Account utente e ruoli
Cloud Insights offre fino a quattro ruoli di account utente: Proprietario dell'account, amministratore, utente e ospite. A ciascun account vengono assegnati livelli di autorizzazione specifici, come indicato nella tabella seguente. Gli utenti lo sono "invitato" A Cloud Insights e assegnato un ruolo specifico, oppure può accedere tramite "Autorizzazione Single Sign-on (SSO)" con un ruolo predefinito. L'autorizzazione SSO è disponibile come funzione nell'edizione Premium di Cloud Insights.
Gli accessi utente nell'edizione federale di Cloud Insights sono limitati ai provider di identità configurati (con i rispettivi domini di posta elettronica specificati). Quando un nuovo utente viene invitato a un ambiente federale Cloud Insights, il relativo indirizzo e-mail deve corrispondere al dominio configurato per tale ambiente. |
Livelli di autorizzazione
Per creare o modificare gli account utente, si utilizza un account con privilegi di amministratore. A ciascun account utente viene assegnato un ruolo per ciascuna funzione di Cloud Insights a partire dai seguenti livelli di autorizzazione.
Ruolo | Osservabilità | Sicurezza del carico di lavoro | Creazione di report |
---|---|---|---|
Proprietario dell'account |
Può modificare le sottoscrizioni, visualizzare le informazioni di fatturazione e utilizzo ed eseguire tutte le funzioni di amministratore per Observability, Security e Reporting. I proprietari possono anche invitare e gestire gli utenti, oltre a gestire le impostazioni di autenticazione SSO e federazione di identità. Il primo account Owner viene creato quando ti registri a Cloud Insights. Si consiglia vivamente di avere almeno due account Owner per ogni ambiente Cloud Insights. |
||
Amministratore |
Può eseguire tutte le funzioni di osservazione, tutte le funzioni dell'utente, nonché la gestione dei data raccoglitori, dei token API di osservazione e delle notifiche. Un amministratore può anche invitare altri utenti, ma può assegnare solo ruoli di osservabilità. |
È in grado di eseguire tutte le funzioni di sicurezza, incluse quelle per Avvisi, analisi, raccolta dati, policy di risposta automatizzate e token API per la sicurezza. Un amministratore può anche invitare altri utenti, ma può assegnare solo ruoli di sicurezza. |
Può eseguire tutte le funzioni utente/autore, inclusa la gestione dei token API di reporting, nonché tutte le attività amministrative, come la configurazione dei report, l'arresto e il riavvio delle attività di reporting. Un amministratore può anche invitare altri utenti, ma può assegnare solo ruoli di reporting. |
Utente |
Può visualizzare e modificare dashboard, query, avvisi, annotazioni, regole di annotazione, e le applicazioni, oltre a gestire la risoluzione dei dispositivi. |
Consente di visualizzare e gestire gli avvisi e visualizzare le analisi. Il ruolo dell'utente può modificare lo stato degli avvisi, aggiungere una nota, creare snapshot manualmente e gestire la limitazione dell'accesso degli utenti. |
Può eseguire tutte le funzioni Guest/Consumer, nonché creare e gestire report e dashboard. |
Ospite |
Dispone di accesso in sola lettura a pagine di risorse, dashboard, avvisi e può visualizzare ed eseguire query. |
Consente di visualizzare avvisi e analisi. Il ruolo ospite non può modificare lo stato degli avvisi, aggiungere una nota, creare snapshot manualmente o limitare l'accesso dell'utente. |
Consente di visualizzare, pianificare ed eseguire report e di impostare preferenze personali, ad esempio per lingue e fusi orari. Gli utenti guest/consumer non possono creare report o eseguire attività amministrative. |
La procedura consigliata consiste nel limitare il numero di utenti con autorizzazioni di amministratore. Il maggior numero di account deve essere costituito da account utente o guest.
Autorizzazioni Cloud Insights per ruolo utente
La tabella seguente mostra le autorizzazioni Cloud Insights concesse a ciascun ruolo utente.
Funzione |
Amministratore/Proprietario dell'account |
Utente |
Ospite |
Unità di acquisizione: Aggiungi/Modifica/Elimina |
Y |
N |
N |
Avvisi*: Creazione/modifica/eliminazione |
Y |
Y |
N |
Avvisi*: Visualizzazione |
Y |
Y |
Y |
Regole di annotazione: Crea/Esegui/Modifica/Elimina |
Y |
Y |
N |
Annotazioni: Crea/Modifica/Assegna/Visualizza/Rimuovi/Elimina |
Y |
Y |
N |
Accesso API*: Creazione/ridenominazione/disattivazione/revoca |
Y |
N |
N |
Applicazioni: Creare/visualizzare/modificare/eliminare |
Y |
Y |
N |
Pagine di risorse: Modifica |
Y |
Y |
N |
Pagine di risorse: Visualizza |
Y |
Y |
Y |
Audit: Vista |
Y |
N |
N |
Costo del cloud |
Y |
N |
N |
Sicurezza |
Y |
N |
N |
Dashboard: Creare/modificare/eliminare |
Y |
Y |
N |
Dashboard: Vista |
Y |
Y |
Y |
Data Collector: Add/Modify/poll/Delete (Aggiungi/Modifica/polling/Elimina) |
Y |
N |
N |
Notifiche: Visualizzazione |
Y |
Y |
Y |
Notifiche: Modifica |
Y |
N |
N |
Query: Crea/Modifica/Elimina |
Y |
Y |
N |
Query: Visualizza/Esegui |
Y |
Y |
Y |
Risoluzione del dispositivo |
Y |
Y |
N |
Report*: Visualizza/Esegui |
Y |
Y |
Y |
Report*: Crea/Modifica/Elimina/Pianifica |
Y |
Y |
N |
Iscrizione: Visualizza/Modifica |
Y |
N |
N |
User Management (Gestione utenti): Invita/Aggiungi/Modifica/Disattiva |
Y |
N |
N |
*Richiede Premium Edition
Creazione di account invitando gli utenti
La creazione di un nuovo account utente avviene tramite Cloud Central. Un utente può rispondere all'invito inviato tramite e-mail, ma se non dispone di un account con Cloud Central, deve iscriversi a Cloud Central per poter accettare l'invito.
-
Il nome utente è l'indirizzo e-mail dell'invito.
-
Comprendere i ruoli utente che verranno assegnati.
-
Le password vengono definite dall'utente durante il processo di registrazione.
-
Accedere a Cloud Insights
-
Nel menu, fare clic su Admin > User Management
Viene visualizzata la schermata User Management (Gestione utenti). La schermata contiene un elenco di tutti gli account del sistema.
-
Fare clic su + User
Viene visualizzata la schermata invita utente.
-
Inserire un indirizzo e-mail o più indirizzi per gli inviti.
Nota: quando inserisci più indirizzi, questi vengono tutti creati con lo stesso ruolo. È possibile impostare solo più utenti sullo stesso ruolo.
-
Selezionare il ruolo dell'utente per ciascuna funzione di Cloud Insights.
Le funzionalità e i ruoli tra cui scegliere dipendono dalle funzioni a cui si ha accesso nel proprio ruolo di amministratore. Ad esempio, se si dispone del ruolo di amministratore solo per Reporting, sarà possibile assegnare gli utenti a qualsiasi ruolo in Reporting, ma non sarà possibile assegnare ruoli per Observability o Security. -
Fare clic su invita
L'invito viene inviato all'utente. Gli utenti avranno a disposizione 14 giorni per accettare l'invito. Una volta accettato l'invito, l'utente viene portato al NetApp Cloud Portal, dove si iscriva utilizzando l'indirizzo e-mail dell'invito. Se dispone di un account per tale indirizzo e-mail, può semplicemente accedere e accedere al proprio ambiente Cloud Insights.
Modifica del ruolo di un utente esistente
Per modificare il ruolo di un utente esistente, incluso l'aggiunta come proprietario di un account secondario, attenersi alla seguente procedura.
-
Fare clic su Admin > User Management (Amministrazione > Gestione utenti). Viene visualizzato un elenco di tutti gli account del sistema.
-
Fare clic sul nome utente dell'account che si desidera modificare.
-
Modificare il ruolo dell'utente in ogni set di funzionalità Cloud Insights in base alle necessità.
-
Fare clic su Save Changes (Salva modifiche).
Per assegnare un account Owner secondario
Per poter assegnare il ruolo di proprietario dell'account a un altro utente, devi essere connesso come proprietario dell'account per l'osservabilità.
-
Fare clic su Admin > User Management (Amministrazione > Gestione utenti).
-
Fare clic sul nome utente dell'account che si desidera modificare.
-
Nella finestra di dialogo User (utente), fare clic su Assign as Owner (Assegna come proprietario).
-
Salvare le modifiche.
Puoi avere tutti i proprietari di account che desideri, ma la Best practice consiste nel limitare il ruolo del proprietario solo a selezionare le persone.
Eliminazione di utenti
Un utente con il ruolo di amministratore può eliminare un utente (ad esempio, qualcuno che non è più presente nella società) facendo clic sul nome dell'utente e facendo clic su Delete User (Elimina utente) nella finestra di dialogo. L'utente verrà rimosso dall'ambiente Cloud Insights.
Tenere presente che eventuali dashboard, query e così via creati dall'utente rimarranno disponibili nell'ambiente Cloud Insights anche dopo la rimozione dell'utente.
Single Sign-on (SSO) e Identity Federation
Abilitazione della federazione di identità per SSO in Cloud Insights
Con Identity Federation:
-
L'autenticazione viene delegata al sistema di gestione delle identità del cliente, utilizzando le credenziali del cliente dalla directory aziendale e le policy di automazione come l'autenticazione multifattore (MFA).
-
Gli utenti accedono una volta a tutti i servizi cloud di NetApp (Single Sign-on).
Gli account utente sono gestiti in NetApp Cloud Central per tutti i servizi cloud. Per impostazione predefinita, l'autenticazione viene eseguita utilizzando il profilo utente locale di Cloud Central. Di seguito è riportata una panoramica semplificata di tale processo:
Tuttavia, alcuni clienti desiderano utilizzare il proprio provider di identità per autenticare i propri utenti per Cloud Insights e gli altri servizi NetApp Cloud Central. Con Identity Federation, gli account NetApp Cloud Central vengono autenticati utilizzando le credenziali della directory aziendale.
Di seguito viene riportato un esempio semplificato di tale processo:
Nel diagramma precedente, quando un utente accede a Cloud Insights, tale utente viene indirizzato al sistema di gestione delle identità del cliente per l'autenticazione. Una volta autenticato l'account, l'utente viene indirizzato all'URL del tenant Cloud Insights.
Cloud Central utilizza Auth0 per implementare Identity Federation e integrarsi con servizi come Active Directory Federation Services (ADFS) e Microsoft Azure Active Directory (ad). Per ulteriori informazioni sull'installazione e la configurazione di Identity Federation, consultare la documentazione di Cloud Central all'indirizzo "Federazione delle identità".
È importante comprendere che la modifica della federazione delle identità in Cloud Central si applicherà non solo a Cloud Insights, ma a tutti i servizi cloud NetApp. Il cliente deve discutere di questo cambiamento con il team NetApp di ciascun prodotto Cloud Central di sua proprietà per assicurarsi che la configurazione che sta utilizzando funzioni con Identity Federation o se è necessario apportare modifiche a qualsiasi account. Il cliente dovrà coinvolgere anche il proprio team SSO interno nella modifica alla federazione delle identità.
È inoltre importante comprendere che, una volta attivata la federazione delle identità, qualsiasi modifica apportata al provider di identità dell'azienda (ad esempio, il passaggio da SAML a Microsoft ad) richiederà probabilmente risoluzione dei problemi, modifiche e attenzione in Cloud Central per aggiornare i profili degli utenti.
Provisioning automatico utente Single Sign-on (SSO)
Oltre a invitare gli utenti, gli amministratori possono abilitare l'accesso a Cloud Insights per l'accesso a Single Sign-on (SSO) User Auto-Provisioning per tutti gli utenti del proprio dominio aziendale, senza doverli invitare singolarmente. Con SSO attivato, qualsiasi utente con lo stesso indirizzo e-mail di dominio può accedere a Cloud Insights utilizzando le proprie credenziali aziendali.
Provisioning automatico utente SSO è disponibile in Cloud Insights Premium Edition e deve essere configurato prima di poter essere abilitato per Cloud Insights. La configurazione di Auto-Provisining utente SSO include "Federazione delle identità" Tramite NetApp Cloud Central come descritto nella sezione precedente. Federation consente agli utenti single sign-on di accedere ai tuoi account NetApp Cloud Central utilizzando le credenziali della tua directory aziendale, utilizzando standard aperti come Security Assertion Markup Language 2.0 (SAML) e OpenID Connect (OIDC). |
Per configurare SSO User Auto-Provisioning, nella pagina Admin > User Management, fare clic sul pulsante Request Federation. Una volta configurato, gli amministratori possono abilitare l'accesso utente SSO. Quando un amministratore abilita SSO User Auto-Provisioning, sceglie un ruolo predefinito per tutti gli utenti SSO (come Guest o User). Gli utenti che accedono tramite SSO avranno questo ruolo predefinito.
A volte, un amministratore desidera promuovere un singolo utente al di fuori del ruolo SSO predefinito (ad esempio, per renderlo un amministratore). Per eseguire questa operazione, fare clic sul menu a destra della pagina Admin > User Management e selezionare Assign role. Gli utenti a cui viene assegnato un ruolo esplicito in questo modo continuano ad avere accesso a Cloud Insights anche se il provisioning automatico dell'utente SSO viene successivamente disattivato.
Se l'utente non richiede più il ruolo di livello elevato, fare clic sul menu per Remove User (Rimuovi utente). L'utente verrà rimosso dall'elenco. Se l'opzione provisioning automatico utente SSO è attivata, l'utente può continuare l'accesso a Cloud Insights tramite SSO, con il ruolo predefinito.
È possibile scegliere di nascondere gli utenti SSO deselezionando la casella di controllo Show SSO Users (Mostra utenti SSO).
Tuttavia, non attivare SSO User Auto-Provisioning se una delle seguenti condizioni è vera:
-
La tua organizzazione dispone di più tenant Cloud Insights
-
L'organizzazione non desidera che tutti gli utenti del dominio federato dispongano di un certo livello di accesso automatico al tenant Cloud Insights. A questo punto, non abbiamo la possibilità di utilizzare i gruppi per controllare l'accesso ai ruoli con questa opzione.
Limitazione dell'accesso per dominio
Cloud Insights può limitare l'accesso degli utenti solo ai domini specificati. Nella pagina Amministrazione > Gestione utenti, selezionare "limita domini".
Vengono visualizzate le seguenti opzioni:
-
Nessuna restrizione: Cloud Insights resta accessibile agli utenti indipendentemente dal loro dominio.
-
Limita accesso ai domini predefiniti: I domini predefiniti sono quelli utilizzati dai proprietari degli account dell'ambiente Cloud Insights. Questi domini sono sempre accessibili.
-
Limitare l'accesso ai valori predefiniti e ai domini specificati. Elencare tutti i domini ai quali si desidera accedere all'ambiente Cloud Insights, oltre ai domini predefiniti.