Ce document a été traduit à l'aide d'une technologie de traduction automatique. Bien que nous nous efforcions de fournir des traductions exactes, nous ne fournissons aucune garantie quant à l'exhaustivité, l'exactitude ou la fiabilité du contenu traduit. En cas de divergence, la version originale anglaise prévaut et fait foi.

Utilisateurs et groupes

Rancher s’appuie sur des utilisateurs et des groupes pour déterminer qui est autorisé à se connecter à Rancher et à quelles ressources ils peuvent accéder. Lorsque vous configurez un fournisseur d’authentification externe, les utilisateurs de ce fournisseur pourront se connecter à votre serveur Rancher. Lorsqu’un utilisateur se connecte, le fournisseur d’authentification fournira à votre serveur Rancher une liste de groupes auxquels l’utilisateur appartient.

L’accès aux clusters, aux projets, ainsi qu’aux fournisseurs et aux entrées DNS globaux peut être contrôlé en ajoutant soit des utilisateurs individuels, soit des groupes à ces ressources. Lorsque vous ajoutez un groupe à une ressource, tous les utilisateurs qui sont membres de ce groupe dans le fournisseur d’authentification pourront accéder à la ressource avec les autorisations que vous avez spécifiées pour le groupe. Pour plus d’informations sur les rôles et les autorisations, voir Contrôle d’accès en fonction du rôle.

Gestion des Membres

Lorsque vous ajoutez un utilisateur ou un groupe à une ressource, vous pouvez rechercher des utilisateurs ou des groupes en commençant à taper leur nom. Le serveur Rancher interrogera le fournisseur d’authentification pour trouver des utilisateurs et des groupes qui correspondent à ce que vous avez saisi. La recherche est limitée au fournisseur d’authentification avec lequel vous êtes actuellement connecté. Par exemple, si vous avez activé l’authentification GitHub mais que vous êtes connecté avec un compte utilisateur local, vous ne pourrez pas rechercher des utilisateurs ou des groupes GitHub.

Tous les utilisateurs, qu’ils soient locaux ou provenant d’un fournisseur d’authentification, peuvent être consultés et gérés. Dans le coin supérieur gauche, cliquez sur ☰ > Utilisateurs et Authentification. Dans la barre de navigation à gauche, cliquez sur Utilisateurs.

Avertissements du Fournisseur SAML

  • Les utilisateurs et les groupes ne sont pas validés lorsque vous leur attribuez des autorisations dans Rancher.

  • Lors de l’ajout d’utilisateurs, les identifiants d’utilisateur exacts (c’est-à-dire UID Field) doivent être saisis correctement. Lorsque vous tapez l’identifiant de l’utilisateur, il n’y aura pas de recherche d’autres identifiants d’utilisateur pouvant correspondre.

  • Lors de l’ajout de groupes, vous devez sélectionner le groupe dans le menu déroulant à côté de la zone de texte. Rancher suppose que toute entrée dans la zone de texte est un utilisateur.

  • Le menu déroulant des groupes affiche uniquement les groupes dont vous êtes membre. Cependant, si vous avez des autorisations d’administrateur ou des autorisations d’administrateur restreintes, vous pouvez rejoindre un groupe dont vous n’êtes pas membre.

Informations utilisateur

Rancher conserve des informations sur chaque utilisateur qui se connecte via un fournisseur d’authentification. Ces informations incluent si l’utilisateur est autorisé à accéder à votre serveur Rancher et la liste des groupes auxquels l’utilisateur appartient. Rancher conserve ces informations utilisateur afin que la CLI, l’API et kubectl puissent refléter avec précision l’accès dont dispose l’utilisateur en fonction de son appartenance à un groupe dans le fournisseur d’authentification.

Chaque fois qu’un utilisateur se connecte à l’interface utilisateur en utilisant un fournisseur d’authentification, Rancher met automatiquement à jour ces informations utilisateur.

Actualisation automatique des informations utilisateur

Rancher actualisera périodiquement les informations utilisateur même avant qu’un utilisateur ne se connecte via l’interface utilisateur. Vous pouvez contrôler la fréquence à laquelle Rancher effectue cette actualisation.

Deux paramètres contrôlent ce comportement :

  • auth-user-info-max-age-seconds

    Ce paramètre contrôle l’ancienneté maximale des informations d’un utilisateur avant que Rancher ne les actualise. Si un utilisateur effectue un appel API (soit directement, soit en utilisant la CLI Rancher ou kubectl) et que le temps écoulé depuis la dernière actualisation de l’utilisateur est supérieur à ce paramètre, alors Rancher déclenchera une actualisation. Ce paramètre est par défaut de 3600 secondes, c’est-à-dire 1 heure.

  • auth-user-info-resync-cron

    Ce paramètre contrôle un calendrier récurrent pour la resynchronisation des informations du fournisseur d’authentification pour tous les utilisateurs. Qu’un utilisateur se soit connecté ou ait utilisé l’API récemment, cela entraînera l’actualisation de l’utilisateur à l’intervalle spécifié. Ce paramètre est par défaut de 0 0 * * *, c’est-à-dire une fois par jour à minuit. Consultez la documentation cron pour plus d’informations sur les valeurs valides pour ce paramètre.

Pour modifier ces paramètres,

  1. Dans le coin supérieur gauche, cliquez sur ☰ > Paramètres globaux.

  2. Allez dans le paramètre que vous souhaitez configurer et cliquez sur ⋮ > Modifier le paramètre.

Étant donné que SAML ne prend pas en charge la recherche d’utilisateurs, les fournisseurs d’authentification basés sur SAML ne prennent pas en charge le rafraîchissement périodique des informations utilisateur. Les informations utilisateur ne seront rafraîchies que lorsque l’utilisateur se connectera à l’interface utilisateur de Rancher.

Rafraîchissement manuel des informations utilisateur

Si vous n’êtes pas sûr de la dernière fois que Rancher a effectué un rafraîchissement automatique des informations utilisateur, vous pouvez effectuer un rafraîchissement manuel de tous les utilisateurs.

  1. Dans le coin supérieur gauche, cliquez sur ☰ > Utilisateurs et Authentification.

  2. Sur la page Utilisateurs, cliquez sur Rafraîchir les adhésions de groupe.

Résultats : Rancher rafraîchit les informations utilisateur pour tous les utilisateurs. Demander ce rafraîchissement mettra à jour les utilisateurs qui peuvent accéder à Rancher ainsi que tous les groupes auxquels chaque utilisateur appartient.

Étant donné que SAML ne prend pas en charge la recherche d’utilisateurs, les fournisseurs d’authentification basés sur SAML ne prennent pas en charge la possibilité de rafraîchir manuellement les informations utilisateur. Les informations utilisateur ne seront rafraîchies que lorsque l’utilisateur se connectera à l’interface utilisateur de Rancher.

Longueur minimum du mot de passe

Par défaut, les mots de passe des utilisateurs doivent comporter au moins 12 caractères. Cependant, vous pouvez personnaliser l’exigence de longueur de mot de passe :

  1. Dans le coin supérieur gauche, cliquez sur ☰ > Paramètres globaux.

  2. Allez à password-min-length et cliquez sur ⋮ > Modifier le paramètre.

  3. Entrez une valeur entière entre 2 et 256, puis cliquez sur Enregistrer.

Durée de session

La durée par défaut (TTL) de chaque session utilisateur est ajustable. La durée de session par défaut est de 16 heures.

  1. Dans le coin supérieur gauche, cliquez sur ☰ > Paramètres globaux.

  2. Allez à auth-user-session-ttl-minutes et cliquez sur ⋮ > Modifier le paramètre.

  3. Entrez la durée en minutes pendant laquelle une session doit durer et cliquez sur Enregistrer.

Résultat : Les utilisateurs sont automatiquement déconnectés de Rancher après le nombre de minutes défini.