IBM Cloud Docs
使用联合标识登录

使用联合标识登录

作为使用公司或企业单点登录标识的联合用户,您可以使用联合标识和密码从控制台登录到 IBM Cloud®。 您还可以使用一次性密码或 API 密钥从命令行界面 (CLI) 登录。

通过使用联合标识,您无需设置特定于 IBM Cloud的新登录凭证,例如,使用 IBMid。 相反,组织中的用户可以通过身份提供者 (IdP) 使用其组织凭证轻松登录到 IBM Cloud。

当用户登录时,该用户将获取 IAM 令牌,这是在 1 小时后到期的临时凭证。 在此时间之后,必须刷新令牌以保护连接,并继续访问为其分配了访问权的帐户资源。 有关使用联合标识的更多信息,请参阅 设置 IBM Cloud 帐户

Google拥有联合 ID 的用户无法登录。 有关详细信息,请参阅For more information, see 已知问题和限制

使用控制台登录

使用以下步骤登录到 IBM Cloud 控制台:

  1. 转至 IBM Cloud 登录页面
  2. 输入您的标识,然后单击 继续
  3. 输入您的密码。

登录后,将定向到 IBM Cloud 仪表板,此仪表板提供各种开发,帐户管理和基础结构窗口小部件。

使用可信概要文件登录到控制台

帐户管理员使用可信概要文件来管理帐户用户的特定访问权。 每个概要文件都包含一组不同的访问策略,这些策略映射到您需要生成的角色或操作。 例如,开发者可能使用访问组成员资格来执行日常工作,但在一周中的某个时间,他们可能需要在生产环境中执行一些操作。 在这种情况下,开发者将对自己进行认证,然后执行显式操作以应用可信概要文件,该概要文件具有在生产中执行操作所需的访问策略。

以 IBMid 用户身份应用可信概要文件

如果您是 IBMid 用户,请完成以下步骤以使用可信概要文件登录到 IBM Cloud 控制台:

  1. 转至 IBM Cloud 登录页面
  2. 输入 IBMid,或者如果您正在使用单点登录 (SSO),请输入公司电子邮件地址,然后单击 继续
  3. 输入您的密码。
  4. 在 IBM Cloud 控制台中,进入账户切换器,选择账户管理员为您创建的受信任配置文件。

以 App ID 用户身份应用可信概要文件

如果您是 App ID 用户,请完成以下步骤以使用可信概要文件登录到 IBM Cloud 控制台:

  1. 转至组织的 <DefaultIdPURL>

    如果您不知道 <DefaultIdPURL>,请询问管理员。 他们可以从“身份提供者”页面对其进行访问。 有关更多信息,请参阅 使用外部身份提供者凭证登录

  2. 输入凭据并登录。

  3. 在 IBM Cloud 控制台中,进入账户切换器,选择账户管理员为您创建的受信任配置文件。

使用 CLI 登录

您选择使用一次性密码或 API 密钥通过 CLI 登录。 您可以根据是在以下部分中使用 IBM Cloud 还是 Red Hat OpenShift CLI 来查找详细信息。

使用一次性密码通过 CLI 登录

如果使用一次性密码选项通过联合标识登录,请指定单点登录 (SSO) 参数以获取一次性密码,然后在登录时输入该密码。

由于一次性密码是通过 IBM Cloud 控制台检索密码的,因此会导致在自动化脚本中使用联合标识失败。 通过将 API 密钥选项与自动脚本配合使用可避免此问题。

在 IBM Cloud CLI 中

您可以使用两种不同的方法来使用 CLI 登录。 对于第一个方法,请使用以下步骤:

  1. --sso 命令指定 ibmcloud login 选项。

  2. 访问提示中的 URL 以获取一次性密码。

  3. 复制密码值并将其作为输入粘贴到 CLI 中。

    ibmcloud login --sso
API endpoint: https://cloud.ibm.com

Get One Time Code from https://identity-2.us-south.iam.cloud.ibm.com/identity/passcode to proceed.
Open the URL in the default browser? [Y/n]>
One Time Code >
Authenticating...
OK

如果您已登录到控制台,那么可以使用以下步骤:

  1. 在 IBM Cloud 控制台中,单击 Avatar 图标 Avatar 图标 > 登录到 CLI 和 API
  2. 将 IBM Cloud CLI 的信息复制到 CLI 中。

从 Red Hat OpenShift CLI

您可以使用以下步骤使用一次性密码登录:

  1. 登录到控制台,然后从控制台单击 Avatar 图标 Avatar 图标 > 登录到 CLI 和 API
  2. 复制 Red Hat OpenShift CLI 的信息并粘贴到 CLI 中。

在 CLI 中使用 API 密钥进行认证

所需的 API 密钥是用于验证 IBM Cloud 平台的 IBM Cloud API 密钥,而不是经典基础架构 API 密钥或 IBM Cloud 服务 API 密钥。

  1. 使用 ibmcloud iam api-key-create 命令创建 API 密钥。 使用 --file 选项生成 API 密钥文件,而不是在命令窗口中显示密钥:

    ibmcloud iam api-key-create NAME [-d DESCRIPTION] [--file FILE]

  2. 使用 API 密钥登录。 可以使用以下任何一种方法将 API 密钥用于 IBM Cloud CLI:

    • 直接调用 API 密钥:

      ibmcloud login --apikey <api_key_string>

    • 使用密钥文件调用 API 密钥:

      ibmcloud login --apikey @key_file_name

    • 设置环境变量。 此外,还可以在系统上设置环境变量。 例如,IBMCLOUD_API_KEY=api_key_string,其中 api_key_string 是 API 密钥的定制值。 设置环境变量后,可以直接通过 CLI 指定 ibmcloud login

对于 Windows 10 PowerShell,需要使用 '@key_file_name',即用单引号将密钥文件名括起。

使用 API 密钥获取 IAM 令牌以进行认证

您可以使用 API 密钥来获取 IAM 令牌,以访问 IBM Cloud 服务。 例如,可以运行以下 curl 命令以使用名为 MY_APIKEY 的 API 密钥来获取 IAM 令牌:

curl -X POST 'https://iam.cloud.ibm.com/identity/token' -H 'Content-Type: application/x-www-form-urlencoded' -d
'grant_type=urn:ibm:params:oauth:grant-type:apikey&apikey=MY_APIKEY'

有关更多信息,请参阅 使用 API 密钥为用户或服务标识创建 IAM 访问令牌