用户帐户和角色
建议更改
PDF
Data Infrastructure Insights提供最多四个用户帐户角色:帐户所有者、管理员、用户和访客。每个帐户都分配有特定的权限级别,如下表所示。用户要么"邀请"访问Data Infrastructure Insights并分配特定角色,或者可以通过"单点登录(SSO)授权"具有默认角色。 SSO 授权是Data Infrastructure Insights高级版中的一项功能。
权限级别
您使用具有管理员权限的帐户来创建或修改用户帐户。每个用户帐户都会根据以下权限级别为每个Data Infrastructure Insights功能分配一个角色。
| 角色 | 可观察性 | 工作负载安全 | 报告 | 管理员 |
|---|---|---|---|---|
帐户所有者 |
与管理员相同 |
与管理员相同 |
与管理员相同 |
与管理员相同,以及管理 SSO 身份验证和身份联合配置。还可以指定其他所有者。 |
管理员 |
可以执行所有可观察性功能,以及数据收集器的管理。 |
可以执行所有安全功能,包括警报、取证、数据收集器、自动响应策略和安全 API 令牌。管理员还可以邀请其他用户,但只能分配安全角色。 |
可以执行所有用户/作者功能,包括管理报告 API 令牌,以及所有管理任务,例如报告配置以及报告任务的关闭和重启。管理员还可以邀请其他用户,但只能分配报告角色。 |
可以邀请其他用户,但只能分配可观察性角色。可以查看但不能修改 SSO 配置。可以创建和管理 API 访问令牌。可以查看审计信息。可以查看订阅信息、使用情况和历史记录。可以管理全局警报通知和订阅通知收件人列表。 |
用户 |
可以查看和修改仪表板、查询、警报、注释、注释规则和应用程序,并管理设备分辨率。 |
可以查看和管理警报并查看取证。用户角色可以更改警报状态、添加注释、手动拍摄快照以及管理限制用户访问。 |
可以执行所有访客/消费者功能以及创建和管理报告和仪表板。 |
不可用 |
访客 |
具有资产页面、仪表板、警报的只读访问权限,并可以查看和运行查询。 |
可以查看警报和取证。来宾角色不能更改警报状态、添加注释、手动拍摄快照或限制用户访问。 |
可以查看、安排和运行报告并设置个人偏好,例如语言和时区。访客/消费者无法创建报告或执行管理任务。 |
不可用 |
最佳做法是限制具有管理员权限的用户数量。最多的帐户应该是用户帐户或来宾帐户。
Data Infrastructure Insights权限(按用户角色)
下表显示了授予每个用户角色的Data Infrastructure Insights权限。
功能 |
管理员/帐户所有者 |
用户 |
访客 |
采集单元:添加/修改/删除 |
Y |
N |
N |
警报*:创建/修改/删除 |
Y |
Y |
N |
警报*:查看 |
Y |
Y |
Y |
注释规则:创建/运行/修改/删除 |
Y |
Y |
N |
注释:创建/修改/分配/查看/移除/删除 |
Y |
Y |
N |
API 访问*:创建/重命名/禁用/撤销 |
Y |
N |
N |
应用程序:创建/查看/修改/删除 |
Y |
Y |
N |
资产页面:修改 |
Y |
Y |
N |
资产页面:查看 |
Y |
Y |
Y |
审计:查看 |
Y |
N |
N |
云成本 |
Y |
N |
N |
安全性 |
Y |
N |
N |
仪表板:创建/修改/删除 |
Y |
Y |
N |
仪表板:视图 |
Y |
Y |
Y |
数据收集器:添加/修改/轮询/删除 |
Y |
N |
N |
通知:查看 |
Y |
Y |
Y |
通知:修改 |
Y |
N |
N |
查询:创建/修改/删除 |
Y |
Y |
N |
查询:查看/运行 |
Y |
Y |
Y |
设备分辨率 |
Y |
Y |
N |
报告*:查看/运行 |
Y |
Y |
Y |
报告*:创建/修改/删除/安排 |
Y |
Y |
N |
订阅:查看/修改 |
Y |
N |
N |
用户管理:邀请/添加/修改/停用 |
Y |
N |
N |
*需要高级版
通过邀请用户创建帐户
通过NetApp Console可以创建新用户帐户。用户可以回复通过电子邮件发送的邀请,但如果用户没有控制台帐户,则用户需要注册才能接受邀请。
-
用户名是邀请的电子邮件地址。
-
了解您将分配的用户角色。
-
密码由用户在注册过程中定义。
-
登录Data Infrastructure Insights
-
在菜单中,单击“管理”>“用户管理”
显示用户管理屏幕。屏幕包含系统上所有帐户的列表。
-
点击“+用户”
显示“邀请用户”屏幕。
-
输入一个或多个电子邮件地址以接收邀请。
*注意:*当您输入多个地址时,它们都以相同的角色创建。您只能将多个用户设置为同一角色。
-
为Data Infrastructure Insights的每个功能选择用户的角色。
您可以选择的功能和角色取决于您在特定管理员角色中可以访问的功能。例如,如果您仅具有报告的管理员角色,您将能够将用户分配给报告中的任何角色,但不能分配可观察性或安全性的角色。 
-
点击*邀请*
邀请已发送给用户。用户将有 14 天的时间来接受邀请。一旦用户接受邀请,他们将被带到NetApp云门户,在那里他们将使用邀请中的电子邮件地址进行注册。如果他们已有该电子邮件地址的帐户,他们只需登录即可访问其Data Infrastructure Insights环境。
修改现有用户的角色
要修改现有用户的角色,包括将其添加为*二级帐户所有者*,请按照以下步骤操作。
-
单击“管理”>“用户管理”。屏幕显示系统上所有帐户的列表。
-
单击要更改的帐户的用户名。
-
根据需要修改每个Data Infrastructure Insights功能集中的用户角色。
-
单击“保存更改”。
指定二级账户所有者
您必须以 Observability 的帐户所有者身份登录才能将帐户所有者角色分配给其他用户。
-
单击“管理”>“用户管理”。
-
单击要更改的帐户的用户名。
-
在用户对话框中,单击*分配为所有者*。
-
保存更改。
您可以拥有任意数量的帐户所有者,但最佳做法是将所有者角色限制为仅选定人员。
删除用户
具有管理员角色的用户可以通过单击用户的名称并单击对话框中的“删除用户”来删除用户(例如,不再在公司任职的人员)。该用户将从Data Infrastructure Insights环境中删除。
请注意,即使删除用户后,用户创建的任何仪表板、查询等仍将在Data Infrastructure Insights环境中可用。
单点登录 (SSO) 和身份联合
什么是身份联合?
使用身份联合:
-
身份验证委托给客户的身份管理系统,使用来自公司目录的客户凭证以及多因素身份验证 (MFA) 等自动化策略。
-
用户只需登录一次即可访问所有NetApp Console服务(单点登录)。
所有云服务的用户帐户均在NetApp Console中管理。默认情况下,使用控制台本地用户配置文件进行身份验证。以下是该过程的简化概述:
但是,一些客户希望使用自己的身份提供商来验证其Data Infrastructure Insights和其他NetApp Console服务的用户身份。通过身份联合, NetApp Console帐户可以使用来自公司目录的凭证进行身份验证。
以下是该过程的简化示例:
在上图中,当用户访问Data Infrastructure Insights,该用户将被定向到客户的身份管理系统进行身份验证。一旦帐户通过身份验证,用户就会被定向到Data Infrastructure Insights租户 URL。
启用身份联合
控制台使用 Auth0 实现身份联合并与 Active Directory 联合身份验证服务 (ADFS) 和 Microsoft Azure Active Directory (AD) 等服务集成。要配置联合身份验证,请参阅"联邦指令"。
|
|
您必须先配置身份联合,然后才能将 SSO 与Data Infrastructure Insights结合使用。 |
重要的是要理解,更改身份联合不仅适用于Data Infrastructure Insights,还适用于所有NetApp Console服务。客户应与其拥有的每个产品的NetApp团队讨论此更改,以确保他们使用的配置可与身份联合配合使用,或者是否需要对任何帐户进行调整。客户还需要让其内部 SSO 团队参与身份联合的变革。
同样重要的是要认识到,一旦启用身份联合,对公司身份提供者的任何更改(例如从 SAML 转移到 Microsoft AD)都可能需要进行故障排除/更改/注意更新用户的配置文件。
对于此问题或任何其他联盟问题,您可以打开支持票 https://mysupport.netapp.com/site/help。
单点登录 (SSO) 用户自动配置
除了邀请用户之外,管理员还可以为其公司域中的所有用户启用*单点登录 (SSO) 用户自动配置*访问Data Infrastructure Insights,而无需单独邀请他们。启用 SSO 后,任何具有相同域电子邮件地址的用户都可以使用其公司凭证登录Data Infrastructure Insights 。
|
|
_SSO 用户自动配置_在Data Infrastructure Insights Premium Edition 中可用,必须先进行配置才能为Data Infrastructure Insights启用。 SSO 用户自动配置包括"身份联合"通过NetApp Console进行操作,如上节所述。联合允许单点登录用户使用来自公司目录的凭证访问您的NetApp Console帐户,并使用安全断言标记语言 2.0 (SAML) 和 OpenID Connect (OIDC) 等开放标准。 |
要在*管理 > 用户管理*页面上配置_SSO 用户自动配置_,您必须首先设置身份联合。选择横幅中的“设置联合”链接以继续进行控制台联合。配置完成后,Data Infrastructure Insights管理员就可以启用 SSO 用户登录。当管理员启用_SSO 用户自动配置_时,他们会为所有 SSO 用户(例如访客或用户)选择一个默认角色。通过 SSO 登录的用户将具有该默认角色。
有时,管理员会希望将单个用户从默认 SSO 角色中提升出来(例如,使其成为管理员)。他们可以在*管理 > 用户管理*页面上通过单击用户右侧菜单并选择_分配角色_来完成此操作。即使随后禁用“SSO 用户自动配置”,以这种方式分配了明确角色的用户仍可以继续访问Data Infrastructure Insights。
如果用户不再需要提升的角色,您可以单击菜单“删除用户”。该用户将从列表中删除。如果启用了“SSO 用户自动配置”,则用户可以继续通过 SSO 以默认角色登录Data Infrastructure Insights。
您可以通过取消选中“显示 SSO 用户”复选框来选择隐藏 SSO 用户。
但是,如果出现以下任一情况,请勿启用“SSO 用户自动配置”:
-
您的组织有多个Data Infrastructure Insights租户
-
您的组织不希望联合域中的任何/每个用户都对Data Infrastructure Insights租户具有一定程度的自动访问权限。 目前,我们无法使用组通过此选项来控制角色访问。
按域限制访问
Data Infrastructure Insights可以限制用户只能访问您指定的域。在*管理 > 用户管理*页面上,选择“限制域”。
您面临以下选择:
-
无限制:无论用户位于哪个域,都可以访问Data Infrastructure Insights。
-
限制对默认域的访问:默认域是您的Data Infrastructure Insights环境帐户所有者使用的域。这些域始终可以访问。
-
限制对默认值以及您指定的域的访问。除默认域之外,列出您想要访问Data Infrastructure Insights环境的所有域。
