Qual è l'opzione di federazione giusta per te?
In passato, IBM Cloud supportava l'integrazione con directory utente del cliente utilizzando la federazione SAML IBMid. Nel maggio del 2020, IBM Cloud ha introdotto un metodo alternativo per i client per federare le identità con il loro account IBM Cloud.
Per impostazione predefinita, quando crei un account in IBM Cloud utilizzi un IBMid per l'identità utente. IBMid è l'ID come servizio (IDaaS) da IBM utilizzato per accedere ai servizi basati sul web IBM, incluse le risorse IBM Cloud. L' IBMid è basato sull'indirizzo e-mail della tua azienda e su una password gestita da IBMid. IBMid ti consente di federarti alla tua directory utente aziendale o a un servizio del provider di identità di terze parti (IdP) che potresti già utilizzare, come Okta.
La federazione alla tua directory semplifica il processo di aggiunta degli utenti al tuo account, senza richiedere un IBMid con una password separata. Tuttavia, in alcuni casi potrebbe non essere possibile utilizzare IBMid per federare la directory utente aziendale. L'alternativa è creare un'istanza IBM Cloud App ID nel tuo account e collegarla al tuo IdPscelto.
Questo argomento illustra le differenze tra i due seguenti metodi:
- Federazione con IBMid.
- Federazione con la propria istanza di IBM Cloud App ID.
Per decidere quale opzione è applicabile al tuo caso di utilizzo, esamina le seguenti sezioni.
Quali opzioni di federazione SAML esistono in IBM Cloud?
IBM Cloud supporta i seguenti tipi di utente:
- Utenti IBMid non federati
- Gli utenti con un indirizzo email valido possono creare un IBMid e lasciare che IBMid gestisca la password. Il tuo dominio email aziendale non è federato con IBMide scegli di mantenerlo così com' è. Qualsiasi utente che utilizza il tuo dominio email può creare il proprio IBMide la password che crea è gestita da IBMid. Possono creare un account IBM Cloud e invitare altri utenti con un IBMid al loro account. Possono anche accedere ad altre offerte web IBM utilizzando lo stesso IBMid.
- Utenti IBMid federati
- I clienti aziendali spesso connettono la propria directory utente interna oIdP, conIBMid in modo che i loro dipendenti non debbano gestire una password aggiuntiva. Invece, possono riutilizzare il loro normale accesso al loro IdP per accedere alle offerte web IBM, incluso IBM Cloud. La connessione di un IdP esterno con IBMid si chiama federazione e il protocollo tecnico sottostante si chiama SAML. A questi utenti si fa spesso riferimento come utenti federati IBMid. Poiché IBMid è in fase di federazione con più clienti aziendali contemporaneamente, un prerequisito di una federazione di successo è un indirizzo email univoco per ogni utente IBMid.
- IBM Cloud App ID utenti
- Anche le istanze di IBM Cloud App ID possono connettersi a un IdP. Un'istanza App ID può connettersi solo a un IdP esterno utilizzando SAML e, pertanto, non è necessario un indirizzo email univoco.
Proprietari dell'account IBM Cloud
Per creare un account IBM Cloud, hai bisogno di un utente IBMid che sarà il proprietario dell'account IBM Cloud. Puoi creare questo utente IBMid durante il processo di registrazione dell'accountIBM Cloud oppure utilizzi un utente IBMid esistente. Ti consigliamo di creare l'account utilizzando un ID funzionale o un account di servizio con un indirizzo email valido, questo può aiutare a semplificare la continuità della proprietà dell'account nella tua organizzazione.
Per qualsiasi altro membro del tuo account IBM Cloud, hai la possibilità di utilizzare gli utenti IBMid normali o federati come membri dell'account IBM Cloud. In alternativa, puoi connettere il tuo IdP al tuo account IBM Cloud utilizzando un'istanza del servizio IBM Cloud App ID. Tutti gli utenti che accedono tramite l'istanza del servizio IBM Cloud App ID vengono aggiunti automaticamente al tuo account, quindi non devi invitare questi utenti.
Come esegui l'onboarding dei membri dell'account IBM Cloud ?
Gli account IBM Cloud hanno accesso a tutti gli utenti IBMid, federati e non federati. Gli utenti IBMid devono essere invitati al tuo conto IBM Cloud. Di conseguenza, lo stesso utente IBMid può essere membro di più account IBM Cloud contemporaneamente. Nella console IBM Cloud, l'utente IBMid può selezionare l'account in cui questo utente sta lavorando.
Durante la configurazione della tua istanza del servizio IBM Cloud App ID, connetti l'istanza del servizio con il tuo account IBM Cloud. Pertanto, gli utenti che accedono utilizzando questa istanza del servizio possono essere membri di questo unico account. Questi utenti verranno automaticamente aggiunti al tuo account IBM Cloud quando eseguono l'autenticazione la prima volta.
Confronto delle opzioni di federazione
La seguente tabella confronta le caratteristiche di ogni opzione di federazione. In entrambi i casi, il presupposto è che il cliente colleghi un'istanza IBMid o IBM Cloud App ID con il proprio IdP con SAML.
| Funzione | IBMid | App ID |
|---|---|---|
| Indirizzo email | Gli utenti devono avere un indirizzo email globalmente univoco. Ad esempio, firstname.lastname@example.com. Se il dominio email della propria azienda è già federato, è possibile avviare la configurazione dell'accesso al proprio account. Se non è già federato, è necessario un processo manuale con il team di federazione IBMid per stabilire la federazione. Durante il processo di configurazione della federazione, il cliente collabora con il team di federazione IBMid per definire quale pattern email corrisponde agli utenti IdP. La decisione di eseguire la federazione alla directory utente della propria azienda deve coinvolgere la persona nella propria azienda che può prendere decisioni a livello aziendale quando si tratta di connettersi a parti esterne per i servizi di identità. È necessario assicurarsi che questa persona sia inclusa nel processo. La federazione con IBMid può avere un impatto sui servizi web nonIBM Cloud che la tua società utilizza già con IBM. | Questa opzione richiede la creazione di un'istanza App ID. Si tratta di un'opzione self - service con un basso costo di utilizzo. La scelta di questa opzione richiede un URL personalizzato per accedere a IBM Cloud. Inoltre, per ogni account IBM Cloud è necessaria un'istanza di App ID e la configurazione della federazione a IdP. |
| Costi | I clienti non devono pagare per utilizzare IBMid con o senza federazione. | IBM Cloud App ID istanze hanno una tariffa bassa, con un livello gratuito fino a 1.000 utenti e 1.000 eventi (ad esempio, accessi). Vedere la pagina App ID per maggiori dettagli. |
| Configurazione federazione | I clienti devono aprire un caso di supporto con IBMid Enterprise Federation per avviare il processo di onboarding. Si tratta di un processo manuale. | Il cliente crea un'istanza IBM Cloud App ID e la configura in base ai passi documentati. Questo processo è self - service. |
| Manutenzione federazione (ad esempio, aggiornamento certificato) | Richiede un'interazione manuale con il team di federazione IBMid. | Il cliente può aggiornare la propria istanza IBM Cloud App ID da sola (ad esempio, questo passo è self - service). |
| Ambito federazione | La federazione IBMid si applica a ogni servizio che utilizza IBMid. Ciò significa che se un cliente si collega alla federazione IBMid, ciò si applica ai suoi dipendenti quando accede alle offerte IBM Cloud, ma anche quando utilizza altre offerte IBM SaaS che utilizzano IBMid. | La federazione ha impatto solo sull'account IBM Cloud in cui l'istanza IBM Cloud App ID viene configurata per consentire i login. Inoltre, non influisce su altri account IBM Cloud o sulle offerte IBM SaaS. |
| Onboarding del membro dell'account | Gli utenti devono essere invitati dal loro indirizzo email. | Ogni utente che può accedere correttamente all'istanza IBM Cloud App ID configurata verrà automaticamente aggiunto all'account IBM Cloud. |
| Appartenenza tra account | Gli IBMids possono essere membri di più account. | Gli utenti possono essere membri di un solo account. Anche se multipliIBM Cloud App ID le istanze si federano allo stessoIdP, gli utenti vengono trattati come utenti separati in ciascun account. |
| Utilizzo delle asserzioni SAML nelle regole dinamiche del gruppo di accessi | Qualsiasi asserzione SAML inviata dall' IdP può essere utilizzata nelle regole dinamiche del gruppo di accesso. | Qualsiasi asserzione SAML inviata dall' IdP può essere utilizzata nelle regole dinamiche del gruppo di accesso. |
| Affidabilità | IBMid è un servizio globale con un team operativo dedicato. In caso di interruzione in un data center, IBMid può eseguire il failover in un data center differente. | Qualsiasi istanza IBM Cloud App ID esiste in una regione. Gli errori in tale regione possono impedire ai membri dell'account di accedere. Gli utenti che sono già collegati di solito non sono interessati da tale errore. |
| Comportamento di accesso | Gli utenti accedono utilizzando la pagina di collegamento centrale. | Per accedere al proprio account IBM Cloud è necessario utilizzare uno speciale URL. L'amministratore dell'account ottiene questo URL dalla pagina IAM Identity providers della console IBM Cloud. |
Scenari
Per ulteriori informazioni su come decidere l'opzione corretta, esaminare gli scenari comuni:
- Utilizzo di un singolo account IBM Cloud
- Un cliente utilizza un singolo account IBM Cloud e nessun' altra offerta IBM SaaS. Poiché il cliente non utilizza alcuna altra offerta IBM SaaS o qualsiasi altro account IBM Cloud, non hanno alcun vantaggio nelle funzionalità dell'ambito della federazione o nelle funzionalità tra account di IBMid. Il numero di utenti e accessi è basso, quindi l'opzione IBM Cloud App ID non comporta costi per questo account. Il cliente decide su IBM Cloud App ID come opzione di federazione.
- Utilizzando IBM Cloud e altre offerte IBM SaaS
- Un cliente utilizza IBM Cloud e altre offerte IBM SaaS. IBM ha una relazione duratura e forte con molti clienti. Questi clienti in genere utilizzano più offerte IBM SaaS, che richiedono a tutti gli utenti di utilizzare account utente IBMid per lavorare con quelle offerte IBM SaaS. In tal caso, tutti gli impiegati del cliente avrebbero un vantaggio nell'utilizzare la federazione IBMid invece della federazione basata su IBM Cloud App ID. La federazione IBMid fornisce a tutti i dipendenti la possibilità di utilizzare le offerte IBM SaaS e le console IBM Cloud utilizzando la convalida e la gestione della password del provider di identità.
Risorse
I seguenti collegamenti consentono di implementare la federazione scelta:
- IBMid Enterprise Federation - Guida all'adozione.
- La guida alla federazione IBMid pubblicamente disponibile ti fornisce una panoramica sui passaggi richiesti per federare il tuo provider di identità e su chi contattare per ottenere l'implementazione della federazione. Tieni presente che hai bisogno di uno sponsor "IBM " (ad esempio, un dipendente IBM che funga da contatto principale tra te e il team IBMid ).
- IBM Cloud Federazione self - service per provider di identità esterni.
- Annuncio per la funzione IAM dell' IBM Cloud e per federarsi con un Identity Provider tramite SAML utilizzando { {site.data.keyword.appid_full_notm}.
- Abilitazione dell'autenticazione da un provider di identità esterno
- Segui la procedura necessaria per integrare un'istanza del servizio IBM Cloud App ID con IBM Cloud IAM in modo che i tuoi utenti possano utilizzare il tuo account IBM Cloud senza creare gli IBMids. Esamina la sezione Impostazione degli attributi specifici di IAM in App ID token per assicurarti che i tuoi utenti siano correttamente inseriti e visualizzati nel tuo account IBM Cloud.
- Controlla l'accesso alle risorse cloud.
- Questa esercitazione descrive come utilizzare le regole dinamiche nei gruppi di accesso in modo da automatizzare le assegnazioni delle autorizzazioni in base agli attributi che il provider di identità sta inviando a IBM Cloud mediante SAML. L'esercitazione è stata scritta per la federazione IBMid, ma lo stesso concetto e la stessa procedura funzionano anche con la federazione basata su IBM Cloud App ID.
- Utilizzo delle istanze App ID per creare regole dinamiche nei gruppi di accesso
- Nel caso in cui intendi utilizzare una regola dinamica con la federazione basata su IBM Cloud App ID, assicurati di utilizzare la sintassi corretta per l'impostazione "Identity Provider" all'interno della regola dinamica. La sezione nel collegamento descrive come creare l'identificativo "Identity Provider" corretto.
- IBM Cloud SSO(Single Sign - on)dell'account utilizzando IBM Cloud App ID e Microsoft Azure AD
- Questa voce del blog mostra l'intero processo di integrazione di Microsoft Azure Active Directory con IBM Cloud utilizzando IBM Cloud App ID. Consulta la documentazione per ulteriori informazioni su Identity and Access Management in IBM Cloud.