IBM Cloud Docs
Habilitar la autenticación desde un proveedor de identidad externo

Habilitar la autenticación desde un proveedor de identidad externo

Puede realizar una integración con el proveedor de identidad (IdP) externo para autenticar de forma segura los usuarios externos a su cuenta de IBM Cloud®. Utilizando su IdP, puede proporcionar una forma para que los usuarios de su empresa puedan iniciar sesión con inicio de sesión único (SSO). Esto es posible conectando la cuenta de nube con una instancia de IBM Cloud App ID de su elección.

Un método de autenticación utilizado más frecuentemente en IBM Cloud que le federa para todos los productos de IBM y no tiene cargos de uso es Federación de IBMid al registrar el dominio de su compañía. El registro del dominio de una empresa con IBM permite a los usuarios iniciar sesión en los productos y servicios de IBM utilizando sus credenciales de usuario de empresa existentes. A continuación, el IdP de la empresa maneja la autenticación mediante el inicio de sesión único (SSO). Para obtener información sobre cómo registrar su empresa para obtener un ID federado, consulte la Guía de adopción de federación empresarial de IBMid. Se requiere un patrocinador de la federación ( IBM ), como un promotor de productos o un promotor de clientes, cuando solicitas registrar identificadores federados.

Para empezar a configurar IBMid para la federación empresarial, abra un caso en ibm.com/mysupport y seleccione IBMid Enterprise Federation como producto.

Si decide utilizar una referencia de IdP externa a través de IAM, cada cuenta puede tener hasta cinco referencias de IdP añadidas a través de la página Proveedores de identidades en la sección Acceso (IAM) de la consola. Configure la referencia de IdP seleccionando qué instancia de App ID se va a integrar con IAM. A continuación, al IdP referencia se le proporciona un ID de reino aleatorio que es el prefijo exclusivo para los usuarios de esa instancia de servicio de App ID.

La configuración de la integración entre la instancia de App ID, que ya está configurada con su IdP, y su cuenta de IBM Cloud hace que pueda seguir gestionando todos los usuarios externamente en su IdP. También simplifica el proceso de inicio de sesión a la cuenta de nube para los usuarios de su empresa. Cuando finalice la integración, debe proporcionar a los usuarios un URL personalizado que utilizarán para iniciar una sesión cada vez. No es necesario invitar a nadie a la cuenta porque si existen como usuarios en el repositorio de usuarios del IdP conectado, pueden iniciar sesión con sus credenciales a través del URL personalizado.

Antes de empezar

  • Para decidir cuál es la opción de federación adecuada para usted, consulte la Guía de federación SAML de IBM Cloud.
  • Cree una instancia de App ID desde el catálogo de IBM Cloud. Para obtener más información, consulte la Guía de aprendizaje de iniciación.
  • Configure la instancia de App ID. Para obtener más información sobre cómo hacerlo según su caso de uso, consulte la documentación de App ID sobre gestión de la autenticación.
  • Asegúrese de tener el acceso necesario para ver y gestionar las referencias de IdP, si no es el propietario de la cuenta. Debe tener asignado el rol de operador o superior en la instancia de App ID y el rol de operador o de administración en el Servicio de identidad IAM.

Configuración de la instancia de App ID para la integración de IAM

Revise los siguientes requisitos sobre cómo debe configurarse su instancia de App ID para que funcione correctamente como proveedor de identidad de IAM ( IdP ) para su cuenta de IBM Cloud.

Si tiene previsto utilizar la instancia de App ID para la integración del IdP de IAM, cualquier usuario puede iniciar sesión en su cuenta que pueda autenticarse con esa instancia de App ID. Por lo tanto, tenga en cuenta estas directrices al configurar la instancia:

Inhabilite los siguientes tipos de autenticación:

  • Facebook
  • Google
  • IBMid
  • Anónimo

Si decide utilizar Cloud Directory como método de autenticación, inhabilite la opción de que los usuarios puedan registrarse desde la app y añada únicamente los usuarios conocidos de forma individual a su Cloud Directory.

Establecimiento de atributos específicos de IAM en señales de App ID

Para que IAM funcione correctamente con el IdP externo, debe asegurarse de que la instancia de App ID proporciona todos los atributos necesarios. Consulte la tabla siguiente para saber qué atributos son obligatorios:

Atributos necesarios para los tokens App ID
Atributo Reclamación de señal de ID de App ID Origen Descripción
identifier (obligatorio) ID App ID generado Un identificador exclusivo que identifica a un usuario. No se puede cambiar durante el tiempo de vida de ese usuario. App ID crea este identificador.
email (obligatorio) correo electrónico Correlacionado desde la aserción SAML "email", que es obligatoria para la configuración de Cloud Directory y de SAML. La dirección de correo electrónico del usuario.
username (recomendado) preferred_username si está presente, si no, sub Correlacionado desde la aserción SAML "preferred_username", "username", "user_name" o "userName" si están disponibles. De lo contrario, se utiliza la reclamación "sub" generada por App ID Cuando trabaja con la CLI, las API o el IBM Cloud Kubernetes Service, se muestra el nombre de usuario. Un nombre de usuario a menudo es una dirección de correo electrónico, pero también puede ser otro valor distinto. Si App ID no proporciona el nombre de usuario, IAM utiliza el identificador en su lugar.
firstname (recomendado) given_name si está disponible, si no "notset" como valor predeterminado Correlacionado desde la aserción SAML "given_name", "givenname", "givenName", "first_name", "firstname" o "firstName" si están disponibles, si no IAM utiliza la constante "notset" El nombre de pila del usuario que inicia sesión.
lastname (recomendado) family_name si está disponible, si no "notset" como valor predeterminado Correlacionado desde la aserción SAML "family_name", "familyname", "familyName", "last_name", "lastname" o "lastName" si están disponibles, si no IAM utiliza la constante "notset" Los apellidos del usuario que inicia sesión.
name (opcional) name si está presente, si no, se crea a partir del nombre de pila, más espacio, más los apellidos No tiene ninguna correlación automática desde SAML Nombre completo, incluyendo la inicial intermedia, el cargo, o cualquier cosa que no cubra el nombre y los apellidos.

Cuando un usuario se autentica correctamente utilizando la instancia de servicio de App ID en la cuenta de IBM Cloud, se añade automáticamente el usuario a la cuenta. A los usuarios añadidos no se les asigna ninguna política de acceso de forma predeterminada. No obstante, utilizando grupos de acceso y reglas dinámicas, puede configurar que se asignen políticas de acceso automáticamente.

Habilitar y conectar el proveedor de identidad

Si no ha configurado previamente ninguna referencia de IdP de IAM en su cuenta, debe habilitar primero el valor de inicio de sesión de su cuenta.

  1. Habilite el parámetro de Inicio de sesión para la cuenta. Puede saltarse este paso si ya ha habilitado este parámetro.

    1. Vaya a Gestionar > Acceso (IAM) > Proveedores de identidad en la consola de IBM Cloud y pulse Habilitar.
    2. Especifique un alias para el URL de cuenta predeterminado, que proporcionará a los usuarios para que inicien sesión en la cuenta.

    Dado que está compartiendo el URL con usuarios externos, asegúrese de que el alias sea único y sencillo. Un formato frecuente puede ser utilizar el nombre de la empresa o una variación del mismo.

  2. Pulse Crear para crear la referencia de IdP.

  3. Especifique un nombre para la referencia de IdP y seleccione la instancia de App ID que desea conectar.

  4. Seleccione cómo desea incorporar a los usuarios:

    • Estática: (Predeterminada) Añade a cada usuario a tu cuenta cuando inicien sesión por primera vez.
    • Dinámico: Añada usuarios a su cuenta solo si inician sesión y no seleccionan un perfil de confianza.
    • Nunca: los usuarios no se añaden a su cuenta, pero pueden acceder a su cuenta utilizando perfiles de confianza. Para obtener más información sobre los perfiles de confianza, consulte Creación de perfiles de confianza.

    Si tiene la incorporación establecida en Estática y el usuario selecciona un perfil de confianza cuando inicia sesión por primera vez, el usuario se añade a la cuenta.

  5. A continuación, seleccione los valores siguientes (Opcional):

    • ¿Habilitar para inicio de sesión de cuenta?: Habilite las referencias de IdP que se utilizarán para que los usuarios inicien sesión en su cuenta. Esta opción está establecida de forma predeterminada al crear una referencia de IdP.
    • ¿Se establece como valor predeterminado?: Los usuarios pueden utilizar la referencia predeterminada de IdP URL que usted creó al habilitar esta función para iniciar sesión en su cuenta. Solo puede tener una referencia de IdP predeterminada. Para todas las demás referencias de IdP que cree, los usuarios deben utilizar los ID de reino para iniciar sesión.

  6. Pulse Crear.

Su referencia de IdP ya está disponible en la lista de proveedores de identidad y el ID de reino se genera automáticamente como el valor que representa su IdP de IAM en IBM Cloud.

Iniciar sesión con credenciales de proveedor de identidad externo

Una vez que su instancia de App ID está conectada al IdP, y la instancia de App ID está integrada con IAM, los usuarios pueden empezar a iniciar sesión en la cuenta. Si la referencia de IdP se establece como el valor predeterminado, puede compartir el URL de IdP predeterminado para su cuenta.

No obstante, dado que solo puede tener una definida como predeterminada, pero puede tener hasta cinco configuradas en la cuenta, puede que necesite obtener el URL de otra referencia de IdP:

  1. En las páginas del proveedor de identidades, pulse el icono Acciones Icono de lista de acciones para la fila de la referencia de IdP para la que necesita un URL.
  2. Seleccione Ver URL de IdP.
  3. Copie el enlace del URL de IdP para proporcionarlo a los usuarios para que puedan iniciar sesión.

Utilización de instancias de App ID para crear reglas dinámicas en grupos de acceso

Además de los atributos obligatorios y recomendados, puede pasar cualquier tipo de información con su aserción SAML. Tiene estos atributos disponibles para utilizarlos en reglas dinámicas en grupos de acceso.

Para crear correctamente una regla dinámica, se requiere la siguiente información:

  • Proveedor de identidades: utilice el prefijo appid:// y el ID de reino del IdP de IAM. Por ejemplo, appid://A1B2C3D4 si el ID de reino del usuario es A1B2C3D4.
  • Añadir usuarios cuando: Utilizar el nombre de la aserción SAML adicional. Esta propiedad se transfiere sin cambios.
  • Si utiliza la opción Cloud Directory o la opción de federación SAML en App ID, observe que puede añadir atributos personalizados al perfil de cada usuario. También puede utilizar esas propiedades para las reglas dinámicas. No obstante, si tiene la misma propiedad como atributo personalizado y como aserción SAML, se utiliza el atributo personalizado de la aserción SAML.

IBM Cloud Kubernetes Service hasta el release 1.18 utiliza nombres de usuario exclusivos en una cuenta. Para que funcione correctamente, debe asegurarse de que todos los nombres de usuario sean exclusivos en todos los IdP. Esto significa que debe asegurarse de que los nombres de usuario que se han incorporado en su cuenta desde el IBMid y los usuarios que se han incorporado en su cuenta mediante un IdP de IAM no se solapen. De lo contrario, puede que las reglas RBAC de IBM Cloud Kubernetes Service se confundan y otorguen permisos incorrectos.

Si trabaja con un IdP, externo, se recomienda que se conecte únicamente con un IdP externo y que permita a los usuarios incorporarse automáticamente a través de este IdP.

No invite a usuarios utilizando el proceso de invitación de IBM Cloud ya que sólo funciona con usuarios que tienen un IBMid. Si ha utilizado invitaciones de IBM Cloud para su cuenta, terminará con una mezcla de usuarios procedentes del IBID y los usuarios incorporados automáticamente desde el IdP externo. Esto puede llevar fácilmente a confusión, porque los usuarios de IBMid inician la sesión en el sitio web de IBM Cloud, mientras que los usuarios de su IdP externo deben iniciar la sesión con un URL especial. Esto puede dar lugar a nombres de usuario duplicados en una cuenta, lo cual no se recomienda debido a las limitaciones del protocolo de transferencia de hipertexto ( Kubernetes Service ), como se ha mencionado anteriormente.

Utilización de datos de IdP para crear perfiles de confianza

Una vez habilitado y conectado el IdP, puede empezar a crear perfiles de confianza. Para crear confianza con los usuarios federados, puede utilizar los datos personales de su IdP para buscar nombres y valores de atributos que existan en su organización.

Si los usuarios para los que está creando un perfil de confianza utilizan IBM Cloud App ID, deben crear el perfil de confianza como un usuario de App ID y de igual modo para IBMid. De este modo, sus propios atributos SAML le pueden dar una idea de cómo estructurar las condiciones de perfil de confianza. Otros usuarios con el mismo IdP pueden tener diferentes atributos SAML y debe utilizar los suyos propios como sugerencia. Para utilizar atributos en una reclamación que son diferentes a los suyos, introdúzcalos manualmente.

Las condiciones que crea permiten o no a los usuarios federados aplicar el perfil de confianza en función de los atributos que tienen asignados en el directorio de usuarios corporativo. Cuando crea un perfil de confianza, puede consultar los datos de IdP para ver sus propias reclamaciones de usuario en el directorio de usuarios corporativo de la organización.

Supongamos que hay un atributo denominado groups que identifica departamentos, equipos y organizaciones internas más granulares dentro de su empresa. Si hay desarrolladores en el equipo de finanzas de EE. UU. que necesitan el mismo nivel de acceso para un proyecto, puede crear un perfil de confianza con las siguientes condiciones:

  • Permitir a los usuarios cuando groups es igual a finance-dev
  • Permitir a los usuarios cuando country es igual a us

Para asegurarse de que las condiciones solo permiten los usuarios federados a los que desea otorgar acceso, póngase en contacto con el arquitecto de directorio corporativo para obtener más información sobre los atributos disponibles.

Para obtener más información sobre los campos que se utilizan para crear condiciones, consulte Propiedades de condición IAM.

Se recomienda crear condiciones limitadas. Comparte el mismo URL de IdP con el resto de miembros de su organización, por lo que si una regla de reclamación es demasiado abierta, es posible que los usuarios apliquen un perfil de confianza con acceso a su cuenta accidentalmente.