IBM Cloud Docs
使用标识提供程序管理标识提供程序用户

使用标识提供程序管理标识提供程序用户

App ID 将创建标识提供者,以便您可以直接在 App ID 中添加用户或连接到其他外部标识提供者。 本教程描述如何设置标识提供程序以使用没有 IBM Cloud 帐户的用户。

全新的 IBM 量子平台界面已发布,处于抢先体验模式。 建议您开始使用该界面来使用 IBM 量子服务。 因为它是建立在 IBM Cloud 上的,所以迁移非常简单。 详情请参阅 迁移指南

要通过 IBM Cloud管理用户,请参阅下列其中一个主题:

创建一个 App ID 实例

  1. 从 IBM Cloud 目录打开 App ID,必要时登录。 指定以下值:
    • 对于 选择位置,建议您将其保留在与 Qiskit Runtime 服务 (即 Washington DC (us-east)) 相同的位置。
    • 选择定价方案
      • Lite计划是免费的,足以满足入门需求。 如果需要,您可以在以后无缝升级到累进层。
      • 已毕业层 将按事件付费,并按超出 Lite 层限制的用户付费。 此层支持更多功能,例如多因子认证。 云管理员作为 App ID 实例的拥有帐户,将针对累进层实例收取任何费用。
    • 填写 服务名称 ( App ID 实例名称),资源组 (如果正在使用) 以及所需的任何标记的值。
  2. 阅读并同意条款,然后单击 创建

配置标识提供程序

我们将使用 Cloud Directory 功能向标识提供者添加用户。 请参阅 App ID 文档,以获取有关如何将其他标识提供程序集成到 App ID中的指示信息。

  1. 打开 IBM Cloud 资源列表,展开 服务和软件 部分,找到 App ID 实例,然后单击其名称以查看其详细信息。
  2. 单击 管理认证 并取消选择您不需要的任何登录选项,例如 Facebook 和 Google。
  3. 浏览至 管理认证Cloud Directory设置,并选择用户登录应使用电子邮件还是用户名。
  4. 可选: 打开 管理认证Cloud Directory密码策略 以定义密码强度。
  5. (可选) 打开 Login Customization 并定制登录页面的外观。

将 App ID 实例集成为管理员帐户的标识提供程序

  1. 转至 管理 → 访问(IAM)→ 身份提供者。 对于类型,请选择 IBM Cloud App ID,然后点击创建
  2. 指定名称并从下拉列表中选择 App ID 实例。
  3. 选中此复选框以启用标识提供程序。
  4. 将显示缺省 IdP URL。 当用户需要登录时,与他们共享此 URL。

为访问组添加动态规则

访问组需要动态规则来测试在 IDP 用户登录时是否应将其应用于 IDP 用户。

由于在登录期间将对动态规则进行求值,因此将在用户下次登录时选取任何更改。

  1. 浏览至 管理 → IAM → 访问组,然后单击您的访问组以打开其详细信息页面。
  2. 点击 “动态规则” 选项卡,然后点击“添加”。
    • 提供名称。
    • 对于身份验证方法,请选择由 IBM Cloud AppID联合的用户,然后从身份提供商下拉列表中选择IDP。
  3. 单击 添加条件,完成以下值,然后单击 添加
    • 允许用户时 字段中,输入 IDP 管理员在标识提供程序用户属性中使用的属性键,例如 project (此字符串是在规划期间定义的约定)。
    • 选择 包含 作为 限定符
    • 中,输入值,例如 ml。 这是 IDP 管理员在 IDP 用户概要文件定义中使用的相同值。 它通常是项目名称。
    • 您可能想要增加 会话持续时间 以增加用户必须重新登录之前的时间段。 已登录的用户在该时间段内保留其访问组成员资格,并在下次登录时进行重新评估。

添加用户

将 App ID 用作具有 Cloud 目录的标识提供者时,可以在 Cloud 用户界面中创建用户。

  1. 资源列表“服务和软件”部分打开 App ID 实例页面。
  2. 转至 管理认证Cloud Directory用户,然后单击 创建用户。 输入用户详细信息。

创建或修改用户的项目分配

如果 IDP 管理员将用户分配给项目,那么您可以在用户的属性中定义项目值。

  1. 资源列表“服务和软件”部分打开 App ID 实例页面。

  2. 转至 管理认证Cloud Directory用户,然后单击用户以将其打开。

  3. 向下滚动到 定制属性,然后单击 编辑

  4. 输入可由访问组的动态规则检查的键值对,然后单击 保存。 可以在同一字符串中添加多个值 (例如,{"project":"ml finance"}); 动态规则的 包含 限定符会检测到子串的匹配。 对于我们的示例,请添加:

    {"project":"ml"}

    project 对应于规划部分中定义的约定。ml 是用户所属的项目。

    此检查是在每次登录时执行的,因此标识提供程序用户属性中的更改将在用户下次登录时生效。

用户流

  1. 将向用户发送 IBM Cloud 帐户的标识提供者 URL。

    管理员始终可以转至 管理 → 访问(IAM)→ 身份提供者 以查找标识提供者 URL。

  2. 要使用 Qiskit Runtime 服务实例,用户必须通过转至 (管理 → 访问(IAM)→ API 密钥) 来创建 API 密钥。

  3. 有关更多信息,用户可以查看 入门,步骤 2

示例场景

在我们的示例中,我们要创建以下设置:

  • 我们有两个项目,mlfinance
    • ml 项目需要访问服务实例 QR-mlQR-common
    • finance 项目需要访问服务实例 QR-financeQR-common
  • 我们有三个用户:
    • Fatima 需要访问 ml 项目。
    • Ravi 需要访问 finance 项目。
    • 扁桃体需要参与这两个项目。
  • 我们将使用没有资源组的访问组。
  • 用户是在 App ID 实例中定义的,项目分配也是在该实例中完成的。
  • 用户应该能够删除作业。

实现此设置的步骤包括:

  1. 云管理员创建 App ID 实例,并确保在云管理员的帐户中链接该实例。 管理员记录标识提供程序 URL 以将其与用户共享。

  2. 云管理员将创建三个服务实例: QR-mlQR financeQR-common

  3. 云管理员将创建包含 quantum-computing.job.delete 操作的定制规则。

  4. 云管理员创建两个访问组:

    • ml 访问组可以访问 QR-mlQR-common。 此访问组需要 App ID IDP 的动态规则,该规则接受其 project 属性包含 ml 的用户。
    • finance 访问组可以访问 QR-financeQR-common。 此访问组需要 App ID IDP 的动态规则,该规则接受其 project 属性包含 finance 的用户。

  5. IDP 管理员使用云管理员创建的 App ID 实例并定义三个用户:

    • 对于 Fatima,定制属性包含 {"project":"ml"}
    • 对于 Ravi,定制属性包含 {"project":"finance"}
    • 对于扁桃体,定制属性包含 {"project":"ml finance"}

  6. 用户可以通过标识提供者 URL登录,创建 API 密钥以及使用其项目的服务实例。

后续步骤

有关更多信息,请参阅 其他注意事项