Partilhar via

Autenticação do usuário

O Azure CycleCloud oferece quatro métodos de autenticação: um banco de dados interno com criptografia, Ative Directory, LDAP ou Microsoft Entra ID. Para selecionar e configurar seu método de autenticação, abra a página Configurações no menu Admin (canto superior direito da tela) e clique duas vezes em Autenticação. Escolha seu método de autenticação preferido e siga as instruções nas seções a seguir.

Incorporado

Por padrão, o CycleCloud usa um esquema simples de autorização de banco de dados. O sistema encripta as palavras-passe e armazena-as na base de dados. Os usuários se autenticam com seu nome de usuário e senha armazenados. Para usar este método, marque a caixa de seleção Integrado na página Autenticação.

Você pode testar as credenciais de um usuário digitando o nome de usuário e a senha e selecionando Testar para verificar as informações.

Active Directory

Atenção

Ao alterar a autenticação de local para AD, LDAP ou ID do Entra, você pode se bloquear da sua instância do CycleCloud. O acesso vai para usuários que têm uma conta local e podem se autenticar no servidor configurado (senhas locais são ignoradas). As instruções a seguir ajudam a proteger contra bloqueio.

  1. Marque a caixa de seleção para habilitar o Ative Directory.
  2. Insira a URL do servidor do Ative Directory (começando com ldap:// ou ldaps://).
  3. Insira o domínio padrão como "DOMÍNIO" ou "@domain.com", dependendo se os usuários se autenticam com nomes como "DOMÍNIO\usuário" ou "user@domain.com" (UPN). Se você deixar esse campo em branco, os usuários deverão inserir seu nome totalmente qualificado.
  4. Selecione Testar para certificar-se de que o CycleCloud pode usar as configurações fornecidas. Use uma conta que exista no servidor de autenticação.
  5. Num browser separado ou numa janela anónima, inicie sessão como a conta de domínio que adicionou no passo 2.
  6. Se o início de sessão em passo 4 for bem-sucedido, pode terminar a sua sessão inicial. A autenticação está configurada corretamente.

Configuração do Ative Directory

O exemplo anterior mostra uma configuração de exemplo para um ambiente do Ative Directory. Os usuários do Windows entram como EXEMPLO\nome de usuário, então você insere "EXEMPLO" como o domínio. O servidor ad.example.com lida com a autenticação, para que você insira ldaps://ad.example.com como a URL.

Observação

Após uma tentativa de autenticação com falha, a janela Configurações de autenticação ainda pode exibir a mensagem "Falha na autenticação". Clicar em Cancelar e começar novamente limpa esta mensagem. A autenticação bem-sucedida substitui a mensagem "Falha na autenticação" por "Autenticação bem-sucedida".

LDAP

  1. Marque a caixa de seleção para ativar a autenticação LDAP.
  2. Insira as configurações LDAP apropriadas.
  3. Selecione Testar para garantir que o CycleCloud possa usar as configurações fornecidas. Use uma conta que exista no servidor de autenticação.
  4. Num browser separado ou numa janela anónima, inicie sessão como a conta de domínio que adicionou no passo 2.
  5. Se a autenticação na etapa 4 for bem-sucedida, você poderá sair da primeira sessão. A autenticação está configurada corretamente.

Entra ID (PREVIEW)

Configurando o CycleCloud para autenticação e autorização do Entra

Observação

Você deve primeiro criar um aplicativo Microsoft Entra. Se você ainda não criou um, consulte Criar um agora.

Configuração da GUI

Para ativar a Autenticação do Entra ID:

  1. Inicie o CycleCloud e navegue até Configurações no canto superior direito.
  2. Selecione a linha da tabela chamada Autenticação e selecione Configurar ou clique duas vezes na linha. Na caixa de diálogo pop-up, selecione a seção ID do Entra. Configuração de autenticação na GUI do CycleCloud
  3. Você vê uma janela com três seções. Mantenha-se na secção ID do Entra. Menu de Configuração da Autenticação ID do Entra
  4. Marque a caixa de seleção Ativar autenticação do Entra ID .
  5. Vá para a página Visão geral do seu aplicativo Microsoft Entra no portal do Azure e insira a ID do Locatário e a ID do Cliente com base nesses valores.
  6. Por padrão, o ponto de extremidade é definido como https://login.microsoftonline.com (o ponto de extremidade público). No entanto, você também pode definir um ponto de extremidade personalizado, como um para um ambiente de nuvem governamental.
  7. Selecione Guardar para guardar as alterações.

Configurando o acesso aos nós do cluster

O recurso CycleCloud User Management para clusters Linux requer uma chave pública SSH para usuários com acesso de autenticação aos nós do cluster. Quando você habilita a autenticação e a autorização do Microsoft Entra ID, os usuários entram no CycleCloud pelo menos uma vez para inicializar o registro da conta de usuário. Em seguida, eles editam seu perfil para adicionar sua chave SSH pública.

O CycleCloud gera automaticamente um UID e GID para os usuários. Mas se um cluster acessar recursos de armazenamento persistentes, um administrador pode precisar definir o UID e o GID para que os usuários correspondam explicitamente aos usuários existentes no sistema de arquivos.

Você também pode executar essas atualizações de perfil de usuário pré-criando registros de usuário como uma alternativa à operação GUI. Para obter mais informações, consulte Gerenciamento de usuários.

Usando a autenticação de ID do Entra com o CycleCloud

Quando você se autentica com o CycleCloud usando o Entra ID, o sistema suporta os seguintes cenários:

  1. A autenticação bem-sucedida sempre redefine as funções do usuário para corresponder às configuradas no Entra ID. Como a vida útil padrão de um token de acesso é de uma hora, talvez seja necessário sair e entrar novamente para que as novas funções entrem em vigor.
  2. Se te autenticares como um utilizador que criaste previamente, a ID de inquilino e a ID de objeto podem estar em falta antes do primeiro início de sessão. Nesse caso, o CycleCloud envia uma mensagem de aviso para os logs e define esses valores para corresponder aos provenientes do token Entra ID.
  3. Se o ID do objeto ou o ID do locatário não corresponderem aos do token de acesso, o CycleCloud o tratará como um erro de autenticação. Você deve remover manualmente o registro de usuário antigo antes de poder autenticar.
  4. Se ficar bloqueado na conta de Super Utilizador esquecendo-se de criar uma conta que possa autenticar com o seu ID do Entra, poderá desativar a autenticação do ID do Entra através do console executando ./cycle_server reset_access.
  5. Quando você cria usuários por meio da autenticação do Entra ID, eles não têm chaves SSH públicas configuradas por padrão. Para usar o Gerenciamento de usuários em nós, você precisa configurar as chaves manualmente.

Política de palavra-passe

O Azure CycleCloud tem uma política de senha integrada e medidas de segurança. As contas criadas com o método de autenticação interno devem ter senhas entre 8 e 123 caracteres. As senhas devem atender a pelo menos três das quatro condições a seguir:

  • Conter pelo menos uma letra maiúscula
  • Conter pelo menos uma letra minúscula
  • Conter pelo menos um número
  • Conter pelo menos um caractere especial: @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? ~ " ( ) ;

Os administradores podem exigir que os usuários atualizem as senhas para seguir a nova política, selecionando a caixa Forçar alteração de senha no próximo login na tela Editar conta .

Bloqueio de segurança

Qualquer conta que detete cinco falhas de autorização dentro de 60 segundos uma da outra é bloqueada automaticamente por cinco minutos. Os administradores podem desbloquear contas manualmente ou os utilizadores podem aguardar os cinco minutos.

  • Last updated on