目的
IBM Cloudのコンソール(通称ポータル)を利用するには、IBM IDを作成してアカウントに招待してもらう必要がありますが、App IDを使ってSAML認証できるようになりましたので、検証してみます。
IBM IDではなくApp IDを使うメリットですが、
- IBM IDを取得しなくてよい
- ユーザーが増えたときに毎回招待しなくてよい
- 他のサービスとシングルサインオンできる(かもしれない)
といったところが考えられます。
手順
こちらが参考になります。
https://cloud.ibm.com/docs/account?topic=account-idp-integration
App IDのオーダー
通常通りオーダーします。
App IDの設定
IDプロバイダーとしてクラウドディレクトリー以外を無効化します。
クラウドディレクトリーに適当にユーザーを追加します。
クラウドディレクトリーの設定で、ユーザーがサインアップできないようにします。さもないとURLを知っている人が勝手にユーザーを追加できてしまうためです。
IAMの設定
ポータルからIAM→IDプロバイダーに移動します。タイプでIBM Cloud App IDを選択し、有効化ボタンをクリックします。
IdP URLを設定します。他の利用者と被らないユニークなものにする必要があります。
次に作成をクリックします。
名前を適当に設定し、サービスインスタンスは先ほど作成したApp IDのインスタンス名をプルダウンで選択します。その他はチェック済として、作成をクリックします。
IdPの登録が完了しました。
ここで表示されているIdP URLに別ブラウザでアクセスします。すると見慣れた(?)App IDのログイン画面が表示されます。
先ほど登録したユーザー情報でサインインします。
IBM Cloudのポータルが表示されました。
IAMを確認すると、自分のIDが見えます。
自分のアクセスポリシーを確認すると、当然何の権限もありません。
アクセスグループの動的ルールを使って、権限を自動的に設定することができます。次の記事を参照ください。