IBM Cloud Docs
Abilitazione dell'autenticazione da un provider di identità esterno

Abilitazione dell'autenticazione da un provider di identità esterno

Puoi integrare il tuo provider di identità esterno (IdP) per autenticare in modo sicuro gli utenti esterni nel tuo account IBM Cloud®. Utilizzando il vostro IdP, potete fornire agli utenti della vostra azienda un modo per utilizzare il single sign-on (SSO). La connessione del tuo account cloud a un'istanza IBM Cloud App ID di tua scelta rende tutto possibile.

Un metodo di autenticazione più comunemente utilizzato in IBM Cloud che ti federa per tutti i prodotti IBM e non ha tariffe di utilizzo è la federazione IBMid registrando il dominio della tua azienda. La registrazione del dominio aziendale su IBM consente agli utenti di accedere ai prodotti e ai servizi di IBM utilizzando le credenziali utente aziendali esistenti. L'autenticazione viene quindi gestita dal sito IdP dell'azienda attraverso il single sign-on (SSO). Per informazioni su come registrare la propria azienda per un ID federato, consultare la Guida all'adozione di IBMid Enterprise Federation. Quando si richiede la registrazione di ID federati, è necessario uno sponsor IBM, ad esempio un sostenitore del prodotto o un sostenitore del cliente.

Per iniziare la configurazioneIBMid per la federazione delle imprese, apri un caso suibm.com/mysupport e selezionaIBMid Federazione aziendale come prodotto.

Se scegli di utilizzare un riferimento IdP esterno tramite IAM, ogni account può avere fino a cinque riferimenti IdP aggiunti tramite la pagina dei provider di identità nella sezione Access (IAM) della console. Configura il tuo riferimento IdP selezionando quale istanza App ID integrare con IAM. Quindi, al riferimento IdP viene fornito un ID realm casuale che rappresenta il prefisso univoco per gli utenti di quell' istanza del servizio App ID.

L'integrazione tra l'istanza App ID, già configurata con l'IdP, e l'account IBM Cloud consente di continuare a gestire tutti gli utenti esternamente all'IdP. Semplifica anche il log in corso sul tuo account cloud per gli utenti nella tua azienda. Una volta completata l'integrazione, è necessario fornire agli utenti un URL personalizzato da utilizzare per accedere ogni volta. Non è necessario invitare qualcuno al proprio account, perché se esiste come utente nel repository di utenti collegato a IdP's, può accedere con le proprie credenziali attraverso il sito personalizzato URL.

Prima di iniziare

  • Per decidere quale è l'opzione di federazione giusta per te, controllare la Guida della Federazione SAML IBM Cloud SAML.
  • Creare un'istanza di App ID dal catalogo IBM Cloud. Per ulteriori informazioni, vedi l'Esercitazione introduttiva.
  • Configurare l'istanza App ID. Per ulteriori informazioni su come effettuare questa operazione a seconda del caso di utilizzo, consultare la documentazione App ID sulla gestione dell'autenticazione.
  • Assicurati di disporre dell'accesso richiesto per visualizzare e gestire i riferimenti IdP, se non sei il proprietario dell'account. Ti deve essere assegnato il ruolo di operatore o superiore sull'istanza App ID e il ruolo di operatore o amministratore sul IAM Identity Service.

Configurazione della tua App ID istanza per l'integrazione IAM

Esamina i seguenti requisiti su come il tuoApp ID l'istanza deve essere configurata per funzionare correttamente come provider di identità IAM (IdP ) per il tuoIBM Cloud account.

Se intendi utilizzare la tua istanza App ID per l'integrazione IdP IAM, qualsiasi utente può accedere al tuo account che può autenticarsi con tale istanza App ID. Pertanto, considerare di seguito queste linee guida quando si configura la propria istanza:

Disabilitare i seguenti tipi di autenticazione:

  • Facebook
  • Google
  • IBMid
  • Anonimo

Se si decide di utilizzare Cloud Directory come metodo di autenticazione, disabilitare l'opzione per gli utenti di collegarsi tramite l'app e aggiungere invece solo gli utenti noti singolarmente al proprio Cloud Directory.

Impostazione degli attributi specifici di IAM in App ID token

Affinché IAM funzioni correttamente con il vostro " IdP, esterno, dovete assicurarvi che l'istanza " App ID fornisca tutti gli attributi richiesti. Consultare la seguente tabella per gli attributi richiesti:

Attributi richiesti per i token App ID
Attributo App ID Richiesta di token ID Origine Descrizione
identificativo (obbligatorio) ID App ID generato Un identificativo univoco che identifica un utente. Non può essere cambiata durante il tempo di vita di quell' utente. App ID crea questo identificativo.
email (obbligatorio) email Mappato da SAML assertion "email", obbligatorio per le configurazioni Cloud Directory e SAML. L'indirizzo email dell'utente.
username (consigliato) preferred_username se presente, altrimenti sub Mappato dall'asserzione SAML "preferred_username", "username", "user_name" o "userName", se disponibile. Altrimenti, viene utilizzata l'asserzione "sub" generata da App ID Quando si lavora con le CLI, le API o la IBM Cloud Kubernetes Service, il username visualizza. Un username è spesso un indirizzo email, ma può anche essere un valore diverso. Se l'username non è fornito da App ID, IAM utilizza invece l'identificativo.
firstname (consigliato) given_name se disponibile, altrimenti "notset" come predefinito Mappato dall'asserzione SAML "given_name", "givenname", "givenName", "first_name", "firstname" o "firstName" se disponibile, altrimenti IAM utilizza la costante "notset" Il primo nome dell'utente che si collega.
lastname (consigliato) family_name se disponibile, altrimenti "notset" come predefinito Mappato dall'asserzione SAML "family_name", "familyname", "familyName", "last_name", "lastname" o "lastName" se disponibile, altrimenti IAM utilizza la costante "notset" Il cognome dell'utente che si collega.
Nome (facoltativo) nome se presente, altrimenti costruito dal firstname, uno spazio e il cognome Non esiste una mappatura automatica da SAML Nome completo, compreso il middle iniziale, il titolo o qualsiasi cosa che non sia coperta dal nome e cognome

Quando un utente si autentica correttamente utilizzando l'istanza di servizio App ID nell'account IBM Cloud, l'utente viene aggiunto automaticamente all'account. Gli utenti aggiunti non ottengono alcuna policy di accesso assegnata per impostazione predefinita. Tuttavia, utilizzando gruppi di accesso e regole dinamiche, è possibile impostare le policy di accesso assegnate automaticamente.

Abilitazione e connessione del tuo fornitore di identità

Se non hai configurato alcun riferimento IdP IAM prima nel tuo account, devi prima abilitare l'impostazione di accesso per il tuo account.

  1. Abilitare le impostazioni di login per il proprio account. Puoi saltare questo passo se hai già abilitato questa impostazione.

    1. Vai a Gestisci > Accesso (IAM) > Fornatori di identità nella console IBM Cloud e clicca su Abilita.
    2. Inserite un alias per l'account predefinito URL, che fornirete agli utenti per accedere al vostro account.

    Poiché il sito URL viene condiviso con utenti esterni, assicurarsi che l'alias sia unico e semplice. Un formato comune potrebbe essere quello di utilizzare il proprio nome aziendale o una variazione di esso.

  2. Fare clic su Crea per creare il riferimento IdP.

  3. Immetti un nome per il riferimento IdP e seleziona l'istanza App ID che vuoi connettere.

  4. Selezionare la modalità di inserimento degli utenti:

    • Statico: (predefinito) Aggiunge ogni utente all'account al primo accesso.
    • Dinamico: Aggiungete gli utenti al vostro account solo se si collegano e non selezionano un profilo attendibile.
    • Mai: gli utenti non vengono aggiunti al tuo account ma possono accedere al tuo account utilizzando profili attendibili. Per ulteriori informazioni sui profili attendibili, consultare Creazione di profili attendibili.

    Se si dispone di un onboarding impostato su Static e l'utente seleziona un profilo attendibile quando si accede alla prima volta, l'utente viene comunque aggiunto all'account.

  5. Quindi, selezionare le seguenti impostazioni (Optional):

    • Abilitare l'accesso all'account? Abilitare i riferimenti IdP da utilizzare per l'accesso degli utenti al proprio account. Questa opzione è impostata per impostazione predefinita quando si crea per prima un riferimento IdP.
    • Impostare come predefinito? Gli utenti possono utilizzare il riferimento predefinito IdP URL creato quando si è abilitata questa funzione per accedere al proprio account. È possibile avere un solo riferimento predefinito a IdP. Per tutti gli altri riferimenti IdP creati, gli utenti devono utilizzare gli ID del reame per accedere.

  6. Fai clic su Crea.

Il tuo riferimento IdP è ora disponibile nell'elenco dei provider di identità e l'ID realm viene generato automaticamente come valore che rappresenta il tuo IdP IAM in IBM Cloud.

Registrazione delle credenziali del provider di identità esterne

Dopo che l'istanza App ID è connessa al vostro IdP, e l'istanza App ID è integrata con IAM, gli utenti possono iniziare ad accedere al vostro account. Se il riferimento IdP è impostato come predefinito, è possibile condividere il riferimento Default IdP URL per il proprio account.

Tuttavia, poiché è possibile avere un solo set come predefinito, ma si possono avere fino a cinque set-up nel proprio account, potrebbe essere necessario ottenere il sito URL per un altro riferimento IdP:

  1. Dalle pagine dell'Identity provider, fare clic sull'icona Azioni Icona dell'elenco delle azioni Azioni per la riga del riferimento IdP per il quale è necessario un URL.
  2. Selezionare View IdP URL.
  3. Copiare il IdP URL da fornire agli utenti per l'accesso.

Utilizzo delle istanze App ID per costruire regole dinamiche nei gruppi di accesso

Oltre agli attributi richiesti e consigliati, è possibile trasmettere qualsiasi tipo di informazione con l'asserzione SAML. Questi attributi sono disponibili per l'utilizzo in regole dinamiche nei gruppi di accesso.

Per costruire correttamente una regola dinamica, sono necessarie le seguenti informazioni:

  • Provider di identità: utilizza il prefisso appid:// e l'ID realm da IdPIAM. Ad esempio, appid://A1B2C3D4 se il realm ID dell'utente era A1B2C3D4.
  • Aggiungere gli utenti quando: Utilizza il nome dell'asserzione SAML aggiuntiva. Questa proprietà viene passata attraverso invariata.
  • Se si utilizza l'opzione Cloud Directory o l'opzione di federazione SAML in App ID, notate che è possibile aggiungere attributi personalizzati a ciascun profilo dell'utente. È possibile utilizzare quelle proprietà anche per le regole dinamiche. Tuttavia, se si dispone della stessa proprietà di un attributo personalizzato e come asserzione SAML, viene utilizzato l'attributo personalizzato dall'asserzione SAML.

IBM Cloud Kubernetes Service fino alla release 1.18 si basa su nomi utente univoci in un account. Per funzionare correttamente, devi assicurarti che tutti i nomi utente siano univoci in tutti IdPs. Ciò significa che devi assicurarti che i nomi utente di cui è stato eseguito l'onboarding nel tuo account da IBMid e gli utenti di cui è stato eseguito l'onboarding nel tuo account da parte di un IdP IAM non si sovrappongano. Altrimenti, le regole RBAC IBM Cloud Kubernetes Service potrebbero confondersi e fornire autorizzazioni non corrette.

Se si lavora con un 'IdP, esterno, si raccomanda di connettersi con un solo 'IdP esterno e di lasciare che gli utenti si imbarchino automaticamente attraverso questo 'IdP.

Non invitare utenti utilizzando il processo di invito IBM Cloud poiché funziona solo per utenti con IBMids. Se hai utilizzato gli inviti IBM Cloud per il tuo account, ti ritroverai con una combinazione di utenti provenienti da IBMid e gli utenti vengono automaticamente inseriti nel tuo IdPesterno. Questo può facilmente generare confusione, perché gli utenti di IBMid accedono attraverso il sito IBM Cloud mentre gli utenti del vostro sito esterno IdP devono accedere con uno speciale URL. Questo può portare a duplicare i nomi utente in un account, cosa che è sconsigliata a causa delle limitazioni di Kubernetes Service, come già detto.

Utilizzo dei dati IdP per creare i profili attendibili

Dopo aver abilitato e collegato l'IdP, è possibile iniziare a creare profili di fiducia. Per creare l'attendibilità con gli utenti federati, puoi utilizzare i dati personali dal tuo IdP per ricercare i nomi e i valori degli attributi che esistono nella tua organizzazione.

Se gli utenti per cui stai creando un profilo affidabile da utilizzareIBM Cloud App ID, dovresti creare il profilo attendibile come fileApp ID utente, e allo stesso modo perIBMid. In questo modo, i tuoi attributi SAML possono darti un'idea di come strutturare le condizioni del profilo attendibile. Altri utenti con lo stesso IdP possono avere attributi SAML differenti e si consiglia di utilizzarne uno solo come suggerimento. Per utilizzare gli attributi in un claim diverso dal proprio, immetterli manualmente.

Le condizioni che si creano filtrano o consentono agli utenti federati di applicare il profilo attendibile a seconda di quali attributi gli utenti federati vengono assegnati nella propria directory utente aziendale. Quando crei un profilo attendibile, puoi visualizzare i dati IdP per visualizzare le tue richieste utente dalla directory utente aziendale della tua organizzazione.

Diciamo che c'è un attributo che si chiama groups che identifica dipartimenti, team e organizzazioni interne più granuose all'interno della tua azienda. Se nel team finanziario sono presenti sviluppatori negli Stati Uniti che necessitano dello stesso livello di accesso per un progetto, potresti creare un profilo attendibile con le seguenti condizioni:

  • Consentire agli utenti quando groups uguale finance-dev
  • Consentire agli utenti quando country uguale us

Per assicurarsi che le vostre condizioni consentano solo agli utenti federati di concedere l'accesso, contattare l'architetto della directory aziendale per ulteriori informazioni sugli attributi disponibili.

Per ulteriori informazioni sui campi utilizzati per creare le condizioni, consultare Proprietà delle condizioni IAM.

Si consiglia di creare condizioni strette. L'utente condivide lo stesso IdP URL di tutti i membri dell'organizzazione, quindi se una regola di rivendicazione è troppo aperta, si potrebbe lasciare che gli utenti applichino involontariamente un profilo attendibile con accesso al proprio account.