管理用户帐户

注：

本主题介绍用户界面新设计中可用的功能。这种新设计默认为启用。如果切换到传统设计，请单击用户界面导航栏中的新功能切换按钮，然后打开切换按钮，重新启用新设计。更多信息，请参阅用户界面的新设计。

作为管理员，您可以指定授权用户访问 Turbonomic的帐户。用户帐户的凭证可以本地保存在 Turbonomic 服务器上，也可以通过 Microsoft Active Directory (AD) 或其他单点登录 (SSO) 提供程序在外部进行管理。

用户帐户配置确定以下详细信息:

用户认证

要配置帐户，请设置帐户使用的认证类型:
- 本地用户：配置用户名和密码，并将这些凭证保存在 Turbonomic服务器上。
- 外部用户：单个用户账户可通过SSO或AD进行身份验证。
- 外部组：用户账户组可通过SSO或AD进行身份验证。
用户授权

您还可以指定用于确定用户的访问权和功能范围的属性:
- 角色: 用户角色确定对特定 Turbonomic 功能的访问权。
- 作用域: 用户作用域确定此用户可以管理的环境的大小。

配置用户帐户时，可以设置对环境中特定集群的访问权。您甚至可以为租户客户设置帐户，并且仅向他们显示他们在其特定虚拟数据中心中拥有的虚拟工作负载。

重要信息：

对于自托管的 Turbonomic 实例，您可以配置 Turbonomic 以使用 SSO 认证。启用 SSO 时， Turbonomic 仅允许通过 SSO IdP登录。每当浏览到 Turbonomic 安装时，它都会将您重定向到 SSO 身份提供者 (IdP) 以进行认证，然后再显示 Turbonomic 用户界面。

在为 Turbonomic 安装启用 SSO 之前， 必须至少配置一个具有 Turbonomic 管理员特权的 SSO 用户。如果没有，那么在启用 SSO 之后，无法在 Turbonomic中配置任何 SSO 用户。要授权SSO用户成为管理员，请使用外部身份验证执行以下操作之一：

配置具有管理员权限的单个 SSO 用户。

添加外部用户。用户名必须与 IdP 管理的帐户匹配。
配置具有管理员权限的 SSO 用户组。

添加外部组。组名必须与 IdP, 而且该组必须至少有一名成员。

有关在 SAML 中配置 SSO 用户组的信息，请参阅配置组以进行 SSO 认证。有关为 Turbonomic配置 SSO 认证的信息，请参阅单点登录认证。

要使用 Turbonomic 帐户:

导航至设置页面。

单击导航至设置页面。从这里，您可以执行各种 Turbonomic 配置任务。
选择 "用户管理"。

单击导航至用户管理页面。

此页面列出了您当前为 Turbonomic配置的所有用户帐户。您可以执行下列任务：
- 管理本地或外部身份验证。
- 删除帐户。
- 点击悬停在姓名上的铅笔图标，编辑账户。
- 创建新用户或组账户。
过滤用户列表。

要处理一长串用户，可以按角色筛选（例如，只显示管理员或只显示观察者用户），也可以在 Search 字段中键入字符串。
配置本地用户账户。

Turbonomic 将本地帐户及其凭证存储在 Turbonomic 平台上。本地认证仅适用于个别用户。

选择本地用户时，Turbonomic将显示您为此安装配置的所有本地用户帐户的列表。
创建或编辑本地用户帐户。

要添加新本地用户，请单击 新本地用户。要编辑现有帐户，请单击列表中的帐户名称。要配置本地帐户，请指定:
- 认证
  
  请提供用户名和密码。浊将这些凭证存储在本地服务器上。
- 授权——用户角色
  - 管理员
    
    具有此角色的用户可以使用所有 Turbonomic 功能部件并修改设置以配置 Turbonomic 安装。对于在公共云中托管的 Turbonomic 实例，此角色仅限于管理这些实例的 Turbonomic 代表。
  - 站点管理员
    
    具有此角色的用户可以使用所有 Turbonomic 功能部件并修改特定于站点的设置以配置 Turbonomic 安装。用户还可以管理 "组" ， "策略" ， "工作流程" ， "模板" ， "计费/成本" 和 "目标配置" ，但不能管理 "电子邮件" ， "许可证" ， "更新" 和 "维护"。用户可以创建其他用户帐户，但具有管理员角色的帐户除外。
  - 自动执行程序
    
    具有此角色的用户可以使用所有 Turbonomic 功能 (包括 Plan ， Park 和 Place) ，但无法配置 Turbonomic 安装或创建策略。
  - 停放管理员
    
    具有该角色的用户可以手动或自动（使用停机计划）停机工作负载、管理停机计划以及查看所有 Turbonomic 图表和数据。但是，用户不能创建策略和模板、放置工作负载、运行计划或执行任何建议的操作。
  - 停放自动装置
    
    具有此功能的用户可以手动或自动停放工作负载（使用停放计划），并查看所有 Turbonomic 图表和数据。但是，用户不能管理停放计划、创建策略和模板、放置工作负载、运行计划或执行任何建议的操作。
  - 部署程序
    
    具有此角色的用户可以查看所有 Turbonomic 图表和数据，使用 Place 来保留工作负载以及创建布置策略和模板。但是，用户无法运行计划或执行任何推荐的操作。
  - 顾问程序
    
    具有此角色的用户可以查看所有 Turbonomic 图表和数据以及运行计划。但是，用户无法使用 Place 来保留工作负载，创建策略或执行任何建议的操作。
  - 观察程序
    
    具有此角色的用户可以查看环境，包括主页和仪表板。用户还可以使用 "搜索" 来设置会话的作用域。对于作用域，仅支持 VM 组和资源组。
  - 运营观察程序
    
    具有此角色的用户可以查看环境，包括主页，仪表板，组和策略。用户还可以使用 "搜索" 来设置会话的作用域。
  - 共享顾问
    
    具有此角色的用户是限定作用域的用户。他们可以查看主页和仪表板，但只能查看 VM 和应用程序。用户无法执行 Turbonomic 操作。
  - 共享观察程序
    
    具有此角色的用户是限定作用域的用户。他们可以查看主页、自定义仪表盘和应用程序地图，但只能看到虚拟机和应用程序。他们不能查看执行仪表板或执行 Turbonomic 操作。共享观察者是限制最多的用户角色。
  - 报告编辑员
    
    具有此角色的用户可以创建，编辑和删除报告。由于对报告许可证的限制，每个实例仅允许一个用户具有此角色 (缺省情况下，本地 管理员 用户)。要将此角色分配给另一个用户，必须首先将其从当前用户中除去。请确保新用户不是作用域限定的用户。
- 授权——范围或指定组（可选）
  
  您可以限制用户在环境中可以监控的内容。例如，可以将作用域限定为仅包含支持此用户的 VM 或应用程序的物理机器的组。单击 添加范围 或 添加组，然后选择该用户可以查看哪些组或群集。
  
  注：
  在大多数情况下，作用域限定的用户无法查看所配置作用域之外的实体的操作。但是，在放大到 "主机" 实体时，如果主机使用该存储器，那么用户可以看到超出用户作用域的存储器操作。
- 许可权
  
  每个角色的用户许可权不同。
- 完成后，保存帐户。
配置外部认证。

对于外部认证，您可以配置涡轮增压器使用单点登录（SSO）或 Active Directory （AD）服务来管理用户的凭证和认证。您可以创建外部帐户以授权用户组或个人用户。

需要考虑的要点
- 如果外部用户是已命名的外部用户，Turbonomic 会使用为该用户定义的权限对其进行身份验证，与任何已配置外部组的成员资格无关。
- 如果外部用户不是已命名的外部用户，Turbonomic 会考虑其在已定义外部组中的成员身份。
- 如果用户是多个组的成员，Turbonomic 会通过 SSO 或 AD 身份验证过程中返回的第一个组对用户进行身份验证。
- 用户总是映射到在 Turbonomic 中创建的单个外部用户或外部组，然后应用相应的角色和作用域。
- Turbonomic不支持嵌套的 AD 组。 AD 登录必须针对顶级组中的用户。
要启用 SSO ，必须配置对给定 IdP的访问权。有关配置 SSO 的信息，请参阅单点登录认证。

要启用 AD ，必须指定 AD 域和/或 AD 服务器。涡轮工程学将此连接用于所有 AD 用户。
启用 AD 认证。

单击 Active directory（活动目录） 管理 AD 配置。
- Active Directory 域
  
  要认证 AD 组，请指定域，以便 AD 可以找到具有用户主体名称 (UPN) 的用户。如果指定域而不是服务器，那么认证将使用该域中的任何 AD 服务器。如果要仅支持 AD 用户而不支持组，那么域是可选的。
- Active Directory 服务器
  
  要禁用 AD 组，请指定服务器，但不指定域。如果指定域和服务器，那么认证将使用该服务器，并且还支持组。
  
  配置 AD 服务器时，缺省情况下， Turbonomic 会将 AD 服务器端口假定为 389 或 636。要指定 AD 服务器的定制端口，请将端口号添加到 AD 服务器 IP 地址。例如， 10.10.10.123:444 设置端口 444。
- 安全
  
  使用安全连接与 AD 服务器进行通信。必须将 AD 域配置为使用 LDAPS ，并且必须将证书导入到 Turbonomic 服务器中。浊可以支持 LDAP 通道绑定和 LDAP 签名。要支持这些 Active Directory 功能，必须配置安全访问。
  
  有关更多信息，请参阅实施安全访问。
- 完成后，保存更改。
创建或编辑 SSO 或 AD 帐户。

此帐户可以用于用户组或单个用户。要添加新帐户，请单击 Add > New external user 或 New external group 。要编辑现有帐户，请单击帐户名称。要配置外部帐户，请指定:
- 认证
  
  提供此帐户的组或用户名。您提供的名称必须满足特定需求，具体取决于您要创建的帐户类型:
  - 外部团体——SSO
    
    提供与 IdP 管理的组匹配的名称。
  - 外部团体——AD
    
    组名必须与可从 EDIT AD中配置的域和服务器访问的组匹配。
  - 外部用户 - 单点登录
    
    提供与 IdP管理的用户匹配的用户名。
  - 外部用户——广告
    
    用户名必须是有效的用户主体名称 (UPN)。例如， john@corp.mycompany.com。
- 授权——用户角色
  - 管理员
    
    具有此角色的用户可以使用所有 Turbonomic 功能部件并修改设置以配置 Turbonomic 安装。对于在公共云中托管的 Turbonomic 实例，此角色仅限于管理这些实例的 Turbonomic 代表。
  - 站点管理员
    
    具有此角色的用户可以使用所有 Turbonomic 功能部件并修改特定于站点的设置以配置 Turbonomic 安装。用户还可以管理组，策略，模板，计费/成本和目标配置，但不能管理电子邮件，许可证，更新和维护。用户可以创建其他用户帐户，但具有管理员角色的帐户除外。
  - 自动执行程序
    
    具有此角色的用户可以使用所有 Turbonomic 功能 (包括 Plan ， Park 和 Place) ，但无法配置 Turbonomic 安装或创建策略。
  - 停放管理员
    
    具有该角色的用户可以手动或自动（使用停机计划）停机工作负载、管理停机计划以及查看所有 Turbonomic 图表和数据。但是，用户不能创建策略和模板、放置工作负载、运行计划或执行任何建议的操作。
  - 停放自动装置
    
    具有此功能的用户可以手动或自动停放工作负载（使用停放计划），并查看所有 Turbonomic 图表和数据。但是，用户不能管理停放计划、创建策略和模板、放置工作负载、运行计划或执行任何建议的操作。
  - 部署程序
    
    具有此角色的用户可以查看所有 Turbonomic 图表和数据，使用 Place 来保留工作负载以及创建布置策略和模板。但是，用户无法运行计划或执行任何推荐的操作。
  - 顾问程序
    
    具有此角色的用户可以查看所有 Turbonomic 图表和数据以及运行计划。但是，用户无法使用 Place 来保留工作负载，创建策略或执行任何建议的操作。
  - 观察程序
    
    具有此角色的用户可以查看环境，包括主页和仪表板。用户还可以使用 "搜索" 来设置会话的作用域。对于作用域，仅支持 VM 组和资源组。
  - 运营观察程序
    
    具有此角色的用户可以查看环境，包括主页，仪表板，组和策略。用户还可以使用 "搜索" 来设置会话的作用域。
  - 共享顾问程序
    
    具有此角色的用户是限定作用域的用户。他们可以查看主页和仪表板，但只能查看 VM 和应用程序。用户无法执行 Turbonomic 操作。
  - 共享观察程序
    
    具有此角色的用户是限定作用域的用户。他们可以查看主页和定制仪表板，但只能查看 VM 和应用程序。用户无法查看执行仪表板或执行 Turbonomic 操作。这是受限制程度最高的用户。
  - 报告编辑员
    
    具有此角色的用户可以创建，编辑和删除报告。由于对报告许可证的限制，每个实例仅允许一个用户具有此角色 (缺省情况下，本地 管理员 用户)。要将此角色分配给另一个用户，必须首先将其从当前用户中除去。请确保新用户不是作用域限定的用户。
- 授权——范围或指定组（可选）
  
  作用域限制此组的成员可以监视的内容。例如，只能访问支持此组的 VM 或应用程序的主机。单击 定义范围 或 添加组，然后选择该组的成员可以查看哪些实体。
- 许可权
  
  每个角色的用户许可权不同。
- 完成后，保存帐户。