Sicherheit
Benutzerkonten und Rollen
Änderungen vorschlagen
PDFs
Cloud Insights bietet bis zu vier Benutzerkontorollen: Kontoinhaber, Administrator, Benutzer und Gast. Jedem Konto werden bestimmte Berechtigungsebenen zugewiesen, wie in der folgenden Tabelle angegeben. Es sind auch Benutzer "Eingeladen" Cloud Insights zugewiesen und eine bestimmte Rolle zugewiesen, oder kann über anmelden "SSO-Autorisierung (Single Sign On)" Mit einer Standardrolle. Die SSO-Autorisierung ist als Funktion in der Cloud Insights Premium Edition verfügbar.
|
Benutzeranmeldungen in der Cloud Insights Bundesausgabe sind auf konfigurierte Identitätsanbieter (mit den angegebenen E-Mail-Domains) beschränkt. Wenn ein neuer Benutzer in eine Cloud Insights-Umgebung eingeladen wird, muss seine E-Mail-Adresse mit der für diese Umgebung konfigurierten Domäne übereinstimmen. |
Berechtigungsstufen
Sie verwenden ein Konto mit Administratorrechten zum Erstellen oder Ändern von Benutzerkonten. Jedem Benutzerkonto wird über die folgenden Berechtigungsebenen eine Rolle für jede Cloud Insights-Funktion zugewiesen.
| Rolle | Beobachtbarkeit | Workload-Sicherheit | Berichterstellung |
|---|---|---|---|
Kontoinhaber |
Es können Abonnements geändert, Rechnungs- und Nutzungsinformationen angezeigt und alle Administratorfunktionen für Beobachtbarkeit, Sicherheit und Reporting ausgeführt werden. Eigentümer können außerdem Benutzer einladen und verwalten sowie Einstellungen für SSO Authentifizierung und Identitätsföderation verwalten. Der erste Kontoinhaber wird bei der Registrierung für Cloud Insights erstellt. Es wird dringend empfohlen, für jede Cloud Insights-Umgebung mindestens zwei Account-Inhaber zu haben. |
||
Verwalter |
Es können alle Beobachtungsfunktionen, alle Benutzerfunktionen und das Management von Datensammlern, Beobachtungs-API-Tokens und Benachrichtigungen durchgeführt werden. Ein Administrator kann auch andere Benutzer einladen, kann aber nur Beobachtungs-Rollen zuweisen. |
Alle Sicherheitsfunktionen, einschließlich der Funktionen für Alarme, Forensics, Datensammler, automatisierte Antwortrichtlinien und API Tokens für Sicherheit, sind möglich. Ein Administrator kann auch andere Benutzer einladen, kann aber nur Sicherheitsrollen zuweisen. |
Alle Benutzer-/Author-Funktionen, einschließlich der Verwaltung von Reporting-API-Tokens, sowie alle administrativen Aufgaben wie die Konfiguration von Berichten und das Herunterfahren und Neustarten von Reporting-Aufgaben ausführen. Ein Administrator kann auch andere Benutzer einladen, kann aber nur Berichtsrollen zuweisen. |
Benutzer |
Kann Dashboards, Abfragen, Warnmeldungen, Anmerkungen, Anmerkungsregeln anzeigen und ändern. Und Applikationen managen, und die Geräterauflösung managen. |
Kann Warnungen anzeigen und verwalten und Forensik anzeigen. Benutzer können den Meldungsstatus ändern, Notizen hinzufügen, Snapshots manuell erstellen und den Benutzerzugriff einschränken. |
Kann alle Gast-/Consumer-Funktionen ausführen sowie Berichte und Dashboards erstellen und verwalten. |
Gast |
Schreibgeschützter Zugriff auf Asset-Seiten, Dashboards, Warnmeldungen und Abfragen können angezeigt und ausgeführt werden. |
Kann Warnungen und Forensik anzeigen. Gastrolle kann den Alarmstatus nicht ändern, Notizen hinzufügen, Snapshots manuell erstellen oder den Benutzerzugriff einschränken. |
Es können Berichte angezeigt, geplant und erstellt sowie persönliche Einstellungen wie z. B. für Sprachen und Zeitzonen festgelegt werden. Gäste/Verbraucher können keine Berichte erstellen oder administrative Aufgaben ausführen. |
Die beste Vorgehensweise besteht darin, die Anzahl der Benutzer mit Administratorberechtigungen zu begrenzen. Die größte Anzahl von Konten sollte Benutzer- oder Gastkonten sein.
Cloud Insights-Berechtigungen nach Benutzerrolle
In der folgenden Tabelle sind die Cloud Insights-Berechtigungen aufgeführt, die jeder Benutzerrolle zugewiesen werden.
Merkmal |
Administrator/Kontoinhaber |
Benutzer |
Gast |
Erfassungseinheiten: Hinzufügen/Ändern/Löschen |
Y |
N |
N |
Alerts*: Erstellen/Ändern/Löschen |
Y |
Y |
N |
Alarme*: Anzeigen |
Y |
Y |
Y |
Anmerkungsregeln: Erstellen/Ausführen/Ändern/Löschen |
Y |
Y |
N |
Anmerkungen: Erstellen/Ändern/Zuweisen/Anzeigen/Entfernen/Löschen |
Y |
Y |
N |
API-Zugriff*: Erstellen/Umbenennen/Deaktivieren/Widerruf |
Y |
N |
N |
Anwendungen: Erstellen/Anzeigen/Ändern/Löschen |
Y |
Y |
N |
Asset-Seiten: Ändern |
Y |
Y |
N |
Asset-Seiten: Anzeigen |
Y |
Y |
Y |
Audit: Anzeigen |
Y |
N |
N |
Cloud-Kosten |
Y |
N |
N |
Sicherheit |
Y |
N |
N |
Dashboards: Erstellen/Ändern/Löschen |
Y |
Y |
N |
Dashboards: Anzeigen |
Y |
Y |
Y |
Datensammler: Hinzufügen/Ändern/Poll/Löschen |
Y |
N |
N |
Benachrichtigungen: Anzeigen |
Y |
Y |
Y |
Benachrichtigungen: Ändern |
Y |
N |
N |
Abfragen: Erstellen/Ändern/Löschen |
Y |
Y |
N |
Abfragen: Anzeigen/Ausführen |
Y |
Y |
Y |
Geräteauflösung |
Y |
Y |
N |
Berichte*: Anzeigen/Ausführen |
Y |
Y |
Y |
Berichte*: Erstellen/Ändern/Löschen/Zeitplan |
Y |
Y |
N |
Abonnement: Anzeigen/Ändern |
Y |
N |
N |
Benutzerverwaltung: Laden/Hinzufügen/Ändern/Deaktivieren |
Y |
N |
N |
*Erfordert Premium Edition
Erstellen von Konten durch Einladen von Benutzern
Das Erstellen eines neuen Benutzerkontos wird durch Cloud Central realisiert. Ein Benutzer kann auf die per E-Mail gesendete Einladung antworten. Wenn der Benutzer jedoch kein Konto bei Cloud Central hat, muss er sich bei Cloud Central anmelden, damit er die Einladung annehmen kann.
-
Der Benutzername ist die E-Mail-Adresse der Einladung.
-
Verstehen Sie die Benutzerrollen, die Sie zuweisen möchten.
-
Während der Anmeldung werden Passwörter vom Benutzer definiert.
-
Melden Sie sich bei Cloud Insights an
-
Klicken Sie im Menü auf Admin > Benutzerverwaltung
Der Bildschirm Benutzerverwaltung wird angezeigt. Der Bildschirm enthält eine Liste aller Konten im System.
-
Klicken Sie Auf + Benutzer
Der Bildschirm * Benutzer einladen* wird angezeigt.
-
Geben Sie eine E-Mail-Adresse oder mehrere Adressen für Einladungen ein.
Hinweis: Wenn Sie mehrere Adressen eingeben, werden sie alle mit derselben Rolle erstellt. Sie können nur mehrere Benutzer auf dieselbe Rolle festlegen.
-
Wählen Sie die Benutzerrolle für jede Funktion von Cloud Insights aus.
Welche Funktionen und Rollen Sie wählen können, hängt davon ab, auf welche Funktionen Sie in Ihrer speziellen Administratorrolle zugreifen können. Wenn Sie beispielsweise nur für Berichte eine Administratorrolle haben, können Sie Benutzer einer beliebigen Rolle in der Berichterstattung zuweisen, können aber keine Rollen für Beobachtbarkeit oder Sicherheit zuweisen. 
-
Klicken Sie Auf Einladung
Die Einladung wird an den Benutzer gesendet. Der Benutzer hat 14 Tage Zeit, die Einladung anzunehmen. Sobald ein Benutzer die Einladung akzeptiert hat, wird er an das NetApp Cloud Portal geschickt und dort unter Verwendung der E-Mail-Adresse in der Einladung registriert. Wenn der Kunde bereits ein Konto für diese E-Mail-Adresse hat, kann er sich einfach anmelden und kann dann auf seine Cloud Insights Umgebung zugreifen.
Ändern der Rolle eines vorhandenen Benutzers
Gehen Sie folgendermaßen vor, um die Rolle eines vorhandenen Benutzers zu ändern, einschließlich der Hinzufügung als sekundärer Kontoinhaber.
-
Klicken Sie Auf Admin > Benutzerverwaltung. Auf dem Bildschirm wird eine Liste aller Konten im System angezeigt.
-
Klicken Sie auf den Benutzernamen des Kontos, das Sie ändern möchten.
-
Ändern Sie die Benutzerrolle in jedem Cloud Insights-Funktionssatz nach Bedarf.
-
Klicken Sie Auf Änderungen Speichern.
So weisen Sie einen sekundären Kontoeigentümer zu
Sie müssen zur Beobachtung als Kontoinhaber angemeldet sein, um die Rolle eines Kontoinhabers einem anderen Benutzer zuzuweisen.
-
Klicken Sie Auf Admin > Benutzerverwaltung.
-
Klicken Sie auf den Benutzernamen des Kontos, das Sie ändern möchten.
-
Klicken Sie im Dialogfeld Benutzer auf als Eigentümer zuweisen.
-
Speichern Sie die Änderungen.
Sie können so viele Kontoinhaber haben, wie Sie möchten, aber Best Practice ist, die Rolle des Eigentümers beschränken, um nur Personen auszuwählen.
Benutzer Werden Gelöscht
Ein Benutzer mit der Administratorrolle kann einen Benutzer löschen (z. B. jemand, der nicht mehr mit dem Unternehmen ist), indem er auf den Namen des Benutzers klickt und im Dialogfeld auf „_Benutzer löschen “ klickt. Der Benutzer wird aus der Cloud Insights-Umgebung entfernt.
Beachten Sie, dass alle vom Benutzer erstellten Dashboards, Abfragen usw. auch nach dem Entfernen des Benutzers in der Cloud Insights-Umgebung verfügbar bleiben.
Single Sign On (SSO) und Identity Federation
Aktivierung der Identity Federation für SSO in Cloud Insights
Mit Identity Federation:
-
Die Authentifizierung wird an das Identitätsmanagement-System des Kunden unter Verwendung der Anmeldeinformationen des Kunden aus Ihrem Firmenverzeichnis und der Automatisierungsrichtlinien wie Multi-Faktor Authentication (MFA) delegiert.
-
Benutzer melden sich einmal bei allen NetApp Cloud Services (Single Sign On) an.
Benutzerkonten werden in NetApp Cloud Central für alle Cloud Services gemanagt. Standardmäßig wird die Authentifizierung mithilfe des lokalen Cloud Central-Benutzerprofils durchgeführt. Im Folgenden finden Sie eine vereinfachte Übersicht über diesen Prozess:
Einige Kunden würden jedoch gerne ihren eigenen Identitäts-Provider nutzen, um ihre Benutzer für Cloud Insights und ihre anderen NetApp Cloud Central Services zu authentifizieren. Bei Identity Federation werden NetApp Cloud Central-Konten anhand der Zugangsdaten aus dem Unternehmensverzeichnis authentifiziert.
Im Folgenden finden Sie ein vereinfachtes Beispiel für diesen Prozess:
Im obigen Diagramm, wenn ein Benutzer auf Cloud Insights zugreift, wird dieser Benutzer zur Authentifizierung an das Identitätsmanagementsystem des Kunden weitergeleitet. Sobald das Konto authentifiziert wurde, wird der Benutzer an die Cloud Insights-Mandanten-URL weitergeleitet.
Cloud Central implementiert mithilfe von Auth0 Identity Federation und kann in Dienste wie Active Directory Federation Services (ADFS) und Microsoft Azure Active Directory (AD) integriert werden. Weitere Informationen zur Einrichtung und Konfiguration von Identitätsföderation finden Sie in der Dokumentation zu Cloud Central auf "Identitätsföderation".
Es ist wichtig zu wissen, dass die Änderung der Identitätsföderation in Cloud Central nicht nur für Cloud Insights, sondern auch für alle NetApp Cloud Services gilt. Der Kunde sollte diese Änderung mit dem NetApp Team jedes Cloud Central Produkts besprechen, das er besitzt, um sicherzustellen, dass die verwendete Konfiguration in Verbindung mit Identity Federation funktioniert oder ob bei Konten Anpassungen vorgenommen werden müssen. Der Kunde muss auch sein internes SSO-Team an die Änderung der Identitätsföderation einbinden.
Es ist auch wichtig zu erkennen, dass, sobald die Identitätsföderation aktiviert ist, dass alle Änderungen an der Identitätsanbieter des Unternehmens (z. B. der Wechsel von SAML zu Microsoft AD) wahrscheinlich die Fehlerbehebung / Änderungen / Aufmerksamkeit in Cloud Central erfordern, um die Profile der Benutzer zu aktualisieren.
Automatische Benutzerbereitstellung mit Single Sign On (SSO
Neben der Einladung von Benutzern können Administratoren für alle Benutzer in ihrer Unternehmensdomäne Single Sign-On (SSO)-Benutzerautomatisch-Provisioning-Zugriff auf Cloud Insights aktivieren, ohne sie einzeln einladen zu müssen. Wenn SSO aktiviert ist, kann sich jeder Benutzer mit derselben Domänen-E-Mail-Adresse mithilfe seiner Unternehmensdaten bei Cloud Insights anmelden.
|
|
SSO-Benutzerautomatische Bereitstellung ist in der Cloud Insights Premium Edition verfügbar und muss konfiguriert werden, bevor sie für Cloud Insights aktiviert werden kann. Die Konfiguration für die automatische Bearbeitung von SSO-Benutzern umfasst Folgendes "Identitätsföderation" Durch NetApp Cloud Central, wie im obigen Abschnitt beschrieben. Mit der Federation können Single-Sign-On-Benutzer über die Zugangsdaten aus dem Unternehmensverzeichnis auf Ihre NetApp Cloud Central-Konten zugreifen. Dabei werden offene Standards wie Security Assertion Markup Language 2.0 (SAML) und OpenID Connect (OIDC) verwendet. |
Um SSO User Auto-Provisioning zu konfigurieren, klicken Sie auf der Seite Admin > Benutzerverwaltung auf die Schaltfläche Anforderungsföderation. Nach der Konfiguration können Administratoren dann die SSO-Benutzeranmeldung aktivieren. Wenn ein Administrator SSO User Auto-Provisioning aktiviert, wählen er eine Standardrolle für alle SSO-Benutzer (z. B. Gast oder Benutzer) aus. Benutzer, die sich über SSO anmelden, verfügen über diese Standardrolle.
Gelegentlich möchte ein Administrator einen einzelnen Benutzer aus der Standard-SSO-Rolle heraufstufen (um ihn zum Beispiel zu einem Administrator zu machen). Sie können dies auf der Seite Admin > Benutzerverwaltung durch Klicken auf das rechte Menü für den Benutzer und die Auswahl Rolle zuweisen erreichen. Benutzer, denen auf diese Weise eine explizite Rolle zugewiesen wird, haben auch dann weiterhin Zugriff auf Cloud Insights, wenn SSO User Auto-Provisioning zu einem späteren Zeitpunkt deaktiviert wird.
Wenn der Benutzer die erhöhte Rolle nicht mehr benötigt, können Sie auf das Menü klicken, um Benutzer zu entfernen_. Der Benutzer wird aus der Liste entfernt. Wenn SSO-Benutzerautomatische Bereitstellung aktiviert ist, kann sich der Benutzer mit der Standardrolle weiterhin bei Cloud Insights anmelden.
Sie können SSO-Benutzer ausblenden, indem Sie das Kontrollkästchen SSO-Benutzer anzeigen deaktivieren.
Aktivieren Sie jedoch die automatische Bereitstellung von SSO-Benutzern nicht, wenn eine der folgenden Optionen zutrifft:
-
Ihr Unternehmen verfügt über mehr als einen Cloud Insights-Mandanten
-
Ihr Unternehmen möchte nicht, dass jeder Benutzer in der föderierten Domäne einen gewissen automatischen Zugriff auf den Cloud Insights-Mandanten hat. Zu diesem Zeitpunkt verfügen wir nicht über die Möglichkeit, Gruppen zu nutzen, um den Rollenzugriff mit dieser Option zu steuern.
Einschränken des Zugriffs nach Domäne
Cloud Insights kann den Benutzerzugriff auf die von Ihnen angegebenen Domänen beschränken. Wählen Sie auf der Seite Admin > User Management die Option "Domains einschränken" aus.
Ihnen werden folgende Auswahlmöglichkeiten angezeigt:
-
Keine Einschränkungen: Cloud Insights bleibt Benutzern unabhängig von ihrer Domain zugänglich.
-
Beschränken Sie den Zugriff auf Standarddomänen: Standarddomänen sind die, die von Ihren Cloud Insights-Umgebungs-Kontoeigentümern verwendet werden. Diese Domains sind immer zugänglich.
-
Beschränken Sie den Zugriff auf die von Ihnen angegebenen Standardwerte und Domänen. Führen Sie alle Domänen auf, die Sie Zugriff auf Ihre Cloud Insights-Umgebung haben möchten, zusätzlich zu den Standarddomänen.
