IBM Cloud Docs
Identità in IBM Cloud

Identità in IBM Cloud

I due concetti principali di IBM Cloud® IAM sono la gestione delle identità e degli accessi. Per ulteriori informazioni, esamina le seguenti sezioni e i concetti di gestione dell'accesso.

Il concetto di identità è costituito da identità utente, identità servizio e applicazione, chiavi API per utenti e ID servizio, profili attendibili e identità risorsa. Gli utenti sono identificati dal loro ID IBMid, dall'ID SoftLayer, dall'ID utente App ID o dagli attributi utente federati.

IBM Cloud IAM concede l'accesso alle singole identità o a un gruppo di identità utilizzando le politiche. Le politiche consentono agli utenti di concedere l'accesso rispettando il principio del minimo privilegio utilizzando ruoli e risorse con ambito. Ad eccezione dei proprietari dell'account, le identità utente non hanno alcuna concessione di accesso per impostazione predefinita. Ogni concessione di accesso è indipendente da altre concessioni di accesso e gli utenti con autorizzazione possono accedere a risorse utilizzando la console e API. Le azioni consentite possono essere per una singola API o un gruppo di API a seconda delle necessità del cliente. L'accesso può essere concesso ad un livello elevato per un raggruppamento di risorse o per una singola risorsa in base alle necessità del cliente.

La rimozione dell'accesso per le identità inattive può ridurre il rischio di accesso non autorizzato alla tua risorsa IBM Cloud e aiutarti a gestire l'accesso in modo più efficace. Per ulteriori informazioni, vedi Identificazione delle identità inattive.

Utenti

Gli ID utente sono utilizzati al meglio quando una persona ha bisogno di un'identità digitale in un account. Gli utenti sono invitati all'account e viene loro concesso l'accesso alle risorse nell'account. Gli utenti accedono utilizzando il loro ID IBMid, l'ID SoftLayer, l'ID utente App ID o l'ID utente federato. Ogni utente viene identificato anche da un ID generato denominato ID IAM.

Gli ID IAM includono sempre un realm per identificare il provider dell'utente, ad esempio IBMid o un provider di identità esterno. Nell'ID IAM, il realm è seguito da una serie di numeri che è un identificativo univoco. Ad esempio, l'ID IAM per un utente con un IBMid è simile a IBMid-20000AB1C.

Gli ID IAM sono più comunemente utilizzati quando assegni l'accesso ad altri utilizzando l'API. Vengono utilizzati per identificare un utente, un ID servizio, un profilo attendibile o una risorsa. L'ID IAM è incluso nel token quando viene utilizzato nella console, nella CLI o nell'API. Le politiche di accesso vengono definite utilizzando ID IAM poiché è l'identità che può essere verificata nel token IAM.

Per trovare il tuo ID IAM, vai a Gestisci > Accesso (IAM). Puoi vedere il tuo ID IAM nella sezione I miei dettagli utente. Per visualizzare gli ID IAM di altri utenti, vai a Gestisci > Accesso (IAM) > Utenti, quindi seleziona un nome utente dall'elenco e fai clic su Dettagli.

Chiavi API utente

Le chiavi API IBM Cloud sono credenziali associate all'identità di un utente. L'accesso a cui l'utente è assegnato può provenire dalle politiche su più account di cui l'utente è membro. Le credenziali della chiave API utente possono essere utilizzate per effettuare chiamate API e CLI. La chiave API utente può essere utilizzata direttamente o per generare un token.

Per ulteriori informazioni sull'utilizzo di una chiave API associata alla tua identità utente, consulta Gestione delle chiavi API utente.

Federazione degli utenti a IBM Cloud

IBM Cloud offre due modi per federare il tuo provider di identità aziendale (IdP), che semplifica l'accesso fornendo ai tuoi dipendenti l'accesso a IBM Cloud con il nome utente e password della loro azienda. Puoi federarti con IBMidoppure hai l'opzione di creare un'istanza del servizio IBM Cloud App ID e utilizzarla come un modo per federare gli utenti in un account IBM Cloud. Per ulteriori informazioni, vedi Abilitazione dell'autenticazione da un fornitore di identità esterno.

Entrambe le opzioni di federazione richiedono che l'utente sia un membro dell'account o abbia accesso all'account da un profilo attendibile per poter completare le operazioni. Se i profili attendibili non sono configurati, il proprietario o l'amministratore dell'account devono invitare singoli IBMids nell'account IBM Cloud. Solo se l' IBMid invitato accetta l'invito, l'utente ha aggiunto l'account come utente attivo. Nel caso di App ID, l'onboarding dell'utente viene eseguito automaticamente in IBM Cloud senza la necessità di invitare ciascun utente all'account. In entrambi i tipi di federazione, gli utenti sono utenti dell'account IBM Cloud attivi che possono accedere alla piattaforma, incluse le risorse abilitate a IAM e l'infrastruttura classica, tutto a seconda dell'accesso assegnato.

I profili attendibili trattano gli utenti federati in modo diverso. Se il cliente associa il proprio IdPaziendale, gli utenti di tale IdP non vengono aggiunti a un account come ciò che potremmo considerare un utente tipico. Al contrario, gli attributi IdP basati su SAML degli utenti vengono valutati al momento dell'accesso e se soddisfano tutte le condizioni per un profilo attendibile, viene richiesto loro di applicare uno o più profili attendibili. I profili attendibili garantiscono agli utenti il livello di accesso di cui hanno bisogno per completare attività specifiche e specializzate in un periodo di tempo limitato, ad esempio 1-4 ore. L'accesso basato sul tempo consente frequenti controlli di autenticazione per ridurre i rischi di sicurezza. Queste sono di solito attività critiche che si desidera evitare di eseguire involontariamente nel lavoro quotidiano. Gli utenti non devono eseguire l'onboarding di IBM Cloud, vengono aggiunti automaticamente tramite la relazione di attendibilità. Se un utente lascia la tua azienda, puoi eliminare l'identità aziendale dell'utente nella tua directory, che revoca l'accesso a IBM Cloud.

ID funzionali

Gli ID funzionali vengono utilizzati più comunemente quando un'applicazione o un servizio necessita di un'identità digitale e dell'accesso a risorse abilitate IAM o a risorse dell'infrastruttura classica. Alcuni servizi richiedono un ID funzionale quando crei le istanze di servizio, ad esempio Kubernetes Service.

Un ID funzionale è un tipo di ID utente che esiste nella directory utente del provider di identità (IdP), ma non è collegato a un utente specifico. Per creare un ID funzionale, devi creare un nuovo utente nella directory utente e invitarlo al tuo account IBM Cloud.

L'ID funzionale viene utilizzato per creare le istanze del servizio, come i cluster Kubernetes Service. In questo modo, le istanze non sono collegate a una persona specifica che potrebbe lasciare l'azienda, che lascerebbe l'istanza senza un proprietario. Generalmente, gli ID funzionali possono fare di più in IBM Cloud di un ID servizio. Ad esempio, agli ID funzionali, come gli ID utente, può essere concesso l'accesso a servizi e applicazioni tramite politiche di accesso.

Le IBM Cloud chiavi API per utenti possono essere create e associate a un ID funzionale. Se un servizio richiede una chiave API utente per interagire con altri servizi o applicazioni, utilizza la chiave API dell'ID funzionale. Utilizzando la chiave API associata all'ID funzionale, puoi fornire solo l'accesso necessario per tale servizio.

Se stai utilizzando un ID funzionale come proprietario dell'account, prendi in considerazione Impostazione di un proprietario dell'account alternativo. Questo è disponibile solo per gli account dell'infrastruttura classica.

ID servizio

Gli ID di servizio sono un altro tipo di identità utilizzata in un account. Gli ID servizio sono utilizzati per fornire un'identità separata per i servizi e le applicazioni. Gli ID servizio sono meglio utilizzati quando un'applicazione o un servizio hanno bisogno di un'identità digitale e hanno bisogno di accedere solo alle risorse abilitate a IAM. È possibile creare un ID di servizio da utilizzare da un'applicazione che ha bisogno di accedere ai servizi di IBM Cloud, in modo da non dover utilizzare le credenziali dei singoli utenti.

Chiavi API ID servizio

Puoi anche creare le chiavi API associate agli ID servizio per autenticare le applicazioni come un determinato ID servizio. In tal modo, le applicazioni possono accedere a risorse assegnate a tale ID servizio specifico. Le credenziali della chiave API dell'ID servizio possono essere utilizzate per effettuare chiamate API e CLI. Per ulteriori informazioni sulla creazione di chiavi API associate a un ID servizio, consulta Gestione delle chiavi API di un ID servizio.

Profili attendibili

Analogamente ad altre identità all'interno di IAM, i profili attendibili vengono trattati come un soggetto a cui viene concesso l'accesso nelle politiche IAM.

Di solito, affinché un utente possa eseguire un'azione su una risorsa all'interno di un account, tale identità deve essere esplicitamente aggiunta all'account. Con i profili attendibili, è possibile per un utente completare le azioni senza essere invitato a un account. Invece, viene loro automaticamente concesso l'accesso alle risorse quando applicano l'identità del profilo attendibile durante l'accesso. Solo gli utenti federati da un IdP esterno possono essere associati a profili attendibili durante il login valutando gli attributi basati su SAML per determinare quali profili possono essere applicati dalla propria identità.

Allo stesso modo, invece di creare un ID servizio, generare una chiave API e ottenere che l'applicazione memorizzi e convalidi tale chiave, puoi creare profili attendibili per risorse di calcolo per definire l'autorizzazione dettagliata per tutte le applicazioni in esecuzione in una risorsa di calcolo. Le risorse di calcolo diventano identità quando vengono utilizzate come parte di un profilo attendibile. L'affidabilità con le risorse di calcolo viene stabilita dalle condizioni basate sugli attributi della risorsa o dalla creazione di un link diretto a una risorsa specifica.

Puoi anche stabilire l'affidabilità con i servizi IBM Cloud che devono eseguire un'operazione nel tuo account. In alternativa, utilizza le protesi attendibili per fornire un ID servizio da un altro accesso account nel tuo account.

Identità risorsa

L'ultimo tassello del concetto di identità in IAM è rappresentato dalle risorse di IBM Cloud, che sono identificate dai loro nomi di risorse cloudUn identificativo univoco globale per una risorsa cloud specifica. Il valore è segmentato gerarchicamente per versione, istanza, tipo, posizione e ambito, separati da due punti. (CRN). Tutte le risorse che vengono create dal catalogo sono identificate dal rispettivo CRN. Questi CRN vengono utilizzati per le autorizzazioni service - to - service in IAM. Inoltre, utilizzi un CRN per assegnare l'accesso a risorse specifiche quando utilizzi l'API. Per ulteriori informazioni, consulta Nomi delle risorse cloud e Utilizzo delle autorizzazioni per concedere l'accesso tra i servizi.

Per ulteriori informazioni, consulta Nomi delle risorse cloud e Utilizzo delle autorizzazioni per concedere l'accesso tra i servizi.