Cómo funciona Access Management

Access Management es un método para establecer la autenticación de usuario en SANtricity System Manager.

La configuración y la autenticación de usuarios de Access Management funciona de la siguiente manera:
  1. Un administrador inicia sesión en System Manager con un perfil de usuario que incluye permisos de administración de seguridad.
    Nota: La primera vez que se inicia sesión, se muestra automáticamente el nombre de usuario admin, que no se puede cambiar. El usuario admin tiene acceso completo a todas las funciones del sistema.
  2. El administrador navega hasta Access Management en la interfaz de usuario. La cabina de almacenamiento está preconfigurada para utilizar roles de usuario local, que son una implementación de capacidades RBAC (control de acceso basado en roles).
  3. El administrador configura uno o varios de los siguientes métodos de autenticación:
    • Roles de usuario local: la autenticación se gestiona a través de capacidades RBAC aplicadas en la cabina de almacenamiento. Los roles de usuario local incluyen perfiles de usuario predefinidos con permisos de acceso específicos. Los administradores pueden usar estos roles de usuario local como el único método de autenticación o usarlos en combinación con un servicio de directorio. No hace falta configurar nada más allá de las contraseñas de los usuarios.
    • Servicios de directorio: la autenticación se gestiona a través de un LDAP (protocolo ligero de acceso a directorios) y un servicio de directorio, como Active Directory de Microsoft. Un administrador se conecta con el servidor LDAP y luego asigna los usuarios LDAP a los roles de usuario local integrados en la cabina de almacenamiento.
    • SAML: la autenticación se gestiona a través de un proveedor de identidades (IdP) que utiliza lenguaje de marcado de aserción de seguridad (SAML) 2.0. Un administrador establece comunicación entre el sistema IdP y la cabina de almacenamiento, y luego asigna los usuarios IdP a los roles de usuario local integrados en la cabina de almacenamiento.
  4. El administrador ofrece credenciales de inicio de sesión en System Manager para los usuarios.
  5. Los usuarios inician sesión en el sistema con sus credenciales.
    Nota: Si la autenticación se gestiona con SAML y un SSO (inicio de sesión único), el sistema puede omitir el diálogo de inicio de sesión de System Manager.
    Durante el inicio de sesión, el sistema realiza las siguientes tareas en segundo plano:
    • Autentica el nombre de usuario y la contraseña en relación con la cuenta de usuario.
    • Determina los permisos del usuario según los roles asignados.
    • Ofrece acceso al usuario a las tareas en la interfaz de usuario.
    • Muestra el nombre de usuario en la esquina superior derecha de la interfaz.

Tareas disponibles en System Manager

El acceso a las tareas depende de los roles asignados a un usuario, entre los cuales se encuentran los siguientes:
  • Administración de almacenamiento: brinda acceso completo de lectura/escritura a los objetos de almacenamiento (por ejemplo, volúmenes y pools de discos), pero no brinda acceso a la configuración de seguridad.
  • Administración de seguridad: brinda acceso a la configuración de seguridad en Access Management, la gestión de certificados, la gestión de registros de auditorías y la capacidad para activar o desactivar la interfaz de gestión heredada (SYMbol).
  • Administración de soporte: brinda acceso a todos los recursos de hardware de la cabina de almacenamiento, los datos de fallos, los eventos de la lista de eventos principales (MEL) y las actualizaciones del firmware de la controladora. No brinda acceso a los objetos de almacenamiento ni a la configuración de seguridad.
  • Supervisión: brinda acceso de solo lectura a todos los objetos de almacenamiento, pero no brinda acceso a la configuración de seguridad.

Una tarea no disponible está atenuada o no aparece en la interfaz de usuario. Por ejemplo, un usuario con el rol de supervisión puede ver toda la información sobre los volúmenes, pero no puede acceder a funciones para modificarlos. Las pestañas para funciones como Servicios de copia y Añadir a carga de trabajo estarán atenuadas; solo Ver/editar configuración estará disponible.

Limitaciones en SANtricity Unified Manager y SANtricity Storage Manager

Si se configura SAML para una cabina de almacenamiento, los usuarios no pueden detectar ni gestionar el almacenamiento de esa cabina desde las interfaces de SANtricity Unified Manager o SANtricity Storage Manager.

Cuando se configuran los roles de usuario local y los servicios de directorio, los usuarios deben introducir credenciales para poder realizar cualquiera de las siguientes funciones: