Tipos de control de acceso basado en roles en SnapCenter

El RBAC de SnapCenter, los permisos de ONTAP y el RBAC del plugin de SnapCenter para VMware vSphere permiten que los administradores de SnapCenter creen roles y establezcan permisos de acceso. Este acceso con gestión central otorga a los administradores de aplicaciones la posibilidad de trabajar con seguridad dentro de entornos delegados.

SnapCenter usa los siguientes tipos de control de acceso basado en roles:

RBAC de SnapCenter

Roles y permisos
SnapCenter incluye roles predefinidos con permisos ya asignados. Es posible asignar usuarios o grupos de usuarios a estos roles. También es posible crear nuevos roles y gestionar los permisos y los usuarios.
  • Asignación de permisos a usuarios o grupos

    Es posible asignar permisos a usuarios o grupos para que tengan acceso a objetos de SnapCenter, como hosts, conexiones de almacenamiento y grupos de recursos. No es posible cambiar los permisos del rol SnapCenterAdmin.

    Se pueden asignar permisos de RBAC a usuarios y grupos dentro del mismo bosque y a usuarios de distintos bosques. No es posible asignar permisos de RBAC a usuarios que pertenecen a grupos anidados en diferentes bosques.

  • Asignación de usuarios o grupos a roles

    Es posible asignar usuarios o grupos a roles.

Nota: Si se crea un rol personalizado, este debe contener todos los permisos del rol SnapCenter Admin. Si solo se copian algunos de los permisos, como Host add o Host remove, no se pueden ejecutar tales operaciones.
Autenticación
Los usuarios deben proporcionar autenticación durante el inicio de sesión, ya sea desde la interfaz gráfica de usuario o mediante cmdlets de PowerShell. Si un usuario es parte de más de un rol, después de introducir las credenciales de inicio de sesión, se le solicita que especifique el rol que desea usar. Los usuarios también deben proporcionar autenticación para ejecutar las API.

RBAC en el nivel de aplicaciones

SnapCenter usa credenciales Run As para verificar que los usuarios de SnapCenter autorizados también tengan permisos en el nivel de aplicaciones.

Por ejemplo, para ejecutar operaciones de copia de Snapshot y protección de datos en un entorno de SQL Server, se deben configurar las credenciales Run As con las credenciales de Windows o SQL correspondientes. SnapCenter Server autentica el conjunto de credenciales con cualquiera de estos métodos. Para ejecutar operaciones de copia de Snapshot y protección de datos en un entorno de sistema de archivos de Windows sobre almacenamiento ONTAP, el rol SnapCenter Admin debe tener privilegios de administrador en el host de Windows.

Del mismo modo, si se desean ejecutar operaciones de protección de datos en una base de datos de Oracle y la autenticación del sistema operativo está deshabilitada en el host de base de datos, se deben configurar las credenciales Run As con la base de datos de Oracle o las credenciales de ASM de Oracle. SnapCenter Server autentica el conjunto de credenciales mediante uno de estos métodos, según la operación.

Control de acceso basado en roles del plugin de SnapCenter para VMware vSphere

Cuando se usa el plugin para VMware vSphere, vCenter Server proporciona un nivel adicional de control de acceso basado en roles. El plugin de SnapCenter para VMware vSphere es compatible con el control de acceso basado en roles de vCenter Server y de Data ONTAP.

Permisos de ONTAP

Es necesario contar con permisos de cuenta de vsadmin para tener acceso al sistema de almacenamiento. En la guía de instalación de SnapCenter Server, se incluye una lista de los privilegios mínimos de control de acceso basado en roles.