IBM Cloud 登录序列
查看以下登录序列流,以了解有关通过 IBM Cloud App ID 通过连接到 IBM Cloud® Identity and Access Management (IAM) 登录到 IBM Cloud的 SAML 提供程序添加的联合,非联合和用户的详细信息。
具有 IBMid 的非联合用户的登录顺序
IBM Cloud 中未联合的用户的标准登录序列根据以下序列工作:
{: caption="的非联邦用户的登录流程 使用 "IBMid""" caption-side="bottom"}的非联邦用户的登录流程
- 用户首先通过浏览器访问 URL https://cloud.ibm.com。 IBM Cloud 控制台将登录页面发送回浏览器。
- 在登录页面上,用户输入其用户名,单击“继续”,然后输入其密码并通过单击“登录”将此信息发送到控制台。
- 用户名和密码组合由控制台转发到 IBM Cloud的 IAM 组件。
- IAM 使用 IBMid 系统来验证用户名和密码组合是否正确。
- 验证成功后,IAM将向控制台发送成功响应,并提供一个 URL,供控制台发送到用户的浏览器,以便用户完成登录。
- 浏览器使用重定向指令并浏览到 IAM 以允许 IBM Cloud 完成登录序列。 此浏览器重定向是必需的,用于在用户浏览器上设置必要的单点登录 cookie,以防止用户再次输入登录凭证。
- 然后,IAM 通过向浏览器发送带有授权代码的符合 OAuth2 的重定向来完成其使用控制台的认证流程。
- 浏览器向控制台提供授权代码,而该授权代码又用于从 IAM 检索所需令牌。
- 当控制台接收令牌时,登录序列结束。 控制台现在可以调用 IBM Cloud API 并标识用户。
- 控制台将显示包含特定于用户的内容的仪表板。
具有 IBMid 的联合用户的登录序列
IBMid 允许企业客户使用 IBMid联合其用户认证和授权系统。 这样,用户不需要管理另一个用户标识。 相反,他们能够使用其熟知的客户管理的用户标识登录到 IBM Cloud。 IBM Cloud 中联合用户的登录序列按以下顺序工作:
{: caption="的联合用户的登录流程 使用 "IBMid"" caption-side="bottom"}的联合用户的登录流程
- 用户首先通过浏览器访问 URL https://cloud.ibm.com。 IBM Cloud 控制台向浏览器发送一个登录页面。
- 在登录页面上,用户输入其用户名。
- 单击以继续后,IBM Cloud 控制台会将用户的浏览器重定向到 IBM Cloud的 IAM 组件。 作为重定向的一部分,将传输已输入的用户名。
- 在用户名的帮助下,IAM 能够确定应该用于运行登录序列的身份提供者 (IdP)。 因此,IAM 会将重定向请求发回给用户的浏览器。
- 浏览器正在完成重定向,并显示企业客户的登录页面。 对于此交互,将向企业客户的用户认证和授权系统发送 SAML 请求。
- 验证用户凭证后,企业客户的系统会向用户的浏览器发送重定向指令。 此重定向的一部分是 SAML 响应,其中包含描述用户的断言以及该用户的其他属性。
- 浏览器完成重定向并将带有断言的 SAML 响应发送到 IBMid。
- IBMid 验证 SAML 响应并将用户映射到 IBMid。
- IBMid 使用授权代码向用户的浏览器发送重定向,以根据 OpenID Connect 标准继续认证流程。
- 浏览器联系 IAM 并提供授权代码,以便 IAM 可以使用 OpenID Connect 标准从 IBMid 检索所需令牌。
- 在 IBMid 提供所需令牌之后,IAM 现在通过向浏览器发送带有授权代码的 OAuth2 合规重定向,完成其使用控制台的认证流程。
- 浏览器向控制台提供授权代码,而该授权代码又用于从 IAM 检索所需令牌。
- 当控制台接收令牌时,登录序列结束。 控制台现在可以调用 IBM Cloud API 并标识用户。
- 控制台将显示包含特定于用户的内容的仪表板。
具有已连接 SAML 合作伙伴的 App ID 的登录序列
如果选择与外部 IdP 集成,以通过使用 App ID 实例向帐户安全地认证外部用户,那么登录序列将根据以下序列工作。 有关此类型认证的更多信息,请参阅 从外部身份提供者启用认证。

-
用户通过浏览器访问特定账户的 URL,即可开始操作。 这是
https://cloud.ibm.com/authorize/<account id>
或https://cloud.ibm.com/authorize/<account alias>
。 可以在 IBM Cloud 控制台的IAM身份提供商配置页面上配置账户别名。需要使用特定的 URL 来联系正确的SAML联盟合作伙伴。
-
IBM Cloud 控制台 (控制台) 将用户浏览器重定向到 IBM Cloud的 IAM 组件。 作为重定向的一部分,帐户标识或别名将发送到 IAM。
-
在帐户标识或别名的帮助下,IAM 确定运行登录序列所需的 App ID 实例。 因此,IAM 会将重定向请求发回给用户的浏览器。
-
浏览器完成重定向并在 App ID 提供的页面上结束。 此页面立即返回到包含 SAML 请求的浏览器的重定向。
-
SAML 请求将发送到企业客户的用户认证和授权系统。
-
验证用户凭证后,企业客户的系统会向用户的浏览器发送重定向指令。 此重定向的一部分是 SAML 响应,其中包含描述用户的断言以及该用户的其他属性。
-
浏览器完成重定向,并将带有断言的 SAML 响应发送到 App ID 实例。
-
验证 SAML 响应后,App ID 现在将重定向发送到包含授权代码的浏览器,以根据 OpenID Connect 标准继续认证流程。
-
浏览器联系 IAM 并提供授权代码,以便 IAM 可以使用 OpenID Connect 标准从 App ID 检索所需令牌。
-
在 App ID 提供所需令牌之后,IAM 现在正在通过向浏览器发送带有授权代码的符合 OAuth2 的重定向,通过控制台完成其认证流程。
-
浏览器向控制台提供授权代码,而该授权代码又用于从 IAM 检索所需令牌。
-
当控制台接收令牌时,登录序列结束。 控制台现在可以调用 IBM Cloud API 并标识用户。
-
控制台将显示包含特定于用户的内容的仪表板。