アクセス管理の仕組み
アクセス管理は、System Managerでユーザ認証を確立する手段の1つです。
設定とユーザ認証は次のように機能します。
-
Security Adminの権限を含むユーザプロファイルでSystem Managerにログインします。
初回ログイン時は、ユーザ名が `admin`自動的に表示され、変更することはできません。 `admin`ユーザには、システム内のすべての機能へのフルアクセス権が付与されます。
-
ユーザインターフェイスでアクセス管理に移動します。ストレージアレイはローカルユーザロールを使用するように事前に設定されています。これはロールベースアクセス制御(RBAC)機能の実装です。
-
管理者は、次の認証方式を1つ以上設定します。
-
ローカルユーザーの役割--ストレージアレイに適用されるRBAC機能を使用して認証を管理しますローカルユーザロールには、事前定義されたユーザプロファイルと、特定のアクセス権限を持つロールが含まれます。管理者は、これらのローカルユーザロールを単一の認証方式として使用することも、ディレクトリサービスと組み合わせて使用することもできます。ユーザのパスワードを設定する以外、設定は必要ありません。
-
ディレクトリサービス-- LDAP (Lightweight Directory Access Protocol)サーバとディレクトリサービス(MicrosoftのActive Directoryなど)を介して認証を管理します管理者がLDAPサーバに接続し、ストレージアレイに組み込まれているローカルユーザロールにLDAPユーザをマッピングします。
-
*saml *-- Security Assertion Markup Language(SAML)2.0を使用してアイデンティティプロバイダ(IdP)を介して認証を管理します。管理者がIdPシステムとストレージアレイの間の通信を確立し、ストレージアレイに組み込まれているローカルユーザロールにIdPユーザをマッピングします。
-
-
ユーザにSystem Managerのログインクレデンシャルを渡します。
-
ユーザが自身のクレデンシャルを入力してシステムにログインします。
認証がSAMLとシングルサインオン(SSO)で管理されている場合は、System Managerのログインダイアログが省略されることがあります。
ログイン中、システムは次のバックグラウンドタスクを実行します。
-
ユーザアカウントに対してユーザ名とパスワードを認証します。
-
割り当てられたロールに基づいてユーザの権限を決定します。
-
ユーザインターフェイスのタスクにユーザがアクセスできるようにします。
-
インターフェイスの右上にユーザ名が表示されます。
-
System Managerで実行できるタスク
タスクへのアクセス権は、ユーザに割り当てられている次のロールによって異なります。
-
* Storage admin *--ストレージ・オブジェクト(ボリュームやディスク・プールなど)への読み取り/書き込みのフル・アクセス。セキュリティ構成へのアクセスはありません。
-
* Security admin *--アクセス管理、証明書管理、監査ログ管理のセキュリティ構成へのアクセス、および従来の管理インターフェイス(SYMbol)のオン/オフの切り替え機能。
-
* Support admin *--ストレージアレイのすべてのハードウェアリソース、障害データ、MELイベント、およびコントローラファームウェアアップグレードへのアクセス。ストレージオブジェクトやセキュリティ設定にはアクセスできません。
-
*Monitor *--すべてのストレージオブジェクトへの読み取り専用アクセスが可能ですが、セキュリティ設定へのアクセスはありません。
使用できないタスクは、ユーザインターフェイスではグレー表示されるか、非表示になります。たとえば、Monitorロールを持つユーザは、ボリュームに関するすべての情報を表示できますが、そのボリュームを変更するための機能にはアクセスできません。[サービスのコピー*(Copy Services *)]や[ワークロードに追加(Add to Workload *)]などの機能のタブはぼかし表示され、[設定の表示/編集(View / Edit Settings)]のみが使用できます。
Unified ManagerとStorage Managerの制限事項
ストレージアレイにSAMLが設定されている場合、ユーザはそのアレイのストレージをUnified Managerや従来のStorage Managerインターフェイスから検出または管理することはできません。
ローカルユーザロールとディレクトリサービスが設定されている場合、次のいずれかの機能を実行する前にクレデンシャルを入力する必要があります。
-
ストレージアレイの名前変更
-
コントローラファームウェアのアップグレード
-
ストレージアレイの構成のロード
-
スクリプトの実行
-
未使用のセッションがタイムアウトしたときにアクティブな処理を実行しようとしています