SANtricity Unified Manager のユーザー アクセス管理に関する FAQ
この FAQ は、質問に対する簡単な回答を探している場合に役立ちます。
ログインできない理由は何ですか?
ログイン試行時にエラーが表示された場合は、次の原因を確認してください。
ログインエラーは、次のいずれかが原因の可能性があります。
-
入力したユーザ名またはパスワードが正しくありません。
-
必要な権限がありません。
-
ログインが複数回失敗したために、ロックアウトモードがトリガーされました。10分待ってから再度ログインしてください。
-
SAML認証が有効になりました。ログインするには、ブラウザをリフレッシュしてください。
ディレクトリサーバを追加するときは、どのような点に注意する必要がありますか?
アクセス管理でディレクトリサーバを追加する前に、一定の要件を満たす必要があります。
-
ユーザグループがディレクトリサービスに定義されている必要があります。
-
LDAPサーバのクレデンシャルを確認しておく必要があります。ドメイン名とサーバのURLのほか、必要に応じてバインドアカウントのユーザ名とパスワードも指定できます。
-
セキュアなプロトコルを使用するLDAPSサーバの場合は、LDAPサーバの証明書チェーンがローカルマシンにインストールされている必要があります。
ストレージアレイのロールをマッピングするときは、どのような点に注意する必要がありますか?
グループをロールにマッピングする前に、ガイドラインを確認してください。
RBAC(ロールベースアクセス制御)機能には次のロールがあります。
-
* Storage admin *--アレイ上のストレージ・オブジェクトへの読み取り/書き込みのフル・アクセスを提供しますが'セキュリティ構成へのアクセスはありません
-
* Security admin *--アクセス管理と証明書管理のセキュリティ設定へのアクセス。
-
* Support admin *--ストレージアレイ上のすべてのハードウェアリソース、障害データ、およびMELイベントへのアクセス。ストレージオブジェクトやセキュリティ設定にはアクセスできません。
-
*Monitor *--すべてのストレージオブジェクトへの読み取り専用アクセスが可能ですが、セキュリティ設定へのアクセスはありません。
|
Monitorロールは、管理者を含むすべてのユーザに必要です。 |
LDAP(Lightweight Directory Access Protocol)サーバとディレクトリサービスを使用する場合は、次の点を確認してください。
-
ディレクトリサービスでユーザグループを定義しておきます。
-
LDAPユーザグループのグループドメイン名を確認しておきます。
SAML
ストレージアレイに組み込みのSecurity Assertion Markup Language(SAML)機能を使用する場合は、次の点を確認してください。
-
アイデンティティプロバイダ(IdP)管理者が、IdPシステムでユーザ属性とグループメンバーシップを設定しておく必要があります。
-
グループメンバーシップ名を確認しておきます。
-
マッピングするグループの属性値を確認しておきます。正規表現がサポートされます。正規表現パターンに含まれていない特殊な正規表現文字は、バックスラッシュ(「\」)でエスケープする必要があります。
\.[]{}()<>*+-=!?^$|
-
Monitorロールは、管理者を含むすべてのユーザに必要です。Monitorロールが割り当てられていないユーザのUnified Managerは正しく動作しません。
SAMLを設定および有効にするときは、どのような点に注意する必要がありますか?
認証のためにSecurity Assertion Markup Language(SAML)の機能を設定して有効にする前に、次の要件を満たしていることを確認し、SAMLの制限事項を理解しておきます。
要件
作業を開始する前に、次の点を確認してください。
-
ネットワークにアイデンティティプロバイダ(IdP)を設定しておきます。IdPは、ユーザにクレデンシャルを要求して認証されたユーザかどうかを確認するための外部システムです。IdPの保守はセキュリティチームが行います。
-
IdP管理者が、IdPシステムでユーザ属性とユーザグループを設定しておく必要があります。
-
IdP管理者が、認証時に名前IDを返す機能がIdPでサポートされていることを確認しておく必要があります。
-
IdPサーバとコントローラのクロックが同期されていることを確認しておきます(NTPサーバを使用するかコントローラのクロックの設定を調整します)。
-
IdPのメタデータファイルをIdPシステムからダウンロードし、Unified Managerへのアクセスに使用するローカルシステムで使用できるようにしておきます。
-
ストレージアレイのコントローラのIPアドレスまたはドメイン名を確認しておきます。
制限事項
上記の要件に加えて、次の制限事項を理解しておく必要があります。
-
SAMLを有効にすると、ユーザインターフェイスで無効にしたり、IdP設定を編集したりすることはできなくなります。SAMLの設定を無効にしたり編集したりする必要がある場合は、テクニカルサポートにお問い合わせください。最後の設定手順でSAMLを有効にする前に、SSOログインをテストすることを推奨します。(SSOログインテストはSAMLが有効になる前にシステムでも実行されます)。
-
あとでSAMLを無効にすると、以前の設定(ローカルユーザロール、ディレクトリサービス、またはその両方)が自動的にリストアされます。
-
現在ユーザ認証にディレクトリサービスが設定されている場合は、SAMLによって上書きされます。
-
SAMLを設定すると、次のクライアントがストレージアレイリソースにアクセスできなくなります。
-
Enterprise Management Window(EMW)
-
コマンドラインインターフェイス( CLI )
-
ソフトウェア開発キット(SDK)クライアント
-
インバンドクライアント
-
HTTPベーシック認証REST APIクライアント
-
標準のREST APIエンドポイントを使用してログインします
-
ローカルユーザとは何ですか?
ローカルユーザは、システムに事前に定義されたユーザで、特定の権限が含まれています。
ローカルユーザの例を次に示します。
-
admin--システム内のすべての機能にアクセスできるスーパー管理者。このユーザにはすべてのロールが含まれています初回ログイン時にパスワードを設定する必要があります。
-
* storage *--すべてのストレージ・プロビジョニングを担当する管理者。このユーザには、Storage Admin、Support Admin、Monitorのロールが含まれています。このアカウントは、パスワードが設定されるまで無効になります。
-
* security *--アクセス管理や証明書管理など、セキュリティ設定を担当するユーザー。このユーザには、Security AdminとMonitorのロールが含まれています。このアカウントは、パスワードが設定されるまで無効になります。
-
* support *--ハードウェアリソース、障害データ、ファームウェアアップグレードを担当するユーザー。このユーザには、Support AdminとMonitorのロールが含まれています。このアカウントは、パスワードが設定されるまで無効になります。
-
*monitor *--システムへの読み取り専用アクセス権を持つユーザー。このユーザにはMonitorロールのみが含まれています。このアカウントは、パスワードが設定されるまで無効になります。
-
* rw *(読み取り/書き込み)-このユーザには、Storage Admin、Support Admin、Monitorのロールが含まれています。このアカウントは、パスワードが設定されるまで無効になります。
-
* ro *(読み取り専用)--このユーザーには、Monitorロールのみが含まれています。このアカウントは、パスワードが設定されるまで無効になります。