LoginSignup
3
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

@testnin2(Shinobu Yasuda)inIBM

IBM Cloud: ID Federation方式の比較(IBMid Federation v.s. IBM Cloud App ID)

Last updated at Posted at 2023-04-26

P.S.
頑張って資料を読んだりまとめた後に、ほとんどこことかここに載っていた・・・。削除するのが勿体無いので念の為残しておきます。

IBMidとは

このBlogより引用

IBMid はIBMのアプリケーション、コミュニティー、サポートといった様々な分野のサービスを利用する際に使用する単一のユーザー ID です。例えばIBM ソフトウェア製品のダウンロード、サポート・コミュニティーから製品サポートへのご質問の際に必要となります。

IBMidとして特に理解しておく必要があるのは以下のポイントである。

  • IBM Cloudのみならず、IBM全般のサービスを利用するために必要なID
  • IBMidは、メールアドレス
  • IBMidは、IBMが管理しているが、IBM Cloudで管理している訳ではない。IBMidのパスワードルールやIBMidのパスワードリセット方法などはここを参照。
  • IBM Cloudにログインする際にはIBMidを使うのがデフォルト

IBMidを使わないIBM Cloudの利用方法

先述の通り、IBMidはIBM Cloudではなく、IBM全般で管理されているIDである。ID情報はIBMによって管理されており、パスワード変更もIBMのサイト経由で行う。
しかし、IBM Cloudでは、こうしたID管理やパスワード管理を自身が所有しているID管理システム、すなわちIdentity Provider(IdP)と連携して行いたいという要件にも対応しており、

  • IBMid Federation 方式
  • IBM Cloud App ID 方式

の2つが存在している。どちらを使うべきかはIBM Cloud SAML Federation Guideに記載されているが、以下で簡単にまとめてみた(認識の間違いがあるかもしれないので、記述内容は上記のガイドや、IBM Cloud docsの記述を正としてください)。

IBMid Federation方式 IBM Cloud App ID 方式
Account Owner(IBM Cloudのアカウント管理者) 外部IdPで管理されたIBMidでも可能 対応していない
Email address 必要(IBMid=Email addressなので) 不要
コスト 不要 App IDの費用が必要
Federationのセットアップ IBMid federation teamと手動での対応が必要。こちらがガイド。 App IDを購入したあと、利用者が自身で構成可能
Federationのメンテナンス IBMid federation teamと手動での対応が必要。 利用者が自身でApp IDを操作することで可能
Federationが有効となるスコープ IBMidを利用するIBMのサービス全て(IBM Cloudに限定されない) 対象のIBM Cloud アカウントのみ
Accountメンバーの招待 IBMidは複数のIBMサービスにまたがって共通のため、IBM Cloud アカウントごとに招待が必要(そのあと、アカウントごとに権限を付与する必要がある) どのIBM Cloud App IDと連携するかはIBM Cloud アカウントごとに構成するため、個別の招待は不要。ユーザーは初回ログイン時に自動的に追加される
Account間の切り替え IBMidは複数のIBMサービスにまたがって共通のため、一度そのIBMidでログインしたら、別の招待済みのIBM Cloudアカウントにも追加認証なしで切り替え可能 App IDはIBM Cloudのアカウントごとに構成するため、別IBM Cloud アカウントにログインする際には別途認証が必要
SAML assertions in Access Group Dynamic Rules 利用可能 利用可能
(外部IdP以外の)信頼性 IBMid自体はグローバルサービスであり、DC障害時にも別DCにスイッチして外部IdPと連携が可能。 App IDはリージョナルサービスであり、例えば東京リージョンのApp IDを利用中に、東京リージョン障害が発生すると、この方式ではログインできなくなる。その際には別リージョンのApp IDを利用するなどの運用上の考慮が必要。

一応App IDは東京リージョン・大阪リージョンの双方で提供可能であり、Identity providersとして最大5つまでApp IDを登録可能。
Customer Portalへのログイン方式 https://cloud.ibm.com https://cloud.ibm.com/authorize/xxxxxxというアカウント固有のURLを利用
ibmcloud CLI 利用可能 利用可能
3
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
3
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?