Azure CycleCloud には、暗号化、Active Directory、LDAP、または Microsoft Entra ID を使用した組み込みデータベースの 4 つの認証方法が用意されています。 認証方法を選択して設定するには、[管理] メニュー (画面の右上) から [設定] ページを開き、[ 認証] をダブルクリックします。 優先する認証方法を選択し、次のセクションの手順に従います。
組み込み
既定では、CycleCloud は単純なデータベース承認スキームを使用します。 システムはパスワードを暗号化し、データベースに格納します。 ユーザーは、保存されているユーザー名とパスワードで認証します。 この方法を使用するには、[認証] ページの [組み込み] チェック ボックスをオンにします。
ユーザー名とパスワードを入力し、[テスト] を選択して情報を確認することで、ユーザーの資格情報を テスト できます。
Active Directory
注意事項
認証をローカルから AD、LDAP、または Entra ID に変更すると、CycleCloud インスタンスからロックアウトされる可能性があります。 アクセス権は、両方のローカル アカウントを持ち、構成されたサーバーに対して認証できるユーザーに送信されます (ローカル パスワードは無視されます)。 次の手順は、ロックアウトから保護するのに役立ちます。
- Active Directory を有効にするには、このチェック ボックスをオンにします。
- Active Directory サーバーの URL を入力します ( ldap:// または ldaps:// 以降)。
- ユーザーが "DOMAIN\user" や "user@domain.com" (UPN) などの名前で認証するかどうかに応じて、既定のドメインを "DOMAIN" または "@domain.com" と入力します。 このフィールドを空白のままにした場合、ユーザーは完全修飾名を入力する必要があります。
- [ テスト ] を選択して、CycleCloud が指定された設定を使用できることを確認します。 認証サーバーに存在するアカウントを使用します。
- 別のブラウザーまたはシークレット ウィンドウで、手順 2 で追加したドメイン アカウントとしてサインインします。
- 手順 4 でサインインに成功した場合は、最初のセッションからサインアウトできます。 認証が正しく構成されている。
前の例は、Active Directory 環境のサンプル構成を示しています。 Windows ユーザーは EXAMPLE\username としてサインインするため、ドメインとして「EXAMPLE」と入力します。 サーバー ad.example.com 認証を処理するため、URL として ldaps://ad.example.com を入力します。
注
認証の試行が失敗した後も、[ 認証の設定 ] ウィンドウに "認証に失敗しました" というメッセージが表示される場合があります。 [ キャンセル] をクリックしてもう一度開始すると、このメッセージが消去されます。 認証に成功すると、"認証に失敗しました" というメッセージが "認証に成功しました" に置き換えられます。
LDAP
- LDAP 認証を有効にするには、このチェック ボックスをオンにします。
- 適切な LDAP 設定を入力します。
- [ テスト ] を選択して、CycleCloud が指定された設定を使用できることを確認します。 認証サーバーに存在するアカウントを使用します。
- 別のブラウザーまたはシークレット ウィンドウで、手順 2 で追加したドメイン アカウントとしてサインインします。
- 手順 4 の認証が成功した場合は、最初のセッションからサインアウトできます。 認証が正しく構成されている。
Entra ID (プレビュー)
Entra 認証と承認のための CycleCloud の構成
注
最初に Microsoft Entra アプリケーションを作成する必要があります。 まだ作成していない場合は、 次の手順を参照してください。
GUI の構成
Entra ID 認証を有効にするには:
- CycleCloud を起動し、右上隅の [設定] に移動します。
-
[認証] という名前のテーブル行を選択し、[構成] を選択するか、行をダブルクリックします。 ポップアップ ダイアログで、[ Entra ID ] セクションを選択します。
- 3 つのセクションがあるウィンドウが表示されます。
Entra ID セクションに留まる。
![[Entra ID Authentication Configuration]\(Entra ID 認証の構成\) メニュー](../images/entra-setup/entra23.png?view=cyclecloud-8)
- [ Entra ID 認証を有効にする] チェック ボックスをオンにします。
- Azure portal で Microsoft Entra アプリケーションの [概要 ] ページに移動し、それらの値に基づいてテナント ID とクライアント ID を入力します。
- 既定では、エンドポイントは
https://login.microsoftonline.com(パブリック エンドポイント) に設定されます。 ただし、政府機関向けのクラウド環境などのカスタム エンドポイントを設定することもできます。 - [保存] を選択して変更を保存します。
クラスター ノードへのアクセスの構成
Linux クラスターの CycleCloud ユーザー管理機能には、クラスター ノードへの認証アクセス権を持つユーザーに SSH 公開キーが必要です。 Microsoft Entra ID の認証と承認を有効にすると、ユーザーは少なくとも 1 回 CycleCloud にサインインしてユーザー アカウント レコードを初期化します。 次に、プロファイルを編集して公開 SSH キーを追加します。
CycleCloud は、ユーザーの UID と GID を自動生成します。 ただし、クラスターが永続ストレージ リソースにアクセスする場合、管理者は、ファイルシステム上の既存のユーザーと一致するようにユーザーの UID と GID を明示的に設定する必要がある場合があります。
GUI 操作の代わりにユーザー レコードを事前に作成することで、これらのユーザー プロファイルの更新を実行することもできます。 詳細については、「 ユーザー管理」を参照してください。
CycleCloud での Entra ID 認証の使用
Entra ID を使用して CycleCloud で認証を行う場合、システムは次のシナリオをサポートします。
- 認証が成功すると、Entra ID で設定されたものと一致するようにユーザー ロールが常にリセットされます。 アクセス トークンの既定の有効期間は 1 時間であるため、新しいロールを有効にするにはサインアウトしてサインインし直す必要がある場合があります。
- 事前に作成したユーザーとして認証すると、最初のサインインの前にテナント ID とオブジェクト ID が見つからない可能性があります。 この場合、CycleCloud はログに警告メッセージを送信し、Entra ID トークンからの値と一致するようにこれらの値を設定します。
- オブジェクト ID またはテナント ID がアクセス トークン内の ID と一致しない場合、CycleCloud はそれを認証エラーとして扱います。 認証する前に、古いユーザー レコードを手動で削除する必要があります。
- Entra ID で認証できるスーパー ユーザー アカウントを作成することを忘れて自分自身をロックアウトした場合は、
./cycle_server reset_accessを実行してコンソールから Entra ID 認証を無効にすることができます。 - Entra ID 認証を使用してユーザーを作成する場合、ユーザーには既定で公開 SSH キーが構成されていません。 ノードでユーザー管理を使用するには、キーを手動で構成する必要があります。
パスワード ポリシー
Azure CycleCloud には、統合されたパスワード ポリシーとセキュリティ対策があります。 組み込みの認証方法で作成するアカウントには、8 ~ 123 文字のパスワードが必要です。 パスワードは、次の 4 つの条件のうち少なくとも 3 つを満たしている必要があります。
- 少なくとも 1 つの大文字を含む
- 小文字を 1 文字以上含む
- 少なくとも 1 つの数値を含む
- 少なくとも 1 つの特殊文字を含みます。
@ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? ~ " ( ) ;
管理者は、[アカウントの編集] 画面で [次のログイン時にパスワードの変更を強制する] ボックスを選択して、新しいポリシーに従うためにパスワードを更新するようユーザーに要求できます。
セキュリティ ロックアウト
60 秒以内に 5 つの承認エラーを検出したアカウントは、自動的に 5 分間ロックされます。 管理者は手動でアカウントのロックを解除するか、ユーザーは 5 分待つことができます。