Benutzerkonten und Rollen
Änderungen vorschlagen
PDFs
Data Infrastructure Insights bietet bis zu vier Benutzerkontorollen: Kontoinhaber, Administrator, Benutzer und Gast. Jedem Konto sind bestimmte Berechtigungsstufen zugewiesen, wie in der folgenden Tabelle aufgeführt. Benutzer sind entweder"eingeladen" zu Data Infrastructure Insights und einer bestimmten Rolle zugewiesen, oder können sich anmelden über"Single Sign-On (SSO)-Autorisierung" mit einer Standardrolle. Die SSO-Autorisierung ist als Funktion in der Data Infrastructure Insights Premium Edition verfügbar.
Berechtigungsstufen
Sie verwenden ein Konto mit Administratorrechten, um Benutzerkonten zu erstellen oder zu ändern. Jedem Benutzerkonto wird für jede Data Infrastructure Insights -Funktion eine Rolle aus den folgenden Berechtigungsstufen zugewiesen.
| Rolle | Beobachtbarkeit | Workload-Sicherheit | Berichterstattung | Administrator |
|---|---|---|---|---|
Kontoinhaber |
Dasselbe wie Administrator |
Dasselbe wie Administrator |
Dasselbe wie Administrator |
Dasselbe wie Administrator und außerdem Verwaltung der SSO-Authentifizierung und der Identity Federation-Konfiguration. Kann auch zusätzliche Eigentümer zuweisen. |
Administrator |
Kann alle Observability-Funktionen sowie die Verwaltung von Datensammlern ausführen. |
Kann alle Sicherheitsfunktionen ausführen, einschließlich Warnungen, Forensik, Datensammler, Richtlinien für automatisierte Antworten und API-Token für die Sicherheit. Ein Administrator kann auch andere Benutzer einladen, aber nur Sicherheitsrollen zuweisen. |
Kann alle Benutzer-/Autorenfunktionen ausführen, einschließlich der Verwaltung von Reporting-API-Token, sowie alle Verwaltungsaufgaben wie die Konfiguration von Berichten und das Herunterfahren und Neustarten von Berichtsaufgaben. Ein Administrator kann auch andere Benutzer einladen, aber nur Berichtsrollen zuweisen. |
Kann andere Benutzer einladen, aber nur Observability-Rollen zuweisen. Kann die SSO-Konfiguration anzeigen, aber nicht ändern. Kann API-Zugriffstoken erstellen und verwalten. Kann Auditinformationen anzeigen. Kann Abonnementinformationen, Nutzung und Verlauf anzeigen. Kann globale Empfängerlisten für Warnbenachrichtigungen und Abonnementbenachrichtigungen verwalten. |
Benutzer |
Kann Dashboards, Abfragen, Warnungen, Anmerkungen, Anmerkungsregeln und Anwendungen anzeigen und ändern sowie die Geräteauflösung verwalten. |
Kann Warnungen anzeigen und verwalten sowie forensische Daten anzeigen. Die Benutzerrolle kann den Alarmstatus ändern, eine Notiz hinzufügen, manuell Schnappschüsse erstellen und den eingeschränkten Benutzerzugriff verwalten. |
Kann alle Gast-/Verbraucherfunktionen ausführen sowie Berichte und Dashboards erstellen und verwalten. |
Nicht verfügbar |
Gast |
Hat schreibgeschützten Zugriff auf Asset-Seiten, Dashboards und Warnungen und kann Abfragen anzeigen und ausführen. |
Kann Warnungen und Forensik anzeigen. Mit der Gastrolle können Sie den Alarmstatus nicht ändern, keine Notiz hinzufügen, manuell Schnappschüsse erstellen oder den Benutzerzugriff einschränken. |
Kann Berichte anzeigen, planen und ausführen und persönliche Einstellungen wie Sprachen und Zeitzonen festlegen. Gäste/Verbraucher können keine Berichte erstellen oder Verwaltungsaufgaben ausführen. |
Nicht verfügbar |
Es empfiehlt sich, die Anzahl der Benutzer mit Administratorberechtigungen zu begrenzen. Die meisten Konten sollten Benutzer- oder Gastkonten sein.
Data Infrastructure Insights Berechtigungen nach Benutzerrolle
Die folgende Tabelle zeigt die den einzelnen Benutzerrollen erteilten Data Infrastructure Insights Berechtigungen.
Funktion |
Administrator/Kontoinhaber |
Benutzer |
Gast |
Erfassungseinheiten: Hinzufügen/Ändern/Löschen |
Y |
N |
N |
Warnungen*: Erstellen/Ändern/Löschen |
Y |
Y |
N |
Benachrichtigungen*: Anzeigen |
Y |
Y |
Y |
Anmerkungsregeln: Erstellen/Ausführen/Ändern/Löschen |
Y |
Y |
N |
Anmerkungen: Erstellen/Ändern/Zuweisen/Anzeigen/Entfernen/Löschen |
Y |
Y |
N |
API-Zugriff*: Erstellen/Umbenennen/Deaktivieren/Widerrufen |
Y |
N |
N |
Anwendungen: Erstellen/Anzeigen/Ändern/Löschen |
Y |
Y |
N |
Asset-Seiten: Ändern |
Y |
Y |
N |
Asset-Seiten: Ansicht |
Y |
Y |
Y |
Audit: Anzeigen |
Y |
N |
N |
Cloud-Kosten |
Y |
N |
N |
Sicherheit |
Y |
N |
N |
Dashboards: Erstellen/Ändern/Löschen |
Y |
Y |
N |
Dashboards: Ansicht |
Y |
Y |
Y |
Datensammler: Hinzufügen/Ändern/Abfragen/Löschen |
Y |
N |
N |
Benachrichtigungen: Anzeigen |
Y |
Y |
Y |
Benachrichtigungen: Ändern |
Y |
N |
N |
Abfragen: Erstellen/Ändern/Löschen |
Y |
Y |
N |
Abfragen: Anzeigen/Ausführen |
Y |
Y |
Y |
Geräteauflösung |
Y |
Y |
N |
Berichte*: Anzeigen/Ausführen |
Y |
Y |
Y |
Berichte*: Erstellen/Ändern/Löschen/Planen |
Y |
Y |
N |
Abonnement: Anzeigen/Ändern |
Y |
N |
N |
Benutzerverwaltung: Einladen/Hinzufügen/Ändern/Deaktivieren |
Y |
N |
N |
*Erfordert Premium Edition
Erstellen von Konten durch Einladen von Benutzern
Das Erstellen eines neuen Benutzerkontos erfolgt über die NetApp Console. Ein Benutzer kann auf die per E-Mail gesendete Einladung antworten. Wenn der Benutzer jedoch kein Konto bei Console hat, muss er sich anmelden, damit er die Einladung annehmen kann.
-
Der Benutzername ist die E-Mail-Adresse der Einladung.
-
Machen Sie sich mit den Benutzerrollen vertraut, die Sie zuweisen werden.
-
Passwörter werden vom Benutzer während des Anmeldevorgangs festgelegt.
-
Melden Sie sich bei Data Infrastructure Insights an
-
Klicken Sie im Menü auf Admin > Benutzerverwaltung
Der Bildschirm „Benutzerverwaltung“ wird angezeigt. Der Bildschirm enthält eine Liste aller Konten im System.
-
Klicken Sie auf + Benutzer
Der Bildschirm Benutzer einladen wird angezeigt.
-
Geben Sie für Einladungen eine oder mehrere E-Mail-Adressen ein.
Hinweis: Wenn Sie mehrere Adressen eingeben, werden sie alle mit derselben Rolle erstellt. Sie können mehreren Benutzern nur dieselbe Rolle zuweisen.
-
Wählen Sie die Rolle des Benutzers für jede Funktion von Data Infrastructure Insights aus.
Die Funktionen und Rollen, aus denen Sie auswählen können, hängen davon ab, auf welche Funktionen Sie in Ihrer jeweiligen Administratorrolle Zugriff haben. Wenn Sie beispielsweise nur für die Berichterstellung über die Administratorrolle verfügen, können Sie Benutzern in der Berichterstellung jede beliebige Rolle zuweisen, jedoch keine Rollen für die Beobachtbarkeit oder Sicherheit. 
-
Klicken Sie auf Einladen
Die Einladung wird an den Benutzer gesendet. Benutzer haben 14 Tage Zeit, die Einladung anzunehmen. Sobald ein Benutzer die Einladung annimmt, wird er zum NetApp Cloud Portal weitergeleitet, wo er sich mit der E-Mail-Adresse in der Einladung anmeldet. Wenn sie bereits über ein Konto für diese E-Mail-Adresse verfügen, können sie sich einfach anmelden und haben dann Zugriff auf ihre Data Infrastructure Insights -Umgebung.
Ändern der Rolle eines vorhandenen Benutzers
Um die Rolle eines vorhandenen Benutzers zu ändern, einschließlich der Hinzufügung als sekundärer Kontoinhaber, führen Sie die folgenden Schritte aus.
-
Klicken Sie auf Admin > Benutzerverwaltung. Auf dem Bildschirm wird eine Liste aller Konten im System angezeigt.
-
Klicken Sie auf den Benutzernamen des Kontos, das Sie ändern möchten.
-
Ändern Sie die Rolle des Benutzers in jedem Data Infrastructure Insights -Funktionssatz nach Bedarf.
-
Klicken Sie auf Änderungen speichern.
So weisen Sie einen sekundären Kontoinhaber zu
Sie müssen als Kontoinhaber für Observability angemeldet sein, um die Rolle des Kontoinhabers einem anderen Benutzer zuweisen zu können.
-
Klicken Sie auf Admin > Benutzerverwaltung.
-
Klicken Sie auf den Benutzernamen des Kontos, das Sie ändern möchten.
-
Klicken Sie im Benutzerdialog auf Als Eigentümer zuweisen.
-
Speichern Sie die Änderungen.
Sie können so viele Kontoinhaber haben, wie Sie möchten. Es empfiehlt sich jedoch, die Inhaberrolle auf ausgewählte Personen zu beschränken.
Löschen von Benutzern
Ein Benutzer mit der Administratorrolle kann einen Benutzer löschen (z. B. jemanden, der nicht mehr im Unternehmen ist), indem er auf den Namen des Benutzers klickt und im Dialogfeld auf Benutzer löschen klickt. Der Benutzer wird aus der Data Infrastructure Insights -Umgebung entfernt.
Beachten Sie, dass alle vom Benutzer erstellten Dashboards, Abfragen usw. auch nach der Entfernung des Benutzers in der Data Infrastructure Insights -Umgebung verfügbar bleiben.
Single Sign-On (SSO) und Identitätsföderation
Was ist Identitätsföderation?
Mit Identity Federation:
-
Die Authentifizierung wird an das Identitätsmanagementsystem des Kunden delegiert, wobei die Anmeldeinformationen des Kunden aus Ihrem Unternehmensverzeichnis und Automatisierungsrichtlinien wie die Multi-Faktor-Authentifizierung (MFA) verwendet werden.
-
Benutzer melden sich einmalig bei allen NetApp Console Services an (Single Sign On).
Benutzerkonten werden für alle Cloud-Dienste in der NetApp Console verwaltet. Standardmäßig erfolgt die Authentifizierung mithilfe eines lokalen Konsolenbenutzerprofils. Nachfolgend finden Sie eine vereinfachte Übersicht über diesen Prozess:
Einige Kunden möchten jedoch ihren eigenen Identitätsanbieter verwenden, um ihre Benutzer für Data Infrastructure Insights und ihre anderen NetApp Console Services zu authentifizieren. Mit Identity Federation werden NetApp Console mithilfe von Anmeldeinformationen aus Ihrem Unternehmensverzeichnis authentifiziert.
Das Folgende ist ein vereinfachtes Beispiel für diesen Prozess:
Wenn ein Benutzer im obigen Diagramm auf Data Infrastructure Insights zugreift, wird er zur Authentifizierung an das Identitätsverwaltungssystem des Kunden weitergeleitet. Sobald das Konto authentifiziert ist, wird der Benutzer zur URL des Data Infrastructure Insights Mandanten weitergeleitet.
Aktivieren der Identitätsföderation
Die Konsole verwendet Auth0, um die Identitätsföderation zu implementieren und in Dienste wie Active Directory Federation Services (ADFS) und Microsoft Azure Active Directory (AD) zu integrieren. Informationen zum Konfigurieren der Identitätsföderation finden Sie im"Anweisungen zur Föderation" .
|
|
Sie müssen Identity Federation konfigurieren, bevor Sie SSO mit Data Infrastructure Insights verwenden können. |
Es ist wichtig zu verstehen, dass die Änderung der Identitätsföderation nicht nur für Data Infrastructure Insights, sondern für alle NetApp Console Services gilt. Der Kunde sollte diese Änderung mit dem NetApp Team jedes seiner Produkte besprechen, um sicherzustellen, dass die von ihm verwendete Konfiguration mit Identity Federation funktioniert oder ob an Konten Anpassungen vorgenommen werden müssen. Der Kunde muss auch sein internes SSO-Team in die Umstellung auf die Identitätsföderation einbeziehen.
Es ist auch wichtig zu wissen, dass nach der Aktivierung der Identitätsföderation alle Änderungen am Identitätsanbieter des Unternehmens (z. B. die Umstellung von SAML auf Microsoft AD) wahrscheinlich eine Fehlerbehebung/Änderungen/Aufmerksamkeit erfordern, um die Profile der Benutzer zu aktualisieren.
Für dieses oder andere Föderationsprobleme können Sie ein Support-Ticket eröffnen unter https://mysupport.netapp.com/site/help .
Automatische Benutzerbereitstellung per Single Sign-On (SSO)
Zusätzlich zum Einladen von Benutzern können Administratoren allen Benutzern in ihrer Unternehmensdomäne den Zugriff auf Data Infrastructure Insights per Single Sign-On (SSO) User Auto-Provisioning ermöglichen, ohne sie einzeln einladen zu müssen. Wenn SSO aktiviert ist, kann sich jeder Benutzer mit derselben Domänen-E-Mail-Adresse mit seinen Unternehmensanmeldeinformationen bei Data Infrastructure Insights anmelden.
|
|
SSO User Auto-Provisioning ist in der Data Infrastructure Insights Premium Edition verfügbar und muss konfiguriert werden, bevor es für Data Infrastructure Insights aktiviert werden kann. Die Konfiguration der automatischen SSO-Benutzerbereitstellung umfasst"Identitätsföderation" über die NetApp Console , wie im obigen Abschnitt beschrieben. Durch die Föderation können Single-Sign-On-Benutzer mithilfe von Anmeldeinformationen aus Ihrem Unternehmensverzeichnis auf Ihre NetApp Console Konsolenkonten zugreifen. Dabei kommen offene Standards wie Security Assertion Markup Language 2.0 (SAML) und OpenID Connect (OIDC) zum Einsatz. |
Um die automatische SSO-Benutzerbereitstellung auf der Seite Admin > Benutzerverwaltung zu konfigurieren, müssen Sie zunächst die Identitätsföderation eingerichtet haben. Wählen Sie im Banner den Link Föderation einrichten, um mit der Konsolenföderation fortzufahren. Sobald dies konfiguriert ist, können Data Infrastructure Insights Administratoren die SSO-Benutzeranmeldung aktivieren. Wenn ein Administrator die automatische SSO-Benutzerbereitstellung aktiviert, wählt er eine Standardrolle für alle SSO-Benutzer (z. B. Gast oder Benutzer). Benutzer, die sich über SSO anmelden, haben diese Standardrolle.
Gelegentlich möchte ein Administrator einen einzelnen Benutzer aus der SSO-Standardrolle herausstufen (beispielsweise um ihn zum Administrator zu machen). Dies können Sie auf der Seite Admin > Benutzerverwaltung erreichen, indem Sie auf das Menü auf der rechten Seite des Benutzers klicken und Rolle zuweisen auswählen. Benutzer, denen auf diese Weise eine explizite Rolle zugewiesen wird, haben weiterhin Zugriff auf Data Infrastructure Insights, auch wenn die automatische SSO-Benutzerbereitstellung anschließend deaktiviert wird.
Wenn der Benutzer die erhöhte Rolle nicht mehr benötigt, können Sie auf das Menü klicken, um Benutzer zu entfernen. Der Benutzer wird aus der Liste entfernt. Wenn die automatische SSO-Benutzerbereitstellung aktiviert ist, kann sich der Benutzer weiterhin mit der Standardrolle über SSO bei Data Infrastructure Insights anmelden.
Sie können SSO-Benutzer ausblenden, indem Sie das Kontrollkästchen SSO-Benutzer anzeigen deaktivieren.
Aktivieren Sie die automatische SSO-Benutzerbereitstellung jedoch nicht, wenn einer der folgenden Punkte zutrifft:
-
Ihre Organisation verfügt über mehr als einen Data Infrastructure Insights Mandanten
-
Ihre Organisation möchte nicht, dass jeder Benutzer in der Verbunddomäne einen gewissen Grad an automatischem Zugriff auf den Data Infrastructure Insights Mandanten hat. Zum jetzigen Zeitpunkt haben wir nicht die Möglichkeit, mit dieser Option Gruppen zur Steuerung des Rollenzugriffs zu verwenden.
Zugriffsbeschränkung nach Domäne
Data Infrastructure Insights kann den Benutzerzugriff auf die von Ihnen angegebenen Domänen beschränken. Wählen Sie auf der Seite Admin > Benutzerverwaltung die Option „Domänen einschränken“ aus.
Ihnen stehen folgende Auswahlmöglichkeiten zur Verfügung:
-
Keine Einschränkungen: Data Infrastructure Insights bleibt für Benutzer unabhängig von ihrer Domäne zugänglich.
-
Beschränken Sie den Zugriff auf Standarddomänen: Standarddomänen sind diejenigen, die von den Kontobesitzern Ihrer Data Infrastructure Insights -Umgebung verwendet werden. Diese Domänen sind immer zugänglich.
-
Beschränken Sie den Zugriff auf die Standardeinstellungen und die von Ihnen angegebenen Domänen. Listen Sie alle Domänen auf, die zusätzlich zu den Standarddomänen Zugriff auf Ihre Data Infrastructure Insights -Umgebung haben sollen.
