控制StorageGRID 访问
您可以通过创建或导入组和用户并为每个组分配权限来控制谁可以访问 StorageGRID 以及用户可以执行哪些任务。您也可以选择启用单点登录( SSO ),创建客户端证书和更改网格密码。
控制对网格管理器的访问
您可以通过从身份联合服务导入组和用户或设置本地组和本地用户来确定谁可以访问网格管理器和网格管理 API 。
使用身份联合可以加快设置组和用户的速度,并允许用户使用熟悉的凭据登录到 StorageGRID 。如果使用 Active Directory , OpenLDAP 或 Oracle Directory Server ,则可以配置身份联合。
如果要使用其他 LDAP v3 服务,请联系技术支持。 |
您可以通过为每个组分配不同的权限来确定每个用户可以执行的任务。例如,您可能希望一个组中的用户能够管理 ILM 规则,而另一个组中的用户可以执行维护任务。用户必须至少属于一个组才能访问系统。
您也可以将组配置为只读。只读组中的用户只能查看设置和功能。他们不能在网格管理器或网格管理 API 中进行任何更改或执行任何操作。
启用单点登录
StorageGRID 系统支持使用安全断言标记语言 2.0 ( SAML 2.0 )标准的单点登录( SSO )。启用 SSO 后,所有用户都必须经过外部身份提供程序的身份验证,然后才能访问网格管理器,租户管理器,网格管理 API 或租户管理 API 。本地用户无法登录到 StorageGRID 。
启用 SSO 后,如果用户登录到 StorageGRID ,则会重定向到您组织的 SSO 页面以验证其凭据。当用户从一个管理节点注销时,他们将自动从所有管理节点中注销。
使用客户端证书
您可以使用客户端证书允许授权的外部客户端访问StorageGRID Prometheus数据库。客户端证书提供了一种使用外部工具监控StorageGRID 的安全方式。您可以提供自己的客户端证书、也可以使用网格管理器生成一个客户端证书。
更改网格密码
许多安装和维护过程以及下载 StorageGRID 恢复软件包都需要配置密码短语。下载 StorageGRID 系统的网格拓扑信息和加密密钥备份时,也需要使用密码短语。您可以根据需要更改此密码短语。