管理 Cloud Pak for Data 用户
升级至 IBM Software Hub 版本 5.1 ,在 4.8 版本达到支持 IBM Cloud Pak for Data 终止前完成升级。 有关更多信息,请参阅从 IBM Cloud Pak for Data 版本 4.8 升级到 IBM 的说明: Software Hub 版本 5.1。
作为管理员,您负责确定并实施最佳方案来验证和管理 IBM Cloud Pak for Data 用户。
最佳实践
Cloud Pak for Data 用户记录存储在内部存储库数据库中。 但是,强烈建议您使用企业级密码管理解决方案(如 SAML SSO 或 LDAP 提供程序)进行密码管理。
您可以将 SAML SSO 和 LDAP 一起使用,也可以单独使用。
- SAML SSO
- 若计划使用SAML实现单点登录(SSO),强烈建议您在添加用户前完成《 配置单点登录》 中的所有步骤。
如果在配置 SSO 之前添加用户,那么需要使用用户的 SAML 标识重新添加用户以支持他们使用 SSO。
- LDAP
- 可以使用企业级 LDAP 提供程序进行密码管理。
有关详细信息,请参阅连接到身份提供商。
请确保在您的LDAP服务器中为用户授予 Cloud Pak for Data 管理员权限。
授予LDAP用户管理员权限后,可通过禁用默认管理员用户账户进一步增强系统 Cloud Pak for Data 安全性。 有关详细信息,请参阅禁用默认平台管理员。
- SAML SSO 和 LDAP
- 若需同时使用 SAML 单点登录和 LDAP,必须确保两者配置均采用相同的用户识别属性:
- SAML SSO 配置:fieldToAuthenticate
- LDAP:用户搜索字段
用户管理
管理员 Cloud Pak for Data 可以管理用户和组在平台上的权限。 然而,用户和组在服务、目录和项目中可能拥有额外的权限。 例如,用户可以是项目管理员,也可以是 平台连接 目录上的编辑者。
用户或组可以具有多个角色。 此外,用户可以具有直接向其分配的角色及其从组中继承的角色。
如果一个用户有多个角色,该用户就具有分配给自己的所有角色中的所有许可权。
要获取用户拥有的所有许可权的摘要,请单击查看所分配许可权。
如果更新用户的角色或其组成员资格,并且该用户已登录,那么该用户必须注销并重新登录,更改才能生效。 如果用户不注销,其会话将在达到 TOKEN_EXPIRY_TIME 后刷新。 有关详细信息,请参阅设置空闲会话超时。
- 您是否使用 IBM Cloud Pak foundational servicesIdentity Management Service 来管理用户?
- 若未使用 Identity Management Service:
- 是否要使用 LDAP 服务器来管理用户的密码?
- 是否要使用 LDAP 服务器来管理对平台的访问权?
弃用通知: 由 提供的 Cloud Pak for Data LDAP 集成已被弃用,将在未来的版本中移除。 若需使用LDAP服务器管理用户,您应 集成到 Identity Management Service - 是否要使用用户组来管理具有类似访问需求的用户?
- 是否希望能够将 LDAP 组中的所有用户添加到用户组?
- 缺省角色是否满足我的业务需求?
跳至相应的主题以获取更多信息: