보안
사용자 계정 및 역할
변경 제안
PDF
Cloud Insights는 계정 소유자, 관리자, 사용자 및 게스트의 최대 4개의 사용자 계정 역할을 제공합니다. 각 계정에는 아래 표에 명시된 특정 권한 수준이 할당됩니다. 사용자는 둘 중 하나입니다 "초대되었습니다" Cloud Insights에 로그인하여 특정 역할을 할당하거나 을 통해 로그인할 수 있습니다 "SSO(Single Sign-On) 인증" 기본 역할을 사용합니다. SSO 인증은 Cloud Insights 프리미엄 에디션의 기능으로 제공됩니다.
|
Cloud Insights Federal Edition의 사용자 로그인은 구성된 ID 공급자(지정된 전자 메일 도메인)로 제한됩니다. 새 사용자를 Cloud Insights 연방 환경에 초대하는 경우 해당 이메일 주소는 해당 환경에 구성된 도메인과 일치해야 합니다. |
사용 권한 수준
관리자 권한이 있는 계정을 사용하여 사용자 계정을 만들거나 수정합니다. 각 사용자 계정에는 다음과 같은 권한 수준에서 각 Cloud Insights 기능에 대한 역할이 할당됩니다.
| 역할 | 관찰 가능성 | 워크로드 보안 | 보고 |
|---|---|---|---|
계정 소유자 |
구독을 수정하고, 청구 및 사용 정보를 보고, 관찰 가능성, 보안 및 보고를 위한 모든 관리자 기능을 수행할 수 있습니다. 또한 소유자는 사용자를 초대하고 관리할 수 있을 뿐 아니라 SSO 인증 및 ID 페더레이션 설정을 관리할 수 있습니다. 첫 번째 계정 소유자는 Cloud Insights에 등록할 때 생성됩니다. 각 Cloud Insights 환경에 대해 계정 소유자를 두 명 이상 두는 것이 좋습니다. |
||
관리자 |
모든 관찰 가능성 기능, 모든 사용자 기능, 데이터 수집기 관리, 관찰 가능성 API 토큰 및 알림을 수행할 수 있습니다. 관리자는 다른 사용자를 초대할 수도 있지만 관찰 가능성 역할만 할당할 수 있습니다. |
경고, Forensics, 데이터 수집기, 자동화된 응답 정책 및 보안을 위한 API 토큰을 포함한 모든 보안 기능을 수행할 수 있습니다. 관리자는 다른 사용자를 초대할 수도 있지만 보안 역할만 할당할 수 있습니다. |
보고 API 토큰 관리, 보고서 구성, 보고 작업 종료 및 재시작 등의 모든 관리 작업을 포함한 모든 사용자/작성자 기능을 수행할 수 있습니다. 관리자는 다른 사용자를 초대할 수도 있지만 보고 역할만 할당할 수 있습니다. |
사용자 |
대시보드, 쿼리, 알림, 주석, 주석 규칙, 장치 해상도를 관리할 수 있습니다. |
알림을 확인 및 관리하고 Forensics를 볼 수 있습니다. 사용자 역할은 알림 상태를 변경하고, 메모를 추가하고, 스냅샷을 수동으로 생성하고, 사용자 액세스 제한을 관리할 수 있습니다. |
모든 게스트/소비자 기능을 수행할 수 있을 뿐 아니라 보고서 및 대시보드를 생성 및 관리할 수 있습니다. |
게스트 |
자산 페이지, 대시보드, 알림에 대한 읽기 전용 액세스를 제공하며 쿼리를 보고 실행할 수 있습니다. |
알림 및 Forensics를 볼 수 있습니다. 게스트 역할은 알림 상태를 변경하거나, 메모를 추가하거나, 스냅샷을 수동으로 생성하거나, 사용자 액세스를 제한할 수 없습니다. |
에서는 보고서를 보고 일정을 잡고 실행할 수 있으며 언어 및 표준 시간대와 같은 개인 기본 설정을 설정할 수 있습니다. 게스트/소비자는 보고서를 만들거나 관리 작업을 수행할 수 없습니다. |
관리자 권한이 있는 사용자의 수를 제한하는 것이 가장 좋습니다. 최대 계정 수는 사용자 또는 게스트 계정이어야 합니다.
사용자 역할별 Cloud Insights 권한
다음 표에서는 각 사용자 역할에 부여된 Cloud Insights 권한을 보여 줍니다.
피처 |
관리자/계정 소유자 |
사용자 |
게스트 |
획득 단위: 추가/수정/삭제 |
예 |
해당 없음 |
해당 없음 |
경고 *: 생성/수정/삭제 |
예 |
예 |
해당 없음 |
경고 *: 보기 |
예 |
예 |
예 |
주석 규칙: 생성/실행/수정/삭제 |
예 |
예 |
해당 없음 |
주석: 생성/수정/할당/보기/제거/삭제 |
예 |
예 |
해당 없음 |
API 액세스 *: 생성/이름 바꾸기/비활성화/해지 |
예 |
해당 없음 |
해당 없음 |
응용 프로그램: 생성/보기/수정/삭제 |
예 |
예 |
해당 없음 |
자산 페이지: 수정 |
예 |
예 |
해당 없음 |
자산 페이지: 보기 |
예 |
예 |
예 |
감사: 보기 |
예 |
해당 없음 |
해당 없음 |
클라우드 비용 |
예 |
해당 없음 |
해당 없음 |
보안 |
예 |
해당 없음 |
해당 없음 |
대시보드: 생성/수정/삭제 |
예 |
예 |
해당 없음 |
대시보드: 보기 |
예 |
예 |
예 |
데이터 수집기: 추가/수정/폴링/삭제 |
예 |
해당 없음 |
해당 없음 |
알림: 보기 |
예 |
예 |
예 |
알림: 수정 |
예 |
해당 없음 |
해당 없음 |
쿼리: 생성/수정/삭제 |
예 |
예 |
해당 없음 |
쿼리: 보기/실행 |
예 |
예 |
예 |
장치 해상도 |
예 |
예 |
해당 없음 |
보고서 *: 보기/실행 |
예 |
예 |
예 |
보고서 *: 생성/수정/삭제/일정 |
예 |
예 |
해당 없음 |
가입: 보기/수정 |
예 |
해당 없음 |
해당 없음 |
사용자 관리: 초대/추가/수정/비활성화 |
예 |
해당 없음 |
해당 없음 |
-
Premium Edition이 필요합니다
사용자를 초대하여 계정 만들기
새 사용자 계정은 BlueXP를 통해 생성됩니다. 사용자는 이메일을 통해 보낸 초대에 응답할 수 있지만 BlueXP 계정이 없는 경우 사용자는 BlueXP 초대를 수락할 수 있도록 BlueXP에 등록해야 합니다.
-
사용자 이름은 초대의 전자 메일 주소입니다.
-
할당할 사용자 역할을 이해합니다.
-
암호는 등록 프로세스 중에 사용자가 정의합니다.
-
Cloud Insights에 로그인합니다
-
메뉴에서 * Admin > User Management * 를 클릭합니다
사용자 관리 화면이 표시됩니다. 화면에는 시스템의 모든 계정 목록이 표시됩니다.
-
사용자 * 를 클릭합니다
사용자 초대 * 화면이 표시됩니다.
-
이메일 주소 또는 여러 주소를 입력하여 초대를 보냅니다.
-
참고: * 여러 주소를 입력하면 모두 동일한 역할로 생성됩니다. 여러 명의 사용자만 동일한 역할로 설정할 수 있습니다.
-
-
Cloud Insights의 각 기능에 대한 사용자 역할을 선택합니다.
선택할 수 있는 기능 및 역할은 특정 관리자 역할에서 액세스할 수 있는 기능에 따라 다릅니다. 예를 들어 보고에만 관리자 역할이 있는 경우 사용자를 보고의 모든 역할에 할당할 수 있지만 관찰 가능성 또는 보안에 대한 역할을 할당할 수는 없습니다. 
-
초대 * 를 클릭합니다
초대가 사용자에게 전송됩니다. 사용자는 14일 내에 초대를 수락할 수 있습니다. 사용자가 초대를 수락하면 해당 사용자가 NetApp Cloud Portal로 이동하게 되며 초대장의 이메일 주소를 사용하여 등록하게 됩니다. 해당 이메일 주소에 대한 기존 계정이 있는 경우 로그인하기만 하면 Cloud Insights 환경에 액세스할 수 있습니다.
기존 사용자의 역할 수정
보조 계정 소유자 * 로 추가하는 등 기존 사용자의 역할을 수정하려면 다음 단계를 따르십시오.
-
관리자 > 사용자 관리 * 를 클릭합니다. 화면에 시스템의 모든 계정 목록이 표시됩니다.
-
변경할 계정의 사용자 이름을 클릭합니다.
-
필요에 따라 각 Cloud Insights 기능 세트에서 사용자의 역할을 수정합니다.
-
변경 내용 저장 _ 을(를) 클릭합니다.
보조 계정 소유자를 지정합니다
계정 소유자 역할을 다른 사용자에게 할당하려면 관찰 가능성의 계정 소유자로 로그인해야 합니다.
-
관리자 > 사용자 관리 * 를 클릭합니다.
-
변경할 계정의 사용자 이름을 클릭합니다.
-
사용자 대화 상자에서 * 소유자로 할당 * 을 클릭합니다.
-
변경 사항을 저장합니다.
계정 소유자는 원하는 만큼 많을 수 있지만 소유자 역할은 선택한 사용자만 하도록 제한하는 것이 가장 좋습니다.
사용자 삭제
관리자 역할을 가진 사용자는 사용자 이름을 클릭하고 대화 상자에서 _사용자 삭제_를 클릭하여 사용자(예: 더 이상 회사에 없는 사용자)를 삭제할 수 있습니다. 사용자가 Cloud Insights 환경에서 제거됩니다.
사용자가 만든 대시보드, 쿼리 등은 사용자가 제거된 후에도 Cloud Insights 환경에서 계속 사용할 수 있습니다.
SSO(Single Sign-On) 및 ID 페더레이션
ID 페더레이션이란 무엇입니까?
ID 페더레이션 사용:
-
기업 디렉토리에서 고객의 자격 증명을 사용하여 고객의 ID 관리 시스템에 인증을 위임하고 MFA(Multi-Factor Authentication)와 같은 자동 인증 정책을 수행합니다.
-
사용자는 모든 NetApp BlueXP 서비스(단일 사인온)에 한 번 로그인합니다.
모든 클라우드 서비스의 NetApp BlueXP에서 사용자 계정을 관리합니다. 기본적으로 인증은 BlueXP 로컬 사용자 프로필을 통해 수행됩니다. 다음은 이 프로세스에 대한 간단한 개요입니다.
그러나 일부 고객은 자체 ID 공급자를 사용하여 Cloud Insights 및 다른 NetApp BlueXP 서비스에 대한 사용자를 인증하려고 합니다. ID 페더레이션을 사용하면 NetApp BlueXP 계정은 회사 디렉터리의 자격 증명을 사용하여 인증됩니다.
다음은 이 프로세스의 간단한 예입니다.
위 다이어그램에서 사용자가 Cloud Insights에 액세스하면 해당 사용자는 인증을 위해 고객의 ID 관리 시스템으로 연결됩니다. 계정이 인증되면 사용자는 Cloud Insights 테넌트 URL로 연결됩니다.
ID 페더레이션을 사용하도록 설정하는 중입니다
BlueXP는 Auth0을 사용하여 Identity Federation을 구현하고 ADFS(Active Directory Federation Services) 및 Microsoft Azure AD(Active Directory) 등의 서비스와 통합됩니다. ID 페더레이션을 구성하려면 을 참조하십시오 "BlueXP Federation 지침".
|
|
Cloud Insights에서 SSO를 사용하려면 먼저 BlueXP ID 페더레이션을 구성해야 합니다. |
BlueXP의 변화하는 ID 페더레이션이 Cloud Insights뿐만 아니라 모든 NetApp BlueXP 서비스에도 적용된다는 것을 이해하는 것이 중요합니다. 고객은 자신이 소유한 각 BlueXP 제품의 NetApp 팀과 이 변경 사항에 대해 논의하여 사용 중인 구성이 ID Federation과 연동되는지 또는 계정을 조정해야 하는 경우. 고객은 ID 페더레이션의 변경에 내부 SSO 팀을 참여시켜야 합니다.
또한 ID 페더레이션이 활성화되면 회사 ID 공급자를 변경(SAML에서 Microsoft AD로 이동)할 때 사용자 프로필을 업데이트하기 위해 BlueXP의 문제 해결/변경/주의가 필요할 수 있음을 인지해야 합니다.
이 문제나 다른 페더레이션 문제에 대해 에서 지원 티켓을 열 수 있습니다 https://mysupport.netapp.com/site/help "bluexp.netapp.com > Federation Issues" 범주를 선택합니다.
SSO(Single Sign-On) 사용자 자동 프로비저닝
관리자는 사용자를 초대하는 것 외에도 기업 도메인의 모든 사용자가 개별적으로 초대하지 않고도 * SSO(Single Sign-On) 사용자 자동 프로비저닝 * 액세스를 Cloud Insights에 액세스할 수 있습니다. SSO를 사용하면 동일한 도메인 이메일 주소를 가진 모든 사용자가 회사 자격 증명을 사용하여 Cloud Insights에 로그인할 수 있습니다.
|
|
_SSO 사용자 자동 프로비저닝 _ 은(는) Cloud Insights 프리미엄 에디션에서 사용할 수 있으며 Cloud Insights에 대해 사용하려면 먼저 구성해야 합니다. SSO 사용자 자동 프로비저닝 구성에는 이 포함됩니다 "ID 페더레이션" 위의 섹션에 설명된 것처럼 NetApp BlueXP를 이용함으로써 페더레이션을 사용하면 SAML(Security Assertion Markup Language) 및 OIDC(OpenID Connect)와 같은 공개 표준을 사용하여 기업 디렉터리의 자격 증명을 사용하여 NetApp BlueXP 계정에 액세스할 수 있습니다. |
SSO 사용자 자동 프로비저닝 _ 을(를) 구성하려면 * 관리자 > 사용자 관리 * 페이지에서 먼저 BlueXP ID 페더레이션을 설정해야 합니다. 배너에서 * Set Up Federation * 링크를 선택하여 BlueXP Federation으로 이동합니다. 구성이 완료되면 Cloud Insights 관리자가 SSO 사용자 로그인을 활성화할 수 있습니다. 관리자가 SSO 사용자 자동 프로비저닝 을(를) 사용하도록 설정할 경우, 모든 SSO 사용자(예: 게스트 또는 사용자)의 기본 역할을 선택합니다. SSO를 통해 로그인하는 사용자는 이 기본 역할을 갖게 됩니다.
관리자가 단일 사용자를 기본 SSO 역할(예: 관리자로 설정)에서 승격하려고 하는 경우가 있습니다. 사용자는 * Admin > User Management * 페이지에서 오른쪽 메뉴를 클릭하고 _Assign Role_을 선택하여 이 작업을 수행할 수 있습니다. 이러한 방식으로 명시적 역할이 할당된 사용자는 _ SSO 사용자 자동 프로비저닝 _ 이(가) 이후에 비활성화되더라도 계속해서 Cloud Insights에 액세스할 수 있습니다.
사용자에게 더 이상 상승된 역할이 필요하지 않으면 메뉴를 클릭하여 사용자 _ 제거 _ 를 수행할 수 있습니다. 사용자가 목록에서 제거됩니다. SSO 사용자 자동 프로비저닝 _ 이(가) 활성화된 경우 사용자는 기본 역할을 사용하여 SSO를 통해 Cloud Insights에 계속 로그인할 수 있습니다.
SSO 사용자 표시 * 확인란의 선택을 취소하여 SSO 사용자를 숨기도록 선택할 수 있습니다.
그러나 다음 중 하나에 해당하는 경우 _SSO 사용자 자동 프로비저닝_을 활성화하지 마십시오.
-
조직에 Cloud Insights 테넌트가 두 개 이상 있습니다
-
조직에서 통합 도메인의 모든 사용자가 Cloud Insights 테넌트에 대해 일정 수준의 자동 액세스를 갖는 것을 원하지 않습니다. _ 이 시점에는 _ 옵션을 사용하여 그룹을 사용하여 역할 액세스를 제어할 수 없습니다.
도메인별 액세스 제한
Cloud Insights는 사용자가 지정한 도메인에만 대한 사용자 액세스를 제한할 수 있습니다. 관리자 > 사용자 관리 * 페이지에서 "도메인 제한"을 선택합니다.
다음과 같은 선택 사항이 제시됩니다.
-
제한 없음: Cloud Insights는 도메인에 관계없이 사용자가 계속 액세스할 수 있습니다.
-
기본 도메인으로 액세스 제한: 기본 도메인은 Cloud Insights 환경 계정 소유자가 사용하는 도메인입니다. 이러한 도메인은 항상 액세스할 수 있습니다.
-
기본 및 지정한 도메인으로 액세스를 제한합니다. 기본 도메인 외에 Cloud Insights 환경에 액세스할 수 있는 모든 도메인을 나열합니다.
