メインコンテンツまでスキップ

アクセス管理の仕組み

アクセス管理は、ThinkSystem System Manager でユーザー認証を確立するための方法です。

アクセス管理設定およびユーザ認証は次のように行います。
  1. Security Adminの権限を含むユーザ プロファイルでSystem Managerにログインします。
    初回ログインでは、ユーザ名adminが自動的に表示され、変更できません。admin ユーザーには、システムのすべての機能を使用できるフルアクセスがあります。
  2. ユーザ インターフェイスでアクセス管理に移動します。ストレージ アレイはローカル ユーザ ロールを使用するように事前に設定されています。これはロールベース アクセス制御(RBAC)機能により実装されます。
  3. 次の認証方式を1つ以上設定します。
    • ローカル ユーザ ロール – 認証はストレージ アレイに組み込みのRBAC機能を通じて管理されます。ローカル ユーザ ロールには、事前定義のユーザ プロファイルと、特定のアクセス権限を持つロールが含まれます。これらのローカル ユーザ ロールのみを認証方式として使用することも、ディレクトリ サービスと組み合わせて使用することもできます。ユーザのパスワードを設定する以外に特別な設定は不要です。
    • ディレクトリ サービス – 認証は、LDAP(Lightweight Directory Access Protocol)サーバとディレクトリ サービス(MicrosoftのActive Directoryなど)を通じて管理されます。管理者がLDAPサーバに接続し、ストレージ アレイに組み込まれているローカル ユーザ ロールにLDAPユーザをマップします。
    • SAML – 認証は、アイデンティティ プロバイダ(IdP)を通じ、Security Assertion Markup Language(SAML)2.0を使用して管理されます。管理者がIdPシステムとストレージ アレイの間の通信を確立し、ストレージ アレイに組み込まれているローカル ユーザ ロールにIdPユーザをマップします。
  4. ユーザにSystem Managerのログイン クレデンシャルを渡します。
  5. ユーザが自身のクレデンシャルを入力してシステムにログインします。
    認証がSAMLとシングル サインオン(SSO)で管理されている場合は、System Managerのログイン ダイアログが省略されることがあります。
    ログイン時には、次のバックグラウンド タスクが実行されます。
    • ユーザ アカウントに対してユーザ名とパスワードを認証します。
    • 割り当てられているロールに基づいて、ユーザのアクセス権を特定します。
    • ユーザ インターフェイス内のタスクにユーザがアクセスできるようになります。
    • インターフェイスの右上にユーザ名が表示されます。

System Managerで実行可能なタスク

タスクへのアクセスは、ユーザに割り当てられている次のいずれかのロールによって決まります。
  • Storage Admin – ストレージ オブジェクト(ボリュームやディスク プールなど)に対する読み取り / 書き込みのフル アクセスが付与されます。セキュリティ設定にはアクセスできません。
  • Security Admin – アクセス管理、証明書管理、および監査ログ管理のセキュリティ設定へのアクセスが付与されます。また、従来の管理インターフェイス(SYMbol)のオンとオフを切り替えることができます。
  • Support Admin – ストレージ アレイのすべてのハードウェア リソース、障害データ、MELイベント、およびコントローラ ファームウェア アップグレードへのアクセスが付与されます。ストレージ・オブジェクトやセキュリティー構成にはアクセスできません。
  • Monitor – すべてのストレージ オブジェクトに対する読み取り専用のアクセスが付与されます。セキュリティ設定にはアクセスできません。

使用できないタスクは、ユーザ インターフェイスではグレー表示されるか、非表示になります。たとえば、Monitorロールを持つユーザは、ボリュームに関するすべての情報を表示できますが、そのボリュームを変更するための機能にはアクセスできません。[コピー サービス][ワークロードへの追加]などの機能のタブはグレー表示になり、[設定の表示 / 編集]のみが使用できます。

ThinkSystem SAN Manager および ThinkSystem Storage Manager での制限

ストレージ・アレイ用に SAML が構成されている場合、ユーザーは ThinkSystem SAN Manager または ThinkSystem Storage Manager インターフェースからそのアレイのストレージを検出または管理することができません。

ローカル・ユーザーの役割またはディレクトリー・サービスが構成されている場合、ユーザーは次の機能を実行する前に必ず資格情報を入力する必要があります。

  • ストレージ アレイの名前変更
  • コントローラ ファームウェアのアップグレード
  • ストレージ アレイの構成のロード
  • スクリプトの実行
  • 未使用のセッションがタイムアウトしたときのアクティブな処理の実行