IBM Cloud Docs
使用 IBM Cloud 管理标识提供者用户

使用 IBM Cloud 管理标识提供者用户

App ID 将创建标识提供者,以便您可以直接在 App ID 中添加用户或连接到其他外部标识提供者。 本教程描述如何设置标识提供程序以使用 IBM Cloud 用户,并提供用户访问环境的指示信息。

全新的 IBM 量子平台界面已发布,处于抢先体验模式。 建议您开始使用该界面来使用 IBM Quantum服务。 因为它是建立在 IBM Cloud 上的,所以迁移非常简单。 详情请参阅 迁移指南

要以不同方式管理用户,请遵循下列其中一个主题中的指示信息:

创建一个 App ID 实例

  1. 从 IBM Cloud 目录打开 App ID,必要时登录。 指定以下值:
    • 对于 选择位置,建议您将其保留在与 Qiskit Runtime 服务 (即 Washington DC (us-east)) 相同的位置。
    • 选择定价方案
      • Lite计划是免费的,足以满足入门需求。 如果需要,您可以在以后无缝升级到累进层。
      • 已毕业层 将按事件付费,并按超出 Lite 层限制的用户付费。 此层支持更多功能,例如多因子认证。 云管理员作为 App ID 实例的拥有帐户,将针对累进层实例收取任何费用。
    • 填写 服务名称 ( App ID 实例名称),资源组 (如果正在使用) 以及所需的任何标记的值。
  2. 阅读并同意条款,然后单击 创建

配置标识提供程序

我们将使用 Cloud Directory 功能向标识提供者添加用户。 请参阅 App ID 文档,以获取有关如何将其他标识提供程序集成到 App ID中的指示信息。

  1. 打开 IBM Cloud 资源列表,展开 服务和软件 部分,找到 App ID 实例,然后单击其名称以查看其详细信息。
  2. 单击 管理认证 并取消选择您不需要的任何登录选项,例如 Facebook 和 Google。
  3. 转至 管理认证Cloud Directory设置,并选择用户登录应使用电子邮件还是用户名。
  4. (可选) 转至 管理认证Cloud Directory密码策略 以定义密码强度。
  5. (可选) 打开 Login Customization 并定制登录页面的外观。

将 App ID 实例集成为管理员帐户的标识提供程序

  1. 转至 管理 → 访问(IAM)→ 身份提供者。 对于类型,请选择 IBM Cloud App ID,然后点击创建
  2. 指定名称并从下拉列表中选择 App ID 实例。
  3. 选中此复选框以启用标识提供程序。
  4. 将显示缺省 IdP URL。 当用户需要登录时,与他们共享此 URL。

添加用户

将 App ID 用作 Cloud 目录的标识提供者时,可以在 IBM Cloud 用户界面中创建用户。

  1. 资源列表“服务和软件”部分打开 App ID 实例页面。
  2. 转至 管理认证Cloud Directory用户,然后单击 创建用户。 输入用户详细信息。

创建或修改用户的项目分配

  1. 转至 管理 → 访问权(IAM)→ 用户,然后单击用户。 如果您未看到要管理的用户,请验证他们是否至少登录了一次 IBM Cloud。 请参阅 用户流程 中的步骤 1。

  2. 使用 分配组 添加访问组,或者通过单击三个点菜单并选择 除去用户从访问组中除去用户。

用户流

  1. 将向用户发送 IBM Cloud 帐户的标识提供者 URL。 他们使用此 URL 和登录信息来访问系统。 用户登录后应更改其密码。

    管理员始终可以转至 管理 → 访问(IAM)→ 身份提供者 以查找标识提供者 URL。

  2. 要使用 Qiskit Runtime 和访问服务实例,用户需要从 (管理 → 访问(IAM)→ API 密钥) 创建 API 密钥。

  3. 有关更多信息,用户可以查看 入门,步骤 2

示例场景

在我们的示例中,我们要创建以下设置:

  • 我们有两个项目,mlfinance
    • ml 项目需要访问服务实例 QR-mlQR-common
    • finance 项目应该有权访问服务实例 QR-financeQR-common
  • 我们有三个用户:
    • Fatima 需要访问 ml 项目。
    • Ravi 需要访问 finance 项目。
    • 扁桃体需要参与这两个项目。
  • 我们将使用没有资源组的访问组。
  • 用户在 IBM Cloud 中定义,但项目分配在 App ID 实例中完成。
  • 用户应该能够删除作业。

实现此设置的步骤包括:

  1. 云管理员创建 App ID 实例,并确保在云管理员的帐户中链接该实例。 管理员记录标识提供程序 URL 以将其与用户共享。

  2. 云管理员将创建三个服务实例: QR-mlQR financeQR-common

  3. 云管理员将创建包含 quantum-computing.job.delete 操作的定制规则。

  4. 云管理员创建两个访问组:

    • ml 访问组可以访问 QR-mlQR-common。 此访问组需要 App ID IDP 的动态规则,该规则接受其 project 属性包含 ml 的用户。
    • finance 访问组可以访问 QR-financeQR-common。 此访问组需要 App ID IDP 的动态规则,该规则接受其 project 属性包含 finance 的用户。

  5. 标识提供者管理员在 IBM Cloud 用户界面中定义三个用户。

  6. 用户至少登录一次。

  7. 云管理员通过将用户添加到授权他们访问项目的访问组来分配访问权:

    • Fatima 被授予对 ml 项目的访问权。
    • 向 Rvi 授予对 finance 项目的访问权。
    • 将授予对 mlfinanace 项目的访问权。

  8. 用户可以通过标识提供者 URL登录,创建 API 密钥以及使用其项目的服务实例。

后续步骤