Zephyrnet Logosu

IBM Cloud'da belirteçler ve oturum açma oturumları - IBM Blogu

Tarih:


Ağaçlarla kaplı cadde

IBM Cloud kimlik doğrulaması ve yetkilendirmesi, endüstri standardı OAuth 2.0 protokolüne dayanır. OAuth 2.0 hakkında daha fazla bilgiyi şurada bulabilirsiniz: RFC 6749—OAuth 2.0 Yetkilendirme Çerçevesi. OAuth 2.0'ı benimseyenlerin çoğu gibi IBM, IBM Cloud'un ve müşterilerinin gereksinimlerini karşılamak için OAuth 2.0 işlevlerinin bazılarını da genişletti.

Belirteçlere erişme ve yenileme

RFC 6749'da belirtildiği gibi uygulamalar, kimliği doğrulanan kimliği ve izinlerini temsil eden bir erişim belirteci alıyor. Ayrıca IBM Cloud'da erişim belirteci aynı zamanda seçilen geçerli hesabı da temsil eder. Uygulamalar IBM Bulut Hizmetlerini çağırdığında, bu erişim belirteci, arayan hakkında bilgi sağlamak için API çağrısının bir parçası olarak HTTP yetkilendirme başlığı olarak iletilir. Hedef IBM Bulut Hizmeti, yetkilendirme kararını erişim belirtecinin içindeki içeriğe göre verecektir:

Şekil 1: API anahtarı, daha sonra bir hizmeti çağırmak için kullanılan bir IAM erişim belirtecine dönüştürülür.

Belirli kullanım durumları için uygulamalar IAM'den yenileme belirteçlerini de alabilir. Bu şekilde uygulamalar, öncekinin süresi dolduğunda yeni bir erişim belirtecini alabilir. Bu, örneğin IBM Cloud Console veya IBM Cloud CLI için önemlidir, çünkü aksi takdirde, erişim belirtecinin süresi dolduktan sonra (yani en az 60 dakika sonra veya daha önce) son kullanıcının yeniden oturum açması gerekecektir. Yenileme jetonlarının güvenli bir yerde saklanması gerekir ve o zaman bile zaman aşımına uğrarlar. 

IBM Cloud'daki müşteri uygulamalarının, IBM Cloud hizmetlerini çağırabilmek amacıyla bir erişim belirteci oluşturmanın iki yolu vardır:

1. Erişim belirtecini almak için bir API anahtarı kullanın (daha fazla bilgi için buraya bakın):

Şekil 2: Bir IAM API anahtarının bir erişim belirtecine dönüştürülmesi.

2. IBM Cloud tarafından yönetilen bir bilgi işlem platformunda çalıştırırken bir erişim belirteci alın. Bunun nasıl yapılacağına ilişkin talimatlar için lütfen aşağıdaki bloglara bakın:

Şekil 3: Bir İşlem Kaynağı Belirtecinin bir erişim belirtecine dönüştürülmesi.

Her iki durumda da uygulamanın, IBM Cloud tarafından yönetilen bilgi işlem platformundan API anahtarına veya Compute Resource Token'a erişimi vardır. Dolayısıyla uygulamanın yenileme jetonunu saklamasının ve kullanmasının hiçbir faydası yoktur. Uygulama yeni bir erişim jetonu gerektirdiğinde API anahtarını veya Compute Resource Token'ı tekrar kullanabilir. Bu nedenle IBM Cloud IAM, bu kullanım senaryoları için yenileme belirteçleri üretmeyecektir.

Jeton formatı

IBM Cloud ölçeklenecek şekilde tasarlanmıştır. Bu nedenle, IBM Cloud'daki erişim belirteçleri JSON Web Token biçimini kullanır (ayrıca bkz. RFC 7519). JSON Web Belirteçlerinin standart bir biçimi vardır:

Şekil 4: Standart bir JSON Web Belirtecinin formatı.

IBM Cloud erişim belirteçlerinin imzası, RS256 asimetrik algoritması kullanılarak oluşturulur. Bu, yalnızca IBM Cloud IAM'in bu erişim belirteçlerini imzalayabileceği ancak herhangi bir IBM Bulut Hizmetinin (ve hatta üçüncü kişi uygulamalarının) imza anahtarının genel kısmını kullanarak bir belirteç imzasının geçerliliğini doğrulayabileceği anlamına gelir. IBM Cloud IAM, şu anda geçerli olan imza anahtarlarının genel kısmını duyurdu okuyun.

Şekil 5: Anahtar uç noktasının örnek çıktısı.

IBM Bulut Hizmetleri ve diğer uygulamalar bu anahtarları bir saat boyunca indirip önbelleğe almalıdır. Bu genel imza anahtarlarını kullanarak artık bu tokenların imzasını doğrulayabilirler. Bu şekilde, IBM Bulut Hizmetleri ve API'ler bu belirteçleri herhangi bir ilgili gecikme olmadan doğrulayabilir. Geçerliliğini kontrol etmek için her erişim jetonu için IAM'yi aramaları gerekmez. Doğrulama yükü her bir IBM Bulut Hizmeti ve API ile ölçeklendirildiğinden bu yöntem çok iyi ölçeklenir. Sonuç olarak, bu erişim jetonları iptal edilemez; iptal işlemi, her benimseyenin erişim jetonunu IAM ile kontrol etmesini gerektirir. IAM'e böyle bir çağrı, yukarıda açıklanan tüm avantajları ortadan kaldıracaktır.

Yenileme belirteçleri belgelenmiş herhangi bir formatı izlemez. Bunları yalnızca IBM Cloud IAM oluşturabilir ve anlayabilir. Bir yenileme jetonuna yeni bir erişim jetonu almak için yenileme jetonunun IAM'e gönderilmesi gerekir. IAM daha sonra yenileme jetonunu ve ilgili varlığını doğrulayacak ve çeşitli doğrulamaların başarılı olması durumunda bir erişim jetonu oluşturacaktır. Bu, örneğin ilgili kullanıcının IBMid'den silinmesi veya ilgili Hizmet Kimliğinin artık mevcut olmaması durumunda yenileme belirtecinin yeni bir erişim belirteci oluşturamayacağı anlamına gelir.

Oturum açma oturumları

Son kullanıcı oturum açtığında bir oturum açma oturumu oluşturulur. IBM Bulut Konsolu Veya IBM Bulut Komut Satırı Arayüzü (CLI) istemcisi. Bir kullanıcı oturum açma oturumlarını görüntüleyebilir ve yönetebilir arayüzü kullanma. Kullanıcı, bu kullanıcı arayüzünü kullanarak bireysel oturum açma oturumlarını sonlandırabilir veya kendisi için oturum açma oturumlarına genel bir bakış elde edebilir. Bu şekilde kullanıcı oturum açma oturumlarını inceleyebilir ve iptal edebilir:

Şekil 6: Oturum açma oturumuna genel bakış.

Aşağıdaki olaylardan biri meydana gelirse oturum açma oturumu sona erecektir:

  • Oturum açma oturumunun süresi doluyor (varsayılan olarak 24 saat)
  • Oturum açma oturumu önceden tanımlanmış bir süre boyunca (varsayılan olarak iki saat) aktif olarak kullanılmadı
  • Kullanıcı, oturum açma oturumundan manuel olarak çıkış yapar veya oturum açma oturumunu iptal eder
  • Çok fazla oturum açma oturumu açıldı (varsayılan olarak sınır yoktur)
Şekil 7: Oturum açma oturumu 24 saat sonra sona eriyor.
Şekil 8: Oturum açma oturumu iki saat boyunca herhangi bir etkinlik görülmediğinde devre dışı kalıyor.
Şekil 9: Oturum açma oturumu, kullanıcının oturumu kapatma veya iptal etme düğmesine basmasıyla iptal ediliyor.

Oturum açma oturumu ayarlarını yapılandırma

Bir IBM Cloud hesabının IAM Yöneticisi, oturum açma oturumlarına ilişkin belirli parametreleri yapılandırabilir:

  • Aktif oturumlar: Tek bir oturum açma oturumunun maksimum ömrü. Bu süre aşıldıktan sonra oturum açma oturumu süresi dolmuş olarak işaretlenir. Oturum açma kimlik bilgilerini tekrar girerek yeni bir oturum açma oturumu başlatabilirsiniz. Varsayılan 24 saattir. IAM Yöneticileri bu süreyi 720 saate kadar uzatabilir veya 15 dakikaya kadar düşürebilir. Yukarıdaki Şekil 7, 24 saatlik varsayılan kullanım süresinin aşıldığı bir senaryoyu açıklamaktadır.
  • Etkinlik olmaması nedeniyle oturumu kapatın: Bir oturum açma oturumu, uygulamanın IAM ile etkileşimine bağlı olarak etkin olarak işaretlenir. Örneğin, bir yenileme jetonunun kullanılması hareketsizlik zamanlayıcısını sıfırlar. Hareketsizliğin tespit edilmesine yönelik değer, bir IAM Yöneticisi tarafından en az 15 dakika veya en fazla 24 saate ayarlanabilir. Varsayılan olarak iki saat kullanılır. Yukarıdaki Şekil 8'de bu senaryo açıklanmakta ve iki saat işlem yapılmaması durumunda oturum açma oturumu sonlandırılmaktadır.
  • Birleşen oturumlar: Varsayılan olarak sınırsız sayıda oturum açma oturumu oluşturabilirsiniz. Maksimum oturum açma oturumunu sınırlamanın nedenleri olabilir (örneğin, belirli bir kullanıcı için paralel olarak çalışan komut dosyalarının sayısını sınırlamak). Bu senaryo için eşzamanlı oturumların sınırını ayarlayabilirsiniz. Yeni bir oturum açma oturumu eşzamanlı oturumların sınırını aşarsa, çalışan en eski oturum iptal edilir. Oturumun durumu, Şekil 9'da açıklandığı gibi manuel olarak iptal edilecekmiş gibi aynıdır.

Belirteç süre sonu bölümündeki Erişim belirteçleri ve Belirteçleri yenile için yapılandırma ayarları, oturum açma oturumları için oluşturulan belirteçlerle ilişkili değildir. Bu ayarlar, bağlı bir oturum açma oturumu olmadan mevcut olan belirteçlerin davranışını denetler. Daha fazla ayrıntıyı daha sonra bu blogda bulacaksınız.

Oturum açma oturumları ve belirteçler

Daha önce açıklandığı gibi, IBM Cloud Console ve IBM Cloud CLI, IBM Cloud Hizmetlerini ve IBM Cloud API'lerini çağırabilmek için erişim ve yenileme belirteçleriyle dahili olarak çalışır. IBM Cloud, OAuth 2.0 modelinin güvenliğini, oturum açma oturumlarının oturum yönetimi yetenekleriyle birleştirir.

Oturum açma süresi için, çağıran uygulama (örneğin, IBM Cloud Console) IAM'den bir erişim belirteci ve yenileme belirteci alır. Arka planda IAM bir oturum açma oturumu başlatır ve erişim ve yenileme jetonunu oturum açma oturumuna bağlar. Erişim belirteçleri iptal edilemediği için erişim belirteçlerinin ömrü 20 dakika veya daha azla sınırlıdır.

Erişim belirtecinin süresi dolduğunda, çağıran uygulamanın yeni bir erişim belirteci elde etmek için yenileme belirtecini kullanması gerekir. Oturumda, oturum açma zamanında başlatılan ve bir etkinlik (örneğin, jeton yenileme işlemi) algılandığında sıfırlanan bir etkinlik dışı kalma zamanlayıcısı bulunur. Oturum aktif olarak iptal edilirse, genel oturum süresi dolduğunda veya oturumda etkinlik olmadığı tespit edilirse oturum sona erer. Oturum sona erdiğinde tüm yenileme belirteçleri çalışmayı durdurur.

Şekil 10: Oturum açma oturumu, erişim belirteci ve yenileme belirteci arasındaki ilişki.

Oturum açma oturumları olmayan belirteçler

Oturum açma oturumlarının oluşturulması ve sürdürülmesi yoğun bilgi işlem gerektiren bir işlemdir. Bu nedenle IBM Cloud, her etkileşim için bir oturum açma oturumu oluşturamaz. Özellikle hizmet çağrıları için, genellikle oturum açma oturumlarına veya oturumları iptal etme veya belirteçleri yenileme becerisine (makul yaşam süreleri seçilirse) gerek yoktur.

Yenileme belirteçleri olmadan belirteçlere erişme

Bu blogun başında açıklandığı gibi, bir API anahtarı kullanarak bir erişim belirteci oluşturursanız veya bilgi işlem platformunuza göre erişim belirteci alırsanız, yenileme belirteci kullanmanıza gerek yoktur. API anahtarını kullanarak veya bilgi işlem platformunun sağladığı Hesaplama Kaynağı Belirteci'ni temel alarak her zaman yeni bir erişim belirteci oluşturabilirsiniz. Bu nedenle IBM Cloud IAM, bu senaryolarda bir yenileme belirteci oluşturmayacaktır. Ayrıca arka planda oturum açma oturumu oluşturmayacaksınız.

Oturum açma oturumları olmadan belirteçlere erişin ve bunları yenileyin

Hizmet Kimliğini temsil eden bir API anahtarını kullanarak IBM Cloud CLI'de oturum açarsanız, bu etkileşim bir oturum açma oturumu oluşturmayacaktır. Bununla birlikte CLI, bir erişim belirtecinin süresinin dolması için gerekenden daha uzun süre çalışmayı beklemektedir, bu nedenle CLI bir yenileme belirtecine ihtiyaç duyacaktır. IBM Cloud IAM, oturum açma oturumuna bağlı olmayan bir erişim ve yenileme belirteci oluşturacaktır.

Bu belirteçlerin genellikle yalnızca bir CLI içinde ve dolayısıyla kötüye kullanıma karşı makul korumaya sahip bir ortamda kullanılması beklenir.

Belirtecin geçerlilik süresinin yapılandırılması

IAM ayarları, erişim belirteçlerinin ömrünü yapılandırmanıza ve ilgili oturum açma oturumu olmayan belirteçleri yenilemenize olanak tanır:

  • Erişim belirteçleri: Bu hesapta oluşturulan erişim belirteçlerinin ömrü, oturum açma oturumlarından bağımsızdır. Varsayılan değer 60 dakikadır. Bu, bir API anahtarı için bir erişim belirteci oluşturuyorsanız, varsayılan olarak, IBM Bulut Hizmetleri tarafından sonraki 60 dakika boyunca geçerli olarak kabul edilecek bir erişim belirtecini alacağınız anlamına gelir. Erişim belirteçlerinin ömrünü sınırlamak istiyorsanız daha küçük bir değer seçebilirsiniz. Gerekli tüm IBM Bulut Hizmetlerini yürütmenize hâlâ olanak tanıyan bir değer seçmeyi düşünün. COS paketleri içinde Data Engine ile arama yapmak gibi daha uzun süren bazı işlemler çalışmayı durdurabilir.
  • Jetonları yenile: Varsayılan olarak yenileme belirteçleri 72 saate kadar geçerlidir. Bu, IBM Cloud CLI'de bir Hizmet Kimliği için bir API anahtarıyla oturum açtıysanız, gerektiğinde erişim belirtecini yenileyebileceği için bu IBM Cloud CLI'nin önümüzdeki 72 saat boyunca çalışmaya devam edebileceği anlamına gelir. Hesabınızda böyle bir gereksinim yoksa yenileme tokenlarının ömrünü daha düşük bir değere düşürebilirsiniz. Lütfen bunun, devam etmek için yenileme belirteci kullanan uzun süredir çalışan hizmetler için maksimum yürütme süresini sınırladığını göz önünde bulundurun. Yine bu yapılandırma yalnızca oturum açma oturumlarından bağımsız olarak oluşturulan yenileme belirteçleri için geçerlidir.

Özet

IBM Cloud IAM, müşterilerin IBM Bulut Hizmetlerini aramasına olanak sağlamak için erişim belirteçlerini kullanır. API etkileşimleri için IBM Cloud IAM, yenileme belirteçleri oluşturma zorunluluğunu mümkün olduğunca ortadan kaldırır. Bu kuralın bir istisnası, IBM Cloud CLI işlemleri için Hizmet Kimliklerinin kullanılmasıdır. Ayrıca, IBM Cloud ile bir erişim belirtecinin ömrünü aşan uzun süreli etkileşimlere olanak sağlamak için IBM Cloud IAM, son kullanıcıya oturumun sona ermesi ve iptali konusunda kontrol sağlayan oturum açma oturumları sunar.

İhtiyaçlarınızla eşleşip eşleşmediğini görmek için lütfen IAM Ayarlarını inceleyin:

Şekil 11: Oturum açma oturumları ve belirteçlerle ilgili IAM ayarları.

Lütfen bölümdeki erişim ve belirteçleri yenilemeye yönelik iki süre sonu ayarının olduğunu unutmayın. Jeton süresinin dolması yalnızca IBM Cloud CLI içindeki API etkileşimleri ve Hizmet Kimliği oturumlarıyla ilgilidir. IBM Cloud Console'daki veya benzer uygulamalardaki normal kullanıcı oturumları, Giriş oturumu. Erişim belirteçlerinin ve yenileme belirteçlerinin süresinin dolması, aşağıdaki oturum yapılandırma parametrelerinden dolaylı olarak etkilenir. Giriş oturumu.

Daha fazla bilgi edinmek için şu kaynaklara göz atın:


Cloud'dan daha fazlası




Hibrit bulut örnekleri, uygulamalar ve kullanım örnekleri

7 min kırmızı - Kuruluşlar, dijital odaklı iş dünyasının dinamik ortamına ayak uydurmak için genel bulutu, özel bulutu ve şirket içi altyapıyı birleştiren ve birleştiren, aynı zamanda üçünde de orkestrasyon, yönetim ve uygulama taşınabilirliği sağlayan hibrit bulutu benimsemeye devam ediyor. IBM tarafından yaptırılan ve bağımsız bir araştırma firması tarafından yürütülen 2022 tarihli IBM Transformation Index: State of Cloud anketine göre iş ve BT profesyonellerinin %77'sinden fazlası hibrit bulut yaklaşımını benimsediklerini söylüyor. Çevik, esnek ve…




IBM Cloud Functions'tan IBM Code Engine'e nasıl geçilir?

5 min kırmızı - IBM Cloud Functions'tan geçiş yapılırken, IBM Cloud Code Engine olası devreye alma hedeflerinden biridir. Code Engine, aralarından seçim yapabileceğiniz (veya ihtiyaç duyduğunuz) uygulamalar, işler ve (son zamanlarda işlevler) sunar. Bu yazıda bazı tartışma noktaları sunacağız ve Code Engine işlevleriyle nasıl çalışılacağına ilişkin ipuçlarını ve püf noktalarını paylaşacağız. IBM Cloud Code Engine, konteynerleştirilmiş iş yüklerinizi çalıştırmak için (yalnızca değil) tam olarak yönetilen, sunucusuz bir platformdur. Mart 2021'den bu yana çok gelişti…




Sensörler, sinyaller ve sinerji: Downer'ın IBM ile veri araştırmasını geliştirme

3 min kırmızı - Kentsel ulaşım alanında hassasiyet çok önemlidir. Avustralya ve Yeni Zelanda'nın önde gelen entegre hizmet sağlayıcılarından biri olan Downer, kendisini ayrıntılı taşımacılık matrisinin koruyucusu olarak görüyor ve sürekli olarak operasyonel verimliliğini artırmanın yollarını arıyor. Downer, 200'den fazla tren ve çok sayıda sensörle çok büyük miktarda veri biriktirdi. Downer düzenli olarak verilerinden eyleme dönüştürülebilir içgörüler ortaya çıkarırken, IBM® Client Engineering ile olan ortaklıkları bu geniş veri kümesinin ek potansiyelini keşfetmeyi amaçladı.




Hibrit bulut bankacılığı uygulamalarının IBM Cloud ve Satellite genelinde güvenli ve uyumlu devreye alınmasına yönelik en iyi uygulamalar

10 min kırmızı - Finansal Hizmetler müşterileri giderek daha fazla uygulamalarını modernleştirme arayışındadır. Bu, kod geliştirme ve bakımın modernizasyonunu (kıt becerilere yardımcı olmak ve son kullanıcıların ihtiyaç duyduğu inovasyona ve yeni teknolojilere izin vermek) yanı sıra çevik teknikler ve DevSecOps kullanılarak dağıtım ve operasyonların iyileştirilmesini içerir. Müşteriler, modernizasyon yolculuğunun bir parçası olarak, uygulamaları için "amaca en uygun" dağıtım konumunun ne olduğunu belirleme esnekliğine sahip olmak istiyor. Bu, Hibritin bulunduğu ortamlardan herhangi birinde olabilir…

IBM Haber Bültenleri

Gelişmekte olan trendlere ilişkin en son düşünce liderliğini ve içgörüleri sunan haber bültenlerimizi ve konu güncellemelerimizi alın.

Şimdi abone

Daha fazla haber bülteni

spot_img

En Son İstihbarat

spot_img