用户帐户和角色
建议更改
PDF
Data Infrastructure Insight最多可提供四个用户帐户角色:帐户所有者、管理员、用户和来宾。为每个帐户分配特定的权限级别,如下表所示。用户可以"已邀请"使用Data Infrastructure Insight并分配有特定角色、也可以"单点登录( SSO )授权"使用默认角色通过登录。SSO授权作为Data Infrastructure Insight高级版中的一项功能提供。
权限级别
您可以使用具有管理员权限的帐户来创建或修改用户帐户。系统会为以下权限级别中的每个Data Infrastructure Insight功能为每个用户帐户分配一个角色。
| 角色 | 可观察性 | 工作负载安全性 | 报告 | 管理员 |
|---|---|---|---|---|
帐户所有者 |
与管理员相同 |
与管理员相同 |
与管理员相同 |
与管理员相同、并可管理SSO身份验证和身份联合配置。也可以分配其他所有者。 |
管理员 |
可以执行所有可观察性功能以及数据收集器管理。 |
可以执行所有安全功能、包括警报、取证、数据收集器、自动化响应策略以及安全API令牌等功能。管理员还可以邀请其他用户、但只能分配安全角色。 |
可以执行所有用户 / 作者功能,包括管理报告 API 令牌以及所有管理任务,例如配置报告以及关闭和重新启动报告任务。管理员还可以邀请其他用户,但只能分配报告角色。 |
可以邀请其他用户、但只能分配可观察性角色。可以查看但不能修改SSO配置。可以创建和管理API访问令牌。可以查看审核信息。可以查看订阅信息、使用情况和历史记录。可以管理全局警报通知和订阅通知收件人列表。 |
用户 |
可以查看和修改信息板,查询,警报,标注,标注规则, 和应用程序,并管理设备解析。 |
可以查看和管理警报以及查看取证。用户角色可以更改警报状态,添加注释,手动创建快照以及管理限制用户访问。 |
可以执行所有来宾 / 使用者功能以及创建和管理报告和信息板。 |
不可用 |
来宾 |
对资产页面,信息板,警报具有只读访问权限,并且可以查看和运行查询。 |
可以查看警报和取证。来宾角色不能更改警报状态,添加备注,手动创建快照或限制用户访问。 |
可以查看,计划和运行报告并设置个人首选项,例如语言和时区的首选项。来宾 / 使用者无法创建报告或执行管理任务。 |
不可用 |
最佳实践是限制具有管理员权限的用户数量。最大数量的帐户应为用户或来宾帐户。
Data Infrastructure Insight权限(按用户角色)
下表显示了为每个用户角色授予的Data Infrastructure Insight权限。
功能 |
管理员 / 帐户所有者 |
用户 |
来宾 |
采集单元:添加 / 修改 / 删除 |
Y |
不包括 |
不包括 |
警报 * :创建 / 修改 / 删除 |
Y |
Y |
不包括 |
警报 * :查看 |
Y |
Y |
Y |
标注规则:创建 / 运行 / 修改 / 删除 |
Y |
Y |
不包括 |
标注:创建 / 修改 / 分配 / 查看 / 删除 / 删除 |
Y |
Y |
不包括 |
API Access* :创建 / 重命名 / 禁用 / 撤消 |
Y |
不包括 |
不包括 |
应用程序:创建 / 查看 / 修改 / 删除 |
Y |
Y |
不包括 |
资产页面:修改 |
Y |
Y |
不包括 |
资产页面:查看 |
Y |
Y |
Y |
Audit :查看 |
Y |
不包括 |
不包括 |
云成本 |
Y |
不包括 |
不包括 |
安全性 |
Y |
不包括 |
不包括 |
信息板:创建 / 修改 / 删除 |
Y |
Y |
不包括 |
信息板:查看 |
Y |
Y |
Y |
数据收集器:添加 / 修改 / 轮询 / 删除 |
Y |
不包括 |
不包括 |
通知:查看 |
Y |
Y |
Y |
通知:修改 |
Y |
不包括 |
不包括 |
查询:创建 / 修改 / 删除 |
Y |
Y |
不包括 |
查询:查看 / 运行 |
Y |
Y |
Y |
设备解析 |
Y |
Y |
不包括 |
报告 * :查看 / 运行 |
Y |
Y |
Y |
报告 * :创建 / 修改 / 删除 / 计划 |
Y |
Y |
不包括 |
订阅:查看 / 修改 |
Y |
不包括 |
不包括 |
用户管理:邀请 / 添加 / 修改 / 停用 |
Y |
不包括 |
不包括 |
-
需要高级版
通过邀请用户创建帐户
通过BlueXP创建新的用户帐户。用户可以回复通过电子邮件发送的邀请、但如果用户没有BlueXP帐户、则需要注册BlueXP、以便接受邀请。
-
用户名是邀请函的电子邮件地址。
-
了解要分配的用户角色。
-
密码由用户在注册过程中定义。
-
登录到Data Infrastructure Insight
-
在菜单中,单击 * 管理员 > 用户管理 *
此时将显示 User Management 屏幕。此屏幕包含系统上所有帐户的列表。
-
单击 * + User*
此时将显示 * 邀请用户 * 屏幕。
-
输入一个或多个邀请电子邮件地址。
-
注意: * 输入多个地址时,这些地址都是使用相同角色创建的。您只能将多个用户设置为同一角色。
-
-
为Data Infrastructure Insight的每个功能选择用户角色。
您可以选择的功能和角色取决于您以特定管理员角色访问的功能。例如、如果您只有报告管理员角色、则可以将用户分配给报告中的任何角色、但不能为可观察性或安全性分配角色。 
-
单击 * 邀请 *
此时将向用户发送邀请。用户有 14 天的时间接受此邀请。用户接受邀请后,将被带到 NetApp 云门户,并使用邀请函中的电子邮件地址进行注册。如果他们拥有该电子邮件地址的现有帐户、则只需登录即可访问其Data Infrastructure Insight环境。
修改现有用户的角色
要修改现有用户的角色,包括将其添加为 * 二级帐户所有者 * ,请执行以下步骤。
-
单击 * 管理员 > 用户管理 * 。此时,屏幕将显示系统上所有帐户的列表。
-
单击要更改的帐户的用户名。
-
根据需要修改每个Data Infrastructure Insight功能集中的用户角色。
-
单击 Save Changes 。
分配二级帐户所有者
您必须以可观察性的帐户所有者身份登录、才能将帐户所有者角色分配给其他用户。
-
单击 * 管理员 > 用户管理 * 。
-
单击要更改的帐户的用户名。
-
在用户对话框中,单击 * 分配为所有者 * 。
-
保存更改。
您可以根据需要拥有任意数量的帐户所有者,但最佳实践是,将所有者角色限制为仅选择人员。
删除用户
具有管理员角色的用户可以通过单击用户的名称并单击对话框中的 Delete User 来删除用户(例如,不再与公司合作的用户)。此用户将从Data Infrastructure Insight环境中删除。
请注意、即使删除了用户、用户创建的任何信息板、查询等在Data Infrastructure Insight环境中也仍然可用。
单点登录( SSO )和身份联合
什么是身份联合?
使用身份联合:
-
身份验证会使用企业目录中的客户凭据以及多因素身份验证( Multi-Factor Authentication , MFA )等自动化策略委派给客户的身份管理系统。
-
用户只需登录一次所有NetApp BlueXP服务(单点登录)。
用户帐户在适用于所有云服务的NetApp BlueXP中进行管理。默认情况下、身份验证使用BlueXP本地用户配置文件完成。下面简要概述了该过程:
但是、有些客户希望使用自己的身份提供程序对其用户进行数据基础架构洞察和其他NetApp BlueXP 服务的身份验证。通过身份联合、NetApp BlueXP帐户将使用企业目录中的凭据进行身份验证。
以下是该过程的简化示例:
在上图中、当用户访问Data Infrastructure Insight时、该用户将被定向到客户的身份管理系统进行身份验证。对帐户进行身份验证后、用户将定向到Data Infrastructure Insight租户URL。
正在启用身份联合
BlueXP使用Auth0实施身份联合、并与Active Directory联合身份验证服务(ADFS)和Microsoft Azure Active Directory (AD)等服务集成。要配置身份联合、请参见 "BlueXP联合说明"。
|
|
您必须先配置BlueXP 身份联合、然后才能将SSO与数据基础架构洞察结合使用。 |
请务必了解、在BlueXP 中更改身份联合不仅适用于数据基础架构洞察力、还适用于所有NetApp BlueXP 服务。客户应与他们拥有的每个BlueXP产品的NetApp团队讨论此更改、以确保他们使用的配置可与身份联合使用、或者在需要对任何客户进行调整时也可使用。客户还需要让内部 SSO 团队参与身份联合的变更。
另外、还必须认识到、一旦启用身份联合、对公司身份提供程序进行的任何更改(例如从SAML迁移到Microsoft AD)都可能需要在BlueXP中进行故障排除/更改/关注、才能更新用户的配置文件。
对于此联盟问题或任何其他联盟问题、您可以在上创建支持服务单 https://mysupport.netapp.com/site/help 并选择类别“bluexp.netapp.com >联合问题”。
单点登录( SSO )用户自动配置
除了邀请用户之外,管理员还可以为公司域中的所有用户启用*单点登录(SSO)用户自动配置*对Data Infrastructure Insight的访问,而无需单独邀请他们。启用SSO后、具有相同域电子邮件地址的任何用户都可以使用其企业凭据登录到Data Infrastructure Insight。
|
|
_SSO用户自动配置_在Data Infrastructure Insight高级版中可用、必须先对其进行配置、然后才能为Data Infrastructure Insight启用该功能。"身份联合"如上一节所述、SSO用户自动配置包括通过NetApp BlueXP 进行的配置。联合允许单点登录用户使用企业目录中的凭据、并使用安全断言标记语言2.0 (SAML)和OpenID连接(OIDC)等开放式标准访问NetApp BlueXP帐户。 |
要配置_SSO用户自动配置_,必须先在*Admin > User Management*页上设置BlueXP身份联合。选择横幅中的*设置联合*链接以继续BlueXP联合。完成配置后、Data Infrastructure Insight管理员可以启用SSO用户登录。当管理员启用 _SSO 用户自动配置 _ 时,他们会为所有 SSO 用户(如来宾或用户)选择一个默认角色。通过 SSO 登录的用户将具有此默认角色。
有时,管理员会希望将单个用户提升为默认 SSO 角色之外的用户(例如,使其成为管理员)。他们可以在 * 管理员 > 用户管理 * 页面上单击用户的右侧菜单并选择 Assign role 来完成此操作。通过这种方式分配了显式角色的用户仍可访问Data Infrastructure Insight、即使随后禁用了_SSO用户自动配置_也是如此。
如果用户不再需要提升的角色,您可以单击菜单以删除用户 _ 。此用户将从列表中删除。如果启用了_SSO用户自动配置_、则用户可以使用默认角色继续通过SSO登录到Data Infrastructure Insight。
您可以通过取消选中 * 显示 SSO 用户 * 复选框来选择隐藏 SSO 用户。
但是,如果满足以下任一条件,请勿启用 _SSO 用户自动配置 _ :
-
您的组织有多个Data Infrastructure Insight租户
-
您的组织不希望联合域中的任何/每个用户都对Data Infrastructure Insight租户具有某种级别的自动访问权限。_at this point in time , we do not have the ability to use groups to control role access with this op选项 _ 。
按域限制访问
Data Infrastructure Insight可以将用户访问限制为仅限您指定的域。在*Admin > User Management*页上,选择“限制域”。
您将看到以下选项:
-
无限制:用户无论在哪个域、都可以访问Data Infrastructure Insight。
-
限制对默认域的访问:默认域是Data Infrastructure Insight环境帐户所有者使用的域。这些域始终可访问。
-
限制对指定默认值和域的访问。列出除了默认域之外、您希望有权访问Data Infrastructure Insight环境的任何域。
