ユーザ アクセスの制御

StorageGRIDでユーザが実行できるタスクを制御するには、グループとユーザを作成またはインポートし、各グループに権限を割り当てます。また、すべてのユーザをActive Directoryフェデレーション サービスなどの外部のアイデンティティ プロバイダで認証するには、シングル サインオン(SSO)を有効にします。

Grid Managerへのアクセスの制御

Grid Managerグリッド管理APIにアクセスできるユーザを指定するには、アイデンティティ フェデレーション サービスからグループとユーザをインポートするか、またはローカルのグループとユーザを設定します。

アイデンティティ フェデレーションを使用すると、グループやユーザを迅速に設定できます。また、ユーザは使い慣れたクレデンシャルを使用してStorageGRIDにサインインできます。Active Directory、OpenLDAP、またはOracle Directory Serverを使用する場合は、アイデンティティ フェデレーションを設定できます。
注:別のLDAP v3サービスを使用する場合は、テクニカル サポートにお問い合わせください。

各ユーザが実行できるタスクを指定するには、各グループに異なる権限を割り当てます。たとえば、あるグループのユーザにはILMルールを管理する権限を、別のグループのユーザにはメンテナンス タスクを実行する権限を付与することができます。システムにアクセスするユーザは、少なくとも1つのグループに属している必要があります。

シングル サインオンの有効化

StorageGRIDシステムでは、Security Assertion Markup Language 2.0(SAML 2.0)標準を使用したシングル サインオン(SSO)がサポートされます。SSOが有効な場合は、Grid ManagerTenant Managerグリッド管理API、またはテナント管理APIにアクセスするすべてのユーザを外部のアイデンティティ プロバイダによって事前に認証する必要があります。ローカル ユーザはStorageGRIDにサインインできません。

SSOが有効な場合にユーザがStorageGRIDにサインインすると、組織のSSOページにリダイレクトされてクレデンシャルが検証されます。1つの管理ノードからサインアウトしたユーザは、自動的にすべての管理ノードからサインアウトされます。