Cloud Pak for Data as a Serviceのユーザー認証に App ID を使用するには、 IBM Cloud上のサービスとして App ID を構成します。 Azure Active Directoryなどの ID プロバイダー (IdP) を構成します。 次に、許可されたユーザーにアクセス権限を付与するために相互に通信するように App ID と ID プロバイダーを構成します。
App ID とアイデンティティー・プロバイダーが連携するように構成するには、以下の手順を実行します。
ID プロバイダーの構成
IBM Cloudと通信するように ID プロバイダーを構成するには、ID プロバイダーの SAML 構成に entityID および Location を入力します。 例として、 Azure Active Directory を構成するためのステップの概要を示します。 ID プロバイダーのプラットフォームの詳細な説明については、ID プロバイダーの資料を参照してください。
ID プロバイダーを使用して App ID を構成するための前提条件は以下のとおりです。
- IBM Cloud アカウント
- App ID インスタンス
- ID プロバイダー (例: Azure Active Directory )
SAML ベースのシングル・サインオン用に ID プロバイダーを構成するには、以下のようにします。
1. App ID から SAML メタデータ・ファイルをダウンロードして、 entityID および Locationの値を見つけます。 これらの値は、 IBM Cloud上の App ID との通信を確立するために、ID プロバイダー構成画面に入力されます。 (アイデンティティー・プロバイダーの対応する値に 1 次証明書を加えた値が App IDに入力されます。 App IDの構成を参照してください。
- App IDで、 「ID プロバイダー」>「SAML 2.0 連携」を選択します。
- appid-metadata.xml ファイルをダウンロードします。
- entityID および Locationの値を見つけます。
2. entityID および Location の値を SAML メタデータ・ファイルからコピーして、ID プロバイダーの対応するフィールドに貼り付けます。 Azure Active Directoryの場合、フィールドは、エンタープライズ・アプリケーション構成画面の 「セクション 1: 基本 SAML 構成 (Section 1: Basic SAML Configuration)」 にあります。
| App ID の値 | 「 Active Directory 」フィールド | 例 |
|---|---|---|
| entityID | ID (エンティティー ID) | urn:ibm:cloud:services: appid:value |
| 場所 | 応答 URL (アサーション・コンシューマー・サービス URL) | https://us-south.appid.cloud.ibm.com/saml2/v1/value/login-acs |
3. セクション 2: Attributes & Claims for Azure Active Directoryで、ユーザー名パラメーターを user.mail にマップして、ユーザーを固有の E メール・アドレスで識別します。 Cloud Pak for Data as a Service では、ユーザー名を user.mail 属性に設定する必要があります。 その他の ID プロバイダーの場合、ユーザーを一意的に識別する類似のフィールドを user.mailにマップする必要があります。
App ID の構成
App ID と ID プロバイダーの間の通信を確立するには、ID プロバイダーの SAML 値を対応する App ID フィールドに入力します。 Active Directory エンタープライズ・アプリケーションと通信するように App ID を構成する例を示します。
1. 「ID プロバイダー」>「SAML 2.0 「連携」 を選択し、 「SAML IdPからメタデータを提供」 セクションに入力します。
2. Active Directory (または ID プロバイダー) の セクション 3: SAML 証明書 から Base64 証明書をダウンロードし、 「1 次証明書 (Primary certificate)」 フィールドに貼り付けます。
3. セクション 4: Set up your-enterprise-application in Active Directory の値を、 IBM App IDの Provide metadata from SAML IdP の対応するフィールドにコピーします。
| App ID フィールド | Active Directory からの値 |
|---|---|
| エンティティー ID | Azure AD ID |
| サインイン URL | ログイン URL |
| 1 次証明書 | 証明書 (Base64) |
4. App ID ページで 「テスト」 をクリックして、 App ID が ID プロバイダーに接続できることをテストします。 ハッピー・フェイス応答は、 App ID が ID プロバイダーと通信できることを示しています。
IAM の構成
IBM Cloud IAM でユーザーに適切な役割を割り当てる必要があります。また、IAM で ID プロバイダーを構成する必要もあります。 ユーザーには、 すべての ID および IAM 対応サービスに対する ビューアー 以上の役割が必要です。
IBM Cloud IAM で ID プロバイダー参照を作成します。
ID プロバイダー参照を作成して、外部リポジトリーを IBM Cloud アカウントに接続します。
- 「管理」>「アクセス (IAM)」>「ID プロバイダー」にナビゲートします。
- タイプは、IBM Cloud App IDを選択します。
- 「作成」 をクリックします。
- アイデンティティー・プロバイダーの名前を入力します。
- App ID サービス・インスタンスを選択します。
- ユーザーをオンボードする方法を選択します。 Static は、ユーザーが初めてログインしたときにユーザーを追加します。
- 「アカウント・ログインを有効にしますか?」 にチェック・マークを付けて、ID プロバイダーのログインを有効にします。 ボックス。
- 複数の ID プロバイダーがある場合は、ボックスにチェック・マークを付けて、ID プロバイダーをデフォルトとして設定します。
- 「作成」 をクリックします。
App ID ログイン別名を変更します。
App IDのログイン別名が生成されます。 ユーザーは、 IBM Cloudにログオンするときに別名を入力します。 デフォルトの別名ストリングを変更して、覚えやすくすることができます。
- 「管理」>「アクセス (IAM)」>「ID プロバイダー」にナビゲートします。
- タイプとしてIBM Cloud App IDを選択します。
- 「デフォルトの IdP URL」 を編集して、より簡単にします。 例えば、
https://cloud.ibm.com/authorize/540f5scc241a24a70513961をhttps://cloud.ibm.com/authorize/my-companyに変更できます。 ユーザーは、 540f5scc241a24a70513961の代わりに別名 my-company でログインします。