagem "Falha na autenticação" por "Autenticação bem-sucedida".

LDAP

  1. Marque a caixa de seleção para habilitar a autenticação LDAP.
  2. Insira as configurações de LDAP apropriadas.
  3. Selecione Teste para garantir que o CycleCloud possa usar as configurações fornecidas. Use uma conta que existe no servidor de autenticação.
  4. Em um navegador separado ou em uma janela anônima, entre como a conta de domínio que você adicionou na etapa 2.
  5. Se a autenticação na etapa 4 for bem-sucedida, você poderá sair da sua primeira sessão. A autenticação está configurada corretamente.

ID do Entra (VERSÃO PRÉVIA)

Configurando o CycleCloud para autenticação e autorização do Entra

Observação

Primeiro, você deve criar um aplicativo do Microsoft Entra. Se você ainda não criou um, confira criar um agora.

Configuração de GUI

Para habilitar a Autenticação de ID do Entra:

  1. Inicie o CycleCloud e navegue até Configurações no canto superior direito.
  2. Selecione a linha da tabela chamada Autenticação e selecione Configurar ou clicar duas vezes na linha. Na caixa de diálogo pop-up, selecione a seção do Entra ID. Configuração de autenticação na GUI do CycleCloud
  3. Você vê uma janela com três seções. Fique na seção do Entra ID. Menu Configuração de Autenticação do Entra ID
  4. Marque a caixa de seleção Habilitar autenticação do Entra ID.
  5. Vá para a página Visão geral do aplicativo Microsoft Entra no portal do Azure e insira a ID do Locatário e a ID do Cliente com base nesses valores.
  6. Por padrão, o ponto de extremidade é definido como https://login.microsoftonline.com (o ponto de extremidade público). No entanto, você também pode definir um ponto de extremidade personalizado, como um para um ambiente de nuvem do governo.
  7. Selecione Salvar para salvar as alterações.

Configurando o acesso aos nós de cluster

O recurso de gerenciamento de usuários do CycleCloud para clusters Linux requer uma chave pública SSH para usuários com acesso autenticado aos nós do cluster. Quando você habilita a autenticação e autorização da ID do Microsoft Entra, os usuários entrarão no CycleCloud pelo menos uma vez para inicializar o registro da conta de usuário. Em seguida, eles editam o perfil para adicionar a chave SSH pública.

O CycleCloud gera automaticamente um UID e GID para usuários. Mas se um cluster acessar recursos de armazenamento persistentes, talvez um administrador precise definir a UID e o GID para que os usuários correspondam explicitamente aos usuários existentes no sistema de arquivos.

Você também pode executar essas atualizações de perfil de usuário criando previamente registros de usuário como uma alternativa à operação de GUI. Para obter mais informações, consulte Gerenciamento de Usuários.

Usar a Autenticação do Entra ID com o CycleCloud

Quando você se autentica com o CycleCloud usando a ID do Entra, o sistema dá suporte aos seguintes cenários:

  1. A autenticação bem-sucedida sempre redefine as funções de usuário para corresponder às configuradas na ID do Entra. Como o tempo de vida padrão de um token de acesso é de uma hora, talvez seja necessário sair e entrar novamente para que as novas funções entrem em vigor.
  2. Se você se autenticar como um usuário previamente criado, a ID do locatário e a ID do objeto poderão estar ausentes antes do primeiro login. Nesse caso, o CycleCloud envia uma mensagem de aviso para os logs e define esses valores para corresponder aos que vêm do token de ID do Entra.
  3. Se a ID do objeto ou a ID do locatário não corresponderem às do token de acesso, o CycleCloud o tratará como um erro de autenticação. Você deve remover manualmente o registro de usuário antigo antes de se autenticar.
  4. Se você não conseguir acessar a conta de superusuário por ter esquecido de criar uma conta que possa ser autenticada com o Entra ID, poderá desativar a autenticação do Entra ID pelo console, executando ./cycle_server reset_access.
  5. Quando você cria usuários por meio da autenticação de ID do Entra, eles não têm chaves SSH públicas configuradas por padrão. Para usar o Gerenciamento de Usuário em nós, você precisa configurar as chaves manualmente.

Política de senha

O Azure CycleCloud tem uma política de senha integrada e medidas de segurança. As contas criadas com o método de autenticação interna devem ter senhas entre 8 e 123 caracteres. As senhas devem atender a pelo menos três das quatro seguintes condições:

  • Conter pelo menos uma letra maiúscula
  • Conter pelo menos uma letra minúscula
  • Conter pelo menos um número
  • Contém pelo menos um caractere especial: @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? ~ " ( ) ;

Os administradores podem exigir que os usuários atualizem senhas para seguir a nova política selecionando a caixa Forçar Alteração de Senha na próxima caixa de logon na tela Editar Conta .

Bloqueio de segurança

Qualquer conta que detecte cinco falhas de autorização dentro de 60 segundos umas das outras bloqueia automaticamente por cinco minutos. Os administradores podem desbloquear manualmente contas ou os usuários podem aguardar os cinco minutos.

  • Last updated on