IBM Cloud Docs
Activation de l'authentification à partir d'un fournisseur d'identité externe

Activation de l'authentification à partir d'un fournisseur d'identité externe

Vous pouvez vous intégrer à votre fournisseur d'identité externe pour authentifier en toute sécurité des utilisateurs externes à votre compte IBM Cloud®. A l'aide de votre fournisseur d'identité, vous pouvez offrir aux utilisateurs de votre société un moyen d'utiliser la connexion unique (SSO). Cela est possible en connectant votre compte cloud à une instance IBM Cloud App ID de votre choix.

Une méthode d'authentification plus couramment utilisée dans IBM Cloud qui vous fédère pour tous les produits IBM et ne génère pas de frais d'utilisation est la fédération IBMid par enregistrement de votre domaine de société. L'enregistrement du domaine d'une société auprès d'IBM permet aux utilisateurs de se connecter pour recevoir des produits et des services IBM en utilisant leurs données d'identification d'utilisateur de société existantes. L'authentification est alors gérée par le fournisseur d'identité de votre société via la connexion unique (SSO). Pour plus d'informations sur l'enregistrement de votre entreprise pour un identifiant fédéré, consultez le guide d'adoption de la fédération d'entreprise IBMid. Un sponsor IBM, tel qu'un Product Advocate ou un Client Advocate, est requis lorsque vous demandez l'enregistrement d'identifiants fédérés.

Pour commencer la configurationIBMid pour une fédération d'entreprises, ouvrir un dossier àibm.com/mysupport et sélectionnezIBMid Fédération d'entreprise comme produit.

Si vous choisissez d'utiliser une référence de fournisseur d'identité externe via IAM, chaque compte peut comporter jusqu'à cinq références de fournisseur d'identité ajoutées par l'intermédiaire de la page Fournisseurs d'identité de la section Accès (IAM) de la console. Vous configurez votre référence de fournisseur d'identité en sélectionnant l'instance App ID à intégrer à IAM. La référence de fournisseur d'identité reçoit alors un ID de domaine aléatoire correspondant au préfixe unique des utilisateurs de cette instance de service App ID.

La configuration de l'intégration entre votre instance App ID, qui est déjà configurée avec votre fournisseur d'identité, et votre compte IBM Cloud vous permet de continuer à gérer tous les utilisateurs en externe dans votre fournisseur d'identité. Elle simplifie également le processus de connexion à votre compte cloud des utilisateurs de votre entreprise. Une fois que l'intégration est terminée, vous devez fournir à vos utilisateurs une URL personnalisée qu'ils utiliseront pour se connecter à chaque fois. Il n'est pas nécessaire d'inviter qui que ce soit à utiliser votre compte car tout utilisateur existant dans le référentiel d'utilisateurs de votre fournisseur d'identité connecté peut se connecter avec ses données d'identification via l'URL personnalisée.

Avant de commencer

  • Pour savoir quelle est l'option de fédération qui vous convient le mieux, consultez le guide de la fédération SAML sur le site IBM Cloud.
  • Créez une instance App ID à partir du catalogue IBM Cloud. Pour plus d'informations, voir le Tutoriel d'initiation.
  • Configurez votre instance App ID. Pour plus d'informations sur la procédure à suivre en fonction de votre scénario d'utilisation, reportez-vous à la documentation App ID sur la gestion de l'authentification.
  • Vérifiez que vous disposez de l'accès requis pour afficher et gérer les références de fournisseur d'identité, si vous n'êtes pas le propriétaire du compte. Vous devez bénéficier du rôle d'opérateur ou d'un rôle de niveau supérieur sur l'instance App ID et du rôle d'opérateur ou d'administration sur le service d'identité IAM.

Configuration de votre instance App ID pour l'intégration à IAM

Examinez les exigences suivantes concernant la configuration de votre instance App ID pour qu'elle fonctionne correctement en tant que fournisseur d'identité IAM ( IdP ) pour votre compte IBM Cloud.

Si vous prévoyez d'utiliser votre instance App ID pour l'intégration des fournisseurs d'identité IAM, tout utilisateur qui peut s'authentifier auprès de cette instance App ID peut se connecter à votre compte. Il est donc recommandé de respecter les instructions suivantes lors de la configuration de votre instance :

Désactivez les types d'authentification suivants :

  • Facebook
  • Google
  • IBMid
  • Anonyme

Si vous décidez d'utiliser Cloud Directory comme méthode d'authentification, désactivez l'option permettant aux utilisateurs de s'inscrire via l'application ; au lieu de cela, n'ajoutez individuellement que les utilisateurs connus à votre Cloud Directory.

Définition des attributs spécifiques à IAM dans les jetons App ID

Pour qu'IAM fonctionne correctement avec votre fournisseur d'identité externe, vous devez vous assurer que l'instance App ID fournit tous les attributs requis. Pour prendre connaissance de ces derniers, reportez-vous au tableau suivant :

Attributs requis pour les jetons App ID
Attribut Demande de jeton d'ID App ID Source Description
identifier (requis) ID Généré par App ID Identificateur unique identifiant un utilisateur. Il ne peut pas être modifié pendant la durée de vie de cet utilisateur. App ID crée cet identificateur.
e-mail (obligatoire) adresse électronique Mappé à partir de l'assertion SAML "email", obligatoire pour les configurations Cloud Directory et SAML. Adresse électronique de l'utilisateur.
username (recommandé) preferred_username si présent, sinon sub Mappé à partir de l'assertion SAML "preferred_username", "username", "user_name" ou "userName" si disponible. Sinon, la réclamation "sub" générée par App ID est utilisée Si vous utilisez l'interface de ligne de commande, des API ou IBM Cloud Kubernetes Service, le nom d'utilisateur est affiché. Un nom d'utilisateur correspond souvent à une adresse électronique, mais cela n'est pas obligatoire. Si le nom d'utilisateur n'est pas fourni par App ID, IAM utilise l'identificateur à la place.
firstname (recommandé) given_name si disponible, sinon "notset" par défaut Mappé à partir de l'assertion SAML "given_name", "givenname", "givenName", "first_name", "firstname" ou "firstName" si disponible. Sinon IAM utilise la constante "notset" Prénom de l'utilisateur qui se connecte.
lastname (recommandé) family_name si disponible, sinon "notset" par défaut Mappé à partir de l'assertion SAML "family_name", "familyname", "familyName", "last_name", "lastname" ou "lastName" si disponible. Sinon IAM utilise la constante "notset" Nom de l'utilisateur qui se connecte.
nom (facultatif) name si présent, sinon, créé avec firstname, un espace et lastname Aucun mappage automatique de SAML Nom complet, avec le deuxième prénom, le titre ou toute autre prévision non couverte par le prénom et le nom

Lorsqu'un utilisateur parvient à s'authentifier à l'aide de l'instance de service App ID dans le compte IBM Cloud, il est automatiquement ajouté à ce compte. Les utilisateurs ajoutés n'obtiennent pas de règles d'accès affectées par défaut. Toutefois, à l'aide de groupes d'accès et de règles dynamiques, vous pouvez configurer les règles d'accès affectées automatiquement.

Activation de votre fournisseur d'identité et connexion à ce dernier

Si vous n'avez pas configuré de références de fournisseur d'identité IAM auparavant dans votre compte, vous devez au préalable activer le paramètre de connexion pour votre compte.

  1. Activez les paramètres de connexion pour votre compte. Vous pouvez ignorer cette étape si vous avez déjà activé ce paramètre.

    1. Accédez à Gérer > Accès (IAM) > Fournisseurs d'identité dans la console IBM Cloud et cliquez sur Activer.
    2. Entrez un alias pour l'URL de compte par défaut, que vous fournissez aux utilisateurs pour qu'ils se connectent à votre compte.

    Comme vous partagez le site URL avec des utilisateurs externes, veillez à ce que l'alias soit unique et simple. Il est courant d'utiliser le nom de la société ou une variante de ce nom.

  2. Cliquez sur Créer pour créer votre référence de fournisseur d'identité.

  3. Entrez un nom pour la référence de fournisseur d'identité et sélectionnez l'instance App ID à connecter.

  4. Sélectionnez la manière dont vous souhaitez embarquer les utilisateurs :

    • Statique: (par défaut) Ajoute chaque utilisateur à votre compte lorsqu'il se connecte pour la première fois.
    • Dynamique: Ajoutez des utilisateurs à votre compte uniquement s'ils se connectent et ne sélectionnent pas de profil de confiance.
    • Jamais: les utilisateurs ne sont pas ajoutés à votre compte mais peuvent accéder à votre compte à l'aide de profils sécurisés. Pour plus d'informations sur les profils sécurisés, voir Création de profils sécurisés.

    Si vous avez défini l'intégration sur Statique et que l'utilisateur sélectionne un profil sécurisé lorsqu'il se connecte pour la première fois, l'utilisateur est toujours ajouté au compte.

  5. Sélectionnez ensuite les paramètres suivants (facultatif):

    • Activer pour la connexion au compte?: Activez vos références de fournisseur d'identité à utiliser pour que les utilisateurs puissent se connecter à votre compte. Cette option est définie par défaut lors de la création initiale d'une référence de fournisseur d'identité.
    • Définir comme valeur par défaut ? : Les utilisateurs peuvent utiliser la référence par défaut IdP URL que vous avez créée lorsque vous avez activé cette fonctionnalité pour se connecter à votre compte. Vous ne pouvez avoir qu'une seule référence de fournisseur d'identité par défaut. Pour toutes les autres références de fournisseur d'identité que vous créez, les utilisateurs doivent utiliser les ID de domaine pour se connecter.

  6. Cliquez sur Créer.

Votre référence de fournisseur d'identité est maintenant disponible dans la liste Fournisseurs d'identité et l'ID de domaine est généré automatiquement comme valeur représentant votre fournisseur d'identité IAM dans IBM Cloud.

Connexion à l'aide des données d'identification du fournisseur d'identité externe

Une fois que votre instance App ID est connectée à votre fournisseur d'identité et que votre instance App ID est intégrée à IAM, vos utilisateurs peuvent commencer à se connecter à votre compte. Si la référence de fournisseur d'identité est définie comme référence par défaut, vous pouvez partager l'URL de fournisseur d'identité par défaut de votre compte.

Toutefois, comme une seule URL peut être définie comme URL par défaut, mais que cinq URL peuvent avoir été configurées dans votre compte, vous devrez peut-être obtenir l'URL d'une autre référence de fournisseur d'identité :

  1. Dans les pages du fournisseur d'identité, cliquez sur l'icône Actions Icône de liste d'actions pour la ligne de la référence du fournisseur d'identité dont vous avez besoin.
  2. Sélectionnez Afficher l'URL du fournisseur d'identité.
  3. Copiez le lien URL de fournisseur d'identité à fournir aux utilisateurs pour qu'ils puissent se connecter.

Utilisation d'instances App ID pour générer des règles dynamiques dans des groupes d'accès

En plus des attributs requis et recommandés, vous pouvez transmettre toutes sortes d'informations avec votre assertion SAML. Vous pouvez utiliser ces attributs dans des règles dynamiques dans des groupes d'accès.

Pour que la génération d'une règle dynamique aboutisse, les informations suivantes sont requises :

  • Fournisseur d'identité : utilisez le préfixe appid:// et l'ID de domaine du fournisseur d'identité IAM. Par exemple, appid://A1B2C3D4 si l'ID de domaine de l'utilisateur est A1B2C3D4.
  • Ajouter des utilisateurs lorsque : utilisez le nom de l'assertion SAML supplémentaire. Cette propriété est transmise telle quelle.
  • Si vous utilisez l'option Cloud Directory ou l'option de fédération SAML dans App ID, notez que vous pouvez ajouter des attributs personnalisés au profil de chaque utilisateur. Vous pouvez également utiliser ces propriétés pour des règles dynamiques. Toutefois, si une même propriété correspond à un attribut personnalisé et une assertion SAML, l'attribut personnalisé de l'assertion SAML est utilisé.

Jusqu'à la version 1.18, IBM Cloud Kubernetes Service s'appuie sur des noms d'utilisateur unique dans un compte. Pour un fonctionnement correct, vous devez vous assurer que tous les noms d'utilisateur sont uniques parmi tous les fournisseurs d'identité. Cela signifie que vous devez vous assurer que les noms d'utilisateur intégrés à votre compte à partir d'IBMid et les utilisateurs intégrés à votre compte par un fournisseur d'identité IAM ne se chevauchent pas. Sinon, des conflits pourraient apparaître dans les règles RBAC dans IBM Cloud Kubernetes Service et ces règles risqueraient d'octroyer des droits incorrects.

Si vous travaillez avec un site externe IdP,, il est recommandé de ne se connecter qu'à un seul site externe IdP et de laisser les utilisateurs embarquer automatiquement par l'intermédiaire de ce site IdP.

N'invitez pas d'utilisateurs à l'aide du processus d'invitation IBM Cloud car cela ne fonctionne que pour les utilisateurs possédant des IBMid. Si vous avez utilisé des invitations IBM Cloud pour votre compte, vous vous retrouvez avec un mélange d'utilisateurs avec des IBMid et d'utilisateurs intégrés automatiquement à partir de votre fournisseur d'identité externe. Cela peut prêter à confusion car les utilisateurs possédant des IBMid se connectent via le site Web IBM Cloud tandis que les utilisateurs de votre fournisseur d'identité externe doivent se connecter avec une URL spéciale. Cela peut conduire à la duplication des noms d'utilisateur sur un même compte, ce qui est déconseillé en raison des limites du site Kubernetes Service mentionnées précédemment.

Utilisation des données de fournisseur d'identité pour générer des profils sécurisés

Une fois que vous avez activé et connecté votre fournisseur d'identité, vous pouvez commencer à créer des profils sécurisés. Pour créer une relation de confiance avec les utilisateurs fédérés, vous pouvez utiliser les données personnelles de votre fournisseur d'identité pour rechercher des noms d'attribut et des valeurs qui existent dans votre organisation.

Si les utilisateurs pour lesquels vous créez un profil sécurisé utilisent IBM Cloud App ID, vous devez créer le profil sécurisé en tant qu'utilisateur App ID, et de même pour IBMid. De cette façon, vos propres attributs SAML peuvent vous donner une idée de la structure des conditions de profil de confiance. Les autres utilisateurs ayant le même fournisseur d'identité peuvent avoir des attributs SAML différents et vous devez utiliser le vôtre uniquement comme indice. Pour utiliser des attributs dans une allégation différente de la vôtre, vous pouvez les saisir manuellement.

Les conditions que vous créez filtrent les utilisateurs fédérés ou les autorisent à appliquer le profil sécurisé, en fonction des attributs qui leur sont octroyés dans votre annuaire d'utilisateurs. Lorsque vous créez un profil sécurisé, vous pouvez afficher les données du fournisseur d'identité pour afficher vos propres réclamations d'utilisateur dans l'annuaire d'utilisateurs de vos organisations.

Soit un attribut appelé groups qui identifie les services, les équipes et les organisations internes de plus petite taille au sein de votre société. Si l'équipe financière compte des développeurs aux États-Unis qui ont besoin du même niveau d'accès pour un projet, vous pouvez créer un profil de confiance dans les conditions suivantes :

  • Autoriser les utilisateurs si groups est égal à finance-dev
  • Autoriser les utilisateurs si country est égal à us

Pour être certain que vos conditions n'autorisent que les utilisateurs fédérés auxquels vous souhaitez octroyer l'accès, contactez l'architecte de votre annuaire d'entreprise pour plus d'informations sur les attributs disponibles.

Pour plus d'informations sur les zones utilisées pour créer les conditions, voir Propriétés de condition IAM.

Il est recommandé de créer des conditions restreintes. Comme vous partagez la même URL de fournisseur d'identité que toutes les personnes de votre organisation, si une règle de réclamation est trop ouverte, vous risquez de laisser involontairement des utilisateurs appliquer un profil sécurisé avec accès à votre compte.