Skip to main content
11.9
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

SANtricity System Managerにおけるアクセス管理の仕組み

PDF

アクセス管理は、SANtricity System Managerでユーザ認証を確立する方法です。

設定およびユーザ認証は次のように行います。

  1. 管理者は、Security Admin権限を含むユーザープロファイルを使用してSystem Managerにログインします。

    メモ

    初回ログイン時のユーザー名 `admin`は自動的に表示されるため、変更できません。 `admin`ユーザーはシステム内のすべての機能に完全にアクセスできます。

  2. 管理者はユーザインターフェイスで「アクセス管理」に移動します。ストレージアレイは、RBAC(ロールベースのアクセス制御)機能の実装であるローカルユーザロールを使用するように事前設定されています。

  3. 次の認証方式を1つ以上設定します。

    • ローカル ユーザ ロール — 認証は、ストレージ アレイで適用されるRBAC機能によって管理されます。ローカル ユーザ ロールには、事前に定義されたユーザ プロファイルと、特定のアクセス権限を持つロールが含まれます。管理者は、これらのローカル ユーザ ロールを認証の唯一の方法として使用することも、ディレクトリ サービスと組み合わせて使用することもできます。ユーザのパスワードを設定する以外に、特別な設定は必要ありません。

    • ディレクトリ サービス — 認証は、LDAP(Lightweight Directory Access Protocol)サーバと、MicrosoftのActive Directoryなどのディレクトリ サービスを介して管理されます。管理者はLDAPサーバに接続し、LDAPユーザをストレージ アレイに組み込まれたローカル ユーザ ロールにマッピングします。

    • SAML — 認証は、Security Assertion Markup Language(SAML)2.0を使用するIdentity Provider(IdP)を介して管理されます。管理者は、IdPシステムとストレージアレイ間の通信を確立し、IdPユーザをストレージアレイに組み込まれているローカルユーザロールにマッピングします。

  4. 管理者は、System Managerへのログイン認証情報をユーザーに提供します。

  5. ユーザが自身のクレデンシャルを入力してシステムにログインします。

    メモ

    認証がSAMLとSSO(シングル サインオン)で管理されている場合、システムはSystem Managerのログインダイアログをスキップする可能性があります。

    ログイン時には、次のバックグラウンド タスクが実行されます。

    • ユーザ名とパスワードがユーザ アカウントと照合して認証されます。

    • 割り当てられたロールに基づいてユーザの権限が決定されます。

    • ユーザ インターフェイス内のタスクにユーザがアクセスできるようになります。

    • インターフェイスの右上にユーザ名が表示されます。

System Managerで利用可能なタスク

タスクへのアクセスは、ユーザに割り当てられたロールによって決まります。ロールには以下のものが含まれます:

  • * Storage admin * — ストレージオブジェクト(ボリュームやディスクプールなど)へのフル読み取り / 書き込みアクセスは可能ですが、セキュリティ構成へのアクセスはできません。

  • Security admin — Access Managementのセキュリティ設定、証明書管理、監査ログ管理へのアクセス、およびレガシー管理インターフェイス(SYMbol)のオン/オフを切り替える機能。

  • サポート管理者 — ストレージアレイ上のすべてのハードウェアリソース、障害データ、MELイベント、およびコントローラファームウェアのアップグレードへのアクセス。ストレージオブジェクトやセキュリティ設定へのアクセス権はありません。

  • Monitor — すべてのストレージオブジェクトへの読み取り専用アクセスが可能ですが、セキュリティ構成へのアクセスはできません。

利用できないタスクは、グレー表示されるか、ユーザインターフェイスに表示されません。たとえば、Monitorロールを持つユーザはボリュームに関するすべての情報を表示できますが、そのボリュームを変更するための機能にはアクセスできません。*Copy Services*や*Add to Workload*などの機能のタブはグレー表示され、*View/Edit Settings*のみが使用可能になります。

Unified ManagerとStorage Managerの制限事項

ストレージ アレイにSAMLが設定されている場合、ユーザはそのアレイのストレージをUnified Managerや従来のStorage Managerのインターフェイスから検出または管理できません。

ローカル ユーザ ロールとディレクトリ サービスが設定されている場合は、次のいずれかの機能を実行する前に、クレデンシャルを入力する必要があります。

  • ストレージ アレイの名前変更

  • コントローラ ファームウェアのアップグレード

  • ストレージ アレイ構成のロード

  • スクリプトの実行

  • 未使用のセッションがタイムアウトした状態で、アクティブな操作を実行しようとした