La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Account utente e ruoli

12/01/2023 Collaboratori

PDF

Sommario

Livelli di autorizzazione
Creazione di account invitando gli utenti
Modifica del ruolo di un utente esistente
Eliminazione di utenti
Single Sign-on (SSO) e Identity Federation
Limitazione dell'accesso per dominio

Cloud Insights offre fino a quattro ruoli di account utente: Proprietario dell'account, amministratore, utente e ospite. A ciascun account vengono assegnati livelli di autorizzazione specifici, come indicato nella tabella seguente. Gli utenti lo sono "invitato" A Cloud Insights e assegnato un ruolo specifico, oppure può accedere tramite "Autorizzazione Single Sign-on (SSO)" con un ruolo predefinito. L'autorizzazione SSO è disponibile come funzione nell'edizione Premium di Cloud Insights.

Gli accessi utente nell'edizione federale di Cloud Insights sono limitati ai provider di identità configurati (con i rispettivi domini di posta elettronica specificati). Quando un nuovo utente viene invitato a un ambiente federale Cloud Insights, il relativo indirizzo e-mail deve corrispondere al dominio configurato per tale ambiente.

Livelli di autorizzazione

Per creare o modificare gli account utente, si utilizza un account con privilegi di amministratore. A ciascun account utente viene assegnato un ruolo per ciascuna funzione di Cloud Insights a partire dai seguenti livelli di autorizzazione.

Ruolo	Osservabilità	Sicurezza del carico di lavoro	Creazione di report
Proprietario dell'account	Può modificare le sottoscrizioni, visualizzare le informazioni di fatturazione e utilizzo ed eseguire tutte le funzioni di amministratore per Observability, Security e Reporting. I proprietari possono anche invitare e gestire gli utenti, oltre a gestire le impostazioni di autenticazione SSO e federazione di identità. Il primo account Owner viene creato quando ti registri a Cloud Insights. Si consiglia vivamente di avere almeno due account Owner per ogni ambiente Cloud Insights.
Amministratore	Può eseguire tutte le funzioni di osservazione, tutte le funzioni dell'utente, nonché la gestione dei data raccoglitori, dei token API di osservazione e delle notifiche. Un amministratore può anche invitare altri utenti, ma può assegnare solo ruoli di osservabilità.	È in grado di eseguire tutte le funzioni di sicurezza, incluse quelle per Avvisi, analisi, raccolta dati, policy di risposta automatizzate e token API per la sicurezza. Un amministratore può anche invitare altri utenti, ma può assegnare solo ruoli di sicurezza.	Può eseguire tutte le funzioni utente/autore, inclusa la gestione dei token API di reporting, nonché tutte le attività amministrative, come la configurazione dei report, l'arresto e il riavvio delle attività di reporting. Un amministratore può anche invitare altri utenti, ma può assegnare solo ruoli di reporting.
Utente	Può visualizzare e modificare dashboard, query, avvisi, annotazioni, regole di annotazione, e le applicazioni, oltre a gestire la risoluzione dei dispositivi.	Consente di visualizzare e gestire gli avvisi e visualizzare le analisi. Il ruolo dell'utente può modificare lo stato degli avvisi, aggiungere una nota, creare snapshot manualmente e gestire la limitazione dell'accesso degli utenti.	Può eseguire tutte le funzioni Guest/Consumer, nonché creare e gestire report e dashboard.
Ospite	Dispone di accesso in sola lettura a pagine di risorse, dashboard, avvisi e può visualizzare ed eseguire query.	Consente di visualizzare avvisi e analisi. Il ruolo ospite non può modificare lo stato degli avvisi, aggiungere una nota, creare snapshot manualmente o limitare l'accesso dell'utente.	Consente di visualizzare, pianificare ed eseguire report e di impostare preferenze personali, ad esempio per lingue e fusi orari. Gli utenti guest/consumer non possono creare report o eseguire attività amministrative.

Ruolo

Osservabilità

Sicurezza del carico di lavoro

Creazione di report

Proprietario dell'account

Può modificare le sottoscrizioni, visualizzare le informazioni di fatturazione e utilizzo ed eseguire tutte le funzioni di amministratore per Observability, Security e Reporting. I proprietari possono anche invitare e gestire gli utenti, oltre a gestire le impostazioni di autenticazione SSO e federazione di identità. Il primo account Owner viene creato quando ti registri a Cloud Insights. Si consiglia vivamente di avere almeno due account Owner per ogni ambiente Cloud Insights.

Amministratore

Può eseguire tutte le funzioni di osservazione, tutte le funzioni dell'utente, nonché la gestione dei data raccoglitori, dei token API di osservazione e delle notifiche. Un amministratore può anche invitare altri utenti, ma può assegnare solo ruoli di osservabilità.

È in grado di eseguire tutte le funzioni di sicurezza, incluse quelle per Avvisi, analisi, raccolta dati, policy di risposta automatizzate e token API per la sicurezza. Un amministratore può anche invitare altri utenti, ma può assegnare solo ruoli di sicurezza.

Può eseguire tutte le funzioni utente/autore, inclusa la gestione dei token API di reporting, nonché tutte le attività amministrative, come la configurazione dei report, l'arresto e il riavvio delle attività di reporting. Un amministratore può anche invitare altri utenti, ma può assegnare solo ruoli di reporting.

Utente

Può visualizzare e modificare dashboard, query, avvisi, annotazioni, regole di annotazione, e le applicazioni, oltre a gestire la risoluzione dei dispositivi.

Consente di visualizzare e gestire gli avvisi e visualizzare le analisi. Il ruolo dell'utente può modificare lo stato degli avvisi, aggiungere una nota, creare snapshot manualmente e gestire la limitazione dell'accesso degli utenti.

Può eseguire tutte le funzioni Guest/Consumer, nonché creare e gestire report e dashboard.

Ospite

Dispone di accesso in sola lettura a pagine di risorse, dashboard, avvisi e può visualizzare ed eseguire query.

Consente di visualizzare avvisi e analisi. Il ruolo ospite non può modificare lo stato degli avvisi, aggiungere una nota, creare snapshot manualmente o limitare l'accesso dell'utente.

Consente di visualizzare, pianificare ed eseguire report e di impostare preferenze personali, ad esempio per lingue e fusi orari. Gli utenti guest/consumer non possono creare report o eseguire attività amministrative.

La procedura consigliata consiste nel limitare il numero di utenti con autorizzazioni di amministratore. Il maggior numero di account deve essere costituito da account utente o guest.

Autorizzazioni Cloud Insights per ruolo utente

La tabella seguente mostra le autorizzazioni Cloud Insights concesse a ciascun ruolo utente.

Funzione

Amministratore/Proprietario dell'account

Utente

Ospite

Unità di acquisizione: Aggiungi/Modifica/Elimina

Avvisi*: Creazione/modifica/eliminazione

Avvisi*: Visualizzazione

Regole di annotazione: Crea/Esegui/Modifica/Elimina

Annotazioni: Crea/Modifica/Assegna/Visualizza/Rimuovi/Elimina

Accesso API*: Creazione/ridenominazione/disattivazione/revoca

Applicazioni: Creare/visualizzare/modificare/eliminare

Pagine di risorse: Modifica

Pagine di risorse: Visualizza

Audit: Vista

Costo del cloud

Sicurezza

Dashboard: Creare/modificare/eliminare

Dashboard: Vista

Data Collector: Add/Modify/poll/Delete (Aggiungi/Modifica/polling/Elimina)

Notifiche: Visualizzazione

Notifiche: Modifica

Query: Crea/Modifica/Elimina

Query: Visualizza/Esegui

Risoluzione del dispositivo

Report*: Visualizza/Esegui

Report*: Crea/Modifica/Elimina/Pianifica

Iscrizione: Visualizza/Modifica

User Management (Gestione utenti): Invita/Aggiungi/Modifica/Disattiva

*Richiede Premium Edition

Creazione di account invitando gli utenti

La creazione di un nuovo account utente avviene tramite Cloud Central. Un utente può rispondere all'invito inviato tramite e-mail, ma se non dispone di un account con Cloud Central, deve iscriversi a Cloud Central per poter accettare l'invito.

Prima di iniziare

Il nome utente è l'indirizzo e-mail dell'invito.
Comprendere i ruoli utente che verranno assegnati.
Le password vengono definite dall'utente durante il processo di registrazione.

Fasi

Accedere a Cloud Insights
Nel menu, fare clic su Admin > User Management

Viene visualizzata la schermata User Management (Gestione utenti). La schermata contiene un elenco di tutti gli account del sistema.
Fare clic su + User

Viene visualizzata la schermata invita utente.
Inserire un indirizzo e-mail o più indirizzi per gli inviti.

Nota: quando inserisci più indirizzi, questi vengono tutti creati con lo stesso ruolo. È possibile impostare solo più utenti sullo stesso ruolo.

Selezionare il ruolo dell'utente per ciascuna funzione di Cloud Insights.

Le funzionalità e i ruoli tra cui scegliere dipendono dalle funzioni a cui si ha accesso nel proprio ruolo di amministratore. Ad esempio, se si dispone del ruolo di amministratore solo per Reporting, sarà possibile assegnare gli utenti a qualsiasi ruolo in Reporting, ma non sarà possibile assegnare ruoli per Observability o Security.

Scelte di ruolo dell'utente

Fare clic su invita

L'invito viene inviato all'utente. Gli utenti avranno a disposizione 14 giorni per accettare l'invito. Una volta accettato l'invito, l'utente viene portato al NetApp Cloud Portal, dove si iscriva utilizzando l'indirizzo e-mail dell'invito. Se dispone di un account per tale indirizzo e-mail, può semplicemente accedere e accedere al proprio ambiente Cloud Insights.

Modifica del ruolo di un utente esistente

Per modificare il ruolo di un utente esistente, incluso l'aggiunta come proprietario di un account secondario, attenersi alla seguente procedura.

Fare clic su Admin > User Management (Amministrazione > Gestione utenti). Viene visualizzato un elenco di tutti gli account del sistema.
Fare clic sul nome utente dell'account che si desidera modificare.
Modificare il ruolo dell'utente in ogni set di funzionalità Cloud Insights in base alle necessità.
Fare clic su Save Changes (Salva modifiche).

Per assegnare un account Owner secondario

Per poter assegnare il ruolo di proprietario dell'account a un altro utente, devi essere connesso come proprietario dell'account per l'osservabilità.

Fare clic su Admin > User Management (Amministrazione > Gestione utenti).
Fare clic sul nome utente dell'account che si desidera modificare.
Nella finestra di dialogo User (utente), fare clic su Assign as Owner (Assegna come proprietario).
Salvare le modifiche.

finestra di dialogo di modifica dell'utente che mostra la scelta del proprietario dell'account

Puoi avere tutti i proprietari di account che desideri, ma la Best practice consiste nel limitare il ruolo del proprietario solo a selezionare le persone.

Eliminazione di utenti

Un utente con il ruolo di amministratore può eliminare un utente (ad esempio, qualcuno che non è più presente nella società) facendo clic sul nome dell'utente e facendo clic su Delete User (Elimina utente) nella finestra di dialogo. L'utente verrà rimosso dall'ambiente Cloud Insights.

Tenere presente che eventuali dashboard, query e così via creati dall'utente rimarranno disponibili nell'ambiente Cloud Insights anche dopo la rimozione dell'utente.

Single Sign-on (SSO) e Identity Federation

Abilitazione della federazione di identità per SSO in Cloud Insights

Con Identity Federation:

L'autenticazione viene delegata al sistema di gestione delle identità del cliente, utilizzando le credenziali del cliente dalla directory aziendale e le policy di automazione come l'autenticazione multifattore (MFA).
Gli utenti accedono una volta a tutti i servizi cloud di NetApp (Single Sign-on).

Gli account utente sono gestiti in NetApp Cloud Central per tutti i servizi cloud. Per impostazione predefinita, l'autenticazione viene eseguita utilizzando il profilo utente locale di Cloud Central. Di seguito è riportata una panoramica semplificata di tale processo:

Autenticazione Cloud Central

Tuttavia, alcuni clienti desiderano utilizzare il proprio provider di identità per autenticare i propri utenti per Cloud Insights e gli altri servizi NetApp Cloud Central. Con Identity Federation, gli account NetApp Cloud Central vengono autenticati utilizzando le credenziali della directory aziendale.

Di seguito viene riportato un esempio semplificato di tale processo:

Federazione di identità illustrata

Nel diagramma precedente, quando un utente accede a Cloud Insights, tale utente viene indirizzato al sistema di gestione delle identità del cliente per l'autenticazione. Una volta autenticato l'account, l'utente viene indirizzato all'URL del tenant Cloud Insights.

Cloud Central utilizza Auth0 per implementare Identity Federation e integrarsi con servizi come Active Directory Federation Services (ADFS) e Microsoft Azure Active Directory (ad). Per ulteriori informazioni sull'installazione e la configurazione di Identity Federation, consultare la documentazione di Cloud Central all'indirizzo "Federazione delle identità".

È importante comprendere che la modifica della federazione delle identità in Cloud Central si applicherà non solo a Cloud Insights, ma a tutti i servizi cloud NetApp. Il cliente deve discutere di questo cambiamento con il team NetApp di ciascun prodotto Cloud Central di sua proprietà per assicurarsi che la configurazione che sta utilizzando funzioni con Identity Federation o se è necessario apportare modifiche a qualsiasi account. Il cliente dovrà coinvolgere anche il proprio team SSO interno nella modifica alla federazione delle identità.

È inoltre importante comprendere che, una volta attivata la federazione delle identità, qualsiasi modifica apportata al provider di identità dell'azienda (ad esempio, il passaggio da SAML a Microsoft ad) richiederà probabilmente risoluzione dei problemi, modifiche e attenzione in Cloud Central per aggiornare i profili degli utenti.

Provisioning automatico utente Single Sign-on (SSO)

Oltre a invitare gli utenti, gli amministratori possono abilitare l'accesso a Cloud Insights per l'accesso a Single Sign-on (SSO) User Auto-Provisioning per tutti gli utenti del proprio dominio aziendale, senza doverli invitare singolarmente. Con SSO attivato, qualsiasi utente con lo stesso indirizzo e-mail di dominio può accedere a Cloud Insights utilizzando le proprie credenziali aziendali.

Provisioning automatico utente SSO è disponibile in Cloud Insights Premium Edition e deve essere configurato prima di poter essere abilitato per Cloud Insights. La configurazione di Auto-Provisining utente SSO include "Federazione delle identità" Tramite NetApp Cloud Central come descritto nella sezione precedente. Federation consente agli utenti single sign-on di accedere ai tuoi account NetApp Cloud Central utilizzando le credenziali della tua directory aziendale, utilizzando standard aperti come Security Assertion Markup Language 2.0 (SAML) e OpenID Connect (OIDC).

Per configurare SSO User Auto-Provisioning, nella pagina Admin > User Management, fare clic sul pulsante Request Federation. Una volta configurato, gli amministratori possono abilitare l'accesso utente SSO. Quando un amministratore abilita SSO User Auto-Provisioning, sceglie un ruolo predefinito per tutti gli utenti SSO (come Guest o User). Gli utenti che accedono tramite SSO avranno questo ruolo predefinito.

Gestione degli utenti con Federation

A volte, un amministratore desidera promuovere un singolo utente al di fuori del ruolo SSO predefinito (ad esempio, per renderlo un amministratore). Per eseguire questa operazione, fare clic sul menu a destra della pagina Admin > User Management e selezionare Assign role. Gli utenti a cui viene assegnato un ruolo esplicito in questo modo continuano ad avere accesso a Cloud Insights anche se il provisioning automatico dell'utente SSO viene successivamente disattivato.

Se l'utente non richiede più il ruolo di livello elevato, fare clic sul menu per Remove User (Rimuovi utente). L'utente verrà rimosso dall'elenco. Se l'opzione provisioning automatico utente SSO è attivata, l'utente può continuare l'accesso a Cloud Insights tramite SSO, con il ruolo predefinito.

È possibile scegliere di nascondere gli utenti SSO deselezionando la casella di controllo Show SSO Users (Mostra utenti SSO).

Tuttavia, non attivare SSO User Auto-Provisioning se una delle seguenti condizioni è vera:

La tua organizzazione dispone di più tenant Cloud Insights
L'organizzazione non desidera che tutti gli utenti del dominio federato dispongano di un certo livello di accesso automatico al tenant Cloud Insights. A questo punto, non abbiamo la possibilità di utilizzare i gruppi per controllare l'accesso ai ruoli con questa opzione.

Limitazione dell'accesso per dominio

Cloud Insights può limitare l'accesso degli utenti solo ai domini specificati. Nella pagina Amministrazione > Gestione utenti, selezionare "limita domini".

Limitazione dei domini solo ai domini predefiniti, ai valori predefiniti e ai domini aggiuntivi specificati o senza restrizioni

Vengono visualizzate le seguenti opzioni:

Nessuna restrizione: Cloud Insights resta accessibile agli utenti indipendentemente dal loro dominio.
Limita accesso ai domini predefiniti: I domini predefiniti sono quelli utilizzati dai proprietari degli account dell'ambiente Cloud Insights. Questi domini sono sempre accessibili.
Limitare l'accesso ai valori predefiniti e ai domini specificati. Elencare tutti i domini ai quali si desidera accedere all'ambiente Cloud Insights, oltre ai domini predefiniti.