¿Cuál es la opción de federación correcta para usted?
En el pasado, IBM Cloud daba soporte a la integración con los directorios de usuario del cliente utilizando la federación SAML IBMid. En mayo de 2020, IBM Cloud presentó un método alternativo para que los clientes federaran identidades con su cuenta IBM Cloud.
De forma predeterminada, cuando crea una cuenta en IBM Cloud, utiliza un IBMid para la identidad de usuario. IBMid es el ID como servicio (IDaaS) de IBM utilizado para acceder a los servicios basados en web IBM, incluidos los recursos de IBM Cloud. El IBMid se basa en la dirección de correo electrónico de su empresa y en una contraseña gestionada por IBMid. IBMid le permite federar a su propio directorio de usuario corporativo o a un servicio de proveedor de identidad de terceros (IdP) que ya puede utilizar, como Okta.
La federación en su propio directorio simplifica el proceso de añadir usuarios a su cuenta, sin requerir un IBMid con una contraseña aparte. Sin embargo, hay casos en los que puede que no sea posible utilizar IBMid para federar el directorio de usuarios corporativo. La alternativa es crear una instancia de IBM Cloud App ID en su cuenta y conectarla al IdPelegido.
En este tema se explican las diferencias entre los dos métodos siguientes:
- Federando con IBMid.
- Federando con su propia instancia de IBM Cloud App ID.
Para decidir qué opción es aplicable a su caso de uso, revise las secciones siguientes.
¿Qué opciones de federación SAML existen en IBM Cloud?
IBM Cloud da soporte a los siguientes tipos de usuario:
- Usuarios IBMid no federados
- Los usuarios con una dirección de correo electrónico válida pueden crear un IBMid y dejar que IBMid gestione la contraseña. El dominio de correo electrónico de la empresa no está federado con IBMid, y elige mantenerlo tal cual. Cualquier usuario que utilice su dominio de correo electrónico puede crear su propio IBMid, y la contraseña que crean la gestiona IBMid. Pueden crear una cuenta de IBM Cloud e invitar a otros usuarios con un IBMid a su cuenta. También pueden acceder a otras ofertas web de IBM utilizando el mismo IBMid.
- Usuarios IBMid federados
- Los clientes empresariales a menudo conectan su directorio de usuarios interno, oIdP, conIBMid para que sus empleados no necesiten administrar una contraseña adicional. En su lugar, pueden reutilizar su inicio de sesión normal en su IdP para iniciar sesión en las ofertas web de IBM, incluyendo IBM Cloud. La conexión de un IdP externo con IBMid se denomina federación y el protocolo técnico subyacente se denomina SAML. A estos usuarios se les suele hacer referencia como usuarios federados de IBMid. Puesto que IBMid se está federando con varios clientes empresariales al mismo tiempo, un requisito previo de una federación satisfactoria es una dirección de correo electrónico exclusiva para cada usuario de IBMid.
- Usuarios de IBM Cloud App ID
- Las instancias de IBM Cloud App ID también se pueden conectar a un IdP. Una instancia de App ID puede conectarse a un único IdP externo utilizando SAML y, por lo tanto, no es necesaria una dirección de correo electrónico exclusiva.
IBM Cloud propietarios de cuenta
Para crear una cuenta de IBM Cloud, necesita un usuario de IBMid que será el propietario de la cuenta de IBM Cloud. Puede crear este usuario de IBMid durante el proceso de registro de cuenta deIBM Cloud, o puede utilizar un usuario de IBMid existente. Se recomienda crear la cuenta utilizando un ID funcional o una cuenta de servicio con una dirección de correo electrónico válida, esto puede ayudar a simplificar la continuidad de la propiedad de la cuenta en su organización.
Para los miembros adicionales de la cuenta IBM Cloud, tiene la opción de utilizar usuarios IBMid normales o federados como miembros de la cuenta IBM Cloud. Como alternativa, puede conectar su IdP a su cuenta de IBM Cloud utilizando una instancia de servicio de IBM Cloud App ID. Todos los usuarios que inician sesión a través de esa instancia de servicio de IBM Cloud App ID se añaden a su cuenta automáticamente, por lo que no es necesario que invite a esos usuarios.
¿Cómo puede incorporar miembros de cuenta de IBM Cloud ?
Las cuentas de IBM Cloud tienen acceso a todos los usuarios de IBMid, federados y no federados. Los usuarios de IBMid deben estar invitados a su cuenta de IBM Cloud. Como consecuencia, el mismo usuario de IBMid puede ser miembro de varias cuentas de IBM Cloud al mismo tiempo. En la consola de IBM Cloud, el usuario IBMid puede seleccionar la cuenta en la que trabaja este usuario.
Durante la configuración de la instancia de servicio de IBM Cloud App ID, conecte la instancia de servicio con la cuenta de IBM Cloud. Por lo tanto, los usuarios que inician sesión utilizando esta instancia de servicio pueden ser miembros de esta única cuenta. Estos usuarios se añadirán automáticamente a su cuenta de IBM Cloud cuando se autentiquen por primera vez.
Comparación de opciones de federación
La tabla siguiente compara las características de cada opción de federación. En ambos casos, se presupone que el cliente conecta un IBMid o una instancia de IBM Cloud App ID con su IdP con SAML.
| Característica | IBMid | App ID |
|---|---|---|
| Dirección de correo electrónico | Los usuarios deben tener una dirección de correo electrónico exclusiva global. Por ejemplo, firstname.lastname@example.com. Si el dominio de correo electrónico de su empresa ya está federado, puede empezar a configurar el acceso a su cuenta. Si todavía no está federado, se necesita un proceso manual con el equipo de federación IBMid para establecer la federación. Durante el proceso de configuración de federación, el cliente colabora con el equipo de federación IBMid para definir qué patrón de correo electrónico coincide con los usuarios de IdP. La decisión de federarse al propio directorio de usuarios de su empresa debe implicar a la persona de su empresa que puede tomar decisiones en toda la empresa cuando se trata de conectarse a partes externas para servicios de identidad. Debe asegurarse de que esta persona esté incluida en el proceso. La federación con IBMid puede tener un impacto en servicios web noIBM Cloud que su empresa ya utiliza con IBM. | Esta opción requiere la creación de una instancia de App ID. Es una opción de autoservicio con una tarifa de uso baja. Para elegir esta opción, se requiere un URL personalizado para iniciar sesión en IBM Cloud. Además, se requiere una instancia de federación ( App ID ) y una configuración de la federación en su servidor de autenticación ( IdP ) para cada cuenta de IBM Cloud. |
| Costes | Los clientes no necesitan pagar para utilizar IBMid con o sin federación. | Las instancias de IBM Cloud App ID tienen una tarifa baja, con un nivel gratuito de hasta 1.000 usuarios y 1.000 sucesos (por ejemplo, inicios de sesión). Visite la página App ID para obtener más información. |
| Configuración de federación | Los clientes necesitan abrir un caso de soporte con IBMid Enterprise Federation para iniciar el proceso de incorporación. Este es un proceso manual. | El cliente crea una instancia de IBM Cloud App ID y la configura según los pasos documentados. Este proceso es de autoservicio. |
| Mantenimiento de federación (por ejemplo, actualización de certificado) | Requiere una interacción manual con el equipo de federación IBMid. | El cliente puede actualizar su instancia de IBM Cloud App ID por su cuenta (por ejemplo, este paso es de autoservicio). |
| Ámbito de federación | La federación IBMid se aplica a cada servicio que utiliza IBMid. Esto significa que si un cliente incorpora a la federación IBMid, esto se aplica a sus empleados al iniciar sesión en IBM Cloud, pero también al utilizar otras ofertas IBM SaaS que utilizan IBMid. | La federación solo tiene impacto en la cuenta IBM Cloud en la que la instancia IBM Cloud App ID está configurada para permitir inicios de sesión. Tampoco afecta a ninguna otra cuenta de IBM Cloud ni a las ofertas de IBM SaaS. |
| Incorporación de miembros de cuenta | Los usuarios deben ser invitados por su dirección de correo electrónico. | Cada usuario que pueda iniciar sesión correctamente en la instancia de IBM Cloud App ID configurada se añadirá automáticamente a la cuenta de IBM Cloud. |
| Pertenencia entre cuentas | Los IBMids pueden ser miembros de varias cuentas. | Los usuarios sólo pueden ser miembros de una cuenta. Incluso si son múltiplesIBM Cloud App ID instancias se federan a la mismaIdP, los usuarios son tratados como usuarios separados en cada cuenta. |
| Uso de aserciones SAML en reglas dinámicas de grupo de acceso | Cualquier aserción SAML enviada por el IdP se puede utilizar en reglas dinámicas de grupo de acceso. | Cualquier aserción SAML enviada por el IdP se puede utilizar en reglas dinámicas de grupo de acceso. |
| Fiabilidad | IBMid es un servicio global con un equipo de operaciones dedicado. En caso de una parada en un centro de datos, IBMid puede migrar tras error a un centro de datos diferente. | Cualquier instancia de IBM Cloud App ID existe en una región. Las anomalías en esa región pueden impedir que los miembros de la cuenta puedan iniciar sesión. Los usuarios que ya han iniciado sesión normalmente no se ven afectados por dicha anomalía. |
| Comportamiento de inicio de sesión | Los usuarios inician sesión utilizando la página de inicio de sesión central. | Necesitas usar un URL especial para iniciar sesión en tu cuenta de IBM Cloud. El administrador de su cuenta obtiene esta información ( URL ) de la página de proveedores de identidad IAM en la consola IBM Cloud. |
Escenarios
Para obtener ayuda adicional para decidir la opción correcta, revise los escenarios comunes:
- Utilización de una única cuenta de IBM Cloud
- Un cliente está utilizando una única cuenta de IBM Cloud y ninguna otra oferta de IBM SaaS. Puesto que el cliente no utiliza ninguna otra oferta de IBM SaaS ni ninguna otra cuenta de IBM Cloud, no tienen ninguna ventaja en las prestaciones de ámbito de federación o prestaciones entre cuentas de IBMid. El número de usuarios e inicios de sesión es bajo, por lo que la opción IBM Cloud App ID no incurre en costes para esta cuenta. El cliente decide IBM Cloud App ID como opción de federación.
- Utilización de IBM Cloud y otras ofertas de IBM SaaS
- Un cliente utiliza IBM Cloud y otras ofertas de IBM SaaS. IBM tiene una relación sólida y duradera con muchos clientes. Estos clientes suelen consumir varias ofertas de IBM SaaS, que requieren que todos los usuarios utilicen las cuentas de usuario de IBMid para trabajar con las ofertas de IBM SaaS. En ese caso, todos los empleados del cliente tendrían una ventaja al utilizar la federación IBMid en lugar de la federación basada en IBM Cloud App ID. La federación IBMid ofrece a todos los empleados la posibilidad de utilizar las ofertas de SaaS IBM y la consola de IBM Cloud utilizando la gestión y validación de contraseñas del proveedor de identidades.
Recursos
Los enlaces siguientes le ayudan a implementar la federación que elija:
- IBMid Enterprise Federation Adoption Guide.
- La guía de federación de IBMid disponible públicamente le ofrece una visión general de los pasos necesarios para federar el proveedor de identidades y con quién ponerse en contacto para que se implemente la federación. Tenga en cuenta que necesita un "Patrocinador deIBM " (por ejemplo, un empleado de IBM que trabaje como contacto principal entre usted y el equipo de IBMid ).
- IBM Cloud Federación de autoservicio para proveedores de identidad externos.
- Anuncio de la función IAM ( IBM Cloud ) para federarse con un proveedor de identidad a través de SAML utilizando { {site.data.keyword.appid_full_notm}.
- Habilitar la autenticación desde un proveedor de identidad externo
- Siga los pasos necesarios para integrar una instancia de servicio de IBM Cloud App ID con IBM Cloud IAM para que los usuarios puedan utilizar su cuenta de IBM Cloud sin crear IBMids. Revise la sección Establecimiento de atributos específicos de IAM en las señales de App ID para asegurarse de que los usuarios se han incorporado correctamente y se muestran en la cuenta de IBM Cloud.
- Control del acceso a los recursos de nube.
- Esta guía de aprendizaje describe cómo utilizar las reglas dinámicas en los grupos de acceso para automatizar las asignaciones de permisos basándose en los atributos que el proveedor de identidades envía a IBM Cloud a través de SAML. La propia guía de aprendizaje se ha escrito para la federación IBMid, pero el mismo concepto y pasos también funcionan con la federación basada en IBM Cloud App ID.
- Utilización de instancias de App ID para crear reglas dinámicas en grupos de acceso
- En caso de que tenga previsto utilizar una regla dinámica con la federación basada en IBM Cloud App ID, asegúrese de utilizar la sintaxis correcta para el valor "Proveedor de identidades" dentro de la regla dinámica. La sección del enlace describe cómo crear el identificador "Proveedor de identidades" correcto.
- IBM Cloud Inicio de sesión único de cuenta utilizando IBM Cloud App ID y Microsoft Azure AD
- Esta entrada de blog muestra todo el proceso de integración de Microsoft Azure Active Directory con IBM Cloud utilizando IBM Cloud App ID. Consulte la documentación para obtener más información sobre Identity and Access Management en IBM Cloud.