ユーザアカウントとロール
Cloud Insights には、アカウント所有者、管理者、ユーザ、ゲストの 4 つまでのユーザアカウントロールが用意されています。各アカウントには、次の表に示す特定の権限レベルが割り当てられます。 ユーザはです "招待済み" から Cloud Insights にサインインして特定のロールを割り当てた場合、またはを使用してサインインできます "シングルサインオン( SSO )許可" デフォルトのロールです。SSO 認証は、 Cloud Insights プレミアムエディションの機能として利用できます。
|
Cloud Insights フェデラルエディションでのユーザーログインは、設定されたIDプロバイダー(指定された電子メールドメインを持つ)に制限されます。新しいユーザをCloud Insights Federal環境に招待する場合は、その環境に設定されているドメインとEメールアドレスが一致している必要があります。 |
アクセス許可レベル
ユーザアカウントを作成または変更するには、管理者権限を持つアカウントを使用します。各ユーザアカウントには、次の権限レベルの Cloud Insights 機能ごとにロールが割り当てられます。
ロール | オブザーバビリティ | ワークロードのセキュリティ | レポート作成 |
---|---|---|---|
アカウント所有者 |
サブスクリプションの変更、課金情報および使用状況の表示、および監視機能、セキュリティ、およびレポートに関するすべての管理者機能の実行が可能です。 |
||
管理者 |
すべてのObservability関数、すべてのユーザ関数、およびデータコレクタの管理、Observability APIトークン、および通知を実行できます。 |
アラート、フォレンジック、データコレクタ、自動応答ポリシー、セキュリティ用APIトークンなど、すべてのセキュリティ機能を実行できます。 |
Reporting API トークンの管理、レポートの設定、レポートタスクのシャットダウンと再起動など、すべての管理タスクに加えて、すべての User/Author 関数を実行できます。 |
ユーザ |
ダッシュボード、クエリ、アラート、アノテーション、アノテーションルール、 アプリケーションをサポートし、デバイス解決を管理できます。 |
アラートを表示および管理し、フォレンジックを表示できます。ユーザーロールは、アラートステータスの変更、メモの追加、スナップショットの手動作成、制限ユーザーアクセスの管理を行うことができます。 |
すべてのゲスト / コンシューマ機能を実行できるほか、レポートとダッシュボードの作成と管理も可能です。 |
ゲスト |
アセットページ、ダッシュボード、アラートへの読み取り専用アクセスが可能で、クエリの表示と実行が可能です。 |
アラートおよびフォレンジックを表示できます。ゲストロールは、アラートステータスの変更、メモの追加、スナップショットの手動作成、ユーザーアクセスの制限を行うことはできません。 |
レポートの表示、スケジュール設定、実行、および言語やタイムゾーンなどの個人設定を行うことができます。ゲスト / コンシューマは、レポートの作成や管理タスクの実行はできません。 |
ベストプラクティスとして、管理者権限を持つユーザの数を制限することを推奨します。アカウントの最大数は、ユーザアカウントまたはゲストアカウントです。
ユーザーロール別の Cloud Insights 権限
次の表に、各ユーザロールに付与される Cloud Insights 権限を示します。
フィーチャー( Feature ) |
管理者/ |
ユーザ |
ゲスト |
Acquisition Unit :追加 / 変更 / 削除 |
Y |
N |
N |
アラート * :作成 / 変更 / 削除 |
Y |
Y |
N |
アラート * :表示 |
Y |
Y |
Y |
アノテーションルール:作成、実行、変更、削除 |
Y |
Y |
N |
注釈:作成 / 修正 / 割り当て / 表示 / 削除 / 削除 |
Y |
Y |
N |
API アクセス * :作成 / 名前変更 / 無効化 / 無効化 |
Y |
N |
N |
アプリケーション:作成 / 表示 / 変更 / 削除 |
Y |
Y |
N |
アセットページ:変更 |
Y |
Y |
N |
アセットページ:表示 |
Y |
Y |
Y |
監査:表示 |
Y |
N |
N |
クラウドコスト |
Y |
N |
N |
セキュリティ |
Y |
N |
N |
ダッシュボード:作成 / 変更 / 削除 |
Y |
Y |
N |
ダッシュボード:表示 |
Y |
Y |
Y |
データコレクタ:追加 / 変更 / ポーリング / 削除 |
Y |
N |
N |
通知:表示 |
Y |
Y |
Y |
通知:変更 |
Y |
N |
N |
クエリ:作成 / 変更 / 削除 |
Y |
Y |
N |
クエリ:表示 / 実行 |
Y |
Y |
Y |
デバイス解決 |
Y |
Y |
N |
レポート * :表示 / 実行 |
Y |
Y |
Y |
レポート * :作成 / 変更 / 削除 / スケジュール |
Y |
Y |
N |
サブスクリプション:表示 / 変更 |
Y |
N |
N |
ユーザー管理:招待 / 追加 / 変更 / 非アクティブ化 |
Y |
N |
N |
-
Premium Edition が必要です
ユーザーを招待してアカウントを作成する
新しいユーザアカウントを作成するには、BlueXPを使用します。ユーザはEメールで送信された招待状に応答できますが、BlueXPのアカウントをお持ちでない場合は、BlueXPにサインアップして招待を承諾する必要があります。
-
ユーザー名は、招待の電子メールアドレスです。
-
割り当てるユーザロールを理解します。
-
パスワードは、サインアップの過程でユーザーによって定義されます。
-
Cloud Insights にログインします
-
メニューで、 [*Admin] > [User Management] をクリックします
User Management (ユーザー管理)画面が表示されます。画面には、システム上のすべてのアカウントのリストが表示されます。
-
[* + ユーザー * ] をクリックします
ユーザーの招待 * 画面が表示されます。
-
招待状の電子メールアドレスまたは複数のアドレスを入力します。
-
注: * 複数のアドレスを入力すると、すべて同じロールで作成されます。同じロールに設定できるユーザは複数だけです。
-
-
Cloud Insights の各機能に対するユーザのロールを選択します。
選択できる機能とロールは、特定の管理者ロールでアクセスできる機能によって異なります。たとえば、レポートの管理者ロールのみを持っている場合、レポートの任意のロールにユーザーを割り当てることはできますが、観察能力またはセキュリティのロールを割り当てることはできません。 -
[* 招待 * ] をクリックします
招待がユーザーに送信されます。ユーザーは 14 日以内に招待を承諾する必要があります。招待を受諾すると、 NetApp Cloud Portal に送られ、招待状の E メールアドレスを使用してサインアップされます。その E メールアドレス用の既存のアカウントがある場合は、サインインするだけで Cloud Insights 環境にアクセスできます。
既存のユーザのロールを変更する
既存のユーザーの役割を変更し、 * セカンダリアカウント所有者 * として追加するには、次の手順を実行します。
-
[*Admin] > [User Management] をクリックします。画面には、システム上のすべてのアカウントのリストが表示されます。
-
変更するアカウントのユーザ名をクリックします。
-
必要に応じて、各 Cloud Insights 機能セットでユーザのロールを変更します。
-
変更の保存 _ をクリックします。
セカンダリアカウント所有者を割り当てるには、次の手順に従います
アカウント所有者ロールを別のユーザーに割り当てるには、監視機能のアカウント所有者としてログインする必要があります。
-
[*Admin] > [User Management] をクリックします。
-
変更するアカウントのユーザ名をクリックします。
-
[ ユーザー ] ダイアログで、 [ 所有者として割り当て ] をクリックします。
-
変更を保存します。
アカウント所有者はいくつでも設定できますが、所有者の役割は、選択したユーザーのみに制限することをお勧めします。
ユーザを削除します
管理者ロールを持つユーザーは ' ユーザーの名前をクリックして ' ダイアログの Delete User をクリックすることにより ' ユーザー ( 会社に所属していないユーザーなど ) を削除できますユーザが Cloud Insights 環境から削除されます。
ユーザが作成したダッシュボード、クエリなどは、削除しても Cloud Insights 環境で引き続き使用できます。
シングルサインオン( SSO )とアイデンティティフェデレーション
アイデンティティフェデレーションとは
アイデンティティフェデレーションを使用:
-
認証は、お客様の社内ディレクトリにあるお客様の資格情報を使用して、お客様のアイデンティティ管理システムに委任され、多要素認証( MFA )などの自動化ポリシーが適用されます。
-
ユーザはすべてのNetApp BlueXPサービスに一度ログインします(シングルサインオン)。
ユーザアカウントは、すべてのクラウドサービスのNetApp BlueXPで管理されます。デフォルトでは、認証はBlueXPローカルユーザプロファイルを使用して行われます。このプロセスの概要を以下に示します。
ただし、独自のアイデンティティプロバイダを使用して、Cloud Insightsやその他のNetApp BlueXPサービスのユーザを認証したいと考えているお客様もいます。アイデンティティフェデレーションでは、NetApp BlueXPアカウントは社内ディレクトリのクレデンシャルを使用して認証されます。
次に、このプロセスの簡単な例を示します。
上の図では、ユーザーが Cloud Insights にアクセスすると、そのユーザーは認証のために顧客の ID 管理システムに転送されます。アカウントが認証されると、ユーザは Cloud Insights テナントの URL にアクセスするようになります。
アイデンティティフェデレーションの有効
BlueXPはAuth0を使用してアイデンティティフェデレーションを実装し、Active Directoryフェデレーションサービス(ADFS)やMicrosoft Azure Active Directory(AD)などのサービスと統合します。アイデンティティフェデレーションを設定するには、 "BlueXPフェデレーションの手順"。
|
Cloud InsightsでSSOを使用する前に、BlueXPアイデンティティフェデレーションを設定する必要があります。 |
BlueXPでのアイデンティティフェデレーションの変更は、Cloud Insightsだけでなく、すべてのNetApp BlueXPサービスにも適用されることを理解しておくことが重要です。この変更については、お客様が所有する各BlueXP製品のNetAppチームと話し合い、使用している設定がアイデンティティフェデレーションと連携していることを確認したり、アカウントの調整が必要な場合はその旨をお客様に伝えてください。お客様は、社内の SSO チームをアイデンティティフェデレーションの変更にも関与させる必要があります。
アイデンティティフェデレーションを有効にしたら、会社のアイデンティティプロバイダに対する変更(SAMLからMicrosoft ADへの移行など)には、ユーザのプロファイルを更新するためにBlueXPでトラブルシューティング/変更/対応が必要になる可能性があることを理解しておくことも重要です。
この問題またはその他のフェデレーションの問題については、次のURLでサポートチケットを開くことができます。 https://mysupport.netapp.com/site/help カテゴリ「bluexp.netapp.com」>「フェデレーションの問題」を選択します。
シングルサインオン( SSO )ユーザの自動プロビジョニング
管理者は、ユーザを招待するだけでなく、企業ドメイン内のすべてのユーザに対して * シングルサインオン( SSO )ユーザの自動プロビジョニング * アクセスを Cloud Insights に許可できます。個別に招待する必要はありません。SSO が有効になっている場合、同じドメインの E メールアドレスを持つすべてのユーザは、各自の企業クレデンシャルを使用して Cloud Insights にログインできます。
|
Cloud Insights Premium Edition では、 SSO ユーザーの自動プロビジョニング _ を使用できます。これを構成してから Cloud Insights で有効にする必要があります。SSOユーザの自動プロビジョニング設定には、 "アイデンティティフェデレーション" 上記のセクションで説明したように、NetApp BlueXPを使用する。フェデレーションを使用すると、シングルサインオンユーザは、Security Assertion Markup Language 2.0(SAML)やOpenID Connect(OIDC)などのオープン標準を使用して、社内ディレクトリのクレデンシャルを使用してNetApp BlueXPアカウントにアクセスできます。 |
_SSOユーザ自動プロビジョニング_を設定するには、[管理]>[ユーザ管理]*ページで、事前にBlueXPアイデンティティフェデレーションを設定しておく必要があります。バナーの[フェデレーションの設定]*リンクを選択して、BlueXPフェデレーションに進みます。設定が完了すると、Cloud Insights管理者はSSOユーザログインを有効にできます。管理者が _SSO ユーザーの自動プロビジョニング _ を有効にすると、すべての SSO ユーザー(ゲストやユーザーなど)にデフォルトの役割を選択します。SSO を使用してログインしたユーザには、このデフォルトロールが割り当てられます。
管理者が、デフォルトの SSO ロールから 1 人のユーザを昇格する場合(管理者に昇格する場合など)には、これは、ユーザの右側のメニューをクリックし、 _Assign Role_を 選択することにより、 [*Admin] > [User Management] ページで実行できます。この方法で明示的なロールを割り当てられたユーザは、以降に _SSO ユーザの Auto-Provisioning_を 無効にしても、引き続き Cloud Insights にアクセスできます。
ユーザに昇格されたロールが不要になった場合は ' メニューをクリックしてユーザの削除を実行できますユーザがリストから削除されます。_SSO ユーザーの自動プロビジョニングが有効になっている場合、ユーザーはデフォルトの役割を使用して SSO 経由で Cloud Insights へのログインを続行できます。
SSO ユーザーを非表示にするには、 * SSO ユーザーを表示 * チェックボックスをオフにします。
ただし、次のいずれかに該当する場合は、 _SSO ユーザの自動プロビジョニング _ を有効にしないでください。
-
組織に Cloud Insights テナントが複数ある
-
組織では、フェデレーテッドドメイン内のすべてのユーザに Cloud Insights テナントへの一定レベルの自動アクセスを付与することを望まない。_ この時点では、グループを使用してこのオプションでのロールアクセスを制御することはできません。
ドメインによるアクセスの制限
Cloud Insightsでは、指定したドメインだけにユーザアクセスを制限できます。[Admin]>[User Management]ページで、[Restrict Domains]を選択します。
次の選択肢が表示されます。
-
制限なし:ドメインに関係なく、ユーザはCloud Insightsに引き続きアクセスできます。
-
デフォルトドメインへのアクセスを制限する:デフォルトドメインは、Cloud Insights環境アカウントの所有者が使用するドメインです。これらのドメインは常にアクセス可能です。
-
指定したデフォルトおよびドメインへのアクセスを制限します。デフォルトのドメインに加えて、Cloud Insights環境へのアクセスを許可するドメインを一覧表示します。