内容


了解应将哪些身份验证方法用于您的混合云

在混合环境中如何管理 IBM Cloud 用户

Comments

编者注:Bluemix 现已更名为 IBM Cloud。所有 Bluemix 产品、服务、支持等将继续提供,不加任何改变。了解更多信息。

简介

IBM Cloud 中的不同选项满足了多样化的用户身份验证需求。本文将介绍对 IBM Cloud 用户执行管理和身份验证的各种可能方法。如果您在使用专用或本地云,那么本文非常适合您。

IBM Cloud 环境的类型

在我们介绍不同的身份验证方法之前,您需要了解哪种环境最适合您的应用程序。IBM Cloud 中提供了两种部署方法

  1. IBM Cloud Public 提供了包括 Weather.com 这样的产品在内的 130 多个独特服务,以及数百万个正在运行的应用程序、容器、服务器等。开发人员可以立刻开始在 IBM Cloud 上运行他们的应用程序。
  2. IBM Cloud Dedicated 为企业提供了他们自己的云环境,以物理方式将硬件隔离在一个数据中心内。这种 IBM Cloud 环境是为单一客户创建的,只有一个租户,并在裸机和虚拟机的组合体上实现相应配备。

IBM Cloud 中的不同方法满足了多样化的用户管理需求。我们将介绍对用户执行管理和身份验证的各种可能方法。

支持的身份验证方法

IBMid

可用环境:Public 和 Dedicated

一个 IBMid 可用来访问多个 IBM 应用程序、试用服务、访问社区、获取支持、在线购买,等等。IBMid 由 IBMid 的所有者管理,它的属性(包括配置文件信息和密码)都存储在 IBM 服务器上。密码管理(更改密码或在忘记密码时获取新密码)是通过 IBM 页面完成的。IBMid 的密码策略必须遵从此处描述的一些限制。

具有 SAML 联邦功能的 IBMid

可用环境:Public 和 Dedicated

IBMid 还支持 IBM 客户和合作伙伴通过 IBMid 联邦将 IBMid 身份验证与其组织的 SAML 身份提供程序相结合。该支持使得组织的 SAML 身份提供程序能够处理所有利用 IBM Web 应用程序和云服务的用户。组织处理所有与密码相关的任务以及它的用户的身份验证。借助 IBMid 联邦,公司可以使用自己的登录页面和安全控件来保护对 IBM Cloud 应用程序或 IBM 服务的访问。

要获得关于 IBMid 联邦、前提条件和采用流程的细节,请参阅 IBMid 企业联邦采用指南

客户端和身份验证方法

对基于浏览器的 IBM Cloud 客户端的身份验证

IBM Cloud 控制台是一个基于浏览器的应用程序。要在 IBM Cloud 中对用户执行身份验证,需要使用 OAuth 2.0 协议。这意味着,IBM Cloud 身份验证组件向 IBM Cloud 控制台发出一个包含用户身份的 OAuth 2.0 令牌,而不管所选的身份验证方法为何。

图 1. 基于浏览器的 IBM Cloud 客户端的通用身份验证流
UI 身份验证流
UI 身份验证流

对于 IBMid 或具有 SAML 联邦功能的 IBMid,IBM Cloud 身份验证组件会将用户的浏览器重定向到另一个服务器,并利用该服务器的响应来检索用户的身份。

命令行和原生应用程序的身份验证

众所周知的利用 IBM Cloud 身份验证的原生应用程序包括:

所有应用程序(包括上述应用程序)都不会基于浏览器交互向 IBM Cloud 执行身份验证,而且拥有以下共同特征:

  • 提示输入凭证:这些应用程序会显示自有的用于输入用户名和密码的对话框。请注意,在您提供凭证时,您必须信任应用程序的来源。此应用程序的恶意软件版本可能捕获您的凭证。
  • 身份验证:这些应用程序通过 OAuth 2.0“密码授权”方法,将用户名和密码直接发送到 IBM Cloud 身份验证组件。

如果可能,IBM Cloud 身份验证组件会将用户名和密码发送到后端身份验证服务器。这适用于没有联邦功能的 IBMid,但不适用于具有 SAML 联邦功能的 IBMid。基础身份验证协议不支持兼容的身份验证机制。

要允许这些客户端向 IBM Cloud(以及这些配置)执行身份验证,可以使用 Web 浏览器获取一个“一次性密码”来登录这些应用程序。这种登录要求原生应用程序支持这种交互类型。下面的流程图展示了成功登录这些环境的操作序列:

图 2. 使用一次性密码的身份验证流
一次性密码身份验证
一次性密码身份验证

结束语

综上所述,我们通过一个表格总结了 4 种不同身份验证方法的特征。

表 1. 不同身份验证方法的特征
IBMid包含联邦用户的 IBMid
可用环境
IBM Cloud PublicXX
IBM Cloud DedicatedXX
密码管理和策略
IBMX
客户X
支持的应用程序类型
基于浏览器XX
使用凭证的 CLI/原生应用程序X
使用一次性密码的 CLI/原生应用程序XX
启用客户提供的双因素身份验证X
向 IBM Cloud Public 执行身份验证时无需重新登录XX

附录

IBMid/包含联邦用户的 IBMid 所需的信息

默认情况下,IBMid 是在 IBM Cloud Public 中激活并自动用于 IBM Cloud Dedicated,无需提供任何进一步细节。

如果客户想要让其 SAML 身份提供程序与 IBMid 建立联邦,则需要遵循此流程

联邦流程中的这些步骤与 Dedicated 或 Local 实例的配置无关,可在为客户配置 IBM Cloud 环境之前或之后执行。


相关主题


评论

添加或订阅评论,请先登录注册

static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=10
Zone=Security
ArticleID=1061496
ArticleTitle=了解应将哪些身份验证方法用于您的混合云
publish-date=05182017