访问管理的工作原理
使用访问管理在Unified Manager中建立用户身份验证。
配置工作流
访问管理配置的工作原理如下:
-
管理员使用包含安全管理员权限的用户配置文件登录到Unified Manager。
首次登录时、系统会自动显示用户名`admin`、并且无法更改。`admin`用户可以完全访问系统中的所有功能。必须在首次登录时设置密码。
-
管理员可在用户界面中导航到访问管理、其中包括预配置的本地用户角色。这些角色是对RBAC (基于角色的访问控制)功能的实施。
-
管理员配置以下一种或多种身份验证方法:
-
本地用户角色—身份验证通过RBAC功能进行管理。本地用户角色包括具有特定访问权限的预定义用户和角色。管理员可以使用这些本地用户角色作为单一身份验证方法、也可以将其与目录服务结合使用。除了为用户设置密码之外、无需进行任何配置。
-
目录服务—身份验证通过LDAP (轻型目录访问协议)服务器和目录服务(例如Microsoft的Active Directory)进行管理。管理员连接到LDAP服务器、然后将LDAP用户映射到本地用户角色。
-
* SAML *-身份验证通过使用安全断言标记语言(SAML) 2.0的身份提供程序(IdP)进行管理。管理员在IdP系统和存储阵列之间建立通信、然后将IdP用户映射到存储阵列中嵌入的本地用户角色。
-
-
管理员为用户提供Unified Manager的登录凭据。
-
用户通过输入凭据登录到系统。登录期间、系统将执行以下后台任务:
-
根据用户帐户对用户名和密码进行身份验证。
-
根据分配的角色确定用户的权限。
-
使用户能够访问用户界面中的功能。
-
在顶部横幅中显示用户名。
-
Unified Manager中提供的功能
对功能的访问权限取决于为用户分配的角色、这些角色包括:
-
存储管理—对阵列上的存储对象具有完全读/写访问权限、但无法访问安全配置。
-
安全管理—访问访问管理和证书管理中的安全配置。
-
支持管理—访问存储阵列上的所有硬件资源、故障数据和MEL事件。无法访问存储对象或安全配置。
-
监控—对所有存储对象的只读访问、但无法访问安全配置。
不可用的功能将灰显或不显示在用户界面中。