使用可信概要文件管理联合用户的访问权
本教程将指导您完成根据外部身份提供者规范自动授予联合用户对帐户的访问权的步骤。 通过完成本教程,您将了解如何创建可信概要文件,根据企业用户目录中定义的属性与联合用户建立信任,以及定义策略以分配对资源的访问权。
通过使用可信概要文件,您可以为联合用户建立一种灵活,安全的方式来访问他们执行其作业所需的 IBM Cloud® 资源。 共享公司用户目录中定义的某些属性的所有联合用户都将映射到公共概要文件,并且可以共享对 IBM Cloud 资源的访问权。 通过此公共身份,可以为共享访问权需求的组织成员自动访问资源一次,而不必将每个用户添加到帐户,然后直接或通过使用访问组授予这些用户访问权。
假设 Marla 是一家航空公司的开发团队的经理。 该团队计划在 IBM Cloud Kubernetes Service 集群上为其 HR Web 站点运行新的聊天机器人应用程序。 Marla 希望团队能够在测试环境中访问支持 IAM 的服务,以便开发人员能够完成日常工作。 Marla 还希望确保团队不会无意中在生产环境中执行操作。 在这种情况下,Marla 将创建两个可信概要文件: 一个名为 Chatbot Dev (test)
,另一个名为 Chatbot Ops (prod)
。
Marla 负责管理许多开发人员,通常需要大量时间才能将访问权单独分配给团队成员。 通过可信概要文件,Marla 可以自动授予联合用户对所需资源的访问权,而不必邀请他们加入帐户并一次分配一个访问权。 本教程使用可能与企业用户目录不同的虚构身份提供者属性。
准备工作
- 确保为您分配了以下访问权:
- 帐户中用于创建可信概要文件的管理员角色
- 对要向其分配访问权的特定资源的管理员角色
- 启用外部身份提供程序的身份验证。 有关更多信息,请参阅 从外部身份提供者启用认证。
- 创建以下服务的实例,并将其添加到本教程的资源组。
- IBM Cloud Kubernetes Service
- IBM Watson® Tone Analyzer
创建可信概要文件
首先,Marla 为测试环境创建可信概要文件:
- 转至 IBM Cloud 控制台中的 管理 > 访问权 (IAM),然后选择 可信概要文件。
- 单击创建个人资料。
- 将概要文件命名为
Chatbot Dev (test)
。 - 在描述中,列出要分配给概要文件的访问级别。 该描述可帮助您的团队从可信概要文件列表中快速识别不同的概要文件。 则在此例中:
- 平台: 查看者
- 服务: 读者
- 单击继续。
与联合用户建立信任
现在,Marla 创建了可信概要文件,她希望为可以应用此概要文件的联合用户建立条件。 为此,她根据公司用户目录中的属性创建条件。 马拉和一半的队员都是在爱尔兰,另一半则是在美国。
-
对于可信实体类型,请选择 联合用户。
-
对于认证方法,从列表中选择 由 IBM Cloud App ID联合的用户。
如果要创建可信概要文件以使用 IBM Cloud App ID的用户,那么您应该以 App ID 用户身份创建可信概要文件,同样应该为 IBMid创建可信概要文件。 这样,您自己的 SAML 属性可以让您了解如何构造可信概要文件条件。 具有相同 IdP 的其他用户可以具有不同的 SAML 属性,您应该仅使用自己的 SAML 属性作为提示。 要在声明中使用不同于您自己的属性,请手动输入这些属性。
-
选择您创建的缺省身份提供者 (IdP)。
-
单击 查看身份提供者 (IdP) 数据。 Marla 在以下步骤中使用此属性来查看她可以利用哪些属性来创建条件。
-
单击添加条件。
-
单击 过滤器属性,然后选择
country
。- 这些是个人数据中可用的属性。
-
将 限定符 设置为
Equals
。 -
对于 值,单击 手动添加 并输入
us
。 这样,Marla 可以输入未在个人身份提供者数据中分配的属性值。 -
单击 添加条件,然后重复步骤 6-8。 输入
ire
而不是us
。 -
再次单击 添加条件,然后单击 手动添加。
- 假设在公司用户目录中有一个名为
team
的属性,用于按经理标识员工的团队。 输入条件team
equalsmarla
。
- 假设在公司用户目录中有一个名为
-
再次单击 添加条件,然后单击 手动添加。
- 假设在公司用户目录中有一个名为
job-role
的属性,用于标识员工的工作角色。 输入条件job-role
equalsdev
。
- 假设在公司用户目录中有一个名为
-
将会话持续时间设置为 8 小时。
-
单击继续。
有关用于为可信概要文件创建条件的字段的更多信息,请参阅 IAM 条件属性。
分配访问权
Marla 创建了一些狭窄的条件,仅对在聊天机器人测试环境中工作的团队中的开发人员进行认证。 现在,她可以创建策略,为他们提供项目所需的 IBM Cloud 服务和平台访问权。
- 选择 访问策略
- 从服务列表中选择 Kubernetes Service。 单击下一步。
- 根据所选属性确定对 特定资源 的访问范围。
- 选择资源组。 Marla 可以选择或输入为聊天机器人项目创建的资源组的名称。
- 选择“查看者”和“读者”角色以定义访问范围,然后单击 复审。
- 单击 添加 以将策略配置添加到策略摘要。
- 从服务列表中选择 IBM Watson® Tone Analyzer。
- 根据所选属性确定对 特定资源 的访问范围。
- 选择资源组。 Marla 可以选择或输入为聊天机器人项目创建的资源组的名称。
- 选择“查看者”和“读者”角色以定义访问范围,然后单击 复审。
- 单击 添加 以将策略配置添加到策略摘要。
- 查看个人资料摘要,然后单击“创建”。
后续步骤
现在,您已了解了如何创建可信概要文件的基础知识,您可以创建 Chatbot Ops (prod)
可信概要文件,以便为需要更广泛特权的员工提供更多访问权。 要执行此操作,请重复步骤 1。 在步骤 2.11.a中,输入条件 job-role
等于 dev-lead
。 分配此概要文件的“编辑者”和“写入者”访问权。 有关更多信息,请参阅 创建可信概要文件。
您还可以使用 Activity Tracker 来监视哪些联合用户和计算资源应用可信概要文件。 有关更多信息,请参阅 监视可信概要文件的登录会话。