Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

OpenID Connect für AIDE in ONTAP konfigurieren

Beitragende dmp-netapp netapp-dbagwell netapp-bhouser
Änderungen vorschlagen
PDFs

Als ONTAP-Clusteradministrator können Sie mit ONTAP System Manager die OpenID Connect (OIDC) Authentifizierung für einen AI Data Engine (AIDE) Cluster konfigurieren. Dies bietet eine sichere und zentrale Anmeldung über einen externen Identitätsanbieter (IdP).

Achtung Sie müssen OIDC konfigurieren, um auf die AIDE Console zugreifen zu können. Wenn OIDC konfiguriert ist, erfolgt die gesamte Authentifizierung über OIDC. Wenn OIDC nicht konfiguriert ist, ist die Konsole sowohl für Administratoren als auch für Data Engineers und Data Scientists nicht verfügbar. In diesem Fall wird die Anmeldung am System Manager auf die lokale Authentifizierung zurückgesetzt.

Beachten Sie außerdem Folgendes zur OIDC-Konfiguration für AIDE-Zugriff:

  • Die OIDC-Konfiguration besteht im Wesentlichen aus zwei Schritten. Zuerst müssen Sie die grundlegende OIDC-Konfiguration mit System Manager durchführen. Anschließend können Sie die Einrichtung abschließen, indem Sie die externe Rollenzuordnung mit der ONTAP CLI konfigurieren.

  • Sie können eine bestehende OIDC-Konfiguration nicht ändern. Wenn Sie eine Änderung vornehmen müssen, löschen Sie zuerst die Konfiguration und erstellen Sie eine neue mit den gewünschten Einstellungen.

  • Wenn Sie OIDC deaktivieren oder entfernen, wird System Manager auf die lokale ONTAP Benutzerauthentifizierung zurückgesetzt.

OIDC-Übersicht

OpenID Connect (OIDC) ist ein Authentifizierungsprotokoll, das auf dem OAuth 2.0-Framework basiert. Es erweitert OAuth 2.0, das primär für die Autorisierung verwendet wird, um eine Identitätsschicht. OIDC führt das Konzept eines ID-Tokens ein, eines JSON Web Tokens (JWT), das Angaben über das Authentifizierungsereignis und die Identität des Benutzers enthält.

Sie müssen einen externen Identitätsanbieter (IdP) auswählen und konfigurieren, der von AFX mit AIDE unterstützt wird. Der IdP authentifiziert Benutzer und stellt Token aus, die AFX über System Manager verwenden kann, um Zugriff auf die AIDE Console zu gewähren.

Konfigurieren Sie Identitätsanbieter von Drittanbietern

Um sich mit OIDC zu authentifizieren, müssen Sie zunächst einen externen IdP konfigurieren. Die ONTAP-Implementierung von OIDC verwendet Rollenansprüche in den Token, um RBAC durchzusetzen. Stellen Sie bei der Einrichtung eines IdP sicher, dass dieser so konfiguriert ist, dass er Rollenansprüche im id token und access token zurückgibt. ONTAP unterstützt zwei IdPs für OIDC-Authentifizierung: Entra ID und Active Directory Federation Services (AD FS).

Entra ID

Sie können Entra ID mit den folgenden Schritten auf hoher Ebene konfigurieren:

  1. Erstellen Sie eine neue App Registration auf der Entra ID-Konfigurationsseite.

  2. Setzen Sie den Wert für Redirect URI (Web) auf https://$CLUSTER_MGMT_IP/oidc/callback, wobei Sie die entsprechende Cluster-Management-IP-Adresse oder den FQDN einsetzen.

  3. Erstellen Sie die erforderlichen Rollen unter App Roles und weisen Sie diese Ihren Benutzern zu.

  4. Aktualisieren Sie die Token-Ansprüche unter Token Configuration, um Rollen in id-token und access-token zurückzugeben.

Siehe "Richten Sie einen OpenID Connect-Anbieter mit Entra ID ein" für weitere Informationen.

Active Directory Federation Services

Sie können AD FS mit den folgenden Schritten auf hoher Ebene konfigurieren:

  1. Erstellen Sie eine neue Anwendungsgruppe und wählen Sie Server application accessing a web API aus.

  2. Setzen Sie den Wert für Redirect URI (Web) auf https://$CLUSTER_MGMT_IP/oidc/callback, wobei Sie die entsprechende Cluster-Management-IP-Adresse oder den FQDN einsetzen.

  3. Konfigurieren Sie Claims so, dass Rollen in Tokens zurückgegeben werden.

Siehe "AD FS als OpenID Connect-Identitätsanbieter hinzufügen" für weitere Informationen.

OIDC in System Manager konfigurieren

Nach der Konfiguration Ihres IdP können Sie die OIDC-Authentifizierung im System Manager einrichten, um einen sicheren Zugriff auf die AIDE Console zu ermöglichen.

Tipp Sie können die Metadata URI angeben, um die OIDC-Konfigurationsfelder im System Manager automatisch auszufüllen. Prüfen Sie die Dokumentation Ihres IdP, um das genaue URI-Format zu erhalten.
Bevor Sie beginnen

  • Sie benötigen Administratorzugriff auf System Manager.

  • Ihr OIDC-Identitätsanbieter muss konfiguriert und erreichbar sein.

Schritte

  1. Im System Manager wählen Sie Cluster und dann Einstellungen aus; suchen Sie die OpenID Connect card.

  2. Wenn OIDC bereits konfiguriert ist, können Sie die Konfiguration bearbeiten oder deaktivieren. Wenn OIDC nicht konfiguriert ist, wählen Sie Zahnradsymbol aus, um den Einrichtungsprozess zu starten.

  3. Geben Sie unter „OpenID Connect konfigurieren“ Werte für die folgenden Felder an:

    • Anbieter

    • Emittent

    • JSON Web Key Set URI

    • Autorisierungsendpunkt

    • Token-Endpunkt

    • Endpunkt zum Beenden der Sitzung

    • Access Token Issuer (optional)

  4. Geben Sie unter Client configuration Werte für die folgenden Felder an:

    • Client-ID

    • Remote-Benutzeranspruch

    • Aktualisierungsintervall

  5. Geben Sie unter Connection details Werte für die folgenden Felder an:

    • Cluster-IP-Adresse oder FQDN

    • Ausgehender Proxy (optional)

  6. Unter „Externe Rollenzuordnung“ wählen Sie eine vorhandene Rollenzuordnung aus oder definieren eine neue Rolle für den ONTAP admin Benutzer.

  7. Wählen Sie Jetzt aktivieren und dann Speichern. System Manager wird aktualisiert, um die neuen Authentifizierungseinstellungen anzuwenden.

  8. Melden Sie sich mit Ihren IdP-Zugangsdaten an; nach erfolgreicher Authentifizierung werden Sie zum System Manager zurückgeleitet.

Nachdem Sie fertig sind

Vervollständigen Sie die OIDC-Einrichtung, indem Sie die externe Rollenzuordnung konfigurieren.

Konfigurieren Sie die externe Rollenzuordnung mithilfe der CLI

Die externe Rollenzuordnung ist eine ONTAP Funktion, mit der Sie die Rollen externer IdP den entsprechenden ONTAP-Rollen zuordnen können. Sie müssen diese Zuordnung konfigurieren, um sicherzustellen, dass Benutzern, die sich über OIDC authentifizieren, die entsprechenden RBAC-Berechtigungen in ONTAP gewährt werden.

Über diese Aufgabe

Diese Aufgabe ordnet den Data Engineer und den Data Scientist den entsprechenden ONTAP Rollen zu. Sie müssen die Befehlsbeispiele mit den entsprechenden Rollennamen basierend auf Ihrer Umgebung aktualisieren. Beachten Sie, dass Sie die Rolle des Storage Administrators bereits der ONTAP admin Rolle während der grundlegenden OIDC-Konfiguration im System Manager zugeordnet haben sollten.

Schritte

  1. Melden Sie sich über SSH mit einem Konto mit Administratorrechten an der ONTAP CLI an.

  2. Konfigurieren Sie die Rollenzuordnung für die Rolle des Data Engineer; zum Beispiel:

    security login external-role-mapping create -external-role dataEngineer -provider entra -ontap-role data-engineer

  3. Konfigurieren Sie die Rollenzuordnung für die Rolle des Data Scientist; zum Beispiel:

    security login external-role-mapping create -external-role dataScientist -provider entra -ontap-role data-scientist

Verwandte Informationen