ユーザアカウントとロール
変更を提案
PDF
Data Infrastructure Insightsには、アカウント所有者、管理者、ユーザ、ゲストの4つのユーザアカウントロールが用意されています。各アカウントには、次の表に示す特定の権限レベルが割り当てられます。"招待済み"Data Infrastructure Insightsのユーザには特定のロールが割り当てられているか、または"シングルサインオン( SSO )許可"デフォルトのロールを使用してからサインインできます。SSO認証は、Data Infrastructure Insights Premium Editionの機能として使用できます。
アクセス許可レベル
ユーザアカウントを作成または変更するには、管理者権限を持つアカウントを使用します。各ユーザアカウントには、次の権限レベルからData Infrastructure Insightsの各機能のロールが割り当てられます。
| ロール | オブザーバビリティ | ワークロードのセキュリティ | レポート作成 | 管理者 |
|---|---|---|---|---|
アカウント所有者 |
管理者と同じ |
管理者と同じ |
管理者と同じ |
Administratorと同じで、SSO認証とアイデンティティフェデレーションの設定も管理できます。追加の所有者を割り当てることもできます。 |
管理者 |
すべてのオブザーバビリティ機能を実行できるだけでなく、データコレクタの管理も実行できます。 |
アラート、フォレンジック、データコレクタ、自動応答ポリシー、セキュリティ用APIトークンなど、すべてのセキュリティ機能を実行できます。管理者は、他のユーザを招待することもできますが、割り当てることができるのはセキュリティロールのみです。 |
Reporting API トークンの管理、レポートの設定、レポートタスクのシャットダウンと再起動など、すべての管理タスクに加えて、すべての User/Author 関数を実行できます。管理者は、他のユーザーを招待することもできますが、割り当てることができるのは Reporting ロールのみです。 |
他のユーザを招待できますが、オブザーバビリティロールのみを割り当てることができます。SSO設定を表示できますが、変更できません。APIアクセストークンを作成および管理できます。監査情報を表示できます。サブスクリプション情報、使用状況、履歴を表示できます。グローバルアラート通知およびサブスクリプション通知の受信者リストを管理できます。 |
ユーザ |
ダッシュボード、クエリ、アラート、アノテーション、アノテーションルール、 アプリケーションをサポートし、デバイス解決を管理できます。 |
アラートを表示および管理し、フォレンジックを表示できます。ユーザーロールは、アラートステータスの変更、メモの追加、スナップショットの手動作成、制限ユーザーアクセスの管理を行うことができます。 |
すべてのゲスト / コンシューマ機能を実行できるほか、レポートとダッシュボードの作成と管理も可能です。 |
使用不可 |
ゲスト |
アセットページ、ダッシュボード、アラートへの読み取り専用アクセスが可能で、クエリの表示と実行が可能です。 |
アラートおよびフォレンジックを表示できます。ゲストロールは、アラートステータスの変更、メモの追加、スナップショットの手動作成、ユーザーアクセスの制限を行うことはできません。 |
レポートの表示、スケジュール設定、実行、および言語やタイムゾーンなどの個人設定を行うことができます。ゲスト / コンシューマは、レポートの作成や管理タスクの実行はできません。 |
使用不可 |
ベストプラクティスとして、管理者権限を持つユーザの数を制限することを推奨します。アカウントの最大数は、ユーザアカウントまたはゲストアカウントです。
ユーザロール別のData Infrastructure Insights権限
次の表に、各ユーザロールに付与されているData Infrastructure Insightsの権限を示します。
機能 |
管理者 / アカウント所有者 |
ユーザ |
ゲスト |
Acquisition Unit :追加 / 変更 / 削除 |
Y |
n |
n |
アラート * :作成 / 変更 / 削除 |
Y |
Y |
n |
アラート * :表示 |
Y |
Y |
Y |
アノテーションルール:作成、実行、変更、削除 |
Y |
Y |
n |
注釈:作成 / 修正 / 割り当て / 表示 / 削除 / 削除 |
Y |
Y |
n |
API アクセス * :作成 / 名前変更 / 無効化 / 無効化 |
Y |
n |
n |
アプリケーション:作成 / 表示 / 変更 / 削除 |
Y |
Y |
n |
アセットページ:変更 |
Y |
Y |
n |
アセットページ:表示 |
Y |
Y |
Y |
監査:表示 |
Y |
n |
n |
クラウドコスト |
Y |
n |
n |
セキュリティ |
Y |
n |
n |
ダッシュボード:作成 / 変更 / 削除 |
Y |
Y |
n |
ダッシュボード:表示 |
Y |
Y |
Y |
データコレクタ:追加 / 変更 / ポーリング / 削除 |
Y |
n |
n |
通知:表示 |
Y |
Y |
Y |
通知:変更 |
Y |
n |
n |
クエリ:作成 / 変更 / 削除 |
Y |
Y |
n |
クエリ:表示 / 実行 |
Y |
Y |
Y |
デバイス解決 |
Y |
Y |
n |
レポート * :表示 / 実行 |
Y |
Y |
Y |
レポート * :作成 / 変更 / 削除 / スケジュール |
Y |
Y |
n |
サブスクリプション:表示 / 変更 |
Y |
n |
n |
ユーザー管理:招待 / 追加 / 変更 / 非アクティブ化 |
Y |
n |
n |
-
Premium Edition が必要です
ユーザーを招待してアカウントを作成する
新しいユーザアカウントを作成するには、BlueXPを使用します。ユーザはEメールで送信された招待状に応答できますが、BlueXPのアカウントをお持ちでない場合は、BlueXPにサインアップして招待を承諾する必要があります。
-
ユーザー名は、招待の電子メールアドレスです。
-
割り当てるユーザロールを理解します。
-
パスワードは、サインアップの過程でユーザーによって定義されます。
-
Data Infrastructure Insightsにログイン
-
メニューで、 [*Admin] > [User Management] をクリックします
User Management (ユーザー管理)画面が表示されます。画面には、システム上のすべてのアカウントのリストが表示されます。
-
[* + ユーザー * ] をクリックします
ユーザーの招待 * 画面が表示されます。
-
招待状の電子メールアドレスまたは複数のアドレスを入力します。
-
注: * 複数のアドレスを入力すると、すべて同じロールで作成されます。同じロールに設定できるユーザは複数だけです。
-
-
Data Infrastructure Insightsの各機能について、ユーザのロールを選択します。
選択できる機能とロールは、特定の管理者ロールでアクセスできる機能によって異なります。たとえば、レポートの管理者ロールのみを持っている場合、レポートの任意のロールにユーザーを割り当てることはできますが、観察能力またはセキュリティのロールを割り当てることはできません。 
-
[* 招待 * ] をクリックします
招待がユーザーに送信されます。ユーザーは 14 日以内に招待を承諾する必要があります。招待を受諾すると、 NetApp Cloud Portal に送られ、招待状の E メールアドレスを使用してサインアップされます。そのEメールアドレスのアカウントをすでにお持ちの場合は、サインインするだけでData Infrastructure Insights環境にアクセスできます。
既存のユーザのロールを変更する
既存のユーザーの役割を変更し、 * セカンダリアカウント所有者 * として追加するには、次の手順を実行します。
-
[*Admin] > [User Management] をクリックします。画面には、システム上のすべてのアカウントのリストが表示されます。
-
変更するアカウントのユーザ名をクリックします。
-
必要に応じて、Data Infrastructure Insightsの各機能セットでユーザのロールを変更します。
-
変更の保存 _ をクリックします。
セカンダリアカウント所有者を割り当てるには、次の手順に従います
アカウント所有者ロールを別のユーザーに割り当てるには、監視機能のアカウント所有者としてログインする必要があります。
-
[*Admin] > [User Management] をクリックします。
-
変更するアカウントのユーザ名をクリックします。
-
[ ユーザー ] ダイアログで、 [ 所有者として割り当て ] をクリックします。
-
変更を保存します。
アカウント所有者はいくつでも設定できますが、所有者の役割は、選択したユーザーのみに制限することをお勧めします。
ユーザを削除します
管理者ロールを持つユーザーは ' ユーザーの名前をクリックして ' ダイアログの Delete User をクリックすることにより ' ユーザー ( 会社に所属していないユーザーなど ) を削除できますこのユーザはData Infrastructure Insights環境から削除されます。
ユーザが作成したダッシュボードやクエリなどは、削除してもData Infrastructure Insights環境で引き続き使用できます。
シングルサインオン( SSO )とアイデンティティフェデレーション
アイデンティティフェデレーションとは
アイデンティティフェデレーションを使用:
-
認証は、お客様の社内ディレクトリにあるお客様の資格情報を使用して、お客様のアイデンティティ管理システムに委任され、多要素認証( MFA )などの自動化ポリシーが適用されます。
-
ユーザはすべてのNetApp BlueXPサービスに一度ログインします(シングルサインオン)。
ユーザアカウントは、すべてのクラウドサービスのNetApp BlueXPで管理されます。デフォルトでは、認証はBlueXPローカルユーザプロファイルを使用して行われます。このプロセスの概要を以下に示します。
ただし、お客様の中には、独自のアイデンティティプロバイダを使用して、データインフラ分析情報やその他のNetApp BlueXP サービスのユーザを認証したいと考えるお客様もいます。アイデンティティフェデレーションでは、NetApp BlueXPアカウントは社内ディレクトリのクレデンシャルを使用して認証されます。
次に、このプロセスの簡単な例を示します。
上の図では、ユーザがData Infrastructure Insightsにアクセスすると、そのユーザは認証のためにお客様のアイデンティティ管理システムに誘導されます。アカウントが認証されると、ユーザはData Infrastructure InsightsのテナントURLに移動します。
アイデンティティフェデレーションの有効
BlueXPはAuth0を使用してアイデンティティフェデレーションを実装し、Active Directoryフェデレーションサービス(ADFS)やMicrosoft Azure Active Directory(AD)などのサービスと統合します。アイデンティティフェデレーションを設定するには、を参照して"BlueXPフェデレーションの手順"ください。
|
|
Data Infrastructure InsightsでSSOを使用するには、事前にBlueXP アイデンティティフェデレーションを設定する必要があります。 |
BlueXP でのアイデンティティフェデレーションの変更は、データインフラの分析情報だけでなく、すべてのNetApp BlueXP サービスにも適用されることを理解しておくことが重要です。この変更については、お客様が所有する各BlueXP製品のNetAppチームと話し合い、使用している設定がアイデンティティフェデレーションと連携していることを確認したり、アカウントの調整が必要な場合はその旨をお客様に伝えてください。お客様は、社内の SSO チームをアイデンティティフェデレーションの変更にも関与させる必要があります。
アイデンティティフェデレーションを有効にしたら、会社のアイデンティティプロバイダに対する変更(SAMLからMicrosoft ADへの移行など)には、ユーザのプロファイルを更新するためにBlueXPでトラブルシューティング/変更/対応が必要になる可能性があることを理解しておくことも重要です。
このようなフェデレーションの問題については、でサポートチケットを開き https://mysupport.netapp.com/site/help、カテゴリ「BlueXP . NetApp . com >フェデレーションの問題」を選択します。
シングルサインオン( SSO )ユーザの自動プロビジョニング
管理者は、ユーザを招待するだけでなく、社内ドメイン内のすべてのユーザに対して*シングルサインオン(SSO)ユーザの自動プロビジョニング*によるData Infrastructure Insightsへのアクセスを有効にすることもできます。個別に招待する必要はありません。SSOが有効な場合は、同じドメインEメールアドレスを持つすべてのユーザが社内クレデンシャルを使用してData Infrastructure Insightsにログインできます。
|
|
_SSOユーザ自動プロビジョニング_は、Data Infrastructure Insights Premium Editionで使用できます。Data Infrastructure Insightsで有効にするには、事前に構成する必要があります。SSOユーザ自動プロビジョニングの設定には、"アイデンティティフェデレーション"上記のセクションで説明したように、NetApp BlueXP を介した設定が含まれます。フェデレーションを使用すると、シングルサインオンユーザは、Security Assertion Markup Language 2.0(SAML)やOpenID Connect(OIDC)などのオープン標準を使用して、社内ディレクトリのクレデンシャルを使用してNetApp BlueXPアカウントにアクセスできます。 |
_SSOユーザ自動プロビジョニング_を設定するには、[管理]>[ユーザ管理]*ページで、事前にBlueXPアイデンティティフェデレーションを設定しておく必要があります。バナーの[フェデレーションの設定]*リンクを選択して、BlueXPフェデレーションに進みます。設定が完了すると、Data Infrastructure Insightsの管理者はSSOユーザログインを有効にできます。管理者が _SSO ユーザーの自動プロビジョニング _ を有効にすると、すべての SSO ユーザー(ゲストやユーザーなど)にデフォルトの役割を選択します。SSO を使用してログインしたユーザには、このデフォルトロールが割り当てられます。
管理者が、デフォルトの SSO ロールから 1 人のユーザを昇格する場合(管理者に昇格する場合など)には、これは、ユーザの右側のメニューをクリックし、 _Assign Role_を 選択することにより、 [*Admin] > [User Management] ページで実行できます。この方法で明示的なロールが割り当てられたユーザは、_SSO User Auto-Provisioning_がその後無効になった場合でも、引き続きData Infrastructure Insightsにアクセスできます。
ユーザに昇格されたロールが不要になった場合は ' メニューをクリックしてユーザの削除を実行できますユーザがリストから削除されます。_SSO User Auto-Provisioning_が有効になっている場合、ユーザはデフォルトのロールでSSOを使用して引き続きData Infrastructure Insightsにログインできます。
SSO ユーザーを非表示にするには、 * SSO ユーザーを表示 * チェックボックスをオフにします。
ただし、次のいずれかに該当する場合は、 _SSO ユーザの自動プロビジョニング _ を有効にしないでください。
-
組織にData Infrastructure Insightsのテナントが複数ある
-
組織では、フェデレーテッドドメインのすべてのユーザに、Data Infrastructure Insightsテナントへの一定レベルの自動アクセスを許可したくないと考えています。_ この時点では、グループを使用してこのオプションでのロールアクセスを制御することはできません。
ドメインによるアクセスの制限
Data Infrastructure Insightsでは、指定したドメインのみにユーザアクセスを制限できます。[Admin]>[User Management]ページで、[Restrict Domains]を選択します。
次の選択肢が表示されます。
-
制限なし:ドメインに関係なく、ユーザは引き続きData Infrastructure Insightsにアクセスできます。
-
デフォルトドメインへのアクセスを制限する:デフォルトドメインは、Data Infrastructure Insights環境のアカウント所有者が使用するドメインです。これらのドメインは常にアクセス可能です。
-
指定したデフォルトおよびドメインへのアクセスを制限します。デフォルトのドメインに加えて、Data Infrastructure Insights環境へのアクセスを許可するドメインをリストします。
