Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Übersicht und Optionen für die ONTAP-Clientautorisierung

Beitragende
PDFs

Die ONTAP OAuth 2.0 Implementierung ist flexibel und robust und bietet Ihnen die Funktionen, die Sie zur Sicherung Ihrer ONTAP Umgebung benötigen. Es stehen mehrere Konfigurationsoptionen zur Verfügung, die sich gegenseitig ausschließen. Die Autorisierungsentscheidungen basieren letztlich auf den ONTAP-REST-Rollen, die entweder in den OAuth 2.0-Zugriffstoken enthalten sind oder von diesen abgeleitet wurden.

Achtung Sie können nur verwenden"ONTAP REST-Rollen", wenn Sie die Autorisierung für OAuth 2.0 konfigurieren. Die früheren herkömmlichen ONTAP Rollen werden nicht unterstützt.

ONTAP wendet je nach Konfiguration die am besten geeignete Autorisierungsoption an. Weitere Informationen dazu, wie ONTAP Client-Zugriffsentscheidungen trifft, finden Sie unter"Wie ONTAP den Zugriff bestimmt".

OAuth 2.0 eigenständige Oszilloskope

Diese Bereiche enthalten eine oder mehrere benutzerdefinierte REST-Rollen, die jeweils in einer einzigen Zeichenfolge im Zugriffstoken eingekapselt sind. Sie sind unabhängig von den Rollendefinitionen von ONTAP. Sie müssen die Bereichszeichenfolgen auf Ihrem Autorisierungsserver konfigurieren. Weitere Informationen finden Sie unter "Eigenständige Oszilloskope von OAuth 2.0" .

Lokale ONTAP-REST-Rollen

Es kann eine einzelne benannte REST-Rolle verwendet werden, entweder erstellt oder benutzerdefiniert. Die scope Syntax für eine benannte Rolle ist ontap-role-<URL-encoded-ONTAP-role-name>. Wenn die Rolle ONTAP beispielsweise der scope string ist admin, wird dies der Fall sein ontap-role-admin.

Benutzer

Der Benutzername im Zugriffstoken, der mit Zugriff auf die Anwendung "http" definiert ist, kann verwendet werden. Anhand der definierten Authentifizierungsmethode wird ein Benutzer in der folgenden Reihenfolge getestet: Passwort, Domäne (Active Directory), nsswitch (LDAP).

Gruppen

Die Autorisierungsserver können so konfiguriert werden, dass sie ONTAP-Gruppen für die Autorisierung verwenden. Wenn die lokalen ONTAP-Definitionen überprüft werden, aber keine Zugriffsentscheidung getroffen werden kann, werden die Active Directory („Domain“)- oder LDAP („nsswitch“)-Gruppen verwendet. Gruppeninformationen können auf zwei Arten angegeben werden:

  • OAuth 2.0-Scope-String

    Unterstützt vertrauliche Anwendungen, die den Ablauf der Clientanmeldeinformationen verwenden, wenn kein Benutzer mit einer Gruppenmitgliedschaft vorhanden ist. Der Umfang sollte benannt werden ontap-Group-<URL-encoded-ONTAP-group-name>. Wenn die Gruppe beispielsweise „Entwicklung“ ist, lautet der Scope String „ontap-Group-Development“.

  • In der „Gruppe“-Forderung

    Dies ist für Zugriffstoken vorgesehen, die von ADFS unter Verwendung des Ablaufs Resource Owner (Password Grant) ausgegeben werden.

Weitere Informationen finden Sie unter "Arbeiten mit Gruppen" .