Contas e funções de usuário
Sugerir alterações
PDFs
O Data Infrastructure Insights fornece até quatro funções de conta de usuário: Proprietário da conta, Administrador, Usuário e Convidado. Cada conta recebe níveis de permissão específicos, conforme indicado na tabela abaixo. Os usuários são"convidado" para o Data Infrastructure Insights e atribuído uma função específica, ou pode fazer login via"Autorização de logon único (SSO)" com uma função padrão. A autorização SSO está disponível como um recurso no Data Infrastructure Insights Premium Edition.
Níveis de permissão
Use uma conta com privilégios de administrador para criar ou modificar contas de usuário. Cada conta de usuário recebe uma função para cada recurso do Data Infrastructure Insights nos seguintes níveis de permissão.
| Papel | Observabilidade | Segurança da Carga de Trabalho | Relatórios | Administrador |
|---|---|---|---|---|
Proprietário da conta |
O mesmo que Administrador |
O mesmo que Administrador |
O mesmo que Administrador |
O mesmo que Administrador, além de gerenciar a autenticação SSO e a configuração da Federação de Identidade. Também é possível atribuir proprietários adicionais. |
Administrador |
Pode executar todas as funções de Observabilidade, bem como o gerenciamento de coletores de dados. |
Pode executar todas as funções de segurança, incluindo aquelas para alertas, análises forenses, coletores de dados, políticas de resposta automatizadas e tokens de API para segurança. Um administrador também pode convidar outros usuários, mas só pode atribuir funções de segurança. |
Pode executar todas as funções de Usuário/Autor, incluindo o gerenciamento de tokens da API de relatórios, bem como todas as tarefas administrativas, como configuração de relatórios e desligamento e reinicialização de tarefas de relatórios. Um administrador também pode convidar outros usuários, mas só pode atribuir funções de relatórios. |
Pode convidar outros usuários, mas só pode atribuir funções de Observabilidade. Pode visualizar, mas não modificar a configuração do SSO. Pode criar e gerenciar tokens de acesso à API. Pode visualizar informações de auditoria. Pode visualizar informações de assinatura, uso e histórico. Pode gerenciar listas de destinatários de notificações de alertas globais e notificações de assinatura. |
Usuário |
Pode visualizar e modificar painéis, consultas, alertas, anotações, regras de anotação e aplicativos, além de gerenciar a resolução do dispositivo. |
Pode visualizar e gerenciar alertas e visualizar análises forenses. A função do usuário pode alterar o status do alerta, adicionar uma nota, tirar instantâneos manualmente e gerenciar o acesso restrito do usuário. |
Pode executar todas as funções de Convidado/Consumidor, bem como criar e gerenciar relatórios e painéis. |
Não disponível |
Convidado |
Tem acesso somente leitura às páginas de ativos, painéis, alertas e pode visualizar e executar consultas. |
Pode visualizar alertas e análises forenses. A função de convidado não pode alterar o status do alerta, adicionar uma nota, tirar instantâneos manualmente ou restringir o acesso do usuário. |
Pode visualizar, agendar e executar relatórios e definir preferências pessoais, como idiomas e fusos horários. Convidados/Consumidores não podem criar relatórios ou executar tarefas administrativas. |
Não disponível |
A melhor prática é limitar o número de usuários com permissões de administrador. O maior número de contas deve ser de usuários ou convidados.
Permissões do Data Infrastructure Insights por função do usuário
A tabela a seguir mostra as permissões do Data Infrastructure Insights concedidas a cada função de usuário.
Recurso |
Administrador/Proprietário da conta |
Usuário |
Convidado |
Unidades de Aquisição: Adicionar/Modificar/Excluir |
E |
N |
N |
Alertas*: Criar/Modificar/Excluir |
E |
E |
N |
Alertas*: Ver |
E |
E |
E |
Regras de anotação: Criar/Executar/Modificar/Excluir |
E |
E |
N |
Anotações: Criar/Modificar/Atribuir/Visualizar/Remover/Excluir |
E |
E |
N |
Acesso à API*: Criar/Renomear/Desativar/Revogar |
E |
N |
N |
Aplicações: Criar/Visualizar/Modificar/Excluir |
E |
E |
N |
Páginas de ativos: modificar |
E |
E |
N |
Páginas de ativos: Exibir |
E |
E |
E |
Auditoria: Visualização |
E |
N |
N |
Custo da Nuvem |
E |
N |
N |
Segurança |
E |
N |
N |
Painéis: Criar/Modificar/Excluir |
E |
E |
N |
Painéis: Exibir |
E |
E |
E |
Coletores de dados: Adicionar/Modificar/Pesquisar/Excluir |
E |
N |
N |
Notificações: Exibir |
E |
E |
E |
Notificações: Modificar |
E |
N |
N |
Consultas: Criar/Modificar/Excluir |
E |
E |
N |
Consultas: Exibir/Executar |
E |
E |
E |
Resolução do dispositivo |
E |
E |
N |
Relatórios*: Exibir/Executar |
E |
E |
E |
Relatórios*: Criar/Modificar/Excluir/Agendar |
E |
E |
N |
Assinatura: Ver/Modificar |
E |
N |
N |
Gerenciamento de usuários: convidar/adicionar/modificar/desativar |
E |
N |
N |
*Requer Edição Premium
Criando contas convidando usuários
A criação de uma nova conta de usuário é feita por meio do NetApp Console. Um usuário pode responder ao convite enviado por e-mail, mas se o usuário não tiver uma conta no Console, ele precisará se inscrever para poder aceitar o convite.
-
O nome de usuário é o endereço de e-mail do convite.
-
Entenda as funções de usuário que você atribuirá.
-
As senhas são definidas pelo usuário durante o processo de inscrição.
-
Faça login no Data Infrastructure Insights
-
No menu, clique em Admin > Gerenciamento de usuários
A tela Gerenciamento de usuários é exibida. A tela contém uma lista de todas as contas no sistema.
-
Clique em + Usuário
A tela Convidar usuário é exibida.
-
Insira um endereço de e-mail ou vários endereços para convites.
Observação: quando você insere vários endereços, todos eles são criados com a mesma função. Você só pode definir vários usuários para a mesma função.
-
Selecione a função do usuário para cada recurso do Data Infrastructure Insights.
Os recursos e funções que você pode escolher dependem de quais recursos você tem acesso na sua função específica de Administrador. Por exemplo, se você tiver a função de administrador apenas para relatórios, poderá atribuir usuários a qualquer função em relatórios, mas não poderá atribuir funções para observabilidade ou segurança. 
-
Clique em Convidar
O convite é enviado ao usuário. Os usuários terão 14 dias para aceitar o convite. Depois que um usuário aceitar o convite, ele será levado ao NetApp Cloud Portal, onde se inscreverá usando o endereço de e-mail no convite. Se eles já tiverem uma conta para esse endereço de e-mail, eles poderão simplesmente fazer login e acessar seu ambiente do Data Infrastructure Insights .
Modificando a função de um usuário existente
Para modificar a função de um usuário existente, incluindo adicioná-lo como proprietário secundário da conta, siga estas etapas.
-
Clique em Admin > Gerenciamento de usuários. A tela exibe uma lista de todas as contas no sistema.
-
Clique no nome de usuário da conta que você deseja alterar.
-
Modifique a função do usuário em cada conjunto de recursos do Data Infrastructure Insights conforme necessário.
-
Clique em Salvar alterações.
Para atribuir um proprietário de conta secundária
Você precisa estar conectado como proprietário de uma conta do Observability para poder atribuir a função de proprietário da conta a outro usuário.
-
Clique em Admin > Gerenciamento de usuários.
-
Clique no nome de usuário da conta que você deseja alterar.
-
Na caixa de diálogo Usuário, clique em Atribuir como Proprietário.
-
Salve as alterações.
Você pode ter quantos proprietários de conta desejar, mas a prática recomendada é limitar a função de proprietário apenas a pessoas selecionadas.
Excluindo usuários
Um usuário com a função de Administrador pode excluir um usuário (por exemplo, alguém que não faz mais parte da empresa) clicando no nome do usuário e clicando em Excluir usuário na caixa de diálogo. O usuário será removido do ambiente do Data Infrastructure Insights .
Observe que todos os painéis, consultas etc. criados pelo usuário permanecerão disponíveis no ambiente do Data Infrastructure Insights mesmo após a remoção do usuário.
Single Sign-On (SSO) e Federação de Identidade
O que é a Federação de Identidade?
Com a Federação de Identidade:
-
A autenticação é delegada ao sistema de gerenciamento de identidade do cliente, usando as credenciais do cliente do seu diretório corporativo e políticas de automatização, como Autenticação Multifator (MFA).
-
Os usuários efetuam login uma vez em todos os serviços do NetApp Console (logon único).
As contas de usuário são gerenciadas no NetApp Console para todos os Serviços de Nuvem. Por padrão, a autenticação é feita usando um perfil de usuário local do Console. Abaixo está uma visão geral simplificada desse processo:
No entanto, alguns clientes gostariam de usar seu próprio provedor de identidade para autenticar seus usuários para o Data Infrastructure Insights e seus outros serviços do NetApp Console . Com a Federação de Identidade, as contas do NetApp Console são autenticadas usando credenciais do seu diretório corporativo.
A seguir, um exemplo simplificado desse processo:
No diagrama acima, quando um usuário acessa o Data Infrastructure Insights, ele é direcionado ao sistema de gerenciamento de identidade do cliente para autenticação. Depois que a conta é autenticada, o usuário é direcionado para a URL do locatário do Data Infrastructure Insights .
Habilitando a Federação de Identidade
O console usa o Auth0 para implementar a Federação de Identidade e integrar-se a serviços como o Active Directory Federation Services (ADFS) e o Microsoft Azure Active Directory (AD). Para configurar a Federação de Identidade, consulte o"Instruções da Federação" .
|
|
Você deve configurar a Federação de Identidade antes de poder usar o SSO com o Data Infrastructure Insights. |
É importante entender que a alteração da federação de identidades se aplicará não apenas ao Data Infrastructure Insights, mas a todos os NetApp Console Services. O cliente deve discutir essa alteração com a equipe da NetApp de cada produto que possui para garantir que a configuração que está usando funcionará com a Federação de Identidade ou se ajustes precisam ser feitos em alguma conta. O cliente também precisará envolver sua equipe interna de SSO na mudança para federação de identidade.
Também é importante perceber que, uma vez que a federação de identidade esteja habilitada, quaisquer alterações no provedor de identidade da empresa (como a mudança de SAML para o Microsoft AD) provavelmente exigirão solução de problemas/alterações/atenção para atualizar os perfis dos usuários.
Para este ou qualquer outro problema de federação, você pode abrir um tíquete de suporte em https://mysupport.netapp.com/site/help .
Provisionamento automático de usuário de logon único (SSO)
Além de convidar usuários, os administradores podem habilitar o acesso Single Sign-On (SSO) User Auto-Provisioning ao Data Infrastructure Insights para todos os usuários em seu domínio corporativo, sem precisar convidá-los individualmente. Com o SSO habilitado, qualquer usuário com o mesmo endereço de e-mail de domínio pode fazer login no Data Infrastructure Insights usando suas credenciais corporativas.
|
|
O SSO User Auto-Provisioning está disponível no Data Infrastructure Insights Premium Edition e deve ser configurado antes de poder ser habilitado para o Data Infrastructure Insights. A configuração de provisionamento automático do usuário SSO inclui"Federação de Identidade" por meio do NetApp Console , conforme descrito na seção acima. A federação permite que usuários de logon único acessem suas contas do NetApp Console usando credenciais do seu diretório corporativo, usando padrões abertos como Security Assertion Markup Language 2.0 (SAML) e OpenID Connect (OIDC). |
Para configurar o Provisionamento automático de usuários SSO, na página Administrador > Gerenciamento de usuários, você deve primeiro configurar a Federação de identidades. Selecione o link Configurar Federação no banner para prosseguir para a Federação do Console. Depois que isso estiver configurado, os administradores do Data Infrastructure Insights poderão habilitar o login do usuário SSO. Quando um administrador habilita o Provisionamento automático de usuários do SSO, ele escolhe uma função padrão para todos os usuários do SSO (como Convidado ou Usuário). Usuários que efetuarem login via SSO terão essa função padrão.
Ocasionalmente, um administrador desejará promover um único usuário da função SSO padrão (por exemplo, para torná-lo um administrador). Eles podem fazer isso na página Administrador > Gerenciamento de usuários clicando no menu do lado direito do usuário e selecionando Atribuir função. Os usuários aos quais é atribuída uma função explícita dessa forma continuam a ter acesso ao Data Infrastructure Insights mesmo que o Provisionamento automático de usuário SSO seja desativado posteriormente.
Se o usuário não precisar mais da função elevada, você pode clicar no menu para Remover usuário. O usuário será removido da lista. Se o Provisionamento automático de usuário SSO estiver habilitado, o usuário poderá continuar a efetuar login no Data Infrastructure Insights por meio do SSO, com a função padrão.
Você pode optar por ocultar usuários SSO desmarcando a caixa de seleção Mostrar usuários SSO.
Entretanto, não habilite o Provisionamento automático de usuário SSO se qualquer uma das seguintes condições for verdadeira:
-
Sua organização tem mais de um locatário do Data Infrastructure Insights
-
Sua organização não quer que nenhum/todos os usuários no domínio federado tenham algum nível de acesso automático ao locatário do Data Infrastructure Insights . Neste momento, não temos a capacidade de usar grupos para controlar o acesso à função com esta opção.
Restringindo acesso por domínio
O Data Infrastructure Insights pode restringir o acesso do usuário somente aos domínios que você especificar. Na página Administrador > Gerenciamento de usuários, selecione "Restringir domínios".
São apresentadas as seguintes opções:
-
Sem restrições: o Data Infrastructure Insights permanece acessível aos usuários, independentemente do seu domínio.
-
Limitar o acesso aos domínios padrão: os domínios padrão são aqueles usados pelos proprietários da conta do ambiente do Data Infrastructure Insights . Esses domínios estão sempre acessíveis.
-
Limite o acesso aos padrões e domínios que você especificar. Liste todos os domínios aos quais você deseja ter acesso ao seu ambiente do Data Infrastructure Insights , além dos domínios padrão.
