访问管理的工作原理
访问管理是在System Manager中建立用户身份验证的一种方法。
配置和用户身份验证的工作原理如下:
-
管理员使用具有安全管理员权限的用户配置文件登录到System Manager。
首次登录时、系统会自动显示用户名`admin`、并且无法更改。`admin`用户可以完全访问系统中的所有功能。
-
管理员可在用户界面中导航到访问管理。存储阵列已预先配置为使用本地用户角色、这是RBAC (基于角色的访问控制)功能的实施。
-
管理员配置以下一种或多种身份验证方法:
-
本地用户角色—身份验证通过在存储阵列中强制实施的RBAC功能进行管理。本地用户角色包括预定义的用户配置文件以及具有特定访问权限的角色。管理员可以使用这些本地用户角色作为单一身份验证方法、也可以将其与目录服务结合使用。除了为用户设置密码之外、无需进行任何配置。
-
目录服务—身份验证通过LDAP (轻型目录访问协议)服务器和目录服务(例如Microsoft的Active Directory)进行管理。管理员连接到LDAP服务器、然后将LDAP用户映射到存储阵列中嵌入的本地用户角色。
-
* SAML *-身份验证通过使用安全断言标记语言(SAML) 2.0的身份提供程序(IdP)进行管理。管理员在IdP系统和存储阵列之间建立通信、然后将IdP用户映射到存储阵列中嵌入的本地用户角色。
-
-
管理员为用户提供System Manager的登录凭据。
-
用户通过输入凭据登录到系统。
如果使用SAML和SSO (单点登录)管理身份验证、则系统可能会绕过System Manager登录对话框。
登录期间、系统将执行以下后台任务:
-
根据用户帐户对用户名和密码进行身份验证。
-
根据分配的角色确定用户的权限。
-
为用户提供对用户界面中任务的访问权限。
-
显示界面右上角的用户名。
-
System Manager中提供的任务
任务访问权限取决于用户分配的角色、这些角色包括:
-
存储管理—对存储对象(例如卷和磁盘池)具有完全读/写访问权限、但无法访问安全配置。
-
安全管理—访问访问管理、证书管理、审核日志管理中的安全配置、以及打开或关闭原有管理界面(符号)的功能。
-
支持管理—访问存储阵列上的所有硬件资源、故障数据、MEL事件和控制器固件升级。无法访问存储对象或安全配置。
-
监控—对所有存储对象的只读访问、但无法访问安全配置。
不可用的任务将灰显或不显示在用户界面中。例如、具有"监控"角色的用户可以查看有关卷的所有信息、但无法访问用于修改该卷的功能。诸如*复制服务*和*添加到工作负载*等功能的选项卡将灰显;只有*查看/编辑设置*可用。
Unified Manager和Storage Manager中的限制
如果为存储阵列配置了SAML、则用户无法通过Unified Manager或原有Storage Manager界面发现或管理该阵列的存储。
配置本地用户角色和目录服务后、用户必须输入凭据、然后才能执行以下任一功能:
-
重命名存储阵列
-
正在升级控制器固件
-
正在加载存储阵列配置
-
正在执行脚本
-
正在尝试在未使用的会话超时时时执行活动操作