IBM Cloud Docs
フェデレーテッド ID を使用したログイン

フェデレーテッド ID を使用したログイン

会社または企業のシングル・サインオン ID を使用するフェデレーテッド・ユーザーは、フェデレーテッド ID およびパスワードを使用してコンソールから IBM Cloud® にログインすることができます。 ワンタイム・パスコードまたは API キーを使用してコマンド・ライン・インターフェース (CLI) からログインすることもできます。

フェデレーテッド ID を使用すれば、IBMid を使用するなどして IBM Cloud に固有の新しいログイン資格情報をセットアップする必要はありません。 代わりに、組織内のユーザーは、ID プロバイダー (IdP) を介して、組織の資格情報を使用して IBM Cloud に容易にログインできます。

ユーザーがログインすると、1 時間で有効期限が切れる一時的な資格情報である IAM トークンを取得します。 その時間の経過後は、接続を保護するため、およびアクセス権が割り当てられているアカウント・リソースへのアクセスを続行するために、トークンをリフレッシュする必要があります。 フェデレーテッド ID の使用について詳しくは、IBM Cloud アカウントのセットアップを参照してください。

Google ログインは、フェデレーテッド ID を持つユーザーには使用できません。 詳しくは、 既知の問題および制限 を参照してください。

コンソールを使用したログイン

IBM Cloud コンソールにログインするには、以下の手順を実行します。

  1. IBM Cloud「ログイン」ページに移動します。
  2. ID を入力し、**「続行」**をクリックします。
  3. パスワードを入力してください。

ログインすると、IBM Cloud ダッシュボードに移動します。このダッシュボードには、さまざまな開発ウィジェット、アカウント管理ウィジェット、およびインフラストラクチャー・ウィジェットが用意されています。

トラステッド・プロファイルを使用したコンソールへのログイン

アカウント管理者は、トラステッド・プロファイルを使用して、アカウント・ユーザーの細かいアクセス権限を管理できます。 プロファイルごとに、生産性の向上に必要な役割またはアクションにマップされるアクセス・ポリシーのセットを別々に含めることができます。 例えば、開発者はアクセス・グループ・メンバーシップを使用して日常の作業を行うことができますが、週のある時点で、実稼働環境でいくつかの操作を行う必要が生じることがあります。 この場合、開発者は自分自身を認証してから、実動で操作を行うために必要なアクセス・ポリシーを持つトラステッド・プロファイルを適用するための明示的なアクションを実行します。

IBMid ユーザーとしてのトラステッド・プロファイルの適用

IBMid ユーザーの場合は、以下の手順を実行して、信頼済みプロファイルを使用して IBM Cloud コンソールにログインします:

  1. IBM Cloud「ログイン」ページに移動します。
  2. IBMid を入力するか、シングル・サインオン (SSO) を使用している場合は会社の E メール・アドレスを入力し、**「続行」**をクリックします。
  3. パスワードを入力してください。
  4. IBM Cloud コンソールで、アカウントスイッチャーに移動し、アカウント管理者が作成した信頼済みプロファイルを選択します。

App ID ユーザーとしてのトラステッド・プロファイルの適用

App ID ユーザーの場合は、以下のステップを実行して、トラステッド・プロファイルを使用して IBM Cloud コンソールにログインします。

  1. 組織の<DefaultIdPURL>に移動します。

    <DefaultIdPURL>が不明な場合は、管理者に問い合わせてください。 「ID プロバイダー」ページからアクセスできます。 詳しくは、 外部 ID プロバイダー資格情報を使用したログイン を参照してください。

  2. 資格情報を入力してログインします。

  3. IBM Cloud コンソールで、アカウントスイッチャーに移動し、アカウント管理者が作成した信頼済みプロファイルを選択します。

CLI を使用したログイン

CLI を使用してログインするには、ワンタイム・パスコードまたは API キーのいずれかの使用を選択します。 IBM Cloud または Red Hat OpenShift CLI のどちらを使用しているかに応じて、以下のセクションで詳細をご覧いただけます。

CLI でログインするためのワンタイム・パスコードの使用

ワンタイム・パスコード・オプションを使用してフェデレーテッド ID でログインする場合、シングルサインオン (SSO) パラメーターを指定してワンタイム・パスコードを取得し、それをログイン時に入力します。

ワンタイム・パスコードは IBM Cloud コンソールからコードを取得するため、自動化スクリプトでのフェデレーテッド ID の使用は失敗します。 自動化スクリプトでは API キー・オプションを使用して問題を回避します。

IBM Cloud CLIから

CLI でログインするには、2 種類の方式があります。 最初の方式の場合、以下の手順を使用します。

  1. --sso オプションを ibmcloud login コマンドに指定します。

  2. プロンプトの URL にアクセスしてワンタイム・パスコードを取得します。

  3. 入力として CLI にパスコード値をコピー・アンド・ペーストします。

    ibmcloud login --sso
    API endpoint: https://cloud.ibm.com
    
    Get One Time Code from https://identity-2.us-south.iam.cloud.ibm.com/identity/passcode to proceed.
    Open the URL in the default browser? [Y/n]>
    One Time Code >
    Authenticating...
    OK
    

コンソールに既にログインしている場合、以下の手順を使用できます。

  1. IBM Cloud コンソールで、Avatar アイコンアバター・アイコン > CLI および API へのログインをクリックします。
  2. IBM Cloud CLI の情報を CLI にコピーします。

Red Hat OpenShift CLI から

以下の手順を使用して、ワンタイム・パスコードを使用してログインできます。

  1. コンソールにログインし、コンソールから Avatar アイコンアバター・アイコン > CLI および API へのログインをクリックします。
  2. Red Hat OpenShift CLI の情報をコピーして、CLI に貼り付けます。

CLI での認証用 API キーの使用

必要な API キーは、IBM Cloud プラットフォームでの認証に使用される IBM Cloud API キーであり、クラシック・インフラストラクチャー API キーや IBM Cloud サービス API キーではありません。

  1. ibmcloud iam api-key-create コマンドを使用して API キーを作成します。 以下に示すように、コマンド・ウィンドウにキーを表示するのではなく API キー・ファイルを生成するには、--file オプションを使用します。

    ibmcloud iam api-key-create NAME [-d DESCRIPTION] [--file FILE]
    
  2. API キーを使用してログインします。 API キーを IBM Cloud CLI で使用するには、以下のいずれかの方法を使用できます。

    • 以下のように API キーを直接呼び出す。

      ibmcloud login --apikey <api_key_string>
      
      
    • 以下のようにキー・ファイルを使用して API キーを呼び出す。

      ibmcloud login --apikey @key_file_name
      
    • 環境変数を設定します。 さらに、ご使用のシステムにも環境変数を設定できます。 例えば、IBMCLOUD_API_KEY=api_key_string と指定します。ここで、api_key_string は、API キーのカスタム値です。 環境変数が設定された後は、CLI から単純に ibmcloud login を指定できます。

Windows 10 PowerShell の場合は、キー・ファイル名を単一引用符で囲んで '@key_file_name' を使用します。

認証用 IAM トークンを取得するための API キーの使用

API キーを使用して、IBM Cloud サービスにアクセスするための IAM トークンを取得できます。 例えば、以下の curl コマンドを実行して、MY_APIKEYという名前の API キーを使用して IAM トークンを取得できます。

curl -X POST 'https://iam.cloud.ibm.com/identity/token' -H 'Content-Type: application/x-www-form-urlencoded' -d
'grant_type=urn:ibm:params:oauth:grant-type:apikey&apikey=MY_APIKEY'

詳しくは、API キーを使用したユーザーまたはサービス ID の IAM アクセス・トークンの作成を参照してください。