Skip to main content
11.9
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

SANtricity Unified Managerのユーザアクセス管理に関するFAQ

PDF

質問に対する簡単な回答をお探しの場合は、このFAQが役立ちます。

ログインできない理由は何ですか?

ログインする際にエラーが表示される場合は、次の問題がないか確認してください。

ログイン エラーは、次のいずれかが原因の可能性があります。

  • 入力したユーザ名またはパスワードが間違っている。

  • 必要な権限がない。

  • ログインが複数回失敗したために、ロックアウトされた。この場合は、10分待ってから再度ログインしてください。

  • SAML認証が有効化された。この場合は、ブラウザをリフレッシュしてからログインしてください。

ディレクトリ サーバを追加するときは、どのような点に注意する必要がありますか?

アクセス管理でディレクトリ サーバを追加する際は、一定の要件を満たしている必要があります。

  • ユーザグループはディレクトリサービス内で定義する必要があります。

  • LDAPサーバの認証情報(ドメイン名、サーバURL、および必要に応じてバインドアカウントのユーザ名とパスワードを含む)が必要です。

  • セキュアなプロトコルを使用するLDAPSサーバの場合は、LDAPサーバの証明書チェーンがローカル マシンにインストールされている必要があります。

ストレージ アレイのロールをマッピングするときは、どのような点に注意する必要がありますか?

グループをロールにマッピングする際は、次のガイドラインに注意してください。

RBAC(ロールベース アクセス制御)機能には次のロールがあります。

  • * Storage admin * — アレイ上のストレージオブジェクトへの完全な読み取り / 書き込みアクセスが可能ですが、セキュリティ設定へのアクセスはできません。

  • セキュリティ管理者 — アクセス管理および証明書管理のセキュリティ設定へのアクセス。

  • サポート管理者 — ストレージアレイ上のすべてのハードウェアリソース、障害データ、およびMELイベントへのアクセス。ストレージオブジェクトやセキュリティ設定へのアクセス権はありません。

  • Monitor — すべてのストレージオブジェクトへの読み取り専用アクセスが可能ですが、セキュリティ構成へのアクセスはできません。

メモ

Monitorロールは、管理者を含むすべてのユーザに必要です。

LDAP(Lightweight Directory Access Protocol)サーバとディレクトリ サービスを使用する場合は、次の点を確認してください。

  • ディレクトリ サービスでユーザ グループを定義しておきます。

  • LDAPユーザ グループのグループ ドメイン名を確認しておきます。

SAML

ストレージ アレイに搭載されたSecurity Assertion Markup Language(SAML)機能を使用する場合は、次のことを確認してください。

  • アイデンティティ プロバイダ(IdP)管理者が、IdPシステムでユーザ属性とグループ メンバーシップを設定しておく必要があります。

  • グループ メンバーシップ名を把握しておきます。

  • マッピング対象グループの属性値は分かっている。正規表現がサポートされています。これらの特殊な正規表現文字は、正規表現パターンの一部でない場合、バックスラッシュ(`\`でエスケープする必要があります:

    \.[]{}()<>*+-=!?^$|

  • Monitorロールは、管理者を含むすべてのユーザに必要です。Monitorロールがないユーザの場合、Unified Managerは正常に動作しません。

SAMLを設定および有効にするときは、どのような点に注意する必要がありますか?

認証のためにSecurity Assertion Markup Language(SAML)の機能を設定して有効にする前に、次の要件を満たしていることを確認し、SAMLの制限事項を理解しておきます。

要件

作業を開始する前に、次の点を確認します。

  • ネットワーク内にIDプロバイダー(IdP)が設定されています。IdPは、ユーザーから認証情報を要求し、ユーザーが正常に認証されたかどうかを判断するために使用される外部システムです。セキュリティチームは、IdPの維持管理を担当します。

  • IdP管理者が、IdPシステムでユーザ属性とユーザ グループを設定しておく必要があります。

  • IdP管理者が、認証時に名前IDを返す機能がIdPでサポートされていることを確認しておく必要があります。

  • IdPサーバとコントローラのクロックを同期しておきます(NTPサーバを使用するかコントローラのクロックの設定を調整します)。

  • IdPのメタデータ ファイルをIdPシステムからダウンロードし、Unified Managerへのアクセスに使用するローカル システムで使用できるようにしておきます。

  • ストレージ アレイのコントローラのIPアドレスまたはドメイン名を確認しておきます。

制限事項

上記の要件に加えて、次の制限事項を理解しておきます。

  • SAMLを有効にすると、ユーザインターフェイスから無効にすることは_できません_し、IdP設定を編集することもできません。SAML設定を無効化または編集する必要がある場合は、テクニカルサポートにお問い合わせください。最終設定手順でSAMLを有効にする前に、SSOログインのテストを行うことをお勧めします。(システムはSAMLを有効にする前にSSOログインテストも実行します。)

  • あとでSAMLを無効にすると、以前の設定(ローカル ユーザ ロール、ディレクトリ サービス、またはその両方)が自動的にリストアされます。

  • 現在ユーザ認証にディレクトリ サービスが設定されている場合は、SAMLによって上書きされます。

  • SAMLを設定すると、次のクライアントがストレージ アレイ リソースにアクセスできなくなります。

    • Enterprise Management Window(EMW)

    • コマンドライン インターフェイス(CLI)

    • ソフトウェア開発キット(SDK)クライアント

    • インバンド クライアント

    • HTTPベーシック認証REST APIクライアント

    • 標準のREST APIエンドポイントを使用したログイン

ローカル ユーザとは何ですか?

ローカル ユーザは、システムに事前に定義されたユーザで、特定の権限が含まれています。

ローカル ユーザには次のものがあります。

  • admin — システム内のすべての機能にアクセスできるスーパー管理者。このユーザにはすべてのロールが含まれます。初回ログイン時にパスワードを設定する必要があります。

  • storage — すべてのストレージ プロビジョニングを管理する管理者。このユーザには、Storage Admin、Support Admin、およびMonitorのロールが含まれます。このアカウントは、パスワードが設定されるまで無効になります。

  • security — アクセス管理および証明書管理を含むセキュリティ設定を担当するユーザ。このユーザには、Security AdminおよびMonitorのロールが含まれます。このアカウントは、パスワードが設定されるまで無効になります。

  • support — ハードウェアリソース、障害データ、ファームウェアのアップグレードを担当するユーザ。このユーザには、Support AdminおよびMonitorのロールが含まれます。このアカウントは、パスワードが設定されるまで無効になります。

  • monitor — システムへの読み取り専用アクセス権を持つユーザ。このユーザにはMonitorロールのみが含まれます。パスワードが設定されるまで、このアカウントは無効になっています。

  • rw(読み取り / 書き込み)-- このユーザには、Storage Admin、Support Admin、およびMonitorのロールが含まれます。このアカウントは、パスワードが設定されるまで無効になります。

  • ro (読み取り専用) — このユーザには Monitor ロールのみが含まれます。このアカウントは、パスワードが設定されるまで無効になります。