Sécurité
Comptes utilisateur et rôles
Suggérer des modifications
PDF
Cloud Insights fournit jusqu'à quatre rôles de compte utilisateur : propriétaire, administrateur, utilisateur et invité du compte. Chaque compte se voit attribuer des niveaux d'autorisation spécifiques, comme indiqué dans le tableau ci-dessous. Les utilisateurs le sont "invités" À Cloud Insights et a attribué un rôle spécifique, ou peut se connecter via "Autorisation SSO (Single Sign-On)" avec un rôle par défaut. L'autorisation SSO est disponible en tant que fonctionnalité dans Cloud Insights Premium Edition.
|
Les ouvertures de session utilisateur dans l'édition fédérale de Cloud Insights sont limitées aux fournisseurs d'identité configurés (avec leurs domaines de messagerie spécifiés). Lorsqu'un nouvel utilisateur est invité à un environnement fédéral Cloud Insights, son adresse e-mail doit correspondre au domaine configuré pour cet environnement. |
Niveaux d'autorisation
Vous utilisez un compte disposant des privilèges d'administrateur pour créer ou modifier des comptes d'utilisateur. Chaque compte utilisateur se voit attribuer un rôle pour chaque fonctionnalité Cloud Insights des niveaux d'autorisation suivants.
| Rôle | Observabilité | Sécurité des workloads | Création de rapports |
|---|---|---|---|
Propriétaire du compte |
Peut modifier les abonnements, afficher les informations de facturation et d'utilisation et exécuter toutes les fonctions d'administrateur pour l'observabilité, la sécurité et la création de rapports. Les propriétaires peuvent également inviter et gérer des utilisateurs, ainsi que gérer les paramètres d'authentification SSO et de fédération d'identités. Le premier propriétaire du compte est créé lorsque vous vous inscrivez à Cloud Insights. Il est vivement recommandé d'avoir au moins deux propriétaires de compte pour chaque environnement Cloud Insights. |
||
Administrateur |
Peut exécuter toutes les fonctions d'observabilité, toutes les fonctions utilisateur, ainsi que la gestion des collecteurs de données, des jetons API d'observabilité et des notifications. Un administrateur peut aussi inviter d'autres utilisateurs, mais ne peut attribuer que des rôles d'observabilité. |
Peut exécuter toutes les fonctions de sécurité, y compris celles pour les alertes, les analyses approfondies, les collecteurs de données, les stratégies de réponse automatisées et les jetons d'API pour la sécurité. Un administrateur peut également inviter d'autres utilisateurs, mais peut uniquement attribuer des rôles de sécurité. |
Peut exécuter toutes les fonctions utilisateur/auteur, y compris la gestion des tokens API Reporting, ainsi que toutes les tâches administratives telles que la configuration des rapports, l'arrêt et le redémarrage des tâches de reporting. Un administrateur peut également inviter d'autres utilisateurs, mais peut uniquement attribuer des rôles de rapport. |
Utilisateur |
Peut afficher et modifier les tableaux de bord, les requêtes, les alertes, les annotations, les règles d'annotation, et des applications, et gérez la résolution des périphériques. |
Peut afficher et gérer des alertes et afficher des informations judiciaires. Le rôle de l'utilisateur peut modifier l'état des alertes, ajouter une note, effectuer des instantanés manuellement et gérer l'accès des utilisateurs limité. |
Peut exécuter toutes les fonctions invité/consommateur ainsi que créer et gérer des rapports et des tableaux de bord. |
Invité |
Dispose d'un accès en lecture seule aux pages de ressources, aux tableaux de bord, aux alertes et peut afficher et exécuter des requêtes. |
Peut afficher les alertes et les analyses approfondies. Le rôle invité ne peut pas modifier le statut des alertes, ajouter une note, effectuer des instantanés manuellement ou restreindre l'accès des utilisateurs. |
Permet d'afficher, de planifier et d'exécuter des rapports et de définir des préférences personnelles telles que celles pour les langues et les fuseaux horaires. Les clients/clients ne peuvent pas créer de rapports ni effectuer des tâches administratives. |
La meilleure pratique consiste à limiter le nombre d'utilisateurs disposant d'autorisations d'administrateur. Le plus grand nombre de comptes doit être celui des comptes utilisateur ou invités.
Autorisations Cloud Insights par rôle utilisateur
Le tableau suivant présente les autorisations Cloud Insights accordées à chaque rôle d'utilisateur.
Fonction |
Administrateur/propriétaire du compte |
Utilisateur |
Invité |
Unités d'acquisition : ajouter/Modifier/Supprimer |
Y |
N |
N |
Alertes* : créer/Modifier/Supprimer |
Y |
Y |
N |
Alertes*: Affichage |
Y |
Y |
Y |
Règles d'annotation : créer/Exécuter/Modifier/Supprimer |
Y |
Y |
N |
Annotations : créer/Modifier/affecter/Afficher/Supprimer/Supprimer |
Y |
Y |
N |
Accès API* : créer/Renommer/Désactiver/révoquer |
Y |
N |
N |
Applications : créer/Afficher/Modifier/Supprimer |
Y |
Y |
N |
Pages de ressources : modifier |
Y |
Y |
N |
Pages de ressources : afficher |
Y |
Y |
Y |
Audit : afficher |
Y |
N |
N |
Coût du cloud |
Y |
N |
N |
Sécurité |
Y |
N |
N |
Tableaux de bord : créer/Modifier/Supprimer |
Y |
Y |
N |
Tableaux de bord : vue |
Y |
Y |
Y |
Collecteurs de données : ajouter/Modifier/Sondage/Supprimer |
Y |
N |
N |
Notifications : afficher |
Y |
Y |
Y |
Notifications : modifier |
Y |
N |
N |
Requêtes : créer/Modifier/Supprimer |
Y |
Y |
N |
Requêtes : afficher/exécuter |
Y |
Y |
Y |
Résolution du périphérique |
Y |
Y |
N |
Rapports* : afficher/Exécuter |
Y |
Y |
Y |
Rapports* : créer/Modifier/Supprimer/planifier |
Y |
Y |
N |
Abonnement : afficher/Modifier |
Y |
N |
N |
Gestion des utilisateurs : inviter/Ajouter/Modifier/Désactiver |
Y |
N |
N |
*Nécessite Premium Edition
Créer des comptes en invitant des utilisateurs
La création d'un compte utilisateur est possible via BlueXP. Un utilisateur peut répondre à l'invitation envoyée par e-mail, mais s'il ne dispose pas d'un compte BlueXP, il doit s'inscrire auprès de BlueXP pour accepter l'invitation.
-
Le nom d'utilisateur est l'adresse électronique de l'invitation.
-
Comprendre les rôles utilisateur que vous allez attribuer.
-
Les mots de passe sont définis par l'utilisateur pendant le processus d'inscription.
-
Connectez-vous à Cloud Insights
-
Dans le menu, cliquez sur Admin > gestion des utilisateurs
L'écran gestion des utilisateurs s'affiche. L'écran contient une liste de tous les comptes du système.
-
Cliquez sur + utilisateur
L'écran inviter utilisateur s'affiche.
-
Entrez une adresse e-mail ou plusieurs adresses pour les invitations.
Remarque : lorsque vous saisissez plusieurs adresses, elles sont toutes créées avec le même rôle. Vous ne pouvez définir que plusieurs utilisateurs sur le même rôle.
-
Sélectionnez le rôle de l'utilisateur pour chaque fonctionnalité de Cloud Insights.
Les fonctions et les rôles que vous pouvez choisir dépendent des fonctionnalités auxquelles vous avez accès dans votre rôle d'administrateur particulier. Par exemple, si vous avez un rôle d'administrateur uniquement pour Reporting, vous serez en mesure d'affecter des utilisateurs à n'importe quel rôle dans Reporting, mais vous ne pourrez pas attribuer de rôles à des fins d'observabilité ou de sécurité. 
-
Cliquez sur inviter
L'invitation est envoyée à l'utilisateur. Les utilisateurs auront 14 jours pour accepter l'invitation. Une fois l'invitation acceptée, l'utilisateur sera redirigé vers le portail NetApp Cloud Portal où il utilisera l'adresse e-mail de l'invitation. S'il dispose déjà d'un compte pour cette adresse e-mail, il peut simplement se connecter et accéder à son environnement Cloud Insights.
Modification du rôle d'un utilisateur existant
Pour modifier le rôle d'un utilisateur existant, y compris l'ajouter en tant que propriétaire de compte secondaire, procédez comme suit.
-
Cliquez sur Admin > gestion des utilisateurs. L'écran affiche la liste de tous les comptes du système.
-
Cliquez sur le nom d'utilisateur du compte que vous souhaitez modifier.
-
Modifiez le rôle de l'utilisateur dans chaque jeu de fonctions Cloud Insights si nécessaire.
-
Cliquez sur Enregistrer les modifications.
Pour attribuer un propriétaire de compte secondaire
Vous devez être connecté en tant que propriétaire de compte pour l'observabilité afin d'affecter le rôle propriétaire du compte à un autre utilisateur.
-
Cliquez sur Admin > gestion des utilisateurs.
-
Cliquez sur le nom d'utilisateur du compte que vous souhaitez modifier.
-
Dans la boîte de dialogue utilisateur, cliquez sur attribuer en tant que propriétaire.
-
Enregistrez les modifications.
Vous pouvez avoir autant de propriétaires de compte que vous le souhaitez, mais la meilleure pratique consiste à limiter le rôle de propriétaire à seulement sélectionner des personnes.
Suppression d'utilisateurs
Un utilisateur avec le rôle Administrateur peut supprimer un utilisateur (par exemple, quelqu'un n'ayant plus la société) en cliquant sur le nom de l'utilisateur et en cliquant sur Supprimer l'utilisateur dans la boîte de dialogue. L'utilisateur sera supprimé de l'environnement Cloud Insights.
Notez que les tableaux de bord, les requêtes, etc. Créés par l'utilisateur restent disponibles dans l'environnement Cloud Insights même après la suppression de l'utilisateur.
Authentification unique (SSO) et fédération des identités
Qu'est-ce que la fédération des identités ?
Avec la fédération des identités :
-
L'authentification est déléguée au système de gestion des identités du client, en utilisant les informations d'identification du client de votre annuaire d'entreprise et les stratégies d'automatisation telles que l'authentification multifacteur (MFA).
-
Les utilisateurs se connectent une seule fois à tous les services NetApp BlueXP (authentification unique).
Les comptes utilisateur sont gérés dans NetApp BlueXP pour tous les services cloud. Par défaut, l'authentification s'effectue à l'aide d'un profil utilisateur local BlueXP. Voici une présentation simplifiée de ce processus :
Cependant, certains clients souhaitent utiliser leur propre fournisseur d'identité pour authentifier leurs utilisateurs pour Cloud Insights et leurs autres services NetApp BlueXP. Grâce à la fédération des identités, les comptes NetApp BlueXP sont authentifiés à l'aide d'informations d'identification provenant de votre annuaire d'entreprise.
Voici un exemple simplifié de ce processus :
Dans le diagramme ci-dessus, lorsqu'un utilisateur accède à Cloud Insights, cet utilisateur est dirigé vers le système de gestion des identités du client pour l'authentification. Une fois le compte authentifié, l'utilisateur est dirigé vers l'URL du locataire Cloud Insights.
Activation de la fédération des identités
BlueXP utilise Auth0 pour implémenter la fédération des identités et intégrer des services tels que ADFS (Active Directory Federation Services) et Active Directory de Microsoft Azure. Pour configurer la fédération des identités, reportez-vous au "Instructions de fédération BlueXP".
|
|
Vous devez configurer la fédération des identités BlueXP avant de pouvoir utiliser SSO avec Cloud Insights. |
Il est important de comprendre que la modification de la fédération des identités dans BlueXP s'appliquera non seulement à Cloud Insights, mais aussi à tous les services NetApp BlueXP. Le client doit discuter de ce changement avec l'équipe NetApp de chaque produit BlueXP qu'il possède pour s'assurer que la configuration qu'il utilise fonctionnera avec la fédération des identités ou si des ajustements doivent être effectués sur les comptes. Le client devra également faire appel à son équipe interne SSO pour modifier la fédération des identités.
Il est également important de réaliser qu'une fois la fédération des identités activée, toute modification du fournisseur d'identité de l'entreprise (comme le passage de SAML à Microsoft AD) nécessitera probablement des dépannages/modifications/une attention particulière dans BlueXP pour mettre à jour les profils des utilisateurs.
Pour ce problème ou pour tout autre problème de fédération, vous pouvez ouvrir un ticket d'assistance à l'adresse https://mysupport.netapp.com/site/help Et sélectionner la catégorie « bluexp.netapp.com > problèmes de fédération ».
Mise en service automatique par l'utilisateur SSO
En plus d'inviter des utilisateurs, les administrateurs peuvent activer l'accès à Cloud Insights * Single Sign-on (SSO) User Auto-Provisioning* pour tous les utilisateurs de leur domaine d'entreprise, sans avoir à les inviter individuellement. Avec SSO activé, tous les utilisateurs disposant de la même adresse e-mail de domaine peuvent se connecter à Cloud Insights à l'aide de leurs informations d'identification d'entreprise.
|
|
SSO User Auto-Provisioning est disponible dans Cloud Insights Premium Edition et doit être configuré avant de pouvoir être activé pour Cloud Insights. La configuration de l'auto-provisioning utilisateur SSO inclut "Fédération des identités" Via NetApp BlueXP comme décrit dans la section ci-dessus. La fédération permet aux utilisateurs d'authentification unique d'accéder à vos comptes NetApp BlueXP à l'aide d'identifiants de votre répertoire d'entreprise, en utilisant des normes ouvertes telles que le langage SAML (Security assertion Markup Language 2.0) et OpenID Connect (OIDC). |
Pour configurer SSO User Auto-Provisioning, vous devez d'abord avoir configuré BlueXP Identity Federation sur la page Admin > User Management. Sélectionnez le lien configurer la fédération dans la bannière pour passer à la fédération BlueXP. Une fois configuré, les administrateurs Cloud Insights peuvent activer la connexion utilisateur SSO. Lorsqu'un administrateur active SSO User Auto-Provisioning, il choisit un rôle par défaut pour tous les utilisateurs SSO (comme invité ou utilisateur). Les utilisateurs qui se connectent via SSO possèdent ce rôle par défaut.
Il arrive parfois qu'un administrateur souhaite promouvoir un utilisateur unique à partir du rôle SSO par défaut (par exemple, pour lui faire un administrateur). Ils peuvent le faire sur la page Admin > User Management en cliquant sur le menu de droite de l'utilisateur et en sélectionnant Assign role. Les utilisateurs qui reçoivent un rôle explicite continuent ainsi d'avoir accès à Cloud Insights même si SSO User Auto-Provisioning est ensuite désactivé.
Si l'utilisateur n'a plus besoin du rôle élevé, vous pouvez cliquer sur le menu pour Supprimer l'utilisateur. L'utilisateur sera supprimé de la liste. Si SSO User Auto-Provisioning est activé, l'utilisateur peut continuer à se connecter à Cloud Insights via SSO, avec le rôle par défaut.
Vous pouvez choisir de masquer les utilisateurs SSO en décochant la case Afficher les utilisateurs SSO.
Cependant, n'activez pas l'option SSO User Auto-Provisioning si l'un de ces éléments est vrai :
-
Votre entreprise dispose de plusieurs locataires Cloud Insights
-
Dans votre entreprise, aucun utilisateur du domaine fédéré ne souhaite disposer d'un certain niveau d'accès automatique au locataire Cloud Insights. À ce stade dans le temps, nous n'avons pas la possibilité d'utiliser des groupes pour contrôler l'accès aux rôles avec cette option.
Restriction de l'accès par domaine
Cloud Insights peut limiter l'accès utilisateur aux seuls domaines que vous spécifiez. Sur la page Admin > gestion des utilisateurs, sélectionnez « restreindre les domaines ».
Les choix suivants s'offrent à vous :
-
Aucune restriction : Cloud Insights reste accessible aux utilisateurs, quel que soit leur domaine.
-
Limiter l'accès aux domaines par défaut : les domaines par défaut sont ceux utilisés par les propriétaires de compte d'environnement Cloud Insights. Ces domaines sont toujours accessibles.
-
Limitez l'accès aux valeurs par défaut et aux domaines que vous spécifiez. Répertoriez tous les domaines auxquels vous souhaitez avoir accès à votre environnement Cloud Insights, en plus des domaines par défaut.
