Administrar usuarios¶
Puedes administrar usuarios de IBM Cloud o usuarios de proveedor de ID (IDP). Sigue las instrucciones en la sección correspondiente, dependiendo de tu configuración.
Administrar usuarios de IBM Cloud¶
Este tutorial muestra cómo utilizar IBM Cloud para habilitar a los usuarios que tienen cuentas de IBM Cloud y proporciona instrucciones para que los usuarios accedan al entorno.
Invitar usuarios¶
Asegúrate de que los usuarios que deseas invitar tengan cuentas de IBM Cloud.
Dirígete a Manage → Access (IAM) y haz clic en Invite users.
Ingresa las direcciones de correo electrónico de los usuarios que serán agregados.
Selecciona el grupo o grupos de acceso de los proyectos de los que formarán parte los usuarios. Estas asignaciones se pueden cambiar más adelante.
Haz clic en Add para confirmar la selección del grupo de acceso.
Haz clic en Invite para enviar la invitación a los usuarios.
Nota
Los usuarios no se pueden administrar hasta que acepten la invitación e inicien sesión al menos una vez.
Opcional: Modificar las asignaciones de proyectos de los usuarios¶
Dirígite a Manage → Access (IAM) → Users y haz clic en el usuario.
Agrega grupos de acceso con Assign group o elimina al usuario de un grupo de acceso haciendo clic en el menú de tres puntos y eligiendo Remove user.
Flujo del usuario¶
Después de aceptar una invitación, los usuarios pueden iniciar sesión a través del IBM Cloud portal.
Para trabajar con las instancias del servicio Qiskit Runtime, los usuarios deben crear una clave de API dirigiéndose a Manage → Access (IAM) → API keys.
Para obtener más información, los usuarios pueden consultar Primeros pasos, Paso 2.
Escenario de ejemplo¶
En nuestro ejemplo, queremos crear la siguiente configuración:
Tenemos dos proyectos,
ml
yfinance
.El proyecto
ml
debería tener acceso a las instancias de servicioQR-ml
yQR-common
.El proyecto
finance
debería tener acceso a las instancias de servicioQR-finance
yQR-common
.
Tenemos tres usuarios:
Fatima debería tener acceso al proyecto
ml
.Ravi debería tener acceso al proyecto
finance
.Amyra debería tener acceso a ambos proyectos.
Usaremos grupos de acceso sin grupos de recursos.
Los usuarios se definen en IBM Cloud y las asignaciones de proyectos también se realizan allí.
Los usuarios deberían poder eliminar trabajos (jobs).
Los pasos para implementar esta configuración son:
El administrador de Cloud crea tres instancias de servicio:
QR-ml
,QR finance
, yQR-common
.El administrador de Cloud crea una regla personalizada que incluye la acción
quantum-computing.job.delete
.El administrador de Cloud crea dos grupos de acceso:
El grupo de acceso
ml
puede acceder aQR-ml
yQR-common
.El grupo de acceso
finance
puede acceder aQR-finance
yQR-common
.
El administrador de Cloud invita a los usuarios de la nube al proyecto apropiado. En concreto, invitan y asignan usuarios a un grupo de acceso que incluye el proyecto.
Fatima se agrega al grupo de acceso “ml”.
Ravi se agrega al grupo de acceso “finance”.
Amyra se agrega a ambos grupos de acceso “ml” y “finance”.
Los usuarios pueden iniciar sesión a través del portal de IBM Cloud, crear claves de API y trabajar con las instancias de servicio de sus proyectos.
Administrar usuarios de proveedor de ID con IBM Cloud¶
App ID crea un proveedor de ID para que puedas agregar usuarios directamente en App ID o conectarse a otros proveedores de ID externos. Este tutorial describe cómo configurar tu proveedor de ID para trabajar con usuarios de IBM Cloud y proporciona instrucciones para que los usuarios accedan al entorno.
Crear una instancia de App ID¶
Abre App ID desde el catálogo de IBM Cloud e inicia sesión si es necesario. Especifica los siguientes valores:
Para Select a location, se recomienda que lo mantengas en la misma ubicación que el servicio Qiskit Runtime, que es
Washington DC (us-east)
.Select a pricing plan:
El plan Lite es gratuito y es suficiente para comenzar. Si es necesario, puedes actualizar sin problemas al Graduated tier más adelante.
El Graduated tier se paga por evento y por usuario más allá de los límites del nivel básico (lite). Este nivel admite más funciones, como la autenticación multifactor. Al administrador de Cloud, como cuenta propietaria de la instancia de App ID, se le cobran las tarifas de las instancias del graduated tier.
Completa los valores para Service name (el nombre de la instancia de App ID), Resource group (si se está utilizando uno) y cualquier etiqueta que desees.
Lee y acepta los términos y haz clic en Create.
Configurar el proveedor de ID¶
Usaremos la capacidad de Cloud Directory para agregar usuarios al proveedor de ID. Consulta la App ID documentation para obtener instrucciones sobre cómo integrar otros proveedores de ID en App ID.
Abre la IBM Cloud resource list, expande la sección Services and software, busca tu instancia de App ID y haz clic en su nombre para ver sus detalles.
Haz clic en Manage Authentication y deselecciona cualquier opción de inicio de sesión que no necesites, como Facebook y Google.
Dirígete a Manage Authentication → Cloud Directory → Settings y elige si los inicios de sesión de usuario deben usar correo electrónico o nombres de usuario.
Opcionalmente, dirígete a Manage Authentication → Cloud Directory → Password Policies para definir la fortaleza de la contraseña.
Opcionalmente, abre Login Customization y personaliza la apariencia de la página de inicio de sesión.
Integrar la instancia de App ID como proveedor de ID para la cuenta del administrador¶
Dirígete a Manage → Access (IAM) → Identity Providers. Para Type, elige IBM Cloud App ID, luego haz clic en Create.
Especifica un nombre y selecciona la instancia de App ID de la lista desplegable.
Selecciona la casilla de verificación para habilitar el proveedor de ID.
Se muestra la URL del proveedor de ID predeterminado. Comparte esta URL con los usuarios cuando necesiten iniciar sesión.
Agregar usuarios¶
Cuando utilizas App ID como proveedor de ID con el directorio de Cloud, puedes crear usuarios en la interfaz de usuario de IBM Cloud.
Abre la página de la instancia de App ID desde la resource list de la sección de Services and software.
Dirígete a Manage Authentication → Cloud Directory → Users, y haz clic en Create User. Ingresa los detalles del usuario.
Crear o modificar las asignaciones de proyectos de los usuarios¶
Dirígite a Manage → Access (IAM) → Users y haz clic en el usuario.
Nota
Si no ves al usuario que deseas administrar, verifica que haya iniciado sesión en IBM Cloud al menos una vez. Consulta el paso 1 en Flujo del usuario.
Agrega grupos de acceso con Assign group o elimina al usuario de un grupo de acceso haciendo clic en el menú de tres puntos y eligiendo Remove user.
Flujo del usuario¶
A un usuario se le envía la URL del proveedor de ID para la cuenta de IBM Cloud. Utilizan esta URL y la información de inicio de sesión para acceder al sistema. El usuario debe cambiar su contraseña después de iniciar sesión.
Nota
El administrador siempre puede ir a Manage → Access (IAM) → Identity providers para buscar la URL del proveedor de ID.
Para trabajar con Qiskit Runtime y acceder a las instancias del servicio, los usuarios deben crear una clave de API desde Manage → Access (IAM) → API keys.
Para obtener más información, los usuarios pueden consultar Primeros pasos, Paso 2.
Escenario de ejemplo¶
En nuestro ejemplo, queremos crear la siguiente configuración:
Tenemos dos proyectos,
ml
yfinance
.El proyecto
ml
necesita acceso a las instancias de servicioQR-ml
yQR-common
.El proyecto
finance
debería tener acceso a las instancias de servicioQR-finance
yQR-common
.
Tenemos tres usuarios:
Fatima necesita acceso al proyecto
ml
.Ravi necesita acceso al proyecto
finance
.Amyra necesita acceso a ambos proyectos.
Usaremos grupos de acceso sin grupos de recursos.
Los usuarios se definen en IBM Cloud, pero las asignaciones de proyectos se realizan en una instancia de App ID.
Los usuarios deberían poder eliminar trabajos (jobs).
Los pasos para implementar esta configuración son:
El administrador de Cloud crea una instancia de App ID y se asegura de que esté vinculada en la cuenta del administrador de Cloud. El administrador anota la URL del proveedor de ID para compartirla con los usuarios.
El administrador de Cloud crea tres instancias de servicio:
QR-ml
,QR finance
, yQR-common
.El administrador de Cloud crea una regla personalizada que incluye la acción
quantum-computing.job.delete
.El administrador de Cloud crea dos grupos de acceso:
El grupo de acceso
ml
puede acceder aQR-ml
yQR-common
. Este grupo de acceso necesita una regla dinámica para el IDP del App ID que acepta usuarios cuyo atributoproject
contieneml
.El grupo de acceso
finance
puede acceder aQR-finance
yQR-common
. Este grupo de acceso necesita una regla dinámica para el IDP del App ID que acepta usuarios cuyo atributoproject
contengafinance
.
El administrador del proveedor de ID define los tres usuarios en la interfaz de usuario de IBM Cloud.
Los usuarios inician sesión al menos una vez.
El administrador de Cloud asigna acceso agregando usuarios a los grupos de acceso que les dan acceso a los proyectos:
Fatima tiene acceso al proyecto
ml
.Ravi tiene acceso al proyecto
finance
.Amyra tiene acceso a ambos proyectos
ml
yfinanace
.
Los usuarios pueden iniciar sesión a través de la URL del proveedor de ID, crear claves de API y trabajar con las instancias de servicio de sus proyectos.
Administrar usuarios de proveedor de ID con el proveedor de ID¶
App ID crea un proveedor de ID para que puedas agregar usuarios directamente en App ID o conectarse a otros proveedores de ID externos. Este tutorial describe cómo configurar tu proveedor de ID para trabajar con usuarios que no tienen cuentas de IBM Cloud.
Crear una instancia de App ID¶
Abre App ID desde el catálogo de IBM Cloud e inicia sesión. Especifica los siguientes valores:
Para Select a location, se recomienda mantenerla en la misma ubicación que el servicio Qiskit Runtime, que es
Washington DC (us-east)
.Select a pricing plan:
El plan Lite es gratuito y es suficiente para comenzar. Si es necesario, puedes actualizar sin problemas al Graduated tier más adelante.
El Graduated tier se paga por evento y por usuario más allá de los límites del nivel básico (Lite). Este nivel admite más funciones, como la autenticación multifactor. Al administrador de Cloud, como cuenta propietaria de la instancia de App ID, se le cobran los costos de las instancias del graduated tier.
Completa los valores para Service name (el nombre de la instancia de App ID), Resource group (si se está utilizando uno) y cualquier etiqueta que desees.
Lee y acepta los términos y haz clic en Create.
Configurar el proveedor de ID¶
Usaremos la capacidad de Cloud Directory para agregar usuarios al proveedor de ID. Consulta la App ID documentation para obtener instrucciones sobre cómo integrar otros proveedores de ID en App ID.
Abre la IBM Cloud resource list, expande la sección Services and software, busca tu instancia de App ID y haz clic en su nombre para ver sus detalles.
Haz clic en Manage Authentication y deselecciona cualquier opción de inicio de sesión que no necesites, como Facebook y Google.
Dirígete a Manage Authentication → Cloud Directory → Settings y elige si los inicios de sesión de usuario deben usar correo electrónico o nombres de usuario.
Opcional: Abre Manage Authentication → Cloud Directory → Password Policies para definir la fortaleza de la contraseña.
Opcionalmente, abre Login Customization y personaliza la apariencia de la página de inicio de sesión.
Integrar la instancia de App ID como proveedor de ID para la cuenta del administrador¶
Dirígete a Manage → Access (IAM) → Identity Providers. Para Type, elige IBM Cloud App ID, luego haz clic en Create.
Especifica un nombre y selecciona la instancia de App ID de la lista desplegable.
Selecciona la casilla de verificación para habilitar el proveedor de ID.
Se muestra la URL del proveedor de ID predeterminado. Comparte esta URL con los usuarios cuando necesiten iniciar sesión.
Agregar una regla dinámica al grupo de acceso¶
El grupo de acceso necesita una regla dinámica para probar si se debe aplicar a un usuario IDP cuando inicia sesión.
Debido a que las reglas dinámicas se evalúan durante el inicio de sesión, los cambios se recogen la próxima vez que el usuario inicia sesión. {: note}
Dirígete a Manage → IAM → Access groups y haz clic en tu grupo de acceso para abrir su página de detalles.
Haz clic en la pestaña Dynamic rules y luego haz clic en Add.
Proporciona un nombre.
Para el método de autenticación, elige Users federated by IBM Cloud AppID, luego selecciona el IDP de la lista desplegable Identity provider.
Haz clic en Add a condition, completa los siguientes valores y luego haz clic en Add.
En el campo Allow users when, ingresa la clave de atributo que utiliza el administrador de IDP en los atributos de usuario del proveedor de ID, como
project
(esta cadena es una convención que se define durante la planeación).Selecciona Contains como el Qualifier.
En Values, ingresa el valor, como
ml
. Este es el mismo valor que utiliza el administrador de IDP en la definición del perfil de usuario de IDP. Suele ser el nombre del proyecto.Es posible que desees aumentar la Session duration para aumentar el periodo antes de que los usuarios deban volver a iniciar sesión. Los usuarios que iniciaron sesión mantienen su membresía de grupo de acceso durante ese periodo y la reevaluación se realiza en el próximo inicio de sesión.
Agregar usuarios¶
Cuando utilizas App ID como proveedor de ID con el directorio de Cloud, puedes crear usuarios en la interfaz de usuario de Cloud.
Abre la página de la instancia de App ID desde la resource list de la sección de Services and software.
Dirígete a Manage Authentication → Cloud Directory → Users, y haz clic en Create User. Ingresa los detalles del usuario.
Crear o modificar las asignaciones de proyectos de los usuarios¶
Si el administrador de IDP asignará usuarios a los proyectos, puedes definir los valores del proyecto en los atributos del usuario.
Abre la página de la instancia de App ID desde la resource list de la sección de Services and software.
Dirígete a Manage Authentication → Cloud Directory → Users y haz clic en un usuario para abrirlo.
Desplázate hacia abajo hasta Custom Attributes y haz clic en Edit.
Ingresa un par de valores clave que puedan ser verificados por las reglas dinámicas de los grupos de acceso, luego haz clic en Save. Puedes agregar varios valores en la misma cadena (por ejemplo,
{"project":"ml finance"}
); el calificador contains de la regla dinámica detecta una coincidencia de una subcadena. Para nuestro ejemplo, agrega{"project":"ml"}
.El valor
project
corresponde a la convención definida en la sección de planeación.ml
es el proyecto al que pertenece el usuario.Esta comprobación se realiza en cada inicio de sesión, por lo que los cambios en los atributos de usuario del proveedor de ID serán efectivos la próxima vez que un usuario inicie sesión.
Flujo del usuario¶
A un usuario se le envía la URL del proveedor de ID para la cuenta de IBM Cloud.
Nota
El administrador siempre puede ir a Manage → Access (IAM) → Identity providers para buscar la URL del proveedor de ID.
Para trabajar con las instancias del servicio Qiskit Runtime, los usuarios deben crear una clave de API dirigiéndose a Manage → Access (IAM) → API keys.
Para obtener más información, los usuarios pueden consultar Primeros pasos, Paso 2.
Escenario de ejemplo¶
En nuestro ejemplo, queremos crear la siguiente configuración:
Tenemos dos proyectos,
ml
yfinance
.El proyecto
ml
necesita acceso a las instancias de servicioQR-ml
yQR-common
.El proyecto
finance
necesita acceso a las instancias de servicioQR-finance
yQR-common
.
Tenemos tres usuarios:
Fatima necesita acceso al proyecto
ml
.Ravi necesita acceso al proyecto
finance
.Amyra necesita acceso a ambos proyectos.
Usaremos grupos de acceso sin grupos de recursos.
Los usuarios se definen en una instancia de App ID y las asignaciones de proyectos también se realizan allí.
Los usuarios deberían poder eliminar trabajos (jobs).
Los pasos para implementar esta configuración son:
El administrador de Cloud crea una instancia de App ID y se asegura de que esté vinculada en la cuenta del administrador de Cloud. El administrador anota la URL del proveedor de ID para compartirla con los usuarios.
El administrador de Cloud crea tres instancias de servicio:
QR-ml
,QR finance
, yQR-common
.El administrador de Cloud crea una regla personalizada que incluye la acción
quantum-computing.job.delete
.El administrador de Cloud crea dos grupos de acceso:
El grupo de acceso
ml
puede acceder aQR-ml
yQR-common
. Este grupo de acceso necesita una regla dinámica para el IDP del App ID que acepta usuarios cuyo atributoproject
contieneml
.El grupo de acceso
finance
puede acceder aQR-finance
yQR-common
. Este grupo de acceso necesita una regla dinámica para el IDP del App ID que acepta usuarios cuyo atributoproject
contengafinance
.
El administrador de IDP utiliza la instancia de App ID que creó el administrador de Cloud y define los tres usuarios:
Para Fatima, los atributos personalizados contienen
{"project":"ml"}
.Para Ravi, los atributos personalizados contienen
{"project":"finance"}
.Para Amyra, los atributos personalizados contienen
{"project":"ml finance"}
.
Los usuarios pueden iniciar sesión a través de la URL del proveedor de ID, crear claves de API y trabajar con las instancias de servicio de sus proyectos.