System SSO został stworzony w celu podniesienia bezpieczeństwa logowania do Panelu Atman VMware Cloud.
W celu zalogowania się do panelu zarządzania w Atman VMware Cloud poprzez SSO należy w pierwszej kolejności uzyskać dostęp do konta na stronie https://auth.atman.pl.
Uzyskanie dostępu do logowania
Nazwa konta do powyższego panelu znajduje się w panelu do zarządzania serwerami Atman VMware Cloud. Hasło zostanie wysłane w mailu informującym o założeniu konta.
Konto jest w chwili obecnej tworzone przez pracowników Atmana na życzenie klienta. Przy pierwszym logowaniu będzie konieczna zmiana hasła.
Jeśli istnieje potrzeba dodania kolejnych admin-ów to można tego dokonać zgłaszając taką potrzebę pod adresem [email protected] podając adresy e-mail dodatkowych adminów.
Aby Atman aktywował utworzonych user-ów należy przesłać na adres [email protected] informację zawierającą prośbę o ich aktywację wraz z login-ami tych użytkowników.
W tytule zgłoszenia prosimy napisać, że chodzi o usługę „Atman VMware Cloud”.
* Jeżeli używają już Państwo systemu SSO przy logowaniu do Atman OpenStack Cloud nie jest wymagane zakładanie kolejnego konta.
Opis funkcjonalności panelu auth.atman.pl
Panel https://auth.atman.pl jest centralnym punktem zarządzania kontami, które będą używane do logowania do panelu Atman VMware Cloud https://panel.vmware.atman.pl/tenant/XXXXXX/ (gdzie: XXXXXX – nazwa projektu w Atman VMware Cloud). Docelowo będzie on używany do dostępu do innych usług Atman S.A.
Panel jest oparty o rozwiązanie OAuth w połączeniu OpenID Connect, który jest otwartym standardem w kwestii autoryzacji i systemów SSO (ang. Single Sign On).
Panel pozwala na włączenie podwójnej, a dla klientów nastawionych na maksymalne bezpieczeństwo, nawet potrójnej autoryzacji, ponieważ istnieje możliwość jednoczesnego włączenia TOTP oraz OTP.
Wymagania dotyczące hasła to:
- minimalna długość hasła 10 znaków
- ważność hasła: 30 dni
- jeden znak specjalny
- jedna cyfra
- jedna duża litera
- hasło nie może być takie same, jak 5 haseł wstecz
- login i hasło nie mogą być do siebie podobne (dystans Levenshteina dla loginu i hasła ustawiony jest na 4)
Hasło jest ważne 30 dni, na 7, 5 i 2 dni przed wygaśnięciem użytkownik dostanie powiadomienie mailowe o konieczności zmiany hasła.
Konto jest blokowane po 30 dniach nieaktywności (należy zalogować się przynajmniej raz w okresie 30 dni).
Logowanie do panelu Atman VMware Cloud poprzez SSO
W tym celu wchodzimy pod dedykowany dla każdego klienta link:
https://panel.vmware.atman.pl/tenant/XXXXXX/
(gdzie: XXXXXX – nazwa projektu w Atman VMware Cloud)
i wybieramy opcję „SIGN IN WITH OIDC„
Użytkownik zostanie przekierowany na adres: https://auth.atman.pl/oauth/password/xxxxxxxxxxxxxxxxxxxxxxxxx i tam należy wpisać dane logowania SSO
Następnie użytkownik zostanie przekierowany ponownie do panelu Atman VMware Cloud, gdzie może zarządzać zasobami cloud:
Zakładanie kont użytkowników w SSO
Konto admina również może zostać użyte do logowania do panelu chmurowego, niemniej jednak zalecamy stworzenie kont (w poprzedniej wersji Atman SSO były one nazywane „subkontami”) dla użytkowników firmy w celu przydzielania im dostępu do odpowiednich projektów. W tym celu należy z poziomu admina kliknąć w menu Kontakty i użytkownicy.
Na tej stronie, można dodać użytkowników na dwa sposoby:
1) Dla nowego użytkownika należy użyć opcji Dodaj użytkownika. W wyświetlonym formularzu należy poprawnie wypełnić wszystkie pola, w szczególności mail i numer telefonu, ponieważ na maila będzie wysłana informacja o haśle początkowym dla użytkownika, natomiast numer telefonu będzie używany przy autoryzacji OTP. W sekcji poniżej należy także nadać uprawnienia:
– w sekcji Uprawnienia do klienta znajdują się uprawnienia, które są nadawane klientowi i mogą dotyczyć wszystkich jego usług,
– w sekcji Uprawnienia do usług znajdują się uprawnienia, które są przydzielane do konkretnych usług posiadanych przez klienta.
2) Dla istniejącego kontaktu, który jeszcze nie posiada konta użytkownika istnieje możliwość utworzenia użytkownika. W tabeli Użytkownicy i kontakty, w prawym menu wyświetlanym dla każdego rekordu jest opcja Utwórz użytkownika. Po kliknieciu na nią, na podany adres e-mail zostanie wysłana wiadomość z hasłem tymczasowym do portalu. Po zalogowaniu się na portal za jego pomocą, konto użytkownika zostanie aktywowane.
W kolejnym kroku należy nadać użytkownikowi uprawnienia do projektu w Atman Cloud, przechodząc do sekcji Uprawnienia do klienta. Pojawi się następujący widok, w którym można wybrać uprawnienia i do których projektów zostaną przyznane.
W sekcji Użytkownicy i kontakty, każdy z rekordów może mieć wartości w kolumnie Użytkownik:
– brak użytkownika – kontakt nie posiada przypisanego konta użytkownika,
– oczekuje na rejestracje – wartość prezentowana w przypadku, gdy konto użytkownika jest w trakcie tworzenia. Na adres e-mail kontaktu został wysłana wiadomość z hasłem tymczasowym do konta. Ten status zmieni się po zalogowaniu się.
– [nazwa użytkownika] – istnieje konto użytkownika na które można się zalogować (poniżej opisany jako „tester„).
Po dodaniu nowego użytkownika istnieje możliwość zresetowania mu hasła. W tym celu należy rozwinąć menu obok przycisku Uprawnienia i wybrać opcję Resetuj hasło.
i w kolejnym kroku potwierdzić, klikając Resetuj.
Po kliknięciu zostanie wysłany mail z wygenerowanym hasłem na adres e-mail podany w profilu użytkownika.
Obsługa OTPW celu włączenia obsługi OTP (ang. one time password) należy przejść do Edycja profilu -> Uwierzytelnianie 2FA emailem lub Uwierzytelnianie 2FA telefonem zależnie od preferowanego kanału uwierzytelniania.
a następnie kliknąć Włącz.
W kolejnym kroku należy wprowadzić poprawny kod, otrzymany SMSem i kliknąć ponownie Włącz.
W celu wyłączenia obsługi OTP należy kliknąć w przycisk wyłącz w menu: Edycja profilu i kliknąć opcję Wyłącz wybranego kanału uwierzytelniania.
Należy pamiętać o tym, że kody OTP obowiązują zarówno w momencie logowania do panelu zarządzania kontem, jak również w momencie logowania do panelu zarządzania Atman Cloud.
Obsługa TOTP
W celu włączenia obsługi TOTP należy przejść do pozycji Edycja profilu -> Autoryzacja 2FA aplikacją i kliknąć Włącz, pojawi się okienko z kodem QR, który należy zeskanować w aplikacji typu Google Authenticator (google authenticator w google play, google authenticator w app store) oraz wpisać w formularzu pod kodem QR kod aktywacyjny z aplikacji.
QR code będzie również widoczny do użycia w późniejszym czasie w menu Edycja profilu -> Autoryzacja TOTP.
W celu wyłączenia autoryzacji TOTP, w menu Edycja profilu klikamy przycisk Wyłącz i potwierdzamy w kolejnym kroku:
Należy pamiętać o tym, że kody TOTP obowiązują zarówno w momencie logowania do panelu zarządzania kontem, jak również w momencie logowania do panelu zarządzania Atman Cloud.
Konta API
Konta API służą do zarządzania środowiskiem cloud poprzez CLI lub z poziomu systemów do automatyzacji, typu Terraform lub Heat.
W celu założenia konta API należy z poziomu admina firmy kliknąć w sekcji Kontakty i użytkownicy -> Użytkownicy API i następnie kliknąć Utwórz konto API.
Należy wypełnić pola Suffix oraz Opis i nacisnąć Zapisz.
Dane wypełnione w polu „Suffix” pojawią się na końcu nazwy użytkownika API, a „Opis” służy do ułatwienia identyfikacji tworzonych użytkowników API.
Po kliknięciu Zapisz pojawi się okno z danymi (Secret oraz Key), które należy zapisać, ponieważ nie będą nigdzie indziej widoczne, jak tylko w tym widoku.
W kolejnym kroku należy dodać uprawnienia do projektu w Atman Cloud dla konta API, tak jak dla każdego innego użytkownika, klikając w wyprane pozycje w sekcji Uprawnienia do klienta dla wybranych projektów w sekcji Uprawnienia do usług.
