ユーザーの管理¶
IBM Cloud ユーザーまたは ID プロバイダー(IDP)ユーザーを管理できます。 ご使用のセットアップに応じて、関連するセクションの指示に従ってください。
IBM Cloud ユーザーの管理¶
このチュートリアルでは、IBM Cloud アカウントを持っているユーザーを有効にし、ユーザーが環境にアクセスするための指示を与えるために、IBM Cloud を使用する方法を示します。
ユーザーの招待¶
招待したいユーザーが IBM Cloud アカウントを持っていることを確認します。
管理(Manage) → アクセス (Access、IAM) に進み、ユーザーを招待する(Invite users) をクリックします。
追加するユーザーのメールアドレスを入力します。
ユーザが参加するプロジェクトのアクセスグループまたはグループを選択します.これらのアサインは後で変更できます.
追加(Add)をクリックして、アクセス・グループの選択を確認します。
招待(Invite)をクリックして、ユーザーに招待を送信します。
注釈
招待を承認し、少なくとも一度のログインをするまで、ユーザーは管理できません。
オプション: ユーザーのプロジェクトのアサインを変更¶
管理(Manage) → アクセス (Access、IAM) → ユーザー(Users) に移動し、ユーザーをクリックします。
Assign group でアクセスグループを追加するか、3 つのドットメニューをクリックして Remove user を選択してアクセスグループからユーザーを削除します。
ユーザー・フロー¶
招待を受け入れた後、ユーザーは IBM Cloud ポータル からログインできます。
Qiskit Runtimeサービスインスタンスを操作するには、ユーザーは 管理(Manage) → アクセス (Access、IAM) → API キー(API keys) に移動して、API キーを作成する必要があります。
詳細については、 はじめに ステップ2 を参照してください。
シナリオの例¶
この例では、以下の設定を作成します。
ml
とfinance
の2つのプロジェクトがあります。ml
プロジェクトは、サービス インスタンスQR-ml
とQR-common
にアクセスする必要があります。finance
プロジェクトはサービスインスタンスのQR-finance
とQR-common
にアクセスする必要があります。
3人のユーザーがいます:
Fatimaは
ml
プロジェクトにアクセスする必要があります。Ravi は
finance
プロジェクトにアクセスする必要があります。Amyraは両方のプロジェクトにアクセスできる必要があります。
リソース・グループのないアクセス・グループを使用します。
ユーザーは IBM Cloud で定義され、プロジェクトの割り当ても行われます。
ユーザーはジョブを削除できる必要があります。
このセットアップを実装する手順は次のとおりです。
クラウド管理者は、
QR-ml
、QR finance
およびQR-common
の 3 つのサービスインスタンスを作成します。クラウド管理者は、
quantum-computing.job.delete
アクションを含むカスタムルールを作成します。クラウド管理者は、2つのアクセスグループを作成します。
ml
アクセスグループはQR-ml
とQR-common
にアクセスできます。finance
アクセスグループはQR-finance
とQR-common
にアクセスできます。
クラウド管理者は、適切なプロジェクトにクラウドユーザーを招待します。具体的には、プロジェクトを含むアクセス・グループにユーザーを招待して割り当てます。
「ml」 アクセス・グループにFatimaが追加されます。
Raviは「finance」アクセスグループに追加されます。
Amyraは「ml」と「finance」の両方のアクセスグループに追加されます。
ユーザーは IBM Cloud ポータルからログインし、API キーを作成し、プロジェクトのサービスインスタンスを使用できます。
IBM Cloud を使用した ID プロバイダー・ユーザーの管理¶
App ID は、ID プロバイダを作成するため、App ID に直接ユーザーを追加したり、他の外部 ID プロバイダに接続したりできます。 このチュートリアルでは、IBM Cloud ユーザーと連携するように ID プロバイダーを設定し、環境へのアクセス手順を説明します。
App ID インスタンスの作成¶
IBM Cloud カタログからApp ID を開き 、必要であればログインします。次の値を指定します。
**場所を選択**するには、
Washington DC (us-east)
の Qiskit Runtime サービスと同じ場所に保管することをお勧めします。料金プランを選択:
Lite プランは無料で開始できます。必要に応じて、後で段階的に階層をアップグレードできます。
段階的な階層 は、イベントごとおよびユーザーごとに、 ライト層の制限を超えて支払われます。 この層は、多要素認証などの追加機能をサポートします。 アプリケーション ID インスタンスの所有アカウントとしてのクラウド管理者は、段階的なインスタンスの料金に対して請求されます。
サービス名 (App ID インスタンス名)、リソースグループ (使用中の場合)、および任意のタグの値を入力します。
利用規約を読んで同意し、作成 をクリックしてください。
ID プロバイダーの設定¶
Cloud Directory 機能を使用して、ユーザーをIDプロバイダーに追加します。 他の ID プロバイダを App ID に統合する方法については、App ID ドキュメント を参照してください。
IBM Cloud リソース リスト を開き、サービスとソフトウェア のセクションを展開します。 App ID インスタンスを見つけて、名前をクリックして詳細を表示します。
Manage Authentication をクリックし、FacebookやGoogleなど必要のないログインオプションの選択を解除します。
認証の管理 → クラウド・ディレクトリ → 設定 に移動し、ユーザログインに電子メールまたはユーザ名を使用するかどうかを選択します。
必要に応じて、パスワードの強度を定義するために、認証の管理 → クラウド・ディレクトリ → パスワードポリシー に移動します。
必要に応じて ログイン・カスタマイズ を開き、ログインページの外観をカスタマイズします。
アプリIDインスタンスを管理者アカウントのIDプロバイダーとして統合する¶
管理 → アクセス (IAM) → アイデンティティプロバイダー に移動します。タイプ**については、**IBM Cloud App ID を選択し、**作成**をクリックします。
名前を指定し、ドロップダウン リストからアプリケーション ID インスタンスを選択します。
ID プロバイダーを有効にするにはチェックボックスを選択します。
デフォルトの IdP URL が表示されます。ログインが必要な場合は、このURLをユーザーと共有してください。
ユーザの追加¶
Cloud ディレクトリで App ID を ID プロバイダとして使用すると、IBM Cloud ユーザー インターフェイスでユーザーを作成できます。
ユーザーのプロジェクト割り当ての作成または変更¶
管理(Manage) → アクセス (Access、IAM) → ユーザー(Users) に移動し、ユーザーをクリックします。
注釈
管理したいユーザーが表示されない場合は、少なくとも一度はIBM Cloudにログインしていることを確認してください。 ユーザー・フロー のステップ1を参照してください。
Assign group でアクセスグループを追加するか、3 つのドットメニューをクリックして Remove user を選択してアクセスグループからユーザーを削除します。
ユーザー・フロー¶
IBM Cloud アカウントの ID プロバイダー URL がユーザーに送信されます。 システムにアクセスするには、この URL とログイン情報を使用します。ユーザーはログオン後にパスワードを変更する必要があります。
注釈
管理者は常に 管理 → アクセス (IAM) → アイデンティティ・プロバイダー に移動して、ID プロバイダーの URL を検索できます。
Qiskit Runtimeを操作し、サービスインスタンスにアクセスするには ユーザーは 管理 → アクセス (IAM) → API キー からAPI キーを作成する必要があります。
詳細については、 はじめに ステップ2 を参照してください。
シナリオの例¶
この例では、以下の設定を作成します。
ml
とfinance
の2つのプロジェクトがあります。ml
プロジェクトは、サービス インスタンスQR-ml
とQR-common
にアクセスする必要があります。finance
プロジェクトはサービスインスタンスのQR-finance
とQR-common
にアクセスする必要があります。
3人のユーザーがいます:
Fatimaは
ml
プロジェクトにアクセスする必要があります。Ravi は
finance
プロジェクトにアクセスする必要があります。Amyraは両方のプロジェクトにアクセスできる必要があります。
リソース・グループのないアクセス・グループを使用します。
ユーザーは IBM Cloud で定義されますが、App ID インスタンスでプロジェクトの割り当てが行われます。
ユーザーはジョブを削除できる必要があります。
このセットアップを実装する手順は次のとおりです。
クラウド管理者は、アプリケーション ID インスタンスを作成し、それがクラウド管理者のアカウントでリンクされていることを確認します。 管理者は ID プロバイダー URL をメモして、ユーザーと共有します。
クラウド管理者は、
QR-ml
、QR finance
およびQR-common
の 3 つのサービスインスタンスを作成します。クラウド管理者は、
quantum-computing.job.delete
アクションを含むカスタムルールを作成します。クラウド管理者は、2つのアクセスグループを作成します。
ml
アクセスグループはQR-ml
とQR-common
にアクセスできます。 このアクセスグループには、project
属性がml
を含むユーザーを受け入れるアプリケーション ID IDPの動的ルールが必要です。finance
アクセスグループはQR-finance
とQR-common
にアクセスできます。 このアクセスグループは、project
属性にfinance
が含まれているユーザーを受け入れるApp ID IDPの動的ルールを指定します。
ID プロバイダー管理者は、IBM Cloud ユーザー インターフェイス内の 3 つのユーザーを定義します。
ユーザーは少なくとも一度はログインしてください。
クラウド管理者は、プロジェクトへのアクセスを許可するアクセスグループにユーザーを追加することでアクセス権を割り当てます。
Fatima は
ml
プロジェクトへのアクセスを与えられます。Ravi は
finance
プロジェクトへのアクセスを与えられます。Amyra は
ml
とfinanace
プロジェクトにアクセスすることができます。
ユーザーはIDプロバイダーURLからログインし、APIキーを作成し、プロジェクトのサービスインスタンスを使用できます。
ID プロバイダーのユーザーを管理します¶
App ID は、ID プロバイダを作成するため、App ID に直接ユーザーを追加したり、他の外部 ID プロバイダに接続したりできます。 このチュートリアルでは、IBM Cloud アカウントを持たないユーザーと連携するように ID プロバイダーを設定する方法について説明します。
App ID インスタンスの作成¶
IBM Cloud カタログからApp ID を開き 、ログインします。次の値を指定します。
**場所を選択**するには、
Washington DC (us-east)
の Qiskit Runtime サービスと同じ場所に保管することをお勧めします。料金プランを選択:
Lite プランは無料で開始できます。必要に応じて、後で段階的に階層をアップグレードできます。
段階的な階層 は、イベントごとおよびユーザーごとに、 ライト層の制限を超えて支払われます。 この層は、多要素認証などの追加機能をサポートします。 アプリケーション ID インスタンスの所有アカウントとしてのクラウド管理者は、段階的なインスタンスの料金に対して請求されます。
サービス名 (App ID インスタンス名)、リソースグループ (使用中の場合)、および任意のタグの値を入力します。
利用規約を読んで同意し、作成 をクリックしてください。
ID プロバイダーの設定¶
Cloud Directory 機能を使用して、ユーザーをIDプロバイダーに追加します。 他の ID プロバイダを App ID に統合する方法については、App ID ドキュメント を参照してください。
IBM Cloud リソース リスト を開き、サービスとソフトウェア のセクションを展開します。 App ID インスタンスを見つけて、名前をクリックして詳細を表示します。
Manage Authentication をクリックし、FacebookやGoogleなど必要のないログインオプションの選択を解除します。
認証の管理 → クラウド・ディレクトリ → 設定 に移動し、ユーザログインに電子メールまたはユーザ名を使用するかどうかを選択します。
必要に応じて、パスワードの強度を定義するために、認証の管理 → クラウド・ディレクトリ → パスワードポリシー に移動します。
必要に応じて ログイン・カスタマイズ を開き、ログインページの外観をカスタマイズします。
アプリIDインスタンスを管理者アカウントのIDプロバイダーとして統合する¶
管理 → アクセス (IAM) → アイデンティティプロバイダー に移動します。タイプ**については、**IBM Cloud App ID を選択し、**作成**をクリックします。
名前を指定し、ドロップダウン リストからアプリケーション ID インスタンスを選択します。
ID プロバイダーを有効にするにはチェックボックスを選択します。
デフォルトの IdP URL が表示されます。ログインが必要な場合は、このURLをユーザーと共有してください。
アクセス・グループに動的ルールを追加¶
アクセスグループには、ログイン時に IDP ユーザーに適用するかどうかをテストするために、動的なルールが必要です。
動的ルールはログイン時に評価されるため、次回ログイン時に変更が検出されます。 {: note}
管理 → IAM → グループへのアクセス に移動し、アクセスグループをクリックして詳細ページを開きます。
Dynamic rules タブをクリックし、Add をクリックします。
名前を入力してください。
認証方法については、IBM Cloud AppIDによって連携されたユーザー を選択し、アイデンティティー・プロバイダーのドロップダウンリストからIDPを選択します。
条件を追加 をクリックし、次の値を完了し、追加 をクリックします。
Allow users when フィールドに、ID プロバイダーのユーザ属性に IDP 管理者が使用する属性キーを入力します。 例えば、
project
(この文字列は計画中に定義される規約です) など。Qualifier として Contains を選択します。
Values には、
ml
などの値を入力します。 これはIDP管理者がIDPユーザープロファイル定義で使用するのと同じ値です。通常はプロジェクト名です。ユーザーがログインする前に、セッションの期間 を増やすことをお勧めします。 ログインしたユーザーは、その期間、アクセスグループのメンバーシップを維持し、再評価は次回のログイン時に行われます。
ユーザの追加¶
Cloud ディレクトリで App ID を ID プロバイダとして使用すると、IBM Cloud ユーザー インターフェイスでユーザーを作成できます。
ユーザーのプロジェクト割り当ての作成または変更¶
IDP管理者がユーザーをプロジェクトに割り当てる場合は、ユーザーの属性でプロジェクト値を定義できます。
リソース・リスト サービスとソフトウェアセクションから、App ID インスタンスページを開きます。
認証の管理 → クラウドディレクトリ → ユーザー に移動し、ユーザーをクリックして開きます。
カスタム属性 までスクロールして 編集 をクリックします。
アクセス グループの動的ルールでチェックできるキー値のペアを入力し、保存 をクリックします。 同じ文字列に複数の値を追加することができます (例えば、
{"project":"ml finance"}
); 動的ルールの contains 修飾子は、部分文字列の一致を検出します。 この例では、{"project":"ml"}
を追加します。値
project
は、計画セクションで定義された規約に対応します。ml
はユーザーが属するプロジェクトです。このチェックはログインごとに行われるため、ID プロバイダのユーザ属性の変更は、次回ログイン時に有効になります。
ユーザー・フロー¶
IBM Cloud アカウントの ID プロバイダー URL がユーザーに送信されます。
注釈
管理者は常に 管理 → アクセス (IAM) → アイデンティティ・プロバイダー に移動して、ID プロバイダーの URL を検索できます。
Qiskit Runtimeサービスインスタンスを操作するには、ユーザーは 管理(Manage) → アクセス (Access、IAM) → API キー(API keys) に移動して、API キーを作成する必要があります。
詳細については、 はじめに ステップ2 を参照してください。
シナリオの例¶
この例では、以下の設定を作成します。
ml
とfinance
の2つのプロジェクトがあります。ml
プロジェクトは、サービス インスタンスQR-ml
とQR-common
にアクセスする必要があります。finance
プロジェクトはサービスインスタンスのQR-finance
とQR-common
にアクセスする必要があります。
3人のユーザーがいます:
Fatimaは
ml
プロジェクトにアクセスする必要があります。Ravi は
finance
プロジェクトにアクセスする必要があります。Amyraは両方のプロジェクトにアクセスできる必要があります。
リソース・グループのないアクセス・グループを使用します。
ユーザーは App ID インスタンスで定義され、プロジェクトの割り当ても行われます。
ユーザーはジョブを削除できる必要があります。
このセットアップを実装する手順は次のとおりです。
クラウド管理者は、アプリケーション ID インスタンスを作成し、それがクラウド管理者のアカウントでリンクされていることを確認します。 管理者は ID プロバイダー URL をメモして、ユーザーと共有します。
クラウド管理者は、
QR-ml
、QR finance
およびQR-common
の 3 つのサービスインスタンスを作成します。クラウド管理者は、
quantum-computing.job.delete
アクションを含むカスタムルールを作成します。クラウド管理者は、2つのアクセスグループを作成します。
ml
アクセスグループはQR-ml
とQR-common
にアクセスできます。 このアクセスグループには、project
属性がml
を含むユーザーを受け入れるアプリケーション ID IDPの動的ルールが必要です。finance
アクセスグループはQR-finance
とQR-common
にアクセスできます。 このアクセスグループは、project
属性にfinance
が含まれているユーザーを受け入れるApp ID IDPの動的ルールを指定します。
IDP管理者は、クラウド管理者が作成し、3つのユーザーを定義するApp IDインスタンスを使用します。
Fatimaの場合、カスタム属性には
{"project":"ml"}
が含まれます。Ravi の場合、カスタム属性には
{"project":"finance"}
が含まれます。Amyra の場合、カスタム属性には
{"project":"ml finance"}
が含まれます。
ユーザーはIDプロバイダーURLからログインし、APIキーを作成し、プロジェクトのサービスインスタンスを使用できます。