Crear una instancia de App ID

1. Abra App ID desde el catálogo de IBM Cloud e inicie sesión si es necesario. Especifique los valores siguientes:
   • Para Seleccionar una ubicación, se recomienda mantenerla en la misma ubicación que el servicio Qiskit Runtime, que es Washington DC (us-east).
   • Seleccione un plan de precios:
     • El plan Lite es gratuito y suficiente para empezar. Si es necesario, puede actualizar sin problemas al nivel graduado más adelante.
     • El Nivel graduado se paga por evento y por usuario más allá de los límites de nivel lite. Este nivel da soporte a más características como, por ejemplo, la autenticación de multifactores. Al administrador de la nube como cuenta propietaria de la instancia de App ID se le cobran las tarifas correspondientes a las instancias de nivel graduado.
   • Complete los valores de Nombre de servicio (el nombre de instancia de App ID ), Grupo de recursos (si se está utilizando uno) y las etiquetas que desee.
2. Lea y acepte los términos y pulse Crear.

Configurar el proveedor de ID

Utilizaremos la prestación Directorio en la nube para añadir usuarios al proveedor de ID. Consulte la documentación deApp ID para obtener instrucciones sobre cómo integrar otros proveedores de ID en App ID.

1. Abra la lista de recursos deIBM Cloud, expanda la sección Servicios y software, busque la instancia de App ID y pulse su nombre para ver sus detalles.
2. Pulse Gestionar autenticación y deseleccione las opciones de inicio de sesión que no necesite, como Facebook y Google.
3. Vaya a Gestionar autenticación → Directorio en la nube → Configuración y elija si los inicios de sesión de usuario deben utilizar correo electrónico o nombres de usuario.
4. Opcional: Abra Gestionar autenticación → Cloud Directory → Políticas de contraseña para definir la fortaleza de contraseña.
5. Opcionalmente, abra Personalización de inicio de sesión y personalice el aspecto de la página de inicio de sesión.

Integre la instancia de App ID como proveedor de ID para la cuenta del administrador

1. Vaya a Gestionar → Acceso(IAM)→ Proveedores de identidad. Para Tipo, elija IBM Cloud App ID y, a continuación, haga clic en Crear.
2. Especifique un nombre y seleccione la instancia de App ID en la lista desplegable.
3. Seleccione el recuadro de selección para habilitar el proveedor de ID.
4. Se muestra el IdP URL. Comparta este URL con los usuarios cuando tengan que iniciar sesión.

Añadir una regla dinámica al grupo de acceso

El grupo de acceso necesita una regla dinámica para probar si se debe aplicar a un usuario de IDP cuando inicia la sesión.

Puesto que las reglas dinámicas se evalúan durante el inicio de sesión, los cambios se recogen la próxima vez que el usuario inicia la sesión.

1. Vaya a Gestionar → IAM → Grupos de acceso y pulse el grupo de acceso para abrir su página de detalles.
2. Haga clic en la pestaña Reglas dinámicas y, a continuación, haga clic en Añadir.
   • Especifique un nombre.
   • Para el método de autenticación, elija Usuarios federados por un ID de aplicación de IBM Cloud y, a continuación, seleccione el IDP en la lista desplegable Proveedor de identidad.
3. Pulse Añadir una condición, complete los valores siguientes y, a continuación, pulse Añadir.
   • En el campo Permitir usuarios cuando, especifique la clave de atributo que utiliza el administrador de IDP en los atributos de usuario del proveedor de ID, como por ejemplo project (esta serie es un convenio que se define durante la planificación).
   • Seleccione Contiene como Calificador.
   • En Valores, especifique el valor, como por ejemplo ml. Es el mismo valor que utiliza el administrador de IDP en la definición de perfil de usuario de IDP. Normalmente es el nombre del proyecto.
   • Es posible que desee aumentar la Duración de sesión para aumentar el periodo antes de que los usuarios deban volver a iniciar la sesión. Los usuarios que han iniciado sesión conservan su pertenencia al grupo de acceso durante ese periodo, y la reevaluación tiene lugar en el siguiente inicio de sesión.

Añadir usuarios

Cuando utiliza App ID como proveedor de ID con el directorio Cloud, puede crear usuarios en la interfaz de usuario de Cloud.

1. Abra la página de instancia de App ID desde la sección Servicios y software de lista de recursos.
2. Vaya a Gestionar autenticación → Directorio en la nube → Usuarios y pulse Crear usuario. Especifique los detalles de usuario.

Crear o modificar las asignaciones de proyecto de los usuarios

Si el administrador de IDP asignará usuarios a proyectos, puede definir valores de proyecto en los atributos del usuario.

1. Abra la página de instancia de App ID desde la sección Servicios y software de lista de recursos.

2. Vaya a Gestionar autenticación → Directorio en la nube → Usuarios y pulse un usuario para abrirlo.

3. Desplácese hacia abajo hasta Atributos personalizados y pulse Editar.

4. Especifique un par de clave-valor que puedan comprobar las reglas dinámicas de los grupos de acceso y, a continuación, pulse Guardar. Puede añadir varios valores en la misma serie (por ejemplo, {"project":"ml finance"}); el contiene calificador de la regla dinámica detecta una coincidencia de una subserie. Para nuestro ejemplo, añada:

   {"project":"ml"}
   

   El valor project corresponde al convenio definido en la sección de planificación. ml es el proyecto al que pertenece el usuario.

   Esta comprobación se realiza en cada inicio de sesión, por lo que los cambios en los atributos de usuario del proveedor de ID serán efectivos cuando un usuario inicie la sesión por próxima vez.

Flujo de usuario

1. A un usuario se le envía el URL del proveedor de ID para la cuenta de IBM Cloud.

   El administrador siempre puede ir a Gestionar → Acceso(IAM)→ Proveedores de identidad para buscar el URLdel proveedor de ID.

2. Para trabajar con instancias de servicio de Qiskit Runtime, los usuarios deben crear una clave de API yendo a (Gestionar → Acceso(IAM)→ Claves de API).

3. Para obtener más información, los usuarios pueden revisar Iniciación, Paso 2.

Escenario de ejemplo

En nuestro ejemplo, queremos crear la siguiente configuración:

• Tenemos dos proyectos, ml y finance.
  • El proyecto ml necesita acceso a las instancias de servicio QR-ml y QR-common.
  • El proyecto finance necesita acceso a las instancias de servicio QR-finance y QR-common.
• Tenemos tres usuarios:
  • Fatima necesita acceso al proyecto ml.
  • Ravi necesita acceso al proyecto finance.
  • Amyra necesita acceso a ambos proyectos.
• Utilizaremos grupos de acceso sin grupos de recursos.
• Los usuarios se definen en una instancia de App ID y las asignaciones de proyecto también se realizan allí.
• Los usuarios deben poder suprimir trabajos.

Los pasos para implementar esta configuración son:

1. El administrador de Cloud crea una instancia de App ID y se asegura de que esté enlazada en la cuenta del administrador de Cloud. El administrador anota el URL del proveedor de ID para compartirlo con los usuarios.

2. El administrador de nube crea tres instancias de servicio: QR-ml, QR finance y QR-common.

3. El administrador de nube crea una regla personalizada que incluye la acción quantum-computing.job.delete.

4. El administrador de nube crea dos grupos de acceso:

   • El grupo de acceso ml puede acceder a QR-ml y QR-common. Este grupo de acceso necesita una regla dinámica para el IDP App ID que acepta usuarios cuyo atributo project contiene ml.
   • El grupo de acceso finance puede acceder a QR-finance y QR-common. Este grupo de acceso necesita una regla dinámica para el IDP App ID que acepta usuarios cuyo atributo project contiene finance.

5. El administrador de IDP utiliza la instancia de App ID que el administrador de Cloud ha creado y define los tres usuarios:

   • Para Fátima, los atributos personalizados contienen {"project":"ml"}.
   • Para Ravi, los atributos personalizados contienen {"project":"finance"}.
   • Para Amyra, los atributos personalizados contienen {"project":"ml finance"}.

6. Los usuarios pueden iniciar sesión a través del URLdel proveedor de ID, crear claves de API y trabajar con las instancias de servicio de sus proyectos.

Próximos pasos

Para obtener más información, consulte consideraciones adicionales.