どのフェデレーション・オプションが適していますか?
以前は、 IBM Cloud は、 IBMid SAML 連携を使用したお客様のユーザー・ディレクトリーとの統合をサポートしていました。 2020 年 5 月、 IBM Cloud では、クライアントが ID を IBM Cloud アカウントと統合するための代替方法が導入されました。
デフォルトでは、 IBM Cloud でアカウントを作成する場合は、ユーザー ID に IBMid を使用します。 IBMid は、 IBM Web ベース・サービス ( IBM Cloud リソースを含む) にアクセスするために使用される IBM の ID as a Service (IDaaS) です。 IBMid は、会社の E メール・アドレスと、 IBMidによって管理されるパスワードに基づいています。 IBMid を使用すると、既に使用している可能性がある独自の企業ユーザー・ディレクトリーまたはサード・パーティー ID プロバイダー (IdP) サービス (Okta など) に統合できます。
独自のディレクトリーに統合すると、別個のパスワードを使用する IBMid を必要とせずに、アカウントにユーザーを追加するプロセスが単純化されます。 ただし、 IBMid を使用して社内ユーザー・ディレクトリーをフェデレートすることができない場合があります。 代わりに、アカウントに IBM Cloud App ID インスタンスを作成し、選択した IdPに接続することもできます。
このトピックでは、以下の 2 つの方法の違いについて説明します。
- IBMidとの統合。
- IBM Cloud App IDの独自のインスタンスと統合しています。
ユース・ケースに適用できるオプションを決定するには、以下のセクションを確認してください。
IBM Cloudに存在する SAML フェデレーション・オプションはどれですか?
IBM Cloud は、以下のユーザー・タイプをサポートします。
- 非フェデレーテッド IBMid ユーザー
- 有効な E メール・アドレスを持つユーザーは、 IBMid を作成し、 IBMid にパスワードを管理させることができます。 会社の E メール・ドメインが IBMidに統合されていないため、そのまま保持することを選択します。 E メール・ドメインを使用するすべてのユーザーが独自の IBMidを作成でき、作成したパスワードは IBMidによって管理されます。 IBM Cloud アカウントを作成し、 IBMid を持つ他のユーザーをそのアカウントに招待できます。 また、同じ IBMidを使用して、他の IBM Web オファリングにアクセスすることもできます。
- フェデレーテッド IBMid ユーザー
- 企業のお客様は、社内ユーザーディレクトリを接続することが多い。IdP,とIBMid従業員が追加のパスワードを管理する必要がなくなります。 代わりに、 IdP への通常のログインを再利用して、 IBM Web オファリング ( IBM Cloudを含む) にログインできます。 外部 IdP を IBMid に接続することをフェデレーションと呼び、技術的な基礎プロトコルを SAML と呼びます。 これらのユーザーは、多くの場合、フェデレーテッド IBMid ユーザーとして参照されます。 IBMid は複数のエンタープライズのお客様と同時に統合されるため、正常に統合されるための前提条件の 1 つは、 IBMid ユーザーごとに固有の E メール・アドレスです。
- IBM Cloud App ID ユーザー
- IBM Cloud App ID のインスタンスは、 IdPに接続することもできます。 App ID インスタンスは、SAML を使用して唯一の外部 IdP に接続できるため、固有の E メール・アドレスは必要ありません。
IBM Cloud アカウント所有者
IBM Cloud アカウントを作成するには、 IBM Cloud アカウント所有者になる IBMid ユーザーが必要です。 この IBMid ユーザーは、 IBM Cloud アカウント登録プロセス 中に作成することも、既存の IBMid ユーザーを使用することもできます。 有効な E メール・アドレスを持つ 機能 ID またはサービス・アカウントを使用してアカウントを作成することをお勧めします。これにより、組織内のアカウント所有権の継続性を簡素化できます。
IBM Cloud アカウントの追加メンバーについては、通常またはフェデレーテッドの IBMid ユーザーを IBM Cloud アカウント・メンバーとして使用するオプションがあります。 あるいは、 IBM Cloud App ID サービス・インスタンスを使用して、 IdP を IBM Cloud アカウントに接続することもできます。 その IBM Cloud App ID サービス・インスタンスを介してログインするすべてのユーザーが自動的にアカウントに追加されるため、それらのユーザーを招待する必要はありません。
IBM Cloud のアカウント・メンバーをどのようにオンボードしますか?
IBM Cloud アカウントは、フェデレーテッドと非フェデレーテッドのすべての IBMid ユーザーにアクセスできます。 IBMid ユーザーは、 IBM Cloud アカウントに招待されている必要があります。 その結果、同じ IBMid ユーザーが同時に複数の IBM Cloud アカウントのメンバーになることができます。 IBM Cloud コンソールで、 IBMid ユーザーは、このユーザーが作業しているアカウントを選択できます。
IBM Cloud App ID サービス・インスタンスの構成中に、サービス・インスタンスを IBM Cloud アカウントに接続します。 したがって、このサービス・インスタンスを使用してログインするユーザーは、この 1 つのアカウントのメンバーにしかなれません。 これらのユーザーは、初回認証時に自動的に IBM Cloud アカウントに追加されます。
フェデレーション・オプションの比較
以下の表では、各フェデレーション・オプションの特性を比較しています。 どちらの場合も、お客様が IBMid または IBM Cloud App ID インスタンスのいずれかを、SAML を使用する IdP に接続することを想定しています。
| 特長 | IBMid | App ID |
|---|---|---|
| E メール・アドレス | ユーザーは、グローバルに固有の E メール・アドレスを持っている必要があります。 例: firstname.lastname@example.com。 会社の E メール・ドメインが既にフェデレートされている場合は、アカウントへのアクセスの構成を開始できます。 まだフェデレーションされていない場合は、フェデレーションを確立するために IBMid フェデレーション・チームとの手動プロセスが必要になります。 フェデレーションのセットアップ・プロセス中に、お客様は IBMid フェデレーション・チームとコラボレーションして、 IdP ユーザーと一致する E メール・パターンを定義します。 会社のユーザー・ディレクトリーに統合するかどうかの決定には、ID サービスのために外部関係者に接続する際に全社的な決定を行うことができる、社内の担当者が関与する必要があります。 この担当者がプロセスに含まれていることを確認する必要があります。 IBMid との統合は、会社が IBMで既に使用している非IBM Cloud Web サービスに影響を与える可能性があります。 | このオプションを使用するには、 App ID インスタンスを作成する必要があります。 これは、使用料金の低いセルフサービス・オプションです。 このオプションを選択するには、 URL にカスタムして IBM Cloud にログインする必要があります。 さらに、 App ID インスタンスと、 IdP へのフェデレーションの構成は、 IBM Cloud アカウントごとに必要です。 |
| コスト | お客様は、フェデレーションの有無にかかわらず、 IBMid を使用するために支払いを行う必要はありません。 | IBM Cloud App ID インスタンスの料金は低く、無料層は最大 1,000 人のユーザーと 1,000 件のイベント (ログインなど) です。 詳細は、 App ID ページをご覧ください。 |
| フェデレーションのセットアップ | お客様は、オンボーディング・プロセスを開始するために、 IBMid Enterprise Federation を使用してサポート Case をオープンする必要があります。 これは手作業で行うプロセスです。 | お客様は IBM Cloud App ID インスタンスを作成し、文書化された手順に従って構成します。 このプロセスはセルフサービスです。 |
| 連携の保守 (例えば、証明書の更新) | IBMid フェデレーション・チームと手動で対話する必要があります。 | お客様は、 IBM Cloud App ID インスタンスを自分で更新できます (例えば、このステップはセルフサービスです)。 |
| フェデレーション・スコープ | IBMid 連携は、 IBMidを使用するすべてのサービスに適用されます。 これは、お客様が IBMid フェデレーションにオンボードする場合、 IBM Cloudにログオンする際に従業員に適用されますが、 IBMidを使用している他の IBM SaaS オファリングを使用する際にも適用されることを意味します。 | 連携は、 IBM Cloud App ID インスタンスがログインを許可するように構成されている IBM Cloud アカウントにのみ影響します。 また、他の IBM Cloud アカウントや IBM SaaS オファリングにも影響しません。 |
| アカウント・メンバーのオンボーディング | ユーザーは、E メール・アドレスによって招待される必要があります。 | 構成済みの IBM Cloud App ID インスタンスに正常にログインできる各ユーザーは、自動的に IBM Cloud アカウントに追加されます。 |
| クロスアカウント・メンバーシップ | IBMid は、複数のアカウントのメンバーになることができます。 | ユーザーは 1 つのアカウントのメンバーにのみなることができます。 複数であってもIBM Cloud App IDインスタンスは同じIdP,ユーザーは各アカウントで個別のユーザーとして扱われます。 |
| アクセス・グループの動的ルールでの SAML アサーションの使用 | IdP によって送信された SAML アサーションは、アクセス・グループの動的ルールで使用できます。 | IdP によって送信された SAML アサーションは、アクセス・グループの動的ルールで使用できます。 |
| 信頼性 | IBMid は、専用の運用チームを持つグローバル・サービスです。 データ・センターで障害が発生した場合、 IBMid は別のデータ・センターにフェイルオーバーできます。 | 任意の IBM Cloud App ID インスタンスが 1 つのリージョンに存在します。 その地域で障害が発生すると、アカウント・メンバーがログインできなくなる可能性があります。 既にログインしているユーザーは、通常、そのような失敗の影響を受けません。 |
| ログイン動作 | ユーザーは、中央ログイン・ページを使用してログインします。 | IBM Cloud アカウントにログインするには、 URL という特別なアドレスを使用する必要があります。 お客様のアカウント管理者は、 IBM Cloud コンソールの IAMアイデンティティプロバイダーページ から、 URL を受け取ります。 |
シナリオ
正しいオプションを決定するための追加情報については、以下の一般的なシナリオを確認してください。
- 単一の IBM Cloud アカウントを使用する
- お客様が単一の IBM Cloud アカウントを使用しており、その他の IBM SaaS オファリングは使用していません。 お客様は他の IBM SaaS オファリングやその他の IBM Cloud アカウントを使用していないため、 IBMidのフェデレーション・スコープ機能やアカウント間機能に利点はありません。 ユーザーとログインの数が少ないため、 IBM Cloud App ID オプションでは、このアカウントのコストは発生しません。 お客様は、フェデレーション・オプションとして IBM Cloud App ID を決定します。
- IBM Cloud およびその他の IBM SaaS オファリングの使用
- あるお客様が、 IBM Cloud およびその他の IBM SaaS オファリングを使用しています。 IBM は、多くのお客様と長く強固な関係にあります。 これらのお客様は通常、複数の IBM SaaS オファリングを使用します。これらのオファリングを使用するには、すべてのユーザーが IBMid ユーザー・アカウントを使用して IBM SaaS オファリングを処理する必要があります。 その場合、すべてのお客様の従業員は、 IBM Cloud App IDに基づくフェデレーションではなく、 IBMid フェデレーションを使用するという利点があります。 IBMid 連携により、すべての社員は、ID プロバイダーのパスワード管理と検証を使用して、 IBM SaaS オファリングと IBM Cloud コンソールを使用できます。
リソース
以下のリンクは、選択した連携の実装に役立ちます。
- IBMid Enterprise Federation Adoption Guide。
- 公開されている IBMid フェデレーション・ガイドには、アイデンティティー・プロバイダーをフェデレートするために必要な手順と、フェデレーションを実装するための連絡先に関する概要が記載されています。 「IBM スポンサー」(例えば、 IBMid チームとの間の主要な連絡先として働く IBM の従業員) が必要であることに注意してください。
- IBM Cloud Self-Service Federation for External Identity Providers。
- IBM Cloud への IAM 機能の発表。SAML を使用して { {site.data.keyword.appid_full_notm} } 経由でアイデンティティプロバイダーとフェデレーションします。
- 外部 ID プロバイダーからの認証の有効化
- IBM Cloud App ID サービス・インスタンスを IBM Cloud IAM と統合するために必要な手順に従って、ユーザーが IBM Cloud を使用せずに使用できるようにします。 セクション「 App ID トークンでの IAM 固有の属性の設定」を参照して、ユーザーが正しくオンボードされ、 IBM Cloud アカウント内に表示されていることを確認します。
- クラウド・リソースへのアクセスを制御します。
- このチュートリアルでは、アクセス・グループで動的ルールを使用して、ID プロバイダーが SAML を介して IBM Cloud に送信する属性に基づいて許可の割り当てを自動化する方法について説明します。 チュートリアル自体は IBMid 連携用に作成されていますが、同じ概念とステップが IBM Cloud App ID ベースの連携でも機能します。
- App ID インスタンスを使用したアクセス・グループでの動的ルールの作成
- IBM Cloud App IDベースのフェデレーションで動的ルールを使用する予定の場合は、動的ルール内の「ID プロバイダー」設定に正しい構文を使用するようにしてください。 リンクのセクションでは、正しい「ID プロバイダー」ID を作成する方法について説明します。
- IBM Cloud App ID および Microsoft Azure AD を使用した IBM Cloud アカウント・シングル・サインオン
- このブログ・エントリーは、 IBM Cloud App IDを使用して Microsoft Azure Active Directory を IBM Cloud と統合するプロセス全体を示しています。 IBM Cloudの Identity and Access Management について詳しくは、資料を参照してください。