安全性
使用者帳戶與角色
建議變更
PDF
支援多達四種使用者帳戶角色:帳戶擁有者、系統管理員、使用者及來賓。Cloud Insights每個帳戶都會被指派特定的權限等級、如下表所示。使用者也是 "已邀請" 提供特定角色、或是透過登入Cloud Insights "單一登入(SSO)授權" 使用預設角色。SSO授權功能可在Cloud Insights 支援功能方面取得。
|
Cloud Insights 聯邦版中的使用者登入僅限於已設定的身分識別供應商(使用其指定的電子郵件網域)。當新使用者被邀請進入 Cloud Insights 聯邦環境時、其電子郵件地址必須符合為該環境所設定的網域。 |
權限等級
您使用具有管理員權限的帳戶來建立或修改使用者帳戶。每個使用者帳戶都會從Cloud Insights 下列權限層級指派每個功能的角色。
| 角色 | 觀察能力 | 工作負載安全 | 報告 |
|---|---|---|---|
帳戶擁有者 |
可修改訂閱、檢視帳單與使用資訊、並執行所有的系統管理員功能、以利觀察、安全性及報告。擁有者也可以邀請和管理使用者、以及管理SSO驗證和身分識別聯盟設定。當您註冊Cloud Insights 以供使用時、會建立第一個帳戶擁有者。強烈建議每Cloud Insights 個環境至少有兩位帳戶擁有者。 |
||
系統管理員 |
可執行所有的可觀察功能、所有使用者功能、以及資料收集器管理、可觀察API權杖和通知。管理員也可以邀請其他使用者、但只能指派可觀察角色。 |
可執行所有的安全功能、包括警示、鑑識、資料收集器、自動回應原則、以及安全性的API權杖。管理員也可以邀請其他使用者、但只能指派安全角色。 |
可執行所有的使用者/作者功能、包括管理報告API權杖、以及所有管理工作、例如報告組態、以及報告工作的關機和重新啟動。管理員也可以邀請其他使用者、但只能指派報告角色。 |
使用者 |
可檢視及修改儀表板、查詢、警示、註釋、註釋規則、 和應用程式、以及管理裝置解析度。 |
可檢視及管理警示、以及檢視鑑識。使用者角色可以變更警示狀態、新增附註、手動擷取快照、以及管理限制使用者存取。 |
可執行所有來賓/消費者功能、以及建立及管理報告和儀表板。 |
訪客 |
擁有資產頁面、儀表板、警示的唯讀存取權、並可檢視及執行查詢。 |
可檢視警示和鑑識。來賓角色無法變更警示狀態、新增附註、手動擷取快照或限制使用者存取。 |
可檢視、排程及執行報告、並設定個人偏好設定、例如語言和時區的偏好設定。訪客/使用者無法建立報告或執行管理工作。 |
最佳實務做法是限制擁有系統管理員權限的使用者人數。最多的帳戶應該是使用者或來賓帳戶。
根據使用者角色的權限Cloud Insights
下表顯示Cloud Insights 授予每個使用者角色的「功能」權限。
功能 |
系統管理員/帳戶擁有者 |
使用者 |
訪客 |
擷取單位:新增/修改/刪除 |
是 |
n |
n |
警示*:建立/修改/刪除 |
是 |
是 |
n |
警示*:檢視 |
是 |
是 |
是 |
註釋規則:建立/執行/修改/刪除 |
是 |
是 |
n |
附註:建立/修改/指派/檢視/移除/刪除 |
是 |
是 |
n |
API存取*:建立/重新命名/停用/撤銷 |
是 |
n |
n |
應用程式:建立/檢視/修改/刪除 |
是 |
是 |
n |
資產頁面:修改 |
是 |
是 |
n |
資產頁面:檢視 |
是 |
是 |
是 |
稽核:檢視 |
是 |
n |
n |
雲端成本 |
是 |
n |
n |
安全性 |
是 |
n |
n |
儀表板:建立/修改/刪除 |
是 |
是 |
n |
儀表板:檢視 |
是 |
是 |
是 |
資料收集器:新增/修改/輪詢/刪除 |
是 |
n |
n |
通知:檢視 |
是 |
是 |
是 |
通知:修改 |
是 |
n |
n |
查詢:建立/修改/刪除 |
是 |
是 |
n |
查詢:檢視/執行 |
是 |
是 |
是 |
裝置解析度 |
是 |
是 |
n |
報告*:檢視/執行 |
是 |
是 |
是 |
報告*:建立/修改/刪除/排程 |
是 |
是 |
n |
訂購:檢視/修改 |
是 |
n |
n |
使用者管理:邀請/新增/修改/停用 |
是 |
n |
n |
*需要Premium Edition
邀請使用者建立帳戶
透過Cloud Central建立新的使用者帳戶。使用者可以回覆透過電子郵件傳送的邀請函、但如果使用者沒有Cloud Central帳戶、則使用者必須向Cloud Central註冊、才能接受邀請。
-
使用者名稱是邀請函的電子郵件地址。
-
瞭解您要指派的使用者角色。
-
密碼由使用者在註冊程序中定義。
-
登Cloud Insights 入即可
-
在功能表中、按一下*管理>使用者管理*
隨即顯示User Management(使用者管理)畫面。此畫面包含系統上所有帳戶的清單。
-
按一下「+使用者」
隨即顯示*邀請使用者*畫面。
-
輸入邀請的電子郵件地址或多個地址。
*附註:*輸入多個地址時、所有地址都會以相同的角色建立。您只能將多個使用者設定為相同的角色。
-
針對Cloud Insights 每項功能選擇使用者角色。
您可以選擇的功能和角色取決於您在特定管理員角色中擁有存取權限的功能。例如、如果您只有「報告」的「管理員」角色、則可以將使用者指派給「報告」中的任何角色、但無法指派「可觀察性」或「安全性」的角色。 
-
按一下*邀請*
邀請即會傳送給使用者。使用者將有14天的時間接受邀請。一旦使用者接受邀請、他們將被帶到NetApp Cloud Portal、並使用邀請函中的電子郵件地址註冊。如果他們有該電子郵件地址的現有帳戶、他們只要登入、就能存取Cloud Insights 自己的「不知道」環境。
修改現有使用者的角色
若要修改現有使用者的角色、包括將其新增為*次要帳戶擁有者*、請遵循下列步驟。
-
按一下*管理>使用者管理*。畫面會顯示系統上所有帳戶的清單。
-
按一下您要變更的帳戶使用者名稱。
-
視Cloud Insights 需要修改使用者在每個功能集中的角色。
-
按一下「儲存變更」。
指派次要帳戶擁有者
您必須以帳戶擁有者的身分登入、才能將帳戶擁有者角色指派給其他使用者。
-
按一下*管理>使用者管理*。
-
按一下您要變更的帳戶使用者名稱。
-
在使用者對話方塊中、按一下*指派為擁有者*。
-
儲存變更。
您可以擁有任意數量的帳戶擁有者、但最佳實務做法是將擁有者角色限制為僅限選取人員。
刪除使用者
具有管理員角色的使用者可以按一下使用者名稱、然後按一下對話方塊中的「Delete User(刪除使用者_)」、刪除使用者(例如不再與公司合作的人)。使用者將會從Cloud Insights 整個環境中移除。
請注意、使用者所建立的任何儀表板、查詢等、Cloud Insights 即使在使用者移除之後、仍可繼續在這個環境中使用。
單一登入(SSO)和身分識別聯盟
啟用Cloud Insights 身分識別聯盟以利執行SSO
使用身分識別聯盟:
-
驗證會委派給客戶的身分識別管理系統、使用客戶在公司目錄中的認證資料、以及多因素驗證(MFA)等自動化原則。
-
使用者一次登入所有NetApp雲端服務(單一登入)。
使用者帳戶是在所有雲端服務的NetApp Cloud Central中管理。根據預設、驗證是使用Cloud Central本機使用者設定檔來完成。以下是此程序的簡化概觀:
不過、有些客戶想要使用自己的身分識別供應商來驗證其使用者Cloud Insights 的身份、以利執行支援功能、並驗證其他NetApp Cloud Central Services的使用者身分。透過身分識別聯盟、NetApp Cloud Central帳戶會使用公司目錄的認證資料進行驗證。
以下是此程序的簡化範例:
在上圖中、當使用者存取Cloud Insights E塊 時、該使用者會被導向客戶的身分識別管理系統進行驗證。一旦帳戶通過驗證、使用者就會被導向Cloud Insights 到這個URL。
Cloud Central使用驗證0來實作身分識別聯盟、並與Active Directory Federation Services(ADFS)和Microsoft Azure Active Directory(AD)等服務整合。如需身分識別聯盟設定與組態的詳細資訊、請參閱上的Cloud Central文件 "身分識別聯盟"。
請務必瞭解、在Cloud Central中不斷變動的身分識別聯盟不僅適用於Cloud Insights 整個NetApp Cloud Services、也適用於整個NetApp Cloud Services。客戶應與NetApp團隊討論這項變更、討論他們擁有的每個Cloud Central產品、以確保他們所使用的組態可與身分識別聯盟搭配使用、或是需要調整任何帳戶。客戶也必須讓內部SSO團隊參與身分識別聯盟的變更。
此外、請務必瞭解、一旦啟用身分識別聯盟、公司身分識別供應商的任何變更(例如從SAML移轉至Microsoft AD)都可能需要在Cloud Central中進行疑難排解/變更/注意、才能更新使用者的設定檔。
單一登入(SSO)使用者自動資源配置
除了邀請使用者外、系統管理員還能為Cloud Insights 公司網域中的所有使用者啟用*單一登入(SSO)使用者自動資源配置(User Auto-Provisioning)*存取功能、而不需要個別邀請他們。啟用SSO後、任何具有相同網域電子郵件地址的使用者都能Cloud Insights 使用公司認證登入。
|
|
_SSO使用者自動資源配置_可在Cloud Insights 支援Cloud Insights 以供使用時使用、必須先設定才能啟用。SSO使用者自動設定包括 "身分識別聯盟" 如以上章節所述、透過NetApp Cloud Central。聯盟允許單一登入使用者使用公司目錄的認證資料、存取您的NetApp Cloud Central帳戶、並使用安全聲明標記語言2.0(SAML)和OpenID Connect(OIDC)等開放式標準。 |
若要設定_SSO使用者自動資源配置_、請在「管理>使用者管理」頁面上、按一下「要求聯盟」按鈕。設定完成後、系統管理員即可啟用SSO使用者登入。當系統管理員啟用_SSO使用者自動資源配置_時、他們會為所有SSO使用者(例如來賓或使用者)選擇預設角色。透過SSO登入的使用者將擁有該預設角色。
有時、系統管理員會想要將單一使用者提升為預設SSO角色(例如、讓他們成為系統管理員)。他們可以在「管理>使用者管理」頁面上、按一下使用者的右側功能表、然後選取「assign role」。以這種方式指派明確角色的使用者、即使Cloud Insights _ SSO使用者自動資源配置_後來停用、仍可繼續存取功能。
如果使用者不再需要提升的角色、您可以按一下功能表以移除使用者。使用者將從清單中移除。如果啟用_SSO使用者自動資源配置_、使用者可以Cloud Insights 使用預設角色、透過SSO繼續登入到畫面。
您可以取消核取「顯示SSO使用者」核取方塊、選擇隱藏SSO使用者。
不過、如果下列任一項為真、請勿啟用_SSO使用者自動資源配置:
-
貴組織有多Cloud Insights 個不只一個的用戶
-
您的組織不希望同盟網域中的任何/每位使用者都能對Cloud Insights 該租戶進行某種程度的自動存取。目前我們無法使用此選項來使用群組來控制角色存取。
依網域限制存取
Cloud Insights 只能限制使用者存取您指定的網域。在 * 管理 > 使用者管理 * 頁面上、選取「限制網域」。
您將看到以下選項:
-
無限制:無論使用者的網域為何、 Cloud Insights 都能保持存取狀態。
-
限制存取預設網域:預設網域是 Cloud Insights 環境帳戶擁有者所使用的網域。這些網域永遠都可以存取。
-
將存取限制為預設值加上您指定的網域。列出您想要存取 Cloud Insights 環境的任何網域、以及預設網域。
