IBM Cloud Identity and Access Management

• Gestione dell'accesso gestita centralmente in tutto IBM Cloud.
• Consentire a un utente o a un servizio di accedere a molte risorse diverse utilizzando lo stesso set di credenziali (ad esempio, stesso nome utente e password o chiave API IAM).
• Alle chiavi API IAM è possibile concedere l'accesso alle funzioni di gestione dell'account, come la creazione di nuovi database.

Controlli di accesso legacy IBM Cloudant

• Unico per IBM Cloudant.
• L'accesso a ogni istanza del servizio richiede una sua serie di credenziali.
• Utilizza l'autenticazione di base HTTP con credenziali che non sono associate a un singolo utente o servizio.
• IBM Cloudant Le chiavi API possono concedere autorizzazioni solo a livello di database.

Note sulle chiavi API

In questo documento, ovunque siano menzionate le chiavi API, ci si riferisce alle chiavi API IAM. Anche i controlli di accesso legacy IBM Cloudant hanno un concetto di chiavi API e qualsiasi discussione sulle credenziali legacy o sulle combinazioni di nome utente e password IBM Cloudant include anche le chiavi API IBM Cloudant.

IBM Cloudant Chiavi API e utilizzo solo IAM

L'utilizzo di chiavi API IBM Cloudant insieme a IAM è possibile ma non è consigliato. Questo consiglio è fatto perché IBM Cloudant Le autorizzazioni e le chiavi API non sono visibili o gestibili utilizzando l'interfaccia della politica IAM, rendendo impossibile la gestione dell'accesso olistico.

La scelta tra Usa solo IAM o Usa sia credenziali legacy che IAM influisce sui seguenti fattori:

1. Se le credenziali a livello di account IBM Cloudant legacy sono disponibili per gestire i database e altre azioni a livello di account.
2. Lo stile delle credenziali fornite durante la generazione delle credenziali del servizio.

In particolare, è ancora possibile utilizzare le chiavi API IBM Cloudant per gestire l'accesso al database. Queste credenziali devono essere generate e configurate utilizzando l'API HTTP.

Provisioning utilizzando la riga di comando

Quando si esegue il provisioning di una nuova istanza di IBM Cloudant dalla riga di comando, fornire un'opzione allo strumento ibmcloud utilizzando il parametro -p per abilitare o disabilitare le credenziali legacy per un account L'opzione viene passata in formato JSON ed è denominata legacyCredentials.

Per impostare un'istanza come Usa solo IAM (consigliato), eseguire il seguente comando:

ibmcloud resource service-instance-create  "Instance Name" \
    cloudantnosqldb Standard us-south \
    -p {"legacyCredentials": false}

Quando utilizzi ruoli IAM diversi da Manager, come ad esempio Reader, Writer, Monitor o Checkpointer, devi utilizzare Utilizza solo IAM per evitare di fornire agli utenti le credenziali legacy che includono maggiori autorizzazioni di accesso.

Per creare un'istanza come Usa sia le credenziali legacy che IAM, eseguire il seguente comando:

ibmcloud resource service-instance-create  "Instance Name" \
    cloudantnosqldb Standard us-south \
    -p {"legacyCredentials": true}

Esempi JSON di credenziali del servizio per ogni opzione

La scelta tra Utilizza solo IAM e Utilizza sia credenziali legacy che controllo di accesso IAM influisce sul modo in cui le credenziali vengono distribuite all'applicazione quando si associano e si generano le credenziali del servizio. Quando generi le credenziali all'interno del IBM Cloud Interfaccia IAM, le chiavi API vengono visualizzate in tale interfaccia quando vengono generate.

Puoi anche generare le credenziali dalla sezione Credenziali del servizio di una istanza del servizio. Generare le credenziali del servizio in questo modo crea un blob JSON di credenziali del servizio che può essere incollato nelle applicazioni con tutti i dettagli necessari per accedere all'istanza del servizio.

Successivamente, puoi vedere come appare la credenziale di servizio JSON e cosa significa ogni valore.

Quando si seleziona Usa solo IAM, le credenziali di servizio generate contengono solo valori IAM e hanno l'aspetto dell'esempio seguente.

{
  "apikey": "MxVp86XHkU82Wc97tdvDF8qM8B0Xdit2RqR1mGfVXPWz",
  "iam_apikey_description": "Auto generated apikey during resource-key [...]",
  "iam_apikey_name": "auto-generated-apikey-050d21b5-5f[...]",
  "iam_role_crn": "crn:v1:bluemix:public:iam::::serviceRole:Manager",
  "iam_serviceid_crn": "crn:v1:staging:public:iam-identity::[...]",
  "url": "https://76838001-b883-444d-90d0-46f89e942a15-bluemix.cloudant.com",
  "username": "76838001-b883-444d-90d0-46f89e942a15-bluemix"
}

Ogni valore nell'esempio JSON precedente deve essere interpretato utilizzando le seguenti definizioni:

apikey

Chiave API IAM.

iam_apikey_description

Descrizione della chiave API IAM.

iam_apikey_name

ID della chiave API IAM.

iam_role_crn

Il ruolo IAM che ha la chiave API IAM.

iam_serviceid_crn

Il CRN dell'ID servizio.

url

IBM Cloudant URL del servizio.

username

Il nome account interno IBM Cloudant.

Quando si seleziona Usa sia credenziali legacy che IAM, le credenziali di servizio generate contengono sia credenziali IAM che legacy e assomigliano ai valori dell'esempio seguente.

{
  "apikey": "MxVp86XHkU82Wc97tdvDF8qM8B0Xdit2RqR1mGfVXPWz",
  "host": "76838001-b883-444d-90d0-46f89e942a15-bluemix.cloudant.com",
  "iam_apikey_description": "Auto generated apikey during resource-key [...]",
  "iam_apikey_name": "auto-generated-apikey-050d21b5-5f[...]",
  "iam_role_crn": "crn:v1:bluemix:public:iam::::serviceRole:Manager",
  "iam_serviceid_crn": "crn:v1:staging:public:iam-identity::[...]",
  "password": "8fb6a16b48903e87b769e7f4968521e85c2394ed8f0e69b2769e56dcb27d2e76",
  "port": 443,
  "url": "https://<username>:<password>@76838001-b883-444d-90d0-46f89e942a15-bluemix.cloudant.com",
  "username": "apikey-v2-58B528DF5397465BB6673E1B79482A8C"
}

Ogni valore nell'esempio JSON precedente deve essere interpretato utilizzando le seguenti definizioni:

apikey

Chiave API IAM.

host

Nome host del servizio IBM Cloudant.

iam_apikey_description

Descrizione della chiave API IAM.

iam_apikey_name

ID della chiave API IAM.

iam_role_crn

Il ruolo IAM che ha la chiave API IAM.

iam_serviceid_crn

Il CRN dell'ID servizio.

password

La password della credenziale legacy IBM Cloudant.

port

Porta del servizio IBM Cloudant.

url

IBM Cloudant URL, incluso l' IBM Cloudant embedded credenziali legacy.

username

Il nome utente della credenziale legacy IBM Cloudant.

Tieni presente che username e password inclusi sono sempre equivalenti alle credenziali di IAM Manager. Pertanto, l'utilizzo di Utilizza sia le credenziali legacy che IAM non è sicuro quando viene utilizzato con i ruoli Reader, Writer, Monitor o Checkpointer IAM.

Vantaggi e svantaggi dei due meccanismi di controllo dell'accesso

Complessivamente, IBM Cloud IAM è il modello di autenticazione consigliato. Tuttavia, gli svantaggi principali di questo approccio sono se si dispone di un'applicazione esistente o non si è in grado di utilizzare una libreria client supportata da IBM Cloudant.

Esempi

Generazione delle chiavi API IAM per origine e destinazione e una per l'accesso API IBM Cloudant

In questo esercizio, vengono create le prime due chiavi API in modo che le due istanze possano comunicare tra loro durante il processo di replica. La terza chiave API è per l'utente per accedere all'API IBM Cloudant, creare il database _replicator e quindi aggiungere il documento di replica.

Attieniti alla seguente procedura per generare chiavi API IAM e accesso API per IBM Cloudant. È necessario annotare le credenziali richieste nei seguenti passi per continuare con l'esempio.

Assicurarsi di selezionare l'istanza specificata, l'origine o la destinazione.

1. Accedi a cloud.ibm.com.

2. Dall'elenco Risorsa, seleziona Servizi e la tua istanza di origine.

   1. Fare clic su Credenziali di servizio e quindi su Nuova credenziale.

   2. Denominare la nuova credenziale replicator-source e selezionare il ruolo Gestore.

   3. Fai clic su Aggiungi e prendi nota del suo apikey, che si trova in Visualizza credenziali nella colonna Azioni.

3. Ripetere i passi da 2 a 2.c. per l'istanza di destinazione.

   1. Creare una credenziale denominata replicator-target con il ruolo Gestore.

   2. Prendi nota della sua chiave API IAM, che si trova in Visualizza credenziali nella colonna Azioni.

4. Seleziona l'istanza di origine e fai clic su Credenziali del servizio e Nuova credenziale.

   1. Denominare la nuova credenziale apiaccess e selezionare il ruolo Gestore.

   2. Prendi nota della chiave API IAM effettiva in Visualizza credenziali nella colonna Azioni.

5. Prendere nota degli URL dell'istanza di origine e di destinazione.

A seconda del tuo flusso di lavoro, invece di creare una credenziale a livello di servizio (passo 4), puoi utilizzare una chiave API IAM personale, come descritto in Creazione di una chiave API.

Puoi anche completare questa procedura sulla riga di comando utilizzando la catena di strumenti CLIIBM Cloud.

Generazione di un token di connessione per l'autenticazione rispetto all'API di IBM Cloudant

Nel passo 4.b, hai scritto la chiave apiaccess. Utilizzare ora tale chiave:

curl -k -X POST \
  --header "Content-Type: application/x-www-form-urlencoded" \
  --header "Accept: application/json" \
  --data-urlencode "grant_type=urn:ibm:params:oauth:grant-type:apikey" \
  --data-urlencode "apikey=aSCsx4...2lN97h_2Ts" \
  "https://iam.cloud.ibm.com/identity/token"

La chiave apiaccess restituisce le seguenti informazioni (abbreviate):

{
   "access_token": "eyJraWQiOiIyMDE5MD...tIwkCO9A",
   "refresh_token": "ReVbNrHo3UA38...mq67g",
   "token_type": "Bearer",
   "expires_in": 3600,
   "expiration": 1566313064,
   "scope": "ibm openid"
}

Creare una variabile di ambiente per salvare alcuni tipi utilizzando il valore sotto la chiave access_token nei dati di risposta:

export TOK="Bearer eyJraWQiOiIyMDE5MD...tIwkCO9A"

Creazione del database _replicator sul lato origine

L' URL è l' URL dell'istanza sorgente scritto in precedenza al punto 4.b

curl -k -X PUT \
     -H"Content-type: application/json" \
     -H'Authorization: '"$TOK"'' \
     'https://d43caf1b-e2c8-4d3e-9b85-1d04839fa68f-bluemix.cloudant.com/_replicator'

Vedere i risultati nel seguente esempio:

{"ok": "true"}

Creazione del lavoro di replica

Creare un file denominato data.json che contenga le seguenti informazioni. Le due chiavi sono le chiavi API di origine e di destinazione create all'inizio e gli URL delle istanze di origine e di destinazione, con i nomi database aggiunti.

{
  "source": {
    "url": "https://d43caf1b-e2c8-4d3e-9b85-1d04839fa68f-bluemix.cloudant.com/source",
    "auth": {
      "iam": {
        "api_key": "xju1...TxuS"
      }
    }
  },
  "target": {
    "url": "https://dbc68dd8-f69f-4083-97dd-bf0a3e1a467a-bluemix.cloudant.com/target",
    "auth": {
      "iam": {
        "api_key": "UElc7...QIaL01Bjn"
      }
    }
  },
  "create_target": true,
  "continuous": true
}

Scrivere ora un documento di replica denominato source_dest nel database _replicator sull'istanza di origine.

curl -k -X PUT \
     -H"Content-type: application/json" \
     -H'Authorization: '"$TOK"'' \
     'https://d43caf1b-e2c8-4d3e-9b85-1d04839fa68f-bluemix.cloudant.com/_replicator/source_dest' -d@data.json

Vedere i risultati nel seguente esempio:

{"ok":true,"id":"source_dest","rev":"1-89b01e42968acd5944ed657b87c49f0c"}

Versioni della libreria client richieste

La connettività IAM è disponibile nell'ultima release di tutte le librerie client supportate. Per ulteriori informazioni, consultare Librerie client.

Accesso utilizzando il client HTTP

IBM Cloud IAM richiede che una chiave API IAM venga scambiata con un token di accesso a tempo limitato prima di effettuare una richiesta a una risorsa o a un servizio. Il token di accesso viene quindi incluso nell'intestazione HTTP Authorization al servizio. Quando il token di accesso scade, il cliente deve gestire l'ottenimento di un nuovo token dal servizio token IAM.

Come indicato in precedenza, se utilizzi IBM Cloud IAM, devi prima scambiare una chiave API IBM per un token di accesso a tempo limitato. Successivamente, utilizzi il token per l'autenticazione rispetto all'API IBM Cloudant.

In Python, un esempio potrebbe presentarsi così:

import time

import requests

API_KEY = "MxVp86XHkU82Wc97tdvDF8qM8B0Xdit2RqR1mGfVXPWz"
ACCOUNT = "76838001-b883-444d-90d0-46f89e942a15-bluemix"

def get_access_token(api_key):
    """Retrieve an access token from the IAM token service."""
    token_response = requests.post(
        "https://iam.cloud.ibm.com/identity/token",
        data={
            "grant_type": "urn:ibm:params:oauth:grant-type:apikey",
            "response_type": "cloud_iam",
            "apikey": api_key
        },
        headers={
            "Accept": "application/json"
        }
    )
    if token_response.status_code == 200:
        print "Got access token from IAM"
        return token_response.json()['access_token']
    else:
        print token_response.status_code, token_response.json()
        return None

def main(api_key, account):
    access_token = None
    while True:
        if not access_token:
            access_token = get_access_token(api_key)

        if access_token:
            response = requests.get(
                "https://{0}.cloudant.com/_all_dbs".format(account),
                headers={
                    "Accept": "application/json",
                    "Authorization": "Bearer {0}".format(access_token)
                }
            )
            print "Got Cloudant response, status code", response.status_code
            if response.status_code == 401:
                print "Token has expired."
                access_token = None

        time.sleep(1)

if __name__ == "__main__":
    main(API_KEY, ACCOUNT)

Creazione di una zona di rete

Per aggiungere IBM Cloudant all'elenco di accesso IAM, devi prima creare una zona di rete che includa il servizio IBM Cloudant.

Per creare una zona di rete, completare i seguenti passaggi.

1. Nella console IBM Cloud, fai clic su Gestisci > Limitazioni basate sul contesto e seleziona Network zones.
2. Fai clic su Crea.
3. Immettere un nome univoco (ad esempio, cloudant-network) e, facoltativamente, una descrizione.
4. In Reference a service, selezionare il tipo di servizio IAM Services e il servizio IBM Cloudant. Fare clic su Aggiungi per associare gli indirizzi IP IBM Cloudant alla propria area di rete.
5. Fare clic su Avanti per esaminare la zona di rete.
6. Fai clic su Crea.

Riferimento alla zona di rete nell'elenco IP IAM consentiti

La Zona di rete creata in precedenza, denominata cloudant-network, può ora essere utilizzata nel tuo IAM IP allowlist.

1. Nella console IBM Cloud, fai clic su Gestisci > Accesso (IAM) e seleziona Impostazioni.
2. Dalla sezione Account, abilitare l'impostazione Accesso indirizzo IP.
3. Nel campo Allowed IP addresses, aggiungere il nome della zona di rete creata in precedenza (ad esempio cloudant-network).
4. Fare clic su Salva.

Ruoli IBM Cloudant

La seguente tabella elenca i ruoli del servizio IAM disponibili per IBM Cloudant e una breve descrizione di ciascuno.

Il Gestore è comprensivo di tutte le azioni di Lettore e Scrittore e il Scrittore è comprensivo di tutte le azioni di Lettore.

Azioni di IBM Cloudant

La tabella seguente descrive le azioni e i ruoli IAM disponibili. Per l'autorizzazione dettagliata, è possibile utilizzare i ruoli di Manager, Reader, Writer, Monitor o Checkpointer.

Quando utilizzi ruoli IAM diversi da Manager, come ad esempio Reader, Writer, Monitor o Checkpointer, devi utilizzare Utilizza solo IAM per evitare di fornire agli utenti le credenziali legacy che includono maggiori autorizzazioni di accesso.

Assicurati che il tuo account sia abilitato per IAM

Nella sezione Panoramica della dashboard dell' IBM Cloudant, il "metodo di autenticazione" è elencato sotto i dettagli di distribuzione. I tuoi metodi di autenticazione disponibili sono elencati lì.