Concetti
Utenti
I conti di accesso alla Console vengono creati dal conto principale del committente su invito (indipendentemente dal repository di autenticazione utilizzato).
Le credenziali sono globali per la tua Organizzazione.
Nota: La federazione di identità viene gestita a livello di organizzazione
Creazione di un account utente nella tua organizzazione
La creazione di un account utente nella tua organizzazione avviene tramite invito. Per invitare un utente a un'Organizzazione, vai nel menu 'Amministrazione' a sinistra dello schermo, nella barra verde, quindi nel sottomenu 'Utenti'.
Fai clic sul pulsante 'Nuovo Utente' dalla pagina degli utenti.
Indica quindi l'indirizzo email dell'utente.
L'utente riceverà quindi un'email di verifica.
Una volta completata la verifica, l'utente potrà accedere alla console.
Assegnazione dei permessi a un utente
La gestione dei diritti utente avviene dalla pagina utente.
Per impostazione predefinita, un utente non ha diritti. È quindi necessario che l'amministratore che ha inviato l'invito gli assegni i diritti necessari per la sua attività. Basta fare clic sul menu 'Azioni' dell'utente e scegliere l'opzione 'Modifica'.
Viene quindi visualizzato il menu per l'attivazione dei diritti:
La configurazione dei permessi deve essere effettuata per ogni Tenant dell'Organizzazione.
L'elenco dei permessi e la loro definizione è disponibile qui.
Re-registration of a user
When a user has been provisioned but has not validated their registration within the expiration period of the email sent by the Console, they can no longer confirm their registration. It is then possible to resend a link so that they can renew their initial registration.
To re-register a user, go to the 'User' tab in the Administration panel, located at the bottom-left of the screen.
Select the user you wish to re-register, then click the action button at the end of the row and choose 'Re-registration'.
Warning: Make sure you are the one initiating the re-registration request for your user account. Please report any requests that do not originate from you via a support ticket.
Aggiornare il proprio profilo
Questa azione è disponibile solo per account locali (non SSO).
Seleziona 'Profilo' in alto a destra dello schermo, quindi 'Impostazioni utente' e seleziona l'azione 'Aggiorna il tuo profilo'.
Successivamente, recati nella tua casella di posta e clicca sul link generato dalla Console. Segui semplicemente i passaggi per aggiornare il tuo profilo.
Attenzione: Assicurati di essere tu stesso l'originatore della richiesta di aggiornamento del profilo. Ti preghiamo di segnalare qualsiasi richiesta non proveniente da te tramite un ticket di supporto.
Reset password
This action is available only for local accounts (non-SSO).
Go to your 'Profile', located in the top right corner of the screen, then select 'User Settings' and choose the 'Reset password' action.
Next, go to your email inbox and click on the link generated by the Console. Simply follow the steps to update your password.
Warning: Make sure you are the one who initiated the password reset request. Please report any requests that do not come from you via a support ticket.
Reset of Two-Factor Authentication
This action is available only for local accounts (non-SSO).
Go to your 'Profile', located in the top right corner of the screen, then select 'User Settings' and choose the 'Reset MFA' action.
Next, go to your email inbox and click on the link generated by the Console. Simply follow the steps to update your two-factor authentication.
Warning: Make sure you are the one initiating the request to reset your two-factor authentication. Please report any requests that do not originate from you via a support ticket.
Eliminazione di un utente
L'eliminazione di un utente deve essere effettuata nell'area 'Utente' del pannello Amministrazione, in basso a sinistra dello schermo.
Seleziona l'utente che desideri eliminare, quindi fai clic sul pulsante di azione in fondo alla riga e seleziona 'Elimina'.
Nota: Non puoi eliminare te stesso e non puoi eliminare un utente 'Proprietario'.
Disconnettersi
La disconnessione di un utente deve essere effettuata nel suo 'Profilo', in alto a destra dello schermo, quindi 'Disconnetti'.
Una disconnessione automatica avviene al termine della scadenza del token di sessione (JWT Token).
Cambiare la lingua di un utente
La modifica della lingua di un utente deve essere effettuata nel suo 'Profilo', in alto a destra dello schermo, nelle 'Impostazioni utente'.
La configurazione viene effettuata per ogni tenant Tenant.
Iscrizione alle notifiche tematiche
La gestione degli abbonamenti consente di ricevere email relative alle tematiche attivate, che vengono inviate automaticamente in caso di verificarsi di eventi corrispondenti.
È accessibile dal profilo utente, nella scheda "I miei abbonamenti":
Ad esempio, in caso di incidente, verranno generate notifiche via email specifiche per questa tematica.
L'elenco delle tematiche disponibili può evolversi e arricchirsi progressivamente per adattarsi alle esigenze e ai cambiamenti nel nostro ambiente operativo.
Permissions
The Console allows for fine-grained management of user rights within an organization, with segregation by tenant.
Initially, it is the primary account of the sponsor that enables the initial configuration of accounts and associated permissions.
Subsequently, the 'iam_write' permission allows an account to manage the permissions of other users.
Permessi disponibili per gli utenti della tua organizzazione
Quando un utente viene creato, non dispone di alcuna autorizzazione predefinita. Ogni permesso viene assegnato individualmente e funziona in modo autonomo, senza sovrapposizioni con altri permessi. Essi si applicano in combinazione, il che significa che un utente deve disporre di tutti i permessi necessari per eseguire un'azione specifica.
I seguenti permessi sono configurabili per ogni utente e per ogni tenant della tua organizzazione:
-
Permessi di tipo “read”: consentono unicamente la consultazione delle risorse, senza possibilità di modifica.
-
Permessi di tipo “write”: autorizzano la modifica delle configurazioni.
-
Permessi di tipo “management”: autorizzano la gestione avanzata delle risorse.
-
Permessi di tipo “console_access”: autorizzano le connessioni di tipo PMAD sulle risorse.
-
Permessi di tipo “virtual_machine_power”: autorizzano la gestione dell'alimentazione di una macchina virtuale.
-
Questi sono permessi, non ruoli. Di conseguenza, è necessario disporre sia del permesso READ che WRITE per modificare una configurazione.
Ultimo aggiornamento: 16/07/2025
| Nome del permesso | Descrizione del permesso |
|---|---|
| activity_read | Consultazione dei log e delle attività |
| activity_write | Gestione dei log e delle attività |
| backup_iaas_opensource_read | Gestione delle risorse di tipo backup - Offerta OpenIaaS - consultazione |
| backup_iaas_opensource_write | Gestione delle risorse di tipo backup - Offerta OpenIaaS - modifica |
| backup_iaas_spp_read | Gestione delle risorse di tipo backup - Offerta Vmware - consultazione |
| backup_iaas_spp_write | Gestione delle risorse di tipo backup - Offerta Vmware - modifica |
| bastion_read | Consultazione delle risorse di tipo bastion |
| bastion_write | Gestione delle risorse (appliance, sessioni, ecc.) di tipo Bastion |
| bastion_console_access | Autorizzazione all'accesso alla console (ssh/rdp) di una risorsa protetta da un'appliance Bastion |
| compute_iaas_opensource_console_access | Offerta OpenIaaS - Apertura della console di una macchina virtuale |
| compute_iaas_opensource_infrastructure_read | Offerta OpenIaaS - Consultazione di dati avanzati sulle risorse Xen Orchestra |
| compute_iaas_opensource_infrastructure_write | Offerta OpenIaaS - Gestione avanzata delle risorse Xen Orchestra |
| compute_iaas_opensource_read | Offerta OpenIaaS - Consultazione delle risorse di tipo Macchine Virtuali |
| compute_iaas_opensource_management | Offerta OpenIaaS - Gestione delle risorse di tipo Macchine Virtuali |
| compute_iaas_opensource_virtual_machine_power | Offerta OpenIaaS - Gestione dell'alimentazione di una macchina virtuale |
| compute_iaas_opensource_replication_recover | Offerta OpenIaaS - Gestione della replica |
| compute_iaas_vmware_console_access | Offerta Vmware - Apertura della console di una macchina virtuale |
| compute_iaas_vmware_infrastructure_read | Offerta Vmware - Consultazione di dati avanzati sulle risorse VMware (regole affinità/anti-affinità, configurazione DRS, ecc.) |
| compute_iaas_vmware_infrastructure_write | Offerta Vmware - Gestione avanzata delle risorse VMware |
| compute_iaas_vmware_read | Offerta Vmware - Consultazione delle risorse di tipo Macchine Virtuali |
| compute_iaas_vmware_management | Offerta Vmware - Gestione delle risorse di tipo Macchine Virtuali (consente il cifratura di una macchina virtuale) |
| compute_iaas_vmware_virtual_machine_power | Offerta Vmware - Gestione dell'alimentazione di una macchina virtuale |
| baremetal_management | Offerta Bare Metal - Gestione delle risorse di tipo Bare Metal |
| baremetal_read | Offerta Bare Metal - Consultazione delle risorse di tipo Bare Metal |
| baremetal_console_access | Offerta Bare Metal - Apertura della console di un Bare Metal |
| console_public_access_read | Consultazione degli indirizzi IP autorizzati ad accedere alla console |
| console_public_access_write | Aggiunta di indirizzi IP autorizzati ad accedere alla console |
| documentation_read | Consultazione delle risorse di documentazione su Confluence |
| housing_read | Consultazione delle risorse di tipo colocation |
| iam_offline_access | Creazione e cancellazione di Access Token Personali (PAT) |
| iam_read | Consultazione dei diritti utente |
| iam_write | Gestione dei diritti utente |
| intervention_read | Consultazione dei cambiamenti e delle implementazioni pianificate sulla piattaforma |
| inventory_read | Consultazione delle risorse di tipo Inventario |
| inventory_write | Gestione delle risorse di tipo Inventario |
| monitoring_read | Consultazione del monitoraggio |
| monitoring_write | Gestione del monitoraggio |
| metric_read | Consultazione dei dati di salute sulle macchine virtuali e host |
| network_read | Consultazione delle risorse di rete |
| network_write | Gestione delle risorse di rete |
| order_read | Consultazione degli ordini infrastrutturali |
| order_write | Creazione di un ordine infrastrutturale |
| object-storage_iam_management | Permette di gestire i conti di archiviazione sul prodotto S3 |
| object-storage_read | Permette di visualizzare i bucket e le configurazioni dei bucket |
| object-storage_write | Permette di modificare i bucket e le configurazioni dei bucket |
| openshift_management | Permette di connettersi alle piattaforme OpenShift (limitato al tenant) |
| support_management | Consultazione di tutti i ticket support del tenant |
| support_read | Consultazione dei propri ticket support del tenant |
| support_write | Creazione di un ticket support sul tenant |
| tag_read | Consultazione dei tag, esclusi i tag RTMS |
| tag_write | Gestione dei tag, esclusi i tag RTMS |
| ticket_comment_read | Consultazione dei commenti |
| ticket_comment_write | Gestione dei commenti |
| ticket_read | Consultazione dei ticket |
| ticket_write | Gestione dei ticket |
| incident_management | Gestione degli incidenti |
| incident_read | Consultazione degli incidenti |
Organizzazioni
L'organizzazione è associata al tuo conto sponsorizzatore e al contratto Cloud Temple associato. Rappresenta la tua entità (azienda, dipartimento, team, ...) che detiene il rapporto contrattuale tra Cloud Temple e te.
Principio di un'organizzazione
L'organizzazione ha quattro ruoli principali:
- Rappresenta l'entità contrattuale per quanto riguarda i aspetti di tracciamento e fatturazione,
- Definisce la configurazione globale del meccanismo di autenticazione: l'autenticazione può essere locale a livello di Console oppure remota tramite un servizio di federazione dell'identità,
- Gestisce l'insieme di tutti gli account utente,
- Federizza i tenant (Produzione, Preproduzione, Sviluppo, Applicazione 1, Applicazione 2, ...) che definisci per i tuoi requisiti architetturali Cloud.
I ruoli (diritti/permessi) degli utenti sono configurabili per ciascun tenant definito nella tua organizzazione. Ad esempio, un account può essere autorizzato a richiedere risorse in un tenant, ma non in un altro.
Authentication mechanisms
The Console allows you to configure the authentication mechanism at the organization level. You can use the Console's built-in local authentication directory, or connect your organization to one of your external authentication directories.
The following external authentication directories are supported:
- OpenID Connect-compatible directories,
- SAML-compatible directories,
- Microsoft ADFS
- Microsoft EntraID (Microsoft Azure Active Directory)
- Amazon AWS Cognito
- Okta
- Auth0
- Keycloak
An email address is required for all accounts originating from an identity federation. Accounts created without an email address will not be able to log in and may be automatically deleted.
Tenant
Il tenant è un raggruppamento di risorse all'interno di un'organizzazione. Un'Organizzazione ha almeno un tenant (chiamato tenant predefinito, che può essere rinominato). Di solito, vengono utilizzati più tenant per suddividere responsabilità o ambiti tecnici.
Ad esempio:
- Un tenant Produzione
- Un tenant Preproduzione
- Un tenant Test
- Un tenant Qualifica
È tuttavia possibile organizzare le cose in base a una visione applicativa o in base alla criticità:
- Un tenant Applicazione 1 o Criticità 1
- Un tenant Applicazione 2 o Criticità 2
- ...
Le risorse tecniche richieste sono assegnate a un tenant specifico e non sono condivise con gli altri tenant. Ad esempio, un cluster di hypervisor e i relativi reti L2 sono disponibili solo in un tenant.
Per quanto riguarda le reti, è possibile richiedere reti 'cross tenant' per garantire la continuità di rete tra i tenant.
Le autorizzazioni degli utenti devono essere definite in ciascun tenant. Pertanto, ogni organizzazione deve riflettere attentamente sui tenant desiderati. Questo aspetto viene generalmente affrontato durante il workshop di avvio, al momento della creazione dell'organizzazione.
È possibile evolvere l'architettura aggiungendo o rimuovendo tenant.
Un tenant non può essere vuoto. Deve essere necessariamente inizializzato con un insieme minimo di risorse:
- Una zona di disponibilità (AZ, ovvero un datacenter fisico),
- Un cluster di calcolo,
- Uno spazio di archiviazione,
- Un VLAN di rete.
| Riferimento al comando | Unità | SKU |
|---|---|---|
| TENANT - (REGIONE) - Attivazione di un tenant | 1 tenant | csp:tenant:v1 |
| TENANT - (REGIONE) - Attivazione di una zona di disponibilità | 1 tenant | csp:(regione):iaas:az:v1 |
Management dei proprietari su un tenant
Ogni tenant ha almeno un proprietario, garantendo così una responsabilità chiara e una gestione efficace delle risorse associate. Inoltre, è possibile dichiarare più proprietari per uno stesso tenant, consentendo una collaborazione e una decisione condivisa. Di seguito sono riportate informazioni importanti da considerare durante la gestione di tali proprietari.
Important information about owner management
1. Number of owners
- There is no technical limit on the number of owners that can be defined for the tenant.
- The management interface (UI) issues a warning when there are more than 3 owners, to encourage limiting the number of owners for security reasons and optimal access management.
2. Aggiunta di un nuovo proprietario
- Durante l'aggiunta di un nuovo proprietario, l'aggiornamento dei suoi permessi potrebbe richiedere un tempo di attesa fino a 60 minuti.
- Questo intervallo di propagazione è normale e garantisce che i diritti di accesso vengano correttamente applicati a tutti i servizi e le risorse associati.
2. Permissions di un proprietario
- Un proprietario riceverà tutte le autorizzazioni correlate ai prodotti abilitati nel suo tenant.
- Non è possibile modificare le autorizzazioni di un proprietario.
3. Rimozione di un proprietario
- Per rimuovere un proprietario dal tenant, l'utente deve inviare una richiesta al supporto.
- Questa procedura garantisce che le modifiche ai diritti di accesso vengano effettuate in modo sicuro e conforme alle migliori pratiche di gestione degli accessi.
Access authorization to a tenant: Allowed IPs
Access to the cloud management console is strictly limited to previously authorized IP addresses, in compliance with the SecNumCloud certification requirements. This restriction ensures a heightened level of security by allowing access only from specified IP ranges, thereby minimizing the risk of unauthorized access and protecting the cloud infrastructure according to the highest security standards.
Note: The removal of an authorized IP address must be requested via support directly from the Cloud Temple console.
Utilizzo delle risorse all'interno di un tenant
È possibile visualizzare le risorse cloud utilizzate all'interno di un tenant, offrendo così una visione dettagliata dell'utilizzo dei diversi servizi distribuiti. Questa funzionalità consente agli utenti di monitorare in tempo reale il consumo delle proprie risorse, di identificare i servizi più utilizzati e di ottimizzare l'utilizzo in base alle esigenze.
Nel menu della console, fare clic su "Report di consumo" e selezionare il periodo di tempo desiderato. Potrai quindi visualizzare in dettaglio il consumo delle risorse cloud nel periodo specificato, consentendoti di analizzare l'utilizzo dei servizi e ottimizzare la gestione di conseguenza:
