ユーザーアカウントとロール
変更を提案
PDF
Data Infrastructure Insights は、アカウント所有者、管理者、ユーザー、ゲストの最大 4 つのユーザー アカウント ロールを提供します。各アカウントには、以下の表に示すように特定の権限レベルが割り当てられます。ユーザーは"招待された"Data Infrastructure Insightsに特定のロールが割り当てられているか、または"シングルサインオン(SSO)認証"デフォルトの役割を持ちます。 SSO 認証は、Data Infrastructure Insights Premium Edition の機能として利用できます。
権限レベル
ユーザー アカウントを作成または変更するには、管理者権限を持つアカウントを使用します。各ユーザー アカウントには、次の権限レベルから各Data Infrastructure Insights機能のロールが割り当てられます。
| ロール | 可観測性 | ワークロードセキュリティ | レポート | 管理者 |
|---|---|---|---|---|
アカウント所有者 |
管理者と同じ |
管理者と同じ |
管理者と同じ |
管理者と同じ権限に加え、SSO 認証と ID フェデレーション構成も管理します。追加の所有者を割り当てることもできます。 |
管理者 |
すべての監視機能とデータ コレクターの管理を実行できます。 |
アラート、フォレンジック、データ コレクター、自動応答ポリシー、セキュリティ用の API トークンなど、すべてのセキュリティ機能を実行できます。管理者は他のユーザーを招待することもできますが、割り当てることができるのはセキュリティ ロールのみです。 |
レポート API トークンの管理を含むすべてのユーザー/作成者機能、およびレポートの構成、レポート タスクのシャットダウンと再起動などのすべての管理タスクを実行できます。管理者は他のユーザーを招待することもできますが、割り当てることができるのはレポート ロールのみです。 |
他のユーザーを招待できますが、割り当てることができるのは Observability ロールのみです。 SSO 構成を表示することはできますが、変更することはできません。 API アクセス トークンを作成および管理できます。監査情報を表示できます。サブスクリプション情報、使用状況、履歴を表示できます。グローバルアラート通知とサブスクリプション通知の受信者リストを管理できます。 |
ユーザ |
ダッシュボード、クエリ、アラート、注釈、注釈ルール、アプリケーションを表示および変更し、デバイスの解像度を管理できます。 |
アラートを表示および管理し、フォレンジックを表示できます。ユーザー ロールでは、アラート ステータスの変更、メモの追加、スナップショットの手動取得、ユーザー アクセスの制限の管理を行うことができます。 |
すべてのゲスト/コンシューマー機能を実行できるほか、レポートとダッシュボードを作成および管理できます。 |
使用不可 |
ゲスト |
アセット ページ、ダッシュボード、アラートへの読み取り専用アクセス権を持ち、クエリを表示および実行できます。 |
アラートとフォレンジックを表示できます。ゲスト ロールでは、アラート ステータスを変更したり、メモを追加したり、スナップショットを手動で取得したり、ユーザー アクセスを制限したりすることはできません。 |
レポートを表示、スケジュール、実行したり、言語やタイムゾーンなどの個人設定を行ったりできます。ゲスト/コンシューマーはレポートを作成したり、管理タスクを実行したりすることはできません。 |
使用不可 |
ベストプラクティスとしては、管理者権限を持つユーザーの数を制限することです。最も多くのアカウントは、ユーザー アカウントまたはゲスト アカウントである必要があります。
ユーザーロール別のData Infrastructure Insightsの権限
次の表は、各ユーザー ロールに付与されるData Infrastructure Insights権限を示しています。
特徴 |
管理者/アカウント所有者 |
ユーザ |
ゲスト |
取得単位: 追加/変更/削除 |
Y |
注 |
注 |
アラート*: 作成/変更/削除 |
Y |
Y |
注 |
アラート*: 表示 |
Y |
Y |
Y |
注釈ルール: 作成/実行/変更/削除 |
Y |
Y |
注 |
注釈: 作成/変更/割り当て/表示/削除/削除 |
Y |
Y |
注 |
APIアクセス*: 作成/名前変更/無効化/取り消し |
Y |
注 |
注 |
アプリケーション: 作成/表示/変更/削除 |
Y |
Y |
注 |
アセットページ: 変更 |
Y |
Y |
注 |
アセットページ: 表示 |
Y |
Y |
Y |
監査: 表示 |
Y |
注 |
注 |
クラウドコスト |
Y |
注 |
注 |
セキュリティ |
Y |
注 |
注 |
ダッシュボード: 作成/変更/削除 |
Y |
Y |
注 |
ダッシュボード: 表示 |
Y |
Y |
Y |
データコレクター: 追加/変更/ポーリング/削除 |
Y |
注 |
注 |
通知: 表示 |
Y |
Y |
Y |
通知: 変更 |
Y |
注 |
注 |
クエリ: 作成/変更/削除 |
Y |
Y |
注 |
クエリ: 表示/実行 |
Y |
Y |
Y |
デバイスの解像度 |
Y |
Y |
注 |
レポート*: 表示/実行 |
Y |
Y |
Y |
レポート*: 作成/変更/削除/スケジュール |
Y |
Y |
注 |
サブスクリプション: 表示/変更 |
Y |
注 |
注 |
ユーザー管理: 招待/追加/変更/無効化 |
Y |
注 |
注 |
*プレミアムエディションが必要です
ユーザーを招待してアカウントを作成する
新しいユーザー アカウントの作成は、NetApp Consoleを通じて行われます。ユーザーは電子メールで送信された招待に応答できますが、ユーザーがコンソールのアカウントを持っていない場合は、招待を承諾できるようにサインアップする必要があります。
-
ユーザー名は招待状のメールアドレスです。
-
割り当てるユーザー ロールを理解します。
-
パスワードはサインアッププロセス中にユーザーによって定義されます。
-
Data Infrastructure Insightsサイトにログイン
-
メニューで*管理>ユーザー管理*をクリックします
ユーザー管理画面が表示されます。画面にはシステム上のすべてのアカウントのリストが表示されます。
-
*+ユーザー*をクリック
*ユーザーを招待*画面が表示されます。
-
招待用のメールアドレスまたは複数のアドレスを入力します。
注: 複数のアドレスを入力すると、それらはすべて同じ役割で作成されます。複数のユーザーを同じロールにのみ設定できます。
-
Data Infrastructure Insightsの各機能に対するユーザーの役割を選択します。
選択できる機能とロールは、特定の管理者ロールでアクセスできる機能によって異なります。たとえば、レポートの管理者ロールのみを持っている場合、レポート内の任意のロールにユーザーを割り当てることができますが、可観測性またはセキュリティのロールを割り当てることはできません。 
-
*招待*をクリック
招待状がユーザーに送信されます。ユーザーには招待を承諾するまで 14 日間の猶予があります。ユーザーが招待を承諾すると、 NetAppクラウド ポータルに移動し、招待状に記載されている電子メール アドレスを使用してサインアップします。そのメール アドレスの既存のアカウントがある場合は、サインインするだけで、 Data Infrastructure Insights環境にアクセスできるようになります。
既存のユーザーの役割を変更する
既存のユーザーの役割を変更するには(*セカンダリ アカウント所有者*として追加するなど)、次の手順に従います。
-
*管理 > ユーザー管理*をクリックします。画面にはシステム上のすべてのアカウントのリストが表示されます。
-
変更したいアカウントのユーザー名をクリックします。
-
必要に応じて、各Data Infrastructure Insights機能セットにおけるユーザーの役割を変更します。
-
[変更を保存]をクリックします。
セカンダリアカウント所有者を割り当てるには
アカウント所有者のロールを別のユーザーに割り当てるには、Observability のアカウント所有者としてログインする必要があります。
-
*管理 > ユーザー管理*をクリックします。
-
変更したいアカウントのユーザー名をクリックします。
-
ユーザー ダイアログで、[所有者として割り当て] をクリックします。
-
変更を保存します。
アカウント所有者は必要な数だけ持つことができますが、ベストプラクティスとしては、所有者の役割を特定のユーザーのみに制限します。
ユーザーの削除
管理者ロールを持つユーザーは、ユーザー名をクリックし、ダイアログで [ユーザーの削除] をクリックすることで、ユーザー (たとえば、会社を退職したユーザー) を削除できます。ユーザーはData Infrastructure Insights環境から削除されます。
ユーザーが作成したダッシュボードやクエリなどは、ユーザーが削除された後もData Infrastructure Insights環境で引き続き利用できることに注意してください。
シングルサインオン(SSO)とアイデンティティフェデレーション
アイデンティティフェデレーションとは何ですか?
アイデンティティフェデレーションを使用する場合:
-
認証は、企業ディレクトリの顧客の資格情報と、多要素認証 (MFA) などの自動化ポリシーを使用して、顧客の ID 管理システムに委任されます。
-
ユーザーはすべてのNetApp Consoleサービスに一度ログインします (シングル サインオン)。
すべてのクラウド サービスのユーザー アカウントは、NetApp Consoleで管理されます。デフォルトでは、認証はコンソールのローカル ユーザー プロファイルを使用して行われます。以下にそのプロセスの簡略化された概要を示します。
ただし、お客様によっては、 Data Infrastructure Insightsやその他のNetApp Consoleサービスのユーザーを認証するために独自の ID プロバイダーを使用したいと考えています。 Identity Federation を使用すると、 NetApp Consoleアカウントは企業ディレクトリの資格情報を使用して認証されます。
以下はそのプロセスの簡略化された例です。
上の図では、ユーザーがData Infrastructure Insightsにアクセスすると、そのユーザーは認証のために顧客の ID 管理システムに誘導されます。アカウントが認証されると、ユーザーはData Infrastructure Insightsテナント URL に誘導されます。
アイデンティティフェデレーションの有効化
コンソールは Auth0 を使用して ID フェデレーションを実装し、Active Directory Federation Services (ADFS) や Microsoft Azure Active Directory (AD) などのサービスと統合します。アイデンティティフェデレーションを構成するには、"連盟の指示" 。
|
|
Data Infrastructure Insightsで SSO を使用する前に、Identity Federation を構成する必要があります。 |
アイデンティティ フェデレーションの変更は、Data Infrastructure Insightsだけでなく、すべてのNetApp Consoleサービスに適用されることを理解することが重要です。お客様は、所有する各製品のNetAppチームとこの変更について話し合い、使用している構成が Identity Federation で機能するか、アカウントに調整が必要かどうかを確認する必要があります。顧客は、アイデンティティ フェデレーションへの変更に社内の SSO チームも関与させる必要があります。
また、ID フェデレーションを有効にすると、会社の ID プロバイダーに変更を加える場合 (SAML から Microsoft AD への移行など)、ユーザーのプロファイルを更新するためにトラブルシューティングや変更、注意が必要になる可能性が高いことを認識しておくことも重要です。
この問題やその他のフェデレーションの問題については、次の場所でサポートチケットを開くことができます。 https://mysupport.netapp.com/site/help 。
シングルサインオン(SSO)ユーザー自動プロビジョニング
管理者は、ユーザーを招待するだけでなく、企業ドメイン内のすべてのユーザーに対して、個別に招待することなく、 Data Infrastructure Insightsへの シングル サインオン (SSO) ユーザー自動プロビジョニング アクセスを有効にできます。 SSO を有効にすると、同じドメインの電子メール アドレスを持つすべてのユーザーが、企業の資格情報を使用してData Infrastructure Insightsにログインできるようになります。
|
|
SSO ユーザー自動プロビジョニング はData Infrastructure Insights Premium Edition で使用できますが、 Data Infrastructure Insightsで有効にする前に構成する必要があります。 SSOユーザー自動プロビジョニング構成には以下が含まれます"アイデンティティ フェデレーション"上記のセクションで説明したように、 NetApp Console経由で実行します。フェデレーションにより、シングル サインオン ユーザーは、Security Assertion Markup Language 2.0 (SAML) や OpenID Connect (OIDC) などのオープン スタンダードを使用して、企業ディレクトリの資格情報を使用してNetApp Consoleアカウントにアクセスできるようになります。 |
SSO ユーザー自動プロビジョニング を構成するには、管理 > ユーザー管理 ページで、まず Identity Federation を設定する必要があります。バナーの*フェデレーションの設定*リンクを選択して、コンソール フェデレーションに進みます。設定が完了すると、 Data Infrastructure Insights管理者は SSO ユーザー ログインを有効にできるようになります。管理者が SSO ユーザーの自動プロビジョニング を有効にすると、すべての SSO ユーザーのデフォルト ロール (ゲストやユーザーなど) を選択します。 SSO 経由でログインするユーザーには、そのデフォルトのロールが与えられます。
場合によっては、管理者が 1 人のユーザーをデフォルトの SSO ロールから昇格させたい場合があります (たとえば、管理者にするなど)。これは、管理者 > ユーザー管理 ページで、ユーザーの右側のメニューをクリックして [役割の割り当て] を選択することで実行できます。このように明示的にロールを割り当てられたユーザーは、その後 SSO ユーザー自動プロビジョニング が無効になっても、引き続きData Infrastructure Insightsにアクセスできます。
ユーザーが昇格されたロールを必要としなくなった場合は、メニューをクリックして [ユーザーの削除] できます。ユーザーはリストから削除されます。 SSO ユーザー自動プロビジョニング が有効になっている場合、ユーザーはデフォルトのロールを使用して、SSO を介してData Infrastructure Insightsに引き続きログインできます。
SSO ユーザーを表示 チェックボックスをオフにすると、SSO ユーザーを非表示にすることができます。
ただし、次のいずれかに該当する場合は、SSO ユーザー自動プロビジョニング を有効にしないでください。
-
組織には複数のData Infrastructure Insightsテナントがあります
-
組織では、フェデレーション ドメイン内のすべてのユーザーがData Infrastructure Insightsテナントに一定レベルの自動アクセス権を持つことを望んでいません。 現時点では、このオプションを使用してグループを使用してロール アクセスを制御する機能はありません。
ドメインによるアクセス制限
Data Infrastructure Insights、指定したドメインのみにユーザー アクセスを制限できます。 管理 > ユーザー管理 ページで、「ドメインの制限」を選択します。
次の選択肢が表示されます:
-
制限なし: ドメインに関係なく、ユーザーは引き続きData Infrastructure Insightsにアクセスできます。
-
デフォルト ドメインへのアクセスを制限します。デフォルト ドメインは、Data Infrastructure Insights環境のアカウント所有者が使用するドメインです。これらのドメインはいつでもアクセス可能です。
-
デフォルトと指定したドメインへのアクセスを制限します。デフォルトのドメインに加えて、 Data Infrastructure Insights環境へのアクセスを許可するドメインをすべてリストします。
