Optionen für die ONTAP-Clientautorisierung
-
PDF dieser Dokumentationssite
- ONTAP einrichten, aktualisieren und zurücksetzen
- Cluster-Administration
-
Volume-Administration
-
Logisches Storage-Management mit der CLI
- Verwenden Sie Quoten, um die Ressourcennutzung zu beschränken oder zu verfolgen
-
Logisches Storage-Management mit der CLI
-
NAS-Storage-Management
- Konfigurieren Sie NFS mit der CLI
- Verwalten Sie NFS mit der CLI
-
SMB lässt sich mit der CLI managen
- Verwalten Sie SMB-Server
- Verwalten Sie den Dateizugriff mit SMB
- SAN-Storage-Management
- Authentifizierung und Zugriffssteuerung
- Sicherheit und Datenverschlüsselung
-
Datensicherung und Disaster Recovery
- Managen Sie die SnapMirror Volume-Replizierung
Sammlung separater PDF-Dokumente
Creating your file...
Für die Anpassung Ihrer ONTAP-Clientautorisierung stehen verschiedene Optionen zur Verfügung. Die Autorisierungsentscheidungen basieren letztlich auf den ONTAP-REST-Rollen, die entweder in den Zugriffstoken enthalten sind oder von diesen abgeleitet wurden.
Sie können nur verwenden "ONTAP REST-Rollen" Bei der Konfiguration der Autorisierung für OAuth 2.0. Die früheren herkömmlichen ONTAP Rollen werden nicht unterstützt. |
Einführung
Die OAuth 2.0 Implementierung in ONTAP ist flexibel und robust und bietet Ihnen die Optionen, die Sie für die Sicherung der ONTAP Umgebung benötigen. Im Wesentlichen gibt es drei Hauptkonfigurationskategorien zur Definition der ONTAP-Clientautorisierung. Diese Konfigurationsoptionen schließen sich gegenseitig aus.
ONTAP wendet je nach Konfiguration die am besten geeignete Option an. Siehe "Wie ONTAP den Zugriff bestimmt" Finden Sie heraus, wie ONTAP Ihre Konfigurationsdefinitionen für Zugriffsentscheidungen verarbeitet.
Diese Bereiche enthalten eine oder mehrere benutzerdefinierte REST-Rollen, die jeweils in einer einzigen Zeichenfolge gekapselt sind. Sie sind unabhängig von den Rollendefinitionen von ONTAP. Sie müssen diese Bereichszeichenfolgen auf Ihrem Autorisierungsserver definieren.
Je nach Konfiguration können die lokalen ONTAP-Identitätsdefinitionen für Zugriffsentscheidungen verwendet werden. Folgende Optionen stehen zur Verfügung:
-
Einzelne benannte REST-Rolle
-
Übereinstimmung des Benutzernamens mit einem lokalen ONTAP-Benutzer
Die scope Syntax für eine benannte Rolle ist ontap-role-<URL-encoded-ONTAP-role-name>. Wenn die Rolle beispielsweise „admin“ lautet, lautet der Scope-String „ontap-role-admin“.
Wenn die lokalen ONTAP-Definitionen überprüft werden, aber keine Zugriffsentscheidung getroffen werden kann, werden die Active Directory („Domain“)- oder LDAP („nsswitch“)-Gruppen verwendet. Gruppeninformationen können auf zwei Arten angegeben werden:
-
OAuth 2.0-Scope-String
Unterstützt vertrauliche Anwendungen, die den Ablauf der Clientanmeldeinformationen verwenden, wenn kein Benutzer mit einer Gruppenmitgliedschaft vorhanden ist. Der Umfang sollte benannt werden ontap-Group-<URL-encoded-ONTAP-group-name>. Wenn die Gruppe beispielsweise „Entwicklung“ ist, lautet der Scope String „ontap-Group-Development“.
-
In der „Gruppe“-Forderung
Dies ist für Zugriffstoken vorgesehen, die von ADFS unter Verwendung des Ablaufs Resource Owner (Password Grant) ausgegeben werden.
Eigenständige Oszilloskope von OAuth 2.0
In sich geschlossene Bereiche sind Strings, die im Zugriffstoken enthalten sind. Jede dieser Rollen ist vollständig definiert und beinhaltet alles, was ONTAP für eine Zugriffsentscheidung benötigt. Der Umfang unterscheidet sich von jeder der REST-Rollen, die in ONTAP selbst definiert sind.
Format der Bereichszeichenfolge
Auf einer Basisebene wird der Umfang als zusammenhängende Zeichenfolge dargestellt und besteht aus sechs durch Doppelpunkte getrennten Werten. Die im Scope String verwendeten Parameter werden im Folgenden beschrieben.
ONTAP-Literal
Der Bereich muss mit dem Literalwert beginnen ontap
In Kleinbuchstaben. Der ONTAP-spezifische Umfang wird angegeben.
Cluster
Dies definiert, auf welchen ONTAP Cluster sich der Umfang bezieht. Die Werte können Folgendes umfassen:
-
Cluster-UUID
Identifiziert ein einzelnes Cluster.
-
Sternchen (*)
Gibt an, dass der Umfang auf alle Cluster angewendet wird.
Sie können den ONTAP-CLI-Befehl verwenden cluster identity show
Um die UUID des Clusters anzuzeigen. Falls nicht angegeben, gilt der Umfang für alle Cluster.
Rolle
Der Name der im eigenständigen Bereich enthaltenen REST-Rolle. Dieser Wert wird von ONTAP nicht untersucht oder auf vorhandene REST-Rollen abgestimmt, die für ONTAP definiert sind. Der Name wird für die Protokollierung verwendet.
Zugangsstufe
Dieser Wert gibt die Zugriffsebene an, die auf die Clientanwendung angewendet wird, wenn der API-Endpunkt im Umfang verwendet wird. Es gibt sechs mögliche Werte, wie in der Tabelle unten beschrieben.
Zugangsstufe | Beschreibung |
---|---|
Keine |
Verweigert allen Zugriff auf den angegebenen Endpunkt. |
readonly |
Nur Lesezugriff mit GET ist möglich. |
Read_create |
Ermöglicht den Lesezugriff sowie die Erstellung neuer Ressourceninstanzen über POST. |
Lesen_ändern |
Ermöglicht den Lesezugriff sowie die Möglichkeit, vorhandene Ressourcen mithilfe von PATCHES zu aktualisieren. |
Lesen_create_modify |
Ermöglicht alle Zugriffe außer Löschen. Zu den zulässigen Operationen gehören GET (read), POST (create) und PATCH (Update). |
Alle |
Ermöglicht vollständigen Zugriff. |
SVM
Der Name der SVM innerhalb des Clusters, für den der Umfang gilt. Verwenden Sie den *-Wert (Sternchen), um alle SVMs anzuzeigen.
Diese Funktion wird von ONTAP 9.14.1 nicht vollständig unterstützt. Sie können den SVM-Parameter ignorieren und ein Sternchen als Platzhalter verwenden. Überprüfen Sie die "Versionshinweise zu ONTAP" Um auf zukünftige SVM-Unterstützung zu prüfen. |
REST-API-URI
Der vollständige oder teilweise Pfad zu einer Ressource oder einem Satz zugehöriger Ressourcen. Der String muss mit beginnen /api
. Wenn Sie keinen Wert angeben, gilt der Umfang für alle API-Endpunkte im ONTAP-Cluster.
Beispiele für den Umfang
Im Folgenden werden einige Beispiele für eigenständige Oszilloskope vorgestellt.
- ontap:*:joes-role:read_create_modify:*:/API/Cluster
-
Bietet dem Benutzer, dem diese Rolle zugewiesen ist, den Zugriff auf das zu lesen, zu erstellen und zu ändern
/cluster
endpunkt:
CLI-Verwaltungstool
Um die Administration der eigenständigen Bereiche einfacher und weniger fehleranfällig zu machen, bietet ONTAP den CLI-Befehl security oauth2 scope
So generieren Sie auf der Grundlage Ihrer Eingabeparameter Oszilloskop-Strings.
Der Befehl security oauth2 scope
Basierend auf Ihren Angaben gibt es zwei Anwendungsfälle:
-
CLI-Parameter für den Umfang einer Zeichenfolge
Mit dieser Version des Befehls können Sie auf Grundlage der Eingabeparameter eine Bereichszeichenfolge generieren.
-
Scope-String zu CLI-Parametern
Sie können diese Version des Befehls verwenden, um die Befehlsparameter basierend auf der Zeichenfolge für den Eingabebereich zu generieren.
Im folgenden Beispiel wird eine Scope-String mit der Ausgabe generiert, die nach dem unten stehenden Befehlsbeispiel enthalten ist. Die Definition gilt für alle Cluster.
security oauth2 scope cli-to-scope -role joes-role -access readonly -api /api/cluster
ontap:*:joes-role:readonly:*:/api/cluster
Wie ONTAP den Zugriff bestimmt
Um OAuth 2.0 richtig zu entwickeln und zu implementieren, müssen Sie verstehen, wie Ihre Autorisierungskonfiguration von ONTAP verwendet wird, um Zugriffsentscheidungen für die Clients zu treffen.
Wenn das Zugriffstoken eigenständige Bereiche enthält, untersucht ONTAP diese Bereiche zuerst. Wenn keine eigenständigen Bereiche vorhanden sind, mit Schritt 2 fortfahren.
Wenn ein oder mehrere eigenständige Bereiche vorhanden sind, wendet ONTAP jeden Bereich an, bis eine explizite ALLOW- oder DENY-Entscheidung getroffen werden kann. Wenn eine explizite Entscheidung getroffen wird, endet die Verarbeitung.
Wenn ONTAP keine explizite Zugriffsentscheidung treffen kann, fahren Sie mit Schritt 2 fort.
ONTAP überprüft den Wert des Flags use-local-roles-if-present
. Der Wert dieses Flags wird für jeden Autorisierungsserver, der für ONTAP definiert ist, separat festgelegt.
-
Wenn der Wert ist
true
Fahren Sie mit Schritt 3 fort. -
Wenn der Wert ist
false
Die Verarbeitung endet und der Zugriff wird verweigert.
Wenn das Zugriffstoken eine benannte REST-Rolle enthält, verwendet ONTAP die Rolle, um die Zugriffsentscheidung zu treffen. Dies führt immer zu einer ALLOW oder DENY Entscheidung und Verarbeitungsende.
Wenn keine benannte REST-Rolle vorhanden ist oder die Rolle nicht gefunden wurde, fahren Sie mit Schritt 4 fort.
Extrahieren Sie den Benutzernamen aus dem Zugriffstoken und versuchen Sie, ihn einem lokalen ONTAP-Benutzer zuzuordnen.
Wenn ein lokaler ONTAP-Benutzer abgeglichen wird, verwendet ONTAP die für den Benutzer definierte Rolle, um eine Zugriffsentscheidung zu treffen. Dies führt immer zu einer ALLOW oder DENY Entscheidung und Verarbeitungsende.
Wenn ein lokaler ONTAP-Benutzer nicht stimmt oder kein Benutzername im Zugriffstoken vorhanden ist, fahren Sie mit Schritt 5 fort.
Extrahieren Sie die Gruppe aus dem Zugriffstoken, und versuchen Sie, sie einer Gruppe zuzuordnen. Die Gruppen werden über Active Directory oder einen gleichwertigen LDAP-Server definiert.
Wenn eine Gruppenübereinstimme vorhanden ist, verwendet ONTAP die für die Gruppe definierte Rolle, um eine Zugriffsentscheidung zu treffen. Dies führt immer zu einer ALLOW oder DENY Entscheidung und Verarbeitungsende.
Wenn keine Gruppenübereinstimme vorhanden ist oder keine Gruppe im Zugriffstoken vorhanden ist, wird der Zugriff verweigert und die Verarbeitung wird beendet.