ストレージ・アレイのロールをマッピングするときは、どのような点に注意する必要がありますか?
グループをロールにマッピングする前に、次のガイドラインを確認してください。
ストレージ・アレイに搭載されたロールベース アクセス制御(RBAC)機能には以下のロールが含まれています。
- Storage Admin – ストレージ オブジェクト(ボリュームやディスク プールなど)に対する読み取り / 書き込みのフル アクセスが付与されます。セキュリティ設定にはアクセスできません。
- Security Admin – アクセス管理、証明書管理、および監査ログ管理のセキュリティ設定へのアクセスが付与されます。また、従来の管理インターフェイス(SYMbol)のオンとオフを切り替えることができます。
- Support Admin – ストレージ・アレイ上にあるすべてのハードウェア・リソース、障害に関するデータ、MEL イベント、およびコントローラー・ファームウェアのアップグレードへのアクセス。ストレージ・オブジェクトやセキュリティー構成にはアクセスできません。
- Monitor – すべてのストレージ オブジェクトに対する読み取り専用のアクセスが付与されます。セキュリティ設定にはアクセスできません。
ディレクトリ サービス
LDAP (Lightweight Directory Access Protocol) サーバーとディレクトリ・サービスを使用する場合は、次の点を確認してください。
管理者がディレクトリー・サービスでユーザー・グループを定義していること。
- LDAP ユーザー・グループのグループ・ドメイン名を確認しておきます。正規表現はサポートされています。これらの特殊な正規表現文字 (
) は、正規表現パターンの一部ではない場合、バックラッシュ (\) でエスケープする必要があります。\.[]{}()<>*+-=!?^$| - Monitor ロールは、管理者を含むすべてのユーザーに必要です。System Manager は、Monitor ロールが存在しないユーザーについては正常に動作しません。
SAML
ストレージ・アレイに搭載されたSecurity Assertion Markup Language(SAML)機能を使用する場合は、次のことを確認してください。
ID プロバイダー管理者が、IdP システムでユーザー属性とグループ・メンバーシップを設定しておく必要があります。
- グループ メンバーシップ名を把握しておきます。
- マッピングするグループの属性値を把握しておきます。正規表現はサポートされています。これらの特殊な正規表現文字 (
) は、正規表現パターンの一部ではない場合、バックラッシュ (\) でエスケープする必要があります。\.[]{}()<>*+-=!?^$| - Monitor ロールは、管理者を含むすべてのユーザーに必要です。System Manager は、Monitor ロールが存在しないユーザーについては正常に動作しません。
フィードバックを送る