Typy uwierzytelniania

Istnieje możliwość skonfigurowania wielu typów uwierzytelniania dla pojedynczego logowania (SSO).

Następnie można uzyskać dostęp do konsoli IBM Cloud Pak za pomocą skonfigurowanego typu uwierzytelniania.

Obsługiwane są następujące typy uwierzytelniania:

• IBM udostępnił referencje (tylko administrator). Domyślny typ uwierzytelniania, który został skonfigurowany podczas instalowania produktu IBM Cloud Pak. Ta konfiguracja jest zwykle nazwą użytkownika i hasłem administratora. Instalator usług założycielskich generuje hasło dla domyślnej nazwy użytkownika admin, która jest rolą administratora klastra.
• Enterprise LDAP
• SAML Enterprise
• UwierzytelnianieOpenShift
• OpenID Connect

Uwaga: Uwierzytelnianie wielu czynników (MFA) korzysta z wielu technologii uwierzytelniania w celu zweryfikowania tożsamości użytkownika. Usługi założycielskie IAM obsługują MFA, leveraging third party identity provider MFA capability. Gdy IAM jest zintegrowany z dostawcą tożsamości osób trzecich za pośrednictwem protokołu SAML lub OIDC, program Cloud Pak może obsługiwać protokół MFA w celu uwierzytelniania użytkowników, gdy dostawca tożsamości aktywuje protokół MFA.

Po zainstalowaniu pakietu IBM Cloud Pak, uzyskując dostęp do konsoli, dostępne są opcje logowania. Opcje logowania można wyświetlić tylko dla typów uwierzytelniania, które są skonfigurowane w klastrze. Jeśli zostanie skonfigurowany tylko domyślny typ uwierzytelniania (IBM podanych referencji), nie będzie widoczna żadna opcja logowania. Następnie należy uzyskać dostęp do konsoli IBM Cloud Pak, korzystając z domyślnego typu uwierzytelniania.

Informacja cookie logowania do konsoli zapisuje typ uwierzytelniania wybierany przez 24 godziny. Gdy użytkownik uzyskuje dostęp do strony logowania w ciągu 24 godzin, zostanie wyświetlona strona logowania dla tego samego typu uwierzytelniania. Klikając opcję Zmień typ uwierzytelniania, można wybrać inny typ uwierzytelniania.

Uwaga: W przypadku usunięcia serwera Enterprise LDAP lub wyłączenia konfiguracji Enterprise SAML z klastra najpierw należy wyczyścić pamięć podręczną przeglądarki przed uzyskem dostępu do strony logowania do konsoli.

Ustawianie preferowanych opcji logowania

W przypadku konfigurowania wielu typów uwierzytelniania w klastrze wszystkie skonfigurowane typy są wyświetlane na stronie logowania do konsoli jako opcje uwierzytelniania.

Jeśli chcesz, aby strona logowania konsoli była wyświetlana dowolnie lub wybrany zestaw skonfigurowanych opcji logowania, możesz ustawić preferowane opcje logowania.

Aby ustawić preferowane opcje logowania przed instalacją usługi IAM, należy zapoznać się z informacjami na temat ustawiania preferowanych opcji logowania w sekcji Konfigurowanie usług założycielskich przez edycję zasobu niestandardowego CommonService.

Aby ustawić preferowane opcje logowania po instalacji usługi IAM, wykonaj następujące kroki:

1. Zaloguj się do węzła infrastruktury, korzystając z komendy oc login.

2. Edytuj konfigurację platform-auth-idp configmap.

   oc edit cm platform-auth-idp --n ibm-common-services
   

   W sekcji danych jest widoczna definicja danych PREFERRED_LOGIN , która nie ma ustawionych wartości domyślnych.

3. Dodaj opcje logowania, które mają być wyświetlane na stronie cosole. Na przykład: PREFERRED_LOGIN: "SAML","LDAP","OIDC". Użyj następujących wartości parametrów:
   • W przypadku uwierzytelniania domyślnego należy użyć opcji DEFAULT .
   • W przypadku korporacyjnego katalogu LDAP należy użyć LDAP
   • W przypadku korporacji SAML należy użyć SAML
   • W przypadku uwierzytelniania OpenShift należy użyć opcji ROKS
   • W przypadku produktu OpenID Connect należy użyć produktu OIDC .

4. Zrestartuj program auth-idp , usuwając go.

   1. Pobierz nazwę sekcji auth-idp.

      oc get pods -n ibm-common-services | grep auth-idp
      

      Poniżej znajduje się przykładowy wynik:

      auth-idp-785df784f5-qcx4z                          4/4     Running   0          39d
      

   2. Usuń sekcję auth-idp.

      oc delete pod <auth-idp-pod-name> -n ibm-common-services
      

   3. Zrestartuj program common-web-ui , usuwając go.
   4. Pobierz wspólną nazwę-web-ui pod nazwę.

      oc get pods -n ibm-common-services | grep common-web-ui
      

   5. Usuń sekcję common-web-ui .

      oc delete pod <common-web-ui-pod-name> -n ibm-common-services
      

   Po restarcie pods preferowane opcje logowania są widoczne na stronie logowania do konsoli.

Korzystanie z usług założycielskich IAM na potrzeby uwierzytelniania

Użytkownik może zalogować się do konsoli OpenShift Container Platform , korzystając z usług założycielskich lub referencji dostępu do programu IBM Cloud Pak. Więcej informacji na ten temat zawiera sekcja Konfigurowanie usług foundational services IAM dla pojedynczego logowania.