哪个是适合您的联合选项?
过去,IBM Cloud 支持使用 IBMid SAML 联合与客户的用户目录进行集成。 2020 年 5 月,IBM Cloud 引入了一种备用方法,供客户机使用其 IBM Cloud 帐户联合身份。
缺省情况下,在 IBM Cloud 中创建帐户时,将 IBMid 用于用户身份。 IBMid 是 IBM 中用于访问 IBM 基于 Web 的服务 (包括 IBM Cloud 资源) 的标识即服务 (IDaaS)。 IBMid 基于贵公司的电子邮件地址以及由 IBMid管理的密码。 IBMid 允许您联合到自己的公司用户目录或您可能已使用的第三方身份提供者 (IdP) 服务,例如 Okta。
联合到您自己的目录可简化将用户添加到帐户的过程,而无需具有单独密码的 IBMid。 但是,在某些情况下,您可能无法使用 IBMid 来联合公司用户目录。 替代方法是在帐户中创建 IBM Cloud App ID 实例,并将其连接到所选 IdP。
本主题说明以下两种方法之间的差异:
- 使用 IBMid进行联合。
- 与您自己的 IBM Cloud App ID实例联合。
要决定哪个选项适用于您的用例,请查看以下部分。
IBM Cloud中存在哪些 SAML 联合选项?
IBM Cloud 支持以下用户类型:
- 非联合 IBMid 用户
- 具有有效电子邮件地址的用户可以创建 IBMid,并让 IBMid 管理密码。 您的公司电子邮件域未与 IBMid联合,因此您选择保持其状态。 任何使用电子邮件域的用户都可以创建自己的 IBMid,他们创建的密码由 IBMid管理。 他们可以创建 IBM Cloud 帐户,并邀请具有 IBMid 的其他用户加入其帐户。 他们还可以使用相同的 IBMid来访问其他 IBM Web 产品。
- 联合 IBMid 用户
- 企业客户通常会将其内部用户目录或 IdP, 与 IBMid 连接起来,这样员工就无需管理额外的密码。 相反,他们可以复用其正常登录到 IdP 以登录到 IBM Web 产品,包括 IBM Cloud。 使用 IBMid 连接外部 IdP 称为联合,技术底层协议称为 SAML。 这些用户通常被称为联合 IBMid 用户。 由于 IBMid 同时与多个企业客户联合,因此成功联合的一个先决条件是每个 IBMid 用户的唯一电子邮件地址。
- IBM Cloud App ID 用户
- IBM Cloud App ID 的实例也可以连接到 IdP。 App ID 实例可以使用 SAML 连接到 onlyone 外部 IdP,因此不需要唯一的电子邮件地址。
IBM Cloud 帐户所有者
要创建 IBM Cloud 帐户,您需要一个 IBMid 用户,该用户将是 IBM Cloud 帐户所有者。 您可以在 IBM Cloud 帐户注册过程 期间创建此 IBMid 用户,也可以使用现有 IBMid 用户。 建议使用具有有效电子邮件地址的 功能标识 或服务帐户来创建帐户,这有助于简化组织中的帐户所有权连续性。
对于 IBM Cloud 帐户的任何其他成员,您可以选择使用正常或联合 IBMid 用户作为 IBM Cloud 帐户成员。 或者,可以使用 IBM Cloud App ID 服务实例将 IdP 连接到 IBM Cloud 帐户。 通过该 IBM Cloud App ID 服务实例登录的所有用户都会自动添加到您的帐户,因此您无需邀请这些用户。
如何加载 IBM Cloud 帐户成员?
IBM Cloud 帐户有权访问联合和非联合的所有 IBMid 用户。 必须邀请 IBMid 用户加入您的 IBM Cloud 帐户。 因此,同一 IBMid 用户可以同时是多个 IBM Cloud 帐户的成员。 在 IBM Cloud 控制台中,IBMid 用户可以选择在其中工作的帐户。
在配置 IBM Cloud App ID 服务实例期间,将服务实例与 IBM Cloud 帐户连接。 因此,使用此服务实例登录的用户只能是此帐户的成员。 这些用户将在首次认证时自动添加到 IBM Cloud 帐户。
比较联合选项
下表比较了每个联合选项的特征。 在这两种情况下,假定客户将 IBMid 或 IBM Cloud App ID 实例与其 IdP 连接到 SAML。
| 功能 | IBMid | App ID |
|---|---|---|
| 电子邮件地址 | 用户必须具有全局唯一的电子邮件地址。 例如,firstname.lastname@example.com。 如果您公司的电子邮件域已联合,那么您可以开始配置对帐户的访问权。 如果尚未联合,那么需要使用 IBMid 联合团队的手动过程来建立联合。 在联合设置过程中,客户与 IBMid 联合团队协作,以定义与 IdP 用户匹配的电子邮件模式。 联合到公司自己的用户目录的决策需要让公司中的人员参与,这些人员可以在连接到外部参与方以获取身份服务时做出公司范围的决策。 您需要确保此人员包含在流程中。 使用 IBMid 联合可能会影响非IBM Cloud Web Service,贵公司已将这些 Web Service 用于 IBM。 | 此选项需要创建 App ID 实例。 它是一个自助服务选项,使用费低。 选择此选项需要使用自定义的 URL 登录 IBM Cloud。 此外,每个 IBM Cloud 账户都需要一个 App ID 实例和配置,以便与您的 IdP 进行联合。 |
| 成本 | 客户无需付费即可使用具有或不具有联合的 IBMid。 | IBM Cloud App ID 实例的费用较低,免费层最多为 1,000 个用户和 1,000 个事件 (例如,登录)。 详情请参阅 App ID 页面。 |
| 联合设置 | 客户需要使用 IBMid Enterprise Federation 打开支持案例以启动入职流程。 这是一个手动过程。 | 客户创建 IBM Cloud App ID 实例,并根据记录的步骤对其进行配置。 此过程是自助服务。 |
| 联合维护 (例如,证书更新) | 需要与 IBMid 联合团队进行手动交互。 | 客户可以自行更新其 IBM Cloud App ID 实例 (例如,此步骤为自助服务)。 |
| 联合作用域 | IBMid 联合适用于使用 IBMid的每个服务。 这意味着如果客户加入 IBMid 联合,那么在登录到 IBM Cloud时,以及在使用其他使用 IBMid的 IBM SaaS 产品时,这将适用于其员工。 | 联合仅对 IBM Cloud 帐户产生影响,在该帐户中,IBM Cloud App ID 实例配置为允许登录。 它也不会影响任何其他 IBM Cloud 帐户或 IBM SaaS 产品。 |
| 帐户成员加入 | 用户需要通过其电子邮件地址进行邀请。 | 可以成功登录到已配置的 IBM Cloud App ID 实例的每个用户都将自动添加到 IBM Cloud 帐户。 |
| 跨帐户成员资格 | IBMid 可以是多个帐户的成员。 | 用户只能是一个帐户的成员。 即使多个IBM Cloud App ID实例联合到同一个IdP,用户也会被视为每个账户中的独立用户。 |
| 在访问组动态规则中使用 SAML 断言 | IdP 发送的任何 SAML 断言都可以在访问组动态规则中使用。 | IdP 发送的任何 SAML 断言都可以在访问组动态规则中使用。 |
| 可靠性 | IBMid 是具有专用操作团队的全局服务。 在数据中心发生中断时,IBMid 可以故障转移到其他数据中心。 | 任何 IBM Cloud App ID 实例都存在于一个区域中。 该区域中的故障可能会阻止帐户成员登录。 已登录的用户通常不受此类故障影响。 |
| 登录行为 | 用户使用中央登录页面登录。 | 您需要使用专用的 URL 登录您的 IBM Cloud 账户。 您的帐户管理员从 IBM Cloud 控制台的IAM 身份提供商 页面获取此 URL。 |
场景
有关决定正确选项的其他帮助,请查看常见方案:
- 使用单个 IBM Cloud 帐户
- 客户正在使用单个 IBM Cloud 帐户,而没有其他 IBM SaaS 产品。 由于客户未使用任何其他 IBM SaaS 产品或任何其他 IBM Cloud 帐户,因此他们在 IBMid的联合作用域功能或跨帐户功能方面没有优势。 用户和登录次数较少,因此 IBM Cloud App ID 选项不会为此帐户产生成本。 客户决定将 IBM Cloud App ID 作为联合选项。
- 使用 IBM Cloud 和其他 IBM SaaS 产品
- 客户正在使用 IBM Cloud 和其他 IBM SaaS 产品。 IBM 与许多客户有着长久而牢固的关系。 这些客户通常使用多个 IBM SaaS 产品,这些产品要求所有用户使用 IBMid 用户帐户来处理这些 IBM SaaS 产品。 在这种情况下,所有客户员工都可以使用 IBMid 联合而不是基于 IBM Cloud App ID的联合。 IBMid 联合使所有员工能够通过使用身份提供者的密码管理和验证来使用 IBM SaaS 产品和 IBM Cloud 控制台。
资源
以下链接可帮助您实现您选择的联合:
- IBMid企业联盟采用指南。
- 公开提供的 IBMid 联合指南为您提供了有关联合身份提供者所需的步骤以及要联系谁以实现联合的概述。 请注意,您需要“IBM 发起方”(例如,充当您与 IBMid 团队之间主要联系人的 IBM 员工)。
- IBM Cloud外部身份提供商的自助联合。
- IBM Cloud IAM功能将通过SAML与身份提供商联合,使用{ {site.data.keyword.appid_full_notm}。
- 从外部身份提供者启用认证
- 遵循将 IBM Cloud App ID 服务实例与 IBM Cloud IAM 集成所需的步骤,以便用户可以使用 IBM Cloud 帐户而无需创建 IBM 标识。 查看 App ID 令牌中的“设置特定于 IAM 的属性”部分,以确保用户正确登录并显示在 IBM Cloud 帐户中。
- 控制对云资源的访问。
- 本教程描述了如何在访问组中使用动态规则,以便您根据身份提供者通过 SAML 发送到 IBM Cloud 的属性自动分配许可权。 教程本身是为 IBMid 联合编写的,但相同的概念和步骤也适用于基于 IBM Cloud App ID 的联合。
- 使用 App ID 实例在访问组中构建动态规则
- 如果计划将动态规则与基于 IBM Cloud App ID的联合配合使用,请确保对动态规则中的“身份提供者”设置使用正确的语法。 链接中的部分描述了如何构建正确的“身份提供者”标识。
- IBM Cloud 帐户单点登录(通过使用 IBM Cloud App ID 和 Microsoft Azure AD)
- 此博客条目显示了使用 IBM Cloud App ID将 Microsoft Azure Active Directory 与 IBM Cloud 集成的整个过程。 请查看文档以了解有关 IBM Cloud中的 Identity and Access Management 的更多信息。