
IBM Cloud kimlik doğrulaması ve yetkilendirmesi, endüstri standardı OAuth 2.0 protokolüne dayanır. OAuth 2.0 hakkında daha fazla bilgiyi şurada bulabilirsiniz: RFC 6749—OAuth 2.0 Yetkilendirme Çerçevesi. OAuth 2.0'ı benimseyenlerin çoğu gibi IBM, IBM Cloud'un ve müşterilerinin gereksinimlerini karşılamak için OAuth 2.0 işlevlerinin bazılarını da genişletti.
Belirteçlere erişme ve yenileme
RFC 6749'da belirtildiği gibi uygulamalar, kimliği doğrulanan kimliği ve izinlerini temsil eden bir erişim belirteci alıyor. Ayrıca IBM Cloud'da erişim belirteci aynı zamanda seçilen geçerli hesabı da temsil eder. Uygulamalar IBM Bulut Hizmetlerini çağırdığında, bu erişim belirteci, arayan hakkında bilgi sağlamak için API çağrısının bir parçası olarak HTTP yetkilendirme başlığı olarak iletilir. Hedef IBM Bulut Hizmeti, yetkilendirme kararını erişim belirtecinin içindeki içeriğe göre verecektir:

Belirli kullanım durumları için uygulamalar IAM'den yenileme belirteçlerini de alabilir. Bu şekilde uygulamalar, öncekinin süresi dolduğunda yeni bir erişim belirtecini alabilir. Bu, örneğin IBM Cloud Console veya IBM Cloud CLI için önemlidir, çünkü aksi takdirde, erişim belirtecinin süresi dolduktan sonra (yani en az 60 dakika sonra veya daha önce) son kullanıcının yeniden oturum açması gerekecektir. Yenileme jetonlarının güvenli bir yerde saklanması gerekir ve o zaman bile zaman aşımına uğrarlar.
IBM Cloud'daki müşteri uygulamalarının, IBM Cloud hizmetlerini çağırabilmek amacıyla bir erişim belirteci oluşturmanın iki yolu vardır:
1. Erişim belirtecini almak için bir API anahtarı kullanın (daha fazla bilgi için buraya bakın):

2. IBM Cloud tarafından yönetilen bir bilgi işlem platformunda çalıştırırken bir erişim belirteci alın. Bunun nasıl yapılacağına ilişkin talimatlar için lütfen aşağıdaki bloglara bakın:

Her iki durumda da uygulamanın, IBM Cloud tarafından yönetilen bilgi işlem platformundan API anahtarına veya Compute Resource Token'a erişimi vardır. Dolayısıyla uygulamanın yenileme jetonunu saklamasının ve kullanmasının hiçbir faydası yoktur. Uygulama yeni bir erişim jetonu gerektirdiğinde API anahtarını veya Compute Resource Token'ı tekrar kullanabilir. Bu nedenle IBM Cloud IAM, bu kullanım senaryoları için yenileme belirteçleri üretmeyecektir.
Jeton formatı
IBM Cloud ölçeklenecek şekilde tasarlanmıştır. Bu nedenle, IBM Cloud'daki erişim belirteçleri JSON Web Token biçimini kullanır (ayrıca bkz. RFC 7519). JSON Web Belirteçlerinin standart bir biçimi vardır:

IBM Cloud erişim belirteçlerinin imzası, RS256 asimetrik algoritması kullanılarak oluşturulur. Bu, yalnızca IBM Cloud IAM'in bu erişim belirteçlerini imzalayabileceği ancak herhangi bir IBM Bulut Hizmetinin (ve hatta üçüncü kişi uygulamalarının) imza anahtarının genel kısmını kullanarak bir belirteç imzasının geçerliliğini doğrulayabileceği anlamına gelir. IBM Cloud IAM, şu anda geçerli olan imza anahtarlarının genel kısmını duyurdu okuyun.

IBM Bulut Hizmetleri ve diğer uygulamalar bu anahtarları bir saat boyunca indirip önbelleğe almalıdır. Bu genel imza anahtarlarını kullanarak artık bu tokenların imzasını doğrulayabilirler. Bu şekilde, IBM Bulut Hizmetleri ve API'ler bu belirteçleri herhangi bir ilgili gecikme olmadan doğrulayabilir. Geçerliliğini kontrol etmek için her erişim jetonu için IAM'yi aramaları gerekmez. Doğrulama yükü her bir IBM Bulut Hizmeti ve API ile ölçeklendirildiğinden bu yöntem çok iyi ölçeklenir. Sonuç olarak, bu erişim jetonları iptal edilemez; iptal işlemi, her benimseyenin erişim jetonunu IAM ile kontrol etmesini gerektirir. IAM'e böyle bir çağrı, yukarıda açıklanan tüm avantajları ortadan kaldıracaktır.
Yenileme belirteçleri belgelenmiş herhangi bir formatı izlemez. Bunları yalnızca IBM Cloud IAM oluşturabilir ve anlayabilir. Bir yenileme jetonuna yeni bir erişim jetonu almak için yenileme jetonunun IAM'e gönderilmesi gerekir. IAM daha sonra yenileme jetonunu ve ilgili varlığını doğrulayacak ve çeşitli doğrulamaların başarılı olması durumunda bir erişim jetonu oluşturacaktır. Bu, örneğin ilgili kullanıcının IBMid'den silinmesi veya ilgili Hizmet Kimliğinin artık mevcut olmaması durumunda yenileme belirtecinin yeni bir erişim belirteci oluşturamayacağı anlamına gelir.
Oturum açma oturumları
Son kullanıcı oturum açtığında bir oturum açma oturumu oluşturulur. IBM Bulut Konsolu Veya IBM Bulut Komut Satırı Arayüzü (CLI) istemcisi. Bir kullanıcı oturum açma oturumlarını görüntüleyebilir ve yönetebilir arayüzü kullanma. Kullanıcı, bu kullanıcı arayüzünü kullanarak bireysel oturum açma oturumlarını sonlandırabilir veya kendisi için oturum açma oturumlarına genel bir bakış elde edebilir. Bu şekilde kullanıcı oturum açma oturumlarını inceleyebilir ve iptal edebilir:

Aşağıdaki olaylardan biri meydana gelirse oturum açma oturumu sona erecektir:
- Oturum açma oturumunun süresi doluyor (varsayılan olarak 24 saat)
- Oturum açma oturumu önceden tanımlanmış bir süre boyunca (varsayılan olarak iki saat) aktif olarak kullanılmadı
- Kullanıcı, oturum açma oturumundan manuel olarak çıkış yapar veya oturum açma oturumunu iptal eder
- Çok fazla oturum açma oturumu açıldı (varsayılan olarak sınır yoktur)



Oturum açma oturumu ayarlarını yapılandırma
Bir IBM Cloud hesabının IAM Yöneticisi, oturum açma oturumlarına ilişkin belirli parametreleri yapılandırabilir:
- Aktif oturumlar: Tek bir oturum açma oturumunun maksimum ömrü. Bu süre aşıldıktan sonra oturum açma oturumu süresi dolmuş olarak işaretlenir. Oturum açma kimlik bilgilerini tekrar girerek yeni bir oturum açma oturumu başlatabilirsiniz. Varsayılan 24 saattir. IAM Yöneticileri bu süreyi 720 saate kadar uzatabilir veya 15 dakikaya kadar düşürebilir. Yukarıdaki Şekil 7, 24 saatlik varsayılan kullanım süresinin aşıldığı bir senaryoyu açıklamaktadır.
- Etkinlik olmaması nedeniyle oturumu kapatın: Bir oturum açma oturumu, uygulamanın IAM ile etkileşimine bağlı olarak etkin olarak işaretlenir. Örneğin, bir yenileme jetonunun kullanılması hareketsizlik zamanlayıcısını sıfırlar. Hareketsizliğin tespit edilmesine yönelik değer, bir IAM Yöneticisi tarafından en az 15 dakika veya en fazla 24 saate ayarlanabilir. Varsayılan olarak iki saat kullanılır. Yukarıdaki Şekil 8'de bu senaryo açıklanmakta ve iki saat işlem yapılmaması durumunda oturum açma oturumu sonlandırılmaktadır.
- Birleşen oturumlar: Varsayılan olarak sınırsız sayıda oturum açma oturumu oluşturabilirsiniz. Maksimum oturum açma oturumunu sınırlamanın nedenleri olabilir (örneğin, belirli bir kullanıcı için paralel olarak çalışan komut dosyalarının sayısını sınırlamak). Bu senaryo için eşzamanlı oturumların sınırını ayarlayabilirsiniz. Yeni bir oturum açma oturumu eşzamanlı oturumların sınırını aşarsa, çalışan en eski oturum iptal edilir. Oturumun durumu, Şekil 9'da açıklandığı gibi manuel olarak iptal edilecekmiş gibi aynıdır.
Belirteç süre sonu bölümündeki Erişim belirteçleri ve Belirteçleri yenile için yapılandırma ayarları, oturum açma oturumları için oluşturulan belirteçlerle ilişkili değildir. Bu ayarlar, bağlı bir oturum açma oturumu olmadan mevcut olan belirteçlerin davranışını denetler. Daha fazla ayrıntıyı daha sonra bu blogda bulacaksınız.
Oturum açma oturumları ve belirteçler
Daha önce açıklandığı gibi, IBM Cloud Console ve IBM Cloud CLI, IBM Cloud Hizmetlerini ve IBM Cloud API'lerini çağırabilmek için erişim ve yenileme belirteçleriyle dahili olarak çalışır. IBM Cloud, OAuth 2.0 modelinin güvenliğini, oturum açma oturumlarının oturum yönetimi yetenekleriyle birleştirir.
Oturum açma süresi için, çağıran uygulama (örneğin, IBM Cloud Console) IAM'den bir erişim belirteci ve yenileme belirteci alır. Arka planda IAM bir oturum açma oturumu başlatır ve erişim ve yenileme jetonunu oturum açma oturumuna bağlar. Erişim belirteçleri iptal edilemediği için erişim belirteçlerinin ömrü 20 dakika veya daha azla sınırlıdır.
Erişim belirtecinin süresi dolduğunda, çağıran uygulamanın yeni bir erişim belirteci elde etmek için yenileme belirtecini kullanması gerekir. Oturumda, oturum açma zamanında başlatılan ve bir etkinlik (örneğin, jeton yenileme işlemi) algılandığında sıfırlanan bir etkinlik dışı kalma zamanlayıcısı bulunur. Oturum aktif olarak iptal edilirse, genel oturum süresi dolduğunda veya oturumda etkinlik olmadığı tespit edilirse oturum sona erer. Oturum sona erdiğinde tüm yenileme belirteçleri çalışmayı durdurur.

Oturum açma oturumları olmayan belirteçler
Oturum açma oturumlarının oluşturulması ve sürdürülmesi yoğun bilgi işlem gerektiren bir işlemdir. Bu nedenle IBM Cloud, her etkileşim için bir oturum açma oturumu oluşturamaz. Özellikle hizmet çağrıları için, genellikle oturum açma oturumlarına veya oturumları iptal etme veya belirteçleri yenileme becerisine (makul yaşam süreleri seçilirse) gerek yoktur.
Yenileme belirteçleri olmadan belirteçlere erişme
Bu blogun başında açıklandığı gibi, bir API anahtarı kullanarak bir erişim belirteci oluşturursanız veya bilgi işlem platformunuza göre erişim belirteci alırsanız, yenileme belirteci kullanmanıza gerek yoktur. API anahtarını kullanarak veya bilgi işlem platformunun sağladığı Hesaplama Kaynağı Belirteci'ni temel alarak her zaman yeni bir erişim belirteci oluşturabilirsiniz. Bu nedenle IBM Cloud IAM, bu senaryolarda bir yenileme belirteci oluşturmayacaktır. Ayrıca arka planda oturum açma oturumu oluşturmayacaksınız.
Oturum açma oturumları olmadan belirteçlere erişin ve bunları yenileyin
Hizmet Kimliğini temsil eden bir API anahtarını kullanarak IBM Cloud CLI'de oturum açarsanız, bu etkileşim bir oturum açma oturumu oluşturmayacaktır. Bununla birlikte CLI, bir erişim belirtecinin süresinin dolması için gerekenden daha uzun süre çalışmayı beklemektedir, bu nedenle CLI bir yenileme belirtecine ihtiyaç duyacaktır. IBM Cloud IAM, oturum açma oturumuna bağlı olmayan bir erişim ve yenileme belirteci oluşturacaktır.
Bu belirteçlerin genellikle yalnızca bir CLI içinde ve dolayısıyla kötüye kullanıma karşı makul korumaya sahip bir ortamda kullanılması beklenir.
Belirtecin geçerlilik süresinin yapılandırılması
IAM ayarları, erişim belirteçlerinin ömrünü yapılandırmanıza ve ilgili oturum açma oturumu olmayan belirteçleri yenilemenize olanak tanır:
- Erişim belirteçleri: Bu hesapta oluşturulan erişim belirteçlerinin ömrü, oturum açma oturumlarından bağımsızdır. Varsayılan değer 60 dakikadır. Bu, bir API anahtarı için bir erişim belirteci oluşturuyorsanız, varsayılan olarak, IBM Bulut Hizmetleri tarafından sonraki 60 dakika boyunca geçerli olarak kabul edilecek bir erişim belirtecini alacağınız anlamına gelir. Erişim belirteçlerinin ömrünü sınırlamak istiyorsanız daha küçük bir değer seçebilirsiniz. Gerekli tüm IBM Bulut Hizmetlerini yürütmenize hâlâ olanak tanıyan bir değer seçmeyi düşünün. COS paketleri içinde Data Engine ile arama yapmak gibi daha uzun süren bazı işlemler çalışmayı durdurabilir.
- Jetonları yenile: Varsayılan olarak yenileme belirteçleri 72 saate kadar geçerlidir. Bu, IBM Cloud CLI'de bir Hizmet Kimliği için bir API anahtarıyla oturum açtıysanız, gerektiğinde erişim belirtecini yenileyebileceği için bu IBM Cloud CLI'nin önümüzdeki 72 saat boyunca çalışmaya devam edebileceği anlamına gelir. Hesabınızda böyle bir gereksinim yoksa yenileme tokenlarının ömrünü daha düşük bir değere düşürebilirsiniz. Lütfen bunun, devam etmek için yenileme belirteci kullanan uzun süredir çalışan hizmetler için maksimum yürütme süresini sınırladığını göz önünde bulundurun. Yine bu yapılandırma yalnızca oturum açma oturumlarından bağımsız olarak oluşturulan yenileme belirteçleri için geçerlidir.
ÖZET
IBM Cloud IAM, müşterilerin IBM Bulut Hizmetlerini aramasına olanak sağlamak için erişim belirteçlerini kullanır. API etkileşimleri için IBM Cloud IAM, yenileme belirteçleri oluşturma zorunluluğunu mümkün olduğunca ortadan kaldırır. Bu kuralın bir istisnası, IBM Cloud CLI işlemleri için Hizmet Kimliklerinin kullanılmasıdır. Ayrıca, IBM Cloud ile bir erişim belirtecinin ömrünü aşan uzun süreli etkileşimlere olanak sağlamak için IBM Cloud IAM, son kullanıcıya oturumun sona ermesi ve iptali konusunda kontrol sağlayan oturum açma oturumları sunar.
İhtiyaçlarınızla eşleşip eşleşmediğini görmek için lütfen IAM Ayarlarını inceleyin:

Lütfen bölümdeki erişim ve belirteçleri yenilemeye yönelik iki süre sonu ayarının olduğunu unutmayın. Jeton süresinin dolması yalnızca IBM Cloud CLI içindeki API etkileşimleri ve Hizmet Kimliği oturumlarıyla ilgilidir. IBM Cloud Console'daki veya benzer uygulamalardaki normal kullanıcı oturumları, Giriş oturumu. Erişim belirteçlerinin ve yenileme belirteçlerinin süresinin dolması, aşağıdaki oturum yapılandırma parametrelerinden dolaylı olarak etkilenir. Giriş oturumu.
Daha fazla bilgi edinmek için şu kaynaklara göz atın:
Cloud'dan daha fazlası




IBM Haber Bültenleri
Gelişmekte olan trendlere ilişkin en son düşünce liderliğini ve içgörüleri sunan haber bültenlerimizi ve konu güncellemelerimizi alın.
Şimdi abone
Daha fazla haber bülteni
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.ibm.com/blog/tokens-and-login-sessions-in-ibm-cloud/