ユーザー・アカウントの管理

オンライン編集

管理者は、 Turbonomicへのアクセス権限をユーザーに付与するアカウントを指定します。 ユーザー・アカウントの資格情報は、 Turbonomic サーバー上にローカルに保存することも、Microsoft Active Directory (AD) または別のシングル・サインオン (SSO) プロバイダーを介して外部で管理することもできます。

ユーザー・アカウント構成により、以下の詳細が決定されます。

  • ユーザー認証

    アカウントを構成するには、アカウントが使用する認証のタイプを設定します。

    • ローカルユーザー:ユーザー名とパスワードを設定し 、Turbonomicサーバーにそれらの認証情報を保存します。

    • 外部ユーザー:シングルユーザーアカウントは、SSOまたはAD経由で認証できます。

    • 外部グループ:ユーザーアカウントのグループは、SSOまたはADを通じて認証できます。

  • ユーザー許可

    ユーザーのアクセスおよび機能の範囲を決定するプロパティーを指定することもできます。

    • ロール: ユーザー・ロールは、特定の Turbonomic 機能へのアクセスを決定します。

    • スコープ: ユーザー・スコープは、このユーザーが管理できる環境の量を決定します。

ユーザー・アカウントを構成するときに、環境内の特定のクラスターへのアクセスをセットアップできます。 テナントのお客様のアカウントをセットアップして、特定の仮想データ・センターで所有する仮想ワークロードのみを表示することもできます。

重要:

自己ホスト型 Turbonomic インスタンスの場合、SSO 認証を使用するように Turbonomic を構成できます。 SSO が有効になっている場合、 Turbonomic は SSO IdPを介したログインのみを許可します。 Turbonomic インストール済み環境にナビゲートすると、 Turbonomic ユーザー・インターフェースが表示される前に、認証のために SSO ID プロバイダー (IdP) にリダイレクトされます。

Turbonomic インストール済み環境で SSO を有効にする前に、 Turbonomic 管理者特権を持つ SSO ユーザーを少なくとも 1 人構成する必要があります。 そうしないと、SSO を有効にした後に Turbonomicで SSO ユーザーを構成できません。 SSOユーザーを管理者として認証するには、 外部認証を使用して次のいずれかのオプションを実行します

  • 管理者権限を持つ単一の SSO ユーザーを構成します。

    外部ユーザーを追加します。 ユーザー名は、 IdP が管理するアカウントと一致する必要があります。

  • 管理者権限を使用して SSO ユーザー・グループを構成します。

    外部グループを追加します。 グループ名は、IdP,上のユーザー・グループと一致しなければならず、そのグループには少なくとも1人のメンバーがいなければならない。

SAML での SSO ユーザー・グループの構成については、 SSO 認証のためのグループの構成を参照してください。 Turbonomic用の SSO 認証の構成については、 シングル・サインオン認証を参照してください。

Turbonomic アカウントを操作するには、以下のようにします。

  1. 設定ページに移動します。

    「設定」ボタン

    クリックすると設定ページに移動します。 そこから、さまざまな Turbonomic 構成タスクを実行できます。

  2. ユーザー管理を選択します。

    ユーザー管理ボタン

    をクリックして、ユーザー管理ページに移動します。

    ユーザー管理ページ

    このページには、 Turbonomic用に現在構成されているすべてのユーザー・アカウントがリストされます。 以下のタスクを実行できます。

    • ローカルまたは外部認証を管理します。

    • アカウントを削除します。

    • 名前の上にカーソルを置くと表示される鉛筆のアイコンをクリックして、アカウントを編集します。

    • 新しいユーザーまたはグループアカウントを作成します。

  3. ユーザーのリストをフィルタリングします。

    フィルター・オプションを強調表示したユーザー管理ページ

    ユーザーの長いリストを扱うには、役割でフィルタリングするか(例えば、管理者のみを表示する、またはオブザーバーユーザーのみを表示する)、検索フィールドに文字列を入力します。

  4. ローカルユーザーアカウントを設定する。

    ローカル・ユーザーのリスト

    Turbonomic は、ローカル・アカウントとその資格情報を Turbonomic プラットフォームに保管します。 ローカル認証は、個々のユーザーのみを対象としています。

    ローカルユーザーを選択すると、Turbonomicは、このインストール用に設定したすべてのローカルユーザーアカウントのリストを表示します。

  5. ローカル・ユーザー・アカウントを作成または編集します。

    新規ローカル・ユーザー・フライアウト・パネル

    新しいローカルユーザーを追加するには、新しいローカルユーザーをクリックします。 既存のアカウントを編集するには、リスト内のアカウント名をクリックします。 ローカル・アカウントを構成するには、次のように指定します。

    • 認証

      ユーザー名とパスワードを指定してください。 Turbonomic は、これらの資格情報をローカル・サーバーに保管します。

    • 権限 – ユーザーの役割

      • 管理者

        この役割を持つユーザーは、すべての Turbonomic 機能を使用し、設定を変更して Turbonomic インストールを構成できます。 Turbonomic SaaS インスタンスの場合、このロールはインスタンスを管理する Turbonomic の代表者に限定されます。

      • サイト管理者

        この役割を持つユーザーは、すべての Turbonomic 機能を使用し、サイト固有の設定を変更して Turbonomic インストールを構成できます。 ユーザーは、グループ、ポリシー、ワークフロー、テンプレート、請求とコスト、およびターゲット構成も管理できますが、電子メール、ライセンス、アップデート、およびメンテナンスは管理できません。 ユーザーは、管理者役割を持つアカウントを除き、他のユーザー・アカウントを作成できます。

      • 自動化機能

        この役割を持つユーザーは、すべての Turbonomic 機能 (Plan、Park、および Place を含む) を使用できますが、 Turbonomic インストール済み環境を構成したり、ポリシーを作成したりすることはできません。 Automatorは、何らかのアクションを実行するために必要な最小限のロールである。

      • 駐車場管理者

        このロールを持つユーザーは、手動または自動(パーキングスケジュールを使用)でワークロードをパーキングし、パーキングスケジュールを管理し、すべての Turbonomic チャートとデータを表示することができます。 しかし、ユーザーはポリシーやテンプレートの作成、ワークロードの配置、プランの実行、アクションの実行はできない。

      • 駐車場オートメーター

        このロールを持つユーザーは、手動または自動(パーキングスケジュールを使用)でワークロードをパーキングし、すべての Turbonomic チャートとデータを表示することができます。 しかし、ユーザーは駐車スケジュールを管理したり、ポリシーやテンプレートを作成したり、ワークロードを配置したり、プランを実行したり、アクションを実行したりすることはできない。

      • デプロイヤー

        この役割を持つユーザーは、すべての Turbonomic チャートおよびデータを表示し、Place を使用してワークロードを予約し、配置ポリシーおよびテンプレートを作成することができます。 しかし、ユーザーはプランを実行したり、アクションを実行したりすることはできない。

      • アドバイザー

        この役割を持つユーザーは、すべての Turbonomic グラフおよびデータを表示し、計画を実行できます。 しかし、ユーザーはPlaceを使用してワークロードを予約したり、ポリシーを作成したり、アクションを実行したりすることはできない。

      • オブザーバー

        この役割を持つユーザーは、 ホーム・ページ やダッシュボードなどの環境を表示できます。 ユーザーは、検索を使用してセッションにスコープを設定することもできます。 スコープについては、VM グループとリソース・グループのみがサポートされます。 ユーザーはアクションを実行できない。

      • 運用オブザーバー

        この役割を持つユーザーは、 ホーム・ページ、ダッシュボード、グループ、ポリシーなどの環境を表示できます。 ユーザーは、検索を使用してセッションにスコープを設定することもできます。 ユーザーはアクションを実行できない。

      • 共有アドバイザー

        この役割を持つユーザーは、スコープ設定されたユーザーです。 彼らはホーム・ページとダッシュボードを見ることはできるが、VMとアプリケーションしか見ることができない。 ユーザーはアクションを実行できない。

      • 共有オブザーバー

        この役割を持つユーザーは、スコープ設定されたユーザーです。 彼らは、ホームページ、カスタム ダッシュボード、およびアプリケーション マップを表示できますが、表示できるのは VM とアプリケーションのみです。 エグゼクティブ・ダッシュボードの表示やアクションの実行はできません。 共有オブザーバーは最も制限されたユーザーロールである。

      • レポート・エディター

        この役割を持つユーザーは、レポートを作成、編集、および削除できます。 レポート・ライセンスに制限があるため、インスタンスごとに 1 人のユーザーのみがこの役割を持つことができます (デフォルトでは、ローカル 管理者 ユーザー)。 この役割を別のユーザーに割り当てるには、まず現行ユーザーからこの役割を削除する必要があります。 新規ユーザーがスコープ・ユーザー ではない ことを確認してください。

    • 権限 - スコープまたは割り当てグループ(オプション)

      あなたの環境でユーザーがモニターできるものを制限することができます。 例えば、このユーザーの VM またはアプリケーションをサポートする物理マシンのみを含むグループにスコープを設定できます。 スコープの追加またはグループの追加をクリックし、このユーザーが表示できるグループまたはクラスタを選択します。

      注:

      ほとんどの場合、スコープ設定されたユーザーは、構成されたスコープの外部にあるエンティティーのアクションを表示できません。 ただし、ホスト・エンティティーにズームインすると、ホストがそのストレージを使用している場合は、ユーザーの有効範囲外のストレージに対するアクションを表示できます。

    • 権限

      ユーザー権限は、役割ごとに異なります。

    • 完了したら、アカウントを保存します。

    詳細については、 ロールとスコープについてを参照してください。

  6. 外部認証を設定する。

    外部認証ユーザーのリスト

    外部認証を行うには、 Turbonomic を構成して、シングルサインオン(SSO)または Active Directory サービスを使用してユーザーの認証情報と認証を管理します。 外部アカウントを作成して、ユーザー・グループまたは個々のユーザーを許可することができます。

    考慮すべき点

    • 外部ユーザーが名前付き外部ユーザーである場合、Turbonomicは、構成された外部グループのメンバーシップに関係なく、そのユーザーに対して定義された権限でユーザーを認証します。

    • 外部ユーザーが指定された外部ユーザーでない場合、Turbonomicは定義された外部グループのメンバーシップを考慮します。

    • ユーザーが複数のグループのメンバーである場合、Turbonomicは、SSOまたはAD認証中に返された最初のグループを通してユーザーを認証します。

    • ユーザーは常にTurbonomicで作成された1つの外部ユーザーまたは外部グループにマップされ、対応するロールとスコープが適用されます。

    • TurbonomicはネストされたADグループをサポートしていません。 ADログインは、トップレベルグループのユーザーでなければならない。

    SSO を有効にするには、指定された IdPへのアクセスを構成する必要があります。 SSO の構成については、 シングル・サインオン認証を参照してください。

    AD を有効にするには、AD ドメイン、AD サーバー、またはその両方を指定する必要があります。 Turbonomic は、すべての AD ユーザーに対してこの接続を使用します。

  7. AD 認証を有効にします。

    Active Directory のフライアウト・パネルの編集

    アクティブ・ディレクトリをクリックして、AD設定を管理する。

    • Active Directory ドメイン

      AD グループを認証するには、ドメインを指定して、AD がユーザー・プリンシパル名 (UPN) を持つユーザーを検出できるようにします。 サーバーではなくドメインを指定した場合、認証ではそのドメインの AD サーバーが使用されます。 AD ユーザーのみをサポートし、グループはサポートしない場合、ドメインはオプションです。

    • Active Directory サーバー

      AD グループを無効にするには、サーバーを指定しますが、ドメインは指定しません。 ドメインとサーバーを指定すると、認証はそのサーバーを使用し、グループもサポートします。

      AD サーバーを構成すると、デフォルトで Turbonomic は AD サーバー・ポートを 389 または 636と想定します。 AD サーバーのカスタム・ポートを指定するには、AD サーバーの IP アドレスにポート番号を追加します。 例えば、 10.10.10.123:444 はポート 444 を設定します。

    • セキュア

      AD サーバーとの通信にセキュア接続を使用します。 AD ドメインは LDAPS を使用するように構成する必要があり、証明書を Turbonomic サーバーにインポートする必要があります。 Turbonomic は、LDAP チャネル・バインディングと LDAP 署名をサポートできます。 これらの Active Directory 機能をサポートするには、セキュア・アクセスを構成する必要があります。

      詳しくは、 Enforcing Secure Accessを参照してください。

    • 完了したら、変更内容を保存します。

  8. SSO または AD アカウントを作成または編集します。

    新規外部ユーザー・フライアウト・パネル

    このアカウントは、ユーザー・グループ用にすることも、単一ユーザー用にすることもできます。 新しいアカウントを追加するには、追加 新規外部ユーザーまたは新規外部グループをクリックします。 既存のアカウントを編集するには、アカウント名をクリックします。 外部アカウントを構成するには、以下を指定します。

    • 認証

      このアカウントのグループ名またはユーザー名を指定します。 指定する名前は、作成するアカウントのタイプに応じて、特定の要件を満たしている必要があります。

      • 外部グループ - SSO

        IdP が管理するグループに一致する名前を指定します。

      • 外部グループ - AD

        グループ名は、 EDIT ADで構成したドメインおよびサーバーからアクセス可能なグループと一致している必要があります。

      • 外部ユーザー - SSO

        IdPによって管理されるユーザーと一致するユーザー名を指定します。

      • 外部ユーザー - AD

        ユーザー名は有効なユーザー・プリンシパル名 (UPN) でなければなりません。 例えば、 john@corp.mycompany.comです。

    • 権限 - ユーザーの役割

      • 管理者

        この役割を持つユーザーは、すべての Turbonomic 機能を使用し、設定を変更して Turbonomic インストールを構成できます。 Turbonomic SaaS インスタンスの場合、このロールはインスタンスを管理する Turbonomic の代表者に限定されます。

      • サイト管理者

        この役割を持つユーザーは、すべての Turbonomic 機能を使用し、サイト固有の設定を変更して Turbonomic インストールを構成できます。 ユーザーは、グループ、ポリシー、テンプレート、請求/コスト、およびターゲット構成を管理することもできますが、E メール、ライセンス、更新、および保守は管理できません。 ユーザーは、管理者役割を持つアカウントを除き、他のユーザー・アカウントを作成できます。

      • 自動化機能

        この役割を持つユーザーは、すべての Turbonomic 機能 (Plan、Park、および Place を含む) を使用できますが、 Turbonomic インストール済み環境を構成したり、ポリシーを作成したりすることはできません。

      • 駐車場管理者

        このロールを持つユーザーは、手動または自動(パーキングスケジュールを使用)でワークロードをパーキングし、パーキングスケジュールを管理し、すべての Turbonomic チャートとデータを表示することができます。 しかし、ユーザーはポリシーやテンプレートの作成、ワークロードの配置、プランの実行、アクションの実行はできない。

      • 駐車場オートメーター

        このロールを持つユーザーは、手動または自動(パーキングスケジュールを使用)でワークロードをパーキングし、すべての Turbonomic チャートとデータを表示することができます。 しかし、ユーザーは駐車スケジュールを管理したり、ポリシーやテンプレートを作成したり、ワークロードを配置したり、プランを実行したり、アクションを実行したりすることはできない。

      • デプロイヤー

        この役割を持つユーザーは、すべての Turbonomic チャートおよびデータを表示し、Place を使用してワークロードを予約し、配置ポリシーおよびテンプレートを作成することができます。 しかし、ユーザーはプランを実行したり、アクションを実行したりすることはできない。

      • アドバイザー

        この役割を持つユーザーは、すべての Turbonomic グラフおよびデータを表示し、計画を実行できます。 しかし、ユーザーはPlaceを使用してワークロードを予約したり、ポリシーを作成したり、アクションを実行したりすることはできない。

      • オブザーバー

        この役割を持つユーザーは、 ホーム・ページ やダッシュボードなどの環境を表示できます。 ユーザーは、検索を使用してセッションにスコープを設定することもできます。 スコープについては、VM グループとリソース・グループのみがサポートされます。

      • 運用オブザーバー

        この役割を持つユーザーは、 ホーム・ページ、ダッシュボード、グループ、ポリシーなどの環境を表示できます。 ユーザーは、検索を使用してセッションにスコープを設定することもできます。

      • 共有アドバイザー

        この役割を持つユーザーは、スコープ設定されたユーザーです。 ホーム・ページ とダッシュボードを表示できますが、表示できるのは VM とアプリケーションのみです。 ユーザーはアクションを実行できない。

      • 共有オブザーバー

        この役割を持つユーザーは、スコープ設定されたユーザーです。 ホーム・ページ とカスタム・ダッシュボードを表示できますが、表示できるのは VM とアプリケーションのみです。 ユーザーは、エグゼクティブ・ダッシュボードを表示したり、 Turbonomic アクションを実行したりすることはできません。 これは最も制限されているユーザーです。

      • レポート・エディター

        この役割を持つユーザーは、レポートを作成、編集、および削除できます。 レポート・ライセンスに制限があるため、インスタンスごとに 1 人のユーザーのみがこの役割を持つことができます (デフォルトでは、ローカル 管理者 ユーザー)。 この役割を別のユーザーに割り当てるには、まず現行ユーザーからこの役割を削除する必要があります。 新規ユーザーがスコープ・ユーザー ではない ことを確認してください。

    • 権限 - スコープまたは割り当てグループ(オプション)

      スコープは、このグループのどのメンバーがモニターできるかを制限します。 例えば、このグループの VM またはアプリケーションをサポートするホストのみにアクセスのスコープを設定できます。 スコープの定義またはグループの追加をクリックし、このグループのメンバーが見ることができるエンティティを選択します。

    • 権限

      ユーザー権限は、役割ごとに異なります。

    • 完了したら、アカウントを保存します。