IBM Cloud SAML フェデレーション・ガイド

貴社にとってどんなフェデレーション方法が適切か

これまでIBM Cloudは、IBMid SAMLフェデレーションを使用したお客様のユーザー・ディレクトリーとの統合をサポートしていました。2020年5月、IBM Cloudは、お客様はIBM Cloudアカウントでこうしたユーザーをフェデレーションする新しい方法を導入しました。(詳細はこちらのブログ(英文)を参照)

以下のブログ記事では、IBMidを使用してユーザー・ディレクトリーを接続するか、IBM Cloud App IDのサービス・インスタンスを使用してユーザー・ディレクトリーを接続するかを決める際の参考になるよう、2つの方法の違いをご説明します。

IBM CloudにはどんなSAMLフェデレーション方法があるか

IBM Cloud は以下のようなユーザー・タイプをサポートしています:

• ノーマル IBMid ユーザー: 有効なメールアドレスを持つユーザーは、IBMidを作成し、パスワードをIBMidに管理させることができます。
• フェデレーテッド IBMid ユーザー: お客様は、従業員が追加のパスワードを管理する必要がないように、内部のユーザー・ディレクトリー（すなわち”Identity Provider(IdP)”）を IBMid に接続することがよくあります。代わりに、Identity Provider への通常のログインを再利用して、IBMid にもログインすることができます。外部の Identity Provider を IBMid に接続することをフェデレーションと呼び、技術的な基礎となるプロトコルは SAML と呼ばれ、これらのユーザーは、しばしばフェデレーションされた IBMid ユーザーとして参照されます。IBMid は複数の企業のお客様と同時にフェデレーションしているため、フェデレーションを成功させるための前提条件の 1 つは、各 IBMid ユーザーに固有の電子メール・アドレスをもつことです。
• IBM Cloud App ID ユーザー: IBM Cloud サービス App ID のインスタンスは、Identity Provider に接続することもできます。App ID インスタンスは、SAML を使用して 1 つの外部 Identity Provider にのみ接続できるため、固有の電子メール・アドレスをもつ前提条件はありません。

 

IBM Cloud アカウント管理者 vs. IBM Cloud アカウント・メンバー

IBM Cloud アカウントを作成するには、IBM Cloud アカウントの管理者となる IBMid ユーザーが必要です。この IBMid ユーザーは、IBM Cloud アカウント作成プロセス中に作成することも、既存の IBMid ユーザーを使用することもできます。このユーザーは、通常の IBMid ユーザーまたはフェデレーテッド IBMid ユーザーにすることができます。

IBM Cloud アカウントの追加メンバーについては、通常の IBMid ユーザーまたはフェデレーテッド IBMid ユーザーを IBM Cloud アカウント・メンバーとして使用するオプションがあります。または、IBM Cloud App ID サービス・インスタンスを使用して、Identity Provider を IBM Cloud アカウントに接続することもできます。その IBM Cloud App ID サービス・インスタンスを使用してログインしたすべてのユーザーが自動的にアカウントに追加されます。

 IBM Cloud アカウント・メンバーをオンボードするには

IBM Cloud アカウントは、すべての IBMid ユーザー (フェデレーテッドおよびノーマル) にアクセスすることができます。IBMid ユーザーは、IBM Cloud アカウントに招待されている必要があります。結果として、同じ IBMid ユーザーが同時に複数の IBM Cloud アカウントのメンバーになることができます。IBM Cloud コンソールでは、IBMid ユーザーは、このユーザーが作業しているアカウントを選択できます。

IBM Cloud App ID サービス・インスタンスの構成中に、サービス・インスタンスを IBM Cloud アカウントに接続します。したがって、このサービス・インスタンスを使用してログインするユーザーは、この 1 つのアカウントのメンバーにしかなれません。これらのユーザーは、最初に認証された場合、自動的に IBM Cloud アカウントに追加されます。

どのフェデレーションが貴社にとって最適か

以下では、各フェデレーション・オプションの特徴を比較しています。どちらの場合も、顧客が IBMid または IBM Cloud App ID インスタンスのいずれかを SAML を介して Identity Provider に接続することを前提としています。

Email アドレス

• Identity Provider へフェデレーションする IBMid:ユーザーは、グローバルに固有の電子メール・アドレス (firstname.lastname@company.com など) を持つ必要があります。フェデレーションのセットアップ・プロセスでは、お客様は、IBMid フェデレーション・チームとともに、Identity Provider のユーザーとどの電子メール・パターンが一致するかを定義します。
• Identity Provider に接続された IBM Cloud App ID:特別な要件はありません。

料金

• Identity Provider へフェデレーションする IBMid:フェデレーションの有無にかかわらず、IBMid を使用する際の料金は不要です。
• Identity Provider に接続された IBM Cloud App ID:IBM Cloud App ID インスタンスは低料金で、1,000 ユーザー、1,000 イベント (つまりログイン) までの無料ティアが用意されています。詳細については、App ID のページをご参照ください。

フェデレーションのセットアップ

• Identity Provider へフェデレーションする IBMid:お客様は、手動によるオンボード・プロセスを開始するために、ibmidfd@us.ibm.com に連絡する必要があります。IBMid の担当者から連絡があります。以下のオンボード・プロセスは手動プロセスです。
• Identity Provider に接続された IBM Cloud App ID:お客様が IBM Cloud App ID インスタンスを作成し、文書化された手順に従って設定します。このステップはセルフ・サービスです。

フェデレーションのメンテナンス (e.g., 証明書の更新)

• Identity Provider へフェデレーションする IBMid: IBMid フェデレーション・チームとの手動でのやりとりが必要です。
• Identity Provider に接続された IBM Cloud App ID: IBM Cloud App ID インスタンスをご自身で更新することができます（つまり、このステップはセルフサービスです）。

フェデレーションのスコープ

• Identity Provider へフェデレーションする IBMid:IBMid フェデレーションは、IBMid を使用するすべてのサービスに適用されます。つまり、顧客が IBMid フェデレーションをオンボードした場合、これは、IBM Cloud にログオンするときだけでなく、IBMid を活用している他の IBM SaaS を使用するときにも適用されます。
• Identity Provider に接続された IBM Cloud App ID: このフェデレーションは、IBM Cloud App ID インスタンスがログインを許可するように構成されている IBM Cloud アカウントにのみ影響を与えます。他の IBM Cloud アカウントや IBM SaaS オファリングには影響しません。

アカウント・メンバーのオンボード

• Identity Provider へフェデレーションする IBMid: ユーザーは、emailアドレスで招待する必要があります。
• Identity Provider に接続された IBM Cloud App ID: 設定された IBM Cloud App ID インスタンスに正常にログインできる各ユーザーは、自動的に IBM Cloud アカウントに追加されます。

クロス-アカウントのメンバーシップ

• Identity Provider へフェデレーションする IBMid: IBMidは複数のアカウントのメンバーになれます。
• Identity Provider に接続された IBM Cloud App ID: ユーザーは、1 つのアカウントのメンバーにのみなることができます。複数のIBM Cloud App IDインスタンスが同じIdentity Providerにフェデレートしても、ユーザーは各アカウントで別々のユーザーとして扱われます。

アクセス・グループの動的ルールでのSAMLアサーションの使用

• Identity Provider へフェデレーションする IBMid: Identity Providerが送信した SAML アサーションは、アクセス・グループの動的ルールで使用できます
• Identity Provider に接続された IBM Cloud App ID: Identity Providerが送信した SAML アサーションは、アクセス・グループの動的ルールで使用できます。

信頼性

• Identity Provider へフェデレーションする IBMid:IBMidは、専任の運用チームを擁するグローバル・サービスですので、データセンターで障害が発生した場合、IBMidは別のデータセンターにフェイル・オーバーすることができます。
• Idetity Provider に接続された IBM Cloud App ID: 任意の IBM Cloud App ID インスタンスは、1 つのリージョンに存在しますので、そのリージョンで障害が発生すると、アカウント・メンバーがログインできなくなることがあります。すでにログインしているユーザーは、通常、このような障害の影響を受けません。

ログイン時の動作

• Identity Provider へフェデレーションする IBMid:ユーザーは、IBM Cloudの ログイン・ページを使ってログインします。
• Identity Provider に接続された IBM Cloud App ID: アカウントにログインするには、特別な URL を使用する必要があります。アカウント管理者はIAM Identity Provider 設定ページからこのURLを取得します。

シナリオ

どちが適切か判断するために、典型的なシナリオをご参照ください:

シナリオ 1: 単一の IBM Cloud アカウントを使用していて、他の IBM SaaS は使用していないケース

このケースでは他のIBM SaaSや他のIBM Cloudアカウントを使用していないため、IBMidのフェデレーション・スコープ機能やクロスアカウント機能には何のメリットもありません。また、IBMidでの手動のオンボード・プロセスは複雑すぎるかもしれません。ユーザー数やログイン数はかなり少ないので、IBM Cloud App IDオプションを利用しても、このアカウントにコストがかかることはありません。このケースでは、IBM Cloud App IDがむいているでしょう。

シナリオ 2: IBM Cloud と他の IBM SaaS を使用しているケース

IBM は、これまで多くのお客様と長期にわたり強固な関係を築いています。こうしたお客様は通常、複数の IBM SaaS を利用しているため、すべてのユーザーが IBMid ユーザー・アカウントを使用してこれらの IBM SaaS で作業する必要があります。その場合、お客様は、IBM Cloud App ID に基づくフェデレーションではなく、IBMid フェデレーションを使用するほうがメリットがあります。IBMid フェデレーションにより、すべての従業員は、Identity Provider のパスワード管理と検証を使用して、IBM SaaS と IBM Cloud Console を活用することができます。

お役立ち情報

以下の情報が、貴社が選択されたフェデレーションを実装する際にお役立ていただければ幸いです:

• IBMid フェデレーション・ガイド(英語): 公開されている IBMid フェデレーション・ガイドでは、Identity Provider をフェデレーションするために必要な手順と、フェデレーションを実装するために誰に連絡するかについての概要を説明しています。”IBM スポンサー”(つまり、お客様と IBMid チームの間の主な連絡先としてサポートする IBM 社員)が必要であることに注意してください。
• IBM Cloud のセルフサービスでのフェデレーション機能による外部 Identity Providerとのフェデレーション(英語): IBM Cloud App IDを使用してSAMLを介してIdentity ProviderとフェデレーションするIBM IAMの機能がアナウンスされました。
• 外部のIdentity Providerからの認証を有効にするには: この文書では、IBM Cloud App ID サービス・インスタンスを IBM Cloud IAM に統合して、ユーザーが IBM ID を作成せずに IBM Cloud アカウントを使用できるようにするために必要な手順について説明します。 “App ID トークンの IAM 固有の属性の設定” を確認して、ユーザーが正しくオンボードされ、IBM Cloud アカウント内に表示されることを確認してください。
• クラウド・リソースへのアクセスの管理(英語): このチュートリアルでは、アクセス・グループで動的ルールを活用して、Identity Provider が SAML を介して IBM Cloud に送信している属性に基づいて権限の割り当てを自動化する方法について説明します。このチュートリアル自体は IBMid フェデレーション用に書かれていますが、同じコンセプトと手順は IBM Cloud App ID ベースのフェデレーションでも動作します。
• App ID インスタンスを使用してアクセス・グループに動的ルールを構築する: App IDインスタンスを使用してアクセスグループに動的ルールを構築する IBM Cloud App ID ベースのフェデレーションで動的ルールを使用する場合は、動的ルール内の “Identity Provider” 設定に正しい構文を使用するようにしてください。リンク先のセクションでは、正しい “Identity Provider” 識別子を構築する方法を説明しています。
• Setting up IBM Cloud App ID with your Active Directory Federation Service: A description of how to set up an IBM Cloud App ID instance with Microsoft Active Directory. This blog entry is describing the general way how to connect Microsoft Active Directory, but does not make any additional steps to ensure that attributes required by IBM Cloud IAM are correctly mapped. You have to make sure to provide the attributes described here to successfully display user data.IBM Cloud App ID を Active Directory フェデレーション・サービスで設定します。IBM Cloud App ID インスタンスを Microsoft Active Directory とセットアップする方法について説明しています。このブログ記事では、Microsoft Active Directoryとの一般的な接続方法を説明していますが、IBM Cloud IAMで必要とされる属性が正しくマッピングされているかどうかを確認するための追加の手順は行っていません。ユーザー・データを正常に表示するためには、ここで説明した属性を確実に提供する必要があります。
• IBM Cloud App ID とMicrosoft Azure ADを使用したIBM Cloudアカウントのシングル・サインオン(英語): このブログ記事では、IBM Cloud App IDを使用してMicrosoft Azure Active DirectoryとIBM Cloudを統合する全体のプロセスを紹介しています。

IBM Cloudの IAM: Identity and Access Managementについてについてより詳しくは、こちらの 文書 をご参照ください。