Account utente e ruoli
Suggerisci modifiche
PDF
Data Infrastructure Insights fornisce fino a quattro ruoli di account utente: proprietario dell'account, amministratore, utente e ospite. A ciascun account vengono assegnati livelli di autorizzazione specifici, come indicato nella tabella seguente. Gli utenti sono entrambi"invitato" a Data Infrastructure Insights e assegnato un ruolo specifico, oppure puoi accedere tramite"Autorizzazione Single Sign-On (SSO)" con un ruolo predefinito. L'autorizzazione SSO è disponibile come funzionalità in Data Infrastructure Insights Premium Edition.
Livelli di autorizzazione
Per creare o modificare gli account utente, è necessario utilizzare un account con privilegi di amministratore. A ciascun account utente viene assegnato un ruolo per ciascuna funzionalità di Data Infrastructure Insights tra i seguenti livelli di autorizzazione.
| Ruolo | Osservabilità | Sicurezza del carico di lavoro | Segnalazione | Amministratore |
|---|---|---|---|---|
Titolare dell'account |
Uguale all'amministratore |
Uguale all'amministratore |
Uguale all'amministratore |
Uguale all'amministratore, gestisce anche l'autenticazione SSO e la configurazione della federazione delle identità. È anche possibile assegnare proprietari aggiuntivi. |
Amministratore |
Può eseguire tutte le funzioni di osservabilità, nonché la gestione dei collettori di dati. |
Può eseguire tutte le funzioni di sicurezza, comprese quelle per avvisi, analisi forense, raccoglitori di dati, policy di risposta automatizzate e token API per la sicurezza. Un amministratore può anche invitare altri utenti, ma può assegnare solo ruoli di sicurezza. |
Può eseguire tutte le funzioni utente/autore, inclusa la gestione dei token API di reporting, nonché tutte le attività amministrative quali la configurazione dei report e l'arresto e il riavvio delle attività di reporting. Un amministratore può anche invitare altri utenti, ma può assegnare solo ruoli di reporting. |
È possibile invitare altri utenti ma assegnare solo ruoli di Osservabilità. È possibile visualizzare ma non modificare la configurazione SSO. Può creare e gestire token di accesso API. Può visualizzare le informazioni di audit. È possibile visualizzare informazioni sull'abbonamento, sull'utilizzo e sulla cronologia. Può gestire gli elenchi dei destinatari delle notifiche di avviso globali e delle notifiche di abbonamento. |
Utente |
Può visualizzare e modificare dashboard, query, avvisi, annotazioni, regole di annotazione e applicazioni, nonché gestire la risoluzione dei dispositivi. |
Può visualizzare e gestire gli avvisi e visualizzare le analisi forensi. Il ruolo utente può modificare lo stato dell'avviso, aggiungere una nota, acquisire manualmente snapshot e gestire l'accesso limitato dell'utente. |
Può eseguire tutte le funzioni di Ospite/Consumatore, nonché creare e gestire report e dashboard. |
Non disponibile |
Ospite |
Ha accesso in sola lettura alle pagine delle risorse, alle dashboard, agli avvisi e può visualizzare ed eseguire query. |
È possibile visualizzare avvisi e analisi forensi. Il ruolo ospite non può modificare lo stato dell'avviso, aggiungere una nota, acquisire manualmente snapshot o limitare l'accesso degli utenti. |
È possibile visualizzare, pianificare ed eseguire report e impostare preferenze personali, come quelle relative a lingue e fusi orari. Gli ospiti/consumatori non possono creare report o eseguire attività amministrative. |
Non disponibile |
La prassi migliore è limitare il numero di utenti con autorizzazioni di amministratore. Il maggior numero di account dovrebbe essere costituito da account utente o ospiti.
Autorizzazioni Data Infrastructure Insights per ruolo utente
Nella tabella seguente sono riportate le autorizzazioni Data Infrastructure Insights concesse a ciascun ruolo utente.
Caratteristica |
Amministratore/Proprietario dell'account |
Utente |
Ospite |
Unità di acquisizione: Aggiungi/Modifica/Elimina |
E |
N |
N |
Avvisi*: Crea/Modifica/Elimina |
E |
E |
N |
Avvisi*: Visualizza |
E |
E |
E |
Regole di annotazione: Crea/Esegui/Modifica/Elimina |
E |
E |
N |
Annotazioni: Crea/Modifica/Assegna/Visualizza/Rimuovi/Elimina |
E |
E |
N |
Accesso API*: Crea/Rinomina/Disabilita/Revoca |
E |
N |
N |
Applicazioni: Crea/Visualizza/Modifica/Elimina |
E |
E |
N |
Pagine delle risorse: modifica |
E |
E |
N |
Pagine delle risorse: Visualizza |
E |
E |
E |
Audit: Visualizza |
E |
N |
N |
Costo del cloud |
E |
N |
N |
Sicurezza |
E |
N |
N |
Dashboard: Crea/Modifica/Elimina |
E |
E |
N |
Dashboard: Visualizza |
E |
E |
E |
Raccoglitori di dati: Aggiungi/Modifica/Sondaggio/Elimina |
E |
N |
N |
Notifiche: Visualizza |
E |
E |
E |
Notifiche: Modifica |
E |
N |
N |
Query: Crea/Modifica/Elimina |
E |
E |
N |
Query: Visualizza/Esegui |
E |
E |
E |
Risoluzione del dispositivo |
E |
E |
N |
Report*: Visualizza/Esegui |
E |
E |
E |
Report*: Crea/Modifica/Elimina/Pianifica |
E |
E |
N |
Abbonamento: Visualizza/Modifica |
E |
N |
N |
Gestione utenti: Invita/Aggiungi/Modifica/Disattiva |
E |
N |
N |
*Richiede l'edizione Premium
Creazione di account invitando utenti
La creazione di un nuovo account utente avviene tramite NetApp Console. Un utente può rispondere all'invito inviato tramite e-mail, ma se non ha un account con Console, deve registrarsi per poter accettare l'invito.
-
Il nome utente è l'indirizzo email dell'invito.
-
Comprendi i ruoli utente che assegnerai.
-
Le password vengono definite dall'utente durante la procedura di registrazione.
-
Accedi a Data Infrastructure Insights
-
Nel menu, fare clic su Amministrazione > Gestione utenti
Viene visualizzata la schermata Gestione utenti. La schermata contiene un elenco di tutti gli account presenti nel sistema.
-
Clicca + Utente
Viene visualizzata la schermata Invita utente.
-
Inserisci uno o più indirizzi email per gli inviti.
Nota: quando si inseriscono più indirizzi, vengono tutti creati con lo stesso ruolo. È possibile assegnare lo stesso ruolo a più utenti.
-
Selezionare il ruolo dell'utente per ciascuna funzionalità di Data Infrastructure Insights.
Le funzionalità e i ruoli tra cui puoi scegliere dipendono dalle funzionalità a cui hai accesso nel tuo specifico ruolo di amministratore. Ad esempio, se si dispone del ruolo di amministratore solo per la creazione di report, sarà possibile assegnare agli utenti qualsiasi ruolo nella creazione di report, ma non sarà possibile assegnare ruoli per l'osservabilità o la sicurezza. 
-
Fai clic su Invita
L'invito viene inviato all'utente. Gli utenti avranno 14 giorni per accettare l'invito. Una volta accettato l'invito, l'utente verrà indirizzato al NetApp Cloud Portal, dove potrà registrarsi utilizzando l'indirizzo e-mail presente nell'invito. Se hanno già un account associato a quell'indirizzo e-mail, possono semplicemente effettuare l'accesso e potranno quindi accedere al loro ambiente Data Infrastructure Insights .
Modifica del ruolo di un utente esistente
Per modificare il ruolo di un utente esistente, inclusa l'aggiunta come proprietario secondario dell'account, segui questi passaggi.
-
Fare clic su Amministrazione > Gestione utenti. Nella schermata viene visualizzato un elenco di tutti gli account presenti nel sistema.
-
Fare clic sul nome utente dell'account che si desidera modificare.
-
Modificare il ruolo dell'utente in ogni set di funzionalità Data Infrastructure Insights in base alle esigenze.
-
Fare clic su Salva modifiche.
Per assegnare un proprietario di account secondario
Per poter assegnare il ruolo di proprietario dell'account a un altro utente, è necessario aver effettuato l'accesso come proprietario dell'account per Observability.
-
Fare clic su Amministrazione > Gestione utenti.
-
Fare clic sul nome utente dell'account che si desidera modificare.
-
Nella finestra di dialogo Utente, fare clic su Assegna come proprietario.
-
Salva le modifiche.
Puoi avere tutti i proprietari di account che desideri, ma la prassi migliore è limitare il ruolo di proprietario solo a persone selezionate.
Eliminazione degli utenti
Un utente con il ruolo di amministratore può eliminare un utente (ad esempio, qualcuno che non fa più parte dell'azienda) facendo clic sul nome dell'utente e poi su Elimina utente nella finestra di dialogo. L'utente verrà rimosso dall'ambiente Data Infrastructure Insights .
Tieni presente che tutte le dashboard, le query, ecc. create dall'utente rimarranno disponibili nell'ambiente Data Infrastructure Insights anche dopo la rimozione dell'utente.
Single Sign-On (SSO) e federazione delle identità
Che cos'è la federazione delle identità?
Con la Federazione delle Identità:
-
L'autenticazione è delegata al sistema di gestione dell'identità del cliente, utilizzando le credenziali del cliente dalla directory aziendale e criteri di automazione come l'autenticazione a più fattori (MFA).
-
Gli utenti accedono una sola volta a tutti i servizi NetApp Console (Single Sign On).
Gli account utente vengono gestiti nella NetApp Console per tutti i servizi cloud. Per impostazione predefinita, l'autenticazione viene eseguita tramite un profilo utente locale della console. Di seguito è riportata una panoramica semplificata di tale processo:
Tuttavia, alcuni clienti preferiscono utilizzare il proprio provider di identità per autenticare gli utenti per Data Infrastructure Insights e gli altri servizi NetApp Console . Con Identity Federation, gli account NetApp Console vengono autenticati utilizzando le credenziali della directory aziendale.
Di seguito è riportato un esempio semplificato di tale processo:
Nel diagramma soprastante, quando un utente accede a Data Infrastructure Insights, viene indirizzato al sistema di gestione delle identità del cliente per l'autenticazione. Una volta autenticato l'account, l'utente viene indirizzato all'URL del tenant Data Infrastructure Insights .
Abilitazione della federazione delle identità
La console utilizza Auth0 per implementare la federazione delle identità e integrarsi con servizi quali Active Directory Federation Services (ADFS) e Microsoft Azure Active Directory (AD). Per configurare la federazione delle identità, vedere"Istruzioni della Federazione" .
|
|
È necessario configurare Identity Federation prima di poter utilizzare SSO con Data Infrastructure Insights. |
È importante comprendere che la modifica della federazione delle identità non si applicherà solo a Data Infrastructure Insights, ma a tutti i NetApp Console Services. Il cliente deve discutere questa modifica con il team NetApp di ciascun prodotto di cui è in possesso, per assicurarsi che la configurazione utilizzata funzioni con Identity Federation o se è necessario apportare modifiche a qualche account. Il cliente dovrà coinvolgere anche il proprio team SSO interno nel passaggio alla federazione delle identità.
È inoltre importante rendersi conto che, una volta abilitata la federazione delle identità, qualsiasi modifica al provider di identità dell'azienda (ad esempio il passaggio da SAML a Microsoft AD) richiederà probabilmente risoluzione dei problemi/modifiche/attenzione per aggiornare i profili degli utenti.
Per questo o altri problemi relativi alla federazione, puoi aprire un ticket di supporto a https://mysupport.netapp.com/site/help .
Provisioning automatico degli utenti Single Sign-On (SSO)
Oltre a invitare gli utenti, gli amministratori possono abilitare l'accesso Single Sign-On (SSO) User Auto-Provisioning a Data Infrastructure Insights per tutti gli utenti nel loro dominio aziendale, senza doverli invitare individualmente. Con l'SSO abilitato, qualsiasi utente con lo stesso indirizzo email di dominio può accedere a Data Infrastructure Insights utilizzando le proprie credenziali aziendali.
|
|
SSO User Auto-Provisioning è disponibile in Data Infrastructure Insights Premium Edition e deve essere configurato prima di poter essere abilitato per Data Infrastructure Insights. La configurazione del provisioning automatico dell'utente SSO include"Federazione di identità" tramite NetApp Console come descritto nella sezione precedente. La federazione consente agli utenti con accesso Single Sign-On di accedere agli account NetApp Console utilizzando le credenziali della directory aziendale, avvalendosi di standard aperti quali Security Assertion Markup Language 2.0 (SAML) e OpenID Connect (OIDC). |
Per configurare SSO User Auto-Provisioning, nella pagina Amministrazione > Gestione utenti, è necessario prima aver configurato la federazione delle identità. Selezionare il collegamento Imposta federazione nel banner per procedere alla Federazione della console. Una volta configurata, gli amministratori di Data Infrastructure Insights possono abilitare l'accesso utente SSO. Quando un amministratore abilita il provisioning automatico degli utenti SSO, sceglie un ruolo predefinito per tutti gli utenti SSO (ad esempio Ospite o Utente). Gli utenti che accedono tramite SSO avranno quel ruolo predefinito.
Talvolta, un amministratore potrebbe voler promuovere un singolo utente dal ruolo SSO predefinito (ad esempio, per renderlo amministratore). Possono farlo nella pagina Amministrazione > Gestione utenti cliccando sul menu a destra dell'utente e selezionando Assegna ruolo. Gli utenti a cui viene assegnato un ruolo esplicito in questo modo continuano ad avere accesso a Data Infrastructure Insights anche se SSO User Auto-Provisioning viene successivamente disabilitato.
Se l'utente non necessita più del ruolo elevato, è possibile fare clic sul menu per Rimuovi utente. L'utente verrà rimosso dall'elenco. Se è abilitato SSO User Auto-Provisioning, l'utente può continuare ad accedere a Data Infrastructure Insights tramite SSO, con il ruolo predefinito.
Puoi scegliere di nascondere gli utenti SSO deselezionando la casella di controllo Mostra utenti SSO.
Tuttavia, non abilitare SSO User Auto-Provisioning se una delle seguenti condizioni è vera:
-
La tua organizzazione ha più di un tenant Data Infrastructure Insights
-
La tua organizzazione non desidera che alcun utente nel dominio federato abbia un certo livello di accesso automatico al tenant di Data Infrastructure Insights . Al momento, non abbiamo la possibilità di utilizzare i gruppi per controllare l'accesso ai ruoli con questa opzione.
Limitazione dell'accesso per dominio
Data Infrastructure Insights può limitare l'accesso degli utenti solo ai domini specificati. Nella pagina Amministrazione > Gestione utenti, seleziona "Limita domini".
Ti vengono presentate queste scelte:
-
Nessuna restrizione: Data Infrastructure Insights rimane accessibile agli utenti indipendentemente dal loro dominio.
-
Limita l'accesso ai domini predefiniti: i domini predefiniti sono quelli utilizzati dai proprietari dell'account dell'ambiente Data Infrastructure Insights . Questi domini sono sempre accessibili.
-
Limita l'accesso ai valori predefiniti e ai domini specificati. Elenca tutti i domini a cui desideri che abbiano accesso al tuo ambiente Data Infrastructure Insights , oltre ai domini predefiniti.
