Conceptos
Usuarios
Las cuentas de acceso a la Consola se crean mediante invitación por parte de la cuenta principal del patrocinador (independientemente del repositorio de autenticación).
Las credenciales son globales para su Organización.
Nota: La federación de identidad se gestiona a nivel de organización
Creación de una cuenta de usuario en su organización
La creación de una cuenta de usuario en su organización se realiza mediante invitación. Para invitar a un usuario a una Organización, vaya al menú 'Administración' situado en la parte izquierda de su pantalla, en la barra verde, y luego al submenú 'Usuarios'.
Haga clic en el botón 'Nuevo Usuario' desde la página de usuarios.
A continuación, indique la dirección de correo electrónico del usuario.
El usuario recibirá entonces un correo de verificación.
Una vez finalizada la verificación, el usuario podrá iniciar sesión en la consola.
Asignación de permisos a un usuario
La gestión de los derechos de usuario se realiza desde la página de usuario.
Por defecto, un usuario no tiene ningún derecho. Es necesario que el administrador que realizó la invitación le otorgue los derechos necesarios para su actividad. Basta con hacer clic en el menú 'Acciones' del usuario y seleccionar la opción 'Editar'.
A continuación aparece el menú para activar los derechos:
La configuración de permisos debe realizarse para cada Tenant de la Organización.
La lista de permisos y sus definiciones está disponible aquí.
Reinscription of a user
When a user has been provisioned but has not validated their registration within the expiration period of the email sent by the Console, they can no longer confirm their registration. In such cases, it is possible to resend a link so that the user can renew their initial registration.
To perform a user's re-registration, go to the 'User' tab in the Administration panel, located at the bottom-left of the screen.
Select the user you wish to re-register, then click the action button at the end of the row and choose 'Re-registration'.
Warning: Make sure you are the original requester of the re-registration for your user account. Please report any requests that do not originate from you via a support ticket.
Update your profile
This action is available only for local accounts (non-SSO).
Go to your 'Profile', located in the top right corner of the screen, then select 'User Settings' and choose the 'Update your profile' action.
Next, go to your email inbox and click on the link generated by the Console. Simply follow the steps to update your profile.
Warning: Make sure you are the original requester of the profile update. Please report any requests that do not come from you via a support ticket.
Reset password
This action is only available for local accounts (non-SSO).
Go to your 'Profile', located in the top right corner of the screen, then select 'User Settings' and choose the 'Reset password' action.
Next, go to your email inbox and click on the link generated by the Console. Simply follow the steps to update your password.
Warning: Make sure you are the one who initiated the password reset request. Please report any requests that do not come from you via a support ticket.
Reset of Two-Factor Authentication
This action is only available for local accounts (non-SSO).
Go to your 'Profile', located in the top right corner of the screen, then select 'User Settings' and choose the 'Reset MFA' action.
Next, go to your email inbox and click on the link generated by the Console. Simply follow the steps to update your two-factor authentication.
Warning: Make sure you are the one initiating the request to reset your two-factor authentication. Please report any requests that do not come from you via a support ticket.
Eliminación de un usuario
La eliminación de un usuario se debe realizar en la pestaña 'Usuario' del panel de Administración, en la parte inferior izquierda de la pantalla.
Seleccione el usuario que desea eliminar, luego haga clic en el botón de acción al final de la fila y elija 'Eliminar'.
Nota: No puede eliminarse a sí mismo y no puede eliminar un usuario con el rol 'Propietario'.
Desconectarse
La desconexión de un usuario se debe realizar en su 'Perfil', en la parte superior derecha de la pantalla, y luego seleccionar 'Desconectar'.
Una desconexión automática se realiza cuando expira el token de sesión (JWT Token).
Cambiar el idioma de un usuario
El cambio de idioma de un usuario se realiza en su 'Perfil', en la parte superior derecha de la pantalla, dentro de los 'Ajustes del usuario'.
La configuración se realiza por cada inquilino Tenant.
Suscripciones a notificaciones temáticas
La gestión de suscripciones permite recibir correos electrónicos relacionados con las temáticas activadas, que se enviarán automáticamente cuando ocurran eventos correspondientes.
Está disponible en el perfil de usuario, en la pestaña "Mis suscripciones":
Por ejemplo, en caso de incidente, se generarán notificaciones por correo electrónico específicas para esta temática.
La lista de temáticas disponibles puede evolucionar y enriquecerse progresivamente para adaptarse a las necesidades y cambios en nuestro entorno operativo.
Permissions
The Console allows for fine-grained management of user rights within an organization, with segregation by tenant.
Initially, it is the primary account of the sponsor that enables the initial configuration of accounts and associated permissions.
Subsequently, the 'iam_write' permission allows an account to manage the permissions of other users.
Permisos disponibles para los usuarios de su organización
Cuando se crea un usuario, no tiene ningún permiso por defecto. Cada permiso se asigna de forma individual y funciona de manera unitaria, sin solapamiento con otros permisos. Se aplican en conjunto, lo que significa que un usuario debe poseer todos los permisos necesarios para realizar una acción específica.
Los siguientes permisos son configurables para cada usuario y para cada inquilino de su organización:
-
Permisos de tipo “read”: permiten únicamente la consulta de recursos sin posibilidad de modificación.
-
Permisos de tipo “write”: autorizan la modificación de configuraciones.
-
Permisos de tipo “management”: autorizan la gestión avanzada de recursos.
-
Permisos de tipo “console_access”: permiten conexiones tipo PMAD sobre los recursos.
-
Permisos de tipo “virtual_machine_power”: permiten la gestión del suministro eléctrico de una máquina virtual.
-
Estos son permisos, no roles. Por lo tanto, es necesario tener los permisos READ y WRITE para modificar una configuración.
Última actualización: 16/07/2025
| Nombre del permiso | Descripción del permiso |
|---|---|
| activity_read | Consulta de registros de logs y actividades |
| activity_write | Gestión de registros de logs y actividades |
| backup_iaas_opensource_read | Gestión de recursos de tipo backup - Oferta OpenIaaS - consulta |
| backup_iaas_opensource_write | Gestión de recursos de tipo backup - Oferta OpenIaaS - modificación |
| backup_iaas_spp_read | Gestión de recursos de tipo backup - Oferta Vmware - consulta |
| backup_iaas_spp_write | Gestión de recursos de tipo backup - Oferta Vmware - modificación |
| bastion_read | Consulta de recursos de tipo bastión |
| bastion_write | Gestión de recursos (appliance, sesiones, etc.) de tipo Bastion |
| bastion_console_access | Autorización de acceso a la consola (ssh/rdp) de un recurso protegido por una appliance Bastion |
| compute_iaas_opensource_console_access | Oferta OpenIaaS - Apertura de la consola de una máquina virtual |
| compute_iaas_opensource_infrastructure_read | Oferta OpenIaaS - Consulta de datos avanzados de los recursos Xen Orchestra |
| compute_iaas_opensource_infrastructure_write | Oferta OpenIaaS - Gestión avanzada de los recursos Xen Orchestra |
| compute_iaas_opensource_read | Oferta OpenIaaS - Consulta de recursos de tipo Máquinas Virtuales |
| compute_iaas_opensource_management | Oferta OpenIaaS - Gestión de recursos de tipo Máquinas Virtuales |
| compute_iaas_opensource_virtual_machine_power | Oferta OpenIaaS - Gestión del suministro eléctrico de una máquina virtual |
| compute_iaas_opensource_replication_recover | Oferta OpenIaaS - Gestión de la replicación |
| compute_iaas_vmware_console_access | Oferta Vmware - Apertura de la consola de una máquina virtual |
| compute_iaas_vmware_infrastructure_read | Oferta Vmware - Consulta de datos avanzados de los recursos VMware (reglas de afinidad/anti-afinidad, configuración DRS, etc.) |
| compute_iaas_vmware_infrastructure_write | Oferta Vmware - Gestión avanzada de recursos VMware |
| compute_iaas_vmware_read | Oferta Vmware - Consulta de recursos de tipo Máquinas Virtuales |
| compute_iaas_vmware_management | Oferta Vmware - Gestión de recursos de tipo Máquinas Virtuales (permite cifrar una máquina virtual) |
| compute_iaas_vmware_virtual_machine_power | Oferta Vmware - Gestión del suministro eléctrico de una máquina virtual |
| baremetal_management | Oferta Bare Metal - Gestión de recursos de tipo Bare Metal |
| baremetal_read | Oferta Bare Metal - Consulta de recursos de tipo Bare Metal |
| baremetal_console_access | Oferta Bare Metal - Apertura de la consola de un Bare Metal |
| console_public_access_read | Consulta de las IPs autorizadas para acceder a la consola |
| console_public_access_write | Adición de IPs autorizadas para acceder a la consola |
| documentation_read | Consulta de recursos de documentación en Confluence |
| housing_read | Consulta de recursos de tipo colocación |
| iam_offline_access | Creación y eliminación de Tokens de Acceso Personales (PAT) |
| iam_read | Consulta de permisos de usuarios |
| iam_write | Gestión de permisos de usuarios |
| intervention_read | Consulta de cambios y despliegues programados en la plataforma |
| inventory_read | Consulta de recursos de tipo Inventario |
| inventory_write | Gestión de recursos de tipo Inventario |
| monitoring_read | Consulta del monitoreo |
| monitoring_write | Gestión del monitoreo |
| metric_read | Consulta de datos de salud sobre máquinas virtuales y hosts |
| network_read | Consulta de recursos de red |
| network_write | Gestión de recursos de red |
| order_read | Consulta de órdenes de infraestructura |
| order_write | Creación de órdenes de infraestructura |
| object-storage_iam_management | Permite gestionar cuentas de almacenamiento en el producto S3 |
| object-storage_read | Permite ver los buckets y las configuraciones de los buckets |
| object-storage_write | Permite editar los buckets y las configuraciones de los buckets |
| openshift_management | Permite conectarse a las plataformas OpenShift (limitado al inquilino) |
| support_management | Consulta de todos los tickets de soporte del inquilino |
| support_read | Consulta de sus propios tickets de soporte del inquilino |
| support_write | Creación de un ticket de soporte en el inquilino |
| tag_read | Consulta de etiquetas, excepto las etiquetas RTMS |
| tag_write | Gestión de etiquetas, excepto las etiquetas RTMS |
| ticket_comment_read | Consulta de comentarios |
| ticket_comment_write | Gestión de comentarios |
| ticket_read | Consulta de tickets |
| ticket_write | Gestión de tickets |
| incident_management | Gestión de incidentes |
| incident_read | Consulta de incidentes |
Organizaciones
La organización está vinculada a su cuenta patrocinadora y al contrato Cloud Temple asociado. Representa su entidad (empresa, departamento, equipo, ...) que ostenta la relación contractual entre Cloud Temple y usted.
Principio de una organización
La organización tiene cuatro funciones principales:
- Representa la entidad contractual en lo referente al seguimiento y la facturación,
- Define la configuración global del mecanismo de autenticación: la autenticación puede ser local en el nivel de la Consola o remota a través de un servicio de federación de identidades,
- Gestiona todos los cuentas de usuarios,
- Federación de tenants (Producción, Preproducción, Desarrollo, Aplicación 1, Aplicación 2, ...) que definas para los requisitos de tu arquitectura en la nube.
Los roles (derechos/permisos) de los usuarios son configurables para cada tenant definido en tu organización. Por ejemplo, una cuenta puede estar autorizada para solicitar recursos en un tenant, pero no en otro.
Authentication mechanisms
The Console allows you to configure the authentication mechanism at the organization level. You can use the Console's built-in local authentication directory, or connect your organization to one of your external authentication directories.
The following external authentication directories are supported:
- OpenID Connect-compatible directories,
- SAML-compatible directories,
- Microsoft ADFS
- Microsoft EntraID (Microsoft Azure Active Directory)
- Amazon AWS Cognito
- Okta
- Auth0
- Keycloak
An email address is required for all accounts originating from an identity federation. Accounts created without an email address will not be able to log in and may be automatically deleted.
Inquilino
El inquilino es un agrupamiento de recursos dentro de una organización. Una Organización tiene al menos un inquilino (llamado inquilino predeterminado, que puede renombrarse). Normalmente, se utilizan varios inquilinos para segmentar responsabilidades o perímetros técnicos.
Por ejemplo:
- Un inquilino Producción
- Un inquilino Preproducción
- Un inquilino Pruebas
- Un inquilino Validación
Pero también es posible organizar las cosas desde una visión aplicativa o por criticidad:
- Un inquilino Aplicación 1 o Criticidad 1
- Un inquilino Aplicación 2 o Criticidad 2
- ...
Los recursos técnicos solicitados se asignan a un inquilino específico y no se comparten con otros inquilinos. Por ejemplo, un clúster de hipervisor y las redes L2 asociadas solo están disponibles en un solo inquilino.
En cuanto a las redes, es posible solicitar redes 'cross tenant' para garantizar la continuidad de red entre inquilinos.
Los permisos de los usuarios deben definirse en cada inquilino. Por lo tanto, cada organización debe reflexionar cuidadosamente sobre los inquilinos deseados. Este punto se aborda normalmente en un taller de inicialización, al momento de crear la organización.
Es posible evolucionar la arquitectura añadiendo o eliminando inquilinos.
Un inquilino no puede estar vacío. Debe inicializarse necesariamente con un mínimo de recursos:
- Una zona de disponibilidad (AZ, es decir, un centro de datos físico),
- Un clúster de cálculo,
- Un espacio de almacenamiento,
- Un VLAN de red.
| Referencia de comando | Unidad | SKU |
|---|---|---|
| TENANT - (REGION) - Activación de un inquilino | 1 inquilino | csp:tenant:v1 |
| TENANT - (REGION) - Activación de una zona de disponibilidad | 1 inquilino | csp:(region):iaas:az:v1 |
Management of owners on a tenant
Each tenant has at least one owner, ensuring clear accountability and efficient management of associated resources. Additionally, it is possible to designate multiple owners for a single tenant, enabling collaboration and shared decision-making. Below are important considerations to keep in mind when managing these owners.
Important information about owner management
1. Number of owners
- There is no technical limit on the number of owners that can be defined for the tenant.
- The management interface (UI) issues a warning when more than 3 owners are present, encouraging the limitation of the number of owners for security reasons and optimal access management.
2. Adding a new owner
- When adding a new owner, updating their permissions may take up to 60 minutes.
- This propagation time is normal and ensures that access rights are correctly applied across all associated services and resources.
2. Permissions de un propietario
- Un propietario recibirá todas las permisos asociados a los productos habilitados en su inquilino.
- No es posible modificar los permisos de un propietario.
3. Removal of a owner
- To remove an owner from the tenant, the user must submit a request to support.
- This procedure ensures that changes to access rights are carried out securely and in accordance with best practices for access management.
Access authorization to a tenant: Allowed IPs
Access to the cloud management console is strictly limited to previously authorized IP addresses, in compliance with the SecNumCloud certification requirements. This restriction ensures a higher level of security by allowing access only from specified IP ranges, thereby minimizing the risk of unauthorized access and protecting the cloud infrastructure according to the highest security standards.
Note: Removing an authorized IP requires a support request via the Cloud Temple console.
Uso de recursos dentro de un inquilino
Es posible visualizar los recursos de nube consumidos dentro de un inquilino, ofreciendo así una vista detallada del uso de los distintos servicios desplegados. Esta funcionalidad permite a los usuarios supervisar en tiempo real el consumo de sus recursos, identificar los servicios más utilizados y optimizar su uso según las necesidades.
En el menú de la consola, haga clic en "Informe de consumo" y luego seleccione el período de tiempo deseado. Así podrá visualizar detalladamente el consumo de recursos de nube durante el período definido, lo que le permitirá analizar el uso de los servicios y optimizar su gestión en consecuencia:
