IBM Cloud Docs
Sequências de login da IBM Cloud

Sequências de login da IBM Cloud

Revise os fluxos de sequência de login a seguir para entender os detalhes sobre como os usuários federados, não federados e incluídos por meio do IBM Cloud App ID com um provedor SAML conectado ao IBM Cloud® Identity and Access Management (IAM) efetuam login na IBM Cloud.

Sequência de login para usuários não federados com um IBMid

A sequência de login padrão para usuários na IBM Cloud que não são federados funciona de acordo com a sequência a seguir:

Processo de login para usuários não federados com um ' IBMid '
Processo de login para usuários não federados com um ' IBMid '

  1. O usuário começa visitando a URL https://cloud.ibm.com com um navegador. O console da IBM Cloud envia de volta uma página de login ao navegador.
  2. Na página de login, o usuário insere seu nome de usuário, clica em Continuar, depois insere sua senha e envia essa informação ao console clicando em Login.
  3. A combinação de nome de usuário e senha é encaminhada pelo console para o componente do IAM da IBM Cloud.
  4. O IAM usa o sistema de IBMid para validar se a combinação de nome de usuário e senha está correta.
  5. Após a validação bem-sucedida, o IAM responde ao console com uma resposta bem-sucedida e fornece uma URL que o console deve enviar ao navegador do usuário, para que o usuário possa terminar a sequência de login.
  6. O navegador consome a instrução de redirecionamento e navega para o IAM para permitir que a IBM Cloud termine a sequência de login. Esse redirecionamento de navegador é necessário para configurar os cookies de conexão única necessários no navegador do usuário que evita que o usuário insira as credenciais de login novamente.
  7. O IAM então termina seu fluxo de autenticação com o console, enviando um redirecionamento compatível com OAuth2 com um código de autorização para o navegador.
  8. O navegador fornece o código de autorização ao console, que por sua vez é usado para recuperar os tokens necessários do IAM.
  9. Quando o console recebe os tokens, a sequência de login termina. O console agora pode chamar APIs da IBM Cloud e identificar o usuário.
  10. O console exibe o painel com conteúdo específico do usuário.

Sequência de login para usuários federados com um IBMid

O IBMid permite que clientes corporativos associem seu sistema de autenticação e autorização de usuário ao IBMid. Dessa forma, os usuários não precisam gerenciar outro ID de usuário. Em vez disso, eles podem efetuar login na IBM Cloud usando seu conhecido ID de usuário gerenciado pelo cliente. A sequência de login para usuários federados na IBM Cloud funciona de acordo com a sequência a seguir:

![Processo de login para usuários federados com um " IBMid "](images/login-fed-id.svg "Processo de login para usuários federados com um " IBMid "")

  1. O usuário começa visitando a URL https://cloud.ibm.com com um navegador. O console da IBM Cloud envia de volta uma página de login ao navegador.
  2. Na página de login, o usuário insere seu nome de usuário.
  3. Depois de clicar para continuar, o console da IBM Cloud redireciona o navegador do usuário para o componente IAM da IBM Cloud. Como parte do redirecionamento, o nome de usuário já inserido é transmitido.
  4. Com a ajuda do nome do usuário, o IAM é capaz de determinar o provedor de identidade (IdP) que deve ser usado para executar a sequência de login. Portanto, o IAM está enviando de volta uma solicitação de redirecionamento ao navegador do usuário.
  5. O navegador está concluindo o redirecionamento e exibe a página de login do cliente corporativo. Para essa interação, uma solicitação SAML é enviada ao sistema de autenticação e autorização de usuário do cliente corporativo.
  6. Depois de validar as credenciais do usuário, o sistema do cliente corporativo envia uma instrução de redirecionamento ao navegador do usuário. Parte desse redirecionamento é a resposta SAML contendo asserções que descrevem o usuário e os atributos adicionais desse usuário.
  7. O navegador conclui o redirecionamento e envia a resposta SAML com asserções para o IBMid.
  8. O IBMid valida a resposta SAML e mapeia o usuário para um IBMid.
  9. O IBMid envia um redirecionamento ao navegador do usuário com um código de autorização para continuar o fluxo de autenticação de acordo com o padrão de conexão OpenID.
  10. O navegador entra em contato com o IAM e fornece o código de autorização, para que o IAM possa recuperar os tokens necessários do IBMid usando o padrão de conexão OpenID.
  11. Depois que o IBMid fornece os tokens necessários, o IAM está finalizando seu fluxo de autenticação com o console, enviando um redirecionamento compatível com OAuth2 com um código de autorização para o navegador.
  12. O navegador fornece o código de autorização ao console, que por sua vez é usado para recuperar os tokens necessários do IAM.
  13. Quando o console recebe os tokens, a sequência de login termina. O console agora pode chamar APIs da IBM Cloud e identificar o usuário.
  14. O console exibe o painel com conteúdo específico do usuário.

Sequência de login para App ID com um parceiro SAML conectado

Se você optar por se integrar ao seu IdP externo para autenticar de forma segura os usuários externos para sua conta usando uma instância da App ID, a sequência de login funcionará de acordo com a sequência a seguir. Para obter mais informações sobre esse tipo de autenticação, consulte Ativando a autenticação de um provedor de identidade externo.

Processo de login para usuários que estão conectados a partir de uma instância ' App ID conectada a um parceiro SAML
Processo de login para usuários que estão conectados a partir de uma instância ' App ID conectada a um parceiro SAML

  1. O usuário inicia a sequência visitando uma URL específica da conta com seu navegador. Isto é https://cloud.ibm.com/authorize/<account id> ou https://cloud.ibm.com/authorize/<account alias>. O alias de conta pode ser definido nas páginas de configuração do Provedor de identidade do IAM no console da IBM Cloud.

    O uso de uma URL específica é necessário para endereçar o parceiro SAML federado correto.

  2. O console do IBM Cloud (console) redireciona o navegador do usuário para o componente IAM da IBM Cloud. Como parte do redirecionamento, o ID da conta ou alias é enviado ao IAM.

  3. Com a ajuda do ID da conta ou alias, o IAM determina a instância App ID necessária para executar a sequência de login. Portanto, o IAM envia de volta uma solicitação de redirecionamento ao navegador do usuário.

  4. O navegador conclui o redirecionamento e termina em uma página fornecida pelo App ID. Esta página retorna imediatamente um redirecionamento para o navegador que contém uma solicitação SAML.

  5. A solicitação SAML é enviada ao sistema de autenticação e autorização de usuário do cliente corporativo.

  6. Depois de validar as credenciais do usuário, o sistema do cliente corporativo envia uma instrução de redirecionamento ao navegador do usuário. Parte desse redirecionamento é a resposta SAML contendo asserções que descrevem o usuário e os atributos adicionais desse usuário.

  7. O navegador conclui o redirecionamento e envia a resposta SAML com asserções para a instância App ID.

  8. Após validar a resposta SAML, o App ID agora envia um redirecionamento para o navegador que contém um código de autorização para continuar o fluxo de autenticação de acordo com o padrão de conexão OpenIDt.

  9. O navegador entra em contato com o IAM e fornece o código de autorização para que o IAM possa recuperar os tokens necessários do App ID usando o padrão conexão OpenID.

  10. Depois que o App ID forneceu os tokens necessários, o IAM agora está concluindo seu fluxo de autenticação com o console, enviando um redirecionamento compatível com OAuth2 com um código de autorização para o navegador.

  11. O navegador fornece o código de autorização ao console, que por sua vez é usado para recuperar os tokens necessários do IAM.

  12. Quando o console recebe os tokens, a sequência de login termina. O console agora pode chamar APIs da IBM Cloud e identificar o usuário.

  13. O console exibe o painel com conteúdo específico do usuário.