IBM Cloud Docs
IBM Cloud 登录序列

IBM Cloud 登录序列

查看以下登录序列流,以了解有关通过 IBM Cloud App ID 通过连接到 IBM Cloud® Identity and Access Management (IAM) 登录到 IBM Cloud的 SAML 提供程序添加的联合,非联合和用户的详细信息。

具有 IBMid 的非联合用户的登录顺序

IBM Cloud 中未联合的用户的标准登录序列根据以下序列工作:

![使用 "IBMid"](images/login-nonfed-id.svg ""的非联邦用户的登录流程 使用 "IBMid"""){: caption="的非联邦用户的登录流程 使用 "IBMid""" caption-side="bottom"}的非联邦用户的登录流程

  1. 用户首先通过浏览器访问 URL https://cloud.ibm.com。 IBM Cloud 控制台将登录页面发送回浏览器。
  2. 在登录页面上,用户输入其用户名,单击“继续”,然后输入其密码并通过单击“登录”将此信息发送到控制台。
  3. 用户名和密码组合由控制台转发到 IBM Cloud的 IAM 组件。
  4. IAM 使用 IBMid 系统来验证用户名和密码组合是否正确。
  5. 验证成功后,IAM将向控制台发送成功响应,并提供一个 URL,供控制台发送到用户的浏览器,以便用户完成登录。
  6. 浏览器使用重定向指令并浏览到 IAM 以允许 IBM Cloud 完成登录序列。 此浏览器重定向是必需的,用于在用户浏览器上设置必要的单点登录 cookie,以防止用户再次输入登录凭证。
  7. 然后,IAM 通过向浏览器发送带有授权代码的符合 OAuth2 的重定向来完成其使用控制台的认证流程。
  8. 浏览器向控制台提供授权代码,而该授权代码又用于从 IAM 检索所需令牌。
  9. 当控制台接收令牌时,登录序列结束。 控制台现在可以调用 IBM Cloud API 并标识用户。
  10. 控制台将显示包含特定于用户的内容的仪表板。

具有 IBMid 的联合用户的登录序列

IBMid 允许企业客户使用 IBMid联合其用户认证和授权系统。 这样,用户不需要管理另一个用户标识。 相反,他们能够使用其熟知的客户管理的用户标识登录到 IBM Cloud。 IBM Cloud 中联合用户的登录序列按以下顺序工作:

![使用 "IBMid"](images/login-fed-id.svg ""的联合用户的登录流程 使用 "IBMid"""){: caption="的联合用户的登录流程 使用 "IBMid"" caption-side="bottom"}的联合用户的登录流程

  1. 用户首先通过浏览器访问 URL https://cloud.ibm.com。 IBM Cloud 控制台向浏览器发送一个登录页面。
  2. 在登录页面上,用户输入其用户名。
  3. 单击以继续后,IBM Cloud 控制台会将用户的浏览器重定向到 IBM Cloud的 IAM 组件。 作为重定向的一部分,将传输已输入的用户名。
  4. 在用户名的帮助下,IAM 能够确定应该用于运行登录序列的身份提供者 (IdP)。 因此,IAM 会将重定向请求发回给用户的浏览器。
  5. 浏览器正在完成重定向,并显示企业客户的登录页面。 对于此交互,将向企业客户的用户认证和授权系统发送 SAML 请求。
  6. 验证用户凭证后,企业客户的系统会向用户的浏览器发送重定向指令。 此重定向的一部分是 SAML 响应,其中包含描述用户的断言以及该用户的其他属性。
  7. 浏览器完成重定向并将带有断言的 SAML 响应发送到 IBMid。
  8. IBMid 验证 SAML 响应并将用户映射到 IBMid。
  9. IBMid 使用授权代码向用户的浏览器发送重定向,以根据 OpenID Connect 标准继续认证流程。
  10. 浏览器联系 IAM 并提供授权代码,以便 IAM 可以使用 OpenID Connect 标准从 IBMid 检索所需令牌。
  11. 在 IBMid 提供所需令牌之后,IAM 现在通过向浏览器发送带有授权代码的 OAuth2 合规重定向,完成其使用控制台的认证流程。
  12. 浏览器向控制台提供授权代码,而该授权代码又用于从 IAM 检索所需令牌。
  13. 当控制台接收令牌时,登录序列结束。 控制台现在可以调用 IBM Cloud API 并标识用户。
  14. 控制台将显示包含特定于用户的内容的仪表板。

具有已连接 SAML 合作伙伴的 App ID 的登录序列

如果选择与外部 IdP 集成,以通过使用 App ID 实例向帐户安全地认证外部用户,那么登录序列将根据以下序列工作。 有关此类型认证的更多信息,请参阅 从外部身份提供者启用认证

![从与 SAML 合作伙伴连接的App ID实例连接的用户的登录流程](images/login-appid-saml.svg "从与 SAML 合作伙伴连接的App ID实例连接的用户的登录流程 "")

  1. 用户通过浏览器访问特定账户的 URL,即可开始操作。 这是 https://cloud.ibm.com/authorize/<account id>https://cloud.ibm.com/authorize/<account alias>。 可以在 IBM Cloud 控制台的IAM身份提供商配置页面上配置账户别名。

    需要使用特定的 URL 来联系正确的SAML联盟合作伙伴。

  2. IBM Cloud 控制台 (控制台) 将用户浏览器重定向到 IBM Cloud的 IAM 组件。 作为重定向的一部分,帐户标识或别名将发送到 IAM。

  3. 在帐户标识或别名的帮助下,IAM 确定运行登录序列所需的 App ID 实例。 因此,IAM 会将重定向请求发回给用户的浏览器。

  4. 浏览器完成重定向并在 App ID 提供的页面上结束。 此页面立即返回到包含 SAML 请求的浏览器的重定向。

  5. SAML 请求将发送到企业客户的用户认证和授权系统。

  6. 验证用户凭证后,企业客户的系统会向用户的浏览器发送重定向指令。 此重定向的一部分是 SAML 响应,其中包含描述用户的断言以及该用户的其他属性。

  7. 浏览器完成重定向,并将带有断言的 SAML 响应发送到 App ID 实例。

  8. 验证 SAML 响应后,App ID 现在将重定向发送到包含授权代码的浏览器,以根据 OpenID Connect 标准继续认证流程。

  9. 浏览器联系 IAM 并提供授权代码,以便 IAM 可以使用 OpenID Connect 标准从 App ID 检索所需令牌。

  10. 在 App ID 提供所需令牌之后,IAM 现在正在通过向浏览器发送带有授权代码的符合 OAuth2 的重定向,通过控制台完成其认证流程。

  11. 浏览器向控制台提供授权代码,而该授权代码又用于从 IAM 检索所需令牌。

  12. 当控制台接收令牌时,登录序列结束。 控制台现在可以调用 IBM Cloud API 并标识用户。

  13. 控制台将显示包含特定于用户的内容的仪表板。