OAuth 2.0-Bereitstellungsszenarien
-
PDF dieser Dokumentationssite
- Cluster-Administration
-
Volume-Administration
-
Logisches Storage-Management mit der CLI
- Verwenden Sie Quoten, um die Ressourcennutzung zu beschränken oder zu verfolgen
-
Logisches Storage-Management mit der CLI
-
NAS-Storage-Management
- Konfigurieren Sie NFS mit der CLI
- Verwalten Sie NFS mit der CLI
-
SMB lässt sich mit der CLI managen
- Verwalten Sie SMB-Server
- Verwalten Sie den Dateizugriff mit SMB
- SAN-Storage-Management
- Authentifizierung und Zugriffssteuerung
- Sicherheit und Datenverschlüsselung
-
Datensicherung und Disaster Recovery
- Managen Sie die SnapMirror Volume-Replizierung
Sammlung separater PDF-Dokumente
Creating your file...
Beim Definieren eines Autorisierungsservers für ONTAP stehen verschiedene Konfigurationsoptionen zur Verfügung. Basierend auf diesen Optionen können Sie einen Autorisierungsserver erstellen, der für Ihre Bereitstellungsumgebung geeignet ist.
Zusammenfassung der Konfigurationsparameter
Beim Definieren eines Autorisierungsservers für ONTAP stehen mehrere Konfigurationsparameter zur Verfügung. Diese Parameter werden in der Regel in allen administrativen Schnittstellen unterstützt.
Die Parameternamen können je nach ONTAP-Administratorschnittstelle leicht variieren. Bei der Konfiguration der Remote-Introspektion wird der Endpunkt beispielsweise mit dem CLI-Befehlsparameter identifiziert -introspection-endpoint
. Aber mit dem System Manager ist das äquivalente Feld Authorization Server Token Introspection URI. Um alle ONTAP-Verwaltungsschnittstellen aufzunehmen, wird eine allgemeine Beschreibung der Parameter bereitgestellt. Der genaue Parameter oder das Feld sollte je nach Kontext offensichtlich sein.
Parameter | Beschreibung |
---|---|
Name |
Der Name des Autorisierungsservers, der ONTAP bekannt ist. |
Applikation |
Die ONTAP-interne Anwendung, für die die Definition gilt. Dies muss http sein. |
Aussteller-URI |
Der FQDN mit Pfad, der den Standort oder die Organisation identifiziert, der die Token ausgibt. |
Provider-JWKS-URI |
Der FQDN mit Pfad und Dateiname, bei dem ONTAP die JSON-Webschlüsselsätze erhält, die zur Validierung der Zugriffstoken verwendet werden. |
JWKS-Aktualisierungsintervall |
Das Zeitintervall, in dem festgelegt wird, wie oft ONTAP Zertifikatsinformationen vom Provider JWKS URI aktualisiert. Der Wert wird im ISO-8601-Format angegeben. |
Introspektion Endpunkt |
Der FQDN mit Pfad, den ONTAP zur Remote-Token-Validierung durch Introspektion verwendet. |
Client-ID |
Der Name des Clients, wie er auf dem Autorisierungsserver definiert ist. Wenn dieser Wert enthalten ist, müssen Sie auch den zugehörigen Client-Schlüssel basierend auf der Schnittstelle angeben. |
Ausgehender Proxy |
Damit wird der Zugriff auf den Autorisierungsserver ermöglicht, wenn sich ONTAP hinter einer Firewall befindet. Der URI muss im Curl-Format vorliegen. |
Verwenden Sie ggf. lokale Rollen |
Ein boolesches Flag, das bestimmt, ob die lokalen ONTAP-Definitionen verwendet werden, einschließlich einer benannten REST-Rolle und lokalen Benutzern. |
Benutzeranspruch entfernen |
Ein alternativer Name, den ONTAP für lokale Benutzer verwendet. Verwenden Sie die |
Bereitstellungsszenarien
Im Folgenden werden verschiedene gängige Bereitstellungsszenarien vorgestellt. Sie sind abhängig davon organisiert, ob die Token-Validierung lokal durch ONTAP oder Remote durch den Autorisierungsserver durchgeführt wird. Jedes Szenario enthält eine Liste der erforderlichen Konfigurationsoptionen. Siehe "Implementieren Sie OAuth 2.0 in ONTAP" Beispiele für Konfigurationsbefehle.
Nachdem Sie einen Autorisierungsserver definiert haben, können Sie seine Konfiguration über die ONTAP-Verwaltungsschnittstelle anzeigen. Verwenden Sie beispielsweise den Befehl security oauth2 client show Mit der ONTAP CLI.
|
Lokale Validierung
Die folgenden Bereitstellungsszenarien basieren auf der lokalen Tokenvalidierung durch ONTAP.
Dies ist die einfachste Bereitstellung, bei der nur OAuth 2.0 eigenständige Bereiche verwendet werden. Keine der lokalen ONTAP-Identitätsdefinitionen werden verwendet. Sie müssen die folgenden Parameter angeben:
-
Name
-
Anwendung (http)
-
Provider-JWKS-URI
-
Aussteller-URI
Sie müssen die Gültigkeitsbereiche auch auf dem Autorisierungsserver hinzufügen.
In diesem Bereitstellungsszenario werden die eigenständigen Oszilloskope von OAuth 2.0 verwendet. Keine der lokalen ONTAP-Identitätsdefinitionen werden verwendet. Aber der Autorisierungsserver befindet sich hinter einer Firewall und Sie müssen daher einen Proxy konfigurieren. Sie müssen die folgenden Parameter angeben:
-
Name
-
Anwendung (http)
-
Provider-JWKS-URI
-
Ausgehender Proxy
-
Aussteller-URI
-
Zielgruppe
Sie müssen die Gültigkeitsbereiche auch auf dem Autorisierungsserver hinzufügen.
Dieses Bereitstellungsszenario verwendet lokale Benutzerrollen mit Standardnamenszuordnung. Der Anspruch des Remotebenutzers verwendet den Standardwert sub
Daher wird dieses Feld im Zugriffstoken verwendet, um mit dem lokalen Benutzernamen zu übereinstimmen. Der Benutzername darf maximal 40 Zeichen lang sein. Der Autorisierungsserver befindet sich hinter einer Firewall, Sie müssen also auch einen Proxy konfigurieren. Sie müssen die folgenden Parameter angeben:
-
Name
-
Anwendung (http)
-
Provider-JWKS-URI
-
Verwenden Sie ggf. lokale Rollen (
true
) -
Ausgehender Proxy
-
Aussteller
Sie müssen sicherstellen, dass der lokale Benutzer für ONTAP definiert ist.
Dieses Bereitstellungsszenario verwendet lokale Benutzerrollen mit einem alternativen Benutzernamen, der für einen lokalen ONTAP-Benutzer verwendet wird. Der Autorisierungsserver befindet sich hinter einer Firewall, Sie müssen also einen Proxy konfigurieren. Sie müssen die folgenden Parameter angeben:
-
Name
-
Anwendung (http)
-
Provider-JWKS-URI
-
Verwenden Sie ggf. lokale Rollen (
true
) -
Anspruch des Remote-Benutzers
-
Ausgehender Proxy
-
Aussteller-URI
-
Zielgruppe
Sie müssen sicherstellen, dass der lokale Benutzer für ONTAP definiert ist.
Fernintrospektion
Die folgenden Bereitstellungskonfigurationen basieren auf ONTAP, die Token per Remote-Prüfung durch Introspektion validieren.
Dies ist eine einfache Bereitstellung, die auf der Verwendung der eigenständigen Oszilloskope von OAuth 2.0 basiert. Keine der ONTAP-Identitätsdefinitionen wird verwendet. Sie müssen die folgenden Parameter einschließen:
-
Name
-
Anwendung (http)
-
Introspektion Endpunkt
-
Client-ID
-
Aussteller-URI
Sie müssen die Bereiche sowie den Client- und Client-Schlüssel auf dem Autorisierungsserver definieren.