Quelle est la bonne option de fédération pour vous?
Dans le passé, IBM Cloud prenait en charge l'intégration aux annuaires d'utilisateurs du client à l'aide de la fédération SAML IBMid. En mai 2020, IBM Cloud a introduit une méthode alternative permettant aux clients de fédérer des identités avec leur compte IBM Cloud.
Par défaut, lorsque vous créez un compte dans IBM Cloud, vous utilisez un IBMid pour l'identité de l'utilisateur. IBMid est l'ID sous forme de service (IDaaS) des services Web IBM utilisés pour accéder aux services Web IBM, y compris les ressources IBM Cloud. L' IBMid est basé sur l'adresse électronique de votre société et un mot de passe géré par IBMid. IBMid vous permet de fédérer à votre propre annuaire d'utilisateurs d'entreprise ou à un service de fournisseur d'identité tiers (IdP) que vous pouvez déjà utiliser, par exemple Okta.
La fédération dans votre propre répertoire simplifie le processus d'ajout d'utilisateurs à votre compte, sans avoir besoin d'un IBMid avec un mot de passe distinct. Toutefois, dans certains cas, il peut s'avérer impossible d'utiliser IBMid pour fédérer votre annuaire d'utilisateurs d'entreprise. L'alternative consiste à créer une instance IBM Cloud App ID dans votre compte et à la connecter à votre IdPchoisi.
Cette rubrique explique les différences entre les deux méthodes suivantes:
- Fédération avec IBMid.
- Fédération avec votre propre instance de IBM Cloud App ID.
Pour décider quelle option est applicable à votre cas d'utilisation, passez en revue les sections suivantes.
Quelles options de fédération SAML existent dans IBM Cloud?
IBM Cloud prend en charge les types d'utilisateur suivants:
- Utilisateurs IBMid non fédérés
- Les utilisateurs ayant une adresse électronique valide peuvent créer un IBMid et laisser IBMid gérer le mot de passe. Le domaine de messagerie de votre société n'est pas fédéré avec IBMidet vous choisissez de le conserver tel qu'il est. Tout utilisateur qui utilise votre domaine de messagerie peut créer son propre IBMidet le mot de passe qu'il crée est géré par IBMid. Ils peuvent créer un compte IBM Cloud et inviter d'autres utilisateurs avec un IBMid à rejoindre leur compte. Ils peuvent également accéder à d'autres offres Web IBM en utilisant le même IBMid.
- Utilisateurs IBMid fédérés
- Les clients Entreprise connectent souvent leur répertoire d'utilisateurs interne, ouIdP, avecIBMid afin que leurs employés n'aient pas besoin de gérer un mot de passe supplémentaire. Au lieu de cela, ils peuvent réutiliser leur connexion normale à leur IdP pour se connecter aux offres Web IBM, y compris IBM Cloud. La connexion d'un IdP externe avec IBMid est appelée fédération et le protocole technique sous-jacent est appelé SAML. Ces utilisateurs sont souvent référencés en tant qu'utilisateurs IBMid fédérés. Etant donné que IBMid est en train de se fédérer avec plusieurs clients d'entreprise en même temps, une condition préalable à une fédération réussie est une adresse électronique unique pour chaque utilisateur IBMid.
- Utilisateurs IBM Cloud App ID
- Les instances de IBM Cloud App ID peuvent également se connecter à un IdP. Une instance App ID peut se connecter à un seul IdP externe à l'aide de SAML. Par conséquent, une adresse électronique unique n'est pas requise.
Propriétaires de compte IBM Cloud
Pour créer un compte IBM Cloud, vous avez besoin d'un utilisateur IBMid qui sera le propriétaire du compte IBM Cloud. Vous pouvez créer cet utilisateur IBMid lors du processus d'enregistrement de compteIBM Cloud ou utiliser un utilisateur IBMid existant. Il est recommandé de créer le compte à l'aide d'un ID fonctionnel ou d'un compte de service avec une adresse électronique valide, ce qui peut simplifier la continuité de la propriété du compte dans votre organisation.
Pour tous les membres supplémentaires de votre compte IBM Cloud, vous avez la possibilité d'utiliser des utilisateurs IBMid normaux ou fédérés en tant que membres de compte IBM Cloud. Vous pouvez également connecter votre IdP à votre compte IBM Cloud en utilisant une instance de service IBM Cloud App ID. Tous les utilisateurs qui se connectent via cette instance de service IBM Cloud App ID sont ajoutés automatiquement à votre compte, de sorte que vous n'avez pas besoin d'inviter ces utilisateurs.
Comment intégrer les membres de compte IBM Cloud ?
Les comptes IBM Cloud ont accès à tous les utilisateurs IBMid, fédérés et non fédérés. Les utilisateurs IBMid doivent être invités dans votre compte IBM Cloud. Par conséquent, le même utilisateur IBMid peut être membre de plusieurs comptes IBM Cloud en même temps. Dans la console IBM Cloud, l'utilisateur IBMid peut sélectionner le compte dans lequel cet utilisateur travaille.
Lors de la configuration de votre instance de service IBM Cloud App ID, vous connectez l'instance de service à votre compte IBM Cloud. Par conséquent, les utilisateurs qui se connectent à l'aide de cette instance de service ne peuvent être membres que de ce compte. Ces utilisateurs seront automatiquement ajoutés à votre compte IBM Cloud lorsqu'ils s'authentifieront pour la première fois.
Comparaison des options de fédération
Le tableau suivant compare les caractéristiques de chaque option de fédération. Dans les deux cas, on suppose que le client connecte une instance IBMid ou IBM Cloud App ID à son IdP avec SAML.
| Fonction | IBMid | App ID |
|---|---|---|
| Adresse électronique | Les utilisateurs doivent disposer d'une adresse e-mail globalement unique. Par exemple, firstname.lastname@example.com. Si le domaine de messagerie de votre société est déjà fédéré, vous pouvez commencer à configurer l'accès à votre compte. S'il n'est pas déjà fédéré, un processus manuel avec l'équipe de fédération IBMid est requis pour établir la fédération. Au cours du processus de configuration de la fédération, le client collabore avec l'équipe de fédération IBMid pour définir le modèle de courrier électronique qui correspond aux utilisateurs IdP. La décision de se fédérer dans le propre annuaire d'utilisateurs de votre entreprise doit impliquer la personne de votre entreprise qui peut prendre des décisions à l'échelle de l'entreprise lorsqu'il s'agit de se connecter à des parties externes pour des services d'identité. Vous devez vous assurer que cette personne est incluse dans le processus. La fédération avec IBMid peut avoir un impact sur les services Web nonIBM Cloud que votre société utilise déjà avec IBM. | Cette option nécessite la création d'une instance App ID. Il s'agit d'une option en libre-service avec des frais d'utilisation peu élevés. Le choix de cette option nécessite l'utilisation d'une adresse personnalisée URL pour se connecter à IBM Cloud. En outre, une instance App ID et la configuration de la fédération vers votre IdP sont nécessaires pour chaque compte IBM Cloud. |
| Coûts | Les clients n'ont pas besoin de payer pour utiliser IBMid avec ou sans fédération. | Les instances IBM Cloud App ID sont peu payantes, avec un niveau gratuit pouvant atteindre 1 000 utilisateurs et 1 000 événements (par exemple, des connexions). Voir la page App ID pour plus de détails. |
| Configuration de la fédération | Les clients doivent ouvrir un cas de support avec IBMid Enterprise Federation pour démarrer le processus d'intégration. Il s'agit d'un processus manuel. | Le client crée une instance IBM Cloud App ID et la configure conformément aux étapes documentées. Ce processus est en libre-service. |
| Maintenance de la fédération (par exemple, mise à jour du certificat) | Nécessite une interaction manuelle avec l'équipe de fédération IBMid. | Le client peut mettre à jour son instance IBM Cloud App ID par lui-même (par exemple, cette étape est en libre-service). |
| Portée de la fédération | La fédération IBMid s'applique à tous les services qui utilisent IBMid. Cela signifie que si un client se connecte à la fédération IBMid, cela s'applique à ses employés lors de la connexion à IBM Cloud, mais également lors de l'utilisation d'autres offres IBM SaaS qui utilisent IBMid. | La fédération a un impact uniquement sur le compte IBM Cloud dans lequel l'instance IBM Cloud App ID est configurée pour autoriser les connexions. Elle n'a pas non plus d'impact sur les autres comptes IBM Cloud ni sur les offres IBM SaaS. |
| Intégration d'un membre de compte | Les utilisateurs doivent être invités par leur adresse électronique. | Chaque utilisateur qui peut se connecter à l'instance IBM Cloud App ID configurée sera automatiquement ajouté au compte IBM Cloud. |
| Appartenance à un compte croisé | Les IBMid peuvent être membres de plusieurs comptes. | Les utilisateurs ne peuvent être membres que d'un seul compte. Même si plusieursIBM Cloud App ID les instances se fédèrent en une seuleIdP, les utilisateurs sont traités comme des utilisateurs distincts dans chaque compte. |
| Utilisation des assertions SAML dans les règles dynamiques de groupe d'accès | Toute assertion SAML envoyée par le IdP peut être utilisée dans les règles dynamiques de groupe d'accès. | Toute assertion SAML envoyée par le IdP peut être utilisée dans les règles dynamiques de groupe d'accès. |
| Fiabilité | IBMid est un service global avec une équipe d'opérations dédiée. En cas d'indisponibilité dans un centre de données, IBMid peut basculer vers un autre centre de données. | Toute instance IBM Cloud App ID existe dans une région. Les échecs dans cette région peuvent empêcher les membres de compte de se connecter. Les utilisateurs qui sont déjà connectés ne sont généralement pas affectés par un tel échec. |
| Comportement de connexion | Les utilisateurs se connectent à l'aide de la page de connexion centrale. | Vous devez utiliser une adresse spéciale URL pour vous connecter à votre compte IBM Cloud. Votre administrateur de compte obtient cette adresse URL à partir de la page IAM Identity providers dans la console IBM Cloud. |
Scénarios
Pour obtenir de l'aide supplémentaire sur la sélection de l'option appropriée, consultez les scénarios courants:
- Utilisation d'un compte IBM Cloud unique
- Un client utilise un seul compte IBM Cloud et aucune autre offre IBM SaaS. Etant donné que le client n'utilise aucune autre offre IBM SaaS ou aucun autre compte IBM Cloud, il n'a aucun avantage sur les capacités de portée de fédération ou les capacités intercomptes d' IBMid. Le nombre d'utilisateurs et de connexions étant faible, l'option IBM Cloud App ID n'entraîne pas de coûts pour ce compte. Le client décide de l'option de fédération IBM Cloud App ID.
- Utilisation de IBM Cloud et d'autres offres IBM SaaS
- Un client utilise IBM Cloud et d'autres offres IBM SaaS. IBM entretient des relations durables et solides avec de nombreux clients. Ces clients consomment généralement plusieurs offres IBM SaaS, qui nécessitent que tous les utilisateurs utilisent des comptes utilisateur IBMid pour utiliser ces offres IBM SaaS. Dans ce cas, tous les employés du client auraient un avantage à utiliser la fédération IBMid au lieu de la fédération basée sur IBM Cloud App ID. La fédération IBMid permet à tous les employés d'utiliser les offres IBM SaaS et la console IBM Cloud en utilisant la gestion et la validation des mots de passe de votre fournisseur d'identité.
Ressources
Les liens suivants vous aident à implémenter la fédération que vous choisissez:
- IBMid Enterprise Federation Adoption Guide.
- Le guide de fédération IBMid accessible au public vous présente les étapes requises pour fédérer votre fournisseur d'identité et les personnes à contacter pour que la fédération soit implémentée. Sachez que vous avez besoin d'un "sponsorIBM " (par exemple, un employé IBM qui travaille comme contact principal entre vous et l'équipe IBMid ).
- IBM Cloud Fédération en libre-service pour les fournisseurs d'identité externes.
- Annonce de la fonctionnalité IAM ( IBM Cloud ) pour la fédération avec un fournisseur d'identité via SAML en utilisant { {site.data.keyword.appid_full_notm}.
- Activation de l'authentification à partir d'un fournisseur d'identité externe
- Suivez les étapes nécessaires pour intégrer une instance de service IBM Cloud App ID à IBM Cloud IAM afin que vos utilisateurs puissent utiliser votre compte IBM Cloud sans créer d'IBMids. Consultez la section Définition des attributs spécifiques à IAM dans les jetons App ID pour vous assurer que vos utilisateurs sont correctement intégrés et affichés dans votre compte IBM Cloud.
- Contrôle de l'accès aux ressources de cloud.
- Ce tutoriel explique comment utiliser des règles dynamiques dans des groupes d'accès afin d'automatiser les affectations de droits en fonction des attributs que votre fournisseur d'identité envoie à IBM Cloud via SAML. Le tutoriel lui-même a été écrit pour la fédération IBMid, mais le même concept et les mêmes étapes fonctionnent également avec la fédération basée sur IBM Cloud App ID.
- Utilisation d'instances App ID pour générer des règles dynamiques dans les groupes d'accès
- Si vous prévoyez d'utiliser une règle dynamique avec une fédération basée sur IBM Cloud App ID, veillez à utiliser la syntaxe correcte pour le paramètre "Fournisseur d'identité" dans la règle dynamique. La section du lien décrit comment générer l'identificateur "Identity Provider" correct.
- IBM Cloud Connexion unique de compte à l'aide de IBM Cloud App ID et Microsoft Azure AD
- Cette entrée de blogue montre l'ensemble du processus d'intégration de Microsoft Azure Active Directory à IBM Cloud à l'aide de IBM Cloud App ID. Consultez la documentation pour en savoir plus sur Identity and Access Management dans IBM Cloud.