Nowe SSO w Atman VMware Cloud =============================== System SSO został stworzony w celu podniesienia bezpieczeństwa logowania do Panelu Atman VMware Cloud. W celu zalogowania się do panelu zarządzania w Atman VMware Cloud poprzez SSO należy w pierwszej kolejności uzyskać dostęp do konta na stronie . Uzyskanie dostępu do logowania -------------------------------- Nazwa konta do powyższego panelu znajduje się w panelu do zarządzania serwerami Atman VMware Cloud. Hasło zostanie wysłane w mailu informującym o założeniu konta. Konto jest w chwili obecnej tworzone przez pracowników Atmana na życzenie klienta. Przy pierwszym logowaniu będzie konieczna zmiana hasła. Jeśli istnieje **potrzeba dodania kolejnych admin-ów** to można tego dokonać zgłaszając taką potrzebę pod adresem **podając adresy e-mail dodatkowych adminów**. Aby **Atman aktywował utworzonych user-ów** należy przesłać na adres informację zawierającą **prośbę o ich aktywację wraz z login-ami tych użytkowników**. W tytule zgłoszenia prosimy napisać, że chodzi o usługę „**Atman VMware Cloud**”. *Jeżeli używają już Państwo systemu SSO przy logowaniu do Atman OpenStack Cloud nie jest wymagane zakładanie kolejnego konta.* Opis funkcjonalności panelu auth.atman.pl ------------------------------------------- Panel jest **centralnym punktem zarządzania kontami**, które będą używane do logowania do panelu Atman VMware Cloud (gdzie: **XXXXXX** – nazwa projektu w Atman VMware Cloud). Docelowo będzie on używany do dostępu do innych usług Atman S.A. Panel jest oparty o rozwiązanie **OAuth** w połączeniu **OpenID Connect**, który jest otwartym standardem w kwestii autoryzacji i systemów **SSO** (ang. **Single Sign On**). Panel pozwala na włączenie podwójnej, a dla klientów nastawionych na maksymalne bezpieczeństwo, nawet potrójnej autoryzacji, ponieważ istnieje możliwość **jednoczesnego** włączenia **TOTP** oraz **OTP**. **Wymagania dotyczące hasła to:** - minimalna długość hasła 10 znaków - ważność hasła: 30 dni - jeden znak specjalny - jedna cyfra - jedna duża litera - hasło nie może być takie same, jak 5 haseł wstecz - login i hasło nie mogą być do siebie podobne ([dystans Levenshteina](https://pl.wikipedia.org/wiki/Odleg%C5%82o%C5%9B%C4%87_Levenshteina)) dla loginu i hasła ustawiony jest na 4) Hasło jest ważne 30 dni, na 7, 5 i 2 dni przed wygaśnięciem użytkownik dostanie powiadomienie mailowe o konieczności zmiany hasła. Konto jest blokowane po 30 dniach nieaktywności (należy zalogować się przynajmniej raz w okresie 30 dni). Logowanie do panelu Atman VMware Cloud poprzez SSO ----------------------------------------------------- W tym celu wchodzimy pod dedykowany dla każdego klienta link: (gdzie: **XXXXXX** – nazwa projektu w Atman VMware Cloud) i wybieramy opcję „**SIGN IN WITH OIDC**„ ![pic1](images/Logowanie_do_panelu_Atman_VMware_Cloud_poprzez_SSO_1.png) Użytkownik zostanie przekierowany na adres: i tam należy wpisać dane logowania SSO ![pic2](images/SSOv2_new_1_logowanie.png) Następnie użytkownik zostanie przekierowany ponownie do panelu Atman VMware Cloud, gdzie może zarządzać zasobami cloud: ![pic3](images/Logowanie_do_panelu_Atman_VMware_Cloud_poprzez_SSO_3_1.png) Zakładanie kont użytkowników w SSO ------------------------------------- Konto **superadmina** również może zostać użyte do logowania do panelu chmurowego, niemniej jednak zalecamy stworzenie kont (w poprzedniej wersji Atman SSO były one nazywane „subkontami”) dla użytkowników firmy w celu przydzielania im dostępu do odpowiednich projektów. W tym celu należy z poziomu superadmina kliknąć w menu **Użytkownicy i kontakty**. ![pic4](images/SSOv2_new_uzytkownicy_i_kontakty_2.png) **Na tej stronie, można dodać użytkowników na dwa sposoby**: 1. **Dla nowego użytkownika** należy użyć opcji **Dodaj użytkownika.** W wyświetlonym formularzu należy poprawnie wypełnić wszystkie pola, w szczególności mail i numer telefonu, ponieważ na maila będzie wysłana informacja o haśle początkowym dla użytkownika, natomiast numer telefonu będzie używany przy autoryzacji OTP. W sekcji poniżej należy także **nadać uprawnienia:** - w sekcji **Uprawnienia** znajdują się uprawnienia, które są **nadawane klientowi i mogą dotyczyć wszystkich jego usług**, - w sekcji **Uprawnienia do usług** znajdują się uprawnienia, które są **przydzielane do konkretnych usług** posiadanych przez klienta. 2. Dla **istniejącego kontaktu**, który jeszcze nie posiada konta użytkownika **istnieje możliwość utworzenia użytkownika**. W tabeli **Użytkownicy i kontakty**, w prawym menu wyświetlanym dla każdego rekordu jest opcja **Dodaj użytkownika**. Po kliknieciu na nią, na podany adres e-mail zostanie wysłana wiadomość z hasłem tymczasowym do portalu. Po zalogowaniu się na portal za jego pomocą, konto użytkownika zostanie aktywowane. ![pic5](images/SSOv2_new_3_tworzenie_subkont.png) W kolejnym kroku należy **nadać użytkownikowi uprawnienia do projektu** w Atman Cloud, przechodząc do sekcji **Uprawnienia**. Pojawi się następujący widok, w którym można wybrać uprawnienia i do których projektów zostaną przyznane. ![pic6](images/SSOv2_new_4_tworzenie_subkont.png) ![pic7](images/SSOv2_new_5_uprawnienia.png) ![pic8](images/SSOv2_new_5_2_uprawnienia.png) W sekcji **Użytkownicy i kontakty**, każdy z rekordów może mieć **wartości** w kolumnie **Użytkownik**: - **brak użytkownika** – kontakt nie posiada przypisanego konta użytkownika, - **oczekuje na rejestrację** – wartość prezentowana w przypadku, gdy konto użytkownika jest w trakcie tworzenia. Na adres e-mail kontaktu został wysłana wiadomość z hasłem tymczasowym do konta. Ten status zmieni się po zalogowaniu się. - **[nazwa użytkownika]** – istnieje konto użytkownika na które można się zalogować (poniżej opisany jako „**tester**„). ![pic9](images/SSOv2_new_uzytkownicy_i_kontakty_4_statusy.png) Po dodaniu nowego użytkownika istnieje **możliwość zresetowania mu hasła**. W tym celu należy rozwinąć menu obok przycisku **Uprawnienia** i wybrać opcję **Zresetuj hasło**. ![pic10](images/SSOv2_new_reset_hasla.png) i w kolejnym kroku potwierdzić, klikając **Resetuj**. ![pic11](images/SSOv2_new_reset_hasla_2.png) Po kliknięciu zostanie wysłany mail z wygenerowanym hasłem na adres e-mail podany w profilu użytkownika. ![pic12](images/SSOv2_new_reset_hasla_3.png) Obsługa OTP ------------ W celu włączenia obsługi **OTP** (ang. **One Time Password**) należy przejść do **Edycja profilu -> Uwierzytelnianie 2FA e-mailem** lub **Uwierzytelnianie 2FA SMS-em** zależnie od preferowanego kanału uwierzytelniania. **Domyślnie aktywna** jest opcja **Uwierzytelnianie 2FA e-mailem** ale **istnieje możliwość włączenia kolejnych kanałów** przy czym **jeden** z aktywnych kanałów **musi zostać ustawiony jako domyślny**. ![pic13](images/SSOv2_new_uprawnienia_subkont_2.png) ![pic14](images/SSOv2_new_subkonto_uwierzytelnianie_emailem.png) ![pic15](images/SSOv2_new_subkonto_uwierzytelnianie_telefon.png) a następnie kliknąć **Włącz**. W kolejnym kroku należy wprowadzić poprawny kod, otrzymany SMSem i kliknąć ponownie **Włącz**. W celu **wyłączenia obsługi OTP** należy kliknąć w przycisk wyłącz w menu: **Edycja profilu** i kliknąć opcję **Wyłącz** wybranego kanału uwierzytelniania. ![pic16](images/SSOv2_new_wylaczanie_uwierzytelniania.png) Należy pamiętać o tym, że kody OTP obowiązują zarówno w momencie logowania do panelu zarządzania kontem, jak również w momencie logowania do panelu zarządzania Atman Cloud. Obsługa TOTP ------------- W celu **włączenia obsługi TOTP** należy przejść do pozycji **Edycja profilu -> Autoryzacja 2FA aplikacją** i kliknąć **Włącz**, pojawi się **okienko z kodem QR**, który należy zeskanować w aplikacji typu **Google Authenticator** (Google Authenticator w [Google Play](https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=en_US&gl=US), Google Authenticator w [App Store](https://apps.apple.com/pl/app/google-authenticator/id388497605?l=pl) oraz wpisać w formularzu pod kodem QR kod aktywacyjny z aplikacji. ![pic17](images/SSOv2_new_subkonto_uwierzytelnianie_QR.png) QR code będzie również widoczny do użycia w późniejszym czasie w menu **Edycja profilu -> Autoryzacja 2FA aplikacją**. W celu **wyłączenia autoryzacji TOTP**, w menu **Edycja profilu** klikamy przycisk **Wyłącz** i potwierdzamy w kolejnym kroku: ![pic18](images/SSOv2_new_wylaczanie_uwierzytelniania_potwierdzenie.png) Należy pamiętać o tym, że kody TOTP obowiązują zarówno w momencie logowania do panelu zarządzania kontem, jak również w momencie logowania do panelu zarządzania Atman Cloud. Konta API ----------- Konta API służą do zarządzania środowiskiem cloud poprzez **CLI** lub z poziomu systemów do automatyzacji, typu **Terraform** lub **Heat**. W celu założenia konta API należy **z poziomu admina firmy** kliknąć w sekcji **Użytkownicy API** i następnie kliknąć **Utwórz konto API**. ![pic19](images/SSOv2_new_6_API.png) Należy wypełnić pola **Suffix** oraz **Opis** i nacisnąć **Zapisz**. ![pic20](images/SSOv2_new_6_1_API_tworzenie_konta.png) Dane wypełnione w polu „**Suffix**” pojawią się na końcu nazwy użytkownika API, a „**Opis**” służy do ułatwienia identyfikacji tworzonych użytkowników API. ![pic21](images/SSOv2_new_6_2_API_tworzenie_konta.png) Po kliknięciu **Zapisz** pojawi się okno z danymi (**Secret** oraz **Key**), które **należy zapisać**, ponieważ **nie będą nigdzie indziej widoczne**, jak tylko w tym widoku. ![pic22](images/SSOv2_new_6_4_API_tworzenie_konta_potwierdzenie.png) W kolejnym kroku należy dodać uprawnienia do projektu w Atman Cloud dla konta API, tak jak dla każdego innego użytkownika, klikając w wyprane pozycje w sekcji **Uprawnienia** dla wybranych projektów w sekcji **Uprawnienia do usług**. ![pic23](images/SSOv2_new_6_2_API_uprawnienia.png)