ドキュメントの変更をリクエスト
GitHub で編集
寄稿者向けガイド
利用可能なPDF
ユーザアカウントとロール
寄稿者
Cloud Insights には、アカウント所有者、管理者、ユーザ、ゲストの 4 つまでのユーザアカウントロールが用意されています。各アカウントには、次の表に示す特定の権限レベルが割り当てられます。ユーザはです "招待済み" から Cloud Insights にサインインして特定のロールを割り当てた場合、またはを使用してサインインできます "シングルサインオン( SSO )許可" デフォルトのロールです。SSO 認証は、 Cloud Insights プレミアムエディションの機能として利用できます。
アクセス許可レベル
ユーザアカウントを作成または変更するには、管理者権限を持つアカウントを使用します。各ユーザアカウントには、次の権限レベルの Cloud Insights 機能ごとにロールが割り当てられます。
| ロール | オブザーバビリティ | ワークロードのセキュリティ | レポート作成 |
|---|---|---|---|
アカウント所有者 |
サブスクリプションの変更、課金情報および使用状況の表示、および監視機能、セキュリティ、およびレポートに関するすべての管理者機能の実行が可能です。また、ユーザーを招待して管理したり、 SSO 認証とアイデンティティフェデレーションの設定を管理したりすることもできます。Cloud Insights に登録すると、最初のアカウント所有者が作成されます。Cloud Insights 環境ごとに少なくとも 2 つのアカウント所有者を設定することを強くお勧めします。 |
||
管理者 |
すべてのObservability関数、すべてのユーザ関数、およびデータコレクタの管理、Observability APIトークン、および通知を実行できます。管理者は、他のユーザーを招待することもできますが、割り当てることができるのは観察可能な役割だけです。 |
アラート、フォレンジック、データコレクタ、自動応答ポリシー、セキュリティ用APIトークンなど、すべてのセキュリティ機能を実行できます。管理者は、他のユーザを招待することもできますが、割り当てることができるのはセキュリティロールのみです。 |
Reporting API トークンの管理、レポートの設定、レポートタスクのシャットダウンと再起動など、すべての管理タスクに加えて、すべての User/Author 関数を実行できます。管理者は、他のユーザーを招待することもできますが、割り当てることができるのは Reporting ロールのみです。 |
ユーザ |
ダッシュボード、クエリ、アラート、アノテーション、アノテーションルール、 アプリケーションをサポートし、デバイス解決を管理できます。 |
アラートを表示および管理し、フォレンジックを表示できます。ユーザーロールは、アラートステータスの変更、メモの追加、スナップショットの手動作成、制限ユーザーアクセスの管理を行うことができます。 |
すべてのゲスト / コンシューマ機能を実行できるほか、レポートとダッシュボードの作成と管理も可能です。 |
ゲスト |
アセットページ、ダッシュボード、アラートへの読み取り専用アクセスが可能で、クエリの表示と実行が可能です。 |
アラートおよびフォレンジックを表示できます。ゲストロールは、アラートステータスの変更、メモの追加、スナップショットの手動作成、ユーザーアクセスの制限を行うことはできません。 |
レポートの表示、スケジュール設定、実行、および言語やタイムゾーンなどの個人設定を行うことができます。ゲスト / コンシューマは、レポートの作成や管理タスクの実行はできません。 |
ベストプラクティスとして、管理者権限を持つユーザの数を制限することを推奨します。アカウントの最大数は、ユーザアカウントまたはゲストアカウントです。
ユーザーロール別の Cloud Insights 権限
次の表に、各ユーザロールに付与される Cloud Insights 権限を示します。
フィーチャー( Feature ) |
管理者 / アカウント所有者 |
ユーザ |
ゲスト |
Acquisition Unit :追加 / 変更 / 削除 |
Y |
N |
N |
アラート * :作成 / 変更 / 削除 |
Y |
Y |
N |
アラート * :表示 |
Y |
Y |
Y |
アノテーションルール:作成、実行、変更、削除 |
Y |
Y |
N |
注釈:作成 / 修正 / 割り当て / 表示 / 削除 / 削除 |
Y |
Y |
N |
API アクセス * :作成 / 名前変更 / 無効化 / 無効化 |
Y |
N |
N |
アプリケーション:作成 / 表示 / 変更 / 削除 |
Y |
Y |
N |
アセットページ:変更 |
Y |
Y |
N |
アセットページ:表示 |
Y |
Y |
Y |
監査:表示 |
Y |
N |
N |
クラウドコスト |
Y |
N |
N |
セキュリティ |
Y |
N |
N |
ダッシュボード:作成 / 変更 / 削除 |
Y |
Y |
N |
ダッシュボード:表示 |
Y |
Y |
Y |
データコレクタ:追加 / 変更 / ポーリング / 削除 |
Y |
N |
N |
通知:表示 / 変更 |
Y |
N |
N |
クエリ:作成 / 変更 / 削除 |
Y |
Y |
N |
クエリ:表示 / 実行 |
Y |
Y |
Y |
デバイス解決 |
Y |
Y |
N |
レポート * :表示 / 実行 |
Y |
Y |
Y |
レポート * :作成 / 変更 / 削除 / スケジュール |
Y |
Y |
N |
サブスクリプション:表示 / 変更 |
Y |
N |
N |
ユーザー管理:招待 / 追加 / 変更 / 非アクティブ化 |
Y |
N |
N |
-
Premium Edition が必要です
ユーザーを招待してアカウントを作成する
新しいユーザアカウントの作成は Cloud Central で行います。ユーザは E メールで送信された招待に応答できますが、 Cloud Central のアカウントがない場合は、 Cloud Central に登録して招待を承諾する必要があります。
-
ユーザー名は、招待の電子メールアドレスです。
-
割り当てるユーザロールを理解します。
-
パスワードは、サインアップの過程でユーザーによって定義されます。
-
Cloud Insights にログインします
-
メニューで、 [*Admin] > [User Management] をクリックします
User Management (ユーザー管理)画面が表示されます。画面には、システム上のすべてのアカウントのリストが表示されます。
-
[* + ユーザー * ] をクリックします
ユーザーの招待 * 画面が表示されます。
-
招待状の電子メールアドレスまたは複数のアドレスを入力します。
-
注: * 複数のアドレスを入力すると、すべて同じロールで作成されます。同じロールに設定できるユーザは複数だけです。
-
-
Cloud Insights の各機能に対するユーザのロールを選択します。
選択できる機能とロールは、特定の管理者ロールでアクセスできる機能によって異なります。たとえば、レポートの管理者ロールのみを持っている場合、レポートの任意のロールにユーザーを割り当てることはできますが、観察能力またはセキュリティのロールを割り当てることはできません。 
-
[* 招待 * ] をクリックします
招待がユーザーに送信されます。ユーザーは 14 日以内に招待を承諾する必要があります。招待を受諾すると、 NetApp Cloud Portal に送られ、招待状の E メールアドレスを使用してサインアップされます。その E メールアドレス用の既存のアカウントがある場合は、サインインするだけで Cloud Insights 環境にアクセスできます。
既存のユーザのロールを変更する
既存のユーザーの役割を変更し、 * セカンダリアカウント所有者 * として追加するには、次の手順を実行します。
-
[*Admin] > [User Management] をクリックします。画面には、システム上のすべてのアカウントのリストが表示されます。
-
変更するアカウントのユーザ名をクリックします。
-
必要に応じて、各 Cloud Insights 機能セットでユーザのロールを変更します。
-
変更の保存 _ をクリックします。
セカンダリアカウント所有者を割り当てるには、次の手順に従います
アカウント所有者ロールを別のユーザーに割り当てるには、監視機能のアカウント所有者としてログインする必要があります。
-
[*Admin] > [User Management] をクリックします。
-
変更するアカウントのユーザ名をクリックします。
-
[ ユーザー ] ダイアログで、 [ 所有者として割り当て ] をクリックします。
-
変更を保存します。
アカウント所有者はいくつでも設定できますが、所有者の役割は、選択したユーザーのみに制限することをお勧めします。
ユーザを削除します
管理者ロールを持つユーザーは ' ユーザーの名前をクリックして ' ダイアログの Delete User をクリックすることにより ' ユーザー ( 会社に所属していないユーザーなど ) を削除できますユーザが Cloud Insights 環境から削除されます。
ユーザが作成したダッシュボード、クエリなどは、削除しても Cloud Insights 環境で引き続き使用できます。
シングルサインオン( SSO )とアイデンティティフェデレーション
Cloud Insights で SSO のアイデンティティフェデレーションを有効にする
アイデンティティフェデレーションを使用:
-
認証は、お客様の社内ディレクトリにあるお客様の資格情報を使用して、お客様のアイデンティティ管理システムに委任され、多要素認証( MFA )などの自動化ポリシーが適用されます。
-
ユーザはすべての NetApp クラウドサービスに一度ログインします(シングルサインオン)。
ユーザアカウントは、すべてのクラウドサービスについて NetApp Cloud Central で管理されます。デフォルトでは、認証は Cloud Central のローカルユーザプロファイルを使用して行われます。このプロセスの概要を以下に示します。
ただし、お客様によっては、 Cloud Insights と他の NetApp Cloud Central Services のユーザ認証に独自のアイデンティティプロバイダを使用することを検討しています。アイデンティティフェデレーションを使用すると、 NetApp Cloud Central アカウントは、社内ディレクトリのクレデンシャルを使用して認証されます。
次に、このプロセスの簡単な例を示します。
上の図では、ユーザーが Cloud Insights にアクセスすると、そのユーザーは認証のために顧客の ID 管理システムに転送されます。アカウントが認証されると、ユーザは Cloud Insights テナントの URL にアクセスするようになります。
Cloud Central は、 Auth0 を使用してアイデンティティフェデレーションを実装し、 Active Directory フェデレーションサービス( ADFS )や Microsoft Azure Active Directory ( AD )などのサービスと統合します。アイデンティティフェデレーションの設定と設定の詳細については、の Cloud Central のドキュメントを参照してください "アイデンティティフェデレーション"。
Cloud Central でのアイデンティティフェデレーションの変更は、 Cloud Insights だけでなく、すべての NetApp クラウドサービスにも適用されることに注意してください。この変更については、使用している構成がアイデンティティフェデレーションと連携するように、またはアカウントに対して調整が必要かどうかを確認するために、お客様が所有している各 Cloud Central 製品のネットアップチームと検討する必要があります。お客様は、社内の SSO チームをアイデンティティフェデレーションの変更にも関与させる必要があります。
また、アイデンティティフェデレーションを有効にすると、企業のアイデンティティプロバイダへの変更( SAML から Microsoft AD への移行など)は、 Cloud Central でユーザのプロファイルを更新するために、トラブルシューティングや変更、注意が必要になる可能性があることにも注意してください。
シングルサインオン( SSO )ユーザの自動プロビジョニング
管理者は、ユーザを招待するだけでなく、企業ドメイン内のすべてのユーザに対して * シングルサインオン( SSO )ユーザの自動プロビジョニング * アクセスを Cloud Insights に許可できます。個別に招待する必要はありません。SSO が有効になっている場合、同じドメインの E メールアドレスを持つすべてのユーザは、各自の企業クレデンシャルを使用して Cloud Insights にログインできます。
|
|
Cloud Insights Premium Edition では、 SSO ユーザーの自動プロビジョニング _ を使用できます。これを構成してから Cloud Insights で有効にする必要があります。SSO ユーザの自動プロビジョニング設定にはが含まれます "アイデンティティフェデレーション" 前述のセクションの説明に従って、 NetApp Cloud Central を使用します。フェデレーションを使用すると、 Security Assertion Markup Language 2.0 ( SAML )や OpenID Connect ( OIDC )などのオープン標準を使用して、社内ディレクトリのクレデンシャルを使用してシングルサインオンユーザが NetApp Cloud Central アカウントにアクセスできます。 |
_SSO ユーザーの自動プロビジョニングを設定するには、 [* Admin] > [User Management] ページで [* Request Federation] ボタンをクリックします。設定が完了すると、管理者は SSO ユーザログインを有効にできます。管理者が _SSO ユーザーの自動プロビジョニング _ を有効にすると、すべての SSO ユーザー(ゲストやユーザーなど)にデフォルトの役割を選択します。SSO を使用してログインしたユーザには、このデフォルトロールが割り当てられます。
管理者が、デフォルトの SSO ロールから 1 人のユーザを昇格する場合(管理者に昇格する場合など)には、これは、ユーザの右側のメニューをクリックし、 _Assign Role_を 選択することにより、 [*Admin] > [User Management] ページで実行できます。この方法で明示的なロールを割り当てられたユーザは、以降に _SSO ユーザの Auto-Provisioning_を 無効にしても、引き続き Cloud Insights にアクセスできます。
ユーザに昇格されたロールが不要になった場合は ' メニューをクリックしてユーザの削除を実行できますユーザがリストから削除されます。_SSO ユーザーの自動プロビジョニングが有効になっている場合、ユーザーはデフォルトの役割を使用して SSO 経由で Cloud Insights へのログインを続行できます。
SSO ユーザーを非表示にするには、 * SSO ユーザーを表示 * チェックボックスをオフにします。
ただし、次のいずれかに該当する場合は、 _SSO ユーザの自動プロビジョニング _ を有効にしないでください。
-
組織に Cloud Insights テナントが複数ある
-
組織では、フェデレーテッドドメイン内のすべてのユーザに Cloud Insights テナントへの一定レベルの自動アクセスを付与することを望まない。_ この時点では、グループを使用してこのオプションでのロールアクセスを制御することはできません。