Dynamische Regeln für Zugriffsgruppen erstellen
Sie können dynamische Regeln erstellen, um föderierte Benutzer auf der Basis bestimmter Identitätsattribute automatisch zu Zugriffsgruppen hinzuzufügen. Wenn sich Benutzer mit einer föderierten IUD anmelden, werden die vom Identitätsprovider bereitgestellten Daten dazu verwendet, die Benutzer auf der Basis der von Ihnen festgelegten Regeln dynamisch einer Zugriffsgruppe zuzuordnen.
Benutzer verfügen bereits über bestimmte Identitätsinformationen innerhalb Ihrer Unternehmensdomäne und wenn sich diese Benutzer mit einer föderierten ID anmelden, können diese Daten mithilfe von SAML-Zusicherungen weitergeleitet werden. Die SAML-Zusicherungen oder Attributanweisungen, die im Identitätsprovider konfiguriert sind, liefern die Daten, die zur Erstellung der einzelnen Regeln verwendet werden. Beispielsweise kann anhand einer Attributanweisung mit dem Wert 'true' oder 'false' ein Benutzer als Manager definiert werden. Diese Informationen können dazu verwendet werden, alle Benutzer, die als Manager definiert sind, zu einer bestimmten Zugriffsgruppe für Manager hinzuzufügen, die Sie in Ihrem IBM Cloud®-Konto erstellt haben. Weitere Informationen finden Sie im Tutorial zur Zugriffssteuerung auf Cloud-Ressourcen und in einer Beispielregel.
Nur Benutzer, die bereits zum Konto eingeladen wurden, können mithilfe dynamischer Regeln Zugriffsgruppen zugeordnet werden.
Regeln in der Konsole festlegen
Dynamische Regeln werden erstellt, indem Bedingungen festgelegt werden. Diese Bedingungen müssen von den Daten erfüllt werden, die im Identitätsprovider konfiguriert sind und während der Anmeldung mit der föderierten ID eines Benutzers übergeben werden. Sie können mehr als eine Bedingung für eine Regel hinzufügen. Alle in der Regel festgelegten Bedingungen müssen erfüllt sein, damit ein Benutzer zu einer Zugriffsgruppe hinzugefügt wird.
Führen Sie die folgenden Schritte aus, um eine Regel zu erstellen:
- Klicken Sie in der IBM Cloud-Konsole auf Verwalten > Zugriff (IAM) und wählen Sie Zugriffsgruppen aus.
- Wählen Sie den Namen der Zugriffsgruppe aus, für die eine Regel erstellt werden soll. Mit dieser Aktion wird die Seite Details für die Gruppe geöffnet.
- Wählen Sie Dynamische Regeln aus.
- Klicken Sie auf Regel hinzufügen.
- Geben Sie die Informationen von Ihrem IdP ein, die Ihnen auf der Seite "Regel hinzufügen" dynamisch bereitgestellt werden. Die folgende Liste enthält Details zu jedem erforderlichen Feld.
Eine Zugriffsgruppenregel ist mit einem Schlüssel/Wert-Paar vergleichbar. Der Schlüssel ist die Eingabe, die Sie im Feld Add users when
hinzufügen, und der Wert ist die Eingabe im Feld Values
.
Weitere Informationen zu den Feldern, die zum Erstellen dynamischer Regeln verwendet werden, finden Sie unter Eigenschaften von IAM-Bedingungen.
Einrichten von Regeln mithilfe von Terraform
Bevor Sie Regeln mithilfe von Terraform einrichten können, stellen Sie sicher, dass Sie Folgendes ausgeführt haben:
- Installieren Sie die Terraform-CLI und konfigurieren Sie das Provider-Plug-in IBM Cloud für Terraform. Weitere Informationen finden Sie im Lernprogramm zur Einführung in Terraform auf IBM Cloud®. Das Plug-in abstrahiert die IBM Cloud APIs, die zur Erfüllung dieses Tasks verwendet werden.
- Erstellen Sie eine Terraform-Konfigurationsdatei mit dem Namen
main.tf
. In dieser Datei definieren Sie Ressourcen mithilfe der Konfigurationssprache HashiCorp. Weitere Informationen finden Sie in der Terraform-Dokumentation.
Dynamische Regeln werden erstellt, indem Bedingungen festgelegt werden. Diese Bedingungen müssen von den Daten erfüllt werden, die im Identitätsprovider konfiguriert sind und während der Anmeldung mit der föderierten ID eines Benutzers übergeben werden. Sie können mehr als eine Bedingung für eine Regel hinzufügen. Alle in der Regel festgelegten Bedingungen müssen erfüllt sein, damit ein Benutzer zu einer Zugriffsgruppe hinzugefügt wird.
Führen Sie die folgenden Schritte aus, um eine Regel mithilfe von Terraform zu erstellen:
-
Erstellen Sie ein Argument in Ihrer Datei
main.tf
. Im folgenden Beispiel wird eine neue dynamische Regel für eine Zugriffsgruppe mithilfe der Ressourceibm_iam_access_group_dynamic_rule
erzeugt, wobeiname
ein eindeutiger Name zur Identifizierung der dynamischen Regel ist.resource "ibm_iam_access_group_dynamic_rule" "rule1" { name = "newrule" access_group_id = "AccessGroupId-dsnd4bvsaf" expiration = 4 identity_provider = "test-idp.com" conditions { claim = "blueGroups" operator = "CONTAINS" value = "\"test-bluegroup-saml\"" } }
Weitere Informationen finden Sie in den Details der Argumentreferenz auf der Seite der Terraform-Dokumentation.
-
Nachdem Sie Ihre Konfigurationsdatei erstellt haben, initialisieren Sie die Terraform-CLI. Weitere Informationen finden Sie unter Arbeitsverzeichnisse initialisieren.
terraform init
-
Stellen Sie die Ressourcen aus der Datei
main.tf
bereit. Weitere Informationen finden Sie unter Infrastruktur mit Terraform bereitstellen.-
Führen Sie
terraform plan
aus, um einen Terraform-Ausführungsplan für die Vorschau der vorgeschlagenen Aktionen zu generieren.terraform plan
-
Führen Sie
terraform apply
aus, um die Ressourcen zu erstellen, die im Plan definiert sind.terraform apply
-
Weitere Informationen zu den Feldern, die zum Erstellen dynamischer Regeln verwendet werden, finden Sie unter Eigenschaften von IAM-Bedingungen.
Dynamische Mitglieder von Zugriffsgruppen anzeigen
Sie können Benutzer anzeigen, die mithilfe von dynamischen Regeln zu einer Zugriffsgruppe hinzugefügt wurden. Um eine Liste der dynamischen Mitglieder in einer Zugriffsgruppe anzuzeigen, rufen Sie Verwalten > Zugriff (IAM) > Zugriffsgruppen in der IBM Cloud-Konsole auf. Wählen Sie eine Zugriffsgruppe aus und klicken Sie auf Benutzer. Dynamisch hinzugefügte Benutzer werden durch den Typ Dynamic
angegeben.
Die folgenden Benutzer werden nicht in der Tabelle angezeigt:
- Dynamisch hinzugefügte Benutzer, die noch nicht angemeldet sind
- Dynamisch hinzugefügte Benutzer, deren Sitzung abgelaufen ist
Dynamische Benutzer, die abgemeldet sind, deren Sitzungen jedoch noch gültig sind, werden weiterhin in der Tabelle angezeigt, bis ihre Sitzungen ablaufen.
Ein dynamischer Benutzer kann nicht manuell entfernt werden. Um einen dynamischen Benutzer zu entfernen, müssen Sie die dynamischen Regeln anpassen.
Dynamische Mitgliedschaft eines Benutzers anzeigen
Sie können auch eine Liste der Zugriffsgruppen anzeigen, denen ein Benutzer auf der Basis dynamischer Regeln hinzugefügt wurde. Führen Sie dazu die folgenden Schritte aus:
- Rufen Sie in der IBM Cloud-Konsole Verwalten > Zugriff (IAM) > Benutzer auf.
- Klicken Sie auf einen Benutzer.
- Klicken Sie auf Zugriff.
- Die Zugriffsgruppen, in denen ein Benutzer ein dynamisches Mitglied ist, werden durch den Typ
Dynamic
angegeben.
Beispielregel
Das folgende Beispiel enthält Werte für jedes Feld für eine dynamische Regel. Bei dieser Regel werden Benutzer, die innerhalb des eingebundenen IdP als Manager identifiziert werden, einer IBM Cloud-Zugriffsgruppe zugeordnet, die über einen bestimmten Zugriff verfügt, der nur für Manager gilt.
Feld | Wert |
---|---|
Name | Managergruppenregel |
Identitätsprovider | https://idp.example.org/SAML2 |
Ablauf (in Stunden) | 12 |
Benutzer hinzufügen, wenn (Attributname) | isManager |
Vergleichsoperator | Ist gleich |
Wert | Ja |