使用者帳戶和角色
建議變更
PDF
Data Infrastructure Insights提供最多四個使用者帳戶角色:帳戶擁有者、管理員、使用者和訪客。每個帳戶都分配有特定的權限級別,如下表所示。用戶要么"邀請"存取Data Infrastructure Insights並指派特定角色,或可以透過"單一登入(SSO)授權"具有預設角色。 SSO 授權是Data Infrastructure Insights進階版中的功能。
權限等級
您使用具有管理員權限的帳戶來建立或修改使用者帳戶。每個使用者帳戶都會根據下列權限等級為每個Data Infrastructure Insights功能指派一個角色。
| 角色 | 可觀察性 | 工作負載安全 | 報告 | 行政 |
|---|---|---|---|---|
帳戶所有者 |
與管理員相同 |
與管理員相同 |
與管理員相同 |
與管理員相同,以及管理 SSO 身份驗證和身份聯合配置。也可以指定其他所有者。 |
行政人員 |
可以執行所有可觀察性功能,以及資料收集器的管理。 |
可以執行所有安全功能,包括警報、取證、資料收集器、自動回應策略和安全 API 令牌。管理員也可以邀請其他用戶,但只能指派安全角色。 |
可以執行所有使用者/作者功能,包括管理報告 API 令牌,以及所有管理任務,例如報告配置以及報告任務的關閉和重新啟動。管理員也可以邀請其他用戶,但只能指派報告角色。 |
可以邀請其他用戶,但只能分配可觀察性角色。可以查看但不能修改 SSO 設定。可以建立和管理 API 存取令牌。可以查看審計資訊。可以查看訂閱資訊、使用情況和歷史記錄。可以管理全域警報通知和訂閱通知收件人清單。 |
使用者 |
可以查看和修改儀表板、查詢、警報、註釋、註釋規則和應用程序,並管理設備解析度。 |
可以查看和管理警報並查看取證。使用者角色可以更改警報狀態、新增註釋、手動拍攝快照以及管理限制使用者存取。 |
可以執行所有訪客/消費者功能以及建立和管理報告和儀表板。 |
無法使用 |
客人 |
具有資產頁面、儀表板、警報的唯讀存取權限,並可以查看和執行查詢。 |
可以查看警報和取證。來賓角色不能更改警報狀態、新增註解、手動拍攝快照或限制使用者存取。 |
可以查看、排程和執行報表並設定個人偏好,例如語言和時區。訪客/消費者無法建立報表或執行管理任務。 |
無法使用 |
最佳做法是限制具有管理員權限的使用者數量。最多的帳戶應該是使用者帳戶或來賓帳戶。
Data Infrastructure Insights權限(按使用者角色)
下表顯示了授予每個使用者角色的Data Infrastructure Insights權限。
特徵 |
管理員/帳戶所有者 |
使用者 |
客人 |
採集單元:新增/修改/刪除 |
是 |
否 |
否 |
警報*:建立/修改/刪除 |
是 |
是 |
否 |
警報*:查看 |
是 |
是 |
是 |
註解規則:建立/運行/修改/刪除 |
是 |
是 |
否 |
註:建立/修改/分配/檢視/移除/刪除 |
是 |
是 |
否 |
API 存取*:建立/重新命名/停用/撤銷 |
是 |
否 |
否 |
應用程式:建立/檢視/修改/刪除 |
是 |
是 |
否 |
資產頁:修改 |
是 |
是 |
否 |
資產頁面:查看 |
是 |
是 |
是 |
審計:查看 |
是 |
否 |
否 |
雲端成本 |
是 |
否 |
否 |
安全 |
是 |
否 |
否 |
儀表板:建立/修改/刪除 |
是 |
是 |
否 |
儀表板:視圖 |
是 |
是 |
是 |
資料收集器:新增/修改/輪詢/刪除 |
是 |
否 |
否 |
通知:查看 |
是 |
是 |
是 |
通知:修改 |
是 |
否 |
否 |
查詢:建立/修改/刪除 |
是 |
是 |
否 |
查詢:檢視/運行 |
是 |
是 |
是 |
設備解析度 |
是 |
是 |
否 |
報告*:查看/運行 |
是 |
是 |
是 |
報告*:建立/修改/刪除/安排 |
是 |
是 |
否 |
訂閱:檢視/修改 |
是 |
否 |
否 |
使用者管理:邀請/新增/修改/停用 |
是 |
否 |
否 |
*需要高級版
透過邀請用戶建立帳戶
透過NetApp Console可以建立新使用者帳戶。用戶可以回覆透過電子郵件發送的邀請,但如果用戶沒有控制台帳戶,則用戶需要註冊才能接受邀請。
-
使用者名稱是邀請的電子郵件地址。
-
了解您將指派的使用者角色。
-
密碼由使用者在註冊過程中定義。
-
登入Data Infrastructure Insights
-
在選單中,按一下“管理”>“使用者管理”
顯示使用者管理畫面。螢幕包含系統上所有帳戶的清單。
-
點擊“+用戶”
顯示「邀請使用者」畫面。
-
輸入一個或多個電子郵件地址以接收邀請。
*注意:*當您輸入多個地址時,它們都以相同的角色創建。您只能將多個使用者設定為同一角色。
-
為Data Infrastructure Insights的每個功能選擇使用者的角色。
您可以選擇的功能和角色取決於您在特定管理員角色中可以存取的功能。例如,如果您僅具有報告的管理員角色,您將能夠將使用者指派給報告中的任何角色,但不能指派可觀察性或安全性的角色。 
-
點擊*邀請*
邀請已發送給用戶。用戶將有 14 天的時間來接受邀請。一旦用戶接受邀請,他們將被帶到NetApp雲端門戶,在那裡他們將使用邀請中的電子郵件地址進行註冊。如果他們已有該電子郵件地址的帳戶,他們只需登入即可存取其Data Infrastructure Insights環境。
修改現有使用者的角色
若要修改現有使用者的角色,包括將其新增為*二級帳戶擁有者*,請依照下列步驟操作。
-
按一下“管理”>“使用者管理”。螢幕顯示系統上所有帳戶的清單。
-
按一下要變更的帳戶的使用者名稱。
-
根據需要修改每個Data Infrastructure Insights功能集中的使用者角色。
-
按一下“儲存變更”。
指定二級帳戶所有者
您必須以 Observability 的帳戶擁有者登入才能將帳戶擁有者角色指派給其他使用者。
-
按一下“管理”>“使用者管理”。
-
按一下要變更的帳戶的使用者名稱。
-
在使用者對話方塊中,按一下*指派為擁有者*。
-
儲存更改。
您可以擁有任意數量的帳戶所有者,但最佳做法是將所有者角色限制為僅選定人員。
刪除用戶
具有管理員角色的使用者可以透過點擊使用者的名稱並點擊對話方塊中的「刪除使用者」來刪除使用者(例如,不再在公司任職的人員)。該用戶將從Data Infrastructure Insights環境中刪除。
請注意,即使刪除使用者後,使用者建立的任何儀表板、查詢等仍將在Data Infrastructure Insights環境中可用。
單一登入 (SSO) 和身分聯合
什麼是身份聯合?
使用身份聯合:
-
身份驗證委託給客戶的身份管理系統,使用來自公司目錄的客戶憑證以及多因素身份驗證 (MFA) 等自動化策略。
-
使用者只需登入一次即可存取所有NetApp Console服務(單一登入)。
所有雲端服務的使用者帳戶均在NetApp Console中管理。預設情況下,使用控制臺本機使用者設定檔進行身份驗證。以下是該過程的簡化概述:
但是,一些客戶希望使用自己的身分提供者來驗證其Data Infrastructure Insights和其他NetApp Console服務的使用者身分。透過身分聯合, NetApp Console帳戶可以使用來自公司目錄的憑證進行驗證。
以下是該過程的簡化範例:
在上圖中,當使用者存取Data Infrastructure Insights,該使用者將被定向到客戶的身份管理系統進行身份驗證。一旦帳戶通過身份驗證,使用者就會被導向到Data Infrastructure Insights租戶 URL。
啟用身份聯合
控制台使用 Auth0 實作身分合併並與 Active Directory 聯合驗證服務 (ADFS) 和 Microsoft Azure Active Directory (AD) 等服務整合。若要設定聯合身份驗證,請參閱"聯邦指令"。
|
|
您必須先設定身分聯合,然後才能將 SSO 與Data Infrastructure Insights結合使用。 |
重要的是要理解,更改身份聯合不僅適用於Data Infrastructure Insights,還適用於所有NetApp Console服務。客戶應與其擁有的每個產品的NetApp團隊討論此更改,以確保他們使用的配置可與身分聯合配合使用,或是否需要對任何帳戶進行調整。客戶還需要讓其內部 SSO 團隊參與身份聯合的變革。
同樣重要的是要認識到,一旦啟用身份聯合,對公司身份提供者的任何更改(例如從 SAML 轉移到 Microsoft AD)都可能需要進行故障排除/更改/注意更新用戶的設定檔。
對於此問題或任何其他聯盟問題,您可以打開支援票 https://mysupport.netapp.com/site/help。
單一登入 (SSO) 使用者自動配置
除了邀請使用者之外,管理員還可以為其公司網域中的所有使用者啟用*單一登入 (SSO) 使用者自動設定*存取Data Infrastructure Insights,而無需單獨邀請他們。啟用 SSO 後,任何具有相同網域電子郵件地址的使用者都可以使用其公司憑證登入Data Infrastructure Insights 。
|
|
_SSO 使用者自動設定_在Data Infrastructure Insights Premium Edition 中可用,必須先進行設定才能為Data Infrastructure Insights啟用。 SSO 使用者自動設定包括"身分聯合"透過NetApp Console進行操作,如上節所述。聯合允許單一登入使用者使用來自公司目錄的憑證存取您的NetApp Console帳戶,並使用安全性斷言標記語言 2.0 (SAML) 和 OpenID Connect (OIDC) 等開放標準。 |
若要在*管理 > 使用者管理*頁面上設定_SSO 使用者自動設定_,您必須先設定身分聯合。選擇橫幅中的“設定聯合”連結以繼續進行控制台聯合。設定完成後,Data Infrastructure Insights管理員就可以啟用 SSO 使用者登入。當管理員啟用_SSO 使用者自動設定_時,他們會為所有 SSO 使用者(例如訪客或使用者)選擇一個預設角色。透過 SSO 登入的使用者將具有該預設角色。
有時,管理員會希望將單一使用者從預設 SSO 角色中提升出來(例如,使其成為管理員)。他們可以在*管理 > 使用者管理*頁面上透過點擊使用者右側選單並選擇_指派角色_來完成此操作。即使隨後停用“SSO 使用者自動配置”,以這種方式分配了明確角色的使用者仍可以繼續存取Data Infrastructure Insights。
如果使用者不再需要提升的角色,您可以點擊選單「刪除使用者」。該用戶將從清單中刪除。如果啟用了“SSO 使用者自動配置”,則使用者可以繼續透過 SSO 以預設角色登入Data Infrastructure Insights。
您可以取消勾選「顯示 SSO 使用者」複選框來選擇隱藏 SSO 使用者。
但是,如果出現下列任一情況,請勿啟用「SSO 使用者自動設定」:
-
您的組織有多個Data Infrastructure Insights租戶
-
您的組織不希望聯合網域中的任何/每個使用者都對Data Infrastructure Insights租用戶具有一定程度的自動存取權。 目前,我們無法使用群組透過此選項來控制角色存取。
按域限制訪問
Data Infrastructure Insights可以限制使用者只能存取您指定的網域。在*管理 > 使用者管理*頁面上,選擇「限制網域」。
您面臨以下選擇:
-
無限制:無論使用者位於哪個網域,都可以存取Data Infrastructure Insights。
-
限制對預設網域的存取:預設網域是您的Data Infrastructure Insights環境帳戶擁有者所使用的網域。這些網域始終可以存取。
-
限制對預設值以及您指定的網域的存取。除預設網域之外,列出您想要存取Data Infrastructure Insights環境的所有網域。
