アクセス管理は、SANtricity System Managerでユーザ認証を確立する手段の1つです。
アクセス管理設定およびユーザ認証は次のように行います。
- Security Adminの権限を含むユーザ プロファイルでSystem Managerにログインします。
注: 初回ログイン時は、自動的にadminというユーザ名が表示され、変更することはできません。adminユーザには、システムのすべての機能を使用できるフル アクセスが付与されています。
- ユーザ インターフェイスでアクセス管理に移動します。ストレージ アレイはローカル ユーザ ロールを使用するように事前に設定されています。これはロールベース アクセス制御(RBAC)機能により実装されます。
- 次の認証方式を1つ以上設定します。
- ローカル ユーザ ロール – 認証はストレージ アレイに組み込みのRBAC機能を通じて管理されます。ローカル ユーザ ロールには、事前定義のユーザ プロファイルと、特定のアクセス権限を持つロールが含まれます。これらのローカル ユーザ ロールのみを認証方式として使用することも、ディレクトリ サービスと組み合わせて使用することもできます。ユーザのパスワードを設定する以外に特別な設定は不要です。
- ディレクトリ サービス – LDAP(Lightweight Directory Access Protocol)サーバとディレクトリ サービス(MicrosoftのActive Directoryなど)を使用して認証を管理します。管理者がLDAPサーバに接続し、ストレージ アレイに組み込まれているローカル ユーザ ロールにLDAPユーザをマップします。
- SAML – 認証は、アイデンティティ プロバイダ(IdP)を通じ、Security Assertion Markup Language(SAML)2.0を使用して管理されます。管理者がIdPシステムとストレージ アレイの間の通信を確立し、ストレージ アレイに組み込まれているローカル ユーザ ロールにIdPユーザをマップします。
- ユーザにSystem Managerのログイン クレデンシャルを渡します。
- ユーザが自身のクレデンシャルを入力してシステムにログインします。
注: 認証がSAMLとシングル サインオン(SSO)で管理されている場合は、System Managerのログイン ダイアログが省略されることがあります。
ログイン時には、次のバックグラウンド タスクが実行されます。- ユーザ名とパスワードがユーザ アカウントと照合して認証されます。
- 割り当てられたロールに基づいてユーザの権限が決定されます。
- ユーザ インターフェイス内のタスクにユーザがアクセスできるようになります。
- インターフェイスの右上にユーザ名が表示されます。
System Managerで実行可能なタスク
タスクへのアクセスは、ユーザに割り当てられている次のいずれかのロールによって決まります。
- Storage Admin – ストレージ オブジェクト(ボリュームやディスク プールなど)に対する読み取り / 書き込みのフル アクセスが付与されます。セキュリティ設定にはアクセスできません。
- Security Admin – アクセス管理、証明書管理、および監査ログ管理のセキュリティ設定へのアクセスが付与されます。また、従来の管理インターフェイス(SYMbol)のオンとオフを切り替えることができます。
- Support Admin – ストレージ アレイのすべてのハードウェア リソース、障害データ、MELイベント、およびコントローラ ファームウェア アップグレードへのアクセスが付与されます。ストレージ オブジェクトやセキュリティ設定にはアクセスできません。
- Monitor – すべてのストレージ オブジェクトに対する読み取り専用のアクセスが付与されます。セキュリティ設定にはアクセスできません。
使用できないタスクは、ユーザ インターフェイスではグレー表示されるか、非表示になります。たとえば、Monitorロールを持つユーザは、ボリュームに関するすべての情報を表示できますが、そのボリュームを変更するための機能にはアクセスできません。[コピー サービス]や[ワークロードへの追加]などの機能のタブはグレー表示になり、[設定の表示 / 編集]のみが使用できます。
SANtricity Unified ManagerとSANtricity Storage Managerの制限事項
ストレージ アレイにSAMLが設定されている場合、ユーザはそのアレイのストレージをSANtricity Unified ManagerやSANtricity Storage Managerのインターフェイスから検出または管理できません。
ローカル ユーザ ロールとディレクトリ サービスが設定されている場合は、次のいずれかの機能を実行する前に、クレデンシャルを入力する必要があります。
- ストレージ アレイの名前変更
- コントローラ ファームウェアのアップグレード
- ストレージ アレイ構成のロード
- スクリプトの実行
- 未使用のセッションがタイムアウトしたときのアクティブな処理の実行