IBM Cloud Docs
Authentifizierung von externem Identitätsprovider aktivieren

Authentifizierung von externem Identitätsprovider aktivieren

Sie können eine Integration mit Ihrem externen Identitätsprovider (Identity Provider, IdP) durchführen, um externe Benutzer an Ihrem IBM Cloud®-Konto zu authentifizieren. Mithilfe Ihres IdP können Sie eine Möglichkeit für Benutzer in Ihrem Unternehmen bereitstellen, die einmalige Anmeldung (Single Sign-on, SSO) zu verwenden. Wenn Sie Ihr Cloudkonto mit einer von Ihnen festgelegten IBM Cloud App ID-Instanz verbinden, ist all dies möglich.

Eine häufiger verwendete Authentifizierungsmethode in IBM Cloud, die eine föderierte Anmeldung bei allen IBM Produkten ermöglicht und für die keine Nutzungsgebühren anfallen, ist die IBMid-Föderierung durch die Registrierung der Domäne Ihres Unternehmens. Nach der Registrierung der Unternehmensdomäne bei IBM können sich die Benutzer unter Verwendung der bestehenden Benutzerberechtigungsnachweise des Unternehmens bei IBM Produkten und Services anmelden. Die Authentifizierung erfolgt dann mithilfe des Single Sign-on (SSO) über den Identitätsprovider Ihres Unternehmens. Informationen darüber, wie Sie Ihr Unternehmen für eine Federated ID registrieren können, finden Sie im IBMid Enterprise Federation Adoption Guide. Ein IBM-Sponsor, z. B. ein Produkt- oder Kundenvertreter, ist erforderlich, wenn Sie die Registrierung von Federated IDs beantragen.

Um mit der Einrichtung von IBMid für die Unternehmensföderation zu beginnen, öffnen Sie einen Fall unter ibm.com/mysupport und wählen Sie IBMid Enterprise Federation als Produkt aus.

Wenn Sie eine externe IdP-Referenz über IAM verwenden, können für jedes Konto bis zu fünf IdP-Referenzen auf der Identitätsproviderseite im Abschnitt 'Zugriff (IAM)' der Konsole hinzugefügt werden. Zum Konfigurieren der IdP-Referenz wählen Sie aus, welche App ID-Instanz mit IAM integriert werden soll. Anschließend wird der IdP-Referenz eine nach dem Zufallsprinzip generierte Realm-ID zugeordnet, die das eindeutige Präfix für Benutzer dieser App ID-Serviceinstanz darstellt.

Wenn die Integration der mit dem IdP konfigurierten App ID-Instanz mit dem IBM Cloud-Konto abgeschlossen ist, können Sie mit der Verwaltung aller Benutzer extern im IdP fortfahren. Außerdem wird so der Anmeldeprozess am Cloudkonto für Benutzer in Ihrem Unternehmen vereinfacht. Nach Abschluss der Integration müssen Sie den Benutzern eine angepasste URL bereitstellen, mit der sie sich jedes Mal anmelden können. Es ist nicht erforderlich, alle Benutzer zum Konto einzuladen, weil sich diese mit ihren Berechtigungsnachweisen über die angepasste URL anmelden können, sofern sie bereits als Benutzer im verbundenen Benutzerrepository des IdP vorhanden sind.

Vorbereitende Schritte

  • Um zu entscheiden, welche die richtige Föderationsoption für Sie ist, lesen Sie den SAML-Föderationsleitfaden unter IBM Cloud.
  • Erstellen Sie eine Instanz von App ID aus dem IBM Cloud-Katalog. Weitere Informationen enthält das Lernprogramm 'Einführung'.
  • Konfigurieren Sie die App ID-Instanz. weitere Informationen zur Vorgehensweise in Ihrem Anwendungsfall finden Sie in der App ID-Dokumentation zu Authentifizierung verwalten.
  • Stellen Sie sicher, dass Sie über die erforderliche Zugriffsberechtigung verfügen, um IdP-Referenzen anzuzeigen und zu verwalten, wenn Sie nicht Kontoeigner sind. Sie müssen über die Operatorrolle oder eine höhere Rolle für die App ID-Instanz und die Operatorrolle oder eine Verwaltungsrolle für IAM Identity Service verfügen.

App ID-Instanz für IAM-Integration konfigurieren

Überprüfen Sie die folgenden Anforderungen, wie Ihre App ID-Instanz konfiguriert sein muss, um ordnungsgemäß als IAM-Identitätsanbieter ( IdP ) für Ihr IBM Cloud-Konto zu funktionieren.

Falls Sie beabsichtigen, die App ID-Instanz für die Integration mit dem IAM-Identitätsprovider zu verwenden, kann sich jeder Benutzer beim Konto anmelden, der sich bei dieser App ID-Instanz authentifizieren kann. Berücksichtigen Sie deswegen beim Konfigurieren der Instanz die folgenden Richtlinien:

Inaktivieren Sie die folgenden Authentifizierungstypen:

  • Facebook
  • Google
  • IBMid
  • Anonym

Falls Sie Cloud Directory als Authentifizierungsmethode verwenden möchten, inaktivieren Sie die Option zum Anmelden der Benutzer über die App und fügen Sie stattdessen nur bekannte Benutzer einzeln zu Cloud Directory hinzu.

IAM-spezifische Attribute in App ID-Token festlegen

Damit IAM ordnungsgemäß mit dem externen Identitätsprovider zusammenarbeiten kann, müssen Sie sicherstellen, dass von der App ID-Instanz alle erforderlichen Attribute bereitgestellt werden. Die erforderlichen Attribute werden in der folgenden Tabelle aufgeführt:

Erforderliche Attribute für App ID
Attribut Anforderung für App ID-ID-Token Quelle Beschreibung
identifier (erforderlich) ID App ID (generiert) Eine eindeutige Kennung, die einen Benutzer angibt. Sie kann während der Lebensdauer dieses Benutzers nicht geändert werden. App ID erstellt diese ID.
E-Mail (erforderlich) E-Mail Wird von SAML-Zusicherung 'email' zugeordnet, die für Cloud Directory und SAML-Konfigurationen obligatorisch ist. Die E-Mail-Adresse des Benutzers.
username (empfohlen) preferred_username, falls vorhanden; andernfalls 'sub' Wird von SAML-Zusicherung 'preferred_username', 'username', 'user_name' oder 'userName' zugeordnet, falls verfügbar. Andernfalls wird die von App ID generierte Anforderung 'sub' verwendet. Wenn Sie mit der Befehlszeilenschnittstelle, APIs oder IBM Cloud Kubernetes Service arbeiten, wird der Benutzername angezeigt. Ein Benutzername ist oft eine E-Mail-Adresse, kann aber auch ein anderer Wert sein. Wenn der Benutzername von App ID nicht angegeben wird, wird von IAM stattdessen die Kennung verwendet.
firstname (empfohlen) given_name, falls verfügbar; andernfalls standardmäßig 'notset' Wird von SAML-Zusicherung 'given_name', 'givenname', 'givenName', 'first_name', 'firstname' oder 'firstName' zugeordnet, falls verfügbar; andernfalls wird von IAM die Konstante 'notset' verwendet. Der Vorname des Benutzers, der sich anmeldet.
lastname (empfohlen) family_name, falls verfügbar; andernfalls standardmäßig 'notset' Wird von SAML-Zusicherung 'family_name', 'familyname', 'familyName', 'last_name', 'lastname' oder 'lastName' zugeordnet, falls verfügbar; andernfalls wird von IAM die Konstante 'notset' verwendet. Der Nachname des Benutzers, der sich anmeldet.
name (optional) name, falls vorhanden; wird andernfalls aus dem Vornamen, einem Leerzeichen und dem Nachnamen erstellt. Es gibt keine automatische Zuordnung von SAML. Vollständiger Name, einschließlich der Initiale des zweiten Vornamens, des Titels oder eines anderen Bestandteils, der nicht durch Vornamen und Nachnamen abgedeckt wird.

Wenn ein Benutzer mithilfe der App ID-Serviceinstanz erfolgreich am IBM Cloud-Konto authentifiziert wird, wird der Benutzer automatisch zum Konto hinzugefügt. Hinzugefügten Benutzern werden standardmäßig keine Zugriffsrichtlinien zugeordnet. Mithilfe von Zugriffsgruppen und dynamischen Regeln können Sie jedoch automatisch zugeordnete Zugriffsrichtlinien konfigurieren.

Identitätsprovider aktivieren und Verbindung zum Identitätsprovider aufbauen

Falls Sie bisher noch keine Referenzen für IAM-Identitätsprovider im Konto konfiguriert haben, müssen Sie zunächst die Anmeldeeinstellung für Ihr Konto aktivieren.

  1. Aktivieren Sie die Anmeldeeinstellungen für Ihr Konto. Sie können diesen Schritt überspringen, wenn Sie diese Einstellung bereits aktiviert haben.

    1. Rufen Sie in der IBM Cloud-Konsole Verwalten > Zugriff (IAM) > Identitätsprovider auf und klicken Sie auf Aktivieren.
    2. Geben Sie einen Aliasnamen für die Standardkonto-URL ein, die Sie Benutzern zur Verfügung stellen, um sich am Konto anzumelden.

    Da Sie URL mit externen Benutzern teilen, stellen Sie sicher, dass der Alias eindeutig und einfach ist. Ein gängiges Format kann die Verwendung des Firmennamens oder eine Variation des Namens sein.

  2. Klicken Sie auf Erstellen, um die IdP-Referenz zu erstellen.

  3. Geben Sie einen Namen für die IdP-Referenz ein und wählen Sie die App ID-Instanz aus, zu der Sie eine Verbindung herstellen möchten.

  4. Wählen Sie aus, wie Sie Benutzer einbinden möchten:

    • Statisch: (Standard) Fügen Sie jeden Benutzer Ihrem Konto hinzu, wenn er sich zum ersten Mal anmeldet.
    • Dynamisch: Fügen Sie Ihrem Konto nur Benutzer hinzu, die sich anmelden und kein vertrauenswürdiges Profil auswählen.
    • Nie: Benutzer werden Ihrem Konto nicht hinzugefügt, können jedoch über vertrauenswürdige Profile auf Ihr Konto zugreifen. Weitere Informationen zu vertrauenswürdigen Profilen finden Sie unter Vertrauenswürdige Profile erstellen.

    Wenn Sie Onboarding auf 'Statisch' gesetzt haben und der Benutzer bei der ersten Anmeldung ein vertrauenswürdiges Profil auswählt, wird der Benutzer trotzdem zum Konto hinzugefügt.

  5. Wählen Sie anschließend die folgenden Einstellungen aus (optional):

    • Für Kontoanmeldung aktivieren?: Aktivieren Sie Ihre IdP-Referenzen, die Benutzer für die Anmeldung bei Ihrem Konto verwenden sollen. Diese Option wird standardmäßig festgelegt, wenn Sie zum ersten Mal eine IdP-Referenz erstellen.
    • Als Standardwert festlegen?: Benutzer können die Standardreferenz IdP URL verwenden, die Sie bei der Aktivierung dieser Funktion erstellt haben, um sich bei Ihrem Konto anzumelden. Es ist nur eine Standard-IdP-Referenz zulässig. Für alle weiteren von Ihnen erstellten IdP-Referenzen müssen die Benutzer die Realm-IDs zum Anmelden verwenden.
  6. Klicken Sie auf Erstellen.

Die Referenz für den Identitätsprovider (IdP) ist jetzt in der Liste der Identitätsprovider verfügbar und die Realm-ID wird automatisch als Wert generiert, der in IBM Cloud für den IAM-Identitätsprovider verwendet wird.

Mit Berechtigungsnachweisen des externen Identitätsproviders anmelden

Sobald die App ID-Instanz mit dem IdP verbunden und die App ID-Instanz in IAM integriert ist, können sich die Benutzer am Konto anmelden. Falls die IdP-Referenz als Standardeinstellung festgelegt wird, können Sie die Standard-IdP-URL für Ihr Konto gemeinsam nutzen.

Da Sie nur eine IdP-Referenz als Standardeinstellung festlegen, aber bis zu fünf IdP-Referenzen zum Konto hinzufügen können, kann es erforderlich sein, die URL für eine weitere IdP-Referenz abzurufen:

  1. Klicken Sie auf den Seiten des Identitätsproviders auf das Symbol Aktionen Aktionsliste-Symbol für die Zeile der IdP-Referenz, für die Sie eine URL benötigen.
  2. Wählen Sie IdP-URL anzeigen aus.
  3. Kopieren Sie den Link IdP-URL, um den Benutzern die Anmeldung zu ermöglichen.

App ID-Instanzen zum Erstellen von dynamischen Regeln in Zugriffsgruppen verwenden

Zusätzlich zu den erforderlichen und empfohlenen Attributen können Sie mit einer SAML-Zusicherung jede Art von Informationen übergeben. Diese Attribute können Sie in dynamischen Regeln in Zugriffsgruppen verwenden.

Zum erfolgreichen Erstellen einer dynamischen Regel sind die folgenden Informationen erforderlich:

  • Identitätsprovider: Verwenden Sie das Präfix appid:// und die Realm-ID des IAM IdP. Beispiel: appid://A1B2C3D4, wenn die Realm-ID des Benutzers A1B2C3D4 lautet.
  • Benutzer hinzufügen, wenn: Verwenden Sie den Namen der zusätzlichen SAML-Zusicherung. Diese Eigenschaft wird unverändert übergeben.
  • Beachten Sie, dass Sie für jedes Benutzerprofil angepasste Attribute hinzufügen können, wenn Sie in App ID die Option für Cloud Directory oder für die SAML-Föderierung verwenden. Sie können diese Eigenschaften auch für dynamische Regeln verwenden. Wenn Sie jedoch über dieselbe Eigenschaft als angepasstes Attribut und als SAML-Zusicherung verfügen, wird das angepasste Attribut aus der SAML-Zusicherung verwendet.

IBM Cloud Kubernetes Service basiert bis zu Release 1.18 auf eindeutigen Benutzernamen in einem Konto. Um korrekt zu funktionieren, müssen Sie sicherstellen, dass alle Benutzernamen für alle IdPs eindeutig sind. Das bedeutet, dass Sie sicherstellen müssen, dass sich die Benutzernamen, die von IBMid in Ihr Konto integriert werden, und die Benutzer, die von einem IAM IdP in Ihr Konto integriert werden, nicht überschneiden. Andernfalls können die RBAC-Regeln von IBM Cloud Kubernetes Service verwechselt und falsche Berechtigungen erteilt werden.

Wenn Sie mit einem externen IdP, arbeiten, wird empfohlen, dass Sie sich nur mit einem externen IdP verbinden und Benutzer automatisch über dieses IdP einbinden.

Laden Sie Benutzer nicht unter Verwendung des Prozesses zur Einladung zu IBM Cloud ein, da diese Einladung nur für Benutzer mit IBMids funktioniert. Wenn Sie IBM Cloud Einladungen für Ihr Konto verwenden würden, hätten Sie am Ende eine Mischung aus Benutzern, die von IBMid kommen, und Benutzern, die automatisch von Ihrem externen IdP integriert werden. Dies kann leicht zu Verwirrung führen, da sich IBMid-Benutzer über die IBM Cloud-Website anmelden, während sich Benutzer von Ihrem externen IdP über eine spezielle URL anmelden müssen. Dies kann dazu führen, dass in einem Konto doppelte Benutzernamen vorhanden sind, was aufgrund der bereits erwähnten Einschränkungen bei Kubernetes Service nicht empfohlen wird.

Verwenden von IdP-Daten zum Erstellen von vertrauenswürdigen Profilen

Nachdem Sie Ihren IdP aktiviert und verbunden haben, können Sie beginnen, vertrauenswürdige Profile zu erstellen. Um Vertrauen mit eingebundenen Benutzern aufzubauen, können Sie die persönlichen Daten von Ihrem IdP verwenden, um nach Attributnamen und -werten zu suchen, die in Ihrer Organisation vorhanden sind.

Wenn die Benutzer, für die Sie ein vertrauenswürdiges Profil erstellen, IBM Cloud App ID verwenden, sollten Sie das vertrauenswürdige Profil als App ID-Benutzer erstellen. Entsprechendes gilt für die IBMid. Auf diese Weise können Sie anhand Ihrer eigenen SAML-Attribute eine Vorstellung davon bekommen, wie die Bedingungen für das vertrauenswürdige Profil strukturiert werden sollen. Andere Benutzer mit demselben IdP können unterschiedliche SAML-Attribute haben und Sie sollten Ihre eigenen nur als Hinweis verwenden. Wenn Sie Attribute in einer Anforderung verwenden möchten, die sich von Ihren eigenen unterscheiden, geben Sie sie manuell ein.

Die Bedingungen, die Sie erzeugen, filtern oder ermöglichen es den eingebundenen Benutzern, das vertrauenswürdige Profil anzuwenden, je nachdem, welche Attribute den eingebundenen Benutzern in Ihrem Firmenverzeichnis zugewiesen sind. Wenn Sie ein vertrauenswürdiges Profil erstellen, können Sie die IdP-Daten anzeigen, um Ihre eigenen Benutzeransprüche aus dem Firmenverzeichnis Ihrer Organisation zu sehen.

Nehmen wir an, es gibt ein Attribut mit der Bezeichnung groups, das Abteilungen, Teams und differenziertere interne Organisationen innerhalb Ihrer Firma identifiziert. Wenn es in den USA Entwickler im Finanzteam gibt, die für ein Projekt den gleichen Zugriff benötigen, können Sie ein vertrauenswürdiges Profil mit den folgenden Bedingungen erstellen:

  • Benutzer ermöglichen, wenn groups gleich finance-dev ist
  • Benutzer ermöglichen, wenn country gleich us ist

Um sicherzustellen, dass Ihre Bedingungen nur den eingebundenen Benutzern den Zugriff ermöglichen, kontaktieren Sie Ihren Architekten des Firmenverzeichnisses, um weitere Informationen über verfügbare Attribute zu erhalten.

Weitere Informationen zu den Feldern, die zum Erstellen von Bedingungen verwendet werden, finden Sie unter IAM-Bedingungseigenschaften.

Es wird empfohlen, enge Bedingungen zu erstellen. Sie nutzen dieselbe IdP-URL wie alle anderen Benutzer in Ihrer Organisation, sodass eine zu offene Anspruchsregel dazu führen kann, dass Benutzer unbeabsichtigt ein vertrauenswürdiges Profil mit Zugriff auf Ihr Konto anwenden.