通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

用户身份验证

Azure CycleCloud 提供四种身份验证方法:具有加密、Active Directory、LDAP 或 Microsoft Entra ID 的内置数据库。 若要选择并设置身份验证方法,请从“管理”菜单(屏幕右上角)打开 “设置” 页,然后双击“ 身份验证”。 选择首选的身份验证方法,并按照以下部分中的说明进行作。

内置

默认情况下,CycleCloud 将使用简单的数据库授权方案。 系统加密密码并将其存储在数据库中。 用户使用其存储的用户名和密码进行身份验证。 若要使用此方法,请在“身份验证”页上选中“内置”复选框。

可以通过输入用户名和密码来测试用户的凭据,然后选择 “测试 ”以验证信息。

Active Directory

谨慎

当您将身份验证方式从本地更改为 AD、LDAP 或 Entra ID 时,可能会导致无法访问您的 CycleCloud 实例。 访问权限将转到同时具有本地帐户且可以向配置的服务器进行身份验证的用户(将忽略本地密码)。 以下说明有助于防止锁定。

  1. 选中复选框以启用 Active Directory。
  2. 输入 Active Directory 服务器的 URL(从 ldap://ldaps:// 开始)。
  3. 输入默认域为“DOMAIN”或“@domain.com”,具体取决于用户是否使用“DOMAIN\user”或“”user@domain.com(UPN)等名称进行身份验证。 如果将此字段留空,用户必须输入其完全限定的名称。
  4. 选择 “测试 ”以确保 CycleCloud 可以使用提供的设置。 使用身份验证服务器上已存在的帐户。
  5. 在单独的浏览器或隐身窗口中,使用在步骤 2 中添加的域帐户登录。
  6. 如果步骤 4 中的登录成功,可以退出第一个会话。 此时,身份验证会得到正确配置。

Active Directory 配置

前面的示例演示 Active Directory 环境的示例配置。 Windows 用户以 EXAMPLE\username 身份登录,因此输入“EXAMPLE”作为域。 服务器 ad.example.com 处理身份验证,因此输入 ldaps://ad.example.com 作为 URL。

注释

身份验证尝试失败后, “身份验证设置 ”窗口可能仍显示“身份验证失败”消息。 单击“ 取消 ”并再次开始清除此消息。 成功的身份验证会将“身份验证失败”消息替换为“身份验证成功”。

LDAP

  1. 选中复选框以启用 LDAP 身份验证。
  2. 输入相应的 LDAP 设置。
  3. 选择 “测试 ”以确保 CycleCloud 可以使用提供的设置。 使用身份验证服务器上已存在的帐户。
  4. 在一个单独的浏览器或无痕模式窗口中,使用在步骤 2 中添加的域帐户进行登录。
  5. 如果步骤 4 中的身份验证成功,则可以注销第一个会话。 此时,身份验证会得到正确配置。

Entra ID(预览版)

为 CycleCloud 配置 Entra 身份验证和授权

注释

你必须先创建 Microsoft Entra 应用程序。 如果尚未创建一个,请参阅 现在创建一个

GUI 配置

若要启用 Entra ID 身份验证,请执行以下操作:

  1. 启动 CycleCloud,然后导航到右上角的设置
  2. 选择名为 “身份验证 ”的表行,然后选择“ 配置 ”或双击该行。 在弹出对话框中,选择“Entra ID”部分。 CycleCloud GUI 中的身份验证设置
  3. 你将看到一个包含三个部分的窗口。 停留在“Entra ID”部分。 Entra ID 身份验证配置菜单
  4. 选中 启用 Entra ID 身份验证 复选框。
  5. 在 Azure 门户中转到 Microsoft Entra 应用程序的 “概述 ”页,并根据这些值输入租户 ID 和客户端 ID。
  6. 默认情况下,终结点设置为 https://login.microsoftonline.com (公共终结点)。 但是,还可以设置自定义终结点,例如政府云环境的终结点。
  7. 选择 保存 以保存更改。

配置对群集节点的访问

适用于 Linux 群集的 CycleCloud 用户管理功能需要具有对群集节点的身份验证访问权限的用户的 SSH 公钥。 启用Microsoft Entra ID 身份验证和授权时,用户至少登录到 CycleCloud 一次以初始化其用户帐户记录。 然后,他们编辑个人资料以添加其 SSH 公钥。

CycleCloud 为用户自动生成 UID 和 GID。 但是,如果群集访问永久性存储资源,管理员可能需要为用户显式设置 UID 和 GID,以匹配文件系统上的现有用户。

还可以通过预先创建用户记录来作为 GUI操作的替代方法执行这些用户个人资料更新。 有关详细信息,请参阅 用户管理

使用 CycleCloud 的 Entra ID 身份验证

使用 Entra ID 使用 CycleCloud 进行身份验证时,系统支持以下方案:

  1. 成功的身份验证始终重置用户角色,以匹配在 Entra ID 中设置的用户角色。 由于访问令牌的默认有效期为一小时,因此可能需要注销并重新登录才能使新角色生效。
  2. 如果你以预先创建的用户身份进行身份验证,则首次登录之前,租户 ID 和对象 ID 可能缺失。 在这种情况下,CycleCloud 向日志发送警告消息,并设置这些值以匹配来自 Entra ID 令牌的值。
  3. 如果对象 ID 或租户 ID 与访问令牌中的 ID 不匹配,CycleCloud 会将它视为身份验证错误。 必须先手动删除旧用户记录,然后才能进行身份验证。
  4. 如果因为未创建一个可以使用 Entra ID 进行身份验证的超级用户帐户而将自己锁在超级用户帐户之外,则可以通过在控制台中运行 ./cycle_server reset_access 来禁用 Entra ID 身份验证。
  5. 通过 Entra ID 身份验证创建用户时,默认情况下没有配置公钥 SSH 密钥。 若要在节点上使用用户管理,需要手动配置密钥。

密码策略

Azure CycleCloud 具有集成的密码策略和安全措施。 使用内置身份验证方法创建的帐户必须具有长度为 8 到 123 个字符的密码。 密码必须满足以下四个条件中的至少三个:

  • 包含至少一个大写字母
  • 至少包含一个小写字母
  • 包含至少一个数字
  • 至少包含一个特殊字符: @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? ~ " ( ) ;

管理员可以要求用户更新密码以遵循新策略,方法是在“编辑帐户”屏幕的“下一个登录”框中选择“强制更改密码”。

安全锁定

任何在 60 秒内检测到五次授权失败的帐户都会自动锁定 5 分钟。 管理员可以手动解锁帐户,或者用户可以等待五分钟。