Che cos'è il clone dell'account?
Il clone dell'account è la replica automatica di un account tenant, di gruppi tenant, di utenti tenant e, facoltativamente, S3 access key tra i sistemi StorageGRID in un "connessione a federazione di griglie".
Il clone dell'account è necessario per "replica cross-grid". La clonazione delle informazioni sugli account da un sistema StorageGRID di origine a un sistema StorageGRID di destinazione garantisce che gli utenti e i gruppi tenant possano accedere ai bucket e agli oggetti corrispondenti su entrambe le griglie.
Workflow per il clone dell'account
Il diagramma del flusso di lavoro mostra i passaggi che gli amministratori della griglia e i tenant autorizzati eseguiranno per impostare il clone dell'account. Questi passaggi vengono eseguiti dopo "la connessione a federazione di griglie è configurata".
Workflow di amministrazione della griglia
Le operazioni eseguite dagli amministratori della griglia dipendono dal fatto che i sistemi StorageGRID in siano o meno presenti in "connessione a federazione di griglie" Utilizzare SSO (Single Sign-on) o federazione di identità.
Configura SSO per il clone dell'account (opzionale)
Se uno dei sistemi StorageGRID nella connessione a federazione di griglie utilizza SSO, entrambe le griglie devono utilizzare SSO. Prima di creare gli account tenant per la federazione di griglie, gli amministratori di griglie per le griglie di origine e di destinazione del tenant devono eseguire questi passaggi.
-
Configurare la stessa origine di identità per entrambe le griglie. Vedere "USA la federazione delle identità".
-
Configurare lo stesso provider di identità SSO (IdP) per entrambe le griglie. Vedere "Configurare il single sign-on".
-
"Creare lo stesso gruppo di amministratori" su entrambe le griglie importando lo stesso gruppo federated.
Quando si crea il tenant, si seleziona questo gruppo per disporre dell'autorizzazione di accesso root iniziale per gli account tenant di origine e di destinazione.
Se questo gruppo di amministratori non esiste su entrambe le griglie prima di creare il tenant, il tenant non viene replicato nella destinazione.
Configura federazione di identità a livello di griglia per il clone dell'account (opzionale)
Se uno dei sistemi StorageGRID utilizza la federazione delle identità senza SSO, entrambe le griglie devono utilizzare la federazione delle identità. Prima di creare gli account tenant per la federazione di griglie, gli amministratori di griglie per le griglie di origine e di destinazione del tenant devono eseguire questi passaggi.
-
Configurare la stessa origine di identità per entrambe le griglie. Vedere "USA la federazione delle identità".
-
Facoltativamente, se un gruppo federated disporrà dell'autorizzazione di accesso root iniziale per gli account tenant di origine e di destinazione, "creare lo stesso gruppo di amministratori" su entrambe le griglie importando lo stesso gruppo federated.
Se si assegna l'autorizzazione di accesso root a un gruppo federated che non esiste su entrambe le griglie, il tenant non viene replicato nella griglia di destinazione. -
Se non si desidera che un gruppo federated disponga dell'autorizzazione di accesso root iniziale per entrambi gli account, specificare una password per l'utente root locale.
Creare un account tenant S3 consentito
Dopo la configurazione opzionale di SSO o federazione di identità, un amministratore di grid esegue questi passaggi per determinare quali tenant possono replicare gli oggetti bucket in altri sistemi StorageGRID.
-
Determinare quale griglia si desidera essere la griglia di origine del tenant per le operazioni di cloni degli account.
La griglia in cui viene creato il tenant è nota come griglia di origine del tenant. La griglia in cui viene replicato il tenant è nota come griglia di destinazione del tenant.
-
Creare un nuovo account tenant S3 su tale griglia.
-
Assegnare l'autorizzazione Usa connessione federazione griglia.
-
Se l'account tenant gestirà i propri utenti federati, assegnare l'autorizzazione use own Identity source.
Se questa autorizzazione viene assegnata, gli account tenant di origine e di destinazione devono configurare la stessa origine identità prima di creare gruppi federati. I gruppi federati aggiunti al tenant di origine non possono essere clonati nel tenant di destinazione a meno che entrambe le griglie non utilizzino la stessa origine di identità.
-
Selezionare una connessione a federazione di griglie specifica.
-
Salvare il tenant.
Quando viene salvato un nuovo tenant con l'autorizzazione use grid Federation Connection, StorageGRID crea automaticamente una replica del tenant sull'altro grid, come segue:
-
Entrambi gli account tenant hanno lo stesso ID account, il nome, la quota di storage e le stesse autorizzazioni assegnate.
-
Se è stato selezionato un gruppo federated per disporre dell'autorizzazione di accesso root per il tenant, tale gruppo viene clonato nel tenant di destinazione.
-
Se si seleziona un utente locale per disporre dell'autorizzazione di accesso root per il tenant, tale utente viene clonato nel tenant di destinazione. Tuttavia, la password per quell'utente non viene clonata.
-
Per ulteriori informazioni, vedere"Gestire i tenant autorizzati per la federazione di grid".
Flusso di lavoro account tenant consentito
Dopo che un tenant con l'autorizzazione Usa connessione federazione griglia è stato replicato nella griglia di destinazione, gli account tenant autorizzati possono eseguire queste operazioni per clonare gruppi tenant, utenti e chiavi di accesso S3.
-
Accedere all'account tenant sulla griglia di origine del tenant.
-
Se consentito, configurare la federazione di identificazione sugli account tenant di origine e di destinazione.
-
Creare gruppi e utenti nel tenant di origine.
Quando vengono creati nuovi gruppi o utenti nel tenant di origine, StorageGRID li clonerà automaticamente nel tenant di destinazione, ma non si verificherà alcun cloning dalla destinazione all'origine.
-
Creare chiavi di accesso S3.
-
Facoltativamente, clonare le chiavi di accesso S3 dal tenant di origine al tenant di destinazione.
Per ulteriori informazioni sul flusso di lavoro dell'account tenant consentito e su come clonare gruppi, utenti e chiavi di accesso S3, vedere "Clonare utenti e gruppi tenant" e. "Clonare le chiavi di accesso S3 utilizzando l'API".