Comptes d'utilisateurs et rôles
Suggérer des modifications
PDF
Data Infrastructure Insights fournit jusqu'à quatre rôles de compte utilisateur : propriétaire du compte, administrateur, utilisateur et invité. À chaque compte sont attribués des niveaux d’autorisation spécifiques, comme indiqué dans le tableau ci-dessous. Les utilisateurs sont soit"invité" à Data Infrastructure Insights et un rôle spécifique lui est attribué, ou vous pouvez vous connecter via"Autorisation d'authentification unique (SSO)" avec un rôle par défaut. L'autorisation SSO est disponible en tant que fonctionnalité dans Data Infrastructure Insights Premium Edition.
Niveaux d'autorisation
Vous utilisez un compte disposant de privilèges d’administrateur pour créer ou modifier des comptes d’utilisateurs. À chaque compte utilisateur est attribué un rôle pour chaque fonctionnalité Data Infrastructure Insights parmi les niveaux d’autorisation suivants.
| Rôle | Observabilité | Sécurité de la charge de travail | Rapports | Administrateur |
|---|---|---|---|---|
Propriétaire du compte |
Identique à l'administrateur |
Identique à l'administrateur |
Identique à l'administrateur |
Identique à l'administrateur, mais gère également la configuration de l'authentification SSO et de la fédération d'identité. Peut également attribuer des propriétaires supplémentaires. |
Administrateur |
Peut exécuter toutes les fonctions d'observabilité, ainsi que la gestion des collecteurs de données. |
Peut exécuter toutes les fonctions de sécurité, y compris celles pour les alertes, l'analyse médico-légale, les collecteurs de données, les politiques de réponse automatisées et les jetons API pour la sécurité. Un administrateur peut également inviter d’autres utilisateurs, mais ne peut attribuer que des rôles de sécurité. |
Peut exécuter toutes les fonctions utilisateur/auteur, y compris la gestion des jetons API de reporting, ainsi que toutes les tâches administratives telles que la configuration des rapports et l'arrêt et le redémarrage des tâches de reporting. Un administrateur peut également inviter d’autres utilisateurs, mais ne peut attribuer que des rôles de reporting. |
Peut inviter d'autres utilisateurs mais ne peut attribuer que des rôles d'observabilité. Peut afficher mais pas modifier la configuration SSO. Peut créer et gérer des jetons d'accès API. Peut afficher les informations d'audit. Peut afficher les informations d'abonnement, l'utilisation et l'historique. Peut gérer les listes de destinataires des notifications d'alerte globale et des notifications d'abonnement. |
Utilisateur |
Peut afficher et modifier les tableaux de bord, les requêtes, les alertes, les annotations, les règles d'annotation et les applications, et gérer la résolution des appareils. |
Peut afficher et gérer les alertes et consulter les analyses médico-légales. Le rôle utilisateur peut modifier l'état de l'alerte, ajouter une note, prendre des instantanés manuellement et gérer la restriction de l'accès utilisateur. |
Peut exécuter toutes les fonctions invité/consommateur ainsi que créer et gérer des rapports et des tableaux de bord. |
Non disponible |
Invité |
Dispose d'un accès en lecture seule aux pages d'actifs, aux tableaux de bord, aux alertes et peut afficher et exécuter des requêtes. |
Peut afficher les alertes et les analyses médico-légales. Le rôle d'invité ne peut pas modifier l'état de l'alerte, ajouter une note, prendre des instantanés manuellement ou restreindre l'accès des utilisateurs. |
Peut afficher, planifier et exécuter des rapports et définir des préférences personnelles telles que celles concernant les langues et les fuseaux horaires. Les invités/consommateurs ne peuvent pas créer de rapports ni effectuer de tâches administratives. |
Non disponible |
La meilleure pratique consiste à limiter le nombre d’utilisateurs disposant d’autorisations d’administrateur. Le plus grand nombre de comptes doit être des comptes utilisateurs ou invités.
Data Infrastructure Insights : autorisations par rôle d'utilisateur
Le tableau suivant présente les autorisations Data Infrastructure Insights accordées à chaque rôle d’utilisateur.
Fonctionnalité |
Administrateur/Propriétaire du compte |
Utilisateur |
Invité |
Unités d'acquisition : ajouter/modifier/supprimer |
Y |
N |
N |
Alertes* : Créer/Modifier/Supprimer |
Y |
Y |
N |
Alertes* : Voir |
Y |
Y |
Y |
Règles d'annotation : Créer/Exécuter/Modifier/Supprimer |
Y |
Y |
N |
Annotations : Créer/Modifier/Attribuer/Afficher/Supprimer/Supprimer |
Y |
Y |
N |
Accès API* : Créer/Renommer/Désactiver/Révoquer |
Y |
N |
N |
Applications : Créer/Afficher/Modifier/Supprimer |
Y |
Y |
N |
Pages d'actifs : modifier |
Y |
Y |
N |
Pages d'actifs : vue |
Y |
Y |
Y |
Audit : Voir |
Y |
N |
N |
Coût du cloud |
Y |
N |
N |
Sécurité |
Y |
N |
N |
Tableaux de bord : Créer/Modifier/Supprimer |
Y |
Y |
N |
Tableaux de bord : vue |
Y |
Y |
Y |
Collecteurs de données : ajouter/modifier/interroger/supprimer |
Y |
N |
N |
Notifications : Afficher |
Y |
Y |
Y |
Notifications : Modifier |
Y |
N |
N |
Requêtes : Créer/Modifier/Supprimer |
Y |
Y |
N |
Requêtes : Afficher/Exécuter |
Y |
Y |
Y |
Résolution de l'appareil |
Y |
Y |
N |
Rapports* : Afficher/Exécuter |
Y |
Y |
Y |
Rapports* : Créer/Modifier/Supprimer/Planifier |
Y |
Y |
N |
Abonnement : Voir/Modifier |
Y |
N |
N |
Gestion des utilisateurs : inviter/ajouter/modifier/désactiver |
Y |
N |
N |
*Nécessite l'édition Premium
Créer des comptes en invitant des utilisateurs
La création d'un nouveau compte utilisateur s'effectue via la NetApp Console. Un utilisateur peut répondre à l’invitation envoyée par e-mail, mais si l’utilisateur n’a pas de compte avec Console, il doit s’inscrire pour pouvoir accepter l’invitation.
-
Le nom d'utilisateur est l'adresse e-mail de l'invitation.
-
Comprendre les rôles d’utilisateur que vous allez attribuer.
-
Les mots de passe sont définis par l'utilisateur lors du processus d'inscription.
-
Connectez-vous à Data Infrastructure Insights
-
Dans le menu, cliquez sur Admin > Gestion des utilisateurs
L'écran Gestion des utilisateurs s'affiche. L'écran contient une liste de tous les comptes du système.
-
Cliquez sur + Utilisateur
L'écran Inviter un utilisateur s'affiche.
-
Saisissez une adresse e-mail ou plusieurs adresses pour les invitations.
Remarque : lorsque vous saisissez plusieurs adresses, elles sont toutes créées avec le même rôle. Vous ne pouvez définir que plusieurs utilisateurs sur le même rôle.
-
Sélectionnez le rôle de l'utilisateur pour chaque fonctionnalité de Data Infrastructure Insights.
Les fonctionnalités et les rôles que vous pouvez choisir dépendent des fonctionnalités auxquelles vous avez accès dans votre rôle d'administrateur particulier. Par exemple, si vous disposez du rôle d'administrateur uniquement pour les rapports, vous pourrez attribuer des utilisateurs à n'importe quel rôle dans les rapports, mais vous ne pourrez pas attribuer de rôles pour l'observabilité ou la sécurité. 
-
Cliquez sur Inviter
L'invitation est envoyée à l'utilisateur. Les utilisateurs auront 14 jours pour accepter l’invitation. Une fois qu'un utilisateur accepte l'invitation, il sera redirigé vers le portail NetApp Cloud, où il s'inscrira à l'aide de l'adresse e-mail indiquée dans l'invitation. S'ils disposent d'un compte existant pour cette adresse e-mail, ils peuvent simplement se connecter et pourront alors accéder à leur environnement Data Infrastructure Insights .
Modifier le rôle d'un utilisateur existant
Pour modifier le rôle d'un utilisateur existant, y compris l'ajouter en tant que propriétaire de compte secondaire, suivez ces étapes.
-
Cliquez sur Admin > Gestion des utilisateurs. L'écran affiche une liste de tous les comptes du système.
-
Cliquez sur le nom d’utilisateur du compte que vous souhaitez modifier.
-
Modifiez le rôle de l'utilisateur dans chaque ensemble de fonctionnalités de Data Infrastructure Insights selon vos besoins.
-
Cliquez sur Enregistrer les modifications.
Pour attribuer un propriétaire de compte secondaire
Vous devez être connecté en tant que propriétaire de compte pour Observability afin d'attribuer le rôle de propriétaire de compte à un autre utilisateur.
-
Cliquez sur Admin > Gestion des utilisateurs.
-
Cliquez sur le nom d’utilisateur du compte que vous souhaitez modifier.
-
Dans la boîte de dialogue Utilisateur, cliquez sur Attribuer en tant que propriétaire.
-
Enregistrez les modifications.
Vous pouvez avoir autant de propriétaires de compte que vous le souhaitez, mais la meilleure pratique consiste à limiter le rôle de propriétaire à certaines personnes uniquement.
Suppression d'utilisateurs
Un utilisateur avec le rôle Administrateur peut supprimer un utilisateur (par exemple, une personne qui ne fait plus partie de l'entreprise) en cliquant sur le nom de l'utilisateur et en cliquant sur Supprimer l'utilisateur dans la boîte de dialogue. L'utilisateur sera supprimé de l'environnement Data Infrastructure Insights .
Notez que tous les tableaux de bord, requêtes, etc. créés par l'utilisateur resteront disponibles dans l'environnement Data Infrastructure Insights même après la suppression de l'utilisateur.
Authentification unique (SSO) et fédération d'identité
Qu'est-ce que la Fédération d'Identité ?
Avec la Fédération des identités :
-
L'authentification est déléguée au système de gestion des identités du client, à l'aide des informations d'identification du client provenant de votre annuaire d'entreprise et de politiques d'automatisation telles que l'authentification multifacteur (MFA).
-
Les utilisateurs se connectent une fois à tous les services de la NetApp Console (authentification unique).
Les comptes utilisateurs sont gérés dans la NetApp Console pour tous les services cloud. Par défaut, l’authentification est effectuée à l’aide d’un profil utilisateur local de la console. Vous trouverez ci-dessous un aperçu simplifié de ce processus :
Cependant, certains clients souhaitent utiliser leur propre fournisseur d’identité pour authentifier leurs utilisateurs pour Data Infrastructure Insights et leurs autres services de NetApp Console . Avec Identity Federation, les comptes de la NetApp Console sont authentifiés à l'aide des informations d'identification de votre annuaire d'entreprise.
Voici un exemple simplifié de ce processus :
Dans le diagramme ci-dessus, lorsqu'un utilisateur accède à Data Infrastructure Insights, cet utilisateur est dirigé vers le système de gestion des identités du client pour l'authentification. Une fois le compte authentifié, l’utilisateur est dirigé vers l’URL du locataire Data Infrastructure Insights .
Activation de la fédération d'identité
La console utilise Auth0 pour implémenter la fédération d’identité et s’intégrer à des services tels que Active Directory Federation Services (ADFS) et Microsoft Azure Active Directory (AD). Pour configurer la fédération d'identité, consultez le"Instructions de la Fédération" .
|
|
Vous devez configurer la fédération d’identité avant de pouvoir utiliser SSO avec Data Infrastructure Insights. |
Il est important de comprendre que la modification de la fédération d’identité s’appliquera non seulement à Data Infrastructure Insights, mais à tous les services de NetApp Console . Le client doit discuter de ce changement avec l’équipe NetApp de chaque produit qu’il possède pour s’assurer que la configuration qu’il utilise fonctionnera avec la Fédération d’identité ou si des ajustements doivent être effectués sur des comptes. Le client devra également impliquer son équipe SSO interne dans le changement vers la fédération d’identité.
Il est également important de comprendre qu'une fois la fédération d'identité activée, toute modification apportée au fournisseur d'identité de l'entreprise (comme le passage de SAML à Microsoft AD) nécessitera probablement un dépannage/des modifications/une attention particulière pour mettre à jour les profils des utilisateurs.
Pour ce problème ou tout autre problème de fédération, vous pouvez ouvrir un ticket d'assistance à l'adresse https://mysupport.netapp.com/site/help .
Provisionnement automatique des utilisateurs par authentification unique (SSO)
En plus d'inviter des utilisateurs, les administrateurs peuvent activer l'accès Single Sign-On (SSO) User Auto-Provisioning à Data Infrastructure Insights pour tous les utilisateurs de leur domaine d'entreprise, sans avoir à les inviter individuellement. Avec SSO activé, tout utilisateur disposant de la même adresse e-mail de domaine peut se connecter à Data Infrastructure Insights à l'aide de ses informations d'identification d'entreprise.
|
|
SSO User Auto-Provisioning est disponible dans Data Infrastructure Insights Premium Edition et doit être configuré avant de pouvoir être activé pour Data Infrastructure Insights. La configuration de l'auto-approvisionnement des utilisateurs SSO comprend"Fédération d'identité" via la NetApp Console comme décrit dans la section ci-dessus. La fédération permet aux utilisateurs à authentification unique d'accéder à vos comptes NetApp Console à l'aide des informations d'identification de votre annuaire d'entreprise, en utilisant des normes ouvertes telles que Security Assertion Markup Language 2.0 (SAML) et OpenID Connect (OIDC). |
Pour configurer SSO User Auto-Provisioning, sur la page Admin > Gestion des utilisateurs, vous devez d'abord avoir configuré la fédération d'identité. Sélectionnez le lien Configurer la fédération dans la bannière pour passer à la fédération de la console. Une fois cette configuration effectuée, les administrateurs de Data Infrastructure Insights peuvent alors activer la connexion utilisateur SSO. Lorsqu'un administrateur active le Provisionnement automatique des utilisateurs SSO, il choisit un rôle par défaut pour tous les utilisateurs SSO (tel qu'invité ou utilisateur). Les utilisateurs qui se connectent via SSO auront ce rôle par défaut.
Parfois, un administrateur souhaitera promouvoir un seul utilisateur hors du rôle SSO par défaut (par exemple, pour en faire un administrateur). Ils peuvent le faire sur la page Admin > Gestion des utilisateurs en cliquant sur le menu de droite de l'utilisateur et en sélectionnant Attribuer un rôle. Les utilisateurs auxquels un rôle explicite est attribué de cette manière continuent d'avoir accès à Data Infrastructure Insights même si SSO User Auto-Provisioning est ultérieurement désactivé.
Si l'utilisateur n'a plus besoin du rôle élevé, vous pouvez cliquer sur le menu pour Supprimer l'utilisateur. L'utilisateur sera supprimé de la liste. Si SSO User Auto-Provisioning est activé, l'utilisateur peut continuer à se connecter à Data Infrastructure Insights via SSO, avec le rôle par défaut.
Vous pouvez choisir de masquer les utilisateurs SSO en décochant la case Afficher les utilisateurs SSO.
Cependant, n'activez pas SSO User Auto-Provisioning si l'une de ces conditions est remplie :
-
Votre organisation possède plusieurs locataires Data Infrastructure Insights
-
Votre organisation ne souhaite pas que tous les utilisateurs du domaine fédéré disposent d’un certain niveau d’accès automatique au locataire Data Infrastructure Insights . À ce stade, nous n'avons pas la possibilité d'utiliser des groupes pour contrôler l'accès aux rôles avec cette option.
Restreindre l'accès par domaine
Data Infrastructure Insights peut restreindre l'accès des utilisateurs aux seuls domaines que vous spécifiez. Sur la page Admin > Gestion des utilisateurs, sélectionnez « Restreindre les domaines ».
Ces choix vous sont présentés :
-
Aucune restriction : Data Infrastructure Insights reste accessible aux utilisateurs quel que soit leur domaine.
-
Limiter l'accès aux domaines par défaut : les domaines par défaut sont ceux utilisés par les propriétaires de compte de votre environnement Data Infrastructure Insights . Ces domaines sont toujours accessibles.
-
Limitez l'accès aux valeurs par défaut et aux domaines que vous spécifiez. Répertoriez tous les domaines auxquels vous souhaitez donner accès à votre environnement Data Infrastructure Insights , en plus des domaines par défaut.
