Clonare utenti e gruppi tenant
Se un tenant è stato creato o modificato per utilizzare una connessione federazione grid, tale tenant viene replicato da un sistema StorageGRID (il tenant di origine) a un altro sistema StorageGRID (il tenant di replica). Dopo la replica del tenant, tutti i gruppi e gli utenti aggiunti al tenant di origine vengono clonati sul tenant di replica.
Il sistema StorageGRID in cui il tenant viene originariamente creato è la griglia di origine del tenant. Il sistema StorageGRID in cui viene replicato il tenant è la griglia di destinazione del tenant. Entrambi gli account tenant hanno lo stesso ID account, nome, descrizione, quota di storage e autorizzazioni assegnate, tuttavia, il tenant di destinazione non dispone inizialmente di una password utente root. Per ulteriori informazioni, vedere "Cos'è il clone dell'account" e "Gestire i tenant autorizzati".
Il cloning delle informazioni dell'account tenant è necessario per "replica cross-grid" degli oggetti bucket. Avere gli stessi gruppi di tenant e gli stessi utenti su entrambe le griglie garantisce l'accesso ai bucket e agli oggetti corrispondenti su entrambe le griglie.
Workflow del tenant per il clone dell'account
Se l'account tenant dispone dell'autorizzazione Usa connessione federazione griglia, consultare il diagramma del flusso di lavoro per visualizzare i passaggi che verranno eseguiti per clonare gruppi, utenti e chiavi di accesso S3.
Questi sono i passaggi principali del flusso di lavoro:
Accedere all'account tenant sulla griglia di origine (la griglia in cui è stato creato il tenant).
Se l'account tenant dispone dell'autorizzazione Usa origine identità propria per utilizzare utenti e gruppi federati, configurare la stessa origine identità (con le stesse impostazioni) per gli account tenant di origine e di destinazione. I gruppi federati e gli utenti non possono essere clonati a meno che entrambe le griglie non utilizzino la stessa origine di identità. Per istruzioni, vedere "USA la federazione delle identità".
Quando si creano gruppi e utenti, iniziare sempre dalla griglia di origine del tenant. Quando si aggiunge un nuovo gruppo, StorageGRID lo clona automaticamente nella griglia di destinazione.
-
Se la federazione delle identità è configurata per l'intero sistema StorageGRID o per l'account tenant, "creare nuovi gruppi tenant"importando gruppi federated dall'origine identità.
-
Se non si utilizza la federazione delle identità, "creare nuovi gruppi locali"quindi "creare utenti locali".
È possibile "creare le proprie chiavi di accesso" scegliere "creare le chiavi di accesso di un altro utente"tra la griglia di origine o la griglia di destinazione per accedere ai bucket su tale grid.
Se è necessario accedere ai bucket con le stesse chiavi di accesso su entrambe le griglie, creare le chiavi di accesso nella griglia di origine e utilizzare l'API di Tenant Manager per clonarle manualmente nella griglia di destinazione. Per istruzioni, vedere "Clonare le chiavi di accesso S3 utilizzando l'API".
Come vengono clonati gruppi, utenti e chiavi di accesso S3?
Esaminare questa sezione per comprendere come vengono clonati gruppi, utenti e chiavi di accesso S3 tra la griglia di origine del tenant e la griglia di destinazione del tenant.
I gruppi locali creati sulla griglia di origine vengono clonati
Dopo aver creato e replicato un account tenant nella griglia di destinazione, StorageGRID clona automaticamente i gruppi locali aggiunti alla griglia di origine del tenant nella griglia di destinazione del tenant.
Sia il gruppo originale che il clone dispongono della stessa modalità di accesso, delle stesse autorizzazioni di gruppo e dei criteri di gruppo S3. Per istruzioni, vedere "Creare gruppi per il tenant S3".
Tutti gli utenti selezionati quando si crea un gruppo locale nella griglia di origine non vengono inclusi quando il gruppo viene clonato nella griglia di destinazione. Per questo motivo, non selezionare gli utenti quando si crea il gruppo. Al momento della creazione degli utenti, selezionare il gruppo. |
Gli utenti locali creati sulla griglia di origine vengono clonati
Quando si crea un nuovo utente locale nella griglia di origine, StorageGRID clona automaticamente tale utente nella griglia di destinazione. Sia l'utente originale che il clone hanno lo stesso nome completo, nome utente e impostazione Nega accesso. Entrambi gli utenti appartengono anche agli stessi gruppi. Per istruzioni, vedere "Gestire gli utenti locali".
Per motivi di sicurezza, le password degli utenti locali non vengono clonate nella griglia di destinazione. Se un utente locale deve accedere a Tenant Manager nella griglia di destinazione, l'utente root dell'account tenant deve aggiungere una password per tale utente nella griglia di destinazione. Per istruzioni, vedere "Gestire gli utenti locali".
I gruppi federati creati sulla griglia di origine vengono clonati
Supponendo che i requisiti per l'utilizzo del clone dell'account con "single sign-on" e "federazione delle identità" siano stati soddisfatti, i gruppi federati creati (importazione) per il tenant sulla griglia di origine vengono clonati automaticamente nel tenant sulla griglia di destinazione.
Entrambi i gruppi dispongono della stessa modalità di accesso, delle stesse autorizzazioni di gruppo e dei criteri di gruppo S3.
Una volta creati i gruppi federati per il tenant di origine e clonati nel tenant di destinazione, gli utenti federati possono accedere al tenant su entrambi i grid.
Le chiavi di accesso S3 possono essere clonate manualmente
StorageGRID non clonerà automaticamente le chiavi di accesso S3 perché la sicurezza è migliorata grazie alla presenza di chiavi diverse su ogni griglia.
Per gestire le chiavi di accesso sulle due griglie, è possibile eseguire una delle seguenti operazioni:
-
Se non è necessario utilizzare gli stessi tasti per ogni griglia, è possibile "creare le proprie chiavi di accesso" o "creare le chiavi di accesso di un altro utente" su ogni griglia.
-
Se è necessario utilizzare gli stessi tasti su entrambe le griglie, è possibile creare i tasti sulla griglia di origine e quindi utilizzare l'API di Tenant Manager per passare manualmente "clonare le chiavi" alla griglia di destinazione.
Quando si clonano le chiavi di accesso S3 per un utente federato, sia l'utente che le chiavi di accesso S3 vengono clonate nel tenant di destinazione. |
I gruppi e gli utenti aggiunti alla griglia di destinazione non vengono clonati
La clonazione avviene solo dalla griglia di origine del tenant alla griglia di destinazione del tenant. Se si creano o importano gruppi e utenti nella griglia di destinazione del tenant, StorageGRID non clonerà questi elementi nella griglia di origine del tenant.
I gruppi, gli utenti e le chiavi di accesso modificati o cancellati non vengono clonati
La clonazione avviene solo quando si creano nuovi gruppi e utenti.
Se si modificano o eliminano gruppi, utenti o chiavi di accesso in una griglia, le modifiche non verranno clonate nell'altra griglia.