使用标识提供程序管理标识提供程序用户
App ID 将创建标识提供者,以便您可以直接在 App ID 中添加用户或连接到其他外部标识提供者。 本教程描述如何设置标识提供程序以使用没有 IBM Cloud 帐户的用户。
全新的 IBM 量子平台界面已发布,处于抢先体验模式。 建议您开始使用该界面来使用 IBM 量子服务。 因为它是建立在 IBM Cloud 上的,所以迁移非常简单。 详情请参阅 迁移指南。
要通过 IBM Cloud管理用户,请参阅下列其中一个主题:
创建一个 App ID 实例
- 从 IBM Cloud 目录打开 App ID,必要时登录。 指定以下值:
- 对于 选择位置,建议您将其保留在与 Qiskit Runtime 服务 (即
Washington DC (us-east)
) 相同的位置。 - 选择定价方案:
- Lite计划是免费的,足以满足入门需求。 如果需要,您可以在以后无缝升级到累进层。
- 已毕业层 将按事件付费,并按超出 Lite 层限制的用户付费。 此层支持更多功能,例如多因子认证。 云管理员作为 App ID 实例的拥有帐户,将针对累进层实例收取任何费用。
- 填写 服务名称 ( App ID 实例名称),资源组 (如果正在使用) 以及所需的任何标记的值。
- 对于 选择位置,建议您将其保留在与 Qiskit Runtime 服务 (即
- 阅读并同意条款,然后单击 创建。
配置标识提供程序
我们将使用 Cloud Directory 功能向标识提供者添加用户。 请参阅 App ID 文档,以获取有关如何将其他标识提供程序集成到 App ID中的指示信息。
- 打开 IBM Cloud 资源列表,展开 服务和软件 部分,找到 App ID 实例,然后单击其名称以查看其详细信息。
- 单击 管理认证 并取消选择您不需要的任何登录选项,例如 Facebook 和 Google。
- 浏览至 管理认证 → Cloud Directory → 设置,并选择用户登录应使用电子邮件还是用户名。
- 可选: 打开 管理认证 → Cloud Directory → 密码策略 以定义密码强度。
- (可选) 打开 Login Customization 并定制登录页面的外观。
将 App ID 实例集成为管理员帐户的标识提供程序
- 转至 管理 → 访问(IAM)→ 身份提供者。 对于类型,请选择 IBM Cloud App ID,然后点击创建。
- 指定名称并从下拉列表中选择 App ID 实例。
- 选中此复选框以启用标识提供程序。
- 将显示缺省 IdP URL。 当用户需要登录时,与他们共享此 URL。
为访问组添加动态规则
访问组需要动态规则来测试在 IDP 用户登录时是否应将其应用于 IDP 用户。
由于在登录期间将对动态规则进行求值,因此将在用户下次登录时选取任何更改。
- 浏览至 管理 → IAM → 访问组,然后单击您的访问组以打开其详细信息页面。
- 点击 “动态规则” 选项卡,然后点击“添加”。
- 提供名称。
- 对于身份验证方法,请选择由 IBM Cloud AppID联合的用户,然后从身份提供商下拉列表中选择IDP。
- 单击 添加条件,完成以下值,然后单击 添加。
- 在 允许用户时 字段中,输入 IDP 管理员在标识提供程序用户属性中使用的属性键,例如
project
(此字符串是在规划期间定义的约定)。 - 选择 包含 作为 限定符。
- 在 值中,输入值,例如
ml
。 这是 IDP 管理员在 IDP 用户概要文件定义中使用的相同值。 它通常是项目名称。 - 您可能想要增加 会话持续时间 以增加用户必须重新登录之前的时间段。 已登录的用户在该时间段内保留其访问组成员资格,并在下次登录时进行重新评估。
- 在 允许用户时 字段中,输入 IDP 管理员在标识提供程序用户属性中使用的属性键,例如
添加用户
将 App ID 用作具有 Cloud 目录的标识提供者时,可以在 Cloud 用户界面中创建用户。
- 从 资源列表“服务和软件”部分打开 App ID 实例页面。
- 转至 管理认证 → Cloud Directory → 用户,然后单击 创建用户。 输入用户详细信息。
创建或修改用户的项目分配
如果 IDP 管理员将用户分配给项目,那么您可以在用户的属性中定义项目值。
-
从 资源列表“服务和软件”部分打开 App ID 实例页面。
-
转至 管理认证 → Cloud Directory → 用户,然后单击用户以将其打开。
-
向下滚动到 定制属性,然后单击 编辑。
-
输入可由访问组的动态规则检查的键值对,然后单击 保存。 可以在同一字符串中添加多个值 (例如,
{"project":"ml finance"}
); 动态规则的 包含 限定符会检测到子串的匹配。 对于我们的示例,请添加:{"project":"ml"}
值
project
对应于规划部分中定义的约定。ml
是用户所属的项目。此检查是在每次登录时执行的,因此标识提供程序用户属性中的更改将在用户下次登录时生效。
用户流
-
将向用户发送 IBM Cloud 帐户的标识提供者 URL。
管理员始终可以转至 管理 → 访问(IAM)→ 身份提供者 以查找标识提供者 URL。
-
要使用 Qiskit Runtime 服务实例,用户必须通过转至 (管理 → 访问(IAM)→ API 密钥) 来创建 API 密钥。
-
有关更多信息,用户可以查看 入门,步骤 2。
示例场景
在我们的示例中,我们要创建以下设置:
- 我们有两个项目,
ml
和finance
。ml
项目需要访问服务实例QR-ml
和QR-common
。finance
项目需要访问服务实例QR-finance
和QR-common
。
- 我们有三个用户:
- Fatima 需要访问
ml
项目。 - Ravi 需要访问
finance
项目。 - 扁桃体需要参与这两个项目。
- Fatima 需要访问
- 我们将使用没有资源组的访问组。
- 用户是在 App ID 实例中定义的,项目分配也是在该实例中完成的。
- 用户应该能够删除作业。
实现此设置的步骤包括:
-
云管理员创建 App ID 实例,并确保在云管理员的帐户中链接该实例。 管理员记录标识提供程序 URL 以将其与用户共享。
-
云管理员将创建三个服务实例:
QR-ml
,QR finance
和QR-common
。 -
云管理员将创建包含
quantum-computing.job.delete
操作的定制规则。 -
云管理员创建两个访问组:
ml
访问组可以访问QR-ml
和QR-common
。 此访问组需要 App ID IDP 的动态规则,该规则接受其project
属性包含ml
的用户。finance
访问组可以访问QR-finance
和QR-common
。 此访问组需要 App ID IDP 的动态规则,该规则接受其project
属性包含finance
的用户。
-
IDP 管理员使用云管理员创建的 App ID 实例并定义三个用户:
- 对于 Fatima,定制属性包含
{"project":"ml"}
。 - 对于 Ravi,定制属性包含
{"project":"finance"}
。 - 对于扁桃体,定制属性包含
{"project":"ml finance"}
。
- 对于 Fatima,定制属性包含
-
用户可以通过标识提供者 URL登录,创建 API 密钥以及使用其项目的服务实例。
后续步骤
有关更多信息,请参阅 其他注意事项。