ストレージアレイのロールをマッピングするときは、どのような点に注意する必要がありますか?
グループをロールにマッピングする前に、次のガイドラインを確認してください。
ストレージアレイに搭載されたロールベースアクセス制御(RBAC)機能には次のロールがあります。
-
* Storage admin *--ストレージ・オブジェクト(ボリュームやディスク・プールなど)への読み取り/書き込みのフル・アクセス。セキュリティ構成へのアクセスはありません。
-
* Security admin *--アクセス管理、証明書管理、監査ログ管理のセキュリティ構成へのアクセス、および従来の管理インターフェイス(SYMbol)のオン/オフの切り替え機能。
-
* Support admin *--ストレージアレイのすべてのハードウェアリソース、障害データ、MELイベント、およびコントローラファームウェアアップグレードへのアクセス。ストレージオブジェクトやセキュリティ設定にはアクセスできません。
-
*Monitor *--すべてのストレージオブジェクトへの読み取り専用アクセスが可能ですが、セキュリティ設定へのアクセスはありません。
ディレクトリサービス
LDAP(Lightweight Directory Access Protocol)サーバとディレクトリサービスを使用する場合は、次の点を確認してください。
-
ディレクトリサービスでユーザグループを定義しておきます。
-
LDAPユーザグループのグループドメイン名を確認しておきます。正規表現がサポートされます。正規表現パターンに含まれていない特殊な正規表現文字は、バックスラッシュ(「\」)でエスケープする必要があります。
\.[]{}()<>*+-=!?^$|
-
Monitorロールは、管理者を含むすべてのユーザに必要です。Monitorロールがないユーザの場合、System Managerは正常に動作しません。
SAML
ストレージアレイに組み込みのSecurity Assertion Markup Language(SAML)機能を使用する場合は、次の点を確認してください。
-
アイデンティティプロバイダ(IdP)管理者が、IdPシステムでユーザ属性とグループメンバーシップを設定しておく必要があります。
-
グループメンバーシップ名を確認しておきます。
-
マッピングするグループの属性値を確認しておきます。正規表現がサポートされます。正規表現パターンに含まれていない特殊な正規表現文字は、バックスラッシュ(「\」)でエスケープする必要があります。
\.[]{}()<>*+-=!?^$|
-
Monitorロールは、管理者を含むすべてのユーザに必要です。Monitorロールがないユーザの場合、System Managerは正常に動作しません。