目次


ハイブリッド・クラウドに使用する認証方式を把握する

ハイブリッド環境内で IBM Cloud ユーザーを管理する方法

Comments

編集者の注記: Bluemix は IBM Cloud として生まれ変わりました。Bluemix のすべての製品、サービス、サポートなどは引き続き無償で提供されます。詳細については、このリンク先のページをご覧ください。

IBM Cloud 内でのさまざまな選択肢には、ユーザー認証に関する多様な要件が伴います。この記事では、IBM Cloud ユーザーを管理および認証する際に選択できる各種の方法について説明します。専用クラウドまたはローカル・クラウドを使用している使用しているとしたら、この記事はまさにうってつけです。

IBM Cloud 環境のタイプ

さまざまな認証方式についての説明を読む前に、皆さんのアプリケーションには、どの環境が最適であるかを判断してください。IBM Cloud 内では、次の 2 つのデプロイメント方法を選択できます。

  1. IBM Cloud Public。Weather.com などのオファリングをはじめとする 130 を超える優れたサービスを利用して、数百万ものアプリケーション、コンテナー、サーバーなどを実行できます。開発したアプリケーションは、すぐに IBM Cloud 上で実行できます。
  2. IBM Cloud Dedicated。企業はデータ・センター内にハードウェアを物理的に隔離した状態で、専用のクラウド環境を利用できます。シングル・テナント型で、ベアメタルと仮想マシンの組み合わせを使用してプロビジョニングされるこの IBM Cloud 環境は、単一の顧客専用に作成されます。

IBM Cloud 内でのこれらの選択肢には、ユーザーの管理に関する多様な要件が伴います。この記事では、IBM Cloud ユーザーを管理および認証する方法として考えられる、さまざまな可能性について説明します。

サポートされる認証方式

IBMid

利用できる環境: Public、Dedicated

IBMid は、IBM のアプリケーション、サービス・トライアル、コミュニティー、サポート、オンライン購入などへのアクセスを提供します。IBMid はその所有者とプロパティーによって管理されます。管理に使用されるプロパティーにはプロファイル情報とパスワードが含まれ、どちらも IBM サーバー上に保管されます。パスワード管理 (パスワードの変更や、パスワードを忘れた場合の新しいパスワードの取得) は、IBM のページから行います。IBMid のパスワード・ポリシーには、このリンク先のページで説明されている特定の制約が適用されます。

SAML を使用した IBMid フェデレーション

利用できる環境: Public、Dedicated

また、IBMid には、IBM の顧客やパートナーが IBMid フェデレーションによって組織の SAML アイデンティティー・プロバイダーに IBMid 認証を統合する際のサポートも用意されています。このサポートにより、組織の SAML アイデンティティー・プロバイダーは IBM の Web アプリケーションとクラウド・サービスを利用しているユーザーのすべてを管理できるようになります。パスワードに関連するすべてのタスクと組織のユーザーの認証は、組織が処理します。企業は IBMid フェデレーションにより、独自のログイン・ページとセキュリティー・コントロールを使用して、IBM クラウド・アプリや IBM サービスへのアクセスをセキュリティーで保護することができます。

IBMid フェデレーションとその前提条件および導入プロセスについては、このリンク先の「IBMid Enterprise Federation Adoption Guide」を参照してください。

クライアントと認証方式

ブラウザー・ベースの IBM Cloud クライアントの場合の認証

IBM Cloud コンソールは、ブラウザー・ベースのアプリケーションです。IBM Cloud 内では、ユーザーの認証に OAuth 2.0 プロトコルが使用されます。つまり、IBM Cloud 認証コンポーネントは IBM Cloud コンソールに対し、ユーザーのアイデンティティーを含めた OAuth 2.0 トークンを発行します。このことは、どの認証方式を選択したとしても変わりません。

図 1. ブラウザー・ベースの IBM Cloud クライアントの場合の一般的な認証フロー
UI での認証フローを示す図
UI での認証フローを示す図

IBMid または、SAML を使用した IBMid フェデレーションの場合、IBM Cloud 認証コンポーネントはユーザーのブラウザーを別のサーバーにリダイレクトし、そのサーバーのレスポンスからユーザーのアイデンティティーを取得します。

コマンド・ラインおよびネイティブ・アプリケーションの場合の認証

IBM Cloud 認証を利用するネイティブ・アプリーションとしては、以下のアプリケーションが広く知られています。

上記を含め、すべてのアプリケーションがブラウザー・ベースのやりとりで IBM Cloud に対する認証を行って以下の共通の特性を共有するわけではありません。

  • 資格情報の要求: ネイティブ・アプリケーションはそれぞれに独自のダイアログを表示してユーザー名とパスワードの入力を求めます。資格情報を提供する際は、アプリケーションのソースを信頼しなければならないことに注意してください。このアプリケーションのマルウェア・バージョンが資格情報をキャプチャーするかもしれません。
  • 認証情報の検証: これらのアプリケーションは OAuth 2.0 の「パスワード付与」メソッドを使用して、ユーザー名とパスワードを直接 IBM Cloud 認証コンポーネントに送信します。

IBM Cloud 認証コンポーネントは、可能な場合はバックエンドの認証サーバーにユーザー名とパスワードを送信します。この方法は、IBMid にフェデレーションを使用しないのであれば有効ですが、SAML を使用した IBMid フェデレーションには無効です。基礎となる認証プロトコルでは、互換性のある認証メカニズムをサポートしていません。

これらのクライアントが IBM Cloud (および構成) を使用して認証を行えるようにするには、Web ブラウザーを使用して、アプリケーションにログインするための「一度限りのパスコード」を取得するという方法があります。このようにログインする場合、ネイティブ・アプリケーションが、このタイプのやりとりをサポートする必要があります。以下のフロー図に、これらの環境用の正常なログインの流れを示します。

図 2. 一度限りのパスコードを使用した認証フロー
一度限りのパスワードを使用した認証フローを示すスクリーンショット
一度限りのパスワードを使用した認証フローを示すスクリーンショット

まとめ

まとめとして、4 つの異なる認証メソッドそれぞれの特性を 1 つの表に記載します。

表 1. 認証方式ごとの特性
IBMidフェデレーテッド・ユーザーを使用した IBMid
利用できる環境
IBM Cloud PublicXX
IBM Cloud DedicatedXX
パスワード管理およびポリシー
IBMX
顧客X
サポートされるアプリケーションのタイプ
ブラウザー・ベースXX
資格情報を使用した CLI/ネイティブX
一度限りのパスコードを使用した CLI/ネイティブXX
顧客提供の 2 要素認証への対応X
再ログインなしの IBM Cloud Public に対する認証XX

付録

IBMid/フェデレーテッド・ユーザーを使用した IBMid に必要な情報

IBMid は、IBM Cloud Public 内ではデフォルトでアクティブになり、IBM Cloud Dedicated では詳細情報を入力せずに自動的に使用されます。

SAML アイデンティティー・プロバイダーに IBMid を統合する場合は、このリンク先のページで説明されているプロセスに従う必要があります。

フェデレーション・プロセスのステップは、Dedicated または Local インスタンスの構成とは関係しないため、IBM Cloud 環境を顧客用に構成する前でも構成した後でも実行できます。


ダウンロード可能なリソース


関連トピック


コメント

コメントを登録するにはサインインあるいは登録してください。

static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=60
Zone=セキュリティ
ArticleID=1052894
ArticleTitle=ハイブリッド・クラウドに使用する認証方式を把握する
publish-date=05172018