Wenn Sie App ID für die Benutzerauthentifizierung für Cloud Pak for Data as a Serviceverwenden möchten, konfigurieren Sie App ID als Service in IBM Cloud. Sie konfigurieren einen Identitätsprovider (IdP) wie Azure Active Directory. Anschließend konfigurieren Sie App ID und den Identitätsprovider für die Kommunikation miteinander, um berechtigten Benutzern Zugriff zu erteilen.
Gehen Sie wie folgt vor, um App ID und Ihren Identitätsprovider für die Zusammenarbeit zu konfigurieren:
- Identitätsprovider für die Kommunikation mit IBM Cloud
- App ID für die Kommunikation mit Ihrem Identifikations-Provider konfigurieren
- Konfigurieren Sie IAM, um die Anmeldung über Ihren Identitätsprovider zu aktivieren.
Identitätsprovider konfigurieren
Um Ihren Identitätsprovider für die Kommunikation mit IBM Cloudzu konfigurieren, müssen Sie die entityID und Location in Ihrer SAML-Konfiguration für Ihren Identitätsprovider eingeben. Als Beispiel wird eine Übersicht über die Schritte zum Konfigurieren von Azure Active Directory bereitgestellt. Detaillierte Anweisungen zur Plattform finden Sie in der Dokumentation zu Ihrem Identitätsprovider.
Voraussetzungen für die Konfiguration von App ID mit einem Identitätsprovider:
- Ein IBM Cloud -Account
- Eine App ID -Instanz
- Ein Identitätsprovider, z. B. Azure Active Directory
So konfigurieren Sie Ihren Identitätsprovider für SAML-basiertes Single Sign-on:
1. Laden Sie die SAML-Metadatendatei von App ID herunter, um die Werte für entityID und Locationzu suchen. Diese Werte werden in die Konfigurationsanzeige des Identitätsproviders eingegeben, um die Kommunikation mit App ID in IBM Cloudeinzurichten. (Die entsprechenden Werte vom Identitätsprovider sowie das primäre Zertifikat werden in App IDeingegeben. Siehe App ID).
- Wählen Sie in App ID Identitätsprovider > SAML 2.0 federationaus.
- Laden Sie die Datei appid-metadata.xml herunter.
- Suchen Sie die Werte für entityID und Location.
2. Kopieren Sie die Werte für entityID und Location aus der SAML-Metadatendatei und fügen Sie sie in die entsprechenden Felder Ihres Identitätsproviders ein. Für Azure Active Directorybefinden sich die Felder in Abschnitt 1: SAML-Basiskonfiguration in der Konfigurationsanzeige für Unternehmensanwendungen.
| Wert für App ID | Feld Active Directory | Beispiel |
|---|---|---|
| entityID | Kennung (Entitäts-ID) | urn:ibm:cloud:services: appid:wert |
| Standort | Antwort-URL (Assertion Consumer Service-URL) | https://us-south.appid.cloud.ibm.com/saml2/v1/value/login-acs |
3. In Abschnitt 2: Attributes & Claims für Azure Active Directoryordnen Sie den Parameter für den Benutzernamen user.mail zu, um die Benutzer anhand ihrer eindeutigen E-Mail-Adresse zu identifizieren. Cloud Pak for Data as a Service erfordert, dass Sie den Benutzernamen auf das Attribut user.mail setzen. Für andere Identitätsprovider muss ein ähnliches Feld, das Benutzer eindeutig identifiziert, user.mailzugeordnet werden.
App ID konfigurieren
Sie stellen die Kommunikation zwischen App ID und Ihrem Identitätsprovider her, indem Sie die SAML-Werte des Identitätsproviders in die entsprechenden Felder App ID eingeben. Es wird ein Beispiel für die Konfiguration von App ID für die Kommunikation mit einer Active Directory -Unternehmensanwendung bereitgestellt.
1. Wählen Sie Identitätsprovider > SAML 2.0 -Föderation aus und füllen Sie den Abschnitt Metadaten von SAML bereitstellen IdP aus.
2. Laden Sie das Zertifikat Base64 von Abschnitt 3: SAML-Zertifikate in Active Directory (oder Ihrem Identitätsprovider) herunter und fügen Sie es in das Feld Primäres Zertifikat ein.
3. Kopieren Sie die Werte aus Abschnitt 4: Richten Sie Ihre Unternehmensanwendung in Active Directory in die entsprechenden Felder unter Metadaten aus SAML bereitstellen IdP in IBM App ID.
| Feld App ID | Wert aus Active Directory |
|---|---|
| Entitäts-ID | Azure AD-Kennung |
| Anmelde-URL | Anmelde-URL |
| Primäres Zertifikat | Zertifikat (Base64) |
4. Klicken Sie auf Testen auf der Seite App ID , um zu testen, ob App ID eine Verbindung zum Identitätsprovider herstellen kann. Die Happy-Face-Antwort gibt an, dass App ID mit dem Identitätsprovider kommunizieren kann.
IAM konfigurieren
Sie müssen den Benutzern in IBM Cloud IAM die entsprechende Rolle zuweisen und Ihren Identitätsprovider in IAM konfigurieren. Benutzer benötigen mindestens die Rolle Anzeigeberechtigter für Alle für Identity and IAM aktivierten Services.
Identitätsproviderreferenz in IBM Cloud IAM erstellen
Erstellen Sie eine Identitätsproviderreferenz, um Ihr externes Repository mit Ihrem IBM Cloud -Konto zu verbinden.
- Navigieren Sie zu Verwalten > Zugriff (IAM) > Identitätsprovider.
- Als Typ wählen Sie IBM Cloud App ID.
- Klicken Sie auf Erstellen.
- Geben Sie einen Namen für den Identitätsprovider ein.
- Wählen Sie die Serviceinstanz App ID aus.
- Wählen Sie aus, wie Benutzer aufgenommen werden sollen. Static fügt Benutzer hinzu, wenn sie sich zum ersten Mal anmelden.
- Aktivieren Sie den Identitätsprovider für die Anmeldung, indem Sie die Option Für Kontoanmeldung aktivieren aktivieren. aktivieren.
- Wenn Sie über mehrere Identitätsprovider verfügen, legen Sie den Identitätsprovider als Standardidentitätsprovider fest, indem Sie das Kontrollkästchen aktivieren.
- Klicken Sie auf Erstellen.
Anmeldealias für App ID ändern
Für App IDwird ein Anmeldealias generiert. Benutzer geben den Aliasnamen ein, wenn sie sich bei IBM Cloudanmelden. Sie können die Standardaliaszeichenfolge ändern, um sie leichter zu merken.
- Navigieren Sie zu Verwalten > Zugriff (IAM) > Identitätsprovider.
- Wählen Sie als Typ IBM Cloud App ID.
- Bearbeiten Sie die Standard- IdP -URL , um sie zu vereinfachen.
https://cloud.ibm.com/authorize/540f5scc241a24a70513961kann beispielsweise inhttps://cloud.ibm.com/authorize/my-companygeändert werden. Benutzer melden sich mit dem Alias my-company anstelle von 540f5scc241a24a70513961an.
Weitere Informationen
- IBM Cloud: Authentifizierung verwalten
- IBM Cloud: Konfigurieren von föderierten Identitätsanbietern: SAML
- IBM Cloud docs: Welche SAML-Föderationsoptionen gibt es in IBM Cloud?
- Einrichten von IBM Cloud App ID mit Ihrem Azure Active Directory
- Wiederverwendung von bestehendem Red Hat SSO und Keycloak für Anwendungen, die auf IBM Cloud mit App ID laufen
Übergeordnetes Thema: Einrichten von IBM Cloud App ID (Beta)