IBM Cloud のログイン・シーケンス

IBM Cloud App ID へのログイン方法についての詳細を理解するために、以下のログイン・シーケンス・フローを確認してください。ここでは、フェデレーテッド・ユーザー、非フェデレーテッド・ユーザー、および IBM Cloud® ID およびアクセス管理 (IAM) に接続された SAML プロバイダーを使用して IBM Cloud を介して追加されたユーザーに分けて説明します。

IBMid での非フェデレーテッド・ユーザーのログイン・シーケンス

IBM Cloud のフェデレーテッドでないユーザーの標準的なログイン・シーケンスは、以下の順序で実行されます。

Login process for non-federated users with an IBMid
Login process for non-federated users with an IBMid

  1. ユーザーがブラウザーで URL https://cloud.ibm.com にアクセスすることによって、このシーケンスを開始します。 IBM Cloud コンソールはブラウザーにログイン・ページを送り返します。
  2. ログイン・ページでユーザーは、ユーザー名を入力して「続行」をクリックし、パスワードを入力してから「ログイン」をクリックしてこの情報をコンソールに送信します。
  3. ユーザー名とパスワードの組み合わせがコンソールから IBM Cloud の IAM コンポーネントに転送されます。
  4. IAM は、IBMid システムを使用してユーザー名とパスワードの組み合わせが正しいかどうかを検証します。
  5. 検証が正常に完了すると、IAM は、コンソールに成功応答を返し、1 つの URL を提供します。これは、ユーザーがログイン・シーケンスを完了できるようにするためにコンソールからユーザーのブラウザーに送信する必要のある URL です。
  6. ブラウザーは、リダイレクト命令を取り込んで IAM にナビゲートされ、IBM Cloud がログイン・シーケンスを完了できるようになります。 このブラウザー・リダイレクトは、ユーザーによるログイン資格情報の再入力を防ぐために必要なシングル・サインオン Cookie をユーザーのブラウザーに設定するために必要です。
  7. 次に IAM は、OAuth2 準拠のリダイレクトを許可コードと共にブラウザーに送信することによって、コンソールとの認証フローを完了します。
  8. ブラウザーはコンソールに許可コードを提供します。このコードは、IAM から必要なトークンを取得するために使用されます。
  9. コンソールがトークンを受け取ると、ログイン・シーケンスは終了します。 これでコンソールは、IBM Cloud API を起動してユーザーを識別することが可能になりました。
  10. コンソールには、ユーザー固有のコンテンツを取り込んだダッシュボードが表示されます。

IBMid でのフェデレーテッド・ユーザーのログイン・シーケンス

IBMid を使用するエンタープライズのお客様は、お客様のユーザー認証/許可システムを IBMid と統合することができます。 こうすることで、ユーザーは別のユーザーIDを管理する必要がなくなる。 むしろ、いつも使用しているお客様管理のユーザー ID を使用して、IBM Cloud にログインすることができます。 IBM Cloud のフェデレーテッド・ユーザーのログイン・シーケンスは、以下の順序で実行されます。

IBMid
IBMid

  1. ユーザーがブラウザーで URL https://cloud.ibm.com にアクセスすることによって、このシーケンスを開始します。 IBM Cloud コンソールはブラウザーにログイン・ページを送り返します。
  2. ログイン・ページでユーザーはユーザー名を入力します。
  3. クリックして次に進むと、IBM Cloud コンソールは、ユーザーのブラウザーを IBM Cloud の IAM コンポーネントにリダイレクトします。 リダイレクトの一環として、既に入力されたユーザー名が送信されます。
  4. IAM は、そのユーザー名を手掛かりにして、ログイン・シーケンスを実行するために使用する ID プロバイダー (IdP) を判別することができます。 それで IAM は、リダイレクト要求をユーザーのブラウザーに送り返します。
  5. ブラウザーはリダイレクトを完了し、エンタープライズのお客様のログイン・ページを表示します。 この対話では、SAML 要求がエンタープライズのお客様のユーザー認証/許可システムに送信されます。
  6. エンタープライズのお客様のシステムは、ユーザーの資格情報を検証した後、リダイレクト命令をユーザーのブラウザーに送信します。 このリダイレクトの一環として渡される SAML 応答には、ユーザーを記述するアサーションと、そのユーザーの追加属性が格納されます。
  7. ブラウザーはリダイレクトを完了し、アサーションを含んだ SAML 応答を IBMid に送信します。
  8. IBMid は SAML 応答を検証し、ユーザーを IBMid にマップします。
  9. IBMid は、リダイレクトを許可コードと共にユーザーのブラウザーに送信し、OpenID Connect 標準に従って認証フローを続行します。
  10. ブラウザーは IAM にアクセスして許可コードを提供します。これにより、IAM は OpenID Connect 標準を使用して IBMid から必要なトークンを取得できるようになります。
  11. IBMid が必要なトークンを提供すると、IAM は、OAuth2 準拠のリダイレクトを許可コードと共にブラウザーに送信することによって、コンソールとの認証フローを完了します。
  12. ブラウザーはコンソールに許可コードを提供します。このコードは、IAM から必要なトークンを取得するために使用されます。
  13. コンソールがトークンを受け取ると、ログイン・シーケンスは終了します。 これでコンソールは、IBM Cloud API を起動してユーザーを識別することが可能になりました。
  14. コンソールには、ユーザー固有のコンテンツを取り込んだダッシュボードが表示されます。

SAML パートナーと接続されている App ID のログイン・シーケンス

App ID インスタンスを使用することにより、外部 IdP と統合して自分のアカウントに対する外部ユーザーの認証をセキュアに行う場合、ログイン・シーケンスは以下の順序で実行されます。 このタイプの認証について詳しくは、外部 ID プロバイダーからの認証の有効化を参照してください。

SAML パートナーと接続している インスタンスから接続しているユーザーのログインプロセス パートナーと接続している インスタンスから接続しているユーザーのログインプロセス パートナーと接続している インスタンスから接続しているユーザーのログインプロセス App ID
SAML App ID

  1. ユーザーがブラウザーでアカウント固有の URL にアクセスすることによって、このシーケンスを開始します。 これは、https://cloud.ibm.com/authorize/<account id>またはhttps://cloud.ibm.com/authorize/<account alias>のいずれかです。 IBM Cloud コンソールにある IAM の「ID プロバイダー」構成ページでアカウント別名を構成することができます。

    正しいフェデレーテッド SAML パートナーを指定するために、特定の URL を使用する必要があります。

  2. IBM Cloud コンソール (つまり、コンソール) は、ユーザーのブラウザーを IBM Cloud の IAM コンポーネントにリダイレクトします。 リダイレクトの一環として、アカウント ID または別名が IAM に送信されます。

  3. IAM は、そのアカウント ID または別名を手掛かりにして、ログイン・シーケンスを実行するために必要な App ID インスタンスを判別します。 それで IAM は、リダイレクト要求をユーザーのブラウザーに送り返します。

  4. ブラウザーはリダイレクトを完了しますが、その最後に App ID で提供されたページが表示されます。 このページは即座に、SAML 要求を含んだリダイレクトをブラウザーに返します。

  5. その SAML 要求がエンタープライズのお客様のユーザー認証/許可システムに送信されます。

  6. エンタープライズのお客様のシステムは、ユーザーの資格情報を検証した後、リダイレクト命令をユーザーのブラウザーに送信します。 このリダイレクトの一環として渡される SAML 応答には、ユーザーを記述するアサーションと、そのユーザーの追加属性が格納されます。

  7. ブラウザーはリダイレクトを完了し、アサーションを含んだ SAML 応答を App ID インスタンスに送信します。

  8. App ID は、SAML 応答を検証した後、許可コードを含んだリダイレクトをブラウザーに送信し、OpenID Connect 標準に従って認証フローを続行します。

  9. ブラウザーは IAM にアクセスして許可コードを提供します。これにより、IAM は OpenID Connect 標準を使用して App ID から必要なトークンを取得できるようになります。

  10. App ID が必要なトークンを提供すると、IAM は、OAuth2 準拠のリダイレクトを許可コードと共にブラウザーに送信することによって、コンソールとの認証フローを完了します。

  11. ブラウザーはコンソールに許可コードを提供します。このコードは、IAM から必要なトークンを取得するために使用されます。

  12. コンソールがトークンを受け取ると、ログイン・シーケンスは終了します。 これでコンソールは、IBM Cloud API を起動してユーザーを識別することが可能になりました。

  13. ユーザー固有のコンテンツを含むダッシュボードが表示されます。

IBM Cloud SAML サービス・プロバイダーのログイン・シーケンス

IBM Cloud SAML サービスプロバイダを使用して、 アカウント外部ユーザーを安全に認証するために外部 IdP と統合することを選択した場合、ログインシーケンスは以下のシーケンスに従って動作します。 このタイプの認証について詳しくは、外部 ID プロバイダーからの認証の有効化を参照してください。

IBM Cloud SAML サービスプロバイダー サービスプロバイダー サービスプロバイダーから接続するユーザーのログインプロセス
IBM Cloud SAML

  1. ユーザーがブラウザーでアカウント固有の URL にアクセスすることによって、このシーケンスを開始します。 これは、https://cloud.ibm.com/authorize/<account id>またはhttps://cloud.ibm.com/authorize/<account alias>のいずれかです。 アカウント、 IBM Cloud コンソールの IAM Identity Provider 設定ページで設定できる。
  2. IBM Cloud コンソールは、ユーザーのブラウザを IBM Cloud のIAMコンポーネントにリダイレクトする。 リダイレクトの一環として、アカウント ID または別名が IAM に送信されます。
  3. その SAML 要求がエンタープライズのお客様のユーザー認証/許可システムに送信されます。
  4. エンタープライズのお客様のシステムは、ユーザーの資格情報を検証した後、リダイレクト命令をユーザーのブラウザーに送信します。 このリダイレクトの一環として渡される SAML 応答には、ユーザーを記述するアサーションと、そのユーザーの追加属性が格納されます。
  5. ブラウザはリダイレクトを完了し、 SAML レスポンスとアサーションを IAM に送信する。
  6. SAML レスポンスを検証した後、IAMはブラウザに認証コード付きの OAuth2 準拠のリダイレクトを送信することで、コンソールとの認証フローを終了する。
  7. ブラウザーはコンソールに許可コードを提供します。このコードは、IAM から必要なトークンを取得するために使用されます。
  8. コンソールがトークンを受け取ると、ログイン・シーケンスは終了します。 コンソールは IBM Cloud APIを呼び出し、ユーザーを特定できるようになった。
  9. ユーザー固有のコンテンツを含むダッシュボードが表示されます。